BDSG/DSGVO: Kommentar zum BDSG und zur DSGVO sowie den Datenschutzbestimmungen des TMG und TKG [2. neu bearbeitete und erweiterte Auflage] 9783504384951

Achtung: Neuauflage bereits im Angebot!

188 7 14MB

German Pages 1648 [1749] Year 2016

Report DMCA / Copyright

DOWNLOAD PDF FILE

Recommend Papers

BDSG/DSGVO: Kommentar zum BDSG und zur DSGVO sowie den Datenschutzbestimmungen des TMG und TKG [2. neu bearbeitete und erweiterte Auflage]
 9783504384951

  • 0 0 0
  • Like this paper and download? You can publish your own PDF file online for free in a few minutes! Sign Up
File loading please wait...
Citation preview

Plath (Hrsg.) BDSG/DSGVO Kommentar

BDSG/DSGVO

Kommentar zum BDSG und zur DSGVO sowie den Datenschutzbestimmungen von TMG und TKG herausgegeben von

Dr. Kai-Uwe Plath, LL.M. Rechtsanwalt, Hamburg bearbeitet von

Thomas Becker, LL.M. Eur. Rechtsanwalt, Köln

Patrick von Braunmühl Rechtsanwalt, Berlin

Dr. Axel Freiherr von dem Bussche, LL.M. Rechtsanwalt, Hamburg

Dr. Anna-Mirjam Frey, LL.M. Staatsanwältin, München

Dr. Jan-Michael Grages Rechtsanwalt, Hamburg

Nils Hullen, LL.M. Berlin

Valerian Jenny

Rechtsanwalt, Frankfurt a.M.

Dr. Wulf Kamlah

Rechtsanwalt, Frankfurt a.M.

Dr. Michael Kuhnke

Rechtsanwalt, Hamburg

Dr. Kai-Uwe Plath, LL.M. Rechtsanwalt, Hamburg

Dr. Jan Dirk Roggenkamp

Professor an der Polizeiakademie Niedersachsen, Nienburg/Weser

Dr. Lutz Schreiber

Rechtsanwalt, Hamburg

Dr. Katrin Stamer

Rechtsanwältin, Hamburg

2. Auflage 2016

Zitierempfehlung: Bearbeiter in Plath (Hrsg.), BDSG/DSGVO, 2. Aufl. 2016, §/Art. . . . Rz. . . .

Bibliografische Information der Deutschen Nationalbibliothek Die Deutsche Nationalbibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliografie; detaillierte bibliografische Daten sind im Internet über http://dnb.d-nb.de abrufbar. Verlag Dr. Otto Schmidt KG Gustav-Heinemann-Ufer 58, 50968 Köln Tel. 02 21/9 37 38-01, Fax 02 21/9 37 38-9 43 [email protected] www.otto-schmidt.de ISBN 978-3-504-56074-4 ©2016 by Verlag Dr. Otto Schmidt KG, Köln Das Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt. Jede Verwertung, die nicht ausdrücklich vom Urheberrechtsgesetz zugelassen ist, bedarf der vorherigen Zustimmung des Verlags. Das gilt insbesondere für Vervielfältigungen, Bearbeitungen, Übersetzungen, Mikroverfilmungen und die Einspeicherung und Verarbeitung in elektronischen Systemen. Das verwendete Papier ist aus chlorfrei gebleichten Rohstoffen hergestellt, holz- und säurefrei, alterungsbeständig und umweltfreundlich. Einbandgestaltung: Jan P. Lichtenford, Mettmann Satz: Schäper, Bonn Druck und Verarbeitung: Kösel, Krugzell Printed in Germany

Vorwort Im November 2012 ist die erste Auflage dieses Werkes erschienen. Damals, der Kommentar war nur wenige Tage auf dem Markt und wurde auf einer Datenschutztagung in Hamburg vorgestellt, verkündete einer der mit der Entwicklung der DSGVO befassten Referenten, dass dies mit Sicherheit der letzte Kommentar zum BDSG sein würde. Er vertrat diese Ansicht in dem Glauben, dass die DSGVO alsbald verabschiedet werden würde. Dies ist dann schließlich auch geschehen, indes erst viele Jahre später im April 2016. Die Planungen dieser zweiten Auflage waren stark beeinflusst von der Diskussion über das „Ob“, das „Wie“ und das „Wann“ des Erlasses der DSGVO. Denn keinesfalls – da waren sich Verlag, Herausgeber und Autoren einig – sollte eine Entwurfsfassung kommentiert werden, denn eine solche Kommentierung würde dem selbstgesteckten Anspruch an die „Praxistauglichkeit“ des vorliegenden Kommentars nicht gerecht. Als sich die Anzeichen verdichteten, dass es tatsächlich zum Erlass der DSGVO kommen würde, entschieden wir uns, bereits mit der Erstellung der Manuskripte zu beginnen, damals noch auf Basis der „Trilog-Fassungen“. Dies geschah in der Hoffnung, nicht nochmal mit einer Situation konfrontiert zu werden, wie bei der Erstkommentierung des BDSG. Damals lag bereits ein vollständiges Manuskript zum Beschäftigtendatenschutzgesetz vor, welches dann bekanntlich doch nicht erlassen worden ist. Am Ende ist dieses Wagnis diesmal aufgegangen. Die DSGVO wurde verabschiedet, und wir freuen uns, nur wenige Monate nach deren Erlass eine echte „Doppelkommentierung“ vorstellen zu können, also einschließlich einer eigenständigen Kommentierung der DSGVO. Wir haben dieses Konzept der Alternative eines bloßen „Ausblicks“ auf die DSGVO vorgezogen. Denn wir sind überzeugt davon, dass es für den Praktiker nur bedingt hilfreich ist, wenn er im Rahmen der Kommentierung des BDSG lediglich erfährt, unter welcher Norm sich die entsprechende Regelung der DSGVO finden wird. Vielmehr sind wir der Überzeugung, dass eine eigenständige Kommentierung der DSGVO bereits heute – gute eineinhalb Jahre vor dem Inkrafttreten der DSGVO am 25. Mai 2018 – ihre Leserschaft finden wird. Denn es zeigt sich, dass der Umstellungsbedarf erheblich ist. Daher ist gut beraten, wer frühzeitig damit beginnt, sich auf die neue Rechtslage einzustellen. Bis zum Inkrafttreten der DSGVO gelten weiterhin die nationalen Regelungen des BDSG, TMG und TKG, zu denen das Werk eine umfassend aktualisierte Kommentierung erhält. In der Praxis führt die Ablösung der nationalen Regelungen durch die DSGVO zu der Notwendigkeit, Geschäftsmodelle so auszugestalten, dass sie einerseits den aktuellen Regelungen entsprechen, aber auch nach dem Inkrafttreten der DSGVO noch durchführbar bleiben. Wer heute z.B. in eine neue Server-Architektur investiert oder seine Geschäftsprozesse in ein V

Vorwort

Drittland auslagert, der benötigt Sicherheit darüber, ob dies auch noch nach dem 25. Mai 2018 zulässig bleiben wird. Die zweite Auflage des vorliegenden Kommentars widmet sich dieser Herausforderung. Besonderer Wert wurde auf die Verzahnung der Kommentierungen gelegt. Durch diverse Querverweise wird dem Leser aufgezeigt, in welchen Bereichen Anpassungen der aktuellen Praxis erforderlich sein werden. Wichtig war es uns insoweit auch, nicht in Nostalgie zu verfallen bzw. an den gelernten Denkmustern des deutschen Rechts festzuhalten, sondern die Neuregelungen der DSGVO mit unverstelltem Blick und im Lichte des europäischen Rechtsrahmens neu zu bewerten. Das Werk richtet sich vor allen an Praktiker. Es verfolgt weiterhin den bekannt meinungsfreudigen Ansatz. Die hier vertretenen Ansichten entsprechen nicht immer der herrschenden Meinung bzw. der Auffassung der Datenschutzbehörden; sie entsprechen jedoch der Überzeugung der jeweiligen Autoren, und im Sinne der Praxistauglichkeit werden etwaige Streitstände als solche gekennzeichnet. Mit diesem Ansatz geht einher, dass es Kritik geben wird. Dies gilt gerade für den Bereich der DSGVO, wo sich der Meinungsstände erst noch herausbilden müssen. Und dennoch oder gerade deshalb war es unser Ziel, dem Leser bereits im Rahmen der Erstkommentierung zur DSGVO möglichst viele Auslegungshilfen und Interpretationsansätze an die Hand zu geben, statt sich darauf zu beschränken, den Wortlaut der Normen zu paraphrasieren. Wir hoffen, dass dieser Kommentar den selbstgesteckten Zielen gerecht wird und sind für kritische Anmerkungen und Anregungen dankbar. Hamburg, Juli 2016

VI

Kai-Uwe Plath

Inhaltsverzeichnis

Vorwort . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Abkürzungsverzeichnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Literaturverzeichnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

Erläuterungen BDSG Erster Abschnitt:

Allgemeine und gemeinsame Bestimmungen . . . . . . . . . . . . . . .

Zweiter Abschnitt:

Datenverarbeitung der öffentlichen Stellen Rechtsgrundlagen der Datenverarbeitung . . . . . . . . . . . . . . . . . Rechte des Betroffenen . . . . . . . . . Die oder der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit . . . . . . . . . . .

Seite V XI XIX

§§ 1–11

1

12–18 19–21

426 469

22–26

497

Zweiter Unterabschnitt: Dritter Unterabschnitt:

Datenverarbeitung nicht-öffentlicher Stellen und öffentlichrechtlicher Wettbewerbsunternehmen Rechtsgrundlagen der Datenverarbeitung . . . . . . . . . . . . . . . . . Rechte des Betroffenen . . . . . . . . . Aufsichtsbehörde . . . . . . . . . . . . .

27–32 33–35 36–38a

532 799 867

Vierter Abschnitt:

Sondervorschriften . . . . . . . . . . . .

39–42a

899

Fünfter Abschnitt:

Schlussvorschriften . . . . . . . . . . . .

43–44

929

Sechster Abschnitt:

Übergangsvorschriften . . . . . . . . .

45–48

945

Erster Unterabschnitt: Zweiter Unterabschnitt: Dritter Unterabschnitt:

Dritter Abschnitt:

Erster Unterabschnitt:

Erläuterungen DSGVO Kapitel I:

Allgemeine Bestimmungen . . . . .

Art. 1–4

951

Kapitel II:

Grundsätze . . . . . . . . . . . . . . . . . .

5–11

997 VII

Inhaltsverzeichnis

Kapitel III: Abschnitt 1: Abschnitt 2: Abschnitt 3: Abschnitt 4: Abschnitt 5: Kapitel IV: Abschnitt 1: Abschnitt 2: Abschnitt 3: Abschnitt 4: Abschnitt 5: Kapitel V:

Rechte der betroffenen Person Transparenz und Modalitäten . . . Informationspflicht und Recht auf Auskunft zu personenbezogenen Daten . . . . . . . . . . . . . Berichtigung und Löschung . . . . . Widerspruchsrecht und automatisierte Entscheidungsfindung im Einzelfall . . . . . . . . . . . . . . . . . . . . Beschränkungen . . . . . . . . . . . . . . Verantwortlicher und Auftragsverarbeiter Allgemeine Pflichten . . . . . . . . . . Sicherheit personenbezogener Daten . . . . . . . . . . . . . . . . . . . . . . . Datenschutz-Folgenabschätzung und vorherige Konsultation . . . . . Datenschutzbeauftragter . . . . . . . Verhaltensregeln und Zertifizierung . . . . . . . . . . . . . . . . . . . . . . . . Übermittlung personenbezogener Daten an Drittländer oder an internationale Organisationen . . .

Art.

Seite

12

1043

13–15 16–20

1051 1075

21–22 23

1099 1111

24–31

1115

32–34

1145

35–36 37–39

1161 1171

40–43

1182

44–50

1209

51–54

1229

55–59

1239

60–62 63–67

1256 1256 1269

68–76

1281

Kapitel VI: Abschnitt 1: Abschnitt 2:

Unabhängige Aufsichtsbehörden Unabhängigkeit . . . . . . . . . . . . . . Zuständigkeit, Aufgaben und Befugnisse . . . . . . . . . . . . . . . . . . .

Kapitel VII: Abschnitt 1: Abschnitt 2: Abschnitt 3:

Zusammenarbeit und Kohärenz Zusammenarbeit . . . . . . . . . . . . . . Kohärenz . . . . . . . . . . . . . . . . . . . . Europäischer Datenschutzausschuss . . . . . . . . . . . . . . . . . . . .

Kapitel VIII:

Rechtsbehelfe, Haftung und Sanktionen . . . . . . . . . . . . . . . . . .

77–84

1292

Kapitel IX:

Vorschriften für besondere Verarbeitungssituationen . . . . . . .

85–91

1330

Kapitel X:

Delegierte Rechtsakte und Durchführungsrechtsakte . . . . . .

92–93

1359

Kapitel XI:

Schlussbestimmungen . . . . . . . . .

94–99

1366

VIII

Inhaltsverzeichnis

Erläuterungen TMG (Auszug)

§§

Einleitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Abschnitt 4: Datenschutz . . . . . . . . . . . . . . . . . 11–15a

Seite 1375 1381

Erläuterungen TKG (Auszug) Teil 7: Abschnitt 1: Abschnitt 2: Abschnitt 3: Stichwortverzeichnis

Fernmeldegeheimnis, Datenschutz, öffentliche Sicherheit . . . . Fernmeldegeheimnis . . . . . . . . . . 88–90 Datenschutz . . . . . . . . . . . . . . . . . 91–107 Öffentliche Sicherheit . . . . . . . . . . 108–115

1457 1457 1474 1551 1569

IX

Abkürzungsverzeichnis a.A. AA ABl. Abs. Abschn. a.E. AEUV a.F. AG AGB AGG AktG Alt. Anh. AnwBl AO AöR ArbG ArbGG ArbR ArbRB Art. AuA BAG BArchG BayVbl BB BBankG BBG BCR BDSG BeamtStG BeckRS Beschl. BetrVG BewachVO BfDI

anderer Ansicht Arbeitsrecht aktiv (Zeitschrift) Amtsblatt Absatz Abschnitt am Ende Vertrag über die Arbeitsweise der Europäischen Union alte Fassung Amtsgericht, Aktiengesellschaft, auch: Die Aktiengesellschaft (Zeitschrift) Allgemeine Geschäftsbedingungen Allgemeines Gleichbehandlungsgesetz Aktiengesetz Alternative Anhang Anwaltsblatt Abgabenordnung Archiv des öffentlichen Rechts (Zeitschrift) Arbeitsgericht Arbeitsgerichtsgesetz Arbeitsrecht Aktuell (Zeitschrift) Der Arbeits-Rechts-Berater (Zeitschrift) Artikel Arbeit und Arbeitsrecht (Zeitschrift) Bundesarbeitsgericht Bundesarchivgesetz Bayerische Verwaltungsblätter Betriebs-Berater (Zeitschrift) Gesetz über die Deutsche Bundesbank Bundesbeamtengesetz Binding Corporate Rules Bundesdatenschutzgesetz Beamtenstatusgesetz Beck-Rechtsprechung Beschluss Betriebsverfassungsgesetz Verordnung über das Bewachungsgewerbe Bundesbeauftragte/r für den Datenschutz und die Informationsfreiheit XI

Abkürzungsverzeichnis

BGB BGBl. BGH BKAG BMI BMinG

bspw. BT-Drucks. Buchst. BVerfG BVerfGE BVerfSchG BVerwG BWV bzw.

Bürgerliches Gesetzbuch Bundesgesetzblatt Bundesgerichtshof Bundeskriminalamtgesetz Bundesministerium des Innern Gesetz über die Rechtsverhältnisse der Mitglieder der Bundesregierung Bundesministerium für Verkehr, Bau und Stadtentwicklung Bundesnachrichtendienst Bundesnetzagentur Bundesnotarordnung Berufsordnung der Rechtsanwälte Berufsordnung der Steuerberater Bundespersonalvertretungsgesetz Gesetz über die Bundespolizei Bundesrechtsanwaltskammer Bundesrechtsanwaltsordnung Bundesratsdrucksache Beamtenrechtsrahmengesetz Bundessozialgericht Gesetz über das Bundesamt für Sicherheit in der Informationstechnik beispielsweise Bundestagsdrucksache Buchstabe Bundesverfassungsgericht Sammlung der Entscheidungen des BVerfG Bundesverfassungsschutzgesetz Bundesverwaltungsgericht Bundeswehrverwaltung (Zeitschrift) beziehungsweise

CaS CCZ CR CuA

Causa Sport (Zeitschrift) Corporate Compliance Zeitschrift Computer und Recht (Zeitschrift) Computer und Arbeit (Zeitschrift)

DB dbr DGRI d.h. Diss. DNotZ

Der Betrieb (Zeitschrift) der betriebsrat (Zeitschrift) Deutsche Gesellschaft für Recht und Informatik e.V. das heißt Dissertation Deutsche Notar-Zeitschrift

BMV BND BNetzA BNotO BORA BOStB BPersVG BPolG BRAK BRAO BR-Drucks. BRRG BSG BSIG

XII

Abkürzungsverzeichnis

DÖV DRiG DRiZ DSB DSG DSG-EKD DSGVO DStR DuD DVBl DWG EDSA EFTA EFZG EG EG-Datenschutzrichtlinie

Die öffentliche Verwaltung (Zeitschrift) Deutsches Richtergesetz Deutsche Richterzeitung Datenschutzbeauftragter, Datenschutzberater (Zeitschrift) Datenschutzgesetz (z.B. der Bundesländer) Kirchengesetz über den Datenschutz in der Evangelischen Kirche in Deutschland Datenschutzgrundverordnung Deutsches Steuerrecht (Zeitschrift) Datenschutz und Datensicherheit (Zeitschrift) Deutsches Verwaltungsblatt Gesetz über die Rundfunkanstalt des Bundesrechts

EnWG etc. EU EuGH EuGRZ EuR evtl. EWR

Europäische Datenschutzausschuss Europäische Freihandelsassoziation Entgeltfortzahlunsgesetz Einführungsgesetz; Europäische Gemeinschaften Richtlinie 95/46/EG des Europäischen Parlaments und des Rates v. 24.10.1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr Einführungsgesetz zum Gerichtsverfassungsgesetz Vertrag zur Gründung der Europäischen Gemeinschaft Europäische Konvention zum Schutz der Menschenrechte und Grundfreiheiten Energiewirtschaftsgesetz et cetera Europäische Union Gerichtshof der Europäischen Union Europäische GRUNDRECHTE-Zeitschrift Europarecht (Zeitschrift) eventuell Europäischer Wirtschaftsraum

f., ff. FGO FS FSF FSK FSM

folgende, fortfolgende Finanzgerichtsordnung Festschrift Freiwillige Selbstkontrolle Fernsehen Freiwillige Selbstkontrolle der Filmwirtschaft GmbH Freiwillige Selbstkontrolle Multimedia

GBO GenDG

Grundbuchordnung Gendiagnostikgesetz

EGGVG EGV EMRK

XIII

Abkürzungsverzeichnis

GG ggf. GGO GIW GmbHG

GVG GwG

Grundgesetz gegebenenfalls Gemeinsame Geschäftsordnung der Bundesministerien Geoinformationswissenschaft Gesetz betreffend die Gesellschaften mit beschränkter Haftung Charta der Grundrechte der Europäischen Union Zeitschrift der Deutschen Vereinigung für Gewerblichen Rechtsschutz und Urheberrecht Gerichtsverfassungsgesetz Geldwäschegesetz

Halbs. HDSG HGB Hrsg.

Halbsatz Hessisches Datenschutzgesetz Handelsgesetzbuch Herausgeber

IFG i.S.d. i.S.e. ITRB i.V.m. IWG

Informationsfreiheitsgesetz im Sinne der/des im Sinne einer/s Der IT-Rechts-Berater (Zeitschrift) in Verbindung mit Informationsweiterverwendungsgesetz

JuS JZ

Juristische Schulung (Zeitschrift) Juristenzeitung (Zeitschrift)

KAGH Kap. KDO KfW K&R KG KrW-/AbfG KUG

Kirchlicher Arbeitsgerichtshof Kapitel Anordnung über den kirchlichen Datenschutz Kreditanstalt für Wiederaufbau Kommunikation & Recht (Zeitschrift) Kammergericht, Kommanditgesellschaft Kreislaufwirtschafts- und Abfallgesetz Gesetz betreffend das Urheberrecht an Werken der bildenden Künste und der Photographie Kreditwesengesetz

GRCh GRUR

KWG LAG LDI NRW LDSG LfD XIV

Landesarbeitsgericht Landesbeauftragte/r für Datenschutz und Informationsfreiheit NRW Landesdatenschutzgesetz Landesbeauftragter für Datenschutz

Abkürzungsverzeichnis

LG lit. LKRZ LKV LSG LT-Drucks.

Landgericht litera Zeitschrift für Landes- und Kommunalrecht Hessen Landes- und Kommunalverwaltung (Zeitschrift) Landessozialgericht Landtagsdrucksache

MAD m.w.N. MDR MedR Mitt. MittBayNot MMR MRRG

Militärischer Abschirmdienst mit weiteren Nachweisen Monatsschrift für Deutsches Recht Medizinrecht (Zeitschrift) Mitteilung Mitteilungen des Bayerischen Notarvereins, der Notarkasse und der Landesnotarkammer Bayern (Zeitschrift) MultiMedia und Recht (Zeitschrift) Melderechtsrahmengesetz

NJOZ NJW Nr. NStZ NVwZ NWVBl NZA NZM NZS

Neue Juristische Online Zeitschrift Neue Juristische Wochenschrift Nummer Neue Zeitschrift für Strafrecht Neue Zeitschrift für Verwaltungsrecht Nordrhein-Westfälische Verwaltungsblätter Neue Zeitschrift für Arbeitsrecht Neue Zeitschrift für Miet- und Wohnungsrecht Neue Zeitschrift für Sozialrecht

o.g. OLG OVG OWiG

oben genannt/e/en/er Oberlandesgericht Oberverwaltungsgericht Ordnungswidrigkeitengesetz

PachtkreditG PAuswG PBCR PersR PinG PostG

Pachtkreditgesetz Personalausweisgesetz Processor Binding Corporate Rules Der Personalrat (Zeitschrift) Privacy in Germany (Zeitschrift) Postgesetz

RdA RDV RegE RL

Recht der Arbeit (Zeitschrift) Recht der Datenverarbeitung (Zeitschrift) Regierungsentwurf Richtlinie XV

Abkürzungsverzeichnis

Rs. Rspr. RStV Rz.

Rechtssache Rechtsprechung Rundfunkstaatsvertrag Randzahl

s. S. s.a. SEC SGB SigG Slg. SOG sog. SRIW StBerG StGB StPO str. st. Rspr. StUG StVG

siehe Seite siehe auch Securities and Exchange Commission Sozialgesetzbuch Signaturgesetz Sammlung Gesetz über die öffentliche Sicherheit und Ordnung sogenannte/r/s Selbstregulierung Informationswirtschaft e.V. Steuerberatungsgesetz Strafgesetzbuch Strafprozessordnung streitig ständige Rechtsprechung Stasiunterlagengesetz Straßenverkehrsgesetz

TB TDDSG TDSV TMG TKG TVG

Tätigkeitsbericht Teledienstedatenschutzgesetz Telekommunikationsdienstunternehmen – Datenschutzverordnung Telemediengesetz Telekommunikationsgesetz Tarifvertragsgesetz

u.a. u.ä. UIG UKlaG UrhG Urt. USK UWG

und andere/unter anderem und ähnliches Umweltinformationsgesetz Unterlassungsklagengesetz Urheberrechtsgesetz Urteil Unterhaltungssoftware Selbstkontrolle Gesetz gegen den unlauteren Wettbewerb

v. v.a. VAG

vom vor allem Versicherungsaufsichtsgesetz

XVI

Abkürzungsverzeichnis

VersG VersR VG VGH vgl. VO VoIP VR VuR VwGO VwVfG

Versammlungsgesetz Versicherungsrecht (Zeitschrift) Verwaltungsgericht Verwaltungsgerichtshof vergleiche Verordnung Voice over IP Verwaltungsrundschau (Zeitschrift) Verbraucher und Recht (Zeitschrift) Verwaltungsgerichtsordnung Verwaltungsverfahrensgesetz

Wistra WM

Zeitschrift für Wirtschafts- und Steuerstrafrecht Wertpapier-Mitteilungen (Zeitschrift für Wirtschafts- und Bankrecht) Wertpapierhandelsgesetz Wirtschaftsprüferordnung Wettbewerb in Recht und Praxis (Zeitschrift) Weimarer Reichsverfassung

WpHG WPO WRP WRV z.B. ZBR ZD ZEV ZfIR zfm ZfPR ZG Ziff. ZInsO ZIP ZRP ZUM ZWH

zum Beispiel Zeitschrift für Beamtenrecht Zeitschrift für Datenschutz Zeitschrift für Erbrecht und Vermögensnachfolge Zeitschrift für Immobilienrecht Zeitschrift für das Forderungsmanagement Zeitschrift für Personalvertretungsrecht Zeitschrift für Gesetzgebung Ziffer Zeitschrift für das gesamte Insolvenzrecht Zeitschrift für Wirtschaftsrecht Zeitschrift für Rechtspolitik Zeitschrift für Urheber- und Medienrecht Zeitschrift für Wirtschaftsstrafrecht und Haftung im Unternehmen

XVII

Literaturverzeichnis Arndt/Fetzer/Scherer/ Graulich (Hrsg.) Auernhammer

TKG, Kommentar, 2. Aufl. 2015

Beck’scher TKGKommentar Bergmann/Möhrle/ Herb Bohnert/Krenberger/ Krumm von dem Bussche/Voigt

hrsg. v. Geppert/Schütz, 4. Aufl. 2013

Däubler/Kittner/Klebe/ Wedde (Hrsg.) Däubler/Klebe/Wedde/ Weichert

BetrVG, Kommentar, 15. Aufl. 2016

Ehmann/Helfrich Erbs/Kohlhaas Erfurter Kommentar zum Arbeitsrecht

EG-Datenschutzrichtlinie, 1999 Strafrechtliche Nebengesetze, Loseblatt hrsg. v. Müller-Glöge/Preis/Schmidt, 16. Aufl. 2016

Forgó/Helfrich/ Schneider (Hrsg.)

Betrieblicher Datenschutz, 2014

Gierschmann/ Saeugling (Hrsg.) Göhler Gola/Schomerus

Systematischer Praxiskommentar Datenschutzrecht, 2014 Ordnungswidrigkeitengesetz, 16. Aufl. 2012 BDSG, Kommentar, 12. Aufl. 2015

Härting Hanten/Görke/ Ketessidis Hauschka Helfrich

Datenschutz-Grundverordnung, 2016 Outsourcing im Finanzsektor, 2011

Henssler/Willemsen/ Kalb Heun (Hrsg.)

Kommentar zum Bundesdatenschutzgesetz und Nebengesetze, 4. Aufl. 2014

Datenschutzrecht Kommentar, Loseblatt OWiG, Kommentar, 4. Aufl. 2016 Konzerndatenschutz, 2014

Bundesdatenschutzgesetz Kompaktkommentar, 5. Aufl. 2016

Corporate Compliance, 2. Aufl. 2010 Kreditscoring und Scorewertbildung der SCHUFA, 2010 Arbeitsrecht Kommentar, 7. Aufl. 2016 Handbuch Telekommunikationsrecht, 2. Aufl. 2007 XIX

Literaturverzeichnis

Koreng/Lachenmann Kühling/Seidel/Sivridis

Formularhandbuch Datenschutzrecht, 2015 Datenschutzrecht, 3. Aufl. 2015

Leupold/Glossner/ Münchener Anwaltshandbuch IT-Recht, 3. Aufl. 2013 Bussche/et al. (Hrsg.) Maunz/Dürig Müller-Gugenberger/ Bieneck (Hrsg.) Moos (Hrsg.)

Grundgesetz, Loseblatt Wirtschaftsstrafrecht, 6. Aufl. 2015

Niemann/Paul (Hrsg.)

Praxishandbuch Rechtsfragen des Cloud Computing, 2014 Lexikon Arbeitsrecht, 24. Aufl. 2015

Nipperdey Renz/Hense (Hrsg.) Richardi Roßnagel Roßnagel Säcker (Hrsg.) Schaffland/Wiltfang Scheurle/Mayen Scholz Schönke/Schröder Simitis (Hrsg.) Spindler/Schuster Taeger/Gabel (Hrsg.) Thüsing Wächter Willemsen/Hohenstatt/ Schweibert/Seibt Wolff/Brink Wolff/Brink (Hrsg.) Wybitul

XX

Datennutzungs- und Datenschutzverträge, 2014

Organisation der Wertpapier-Compliance-Funktion, 2012 Betriebsverfassungsgesetz, Kommentar, 15. Aufl. 2016 Handbuch Datenschutzrecht, 2003 Recht der Multimedia-Dienste, Loseblatt Telekommunikationsgesetz, 3. Aufl. 2013 BDSG, Kommentar, Loseblatt TKG, Kommentar, 2. Aufl. 2008 Datenschutz beim Internet-Einkauf. Gefährdungen – Anforderungen – Gestaltungen, Diss., 2003 StGB, Kommentar, 29. Aufl. 2014 Bundesdatenschutzgesetz, 8. Aufl. 2014 Recht der elektronischen Medien, 3. Aufl. 2015 Kommentar zum BDSG und zu den Datenschutzvorschriften des TKG und TMG, 2. Aufl. 2013 Beschäftigtendatenschutz und Compliance, 2. Aufl. 2014 Datenschutz im Unternehmen, 4. Aufl. 2014 Umstrukturierung und Übertragung von Unternehmen, 4. Aufl. 2011 Datenschutzrecht in Bund und Ländern, 2013 Beck’scher Online-Kommentar Datenschutzrecht Handbuch – Datenschutz im Unternehmen, 2. Aufl. 2014

Bundesdatenschutzgesetz (BDSG) in der Fassung der Bekanntmachung vom 14. Januar 2003 (BGBl. I, S. 66), zuletzt geändert durch Gesetz vom 25. Februar 2015 (BGBl. I, S. 162)

Erster Abschnitt Allgemeine und gemeinsame Bestimmungen

§1 Zweck und Anwendungsbereich des Gesetzes (1) Zweck dieses Gesetzes ist es, den Einzelnen davor zu schützen, dass er durch den Umgang mit seinen personenbezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird. (2) Dieses Gesetz gilt für die Erhebung, Verarbeitung und Nutzung personenbezogener Daten durch 1. öffentliche Stellen des Bundes, 2. öffentliche Stellen der Länder, soweit der Datenschutz nicht durch Landesgesetz geregelt ist und soweit sie a) Bundesrecht ausführen oder b) als Organe der Rechtspflege tätig werden und es sich nicht um Verwaltungsangelegenheiten handelt, 3. nicht-öffentliche Stellen, soweit sie die Daten unter Einsatz von Datenverarbeitungsanlagen verarbeiten, nutzen oder dafür erheben oder die Daten in oder aus nicht automatisierten Dateien verarbeiten, nutzen oder dafür erheben, es sei denn, die Erhebung, Verarbeitung oder Nutzung der Daten erfolgt ausschließlich für persönliche oder familiäre Tätigkeiten. (3) 1Soweit andere Rechtsvorschriften des Bundes auf personenbezogene Daten einschließlich deren Veröffentlichung anzuwenden sind, gehen sie den Vorschriften dieses Gesetzes vor. 2Die Verpflichtung zur Wahrung gesetzlicher Geheimhaltungspflichten oder von Berufs- oder besonderen Amtsgeheimnissen, die nicht auf gesetzlichen Vorschriften beruhen, bleibt unberührt. (4) Die Vorschriften dieses Gesetzes gehen denen des Verwaltungsverfahrensgesetzes vor, soweit bei der Ermittlung des Sachverhalts personenbezogene Daten verarbeitet werden. (5) 1Dieses Gesetz findet keine Anwendung, sofern eine in einem anderen Mitgliedstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum belegene verantPlath

|

1

§ 1 BDSG | Allgemeine und gemeinsame Bestimmungen wortliche Stelle personenbezogene Daten im Inland erhebt, verarbeitet oder nutzt, es sei denn, dies erfolgt durch eine Niederlassung im Inland. 2Dieses Gesetz findet Anwendung, sofern eine verantwortliche Stelle, die nicht in einem Mitgliedstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum belegen ist, personenbezogene Daten im Inland erhebt, verarbeitet oder nutzt. 3Soweit die verantwortliche Stelle nach diesem Gesetz zu nennen ist, sind auch Angaben über im Inland ansässige Vertreter zu machen. 4Die Sätze 2 und 3 gelten nicht, sofern Datenträger nur zum Zweck des Transits durch das Inland eingesetzt werden. 5§ 38 Abs. 1 Satz 1 bleibt unberührt. I. Einführung . . . . . . . . . . . . . . . 1. Normaufbau . . . . . . . . . . . . . . 2. Verhältnis zur EG-Datenschutzrichtlinie . . . . . . . . . . . . . . . . . II. Grundlagen und Gesetzeszweck (Abs. 1) 1. Gesetzeszweck . . . . . . . . . . . . . 2. Begriffserklärung: Umgang . . . . 3. Das BDSG als Schutzgesetz . . . . 4. Verhältnis des BDSG zum UWG . . . . . . . . . . . . . . . . . . . 5. Das BDSG als Eingriffs- und Auffanggesetz . . . . . . . . . . . . . III. Geltungsbereich (Abs. 2) . . . . . 1. Öffentliche Stellen des Bundes (Abs. 2 Nr. 1) . . . . . . . . . . . . . . 2. Öffentliche Stellen der Länder (Abs. 2 Nr. 2) . . . . . . . . . . . . . . 3. Nicht-öffentliche Stellen (Abs. 2 Nr. 3) . . . . . . . . . . . . . . 4. Persönliche und familiäre Tätigkeiten . . . . . . . . . . . . . . .

1 2 3

8 11 13 15 18 20 21 23 26 30

IV. Subsidiarität des BDSG (Abs. 3) 1. Vorrang der Rechtsvorschriften des Bundes (Satz 1) . . . . . . . . . . 35 2. Geheimhaltungspflichten (Satz 2) 39 V. Verhältnis zum Verwaltungsverfahrensgesetz (Abs. 4) . . . . . 43 VI. 1. 2. 3. 4.

5. 6. 7.

Auslandsbezug (Abs. 5) Einführung . . . . . . . . . . . . . . . Grundprinzipien . . . . . . . . . . . Datenverwendung durch eine Niederlassung (Abs. 5 Satz 1 Halbs. 2) . . . . . . . . . . . . . . . . . Datenverwendung in Deutschland durch nicht in der EU bzw. dem EWR „belegene“ Stellen (Abs. 5 Satz 2) . . . . . . . . . . . . . Ernennung eines Vertreters (Abs. 5 Satz 3) . . . . . . . . . . . . . Transit von Datenträgern (Abs. 5 Satz 4) . . . . . . . . . . . . . Kontrollrechte der Aufsichtsbehörden (Abs. 5 Satz 5) . . . . . .

45 49 52

61 67 68 71

Schrifttum: Alich/Nolte, Zur datenschutzrechtlichen Verantwortlichkeit (außereuropäischer) Hostprovider für Drittinhalte, CR 2012, 741; Alich/Voigt, Mitteilsame Browser – Datenschutzrechtliche Bewertung des Trackings mittels Browser-Fingerprints, CR 2012, 344; Arning/Flemming/Schefzig, Vergiss (,) Europa!, CR 2014, 447; Beyers/Herbich, Das Niederlassungsprinzip im Datenschutzrecht – am Beispiel von Facebook – Der neue Ansatz des EuGH, ZD 2014, 558; Conrad/Schneider, Einsatz von „privater IT“ im Unternehmen, ZD 2011, 153; Duhr/Naujok/Schaar, Anwendbarkeit des deutschen Datenschutzrechts auf Internetangebote, MMR 2001, XVI; Ernst, Abmahnung aufgrund von Normen außerhalb des UWG, WRP 2004, 1133; Forgó/Krügel/Müllenbach, Zur datenschutz- und persönlichkeitsrechtlichen Zulässigkeit von Google Street View, CR 2010, 616; Frhr. v. Gamm, Datenschutz und Wettbewerbsrecht, GRUR 1996, 574; Gärtner/Heil, Kodifizierter

2

|

Plath

Zweck und Anwendungsbereich des Gesetzes | § 1 BDSG Rechtsbruchtatbestand und Generalklausel – Zur Bedeutung des Marktbezugs im neuen UWG, WRP 2005, 20; Huppertz/Ohrmann, Wettbewerbsvorteile durch Datenschutzverletzungen?, CR 2011, 449; Jotzo, Gilt deutsches Datenschutzrecht auch für Google, Facebook & Co. bei grenzüberschreitendem Datenverkehr?, MMR 2009, 232; Kamlah/Hoke, Datenschutz und UWG – Unterlassungsansprüche bei Datenschutzverstößen, RDV 2008, 226; Kremer/Buchalik, Zum anwendbaren Datenschutzrecht im internationalen Geschäftsverkehr, CR 2013, 789; Lindner, Persönlichkeitsrecht und Geodienste im Internet – z.B. Google Street View/Google Earth, ZUM 2010, 292; Ott, Das Internet vergisst nicht – Rechtsschutz für Suchobjekte?, MMR 2009, 158; Rüpke, Mehr Rechtssicherheit für anwaltliche Datenverarbeitung – Ein Vorschlag zur informationsrechtlichen Ergänzung der Bundesrechtsanwaltsordnung, ZRP 2008, 87; Schenk, Geschäftsmodell von Social Networks im Wettbewerb: Rechtliche Fragen, DGRI Handbuch 2010, 123; Voigt, Internationale Anwendbarkeit des deutschen Datenschutzrechts – Eine Darstellung anhand verschiedener Fallgruppen, ZD 2014, 15; Wagner, Datenschutz und Mandatsgeheimnis – der Umgang mit personenbezogenen Daten im Anwaltsmandat, BRAK-Mitt. 1/2011, 2; Weichert, Datenschutz als Verbraucherschutz, DuD 2001, 264; Weichert, Datenschutz im Wettbewerbs- und Verbraucherrecht, VuR 2006, 377; Weichert, Datenschutz auch bei Anwälten?, NJW 2009, 550.

I. Einführung § 1 regelt den Zweck und Anwendungsbereich des BDSG und bildet somit das 1 „Eingangstor“ zu den weiteren Vorschriften des Gesetzes. Nach Inkrafttreten der DSGVO werden sich entsprechende Regelungen in Art. 1–3 DSGVO finden. 1. Normaufbau Abs. 1 regelt zunächst den Zweck des BDSG und bildet damit die Grundlage für 2 die weitere Auslegung des Gesetzes. Abs. 2 regelt den materiellen Anwendungsbereich des BDSG, insbesondere welche öffentlichen und nicht-öffentlichen Stellen Adressaten des BDSG sind. Abs. 3 regelt das Verhältnis des BDSG zu anderen datenschützenden Normen. Abs. 4 regelt das Verhältnis des BDSG zu den Vorschriften des Verwaltungsverfahrensgesetzes. Abs. 5 regelt schließlich die territoriale Anwendbarkeit des BDSG bei bestimmten grenzüberschreitenden Sachverhalten. 2. Verhältnis zur EG-Datenschutzrichtlinie Das BDSG in seiner aktuellen Fassung beruht auf der Datenschutznovelle von 3 2009. Grundlage ist weiterhin die EG-Datenschutzrichtlinie (RL 95/46/EG)1, 1 Richtlinie 95/46/EG des Europäischen Parlaments und des Rates v. 24.10.1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr.

Plath

|

3

§ 1 BDSG | Allgemeine und gemeinsame Bestimmungen die durch die BDSG-Novelle 2001 umgesetzt wurde. Darüber hinaus hat auch die Datenschutzrichtlinie für elektronische Kommunikation1 das deutsche Datenschutzrecht geprägt. 4 Aufgrund des europarechtlichen Hintergrunds des BDSG stellt sich die Frage,

wie das Verhältnis zwischen der EG-Datenschutzrichtlinie und den Regelungen des BDSG zu bewerten ist, also insbesondere welchen Gestaltungs- und Auslegungsspielraum die EG-Datenschutzrichtlinie dem deutschen Gesetzgeber sowie den deutschen Behörden und Gerichten lässt. Mit dieser Problematik hat sich der EuGH in einer Grundsatzentscheidung aus dem Jahre 2011 ausführlich auseinandergesetzt2. Dabei ging es um die Frage, inwieweit nationale Regelungen über die Anforderungen der Richtlinie hinausgehen, also strenger sein dürfen, und ob die Regelungen der Richtlinie unmittelbare Wirkung für den einzelnen Betroffenen entfalten können.

5 Der EuGH hat in dieser Entscheidung unmissverständlich die vollharmonisie-

rende Wirkung der EG-Datenschutzrichtlinie festgestellt3. Durch die Richtlinie solle ein einheitliches, hohes Schutzniveau innerhalb der Mitgliedstaaten gewährleistet werden. Die Anforderungen der Richtlinie (im konkreten Fall des Art. 7 Buchst. f der EG-Datenschutzrichtlinie) seien abschließend und könnten im Rahmen der Umsetzung in nationales Recht nicht durch neue oder zusätzliche Bedingungen erweitert werden4. Damit ist es dem nationalen Gesetzgeber nicht nur untersagt, hinter dem Mindestschutzniveau der Richtlinie zurückzubleiben, sondern auch, strengere Voraussetzungen als in der EG-Datenschutzrichtlinie vorgesehen zu schaffen. Der EuGH weist jedoch ausdrücklich darauf hin, dass die nähere gesetzliche Bestimmung der Voraussetzungen der Richtlinie sowie die Vorgabe bestimmter Umstände, die im Rahmen der Ermessenserwägungen zu berücksichtigen sind, im Rahmen nationaler Regelungen zulässig sind, soweit hierdurch keine zusätzlichen Anwendungsvoraussetzungen geschaffen werden5. Im Einzelfall kann die Abgrenzung zwischen Regelungen, die noch als Ausgestaltung zu verstehen sind, und Regelungen, die bereits als Veränderung der Richtlinienbestimmungen aufzufassen sind, schwierig sein. Für die Anwendungspraxis ist die Entscheidung jedoch grundsätzlich zu begrüßen, da sie bei multinationalen Sachverhalten jedenfalls die Vermutung nahelegt, dass ein Sachverhalt in anderen Mitgliedstaaten der EU im Grundsatz ebenso geregelt worden sein müsste wie im BDSG – stets unterstellt, dass das BDSG den Vorgaben der EG-Datenschutzrichtlinie entspricht. 1 Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates v. 12.7.2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation. 2 EuGH v. 24.11.2011 – C-468/10, C-469/10, CR 2012, 29 = K&R 2012, 40. 3 EuGH v. 24.11.2011 – C-468/10, C-469/10, CR 2012, 29 = K&R 2012, 40 (41). 4 EuGH v. 24.11.2011 – C-468/10, C-469/10, CR 2012, 29 = K&R 2012, 40 (41). 5 EuGH v. 24.11.2011 – C-468/10, C-469/10, CR 2012, 29 = K&R 2012, 40 (41 f.).

4

|

Plath

Zweck und Anwendungsbereich des Gesetzes | § 1 BDSG

Im Einklang mit seiner ständigen Rechtsprechung hat der EuGH zudem ver- 6 deutlicht, dass den Regelungen der EG-Datenschutzrichtlinie eine unmittelbare Wirkung für den Betroffenen zukommt, soweit die Regelungen der Richtlinie inhaltlich unbedingt und hinreichend bestimmt sind und eine hinreichende Umsetzung in nationales Recht nicht stattgefunden hat. Die unmittelbare Wirkung einer Richtlinie bezieht sich dabei nur auf das Verhältnis zwischen Betroffenen und Mitgliedstaat. In einem Rechtsstreit zwischen Privaten entfaltet eine Richtlinie keine unmittelbare Wirkung1. Im Ergebnis bedeutet dies, dass die Regelungen des BDSG stets richtlinienkon- 7 form auszulegen sind, soweit sie einen Auslegungsspielraum eröffnen. Gehen die Regelungen hingegen über die Vorgaben der EG-Datenschutzrichtlinie hinaus oder bleiben hinter dieser zurück, so ist die nationale Regelung im Zweifel unwirksam und die entsprechende Regelung der EG-Datenschutzrichtlinie entfaltet ihre unmittelbare Wirkung.

II. Grundlagen und Gesetzeszweck (Abs. 1) 1. Gesetzeszweck Entsprechend der Zielvorgabe des Art. 1 Abs. 1 EG-Datenschutzrichtlinie, der 8 den Schutz der „Grundrechte und Grundfreiheiten und insbesondere den Schutz der Privatsphäre natürlicher Personen“ statuiert, gibt Abs. 1 als Gesetzeszweck den Schutz des Einzelnen vor einer Beeinträchtigung seines Persönlichkeitsrechts durch den Umgang mit seinen personenbezogenen Daten vor. Damit wird der Begriff des „Datenschutzrechts“ umschrieben, ohne dass von einer Legaldefinition gesprochen werden kann2. Abs. 1 ist eher Zielvorgabe und allgemeiner Auslegungsgrundsatz3. Zu beachten ist dabei, dass personenbezogene Daten nicht um ihrer selbst wil- 9 len, sondern in ihrer Bedeutung als Ausprägung des Allgemeinen Persönlichkeitsrechts, Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG, geschützt werden sollen4. In einer langjährigen Rechtsprechungstradition, die ihren Höhepunkt im Volkszählungsurteil5 fand, hat das BVerfG den Schutz von personenbezogenen Daten als wesentlichen Bestandteil des Persönlichkeitsrechts herausgearbeitet und damit ein Recht auf allgemeine Selbstbestimmung anerkannt6. Auch wenn dieser 1 EuGH v. 10.3.2005 – C-235/03, NJW 2005, 1263 (1264); so auch zuletzt OLG Frankfurt a.M. v. 14.12.2015 – 1 U 128/15, NZI 2016, 188. 2 Taeger/Gabel/Schmidt, § 1 BDSG Rz. 5. 3 Taeger/Gabel/Schmidt, § 1 BDSG Rz. 3; Bergmann/Möhrle/Herb, § 1 BDSG Rz. 7. 4 Gola/Schomerus, § 1 BDSG Rz. 2; Schaffland/Wiltfang, § 1 BDSG Rz. 1. 5 BVerfGE 65, 1 = NJW 1984, 419. 6 Ausführlich hierzu Simitis/Simitis, § 1 BDSG Rz. 35 ff.; Schaffland/Wiltfang, § 1 BDSG Rz. 3 ff. sowie Gola/Schomerus, § 1 BDSG Rz. 7, 11 ff.

Plath

|

5

§ 1 BDSG | Allgemeine und gemeinsame Bestimmungen Begriff – anders als in vielen Landesdatenschutzgesetzen – im BDSG nicht explizit aufgenommen wurde1, so sind die hierzu entwickelten verfassungsrechtlichen Grundlagen in das BDSG hineinzulesen2. 10 Das BDSG hat nicht zuletzt auch die Aufgabe, dem technischen Fortschritt ge-

recht zu werden: es soll den Gefahren begegnen, die für die personenbezogenen Daten – und damit das Persönlichkeitsrecht – des Einzelnen durch die Möglichkeiten der automatisierten Verarbeitung, insbesondere der schnellen Verknüpfung und Übermittlung von Datensätzen, bestehen. Hiervon ist nicht nur der Datenumgang mittels Datenverarbeitungsanlagen betroffen, sondern auch die traditionelle, z.B. manuelle Datenverarbeitung, sofern diese in einem vorausgegangenen oder späteren Schritt einem automatisierten Verfahren unterzogen wird (näher dazu Komm. zu § 3 BDSG Rz. 24). Im Zuge des Gesetzgebungsverfahrens zum Erlass der DSGVO ist häufig darauf verwiesen worden, dass das europäische Datenschutzrecht auf einer überalterten Richtlinie aus dem Jahre 1995 beruhe und den aktuellen Gegebenheiten nicht mehr hinreichend gerecht werde. Dies ist in Teilen sicher richtig, z.B. soweit es darum geht, die Tätigkeit multinationaler Konzerne dem europäischen Datenschutzregime zu unterwerfen. Andererseits zeichnet sich das auf der EG-Datenschutzrichtlinie beruhende BDSG durch eine Reihe generalklauselartiger Bestimmungen aus, die es grundsätzlich ermöglichen, deren Auslegung dem technischen Fortschritt und damit den aktuellen Gegebenheiten anzupassen. Unter der DSGVO sind die Ziele und Zwecke der Verordnung in Art. 1 DSGVO festgehalten.

2. Begriffserklärung: Umgang 11 Die Eingangsnorm des Abs. 1 stellt auf den „Umgang“ mit personenbezogenen

Daten ab. Dieser – sprachlich eher unglücklich gewählte – Begriff des „Umgangs“ wird nur an dieser Stelle des Gesetzes verwendet. Er stellt einen allumfassenden Oberbegriff dar, unter den alle sieben Phasen, also des Erhebens (§ 3 Abs. 3), Verarbeitens (speichern, verändern, übermitteln, sperren, löschen, § 3 Abs. 4) und des Nutzens (§ 3 Abs. 5)3 von personenbezogenen Daten fallen. Darüber hinaus umfasst der Begriff auch das Ergreifen der technischen und organisatorischen Maßnahmen i.S.d. § 94, die Handlungen zur Erfüllung der in § 6 genannten Rechte der Betroffenen5, und sogar auch die Vermeidung der Ver1 Taeger/Gabel/Schmidt legt diesen Umstand als „Ausdruck des Widerstands des Gesetzgebers gegen die Anerkennung des Rechts auf informationelle Selbstbestimmung“ aus, § 1 BDSG Rz. 8; ebenso Simitis/Simitis, § 1 BDSG Rz. 25. 2 Taeger/Gabel/Schmidt, § 1 BDSG Rz. 8; vgl. zu den Grundsätzen Bergmann/Möhrle/ Herb, § 1 BDSG Rz. 8. 3 Gola/Schomerus, § 1 BDSG Rz. 22; Taeger/Gabel/Schmidt, § 1 BDSG Rz. 7. 4 Simitis/Simitis, § 1 BDSG Rz. 134; Taeger/Gabel/Schmidt, § 1 BDSG Rz. 7. 5 Simitis/Simitis, § 1 BDSG Rz. 134; Taeger/Gabel/Schmidt, § 1 BDSG Rz. 7.

6

|

Plath

Zweck und Anwendungsbereich des Gesetzes | § 1 BDSG

wendung personenbezogener Daten1. Für die Vertragspraxis bedeutet das, dass stets der leider sehr sperrige Begriff des „Umgangs“ verwendet werden könnte, wann immer sämtliche Phasen des Umgangs mit personenbezogenen Daten erfasst werden sollen. Der häufig verwendete Begriff der „Datenverarbeitung“ (vgl. auch § 11) greift hier streng genommen zu kurz. Im Geltungsbereich der DSGVO kann zukünftig schlicht auf den allumfassenden Oberbegriff der „Verarbeitung“ verwiesen werden (vgl. Art. 4 Nr. 2 DSGVO). Das BDSG schützt in seinem Anwendungsbereich jede Form des Umgangs mit 12 Daten, unabhängig davon, wie intensiv er erfolgt und ob er missbräuchlich ist2. Jede Verwendung personenbezogener Daten, und sei sie auch noch so marginal, ist zunächst einmal grundsätzlich verboten, es sei denn, dass gemäß § 4 das BDSG oder ein anderes Gesetz die Datenerhebung, -verarbeitung oder -nutzung erlaubt oder der Betroffene eingewilligt hat. Damit normiert das BDSG ein Verbot mit Erlaubnisvorbehalt. Dieses Konzept wird auch unter der DSGVO weiter fortgelten (vgl. Art. 6 Abs. 1 DSGVO). 3. Das BDSG als Schutzgesetz Das BDSG ist vor allem ein Schutzgesetz mit dem Ziel, eine Beeinträchtigung 13 des Persönlichkeitsrechts des Betroffenen präventiv zu verhindern3. Ein Verstoß kann damit (neben den Ansprüchen aus §§ 7 und 8) insbesondere zu einem Schadensersatzanspruch gemäß § 823 Abs. 2 BGB i.V.m. der verletzen Norm führen4. Das BDSG ist darüber hinaus auch ein arbeitsrechtliches Schutzgesetz, soweit 14 ein Umgang mit Personaldaten erfolgt. Dies begründet das Recht, aber auch die Pflicht des Betriebs-5 und Personalrats6, den Datenumgang zu kontrollieren7. Neben der Überwachung der Einhaltung des materiell-rechtlichen Gehalts der Vorschriften umfasst diese Kontrollaufgabe auch die Überprüfung der verfahrensrechtlichen Maßnahmen, insbesondere der Einsetzung des betrieblichen Datenschutzbeauftragten und der korrekten Durchführung seiner Aufgaben, §§ 4f, 4g, sowie der Einhaltung der technischen und organisatorischen Maßnahmen gemäß § 98. 1 2 3 4 5 6 7

Däubler/Klebe/Wedde/Weichert/Weichert, § 1 BDSG Rz. 7. Simitis/Simitis, § 1 BDSG Rz. 81 ff. Simitis/Simitis, § 1 BDSG Rz. 79. Taeger/Gabel/Schmidt, § 1 BDSG Rz. 11; Huppertz/Ohrmann, CR 2011, 449 (450). § 68 Abs. 1 Nr. 2 BPersVG. § 80 Abs. 1 Nr. 1 BetrVG. Gola/Schomerus, § 1 BDSG Rz. 5; Däubler/Klebe/Wedde/Weichert/Weichert, § 1 BDSG Rz. 6. 8 Däubler/Klebe/Wedde/Weichert/Weichert, § 1 BDSG Rz. 6; Gola/Schomerus, § 1 BDSG Rz. 5; Taeger/Gabel/Schmidt, § 1 BDSG Rz. 12.

Plath

|

7

§ 1 BDSG | Allgemeine und gemeinsame Bestimmungen 4. Verhältnis des BDSG zum UWG 15 Umstritten ist, ob dem BDSG generell auch eine verbraucher- oder wett-

bewerbsschützende Funktion zukommt. Wäre dies der Fall, so könnten Verstöße gegen das BDSG nicht nur durch die Betroffenen selbst sowie durch die Behörden, sondern auch durch Wettbewerber verfolgt werden, und zwar nach dem UWG. Ein Wettbewerbsverstoß nach dem UWG setzt voraus, dass die geschäftliche Handlung unlauter i.S.d. § 1 UWG ist. Ob dies der Fall ist, richtet sich nach den Voraussetzungen des § 3 UWG. Insbesondere wird im Falle des Verstoßes gegen das BDSG die Anwendbarkeit des § 3a UWG („Rechtsbruch“) erwogen. Danach sind solche geschäftlichen Handlungen unlauter, durch die einer Vorschrift zuwidergehandelt wird, die im Interesse der Marktteilnehmer das Marktverhalten regelt. Teilweise wird das BDSG insgesamt als eine solche Vorschrift angesehen1. Dagegen spricht jedoch, dass dem BDSG eine marktregelnde Funktion nicht per se zugesprochen werden kann2. Das primäre Ziel des BDSG ist der Schutz der Privatsphäre des Einzelnen und seines Rechts auf informationelle Selbstbestimmung, und zwar unabhängig davon, ob er Verbraucher ist3. Ein allgemeiner Marktverhaltensbezug des BDSG besteht damit nach der hier vertretenen Ansicht nicht.

16 Die wohl herrschende Meinung vertritt zu Recht die Auffassung, dass die je-

weils konkret infrage stehenden Normen im Einzelfall auf ihre marktverhaltensregelnde Funktion hin untersucht werden müssen4. So kann ein Datenumgang, der zu kommerziellen, insbesondere zu Werbezwecken erfolgt, als marktrelevant anzusehen sein, so dass bei einem Verstoß § 3a UWG anwendbar wäre5. Diskutiert wird dies insbesondere zu §§ 46, 28 (v.a. Abs. 4)7

1 So im Ergebnis Däubler/Klebe/Wedde/Weichert/Weichert, § 1 BDSG Rz. 4; Weichert, DuD 2001, 264; offen Gola/Schomerus, § 1 BDSG Rz. 4. 2 So auch OLG München v. 12.1.2012, CR 2012, 269; Taeger/Gabel/Schmidt, § 1 BDSG Rz. 14; MüKo/Schaffert, § 4 Nr. 11 UWG Rz. 71; Köhler/Bornkamm/Köhler, § 3a UWG Rz. 1.74; Piper/Ohly/Sosnitza/Ohly, § 4.11 UWG Rz. 11/79; Harte-Bavendamm/Henning-Bodewig/v. Jagow, § 4 UWG Rz. 34; Gärtner/Heil, WRP 2005, 20 (22 f.); Kamlah/ Hoke, RDV 2008, 226 (229); a.A. Ernst, WRP 2004, 1133 (1137). 3 OLG Frankfurt a.M. v. 30.6.2005 – 6 U 168/04, GRUR 2005, 785 (786). 4 Statt Vieler Taeger/Gabel/Schmidt, § 1 BDSG Rz. 14 m.w.N. 5 Taeger/Gabel/Schmidt, § 1 BDSG Rz. 15 m.w.N.; Köhler/Bornkamm/Köhler, § 3a UWG Rz. 1.74; MüKo/Schaffert, § 4 Nr. 11 UWG Rz. 71; Huppertz/Ohrmann, CR 2011, 449 (451); Piper/Ohly/Sosnitza/Ohly, § 4.11 UWG Rz. 11/79; a.A. Gärtner/Heil, WRP 2005, 20 (22); ausführlich zur diesbezüglichen Rechtsprechung Kamlah/Hoke, RDV 2006, 226 (229 f.). 6 OLG Frankfurt a.M. v. 30.6.2005 – 6 U 168/04, GRUR 2005, 785; OLG Köln, CR 2001, 454; LG Berlin, VuR 2002, 413; Weichert, VuR 2006, 377. 7 OLG Düsseldorf v. 20.2.2004 – I-7 U 149/03, ZUM-RD 2004, 236; OLG Köln v. 10.11. 2000 – 6 U 105/00, CR 2001, 454, OLG Naumburg v. 10.10.2003 – 1 U 17/03, NJW 2003, 3566; OLG Stuttgart v. 22.2.2007 – 2 U 132/06, GRUR-RR 2007, 330; Harte-Bavendamm/

8

|

Plath

Zweck und Anwendungsbereich des Gesetzes | § 1 BDSG

und 291 BDSG2. In Ansehung der Neufassung des Unterlassungsklagengesetzes (UKlaG) (s. Rz. 17) ist zu erwarten, dass für die dort in § 2 Abs. 2 Nr. 11 UKlaG explizit genannten Bereiche von einer Marktrelevanz auszugehen sein wird. Mit Wirkung vom 24.2.2016 ist eine Verbandsklagenbefugnis in das UKlaG 17 aufgenommen worden. Den anspruchsberechtigten Stellen nach § 3 Abs. 1 Satz 1 UKlaG ist es unter bestimmten Voraussetzungen ermöglicht, im Interesse des Verbraucherschutzes gegen eine unzulässige Erhebung, Verarbeitung und Nutzung von Verbraucherdaten durch Unternehmer vorzugehen. Zu den anspruchsberechtigten Stellen gehören die qualifizierten Einrichtungen nach § 3 Abs. 1 Satz 1 Nr. 1 UKlaG. Dies sind alle Verbraucherverbände, die in die beim Bundesamt für Justiz geführte Liste der qualifizierten Einrichtungen nach § 4 UKlaG eingetragen sind. Anspruchsberechtigte Stellen sind darüber hinaus die Wirtschaftsverbände, die die Voraussetzungen des § 3 Abs. 1 Satz 1 Nr. 2 UKlaG erfüllen, sowie nach § 3 Abs. 1 Satz 1 Nr. 3 UKlaG die Industrie- und Handelskammern und die Handwerkskammern. Zur Etablierung der Verbandsklagebefugnis sind alle datenschutzrechtlichen Vorschriften, die für Unternehmer gelten, wenn sie Daten von Verbrauchern zu Zwecken der Werbung, der Marktund Meinungsforschung, des Betreibens von Auskunfteien, des Erstellens von Persönlichkeits- und Nutzungsprofilen, des Adresshandels, des sonstigen Datenhandels oder zu vergleichbaren kommerziellen Zwecken erheben, verarbeiten oder nutzen, in den Katalog der Verbraucherschutzgesetze nach § 2 Abs. 2 UKlaG aufgenommen worden und zwar durch das Anfügen einer neuen Nr. 11. Bei einem Verstoß eines Unternehmers gegen diese Vorschriften stehen den anspruchsberechtigten Stellen die Unterlassungsansprüche nach § 2 Abs. 1 UKlaG zu. Um den Sachverstand der Datenschutzbehörden zu nutzen, wurde in gerichtlichen Verfahren nach dem UKlaG ein Anhörungsrecht für die Datenschutzbehörden vorgesehen. 5. Das BDSG als Eingriffs- und Auffanggesetz Über seine Funktion als Schutzgesetz hinaus fungiert das BDSG auch als Ein- 18 griffsgesetz. Jeder staatliche Eingriff in grundrechtlich geschützte RechtspositioHenning-Bodewig/v. Jagow, § 4 UWG Rz. 45; MüKo/Schaffert, § 4 UWG Rz. 71; Köhler/ Bornkamm/Köhler, § 3a UWG Rz. 1.74; Frhr. v. Gamm, GRUR 1996, 574; s.a. Komm. zu § 28 BDSG Rz. 102. 1 OLG Frankfurt a.M. v. 29.10.1996 – 11 U Kart 44/95, NJWE-WettbR 1997, 29; OLG Köln v. 10.11.2000 – 6 U 105/00, CR 2001, 454; Weichert, VuR 2006, 377 (378). 2 Zuletzt die marktverhaltensregelnde Funktion befürwortend OLG Köln v. 17.1.2014 – 6 U 167/13, NJW 2014, 1820; OLG Karlsruhe v. 9.5.2012 – 6 U 38/11, NJW 2012, 3312, KG v. 24.1.2014 – 5 U 42/12, ZD 2014, 412; hinsichtlich § 13 TMG OLG Hamburg v. 27.6.2013 – 3 U 26/12, CR 2013, 596; dagegen OLG München v. 12.1.2012 – 29 U 3926/11, MMR 2012, 317; OLG Dresden v. 26.3.2013 – 14 U 1776/12; hinsichtlich § 13 TMG KG v. 29.4.2011 – 5 W 88/11, ZUM 2011, 1264.

Plath

|

9

§ 1 BDSG | Allgemeine und gemeinsame Bestimmungen nen erfordert eine gesetzliche Legitimation1. Doch auch im Verhältnis zwischen Privatpersonen müssen aufgrund ihrer mittelbaren Drittwirkung die Grundrechte beachtet werden, so dass das BDSG auch im nicht-öffentlichen Bereich Regeln statuiert, innerhalb derer der Umgang mit Daten zulässig ist. Die im BDSG vielfach vorgesehenen Interessenabwägungen bilden dabei das Einfallstor für die erforderliche Berücksichtigung der grundrechtlich geschützten Positionen der Parteien. 19 Schließlich ist das BDSG auch ein Auffanggesetz; es gilt subsidiär zu den Lan-

desdatenschutzgesetzen und zu spezialgesetzlichen Regelungen, vgl. Abs. 3 (vgl. Rz. 35).

III. Geltungsbereich (Abs. 2) 20 Abs. 2 regelt den sachlichen Anwendungsbereich des BDSG sowie die Norm-

adressaten. Bezüglich der dort verwendeten Begriffe „Erhebung, Verarbeitung und Nutzung personenbezogener Daten“ wird auf die Kommentierung zu §§ 3 Abs. 1, 3 verwiesen. Trotz des beschränkenden Wortlauts bezieht sich Abs. 2 jedoch auf jede Form des Datenumgangs2. Unter der DSGVO ergibt sich der sachliche Anwendungsbereich aus Art. 2 DSGVO und der territoriale Anwendungsbereich aus Art. 3 DSGVO. 1. Öffentliche Stellen des Bundes (Abs. 2 Nr. 1)

21 Das Gesetz richtet sich zunächst an die öffentlichen Stellen des Bundes. Diese

werden in § 2 Abs. 1 legal definiert (vgl. Komm. zu § 2 BDSG Rz. 5). Darunter fallen alle Behörden, die Organe der Rechtspflege und andere öffentlich-rechtlich organisierten Einrichtungen des Bundes, der bundesunmittelbaren Körperschaften, Anstalten und Stiftungen des öffentlichen Rechts sowie deren Vereinigungen ungeachtet ihrer Rechtsform.

22 Die Regeln für die Datenverarbeitung durch öffentliche Stellen befinden sich im

2. Abschnitt des BDSG, §§ 12–26. Der Schutz des BDSG ist hier mit Blick auf die Notwendigkeit eines Dateibezugs umfassend und ausnahmslos3. Er greift also bei allen Phasen der Datenverwendung unabhängig davon, ob sie automatisiert erfolgt oder nicht4. Geschützt wird damit insbesondere auch die Verarbeitung von personenbezogenen Daten in physischen Akten5. Das BDSG geht diesbezüglich weiter als die Vorgaben der EG-Datenschutzrichtlinie (zur vollharmonisierenden Wirkung der EG-Datenschutzrichtlinie s. Rz. 5)6.

1 2 3 4 5 6

Däubler/Klebe/Wedde/Weichert/Weichert, § 1 BDSG Rz. 5. Simitis/Dammann, § 1 BDSG Rz. 134. Taeger/Gabel/Schmidt, § 1 BDSG Rz. 23. Bergmann/Möhrle/Herb, § 1 BDSG Rz. 10. Taeger/Gabel/Schmidt, § 1 BDSG Rz. 22; Bergmann/Möhrle/Herb, § 1 BDSG Rz. 10. Taeger/Gabel/Schmidt, § 1 BDSG Rz. 22; Bergmann/Möhrle/Herb, § 1 BDSG Rz. 10.

10

|

Plath

Zweck und Anwendungsbereich des Gesetzes | § 1 BDSG

2. Öffentliche Stellen der Länder (Abs. 2 Nr. 2) Das BDSG definiert in § 2 Abs. 2, 3 Satz 2, welche Stellen öffentliche Stellen der 23 Länder sind. Der Begriff der öffentlichen Stelle muss auf Bundes- und Landesebene gleich ausgelegt werden1. Die Geltung des BDSG für öffentliche Stellen der Länder ist subsidiär also nur 24 für den Fall, dass der Datenschutz nicht durch Landesgesetz geregelt ist. Inzwischen ist dies in allen Bundesländern der Fall. Der Vorrang der Landesdatenschutzgesetze gilt jedoch nur in dem Ausmaß, in dem ihr Schutzbereich reicht („soweit“). Fehlt eine landesrechtliche Regelung oder ist eine Landesnorm nicht anwendbar, greift der Schutz des BDSG2. Gleiches gilt, wenn der Schutzbereich des Landesgesetzes enger gefasst ist als der Schutzbereich des BDSG3. In diesem Fall gilt das BDSG in dem von den landesrechtlichen Regelungen nicht erfassten Umfang. Die Subsidiaritätsregelung des Abs. 2 Nr. 2 gilt nur in Bezug auf das BDSG. 25 Ansonsten – z.B. mit Blick auf bereichsspezifische Datenschutzregelungen – bleibt es beim Grundsatz „Bundesrecht bricht Landesrecht“4. Darüber hinaus ist das BDSG nur dann subsidiär anwendbar, wenn und soweit die Voraussetzungen der jeweiligen Norm erfüllt sind. Damit finden Normen, die sich speziell an öffentliche Stellen des Bundes richten (z.B. §§ 18, 21–26, 42), auf öffentliche Stellen der Länder weder direkt noch entsprechend Anwendung5. 3. Nicht-öffentliche Stellen (Abs. 2 Nr. 3) Schließlich ist das BDSG, insbesondere der 3. Abschnitt (§§ 27 ff.), auch auf den 26 Datenumgang durch nicht-öffentliche Stellen anwendbar. Dieser Begriff ist in § 2 Abs. 4 legaldefiniert und umfasst alle natürlichen und juristischen Personen, Gesellschaften und andere Personenvereinigungen des Privatrechts. Dagegen gelten die Landesdatenschutzgesetze nicht für nicht-öffentliche Stellen6. Nach dem Wortlaut des Abs. 2 greift das BDSG – anders als bei öffentlichen 27 Stellen – bei nicht-öffentlichen Stellen jedoch nur für automatisierte Verarbeitungen unter Einsatz von „Datenverarbeitungsanlagen“ sowie bei dateigebundener Datenverarbeitung. Abweichend davon ist im Anwendungsbereich des § 32, also im Bereich des Beschäftigtendatenschutzes, keine automatisierte Verarbeitung bzw. kein Dateibezug erforderlich (vgl. § 32 Abs. 2). Dies macht die Frage, wann der vorrangige Anwendungsbereich des § 32 eröffnet ist, für die 1 2 3 4 5 6

Gola/Schomerus, § 1 BDSG Rz. 19a. Taeger/Gabel/Schmidt, § 1 BDSG Rz. 24; Simitis/Dammann, § 1 BDSG Rz. 125. Simitis/Dammann, § 1 BDSG Rz. 126. Simitis/Dammann, § 1 BDSG Rz. 127. Simitis/Dammann, § 1 BDSG Rz. 128. Däubler/Klebe/Wedde/Weichert/Weichert, § 1 Rz. 9.

Plath

|

11

§ 1 BDSG | Allgemeine und gemeinsame Bestimmungen Praxis besonders bedeutsam, z.B. wenn es um die Frage geht, ob handschriftliche Notizen dem BDSG unterfallen. Unter dem Begriff der „Datenverarbeitungsanlage“ ist jede Vorrichtung zu verstehen, die in einem automatisierten Prozess Daten verwendet. Insbesondere fallen darunter jegliche Arten von Computern1. Die automatisierte Datenverarbeitung nach der ersten Tatbestandsvariante dieser Norm setzt dabei in Umsetzung der EG-Datenschutzrichtlinie keinen elektronischen Dateibezug mehr voraus. Maßgeblich ist lediglich, dass dem Datenumgang der Einsatz einer Datenverarbeitungsanlage zugrunde liegt bzw. dieser im Hinblick auf eine automatisierte Datenverarbeitung erfolgt. Damit wird bspw. auch eine manuelle Datenerhebung vom BDSG erfasst, wenn die spätere Verarbeitung mithilfe einer Datenverarbeitungsanlage erfolgen soll. Ausschlaggebend ist also bereits die Intention eines Umgangs mithilfe von Datenverarbeitungsanlagen2. 28 Erfolgt der Datenumgang dagegen nicht automatisiert, so greift das BDSG – aus-

genommen im Anwendungsbereich des § 32 – nur dann, wenn zumindest ein mittelbarer Dateibezug besteht3. In § 3 Abs. 2 Satz 2 wird der Begriff der Datei als „jede nicht automatisierte Sammlung personenbezogener Daten, die gleichartig aufgebaut ist und nach bestimmten Merkmalen zugänglich ist und ausgewertet werden kann“ legaldefiniert (ausführlich hierzu Komm. zu § 3 BDSG Rz. 25). Der Dateibezug muss zu eigenen Dateien der verantwortlichen Stelle bestehen. Dateien Dritter werden grundsätzlich nicht zugerechnet. Eine Ausnahme hierzu wird jedoch in § 27 Abs. 2 hineingelesen. Danach findet das BDSG auch Anwendung auf die Verarbeitung von Daten, die offensichtlich einer automatisierten Verarbeitung entnommen worden sind und dabei keinen Dateibezug aufweisen, unabhängig davon, ob die Verarbeitung durch Dritte oder durch die verantwortliche Stelle selbst erfolgte4.

29 Auf die Verarbeitung von Daten aus physischen Aktenordnern und sonstigen

Dokumenten in Papierform, die nicht Dateien i.S.d. § 3 Abs. 2 sind, findet das BDSG damit grundsätzlich keine Anwendung. Eine Ausnahme gilt nur dann, wenn die Daten in den Akten offensichtlich aus einer automatisierten Verarbeitung entstammen, vgl. § 27 Abs. 25, sowie im Anwendungsbereich des § 32.

4. Persönliche und familiäre Tätigkeiten 30 Ausgenommen vom Geltungsbereich des BDSG sind nach Abs. 2 Nr. 3 Halbs. 2

persönliche und familiäre Tätigkeiten. Dabei kommt es maßgeblich darauf an, dass die Datenverwendung ausschließlich zu einem persönlichen oder familiären

1 2 3 4 5

Vgl. auch Simitis/Dammann, § 1 BDSG Rz. 140. So auch Simitis/Dammann, § 1 BDSG Rz. 141; Schaffland/Wiltfang, § 1 BDSG Rz. 11a. Simitis/Dammann, § 1 BDSG Rz. 143, 144 spricht von einem „logischen“ Dateibezug. Vgl. Gola/Schomerus, § 27 BDSG Rz. 15 f.; so auch Simitis/Dammann, § 1 BDSG Rz. 145. Gola/Schomerus, § 1 BDSG Rz. 20.

12

|

Plath

Zweck und Anwendungsbereich des Gesetzes | § 1 BDSG

Zweck erfolgt; auf ihren Umfang kommt es also nicht an1. Damit sind z.B. auch Rundmails an eine Vielzahl von Empfängern so lange nicht vom BDSG erfasst, wie der Inhalt rein persönlicher oder familiärer Natur ist. Erfolgt jedoch die Datenverarbeitung jedenfalls zum Teil zu Zwecken, die nicht persönlich oder familiär sind, so findet das BDSG auf den gesamten Vorgang Anwendung2. Was familiär oder persönlich ist, richtet sich grundsätzlich nach der Verkehrs- 31 anschauung; der Zweck muss objektiv als familiär oder persönlich erkennbar sein3. Davon erfasst sind jedenfalls alle Tätigkeiten im Rahmen der Freizeit und der Familie. Dies betrifft z.B. private Korrespondenz, Tagebücher, Notizbücher, Adressverzeichnisse, Fotos, Videos und Geburtstagslisten, und zwar unabhängig davon, wie und wo sie gehalten oder abgelegt werden4. Dem steht auch nicht entgegen, dass diese Daten von Mehreren genutzt werden, solange diese Personen zum persönlichen oder familiären Kreis gehören5. Nicht mehr umfasst sind bspw. Aufzeichnungen von einer an einem Einfamilienhaus befestigten Videokamera, die nicht nur das Privatgrundstück, sondern auch zum Teil den öffentlichen Raum mit überwacht6. Als persönlich i.S. der Vorschrift ist zudem auch die Verwaltung eigenen Vermögens zu sehen, inklusive diesbezüglicher Kontaktdaten oder Verzeichnisse, wenn die Vermögensverwaltung nicht gewerblich betrieben wird7. Unerheblich ist, ob eine persönliche Beziehung des Verwenders zu der betroffenen Person besteht. So findet das BDSG z.B. auch auf Datensammlungen über Personen im Rahmen einer Fan-Liebhaberei keine Anwendung, soweit der Umgang mit diesen Daten persönlicher Natur bleibt8. Eine Datenverwendung zu kommerziellen oder gewerblichen Zwecken ist hin- 32 gegen nicht persönlicher oder familiärer Natur. Damit fallen auch Tätigkeiten i.R.v. freien Berufen unter das BDSG, und zwar auch dann, wenn diese in privaten Räumen erfolgen9. Gleiches gilt für Tätigkeiten, die zur Vorbereitung eines gewerblichen Zwecks erfolgen, z.B. der Marktforschung oder Werbung10. Gleiches gilt für Daten über Bewerbungen, Aus- und Fortbildungen sowie Ver1 Simitis/Dammann, § 1 BDSG Rz. 150; Bergmann/Möhrle/Herb, § 1 BDSG Rz. 19. 2 So auch Bergmann/Möhrle/Herb, § 1 BDSG Rz. 21; Taeger/Gabel/Schmidt, § 1 BDSG Rz. 29; zu der Frage, ob das BDSG auf die Datenverwendung anwendbar ist, die bei der dienstlichen Verwendung privater IT erfolgt, Conrad/Schneider, ZD 2011, 153 (154). 3 Taeger/Gabel/Schmidt, § 1 BDSG Rz. 31; Simitis/Dammann spricht sich für eine restriktive Auslegung aus, § 1 BDSG Rz. 148. 4 Bergmann/Möhrle/Herb, § 1 BDSG Rz. 21. 5 Taeger/Gabel/Schmidt, § 1 BDSG Rz. 31; Simitis/Dammann, § 1 BDSG Rz. 151; Bergmann/Möhrle/Herb, § 1 BDSG Rz. 2. 6 Vgl. EuGH v. 11.12.2014 – C-212/13, NJW 2015, 463. 7 Bergmann/Möhrle/Herb, § 1 BDSG Rz. 21; Simitis/Dammann, § 1 BDSG Rz. 151; Taeger/Gabel/Schmidt, § 1 BDSG Rz. 31. 8 Simitis/Dammann, § 1 BDSG Rz. 152. 9 Simitis/Dammann, § 1 BDSG Rz. 151. 10 Simitis/Dammann, § 1 BDSG Rz. 151.

Plath

|

13

§ 1 BDSG | Allgemeine und gemeinsame Bestimmungen gütungen. Zu beachten ist hier jedoch, dass diese aufseiten des Arbeitgebers gewerblich, aufseiten des Bewerbers/Arbeitnehmers hingegen persönlich sind1. Auch kommt es konkret darauf an, welche Stelle die in Rede stehenden Daten verwendet. So mag die private E-Mail des Beschäftigten eines Unternehmens für diesen in den Bereich der persönlichen bzw. familiären Sphäre fallen. Wenn jedoch die Frage im Raum steht, ob das Unternehmen z.B. im Rahmen einer Compliance-Untersuchung auf diese E-Mail zugreifen kann, richtet sich dieser Zugriff nach den Regelungen des BDSG, denn für das Unternehmen geht es fraglos nicht um eine Tätigkeit persönlicher oder familiärer Natur. 33 Schließlich fallen i.d.R. auch solche Tätigkeiten, die nicht mehr ausschließlich

dem persönlich-familiären Bereich zuzuordnen sind, aber auch noch nicht als gewerblich oder kommerziell anzusehen sind, in den Anwendungsbereich des BDSG. Dies betrifft vor allem Tätigkeiten innerhalb von Vereinen oder Kirchengemeinden, unabhängig davon, ob sie kommerzieller Natur sind2. Ebenso gilt dies z.B. für die Nutzung persönlicher Adresssammlungen zu kommerziellen Zwecken, z.B. für Werbeaktionen, und zwar unabhängig vom Werbezweck und damit auch im Falle der Werbung zu nicht-gewerblichen Zwecken. Darüber hinaus fallen auch Datensammlungen, die zu einem späteren Zeitpunkt zur Veröffentlichung vorgesehen sind, z.B. zur Erstellung von (Auto)Biographien, in den Anwendungsbereich des BDSG3. Auch private Web-Seiten können in den Anwendungsbereich des BDSG fallen, wenn sie der Verbreitung von Informationen dienen und der Allgemeinheit frei zugänglich sind, unabhängig vom intendierten Adressatenkreis4. Bei der Verwendung personenbezogener Daten im Rahmen von Social-Media-Netzwerken – zum Vorrang des TMG s. Komm. zu § 11 TMG Rz. 2 ff. – kommt es auf den konkreten Zweck der Nutzung an. Werden die Daten, z.B. private Fotos, lediglich Freunden und Bekannten gegenüber freigegeben, so liegt jedenfalls im Verhältnis zwischen dem Inhaber des Accounts und dessen „Freunden“ eine private Nutzung vor, die sich dann außerhalb des BDSG bewegt. Werden die Daten hingegen verfügbar gemacht, um eigene Angebote des Account-Inhabers zu bewerben, so unterliegt die entsprechende Verwendung der Daten, z.B. der Namen oder Fotos Dritter, den Regelungen der BDSG.

34 Bei juristischen Personen ist keine persönliche oder familiäre Tätigkeit denk-

bar. Eine entsprechende Anwendung des Abs. 3 Nr. 3 Halbs. 2 auf Teile eines Konzerns, z.B. auf „Konzerntöchter“, ist mit dem BDSG nicht vereinbar5.

1 Simitis/Dammann, § 1 BDSG Rz. 151. 2 Schaffland/Wiltfang, § 1 BDSG Rz. 22; Bergmann/Möhrle/Herb, § 1 BDSG Rz. 17; Taeger/Gabel/Schmidt, § 1 BDSG Rz. 28; Simitis/Dammann, § 1 BDSG Rz. 151. 3 So wohl auch Simitis/Dammann, § 1 BDSG Rz. 152. 4 Simitis/Dammann, § 1 BDSG Rz. 151. 5 Simitis/Dammann, § 1 BDSG Rz. 153; Bergmann/Möhrle/Herb, § 1 BDSG Rz. 15; Taeger/Gabel/Schmidt, § 1 BDSG Rz. 29.

14

|

Plath

Zweck und Anwendungsbereich des Gesetzes | § 1 BDSG

IV. Subsidiarität des BDSG (Abs. 3) 1. Vorrang der Rechtsvorschriften des Bundes (Satz 1) Nach Abs. 3 ist das BDSG gegenüber allen Rechtsvorschriften des Bundes sub- 35 sidiär, die den Umgang mit personenbezogenen Daten regeln. Rechtsvorschriften sind sowohl formelle als auch materielle Gesetze, so dass auch Verordnungen und Satzungen der bundesunmittelbaren Körperschaften, Anstalten und Stiftungen vorrangig sind1. Verwaltungsvorschriften und Erlasse sind mangels unmittelbarer Außenwirkung keine Rechtsvorschriften i.S.d. § 1 Abs. 32. Ebenso wenig sind Tarifverträge und Betriebsvereinbarungen gegenüber dem BDSG vorrangig. Zwar ordnen Bundesgesetze die zwingende Wirkung des materiellen Teils von Tarifverträgen und Betriebsvereinbarungen an, doch werden sie dadurch nicht selbst Rechtsvorschriften des Bundes3. Sie stellen jedoch Erlaubnisnormen i.S.d. § 4 Abs. 1 dar4. Die Subsidiaritätsklausel greift unabhängig davon, welche Rechtsvorschrift älter5 36 oder strenger ist6. Voraussetzung ist jedoch, dass der Anwendungsbereich beider Normen deckungsgleich ist, und dass die bereichsspezifische Vorschrift eindeutig Belange des Datenschutzrechts regelt7. Der Vorrang der bereichsspezifischen Norm greift somit nur dann, wenn diese genau den infrage stehenden Tatbestand regelt. Trifft das Spezialgesetz eigene Abgrenzungsregelungen, so gehen diese dem Abs. 3 Satz 1 vor8. Zu beachten ist dabei, dass die voll harmonisierende Wirkung der EG-Datenschutzrichtlinie (s. dazu Rz. 5) nicht allein das BDSG betrifft, sondern als vorrangige europarechtliche Regelung sämtliche Gesetze im Anwendungsbereich der Richtlinie. Dies hat zur Konsequenz, dass bei der Prüfung des Vorrangs einer datenschutzrechtlichen Spezialregelung stets auch zu prüfen ist, ob diese mit den Vorgaben der EG-Datenschutzrichtlinie im Einklang steht. Tatbestände, die nicht vom bereichsspezifischen Gesetz erfasst werden, fallen in den Anwendungsbereich des BDSG, das damit ein Auffanggesetz ist9. 1 Simitis/Dix, § 1 BDSG Rz. 164 f.; Gola/Schomerus, § 1 BDSG Rz. 23; Däubler/Klebe/ Wedde/Weichert/Weichert, § 1 BDSG Rz. 12. 2 Simitis/Dix, § 1 BDSG Rz. 168; Taeger/Gabel/Schmidt, § 1 BDSG Rz. 33. 3 Ebenso Gola/Schomerus, § 1 BDSG Rz. 23; Simitis/Dix, § 1 BDSG Rz. 166; Taeger/Gabel/ Schmidt, § 1 BDSG Rz. 33; a.A. dagegen Schaffland/Wiltfang, § 1 BDSG Rz. 38, 44. 4 Gola/Schomerus, § 1 BDSG Rz. 23; Taeger/Gabel/Schmidt, § 1 BDSG Rz. 33; Däubler/ Klebe/Wedde/Weichert/Weichert, § 1 BDSG Rz. 12; Simitis/Dix, § 1 BDSG Rz. 166. 5 Simitis/Dix, § 1 BDSG Rz. 169. 6 Taeger/Gabel/Schmidt, § 1 BDSG Rz. 34; Gola/Schomerus, § 1 BDSG Rz. 24; a.A. Simitis/ Dix, § 1 BDSG Rz. 172. 7 Vgl. Wagner, BRAK-Mitt. 1/2011, 3. 8 So z.B. § 90 TKG und § 95 Abs. 1 TKG, vgl. Taeger/Gabel/Schmidt, § 1 BDSG Rz. 36 m.w.N. 9 Simitis/Dix, § 1 BDSG Rz. 170; Däubler/Klebe/Wedde/Weichert/Weichert, § 1 BDSG Rz. 13.

Plath

|

15

§ 1 BDSG | Allgemeine und gemeinsame Bestimmungen 37 Generell tendiert der Gesetzgeber zur Schaffung bereichsspezifischen Regelungen, so dass das BDSG inzwischen hinter einer Vielzahl von Spezialgesetzen zurücktritt1. So sind bspw. das Allgemeine Gleichbehandlungsgesetz (AGG), das Betriebsverfassungsgesetz (BetrVG)2, das Handelsgesetzbuch (HGB), die Grundbuchordnung (GBO), das Kreislaufwirtschafts- und Abfallgesetz (KrW-/AbfG), das Kreditwesengesetz (KWG), das Signaturgesetz (SigG), die Sozialgesetze (SGB I–X), das Stasiunterlagengesetz (StUG), das Personalausweisgesetz (PAuswG)3, das Telemediengesetz (TMG) und das Telekommunikationsgesetz (TKG) unter den Voraussetzungen des Abs. 3 Satz 1, wie zuvor dargestellt, vorrangig4. Dagegen genießen nach einer Entscheidung des KG die Vorschriften der BRAO zum anwaltlichen Mandatsgeheimnis mangels Deckungsgleichheit keinen Vorrang gemäß Abs. 3 Satz 15. Sie müssen jedoch nach Maßgabe des Abs. 3 Satz 2 unberührt bleiben (s. Rz. 41). Das BAG hat im Jahr 2015 den Anwendungsvorrang des KUG noch einmal unterstrichen und zwar konkret anhand einer Auseinandersetzung über die Veröffentlichung von Videoaufnahmen eines Arbeitnehmers durch seinen Arbeitgeber6. 38 Keine Aussage trifft die Subsidiaritätsklausel über das Verhältnis zum Landes-

recht. Gilt das BDSG nach den Voraussetzungen des Abs. 2 Nr. 2 mangels einschlägiger Landesgesetze, so ergibt sich ein Vorrang speziellerer Landesgesetze auch nicht aus Abs. 3. Dagegen gilt der Vorrang einer speziellen Rechtsvorschrift des Bundes i.S.d. Abs. 3 auch gegenüber den Landesdatenschutzgesetzen; insofern gilt der Grundsatz des Art. 31 GG, „Bundesrecht bricht Landesrecht“7. Die Landesdatenschutzgesetze enthalten meistens selbst eine mit Abs. 3 Satz 1 vergleichbare Vorrangregelung, so dass auch auf Landesebene der Vorrang des spezielleren Gesetzes vor dem subsidiären Datenschutzgesetz gilt8. Im Ergebnis ergibt sich dementsprechende folgendes Rangverhältnis einschlägiger Normen (von vor- zu nachrangig): – Spezielles Bundesrecht – Spezielles Landesrecht – LandesDSG – BDSG. 1 Schaffland/Wiltfang, § 1 BDSG Rz. 34; Bergmann/Möhrle/Herb, § 1 BDSG Rz. 8; Taeger/ Gabel/Schmidt, § 1 BDSG Rz. 36. 2 LAG Berlin-Brandenburg v. 4.3.2011 – 10 TaBV 1984/10. 3 VG Hannover v. 28.11.2013 – 10 A 5342/11, ZD 2014, 266 (267). 4 Vgl. Taeger/Gabel/Schmidt, § 1 BDSG Rz. 36, Schaffland/Wiltfang, § 1 BDSG Rz. 44 ff. sowie Bergmann/Möhrle/Herb, § 1 BDSG Rz. 25 m.w.N. 5 KG v. 20.8.2010 – 1Ws (B) 51/07 – 2 Ss 23/07, CR 2011, 187; ebenso Simitis/Dix, § 1 BDSG Rz. 171. 6 BAG v. 19.2.2015 – 8 AZR 1011/13, ZD 2015, 380; BAG v. 11.12.2014 – 8 AZR 1010/13, CR 2015, 453. 7 So auch Taeger/Gabel/Schmidt, § 1 BDSG Rz. 33; Bergmann/Möhrle/Herb, § 1 BDSG Rz. 27. 8 Vgl. Taeger/Gabel/Schmidt, § 1 BDSG Rz. 35.

16

|

Plath

Zweck und Anwendungsbereich des Gesetzes | § 1 BDSG

2. Geheimhaltungspflichten (Satz 2) Satz 2 bestimmt, dass Geheimhaltungspflichten vom BDSG unberührt bleiben. 39 Ein absoluter Vorrang der Geheimhaltungspflichten, der die verantwortliche Stelle von der Pflicht zur Beachtung des BDSG befreien würde, ergibt sich daraus aber gerade nicht. Damit gehen die Geheimhaltungspflichten dem BDSG insoweit vor, als das BDSG keinen strengeren Schutz anordnet oder dieser wegen der allgemeinen Subsidiarität generell verdrängt würde; ansonsten gilt das BDSG als „Minimalstandard“1. Die Geheimhaltungspflichten können gesetzlicher, beruflicher oder amtlicher 40 Natur sein. Eine gesetzliche Geheimhaltungspflicht setzt eine ausdrückliche Kodifizierung voraus2. Beispiele hierfür sind u.a. das Anwaltsgeheimnis (§ 43a BRAO)3, das Notargeheimnis (§ 18 BNotO), das Steuergeheimnis (§ 30 AO), das Sozialgeheimnis (§ 35 SGB I), das Meldegeheimnis (§ 5 MRRG), das Adoptionsgeheimnis (§ 1758 BGB), das Fernmeldegeheimnis (§ 88 TKG) sowie das Geschäfts- und Betriebsgeheimnis (§ 17 UWG)4. Ihr Vorrang ergibt sich jedoch teilweise auch schon aus Satz 1, soweit personenbezogene Daten von der Geheimhaltungspflicht betroffen sind5. Unter die beruflichen Geheimhaltungspflichten, die nicht gesetzlich festgelegt sind, fallen z.B. die Schweigepflicht der Ärzte6 und der Psychologen sowie das Bankgeheimnis7. Ebenso fällt das Beichtgeheimnis unter den Vorbehalt der Geheimhaltungspflichten. Amtliche Geheimhaltungspflichten, die nicht gesetzlich vorgeschrieben sind, gibt es dagegen kaum noch. Von Bedeutung ist lediglich das Personalaktengeheimnis der Angestellten und Arbeitnehmer des öffentlichen Dienstes8. In einer vielbeachteten Entscheidung hat das KG geurteilt, dass das Mandats- 41 geheimnis einem Auskunftsverlangen der Datenschutzbehörde (§ 38 Abs. 3 Satz 1) u.U. entgegengehalten werden kann9. Aufgrund der Regelung des Abs. 3 Satz 2 sei das Mandatsgeheimnis i.R.d. BDSG zu berücksichtigen, so dass der An1 Simitis/Dix, § 1 BDSG Rz. 186; Taeger/Gabel/Schmidt, § 1 BDSG Rz. 39. 2 Simitis/Dix, § 1 BDSG Rz. 180. 3 So auch KG v. 20.8.2010 – 1Ws (B) 51/07 – 2 Ss 23/07, CR 2011, 187; vgl. auch Simitis/ Dix, § 1 BDSG Rz. 186; Wagner, BRAK-Mitt. 2011, 2 (3). 4 Vgl. auch Taeger/Gabel/Schmidt, § 1 BDSG Rz. 38; Simitis/Dix, § 1 BDSG Rz. 177 ff.; Däubler/Klebe/Wedde/Weichert/Weichert, § 1 BDSG Rz. 14. 5 Taeger/Gabel/Schmidt, § 1 BDSG Rz. 38. 6 Mit Ausnahme der Klinikärzte, deren Geheimhaltungspflicht in den Landeskrankenhausgesetzen kodifiziert ist. 7 Däubler/Klebe/Wedde/Weichert/Weichert, § 1 BDSG Rz. 14; Taeger/Gabel/Schmidt, § 1 BDSG Rz. 41 f. 8 Das Personalaktengeheimnis ist für Beamten inzwischen im BBG und im BRRG gesetzlich geregelt; vgl. auch Taeger/Gabel/Schmidt, § 1 BDSG Rz. 43; Simitis/Dix, § 1 BDSG Rz. 183. 9 KG v. 20.8.2010 – 1 Ws (B) 51/07 – 2 Ss 23/07, NJW 2011, 324.

Plath

|

17

§ 1 BDSG | Allgemeine und gemeinsame Bestimmungen walt – im konkreten Fall ein Strafverteidiger – „weder berechtigt noch verpflichtet“ sei, mandatsbezogene Informationen an die Datenschutzbehörde weiterzugeben. Dieser Ansicht ist zuzustimmen. Da die Weitergabe von Mandatsgeheimnissen gemäß § 203 Abs. 1 Nr. 3 StGB strafbewährt ist, kann sich der Anwalt auf das Auskunftsverweigerungsrecht aus § 38 Abs. 3 Satz 2 berufen, das immer dann greift, wenn sich der Auskunftspflichtige durch die Beantwortung der gestellten Fragen der Gefahr einer strafrechtlichen Verfolgung aussetzen würde1. 42 Vertragliche Geheimhaltungspflichten werden nach dem klaren Wortlaut des

Abs. 3 Satz 2 nicht von dieser Norm erfasst. Das BDSG kann also nicht dadurch umgangen werden, dass sich zwei Vertragsparteien auf eine Geheimhaltungsklausel mit bestimmten Ausnahmen verständigen, nach denen eine Offenlegung personenbezogener Daten über die Beschränkungen des BDSG hinaus möglich sein soll. In solchen Fällen bleibt das BDSG anwendbar. Allerdings ist dann stets zu prüfen, ob die entsprechende Klausel als Einwilligungserklärung i.S.d. BDSG zu berücksichtigen ist.

V. Verhältnis zum Verwaltungsverfahrensgesetz (Abs. 4) 43 Abs. 4 regelt als Rückausnahme zu Abs. 3 den Vorrang des BDSG vor den Re-

geln des Verwaltungsverfahrensgesetzes (VwVfG) des Bundes, soweit bei der Sachverhaltsermittlung personenbezogene Daten verwendet werden2. Dies führt zum einen dazu, dass die Ermittlung personenbezogener Daten im Rahmen der Sachverhaltsermittlung als Datenerhebung beim Betroffenen i.S.d. § 4 Abs. 2 Satz 1 zu qualifizieren ist mit der Folge, dass die Befugnisse der Beamten aus § 24 VwVfG durch § 4 Abs. 2 Satz 2, Abs. 3 eingeschränkt werden. Zum anderen führt Abs. 4 zu einem Vorrang des § 14 vor § 26 VwVfG, der den Umgang mit Beweismitteln durch die Behörden regelt. Konkret bedeutet dies vor allem, dass eine Zweckbindung eingreift, wenn Daten als Beweismittel gespeichert werden sollen.

44 Umstritten ist, ob das BDSG über den Wortlaut des Abs. 4 hinaus im gesamten

Verwaltungsverfahren zu beachten ist. Aufgrund der überragenden Bedeutung des Rechts auf informationelle Selbstbestimmung ist dies nach der hier vertretenen Ansicht zu bejahen3. 1 KG v. 20.8.2010 – 1 Ws (B) 51/07 – 2 Ss 23/07, NJW 2011, 324 (325); a.A. hingegen Weichert, NJW 2009, 550 (554); kritisch zur Verfassungsmäßigkeit des BDSG im Hinblick auf das Mandatsgeheimnis Rüpke, ZRP 2008, 87. 2 Taeger/Gabel/Schmidt, § 1 BDSG Rz. 44. 3 So auch Simitis/Dix, § 1 BDSG Rz. 193 mit dem Verweis auf die dahingehende Regelung in vielen Landesdatenschutzgesetzen; ebenso Taeger/Gabel/Schmidt, § 1 BDSG Rz. 45; a.A. Schaffland/Wiltfang, § 1 BDSG Rz. 36; Bergmann/Möhrle, § 1 BDSG Rz. 31, kommt dagegen zu einer Subsidiarität des VwVfG aufgrund der Regelung des § 1 Abs. 1, letzter Halbs. VwVfG.

18

|

Plath

Zweck und Anwendungsbereich des Gesetzes | § 1 BDSG

VI. Auslandsbezug (Abs. 5) 1. Einführung Abs. 5 regelt als Kollisionsnorm die Anwendbarkeit des BDSG bei grenzüberschreitenden Sachverhalten. Die 2001 eingeführte Regelung beruht auf der Umsetzung von Art. 4 EG-Datenschutzrichtlinie, wodurch insbesondere zwei Ziele verfolgt wurden: Zum einen sollte innerhalb des Geltungsbereichs der EG-Datenschutzrichtlinie (also auch im EWR) durch die Gewährleistung des freien Datenverkehrs der Binnenmarkt gestärkt werden. Jede in der EU oder dem EWR „belegene“ verantwortliche Stelle, die innerhalb des Geltungsbereichs der EG-Datenschutzrichtlinie tätig werden will, soll ihr eigenes Datenschutzrecht „exportieren“ können, ohne ausländische Rechtsordnungen berücksichtigen zu müssen. Dieses Bestreben korreliert mit dem übergeordneten Ziel der EG-Datenschutzrichtlinie, einen einheitlichen Datenschutzstandard zu schaffen. Zum anderen sollte vermieden werden, dass es zu Schutzlücken für die Betroffenen kommt1. Abs. 5 verdrängt als lex specialis die allgemeinen Kollisionsnormen der Art. 3– 46a EGBGB zum IPR2. Ebenso wenig findet die Rom-II-Verordnung Anwendung, da diese gerade dann nicht gilt, wenn das außervertragliche Schuldverhältnis auf einer Verletzung des Persönlichkeitsrechts beruht (Art. 1 Abs. 2 Buchst. g Rom-II-VO), was bei datenschutzrechtlichen Sachverhalten regelmäßig der Fall ist3. Keine Auswirkung hat Abs. 5 auf die Anwendbarkeit des Straftatbestands des § 444. Maßstab ist hier weiterhin das im deutschen Strafrecht grundsätzlich geltende Territorialitätsprinzip, §§ 3 ff. StGB5. Abs. 5 regelt nur die Anwendbarkeit des BDSG für den Fall, dass ausländische Unternehmen und sonstige Stellen in Deutschland tätig werden. Abs. 5 Satz 1 regelt den Fall der Tätigkeit einer in der EU bzw. dem EWR „belegenen“ Stelle. Abs. 5 Satz 2 regelt den Fall der Tätigkeit einer in einem Drittstaat, also z.B. den USA, „belegenen“ Stelle. Keine Aussage trifft das Gesetz für den umgekehrten Fall, dass ein deutsches Unternehmen Daten außerhalb Deutschlands verarbeitet oder nutzt. Werden deutsche Stellen im Ausland tätig, so müssen sie unter Umständen das dortige Datenschutzrecht beachten, was sich dann jeweils nach dem lokalen Recht beurteilt. Unter der DSGVO ist der territoriale Anwendungsbereich in Art. 3 DSGVO geregelt. 1 Taeger/Gabel/Gabel, § 1 BDSG Rz. 49. 2 Taeger/Gabel/Gabel, § 1 BDSG Rz. 50; a.A. Jotzo, MMR 2009, 232 (233), der aufgrund eines unzureichenden Schutzes des BDSG bei Persönlichkeitsrechtsverletzungen Art. 40 EGBGB für anwendbar hält. 3 Taeger/Gabel/Gabel, § 1 BDSG Rz. 50; Jotzo, MMR 2009, 232 (233); für vertragliche Schuldverhältnisse s. Kremer/Buchalik, CR 2013, 789 (792). 4 Vgl. Erwägungsgrund 21 der EG-Datenschutzrichtlinie. 5 Taeger/Gabel/Gabel, § 1 BDSG Rz. 51.

Plath

|

19

45

46

47

48

§ 1 BDSG | Allgemeine und gemeinsame Bestimmungen 2. Grundprinzipien 49 Grundsätzlich galt bis zur BDSG-Novelle 2001 in Deutschland bei grenzüber-

schreitenden Sachverhalten das Territorialitätsprinzip1. Dieses wurde durch die Umsetzung der EG-Datenschutzrichtlinie im EU-/EWR-Bereich durchbrochen: Nun gilt im Anwendungsbereich der EG-Datenschutzrichtlinie grundsätzlich das sog. Sitzprinzip, wonach ausschlaggebend ist, wo die verantwortliche Stelle bzw. deren Niederlassung „belegen“ ist, also ihren Sitz hat. Lediglich in den Fällen, in denen Stellen aus Drittstaaten im deutschen Inland Daten verwenden, gilt wieder das Territorialitätsprinzip2.

50 Im Überblick gilt das BDSG in folgenden Fällen:

– Die verantwortliche Stelle hat ihren Sitz in Deutschland und erhebt, verarbeitet und nutzt die Daten in Deutschland (Umkehrschluss aus Abs. 5 Satz 1). – Die verantwortliche Stelle hat ihren Sitz in der EU/EWR, die Datenerhebung, -verarbeitung oder -nutzung erfolgt jedoch über eine Niederlassung in Deutschland in deren Tätigkeitsbereich (Abs. 5 Satz 1 Halbs. 2)3. – Die verantwortliche Stelle hat ihren Sitz in einem Drittland außerhalb der EU/EWR und die Datenerhebung, -verarbeitung oder -nutzung erfolgt über ein in Deutschland „belegenes Mittel“4 (Abs. 5 Satz 2). – Die verantwortliche Stelle hat ihren Sitz in einem Drittland außerhalb der EU/EWR und die Datenerhebung, -verarbeitung oder -nutzung erfolgt jedoch über eine Niederlassung in Deutschland in deren Tätigkeitsbereich (vgl. dazu die Ausführungen unter Rz. 52). – Die verantwortliche Stelle hat ihren Sitz in Deutschland und die Datenerhebung, -verarbeitung und -nutzung erfolgt in einem anderen Mitgliedstaat der EU/EWR, dabei jedoch nicht durch eine „Niederlassung“ der verantwortlichen Stelle. 51 Im Umkehrschluss gilt das BDSG in folgenden Fällen nicht:

– Die verantwortliche Stelle hat ihren Sitz in einem anderen Mitgliedstaat der EU/EWR, und die Datenverwendung in Deutschland erfolgt nicht über eine Niederlassung in Deutschland. – Die verantwortliche Stelle hat ihren Sitz in einem Drittland außerhalb der EU/EWR und die Datenverwendung in Deutschland erfolgt nicht über ein in 1 Bergmann/Möhrle/Herb, § 1 BDSG Rz. 36. 2 Bergmann/Möhrle/Herb, § 1 BDSG Rz. 39. 3 Ausführlich zu den Anwendungsvoraussetzungen dieser Norm vgl. Stellungnahme 8/2010 v. 16.12.2010 der Artikel-29-Datenschutzgruppe. 4 Ausführlich zur richtlinienkonformen Auslegung des Abs. 5 Satz 2 und zur Bedeutung dieses Begriffs s.u. Rz. 63; vgl. auch Stellungnahme 8/2010 v. 16.12.2010 der Artikel-29Datenschutzgruppe.

20

|

Plath

Zweck und Anwendungsbereich des Gesetzes | § 1 BDSG

Deutschland „belegenes Mittel“ und auch nicht über eine Niederlassung in Deutschland (näher dazu Rz. 61 und Rz. 52). – Die Datenverwendung erfolgt – unabhängig vom Sitz der verantwortlichen Stelle – überhaupt nicht in Deutschland (mit Ausnahme einer Verwendung durch eine deutsche verantwortliche Stelle in dem EU/EWR-Ausland, die dort nicht durch eine „Niederlassung“ erfolgt). Diese letztgenannte Fallgruppe hat größte praktische Bedeutung, da sie dazu führt, dass auch ein deutsches Unternehmen nicht an das deutsche Datenschutzrecht gebunden ist, wenn es personenbezogene Daten in einem Drittland, z.B. über eine New Yorker Niederlassung, verarbeitet. Allerdings ist in solchen Konstellationen sehr genau zu prüfen, ob die Tätigkeit der in dem Drittstaat ansässigen Niederlassung unter dem Gesichtspunkt der „Kontrolle“ der in Deutschland ansässigen verantwortlichen Stelle zuzurechnen ist. 3. Datenverwendung durch eine Niederlassung (Abs. 5 Satz 1 Halbs. 2) Von besonderer praktischer Bedeutung ist Abs. 5 Satz 1 Halbs. 2, der den Fall re- 52 gelt, dass eine im EU/EWR „belegene“ Stelle durch eine Niederlassung vor Ort in Deutschland agiert. Diese Norm schwächt das Sitzlandprinzip und den daraus folgenden Grundsatz, dass jeder Binnenmarktteilnehmer nur sein eigenes Datenschutzrecht zu berücksichtigen hat, zugunsten der Rechtssicherheit des Betroffenen ab und zwar in der Weise, dass das lokale Datenschutzrecht zu beachten ist. Eine Niederlassung spricht für eine gewisse Dauerhaftigkeit einer Auslandstätigkeit, so dass es in diesen Fällen zumutbar ist, sich mit der ausländischen Rechtsordnung des jeweiligen Mitgliedstaats auseinanderzusetzen. Relevant ist diese Thematik in zwei denkbaren Konstellationen: Seinem Wortlaut nach zielt der Abs. 5 Satz 1 Halbs. 2 nur auf den Fall ab, in dem eine in einem anderen Mitgliedstaat der EU bzw. des EWR „belegene“ verantwortliche Stelle in Deutschland durch eine Niederlassung tätig wird. Nicht geregelt ist hingegen der Fall, dass eine außerhalb des EU bzw. des EWR „belegene“ Stelle, also z.B. ein US-Unternehmen, durch eine Niederlassung in Deutschland tätig wird. Das BDSG regelt hinsichtlich solcher Unternehmen aus Drittstaaten außerhalb der EU bzw. des EWR nur die Konstellation, dass eine außerhalb des EU bzw. des EWR „belegene“ Stelle direkt in Deutschland tätig wird (s. dazu nachfolgend die Ausführungen unter Rz. 61 ff.). Allerdings greift die vorstehende Regelung des Abs. 5 Satz 1 Halbs. 2 zu kurz. Denn nach Art. 4 Abs. 1 Buchst. a EG-Datenschutzrichtlinie ist die Anwendbarkeit des lokalen – hier also deutschen – Datenschutzrechts bei Datenverwendungen durch eine Niederlassung auch in Konstellationen denkbar, die einen Drittstaatenbezug aufweisen1. Diese Frage war zuletzt Gegenstand der wegweisenden Entscheidung des EuGH in der Sache Google-Spain2. In dieser 1 Beyvers/Herbrich, ZD 2014, 558. 2 EuGH v. 13.5.2014 – C-131/12, GRUR 2014, 895 – Google Spain.

Plath

|

21

§ 1 BDSG | Allgemeine und gemeinsame Bestimmungen Entscheidung ging es um die für den gesamten Bereich der Social-Media relevante Problematik, unter welchen Umständen die Datenverarbeitung durch ein in den USA ansässiges Unternehmen dem Europäischen bzw. nationalem Datenschutzrecht unterfällt. Der Entscheidung lag folgende Fallkonstellation zugrunde: Die Google Inc., mit Sitz in den USA, indexiert weltweit Websites, um ein systematisches Auffinden von Internetinhalten zu ermöglichen. Die dabei erlangten Daten werden vorübergehend auf Servern gespeichert. Wo genau diese Server „belegen“ waren, konnte nicht abschließend geklärt werden, was zur Folge hatte, dass der EuGH davon ausging, dass sich diese außerhalb der EU bzw. des EWR befanden. Google Spain, eine Tochtergesellschaft von Google Inc., war im spanischen Bereich für den Verkauf und das Marketing der Google Anzeigeflächen zuständig. Die Besonderheit des Falles lag darin begründet, dass Google Spain selbst keinen Zugang zu den von Google Inc. verarbeiteten personenbezogenen Daten hatte. Der EuGH entschied im Ergebnis trotz dieses Umstandes, dass das europäische Datenschutzrecht auf die Tätigkeit von Google Inc. anwendbar ist, da Google Spain eine Niederlassung von Google Inc. i.S.v. Art. 4 Abs. 1 Buchst. a EG-Datenschutzrichtlinie darstelle. Nach dem EuGH liegt eine Verarbeitung personenbezogener Daten im Rahmen der Tätigkeit einer Niederlassung schon dann vor, wenn der Suchmaschinenbetreiber in einem Mitgliedstaat eine Tochtergesellschaft unterhält, deren Tätigkeit die Förderung des Verkaufs der Werbeflächen der Suchmaschine ist und deren Tätigkeit auf die Einwohner dieses Staates ausgerichtet ist1. Über die konkrete Tätigkeit von Google hinaus lassen sich aus der Entscheidung folgende Grundsätze ableiten: Das BDSG ist – über den Wortlaut des Abs. 5 Satz 1 Halbs. 2 hinaus – auch dann anwendbar, wenn die Datenverarbeitung in den Tätigkeitsbereich der Niederlassung einer in einem Drittstaat ansässigen verantwortlichen Stelle fällt. Eine Niederlassung muss die personenbezogenen Daten nicht selbst verarbeiten oder nutzen. Für die Begründung des Anwendungsbereichs des BDSG ist es ausreichend, wenn die Datenverwendung durch die in dem Drittstaat ansässige verantwortliche Stelle „im Rahmen der Tätigkeiten der Niederlassung“ erfolgt. Dafür reicht es nach dem EuGH aus, wenn die Tätigkeit der Niederlassung die Geschäftstätigkeit der verantwortlichen Stelle „fördert“2. 53 Umstritten ist, wann eine Niederlassung i.S.d. Abs. 5 Satz 1 Halbs. 2 vorliegt.

Art. 4 EG-Datenschutzrichtlinie definiert diesen Begriff nicht3. Lediglich in der Begründung der EG-Datenschutzrichtlinie (Erwägungsgrund 19) ist ein Hinweis zu finden: Voraussetzung für das Vorliegen einer Niederlassung ist danach die „effektive und tatsächliche Ausübung einer Tätigkeit mittels einer festen Einrichtung“. Teilweise wird auch die Definition des § 4 Abs. 3 GewO herangezo1 EuGH v. 13.5.2014 – C-131/12, GRUR 2014, 895 (899) – Google Spain. 2 Vgl. EuGH v. 13.5.2014 – C-131/12, GRUR 2014, 895 (898) – Google Spain; EuGH v. 1.10.2015 – C-230/14, ZD 2015, 580 – Weltimmo. 3 Stellungnahme 8/2010 der Artikel-29-Datenschutzgruppe vom 16.12.2010, S. 14.

22

|

Plath

Zweck und Anwendungsbereich des Gesetzes | § 1 BDSG

gen, wonach eine „Niederlassung besteht, wenn eine selbständige, gewerbsmäßige Tätigkeit auf unbestimmte Zeit und mittels einer festen Einrichtung von dieser aus tatsächlich ausgeübt wird.“ Diese Definition ist aufgrund des Erfordernisses der Gewerbsmäßigkeit enger und stellt damit höhere Anforderungen an das Vorliegen einer Niederlassung. Allerdings erscheint diese einschränkende Auslegung unter Verweis auf die GewO nicht mit dem Grundsatz vereinbar, wonach die EG-Datenschutzrichtlinie eine vollharmonisierte Auslegung verlangt. Ungeachtet dessen stellt sich bei beiden Definitionen die Frage, wann von einer 54 „festen Einrichtung“ gesprochen werden kann. Einigkeit herrscht darüber, dass die Rechtsform dieser Einrichtung unerheblich ist, und sie auch keiner gesonderten Registrierung bedarf1. Aus der Google-Spain-Entscheidung des EuGH folgt darüber hinaus, dass – jedenfalls bei in Drittstaaten ansässigen Unternehmen – auch eine rechtlich selbständige Tochtergesellschaft eine Niederlassung darstellen kann2. Auch wird vertreten, dass eine feste räumliche Bindung entbehrlich sei3. Ausschlaggebend soll lediglich sein, dass die Einrichtung abgegrenzt ist und eine zeitliche Kontinuität aufweist. Damit wäre auch ein mobiler Verkaufswagen eine feste Einrichtung und mithin eine Niederlassung, solange er regelmäßig in Deutschland aufgestellt wird. Teilweise wird sogar vertreten, dass bereits ein (ferngewarteter) Server oder eine Briefkastenfirma in Deutschland eine Niederlassung darstellt4. Dies ist jedoch abzulehnen, da es in diesen Fällen an einer „Tätigkeit“ i.S.d. oben genannten Definition fehlt, da diese nach dem Wortsinn die Handlung einer Person erfordert5. Vor dem Hintergrund des Sinns und Zwecks der Norm, nämlich dem Schutz 55 der Betroffenen, muss grundsätzlich von einem weiten Niederlassungsbegriff ausgegangen werden6. Dennoch darf der Anwendungsbereich von Abs. 5 Satz 1 Halbs. 2 nicht ausufern. Eine Berücksichtigung ausländischen Datenschutzrechts kann den verantwortlichen Stellen nur zugemutet werden, wenn ihre Tätigkeit im europäischen Ausland nennenswert ist. Die Interessen des Betroffenen an der Anwendbarkeit seines lokalen Rechts können nur dann überwiegen, wenn das Auftreten des Datenverarbeiters ein längerfristiges Engagement vermuten lässt7. Indizien hierfür können das Tätigwerden in deutscher Sprache8 oder das 1 Bergmann/Möhrle/Herb, § 1 BDSG Rz. 43. 2 EuGH v. 13.5.2014 – C-131/12, GRUR 2014, 895 (898) – Google Spain; vgl. Voigt, ZD 2014, 15 (16). 3 Bergmann/Möhrle/Herb, § 1 BDSG Rz. 42. 4 Bergmann/Möhrle/Herb, § 1 BDSG Rz. 43. 5 Simitis/Dammann, § 1 BDSG Rz. 203; so im Ergebnis auch Stellungnahme 8/2010 der Artikel-29-Datenschutzgruppe vom 16.12.2010, S. 15. 6 Simitis/Dammann, § 1 BDSG Rz. 203. 7 Für eine Auslegung des Abs. 5 nach dem Adressatengedanken spricht sich auch Jotzo aus, MMR 2009, 232 (236 f.). 8 Vgl. EuGH v. 1.10.2015 – C-230/14, ZD 2015, 580 – Weltimmo.

Plath

|

23

§ 1 BDSG | Allgemeine und gemeinsame Bestimmungen Vorliegen einer festen Infrastruktur sein. Betätigt sich eine Zweigstelle hauptsächlich im Werbe- und Marketingbereich, ohne selbst konkret mit der Datenverarbeitung befasst zu sein, so wurde die Niederlassungseigenschaft bislang eher verneint1. Diese Ansicht ist nach der Google-Spain-Entscheidung des EuGH im Hinblick auf die Auslegung von Art. 4 Abs. 1 Buchst. a EG-Datenschutzrichtlinie wohl nicht mehr vertretbar2. 56 Eine Ladenfiliale ist in der Regel eine Niederlassung, da sie räumlich abgegrenzt

ist und eine zeitliche Kontinuität aufweist. Dagegen reicht die Tatsache, dass ein in einem EU/EWR-Mitgliedstaat ansässiger Betreiber einer Internet-Seite regelmäßig in Deutschland Daten erhebt, ohne räumlich in Deutschland präsent zu sein, für sich genommen nicht aus, um eine Niederlassung zu bejahen. Dies folgt im Umkehrschluss auch aus der Google-Spain-Entscheidung des EuGH. Denn der EuGH hat festgestellt, dass „die Anzeige personenbezogener Daten auf einer Seite mit Suchergebnissen eine Verarbeitung dieser Daten“ darstellt3. Verantwortlich für dieses Anzeigen war die in den USA ansässige Google Inc. Hätte der EuGH bereits in dieser Tätigkeit ein Tätigwerden auf dem Gebiet der EU erkannt, so hätte er nicht den komplizierten Umweg über die Frage gehen müssen, ob die nicht mit der Datenverarbeitung befasste Google Spain eine Niederlassung der Google Inc. darstellt. Somit ist davon auszugehen, dass das bloße Anzeigen personenbezogener Daten auf einer in Deutschland abrufbaren Website noch keine Datenverarbeitung im Inland darstellt. Gleiches gilt für OnlineSuchdienste: Allein die Möglichkeit des Zugriffs aus Deutschland auf einen in einem anderen Land betriebenen Suchdienst reicht nicht für das Vorliegen einer Niederlassung aus.

57 Notwendig ist das Tätigwerden einer Person. Dabei reicht es grundsätzlich aus,

wenn die Niederlassung aus einer einzigen Person besteht. Voraussetzung ist dann jedoch, dass diese Ein-Mann-Filiale nicht lediglich in Vertretung einer anderen Niederlassung handelt, sondern eine eigenständige Tätigkeit ausgeführt wird, da nur in diesem Fall eine die Anwendbarkeit des BDSG rechtfertigende Eigenständigkeit gegeben ist4.

58 Damit Abs. 5 Satz 1 Halbs. 2 zur Anwendung kommt, muss die Datenverarbei-

tung zudem im Rahmen der Tätigkeit der Niederlassung, also im Kontext ihres konkreten Aufgabenbereichs, erfolgen. Der EuGH stellt an dieses Merkmal keine hohen Anforderungen5. Bei mehreren Niederlassungen in verschiedenen Mit1 Vgl. OVG Schleswig v. 22.4.2013 – 4 MB 11/13, ZD 2013, 364. 2 EuGH v. 13.5.2014 – C-131/12, GRUR 2014, 895 (899) – Google Spain; Beyvers/Herbrich, ZD 2014, 558 (561); gegen eine weite Auslegung von aus Art. 4 Abs. 1 Buchst. a EG-Datenschutzrichtlinie Arning/Flemming/Schefzig, CR 2014, 447 (448 ff.). 3 EuGH v. 13.5.2014 – C-131/12, GRUR 2014, 895 (896) – Google Spain. 4 Stellungnahme 8/2010 der Artikel-29-Datenschutzgruppe v. 16.12.2010, S. 15. 5 EuGH v. 1.10.2015 – C-230/14, ZD 2015, 580 (582) – Weltimmo.

24

|

Plath

Zweck und Anwendungsbereich des Gesetzes | § 1 BDSG

gliedstaaten muss stets danach gefragt werden, welcher Niederlassung die konkret in Rede stehende datenbezogene Tätigkeit zugeordnet werden kann. Dieser Umstand wird insbesondere in folgenden drei Beispielsvarianten rele- 59 vant: – Ein italienisches Unternehmen (U) unterhält eine Niederlassung A in Italien und eine Niederlassung B in Deutschland. Erfolgt eine Verarbeitung in Deutschland im Rahmen des Tätigkeitsbereichs der italienischen Niederlassung A und unter deren Weisung (z.B. Generierung von Adressen für Werbe-Mailings in bzw. aus Italien), so kommt italienisches Recht, und nicht deutsches Recht zur Anwendung. Die reine Existenz einer Niederlassung in Deutschland ist also irrelevant, solange diese nicht in die Datenverarbeitung involviert ist oder diese fördert1. Die Datenverarbeitung wird der italienischen Niederlassung zugerechnet. – Erfolgt eine Datenverarbeitung im Rahmen der Tätigkeit von U durch die italienische Niederlassung A in Italien sowie durch die deutsche Niederlassung B in Deutschland, nimmt also jede Niederlassung eine eigenständige Aufgabe in ihrem jeweiligem Land wahr, so muss für ein und dieselbe Art der Datenverarbeitung sowohl deutsches als auch italienisches Recht berücksichtigt werden. – Erfolgt die Datenverarbeitung in Form der Erhebung durch B in Deutschland und in Form der Verarbeitung durch A in Italien (z.B. Adressgenerierung durch B in Deutschland, Mailing durch A in Italien), so ist für die Rechtmäßigkeit der Erhebung deutsches Recht und für die Rechtmäßigkeit der Verarbeitung italienisches Recht anwendbar. Ein wirtschaftlicher Prozess kann somit mehreren Rechtsordnungen unterworfen sein, je nachdem, welche Phase in Rede steht2. Bei einer Auftragsdatenverarbeitung eines ausländischen Unternehmens in 60 Deutschland liegt keine Tätigkeit einer Niederlassung vor, da die Tätigkeit des Auftragnehmers der verantwortlichen Stelle zugerechnet wird. Abs. 5 Satz 1 Halbs. 2 ist damit nicht anwendbar3. Für die Praxis kann es empfehlenswert sein, diesen Umstand zu nutzen: Durch die Wahl des Modells der Auftragsdatenverarbeitung kann verhindert werden, dass für eine Art der Datenverarbeitung mehrere Rechtsordnungen berücksichtigt werden müssen. Die Datenverarbeitung wird dadurch auf höherer Ebene verknüpft, und es ist lediglich das Recht des Staates anwendbar, in dessen Geltungsbereich der Auftraggeber seinen Sitz hat. 1 EuGH v. 13.5.2014 – C-131/12, GRUR 2014, 895 (898) – Google Spain. 2 Jotzo, MMR 2009, 232 (235). 3 So im Ergebnis auch Simitis/Dammann, § 1 BDSG Rz. 210; Taeger/Gabel/Gabel, § 1 BDSG Rz. 55.

Plath

|

25

§ 1 BDSG | Allgemeine und gemeinsame Bestimmungen 4. Datenverwendung in Deutschland durch nicht in der EU bzw. dem EWR „belegene“ Stellen (Abs. 5 Satz 2) 61 Erfolgt eine Datenverarbeitung in Deutschland durch eine verantwortliche Stel-

le, die ihren Sitz außerhalb der EU bzw. des EWR hat, so greift gemäß Abs. 5 Satz 2 wieder das Territorialitätsprinzip. In solchen Fällen ist das BDSG grundsätzlich anwendbar. Durch diese Regelung soll sichergestellt werden, dass der Standard des deutschen Datenschutzrechts in jedem Fall eingehalten wird, unabhängig davon, wie das Schutzniveau im Drittland ist1.

62 Auf den ersten Blick scheint Abs. 5 Satz 2 bei jeder denkbaren Form der Daten-

verwendung anwendbar zu sein. Der Wortlaut ist allerdings zu weit gefasst. Denn nach der Vorgabe der EG-Datenschutzrichtlinie soll eine Anwendbarkeit des nationalen Rechts nur dann erfolgen, wenn der Verantwortliche „zum Zwecke der Verarbeitung personenbezogener Daten auf automatisierte oder nicht automatisierte Mittel zurückgreift, die im Hoheitsgebiet des betreffenden Mitgliedstaats belegen sind“, Art. 4 Abs. 1 Buchst. c EG-Datenschutzrichtlinie. Das Erfordernis des „belegenen Mittels“ muss im Wege der europarechtskonformen Auslegung in Satz 2 hineingelesen werden, denn es ist nicht ersichtlich, dass der Gesetzgeber über den Standard der EG-Datenschutzrichtlinie hinaus gehen wollte2. Selbst wenn dies die Intention des deutschen Gesetzgebers gewesen sein sollte, so würde eine entsprechende Regelung wegen der vollharmonisierenden Wirkung der EG-Datenschutzrichtlinie (vgl. Rz. 5) richtlinienkonform auszulegen sein, da sie ansonsten wohl unwirksam wäre. Dies bedeutet im Ergebnis, dass das BDSG bei einer Datenverarbeitung durch Stellen außerhalb der EU bzw. des EWR nur dann anwendbar ist, wenn diese durch ein in Deutschland „belegenes Mittel“ erfolgt (es sein denn, die Tätigkeit erfolgt im Rahmen des Tätigkeitsbereichs einer in Deutschland errichteten Niederlassung, s. Rz. 52).

63 Damit stellt sich die Frage, wann von einem in Deutschland „belegenen Mittel“

gesprochen werden kann. Sinn und Zweck dieses Erfordernisses ist es, eine Ausweitung des Geltungsbereichs des europäischen Schutzstandards auf die Nutzung jeder Form von Einrichtungen innerhalb der EU, also auch „unbemannter“, sicherzustellen3. Erforderlich ist also eine normative Auslegung dieses Tatbestandsmerkmals. Ausschlaggebend ist, wann nach einer wertenden Betrachtung von der aktiven Nutzung einer Einrichtung durch den Datenverarbeiter gesprochen werden kann4. 1 Simitis/Dammann, § 1 BDSG Rz. 214; Taeger/Gabel/Gabel, § 1 BDSG Rz. 57; vgl. auch EuGH v. 24.11.2011 – C-468/10, C-469/10, K&R 2012, 40 (41); zur vollharmonisierenden Wirkung der EG-Datenschutzrichtlinie s. bereits Rz. 5. 2 So auch Simitis/Dammann, § 1 BDSG Rz. 218; a.A. OLG Hamburg v. 2.8.2011 – 7 U 134/10, ZD 2011, 138 (139). 3 Simitis/Dammann, § 1 BDSG Rz. 219. 4 Jotzo, MMR 2009, 232 (237).

26

|

Plath

Zweck und Anwendungsbereich des Gesetzes | § 1 BDSG

Die für die Verarbeitung verantwortliche Stelle muss sich im Drittstaat befinden, 64 dabei jedoch einen Einfluss auf die Mittel und den Zweck der Datenverarbeitung haben1. Die volle Kontrolle des „Mittels“ ist nicht erforderlich, es reicht die Möglichkeit der Einflussnahme2. Unerheblich ist auch die eigentumsrechtliche Zuordnung des „Mittels“3. Damit ist auch ein Auftragsdatenverarbeiter im Inland ein solches „Mittel“4. Es wird also deutlich, dass für die Anwendbarkeit des deutschen Rechts nach Satz 2 keine Niederlassung in Deutschland gegeben sein muss (s. zu dieser Konstellation der Tätigkeit durch eine Niederlassung aber Rz. 52). Der Anwendungsbereich des Abs. 5 Satz 2 ist damit erheblich weiter, als der des Abs. 5 Satz 1 Halbs. 2, der seinem Wortlaut nach grenzüberschreitende Sachverhalte innerhalb der EU bzw. des EWR regelt. Irrelevant ist weiterhin, ob das „Mittel“ automatisiert, also technischer Natur ist, oder nicht. Damit ist auch bspw. das Bereitstellen eines Fragebogens zum schriftlichen Ausfüllen ein „Mittel“ i.S.d. Art. 4 Abs. 1 Buchst. c EG-Datenschutzrichtlinie5. Das „Mittel“ selbst muss sich jedoch im Inland befinden. Wird die Einrichtung im Drittstaat unterhalten und steht ihr Gebrauch dem Nutzer im Inland lediglich zur Verfügung, so liegt kein Fall des Abs. 5 Satz 2 vor6. Für die Praxis ist besonders der Fall des Aufrufens von Webseiten aus dem 65 Ausland durch in Deutschland ansässige Nutzer von Bedeutung. Nach der hier vertretenen Ansicht und infolge der europarechtskonformen Auslegung i.S.v. Art. 4 Abs. 1 Buchst. c EG-Datenschutzrichtlinie ist maßgeblich, ob ein im Inland „belegenes Mittel“, z.B. ein Server, existiert. Nicht unter Abs. 5 Satz 2 fällt damit das Aufrufen von Webseiten, die auf einem ausländischen Server liegen, durch einen Nutzer im Inland7. Zu einem anderen Ergebnis kam jedoch das OLG Hamburg in einer Entscheidung aus dem Jahr 20118. Nach Ansicht des OLG Hamburg sei das BDSG bereits dann anwendbar, wenn Daten, die sich auf einem in einem Drittstaat „belegenen“ Server befinden, in Deutschland abgerufen werden „können und sollen“. Allerdings hat sich das OLG Hamburg bei dieser Entscheidung allein am Wortlaut des Abs. 5 Satz 2 orientiert und die 1 Stellungnahme 8/2010 der Artikel-29-Datenschutzgruppe v. 16.12.2010, S. 15; Taeger/ Gabel/Gabel, § 1 BDSG Rz. 58; Simitis/Dammann, § 1 BDSG Rz. 220; Ott, MMR 2009, 158 (160). 2 Stellungnahme 8/2010 der Artikel-29-Datenschutzgruppe v. 16.12.2010, S. 25; Simitis/ Dammann, § 1 BDSG Rz. 220; Ott, MMR 2009, 158 (160). 3 Stellungnahme 8/2010 der Artikel-29-Datenschutzgruppe v. 16.12.2010, S. 25; Simitis/ Dammann, § 1 BDSG Rz. 220. 4 So im Ergebnis auch Stellungnahme 8/2010 der Artikel-29-Datenschutzgruppe v. 16.12. 2010, S. 25. 5 Stellungnahme 8/2010 der Artikel-29-Datenschutzgruppe v. 16.12.2010, S. 25. 6 Duhr/Naujok/Schaar, MMR 2001, XVI (XVII). 7 Taeger/Gabel/Gabel, § 1 BDSG Rz. 59; Simitis/Dammann, § 1 BDSG Rz. 223; Duhr/Naujok/Schaar, MMR 2001, XVI (XVII); im Ergebnis auch Jotzo, MMR 2009, 232 (236). 8 OLG Hamburg v. 2.8.2011 – 7 U 134/10, ZD 2011, 138 (139).

Plath

|

27

§ 1 BDSG | Allgemeine und gemeinsame Bestimmungen – nach der hier vertretenen Ansicht notwendige – europarechtskonforme Auslegung bezüglich des „in Deutschland belegenen Mittels“ außer Acht gelassen. Nach der Google-Spain-Entscheidung des EuGH dürfte diese Ansicht nun auch nicht mehr ohne Weiteres haltbar sein. Denn der EuGH hätte ansonsten den Fall über Art. 4 Abs. 1 Buchst. c EG-Datenschutzrichtlinie unter Annahme eines in der EU „belegenen Mittels“ lösen können, ohne den Niederlassungsbegriff aus Art. 4 Abs. 1 Buchst. a EG-Datenschutzrichtlinie einer weiten Auslegung zu unterziehen (vgl. bereits Rz. 56 und Rz. 52). 66 Ein im Inland befindlicher Server ist zweifelsfrei ein Mittel i.S.d. Art. 4 Abs. 1

Buchst. c EG-Datenschutzrichtlinie1. Gleiches gilt für alle anderen technischen Infrastrukturen wie Leitungen, Backbones usw., soweit die Möglichkeit eines Zugriffs auf die verarbeiteten Daten aus dem Drittland möglich ist2. Unter Umständen kann auch das Endgerät (Computer, Telefon) des Betroffenen ein automatisiertes Mittel sein, ohne dass dieses von der verantwortlichen Stelle selbst bereitgestellt werden müsste, und zwar dann, wenn dieses durch den Verantwortlichen gezielt zur Datenverarbeitung genutzt bzw. „instrumentalisiert“ wird. Ein Beispiel hierfür ist das Sammeln von Informationen mittels Cookies3 oder über Funkzugangspunkte4. Von besonderer Bedeutung kann dies im Zusammenhang mit sog. Social Plugins wie dem „Like-Button“ von Facebook sein: Werden durch die Einbettung solcher Programme in die Seite von Drittanbietern Cookies gesammelt, so kann sich aus diesem Umstand eine Anwendbarkeit deutschen Datenschutzrechts auf diese Vorgänge begründen5. 5. Ernennung eines Vertreters (Abs. 5 Satz 3)

67 Erfordert das BDSG die Nennung einer verantwortlichen Stelle6, so muss im

Rahmen einer Datenverarbeitung aus einem Drittland ein Vertreter des Verantwortlichen ernannt werden. Ziel dieses Erfordernisses ist, dass sowohl die Betroffenen als auch die Behörden einen Ansprechpartner haben. Der Vertreter 1 Ott, MMR 2009, 158 (160); zu den in Deutschland unterhaltenen Servern der Google Inc., bezogen auf die Anwendbarkeit des BDSG auf Google Earth und Google Streetview-Daten Lindner, ZUM 2010, 292 (295); ebenso Forgó/Krügel/Müllenbach, CR 2010, 616 (617). 2 Taeger/Gabel/Gabel, § 1 BDSG Rz. 59. 3 Taeger/Gabel/Gabel, § 1 BDSG Rz. 59; Ott, MMR 2009, 158 (160); Jotzo, MMR 2009, 232 (236); KG v. 24.1.2014 – 5 U 42/12, ZD 2014, 412 (415); so im Ergebnis auch Duhr/Naujok/Schaar, MMR 2001, XVI (XVII); ausführlich zum Behavioural Targeting mittels Cookies vgl. Stellungnahme 2/2010 v. 22.6.2010 der Artikel-29-Datenschutzgruppe; zum Online-Tracking mittels sog. Browser-Fingerprints siehe ausführlich Alich/Voigt, CR 2012, 344. 4 Stellungnahme 8/2010 der Artikel-29-Datenschutzgruppe v. 16.12.2010, S. 26. 5 Vgl. auch Schenk, DGRI Jahrbuch 2010, S. 123, 131. 6 Z.B. §§ 4 Abs. 3, 6b Abs. 2, 28 Abs. 4, 33 Abs. 1.

28

|

Plath

Zweck und Anwendungsbereich des Gesetzes | § 1 BDSG

muss nicht Verantwortlicher i.S.d. Datenschutzrechts sein. Es reicht, wenn er mit der Wahrnehmung der Interessen des im Drittland ansässigen Verantwortlichen betraut ist1. 6. Transit von Datenträgern (Abs. 5 Satz 4) Abs. 5 Satz 4 regelt eine Rückausnahme zu Abs. 5 Satz 2 und 3: Das BDSG findet 68 keine Anwendung beim bloßen Datentransit durch Deutschland. Damit wird der Anwendungsbereich der Sätze 2 und 3 begrenzt. Ein Schutz nach dem Standard des BDSG wird in den Fällen für entbehrlich erachtet, in denen es in Deutschland zu keiner relevanten Datenverwertung kommt. Entgegen dem engen Wortlaut des Abs. 5 Satz 4 ist es unbeachtlich, ob der 69 Transit durch den physischen Transport von Datenträgern oder über Leitungen bzw. Funk erfolgt2. So ist bspw. das Routen über einen Rechner in Deutschland als Transit anzusehen3. Zudem greift die Norm bei jedem Transit, unabhängig davon, ob die Übertragung in einem EU/EWR-Land oder in einem Drittland beginnt oder endet. In diesen Fällen gibt es beim einfachen Transit kein Schutzbedürfnis, das es rechtfertigt, der transferierenden Stelle eine Berücksichtigung des ihr fremden Datenschutzrechts aufzuerlegen, zumal eine effektive Rechtsdurchsetzung in der Regel kaum möglich wäre4. Die Entbehrlichkeit des Schutzes ist jedoch nur dann zu rechtfertigen, wenn es 70 im Zuge des Transits tatsächlich zu keiner Kenntnisnahme, Speicherung oder Verwertung der Daten kommt. Ein offener Datentransport, bei dem eine Kenntnisnahme der Daten jederzeit und durch jedermann möglich ist, erfährt damit nicht die Privilegierung des Abs. 5 Satz 45. Die Ausnahme greift ebenfalls nicht, sobald der Transfer in Verbindung mit einer darüber hinaus gehenden Datenverwendung erfolgt. Dies ist bspw. bereits dann der Fall, wenn die Durchleitung von Daten mit einer zusätzlichen Dienstleistung wie z.B. einem Spamfilter erfolgt6. Dagegen fallen unter den Transit-Begriff alle Zwischenspeicherungen, Protokollierungen und andere Verarbeitungen, die zwangsläufig mit einem Datentransfer einhergehen. Da solche technisch bedingten Vorgänge in der Regel planmäßig erfolgen und auch nach dem Transfervorgang umgehend und automatisch gelöscht werden, ist kein Bedürfnis für einen Schutz nach dem BDSG gegeben7. 1 Taeger/Gabel/Gabel, § 1 BDSG Rz. 60; Bergmann/Möhrle/Herb, § 1 BDSG Rz. 45. 2 Vgl. den Wortlaut von Art. 4 Abs. 1 Buchst. c EG-Datenschutzrichtlinie, in dem nur von einem „Mittel nur zum Zweck der Durchfuhr“ die Rede ist; Taeger/Gabel/Gabel, § 1 BDSG Rz. 61; Simitis/Dammann, § 1 BDSG Rz. 238. 3 Duhr/Naujok/Schaar, MMR 2001, XVI (XVIII). 4 Simitis/Dammann, § 1 BDSG Rz. 238. 5 Bergmann/Möhrle/Herb, § 1 BDSG Rz. 47. 6 Stellungnahme 8/2010 der Artikel-29-Datenschutzgruppe v. 16.12.2010, S. 28. 7 Simitis/Dammann, § 1 BDSG Rz. 238.

Plath

|

29

§ 2 BDSG | Allgemeine und gemeinsame Bestimmungen 7. Kontrollrechte der Aufsichtsbehörden (Abs. 5 Satz 5) 71 Unabhängig davon, ob nach Abs. 5 Satz 1–4 das BDSG oder lediglich auslän-

disches Recht anwendbar ist, bestehen die Kontrollrechte der Aufsichtsbehörde fort. Die deutsche Behörde kann somit kontrollieren, ob das deutsche Datenschutzrecht nach den Vorgaben des Abs. 5 hätte berücksichtigt werden müssen1. In den Fällen, in denen das BDSG nicht zur Anwendung kommt, z.B. in den Fällen von Satz 1 Halbs. 1 (Stelle in der EU/EWR ohne Niederlassung) und Satz 4 (Transit), kann die Aufsichtsbehörde bei Vorgängen innerhalb Deutschlands die Anwendung des ausländischen Rechts kontrollieren2. Im Umkehrschluss können ausländische Aufsichtsbehörden die Einhaltung ihrer nationalen Rechtsvorschriften bei Vorgängen in Deutschland nicht nach Maßgabe des § 38 Abs. 1 Satz 1 kontrollieren, da die Norm lediglich die Zuständigkeit deutscher Aufsichtsbehörden begründet3. Eine Verhängung von Sanktionen durch die deutsche Aufsichtsbehörde nach ausländischem Recht ist jedoch nicht möglich, in solchen Konstellationen muss bei der ausländischen Behörde Amtshilfe beantragt werden4. Eine Aussage zum internationalen Gerichtsstand trifft Abs. 5 nicht5.

§2 Öffentliche und nicht-öffentliche Stellen (1) 1Öffentliche Stellen des Bundes sind die Behörden, die Organe der Rechtspflege und andere öffentlich-rechtlich organisierte Einrichtungen des Bundes, der bundesunmittelbaren Körperschaften, Anstalten und Stiftungen des öffentlichen Rechts sowie deren Vereinigungen ungeachtet ihrer Rechtsform. 2Als öffentliche Stellen gelten die aus dem Sondervermögen Deutsche Bundespost durch Gesetz hervorgegangenen Unternehmen, solange ihnen ein ausschließliches Recht nach dem Postgesetz zusteht. (2) Öffentliche Stellen der Länder sind die Behörden, die Organe der Rechtspflege und andere öffentlich-rechtlich organisierte Einrichtungen eines Landes, einer Gemeinde, eines Gemeindeverbandes und sonstiger der Aufsicht des Landes unterstehender juristischer Personen des öffentlichen Rechts sowie deren Vereinigungen ungeachtet ihrer Rechtsform. 1 Bergmann/Möhrle/Herb, § 1 BDSG Rz. 49. 2 Stellungnahme 8/2010 der Artikel-29-Datenschutzgruppe v. 16.12.2010, S. 32; Bergmann/Möhrle/Herb, § 1 BDSG Rz. 48; Taeger/Gabel/Gabel, § 1 BDSG Rz. 63; Simitis/ Dammann, § 1 BDSG Rz. 239 begründet dies auch mit der internationalen Amtshilfepflicht. 3 Simitis/Dammann, § 1 BDSG Rz. 239. 4 EuGH v. 1.10.2015 – C-230/14, ZD 2015, 580 – Weltimmo. 5 Simitis/Dammann, § 1 BDSG Rz. 240.

30

|

Plath/Schreiber

Öffentliche und nicht-öffentliche Stellen | § 2 BDSG

(3) 1Vereinigungen des privaten Rechts von öffentlichen Stellen des Bundes und der Länder, die Aufgaben der öffentlichen Verwaltung wahrnehmen, gelten ungeachtet der Beteiligung nicht-öffentlicher Stellen als öffentliche Stellen des Bundes, wenn 1. sie über den Bereich eines Landes hinaus tätig werden oder 2. dem Bund die absolute Mehrheit der Anteile gehört oder die absolute Mehrheit der Stimmen zusteht. 2Andernfalls gelten sie als öffentliche Stellen der Länder. (4) 1Nicht-öffentliche Stellen sind natürliche und juristische Personen, Gesellschaften und andere Personenvereinigungen des privaten Rechts, soweit sie nicht unter die Absätze 1 bis 3 fallen. 2Nimmt eine nicht-öffentliche Stelle hoheitliche Aufgaben der öffentlichen Verwaltung wahr, ist sie insoweit öffentliche Stelle im Sinne dieses Gesetzes. I. Einführung . . . . . . . . . . . . . . II. Öffentliche Stellen des Bundes (Abs. 1) . . . . . . . . . . . . . . . . . 1. Behörden (Abs. 1 Satz 1 Alt. 1) 2. Organe der Rechtspflege (Abs. 1 Satz 1 Alt. 2) . . . . . . . . 3. Andere öffentlich-rechtlich organisierte Einrichtungen (Abs. 1 Satz 1 Alt. 3) . . . . . . . . 4. Religionsgemeinschaften . . . . .

.

1

.

5 6

.

9

. 10 . 11

5. Unternehmen mit ausschließlichem Recht nach Postgesetz (Abs. 1 Satz 2) . . . . . . . . . . . . III. Öffentliche Stellen der Länder (Abs. 2) . . . . . . . . . . . . . . . . . IV. Vereinigungen des privaten Rechts (Abs. 3) . . . . . . . . . . . V. Nicht-öffentliche Stellen (Abs. 4) . . . . . . . . . . . . . . . . .

. 12 . 13 . 14 . 15

Schrifttum: Breidenbach, Der Anwendungsbereich der Datenschutzgesetze der Länder, LKV 1997, 443; Dammann, Die Vereinigung öffentlicher Stellen nach dem neuen BDSG, RDV 1992, 157; Dammann, Die Anwendung des neuen Bundesdatenschutzgesetzes auf die öffentlich-rechtlichen Religionsgemeinschaften, NVwZ 1992, 1147; Ehmann, Einfache Melderegisterauskunft – praktisch bedeutsam und rechtlich tückisch, Grundfragen und Neuregelung im Meldewesen, ZD 2013, 199; Fritsche, Datenschutz im öffentlichen Bereich, LKV 1991, 81; Gola, Die Einwilligung als Legitimation für die Verarbeitung von Arbeitnehmerdaten, RDV 2002, 109; Hartung, Datenschutz und Insolvenzverwaltung, ZInsO 2011, 1225; Hartung, Datenschutz und Verschwiegenheit bei Auslagerungen durch Versicherungsunternehmen, VersR 2012, 400; Hoeren, Die Kirchen und das neue Bundesdatenschutzgesetz, NVwZ 1993, 650; Kilian/Scheja, Freier Datenfluss im Allfinanzkonzern?, BB 2002, Beilage 3, 19; Kurz, Bremst Richtervorbehalt den Datenschutz aus?, DuD 2012, 258; Lorenz, Die Novellierung des BDSG und ihre Auswirkungen auf die Kirchen, DVBl. 2001, 428; Redeker, Datenschutz auch bei Anwälten – aber gegenüber Datenschutzkontrollinstanzen gilt das Berufsgeheimnis, NJW 2009, 554; Schild, Die Flucht ins Privatrecht, NVwZ 1990, 339; Schild, Der Geltungsbereich des Hessischen Datenschutzgesetzes für juristische Personen des Privatrechts oder die Flucht ins Privatrecht, RDV 1989, 232; Seiler, Zur datenschutzrechtlichen Kontrolle notarieller Daten, DNotZ 2002, 693; Simitis, Privatisierung und Datenschutz, DuD 1995, 648; Sorge, Umsetzung des Bayrischen Datenschutzgesetzes im Notariat, MittBayNot 2007, 25; von Lewinski, Kaufleute im Schutz-

Schreiber

|

31

§ 2 BDSG | Allgemeine und gemeinsame Bestimmungen bereich des BDSG, DuD 2000, 39; Weichert, Datenschutz auch bei Anwälten?, NJW 2009, 550.

I. Einführung 1 § 2 ist eine Definitionsnorm. Sie ergänzt § 1 Abs. 2 und konkretisiert den dort

eröffneten Anwendungsbereich des BDSG (vgl. Komm. zu § 1 BDSG Rz. 20 ff.) für öffentliche und nicht-öffentliche Stellen. Das ist erforderlich, weil das BDSG bei der Verarbeitung personenbezogener Daten zwischen der Verarbeitung durch staatliche und private Stellen unterscheidet. Während die übrigen Abschnitte des BDSG auf staatliche und private Stellen gleichermaßen anwendbar sind, kommen die Vorschriften im 2. Abschnitt (§§ 12–26 BDSG) nur bei der Datenverarbeitung durch öffentliche Stellen und die Vorschriften des 3. Abschnitts (§§ 27–48 BDSG) nur bei der Datenverarbeitung durch nicht-öffentliche Stellen zur Anwendung. § 2 stellt damit die Weiche, welche datenschutzrechtlichen Vorschriften (2. oder 3. Abschnitt) im Einzelfall einschlägig sind.

Im Anwendungsbereich der DSGVO findet sich eine solche „Weichenstellung“ nicht. Sämtliche Bestimmungen der DSGVO finden damit grundsätzlich – vorbehaltlich der in Art. 2 Abs. 2 DSGVO vorgesehenen Ausnahmen – auf jede Datenverarbeitung Anwendung, ohne dass nach „öffentlichen“ oder „nicht-öffentlichen Stellen“ differenziert würde (s. Komm. zu Art. 2 DSGVO Rz. 2). 2 Das BDSG sieht eine andere Systematik vor als bspw. TGK und TMG. Deren

datenschutzrechtliche Regelungen sind auf staatliche und nicht-staatliche Stellen gleichermaßen anwendbar1. Infolgedessen ist dort eine Unterscheidung zwischen der Datenverarbeitung von öffentlichen und nicht-öffentlichen Stellen überflüssig2.

3 Was nicht-öffentliche Stellen sind, definiert Abs. 4. Gleichwohl können aus-

nahmsweise auch auf öffentliche Stellen die ansonsten für nicht-öffentliche Stellen anwendbaren Vorschriften zur Datenverarbeitung einschlägig sein. Dies ist etwa bei öffentlichen Wettbewerbsunternehmen nach §§ 12 Abs. 1, 27 Abs. 1 Satz 2 und für Daten im Rahmen von dienst- oder arbeitsrechtlichen Verhältnissen der Fall3. Aufgrund fortschreitender Privatisierung der öffentlichen Hand wird diese Einstufung jedoch zunehmend schwieriger4.

4 Soweit die Datenschutzgesetze der Länder per Definition den Begriff der „öf-

fentlichen Stelle der Länder“ festlegen, gilt in deren Anwendungsbereich allein die landesrechtliche Definition, weil das Land insoweit von seiner Gesetz1 2 3 4

Vgl. auch Taeger/Gabel/Buchner, § 2 BDSG Rz. 2. Taeger/Gabel/Buchner, § 2 BDSG Rz. 1. Simitis/Dammann, § 2 BDSG Rz. 5; Gola/Schomerus, § 2 BDSG Rz. 5. Simitis, DuD 1995, 648.

32

|

Schreiber

Öffentliche und nicht-öffentliche Stellen | § 2 BDSG

gebungskompetenz nach Art. 70 Abs. 1 GG Gebrauch gemacht hat1. § 2 kann dann lediglich als Auslegungshilfe herangezogen werden2.

II. Öffentliche Stellen des Bundes (Abs. 1) § 2 Abs. 1 legt fest, welche Einrichtungen als öffentlich-rechtliche Stellen des 5 Bundes zu qualifizieren sind. Durch die Aufzählung macht der Gesetzgeber deutlich, dass der gesamte öffentlich-rechtliche Organisationsbereich des Bundes vom Anwendungsbereich erfasst werden soll. Die Unterscheidung zwischen „Behörde“, „Organ der Rechtspflege“ oder „andere öffentlich-rechtlich organisierte Einrichtung“ ist datenschutzrechtlich ohne Belang3. 1. Behörden (Abs. 1 Satz 1 Alt. 1) Nach § 1 Abs. 4 VwVfG ist „Behörde“ jede Stelle, die Aufgaben der öffent- 6 lichen Verwaltung wahrnimmt. Sind die von einer öffentlich-rechtlich organisierten Stelle wahrzunehmenden Aufgaben Teil des öffentlichen Verwaltungshandelns, ist diese Stelle damit als Behörde zu qualifizieren4. Beliehene sind gemäß § 2 Abs. 4 Satz 2 ebenfalls öffentliche Stelle, soweit sie hoheitliche Aufgaben der öffentlichen Verwaltung wahrnehmen5. Zu den Bundesbehörden gehören insbesondere6 – als oberste Bundesbehörden die Bundesministerien, das Bundespräsidialamt, das Bundeskanzleramt, das Bundesverfassungsgericht, der Bundesrechnungshof; – als Bundesoberbehörden das Bundesamt für Verfassungsschutz, das Bundeskriminalamt, das Statistische Bundesamt, das Bundesverwaltungsamt, das Bundesgesundheitsamt, die Bundesanwaltschaft, das Kraftfahrtbundesamt, das Bundeskartellamt, der Bundesgrenzschutz7 sowie die Bundesnetzagentur; – als Bundesmittelbehörden die Oberfinanzdirektion sowie die Wasser- und Schifffahrtsdirektion; sowie 1 Fritsche, LKV 1991, 81. 2 Im umgekehrten Fall können die Landesdatenschutzgesetze den Begriff der „nicht-öffentliche Stelle der Länder“ nicht verbindlich festlegen, weil der Datenschutz im Bereich des Privatrechts gemäß Art. 74 Nr. 11 GG der konkurrierenden Gesetzgebung unterliegt (vgl. Simitis/Dammann, § 2 BDSG Rz. 12 f.). 3 Simitis/Dammann, § 2 BDSG Rz. 24. 4 Simitis/Dammann, § 2 BDSG Rz. 23. 5 Vgl. Taeger/Gabel/Buchner, § 2 BDSG Rz. 5; Gola/Schomerus, § 2 BDSG Rz. 4. 6 Gola/Schomerus, § 2 BDSG Rz. 17. 7 BGH v. 22.6.2000 – 5 StR 268/99, RDV 2001, 99.

Schreiber

|

33

§ 2 BDSG | Allgemeine und gemeinsame Bestimmungen – als Bundesunterbehörden die Passkontrollämter, Hauptzollämter und Kreiswehrersatzämter. 7 Nicht jede Verwaltungsaufgabe vermittelt ihrem Träger die Behördeneigen-

schaft1. Einzelne Abteilungen, Referate eines Ministeriums oder Dezernate sind regelmäßig keine Behörden2. Der Behördenbegriff ist nicht funktionsbezogen, sondern organisatorisch auszulegen. Zwar spricht i.S.d. Datenschutzes für eine funktionsbezogene Auslegung, dass der Datenaustausch innerhalb einer Organisationseinheit eine datenschutzrechtlich relevante Übermittlung an Dritte wäre. Eine solche müsste den datenschutzrechlichen Anforderungen des BDSG an eine Übermittlung an Dritte (§ 3 Abs. 8) genügen3.

8 Dagegen spricht jedoch, dass ein rein funktionsbezogener Behördenbegriff zu ei-

ner „Atomisierung der öffentlichen Verwaltung“4 führen und jede noch so unselbständige Arbeitseinheit (z.B. Ämter einer Gemeinde) als selbständige Behörde erfassen würde, soweit ihr nur eine bestimmte Aufgabe zugewiesen ist. Überdies ist durch den organisatorischen Behördenbegriff auch kein niedrigeres Schutzniveau zu befürchten, da seit der Einführung des Auffangtatbestandes der „Datennutzung“ (vgl. Komm. zu § 3 BDSG Rz. 53) in das BDSG 1990 jede behördeninterne Weitergabe gleichwohl als datenschutzrelevanter Vorgang einzustufen ist, der sich an den Vorgaben des BDSG messen lassen muss5. Letztlich wird daher auf die jeweilige Organisationseinheit im Ganzen als „Behörde“ abzustellen sein (z.B. Ministerium oder Gemeinde). 2. Organe der Rechtspflege (Abs. 1 Satz 1 Alt. 2)

9 Organe der Rechtspflege sind die Gerichte, soweit sie Aufgaben der Justizver-

waltung wahrnehmen oder als Spruchkörper agieren6. Dazu gehören das Bundesverfassungsgericht, die obersten Bundesgerichtshöfe und die Bundesgerichte sowie der Generalbundesanwalt beim Bundesgerichtshof und der Vertreter des Bundesinteresses beim Bundesverwaltungsamt7. Auch die Staatsanwaltschaften und die Strafvollzugsbehörden sind Organe der Rechtspflege8. Die Einstufung von Notaren als öffentliche Organe der Rechtspflege richtet sich nach den jewei-

1 Vgl. Gola/Schomerus, § 2 BDSG Rz. 7. 2 Schaffland/Wiltfang, § 2 BDSG Rz. 3. 3 Gola/Schomerus, § 2 BDSG Rz. 8; vgl. Darstellung bei Taeger/Gabel/Buchner, § 2 BDSG Rz. 6, der aber anderer Ansicht ist. 4 Gola/Schomerus, § 2 BDSG Rz. 7. 5 Vgl. Taeger/Gabel/Buchner, § 2 BDSG Rz. 6 f.; im Ergebnis gleicher Ansicht Schaffland/ Wiltfang, § 2 BDSG Rz. 1 f. 6 Vgl. Gola/Schomerus, § 2 BDSG Rz. 6; Simitis/Dammann, § 2 BDSG Rz. 28; Taeger/ Gabel/Buchner, § 2 BDSG Rz. 9. 7 Simitis/Dammann, § 2 BDSG Rz. 28. 8 Taeger/Gabel/Buchner, § 2 BDSG Rz. 9.

34

|

Schreiber

Öffentliche und nicht-öffentliche Stellen | § 2 BDSG

ligen Landesdatenschutzgesetzen1. Rechtsanwälte sind zwar Organe der Rechtspflege, jedoch keine öffentlichen Stellen, weshalb die §§ 27 ff. anzuwenden sind. Daneben ist das Berufsgeheimnis aus § 203 StGB zu beachten2. 3. Andere öffentlich-rechtlich organisierte Einrichtungen (Abs. 1 Satz 1 Alt. 3) Andere öffentlich-rechtlich organisierte Einrichtungen des Bundes sind z.B. 10 der Bundespräsident, der Bundestag (nicht jedoch einzelne Abgeordnete), der Bundesrat, die einzelnen Fraktionen und parlamentarischen Gruppen3. Hierzu gehören auch Regie- und Eigenbetriebe der öffentlichen Hand und die öffentlichen Selbstverwaltungsorgane, die Bundesagentur für Arbeit, die Bundesversicherungsanstalt für Angestellte, die Deutsche Bundesbank, die Stiftung Datenschutz (vgl. Komm. zu § 9a BDSG Rz. 5) sowie sonstige durch Bundesgesetz errichtete Stiftungen4. Beherrscht der Bund eine Gesellschaft rechtlich oder finanziell und nimmt die Vereinigung an der Erledigung einer öffentlichen Aufgabe teil, so ist Abs. 1 und nicht Abs. 3 einschlägig5. Ferner gehören hierzu die in Abs. 1 erwähnten Körperschaften, Anstalten und Stiftungen des öffentlichen Rechts sowie deren Vereinigungen, und zwar unabhängig davon, ob sie öffentlich-rechtlich oder privatrechtlich organisiert sind6. 4. Religionsgemeinschaften Öffentlich-rechtliche Religionsgemeinschaften unterliegen – jedenfalls dem 11 Wortlaut nach und im Bereich innerkirchlicher Tätigkeit – nicht den Vorschriften des BDSG. Denn sie sind weder öffentlich-rechtliche Stelle des Bundes noch der Länder7. Überdies spricht das Selbstverwaltungsrecht der Religionsgemeinschaften aus Art. 140 GG i.V.m. Art. 137 Abs. 2 WRV dafür, dass diese nicht dem BDSG unterworfen werden sollen8. 1 BGH v. 30.7.1990 – NotZ 19/89, NJW 1991, 568; vgl. Seiler, DNotZ 2002, 693 ff.; Sorge, MittBayNot 2007, 25 ff.; Redeker, NJW 2009, 554 ff.; Weichert, NJW 2009, 550 ff. 2 Gola/Schomerus, § 2 BDSG Rz. 12; vgl. Sorge, MittBayNot 2007, 25 ff.; zum Verhältnis von Datenschutzrecht und § 203 StGB Hartung, VersR 2012, 400 (410). 3 Simitis/Dammann, § 2 BDSG Rz. 29 mit weiteren Beispielen; vgl. Simitis, DuD 1995, 648 f. 4 Taeger/Gabel/Buchner, § 2 BDSG Rz. 11, weitere Beispiele bei Simitis/Dammann, § 2 BDSG Rz. 31. 5 Gola/Schomerus, § 2 BDSG Rz. 5. 6 Gola/Schomerus, § 2 BDSG Rz. 14; Dammann, RDV 1992, 157 ff.; zu einer entsprechenden Regelung im HDSG ausf. Schild, RDV 1989, 232 ff.; NVwZ 1990, 339 ff.; vgl. Dammann, RDV 1992, 157 ff. 7 KAGH v. 28.11.2014 – M 06/2014, ZD 2015, 244; BayVGH v. 16.2.2015 – 7 ZB 14.357, ZD 2015, 393; Gola/Schomerus, § 2 BDSG Rz. 14a. 8 Hoeren, NVwZ 1993, 650 (651); Taeger/Gabel/Buchner, § 2 BDSG Rz. 12.

Schreiber

|

35

§ 2 BDSG | Allgemeine und gemeinsame Bestimmungen Das bedeutet aber nicht, dass Religionsgemeinschaften in einem „datenschutzfreien Raum“ agieren1. Vielmehr sind auch sie dem Verfassungsgebot zur Wahrung der informationellen Selbstbestimmung des Einzelnen unterworfen und dadurch gehalten, eigene angemessene Datenschutzregelungen2 zu schaffen3. Privatrechtlich organisierte Einrichtungen von Religionsgemeinschaften unterfallen den §§ 27 ff. Dies gilt auch, soweit Einrichtungen öffentlich-rechtlicher Religionsgemeinschaften am allgemeinen Geschäftsverkehr teilnehmen4. 5. Unternehmen mit ausschließlichem Recht nach Postgesetz (Abs. 1 Satz 2) 12 § 2 Abs. 1 Satz 2 enthält Sonderregelungen für Deutsche Telekom AG und

Deutsche Post AG, die mit dem Wegfall ihrer Monopole und vor dem Hintergrund der §§ 91 ff. TKG und § 41 PostG bedeutungslos geworden sind5.

III. Öffentliche Stellen der Länder (Abs. 2) 13 § 2 Abs. 2 bestimmt die öffentlichen Stellen der Länder. Davon erfasst sind6

– als Behörden oberste Landesbehörden, Landesoberbehörden, untere Landesbehörden, Gemeinde und Gemeindeverbände (Kreis-, Stadt-, und Gemeindeverwaltung); – als Organe der Rechtspflege Staatsanwaltschaften und Gerichte; sowie – andere öffentlich-rechtliche Einrichtungen, zu denen juristische Personen des öffentlichen Rechts wie kommunale Zweckverbände, Hochschulen, Industrie- und Handelskammern, Handwerkskammern und Kreishandwerkerschaften gehören, und deren Vereinigungen.

1 Taeger/Gabel/Buchner, § 2 BDSG Rz. 12; hierzu ausführlich Simitis/Dammann, § 2 BDSG Rz. 84 ff. 2 S. hierzu das Datenschutzgesetz der evangelischen Kirche (Datenschutzgesetz-EKD) und der katholischen Kirche in Deutschland (Anordnung über den kirchlichen DatenschutzKDO); vgl. ferner Lorenz, DVBl 2001, 428 (432). 3 Gola/Schomerus, § 2 BDSG Rz. 14a; s.a. Simitis/Dammann, § 2 BDSG Rz. 84 ff.; 107 ff.; Dammann, NVwZ 1992, 1147 (1151), der das BDSG von vornherein anwenden, allerdings den Bereich der innerorganisatorischen Durchführung des Datenschutzes den Religionsgemeinschaften zur eigenen Gestaltung überlassen möchte; so auch Schaffland/ Wiltfang, § 2 BDSG Rz. 4a; unentschieden Taeger/Gabel/Buchner, § 2 BDSG Rz. 12. 4 Gola/Schomerus, § 2 BDSG Rz. 14a; Taeger/Gabel/Buchner, § 2 BDSG Rz. 12, jeweils m.w.N. 5 Vgl. Gola/Schomerus, § 2 BDSG Rz. 3; Taeger/Gabel/Buchner, § 2 BDSG Rz. 13. 6 Gola/Schomerus, § 2 BDSG Rz. 18.

36

|

Schreiber

Öffentliche und nicht-öffentliche Stellen | § 2 BDSG

Nach § 1 Abs. 2 Nr. 2 gilt das BDSG für den Umgang mit Daten durch die Länder jedoch nur, soweit die Länder keine Regelungen hierüber getroffen haben. Da mittlerweile alle Bundesländer eigene Landesdatenschutzgesetze erlassen haben, ist der Anwendungsbereich des § 2 Abs. 2 eher gering1. Zumindest den Rahmen des Regelungsbereichs gibt § 2 Abs. 2 jedoch vor2. Bei Vereinigungen von öffentlichen Stellen, an denen gleichzeitig der Bund und das Land beteiligt sind, ist Abs. 3 einschlägig3.

IV. Vereinigungen des privaten Rechts (Abs. 3) Von Abs. 3 werden alle Vereinigungen des privaten Rechts von öffentlichen 14 Stellen des Bundes und der Länder erfasst, die Aufgaben der öffentlichen Verwaltung wahrnehmen4. Hoheitliches Handeln ist dafür jedoch nicht erforderlich5. Ist die Vereinigung über den territorialen Bereich eines Landes hinaus tätig oder liegt der Stimmanteil über 50 % beim Bund, so ist sie als Vereinigung des Bundes zu qualifizieren6. Andernfalls handelt es sich um eine Vereinigung der Länder. Dann ist gemäß § 1 Abs. 2 Nr. 2 der sachliche Anwendungsbereich des jeweiligen Landesdatenschutzgesetzes eröffnet7.

V. Nicht-öffentliche Stellen (Abs. 4) Nimmt eine Stelle keine Aufgaben der öffentlichen Verwaltung wahr und fällt 15 sie nicht unter die Absätze 1–3, handelt es sich gemäß § 2 Abs. 4 Satz 1 um eine nicht-öffentliche Stelle, und der Anwendungsbereich des 3. Abschnittes des BDSG ist eröffnet. Die gewählte Rechtsform der Vereinigung ist unerheblich. Abs. 4 erfasst neben natürlichen Personen jede juristische Person und Personenvereinigung des privaten Rechts (AG, GmbH, eG, KGaA, VVaG, e.V., GbR, nicht rechtsfähiger Verein, Stiftung) und unterwirft sie den datenschutzrechtlichen Bestimmungen der §§ 27 ff.8. Ausnahmsweise ist das BDSG aber dann

1 2 3 4 5 6 7 8

Taeger/Gabel/Buchner, § 2 BDSG Rz. 14; vgl. Breidenbach, LKV 1997, 443 ff. Vgl. Gola/Schomerus, § 3 BDSG Rz. 18a. Gola/Schomerus, § 2 BDSG Rz. 5. Vgl. Gola/Schomerus, § 2 BDSG Rz. 16. Vgl. Simitis/Dammann, § 2 BDSG Rz. 69. Dammann, RDV 1992, 157 (160 f.). Vgl. Dammann, RDV 1992, 157. Taeger/Gabel/Buchner, § 2 BDSG Rz. 17; vgl. Simitis/Dammann, § 2 BDSG Rz. 118 ff.; Schaffland/Wiltfang, § 2 BDSG Rz. 17; zu Allfinanzdienstleistern s. Kilian/Gregor, BB Beilage 2002 Nr. 3.

Schreiber

|

37

§ 3 BDSG | Allgemeine und gemeinsame Bestimmungen nicht anwendbar, wenn die Erhebung, Verarbeitung oder Nutzung der Daten ausschließlich zu familiären oder persönlichen Zwecken erfolgt1. Auch ausländische datenverarbeitende Stellen können dem BDSG unterfallen, wenn die Voraussetzungen nach § 1 Abs. 5 Satz 1 BDSG (s. Komm. zu § 1 BDSG Rz. 45 ff.) erfüllt sind2. Der nicht rechtsfähige Betriebsrat wiederum ist lediglich Teil der datenverarbeitenden Stelle und daher nicht eigenständig Adressat des BDSG3. Soweit Privatpersonen oder privatrechtliche Unternehmen Aufgaben der öffentlichen Verwaltung (sog. „Beliehene“) wahrnehmen, gelten sie gemäß § 2 Abs. 4 Satz 2 als öffentliche Stelle. Das ist bspw. bei Schornsteinfegern der Fall4. Insolvenzverwalter sind hingegen nicht als Beliehene anzusehen. Zwar erhält der Insolvenzverwalter durch die InsO gewisse Befugnisse, die Gesamtvollstreckung über das Vermögen eines Privatschuldners zu betreiben. Öffentlichen Zwang übt er dabei jedoch nicht aus5.

§3 Weitere Begriffsbestimmungen (1) Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener). (2) 1Automatisierte Verarbeitung ist die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten unter Einsatz von Datenverarbeitungsanlagen. 2Eine nicht automatisierte Datei ist jede nicht automatisierte Sammlung personenbezogener Daten, die gleichartig aufgebaut ist und nach bestimmten Merkmalen zugänglich ist und ausgewertet werden kann. (3) Erheben ist das Beschaffen von Daten über den Betroffenen. (4) 1Verarbeiten ist das Speichern, Verändern, Übermitteln, Sperren und Löschen personenbezogener Daten. 2Im Einzelnen ist, ungeachtet der dabei angewendeten Verfahren:

1 Simitis/Dammann, § 2 BDSG Rz. 123; vgl. auch von Lewinski, DuD 2000, 39 (43), der verlangt, dass das BDSG auch auf Freiberufler und Einzelkaufleute keine Anwendung finden soll. 2 Taeger/Gabel/Buchner, § 2 BDSG Rz. 17. 3 Schaffland/Wiltfang, § 2 BDSG Rz. 17 m.w.N. 4 Gola/Schomerus, § 2 BDSG Rz. 15 sowie Taeger/Gabel/Buchner, § 2 BDSG Rz. 18, jeweils mit weiteren Beispielen. 5 Hartung, ZinsO 2011, 1225 (1229 f.).

38

|

Schreiber/Plath/Schreiber

Weitere Begriffsbestimmungen | § 3 BDSG

1. Speichern das Erfassen, Aufnehmen oder Aufbewahren personenbezogener Daten auf einem Datenträger zum Zweck ihrer weiteren Verarbeitung oder Nutzung, 2. Verändern das inhaltliche Umgestalten gespeicherter personenbezogener Daten, 3. Übermitteln das Bekanntgeben gespeicherter oder durch Datenverarbeitung gewonnener personenbezogener Daten an einen Dritten in der Weise, dass a) die Daten an den Dritten weitergegeben werden oder b) der Dritte zur Einsicht oder zum Abruf bereitgehaltene Daten einsieht oder abruft, 4. Sperren das Kennzeichnen gespeicherter personenbezogener Daten, um ihre weitere Verarbeitung oder Nutzung einzuschränken, 5. Löschen das Unkenntlichmachen gespeicherter personenbezogener Daten. (5) Nutzen ist jede Verwendung personenbezogener Daten, soweit es sich nicht um Verarbeitung handelt. (6) Anonymisieren ist das Verändern personenbezogener Daten derart, dass die Einzelangaben über persönliche oder sachliche Verhältnisse nicht mehr oder nur mit einem unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können. (6a) Pseudonymisieren ist das Ersetzen des Namens und anderer Identifikationsmerkmale durch ein Kennzeichen zu dem Zweck, die Bestimmung des Betroffenen auszuschließen oder wesentlich zu erschweren. (7) Verantwortliche Stelle ist jede Person oder Stelle, die personenbezogene Daten für sich selbst erhebt, verarbeitet oder nutzt oder dies durch andere im Auftrag vornehmen lässt. (8) 1Empfänger ist jede Person oder Stelle, die Daten erhält. 2Dritter ist jede Person oder Stelle außerhalb der verantwortlichen Stelle. 3Dritte sind nicht der Betroffene sowie Personen und Stellen, die im Inland, in einem anderen Mitgliedstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum personenbezogene Daten im Auftrag erheben, verarbeiten oder nutzen. (9) Besondere Arten personenbezogener Daten sind Angaben über die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben. (10) Mobile personenbezogene Speicher- und Verarbeitungsmedien sind Datenträger, 1. die an den Betroffenen ausgegeben werden, Plath/Schreiber

|

39

§ 3 BDSG | Allgemeine und gemeinsame Bestimmungen 2. auf denen personenbezogene Daten über die Speicherung hinaus durch die ausgebende oder eine andere Stelle automatisiert verarbeitet werden können und 3. bei denen der Betroffene diese Verarbeitung nur durch den Gebrauch des Mediums beeinflussen kann. (11) Beschäftigte sind: 1. Arbeitnehmerinnen und Arbeitnehmer, 2. zu ihrer Berufsbildung Beschäftigte, 3. Teilnehmerinnen und Teilnehmer an Leistungen zur Teilhabe am Arbeitsleben sowie an Abklärungen der beruflichen Eignung oder Arbeitserprobung (Rehabilitandinnen und Rehabilitanden), 4. in anerkannten Werkstätten für behinderte Menschen Beschäftigte, 5. nach dem Jugendfreiwilligendienstegesetz Beschäftigte, 6. Personen, die wegen ihrer wirtschaftlichen Unselbständigkeit als arbeitnehmerähnliche Personen anzusehen sind; zu diesen gehören auch die in Heimarbeit Beschäftigten und die ihnen Gleichgestellten, 7. Bewerberinnen und Bewerber für ein Beschäftigungsverhältnis sowie Personen, deren Beschäftigungsverhältnis beendet ist, 8. Beamtinnen, Beamte, Richterinnen und Richter des Bundes, Soldatinnen und Soldaten sowie Zivildienstleistende. I. Einführung . . . . . . . . . . . . . . II. Personenbezogene Daten (Abs. 1) . . . . . . . . . . . . . . . . . 1. Einzelangaben über persönliche oder sachliche Verhältnisse . . . 2. Natürliche Personen . . . . . . . . 3. Bestimmte oder bestimmbare Person . . . . . . . . . . . . . . . . . . 4. Einzelfälle . . . . . . . . . . . . . . . III. Automatisierte Verarbeitung und nicht automatisierte Datei (Abs. 2) . . . . . . . . . . . . 1. Automatisierte Verarbeitung (Abs. 2 Satz 1) . . . . . . . . . . . . 2. Nicht automatisierte Datei (Abs. 2 Satz 2) . . . . . . . . . . . . IV. Erheben (Abs. 3) . . . . . . . . . . V. Verarbeiten (Abs. 4) . . . . . . . 1. Speichern (Abs. 4 Satz 2 Nr. 1) . 2. Verändern (Abs. 4 Satz 2 Nr. 2)

40

|

Plath/Schreiber

1 4 7 10 12 16 23 24 25 30 34 35 36

3. Übermitteln (Abs. 4 Satz 2 Nr. 3) a) Übermittlung durch Weitergabe . . . . . . . . . . . . b) Übermittlung durch Bereithalten von Daten . . . . . . . . 4. Sperren (Abs. 4 Satz 2 Nr. 4) . . 5. Löschen (Abs. 4 Satz 2 Nr. 5) . . VI. Nutzen (Abs. 5) . . . . . . . . . . . VII. Anonymisierung und Pseudonymisierung (Abs. 6, 6a) . . . . 1. Anonymisieren (Abs. 6) . . . . . 2. Pseudonymisieren (Abs. 6a) . . VIII. Verantwortliche Stelle (Abs. 7) IX. Empfänger und Dritte (Abs. 8) X. Besondere Arten personenbezogener Daten (Abs. 9) . . . . XI. Mobile personenbezogene Speicher- und Verarbeitungsmedien (Abs. 10) . . . . . . . . . . XII. Beschäftigte (Abs. 11) . . . . . .

39 44 45 48 52 53 56 57 61 66 72 76 82 87

Weitere Begriffsbestimmungen | § 3 BDSG Schrifttum: Abel, Rechtsfragen von Scoring und Rating, RDV 2006, 108; Artikel-29-Datenschutzgruppe, Opinion 3/2012 on developments in biometric technologies (WP 193); Artikel-29-Datenschutzgruppe, Stellungnahme 02/2012 zur Gesichtserkennung bei Onlineund Mobilfunkdiensten (WP 192); Artikel-29-Datenschutzgruppe, Stellungnahme zu den Begriffen „für die Verarbeitung Verantwortlicher“ und „Auftragsverarbeiter“ vom 16.2. 2010, (WP 169); Artikel-29-Datenschutzgruppe, Arbeitspapier. Privatsphäre im Internet – Ein integrierter EU-Ansatz zum Online-Datenschutz vom 21.11.2000 (WP 37); Artikel-29Datenschutzgruppe, Arbeitspapier. Datenschutzfragen im Zusammenhang mit der RFIDTechnik vom 19.1.2005 (WP 105); Artikel-29-Datenschutzgruppe, Stellungnahme zum Begriff „personenbezogene Daten“ vom 20.6.2007 (WP 136); Aßmus, Jahresabschlussprüfung: Datenschutzrechtliche Aspekte bei der Weitergabe von Mitarbeiterdaten, MMR 2009, 599; Becker/Becker, Die neue Google-Datenschutzerklärung und das Nutzer-Metaprofil – Vereinbarkeit mit nationalen und gemeinschaftsrechtlichen Vorgaben, MMR 2012, 351; Bergt, Die Bestimmbarkeit als Grundproblem des Datenschutzrechts Überblick über den Theorienstreit und Lösungsvorschlag, ZD 2015, 365; Bizer, Der Datentreuhänder, DuD 1999, 392; Borges, Der neue Personalausweis und der elektronische Identitätsnachweis, NJW 2010, 3334; Brandenburg/Leuthner, Local Commerce – Einsatz von Mobile Payment-Lösungen, Neue Zahlungsmethoden für den stationären Handel, ZD 2015, 111; Brink/Eckhardt, Wann ist ein Datum ein personenbezogenes Datum? – Anwendungsbereich des Datenschutzrechts, ZD 2015, 205; Brisch/Pieper, Das Kriterium der „Bestimmbarkeit“ bei Big Data-Analyseverfahren – Anonymisierung, Vernunft und rechtliche Absicherung bei Datenübermittelungen, CR 2015, 724; Brühann, Die Veröffentlichung personenbezogener Daten im Internet als Datenschutzproblem, DuD 2004, 201; Dammann, Der EuGH im Internet – Das Ende des internationalen Datenschutzes?, RDV 2004, 19; Dieterich, Canvas Fingerprinting, Rechtliche Anforderungen an neue Methoden der Nutzerprofilerstellung, ZD 2015, 199; Dorner, Big Data und „Dateneigentum“ – Grundfragen des modernen Daten- und Informationshandels, CR 2014, 617; Dreyer, Radio Frequency Identification – friend or foe? Neue Einsatzgebiete des RFID und deren Beurteilung nach dem BDSG, ZD 2012, 20; Ernst, Social Plugins: Der „Like-Button“ als datenschutzrechtliches Problem, NJOZ 2010, 1917; Forgó/Krügel, Der Personenbezug von Geodaten – Cui bono, wenn alles bestimmbar ist?, MMR 2010, 17; Forst, Wer ist „Beschäftigter“ i.S.d. § 3 Abs. 11 BDSG?, RDV 2014, 128; Freund/Schnabel, Bedeutet IPv6 das Ende der Anonymität im Internet? – Technische Grundlagen und rechtliche Beurteilung des neuen Internet-Protokolls, MMR 2011, 495; Gerlach, Personenbezug von IP-Adressen – Praktische Konsequenzen aus dem Urteil des LG Berlin vom 31.1.2013, CR 2013 478; Gola, Die Entwicklung des Datenschutzrechts in den Jahren 1999/2000, NJW 2000, 3749; Härting, Profiling: Vorschläge für eine intelligente Regulierung – Was aus der Zweistufigkeit des Profiling für die Regelung des nicht-öffentlichen Datenschutzbereichs folgt, CR 2014, 528; Heermann, Internetstandard IPv6 – Datenschutz trotz Umstellung?, ZD-Aktuell 2012, 02992, Hoeren, Google Analytics – datenschutzrechtlich unbedenklich? – Verwendbarkeit von Webtracking-Tools nach BDSG und TMG, ZD 2011, 3; Hornung/Goeble, „Daten Ownership“ im vernetzten Automobil – Die rechtliche Analyse des wirtschaftlichen Werts von Automobildaten und ihr Beitrag zum besseren Verständnis der Informationsordnung, CR 2015, 265; Jandt/Roßnagel, Datenschutz in Social Networks – Kollektive Verantwortlichkeit für die Datenverarbeitung, ZD 2011, 160; Jandt/Roßnagel/Wilke, Outsourcing der Verarbeitung von Patientendaten – Fragen des Daten- und Geheimnisschutzes, NZS 2011, 641; Kamlah, Das SCHUFA-Verfahren und seine datenschutzrechtliche Zulässigkeit, MMR 1999, 395; Karg, Die Rechtsfigur des personenbezogenen Datums – Ein Anachro-

Plath/Schreiber

|

41

§ 3 BDSG | Allgemeine und gemeinsame Bestimmungen nismus des Datenschutzes?, ZD 2012, 255; Kloepfer/Kutzschbach, Schufa und Datenschutzrecht, MMR 1998, 650; Koch, Scoring-Systeme in der Kreditwirtschaft. Einsatz unter datenschutzrechtlichen Aspekten, MMR 1998, 458; Kock/Francke, Mitarbeiterkontrolle durch systematischen Datenabgleich zur Korruptionsbekämpfung, NZA 2009, 646; Krüger/Maucher, Ist die IP-Adresse wirklich ein personenbezogenes Datum? – Ein falscher Trend mit großen Auswirkungen auf die Praxis, MMR 2011, 433; Lindner, Persönlichkeitsrecht und Geo-Dienste im Internet – z.B. Google Street View/Google Earth, ZUM 2010, 292; Löw, RFID-Datenschutz – wie soll es weitergehen? Zentrale Frage nach personenbezogenen Daten weiterhin ungeklärt, ZD 2013, 309; Luch, Schleswig-Holsteinischer Landtag Umdruck 17/2988, 13; Lüdemann/Sengstacken/Vogelpohl, Schlaue Schilder – Kommt das intelligente Autokennzeichen? Umfangreiche Einsatzfelder auch im privaten Bereich, ZD 2015, 55; Lundevall/Tranvik, Was sind personenbezogene Daten? Die Kontroverse um IP-Adressen, ZD-Aktuell 2012, 03004; Mackenthun, Datenschutzrechtliche Voraussetzungen der Verarbeitung von Kundendaten beim zentralen Rating und Scoring im Bank-Konzern, WM 2004, 1713; Meyerdierks, Sind IP-Adressen personenbezogene Daten?, MMR 2009, 8; Monreal, „Der für die Verarbeitung Verantwortliche“ – das unbekannte Wesen des deutschen Datenschutzrechts – Mögliche Konsequenzen aus einem deutschen Missverständnis, ZD 2014, 611; Möller/Florax, Datenschutzrechtliche Unbedenklichkeit des Scoring von Kreditrisiken?, NJW 2003, 2724; Munz, Die Videoüberwachung von öffentlich zugänglichen Räumen durch nicht-öffentliche Stellen DSRI-Tagungsband 2011, 447; Petri, Das Scoringverfahren der Schufa, DuD 2001, 290; Petri, Sind Scorewerte rechtwidrig? DuD 2003, 631; Piltz/Holländer, Scoring als modernes Orakel von Delphi – Wie die geplante Änderung des Bundesdatenschutzgesetzes (BDSG) Transparenz und Rechtssicherheit schaffen will, ZRP 2008, 143; Römermann, Praxisverkauf und Praxisbewertung bei Freiberuflern – ein (scheinbar) unlösbares Problem, NJW 2012, 1694; Roßnagel, Anmerkungen zu EuGH, Urteil vom 6.11.2003 – Rs. C-101/01 (Lindqvist/ Schweden), MMR 2004, 99; Roßnagel, Datenschutz in der künftigen Verkehrstelematik, NZV 2006, 281; Roßnagel, Die Novellen zum Datenschutzrecht – Scoring und Adresshandel, NJW 2009, 2716; Roßnagel/Scholz, Datenschutz durch Anonymität und Pseudonymität – Rechtsfolgen der Verwendung anonymer und pseudonymer Daten, MMR 2000, 721; Schröder/Haag, Neue Anforderungen an Cloud Computing für die Praxis – Zusammenfassung und erste Bewertung der „Orientierungshilfe – Cloud Computing“, ZD 2011, 147; Schröder/Hawxwell, Stellungnahme des Wissenschaftlichen Dienstes des Deutschen Bundestages, Ausarbeitung, Die Verletzungen Datenschutzrechtlicher Bestimmungen durch sogenannte Fanpages und Social-Plugins, zum Arbeitspapier des ULD in der Fassung vom 7.10.2011; Schütze, Art.-29-Datenschutzgruppe: Neue Stellungnahme zu biometrischen Technologien, ZD-Aktuell 2012, 02991; Specht/Müller-Riemenschneider, Dynamische IPAdressen: Personenbezogene Daten für den Webseitenbetreiber? Aktueller stand der Diskussion um den Personenbezug, ZD 2014, 71; Taeger, Datenschutz bei Direktmarketing und Bonitätsprüfung, Brunner/Seeger/Turturica (Hrsg.), Fremdfinanzierung von Gebrauchsgütern, Wiesbaden 2010, 51; ULD, Scoringsysteme zur Beurteilung der Kreditwürdigkeit – Chancen und Risiken für den Verbraucher, Schlussbericht Kiel 2006; Tiedemann, E-Mail-Etikette, Datenschutz und Arbeitsrecht – Wann müssen geschäftliche E-Mails als Blindkopie geschickt werden?, ZD 2013, 488; Weichert, Der Schutz genetischer Informationen, DuD 2002, 133; Voigt, Datenschutz bei Google, MMR 2009, 377; Voigt/Alich, Facebook-Like-Button und Co. – Datenschutzrechtliche Verantwortlichkeit der Webseitenbetreiber, NJW 2011, 3541; Weber/Voigt, Internationale Auftragsdatenverarbeitung – Praxisempfehlungen für die Auslagerung von IT-Systemen in Drittstaaten mittels

42

|

Plath/Schreiber

Weitere Begriffsbestimmungen | § 3 BDSG Standardvertragsklauseln ZD 2011, 74; Wegener/Heidrich, Neuer Standard – Neue Herausforderungen: IPv6 und Datenschutz, CR 2011, 479; Wente, Ist die Veröffentlichung von Daten (k)eine Übermittlung im Sinne von § 2 Abs. 2 Nr. 2 BDSG?, RDV 1986, 256; Westerholt/Döring, Datenschutzrechtliche Aspekte der Radio Frequency Identifikation, CR 2004, 710; Wuermeling, Scoring von Kreditrisiken, NJW 2002, 3508; Zech, Daten als Wirtschaftsgut – Überlegungen zu einem „Recht des Datenerzeugers“ – Gibt es für Anwenderdaten ein eigenes Vermögensrecht bzw. Ein übertragbares Ausschließlichkeitsrecht, CR 2015, 137; Ziebarth, Google als Geheimnishüter? – Verantwortlichkeit der Suchmaschinenbetreiber nach dem EuGH-Urteil, ZD 2014, 394.

I. Einführung § 3 stellt die zentrale Definitionsnorm des BDSG dar und legt die Bedeutung 1 der grundlegenden Begriffe des deutschen Datenschutzrechts fest. Diese Definitionen sind nicht nur bei der Anwendung der Regelungen des BDSG zugrunde zu legen, sondern gelten auch im Rahmen der bereichsspezifischen Datenschutznormen, z.B. des TMG oder des TKG, sofern diese keine abweichende Regelung treffen. Dies ergibt sich aus § 1 Abs. 3, der die subsidiäre Geltung der Normen des BDSG anordnet. Vor diesem Hintergrund sei auf die vorrangig geltenden bereichsspezifischen Definitionen in § 2 TMG, § 3 TKG und § 2 RStV hingewiesen. Der Definitionskatalog des § 3 ist nicht abschließend; es finden sich im Rah- 2 men des BDSG auch an anderer Stelle weitere grundlegende Begriffsbestimmungen. So definiert § 2 die Begriffe der „öffentlichen“ und „nicht-öffentlichen Stelle“ und § 46 die Begriffe „Datei“, „Akte“ und „Empfänger“ für den Fall, dass diese Begriffe in besonderen Rechtsvorschriften des Bundes verwendet werden. Im Zusammenspiel mit diesen Normen konkretisiert § 3 sowohl den persönlichen als auch den sachlichen Anwendungsbereich des BDSG (vgl. § 1 Abs. 2). Den Begriffsdefinitionen des Abs. 3 liegt Art. 2 EG-Datenschutzrichtlinie zu- 3 grunde. Zu weiten Teilen stimmen die Definitionen des BDSG nahezu wortgleich mit denen der EG-Datenschutzrichtlinie überein. Allerdings weichen einige Begriffsbestimmungen auch von den Vorgaben der EG-Datenschutzrichtlinie ab. So verwendet das BDSG bspw. hinsichtlich der Verwendungsform des „Verarbeitens“ einen engeren Begriff als die EG-Datenschutzrichtlinie (ausführlich hierzu s. Rz. 34). Auch die Definition der verantwortlichen Stelle weicht von den Vorgaben der EG-Datenschutzrichtlinie ab (vgl. auch Rz. 66 ff.). Vor diesem Hintergrund ist eine richtlinienkonforme Auslegung der Begriffsbestimmungen des BDSG geboten, auf die im Rahmen der nachfolgenden Kommentierungen der einzelnen Begriffe jeweils noch näher einzugehen sein wird (s. hierzu auch Rz. 66)1. Auch im Anwendungsbereich der DSGVO findet sich in Art. 4 DSGVO ein Definitionskatalog, wobei einige Begriffe durchaus vergleichbar, an1 Vgl. hierzu Simitis/Dammann, § 3 BDSG Rz. 2, 224 ff.

Plath/Schreiber

|

43

§ 3 BDSG | Allgemeine und gemeinsame Bestimmungen dere aber gänzlich abweichend bzw. neu definiert worden sind. Wegen der Details sei auf die nachfolgende Kommentierung der betreffenden Begriffe sowie auf die Kommentierung des Art. 4 DSGVO verwiesen.

II. Personenbezogene Daten (Abs. 1) 4 Gemäß Abs. 1 sind unter dem Begriff der „personenbezogenen Daten“ Einzel-

angaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren Person zu verstehen. Diese Person wird als „Betroffener“ bezeichnet. Anders als es der Wortlaut suggeriert, ist jede Einzelangabe für sich genommen bereits ein personenbezogenes Datum, so dass die Anwendbarkeit dieser Begriffsbestimmung nicht das Vorliegen einer Vielzahl solcher Daten voraussetzt1. Darüber hinaus müssen die Daten weder zutreffend noch bewiesen sein2. Dies ergibt sich nicht zuletzt aus den Ansprüchen auf Löschung und Sperrung für den Fall, dass die durch die verantwortliche Stelle verwendeten Daten unrichtig sind, § 35 Abs. 1. Vielmehr sind sogar (subjektive) Werturteile über bestimmte oder bestimmbare Personen als personenbezogene Daten anzusehen3. Der Grund hierfür liegt darin, dass auch bzw. gerade in der Verwendung unrichtiger, unvollständiger oder unbewiesener Daten eine Beeinträchtigung des Grundrechts auf informationelle Selbstbestimmung des Betroffenen, dem zentralen Schutzgut des BDSG, zu sehen ist.

5 Ebenso unerheblich für die Begriffsbestimmung des Abs. 1 ist der Datenträger,

auf dem sich die personenbezogenen Daten befinden. Umfasst werden damit sowohl Daten, die auf „konventionellen“ Speichermedien wie Papier, CDs oder Festplatten liegen, als auch solche, die sich auf unkonventionellen oder neuen Datenträgern befinden, wie z.B. auf der Haut eines Menschen gespeicherte Geninformationen4. Einschränkend zu beachten sind allerdings die Regelungen des § 1 zum sachlichen Anwendungsbereich, der im nicht-öffentlichen Bereich grundsätzlich dann nicht eröffnet ist, wenn es an einem „Dateibezug“ fehlt (s. dazu die Komm. zu § 1 BDSG Rz. 26 ff.).

6 Der dem Abs. 1 zugrunde liegende Art. 2 Buchst. a EG-Datenschutzrichtlinie sieht

eine weite Definition des Begriffs der personenbezogenen Daten vor, so dass dieser europarechtlichen Vorgabe in Zweifelsfällen durch richtlinienkonforme Auslegung Rechnung getragen werden muss5. In der DSGVO sind „personenbezogene Daten“ in Art. 4 Nr. 1 DSGVO legaldefiniert. 1 Taeger/Gabel/Buchner, § 3 BDSG Rz. 3; Simitis/Dammann, § 3 BDSG Rz. 3. 2 Simitis/Dammann, § 3 BDSG Rz. 12. 3 Schaffland/Wiltfang, § 3 BDSG Rz. 6; Taeger/Gabel/Buchner, § 3 BDSG Rz. 5; Simitis/ Dammann, § 3 BDSG Rz. 12. 4 Taeger/Gabel/Buchner, § 3 BDSG Rz. 7. 5 Artikel-29-Datenschutzgruppe, Stellungnahme zum Begriff „personenbezogene Daten“, 4; Taeger/Gabel/Buchner, § 3 BDSG Rz. 3.

44

|

Plath/Schreiber

Weitere Begriffsbestimmungen | § 3 BDSG

1. Einzelangaben über persönliche oder sachliche Verhältnisse Der Begriff Einzelangabe umfasst jede Information geistigen Inhalts1. Unerheb- 7 lich ist die Ausdrucksweise oder Mitteilungsform dieser Angabe, so dass neben schriftlichen Aufzeichnungen auch Fotos, Videoaufzeichnungen2 oder Tonaufnahmen von der Definition erfasst sind3. Bei zusammenfassenden Daten zu einer Gruppe von Personen (aggregierte Daten) handelt es sich nur dann um Einzelangaben i.S.d. Abs. 1, wenn die Daten Rückschlüsse auf eine bestimmte Person zulassen4. Das ist bspw. der Fall, wenn eine Angabe auf bestimmte oder alle Mitglieder der Gruppe zutrifft und individuell zugeordnet werden kann (z.B. die Qualifikation als „Wanderer“ bezüglich jedes einzelnen Mitglieds einer Wandergruppe)5. Unter dem Begriff der „persönlichen und sachlichen Verhältnisse“ einer Per- 8 son sind körperliche und geistige Eigenschaften, Verhaltensweisen und berufliche, wirtschaftliche, soziale oder private Beziehungen sowie alle identifizierenden Angaben wie bspw. Personenkennzeichen, Arbeitszeiten6, GPS-Standortdaten7, Daten in rechtlichen Analysen8 und biometrische Daten zu verstehen9. Auf die Sensibilität oder Aussagekraft der Angaben kommt es für ihre Einordnung als „personenbezogene Daten“ nicht an10. Allerdings differenziert das Gesetz an manchen Stellen zwischen personenbezogenen Daten im Allgemeinen und einer spezielleren Kategorie, den sog. „sensiblen Daten“, und lässt letzteren einen gesteigerten Schutz zukommen. Dies ist z.B. bei den §§ 13 Abs. 2, 14 Abs. 5, Abs. 6, 28 Abs. 6 und 29 Abs. 5 der Fall11. Auch Scoring-Werte fallen – wie § 28b zeigt – unter den Begriff der personen- 9 bezogenen Daten. Für nähere Ausführungen zu diesem Begriff s. Komm. zu § 28b BDSG Rz. 6. Ob hingegen sog. Prognose- oder Planungsdaten zu bestimmten Betroffenen personenbezogene Daten sind, ist strittig. Mit diesem Begriff werden Angaben bezeichnet, die sich auf prognostische oder zukünftige Entwicklungen beziehen, z.B. Personalplanungsdaten von Unternehmen hin1 2 3 4 5 6 7 8 9 10 11

Simitis/Dammann, § 3 BDSG Rz. 5. OVG Lüneburg v. 29.9.2014 – 11 LC 114/13, CR 2015, 39 (40). Simitis/Dammann, § 3 BDSG Rz. 4. Simitis/Dammann, § 3 BDSG Rz. 14; Bergmann/Möhrle/Herb, § 3 BDSG Rz. 18; Gola/ Schomerus, § 3 BDSG Rz. 3. Vgl. Bergmann/Möhrle/Herb, § 3 BDSG Rz. 16. EuGH v. 30.5.2013 – C-342/12, NZA 2013, 723. BGH v. 4.6.2013 – 1 StR 32/13, ZD 2013, 502. EuGH v. 17.7.2014 – C-141/12 u. C-372/12, CR 2015, 103 erfasst sind nur die Daten auf dessen Grundlage die rechtliche Analyse basiert. Artikel-29-Datenschutzgruppe, Stellungnahme zum Begriff „personenbezogene Daten“, 9; Taeger/Gabel/Buchner, § 3 BDSG Rz. 4. Simitis/Dammann, § 3 BDSG Rz. 8. Taeger/Gabel/Buchner, § 3 BDSG Rz. 4.

Plath/Schreiber

|

45

§ 3 BDSG | Allgemeine und gemeinsame Bestimmungen sichtlich des zukünftigen Umgangs mit ihren Mitarbeitern. Teilweise wird vertreten, dass auch solche Planungsdaten personenbezogene Daten darstellen. Begründet wird diese Ansicht damit, dass sich auch theoretische Planungen auf gegenwärtige Verhältnisse eines Betroffenen auswirken oder einen Rückschluss auf diese zulassen können1. Nach zutreffender Ansicht muss jedoch auch in diesem Zusammenhang allein entscheidend sein, ob sich aus den Daten tatsächlich konkrete Informationen über die persönlichen Verhältnisse des Betroffenen ableiten lassen, oder ob es sich lediglich um abstrakte Angaben ohne konkreten Personenbezug handelt2. Prüft ein Unternehmen bspw. lediglich die Möglichkeit einer Personalreduzierung, ohne bestimmte Stellen oder Arbeitnehmer zu benennen, ist kein Personenbezug gegeben3. Bezieht sich die Planung dagegen auf konkrete Überlegungen zur beruflichen Zukunft eines bestimmten Arbeitnehmers, so wird im Regelfall ein Personenbezug anzunehmen sein. Dies gilt insbesondere dann, wenn diese Prognose oder Planung auf einer Bewertung des Verhaltens oder der Fähigkeiten des Betroffenen beruht. Der Personenbezug ist darüber hinaus auch dann regelmäßig gegeben, wenn die Planung (z.B. ein bevorstehender beruflicher Wechsel oder die Tätigung einer größeren Investition) durch den Betroffenen selbst erfolgt4. 2. Natürliche Personen 10 Das BDSG schützt nur natürliche lebende Personen. Die personenbezogenen

Daten von Verstorbenen werden nicht durch das BDSG geschützt, da der Schutzbereich der informationellen Selbstbestimmung mit dem Tod endet5. Auch Ungeborene fallen nicht unter den Schutz des BDSG. Allerdings werden deren Daten im Sinne einer Vorwirkung als Daten der Mutter geschützt, so dass sich der Anwendungsbereich des BDSG de facto auch auf den Zeitraum vor der Geburt ausdehnt6.

11 Juristische Personen fallen – trotz ihrer grundrechtlichen Gleichstellung mit

natürlichen Personen durch Art. 19 Abs. 3 GG – nicht in den Schutzbereich des BDSG7. Sie können jedoch unter Umständen etwaige datenschutzrechtliche Ansprüche auf ihr allgemeines Persönlichkeitsrecht aus Art. 1 Abs. 1, 2 Abs. 1 GG

1 2 3 4 5

Gola/Schomerus, § 3 BDSG Rz. 9. Taeger/Gabel/Buchner, § 3 BDSG Rz. 6; vgl. Schaffland/Wiltfang, § 3 BDSG Rz. 8. Schaffland/Wiltfang, § 3 BDSG Rz. 8. Ebenso Schaffland/Wiltfang, § 3 BDSG Rz. 7. Simitis/Dammann, § 3 BDSG Rz. 17; Gola/Schomerus, § 3 BDSG Rz. 12; Schaffland/Wiltfang, § 3 BDSG Rz. 3; a.A. Bergmann/Möhrle/Herb, § 3 BDSG Rz. 5, 7. 6 Simitis/Dammann, § 3 BDSG Rz. 17; vgl. Artikel-29-Datenschutzgruppe, personenbezogene Daten, 25 f., zu Sonderfällen wie der ärztlichen Schweigepflicht nach dem Tod; vgl. Schaffland/Wiltfang, § 3 BDSG Rz. 4. 7 Taeger/Gabel/Buchner, § 3 BDSG Rz. 8; Artikel-29-Datenschutzgruppe, personenbezogene Daten, 27.

46

|

Plath/Schreiber

Weitere Begriffsbestimmungen | § 3 BDSG

stützen1. Der Grund hierfür ist, dass das BDSG eine Konkretisierung des Schutzes der informationellen Selbstbestimmung einer Person als integraler Bestandteil ihres allgemeinen Persönlichkeitsrechts darstellt. Auch wenn also die spezialgesetzliche Ausformung dieses Grundrechtsschutzes nicht greift, so können dennoch die dem BDSG zugrunde liegenden Abwägungsgrundsätze einem allgemeinen Grundrechtsschutz zugrunde gelegt werden. Zu beachten ist jedoch, dass das BDSG direkt Anwendung findet, wenn der Informationsgehalt eines Datums über eine juristische Person auf eine natürliche Person „durchschlägt“. Dies wird bspw. regelmäßig bei Ein-Mann-GmbHs oder ähnlichen Einzelfirmen der Fall sein. Bei solchen Daten handelt es sich dann gleichzeitig sowohl um unternehmens- als auch um personenbezogene Daten2. 3. Bestimmte oder bestimmbare Person Ein Personenbezug ist immer dann gegeben, wenn sich Informationen auf per- 12 sönliche oder sachliche Verhältnisse einer Person beziehen3. Der Bezug kann dabei sowohl unmittelbar als auch mittelbar sein. Ein unmittelbarer Personenbezug ist gegeben, wenn sich die Angaben direkt auf die Person selbst oder deren „persönliche Verhältnisse“ beziehen, wie etwa bei Angaben über das Alter einer namentlich benannten Person. Ein mittelbarer Personenbezug bezüglich der „sachlichen Verhältnisse“ einer Person ist hingegen dann gegeben, wenn Daten zwar in erster Linie nur einen Sachbezug aufweisen, in zweiter Linie aber auch Rückschlüsse auf die Verhältnisse einer natürlichen Person zulassen4. So stellt bspw. der Wert einer Immobilie einer bestimmten Person ein personenbezogenes Datum des Eigentümers der Immobilie dar, da dieser Rückschlüsse auf die wirtschaftlichen Verhältnisse des Betroffenen zulässt und bspw. einer Steuerfestsetzung zugrunde gelegt werden kann5. Entgegen verbreiteter Annahme ist es also nicht so, dass der Schutz des BDSG erst dann beginnt, wenn bspw. konkrete persönliche Umstände oder menschliche Eigenschaften einer Person preisgegeben werden bzw. betroffen sind. Vielmehr gilt der Schutz des BDSG nahezu für sämtliche Daten, die mit einer Person in Verbindung stehen, solange diese Person bestimmt oder jedenfalls bestimmbar ist. Bestimmt ist eine Person immer dann, wenn feststeht, dass sich die Angaben 13 auf diese konkrete Person beziehen6. Dies ist insbesondere immer dann der Fall, 1 Gola/Schomerus, § 3 BDSG Rz. 11. 2 Vgl. Taeger/Gabel/Buchner, § 3 BDSG Rz. 8; Artikel-29-Datenschutzgruppe, Stellungnahme zum Begriff „personenbezogene Daten“, 27 f.; Bergmann/Möhrle/Herb, § 3 BDSG Rz. 12; Gola/Schomerus, § 3 BDSG Rz. 11a. 3 Vgl. Taeger/Gabel/Buchner, § 3 BDSG Rz. 10. 4 Vgl. Taeger/Gabel/Buchner, § 3 BDSG Rz. 10; Simitis/Dammann, § 3 BDSG Rz. 57. 5 Vgl. Taeger/Gabel/Buchner, § 3 BDSG Rz. 10; Simitis/Dammann, § 3 BDSG Rz. 57. 6 Simitis/Dammann, § 3 BDSG Rz. 22.

Plath/Schreiber

|

47

§ 3 BDSG | Allgemeine und gemeinsame Bestimmungen wenn die konkrete Person namentlich benannt wird. Dagegen ist eine Person nur bestimmbar, wenn lediglich die Möglichkeit besteht, ihre Identität zu ermitteln, bspw. über die Telefonnummer oder das KFZ-Kennzeichen1. 14 Strittig ist, aus welcher Perspektive die Bestimmbarkeit des Personenbezugs zu

beurteilen ist. Einer Ansicht nach soll diese Frage objektiv bzw. absolut zu beurteilen sein. Hiernach würde es ausreichen, wenn irgendeiner beliebigen Stelle die Zuordnung des Datums möglich ist, um einen Personenbezug dieser Information auch im Verhältnis zu anderen verantwortlichen Stellen zu begründen, die nicht über das entsprechende Zuordnungsmittel verfügen2. Dagegen spricht jedoch, dass das BDSG vor einer konkreten Gefahr für die informationelle Selbstbestimmung des Betroffenen schützen will. Dieser „objektive“ bzw. absolute Ansatz würde hingegen dazu führen, dass auch Datenverwendungen, die ein solches Gefahrenpotenzial für einen konkreten Grundrechtsträger gerade nicht aufweisen, den strengen Anforderungen des BDSG gerecht werden müssten. Dies würde jedoch über das Ziel des Datenschutzrechts hinausgehen und zu einer unverhältnismäßigen Belastung der Wirtschaft führen. Besonders gilt dies für den Bereich der Big Data Anwendungen3.

15 Nach zutreffender Ansicht ist deshalb die Frage des Personenbezugs relativ zu

beurteilen. Ausschlaggebend ist damit, ob im Verhältnis zur jeweiligen verantwortlichen Stelle die Herstellung eines Personenbezugs realistischerweise möglich ist. Damit kann ein und dasselbe Datum für eine bestimmte Stelle, die über ein Mittel zur Zuordnung verfügt, einen Personenbezug aufweisen, für eine andere Stelle hingegen nicht4. Dabei kann die rein hypothetische Möglichkeit der Rückführbarkeit von Daten auf die betroffene Person nicht allein ausschlaggebend sein. Vielmehr sieht auch der Erwägungsgrund 26 zur EG-Datenschutzrichtlinie vor, dass bei der Beurteilung der Frage des mittelbaren Personenbezugs zu berücksichtigen ist, welcher Mittel es bedarf, um eine Identifizierung der Person anhand dieses Datums zu ermöglichen5. Dabei sind Kriterien wie Arbeitskraft, Kosten und Zeitaufwand, die für die Identifizierung aufgebracht werden müssten, für die Beurteilung der Frage ausschlaggebend, ob ein solches Mit1 Vgl. Artikel-29-Datenschutzgruppe, Stellungnahme zum Begriff „personenbezogene Daten“, 14; Taeger/Gabel/Buchner, § 3 BDSG Rz. 11; EuGH v. 6.11.2003 – C-101/01, CR 2004, 286. 2 S. Darstellung bei Taeger/Gabel/Buchner, § 3 BDSG Rz. 13; Bergt, ZD 2015, 366 ff. 3 S. dazu etwa Brisch/Pieper, CR 2015, 724 (726); vgl. Härting, CR 2014, 528 (533). 4 LG Berlin v. 6.9.2007 – 23 S 3/07, MMR 2007, 799 (801); Gola/Schomerus, § 3 BDSG Rz. 10; vgl. Simitis/Dammann, § 3 BDSG Rz. 32 f.; Taeger/Gabel/Buchner, § 3 BDSG Rz. 13; Spindler/Nink in Spindler/Schuster, § 12 TMG Rz. 5b; Roßnagel/Scholz, MMR 2000, 721 (723); für einen vermittelnden Ansatz vgl. Brink/Eckhardt, ZD 2015, 205 sowie Specht/Müller-Riemenschneider, ZD 2014, 71. 5 Artikel-29-Datenschutzgruppe, Stellungnahme zum Begriff „personenbezogene Daten“, 17; Taeger/Gabel/Buchner, § 3 BDSG Rz. 12; vgl. auch Simitis/Dammann, § 3 BDSG Rz. 23 f.

48

|

Plath/Schreiber

Weitere Begriffsbestimmungen | § 3 BDSG

tel zur Identifizierung taugt1. Auch etwaiges Zusatzwissen, welches der verantwortlichen Stelle zugänglich ist, muss bei einer solchen Beurteilung berücksichtigt werden2. Für die hier vertretene Ansicht spricht zudem, dass es auf dieselben Kriterien auch im Rahmen der Feststellung ankommt, ob anonymisierte oder pseudonymisierte Daten einen Personenbezug aufweisen3. 4. Einzelfälle Bei biometrischen Daten ist ein Personenbezug bereits gegeben, wenn der Trä- 16 ger mit gewisser Wahrscheinlichkeit durch die verantwortliche Stelle ermittelt werden kann4. Biometrische Daten sind biologische Eigenschaften, physiologische Merkmale und Handlungen, welche für die betreffende Person spezifisch und messbar sind (bspw. Augennetzhaut, Fingerabdrücke, Gangart, Sprechweise, DNA5 oder Unterschrift). Dies gilt auch dann, wenn die in der Praxis angewandten Modelle für ihre technische Messung in gewissem Umfang auf Wahrscheinlichkeiten beruhen6. Auch als Namensersatz fungierende Kennzeichen wie Aktenzeichen, E-Mail-Ad- 17 ressen7, Kennwörter oder TAN-Nummern sind grundsätzlich personenbezogene Daten. Die Versendung von E-Mail-Adressen in einem offenen E-Mailverteiler kann daher einen datenschutzrechtlichen Verstoß darstellen, der bereits in einem konkreten Fall mit einem Bußgeld geahndet wurde8. Solche Kennzeichen verlieren aber diese Eigenschaft, wenn der entsprechende personenbezogene Kontext entfällt9. Wird z.B. der Inhalt einer E-Mail im Rahmen einer Compliance-Untersuchung an die ermittelnden Behörden übersandt, nachdem zuvor der Versender und Empfänger der E-Mail unkenntlich gemacht worden sind, so stellt der Inhalt der E-Mail jedenfalls für die Behörde kein personenbezogenes Datum mehr dar, wenn sich der Personenbezug nicht anderweitig herstellen lässt. Ebenso können Daten aus RFID-Technologien („Radio Frequency Identifica- 18 tion“), die zunehmend in den Alltag integriert werden, einen Personenbezug 1 Taeger/Gabel/Buchner, § 3 BDSG Rz. 12. 2 Vgl. Simitis/Dammann, § 3 BDSG Rz. 31 f.; Taeger/Gabel/Buchner, § 3 BDSG Rz. 13; s.a. zur selben Problematik bei Re-Identifizierung nach erfolgter Anonymisierung Rz. 59. 3 Vgl. Bergmann/Möhrle/Herb, § 3 BDSG Rz. 18; s. zum Personenbezug bei anonymisierten und pseudonymisierten Daten Rz. 56. 4 S. dazu auch Taeger/Gabel/Buchner, § 3 BDSG Rz. 15. 5 Weichert, DuD 2002, 133, zum Schutz genetischer Informationen. 6 Vgl. Schütze, ZD-Aktuell 2012, 02991, Taeger/Gabel/Buchner, § 3 BDSG Rz. 15; s.a. Artikel-29-Datenschutzgruppe, Gesichtserkennung bei Online- und Mobilfunkdiensten, 1 ff.; Artikel-29-Datenschutzgruppe, developments in biometric technologies, 3 ff.; Borges, NJW 2010, 3334, zum neuen Personalausweis. 7 Simitis/Dammann, § 3 BDSG Rz. 62; Tiedemann, ZD 2013, 488 (489). 8 Vgl. BayLDA Pressemitteilung vom 28.6.2013. 9 Simitis/Dammann, § 3 BDSG Rz. 10.

Plath/Schreiber

|

49

§ 3 BDSG | Allgemeine und gemeinsame Bestimmungen aufweisen1. Ein RFID-System besteht aus einem Transponder, der an Gegenständen oder Lebewesen angebracht wird und einen kennzeichnenden Code enthält (sog. Tag), sowie aus einem Lesegerät zum Auslesen dieser Kennung2. Solche RFID-Tags befinden sich häufig auf Kundenkarten3, werden in einigen Ländern aber auch schon in Autokennzeichen verwendet4. Sobald die auf dem RFID-Tag gespeicherten Informationen mit Daten, welche die Identifizierung ermöglichen (z.B. Name, Telefonnummer, Anschrift oder eine wiederkehrende Kennnummer), verknüpft werden können, ist für die jeweils verantwortliche Stelle ein Personenbezug gegeben5. 19 Ebenso können geografische Standort- oder Positionsdaten sowie Gebäude- und

Grundstücksaufnahmen (Geodaten), wie sie z.B. im Rahmen der Dienste von „Google Street View“ oder von „location based services“ anfallen, einen Personenbezug aufweisen6. Auch die Nutzungsdaten aus Automobilen, wie z.B. Durschnittsgeschwindigkeiten oder Füllstände, sind personenbezogen Daten i.S.d. BDSG, wenn eine Bestimmbarkeit mittels der Fahrzeugidentifizierungsnummer oder des KFZ-Kennzeichens möglich ist7.

20 Gegenstand heftiger Diskussionen ist immer wieder der Personenbezug von IP-

Adressen. Bei statischen IP-Adressen ist ein Personenbezug jedenfalls für den Access-Provider gegeben, wenn er die entsprechenden Daten auf einen bestimmten Betroffenen zurückführen kann8. Dies wird in der Regel der Fall sein. Schwieriger ist die Bewertung der Sachlage jedoch bei der Verwendung dynamischer IP-Adressen (dieses Problem wird ausführlich unter Rz. 21 behandelt)9. Der EuGH hat im Rahmen einer Urteilsbegründung einer Entscheidung aus dem Jahre 2011 nicht zwischen statischen und dynamischen IP-Adressen unterschieden10. Aufgrund dieser fehlenden Differenzierung wird der EuGH dahin gehend verstanden, dass er sowohl statische als auch dynamische IP-Adressen

1 Simitis/Dammann, § 3 BDSG Rz. 70; vgl. hierzu auch Löw, ZD 2013, 309; Dreyer, ZD 2012, 20; speziell zur Near Field Communication (NFC) s. Brandenburg/Leuthner, ZD 2015, 111. 2 Vgl. Taeger/Gabel/Buchner, § 3 BDSG Rz. 18. 3 Taeger/Gabel/Buchner, § 3 BDSG Rz. 18. 4 Hierzu Lüdemann/Sengstacken/Vogelpohl, ZD 2015, 55. 5 Taeger/Gabel/Buchner, § 3 BDSG Rz. 18. 6 S. hierzu Forgó/Krügel, MMR 2010, 17; Lindner, ZUM 2010, 292; Roßnagel, NZV 2006, 281, zu Verkehrstelematik. 7 Vgl. https://www.vda.de/de/themen/innovation-und-technik/vernetzung/gemeinsameerklaerung-vda-und-datenschutzbehoerden-2016.html; zum „Daten Ownership“ bei vernetzten Automobilen s. Hornung/Goeble, CR 2015, 265. 8 Taeger/Gabel/Buchner, § 3 BDSG Rz. 17; vgl. Schaffland/Wiltfang, § 3 BDSG Rz. 5a; LG Berlin v. 6.9.2007 – 23 S 3/07, DuD 2007, 858; Voigt, MMR 2009, 377 (378), zum Datenschutz bei Google. 9 Vgl. auch Meyerdierks, MMR 2009, 8 ff.; Voigt, MMR 2009, 377 (378), bei Google. 10 EuGH v. 24.11.2011 – C-70/10 Rz. 51, CR 2012, 33.

50

|

Plath/Schreiber

Weitere Begriffsbestimmungen | § 3 BDSG

für Daten hält, die für den Access-Provider einen Personenbezug aufweisen. Auch das LG Berlin hat dynamische IP-Adressen im Verhältnis zum Access-, nicht jedoch zum Content-Provider als personenbezogene Daten eingestuft. Das LG Berlin hat diese differenzierende Beurteilung damit begründet, dass sich die Kenntnisse des Content-Providers in der Zahlenfolge der IP-Adresse verbunden mit dem Zeitpunkt des Zugriffs auf den Webserver erschöpften1. Die Artikel-29Datenschutzgruppe geht noch weiter und bejaht einen Personenbezug auch für Verwalter von sozialen Netzwerken sowie andere Internetdiensteanbieter, welche in ihren http-Servern Protokolle führen. Begründet wird diese Ansicht damit, dass solche Dienstanbieter ohne großen Aufwand Internetnutzer, denen sie eine IP-Adresse zugewiesen haben, mithilfe der gespeicherten Daten identifizieren könnten2. Den Vertretern der dargestellten Ansichten ist insoweit zuzustimmen, als dass 21 auch bei dynamischen IP-Adressen für den Access-Provider ein Personenbezug regelmäßig besteht. Ob ein Personenbezug für andere Diensteanbieter oder Dritte besteht, ist dagegen im Einzelfall zu prüfen. Nach dem hier vertretenen relativen Ansatz ist ausschlaggebend, ob die jeweilige verantwortliche Stelle selbst über rechtlich zulässige Mittel verfügt, die zur Identifizierung und damit zur Herstellung des Personenbezugs taugen (s. hierzu Rz. 14)3. Dies wird bspw. der Fall sein, wenn durch eine Verknüpfung der IP-Adresse mit anderen Angaben des Betroffenen wie der E-Mail-Adresse, an welche der Diensteanbieter durch Setzen eines Cookies oder Web-Bugs gelangt, ein Personenbezug begründet wird4. Ist eine Verknüpfung einer dynamischen IP-Adresse mit anderen Angaben dagegen rechtlich oder faktisch nicht bzw. nicht mit realistischem Aufwand möglich, und kann demnach im Einzelfall kein Personenbezug hergestellt werden, so fällt die Verwendung einer solchen „nackten“ IP-Adresse nicht in den Schutzbereich des BDSG. Der BGH hat dem EuGH im Jahr 2014 zur Klärung der Problematik die Frage vorgelegt, ob personenbezogene Daten für den Content-Provider vorliegen, wenn zwar nicht der Content-Provider, aber ein 1 LG Berlin v. 6.9.2007 – 23 S 3/07, MMR 2007, 799 (801); LG Berlin v. 31.1.2013 – 57 S 87/ 08, CR 2013, 471; dazu Gerlach, CR 2013, 478 (479); s.a. AG München v. 30.9.2008 – 133 C 5677/08; VG Düsseldorf v. 17.7.2009 – 27 L 990/09, wonach kein Personenbezug für den Betreiber eines Internetportals besteht; a.A. OLG Hamburg v. 2.8.2011 – 7 U 134/10, CR 2012, 188. 2 Artikel-29-Datenschutzgruppe, personenbezogene Daten, 19; Hoeren, ZD 2011, 3 (4 ff.), zu Google Analytics; Becker/Becker, MMR 2012, 351 (352); a.A. Krüger/Maucher, MMR 2011, 433 (439), wonach dynamische IP-Adressen für Website-Betreiber kein personenbeziehbares Datum sind; für einen vermittelnden beschränkt-objektiven Ansatz Specht/ Müller-Riemenschneider, ZD 2014, 71. 3 Lundevall/Travnik, ZD-Aktuell 2012, 03004. 4 I.E. ebenso Hoeren, ZD 2011, 3 (4 ff.); Redeker, Rechtsprobleme von Internet und Telekommunikation Rz. 937; Ernst, NJOZ 2010, 1917 (1918); zur Verknüpfung personenbezogener Daten mittels „Canvas Fingerprinting“ vgl. Dieterich, ZD 2015, 199.

Plath/Schreiber

|

51

§ 3 BDSG | Allgemeine und gemeinsame Bestimmungen Dritter (Access-Provider) über ein für eine Identifizierung erforderliche Zusatzwissen verfügt1. Die Entscheidung des EuGH steht noch aus. 22 Die Diskussion um den Personenbezug bei dynamischen IP-Adressen könnte je-

doch an Bedeutung verlieren, wenn im Zuge der Einführung der Internet Protocol Version 6 (IPV6), durch die eine Vielzahl neuer IP-Adressen zur Verfügung stehen werden, nur noch statische IP-Adressen vergeben werden. Der Personenbezug würde dann nicht mehr von der Hand zu weisen sein, jedenfalls soweit diese IP-Adressen mithilfe eines für jeden durchführbaren „Reverse Search“ einer bestimmten Person unproblematisch zuordenbar würden2.

III. Automatisierte Verarbeitung und nicht automatisierte Datei (Abs. 2) 23 Abs. 2 definiert die Begriffe der „automatisierten Verarbeitung“ sowie der

„nicht automatisierten Datei“. Von Bedeutung sind diese Begriffe insbesondere für die Frage, ob der Anwendungsbereich des BDSG bei der Verwendung von Daten durch nicht-öffentliche Stellen eröffnet ist (vgl. §§ 1 Abs. 2 Nr. 3, 27)3. 1. Automatisierte Verarbeitung (Abs. 2 Satz 1)

24 Unter dem Begriff der „automatisierten Verarbeitung“ ist die Erhebung, Ver-

arbeitung oder Nutzung personenbezogener Daten unter Einsatz von Datenverarbeitungsanlagen zu verstehen. Auf die Größe und Leistungsfähigkeit der Datenverarbeitungsanlage kommt es dabei nicht an4. Vielmehr ist maßgeblich, ob die Zugänglichkeit zu einer Datensammlung und die Auswertung von Daten durch die Automatisierung des Verarbeitungsvorgangs erleichtert wird5. Der Begriff ist weit auszulegen. Unter Datenverarbeitungsanlagen sind insbesondere alle klassischen Computersysteme zu verstehen sowie darüber hinaus insbesondere Bürokommunikationssysteme, Aktenerschließungssysteme und digitale Bildverarbeitungssysteme6. Bei in Papierform geführten Personalakten liegen keine automatisiert verarbeiteten Daten i.S.v. Abs. 2 Satz 1 vor7.

1 BGH v. 28.10.2014 – VI ZR 135/13, CR 2015, 109. 2 Krüger/Maucher, MMR 2011, 433 (439); Freund/Schnabel, MMR 2011, 495; Heermann, ZD-Aktuell 2012, 02992; vgl. hierzu auch Wegener/Heidrich, CR 2011, 479 (484). 3 Vgl. Schaffland/Wiltfang, § 3 BDSG Rz. 4; Taeger/Gabel/Buchner, § 3 BDSG Rz. 23. 4 Taeger/Gabel/Buchner, § 3 BDSG Rz. 22. 5 Taeger/Gabel/Buchner, § 3 BDSG Rz. 22; vgl. Bergmann/Möhrle/Herb, § 3 BDSG Rz. 47. 6 Taeger/Gabel/Buchner, § 3 BDSG Rz. 22. 7 LAG Sachsen v. 14.1.2014 – 1 Sa 266/13, ZD 2014, 482.

52

|

Plath/Schreiber

Weitere Begriffsbestimmungen | § 3 BDSG

2. Nicht automatisierte Datei (Abs. 2 Satz 2) Gemäß Abs. 2 Satz 2 ist eine „nicht automatisierte Datei“ jede nicht automati- 25 sierte Sammlung personenbezogener Daten, die gleichartig aufgebaut und nach bestimmten Merkmalen zugänglich ist und ausgewertet werden kann. Der Begriff „Sammlung“ beschreibt eine zielstrebig zusammengetragene Mehr- 26 heit von Elementen, welche in einem gewissen inneren Zusammenhang zueinander stehen1. Ein innerer Zusammenhang besteht bspw., wenn Daten sich inhaltlich auf einen gemeinsamen Bereich (z.B. Arbeitnehmer) beziehen oder einem bestimmten Zweck (z.B. der Zugangskontrolle) dienen2. Der „gleichartige Aufbau“ muss hinsichtlich bestimmter Merkmale bestehen, 27 nach denen die Sammlung zugänglich ist und ausgewertet werden kann3. Es muss also ein äußerer Zusammenhang bzw. eine einheitliche Ordnung gegeben sein4. Ein gängiges Beispiel für einen solchen gleichartigen Aufbau ist die alphabetische Ordnung von Namen oder die steigende Ordnung von Kundennummern. Die Sammlung ist „nach einem bestimmten personenbezogenen Merkmal zu- 28 gänglich“, wenn anhand eines Merkmals (z.B. Beruf, Name, Kundennummer oder Aktenzeichen) eine Teilmenge von personenbezogenen Daten einer bestimmten Person oder mehrerer Personen gefunden werden kann5. Nicht zugänglich sind demgegenüber unaufbereitete Datensammlungen, z.B. die Videoaufnahme einer größeren Menschenmenge6. Hier ist eine systematische Durchsuchung der – ansonsten unzweifelhaft gegebenen – „Datensammlung“ nach bestimmten Kriterien nicht möglich7. In der Regel wird also bezüglich solcher Daten, die „nach einem bestimmten personenbezogenen Merkmal zugänglich sind“, zugleich auch die Voraussetzung der „Auswertbarkeit“ erfüllt sein8. Nicht automatisierte Dateien sind bspw. Karteien, Sammlungen ausgefüllter 29 Formulare (z.B. Anträge oder Fragebögen)9 sowie Akten(sammlungen)10. Auch Videoaufzeichnungen und Tonbandaufnahmen können entweder unter den Begriff der nicht automatisierten Datei oder den Begriff der automatisierten Ver1 2 3 4 5 6 7 8 9

Vgl. Simitis/Dammann, § 3 BDSG Rz. 86. Vgl. Simitis/Dammann, § 3 BDSG Rz. 86. Gola/Schomerus, § 3 BDSG Rz. 17 f. Vgl. Simitis/Dammann, § 3 BDSG Rz. 86, 89; Taeger/Gabel/Buchner, § 3 BDSG Rz. 24. Vgl. Simitis/Dammann, § 3 BDSG Rz. 90. Vgl. Simitis/Dammann, § 3 BDSG Rz. 99. Taeger/Gabel/Buchner, § 3 BDSG Rz. 24. Taeger/Gabel/Buchner, § 3 BDSG Rz. 24. Vgl. Simitis/Dammann, § 3 BDSG Rz. 99; BAG v. 16.2.2012 – 6 AZR 553/10, ZD 2012, 478 (479). 10 Gola/Schomerus § 3 BDSG Rz. 20; vgl. Simitis/Dammann, § 3 BDSG Rz. 90; a.A. Bergmann/Möhrle/Herb, § 3 BDSG Rz. 39; differenzierend Schaffland/Wiltfang, § 3 BDSG Rz. 4.

Plath/Schreiber

|

53

§ 3 BDSG | Allgemeine und gemeinsame Bestimmungen arbeitung fallen, wenn die Betroffenen zumindest identifizierbar sind1. Nicht erfasst sind demgegenüber unsortierte Listen auf Papier, z.B. nicht aufbereitete Teilnehmerlisten sowie Fotostapel ohne Textanmerkungen oder ein einzelner Fragebogen2.

IV. Erheben (Abs. 3) 30 Gemäß Abs. 3 ist unter dem Begriff „Erheben“ das Beschaffen von Daten über

den Betroffenen zu verstehen. Eine Datenerhebung setzt dabei ein willentliches und aktives Tätigwerden der verantwortlichen Stelle voraus mit der Folge, dass diese Stelle sowohl die Kenntnis als auch die Verfügungsmacht über die Daten erhält3. Der Zugriff der verantwortlichen Stelle auf bereits bei ihr vorhandenes Material ist deshalb keine Erhebung, sondern eine Verarbeitung oder Nutzung4. Ebenso verhält es sich, wenn Daten einer Stelle ohne eigenes Zutun zugänglich gemacht werden, da das Bereithalten von Empfangseinrichtungen für sich genommen keine aktive Erhebungshandlung darstellt. Dies gilt jedoch nicht, sobald die Stelle aktiv Interesse an diesen Daten geäußert hat5. Ob die Daten abschließend gespeichert werden, ist für die Frage der Datenerhebung unerheblich6.

31 Aus Sicht des Betroffenen ist eine Datenübermittlung (s. Rz. 39) regelmäßig

eine Datenerhebung durch den Empfänger7. Dies ist aber nur dann der Fall, wenn der Empfänger die Daten gezielt für eigene Zwecke entgegen nimmt8.

32 Der Begriff der Datenerhebung fällt – anders als in der EG-Datenschutzrichtlinie

vorgesehen – nicht unter den Oberbegriff der Datenverarbeitung9. Diese strikte Trennung zwischen Datenerhebung und Datenverarbeitung im deutschen Datenschutzrecht ist vor allem für den Grundsatz der Zweckbindung von Bedeutung. Danach ist die Verarbeitung von Daten – vorbehaltlich der Regelungen zur Zweckänderung – nur im Rahmen des Zwecks zulässig, der der Erhebung ebendieser Daten zugrunde lag10.

33 Bereits die Datenerhebung löst den Erlaubnisvorbehalt nach § 4 Abs. 1 aus. Das

BDSG ist damit auf diese Phase der Datenverwendung auch dann anzuwenden, 1 2 3 4 5 6 7 8 9 10

54

Gola/Schomerus, § 3 BDSG Rz. 21. Vgl. Simitis/Dammann, § 3 BDSG Rz. 99. Simitis/Dammann, § 3 BDSG Rz. 102. Bergmann/Möhrle/Herb, § 3 BDSG Rz. 66; vgl. Simitis/Dammann, § 3 BDSG Rz. 102. Simitis/Dammann, § 3 BDSG Rz. 104. Taeger/Gabel/Buchner, § 3 BDSG Rz. 25; vgl. Bergmann/Möhrle/Herb, § 3 BDSG Rz. 64. Bergmann/Möhrle/Herb, § 3 BDSG Rz. 67. Taeger/Gabel/Buchner, § 3 BDSG Rz. 26. Taeger/Gabel/Buchner, § 3 BDSG Rz. 25. Vgl. z.B. für den öffentlichen Bereich §§ 14 ff. bzw. für den nicht-öffentlichen Bereich § 28 Abs. 1 Satz 2, Abs. 2; ebenso Simitis/Dammann, § 3 BDSG Rz. 101.

|

Plath/Schreiber

Weitere Begriffsbestimmungen | § 3 BDSG

wenn der nachfolgende Umgang, z.B. mangels Personenbezugs infolge einer Anonymisierung, nicht mehr in den Anwendungsbereich des BDSG fällt1. Relevant ist die Frage, wann eine Erhebung in Abgrenzung zur nachfolgenden Speicherung vorliegt, auch für den Bereich der Informationspflichten gegenüber den Betroffenen. Die maßgebliche Regelung des § 33 knüpft insoweit an die erstmalige „Speicherung“ an.

V. Verarbeiten (Abs. 4) „Verarbeiten“ i.S.d. Abs. 4 ist das Speichern, Verändern, Übermitteln, Sperren 34 und Löschen personenbezogener Daten, ungeachtet der dabei angewandten Verfahren. Der letzte Halbs. stellt klar, dass sowohl die automatisierte als auch die nicht automatisierte Datenverarbeitung in den Anwendungsbereich dieser Norm fällt2. Jede Form der Verarbeitung von personenbezogenen Daten löst den Erlaubnisvorbehalt nach § 4 Abs. 1 aus. Entfällt jedoch der Personenbezug, bspw. in Folge einer Anonymisierung der Daten, so ist der Anwendungsbereich des BDSG nicht mehr eröffnet (s. hierzu Rz. 56). Der Begriff des Verarbeitens entspricht nicht vollständig der ihm zugrunde liegenden Definition in Art. 2 Buchst. b der EG-Datenschutzrichtlinie, da er im BDSG weder die Erhebung noch die Nutzung von Daten erfasst. 1. Speichern (Abs. 4 Satz 2 Nr. 1) „Speichern“ ist nach Abs. 4 Nr. 1 das Erfassen, Aufnehmen oder Aufbewahren 35 personenbezogener Daten auf einem Datenträger zum Zwecke ihrer weiteren Verarbeitung oder Nutzung. Demnach darf die Speicherung nicht Selbstzweck sein3. In der Praxis wird jedoch der weitergehende Verwendungszweck bereits in der Kenntnisnahme der Daten zu sehen sein, die eine Art der Datennutzung darstellt (vgl. Abs. 5)4. Der Begriff des „Datenträgers“ ist weit auszulegen und umfasst alle Speichermedien vom einfachen Zettel bis hin zu technologisch hoch komplexen Anlagen5. Notwendig ist aber immer eine Verkörperung auf einem – nicht notwendig elektronischen – Datenträger6. Demzufolge ist die „Speicherung“ im Gedächtnis einer natürlichen Person keine Speicherung i.S.d. Abs. 4 Satz 2 Nr. 1. Die Daten bleiben bis zur Löschung gespeichert. Auch gesperrte Daten (vgl. Abs. 4 Satz 2 Nr. 4, § 35) sind weiterhin gespeichert i.S.d. Abs. 4 Satz 2 Nr. 17. 1 2 3 4 5 6 7

Vgl. Gola/Schomerus, § 3 BDSG Rz. 24. Taeger/Gabel/Buchner, § 3 BDSG Rz. 27. Taeger/Gabel/Buchner, § 3 BDSG Rz. 29. Simitis/Dammann, § 3 BDSG Rz. 120; vgl. Bergmann/Möhrle/Herb, § 3 BDSG Rz. 80. Taeger/Gabel/Buchner, § 3 BDSG Rz. 28. Simitis/Dammann, § 3 BDSG Rz. 118. Vgl. Bergmann/Möhrle/Herb, § 3 BDSG Rz. 82; Gola/Schomerus, § 3 BDSG Rz. 29.

Plath/Schreiber

|

55

§ 3 BDSG | Allgemeine und gemeinsame Bestimmungen 2. Verändern (Abs. 4 Satz 2 Nr. 2) 36 „Verändern“ ist das inhaltliche Umgestalten gespeicherter personenbezogener

Daten. Eine rein äußerliche Umgestaltung ohne Veränderung des Informationsgehaltes begründet deshalb noch keine Veränderung in diesem Sinne1. Wird bspw. ein ausgeschriebenes Wort durch eine Abkürzung ersetzt, liegt keine Veränderung vor2. Ob eine Berichtigung von Daten eine Veränderung darstellt oder vielmehr als das Löschen des alten und das Speichern des neuen Datums anzusehen ist, ist strittig3. Richtigerweise ist entsprechend der gesetzlichen Definition von einer Veränderung auszugehen4. Aufgrund der synchron ausgestalteten Erlaubnistatbestände ist dieser Streit aber praktisch bedeutungslos5.

37 Sobald Daten miteinander verknüpft und ausgewertet werden, liegt eine Daten-

veränderung vor6. Damit ist insbesondere im sog. Scoring eine Form der Datenveränderung zu sehen (vgl. § 28b)7.

38 Teilweise wird vertreten, dass jedenfalls im Vorgang der Anonymisierung von

Daten eine Veränderung dieser personenbezogenen Daten zu sehen sei. Gegen diese Auffassung spricht jedoch zum einen, dass durch die Anonymisierung in der Regel der Personenbezug aufgehoben wird (ausführlich zum Fortbestand bei der Anonymisierung bzw. Pseudonymisierung s. Rz. 56). Zum anderen erlangen die Daten hierdurch auch keine neuen Inhalte8. 3. Übermitteln (Abs. 4 Satz 2 Nr. 3)

39 „Übermitteln“ ist die Bekanntgabe gespeicherter oder durch Datenverarbeitung

gewonnener personenbezogener Daten an einen Dritten in der Weise, dass die Daten an den Dritten weitergegeben werden oder der Dritte zur Einsicht oder zum Abruf bereitgehaltene Daten einsieht oder abruft. Der „Dritte“ wird in Abs. 8 definiert (zum Begriff des Dritten s. ausführlich unter Rz. 73). Dritte können nur solche Personen oder Stellen sein, die zum einen nicht selbst Betroffene sind9 und die zum anderen weder in die verantwortliche Stelle eingegliedert 1 2 3 4 5 6

Vgl. Bergmann/Möhrle/Herb, § 3 BDSG Rz. 83; Taeger/Gabel/Buchner, § 3 BDSG Rz. 30. Simitis/Dammann, § 3 BDSG Rz. 130. Taeger/Gabel/Buchner, § 3 BDSG Rz. 31. Ebenso Gola/Schomerus, § 3 BDSG Rz. 31. Vgl. Simitis/Dammann, § 3 BDSG Rz. 142. Vgl. Bergmann/Möhrle/Herb, § 3 BDSG Rz. 86; Gola/Schomerus, § 3 BDSG Rz. 30; Simitis/Dammann, § 3 BDSG Rz. 131. 7 Taeger/Gabel/Buchner, § 3 BDSG Rz. 32; s. zum Scoring Mackenthun, WM 2004, 1713; Abel, RDV 2006, 108; Kloepfer/Kutzschbach, MMR 1998, 650; Koch, MMR 1998, 458; Möller/Florax, NJW 2003, 2724; Kamlah, MMR 1999, 395; Petri, DuD 2003, 631; Roßnagel, MMR 2000, 721; Piltz/Holländer, ZRP 2008, 143. 8 Vgl. Taeger/Gabel/Buchner, § 3 BDSG Rz. 33; Gola/Schomerus, § 3 BDSG Rz. 31. 9 Schaffland/Wiltfang, § 3 BDSG Rz. 49.

56

|

Plath/Schreiber

Weitere Begriffsbestimmungen | § 3 BDSG

sind, noch im Rahmen einer Auftragsdatenverarbeitung nach § 11 für die verantwortliche Stelle tätig werden1. Für die Bestimmung, ob der Empfänger „Dritter“ ist, kommt es auf die juristi- 40 sche, nicht jedoch auf die wirtschaftliche Einheit an2. Sofern also Daten innerhalb einer verantwortlichen Stelle, also z.B. innerhalb verschiedener Abteilungen eines Unternehmens, weitergegeben werden, liegt keine Übermittlung an Dritte vor3. Zu beachten ist allerdings, dass es sich hierbei um die erlaubnispflichtige „Nutzung“ von Daten gemäß Abs. 5 handeln kann (s. Rz. 53). Die Weiterleitung personenbezogener Daten an ein Konzernunternehmen, selbst wenn es sich hierbei um ein hundertprozentiges Tochterunternehmen handelt, stellt hingegen eine Übermittlung dar, da das BDSG kein Konzernprivileg kennt4. Eine Übersendung von Daten durch den Auftraggeber an den Auftragnehmer im 41 Rahmen einer Auftragsdatenverarbeitung (§ 11) sowie die entsprechende Rückführung nach erfolgter Bearbeitung stellt keine Übermittlung dar, soweit die Verarbeitung innerhalb der EU oder dem EWR stattfindet und die Anforderungen an eine wirksame Auftragsdatenverarbeitung nach § 11 eingehalten werden5. Leitet jedoch ein Auftragnehmer personenbezogene Daten entsprechend der Weisung des Auftraggebers an einen Dritten weiter, so liegt eine Datenübermittlung durch den Auftraggeber als verantwortliche Stelle vor. Setzt sich der Auftragnehmer hingegen über eine solche Weisung hinweg und leitet er die Daten eigenmächtig an einen Dritten weiter, liegt eine (i.d.R. wohl unzulässige) Übermittlung durch den Auftragnehmer als eigenständige verantwortliche Stelle vor6. Die zivilrechtlichen Begleitumstände berühren die Frage der Übermittlung 42 nicht7. Es ist für die Frage der Übermittlung also unerheblich, welcher Vertragstyp dieser Übermittlung zugrundeliegt. Vielmehr kommt es auf die tatsächlichen Umstände an. Wird im Zuge einer Datenübermittlung vertraglich vereinbart, dass der Empfänger nur einen beschränkten Teil der auf dem übermittelten Datenträger gespeicherten Daten zur Kenntnis nehmen darf, so gelten dennoch alle ihm überlassenen Daten i.S.d. Definition des Abs. 4 Satz 2 Nr. 3 als übermittelt8. Nutzt hingegen die verantwortliche Stelle Daten im Interesse eines Dritten, ohne diesem die Daten jedoch tatsächlich zugänglich zu machen, so liegt keine Übermittlung vor9. 1 2 3 4 5 6 7 8 9

Taeger/Gabel/Buchner, § 3 BDSG Rz. 34; zur Auftragsdatenverarbeitung s. unter § 11. Schaffland/Wiltfang, § 3 BDSG Rz. 54. Taeger/Gabel/Buchner, § 3 BDSG Rz. 34. Schaffland/Wiltfang, § 3 BDSG Rz. 54. Schaffland/Wiltfang, § 3 BDSG Rz. 50; Bergmann/Möhrle/Herb, § 3 BDSG Rz. 98; zur Auftragsverarbeitung ausführlich § 11. Schaffland/Wiltfang, § 3 BDSG Rz. 51 f.; vgl. Bergmann/Möhrle/Herb, § 3 BDSG Rz. 96. Simitis/Dammann, § 3 BDSG Rz. 147. Simitis/Dammann, § 3 BDSG Rz. 160. Simitis/Dammann, § 3 BDSG Rz. 154.

Plath/Schreiber

|

57

§ 3 BDSG | Allgemeine und gemeinsame Bestimmungen 43 Geht die Verfügungsmacht über die Daten im Rahmen einer Gesamtrechtsnach-

folge oder einer Verschmelzung nach dem Umwandlungsgesetz auf einen Dritten über, so liegt nach der hier vertretenen Ansicht keine Übermittlung vor1.

a) Übermittlung durch Weitergabe 44 Eine Datenübermittlung erfolgt üblicherweise im Wege der „Ab- bzw. Weiter-

gabe“ an Dritte. Diese Form der Übermittlung setzt ein aktives Tätigwerden der verantwortlichen Stelle voraus: sie muss die Übertragung der Verfügungsmöglichkeit über die Daten im Einzelfall anordnen und bewerkstelligen. Der typische Anwendungsfall dürfte in der Überlassung eines Datenträgers bzw. der elektronischen Übermittlung der Daten (z.B. per E-Mail) liegen. Das Übermittlungsmedium ist dabei allerdings unerheblich. Deshalb genügt auch das mündliche „Weitersagen“ von Daten, z.B. per Telefon2. b) Übermittlung durch Bereithalten von Daten

45 Eine Übermittlung ist darüber hinaus auch durch das Bereithalten von Daten

zur Einsicht oder zum Abruf möglich. Auch diese Form der Übermittlung setzt ein zweckgerichtetes Verhalten des Übermittlers voraus: Dieser muss einem berechtigten Empfänger die Möglichkeit verschaffen, von den Daten Kenntnis zu erlangen. Der konkrete Übermittlungsvorgang wird allerdings durch den Empfänger ausgelöst.

46 Voraussetzung ist, dass der Abrufende zum Empfang der Daten berechtigt ist.

Verschafft sich ein Dritter unbefugt Zugang zu Daten, liegt aus Sicht der verantwortlichen Stelle im konkreten Fall kein Bereithalten und somit auch keine Übermittlung vor3. Keine Voraussetzung für die Annahme einer Übermittlung ist dagegen, dass der Empfänger bestimmt oder bekannt ist. Damit liegt eine Übermittlung auch dann vor, wenn die Daten einem unbegrenzten Personenkreis zugänglich gemacht werden, z.B. bei Veröffentlichung im Internet4.

47 Nimmt der Empfänger die Daten gezielt für eigene Zwecke entgegen, liegt sei-

nerseits eine Datenerhebung vor5. 1 2 3 4

Simitis/Dammann, § 3 BDSG Rz. 144; Gola/Schomerus, § 3 BDSG Rz. 35. Taeger/Gabel/Buchner, § 3 BDSG Rz. 35. Simitis/Dammann, § 3 BDSG Rz. 150. Taeger/Gabel/Buchner, § 3 BDSG Rz. 35 f.; Gola/Schomerus, § 3 BDSG Rz. 33; anders hat dies der EuGH in der Entscheidung Lindquist ./. Schweden betreffend der Datenübermittlung in Drittländer nach Art. 25 EG-Datenschutzrichtinie beurteilt, s. hierzu ausführlich Taeger/Gabel/Buchner, § 3 BDSG Rz. 36, der sich überzeugend dafür ausspricht, dass die Entscheidung für die Auslegung die Übermittlung im Sinne von Abs. 3 unbeachtlich ist; vgl. Gola, NJW 2000, 3749 (3752); Brühann, DuD 2004, 201; Wente, RDV 1986, 256, zur Veröffentlichung von Daten; Dammann, RDV 2004, 19 ff. 5 Vgl. Taeger/Gabel/Buchner, § 3 BDSG Rz. 26; Bergmann/Möhrle/Herb, § 3 BDSG Rz. 67; Simitis/Dammann, § 3 BDSG Rz. 104.

58

|

Plath/Schreiber

Weitere Begriffsbestimmungen | § 3 BDSG

4. Sperren (Abs. 4 Satz 2 Nr. 4) „Sperren“ ist das Kennzeichnen gespeicherter personenbezogener Daten, um 48 ihre weitere Verarbeitung oder Nutzung einzuschränken. Ziel dieser Verwendungsform ist also, die Daten zukünftig nicht mehr oder nur eingeschränkt zu nutzen, sofern kein gesetzlicher Erlaubnistatbestand oder eine Einwilligung vorliegt1. Auf welche Art und Weise die Sperrung zu erfolgen hat, lässt das Gesetz offen. Erforderlich ist nur, dass die durch die Kennzeichnung erfolgte Verarbeitungs- und Nutzungsbeschränkung auch in der Weise tatsächlich wirkt, dass alle denkbaren Formen der Verwendung effektiv ausgeschlossen werden2. Die Kennzeichnung kann damit grundsätzlich sowohl textlich, also im Wege ei- 49 ner „Anweisung“, als auch technisch erfolgen, wobei es bei der jeweiligen Form der Kennzeichnung insbesondere auch darauf ankommt, ob die Daten automatisiert verarbeitet werden3. Gemäß § 9 Satz 2 muss der für die Sperrung zu ergreifende Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck stehen4. Die Sperrung ist so durchzuführen, dass die Kennzeichnung für jeden Mitarbeiter und sonstigen Nutzer klar ersichtlich ist5 und eine Kenntnisnahme wesentlich erschwert oder unmöglich gemacht wird. Ist bspw. im Falle einer nicht automatisierten Datenverarbeitung der Inhalt von Karteikarten zu sperren, so ist es in der Regel nicht ausreichend, die Karteikarten mit dem Stempelaufdruck „gesperrt“ zu versehen, da in diesem Fall weiterhin zumindest die (unberechtigte) Nutzung durch Kenntnisnahme der Daten (s. Rz. 54) unproblematisch möglich ist. Vielmehr müssen die Daten dann ggf. von den Karteikarten entfernt und auf einem anderen Datenträger gespeichert werden, welcher den Sachbearbeitern nicht zugänglich ist6. Bspw. kann der Datenträger dann mit einem Sperrvermerk gekennzeichnet und in einem separaten Schrank gespeichert werden7. Auch kann im Bereich der Videoüberwachung über das sog. „BlackBox-Verfahren“ eine Sperrung bewirkt werden, in dem nur ein bestimmter Personenkreis Zugang zu den gespeicherten Daten erhält und dies auch nur bei Vorliegen klar definierter Zugriffsfälle. Bei einer automatisierten Verarbeitung ist die Verarbeitungssoftware im Ein- 50 klang mit § 9 zur Sperrung der Daten so zu gestalten, dass ein Zugriff auf die Daten nur noch bei Vorliegen eines gesetzlichen Erlaubnistatbestandes erfolgen kann8. Eine Sperrung kann dabei auch durch eine getrennte Aufbewahrung der 1 2 3 4 5 6 7 8

Schaffland/Wiltfang, § 3 BDSG Rz. 73a. Simitis/Dammann, § 3 BDSG Rz. 166. Taeger/Gabel/Buchner, § 3 BDSG Rz. 39. Schaffland/Wiltfang, § 3 BDSG Rz. 73a. Bergmann/Möhrle/Herb, § 3 BDSG Rz. 102. Simitis/Dammann, § 3 BDSG Rz. 166; a.A. Bergmann/Möhrle/Herb, § 3 BDSG Rz. 110. Gola/Schomerus, § 3 BDSG Rz. 39. Simitis/Dammann, § 3 BDSG Rz. 166, 169.

Plath/Schreiber

|

59

§ 3 BDSG | Allgemeine und gemeinsame Bestimmungen Daten erfolgen1. Denkbar ist es auch, im Grunddatenbestand einen Hinweis auf den als gesperrt gekennzeichneten Sonderdatenbestand aufzunehmen2. 51 Unter bestimmten Umständen kann eine verantwortliche Stelle auch zur Sper-

rung von Daten verpflichtet sein (vgl. § 20 Abs. 3–6 sowie §§ 28 Abs. 4, 29 Abs. 4, 35 Abs. 3 und 4)3. So sind z.B. gemäß §§ 35 Abs. 4, 20 Abs. 4 Daten zu sperren, wenn sich deren Richtigkeit nicht feststellen lässt4. Demgegenüber sieht § 28 Abs. 4 eine Sperrung der Daten nur für Zwecke der Markt- und Meinungsforschung vor5.

5. Löschen (Abs. 4 Satz 2 Nr. 5) 52 Unter „Löschen“ ist das Unkenntlichmachen gespeicherter personenbezogener

Daten zu verstehen. Ein Rückgriff auf die Daten – etwa auch mittels Reaktivierung durch EDV-Fachleute – muss durch die Löschung ausgeschlossen oder nur mit unverhältnismäßigen Mitteln möglich sein6. Möglichkeiten zur Löschung sind daher bspw. das Überschreiben, das Unleserlichmachen durch Ausradieren oder Schwärzen oder die Vernichtung des gesamten Datenträgers7. Sind die Daten jedoch auf einem weiteren verfügbaren Datenträger gespeichert, so handelt es sich nicht um eine Löschung8. Auch eine Auslagerung oder eine bloße Kennzeichnung ist keine Datenlöschung9. Als Alternative kommt ggf. auch eine Anonymisierung oder Pseudonymisierung in Betracht, sofern hierdurch der Personenbezug aufgehoben wird (s. hierzu Rz. 56).

VI. Nutzen (Abs. 5) 53 „Nutzen“ i.S.d. Abs. 5 ist jede Verwendung personenbezogener Daten, soweit

es sich nicht um eine Verarbeitung handelt. Abs. 5 ist als Auffangtatbestand immer dann anwendbar, wenn eine bestimmte Datenverwendung keiner der in Abs. 3 und 4 definierten Phasen entspricht10. In einem ersten Schritt ist also 1 2 3 4 5 6 7 8 9 10

60

Taeger/Gabel/Buchner, § 3 BDSG Rz. 39. Simitis/Dammann, § 3 BDSG Rz. 170. Taeger/Gabel/Buchner, § 3 BDSG Rz. 38. Taeger/Gabel/Buchner, § 3 BDSG Rz. 38. Taeger/Gabel/Buchner, § 3 BDSG Rz. 38. Vgl. Bergmann/Möhrle/Herb, § 3 BDSG Rz. 119; Urteil des ÖOGH v. 15.4.2010 – 6 Ob 41/10p, MMR 2011, 204. Vgl. Bergmann/Möhrle/Herb, § 3 BDSG Rz. 113; Taeger/Gabel/Buchner, § 3 BDSG Rz. 40. Simitis/Dammann, § 3 BDSG Rz. 175. Taeger/Gabel/Buchner, § 3 BDSG Rz. 40. Taeger/Gabel/Buchner, § 3 BDSG Rz. 41; vgl. OLG Köln v. 10.11.2000 – 6 U 105/00, MMR 2001, 385 (386); Gola/Schomerus, § 3 BDSG Rz. 42.

|

Plath/Schreiber

Weitere Begriffsbestimmungen | § 3 BDSG

festzustellen, ob eine Form der Datenverwendung aus Abs. 3 oder 4 erfüllt ist. In einem zweiten Schritt ist dann zu prüfen, ob eine Datennutzung vorliegt1. Sobald der Informationsgehalt eines Datums gerade in seiner Eigenschaft als per- 54 sonenbezogenes Datum für die verantwortliche Stelle von Bedeutung ist, weil sich die Verwendung der Daten auch auf deren Personenbezug erstreckt, liegt jedenfalls eine Datennutzung vor2. Mitteilungen an und Korrespondenzen mit dem Betroffenen, wie bspw. das Ausstellen einer Rechnung, sind Nutzungen i.S.d. Abs. 5. Gleiches gilt für die Hin- und Rückübersendung von personenbezogenen Daten im Rahmen einer Auftragsdatenverarbeitung sowie das Duplizieren und Kopieren von personenbezogenen Daten3. Die Übergänge zur „Verarbeitung“ sind hier fließend. So stellt etwa die Übersendung oder Veröffentlichung von Daten innerhalb einer verantwortlichen Stelle zwar keine Übermittlung dar, wohl aber eine Nutzung der Daten (s. Rz. 53). Eine Datennutzung liegt schließlich auch vor, wenn Daten zielgerichtet zur Kenntnis genommen werden4. Ebenso wie die Datenerhebung oder -verarbeitung ist auch die Datennutzung 55 nur unter dem Erlaubnisvorbehalt des § 4 Abs. 1 zulässig.

VII. Anonymisierung und Pseudonymisierung (Abs. 6, 6a) Sofern durch „Anonymisierung“ oder „Pseudonymisierung“ der Personenbe- 56 zug unterbunden oder aufgehoben wird, ist der Anwendungsbereich des BDSG nicht mehr eröffnet5. Deshalb können diese Maßnahmen ggf. im Verhältnis zur Löschung oder Sperrung das effektivere Mittel darstellen. Ob die unkenntlich gemachten Daten im konkreten Fall einen Personenbezug vorweisen, ist relativ und einzelfallbezogen zu beurteilen (s. hierzu Rz. 14). Die Begriffe der Anonymisierung und Pseudonymisierung greift das BDSG vor allem in § 3a – dem Grundsatz der Datenvermeidung und -sparsamkeit – als Alternative zur Datenverwendung auf. 1. Anonymisieren (Abs. 6) Nach der Legaldefinition ist „Anonymisieren“ das Verändern personenbezoge- 57 ner Daten derart, dass die Einzelangaben über persönliche oder sachliche Verhältnisse nicht mehr oder nur mit einem unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft einer bestimmten oder bestimmbaren natürli1 Vgl. Taeger/Gabel/Buchner, § 3 BDSG Rz. 41 f. 2 Taeger/Gabel/Buchner, § 3 BDSG Rz. 42; Simitis/Dammann, § 3 BDSG Rz. 189; OLG Köln v. 10.11.2000 – 6 U 105/00, MMR 2001, 385 (386). 3 Simitis/Dammann, § 3 BDSG Rz. 195; vgl. Bergmann/Möhrle/Herb, § 3 BDSG Rz. 124. 4 Gola/Schomerus, § 3 BDSG Rz. 42. 5 Vgl. Simitis/Dammann, § 3 BDSG Rz. 219a.

Plath/Schreiber

|

61

§ 3 BDSG | Allgemeine und gemeinsame Bestimmungen chen Person zugeordnet werden können. In Betracht kommen also zwei unterschiedliche Formen des Anonymisierens: 58 Bei der ersten Variante darf der Personenbezug unter keinen Umständen wie-

derhergestellt werden können, so dass es sich bei den anonymisierten Daten nicht mehr um Daten mit Personenbezug handelt. Infolge dessen ist auch der Anwendungsbereich des BDSG nicht mehr eröffnet1.

59 Bei der zweiten Variante hingegen kann der Personenbezug, zumindest theo-

retisch, unter Anwendung eines unverhältnismäßig großen Aufwandes wiederhergestellt werden. Ob infolge dessen der Personenbezug entfällt, ist strittig. Eine Ansicht nimmt einen Personenbezug der Daten auch in diesen Fällen an, da allein die hypothetische Möglichkeit, den Personenbezug wiederherzustellen, ausreiche, um die Informationen einer bestimmten Person zuzuordnen (s. dazu die Nachweise unter Rz. 14 ff.). Dagegen spricht jedoch, dass ein solcher Aufwand in der Praxis regelmäßig nicht unternommen werden wird. Damit sind derart anonymisierte Daten de facto genauso „unbrauchbar“ wie Daten, bei denen die Herstellung des Personenbezugs absolut (siehe erste Variante) ausgeschlossen ist2. Vorzugswürdig ist deshalb die Ansicht, wonach ein Personenbezug auch in diesen Fällen nicht mehr vorhanden und der Anwendungsbereich des BDSG nicht mehr eröffnet ist3. Die Betroffenen sind im Falle einer Re-Identifizierung nicht schutzlos, weil hierdurch der Personenbezug wieder hergestellt und daher der Anwendungsbereich des BDSG gemäß § 1 Abs. 2 (neu) eröffnet wird4. Die Frage, ob ein Personenbezug wiederhergestellt worden ist, ist aus subjektiver Sicht der verantwortlichen Stelle zu beurteilen. Der verantwortlichen Stelle ist in diesem Zusammenhang ein außerhalb der Stelle vorhandenes Zusatzwissen nur dann zuzurechnen, sofern sie aus objektiver Sicht und mit nicht unverhältnismäßig großem Aufwand auf dieses Wissen zugreifen kann5. Zu beachten ist aber, dass die Daten nicht mehr anonym sind, sobald die verantwortliche Stelle bereit ist, den Aufwand in Kauf zu nehmen, um den Personenbezug wieder herzustellen6.

60 In der Praxis kann eine Anonymisierung bspw. dadurch erfolgen, dass Identifi-

kationsmerkmale wie Name, Anschrift etc. gelöscht werden. Denkbar ist auch, bestimmte Informationen über die betreffende Person durch allgemeine Daten wie „Person im Alter über 30 Jahre“ zu ersetzen7.

1 Vgl. Simitis/Dammann, § 3 BDSG Rz. 219a. 2 Bergmann/Möhrle/Herb, § 3 BDSG Rz. 132 f. 3 Taeger/Gabel/Buchner, § 3 BDSG Rz. 44; Roßnagel/Scholz, MMR 2000, 721 (723 ff.); s. zur Frage der Bestimmbarkeit bei anonymisierten Daten Rz. 56. 4 Vgl. Simitis/Dammann, § 3 BDSG Rz. 219b. 5 Taeger/Gabel/Buchner, § 3 BDSG Rz. 45; s. zur Frage der Bestimmbarkeit bei anonymisierten Daten Rz. 56. 6 Gola/Schomerus, § 3 BDSG Rz. 44. 7 Simitis/Dammann, § 3 BDSG Rz. 206 ff.; Schröder/Haag, ZD 2011, 147, zur Anonymisierung bei Datenverarbeitung in der Cloud.

62

|

Plath/Schreiber

Weitere Begriffsbestimmungen | § 3 BDSG

2. Pseudonymisieren (Abs. 6a) „Pseudonymisieren“ ist das Ersetzen des Namens und anderer Identifikations- 61 merkmale durch ein Kennzeichen (Pseudonym) zu dem Zweck, die Bestimmbarkeit des Betroffenen auszuschließen oder zu erschweren. Wie auch beim Anonymisieren ist Zweck dieser Maßnahme, den Personenbe- 62 zug eines Datums zu beseitigen oder einzuschränken1. Im Gegensatz zur Anonymisierung bleibt jedoch eine Zuordnungsregel bestehen, die eine Re-Identifizierung grundsätzlich ermöglicht2. Hat die Kennzeichnung aber zur Folge, dass ein Personenbezug aus objektiver Sicht nicht mehr hergestellt werden kann, also letztlich eine Anonymisierung vorliegt, so entfällt der Personenbezug (irreversible Pseudonymisierung)3. Infolgedessen ist der Anwendungsbereich des BDSG nicht mehr eröffnet4. Bei der Frage, ob ein Personenbezug bei einer reversiblen Pseudonymisierung 63 hergestellt werden kann, ist danach zu differenzieren, welche Person oder Stelle die Zuordnungsregel kennt oder hierauf zugreifen kann5. Vergibt und verwaltet die verantwortliche Stelle das Pseudonym selbst, so liegt ein Personenbezug im Verhältnis zu dieser Stelle weiterhin vor6. Kein Personenbezug besteht jedoch bezüglich selbst generierter Pseudonyme, bei denen sich der Betroffene selbst ein Kennzeichen zuordnet, welches außer ihm keine andere Stelle kennt7. An einer wirksamen Pseudonymisierung fehlt es, wenn dem Empfänger der vermeintlich pseudonymisierten Daten auch der „Zuordnungsschlüssel“ übermittelt wird. Wird etwa in einer Mitarbeiterliste der Name eines jeden Mitarbeiters durch eine Kennziffer ersetzt („MA 1“), so fehlt es an einer Pseudonymisierung, wenn dem Empfänger der Liste mitgeteilt wird, nach welchem Schema die Vergabe der Pseudonyme erfolgt ist. In den seltensten Fällen wird dies in der Praxis willentlich geschehen. Jedoch findet man in der Praxis immer wieder Fälle, bei denen dem Empfänger der vermeintlich pseudonymisierten Daten auf anderem Wege Zusatzwissen vermittelt wird, das ihn in die Lage versetzt, die Pseudonyme konkreten Personen zuzuordnen. Erfolgt die Pseudonymvergabe durch einen Dritten (z.B. durch einen Daten- 64 treuhänder), so handelt es sich bei dem pseudonymisierten Datum im Verhältnis zu diesem Dritten um ein personenbezogenes Datum, sofern dieser die Zuordnungsregeln kennt und die Daten verwaltet8. Ist dieser Dritte darüber hinaus 1 2 3 4 5 6 7 8

Taeger/Gabel/Buchner, § 3 BDSG Rz. 47. Simitis/Dammann, § 3 BDSG Rz. 215; Taeger/Gabel/Buchner, § 3 BDSG Rz. 47. Vgl. Taeger/Gabel/Buchner, § 3 BDSG Rz. 47. Simitis/Dammann, § 3 BDSG Rz. 219a. Taeger/Gabel/Buchner, § 3 BDSG Rz. 48; vgl. Roßnagel/Scholz, MMR 2000, 721 (725). Taeger/Gabel/Buchner, § 3 BDSG Rz. 50. Simitis/Dammann, § 3 BDSG Rz. 220a; Taeger/Gabel/Buchner, § 3 BDSG Rz. 49. Bizer, DuD 1999, 392.

Plath/Schreiber

|

63

§ 3 BDSG | Allgemeine und gemeinsame Bestimmungen auch zu genau festgelegten Bedingungen gegenüber bestimmten verantwortlichen Stellen zur Offenlegung der Zuordnung befugt oder gar verpflichtet, so handelt es sich bei den pseudonymisierten Daten auch im Verhältnis zu diesen verantwortlichen Stellen um personenbezogene Daten1. Im Verhältnis zu anderen Dritten ist ein Personenbezug jedenfalls dann nicht gegeben, wenn die speichernde Stelle bestimmten Vertraulichkeitspflichten unterliegt, und die Dritten demnach keinen Zugriff auf die Zuordnungsregel haben2. 65 Die Pseudonymisierung ist zum einen durch die Erzeugung von Zufallswerten und deren Zuordnung über Referenzlisten (Referenz-Pseudonyme) denkbar. Zum anderen besteht die Möglichkeit, mittels sog. Einweg-Funktionen, (z.B. mithilfe eines sog. Hashwerts), Pseudonyme zu bilden3.

VIII. Verantwortliche Stelle (Abs. 7) 66 Abs. 7 definiert die „verantwortliche Stelle“ als jede Person oder Stelle, die per-

sonenbezogene Daten für sich selbst erhebt, verarbeitet oder nutzt oder dies durch andere im Auftrag vornehmen lässt. Diese Begriffsbestimmung ist enger als die Definition der „verantwortlichen Stelle“ in Art. 2 Buchst. d EG-Datenschutzrichtlinie4. Vor diesem Hintergrund ist eine richtlinienkonforme Auslegung des Begriffs der verantwortlichen Stelle geboten. In der DSGVO ist die „verantwortliche Stelle“ unter den Begriff des „Verantwortlichen“ in Art. 4 Nr. 7 DSGVO legaldefiniert. 67 Bei einer Datenverarbeitung durch nicht-öffentliche Stellen ist die juristische Einheit datenschutzrechtlich verantwortlich, also die juristische Person, nicht aber eine einzelne Abteilung oder unselbständige Zweigstelle eines Unternehmens5. Abzustellen ist dementsprechend nur auf die rechtliche Selbständigkeit, nicht jedoch auf die wirtschaftliche Einheit. Das BDSG kennt kein Konzernprivileg. Damit kann jede juristisch selbständige Konzerntochter verantwortliche Stelle sein6. 1 Vgl. Taeger/Gabel/Buchner, § 3 BDSG Rz. 51. 2 Taeger/Gabel/Buchner, § 3 BDSG Rz. 51; zum Meinungsstand bezüglich der sog. relativen Theorie s. Rz. 14 ff. 3 Simitis/Dammann, § 3 BDSG Rz. 221 f., mit weiteren Erläuterungen; vgl. Gola/Schomerus, § 3 BDSG Rz. 47, m.w.N. 4 Während Abs. 7 einen Umgang mit Daten für sich selbst oder eine Auftragsdatenverarbeitung voraussetzt, stellt Art. 2 Buchst. d EG-Datenschutzrichtlinie darauf ab, ob die betreffende Stelle „allein oder gemeinsam mit anderen über Zweck und Mittel der Datenverarbeitung entscheidet“. Der Wortlaut der Richtlinie kommt der schnellen Entwicklung von IT-Systemen eher entgegen, als die Umsetzung in Abs. 7, da er in der Subsumtion verschiedener Fallgestaltungen unter den Begriff der „verantwortlichen Stelle“ flexibler und damit interessengerechter ist. 5 Taeger/Gabel/Buchner, § 3 BDSG Rz. 53; Schaffland/Wiltfang, § 3 BDSG Rz. 86. 6 Taeger/Gabel/Buchner, § 3 BDSG Rz. 53.

64

|

Plath/Schreiber

Weitere Begriffsbestimmungen | § 3 BDSG

Grundsätzlich soll ein Unternehmen für alle Verarbeitungsvorgänge, welche in 68 seinem Tätigkeits- und Haftungsbereich stattfinden, rechtlich verantwortlich sein. Besondere praktische und vor allem auch wirtschaftliche Relevanz entfaltet die Frage der Verantwortlichkeit im Bereich der Automobilindustrie vor dem Hintergrund des kommerziellen Werts der Daten, die in Fahrzeugen mittlerweile gespeichert werden. Unterschieden wird hier zwischen „vernetzten“ und „nicht-vernetzten“ Fahrzeugen. Während die Daten bei der Kategorie der „nicht-vernetzten“ Fahrzeuge nur lokal im Fahrzeug gespeichert werden, senden die „vernetzten“ Fahrzeuge permanent Informationen an den Hersteller oder sonstige Stellen. Zuletzt ist dazu eine Gemeinsame Erklärung der unabhängigen Datenschutzbehörden des Bundes und der Länder und des Verbands der Automobilindustrie (VDA) ergangen. Danach wird folgende Unterscheidung getroffen: Bei „nicht-vernetzten“ Fahrzeugen sollen z.B. die Werkstätten als verantwortliches Unternehmen anzusehen sein, da diese die im Fahrzeug gespeicherten Daten auslesen und somit personenbezogene Daten erheben. Die Fahrzeughersteller haben bei „nicht-vernetzten“ insoweit keinen Einfluss auf die entstehenden Fahrzeugdaten. Anders sieht das Ganze bei „vernetzten“ Autos aus. Hier sollen die Fahrzeughersteller als verantwortliche Stelle anzusehen sein. Allerdings können die Fahrzeughersteller im Einzelfall auch bei „nicht-vernetzten“ Autos verantwortliche Stelle i.S.d. BDSG sein, sofern es um die technischen Gestaltungsmöglichkeiten geht, z.B. Art und Umfang der Schnittstellen oder der Umsetzung der in § 3a niedergelegten Grundsätze zur Datensparsamkeit1. Im Ergebnis wird hier sehr genau auf die konkreten Umstände des Einzelfalles zu achten sein. Ein Unternehmen soll diese Verantwortung erst dann verlieren, wenn es tatsächlich keine Einwirkungsmöglichkeit auf den Verarbeitungsvorgang mehr hat. Dies kann z.B. der Fall sein, wenn ein Datenträger sich nicht mehr im Besitz der Stelle befindet2. Das OVG Schleswig entschied im Jahre 2014, dass die Betreiberin einer Fanpage bei Facebook keine verantwortliche Stelle i.S.v. Abs. 7 sei3. Personenbezogene Daten, die beim Aufrufen einer solchen Seite erhoben werden, werden auf direktem Wege an Facebook weitergeleitet, so dass bei Fanpagebetreibern keine rechtlichen oder tatsächlichen Einwirkungsmöglichkeiten auf die erhobenen Daten vorliegen. Die Angelegenheit ist allerdings noch nicht abschließend geklärt. Das BVerwG setzte das Revisionsverfahren aus und richtete sechs Vorlagefragen an den EuGH4. Problematisch ist die Frage der Verantwortlichkeit, wenn mehrere Stellen ins- 69 besondere im IT-Bereich, gemeinsam an der Datenerhebung und -verarbeitung beteiligt sind. Der Wortlaut des BDSG sieht regelmäßig nur einen Verantwort1 https://www.vda.de/de/themen/innovation-und-technik/vernetzung/gemeinsame-erklae rung-vda-und-datenschutzbehoerden-2016.html. 2 OLG Hamburg v. 2.8.2011 – 7 U 134/10, BeckRS 2011, 22388. 3 OVG Schleswig v. 4.9.2014 – 4 LB 20/13, CR 2014, 801. 4 BVerwG v. 25.2.2016 – 1 C 28.14.

Plath/Schreiber

|

65

§ 3 BDSG | Allgemeine und gemeinsame Bestimmungen lichen vor1. Die europarechtliche Vorgabe aus Art. 2 Buchst. d EG-Datenschutzrichtlinie weicht in ihrem Wortlaut diesbezüglich von der bundesgesetzlichen Umsetzung ab. Hiernach kommt es darauf an, ob die Daten verarbeitende Stelle allein oder gemeinsam mit anderen über die Zwecke und Mittel der Datenverarbeitung entscheidet. Dem widerspricht der Wortlaut von Abs. 7 nicht2. Deshalb kann im Wege der richtlinienkonformen Auslegung eine gemeinsame Verantwortung mehrerer Stellen begründet werden3. Damit ist ausschlaggebend, wer im konkreten Fall in Bezug auf die in Frage stehende Verwendung die Verfügungsoder Entscheidungsgewalt über die Daten hat4. Sofern die Kontrolle über die Daten in der Hand mehrerer Stellen liegt, also alle Stellen über Zweck und Mittel der Datenverarbeitung gemeinsam entscheiden oder an der Entscheidung beteiligt sind, ist eine gemeinsame Verantwortung gegeben. Besondere Praxisrelevanz entwickelt diese Thematik im Rahmen grenzüberschreitender Sachverhalte, wenn es nämlich um die Frage geht, ob die Tätigkeit einer im EU-Ausland ansässigen Niederlassung der Muttergesellschaft zuzurechnen ist. Handelt die Niederlassung insoweit weisungsfrei, so hat sie sich (nur) an ihr lokales Datenschutzrecht zu halten. Handelt sie hingegen unter Kontrolle der in Deutschland ansässigen Muttergesellschaft, so richtet sich der Vorgang u.U. (auch) nach deutschem Datenschutzrecht. Bei Suchmaschinenanbietern oder sozialen Netzwerken ist die Betreiberin als verantwortliche Stelle haftbar5. Nationale Konzerntöchter, die lediglich im Bereich des Marketing tätig sind und keinen Einfluss auf die Verarbeitungsvorgänge haben, sind zwar nach der Google-Spain-Entscheidung als Niederlassung anzusehen, aber nicht als verantwortliche Stelle i.S.d. Abs. 76. Die Betreiber von Suchmaschinen sind desweitern für die Suchergebnisanzeigen ihrer Dienste verantwortlich. Nach dem EuGH verfügen die Suchmaschinenbetreiber wie z.B. Google über die Zwecke und Mittel der Verarbeitung i.S.v. Art. 2 Buchst. d EG-Datenschutzrichtlinie und müssen unabhängig von der Rechtmäßigkeit der Ursprungsinformation für ihre Suchergebnisanzeigen einstehen7. 1 Simitis/Dammann, § 3 BDSG Rz. 224. 2 Simitis/Dammann, § 3 BDSG Rz. 226. 3 Vgl. Artikel-29-Datenschutzgruppe, für die Verarbeitung Verantwortlicher, 11, 14, 18; Monreal, ZD 2014, 611 (614); a.A. Luch, Schleswig-Holsteinischer Landtag Umdruck 17/2988, 13. 4 Schröder/Hawxwell, Stellungnahme des Wissenschaftlichen Dienstes des Deutschen Bundestages, Ausarbeitung, Die Verletzungen Datenschutzrechtlicher Bestimmungen durch sog. Fanpages und Social-Plugins, zum Arbeitspapier des ULD in der Fassung vom 7.10.2011, 8 f.; vgl. Artikel-29-Datenschutzgruppe, für die Verarbeitung Verantwortlicher, 11, 14, 18. 5 So im Ergebnis LG Hamburg v. 10.7.2015 – 324 O 17/15; LG Berlin v. 21.8.2014 – 27 O 293/14, CR 2015, 124. 6 Es bleibt abzuwarten was der EuGH auf die Vorlagefragen des BVerwG v. 25.2.2016 – 1 C 28.14 antwortet. 7 EuGH v. 13.5.2014 – C-131/12, GRUR 2014, 895 (897) – Google Spain; Ziebarth, ZD 2014, 394 (397).

66

|

Plath/Schreiber

Weitere Begriffsbestimmungen | § 3 BDSG

Bei einer Datenverarbeitung durch öffentliche Stellen ist der Rechtsträger 70 (Bund, Land, Gemeinde) nicht selbst verantwortliche Stelle1. Vielmehr sind die in § 2 Abs. 2 genannten Behörden des Bundes und der Länder i.S.d. BDSG für die Datenverarbeitung verantwortlich2. Die Frage der Verantwortlichkeit des Auftraggebers im Falle einer Auftrags- 71 datenverarbeitung ist ausdrücklich in § 11 geregelt (s. Komm. zu § 11 BDSG Rz. 3)3. Der Auftraggeber bleibt als „Herr der Daten“ für den Umgang mit den Daten datenschutzrechtlich verantwortlich4.

IX. Empfänger und Dritte (Abs. 8) Abs. 8 definiert die Begriffe des Empfängers und, in Abgrenzung hierzu, des 72 Dritten. Danach ist jede Person oder Stelle „Empfänger“, die tatsächlich Daten erhält5. Etwaige gesetzliche Informations-, Benachrichtigungs- und Meldepflichten über den Umgang mit Daten verpflichten regelmäßig auch den Empfänger, vgl. z.B. § 29 Abs. 36. Der Begriff des „Dritten“ grenzt sich negativ von dem der verantwortlichen 73 Stelle ab. „Dritter“ ist demzufolge jede Person oder Stelle außerhalb der verantwortlichen Stelle, solange sie nicht selbst Betroffener oder im Rahmen einer Auftragsdatenverarbeitung als Auftragsnehmer innerhalb der EU oder dem EWR tätig ist7. Bei einer Datenverarbeitung außerhalb der EU und des EWR ist der Auftragnehmer Dritter, so dass eine Datenübermittlung vorliegt8. Von Bedeutung ist der Begriff des Dritten vor allem als konstitutive Voraussetzung für das Vorliegen einer Übermittlung, Abs. 4 Nr. 3 (s. hierzu ausführlich Rz. 39)9. Bei der Abgrenzung im nicht-öffentlichen Bereich ist allein die juristische Ein- 74 heit maßgeblich10. Daher sind bspw. auch die ggf. in ein Unternehmen eingegliederten Betriebskrankenkassen Dritte im Verhältnis zur verantwortlichen Stelle. Gleiches gilt für die Personalvertretung, nicht jedoch für Betriebsärzte11. Erhalten Mitarbeiter, Organe oder Gesellschafter der verantwortlichen Stelle Da1 2 3 4 5 6 7 8

Taeger/Gabel/Buchner, § 3 BDSG Rz. 54. Taeger/Gabel/Buchner, § 3 BDSG Rz. 54. Taeger/Gabel/Buchner, § 3 BDSG Rz. 52. Gola/Schomerus, § 3 BDSG Rz. 50; Bergmann/Möhrle/Herb, § 3 BDSG Rz. 148. Schaffland/Wiltfang, § 3 BDSG Rz. 86a. Taeger/Gabel/Buchner, § 3 BDSG Rz. 55; Gola/Schomerus, § 3 BDSG Rz. 51. Taeger/Gabel/Buchner, § 3 BDSG Rz. 56. Vgl. Gola/Schomerus, § 3 BDSG Rz. 53; Schaffland/Wiltfang, § 3 BDSG Rz. 87 f.; vgl. zur Übermittlung in Drittstaaten Weber/Voigt, ZD 2011, 74. 9 Simitis/Dammann, § 3 BDSG Rz. 229. 10 Simitis/Dammann, § 3 BDSG Rz. 232 ff. 11 Simitis/Dammann, § 3 BDSG Rz. 235 f.; Bergmann/Möhrle/Herb, § 3 BDSG Rz. 163 ff.

Plath/Schreiber

|

67

§ 3 BDSG | Allgemeine und gemeinsame Bestimmungen ten außerhalb ihrer dienstbezogenen Funktion, sind sie bezüglich dieses Vorgangs ebenfalls als Dritte zu qualifizieren1. 75 Im öffentlichen Bereich kann auch eine Behörde, die demselben Rechtsträger

angehört, Dritter sein. Dies gilt jedoch nicht für unselbständige Funktionseinheiten wie z.B. Dezernate, weil diese nach dem hier vertretenen organisatorischen Behördenbegriff Teil der verantwortlichen Stelle sind2. Auch Beliehene, Eigenbetriebe und Privatrechtssubjekte sind im Verhältnis zur Behörde Dritte3.

X. Besondere Arten personenbezogener Daten (Abs. 9) 76 Die Auflistung der sog. „besonderen Arten personenbezogener Daten“ in Abs. 9

ist abschließend4. Die Vorschrift setzt Art. 8 der EG-Datenschutzrichtlinie um5. Die Sonderbehandlung der aufgezählten Daten wird im Schrifttum insbesondere im Hinblick auf das Volkszählungsurteil6 kritisiert, weil sich die Sensibilität von Daten erst aus der Verwendungsabsicht ergibt und nicht aus einer statischen Kategorie7. Zuvor fand eine Berücksichtigung besonders sensibler Daten lediglich im Rahmen von Interessenabwägungen statt8. Zu beachten ist, dass die Sensibilität von Daten im Einzelfall auch über die Definition des Abs. 9 hinaus im Rahmen von Interessenabwägungen von Bedeutung sein und eine besondere Schutzwürdigkeit der Daten begründen kann9. Dies ist z.B. bei Daten über Straftaten und Ordnungswidrigkeiten oder über Minderjährige der Fall10.

77 Der Umgang mit sensiblen Daten ist besonderen Restriktionen unterworfen.

Z.B. ist gemäß § 4a Abs. 3 neben der Schriftform der Einwilligung auch die Benennung der Daten im Einwilligungstext erforderlich. Darüber hinaus ist nach § 4d Abs. 5 eine Vorabkontrolle durchzuführen. Der Begriff findet sich außerdem in den §§ 13 Abs. 2, 14 Abs. 5, 6 und § 16 Abs. 1 Nr. 211.

78 Angaben über die Gesundheit sind alle Angaben, welche den körperlichen oder

geistigen Zustand einer Person betreffen12. Zu beachten ist, dass auch Informa-

1 Vgl. Taeger/Gabel/Buchner, § 3 BDSG Rz. 56; Simitis/Dammann, § 3 BDSG Rz. 234 f., 238 f.; Schaffland/Wiltfang, § 3 BDSG Rz. 94; Bergmann/Möhrle/Herb, § 3 BDSG Rz. 163 ff. 2 A.A. Bergmann/Möhrle/Herb, § 3 BDSG Rz. 159. 3 Simitis/Dammann, § 3 BDSG Rz. 231. 4 Taeger/Gabel/Buchner, § 3 BDSG Rz. 59. 5 Taeger/Gabel/Buchner, § 3 BDSG Rz. 57. 6 BVerfGE 65, 1. 7 S. hierzu Simitis/Dammann, § 3 BDSG Rz. 251 ff.; Taeger/Gabel/Buchner, § 3 BDSG Rz. 57. 8 Taeger/Gabel/Buchner, § 3 BDSG Rz. 57. 9 Bergmann/Möhrle/Herb, § 3 BDSG Rz. 175. 10 Ebenso Bergmann/Möhrle/Herb, § 3 BDSG Rz. 174. 11 Schaffland/Wiltfang, § 3 BDSG Rz. 107. 12 Taeger/Gabel/Buchner, § 3 BDSG Rz. 59.

68

|

Plath/Schreiber

Weitere Begriffsbestimmungen | § 3 BDSG

tionen über bestimmte Begebenheiten, welche besonders sensiblen Daten betreffen, durch die Verknüpfung mit weiteren Daten bei der Qualifizierung als sensible Daten von Bedeutung sein können. Damit sind bspw. auch Angaben über einen Arztbesuch Angaben über den Gesundheitszustand, nicht jedoch die Zugehörigkeit zu einer bestimmten Krankenkasse1. Angaben über die rassische oder ethnische Herkunft sind alle Angaben, welche 79 den Betroffenen als Angehörigen einer bestimmten Volksgruppe, Rasse, Hautfarbe oder Minderheit qualifizieren. Nicht dazu gehören wertfreie Äußerungen, wie die Qualifizierung als Asylant, die Staatsangehörigkeit oder die Zuordnung zu einer bestimmten sozialen Schicht2. Zu den Angaben über politische Meinungen, Gewerkschaftszugehörigkeit und 80 religiöse oder philosophische Überzeugungen gehören bspw. Angaben über Mitgliedschaften in entsprechenden Institutionen, wozu auch Sekten zählen. Ebenfalls umfasst werden Angaben über entsprechende Verhaltensweisen, wie der Kirchgang oder ggf. das Abonnement einer Zeitung3. Hinsichtlich personenbezogener Daten, die im Zusammenhang mit der Abführung der Kirchensteuer stehen, existieren steuerrechtliche Sondervorschriften4. Zu den Angaben über das Sexualleben gehören alle Angaben, welche sich hierauf 81 beziehen, wie bspw. die Verwendung von Verhütungsmitteln oder der Konsum bestimmter Videos5. Die „sensiblen Daten“ wurden auch in die DSGVO aufgenommen und dort in Art. 9 DSGVO geregelt. Art. 10 DSGVO sieht darüber hinaus Sonderregelungen für Daten über strafrechtliche Verurteilungen und Straftaten vor.

XI. Mobile personenbezogene Speicher- und Verarbeitungsmedien (Abs. 10) Die Begriffsdefinition dient der Konkretisierung des § 6c, welcher seinerseits 82 2001 in das BDSG eingeführt wurde6. § 6c soll für mehr Transparenz beim Einsatz mobiler Speicher- und Verarbeitungsmedien sorgen7. Die Voraussetzungen aus Abs. 10 Nr. 1–3 müssen kumulativ vorliegen8: 1 Gola/Schomerus, § 3 BDSG Rz. 56a; vgl. Simitis/Dammann, § 3 BDSG Rz. 263 ff.; Bergmann/Möhrle/Herb, § 3 BDSG Rz. 171. 2 Bergmann/Möhrle/Herb, § 3 BDSG Rz. 168. 3 Bergmann/Möhrle/Herb, § 3 BDSG Rz. 169. 4 Schaffland/Wiltfang, § 3 BDSG Rz. 107. 5 Bergmann/Möhrle/Herb, § 3 BDSG Rz. 173. 6 Vgl. Taeger/Gabel/Buchner, § 3 BDSG Rz. 60. 7 Bergmann/Möhrle/Herb, § 3 BDSG Rz. 176. 8 Simitis/Dammann, § 3 BDSG Rz. 268.

Plath/Schreiber

|

69

§ 3 BDSG | Allgemeine und gemeinsame Bestimmungen 83 Gemäß Nr. 1 sind mobile personenbezogene Speicher- und Verarbeitungs-

medien nur solche Datenträger, die an den Betroffenen herausgegeben werden. Im Zeitpunkt der Ausgabe müssen noch keine Informationen auf dem Datenträger gespeichert sein1.

84 Gemäß Nr. 2 muss der Datenträger darüber hinaus grundsätzlich zur Verarbei-

tung personenbezogener Daten geeignet sein2. Die Datenverarbeitung muss über die Speicherung hinaus und auf ebendiesem Medium stattfinden können3. Von dem Begriff der automatisierten Verarbeitung ist gemäß Abs. 2 auch das Erheben und Nutzen von Daten erfasst4. In der Regel wird das Medium mit einem Prozessorchip ausgestattet sein5. Von besonderer Bedeutung ist dies im Rahmen der mit RFID-Technologie ausgestatteten Medien wie bspw. Kundenkarten6. Während Low-End-Systeme keine Mikro-Prozessoren enthalten und deshalb reine Speichermedien sind, erfüllen kontaktlose Chipkarten, die mit Mikroprozessor ausgestattet sind und deshalb Daten verarbeiten können (HighEnd-System), die Voraussetzungen nach Abs. 10 Nr. 2. Hierbei ist unerheblich, ob eine Datenverarbeitung tatsächlich beabsichtigt ist7.

85 Gemäß Nr. 3 wird schließlich vorausgesetzt, dass der jeweils Betroffene die vor-

gesehene Datenverarbeitung allein durch Nutzung des Mediums beeinflussen kann. Dies kann durch Einführen der Chipkarte in ein Lesegerät oder durch das Drücken eines Knopfes geschehen8. Ist aber die Steuerung der Datenverarbeitung wie bei Handys und Notebooks auf vielfältige Weise möglich und kann der Betroffene die Datenverarbeitung gezielt eigenständig bestimmen, handelt es sich nicht mehr um ein Speicher- und Verarbeitungsmedium9.

86 Beispiele für Medien i.S.d. Abs. 10 sind vor allem Chipkarten wie die elektro-

nische Gesundheitskarte (eGK), § 291a SGB V, die ec/Maestrokarte oder die Job-Card für Arbeitnehmer mit elektronischer Signatur nach dem SigG10. Reine Signaturkarten, welche lediglich das Speichern und automatisierte Auslesen von Daten ermöglichen, wie bspw. Mitarbeiterausweise11 oder der neue Perso-

1 Taeger/Gabel/Buchner, § 3 BDSG Rz. 61; vgl. Simitis/Dammann, § 3 BDSG Rz. 270; Bergmann/Möhrle/Herb, § 3 BDSG Rz. 179. 2 Taeger/Gabel/Buchner, § 3 BDSG Rz. 61; vgl. Simitis/Dammann, § 3 BDSG Rz. 272; Bergmann/Möhrle/Herb, § 3 BDSG Rz. 180. 3 Simitis/Dammann, § 3 BDSG Rz. 272. 4 Vgl. Simitis/Dammann, § 3 BDSG Rz. 272. 5 Gola/Schomerus, § 3 BDSG Rz. 58. 6 Bergmann/Möhrle/Herb, § 3 BDSG Rz. 187 ff.; s. zur RFID Westerhold/Döring, CR 2004, 710. 7 Vgl. Bergmann/Möhrle/Herb, § 3 BDSG Rz. 187 ff. 8 Simitis/Dammann, § 3 BDSG Rz. 277. 9 Simitis/Dammann, § 3 BDSG Rz. 277; Taeger/Gabel/Buchner, § 3 BDSG Rz. 61; Bergmann/Möhrle/Herb, § 3 BDSG Rz. 184. 10 Bergmann/Möhrle/Herb, § 3 BDSG Rz. 183. 11 Vgl. aber Schaffland/Wiltfang, § 3 BDSG Rz. 108 zu Zeiterfassungskarten.

70

|

Plath/Schreiber

Weitere Begriffsbestimmungen | § 3 BDSG

nalausweis bzw. Reisepass sind ebenso wenig Speicher- und Verarbeitungsmedien i.S.v. Abs. 10 wie CDs oder Magnetkarten1.

XII. Beschäftigte (Abs. 11) Abs. 11 definiert den in § 32 verwendeten Begriff des Beschäftigten und ist zu- 87 dem von Bedeutung für die Berechnung des Schwellenwertes für die Benennung eines betrieblichen Datenschutzbeauftragten nach § 4 f. Erfasst sind neben „echten“ Arbeitnehmern nahezu alle Personen, welchen eine arbeitnehmerähnliche Stellung zukommt2. Die Aufzählung in Abs. 11 geht dabei über die üblichen sozialversicherungs- und arbeitsrechtlichen Definitionen des Beschäftigten hinaus. Der Grund für diese Ausweitung ist, dass der Schutz personenbezogener Daten nicht durch vertragliche Vereinbarungen zur Disposition stehen soll3. Vor dem Hintergrund, dass der Schutz von personenbezogenen Daten von Be- 88 troffenen unabhängig von der Ausgestaltung des Arbeitsverhältnisses gewährleistet werden muss, fallen auch Leiharbeitnehmer in den Anwendungsbereich von Nr. 14. Zur Frage, ob Organmitglieder juristischer Personen erfasst werden, vgl. Komm. zu § 32 BDSG Rz. 4. Unter Nr. 3 fallen Personen, welche zur Eingliederung in den Arbeitsmarkt oder 89 zur Rehabilitation beschäftigt werden, z.B. sog. „Ein-Euro-Jobber“. Außerdem erfasst Nr. 3 Teilnehmer und Teilnehmerinnen an Abklärungen der beruflichen Eignung5. Bei arbeitnehmerähnlichen Personen (Nr. 6) handelt es sich um solche Personen, die nicht persönlich, sondern nur wirtschaftlich von ihrem Vertragspartner abhängig und vergleichbar sozial schutzbedürftig sind6. Unter Nr. 8 fallen schließlich sämtliche in einem öffentlich-rechtlichen Dienst- 90 verhältnis Beschäftigte7. Dazu zählen auch ehrenamtlich Beschäftigte8. Mangels Gesetzgebungskompetenz des Bundes erfasst die Vorschrift jedoch nicht die Beamten der Länder9. 1 Bergmann/Möhrle/Herb, § 3 BDSG Rz. 184; Schaffland/Wiltfang, § 3 BDSG Rz. 108. 2 Taeger/Gabel/Buchner, § 3 BDSG Rz. 62; vgl. auch Forst, RDV 2014, 128, demzufolge Leiharbeitnehmer im Betrieb des Entleihers, Erfüllungsgehilfen des Werkunternehmers, die bei dem Besteller tätig sind, Selbständige einschließlich Organwalter sowie ehrenamtlich Tätige nicht unter den Begriff der „Beschäftigten“ des § 3 Abs. 11 subsumiert werden können. 3 Simitis/Dammann, § 3 BDSG Rz. 279. 4 Simitis/Dammann, § 3 BDSG Rz. 283. 5 Simitis/Dammann, § 3 BDSG Rz. 286. 6 Simitis/Dammann, § 3 BDSG Rz. 289. 7 Simitis/Dammann, § 3 BDSG Rz. 291. 8 Simitis/Dammann, § 3 BDSG Rz. 292. 9 Taeger/Gabel/Buchner, § 3 BDSG Rz. 62.

Plath/Schreiber

|

71

§ 3a BDSG | Allgemeine und gemeinsame Bestimmungen

§ 3a Datenvermeidung und Datensparsamkeit 1Die

Erhebung, Verarbeitung und Nutzung personenbezogener Daten und die Auswahl und Gestaltung von Datenverarbeitungssystemen sind an dem Ziel auszurichten, so wenig personenbezogene Daten wie möglich zu erheben, zu verarbeiten oder zu nutzen. 2Insbesondere sind personenbezogene Daten zu anonymisieren oder zu pseudonymisieren, soweit dies nach dem Verwendungszweck möglich ist und keinen im Verhältnis zu dem angestrebten Schutzzweck unverhältnismäßigen Aufwand erfordert. I. Einführung . . . . . . . . . . . . . II. Allgemeines Datenschutzprinzip (Satz 1) . . . . . . . . . . 1. Ziel der Grundsätze der Datenvermeidung und Datensparsamkeit . . . . . . . . . . . . . 2. Inhalt der Grundsätze der Datenvermeidung und Datensparsamkeit . . . . . . . . . . . . .

..

1

..

4

..

5

..

8

3. Normadressaten . . . . . . . . . 4. Rechtsnatur und Rechtsfolge III. Anonymisierung und Pseudonymisierung (Satz 2) IV. Verweise/Kontext . . . . . . .

. . . 11 . . . 14 . . 16 . . . 22

Schrifttum: Arzt, Verbunddateien des Bundeskriminalamts – Zeitgerechte Flurbereinigung, NJW 2011, 352; Bachmeier, Vorgaben für datenschutzgerechte Technik, DuD 1996, 672; Backu, Datenschutzrechtliche Relevanz bei Onlinespielen – Überblick über die einzelnen Problemstellungen, ZD 2012, 59; Bergwitz, Prozessuale Verwertungsverbote bei unzulässiger Videoüberwachung, NZA 2012, 353; Bodden/Rasthofer/Richter/Roßnagel, Schutzmaßnahmen gegen datenschutzunfreundliche Smartphone-Apps, DuD 2013, 720; Borking, Einsatz datenschutzfreundlicher Technologien in der Praxis, DuD 1998, 636; Bormann, Das Zentrale Testamentsregister in der notariellen Praxis, ZEV 2011, 628; Brunst, Anonymität im Internet – rechtliche und tatsächliche Rahmenbedingungen, 2009; Bull, Persönlichkeitsschutz im Internet: Reformeifer mit neuen Ansätzen, NVwZ 2011, 257; Diehn, Das Zentrale Testamentsregister in der notariellen Praxis, DNotZ 2011, 676; Eckert/Krauß, Sicherheit im Smart Grid, DuD 2011, 535; Eckhardt, BDSG: Neuregelungen seit dem 1.9.2009 – Ein Überblick, DuD 2009, 587; Erd, Datenschutzrechtliche Probleme sozialer Netzwerke, NVwZ 2011, 19; Freund/Schnabel, Bedeutet IPv6 das Ende der Anonymität im Internet? – Technische Grundlagen und rechtliche Beurteilung des neuen Internet-Protokolls, MMR 2011, 495; Gola/Klug, Die Entwicklung des Datenschutzrechts in den Jahren 2008/2009, NJW 2009, 2577; Härting/Schneider, Das Dilemma der Netzpolitik, ZRP 2011, 233; Hanloser, Die BDSG-Novelle II: Neuregelungen zum Kunden- und Arbeitnehmerdatenschutz, MMR 2009, 594; Herb, Neue Rundfunkfinanzierung – neue Datenschutzprobleme? – Datenschutzrechtliche Normen im neuen Rundfunkbeitragsstaatsvertrag (RBStV), MMR 2011, 232; Herkenhöner/Fischer/de Meer, Outsourcing im Pflegedienst, DuD 2011, 870; Hoffmann-Riem, Weiter so im Datenschutzrecht?, DuD 1998, 684; Hoffmann-Riem, Informationelle Selbstbestimmung in der Informationsgesellschaft. Auf dem Weg zu einem neuen Konzept des Datenschutzes, AöR 123 (1998), 513; Holznagel/ Ricke, Sicherung der Netzneutralität, DuD 2011, 611; Hornung, Datenschutz durch Tech-

72

|

Schreiber

Datenvermeidung und Datensparsamkeit | § 3a BDSG nik – Die Reform der Richtlinie als Chance für ein modernes Datenschutzrecht, ZD 2011, 51; Jeske, Datenschutzfreundliches Smart Metering, DuD 2011, 530; Karper/Maseberg, Zertifikat für Datenschutz-Management, DuD 2010, 704; Kinast/Schröder, Audit & Rating: Vorsprung durch Selbstregulierung – Datenschutz als Chance für den Wettbewerb, ZD 2012, 207; Kort, Datenschutzrechtliche und betriebsverfassungsrechtliche Fragen bei ITSicherheitsmaßnahmen, NZA 2011, 1319; Kühling/Bohnen, Zur Zukunft des Datenschutzrechts – Nach der Reform ist vor der Reform, JZ 2010, 600; Masing, Herausforderungen des Datenschutzes, NJW 2012, 2305; Pfitzmann, Datenschutz durch Technik, DuD 1999, 405; Raabe, Datenschutz im SmartGrid, DuD 2010, 379; Raabe/Lorenz/Pallas/Weis/Malina, 14 Thesen zum Datenschutz im Smart Grid, DuD 2011, 519; Rau/Behrens, Catch me if you can … Anonymisierungsdienste und die Haftung für mittelbare Rechtsverletzungen, K&R 2009, 766; Richter, Datenschutz durch Technik und die Grundverordnung der EUKommission, DuD 2012, 576; Roßnagel, Modernisierung des Datenschutzrechts – Empfehlungen eines Gutachtens für den Bundesinnenminister, RDV 2002, 61; Roßnagel, Neues Recht für Multimediadienste, NVwZ 1998, 1; Roßnagel/Desoi/Hornung, Gestufte Kontrolle bei Videoüberwachungsanlagen, DuD 2011, 694; Roßnagel/Scholz, Datenschutz durch Anonymität und Pseudonymität, MMR 2000, 721; Rost/Bock, Privacy by Design und die Neuen Schutzziele – Grundsätze, Ziele und Anforderungen, DuD 2011, 30; Schild/Tinnefeld, Datenverarbeitung im internationalen Konzern, DuD 2011, 629; Schmidt/Jacob, Die Zulässigkeit IT-gestützter Compliance- und Risikomanagementsysteme nach der BDSG-Novelle, DuD 2011, 88; Schneider, Die Datensicherheit – eine vergessene Regelungsmaterie? – Ein Plädoyer für Aufwertung, stärkere Integration und Modernisierung des § 9 BDSG, ZD 2011, 6; Schneider/Härting, Warum wir ein neues BDSG brauchen – Kritischer Beitrag zum BDSG und dessen Defiziten, ZD 2011, 63; Schulz, Privacy by Design – Datenschutz durch Technikgestaltun im nationalen und europäischen Kontext, CR 2012, 204; Sensburg, Datenschutz im Bürgeramt, DuD 1998, 650; Trute, Der Schutz personenbezogener Informationen in der Informationsgesellschaft, JZ 1998, 822; Weber, Hybridfernsehen aus der Sicht des öffentlich-rechtlichen Rundfunks, ZUM 2011, 452; Weichert, BDSG-Novelle zum Schutz von Internet-Inhaltsdaten, DuD 2009, 7; Weichert, Big Data und Datenschutz – Chancen und Risiken einer neuen Form der Datenanalyse, ZD 2013, 251; Wendt, Smart Grid – eine Herausforderung aus Sicht der Standardisierung und IT-Sicherheit oder schon „business-as-usual“, DuD 2011, 22; Wiesemann, ITrechtliche Rahmenbedingungen für „intelligente“ Stromzähler und Netze – Smart Meter und Smart Grids, MMR 2011, 355; Wilke/Kiesche, Datenschutz durch Datenvermeidung und -sparsamkeit, CuA 2009, 16.

I. Einführung § 3a formuliert die Grundsätze der Datenvermeidung und Datensparsamkeit, 1 die im Jahr 2001 nach dem Vorbild des § 3 Abs. 4 TDDSG in das BDSG aufgenommen worden sind1. Danach muss sich jede Erhebung, Verarbeitung und Nutzung personenbezogener Daten sowie die Gestaltung und Auswahl von Datenverarbeitungssystemen an dem Ziel ausrichten, keine oder jedenfalls so wenig 1 Vgl. Simitis/Scholz, § 3a BDSG Rz. 2 f.

Schreiber

|

73

§ 3a BDSG | Allgemeine und gemeinsame Bestimmungen personenbezogene Daten wie möglich zu erheben, zu verarbeiten oder zu nutzen1. 2 Sinn und Zweck des § 3a ist es, präventiv das Recht des Betroffenen auf infor-

mationelle Selbstbestimmung zu schützen2. Durch den Einsatz datenschutzfreundlicher Techniken sollen die Gefahren für das informationelle Selbstbestimmungsrecht reduziert werden3. § 3a konkretisiert damit den Grundsatz der Verhältnismäßigkeit4 und ist Ausfluss des allgemeinen Übermaßverbots zur technischen Gestaltung von Datenverarbeitungssystemen5. Bspw. ist es in vielen Konstellationen nicht erforderlich, dass Daten überhaupt einen Personenbezug aufweisen. Dann gilt es vielmehr, von vornherein den Personenbezug, z.B. durch Anonymisierung und Pseudonymisierung, zu vermeiden oder jedenfalls zu relativieren6.

3 Bis zur Gesetzesnovelle 20097 galt § 3a dem Wortlaut nach nur für die „Gestal-

tung und Auswahl von Datenverarbeitungssystemen“. Über den Wortlaut hinaus wurden allerdings auch schon damals die genannten Grundsätze auf sämtliche Stadien der Datenverarbeitung angewandt8. Mit der Erweiterung des Wortlauts auf die „Erhebung, Verarbeitung und Nutzung personenbezogener Daten“ ist daher letztlich keine inhaltliche Änderung verbunden9. Die DSGVO greift die Grundsätze des § 3a auf und führt sie im Rahmen ihrer Forderung nach Datenschutz durch Technik („Privacy by Design“) sowie durch datenschutzfreundliche Voreinstellungen („Privacy by Default“) in Art. 25 DSGVO fort (zur Kommentierung der Grundsätze von „Privacy by Design“ und „Privacy by Default“ vgl. Komm. zu Art. 25 DSGVO Rz. 4 ff. sowie 8 ff.)10. Darüber hinaus verlangt Art. 5 Abs. 1 Buchst. c DSGVO eine verhältnismäßige Handhabung der Datenmengen mit Augenmaß und setzt damit insbesondere das Postulat der Datensparsamkeit in der Verordnung als Grundsatz der „Datenminimierung“ um (zur Kommentierung des Grundsatzes der Datenminimierung in der DSGVO vgl. Komm. zu Art. 5 DSGVO Rz. 10 f.).

1 2 3 4 5 6 7 8 9 10

74

Vgl. Simitis/Scholz, § 3a BDSG Rz. 31. Taeger/Gabel/Zscherpe, § 3a BDSG Rz. 4. BT-Drucks. 14/4329, S. 30; vgl. Taeger/Gabel/Zscherpe, § 3a BDSG Rz. 4. So die amtliche Begründung in BT-Drucks. 14/4329, S. 33; a.A. Taeger/Gabel/Zscherpe, § 3a BDSG Rz. 2, die die Grundsätze von Datenvermeidung und Datensparsamkeit als Ausformung des verfassungsrechtlichen Erforderlichkeitsgebots ansieht. Schaffland/Wiltfang, § 3a BDSG Rz. 1; Taeger/Gabel/Zscherpe, § 3a BDSG Rz. 2. Simitis/Scholz, § 3a BDSG Rz. 32. Vgl. Hanloser, MMR 2009, 594, zum Umfang der Reform. Vgl. Taeger/Gabel/Zscherpe, § 3a BDSG Rz. 15; Schaffland/Wiltfang, § 3a BDSG Rz. 1. Hornung, ZD 2011, 51 (53 f.); Simitis/Scholz § 3a BDSG Rz. 7; Eckhardt, DuD 2009, 587; vgl. Kühling/Bohnen, JZ 2010, 600 (603); Wilke/Kische, CuA 2009, 16 (17). Vgl. hierzu auch Richter, DuD 2012, 576 ff.

|

Schreiber

Datenvermeidung und Datensparsamkeit | § 3a BDSG

II. Allgemeines Datenschutzprinzip (Satz 1) Die Grundsätze der Datenvermeidung und Datensparsamkeit gelten als allge- 4 meine Datenschutzprinzipien grundsätzlich bei jeder Form des Umgangs mit personenbezogenen Daten1. Daher muss stets geprüft werden, ob diese Grundsätze eingehalten sind, und zwar auch dann, wenn der Umgang mit personenbezogenen Daten mit den sonstigen datenschutzrechtlichen Bestimmungen im Einklang steht2. 1. Ziel der Grundsätze der Datenvermeidung und Datensparsamkeit Ziel der Grundsätze der Datenvermeidung und Datensparsamkeit ist es, weg 5 von der „Verrechtlichung“ des Datenschutzes3 hin zu einem Datenschutz durch Technik („Privacy by Design“) zu kommen4. Durch eine Förderung des Systemdatenschutzes soll auf die technische Gestaltung von Datenverarbeitungssystemen Einfluss genommen werden, um den Umgang mit personenbezogenen Daten zu minimieren5. Der Selbstdatenschutz soll befördert werden, damit jeder Betroffene letztlich selbst auswählen kann, wie viele und welche Daten er preisgeben, oder ob er anonym oder unter Pseudonym auftreten möchte6.

1 Taeger/Gabel/Zscherpe, § 3a BDSG Rz. 8. 2 Vgl. Taeger/Gabel/Zscherpe, § 3a BDSG Rz. 2; in diesem Zusammenhang zur Videoüberwachung vgl. Bergwitz, NZA 2012, 353 (357); zu Online-Spielen vgl. Backu, ZD 2012, 59 (62); zu Log-Dateien/Personaldaten vgl. Kort, NZA 2011, 1319 (1320); zu Testamentsregistern vgl. Bormann, ZEV 2011, 628 (630); vgl. auch Diehn, DNotZ 2011, 676 (681); zur Vergabe von IP-Adressen vgl. Freund/Schnabel, MMR 2011, 495 (499); zum Hybridfernsehen vgl. Weber, ZUM 2011, 452 (455); zu intelligenten Stromzählern vgl. Wiesemann, MMR 2011, 355 (358); zu Maßnahmen zum Einzug des Rundfunkbeitrags nach RStV vgl. Herb, MMR 2011, 232 (237); zu Verbunddateien des BKA vgl. Arzt, NJW 2011, 352 (353 f.); zu sozialen Netzwerken vgl. Erd, NVwZ 2011, 19 (20 f.). 3 Vgl. Gola/Schomerus, § 3a BDSG Rz. 1. 4 Vgl. hierzu Roßnagel, Handbuch Datenschutzrecht, Kap. 2.2, Rz. 7 ff.; Taeger/Gabel/ Zscherpe, § 3a BDSG Rz. 5; Bachmeier, DuD 1996, 672 f.; Trute, JZ 1998, 822 (829); zum Einsatz datenschutzfreundlicher Technologien („Privacy Enhancing Technologies“) s.: Hornung, ZD 2011, 51 (52 f.); Bock/Rost, DuD 2011, 30 ff.; Borking, DuD 1998, 636; Brunst, Anonymität im Internet – rechtliche und tatsächliche Rahmenbedingungen, S. 46 ff.; Roßnagel/Desoi/Hornung, DuD 2011, 694 ff.; zum Smart Grid – Eckert/Krauß, DuD 2011, 535 ff.; Wendt, DuD 2011, 22 ff.; Raabe/Lorenz/Pallas/Weis/Malina, DuD 2011, 519 ff.; zum Smart Metering – Jeske, DuD 2011, 530 ff.; Sensburg, DuD 1998, 650 (651); Holznagel/Ricke, DuD 2011, 611 ff.; Herkenhöner/Fischer/de Meer, DuD 2011, 870; Schild/Tinnefeld, DuD 2011, 629; Schulz, CR 2012, 204 ff. 5 Gola/Schomerus, § 3a BDSG Rz. 4. 6 Vgl. Taeger/Gabel/Zscherpe, § 3a BDSG Rz. 5; vgl. hierzu auch Bodden/Rasthofer/Richter/Roßnagel, DuD 2013, 720 ff.

Schreiber

|

75

§ 3a BDSG | Allgemeine und gemeinsame Bestimmungen 6 Ein solcher Schritt ist auch notwendig, da die heutigen IuK-Technologien auf

immer einfachere Weise die Erhebung und Verarbeitung personenbezogener Daten ermöglichen und dadurch Datenspeicher entstehen, die mit den Grundprinzipien des Datenschutzes nur noch schwerlich in Einklang zu bringen sind1. Der technische Wandel hat dazu geführt, dass der im Wesentlichen als Verbot mit Erlaubnisvorbehalt ausgestaltete Datenschutz den tatsächlichen Anforderungen immer weniger gewachsen ist2.

7 In diesem Zusammenhang werden schon länger sowohl auf nationaler als auch

auf europäischer Ebene Forderungen an den Gesetzgeber laut, Rahmenbedingungen für eine Selbstregulierung der Wirtschaft zu schaffen (sog. „regulierte Selbstregulierung“3)4. Danach soll der Gesetzgeber sich bei der inhaltlichen Tiefe seiner Regelungen zurückhalten, und die Ausfüllung abstrakter Vorgaben der branchen- oder unternehmensspezifischen Selbstregulierung überlassen5. Eine Möglichkeit ist bspw. die Knüpfung von wirtschaftlichen und haftungsrechtlichen Vorteilen an ein Datenschutzaudit6. Das Unabhängige Landeszentrum für Datenschutz Schleswig-Holsteins (ULD) hat auf Basis der SchleswigHolsteinischen Datenschutzverordnung ein solches Audit eingerichtet, bei dem ein Gütesiegel dafür vergeben wird, wenn die Vereinbarkeit eines Produkts mit den Vorschriften über den Datenschutz und die Datensicherheit in einem förmlichen Verfahren festgestellt wurde7. Im Jahr 2011 hat das Interactive Advertising Bureau Europe (IAB Europe, Brüssel), ein Zusammenschluss von u.a. einer Vielzahl europäischer Unternehmen der Online-Werbeindustrie, ein europaweit gültiges „Rahmenwerk zur Selbstregulierung von nutzerbasierter Online Werbung“ („Online Behavioural Advertising“ [„OBA“]) vorgestellt, das darauf angelegt ist, dem Verbraucher verbesserte Transparenz und Kontrolle im Hinblick auf Online-Werbung zu ermöglichen. Führende Unternehmen der Online-Branche haben dieses Regelwerk unterzeichnet und sich dazu verpflichtet,

1 Simitis/Scholz, § 3a BDSG Rz. 12; vgl. zu den Herausforderungen moderner IuKTechnologien auch Masing, NJW 2012, 2305 (2308 ff.); Weichert, ZD 2013, 251 ff. 2 Simitis/Scholz, § 3a BDSG Rz. 10. 3 Zur „regulierten Selbstregulierung“ vgl. insbesondere Hoffmann-Riem, AöR 123 (1998), 513 (535 ff.); Hoffmann-Riem, DuD 1998, 684 (687 ff.); vgl. auch Komm. zu § 38a BDSG Rz. 9 ff. 4 Vgl. Mitt. der Kommission v. 4.11.2010, Gesamtkonzept für einen Datenschutz in der EU, Kom(2010), 14; Hornung, ZD 2011, 51 (55); Bachmaier, DuD 1996, 672 f.; Trute, JZ 1998, 822 (829). 5 Roßnagel, RDV 2002, 61 (67); vgl. Hornung, ZD 2011, 51 (53 f.); vgl. Mitt. der Kommission v. 4.11.2010, Gesamtkonzept für einen Datenschutz in der EU, Kom(2010), 14. 6 Kühling/Bohnen, JZ 2010, 600 (603); Karper/Maseberg, DuD 2010, 704 ff.; Roßnagel, RDV 2002, 61 (66 f.;) Bachmeier, DuD 1996, 672 (673); Trute, JZ 1998, 822 (828); Weichert, DuD 2009, 7 (14); Kinast/Schröder, ZD 2012, 207 ff.; Zum Datenschutzaudit vgl. auch Komm. zu § 9a BDSG. 7 Vgl. Hornung, ZD 2011, 51 (53); Karper/Maseberg, DuD 2010, 704 ff.; Kühling/Bohnen, JZ 2010, 600 (607/609).

76

|

Schreiber

Datenvermeidung und Datensparsamkeit | § 3a BDSG

zukünftig für mehr Transparenz und Kontrolle zu sorgen1. Ein weiteres Beispiel ist der „Datenschutz-Kodex für Geodatendienste“ des BITKOM, in dessen Mittelpunkt eine zentrale Informations- und Widerspruchsstelle im Internet steht, bei der sich Bürger u.a. über die Funktionen der jeweiligen Geodatendienste informieren und Widerspruch gegen die Abbildung ihrer Häuser einlegen können2. Weiter steht es insbesondere den Verbänden der Internetwirtschaft frei, Standards zum Schutz des allgemeinen Persönlichkeitsrechts festzulegen und sich diese nach § 38a von der Aufsichtsbehörde genehmigen zu lassen3. 2. Inhalt der Grundsätze der Datenvermeidung und Datensparsamkeit Inhaltlich soll durch den Grundsatz der Datenvermeidung die Erhebung und 8 Verarbeitung personenbezogener Daten zunächst in quantitativer Hinsicht vermieden werden4. Ziel ist es jedoch nicht, überhaupt keine Daten zu generieren; die Regelung bezieht sich vielmehr nur auf Daten mit Personenbezug5. Mittel zur Datenvermeidung sind daher vornehmlich die in Satz 2 genannten Methoden der Anonymisierung und Pseudonymisierung (s. Rz. 16 ff.). Können personenbezogene Daten nicht gänzlich vermieden werden, soll durch 9 den Grundsatz der Datensparsamkeit zumindest die potenzielle Beeinträchtigung des Persönlichkeitsrechts (in qualitativer Hinsicht) durch eine Verringerung der Eingriffstiefe auf ein Mindestmaß reduziert werden6. Dies folgt aus schon dem Zweck und Anwendungsbereich des BDSG (§ 1 Abs. 1, Abs. 2). Der Grundsatz der Datensparsamkeit verlangt jedoch nicht nur, den Umfang der Daten auf ein Mindestmaß zu reduzieren, sondern auch die Häufigkeit ihrer Verarbeitung. Hierzu gehört es auch, den Kreis der mit der Verarbeitung betrauten Personen so klein wie möglich zu halten7. In der Praxis bedeutet das: Eine Erhebung und jede weitere Verarbeitung und 10 Nutzung personenbezogener Daten soll erst dann stattfinden, wenn vorher die Möglichkeit der Anonymisierung oder Pseudonymisierung in Betracht gezogen wurde8. Wenn eine anonyme oder pseudonyme Datenerhebung nicht möglich ist, ist die verantwortliche Stelle weiter verpflichtet, die Menge der Daten in je1 MMR-Aktuell 2011, 317410. 2 Vgl. hierzu Bull, NVwZ 2011, 257 (263). 3 Weichert, DuD 2009, 7 (10); LG Darmstadt v. 25.1.2006 – 25 S 118/05, MMR 2006, 330; vgl. hierzu auch Komm. zu § 38a BDSG Rz. 2 ff. 4 Vgl. Taeger/Gabel/Zscherpe, § 3a BDSG Rz. 29, 33; Simitis/Scholz, § 3a BDSG Rz. 31; Pfitzmann, DuD 1999, 405 f.; Roßnagel, NVwZ 1998, 1 (4). 5 Simitis/Scholz, § 3a BDSG Rz. 32. 6 Simitis/Scholz, § 3a BDSG Rz. 33; vgl. Taeger/Gabel/Zscherpe, § 3a BDSG Rz. 29; Pfitzmann, DuD 1999, 405 (406 f.;) zu einem Bedürfnis nach mehr Datensparsamkeit auch Mitt. der Kommission v. 4.11.2010, Gesamtkonzept für einen Datenschutz in der EU, Kom(2010), 9. 7 Vgl. Gola/Schomerus, § 3a BDSG Rz. 1b. 8 Taeger/Gabel/Zscherpe, § 3a BDSG Rz. 34.

Schreiber

|

77

§ 3a BDSG | Allgemeine und gemeinsame Bestimmungen dem Verarbeitungsstadium möglichst gering zu halten1. Für die verantwortliche Stelle ist es vor diesem Hintergrund zweckdienlich, von vornherein nur solche personenbezogenen Daten zu erheben, die für die jeweilige Vertragsabwicklung zwingend erforderlich sind. Erhebt die verantwortliche Stelle daneben auch bloß „nützliche“ personenbezogene Daten, vergrößert sich der spätere Überwachungsaufwand2. Daten, die nicht mehr für den ursprünglichen Verwendungszeck benötigt werden, müssen frühestmöglich gelöscht oder jedenfalls gesperrt werden. Das kann bspw. durch technisch gestützte Prüf- und Löschungsroutinen realisiert werden3. Eine weitere Möglichkeit ist die Datentrennung4. 3. Normadressaten 11 Sowohl öffentliche als auch nicht-öffentliche Stellen sind den Grundsätzen der

Datenvermeidung und Datensparsamkeit (als verantwortliche Stelle) unterworfen5.

12 Auch ein Auftragsdatenverarbeiter hat sich als Auftragnehmer bei seiner Daten-

verarbeitung daran zu halten. Allerdings treffen den Auftragsdatenverarbeiter diese Grundsätze regelmäßig nicht unmittelbar, da Normadressat primär der „Herr der Daten“, also grundsätzlich der Auftraggeber, ist. Der Auftragsdatenverarbeiter ist aber mittelbar, durch entsprechende Instruktionen seines Auftraggebers, auf diese Grundsätze verpflichtet6.

13 Die Grundsätze wirken sich mittelbar auch auf Hersteller und Anbieter von Da-

tenverarbeitungssystemen aus, obwohl § 3a dem Wortlaut nach nicht auf diese anwendbar ist7. Letztlich werden sich Hersteller und Anbieter entsprechender Systeme jedoch an den genannten Grundsätzen orientieren müssen, da die Auswahl durch verantwortliche Stellen regelmäßig auch danach getroffen werden dürfte, ob diese ihrerseits durch Nutzung entsprechender Systeme in der Lage sind, den Anforderungen in angemessener Weise Rechnung zu tragen8. 4. Rechtsnatur und Rechtsfolge

14 § 3a ist ein reiner Programmsatz9. Die dort normierten Grundsätze sind

Rechtspflichten ohne Verpflichtungsqualifikation und geben ihren Adressaten keine konkrete Verhaltensweise auf, sondern verpflichten sie lediglich auf die

1 Taeger/Gabel/Zscherpe, § 3a BDSG Rz. 35. 2 Simitis/Scholz, § 3a BDSG Rz. 35. 3 Simitis/Scholz, § 3a BDSG Rz. 36, vgl. Bull, NVwZ 2011, 257 (260), zu „programmiertem Vergessen“ und „Verfallsdaten“. 4 Vgl. Simitis/Scholz, § 3a BDSG Rz. 37 f. 5 Simitis/Scholz, § 3a BDSG Rz. 25; Taeger/Gabel/Zscherpe, § 3a BDSG Rz. 17. 6 Taeger/Gabel/Zscherpe, § 3a BDSG Rz. 18 f. 7 Simitis/Scholz, § 3a BDSG Rz. 26. 8 Taeger/Gabel/Zscherpe, § 3a BDSG Rz. 20. 9 Vgl. Schneider, ZD 2011, 6 (7).

78

|

Schreiber

Datenvermeidung und Datensparsamkeit | § 3a BDSG

genannten Ziele1. Mit anderen Worten: eine zwangsweise Durchsetzung der genannten Grundsätze ist auf der Grundlage des § 3a nicht möglich2. Auch eine Durchsetzung nach Maßgabe des UKLaG scheidet aus, da § 3a keine verbraucherschützende Norm darstellt3. Auch eine Ahndung durch Bußgelder ist ausgeschlossen4, ebenso Zwangsmaßnahmen nach § 38 Abs. 55. Ebenfalls keine Pflicht gibt es, den Betroffenen über die Möglichkeit der Anony- 15 misierung oder Pseudonymisierung zu unterrichten, wie es bspw. § 13 Abs. 6 TMG (s. dazu Komm. zu § 13 TMG Rz. 40) vorsieht6.

III. Anonymisierung und Pseudonymisierung (Satz 2) Satz 2 konkretisiert das Gebot der Datenvermeidung7 und verlangt die mög- 16 lichst frühzeitige8 Anonymisierung und Pseudonymisierung personenbezogener Daten9. Bei den genannten Maßnahmen handelt es sich, wie sich aus dem Wort „insbesondere“ ergibt, allerdings nur um Regelbeispiele. D.h., auch andere geeignete Maßnahmen können ergriffen werden, um den Grundsätzen der Datenvermeidung und Datensparsamkeit nachzukommen10. § 3 Nr. 6 enthält eine Legaldefinition für den Begriff des Anonymisierens11 (s. 17 zum Begriff ausf. Komm. zu § 3 BDSG Rz. 57). Danach sind personenbezogene Daten so zu verändern, dass sie einer bestimmten oder bestimmbaren natürlichen Person entweder überhaupt nicht oder nur unter unverhältnismäßig großem Aufwand an Zeit, Kosten und Arbeitskraft zugeordnet werden können12. Maßstab ist also das Re-Identifizierungsrisiko. Dabei ist im konkreten Sachzusammenhang danach zu fragen, ob der Aufwand der Neubeschaffung der betreffenden Daten geringer ist als der Aufwand, der für die Wiederherstellung des Personenbezugs notwendig wäre (s. Komm. zu § 3 BDSG Rz. 57 ff.)13. 1 Vgl. Simitis/Scholz, § 3a BDSG Rz. 31; Kühling/Bohnen, JZ 2010, 600 (603). 2 Simitis/Scholz, § 3a BDSG Rz. 27; Schaffland/Wiltfang, § 3a BDSG Rz. 2. 3 Vgl. OLG Dresden v. 26.3.2013 – 14 U 1776/12, BeckRS 2014, 15220; LG Leipzig v. 17.10.2012 – 5 O 1044/12, BeckRS 2014, 15222. 4 Vgl. Hornung, ZD 2011, 51 (53 f.), der hierzu den Begriff „soft law“ verwendet. 5 Schaffland/Wiltfang, § 3a BDSG Rz. 2. 6 Vgl. Gola/Schomerus, § 3a BDSG Rz. 11. 7 Taeger/Gabel/Zscherpe, § 3a BDSG Rz. 48. 8 Taeger/Gabel/Zscherpe, § 3a BDSG Rz. 46. 9 S. Raabe, DuD 2010, 379 (383), zu entprechenden Möglichkeiten bei Smart Grid. 10 Vgl. Simitis/Scholz, § 3a BDSG Rz. 45; Taeger/Gabel/Zscherpe, § 3a BDSG Rz. 43. 11 Vgl. zu unterschiedlichen Anonymisierungstechniken Rau/Behrens, K&R 2009, 766 ff.; Brunst, Anonymität im Internet – rechtl. und tatsächliche Rahmenbedingungen, S. 6 ff.; Schmidt/Jacob, DuD 2011, 88 ff. 12 Taeger/Gabel/Zscherpe, § 3a BDSG Rz. 50; vgl. Wilke/Kische, CuA 2009, 16 (17). 13 Taeger/Gabel/Zscherpe, § 3a BDSG Rz. 51.

Schreiber

|

79

§ 3a BDSG | Allgemeine und gemeinsame Bestimmungen 18 Für ein Pseudonymisieren ist gemäß § 3 Nr. 6a erforderlich, dass der Name

und andere Identifikationsmerkmale durch ein Kennzeichen ersetzt werden, damit die Bestimmung des Betroffenen entweder ganz ausgeschlossen oder doch zumindest wesentlich erschwert wird1. Im Einzelnen vgl. hierzu Komm. zu § 3 BDSG Rz. 61 ff.; zu Relativität oder Absolutheit des Personenbezugs vgl. Komm. zu § 3 BDSG Rz. 14 f.

19 Nach Satz 2 müssen Anonymisierung und Pseudonymisierung nach dem Ver-

wendungszweck möglich sein sowie Aufwand und Schutzzweck in einem angemessenen Verhältnis stehen2.

20 Demzufolge dürfen zunächst überhaupt nur dann personenbezogene Daten ver-

wendet werden, wenn dadurch auch der Verwendungszweck des Verwenders erreicht werden kann. Ist der Personenbezug zur Erreichung des Verwendungszwecks entbehrlich, soll hingegen anonymisiert oder pseudonymisiert werden3.

21 Das gilt aber nur, soweit der damit verbundene Aufwand nicht unverhältnis-

mäßig höher ist als der jeweilige Schutzzweck. Ein solcher Fall liegt bspw. vor, wenn zur Anonymisierung und/oder Pseudonymisierung erhebliche finanzielle Aufwendungen getätigt werden müssen, um eine vollständige Neuanschaffung eines Datenverarbeitungssystems zu finanzieren, nur weil das ältere System bloß unzureichend über die Möglichkeit zur Anonymisierung und/oder Pseudonymisierung verfügt4.

IV. Verweise/Kontext 22 Die genannten Grundsätze der Datenvermeidung und Datensparsamkeit des

§ 3a kommen nicht zur Anwendung, soweit vorrangige gesetzliche Spezialregelungen anwendbar sind (§ 1 Abs. 3)5. Solche bereichsspezifischen Regelungen finden sich z.B. für das Internet in § 13 Abs. 6 TMG und für Sozialdaten in § 78b SGB X6. Für den geschäftsmäßigen Umgang mit Daten findet sich eine Bestimmung in § 30 Abs. 1, für gespeicherte Daten zum Zweck der Forschung in § 40 Abs. 2. Weitere Gebote finden sich in den Datenschutzgesetzen der Länder7 sowie in § 21g Abs. 5 EnWG.

1 Gola/Schomerus, § 3a BDSG Rz. 10; Taeger/Gabel/Zscherpe, § 3a BDSG Rz. 52; vgl. hierzu auch Roßnagel/Scholz, MMR 2000, 721; Pfitzmann, DuD 1999, 405 (406 f.); Brunst, Anonymität im Internet – rechtliche und tatsächliche Rahmenbedingungen, S. 46 ff. 2 Gola/Schomerus, § 3a BDSG Rz. 7. 3 Simitis/Scholz, § 3a BDSG Rz. 52. 4 Vgl. Simitis/Scholz, § 3a BDSG Rz. 53 ff. 5 Taeger/Gabel/Zscherpe, § 3a BDSG Rz. 8; Simitis/Scholz, § 3a BDSG Rz. 20. 6 Simitis/Scholz, § 3a BDSG Rz. 22. 7 Vgl. Schaffland/Wiltfang, § 3a BDSG Rz. 4; § 9 Abs. 1 BW LDSG; § 10 Abs. 2 HDSG; § 9 Abs. 2 Satz 2 SächsDSG; § 7 Abs. 4 NDSG.

80

|

Schreiber

Zulässigkeit der Datenerhebung, -verarbeitung und -nutzung | § 4 BDSG

§ 3a schränkt andere Rechtsvorschriften des Bundes, die auf personenbezogene 23 Daten anzuwenden sind, bspw. § 199 Abs. 1 Satz 2 und 3, § 98 SGB VII, nicht ein1.

§4 Zulässigkeit der Datenerhebung, -verarbeitung und -nutzung (1) Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten sind nur zulässig, soweit dieses Gesetz oder eine andere Rechtsvorschrift dies erlaubt oder anordnet oder der Betroffene eingewilligt hat. (2) 1Personenbezogene Daten sind beim Betroffenen zu erheben. 2Ohne seine Mitwirkung dürfen sie nur erhoben werden, wenn 1. eine Rechtsvorschrift dies vorsieht oder zwingend voraussetzt oder 2. a) die zu erfüllende Verwaltungsaufgabe ihrer Art nach oder der Geschäftszweck eine Erhebung bei anderen Personen oder Stellen erforderlich macht oder b) die Erhebung beim Betroffenen einen unverhältnismäßigen Aufwand erfordern würde und keine Anhaltspunkte dafür bestehen, dass überwiegende schutzwürdige Interessen des Betroffenen beeinträchtigt werden. (3) 1Werden personenbezogene Daten beim Betroffenen erhoben, so ist er, sofern er nicht bereits auf andere Weise Kenntnis erlangt hat, von der verantwortlichen Stelle über 1. die Identität der verantwortlichen Stelle, 2. die Zweckbestimmungen der Erhebung, Verarbeitung oder Nutzung und 3. die Kategorien von Empfängern nur, soweit der Betroffene nach den Umständen des Einzelfalles nicht mit der Übermittlung an diese rechnen muss, zu unterrichten. 2Werden personenbezogene Daten beim Betroffenen aufgrund einer Rechtsvorschrift erhoben, die zur Auskunft verpflichtet, oder ist die Erteilung der Auskunft Voraussetzung für die Gewährung von Rechtsvorteilen, so ist der Betroffene hierauf, sonst auf die Freiwilligkeit seiner Angaben hinzuweisen. 3Soweit nach den Umständen des Einzelfalles erforderlich oder auf Verlangen, ist er über die Rechtsvorschrift und über die Folgen der Verweigerung von Angaben aufzuklären. 1 LSG Berlin-Brandenburg v. 1.12.2011 – L 3 U 7/10, ZD 2012, 490.

Schreiber/Plath

|

81

§ 4 BDSG | Allgemeine und gemeinsame Bestimmungen I. Einführung . . . . . . . . . . . . . . . II. Verwendung personenbezogener Daten nur mit Erlaubnis (Abs. 1) . . . . . . . . . . 1. Erlaubnis durch Rechtsnorm . . . 2. Erlaubnis durch Einwilligung . . III. Grundsatz der Direkterhebung (Abs. 2 Satz 1) . . . . . . . . . . . . . 1. Bedeutung des Grundsatzes der Direkterhebung . . . . . . . . . . . . 2. Ausnahmen vom Grundsatz der Direkterhebung (Abs. 2 Satz 2) a) Ausnahme aufgrund von Rechtsvorschriften (Abs. 2 Satz 2 Nr. 1) . . . . . . . b) Ausnahme aufgrund von Verwaltungsaufgaben (Abs. 2 Satz 2 Nr. 2a Alt. 1) . . c) Ausnahme aufgrund des Geschäftszwecks (Abs. 2 Satz 2 Nr. 2a Alt. 2) . . . . . . . . . . . . d) Ausnahme bei unverhältnismäßigem Aufwand (Abs. 2 Satz 2 Nr. 2b) . . . . . . . . . . . 3. Kein überwiegendes Schutzbedürfnis des Betroffenen . . . . .

1 2 3 5 6 7 10 13 15 16

IV. Informationspflicht gegenüber dem Betroffenen (Abs. 3) . . . . . 1. Zeitpunkt der Information . . . . 2. Identität der verantwortlichen Stelle (Abs. 3 Satz 1 Nr. 1) . . . . . 3. Zweck der Datenerhebung (Abs. 3 Satz 1 Nr. 2) . . . . . . . . . 4. Kategorien von Empfängern (Abs. 3 Satz 1 Nr. 3) . . . . . . . . . 5. Ausnahme: Anderweitige Kenntnis (Abs. 3 Satz 1) . . . . . . 6. Informationen über die Freiwilligkeit der Angaben (Abs. 3 Satz 2) . . . . . . . . . . . . . 7. Aufklärung über die Folgen der Verweigerung der Angaben (Abs. 3 Satz 3) . . . . . . . . . . . . . V. Rechtsfolgen/Sanktionen 1. Verstoß gegen den Erlaubnisvorbehalt (Abs. 1) . . . . . . . . . . . 2. Verstoß gegen die Informationspflicht (Abs. 3) . . . . . . . . . . . . .

23 25 26 27 30 36 38 43

44 46

21 22

Schrifttum: Bizer, Datenschutzrechtliche Informationspflichten, DuD 2005, 451; Buchner, Die Einwilligung im Datenschutzrecht, DuD 2010, 39; Caspar, Geoinformationen und Datenschutz am Beispiel des Internetdienstes Google Street View, DÖV 2009, 965; Forst, Bewerberauswahl über soziale Netzwerke im Internet, NZA 2010, 427; Iraschko-Luscher, Einwilligung – Ein stumpfes Schwert des Datenschutzes?, DuD 2006, 706; Kock/Franke, Mitarbeiterkontrolle durch systematischen Datenabgleich zu Korruptionsbekämpfung, NZA 2009, 646; Maaßen, Urheberrechtlicher Auskunftsanspruch und Vorratsdatenspeicherung, MMR 2009, 511; Oberwetter, Bewerberprofilerstellung durch das Internet – Verstoß gegen das Datenschutzrecht?, DÖV 2008, 1562; Schulz, Die (Un-)Zulässigkeit von Datenübertragungen innerhalb verbundener Unternehmen, BB 2011, 2552; Wiesemann, IT-rechtliche Rahmenbedingungen für „intelligente“ Stromzähler und Netze – Smart Meter und Smart Grids, MMR 2011, 355.

I. Einführung 1 Die Norm definiert das Grundkonzept für den Umgang mit personenbezoge-

nen Daten unter dem BDSG, nämlich die Ausgestaltung als Verbot mit Erlaubnisvorbehalt. In vielen Urteilen zum BDSG wird Abs. 1 daher als maßgebliche

82

|

Plath

Zulässigkeit der Datenerhebung, -verarbeitung und -nutzung | § 4 BDSG

Einstiegsnorm zitiert1. Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten setzt nach § 4 grundsätzlich voraus, dass (i) eine Erlaubnis durch das BDSG oder durch eine andere Rechtsvorschrift, alternativ eine Einwilligung des Betroffenen vorliegt (Abs. 1), (ii) die Daten – soweit keine Ausnahmefälle greifen – direkt beim Betroffenen erhoben wurden (Abs. 2), und (iii) der Betroffene ausreichend informiert wurde oder auf andere Weise Kenntnis von der Erhebung erlangt hat (Abs. 3). Im Anwendungsbereich der DSGVO wird dieses Konzept im Grundsatz beibehalten. Das entsprechende Verbot mit Erlaubnisvorbehalt findet sich in Art. 6 DSGVO.

II. Verwendung personenbezogener Daten nur mit Erlaubnis (Abs. 1) Abs. 1 konkretisiert den Grundsatz der informationellen Selbstbestimmung des 2 Einzelnen als besondere Ausprägung des allgemeinen Persönlichkeitsrechts gemäß Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG. Jede Erhebung, Verarbeitung und Nutzung personenbezogener Daten ist damit grundsätzlich verboten, wenn nicht eine ausdrückliche Erlaubnis vorliegt (sog. „Verbot mit Erlaubnisvorbehalt“). Das BDSG kennt damit keine Mindestschwelle, unterhalb derer eine Verwendung personenbezogener Daten auch ohne Vorliegen eines Erlaubnistatbestands zulässig wäre. 1. Erlaubnis durch Rechtsnorm Gemäß der ersten Variante von Abs. 1 kann sich eine Erlaubnis aus dem BDSG 3 selbst oder einer Rechtsvorschrift ergeben. Erhebung, Verarbeitung und Nutzung können also ausdrücklich gesetzlich legitimiert sein. In Betracht kommen sowohl Spezialgesetze des Bundes und der Länder als auch Rechtsverordnungen oder Satzungen2. Auch das TMG ist lex specialis (insbesondere die Erlaubnistatbestände nach §§ 14, 15 TMG). Existiert kein Spezialgesetz, so muss sich die Erlaubnis aus dem BDSG ergeben. 4 Insbesondere greifen die Regelungen der §§ 14 ff. für öffentliche Stellen sowie der §§ 28 ff. für nicht-öffentliche Stellen. 2. Erlaubnis durch Einwilligung Sofern keine gesetzliche Erlaubnis vorliegt, muss der Betroffene in die Erhe- 5 bung, Verarbeitung und Nutzung seiner Daten wirksam eingewilligt haben. Die Anforderungen an die Wirksamkeit der Einwilligung normiert § 4a bzw. für den 1 Vgl. nur BGH v. 11.11.2009 – VIII ZR 12/08, CR 2010, 87 = MMR 2010, 138 (139) – HappyDigits. 2 Vgl. ausführlich Gola/Schomerus, § 4 BDSG Rz. 7 ff. m.w.N.

Plath

|

83

§ 4 BDSG | Allgemeine und gemeinsame Bestimmungen Bereich der Werbung und des Adresshandels durch nicht-öffentliche Stellen § 28 Abs. 3 Satz 1, Abs. 3a (s. Komm. zu § 28 BDSG Rz. 154 ff.)1.

III. Grundsatz der Direkterhebung (Abs. 2 Satz 1) 6 Das BDSG stellt den Grundsatz auf, dass personenbezogene Daten direkt beim

Betroffenen zu erheben sind2.

1. Bedeutung des Grundsatzes der Direkterhebung 7 Unter dem „Erheben“ personenbezogener Daten ist gemäß § 3 Abs. 4 das erst-

malige Beschaffen von Daten zu verstehen (ausführlich zu diesem Begriff vgl. Komm. zu § 3 BDSG Rz. 30 ff.). Erheben beim Betroffenen bedeutet, dass der Betroffene an der Erhebung selbst und aktiv mitwirkt. Dies ist bspw. der Fall, wenn der Betroffene direkt befragt wird, ein Formular ausfüllt oder seine personenbezogenen Daten in sonstiger Weise verfügbar macht3.

8 Mit der Normierung des Grundsatzes der Direkterhebung soll erreicht werden,

dass personenbezogene Daten möglichst direkt gewonnen werden. Sinn und Zweck dieser Bestrebung ist zum einen, dass der Betroffene vor dem Hintergrund des Schutzes der informationellen Selbstbestimmung darüber informiert ist, wer welche Daten über ihn hat4. Zum anderen soll die Authentizität der Daten gewährleistet werden.

9 Da in der Praxis eine Direkterhebung beim Betroffenen nicht immer möglich oder

zielführend ist, kommen die in Abs. 2 Satz 2 normierten Ausnahmen, die eine Abweichung vom Grundsatz der Direkterhebung unter bestimmten Umständen erlauben, regelmäßig zum Tragen. Nicht nur in der Werbewirtschaft und im Bereich des Adresshandels wird es immer üblicher, Daten nicht beim Betroffenen zu erheben, sondern sie im Wege der Übermittlung von einem Dritten zu erlangen. 2. Ausnahmen vom Grundsatz der Direkterhebung (Abs. 2 Satz 2)

10 Eine vom dargestellten Grundsatz abweichende Erhebung von Daten bei einem

anderen als dem Betroffenen ist grundsätzlich nur unter den Voraussetzungen des Abs. 2 Satz 2 möglich.

1 Ausführlich zur Bedeutung der Einwilligung und zu den Anforderungen an ihre Rechtmäßigkeit Buchner, DuD 2010, 39 (40); sowie Iraschko-Luscher, DuD 2006, 706. 2 Ausführlich hierzu Iraschko-Luscher, DuD 2006, 706. 3 Zur Vereinbarkeit einer Bewerberauswahl über soziale Netzwerke mit dem Grundsatz der Direkterhebung Oberwetter, BB 2008, 1562 (1563); Forst, NZA 2010, 427 (429); zur Vereinbarkeit der Datenerhebung durch Google Street View mit dem Grundsatz der Direkterhebung Caspar, DÖV 2009, 965 (970). 4 Vgl. Bizer, DuD 2005, 451.

84

|

Plath

Zulässigkeit der Datenerhebung, -verarbeitung und -nutzung | § 4 BDSG

Das Gesetz normiert vier Ausnahmen vom Grundsatz der Direkterhebung. So 11 können Daten auf andere Weise als direkt beim Betroffenen erhoben werden, wenn (i) es gesetzlich so vorgeschrieben oder zwingend vorausgesetzt ist (Nr. 1), wenn (ii) es für die Erledigung einer Verwaltungsaufgabe oder (iii) eines Geschäftszwecks erforderlich ist (Nr. 2), oder (iv) wenn der Aufwand der Direkterhebung ansonsten unverhältnismäßig hoch wäre (Nr. 3). Außer in den Fällen des Nr. 1 darf zudem kein überwiegendes Schutzbedürfnis des Betroffenen bestehen. Zu beachten ist darüber hinaus, dass der Betroffene auch in die Erhebung seiner 12 Daten bei einem Dritten wirksam einwilligen kann1. In diesem Fall bedarf es keines Rückgriffs auf die gesetzlichen Ausnahmetatbestände. a) Ausnahme aufgrund von Rechtsvorschriften (Abs. 2 Satz 2 Nr. 1) Die Datenerhebung ohne Mitwirkung des Betroffenen kann durch Gesetz legiti- 13 miert sein2. Genannt werden hier regelmäßig die Befugnisnormen der Strafverfolgungsbehörden (wie z.B. die §§ 100a, 100b StPO). Eine Telefonüberwachung wäre bspw. zwecklos, wenn der Betroffene vorab darüber informiert würde3. Zu Recht wird darauf hingewiesen, dass auch das BDSG selbst als Rechtsvor- 14 schrift i.S. dieser Norm in Betracht kommt. So normieren bspw. die §§ 28 und 29, dass eine Datenerhebung aus allgemein zugänglichen Quellen ohne Kenntnis des Betroffenen zulässig ist, so dass auch diese Normen als von dem Ausnahmetatbestand erfasste Rechtsvorschrift zu verstehen sind4. b) Ausnahme aufgrund von Verwaltungsaufgaben (Abs. 2 Satz 2 Nr. 2a Alt. 1) Beim Ausnahmetatbestand im Bereich der Verwaltungsaufgaben geht es primär 15 um Aufgaben der Daseinsfürsorge und andere staatliche Leistungen. Behörden muss es bspw. möglich sein, Angaben, die der Betroffene gemacht hat, bei Dritten zu überprüfen oder abzugleichen, bevor sie eine Leistung gewähren, ohne dass der Betroffene an diesem Procedere mitwirkt5.

1 Gola/Schomerus, § 4 BDSG Rz. 22. 2 Keine Rechtsvorschriften in diesem Sinne sollen nach Ansicht v. Wiesemann, z.B. die Vorschriften des Energierechts zu Smart Meter/Smart Grids darstellen, MMR 2011, 355 (356). 3 Vgl. dazu ausführlich Gola/Schomerus, § 4 BDSG Rz. 23 ff. m.w.N. 4 So z.B. Gola/Schomerus, § 4 BDSG Rz. 24; vgl. auch Schulz, BB 2011, 2552 (2553); Forst, NZA 2010, 427 (431). 5 Vgl. dazu ausführlich Gola/Schomerus, § 4 BDSG Rz. 26 m.w.N.

Plath

|

85

§ 4 BDSG | Allgemeine und gemeinsame Bestimmungen c) Ausnahme aufgrund des Geschäftszwecks (Abs. 2 Satz 2 Nr. 2a Alt. 2) 16 Auch Private dürfen Daten ohne Mitwirkung des Betroffenen erheben, wenn

dies zur Erledigung eines Geschäftszwecks erforderlich ist und keine schutzwürdigen Belange des Betroffenen entgegenstehen. Diese Ausnahme wird der Praxis gerecht, denn im Wirtschaftsleben werden personenbezogene Daten regelmäßig über Dritte weitergereicht.

17 Unter die Ausnahme fällt bspw. das Auskunftsersuchen eines Unternehmens

über die Bonität eines Kunden bei einer Auskunftei1. Ob die Erhebung der Daten durch die Auskunftei und ihre Übermittlung an das Unternehmen zulässig sind, ist eine andere Frage und richtet sich nach den speziellen Vorschriften (in diesem Fall nach §§ 28a, 29 Abs. 1). Abs. 2 Satz 2 Nr. 2a stellt aber bereits klar, dass ein Unternehmen grundsätzlich eine solche Auskunft abfragen darf, ohne dass der Betroffene mitwirkt.

18 Weiterhin muss es einem Gläubiger erlaubt sein, die Adresse eines Schuldners

über das Einwohnermeldeamt zu ermitteln, wenn der Schuldner unbekannt verzogen ist2.

19 Die Ausnahme gilt gleichfalls für die Erhebung von Daten bei Adresshändlern

zum Zwecke der Werbung3.

20 Dabei ist zu beachten, dass dieser Ausnahmetatbestand nur über die Einhaltung

des Grundsatzes der Direkterhebung hinweghilft. Die weitere Zulässigkeit solcher Maßnahmen wird anhand der spezielleren Vorschriften des BDSG, insbesondere der §§ 28 ff., zu bewerten sein4.

d) Ausnahme bei unverhältnismäßigem Aufwand (Abs. 2 Satz 2 Nr. 2b) 21 Schließlich gilt dann eine Ausnahme von dem Direkterhebungsgrundsatz, wenn

die Direkterhebung einen unverhältnismäßigen Aufwand bedeuten würde. Wann ein Aufwand als „unverhältnismäßig“ einzuschätzen ist, wird vom Einzelfall abhängen. Generell gilt, dass die Anforderungen an die Unverhältnismäßigkeit umso höher sind, je sensibler die erhobenen Daten sind. Die Unverhältnismäßigkeit kann sich insbesondere aus Zeit- oder Kostengründen ergeben. Auch kann eine große Menge an Erhebungsvorgängen, z.B. in der Werbewirtschaft, für eine Abweichung vom Grundsatz der Direkterhebung sprechen. Zu beachten ist, dass auch die Direkterhebung von Daten, die aus allgemein zu-

1 So auch Schaffland/Wiltfang, § 4 BDSG Rz. 9; kritisch zu der Frage, ob auch die Verwendung der IP-Adresse zur Ermittlung von Urheberrechtsverstößen unter den Erlaubnistatbestand des Abs. 2 Satz 2 Nr. 2a fällt Maaßen, MMR 2009, 511 (513). 2 Vgl. Gola/Schomerus, § 4 BDSG Rz. 27. 3 Str., wie hier Gola/Schomerus, § 4 BDSG Rz. 27; a.A. Däubler/Klebe/Wedde/Weichert/ Weichert, § 4 BDSG Rz. 8, nach dem dieser Fall aber unter Abs. 2 Nr. 2b fallen kann. 4 Vgl. die einschlägigen Kommentierungen in §§ 28 ff.

86

|

Plath

Zulässigkeit der Datenerhebung, -verarbeitung und -nutzung | § 4 BDSG

gänglichen Quellen gewonnen werden können, als unverhältnismäßig anzusehen sein wird, will man sie nicht schon unter Abs. 2 Satz 2 Nr. 1 fassen (vgl. Rz. 14). Die geringe Schutzwürdigkeit des Betroffenen bezüglich solcher Daten sowie der Umstand, dass es sich bei allgemein zugänglichen Daten i.d.R. um vergleichsweise unsensible Daten handelt, rechtfertigen nicht den zeitlichen und wirtschaftlichen Aufwand, den die verantwortliche Stelle betreiben müsste, um diese Daten direkt beim Betroffenen zu erheben. 3. Kein überwiegendes Schutzbedürfnis des Betroffenen Die Abweichung vom Grundsatz der Direkterhebung zur Erfüllung von Verwal- 22 tungsaufgaben bzw. Geschäftszwecken sowie aufgrund unverhältnismäßigen Aufwands (Abs. 2 Nr. 2) bedingt, dass das Schutzbedürfnis des Betroffenen nicht überwiegt. Diese Einschränkung ist restriktiv auszulegen. Die Interessen des Betroffenen müssen also eindeutig überwiegen, wie dies bspw. bei besonders sensiblen Daten i.S.d. § 3 Abs. 9 der Fall sein mag.

IV. Informationspflicht gegenüber dem Betroffenen (Abs. 3) Die Direkterhebung von Daten beim Betroffenen löst grundsätzlich eine Infor- 23 mationspflicht aus: Der Betroffene ist (i) über die Identität der verantwortlichen Stelle, (ii) über den Zweck der Erhebung, Verarbeitung oder Nutzung und (iii) über die Kategorien der Empfänger zu unterrichten1. Unter der DSGVO findet sich die entsprechende Regelung in Art. 13 DSGVO. Werden die Daten ohne Kenntnis des Betroffenen erhoben, kommt im Anwen- 24 dungsbereich der §§ 27 ff. u.U. die spezielle Benachrichtigungspflicht nach § 33 zum Tragen. Unter der DSGVO findet sich die entsprechende Regelung in Art. 14 DSGVO. 1. Zeitpunkt der Information Sinn und Zweck der Regelung ist es, dem Betroffenen im Falle der Direkterhe- 25 bung zu ermöglichen, selbst zu entscheiden, ob er seine personenbezogenen Daten preisgeben will oder nicht. Dies bedeutet zwangsläufig, dass der Betroffene rechtzeitig, d.h. vor der Erhebung der Daten zu unterrichten ist. Eines großen zeitlichen Vorlaufes bedarf es für die Unterrichtung des Betroffenen allerdings nicht, es reicht wenn der Betroffene unmittelbar vor der Datenerhebung informiert wird2. Die Informationspflicht nach Abs. 3 beschränkt sich auf den Zeitpunkt der Direkterhebung3. Bei einer späteren Zweckänderung ist jedoch unter Umständen die Benachrichtigungspflicht nach § 33 zu berücksichtigen. 1 Ausführlich zu den Informationspflichten Bizer, DuD 2005, 451 (452). 2 BAG v. 12.2.2015 – 6 AZR 845/13, NZA 2015, 741 (748). 3 So auch Kock/Franke, NZA 2009, 646 (650).

Plath

|

87

§ 4 BDSG | Allgemeine und gemeinsame Bestimmungen 2. Identität der verantwortlichen Stelle (Abs. 3 Satz 1 Nr. 1) 26 Die Unterrichtungspflicht umfasst zunächst die „Identität der verantwort-

lichen Stelle“. Welche Angaben hierfür erforderlich sind, lässt das Gesetz offen. Der Betroffene muss die verantwortliche Stelle grundsätzlich identifizieren können. Damit soll dem Betroffenen die Kontaktaufnahme mit der verantwortlichen Stelle ermöglicht werden, um seine Rechte (z.B. Auskunfts- oder Löschungsrechte) wahrzunehmen. Dazu bedarf es regelmäßig der Angabe des Namens bzw. der Firma. Nach der hier vertretenen Ansicht ist es angesichts des diesbezüglich eindeutigen Wortlauts jedoch nicht notwendig, darüber hinaus auch eine ladungsfähige Adresse anzugeben. Gleiches gilt für darüber hinaus gehende Informationen (wie Fax- oder E-Mail-Adresse), auch wenn sie die Kontaktaufnahme erleichtern1. Dennoch empfiehlt es sich, gerade auch im Hinblick auf die Sensibilität des Themas Datenschutz, eher mehr als weniger Informationen zur Kontaktaufnahme mit der verantwortlichen Stelle aufzuführen. 3. Zweck der Datenerhebung (Abs. 3 Satz 1 Nr. 2)

27 Darüber hinaus ist dem Betroffenen mitzuteilen, für welchen Zweck seine Daten

erhoben werden. Der Betroffene soll dabei z.B. erfahren, ob seine Daten allein für die Abwicklung eines Rechtsgeschäfts (Rechnung, Versand) oder darüber hinaus bspw. auch für Werbezwecke verwendet werden.

28 Dabei sind alle Zwecke anzugeben, die die verantwortliche Stelle zum Zeitpunkt

der Datenerhebung kennt. Ändert die verantwortliche Stelle im Nachhinein die Zweckbestimmung in wesentlicher Weise und verwendet sie die personenbezogenen Daten auch für weitere Zwecke, so trifft sie die Benachrichtigungspflicht nach § 332.

29 Eine positive redaktionelle „Verpackung“ der Information schadet nicht, solange

der Betroffene Inhalt und Reichweite verstehen kann3.

4. Kategorien von Empfängern (Abs. 3 Satz 1 Nr. 3) 30 Schließlich ist der Betroffene auch auf die Kategorien der Empfänger der Daten

hinzuweisen. Aus dem Wortlaut der Norm wird deutlich, dass die verantwortliche Stelle gerade nicht die spezifischen Empfänger nennen muss, sondern dass es reicht, diese in Kategorien zusammenzufassen. Ausreichend ist es daher z.B. von „Tochterunternehmen“, „Auskunfteien“ oder etwa „Inkassounternehmen“ zu sprechen, ohne die genaue Identität oder Funktion des Empfängers zu nennen.

1 A.A. Simitis/Sokol, § 4 BDSG Rz. 41, wonach die Angabe von Telefon- und Faxnummern sowie der E-Mail-Adresse „regelmäßig eine Selbstverständlichkeit sein“ sollte; ebenso i.E. Bizer, DuD 2005, 451 (452). 2 Gola/Schomerus, § 33 Rz. 5, 16; Bergmann/Möhrle/Herb, § 33 BDSG Rz. 46. 3 Gola/Schomerus, § 4 BDSG Rz. 31.

88

|

Plath

Zulässigkeit der Datenerhebung, -verarbeitung und -nutzung | § 4 BDSG

Der Begriff „Empfänger“ entspricht dem des § 3 Abs. 8 Satz 1. Damit wären ei- 31 gentlich auch solche Stellen von der Informationspflicht mit umfasst, die im Verhältnis zur verantwortlichen Stelle nicht als „Dritte“ zu verstehen sind, also konkret auch Auftragsdatenverarbeiter (§ 11). Dies hätte zur Konsequenz, dass der Betroffene bei strenger Lesart auch über jeden internen Datenfluss, z.B. an einen IT-Dienstleister, zu benachrichtigen wäre1. Nach der hier vertretenen Ansicht ist dies allerdings nicht der Fall: Der Wortlaut 32 des Abs. 3 Satz 1 Nr. 3 spricht von der „Übermittlung“ der Daten an die Empfänger. Eine Übermittlung von Daten liegt indessen nur dann vor, wenn sie an einen Dritten weitergegeben werden (§ 3 Abs. 4 Nr. 3). Auftragsdatenverarbeiter sind insoweit gerade nicht Dritte, d.h. die Daten werden an sie nicht im technischen Sinne „übermittelt“. Der Begriff „Kategorien von Empfängern“ ist daher nach Sinn und Zweck so auszulegen, dass unter Empfängern Dritte gemeint sind und die Auftragsdatenverarbeitung davon nicht erfasst ist. Auch hier muss gelten, dass die Informationspflicht sich nur auf solche Emp- 33 fänger beziehen kann, die im Zeitpunkt der Datenerhebung bekannt sind. In der Praxis empfiehlt es sich daher, sich eine Übermittlung an weitere Empfänger vorzubehalten. Die Informationspflicht entfällt, wenn der Betroffene mit der Weitergabe der Da- 34 ten an den oder die Empfänger rechnen muss. Dabei soll es nach überwiegender und enger Auffassung nicht reichen, dass eine Datenweitergabe „branchenüblich“ ist2. Dem ist nach der hier vertretenen Ansicht nur bedingt zu folgen. Für einen weiteren Ansatz spricht insbesondere, dass die Branchenüblichkeit an sich gerade geeignet ist, um festzulegen, in welchen Fällen der Betroffene mit einer Weitergabe seiner Daten rechnen muss. So kann ein Betroffener heute bei Abschluss eines Kreditvertrags mit der Weitergabe seiner Daten an eine Auskunftei rechnen. Einschränkend muss jedoch gelten, dass die Weitergabe im Konzernverbund nicht per se als ein Unterfall der Branchenüblichkeit anzusehen sein wird, da Unternehmensstrukturen für den Einzelnen oftmals nicht zu durchschauen sind. In Anbetracht der durchweg engen Auslegung der Informationspflicht ist es je- 35 doch als Vorsichtsmaßnahme empfehlenswert, einen Hinweis auf die Kategorie der Empfänger in jedem Fall aufzunehmen. 5. Ausnahme: Anderweitige Kenntnis (Abs. 3 Satz 1) Die verantwortliche Stelle kann auf die Unterrichtung des Betroffenen verzich- 36 ten, wenn der Betroffene bereits anderweitig Kenntnis erlangt hat, Abs. 3 1 So z.B. Gola/Schomerus, § 4 BDSG Rz. 33, der die Nennung des Begriffs „Übermittlung“ als ein redaktionelles Versehen ansieht. 2 So z.B. Gola/Schomerus, § 4 BDSG Rz. 33; Däubler/Klebe/Wedde/Weichert/Weichert, § 4 BDSG Rz. 13.

Plath

|

89

§ 4 BDSG | Allgemeine und gemeinsame Bestimmungen Satz 1, 1. Teil. Es ist hier also nicht ausreichend, dass mit der Kenntnisnahme durch den Betroffenen zu rechnen ist, die Kenntnisnahme muss vielmehr tatsächlich erfolgt sein. 37 Ausreichend ist es allerdings, wenn der Betroffene schon zu einem früheren

Zeitpunkt informiert wurde. Ein ausdrücklicher Hinweis ist auch dann verzichtbar, wenn sich bereits aus dem Geschäft selbst ergibt, inwieweit die personenbezogenen Daten verwendet werden. Dies wäre z.B. bei der Weitergabe von Mieterdaten durch einen Makler an den Vermieter der Fall. Dient die Erhebung der personenbezogenen Daten allein der Abwicklung einer Bestellung, so muss das Bestellformular nicht ausdrücklich den Hinweis enthalten, dass die personenbezogenen Daten für diese Abwicklung bestimmt sind. Denn der Betroffene kennt diese Zweckbestimmung in dem Moment, in dem er das Bestellformular ausfüllt und seine Lieferadresse etc. angibt1. Ähnlich verhält es sich, wenn sich die eine Vertragspartei im Rahmen eines Vertrages die Abtretung verschiedener Ansprüche vorbehält. In diesem Fall weiß der Betroffene, dass es im Falle der Abtretung auch zu einer Übermittlung seiner personenbezogenen Daten an den Abtretungsempfänger kommen wird2. Anderweitige Kenntnis hat der Betroffene auch dann, wenn er in die konkrete Verwendung seiner personenbezogenen Daten eingewilligt hat. Denn die Einwilligung nach § 4a setzt eine informierte Entscheidung voraus. Dies bedeutet, dass der Betroffene jedenfalls Kenntnis der in § 4 festgelegten Kriterien haben muss, also die zuständige Stelle, den Zweck der Datenverarbeitung und die Kategorien der Empfänger kennen muss3. 6. Informationen über die Freiwilligkeit der Angaben (Abs. 3 Satz 2)

38 Ist der Betroffene aufgrund einer Rechtsvorschrift zur Auskunft verpflichtet, so

ist er von der verantwortlichen Stelle darauf hinzuweisen. Die Vorschrift nimmt also insbesondere öffentliche Stellen in die Pflicht. Eine Auskunftspflicht des Betroffenen besteht bspw. gegenüber Steuerbehörden (§ 149 Abs. 1 AO) und gegenüber der Staatsanwaltschaft (§ 161a StPO). Eine gesetzliche Auskunftspflicht kann u.U. aber auch gegenüber privaten Stellen bestehen (z.B. gegenüber Arbeitgebern, § 5 EFZG)4.

39 Ist die Angabe personenbezogener Daten für den Betroffenen erforderlich, um

einen Rechtsvorteil zu erlangen, so ist ihm dies mitzuteilen. Dies betrifft vor allem den Fall der Gewährung staatlicher Leistungen. Die Angabe von Daten ist in diesem Fall sogar als Obliegenheit des Betroffenen zu verstehen5. Diese Vari-

1 2 3 4 5

So auch Gola/Schomerus, § 4 BDSG Rz. 38. Vgl. Gola/Schomerus, § 4 BDSG Rz. 38. Ebenso Gola/Schomerus, § 4 BDSG Rz. 40. Ausführlich hierzu Gola/Schomerus, § 4 BDSG Rz. 42 ff. m.w.N. Ebenso Gola/Schomerus, § 4 BDSG Rz. 43.

90

|

Plath

Zulässigkeit der Datenerhebung, -verarbeitung und -nutzung | § 4 BDSG

ante ist erweiternd dahingehend auszulegen, dass sie auch die Fälle erfasst, in denen ohne die Angabe ein Rechtsnachteil droht. Im Rahmen eines Rechtsgeschäfts muss der Betroffene ohnehin bestimmte Aus- 40 künfte machen, um überhaupt die Durchführung des Geschäfts zu ermöglichen. So muss z.B. bei einer Bestellung notwendiger Weise auch die Lieferadresse angegeben werden. Der Hinweis auf die Freiwilligkeit der Angaben erübrigt sich in diesen Fällen1. In allen anderen Fällen, in denen weder eine Auskunftspflicht besteht noch ein 41 Rechtsvorteil im Raum steht, muss der Betroffene darüber informiert werden, dass die Angabe seiner personenbezogenen Daten freiwillig erfolgt. Bei Angaben, die insbesondere für den Abschluss eines Rechtsgeschäfts nicht 42 erforderlich sind, ist auf deren Freiwilligkeit hinzuweisen. In Formularen begegnet man in der Praxis oftmals dem Hinweis auf die Freiwilligkeit („optional“, „freiwillig“), z.B. bei der Erhebung der Telefonnummer oder der E-Mail-Adresse. Solche knappen Hinweise genügen grundsätzlich, eine ausführliche Belehrung des Betroffenen ist nicht erforderlich. Der Hinweis auf die Freiwilligkeit muss allerdings eindeutig und unmissverständlich sein, damit der Betroffene sich nicht durch die Formulierung dazu verpflichtet fühlt, die Angaben zu machen. 7. Aufklärung über die Folgen der Verweigerung der Angaben (Abs. 3 Satz 3) Die verantwortliche Stelle muss grundsätzlich dafür Sorge tragen, dass dem Be- 43 troffenen die Folgen einer Verweigerung einer Angabe seiner Daten bekannt sind. Dies gilt insbesondere dann, wenn der Betroffene die Angabe seiner personenbezogenen Daten tatsächlich verweigert oder explizit eine Aufklärung verlangt. Diese Aufklärungspflicht entfällt nur dann, wenn sie nach den Umständen des Einzelfalls nicht erforderlich ist. Im Regelfall wird dem Betroffenen bewusst sein, dass er bspw. eine bestimmte Leistung nicht erhalten kann, wenn er die zur Abwicklung des Rechtsgeschäfts erforderlichen Daten nicht angibt. Sollte die verantwortliche Stelle indessen erkennen oder antizipieren, dass ein Informationsdefizit des Betroffenen besteht, so ist eine weitere Aufklärung erforderlich. Im Falle der elektronisch erfolgenden Datenerhebung, im Rahmen derer eine direkte Rücksprache mit der verantwortlichen Stelle im Regelfall kaum möglich sein wird, empfiehlt es sich deshalb, eine derartige Aufklärung z.B. im Wege eines Hyperlinks, standardisiert durchzuführen.

1 So auch Gola/Schomerus, § 4 BDSG Rz. 43a.

Plath

|

91

§ 4 BDSG | Allgemeine und gemeinsame Bestimmungen V. Rechtsfolgen/Sanktionen 1. Verstoß gegen den Erlaubnisvorbehalt (Abs. 1) 44 Das Erheben, Verarbeiten oder Nutzen personenbezogener Daten ohne Erlaub-

nis aufgrund eines Gesetzes bzw. einer Rechtsvorschrift oder einer Einwilligung ist unzulässig. Die Aufsichtsbehörde kann dagegen gemäß § 38 Abs. 5 einschreiten. Darüber hinaus droht ein Bußgeld nach § 43 Abs. 2 Nr. 1.

45 Es stellt sich schließlich die Frage, ob auch Wettbewerber gegen den Verstoß

vorgehen können. Dies wäre dann der Fall, wenn Abs. 1 eine Marktverhaltensregelung darstellen würde und ein Verstoß dagegen auch wettbewerbswidrig wäre. Nach der hier vertretenen Ansicht kommt es dabei auf den jeweiligen Einzelfall und die konkret in Rede stehende Verletzung an, vgl. auch Komm. zu § 1 BDSG Rz. 15 ff. 2. Verstoß gegen die Informationspflicht (Abs. 3)

46 Welche Konsequenzen ein Verstoß gegen die Aufklärungs- und Hinweispflich-

ten nach sich zieht, ist im Einzelfall fraglich.

47 Richtiger Weise ist davon auszugehen, dass sich die Zulässigkeit der Erhebung,

Verarbeitung und Nutzung personenbezogener Daten allein nach Abs. 1 beurteilt1.

48 Dies bedeutet, dass der bloße Verstoß gegen die Informationspflicht nach

Abs. 3 zunächst nicht sanktioniert wird. Die Verhängung eines Bußgeldes nach § 43 Abs. 2 Nr. 1 kommt daher nicht in Betracht, denn das Kriterium der „unbefugten“ Datenerhebung bezieht sich ausschließlich auf § 4 Abs. 12.

49 Etwas anderes gilt dann, wenn zu dem Verstoß nach Abs. 3 weitere unlautere

Umstände hinzutreten oder das Unterlassen der Information gegen Treu und Glauben verstößt3. Dies soll insbesondere dann der Fall sein, wenn der Betroffene die Angaben unterlassen hätte, wenn er zuvor hinreichend aufgeklärt worden wäre.

50 In einem solchen Fall ist die Information nach § 33 nachzuholen; darüber hi-

naus kann der Betroffene u.U. die Löschung der Daten nach § 35 Abs. 2 Satz 2 Nr. 1 verlangen (ausführlich hierzu Komm. zu § 35 BDSG Rz. 13)4.

1 So auch Gola/Schomerus, § 4 BDSG Rz. 46; Schaffland/Wiltfang, § 4 BDSG Rz. 17. 2 Ebenso Gola/Schomerus, § 4 BDSG Rz. 50, Bizer, DuD 2005, 451 (454); a.A. Däubler/ Klebe/Wedde/Weichert/Weichert, § 4 BDSG Rz. 19; Simitis/Sokol, § 4 BDSG Rz. 59. 3 Vgl. Gola/Schomerus, § 4 BDSG Rz. 47 f. m.w.N. 4 Simitis/Sokol, § 4 BDSG Rz. 59.

92

|

Plath

Einwilligung | § 4a BDSG

§ 4a Einwilligung (1) 1Die Einwilligung ist nur wirksam, wenn sie auf der freien Entscheidung des Betroffenen beruht. 2Er ist auf den vorgesehenen Zweck der Erhebung, Verarbeitung oder Nutzung sowie, soweit nach den Umständen des Einzelfalles erforderlich oder auf Verlangen, auf die Folgen der Verweigerung der Einwilligung hinzuweisen. 3Die Einwilligung bedarf der Schriftform, soweit nicht wegen besonderer Umstände eine andere Form angemessen ist. 4Soll die Einwilligung zusammen mit anderen Erklärungen schriftlich erteilt werden, ist sie besonders hervorzuheben. (2) 1Im Bereich der wissenschaftlichen Forschung liegt ein besonderer Umstand im Sinne von Absatz 1 Satz 3 auch dann vor, wenn durch die Schriftform der bestimmte Forschungszweck erheblich beeinträchtigt würde. 2In diesem Fall sind der Hinweis nach Absatz 1 Satz 2 und die Gründe, aus denen sich die erhebliche Beeinträchtigung des bestimmten Forschungszwecks ergibt, schriftlich festzuhalten. (3) Soweit besondere Arten personenbezogener Daten (§ 3 Abs. 9) erhoben, verarbeitet oder genutzt werden, muss sich die Einwilligung darüber hinaus ausdrücklich auf diese Daten beziehen. I. II. 1. 2. 3. 4. 5.

III. 1. 2.

Einführung . . . . . . . . . . . . . . Einwilligung Rechtsnatur der Einwilligung . . Zeitpunkt der Einwilligung . . . Form der Einwilligung (Abs. 1 Satz 3) . . . . . . . . . . . . Gültigkeitsdauer der Einwilligung . . . . . . . . . . . . . . Freie und informierte Einwilligung (Abs. 1 Satz 1) a) Freie Entscheidung . . . . . . . b) Informierte Entscheidung . . Vorformulierte Einwilligungserklärungen (Abs. 1 Satz 4) . . Grundsatz . . . . . . . . . . . . . . . Gestaltung der Einwilligungserklärung in AGB a) AGB-Kontrolle der Einwilligungserklärung . . . . . . . .

1 7 11 12 21 23 31 36 37

IV. 1. 2. 3. 4. V. VI. VII. VIII.

b) Hervorhebung . . . . . . . . . . c) Notwendigkeit einer aussagekräftigen Überschrift der Einwilligungserklärung . . . . d) Bestimmtheit . . . . . . . . . . . e) Opt-out . . . . . . . . . . . . . . . Verhältnis zum UWG . . . . . . Opt-in . . . . . . . . . . . . . . . . . . Double-opt-in . . . . . . . . . . . . Form . . . . . . . . . . . . . . . . . . . Reichweite und Bestimmtheit . . . . . . . . . . . . . . . . . . . . Verhältnis zum TMG . . . . . . . Widerruf der Einwilligung . . . Übertragbarkeit der Einwilligung . . . . . . . . . . . . . . . . . . Rechtsfolgen bei Verstoß . . . .

41 44 46 50 52 55 56 58 59 69 70 75 80

39

Schrifttum: Benecke/Groß, Das Recht am eigenen Bild im Arbeitsverhältnis, NZA 2015, 833; Drewes/Siegert, Die konkludente Einwilligung in Telefonmarketing und das Ende des Dogmas von der datenschutzrechtlichen Schriftform, RDV 2006, 139; Grau/Schaut, Neue

Plath

|

93

§ 4a BDSG | Allgemeine und gemeinsame Bestimmungen Spielregeln für die Verwendung von Bilddateien von Arbeitnehmern, NZA 2015, 981; Isele/Danckelmann/Kerst, Telefonwerbung: Was ist (noch) erlaubt?, GRUR-Prax. 2011, 463; Jankowski, Nichts ist unmöglich! – Möglichkeiten der formularmäßigen Einwilligung in die Telefonwerbung, GRUR 2010, 495; Kamlah/Hoke, Das SCHUFA-Verfahren im Lichte der jüngeren obergerichtlichen Rechtsprechung, RDV 2007, 242; Nord/Manzel, „Datenschutzerklärungen“ – misslungene Erlaubnisklauseln zur Datennutzung – „Happy Digits“ und die bedenklichen Folgen im E-Commerce, NJW 2010, 3756; von Nussbaum/Krienke, Telefonwerbung gegenüber Verbrauchern nach dem Payback-Urteil, MMR 2009, 372; Riesenhuber, Die Einwilligung des Arbeitnehmers im Datenschutzrecht, RdA 2011, 257; Roßnagel/Jandt, Rechtskonformes Direktmarketing – Gestaltungsanforderungen und neue Strategien für Unternehmen, MMR 2011, 86.

I. Einführung 1 Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten ist nur zu-

lässig, wenn das BDSG oder eine andere Rechtsvorschrift diese erlaubt oder anordnet oder der Betroffene eingewilligt hat (vgl. § 4 Abs. 1). Die Vorschrift des § 4a regelt die Anforderungen an die Wirksamkeit der Einwilligung des Betroffenen1. Werden die Anforderungen des § 4a nicht erfüllt, ist die Einwilligung unwirksam und eine darauf gestützte Verwendung der personenbezogenen Daten unzulässig, soweit nicht eine gesetzliche Erlaubnis greift. Auch unter der DSGVO kann die Verarbeitung personenbezogener Daten weiterhin auf eine Einwilligung gestützt werden (vgl. Art. 6 Abs. 1 Buchst. a DSGVO). Die näheren Anforderungen an eine wirksame Einwilligung regelt Art. 7 DSGVO. Sonderregelungen finden sich in Art. 8 DSGVO hinsichtlich der Anforderungen an die Einwilligung eines Kindes. Die Einwilligung selbst ist in Art. 4 Nr. 11 DSGVO definiert.

2 Erforderlich für eine wirksame Einwilligung nach dem BDSG sind

– die freie Entscheidung des Betroffenen (Abs. 1 Satz 1), – der Hinweis auf den vorgesehenen Zweck der Verwendung (Abs. 1 Satz 2), – der weitere Hinweis auf die Folgen der Verweigerung der Einwilligung, soweit erforderlich oder von dem Betroffenen verlangt (Abs. 1 Satz 2), – die Abgabe der Erklärung in Schriftform, soweit nicht wegen besonderer Umstände eine andere Form angemessen ist (Abs. 1 Satz 3), – die besondere Hervorhebung der Einwilligung, wenn sie zusammen mit anderen Erklärungen schriftlich erteilt wird (Abs. 1 Satz 4). 3 Aus den Absätzen 2 und 3 ergeben sich darüber hinaus spezifische Anforderun-

gen für den Bereich der wissenschaftlichen Forschung sowie der Verwendung besonderer Arten personenbezogener Daten.

1 Vgl. zur Bedeutung der Einwilligung die ausführliche Stellungnahme der Artikel-29-Datenschutzgruppe v. 13.7.2011 („Opinion 15/2011 on the definition of consent“).

94

|

Plath

Einwilligung | § 4a BDSG

Bei der Einwilligung in die Werbeansprache ist zusätzlich § 28 Abs. 3a zu be- 4 achten. Danach muss die verantwortliche Stelle dem Betroffenen den Inhalt der Einwilligung schriftlich bestätigen, wenn die Einwilligung anders als in Schriftform erteilt wird (dazu Komm. zu § 28 BDSG Rz. 154 ff.). Ferner ist die Einwilligung, wenn sie zusammen mit anderen Erklärungen schriftlich erteilt wird, in drucktechnisch deutlicher Gestaltung besonders hervorzuheben1. Weiterhin gilt bei der Einwilligung in die Werbeansprache das ausdrückliche 5 Koppelungsverbot nach § 28 Abs. 3b (vgl. dazu ausführlich Komm. zu § 28 BDSG Rz. 170). Die Übermittlung sog. Positivdaten durch Kreditinstitute an Auskunfteien re- 6 gelt § 28a Abs. 2 abschließend. Die Übermittlung darüber hinausgehender Daten im Wege der Einwilligung nach § 4a bleibt daneben möglich2.

II. Einwilligung 1. Rechtsnatur der Einwilligung Die Rechtsnatur der datenschutzrechtlichen Einwilligung ist umstritten. Infrage 7 steht, ob sie rechtsgeschäftlichen Charakter hat und damit eine Willenserklärung darstellt3 oder als tatsächliches Einverständnis in den Eingriff in das Persönlichkeitsrecht des Betroffenen zu werten ist4. Ihre praktische Relevanz entfaltet diese Diskussion insbesondere bei der Frage, unter welchen Voraussetzungen Minderjährige eine wirksame Einwilligung erteilen können und unter welchen Voraussetzungen eine Stellvertretung möglich ist. Sachgerecht erscheint es insoweit, die Regelungen über die Geschäftsfähigkeit (§§ 104 ff. BGB) nicht starr anzuwenden, sondern entsprechend heranzuziehen, soweit sie mit Sinn und Zweck des Datenschutzrechts im Einklang stehen. Nach der hier vertretenen Auffassung ist dabei nicht auf die Geschäftsfähigkeit 8 des Betroffenen (also die Vollendung des siebenten Lebensjahres, vgl. § 104 Nr. 1 BGB) abzustellen, sondern auf dessen Einsichtsfähigkeit. Wer also als Minderjähriger eine datenschutzrechtliche Einwilligung abgibt, bedarf insofern nicht der Zustimmung seiner Eltern (anders kann sich das freilich für das damit ggf. verbundene Rechtsgeschäft verhalten), er muss allerdings die Bedeutung und Tragweite seiner Erklärung verstehen. Ob diese Einsichtsfähigkeit im Einzelfall gegeben ist, wird sich jeweils nur anhand der konkreten Umstände der jeweiligen 1 Zu den Anforderungen an eine ausreichend deutliche „Hervorhebung“ zuletzt OLG Koblenz v. 26.3.2014 – 9 U 1116/13, ZD 2014, 524. 2 So die Gesetzesbegründung BT-Drucks. 16/10529, S. 15. 3 So bspw. Simitis/Simitis, § 4a BDSG Rz. 20. 4 So bspw. Schaffland/Wiltfang, § 4a BDSG Rz. 21; Däubler/Klebe/Wedde/Weichert/ Däubler, § 4a BDSG Rz. 5.

Plath

|

95

§ 4a BDSG | Allgemeine und gemeinsame Bestimmungen Erklärung ermitteln lassen. Für die Praxis bietet es sich insoweit an, z.B. bei der Erklärung von Einwilligungserklärungen im Zusammenhang mit der Teilnahme an Gewinnspielen, ein bestimmtes Mindestalter vorzugeben. Der BGH hat insoweit allerdings in der sog. Nordjob-Entscheidung zuletzt entschieden, dass eine gesetzliche Krankenkasse gegen das Verbot, die geschäftliche Unerfahrenheit von Jugendlichen auszunutzen (§ 3 UWG1), verstößt, wenn sie im Zusammenhang mit der Durchführung eines Gewinnspiels von den Teilnehmern im Alter zwischen 15 und 17 Jahren umfangreiche personenbezogene Daten erhebt, um diese (auch) zu Werbezwecken zu nutzen2. Neben dem UWG-Verstoß stellte der BGH auch die Unwirksamkeit der datenschutzrechtlichen Einwilligung fest. Zu beachten ist zwar, dass der BGH bei seiner Beurteilung auf die „Datenerhebung in der konkret durchgeführten Art und Weise“ abgestellt hat. Damit ist also der Raum für eine abweichende Beurteilung abhängig von der konkreten Fallkonstellation eröffnet. Gleichwohl ist mit der Entscheidung jedoch ein starkes Indiz verbunden, dass Werbeeinwilligungen von Minderjährigen nach dem BGH wohl nur in Ausnahmefällen als zulässig bewertet werden würden. Nach der hier vertretenen Ansicht ist diese Auffassung zu restriktiv in einer Zeit, in der Jugendliche täglich mit entsprechenden Angeboten konfrontiert werden. Allerdings kann für die Praxis nur empfohlen werden, bei der Ausgestaltung von Einwilligungserklärungen gegenüber Jugendlichen besondere Sorgfalt an den Tag zu legen z.B. hinsichtlich des Umfangs der beabsichtigen Datennutzung. Unter der DSGVO richtet sich die Einwilligung von Minderjährigen nach Art. 8 DSGVO. 9 Die Einwilligung muss nicht persönlich erteilt werden, sondern kann auch durch einen Vertreter erklärt werden3. Voraussetzung ist in einem solchen Fall, dass sich die Vertretungsmacht auch auf die Abgabe der datenschutzrechtlichen Einwilligung bezieht4. Wichtig ist insoweit allerdings die Klarstellung, dass eine Einwilligung seitens des Betroffenen immer nur hinsichtlich der ihn betreffenden persönlichen („eigenen“) Daten erteilt werden kann. Es ist ein in der Praxis verbreitetes Missverständnis, dass eine Art „account-basierte“ Einwilligung erteilt werden könnte. Konkret bedeutet dies, dass z.B. der Personalleiter eines Unternehmens nicht in der Lage ist, in die Verwendung der bei ihm geführten Personalakten einzuwilligen. Soweit die Verwendung der darin gespeicherten personenbezogenen Daten der Angestellten des Unternehmens auf Basis einer Einwilligung erfolgen soll, ist dazu die Einwilligung der jeweiligen Mitarbeiter erforderlich, nicht etwa desjenigen, der die Daten verwaltet. Gleichwohl ist eine solche Einwilligung des „Verwalters“ der Daten nicht unbeachtlich. Denn sie stellt ein gewichtiges Element im Rahmen der Interessenabwägung dar, soweit 1 Vor der UWG-Novelle 2015 wäre der abgeschaffte § 4 Nr. 2 UWG einschlägig gewesen. 2 BGH v. 22.1.2014 – I ZR 218/12, CR 2014, 573 – Nordjob. 3 So auch Gola/Schomerus, § 4a BDSG Rz. 25; Schaffland/Wiltfang, § 4a BDSG Rz. 24; a.A. Simitis/Simitis, § 4a BDSG Rz. 30 ff., der davon ausgeht, dass der Betroffene höchstpersönlich mit der Verwendung seiner Daten einverstanden sein muss. 4 Vgl. Gola/Schomerus, § 4a BDSG Rz. 25.

96

|

Plath

Einwilligung | § 4a BDSG

die Verwendung der Daten auf die gesetzlichen Erlaubnistatbestände gestützt werden soll. Relevant wird dieses Thema z.B. bei der Einsichtnahme in E-Mails. Auch wenn der Empfänger der E-Mail in die Einsichtnahme z.B. durch seinen Arbeitgeber einwilligt, etwa im Rahmen von internen Compliance-Untersuchungen, fehlt es streng genommen weiterhin an der zusätzlich erforderlichen Einwilligung des Versenders der E-Mail. Insoweit ist dann ein Rückgriff auf die gesetzlichen Erlaubnistatbestände erforderlich. Die Interessenabwägung wird in diesen Fällen regelmäßig zu einem Recht zur Einsichtnahme führen, da der Versender einer E-Mail damit rechnen muss, dass diese in der Sphäre des Empfängers ggf. eingesehen werden kann. Bei Minderjährigen sei nach dem LG Mannheim ausnahmsweise die Einwil- 10 ligung nicht nur eines Elternteils, sondern beider Elternteile erforderlich, soweit die Weitergabe von Patientendaten in Rede stehe1. Hintergrund sei die besondere Schutzwürdigkeit solcher Daten. Bei Ehegatten gilt der Grundsatz, dass der eine Ehepartner in sog. Geschäften für den Lebensbedarf auch den anderen Ehepartner berechtigt und verpflichtet (vgl. § 1357 Abs. 1 BGB: „Geschäfte zur angemessenen Deckung des Lebensbedarfs“). Für Verträge in den Bereichen Lebensmittel, Reparaturaufträge, Einrichtungsgegenstände, Heizung, Strom oder Telefon ist anerkannt, dass sie unter diese Kategorie fallen2. Gilt dies für einen Vertragsschluss, so lässt sich daraus schließen, dass dieser Grundsatz auch im vorvertraglichen Bereich gelten muss und erst recht z.B. für ein Werbeeinverständnis. Mithin wirkt das Einverständnis des einen Ehegatten in den Erhalt von Werbung für Zwecke des gemeinsamen Lebensbedarfs gleichfalls für und wider den anderen Ehegatten. Bei der Teilnahme an einem Gewinnspiel bedeutet dies etwa, dass das wirksame Einverständnis des einen Ehegatten in die telefonische Werbung auch den Werbeanruf beim anderen Ehegatten umfasst, soweit die Werbung einem Produkt des angemessenen Lebensbedarfs gilt und die Eheleute einen gemeinsamen Telefonanschluss haben. Folgerichtig soll der Werbeanruf eines Stromanbieters bei einer Person, deren Ehegatte im Rahmen der Teilnahme an einem Gewinnspiel eine Werbeeinwilligung erteilt hat, datenschutz- und wettbewerbsrechtlich zulässig sein3. Ausführlich zum Verhältnis der datenschutzrechtlichen zur wettbewerbsrechtlichen Einwilligung s. Rz. 52 ff. 2. Zeitpunkt der Einwilligung Der Begriff der „Einwilligung“ orientiert sich an der Terminologie des § 183 BGB, 11 d.h. Einwilligung meint damit die vorherige Zustimmung des Betroffenen4. Die Einwilligung muss also eingeholt werden, bevor die Daten verwendet werden. 1 2 3 4

LG Mannheim v. 20.11.2014 – 10 S 44/14, ZD 2015, 183. Vgl. MüKo/Kanzleiter, § 1357 BGB Rz. 29. OLG Bamberg v. 9.6.2010 – 3 U 44/10, n.v. Ebenso Riesenhuber, RdA 2011, 257 (258).

Plath

|

97

§ 4a BDSG | Allgemeine und gemeinsame Bestimmungen Die Genehmigung des Betroffenen (also dessen nachträgliche Zustimmung, vgl. § 184 BGB) ist damit nicht ausreichend, sie kann allerdings die zukünftige Verwendung der Daten legitimieren (zu den Rechtsfolgen der verspäteten Einwilligung vgl. Rz. 81; zur Gültigkeitsdauer einer Einwilligung vgl. Rz. 21). 3. Form der Einwilligung (Abs. 1 Satz 3) 12 Grundsätzlich bedarf die Einwilligung der Schriftform. Eine Ausnahme besteht

lediglich dann, wenn eine andere Form den Umständen nach angemessen ist. Im Bereich der Verwendung von Bildnissen einer Person, z.B. bei Videoaufzeichnungen, ist zudem der Vorrang des § 22 KUG zu beachten, der grundsätzlich keine bestimmte Form vorsieht. Allerdings kann sich nach der Rechtsprechung auch in diesem Bereich das Erfordernis der Schriftform aus einer Interessenabwägung ergeben kann1. Unter der DSGVO ist grundsätzlich auch eine mündliche oder in sonstiger Form erteilte Einwilligung möglich, dies ergibt sich aus Art. 7 Abs. 2 DSGVO.

13 Im BDSG gilt jedoch der Grundsatz, dass die Voraussetzungen des § 126 BGB

gegeben sein müssen, soweit nicht ausnahmsweise eine andere Form „angemessen“ ist. Die Einwilligung müsste demzufolge mit einer eigenhändigen Unterschrift bzw. einer elektronischen Signatur versehen werden.

14 Die Textform nach § 126a BGB genügt diesen Voraussetzungen nicht, so dass

im Anwendungsbereich des Schriftformerfordernisses weder E-Mail noch Fax ausreichen2. Die Schriftform erfüllt grundsätzlich eine Warnfunktion gegenüber dem Betroffenen. Dennoch erscheint das Erfordernis der Schriftform im Kontext der datenschutzrechtlichen Einwilligung – die in vielen Fällen online eingeholt wird – als unangemessen und nicht praxisgerecht. Nicht zuletzt aus diesem Grund wird die Ausnahme des § 4a Abs. 1 Satz 3, d.h. also die Einwilligung in anderer Form „wegen besonderer Umstände“ in der Praxis zur Regel, so dass deren Anwendungsbereich nicht zu eng ausgelegt werden darf.

15 Eine andere Form als die Schriftform ist nach der hier vertretenen Ansicht im-

mer dann angemessen, wenn die Schriftform unter den konkreten Umständen schlicht nicht praktikabel wäre, insbesondere weil sie einen Wechsel des Kommunikationsmediums erfordern würde. Dies gilt regelmäßig für das Einholen der Einwilligung im Internet oder am Telefon. Der Betroffene erwartet hier gerade keine andere, also strengere Form der Einwilligung, so dass sich die Warnfunktion der Schriftform erübrigt3. Für die Einwilligung in Werbung4 und Ad-

1 BAG v. 11.12.2014 – 8 AZR 1010/13, CR 2015, 453. 2 Vgl. allgemein dazu BGH v. 28.1.1993 – IX ZR 259/91, CR 1994, 29; VG Wiesbaden v. 6.10.2010 – 6 K 280/10, NVwZ-RR 2011, 151. 3 So auch Schaffland/Wiltfang, § 4a BDSG Rz. 5. 4 Vgl. hierzu auch die Stellungnahme der Artikel-29-Datenschutzgruppe zur „EASA/IAB Best Practice Recommendation on Online Behavioural Advertising“ v. 8.12.2011.

98

|

Plath

Einwilligung | § 4a BDSG

resshandel geht bereits der Wortlaut des § 28 Abs. 3a davon aus, dass diese in der Regel gerade nicht per Schriftform erteilt wird (also eine andere Form angemessen ist), fordert allerdings eine schriftliche Bestätigung der in anderer Form erteilten Einwilligung. Offenbar wollen die Aufsichtsbehörden mit Blick auf die Anforderungen an eine solche Bestätigung nicht auf der Schriftform beharren, sondern es soll auch die Textform – also auch eine E-Mail – ausreichen (zu dieser Problematik näher Komm. zu § 28 BDSG Rz. 161)1. Mit Blick auf Einwilligungserklärungen im Arbeitsverhältnis hat das BAG den Grundsatz aufgestellt, dass diese grundsätzlich der Schriftform bedürften2. Auch insoweit wird man aber anhand der konkreten Umstände des Falles differenzieren müssen. Eine andere Form ist nur dann gestattet, wenn es nach den Umständen an- 16 gemessen ist. Die Einwilligung kann in diesen Fällen sowohl mündlich als auch durch schlüssiges Verhalten erklärt werden3. Wer am Telefon etwas bestellt, kann auch mündlich seine Einwilligung in die 17 Verwendung seiner Daten erteilen. Wer an einer umfassenden schriftlichen Haushaltsumfrage teilnimmt, erteilt seine konkludente Einwilligung dahin gehend, dass seine personenbezogenen Angaben anschließend auch entsprechend verwendet werden dürfen4. Die Frage, ob die Einwilligung eines Patienten in die Abtretung einer ärztlichen 18 Forderung der Schriftform bedarf, ist nach wie vor nicht geklärt. Der BGH hat dies bislang ausdrücklich offen gelassen5. Jedenfalls reicht es nach Ansicht des BGH für eine konkludente Einwilligung des Patienten nicht aus, dass dieser bereits frühere Rechnungen des Arztes durch eine Verrechnungsstelle beglichen hat6. Das OLG Düsseldorf hat das Vorliegen einer Einwilligung des Patienten aufgrund eines Aushangs im Wartezimmer abgelehnt, da man gerade nicht davon ausgehen könne, dass ein Patient dem Aushang seine Aufmerksamkeit schenkt7. Das OLG Bremen hat sich darüber hinaus in diesen Fällen für das Erfordernis der Schriftform der Einwilligung ausgesprochen8. Nach der hier vertretenen Meinung muss es auch in dieser Konstellation auf die konkreten Umstände des Einzelfalls ankommen. Ein Patient muss in der heutigen Zeit damit rechnen, dass Ärzte Honorarforderungen an einen externen Dienstleister abtreten und von diesem einziehen lassen. Wird der Patient darauf in angemessener 1 Vgl. MMR-Aktuell 2010, 303967. 2 BAG v. 11.12.2014 – 8 AZR 1010/13, CR 2015, 453. 3 So auch Däubler/Klebe/Wedde/Weichert/Däubler, § 4a BDSG Rz. 16; Schaffland/Wiltfang, § 4a BDSG Rz. 4; a.A. Simitis/Simitis, § 4a BDSG Rz. 43. 4 So richtig die Entscheidung des OLG Frankfurt a.M. v. 13.12.2000 – 13.U 204/98, CR 2001, 294. 5 BGH v. 10.7.1991 – VIII ZR 296/90, CR 1992, 24. 6 BGH v. 20.5.1992 – VIII ZR 240/91, NJW 1992, 2348. 7 OLG Düsseldorf v. 4.3.1994 – 22 U 257/93, NJW 1994, 2421. 8 OLG Bremen v. 18.11.1991 – 6 U 47/91, NJW 1992, 757.

Plath

|

99

§ 4a BDSG | Allgemeine und gemeinsame Bestimmungen Weise hingewiesen und äußert er daraufhin keinerlei Bedenken, ist sein Einverständnis zu bejahen. 19 Eine lediglich mutmaßliche Einwilligung, bei der die verantwortliche Stelle ein-

seitig davon ausgeht, der Betroffene sei mit der Verwendung seiner Daten einverstanden, ohne dass man aus dessen Verhalten einen entsprechenden Rückschluss darauf ziehen könnte, kann den Voraussetzungen des § 4a Abs. 1 nicht genügen. In diesem Fall fehlt es jedenfalls an einer erkennbar bewussten Entscheidung des Betroffenen. Abgelehnt wurde eine mutmaßliche bzw. konkludente Einwilligung z.B. hinsichtlich der Besucher eines Gebäudes, die zwar auf die im Eingangsbereich installierten Videokameras hingewiesen wurden, jedoch keine weitergehenden Erklärungen abgaben1. Anders entschied dies jedoch der BGH, wenn auch nicht mit Blick auf das BDSG, sondern das KUG, der über die Bildveröffentlichung einer „Hostess“ auf einem Eventportal zu urteilen hatte und insoweit eine konkludente Einwilligung erkannte2. Nach der hier vertretenen Ansicht ist es durchaus sachgerecht, diese Rechtsprechung auf den Bereich des BDSG zu übertragen, solange der entsprechende Wille des Betroffenen zur Abgabe einer, wenn auch konkludenten, Einwilligungserklärung hinreichend klar zum Ausdruck kommt.

20 Für den Bereich der wissenschaftlichen Forschung bestimmt § 4a Abs. 2, dass

auf die Schriftform verzichtet werden kann, sollten andernfalls Forschungszwecke gefährdet sein. In diesem Fall greifen die besonderen Informationspflichten des § 4a Abs. 2 Satz 2. 4. Gültigkeitsdauer der Einwilligung

21 Immer wieder stellt sich in der Praxis die Frage, wie lange eine einmal erteilte

Einwilligung gültig bleibt. Grundsätzlich gilt, dass die Erteilung einer Einwilligung unbefristet ist3. Eine Ausnahme von diesem Grundsatz soll jedoch gelten, wenn der Betroffene selbst eine zeitliche Beschränkung seiner Einwilligung vorgenommen hat4. Fraglich ist allerdings, ob unabhängig von einer solchen ausdrücklichen Beschränkung der Gültigkeitsdauer eine Einwilligung im Einzelfall auch durch Zeitablauf, ähnlich der Verwirkung, ihre Gültigkeit verlieren kann. Für Verwirrung sorgt diesbezüglich ein in der Praxis immer wieder zitiertes Urteil, wonach die Zustimmung zur Zusendung eines Werbefaxes infolge eines konkreten Telefonats maximal vier Wochen gültig sei5. Hieraus lässt sich 1 OVG Lüneburg v. 29.9.2014 – 11 LC 114/13, NJW 2015, 502. 2 BGH v. 11.11.2014 – VI ZR 9/14, GRUR 2015, 295. Kritisch zum Vorrang des KUG Benecke/Groß, NZA 2015, 833 (838). 3 Ebenso zur Einwilligung nach UWG OLG Hamburg v. 4.3.2009 – 5 U 260/08, WRP 2009, 1282 (1284). 4 Vgl. ebenso zur Einwilligung nach UWG Köhler/Bornkamm/Köhler, § 7 UWG Rz. 142 ff. 5 So LG Stuttgart v. 13.8.2006 – 38 O 17/06, WRP 2006, 2548.

100

|

Plath

Einwilligung | § 4a BDSG

jedoch keinesfalls der Rückschluss ziehen, dass es sich bei dieser „Vierwochenfrist“ um einen allgemeingültigen Anhaltspunkt handelt. Vielmehr lag diesem Urteil eine besondere Konstellation zugrunde, bei der der Betroffene seine Einwilligung in eine bestimmte Werbemaßnahme, bezogen auf ein konkretes Produkt, erteilt hatte. Eine generelle Übertragung dieses Grundsatzes auf Werbeeinwilligungen ist demnach nach der hier vertretenen Ansicht nicht sachgemäß. Es ist also im Einzelfall auszulegen, von welchem Gültigkeitszeitraum der Betroffene ausgehen konnte. Je genereller und unkonkreter die Einwilligung ist und je weniger sie sich auf einen konkreten „Aktionszeitraum“ bezieht, desto länger wird auch ihre Gültigkeitsdauer sein. So kann z.B. der Betroffene, der in eine Werbung rund um z.B. eine Fußballweltmeisterschaft einwilligt, davon ausgehen, alsbald nach Ende dieses Ereignisses keine entsprechende Werbung mehr zu erhalten. Wer sich aber generell für die jeweils aktuellen Angebote eines Unternehmens interessiert, der möchte diese im Zweifel unbefristet erhalten, bis er den Widerruf seiner Einwilligung erklärt oder schlicht nicht mehr mit weiteren Maßnahmen rechnen muss. Ein wichtiges Indiz kann dabei die Frequenz der Werbemaßnahmen darstellen: Je öfter die Daten zu Werbezwecken verwendet werden, desto eher muss der Betroffene mit Werbung rechnen, und desto länger ist die Einwilligung wirksam. Es bietet sich damit in der Praxis an, in regelmäßigen Abständen die Daten zu Werbezwecken zu nutzen, um sie weiterhin „am Leben zu halten.“ Dabei ist grundsätzlich davon auszugehen, dass eine Einwilligung im Rahmen von Dauerschuldverhältnissen mindestens so lange wirksam bleibt, wie das Dauerschuldverhältnis andauert. Unklar ist, ob und wie lange eine Einwilligung (z.B. zu Beweiszwecken) auf- 22 bewahrt werden muss bzw. darf. Grundsätzlich besteht zwischen einer nicht-öffentlichen verantwortlichen Stelle und einem Betroffenen, der eine Einwilligung erteilt hat, ein vertragsähnliches Schuldverhältnis gemäß § 28 Abs. 1 Satz 1 Nr. 2, das die Aufbewahrung einer Einwilligung zunächst für die Dauer der Erteilung rechtfertigt. Darüber hinaus soll die verantwortliche Stelle auch nach Widerruf der Einwilligung ein berechtigtes Interesse i.S.d. § 28 Abs. 1 Satz 1 Nr. 3 an der Aufbewahrung der Einwilligung zu Beweiszwecken haben1. Die verantwortliche Stelle darf zu eigenen Zwecken gespeicherte Daten gemäß § 35 Abs. 1 Nr. 3 BDSG nach der hier vertretenen Ansicht grundsätzlich so lange speichern, bis ihre Speicherung zur Erreichung des Zwecks (z.B. Beweisführung) nicht mehr erforderlich ist. Wann dies der Fall ist, hängt u.a. von den jeweiligen Verjährungsfristen der Ansprüche ab, für deren Abwehr oder Durchsetzung eine Beweiserbringung mithilfe der gespeicherten Daten unter Umständen erforderlich werden könnte2.

1 So z.B. LG Hamburg v. 23.12.2008 – 312 O 362/08, VuR 2009, 279. 2 Ebenso LG Hamburg v. 23.12.2008 – 312 O 362/08, VuR 2009, 279.

Plath

|

101

§ 4a BDSG | Allgemeine und gemeinsame Bestimmungen 5. Freie und informierte Einwilligung (Abs. 1 Satz 1) a) Freie Entscheidung 23 Nach § 4a Abs. 1 Satz 1 ist die Einwilligung nur wirksam, wenn sie auf der

freien Entscheidung des Betroffenen beruht. Das Einverständnis muss mit anderen Worten ohne Zwang erfolgen und darf nicht erschlichen sein.

24 Die Freiwilligkeit kann fehlen im Fall einer wirtschaftlichen Machtposition.

Unfrei kann eine Einwilligung insbesondere dann sein, wenn sich der Betroffene angesichts des wirtschaftlichen Machtgefälles zwischen ihm und seinem Vertragspartner zur Abgabe der Einwilligung genötigt sieht. Das BVerfG hat etwa die versicherungsvertragliche – alternativlose – Obliegenheit des Versicherungsnehmers, Ärzte und Krankenhäuser von ihrer Schweigepflicht zu entbinden, damit der Versicherungsgeber sachdienliche personenbezogene Daten einholen könne, für verfassungswidrig erklärt. Die Vertragsbedingungen von Versicherungsunternehmen seien praktisch nicht verhandelbar und ein Wettbewerb gerade der datenschutzrechtlichen Konditionen finde ersichtlich nicht statt. Der Versicherungsgeber könne damit die Konditionen des Vertrags faktisch einseitig bestimmen. Für den Versicherungsnehmer sei die Alternative, den Vertrag nicht abzuschließen, unzumutbar, da der Vertrag von erheblicher Bedeutung für ihn sei1.

25 Aus dieser Entscheidung lässt sich gleichwohl kein allgemeiner Grundsatz ablei-

ten, wonach die Freiwilligkeit im Falle eines wirtschaftlichen Ungleichgewichts zwischen Vertragspartnern (das an sich der Regelfall in der freien Wirtschaft ist) grundsätzlich zu verneinen wäre. Vielmehr bedarf es stets der Abwägung im Einzelfall2. So dürfte es an einem „Erteilungszwang“ fehlen, wenn dem Betroffenen zumutbare Alternativen zu seinem Vertragspartner zur Verfügung stehen, weil gleiche oder ähnliche Leistungen auch von Dritten angeboten werden.

26 Eine freiwillige Einwilligung soll auch dann nicht vorliegen, wenn ein Patient

diese unmittelbar nach einer zweistündigen Zahnbehandlung abgibt, sich also in einer Extremsituation physischer oder psychischer Belastung befindet3.

27 Die Freiwilligkeit der Einwilligung kann schließlich auch dann infrage stehen,

wenn die Beziehung unter den Parteien eine freie Entscheidung ausschließt. Dies kann insbesondere in einem Abhängigkeitsverhältnis wie zwischen Arbeitgeber und Arbeitnehmer der Fall sein. So kann der Arbeitgeber den zulässigen und eng gesteckten Rahmen seines Fragerechts gegenüber Arbeitnehmern und Bewerbern etwa nicht dadurch wirksam erweitern, dass er sich eine umfas-

1 BVerfG v. 23.10.2006 – 1 BvR 2027/02, MedR 2007, 351; vgl. auch die Mustererklärung „Einwilligung in die Erhebung und Verwendung von Gesundheitsdaten und Schweigepflichtentbindungserklärung“ des Düsseldorfer Kreises, Beschluss v. 17.1.2012. 2 Vgl. BVerfG v. 17.7.2013 – 1 BvR 3167/08, ZD 2014, 84 (85). 3 So entschieden vom OLG Celle v. 11.9.2008 – 11 U 88/08, NJW-RR 2009, 1508.

102

|

Plath

Einwilligung | § 4a BDSG

sende Einwilligung des Betroffenen einholt1. Gleichzeitig impliziert das Arbeitsverhältnis allerdings nicht per se, dass jede Einwilligung des Arbeitnehmers pauschal unfreiwillig wäre. Zu begrüßen ist insoweit die Entscheidung des BAG2 zur Veröffentlichung von Videoaufnahmen eines Arbeitnehmers aus dem Jahre 2014. In dieser hat das BAG nun ausdrücklich klargestellt, dass sich ein Arbeitnehmer auch im Rahmen eines Arbeitsverhältnisses grundsätzlich „frei entscheiden“ könne, wie er sein Grundrecht auf informationelle Selbstbestimmung ausüben wolle. Die Auffassung, dass es im Bereich der Arbeitsverhältnisse grundsätzlich nicht möglich sei, eine wirksame Einwilligung einzuholen, ist damit nicht mehr haltbar. Vielmehr bedarf es hier einer Einzelfallprüfung (zum Arbeitsrecht vgl. näher Komm. zu § 32 BDSG Rz. 12, 24, 87). Besondere praktische Relevanz entfaltet diese Frage z.B. im Bereich von internen Compliance-Untersuchungen, bei denen sich regelmäßig die Frage stellt, ob diese auf eine Einwilligung der Betroffenen gestützt werden können. Unter Anlegung der Maßstäbe der zitierten BAG-Entscheidung ist dies grundsätzlich möglich. Im Bereich des Verbraucherschutzrechts urteilte der BGH in der sog. Payback- 28 Entscheidung, dass es an einer freien Entscheidung fehlen kann, wenn die „Einwilligung in einer Situation wirtschaftlicher oder sozialer Schwäche oder Unterordnung erteilt […] oder wenn der Betroffene durch übermäßige Anreize finanzieller oder sonstiger Natur zur Preisgabe seiner Daten verleitet wird“3. Gleichzeitig hielt der BGH in dieser Grundsatzentscheidung ausdrücklich fest, dass eine solche Situation bei der Option, ein Werbeeinverständnis abzugeben oder dies zu unterlassen, gerade nicht gegeben sei. Auch die Variante des Opt-out wahrt dabei laut BGH den Grundsatz der Freiwilligkeit der Entscheidung (näher zum Opt-out Rz. 50)4. An einer freien Entscheidung des Verbrauchers soll es hingegen auch fehlen, 29 wenn beim Verbraucher der Eindruck erweckt wird, dass die Abgabe der Einwilligung Voraussetzung für eine vertragsgemäße Beratung im Rahmen des bestehenden Vertragsverhältnisses ist5. Auch insoweit kommt es also wieder auf die konkrete Form der Ausgestaltung in der Praxis an. Im Feld von Werbung und Adresshandel stellt das sog. Kopplungsverbot nach 30 § 28 Abs. 3a die Grenzen der Freiwilligkeit auf (näher zum Koppelungsverbot Komm. zu § 28 BDSG Rz. 170 ff.). Gleiches gilt im Anwendungsbereich des TMG nach § 12 Abs. 3 TMG. Teilweise wird vertreten, dass sich aus den ausdrücklich normierten Koppelungsverboten der allgemeine Gedanke ziehen lasse, 1 Vgl. dazu Gola/Schomerus, § 4a BDSG Rz. 22. 2 BAG v. 11.12.2014 – 8 AZR 1010/13, CR 2015, 453; zustimmend Grau/Schaut, NZA 2015, 981 (982). 3 BGH v. 16.7.2008 – VIII ZR 348/06, CR 2008, 720 – Payback. 4 BGH v. 16.7.2008 – VIII ZR 348/06, CR 2008, 720 – Payback. 5 OLG Köln v. 17.6.2011 – 6 U 8/11, CR 2012, 130.

Plath

|

103

§ 4a BDSG | Allgemeine und gemeinsame Bestimmungen dass ein Vertragsschluss keinesfalls von der Einwilligung in die Verwendung personenbezogener Daten für Zwecke abhängig gemacht werden dürfe, die mit dem Inhalt des Vertrages nicht im Zusammenhang stehen. Dieser Gedanke vermag jedoch nicht zu überzeugen1. Denn das ausdrücklich normierte Koppelungsverbot in den genannten Fällen spricht gerade für einen Umkehrschluss in allen anderen Fällen. Mit anderen Worten ist nach der hier vertretenen Auffassung außerhalb des Anwendungsbereichs der ausdrücklich normierten Kopplungsverbote in jedem Einzelfall im Wege einer Abwägung zu prüfen, ob die Koppelung einer Datenerhebung zu Werbezwecken mit dem Vertragsschluss tatsächlich die freie Entscheidung des Betroffenen ausschließt oder nicht. Ein generelles Koppelungsverbot über den Umfang der konkret normierten Verbote hinaus existiert also nicht. b) Informierte Entscheidung 31 Um sich frei für oder gegen die datenschutzrechtliche Einwilligung entscheiden

zu können, muss der Betroffene Sinn und Reichweite der Erklärung verstehen und richtig einschätzen können. Demnach sieht § 4a Abs. 1 Satz 2 vor, dass der Betroffene auf den vorgesehenen Zweck der Erhebung, Verarbeitung oder Nutzung hinzuweisen ist. Der Betroffene darf seine Einwilligung folglich nicht als pauschale Erklärung erteilen, sondern muss diese „für den konkreten Fall und in Kenntnis der Sachlage“2 abgeben. In der Praxis ergibt sich aus diesem Gebot regelmäßig die Herausforderung, einerseits sämtliche „Pflichtinformationen“ in dem Einwilligungstext abzubilden, andererseits aber die Erklärung so kurz und prägnant zu halten, dass sie für den Betroffenen noch verständlich ist. Denn je konkreter der Betroffene auf sämtliche Modalitäten der beabsichtigten Verwendung seiner Daten hingewiesen wird, desto umfangreicher wird der Einwilligungstext, was der Transparenz im Ergebnis nicht dienlich ist. Nach der hier vertretenen Ansicht ist es daher grundsätzlich ausreichend, wenn die Zwecke wie auch die weiteren Informationen ein Stück weit verallgemeinert werden, wenn dies im Ergebnis der Verständlichkeit insgesamt dient. Der BGH rügte in diesem Zusammenhang den „Facebook-Freunde-Finder“3. Personen, die sich bei Facebook anmelden wollten, wurden beim Anmeldevorgang gefragt, ob Facebook nach Freunden suchen soll. Durch einen Klick auf einen Button mit der Aufschrift „Einladung versenden“ nutzte Facebook die Adressen in den EMail-Konten von den neuen Nutzern um an außerhalb des Netzwerks Facebook stehende Dritte Einladungen zu versenden. Der BGH und die Vorinstanzen4 1 So aber Däubler/Klebe/Wedde/Weichert/Däubler, § 4a BDSG Rz. 24; Simitis/Simitis, § 4a BDSG Rz. 63. 2 Vgl. Art. 2h der RL 95/46/EG. 3 BGH v. 14.1.2016 – I ZR 65/14 – „Freunde finden“. 4 KG v. 24.1.2014 – 5 U 42/12, ZD 2014, 412; LG Berlin v. 6.3.2012 – 16 O 551/10, ZD 2012, 276.

104

|

Plath

Einwilligung | § 4a BDSG

hielten diese Form der Einwilligung für unzulässig, weil den neuen Nutzern beim Anmelden nicht klar gemacht wurde, dass Facebook auch Dritten, die nicht bei Facebook angemeldet waren, eine Einladung sendet1. Neben dem konkreten Zweck der Datenverwendung muss die Aufforderung zur 32 Einwilligungsabgabe jedenfalls die Identität der verantwortlichen Stelle und die Kategorien von Empfängern enthalten, also die Mindestvoraussetzungen des § 4 Abs. 3 Satz 1 Nr. 1–3 erfüllen2. Insbesondere bei vorformulierten Einwilligungserklärungen wird die Bestimmtheit der Einwilligung relevant (vgl. dazu Rz. 46). Weiterhin setzt eine informierte Entscheidung auch voraus, dass der Betroffene 33 darüber in Kenntnis gesetzt wird, welche Daten verwendet werden sollen. Dabei ist die Bezeichnung der Art der verwendeten Daten ausreichend, selbst dann, wenn die Aufzählung offensichtlich nicht abschließend ist (z.B. aufgrund des Zusatzes „oder vergleichbare Daten“)3. Über die Folgen der Verweigerung ist der Betroffene nur dann aufzuklären, 34 wenn es die Umstände erfordern oder der Betroffene es verlangt. Der Wortlaut des Gesetzes geht – anders als dies mitunter vertreten wird4 – nicht davon aus, dass die Aufklärung des Betroffenen die Regel ist. Vielmehr müssen die Umstände eine Aufklärung ausdrücklich erfordern, so dass die Pflicht zur Aufklärung des Betroffenen die Ausnahme ist5. Nach einer weiteren Ansicht soll ein Hinweis darüber hinaus immer dann erforderlich sein, wenn sich die Folgen einer Weigerung nicht schon „klar aus den Umständen ergeben“6. Nach der hier vertretenen Ansicht geht diese Formulierung jedoch zu weit. Vielmehr sollte ausreichend sein, dass sich die Folgen der Verweigerung generell aus den Umständen des Vertrags ergeben. Sie müssen dem Betroffenen nicht ins Auge springen. Zur Vermeidung unnötiger Einwände und auch schon aus Gründen der Kundenpflege empfiehlt es sich aber für die Praxis, grundsätzlich einen Hinweis auf die Folgen der Verweigerung aufzunehmen. Soweit besondere Arten personenbezogener Daten7 erhoben, verarbeitet oder 35 genutzt werden, muss sich die Einwilligung darüber hinaus ausdrücklich auf diese Daten beziehen8.

1 2 3 4 5 6 7 8

Vgl. KG v. 24.1.2014 – 5 U 42/12, ZD 2014, 412 (414). So auch VG Wiesbaden v. 6.10.2010 – 6 K 280/10, NVwZ-RR 2011, 151. OLG Köln v. 17.6.2011 – 6 U 8/11, CR 2012, 130. Vgl. etwa Däubler/Klebe/Wedde/Weichert/Däubler, § 4a BDSG Rz. 9. So auch Simitis/Simitis, § 4a BDSG Rz. 73. AG Elmshorn v. 25.4.2005 – 49 C 54/05, CR 2005, 641. Vgl. § 3 Abs. 9. § 4a Abs. 3.

Plath

|

105

§ 4a BDSG | Allgemeine und gemeinsame Bestimmungen III. Vorformulierte Einwilligungserklärungen (Abs. 1 Satz 4) 36 In der Praxis bilden standardisierte Einwilligungserklärungen den Regelfall.

Die Integration von Einwilligungen in die Werbeansprache oder auch in den Abruf von Bonitätsdaten im Wege vorformulierter Erklärungen bestimmt das Wirtschaftsleben. Entsprechend oft waren vorformulierte Einwilligungserklärungen Gegenstand der Rechtsprechung, so dass im Laufe der Zeit eine detaillierte Kasuistik entstanden ist. 1. Grundsatz

37 Eine datenschutzrechtliche Einwilligung kann grundsätzlich auch im Rahmen

von vorformulierten Vertragsbedingungen wirksam eingeholt werden. Schon der Wortlaut des § 4 Abs. 1 Satz 4 zeigt, dass die Einwilligung „zusammen mit anderen Erklärungen“ erteilt werden kann, und weist damit bereits auf die AGB-Situation hin. Ähnlich ist auch die Formulierung in § 28 Abs. 3a zu verstehen. Die grundsätzliche Zulässigkeit vorformulierter Einwilligungen hat der BGH zuletzt in den Entscheidungen Payback und Happy Digits bestätigt1.

38 Zudem können nach der hier vertretenen Ansicht die Abgabe der Einwilligung

und die Zustimmung zu den AGB durch eine einzige Erklärung erfolgen, d.h. in einem „Akt“2. Es ist also nicht erforderlich, dass der Betroffene zwei gesonderte „Häkchen“ setzt. Allerdings ist es dazu erforderlich, dass in dem „Häkchentext“ deutlich gemacht wird, dass der Betroffene mit dem Setzen des „Häkchens“ sowohl die AGB akzeptiert als auch eine datenschutzrechtliche Einwilligung erteilt. 2. Gestaltung der Einwilligungserklärung in AGB a) AGB-Kontrolle der Einwilligungserklärung

39 Es stellt sich die grundsätzliche Frage, ob eine datenschutzrechtliche Einwil-

ligungserklärung, die im Rahmen von AGB eingeholt wurde, selbst einer AGBKontrolle nach §§ 305 ff. BGB unterliegt. Dabei ist es aufgrund des Schutzzwecks der §§ 305 ff. BGB zunächst unerheblich, ob die vorformulierten Geschäftsbedingungen im Zusammenhang mit einem ein- oder zweiseitigen Vertragsverhältnis stehen3. Diskutiert wurde indes, ob es für die Beurteilung der Frage der AGBKontrolle eine Rolle spielt, ob die Einwilligung in die Durchführung der Werbe1 BGH v. 16.7.2008 – VIII ZR 384/06, CR 2008, 720 – Payback, bestätigt in BGH v. 11.11. 2009 – VIII ZR 12/08, CR 2010, 87 – Happy Digits. 2 So auch Taeger/Gabel/Taeger, § 28 BDSG Rz. 175. 3 BGH v. 5.5.1986 – II ZR 150/85, NJW 1986, 2428; BGH v. 27.1.2000 – I ZR 241/97, CR 2000, 596 = NJW 2000, 2677 – Telefonwerbung VI.

106

|

Plath

Einwilligung | § 4a BDSG

maßnahmen an den rechtsgeschäftlichen Teil der Erklärung gekoppelt ist. Nach einer Entscheidung des KG aus dem Jahre 2010 sollte eben dies relevant sein1. Das KG hatte entschieden, dass es für die Frage der AGB-Kontrolle darauf ankommt, ob die Einwilligungserklärung tatsächlich mit dem Rechtsgeschäft verbunden sei. Im konkreten Fall ging es um die Abgabe einer datenschutzrechtlichen Einwilligung im Zusammenhang mit einem Gewinnspiel. Die Abgabe der Einwilligungserklärung wirkte sich dabei nicht auf die Möglichkeit zur Teilnahme am Gewinnspiel aus. Das KG urteilte deshalb, dass in diesem Fall die Entstehung des Vertragsverhältnisses unabhängig von einer Einwilligung in die Datenverwendung sei, die Einwilligung mithin keine rechtsgeschäftliche Erklärung darstelle und dementsprechend die Einwilligung nicht als AGB zu qualifizieren sei und daher auch nicht der AGB-Kontrolle unterfalle. Dieser Auffassung hat der BGH mittlerweile widersprochen. Der BGH entschied 2012, dass es keine Rolle spielt, ob eine Einwilligungserklärung in Werbemaßnahmen tatsächlich mit dem Rechtsgeschäft verbunden ist2. Im konkreten Fall ging es ebenfalls um eine vom Veranstalter vorformulierte Erklärung, die Teilnehmer im Rahmen von Gewinnspielen abgaben und mit denen sie ihr Einverständnis zu Werbeanrufen erteilten. Der BGH urteilte, dass es nicht darauf ankommt, ob für die an einem Gewinnspiel interessierten Teilnehmer der Eindruck entsteht, dass ohne Einwilligung in die Telefonwerbung eine Spielteilnahme gar nicht erst möglich sei. Somit kommt es nicht darauf an, ob eine Einwilligung eine rechtsgeschäftliche Handlung darstellt. Vielmehr reichen nach dem BGH vertragsähnliche Verhältnisse – bzw. schuldrechtliche Sonderbeziehungen – bereits für die Anwendung einer AGB-Kontrolle aus3. Damit erweitert der BGH seine Linie, wonach die AGB-Kontrolle schon seit je- 40 her Anwendung fand, soweit in der Einwilligung eine rechtsgeschäftliche Erklärung zu sehen war4. Entlang dieser Linie hat das LG Berlin in einer vielbeachteten, aber noch nicht rechtskräftigen Entscheidung aus dem Jahre 2013 insgesamt 25 Klauseln der Datenschutzerklärung und Nutzungsbedingungen von Google Inc. für unwirksam erklärt5. Relevant wird dabei in der Regel die Anforderung des § 307 Abs. 1 BGB, also die Frage, ob die Klausel den Einzelnen unangemessen benachteiligt, insbesondere wegen mangelnder Transparenz6. Eine entsprechende Transparenz nimmt der BGH an, wenn der Verbraucher seine Einwilligung in Werbemaßnahmen für den konkreten Einzelfall und in Kenntnis der 1 KG v. 26.8.2010 – 23 434/10, NJW 2011, 466. 2 BGH v. 25.10.2012 – I ZR 169/10, GRUR 2013, 531 – Einwilligung in Werbeanrufe II. 3 Vgl. BGH v. 23.9.2010 – III ZR 246/09, NJW 2011, 139 (141); BGH v. 25.10.2012 – I ZR 169/10, GRUR 2013, 531 (532) – Einwilligung in Werbeanrufe II. 4 Vgl. nur BGH v. 27.1.2000 – I ZR 241/97, CR 2000, 596 = NJW 2000, 2677 – Telefonwerbung VI. 5 LG Berlin v. 19.11.2013 – 15 O 402/12, CR 2014, 404, nicht rechtskräftig. 6 § 307 Abs. 1 Satz 2 BGB.

Plath

|

107

§ 4a BDSG | Allgemeine und gemeinsame Bestimmungen gesamten Sachlage erteilt hat1. Dies wird anzunehmen sein, wenn dem Einwilligenden klar ist, welche Unternehmen und welche Produkte oder Dienstleistungen von seiner Einwilligung erfasst sind. Das OLG Frankfurt legte dabei zuletzt das Merkmal „Kenntnis der Sachlage“ sehr restriktiv aus2. Das OLG erklärte eine Klausel wegen Unvereinbarkeit mit § 307 Abs. 1 BGB für unwirksam, in der ein Verbraucher im Zuge der Teilnahme an einem kostenlosen Gewinnspiel bei der Einholung seiner Einwilligung in die Telefonwerbung durch andere Unternehmen auf einen Link klicken musste, der zu einer Liste von 59 Unternehmen führte. Der Verbraucher musste für jedes dieser Unternehmen durch Anklicken auf ein „Abmelden-Feld“ entscheiden, ob er von diesem Unternehmen keine Werbung erhalten möchte. Meldete der Nutzer keine oder nicht ausreichend viele Unternehmen ab, so wurde die Auswahl automatisch auf 30 Unternehmen beschränkt. Ausschlaggebend für die Beurteilung des Verstoßes gegen § 307 Abs. 1 BGB war die konkrete Gestaltung der Einwilligungserklärung sowie der verlinkten Unternehmensliste. Die Einwilligungserklärung erweckte nach Ansicht des OLG den Eindruck, der Verbraucher könne die werbenden Anrufer selbst bestimmen. Nach Aufruf der verlinkten Liste der Unternehmen wurde der Verbraucher aber mit einem unverhältnismäßig aufwendigen Auswahlvorgang von 59 Unternehmen konfrontiert. Durch solche Maßnahmen wird der Verbraucher nach Ansicht des OLG gezielt zur Alternativlösung des Gewinnspielveranstalters – Auswahl von höchstens 30 Unternehmen – getrieben, weshalb die Einwilligungserklärung nicht „in Kenntnis der Sachlage“ im Sinne der Rechtsprechung des BGH abgegeben werde3. b) Hervorhebung 41 § 4a Abs. 1 Satz 4 verlangt die besondere Hervorhebung der Einwilligung, wenn

diese im Rahmen vorformulierter Texte eingeholt werden soll4. Damit soll verhindert werden, dass die Einwilligung bei Formularverträgen im sog. Kleingedruckten versteckt wird und der Betroffene sie durch seine Unterschrift erteilt, ohne sich ihrer und ihres Bezugsgegenstands bewusst zu sein, weil er sie übersieht. Zu den Anforderungen an die Abgrenzung der Einwilligung von weiteren Sachverhalten unter der DSGVO vgl. Art. 7 Abs. 2 DSGVO.

42 Für die Einwilligung in Werbung und Adresshandel wird dieses Erfordernis

durch § 28 Abs. 3a Satz 2 konkretisiert („drucktechnisch deutliche Gestaltung“). Mit dieser Vorschrift, die im Rahmen der Novelle II 2009 eingeführt wurde,

1 BGH v. 25.10.2012 – I ZR 169/10, GRUR 2013, 531 (533) – Einwilligung in Werbeanrufe II. 2 OLG Frankfurt a.M. v. 17.12.2015 – 6 U 30/15, WRP 2016, 364. 3 OLG Frankfurt a.M. v. 17.12.2015 – 6 U 30/15, WRP 2016, 364. 4 Vgl. OLG Koblenz v. 17.1.2014 – 9 U 1116/13, CR 2014, 716.

108

|

Plath

Einwilligung | § 4a BDSG

wollte der Gesetzgeber die Richtlinien, die der BGH in seiner Payback-Entscheidung aufgestellt hat, umsetzen1. Im Regelfall wird eine wirkungsvolle Hervorhebung durch drucktechnische Mit- 43 tel erfolgen. Denkbar sind z.B. Umrahmungen, Fettdruck2, größere Schriftzeichen oder Unterstreichungen3. Darüber hinaus kann die Hervorhebung, anders als im Rahmen des § 28 Abs. 3a Satz 2, auch durch andere als drucktechnische Mittel erfolgen. Denkbar ist insbesondere eine betonende Überschrift. c) Notwendigkeit einer aussagekräftigen Überschrift der Einwilligungserklärung Der Betroffene muss erkennen können, dass er in die Erhebung, Verarbeitung 44 oder Nutzung seiner personenbezogenen Daten einwilligt. Dazu bedarf es nicht notwendig einer besonderen Überschrift der Erklärung. Die 45 einschlägigen Urteile des BGH legen nahe, dass es ausreichend ist, wenn die Einwilligungserklärung besonders hervorgehoben ist – dies kann, muss aber nicht durch die Überschrift der Erklärung erfolgen. Ist die Einwilligungserklärung also bereits in anderer Weise besonders gekennzeichnet (z.B. durch einen Rahmen oder Fettdruck), bedarf es zusätzlich keiner Überschrift. Wenn allerdings eine Überschrift gewählt wird, so sollte darauf geachtet werden, dass diese in ihrer Wortwahl nicht missverständlich ist, also das Risiko besteht, dass der Betroffene der Erklärung trotz ihrer besonderen Hervorhebung keine Beachtung schenkt4. Transparenter als die Überschrift „Datenschutz“ sind nach dem Vorschlag der Bayrischen Datenschutzbehörde etwa folgende Überschriften „Datenschutzrechtliche Einwilligungserklärung“, „Einwilligungserklärung Datenschutz“, „Einwilligungserklärung in die Datenverarbeitung“, „Datenschutz/Einwilligung“5. d) Bestimmtheit Wesentlich ist bei der Einwilligung in Form von AGB – sofern eine AGB-Kon- 46 trolle erfolgen muss, s. Rz. 39 – der Grundsatz der Bestimmtheit. Der BGH zitiert im Payback-Urteil den Art. 2 Buchst. h der EG-Datenschutzrichtlinie, wonach 1 Vgl. BGH v. 11.11.2009 – VIII ZR 12/08, CR 2010, 87 – Happy Digits. 2 Vgl. hierzu OLG Hamm v. 17.2.2011 – I-4 U 174/10, 4 U 174/10, CR 2011, 539. 3 So der BGH v. 16.7.2008 – VIII ZR 348/06, CR 2008, 720 – Payback; vgl. auch LG Berlin v. 18.11.2009 – 4 O 90/09, AfP 2010, 190; zu den entsprechenden Anforderungen vgl. Komm. zu § 28 BDSG Rz. 166 ff. 4 Vgl. AG Elmshorn v. 25.4.2005 – 49 C 54/05, MMR 2005, 870; Gola/Schomerus, § 4a BDSG Rz. 26; Schaffland/Wiltfang, § 4a BDSG Rz. 12: Die Überschrift „Datenschutz“ reicht demnach nicht, da der Betroffene sie auch als bloße Benachrichtigung bzw. Information verstehen kann. 5 Vgl. RDV 2007, 84 (85); kritisch zu diesen Begriffen Nord/Manzel, NJW 2010, 3756 (3758).

Plath

|

109

§ 4a BDSG | Allgemeine und gemeinsame Bestimmungen die Einwilligung „ohne jeden Zweifel, für den konkreten Fall und in Kenntnis der Sachlage erteilt werden muss“1. 47 In diesem Zusammenhang ist es von Bedeutung, dass der BGH die Payback-

Klausel – datenschutzrechtlich – ausdrücklich für wirksam erklärt hat. Nimmt man die Payback-Klausel demnach als vom BGH positiv bestätigtes Muster, dann gilt Folgendes: Es bedarf – der konkreten Bezeichnung der benutzten Daten („die von mir oben angegebenen Daten“)2, – der konkreten Bezeichnung der Kommunikationswege („per Post“), – der allgemeinen Bezeichnung der Werbemaßnahmen („Werbung, z.B. Informationen über Sonderangebote, Rabattaktionen“) sowie – der konkreten Bezeichnung der Werbepartner („folgende Partnerunternehmen“).

48 Nicht erforderlich ist damit, dass die Einwilligungsklausel die konkret erfassten

personenbezogenen Daten des Betroffenen, die ggf. zuvor in ein Bestellformular eingegeben worden sind, nochmals wiederholt. Ausreichend ist, dass auf diese in der Einwilligungserklärung verwiesen wird. Ob datenschutzrechtlich die konkrete Bezeichnung der Partnerunternehmen – also insbesondere die Nennung bestimmter Gesellschaften mit voller Firmierung – erforderlich ist, ist fraglich. Dagegen spricht vor allem der Wortlaut des § 4 Abs. 3 Satz 1 Nr. 3, wonach die Angabe der „Kategorien der Empfänger“ genügt, also die Angabe, dass bestimmte Gruppen von Empfängern die entsprechenden Daten verwenden. Problematisch ist jedoch, dass diese Angaben – ungeachtet der datenschutzrechtlichen Beurteilung – jedenfalls den Anforderungen des UWG nicht entsprechen. Nach der aktuellen Rechtsprechung ist die Angabe von Empfängerkategorien jedenfalls im Bereich der Telefonwerbung nicht ausreichend3.

49 Zu beachten ist, dass eine wirksame Einbeziehung vorformulierter Vertrags-

bestimmungen in zeitlicher Hinsicht voraussetzt, dass dem Betroffenen alle für eine Entscheidung in Kenntnis der Sachlage erforderlichen Informationen bereits zum Zeitpunkt der Einwilligung vorliegen4. Es ist also z.B. nicht ausreichend, wenn dem Einwilligenden der Inhalt seiner Erklärung erstmals nach Erteilung der Einwilligung per E-Mail übermittelt wird.

1 BGH v. 16.7.2008 – VIII ZR 348/06, CR 2008, 720 – Payback. 2 Ausführlich hierzu LG Köln v. 15.12.2010 – 26 O 119/10, WM 2011, 814. 3 So zuletzt auch für den Bereich des BDSG entschieden vom OLG Koblenz v. 26.3.2014 – 9 U 1116/13, GRUR-RR 2014, 407; vgl. dazu näher für den Bereich des UWG unter Rz. 63 ff. 4 Vgl. BGH v. 11.11.2009 – VIII ZR 12/08, CR 2010, 87 – Happy Digits; Nord/Manzel, NJW 2010, 3756 (3757).

110

|

Plath

Einwilligung | § 4a BDSG

e) Opt-out Laut BGH bedarf es für eine wirksame – datenschutzrechtliche – Einwilligung 50 gerade keines Opt-ins (aktives Setzen eines „Häkchens“). Datenschutzrechtlich ist vielmehr das Opt-out, d.h. das Streichen der vorformulierten Einwilligung bzw. das Ankreuzen eines entsprechenden Kästchens zum Opt-out, ausreichend. Der BGH tritt damit ausdrücklich dem Einwand der Literatur entgegen, die Option der Streichung stelle eine ins Gewicht fallende Hemmschwelle dar, die den Verbraucher davon abhalten könne, von seiner Entscheidungsmöglichkeit Gebrauch zu machen1. Nach Ansicht des BGH sei dem Betroffenen vielmehr „ein Mindestmaß an Aufmerksamkeit“ zuzumuten2. Allerdings muss immer auch die wettbewerbsrechtliche Perspektive des kon- 51 kreten Falles beachtet werden. Ein wirksames datenschutzrechtliches Opt-out führt in der Praxis u.U. nicht zur gewünschten Unangreifbarkeit der Maßnahme, wenn es wettbewerbsrechtlich eines Opt-ins bedarf, um die geplante Maßnahme durchführen zu dürfen.

IV. Verhältnis zum UWG Werbeeinwilligungen müssen sich regelmäßig sowohl am BDSG als auch am 52 UWG messen lassen. Während das BDSG den Betroffenen vor der ungewollten Verwendung seiner personenbezogenen Daten schützt, bewahrt § 7 UWG den Einzelnen vor unzumutbarer Belästigung durch Werbung. Wettbewerbsrechtlich ist lediglich die Werbung per Post ohne Einwilligung un- 53 problematisch, es sei denn, die Ansprache ist hartnäckig und erkennbar unerwünscht3. Ist Letzteres nicht der Fall, richtet sich die Zulässigkeit der Verwendung personenbezogener Daten für die Werbeansprache per Brief allein nach dem BDSG4. In allen anderen Fällen (also insbesondere bei der Werbeansprache per Telefon, 54 E-Mail, SMS oder Fax) sind grundsätzlich beide Gesetze nebeneinander in ihrem jeweiligen Anwendungsbereich zu beachten. Der Fokus der Rechtsprechung liegt regelmäßig auf dem UWG, denn angegriffen wird oftmals die konkrete Werbemaßnahme (also z.B. der Telefonanruf). Darüber hinaus sind die Maßstäbe des UWG generell strenger, so dass die Gerichte in vielen Fällen die wettbewerbsrechtliche Rechtswidrigkeit einer Maßnahme bejahen und es keiner weiteren Prüfung der datenschutzrechtlichen Normen bedarf bzw. der mögliche 1 So v. Nussbaum/Krienke, MMR 2009, 372 (374). 2 BGH v. 11.11.2009 – VIII ZR 12/08, CR 2010, 87 – HappyDigits; so bereits auch BGH v. 16.7.2008 – VIII ZR 348/06, CR 2008, 720 – Payback. 3 Vgl. § 7 Abs. 2 Nr. 1 UWG. 4 Vgl. auch BGH v. 11.11.2009 – VIII ZR 12/08, CR 2010, 87 – Happy Digits.

Plath

|

111

§ 4a BDSG | Allgemeine und gemeinsame Bestimmungen Datenschutzverstoß nicht im Klagewege gerügt wird. Dies bedeutet nicht, dass die Einhaltung der Anforderungen des Datenschutzrechts obsolet ist, da auch im Falle eines Verstoßes gegen das BDSG empfindliche Rechtsfolgen drohen. Häufig werden jedoch die Maßstäbe des Wettbewerbsrechts strenger sein, so dass mit ihrer Einhaltung zugleich auch den Ansprüchen des BDSG entsprochen werden dürfte. 1. Opt-in 55 Der Maßstab des § 7 UWG ist im Hinblick auf das Erfordernis der gesonderten

Einwilligung strenger als der des BDSG. Für die Werbung per SMS und E-Mail hat der BGH – wettbewerbsrechtlich – eine positive Einwilligungserklärung, also ein Opt-in gefordert1. Dieses Erfordernis muss gleichsam nicht nur für die Werbung per Fax, sondern angesichts der parallelen Formulierung der §§ 7 Abs. 2 Nr. 2 und 7 Abs. 2 Nr. 3 UWG und des dahinter stehenden Schutzzwecks dieser Normen (Schutz des Verbrauchers vor unzumutbarer Belästigung) auch für die Werbung per Telefon gelten2. Damit ist im Umkehrschluss die Opt-outLösung nur für solche Einwilligungserklärungen ausreichend, die sich auf die Verwendung von Daten für die Zusendung von Werbung per Post sowie zu Zwecken der Marktforschung beschränkt3. Zu beachten ist nochmals, dass das Opt-in-Erfordernis nur wettbewerbsrechtlich erforderlich ist; den Anforderungen des Datenschutzrechts genügt die Gestaltung der Einwilligung als Opt-out (s. Rz. 50). 2. Double-opt-in

56 In der Praxis sieht sich die Werbewirtschaft regelmäßig mit der Problematik

konfrontiert, den Nachweis für die Abgabe einer Einwilligung durch den Betroffenen im Opt-in-Verfahren zu erbringen. Aus diesem Grund hat sich das sog. „Double-opt-in“ etabliert. Dabei wird der Betroffene, der in die Nutzung seiner Daten zu Werbezwecken (bspw. im Rahmen eines Gewinnspiels) eingewilligt hat, automatisch durch eine „Check-“ bzw. „Bestätigungs-Mail“ dazu aufgefordert, die Abgabe dieser Einwilligung zu bestätigen. In der Regel genügt das Anklicken eines entsprechenden Links, um die Bestätigung durchzuführen. Sinn und Zweck dieser Praxis ist es, die Abgabe einer wirksamen Einwilligung auch in den Fällen beweisen zu können, in denen die Gefahr besteht, dass die Opt-inEinwilligung nicht durch den Betroffenen selbst erteilt wurde4. 1 BGH v. 16.7.2008 – VIII ZR 328/06, CR 2008, 720 – Payback; OLG Jena v. 21.4.2010 – 2 U 88/10, MMR 2011, 101. 2 So auch Jankowski, GRUR 2010, 495. 3 So z.B. in dem Sachverhalt HappyDigits, vgl. BGH v. 11.11.2009 – VIII ZR 12/08, CR 2010, 87. 4 Vgl. Isele/Danckelmann/Kerst, GRUR-Prax. 2011, 463.

112

|

Plath

Einwilligung | § 4a BDSG

Im Jahre 2011 hat der BGH nun entschieden, dass die Praxis des Double-opt-in 57 grundsätzlich ausreicht, um die Einwilligung in die Verwendung einer E-MailAdresse zu Werbezwecken nachzuweisen und zu dokumentieren1. Durch die Bestätigung infolge der Bestätigungs-Mail sei ausreichend sichergestellt, dass der Betroffene auf die im Opt-in-Verfahren angegebene E-Mail-Adresse auch tatsächlich zugreifen kann. Dagegen sei das Double-Opt-in-Verfahren nach Ansicht des BGH nicht ausreichend, wenn die Bestätigungs-Mail eine Einwilligung in die Verwendung anderer Daten als der E-Mail-Adresse, insbesondere der Telefonnummer des Betroffenen, bestätigen soll. Ein „notwendiger Zusammenhang zwischen der E-Mail-Adresse, unter der der Teilnahmeantrag abgesandt wurde, und der in ihm angegebenen Telefonnummer“ bestehe gerade nicht2. Zu beachten ist, dass die Praxis des Double-Opt-in nur für die Erbringung des Nachweises, dass eine Einwilligung erteilt wurde, von Bedeutung ist. Auf die Wirksamkeit der Einwilligung wirkt sich diese Problematik nicht aus. Es ist ein weitverbreiteter Fehlglaube, dass das BDSG eine „doppelte“ Einwilligungserklärung fordern würde. Dies ist indes nicht der Fall. Es reicht eine „einmalige“ Einwilligung, soweit die verantwortliche Stelle in der Lage ist, die Erteilung der Einwilligung auf andere Weise nachzuweisen. Dies kann z.B. der Fall sein, wenn der Einwilligende lediglich den Umfang der Erklärung bestreitet, nicht aber den Umstand, dass er selbst diese Erklärung abgegeben hat. 3. Form Die Einwilligung nach § 7 UWG ist formfrei. Auch dies spricht dafür, den da- 58 tenschutzrechtlichen Grundsatz der Schriftform – jedenfalls im Rahmen von Werbeeinverständnissen – nicht zu streng auszulegen (s. Rz. 14 ff.). 4. Reichweite und Bestimmtheit Im Bereich der Telefonwerbung ist die Rechtsprechung zu vorformulierten 59 Einwilligungserklärungen derzeit – auf der Ebene der Instanzrechtsprechung – im Fluss. Angesichts des parallelen Wortlauts von § 7 Abs. 2 Nr. 2 und § 7 Abs. 2 Nr. 3 UWG liegt es nahe, dass die Rechtsprechung ihre Richtlinien zur Telefonwerbung auch auf die Werbeansprache per E-Mail, Fax und SMS gegenüber einem Verbraucher anwenden würde. Ursprünglich hatte der BGH (IV. und XI. Zivilsenat) geurteilt, dass ein vorfor- 60 muliertes Einverständnis in die Telefonwerbung generell unwirksam sei, da es den Betroffenen unangemessen benachteilige3. In einer etwas abgemilderten Form urteilte der I. Zivilsenat in einer späteren Entscheidung, dass ein vorfor1 BGH v. 10.2.2011 – I ZR 164/09, NJW 2011, 2657 (2659) – Double-opt-in-Verfahren. 2 BGH v. 10.2.2011 – I ZR 164/09, NJW 2011, 2657 (2660) – Double-opt-in-Verfahren. 3 BGH v. 16.3.1999 – XI ZR 76/98, MMR 1999, 477.

Plath

|

113

§ 4a BDSG | Allgemeine und gemeinsame Bestimmungen muliertes Einverständnis jedenfalls dann unwirksam sei, wenn es einen Werbeanruf einschließe, der über das konkrete Vertragsverhältnis hinausgehe bzw. mit diesem in keinem Zusammenhang stehe1. 61 Grund für die Trendwende ist das Payback-Urteil des BGH. Der BGH urteilte,

dass die Einwilligung in die Werbeansprache per E-Mail und SMS an sich durch eine vorformulierte Erklärung eingeholt werden kann, solange dabei ein gesondertes Opt-in-Verfahren verwendet wird2. Dieses Urteil bezieht sich zwar nicht auf die Werbung per Telefon, sondern auf die Werbung per E-Mail und SMS. Angesichts des identischen Wortlauts von § 7 Abs. 2 Nr. 2 und § 7 Abs. 2 Nr. 3 UWG im Hinblick auf Verbraucher muss diese Wertung jedoch gleichfalls für die Werbung per Telefon gelten. Die Ansicht, dass eine formularmäßig eingeholte Einwilligungserklärung in die Werbeansprache per Telefon per se unangemessen ist, ist damit nicht mehr haltbar.

62 So urteilten einige Oberlandesgerichte, dass eine vorformulierte Einwilligungs-

erklärung in die Werbeansprache per Telefon nicht von vornherein unwirksam, sondern vielmehr grundsätzlich zulässig sei3.

63 Die vorformulierten Einwilligungserklärungen scheitern in der Praxis allerdings

häufig an der Reichweite der eingeholten Einverständnisse. Moniert wird insbesondere, dass die verwendete Klausel erheblich über den konkreten Zweck des Vertrages hinausgehe („weitere interessante Angebote“; „sämtliche Unternehmen des Konzerns“) und daher intransparent und unwirksam sei4.

64 Insbesondere solche Werbeeinverständnisse, die im Rahmen von Gewinnspie-

len eingeholt werden, erklären die Gerichte kategorisch für unwirksam. Zwar gehen jüngere Urteile von dem Grundsatz aus, dass dem Teilnehmer an einem Gewinnspiel durchaus bewusst sei, dass dieses auch Werbezwecken diene5. Allerdings verweisen die Urteile dann – unter Berufung auf die zitierte BGH-Entscheidung6 – darauf, dass der Gegenstand der Einwilligungserklärungen nicht im Zusammenhang mit dem Zweck des Gewinnspiels stehe.

1 BGH v. 27.1.2000 – I ZR 241/97, CR 2000, 596 – Telefonwerbung VI. 2 BGH v. 16.7.2008 – VIII ZR 348/06, CR 2008, 720 – Payback. 3 OLG Hamburg v. 4.3.2009 – 5 U 260/08, MMR 2009, 557 und CR 2009, 437 L (351); OLG Köln v. 23.11.2007 – 6 U 95/07, GRUR-RR 2008, 316; offen gelassen vom OLG Hamm v. 15.8.2006 – 4 U 78/06, CR 2006, 750 und vom OLG Köln v. 29.4.2009 – 6 U 218/08, CR 2009, 783. 4 So z.B. OLG Hamburg v. 4.3.2009 – 5 U 260/08, MMR 2009, 557 und CR 2009, 437 Leitsatz. 5 Vgl. etwa vgl. OLG Hamburg v. 4.3.2009 – 5 U 62/08, GRUR-RR 2009, 351: „Dem durchschnittlich aufgeklärten und verständigen Verbraucher ist es durchaus bewusst, dass Gewinnspiele der vorliegenden Art auch der Werbung dienen.“ 6 BGH v. 27.1.2000 – I ZR 241/97, CR 2000, 596.

114

|

Plath

Einwilligung | § 4a BDSG

Nach der hier vertretenen Ansicht ist diese Argumentation überzogen. Denn 65 Gewinnspiele leben in der Regel von Sponsoren, die gerade nichts mit dem eigentlichen Gewinnspiel zu tun haben. Dem Verbraucher ist dies bekannt und bewusst, jedenfalls wenn er im Rahmen des Gewinnspiels darüber aufgeklärt wird. Es erscheint also von vornherein wenig sinnvoll, etwa bei einem Gewinnspiel für ein Auto darauf abzustellen, ob das Werbeeinverständnis auch nur Sponsoren aus der Automobilbranche erfasst. Hinzukommt, dass der zitierten BGH-Entscheidung überhaupt kein Gewinnspiel zugrunde lag. Aus der genannten Rechtsprechungslinie sticht alleine ein – in der Begründung 66 allerdings sehr knapp gehaltenes – Urteil des OLG Bamberg heraus1. Diesem Verfahren lag ein Werbeeinverständnis im Rahmen eines Gewinnspiels zugrunde, das die Sponsorenliste als Werbepartner konkret umriss. Der Gewinnspielteilnehmer konnte diese Sponsorenliste über einen Klick ansehen. Weiterhin wurde die Werbung auch branchenbeschränkt (wobei das Feld der Werbenden ein weites Feld von „Zeitungsabonnements“ über „Reise- und Tourismusanbieter“ bis hin zu „Bekleidungs- und Elektronikeinzelhandel“ abdeckte). Das OLG Bamberg hielt dieses Werbeeinverständnis für wirksam, da es auch das von der Einwilligung begünstigte Unternehmen umfasste und der Gewinnspielteilnehmer dies auch durch Anklicken des Begriffs „Sponsoren“ feststellen konnte. Weder das OLG Bamberg noch die Vorinstanz2 prüften die Wirksamkeit des Optins anhand des Kriteriums, ob die Einwilligung in Kontext mit dem Gewinnspiel stand, obgleich eben dieses Argument auch von der Klägerin vorgetragen wurde. Im Rahmen eines Einverständnisses in die Werbung per Telefon, E-Mail, SMS 67 oder Fax ist daher – aus wettbewerbsrechtlicher und datenschutzrechtlicher Perspektive – nach dem derzeitigen Stand der herrschenden Rechtsprechung eine abschließende Sponsorenliste (noch besser: in Kombination mit einer Branchenbeschränkung) in der Praxis zu empfehlen. Die bloße Angabe von Kategorien von Empfängern (z.B. Unternehmen der Tourismusbranche) dürfte bei formularmäßigen Einwilligungserklärungen nicht ausreichen. Aus der BGH-Entscheidung Happy Digits3 lässt sich schließlich lesen, dass es ei- 68 nes ähnlichen Maßstabs für die Einwilligung in Briefwerbung nicht bedarf4. Denn der BGH hat zur Frage der Bestimmtheit der streitgegenständigen Klausel nicht Stellung genommen, obgleich sich das Werbeeinverständnis pauschal auf „Partnerunternehmen“ bezog.

1 2 3 4

Vgl. OLG Bamberg v. 9.6.2010 – 3 U 44/10, n.v. Das LG Aschaffenburg v. 18.2.2010 – 1 HK O 159/09, n.v. BGH v. 11.11.2009 – VIII ZR 12/08, CR 2010, 87. Kritisch insoweit allerdings Ernst, LMK 2010, 297158 in Anm. zu BGH v. 11.11.2009 – VIII ZR 12/08, NJW 2010, 864 – Happy Digits.

Plath

|

115

§ 4a BDSG | Allgemeine und gemeinsame Bestimmungen V. Verhältnis zum TMG 69 Das BDSG gilt nur subsidiär1, so dass im Anwendungsbereich des TMG die spe-

ziellen Anforderungen an eine Einwilligung nach §§ 11 Abs. 2, 12 Abs. 2 TMG dem § 4a vorgehen. Allerdings ist der Anwendungsbereich des § 12 TMG auf solche personenbezogenen Daten beschränkt, die zur Bereitstellung der Telemediendienste verwendet werden. Diese sind sog. Bestands-2 und Nutzungsdaten3, nicht aber sog. Inhaltsdaten4. Für Letztere gilt § 4a. Ist der Anwendungsbereich des TMG eröffnet, wird die Einwilligung jedoch offline eingeholt, dann gelten nach § 12 Abs. 3 TMG wiederum die Voraussetzungen des § 4a.

VI. Widerruf der Einwilligung 70 Der Betroffene hat das Recht, seine Einwilligung jederzeit zu widerrufen5. Zwar

erwähnt das BDSG das Widerrufsrecht des Betroffenen allein im Kontext mit der elektronisch erklärten Einwilligung, § 28 Abs. 3a, doch ist ein entsprechendes Recht des Betroffenen im Hinblick auf den Schutz der informationellen Selbstbestimmung allgemein anerkannt6. Zu beachten ist allerdings, dass der Widerruf einer Einwilligung in die Weitergabe von Daten an Auskunfteien wie die SCHUFA in der Rechtsprechung ausnahmsweise als missbräuchlich angesehen wird, wenn der Übermittlung ein vertragswidriges Verhalten des Betroffenen vorausgegangen ist7. Dass für die Erklärung des Widerrufs gewisse Grenzen gelten, hat das BAG zwischenzeitlich höchstrichterlich bestätigt8. Konkret ist nach dem BAG „im Rahmen der gegenseitigen Rücksichtnahme auf die Interessen der anderen Seite, § 241 II BGB, eine Abwägung im Einzelfall vorzunehmen“. In dem konkreten Fall hielt das BAG den Widerruf der Einwilligung eines zwischenzeitlich ausgeschiedenen Arbeitnehmers zur weiteren Veröffentlichung von Videoaufnahmen durch seinen ehemaligen Arbeitgeber unter Abwägung der Umstände des Falles für unwirksam.

71 Die verantwortliche Stelle muss diesen Widerruf ex-nunc beachten. Der Wider-

ruf hindert das Unternehmen damit zwar an der weiteren Verwendung der erhobenen Daten auf Grundlage der Einwilligung, berührt aber nicht die bereits

1 2 3 4 5

Vgl. § 1 Abs. 3. Vgl. § 14 TMG. Vgl. § 15 TMG. Vgl. Roßnagel/Jandt, MMR 2011, 86 (89); § 11 TMG Rz. 12. In der DSGVO findet sich nunmehr eine ausdrückliche Regelung des Widerrufsrechts, vgl. Art. 7 Abs. 3 DSGVO. 6 Simitis/Simitis, § 4a BDSG Rz. 94; Gola/Schomerus, § 4a BDSG Rz. 37 ff. 7 OLG Frankfurt a.M. v. 15.11.2004 – 23 U 155/03, MDR 2005, 881; ebenso Kamlah/Hoke, RDV 2007, 242 (243). 8 BAG v. 11.12.2014 – 8 AZR 1010/13, CR 2015, 453.

116

|

Plath

Einwilligung | § 4a BDSG

erfolgte Verwendung der erhobenen Daten. Diese bleibt rechtmäßig. Mit Zugang des Widerrufs muss das Unternehmen die personenbezogenen Daten löschen, soweit deren Verwendung auf der Einwilligung beruht1. Der Widerruf bedarf nach der hier vertretenen Ansicht keiner besonderen 72 Form2. Ebenso wie im Rahmen des § 28 Abs. 4 Satz 4 dürfte vielmehr ein in den AGB vorgeschriebenes Formerfordernis für den Widerruf, das strenger ist als die Form der Einwilligung, unwirksam sein. Dagegen ist ein Formerfordernis, das die Einhaltung derselben Form wie der Form der Einwilligungserteilung verlangt, wirksam. In der Praxis stellt sich hier freilich das Problem des Nachweises, wenn der Betroffene telefonisch die Löschung seiner Daten fordert. Aus diesem Grund empfiehlt sich regelmäßig die Protokollierung solcher Anrufe. Ein Widerruf ist insoweit wirkungslos, als die Einwilligung im Rahmen eines 73 Vertrages abgegeben wird und die Verarbeitung der personenbezogenen Daten für die Abwicklung des Vertrages erforderlich ist. In diesem Fall ist die Datenverarbeitung bereits nach § 28 Abs. 1 Satz 1 Nr. 1 gerechtfertigt, so dass nach der hier vertretenen Ansicht der Widerruf die Rechtmäßigkeit der Datenverarbeitung auf der Grundlage dieser Befugnis oder anderen gesetzlichen Erlaubnisnormen nicht berührt3. Nach der hier vertretenen Ansicht steht die Einwilligung selbständig neben den gesetzlichen Erlaubnisnormen. Dies ergibt sich aus dem insoweit eindeutigen Wortlaut des § 4 Abs. 1, wonach nur einer der Erlaubnistatbestände („oder“) vorliegen muss. Die gegenteilige Ansicht würde auch den Interessen der Betroffenen nicht gerecht. Denn wenn die verantwortliche Stelle stets befürchten müsste, durch die Anforderung einer Einwilligung die Möglichkeit des Rückgriffs auf die gesetzlichen Erlaubnisnormen insbesondere der §§ 28, 29 zu verlieren, würde dies die Unternehmen tendenziell davon abhalten, überhaupt von dem Instrument der Einwilligung Gebrauch zu machen. Hat die verantwortliche Stelle die personenbezogenen Daten bereits an Dritte 74 übermittelt, so muss sie die Empfänger der Daten lediglich über den Widerruf informieren4. Auch hier empfiehlt sich zu Beweiszwecken die Dokumentation der erfolgten Information. Eine weitergehende Verantwortung oder Haftung der verantwortlichen Stelle besteht nicht, vorausgesetzt dass die ursprüngliche Verwendung der Daten, d.h. auch die Übermittlung an den Dritten, von einer rechtswirksamen Einwilligung gedeckt war. Der Empfänger muss den Widerruf beachten, die personenbezogenen Daten löschen und von einer Verwendung in der Zukunft absehen. 1 § 35 Abs. 2 Satz 1 Nr. 1. 2 A.A. Däubler/Klebe/Wedde/Weichert/Däubler, § 4a BDSG Rz. 36, wonach der Widerruf schriftlich abzugeben ist. 3 Vgl. dazu auch Gola/Schomerus, § 4a BDSG Rz. 39; vgl. zur Problematik einer Weiterverwendung von Daten auf Grundlage eines Erlaubnistatbestands trotz eines entgegenstehenden Widerspruchs Komm. zu § 28 BDSG Rz. 175 ff., insbesondere Rz. 200 ff. 4 So auch Simitis/Simitis, § 4a BDSG Rz. 103.

Plath

|

117

§ 4a BDSG | Allgemeine und gemeinsame Bestimmungen VII. Übertragbarkeit der Einwilligung 75 Immer wieder stellt sich in der Praxis die Frage, in wie weit eine Einwilligung

von einer verantwortlichen Stelle auf eine andere übertragen werden kann. Von praktischer Bedeutung ist dieses Problem vor allem im Rahmen von Unternehmenstransaktionen.

76 Im Falle von Umstrukturierungen in Unternehmen, z.B. bei einem Inhaberwech-

sel, stellt sich die Frage, ob die ursprünglich erteilte Einwilligung des Betroffenen auch nach Abschluss der Umstrukturierung fortbesteht. Erfolgt die Transaktion im Rahmen eines share deals, also der Veräußerung der Unternehmensanteile an ein anderes Unternehmen, so hat diese Transaktion auf die datenschutzrechtliche Einwilligung in aller Regel keine Auswirkung, da die Einwilligung gegenüber dem Unternehmen und nicht gegenüber dessen Inhabern erklärt wurde.

77 Im Falle eines asset deals, also der Übertragung der Vermögenswerte eines Un-

ternehmens an einen Dritten, wird man die Einwilligungserklärung dagegen auslegen müssen1. In der Regel wird diese geschäftsbezogen abgegeben worden sein, so dass sie auch dem Erwerber gegenüber weiterhin Geltung haben wird, jedenfalls soweit der Erwerber den Geschäftsbetrieb fortführt. Etwas anderes dürfte indes in dem Fall gelten, in dem der Betroffene seine Einwilligung einer bestimmten (juristischen oder natürlichen) Person erteilt, z.B. weil diese sein besonderes Vertrauen genießt.

78 Das BDSG kennt grundsätzlich kein Konzernprivileg, d.h. verbundene Unter-

nehmen sind Dritte i.S.d. BDSG. Die Verwendung der Daten durch sie muss damit ausdrücklich legitimiert sein. Auch insoweit ist die Einwilligung auszulegen.

79 Wird im Rahmen der Einwilligung das Einverständnis des Betroffenen ein-

geholt, dass seine Daten auch innerhalb des Konzerns an verbundene Unternehmen weitergegeben werden dürfen, so erstreckt sich dieses Einverständnis in der Regel auch auf weitere Unternehmen, die zu einem späteren Zeitpunkt in den Konzern eingegliedert werden. Man wird aber fordern müssen, dass sich dadurch der Zweck des Unternehmens (und damit auch die Reichweite der Einwilligung) nicht ändern, und dass der Betroffene gemäß § 33 über den Zuwachs informiert wird2.

VIII. Rechtsfolgen bei Verstoß 80 Wird die Einwilligung des Betroffenen nicht vor der Datenverwendung und da-

mit nicht rechtzeitig eingeholt, so ist die Verwendung seiner personenbezogenen

1 So auch Däubler/Klebe/Wedde/Weichert/Däubler, § 4a BDSG Rz. 46. 2 So auch Däubler/Klebe/Wedde/Weichert/Däubler, § 4a BDSG Rz. 45; Gola/Schomerus, § 4a BDSG Rz. 43c.

118

|

Plath

Einwilligung | § 4a BDSG

Daten zunächst rechtswidrig, soweit keine gesetzliche Erlaubnis eingreift. Die Verwendung kann untersagt werden1 und der verantwortlichen Stelle kann eine Geldbuße auferlegt werden2. Eine nachträgliche wirksame Zustimmung des Betroffenen ist allerdings als des- 81 sen Einwilligung in die zukünftige Verwendung zu sehen, so dass keine Löschungspflicht der verantwortlichen Stelle (mehr) besteht3. Im Falle einer nachträglichen wirksamen Zustimmung des Betroffenen sind auch etwaige Schadensersatzansprüche ausgeschlossen. Denn der Betroffene verzichtet auf diese Ansprüche, wenn er im Nachhinein der Erhebung, Verarbeitung oder Nutzung seiner personenbezogenen Daten rückwirkend zustimmt4. Fehlt der Hinweis auf die Folgen der Verweigerung der Einwilligung (falls und 82 soweit ein solcher Hinweis erforderlich ist), so ist die Einwilligung unwirksam. Bei schuldhaften Zuwiderhandlungen kann die verantwortliche Stelle auf Un- 83 terlassung und Beseitigung gemäß § 823 Abs. 1 i.V.m. § 1004 BGB in Anspruch genommen werden. Möglich sind auch die Geltendmachung von Schadensersatzansprüchen aus § 7 BDSG, § 823 Abs. 1 BGB sowie § 823 Abs. 2 BGB i.V.m. § 28 als Schutzgesetz. Der Betroffene kann zudem bei schwerwiegenden Verletzungen seines Rechts auf informationelle Selbstbestimmung Anspruch auf Zahlung von Schmerzensgeld haben. Mögliche Konsequenzen im Falle eines Verstoßes gegen das Wettbewerbsrecht 84 sind im Falle der unlauteren Werbung die Inanspruchnahme auf Unterlassung nach § 8 Abs. 1 UWG, auf Schadensersatz nach § 9 UWG oder auf Gewinnabschöpfung nach § 10 UWG. Hinzu kommt im Falle der Telefonwerbung die Möglichkeit der Verhängung einer Geldbuße nach § 20 UWG. Den Adresskäufer trifft nach Ansicht der Rechtsprechung die Pflicht, bei ein- 85 gekauften Adressen die Einwilligungserklärungen zu prüfen, er kann sich insoweit nicht auf eine Zusicherung des Adresshändlers verlassen5. Das OLG Düsseldorf hat weiterhin geurteilt, dass den Geschäftsführer eines Unternehmens die wettbewerbsrechtliche Verkehrspflicht trifft, durch die Organisation seines Geschäftsbetriebs sicherzustellen, dass E-Mails lediglich an solche Personen versendet werden, von denen eine ausdrückliche Einwilligung vorliegt. Dafür müssen zumindest Stichproben durchgeführt und dokumentiert werden. Ist ein entsprechender Nachweis nicht möglich, so kann der Geschäftsführer auch persönlich in die Haftung genommen werden6. 1 §§ 823 Abs. 1, 1004 BGB. 2 § 43 Abs. 2 Nr. 1, Abs. 3. 3 In diese Richtung auch Gola/Schomerus, BDSG § 4a Rz. 32; a.A. Simitis/Simitis, § 4a BDSG Rz. 29; Schaffland/Wiltfang, § 4a BDSG Rz. 3. 4 So Simitis/Simitis, § 4a BDSG Rz. 29; Schaffland/Wiltfang, § 4a BDSG Rz. 3. 5 OLG Düsseldorf v. 24.11.2009 – 20 U 137/09, MMR 2010, 99. 6 OLG Düsseldorf v. 24.11.2009 – 20 U 137/09, MMR 2010, 99.

Plath

|

119

§ 4b BDSG | Allgemeine und gemeinsame Bestimmungen

§ 4b Übermittlung personenbezogener Daten ins Ausland sowie an über- oder zwischenstaatliche Stellen (1) Für die Übermittlung personenbezogener Daten an Stellen 1. in anderen Mitgliedstaaten der Europäischen Union, 2. in anderen Vertragsstaaten des Abkommens über den Europäischen Wirtschaftsraum oder 3. der Organe und Einrichtungen der Europäischen Gemeinschaften gelten § 15 Abs. 1, § 16 Abs. 1 und §§ 28 bis 30a nach Maßgabe der für diese Übermittlung geltenden Gesetze und Vereinbarungen, soweit die Übermittlung im Rahmen von Tätigkeiten erfolgt, die ganz oder teilweise in den Anwendungsbereich des Rechts der Europäischen Gemeinschaften fallen. (2) 1Für die Übermittlung personenbezogener Daten an Stellen nach Absatz 1, die nicht im Rahmen von Tätigkeiten erfolgt, die ganz oder teilweise in den Anwendungsbereich des Rechts der Europäischen Gemeinschaften fallen, sowie an sonstige ausländische oder über- oder zwischenstaatliche Stellen gilt Absatz 1 entsprechend. 2Die Übermittlung unterbleibt, soweit der Betroffene ein schutzwürdiges Interesse an dem Ausschluss der Übermittlung hat, insbesondere wenn bei den in Satz 1 genannten Stellen ein angemessenes Datenschutzniveau nicht gewährleistet ist. 3Satz 2 gilt nicht, wenn die Übermittlung zur Erfüllung eigener Aufgaben einer öffentlichen Stelle des Bundes aus zwingenden Gründen der Verteidigung oder der Erfüllung über- oder zwischenstaatlicher Verpflichtungen auf dem Gebiet der Krisenbewältigung oder Konfliktverhinderung oder für humanitäre Maßnahmen erforderlich ist. (3) Die Angemessenheit des Schutzniveaus wird unter Berücksichtigung aller Umstände beurteilt, die bei einer Datenübermittlung oder einer Kategorie von Datenübermittlungen von Bedeutung sind; insbesondere können die Art der Daten, die Zweckbestimmung, die Dauer der geplanten Verarbeitung, das Herkunfts- und das Endbestimmungsland, die für den betreffenden Empfänger geltenden Rechtsnormen sowie die für ihn geltenden Standesregeln und Sicherheitsmaßnahmen herangezogen werden. (4) 1In den Fällen des § 16 Abs. 1 Nr. 2 unterrichtet die übermittelnde Stelle den Betroffenen von der Übermittlung seiner Daten. 2Dies gilt nicht, wenn damit zu rechnen ist, dass er davon auf andere Weise Kenntnis erlangt, oder wenn die Unterrichtung die öffentliche Sicherheit gefährden oder sonst dem Wohl des Bundes oder eines Landes Nachteile bereiten würde. (5) Die Verantwortung für die Zulässigkeit der Übermittlung trägt die übermittelnde Stelle. (6) Die Stelle, an die die Daten übermittelt werden, ist auf den Zweck hinzuweisen, zu dessen Erfüllung die Daten übermittelt werden. 120

|

von dem Bussche

Übermittlung ins Ausland | § 4b BDSG I. Einführung . . . . . . . . . . . . . . .

1

II. Datenübermittlung innerhalb des datenschutzrechtlichen Binnenraums (Abs. 1) 1. Anwendungsbereich . . . . . . . . . 8 2. Gleichstellung mit nationaler Datenverarbeitung . . . . . . . . . . 13 III. Datenübermittlung in Drittländer (Abs. 2 und 3) 1. Anwendungsbereich . . . . . . . . . 15

2. Keine Datenübermittlung bei entgegenstehenden schutzwürdigen Interessen . . . . . . . . . . . . . a) Fehlendes angemessenes Datenschutzniveau . . . . . . . . b) Sonderfall USA: Safe HarborPrinzipien und bilaterale Sonderregelungen . . . . . . . . IV. Pflichten und Verantwortung der übermittelnden Stelle (Abs. 4–6) V. Rechtsfolgen/Sanktionen . . . . .

20 23 30 35 39

Schrifttum: Arbeitsgruppe „Internationaler Datenverkehr“ des Düsseldorfer Kreises, Fallgruppen zur internationalen Auftragsdatenverarbeitung – Handreichung des Düsseldorfer Kreises zur rechtlichen Bewertung, v. 28.3.2007; Arbeitskreise Technik und Medien der Konferenz der Datenschutzbeauftragten des Bundes und der Länder, Orientierungshilfe – Cloud Computing, Version 2.0 v. 9.10.2014; Artikel-29-Arbeitsgruppe, Working Paper 4 „Erste Leitlinien für die Übermittlung personenbezogener Daten in Drittländer – Mögliche Ansätze für eine Bewertung der Angemessenheit“; Ebd., Stellungnahme 05/2012 zum Cloud Computing; Working Paper 179 „Opinion 08/2010 on applicable law“, v. 16.12. 2010; Backes/Eul/Guthmann/Martwich/Schmidt, Entscheidungshilfe für die Übermittlung personenbezogener Daten in Drittländer, RDV 2004, 156; Becker/Nikolaeva, Das Dilemma der Cloud-Anbieter zwischen US Patriot Act und BDSG, CR 2012, 170; Beucher/Räther/ Stock, Non-Performing Loans: datenschutzrechtliche Aspekte der Veräußerung von risikobehafteten Krediten, AG 2006, 277; Bierekoven, Internationaler Handel mit Kundendaten, ITRB 2009, 39; BInDSB, Jahresbericht 2003, RDV 2004, 135; Blaxell/Grant, Gegenüberstellung der europäischen und US-amerikanischen Haltung zum Datenschutz, RDV 2014, 142; Borges, Datentransfer in die USA nach Safe Harbor, NJW 2015, 3617; Borgt, Anmerkung zu EuGH v. 6.10.2015 – Rs. C-362/14, MMR 2015, 753; Brisch/Laue, E-Discovery und Datenschutz, RDV 2010, 1; Conrad, Transfer von Mitarbeiterdaten zwischen verbundenen Unternehmen, ITRB 2005, 164; Duhr/Naujok/Peter/Seiffert, Neues Datenschutzrecht für die Wirtschaft, DuD 2002, 5; Dix/Gardain, Datenexport in Drittstaaten, DuD 2006, 343; Ehricke/Becker/Walzel, Übermittlung von Fluggastdaten in die USA – Zugleich Urteilsanmerkung zur Entscheidung des EuGH vom 30.5.2006, RDV 2006, 149; Ewer/ Thienel, Völker-, unions- und verfassungsrechtliche Aspekte des NSA-Datenskandals, NJW 2014, 30; Feige, Personaldaten(über)fluss – Konzerne als illegale Datensammler? Datenübermittlungen in Konzern- und Matrixstrukturen innerhalb Europas, ZD 2015, 116; Fischer/Steidle, Brauchen wir neue Standardvertragsklauseln für das „Global Outsourcing“?, CR 2009, 632; Giesen, Datenverarbeitung im Auftrag in Drittstaaten – eine misslungene Gesetzgebung, CR 2007, 543; Göpel, Datenschutz in der Cloud – Status quo, RDV 2013, 292; Gola/Klug, Die Entwicklung des Datenschutzrechts in den Jahren 2009/2010, NJW 2010, 2483; Grützmacher, Datenschutz und Outsourcing, ITRB 2007, 183; Hilber, Die datenschutzrechtliche Zulässigkeit intranet-basierter Datenbanken internationaler Konzerne, RDV 2005, 143; Hillenbrand-Beck, Aktuelle Fragestellungen des internationalen Datenverkehrs, RDV 2007, 231; Hoeren, EU-Standardvertragsklauseln, BCR und Safe Harbor Principles – Instrumente für ein angemessenes Datenschutzniveau, RDV 2012, 271; von Holleben/Probst/Winters, No-Spy-Erlass vs. USA Patriot Act – Das Dilemma interna-

von dem Bussche

|

121

§ 4b BDSG | Allgemeine und gemeinsame Bestimmungen tionaler Bieter bei IT-Auftragsvergaben in Deutschland, CR 2015, 63; International Working Group on Data Protection in Telecommunications, „Working Paper on Cloud Computing – Privacy and data protection issues – Sopot Memorandum“, v. 24.4.2012; Jandt, Grenzenloser Mobile Commerce, DuD 2009, 664; Lejeune, Datentransfer in das außereuropäische Ausland – Hinweise zur Lösung aktueller Fragestellungen, ITRB 2005, 94; Kirsch, Mitarbeiter-Screenings zur Terrorbekämpfung zulässig? – Eine Zwickmühle zwischen AWG und Datenschutzvorschriften, ZD 2012, 519; Kühling/Biendl, Datenschutz – Basis und Bremse des Cloud Computing – Rechtliche Hemmnisse und Lösungsvorschläge für eine breitere Etablierung von Cloud-Diensten, CR 2014, 150; Lejeune, Datenschutz in den Vereinigten Staaten von Amerika, CR 2013, 755; Lejeune, Datenaustausch mit den Vereinigten Staaten von Amerika – Was gilt und was nach EU-Datenschutz-GVO und für eine Freihandelszone gelten soll, CR 2013, 822; Maschmann, Compliance versus Datenschutz, NZA-Beilage 2012, 50; Moos, Die EU-Standardvertragsklauseln für Auftragsverarbeiter 2010, CR 2010, 281; Moos/Schefzig, „Safe Harbor“ hat Schiffbruch erlitten – Auswirkungen des EuGH-Urteils C-362/14 in Sachen Schrems ./. Data Protection Commissioner, CR 2015, 625; Neuhöfer, Kanada – ein transatlantischer Datenschutzpartner, RDV 2013, 83; Ohler, Grundrechtliche Bindungen der Mitgliedsstaaten nach Art. 51 GrCh; Piltz, Datentransfers nach Safe Harbor: Analyse der Stellungnahmen und mögliche Lösungsansätze, K&R 2016, 1; Pohle/Ammann, Über den Wolken … – Chancen und Risiken des Cloud Computing, CR 2009, 273; Räther, Die EU-US-Flugdaten-Affäre, DuD 2004, 468; Räther/Seitz, Übermittlung personenbezogener Daten in Drittstaaten – Angemessenheitsklausel, Safe Harbor und die Einwilligung, MMR 2002, 425; Rehaag/Hoffmann, Westward Ho! Investigations by US-authorities and the transfer of personal data from Germany to the U.S.A., PinG 2015, 28; Ritchie, Safe Harbor aktuell, PinG 2013, 45; Rittweger/ Weiße, Unternehmensrichtlinien für den Datentransfer in Drittländer, CR 2003, 142; von Rosen, Rechtskollision durch grenzüberschreitende Sonderermittlungen, BB 2009, 280; Safferling, Der EuGH, die Grundrechtecharta und nationales Recht: Die Fälle Åkerberg Fransson und Melloni, NStZ 2014, 545; Schlikker, Anwendung des Europarechts auf das britische TEMPORA-Programm, NJOZ 2014, 1281; Schmidl, Datenschutzrechtliche Anforderungen an inneuropäische Personaldatenübermittlungen in Matrixorganisationen, DuD 2009, 364; Schneider/Härting, Datenschutz in Europa – Plädoyer für einen Neubeginn – Zehn „Navigationsempfehlungen“, damit das EU-Datenschutzrecht internettauglich und effektiv wird, CR 2014, 306; Schröder/Haag, Internationale Anforderungen an Cloud Computing, Zusammenfassung und Bewertung der Best Business-Empfehlungen der Berlin Group, ZD 2012, 362; Schulz/Rosenkranz, Cloud Computing – Bedarfsorientierte Nutzung von IT-Ressourcen, ITRB 2009, 232; Schulz, Cloud-Computing in der öffentlichen Verwaltung, MMR 2010, 75; Seffer, Deutscher Datenschutz und US-Zivilprozessrecht, ITRB 2002, 66; Skibicki, Der PRISM-Skandal und die Folgen – Wendepunkt auf dem Weg in eine Gesellschaft des Verzeihens statt des Vergessens?, PinG 2013, 24; Spies/ Schröder, Auswirkungen der elektronischen Beweiserhebung (eDiscovery) auf deutsche Unternehmen, MMR 2008, 275; Spies, USA: Grenzüberschreitende elektronische Beweiserhebung (Discovery) vs. Datenschutz, MMR 2007, V; Spies, Internationaler Datenschutz: Sedona Conference veröffentlicht ihre „International Principles“ zur Kommentierung, ZD-Aktuell 2012, 02701; Spies, Europa: Wer hat Angst vor dem US-Patriot-Act?, ZD-Aktuell 2012, 03062; Söbbing/Weinbrenner, Die Zulässigkeit der Auslagerung von IT-Dienstleistungen durch Institute in sog. Offshore-Regionen, WM 2006, 165; Starosta, Transatlantische Datenübermittlung zur Terrorismusbekämpfung, DuD 2010, 236; Taraschka, Auslandsübermittlungen personenbezogener Daten im Internet, CR 2004, 280; Vogt, Da-

122

|

von dem Bussche

Übermittlung ins Ausland | § 4b BDSG tenübertragung innerhalb und außerhalb des Konzerns, BB 2014, 245; Voigt, Rechtswidrigkeit von Datenübermittlungen in die USA auf Grund von PRISM?, ZD-Aktuell 2013, 03165; Voigt, Facebook plant Verbesserungen im Umgang mit dem Datenschutz, ZD-Aktuell 2011, 89; Voigt, Internationale Anwendbarkeit des deutschen Datenschutzrechts – Eine Darstellung anhand verschiedener Fallgruppen, ZD 2014, 15; Voigt, Weltweiter Datenzugriff durch US-Behörden – Auswirkungen für deutsche Unternehmen bei der Nutzung von Cloud-Diensten, MMR 2014, 158; Voigt, Und immer wieder Safe Harbor – Besprechung der Entscheidung des Irish High Court 2013 No. 765JR vom 18.6.2014; Voigt/Klein, Deutsches Datenschutzrecht als „blocking statute“? – Auftragsdatenverarbeitung unter dem USA PATRIOT Act, ZD 2013, 16; Wagner/Blaufuß, Datenexport als juristische Herausforderung: Cloud Computing, BB 2012, 1751; Weber/Voigt, Internationale Auftragsdatenverarbeitung, ZD 2011, 74; Weichert, BDSG-Novelle zum Schutz von Internet-Inhaltsdaten, DuD 2009, 7; Wisskirchen, Grenzüberschreitender Transfer von Arbeitnehmerdaten, CR 2004, 862.

I. Einführung § 4b regelt zusammen mit § 4c die grenzüberschreitende Übermittlung per- 1 sonenbezogener Daten von Deutschland an eine Stelle im Ausland (Datenexport). Der umgekehrte Fall des Datenimports ist hingegen nicht erfasst1. § 4b setzt Art. 25 und 26 der EG-Datenschutzrichtlinie2 um und versucht zwei gegenläufige Interessen zu vereinbaren: Einerseits gilt es zu verhindern, dass personenbezogene Daten an ausländische Stellen ohne hinreichendes Datenschutzniveau weitergegeben werden; andererseits soll der grenzüberschreitende Datenverkehr wegen seiner wirtschaftlichen Bedeutung aber auch nicht über das notwendige Maß hinaus beschränkt werden3. Die BDSG-Novellen im Jahr 2009 hat § 4b nicht berührt. Schon länger wird allerdings gerade in Bezug auf die grenzüberschreitende Übermittlung von personenbezogenen Daten ein Neubeginn in Bezug auf den Datenschutz in Europa gefordert4. Im Rahmen der DSGVO sind die allgemeinen Grundsätze in Art. 44 DSGVO 1a geregelt. Diese Regelung ist mit § 4b in Inhalt und Systematik vergleichbar (s. Art. 44 DSGVO). Abs. 1 regelt die Datenübermittlung innerhalb der Europäischen Union und 2 des Europäischen Wirtschaftsraums, mithin innerhalb des Geltungsbereichs 1 BAG v. 25.1.2005 – 9 AZR 620/03, Rz. 31; vgl. auch Hillenbrand-Beck, RDV 2007, 231 (235). 2 Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr v. 24.10.1995, ABl. EG Nr. L 281, S. 31. 3 Vgl. Erwägungsgrund 3 der EG-Datenschutzrichtlinie, welcher die Bedeutung des Datentransfers für die Errichtung das Funktionieren des Binnenmarktes betont; ferner Simitis/Simitis, § 4b BDSG Rz. 2. 4 S. z.B. Schneider/Härting, CR 2014, 306.

von dem Bussche

|

123

§ 4b BDSG | Allgemeine und gemeinsame Bestimmungen der EG-Datenschutzrichtlinie. Derartige Datenübermittlungen werden rein innerstaatlichen Vorgängen gleichgestellt. Abs. 2 und 3 enthalten zusätzliche Voraussetzungen für die Datenübermittlung in Drittländer, d.h. Länder außerhalb der EU oder des EWR. Die Abs. 4–6 normieren weitere spezielle Anforderungen für alle grenzüberschreitenden Datentransfers. Abs. 4 enthält eine besondere Informationspflicht gegenüber dem Betroffenen bei der Übermittlung seiner Daten von einer öffentlichen an eine nicht-öffentliche Stelle. Gemäß Abs. 5 trägt die übermittelnde Stelle die Verantwortung für die Zulässigkeit der Datenübertragung ins Ausland. Sie muss gemäß Abs. 6 die empfangende Stelle auf den Zweck der Datenübermittlung hinweisen. 3 Die Übermittlung personenbezogener Daten ins Ausland ist von großer prakti-

scher Bedeutung, die durch aktuelle Tendenzen in Richtung der vermehrten Nutzung von Outsourcing-Dienstleistungen1 noch steigen wird. So ist die Übermittlung ins Ausland häufig bei der konzerninternen Datenübermittlung von Relevanz2, bspw. wenn von Tochtergesellschaften Personaldaten zur zentralen Datenverarbeitung in einer einheitlichen Datenbank bei der ausländischen Muttergesellschaft gespeichert werden sollen3. Auch beim zunehmend populären Cloud Computing4 werden systembedingt personenbezogene Daten weltweit verteilt gespeichert und bearbeitet. Der Anwender von Cloud Computing Services hat dabei meist noch nicht einmal konkrete Kenntnis darüber, wo sich seine Daten gerade befinden5. Notleidende Kredite werden unter Angabe der persönlichen Daten des Kreditnehmers zur Verwertung ins Ausland verkauft6. Schließlich müssen Unternehmen im Rahmen US-amerikanischer DiscoveryVerfahren häufig personenbezogene Daten an US-Gerichte übermitteln7. Auch bei der Strafverfolgung und Terrorismusbekämpfung kommt dem grenzüber1 Ausführlich: Jandt, DuD 2008, 664. 2 Weber/Voigt, ZD 2011, 74 (74 f.). 3 Hierzu Schmidl, DuD 2009, 364, Hilber, RDV 2005, 143 und Feige, ZD 2015, 116. Das deutsche Datenschutzrecht kennt kein Konzernprivileg, eine Privilegierung des Datenverkehrs innerhalb eines Konzerns findet nicht statt, so dass beim Datentransfer zwischen den Unternehmen eines Konzerns stets auch eine Übermittlung vorliegt, vgl. hierzu m.w.N. Conrad, ITRB 2005, 164 (165); ebenso Söbbing/Weinbrenner, WM 2006, 165 (166), Vogt, BB 2014, 245 (246); LfD Niedersachsen, Datenübermittlung ins Ausland, S. 2, abrufbar unter www.lfd.niedersachsen.de/download/101404/Datenuebermittlung_ ins_Ausland_Stand_27.10.15_.pdf (zuletzt abgerufen Juli 2016). 4 Im Überblick: Schulz/Rosenkranz, ITRB 2009, 232; ferner Schulz, MMR 2010, 75 (78); International Working Group on Data Protection in Telecommunications, Working Paper on Cloud Computing – Privacy and data protection issues (abrufbar unter http://www. datenschutz-berlin.de/attachments/873/Sopot_Memorandum_Cloud_Computing.pdf? 1335513083 – zuletzt besucht: April 2016); s. hierzu auch Schröder/Haag, ZD 2012, 362. 5 Speziell zu den datenschutzrechtlichen Problemen: Pohle/Ammann, CR 2009, 273 (277). 6 Zu den datenschutzrechtlichen Fragen: Beucher/Räther/Stock, AG 2006, 277. 7 S. hierzu Spies, ZD-Aktuell 2012, 02701 sowie ausführlich v. d. Bussche/Voigt/Spies, Konzerndatenschutz, Teil 5 Kapitel 2.

124

|

von dem Bussche

Übermittlung ins Ausland | § 4b BDSG

schreitenden Datenaustausch eine wichtige Rolle zu: Fluggesellschaften müssen bei Flügen in die USA die Daten ihrer Fluggäste an das US-Heimatschutzministerium übermitteln; andere US-Behörden verlangen Zugriff auf Bankverbindungsdaten und sonstige der Gefahrenabwehr dienliche Informationen1. § 4b ist keine eigenständige Rechtsgrundlage für die Datenübermittlung ins 4 Ausland, sondern ergänzt die allgemeinen Anforderungen an die Rechtmäßigkeit einer Datenübermittlung um zusätzliche Voraussetzungen, die speziell dem Auslandsbezug Rechnung tragen. Es ist also grundsätzlich eine zweistufige Prüfung erforderlich2: – Zunächst ist nach den allgemeinen Regeln des BDSG (z.B. § 16 Abs. 1 und §§ 28 ff.) zu prüfen, ob die Datenübermittlung an sich rechtmäßig ist (Primärebene). – Sodann ist zusätzlich zu prüfen, ob gemäß § 4b (und ggf. § 4c) auch die Übermittlung ins Ausland zulässig ist (Sekundärebene). Der Anwendungsbereich der §§ 4b und c unterliegt den allgemeinen Beschrän- 5 kungen des BDSG gemäß § 1 Abs. 2 und 3, insbesondere somit auch der Subsidiaritätsregelung des Abs. 33. Demnach sind bereichsspezifische Regelungen als lex specialis zu §§ 4b und c vorrangig anzuwenden (z.B. § 77 SGB X, § 92 TKG, § 37 StVG)4. § 1 Abs. 5 stellt das kollisionsrechtliche Pendant zu §§ 4b und c dar und regelt so- 6 mit die generelle Anwendbarkeit des BDSG bei der grenzüberschreitenden Verwendung personenbezogener Daten5. Sofern die Anwendbarkeit bejaht wird6, regeln §§ 4b und c i.V.m. einem Erlaubnistatbestand i.S.d. § 4 Abs. 1 anschließend auf der Sekundärebene die materielle Zulässigkeit der Übermittlung (s. Rz. 4)7. Der EuGH hatte sich aus europarechtlicher Perspektive mit der Frage des räum- 6a lichen Anwendungsbereichs der europäischen Datenschutzrichtlinie in der Rechtssache C-131/12 (sog. „Google Spain“-Entscheidung) auseinanderzusetzen. Der EuGH führte aus, dass es sich bei Google Spain um eine spanische Tochtergesellschaft der in den USA ansässigen Google Inc. und somit um eine „Niederlassung“ im Sinne der Richtlinie handelt. Das Argument, die von Google Inc. vorgenommene Verarbeitung personenbezogener Daten werde nicht im Rahmen der Tätigkeiten dieser Niederlassung in Spanien ausgeführt, wies der EuGH mit folgender Begründung zurück: Bei der Verarbeitung personenbezo1 2 3 4 5 6

EuGH, NJW 2006, 2029 (2032) – Fluggastdaten. Bierekoven, ITRB 2009, 39; Lejeune, ITRB 2005, 94; Simitis/Simitis, § 4b BDSG Rz. 39. Vgl. Gola/Schomerus, § 1 BDSG Rz. 23 f. Taeger/Gabel/Gabel, § 4b BDSG Rz. 7. Vgl. Däubler/Klebe/Wedde/Weichert/Däubler, § 4b BDSG Rz. 7; Lejeune, CR 2013, 822. S. im Einzelnen zu verschiedenen Konstellationen Voigt, ZD 2014, 15 sowie Lejeune, CR 2013, 822; Hoeren, RDV 2012, 271 (272 f.). 7 Vgl. Taeger/Gabel/Gabel, § 4b BDSG Rz. 8.

von dem Bussche

|

125

§ 4b BDSG | Allgemeine und gemeinsame Bestimmungen gener Daten zum Betrieb einer Suchmaschine durch ein Unternehmen mit Sitz in einem Drittstaat, das aber in einem Mitgliedstaat eine Niederlassung besitzt, wird die Verarbeitung im Sinne der Richtlinie „im Rahmen der Tätigkeiten“ dieser Niederlassung ausgeführt, wenn diese die Aufgabe hat, in dem betreffenden Mitgliedstaat für die Förderung des Verkaufs der Werbeflächen der Suchmaschine, mit denen deren Dienstleistung rentabel gemacht werden soll, und deren Verkauf selbst zu sorgen (s. hierzu auch Rz. 12a). 7 Erörterungsbedürftig ist das Verhältnis von § 4b zur in § 11 geregelten Auf-

tragsdatenverarbeitung1. Hierbei muss wiederum zwischen der Verarbeitung in einem Mitgliedstaat der EU bzw. des EWR (Abs. 1) sowie der Auftragsdatenverarbeitung in Drittländern (Abs. 2 und 3) differenziert werden. Daher wird auf die dortigen Ausführungen verwiesen (s. Rz. 12, 12a und 16).

II. Datenübermittlung innerhalb des datenschutzrechtlichen Binnenraums (Abs. 1) 1. Anwendungsbereich 8 Der Anwendungsbereich von Abs. 1 ist geographisch und sachlich definiert. Es

gilt zwei Voraussetzungen zu prüfen: Zunächst muss die Datenübermittlung in eines der in Abs. 1 Nr. 1 oder 2 genannten Länder bzw. an eine in Nr. 3 genannte Stelle erfolgen (Rz. 9). Darüber hinaus muss die Datenübermittlung im Rahmen einer Tätigkeit erfolgen, die ganz oder teilweise in den Anwendungsbereich des Rechts der Europäischen Gemeinschaften fällt (Rz. 10).

9 Geographisch erfasst Abs. 1 die Datenübermittlung in alle Mitgliedstaaten der

Europäischen Union (Nr. 1). Erfasst sind auch die Vertragsstaaten des Abkommens über den Europäischen Wirtschaftsraum (Nr. 2), zusätzlich also Island, Norwegen und Liechtenstein. In all diesen Ländern gilt aufgrund der EGDatenschutzrichtlinie ein vergleichbares Schutzniveau, so dass die Datenübermittlung bedenkenlos möglich ist. Gemäß Nr. 3 werden schließlich auch die Stellen der Organe und Einrichtungen der Europäischen Gemeinschaften erfasst, da hier eine spezielle Verordnung zur Datenverarbeitung ebenfalls ein hinreichend hohes Datenschutzniveau garantiert2. Mit dem Inkrafttreten des Vertrags von Lissabon am 1.12.20093 ist die Europäische Gemeinschaft in der Eu-

1 Vgl. zur Auftragsdatenverarbeitung in Drittstaaten Weber/Voigt, ZD 2011, 74. 2 Verordnung 45/2001 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe und Einrichtungen der Gemeinschaft und zum freien Datenverkehr, v. 18.12.2001, ABl. v. 12.1.2002, L8. 3 „Vertrag von Lissabon zur Änderung des Vertrags über die Europäische Union und des Vertrags zur Gründung der Europäischen Gemeinschaft“ v. 13.12.2007, in Kraft getreten am 1.12.2009, ABl. 2007/C 306/01.

126

|

von dem Bussche

Übermittlung ins Ausland | § 4b BDSG

ropäischen Union aufgegangen, so dass Nr. 3 richtigerweise von der „Europäischen Union“ sprechen müsste, was vom deutschen Gesetzgeber aber noch nicht berücksichtigt wurde. Dies hat aber keine Auswirkungen auf die Wirksamkeit von Nr. 3, denn die Europäische Union ist die Rechtsnachfolgerin der Europäischen Gemeinschaft. Außerdem sind keine Anzeichen dafür ersichtlich, dass die Norm statisch ausschließlich auf das Rechtssubjekt „Europäische Gemeinschaft“ verweisen und nicht auch ihre Rechtsnachfolger erfassen wollte. Sachlich muss die Datenübermittlung außerdem im Rahmen einer Tätigkeit er- 10 folgen, die ganz oder teilweise in den Anwendungsbereich „des Rechts der Europäischen Gemeinschaften“ fällt. § 4b geht zurück auf die EG-Datenschutzrichtlinie, welche wiederum den damals gültigen EG-Vertrag sowie das damalige 3-Säulen-Konzept der EU zur Grundlage hatte1. Demnach kann es sich im Rahmen des Abs. 1 auch nur um solche Tätigkeiten handeln, die dem im Zeitpunkt der Verabschiedung der Richtlinie geltenden EG-Vertrag rechtlich unterfielen2. Somit ist lediglich die erste Säule der EU, die wirtschaftliche Zusammenarbeit der Mitgliedstaaten3, nicht aber auch die zweite (Gemeinsame Außen- und Sicherheitspolitik) und dritte Säule (polizeiliche und justizielle Zusammenarbeit in Strafsachen) umfasst. In Fällen, die unter die letzten beiden Säulen fallen, richtet sich die Zulässigkeit der Übermittlung nicht nach Abs. 1 sondern nach Abs. 2 und 3 sowie ggf. nach Sonderregelungen (sogleich Rz. 11). Durch den Vertrag von Lissabon wurde nun auch die polizeiliche und justizielle Zusammenarbeit in Strafsachen weitgehend „vergemeinschaftet“. U.a. hierdurch bedingt wurde das 3-Säulen-Konzept weitgehend aufgelöst4. Dies erweitert aus oben genannten Gründen zwar nicht den Anwendungsbereich des § 4b Abs. 1, wird aber zukünftig womöglich eine Anpassung der von der EG-Datenschutzrichtlinie abgesteckten Anwendungsbereiche mit sich bringen5. Sonderregelungen, die den Anwendungsbereich des Abs. 1 über die sog. „Erste 11 Säule“ (s. Rz. 10) erweitern, bestehen u.a. für Übermittlungen an den EuGH (Art. 21 EuGH-Satzung, § 2 EuGH-Verfahrensordnung) oder den Europäischen Rechnungshof (Art. 287 AEUV, vormals Art. 248 Abs. 3 EGV). Zu erwähnen sind auch die sog. „Terrorlisten“ bzw. die Anti-Terror-Verordnun- 11a gen der EU. Während die VO (EG) 2580/2001 generell der Bekämpfung von Terroristen und terroristischen Vereinigungen dient, richtet sich die VO (EG) 881/2002 speziell gegen Personen und Organisationen, die mit dem Al-QaidaNetzwerk und den Taliban in Verbindung stehen. Beide Verordnungen sollen 1 Gola/Schomerus, § 4b BDSG Rz. 1. 2 Taeger/Gabel/Gabel, § 4b BDSG Rz. 11 m.w.N. 3 Däubler/Klebe/Wedde/Weichert/Däubler, § 4b BDSG Rz. 6; Taeger/Gabel/Gabel, § 4b BDSG Rz. 11. 4 So auch Gola/Klug, NJW 2010, 2483 (2488). 5 So auch Gola/Schomerus, § 4b BDSG Rz. 1.

von dem Bussche

|

127

§ 4b BDSG | Allgemeine und gemeinsame Bestimmungen die Finanzströme des internationalen Terrorismus unterbrechen und austrocknen. 11b Datenschutzrechtlich relevant ist hier insbesondere die Frage des Datenabgleichs.

Die Rechtslage dazu ist derzeitig noch umstritten. Sowohl auf Seiten des Datenschutzrechts als auch auf Seiten des Außenwirtschaftsrechts drohen bei Verstößen erhebliche Sanktionen. Gewichtige Argumente sprechen für eine datenschutzrechtliche Unzulässigkeit der sog. Terror-Screenings anhand der Verordnungen1. Soweit Unternehmen sich infolge der Strafandrohung daher aus Risikomanagementsicht dennoch dazu entscheiden, entsprechende Screenings auf Basis der beiden EU-Verordnungen bei ihren Mitarbeitern durchzuführen, so sollte zumindest darauf geachtet werden, dass diese nicht flächendeckend für alle Beschäftigten, sondern nur beschränkt für die in Sicherheitsbereichen tätigen Personen vorgenommen werden, nach Möglichkeit allenfalls jährlich erfolgen, Beschäftigte und der ggf. vorhandene Betriebsrat hierüber informiert werden sowie der betriebliche Datenschutzbeauftragte involviert wird2. Bezüglich der Errichtung der Antiterrordatei speziell in Deutschland hat das Bundesverfassungsgericht entschieden, dass diese zumindest in ihren Grundzügen mit der Verfassung vereinbar ist, in ihrer Ausgestaltung im Einzelnen jedoch nicht3.

12 Im Bereich der Auftragsdatenverarbeitung nach § 11 ist § 3 Abs. 8 Satz 3 zu be-

achten: Findet die Auftragsdatenverarbeitung in einem Mitgliedstaat der EU bzw. EWR bzw. einer der Stellen der Europäischen Gemeinschaften statt (vgl. § 4b Abs. 1 Nr. 1–3) stellt die empfangende und im Auftrag tätig werdende ausländische Stelle aufgrund der Gleichstellung mit inländischen Auftragnehmern nach § 3 Abs. 8 Satz 3 keinen „Dritten“ i.S.d. BDSG dar4. Der Begriff des „Übermittelns“ in § 4b Abs. 1 setzt aber nach seiner Definition (§ 3 Abs. 4 Nr. 3) gerade die Übertragung von Daten an „Dritte“ voraus, so dass § 4b in diesen Fällen keine Anwendung findet. Die Zulässigkeit der Datenverarbeitung richtet sich dann also allein nach § 11, selbst wenn diese Datenverarbeitung im europäischen Ausland stattfindet5. Demnach unterfällt auch die Nutzung einer EUweiten Cloud zur Auftragsdatenverarbeitung lediglich § 116. Hier besteht aus datenschutzrechtlicher Sicht vor allem die Gefahr, dass der Nutzer in einer komplexen Cloud, in der die Daten ständig in Bewegung sind, die Kontrolle über seine Daten verliert7. Aus diesem Grund fördern sowohl die Bundesregierung

1 S. hierzu ausführlich Simitis/Simitis, § 32 BDSG Rz. 108b; Maschmann, NZA-Beilage 2012, 50. 2 Kirsch, ZD 2012, 519 (522). 3 BVerfG v. 24.4.2013 – 1 BvR 1215/07. 4 Vogt, BB 2014, 245 (246). 5 Taeger/Gabel/Gabel, § 4b BDSG Rz. 13. 6 S. hierzu ausführlich auch Niemann/Paul/Niemann, Kapitel 5 Datenschutz in der Cloud, D. Cloud Provider als Auftragsdatenverarbeiter, Rz. 24 ff. 7 Geis, ZD 2013, 591 (592).

128

|

von dem Bussche

Übermittlung ins Ausland | § 4b BDSG

als auch die Europäische Kommission derzeitig die Entwicklung sog. „Trusted Clouds“1. Bislang ungeklärt ist die Frage, ob für den Begriff des Dritten in § 3 Abs. 8 auf 12a den Sitz des die Daten verarbeitenden Unternehmens oder aber auf den Ort abzustellen ist, wo der Datenverarbeitungsvorgang selbst stattfindet. Relevant wird die Frage bspw. im Falle eines in den USA niedergelassenen Cloud-Anbieters, der die Daten seiner europäischen Cloud-Anwender ausschließlich in Datenzentren innerhalb der EU verarbeitet. Der Düsseldorfer Kreis stellt in seiner Orientierungshilfe Cloud Computing un- 12b ter Verweis auf die Begriffsbestimmung in § 3 Abs. 4 Nr. 3 und Abs. 8 auf den Sitz des Datenverarbeitungsdienstleisters ab2. Überzeugender ist es jedoch, den Ort der tatsächlichen Datenverarbeitung für den Begriff des Dritten als maßgeblich zu erachten. Für eine solche Interpretation spricht schon der Wortlaut des § 3 Abs. 8 Satz 3. Dort ist von „Personen und Stellen“ die Rede, die im Inland […] Daten im Auftrag erheben, verarbeiten oder nutzen“. Die geographischen Angaben im Nebensatz beziehen sich auf die Tätigkeiten der Datenverarbeitung und nicht auf die tätig werdenden Subjekte. Auch Sinn und Zweck der genannten Vorschriften sprechen für dieses Ergebnis. 12c Danach soll der Empfänger nur dann Dritter sein, sobald die Daten den in § 3 Abs. 8 umschriebenen Bereich auch tatsächlich verlassen3. Die Differenzierung bei den beauftragten Personen und Stellen lässt zudem den Willen des Gesetzgebers erkennen, personenbezogene Daten nicht aus dem harmonisierten europäischen Schutzbereich zu entlassen, ohne dass die gesetzlichen Voraussetzungen einer Übermittlung erfüllt sind4. Diese Interpretation dürfte auch mit dem Europarecht in Einklang stehen. Denn 12d Art. 25 der europäischen Dienstleistungsrichtlinie (95/46/EG) spricht von einer „Übermittlung in ein Drittland“. Dieser Wortlaut impliziert, dass es darauf ankommen soll, wo sie dann tatsächlich verarbeitet werden. 2. Gleichstellung mit nationaler Datenverarbeitung Ist der Anwendungsbereich von § 4b Abs. 1 eröffnet, richtet sich die Zulässigkeit 13 der Datenübermittlung nach den allgemeinen Vorschriften des BDSG (Primärebene, s. Rz. 4). Die Datenübermittlung an eine Stelle im europäischen Ausland 1 BlnDSB Jahresbericht 2013 Kapitel 2.2, S. 39; s. zur Zertifizierung als Lösungsoption Kühling/Biendl, CR 2014, 150 (152). 2 Düsseldorfer Kreis, Orientierungshilfe – Cloud Computing (Stand 9.10.2014, abrufbar unter http://www.datenschutz-bayern.de/technik/orient/oh_cloud.pdf – zuletzt besucht: April 2016). 3 Simitis/Dammann, § 3 BDSG Rz. 246. 4 Im Ergebnis so auch BeckOKBDSG, § 3 Rz. 119, wo es heißt, dass jede Person oder Stelle, die außerhalb der datenverarbeitenden Stelle „tätig wird“, Dritter sei.

von dem Bussche

|

129

§ 4b BDSG | Allgemeine und gemeinsame Bestimmungen wird also der Übermittlung im Inland gleichgestellt1. Öffentliche Stellen müssen sich daher insbesondere an §§ 15 Abs. 1 und 16 Abs. 1 halten; für nicht-öffentliche Stellen gelten insbesondere die §§ 28–30a sowie 32. Unabhängig von diesen Vorgaben ist die Übermittlung aber auch beim Vorliegen einer Einwilligung des Betroffenen oder eines sonstigen Erlaubnistatbestandes zulässig, selbst wenn diese nicht ausdrücklich in § 4b Abs. 1 benannt ist2. 14 § 4b Abs. 1 geht als allgemeine Norm spezielleren Übermittlungsvorschriften

nach. Dies ergibt sich aus der Formulierung „[…] nach Maßgabe der für diese Übermittlung geltenden Gesetze und Vereinbarungen“ in § 4b Abs. 1. Solche speziellen Übermittlungsvorschriften sind z.B. das Abkommen zur Übermittlung von Flugdaten zwischen der EU und den USA und das Abkommen zur Übermittlung von Daten über Finanztransaktionen aus dem SWIFT-System (hierzu noch Rz. 34).

III. Datenübermittlung in Drittländer (Abs. 2 und 3) 1. Anwendungsbereich 15 § 4b Abs. 2 und 3 finden in drei Situationen Anwendung: (i) Personenbezogene

Daten werden zwar an Stellen i.S.v. Abs. 1 übermittelt, dies aber nicht im Rahmen einer Tätigkeit, die ganz oder teilweise in den Anwendungsbereich des Rechts der Europäischen Gemeinschaften fällt (s. dazu Rz. 10). (ii) Personenbezogene Daten werden in Länder übermittelt, die nicht in Abs. 1 Nr. 1–3 genannt sind (sog. Drittstaaten). (iii) Eine Übermittlung personenbezogener Daten erfolgt an über- oder zwischenstaatliche Stellen mit Rechtssubjektsqualität; zu diesen Zwecken können jedoch auch bilaterale Sonderabkommen bestehen (vgl. Rz. 14)3. Noch keine „Übermittlung von Daten“ in ein Drittland liegt aber nach zutreffender Ansicht des EuGH vor, wenn personenbezogene Daten lediglich auf einer Webseite veröffentlicht werden, die auf einem Server im Binnenraum der EU gehostet wird, selbst wenn Personen in Drittländern diese Daten abrufen4.

16 In Drittstaaten verarbeitende Auftragnehmer i.S.d. § 11 (Auftragsdatenver-

arbeiter) sind gemäß Wortlaut des § 3 Abs. 8 Satz 3 nicht von der Gleichstel-

1 Roßnagel/Globig, Handbuch Datenschutzrecht, Kap. 4.7 Rz. 125; Rittweger/Weiße, CR 2003, 142; Bierekoven, ITRB 2009, 39 (40). 2 BT-Drucks. 14/4329, S. 34; Duhr/Naujok/Peter/Seiffert, DuD 2002, 5 (15); haben Auftraggeber und Auftragnehmer ihren Sitz im EU-Inland bzw. Gebiet des EWR, während der Unterauftragnehmer die personenbezogenen Daten im Drittland verarbeitet, s. Komm. zu § 4c BDSG Rz. 32. 3 Taeger/Gabel/Gabel, § 4b BDSG Rz. 14. 4 EuGH v. 6.11.2003 – Rs. C-101/01, CR 2004, 286 = MMR 2004, 95 – Bodil Lindqvist, Besprechung von Taraschka, CR 2004, 280; a.A. Weichert, DuD 2009, 7 (8); Däubler/ Klebe/Wedde/Weichert/Klebe, § 4c BDSG Rz. 16a.

130

|

von dem Bussche

Übermittlung ins Ausland | § 4b BDSG

lung zwischen inländischen und EU/EWR-ausländischen Auftragnehmern betroffen. Dementsprechend handelt es sich bei Auftragsdatenverarbeitern in Drittländern stets um „Dritte“ i.S.d. § 3 Abs. 8 Satz 2, so dass mithin eine Übermittlung i.S.v. § 3 Abs. 4 Nr. 3 vorliegt. Konsequenz daraus ist, dass die Privilegierung des § 11 demnach nicht für die Auftragsdatenverarbeitung in Drittstaaten einschlägig ist1. Das Problem dieser fehlenden Privilegierung lässt sich im Hinblick auf die Rechtmäßigkeitsvoraussetzungen der Übermittlung an Auftragsdatenverarbeiter in Drittstaaten an zwei Stellen feststellen2. (i) Die Übermittlung auf der Primärebene unterliegt dem Erlaubnisvorbehalt des § 4 Abs. 1 und muss so jeweils im Einzelfall nach §§ 28–32 gerechtfertigt, bzw. durch eine Einwilligung des Betroffenen gedeckt sein. (ii) Zusätzlich sind auf der Sekundärebene die Zulässigkeitsvoraussetzungen für die Drittlandsübermittlung des § 4b Abs. 2 und 3 zu erfüllen3. Man spricht daher auch von einer „unechten“ Auftragsdatenverarbeitung4. Dass diese rechtliche Behandlung nicht mit den praktischen Bedürfnissen im internationalen Datenverkehr vereinbar ist, liegt auf der Hand. Für die heute üblichen Hosting-, Outsourcing- und Cloud Computing Services durch Auftragsdatenverarbeiter in Drittländern wie den USA oder Indien sind infolgedessen umständliche Vertragskonstruktionen nötig, um eine Auftragsdatenverarbeitung, auch in diesen Ländern rechtlich zulässig zu ermöglichen. Dies führt für die Auftraggeber zu einer erheblichen Einbuße ihrer unternehmerischen Handlungsfreiheit. Um die Voraussetzungen an die Auslandsübermittlung i.S.d. § 4b Abs. 2 und 3 17 zu erfüllen, dient die Verwendung der zum Zweck der Auftragsdatenverarbeitung in Drittstaaten zugeschnittenen Standardvertragsklauseln der EU-Kommission bisweilen als wirksame Lösung auf der Sekundärebene. Dadurch wird es dem Auftraggeber durch entsprechende vertragliche Vereinbarung mit dem Auftragsdatenverarbeiter ermöglicht, ein angemessenes Datenschutzniveau i.S.d. § 4c Abs. 2 für die jeweilige Drittlandsübermittlung ausreichend zu garantieren und sie so zu legitimieren (ausführlich unter Komm. zu § 4c BDSG Rz. 31 ff.). Darüber hinaus ist der Einsatz von Binding Coporate Rules bei konzerninternen Übermittlungen (s. Komm zu § 4c BDSG Rz. 38 ff.) oder künftig nach PrivacyShield-Zertifizierungen bei der Zusammenarbeit mit Auftragsdatenverarbeitern in den USA möglich (s. Rz. 30). Bei einer Übermittlung in Drittländer, für welche die EU-Kommission die Gewährleistung eines angemessenen Schutzniveaus 1 Taeger/Gabel/Gabel, § 11 BDSG Rz. 25; Simitis/Dammann, § 3 BDSG Rz. 246; Spindler/ Schuster, Recht der elektronischen Medien, § 11 BDSG Rz. 17; Gola/Schomerus, § 11 BDSG Rz. 16; Dammann, RDV 2002, 70 (73). 2 So auch Spindler/Schuster, Recht der elektronischen Medien, § 11 BDSG Rz. 17; Gola/ Schomerus, § 11 BDSG Rz. 16; Weber/Voigt, ZD 2011, 74 (75); in Lehre und Praxis allerdings oft verkannt. 3 Vgl. Grützmacher, ITRB 2007, 183 (186); a.A. mit ausführlicher Kritik: Giesen, CR 2007, 543. 4 Scholz/Lutz, CR 2011, 424 (426).

von dem Bussche

|

131

§ 4b BDSG | Allgemeine und gemeinsame Bestimmungen verbindlich festgestellt hat (s. Rz. 29), sind keine weiteren Garantien erforderlich. 18 Deutlich komplizierter und umstrittener gestaltet sich allerdings die Suche nach

einem möglichen Lösungsweg zur Überwindung der Primärebene ohne jeweils im Einzelfall auf eine Rechtfertigung nach §§ 28 ff. bzw. eine Einwilligung des Betroffenen angewiesen zu sein. Denn allein wirtschaftliche Interessen einer verantwortlichen Stelle an einer Auftragsdatenverarbeitung in Drittstaaten, z.B. aus Gründen der Kostenersparnis, sind für eine Rechtfertigung dieser Datennutzung regelmäßig nicht ausreichend. Zur Lösung dieses Problems werden hauptsächlich zwei praxisorientierte Ansätze vertreten. So gehen sowohl einige Stimmen in der Literatur als auch die deutschen Aufsichtsbehörden grundsätzlich davon aus, dass eine Datenübermittlung an einen in einem Drittstaat ansässigen Auftragsdatenverarbeiter zwar grundsätzlich den Voraussetzungen der §§ 28 ff. unterliegt. Die dort vorgesehene Abwägung zwischen den Interessen der verantwortlichen Stelle und denen des Betroffenen kann allerdings in der Regel dann zum Vorteil der verantwortlichen Stelle getroffen werden, wenn über die Vereinbarung der oben genannten Standardvertragsklauseln hinaus die Anforderungen nach § 11 Abs. 2 erfüllt und entsprechend vertraglich abgebildet werden. Dies kann durch Regelungen in den Anlagen zum Standardvertrag und/ oder ergänzende geschäftsbezogene Klauseln oder durch separate vertragliche Regelungen mit dem Auftragsdatenverarbeiter erfolgen1. Die andere Ansicht geht von einer analogen Anwendung des § 3 Abs. 8 Satz 3 auf Auftragsdatenverarbeiter in Drittstaaten aus, sofern die EU-Standardvertragsklauseln verwendet werden. Dies hätte zur Konsequenz, dass der Erlaubnisvorbehalt des § 4 Abs. 1 nicht greift und folglich eine Rechtfertigung nach §§ 28 ff. samt Interessenabwägung nicht erforderlich wäre. Mithin wäre nach dieser Ansicht von einer Privilegierung der Auftragsdatenverarbeitung in Drittländern gemäß §§ 11, 3 Abs. 8 Satz 3 analog auszugehen. Dennoch wird zur Absicherung eine Ergänzung der Standardvertragsklauseln durch die Anforderungen des § 11 Abs. 2 empfohlen2. Im Ergebnis wird eine zur erstgenannten Ansicht identische vertragliche Konstellation zugrunde gelegt. 1 So Arbeitskreise Technik und Medien der Konferenz der Datenschutzbeauftragten des Bundes und der Länder, „Orientierungshilfe – Cloud Computing“, Version 2 v. 9.10.2014, S. 10 ff., abrufbar unter http://www.datenschutz-bayern.de/technik/orient/oh_cloud.pdf (zuletzt besucht: September 2015); Regierungspräsidium Darmstadt, Arbeitsbericht der ad-hoc-Arbeitsgruppe, Konzerninterner Datentransfer“, abrufbar unter https://www.ldi. nrw.de/mainmenu_Datenschutz/submenu_Datenschutzrecht/Inhalt/Personalwesen/Inhalt/ 5_Beschaeftigtendatenschutz_Konzern/arbeitspapier_ad_hoc_idv.pdf, S. 15 (zuletzt besucht: September 2015); so auch Grützmacher, ITRB 2007, 183 (186); Rittweger/Schmidl, DuD 2004, 617 (620); im Ergebnis auch Däubler/Klebe/Wedde/Weichert/Wedde, § 11 BDSG Rz. 20. 2 So Weber/Voigt, ZD 2011, 74 (77 f.); auch von einer Analogie ausgehend Räther, DuD 2005, 461 (465); Nielen/Thum, K&R 2006, 171 (174) (allerdings Analogie zu § 11).

132

|

von dem Bussche

Übermittlung ins Ausland | § 4b BDSG

Unabhängig davon, welche Schlussfolgerungen man aus oben genannter vertragli- 19 cher Konstellation schließen will, ist für die Praxis jedenfalls davon auszugehen, dass eine Auftragsdatenverarbeitung in Drittstaaten zulässig sein dürfte, vorausgesetzt dass die verantwortliche Stelle das Vorhaben entsprechend den oben genannten Voraussetzungen vertraglich absichert. Insofern sollte der Auftraggeber dafür Sorge tragen, dass sowohl die Anforderungen der EU-Standardvertragsklauseln als auch die des § 11 Abs. 2 vertraglich erfüllt sind1. Ersichtlich handelt es sich hierbei um einen juristischen „Workaround“ für diese äußerst praxisrelevante Aufgabenstellung. Das BDSG stellt hierfür bedauerlicherweise keine gesetzliche und vor allem praxistaugliche Vorgehensweise zur Verfügung. Es bleibt folglich ein gewisses Maß an Rechtsunsicherheit. Abhilfe kann hier nur der Gesetzgeber schaffen. 2. Keine Datenübermittlung bei entgegenstehenden schutzwürdigen Interessen Die Zulässigkeit der Datenübermittlung im Anwendungsbereich von Abs. 2 und 20 3 unterscheidet sich zunächst nicht von Abs. 1. Denn es „gilt Abs. 1 entsprechend“, d.h. auch die Datenübermittlung in Drittländer muss sich auf einen allgemeinen Erlaubnistatbestand des BDSG für die Übermittlung stützen können. Dies ist konsequent, denn sonst würden für die Datenübermittlung in Drittstaaten geringere Anforderungen an die Datenübermittlung gelten als für die Übermittlung innerhalb des Geltungsbereiches der EG-Datenschutzrichtlinie. Eventuell existierende Datenübermittlungspflichten im Empfängerland (z.B. Compliance-Anforderungen oder Auskunftspflichten im Rahmen von Pretrial Discovery Verfahren) genügen als Erlaubnistatbestand nicht, können jedoch unter Umständen bei der Anwendung der deutschen Vorschriften Berücksichtigung finden, bspw. im Rahmen einer Interessenabwägung2. Abs. 2 Satz 2 enthält die wichtigste Einschränkung der Datenübermittlung in 21 Drittstaaten: Diese darf nicht erfolgen, wenn und soweit der Betroffene ein schutzwürdiges Interesse am Ausschluss der Übermittlung hat. Als Regelbeispiel wird das fehlende angemessene Datenschutzniveau bei der empfangenden Stelle genannt (s. Rz. 23 f.). Dem Wortlaut nach („insbesondere“) sind auch andere schutzwürdige Interessen des Betroffenen denkbar. Diese werden sich – der Zielrichtung des Datenschutzrechts entsprechend – vor allem aus dem Persönlichkeitsrecht und dem Recht auf informationelle Selbstbestimmung ergeben3. Praktische Relevanz hat jedoch lediglich das ausdrücklich erwähnte Fehlen eines angemessenen Datenschutzniveaus erlangt4. 1 2 3 4

Im Ergebnis auch Weber/Voigt, ZD 2011, 74 (78). Taeger/Gabel/Gabel, § 4b BDSG Rz. 18. Vgl. Roßnagel/Globig, Handbuch Datenschutzrecht, Kap. 4.7 Rz. 116. Die EG-Datenschutzrichtlinie selbst nennt allein das angemessene Datenschutzniveau als Voraussetzung für die Zulässigkeit der Datenübermittlung, erwähnt andere Ausschlussgründe aber nicht, vgl. Art. 25 Abs. 1 und 4.

von dem Bussche

|

133

§ 4b BDSG | Allgemeine und gemeinsame Bestimmungen 22 Abs. 2 Satz 3 regelt die Gegenausnahme zu Satz 2: Eventuell existierende

schutzwürdige Interessen des Betroffenen sind demnach dann unbeachtlich, wenn eine öffentliche Stelle des Bundes die Datenübermittlung zur Erfüllung eigener Aufgaben vornimmt und diese aus bestimmten, eng umrissenen zwingenden Gründen (Verteidigung, Krisenbewältigung oder Konfliktverhinderung bzw. humanitäre Maßnahmen) erforderlich ist. Für öffentliche Stellen ergeben sich jedoch verfassungsrechtliche Grenzen für die Übermittlung von Daten an staatliche Stellen im Ausland, die das Bundesverfassungsgericht in seiner jüngsten Entscheidung zum BKA-Gesetz ausgeführt hat; so müssen die öffentlichen Stellen insbesondere die verfassungsrechtlichen Grundsätze von Zweckänderung und Zweckbindung beachten und sich hinsichtlich der Gewährleistung eines rechtsstaatlichen Mindestschutzniveaus im Empfängerstaat vergewissern.1 a) Fehlendes angemessenes Datenschutzniveau

23 Eine Übermittlung personenbezogener Daten soll insbesondere dann unterblei-

ben, wenn kein angemessenes Datenschutzniveau gewährleistet ist. Vom Wortlaut der Norm ausgehend, ist auf die „Stelle“ als Bezugspunkt abzustellen. Daraus wäre zu folgern, dass das an der empfangenden Stelle herrschende Datenschutzniveau maßgeblich ist und es nicht darauf ankommt, ob das Empfängerland insgesamt ein angemessenes Datenschutzniveau vorweisen kann2. Diese Schlussfolgerung ist allerdings problematisch, denn so würde das BDSG von den Vorgaben der EG-Datenschutzrichtlinie abweichen, weil dessen hier umgesetzter Art. 25 Abs. 2 auf das angemessene Schutzniveau im jeweiligen „Drittland“ abstellt. Insofern wird nach herrschender Meinung sowie etablierter Praxis der Aufsichtsbehörden entgegen dem als „verunglückt“ angesehenen Wortlaut von § 4b Abs. 2 auch auf das Datenschutzniveau des „Drittstaates“ und nicht der „Stelle“ abgestellt. Fraglich bleibt, wie diese Abweichung hergeleitet werden kann.

24 Im Zusammenhang mit der akzessorischen Ausnahmevorschrift des § 4c (ins-

besondere Abs. 2) tritt die Inkohärenz innerhalb der Regelungssystematik der §§ 4b und c im Vergleich zu den durch sie umgesetzten Art. 25 und 26 der EGDatenschutzrichtlinie deutlich zu Tage. Der Systematik der Art. 25, 26 der EGDatenschutzrichtlinie liegt nämlich folgender Gedanke zu Grunde: Sofern ein Drittstaat kein angemessenes Datenschutzniveau gemäß Art. 25 Abs. 1, 2 aufweisen kann, so kann dieses Defizit des Drittlandes überwunden werden, wenn (i) eine Ausnahme i.S.d. Art. 26 Abs. 1 vorliegt oder (ii) der jeweilige Mitgliedstaat die geplante Übermittlung genehmigt, sofern der Datenübermittler ein angemessenes Schutzniveau gemäß Art. 26 Abs. 2 i.d.R. durch entsprechende Verträge garantieren kann3. Somit liegen beiden Normen differente Bezugspunkte 1 BVerfG v. 20.4.2016 – 1 BvR 966/09, Rz. 323 ff. 2 So Taeger/Gabel/Gabel, § 4b BDSG Rz. 21; Räther/Seitz, MMR 2002, 425 (426); Lejeune, ITRB 2005, 94; Conrad, ITRB 2005, 164 (169). 3 S.a. Erwägungsgrund 59 der EG-Datenschutzrichtlinie.

134

|

von dem Bussche

Übermittlung ins Ausland | § 4b BDSG

zugrunde. Art. 25 stellt auf das Schutzniveau im gesamten Drittstaat ab, während sich die Ausnahmevorschrift des Art. 26 Abs. 2 auf das vom Datenübermittler ausreichend garantierte Schutzniveau der konkreten Datenübermittlung bezieht. Diese Unterscheidung geht dem Wortlaut der Umsetzung des deutschen Gesetzgebers verloren, der allein auf ein Defizit im Schutzniveau bei der empfangenden Stelle Bezug nimmt. Bei der Bestimmung des angemessenen Schutzniveaus durch den Datenüber- 25 mittler gemäß § 4b Abs. 3 ergibt sich daraus folgende Problematik: Nach dem Wortlaut des Abs. 3 sind zur Feststellung eines angemessenen Schutzniveaus nämlich alle für eine Datenübermittlung bedeutsamen Umstände zu berücksichtigen (sogleich Rz. 28). Sofern nun im Rahmen der Prüfung des § 4b Abs. 3 das angemessene Schutzniveau bei der empfangenden Stelle und nicht des Drittstaats insgesamt zu evaluieren wäre, müssten konsequenterweise auch sämtliche Umstände, somit auch solche, die das Schutzniveau der konkreten empfangenden Stelle charakterisieren, bereits in die Prüfung nach § 4b Abs. 3 und nicht erst im Rahmen der Ausnahmegenehmigung gemäß § 4c Abs. 2 einfließen1. Der Genehmigungsvorbehalt der Aufsichtsbehörde nach § 4c Abs. 2 wäre somit obsolet und die Datenübermittlung originär nach § 4b Abs. 2, 3 nach eigenem Ermessen des Datenübermittlers zulässig2. Des Weiteren wäre die Privilegierung von öffentlichen Stellen nach § 4c Abs. 2 Satz 3 hinsichtlich der Selbstkontrolle über die Vorlage von „ausreichenden Garantien“ i.S.d. § 4c Abs. 2 Satz 1 gegenstandslos3. Dies entspricht aber weder den Vorgaben der EG-Datenschutzrichtlinie, noch 26 kann davon ausgegangen werden, dass der deutsche Gesetzgeber Entsprechendes beabsichtigt hat. In der Gesetzesbegründung wird folglich auch stets auf das Erfordernis eines angemessenen Datenschutzniveaus im Drittstaat abgestellt4. Insofern muss davon ausgegangen werden, dass der Wortlaut des § 4b Abs. 2 als „unglücklich“ gewählt zu begreifen und nach dem Willen des Gesetzgebers auf das Schutzniveau des Drittlandes insgesamt abzustellen ist. Ebenso ist eine solche Auslegung der Norm, wie oben erörtert, im Hinblick auf ihre Richtlinienkonformität und aufgrund systematischer Gesichtspunkte, insbesondere der gesetzlichen Verteilung der Prüfungskompetenzen, geboten. Schließlich stellte die EU-Kommission in einem Antwortschreiben gegenüber dem Düsseldorfer Kreis fest, dass lediglich rechtliche Regelungen, die die verantwortliche Stelle im Drittland bereits vorfindet, in den Anwendungsbereich des Art. 25 Abs. 1 der EGDatenschutzrichtlinie (mithin § 4b Abs. 2, 3) fallen5. 1 Vgl. ferner Gola/Schomerus, § 4c BDSG Rz. 16; Taeger/Gabel/Gabel, § 4c BDSG Rz. 31. 2 Ausführlich: Rittweger/Weiße, CR 2003, 142 (146 ff.); ferner Backes/Eul/Guthmann/ Martwich/Schmidt, RDV 2004, 156 f. 3 Vgl. Taeger/Gabel/Gabel, § 4c BDSG Rz. 31. 4 BT-Drucks. 14/4329, S. 34, 35. 5 BlnDSB, Jahresbericht 2003, Ziff. 4.7.2, RDV 2004, 135 (136).

von dem Bussche

|

135

§ 4b BDSG | Allgemeine und gemeinsame Bestimmungen 27 Das konkrete datenschutzrechtliche Niveau an der empfangenden Stelle spielt

indes ebenfalls eine Rolle, allerdings erst im Rahmen einer möglichen Genehmigung nach § 4c Abs. 2 (s. dazu Komm. zu § 4c BDSG Rz. 20)1.

28 Die Angemessenheit des Datenschutzniveaus muss gemäß Abs. 3 „unter Be-

rücksichtigung aller Umstände beurteilt [werden], die bei einer Datenübermittlung von Bedeutung sind.“ Das Gesetz selbst nennt nur wenige konkrete Anhaltspunkte. Abzustellen sei zum einen auf die Art der Daten und die Dauer ihrer Übermittlung, zum anderen auf die für den Empfänger geltenden datenschutzrechtlichen gesetzlichen Bestimmungen im Empfängerland. Als angemessen gilt ein Schutzniveau in der Regel dann, wenn der Schutz an der Empfängerstelle den Grundsätzen der EG-Datenschutzrichtlinie im Wesentlichen entspricht – ein identisches Schutzniveau ist aber weder gefordert noch erforderlich2. Der Nachweis über die Angemessenheit des Schutzniveaus obliegt dem Übermittler der personenbezogenen Daten, denn dieser trägt auch die Verantwortung für die Zulässigkeit der Übermittlung (Abs. 5). Im Einzelfall kann die Erbringung dieses Nachweises zeit- und kostenintensiv sowie fehleranfällig sein, denn im Grunde muss die übermittelnde Stelle das gesamte datenschutzrechtliche Regime eines Drittlandes analysieren und mit den hiesigen Standards vergleichen. Dies wird die übermittelnde Stelle regelmäßig überfordern3. Eine gewisse Hilfestellung bieten insofern die Working Papers der sog. Artikel-29Datenschutzgruppe, welche die EU-Kommission in datenschutzrechtlichen Angelegenheiten berät. Die Artikel-29-Datenschutzgruppe hat schon sehr frühzeitig allgemeine Kriterien zur Beurteilung der Angemessenheit des Schutzniveaus von Drittländern veröffentlicht4 und nimmt regelmäßig zur datenschutzrechtlichen Situationen in ausgewählten Staaten Stellung5.

29 Praktisch relevanter sind hingegen die Mitteilungen der EU-Kommission. Denn

diese ist gemäß Art. 25 Abs. 6 der EG-Datenschutzrichtlinie berechtigt verbindlich festzustellen, dass in einem bestimmten Land ein angemessenes Datenschutzniveau gewährleistet ist. Liegt eine solche Feststellung für ein bestimmtes Land vor, kann die Einzelfallbetrachtung entfallen und sich der Datenübermittler hierauf berufen. Stehen auch keine sonstigen schutzwürdigen Interessen des Betroffenen der Datenübermittlung entgegen, ist diese zulässig6. Bisher hat die

1 2 3 4

Vgl. Spindler/Schuster, Recht der elektronischen Medien, § 4c BDSG Rz. 29. Simitis/Simitis, § 4b BDSG Rz. 52, abstellend auf den „harten Kern“ des Datenschutzes. Vgl. Moos, CR 2010, 281; Rittweger/Schmidl, DuD 2004, 617 (618). Artikel-29-Datenschutzgruppe, WP 4: „Erste Leitlinien für die Übermittlung personenbezogener Daten in Drittländer – Mögliche Ansätze für eine Bewertung der Angemessenheit“. 5 Die mit der Datenübermittlung befassten Working Papers der Artikel-29-Datenschutzgruppe sind abrufbar unter http://ec.europa.eu/justice/policies/privacy/workinggroup/ wpdocs/index_en.htm (Stand September 2015). 6 Taeger/Gabel/Gabel, § 4b BDSG Rz. 22.

136

|

von dem Bussche

Übermittlung ins Ausland | § 4b BDSG

EU-Kommission das Datenschutzniveau der folgenden Staaten für angemessen erklärt1: Argentinien, Andorra, Färöer Inseln, Israel, Uruguay, Neuseeland, Guernsey, Isle of Man, Kanada2 (zum Teil), Schweiz und Jersey. Fälschlicherweise wird in diesem Zusammenhang auch Australien erwähnt. Für Australien wurde jedoch lediglich ein Abkommen über die Verarbeitung und den Transfer von Fluggastdatensätzen aus der EU geschlossen3. b) Sonderfall USA: Safe Harbor-Prinzipien und bilaterale Sonderregelungen Für die USA existiert bislang keine Feststellung eines angemessenen Daten- 30 schutzniveaus seitens der EU-Kommission, weil der dortige datenschutzrechtliche Ansatz (lediglich sporadische und sektorale Datenschutzgesetze, Betonung der Selbstregulierung) kein für europäische Verhältnisse angemessenes Schutzniveau garantiert4. Deshalb hatten sich die EU-Kommission und das US-Handelsministerium auf sog. „Safe Harbor Principles“ geeinigt5. Die Implementierung im Unternehmen und die Zertifizierung erfolgten durch das Unternehmen selbst, es handelte sich also um ein Modell der Selbstregulierung, Selbstverpflichtung und Selbstzertifizierung6. Zur Umsetzung konnten die Unternehmen wählen zwischen dem Beitritt zu einem übergreifenden Datenschutzprogramm oder der Implementierung in Form eigener Datenschutzbestimmungen in Form einer „privacy policy“7. Unternehmen, die diese Prinzipien umsetzten, galten als datenschutzrechtlich sicher; ihr Schutzniveau galt demnach als angemessen. Das US-Handelsministerium führt eine im Internet abrufbare Liste aller Unternehmen, die dem Safe Harbor-Abkommen beigetreten sind8. Mit dem Urteil in der Rechtssache Maximilian Schrems ./. Data Protection 31 Commissioner (Az. C-362/14) erklärte der EuGH den Kommissionsbeschluss 1 Aktuelle Liste und individuelle Entscheidungen abrufbar unter http://ec.europa.eu/ justice/data-protection/international-transfers/adequacy/index_en.htm (Stand September 2015). 2 S. hierzu im Detail Neuhöfer, RDV 2013, 83 sowie Gierschmann/Saeugling/Thoma, § 4b BDSG Rz. 26; Entscheidung 2006/253/EG vom 6.9.2006, ABl. L 91/49. 3 Ratsentscheidung v. 30.6.2008, ABl. L 213/47 ff. v. 8.8.2008. 4 Zu den Hintergründen Räther/Seitz, MMR 2002, 425 (427); von Rosen, BB 2009, 230 (232); Starosta, DuD 2010, 236 (238); Blaxell/Grant, RDV 2014, 142; Rehaag/Hoffmann, PinG 2015, 28; aus US-Sicht Ritchie, PinG 2013, 45; zu etwaigen Auswirkungen durch die geplante Freihandelszone zwischen EU und USA s. Lejeune, CR 2013, 822 (826 ff.). 5 Zusammenfassender Überblick über wesentliche Regelungen bei Wisskirchen, CR 2004, 862 (864 f.) und Lejeune, CR 2013, 755. 6 S. zu diesbezüglicher Kritik auch v. d. Bussche/Voigt/Kamp, Konzerndatenschutz, Teil 4 Kapitel 4 Rz. 46 ff. 7 Gierschmann/Saeugling/Thoma, § 4b BDSG Rz. 28. 8 Einsehbar unter: https://safeharbor.export.gov/list.aspx (Stand September 2015).

von dem Bussche

|

137

§ 4b BDSG | Allgemeine und gemeinsame Bestimmungen zu Safe-Harbor (2000/520) nunmehr für ungültig1. Der EuGH legte im Lichte der Grundrechte-Charta einen strengen Prüfungsmaßstab an2 und entwickelte hierfür ein formelles sowie – obiter dictum3 – zwei materielle Kriterien4, die für die Gewährleistung eines angemessenen, also nach dem EuGH im Lichte der Charta der Sache nach gleichwertigen Schutzniveaus5 erfüllt sein müssen. Das Vorliegen der Kriterien müsse die Kommission in regelmäßigen Abständen überprüfen und dabei auch veränderte Umstände berücksichtigen6. In der Folge halten die deutschen Datenschutzbeauftragten solche Datentransfers, deren Rechtfertigung auf den Safe Harbor-Prinzipien beruhen, für unrechtmäßig7. 31a Als tragenden Grund für die Ungültigkeit der Kommissionsentscheidung ent-

wickelt der EuGH eine formale Begründungspflicht der Kommission, die in der Entscheidung anzugeben habe, durch welche Maßnahmen der Drittstaat das angemessene Schutzniveau sicherstelle8. Hierzu gehöre etwa auch die Feststellung über das Vorliegen von Regelungen, welche die Eingriffe in die Grundrechte der Betroffenen durch staatliche Stellen begrenzen9.

31b Materiell sei ein System der Selbstzertifizierung zwar nicht grundsätzlich un-

geeignet, den Anforderungen der Richtlinie Rechnung zu tragen10. Die Zuverlässigkeit eines solchen hänge jedoch vom Bestehen wirksamer Überwachungsund Kontrollmechanismen ab, die es erlauben, Verstöße zu ermitteln und zu ahnden. Die Safe-Harbor-Prinzipien bänden aber nicht die staatlichen Stellen, sondern lediglich die zertifizierten Unternehmen11. 1 Der EuGH ist eigentlich nur zur Frage der Reichweite der Kontrollbefugnisse nationaler Aufsichtsbehörden angerufen worden, vgl. EuGH v. 6.10.2015 – Rs. C-362/14, Rz. 61. Moos/Schefzig, CR 2015, 625 (629) sprechen daher von einer Ausweitung der Entscheidungskompetenz des EuGH. 2 EuGH v. 6.10.2015 – Rs. C-362/14, Rz. 78. 3 Dies ergibt sich aus der Formulierung in EuGH v. 6.10.2015 – Rs. C-362/14, Rz. 97; übereinstimmend Anm. Bergt, MMR 2015, 753 (760). 4 Zum ebenfalls materiellen Kriterium der uneingeschränkten Prüfungsbefugnis der Kontrollstellen s. unten Rz. 31a. 5 EuGH v. 6.10.2015 – Rs. C-362/14, Rz. 73 f. In der englischen Sprachfassung ist davon die Rede, das Niveau müsse „essentially equivalent“ sein. 6 EuGH v. 6.10.2015 – Rs. C-362/14, Rz. 76 f. Eine Überprüfung sei jedenfalls dann geboten, wenn Anhaltspunkte vorliegen, die Zweifel an der Angemessenheit des Schutzniveaus aufkommen lassen. 7 Positionspapier der Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder v. 21.10.2015, S. 1, online abrufbar unter https://www.datenschutz.rlp. de/de/grem_dsbkonferenz/sonstiges/20151021_Positionspapier_DSK_Safe_Harbor.pdf (zuletzt besucht: Februar 2016). 8 EuGH v. 6.10.2015 – Rs. C-362/14, Rz. 83, 96 f. 9 EuGH v. 6.10.2015 – Rs. C-362/14, Rz. 88. 10 EuGH v. 6.10.2015 – Rs. C-362/14, Rz. 81. 11 EuGH v. 6.10.2015 – Rs. C-362/14, Rz. 82.

138

|

von dem Bussche

Übermittlung ins Ausland | § 4b BDSG

Schließlich stellt der EuGH darauf ab, dass die Geltung der Safe-Harbor-Prinzi- 31c pien durch Erfordernisse der nationalen Sicherheit, des öffentlichen Interesses oder der Durchführung von Gesetzen begrenzt werden kann1. Auf das Urteil zur Vorratsdatenspeicherung2 rekurrierend stellt der EuGH fest, das Grundrecht auf Achtung des Privatlebens erfordere eine Beschränkung des staatlichen Zugriffes auf das absolut Notwendige3. Diesem Erfordernis genüge eine Regelung nicht, die generell die Speicherung aller personenbezogenen Daten sämtlicher Personen, deren Daten aus der Europäischen Union in die Vereinigten Staaten übermittelt wurden, gestattet, ohne irgendeine Differenzierung, Einschränkung oder Ausnahme anhand des verfolgten Ziels vorzunehmen und ohne ein objektives Kriterium vorzusehen, das es ermöglicht, den Zugang der Behörden zu den Daten und deren spätere Nutzung auf ganz bestimmte, strikt begrenzte Zwecke zu beschränken4. Den Wesensgehalt des Art. 7 der Charta verletze eine Regelung, die es den Behörden gestatte, generell auf den Inhalt elektronischer Kommunikation zuzugreifen5. Der Wesensgehalt des Art. 47 Abs. 1 sei verletzt, soweit gegen die staatliche Datenspeicherung keine Rechtsbehelfe vorgesehen seien6. Die Europäische Kommission und die Vereinigten Staaten kündigten Anfang 31d Februar 2016 ein neues Rahmenwerk für den Datenaustausch zwischen EU und USA an, das EU-US Privacy Shield7, auch Safe Harbor 2.0 genannt, welches eine Weiterentwicklung des bisherigen Abkommens darstellt, und nunmehr den Anforderungen des EuGH entsprechen soll. Vorgesehen sind strengere Vorgaben für amerikanische Unternehmen beim Umgang mit personenbezogenen Daten sowie eine schärfere Kontrolle durch die amerikanischen Behörden (Federal Trade Commission und Department of Commerce) in Kooperation mit den europäischen Datenschutzbehörden. In Bezug auf staatliche Datenzugriffe, insbesondere durch Geheimdienste, haben die Vereinigten Staaten in den angefügten Erklärungen verschiedene Zusagen hinsichtlich der Geheimdienstkontrolle und des Umfangs von Überwachungsprogrammen abgegeben. Dennoch existieren zahlreiche Ausnahmetatbestände, die eine Abweichung von den Prinzipien des Privacy Shield erlauben. Dazu gehören Gründe der nationalen Sicherheit, des öffentlichen Interesses oder der Strafverfolgung sowie ausdrückliche Ermächtigungen zur Datenverarbeitung in Gesetzen, Rechtsverordnungen oder Gerichtsurteilen. Für Unionsbürger werden zahlreiche, komplexe Rechtsschutzmöglichkeiten in Bezug auf private oder staatliche Verstößen gegen das Privacy 1 2 3 4 5 6 7

EuGH v. 6.10.2015 – Rs. C-362/14, Rz. 84 ff. EuGH v. 8.4.2014 – Rs. C293/12 und C594/12. EuGH v. 6.10.2015 – Rs. C-362/14, Rz. 92. EuGH v. 6.10.2015 – Rs. C-362/14, Rz. 93. EuGH v. 6.10.2015 – Rs. C-362/14, Rz. 94. EuGH v. 6.10.2015 – Rs. C-362/14, Rz. 95. Die Texte sind abrufbar unter http://ec.europa.eu/justice/newsroom/data-protection/ news/160229_en.htm (zuletzt besucht: April 2016).

von dem Bussche

|

139

§ 4b BDSG | Allgemeine und gemeinsame Bestimmungen Shield geschaffen, u.a. eine im Department of State angesiedelte Ombudsperson. Die Wirksamkeit des Privacy Shield soll in einer jährlichen Evaluation durch die Kommission und das Department of Commerce unter Beteiligung der Datenschutzbehörden überprüft werden. 31e In ihrer Stellungnahme kritisierte die Artikel-29-Datenschutzgruppe an dem

Entwurf der Angemessenheitsentscheidung vor allem, dass eine Regelung zur Löschung gemäß ihrer Zweckbestimmung nicht mehr benötigter Daten fehle1, dass es keinen wirksamen Ausschluss der anlasslosen Massenüberwachung durch die USA gebe und dass die Unabhängigkeit und die Kompetenzen der Ombudsperson unklar bleiben2. Eine mögliche Rechtfertigung staatlicher Überwachungsmaßnahmen soll nach Auffassung der Artikel-29-Datenschutzgruppe anhand von vier Kriterien bewertet werden, die sich aus der europäischen Rechtsprechung zu Grund- und Menschenrechten ergeben: Danach müsse erstens die Datenverarbeitung auf klaren, präzisen und zugänglichen Regeln beruhen; zweitens müssen die Erforderlichkeit und Angemessenheit in Bezug auf die verfolgten legitimen Zwecke dargelegt werden; drittens solle ein unabhängiger Aufsichtsmechanismus existieren; viertens müssen Individuen effektive Rechtsbehelfe zur Verfügung stehen3.

Die Kommission wird voraussichtlich im Juni 2016 ihre Angemessenheitsentscheidung treffen. 31f Der EuGH entschied in der Schrems-Entscheidung auch, dass die Angemessen-

heitsentscheidungen der Kommission die zuständigen Datenschutzbehörden nicht daran hindern können, sich mit einer Eingabe i.S.v. Art. 28 Abs. 4 der Richtlinie zu befassen4. Die Kommission könne zudem die durch Art. 8 Abs. 3 der Charta und durch Art. 28 der Richtlinie ausdrücklich zuerkannten Befugnisse weder beseitigen noch beschränken5. Im Rahmen einer Eingabe müssten die Datenschutzbehörden in völliger Unabhängigkeit prüfen können, ob bei der Übermittlung dieser Daten die in der Richtlinie aufgestellten Anforderungen gewahrt werden6. Allerdings sei allein der Gerichtshof befugt, die Ungültigkeit eines Unionsrechtsakts wie einer nach Art. 25 Abs. 6 der Richtlinie 95/46 ergangenen Entscheidung der Kommission festzustellen, wobei die Ausschließlichkeit dieser Zuständigkeit Rechtssicherheit gewährleisten soll, indem sie die einheitliche Anwendung des Unionsrechts sicherstellt7. Halte die Kontrollstelle eine Rüge für unbegründet, müsse dem Betroffenen der Rechtsweg vor den nationa-

1 2 3 4 5 6 7

WP 238 v. 13.4.2016, S. 17. WP 238 v. 13.4.2016, S. 57. WP 238 v. 13.4.2016, S. 11. Vgl. auch vertiefend WP 237 v. 13.4.2016, S. 7 ff. EuGH v. 6.10.2015 – Rs. C-362/14, Rz. 53. EuGH v. 6.10.2015 – Rs. C-362/14, Rz. 53. EuGH v. 6.10.2015 – Rs. C-362/14, Rz. 57. EuGH v. 6.10.2015 – Rs. C-362/14, Rz. 61.

140

|

von dem Bussche

Übermittlung ins Ausland | § 4b BDSG

len Gerichten offenstehen1. Halte die Kontrollstelle eine Rüge dagegen für begründet, müsse ihr selbst nach Art. 28 Abs. 3 Unterabs. 1 dritter Gedankenstrich der RL 95/46/EG im nationalen Recht ein Klagerecht zustehen, das es ihr ermöglicht, die Rügen vor den nationalen Gerichten geltend zu machen, damit diese ggf. eine Vorabentscheidung über deren Gültigkeit ersuchen können2. Die künftige Einführung eines solchen Klagerechts für die deutschen Datenschutzbehörden wird seit April 2016 im Bundesrat erörtert3. Wenngleich die Kommissionsentscheidungen nach Art. 25 Abs. 6 der Richtlinie 31g danach eindeutig nur vom EuGH für ungültig erklärt werden können, ist die Frage, ob nationale Datenschutzbehörden ohne vorherige Anrufung des EuGH einzelne Datentransfers aussetzen dürfen, nicht zweifelsfrei beantwortet. Auf eine entsprechende Ermächtigung deutet der Verweis des Gerichtes auf den 57. Erwägungsgrund der Richtlinie, nach dem Übermittlungen in einen Drittstaat ohne angemessenes Schutzniveau zu untersagen sind4, sowie die Betonung der Auffassung, dass die Kommissionsentscheidungen die Kompetenzen der Aufsichtsbehörden aus Art. 28 nicht beschränken könnten5. Zu den Kompetenzen des Art. 28 Abs. 3 Satz 1 zweiter Spiegelstrich zählt auch das vorläufige oder endgültige Verbot einer Datenverarbeitung. Allerdings betont der EuGH auch die Bindungswirkung europäischer Rechtsakte 32 aus Art. 288 Abs. 4 AEUV für alle mitgliedsstaatlichen Organe sowie die Vermutung der Rechtmäßigkeit von Unionsrechtsakten6. Eine Ausnahme kommt laut der Rechtsprechung in Sachen Kommission ./. Griechenland, von welcher der EuGH erkennbar nicht abweichen wollte7, nur bei Rechtsakten in Betracht, die mit einem Fehler behaftet sind, dessen Schwere so offensichtlich ist, dass er von der Gemeinschaftsordnung nicht geduldet werden kann8. Eine solche Ausnahme kommt angesichts der Komplexität einer Beurteilung der Angemessenheit des Datenschutzniveaus in Drittstaaten nicht in Betracht. Die Mitgliedstaaten könnten demnach keine Rechtsakte erlassen, mit denen verbindlich festgestellt wird, dass das Drittland, auf das sich die Entscheidung bezieht, kein angemessenes Schutzniveau gewährleiste9. Anders als eine bloß behördeninterne Rechtmäßigkeitsprüfung einschließlich einer Klage beim EuGH setzt aber etwa der Erlass von Verwaltungsakten zur Untersagung von Datenverarbeitungen gemäß 1 EuGH v. 6.10.2015 – Rs. C-362/14, Rz. 64. 2 EuGH v. 6.10.2015 – Rs. C-362/14, Rz. 65. 3 BR-Drucks. 171/16. Die Angelegenheit wurde auf der Sitzung des Bundesrates vom 22.4. 2016 zur Erörterung in die zuständigen Ausschüsse verwiesen. 4 EuGH v. 6.10.2015 – Rs. C-362/14, Rz. 49. 5 EuGH v. 6.10.2015 – Rs. C-362/14, Rz. 52. 6 EuGH v. 6.10.2015 – Rs. C-362/14, Rz. 51 f. 7 EuGH v. 6.10.2015 – Rs. C-362/14, Rz. 52 zitiert das Urteil. 8 EuGH v. 5.10.2004 – Rs. C-475/01, Rz. 19. 9 EuGH v. 6.10.2015 – Rs. C-362/14, Rz. 52.

von dem Bussche

|

141

§ 4b BDSG | Allgemeine und gemeinsame Bestimmungen § 38 Abs. 5 Satz 1 und 2 gegenüber den Stellen unzweifelhaft die Feststellung der Rechtswidrigkeit der Kommissionsentscheidung voraus. Hierzu sind die Kontrollstellen gerade nicht befugt1. Weiterhin könnte die vom EuGH mit dem Verwerfungsmonopol bezweckte Rechtssicherheit unterlaufen werden, wenn einzelne nationale Kontrollstellen bis zur langwierigen Entscheidung des EuGH2 Datentransfers auf der Grundlage der Entscheidungen vorübergehend aussetzten. 33 Zu beachten war bereits bisher, dass die Safe Harbor-Prinzipien auf US-ame-

rikanische Gerichte als empfangende Stelle, ungeachtet der Frage, ob sich solche überhaupt zu ihnen bekennen könnten, nur sehr begrenzt anwendbar waren, da Gerichtsverfahren und insbesondere Beweise dort grundsätzlich öffentlich zugänglich sind3. Konsequenz daraus ist, dass hinsichtlich Gerichtsverfahren in den USA kein angemessenes Datenschutzniveau existiert4. Eine Datenübermittlung gestützt auf § 4b Abs. 2 ist somit nicht zulässig. Die Zulässigkeit einer Übermittlung personenbezogener Daten an US-amerikanische Gerichte bzw. auf deren Beschluss, bestimmt sich somit alleinig nach Maßgabe des § 4c (s. dazu Komm. zu § 4c BDSG Rz. 13 f.)5. Relevant wird diese Problematik außerdem, wenn sich deutsche Unternehmen amerikanischen Pretrial Discovery Verfahren ausgesetzt sehen und (auch) zur Herausgabe personenbezogener Daten verpflichtet werden sollen (s. dazu Komm. zu § 4c BDSG Rz. 14)6. Diese Verfahren bezeichnen die im Vorfeld der Hauptverhandlung auf Beschluss des Prozessgerichts stattfindende und prinzipiell grenzenlose Aufklärung des Sachverhalts durch die Anwälte der Parteien7.

34 Weitere speziell die USA betreffende Sonderregelungen8 existieren für zwei Da-

tenübermittlungsverfahren, die im Zuge der verschärften Sicherheitsmaßnahmen nach den Terroranschlägen vom 11.9.2001 von den USA eingefordert wurden: Die Übermittlung von Fluggastdaten („Passenger Name Records“) an das US-Heimatschutzministerium ist von der EU und den USA seit 20079 in einem 1 So im Ergebnis auch Piltz, K&R 2016, 1 (2). 2 Ungeachtet der Dauer nationaler Gerichtsverfahren bis zur Vorlage beträgt die Verfahrensdauer vor dem EuGH durchschnittlich 15 Monate, s. Pressemitteilung des Gerichtshofes der Europäischen Union v. 3.3.2015, online abrufbar unter http://curia.europa.eu/ jcms/upload/docs/application/pdf/2015-03/cp150027de.pdf (zuletzt besucht: Februar 2016). 3 Seffer, ITRB 2002, 66 (67 f.). 4 Vgl. Spies/Schröder, MMR 2008, 275 (279); Brisch/Laue, RDV 2010, 1 (6). 5 Zum Verhältnis von Pretrial Discovery und Datenschutz: Seffer, ITRB 2002, 66. 6 S. hierzu auch Gierschmann/Saeugling/Thomas, § 4c BDSG Rz. 26. 7 Ausführlich Spies, MMR 2007, V ff. 8 S. zur datenschutzrechtlich relevanten Rechtslage in den USA allgemein Lejeune, CR 2013, 755. 9 Zur Vorgeschichte: Räther, DuD 2004, 468; zum ursprünglichen Abkommen, das vom EuGH für unwirksam erklärt wurde (vgl. EuGH, NJW 2006, 2029 – Fluggastdaten): Ehricke/Becker/Walzel, RDV 2006, 149.

142

|

von dem Bussche

Übermittlung ins Ausland | § 4b BDSG

speziellen Abkommen geregelt1, das Deutschland durch Bundesgesetz umgesetzt hat2. Auch die Übermittlung von Daten über Finanztransaktionen beim internationalen Zahlungsverkehr aus dem SWIFT-System ist nunmehr auf ein eigenständiges Abkommen gestützt3. Damit sind zwei besonders sensible Bereiche der transatlantischen Datenübermittlung durch spezielle Abkommen geregelt, die im Verhältnis zu § 4b lex specialis sind4. Hingewiesen sei außerdem auf das „Abkommen über die Vertiefung der Zusammenarbeit bei der Verhinderung und Bekämpfung schwerwiegender Kriminalität“ zwischen Deutschland und den USA, durch das der Datenaustausch zwischen deutschen und US-amerikanischen Polizei- und Strafverfolgungsbehörden geregelt wurde5.

IV. Pflichten und Verantwortung der übermittelnden Stelle (Abs. 4–6) Abs. 4 verpflichtet die übermittelnde öffentliche Stelle dazu, den Betroffenen über 35 die Datenübermittlung zu informieren. Durch den Verweis auf § 16 wird deutlich, dass diese Informationspflicht nur öffentliche Stellen trifft und diese auch nur dann, wenn sie Daten an nicht-öffentliche Stellen übermitteln6. Die Regelung ist vom Wortlaut identisch mit § 16 Abs. 3 und ergänzt die schon in Abs. 1 angeordnete Anwendung von § 16 Abs. 1. Hinsichtlich Umfang und Art der notwendigen Unterrichtung und ihrer Ausnahmen kann daher auf die Kommentierung von § 16 Abs. 3 verwiesen werden (s. Komm. zu § 16 BDSG Rz. 11 ff.). 1 Abkommen zwischen der Europäischen Union und den Vereinigten Staaten von Amerika über die Verarbeitung von Fluggastdatensätzen (Passenger Name Records – PNR) und deren Übermittlung durch die Fluggesellschaften an das United States Department of Homeland Security (DHS) (PNR-Abkommen von 2007), ABl. EG L 204/18 v. 4.8.2007. 2 Gesetz zu dem Abkommen vom 26.7.2007 zwischen der Europäischen Union und den Vereinigten Staaten von Amerika über die Verarbeitung von Fluggastdatensätzen (Passenger Name Records – PNR) und deren Übermittlung durch die Fluggesellschaften an das United States Department of Homeland Security (DHS) (PNR-Abkommen von 2007), PNRAbk2007G, BGBl. 2007 Teil II, S. 1978. 3 Beschluss des Rates v. 13.7.2010 (2010/412/EU) über den Abschluss des Abkommens zwischen der Europäischen Union und den Vereinigten Staaten von Amerika über die Verarbeitung von Zahlungsverkehrsdaten und deren Übermittlung aus der Europäischen Union an die Vereinigten Staaten für die Zwecke des Programms zum Aufspüren der Finanzierung des Terrorismus, ABl. EU Nr. L 195 v. 27.5.2010, S. 3. 4 Vgl. BT-Drucks. 14/4329, S. 34; Simitis/Simitis, § 4b BDSG Rz. 37 und 40; Taeger/Gabel/ Gabel, § 4b BDSG Rz. 12. 5 BGBl. 2009 Teil II, S. 1010; zu den Hintergründen s. die Antwort der Bundesregierung auf die Kleine Anfrage Abgeordneter der FDP-Fraktion, BT-Drucks. 16/8655; ausführlich: Starosta, DuD 2010, 236. 6 Vgl. Däubler/Klebe/Wedde/Weichert/Däubler, § 4b BDSG Rz. 19; Taeger/Gabel/Gabel, § 4b BDSG Rz. 26.

von dem Bussche

|

143

§ 4b BDSG | Allgemeine und gemeinsame Bestimmungen 36 Die Verantwortung für die Zulässigkeit der Übermittlung (nicht aber für ei-

nen evtl. später erfolgenden und nicht vorhersehbaren Missbrauch der Daten durch die empfangende Stelle) liegt beim Datenexporteur (Abs. 5). Dieser muss also die Einhaltung der allgemeinen Zulässigkeitsvoraussetzungen des BDSG und das Vorliegen aller Voraussetzungen des § 4b in eigener Verantwortung prüfen1.

37 Übermittelnde Stelle i.S.v. § 4b Abs. 5 ist diejenige Stelle, welche die personen-

bezogenen Daten ins Ausland übermittelt. Grundsätzlich ist sie identisch mit der verantwortlichen Stelle i.S.d. § 3 Abs. 72. Die übermittelnde Stelle lässt sich dann häufig nur unter erschwerten Bedingungen feststellen, wenn personenbezogene Daten in konzernweiten Datenbanken durch verschiedene Konzernunternehmen eingespeist werden oder innerhalb eines Konzerns zwischen verschiedenen Konzerneinheiten weitergeleitet werden3. In diesem Fall stellt sich die Frage, welche dieser verschiedenen Stellen, bzw. ob sämtliche in Europa bzw. Deutschland ansässige Konzernunternehmen, letztlich als übermittelnde Stelle i.S.v. § 4b anzusehen sind4. Die Klärung dieser Frage ist von erheblicher Relevanz dafür, welche Stellen eines Konzerns für die Einhaltung der Anforderungen der §§ 4b und c zu sorgen haben und dementsprechend die nötigen Verträge (EU-Standardverträge oder Individualverträge) zur Gewährleistung eines angemessenen Schutzniveaus bei Drittlandsübermittlungen abzuschließen haben, sowie welche nationale Aufsichtsbehörde (etwa für ein etwaiges Genehmigungsverfahren nach § 4c Abs. 2 bzw. die Abstimmung verbindlicher Unternehmensregelungen) zuständig ist (s.a. Komm. zu § 4c BDSG Rz. 26)5. Zur Lösung der Frage wird seitens der Aufsichtsbehörden darauf abgestellt, welcher Stelle innerhalb des Konzerns die Entscheidungsbefugnis über den jeweils vorzunehmenden Übermittlungsvorgang obliegt6. Es gilt also zu prüfen, ob jede Stelle für sich selbst über den Datenexport entscheidet oder ob die Entscheidung bei der Konzernmutter oder einer anderen (Haupt-)Niederlassung konzentriert ist. Auch rechtlich unselbständige Niederlassungen können nach Meinung der Aufsichtsbehörden übermittelnde Stelle im Sinne der Norm sein; die nötigen Genehmigungsverfahren sollen allerdings von der jeweiligen Hauptnie-

1 Ausführlich zu Inhalt und Umfang der Prüfungspflicht: Rittweger/Weiße, CR 2003, 142 (143). 2 Schaffland/Wiltfang, § 4b BDSG Rz. 6. 3 Taeger/Gabel/Gabel, § 4b BDSG Rz. 28. 4 Hillenbrand-Beck, RDV 2007, 231 (232). 5 Taeger/Gabel/Gabel, § 4b BDSG Rz. 28; Hillenbrand-Beck, RDV 2007, 231 (232). 6 So Hillenbrand-Beck, RDV 2007, 231 (232); Taeger/Gabel/Gabel, § 4b BDSG Rz. 28; Zwanzigster Bericht der Hessischen Landesregierung über die Tätigkeit der für den Datenschutz im nicht-öffentlichen Bereich in Hessen zuständigen Aufsichtsbehörden, LT-Drucks. 16/7646, S. 18; Positionspapier des Düsseldorfer Kreises v. 19./20.4.2007 zum Internationalen Datenverkehr, Ziff. I.3.

144

|

von dem Bussche

Übermittlung ins Ausland | § 4b BDSG

derlassung bei der für sie zuständigen Aufsichtsbehörde zu initiieren sein1. Sofern nun bspw. eine Übermittlung von einem Konzernunternehmen an die in einem Drittland ansässige Konzernmutter auf deren Anordnung erfolgt, ergibt sich die Besonderheit, dass dieser Vorgang formal keinen „Datenexport“ i.S.d. §§ 4b und c darstellt. Konsequenz aus vorstehenden Überlegungen ist nämlich, dass das anfordernde Konzernunternehmen, an das die Übermittlung erfolgen soll, gleichzeitig auch als datenexportierende Stelle i.S.d. §§ 4b und c anzusehen ist, da dort die diesbezügliche Entscheidungsgewalt liegt2. Aus Konformitätsgründen im Hinblick auf Art. 25, 26 der EG-Datenschutzrichtlinie wird jedoch von den Aufsichtsbehörden vertreten, solche Vorgänge trotzdem den Anforderungen der §§ 4b und c zu unterwerfen3. Umfassend zu dieser Thematik verbleibt zu beachten, dass nicht absehbar ist, inwiefern andere europäische Aufsichtsbehörden der oben aufgezeigten Differenzierung beipflichten werden4. Gemäß Abs. 6 ist die empfangende Stelle auf den Zweck der Datenübermitt- 38 lung hinzuweisen. Diese Regelung soll dazu dienen, die empfangende Stelle zur Einhaltung des Zweckbindungsgrundsatzes anzuhalten. Mehr als das vermag die übermittelnde Stelle aber nicht zu erreichen, da die empfangende Stelle im außereuropäischen Ausland nicht an die Bestimmungen des BDSG gebunden ist. Es besteht wohl auch keine Pflicht des Datenexporteurs, den Empfänger hinsichtlich der Einhaltung des Zweckbindungsgrundsatzes zu überwachen5. Ist für die übermittelnde Stelle aber vor der Datenübermittlung erkennbar, dass die empfangende Stelle die Daten missbrauchen wird, sollte richtigerweise die Übermittlung schon von vornherein unterbleiben.

V. Rechtsfolgen/Sanktionen Besteht kein angemessenes Schutzniveau oder sprechen sonstige schutzwürdige 39 Interessen gegen die Übermittlung der Daten, ist bei einer vorgesehenen Daten1 Zwanzigster Bericht der Hessischen Landesregierung über die Tätigkeit der für den Datenschutz im nicht-öffentlichen Bereich in Hessen zuständigen Aufsichtsbehörden, LTDrucks. 16/7646, S. 17 f.; Positionspapier des Düsseldorfer Kreises v. 19./20.4.2007 zum Internationalen Datenverkehr, Ziff. I.1. und I.2. 2 Vgl. auch Hillenbrand-Beck, RDV 2007, 231 (232). 3 Ausführlich Neunzehnter Bericht der Hessischen Landesregierung über die Tätigkeit der für den Datenschutz im nicht-öffentlichen Bereich in Hessen zuständigen Aufsichtsbehörden, LT-Drucks. 16/5892 Ziff. 11.2; Fünfzehnter Bericht der Hessischen Landesregierung, LT-Drucks. 15/46503 Rz. 5; Hillenbrand-Beck, RDV 2007, 231 (232); Däubler/Klebe/Wedde/Weichert/Däubler, § 4c BDSG Rz. 17a. 4 Taeger/Gabel/Gabel, § 4b BDSG Rz. 28; ausführlich zu diesem Thema: Hillenbrand-Beck, RDV 2007, 231 (232). 5 So Taeger/Gabel/Gabel, § 4b BDSG Rz. 29; a.A. Simitis/Simitis, § 4b BDSG Rz. 29; ferner zur wohl erforderlichen anfänglichen Überprüfung des Datenschutzniveaus speziell bei US-amerikanischen Unternehmen s. schon Rz. 31.

von dem Bussche

|

145

§ 4c BDSG | Allgemeine und gemeinsame Bestimmungen übermittlung ins Ausland zu prüfen, inwiefern eine Ausnahme nach § 4c einschlägig ist (s. dazu Komm. zu § 4c BDSG Rz. 6 ff.). Ist auch dies nicht der Fall, hat die Datenübermittlung zu unterbleiben. Ein Verstoß hiergegen stellt eine Ordnungswidrigkeit dar und ist gemäß § 43 Abs. 2 Nr. 1 bis zu einer Höhe von 300 000 Euro bußgeld- sowie ggf. gemäß § 44 Abs. 1 mit Freiheitsstrafe bis zu 2 Jahren oder Geldstrafe strafbewehrt1. Des Weiteren sind Schadensersatzansprüche etwaiger Betroffener gemäß §§ 7 und 8 denkbar.

§ 4c Ausnahmen (1) 1Im Rahmen von Tätigkeiten, die ganz oder teilweise in den Anwendungsbereich des Rechts der Europäischen Gemeinschaften fallen, ist eine Übermittlung personenbezogener Daten an andere als die in § 4b Abs. 1 genannten Stellen, auch wenn bei ihnen ein angemessenes Datenschutzniveau nicht gewährleistet ist, zulässig, sofern 1. der Betroffene seine Einwilligung gegeben hat, 2. die Übermittlung für die Erfüllung eines Vertrags zwischen dem Betroffenen und der verantwortlichen Stelle oder zur Durchführung von vorvertraglichen Maßnahmen, die auf Veranlassung des Betroffenen getroffen worden sind, erforderlich ist, 3. die Übermittlung zum Abschluss oder zur Erfüllung eines Vertrags erforderlich ist, der im Interesse des Betroffenen von der verantwortlichen Stelle mit einem Dritten geschlossen wurde oder geschlossen werden soll, 4. die Übermittlung für die Wahrung eines wichtigen öffentlichen Interesses oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen vor Gericht erforderlich ist, 5. die Übermittlung für die Wahrung lebenswichtiger Interessen des Betroffenen erforderlich ist oder 6. die Übermittlung aus einem Register erfolgt, das zur Information der Öffentlichkeit bestimmt ist und entweder der gesamten Öffentlichkeit oder allen Personen, die ein berechtigtes Interesse nachweisen können, zur Einsichtnahme offen steht, soweit die gesetzlichen Voraussetzungen im Einzelfall gegeben sind. 2Die Stelle, an die die Daten übermittelt werden, ist darauf hinzuweisen, dass die übermittelten Daten nur zu dem Zweck verarbeitet oder genutzt werden dürfen, zu dessen Erfüllung sie übermittelt werden. 1 Simitis/Simitis, § 4b BDSG Rz. 92.

146

|

von dem Bussche

Ausnahmen | § 4c BDSG

(2) 1Unbeschadet des Absatzes 1 Satz 1 kann die zuständige Aufsichtsbehörde einzelne Übermittlungen oder bestimmte Arten von Übermittlungen personenbezogener Daten an andere als die in § 4b Abs. 1 genannten Stellen genehmigen, wenn die verantwortliche Stelle ausreichende Garantien hinsichtlich des Schutzes des Persönlichkeitsrechts und der Ausübung der damit verbundenen Rechte vorweist; die Garantien können sich insbesondere aus Vertragsklauseln oder verbindlichen Unternehmensregelungen ergeben. 2Bei den Post- und Telekommunikationsunternehmen ist die oder der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit zuständig. 3Sofern die Übermittlung durch öffentliche Stellen erfolgen soll, nehmen diese die Prüfung nach Satz 1 vor. (3) Die Länder teilen dem Bund die nach Absatz 2 Satz 1 ergangenen Entscheidungen mit. I. Allgemeines . . . . . . . . . . . . . . II. Gesetzliche Ausnahmen nach Abs. 1 Nr. 1–6 . . . . . . . . . . . . . 1. Numerus Clausus der Ausnahmetatbestände . . . . . . . . a) Einwilligung des Betroffenen (Nr. 1) . . . . . . . . . . . . . . . . b) Falls zu festgelegten Zwecken erforderlich (Nr. 2–5) . . . . . . c) Daten aus öffentlichen Registern (Nr. 6) . . . . . . . . . 2. Hinweispflicht der übermittelnden Stelle . . . . . . . . . . . . . . . . . III. Einzelfallbezogene behördliche Ausnahmegenehmigung (Abs. 2) 1. Allgemeines . . . . . . . . . . . . . . . 2. Voraussetzungen für Genehmigung . . . . . . . . . . . . . . . . . . . . 3. Verwendung der EU-Standardvertragsklauseln . . . . . . . . . . . . a) Standardvertragsklausel Set I und II . . . . . . . . . . . . . b) Standardvertragsklauseln für Auftragsdatenverarbeitungen

1 4 6 7 8 17 19 20 21 24 27 30

4. Verwendung von Individualvertragsklauseln . . . . . . . . . . . . 5. Multilaterale/insbesondere konzerninterne Datenübermittlung a) Verwendung der Standardvertragsklauseln . . . . . . . . . . b) Verbindliche Unternehmensregelungen/„Binding Corporate Rules“ aa) Allgemeines/Gestaltung von verbindlichen Unternehmensregelungen . . . . bb) Genehmigungerfordernis/ zuständige Aufsichtsbehörde . . . . . . . . . . . . cc) Genehmigungsgegenstand dd) Auftragsdatenverarbeitung außerhalb des Konzerns und Weiterübermittlungen („onward transfers“) . . . ee) „BCR for Processors“ . . . IV. Rechtsfolgen/Sanktionen . . . . .

34

35

38 42 44

47b 47c 48

31

Schrifttum: Siehe die Literaturangaben zu § 4b BDSG; ferner Arbeitskreis „Datenschutz in Recht und Praxis“, Ein Gesetz zum Schutz der Persönlichkeitsrecht im Arbeitsverhältnis (GSPA), DuD 2008, 645; Artikel-29-Arbeitsgruppe, WP 74 „Übermittlung personenbezogener Daten in Drittländer: Anwendung von Artikel 26 Absatz 2 der EU-Datenschutzrichtlinie auf verbindliche unternehmensinterne Vorschriften für den internationalen Datentransfer“, v. 3.6.2003; WP 114 „Ausnahmen vom allgemeinen Verbot von Datentransfers in bestimmte Nicht-EU-Länder“, v. 25.11.2005; WP 107 „Festlegung eines Koopera-

von dem Bussche

|

147

§ 4c BDSG | Allgemeine und gemeinsame Bestimmungen tionsverfahrens zwecks Abgabe gemeinsamer Stellungnahmen zur Angemessenheit der verbindlich festgelegten unternehmensinternen Datenschutzgarantien“, v. 14.4.2005; WP 117 „Whistleblowing“, v. 2.2.2006; WP 153 „Working Document setting up a table with the elements and principles to be found in Binding Corporate Rules“, v. 24.6.2008; WP 154 „Working Document setting up a framework for the structure of Binding Corporate Rules“, v, 24.6.2008; WP 155 „Working Document on Frequently Asked Questions (FAQ) related to Binding Corporate Rules“, v. 24.6.2008; WP 161 „Stellungnahme über den Entwurf einer Entscheidung der Kommission zu Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern nach der Richtlinie 95/46/EG“, v. 5.3.2009; WP 176 „Häufig gestellte Fragen zu bestimmten Aspekten im Zusammenhang mit dem Inkrafttreten des Beschlusses 2010/87/EU der Kommission vom 5.2.2010 über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern nach der Richtlinie 95/46/EG“; WP 195 „Working Document 02/2012 setting up a table with the elements and principles to be found in Processor Binding Corporate Rules“, v. 6.6.2012; WP 195a „Recommendation 1/2012 on the Standard Application form for Approval of Binding Corporate Rules for the Transfer of Personal Data for Processing Activities“, v. 17.9.2012; WP 204 „Explanatory Document on the Processor Binding Corporate Rules“, überarbeitete Version v. 22.5.2015; Beyvers, Stellungnahme der Artikel-29-Datenschutzgruppe zur datenschutzrechtlichen Interessenabwägung, PinG 2015, 60; Büllesbach/Höss-Löw, Vertragslösung, Safe-Harbor oder Privacy Code of Conduct, DuD 2001, 135; Filip, Binding Corporate Rules (BCR) aus der Sicht einer Datenschutzaufsichtsbehörde Praxiserfahrungen mit der europaweiten Anerkennung von BCR, ZD 2013, 51; Grapentin, Datenschutz und Globalisierung – Binding Corporate Rules als Lösung?, CR 2009, 693; Lange, Datentransfer ins Ausland, AuA 2006, 712; Kipker/Voskamp, PRISM und staatliche Schutzpflichten – ein politisches Märchen?, RDV 2014, 84; Lensdorf, Auftragdatenverarbeitung in der EU/EWR und Unterauftragdatenverarbeitung in Drittländern, CR 2010, 735; Moos, Die Entwicklung des Datenschutzrechts im Jahr 2010, K&R 2011, 145; Rath/Klug, E-Discovery in Germany?, K&R 2008, 596; Räther/Seitz, Ausnahmen bei Datentransfer in Drittstaaten – Die beiden Ausnahmen nach § 4c Abs. 2. BDSG: Vertragslösung und Code of Conduct, MMR 2002, 520; Tinnefeld/Rauhofer, Whistleblower: Verantwortungsvolle Mitarbeiter oder Denunzianten?, DuD 2008, 717; Wybitul/Beier, Umsetzung von FATCA in deutschen Unternehmen – Die gemeinsame FATCA-Stellungnahme der USA, Deutschland und anderer EU-Staaten – Auf dem Weg vom „Tax-Act“ zum globalen Compliance Standard?, BB 2012, 1200–1205.

I. Allgemeines 1 § 4c regelt die Ausnahmen, unter denen Daten in ein Drittland übermittelt wer-

den dürfen, selbst wenn dort kein angemessenes Datenschutzniveau i.S.v. § 4b Abs. 2 Satz 2 besteht. Die Datenschutznovelle aus dem Jahr 2009 hat § 4c nicht verändert. Die Norm setzt Art. 26 Abs. 2 der EG-Datenschutzrichtlinie um. Im Gegensatz zu § 4b Abs. 2 findet § 4c allerdings nur Anwendung auf Tätigkeiten, die ganz oder teilweise in den Anwendungsbereich des Rechts der Europäischen Gemeinschaften fallen (s. dazu Komm. zu § 4b BDSG Rz. 10)1. Dabei handelt es 1 Taeger/Gabel/Gabel, § 4c BDSG Rz. 2.

148

|

von dem Bussche

Ausnahmen | § 4c BDSG

sich nur um solche Tätigkeiten die spezifisch in den Anwendungsbereich der EG-Datenschutzrichtlinie fallen1, mithin um solche der „Ersten Säule“ der EU (s. ebenso Komm. zu § 4b BDSG Rz. 11). Obwohl § 4c als Ausnahmeregelung ausgestaltet ist, handelt es sich insbesondere bei Übermittlungen nach § 4c Abs. 1 um im alltäglichen Geschäftsleben regelmäßig stattfindende Übermittlungen2. Abs. 1 enthält sechs gesetzliche Ausnahmen vom Verbot der Datenübermitt- 2 lung ins Ausland. Abs. 2 erlaubt darüber hinaus der zuständigen Aufsichtsbehörde, im Einzelfall bestimmte Datenübermittlungen oder Arten von Datenübermittlungen zu genehmigen, sofern sie von einem ausreichenden Datenschutzniveau bei der empfangenden Stelle überzeugt ist. Abs. 3 verpflichtet die Bundesländer, den Bund über die erteilten Ausnahmegenehmigungen zu informieren. Hintergrund ist die Informationspflicht des Bundes gegenüber der EUKommission gemäß Art. 26 Abs. 3 der EG-Datenschutzrichtlinie. Als Ausnahmeregelung ist § 4c im Zusammenhang mit § 4b zu sehen. Es gilt 3 folgende Prüfungsreihenfolge: Zunächst ist festzustellen, ob die Datenübermittlung nicht schon nach § 4b zulässig ist, denn dann erübrigt sich ein Rückgriff auf § 4c. Ist dies nicht der Fall, muss untersucht werden, ob eine der Ausnahmen aus Abs. 1 oder Abs. 2 einschlägig ist (Sekundärebene, s. Komm. zu § 4b BDSG Rz. 4). Es gibt dabei angesichts des Wortlautes („unbeschadet“) richtigerweise keine Rangfolge zwischen den gesetzlichen Ausnahmetatbeständen in Abs. 1 und der behördlichen Ausnahmegenehmigung nach Abs. 23. Zur Frage von Datentransfers auf Basis von Binding Corporate Rules, Verhal- 3a tensregeln und Zertifizierungen im Rahmen der Datenschutzgrundverordnung vergleiche die Regelung des Art. 46 DSGVO, die zwar keine Genehmigungspflicht für den einzelnen Transfer vorsieht, jedoch eine einmalige Genehmigung der Regelungen durch die zuständigen Aufsichtsbehörden verlangt (vgl. Art. 47 DSGVO).

II. Gesetzliche Ausnahmen nach Abs. 1 Nr. 1–6 Die Ziffern 1–6 enthalten die praktisch relevantesten Fälle, in denen trotz 4 Mängeln im datenschutzrechtlichen Niveau des Empfängerlandes eine Datenübermittlung in ein Drittland ausnahmsweise doch zulässig ist. Als Ausnahmetatbestände sind diese eng auszulegen, eine Analogie auf ähnlich gelagerte Fälle kommt daher regelmäßig nicht in Betracht4. Bei Nr. 1–6 handelt es sich um gesetzlich angeordnete Ausnahmen. Liegen deren Tatbestandsvoraussetzungen vor, ist die Datenübermittlung ins Ausland qua Gesetz erlaubt und bedarf keiner 1 2 3 4

Gola/Schomerus, § 4c BDSG Rz. 1. Simitis/Simitis, § 4c BDSG Rz. 1. Taeger/Gabel/Gabel, § 4c BDSG Rz. 5. Däubler/Klebe/Wedde/Weichert/Däubler, § 4c BDSG Rz. 4.

von dem Bussche

|

149

§ 4c BDSG | Allgemeine und gemeinsame Bestimmungen weiteren behördlichen Genehmigung. Zu beachten ist jedoch, dass wie bei § 4b Abs. 1 (s. Komm. zu § 4b BDSG Rz. 4) weiterhin die nationalen Datenschutzbestimmungen zu beachten sind (insbesondere §§ 4, 4a, 15 Abs. 1, 16 Abs. 1, 28–32). Es ist also immer eine zweistufige Prüfung vorzunehmen: Zunächst ist zu prüfen, ob die Datenübermittlung an Dritte nach den allgemeinen Voraussetzungen zulässig ist (Primärebene). Erst im Anschluss daran ist die Frage zu beantworten, ob auf der Sekundärebene eine Ausnahme nach § 4c einschlägig und damit eine Übermittlung ins außereuropäische Ausland zulässig ist1. 5 Die übermittelnde Stelle spart bei Einschlägigkeit einer Ausnahme nach Abs. 1

einerseits die Kosten und den mitunter erheblichen Zeitaufwand eines behördlichen Genehmigungsverfahrens nach Abs. 22, muss andererseits aber selbst über das Vorliegen aller Ausnahmevoraussetzungen entscheiden. Dies birgt das Risiko von Fehleinschätzungen (Ist die Einwilligung gemäß Nr. 1 wirksam? Ist die Übermittlung gemäß Nr. 3 für die Vertragserfüllung erforderlich? Handelt es sich um ein „lebenswichtiges Interesse“ gemäß Nr. 5?) und kann zu rechtswidrigen Datenübermittlungen führen. Dies stellt ein gewisses Risiko dar, da es bei den Ordnungswidrigkeiten des § 43 und insbesondere bei § 43 Abs. 2 Nr. 1 nicht auf Vorsatz ankommt. 1. Numerus Clausus der Ausnahmetatbestände

6 § 4c Abs. 1 zählt abschließend Ausnahmetatbestände auf bei deren Vorliegen

Drittlandsübermittlungen trotz bestehender Mängel hinsichtlich des datenschutzrechtlichen Niveaus im Empfängerland zulässig sind. Der allen Fallkonstellationen zugrunde liegende Gedanke ist, dass hier das Schutzbedürfnis des Betroffenen vergleichsweise gering sei3.

a) Einwilligung des Betroffenen (Nr. 1) 7 Die Einwilligung muss den Anforderungen des § 4a, bzw. im Bereich der Wer-

bung denen des § 28 Abs. 3a entsprechen (s. dazu Komm. zu § 4a BDSG Rz. 12 ff.)4. Insbesondere muss es sich also um eine zweifels- und zwangsfreie sowie einzelfallbezogene Einwilligung handeln. Generelle Einwilligungen zu Drittlandsübermittlungen genügen diesen Anforderungen nicht5. Im Bereich des Beschäftigtendatenschutzes ist das Merkmal der Freiwilligkeit umstritten, da zwischen Arbeitgeber und Arbeitnehmer ein hierarchisches und monetäres Ab-

1 Weber/Voigt, ZD 2011, 75; Gola/Schomerus, § 4c BDSG Rz. 3. 2 Lejeune, ITRB 2005, 94 (95) weist darauf hin, dass das Genehmigungsverfahren häufig als „zu aufwendig, langwierig und unsicher“ abgelehnt wird. 3 BT-Drucks. 14/4329, S. 45; Taeger/Gabel/Gabel, § 4c BDSG Rz. 1. 4 Beachte auch § 7 Abs. 3 UWG. 5 So auch Gola/Schomerus, § 4c BDSG Rz. 5.

150

|

von dem Bussche

Ausnahmen | § 4c BDSG

hängigkeitsverhältnis besteht1. Grundsätzlich sollte eine freie Willensbildung von Arbeitnehmern nicht ausgeschlossen werden; ihr Vorliegen ist allerdings stets im Einzelfall zu prüfen (näher dazu Komm. zu § 4a BDSG Rz. 23 ff.)2. Von einer Freiwilligkeit ist jedenfalls auszugehen, wenn die Datenübermittlung für den Arbeitnehmer vorteilhaft ist3 oder die betroffene Datenübermittlung im Zusammenhang mit Auslandseinsätzen erfolgt4 (s. speziell zu Mitarbeiterdaten auch Rz. 9). Da der Betroffene in die Datenübermittlung ins Ausland einwilligen soll, muss er dementsprechend auch genau über den Empfänger, die konkret betroffenen Daten, den Verarbeitungsumfang und -zweck, sowie das Zielland, also insbesondere über das dort herrschenden Datenschutzniveau aufgeklärt werden5. Außerdem ist er darüber zu informieren, welchen Gefahren seine personenbezogenen Daten durch das geringere Schutzniveau im Drittland ausgesetzt sein werden6. Da die Betroffenen bei sich wiederholenden oder routinemäßigen Übermittlungen oder bei jeglichen geänderten oder erweiterten Verarbeitungszwecken informiert werden und darin erneut einwilligen bzw. ihre Einwilligung dauerhaft aufrecht erhalten müssen, eignet sich die Datenübermittlung ins Ausland auf Grundlage von Nr. 1 nur für einen überschaubaren Kreis von Betroffenen und insbesondere nicht für Vorhaben, bei denen alle Beschäftigten der verarbeitenden Stelle einheitlich betroffen sind (z.B. bei ITOutsourcing)7. b) Falls zu festgelegten Zwecken erforderlich (Nr. 2–5) Die Ausnahmenfälle des Abs. 1 Nr. 2–5 unterliegen alle dem Grundsatz der Er- 8 forderlichkeit. Demnach muss die Übermittlung der personenbezogenen Daten 1 Gola/Schomerus, § 4c BDSG Rz. 5; Taeger/Gabel/Gabel, § 4c BDSG Rz. 6. Backes/Eul/ Guthmann/Martwich/Schmidt, RDV 2004, 156 (159); Artikel-29-Datenschutzgruppe, WP 114: Ausnahmen vom allgemeinen Verbot von Datentransfers in bestimmte Nicht-EU-Länder, v. 25.11.2005, S. 13. 2 So auch Taeger/Gabel/Gabel, § 4c BDSG Rz. 6; Däubler/Klebe/Wedde/Weichert/Däubler, § 4a BDSG Rz. 23; Gola/Schomerus, § 4c BDSG Rz. 5. 3 Vgl. Taeger/Gabel/Gabel, § 4c BDSG Rz. 6. 4 Simitis/Simitis, § 4c BDSG Rz. 11; Däubler/Klebe/Wedde/Weichert/Däubler, § 4c BDSG Rz. 5. 5 Vgl. Lange, AuA 2006, 712; Taeger/Gabel/Gabel, § 4c BDSG Rz. 6; Simitis/Simitis, § 4c BDSG Rz. 9; Gola/Schomerus, § 4c BDSG Rz. 5; Artikel-29-Datenschutzgruppe, WP 114, S. 14. 6 Backes/Eul/Guthmann/Martwich/Schmidt, RDV 2004, 156 (159); Taeger/Gabel/Gabel, § 4c BDSG Rz. 6; Gola/Schomerus, § 4c BDSG Rz. 5; Simitis/Simitis, § 4c BDSG Rz. 9; Hoeren, RDV 2012, 271 (273). 7 Vgl. Gola/Schomerus, § 4c BDSG Rz. 5; Taeger/Gabel/Gabel, § 4c BDSG Rz. 6; Hoeren, RDV 2012, 271 (273 f.); Artikel-29-Datenschutzgruppe, WP 114 Ausnahmen vom allgemeinen Verbot von Datentransfers in bestimmte Nicht-EU-Länder, v. 25.11.2005, S. 13.

von dem Bussche

|

151

§ 4c BDSG | Allgemeine und gemeinsame Bestimmungen des jeweilig Betroffenen zur Erreichung des in der Norm festgelegten Zwecks notwendig sein1. 9 Nr. 2: Übermittlung zu Zwecken der Vertragserfüllung. Nr. 2 setzt voraus,

dass der Vertrag bzw. etwaig bestehende vorvertragliche Beziehungen einen Auslandsbezug haben. Dieser muss für den Betroffenen auch erkennbar sein – denn nur dann ist sich der Betroffene beim Vertragsschluss der zu erwartenden Datenübermittlung ins Ausland bewusst und es kann davon ausgegangen werden, dass für ihn das Interesse an der Vertragserfüllung von größerer Bedeutung ist als die Einhaltung eines möglichst hohen datenschutzrechtlichen Niveaus2. Voraussetzung für die Anwendung von Nr. 2 ist, wie eingangs erwähnt, dass die Datenübermittlung auch tatsächlich erforderlich ist, also ein direkter und objektiver Bezug zur Vertragserfüllung besteht3. Können die Vertragsziele auch ohne Datenübermittlung ins Ausland erreicht werden, hat diese zu unterbleiben. Es dürfen nur die „erforderlichen“ Daten übertragen werden. Die Datenschutzbehörden legen diesen Begriff grundsätzlich eng aus. Bloße Zweckmäßigkeitserwägungen sind nicht ausreichend4. Nicht zur Vertragserfüllung notwendige Daten sind daher von der Übermittlung ausgeschlossen5. Nach Nr. 2 zulässig ist die Datenübermittlung daher z.B. bei der Ausführung internationaler Überweisungen durch die eigene Bank, die Weitergabe von Daten durch ein Reisebüro an den Reiseveranstalter im Ausland6 oder die Übermittlung der Adressdaten eines Kunden an das im Ausland befindliche Versandunternehmen, insbesondere im eCommerce-Bereich sowie bei Downloadangeboten7. Der den Datenaustausch erforderlich machende Vertrag kann auch ein Arbeitsvertrag sein, etwa wenn der Arbeitnehmer international eingesetzt werden soll8. Regelmäßig nicht von Nr. 2 erfasst ist hingegen die bloße Verlagerung der Datenverarbeitung ins Ausland aus rein wirtschaftlichen Erwägungen, da diese zum Zweck der Vertragserfüllung zumeist nicht notwendig ist9. Ebenfalls kann die umfassende Übermittlung von Mitarbeiterdaten in internationalen Unternehmensgruppen nicht ohne Weiteres auf Nr. 2 gestützt werden (s. zur Einwilligung bei Arbeitnehmerdaten schon Rz. 7), denn das Arbeitsverhältnis besteht in aller Regel mit einer einzelnen – meist inländischen – Gesellschaft und erfordert nicht die Übermittlung aller Mitarbeiterdaten an andere Konzerngesellschaften10. In diesen Fällen sind zumindest solche Übermittlungen gerechtfertigt, die für das rei-

1 2 3 4 5 6 7 8 9 10

Gola/Schomerus, § 4c BDSG Rz. 4; Taeger/Gabel/Zscherpe, § 3a BDSG Rz. 2. Taeger/Gabel/Gabel, § 4c BDSG Rz. 7. Vgl. Simitis/Simitis, § 4c BDSG Rz. 12. Wybitul/Beier, BB 2012, 1200 (1201). Artikel-29-Datenschutzgruppe, WP 114, S. 15; Taeger/Gabel/Gabel, § 4c BDSG Rz. 7. Lange, AuA 2006, 712 (713). Spindler/Schuster, Recht der elektronischen Medien, § 4c BDSG Rz. 10. Lejeune, ITRB 2005, 94 (95 f.). Artikel-29-Datenschutzgruppe, WP 114, S. 15; Gola/Schomerus, § 4c BDSG Rz. 6. Gierschmann/Saeugling/Thoma, § 4c BDSG Rz. 21.

152

|

von dem Bussche

Ausnahmen | § 4c BDSG

bungslose Zusammenarbeiten in der Unternehmensgruppe erforderlich sind, etwa die Aufnahme von Kontaktdaten in Kommunikationsverzeichnisse oder der Eintrag in IT-Systeme zur netzwerkweiten Berechtigungsverwaltung1. Ist nach dem Inhalt des Arbeitsvertrags oder aufgrund des Direktionsrechts des Arbeitsgebers ein Einsatz auch bei anderen Gesellschaften oder Kunden im Ausland zulässig, so legitimiert dies die dafür erforderlichen Übermittlungen, etwa auch die Aufnahme in sog. „Skill-Datenbanken“, die der konzernweit optimierten Besetzung von gemeinsamen Arbeitsgruppen oder Projekten dienen. Weist das Arbeitsverhältnis einen sog. Konzernbezug auf, ist also bereits arbeitsvertraglich angelegt, dass der Arbeitnehmer auf Wunsch des Arbeitgebers auch im Ausland tätig wird, so sind auch die damit im Zusammenhang stehenden Übermittlungen gerechtfertigt2. Nr. 3: Vertrag im Interesse des Betroffenen. Im Unterschied zu Nr. 2 ist der 10 Betroffene im Anwendungsbereich von Nr. 3 nicht selbst Vertragspartner, sondern lediglich Begünstigter eines Vertrages, den die übermittelnde Stelle mit einem Dritten abschließt. Verträge zugunsten Dritter i.S.v. § 328 BGB sind daher der wohl häufigste Anwendungsfall von Nr. 33. Erlaubt ist z.B. die Datenübermittlung durch ein Unternehmen, wenn dieses Mitarbeiterversicherungen bei einer ausländischen Gesellschaft abschließen möchte4. In Betracht kommt auch die Beteiligung Dritter bei internationalen Warenlieferungen (z.B. die Weitergabe von Adressdaten an den Spediteur) und die Beteiligung einer Korrespondenzbank im Zahlungsverkehr5. Außerdem muss das Interesse des Betroffenen sorgfältig ermittelt werden – man wird es bejahen können, wenn die Datenübermittlung einem konkret erkennbaren Interesse des Betroffenen entspricht, etwa bei der Weiterleitung von Überweisungen über Korrespondenzbanken6. Im Übrigen ist Zurückhaltung geboten, da sonst die übermittelnde Stelle durch Behauptung eines nur vermeintlichen oder sehr entfernten Interesses des Dritten den grenzüberschreitenden Datenschutz weitgehend aushöhlen könnte. Allgemeine wirtschaftliche Erwägungen (Kostenersparnis durch Datenverarbeitung im Ausland) werden daher auch für Nr. 3 nicht ausreichen7. Nr. 4: Wichtige öffentliche Interessen, Rechtsverteidigung. Nr. 4 enthält zwei 11 Ausnahmetatbestände: (i) Die Übermittlung kann zur Wahrung eines wichtigen öffentlichen Interesses gerechtfertigt sein. (ii) Sie kann aber auch erlaubt sein, wenn die Datenübertragung zur Rechtsverteidigung vor Gerichten erforderlich ist. 1 Gierschmann/Saeugling/Thoma, § 4c BDSG Rz. 21. 2 Gierschmann/Saeugling/Thoma, § 4c BDSG Rz. 21. 3 Däubler/Klebe/Wedde/Weichert/Däubler, § 4c BDSG Rz. 7; Gierschmann/Saeugling/ Thoma, § 4c BDSG Rz. 22. 4 Gola/Schomerus, § 4c BDSG Rz. 6a. 5 Gierschmann/Saeugling/Thoma, § 4c BDSG Rz. 22. 6 Taeger/Gabel/Gabel, § 4c BDSG Rz. 8. 7 Vgl. z.B. Söbbing/Weinbrenner, WM 2006, 165 (166).

von dem Bussche

|

153

§ 4c BDSG | Allgemeine und gemeinsame Bestimmungen 12 Auf „wichtige öffentliche Interessen“ werden sich meist nur öffentliche Stellen

berufen, etwa beim Datenaustausch in Steuer- und Zollsachen, der Bankenaufsicht oder bei Sozialversicherungsträgern1, aber auch der Zusammenarbeit bei der Beaufsichtigung von Finanzinstituten und der Bekämpfung von Geldwäsche2. Der Gesetzeswortlaut schließt aber nicht aus, dass sich auch eine nichtöffentliche Stelle auf diese Ausnahme beruft. So ist ein Rückgriff aus Compliance-Gesichtspunkten für Unternehmen als möglich zu erachten3. Es muss sich aber auch hier stets um ein Interesse der übermittelnden Stelle selbst – und nicht lediglich um bspw. das Interesse einer Daten anfordernden ausländischen Behörde – handeln, denn anderenfalls könnten ausländische Stellen unilateral die Voraussetzungen dieser Ausnahmebestimmung herbeiführen4.

13 Für nicht-öffentliche Stellen ist die Übermittlung aus Gründen der Rechtsver-

teidigung von größerer praktischer Bedeutung, etwa wenn ein in Deutschland ansässiges Unternehmen in einem Gerichtsverfahren im Ausland personenbezogene Daten zu Verteidigungszwecken nutzen will oder die Herausgabe gerichtlich angeordnet wird. Hier wird das Interesse an der prozessualen Nutzung der Daten höher bewertet als das Datenschutzinteresse des Betroffenen5. Eine Interessenabwägung6 mit den Rechten des Betroffenen ist, anders als in § 28 Abs. 6 Nr. 3, nicht vorgesehen. Allerdings muss die Übermittlung der Daten zur Rechtsverteidigung „erforderlich“ sein7. Dem klaren Wortlaut der Norm nach und im Vergleich zu § 28 Abs. 6 Nr. 3, der die Übermittlung von sensitiven Daten zur Rechtsverteidigung regelt, muss nach § 4c Abs. 1 Nr. 4 die Übermittlung im Zusammenhang mit einem gerichtlichen Verfahren erfolgen und nicht bloß im Zusammenhang mit rechtlichen Ansprüchen, wie das bei der Übermittlung von sensitiven Daten in § 28 Abs. 6 Nr. 3 für ausreichend erachtet wird8. Bei ausländischen Prozessen können Parteien also die hierfür erforderlichen personenbezogenen Daten an ihre eigenen Prozessvertreter, aber auch an sämtliche andere an dem Verfahren beteiligte Personen übermitteln9. 1 Gola/Schomerus, § 4c BDSG Rz. 7; Däubler/Klebe/Wedde/Weichert/Däubler, § 4c BDSG Rz. 8; Gierschmann/Saeugling/Thoma, § 4c BDSG Rz. 24. 2 Gierschmann/Saeugling/Thoma, § 4c BDSG Rz. 24 m.w.N. 3 So auch Taeger/Gabel/Gabel, § 4c BDSG Rz. 10; a.A. Däubler/Klebe/Wedde/Weichert/ Däubler, § 4c BDSG Rz. 8. 4 Taeger/Gabel/Gabel, § 4c BDSG Rz. 10; Artikel-29-Datenschutzgruppe, WP 114, S. 17. 5 Gola/Schomerus, § 4c BDSG Rz. 7a; Däubler/Klebe/Wedde/Weichert/Däubler, § 4c BDSG Rz. 8; Gierschmann/Saeugling/Thoma, § 4c BDSG Rz. 25. 6 S. zur Interessenabwägung im Rahmen des BDSG grundlegend Beyvers, PinG 2014, 60. 7 Brisch/Laue, RDV 2010, 1 (7). 8 Simitis/Simitis, § 4c BDSG Rz. 21 und § 28 BDSG Rz. 325 ff.; der deutsche Gesetzgeber hat bei der Umsetzung der EG-Datenschutzrichtlinie im Rahmen des § 28 Abs. 6 Nr. 3, im Gegensatz zu § 4c Abs. 1 Nr. 4, auf diese Einschränkung verzichtet, obwohl dies sowohl in Art. 8 Abs. 2 Buchst. e) als auch Art. 26 Abs. 1 Buchst. d) der Richtlinie formuliert ist. 9 Spies/Schröder, MMR 2008, 275 (279); Brisch/Laue, RDV 2010, 1 (7).

154

|

von dem Bussche

Ausnahmen | § 4c BDSG

Von praktischer Relevanz ist in diesem Zusammenhang, wenn sich deutsche 14 Unternehmen amerikanischen Pretrial Discovery Verfahren ausgesetzt sehen und zur Herausgabe personenbezogener Daten verpflichtet werden sollen1. So bezeichnet wird das im Vorfeld der Hauptverhandlung auf Beschluss des Prozessgerichts stattfindende und prinzipiell grenzenlose Beweismittelverfahren, durch welches die Aufklärung des Sachverhalts mittels Prozessvertreter der Parteien ermöglicht werden soll2. Von datenschutzrechtlicher Relevanz ist dabei insbesondere, dass die jeweilige Partei sämtliche Dokumente und Informationen (sog. eDiscovery bei elektronisch gespeicherten Daten), die für die Rechtsverfolgung von Bedeutung sein können, von der Gegenseite herausverlangen kann3. Konflikte im Spannungsverhältnis zwischen dieser Herausgabepflicht und der Einhaltung datenschutzrechtlicher Vorschriften liegen auf der Hand. Da die USA als Land mit nicht angemessenem Datenschutzniveau gelten (s. dazu Komm. zu § 4b BDSG Rz. 30), erfolgt die Übermittlung der Daten grundsätzlich nach Maßgabe des § 4c4. Problematisch ist dabei, dass die in § 4c Abs. 1 Satz 2 vorgesehene Zweckbindung der Daten bei der Übermittlung an US-amerikanische Gerichte nicht vollständig eingehalten werden kann, weil dort Gerichtsakten grundsätzlich als öffentlich zugängliche Quellen gelten und die übermittelten Daten somit für weitere Zwecke als die bei der Übermittlung ursprünglich intendierte Bestimmung verwendet werden können5. Die Aufsichtsbehörden sehen Pretrial Discovery Verfahren nicht als gerichtliche Verfahren, was jedoch nicht zu überzeugen vermag, denn ein Gerichtsstreit beginnt nicht erst mit der Klageeinreichung, sondern umfasst in aller Regel vorgeschaltete Schritte und notwendigerweise vorgeschaltete Verfahren, die auszunehmen den Rechtshilfeanspruch der Parteien unsachgemäß beschneiden würde6. Für die Praxis wird hier ein abgestuftes Vorgehen empfohlen: Zunächst sollten die Informationen in pseudonymisierter Form übermittelt werden; ähnlich wie bei Due Diligence Prüfungen im Rahmen von Unternehmenstransaktionen7. Ist die offene Übermittlung personenbezogener Daten notwendig, sollte sich das Unternehmen um die Einwilligung der Betroffenen bemühen (problematisch wenn es sich um Ar1 Ausführliche Erläuterung des Konflikts zwischen deutschem Datenschutzrecht und USamerikanischen Discovery Regeln sowie Vorschläge für dessen Lösung bei Spies/Schröder, MMR 2008, 275 (276 ff.). Das Haager Übereinkommen über die Beweisaufnahme im Ausland in Zivil- oder Handelssachen kommt nicht als Übermittlungsgrundlage in Betracht, da Deutschland gemäß Art. 23 den Vorbehalt erklärt hat, keine Rechtshilfeersuchen zu Pretrial Discovery Verfahren zu erledigen. Hierzu Brisch/Laue, RDV 2010, 1 (6) sowie Rath/Klug, K&R 2008, 596 (597). 2 Ausführlich Spies, MMR 2007, V ff.; Brisch/Laue, RDV 2010, 1 ff. 3 Spies/Schröder, MMR 2008, 275 (276); Gierschmann/Saeugling/Thoma, § 4c BDSG Rz. 27. 4 Vgl. Seffer, ITRB 2002, 66 (67). 5 Spies/Schröder, MMR 2008, 275 (279). 6 Vgl. Gierschmann/Saeugling/Thoma, § 4c BDSG Rz. 26. 7 Vgl. Simitis/Simitis, § 32 BDSG Rz. 123.

von dem Bussche

|

155

§ 4c BDSG | Allgemeine und gemeinsame Bestimmungen beitnehmerdaten handelt, s. Rz. 7), im Übrigen aber durch eine sorgfältige Abwägung aller Umstände des Einzelfalles die Übermittlung auf das notwendige Maß beschränken1. In Einzelfällen kann das BDSG somit als Verteidigung gegen die Offenlegung personenbezogener Daten im Discovery Verfahren eingesetzt werden. Das gesamte europäische Datenschutzrecht darf nicht durch ausländisches Recht ausgehöhlt werden2. Eine jüngere Entscheidung des US District Court of Utah macht jedoch deutlich, dass es für deutsche Unternehmen nicht genügt, sich pauschal auf das „Entgegenstehen des BDSG“ an sich zu berufen3. 14a Zudem wird seitens der Aufsichtsbehörden in der Regel verlangt, dass bilateral

oder multilateral vereinbarte Rechtshilfewege eingehalten werden, insbesondere das Haager Übereinkommen über die Beweisaufnahme im Ausland in Zivilund Handelssachen vom 18.3.1970. Problematisch ist hierbei, dass Deutschland eine Erklärung zu Art. 23 abgegeben hat, Pretrial Discovery-Ersuchen nicht erledigen zu wollen. Ein prinzipieller Vorrang der Beschreitung des Rechtshilfeweges dürfte sich allerdings nur schwer begründen lassen, denn die Umsetzung völkerrechtlicher Vereinbarungen erfolgt durch Bundesgesetze, so dass die Rechtshilfevereinbarungen nicht per se einen Anwendungsvorrang gegenüber – v.a. zeitlich nachrangigen – nationalen Normen beanspruchen. Einzelne Erfahrungen zeigen auch, dass bei der Beschreitung des Rechtshilfeweges tendenziell relativ weit gefasste Ersuchen gestellt werden, um ein erneutes Ersuchen zu vermeiden, so dass es auch bei der Rechtshilfe zur Übermittlung vergleichsweise großer Datenmengen kommen kann; der Schutz personenbezogener Daten wird dabei oft nicht im Vordergrund stehen4.

15 Bei der Übermittlung an die eigenen oder gegnerischen Anwälte sowie Dritte

können auch die entsprechenden EU-Standardverträge mit der jeweiligen empfangenden Stelle geschlossen und so ein angemessener Datenschutz für diese Übermittlungen i.S.d. § 4c Abs. 2 ausreichend garantiert werden (s. Rz. 27)5.

16 Nr. 5: Lebenswichtige Interessen. Gemeint sind vorrangig Situationen, in de-

nen eine konkrete Lebensgefahr für den Betroffenen besteht. Zu deren Abwehr

1 Taeger/Gabel/Gabel, § 4c BDSG Rz. 11; so auch Brisch/Laue, RDV 2010, 1 (7): Beschränkung auf das, was im Sinne der Vorschrift „erforderlich“ sei und vorhergehende Filterung der Daten. 2 Zur Zulässigkeit von Whistleblowing-Hotlines: Artikel-29-Datenschutzgruppe, WP 117 „Stellungnahme 1/2006 zur Anwendung der EU-Datenschutzvorschriften auf interne Verfahren zur Meldung mutmaßlicher Missstände in den Bereichen Rechnungslegung, interne Rechnungslegungskontrollen, Fragen der Wirtschaftsprüfung, Bekämpfung von Korruption“, S. 8. 3 US District Court of Utah, Urt. v. 21.1.2010, abgedruckt in MMR 2010, 275; zu weiteren Urteilen betreffend dieses Konfliktfeldes und der Frage, ob das BDSG ein sog. „blocking statute“ ist s. Spies/Schröder, MMR 2008, 275; Rath/Klug, K&R 2008, 596 (599 f.) und Spies, ZD-Aktuell 2012, 02701. 4 Gierschmann/Saeugling/Thoma, § 4c BDSG Rz. 28. 5 Spies/Schröder, MMR 2008, 275 (279).

156

|

von dem Bussche

Ausnahmen | § 4c BDSG

können die – meist medizinischen – personenbezogenen Daten des Betroffenen übermittelt werden. Als ungeschriebene Tatbestandsvoraussetzung wird verlangt, dass sich der Betroffene in einem Zustand befindet, in dem er selbst nicht mehr in die Datenübermittlung einwilligen kann (Nr. 1)1. Die Wahrung der Privatautonomie gebietet daher die Einholung der Einwilligung, wenn der Betroffene erreichbar ist, so dass dann ein Rückgriff auf Nr. 5 ausgeschlossen ist2. c) Daten aus öffentlichen Registern (Nr. 6) Für personenbezogene Daten, die schon in öffentlich zugänglichen Registern 17 eingetragen sind, besteht nur noch ein geringes Schutzinteresse – sie sind daher auch frei in andere Länder übermittelbar3. Es ist nicht erforderlich, dass das Register von einer Behörde geführt wird, wie z.B. das Gewerbezentralregister. Erfasst sind vielmehr auch Branchenbücher, Schuldnerlisten und ähnliche Publikationen4. Nicht notwendig ist, dass das Register von jedermann uneingeschränkt eingesehen werden kann. Stellt das fragliche Register besondere Zugangshürden auf (etwa ein „rechtliches Interesse“ beim Grundbuch), muss die empfangende Stelle diese Einsichtsvoraussetzungen jedoch auch erfüllen5. Zulässig ist damit z.B. die Übersendung eines Grundbuchauszuges an den im Ausland wohnenden Miterben6. Nach den Grundsätzen der Datenvermeidung und -sparsamkeit gemäß § 3a ist Nr. 6 einschränkend dahingehend auszulegen, dass nicht die Übermittlung des gesamten Registers erfasst ist, sondern nur die für einen bestimmten Zweck benötigten Datensätze gemeint sind7. Fraglich ist, ob der Anwendungsbereich der Norm auf sämtliche allgemein zu- 18 gänglichen Daten zu erweitern ist, so wie es § 28 Abs. 1 Satz 1 Nr. 3 Alt. 1 vorsieht. Dort ist geregelt, dass sämtliche personenbezogenen und allgemein zugänglichen Daten verarbeitet werden können, sofern das schutzwürdige Interesse des Betroffenen nicht offensichtlich überwiegt. Im Falle einer entsprechenden Erweiterung des Regelungsbereichs des § 4c Abs. 1 Nr. 6 wäre die Konsequenz, dass auch sämtliche Daten, die Nutzern z.B. auf Social-NetworkingPlattformen allgemein zugänglich sind, ebenfalls in Drittländer ohne angemessenes Datenschutzniveau übermittelt werden könnten8. Zumindest hinsichtlich 1 Taeger/Gabel/Gabel, § 4c BDSG Rz. 10. 2 Gierschmann/Saeugling/Thoma, § 4c BDSG Rz. 29 m.w.N. 3 Simitis/Simitis, § 4c BDSG Rz. 23; Däubler/Klebe/Wedde/Weichert/Däubler, § 4c BDSG Rz. 10. 4 Gola/Schomerus, § 4c BDSG Rz. 8; Taeger/Gabel/Gabel, § 4c BDSG Rz. 12. 5 Erwägungsgrund 58 der EG-Datenschutzrichtlinie; Däubler/Klebe/Wedde/Weichert/ Däubler, § 4c BDSG Rz. 10; Simitis/Simitis, BDSG, § 4c Rz. 23. 6 Beispiel bei Däubler/Klebe/Wedde/Weichert/Däubler, § 4c BDSG Rz. 10. 7 Erwägungsgrund 58 der EG-Datenschutzrichtlinie; Taeger/Gabel/Gabel, § 4c BDSG Rz. 13; Gola/Schomerus, § 4c BDSG Rz. 8. 8 Vgl. Taeger/Gabel/Taeger, § 28 BDSG Rz. 83.

von dem Bussche

|

157

§ 4c BDSG | Allgemeine und gemeinsame Bestimmungen solcher personenbezogenen Daten, die willentlich vom Betroffenen selbst im Internet für alle Nutzer zugänglich veröffentlicht worden sind, wäre ein schutzbedürftiges Interesse wohl zu verneinen; schließlich sind die jeweiligen Daten für die empfangende Stelle ebenfalls frei zugänglich. Gleiches gilt für Daten, die erst nach einer Anmeldung im sozialen Netzwerk abrufbar sind. Die Tatsache, dass eine Registrierung erforderlich ist, ändert grundsätzlich nichts an deren Öffentlichkeit1. Es ist nicht ersichtlich, warum ausländischen Stellen Informationen vorenthalten werden sollten, die im Inland frei einsehbar sind2. Da neben der Zulässigkeit der Auslandsübermittlung nach § 4c Abs. 1 Nr. 6 (Sekundärebene) auch der Rechtfertigungstatbestand des § 28 Abs. 1 Satz 1 Nr. 3 Alt. 1 (Primärebene) erfüllt sein muss, um sämtliche Anforderungen an die Rechtmäßigkeit des jeweiligen Datenübermittlungsvorgang zu erfüllen (s. dazu Komm. zu § 4b BDSG Rz. 4), sind die Belange des Betroffenen durch die auf der Primärebene verankerte Interessenabwägung hinreichend vor Missbrauch geschützt. Dies spricht insgesamt für eine Erweiterung des Anwendungsbereich des § 4c Abs. 1 Nr. 6 auf allgemein zugängliche Quellen i.S.d. § 28 Abs. 1 Satz 1. Nr. 3 Alt. 1. 2. Hinweispflicht der übermittelnden Stelle 19 Der Datenübermittler muss die empfangende Stelle überdies in allen Fällen auf die

Verpflichtung hinweisen, die jeweiligen Daten nur für den im Vorfeld festgelegten Zweck zu verwenden, Abs. 1 Satz 23. Das Gesetz beschränkt sich auf eine bloße Hinweispflicht, da der praktischen Durchsetzung faktische Grenzen gesetzt sind4.

III. Einzelfallbezogene behördliche Ausnahmegenehmigung (Abs. 2) 20 Greift keine der in Abs. 1 genannten Ausnahmen, kann die zuständige Auf-

sichtsbehörde für einzelne Übermittlungen personenbezogener Daten eine Genehmigung erteilen, sofern die übermittelnde Stelle „ausreichende Garantien hinsichtlich des Schutzes des Persönlichkeitsrechts und der Ausübung der damit verbundenen Rechte vorweist.“ Das Minus im Datenschutzniveau des Empfängerlandes kann somit durch ein Plus an eigenen Sicherheitsmaßnahmen der übermittelnden Stelle überwunden werden. Als Quelle entsprechender Garantien werden ausdrücklich Vertragsklauseln und verbindliche Unternehmens1 Vgl. Taeger/Gabel/Taeger, § 28 BDSG Rz. 83; Däubler/Klebe/Wedde/Weichert/Wedde, § 28 BDSG Rz. 58; etwas anderes ist allerdings dann denkbar, wenn die Registrierung für das Netzwerk nur über eine Einladung erfolgt, welche persönlich erteilt wird. 2 Vgl. Dammann/Simitis, EG-Datenschutzrichtlinie, Art. 26 Rz. 11; Taeger/Gabel/Gabel, § 4c BDSG Rz. 13. 3 Simitis/Simitis, § 4c BDSG Rz. 25. 4 Vgl. Taeger/Gabel/Gabel, § 4c BDSG Rz. 14.

158

|

von dem Bussche

Ausnahmen | § 4c BDSG

regelungen genannt. Prüfungsmaßstab der Aufsichtsbehörde ist die Verpflichtung der Parteien auf die Einhaltung der EU-Datenschutzregelungen und des BDSG sowie das Ergreifen ausreichender Maßnahmen hierzu1. 1. Allgemeines Im nicht-öffentlichen Bereich ist für die Erteilung der Ausnahmegenehmigung 21 die gemäß § 38 zu bestimmende Aufsichtsbehörde zuständig2. Bei Post- und Telekommunikationsunternehmen übernimmt diese Aufgabe die oder der Bundesbeauftragte für den Datenschutz (Abs. 2 Satz 2). Für den öffentlichen Bereich gibt es keine entsprechende Instanz, hier ist gemäß Abs. 2 Satz 3 die übermittelnde öffentliche Stelle selbst für die Überprüfung der Voraussetzungen von Abs. 2 verantwortlich3. Die Genehmigung ist ein – aufgrund der Möglichkeit des Widerspruchs der EU- 22 Kommission oder eines anderen EU-Mitgliedstaats regelmäßig nur unter Widerrufsvorbehalt erteilter4 – Verwaltungsakt (wohl auch mit Drittwirkung zu Lasten der von der Datenübermittlung Betroffenen), ihre Verweigerung kann also durch Widerspruch und Verpflichtungsklage, ihre Erteilung durch Widerspruch und Anfechtungsklage angegriffen werden5. Die Erteilung der Genehmigung steht im Ermessen der Behörde, wobei bei Vorliegen aller Voraussetzungen eine Ermessensreduzierung auf Null in Betracht kommt6. Die Genehmigung wird nicht pauschal, sondern jeweils nur für einzelne konkrete Übermittlungen oder bestimmte Arten von Übermittlungen (z.B. Kundendaten, Daten zum Versand, Arbeitnehmerdaten) erteilt7. So können regelmäßig und vielfach wiederkehrende Datenübermittlungen im Rahmen eines Genehmigungsverfahrens kategorisierend nach Art der Daten zusammengefasst werden8. Abs. 3 statuiert die Pflicht der Länder, den Bund über die ergangenen Entschei- 23 dungen der Aufsichtsbehörden im Rahmen des § 4c Abs. 2 in Kenntnis zu setzen9. 1 LfD Niedersachsen, Datenübermittlung ins Ausland, S. 4 abrufbar unter www.lfd.nieder sachsen.de/download/101404/Datenuebermittlung_ins_Ausland_Stand_27.10.15_.pdf (zuletzt abgerufen Juli 2016). 2 Däubler/Klebe/Wedde/Weichert/Däubler, § 4c BDSG Rz. 13. 3 Kritisch zu dieser Form der Selbstkontrolle Simitis/Simitis, § 4c BDSG Rz. 39. 4 Taeger/Gabel/Gabel, § 4c BDSG Rz. 19. 5 Däubler/Klebe/Wedde/Weichert/Däubler, § 4c BDSG Rz. 14. 6 Taeger/Gabel/Gabel, § 4c BDSG Rz. 18; Bergmann/Möhrle/Herb, § 4c BDSG Rz. 25; Räther/Seitz, MMR 2002, 520 (521); Rittweger/Weiße, CR 2003, 142 (145). 7 Spindler/Schuster, Recht der elektronischen Medien, § 4c BDSG Rz. 29; Gola/Schomerus, § 4c BDSG Rz. 18. 8 Däubler/Klebe/Wedde/Weichert/Däubler, § 4c BDSG Rz. 15; Simitis/Simitis, § 4c BDSG Rz. 33; Spindler/Schuster, Recht der elektronischen Medien, § 4c BDSG Rz. 29. 9 Taeger/Gabel/Gabel, § 4c BDSG Rz. 34; Gierschmann/Saeugling/Thoma, § 4c BDSG Rz. 52.

von dem Bussche

|

159

§ 4c BDSG | Allgemeine und gemeinsame Bestimmungen Dies soll wiederum dem Bund ermöglichen, seiner Mitteilungspflicht hinsichtlich der erteilten Genehmigung gegenüber der EU-Kommission gemäß Art. 26 Abs. 3 der EG-Datenschutzrichtlinie nachzukommen1. Dies soll eine EU-weite einheitliche Genehmigungspraxis sicherstellen, vgl. Art. 31 Abs. 2 der EG-Datenschutzrichtlinie2. 2. Voraussetzungen für Genehmigung 24 Maßstab für die Erteilung der Genehmigung ist, ob der Antragsteller „ausrei-

chende Garantien für hinsichtlich des Schutzes des Persönlichkeitsrechts und der Ausübung der damit verbundenen Rechte“ erbringen kann. Trotz der anderslautenden Formulierung ist darunter letztlich derselbe Maßstab wie im Rahmen von § 4b Abs. 2 und 3 zu verstehen – entscheidend ist also, ob durch die abzugebenden Garantien ein angemessenes Datenschutzniveau attestiert werden kann3.

25 Abs. 2 sieht vor, dass die erforderlichen Garantien „insbesondere“ durch Ver-

tragsklauseln oder verbindliche Unternehmensregelungen nachgewiesen werden können. Die Aufzählung ist nicht abschließend, denkbar sind auch andere Formen des Nachweises – etwa Betriebsvereinbarungen4 – sofern diese ähnlich verbindlich sind wie die genannten Beispiele. Unabhängig von der gewählten Form kommt es darauf an, ein ausreichend hohes datenschutzrechtliches Niveau nachzuweisen. Entscheidend ist hierfür eine Mischung aus materiellen datenschutzrechtlichen Bestimmungen (insbesondere Zweckbindung) und Kontrolle durch unabhängige Instanzen5. Nichtsdestotrotz vermögen diese Vereinbarungen und Regelung in rechtsdogmatischer Hinsicht kein „angemessenes Schutzniveau“ i.S.d. § 4b Abs. 2 Satz 2 zu schaffen6; allerdings rechtfertigen die „ausreichenden Garantien bezüglich des Schutzes des Persönlichkeitsrechts“ eine Ausnahme i.S.d. § 4c Abs. 2 von diesem grundsätzlichen Erfordernis, indem sie eine Garantie für ein angemessenes Schutzniveau für die konkret genehmigten Übermittlungen etablieren (vgl. hierzu auch Komm. zu § 4b BDSG Rz. 23 f.)7.

26 Bei Konzernen stellt sich die Frage, welcher Konzernteil zum Abschluss eines

solchen Standardvertrags verpflichtet ist. Wie bereits im Rahmen der Kommentierung des § 4b erörtert, ist zur Bestimmung maßgeblich, welcher Konzernteil

1 2 3 4 5 6

Gola/Schomerus, § 4c BDSG Rz. 19. Simitis/Simitis, § 4c BDSG Rz. 43. Taeger/Gabel/Gabel, § 4c BDSG Rz. 15. Hierzu Backes/Eul/Guthmann/Martwich/Schmidt, RDV 2004, 156 (161 f.). Vgl. Simitis/Simitis, § 4c BDSG Rz. 41. A.A. Filip, ZD 2013, 51 (52) m.w.N. der davon ausgeht, dass § 4c Abs. 2 Satz 1 BDSG bzw. Art. 26 Abs. 2 RL 95/46/EG bereits bei der Frage zu berücksichtigen ist, ob ein angemessenes Schutzniveau besteht. 7 Vgl. Moos, CR 2010, 281 (281); Taeger/Gabel/Gabel, § 4c BDSG Rz. 15.

160

|

von dem Bussche

Ausnahmen | § 4c BDSG

die Entscheidungskompetenz hinsichtlich der jeweiligen Übermittlung innehat (ausführlich Komm. zu § 4b BDSG Rz. 37). 3. Verwendung der EU-Standardvertragsklauseln Einen – in der Praxis sehr häufig auftretenden – Sonderfall der in § 4c Abs. 2 27 Satz 1 genannten Vertragsklauseln stellen die Standardvertragsklauseln dar, welche die EU-Kommission, gestützt auf Art. 26 Abs. 4 der EG-Datenschutzrichtlinie, veröffentlicht hat. Bislang hat die EU-Kommission drei Standardvertragsklauseln entwickelt. Es handelt sich um die „Standardvertragsklauseln für die Übermittlung personenbezogener Daten an verantwortliche Stellen in Drittländern“ vom 15.6.20011 (auch: „Standardvertragsklauseln Set I“) sowie ein alternativer Regelungsvorschlag vom 27.12.20042 (auch: „Standardvertragsklauseln Set II“). Darüber hinaus existieren die neu gefassten „Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern“ vom 5.2.20103, die nun insbesondere die sog. Kettenauslagerungen durch die Erteilung von Unteraufträgen detailliert regeln4. Die bis dahin geltenden Standardvertragsklauseln für Auftragsverarbeiter in Drittländern vom 15.6.20015 sind auf neue Verträge nicht mehr anwendbar, behalten aber für Altverträge übergangsweise ihre Gültigkeit6. Der Aufbau dieser drei „Sets“ an Standardvertragsklauseln ist weitgehend iden- 28 tisch: Sie bestehen aus einem Mustervertragstext, in dem die gegenseitigen Rechte und Pflichten von übermittelnder und empfangender Stelle im Hinblick auf die zu übermittelnden Daten geregelt sind. Die individuellen Besonderheiten und Details der Vertragsparteien werden in zwei Anhängen aufgegriffen. Dabei ist vor allem zu beachten, dass die Parteien vorab definieren, zu welchem Zweck welche Daten übertragen werden sollen. Ändert sich später die Art der übermittelten Daten oder der Zweck der Datenübermittlung, ist die Vereinbarung dem-

1 EU-Kommission, Entscheidung v. 15.6.2001 (K(2001) 1539), ABl. EG Nr. L 181 v. 4.7. 2001, S. 19. 2 EU-Kommission, Entscheidung v. 27.12.2004 (K(2004) 5271), ABl. EG Nr. L 385 v. 29.12.2004, S. 74. 3 EU-Kommission, Beschl. v. 5.2.2010 (K(2010) 593), ABl. EU Nr. L 39 v. 12.2.2010, S. 5; ausführlich zur Kritik an der älteren Version v. 27.12.2001 (ABl. EG Nr. L 6 v. 10.1.2002, S. 52) und zu den Neuerungen, insb. zur Möglichkeit der Unterbeauftragung: Moos, CR 2010, 281. 4 Zur Kettenauslagerung auf Grundlage der Standardvertragsklauseln v. 27.12.2001 und zu deren Reformbedarf s. Fischer/Steidle, CR 2009, 632; allgemeiner Überblick über die neuen Standardvertragsklauseln für Auftragsverarbeiter bei Moos, CR 2010, 281. 5 EU-Kommission, Entscheidung v. 15.6.2001 (K(2001) 1539), ABl. EG Nr. L 181 v. 4.7. 2001, S. 19. 6 Hierzu Moos, CR 2010, 281 (284).

von dem Bussche

|

161

§ 4c BDSG | Allgemeine und gemeinsame Bestimmungen entsprechend anzupassen1. Rechtsdogmatisch schafft die Verwendung der Standardvertragsklauseln kein i.S.v. § 4b „angemessenes datenschutzrechtliches Niveau“ (s. Rz. 25). Hergestellt wird vielmehr eine vertragliche Datenschutzzelle, die hinreichende Garantien für den Persönlichkeitsschutz bietet und daher die Ausnahmegenehmigung rechtfertigt2. 29 Die Verwendung der Standardvertragsklauseln macht – im Gegensatz zur Ver-

wendung von Individualvertragsklauseln – ein behördliches Genehmigungsverfahren obsolet3. Die Anerkennung hinreichender Datenschutzgarantien durch die EU-Kommission bindet die Mitgliedstaaten aus europarechtlicher Sicht, so dass die deutschen Datenschutzbehörden keine Kompetenz zur Ablehnung der Klauseln hätten und ein Genehmigungsverfahren somit eine bloße Förmelei darstellen würde4. Nach Ansicht der Datenschutzbehörden wird teilweise gefordert, die Datenübermittlung unter Verwendung der Standardvertragsklauseln bei der zuständigen Aufsichtsbehörde zumindest anzuzeigen5. Eine Verpflichtung hierzu besteht aber nicht6. Dies dürfte auch dann noch gelten, wenn die Standardvertragsklauseln lediglich um zusätzliche, die Betroffenenrechte nicht einschränkende Klauseln erweitert werden7. Die Datenschutzaufsichtsbehörden können jedoch im Rahmen ihrer Aufsichtstätigkeit nach § 38 die Vorlage der abgeschlossenen Standardvertragsklauseln verlangen8. a) Standardvertragsklausel Set I und II

30 Die Standardvertragsklauseln Set I und II gelten für Datenübermittlungen vom

Datenübermittler zum Datenempfänger (Controller-to-Controller) als neue verantwortliche Stelle in Drittländer und finden alternativ Anwendung9. Das gemeinsam mit mehreren Wirtschaftsverbänden ausgearbeitete Set II gilt dabei als

1 Hierzu Wisskirchen, CR 2004, 862 (865). 2 Vgl. Rittweger/Schmidl, DuD 2004, 617 (618). 3 So auch Taeger/Gabel/Gabel, § 4c BDSG Rz. 22; Gola/Schomerus, § 4c BDSG Rz. 12; Simitis/Simitis, § 4c BDSG Rz. 51; LfD Niedersachsen, Datenübermittlung ins Ausland, S. 4, abrufbar unter www.lfd.niedersachsen.de/download/101404/Datenuebermittlung_ins_ Ausland_Stand_27.10.15_.pdf (zuletzt abgerufen Juli 2016); Moos/Lang, Teil 5 I Rz. 9; Moos/v. d. Bussche, Teil 5 III Rz. 8; v. d. Bussche/Voigt/v. d. Bussche/Voigt, Konzerndatenschutz, Teil 4 Rz. 5; Gierschmann/Saeugling/Thoma, § 4c BDSG Rz. 40; Moos/Lang, Teil 5 I Rz 9. 4 Vgl. auch Bierekoven, ITRB 2009, 39 (40); Wisskirchen, CR 2004, 862 (866); Taeger/ Gabel/Gabel, § 4c BDSG Rz. 22; Simitis/Simitis, § 4c BDSG Rz. 51. 5 Däubler/Klebe/Wedde/Weichert/Däubler, § 4c BDSG Rz. 18c; Hoeren, RDV 2012, 271 (277). 6 Moos/Lang, Teil 5 I Rz. 9; a.A. Hoeren, RDV 2012, 271 (277). 7 Weber/Voigt, ZD 2011, 74 (78). 8 Taeger/Gabel/Gabel, § 4c BDSG Rz. 22; v. d. Bussche/Voigt/v. d. Bussche/Voigt, Konzerndatenschutz, Teil 4 Kapitel 3 Rz. 5; Moos/Lang, Teil 5 I Rz. 9. 9 v. d. Bussche/Voigt/v. d. Bussche/Voigt, Konzerndatenschutz, Teil 4 Kapitel 3 Rz. 13.

162

|

von dem Bussche

Ausnahmen | § 4c BDSG

wirtschaftsfreundlicher, da sie im Unterschied zu Set I insbesondere keine gesamtschuldnerische Haftung der übermittelnden Stelle und des Datenempfängers enthält, sondern vielmehr bestimmte Verantwortungsbereiche abgrenzt, innerhalb derer Datenexporteur und -importeur individuell haften1. Auf der anderen Seite wurden für diese Standardvertragsklauseln aber auch die Eingriffsbefugnisse der Datenschutzaufsichtsbehörden erweitert2. Zu beachten ist außerdem, dass die Standardvertragsklauseln Set II, zumindest nach Ansicht der Datenschutzaufsichtsbehörden, nur bedingt eine taugliche Grundlage für die Übermittlung von Arbeitnehmerdaten darstellen. Denn es fehlen vor allem auch die für Betroffene wichtigen Auskunftsrechte3. Sollen die Standardvertragsklauseln Set II für den Transfer arbeitnehmerbezogener Daten verwendet werden, müssen dessen Bestimmungen nach vorgenannter Ansicht demnach um eine Vereinbarung ergänzt werden, die diese Mängel behebt4. Zu beachten ist zudem, dass Datenübermittlungen in Drittländer auf Grundlage der Standardvertragsklausen nach Set I und Set II von der zuständigen Datenaufsichtsbehörde untersagt oder ausgesetzt werden5, wenn eine Übermittlung auf Vertragsbasis sich wahrscheinlich sehr nachteilig auf die Garantien auswirkt, die den Betroffenen angemessenen (Daten-)Schutz bieten sollen. Es muss feststehen, dass der Datenimporteur nach den für ihn geltenden Rechtsvorschriften solchen Anforderungen unterliegt, die ihn zwingen vom anwendbaren Datenschutzrecht in einem Maß abzuweichen, das über die Beschränkungen des Art. 13 Richtlinie 95/46/ EG für eine demokratische Gesellschaft hinausgeht. Diese Auswirkungen würden sich wahrscheinlich sehr nachteilig auf die Garantien auswirken, die das anwendbare Datenschutzrecht und die Standardvertragsklauseln bieten6. b) Standardvertragsklauseln für Auftragsdatenverarbeitungen Die Standardvertragsklauseln vom 5.2.2010 finden hingegen explizit für Daten- 31 übermittlungen zum Zweck der Auftragsdatenverarbeitung in Drittstaaten 1 Taeger/Gabel/Gabel, § 4c BDSG Rz. 24; Hoeren, RDV 2012, 271 (275); Moos/Lang, Teil 5 II Rz. 14; Vergleich von Standardvertragsklauseln Set I und Set II bei Lejeune, ITRB 2005, 94 (95 f.). 2 Moos/Lang, Teil 5 II Rz. 15. 3 Däubler/Klebe/Wedde/Weichert/Klebe, § 4c BDSG Rz. 18a; v. d. Busche/Voigt/v. d. Bussche/Voigt, Konzerndatenschutz, Teil 4 Kapitel 3 Rz. 19; Moos/Lang, Teil 5 II Rz. 11. 4 Vgl. Arbeitskreis „Datenschutz in Recht und Praxis“, DuD 2008, 645 (655); Däubler/Klebe/Wedde/Weichert/Klebe, § 4c BDSG Rz. 18a nennt als Form der Abmachung die Gesamtzusage gegenüber bereits Beschäftigten und entsprechende Klauseln in künftigen Arbeitsverträgen; v. d. Bussche/Voigt/v. d. Bussche/Voigt, Konzerndatenschutz, Teil 4 Kapitel 3 Rz. 20. 5 So auch Moos/v. d. Bussche, Teil 5 III Rz. 28 für die Standardvertragsklauseln für Auftragsdatenverarbeitung. 6 S. ausführlich Moos/Lang, Teil 5 I Rz. 10.

von dem Bussche

|

163

§ 4c BDSG | Allgemeine und gemeinsame Bestimmungen (Controller-to-Processor) Anwendung1. Sinn und Zweck der Neufassung der Standardvertragsklauseln zur Auftragsdatenverarbeitung war es, der rasch expandierenden Datenverarbeitungstätigkeit weltweit Rechnung zu tragen und für die Wirtschaft wichtige Aspekte zu erfassen, die in der vorherigen Version der Standardvertragsklauseln nicht erfasst waren2. Soweit die alten EU-Standardvertragsklauseln oder deren Anhang geändert werden, ist es erforderlich, einen neuen Vertrag auf Basis der EU-Standardvertragsklauseln zur Auftragsdatenverarbeitung gemäß EU-Kommissions-Beschluss 2010/87/EU zu schließen, wenn von der Befreiung des grundsätzlichen Genehmigungsvorbehalts gemäß § 4c Abs. 2 Satz 1 weiterhin profitiert werden soll. Zwar besteht auch die Möglichkeit, den alten Vertrag beizubehalten. Jedoch wird dieser dann nach Ansicht der Art. 29-Datenschutzgruppe zu einem individuellen „Ad-hoc-Vertrag“, also einem Vertrag, der die Grundsätze und Garantien der EU-Standardvertragsklauseln zur Auftragsdatenverarbeitung beinhaltet, aber nicht die EU-Standardvertragsklauseln zur Auftragsdatenverarbeitung selbst. Dies führt dazu, dass ein solcher Vertrag wieder dem Genehmigungsvorbehalt gemäß § 4c Abs. 2 unterliegt3. 31a Signifikanteste Änderung zu den bis dahin bestehenden Standardklauseln ist die

nun ausdrücklich zugelassene und geregelte Unterbeauftragung4, die sog. „Kettenauslagerung“5. Eine Unterauftragsverarbeitung war zwar bereits in der Vergangenheit möglich. Der Datenexporteur musste jedoch die Standardvertragsklauseln selbst mit dem Unterauftragsverarbeiter abschließen, wenngleich er sich hierbei vom Datenimporteur vertreten lassen konnte. Der Datenimporteur konnte diesem Vertragsverhältnis alternativ beitreten.6 Eine sog. „unechte“ Unterauftragsverarbeitung ist auch weiterhin möglich, wie aus Klausel 4 Buchst. I geschlossen werden kann7.

31b Das neue Klauselwerk stellt strenge Anforderungen an die Weitervergabe sowie

an den Subbeauftragten8. Diese sollen sicherstellen, dass die personenbezogenen Daten auch bei der Verarbeitung durch Unterauftragsverarbeiter geschützt sind. Sie gehen über das nach § 11 Erforderliche hinaus9. Demnach muss der Auftrag-

1 EU-Kommission, Beschluss 2010/87/EU v. 5.2.2010, Art. 2 Abs. 2; Moos, K&R 2011, 145 (147); zur Auftragsdatenverarbeitung in Drittstaaten unter Verwendung (modifizierter) EU-Standardvertragsklauseln Weber/Voigt, ZD 2011, 74; zur Sub-Beauftragung in Drittstaaten vgl. Lensdorf, CR 2010, 735; v. d. Bussche/Voigt/v. d. Bussche/Voigt, Konzerndatenschutz, Teil 4 Kapitel 3 Rz. 29 ff.; Moos/v. d. Bussche, Teil 5 III Rz. 1 ff. 2 v. d. Bussche/Voigt/v. d. Bussche/Voigt, Konzerndatenschutz, Teil 4 Kapitel 3 Rz. 25. 3 Moos/v. d. Bussche, Teil 5 III Rz. 15 f. 4 Klausel 11 der Standardvertragsklauseln, beigefügt in EU-Kommission, Beschl. 2010/87/ EU v. 5.2.2010; vgl. auch Moos, CR 2010, 281 (282). 5 Moos/v. d. Bussche, Teil 5 III Rz. 96. 6 Moos/v. d. Bussche, Teil 5 III Rz. 96 m.w.N. 7 Moos/v. d. Bussche, Teil 5 III Rz. 96. 8 Ausführlich zu den Voraussetzungen und Pflichten Moos, CR 2010, 281 (282 f.). 9 Moos/v. d. Bussche, Teil 5 III Rz. 100.

164

|

von dem Bussche

Ausnahmen | § 4c BDSG

nehmer, sofern er seinerseits gewisse Verarbeitungstätigkeiten auslagern möchte, in erster Linie im Vorfeld die schriftliche Einwilligung des ursprünglichen Auftraggebers einholen1; der Auftragnehmer haftet dem Auftraggeber gegenüber für jegliche Schlecht- oder Nichtleistung des Subbeauftragten2. Die Weitervergabe an den Subbeauftragten muss außerdem auf Grundlage der Standardvertragsklauseln erfolgen3. Nach letzter Vorgabe ist bedauerlicherweise irrelevant, ob zwischen Auftragnehmer und Subbeauftragtem bereits verbindliche Unternehmensregelungen existieren (s. Rz. 36).4. Dies ist insbesondere bei der Weitergabe von Verarbeitungsaufträgen innerhalb verbundener Unternehmen nicht nur unpraktikabel und formalistisch, sondern auch nicht sachgerecht, da nicht ersichtlich ist, warum EU-Standardvertragsklauseln grundsätzlich personenbezogene Daten besser zu schützen vermögen als verbindliche Unternehmensregelungen5. Zumindest aus deutscher Perspektive ist deswegen fraglich, ob das bezweckte Ziel der EU-Kommission, die Auftragsdatenverarbeitung EWG-grenzüberschreibend zu ermöglichen, durch die EU-Standardvertragsklauseln zur Auftragsdatenverarbeitung tatsächlich erreicht worden ist6. So nimmt die Auftragsdatenverarbeitung gemäß § 11, 3 Abs. 8 eine Privilegierung dahingehend ein, dass Auftragsdatenverarbeiter im Verhältnis zur übermittelnden Stelle nicht als Dritte angesehen werden und dass eine Weitergabe von personenbezogenen Daten an Auftragsdatenverarbeiter daher keine gemäß § 3 Abs. 4 Nr. 3 gesondert zu rechtfertigende Datenübermittlung darstellt. Diese Privilegierung gilt jedoch dem Gesetzeswortlaut nach nur solange, wie der Auftragsdatenverarbeiter seine Tätigkeit im EU- bzw. EWR-Inland ausführt. Bei Auftragsdatenverarbeitung im Drittland greift die Privilegierung somit nicht. Zwar spricht sich eine starke Strömung in der Literatur dafür aus, diese Privilegierung bei Verwendung der EU-Standardvertragsklauseln analog auch auf Auftragsdatenverarbeitung im Drittland zu übertragen7. Die Datenschutzaufsichtsbehörden in Deutschland folgen dem jedoch nicht und gehen davon aus, dass eine § 11 entsprechende Auftragsdatenverarbeitung mit Drittlandsauftragsdatenverarbeitern selbst bei Zugrundelegung der EU-Standardvertragsklauseln zur Auftragsdatenverarbeitung nicht existieren könne. Auch die Aufsichtsbehörden gehen in letzter Konsequenz jedoch nicht von einer Unzulässigkeit der Da1 Klauseln 5h) und 11 Abs. 1 S. 1 der Standardvertragsklauseln, beigefügt in EU-Kommission, Beschl. 2010/87/EU v. 5.2.2010; Taeger/Gabel/Gabel, § 4c BDSG Rz. 26. 2 Klausel 11 Abs. 1 S. 3 der Standardvertragsklauseln, beigefügt in EU-Kommission, Beschl. 2010/87/EU v. 5.2.2010; Hillenbrandt-Beck, RDV 2007, 231 (235). 3 Klausel 11 Abs. 1 S. 2 der Standardvertragsklauseln, beigefügt in EU-Kommission, Beschl. 2010/87/EU v. 5.2.2010. 4 Moos, K&R 2011, 145 (148); Moos/v. d. Bussche, Teil 5 III Rz. 98. 5 So auch Moos, CR 2010, 281 (285). 6 S. hierzu ausführlich v. d. Bussche/Voigt/v. d. Bussche/Voigt, Teil 3 Kapitel 3 Rz. 26 f. m.w.N. 7 Vgl. Moos/v. d. Bussche, Teil 5 III. Rz. 18 ff.; Weber/Voigt, ZD 2011, 74.

von dem Bussche

|

165

§ 4c BDSG | Allgemeine und gemeinsame Bestimmungen tenweitergabe an Auftragsdatenverarbeiter in Drittländern aus; vielmehr wird von diesen eine Zulässigkeit der Datenweitergabe über § 28 Abs. 1 Satz 1 Nr. 2 fingiert1. 31c Auch bei Abschluss der ergänzenden EU-Standardvertragsklauseln haben die

Aufsichtsbehörden die Möglichkeit, den Datentransfer zu verbieten oder auszusetzen (s. zu Set I und II Rz. 30). Dieses tun sie, wenn der Auftragnehmer die EU-Standardvertragsklauseln zur Auftragsdatenverarbeitung aufgrund der für ihn geltenden Rechtslage nicht einhalten kann. Als Orientierung für eine drohende Untersagung dient die Vorgabe aus der Fußnote zu Klausel 5 der EU-Standardvertragsklauseln zur Auftragsdatenverarbeitung: Danach werden die Aufsichtsbehörden die Übermittlung untersagen, wenn die nationalen Gesetzes- oder Administrationspflichten des Datenimporteurs über das hinausgehen, was in einer demokratischen Gesellschaft für den Schutz eines in Art. 13 Abs. 1 EG-Datenschutzrichtlinie aufgelisteten Interesses (bspw. Öffentliche Sicherheit, Staatsschutz etc.) erforderlich ist. Spätestens dann trifft die Aufsichtsbehörden nämlich eine staatliche Schutzpflicht im Interesse des Grundrechts auf informationelle Selbstbestimmung der Betroffenen, die sie zum Einschreiten zwingt2. In der Vergangenheit hatte bspw. die schleswig-holsteinische Aufsichtsbehörde Übermittlungen nach China als kritisch angesehen. Im Einzelfall sollte bei Zweifeln mit den Aufsichtsbehörden vor der Übermittlung geklärt werden, ob ein Drittland grundsätzlich von der Möglichkeit des Empfangs personenbezogener Daten aus dem Anwendungsbereich der EG-Datenschutzrichtlinie ausgeschlossen ist.3

31d Zu beachten ist daneben, dass es bislang keine Processor-Processor-Klauseln

gibt. Die deutschen Aufsichtsbehörden haben sich deshalb auf den Standpunkt gestellt, dass die Standardverträge in diesem Fall nicht vereinbart werden können, weil für die Anpassung von Verträgen an eine Processor-Processor-Beziehung eine textliche Änderung erfolgen müsste, die zu einem Genehmigungserfordernis führen würde. Im Ergebnis ist deshalb die verantwortliche Stelle gehalten, mit allen beteiligten Dritten – unter Einschluss der Auftragnehmer – Standardverträge zu vereinbaren und deren Einhaltung zu kontrollieren. Die Aufsichtsbehörden versuchen dieser unbefriedigenden Situation durch die Darlegung verschiedener Handlungsalternativen zu begegnen. So könnte etwa ein Abschluss von Standardverträgen durch einen Bevollmächtigten – i.d.R. den Hauptauftragnehmer – erfolgen4.

32 Das Klauselwerk ist nur anwendbar, wenn Auftrag- und Unterauftragnehmer in

einem Drittland ansässig sind und Daten für einen innerhalb der EU ansässigen

1 Ausführlich zu diesem Problem v. d. Bussche/Voigt/v. d. Bussche/Voigt, Teil 3 Kapitel 3 Rz. 84 ff. 2 S. zur Frage einer Schutzpflicht auch Kipker/Voskamp, RDV 2014, 84. 3 Moos/v. d. Bussche, Teil 5 III Rz. 20. m.w.N. 4 Gierschmann/Saeugling/Thoma, § 4c BDSG Rz. 44.

166

|

von dem Bussche

Ausnahmen | § 4c BDSG

Auftraggeber verarbeiten1. Für den praxisrelevanten Fall, dass der in der Beauftragungskette an erster Stelle Stehende in der EU ansässig ist und einen Subauftragnehmer in einem Drittland beauftragt, sind die Standardvertragsklauseln demnach nicht unmittelbar anwendbar2. Die EU-Kommission hat den Mitgliedstaaten die Entscheidung über die Zulässigkeit einer derartigen Unterbeauftragung überlassen, mithin die Entscheidung ob das Standardvertragsklauselwerk auch für diese Fallkonstellation „ausreichende Garantien“ i.S.d. § 4c Abs. 2 Satz 2 zu etablieren vermag3. Bisweilen handhabten die deutschen Aufsichtsbehörden diese Problematik nach der Maßgabe der mittlerweile abgelösten Standardvertragsklauseln vom 27.12.2001 folgendermaßen: Der Auftraggeber müsse einen gesonderten Standardvertrag mit dem Unterauftragnehmer abschließen, da erstens ein bloßer Auftragsdatenverarbeitungsvertrag mit einem in einem Drittstaat befindlichen Auftragsdatenverarbeiter nicht ausreicht (s. bereits Komm. zu § 4b BDSG Rz. 7) und zweitens nicht der Erstbeauftragte sondern nur der Auftraggeber „verantwortliche Stelle“ i.S.d. BDSG sei4. Hierbei kann er allerdings vom ursprünglich beauftragten Datenverarbeiter vertreten werden5. Folglich hat der im Drittstaat befindliche Subbeauftragte sowohl mit dem Erstbeauftragten einen „Standardvertrag für Auftragsdatenverarbeitung in Drittstaaten“ als auch (ggf. vertreten durch den Erstbeauftragten) mit der verantwortlichen Stelle zusätzlich einen „Standardvertrag Set I oder Set II“ abzuschließen. Bei den heute üblichen Hosting-, Outsourcing- und Cloud Computing Services durch Subbeauftragte in Drittländern wie den USA oder Indien bedeutet das einen für die beteiligten Unternehmen kaum noch zu bewältigenden Verwaltungsaufwand. Hier besteht dringender Handlungsbedarf. So fordert die Artikel-29Datenschutzgruppe ebenfalls die Schaffung eines rechtlichen Instruments durch die EU-Kommission um diese Fallkonstellation europaweit einheitlich zu regeln6. Bis dahin bleibt abzuwarten, ob und inwiefern die nationalen Aufsichtsbehörden diese Problematik aufgrund der neugestalteten Standardvertragsklauseln vom 5.2.2010 different beurteilen werden. Als Übergangslösung ist es für einen in der EU bzw. dem EWR befindlichen Erstbeauftragten bisweilen ratsam, 1 EU-Kommission, Beschl. 2010/87/EU v. 5.2.2010, Erwägungsgrund 17. 2 Moos, K&R 2011, 145 (147); Moos/v. d. Bussche, Teil 5 III Rz. 27; Taeger/Gabel/Gabel, § 4c BDSG Rz. 26; Lensdorf, CR 2010, 735; s.a. Artikel-29-Datenschutzgruppe, WP 176, S.3. 3 EU-Kommission, Beschl. 2010/87/EU v. 5.2.2010, Erwägungsgrund 23; Moos, CR 2010, 281 (284). 4 Zwanzigster Bericht der Hessischen Landesregierung über die Tätigkeit der für den Datenschutz im nicht-öffentlichen Bereich in Hessen zuständigen Aufsichtsbehörden, LTDrucks. 16/7646, S. 24; Hillenbrandt-Beck, RDV 2007, 231 (234). 5 Taeger/Gabel/Gabel, § 4c BDSG Rz. 26. 6 Artikel-29-Datenschutzgruppe, WP 161: „Stellungnahme über den Entwurf einer Entscheidung der Kommission zu Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern nach der Richtlinie 95/46/EG“, S. 3.

von dem Bussche

|

167

§ 4c BDSG | Allgemeine und gemeinsame Bestimmungen sich bereits beim Vertragsschluss vom Auftraggeber als verantwortliche Stelle bevollmächtigen zu lassen, um im Namen des Auftraggebers einen entsprechenden Standardvertrag mit dem im Drittstaat befindlichen Subbeauftragten abschließen zu können1. Ebenso ist eine Aufnahme des Subbeauftragten in den ursprünglichen Vertrag als mögliche Lösung anerkannt2. Hat nur der Auftragnehmer seinen Sitz im Drittland, der Subunternehmer und der Auftraggeber jedoch jeweils innerhalb des EWR, so ist nur zwischen dem Auftraggeber und dem Auftragnehmer ein EU-Standardvertrag zur Auftragsdatenverarbeitung zu schließen. Im Verhältnis Auftragnehmer/Subunternehmer muss der Auftragsnehmer jedoch die vertraglichen Verpflichtungen zur Auftragsdatenverarbeitung entsprechend weitergeben3. 33 Zu beachten ist, dass sich die Rechtfertigung durch Verwendung der EU-Stan-

dardvertragsklauseln per se nur auf die Sekundärebene der Datenübermittlung, d.h. der Drittlandsübermittlung i.S.d. § 4c, beschränkt. Davon zu differenzieren ist die Primärebene der Übermittlung, die bei der Auftragsdatenverarbeitung in Drittländern aufgrund des uneingeschränkt anwendbaren Erlaubnisvorbehalts des § 4 Abs. 1 eine materiell-rechtliche Rechtfertigung für den Datentransfer verlangt (s. dazu Komm. zu § 4b BDSG Rz. 16).

33a Bei Verwendung der EU-Standardvertragsklauseln zur Auftragsdatenverarbei-

tung ist zwar die Übermittlung von personenbezogenen Daten in unsichere Drittländer zulässig. Die Privilegierung der § 11 und § 3 Abs. 8 Satz 3 wird hierdurch jedoch nicht erreicht – also eine Übermittlung ohne Rechtfertigung. Die EU-Standardvertragsklauseln sind deswegen in jedem Fall um die Anforderungen aus § 11 Abs. 2 Satz 2 zu ergänzen4. Solche Ergänzungen können ausnahmsweise im Anhang, teilweise durch geschäftsbezogene Klauseln oder durch eine Nebenvereinbarung vorgenommen werden, ohne dass dadurch eine bei sonstigen Änderungen erforderliche Genehmigungspflicht ausgelöst wird5. Streitig ist, inwieweit die Verwendung solcher ergänzten EU-Standardvertragsklauseln bei einer Auftragsdatenverarbeitung in Drittländern zu der in § 3 Abs. 8 Satz 3 angesprochenen Privilegierung führt.

33b Die Aufsichtsbehörden vertreten die Ansicht, dass es sich bei der Auftragsdaten-

verarbeitung in Drittländern um eine „unechte“ Auftragsdatenverarbeitung handelt (s. hierzu Rz. 31). Auf der ersten Prüfungsstufe sei die Übermittlung an den Auftragsdatenverarbeiter nach § 28 Abs. 1 Nr. 2 – vorausgesetzt, dass der inten-

1 Vgl. auch Moos, CR 2010, 281 (283 und 285). 2 Fußnote 1) zu Klausel 11 Abs. 1 Satz 2 der Standardvertragsklauseln, beigefügt in EUKommission, Beschl. 2010/87/EU v. 5.2.2010; Hillenbrandt-Beck, RDV 2007, 231 (234). 3 Moos/v. d. Bussche, Teil 5 III Rz. 26; Düsseldorfer Kreis, Beschl. v. 19./20.4.2007, 6 ff.; v. d. Bussche/Voigt/v. d. Bussche/Voigt, Konzerndatenschutz, Teil 4 Kapitel 3 Rz. 31. 4 Moos/v. d. Bussche, Teil 5 III Rz. 17. 5 Moos/v. d. Bussche, Teil 5 III Rz. 17 m.w.N.

168

|

von dem Bussche

Ausnahmen | § 4c BDSG

dierte Datenverarbeitungsvorgang an sich zulässig ist – gerechtfertigt, wenn die EU-Standardvertragsklauseln um den Katalog aus § 11 Abs. 2 Satz 2 ergänzt wurden. Nach vorzugswürdiger Ansicht soll auch der Auftragnehmer im Drittland bei 33c Verwendung der ergänzten EU-Standardvertragsklauseln analog § 3 Abs. 8 Satz 2 nicht als Dritter anzusehen sein. So macht es für die betroffene Person keinen Unterschied, wo die personenbezogenen Daten im Auftrag verarbeitet werden, solange das Schutzniveau angemessen und zu dem innerhalb der EU/ des EWR vergleichbar ist. Diese Vorgehensweise entspräche auch dem Interesse von Auftraggeber und Auftragnehmer. Der Auftragnehmer ist ohnehin nach § 11 Abs. 2 Satz 2 vertraglich zu binden, so dass sich die Anforderungen an den nationalen Auftragnehmer sowie an den Auftragnehmer im Drittland nicht unterscheiden. Und für den deutschen Auftraggeber ist bei der nationalen und internationalen Weitergabe ohnehin stets das BDSG anwendbar1. Darüber hinaus unterscheidet sich nach Ansicht der EU-Kommission die Weitergabe von personenbezogenen Daten zu Zwecken der Auftragsdatenverarbeitung (Controllerto-Processor) deutlich von der Übermittlung an eine andere verantwortliche Stelle (Controller-to-Controller). Diese von der EU-Kommission ausdrücklich vorgesehene Möglichkeit der Auftragsdatenverarbeitung in Drittländern hat der deutsche Gesetzgeber nicht hinreichend beachtet2. Die unterschiedlichen Ansätze führen jedoch in den meisten Fällen zu vergleich- 33d baren Ergebnissen, nämlich zur genehmigungsfreien und unkomplizierten Weitergabe personenbezogener Daten in Drittländer bei einem Einbeziehen der Anforderungen aus § 11 Abs. 2 Satz 23. 4. Verwendung von Individualvertragsklauseln Abweichungen von den Standardvertragsklauseln oder der Abschluss von Indi- 34 vidualvereinbarungen sind selbstverständlich möglich; es handelt sich bei den Standardvertragsklauseln nur um unverbindliche Muster. Derartige individuelle Klauseln müssen für sich genommen angemessene Garantien darstellen, d.h. in der Regel die auch in den Standardvertragsklauseln oder in Binding Corporate Rules festzulegenden Inhalte ausreichend abdecken4. Allerdings ist im Fall von Individualvertragsklauseln ein behördliches Genehmigungsverfahren einzuleiten, bei welchem das Risiko besteht, dass die zuständige Aufsichtsbehörde die individuell gestalteten Vertragsklauseln als nicht ausreichende Garantien für den Schutz des Persönlichkeitsrechts der Betroffenen wertet. Je gravierender die inhaltliche Abweichung von den Standardvertragsklauseln, desto höher ist das 1 2 3 4

S. hierzu ausführlich Moos/v. d. Bussche, Teil 5 III Rz. 20. Moos/v. d. Bussche, Teil 5 III Rz. 20. Moos/v. d. Bussche, Teil 5 III Rz. 21. Gierschmann/Saeugling/Thoma, § 4c BDSG Rz. 46.

von dem Bussche

|

169

§ 4c BDSG | Allgemeine und gemeinsame Bestimmungen Risiko eines langwierigen und ggf. negativ beschiedenen Genehmigungsverfahrens. Das Genehmigungserfordernis lebt ausnahmsweise dann nicht wieder auf, wenn die Individualklauseln eindeutig zugunsten des Betroffenen von den Standardverträgen abweichen1 bzw. wenn diese lediglich um zusätzliche, die Betroffenen nicht belastende Regelungen ergänzt werden (s. bereits Rz. 29). Im Einzelfall kann es sinnvoll sein, die veränderten Standardvertragsklauseln vor Verwendung mit der zuständigen Aufsichtsbehörde abzusprechen2. 5. Multilaterale/insbesondere konzerninterne Datenübermittlung a) Verwendung der Standardvertragsklauseln 35 Der Normalfall der Standardvertragsklauseln ist die Datenübermittlung zwi-

schen lediglich zwei Parteien. Dies schließt aber eine Vereinbarung mehrerer Parteien unter Zugrundelegung von Standardvertragsklauseln nicht aus, etwa bei den in einem Konzern zusammengeschlossenen Unternehmen. Allerdings sind die Standardvertragsklauseln nur bedingt für den konzerninternen Datenverkehr mit zahlreichen Stellen geeignet, da hierfür zahlreiche bilaterale Vereinbarungen getroffen werden müssten3.

36 Ein Mehrparteienvertrag zwischen mehreren oder allen Konzernunternehmen

auf Basis der Standardvertragsklauseln wird allerdings für möglich4 und grundsätzlich auch genehmigungsfrei5 erachtet. Erforderlich dürfte somit die entsprechende Anpassung der Standardvertragsklauseln an diese besonderen Bedingungen sein. Welche Voraussetzungen ein solcher konzernweiter Vertrag in den Augen der zuständigen Aufsichtsbehörden im Einzelnen erfüllen muss, ist bislang nicht vollständig geklärt. Zumindest müssen sich daraus konkret die datenimportierenden Stellen innerhalb des Konzerns sowie ihre Rolle im Rahmen der Datenverarbeitung (verantwortliche Stelle oder Auftragsverarbeiter) ergeben6.

1 So auch Taeger/Gabel/Gabel, § 4c BDSG Rz. 27. 2 Gola/Schomerus, § 4c BDSG Rz. 14; Taeger/Gabel/Gabel, § 4c BDSG Rz. 27; Zwanzigster Bericht der Hessischen Landesregierung über die Tätigkeit der für den Datenschutz im nicht-öffentlichen Bereich in Hessen zuständigen Aufsichtsbehörden, LT-Drucks. 16/ 7646, S. 20; Düsseldorfer Kreis, Beschl. v. 19./20.4.2007, Ziff. II.4. 3 Vgl. Räther/Seitz, MMR 2002, 520 (521); Hoeren, RDV 2012, 271 (275). 4 Artikel-29-Datenschutzgruppe, WP 74: „Übermittlung personenbezogener Daten in Drittländer: Anwendung von Artikel 26 Absatz 2 der EU-Datenschutzrichtlinie auf verbindliche unternehmensinterne Vorschriften für den internationalen Datentransfer“, S. 7; Zweiundzwanzigster Bericht der Hessischen Landesregierung über die Tätigkeit der für den Datenschutz im nicht-öffentlichen Bereich in Hessen zuständigen Aufsichtsbehörden, LT-Drucks. 18/1015, S. 10; Taeger/Gabel/Gabel, § 4c BDSG Rz. 25. 5 Moos/Lang, Teil 5 II Rz. 17. 6 Zweiundzwanzigster Bericht der Hessischen Landesregierung über die Tätigkeit der für den Datenschutz im nicht-öffentlichen Bereich in Hessen zuständigen Aufsichtsbehörden, LT-Drucks. 18/1015, S. 10–11; Artikel-29-Datenschutzgruppe, WP 74, S. 7.

170

|

von dem Bussche

Ausnahmen | § 4c BDSG

Darüber hinaus bedarf es wohl hinreichend konkreter Angaben über Art und Umfang der geplanten Übermittlungen, entsprechend der Anlagen zu den Standardvertragsklauseln1. Genauso unklar ist, ob ein solcher multilateraler Vertrag auf Basis der Standardvertragsklauselwerke der Genehmigung der zuständigen Behörde gemäß § 4c Abs. 2 bedarf. In Anbetracht der wohl vorzunehmenden Modifikation, um den Besonderheiten eines „Konzernvertrags“ gerecht zu werden, ist allerdings eine Vorlage bei der zuständigen Behörde zumindest empfehlenswert2. Ein Zusammenspiel eines solchen Mehrparteienvertrages und weiterer verbindlicher Unternehmensregelungen (sogleich Rz. 38) wird ebenfalls als effiziente Lösung für den konzernweiten Datenaustausch in Betracht gezogen, wobei der Übergang zwischen beiden Klauselwerken fließend sein kann3. Bei der Verwendung gegenüber unselbständigen Unternehmensteilen in Dritt- 37 staaten – auch hier ist zumindest nach Ansicht der Datenschutzbehörden eine gesonderte Rechtfertigung der Übermittlung erforderlich, obwohl die Daten nicht an einen „Dritten“ i.S.d. § 3 Abs. 8 übermittelt werden (vgl. Komm. zu § 4b BDSG Rz. 37)4 – wird ferner empfohlen die Vertragsklauseln als Garantieerklärung auszugestalten. Andernfalls würde eine vertragliche Vereinbarung zwischen einem Unternehmen und einem nichtselbständigen Unternehmensteil ein unwirksames Insichgeschäft darstellen5. b) Verbindliche Unternehmensregelungen/„Binding Corporate Rules“ aa) Allgemeines/Gestaltung von verbindlichen Unternehmensregelungen Ausdrücklich benennt Abs. 2 auch „verbindliche Unternehmensregelungen“ 38 als Möglichkeit, um hinreichende Garantien für den Persönlichkeitsschutz nachzuweisen. Diese sog. „Binding Corporate Rules“ (BCR) sind aufgrund ihrer höheren Flexibilität vor allem für Konzerne und andere Kooperationsformen interessant, die Wert auf eine international einheitliche Regelung des Datenschutz1 Zweiundzwanzigster Bericht der Hessischen Landesregierung über die Tätigkeit der für den Datenschutz im nicht-öffentlichen Bereich in Hessen zuständigen Aufsichtsbehörden, LT-Drucks. 18/1015, S. 11; Taeger/Gabel/Gabel, § 4c BDSG Rz. 25. 2 Vgl. Zweiundzwanzigster Bericht der Hessischen Landesregierung über die Tätigkeit der für den Datenschutz im nicht-öffentlichen Bereich in Hessen zuständigen Aufsichtsbehörden, LT-Drucks. 18/1015, S. 10–11. 3 Artikel-29-Datenschutzgruppe, WP 74, S. 7. 4 Taeger/Gabel/Gabel, § 4b BDSG Rz. 15; vgl. ferner Neunzehnter Bericht der Hessischen Landesregierung über die Tätigkeit der für den Datenschutz im nicht-öffentlichen Bereich in Hessen zuständigen Aufsichtsbehörden, LT-Drucks. 16/5892 Ziff. 11.2; Fünfzehnter Bericht der Hessischen Landesregierung, LT-Drucks. 15/46503 Rz. 5; Hillenbrand-Beck, RDV 2007, 231 (232); Däubler/Klebe/Wedde/Weichert/Däubler, § 4c BDSG Rz. 17a. 5 Taeger/Gabel/Gabel, § 4c BDSG Rz. 25.

von dem Bussche

|

171

§ 4c BDSG | Allgemeine und gemeinsame Bestimmungen niveaus legen oder bei denen es regelmäßig zu zahlreichen Datentransfers zwischen den einzelnen Unternehmensteilen kommt1. Daten von Kunden, Mitarbeitern oder Vertragspartnern verbleiben meist nicht mehr bei dem ursprünglichen Unternehmen oder Unternehmensteil, von dem die Daten erhoben wurden, sondern werden an andere Unternehmen des Konzerns, etwa zur Einrichtung einer zentralen Kundendatenbank übermittelt oder – zunehmend – in übergreifenden technischen Strukturen, sog. „Clouds“, bereitgestellt2. BCR ersetzen dabei nationales Recht nicht. Vielmehr sind Unternehmensregelungen zugleich Minimumstandard für den Datenschutz und ergänzender Standard für bestehende gesetzliche Regelungen3. Das bedeutet, dass dort, wo nach nationalem Recht keine oder schwächere Datenschutzregelungen anwendbar sind, die BCR gelten und dort, wo nationales Recht strengere Maßstäbe setzt, diese einzuhalten sind4. Für die europäischen Mitglieder der Unternehmensgruppe sind daher immer auch die Vorgaben nach mitgliedstaatlichem Recht zu beachten5. Dementsprechend müssen die BCR auch Festlegungen treffen, wie zu verfahren ist, wenn das nationale Recht mit den Regelungen der BCR kollidiert. Insbesondere im Drittland können Rechtsvorschriften existieren, die durch die BCR vorgesehenen Garantien wesentlich beeinträchtigen und die das gebundene Mitglied der Gruppe daran hindern, seinen Verpflichtungen aus den BCR nachzukommen6. 38a In der Praxis können sich bei der Gestaltung solcher Binding Corporate Rules

erhebliche Schwierigkeiten ergeben. Inhaltlich Konkretisierendes lässt sich dem Gesetz nämlich nicht entnehmen. Die Artikel-29-Datenschutzgruppe hat zu diesem Thema jedoch eine Reihe von Arbeitspapieren erarbeitet7. Diese sind nicht verbindlich, bieten aber Hilfestellung und Musterformulierungen aus Sicht der europäischen Datenschutzbehörden. In jedem Fall ist auch beim Rückgriff auf

1 Ausführlich: Grapentin, CR 2009, 693 ff.; eine aktuelle Liste der Unternehmen mit BCR findet sich unter http://ec.europa.eu/justice/data-protection/international-transfers/binding-corporate-rules/bcr_cooperation/index_en.htm (zuletzt besucht: September 2015). 2 Moos/Abel/Schulte, Teil 5 V Rz. 1. 3 ICC Report on BCR, S. 12. 4 Artikel-29-Datenschutzgruppe, WP 153, 15 (Ziff. 6.4.); Artikel-29-Datenschutzgruppe, WP 154, 11 (Ziff. 22); s.a. Artikel-29-Datenschutzgruppe ,WP 155. 5 v. d. Bussche/Voigt/Kamp, Konzerndatenschutz, Teil 4 Kapitel 5 Rz. 5 m.w.N. 6 S. zum Ganzen ausführlich v. d. Bussche/Voigt/Kamp, Konzerndatenschutz, Teil 4 Kapitel 5 Rz. 65. 7 Zu nennen sind: Working Paper (WP) 74 v. 3.6.2003 (Allgemeine inhaltliche Vorgaben); WP 107 v. 14.4.2005 (Festlegung eines Kooperationsverfahrens zwischen europäischen Datenschutzbehörden); WP 108 v. 14.4.2005 (Muster-Checkliste für Genehmigungsanträge); WP 153 v. 24.6.2008 (Überblick über die Bestandteile und Grundsätze einer BCR); WP 154 v. 24.6.2008 (Vorschlag für die Struktur einer BCR) und WP 155 v. 24.6.2008 (FAQ). Alle Dokumente sind abrufbar unter http://ec.europa.eu/justice/policies/privacy/work inggroup/wpdocs/index_search_en.htm. (zuletzt besucht: September 2015).

172

|

von dem Bussche

Ausnahmen | § 4c BDSG

diese Arbeitspapiere eine Anpassung der Klauseln an die konkreten Gegebenheiten des jeweiligen Konzerns vorzunehmen1. In Deutschland verdeutlichen drei anerkannte Unternehmensrichtlinien aus bedeutenden Branchen, wie BCR im Ergebnis aussehen könnten: Der „Code of Conduct für Kunden/Lieferanten“ der DaimlerChrysler AG2, die „Leitlinien (Code of Conduct) zum Schutz der Persönlichkeitsrechte im Umgang mit personenbezogenen Daten in der Deutschen Telekom Gruppe3 sowie die „Verhaltensregeln für den Umgang mit personenbezogenen Daten durch die deutsche Versicherungswirtschaft“ des Gesamtverbandes der Deutschen Versicherungswirtschaft e.V. als anerkannte Verhaltensregeln eines Verbandes i.S.d. § 38a4. Die Unternehmensregelungen müssen ein angemessenes Datenschutzniveau 39 i.S.d. § 4b Abs. 2 und 3 garantieren können; mithin die Grundsätze der EG-Datenschutzrichtlinie aufgreifen5. Um dies zu erreichen, wird von den Aufsichtsbehörden eine Orientierung an den Standardvertragsklauseln empfohlen, insbesondere im Hinblick auf Drittbegünstigungs- und Haftungsklauseln6. Eine Übernahme der dortigen Regelungen ist jedoch nicht zwingend: So stellt die Artikel-29-Datenschutzgruppe nochmals klar, dass die in Art. 26 Abs. 2 der EGDatenschutzrichtlinie (bzw. § 4c Abs. 2) geforderten „ausreichenden Garantien“ ebenfalls durch andere Instrumente als vertragliche Lösungen oder verbindliche Unternehmensregelungen erreicht werden können7. Abweichungen zugunsten des Betroffenen bzw. Ergänzungen von Betroffene nicht belastenden Regelungen sind folglich denkbar (vgl. bereits Rz. 29). In Anbetracht der durch den Gesetzgeber formulierten Alternativität zwischen der Verwendung von Verträgen oder Unternehmensregelungen kann somit außerdem nicht gefordert werden, dass verbindliche Unternehmensregelungen zwingend auf vertraglicher Basis begrün1 Vgl. Räther/Seitz, MMR 2002, 520 (527); Taeger/Gabel/Gabel, § 4c BDSG Rz. 29; s. zur Frage einer entsprechenden Übergangsfrist v. d. Bussche/Voigt/Kamp, Konzerndatenschutzrecht, Teil 4 Kapitel 5 Rz. 90. 2 www.gruppe.mercedes-benz.ch/…/Code_of_Conduct_deutsch.pdf (zuletzt besucht: September 2015). 3 www.telekom.com/code-of-conduct (zuletzt besucht: September 2015). 4 http://www.gdv.de/wp-content/uploads/2013/03/GDV_Code-of-Conduct_Datenschutz_ 2012.pdf (zuletzt besucht: September 2015).; zu den Unterschieden zu BCR s. Moos/ Abel/Schulte, Teil 5 V Rz. 8. 5 Artikel-29-Datenschutzgruppe, WP 74, S. 5; Spindler/Schuster, Recht der elektronischen Medien, § 4c BDSG Rz. 28. 6 Taeger/Gabel/Gabel, § 4c BDSG Rz. 29; Spindler/Schuster, Recht der elektronischen Medien, § 4c BDSG Rz. 28; Fünfzehnter Bericht der Hessischen Landesregierung über die Tätigkeit der für den Datenschutz im nicht-öffentlichen Bereich in Hessen zuständigen Aufsichtsbehörden, LT-Drucks. 15/4659, S. 16; v. d. Bussche/Voigt/Kamp, Konzerndatenschutzrecht, Teil 4 Kapitel 5 Rz. 84 ff. 7 Artikel-29-Datenschutzgruppe, WP 74, S. 5; Däubler/Klebe/Wedde/Weichert/Klebe, § 4c BDSG Rz. 22.

von dem Bussche

|

173

§ 4c BDSG | Allgemeine und gemeinsame Bestimmungen det werden müssen1. Möglich ist demnach z.B. auch die Verwendung einer Satzung2. 40 Entscheidend ist in erster Linie der verbindliche Charakter der Unternehmens-

regelungen, damit eine Datenübermittlung auf diese gestützt werden kann3. Nicht ausreichend sind also bloße Wohlverhaltenserklärungen oder ein unverbindlicher „Code of Conduct“4. Zu beachten ist, dass die Termini zum Teil nicht einheitlich verwendet werden. Daher ist mehr auf den verbindlichen Charakter des Regelungswerks zu achten als auf dessen Bezeichnung. Die Verbindlichkeit muss hierbei sowohl „intern“ als auch „extern“ wirken5. Interne Verbindlichkeit bedeutet, dass die einzelnen Konzernteile und Mitarbeiter durch entsprechende Weisungen zur Befolgung der jeweiligen Unternehmensregelungen verpflichtet werden6. Dies kann bspw. durch Androhung von Sanktionen, Schulungen, Festlegung von regelmäßigen Audits sowie eindeutigen Verpflichtungen zur Zusammenarbeit mit den zuständigen Datenschutzbehörden usw. gewährleistet werden7. Die externe Verbindlichkeit wird in erster Linie durch Drittbegünstigungsklauseln geschaffen: durch diese soll den von der Datenübermittlung Betroffenen ermöglicht werden, die Einhaltung der Bestimmungen unmittelbar und grenzüberschreitend durchsetzen zu können – sei es mithilfe der zuständigen Aufsichtsbehörden oder der Gerichte8. Die konkrete Ausgestaltung dieser Anforderungen hängt ab von der Unternehmensstruktur und den im jeweiligen Staat existierenden rechtlichen Möglichkeiten, in dem das zu verpflichtende Konzernunternehmen ansässig ist. Insbesondere hinsichtlich der Umsetzung der Drittbegünstigungsklausel ist eine rechtlich wirksame Durchsetzbarkeit zu gewährleisten, was sich in z.B. Deutschland (vgl. § 311 Abs. 1 BGB) sowie auch in anderen Staaten nur schwer durch einseitige Verpflichtungserklärungen oder konzerninterne Weisungen erreichen lässt9. Der Konzern ist somit auf1 So auch Spindler/Schuster, Recht der elektronischen Medien, § 4c BDSG Rz. 28; Däubler/ Klebe/Wedde/Weichert/Klebe, § 4c BDSG Rz. 22; a.A. Simitis/Simitis, § 4c BDSG Rz. 61 und 65. 2 Däubler/Klebe/Wedde/Weichert/Klebe, § 4c BDSG Rz. 22. 3 Simitis/Simitis, § 4c BDSG Rz. 65. 4 Vgl. Tinnefeld/Rauhofer, DuD 2008, 717 (721); vgl. auch Wisskirchen, CR 2004, 862 (866) – Verhaltenskodex ist nur dann taugliche Grundlage, wenn dieser den Umgang mit Daten verbindlich festlegt. 5 Artikel-29-Datenschutzgruppe, WP 74, S. 14 und 16; v. d. Bussche/Voigt/Kamp, Konzerndatenschutz, Teil 4 Kapitel 5 Rz. 10; Gierschmann/Saeugling/Thoma, § 4c BDSG Rz. 48 m.w.N. 6 Däubler/Klebe/Wedde/Weichert/Klebe, § 4c BDSG Rz. 22. 7 Artikel-29-Datenschutzgruppe, WP 74, S. 10 und 16; Spindler/Schuster, Recht der elektronischen Medien, § 4c BDSG Rz. 28. 8 Artikel-29-Datenschutzgruppe, WP 74, S. 11; Gola/Schomerus, § 4c BDSG Rz. 15; Spindler/Schuster, Recht der elektronischen Medien, § 4c BDSG Rz. 28. 9 Artikel-29-Datenschutzgruppe, WP 74, S. 12; Taeger/Gabel/Gabel, § 4c BDSG Rz. 30.

174

|

von dem Bussche

Ausnahmen | § 4c BDSG

gefordert die nötigen vertraglichen Voraussetzungen zu schaffen, damit Dritten (z.B. Aufsichtsbehörden oder den Betroffenen) die eben erwähnten erforderlichen Rechte eingeräumt werden1. Dem Betroffenen sollen Rechte in dem Umfang eingeräumt werden, wie diese entsprechend in den Standardvertragsklauseln gegenüber Datenexporteur und Datenimporteur vorgesehen sind2. Die Haftung und Verantwortung für sämtliche durch den Konzern begangene Verstöße gegen die verbindlichen Unternehmensregelungen soll konzernweit bei der Hauptniederlassung oder einem zu benennenden in der EU ansässigen Konzernteil konzentriert werden3. Schließlich müssen die geplanten Datenübermittlungen die unter Maßgabe der 41 Binding Coporate Rules erfolgen sollen, darin auch hinreichend konkretisiert werden4. Im Hinblick darauf, dass sich die behördliche Genehmigung anerkanntermaßen auch auf ganze „Arten von Übermittlungen“ erstrecken kann (s. Rz. 22), wird teilweise auch empfohlen, bereichsspezifische Unternehmensregelungen zu gestalten (bspw. differenziert nach Kunden- und Mitarbeiterdaten)5. Allerding stellt nicht nur die korrekte Formulierung eine erhebliche Schwierig- 41a keit dar, u.a. AGB-rechtlich, sondern es ist nicht gesichert, dass alle relevanten Betroffenen einwilligen und die Einwilligungen aufrecht erhalten, also nicht etwa widerrufen6. Ein allgemeingültiges Rezept für eine sinnvolle Herangehensweise an das „Projekt BCR“ ist deswegen schwer zu formulieren, denn der Vorteil von verbindlichen Unternehmensregelungen liegt gerade darin, dass diese auf die Eigenheiten des jeweiligen Konzerns abgestimmt werden können. In jedem Fall sollte zunächst geprüft werden, ob BCR für die jeweilige Unternehmensgruppe als geeignetes Regelwerk in Betracht kommen. Zudem ist zu berücksichtigen, dass verbindliche Unternehmensreglungen nicht nur in schönen Formulierungen auf dem Papier bestehen dürfen, sondern in der Praxis „gelebt“ werden sollen und durch entsprechende Verfahren und Maßnahmen umgesetzt werden müssen7. In Hinblick auf Cloud-Systeme kommen BCR nur für konzerninterne Cloud-Dienstleister in Betracht8. 1 Taeger/Gabel/Gabel, § 4c BDSG Rz. 30; Moritz/Tinnefeld, JurPC Web-Dok. 181/2003; ausführlich Schröder, DuD 2004, 462 ff. sowie Schröder, Die Haftung für Verstöße gegen Privacy Policies und Codes of Conduct nach US-amerikanischem und deutschem Recht, Dissertation 2008, S. 212 ff. 2 Artikel-29-Datenschutzgruppe, WP 74, S. 12. 3 Artikel-29-Datenschutzgruppe, WP 74, S. 19; Spindler/Schuster, Recht der elektronischen Medien, § 4c BDSG Rz. 28; s. zur Frage der Haftung auch v. d. Bussche/ Voigt/Kamp, Konzerndatenschutzrecht, Teil 4 Kapitel 5 Rz. 85 ff. 4 Artikel-29-Datenschutzgruppe, WP 74, S. 15. 5 Büllesbach/Höss-Löw, DuD 2001, 135 (138). 6 Zu einer wirksamen Konzerneinwilligung s. OLG Köln v. 17.6.2011 – 6 U 8/11. 7 v. d. Bussche/Voigt/Kamp, Konzerndatenschutz, Teil 4 Kapitel 5 Rz. 9. 8 Leupold/Glossner, Münchener Anwaltshandbuch IT-Recht, Teil 4 Cloud Computing Rz. 43.

von dem Bussche

|

175

§ 4c BDSG | Allgemeine und gemeinsame Bestimmungen bb) Genehmigungerfordernis/zuständige Aufsichtsbehörde 42 Fraglich ist, ob Übermittlungen, die unter Maßgabe von Binding Corporate Ru-

les durchgeführt werden, einer Genehmigung der zuständigen Aufsichtsbehörde nach § 4c Abs. 2 bedürfen. Teilweise wird vertreten, dass durch verbindliche Unternehmensregelungen bereits ein angemessenes Datenschutzniveau i.S.d. § 4b Abs. 2, 3 geschaffen wird und Übermittlungen auf deren Grundlage somit in den Selbstregulierungsbereich der verantwortlichen Stelle nach § 4b Abs. 5 fielen, es folglich keiner gesonderten behördlichen Genehmigung nach § 4c Abs. 2 bedürfe1. Aus systematischen und richtlinienkonformen Gesichtspunkten kann dem aber nicht gefolgt werden (s. ausführlich Komm. zu § 4b BDSG Rz. 25 f.). Die h.M. geht richtigerweise davon aus, dass in solchen Fällen eine Genehmigung der zuständigen Aufsichtsbehörde nach § 4c Abs. 2 einzuholen ist2. Folglich werden die verbindlichen Unternehmensregelungen erst im Rahmen einer behördlichen Prüfung i.S.d. § 4c Abs. 2 berücksichtigt; sie sind demnach nicht in der Lage, eine Drittlandsübermittlung bereits nach § 4b Abs. 2, 3 zu rechtfertigen3.

43 Zuständige Aufsichtsbehörde ist diejenige, in deren Jurisdiktion das Unterneh-

men seinen Sitz hat4. Hat ein Unternehmen Niederlassungen in mehreren europäischen Staaten und werden Daten auch von dort ins Ausland übermittelt, wird unter Umständen das Anrufen zahlreicher Aufsichtsbehörden erforderlich5. Um etwaigen Problemen und Unstimmigkeiten entgegenzuwirken, die sich aus der Vielzahl von potentiell zuständigen Aufsichtsbehörden ergeben können, hat die Artikel-29-Datenschutzgruppe ein Kooperationsverfahren entwickelt, das helfen soll, die verschiedenen Genehmigungsverfahren einheitlich und somit die Etablierung von verbindlichen Unternehmensregelungen attraktiver zu gestalten6. Fundament dieses Verfahrens ist die Bestimmung einer sog. federführenden Behörde auf Vorschlag des vorlegenden Unternehmens, welche in der Regel die für die Konzernzentrale (bzw. Europazentrale) zuständige Aufsichts-

1 So Gola/Schomerus, § 4c BDSG Rz. 16; Innenministerium Baden-Württemberg, Zweiter Tätigkeitsbericht zum Datenschutz im nichtöffentlichen Bereich, 2003, S. 19, abrufbar unter: http://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2013/02/2.T%C3%A4tigkeitsbericht-des-Innenministeriums-2003.pdf (zuletzt besucht: September 2015). 2 So Taeger/Gabel/Gabel, § 4c BDSG Rz. 31; Bergmann/Möhrle/Herb, § 4c BDSG Rz. 16; Däubler/Klebe/Wedde/Weichert/Klebe, § 4c BDSG Rz. 23; Spindler/Schuster, Recht der elektronischen Medien, § 4c BDSG Rz. 29; Simitis/Simitis, § 4c BDSG Rz. 66 f. 3 Bergmann/Möhrle/Herb, § 4c BDSG Rz. 17. 4 Vgl. Simitis/Simitis, § 4c BDSG Rz. 36; Spindler/Schuster, Recht der elektronischen Medien, § 4c BDSG Rz. 29 und 30. 5 Hierzu Hilber, RDV 2005, 143, 150 f. 6 Artikel-29-Datenschutzgruppe, WP 107: „Festlegung eines Kooperationsverfahrens zwecks Abgabe gemeinsamer Stellungnahmen zur Angemessenheit der verbindlich festgelegten unternehmensinternen Datenschutzgarantien“, S. 2 ff.

176

|

von dem Bussche

Ausnahmen | § 4c BDSG

behörde ist1. Die federführende Behörde stimmt die verbindlichen Unternehmensregelungen mit dem Unternehmen und den im weiteren Verlauf des Genehmigungsverfahrens weiterhin zuständigen Aufsichtsbehörden ab; es handelt sich somit um ein „One-Stop-Shopping“. Nicht handelt es sich wiederum um ein „Forum Shopping“2, da dem Konzern keine freie Wahlmöglichkeit hinsichtlich der federführenden Aufsichtsbehörde zukommt und den im Kooperationsverfahren unterbreiteten Vorschlag anhand aussagekräftiger Kriterien zu begründen hat3. Durch das „One-Stop-Shopping“-Verfahren bleibt die Zuständigkeit der einzelnen Aufsichtsbehörden grundsätzlich unberührt4. Jedoch haben sich mehrere europäische Aufsichtsbehörden dazu verpflichtet, die Entscheidungen der jeweils zuständigen federführenden Aufsichtsbehörde hinsichtlich vorgelegter Unternehmensregelungen anzuerkennen (sog. „Mutual Recognition“)5. Demnach werden seitens dieser Aufsichtsbehörden keine zusätzlichen Prüfungen vorgenommen6. cc) Genehmigungsgegenstand Innerhalb der h.M. ist allerdings umstritten, ob die verbindlichen Unterneh- 44 mensregelungen an sich Prüfungsgegenstand des Genehmigungsverfahrens sind7, oder jeweils nur einzelne Übermittlungen bzw. Arten von Übermittlungen unter Verwendung der Binding Corporate Rules des jeweiligen Unternehmens genehmigt werden können8. Letztere Ansicht orientiert sich in erster Linie am 1 Taeger/Gabel/Gabel, § 4c BDSG Rz. 32; Spindler/Schuster, Recht der elektronischen Medien, § 4c BDSG Rz. 30. 2 S. hierzu Lejeune, CR 2013, 822 (828). 3 Artikel-29-Datenschutzgruppe, WP 107, S. 2. 4 Dix/Gardain, DuD 2006, 343 (345). 5 Hierzu gehören aktuell 21 Staaten: Deutschland, Frankreich, Großbritannien, Irland, Island, Italien, Lettland, Liechtenstein, Luxemburg, Malta, Niederlande, Norwegen, Slowenien, Spanien, Tschechien und Zypern, Österreich, Belgien, Bulgarien, Estland, (aktueller Stand abrufbar unter http://ec.europa.eu/justice/data-protection/international-transfers/ binding-corporate-rules/mutual_recognition/index_en.htm – zuletzt besucht: September 2015); s.a. grundsätzlich zum europäischen Anerkennungsverfahren v. d. Bussche/ Voigt/Kamp, Konzerndatenschutzrecht, Teil 4 Kapitel 5, Rz. 93 ff.; Gierschmann/Saeugling/Thoma, § 4c BDSG Rz. 50; Moos/Abel/Schulte, Teil 5 V Rz. 14; Filip, ZD 2013, 51 und Artikel-29-Datenschutzgruppe, WP 107 vom 14.4.2005. S. zum Mutual Recognition-Verfahren speziell aus deutscher Sicht v. d. Bussche/Voigt/Kamp, Konzerndatenschutzrecht, Teil 4 Kapitel 5 Rz. 106 ff. 6 Taeger/Gabel/Gabel, § 4c BDSG Rz. 32. 7 So Simitis/Simitis, § 4c BDSG Rz. 67. 8 So Spindler/Schuster, Recht der elektronischen Medien, § 4c BDSG Rz. 29; Bergmann/ Möhrle/Herb, § 4c BDSG Rz. 16; wohl auch Taeger/Gabel/Gabel, § 4c BDSG Rz. 31; Gola/Schomerus, § 4c BDSG Rz. 17 (für den Fall, dass Unternehmensregelungen zur Absicherung vorgelegt werden), LfD Niedersachsen, Datenübermittlung ins Ausland, S. 4, abrufbar unter www.lfd.niedersachsen.de/download/101404/Datenuebermittlung_ins_Aus land_Stand_27.10.15_.pdf (zuletzt abgerufen Juli 2016).

von dem Bussche

|

177

§ 4c BDSG | Allgemeine und gemeinsame Bestimmungen Wortlaut der Norm, gemäß dem nur „einzelne Übermittlungen oder bestimmte Arten von Übermittlungen“ behördlich genehmigt werden können1. Demnach könnten die Aufsichtsbehörden weder Vertragsklauseln noch verbindliche Unternehmensregelungen genehmigen2. Des Weiteren würde eine anfängliche abstrakte Genehmigung zu der Erteilung einer unzulässigen „Blanko-Vollmacht“ führen3. 45 Für eine solche abstrakte Prüfung von Binding Corporate Rules spricht aller-

dings, dass der Gesetzgeber in der Begründung zur aktuellen Fassung des § 4c expressis verbis anführt, dass verbindliche Unternehmensregelungen „zur Genehmigung“ vorzulegen seien4. So geht auch die Artikel-29-Datenschutzgruppe wie selbstverständlich davon aus, dass verbindliche Unternehmensregelungen der behördlichen Genehmigung nach Art. 26 Abs. 2 der EG-Datenschutzrichtlinie bedürfen5. Ebenfalls das soeben beschriebene „One-Stop-Shopping“-Verfahren (s. Rz. 43) spricht eher dafür, dass die Binding Coporate Rules selbst Prüfungsgegenstand des behördlichen Genehmigungsverfahrens sein sollen. Insbesondere ist weiter zu beachten, dass nach Ansicht der Artikel-29-Datenschutzgruppe das Genehmigungserfordernis bei Aktualisierungen der verbindlichen Unternehmensregelungen nicht erneut auflebe6: Dies trägt dem Umstand Rechnung, dass Unternehmen sich verändernde Organisationen seien und nach Abschluss des Genehmigungsverfahrens neue Unternehmensteile in die Konzernstruktur aufgenommen werden und sich somit gewisse Arbeitsverfahren ändern können. Sofern der jeweilige Datenexporteur sicherstellt, dass der empfangende neue Unternehmensteil zur Einhaltung der verbindlichen Unternehmensregelungen verpflichtet ist, können personenbezogene Daten deshalb ohne vorherige erneute Genehmigung übermittelt werden. Über Aktualisierungen hinausgehend sind signifikante Änderungen im Bezug auf Verarbeitungsziele, verarbeitete Datenkategorien sowie betroffene Personen7. In solchen Fällen sind die veränderten Unternehmensregelungen erneut zur Genehmigung vorzulegen. Schließlich ist eine stets zu aktualisierende Liste aller Unternehmensteile zu führen und jährlich der Aufsichtsbehörde zu übermitteln, welche die Genehmigung ursprünglich erteilt hat. Aus diesen Umständen kann entnommen werden, dass die Artikel-29Datenschutzgruppe davon ausgeht, dass die nationalen Aufsichtsbehörden die Binding Corporate Rules abstrakt auf Datenschutzkonformität überprüfen und Datenübermittlungen unter Einhaltung der dort festgelegten Richtlinien keiner weiteren behördlichen Genehmigung bedürfen. Eine erneute Vorlageobliegenheit wäre nämlich nicht notwendig, wenn jeweils nur die konkreten Übermittlungen 1 2 3 4 5 6 7

So Bergmann/Möhrle/Herb, § 4c BDSG Rz. 16; Gola/Schomerus, § 4c BDSG Rz. 17. So Spindler/Schuster, Recht der elektronischen Medien, § 4c BDSG Rz. 29. Gola/Schomerus, § 4c BDSG Rz. 17. BT-Drucks. 14/4329, S. 35; kritisch Bergmann/Möhrle/Herb, § 4c BDSG Rz. 16. Artikel-29-Datenschutzgruppe, WP 74, S. 4 und WP 107, S. 2 ff. Artikel-29-Datenschutzgruppe, WP 74, S. 15 und 16. So auch v. d. Bussche/Voigt/Kamp, Konzerndatenschutzrecht, Teil 4 Kapitel 5 Rz. 89.

178

|

von dem Bussche

Ausnahmen | § 4c BDSG

den eigentlichen Genehmigungsgegenstand bilden würden. Denn dann müssten die Binding Corporate Rules, auf deren Grundlage dann die Bewertung der „ausreichenden Garantien“ i.S.d. § 4c Abs. 2 seitens der Aufsichtsbehörde erfolgt, ohnehin jeweils bei jedem Antrag nach § 4c Abs. 2 von der Behörde neu evaluiert werden. Auch die Klarstellung, dass sich Aktualisierungen der Unternehmensregelungen im Gegensatz dazu nicht auf eine bereits erteilte Genehmigung auswirken, spricht für ein solches Verständnis des Genehmigungsgegenstands. Dies würde auch nicht zu einer „Blanko-Vollmacht“ führen, da auch nur die Übermittlungen zulässig wären, die unter Befolgung der durch die Behörde genehmigten verbindlichen Unternehmensregelungen vollzogen werden1. Daher sprechen die überzeugenderen Argumente dafür, dass die Binding Cor- 46 porate Rules an sich der Prüfungsgegenstand des Genehmigungsverfahrens nach § 4c Abs. 2 sind. Die vorgebrachte Befürchtung einer „Blanko-Vollmacht“ ist unbegründet, sofern die jeweiligen verbindlichen Unternehmensregelungen die nach den Working Papers der Artikel-29-Datenschutzgruppe nötigen Klauseln und Konkretisierungen enthalten (s. Rz. 38). Insbesondere im Hinblick auf die verbindliche Konkretisierung der geplanten Übermittlungen ist auch nicht ersichtlich, dass die abstrakte Genehmigung von verbindlichen Unternehmensregelungen im Vergleich zu der Genehmigung von „bestimmten Arten von Übermittlungen“ einen signifikant unterschiedlichen Genehmigungsumfang hätte, da durch beide eine ähnliche Konkretisierung hinsichtlich der genehmigten Übermittlungen eintritt2. In praktischer Hinsicht muss man sogar attestieren, dass die Grenze zwischen beiden Antragsgegenständen fließend sein kann. Nichtsdestotrotz liegt auf der Hand, dass in der Praxis erhebliche Schwierigkei- 47 ten bei der Gestaltung und späteren Genehmigung verbindlicher Unternehmensregelungen bestehen, insbesondere solange nicht einmal Einigkeit darüber besteht, worin der Prüfungsgegenstand der behördlichen Genehmigung liegt und worauf sich die erteilte Genehmigung anschließend bezieht. In Deutschland werden Binding Corporate Rules bisweilen im Rahmen des sog. Düsseldorfer Kreises zwischen den vorlegenden Unternehmen und Aufsichtsbehörden abgestimmt3. Für die Zukunft ist zu hoffen, dass die von der Artikel-29-Datenschutzgruppe aufgestellten Leitlinien hinsichtlich der Gestaltung von verbindlichen Unternehmensregelungen von den nationalen Aufsichtsbehörden aufgegriffen werden und so ein europaweit einheitliches und abstraktes Genehmigungsverfahren sowie eine allgemeine Standardisierung der Übermittlungsbedingungen etabliert werden können4. Die Einführung des „One-Stop-Shopping“ und der „Mutual Recognition“ (s. Rz. 43) ist zweifelsfrei ein Schritt in die richtige Richtung. 1 So auch Simitis/Simitis, § 4c BDSG Rz. 67. 2 Vgl. Simitis/Simitis, § 4c BDSG Rz. 67. 3 Gola/Schomerus, § 4c BDSG Rz. 16; Spindler/Schuster, Recht der elektronischen Medien, § 4c BDSG Rz. 32. 4 Vgl. auch Simitis/Simitis, § 4c BDSG Rz. 67.

von dem Bussche

|

179

§ 4c BDSG | Allgemeine und gemeinsame Bestimmungen 47a Verglichen mit den EU-Standardvertragsklauseln sind Binding Corporate Rules

zwar bei den Bedürfnissen von Unternehmen flexibler. So müssen bei Änderungen der Konzernstrukturen keine neuen Regelungen getroffen werden, sondern die neu hinzukommenden Unternehmen treten der Unternehmensrichtlinie schlichtweg bei. Zudem ist neben der für die Genehmigung durch die Behörden erforderlichen Regelungstiefe ausreichend Platz für Bestimmungen, die genau auf die Bedürfnisse der Unternehmensstruktur angepasst werden können1. Jedoch geht dies zu Lasten eines mühsamen, langwierigen und kostenintensiven Genehmigungsprozesses2. Ein solcher entfällt bei den EU-Standardverträgen. Die höhere Rechtssicherheit bieten die Binding Corporate Rules, wenn eine Ergänzung der EU-Standardvertragsklauseln notwendig wird. Eine Ergänzung der Standardvertragsklausel ist dabei laut den Erwägungsgründen zulässig zum Zweck einer flexibleren Gestaltung des Vertrags3, jedoch besteht das Risiko, dass eine solche Ergänzung genehmigungsbedürftig ist (zur Genehmigungsbedürftigkeit der EU-Standardverträge bei ihrer Änderung s. Rz. 34). Zudem sind die EU-Standardvertragsklauseln primär für den bilateralen Datentransfer entworfen; bei Konzernen, die eine multilaterale Datenübermittlung praktizieren, bieten Binding Corporate Rules einen größeren Gestaltungsspielraum. Der ebenfalls von der Artikel-29-Datenschutzgruppe aufgezeigte4 mögliche Abschluss eines Ad-hoc-Vertrags ist den BCR dagegen grundsätzlich nicht vorzuziehen. Denn ein solcher Ad-Hoc-Vertrag erfordert stets noch die Genehmigung der zuständigen Datenschutzbehörde, weil es sich hierbei gerade nicht um einen unveränderten Standardvertrag handelt. Schon deshalb führt ein Ad-hoc-Vertrag zu einem gewissen, u.U. nicht unerheblichen Aufwand5. dd) Auftragsdatenverarbeitung außerhalb des Konzerns und Weiterübermittlungen („onward transfers“)

47b Die BCR müssen ausdrückliche Regelungen zur Beschränkung der Weitergabe

von Daten an gruppenfremde Empfänger enthalten bzw. die Bedingungen explizit festlegen, unter denen Weitergaben und Weiterübermittlungen an Auftragsdatenverarbeiter oder verantwortliche Stellen erfolgen dürfen6.

1 Hoeren, RDV 2012, 271 (275). 2 Hoeren, RDV 2012, 271 (275); für eine Übersicht von bereits genehmigten Binding Corporate Rules Verfahren s.a. http://ec.europa.eu/justice/data-protection/internationaltransfers/binding-corporate- rules/bcr_cooperation/index_en.htm (zuletzt besucht: September 2015). 3 Vgl. z.B. den Erwägungsgrund 4 der Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern nach der Richtlinie 95/46/ EG des Europäischen Parlaments und des Rates v. 5.2.2010 – 2010/87/EU. 4 Artikel-29-Datenschutzgruppe, WP 176, Nr. 1.3. 5 Filip, ZD 2013, 51 (59). 6 S. hierzu ausführlich zu den verschiedenen Konstellationen v. d. Bussche/Voigt/Kamp, Konzerndatenschutzrecht, Teil 4 Kapitel 5 Rz. 59 ff.

180

|

von dem Bussche

Ausnahmen | § 4c BDSG

ee) „BCR for Processors“ Es ist zu begrüßen, dass die Artikel-29-Datenschutzgruppe im Dezember 2012 47c beschlossen hat, dass die sog. Processor Binding Corporate Rules (Verbindliche Unternehmensregelungen zur Verarbeitung personenbezogener Daten für Auftragsverarbeiter – kurz: PBCR) ab dem 1.1.2013 grundsätzlich in einem vergleichbaren Verfahren wie die herkömmlichen BCR den europäischen Datenschutzbehörden zur Abstimmung vorgelegt werden können. Dies ist insbesondere für Fallgestaltungen im Rahmen von Cloud Computing von Bedeutung1. Bereits am 6.6.2012 hatte die Artikel-29-Datenschutzgruppe ein entsprechendes erstes Arbeitspapier veröffentlicht, in welchem sie die notwendigen Bestandteile solcher Regelungen definierte2. Insgesamt gibt es bislang drei Arbeitspapiere der Artikel-29-Datenschutzgruppe hierzu3. Die PBCR können zu einer Erleichterung führen, wenn der Abschluss einer Vielzahl von Einzelverträgen damit vermieden werden kann4. Grundlegender Unterschied zwischen den „normalen“ BCR und den PBCR ist, dass die an PBCR gebundenen Unternehmen gerade nicht verantwortliche Stellen im datenschutzrechtlichen Sinne sind5. Bei der Umsetzung ist zu beachten, dass die datenschutzrechtliche Verantwortlichkeit der verantwortlichen Stellen auch im Falle der Verwendung von PBCR stets in vollem Umfang und mit voller praktischer Wirksamkeit gewährleistet bleiben muss6.

IV. Rechtsfolgen/Sanktionen Ist bei einer vorgesehenen Datenübermittlung ins Ausland weder ein angemes- 48 senes Schutzniveau i.S.d. § 4b im Empfängerland noch eine Ausnahme nach § 4c Abs. 1 gegeben, hat die Datenübermittlung zu unterbleiben. Ein Verstoß hiergegen stellt eine Ordnungswidrigkeit dar und ist gemäß § 43 Abs. 2 Nr. 1 bis zu einer Höhe von 300 000 Euro bußgeld- sowie ggf. gemäß § 44 Abs. 1 mit Freiheitsstrafe bis zu zwei Jahren oder Geldstrafe strafbewehrt (vgl. bereits Komm. zu § 4b BDSG Rz. 39). Des Weiteren sind Schadensersatzansprüche etwaiger Betroffener gemäß §§ 7 und 8 denkbar. Gegen eine verweigerte Genehmigung i.S.d. Abs. 2 seitens der Aufsichtsbehörde, 49 kann die verantwortliche Stelle den Verwaltungsrechtsweg in Form einer Verpflichtungsklage vor dem zuständigen Verwaltungsgericht beschreiten, falls sie 1 Moos/Abel/Schulte, Teil 5 V Rz. 18. 2 Artikel-29-Datenschutzgruppe WP 195; entspricht funktional WP 153 für BCR für verantwortliche Stellen. 3 Artikel-29-Datenschutzgruppe WP 195, WP 195a und WP 204 (überarbeitete Version). 4 V. d. Bussche/Voigt/Kamp, Konzerndatenschutz, Teil 4 Kapitel 5 Rz. 109. 5 Moos/Abel/Schulte, Teil 5 V Rz. 18. 6 Moos/Abel/Schulte, Teil 5 V Rz. 18; Filip, ZD 2013, 51 (59).

von dem Bussche

|

181

§ 4d BDSG | Allgemeine und gemeinsame Bestimmungen weiterhin beabsichtigt, die ursprünglich geplante Datenübermittlung durchzuführen1. 50 Unabhängig davon ist fraglich, ob durch die verweigerte Genehmigung ein

Rückgriff auf einen möglicherweise einschlägigen Ausnahmetatbestand des Abs. 1 gesperrt wird. Davon muss jedenfalls dann ausgegangen werden, falls die Behörde im Rahmen ihrer Untersuchung feststellt, dass ein Ausnahmetatbestand des Abs. 1 nicht erfüllt ist, mithin eine materielle Bindungswirkung diesbezüglich eingetreten ist. Ersichtlich kommt es hierbei auf die Umstände des Einzelfalls, insbesondere den Umfang der von der jeweils zuständigen Aufsichtsbehörde vorgenommenen Prüfung an. In der Praxis können sich hierbei durchaus Inkongruenzen ergeben, so dass keine definitive Aussage diesbezüglich getroffen werden kann.

51 Ob es nun ratsam ist eine Genehmigung nach Abs. 2 „hilfsweise“ einzuholen,

obwohl aus Sicht der verantwortlichen Stelle bereits ein Ausnahmetatbestand des Abs. 1 erfüllt und die entsprechende Übermittlung mithin bereits gesetzlich legitimiert ist, muss angezweifelt werden. Erfahrungsgemäß sind Aufsichtsbehörden ohnehin eher zögerlich, wenn es darum geht sich auf eine positive Bescheidung eines Antrags, insbesondere schriftlich, festzulegen. Daher ist es unwahrscheinlich, dass die Rechtsposition der verantwortlichen Stelle durch vorherige Konsultation der zuständigen Aufsichtsbehörde gestärkt werden kann.

§ 4d Meldepflicht (1) Verfahren automatisierter Verarbeitungen sind vor ihrer Inbetriebnahme von nicht-öffentlichen verantwortlichen Stellen der zuständigen Aufsichtsbehörde und von öffentlichen verantwortlichen Stellen des Bundes sowie von den Post- und Telekommunikationsunternehmen der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit nach Maßgabe von § 4e zu melden. (2) Die Meldepflicht entfällt, wenn die verantwortliche Stelle einen Beauftragten für den Datenschutz bestellt hat. (3) Die Meldepflicht entfällt ferner, wenn die verantwortliche Stelle personenbezogene Daten für eigene Zwecke erhebt, verarbeitet oder nutzt, hierbei in der Regel höchstens neun Personen ständig mit der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten beschäftigt und entweder 1 Taeger/Gabel/Gabel, § 4c BDSG Rz. 19; Däubler/Klebe/Wedde/Weichert/Klebe, § 4c BDSG Rz. 14; je nach Bundesland muss ggf. im Vorfeld ein behördliches Widerspruchsverfahren gemäß den §§ 68 ff. VwVfG durchgeführt werden.

182

|

von dem Bussche

Meldepflicht | § 4d BDSG

eine Einwilligung des Betroffenen vorliegt oder die Erhebung, Verarbeitung oder Nutzung für die Begründung, Durchführung oder Beendigung eines rechtsgeschäftlichen oder rechtsgeschäftsähnlichen Schuldverhältnisses mit dem Betroffenen erforderlich ist. (4) Die Absätze 2 und 3 gelten nicht, wenn es sich um automatisierte Verarbeitungen handelt, in denen geschäftsmäßig personenbezogene Daten von der jeweiligen Stelle 1. zum Zweck der Übermittlung, 2. zum Zweck der anonymisierten Übermittlung oder 3. für Zwecke der Markt- oder Meinungsforschung gespeichert werden. (5) 1Soweit automatisierte Verarbeitungen besondere Risiken für die Rechte und Freiheiten der Betroffenen aufweisen, unterliegen sie der Prüfung vor Beginn der Verarbeitung (Vorabkontrolle). 2Eine Vorabkontrolle ist insbesondere durchzuführen, wenn 1. besondere Arten personenbezogener Daten (§ 3 Abs. 9) verarbeitet werden oder 2. die Verarbeitung personenbezogener Daten dazu bestimmt ist, die Persönlichkeit des Betroffenen zu bewerten einschließlich seiner Fähigkeiten, seiner Leistung oder seines Verhaltens, es sei denn, dass eine gesetzliche Verpflichtung oder eine Einwilligung des Betroffenen vorliegt oder die Erhebung, Verarbeitung oder Nutzung für die Begründung, Durchführung oder Beendigung eines rechtsgeschäftlichen oder rechtsgeschäftsähnlichen Schuldverhältnisses mit dem Betroffenen erforderlich ist. (6) 1Zuständig für die Vorabkontrolle ist der Beauftragte für den Datenschutz. 2Dieser nimmt die Vorabkontrolle nach Empfang der Übersicht nach § 4g Abs. 2 Satz 1 vor. 3Er hat sich in Zweifelsfällen an die Aufsichtsbehörde oder bei den Post- und Telekommunikationsunternehmen an die Bundesbeauftragte oder den Bundesbeauftragten für den Datenschutz und die Informatonsfreiheit zu wenden. I. Überblick . . . . . . . . . . . . . . . .

1

II. Meldepflicht für „Verfahren automatisierter Verarbeitung“ 1. Grundsatz der Meldepflicht (Abs. 1) . . . . . . . . . . . . . . . . . . 4 2. Ausnahmen von der Meldepflicht (Abs. 2 und 3) . . . . . . . . 9 3. Gegenausnahme für geschäftsmäßige Speicherung von Daten (Abs. 4) . . . . . . . . . . . . . . . . . . 13

4. Rechtsfolgen/Sanktionen bei unterlassener Meldung . . . . . . . III. Vorabkontrolle bei besonderen Risiken (Abs. 5 und 6) 1. Grundsatz der Durchführungspflicht . . . . . . . . . . . . . . . . . . . 2. Ausnahmen von der Durchführungspflicht . . . . . . . . . . . . 3. Zuständigkeit und Verfahren . . . 4. Rechtsfolgen . . . . . . . . . . . . . .

von dem Bussche

|

14

15 16 18 20

183

§ 4d BDSG | Allgemeine und gemeinsame Bestimmungen Schrifttum: Engelien-Schulz, Die Vorabkontrolle gemäß § 4d Abs. 5 und Abs. 6 Bundesdatenschutzgesetz, RDV 2003, 270; Forst, Whistleblowing und Datenschutz – Brauchen wir eine spezielle Regelung?, RDV 2013, 122; Gola, Die Digitalisierung der Personalakte und der Datenschutz, RDV 2008, 135; Gola/Klug, Neuregelung zur Bestellung betrieblicher Datenschutzbeauftrager, NJW 2007, 118; Hilpert, Zulässigkeit der Videoüberwachung nach § 6b BDSG am Beispiel des ÖPNV, RDV 2009, 160; Klug, Die Vorabkontrolle – Eine neue Aufgabe für betriebliche und behördliche Datenschutzbeauftragte, RDV 2001, 12; Müglich, Datenschutzrechtliche Anforderungen an die Vertragsgestaltung beim e-Shop Hosting – Anspruch, Wirklichkeit und Vollzugsdefizit, CR 2009, 479; Reif, Warnsysteme der Wirtschaft und Kundendatenschutz, RDV 2007, 4; Rüpke, Freie Advokatur, anwaltliches Berufsgeheimnis und datenschutzrechtliche Kontrollbefugnisse, RDV 2003, 72; Schild, Meldepflichten und Vorabkontrolle, DuD 2001, 282; Schild, Was hat der Personalrat mit dem Datenschutz zu tun? Versuch einer kleinen Einführung in das Datenschutzrecht, ZfPR 2010, 17; Weniger, Das Verfahrensverzeichnis als Mittel datenschutzkonformer Unternehmensorganisation, RDV 2005, 153; Westerwelle/Kahl, Die Novellierung des Bundesdatenschutzgesetzes, ITRB 2009, 273; Zilkens, Arbeitszeiterfassungssysteme und Datenschutz, RDV 2005, 50.

I. Überblick 1 § 4d regelt die Meldepflicht für Verfahren automatisierter Datenverarbeitung

sowie das Institut der Vorabkontrolle. Öffentliche und nicht-öffentliche Stellen sowie Post- und Telekommunikationsunternehmen müssen gemäß Abs. 1 vor der Aufnahme von Verfahren automatisierter Datenverarbeitungsprozesse diese der zuständigen Aufsichtsstelle melden. Durch das Meldeverfahren werden der Datenverarbeitungsvorgang und insbesondere auch die Zweckbestimmung der Datenverarbeitung offengelegt und so leichter überprüfbar gemacht1. Auch den Betroffenen soll erkennbar werden, ob und ggf. in welchem Maße sie von der Datenverarbeitung einer verantwortlichen Stelle betroffen sind2. Die Meldepflicht entfällt, wenn eine Ausnahme nach Abs. 2 oder 3 vorliegt. Abs. 4 wiederum regelt eine Gegenausnahme von Abs. 2 und 3 für den Fall, dass mit der automatisierten Datenverarbeitung bestimmte und geschäftsmäßig betriebene Zwecke verfolgt werden. Die inhaltlichen Anforderungen an die Meldung werden durch § 4e konkretisiert. Abs. 5 und 6 regeln die Vorabkontrolle für automatisierte Datenverarbeitungsvorgänge, die besondere Risiken für die Rechte und Freiheiten der Betroffenen aufweisen.

2 Bei der Anwendung von § 4d ist in drei Schritten, entsprechend der Regel-Aus-

nahme-Gegenausnahme-Struktur3 der Norm, vorzugehen: Zunächst ist von der generellen Meldepflicht für alle Verfahren automatisierter Datenverarbei-

1 Vgl. Erwägungsgrund 48 der EG-Datenschutzrichtlinie; ferner Schild, ZfPR 2010, 17 (20). 2 Gierschmann/Saeugling/Thoma, § 4d BDSG Rz. 5. 3 Vgl. Taeger/Gabel/Scheja, § 4d BDSG Rz. 5 und 7.

184

|

von dem Bussche

Meldepflicht | § 4d BDSG

tung auszugehen (Abs. 1). Dann sind die Ausnahmen von der Meldepflicht nach Abs. 2 oder Abs. 3 zu prüfen. Wird eine Ausnahme bejaht, ist Abs. 4 zu prüfen. Denn liegen dessen Voraussetzungen vor, kann sich die Verantwortliche Stelle gerade nicht auf die Ausnahmen in Abs. 2 oder 3 berufen. Zusätzlich ist zu prüfen, ob aufgrund der Besonderheiten der automatisierten Datenverarbeitung eine Vorabkontrollpflicht gemäß Abs. 5 besteht. § 4d setzt Art. 18 (Meldepflicht) und Art. 20 (Vorabkontrolle) der EG-Daten- 3 schutzrichtlinie um1. Die Vorschrift wurde durch die BDSG-Novellierung im Jahr 2009 geringfügig modifiziert: In Abs. 3 wurden mit Wirkung ab 1.4.2010 die Worte „in der Regel“ (höchstens neun Personen) sowie „ständig“ (beschäftigt) eingefügt. Mit Wirkung ab 1.9.2009 wurde in Abs. 4 die automatisierte Datenverarbeitung „zum Zwecke der Markt- oder Meinungsforschung“ neu aufgenommen; in Abs. 3 und Abs. 5 wurde außerdem der Begriff „Vertragsverhältnis“ durch „rechtsgeschäftliches oder rechtsgeschäftsähnliches Schuldverhältnis“ ersetzt. Siehe zu den im Vergleich zu § 4d deutlich enger gefassten Pflichten nach der 3a Datenschutzgrundverordnung, einer Datenschutz-Folgenabwägung und einer vorherigen Konsultation, Art. 35, 36 DSGVO.

II. Meldepflicht für „Verfahren automatisierter Verarbeitung“ 1. Grundsatz der Meldepflicht (Abs. 1) Abs. 1 bestimmt als gesetzlich geregelten Ausgangsfall: Die Verwendung von 4 Verfahren automatisierter Datenverarbeitung muss vor Inbetriebnahme gemeldet werden. Die Meldung darf nur unterbleiben, wenn eine der Ausnahmen der Abs. 2 und 3 vorliegt, was in der Praxis inzwischen als Regefall bezeichnet werden kann. Nach Abs. 1 sind nicht-öffentliche Stellen, öffentliche Stellen sowie Post- und Telekommunikationsunternehmen meldepflichtig. Damit werden grundsätzlich alle verantwortlichen Stellen von der Meldepflicht erfasst. Eine Ausnahme speziell für bestimmte Berufsgruppen, wie etwa solche, die Träger von Amts- oder Berufsgeheimnissen sind, ist nicht vorgesehen2. Dies war zunächst umstritten, mit der im Zuge der BDSG-Novelle im Jahr 2006 neu aufgenommenen Regelung in § 4f Abs. 2 Satz 3 stellte der Gesetzgeber die Rechtssicherheit aber wieder her3. Denn § 4f Abs. 2 Satz 3 stellt ausdrücklich klar, dass die vom Datenschutzbeauftragten durchzuführenden datenschutzrechtlichen Kontrollen auch Daten erfassen, die einem Berufs- oder Amtsgeheimnis unterliegen4. Eine 1 2 3 4

Bergmann/Möhrle/Herb, § 4d BDSG Rz. 3 und 9. Vgl. Simitis/Petri, § 4d BDSG Rz. 12; so aber Rüpke, RDV 2003, 72 (80). Vgl. Gola/Klug, NJW 2007, 118 (121). Simitis/Petri, § 4d BDSG Rz. 12.

von dem Bussche

|

185

§ 4d BDSG | Allgemeine und gemeinsame Bestimmungen grundsätzliche Anwendungsausnahme des BDSG und der Meldeverpflichtung für verantwortliche Stellen, die Berufs- und Amtsträger sind, lässt sich so nicht mehr begründen1. Die Meldepflicht entfällt ferner nicht dadurch, dass eine verantwortliche Stelle die Datenverarbeitung durch eine beauftragte Stelle im Rahmen der Auftragsdatenverarbeitung durchführen lässt2. Denn diese Dienstleistung ist der verantwortlichen Stelle weiterhin zuzurechnen, sie bleibt für diese Daten die verantwortliche Stelle im Sinne des Gesetzes3. Aus der Zurechnung wiederum folgt die Meldepflicht des Auftraggebers4. Durch den Wegfall der Regelung des § 32 in der Fassung des BDSG 1990 mit der BDSG-Novelle 2001 ist der Auftragsdatenverarbeiter selbst nicht mehr meldepflichtig5. 5 Empfänger der Meldung ist bei nicht-öffentlichen Stellen die „zuständige Auf-

sichtsbehörde“. Diese wird gemäß § 38 Abs. 6 von der jeweiligen Landesregierung bzw. der von ihr ermächtigten Stelle bestimmt. Die Aufsichtsbehörde führt gemäß § 38 Abs. 2 ein öffentlich zugängliches Register der nach § 4d meldepflichtigen Datenverarbeitungen. Es enthält die nach § 4e erforderlichen Pflichtangaben, die von jedermann abgerufen werden können (§ 38 Abs. 2). Zuständig für öffentliche Stellen sowie (öffentliche und nicht-öffentliche) Postund Telekommunikationsunternehmen ist hingegen der oder die Bundesbeauftragte für den Datenschutz (§ 22) Die Aufsichtsbehörden können die Meldung allenfalls auf formale Vollständigkeit und ggf. ins Auge fallende Widersprüche überprüfen, sind aber nicht zu einer ins Einzelne gehenden Prüfung verpflichtet (und könnten eine solche in diesem Rahmen auch nicht sinnvoll durchführen)6.

6 Gemäß Abs. 1 sind „Verfahren automatisierter Verarbeitung“ bei der zustän-

digen Behörde anzuzeigen. Den Begriffen „Verfahren“ und „automatisierte Verarbeitung“ kommt dabei eigenständige Bedeutung zu7. § 3 Abs. 2 definiert die „automatisierte Verarbeitung“ als „Erhebung, Verarbeitung oder Nutzung personenbezogener Daten unter Einsatz von Datenverarbeitungsanlagen“. Nicht definiert ist hingegen der Begriff des „Verfahrens“. Art. 18 Abs. 1 der EG-Datenschutzrichtlinie definiert den Gegenstand eines Verfahrens als „die Verarbeitung oder eine Mehrzahl von Verarbeitungen zur Realisierung einer oder mehrerer verbundener Zweckbestimmungen“. Damit ist der Begriff richtlinienkonform dahingehend zu verstehen, dass nicht jede einzelne Erhebung, Verarbeitung und Nutzung personenbezogener Daten ein eigenständiges Verfahren darstellt8. Der Begriff des Verfahrens soll vielmehr ein Bündel einzelner Vorgänge beschreiben,

1 2 3 4 5 6 7 8

Ausführlich Taeger/Gabel/Scheja, § 4d BDSG Rz. 11. Taeger/Gabel/Scheja, § 4d BDSG Rz. 12. Vgl. Däubler/Klebe/Wedde/Weichert/Wedde, § 11 BDSG Rz. 22 ff. Vgl. Spindler/Schuster, Recht der elektronischen Medien, § 4d BDSG Rz. 3. Taeger/Gabel/Scheja, § 4d BDSG Rz. 12; Simitis/Petri, § 4d BDSG Rz. 18. Gierschmann/Saeugling/Thoma, § 4d BDSG Rz. 14. Vgl. Simitis/Petri, § 4d BDSG Rz. 6. So auch Taeger/Gabel/Scheja, § 4d BDSG Rz. 13; Gola/Schomerus, § 4d BDSG Rz. 9a.

186

|

von dem Bussche

Meldepflicht | § 4d BDSG

die alle einem übergreifenden einheitlichen Zweck dienen1. Einheitliche Verfahren sind demnach z.B. die Telefondatenerfassung, Warnsysteme der Wirtschaft2, die Videoüberwachung3 oder die Personaladministrations- und Informationssysteme, die Arbeitszeiterfassung4, wohl auch der Betrieb eines Webshops durch den Host5, selbst wenn es in jedem dieser Bereiche zu zahlreichen individuellen datenschutzrechtlich relevanten Verarbeitungsvorgängen kommt6. Gemeldet werden muss somit nur das übergreifende Verfahren an sich, nicht aber jeder individuelle Datenverarbeitungsvorgang7. Dabei liegt die Einschätzung darüber, welche einzelnen Verarbeitungsvorgänge zu einem Verfahren zusammengefasst werden, weitestgehend im Ermessen der verarbeitenden Stelle8. Dabei ist das Verfahren in der Meldung hinreichend konkret zu beschreiben, um der Aufsichtsbehörde eine kursorische Rechtmäßigkeitsüberprüfung zu ermöglichen (s. dazu auch Komm. zu § 4e BDSG Rz. 7 f.)9; andernfalls droht ein Bußgeld gemäß § 43 Abs. 1 Nr. 1 i.V.m. Abs. 3. Die Meldung muss vor der Aufnahme des Verfahrens zur automatisierten Ver- 7 arbeitung erfolgen10, d.h. vor der tatsächlichen Aufnahme von Verarbeitungsvorgängen11. Dies ermöglicht der zuständigen Aufsichtsstelle die Zulässigkeit der Datenverarbeitung frühzeitig zu überprüfen. Da es sich aber nicht um ein Genehmigungserfordernis handelt und die Behörde die Meldung nur auf Vollständigkeit und nicht auf materielle Legalität hin überprüft, kann die verantwortliche Stelle unmittelbar nach erfolgter Meldung mit der Datenverarbeitung beginnen12. Eine gewisse Stillhaltefrist ist insofern nur in Betracht zu ziehen, wenn inhaltliche Bedenken gegen die Rechtmäßigkeit der Datenverarbeitung bestehen, wobei, wie soeben erwähnt, eine materielle Prüfung der Aufsichtsbehörde unter Umständen ohnehin nicht durchgeführt wird. Die inhaltlichen Anforderungen an die Meldung ergeben sich aus § 4e. Spezielle Formerfordernisse bestehen nicht, die Meldung kann also in jeder geeigneten Form (Schrei1 Däubler/Klebe/Wedde/Weichert/Klebe, § 4d BDSG Rz. 2; Simitis/Petri, § 4d BDSG Rz. 6 – meldepflichtig sei aber auch ein isolierter Verarbeitungsschritt, wenn dieser nicht Teil eines umfassenderen Verfahrens ist. 2 Hierzu Reif, RDV 2007, 4 (8). 3 Hierzu Hilpert, RDV 2009, 160 (167). 4 Zilkens, RDV 2005, 50 (52). 5 Hierzu Müglich, CR 2009, 479 (480). 6 Däubler/Klebe/Wedde/Weichert/Klebe, § 4d BDSG Rz. 2; ausführlich Wächter, Datenschutz im Unternehmen, Rz. 360 ff. 7 Gola/Schomerus, § 4d BDSG Rz. 9a; Däubler/Klebe/Wedde/Weichert/Klebe, § 4d BDSG Rz. 2; Taeger/Gabel/Scheja, § 4d BDSG Rz. 13. 8 So auch Taeger/Gabel/Scheja, § 4d BDSG Rz. 14; Weniger, RDV 2005, 153 (154). 9 Simitis/Petri, § 4d BDSG Rz. 26. 10 Däubler/Klebe/Wedde/Weichert/Klebe, § 4d BDSG Rz. 3; Zilkens, RDV 2005, 50 (52). 11 Gierschmann/Saeugling/Thoma, § 4d BDSG Rz. 12. 12 Vgl. Simitis/Petri, § 4d BDSG Rz. 30; Taeger/Gabel/Scheja, § 4d BDSG Rz. 18.

von dem Bussche

|

187

§ 4d BDSG | Allgemeine und gemeinsame Bestimmungen ben, Fax, E-Mail, Webformular1) erfolgen2. Auch auf eine sichere Übermittlung sollte Wert gelegt werden (z.B. durch Verschlüsselung der E-Mail bzw. des Webformulars)3. Viele Aufsichtsbehörden halten allerdings auch Musterformulare für die Meldung bereit, deren Verwendung zwar nicht verpflichtend, aber zu empfehlen ist4. 8 Die gemeldeten Verfahren werden gemäß § 38 Abs. 2 von der Aufsichtsbehörde

in ein Melderegister eingetragen. Wie bereits erwähnt erfolgt lediglich eine Prüfung hinsichtlich der Vollständigkeit der Meldung (s. Rz. 7). Mit der Eintragung in das Melderegister ist also keine konkludente Bestätigung der Rechtmäßigkeit der Datenverarbeitung verbunden5. 2. Ausnahmen von der Meldepflicht (Abs. 2 und 3)

9 Abs. 2 regelt die in der Praxis relevanteste Ausnahme von der Meldepflicht. Die

Meldepflicht entfällt für den Fall, dass die verantwortliche Stelle einen Datenschutzbeauftragten berufen hat. Irrelevant dabei ist, ob die Stelle hierzu verpflichtet war (§ 4f) oder sich freiwillig für die Bestellung entschieden hat6. Durch die Bestellung eines Datenschutzbeauftragten entfällt dann zwar die Meldepflicht gegenüber der externen Aufsichtsbehörde; intern ist die verantwortliche Stelle aber gemäß § 4g Abs. 2 Satz 1 weiterhin verpflichtet, dem Datenschutzbeauftragten eine inhaltlich weitgehend mit der Meldung identische Übersicht über alle Datenverarbeitungsvorgänge zu übergeben7. Öffentliche Stellen sind grundsätzlich gemäß § 4f Abs. 1 Satz 1 zur Bestellung eines Datenschutzbeauftragten verpflichtet (eine Ausnahme liegt lediglich bei einer möglichen Konzentrierung nach § 4f Abs. 1 Satz 5 vor, s. dazu Komm. zu § 4f BDSG Rz. 15)8. Bei nicht-öffentlichen Stellen sind nur kleinere Unternehmen, die „in der Regel höchstens neun Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen“ (§ 4f Abs. 1 Satz 4), ausgenommen. Folglich ist ein großer Teil aller datenverarbeitenden Stellen bereits aufgrund ihrer Verpflichtung zur Bestellung eines Datenschutzbeauftragten durch die Regelung des Abs. 2 von der Meldepflicht befreit. Dies zeigt, dass das gesetzlich vorgesehene Regel-Ausnahmeverhältnis in der Praxis umgekehrt ist – die 1 Simitis/Petri, § 4d BDSG Rz. 28; Gierschmann/Saeugling/Thoma, § 4d BDSG Rz. 13. – Vereinzelt gehen Aufsichtsbehörden von Authentizitätsproblemen bei Meldungen per E-Mail aus; eine vorherige Abstimmung dahingehend wird daher empfohlen. 2 Däubler/Klebe/Wedde/Weichert/Klebe, § 4d BDSG Rz. 3. 3 Gierschmann/Saeugling/Thoma, § 4d BDSG Rz. 13. 4 Taeger/Gabel/Scheja, § 4d BDSG Rz. 16. 5 Simitis/Petri, § 4d BDSG Rz. 30; Taeger/Gabel/Scheja, § 4d BDSG Rz. 18. 6 BT-Drucks. 14/4329, S. 35. 7 Vgl. Taeger/Gabel/Scheja, § 4d BDSG Rz. 20. 8 Vgl. auch Gola/Schomerus, § 4d BDSG Rz. 5.

188

|

von dem Bussche

Meldepflicht | § 4d BDSG

Befreiung von der Meldepflicht ist die Regel, die wirksame Meldepflicht die Ausnahme1. Ferner befreit Abs. 3 kleinere Unternehmen bei Vorliegen von drei Vorausset- 10 zungen von der Meldepflicht: (1) Die Daten verarbeitende Stelle erhebt, verarbeitet oder nutzt die Daten ausschließlich „für eigene Zwecke“. Dieses Tatbestandsmerkmal ist identisch mit dem in § 28 verwendeten Begriff2. Erfasst ist damit die für die Verfolgung von Geschäftszwecken erforderliche Datenverarbeitung, nicht aber die Datenverarbeitung um ihrer selbst willen als eigenständiger Geschäftszweck (s. Komm. zu § 28 BDSG Rz. 12 ff.). (2) Die Stelle beschäftigt hierbei „in der Regel höchstens neun Personen stän- 11 dig“ mit der automatisierten Datenverarbeitung. Durch die BDSG-Novellierung im Jahr 2009 wurde der Wortlaut dieser Voraussetzung an den des § 4f Abs. 1 Satz 4 angepasst. Durch diese Formulierung werden vor allem kleinere Betriebe entlastet, die weniger als zehn Personen mit datenverarbeitenden Aufgaben betraut haben3. Der Begriff „Personen“ stellt klar, dass nicht nur Arbeitnehmer, sondern alle für die verantwortliche Stelle Tätigen berücksichtigt werden. Unerheblich ist es daher, ob die mit der automatisierten Datenverarbeitung betrauten Personen Vollzeit- oder Teilzeitkräfte, Auszubildende, Praktikanten, Leiharbeiter oder Freie Mitarbeiter sind4. Maßgeblich ist allein, ob die jeweilige Person für und im Auftrag der verantwortlichen Stelle tätig wird. Bei der Berechnung der Personen ist vom Regelbetrieb („in der Regel“) auszugehen und nicht von evtl. existierenden saisonalen Unterschieden nach oben bzw. unten. Berücksichtigung findet jegliche mit der Datenverarbeitung verbundene Tätigkeit, ob die jeweilige Person den Verarbeitungsprozess ganz oder teilweise selbständig durchführen kann ist irrelevant5. Es genügt bereits, dass ein Zugriff auf personenbezogene Daten möglich ist6. Folglich ist grundsätzlich jede Person, die Zugriff auf E-Mails, das Internet oder sonstige Datenbanken bspw. Kundenkonten hat, zu berücksichtigen7. Ebenfalls umfasst werden die der eigentlichen automatisierten Verarbeitung vor- und nachgelagerten Tätigkeiten wie etwa das handschriftliche Ausfüllen von Formularen sowie das anschließende Versenden

1 2 3 4 5

Vgl. Bergmann/Möhrle/Herb, § 4d BDSG Rz. 22. Taeger/Gabel/Scheja, § 4d BDSG Rz. 22. BR-Drucks. 302/06, S. 20. Däubler/Klebe/Wedde/Weichert/Däubler, § 4f BDSG Rz. 15. Simitis/Simitis, § 4f BDSG Rz. 28, 29; Däubler/Klebe/Wedde/Weichert/Däubler, § 4f BDSG Rz. 14. 6 Taeger/Gabel/Scheja, § 4f BDSG Rz. 21; Bergmann/Möhrle/Herb, § 4f BDSG Rz. 30; Simitis/Simitis, § 4f BDSG Rz. 28. 7 Vgl. Taeger/Gabel/Scheja, § 4d BDSG Rz. 23; Simitis/Simitis, § 4f BDSG Rz. 28; Däubler/ Klebe/Wedde/Weichert/Däubler, § 4f BDSG Rz. 14.

von dem Bussche

|

189

§ 4d BDSG | Allgemeine und gemeinsame Bestimmungen von Verarbeitungsergebnissen1. Der Begriff ständig bedeutet nicht notwendig dauernd, verlangt aber, dass die Tätigkeit auf Dauer angelegt ist und die betreffende Person immer dann tätig wird, wenn es notwendig ist, selbst wenn die Tätigkeit nur in zeitlichen Abständen (z.B. monatlich) anfällt2. Personen, die nur ausnahmsweise und vereinzelt Zugriff auf personenbezogene Daten haben, müssen nicht berücksichtigt werden3. 12 (3) Eine Einwilligung des Betroffenen in die Datenverarbeitung liegt vor oder

die Datenverarbeitung ist für die Durchführung oder Beendigung eines rechtsgeschäftlichen oder rechtsgeschäftsähnlichen Schuldverhältnisses mit dem Betroffenen erforderlich. Die Einwilligung muss den Anforderungen des § 4a entsprechen (s. dazu Komm. zu § 4a BDSG Rz. 2). Der Wortlaut wurde mit der BDSG-Novelle im Jahr 2009 dahingehend abgeändert, dass die Datenverarbeitung nunmehr zur Durchführung oder Beendigung des Schuldverhältnisses erforderlich sein muss und ihr nicht lediglich dienen solle. Gleichermaßen wurde die Formulierung in § 28 angepasst, insofern sei auf die dortige Kommentierung verwiesen (s. dazu Komm. zu § 28 BDSG Rz. 8 ff., 109). Nichtsdestotrotz wurde der bis 2009 geltende Begriff „dient“ ohnehin als „erforderlich“ gelesen4. Die praktische Relevanz dieser Gesetzesänderungen ist somit gering und eher deklaratorischer Art5. 3. Gegenausnahme für geschäftsmäßige Speicherung von Daten (Abs. 4)

13 Abs. 4 regelt die Gegenausnahme zu Abs. 2 und 3. Diese gelten dann nicht,

wenn die automatisierte Datenverarbeitung dazu dient, geschäftsmäßig personenbezogene Daten zum Zweck der Übermittlung oder anonymisierten Übermittlung sowie der Markt- und Meinungsforschung zu speichern. Abs. 4 nimmt damit die Datenverarbeitung gemäß §§ 29, 30 und 30a in Bezug – derartige Datenverarbeitungsvorgänge, wie sie bei Auskunfteien, Detekteien und Kreditschutzorganisationen (Schufa)6 aber auch in sozialen Netzwerken wie Xing oder Facebook7 zu finden sind, sind also stets meldepflichtig, da von ihnen eine gesteigerte Gefahr für das Recht auf informationelle Selbstbestimmung der Betroffenen ausgeht8. Geschäftsmäßig ist die Datenverarbeitung dann, wenn sie auf eine gewisse Dauer angelegt ist, wobei die Wiederholungsabsicht maßgeblich

1 2 3 4 5 6 7 8

Vgl. Simitis/Simitis, § 4f BDSG Rz. 29; Gola/Schomerus, § 4f BDSG Rz. 13. Vgl. Taeger/Gabel/Scheja, § 4f BDSG Rz. 21. Taeger/Gabel/Scheja, § 4d BDSG Rz. 23. Däubler/Klebe/Wedde/Weichert/Klebe, § 4d BDSG Rz. 6; Gola/Schomerus, § 28 BDSG Rz. 14. So Westerwelle/Kahl, ITRB 2009, 273 (274); zum Hintergrund der Änderungen in § 28 BDSG: BT-Drucks. 16/12011, S. 31. Beispiele nach Simitis/Petri, § 4d BDSG Rz. 15. So Taeger/Gabel/Scheja, § 4d BDSG Rz. 31. Simitis/Petri, § 4d BDSG Rz. 17.

190

|

von dem Bussche

Meldepflicht | § 4d BDSG

ist1. Auf Entgeltlichkeit kommt es hingegen nicht an (zum Begriff der Geschäftsmäßigkeit s. Komm. zu § 29 BDSG Rz. 7)2. 4. Rechtsfolgen/Sanktionen bei unterlassener Meldung Wer die Meldung pflichtwidrig unterlässt oder sie nicht richtig, nicht vollstän- 14 dig oder nicht rechtzeitig tätigt, handelt ordnungswidrig (§ 43 Abs. 1 Nr. 1), was eine Geldbuße bis zu 50 000 Euro zur Folge haben kann (§ 43 Abs. 2).

III. Vorabkontrolle bei besonderen Risiken (Abs. 5 und 6) 1. Grundsatz der Durchführungspflicht Bei der Vorabkontrolle geht es um eine frühzeitige Befassung des Datenschutz- 15 beauftragten mit Vorhaben, die besondere Risiken für die Betroffenen hervorrufen können – es soll also nicht eine spätere Überprüfung abgewartet werden, weil sich bis dahin diese Risiken möglicherweise schon realisiert haben und Betroffene in ihren Rechte verletzt haben könnten3. Weist die automatisierte Verarbeitung personenbezogener Daten besondere Risiken für die „Rechte und Freiheiten der Betroffenen“ auf, ordnet Abs. 5 vor Beginn der Verarbeitung eine sog. Vorabkontrolle an4. Das Gesetz nennt zwei konkretisierende Regelbeispiele: Besondere Risiken sind bspw. („insbesondere“) anzunehmen bei der Verarbeitung besonderer Arten personenbezogener Daten (§ 3 Abs. 9) oder wenn die Verarbeitung dazu bestimmt ist, die Persönlichkeit des Betroffenen zu bewerten5, etwa im Rahmen von Personalinformationssystemen6, bei Auswahlverfahren7 und in Assessment Centern8. Erfasst sein sollen aber auch Systeme zur Bewertung der Kreditwürdigkeit eines Kunden9, der Einsatz von Videoüberwachung, Chipkarten, Warndateien und das Anlegen von Kundenprofilen10. Im Generellen hat der Gesetzgeber der Norm den Gedanken zugrunde gelegt, dass eine automatisierte Verarbeitung personenbezogener Daten, das Recht auf informationelle Selbstbestimmung des Betroffenen nach Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG besonders gefährdet und 1 2 3 4 5 6 7 8 9 10

Däubler/Klebe/Wedde/Weichert/Klebe, § 4d BDSG Rz. 9. Simitis/Ehmann, § 29 BDSG Rz. 61; Taeger/Gabel/Scheja, § 4d BDSG Rz. 29. Gierschmann/Saeugling/Thoma, § 4d BDSG Rz. 15. Ausführlich: Engelien-Schulz, RDV 2003, 270; zum europarechtlichen Hintergrund s. Art. 20 sowie Erwägungsgrund 54 der EG-Datenschutzrichtlinie. Bejaht vom VG Wiesbaden bzgl. der Frage einer Visa-Erteilung im Rahmen eines Asylverfahrens mit Urteil v. 4.4.2013 – 6 K 910/12.WI.A. Zur digitalisierten Personalakte: Gola, RDV 2008, 135 (142). Simitis/Petri, § 4d BDSG Rz. 33. Däubler/Klebe/Wedde/Weichert/Klebe, § 4d BDSG Rz. 10. Reif, RDV 2007, 4 ff. Beispiele nach Däubler/Klebe/Wedde/Weichert/Klebe, § 4d BDSG Rz. 10.

von dem Bussche

|

191

§ 4d BDSG | Allgemeine und gemeinsame Bestimmungen somit die durch § 4g Abs. 1 Nr. 1 vorgesehene laufende Rechtmäßigkeitskontrolle als unzureichend erscheint1. Im Hinblick auf die erforderliche Schwere des Eingriffs zwecks Qualifikation als „besonderes Risiko“ im Sinne der Norm, wird man sich an den exemplarisch genannten Fällen orientieren können2. Die EG-Datenschutzrichtlinie nennt in Erwägungsgrund 53 mögliche Faktoren, die ein besonderes Risiko i.S.d. § 4g Abs. 5 etablieren können: Art der Verarbeitung, Tragweite für den Betroffenen, Verwendung neuer Technologie, risikoträchtige Zweckbestimmung. Darüber hinaus sind die Wahrscheinlichkeit irreversibler Schäden sowie die Verwendung besonders komplexer Verarbeitungssysteme zu berücksichtigen3. Im Weiteren sind hierbei auch die Gefahren maßgeblich, die sich aus der konkreten Verwendungsmöglichkeit eines möglicherweise „belanglosen“ Datums durch dessen automatisierte Verarbeitung ergeben können4. Hieraus schließend ist bereits indiziert, dass der Auslegung des unbestimmten Rechtsbegriffs „besondere Risiken“ in der Praxis kaum Grenzen gesetzt sind und die Abgrenzung zu nicht-vorabprüfpflichtigen Verarbeitungen große Probleme bereitet5. Dennoch ist der Ausnahmecharakter der Norm nicht aus dem Blick zu verlieren und daher der Anwendungsbereich des Vorabkontrollverfahrens sinnvoll und angemessen abzustecken6. Folglich ist stets im Einzelfall zu entscheiden. Eine konkrete Form und ein konkreter Inhalt werden von der Vorschrift nicht verlangt7. 2. Ausnahmen von der Durchführungspflicht 16 Die grundsätzlich erforderliche Vorabkontrolle entfällt gemäß Abs. 5 Satz 2

Halbs. 2 in drei Fällen: (1) Es besteht eine gesetzliche Verpflichtung zur automatisierten Datenverarbeitung. Erforderlich dabei ist, dass das einschlägige Gesetz die automatisierte Datenverarbeitung i.S.v. § 4 Abs. 1 ausdrücklich anordnet, und nicht bloß ermöglicht8. (2) Der Betroffene hat in die Verarbeitung eingewilligt9. Die Einwilligung muss – wie stets – den Anforderungen des 4a bzw. im Bereich der Werbung denen des § 28 Abs. 3a entsprechen und sich gerade auch auf die automatisierte Verarbeitung erstrecken10. (3) Die Datenverarbei-

1 Vgl. Erwägungsgründe 53 u. 54 der EG-Datenschutzrichtlinie; so auch Simitis/Petri, § 4d BDSG Rz. 32. 2 Vgl. Spindler/Schuster, Recht der elektronischen Medien, § 4d BDSG Rz. 9. 3 Ausführlich Simitis/Petri, § 4d BDSG Rz. 35. 4 BVerfGE 65, 1 – Volkszählungsurteil; Taeger/Gabel/Scheja, § 4d BDSG Rz. 64; Däubler/ Klebe/Wedde/Weichert/Klebe, § 4d BDSG Rz. 9. 5 Vgl. Gola/Schomerus, § 4d BDSG Rz. 9; Taeger/Gabel/Scheja, § 4d BDSG Rz. 60; Gliss, DSB 2003, Nr. 6, S. 14–15. 6 Vgl. Erwägungsgründe 53 u. 54 der EG-Datenschutzrichtlinie; so auch Kort, RDV 2011, 79 (81). 7 Gierschmann/Saeugling/Thoma, § 4d BDSG Rz. 22. 8 Taeger/Gabel/Scheja, § 4d BDSG Rz. 68; Engelien-Schulz, RDV 2003, 270 (273). 9 VG Gießen v. 16.7.2004 – 22 L 2286/04, Rz. 30 (am Rande). 10 Simitis/Petri, § 4d BDSG Rz. 34.

192

|

von dem Bussche

Meldepflicht | § 4d BDSG

tung ist zur Begründung, Durchführung oder Beendigung eines rechtsgeschäftlichen oder rechtsgeschäftsähnlichen Schuldverhältnisses mit dem Betroffenen erforderlich. Die Konsequenz daraus ist, dass Personalinformations- und -auswahlsysteme, obwohl dort in der Regel sensitive Daten i.S.d. Abs. 5 Satz 2 Nr. 1 verarbeitet werden, zumindest nicht grundsätzlich der Vorabkontrolle unterliegen, da sie zur Begründung oder Durchführung eines Arbeitsverhältnisses erforderlich sein können1. Ungeachtet dessen ist wie im Rahmen der §§ 28 ff. im Einzelfall zu prüfen, ob die Verarbeitung unerlässlich für die Zweckbestimmung des jeweiligen Schuldverhältnisses ist2. Umstritten ist die Reichweite dieser Ausnahmen. Ihre Stellung am Ende des 17 2. Halbs. von Abs. 5 Satz 2, der Regelbeispiele für die Notwendigkeit eine Vorabkontrolle nennt, kann aus syntaktischen Gesichtspunkten darauf hindeuten, dass diese Ausnahmen auch nur für diese Regelbeispiele, nicht aber generell für die Vorabkontrolle nach Satz 1 gelten sollen3. Demnach könnten sich also nur Stellen auf die Ausnahmen berufen, die entweder personenbezogene Daten i.S.v. § 3 Abs. 9 verarbeiten (Nr. 1) oder die Persönlichkeit des Betroffenen bewerten (Nr. 2)4. Dagegen ist die Komplexität des formulierten Ausnahmekatalogs im Gegensatz zur potentiellen Anwendbarkeit auf lediglich zwei Regelbeispiele, mithin bloßen Konkretisierungen eines Grundsatzes, zu beachten: Es erscheint unwahrscheinlich, dass dieses Ungleichgewicht vom Gesetzgeber intendiert war5. Ebenfalls im Hinblick auf die Schutzbedürftigkeit des Betroffenen ist nicht nachvollziehbar, warum gerade nur diese äußerst grundrechtsrelevanten Datenverarbeitungsvorgänge von einer möglichen Befreiung des Vorabkontrollverfahrens profitieren sollten. Schließlich öffnet die Formulierung „insbesondere“ Satz 2 auch für unbegrenzt weitere Fälle, die besondere Risiken bei der automatisierten Datenverarbeitung aufweisen, so dass bereits vom Wortlaut her die Ausnahmen für diese weiteren Fälle zugelassen werden müssten. Die in Abs. 5 Satz 2 Halbs. 2 genannten Ausnahmevoraussetzungen sind demnach als „Satz 3“ der Norm zu lesen und folglich auf die generelle Pflicht zur Durchführung einer Vorabkontrolle gemäß Satz 1 anzuwenden; die in Satz 2 genannten Regelbeispiele stellen mithin lediglich Konkretisierungen des Grundsatzes nach Satz 1 dar6.

1 Taeger/Gabel/Scheja, § 4d BDSG Rz. 62; Bergmann/Möhrle/Herb, § 4d BDSG Rz. 44; Gola/Schomerus, § 4d BDSG Rz. 13; a.A. Simitis/Petri, § 4d BDSG Rz. 34; differenzierend Spindler/Schuster, Recht der elektronischen Medien, § 4d BDSG Rz. 12. 2 Vgl. Taeger/Gabel/Taeger, § 28 BDSG Rz. 47. 3 So Simitis/Petri, § 4d BDSG Rz. 34; Schild, DuD 2001, 282 (285). 4 So Engelien-Schulz, RDV 2003, 270 (273); Simitis/Petri, § 4d BDSG Rz. 33; uneindeutig in der Gesetzesbegründung: BT-Drucks. 14/4329, S. 36. 5 Vgl. Taeger/Gabel/Scheja, § 4d BDSG Rz. 67. 6 Im Ergebnis auch Taeger/Gabel/Scheja, § 4d BDSG Rz. 67; Gola/Schomerus, § 4d BDSG Rz. 11; Däubler/Klebe/Wedde/Weichert/Klebe, § 4d BDSG Rz. 8; a.A. Simitis/Petri, § 4d BDSG Rz. 34; Spindler/Schuster, Recht der elektronischen Medien, § 4d BDSG Rz. 11.

von dem Bussche

|

193

§ 4d BDSG | Allgemeine und gemeinsame Bestimmungen 3. Zuständigkeit und Verfahren 18 Zuständig für die Durchführung der Vorabkontrolle ist gemäß Abs. 6 der Da-

tenschutzbeauftragte, sobald er die entsprechende Übersicht gemäß § 4g Abs. 2 Satz 1 des etwaigen automatisierten Verarbeitungsvorhabens empfangen hat (s. dazu Komm. zu § 4g BDSG Rz. 25). Die Frage, wer eine Vorabkontrolle durchführen soll, wenn eine verantwortliche Stelle keinen DSB bestellt hat, ist wegen § 4f Abs. 1 Satz 6 obsolet, weil danach stets (etwa auch von Kleinstunternehmen) ein DSB zu bestellen ist, wenn Verfahren der Vorabkontrolle unterliegen1. Dem Datenschutzbeauftragten obliegt es dann festzustellen, ob ein „besonderes Risiko“ im oben genannten Sinne des Abs. 5 vorliegt2. Demnach ist der Datenschutzbeauftragtenicht nur mit der Prüfpflicht, sondern auch mit der Beurteilungskompetenz über das Vorliegen eines Falles des Abs. 5 ausgestattet3. Die Prüfungskompetenz nach Abs. 6 im Rahmen der Vorabkontrolle ist jedoch nicht uneingeschränkt gewährt. Vielmehr ist sie auf die spezifischen von Abs. 5 berücksichtigten Gefahren, die aus automatisierten Verarbeitungsvorgängen erwachsen können („besondere Risiken“), limitiert4. Um diese etwaigen unverhältnismäßige Eingriffe in das informationelle Selbstbestimmungsrecht der Betroffenen bewerten zu können, ist in der Praxis allerdings von der Notwendigkeit einer umfassenden materiellen Zulässigkeitsprüfung auszugehen5.

19 Nach Abs. 6 Satz 3 besteht nur für den Datenschutzbeauftragten von nicht-öf-

fentlichen Stellen eine Pflicht, bei Zweifeln über die Rechtmäßigkeit des Verfahrens die zuständige Stelle zu Rate zu ziehen. Angesichts seiner Weisungsfreiheit (vgl. § 4f Abs. 3 Satz 2) wird allein auf die Sicht des Datenschutzbeauftragten und nicht auf die Sicht der Leitung der verantwortlichen Stelle abzustellen sein6. Demnach besteht die Pflicht, die Aufsichtsbehörde zu Rate zu ziehen, sofern der Beauftragte Zweifel bei der Beurteilung einer geplanten automatisierten Verarbeitungsmaßnahme hat7. Allerdings wird man wohl aus der arbeitsrechtlichen Treuepflicht ableiten können, dass zuvörderst eine Klärung mit der verantwortlichen Stelle anzustreben ist, um bestehende Zweifel über die Rechtmäßigkeit des Verfahrens auszuräumen8. Erst wenn bestehende Zweifel im Diskurs mit der verantwortlichen Stelle nicht ausgeräumt werden können, sollte die Aufsichtsbehörde bzw. der Bundesbeauftragte für Datenschutz konsultiert werden9. Wird dies vom Datenschutzbeauftragten versäumt, kann die Aufsichts-

1 2 3 4 5 6 7 8 9

Gierschmann/Saeugling/Thoma, § 4d BDSG Rz. 21. Spindler/Schuster, Recht der elektronischen Medien, § 4d BDSG Rz. 15. So auch Gola/Schomerus, § 4d BDSG Rz. 14. BT-Drucks. 14/4329, S. 35. So auch Taeger/Gabel/Scheja, § 4d BDSG Rz. 73. So auch Gola/Schomerus, § 4d BDSG Rz. 19; Taeger/Gabel/Scheja, § 4d BDSG Rz. 68. Wybitul, Handbuch – Datenschutz im Unternehmen, Rz. 368. Gola/Schomerus, § 4d BDSG Rz. 18. BT-Drucks. 14/4329, S. 36.

194

|

von dem Bussche

Meldepflicht | § 4d BDSG

behörde dessen Abbestellung verlangen, vgl. § 4f Abs. 3 Satz 4 i.V.m. § 38 Abs. 5 Satz 3. Stellt allerdings der Datenschutzbeauftragte zweifelsfrei fest, dass ein geplantes Vorhaben unzulässig ist, und die verarbeitende Stelle entschließt sich dennoch, dieses Vorhaben durchzuführen, erwächst für den Datenschutzbeauftragten daraus keine Pflicht zur Anzeige dieser unzulässigen Verarbeitung im Sinne eines „Whistleblowing“1. Der Zweck der Norm liegt nämlich darin, dem Datenschutzbeauftragten bei Zweifeln die Möglichkeit zu eröffnen, auf die Fachkunde der zuständigen Aufsichtsbehörde zurückgreifen zu können und nicht ihn als „Spitzel“ der Aufsichtsbehörde im Unternehmen einzusetzen2. Dies entspricht auch dem generellen Prinzip der Selbstkontrolle, das dem BDSG zugrunde liegt. Darüber hinaus wäre es weder sachgerecht, noch im BDSG angelegt, sollte den Datenschutzbeauftragten grundsätzlich eine Verantwortlichkeit für einen seiner Meinung nach unzulässigen Datenverarbeitungsvorgang treffen. Er hat seiner Pflicht vollumfänglich Genüge getan, indem er die verantwortliche Stelle auf seine Bedenken aufmerksam macht. Entschließt sich die verantwortliche Stelle dennoch die Verarbeitung entgegen dem Anraten des Datenschutzbeauftragten vorzunehmen, ist es nicht angemessen, ihn darüber hinaus mit einer Anzeigepflicht und folglich der Verantwortlichkeit für diese Verarbeitung auf ihn zu belasten. Denn letztlich obliegt der verantwortlichen Stelle die Entscheidungsgewalt in datenschutzrechtlicher Hinsicht, d.h. sie entscheidet, welche Verarbeitungen durchgeführt und welche Datenschutzmaßnahmen getroffen werden (s. Komm. zu § 4g BDSG Rz. 7). Auch trägt die verarbeitende Stelle die Verantwortung und potentielle Haftung für jegliche datenschutzrechtliche Verstöße, ferner Komm. zu § 4g BDSG Rz. 43). Schließlich ist dem Datenschutzbeauftragten in Anbetracht der Konfliktsituation, in der er sich als einerseits Mandatsträger und andererseits Angestellter der verantwortlichen Stelle befindet, eine Anzeigepflicht schlicht nicht zuzumuten3. 4. Rechtsfolgen Ebenso wie die bloße Meldung gemäß Abs. 1 ist die Vorabkontrolle allerdings 20 nicht als Genehmigung des geplanten Vorhabens zu begreifen. Im Unterschied zur Meldung wird bei der Vorabkontrolle jedoch die materielle Rechtmäßigkeit der automatisierten Datenverarbeitung im soeben abgesteckten Rahmen des Abs. 5 mit überprüft (s. Rz. 18)4. Bei dieser Prüfung kann die Konsultation der

1 So auch Gola/Schomerus, § 4d BDSG Rz. 19; Kort, RDV 2011, 79 (83); a.A. Taeger/Gabel/ Scheja, § 4d BDSG Rz. 78; Simitis/Simitis, § 4g BDSG Rz. 23; s. zum Whistleblowing auch Forst, RDV 2013, 122. 2 Kort, RDV 2011, 79 (83). 3 Vgl. auch Gola/Schomerus, § 4d BDSG Rz. 18. 4 BT-Drucks. 14/4329, S. 35; ausführlich zu den inhaltlichen Anforderungen: EngelienSchulz, RDV 2003, 270 (274 ff.).

von dem Bussche

|

195

§ 4d BDSG | Allgemeine und gemeinsame Bestimmungen Websites einiger Datenschutzbehörden hilfreich sein1. Dem Wortlaut nach hat die Vorabkontrolle „vor Beginn der Verarbeitung“ zu erfolgen. Jedenfalls muss die verantwortliche Stelle den Datenschutzbeauftragten so rechtzeitig vor Beginn informieren, dass dieser ausreichend Zeit für die Durchführung der Prüfung hat2. Vom Wortlaut der Norm ausgehend ist dabei unklar, ob die verarbeitende Stelle auch das Ergebnis der Vorabprüfung abwarten muss, ehe sie mit der Datenverarbeitung beginnen kann. Infolgedessen ist ebenso unklar, ob die Vorabkontrolle eine Rechtmäßigkeitsvoraussetzung für die geplante automatisierte Verarbeitung darstellt3. Im Umkehrschluss aus der mangelnden Genehmigungskompetenz des Datenschutzbeauftragten kann aber abgeleitet werden, dass weder die Freigabe des Vorhabens durch den Datenschutzbeauftragten noch eine ordnungsgemäße Durchführung des Vorabkontrollverfahrens zur Rechtmäßigkeit der geplanten Verarbeitung erforderlich sind; entscheidend ist somit ausschließlich die materielle Legalität4. Konsequenz daraus ist außerdem, dass die verantwortliche Stelle nicht an die Entscheidung des Datenschutzbeauftragten gebunden ist5. Dennoch ist zur internen Absicherung zu empfehlen, mit der Durchführung der Verarbeitung abzuwarten, bis der Datenschutzbeauftragte seine Prüfung abgeschlossen hat, um ggf. bei einer negativen Bescheidung eine interne Lösung zu erarbeiten6. Falls die verantwortliche Stelle sich dazu entschließen sollte, sich über die zutreffend negativ ausfallende Stellungnahme des Datenschutzbeauftragten hinwegzusetzen, trägt sie das Risiko und die Verantwortung, falls sich die Verarbeitung im Nachhinein als unzulässig herausstellt7. 21 Nach den Katalogen der §§ 43, 44 ist die Nichtdurchführung der Vorabkontrolle

weder bußgeld- noch strafbewehrt8.

1 Z.B. ist auf der Website des Hessischen Landesbeauftragten für Datenschutz eine Checkliste für die Prüfung nach Hessischem Landesrecht zu finden, s. http://www.daten schutz.hessen.de/tf001.htm (zuletzt besucht: September 2015). 2 Simitis/Petri, § 4d BDSG Rz. 37. 3 Spindler/Schuster, Recht der elektronischen Medien, § 4d BDSG Rz. 16. 4 So auch Gola/Schomerus, § 4d BDSG Rz. 15; Taeger/Gabel/Scheja, § 4d BDSG Rz. 74; Däubler/Klebe/Wedde/Weichert/Klebe, § 4d BDSG Rz. 11; Simitis/Petri, § 4d BDSG Rz. 41; a.A. Spindler/Schuster, Recht der elektronischen Medien, § 4d BDSG Rz. 16. 5 Taeger/Gabel/Scheja, § 4d BDSG Rz. 77. 6 Vgl. auch Taeger/Gabel/Scheja, § 4d BDSG Rz. 77; am Rande auch davon ausgehend: VG Wiesbaden v. 27.2.2009 – 6 K 1045/08.WI. 7 So auch Gola/Schomerus, § 4d BDSG Rz. 16; Simitis/Petri, § 4d BDSG Rz. 41; Taeger/ Gabel/Scheja, § 4d BDSG Rz. 67. 8 Gola/Schomerus, § 4d BDSG Rz. 15 Gierschmann/Saeugling/Thoma, § 4d BDSG Rz. 26.

196

|

von dem Bussche

Inhalt der Meldepflicht | § 4e BDSG

§ 4e Inhalt der Meldepflicht 1Sofern

Verfahren automatisierter Verarbeitungen meldepflichtig sind, sind folgende Angaben zu machen: 1. Name oder Firma der verantwortlichen Stelle, 2. Inhaber, Vorstände, Geschäftsführer oder sonstige gesetzliche oder nach der Verfassung des Unternehmens berufene Leiter und die mit der Leitung der Datenverarbeitung beauftragten Personen, 3. Anschrift der verantwortlichen Stelle, 4. Zweckbestimmungen der Datenerhebung, -verarbeitung oder -nutzung, 5. eine Beschreibung der betroffenen Personengruppen und der diesbezüglichen Daten oder Datenkategorien, 6. Empfänger oder Kategorien von Empfängern, denen die Daten mitgeteilt werden können, 7. Regelfristen für die Löschung der Daten, 8. eine geplante Datenübermittlung in Drittstaaten, 9. eine allgemeine Beschreibung, die es ermöglicht, vorläufig zu beurteilen, ob die Maßnahmen nach § 9 zur Gewährleistung der Sicherheit der Verarbeitung angemessen sind. 2§ 4d Abs. 1 und 4 gilt für die Änderung der nach Satz 1 mitgeteilten Angaben sowie für den Zeitpunkt der Aufnahme und der Beendigung der meldepflichtigen Tätigkeit entsprechend. I. Allgemeines/Zuständigkeiten . . 1 II. Interne Verarbeitungsübersicht und externes Verfahrensverzeichnis . . . . . . . . . . . . . . . . . 5 III. Inhalt der Meldepflicht 1. Basisdaten der verantwortlichen Stelle (Satz 1 Nr. 1, 2, 3) . . . . . . 6 2. Zweckbestimmung der Datenerhebung, -verarbeitung oder -nutzung (Satz 1 Nr. 4) . . . . . . . 7 3. Beschreibung der betroffenen Personengruppen und Daten (Satz 1 Nr. 5) . . . . . . . . . . . . . . 10

4. Empfänger oder Kategorien von Empfängern, denen die Daten mitgeteilt werden können (Satz 1 Nr. 6) . . . . . . . . . . . . . . 5. Regelfristen für die Löschung der Daten (Satz 1 Nr. 7) . . . . . . . . . 6. Geplante Datenübermittlung in Drittstaaten (Satz 1 Nr. 8) . . . 7. Allgemeine Beschreibung der Sicherheit der Datenverarbeitung (Satz 1 Nr. 9) . . . . . . . . . . . . . . IV. Aktualität des Registers (Satz 2) V. Folgen einer fehlerhaften, unvollständigen oder unterlassenen Meldung . . . . . . . . . .

11 12 13 14 15 16

Schrifttum: Siehe die Literaturangaben bei § 4d BDSG; ferner Beckschulze/Fackeldey, Systematischer Aufbau von Betriebsvereinbarungen zum Schutz von Beschäftigtendaten,

von dem Bussche

|

197

§ 4e BDSG | Allgemeine und gemeinsame Bestimmungen RDV 2013, 109; Bitkom (Hrsg.), Verfahrensverzeichnis und Verarbeitungsübersicht nach BDSG, Version 2.0, 2007; Fraenkel/Hammer, Rechtliche Löschvorschriften, DuD 2007, 899; Innenministerium Baden-Württemberg, Hinweise des Innenministeriums zum Datenschutz für private Unternehmen und Organisationen (Nr. 40), v. 18.2.2002; Hallermann, Der „Teilzeit-Datenschutzbeauftragte“ und das Verfahrensverzeichnis: Praxistipps für eine schlanke Umsetzung der BDSG-Vorgaben, RDV 2013, 173; Petri, Inhaltliche Anforderungen an die Verfahrensübersicht nach §§ 4g Abs. 2, 4e BDSG als Grundlage für ein effektives Datenschutzmanagement, RDV 2003, 267.

I. Allgemeines/Zuständigkeiten 1 § 4e knüpft an die Meldepflicht aus § 4d an. Während § 4d darüber entscheidet,

ob eine Meldepflicht besteht oder nicht (s. dazu Komm. zu § 4d BDSG Rz. 2), konkretisiert § 4e durch die Aufzählung in Nr. 1–9 den Inhalt der abzugebenden Meldung1. Die im Rahmen des § 4e zuzuleitenden Informationen sollen der zuständigen Aufsichtsbehörde ermöglichen, eine Übersicht über die bei der verantwortlichen Stelle vorhandenen oder von ihr geplanten Datenverarbeitungsvorgänge zu erhalten, sowie dadurch eine effektive materielle Prüfung der jeweiligen Vorhaben durchführen zu können2. Dabei differenziert die Vorschrift nicht nach verantwortlichen Stellen. Da § 4d Abs. 1 auch für öffentliche Stellen des Bundes gilt, ist der Umfang der Angaben der Gleiche; differenziert wird jedoch (der Erfassung nachgelagert) bei der Bereitstellung von Angaben gegenüber Dritten3. Nach Abgabe der Meldung kann die verantwortliche Stelle mit dem gemeldeten Datenverarbeitungsvorgang beginnen, ohne auf eine etwaige Stellungnahme der Aufsichtsbehörde warten zu müssen4; Im Einzelfall kann jedoch die Einhaltung einer gewissen Stillhaltefrist geboten sein (s. dazu Komm. zu § 4d BDSG Rz. 7).

2 Die Angaben nach Nr. 1–8 werden von der Aufsichtsbehörde in das gemäß § 38

Abs. 2 Satz 1 geführte öffentliche Register eingetragen. Ausgenommen hiervon sind lediglich die gemäß Nr. 9 ebenfalls zu beschreibenden Maßnahmen der Datensicherung. Diese werden gemäß § 38 Abs. 2 Satz 3 in einem Teil des Registers aufbewahrt, der nicht generell zugänglich ist. Zuständig ist gemäß § 38 Abs. 1 die Aufsichtsbehörde, in deren Bezirk die meldepflichtige Stelle ihren Sitz hat. Sofern dieser außerhalb der EU liegt, ist der Sitz des im Inland ansässigen Vertreters der meldepflichtigen Stelle maßgeblich (vgl. § 1 Abs. 5)5. Die meisten Aufsichtsbehörden halten ein vorgefertigtes Meldeformular auf ihren Websites bereit6.

1 2 3 4 5 6

S. zum Umfang der Pflicht zur Offenlegung Sächsisches OVG v. 17.7.2013 – 3 B 470/12. Vgl. Simitis/Petri, § 4e BDSG Rz. 1. Gierschmann/Saeugling/Thoma, § 4e BDSG Rz. 2. Vgl. Gola/Schomerus, § 4e BDSG Rz. 2. Gola/Schomerus, § 4e BDSG Rz. 4. Liste der Aufsichtsbehörden mit weiterleitenden Hyperlinks abrufbar unter: http://www. datenschutz-berlin.de/content/adressen/deutschland/aufsichtsbehoerden (zuletzt besucht: September 2015).

198

|

von dem Bussche

Inhalt der Meldepflicht | § 4e BDSG

Für den Fall, dass für die verantwortliche Stelle eine behördliche Meldepflicht 3 besteht, obwohl ein Datenschutzbeauftragter bestellt worden ist, verbleibt die Zuständigkeit der Meldung bei der verantwortlichen Stelle, es sei denn, dass diese Obliegenheit dem Datenschutzbeauftragten individualvertraglich übertragen worden ist1. In der Praxis trifft dies allerdings nur auf nicht-öffentliche Stellen zu, die geschäftsmäßig personenbezogene Daten zum Zwecke der Übermittlung i.S.d. § 4d Abs. 4 verarbeiten2. Der Großteil der verantwortlichen Stellen ist ohnehin von der Meldepflicht gegenüber der Behörde befreit (s. dazu Komm. zu § 4d BDSG Rz. 9). Durch die BDSG-Novelle 2009 wurde § 4e nicht berührt. Die Norm geht zurück 4 auf die Umsetzung des Art. 19 EG-Datenschutzrichtlinie3. Zu den Pflichten nach der Datenschutzgrundverordnung, s. Art. 35, 36 DSGVO. 4a

II. Interne Verarbeitungsübersicht und externes Verfahrensverzeichnis § 4e legt im Wesentlichen die Inhalte der internen Verarbeitungsübersicht 5 i.S.d. § 4g Abs. 2 Satz 1 fest, welche dem betrieblichen Datenschutzbeauftragten von der verantwortlichen Stelle zur Verfügung zu stellen ist4. Darüber hinaus sind in der Übersicht zusätzlich die „zugriffsberechtigten Personen“ gemäß § 4g Abs. 1 Satz 1 Halbs. 2 zu nennen (s.a. Komm. zu § 4g BDSG Rz. 20). Der Datenschutzbeauftragte hat die interne Verarbeitungsübersicht dann gemäß Satz 2 für „jedermann“ zugänglich zu machen (ausführlich Komm. zu § 4g BDSG Rz. 23 f.). Dieses externe Verfahrensverzeichnis, häufig auch „Jedermannsverzeichnis“ genannt, beinhaltet lediglich die Angaben gemäß § 4e Satz 1 Nr. 1–8. Die verantwortliche Stelle soll nicht dazu verpflichtet werden, ihre technischen und organisatorischen Datensicherungsmaßnahmen (Nr. 9) offenzulegen5. Wie bei der Meldung gegenüber der zuständigen Aufsichtsbehörde, soll dem Datenschutzbeauftragten detailliert über die interne Verarbeitungsübersicht bzw. Außenstehenden wenigstens überblicksartig mit Hilfe des externen Verfahrensverzeichnisses ermöglicht werden, eine Übersicht über die betriebenen oder geplanten

1 Taeger/Gabel/Scheja, § 4e BDSG Rz. 4; Spindler/Schuster, Recht der elektronischen Medien, § 4e BDSG Rz. 2; bzgl. einer etwaig einzuhaltenden Stillhaltefrist s. Komm. zu § 4d BDSG Rz. 7. 2 Bergmann/Möhrle/Herb, § 4e BDSG Rz. 4. 3 Spindler/Schuster, Recht der elektronischen Medien, § 4e BDSG Rz. 1. 4 S. zum Charakter einer Detailbetriebsvereinbarung als Verfahrensverzeichnis Beckschulze/Fackeldey, RDV 2013, 109 (111). 5 Däubler/Klebe/Wedde/Weichert/Klebe, § 4g BDSG Rz. 20.

von dem Bussche

|

199

§ 4e BDSG | Allgemeine und gemeinsame Bestimmungen datenschutzrechtlich relevanten Verfahren innerhalb der verantwortlichen Stelle zu erhalten1.

III. Inhalt der Meldepflicht 1. Basisdaten der verantwortlichen Stelle (Satz 1 Nr. 1, 2, 3) 6 Dem ausdrücklichen Wortlaut der Nr. 1 nach genügt die Angabe von Name

oder Firma der verantwortlichen Stelle. Angaben z.B. zur Handelsregister- oder Vereinsregisternummer sowie zum zuständigen Amtsgericht sind hingegen nicht erforderlich2. Die anzugebende Firma entspricht dem Handelsnamen nach § 17 HGB3. Handelt es sich bei der verantwortlichen Stelle um eine natürliche Person, muss sie Vor- und Nachname angeben. Darüber hinaus sind nach Nr. 2 ferner sowohl die mit der Geschäftsleitung, als auch die mit der Leitung der Datenverarbeitung betrauten Personen der verantwortlichen Stelle mit Vor- und Zunamen zu nennen4. Die Nennung des Datenschutzbeauftragten ist dagegen nicht vorgeschrieben, aber dennoch empfehlenswert, da er regelmäßig Ansprechpartner der Aufsichtsbehörden sowie der Betroffenen ist5. Im Rahmen von Nr. 3 ist umstritten, ob die reale Postanschrift zu melden ist6, oder ob eine Postfachanschrift genügt7. Da die von Nr. 1–3 geforderten Angaben insgesamt den Betroffenen ermöglichen sollen, die verantwortliche Stelle und den richtigen Ansprechpartner stets identifizieren zu können8, ist von diesem Normzweck ausgehend die Angabe einer realen Postanschrift zu fordern. Die Angabe von Telekommunikationswegen ist gesetzlich zwar nicht festgeschrieben, wird aber bspw. von den Meldeformularen der Aufsichtsbehörden aus Praktikabilitätsgründen vorgesehen9. Ebenfalls aus Identifikationsgründen ist es außerdem erforderlich, dass die Kontaktdaten stets auf dem aktuellen Stand sind10. 1 Taeger/Gabel/Scheja, § 4e BDSG Rz. 2. Eine für die Praxis wertvolle Hilfestellung zur Umsetzung des externe Verfahrensverzeichnisses und der internen Verarbeitungsübersicht bietet BITKOM, Verfahrensverzeichnis und Verarbeitungsübersicht nach BDSG – Ein Praxisleitfaden, Version 2.0 v. 2007 sowie Hallermann, RDV 2013, 173. 2 Simitis/Petri, § 4e BDSG Rz. 4; Taeger/Gabel/Scheja, § 4e BDSG Rz. 6; a.A. Bergmann/ Möhrle/Herb, § 4e BDSG Rz. 7. 3 Däubler/Klebe/Wedde/Weichert/Klebe, § 4e BDSG Rz. 2. 4 Spindler/Schuster, Recht der elektronischen Medien, § 4e BDSG Rz. 4. 5 Simitis/Petri, § 4e BDSG Rz. 6; Taeger/Gabel/Scheja, § 4e BDSG Rz. 6. 6 So Simitis/Petri, § 4e BDSG Rz. 6; Spindler/Schuster, Recht der elektronischen Medien, § 4e BDSG Rz. 4; Däubler/Klebe/Wedde/Weichert/Klebe, § 4e BDSG Rz. 2; Bergmann/ Möhrle/Herb, § 4e BDSG Rz. 9. 7 So Taeger/Gabel/Scheja, § 4e BDSG Rz. 6. 8 Vgl. Gola/Schomerus, § 4e BDSG Rz. 5. 9 Simitis/Petri, § 4e BDSG Rz. 6. 10 Taeger/Gabel/Scheja, § 4e BDSG Rz. 6.

200

|

von dem Bussche

Inhalt der Meldepflicht | § 4e BDSG

2. Zweckbestimmung der Datenerhebung, -verarbeitung oder -nutzung (Satz 1 Nr. 4) Mit der schriftlichen Festlegung von Zweckbestimmungen soll zuvörderst eine 7 Überprüfung der Vereinbarkeit mit dem Datenschutzrecht ermöglicht werden1. Fraglich ist, auf welche Zweckbestimmung abzustellen ist bzw. wie der Begriff in diesem Zusammenhang auszulegen ist. Überwiegend wird in der Fachliteratur auf den „Primärzweck“ i.S.d. § 28 Abs. 1 Satz 2 der Verarbeitung abgestellt2. Demnach könne eine Orientierung an der Systematik der §§ 28 ff. erfolgen, so dass zunächst zwischen Datenverarbeitungen für „eigene Zwecke“ i.S.d. § 28, sowie zu „Übermittlungszwecken in nicht anonymisierter (§ 29) oder anonymisierter (§ 30) Form“ zu differenzieren sei3. Dieses Verständnis hat zur Folge, dass die Meldepflicht eine Angabe jeder einzelnen Datenverarbeitung i.S.d. §§ 28 ff. verlangt. Stringenter erscheint allerdings, den Bezug der Zweckbestimmung der jewei- 8 ligen automatisierten Datenverarbeitungsverfahren i.S.d. § 4d Abs. 1 herzustellen, mit der Konsequenz, dass im Rahmen der Meldung, lediglich die im Vorfeld durch die verantwortliche Stelle festgelegten einheitlichen Zwecke zur Bündelung von einzelnen Datenverarbeitungsvorgängen zu „Verfahren“ i.S.d. § 4d Abs. 1 zu nennen sind (s. dazu Komm. zu § 4d BDSG Rz. 6). Dafür spricht in erster Linie, dass § 4e sich systematisch nicht auf § 28 bezieht, sondern den Inhalt der Meldepflicht konkretisiert und demnach auf § 4d aufbaut. Hinzukommend ist der Wortlaut beider Normen diesbezüglich identisch, denn beide gehen von „Verfahren automatisierter Verarbeitung“ als Regelungsgegenstand aus. Demnach ist zu attestieren, dass sich die Meldepflicht nicht auf einzelne Verarbeitungen i.S.d. §§ 28 ff., sondern auf „Verfahren“, mithin Bündel einzelner Datenverarbeitungen, i.S.d. § 4d bezieht. Im Einzelfall kann dies freilich deckungsgleich ausfallen. Die rechtliche Klammer dieser „Bündel“ ist die durch die einzelnen gebündelten Datenverarbeitungsvorgänge verfolgte Zweckbestimmung (s. dazu Komm. zu § 4d BDSG Rz. 6). Im Ergebnis bleibt also festzuhalten, dass im Rahmen des § 4e Satz 1 Nr. 4 der gleiche Maßstab hinsichtlich der Bestimmung des „Zwecks“ anzusetzen ist wie in § 4d Abs. 14. Dafür spricht schließlich auch, dass ebenfalls die EG-Datenschutzrichtlinie in den durch §§ 4d und e umgesetzten Art. 18 Abs. 1 und Art. 19 Abs. 1 Buchst. b den Begriff „Zweckbestimmungen“ einheitlich verwendet.

1 Vgl. Richtlinie 95/46/EG, Erwägungsgrund 48. 2 So Simitis/Petri, § 4e BDSG Rz. 7; Bergmann/Möhrle/Herb, § 4e BDSG Rz. 10; Gola/ Schomerus, § 4e BDSG Rz. 6; zustimmend wohl auch Däubler/Klebe/Wedde/Weichert/ Klebe, § 4e BDSG Rz. 3. 3 So Bergmann/Möhrle/Herb, § 4e BDSG Rz. 10; sich dem anschließend Däubler/Klebe/ Wedde/Weichert/Klebe, § 4e BDSG Rz. 3. 4 Im Ergebnis wohl auch Taeger/Gabel/Scheja, § 4e BDSG Rz. 7.

von dem Bussche

|

201

§ 4e BDSG | Allgemeine und gemeinsame Bestimmungen 9 Tatsächlich bleibt es der verantwortlichen Stelle überlassen in welchem Detail-

grad der jeweilige Zweck bestimmt wird (vgl. Komm. zu § 4d BDSG Rz. 6). Die Angaben sollten dabei jedoch zumindest so genau beschrieben werden, dass eine kursorische datenschutzrechtliche Bewertung möglich ist1, z.B. bezüglich Personalverwaltungssystem, elektronische Bewerberdatenbank, Zugangskontrollsystem, Speicherung von Internetverbindungsdaten, Telefonkostenabrechnung etc.2. Aus Sicht der verantwortlichen Stelle sollte ein angemessener, d.h. nicht zu kleinteiliger Detailgrad gewählt werden3. Da je detaillierter die Konkretisierung der Verarbeitungszwecke ausfällt, desto – unter Umständen unsachgemäß – umgrenzter ist regelmäßig der erlaubte Umfang der Datenverwendung4. 3. Beschreibung der betroffenen Personengruppen und Daten (Satz 1 Nr. 5)

10 Die Vorschrift soll den Empfängern der Meldung ermöglichen, in Zusammen-

hang mit den Zweckbestimmungen nach Nr. 4 Art und Umfang der Verarbeitungsvorgänge einschätzen zu können. Durch die Festlegung von Personengruppen soll der Einzelne in die Lage versetzt werden, schnell festzustellen, ob seine Daten ggf. erfasst sind und die Geltendmachung von Auskunftsansprüchen sinnvoll ist5. Jede von der Datenverarbeitung betroffene Personengruppe sollte deswegen benannt werden. Der Begriff „Personengruppe“ erlaubt Zusammenfassungen und Kategorisierungen, zunächst abstrakt6 wie etwa Angestellte, Vertragspartner oder Dritte; allerdings auch differenzierter7 wie etwa Kreditnehmer, gesetzliche Vertreter, Bürger, Auszubildende, Rentner etc. darzulegen. Der Grad der zulässigen Pauschalisierung ist von dem jeweiligen gemeldeten Verfahren bzw. dem allgemeinen Tätigkeitsbereich der verantwortlichen Stelle abhängig8. Entscheidend ist, dass die Angaben hinreichend konkret sind, damit die Rechtmäßigkeit der Datenverarbeitung für die genannte Personengruppe vorläufig untersucht werden kann9. So wird die Angabe „Kunden“ im Rahmen eines Bonitätsprüfungsverfahrens einer Bank für unzureichend erachtet, da die Zulässigkeit eines solchen Verfahrens nicht für sämtliche Kunden gleich bewertet werden kann10. Bei weniger komplexen Verarbeitungsvorgängen wiederum kann 1 2 3 4 5 6 7

So auch Taeger/Gabel/Scheja, § 4e BDSG Rz. 7. Beispiele nach Gola/Schomerus, § 4e BDSG Rz. 7. So auch Taeger/Gabel/Scheja, § 4e BDSG Rz. 7. So auch Taeger/Gabel/Scheja, § 4e BDSG Rz. 7; vgl. ferner Simitis/Petri, § 4e BDSG Rz. 7. Gierschmann/Saeugling/Thoma, § 4d BDSG Rz. 13. Vgl. Simitis/Petri, § 4e BDSG Rz. 8. Beispiele nach Däubler/Klebe/Wedde/Weichert/Klebe, § 4e BDSG Rz. 4; mit weiteren Beispielen Taeger/Gabel/Scheja, § 4e BDSG Rz. 7. 8 Vgl. Taeger/Gabel/Scheja, § 4e BDSG Rz. 8; Simitis/Petri, § 4e BDSG Rz. 8. 9 So auch Simitis/Petri, § 4e BDSG Rz. 8. 10 Spindler/Schuster, Recht der elektronischen Medien, § 4e BDSG Rz. 6; Gola/Schomerus, § 4e BDSG Rz. 7.

202

|

von dem Bussche

Inhalt der Meldepflicht | § 4e BDSG

dies allerdings als ausreichend konkret bewertet werden (so z.B. bei der Videoüberwachung von Verkaufsräumen)1. Außerdem sind jeder Personengruppe die verwendeten und sie betreffenden personenbezogenen Daten zuzuordnen2. Ziel dieser Verknüpfung soll insbesondere sein, die Verarbeitung sensitiver Daten (§ 3 Abs. 9) sowie sich ggf. erst durch Zuordnung zu den betroffenen Personen ergebender sensitiver Daten3 identifizieren zu können4. Die Angabe von Daten und Datenkategorien verfolgt in gleicher Weise das Ziel, Transparenz zu schaffen und dem Einzelnen die Feststellungen seiner potenziellen Betroffenheit zu ermöglichen. Sinnvoll ist daher die Beschreibung, ob es sich etwa um Grunddaten (Name, Anschrift, Kommunikationsmittel) und/oder um Transaktionsdaten (z.B. abgeschlossene und laufende Bestellungen) handelt5. 4. Empfänger oder Kategorien von Empfängern, denen die Daten mitgeteilt werden können (Satz 1 Nr. 6) Der Begriff des Empfängers ist in § 3 Abs. 8 Satz 1 definiert als „jede Person 11 oder Stelle, die Daten erhält.“ Entscheidend ist dabei die realistische Möglichkeit („können“) einer zukünftigen Mitteilung der Daten an die zu nennenden Empfänger. Eine konkrete Durchführung im Einzelfall ist nicht erforderlich6. Mit den Empfängern sind zunächst Personen außerhalb der verantwortlichen Stelle gemeint, etwa Auftragsdatenverarbeiter oder Zweigstellen. Erfasst sind aber auch Personen innerhalb der verantwortlichen Stelle selbst. Demnach muss es sich bei den zu meldenden Empfängern nicht um „Dritte“ i.S.d. § 3 Abs. 8 Satz 2 handeln; mithin muss keine Datenübermittlung i.S.d. § 3 Abs. 4 Nr. 3 vorliegen7. Es wird daher empfohlen, in der Meldung zwischen internen und externen Empfängern zu unterscheiden8. Nr. 6 überlässt es der meldepflichtigen Stelle, ob sie konkrete Einzelpersonen benennt („Empfänger“) oder diese nur ihrer Funktion nach beschreibt („Kategorien von Empfängern“). Ersteres bietet sich in der Praxis nur dann an, wenn die Datenweitergabe tatsächlich nur an einzelne individualisierbare Personen erfolgt9 – denn jede Änderung in der Person des Empfängers löst bereits die Korrekturpflicht des Satzes 2 aus. 1 Innenministerium Baden-Württemberg, Hinweise des Innenministeriums zum Datenschutz für private Unternehmen und Organisationen (Nr. 40), v. 18.2.2002, S. 10, abrufbar unter: http://www.datenschutz-help.de/him_40.pdf (zuletzt besucht: September 2015). 2 Taeger/Gabel/Scheja, § 4e BDSG Rz. 8; Simitis/Petri, § 4e BDSG Rz. 9; Spindler/Schuster, Recht der elektronischen Medien, § 4e BDSG Rz. 6; Däubler/Klebe/Wedde/Weichert/ Klebe, § 4e BDSG Rz. 4. 3 Vgl. BVerfGE 65, 1, 45 – Volkszählungsurteil; Taeger/Gabel/Scheja, § 3 BDSG Rz. 58. 4 BT-Drucks. 14/4329, S. 36. 5 Gierschmann/Saeugling/Thoma, § 4e BDSG Rz. 14. 6 So auch Simitis/Petri, § 4e BDSG Rz. 10; Taeger/Gabel/Scheja, § 4e BDSG Rz. 8. 7 So auch Däubler/Klebe/Wedde/Weichert/Klebe, § 4e BDSG Rz. 4. 8 Taeger/Gabel/Scheja, § 4e BDSG Rz. 8. 9 Vgl. Simitis/Petri, § 4e BDSG Rz. 10.

von dem Bussche

|

203

§ 4e BDSG | Allgemeine und gemeinsame Bestimmungen 5. Regelfristen für die Löschung der Daten (Satz 1 Nr. 7) 12 Nr. 7 verlangt von der verantwortlichen Stelle, eine Regelfrist für die Löschung

personenbezogener Daten anzugeben. Die Angabe von Regelfristen für die Löschung soll den Betroffenen und der Datenschutzaufsicht ermöglichen, einerseits abstrakt (vor/bei der Erhebung und während laufender Fristen) das Gefährdungspotenzial der Verarbeitung einschätzen zu können; zum anderen unterstützen diese Angaben auch den Betroffenen bei der Entscheidung, ob sich ggf. ein Auskunftsersuchen empfiehlt, weil noch Daten vorhanden sein könnten oder um die nach Fristablauf gebotene Löschung bestätigt zu bekommen1. Dabei begründet Nr. 7 keine Pflicht, eine solche Löschfrist einzuführen, sondern nimmt lediglich andere Normen, aus denen sich eine Löschfrist ergibt, in Bezug. Die allgemeine Löschfrist ergibt sich aus § 35 Abs. 2 Satz 2 Nr. 3, wonach personenbezogene Daten zu löschen sind, wenn sie für die Erfüllung des verfolgten Zwecks nicht mehr erforderlich sind. Eine über diesen Zeitpunkt hinausgehende Speicherung kann aus gesetzlichen Pflichten oder Verhältnismäßigkeitsgesichtspunkten gemäß § 35 Abs. 3 Nr. 3 zulässig sein. Daneben existieren zahlreiche weitere spezielle Fristenregelungen2. Sind keine speziellen Löschfristen zu beachten, genügt es, wenn die verantwortliche Stelle auf diese Norm Bezug nimmt3. Andererseits genügt nicht der bloße Hinweis, dass „nach den gesetzlichen Bestimmungen“ gelöscht werde4. Problematisch ist dabei, dass der Wortlaut der Norm ausdrücklich die Nennung von „Regelfristen“ fordert. Solche sind häufig allerdings nur schwer zu benennen, da die genaue Verweildauer personenbezogener Daten immer vom konkreten Einzelfall abhängt und sich nicht für gesamte Verfahren im oben genannten Sinne pauschalisieren lässt. Aus diesem Gesichtspunkt ist die vom Gesetzgeber gewählte Erweiterung der meldepflichtigen Angaben gemäß Art. 19 Abs. 1 EG-Datenschutzrichtlinie als „unglücklich“ zu begreifen5. Auch einige Aufsichtsbehörden haben dieses Problem erkannt und erachten auch bei speziellen Fristenregelungen die Nennung der einschlägigen Normen entgegen dem klaren Wortlaut als hinreichend6. Gelten für abgrenzbare Teile des Datenbestandes unterschiedlich lange Fristen (weil etwa Grunddaten eines Dauerschuldverhältnisses während der Vertragslaufzeit benötigt werden, einzelne Transaktionsdaten aber nur für kürzere Zeit), so müssen die Fristen entsprechend unterschiedlich berücksichtigt werden7.

1 Gierschmann/Saeugling/Thoma, § 4e BDSG Rz. 16. 2 Überblick über Löschfristen und deren Bestimmung bei Fraenkel/Hammer, DuD 2007, 899. 3 So auch Taeger/Gabel/Scheja, § 4e BDSG Rz. 9; a.A. Simitis/Petri, § 4e BDSG Rz. 11. 4 Schild, ZfPR 2010, 17 (20). 5 Vgl. BT-Drucks. 14/4329, S. 36; so auch Taeger/Gabel/Scheja, § 4e BDSG Rz. 9. 6 So z.B. LDI NRW unter: https://www.ldi.nrw.de/mainmenu_Datenschutz/submenu_Ver fahrensregister/Inhalt/FAQ/Wie_detailliert.php (zuletzt besucht: September 2015). 7 Gierschmann/Saeugling/Thoma, § 4e BDSG Rz. 17.

204

|

von dem Bussche

Inhalt der Meldepflicht | § 4e BDSG

6. Geplante Datenübermittlung in Drittstaaten (Satz 1 Nr. 8) Nr. 8 ergänzt die Meldepflicht bezüglich der potenziellen Empfänger der Daten, 13 insbesondere wegen der potenziell intensiveren Beeinträchtigung der informationellen Selbstbestimmung1. Sofern personenbezogene Daten Empfängern außerhalb der EU bzw. des EWR mitgeteilt werden sollen, ist dies gemäß Nr. 8 anzuzeigen. Dies soll eine Überprüfung nach Maßgabe der §§ 4b, 4c ermöglichen. Maßgeblich bei der Drittlandsübermittlung von personenbezogenen Daten ist, ob das jeweilige Empfängerland ein „angemessenes Datenschutzniveau“ i.S.d. § 4b Abs. 2 und 3 vorweisen kann (s. Komm. zu § 4b BDSG Rz. 23 ff.). Falls dies nicht gegeben sein sollte, ist eine gesonderte Genehmigung der zuständigen Aufsichtsbehörde gemäß § 4c Abs. 2 erforderlich (s. Komm. zu § 4c BDSG Rz. 20 ff.). Die Nennung der Drittlandsübermittlungen dient somit dieser Differenzierungsmöglichkeit2. Demnach müssen auch sämtliche Zielländer bei der Meldung genannt werden3. 7. Allgemeine Beschreibung der Sicherheit der Datenverarbeitung (Satz 1 Nr. 9) Nr. 9 bezieht sich auf die Datensicherungsmaßnahmen gemäß § 9 (s. dazu 14 Komm. zu § 9 BDSG Rz. 21). Verlangt wird aber lediglich eine allgemeine Beschreibung, die auch nur für eine „vorläufige Beurteilung“ genügen muss4. Insofern sind die Anforderungen gering, es genügt die abstrahierte und stichwortartige Angabe der vorhandenen Sicherheitsmaßnahmen, wie etwa Antivirusprogramme, Zugangskontrollen o.ä.5. Es reicht aber nicht aus, festzuhalten, dass irgendwelche Maßnahmen getroffen sind, weil sich daraus kein konkretes Schutzniveau ergibt und ein Nachvollziehen der nötigen Abwägung nicht ermöglicht wird6. Es soll aber ausreichen, wenn sich die Dokumentation an den „8 Geboten“ der Datensicherung (Anlage zu § 9) orientiert, was bereits durch den entsprechenden Verweis in § 9 intendiert ist7. Auch Whistleblowing-Systeme unterliegen regelmäßig der Meldepflicht sowie nach Abs. 5 Satz 2 Nr. 2 der Vorabkontrolle durch den Datenschutzbeauftragten8. Möglich ist auch die Zuweisung unternehmensspezifischer Sicherheitsstufen zu bestimmten meldepflichtigen Datenverarbeitungen, sofern ein Anhang zur Meldung genauere diesbezügliche Spezifikationen enthält9. Wie eingangs erwähnt, sind diese Anga1 2 3 4 5 6 7 8 9

Gierschmann/Saeugling/Thoma, § 4e BDSG Rz. 18. Bergmann/Möhrle/Herb, § 4e BDSG Rz. 14. Taeger/Gabel/Scheja, § 4e BDSG Rz. 10; Simitis/Petri, § 4e BDSG Rz. 12. So auch Taeger/Gabel/Scheja, § 4e BDSG Rz. 11. Simitis/Petri, § 4e BDSG Rz. 13; Spindler/Schuster, Recht der elektronischen Medien, § 4e BDSG Rz. 9. Vgl. Gierschmann/Saeugling/Thoma, § 4e BDSG Rz. 20. So Taeger/Gabel/Scheja, § 4e BDSG Rz. 11; Gola/Schomerus, § 4e BDSG Rz. 10. S. hierzu ausführlich Forst, RDV 2013, 122 (131). Simitis/Petri, § 4e BDSG Rz. 13.

von dem Bussche

|

205

§ 4f BDSG | Allgemeine und gemeinsame Bestimmungen ben lediglich Bestandteil der internen Verarbeitungsübersicht und somit nicht öffentlich zugänglich (s. Rz. 5).

IV. Aktualität des Registers (Satz 2) 15 Durch die Regelung des Satz 2 soll das Verfahrensregister stets auf aktuellem

Stand gehalten werden1. Hierzu muss die verantwortliche Stelle nicht nur die Aufnahme der automatisierten Datenverarbeitung melden, sondern muss ihre Angaben gemäß § 4e Satz 2 auch aktualisieren, wenn sich die nach Satz 1 meldepflichtigen Informationen ändern. Aufgrund der Verweisung auf § 4d Abs. 1 muss die Änderung vor ihrem Inkrafttreten bzw. ihrer Inbetriebnahme gemeldet werden2. Schließlich sind der genaue Zeitpunkt der Aufnahme und der Beendigung der Verarbeitung anzuzeigen. Im Falle einer Beendigung aufgrund einer Insolvenz der verantwortlichen Stelle ist der Insolvenzverwalter für deren Anzeige verantwortlich3.

V. Folgen einer fehlerhaften, unvollständigen oder unterlassenen Meldung 16 Wird die Meldung pflichtwidrig nicht, nicht richtig, nicht vollständig oder nicht

rechtzeitig erbracht oder werden Änderungen gemäß Satz 2 nicht gemeldet, so stellt dies eine Ordnungswidrigkeit dar (§ 43 Abs. 1 Nr. 1), die mit bis zu 50 000 Euro Bußgeld geahndet werden kann (§ 43 Abs. 2 Satz 1). Nicht bußgeldbewehrt ist allerdings das Nichterstellen der internen Verarbeitungsübersicht gemäß § 4g Abs. 2 Satz 14. Die zuständige Aufsichtsbehörde kann dies jedoch im Rahmen ihres Auskunftsanspruchs nach § 38 Abs. 3, 4 anordnen und durchsetzen. Bei einer Weigerung kann so mittelbar ein Bußgeld gemäß § 43 Abs. 1 Nr. 10 fällig werden.

§ 4f Beauftragter für den Datenschutz (1) 1Öffentliche und nicht-öffentliche Stellen, die personenbezogene Daten automatisiert verarbeiten, haben einen Beauftragten für den Datenschutz schriftlich zu bestellen. 2Nicht-öffentliche Stellen sind hierzu spätestens innerhalb eines Monats nach Aufnahme ihrer Tätigkeit verpflichtet. 3Das Glei1 2 3 4

Däubler/Klebe/Wedde/Weichert/Klebe, § 4e BDSG Rz. 6; Simitis/Petri, § 4e BDSG Rz. 14. So auch Taeger/Gabel/Scheja, § 4e BDSG Rz. 12; Simitis/Petri, § 4e BDSG Rz. 14. Bergmann/Möhrle/Herb, § 4e BDSG Rz. 18. S. hierzu auch Hallermann, RDV 2013, 173 (173).

206

|

von dem Bussche

Beauftragter für den Datenschutz | § 4f BDSG

che gilt, wenn personenbezogene Daten auf andere Weise erhoben, verarbeitet oder genutzt werden und damit in der Regel mindestens 20 Personen beschäftigt sind. 4Die Sätze 1 und 2 gelten nicht für die nichtöffentlichen Stellen, die in der Regel höchstens neun Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen. 5Soweit aufgrund der Struktur einer öffentlichen Stelle erforderlich, genügt die Bestellung eines Beauftragten für den Datenschutz für mehrere Bereiche. 6Soweit nichtöffentliche Stellen automatisierte Verarbeitungen vornehmen, die einer Vorabkontrolle unterliegen, oder personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung automatisiert verarbeiten, haben sie unabhängig von der Anzahl der mit der automatisierten Verarbeitung beschäftigten Personen einen Beauftragten für den Datenschutz zu bestellen. (2) 1Zum Beauftragten für den Datenschutz darf nur bestellt werden, wer die zur Erfüllung seiner Aufgaben erforderliche Fachkunde und Zuverlässigkeit besitzt. 2Das Maß der erforderlichen Fachkunde bestimmt sich insbesondere nach dem Umfang der Datenverarbeitung der verantwortlichen Stelle und dem Schutzbedarf der personenbezogenen Daten, die die verantwortliche Stelle erhebt oder verwendet. 3Zum Beauftragten für den Datenschutz kann auch eine Person außerhalb der verantwortlichen Stelle bestellt werden; die Kontrolle erstreckt sich auch auf personenbezogene Daten, die einem Berufsoder besonderen Amtsgeheimnis, insbesondere dem Steuergeheimnis nach § 30 der Abgabenordnung, unterliegen. 4Öffentliche Stellen können mit Zustimmung ihrer Aufsichtsbehörde einen Bediensteten aus einer anderen öffentlichen Stelle zum Beauftragten für den Datenschutz bestellen. (3) 1Der Beauftragte für den Datenschutz ist dem Leiter der öffentlichen oder nicht-öffentlichen Stelle unmittelbar zu unterstellen. 2Er ist in Ausübung seiner Fachkunde auf dem Gebiet des Datenschutzes weisungsfrei. 3Er darf wegen der Erfüllung seiner Aufgaben nicht benachteiligt werden. 4Die Bestellung zum Beauftragten für den Datenschutz kann in entsprechender Anwendung von § 626 des Bürgerlichen Gesetzbuchs, bei nichtöffentlichen Stellen auch auf Verlangen der Aufsichtsbehörde, widerrufen werden. 5Ist nach Absatz 1 ein Beauftragter für den Datenschutz zu bestellen, so ist die Kündigung des Arbeitsverhältnisses unzulässig, es sei denn, dass Tatsachen vorliegen, welche die verantwortliche Stelle zur Kündigung aus wichtigem Grund ohne Einhaltung einer Kündigungsfrist berechtigen. 6Nach der Abberufung als Beauftragter für den Datenschutz ist die Kündigung innerhalb eines Jahres nach der Beendigung der Bestellung unzulässig, es sei denn, dass die verantwortliche Stelle zur Kündigung aus wichtigem Grund ohne Einhaltung einer Kündigungsfrist berechtigt ist. 7Zur Erhaltung der zur Erfüllung seiner Aufgaben erforderlichen Fachkunde hat die verantwortliche Stelle dem Beauftragten für den Datenschutz die Teilnahme an Fort- und Weiterbildungsveranstaltungen zu ermöglichen und deren Kosten zu übernehmen. von dem Bussche

|

207

§ 4f BDSG | Allgemeine und gemeinsame Bestimmungen (4) Der Beauftragte für den Datenschutz ist zur Verschwiegenheit über die Identität des Betroffenen sowie über Umstände, die Rückschlüsse auf den Betroffenen zulassen, verpflichtet, soweit er nicht davon durch den Betroffenen befreit wird. (4a) 1Soweit der Beauftragte für den Datenschutz bei seiner Tätigkeit Kenntnis von Daten erhält, für die dem Leiter oder einer bei der öffentlichen oder nichtöffentlichen Stelle beschäftigten Person aus beruflichen Gründen ein Zeugnisverweigerungsrecht zusteht, steht dieses Recht auch dem Beauftragten für den Datenschutz und dessen Hilfspersonal zu. 2Über die Ausübung dieses Rechts entscheidet die Person, der das Zeugnisverweigerungsrecht aus beruflichen Gründen zusteht, es sei denn, dass diese Entscheidung in absehbarer Zeit nicht herbeigeführt werden kann. 3Soweit das Zeugnisverweigerungsrecht des Beauftragten für den Datenschutz reicht, unterliegen seine Akten und andere Schriftstücke einem Beschlagnahmeverbot. (5) 1Die öffentlichen und nicht-öffentlichen Stellen haben den Beauftragten für den Datenschutz bei der Erfüllung seiner Aufgaben zu unterstützen und ihm insbesondere, soweit dies zur Erfüllung seiner Aufgaben erforderlich ist, Hilfspersonal sowie Räume, Einrichtungen, Geräte und Mittel zur Verfügung zu stellen. 2Betroffene können sich jederzeit an den Beauftragten für den Datenschutz wenden. I. II. 1. 2. 3. 4. 5. III. 1. 2. IV. 1. 2. 3.

208

Überblick . . . . . . . . . . . . . . . Pflicht zur Bestellung (Abs. 1) Grundsatz der Bestellungspflicht Ausnahmen von der Bestellungspflicht . . . . . . . . . . . . . . . . . . Die zur Bestellung verpflichtete Stelle . . . . . . . . . . . . . . . . . . . Zeitpunkt und formale Voraussetzungen der Bestellung . . . . . Vertragliches Verhältnis zwischen Datenschutzbeauftragtem und verantwortlicher Stelle . . . Person des Datenschutzbeauftragten . . . . . . . . . . . . . Fachkunde . . . . . . . . . . . . . . . Zuverlässigkeit/insbesondere Interessenkonflikt . . . . . . . . . . Organisatorische Stellung und Unabhängigkeit . . . . . . . . . . . Organisatorische Stellung im Unternehmen . . . . . . . . . . . . . Weisungsfreiheit . . . . . . . . . . Benachteiligungsverbot . . . . . .

|

von dem Bussche

1 5 7 12 14 16 21 24 28 30 36 37 38 42

4. Unterstützungspflicht des Arbeitgebers . . . . . . . . . . . . . . 44 V. Verschwiegenheitspflicht und Zeugnisverweigerungsrecht . . 46 VI. Anrufungsrecht der Betroffenen (Abs. 5 Satz 2) . . . . . . . . . 48 VII. Beendigung der Tätigkeit (Abs. 3) . . . . . . . . . . . . . . . . . 1. Widerruf der Bestellung/ Abberufung . . . . . . . . . . . . . . a) Auf Verlangen der Aufsichtsbehörde . . . . . . . . . . . . . . . b) Durch die verantwortliche Stelle . . . . . . . . . . . . . . . . . 2. Kündigung des zugrundeliegenden Arbeitsverhältnisses . . . . . 3. Das Verhältnis zwischen Widerruf und außerordentlicher Kündigung . . . . . . . . . . . . . . . 4. Sonstige Beendigungstatbestände . . . . . . . . . . . . . . . .

50 51 52 53 56 60 65

VIII. Rechtsfolgen fehlerhafter oder unterlassener Bestellung . . . . 68

Beauftragter für den Datenschutz | § 4f BDSG Schrifttum: Abel, Der behördliche Datenschutzbeauftragte, MMR 2002, 289; Albrecht/ Dienst, Fach- und Sachkunde der Beauftragten für den Datenschutz, JurPC Web-Dok. 19/ 2011, Abs. 1–36; Bittner, Der Datenschutzbeauftragte gemäß EU-Datenschutz-Grundverordnungsentwurf, RDV 2014, 183; Bongers, BB-Kommentar: „Rechtsklarheit ist nach wie vor nur durch sorgfältige Arbeitsvertragsgestaltung zu erzielen“, BB 2011, 638; Bongers/ Commichau, Der Kündigungs- und Bestellungsschutz des betrieblichen Datenschutzbeauftragten, ArbRAktuell 2010, 139; Däubler, Neue Unabhängigkeit für den betrieblichen Datenschutzbeauftragten?, DuD 2010, 20; Dzida/Kröpelin, Kann ein Betriebsratmitglied zugleich Datenschutzbeauftragter sein?, NZA 2011, 1018; Eylert/Sänger, Der Sonderkündigungsschutz im 21. Jahrhundert, RdA 2010, 24; Gehlhaar, Der Kündigungsschutz des betrieblichen Datenschutzbeauftragten, NZA 2010, 373; Gernhold, Aktuelle Überlegungen zur Änderung der Bestellpflicht von betrieblichen Datenschutzbeauftragten, RDV 2006, 6; Gola/Klug, Neuregelung zur Bestellung betrieblicher Datenschutzbeauftragter, NJW 2007, 118; Hauschka, Zum Berufsbild des Compliance Officers, CCZ 2014, 165; Jaspers/Reif, Qualifikation des Datenschutzbeauftragten durch praxisnahe Ausbildung, DuD 2007, 333; Kaufmann, Bestellpflicht betrieblicher Datenschutzbeauftragter, CR 2012, 413; Kaufmann, Die Neuregelung zum betrieblichen Datenschutzbeauftragten, MMR 2006, Heft 10, XIV; Klug, Stand der EU-parlamentarischen Beratungen zur Rolle des Datenschutzbeauftragten – ein kommentierter Überblick, RDV 2013, 14; Klug, EU-Datenschutz-Grundverordnung: Datenschutzbeauftragte obligatorisch oder optional?, RDV 2013, 143; Klug, Datenschutzbeauftragter in Europa – quo vadis?, RDV 2014, 75; Klug, Die Position des EU-Parlaments zur zukünftigen Rolle von Datenschutzbeauftragten – ein kommentierter Überblick, RDV 2014, 89; Kohlhage, Konzerndatenschutz, DuD 2009, 752; Liedtke, Wie wirksam schützen Gesetz und Rechtsprechung personenbezogene Daten in Unternehmen?, NZA-RR 2008, 505; Meier-Greve, Zur Unabhängigkeit des sog. Compliance Officers, CCZ 2010, 216; Renz/Frankenberger, Compliance und Datenschutz – Ein Vergleich der Funktionen unter Berücksichtigung eines risikobasierten Ansatzes, ZD 2015, 158; Schierbaum, Der Datenschutzbeauftragte in Behörden, PersR 2010, 101; Schwab/Ehrhard, Sonderkündigungsrecht für Datenschutzbeauftragte, NZA 2009, 1118; Wagner, Besonderer Kündigungsschutz für den angestellten Datenschutzbeauftragten?, DuD 2008, 660; Wedde, Der betriebliche Datenschutzbeauftragte, DuD 2004, 670; Wolf, Der Compliance-Officer – Garant, hoheitlich Beauftragter oder Berater im Unternehmensinteresse zwischen Zivil-, Straf- und Aufsichtsrecht?, BB 2011, 1353; Ziebarth, Bestellung, Probezeit und Kündigungsschutz interner Datenschutzbeauftragter, PinG 2015, 65.

I. Überblick § 4f regelt die Bestellung des betrieblichen bzw. behördlichen Datenschutz- 1 beauftragten als ein wesentliches Element der Selbstregulierung im Datenschutzrecht1. Der deutsche Gesetzgeber hat sich damit für eine grundsätzliche Bestellungspflicht entschieden2. So sollten die Schaffung eines enormen Über1 Vgl. Taeger/Gabel/Scheja, § 4f BDSG Rz. 9. 2 Vgl. BT-Drucks. 14/4329, S. 36; s. zur Position des EU-Parlaments zur zukünftigen Rolle von Datenschutzbeauftragten nach der geplanten EU-Datenschutz-Grundverordnung Klug, RDV 2013, 14; Klug, RDV 2013, 143; Klug, RDV 2014, 89; generell zum Datenschutzbeauftragten in Europa Klug, RDV 2014, 75; Bittner, RDV 2014, 183.

von dem Bussche

|

209

§ 4f BDSG | Allgemeine und gemeinsame Bestimmungen wachungsapparates sowie erheblicher Bürokratieaufwand vermieden werden. Die EG-Datenschutzrichtlinie dagegen verlangt keine grundsätzlich verpflichtende Bestellung eines Datenschutzbeauftragten, sieht diesen aber vor und schafft insoweit Anreize für seine Bestellung, als damit die Meldepflicht gegenüber staatlichen Aufsichtsstellen entfällt (Art. 18 Abs. 2 der EG-Datenschutzrichtlinie). Erwägungsgrund 49 der EG-Datenschutzrichtlinie beschreibt auch die Anforderungen an einen solchen Datenschutzbeauftragten: Er „muss seine Aufgaben in vollständiger Unabhängigkeit ausüben können“. Das BDSG formuliert besondere Regelungen hinsichtlich des Sonderkündigungsschutzes, der Voraussetzungen der Abberufung und der generellen Weisungsunabhängigkeit des Datenschutzbeauftragten sowie Maßnahmen zu deren Sicherstellung. Ob diese Vorkehrungen die geforderte „vollständige“ Unabhängigkeit garantieren, ist in der Praxis nicht immer gewährleistet. 1a Die DSGVO sieht dagegen, wie das deutsche Recht, die verpflichtende Bestellung

eines Datenschutzbeauftragten in Art. 37 DSGVO vor. Die Regelung ist dabei erkennbar an die Rechtsstellung des Datenschutzbeauftragten nach dem BDSG angelehnt (s. hierzu Komm. zu Art. 37, 38 DSGVO).

2 Der betriebliche Datenschutzbeauftragte soll eine unternehmensinterne Kon-

trollinstanz sein, die den ordnungsgemäßen Umgang mit personenbezogenen Daten besser überprüfen kann als eine externe Aufsichtsbehörde1. Denn dieser fehlt regelmäßig der Zugriff auf unternehmensinterne Informationen und der Überblick über Unternehmensabläufe. Im Idealfall ist der Datenschutzbeauftragte eine unabhängige und kritische Instanz, die sich auch nicht vor Konflikten mit der verantwortlichen Stelle scheut. Darüber hinaus dient er als „Anwalt der Betroffenen“, d.h. dass er ihnen als Anlaufstelle bei etwaigen Datenschutzverstößen zur Verfügung steht2. Freilich kann ein hauseigener Kontrolleur aber auch rasch zu einer bloßen Alibi-Kontrollinstanz „verkommen“, die den Datenschutz hinter Unternehmensinteressen zurückstehen lässt3, was jedoch seit einer Serie von prominenten Datenschutzskandalen und den darauf folgenden Novellen des BDSG im Jahr 2009 immer seltener der Fall zu sein scheint. Es ist spätestens seit diesem Zeitpunkt auf Seiten der Industrie ein Umdenken erkennbar, welches von großen Firmen über die Lieferantenketten den kleineren Unternehmen weitergegeben wird: Datenschutz wird „ernst“ genommen. Das hat einen signifikanten Bedeutungszuwachs auf Seiten der betrieblichen Datenschutzbeauftragten zur Folge, die, vormals weniger beachtet, nunmehr dichter an die 1 Däubler, DuD 2010, 20. 2 Gola/Schomerus, § 4f BDSG Rz. 57; s. zum neu eingeführtenVerbandsklagerecht beim Datenschutz Kritik z.B. seitens des BITKOM-Verbands, der dadurch die Stellung des Datenschutzbeauftragten als geschwächt ansieht (BITKOM-Pressemitteilung vom 18.2. 2015 http://www.firmenpresse.de/pressinfo1168909/bitkom-kritisiert-verbandsklagerechtbeim-datenschutz.html – zuletzt besucht: September 2015). 3 So Däubler/Klebe/Wedde/Weichert/Däubler, § 4f BDSG Rz. 1.

210

|

von dem Bussche

Beauftragter für den Datenschutz | § 4f BDSG

Geschäftsleitung herangerückt sind und mit dieser zunehmend im unmittelbaren Austausch stehen. Systematische Struktur: Abs. 1 regelt die Voraussetzungen, bei deren Vorliegen 3 öffentliche und nicht-öffentliche Stellen einen Datenschutzbeauftragten bestellen müssen. Abs. 2 normiert die persönlichen und fachlichen Anforderungen, die an einen zu bestellenden Datenschutzbeauftragten gestellt werden. Abs. 3 regelt die Stellung des Datenschutzbeauftragten innerhalb der verantwortlichen Stelle. Abs. 4 und 4a normieren besondere Geheimhaltungs- und Zeugnisverweigerungsrechte für den Datenschutzbeauftragten für Daten, mit denen er im Zuge seiner Tätigkeit in Berührung kommt. Abs. 5 schließlich verpflichtet die verantwortliche Stelle zur Unterstützung des Datenschutzbeauftragten in seiner Tätigkeit. Die konkreten Aufgaben des Datenschutzbeauftragten ergeben sich nicht aus § 4f, sondern aus § 4g. Signifikante Änderungen erfuhr § 4f durch das Erste Gesetz zum Abbau büro- 4 kratischer Hemmnisse insbesondere in der mittelständischen Wirtschaft (vom 22.8.2006, BGBl. I, S. 1970) im Jahr 2006 sowie die BDSG-Novelle II aus dem Jahr 2009 (vom 14.8.2009, BGBl. I, S. 2814). Ersteres hob den Schwellenwert für die betriebliche Bestellungspflicht von „vier Arbeitnehmern“ auf „neun Personen“ an (s. Rz. 12). Durch die Datenschutznovelle II wurde Abs. 3 um die Sätze 5–8 erweitert, die den Kündigungsschutz des Datenschutzbeauftragten ausweiten und ihm die Teilnahme an Schulungs- und Fortbildungsmaßnahmen ermöglichen.

II. Pflicht zur Bestellung (Abs. 1) Abs. 1 regelt, unter welchen Voraussetzungen öffentliche und nicht-öffentliche 5 Stellen einen Datenschutzbeauftragten bestellen müssen. Abs. 1 weist dabei folgende Systematik auf: Bestellungspflichten ergeben sich aus Satz 1, Satz 3 und Satz 6; die Sätze 2, 4 und 5 enthalten hingegen Sonderregelungen und Ausnahmen hierzu. Selbst wenn die Voraussetzungen für eine verpflichtende Bestellung gemäß 6 Abs. 1 nicht erfüllt sind, kann jede verantwortliche Stelle auf freiwilliger Basis einen Datenschutzbeauftragten bestellen1. Seine Befugnisse bestimmen sich dann nach den individuell getroffenen Abmachungen2. Weicht die Stellung dieses Datenschutzbeauftragten aber zu sehr vom Idealbild des § 4f ab, ist fraglich, ob dann noch die gesetzlichen Privilegierungen bei der Bestellung eines Datenschutzbeauftragten – z.B. Entfallen der Meldepflicht gemäß § 4d – eingreifen3. 1 Vgl. BT-Drucks. 16/12011, S. 30; Taeger/Gabel/Scheja, § 4f BDSG Rz. 23; Simitis/Simitis, § 4f BDSG Rz. 30. 2 Simitis/Simitis, § 4f BDSG Rz. 31; Däubler/Klebe/Wedde/Weichert/Däubler, § 4f BDSG Rz. 20. 3 Generell bei freiwilliger Bestellung ablehnend: Simitis/Simitis, § 4f BDSG Rz. 31.

von dem Bussche

|

211

§ 4f BDSG | Allgemeine und gemeinsame Bestimmungen 1. Grundsatz der Bestellungspflicht 7 Nach der Regelung in Satz 1 müssen sowohl öffentliche als auch nicht-öffent-

liche Stellen einen Datenschutzbeauftragten bestellen, wenn sie personenbezogene Daten automatisiert verarbeiten1. Angesichts der Durchdringung der Arbeitswelt mit Arbeitsplatz-Systemen, Smartphones, Tablets u.a.m. ist die ausschließlich papierbasierte, nicht automatisierte Verarbeitung ein nur mehr seltener Ausnamefall2. Der Begriff der automatisierten Datenverarbeitung bestimmt sich nach § 3 Abs. 2.

8 Eine weitere Bestellungspflicht ergibt sich aus Satz 3. Demnach ist ein Daten-

schutzbeauftragter ferner dann zu bestellen, wenn die verantwortliche Stelle Daten zwar nicht automatisiert, aber auf „andere Weise“, also nicht automatisiert, verarbeitet, und hierfür „in der Regel mindestens 20 Personen“ beschäftigt. Im Unterschied zu Satz 1 knüpft die Bestellungspflicht hier also nicht an die im Hinblick auf die informationelle Selbstbestimmung als besonders gefährlich eingestufte automatisierte Datenverarbeitung an, sondern daran, dass besonders viele Personen – nämlich „mindestens 20“ – Zugriff auf die Daten haben und deshalb tendenziell auch mehr Daten verarbeitet werden3. Der Begriff „Personen“ stellt klar, dass nicht nur Arbeitnehmer, sondern alle für die verantwortliche Stelle Tätigen berücksichtigt werden. Unerheblich ist es daher, ob die mit der Datenverarbeitung betrauten Personen Vollzeit- oder Teilzeitkräfte, Auszubildende, Praktikanten, Leiharbeiter oder freie Mitarbeiter sind4. Maßgeblich ist allein, ob die jeweilige Person im Rahmen eines arbeitsrechtlichen Status für die verantwortliche Stelle tätig wird5. Demnach sind bspw. Mitarbeiter von Auftragsdatenverarbeitern i.S.d. § 11 nicht zu berücksichtigen6. Bei der Berechnung der Personen ist vom Regelbetrieb („in der Regel“) auszugehen und nicht von kurzzeitigen Schwankungen nach oben bzw. unten. Berücksichtigung findet jegliche mit der Datenverarbeitung verbundene Tätigkeit, ob die jeweilige Person den Verarbeitungsprozess ganz oder teilweise selbständig durchführen kann ist irrelevant – demnach genügt bereits das manuelle Ausfüllen von Antragsformularen7. Erläuterung des Begriffs ständig wurde verschoben in Rz. 12. 1 2 3 4

S. Übersicht bei Gierschmann/Saeugling/Schmitz/Thoma, § 4f BDSG Rz. 7. Gierschmann/Saeugling/Schmitz/Thoma, § 4f BDSG Rz. 8. Zu den Erwägungen des Gesetzgebers vgl. Taeger/Gabel/Scheja, § 4f BDSG Rz. 24. Däubler/Klebe/Wedde/Weichert/Däubler, § 4f BDSG Rz. 15; Gierschmann/Saeugling/ Schmitz/Thoma, § 4f BDSG Rz. 9. 5 Vgl. BT-Drucks. 16/1853, S. 12. 6 Karper/Stutz, DuD 2006, 789 (791); Däubler/Klebe/Wedde/Weichert/Däubler, § 4f BDSG Rz. 15. 7 Däubler/Klebe/Wedde/Weichert/Däubler, § 4f BDSG Rz. 14; Simitis/Simitis, § 4f BDSG Rz. 28, 29.

212

|

von dem Bussche

Beauftragter für den Datenschutz | § 4f BDSG

Darüber hinaus formuliert Satz 6 eine besondere Bestellungspflicht, sofern 9 nicht-öffentliche Stellen Datenverarbeitungsvorgänge durchführen, die der Vorabkontrolle gemäß § 4d Abs. 5 unterliegen oder personenbezogene Daten geschäftsmäßig zum Zwecke der personenbezogenen oder anonymisierten Übermittlung automatisiert verarbeiten. Auf die Zahl der Mitarbeiter kommt es in diesem Fall nicht an1. Die Regelung des Abs. 2 Satz 3 impliziert ferner, dass auch Berufsgeheimnis- 10 träger unter den Voraussetzungen von Abs. 1 zur Bestellung eines Datenschutzbeauftragten verpflichtet sind2. Weitere Bestellungspflichten können spezialgesetzlich angeordnet sein. So sind 11 bspw. Stellen im Sozialbereich gemäß § 81 Abs. 4 SGB X zur Bestellung eines Datenschutzbeauftragten verpflichtet. Bestellungspflichten für öffentliche Stellen der Länder sind in den jeweiligen Datenschutzgesetzen der Länder geregelt3. 2. Ausnahmen von der Bestellungspflicht Eine Ausnahme von der Bestellungspflicht ergibt sich aus Satz 4: Die Sätze 1 12 und 2 sind nämlich unanwendbar auf nicht-öffentliche Stellen, die in der Regel höchstens neun Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen. Der Maßstab ist identisch mit dem im Rahmen von Satz 3 (s. dazu Rz. 8). Der Begriff ständig bedeutet nicht notwendig dauernd, verlangt aber, dass die Tätigkeit auf Dauer angelegt ist und die betreffende Person immer dann tätig wird, wenn es notwendig ist, selbst wenn die Tätigkeit nur in zeitlichen Abständen (z.B. monatlich) anfällt4. Satz 4 wurde durch das Erste Gesetz zum Abbau bürokratischer Hemmnisse insbesondere in der mittelständischen Wirtschaft (vom 22.8.2006, BGBl. I, S. 1970) modifiziert – statt der ursprünglichen Grenze von „mehr als vier Arbeitnehmern“ entfällt die Pflicht zur Bestellung eines Datenschutzbeauftragten nun bis zu einer Grenze von „höchstens neun Personen“. Damit sollen vor allem kleine Unternehmen ein Stück weit entlastet werden. Wiederum zu beachten ist, dass die Privilegierung des Satzes 4 ausdrücklich 13 nicht im Falle einer besonderen Bestellungspflicht gemäß Satz 6 anwendbar ist, da diese nicht von einer bestimmten Anzahl von Beschäftigten abhängt, sondern durch die Notwendigkeit einer Vorabkontrolle aufgrund „besonderer Risiken“ nach § 4d Abs. 5 indiziert ist (s. dazu Komm. zu § 4d BDSG Rz. 15 f.).

1 Däubler/Klebe/Wedde/Weichert/Däubler, § 4f BDSG Rz. 11; Gola/Schomerus, § 4f BDSG Rz. 10; Taeger/Gabel/Scheja, § 4f BDSG Rz. 25. 2 Vgl. Bergmann/Möhrle/Herb, § 4f BDSG Rz. 68b und c. 3 Bergmann/Möhrle/Herb, § 4f BDSG Rz. 47. 4 Vgl. Taeger/Gabel/Scheja, § 4f BDSG Rz. 21; Kaufmann, CR 2012, 413 (416).

von dem Bussche

|

213

§ 4f BDSG | Allgemeine und gemeinsame Bestimmungen 3. Die zur Bestellung verpflichtete Stelle 14 Grundsätzlich muss jede Stelle, die die Voraussetzungen des Abs. 1 erfüllt (s.

Rz. 7 f.), einen Datenschutzbeauftragten bestellen. Zu beachten ist dabei, dass es sich nicht zwangsläufig um die „verantwortliche Stelle“ i.S.d. § 3 Abs. 7 handeln muss, wobei dies regelmäßig der Fall sein wird1. Demnach gilt die Bestellpflicht auch für Auftragsdatenverarbeiter, sofern sie die Voraussetzungen des Abs. 1 erfüllen2. Dies stellt insoweit die Regelung des § 11 Abs. 4 Nr. 2 durch den Verweis auf § 4f klar. Mit „Stelle“ ist jeweils die rechtliche Einheit gemeint: Im nicht-öffentlichen Bereich das Unternehmen, im öffentlichen Bereich die jeweilige Behörde3. Ebenso muss jedes zu einem Konzern gehörende Unternehmen in Ermangelung eines „Konzernprivilegs“4 einen eigenen Datenschutzbeauftragten bestellen5. Möglich ist es aber, dass ein und dieselbe Person die Funktion des Datenschutzbeauftragten für mehrere verantwortliche Stellen übernimmt6. Vorausgesetzt ist dabei, dass jede konzernangehörige Firma den „Konzernbeauftragten“ separat ordnungsgemäß bestellt7. Allerdings darf dies nicht nur eine Beauftragung auf dem Papier sein – es muss dann vielmehr auch sichergestellt sein, dass der Konzerndatenschutzbeauftragte über die notwendigen personellen und sachlichen Ressourcen verfügt, um an jeder verantwortlichen Stelle sein Amt effektiv ausüben zu können8. Hierzu bedarf es bei einer entsprechenden

1 So auch Taeger/Gabel/Scheja, § 4f BDSG Rz. 15; Däubler/Klebe/Wedde/Weichert/Däubler, § 4f BDSG Rz. 10. 2 So auch Taeger/Gabel/Scheja, § 4f BDSG Rz. 15; Gola/Schomerus, § 11 BDSG Rz. 27; vgl. auch Bergmann/Möhlre/Herb, § 4g BDSG Rz. 34. 3 Es gilt der funktionale Behördenbegriff, s. Abel, MMR 2002, 289 (290). 4 Auf Ebene der EU-Kommission sowie des sog. „Düsseldorfer Kreises“, das informelle Beratungsgremium der obersten deutschen Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich, wird diskutiert, wie innerhalb Konzernstrukturen die Einhaltung der Vorgaben des Datenschutzes erleichtert werden kann; u.a. zu nennen: Artikel29-Datenschutzgruppe, WP 169 Stellungnahme 1/2010 zu den Begriffen „für die Verarbeitung Verantwortlicher“ und „Auftragsverarbeiter“; Düsseldorfer Kreis, Arbeitsbericht der ad-hoc-Arbeitsgruppe „Konzerninterner Datentransfer“ v. 11.1.2005 und Positionspapier zum Internationalen Datentransfer v. 12/13.2.2007; sowie Schriftenreihe „Recht und Steuer“, Band 2 – Übermittlung personenbezogener Daten, S. 20 f.; ergänzend sei erwähnt, dass das Europäische Parlament die Absicht verfolgt den konzerninternen Datentransfer in Zukunft zu erleichtern, Entschließung vom 6.7.2011 zum Gesamtkonzept für den Datenschutz in der Europäischen Union (2011/2025(INI)). 5 Kohlhage, DuD 2009, 752; Bergmann/Möhrle/Herb, § 4f BDSG Rz. 39; Gierschmann/ Saeugling/Schmitz/Thoma, 4f BDSG Rz. 12. 6 Vgl. Simitis/Simitis, § 4f BDSG Rz. 35 f.; Taeger/Gabel/Scheja, § 4f BDSG Rz. 81; kritisch Gola/Schomerus, § 4f BDSG Rz. 24. 7 Däubler/Klebe/Wedde/Weichert/Däubler, § 4f BDSG Rz. 7; Gierschmann/Saeugling/ Schmitz/Thoma, § 4f BDSG Rz. 49 f. 8 Vgl. Däubler/Klebe/Wedde/Weichert/Däubler, § 4f BDSG Rz. 7; s.a. Gierschmann/ Saeugling/Schmitz/Thoma, 4f BDSG Rz. 12.

214

|

von dem Bussche

Beauftragter für den Datenschutz | § 4f BDSG

Unternehmensgröße z.B. des Einsatzes von zuarbeitenden Datenschutz-Koordinatoren innerhalb der einzelnen Konzernteile1. Ein solches Mandat stellt allerdings gesteigerte Anforderungen an die Person des Datenschutzbeauftragten (s. dazu Rz. 27 ff.). Der Datenschutzbeauftragte handelt intern für das Konzernunternehmen, bei dem er angestellt ist, für alle anderen Konzernteile entsprechend als externer Datenschutzbeauftragter. Für öffentliche Stellen ist eine solche Konzentrierung ausdrücklich in Satz 5 15 vorgesehen, soweit dies aufgrund ihrer Struktur erforderlich ist. Intendierte Folge einer Zusammenlegung sollte aber stets eine gesteigerte Effizienz des Datenschutzes durch die bereichsübergreifende Kompetenz des Datenschutzbeauftragten sein. Demnach ist die Zulässigkeit abhängig davon, ob der Datenschutzbeauftragte trotz der behördenübergreifenden Konzentrierung seines Amtes dennoch in der Lage ist, seine Tätigkeit wirksam ausüben zu können2. 4. Zeitpunkt und formale Voraussetzungen der Bestellung Für nicht-öffentliche Stellen ordnet Satz 2 an, dass die Bestellung innerhalb ei- 16 nes Monats nach Eintreten der Bestellungsvoraussetzungen gemäß Abs. 1 erfolgen muss. Mangels einer Fristenregelung für öffentliche Stellen ist im Umkehrschluss davon auszugehen, dass die Pflicht zur Bestellung mit Schaffung der Behörde, spätestens bei Vorlage der Bestellungsvoraussetzungen des Abs. 1, unverzüglich zu erfüllen ist3. Für die Bestellung gilt gemäß Abs. 1 Satz 1 ein Schriftformerfordernis (§ 126 17 BGB)4. Die Bestellung selbst ist eine gegenseitige Erklärung zwischen verantwortlicher Stelle und Bestelltem, beide Parteien müssen daher die Bestellungsurkunde unterzeichnen5. Das Schriftformerfordernis wirkt konstitutiv, d.h. dass die Bestellung bei dessen Nichteinhaltung unwirksam ist6. Arbeitnehmervertretungen (Betriebs- und Personalrat) haben hinsichtlich der 18 Bestellung eines Datenschutzbeauftragten keine speziellen Mitbestimmungsrechte7. Allerdings wirkt der Betriebsrat bei Einstellung oder Versetzung von Angestellten mit. Geht mit der Bestellung eines Datenschutzbeauftragten die Anstellung oder Versetzung eines Arbeitnehmers einher, so entsteht mittelbar 1 TB 1999 zum Datenschutz im nicht-öffentlichen Bereich in Hessen, LT-Drucks. 15/1539; Gola/Schomerus, § 4f BDSG Rz. 8. 2 Simitis/Simitis, § 4f BDSG Rz. 38 und 39; Bergmann/Möhrle/Herb, § 4f BDSG Rz. 44. 3 So auch Gola/Schomerus, § 4f BDSG Rz. 15; a.A. wohl Bergmann/Möhrle/Herb, § 4f BDSG Rz. 54. 4 So auch Gierschmann/Saeugling/Schmitz/Thoma, § 4f BDSG, Rz. 13. 5 Taeger/Gabel/Scheja, § 4f BDSG Rz. 31; Simitis/Simitis, § 4f BDSG Rz. 57. 6 Gola/Schomerus, § 4f BDSG Rz. 30; Simitis/Simitis, § 4f BDSG Rz. 59. 7 Taeger/Gabel/Scheja, § 4f BDSG Rz. 34; Gierschmann/Saeugling/Schmitz/Thoma, § 4f BDSG Rz. 20.

von dem Bussche

|

215

§ 4f BDSG | Allgemeine und gemeinsame Bestimmungen ein Mitbestimmungsrecht des Betriebsrats in Bezug auf die Berufung des Datenschutzbeauftragten. Da der Datenschutzbeauftragte im Idealfall mit den Mitarbeitervertretungen eng zusammenarbeiten soll, kann es dienlich sein, dem Betriebsrat freiwillig per Betriebsvereinbarung ein Mitbestimmungsrecht bei der Bestellung des Datenschutzbeauftragten einzuräumen1. Im Rahmen einer solchen Betriebsvereinbarung wird empfohlen, eine Regelung für den Fall eines Dissenses zu treffen2. Die verantwortliche Stelle hat nämlich ihrer Bestellungspflicht nach Abs. 1 Satz 1 unter Einhaltung der Frist des Satz 2 nachzukommen. Dies darf durch eine Nichteinigung mit dem Betriebsrat nicht vereitelt werden3. 19 Das BDSG äußert sich nicht zu einer möglichen Befristung der Bestellung. Ob

eine solche Möglichkeit besteht, wird unterschiedlich beantwortet. Einerseits wird argumentiert, dass eine befristete Bestellung eine Umgehung der Widerrufsvoraussetzungen des § 4f Abs. 3 Sätze 4–6 BDSG i.V.m. § 626 BGB sei, welche das Vorliegen eines „wichtigen Grunds“ fordert (s. dazu Rz. 53)4. Als Lösung dieser Missbrauchsmöglichkeit seitens des Arbeitgebers wird gefordert, dass die Befristung gleichermaßen wie der Widerruf an einen „wichtigen Grund“ in analoger Anwendung des § 4f Abs. 3 Sätze 4–6 BDSG i.V.m. § 626 BGB geknüpft werden soll5. Dagegen spricht, dass in der Praxis ein solcher Grund bereits bei der Bestellung kaum denkbar ist, eine Befristungsmöglichkeit mithin faktisch nicht existent wäre6. Eine Befristung aufgrund erheblicher Zweifel an der erforderlichen Fachkunde oder Zuverlässigkeit des Kandidaten ist nämlich rechtlich unzulässig, da die Voraussetzungen an die Person des Datenschutzbeauftragten bereits bei dessen Bestellung vorliegen müssen und die verantwortliche Stelle sich über deren Vorliegen hinreichend zu vergewissern hat7. Ebenfalls liegen die Voraussetzungen für die zuvor genannte Analogie nicht vor8. Nach zutreffender Ansicht wird die befristete Bestellung eines Datenschutzbeauftragten als legitime Ausprägung der unternehmerischen und vertraglichen Freiheit des Arbeitgebers gewertet und ist somit nicht an das Vorliegen der Voraussetzungen des § 626 BGB gebunden9. Solange sich für das schuldrechtliche Grundgeschäft (meist Dienstvertrag, s. dazu Rz. 21 f.) kein Befristungsverbot ergibt, so spricht dies für

1 So auch Gola/Schomerus, § 4f BDSG Rz. 36. 2 Simitis/Simitis, § 4f BDSG Rz. 69. 3 Ausführlich zur Beteiligung von Arbeitnehmervertretungen: Simitis/Simitis, § 4f BDSG Rz. 65 ff. 4 Gola/Schomerus, § 4f BDSG Rz. 32; Däubler/Klebe/Wedde/Weichert/Däubler, § 4f BDSG Rz. 75. 5 So im Ergebnis auch Gierschmann/Saeugling/Schmitz/Thoma, § 4f BDSG Rz. 22. 6 Ausführlich und überzeugend zur Verneinung der Analogievoraussetzungen: Taeger/ Gabel/Scheja, § 4f BDSG Rz. 39; im Ergebnis auch Simitis/Simitis, § 4f BDSG Rz. 61. 7 So auch Däubler/Klebe/Wedde/Weichert/Däubler, § 4f BDSG Rz. 75. 8 Däubler/Klebe/Wedde/Weichert/Däubler, § 4f BDSG Rz. 75; Simitis/Simitis, § 4f BDSG Rz. 63. 9 So auch Simitis/Simitis, § 4f BDSG Rz. 62; Taeger/Gabel/Scheja, § 4f BDSG Rz. 39.

216

|

von dem Bussche

Beauftragter für den Datenschutz | § 4f BDSG

eine mögliche Befristung des akzessorisch verknüpften Amtsverhältnisses als Datenschutzbeauftragter1. Ein Missbrauch der Befristung läge demnach nur vor, wenn die Bestelldauer in Relation zum Umfang der vorzunehmenden Tätigkeiten des Datenschutzbeauftragten zu kurz bemessen wäre, um diese realistisch und effizient durchführen zu können2. Dies kann offensichtlich nur im Einzelfall entschieden werden. Entsprechend darf aber auch eine zu kurz bemessene Befristung des vertraglichen Dienstverhältnisses nicht die effiziente Ausübung des Amts als Datenschutzbeauftragter unterlaufen3. Unter diesen Prämissen lässt sich ein angemessener Ausgleich im Spannungsverhältnis zwischen unternehmerischer Freiheit und Schutz des Mandats des Datenschutzbeauftragten herstellen. Dies alles deutet darauf hin, dass eine befristete Bestellung des Datenschutzbeauftragten grundsätzlich in den soeben abgesteckten Grenzen zulässig ist. Da sich die verantwortliche Stelle bei der Benennung des Datenschutzbeauftrag- 20 ten über dessen genügende Fachkunde und Zuverlässigkeit versichern muss, ist die Vereinbarung einer Probezeit grundsätzlich unzulässig4. Soweit sich, trotz einer sorgfaltsgemäßen Versicherung über die Fachkunde und Zuverlässigkeit, nach der Benennung herausstellt, dass diese nicht (mehr) gegeben ist, so kann die Benennung widerrufen werden. 5. Vertragliches Verhältnis zwischen Datenschutzbeauftragtem und verantwortlicher Stelle Bei der Bestellung eines Datenschutzbeauftragten sind zwei Rechtsverhältnisse 21 zu unterscheiden. Zunächst wird durch die Bestellung des Datenschutzbeauftragten (i) das Amtsverhältnis begründet und die gesetzlichen Rechtsfolgen der §§ 4f, 4g werden ausgelöst. Davon zu trennen ist (ii) die schuldrechtliche Verpflichtung, aus der sich die Pflicht zum Tätigwerden sowie etwaige Vergütungsansprüche des Datenschutzbeauftragten ergeben5.

1 So im Ergebnis auch Gierschmann/Saeugling/Schmitz/Thoma, § 4f BDSG Rz. 23. 2 Eine Mindestdauer fordernd: Däubler/Klebe/Wedde/Weichert/Däubler, § 4f BDSG Rz. 75 sowie Däubler, in: Gläserne Belegschaften?, Rz. 615 (5 Jahre); Simitis/Simitis, § 4f BDSG Rz. 62 (2 Jahre). 3 So auch Däubler/Klebe/Wedde/Weichert/Däubler, § 4f BDSG Rz. 76. 4 ArbG Dortmund v. 20.2.2013 – 10 Ca 4800/12; so auch Simitis/Simitis, § 4f BDSG Rz. 63; Däubler/Klebe/Wedde/Weichert/Däubler, § 4f BDSG Rz. 75; s. außerdem LAG Sachsen v. 14.2.2014 – 3 Sa 485/13, ZD 2014, 631; derzeit ist die Revision beim BAG anhängig: Az. 6 AZR 193/14; hierzu ausführlich Ziebarth, PinG 2015, 65; Zweifel äußern auch Gierschmann/Saeugling/Schmitz/Thoma, § 4 f BDSG Rz. 23. 5 Gola/Schomerus, § 4f BDSG Rz. 30; Henssler/Willemsen/Kalb/Lembke, § 4f BDSG Rz. 5; mit Einschränkungen auch Däubler/Klebe/Wedde/Weichert/Däubler, § 4f BDSG Rz. 26.

von dem Bussche

|

217

§ 4f BDSG | Allgemeine und gemeinsame Bestimmungen 22 Bei Angestellten der verantwortlichen Stelle liegt die schuldrechtliche Verpflich-

tung regelmäßig im Arbeits- bzw. Dienstverhältnis1. Dieses wird entsprechend abgeändert, da die Bestellung zum Datenschutzbeauftragten eine Erweiterung der arbeitsvertraglichen Aufgaben des Beauftragten darstellt2. Ob diese Änderung vom Direktionsrecht des Arbeitgebers erfasst ist oder der Zustimmung des Beauftragten bedarf, hängt von dem zugrundeliegenden Arbeitsvertrag ab3. Sofern die vom Arbeitnehmer vorzunehmenden Tätigkeiten dort konkret festgelegt sind, bedarf es zur zusätzlichen oder substitutionellen Übertragung der Aufgaben als Datenschutzbeauftragter einer einvernehmlichen Vertragsanpassung4. Diese Vereinbarung kann auch konkludent erfolgen, indem der Arbeitnehmer das Mandat annimmt5. Ist im Arbeitsvertrag das Tätigkeitsfeld des Beschäftigten weit gefasst, kann sich die zu übertragende Funktion als Datenschutzbeauftragter als neue Konkretisierung der ohnehin bereits geschuldeten Arbeitsleistungen darstellen. Eine solche Änderung ist einseitig möglich, da sie vom Direktionsrecht des Arbeitgebers gedeckt ist6. Ein vom Arbeitnehmer zu quittierendes Ernennungsschreiben ist aus beweisrechtlichen Gründen dennoch zu empfehlen7.

23 Bei externen Datenschutzbeauftragten wird es sich hingegen bei dem schuld-

rechtlichen Grundgeschäft zur Bestellung meist um einen Geschäftsbesorgungsvertrag handeln8. Das Verhältnis von Amtsverhältnis und Geschäftsbesorgung zueinander ist vor allem dann zu beachten, wenn eines der beiden beendet werden soll (hierzu Rz. 56 ff.).

23a Die Haftung des Datenschutzbeauftragten richtet sich nach den allgemeinen

Grundsätzen, weil das BDSG diese Frage nicht regelt. Die Haftungsregelung in §§ 7, 8 trifft nur die verantwortliche Stelle (bei § 8 eine öffentliche Stelle), welche von einem Betroffenen in Anspruch genommen werden kann; einen direkten Anspruch gegen den Datenschutzbeauftragten begründet sie hingegen nicht9 (s. zur Haftung ausführlich Komm. zu § 4g BDSG Rz. 43 ff.).

1 Däubler/Klebe/Wedde/Weichert/Klebe, § 4f BDSG Rz. 26; kritisch dazu Liedtke, NZARR 2008, 505; s. Muster für einen Arbeitsvertrag mit einem Datenschutzbeauftragten Moos/Weberndörfer/Zieger, Teil 1 I Rz. 4 ff. bei einer Neueinstellung des Datenschutzbeauftragten, ansonsten Muster für Ergänzungsvertrag Moos/Weberndörfer/Zieger, Teil 1 I Rz. 73 ff. 2 So BAG, NJW 2011, 476; BAG, NJW 2007, 2507 (2508), auch zur Bestellung durch Geschäftsbesorgungsvertrag. 3 BAG, MMR 2007, 582 (583). 4 BAG, NZA 2011, 1036 Rz. 29; Gehlhaar, NZA 2010, 373 (375). 5 BAG, NZA 2011, 1036 Rz. 29. 6 So auch Gola/Schomerus, § 4f BDSG Rz. 30, a.A. Simitis/Simitis, § 4f BDSG Rz. 82. 7 Gola/Schomerus, § 4f BDSG Rz. 30. 8 Taeger/Gabel/Scheja, § 4f BDSG Rz. 37; s. Muster für einen Vertrag über die Beauftragung eines externen Datenschutzbeauftragten bei Moos/Henkel, Teil 1 II Rz. 2 ff. 9 S. ausführlich hierzu Gierschmann/Saeugling/Schmitz/Thoma, § 4f BDSG Rz. 42 ff.

218

|

von dem Bussche

Beauftragter für den Datenschutz | § 4f BDSG

III. Person des Datenschutzbeauftragten Durch die permanent steigende Professionalisierung des Berufsbilds des Daten- 24 schutzbeauftragten kann kein Zweifel mehr daran bestehen, dass es sich um einen Beruf handelt, der grundrechtlichen Schutz gemäß Art. 12 GG genießt1. Als Datenschutzbeauftragte in Form einer natürlichen Person kommen sowohl 25 Angestellte der verantwortlichen Stelle als auch externe Personen in Betracht. Letztere können selbst für verantwortliche Stellen gewählt werden, bei denen Daten verarbeitet werden, die einem Berufsgeheimnis gemäß § 203 StGB unterliegen – dies wird durch Abs. 2 Satz 3 sowie Abs. 4a klargestellt (s.a. Rz. 10). Für öffentliche Stellen kommen gemäß Abs. 2 Satz 3 als externe Personen nur Bedienstete aus einer anderen öffentlichen Stelle in Betracht2. Ein externer Datenschutzbeauftragter kommt vor allem dann in Betracht, wenn 26 sich aus dem Personal der verantwortlichen Stelle keine geeignete Person findet. Dies kann gerade bei kleineren Unternehmen der Fall sein3. Gerade im Hinblick auf die Vertragsgestaltung stellt sich hier die Frage, ob auch juristische Personen zu Datenschutzbeauftragten ernannt werden können. Insbesondere wenn größere Unternehmen beauftragt werden sollen, die professionell mehreren verantwortlichen Stellen als Datenschutzbeauftragte zur Verfügung stehen, wäre es von Vorteil, wenn diese direkt unter Vertrag genommen werden könnten, ohne erst einen Mitarbeiter als Vertragspartner dazwischen schalten zu müssen. Der Gesetzeswortlaut von Abs. 2 spricht nicht dagegen. Teilweise wird die Möglichkeit, eine juristische Person zu bestellen, jedoch mit dem Argument verneint, dass nur natürliche Personen die erforderlich Fachkunde und Zuverlässigkeit aufweisen könnten4. Diese Ansicht widerspricht jedoch anderen gesetzlichen Regelungen (z.B. § 27 WPO), die selbstverständlich von der Legitimität juristischer Personen für Mandate, die persönliche Zuverlässigkeit voraussetzen, ausgehen5. Auch entspricht es nur einer natürlichen wirtschaftlichen Betrachtungsweise, wenn professionell agierende Datenschutzbeauftragte als Gesellschaften mit oder ohne Rechtspersönlichkeit organisiert sind. Die Gegenmeinung schlägt die Bestellung eines Mitarbeiters der juristischen Person als Datenschutzbeauftragten vor, wobei das schuldrechtliche Grundverhältnis zwischen der verantwortlichen Stelle und der juristischen Person geschlossen werden

1 Simitis/Simitis, § 4f BDSG Rz. 83; LG Ulm v. 31.10.1990 – 1 S 188/90-01, CR 1991, 103. 2 Vgl. BT-Drucks. 461/00, S. 89; Simitis/Simitis, § 4f BDSG Rz. 42; Däubler/Klebe/Wedde/ Weichert/Däubler, § 4f BDSG Rz. 21; Gola/Schomerus, § 4f BDSG Rz. 17–18; a.A. Taeger/ Gabel/Scheja, § 4f BDSG Rz. 77. 3 Vgl. Gernhold, RDV 2006, 6 (7). 4 Gola/Schomerus, § 4f BDSG Rz. 19; Schaffland/Wiltfang, § 4f BDSG Rz. 45; Däubler/ Klebe/Wedde/Weichert/Däubler, § 4f BDSG Rz. 22. 5 So auch Simitis/Simitis, § 4f BDSG Rz. 48, 50; Taeger/Gabel/Scheja, § 4f BDSG Rz. 83.

von dem Bussche

|

219

§ 4f BDSG | Allgemeine und gemeinsame Bestimmungen kann. Die rechtliche Klammer bildet dann der Arbeitsvertrag des Bestellten1. Dies ist aber aus oben genannten Gründen unnötig sowie unpraktikabel, sofern eines der beiden Verhältnisse (Amts- bzw. Schuldverhältnis) wegfällt (s. Rz. 31 f.)2. Daher sollte davon ausgegangen werden, dass auch juristische Personen Datenschutzbeauftragte sein können3. 27 Abs. 2 Satz 1 stellt zwei Anforderungen an die Person des Datenschutzbeauf-

tragten: Dieser muss (i) die erforderliche Fachkunde auf dem Gebiet des Datenschutzes (s. Rz. 28) sowie (ii) die erforderliche Zuverlässigkeit (s. Rz. 30) aufweisen (hinsichtlich der Rechtsfolgen bei mangelnder Fachkunde oder Zuverlässigkeit s. Rz. 69). Beide Begriffe bedürfen mangels Legaldefinition der Auslegung. Sie müssen zum Zeitpunkt der Bestellung bereits in der Person des zu Ernennenden vorhanden sein4. Mangels geforderter Zertifizierungsverfahren5 sowie Fachausbildung für Datenschutzbeauftragte, unterliegt die Einschätzung darüber, ob obige Anforderungen erfüllt sind, der Selbstkontrolle und -regulierung der verantwortlichen Stelle sowie des Datenschutzbeauftragten6. Das BDSG kennt dabei kein detailliertes Anforderungsprofil im Hinblick auf den Grad der Fachkunde und Zuverlässigkeit; dieses ist vielmehr als sich stetig verändernd sowie nicht abstrakt, sondern konkret an den Anforderungen, welche die jeweilige verantwortliche Stelle in sich birgt, zu begreifen7. Bspw. stellt die Tätigkeit innerhalb eines Kreditunternehmens den Datenschutzbeauftragten oder sogar „Konzerndatenschutzbeauftragten“ vor gänzlich andere Herausforderungen als das gleiche Amt in einem mittelständischen Handwerksbetrieb8. Entsprechend variieren auch die Anforderungen an seine Befähigung. Sofern der bestellte Datenschutzbeauftragte die für die jeweilige verantwortliche Stelle erforderliche Fachkunde bzw. Zuverlässigkeit jedoch nicht aufweist, steht dies auf der Rechtsfolgenseite dem Fall gleich, dass überhaupt kein Datenschutzbeauftragter bestellt wird (s. Rz. 68 ff.). 1. Fachkunde

28 Die Tätigkeit als Datenschutzbeauftragter setzt nicht den Abschluss einer be-

stimmten Ausbildung oder den Nachweis einer bestimmten Zertifizierung vo1 2 3 4 5

So Gola/Schomerus, § 4f BDSG Rz. 19. Vgl. Taeger/Gabel/Scheja, § 4f BDSG Rz. 83. So auch Simitis/Simitis, § 4f BDSG Rz. 48 ff.; Taeger/Gabel/Scheja, § 4f BDSG Rz. 83 f. So auch Gola/Schomerus, § 4f BDSG Rz. 20; Simitis/Simitis, § 4f BDSG Rz. 93. Zertifizierungen werden unter anderen angeboten von: GDD, TÜV Nord, Ulmer Akademie; hierzu Jaspers/Reif, DuD 2007, 333. 6 Vgl. Taeger/Gabel/Scheja, § 4f BDSG Rz. 59; Gola/Schomerus, § 4f BDSG Rz. 20. 7 Vgl. Simitis/Simitis, § 4f BDSG Rz. 84, 89; Taeger/Gabel/Scheja, § 4f BDSG Rz. 66; vgl. ferner BT-Drucks. 16/12011, S. 30. 8 Vgl. auch Gola/Schomerus, § 4f BDSG Rz. 20a.

220

|

von dem Bussche

Beauftragter für den Datenschutz | § 4f BDSG

raus. Entscheidend für das Vorliegen ausreichender Fachkunde ist vielmehr, ob der Kandidat die gesetzlichen Anforderungen an einen Datenschutzbeauftragten und insbesondere die Anforderungen des § 4g erfüllt1. Dies setzt eine Trias rechtlicher, organisatorischer und technischer Kenntnisse voraus2. Im Ausgangspunkt wird man daher auf jeden Fall fundierte Kenntnisse im Datenschutzrecht einschließlich damit verwandter Rechtsmaterien (insbesondere Telekommunikationsrecht, Geheimnisschutz, Verbraucherschutz) sowie über aktuelle Datenverarbeitungstechnologien verlangen müssen3. Der Datenschutzbeauftragte muss in der Lage sein, erfassen zu können, ob ein Datenverarbeitungsvorgang technisch vorliegt und dann auch juristisch zulässig ist. Weiterhin muss er dazu befähigt sein, analysieren zu können, welche technisch-organisatorischen Datenschutzmaßnahmen für Verarbeitungsvorgänge nötig sind4. Dafür ist es nicht zwingend erforderlich, dass der Datenschutzbeauftragte deutscher Staatsangehöriger oder deutschsprachig ist. Insbesondere kann es sich anbieten, einen Mitarbeiter einer ausländischen Schwester- oder Muttergesellschaft als externen Datenschutzbeauftragten einer deutschen verantwortlichen Stelle zu bestellen. In diesem Fall ist dem Datenschutzbeauftragten jedoch eine bilinguale Hilfsperson in der deutschen verantwortlichen Stelle zur Verfügung zu stellen, die mit den Betroffenen als „Sprachrohr“ des Datenschutzbeauftragten kommunizieren kann5. Der Datenschutzbeauftragte kann gemäß Abs. 3 Satz 7 auf Kosten der verant- 29 wortlichen Stelle an Weiterbildungsmaßnahmen teilnehmen. Hierdurch soll der Datenschutzbeauftragte sich die erforderlichen Kenntnisse zur Ausübung seiner Tätigkeit aneignen und – in Anbetracht rasanter technischer Entwicklungen und Gesetzesnovellen – auch erhalten6. Demnach ist die Fachkunde eines Datenschutzbeauftragten temporär zu begreifen und stets neu zu bewerten7. Die Norm ist in Anlehnung an entsprechende Rechte für Betriebs- und Personalräte formuliert8. Umfang und Inhalt der von Satz 7 abgedeckten Weiterbildungsmaßnahmen bestimmt sich nach dem Kenntnisstand des Datenschutzbeauftragten und den Anforderungen der verantwortlichen Stelle9. Einem unerfahrenen Datenschutzbeauftragten wird man zunächst auch umfangreichere Weiterbil1 Vgl. Abel, MMR 2002, 289 (291); Gola/Schomerus, § 4f BDSG Rz. 20; Albrecht/Dienst, JurPC Web-Dok. 19/2011, Abs. 10. 2 Simitis/Simitis, § 4f BDSG Rz. 84; Wedde, DuD 2004, 670 (672); Gola/Klug, NJW 2007, 118 (120). 3 Vgl. Däubler/Klebe/Wedde/Weichert/Däubler, § 4f BDSG Rz. 28; Gola/Schomerus, § 4f BDSG Rz. 20. 4 Taeger/Gabel/Scheja, § 4f BDSG Rz. 62 f. 5 v. d. Bussche/Voigt/v. d. Bussche/Voigt, Konzerndatenschutzrecht, Teil 2 Kapitel 1 Rz. 17. 6 Vgl. Wedde, DuD 2004, 670 (672). 7 So auch Simitis/Simitis, § 4f BDSG Rz. 87. 8 BT-Drucks. 16/12011, S. 30. 9 Vgl. BT-Drucks. 16/12011, S. 30; Däubler/Klebe/Wedde/Weichert/Däubler, § 4f BDSG Rz. 61a ff.

von dem Bussche

|

221

§ 4f BDSG | Allgemeine und gemeinsame Bestimmungen dungsmaßnahmen zugestehen müssen1. Freilich sind dabei auch die Interessen der verantwortlichen Stelle zu beachten, es wird letztlich darauf hinauslaufen, ob bei vernünftiger Abwägung aller Interessen ein bestimmtes Sachmittel oder eine eingeforderte Unterstützung erforderlich sind2. Externe Beauftragte haben dagegen selbst für ihre Fortbildung Sorge zu tragen3. 2. Zuverlässigkeit/insbesondere Interessenkonflikt 30 Die Zuverlässigkeit betrifft die Person als solche – zu prüfen ist, inwiefern Um-

stände in der Person daran zweifeln lassen, dass sie ihr Amt als Datenschutzbeauftragter ordnungsgemäß erfüllen wird4. Das Zuverlässigkeitsmerkmal kann dabei sowohl objektiv als auch subjektiv ausgestaltet sein5. Generell gilt, dass die Anforderung an die Zuverlässigkeit des Datenschutzbeauftragten – ebenso wie an die Fachkunde – im Verhältnis zu der Menge der Betroffenen und der Sensibilität der durchgeführten Datenverarbeitungsprozesse steigt6. Unzuverlässigkeitsgründe können sich aus dem Verhalten des Kandidaten ergeben7. Von mangelnder Zuverlässigkeit ist bspw. auszugehen, wenn der Kandidat in der Vergangenheit seine Verschwiegenheitspflicht verletzt hat oder bereits Abmahnungen gegen ihn ergangen sind8.

31 In der Praxis kommt meist eine absehbare Interessenkollision als Grund für die

Annahme der Unzuverlässigkeit in Betracht9. So etwa, wenn der Datenschutzbeauftragte seine bisherige Tätigkeit weiter ausübt und diese Tätigkeit gerade auf die umfassende Verarbeitung personenbezogener Daten angelegt ist. In diesem Fall ist die Trennung zwischen Datenschutzbeauftragtem und verantwortlicher Stelle nicht mehr gewährleistet10. Ausgeschlossen ist damit die Bestellung des Geschäftsführers oder eines anderen mit der Geschäftsleitung betrauten Angestellten; ungeeignet sind auch der Leiter der EDV-Abteilung, der Personalleiter oder der Leiter der Marketingabteilung11. Ebenso führt eine zu starke Arbeit1 Däubler, DuD 2010, 20 (22) spricht für „ein oder zwei Wochen“. 2 Däubler, DuD 2010, 20 (22). 3 Simitis/Simitis, § 4f BDSG Rz. 154; vgl. auch Däubler/Klebe/Wedde/Weichert/Däubler, § 4f BDSG Rz. 56. 4 Vgl. Bergmann/Möhrle/Herb, § 4f BDSG Rz. 99; Däubler/Klebe/Wedde/Weichert/ Däubler, § 4f BDSG Rz. 29; Taeger/Gabel/Scheja, § 4f BDSG Rz. 70; Simitis/Simitis, § 4f BDSG Rz. 94. 5 Gierschmann/Saeugling/Schmitz/Thoma, § 4f BDSG Rz. 30. 6 Taeger/Gabel/Scheja, § 4f BDSG Rz. 70. 7 So Abel, MMR 2002, 289 (291). 8 Däubler/Klebe/Wedde/Weichert/Däubler, § 4f BDSG Rz. 29. 9 Taeger/Gabel/Scheja, § 4f BDSG Rz. 72. 10 Vgl. Simitis/Simitis, § 4f BDSG Rz. 97; Bergmann/Möhrle/Herb, § 4f BDSG Rz. 102. 11 Däubler/Klebe/Wedde/Weichert/Däubler, § 4f BDSG Rz. 31; Taeger/Gabel/Scheja, § 4f BDSG Rz. 72 f.

222

|

von dem Bussche

Beauftragter für den Datenschutz | § 4f BDSG

gebernähe zur Bejahung eines Interessenkonflikts; so etwa bei leitenden Angestellten sowie Familienangehörigen des Arbeitgebers1. Ob eine Mitgliedschaft im Betriebs- oder Personalrat eine Tätigkeit des Ange- 32 stellten als Datenschutzbeauftragter ausschließt, ist umstritten2. Für eine Unverträglichkeit der Ämter wird angeführt, dass aufgrund der umfassenden allgemeinen Kontrollfunktion der §§ 80 Abs. 1 Nr. 1 BetrVG und 68 Abs. 1 Nr. 2 BPersVG die Überwachung über die Einhaltung von datenschutzrechtlichen Bestimmungen durch die jeweilige verantwortliche Stelle ohnehin originär in den Aufgabenbereich der Betriebs- und Personalräte fällt3. Eine Interessenkollision könnte aber mit dem Bedürfnis nach strategischen Maßnahmen entstehen. Denn Betriebs- oder Personalräte sind zwar aufgrund oben genannter Vorschriften zur Überwachung von Datenschutzregelungen verpflichtet, aber erfahrungsgemäß dennoch gelegentlich zu Konzessionen im Bereich des Datenschutzes bereit, wenn sich im Gegenzug anderweitige Interessen durchsetzen lassen; auch werden Datenschutzinteressen teilweise allein aus dem Grund vorgeschoben, um möglichst starke Verhandlungspositionen aufzubauen. Dann fehlt es jedenfalls an der erforderlichen Zuverlässigkeit für das Amt des Datenschutzbeauftragten4. Die Gegenmeinung geht von einer Inkompatibilität beider Ämter nicht aus und 33 lässt es genügen, eine mangelnde Zuverlässigkeit aufgrund einer tatsächlich unzureichenden Aufgabenwahrnehmung erst im Rahmen des Widerrufs der Bestellung feststellen lassen zu können5. Auch würde ein pauschales Absprechen der Befähigung eines Betriebs- oder Personalratsmitglieds zum Amt des Datenschutzbeauftragten zu einer Benachteiligung gegenüber anderen Arbeitnehmern i.S.d. § 78 BetrVG bzw. § 107 BPersVG führen6. Wenig zu überzeugen vermag das Argument, dass aus der allgemeinen Kontroll- 34 funktion der Betriebs- und Personalräte gemäß §§ 80 Abs. 1 Nr. 1 BetrVG und 68 Abs. 1 Nr. 2 BPersVG, auf eine Exklusivität in Bezug auf das Amt des Datenschutzbeauftragten zu schließen sei (s. Rz. 32). Ein solches Gebot ist den Normen nicht zu entnehmen7. Es ist daraus auch nicht ersichtlich, dass die Überwachungsfunktion in datenschutzrechtlicher Hinsicht nicht auf ein Mitglied des Betriebs- bzw. Personalrats durch zusätzliche Bestellung als Datenschutzbeauf1 So auch Däubler/Klebe/Wedde/Weichert/Däubler, § 4f BDSG Rz. 31. 2 Unzuverlässigkeit bejahend: Henssler/Willemsen/Kalb/Lembke, § 4f BDSG Rz. 5; Simitis/ Simitis, § 4f BDSG Rz. 108; Bergmann/Möhrle/Herb, § 4f BDSG Rz. 105; a.A. Gola/Schomerus, § 4f BDSG Rz. 28; BAG, NZA 2011, 1036, Rz. 25. 3 So Simitis/Simitis, § 4f BDSG Rz. 108. 4 Simitis/Simitis, § 4f BDSG Rz. 108. 5 BAG, NZA 2011, 1036, Rz. 25. 6 Gola/Schomerus, § 4f BDSG Rz. 28; Däubler/Klebe/Wedde/Weichert/Däubler, § 4f BDSG Rz. 32. 7 So auch Gola/Schomerus, § 4f BDSG Rz. 28.

von dem Bussche

|

223

§ 4f BDSG | Allgemeine und gemeinsame Bestimmungen tragter konzentriert werden kann. Ebenso wenig ist in einem solchen Fall eine unzureichende Aufgabenerfüllung aufgrund anderweitiger Interessen immanent, sondern jeweils eine Frage des Einzelfalls und daher kein zwingender Grund für eine Benachteiligung i.S.d. § 78 BetrVG bzw. § 107 BPersVG1. Maxime im Rahmen der Feststellung der Unzuverlässigkeit sollte stets sein, ob die nötige Unabhängigkeit, die das Amt als Datenschutzbeauftragter erfordert, nicht gewährleistet werden kann2. Dies vermag die Vorverurteilung von Betriebs- und Personalratsmitgliedern als „unzuverlässig“ selbst dann nicht zu belegen, wenn im Einzelfall Datenverarbeitungsvorgänge des Betriebs- oder Personalrats durch den Datenschutzbeauftragten zu kontrollieren sind (umstritten; s. hierzu Komm. zu § 4g BDSG Rz. 29 f.)3. Auch als Mitglied des entsprechenden Rats kann ein Datenschutzbeauftragter seine Aufgaben dennoch ordnungsgemäß und „zuverlässig“ wahrnehmen4. Demnach ist eine generelle Unzuverlässigkeit von Betriebs- und Personalratsmitgliedern für das Mandat als Datenschutzbeauftragter abzulehnen5. 34a Während Mehrfach- und Doppeltätigkeiten, etwa in der internen Revision und

zugleich als Geschäftsführer operativer Einheiten, wegen auftretender Interessenkonflikte vermieden werden sollten, ist dagegen eine „Zweit“-Tätigkeit als Datenschutzbeauftragter neben einer Tätigkeit in der internen Rechtsabteilung unschädlich und kann sogar hilfreich sein6, schon alleine wegen der zu Tage tretenden Synergieeffekte.

34b Umstritten ist, ob es angesichts der immer höheren Anforderungen an Compli-

ance-Maßnahmen ratsam bzw. überhaupt rechtlich zulässig ist, die Position des betrieblichen Datenschutzbeauftragten mit der Position des Compliance-Beauftragten zu kombinieren oder den Datenschutzbeauftragten zumindest in der Compliance-Abteilung als Mitarbeiter einzugliedern7. Dies gilt insbesondere für kleine und mittelständische Unternehmen. Es ist insofern zu untersuchen, ob sich die Funktion des Datenschutzbeauftragten soweit mit der des Compliance-Beauftragten deckt, dass sie ohne inhärente Interessenkonflikte in Personalunion ausgeübt werden kann8. Eine Legaldefinition des Begriffs „Compliance“

1 So auch BAG, NZA 2011, 1036, Rz. 25. 2 Vgl. Simitis/Simitis, § 4f BDSG Rz. 97 f.; Taeger/Gabel/Scheja, § 4f BDSG Rz. 72 f.; Bergmann/Möhrle/Herb, § 4f BDSG Rz. 102. 3 So auch BAG, NZA 2011, 1036, Rz. 25; vgl. ferner BAG, RDV 1998, 64 ff.; Gola/Schomerus, § 4f BDSG Rz. 28. 4 So auch BAG, NZA 2011, 1036, Rz. 25. 5 So auch BAG, NZA 2011, 1036, Rz. 25; Gola/Schomerus, § 4f BDSG Rz. 28. 6 Hauschka/Hauschka/Spiekermann, Corporate Compliance, § 15 Rechtsabteilung, Rz. 24; Taeger/Gabel/Scheja, § 4f BDSG, Rz. 70; deutlich kritischer hierzu wegen etwaiger bestehender Interessenkonflikte Gierschmann/Saeugling/Schmitz/Thoma, § 4f BDSG Rz. 34. 7 Forgó/Helfrich/Schneider/Schröder, Betrieblicher Datenschutz, Teil V Kapitel 3 Rz. 72 m.w.N. 8 Dieses verneinend Gierschmann/Saeugling/Schmitz/Thoma, § 4f BDSG Rz. 32.

224

|

von dem Bussche

Beauftragter für den Datenschutz | § 4f BDSG

existiert nicht, obschon der Begriff unmittelbar bzw. seiner Bedeutung nach in verschiedenen Gesetzen Verwendung findet1. Der Begriff Compliance leitet sich aus dem Englischen von „to comply“ ab und bedeutet so viel wie „einhalten“ oder „befolgen“. Dabei umfasst Compliance die Gesamtheit aller Maßnahmen, welche das rechtmäßige Verhalten der Unternehmen, der Organisation und der Mitarbeiter im Blick auf alle gesetzlichen Verbote gewährleisten2. Das Compliance-Management ist – ebenso wie der Datenschutzbeauftragte – 34c Bestandteil des unternehmerischen Risikomanagements.3 Ein Vergleich der Stellungen und Aufgaben von Compliance-Beauftragtem und Datenschutzbeauftragtem zeigt, dass die gemeinsame Schnittmenge beider Positionen vornehmlich darin besteht, die Einhaltung des Datenschutzrechts zu überwachen4. Dabei dürfte die zu erwartende gute Organisationskenntnis des Compliance-Beauftragten sicher auch für die Überwachung des Datenschutzrechts hilfreich sein. Schon die organisatorische Stellung, zumindest bei den Compliance-Beauftragten von Wertpapierdienstleistungsunternehmen, unterscheidet sich deutlich von der des Datenschutzbeauftragten. Während letzter weisungsfrei ist (s. hierzu ausführlich Rz. 38), ist der Compliance-Beauftragte weisungsgebunden5. Gewichtiger gegen eine Personalunion spricht jedoch der sich aus der unterschiedlichen Aufgabenstellung ergebende Interessenkonflikt: der betriebliche Datenschutzbeauftragte nimmt ausschließlich im hoheitlichen Interesse den Schutz der Persönlichkeitsrechte wahr und ist zur Ausübung dieser Aufgabe mit einem starken Kündigungsschutz sowie einer Verschwiegenheitspflicht über Tatsachen, die ihm von den Betroffenen anvertraut werden, versehen. Der Compliance-Beauftragte hat hingegen in erster Linie die Funktion, Haftung für das Unternehmen und den Vorstand zu vermeiden und darf dabei durchaus auch Unternehmensinteressen im Auge haben6. Insofern bedarf er auch keines starken Kündigungsschutzes7. Der Compliance-Beauftragte, dessen Aufgabe es ferner ist, zur Überwachung der sich für das Unternehmen ergebenden Risiken, ein Kontrollsystem einzurichten, wird folglich z.B. bei Einrichtung und Nutzung von Systemen zum Datenabgleich erhebliche Haftungsrisiken gegen eine die Persönlichkeitsrechte der Betroffenen in jeder Hinsicht schützende (Nicht-)Kontrolle abzuwägen haben. Sicherlich muss sich der Compliance-Beauftragte auch bei 1 S. z.B. § 33 Abs. 1 Satz 2 Nr. 1 WpHG, § 64a Abs. 1 VAG oder § 9 Abs. 1 GwG. 2 Renz/Hense/Fett, Organisation der Wertpapier-Compliance-Funktion, S. 5 Rz. 1; s. zur genauen Begriffsbestimmung auch Renz/Frankenberger, ZD 2015, 158. 3 Forgó/Helfrich/Schneider/Hanloser, Betrieblicher Datenschutz, Teil V Kapitel 3 Rz. 72. 4 Forgó/Helfrich/Schneider/Schröder, Betrieblicher Datenschutz, Teil V Kapitel 3 Rz. 81; s. hierzu auch Renz/Frankenberger, ZD 2015, 158 (160). 5 Forgó/Helfrich/Schneider/Schröder, Betrieblicher Datenschutz, Teil V Kapitel 3 Rz. 81. 6 Forgó/Helfrich/Schneider/Schröder, Betrieblicher Datenschutz, Teil V Kapitel 3 Rz. 82; Wolf, BB 2011, 1353 (1357); s. zu diesem Interessenkonflikt auch BlnDSB, Jahresbericht 2010, S. 176 ff. 7 S. hierzu auch Nipperdey/Kortstock, Lexikon Arbeitsrecht, Compliance-Beauftragter.

von dem Bussche

|

225

§ 4f BDSG | Allgemeine und gemeinsame Bestimmungen Einführung solcher Systeme an Recht und Gesetz halten. Es dürfte aber nicht verwundern, wenn die Abwägung der widerstreitenden Interessen durch den Compliance-Beauftragten anders ausfällt als durch den Datenschutzbeauftragten1. Darüber hinaus ist der Interessenkonflikt absehbar, wenn ein ComplianceBeauftragter in seiner Funktion als Datenschutzbeauftragter z.B. von Arbeitnehmern über Missstände im Unternehmen informiert, zugleich aber gebeten wird, die Namen der Hinweisgeber nicht bekanntzugeben2. Während der Compliance-Beauftragte die Preisgabe der Namen eventuell für weitere Sachverhaltsaufklärungen bräuchte, wäre er als Datenschutzbeauftragter zur Verschwiegenheit verpflichtet (s. Rz. 46). 34d Vorgeschlagen werden in der Literatur verschiedene Organisationsmodelle, die

auf unterschiedliche Art und Weise klar definierte Schnittstellen für den Compliance-Beauftragten und den Datenschutzbeauftragten mit sich bringen sollen3. Beim ersten Modell ist der Datenschutzbeauftragte i.S.e. Compliance-Fachabteilung dem Compliance-Beauftragten unterstellt. Die Einbeziehung eines Datenschutzbeauftragten in die Compliance hat den Vorteil, dass die Wahrnehmung des Datenschutzes insgesamt erhöht wird und zudem Synergieeffekte über gleichgelagerte Prozesse erzeugt werden können4. Diese Organisationsgestaltung birgt jedoch das Risiko, dass der Unternehmensleitung wegen der zwischen Compliance- und Datenschutzaufgaben bestehenden Konflikte möglicherweise nicht in vollem Umfang die datenschutzrelevanten Themen übermittelt, da keine direkte Berichtslinie an den Vorstand besteht. Darüber hinaus ist fragwürdig, ob tatsächlich eine unabhängige Berichterstattung des Datenschutzbeauftragten an die Geschäftsleitung erfolgt. Im Übrigen ist der für die ComplianceOrganisation und ihre Prozesse wichtige Nachweis einer unabhängigen datenschutzrechtlichen Prüfung in einem direkten Unterordnungsverhältnis des Datenschutz- und Compliance-Beauftragten nicht möglich.

34e Ein fast identisches, ebenfalls in der Praxis vorkommendes Modell sieht vor,

dass der Datenschutzbeauftragte i.S.e. Compliance-Fachabteilung dem Compliance-Beauftragten nur disziplinarisch unterstellt ist. Die bei dem vorherigen Modell dargestellten Vor- und Nachteile gelten auch hier. Ein weiterer Vorteil besteht jedoch darin, dass Interessenkonflikte (nur) auf disziplinarischer Ebene bestehen können. Die fachliche Berichtslinie geht hier an den Vorstand, vorbei am Compliance-Beauftragten.

1 Forgó/Helfrich/Schneider/Schröder, Betrieblicher Datenschutz, Teil V Kapitel 3 Rz. 82. 2 Forgó/Helfrich/Schneider/Schröder, Betrieblicher Datenschutz, Teil V Kapitel 3 Rz. 82. 3 S. zum Ganzen Renz/Frankenberger, ZD 2015, 158 (161); s. für eine datenschutzkonforme Umsetzungsmöglichkeit einer Compliance-Maßnahme anhand des Beispiels des Pre-Employment-Screenings v. d. Bussche/Voigt/Oenning/Oenning, Konzerndatenschutz, Teil 5 Kapitel 1 Rz. 45 ff. 4 S. hierzu auch Forgó/Helfrich/Schneider/Schröder, Betrieblicher Datenschutz, Teil V Kapitel 3 Rz. 83.

226

|

von dem Bussche

Beauftragter für den Datenschutz | § 4f BDSG

Beim dritten Modell werden die Aufgaben des Datenschutz- und Compliance- 34f Beauftragten in Personalunion wahrgenommen, wodurch einerseits Kosten eingespart werden und andererseits ein einheitliches Compliance-Risiko-Reporting an die Geschäftsleitung erfolgt. Auf der anderen Seite verstärkt sich bei Personalunion das Potenzial für einen Interessenkonflikt in der datenschutzrechtlichen Bewertung der Compliance-Prozesse. Weiterhin unterliegt der Beauftragte dem Risiko, bei nötigen Abwägungen einer Haftung ausgesetzt zu sein, da er seine Entscheidung entweder zu Lasten der Compliance oder des Datenschutzes vornehmen muss. Insofern fehlt es an einem Korrektiv. Das vierte und damit letzte Modell sieht vor, dass sich der Compliance-Beauf- 34g tragte und der Datenschutzbeauftragte auf gleicher Ebene gegenüberstehen und gegenüber der Geschäftsleitung getrennte Verantwortungen haben, so dass eine gegenseitige Kontrollfunktion beider Bereiche gewährleistet ist. Darüber hinaus sind Interessenkollisionen innerhalb ein- und derselben Funktion ausgeschlossen. Im Falle eines Interessenkonflikts ist zudem sichergestellt, dass durch die direkte Berichterstattung beider Beauftragter an die Unternehmensleitung auf höchster Ebene verantwortlich entschieden werden kann. Das Modell einer getrennten Verantwortung hat jedoch die Nachteile, dass das Synergiepotenzial fehlt, ein erhöhter Abstimmungsbedarf zwischen Compliance-Beauftragten und Datenschutzbeauftragten erforderlich ist und schließlich ein unterschiedlicher Risikoansatz beider Beauftragten bestehen kann, sofern dies erforderlich sein sollte1. Trotz der gleichen Zuordnung ist das Spannungsfeld zwischen Compliance und 34h Datenschutz nicht zu unterschätzen2. So kollidieren Compliance-Maßnahmen häufig mit den restriktiven Vorschriften über den Beschäftigtendatenschutz, welche Eingriffe, etwa im Rahmen von Kontrollen, häufig nicht zulassen. Die pauschale Berufung auf die Compliance rechtfertigt für sich allein genommen keinen dieser Eingriffe3. Hier sind vielmehr sehr sorgfältig und auf den Einzelfall abgestimmte Erlaubnistatbestände für die den Datenschutz beschränkenden Compliance-Maßnahmen herauszuarbeiten. Folglich ist in Bezug auf etwaige Compliance-Maßnahmen regelmäßig darauf zu achten, dass diese selbst „compliant“ sein müssen4. Für externe Kandidaten kann sich ein Interessenkonflikt bspw. ergeben, wenn 35 der Kandidat bereits andere verarbeitungsintensive Aufgaben für die verantwortliche Stelle übernimmt (z.B. Lohnabrechnungen)5. 1 Alle vier Modelle dargestellt bei Renz/Frankenberger, ZD 2015, 158 (161). 2 S. hierzu ausführlich v. d. Bussche/Voigt/Oenning/Oenning, Konzerndatenschutz, Teil 5 Kapitel 1 Rz. 20 ff. 3 S. allgemein zum Konflikt zwischen Datenschutz und Compliance Maschmann, NZABeilage 2012, 50. 4 Maschmann, NZA-Beilage 2012, 50 (58). 5 Simitis/Simitis, § 4f BDSG Rz. 110; Däubler/Klebe/Wedde/Weichert/Däubler, § 4f BDSG Rz. 34.

von dem Bussche

|

227

§ 4f BDSG | Allgemeine und gemeinsame Bestimmungen IV. Organisatorische Stellung und Unabhängigkeit 36 Die wichtigste Voraussetzung für einen kritischen Datenschutzbeauftragten ist

dessen Unabhängigkeit von der verantwortlichen Stelle1. Es liegt auf der Hand, dass ein Arbeitnehmer in einem regulären Arbeitsverhältnis kaum bereit sein wird, die datenschutzrelevanten Tätigkeiten seines Arbeitgebers kritisch zu hinterfragen und nachhaltig für Verbesserungen im betrieblichen Datenschutz einzutreten2. Entsprechende gesetzliche Vorkehrungen sind daher notwendig. Abs. 3 trägt diesen Bedürfnissen Rechnung, indem für den Datenschutzbeauftragten verschiedene Sonderrechte geschaffen werden, die seine Unabhängigkeit gegenüber der verantwortlichen Stellung stärken sollen. 1. Organisatorische Stellung im Unternehmen

37 Gemäß Abs. 3 Satz 1 ist der Beauftragte für den Datenschutz unmittelbar dem

Leiter der verantwortlichen Stelle zu unterstellen. Dies garantiert einen direkten Zugang zu den Verantwortlichen und erhöht die Autorität des Datenschutzbeauftragten gegenüber Mitarbeitern der verantwortlichen Stelle3. Darüber hinaus soll diese exponierte Positionierung des Datenschutzbeauftragten einerseits seine Neutralität verdeutlichen und andererseits sicherstellen, dass Anfragen und Forderungen seinerseits nicht in der Hierarchieleiter der verantwortlichen Stelle „stecken bleiben“4.

2. Weisungsfreiheit 38 In der Ausübung seiner fachlichen Tätigkeit ist der Datenschutzbeauftragte ge-

mäß Abs. 3 Satz 2 weisungsfrei, allerdings nicht entscheidungsbefugt5. Die Weisungsfreiheit ist essentielle Voraussetzung für einen kritischen Datenschutzbeauftragten. Er ist also grundsätzlich frei darin zu entscheiden, wann, wo und wie er datenschutzrechtliche Initiativen ergreift, zu einer bestimmten Meinung oder einem bestimmten Ergebnis kann er nicht gezwungen werden6. Die Weisungsfreiheit darf aber nicht mit einer Freiheit von jeglicher Kontrolle gleichgesetzt werden, sondern betrifft nur die fachliche Tätigkeit als solche7.

1 Vgl. Taeger/Gabel/Scheja, § 4f BDSG Rz. 2. 2 Allgemein zum Spannungsfeld zwischen den Aufgaben besonders Beauftragter (nicht nur im Datenschutzrecht) und ihrer Abhängigkeit als Arbeitnehmer: Eylert/Sänger, RdA 2010, 24 (37 f.). 3 Vgl. Däubler/Klebe/Wedde/Weichert/Däubler, § 4f BDSG Rz. 43. 4 So auch Taeger/Gabel/Scheja, § 4f BDSG Rz. 84. 5 So Gierschmann/Saeugling/Schmitz/Thoma, § 4 f BDSG Rz. 56. 6 So Däubler/Klebe/Wedde/Weichert/Däubler, § 4f BDSG Rz. 44. 7 Vgl. Wedde, DuD 2004, 670 (673).

228

|

von dem Bussche

Beauftragter für den Datenschutz | § 4f BDSG

Eine dienstliche Kontrolle bleibt selbstverständlich weiterhin möglich, diese 39 darf sich aber nur auf den äußeren Ablauf der Tätigkeit beziehen, also z.B. die Einhaltung von Arbeitszeiten, Arbeitsverhalten etc. erfassen1. Darüber hinaus trägt die verantwortliche Stelle weiterhin die Verantwortung hinsichtlich der Einhaltung der Datenschutzbestimmungen, mithin darüber, dass der Datenschutzbeauftragte seine Aufgaben korrekt durchführt2. Folglich besteht ein diesbezügliches Anordnungsrecht seitens der verantwortlichen Stelle, sobald sie Kenntnis von einer etwaigen mangelhaften Durchführung seitens des Datenschutzbeauftragten Kenntnis erlangt3. Die Abgrenzung zwischen unzulässiger Weisung und gerechtfertigter Anordnung ist erkennbar problematisch4. Prüfaufträge und Beratungsersuchen seitens der verantwortlichen Stelle wer- 40 den nicht als Weisungen im Sinne der Norm klassifiziert5. Demnach ist der Datenschutzbeauftragte verpflichtet, ihnen zumindest so lange nachzukommen, wie sie von Dauer und Umfang seine übrigen Tätigkeiten nicht gefährden6. Im Rahmen seiner umfassenden und freien Prüfungsbefugnis besteht für den 41 Datenschutzbeauftragten allerdings keine Entscheidungskompetenz hinsichtlich der von ihm für erforderlich erachteten Datenschutzmaßnahmen. Diese Entscheidungen obliegen weiterhin der verantwortlichen Stelle7. 3. Benachteiligungsverbot Abs. 3 Satz 3 verbietet es jedermann, den Datenschutzbeauftragten wegen seiner 42 Tätigkeit zu benachteiligen, ihm also z.B. den beruflichen Aufstieg zu verwehren. Umfasst werden sowohl direkte und indirekte Benachteiligungen sowie das Verhalten von Mitarbeitern der verantwortlichen Stelle gegenüber dem Datenschutzbeauftragten8. Ferner genügt die objektive Feststellbarkeit der Benachteiligung; eine vorsätzliche Begehung ist nicht erforderlich9. Außerhalb eklatanter und eindeutig erkennbarer Benachteiligungen wird die praktische Reichweite des Benachteiligungsverbotes allerdings beschränkt sein, denn häufig werden 1 Vgl. Bergmann/Möhrle/Herb, § 4f BDSG Rz. 126; Taeger/Gabel/Scheja, § 4f BDSG Rz. 86. 2 Simitis/Simitis, § 4f BDSG Rz. 125. 3 Vgl. Taeger/Gabel/Scheja, § 4f BDSG Rz. 86; Simitis/Simitis, § 4f BDSG Rz. 125. 4 So auch Däubler/Klebe/Wedde/Weichert/Däubler, § 4f BDSG Rz. 47; Simitis/Simitis, § 4f BDSG Rz. 126. 5 So auch Taeger/Gabel/Scheja, § 4f BDSG Rz. 86; Däubler/Klebe/Wedde/Weichert/Däubler, § 4f BDSG Rz. 46; Gola/Schomerus, § 4f BDSG Rz. 48a. 6 So auch Simitis/Simitis, § 4f BDSG Rz. 124; Däubler/Klebe/Wedde/Weichert/Däubler, § 4f BDSG Rz. 46. 7 So auch Gola/Schomerus, § 4f BDSG Rz. 28; Simitis/Simitis, § 4g BDSG Rz. 5; Taeger/Gabel/Scheja, § 4g BDSG Rz. 8. 8 Taeger/Gabel/Scheja, § 4f BDSG Rz. 89. 9 Simitis/Simitis, § 4f BDSG Rz. 138.

von dem Bussche

|

229

§ 4f BDSG | Allgemeine und gemeinsame Bestimmungen sich sachliche Gründe zumindest vorschieben lassen, die eine vermeintliche Benachteiligung als sachlich gerechtfertigt erscheinen lassen1. 43 Der im Rahmen der BDSG-Novelle 2009 eingeführte Sonderkündigungs- sowie

Bestandsschutz des Datenschutzbeauftragten (s. dazu Rz. 56 f.) hat das Benachteiligungsverbot im Zusammenhang mit Kündigung oder Abberufung nunmehr explizit geregelt und somit dem Anwendungsbereich des generellen Benachteiligungsverbots mehr oder minder entzogen; dieses tritt allenfalls schutzverstärkend neben Abs. 3 Satz 4–62.

4. Unterstützungspflicht des Arbeitgebers 44 Abs. 5 formuliert eine aktive Unterstützungspflicht der verantwortlichen Stelle

hinsichtlich der Tätigkeit des Datenschutzbeauftragten. Der Umfang der Pflicht ist gesetzlich nicht konkretisiert und stets individuell und konkret mit Bezug auf die von ihm zu bewältigenden Aufgaben zu bewerten3. Demnach ist stets das Ausmaß an Unterstützung erforderlich, welches angemessen erscheint, um seine Funktionsfähigkeit in Bezug auf die konkrete Stelle gewährleisten zu können4. Die Entscheidungskompetenz hinsichtlich der Angemessenheit der zu ergreifenden Maßnahmen steht der verantwortlichen Stelle zu5. Sie sollte dabei allerdings auch die Vorstellungen des Datenschutzbeauftragten berücksichtigen und einfließen lassen. Ansonsten besteht die Gefahr, dass dieser von seinem Recht aus § 4g Abs. 1 Satz 2 gebraucht macht und die zuständige Aufsichtsbehörde zur Konsultation heranzieht6.

45 Generell umfasst die Unterstützungspflicht unter anderem, dass der Daten-

schutzbeauftragte rechtzeitig über alle datenschutzrelevanten Vorhaben innerhalb der Stelle unterrichtet wird, dass die nötigen organisatorisch-betrieblichen Maßnahmen eingeleitet werden, um dessen Arbeit zu erleichtern, sowie dass ihm hinreichende Fortbildungsmöglichkeiten eingeräumt werden7. Die Norm nennt als Regelbeispiele, dass ihm „insbesondere“ die Sachmittel wie Hilfspersonal, Räume, Einrichtungen und Geräte im erforderlichen Umfang zur Verfügung zu stellen sind8. Bei internen Datenschutzbeauftragten, die das Amt nur als Nebentätigkeit bekleiden, kann sich die Unterstützungspflicht auch so äußern, 1 So Taeger/Gabel/Scheja, § 4f BDSG Rz. 89; Däubler/Klebe/Wedde/Weichert/Däubler, § 4f BDSG Rz. 50. 2 Vgl. Däubler/Klebe/Wedde/Weichert/Däubler, § 4f BDSG Rz. 50; Ziebarth, PinG 2015, 65 (66 f.). 3 Vgl. Simitis/Simitis, § 4f BDSG Rz. 84. 4 Taeger/Gabel/Scheja, § 4f BDSG Rz. 94. 5 So auch Taeger/Gabel/Scheja, § 4f BDSG Rz. 94; Simitis/Simitis, § 4f BDSG Rz. 143; Gola/Schomerus, § 4f BDSG Rz. 55. 6 Simitis/Simitis, § 4f BDSG Rz. 143. 7 Gola/Schomerus, § 4f BDSG Rz. 54. 8 Ausführlich mit konkretisierenden Beispielen: Taeger/Gabel/Scheja, § 4f BDSG Rz. 94 ff.

230

|

von dem Bussche

Beauftragter für den Datenschutz | § 4f BDSG

dass der Datenschutzbeauftragte in ausreichendem Umfang von seinen sonstigen Tätigkeiten freigestellt wird, um seine Aufgabe als Datenschützer zu erfüllen. Unter Umständen kann dies auch eine vollständige Freistellung bedeuten1.

V. Verschwiegenheitspflicht und Zeugnisverweigerungsrecht Abs. 4 normiert ein Berufsgeheimnis: Der Datenschutzbeauftragte ist verpflich- 46 tet, die Identität des Betroffenen und Umstände, die Rückschlüsse auf seine Identität zulassen würden, geheim zu halten. Diese Verschwiegenheitspflicht garantiert, dass sich Betroffene vertrauensvoll an den Datenschutzbeauftragten wenden können2. Die Verschwiegenheitspflicht hat grundsätzlichen Vorrang, selbst wenn die Beseitigung eines Datenschutzverstoßes die Nennung des Betroffenen erfordern würde3. Solange der Betroffene in die Offenbarung nicht eingewilligt hat oder – gemäß § 34 StGB – höherrangige Interessen die Offenbarung erforderlich machen, hat die Beseitigung folglich zu unterbleiben4. Ein Beispiel für solch höherrangige Interessen wäre etwa der Fall, in dem der Datenschutzbeauftragte von einer bevorstehenden Katalogstraftat des § 138 StGB erfährt und die Polizei alarmiert5. Die Identität Nicht-Betroffener, die sich versehentlich an den Datenschutzbeauftragten wenden, fällt ebenfalls unter die Verschwiegenheitspflicht6. Die verantwortliche Stelle hat im Rahmen der ihr obliegenden Unterstützungspflicht gemäß Abs. 5 die nötigen Maßnahmen zu treffen, so dass dem Datenschutzbeauftragten die Einhaltung seiner Verschwiegenheitspflicht ermöglicht wird (z.B. Bereitstellung vertraulicher Real- und Telekommunikationsmöglichkeiten)7. Verletzungen der Verschwiegenheitspflicht können einen Widerrufsgrund i.S.d. § 4f Abs. 3 Satz 4 darstellen sowie zu Schadensersatzansprüchen des Betroffenen führen8. Sofern Daten in den Kontrollbereich des Datenschutzbeauftragten gelangen, die 47 einem Berufsgeheimnis unterliegen, stellt § 203 Abs. 2a StGB klar, dass dieses auch ihn zur Verschwiegenheit verpflichtet9. Aus diesem Grund besteht für ihn ein (abgeleitetes) Zeugnisverweigerungsrecht in Abs. 4a10. Wenn aber der eigentliche Berufsgeheimnisträger keinen Gebrauch von seinem Zeugnisverweigerungsrecht 1 Däubler/Klebe/Wedde/Weichert/Däubler, § 4f BDSG Rz. 55. 2 Simitis/Simitis, § 4f BDSG Rz. 167; Däubler/Klebe/Wedde/Weichert/Däubler, § 4f BDSG Rz. 51. 3 Simitis/Simitis, § 4f BDSG Rz. 172; Taeger/Gabel/Scheja, § 4f BDSG Rz. 91. 4 So auch Däubler/Klebe/Wedde/Weichert/Däubler, § 4f BDSG Rz. 54. 5 Däubler/Klebe/Wedde/Weichert/Däubler, § 4f BDSG Rz. 54. 6 Gola/Schomerus, § 4f BDSG Rz. 51. 7 Taeger/Gabel/Scheja, § 4f BDSG Rz. 95. 8 Simitis/Simitis, § 4f BDSG Rz. 173. 9 Bergmann/Möhrle/Herb, § 4f BDSG Rz. 160b. 10 Däubler/Klebe/Wedde/Weichert/Däubler, § 4f BDSG Rz. 54a.

von dem Bussche

|

231

§ 4f BDSG | Allgemeine und gemeinsame Bestimmungen machen will, so kann sich auch der Datenschutzbeauftragte nicht mehr auf sein abgeleitetes Recht aus Abs. 4a berufen1. Ergänzend besteht ein Beschlagnahmeverbot für die Akten und sonstigen Unterlagen des Datenschutzbeauftragten.

VI. Anrufungsrecht der Betroffenen (Abs. 5 Satz 2) 48 Der Datenschutzbeauftragte fungiert zudem gemäß Abs. 5 Satz 2 als Anlauf-

stelle für Betroffene (intern und extern der verantwortlichen Stelle) von Datenschutzverletzungen2. Die Anrufung ist dabei weder form- noch fristgebunden3. Er ist verpflichtet, den Vorwürfen nachzugehen und auf die Einstellung von festgestellten Datenschutzverletzungen hinzuwirken4. In der Praxis wird dadurch die Arbeit des Datenschutzbeauftragten allerdings ebenso erheblich erleichtert, da er so Kenntnis von datenschutzrechtlichen Missständen innerhalb der verantwortlichen Stelle erlangt5. 49 Abzugrenzen hiervon ist das Auskunftsrecht gemäß §§ 19, 34. Hierbei geht es nicht darum einen datenschutzrechtlichen Verstoß zu melden, sondern über das „Ob“ und „Wie“ der Verarbeitung personenbezogener Daten unterrichtet zu werden6. Demnach muss der Betroffene bei der Geltendmachung seines Rechts nach § 4g Abs. 5 Satz 2 bereits von einer Verletzung seiner Rechte bei der Verarbeitung überzeugt sein7.

VII. Beendigung der Tätigkeit (Abs. 3) 50 Die Tätigkeit als Datenschutzbeauftragter kann aufgrund folgender Tatbestände

beendet werden.

1. Widerruf der Bestellung/Abberufung 51 Der Widerruf der Bestellung kann auf Verlangen der zuständigen Aufsichts-

behörde erfolgen; auch kann die verantwortliche Stelle den Datenschutz-

1 Vgl. Gola/Schomerus, § 4f BDSG Rz. 52b. 2 Ausführlich zu den Voraussetzungen des Anrufungsrechts: Simitis/Simitis, § 4f BDSG Rz. 155 ff. 3 So Gierschmann/Saeugling/Schmitz/Thoma, § 4f BDSG Rz. 58. 4 Gola/Schomerus, § 4f BDSG Rz. 57 stellen eine Pflicht des Datenschutzbeauftragten zur Abstellung von Datenschutzverletzungen fest. Dies scheint angesichts des weich formulierten Hinwirkungsauftrages des § 4g Abs. 1 Satz 1 nicht haltbar. 5 Däubler/Klebe/Wedde/Weichert/Däubler, § 4f BDSG Rz. 62. 6 Vgl. Taeger/Gabel/Scheja, § 4f BDSG Rz. 100. 7 Vgl. auch Simitis/Simitis, § 4f BDSG Rz. 159 der eine Verletzung objektiv fordert. Dies erscheint überzogen, da fraglich ist, wie der Betroffene dies im Vorfeld ohne Hilfe des Datenschutzbeauftragten feststellen soll.

232

|

von dem Bussche

Beauftragter für den Datenschutz | § 4f BDSG

beauftragten bei Vorlage eines „wichtigen Grunds“ i.S.d. § 4f Abs. 3 Satz 4 abberufen. a) Auf Verlangen der Aufsichtsbehörde Besitzt der Datenschutzbeauftragte die erforderliche Fachkunde und Zuverläs- 52 sigkeit nicht oder nicht mehr, kann gemäß § 38 Abs. 5 Satz 3 die Aufsichtsbehörde seine Abberufung verlangen. Hinsichtlich der Einzelheiten sei auf die Kommentierung von § 38 verwiesen. Ein solches Einschreiten ist nur im nichtöffentlichen Bereich vorgesehen1. Das Verlangen der Behörde berechtigt den Arbeitgeber zum Widerruf der Bestellung2. b) Durch die verantwortliche Stelle Darüber hinaus kann auch die verantwortliche Stelle den Datenschutzbeauftrag- 53 ten gemäß § 4f Abs. 3 Satz 4 „aus wichtigem Grund“ abberufen. Dies gilt dem Wortlaut der Norm nach für sämtliche Datenschutzbeauftragte, unabhängig davon, ob sie ihre Tätigkeit intern oder extern ausüben bzw. aufgrund einer gesetzlichen Pflicht oder freiwillig bestellt wurden3. Aufgrund des Verweises in Abs. 3 Satz 4 auf § 626 BGB müssen für den Widerruf der Bestellung die Voraussetzungen des § 626 BGB vorliegen, d.h. die weitere Tätigkeit als Datenschutzbeauftragter nach Abwägung aller Umstände für die verantwortliche Stelle unzumutbar sein. Unstreitig ist, dass der Widerruf auf Umständen beruhen kann, die unmittelbar mit der Tätigkeit des Datenschutzbeauftragten zusammenhängen4. Als Auslöser kommen demnach Pflichtverletzungen wie Geheimnisverrat, Computerkriminalität, Verstoß gegen Verschwiegenheitsverpflichtungen, nachträgliche Feststellung der mangelnden Fachkunde oder Zuverlässigkeit usw. in Betracht5. Der h.M. nach kann sich darüber hinaus eine Unzumutbarkeit aus Umständen ergeben, die auf dem zugrundeliegenden Arbeitsverhältnis beruhen und so unmittelbar keinen Bezug zur Tätigkeit als Datenschutzbeauftragter haben6; 1 Vgl. Simitis/Simitis, § 4f BDSG Rz. 192; Däubler/Klebe/Wedde/Weichert/Däubler, § 4f BDSG Rz. 65. 2 So auch Däubler/Klebe/Wedde/Weichert/Däubler, § 4f BDSG Rz. 66; vgl. auch Bergmann/Möhrle/Herb, § 4f BDSG Rz. 143 die eine Bitte der Aufsichtsbehörde unter Umständen als hinreichend erachten. 3 Vgl. BAG, NZA 2011, 1036 (1039). 4 Simitis/Simitis, § 4f BDSG Rz. 183; Taeger/Gabel/Scheja, § 4f BDSG Rz. 46. 5 Vgl. bezüglich Beispielen Simitis/Simitis, § 4f BDSG Rz. 183; Taeger/Gabel/Scheja, § 4f BDSG Rz. 46. 6 So auch BAG, NZA 2011, 1036 (1037); Däubler/Klebe/Wedde/Weichert/Däubler, § 4f BDSG Rz. 67; Gola/Schomerus, § 4f BDSG Rz. 38; Gehlhaar, NZA 2010, 373 (377); Dzida/Kröpelin, NZA 2011, 1018 (1020); a.A. Simitis/Simitis, § 4f BDSG Rz. 183; zu den wichtigen Kündigungsgründen im Allgemeinen s. Palandt/Weidenkaff, § 626 BGB Rz. 60 ff.

von dem Bussche

|

233

§ 4f BDSG | Allgemeine und gemeinsame Bestimmungen bspw. die Unterschlagung eines größeren Geldbetrags1. Rein wirtschaftliche oder betriebsorganisatorische Gründe allein genügen in der Regel nicht für eine Abberufung, denn sonst könnte der besondere Schutz des Datenschutzbeauftragten zu leicht umgangen werden (Ausnahme s. Rz. 67)2. So wurde die bloß unternehmerische Entscheidung, die Funktion des Datenschutzbeauftragten nun durch einen externen Dienstleister erfüllen zu lassen, allein als unzureichend erachtet3. Wobei eine solche Entscheidung über das Outsourcing durchaus auf sachlichen Gründen, wie etwa betrieblichen Notsituationen, basieren und folglich als wichtiger Grund anzuerkennen sein kann4. Die Folgen des Widerrufs auf das zugrundeliegende schuldrechtliche Verhältnis sind differenziert zu betrachten (s. Rz. 61 ff.). 54 Da Abs. 3 Satz 4 auf den gesamten § 626 BGB verweist, ist schließlich auch die

Zwei-Wochen Frist einzuhalten5. Demnach muss der Widerruf innerhalb von zwei Wochen nach Kenntnisnahme der Tatsachen, welche den „wichtigen Grund“ ausmachen, erfolgen6. Ein verspäteter Widerruf ist unwirksam. Zum Teil wird für die Wirksamkeit der Abberufung auch verlangt, dass der Datenschutzbeauftragte zuvor angehört wurde7.

55 Aufgrund mangelnder gesetzlicher Regelung ist umstritten, ob der Widerruf der

Schriftform bedarf. Teilweise wird dies in einem Umkehrschluss aus dem Schriftformerfordernis der Bestellung des Datenschutzbeauftragten konstatiert8. Anderer Ansicht nach wird aus der mangelnden gesetzlichen Normierung auf einen bewussten Verzicht des Schriftformerfordernisses geschlossen9. Ungeachtet dessen ist ein Widerruf in Schriftform zu Dokumentations- und Beweiszwecken jedenfalls zu empfehlen. 2. Kündigung des zugrundeliegenden Arbeitsverhältnisses

56 Wichtigster Garant der Unabhängigkeit des innerbetrieblichen Datenschutz-

beauftragten ist dessen besonderer Kündigungsschutz. Wer zum Datenschutzbeauftragten bestellt wurde, kann gemäß Abs. 3 Satz 5 nur gekündigt werden, wenn Tatsachen vorliegen, welche zur Kündigung aus wichtigem Grund ohne Einhaltung einer Kündigungsfrist berechtigen würden. Durch Einfügung des

1 2 3 4 5 6 7 8 9

Däubler/Klebe/Wedde/Weichert/Däubler, § 4f BDSG Rz. 67. Ausführlich: LAG Berlin-Brandenburg, MMR 2010, 61 ff. Hierzu BAG, NZA 2011, 1036, Leitsatz. So auch Bongers/Commichau, ArbRAktuell 2010, 139 (140); Gehlhaar, NZA 2010, 373 (374); Dzida/Kröpelin, NZA 2011, 1018 (1020). So auch Däubler/Klebe/Wedde/Weichert/Däubler, § 4f BDSG Rz. 68; Simitis/Simitis, § 4f BDSG Rz. 197. Ausführlich: Palandt/Weidenkaff, § 626 BGB Rz. 23. Bergmann/Möhrle/Herb, § 4f BDSG Rz. 147. So Simitis/Simitis, § 4f BDSG Rz. 180; Taeger/Gabel/Scheja, § 4f BDSG Rz. 49. So Gola/Schomerus, § 4f BDSG Rz. 43.

234

|

von dem Bussche

Beauftragter für den Datenschutz | § 4f BDSG

Satzes 5 im Jahr 2009 hat der Gesetzgeber die Diskussion darüber beendet, ob sich insbesondere aus dem Benachteiligungsverbot in Abs. 5 Satz 1 ein besonderer Kündigungsschutz für den Datenschutzbeauftragten ergibt1. Inzwischen steht fest: Das Arbeitsverhältnis des intern bestellten Datenschutzbeauftragten ist vor jeder Form der ordentlichen Kündigung geschützt2. Dies befreit den Datenschutzbeauftragten weitgehend von der Befürchtung, dass eine besonders tiefschürfende und kritische Arbeitsweise gegenüber der verantwortlichen Stelle zur Auflösung des Arbeitsvertrages führen könnte. Externe Datenschutzbeauftragte verbleiben weiterhin ordentlich kündbar, da es sich bei der schuldrechtlichen Bindung zur verantwortlichen Stelle nicht um Arbeitsverträge handelt3. Ferner greift der Kündigungsschutz gemäß Abs. 5 ebenso nicht für solche Datenschutzbeauftragte, die bloß freiwillig bestellt worden sind, da sich Abs. 3 Satz 5 ausdrücklich nur auf Fälle einer gesetzlichen Verpflichtung zur Bestellung bezieht4. Es besteht in solchen Fällen allerdings die Möglichkeit, einen entsprechenden Kündigungsschutz individualvertraglich zu vereinbaren5. Die einzig zulässigen Kündigungsgründe gegenüber einem Datenschutzbeauf- 57 tragten sind somit solche, die eine außerordentliche, fristlose Kündigung rechtfertigen. Es können einer Kündigung, wie der Abberufung, sowohl amtsbezogene als auch sich aus dem eigentlichen Dienstverhältnis ergebende Verfehlungen zugrunde gelegt werden (s. entsprechend Rz. 53)6. Wie bei einem Widerruf der Bestellung ist auch bei der Kündigung des zugrundeliegenden Arbeitsverhältnisses die Zwei-Wochen-Frist des § 626 zu wahren (s. Rz. 54). Im Unterschied zum Widerruf bedarf die Kündigung allerdings gemäß § 623 BGB zwingend der Schriftform. Abs. 3 Satz 6 dehnt den Kündigungsschutz weiter aus: Demnach darf ein Daten- 58 schutzbeauftragter auch innerhalb eines Jahres nach Beendigung seiner Tätigkeit als Datenschutzbeauftragter nicht ordentlich gekündigt werden. Die Ratio ist, dass nach einem Jahr eine eventuell bestehende Verärgerung des Arbeitgebers über den Datenschutzbeauftragten abgeklungen sein wird, er also keine Repressalien mehr für seine vergangene Tätigkeit befürchten muss7. 1 Hierzu Wagner, DuD 2008, 660 ff.; zur Gesetzesnovelle: Schwab/Ehrhard, NZA 2009, 1118 ff. 2 Simitis/Simitis, § 4f BDSG Rz. 185; Gola/Schomerus, § 4f BDSG Rz. 40; dazu auch Däubler, DuD 2010, 20 (22). 3 So auch Gola/Schomerus, § 4f BDSG Rz. 40; Däubler/Klebe/Wedde/Weichert/Däubler, § 4f BDSG Rz. 70. 4 BT-Drucks. 16/12011, S. 30; so auch Simitis/Simitis, § 4f BDSG Rz. 188; Gehlhaar, NZA 2010, 373. 5 So auch Gehlhaar, NZA 2010, 373; Bongers/Commichau, ArbRAktuell 2010, 139 (140). 6 Zum Streitstand: Gehlhaar, NZA 2010, 373 m.w.N.; so auch Däubler/Klebe/Wedde/Weichert/Däubler, § 4f BDSG Rz. 71; Dzida/Kröpelin, NZA 2011, 1018 (1020); zu den wichtigen Kündigungsgründen im Allgemeinen s. Palandt/Weidenkaff, § 626 BGB Rz. 60 ff. 7 Däubler, DuD 2010, 20 (23).

von dem Bussche

|

235

§ 4f BDSG | Allgemeine und gemeinsame Bestimmungen 59 Bei einer Kündigung sind ggf. Mitbestimmungsrechte der Mitarbeitervertre-

tungen zu beachten (§§ 99 f. BetrVG und §§ 77 Abs. 3, 79 BPersVG)1.

3. Das Verhältnis zwischen Widerruf und außerordentlicher Kündigung 60 Die Abberufung als Datenschutzbeauftragter – das ergibt sich auch schon aus

Abs. 3 Satz 6 – schlägt nicht automatisch auch auf das evtl. bestehende Arbeitsverhältnis durch. Vielmehr muss geprüft werden, ob auch die generelle Tätigkeit des Angestellten für die verantwortliche Stelle aufgrund der ihm vorgeworfenen Verfehlungen unzumutbar geworden ist, mithin auch im Bezug auf das Schuldverhältnis ein wichtiger Grund i.S.d. § 626 BGB vorliegt2. Vice Versa ist klärungsbedürftig, inwiefern sich eine außerordentliche Kündigung des Arbeitsvertrags auf das Amtsverhältnis als Datenschutzbeauftragter auswirkt. Unabhängig ist in jedem Fall neben dem Widerruf der Bestellung als Datenschutzbeauftragter zusätzlich eine außerordentliche Kündigung auszusprechen3, da es sich um zwei verschiedene Rechtsverhältnisse handelt4. Unbedingt zu beachten ist dabei, dass beide Verhältnisse innerhalb der Zwei-Wochen-Frist des § 626 BGB gekündigt bzw. widerrufen werden (s. Rz. 54, 57). Eine verspätete Erklärung führt nämlich zur Unzulässigkeit der Kündigung bzw. des Widerrufs.

61 Im Falle eines Widerrufs der Bestellung ist regelmäßig von einer simultanen Un-

zumutbarkeit am Festhalten des Dienstverhältnisses auszugehen, wenn die Ausübung des Datenschutzmandats die primäre Tätigkeit des Arbeitnehmers war5. In einem solchen Fall ist dies als logische Konsequenz aus den schwerwiegenden Verfehlungen im Bezug auf die Haupttätigkeit als Datenschutzbeauftragter anzusehen6. Aufgrund des Ultima-Ratio-Charakters einer Beendigungskündigung ist eine Änderungskündigung unter Zuweisung eines neuen Tätigkeitsfelds allerdings nicht gänzlich ausgeschlossen7. Sofern das Arbeitsverhältnis aus amtsbezogenen Gründen wirksam gekündigt wird, stellt dies gleichzeitig einen Abberufungsgrund nach § 4f Abs. 3 Satz 4 dar. Bei einem externen Beauftragten endet das zugrunde liegende Schuldverhältnis mit dem Widerruf. Da das Schuldverhältnis nur geschlossen wurde, um die Bestellung des Datenschutz-

1 Taeger/Gabel/Scheja, § 4f BDSG Rz. 48. 2 Simitis/Simitis, § 4f BDSG Rz. 186; s. hierzu auch BAG v. 23.1.2014 – 2 AZR 372/13. 3 BAG, NJW 2007, 2507 (2509), Rz. 29; zum Ganzen Gola/Schomerus, § 4f BDSG Rz. 38 ff. 4 Das BAG geht davon aus, dass das Arbeitsverhältnis und die Bestellung des Datenschutzbeauftragten miteinander verknüpft sei, BAG v. 13.3.2007 – 9 AZR 612/05, NJW 2007, 2507 (2509), Rz. 29; ebenso Eylert/Sänger, RdA 2010, 24 (38); kritisch zur dogmatischen Konstruktion des BAG: Liedtke, NZA-RR 2008, 505 ff.; Gehlhaar, NZA 2010, 373 (375). 5 Im Ergebnis auch Bongers/Commichau, ArbRAktuell 2010, 139 (140). 6 So auch Taeger/Gabel/Scheja, § 4f BDSG Rz. 46. 7 Taeger/Gabel/Scheja, § 4f BDSG Rz. 46.

236

|

von dem Bussche

Beauftragter für den Datenschutz | § 4f BDSG

beauftragten zu ermöglichen, entfällt mit dem rechtmäßigen Widerruf der Bestellung die rechtliche Grundlage des zugrundeliegenden Vertrags1. Problematisch und bisweilen ungeklärt gestaltet sich die umgekehrte Konstella- 62 tion, dass das Arbeitsverhältnis wirksam gekündigt wurde, der Umstand, aufgrund dessen allerdings die Kündigung erfolgte, keinen wichtigen Grund hinsichtlich der Abberufung aus dem Amt des Datenschutzbeauftragten gemäß § 4f Abs. 3 Satz 4 darstellt. Dies wäre, zumindest theoretisch, dann möglich, wenn der Kündigungsgrund sich aus dem Arbeitsverhältnis ergeben würde, derjenige das Amt des Datenschutzbeauftragten trotzdem weiterhin fehlerfrei und zuverlässig ausüben könnte. In der Praxis wird in solchen Fällen in der Regel davon auszugehen sein, dass gleichermaßen an der Zuverlässigkeit im Hinblick auf das Amt des Datenschutzbeauftragten nach § 4f Abs. 2 Satz 1 erhebliche Zweifel bestehen werden; mithin eine Abberufung gemäß § 4f Abs. 3 Satz 4 gerechtfertigt wäre. Wenn man nun dennoch den theoretischen Fall annimmt, wäre die Konsequenz, dass der gekündigte Arbeitnehmer weiterhin das Amt des Datenschutzbeauftragten bekleiden würde, ohne dass ein rechtlicher Rahmen für diese Tätigkeiten in Form eines Vertrags bestünde2, sondern allenfalls ein faktisches Rechtsverhältnis3. Prominent und äußerst praxisrelevant gestaltet sich diese Konstellation allerdings in den Fällen (i) eines externen sowie (ii) internen, jedoch freiwillig bestellten, Datenschutzbeauftragten: Wie bereits dargestellt, unterliegt das zugrunde liegende Vertragsverhältnis nicht dem Sonderkündigungsschutz des Abs. 3 Satz 5 und kann somit weiterhin ordentlich gekündigt werden (s. Rz. 56). Das Amtsverhältnis unterliegt allerdings weiterhin dem Abberufungsschutz gemäß Abs. 3 Satz 4 und ist somit an das Vorliegen eines „wichtigen Grunds“ gebunden. Dieser Tatbestand ergibt sich im Übrigen auch wenn ein befristeter Arbeitsvertrag bzw. sonstiger Dienstvertrag mit einem externen Beauftragten ausläuft (zur Zulässigkeit s. bereits Rz. 19). Eine mögliche und überzeugende Lösung ist, dass der Umstand, dass kein ver- 63 tragliches Grundverhältnis zwischen den Parteien mehr bestehe, selbst einen wichtigen Grund zur Abberufung des Datenschutzbeauftragten darstellt4. Diese Ansicht wurde auch vom BAG als möglich erachtet5. Im Falle von internen Datenschutzbeauftragten ist dieser Ansicht zuzustimmen. Falls eine gesetzliche Pflicht zur Bestellung nach Abs. 1 bestand, so ist der Beauftragte durch den Sonderkündigungsschutz gemäß Abs. 3 Satz 5 hinreichend geschützt. Sofern die Weiterbeschäftigung für den Arbeitgeber objektiv unzumutbar i.S.d. § 626 BGB ist, ist nicht ersichtlich, warum er weiterhin gezwungen sein sollte, denjenigen 1 2 3 4

So auch Simitis/Simitis, § 4f BDSG Rz. 191; Taeger/Gabel/Scheja, § 4f BDSG Rz. 51. Vgl. Wagner, DuD 2008, 660 ff. Däubler/Klebe/Wedde/Weichert/Däubler, § 4f BDSG Rz. 72. So auch Gehlhaar, NZA 2010, 373, (377); Dzida/Kröpelin, NZA 2011, 1018 (1020); a.A. Simitis/Simitis, § 4f BDSG Rz. 183. 5 BAG, NZA 2011, 1036 (1037).

von dem Bussche

|

237

§ 4f BDSG | Allgemeine und gemeinsame Bestimmungen weiter als Datenschutzbeauftragten einzusetzen. Der Arbeitnehmer kann die Wirksamkeit der Kündigung gerichtlich feststellen lassen. So kann der Gefahr eines unzulässigen Widerrufs entgegnet werden1. Im Falle einer freiwilligen Bestellung eines internen Beauftragten ist zu beachten, dass sich der deutsche Gesetzgeber bewusst gegen einen Sonderkündigungsschutz entschieden hat2. Demnach wäre auch nicht nachvollziehbar, wenn die verantwortliche Stelle den wirksam gekündigten Beauftragten in dem Amtsverhältnis weiterhin einsetzen müsste, obwohl noch nicht einmal eine Pflicht zur ursprünglichen Bestellung bestand3. Die Intention des Gesetzgebers durch den Verzicht auf den Sonderkündigungsschutz, Anreize für nicht bestellungspflichtige Stellen zu schaffen, würde sonst fehlgehen4. Im Falle externer Beauftragter stellt sich das Problem, dass sich durch die Möglichkeit einer ordnungsgemäßen Kündigung des schuldrechtlichen Verhältnisses ein „wichtiger Grund“ i.S.d. § 626 BGB zur Abberufung aus dem Amt des Datenschutzbeauftragten quasi „kreieren“ lässt. Um die Unabhängigkeit des externen Beauftragten dennoch zu wahren, wird eine großzügig bemessene befristete Kündbarkeit des schuldrechtlichen Vertrags vorgeschlagen5. Nichtsdestotrotz verbleibt die Wirksamkeit einer Abberufung bzw. Kündigung unter Berücksichtigung aller Umstände und sich gegenüber stehender Interessen zu bewerten, vgl. § 626 BGB. Demnach ist jeweils auf die konkreten Umstände des Einzelfalls abzustellen. Weiterhin verbleibt es abzuwarten, wie sich die Rechtsprechung zukünftig zu diesem Thema verhalten wird. 64 Übt der Arbeitnehmer die Funktion als Datenschutzbeauftragter nur als Ne-

bentätigkeit aus, ist für die Beendigung des zugrunde liegenden Arbeitsverhältnisses zu unterscheiden, ob der wichtige Grund im Zusammenhang mit seiner Nebentätigkeit als Datenschutzbeauftragter oder mit seiner primären Tätigkeit als Arbeitnehmer begründet liegt. Im ersten Fall sind zwar die Voraussetzungen für einen Widerruf der Bestellung gegeben, solange diese allerdings nicht auf das zugrunde liegende Arbeitsverhältnis durchschlagen, ist dem Arbeitgeber ein Festhalten am Arbeitsvertrag weiterhin zumutbar und dem Arbeitnehmer lediglich das Amt des Datenschutzbeauftragten zu entziehen6. Eine Änderungskündigung zur Beendigung der Tätigkeit als Datenschutzbeauftragter ist dennoch zu erklären7. Sofern die Änderung des Arbeitsvertrags bei der Bestellung nur konkludent vereinbart wurde (s. dazu Rz. 22), bedarf es dagegen keiner Teilkündigung, da die Tätigkeit als Datenschutzbeauftragter durch den wirksamen Widerruf nicht mehr Bestandteil der geschuldeten Arbeitsleistung ist8. Die Möglichkeit 1 2 3 4 5 6 7 8

Dzida/Kröpelin, NZA 2011, 1018 (1020). BT-Drucks. 16/12011, S. 30. Vgl. auch Simitis/Simitis, § 4f BDSG Rz. 188. Vgl. BT-Drucks. 16/12011, S. 30. Taeger/Gabel/Scheja, § 4f BDSG Rz. 51. So auch Bongers/Commichau, ArbRAktuell 2010, 139 (140). Gola/Schomerus, § 4f BDSG Rz. 40. BAG, NZA 2011, 1036, Rz. 25.

238

|

von dem Bussche

Beauftragter für den Datenschutz | § 4f BDSG

dieser Konstellation, nämlich des Fortbestehens des restlichen Arbeitsverhältnisses, setzt Abs. 3 Satz 6 voraus1. Verstößt der Arbeitnehmer andererseits schwer gegen eine Primärpflicht seines Arbeitsvertrages, ohne zugleich auch seine Pflichten als Datenschutzbeauftragter zu verletzen, ist es dem Arbeitgeber grundsätzlich weiterhin zumutbar, den Arbeitnehmer quasi als Teilzeit-Datenschutzbeauftragten weiter zu beschäftigen und nur eine entsprechende Änderungskündigung auszusprechen2. Ob die Pflichtverletzung so schwer wiegt, dass sie ebenfalls als „wichtiger Grund“ in Bezug auf das jeweils andere Verhältnis (restliches Dienstverhältnis bzw. Amtsverhältnis als Datenschutzbeauftragter) zu klassifizieren ist, ist eine Frage des Einzelfalls, aber durchaus möglich3. Unabhängig davon sind auch hier wieder der Widerruf der Bestellung als Datenschutzbeauftragter und die Kündigung des Arbeitsvertrags isoliert zu erklären. 4. Sonstige Beendigungstatbestände Der Datenschutzbeauftragte selbst ist dazu befugt, jederzeit sein Amt nieder- 65 zulegen4. Dem werden allenfalls vertragliche Grenzen gesetzt, etwa wenn sich der Beauftragte zur Ausübung des Amtes für eine gewisse Zeit verpflichtet hat5. Dadurch wird er allerdings lediglich vertragsbrüchig und ggf. schadensersatzpflichtig6. Eine Erzwingbarkeit der Erfüllung der Pflicht scheidet aufgrund der Wertung in § 613 BGB i.V.m. § 888 Abs. 3 ZPO aus7. Des Weiteren kann die Beendigung einvernehmlich zwischen dem Beauftragten 66 und der verantwortlichen Stelle per Aufhebungsvertrag vereinbart werden8. Das Mandat des Datenschutzbeauftragten endet auch, wenn die Bestellpflicht 67 des Abs. 1 für die verantwortliche Stelle wegfällt. Dies kann bspw. durch Absinken der Anzahl der mit der Datenverarbeitung beschäftigten Personen unter das gesetzliche Mindestmaß im Betrieb bedingt sein. Regelmäßig problematisch ist dabei die Festlegung des Zeitpunkts, in dem die Bestellpflicht entfällt9. Weiterhin muss es sich um eine dauerhafte Absenkung und nicht um lediglich eine vorübergehende Schwankung handeln. Die Grundlage für die Bestellpflicht 1 Vgl. BT-Drucks. 16/12011, S. 30; Däubler/Klebe/Wedde/Weichert/Däubler, § 4f BDSG Rz. 73b. 2 Gola/Schomerus, § 4f BDSG Rz. 39. 3 So auch Taeger/Gabel/Scheja, § 4f BDSG Rz. 46; Gola/Schomerus, § 4f BDSG Rz. 42; BAG, NZA 2011, 1036, Rz. 15. 4 Simitis/Simitis, § 4f BDSG Rz. 179; Bergmann/Möhrle/Herb, § 4f BDSG Rz. 66; Gierschmann/Saeugling/Schmitz/Thoma, § 4f BDSG Rz. 59. 5 Taeger/Gabel/Scheja, § 4f BDSG Rz. 55. 6 So auch Gierschmann/Saeugling/Schmitz/Thoma, § 4f BDSG Rz. 59. 7 So auch Däubler/Klebe/Wedde/Weichert/Däubler, § 4f BDSG Rz. 63. 8 Taeger/Gabel/Scheja, § 4f BDSG Rz. 55; Gierschmann/Saeugling/Schmitz/Thoma, § 4f BDSG Rz. 59. 9 Däubler/Klebe/Wedde/Weichert/Däubler, § 4f BDSG Rz. 64.

von dem Bussche

|

239

§ 4f BDSG | Allgemeine und gemeinsame Bestimmungen entfällt außerdem, wenn die Stelle des Datenschutzbeauftragten faktisch wegfällt, etwa durch eine Betriebsstilllegung oder eine Fusion1. Uneinigkeit besteht darüber, ob dennoch der Widerruf der Bestellung erklärt werden muss2. Der Wegfall der Stelle ist jedenfalls als „wichtiger Grund“ i.S.d. § 4f Abs. 3 Satz 4 anerkannt3. Demnach ist grundsätzlich zu empfehlen die Bestellung zu widerrufen, insbesondere im Hinblick auf externe Datenschutzbeauftragte, um die Möglichkeit etwaig weiterbestehender vertraglicher Bindungen zu vermeiden (s.a. Rz. 62 f.)4. Dies gilt grundsätzlich auch für den Fall eines Betriebsübergangs nach § 613a BGB5. Hier erfolgt zwar schon kein Übergang des Amtes des Datenschutzbeauftragten und es besteht grundsätzlich auch keine Verpflichtung des Betriebs, den ehemaligen Datenschutzbeauftragten das Amt des Datenschutzbeauftragten weiter ausüben zu lassen6. Ein Widerruf der Bestellung könnte allerdings auch hier der Klarstellung dienen.

VIII. Rechtsfolgen fehlerhafter oder unterlassener Bestellung 68 Die fehlerhafte oder unterlassene Bestellung ist eine Ordnungswidrigkeit (§ 43

Abs. 1 Nr. 2), die mit einem Bußgeld von bis zu 50 000 Euro geahndet werden kann (§ 43 Abs. 3 Satz 1).

69 Eine Bestellung eines Datenschutzbeauftragten, der die geforderte Fachkunde (s.

Rz. 28) oder Zuverlässigkeit (s. Rz. 30) nicht aufweist, steht dem Fall gleich, dass überhaupt kein Datenschutzbeauftragter bestellt wird (s. Rz. 68)7.

70 Die Praxis mancher Unternehmen, durch Bestellung eines „Alibi-Datenschutz-

beauftragten“ nur dem äußeren Anschein nach der gesetzlichen Bestellpflicht nachzukommen, erscheint vor diesem Hintergrund höchst bedenklich und mit Blick auf die Sorgfaltspflichten der Geschäftsleitung aus §§ 91, 93 AktG und § 43 GmbHG haftungsträchtig8.

1 BAG, NJW 2011, 476 (477); Simitis/Simitis, § 4f BDSG Rz. 200; ferner Bongers, BB 2011, 638 (639); ausführlich zum Wegfall der Stelle des Datenschutzbeauftragten bei Fusionen Däubler/Klebe/Wedde/Weichert/Däubler, § 4f BDSG Rz. 77 f. 2 Bejahend LAG Berlin-Brandenburg v. 28.5.2009 – 5 Sa 425/09, 5 Sa 434/09 u.a., RDV 2009, 284, II. 2.1; Däubler/Klebe/Wedde/Weichert/Däubler, § 4f BDSG Rz. 64; Gehlhaar, NZW 2010, 373 (374); Taeger/Gabel/Scheja, § 4f BDSG Rz. 54; a.A. BAG, NJW 2011, 476 (477); Simitis/Simitis, § 4f BDSG Rz. 200. 3 LAG Berlin-Brandenburg 28.5.2009 – 5 Sa 425/09, 5 Sa 434/09 u.a., RDV 2009, 284, II. 2.1; Gehlhaar, NZW 2010, 373 (374). 4 Vgl. Taeger/Gabel/Scheja, § 4f BDSG Rz. 54. 5 S. hierzu Gierschmann/Saeugling/Schmitz/Thoma, § 4f BDSG Rz. 59. 6 ArbG Cottbus v. 14.2.2013 – 3 Ca 1043/12. 7 Bergmann/Möhrle/Herb, § 4f BDSG Rz. 185; Däubler/Klebe/Wedde/Weichert/Däubler, § 4f BDSG Rz. 35. 8 Moos/Henkel, Teil 1 II Rz. 1.

240

|

von dem Bussche

Aufgaben des Beauftragten für den Datenschutz | § 4g BDSG

§ 4g Aufgaben des Beauftragten für den Datenschutz (1) 1Der Beauftragte für den Datenschutz wirkt auf die Einhaltung dieses Gesetzes und anderer Vorschriften über den Datenschutz hin. 2Zu diesem Zweck kann sich der Beauftragte für den Datenschutz in Zweifelsfällen an die für die Datenschutzkontrolle bei der verantwortlichen Stelle zuständige Behörde wenden. 3Er kann die Beratung nach § 38 Abs. 1 Satz 2 in Anspruch nehmen. 4Er hat insbesondere 1. die ordnungsgemäße Anwendung der Datenverarbeitungsprogramme, mit deren Hilfe personenbezogene Daten verarbeitet werden sollen, zu überwachen; zu diesem Zweck ist er über Vorhaben der automatisierten Verarbeitung personenbezogener Daten rechtzeitig zu unterrichten, 2. die bei der Verarbeitung personenbezogener Daten tätigen Personen durch geeignete Maßnahmen mit den Vorschriften dieses Gesetzes sowie anderen Vorschriften über den Datenschutz und mit den jeweiligen besonderen Erfordernissen des Datenschutzes vertraut zu machen. (2) 1Dem Beauftragten für den Datenschutz ist von der verantwortlichen Stelle eine Übersicht über die in § 4e Satz 1 genannten Angaben sowie über zugriffsberechtigte Personen zur Verfügung zu stellen. 2Der Beauftragte für den Datenschutz macht die Angaben nach § 4e Satz 1 Nr. 1 bis 8 auf Antrag jedermann in geeigneter Weise verfügbar. (2a) Soweit bei einer nichtöffentlichen Stelle keine Verpflichtung zur Bestellung eines Beauftragten für den Datenschutz besteht, hat der Leiter der nichtöffentlichen Stelle die Erfüllung der Aufgaben nach den Absätzen 1 und 2 in anderer Weise sicherzustellen. (3) 1Auf die in § 6 Abs. 2 Satz 4 genannten Behörden findet Absatz 2 Satz 2 keine Anwendung. 2Absatz 1 Satz 2 findet mit der Maßgabe Anwendung, dass der behördliche Beauftragte für den Datenschutz das Benehmen mit dem Behördenleiter herstellt; bei Unstimmigkeiten zwischen dem behördlichen Beauftragten für den Datenschutz und dem Behördenleiter entscheidet die oberste Bundesbehörde. I. Überblick . . . . . . . . . . . . . . . II. Aufgaben des Datenschutzbeauftragten . . . . . . . . . . . . . 1. Allgemeine Hinwirkungspflicht (Abs. 1 Satz 1) . . . . . . . . . . . . 2. Kodifizierte Konkretisierungen der Hinwirkungspflicht in § 4g a) Programmüberwachung (Abs. 1 Satz 4 Nr. 1) . . . . . .

.

1

.

6

.

7 12

. 13

b) Schulungs- und Fortbildungsfunktion (Abs. 1 Satz 4 Nr. 2) c) Verfahrensverzeichnis/ Publizität (Abs. 2) . . . . . . . . d) Verantwortlichkeit der Geschäftsführung (Abs. 2a) . . 3. Durchführung der Vorabkontrolle (§ 4d Abs. 5, 6) . . . . . . 4. Tätigkeitsbericht . . . . . . . . . . .

von dem Bussche

|

17 20 24a 25 26

241

§ 4g BDSG | Allgemeine und gemeinsame Bestimmungen 5. Übertragung sonstiger Aufgaben 6. Verhältnis zwischen Datenschutzbeauftragtem und Mitarbeitervertretungen (evtl. Kompetenzbeschränkung) . . . . . . . . III. Aufgabenerfüllung durch Stellenleiter . . . . . . . . . . . . . . . IV. Rechtsfolgen bei Missachtung des Datenschutzbeauftragten 1. Allgemeines . . . . . . . . . . . . . . .

27

28 34

35

2. Einschaltung der Aufsichtsbehörde . . . . . . . . . . . . . . . . . . V. Exkurs: Haftung des Datenschutzbeauftragen . . . . . 1. Ansprüche der Betroffenen . . . . 2. Ansprüche der verantwortlichen Stelle . . . . . . . . . . . . . . . . . . . . VI. Exkurs: Strafrechtliche Verantwortlichkeit des Datenschutzbeauftragten . . . . .

36 43 44 49 54

Schrifttum: Siehe die Literaturangaben bei § 4f BDSG; ferner Aßmus, Kontrolle des Betriebsrats durch den betrieblichen Datenschutzbeauftragten?, ZD 2011, 27; Barton, „Beihilfe durch Unterlassen?“, RDV 2010, 247; Bitkom (Hrsg.), Verfahrensverzeichnis und Verarbeitungsübersicht nach BDSG, Version 2.0, 2007; Bongers/Krupna, Haftungsrisiken des internen Datenschutzbeauftragten – Zivilrechtliche Haftung, Bußgelder und Strafen, ZD 2013, 594; Engelien-Schulz, Die Hinwirkungsaufgabe des behördlichen Datenschutzbeauftragten nach § 4g Abs. 1 BDSG, VR 2006, 412; Gola/Klug, Neuregelung zur Bestellung betrieblicher Datenschutzbeauftrager, NJW 2007, 118; Kaufmann, Die Neuregelungen zum betrieblichen Datenschutzbeauftragten, MMR 2006, XIV, Kiesche/Wilke, Gemeinsam handeln! – Zur Zusammenarbeit von Datenschutzbeauftragtem und Betriebsrat, dbr 2010, Nr. 11, 24; Marschall, Strafrechtliche Haftungsrisiken des betrieblichen Datenschutzbeauftragten? – Notwendige Handlungsempfehlungen, ZD 2014, 66; Thoma, Risko im Datenschutz – Stellenwert eines systematischen Risikomanagements in BDSG und DS-GVO-E, ZD 2013, 578; Weniger, Das Verfahrensverzeichnis als Mittel datenschutzkonformer Unternehmensorganisation, RDV 2005, 153.

I. Überblick 1 § 4g regelt die Aufgaben des Datenschutzbeauftragten nicht abschließend. Dies

wird zum einen durch die nur regelhafte Aufzählung des § 4g Abs. 1 Satz 4 („insbesondere“) indiziert. Zum anderen normiert das BDSG auch an anderen Stellen Pflichten des Datenschutzbeauftragten. Er hat z.B. den Betroffenen gemäß § 4f Abs. 5 Satz 2 anzuhören und dessen Anliegen nachzugehen (s. dazu Komm. zu § 4f BDSG Rz. 48). Ebenso unterliegt der Datenschutzbeauftragte der Pflicht zur Vorabkontrolle i.S.d. § 4d Abs. 6 Satz 1 (s. dazu Komm. zu § 4d BDSG Rz. 15 ff.).

2 Nach Abs. 1 Satz 1 ist es Aufgabe des Datenschutzbeauftragten, auf die Einhal-

tung des BDSG und anderer datenschutzrechtlicher Vorschriften hinzuwirken. Beispielhafte Konkretisierungen dieser Pflicht folgen in Satz 3. Abs. 2 regelt die interne Verarbeitungsübersicht sowie die Sicherstellung der Veröffentlichung des externen Verfahrensverzeichnisses.

3 Von signifikanter Bedeutung ist Abs. 1 Satz 2, welcher die Zusammenarbeit des

Datenschutzbeauftragten mit der zuständigen Aufsichtsbehörde normiert. Sie 242

|

von dem Bussche

Aufgaben des Beauftragten für den Datenschutz | § 4g BDSG

anzurufen stellt das „schärfste Schwert“ des Datenschutzbeauftragten dar, da ihm keinerlei Anordnungsbefugnisse gegenüber der verantwortlichen Stelle zustehen und seine Funktion im Übrigen auf Beratung beschränkt ist1. Durch den neu eingeführten Abs. 2a2 wird der Leiter einer nicht-öffentlichen 4 Stelle verpflichtet, die Erfüllung der Aufgaben der Abs. 1 und 2 auf „andere Weise“ sicherzustellen, sofern für diejenige Stelle keine Bestellpflicht gemäß Abs. 1 besteht. Abs. 3 formuliert Sonderregelungen für den öffentlichen Bereich. Konkret wird 5 in Satz 1 der Publizitätsgrundsatz des Verfahrensverzeichnisses gemäß Abs. 2 Satz 2 eingeschränkt; in Satz 2 folgt zudem eine Regelung hinsichtlich des Verhältnisses zwischen Datenschutzbeauftragtem und Behördenleiter. Zu den entsprechenden Regelungen im Rahmen der DSGVO s. Art. 38, 39 5a DSGVO, die die Stellung sowie den Aufgabenbereich des Datenschutzbeauftragten bestimmen.

II. Aufgaben des Datenschutzbeauftragten Das Aufgabenspektrum des Datenschutzbeauftragten wird nur unvollständig in 6 § 4g umrissen. Dieser statuiert in Abs. 1 Satz 1 die allgemeine Hinwirkungspflicht, gefolgt von einzelverbrieften Konkretisierungen in Abs. 1 Satz 4 und Abs. 2, welche als nicht abschließende Regelbeispiele formuliert sind. Des Weiteren ist er zur Durchführung der Vorabkontrolle bestimmter automatisierter Datenverarbeitungsvorhaben gemäß § 4d Abs. 5, 6 verpflichtet. Weitere Pflichten können dem Datenschutzbeauftragten im Einzelfall individualvertraglich übertragen werden. 1. Allgemeine Hinwirkungspflicht (Abs. 1 Satz 1) Nach Abs. 1 Satz 1 ist es die Aufgabe des Datenschutzbeauftragten, auf die Ein- 7 haltung des BDSG und anderer datenschutzrechtlicher Vorschriften hinzuwirken. Anders als noch im Rahmen des BDSG 90 ist dem Datenschutzbeauftragten nicht länger die „Sicherstellung“ der Einhaltung datenschutzrechtlicher Vorschriften aufgetragen, Abs. 1 Satz 1 ist nicht als dahingehende Pflicht des Datenschutzbeauftragten zu verstehen. Denn de lege lata obliegt diese Pflicht nun der verantwortlichen Stelle3. Der Datenschutzbeauftragte hat beratende und analysierende Funktion. Es fehlt ihm die Kompetenz, der verantwortlichen Stelle 1 So auch Däubler/Klebe/Wedde/Weichert/Däubler, § 4g BDSG Rz. 4. 2 Eingefügt durch das „Erste Gesetz zum Abbau bürokratischer Hemmnisse insbesondere in der mittelständischen Wirtschaft“, in Kraft getreten am 26.8.2006, BGBl. I, S. 1970/ 1971. 3 Taeger/Gabel/Scheja, § 4g BDSG Rz. 8; Simitis/Simitis, § 4g BDSG Rz. 29.

von dem Bussche

|

243

§ 4g BDSG | Allgemeine und gemeinsame Bestimmungen konkrete Handlungspflichten aufzuerlegen1. Somit würde eine Verpflichtung zur Sicherstellung der Wahrung sämtlicher datenschutzrechtlicher Standards ohnehin leerlaufen2. Der Datenschutzbeauftragte kann und soll lediglich Hinweise geben, wie der Datenschutz besser umzusetzen bzw. wie die Rechtskonformität in Bezug auf Datenschutz und Datensicherheit herzustellen ist. 8 Seine Hauptaufgaben sind die Kontrolle und Beratung der gesamten verarbei-

tenden Stelle3. Abhängig von der Größe, der Anzahl der Mitarbeiter und der Art und des Umfangs der verarbeitenden Daten variieren Art und Umfang der Aufgabe. Daher kann es unter Umständen sinnvoll sein, ein externes Unternehmen als Datenschutzbeauftragten einzusetzen (zur Frage, ob auch juristische Personen als Datenschutzbeauftragte in Betracht kommen, s. Komm. zu § 4f BDSG Rz. 26). Die Beratungs- und Kontrollfunktion bezieht sich auf jeglichen Umgang mit personenbezogenen Daten. Obwohl ein Fokus auf der automatischen Datenverarbeitung liegt (vgl. Abs. 1 Satz 4 Nr. 1), wird der Datenschutzbeauftragte auch beim Umgang mit nicht automatisierten Dateien (z.B. der Umgang mit analogen Personalakten) beratend und kontrollierend tätig4. Hinzukommend unterliegen auch die technischen und organisatorischen Maßnahmen zur Etablierung einer angemessen Datensicherheit seiner Prüfungsobliegenheit5. Seiner Beratungsfunktion kann der Datenschutzbeauftragte darüber hinaus dadurch gerecht werden, dass er unternehmensinterne Datenschutzrichtlinien in Form von Betriebs- oder Dienstvereinbarungen entwickelt, die zur Verbesserung von Datenschutz und -sicherheit beitragen können6.

9 Die Kontrolle der rechtskonformen Übermittlung von Daten ins Ausland gemäß

den Vorgaben der §§ 4b und c7 sowie der Einhaltung datenschutzrechtlicher Vorschriften beim Auftragsdatenverarbeiter (i.S.d. § 11) fällt ebenfalls in den Kompetenzbereich des Datenschutzbeauftragten8. Zu beachten ist dabei, dass sich zwar aus § 11 Abs. 2 Satz 4 die Pflicht des Auftraggebers ergibt, den Auftragsdatenverarbeiter und dessen Umgang mit den personenbezogenen Daten

1 Gola/Schomerus, § 4g BDSG Rz. 2; Schaffland/Wiltfang, § 4g BDSG Rz. 4; Taeger/Gabel/ Scheja, § 4g BDSG Rz. 8. 2 So auch Taeger/Gabel/Scheja, § 4g BDSG Rz. 8. 3 In der Unternehmenspraxis kommen den betrieblichen Datenschutzbeauftragten oft auch repräsentative sowie Funktionen eines Vertreters zu, die seinen Aufgabenkreis jedoch unzulässigerweise erweitern, s. Dorn, DSB 10/2009, 9 ff.; explizit zu den Aufgaben behördlicher Datenschutzbeauftragter s. Engelien-Schulz, VR 2006, 412 (414 ff.). 4 Simitis/Simitis, § 4g BDSG Rz. 38; Däubler/Klebe/Wedde/Weichert/Däubler, § 4g BDSG Rz. 7. 5 Taeger/Gabel/Scheja, § 4g BDSG Rz. 10; Roßnagel/Königshofen, Handbuch Datenschutzrecht, Kap. 5.5 Rz. 52. 6 Vgl. auch Taeger/Gabel/Scheja, § 4g BDSG Rz. 18. 7 Simitis/Simitis, § 4g BDSG Rz. 32. 8 Gola/Schomerus, § 11 BDSG Rz. 21a; Taeger/Gabel/Gabel, § 11 BDSG Rz. 33; Simitis/ Simitis, § 4g BDSG Rz. 39.

244

|

von dem Bussche

Aufgaben des Beauftragten für den Datenschutz | § 4g BDSG

regelmäßig zu kontrollieren, allerdings beinhaltet das BDSG keine dahingehende Duldungspflicht des Auftragsdatenverarbeiters1. Ein entsprechendes Recht zur Kontrolle sollte daher regelmäßig zwischen Auftraggeber und Auftragsdatenverarbeiter individualvertraglich vereinbart werden (ausführlich Komm. zu § 11 BDSG Rz. 108). Ungeachtet dessen, ist der Datenschutzbeauftragte bei der Auswahl des Auftragsdatenverarbeiters sowie bei der Formulierung der entsprechenden Weisungen an diesen (vgl. § 11 Abs. 3) zu konsultieren2. Seine Kontrollpflicht bezieht sich auf die Einhaltung des BDSG und anderer 10 Vorschriften. Mit anderen Vorschriften sind nur solche gemeint, die den Datenschutz und die Datensicherheit betreffen. Das umfasst bspw. die Kontrolle der Einhaltung der §§ 91 ff. TKG, der §§ 67 ff. SGB X oder auch einer solchen Videobeobachtung, die nicht von § 6b erfasst ist3. Bei der Verarbeitung von Personaldaten ist von ihm auch zu überwachen, ob etwaige Mitbestimmungsrechte der Mitarbeitervertretungen (Betriebs- und Personalrat) beachtet wurden, da bei Verstößen die jeweilige Datenverarbeitung unzulässig wäre4. Der Datenschutzbeauftragte ist nicht verpflichtet, seine Kontrollen vorher an- 11 zumelden5. Sein Recht zu unangemeldeten Kontrollen dient vielmehr einer verbesserten Überprüfung und ermöglicht das Erkennen von Gesetzeswidrigkeiten gerade auch beim täglichen Umgang mit personenbezogenen Daten im Tagesgeschäft. 2. Kodifizierte Konkretisierungen der Hinwirkungspflicht in § 4g Wie bereits eingangs erwähnt, ist die Aufzählung der Aufgaben des Datenschutz- 12 beauftragten in Abs. 1 Satz 4 und Abs. 2 nicht abschließend zu begreifen, sowie bewusst allgemein gehalten6. Manifestiert ist darin einmal mehr der Leitgedanke, dass sich die Anforderungen an das Amt des Datenschutzbeauftragten nicht allgemeingültig abstrahieren lassen. Diese weitgefächerte Bandbreite an möglichen Prüfungsobliegenheiten gebietet vielmehr, dass das Anforderungsprofil an sein Mandat jeweils konkret an den Gegebenheiten der jeweiligen verantwortlichen Stelle zu bemessen ist (hierzu auch Komm. zu § 4f BDSG Rz. 27 ff.). Die Konkretisierungen des § 4g bilden somit lediglich die „Mindestausrüstung“ des Beauftragten, die ihm seine Aufgabenerfüllung ermöglichen sollen7. 1 Gola/Schomerus, § 11 BDSG Rz. 21a; vgl. auch Simitis/Simitis, § 4g BDSG Rz. 39. 2 Simitis/Simitis, § 4g BDSG Rz. 39; Taeger/Gabel/Gabel, § 11 BDSG Rz. 33; Gola/Schomerus, § 11 BDSG Rz. 21a. 3 Gola/Schomerus, § 4g BDSG Rz. 4; Simitis/Simitis, § 4g BDSG Rz. 31. 4 Däubler/Klebe/Wedde/Weichert/Däubler, § 4g BDSG Rz. 7; Taeger/Gabel/Gabel, § 11 BDSG Rz. 8. 5 Simitis/Simitis, § 4g BDSG Rz. 48; Bergmann/Möhrle/Herb, § 4g BDSG Rz. 30; Däubler/ Klebe/Wedde/Weichert/Däubler, § 4g BDSG Rz. 13. 6 Simitis/Simitis, § 4g BDSG Rz. 2. 7 Gola/Schomerus, § 4g BDSG Rz. 7.

von dem Bussche

|

245

§ 4g BDSG | Allgemeine und gemeinsame Bestimmungen a) Programmüberwachung (Abs. 1 Satz 4 Nr. 1) 13 Abs. 1 Satz 4 Nr. 1 Halbs. 1 konkretisiert die Aufgabe des Datenschutzbeauf-

tragten dahingehend, dass er die ordnungsgemäße Anwendung der Datenverarbeitungsprogramme, welche personenbezogene Daten verarbeiten, überwachen soll. Der Begriff umfasst sämtliche Programme, mit denen personenbezogene Daten unter Einsatz von Datenverarbeitungsanlagen erhoben, verarbeitet und genutzt werden können1. Damit fällt auch schon das Öffnen einer Datei, welche personenbezogene Daten enthält, mittels eines Textverarbeitungsprogramms in seinen Kompetenzbereich2. Die Überwachungspflicht bezieht sich nicht nur auf den ordnungsgemäßen und rechtskonformen Umgang mit der Datenverarbeitungssoftware, sondern auch auf die Software selber3. Diese muss den Standards des Datenschutzes entsprechen und somit eine datenschutzrechtlich konforme Verarbeitung ermöglichen4. Insbesondere sind auch die Grundsätze der Datenvermeidung und Datensparsamkeit (§ 3a) sowie die Maßgabe besonderer Verfahren nach §§ 6a–c zu beachten5. Das Zeitalter der Konvergenz und die daraus resultierende Schnelllebigkeit in technischer und datenschutzrechtlicher Hinsicht macht eine regelmäßige, aber nicht zwingend angemeldete, Überprüfung erforderlich6.

14 Um seiner Beratungsfunktion gerecht werden zu können, ist der Datenschutz-

beauftragte daher gemäß Abs. 1 Satz 4 Nr. 1 Halbs. 2 über den geplanten Einsatz von automatischen Datenverarbeitungsprogrammen sowie über Veränderungen der Datenverarbeitungsverfahren, bspw. Neuanschaffungen rechtzeitig zu informieren und in den Entscheidungsprozess mit einzubeziehen. Der zeitliche Vorlauf muss so bemessen sein, dass der Datenschutzbeauftragte die Möglichkeit hat, eventuelle Bedenken einzubringen und etwaige Korrekturen noch durchgeführt werden können; andernfalls ist das Gebot der Rechtzeitigkeit nicht gewahrt7.

15 Der Datenschutzbeauftragte ist zwar zur Überprüfung und Kontrolle der Daten-

verarbeitungsprogramme und bei entsprechenden Auffälligkeiten zur Meldung und Beratung verpflichtet. Er muss jedoch keine konkreten Vorschläge unterbreiten, wie sich seine Hinweise realisieren lassen8. Die Pflicht zur technischen 1 Definition s. § 3 Abs. 2 Satz 1. 2 Taeger/Gabel/Scheja, § 4g BDSG Rz. 15. 3 Simitis/Simitis, § 4g BDSG Rz. 43; ausführlich zur Zertifizierung und Überprüfung von Software und IT-Produkten s. Münch, RDV 2003, 223 ff. 4 Bergmann/Möhrle/Herb, § 4g BDSG Rz. 27; Simitis/Simitis, § 4g BDSG Rz. 48. 5 Taeger/Gabel/Scheja, § 4g BDSG Rz. 16. 6 Simitis/Simitis, § 4g BDSG Rz. 48: Taeger/Gabel/Scheja, § 4g BDSG Rz. 16; ein Überprüfungsturnus von einem Jahr wird empfohlen, s. dazu Gola/Schomerus, § 4g BDSG Rz. 19. 7 Taeger/Gabel/Scheja, § 4g BDSG Rz. 16; Bergmann/Möhrle/Herb, § 4g BDSG Rz. 28; Roßnagel/Königshofen, Handbuch Datenschutzrecht, Kap. 5.5 Rz. 26. 8 Simitis/Simitis, § 4g BDSG Rz. 46; Däubler/Klebe/Wedde/Weichert/Däubler, § 4g BDSG Rz. 15.

246

|

von dem Bussche

Aufgaben des Beauftragten für den Datenschutz | § 4g BDSG

Umsetzung liegt bei der verantwortlichen Stelle. Sind die Datenverarbeitungsprogramme zu komplex oder umfangreich, um sie mit gewöhnlichem Fachwissen überprüfen zu können, kann der Datenschutzbeauftragte externe Experten hinzuziehen1. Die verantwortliche Stelle hat ihm zu diesem Zweck die entsprechenden Ressourcen zur Verfügung zu stellen (vgl. § 4f Abs. 5 Satz 1). Die finale Entscheidungskompetenz hinsichtlich eines solchen Outsourcings verbleibt allerdings bei der verantwortlichen Stelle (vgl. bereits Komm. zu § 4f BDSG Rz. 44). Die Kontrolle kann auch anhand von Checklisten und Fragebögen, die den entsprechenden Systemverantwortlichen vorgelegt werden, erfolgen2. Eine Pflicht, die Resultate der Überprüfung zu dokumentieren, lässt sich dem 16 Gesetz zwar nicht entnehmen, wird aber allgemein bejaht3. b) Schulungs- und Fortbildungsfunktion (Abs. 1 Satz 4 Nr. 2) Dem Datenschutzbeauftragten kommt außerdem gemäß Abs. 1 Satz 4 Nr. 2 die 17 Aufgabe zu, die Mitarbeiter der verantwortlichen Stelle mit den gesetzlichen Bestimmungen des Datenschutzes vertraut zu machen. Aufgrund der aktuell rasanten Entwicklung im Bereich des Datenschutzes (s. Rz. 13) ist seine Schulungs- und Fortbildungsfunktion als Daueraufgabe zu begreifen4. Ziel dieser Schulungen ist zum einen die Vermittlung datenschutzrechtlicher Grundkenntnisse sowie zum anderen, eine Sensibilisierung („Awareness“) im Umgang mit personenbezogenen Daten bei den Angestellten zu fördern5. Darüber hinaus fordert die Norm, dass auf die jeweiligen besonderen Erfordernisse des Datenschutzes Rücksicht genommen wird. Daher sind die Schulungsmaßnahmen auf die Tätigkeit der verantwortlichen Stelle und auf die spezifischen Verarbeitungsvorgänge der jeweils aufzuklärenden Abteilungen abzustimmen6. Je mehr personenbezogene Daten verarbeitet werden und je sensibler die Daten sind, desto umfassender hat die Schulung zu erfolgen7. Sind die Mitarbeiter zum Datengeheimnis (§ 5) verpflichtet, müssen sie dementsprechend geschult werden. Auch technische und organisatorische Maßnahmen zur Datensicherheit (§ 9), ferner die Rechte der Betroffenen (§§ 19 ff. und §§ 36 ff.) sind zu erläutern8. 1 Däubler/Klebe/Wedde/Weichert/Däubler, § 4g BDSG Rz. 16; Schaffland/Wiltfang, § 4g BDSG Rz. 7. 2 So Taeger/Gabel/Scheja, § 4g BDSG Rz. 17, 20. 3 So auch Gola/Schomerus, § 4g BDSG Rz. 19; Simitis/Simitis, § 4g BDSG Rz. 48; Taeger/ Gabel/Scheja, § 4g BDSG Rz. 20. 4 Vgl. Bergmann/Möhrle/Herb, § 4g BDSG Rz. 38; Taeger/Gabel/Scheja, § 4g BDSG Rz. 22. 5 So auch Taeger/Gabel/Scheja, § 4g BDSG Rz. 21; Simitis/Simitis, § 4g BDSG Rz. 51; Gierschmann/Saeugling/Schmitz/Thoma, § 4g BDSG Rz. 15. 6 Taeger/Gabel/Scheja, § 4g BDSG Rz. 22; Däubler/Klebe/Wedde/Weichert/Däubler, § 4g BDSG Rz. 17. 7 Vgl. Taeger/Gabel/Scheja, § 4g BDSG Rz. 24. 8 Vgl. Bergmann/Möhrle/Herb, § 4g BDSG Rz. 37; Taeger/Gabel/Scheja, § 4g BDSG Rz. 21.

von dem Bussche

|

247

§ 4g BDSG | Allgemeine und gemeinsame Bestimmungen 18 Der Datenschutzbeauftragte ist in der Durchführung der Schulungs- und Fort-

bildungsmaßnahmen frei. Es liegt in seinem Ermessen, ob er die Schulung durch Seminare, Workshops oder schriftliches Informationsmaterial durchführt. Ebenso sind Rund-E-Mails als Erinnerung an bestimmte Bestimmungen und Vorgehensweisen denkbar1. Er hat sich jedoch ggf. mit dem Betriebs- bzw. Personalrat abzustimmen (§§ 98 BetrVG, 75 Abs. 3 Nr. 6 BPersVG)2. Die verantwortliche Stelle hat die zur Durchführung der Maßnahmen erforderlichen Mittel und Räume zur Verfügung zu stellen sowie die entstehenden Kosten zu tragen (vgl. § 4f Abs. 5 Satz 1). Die teilnehmenden Mitarbeiter sind für den benötigten Zeitraum freizustellen3.

19 Die Schulungen sind grundsätzlich vom Datenschutzbeauftragten selbst durch-

zuführen. Er kann sich aber externer Schulungseinrichtungen bedienen, wenn es der Gegenstand erforderlich erscheinen lässt4 und solange er auf die Konzeption und Durchführung der konkreten Schulungsmaßnahme Einfluss hat5.

c) Verfahrensverzeichnis/Publizität (Abs. 2) 20 Abs. 2 Satz 1 verpflichtet die verantwortliche Stelle, dem Datenschutzbeauftrag-

ten eine interne Verfahrensübersicht zur Verfügung zu stellen. Hierbei handelt es sich um eine Übersicht über die Verfahren automatisierter Datenverarbeitung innerhalb der verantwortlichen Stelle. Diese muss die in § 4e Satz 1 Nr. 1–9 vorgesehenen Informationen beinhalten (s. Komm. zu § 4e BDSG Rz. 6 ff.). Neben den Angaben nach § 4e Satz 1 sind in der Übersicht zusätzlich die „zugriffsberechtigten Personen“ gemäß § 4g Abs. 1 Satz 1 Halbs. 2 zu nennen. Dabei handelt es sich nicht lediglich um Mitarbeiter der verarbeitenden Stelle, sondern auch Außenstehende, die aufgrund gesetzlicher oder vertraglicher Befugnisse die ständige Möglichkeit des Zugriffs auf die personenbezogenen Daten haben6. Damit werden lediglich sporadisch zugreifende Personen wie Steuerberater oder Wirtschaftsprüfer sowie Pflege- und Wartungsvorgänge von der gesetzlichen Regelung ausgenommen7. Abzugrenzen von den zugriffsberechtigten Außenstehenden sind die bloßen möglichen Empfänger der Daten, die bereits gemäß § 4e Nr. 6 in das Verzeichnis aufzunehmen sind (vgl. Komm. zu § 4e

1 Taeger/Gabel/Scheja, § 4g BDSG Rz. 24. 2 Dazu Simitis/Simitis, § 4g BDSG Rz. 55 ff. 3 Taeger/Gabel/Scheja, § 4g BDSG Rz. 22; Simitis/Simitis, § 4g BDSG Rz. 58; Gierschmann/Saeugling/Schmitz/Thoma, § 4g BDSG Rz. 16. 4 Simitis/Simitis, § 4g BDSG Rz. 59; Bergmann/Möhrle/Herb, § 4g BDSG Rz. 39; Taeger/ Gabel/Scheja, § 4g BDSG Rz. 23, 24. 5 Taeger/Gabel/Scheja, § 4g BDSG Rz. 23; Roßnagel/Königshofen, Handbuch Datenschutzrecht, Kap. 5.5 Rz. 45. 6 Taeger/Gabel/Scheja, § 4g BDSG Rz. 30; Bergmann/Möhrle/Herb, § 4g BDSG Rz. 47; a.A. Simitis/Simitis, § 4g BDSG Rz. 69. 7 Taeger/Gabel/Scheja, § 4g BDSG Rz. 30.

248

|

von dem Bussche

Aufgaben des Beauftragten für den Datenschutz | § 4g BDSG

BDSG Rz. 11). Dabei kann es natürlich zu Überschneidungen kommen1. Auf eine namentliche Nennung kann nach h.M. verzichtet werden; eine Nennung der Funktion ist hinreichend um die zugriffsberechtigten Personen hinreichend zu bestimmen und so die nötige Transparenz zu schaffen2. Die interne Verfahrensübersicht soll dem Datenschutzbeauftragten einen Über- 21 blick über die verantwortliche Stelle und über Art, Zweck und Ablauf der Datenverarbeitung verleihen, um den Status Quo von Datenschutz und Datensicherheit überhaupt erst beurteilen und anschließend kontrollieren zu können3. Diese Übersicht dient in erster Linie der betriebsinternen Selbstkontrolle4. Originär obliegt es der verantwortlichen Stelle, die Übersicht zur Verfügung 22 zu stellen. Nach h.M. kann diese Pflicht auch nicht an den Datenschutzbeauftragten delegiert werden5. Von ihm ist jedoch zu verlangen, die Richtigkeit der Angaben zu überprüfen und erforderliche Änderungen einzupflegen6, welche ihm von der verantwortlichen Stelle fortlaufend mitzuteilen sind7. In der Praxis wird der Datenschutzbeauftragte in der Regel eine rechtskonforme Erstellung der notwendigen Verarbeitungsübersichten sicherstellen und somit unterstützend tätig werden müssen8. Die Identifikation von datenschutzrechtlich relevanten Verfahren gelingt den Fachabteilungen nur selten vollständig und abteilungsübergreifend, so dass hier eine der wesentlichen Aufgaben des Datenschutzbeauftragten zu verorten ist. Da die verantwortliche Stelle durch die Bestellung des Datenschutzbeauftragten 23 von der generellen Meldepflicht des § 4d Abs. 1 befreit wird (s. Komm. zu § 4d BDSG Rz. 9), verpflichtet Abs. 2 Satz 2 den Datenschutzbeauftragten als Surrogat die Publizität des Verfahrensverzeichnisses sicherzustellen. Im Gegensatz zu der internen Verfahrensübersicht ist das externe Verfahrensverzeichnis nach Abs. 2 Satz 2 zur Information von „jedermann“ gedacht9. Angaben nach § 4e Satz 1 Nr. 1–8 sind daher jedem Interessierten, also auch Wettbewerbern10, auf Antrag zur Verfügung zu stellen11; eine permanente Verfügbarkeit ist demnach 1 Gola/Schomerus, § 4g BDSG Rz. 26. 2 So auch Taeger/Gabel/Scheja, § 4g BDSG Rz. 29; Simitis/Simitis, § 4g BDSG Rz. 69; a.A. Gola/Schomerus, § 4g BDSG Rz. 29. 3 Simitis/Simitis, § 4g BDSG Rz. 60; Weniger, RDV 2005, 153 (156). 4 Weniger, RDV 2005, 153 (154). 5 So Simitis/Simitis, § 4g BDSG Rz. 63; Gola/Schomerus, § 4g BDSG Rz. 24; Schaffland/ Wiltfang, § 4g BDSG Rz. 30; Weniger, RDV 2005, 153 (154); a.A. Taeger/Gabel/Scheja, § 4g BDSG Rz. 25. 6 Simitis/Simitis, § 4g BDSG Rz. 61. 7 Gola/Schomerus, § 4g BDSG Rz. 28. 8 Vgl. Taeger/Gabel/Scheja, § 4g BDSG Rz. 26. 9 Daher die häufig anzutreffende Bezeichnung als „Jedermannsverzeichnis“. 10 Däubler/Klebe/Wedde/Weichert/Däubler, § 4g BDSG Rz. 21; Simitis/Simitis, § 4g BDSG Rz. 77. 11 Gierschmann/Saeugling/Schmitz/Thoma, § 4g BDSG Rz. 23.

von dem Bussche

|

249

§ 4g BDSG | Allgemeine und gemeinsame Bestimmungen nicht erforderlich1. Dies muss nur „in geeigneter Weise“ geschehen, so dass eine bestimmte Form nicht vorgeschrieben ist, sondern die Übersicht dem Antragssteller schriftlich, elektronisch oder auch durch Einsichtnahme vor Ort verfügbar gemacht werden kann2. Eine Option wäre es, das öffentliche Verfahrensverzeichnis auf die Website des Unternehmens unter der Rubrik „Datenschutzthemen“ aufzunehmen3. Insofern erleichtert die Übersicht auch die Kontrolle durch Betroffene und externe Instanzen im Rahmen von Auskunftsverlangen (§§ 19 Abs. 1, 38 Abs. 3, 4)4. 24 Das externe Verfahrensverzeichnis weicht von der internen Verarbeitungs-

übersicht insofern ab, als dass Angaben zur Datensicherheit gemäß § 4e Satz 1 Nr. 9 (zum Schutz der Systemsicherheit der verantwortlichen Stelle) sowie eine Liste der zugriffsberechtigten Personen nicht enthalten ist5. Das externe Verfahrensverzeichnis ist damit an Umfang und Inhalt deutlich weniger komplex als die interne Verarbeitungsübersicht6. Behörden i.S.d. § 6 Abs. 2 Satz 4, der auf § 19 Abs. 3 verweist, sind von der Pflicht, eine externe Übersicht zur Verfügung zu stellen, gänzlich ausgenommen (Abs. 3 Satz 1). Dem liegt der Gedanke zugrunde, dass bei jenen Behörden das Geheimhaltungsinteresse höher wiegt als das Informationsbedürfnis der Öffentlichkeit7. d) Verantwortlichkeit der Geschäftsführung (Abs. 2a)

24a Die Regelung verpflichtet die Leitung des Unternehmens, anderweitig für die

Erfüllung des gesamten Aufgabenbereichs des Datenschutzbeauftragten zu sorgen; das umfasst den umfassenden Auftrag des Hinwirkens ebenso wie die konkreten Aufgaben der Schulung und Information, Überwachung sowie die Erstellung des Verfahrensverzeichnisses. Neben Kritik an der systematischen Stellung dieser Regelung wird die Regelung auch inhaltlich kritisiert, weil nicht ersichtlich ist, warum in dieser Situation nicht ein DSB bestellt werden sollte. Würde zudem der Unternehmensleiter selbst die Funktion des DSB einnehmen, so würde er sich in einem Interessenkonflikt befinden8. 1 Taeger/Gabel/Scheja, § 4g BDSG Rz. 33; Däubler/Klebe/Wedde/Weichert/Däubler, § 4g BDSG Rz. 21; Gola/Schomerus, § 4g BDSG Rz. 30. 2 Taeger/Gabel/Scheja, § 4g BDSG Rz. 33; Simitis/Simitis, § 4g BDSG Rz. 74. 3 So Gierschmann/Saeugling/Schmitz/Thoma, § 4g BDSG Rz. 23. 4 Däubler/Klebe/Wedde/Weichert/Däubler, § 4g BDSG Rz. 19. 5 Bergmann/Möhrle/Herb, § 4g BDSG Rz. 48; Gola/Schomerus, § 4g BDSG Rz. 29. 6 Eine für die Praxis wertvolle Hilfestellung zur Umsetzung des externen Verfahrensverzeichnisses und der internen Verarbeitungsübersicht bietet BITKOM, Verfahrensverzeichnis und Verarbeitungsübersicht nach BDSG – Ein Praxisleitfaden, Version 2.0 v. 2007. 7 Zustimmend Taeger/Gabel/Scheja, § 4g BDSG Rz. 32; kritisch Simitis/Simitis, § 4g BDSG Rz. 79. 8 S. zum Ganzen Gierschmann/Saeugling/Schmitz/Thoma, § 4g BDSG Rz. 29 ff.; zu möglichen Interessenkonflikten s. Komm. zu § 4f BDSG Rz. 31 ff.

250

|

von dem Bussche

Aufgaben des Beauftragten für den Datenschutz | § 4g BDSG

3. Durchführung der Vorabkontrolle (§ 4d Abs. 5, 6) Im Zusammenhang mit dem zu erstellenden Verfahrensverzeichnis nach Abs. 2 25 Satz 1 steht die Pflicht des Datenschutzbeauftragten zur Vorabkontrolle gemäß § 4d Abs. 5, 6. Die Vorabkontrolle ist nach Erhalt des Verfahrensverzeichnisses dann vorzunehmen, wenn die automatisierte Verarbeitung personenbezogener Daten besondere Risiken für die „Rechte und Freiheiten der Betroffenen“ aufweist1. Dem Datenschutzbeauftragten obliegt es dann festzustellen, ob ein „besonderes Risiko“ i.S.d. § 4d Abs. 5 vorliegt. Demnach ist der Datenschutzbeauftragte nicht nur mit der Prüfungsobliegenheit, sondern auch mit der Beurteilungskompetenz über das Vorliegen eines Falles des § 4d Abs. 5 ausgestattet2. Die Prüfungskompetenz nach § 4d Abs. 6 im Rahmen der Vorabkontrolle ist jedoch nicht uneingeschränkt gewährt. Vielmehr ist sie auf die spezifischen von § 4d Abs. 5 berücksichtigten Gefahren, die aus automatisierten Verarbeitungsvorgängen erwachsen können („besondere Risiken“), limitiert3. Im Weiteren ist auf die entsprechende Kommentierung zu verweisen (s. Komm. zu § 4d BDSG Rz. 15 ff.). 4. Tätigkeitsbericht Zur Erstellung eines Tätigkeitsberichtes ist der Datenschutzbeauftragte, anders 26 als die externen Kontrollinstanzen (§§ 26 Abs. 1 Satz 1, 38 Abs. 1 Satz 7), nicht verpflichtet4. Dies kann jedoch gerade zur Dokumentation von erledigten und noch anstehenden Aufgaben hilfreich sein. Auch ist eine Dokumentation sinnvoll, um bei drohender Abberufung des Datenschutzbeauftragten durch die Aufsichtsbehörde gemäß § 38 Abs. 5 Satz 3 die erforderliche Zuverlässigkeit nachweisen zu können5. 5. Übertragung sonstiger Aufgaben Die verantwortliche Stelle kann dem Datenschutzbeauftragten weitere Aufgaben 27 unter Wahrung zweier Voraussetzungen übertragen: (i) Es darf sich dabei um keine Verpflichtungen handeln, die originär von der verantwortlichen Stelle selbst wahrgenommen werden müssen (z.B. § 4g Abs. 2 Satz 1, s. Rz. 22) und (ii) die zusätzliche Verpflichtung darf nicht zu einer Überforderung des Datenschutzbeauftragten führen, und somit als Konsequenz die von ihm geforderte Erfüllung der gesetzlichen Aufgaben, mithin seine Zuverlässigkeit, gefährden (vgl. § 4f Abs. 2 Satz 1)6. 1 S. zur generellen Risikobewertung im Datenschutzrecht und der entsprechende Rolle des DSB in diesem Zusammenhang Thoma, ZD 2013, 578. 2 So auch Gola/Schomerus, § 4d BDSG Rz. 14. 3 BT-Drucks. 14/4329a, S. 35. 4 Simitis/Simitis, § 4g BDSG Rz. 94 m.w.N. 5 Gola/Schomerus, § 38 BDSG Rz. 27. 6 So auch Simitis/Simitis, § 4g BDSG Rz. 90.

von dem Bussche

|

251

§ 4g BDSG | Allgemeine und gemeinsame Bestimmungen 6. Verhältnis zwischen Datenschutzbeauftragtem und Mitarbeitervertretungen (evtl. Kompetenzbeschränkung) 28 Die Funktion des Datenschutzbeauftragten und die Funktion von Arbeitneh-

mervertretungen überschneiden sich in gewisser Hinsicht, so dass sich die Frage stellt, wie dieser Konflikt aufzulösen ist (zur Frage, ob eine Mitgliedschaft im Betriebs- oder Personalrat eine Tätigkeit als betrieblicher Datenschutzbeauftragter ausschließt oder nicht s. Komm. zu § 4f BDSG Rz. 32–34). Aufgrund der umfassenden allgemeinen Kontrollfunktion der §§ 80 Abs. 1 Nr. 1 BetrVG und 68 Abs. 1 Nr. 2 BPersVG fällt die Überwachung über die Einhaltung von datenschutzrechtlichen Bestimmungen durch die jeweilige verantwortliche Stelle im weiteren Sinne ebenfalls originär in den Aufgabenbereich der Betriebs- und Personalräte. Demnach bestehen die Überwachungspflichten des Betriebs- und Personalrats gesetzlich neben denen des Datenschutzbeauftragten, so dass beide auch gegenseitig von der Fachkunde und dem Informationsbestand des jeweils anderen profitieren können sollten. Seitens des Datenschutzbeauftragten sind in erster Linie die Mitbestimmungsrechte der Arbeitnehmervertretungen im Rahmen von datenschutzrechtlich relevanten Maßnahmen zu beachten, welche den Lohn, die Arbeitszeit oder die Überwachung des Verhaltens und der Leistung der Arbeitnehmer betreffen, vgl. § 87 BetrVG1.

29 Deutlich kritischer und umstrittener ist dabei allerdings die Frage, inwiefern

dem Datenschutzbeauftragten die Kompetenz zur Überwachung der datenschutzrechtlich relevanten Aktivitäten der Mitarbeitervertretungen zukommt. Zunächst hatte das BAG mit Entscheidung vom 11.11.1997 eine Kontrollkompetenz des Datenschutzbeauftragten in Bezug auf den Betriebsrat vollumfänglich abgelehnt2. Hauptargument war, dass der Datenschutzbeauftragte den verlängerten Arm des Arbeitgebers darstelle, da er den Beauftragten einseitig bestellen und wieder abberufen könne, und somit dessen nötige Unabhängigkeit nicht gewahrt sei. Darüber hinaus fehle dem Betriebs- bzw. Personalrat ein unmittelbares Mitbestimmungsrecht bezüglich dieser Entscheidungen (s. hierzu Komm. zu § 4f BDSG Rz. 18). Konsequenterweise könnte die Überwachungskompetenz seitens des Beauftragten mittelbar eine unzulässige Kontrolle durch den Arbeitgeber bewirken und so die Unabhängigkeit des Betriebsrats gefährden. Dem Datenschutzbeauftragten könnten im Rahmen einer möglichen Kontrolle auch solche Informationen offenbart werden, die nicht unter dessen Verschwiegenheitspflicht gemäß § 4f Abs. 4 fielen, da es sich dabei nicht ausschließlich um Informationen handeln müsse, durch deren Offenbarung auf die Identität eines Betroffenen geschlossen werden könne (vgl. Komm. zu § 4f BDSG Rz. 46 f.)3. Das Gericht stellte zwar klar, dass Mitarbeitervertretungen auch an die Vor-

1 Taeger/Gabel/Scheja, § 4g BDSG Rz. 11. 2 BAG v. 11.11.1997 – 1 ABR 21/97, NJW 1998, 2466 (2467); zustimmend Däubler/Klebe/ Wedde/Weichert/Däubler, § 4g BDSG Rz. 23. 3 BAG, NJW 1998, 2466 (2468).

252

|

von dem Bussche

Aufgaben des Beauftragten für den Datenschutz | § 4g BDSG

schriften des BDSG gebunden sind, ihre Kontrollierbarkeit jedoch im Kompetenzbereich der zuständigen Aufsichtsbehörde liegt1. Resultat dieser mangelnden betriebsinternen Kontrollierbarkeit der Mitarbeitervertretungen ist eine lediglich lückenhafte Überwachung der verantwortlichen Stelle durch den Datenschutzbeauftragten. Diese Ansicht widerspricht allerdings der EG-Datenschutzrichtlinie sowie dem 30 Kontrollkonzept des BDSG, nämlich einer lückenlosen Kontrolle der verantwortlichen Stelle durch den Datenschutzbeauftragten2. Darüber hinaus setzt insbesondere Art. 28 Abs. 1 Unterabschnitt 2 der EG-Datenschutzrichtlinie eine „völlige Unabhängigkeit“ des Datenschutzbeauftragten als Instanz der Selbstkontrolle konstitutiv voraus3. Gerade diese Unabhängigkeit wurde dem Datenschutzbeauftragten durch die ursprüngliche Entscheidung des BAG indes abgesprochen4. Zu beachten ist jedoch, dass der Entscheidung die Stellung des Datenschutzbeauftragten vor der Novellierung des BDSG im Jahr 2009 zugrunde liegt. Die Einführung des Sonderkündigungs- und Bestandsschutzes (§ 4f Abs. 3 Satz 4–6) im Jahr 2009 stärkte die Position und Handlungsfreiheit des Datenschutzbeauftragten signifikant (s. Komm. zu § 4f BDSG Rz. 56). Im Zuge dieser Aufwertung, hätte es nahe gelegen, auch die fehlende Überwachungsmöglichkeit der Mitarbeitervertretungen durch Einführung des vom BAG5 geforderten Mitbestimmungsrechts des Betriebsrats bei der Bestellung des Datenschutzbeauftragten zu überwinden. Nichtsdestotrotz sieht das BDSG de lege lata stets noch eine einseitige Bestellung und Abberufung des Datenschutzbeauftragten durch den Arbeitgeber ohne Mitbestimmungsrechte der Mitarbeitervertretungen vor. Dies begegnet vor allem europarechtlichen Bedenken im Hinblick auf die geforderte „völlige Unabhängigkeit“ des Datenschutzbeauftragten6. Es bleibt also bei dem bisher ungelösten Problem, dass der Datenschutzbeauf- 31 tragte einerseits per Gesetz verpflichtet ist, auf die Einhaltung datenschutzrechtlicher Vorschriften innerhalb der gesamten verantwortlichen Stelle hinzuwirken7, aber andererseits dies im Hinblick auf die Mitarbeitervertretungen vom BAG ausgeschlossen worden ist. Ferner ist in diesem Zusammenhang die Surrogatsfunktion des Datenschutzbeauftragten zu berücksichtigen. Diese ersetzt gemäß § 4d Abs. 2 die Meldepflicht gemäß § 4d Abs. 1 (s. Komm. zu § 4d BDSG 1 BAG, NJW 1998, 2466, Leitsatz. 2 So auch, dennoch de lege lata Kontrollbefugnis verneinend und auf Gesetzesänderung drängend: Simitis/Simitis, § 4g BDSG Rz. 42. 3 Erwägungsgrund 49 der EG-Datenschutzrichtlinie; zum Begriff bereits EuGH, MMR 2010, 352. 4 BAG, NJW 1998, 2466 (2467). 5 Vgl. BAG, NJW 1998, 2466 (2469). 6 Ausführlich und Richtlinienkonformität des einseitigen Bestellungsverfahrens verneinend: Aßmus, ZD 2011, 27 (29 f.). 7 So auch Taeger/Gabel/Scheja, § 4g BDSG Rz. 13.

von dem Bussche

|

253

§ 4g BDSG | Allgemeine und gemeinsame Bestimmungen Rz. 9). Ebenfalls die EG-Datenschutzrichtlinie sieht dies in Art. 18 Abs. 2, 2. Spiegelstrich so vor. Demnach dürfen konsequenterweise seinen Kontrollbefugnissen keine Verarbeitungsvorgänge vorbehalten bleiben, die ansonsten unter die generelle Meldepflicht fielen1. Eine Differenzierung zwischen den Verarbeitungsvorgängen der Mitarbeitervertretungen und der restlichen verantwortlichen Stelle ist der Norm nicht zu entnehmen und wäre auch systemwidrig, da, wie bereits erwähnt, auch die Mitarbeitervertretungen an die Vorschriften des BDSG gebunden sind. Letztlich hat auch das BAG richtigerweise festgestellt, dass die Mitarbeitervertretungen ebenfalls Teil der verantwortlichen Stelle sind (damaliger Terminus „Speichernde Stelle“) und nicht etwa „Dritter“ i.S.d. § 3 Abs. 8 Satz 22. Demnach erstreckt sich sowohl die Hinwirkungspflicht des Datenschutzbeauftragten, als auch die Meldepflicht der verantwortlichen Stelle zweifelsfrei auch auf die Verarbeitung personenbezogener Daten durch Mitarbeitervertretungen. Konsequenterweise müsste somit auch die Überwachungskompetenz des Datenschutzbeauftragten diesbezüglich umfassend zu begreifen sein. Ob dieser Widerspruch zwischen lückenloser gesetzlicher Kontrollpflicht einerseits und höchstrichterlich festgestellter Ausnahme bei Mitarbeitervertretungen andererseits nun letztlich doch zu einer Kontrolle der Mitarbeitervertretungen durch den Datenschutzbeauftragten führt oder lediglich einen Appell an den Gesetzgeber darstellt, eine richtlinienkonforme Gesetzeslage zu schaffen, bedarf der Klärung3. 32 Im Rahmen einer Entscheidung vom 23.3.2011 stellte das BAG fest, dass keine

grundsätzliche Inkompatibilität zwischen den Ämtern des Datenschutzbeauftragten und eines Mitarbeitervertreters existiere4. Demnach kann ein Mitglied des Betriebs- bzw. Personalrats auch als Datenschutzbeauftragter innerhalb desselben Betriebs beauftragt werden (s. Komm. zu § 4f BDSG Rz. 34). Die hier entscheidende Frage, inwiefern dem Datenschutzbeauftragten eine Kontrollkompetenz bezüglich der Verarbeitung personenbezogener Daten durch Mitarbeitervertretungen zukommt, wurde jedoch ausdrücklich offen gelassen und für die oben genannte Kompatibilitätsproblematik der beiden Ämter für irrelevant erklärt5.

33 In Anbetracht der äußerst unsicheren Rechtslage und aufgrund der mangelnden

Erkenntnisse die aus obigem Urteil gezogen werden können, kann hier nur der 1 So auch Taeger/Gabel/Scheja, § 4g BDSG Rz. 13. 2 BAG, NJW 1998, 2466; Gola/Schomerus, § 3 BDSG Rz. 49; Simitis/Simitis, § 3 BDSG Rz. 240. 3 De lege lata Kontrollbefugnis verneinend und auf Gesetzesänderung drängend: Simitis/ Simitis, § 4g BDSG Rz. 42; Aßmus, ZD 2011, 27 (29 f.); wohl auch Taeger/Gabel/Scheja, § 4g BDSG Rz. 13; Kontrollbefugnis gänzlich verneinend Däubler/Klebe/Wedde/Weichert/Däubler, § 4g BDSG Rz. 23. 4 BAG, NZA 2011, 1036, Rz. 25. 5 BAG, NZA 2011, 1036, Rz. 25.

254

|

von dem Bussche

Aufgaben des Beauftragten für den Datenschutz | § 4g BDSG

Gesetzgeber Abhilfe schaffen. Die Kodifizierung eines gesonderten Mitbestimmungsrechts des Betriebs- bzw. Personalrats bei der Bestellung und Abberufung des Datenschutzbeauftragten kristallisiert sich insoweit als der zu beschreitende Weg heraus (vgl. Komm. zu § 4f BDSG Rz. 18)1. Bis dahin ist an eine kollegiale Zusammenarbeit zwischen Datenschutzbeauftragtem und Mitarbeitervertretungen zu appellieren2.

III. Aufgabenerfüllung durch Stellenleiter Ist die verantwortliche Stelle nicht zur Bestellung eines Datenschutzbeauftragten 34 verpflichtet, muss der Leiter der verantwortlichen Stelle gemäß Abs. 2a die Erfüllung der Aufgaben der Abs. 1 und 2 auf andere Weise sicherstellen3. Dadurch wird ausdrücklich klargestellt, dass auch Stellen, für die keine Bestellungspflicht gemäß § 4f Abs. 1 besteht, dennoch zur Einhaltung datenschutzrechtlicher Vorschriften „in anderer Weise“ verpflichtet sind. In der Praxis werden einzelne Arbeitnehmer mit den entsprechenden Aufgaben betraut, ohne nominell das Amt des Datenschutzbeauftragten zu bekleiden. Eine freiwillige Berufung eines Datenschutzbeauftragten ist überdies ebenfalls möglich (s. Komm. zu § 4f BDSG Rz. 6). Diese Norm richtet sich insbesondere an mittelständische Unternehmen, die in der Regel höchstens neun Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen, vgl. § 4f Abs. 1 Satz 4.

IV. Rechtsfolgen bei Missachtung des Datenschutzbeauftragten 1. Allgemeines Der Datenschutzbeauftragte hat beratende und analysierende Funktion. Es fehlt 35 ihm die Kompetenz, der verantwortlichen Stelle konkrete Handlungspflichten aufzuerlegen. Ebenso wenig kann der Datenschutzbeauftragte gegen den Willen der verantwortlichen Stelle Gesetzesverstöße selbständig beheben. Die Entscheidungskompetenz über die Vornahme und Nichtvornahme jeglicher datenschutzrechtlich relevanter Vorgänge liegt bei der verantwortlichen Stelle (s. Rz. 7 sowie Komm. zu § 4f BDSG Rz. 41). Demnach besteht für sie zwar die Pflicht, den Datenschutzbeauftragten im Vorfeld jener Vorgänge entsprechend zu informieren und zu konsultieren, unabhängig von dessen Bewertung im Einzelfall, bleibt es ihr allerdings überlassen, ob sie sich der Ansicht des Datenschutzbeauftragten anschließen oder widersetzen möchte4. 1 2 3 4

So auch Simitis/Simitis, § 4g BDSG Rz. 42; kritisch Gola/Schomerus, § 4g BDSG Rz. 11. So auch Taeger/Gabel/Scheja, § 4g BDSG Rz. 13. Dazu s. Kaufmann, MMR 2006, Heft 10, XIV, XV. Simitis/Simitis, § 4g BDSG Rz. 5.

von dem Bussche

|

255

§ 4g BDSG | Allgemeine und gemeinsame Bestimmungen 2. Einschaltung der Aufsichtsbehörde 36 Um seinen Ansichten dennoch Nachdruck zu verleihen, räumt das Gesetz dem

Datenschutzbeauftragten die Möglichkeit ein, die zuständige Aufsichtsbehörde hinzuzuziehen.

37 Hinsichtlich der zuständigen Aufsichtsbehörden ist zwischen nicht-öffent-

lichen Stellen und öffentlichen Stellen zu unterscheiden. Bei nicht-öffentlichen Stellen bestimmen die Länder die zuständigen Aufsichtsbehörden (§ 38 Abs. 6), bei öffentlichen Stellen des Bundes ist die oder der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) zuständig (§ 24 BDSG), bei öffentlichen Stellen der Länder ergibt sich die Zuständigkeit aus den jeweiligen landesrechtlichen Regelungen zum Datenschutz. Eine Sonderzuständigkeit ergibt sich gemäß § 115 Abs. 4 Satz 1 TKG für Telekommunikationsdienstleister. Abzustellen ist dabei auf die konkret verwendeten Daten: Für die Verarbeitung von personenbezogenen Daten, die der geschäftsmäßigen Erbringung von Telekommunikationsdiensten dienen, ist die oder der BfDI zuständig; bei Beschäftigten- und sonstigen personenbezogenen Daten verbleibt es bei der Zuständigkeit der Aufsichtsbehörde nach § 381.

38 Abs. 1 unterscheidet bei der Hinzuziehung der Aufsichtsbehörde zwischen zwei

Varianten: Das Konsultationsrecht in Zweifelsfällen nach Abs. 1 Satz 2 und das allgemeine Beratungsrecht nach Abs. 1 Satz 3.

39 Stößt der Datenschutzbeauftragte bei seiner Aufgabenerfüllung auf individuelle

Schwierigkeiten, kann er sich erstens nach Abs. 1 Satz 2 in Zweifelsfällen an die zuständige Aufsichtsbehörde wenden. Zweifelsfälle können etwa gegeben sein, wenn der Datenschutzbeauftragte sich über die Reichweite oder Anwendung gewisser gesetzlicher Regelungen im Unklaren ist oder Unsicherheiten bezüglich der Angemessenheit bestimmter datenschutzrechtlicher Maßnahmen bestehen2. Häufig auftretende Problemkomplexe sind bspw. Abgrenzungsschwierigkeiten zwischen den Anwendungsbereichen des BDSG und spezialgesetzlichen Regelungen sowie Auslandsübermittlungen in Drittstaaten3.

40 Grundsätzlich steht es im Ermessen des Datenschutzbeauftragten, in Zweifels-

fällen die Aufsichtsbehörde anzurufen (anders § 4d Abs. 6 Satz 3, der eine Pflicht statuiert, s. Komm. zu § 4d BDSG Rz. 19). Dieses Ermessen wird jedoch begrenzt durch die arbeitsvertragliche Treuepflicht, die es gebietet, primär eine interne Lösung der datenschutzrechtlichen Probleme zu suchen, bevor als ultima ratio die externe Aufsichtsbehörde eingeschaltet wird4. Falls sich intern keine

1 2 3 4

Simitis/Simitis, § 4g BDSG Rz. 17. Taeger/Gabel/Scheja, § 4g BDSG Rz. 36. Simitis/Simitis, § 4g BDSG Rz. 22. Zustimmend Gola/Schomerus, § 4g BDSG Rz. 16; Taeger/Gabel/Scheja, § 4g BDSG Rz. 36; Däubler/Klebe/Wedde/Weichert/Däubler, § 4g BDSG Rz. 22; Bergmann/Möhrle/Herb, § 4g BDSG Rz. 21; a.A. Simitis/Simitis, § 4g BDSG Rz. 24.

256

|

von dem Bussche

Aufgaben des Beauftragten für den Datenschutz | § 4g BDSG

Lösung finden lässt, ist fraglich ob der Datenschutzbeauftragte grundsätzlich zur Einschaltung der zuständigen Aufsichtsinstanz verpflichtet ist. Dies ist mit dem klaren Wortlaut der Norm, welche von einem „Können“ spricht, abzulehnen1. Der diesbezügliche Wille des Gesetzgebers verdeutlicht sich im Vergleich zum Ausnahmecharakter des § 4d Abs. 6 Satz 3, welcher eine Konsultationspflicht im Rahmen von Zweifeln bei Vorabkontrollen formuliert. Dies ist auch expressis verbis der entsprechenden Gesetzesbegründung zu entnehmen2. Das Ermessen des Datenschutzbeauftragten zur Anrufung der Behörde reduziert sich nur auf Null, wenn er gravierende Verstöße (etwa gegen das Strafrecht) aufdeckt3. Für den Fall, dass der Datenschutzbeauftragte zweifelsfrei feststellen kann, dass ein geplantes Vorhaben unzulässig ist und die verarbeitende Stelle sich dennoch entschließt dies durchzuführen, muss betont werden, dass daraus ebenfalls keine Pflicht zur Einschaltung der Aufsichtsbehörde im Sinne eines „Whistleblowing“ für ihn entsteht4 (s. Komm. zu § 4d BDSG Rz. 19). Zweitens kann der betriebliche Datenschutzbeauftragte nach Abs. 1 Satz 3 die 41 zuständige Aufsichtsbehörde zur Beratung anrufen (§ 38 Abs. 1 Satz 2). Damit werden die Anforderung an die Fachkunde des betrieblichen Datenschutzbeauftragten (§ 4f Abs. 2 Satz 2) etwas entschärft, weil auf die Kompetenz der Aufsichtsbehörden zurückgegriffen werden kann5. Die Beratungsfunktion zielt weniger auf eine Einzelberatung ab (dazu Abs. 1 Satz 2), sondern es geht dabei mehr um allgemeine Hinweise der Aufsichtsbehörde, die aufgrund ihrer Erfahrung auf branchentypische Datenschutzprobleme hinweisen kann6. Datenschutzbeauftragte der Behörden i.S.d. § 6 Abs. 2 Satz 4, welcher auf § 19 42 Abs. 3 verweist, müssen nach Abs. 3 Satz 2 erst das Einvernehmen mit dem Behördenleiter herstellen, bevor sie ihr Konsultationsrecht nach Abs. 1 Satz 2 ausüben7. Wird hierbei keine Einigung erzielt, entscheidet die oberste Bundesbehörde über die Einschaltung der jeweils zuständigen Aufsichtsbehörde8.

1 So auch Taeger/Gabel/Scheja, § 4g BDSG Rz. 37; Gola/Schomerus, § 4g BDSG Rz. 16; a.A. Simitis/Simitis, § 4g BDSG Rz. 23; Däubler/Klebe/Wedde/Weichert/Däubler, § 4g BDSG Rz. 23. 2 BT-Drucks. 14/4329, S. 36. 3 Taeger/Gabel/Scheja, § 4g BDSG Rz. 37; Gola/Schomerus, § 4g BDSG Rz. 15; Barton, RDV 2010, 247 (251); a.A. Däubler/Klebe/Wedde/Weichert/Däubler, § 4g BDSG Rz. 22. 4 S. speziell zur Übermittlung von Daten im Rahmen vom Whistleblowing Thüsing/Forst, § 6 Whistleblowing Rz. 70 ff. 5 So auch Gola/Schomerus, § 38 BDSG Rz. 7a. 6 Gola/Klug, NJW 2007, 118 (121). 7 So auch Gola/Schomerus, § 4g BDSG Rz. 17; Taeger/Gabel/Scheja, § 4g BDSG Rz. 35; ablehnend Simitis/Simitis, § 4g BDSG Rz. 25 ff.; Däubler/Klebe/Wedde/Weichert/Däubler, § 4g BDSG Rz. 23. 8 Kritisch zum Verfahren Simitis/Simitis, § 4g BDSG Rz. 26 f.

von dem Bussche

|

257

§ 4g BDSG | Allgemeine und gemeinsame Bestimmungen V. Exkurs: Haftung des Datenschutzbeauftragen 43 Vorangestellt werden muss, dass letztlich die verarbeitende Stelle die Entschei-

dungsgewalt über die Vornahme oder aber die Nichtvornahme datenschutzrelevanter Vorhaben innehat und somit auch einer eventuellen Haftung primär ausgesetzt ist1. Nichtsdestotrotz ist die Rolle des Datenschutzbeauftragten diesbezüglich ebenfalls zu berücksichtigen2. Es können sowohl der verantwortlichen Stelle als auch den Betroffenen durch eine Nicht- oder Schlechterfüllung der dem Datenschutzbeauftragten obliegenden Verpflichtungen Schäden entstehen. Solche Schäden können sich aus unterlassenen oder falsch evaluierten Kontrollen, fehlerhaften Schulungen und Beratungen, Verstößen gegen die Verschwiegenheitspflicht usw. ergeben. Das BDSG enthält keine Anspruchsgrundlagen gegenüber dem Datenschutzbeauftragten im Falle einer Pflichtverletzung. Demnach richtet sich seine Haftung nach den schuldrechtlichen Grundsätzen. 1. Ansprüche der Betroffenen

44 Zwischen Datenschutzbeauftragtem und Betroffenen besteht keine vertragliche

Bindung; ein Vertrag zugunsten Dritter ist mangels primärem Leistungsanspruchs des Betroffenen ebenfalls nicht gegeben3. Die Einbeziehung der Betroffenen in den Vertrag zwischen Beauftragten und verantwortlicher Stelle über die Rechtsfigur des Vertrags mit Schutzwirkung zugunsten Dritter wird auch allgemein mangels Leistungsnähe und Einbeziehungsinteresse abgelehnt4. Wobei eine differenziertere Betrachtung nach Mitarbeitern des Beauftragten und sonstigen externen Vertragspartnern der verantwortlichen Stelle sowie anderen Dritten im Einzelfall angebracht sein könnte.

45 Deliktisch können sich Ansprüche aus § 823 Abs. 1 und 2 BGB ergeben. Das

Recht auf informationelle Selbstbestimmung als Ausprägung des allgemeinen Persönlichkeitsrechts nach Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG ist als „sonstiges Recht“ i.S.d. § 823 Abs. 1 BGB allgemein anerkannt5. Als Verletzungshandlungen kommen jegliche Verarbeitungsvorgänge in Betracht, die weder durch eine gesetzliche Vorschrift zugelassen noch von einer wirksamen Einwilligung des Betroffenen gedeckt sind (vgl. § 4 Abs. 1)6. Im Rahmen von Ansprüchen gemäß § 823 Abs. 2 BGB kommen als relevante Schutzgesetze §§ 4f und 4g in Be-

1 So auch Taeger/Gabel/Scheja, § 4g BDSG Rz. 42. 2 Simitis/Simitis, § 4g BDSG Rz. 97; s. ausführlich hierzu v. d. Bussche/Voigt/v. d. Bussche/ Voigt, Teil 2 Kapitel 1 Rz. 72 ff. 3 Gola/Schomerus, § 4g BDSG Rz. 32; Taeger/Gabel/Scheja, § 4g BDSG Rz. 43; Simitis/Simitis, § 4g BDSG Rz. 103. 4 Taeger/Gabel/Scheja, § 4g BDSG Rz. 43; Gola/Schomerus, § 4g BDSG Rz. 32; Simitis/Simitis, § 4g BDSG Rz. 103. 5 Palandt/Sprau, § 823 BGB Rz. 19; Bergmann/Möhrle/Herb, § 4g BDSG Rz. 65. 6 Taeger/Gabel/Scheja, § 4g BDSG Rz. 43.

258

|

von dem Bussche

Aufgaben des Beauftragten für den Datenschutz | § 4g BDSG

tracht. Da sie zumindest auch den Schutz des Rechts auf informationelle Selbstbestimmung intendieren, weisen sie die nötige Drittbezogenheit auf: mithin handelt es sich bei §§ 4f, 4g um Schutzgesetze1 i.S.d. § 823 Abs. 2 BGB2. Unbeschadet der Anspruchsvariante ist die Ursächlichkeit des Verhaltens des 46 Datenschutzbeauftragten von maßgeblicher Bedeutung. Die eingetretene Verletzung muss ihm demnach unmittelbar zuzurechnen sein3. Wie bereits erwähnt ist dabei vor allem zu beachten, dass letztendlich der verarbeitenden Stelle die Entscheidungshoheit obliegt, welche datenschutzrechtlich-relevanten Verarbeitungen vorgenommen und welche datenschutzsichernden Maßnahmen umgesetzt werden (s. Rz. 7 ff.). Demnach muss die eingetretene Verletzung auf eine mangelhafte Erfüllung der dem Datenschutzbeauftragten explizit obliegenden Pflichten zurückzuführen sein4. Exemplarisch seien hier der Verstoß gegen seine Verschwiegenheitspflicht oder die fehlerhafte rechtliche Evaluierung eines geplanten Datenverarbeitungsvorgangs genannt. Bei einer komplexen Rechtsmaterie wie dem Datenschutzrecht, welches selbst für Experten bisweilen schwer verständlich ist, sollte dabei kein zu strenger Maßstab angesetzt werden. Eine Haftung scheidet wiederum aus, wenn die verantwortliche Stelle eine Datenverarbeitung vornimmt obwohl er seine Bedenken im Vorfeld geäußert hat5. Die Beweislast trägt dabei der Betroffene. Die in § 7 Abs. 1 Satz 2 vorgesehene Beweislastumkehr im Rahmen von Ansprüchen gegen die verantwortliche Stelle findet in vorliegenden Fällen keine Anwendung6. Im Rahmen des Verschuldens sind für interne Datenschutzbeauftragte erneut 47 die Grundsätze des innerbetrieblichen Schadensausgleichs zu beachten7. Demnach haftet der Beauftragte nur für Vorsatz und grobe Fahrlässigkeit. Sofern ihm nur leichte Fahrlässigkeit vorzuwerfen ist, steht ihm ein Freistellungsanspruch gegenüber seinem Arbeitgeber zu8. Sofern die jeweilige Rechtsverletzung ebenfalls der verantwortlichen Stelle vorzuwerfen ist, haften sie und der Datenschutzbeauftragte gesamtschuldnerisch nach § 421 BGB (s.a. Rz. 52). Die Haftung im Innenverhältnis richtet sich dann nach der Verschuldensquote, vgl. § 426 BGB. 1 Ausführlich dazu Palandt/Sprau, § 823 BGB Rz. 56 f. 2 So auch Simitis/Simitis, § 4g BDSG Rz. 106; Taeger/Gabel/Scheja, § 4g BDSG Rz. 43; Bergmann/Möhrle/Herb, § 4g BDSG Rz. 65; Schutzgesetzcharakter für § 4f verneinend: Gola/Schomerus, § 4g BDSG Rz. 32. 3 Taeger/Gabel/Scheja, § 4g BDSG Rz. 44; Simitis/Simitis, § 4g BDSG Rz. 105; Gola/Schomerus, § 4g BDSG Rz. 33. 4 So auch Simitis/Simitis, § 4g BDSG Rz. 105; Gola/Schomerus, § 4g BDSG Rz. 33. 5 Taeger/Gabel/Scheja, § 4g BDSG Rz. 44; vgl. auch Simitis/Simitis, § 4g BDSG Rz. 104. 6 Simitis/Simitis, § 4g BDSG Rz. 110; Däubler/Klebe/Wedde/Weichert/Däubler, § 7 BDSG Rz. 16. 7 So auch Bongers/Krupna, ZD 2013, 594 (595). 8 Gola/Schomerus, § 4g BDSG Rz. 34a; Simitis/Simitis, § 4g BDSG Rz. 112.

von dem Bussche

|

259

§ 4g BDSG | Allgemeine und gemeinsame Bestimmungen 48 Das Aufgabenfeld des Datenschutzbeauftragten im öffentlichen Dienst ist

identisch mit dem des betrieblichen Beauftragten. Daher handelt es sich um keine hoheitliche Tätigkeit1. Insofern muss die Position als behördlicher Beauftragter von dem ihm zugrundeliegenden sonstigen Beamten- oder Angestelltenverhältnis differenziert werden2. Die Haftung bei Verletzungshandlungen bei der Ausübung des Datenschutzmandats richtet sich folglich nur nach § 823 BGB3. Der Amtshaftungsanspruch nach § 839 BGB sowie die sich daraus ergebende Haftungsüberleitung auf den Staat gemäß Art. 34 GG findet keine Anwendung4. 2. Ansprüche der verantwortlichen Stelle

49 Bei Schäden, die der verantwortlichen Stelle entstehen, kommt in erster Linie

eine vertragliche Haftung in Betracht. Anspruchsgrundlage ist sowohl bei internen als auch externen Beauftragten regelmäßig § 280 BGB.

50 Demnach bedarf es auf Tatbestandsseite eines Schuldverhältnisses und einer

Pflichtverletzung, die der Beauftragte auch zu vertreten haben muss5. Das Schuldverhältnis ist bei internen Datenschutzbeauftragten der Arbeitsvertrag, bei externen regelmäßig ein Geschäftsbesorgungsvertrag6. Als Pflichtverletzung kommt eine Schlecht- oder Nichterfüllung einer Obliegenheit des Datenschutzbeauftragten in Betracht7. Im Rahmen des Vertretenmüssens ist zwischen internen und externen Beauftragten zu differenzieren. Erstere kommen in den Genuss der Haftungsprivilegierung nach den Grundsätzen des innerbetrieblichen Schadensausgleichs8. Demnach haften sie dem Arbeitgeber gegenüber nur für Vorsatz und große Fahrlässigkeit. Externe Datenschutzbeauftragte müssen eine solche Haftungserleichterung individualvertraglich aushandeln.

51 Auf Rechtsfolgenseite muss die Pflichtverletzung kausal für den eingetretenen

Schaden gewesen sein9. Ungeachtet dessen, ob eine Pflichtverletzung seitens des Datenschutzbeauftragten vorliegt oder nicht, scheidet demnach eine Haftung aus, wenn die verantwortliche Stelle die vom Datenschutzbeauftragten unterbreiteten Vorschläge und geforderten Maßnahmen nicht oder nur unzureichend umsetzt und ihr so ein Schaden entsteht10. Hinzukommend kann der Anspruch 1 Gola/Schomerus, § 4g BDSG Rz. 34. 2 So auch Taeger/Gabel/Scheja, § 4g BDSG Rz. 47; Simitis/Simitis, § 4g BDSG Rz. 108/109. 3 So auch Taeger/Gabel/Scheja, § 4g BDSG Rz. 47; Simitis/Simitis, § 4g BDSG Rz. 108/ 109; Anspruch nach § 839 BGB bejahend aber Haftungsüberleitung i.S.d. Art. 34 GG verneinend: Gola/Schomerus, § 4g BDSG Rz. 34. 4 So auch Simitis/Simitis, § 4g BDSG Rz. 108/109. 5 Taeger/Gabel/Scheja, § 4g BDSG Rz. 41; Gola/Schomerus, § 4g BDSG Rz. 35. 6 Vgl. Simitis/Simitis, § 4g BDSG Rz. 98. 7 Simitis/Simitis, § 4g BDSG Rz. 98; Bergmann/Möhrle/Herb, § 4g BDSG Rz. 67. 8 So auch Taeger/Gabel/Scheja, § 4g BDSG Rz. 42; Gola/Schomerus, § 4g BDSG Rz. 35. 9 Leupold/Glossner/Scheja/Haag, Teil 4 Datenschutzrecht Rz. 316. 10 Taeger/Gabel/Scheja, § 4g BDSG Rz. 41.

260

|

von dem Bussche

Aufgaben des Beauftragten für den Datenschutz | § 4g BDSG

aufgrund Mitverschuldens nach § 254 BGB gemindert sein oder gänzlich ausscheiden, bspw. im Fall einer unzureichenden Unterstützung des Beauftragten i.S.d. § 4f Abs. 51. Die verantwortliche Stelle und der Datenschutzbeauftragte haften gesamt- 52 schuldnerisch nach § 421 BGB gegenüber den Betroffenen (s. Rz. 47). Demnach kann die in Anspruch genommene verantwortliche Stelle den Datenschutzbeauftragten, je nach Verschuldensquote im Innenverhältnis, in Regress nehmen2. Der Datenschutzbeauftragte im öffentlichen Dienst haftet nach § 48 BeamtStG 53 (früher § 46 Abs. 1 BRRG) und § 75 Abs. 1 BBG (früher § 78 Abs. 1 BBG) ebenso wie der interne betriebliche Beauftragte lediglich für Vorsatz und grobe Fahrlässigkeit.

VI. Exkurs: Strafrechtliche Verantwortlichkeit des Datenschutzbeauftragten In strafrechtlicher Hinsicht kann der Datenschutzbeauftragte bei aktiver Ver- 54 wirklichung bzw. Mitverwirklichung wie jeder andere als Täter bzw. Mittäter einer datenschutzrechtlich relevanten Straftat (etwa § 44 BDSG,§ 202a StGB und § 203 StGB3) selbstverständlich in Betracht kommen4. Eine mittelbare Täterschaft durch positives Tun dürfte jedoch zu verneinen sein5. Deutlich praxisrelevanter ist aber die Frage, inwiefern für ihn eine Teilnehmer- 55 strafbarkeit wegen Beihilfe durch Unterlassen an einer datenschutzrechtlich relevanten und vorsätzlich begangenen Haupttat eines anderen begründet werden kann. Dies wäre der Fall, wenn er trotz Kenntnis ein solches Delikt fördern würde, indem er die notwendigen und ihm möglichen Gegenmaßnahmen nicht ergreift, um die Verwirklichung der Tat zu verhindern6. Kernfrage dieses Problems ist, inwiefern allein aus den gesetzlich normierten 56 Pflichten des Datenschutzbeauftragten der §§ 4d, f und g eine Garantenstellung i.S.d. § 13 StGB erwachsen kann; also er dafür einzustehen hat, dass ein strafrechtlich missbilligter Erfolg ausbleibt7. Im Falle des Compliance-Beauftragten 1 So auch Simitis/Simitis, § 4g BDSG Rz. 100; Bergmann/Möhrle/Herb, § 4g BDSG Rz. 67; Taeger/Gabel/Scheja, § 4g BDSG Rz. 41. 2 Bergmann/Möhrle/Herb, § 4g BDSG Rz. 67; Simitis/Simitis, § 4g BDSG Rz. 98. 3 S. hierzu Bongers/Krupna, ZD 2013, 594 (598). 4 Barton, RDV 2010, 247 (250); Marschall, ZD 2014, 66 (67). 5 Im Ergebnis so auch Marschall, ZD 2014, 66 (67 f.). 6 Wybitul, Handbuch – Datenschutz im Unternehmen, Rz. 495; Barton, RDV 2010, 247 (250). 7 Barton, RDV 2010, 247 (252); Marschall, ZD 2014, 66 (67 f.).

von dem Bussche

|

261

§ 4g BDSG | Allgemeine und gemeinsame Bestimmungen eines Unternehmens hat der BGH1 dies bejaht. So obliegt dem Compliance-Beauftragten die Pflicht, Straftaten, die aus dem Unternehmen heraus durch Unternehmensangehörige begangen werden, zu verhindern2. Die Garantenstellung sei die notwendige Kehrseite ihrer gegenüber der Unternehmensleitung übernommenen Pflicht, Rechtsverstöße und insbesondere Straftaten zu unterbinden, wobei vielmehr die tatsächliche Übernahme des Pflichtenkreises als der eigentliche Vertragsschluss entscheidend ist3. Darüber hinaus stellte das Gericht obiter dictum klar, dass dies auch gelte, wenn der Beschuldigte eine sonstige gesetzlich geregelte Funktion als Betriebsbeauftragter übernimmt (genannt werden Gewässer-, Immissions-, Strahlenschutz)4. 57 Ob sich dies vollumfänglich verallgemeinern lässt und somit auch den Daten-

schutzbeauftragten betrifft ist bisher unklar und noch nicht gerichtlich entschieden. Teilweise wird die Garantenstellung für Betriebsbeauftragte ohnehin generell verneint, da ihnen keine Anweisungs- oder Entscheidungsbefugnisse zustehen, sondern sie lediglich Beratungs- und Kontrolltätigkeiten übernehmen5. Vereinzelt wird eine Garantenstellung für Datenschutzbeauftragte allerdings angenommen6. Demnach resultiere die Annahme des Mandats als Datenschutzbeauftragter in einer Einstandspflicht für die Integrität des von ihm zu überwachenden Datenschutzressorts innerhalb des Unternehmens7. Fraglich ist, ob eine solch pauschalisierte Bejahung der Teilnehmerstrafbarkeit die starke Varietät des Mandats des Datenschutzbeauftragten hinreichend berücksichtigt. Demnach lässt sich ein fest abgestecktes Tätigkeitsfeld nahezu unmöglich abstrahieren; die gesetzlichen Normierungen sind dabei bewusst nicht abschließend formuliert (s. hierzu Rz. 6). Es kommt stets auf die Anforderungen an, welche die jeweilige verantwortliche Stelle bei der der Datenschutzbeauftragte tätig ist, mit sich bringt (s. Komm. zu § 4f BDSG Rz. 27 ff.). Zusätzlich können dem Beauftragten abseits der gesetzlichen Konkretisierungen weitere Tätigkeiten schuldrechtlich oktroyiert werden. Der sich letztlich ergebende tatsächliche Pflichtenkreis des Beauftragten in seiner beruflichen Praxis ist somit nicht hinreichend an den allgemein gehaltenen gesetzlichen Bestimmungen des §§ 4d–g abzulesen. Dies spricht daher eher gegen eine generelle Bejahung einer Garantenstellung, sondern vielmehr für die Notwendigkeit einer genauen Untersuchung der Pflichten und Möglichkeiten des Amtsträgers im Einzelfall8.

1 2 3 4 5 6 7

BGH, NJW 2009, 3173 ff. BGH, NJW 2009, 3173, Rz. 25. BGH, NJW 2009, 3173, Rz. 27. BGH, NJW 2009, 3173, Rz. 24; so auch OLG Frankfurt, NJW 1987, 2753 (2757). Barton, RDV 2010, 247, 252 m.w.N. Barton, RDV 2010, 247, 252; Wybitul, Handbuch – Datenschutz im Unternehmen, Rz. 496. Henssler/Willemsen/Kalb/Lembke, § 4g BDSG Rz. 26; vgl. auch BGH, NJW 2009, 3173, Rz. 24. 8 Im Ergebnis wohl auch Gola/Schomerus, § 4g BDSG Rz. 36; Marschall, ZD 2014, 66 (67 ff.).

262

|

von dem Bussche

Aufgaben des Beauftragten für den Datenschutz | § 4g BDSG

Ungeachtet einer etwaigen Garantenstellung müsste das Unterlassen des Daten- 58 schutzbeauftragten für den späteren Taterfolg ursächlich geworden sein; mithin wenn bei Vornahme der pflichtgemäßen Handlung der tatbestandliche Erfolg mit an Sicherheit grenzender Wahrscheinlichkeit ausgeblieben wäre1. Darüber hinaus müsste er auf subjektiver Seite vorsätzlich in Bezug auf die Verwirklichung der Haupttat des anderen sowie seinem Hilfeleisten durch Unterlassen und im Bewusstsein seiner (etwaigen) Garantenstellung gehandelt haben2. Auch sind grundsätzlich keine möglichen Rechtfertigungs- und Schuldausschließungsgründe ersichtlich. Da das rechtswidrige Unterlassen die Rechtswidrigkeit indiziert, sind grundsätzlich keine durchgreifenden Rechtfertigungsgründe ersichtlich; insbesondere keine rechtfertigende Pflichtenkollision, da die gesetzlichen Pflichten des DSB im Gegensatz zur Loyalitäts- und Treuepflicht zum Unternehmen als höherrangig einzustufen sind. Dies wird insbesondere in den Fällen deutlich, in denen sich der DSB vor der Entscheidung sieht, bei (drohenden) Rechtsverletzungen durch das Unternehmen entweder die Aufsichtsbehörde anzurufen und damit dem Unternehmen mittelbar zu „schaden“ oder sich gegen die Anrufung der Aufsichtsbehörde zu entscheiden, um reputative Schäden vom Unternehmen abzuwenden. Auf Grund des starken Abberufungs- und Kündigungsschutzes (s. Komm. zu § 4f BDSG Rz. 56 ff.) wird es dem DSB regelmäßig auch verwehrt bleiben, sich auf die Unzumutbarkeit seines Einschreitens/Handelns im Rahmen der Schuldfrage zu berufen, da das Gesetz seine privaten und vor allem wirtschaftlichen Interessen an der Erhaltung seines Arbeitsplatzes angemessen schützt. Der innere Konflikt des DSB wird besonders an der Stelle deutlich, an der es um eine ggf. erforderliche Anrufungspflicht bei der Aufsichtsbehörde seinerseits geht. Zwar ist in diesem Rahmen grundsätzlich eine Interessenabwägung zwischen den billigenswerten Interessen des DSB und den Betroffenen zu vollziehen, jedoch wird in den meisten Fällen, je nach Schwere und Intensität der drohenden Rechtsgutsverletzung, und nicht zuletzt auch aufgrund seiner hervorgehobenen Stellung, eine Interessenabwägung zu Gunsten der Betroffenen ausgehen3. Die Voraussetzungen für eine Strafbarkeit sowie deren Nachweisbarkeit sind dennoch – wie zuvor dargestellt – zu Recht erkennbar hoch.

1 BGH, NJW 2000, 2753 (2757); Schönke/Schröder/Stree/Bosch, § 13 StGB Rz. 61. 2 Barton, RDV 2010, 247 (253); Marschall, ZD 2014, 66 (69). 3 Marschall, ZD 2014, 66 (70); s. insbesondere auch Marschall, ZD 2014, 66 (70 f.) für konkrete Handlungsempfehlungen.

von dem Bussche

|

263

§ 5 BDSG | Allgemeine und gemeinsame Bestimmungen

§5 Datengeheimnis 1Den

bei der Datenverarbeitung beschäftigten Personen ist untersagt, personenbezogene Daten unbefugt zu erheben, zu verarbeiten oder zu nutzen (Datengeheimnis). 2Diese Personen sind, soweit sie bei nicht-öffentlichen Stellen beschäftigt werden, bei der Aufnahme ihrer Tätigkeit auf das Datengeheimnis zu verpflichten. 3Das Datengeheimnis besteht auch nach Beendigung ihrer Tätigkeit fort. I. Einführung . . . . . . . . . . . . . . . 1 II. Datengeheimnis (Satz 1) 1. Inhalt der Pflicht zur Wahrung des Datengeheimnisses . . . . . . . 4 2. Verpflichteter Personenkreis . . . 7 III. Verpflichtung auf die Wahrung des Datengeheimnisses (Satz 2) 1. Rechtsnatur und Zweck der „Verpflichtung“ . . . . . . . . . . . . 11 2. Form, Inhalt und Durchführung der Belehrung . . . . . . . . . . . . . 14

3. IV. V. 1.

Belehrungsadressat . . . . . . . . Fortbestand (Satz 3) . . . . . . Rechtsfolgen/Sanktionen Rechtsfolgen bei unterlassener Belehrung . . . . . . . . . . . . . . 2. Rechtsfolgen bei erfolgter Belehrung . . . . . . . . . . . . . . 3. Sanktionen bei Verweigerung der Kenntnisnahme . . . . . . . VI. Verweise/Kontext . . . . . . . .

. . 19 . . 24

. . 25 . . 27 . . 33 . . 35

Schrifttum: Behm, Verletzung des Dienstgeheimnisses – Anmerkung zum LG Ulm, Beschluss vom 17.12.1999, NStZ 2001, 153; Biewald, Externe Dienstleister im Krankenhaus und ärztliche Schweigepflicht – eine rechtliche Unsicherheit, DuD 2011, 867; Bohnert, Der beschuldigte Amtsträger zwischen Aussagefreiheit und Verschwiegenheitspflicht, NStZ 2004, 301; Cebulla, Daten- und Geheimnisschutz beim Hybridbrief, DuD 2010, 308; Conrad/Schneider, Einsatz von „privater IT“ im Unternehmen – Kein privater USB-Stick, aber „Bring your own device“ (BYOD)?, ZD 2011, 153; Dieckmann, Die Verpflichtung externer Personen – insbesondere externe Prüfer – zur Einhaltung datenschutzrechtlicher Vorschriften, RDV 2004, 256; Ehmann, Wie geht man mit „Verweigerern“ um? Die Verpflichtung auf das Datengeheimnis, DatenschutzPraxis 3/2011, 4; Fernandez/Heinemann, Datenschutz beim Einsatz von Leiharbeitnehmern, DuD 2011, 711; Giesen, Zum Begriff des Offenbarens nach § 203 StGB im Falle der Einschaltung privatärztlicher Verrechnungsstellen, NStZ 2012, 122; Gliss, Verpflichtung von Mitarbeitern auf das Datengeheimnis, DSB 2001, Nr. 9, 11; Gola/Wronka, Arbeitnehmerdatenverarbeitung beim Betriebs-/Pesonalrat und Datenschutz, NZA 1991, 790; Hoeren, Das neue BDSG und die Auftragsdatenverarbeitung, DuD 2010, 688; Hold, Arbeitnehmer-Datenschutz – Ein Überblick, RDV 2006, 249; Jandt/Roßnagel/Wilke, Outsourcing der Verarbeitung von Patientendaten – Fragen des Daten- und Geheimnisschutzes, NZS 2011, 641; Kaiser, Zulässigkeit des Ankaufs deliktisch erlangter Steuerdaten, NStZ 2011, 383; Kleinert, Datenschutzaspekte bei der Abrechnung von Patientendaten, DuD 2010, 240; Linnenkohl, Datenschutz und Tätigkeit des Betriebsrats – Verarbeitung personenbezogener Arbeitnehmerdaten durch den Betriebsrat, NJW 1981, 202; Müthlein, Datenschutz-Organisation – Verpflichtung der Mitarbeiter, IT-Sicherheit 1/2003, 41; Müthlein/Heck, Einstieg in die Datenschutzorganisation, RDV 1994, 121; v. Reumont, Dichthalten! Die optimale Verpflichtung auf das Da-

264

|

Schreiber

Datengeheimnis | § 5 BDSG tengeheimnis, DatenschutzPraxis 6/2009, 3; Runge, Datengeheimnis und Mitarbeiterschulung, DuD 1993, 321; Schierbaum, Rechte der Beschäftigten im novellierten BDSG, Computer-Fachwissen 4/2002, 20; Schmittmann, Steuerrechtliche Mitwirkungspflichten im Spannungsfeld zum Datenschutz – Plädoyer für eine transparente Ermächtigungsgrundlage, ZD 2012, 16; Sensburg, Datenschutz im Bürgeramt, DuD 1998, 650; Weichert, Datenschutzstrafrecht – ein zahnloser Tiger?, NStZ 1999, 490; Wybitul, „Whistleblowing“ – datenschutzkonformer Einsatz von Hinweisgebersystemen? – Für und Wider zum rechtskonformen Betrieb, ZD 2011, 118; Zilkens/Kohlhause: Das Datenschutzgesetz NRW – zukunftsfest oder novellierungsbedürftig? – Zum Änderungsbedarf zwölf Jahre nach der letzten Reform, ZD 2012, 119.

I. Einführung Die Regelung des § 5 Satz 1 statuiert eine Pflicht zur Wahrung des sog. „Daten- 1 geheimnisses“. Die Vorschrift nimmt insoweit eine Sonderstellung im Rahmen des BDSG ein, als sie sich direkt an einzelne natürliche Personen richtet1. Sie setzt damit das für die verantwortlichen Stellen geltende Verbot mit Erlaubnisvorbehalt des § 4 Abs. 1 auf der Ebene der mit der Datenverarbeitung beschäftigten Personen fort2. Die Regelung des § 5 Satz 2 richtet sich hingegen an die verantwortlichen Stel- 2 len, konkret an „nicht-öffentliche Stellen“, und verpflichtet diese dazu, ihre Beschäftigten auf die Wahrung des Datengeheimnisses nach § 5 Satz 1 zu „verpflichten“. Die Regelung schränkt damit die Privatautonomie der Parteien im Grundverhältnis zwischen der verantwortlichen Stelle und den bei ihr beschäftigten Personen ein. § 5 Satz 1 untersteht nicht der Disposition der Parteien und ist nicht abdingbar3. In § 5 Satz 3 ist schließlich festgelegt, dass das Datengeheimnis auch nach Been- 3 digung des Beschäftigungsverhältnisses von den mit der Tätigkeit Betrauten weiter zu wahren ist. Eine eigenständige Regelung wie in § 5 ist in der DSGVO nicht enthalten. Damit dürfte es zukünftig nationalen Gesetzgebern verwehrt sein, § 5 entsprechende Regelungen vorzusehen4. Das bedeutet aber nicht, dass jegliche Verpflichtung unterbleiben kann. Zunächst sieht Art. 28 Abs. 3 Buchst. b DSGVO ausdrücklich vor, dass ein Auftragsverarbeiter dafür Sorge zu tragen hat, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben. Zudem dürfte es aus Gründen der internen Organisationsverantwortung (s. hierzu Rz. 25 f.) auch weiterhin ratsam sein, die Beschäf1 2 3 4

Simitis/Ehmann, § 5 BDSG Rz. 5. Taeger/Gabel/Kinast, § 5 BDSG Rz. 1. Bergmann/Möhrle/Herb, § 5 BDSG Rz. 5/7; Simitis/Ehmann, § 5 BDSG Rz. 6. Vgl. hierzu Simitis/Ehmann, § 5 BDSG Rz. 39.

Schreiber

|

265

§ 5 BDSG | Allgemeine und gemeinsame Bestimmungen tigten über die Grenzen der Erhebung, Verarbeitung und Nutzung personenbezogener Daten hinreichend aufzuklären.

II. Datengeheimnis (Satz 1) 1. Inhalt der Pflicht zur Wahrung des Datengeheimnisses 4 Das in Satz 1 postulierte Datengeheimnis untersagt den mit der Datenverarbei-

tung beschäftigten Personen jeden unbefugten Umgang mit personenbezogenen Daten (zum Begriff des „personenbezogenen Datums“ s. Komm. zu § 3 BDSG Rz. 4 ff.). Unbefugt handelt ein Beschäftigter immer dann, wenn die Datenverarbeitung an sich rechtswidrig, also nicht durch eine Norm erlaubt ist und der Betroffene nicht eingewilligt hat1. Ein Verstoß gegen Datenschutzrecht durch die verantwortliche Stelle begründet damit stets gleichzeitig auch einen Verstoß gegen das Datengeheimnis durch die handelnde Person2.

5 Eine Datenverarbeitung ist auch dann unbefugt, wenn der Beschäftigte zu dem

betreffenden Verhalten intern nicht berechtigt war, also insbesondere eine nicht von seinem Aufgabenbereich gedeckte Verwendung personenbezogener Daten vornimmt3. Das ist z.B. der Fall, wenn der Beschäftigte Einsicht in Datenbestände nimmt, deren inhaltliche Kenntnisnahme zur Erfüllung seiner Aufgaben nicht erforderlich ist4. Eine solche Verwendung ist selbst dann unbefugt, wenn die verantwortliche Stelle zur Datenverarbeitung an sich berechtigt gewesen wäre5. Dabei trifft den Dienstherrn die Verpflichtung, Personaldaten der jeweiligen Zweckbestimmung entsprechend organisatorisch abgeschottet zu verarbeiten6. Daraus folgt auch die Verpflichtung des Dienstherren, den Kreis der mit der Verarbeitung von Personaldaten beschäftigten Personen möglichst gering zu halten7.

6 Die Reichweite der internen Befugnis ist stets am Einzelfall zu ermitteln und

kann sich bspw. aus einer Weisung, der internen Zuständigkeitsverteilung oder durch wiederholtes „Geschehen lassen“ bzw. Ermöglichen der Kenntnisnahme durch den Vorgesetzten ergeben8. Nur wenn der Beschäftigte seinen Arbeitsbereich eigenverantwortlich zu organisieren hat, ist er ggf. verpflichtet, sich bei seinem Vorgesetzten oder dem Datenschutzbeauftragten über die Rechtmäßig-

1 2 3 4 5

Schaffland/Wiltfang, § 5 BDSG Rz. 11. Simitis/Ehmann, § 5 BDSG Rz. 20 ff. Vgl. Taeger/Gabel/Kinast, § 5 BDSG Rz. 20. Taeger/Gabel/Kinast, § 5 BDSG Rz. 20. Simitis/Ehmann, § 5 BDSG Rz. 21 f.; vgl. LAG Hamm v. 16.9.2011 – 10 TaBV 17/11, ZD 2012, 183. 6 Vgl. Gola/Schomerus, § 5 BDSG Rz. 6. 7 Vgl. Gola/Schomerus, § 5 BDSG Rz. 6; Schaffland/Wiltfang, § 5 BDSG Rz. 2; s. hierzu auch Sensburg, DuD 1998, 650 (651), zur Datenvermeidung im Bürgeramt. 8 Taeger/Gabel/Kinast, § 5 BDSG Rz. 20.

266

|

Schreiber

Datengeheimnis | § 5 BDSG

keit vorab zu informieren1. Dasselbe gilt, wenn die Rechtswidrigkeit der Datenverarbeitung bspw. wegen eines entsprechenden Hinweises oder der strafrechtlichen Relevanz offensichtlich ist2. Unterlässt er es dann gleichwohl, sich beim Dienstherrn oder anderweitig zu erkundigen, kann das ggf. das Verschulden des Beschäftigten und daraus Schadensersatzansprüche seines Arbeitgebers gegen den Beschäftigten sowie arbeitsrechtliche Konsequenzen nach sich ziehen3. 2. Verpflichteter Personenkreis Der persönliche Anwendungsbereich des § 5 ist seinem Schutzzweck entspre- 7 chend weit auszulegen4. Zum betroffenen Personenkreis gehören alle bei der verantwortlichen Stelle beschäftigten Personen, die tatsächlich personenbezogene Daten erheben, verarbeiten oder nutzen. Auch wenn sich die Regelung des Satz 1 entsprechend ihres missverständlichen Wortlauts nur an die mit der „Datenverarbeitung“ beschäftigten Personen richtet, so gilt sie doch für sämtliche Formen des Umgangs mit personenbezogenen Daten, also nicht allein für den Fall der „Verarbeitung“ solcher Daten. Umfasst sind zudem – über den Wortlaut des Satz 1 hinaus – auch diejenigen 8 bei der verantwortlichen Stelle beschäftigten Personen, die jedenfalls die Möglichkeit zu einer Verwendung personenbezogener Daten haben5. Ob die Beschäftigten zum Zugriff auf die Daten befugt sind und gewollt oder ungewollt mit den Daten in Berührung kommen, ist unerheblich6. Die „beschäftigten Personen“ sind zunächst alle in einem abhängigen Arbeits- 9 verhältnis zur verantwortlichen Stelle stehenden Personen, worunter auch in Heimarbeit Beschäftigte fallen7. Erfasst sind alle Arten von Arbeitnehmern. Überdies greift § 5 auch bei sonstigen Beschäftigten, wie arbeitnehmerähnlichen Personen, Teilzeitbeschäftigten, Leiharbeitern, Werkstudenten, Aushilfen, Lehrlingen, freien Mitarbeitern und Praktikanten8. Damit sind vor allem die „Beschäftigten“ i.S.v. § 3 Abs. 11 (s. Komm. zu § 3 BDSG Rz. 82 ff.) angesprochen, wenngleich es in § 5 Satz 1 nicht auf eine „Arbeitnehmer- oder arbeitnehmerähnliche Stellung“, sondern allein darauf ankommt, ob den jeweiligen Personen ein Zugang zu personenbezogenen Daten möglich ist. Demgegenüber sind Han1 2 3 4 5

Taeger/Gabel/Kinast, § 5 BDSG Rz. 20. Gola/Schomerus, § 5 BDSG Rz. 5; Taeger/Gabel/Kinast, § 5 BDSG Rz. 20. Taeger/Gabel/Kinast, § 5 BDSG Rz. 20. Taeger/Gabel/Kinast, § 5 BDSG Rz. 9/11; vgl. Gola/Schomerus, § 5 BDSG Rz. 9. Taeger/Gabel/Kinast, § 5 BDSG Rz. 9; vgl. Conrad/Schneider, ZD 2011, 153 (156), wonach auch Reinigungspersonal betroffen sein kann. 6 Taeger/Gabel/Kinast, § 5 BDSG Rz. 9/11. 7 Taeger/Gabel/Kinast, § 5 BDSG Rz. 11. 8 Vgl. Taeger/Gabel/Kinast, § 5 BDSG Rz. 12; Gola/Schomerus, § 5 BDSG Rz. 8; Schaffland/Wiltfang, § 5 BDSG Rz. 6; Fernandez/Heinemann, DuD 2011, 711 (712).

Schreiber

|

267

§ 5 BDSG | Allgemeine und gemeinsame Bestimmungen delsvertreter selbst verantwortliche Stelle, so dass auf diese § 5 nicht anwendbar ist1. Gleichgültig ist, auf welcher Rechtsgrundlage das Beschäftigungsverhältnis geschlossen worden ist, oder ob es sich um ein wirksames oder unwirksames Beschäftigungsverhältnis handelt2. 10 Ob Organe einer Kapitalgesellschaft, Inhaber von Unternehmen oder Ge-

schäftsführer einer GmbH in den Anwendungsgereich fallen, ist strittig. Eine Ansicht verneint dies unter Berufung auf die fehlende Beschäftigteneigenschaft3. Nach wohl richtiger Ansicht ist in Anlehnung an den weit gefassten Wortlaut von § 5 Satz 2 und 3 davon auszugehen, dass jede „Tätigkeit“ für die datenverarbeitende Stelle ausreichend ist, den Anwendungsbereich des § 5 zu eröffnen. Schließlich begründet allein die Tätigkeit die potenzielle Zugriffsmöglichkeit auf personenbezogene Daten4, wodurch die Betroffenen gegenüber diesen Personen ebenso schutzwürdig sind, wie im Falle eines Zugriffs auf die Daten durch sonstige Beschäftigte. Auch Mitglieder eines Betriebs- oder Personalrats unterliegen dem Datengeheimnis aus § 5 Satz 15.

III. Verpflichtung auf die Wahrung des Datengeheimnisses (Satz 2) 1. Rechtsnatur und Zweck der „Verpflichtung“ 11 Spricht § 5 Satz 2 wörtlich von einer „Verpflichtung“ des Betroffenen, handelt es

sich letztlich doch eher um eine Belehrung über die schon nach dem Gesetz bestehende Pflicht des Betroffenen6: Die Pflicht des Arbeitgebers gemäß Satz 2 erschöpft sich darin, dass er seine Beschäftigten ausdrücklich, also klar und unmissverständlich, auf das zu wahrende Datengeheimnis hinzuweisen hat7. Die entsprechende Erklärung des Arbeitgebers wirkt dabei rein deklaratorisch. § 5 Satz 1 ist nämlich stets anwendbar und zwar unabhängig davon, ob eine „Verpflichtung“ tatsächlich vorgenommen wurde oder mangelhaft war. Der Beschäftigte hat sich damit stets an das Datengeheimnis zu halten8. Zur Sicherung etwaiger vertragsrechtlicher Ansprüche mag eine schriftliche Belehrung vorzugswürdig sein9. Dabei sind dann aber stets die unten beschriebenen Besonderheiten zu Form, Inhalt und Durchführung zu beachten (s. Rz. 14 ff.). 1 2 3 4 5 6

Schaffland/Wiltfang, § 5 BDSG Rz. 8. Vgl. Simitis/Ehmann, § 5 BDSG Rz. 14; Taeger/Gabel/Kinast, § 5 BDSG Rz. 12. Simitis/Ehmann, § 5 BDSG Rz. 16; Schaffland/Wiltfang, § 5 BDSG Rz. 5/8. Taeger/Gabel/Kinast, § 5 BDSG Rz. 13. Gola/Schomerus, § 5 BDSG Rz. 15; Bergmann/Möhrle/Herb, § 5 BDSG Rz. 15. Taeger/Gabel/Kinast, § 5 BDSG Rz. 22; so nun auch Wolff/Brink/Schmidt, § 5 BDSG Rz. 10. 7 Schaffland/Wiltfang, § 5 BDSG Rz. 18; vgl. Ehmann, DatenschutzPraxis 3/2011, 4 (5); Wybitul, ZD 2011, 118, zum „Whistleblowing“. 8 Simitis/Ehmann, § 5 BDSG Rz. 26; Taeger/Gabel/Kinast, § 5 BDSG Rz. 22. 9 Simitis/Ehmann, § 5 BDSG Rz. 26.

268

|

Schreiber

Datengeheimnis | § 5 BDSG

Eine beidseitige Willenserklärung ist nicht erforderlich. Bei einer etwaigen 12 Kenntnisnahme des Hinweises auf die bestehende Belehrung durch den Beschäftigten, z.B. durch Entgegennahme eines entsprechenden Merkblatts, handelt es sich um einen bloßen Realakt, der lediglich eine Wissenserklärung – Bestätigung der Kenntnisnahme von der Belehrung auf das Datengeheimnis – darstellt1. Dadurch können auch Minderjährige (z.B. im Fall von Lehrlingen) auf das Datengeheimnis verpflichtet werden2. Durch die Belehrung wird der Beschäftigte gleichsam „bösgläubig“, was im Fall 13 eines unrechtmäßigen Umgangs mit Daten ein Verschulden und dadurch haftungs- und arbeitsrechtliche Konsequenzen begründen kann3. Der Beschäftigte kann sich dann jedenfalls nicht mehr auf einen Verbotsirrtum berufen4. 2. Form, Inhalt und Durchführung der Belehrung Die Belehrungen gegenüber den Beschäftigten können formlos, das heißt ggf. 14 auch mündlich erfolgen5. Aus Gründen der Beweisbarkeit ist es aber immer ratsam, Schriftform zu wählen6. Dabei ist es zweckmäßig, das jeweilige Dokument von dem Erklärungsempfänger gegenzeichnen zu lassen7. Verweigert der jeweilige Beschäftigte eine Unterschrift, kann die Beweissituation durch Unterzeichnung eines weiteren Mitarbeiters verbessert werden8. Diese „Verpflichtung“ ist auch bei Weigerung der Bestätigung der Kenntnisnahme stets wirksam9. Um Haftungsrisiken zu vermeiden, ist davon abzuraten, die Belehrung durch 15 Aushang am „Schwarzen Brett“10 oder unter Verwendung von E-Mails, die nicht nach dem SignG verschlüsselt sind, bekannt zu machen11. Eine bloße Wiedergabe des Wortlauts von § 5 reicht nicht aus12. Stattdessen ist 16 der Beschäftigte möglichst präzise über die folgenden drei Bereiche aufzuklären: 1 2 3 4 5 6

7 8 9 10 11 12

Simitis/Ehmann, § 5 BDSG Rz. 26; Taeger/Gabel/Kinast, § 5 BDSG Rz. 23. Simitis/Ehmann, § 5 BDSG Rz. 26. Taeger/Gabel/Kinast, § 5 BDSG Rz. 24. Schaffland/Wiltfang, § 5 BDSG Rz. 17; Taeger/Gabel/Kinast, § 5 BDSG Rz. 24; Müthlein, IT-Sicherheit 1/2003, 41. Gola/Schomerus, § 5 BDSG Rz. 11; Hold, RDV 2006, 249 (259). Schaffland/Wiltfang, § 5 BDSG Rz. 18; Simitis/Ehmann, § 5 BDSG Rz. 28; Taeger/ Gabel/Kinast, § 5 BDSG Rz. 25; Runge, DuD 1993, 321 (323); Müthlein/Heck, RDV 1994, 121 (126); s.a. Müthlein, IT-Sicherheit 1/2003, 41 (42); Gliss, DSB 2001, Nr. 9, 11, mit jeweils entsprechendem Muster. Gola/Schomerus, § 5 BDSG Rz. 11. Taeger/Gabel/Kinast, § 5 BDSG Rz. 25. Simitis/Ehmann, § 5 BDSG Rz. 29. Gola/Schomerus, § 5 BDSG Rz. 11. Taeger/Gabel/Kinast, § 5 BDSG Rz. 25. Gola/Schomerus, § 5 BDSG Rz. 12; Taeger/Gabel/Kinast, § 5 Rz. 25.

Schreiber

|

269

§ 5 BDSG | Allgemeine und gemeinsame Bestimmungen (1.) Die allgemeinen und speziell auf seinen Arbeitsplatz anwendbaren Bestimmungen zu Datengeheimnis sowie angrenzende Geheimhaltungspflichten1; (2.) Hinweise und Verhaltensempfehlungen zur praktischen Umsetzung des Datengeheimnisses; sowie (3.) Die drohenden (u.a. strafrechtlichen) Konsequenzen, sollte sich der Beschäftigte nicht an das Datengeheimnis halten2. Es empfiehlt sich daher, der Belehrung ein Merkblatt beizulegen, welches die vorgenannten Hinweise auf branchenübliche und positionsbezogene Verhaltensweisen sowie die jeweils wichtigsten Normen enthält und die Konsequenzen eines Verstoßes wie Schadensersatz oder sonstige Sanktionen aufzeigt3. 17 Die Belehrung kann durch unterschiedliche Funktionsträger, bspw. die Per-

sonalabteilung, erfolgen4. Sie muss also nicht zwingend vom betrieblichen Datenschutzbeauftragen durchgeführt werden. Es gehört nämlich nicht zu seinen gemäß § 4g originären Pflichten, die Belehrung vorzunehmen. Aufgrund seiner Sachnähe bietet es sich aber an, ihm diese Funktion zu übertragen5.

18 Die Mitarbeiter sind nur einmal und zwar bei Aufnahme ihrer Tätigkeit zu be-

lehren, wobei es sich anbietet, die Belehrung als Zusatzerklärung zum Arbeitsvertrag unterzeichnen zu lassen, diese zu den Personalakten zu nehmen und dem Beschäftigen eine Zweitschrift auszuhändigen6. Leiharbeitnehmer sind durch den Entleiher zu verpflichten. Der Entleiher verfügt nämlich regelmäßig über die größere Branchennähe und bessere Kenntnis von aufgabenbezogenen Verhaltensweisen7. 3. Belehrungsadressat

19 Adressat der Belehrung ist der bei einer nicht-öffentlichen Stelle „Beschäftigte“

(zum Begriff des „Beschäftigten“ i.S.v. § 5 Satz 1 s. Rz. 7 ff.). Aber nicht jeder Beschäftigte, der dem Datengeheimnis nach § 5 Satz 1 unterliegt, ist zugleich zwingend Adressat einer Belehrung nach § 5 Satz 2.

20 Organe einer Gesellschaft, Inhaber von Betrieben und gesetzliche Vertreter

bedürfen keiner Belehrung nach § 5 Satz 2, obwohl sie zweifellos dem Geheim-

1 2 3 4

Taeger/Gabel/Kinast, § 5 BDSG Rz. 26. Vgl. hierzu Simitis/Ehmann, § 5 BDSG Rz. 28. Taeger/Gabel/Kinast, § 5 BDSG Rz. 26; vgl. Schaffland/Wiltfang, § 5 BDSG Rz. 2. Vgl. Bergmann/Möhrle/Herb, § 5 BDSG Rz. 41; Taeger/Gabel/Kinast, § 5 BDSG Rz. 27; Runge, DuD 1993, 321 (322); Diekmann, RDV 2004, 256 (257); Müthlein, IT-Sicherheit 1/2003, 41 (42). 5 Gola/Schomerus, § 5 BDSG Rz. 13. 6 Simitis/Ehmann, § 5 BDSG Rz. 28; Schaffland/Wiltfang, § 5 BDSG Rz. 18. 7 Fernandez/Heinemann, DuD 2011, 711 (713); a.A. Simitis/Ehmann, § 5 BDSG Rz. 16; Bergmann/Möhrle/Herb, § 5 BDSG Rz. 21.

270

|

Schreiber

Datengeheimnis | § 5 BDSG

nisschutz nach § 5 Satz 1 unterliegen. Begründet wird das regelmäßig damit, dass diese Personen selbst für die Belehrung verantwortlich sind1. Im Rahmen einer Auftragsdatenverarbeitung sind die bei dem Auftragnehmer 21 Beschäftigten durch diesen zu unterrichten2. Das betrifft bspw. Service-Rechenzentren, Datenerfassungsbüros sowie externe Prüfer3. § 11 Abs. 4 Satz 1 i.V.m. § 11 Abs. 3 Satz 2 Nr. 5 sieht darüber hinaus vor, dass im Vertrag über die Auftragsdatenverarbeitung die „Pflicht zur Vornahme einer Verpflichtung“ aufgenommen werden muss. Entsprechend stellt sich die Lage im Falle einer Subunternehmereigenschaft dar4. Entsprechend sollten auch externe Mitarbeiter, wenn sie bspw. Zugriff auf die DV-Anlagen haben, belehrt werden5. Um jegliche Haftungsrisiken in diesem Zusammenhang auszuschließen, ist es ratsam, eine solche Belehrung auch gegenüber Reinigungskräften und Wachpersonal vorzusehen, soweit nicht ausgeschlossen werden kann, dass im Einzelfall ein Zugriff auf personenbezogene Daten möglich ist6. Mitarbeiter des öffentlichen Dienstes sind keine Adressaten der Belehrung des 22 § 5. D.h. aber nicht, dass sie von jeglichem Geheimnisschutz entbunden sind. Stattdessen unterliegen sie der im öffentlichen Dienst geltenden Verschwiegenheitspflicht, auf die regelmäßig in besonderer Form hingewiesen wird7. Ob auch die Mitglieder eines Betriebsrates nach § 5 Satz 2 belehrt werden müs- 23 sen, ist strittig. Nach einer Ansicht ist dies zu verneinen, weil hierdurch die Unabhängigkeit des Betriebsrates beeinträchtigt würde8. Nach zutreffender Auffassung verkennt diese Ansicht jedoch den rein deklaratorischen Charakter von § 5 Satz 2. Eine – zusätzliche – Verpflichtung, welche die Unabhängigkeit des Betriebsrats tangieren könnte, folgt daraus gerade nicht9. Daher ist § 5 Satz 2 auch auf Betriebsräte anzuwenden10. Dasselbe gilt für den betrieblichen Datenschutzbeauftragten11. 1 Taeger/Gabel/Kinast, § 5 BDSG Rz. 13. 2 Simitis/Ehmann, § 5 BDSG Rz. 25; Gola/Schomerus, § 5 BDSG Rz. 14; Taeger/Gabel/ Kinast, § 5 BDSG Rz. 16. 3 Dieckmann, RDV 2004, 256; Gola/Schomerus, § 5 BDSG Rz. 14. 4 Taeger/Gabel/Kinast, § 5 BDSG Rz. 16. 5 Diekmann, RDV 2004, 256 (266); Müthlein/Heck, RDV 1994, 121 (126). 6 Vgl. Gola/Schomerus, § 5 GDSG Rz. 9; Taeger/Gabel/Kinast, § 5 BDSG Rz. 11. 7 Gola/Schomerus, § 5 BDSG Rz. 10. 8 Vgl. BAG v. 11.11.1997 – 1 ABR 21/97, RDV 1998, 64, ZTR 1998, 284 = NJW 1998, 2466; Darstellung bei Gola/Schomerus, § 5 BDSG Rz. 15 m.w.N. 9 Taeger/Gabel/Kinast, § 5 BDSG Rz. 14; Gola/Schomerus, § 5 BDSG Rz. 15; Kriependorf, DuD 1979, 17 (19). 10 Taeger/Gabel/Kinast, § 5 BDSG Rz. 14; Gola/Schomerus, § 5 BDSG Rz. 15. 11 Gola/Schomerus, § 5 BDSG Rz. 9; Taeger/Gabel/Kinast, § 5 BDSG Rz. 15; a.A. Schaffland/Wiltfang, § 5 BDSG Rz. 2.

Schreiber

|

271

§ 5 BDSG | Allgemeine und gemeinsame Bestimmungen IV. Fortbestand (Satz 3) 24 Das Datengeheimnis besteht nach Beendigung des Beschäftigtenverhältnisses

fort1. Es konzentriert sich dann auf das Verbot, personenbezogene Daten unzulässigerweise zu offenbaren oder an Dritte weiterzugeben2. Für die Frage, ob das Beschäftigtenverhältnis beendet ist, kommt es nur auf die faktische Möglichkeit des Datenumgangs an3. Das bedeutet, dass neben dem Ausscheiden aus dem Arbeitsverhältnis eine Beendigung auch durch Umsetzung innerhalb desselben Betriebs möglich ist4.

V. Rechtsfolgen/Sanktionen 1. Rechtsfolgen bei unterlassener Belehrung 25 Hat die verantwortliche Stelle die Belehrung des Beschäftigten unterlassen, dro-

hen ihr keine Sanktionen unmittelbar wegen der Verletzung von § 5 Satz 2. Allenfalls droht eine behördliche Anordnung gemäß § 38 Abs. 5 Satz 1, weil ein Verstoß gegen Satz 1 der Anlage zu § 9 wegen mangelhafter Organisationsgestaltung vorliegt5. Darüber hinaus kommen im Schadensfall deliktische Ansprüche sowohl aus § 823 Abs. 1 BGB wegen Verletzung des Rechts auf informationelle Selbstbestimmung als auch aus § 831 Abs. 1 Satz 1 BGB und § 7 in Betracht6. Aufgrund der unterlassenen Belehrung kann sich die verantwortliche Stelle dann nicht exkulpieren7. Unter Umständen könnte bei einer schwerwiegenden Persönlichkeitsverletzung überdies ein Anspruch auf Schmerzensgeld gegeben sein8.

26 Denkbar ist es auch, dass sich die verantwortliche Stelle trotz der unterlassenen

Belehrung an dem jeweils handelnden Mitarbeiter schadlos halten kann, wenn die Rechtswidrigkeit des Umgangs mit den Daten auf der Hand lag oder der Mitarbeiter anderweitig darüber in Kenntnis gesetzt wurde (s. Rz. 6). Kann der Mitarbeiter hingegen darlegen, dass er sich in einem unvermeidbaren Verbotsirrtum befand, scheidet seine persönliche Haftung aus9.

1 2 3 4 5 6

Taeger/Gabel/Kinast, § 5 BDSG Rz. 29 f.; Simitis/Ehmann, § 5 BDSG Rz. 31. Simitis/Ehmann, § 5 BDSG Rz. 32. Taeger/Gabel/Kinast, § 5 BDSG Rz. 29. Vgl. Schaffland/Wiltfang, § 5 BDSG Rz. 2; Taeger/Gabel/Kinast, § 5 BDSG Rz. 29. Taeger/Gabel/Kinast, § 5 BDSG Rz. 32; Simitis/Ehmann, § 5 BDSG Rz. 36. Taeger/Gabel/Kinast, § 5 BDSG Rz. 33; s. zu § 7 auch Schierbaum, Computer-Fachwissen, 4/2002, 20 (28). 7 Taeger/Gabel/Kinast, § 5 BDSG Rz. 33; vgl. Hold, RDV 2006, 249 (259). 8 Bergmann/Möhrle/Herb, § 5 BDSG Rz. 35. 9 Vgl. Bergmann/Möhrle/Herb, § 5 BDSG Rz. 38; Taeger/Gabel/Kinast, § 5 BDSG Rz. 34.

272

|

Schreiber

Datengeheimnis | § 5 BDSG

2. Rechtsfolgen bei erfolgter Belehrung Verstößt der Beschäftigte trotz Belehrung gegen das Datengeheimnis, kommen 27 verschiedene Rechtsfolgen in Betracht1: Zunächst sind arbeitsrechtliche Sanktionen nach den allgemeinen Grundsätzen 28 von der Abmahnung bis zur außerordentlichen Kündigung denkbar, wobei das Ultima-ratio-Prinzip zu beachten ist2. Der Arbeitgeber hat außerdem ggf. einen Schadensersatzanspruch aus § 280 Abs. 1 BGB i.V.m. § 611 BGB gegen seinen Mitarbeiter3. Gleichzeitig kann ein Schadensersatzanspruch des Betroffenen gegen die verantwortliche Stelle aus § 280 BGB bzw. § 7 gegeben sein4. Darüber hinaus hat der Betroffene eventuell unmittelbar einen Schadensersatz- 29 anspruch, bzw. bei einer besonders schwerwiegenden Persönlichkeitsverletzung einen Schmerzensgeldanspruch gegen den Beschäftigten aus § 823 Abs. 1 BGB5. Wegen des erhöhten Betriebsrisikos ist der Arbeitgeber gegenüber dem Arbeitnehmer in diesem Fall im Innenverhältnis ggf. zur (teilweisen) Freihaltung verpflichtet6. Der Umfang des Freihalteanspruches richtet sich nach dem Verschuldensgrad des Arbeitnehmers und entfällt bei Vorsatz und grober Fahrlässigkeit7. Maßgeblich für das Verschulden wird unter anderem die Qualität der Belehrung sein8. Außerdem kann es sich bei einem Verstoß des Beschäftigten gegen den Grund- 30 satz des Datengeheimnisses um eine Ordnungswidrigkeit gemäß § 43 Abs. 2 handeln, wenn es sich bei den personenbezogenen Daten um nicht allgemein zugängliche Daten gehandelt hat9. Ist der Verstoß darüber hinaus gegen Entgelt oder mit Schädigungsabsicht erfolgt, könnte der Straftatbestand nach § 44 Abs. 1 erfüllt sein, der aber gemäß § 44 Abs. 2 nur auf Antrag verfolgt wird10. 1 Taeger/Gabel/Kinast, § 5 BDSG Rz. 37/35 f. 2 Vgl. Schaffland/Wiltfang, § 5 BDSG Rz. 24; Taeger/Gabel/Kinast, § 5 BDSG Rz. 37; Bergmann/Möhrle/Herb, § 5 BDSG Rz. 35; vgl. LAG Hamm v. 16.9.2011 – 10 TaBV 17/11, ZD 2012, 183; BAG v. 24.3.2011 – 2 AZR 282/10, ArbRB 2011, 332; LAG Berlin-Brandenburg v. 11.4.2014 – 17 Sa 2200/13, ZD 2014, 481; LAG Düsseldorf v. 3.7.2012 – 8 Sa 1359/11. 3 Taeger/Gabel/Kinast, § 5 BDSG Rz. 38. 4 Taeger/Gabel/Kinast, § 5 BDSG Rz. 38, s. zu § 7 auch Schierbaum, Computer-Fachwissen, 4/2002, 20 (28). 5 Vgl. Bergmann/Möhrle/Herb, § 5 BDSG Rz. 35. 6 Taeger/Gabel/Kinast, § 5 BDSG Rz. 38. 7 Taeger/Gabel/Kinast, § 5 BDSG Rz. 38. 8 Taeger/Gabel/Kinast, § 5 BDSG Rz. 38. 9 Vgl. Bergmann/Möhrle/Herb, § 5 BDSG Rz. 35; Taeger/Gabel/Kinast, § 5 BDSG Rz. 40; zu § 43 Abs. 2 s. Komm. zu § 43 BDSG Rz. 11. 10 Vgl. Taeger/Gabel/Kinast, § 5 BDSG Rz. 40; zu 203 StGB, 40 BDSG: Hold, RDV 2006, 249 (259); Weichert, NStZ 1999, 490; Hoeren, DuD 2010, 688 (690); Gliss, DSB 2001, Nr. 9, 11; Kaiser, NStZ 2011, 383 (388), zur Strafbarkeit des Ankaufs von Steuerdaten bei Verrat nach § 17 UWG; zu § 44 s. Komm. zu § 44 BDSG Rz. 1 ff.

Schreiber

|

273

§ 5 BDSG | Allgemeine und gemeinsame Bestimmungen 31 Als weiterer Straftatbestand kommt § 203 StGB bei Verletzung des Berufs- oder

Amtsgeheimnisses in Betracht1. Weitergehend kommt die Qualifizierung nach § 353b StGB bei gleichzeitiger Gefährdung wichtiger öffentlicher Interessen und § 355 StGB bei Verletzung von § 30 AO in Betracht2. Bei Verletzung des Fernmeldegeheimnisses aus § 88 TKG könnte außerdem § 206 StGB einschlägig sein3.

32 Für öffentliche Stellen kommt eine Amtshaftung gemäß Art. 34 GG i.V.m.

§ 839 BGB, für den fiskalischen Bereich aus §§ 31, 89 BGB bzw. § 831 BGB in Betracht4. Eine verschuldensunabhängige Haftung der öffentlichen Stelle ist durch § 8 im Falle einer automatisierten Datenverarbeitung möglich5. 3. Sanktionen bei Verweigerung der Kenntnisnahme

33 Der Beschäftigte ist aus dem Arbeitsverhältnis heraus nicht dazu verpflichtet, die

Belehrung auf das Datengeheimnis seinem Arbeitgeber gegenüber besonders (z.B. durch Gegenzeichnung auf einem dafür vorbereiteten Merkblatt) zu bestätigen. Denn die einzige Funktion der Bestätigung liegt darin, die Beweissituation des Arbeitgebers zu stärken. Insbesondere kann der Beschäftigte nicht durch Weisung dazu gezwungen werden6. Daher kommen arbeitsrechtliche Sanktionen wegen der Verweigerung der Anerkennung der Belehrung grundsätzlich nicht in Betracht7.

34 Wenn jedoch hinreichender Verdacht dahingehend besteht, dass der Beschäf-

tigte sich hierdurch der Verantwortung für sein eigenes Verhalten gezielt entziehen will, sollte der Beschäftigte daran gehindert werden, personenbezogene Daten zur Kenntnis zu nehmen. Überdies ist es in einem solchen Fall ratsam, arbeitsrechtliche Sanktionen zu prüfen und zu ergreifen8.

VI. Verweise/Kontext 35 § 5 ergänzt gesetzliche und berufsrechtliche Geheimhaltungspflichten, und

tritt grundsätzlich nicht wegen Subsidiarität nach § 1 Abs. 3 Satz 1 dahinter zu1 Taeger/Gabel/Kinast, § 5 BDSG Rz. 41; vgl. Biewald, DuD 2011, 867 ff.; Weichert, NStZ 1999, 490, zu § 203 StGB; s. Giesen, NStZ 2012, 122 ff., zur ärztlichen Schweigepflicht gegenüber Verrechnungsstellen und § 203 StGB; Kleinert, DuD 2010, 240 (244). 2 Vgl. Schaffland/Wiltfang, § 5 BDSG Rz. 24; Taeger/Gabel/Kinast, § 5 BDSG Rz. 41; Behm, NStZ 2001, 153 ff., zu §§ 353b, 203 StGB s. LG Ulm v. 17.12.1999 – I Qs 1136 – 1137/99, NStZ 2001, 153 ff.; Bohnert, NStZ 2004, 301. 3 Taeger/Gabel/Kinast, § 5 BDSG Rz. 41; s. hierzu Komm. zu § 32 BDSG Rz. 110 sowie § 88 TKG Rz. 25 f. 4 Taeger/Gabel/Kinast, § 5 BDSG Rz. 39. 5 Taeger/Gabel/Kinast, § 5 BDSG Rz. 39. 6 Taeger/Gabel/Kinast, § 5 BDSG Rz. 36. 7 Taeger/Gabel/Kinast, § 5 BDSG Rz. 35 f. 8 Taeger/Gabel/Kinast, § 5 BDSG Rz. 36.

274

|

Schreiber

Datengeheimnis | § 5 BDSG

rück. Stattdessen bleibt § 5 gemäß § 1 Abs. 3 Satz 2 kumulativ anwendbar1. Entsprechende Geheimhaltungspflichten finden sich etwa in § 2 BORA, § 43a BRAO, § 57 Abs. 1 StBerG i.V.m. § 9 BOStB, sowie in § 4f Abs. 4 (betrieblicher Datenschutzbeauftragter)2. Etwaige speziellere Vorschriften zum Geheimnisschutz, die den gleichen Sach- 36 verhalt regeln, gehen demgegenüber gemäß § 1 Abs. 3 Satz 1 dem allgemeinen Datengeheimnis des § 5 vor. Vorrangig ist daher z.B. das Meldegeheimnis aus § 5 Abs. 1 MRRG3, sowie das Steuergeheimnis aus § 30 AO4. Werden die datenschutzrechtlichen Anforderungen aus § 5 gemäß § 1 Abs. 3 37 Satz 1 durch Spezialregelungen verschärft, verpflichtet § 5 die Beschäftigten auch auf diese zusätzlichen Anforderungen5. Bspw. richtet sich die Rechtmäßigkeit einer Einwilligung in die Übermittlung und Veröffentlichung von Statistikdaten nicht nach § 4a BDSG, sondern aufgrund seines spezielleren Charakters nach § 16 Abs. 1 Satz 2 Nr. 1 BStatG6. Bieten gesetzliche Geheimhaltungspflichten hingegen einen gegenüber dem BDSG 38 weniger speziellen Schutz, wie bspw. durch den Grundsatz der allgemeinen Amtsverschwiegenheit aus § 67 BBG oder einem Landesbeamtengesetz, so setzt sich das BDSG mit § 5 durch7. Dies gilt allerdings nur, soweit personenbezogene Daten betroffen sind. Das bedeutet, dass die allgemeinere Norm anwendbar bleibt, soweit es um den Umgang mit nicht-personenbezogenen Daten geht. Entsprechend ist das Verhältnis von § 5 zu § 30 VwVfG für Nicht-Beamte und § 17 UWG bzw. § 79 BetrVG8 für Betriebs- und Geschäftsgeheimnisse9 sowie zu § 88 TKG10. Neben § 41 Abs. 1 gelangt § 5 nicht zur Anwendung, ohne allerdings zwingend einen spürbar geringeren Schutz des Datengeheimnisses zur Folge zu haben11. 1 Bergmann/Möhrle/Herb, § 5 BDSG Rz. 48; Taeger/Gabel/Kinast, § 5 BDSG Rz. 4; Simitis/ Ehmann, § 5 BDSG Rz. 7; s. zur ärztlichen Schweigepflicht Giesen, NStZ 2012, 122 ff. (ggü. Privatärztlichen Verrechnungsstellen); Jandt/Roßnagel/Wilke, NZS 2011, 641 (645). 2 Vgl. auch Taeger/Gabel/Kinast, § 5 BDSG Rz. 4; hierzu gehören auch die ärztliche Schweigepflicht und das Patientengeheimnis, die sich jeweils aus den Berufsordnungen der Ärztekammern ergeben, sowie das kanonische oder pfarrdienstliche Beicht- und Seelsorgegeheimnis. 3 Gola/Schomerus, § 5 BDSG Rz. 1. 4 Taeger/Gabel/Kinast, § 5 BDSG Rz. 5; a.A. Schmittmann, ZD 2012, 16 (19) zu § 30 AO. 5 Taeger/Gabel/Kinast, § 5 BDSG Rz. 6 f. 6 Vgl. Taeger/Gabel/Kinast, § 5 BDSG Rz. 6. 7 Taeger/Gabel/Kinast, § 5 BDSG Rz. 7; vgl. Simitis/Ehmann, § 5 BDSG Rz. 7. 8 Gola/Schomerus, § 5 BDSG Rz. 1; vgl. hierzu Gola/Wronka, NZA 1991, 790, 792 ff.; zu anderen Bestimmungen aus dem BetrVG Linnenkohl, NJW 1981, 202 ff. 9 Kaiser, NStZ 2011, 383 (387 f.), zur Strafbarkeit des Ankaufs von Steuerdaten bei Verrat nach § 17 UWG. 10 Vgl. Gola/Schomerus, § 5 BDSG Rz. 1; Taeger/Gabel/Kinast, § 5 BDSG Rz. 7; vgl. Cebulla, DuD 2010, 308 (310), zum Hybridbrief und § 39 PostG. 11 Vgl. Taeger/Gabel/Kinast, § 5 BDSG Rz. 8.

Schreiber

|

275

§ 6 BDSG | Allgemeine und gemeinsame Bestimmungen 39 Vergleichbare landesrechtliche Regelungen zu § 5 finden sich in § 9 HDSG, § 6

LDSG BW, Art. 5 BayDSG, § 6 BbgDSG, § 6 BremDSG, § 7 HmbDSG, § 5 Abs. 1 LDSG MV, § 5 NDSG, § 6 DSG NRW1, § 8 Abs. 1 LDSG R-Pf, § 6 Abs. 2 SächsDSG und § 8 Abs. 2 BlnDSG2.

§6 Rechte des Betroffenen (1) Die Rechte des Betroffenen auf Auskunft (§§ 19, 34) und auf Berichtigung, Löschung oder Sperrung (§§ 20, 35) können nicht durch Rechtsgeschäft ausgeschlossen oder beschränkt werden. (2) 1Sind die Daten des Betroffenen automatisiert in der Weise gespeichert, dass mehrere Stellen speicherungsberechtigt sind, und ist der Betroffene nicht in der Lage festzustellen, welche Stelle die Daten gespeichert hat, so kann er sich an jede dieser Stellen wenden. 2Diese ist verpflichtet, das Vorbringen des Betroffenen an die Stelle, die die Daten gespeichert hat, weiterzuleiten. 3Der Betroffene ist über die Weiterleitung und jene Stelle zu unterrichten. 4Die in § 19 Abs. 3 genannten Stellen, die Behörden der Staatsanwaltschaft und der Polizei sowie öffentliche Stellen der Finanzverwaltung, soweit sie personenbezogene Daten in Erfüllung ihrer gesetzlichen Aufgaben im Anwendungsbereich der Abgabenordnung zur Überwachung und Prüfung speichern, können statt des Betroffenen die Bundesbeauftragte oder den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit unterrichten. 5In diesem Fall richtet sich das weitere Verfahren nach § 19 Abs. 6. (3) Personenbezogene Daten über die Ausübung eines Rechts des Betroffenen, das sich aus diesem Gesetz oder aus einer anderen Vorschrift über den Datenschutz ergibt, dürfen nur zur Erfüllung der sich aus der Ausübung des Rechts ergebenden Pflichten der verantwortlichen Stelle verwendet werden. I. II. 1. 2. III.

Einführung . . . . . . . . . . . . . . Unabdingbarkeit (Abs. 1) Anwendungsvoraussetzungen . Rechtsfolgen . . . . . . . . . . . . . Verbunddateien und vernetzte Systeme 1. Pflicht zur Weiterleitung und Unterrichtung . . . . . . . . . . . .

.

1

. 4 . 11

. 13

1 Zilkens/Kohlhause, ZD 2012, 119 (122). 2 Gola/Schomerus, § 5 BDSG Rz. 17.

276

|

Schreiber

2. Rechtsfolgen . . . . . . . . . . . . . 3. Besonderheiten bei Sicherheitsbehörden (Abs. 2 Satz 4, 5) . . . IV. Zweckbindung der Daten (Abs. 3) . . . . . . . . . . . . . . . . . V. Rechtsdurchsetzung . . . . . . . VI. Verweise/Kontext . . . . . . . . .

. 17 . 20 . 23 . 26 . 27

Rechte des Betroffenen | § 6 BDSG Schrifttum: Arzt/Eier, Zur Rechtmäßigkeit der Speicherung personenbezogener Daten in „Gewalttäter“-Verbunddateien des Bundeskriminalamts, DVBl 2010, 816; Däubler, Individualrechte des Arbeitnehmers nach dem neuen BDSG, CR 1991, 475; Heinemann/Heinemann, Postmortaler Datenschutz, DuD 2013, 242; Hogenschurz, Die Unbestimmtheit von Eigentümerbeschlüssen, NZM 2010, 500; Knemeyer, Auskunftsanspruch und behördliche Auskunftsverweigerung, JZ 1992, 348; Martini, Der digitale Nachlass und die Herausforderung postmortalen Persönlichkeitsschutzes im Internet, JZ 2012, 1145; Pauly/Ritzer, Datenschutz-Novellen: Herausforderungen für die Finanzbranche, WM 2010, 8.

I. Einführung Der Schutz der informationellen Selbstbestimmung des Einzelnen kann nur so 1 gut und effektiv sein, wie die damit verbundenen Schutzrechte letztlich auch durchgesetzt werden können. § 6 Abs. 1 sichert jedem Betroffenen daher die Unabdingbarkeit insbesondere seiner Ansprüche auf Auskunft, Berichtigung, Löschung und Sperrung. § 6 Abs. 2 stellt sicher, dass der Betroffene diese Rechte auch dann noch geltend 2 machen kann, wenn die einschlägigen Verarbeitungs- und Organisationsstrukturen und daher letztlich sein Anspruchsgegner für ihn nicht unmittelbar zu erkennen sind (sog. Verbunddateien und vernetzte Systeme)1. Besonderheiten gelten für Behörden im Sicherheitsbereich (s. hierzu Rz. 20 ff.)2. § 6 Abs. 3 stellt sicher, dass der Betroffene durch die Geltendmachung seiner 3 Rechte auf Auskunft, Löschung oder Sperrung keine Nachteile erleidet3. Die DSGVO sieht eine vergleichbare Regelung zur Sicherung der Betroffenen- 3a rechte nicht ausdrücklich vor. Das bedeutet aber nicht, dass unter der DSGVO nunmehr Betroffenenrechte missachtet oder abbedungen werden dürfen. Wie sich aus Art. 23 DSGVO ergibt, ist eine Beschränkung auch zukünftig nur durch legislativen Akt möglich (vgl. im Einzelnen Komm. zu Art. 23 DSGVO Rz. 3).

II. Unabdingbarkeit (Abs. 1) 1. Anwendungsvoraussetzungen Nach § 6 Abs. 1 können die Rechte auf Auskunft (§§ 19, 344) und auf Berichti- 4 gung, Löschung oder Sperrung (§§ 20, 35) nicht durch Rechtsgeschäft ausgeschlossen oder beschränkt werden. Diese Aufzählung der Rechte ist nicht ab1 2 3 4

Simitis/Mallmann, § 6 BDSG Rz. 26, 15 f. Bergmann/Möhrle/Herb, § 6 BDSG Rz. 60. Taeger/Gabel/Meents, § 6 BDSG Rz. 20. Vgl. hierzu LAG Hessen v. 29.1.2013 – 13 Sa 263/12, ZD 2013, 413.

Schreiber

|

277

§ 6 BDSG | Allgemeine und gemeinsame Bestimmungen schließend1. Weitere indisponible Rechte des Betroffenen sind etwa das Recht auf Belehrung bei der Datenerhebung aus § 13 Abs. 1a, das Recht, sich mit einer Beschwerde an die Aufsichtsbehörde zu wenden oder die bei der Aufsichtsbehörde geführten Register einzusehen, das allgemeine Widerspruchsrecht sowie der Schadensersatzanspruch nach § 72. 5 Die Bestimmung verbietet jeglichen Ausschluss der indisponiblen Rechte3.

Auch eine Beschränkung der Ansprüche ist verboten4, wobei damit bereits jede Änderung zum Nachteil des Betroffenen gemeint ist. Eine Beschränkung liegt daher bspw. vor, wenn an die Geltendmachung Bedingungen oder Voraussetzungen geknüpft werden oder die Rechte nur teilweise geltend gemacht werden können5. Aus demselben Grund darf gegenüber den Rechten des Betroffenen auch kein Zurückbehaltungsrecht geltend gemacht werden6.

6 Im Privatrecht findet das Verbot sowohl auf Individualvereinbarungen als auch

auf Allgemeine Geschäftsbedingungen Anwendung7. Das gilt auch für den Abschluss von Betriebsvereinbarungen8. Im öffentlich-rechtlichen Bereich ist der rechtsgeschäftliche Ausschluss der Rechte aus Abs. 1 durch hoheitliches Handeln praktisch kaum relevant9. Aber auch bei sonstigem hoheitlichem Handeln, z.B. durch Nebenbestimmungen zu einem Verwaltungsakt, dürfen die Rechte des Betroffenen nicht beschränkt werden10.

7 Während Verzicht und Beschränkung auf die Rechte des Betroffenen nicht zu-

lässig sind, ist eine Vereinbarung, durch welche die Rechte des Betroffenen gestärkt werden, hingegen zulässig11. Zu Recht wird § 6 Abs. 1 daher auch als „Verböserungsverbot“ bezeichnet12.

8 Berechtigt zur Durchsetzung der Ansprüche ist jeder Betroffene. Der Begriff des

Betroffenen ist in § 3 Abs. 1 legal definiert (s. Komm. zu § 3 BDSG Rz. 4 f.). Als Ausfluss des Rechts auf informationelle Selbstbestimmung stehen die Rechte aus Abs. 1 damit „jedermann“ zu13. Auf die Nationalität des Betroffenen kommt es

1 Gola/Schomerus, § 6 BDSG Rz. 2; Bergmann/Möhrle/Herb, § 6 BDSG Rz. 5. 2 Vgl. Simitis/Dix, § 6 BDSG Rz. 21; Schaffland/Wiltfang, § 6 BDSG Rz. 1; ausführlich Bergmann/Möhrle, § 6 BDSG Rz. 39 ff. 3 Vgl. Taeger/Gabel/Meents, § 6 BDSG Rz. 10; nach Schaffland/Wiltfang, § 6 BDSG Rz. 2, ist hingegen ein einseitiger Verzicht möglich ist. 4 Gola/Schomerus, § 6 BDSG Rz. 4. 5 Gola/Schomerus, § 6 BDSG Rz. 5. 6 Simitis/Dix, § 6 BDSG Rz. 21; Schaffland/Wiltfang, § 6 BDSG Rz. 2a. 7 Schaffland/Wiltfang, § 6 BDSG Rz. 33; Gola/Schomerus, § 6 BDSG Rz. 4. 8 Gola/Schomerus, § 6 BDSG Rz. 4; Bergmann/Möhrle/Herb, § 6 BDSG Rz. 33. 9 Gola/Schomerus, § 6 BDSG Rz. 4. 10 Gola/Schomerus, § 6 BDSG Rz. 4; ausführlich Bergmann/Möhrle/Herb, § 6 BDSG Rz. 39 ff. 11 Vgl. Simitis/Dix, § 6 BDSG Rz. 22. 12 Taeger/Gabel/Meents, § 6 BDSG Rz. 7. 13 Vgl. BVerfGE 65, 1 (42).

278

|

Schreiber

Rechte des Betroffenen | § 6 BDSG

dabei also nicht an. Als höchstpersönliche Rechte sind die Ansprüche weder übertragbar, noch vererbbar1. Sowohl der rechtsgeschäftliche als auch der gesetzliche Vertreter kann die 9 Rechte für den Betroffenen jedoch stellvertretend geltend machen2. Anspruchsverpflichtet nach Abs. 1 ist die verantwortliche Stelle. Der Begriff der 10 verantwortlichen Stelle ist in § 3 Abs. 7 legal definiert (s. Komm. zu § 3 BDSG Rz. 66 ff.). Besonderheiten gelten bei Verbundsystemen (s. hierzu Rz. 13 ff.). Im Falle einer Auftragsdatenverarbeitung nach § 11 Abs. 1 Satz 2 ist verantwortliche Stelle grundsätzlich der Auftraggeber (s. zur Auftragsdatenverarbeitung Komm. zu § 11 BDSG Rz. 1 ff.)3. Im Falle einer Insolvenz sind die Pflichten der verantwortlichen Stelle vom Insolvenzverwalter fortzuführen4. 2. Rechtsfolgen Im privaten Bereich hat ein Verstoß gegen Abs. 1 die Nichtigkeit des Rechts- 11 geschäfts nach § 134 BGB zur Folge5. Daneben kommt bei Allgemeinen Geschäftsbedingungen ein Verstoß gegen §§ 305 ff. BGB in Betracht. Ein Verstoß gegen das Gesetz gegen den unlauteren Wettbewerb (UWG) liegt i.d.R. nur dann vor, wenn man die Bestimmungen des BDSG als Marktverhaltensregelungen ansieht, was regelmäßig jedoch nicht der Fall ist (vgl. Komm. zu § 1 BDSG Rz. 15 f.). Im öffentlich-rechtlichen Bereich führt ein Verstoß regelmäßig zur Nichtigkeit 12 des Rechtsgeschäfts oder Verwaltungshandelns. Bei einem Verwaltungsakt ergibt sich die Nichtigkeit des gesamten Verwaltungsaktes in erster Linie aus § 44 Abs. 1 VwVfG, weil es sich regelmäßig um einen besonders schwerwiegenden Fehler handeln dürfte6. In Betracht kommt außerdem ein Verstoß gegen die guten Sitten nach § 44 Abs. 2 Nr. 6 VwVfG7. Bei Nebenbestimmungen zu begünstigenden Verwaltungsakten sind lediglich die Nebenbestimmungen nichtig, § 36 VwVfG. Bei öffentlich-rechtlichen Verträgen kann sich die (Teil-)Nichtigkeit entweder aus § 59 Abs. 1, 3 VwVfG i.V.m. § 134 BGB oder, wenn es sich um einen subordinationsrechtlichen Vertrag handelt, aus § 59 Abs. 2 i.V.m. § 44 1 Gola/Schomerus, § 6 BDSG Rz. 3; Bergmann/Möhrle/Herb, § 6 BDSG Rz. 12; a.A. Martini, JZ 2012, 1145; Heinemann/Heinemann, DuD 2013, 242; zur Übertrag- und Vererbbarkeit von Schadensersatzansprüchen nach §§ 7 und 8 vgl. Komm. zu § 7 BDSG Rz. 22 sowie § 8 BDSG Rz. 14. 2 Schaffland/Wiltfang, § 6 BDSG Rz. 2; Bergmann/Möhrle/Herb, § 6 BDSG Rz. 11. 3 Taeger/Gabel/Meents, § 6 BDSG Rz. 6. 4 Bergmann/Möhrle/Herb, § 6 BDSG Rz. 9. 5 Taeger/Gabel/Meents, § 6 BDSG Rz. 11; Gola/Schomerus, § 6 BDSG Rz. 5; s.a. Simitis/ Dix, § 6 BDSG Rz. 24, wonach es für die Nichtigkeit keines Rückriffs auf § 134 BGB bedarf. 6 Vgl. Simitis/Dix, § 6 BDSG Rz. 25; Bergmann/Möhrle/Herb, § 6 BDSG Rz. 34 f. 7 Bergmann/Möhrle/Herb, § 6 BDSG Rz. 35.

Schreiber

|

279

§ 6 BDSG | Allgemeine und gemeinsame Bestimmungen VwVfG ergeben1. Außerdem kann die verantwortliche Stelle ggf. gemäß §§ 7, 8 schadensersatzpflichtig sein2.

III. Verbunddateien und vernetzte Systeme 1. Pflicht zur Weiterleitung und Unterrichtung 13 Abs. 2 Satz 1–3 enthält eine Weiterleitungs- und Unterrichtungspflicht der an-

gerufenen Stelle, die dem Betroffenen die Durchsetzung seiner Rechte auch in den Fällen ermöglichen soll, in denen seine Daten in einer Datei gespeichert sind, in denen mehrere Stellen speicherungsberechtigt sind3. Da er in solchen Fällen regelmäßig nicht erkennen kann, wer letztlich für die gespeicherten Daten tatsächlich verantwortliche Stelle ist, kann er sich mit seinem Gesuch an jede zur Speicherung berechtigte Stelle wenden. Dadurch sollen dem Betroffenen insbesondere aufwändige Nachforschungen erspart werden4.

14 § 6 Abs. 2 Satz 1 setzt voraus, dass mindestens zwei Stellen zur Speicherung per-

sonenbezogener Daten berechtigt sind, die angerufene Stelle auch an dem „Verbundsystem“5 beteiligt und der Betroffene nicht in der Lage ist, die verantwortliche Stelle selbst zu ermitteln6. Abs. 2 ist regelmäßig nicht einschlägig, wenn der Betroffene von der verantwortlichen Stelle über die Speicherung unterrichtet wurde7.

15 Die Anwendung von § 6 Abs. 2 Satz 1–3 kommt vor allem im Rahmen viel-

schichtiger Vertragserfüllungen, wenn bspw. diverse Konzerngesellschaften an der Vertragserfüllung beteiligt sind, in Betracht. Auch bei der Auftragsdatenverarbeitung8 oder bei einer Kombination von Auftragsdatenverarbeitung im Fremdinteresse und Datenverarbeitung im Eigeninteresse („Doppelfunktion im Eigeninteresse“)9 liegt eine Anwendbarkeit nahe. Dies gilt auch dann, wenn der Betroffene nicht erkennen kann, dass die verarbeitende Stelle lediglich im Auftrag tätig wird10. Im öffentlichen Bereich kommt § 6 Abs. 2 etwa in Betracht, wenn Daten zwischen Behörden weitergegeben oder abgeglichen werden11. 1 2 3 4 5 6 7

8 9 10 11

Vgl. Simitis/Dix, § 6 BDSG Rz. 24; Bergmann/Möhrle/Herb, § 6 BDSG Rz. 35. Taeger/Gabel/Meents, § 6 BDSG Rz. 11. Bergmann/Möhrle/Herb, § 6 BDSG Rz. 52; Simitis/Mallmann, § 6 BDSG Rz. 26. Taeger/Gabel/Meents, § 6 BDSG Rz. 13. Zur Speicherung von Verbunddateien vgl. Arzt/Eier, DVBl 2010, 816 (818 ff.). Taeger/Gabel/Meents, § 6 BDSG Rz. 12 f.; Gola/Schomerus, § 6 BDSG Rz. 6; vgl. zur Kenntlichmachung der verantwortlichen Stelle bei Videoüberwachungen von Hauseingängen, um § 6 Abs. 2 zu entgehen Hogenschurz, NZM 2010, 500 (502). Schaffland/Wiltfang, § 6 BDSG Rz. 25; Gola/Schomerus, § 6 BDSG Rz. 6; a.A. Simitis/ Mallmann, § 6 BDSG Rz. 34. Gola/Schomerus, § 6 BDSG Rz. 6; Schaffland/Wiltfang, § 6 BDSG Rz. 25. S. hierzu Komm. zu § 11 BDSG Rz. 25 f. Taeger/Gabel/Meents, § 6 BDSG Rz. 12. Vgl. hierzu ausführlich Bergmann/Möhrle/Herb, § 6 BDSG Rz. 55a, 55b.

280

|

Schreiber

Rechte des Betroffenen | § 6 BDSG

Die Frage der datenschutzrechtlichen Verantwortung wird durch § 6 Abs. 2 16 nicht berührt1. Eine gesamtschuldnerische Haftung zwischen den einzelnen an der Datenverarbeitung beteiligten Stellen wird dadurch nicht begründet2. 2. Rechtsfolgen Soweit die genannten Voraussetzungen erfüllt sind, kann sich der Betroffene an 17 jede speicherungsberechtigte Stelle wenden. Diese hat sein Vorbringen unverzüglich an die Stelle weiterzuleiten, welche die Daten tatsächlich gespeichert hat3. Nach § 6 Abs. 2 Satz 3 ist der Betroffene über die Weiterleitung seines Vorbrin- 18 gens von der angerufenen Stelle unverzüglich zu informieren. Ferner sind ihm Name und Anschrift der speichernden Stelle mitzuteilen. Die Mitteilung muss dabei in einer Form erfolgen, die die Kenntnisnahme des Betroffenen sicherstellt4. Besondere Anforderungen an die Form stellt das Gesetz hingegen nicht. Wenn eine schriftliche Benachrichtigung erfolgt, sollte ein geschlossenes Couvert verwendet werden5. Die Verletzung der Weiterleitungs- und Unterrichtungspflicht kann im privat- 19 rechtlichen Bereich Schadensersatzpflichten aus § 823 Abs. 2 BGB sowie – soweit eine vertragliche Beziehung besteht – aus § 280 BGB begründen6. Im öffentlichrechtlichen Bereich ist hierin eine Amtspflichtverletzung zu sehen, so dass für einen Schadensersatzanspruch § 839 BGB i.V.m. Art. 34 GG in Betracht kommt7. 3. Besonderheiten bei Sicherheitsbehörden (Abs. 2 Satz 4, 5) Handelt es sich bei der nach § 6 Abs. 2 Satz 1–3 in Anspruch genommenen 20 Stelle um eine der in § 6 Abs. 2 Satz 4 abschließend8 aufgeführten Sicherheitsbehörden, kann diese von einer Unterrichtung des Betroffenen absehen und stattdessen die Bundesbeauftragte oder den Bundesbeauftragtenfür den Datenschutz (BfDI) informieren9. Von dieser Ermessensregelung müssen die Behörden allerdings nicht in jedem Fall Gebrauch machen10. Zu den aufgeführten Sicherheitsbehörden gehören u.a. die Verfassungsschutzbehörden, der Bundesnachrichtendienst sowie der Militärische Abschirmdienst11. 1 2 3 4 5 6 7 8 9 10 11

Simitis/Mallmann, § 6 BDSG Rz. 35. Bergmann/Möhrle/Herb, § 6 BDSG Rz. 56. Vgl. Pauly/Ritzer, WM 2010, 8 (12); Simitis/Mallmann, § 6 BDSG Rz. 39. Simitis/Mallmann, § 6 BDSG Rz. 41. Simitis/Mallmann, § 6 BDSG Rz. 41. Vgl. Gola/Schomerus, § 6 BDSG Rz. 7; Bergmann/Möhrle/Herb, § 6 BDSG Rz. 59. Bergmann/Möhrle/Herb, § 6 BDSG Rz. 58. Taeger/Gabel/Meents, § 6 BDSG Rz. 19; Simitis/Mallmann, § 6 BDSG Rz. 44. Simitis/Mallmann, § 6 BDSG Rz. 46. Bergmann/Möhrle/Herb, § 6 BDSG Rz. 61. Zu den Sicherheitsbehörden im Einzelnen s. Simitis/Mallmann, § 6 BDSG Rz. 41.

Schreiber

|

281

§ 6 BDSG | Allgemeine und gemeinsame Bestimmungen 21 Macht die Sicherheitsbehörde von ihrem Recht Gebrauch, prüft die oder der

BfDI, ob das Absehen von der Unterrichtung rechtmäßig gewesen ist (Abs. 2 Satz 5 unter Verweis auf § 19 Abs. 6)1. Über den Stand ihrer oder seiner Überprüfung darf die oder der BfDI den Betroffenen allerdings nur so allgemein unterrichten, dass Rückschlüsse auf die verantwortliche Stelle und die gespeicherten Daten nicht möglich sind2.

22 Stellt die oder der BfDI einen datenschutzrechtlichen Verstoß fest, muss sie oder

er auf Abhilfe bei der verantwortlichen Stelle hinwirken3. Durchsetzen kann die oder der BfDI dies jedoch nicht (vgl. Komm. zu § 19 BDSG Rz. 27).

IV. Zweckbindung der Daten (Abs. 3) 23 Seit der Novelle zum 1.4.2010 enthält das BDSG mit § 6 Abs. 3 ein Zweckbin-

dungsgebot und Nutzungsverbot4, um sicherzustellen, dass der Betroffene keine Nachteile dadurch erleidet, dass er die ihm gesetzlich zustehenden Betroffenenrechte geltend macht (vgl. hierzu auch Rz. 3 f.). Das war in der Vergangenheit bspw. der Fall, wenn die Bitte eines Betroffenen um Auskunft bei einer Auskunftei zu einem schlechteren Score5 (zum „Scoring“ s. Komm. zu § 28b BDSG Rz. 6) und damit zu einer Abwertung seiner Bonität führte6. Genau für solche Fälle ist § 6 Abs. 3 eingeführt worden, um unter anderem dieser Praxis einen Riegel vorzuschieben7. Die aus der Geltendmachung eines solchen Rechts folgenden personenbezogenen Daten unterliegen nunmehr einer engen Zweckbindung, so dass Daten nur in dem Umfang erhoben und gespeichert werden dürfen, wie dies für die Erfüllung der Aufgaben nach dem BDSG notwendig ist. Überdies muss eine Nutzung der in Folge gespeicherten Daten für andere als die Zwecke der Rechtsausübung unterbleiben8. Hat die verantwortliche Stelle die jeweils geltend gemachten Ansprüche erfüllt, sind die Daten zu löschen oder zu anonymisieren9. § 6 Abs. 3 flankiert damit die aus § 28 folgende Zweckbindung, die sich dort nur unmittelbar auf die Verwendung der personenbezogenen Daten selbst bezieht10. 1 Simitis/Mallmann, § 6 BDSG Rz. 60; Taeger/Gabel/Meents, § 19 BDSG Rz. 38; vgl. zum Verfahren nach § 19 Abs. 6 BDSG Komm. zu § 19 BDSG Rz. 27 f. 2 Simitis/Mallmann, § 6 BDSG Rz. 59. 3 Vgl. Taeger/Gabel/Mester, § 19 BDSG Rz. 38. 4 Gola/Schomerus, § 6 BDSG Rz. 8a. 5 Vgl. hierzu auch Pauly/Ritzer, WM 2010, 8 (12). 6 Gola/Schomerus, § 6 BDSG Rz. 8a; Bergmann/Möhrle/Herb, § 6 BDSG Rz. 2a; Däubler, CR 1991, 475 (476). 7 BT-Drucks. 16/10529, S. 13. 8 Bergmann/Möhrle/Herb, § 6 BDSG Rz. 67a; Simitis/Mallmann, § 6 BDSG Rz. 63. 9 Simitis/Mallmann, § 6 BDSG Rz. 65. 10 Taeger/Gabel/Meents, § 6 BDSG Rz. 22.

282

|

Schreiber

Rechte des Betroffenen | § 6 BDSG

§ 6 Abs. 3 erfasst zunächst alle personenbezogenen Daten, die durch die Gel- 24 tendmachung der Rechte auf Auskunft, Löschung, Berichtigung und Sperrung entstehen. Die Vorschrift gilt jedoch über den Wortlaut hinaus auch für die Wahrnehmung sonstiger Betroffenenrechte, die nicht in § 6 genannt sind, bspw. das Widerspruchsrecht1. Die Missachtung des Zweckbindungsgebotes aus § 6 Abs. 3 begründet keinen 25 Bußgeldtatbestand und stellt keine Strafvorschrift dar. Es handelt sich jedoch um ein Verbotsgesetz i.S.d. § 134 BGB sowie um ein Schutzgesetz i.S.d. § 823 Abs. 2 BGB2.

V. Rechtsdurchsetzung Welcher Rechtsweg zur Durchsetzung der Rechte des Betroffenen eröffnet ist, 26 richtet sich danach, welcher Rechtsweg für sonstige Ansprüche der jeweils Beteiligten einschlägig ist (vgl. zum Rechtsweg auch Komm. zu § 20 BDSG Rz. 34)3. Ist die verantwortliche Stelle eine Behörde, so wird, wie auch bei der Geltendmachung der Rechte aus den §§ 19, 20, die Verpflichtungsklage vor dem Verwaltungsgericht statthaft sein (s. hierzu auch Komm. zu § 19 BDSG Rz. 6). Handelt es sich hingegen um einen Sozialversicherungsträger oder ein Versorgungsamt, ist die Klage vor dem Sozialgericht einzulegen4. Handelt es sich bei der zuständigen Stelle um die Staatsanwaltschaft oder eine Justizbehörde, so ist gemäß § 23 EGGVG der ordentliche Rechtsweg eröffnet5. Gemäß § 2 ArbGG kann der Rechtsweg vor dem Arbeitsgericht eröffnet sein, wenn es um Ansprüche geht, die im Rahmen des Arbeitsverhältnisses geltend gemacht werden6. In Abgaben- oder Steuerangelegenheiten wird regelmäßig der Rechtsweg zu den Finanzgerichten gemäß § 33 FGO einschlägig sein7.

VI. Verweise/Kontext Einige Landesdatenschutzgesetze enthalten vergleichbare – zum Teil erweiterte 27 – Bestimmungen – zur Unabdingbarkeit der Rechte aus Abs. 1 (bspw. § 6 Abs. 2 Hmb DSG, § 20 NDSG, § 7 BlnDSG, § 5 Abs. 1 Satz 2 BbgDSG, § 28 DSG M-V, § 5 Satz 2 DSG NRW, § 6 Abs. 2 LDSG RPf, § 19 SDSD, § 5 Abs. 2 Sächs. DSG, § 17 DSG-LSA, § 31 LDSG SH, § 5 Abs. 2 ThürDSG)8. 1 2 3 4 5 6 7 8

Simitis/Mallmann, § 6 BDSG Rz. 63. Simitis/Mallmann, § 6 BDSG Rz. 64. Taeger/Gabel/Meents, § 6 BDSG Rz. 23. Gola/Schomerus, § 19 BDSG Rz. 35. Vgl. Gola/Schomerus, § 19 BDSG Rz. 35. Bergmann/Möhrle/Herb, § 6 BDSG Rz. 71. Vgl. Bergmann/Möhrle/Herb, § 6 BDSG Rz. 71. Vgl. auch Gola/Schomerus, § 6 BDSG Rz. 9.

Schreiber

|

283

§ 6a BDSG | Allgemeine und gemeinsame Bestimmungen

§ 6a Automatisierte Einzelentscheidung (1) 1Entscheidungen, die für den Betroffenen eine rechtliche Folge nach sich ziehen oder ihn erheblich beeinträchtigen, dürfen nicht ausschließlich auf eine automatisierte Verarbeitung personenbezogener Daten gestützt werden, die der Bewertung einzelner Persönlichkeitsmerkmale dienen. 2Eine ausschließlich auf eine automatisierte Verarbeitung gestützte Entscheidung liegt insbesondere dann vor, wenn keine inhaltliche Bewertung und darauf gestützte Entscheidung durch eine natürliche Person stattgefunden hat. (2) Dies gilt nicht, wenn 1. die Entscheidung im Rahmen des Abschlusses oder der Erfüllung eines Vertragsverhältnisses oder eines sonstigen Rechtsverhältnisses ergeht und dem Begehren des Betroffenen stattgegeben wurde oder 2. die Wahrung der berechtigten Interessen des Betroffenen durch geeignete Maßnahmen gewährleistet ist und die verantwortliche Stelle dem Betroffenen die Tatsache des Vorliegens einer Entscheidung im Sinne des Absatzes 1 mitteilt sowie auf Verlangen die wesentlichen Gründe dieser Entscheidung mitteilt und erläutert. (3) Das Recht des Betroffenen auf Auskunft nach den §§ 19 und 34 erstreckt sich auch auf den logischen Aufbau der automatisierten Verarbeitung der ihn betreffenden Daten. I. Einführung . . . . . . . . . . . . . . . II. Verbot der automatisierten Einzelentscheidung . . . . . . . . 1. Entscheidungen (Abs. 1 Satz 1) 2. Auswirkungen der Entscheidungen (Rechtliche Folge/ Erhebliche Beeinträchtigung) (Abs. 1 Satz 1) . . . . . . . . . . . . 3. Ausschließlichkeit der automatisierten Verarbeitung (Abs. 1 Satz 1 und 2) . . . . . . . .

. .

.

1 4 5

6

. 11

4. Bewertung einzelner Persönlichkeitsmerkmale (Abs. 1 Satz 1) . . 5. Ausnahmen von dem Verbot (Abs. 2) . . . . . . . . . . . . . . . . . . a) Stattgabe des Begehrens (Abs. 2 Nr. 1) . . . . . . . . . . . b) Wahrung der berechtigten Interessen (Abs. 2 Nr. 2) . . . . 6. Auskunft (Abs. 3) . . . . . . . . . . . III. Verhältnis zu anderen Normen IV. Rechtsfolgen/Sanktionen . . . . .

14 18 19 20 29 31 34

Schrifttum: Abel, Rechtsfragen von Scoring und Rating, RDV 2006, 108; Abel, Die neuen BDSG-Regelungen, RDV 2009, 147; Beckhusen, Der Datenumgang innerhalb des Kreditinformationssystems der SCHUFA, 2004; Beckhusen, Das Scoring-Verfahren der SCHUFA im Wirkungsbereich des Datenschutzrechts, BKR 2005, 335; Behm, Datenschutzrechtliche Anforderungen an Scoring-Verfahren unter Einbeziehung von Geodaten, RDV 2010, 61; Braunsfeld/Richter, Bonitätsbeurteilungen mittels DV-gestützter Verfahren, CR 1996, 775; Born, Bonitätsprüfungen im Online-Handel, ZD 2015, 66; Dittombée,

284

|

Kamlah

Automatisierte Einzelentscheidung | § 6a BDSG Credit-Scoring in der Praxis, in: LDI NRW (Hrsg.), Living by numbers, 2005, 86; Früh, Die Regelung des § 18 KWG, WM 2002, 1813; Füser, Scoring und Rating im Kontext von Basel II, FLF 2001, 94; Füser/Rödel, Basel II-Internes Rating mittels (quantitativer und) qualitativer Kriterien, DStR 2002, 275; Ganßauge, Datenverarbeitung und -nutzung von Kreditwürdigkeitsdaten durch fremdnützige Verarbeiter, 1995; GDD-Arbeitskreis „Datenschutz-Praxis“ (Hrsg.), Praxishilfe Automatisierte Einzelentscheidungen, Scoring, Datenübermittlung an Auskunfteien, Sonderbeilage zur RDV-Ausgabe 1 (2010); Gürtler/Kriese, Die Umsetzung der Scoringtransparenz bei Banken, RDV 2010, 47; Helfrich, Kreditscoring und Scorewertbildung der SCHUFA – Datenschutzrechtliche Zulässigkeit im Rahmen der praktischen Anwendungen, 2010; Höfer/Rauscher, ASS – Das Scoreverfahren der SCHUFA, FLF 1997, 109; Hoeren, Rechtliche Grundlagen des SCHUFA-Scoring-Verfahrens, RDV 2007, 93; Hoeren, Datenschutz und Scoring; Grundelemente der BDSG-Novelle I, VuR 2009, 363; Hoeren, Rechtliche Grundlagen des SCHUFA-Scoring-Verfahrens in: SCHUFA Holding AG, Grundlageschrift; Kamlah, Das SCHUFA-Verfahren und seine datenschutzrechtliche Zulässigkeit, MMR 1999, 395; Kamlah, Das Scoring-Verfahren der SCHUFA, MMR 2003, V-VII; Kamlah, Scoring-Verfahren – Statistik und Datenschutzrecht, ZVI 2004, 9; Kamlah/Walter, Scoring – was ist zulässig und welche (Auskunfts-) rechte haben die Betroffenen?, PinG 2015, 159; Klein, Zur datenschutzrechtliche Relevanz des Scorings von Kreditrisiken, BKR 2003, 488; Koch, Scoring-Systeme in der Kreditwirtschaft Einsatz unter datenschutzrechtlichen Aspekten, MMR 1998, 458; Mackenthun, Datenschutzrechtliche Voraussetzungen der Verarbeitung von Kundendaten beim zentralen Rating und Scoring im Bank-Konzern, WM 2004, 1713; Petri, Das Scoringverfahren der SCHUFA, DuD 2001, 290; Petri, Sind Scoringwerte rechtswidrig?, DuD 2003, 631; Petri, Ist Credit-Scoring rechtswidrig? in: LDI NRW (Hrsg,) Living by numbers, 2005, 111; Schuler-Harms, Die kommerzielle Nutzung statistischer Persönlichkeitsprofile als Herausforderung für den Datenschutz, in: LDI NRW (Hrsg.), Living by numbers, 2005, 5; Taeger, Datenschutz im Versandhandel – Übermittlung von Kundendaten mit positivem Bonitätswert, BB 2007, 785; Urbatsch, Die Entwicklung von Credit-Scoring-Systemen, in LDI NRW (Hrsg.), Living by numbers, Düsseldorf 2005, 68; Wäßle/Heinemann, Scoring im Spannungsfeld von Datenschutz und Informationsfreiheit – Rechtliche Rahmenbedingungen für den Einsatz von Scoringverfahren nach der Novellierung des Bundesdatenschutzgesetzes, CR 2010, 410; Weichert, Datenschutzrechtliche Anforderungen an VerbraucherKredit-Scoring, DuD 2005, 582; Weichert, Verbraucher-Scoring meets Datenschutz, DuD 2006, 399; Wolber, Datenschutzrechtliche Zulässigkeit automatisierter Kreditentscheidungen – Rechtliche Rahmenbedingungen für die elektronische Risikobewertung, CR 2003, 623; Wuermeling, Umsetzung der Europäischen Datenschutzrichtlinie – Konsequenzen für die Privatwirtschaft DB 1996, 663; Wuermeling, Scoring von Kreditrisiken, NJW 2002, 3508; Wuermeling, Scoring rechtmäßig gestalten, in: LDI NRW (Hrsg.), Living by numbers, 2005, 98; Wuermeling, Scoring rechtmäßig gestalten, in: LDI NW (Hrsg.), Living by numbers – Leben zwischen Statistik und Wirklichkeit, 2005, 38.

Kamlah

|

285

§ 6a BDSG | Allgemeine und gemeinsame Bestimmungen I. Einführung 1 Die Vorschrift wurde ursprünglich im Zuge der BDSG-Novelle 2001 in Umset-

zung der Europäischen Datenschutzrichtlinie 95/46/EG (EG-Datenschutzrichtlinie)1 in das BDSG aufgenommen. Als europarechtliche Norm ist sie daher richtlinienkonform auszulegen. Konkret liegen der Regelung des § 6a die Art. 12 und 15 der EG-Datenschutzrichtlinie zugrunde. Die Integration dieser Vorschriften in die EG-Datenschutzrichtlinie erfolgte auf Bestreben Frankreichs und sollte insbesondere automatisierte Entscheidungen der öffentlichen Verwaltung regeln2. Allerdings wurde dann im Laufe des Richtlinienverfahrens diskutiert, ob auch zivilrechtliche Vorgänge wie die Ablehnung von Vertragsanträgen vom Anwendungsbereich erfasst sein sollten. Auch wenn man die Ablehnung von Vertragsverhältnissen vom Anwendungsbereich der Vorschrift erfasst sieht, darin aber gleichwohl keine Verletzung der Vertragsfreiheit erblickt, weil kein Kontrahierungszwang begründet wird3, so bleibt doch zu konstatieren, dass die durch § 6a bestehende Begründungspflicht insoweit in die Vertragsfreiheit eingreift.

2 Die systematische Verortung der Vorschrift im Datenschutzrecht ist nicht un-

problematisch, denn im Kern handelt es sich nicht um eine datenschutzrechtliche Regelung. Da die Vorschrift automatisierte Einzelentscheidungen im Rahmen von vorvertraglichen oder vertraglichen Verhältnissen regelt, wäre eine Verortung im Bürgerlichen Gesetzbuch (BGB) passender gewesen. Stattdessen wurde eine zivilrechtliche Willensbildung, die typischerweise auf Basis von Informationen erfolgt und teilweise auch nur auf Basis ausreichender Informationen erfolgen darf (s. § 93 Abs. 1 Satz 2 AktG), datenschutzrechtlich ausgestaltet und über § 38 unter Datenschutzaufsicht gestellt. In der Praxis führt dies dazu, dass sich bspw. Banken ggü. der datenschutzrechtlichen Aufsichtsbehörde dafür rechtfertigen müssen, wenn sie einem Kunden keinen Kredit gewähren oder risikospezifische Zinsen verlangen.

3 Da im Rahmen der BDSG-Novelle 2001 in der Gesetzesbegründung als Anwen-

dungsbeispiel der Norm auch Scoringverfahren genannt wurden4, war seit 2001 über die Vorschrift des § 6a auch die datenschutzrechtliche und datenschutzpolitische Diskussion um Scoringverfahren insgesamt eröffnet. Da diese nicht zur Ruhe kam (s. § 28b), sah sich der Gesetzgeber erneut zum Handeln veranlasst. Im Zuge der sog. BDSG-Novelle I5 wurde zum einen klargestellt, wann

1 ABl. EG L Nr. 281 v. 23.11.1995. 2 Zu den Hintergründen im Einzelnen s. Wuermeling, DB 1996, 668. 3 So die Gesetzesbegründung zu § 6a i.d.F. der BDSG-Novelle I, BT-Drucks. 16/10529, S. 13. 4 BT-Drucks. 14/4329, S. 37, obwohl man durchaus hätte vertreten können, dass die den (automatisierten) Entscheidungen zugrunde liegenden Verfahren gerade keinen Anwendungsfall des § 6a darstellen, sondern nur die entsprechenden Entscheidungen selbst. 5 BT-Drucks. 16/10529 und 16/13219.

286

|

Kamlah

Automatisierte Einzelentscheidung | § 6a BDSG

eine ausschließlich auf einer automatisierten Verarbeitung (von personenbezogenen Daten) gestützte Entscheidung vorliegt. Zum anderen wurde eine Verpflichtung aufgenommen, wonach die wesentlichen Gründe einer ablehnenden Entscheidung dem Betroffenen auf Verlangen mitzuteilen sind. Unter dem Stichwort „Big Data“ wird u.a. auch der § 6a neu diskutiert. In des- 3a sen Anwendungsbereich werden dementsprechende Datenverarbeitungsvorgänge sicherlich zu prüfen sein. Daher werden „smarte“ Lösungen im Energievorgungsbereich („Meter“), der Automobilindustrie („Car“) oder der Vernetzung im privaten Bereich („Home“) entwickelt1.

II. Verbot der automatisierten Einzelentscheidung Die Norm gilt aufgrund der Verortung in den allgemeinen Teil des BDSG für 4 den öffentlichen wie für den nicht-öffentlichen Bereich (§ 1 Abs. 2)2. 1. Entscheidungen (Abs. 1 Satz 1) Das Verbot des § 6a betrifft nur die Datenverarbeitung und Nutzung, die un- 5 mittelbar zu einer Entscheidung führt3. Anknüpfungspunkt ist nicht die Zulässigkeit der Datenverarbeitung und Nutzung selbst, sondern allein die Zulässigkeit des darauf basierenden Entscheidungsvorgangs. Es sind aber nicht jedwede Entscheidungen betroffen. Die Entscheidungen müssen vielmehr auf der automatisierten Bewertung von Persönlichkeitsmerkmalen, wie der beruflichen Leistungsfähigkeit oder Zuverlässigkeit beruhen. Davon zu trennen sind ferner Verarbeitungs- und Nutzungsvorgänge, bei denen bspw. lediglich mehrere Entscheidungsvorschläge gemacht oder Entscheidungen vorbereitet werden. Das Vorliegen einer automatisierten Verarbeitung stellt alleine noch keine automatisierte Entscheidung, sondern ggf. eine erst der Entscheidung vorausgehende Datenauswertung dar4. So stellt bspw. eine automatisierte Vorauswahl (z.B. automatisierter Abgleich des Personaldatenbestandes anhand bestimmter Suchkriterien wie etwa Alter, Ausbildung, Zusatzqualifikation u.ä.), der eine Entscheidung erst nachfolgt, keine automatisierte Einzelentscheidung i.S.d. § 6a dar5. 1 S. hierzu insbesondere die entsprechenden Leitfäden des Branchenverbandes Bitkom, die auf deren Internetseite abrufbar sind. 2 Zu vergleichbaren Vorschriften im öffentlichen Bereich sowie in den Landesdatenschutzgesetzen Simitis/Scholz, § 6a BDSG Rz. 2; Gola/Schomerus, § 6a BDSG Rz. 2a und 20. 3 Allerdings fallen Scoringverfahren nur dann unter die Regelung, wenn sowohl das Scoringverfahren als auch die anschließende Entscheidung in einer Hand liegen, BT-Drucks. 14/4329. 4 BGH v. 28.1.2014 – VI ZR 156/13, NJW 2014, 1235; einen Rechtsprechungsüberblick bieten Kamlah/Walter, PinG 2015, 159. 5 BT-Drucks. 14/4329, S. 37.

Kamlah

|

287

§ 6a BDSG | Allgemeine und gemeinsame Bestimmungen Ebenfalls keine vollautomatisierte Entscheidung ist die bloße Erfragung von oder Auswertung nach bestimmten Merkmalen1. In aller Regel entfällt dann auch das Kriterium der Ausschließlichkeit der automatisierten Verarbeitung oder der automatisierten Bewertung von Persönlichkeitsmerkmalen. 2. Auswirkungen der Entscheidungen (Rechtliche Folge/Erhebliche Beeinträchtigung) (Abs. 1 Satz 1) 6 Der Anwendungsbereich ist unter anderem dann eröffnet, wenn die Entschei-

dung eine rechtliche Folge hat. Die Terminologie der rechtlichen Folge setzt voraus, dass sich die Rechtsposition des Betroffenen in irgendeiner Weise verändert oder in ein Recht eingegriffen wird. Daraus lässt sich schließen, dass diese Tatbestandsvariante nicht einschlägig ist, wenn es um Entscheidungen im Zusammenhang mit Vertragsabschlüssen geht. Hier besteht grundsätzlich Vertragsfreiheit, so dass seitens des Betroffenen keine Rechtspositionen bestehen, in die – etwa bei einer Vertragsablehnung – eingegriffen wird2. Gleiches gilt, wenn Vertragsanträge modifiziert angenommen werden. Dagegen liegt eine Veränderung von Rechtspositionen vor, wenn bspw. auf der Grundlage von automatisierten Entscheidungen (belastende) Verwaltungsakte ergehen3.

7 Der Anwendungsbereich ist aber auch dann eröffnet, wenn Entscheidungen den

Betroffenen erheblich beeinträchtigen4. Im Rahmen dieser Tatbestandsalternative wird dann aber allgemein davon ausgegangen, dass die Ablehnung von Vertragsanträgen eine erhebliche Beeinträchtigung i.S.d. Vorschrift darstellt. Diese – wohl herrschende Ansicht – stützt sich dabei auf Erörterungen im Richtlinienverfahren5, kann aber auch aus dem Umkehrschluss des Wortlauts des Abs. 2 Nr. 1 abgeleitet werden. Allerdings kann eine erhebliche Beeinträchtigung bei einer Ablehnung von Vertragsanträgen dann nicht angenommen werden, wenn der beantragte Vertrag keinen „erheblichen“ Gegenstand hat, er bspw. nur geringe wirtschaftliche oder praktische Bedeutung hat. Hier wird man zwischen Gegenständen der Grundversorgung wie z.B. Konto, Wohnung oder Energie einerseits und des (ggf. kreditfinanzierten) Konsums andererseits differenzieren müssen6. 1 Simitis/Scholz, § 6a BDSG Rz. 21 und Rz. 24 a.E. 2 So auch Simitis/Scholz, § 6a BDSG Rz. 27 und Wolff/Brink/v. Lewinski, § 6a BDSG Rz. 29 ff. 3 BT-Drucks. 14/4329, S. 37. 4 Zur verfassungsrechtlichen Dimension der Erheblichkeit einschränkend Simitis/Scholz, § 6a BDSG Rz. 11, der allerdings dann dagegen in Rz. 27 ff. zu einer weiten Auslegung tendiert. 5 S. hierzu Simitis/Scholz, § 6a BDSG Rz. 27, dort mit Fn. 104; Taeger/Gabel/Mackenthun, § 6a BDSG Rz. 13 f.; a.A. wohl Wolber, CR 2003, 623 (626). 6 Vgl. auch Begriff des Massengeschäfts in § 19 AGG.

288

|

Kamlah

Automatisierte Einzelentscheidung | § 6a BDSG

Damit stellt sich jedoch unmittelbar die Frage, ob neben der Ablehnung eines 8 Vertragsantrags auch die Annahme eines Vertragsantrags unter Änderung der ursprünglich vorgeschlagenen Konditionen die Erheblichkeitsschwelle der Beeinträchtigung erreicht. Relevant wird dies bspw. im Anschluss an eine Werbung mit „ab Konditionen“1. Entscheidend dürfte sein, aus welchen Gründen der Vertrag zwar angenommen wird, dieser jedoch zu geänderten Konditionen erfolgt. So leitet sich bspw. im Anschluss an die Verbraucherkreditrichtlinie2 oder der Wohnimmobilienkreditrichtlinie3 aus § 18a KWG und § 505a ff. BGB4 für den Bereich der Kreditvergabe eine Pflicht zur Bonitätsprüfung ab5. Hintergrund für diese Regelungen ist eine verantwortungsvolle Kreditvergabe. Führt diese dazu, dass bspw. zusätzliche Sicherheiten eingeholt werden oder die Laufzeiten verändert werden, so können diese letztlich zum Schutz des Betroffenen getroffenen Maßnahmen keine erheblichen Beeinträchtigungen darstellen. Keine erhebliche Beeinträchtigung ist auch die Entscheidung über die Zahlungsweise (z.B. Nachnahme oder auf Rechnung), da hier dem Vertragsbegehren ja stattgegeben wurde6 oder im Falle der vorausgehenden sog. Zahlartensteuerung der Vertragsschluss nach wie vor möglich bleiben soll7. Den vorgenannten Grundsätzen entsprechend wären dann auch automatisierte 9 Entscheidungen innerhalb laufender Vertragsbeziehungen zu betrachten. So kann bspw. bei lang laufenden Kreditbeziehungen eine Änderung der Konditionen durchaus sachlich geboten sein und würde dann keine erhebliche Beeinträchtigung darstellen (z.B. Änderung eingeräumter Limite). Demgegenüber wäre bei einer Vertragskündigung eine erhebliche Beeinträchtigung wohl anzunehmen, auch wenn diese zu Recht erfolgt8. Da eine erhebliche Beeinträchtigung (mit vorgenannten Einschränkungen) nur 10 bei der Ablehnung von Vertragsanträgen angenommen werden kann, stellen Entscheidungen auch dann keine erhebliche Beeinträchtigung dar, wenn sie in keinem unmittelbaren Zusammenhang mit einem Vertragsschluss stehen. Daher stellen bspw. vollautomatisierte Vorselektionen (s. dazu bereits Rz. 5), etwa auch im Vorfeld von Werbemaßnahmen sowohl hinsichtlich des Inhalts, als auch 1 2 3 4 5 6 7

8

S. aber auch § 6 PangVO Abs. 2. Richtlinie 2008/48/EG v. 23.4.2008, ABl. EU Nr. L 133/66 v. 22.5.2008. Richtlinie 2014/17/EU v. 4.2.2014, ABl. EU Nr. L 60/34 v. 28.2.2014. Ehemals § 509 BGB bzw. § 18 KWG, s. Gesetz zur Umsetzung der Wohnimmobilienkreditrichtlinie. So auch Hofmann, NJW 2010, 1782 schon zu den Vorgängervorschriften; nunmehr aber auch EuGH v. 18.12.2014 – C-449/213, ZD 2015, 175. A.A. Gola/Schomerus, § 6a BDSG Rz. 10 und auch Helfrich, S. 241 ff. Vgl. Wolff/Brink/v. Lewinski, § 6a BDSG Rz. 30 und 36; etwas undeutlich Born, ZD 2015, 66 (69); zu Zahlarten im Online-Handel und zur Frage der Zumutbarkeit, wenn die Zahlungsweise „Sofortüberweisung“ als einzige Bezahlart angeboten wird LG Frankfurt am Main v. 24.6.2015 – 2-6 O 458/14, MMR 2015, 582. Vgl. Gola/Schomerus, § 6a BDSG Rz. 11.

Kamlah

|

289

§ 6a BDSG | Allgemeine und gemeinsame Bestimmungen hinsichtlich des Adressatenkreises sowie deren (Nicht-)erhalt, keine erhebliche Beeinträchtigung dar1. 3. Ausschließlichkeit der automatisierten Verarbeitung (Abs. 1 Satz 1 und 2) 11 Das Verbot der automatisierten Einzelfallentscheidung gilt nur dann, wenn sie

zunächst automatisiert (s. § 3 Abs. 2), d.h. unter Einsatz von Computerprogrammen erfolgt2 und die Entscheidung ausschließlich auf eine automatisierte Verarbeitung personenbezogener Daten gestützt wird. Im öffentlichen Bereich würden solche ausschließlich automatisierten Entscheidungen dem Rechtsstaatsprinzip widersprechen und i.d.R. auch zu ermessensfehlerhaften Entscheidungen führen3. Dabei sind viele Methoden denkbar, automatisierte Entscheidungen zu generieren. Auch Scoreverfahren (zum Begriff s. § 28b) können zu automatisierten Einzelentscheidungen i.S.v. § 6a führen, zwingend ist das jedoch nicht, insbesondere dann nicht, wenn das Scoreverfahren nicht direkt in eine Entscheidung durch die verantwortliche Stelle mündet4. Vielmehr müssen auch bei Zugrundelegung von Scoreverfahren die übrigen Voraussetzungen des § 6a vorliegen, damit das Verbot zur Anwendung kommt.

12 Seit Inkrafttreten der Regelung war umstritten, wie intensiv der Einfluss eines

Menschen auf die Entscheidung (noch) sein muss, damit keine automatisierte Entscheidung vorliegt, die dann ggf. das Verbot der automatisierten Einzelentscheidung auslöst. Der Gesetzgeber hat daher im Rahmen der sog. BDSG-Novelle I5 mit Wirkung zum 1.4.2010 Satz 2 in Abs. 1 der Vorschrift ergänzt. Danach liegt eine ausschließlich auf eine automatisierte Entscheidung gestützte Verarbeitung insbesondere dann vor, wenn keine inhaltliche Bewertung und darauf gestützte Entscheidung durch eine natürliche Person stattgefunden hat. Ausweislich der Gesetzesbegründung kam es dem Gesetzgeber darauf an, dass die Beteiligung einer natürlichen Person nicht bloß einen formalen Akt darstellt, sondern diese auch tatsächlich die Befugnis und die Kenntnis der zugrunde liegenden Daten und des Verfahrens hat, (ggf. anders) zu entscheiden6. Der Begriff der natürlichen Person ist im BDSG allerdings nicht definiert. Auch § 3 Abs. 1 hilft hier nicht weiter. Zugrunde zu legen ist vielmehr die Entscheidungsbefugnis des zuständigen Sachbearbeiters, ggf. eigene Erfahrungen oder

1 So auch Gola/Schomerus, § 6a BDSG Rz. 10. 2 D.h. Ablaufpläne und Entscheidungsbäume reichen nicht, Wolff/Brink/v. Lewinski, § 6a BDSG Rz. 14. 3 Simitis/Scholz, § 6a BDSG Rz. 10. 4 BGH v. 28.1.2014 – VI ZR 156/13, NJW 2014, 1235. 5 BGBl. I, 2254. 6 BT-Drucks. 16/10529, S. 13.

290

|

Kamlah

Automatisierte Einzelentscheidung | § 6a BDSG

Kenntnisse in die Entscheidung mit einfließen zu lassen oder die Möglichkeit, den Entscheidungsprozess ggf. anzuhalten und zu eskalieren1. An der vorgenannten Befugnis fehlt es, wenn bspw. ein sog. „cut-off“ vorgege- 13 ben ist, der im Anschluss an den automatisierten Verarbeitungsprozess eine Entscheidung vorgibt. Der „cut-off“ stellt in aller Regel dann auch die Arbeitsanweisung dar, nicht anders zu entscheiden. Die eigentliche Entscheidung wird dann nur durch eine natürliche Person verkündet, wobei darauf zu achten ist, dass die Kriterien der Entscheidung auf Basis der Bewertung einzelner Persönlichkeitsmerkmale vorliegen müssen, was bspw. bei Auswertungen anhand bloßer Einzelinformationen nicht gegeben ist. Solche Fälle sind insbesondere im Massengeschäft denkbar. Das Vorliegen einer automatisierten Einzelentscheidung wird insbesondere dann relevant, wenn im Rahmen des Entscheidungsprozesses natürliche Personen gar nicht mehr in Erscheinung treten, wie bspw. beim Fernabsatz oder beim Onlinebanking, wobei die entsprechenden Verfahren dann gleichwohl immer noch § 6a BDSG-konform sein können, weil es an anderen Voraussetzungen eines Verbotes im Sinne der Vorschrift fehlt (s. Rz. 7 f. und Rz. 18 ff.). Dagegen ist das Ausschließlichkeitskriterium nicht gegeben, wenn eine natürliche Person eine wie auch immer geartete Möglichkeit, eine Plausibilitätskontrolle durchzuführen, abweichend entscheiden oder den vollautomatisiert ermittelten Entscheidungsvorschlag zumindest eskalieren kann2. 4. Bewertung einzelner Persönlichkeitsmerkmale (Abs. 1 Satz 1) Die automatisierte Verarbeitung muss sich zunächst auf personenbezogene Da- 14 ten beziehen (s. hierzu § 3 Abs. 1). Diese Daten müssen ferner der Bewertung einzelner Persönlichkeitsmerkmale dienen (können). Zu den Daten, die der Bewertung einzelner Persönlichkeitsmerkmale dienen, können nach Art. 15 der EG-Datenschutzrichtlinie die berufliche Leistungsfähigkeit (wie z.B. Vertriebserfolge), die Kreditwürdigkeit (die bspw. auf Basis eigener Daten und/oder seitens Auskunfteien zur Verfügung gestellter Daten ermittelt wurde), die Zuverlässigkeit (die bspw. für Sicherheits- oder Compliance-relevante Berufe zu ermitteln oder Voraussetzung zum Erhalt bestimmter Genehmigungen ist) oder das Verhalten einer natürlichen Person gehören. Auch Entscheidungen lediglich auf Basis einer einzigen Eigenschaft des Betroffenen (z.B. Geschäftsfähigkeit oder Verbrauchereigenschaft) sind denkbar, wenn diese bspw. der Erfüllung gesetzlicher Vorschriften dient oder in Umsetzung einer bestimmten Geschäftspolitik erfolgt3. Das führt zur Frage, wann von einem Persönlichkeitsmerkmal auszugehen ist 15 und wann nur von einer personenbezogenen Information, deren (Vor-)Selek1 Vgl. auch Gola/Schomerus, § 6a BDSG Rz. 6. 2 Vgl. Simitis/Scholz, § 6a BDSG Rz. 20. 3 S. BT-Drucks. 16/10529, S. 13.

Kamlah

|

291

§ 6a BDSG | Allgemeine und gemeinsame Bestimmungen tion für sich genommen keine Entscheidung darstellt (sonst hätte es des zusätzlichen Begriffs nicht bedurft). I.E. wird man sagen müssen, dass Persönlichkeitsmerkmale die Eigenschaft einer natürlichen Person beschreiben (z.B. Geschäftsfähigkeit), was nicht bei jedem personenbezogenen Datum nach § 3 Abs. 1 der Fall sein muss. So sind z.B. die Adresse oder die Entfernung des Wohnortes zum Arbeitsplatz reine Sachinformationen1. 16 Daher sind auch automatisierte Einzelentscheidungen denkbar, die auf per-

sonenbezogenen Daten beruhen, die aber ohne Analyse von Persönlichkeitsmerkmalen erfolgen mit der Konsequenz, dass das Verbot des § 6a keine Anwendung findet. So wird bei automatisierten Zahlungsverfügungen oder diesen zugrunde liegenden Entscheidungen i.d.R. kein Persönlichkeitsmerkmal bewertet, sondern nur das Vorliegen eines ausreichenden Verfügungsrahmens überprüft (z.B. Abhebung vom Geldautomaten, automatisierte Genehmigungen von Kreditkartenverfügungen, automatisiert gesteuerte Guthabenabgleiche zur Ausführung von Überweisungs-, Scheck- oder Lastschriftaufträgen)2. Ähnlich verhält es sich bei automatisieren Identitätsfeststellungen, denen letztlich nur ein Abgleich von Informationen zugrunde liegt (z.B. biometrische Zugangssysteme)3. Auch in einem solchen Fall findet § 6a keine Anwendung.

17 Umgekehrt bedeutet das auch, dass § 6a „nur“ die vollautomatisierte Einzelent-

scheidung auf Basis der Bewertung einzelner Persönlichkeitsmerkmale regelt, nicht aber die Profilbildung als solche. Die Zulässigkeit dessen richtet sich vielmehr nach den allgemeinen Regeln4. 5. Ausnahmen von dem Verbot (Abs. 2)

18 Automatisierte Einzelentscheidungen sind jedoch nicht grundsätzlich unzuläs-

sig. § 6a formuliert kein generelles Verbot automatisierter Einzelentscheidungen, sondern differenziert und versieht automatisierte Einzelentscheidungen ggf. mit Auflagen bei Einhaltung derer auch vollautomatisierte Einzelentscheidungen zulässig sein können. a) Stattgabe des Begehrens (Abs. 2 Nr. 1)

19 Abs. 2 Nr. 1 stellt ausdrücklich fest, dass automatisierte Einzelentscheidungen

dann nicht unzulässig sind, wenn die Entscheidung im Rahmen des Abschlusses der Erfüllung eines Vertragsverhältnisses oder eines sonstigen (öffentlich-rechtlichen) Rechtsverhältnisses ergeht und dem Begehren des Betroffenen stattgegeben wurde. Nach der Systematik des § 6a sind nicht-vollautomatisierte (auch ab1 2 3 4

Wolff/Brink/v. Lewinski, § 6a BDSG Rz. 9. BT-Drucks. 14/4329, S. 37. BT-Drucks. 14/4329, S. 37. Zur Profilbildung Simitis/Scholz, § 6a BDSG Rz. 22.

292

|

Kamlah

Automatisierte Einzelentscheidung | § 6a BDSG

lehnende) Einzelentscheidungen und automatisierte stattgebende (positive) Entscheidungen mithin zulässig. b) Wahrung der berechtigten Interessen (Abs. 2 Nr. 2) Aber auch belastende automatisierte Einzelentscheidungen nach Abs. 1 können 20 zulässig sein, wenn die Wahrung der berechtigten Interessen des Betroffenen durch geeignete Maßnahmen gewährleistet ist und die weiteren Voraussetzungen des Abs. 2 Nr. 2 eingehalten werden. In diesem Fall hat die verantwortliche Stelle (s. § 3 Abs. 7), die die Entscheidung nach Abs. 1 getroffen hat, dem Betroffenen zunächst unaufgefordert das Vorliegen einer solchen Entscheidung mitzuteilen1. Der Aufbau der Vorschrift ist insoweit undeutlich, als dass die Pflicht zur Wahrung der berechtigten Interessen zuerst genannt wird. Logischerweise hat zunächst die Information zu erfolgen, woran sich dann die Wahrung der Betroffenenrechte (durch weitergehende Mitteilungen und Erläuterungen auf Verlangen, um dem Betroffenen die Möglichkeit zu geben ggf. seinen Standpunkt mit dem Ziel einer erneuten Überprüfung geltend zu machen) anschließt. Das Gesetz schreibt keine Form vor2, so dass diese Mitteilung schriftlich (Brief, 21 Fax) oder auch in Textform (E-Mail) erfolgen kann. Auch eine mündliche Mitteilung (z.B. am point of sale) ist denkbar, wobei sich dann ggf. ein Nachweisproblem ergibt. Auch eine Mitteilung in AGB erscheint denkbar3. Insgesamt ist die Mitteilung allerdings so zu gestalten, dass sie in zeitlichem Kontext zur eigentlichen Entscheidung zur Kenntnis genommen werden kann. Das Gesetz sieht zwar auch keine Frist vor. Aus dem Sinn und Zweck der Vor- 22 schrift, wonach der Betroffene mit einem „zuständigen Sachbearbeiter in Kontakt treten und seine Interessen vertreten“ können soll, ist jedoch zu schließen, dass diese Information in unmittelbarem zeitlichen Zusammenhang mit der eigentlichen Entscheidung zu ergehen hat, damit über die dann erfolgende Kontaktaufnahme die Entscheidung ggf. zeitnah revidiert werden kann. Ferner müssen bei Vorliegen einer automatisierten Einzelentscheidung nach 23 Abs. 1 die berechtigten Interessen des Betroffenen durch geeignete Maßnahmen gewahrt werden. Die ursprünglich im Gesetz vorhandene Konkretisierung 1 Gola/Schomerus, § 6a BDSG Rz. 12. 2 Gola/Schomerus, § 6a BDSG Rz. 14c. 3 Bei einer Verankerung der Mitteilung über das Vorliegen einer Entscheidung nach Abs. 1 in AGB entsteht die Frage, ob über die AGB dann auch eine Verzichtserklärung hinsichtlich der weiteren nach Abs. 2 Nr. 2 bestehenden Mitteilungs- und Erläuterungspflichten verankert werden kann. Da § 6a in § 6 nicht genannt ist, können die Rechte grundsätzlich abbedungen werden (so auch Wolff/Bink/v. Lewinski, § 6a BDSG Rz. 49; Born, ZD 2015, 66 [71]), wobei die AGB-rechtlichen Transparenzanforderungen zu beachten sind. Am point of sale oder im Internetprozess bestünde ggf. die Möglichkeit der Unterzeichnung einer gesonderten Erklärung bzw. das transparente Setzen eines Häkchens.

Kamlah

|

293

§ 6a BDSG | Allgemeine und gemeinsame Bestimmungen der geeigneten Maßnahmen ist entfallen. Allerdings nennt die Gesetzesbegründung zu Abs. 2 Nr. 2 n.F. als Motiv für die Neuregelung die damit verbundene Möglichkeit des Betroffenen, im Anschluss an die Mitteilung und Erläuterung der nach Abs. 1 getroffenen Entscheidung ggf. seinen Standpunkt geltend zu machen1. Offenbar geht der Gesetzgeber davon aus, dass es dann zwangsläufig zu einer (nicht automatisierten) Überprüfung der ursprünglichen Entscheidung kommt, so dass eine Richtlinienkonformität zu Art. 15 Abs. 2a der EG-Datenschutzrichtlinie noch angenommen werden kann2. In Arbeits- und Dienstverhältnissen können die geeigneten Maßnahmen ggf. in Kollektivvereinbarungen geregelt werden3. 24 Begreift man im Lichte von Art. 15 der EG-Datenschutzrichtlinie die Mitteilung

und Erläuterung der wesentlichen Gründe der Entscheidung nach Abs. 1 als geeignete Maßnahme, so müssen die Mitteilung und die Erläuterung der wesentlichen Gründe der Entscheidung nach Abs. 1 geeignet sein, dass der Betroffene seinen Standpunkt geltend machen kann, auf dessen Basis dann wiederum eine erneute Überprüfung der Entscheidung stattfinden kann. Die Mitteilung und Erläuterung der wesentlichen Gründe für die Entscheidung soll den Betroffenen in die Lage versetzen zu erkennen, „woran es gelegen hat“4. Um dieses Ziel zu erreichen, müssen nicht notwendigerweise umfangreiche Ausführungen gemacht werden. So kann es ausreichend sein, bspw. auf das Alter, das (verfügbare) Einkommen, das Bestehen eines erst kurzzeitigen Arbeitsverhältnisses o.ä. abzustellen, um der gesetzlichen Pflicht zu genügen. Damit sind entsprechend der Forderung der Gesetzesbegründung auch gleichzeitig die „wesentlichen personenbezogenen Daten“ mitgeteilt, womit klar ist, dass der Umfang der Erläuterungspflicht enger ist als der Auskunftsanspruch nach § 34 BDSG5 (s.a. Rz. 31 ff.). Die Erläuterung der genauen Funktionsweise des automatisierten Verfahrens oder gar die Offenlegung bestimmter mathematischer Formeln ist ebenfalls nicht erforderlich6.

25 Auch hier ist keine Form vorgeschrieben, so dass auf Rz. 21 verwiesen werden

kann. Bei telefonischen Auskünften sind aber besondere Anforderungen an die Identitätsfeststellung zu stellen, um unzulässige Datenübermittlungen zu vermeiden (s.a. § 34). Anders als die Mitteilung über das Vorliegen einer Entscheidung nach Abs. 1 können die Mitteilung und die Erläuterung der wesentlichen Gründe der Entscheidung aber wohl nicht über AGB erfüllt werden.

1 S. BT-Drucks. 16/10529. 2 Gleichwohl wird die gesetzgeberische Leistung hier immer wieder kritisiert; s. hierzu auch Gola/Schomerus, § 6a BDSG Rz. 14b. 3 Wolff/Brink/v. Lewinski, § 6a BDSG Rz. 44. 4 BT-Drucks. 16/10529, S. 13. 5 Wolff/Brink/v. Lewinski, § 6a BDSG Rz. 48.1. 6 BT-Drucks. 16/10529, S. 13.

294

|

Kamlah

Automatisierte Einzelentscheidung | § 6a BDSG

Eine Pflicht der verantwortlichen Stelle, den Betroffenen auf die Möglichkeit der 26 Mitteilung und Erläuterung der wesentlichen Gründe hinzuweisen, sieht das Gesetz nicht vor. Dies ist insoweit konsequent, als dass es eine Pflicht, bspw. auf die Möglichkeit des § 34 hinzuweisen, ebenfalls nicht gibt. Das ist insoweit bedeutsam, als dass die Pflicht zur Mitteilung und Erläuterung 27 der wesentlichen Gründe der Entscheidung nur auf Verlangen des Betroffenen zu erfüllen ist. Auch dieses ist systemgerecht, da die in § 34 enthaltenen Betroffenenrechte ebenfalls nur auf Verlangen zu erfüllen sind (s. § 34). Es obliegt damit dem Betroffenen, ob er im Anschluss an die Mitteilung über eine Entscheidung nach Abs. 1 weitergehende Rechte geltend machen möchte. Macht der Betroffene von seinem Verlangen nicht Gebrauch, entfällt naturgemäß die Verpflichtung für die verantwortliche Stelle, die Entscheidung zu überprüfen. Eine Frist, innerhalb der das Verlangen zu erfüllen ist, ist nicht bestimmt. Es 28 kann aber insoweit auf die Rz. 22 verwiesen werden. 6. Auskunft (Abs. 3) Das in Abs. 3 verankerte Auskunftsrecht des Betroffenen basiert auf Art. 15, 12a, 29 3. Spiegelstrich und Erwägungsgrund 41 der EG-Datenschutzrichtlinie1. Danach soll sich das aus den §§ 19 bzw. 34 ergebende Auskunftsrecht auf den „logischen Aufbau der automatisierten Verarbeitung“ der Daten erstrecken. Im Anwendungsbereich des § 6a werden die §§ 19 und 34 quasi erweitert. Die Anknüpfung an die §§ 19 und 34 bedeutet aber auch, dass die formalen Regeln sowie die inhaltlichen Voraussetzungen und Grenzen dieser Vorschriften auch für eine Auskunft nach Abs. 3 gelten (s. hier § 34). Dementsprechend ist auch im Rahmen von Abs. 3 nur über die der automatisierten Einzelentscheidung zugrunde liegenden Datenarten und nicht über die Einzelinformationen Auskunft zu erteilen. Ebenso kann nicht über den „Umweg“ des Abs. 3 Auskunft über die Gewichtung dieser Einzelinformationen verlangt werden2. Anhaltspunkte für die Reichweite des Auskunftsanspruchs ergeben sich aus Er- 30 wägungsgrund 41 der EG-Datenschutzrichtlinie. Darin hat der Richtliniengeber insbesondere anerkannt, dass es im Bereich automatisierter Datenverarbeitungen seitens der verantwortlichen Stelle geistiges Eigentum gibt, welches schutzwürdig ist und mit den Informationsinteressen des Betroffenen abzuwägen ist3. Das ist nunmehr auch bei der Neufassung der Vorschrift des Abs. 2 Nr. 2 berücksichtigt worden, bei der ausweislich der Gesetzesbegründung nicht die Funktionsweise des automatisierten Verfahrens oder gar mathematische Formeln offenzulegen sind4. In richtlinienkonformer Auslegung kann nichts ande1 2 3 4

So ausdrücklich BT-Drucks. 14/4329, S. 38. So aber Simitis/Scholz, § 6a BDSG Rz. 40. S. auch Simitis/Scholz, § 6a BDSG Rz. 8. BT-Drucks. 16/10529, S. 13.

Kamlah

|

295

§ 6a BDSG | Allgemeine und gemeinsame Bestimmungen res dann aber auch für Abs. 3 gelten. Die Auskunft über den logischen Aufbau beschränkt sich damit auf die Erläuterung des Ablaufs der Datenverarbeitung. Dem Betroffenen ist zu erläutern, in welcher Art und Weise seine Daten verarbeitet werden und warum das genauso geschieht. Hierzu bedarf es keiner detaillierten technischen Erläuterung. Sofern das Programm und dessen Funktionsweise allgemein bekannt sind, kann auch die Nennung des Programms ausreichend sein. Entscheidend ist, dass der Betroffene in die Lage versetzt wird, eine allgemeine Vorstellung davon zu bekommen, wie die Daten verarbeitet wurden, die zu der Entscheidung geführt haben. Erfolgt die automatisierte Einzelentscheidung unter Anwendung von Scoreverfahren, darf der Auskunftsanspruch nach Abs. 3 nicht über die nach § 34 zu gebenden allgemeinverständlichen Erläuterungen hinausgehen1.

III. Verhältnis zu anderen Normen 31 Sofern die Entscheidung nach Abs. 1 ausschließlich auf Basis von Scoreverfahren

erfolgte, entspricht als Teilmenge die Erläuterungspflicht nach Abs. 2 dem Auskunftsanspruch nach § 34 Abs. 1 und 2. Das Auskunftsrecht nach § 34 Abs. 1 ist insofern weiter, als dass dort alle personenbezogenen Daten zu beauskunften sind, während das nach Abs. 2 nur für die wesentlichen Gründe gilt, damit deutlich wird, „woran es gelegen hat“. Dementsprechend sind nach Abs. 2, anders als in § 34 Abs. 2, auch nicht das Zustandekommen und die Bedeutung der Wahrscheinlichkeitswerte einzelfallbezogen und nachvollziehbar in allgemein verständlicher Form zu beauskunften (Einzelheiten s. § 34). Zur Reichweite des Auskunftsanspruch nach Abs. 3 s. Rz. 29 ff.

32 Für den Bereich von Entscheidungen nach Abs. 1, die nicht auf Scoreverfahren

beruhen (automatisierte Einzelentscheidungen und Scoreverfahren sind nicht deckungsgleich), behalten Abs. 2 und 3 einen eigenständigen Anwendungsbereich, was insoweit von Bedeutung ist, als dass dies auf Verfahren zutreffen kann, die nicht den Anforderungen an die Wissenschaftlichkeit nach § 28b genügen (müssen). Umgekehrt formuliert § 28b keine Voraussetzung für zulässige Entscheidungen, so dass beide Vorschriften nebeneinander Anwendung finden2.

33 Gemeinsam haben die Auskunftsansprüche nach § 6a Abs. 3 und § 34, dass sie

nur auf Verlangen zu erteilen sind. Das unterscheidet sie von § 29 Abs. 7, wonach bei einer ablehnenden Entscheidung auch ohne Verlangen Auskunft zu er-

1 Im Einzelnen zu weitgehend dagegen Däubler/Klebe/Wedde/Weichert/Weichert, § 6a BDSG Rz. 14 ff.; nach Gola/Schomerus, § 6a BDSG Rz. 14a entsprechen sich bei Scoringverfahren die Ansprüche aus § 6a und § 34 Abs. 2 bzw. 4. 2 So auch Simitis/Scholz, § 6a BDSG Rz. 18; vgl. auch Gola/Schomerus, § 6a BDSG Rz. 15– 17.

296

|

Kamlah

Beobachtung öffentlich zugänglicher Räume | § 6b BDSG

teilen ist, wenn diese (auch nicht automatisiert) aufgrund einer Auskunft einer Stelle nach § 29 Abs. 6 erfolgte (Einzelheiten s. § 29).

IV. Rechtsfolgen/Sanktionen Die Verletzung der Mitteilungs- und Erläuterungspflichten in Abs. 2 ist genauso 34 wenig bußgeld- oder strafbewehrt wie eine Verletzung des Auskunftsrechts nach Abs. 3, kann aber über § 38 über die Aufsichtsbehörden durchgesetzt werden. Zivilrechtlich entfaltet das Verbot der automatisierten Einzelentscheidung keine 35 eigene Konsequenz. „Fehlerhafte“ Entscheidungen können im Zivilrecht mit dem klassischen Instrumentarium der Grundsätze über Willensmängel (Dissens, Irrtum, arglistige Täuschung) „korrigiert“ werden. Eine (unzulässige) automatisierte Einzelentscheidung führt nicht zu zusätzlichen zivilrechtlichen Rechten der Beteiligten. Dies hat seinen Grund nicht zuletzt in dem im Zivilrecht geltenden Prinzip der Vertragsfreiheit. Entsprechendes gilt bei einem Verstoß gegen die Mitteilungs- und Erläuterungspflichten. Diese begründen für sich keinen zivilrechtlichen Willensmangel. Aufgrund der Vertragsfreiheit werden auch selten deliktische Ansprüche gegeben sein, da trotz eines Verstoßes gegen die Bestimmungen des § 6a und damit unterbliebener Möglichkeit zur Stellungnahme ein Vertrag nicht hätte geschlossen werden müssen und es damit in aller Regel an der Kausalität für einen etwas eingetretenen Schaden fehlt.

§ 6b Beobachtung öffentlich zugänglicher Räume mit optisch-elektronischen Einrichtungen (1) Die Beobachtung öffentlich zugänglicher Räume mit optisch-elektronischen Einrichtungen (Videoüberwachung) ist nur zulässig, soweit sie 1. zur Aufgabenerfüllung öffentlicher Stellen, 2. zur Wahrnehmung des Hausrechts oder 3. zur Wahrnehmung berechtigter Interessen für konkret festgelegte Zwecke erforderlich ist und keine Anhaltspunkte bestehen, dass schutzwürdige Interessen der Betroffenen überwiegen. (2) Der Umstand der Beobachtung und die verantwortliche Stelle sind durch geeignete Maßnahmen erkennbar zu machen. (3) 1Die Verarbeitung oder Nutzung von nach Absatz 1 erhobenen Daten ist zulässig, wenn sie zum Erreichen des verfolgten Zwecks erforderlich ist und keine Anhaltspunkte bestehen, dass schutzwürdige Interessen der BetroffeKamlah/Becker

|

297

§ 6b BDSG | Allgemeine und gemeinsame Bestimmungen nen überwiegen. 2Für einen anderen Zweck dürfen sie nur verarbeitet oder genutzt werden, soweit dies zur Abwehr von Gefahren für die staatliche und öffentliche Sicherheit sowie zur Verfolgung von Straftaten erforderlich ist. (4) Werden durch Videoüberwachung erhobene Daten einer bestimmten Person zugeordnet, ist diese über eine Verarbeitung oder Nutzung entsprechend den §§ 19a und 33 zu benachrichtigen. (5) Die Daten sind unverzüglich zu löschen, wenn sie zur Erreichung des Zwecks nicht mehr erforderlich sind oder schutzwürdige Interessen der Betroffenen einer weiteren Speicherung entgegenstehen. I. II. III. IV.

Einführung . . . . . . . . . . . . . . 1 Anwendungsbereich . . . . . . . 3 Öffentlich zugängliche Räume 9 Beobachtung mit optisch-elektronischen Einrichtungen . . . 11 V. Zweckbestimmung und Zweckbindung . . . . . . . . . . . . 14

VI. Erforderlichkeit und Interessenabwägung . . . . . . . VII. Erkennbarkeit der Beobachtung VIII. Benachrichtigungs- und Löschungspflichten . . . . . . . . IX. Rechtsfolgen/Sanktionen, Rechtsweg . . . . . . . . . . . . . . .

20 27 29 31

Schrifttum: Alich, „Task Force“ im Kinosaal, DuD 2010, 44; Bäumler, Datenschutzrechtliche Grenzen der Videoüberwachung, RDV 2001, 67; Bayreuther, Videoüberwachung am Arbeitsplatz, NZA 2005, 1038; Bergfink, Videoüberwachung in Fahrzeugen des öffentlichen Personennahverkehrs, DUD 2015, 145; Brenneisen/Staack, Die Videobildübertragung nach allgemeinem Polizeirecht, DuD 1999, 447; Butz/Brummer, Rechtswidrige Überwachungsmaßnahmen, Drohen Beweisverwertungsverbote?, AuA 2011, 400; Czernik, Heimliche Bildaufnahmen – ein beliebtes Ärgernis, GRUR 2012, 457; Forst, Videoüberwachung am Arbeitsplatz und der neue § 32 BDSG, RDV 2009, 204; Freckmann/Wahl, Überwachung am Arbeitsplatz, BB 2008, 1904; Ganz, Augen auf bei der Videoüberwachung, ArbR 2015, 565; Garstka, Videoüberwachung: Allheilmittel oder Gift für die Freiheitsrechte, DuD 2000, 192; Gola, Der neue strafrechtliche Schutz vor unbefugten Bildaufnahmen im Lichte des BDSG, RDV 2004, 215; Gola/Klug, Videoüberwachung gemäß § 6b BDSG – Anmerkungen zu einer verunglückten Gesetzeslage, RDV 2004, 65; Heinson/Sörup/Wybitul, Der Regierungsentwurf zur Neuregelung des Beschäftigtendatenschutzes, CR 2010, 751; Held, Intelligente Videoüberwachung, Verfassungrechtliche Vorgaben für den polizeilichen Einsatz, Diss., 2014; Hennrich, Google Glass und der Datenschutz –alles glasklar?, AnwZert ITR, 10/2014 Anm. 2; Hilpert, Rechtsfragen des Videoeinsatzes unter besonderer Berücksichtigung des ÖPNV, RDV 2009, 160; Hofmann/Hödl, Drohnen und Drohnenjournalismus, Eine rechtliche Analyse mit Schwerpunkt Österreich, DuD 2015, 167; Hornung/Desoi, „Smart Cameras“ und automatische Verhaltensanalyse, K&R 2011, 153; Huff, Elektronische Überwachung in der Wohnungseigentumsanlage, NZM 2002, 89; Huff, Grenzen der Videoüberwachung in der Wohnungseigentumsanlage, NZM 2002, 688; Huff, Neues zur Videoüberwachung im Miet- und Wohnungseigentumsrecht, NZM 2004, 533; Kipker/Gärtner, Verfassungsrechtliche Anforderungen an den Einsatz polizeilicher „Body-Cams“, NJW 2015, 296; Klein/Roos, Videoüberwachung: Kostspielige Folgen für den Arbeitgeber, ZD 2016, 65; Königshofen, Neue datenschutzrechtliche Regelungen zur Videoüberwachung, RDV 2001, 220; Loy, Zulässigkeit von Webcams auf Baustellen, ZfIR 2004, 181; Marek, Observation, Videos und Detek-

298

|

Becker

Beobachtung öffentlich zugänglicher Räume | § 6b BDSG tive – was darf der ArbG vor Gericht verwenden?, AA 2015, 122; Maties, Arbeitnehmerüberwachung mittels Kamera, NJW 2008, 2219; Mester, Videoüberwachung, DUD 2015, 194; Oberwetter, Arbeitnehmerrechte bei Lidl, Aldi & Co., NZA 2008, 609; Reich, Das Datenschutz-Orakel aus Luxemburg hat gesprochen … aber nur teilweise, VuR 2015, 41; Ronellenfitsch, Datenschutz bei der Bahn, DVBl 2010, 401; Schmid, Rechtliche Bewertung ziviler Drohnenflüge, K&R 2015, 217; Schmidt/Hermonies, Datenschutzrechtliche Rahmenbedingungen der Videoüberwachung in Fussballstadien, CaS 2014, 34; Schnabel, Das Recht am eigenen Bild und der Datenschutz, ZUM 2008, 657; Saurer, Die Landesdatenschutzgesetze als Rechtsgrundlage für die kommunale Videoüberwachung, DÖV 2008, 17; Scholand, Videoüberwachung und Datenschutz, DuD 2000, 202; Schulze/Schreck, Schmerzensgeld bei der Videokontrolle, AiB 2014, Nr. 4, 49; Selk, Kundendaten in der Hotelerie – Aktuelle Datenschutzprobleme vom Check-In bis zum CRM, RDV 2008, 187; Spieker gen. Döhmann, Big Data intelligent nutzen: Rechtskonforme Videoüberwachung im öffentlichen Raum, K&R 2014, 549; Starnecker, Achtung (Klingel-)Kamera! – Anwendbarkeit des BDSG und datenschutzrechtliche Zulässigkeit der Klingelkamera, AnwZert ITR 3/ 2015; Steinkühler/Raif, „Big Brother am Arbeitsplatz“ – Arbeitnehmerüberwachung, AuA 2009, 213; Stöber, Zulässigkeit und Grenzen der Videoüberwachung durch Private, NJW 2015, 3681; Tammen, Video- und Kameraüberwachung am Arbeitsplatz: Hinweise für Betriebs- und Personalräte, RDV 2000, 15; Uschkereit/Zdanowiecki, Rechtsrahmen für den Betrieb ziviler Drohnen, NJW 2016, 444; Weichert, Rechtsfragen der Videoüberwachung, DuD 2000, 662; Winkler, Vertrauenswürdige Videoüberwachung, Sichere intelligente Kameras mit Trusted Computing, DuD 2011, 797; Wohlfahrt, Staatliche Videoüberwachung des öffentlichen Raumes, RDV 2000, 106; Wohlfahrt, Rechtliche Aspekte der beabsichtigten Verwendung von Körperkameras durch die saarländische Polizei, LKRZ 2015, 437; Wrede, Rechtliche Einordnung von Webcams, DuD 2012, 225; Vahle, Videoüberwachung eines Betriebsgeländes ohne Aufzeichnung, DSB 2014, 18; Venetis/Oberwetter, Videoüberwachung von Arbeitnehmern, NJW 2016, 1051; von Zezschwitz, Videoüberwachung in Hessen, DuD 2000, 670; Ziegler, Das Hausrecht als Rechtfertigung einer Videoüberwachung, DuD 2003, 337.

I. Einführung Die Bestimmungen zur Videoüberwachung sind erst mit dem BDSG 2001 ins 1 Gesetz gelangt1. Die Regelung des § 6b knüpft an Tatbestände an, die einer Datenerhebung oder -verarbeitung vorgelagert sein können, und erweitert damit den aufgrund der allgemeinen Bestimmungen des BDSG vermittelten Schutz. Die Regelung wird teilweise als „Fremdkörper“ in der Systematik des BDSG bezeichnet, weil sie nicht notwendig an personenbezogene Daten i.S.d. § 3 Abs. 1 anknüpft2. Der Sachzusammenhang zum Recht auf informationelle Selbstbestimmung und damit zum Datenschutz im weiteren Sinne ist jedoch offen1 Zur Gesetzgebungsgeschichte ausführlich Simitis/Scholz, § 6b BDSG Rz. 2 ff.; zur rechtspolitischen Diskussion Weichert, DuD 2000, 663; Garstka, DuD 2000, 193; Scholand, DuD 2000, 203; Bäumler, RDV 2001, 67; Wohlfahrt, RDV 2000, 101. 2 Vgl. Gola/Schomerus, § 6b BDSG Rz. 3; Gola/Klug, RDV 2004, 65.

Becker

|

299

§ 6b BDSG | Allgemeine und gemeinsame Bestimmungen kundig und die Verortung im BDSG daher richtig. Zugleich ergibt sich aber aus der Doppelnatur des § 6b, dass dieser neben der DSGVO als nationales Recht bestehen bleiben kann, zumal die DSGVO keine speziellere Regelung zur Videoüberwachung enthält1. § 6b trägt den besonderen Gefahren der Videotechnik für das Recht auf informationelle Selbstbestimmung Rechnung. Dabei ist besonders hervorzuheben, dass dieser Schutz sich nach der Rechtsprechung des BVerfG nicht allein auf die Privat- und Intimsphäre bezieht, sondern gerade auch den informationellen Schutzinteressen des Einzelnen, der sich in die Öffentlichkeit begibt, Rechnung zu tragen hat2. D.h. gerade auch in der Öffentlichkeit besteht ein Schutz vor ungerechtfertigter oder unangemessener Beobachtung. Die Norm gewinnt aufgrund der stark zunehmenden Verbreitung von Videoanwendungen im privaten und geschäftlichen Bereich an Bedeutung. Die Regelung der Thematik im BDSG begründet eine Zuständigkeit der Datenschutzbehörden für Fälle der Videoüberwachung im öffentlichen Raum auch in den Fällen, in denen es an einer Datenverarbeitung im engeren Sinne (§§ 1 Abs. 2 Nr. 3, 3 Abs. 2) fehlt. Dem Bürger wird damit die Möglichkeit eingeräumt, vor gerichtlichen Schritten gegenüber Dritten den einfacheren Weg der Einschaltung der Datenschutzbehörde zu nehmen. Die Datenschutzbehörden werden mit dem Thema tatsächlich auch sehr häufig befasst. Seit der Vorauflage haben die Datenschutzbehörden deshalb in einer ganzen Reihe von Veröffentlichungen zu praxisrelevanten Fragen der Videoüberwachung Stellung genommen3. Der Düsseldorfer Kreis hat insbesondere eine umfangreiche „Orientierungshilfe Videoüberwachung durch nicht öffentliche Stellen“ herausgegeben, die sicherlich für längere Zeit die Praxis prägen wird4. 2 Die Vorschriften des § 6b sind komplementär zu Bestimmungen außerhalb des

BDSG zu sehen, die durch § 6b nicht verdrängt, sondern ergänzt werden. Nach der Gesetzesbegründung bleiben bereichsspezifische Normen von § 6b unberührt5. Die Nutzung von Videotechnik ist daher regelmäßig unter verschiedenen rechtlichen Gesichtspunkten zu beurteilen: Grundsätzlich können sich delikti-

1 Die Videoüberwachung wird lediglich als ein Fall für die Notwendigkeit einer Datenschutz-Folgenabschätzung in Erwägungsgrund 91 der DSGVO genannt. 2 BVerfG v. 11.8.2009 – 2 BvR 941/08, NJW 2009, 3293; BVerfG v. 23.2.2007 – 1 BvR 2368/ 06, NJW 2007, 2320. 3 Düsseldorfer Kreis, Videoüberwachung in und an Taxis, 26./27.2.2013; Düsseldorfer Kreis, Unzulässigkeit der Videoüberwachung aus Fahrzeugen (sog. Dashcams), 25./26.2.2014; Düsseldorfer Kreis, Videoüberwachung in öffentlichen Verkehrsmitteln, 16.9.2015; Düsseldorfer Kreis, Videoüberwachung in Schwimmbädern, Stand 10.8.2015; Düsseldorfer Kreis, Nutzung von Kameradrohnen durch Private, 15./16.9.2015; LDI NRW, Sehen und gesehen werden, Videoüberwachung durch Private, Orientierungshilfe mit Fallbeispielen, 2014. 4 Düsseldorfer Kreis, Orientierungshilfe „Videoüberwachung durch nicht öffentliche Stellen“, Stand 19.2.2014. 5 BT-Drucks. 14/4329, S. 38.

300

|

Becker

Beobachtung öffentlich zugänglicher Räume | § 6b BDSG

sche Abwehrrechte (§§ 823 Abs. 1, 1004 BGB) in Bezug auf das allgemeine Persönlichkeitsrecht oder sonstige absolute Rechtsgüter ergeben (dazu auch Rz. 31). Das Recht am eigenen Bild (§ 22 KUG) ist Grundlage für Abwehransprüche, wenn Personen auf Videoaufnahmen individuell erkennbar sind und es um deren Verbreitung oder öffentliche Zurschaustellung geht1. Gegen mit Videoaufnahmen verbundene Tonaufnahmen des nicht-öffentlich gesprochenen Wortes schützt § 201 StGB. Gegen unbefugte Bildaufnahmen in einer Wohnung oder einem gegen Einblick besonders geschützten Raum schützt § 201a StGB2. Als Alltagsgegenstände getarnte Sendeanlagen zur Übertragung von heimlich aufgenommenen Bildern sind nach § 90 Abs. 1 TKG verboten; Besitz, Herstellung, Vertrieb und Einfuhr solcher Anlagen sind strafbar (§ 148 TKG).

II. Anwendungsbereich Die Bestimmungen des § 6b gelten sowohl für den öffentlichen als auch für den 3 nicht-öffentlichen Bereich. Im öffentlichen Bereich richten sich die Bestimmungen an die öffentlichen Stel- 4 len des Bundes3. Auf Ebene des Bundesrechts finden sich jedoch vorrangige und abschließende Regelungen zu Bild- und Tonaufnahmen und zwar vor allem in den Bereichen der Gefahrenabwehr und Strafverfolgung. Im Verhältnis zu diesen begründet § 6b keine zusätzlichen Eingriffsbefugnisse4. Hinzuweisen ist insoweit auf die Regelungen zur Gefahrenabwehr bei Versammlungen in geschlossenen Räumen (§ 12a VersG) oder unter freiem Himmel (§ 19a VersG), zu strafprozessualen Abhörmaßnahmen (§ 100c Abs. 1 StPO) und zur heimlichen Videoobservation außerhalb von Wohnungen (§ 100h Abs. 1 Nr. StPO), zur automatisierten Videoüberwachung von Staatsgrenzen oder besonderer Objekte (§§ 27, 23 Abs. 1 Nr. 4 BPolG) und – heimlichen – Observation (§ 28 BPolG) durch die Bundespolizei, zu langfristigen Observationen und der Abwehr akuter Gefahren durch die Bundeskriminalpolizei (§§ 20g, 20h, 23 BKAG) und zur Informationsbeschaffung und Gefahrenabwehr durch das Bundesamt für Verfassungsschutz (§§ 8 Abs. 2, 9 BVerfSchG). Im öffentlichen Bereich ist die Videoüberwachung auch in fast allen Landes- 5 datenschutzgesetzen geregelt, die in der Regel mit § 6b praktisch inhaltsgleiche Regelungen enthalten5. Die Besonderheiten sind geringfügig. Die Landesgesetze 1 Zur Abgrenzung vor Einführung des § 6b BGH v. 25.4.1995 – VI ZR 272/94, NJW 1995, 1955; vgl. auch Czernik, GRUR 2012, 457 (458); Wrede, DuD 2010, 225 (226). 2 Vgl. Schnabel, ZUM 2008, 657; Gola, RDV 2004, 215. 3 Simitis/Scholz, § 6b BDSG Rz. 34. 4 Beschlussempfehlung und Bericht des Innenausschusses, BT-Drucks. 14/5793, S. 61. 5 Vgl. zu landesgesetzlichen Regelungen Brenneisen/Staak, DuD 1998, 447; Zezschwitz, DuD 2000, 671.

Becker

|

301

§ 6b BDSG | Allgemeine und gemeinsame Bestimmungen beziehen die Erforderlichkeit der Videoüberwachung naturgemäß auf Anforderungen der öffentlichen Sicherheit und Ordnung und sehen anders als § 6b Abs. 5 („unverzüglich“) zum Teil konkrete Löschungsfristen vor. Ferner finden sich Regelungen zur Videoüberwachung auch in den Polizeigesetzen der Länder1. 6 Zum Anwendungsbereich des § 6b wird vertreten, dass die Regelung nicht ange-

wendet werden soll, wenn Videoaufnahmen von Geschehnissen im öffentlichen Raum von vornherein keine Überwachung Betroffener erlauben oder „eindeutig“ nicht hierauf abzielen2. Als Beispiel wird insbesondere auf die Beobachtung einer Straßenkreuzung zu Zwecken der Verkehrsregelung Bezug genommen. Richtigerweise sollte dies jedoch im Zweifel keine Frage der Anwendbarkeit sein, sondern der Interessenabwägung. Sind die technischen Einstellungen einer entsprechenden Anlage so gewählt, dass schutzwürdige Interessen der durch die Videoüberwachung betroffenen Personen nicht berührt werden, ist die Maßnahme möglicherweise gemäß § 6 Abs. 1 gerechtfertigt (s. Rz. 24). Das BVerfG verneint bei Videoaufzeichnungen eine Eingriffsqualität aus verfassungsrechtlicher Sicht lediglich dann, wenn Daten ungezielt und allein technisch bedingt zunächst miterfasst, dann aber ohne weiteren Erkenntnisgewinn, anonym und spurenlos wieder gelöscht werden3. Die Eingriffsschwelle für die Anwendung des § 6b ist dementsprechend niedrig anzusetzen4.

7 Zunehmend von Bedeutung ist die Ausnahmeregelung des § 1 Abs. 2 Nr. 3

Halbs. 2 zur Erhebung, Verarbeitung und Nutzung personenbezogener Daten ausschließlich für persönliche und familiäre Tätigkeiten5. Mit der wachsenden Verbreitung von stationären und mobilen Videoanwendungen findet die „private“ Nutzung vermehrt auch im öffentlichen Raum statt und wirft vielfach neue Fragen auf. Der Begriff der „privaten“ Zwecke ist dabei aus Schutzzweckgesichtspunkten eng auszulegen6. Die Entscheidung über die Zulässigkeit sollte vor allem über die Interessenabwägung fallen. Erfolgt die Übertragung von (vermeintlich) privaten Videoaufzeichnungen an Sicherheitsdienste, greift die Privilegierung ohnehin nicht (vgl. § 8 BewachVO). Aber auch bei der Übertragung

1 Zur Gesetzgebungskompetenz der Länder BVerwG v. 25.1.2012 – 6 C 9/11, ZD 2012, 438; BVerfG v. 23.2.2007 – 1 BvR 2368/06, NJW 2007, 2320 = DÖV 2007, 606 m. Anm. Saurer, DÖV 2008, 17. 2 Gola/Schomerus, § 6b BDSG Rz. 7. 3 BVerfG v. 11.8.2009 – 2 BvR 941/08, NJW 2009, 3293. 4 Vgl. zu Webcams VG Schwerin v. 18.6.2015 – 6 B 1637/15 SN, RDV 2015, 335; a.A. Wrede, DuD 2010, 225 (227). 5 Die Regelung spiegelt lediglich Art. 3 Abs. 2 der EG-Datenschutzrichtlinie, wonach diese keine Anwendung findet auf eine Datenverarbeitung, die „von einer natürlichen Person zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten vorgenommen wird“. 6 Vgl. EuGH v. 11.12.2014 – Rs. C-212/13, Rz. 31; vgl. auch VG Ansbach v. 12.8.2014 – AN 4 K 13.01634, CR 2014, 746, zur unzulässigen Verwendung einer Videokamera im Pkw zu vermeintlich privaten Zwecken.

302

|

Becker

Beobachtung öffentlich zugänglicher Räume | § 6b BDSG

an sonstige Dienstleister, die eine geschäftsmäßige Verarbeitung der Daten (z.B. für eine Vielzahl privater Nutzer eines Internetdienstes) vorsehen, wird der Bereich des Privaten im Zweifel verlassen1. Auch wenn die Begründung der EGDatenschutzrichtlinie2 und die Gesetzesbegründung3 dazu schweigen, ist der Grund für die Privilegierung der privaten Zwecke in § 1 Abs. 2 Nr. 3 Halbs. 2 nicht darin zusehen, dass das private Sammeln von Daten für die hiervon Betroffenen unproblematischer ist als vergleichbare geschäftliche Tätigkeiten. Gemeinschaftsrechtlich beruht die Ausnahme auf der notwendigen Beschränkung der EG-Datenschutzrichtlinie auf Themen des innergemeinschaftlichen Handels – ein Umstand, der für die deutsche Gesetzesanwendung keine Rolle spielen kann. Die Privilegierung im nationalen Recht kann und soll sinnvoller Weise nur verhindern, dass der private Videonutzer nicht seinerseits zum Objekt einer unverhältnismäßigen staatlichen Kontrolle und Reglementierung wird. Der nationale Gesetzgeber kann aber nicht bezweckt haben, unternehmerische Geschäftsmodelle generell vom Datenschutz freizustellen, nur weil sich jeder Nutzer einzeln auf die grundsätzliche Privatheit seiner Videoaufnahmen berufen kann. Neuartige Anwendungen für die „private“ Videoaufzeichnung im Rahmen von stationären oder mobilen Internetanwendungen oder Telematikdiensten sind daher jeweils daraufhin zu prüfen, ob sie den Bereich des Privaten verlassen. Die Konstruktion einer privaten Auftragsdatenverarbeitung4 etwa im Rahmen von Anbieter-AGB wird dabei der Lebenswirklichkeit nicht gerecht: ein privater Dienstenutzer dürfte kaum jemals die Kontrollrechte und -pflichten des Auftraggebers aus § 11, insbesondere die Pflicht zur vorherigen Kontrolle der technischen und organisatorischen Maßnahmen (§ 11 Abs. 2 Satz 4), wahrnehmen können oder wollen. Die Bestimmungen des § 6b müssen im Übrigen auch dann gelten, wenn sich Diensteanbieter – etwa über entsprechend gestaltete Allgemeine Geschäftsbedingungen für Social Media-Anwendungen – die Videoaufzeichnungen ihrer Nutzer oder Kunden zu Eigen machen wollen. Denn die Nutzung privat erstellter Videoaufzeichnungen fällt zweifelsohne unter die Bestimmungen des § 6b sobald sie aus ihrem privaten Kontext herausgelöst und kommerzialisiert werden. Ob entsprechende AGB überhaupt wirksam oder durchsetzbar sein können, ist eine andere Frage, die richtigerweise zu verneinen ist, soweit sie sich (auch) auf Aufnahmen beziehen, die dem Schutzbereich des § 6b unterfallen und nicht durch Einwilligungen aller Betroffener gedeckt sind. 1 So fällt richterweise auch die Nutzung sog. Datenbrillen in der Öffentlichkeit durch Private grundsätzlich unter § 6b und zwar erst recht, wenn Aufnahmen an einen (Cloud-) Anbieter übertragen werden, vgl. dazu Hennrich, AnwZert ITR 10/2014 Anm. 2. 2 Erwägungsgrund 12 der EG-Datenschutzrichtlinie, der als Beispiel für eine rein private Datenverarbeitung auf privaten Schriftverkehr oder Führung von Anschriftenverzeichnissen, also eine private Adressensammlung verweist. Insoweit gleichbleibend auch in Art. 2 Abs. 2 Buchst. c DSGVO geregelt, vgl. dazu Erwägungsgrund 18 der DSGVO. 3 Begründungen zu § 1 Abs. 2 Nr. 3 und § 6b, BT-Drucks. 14/4329, S. 31 (38). 4 Vgl. Gola/Schomerus, § 6b BDSG Rz. 7a.

Becker

|

303

§ 6b BDSG | Allgemeine und gemeinsame Bestimmungen 8 Im Anwendungsbereich des § 6b, d.h. in Fällen der Videoüberwachung öffent-

lich zugänglicher Räume, scheidet ein Rückgriff auf §§ 13 ff. bzw. auf § 28 oder § 32 als Erlaubnisnormen aus. Allerdings bleibt es bei der Anwendung des § 28 bzw. des § 32 (im Arbeitsverhältnis), sofern Videoüberwachung in nicht öffentlich zugänglichen Räumen durchgeführt wird. Auch die weitere Verarbeitung und Nutzung von Videoaufnahmen richtet sich ausschließlich nach § 6b. Dies folgt aus Abs. 3 Satz 1, der insoweit als lex specialis gegenüber den allgemeinen Erlaubnistatbeständen anzusehen ist1. Sachlich ergibt sich dadurch jedoch kein wesentlicher Unterschied zu einer Beurteilung nach § 28 Abs. 1, 2. Eine Zweckänderung ist nur in den engen Grenzen des Abs. 3 Satz 2 zulässig (s. Rz. 19); ein Rückgriff auf § 28 scheidet insoweit generell aus2.

III. Öffentlich zugängliche Räume 9 Die Regelung des § 6b gilt unmittelbar nur für öffentlich zugängliche Räume.

Der Begriff des öffentlich zugänglichen Raums ist weit zu verstehen und erfasst jedenfalls alle räumlichen Bereiche, die der Öffentlichkeit ausdrücklich oder aufgrund einer nach außen erkennbaren Zweckbestimmung zugänglich gemacht werden3. Auf die Eigentumsverhältnisse oder das Vorhandensein einer ausdrücklichen öffentlichen Widmung seitens des Eigentümers kommt es dabei nicht entscheidend an. Es kann unter Umständen auch genügen, dass z.B. ein bestimmter im Privateigentum stehender Bereich über längere Zeit von der Öffentlichkeit genutzt wird, ohne dass es eine erkennbare Billigung hierfür gab (z.B. langjährige Nutzung eines Privatweges durch Nachbarn). Solange der Berechtigte die Privatheit nicht wieder herstellt, kann er sich gegenüber der Anwendung des § 6b nicht auf die vielleicht innerlich vorbehaltene, aber dauerhaft nicht geltend gemachte Privatheit des betreffenden Raumes berufen. Bei öffentlich-rechtlichem Eigentum ist keine förmliche Widmung erforderlich. Alle dem öffentlichen Verkehr formal gewidmeten Flächen sind aber öffentlich zugängliche Räume i.S.d. § 6b. Erfasst sind mithin insbesondere öffentliche Straßen, Plätze, Eingänge und für Besucher zugängliche Bereiche öffentlicher Gebäude oder Einrichtungen und für das allgemeine Publikum geöffnete Bereiche von Geschäftsräumen (z.B. Eingangshallen, Warteräume, Tiefgaragen, Besucheroder Kundenbereiche in Museen, Theatern, zoologischen Gärten, öffentliche Flächen von Verkehrsbetrieben, Sportstätten, Gaststätten und Hotels)4. All1 2 3 4

Vgl. Gola/Schomerus, § 6b BDSG Rz. 4; einschränkend Simitis/Scholz, § 6b BDSG Rz. 147. BT-Drucks. 14/5793, S. 62. Königshofen, RDV 2001, 220. BT-Drucks. 14/4329, S. 38 nennt als Beispiele Bahnsteige, Ausstellungsräume, Verkaufsräume und Schalterhallen; zur Videoüberwachung in Hotels Selk, RDV 2008, 187 (191); bei der Eisenbahn Ronellenfitsch, DVBl 2010, 401 (407) m.w.N.; zum öffentlichen Nahverkehr Hilpert, RDV 2009, 160.

304

|

Becker

Beobachtung öffentlich zugänglicher Räume | § 6b BDSG

gemeine Zugangsbeschränkungen (Mindestalter, Zahlung von Eintritt, Einhaltung von Öffnungszeiten), die für alle potentiellen Besucher gelten, stehen der Qualifikation als öffentlich zugänglichem Raum nicht entgegen1. Nicht erfasst vom Tatbestand des § 6b sind diejenigen Flächen öffentlicher oder 10 privater Eigentümer, die nicht der Öffentlichkeit zugänglich sind. In erster Linie handelt es sich dabei um Wohnungen und diejenigen Teile von Amts- oder Geschäftsräumen, die nicht für den Publikumsverkehr geöffnet sind. Eine entsprechende Anwendung von § 6b scheidet mangels Regelungslücke aus2. Diese Bereiche sind jedoch nicht schutzlos der beliebigen Videoüberwachung ausgesetzt. Vielmehr beurteilt sich dort die Videoüberwachung nach allgemeinen Rechtsgrundsätzen, d.h. vor allem nach dem deliktischen Schutz des allgemeinen Persönlichkeitsrechts der Betroffenen (§§ 823 Abs. 1, 1004 BGB; § 22 KUG). Für den praktisch bisher wichtigsten Bereich der Videoüberwachung an nicht-öffentlichen Arbeitsplätzen hat die Rechtsprechung eine weitgehende Kasuistik zur Zulässigkeit von Überwachungsmaßnahmen entwickelt, welche die arbeitsrechtliche Sonderbeziehung berücksichtigt (dazu Rz. 26)3. Hier greift außerdem § 324. Es ist vorherzusehen, dass mit weiterer Verbreitung der Videotechnik und von Veröffentlichungsplattformen (Stichwort Social Media) früher oder später auch Fälle von Videoaufnahmen in privaten Wohnungen, etwa bei Familienfesten oder sonstigen Gelegenheiten, die Gerichte beschäftigen werden. Die Abgrenzung von ggf. hinzunehmenden Veröffentlichungen auf Plattformen für einen mehr oder minder überschaubaren Freundes- und Bekanntenkreis zu solchen Veröffentlichungen, die für eine weitere Allgemeinheit zugänglich sind, wird dabei zunehmend schwierig. Auch die Verwirklichung des rechtlichen Schutzes in diesen Fällen wird zunehmend auf praktische Schwierigkeiten stoßen, vor allem wenn Videoaufnahmen auch von Privaten praktisch zeitgleich mit ihrer Erstellung online gestellt oder gestreamt werden. Die Zielsetzung der Bereichsausnahme für den privaten und familiären Bereich (dazu Rz. 7) wird dadurch auf Dauer fragwürdig.

IV. Beobachtung mit optisch-elektronischen Einrichtungen Das Merkmal der Beobachtung ist wertend zu betrachten. Die Beobachtung 11 setzt eine gewisse Zielgerichtetheit bei der Wahrnehmung äußerer Vorgänge mit optisch-elektronischen Geräten voraus. Es kommt nicht darauf an, dass die Beobachtung das eigentliche Ziel oder auch nur der Hauptzweck der Tätigkeit ist. 1 Düsseldorfer Kreis, Orientierungshilfe „Videoüberwachung durch nicht öffentliche Stellen“, Stand 19.2.2014, S. 6. 2 Forst, RDV 2009, 204 (206). 3 Vgl. BAG v. 16.12.2010 – 2 AZR 485/08, RDV 2011, 192; LAG Schleswig-Holstein v. 16.11.2011 – 3 Sa 284/11, juris m.w.N.; Bayreuther, NZA 2005, 1038. 4 Vgl. Forst, RDV 2009, 204 (206 f.).

Becker

|

305

§ 6b BDSG | Allgemeine und gemeinsame Bestimmungen Es genügt, dass die Beobachtung des öffentlichen Raumes eine (unvermeidliche) Nebenfolge des eigentlich Gewollten ist, so z.B. die Erfassung des öffentlichen Fußgängerwegs bei der Überwachung des Eingangsbereichs zu einem Gebäude oder die Erfassung von Kunden bei der ggf. berechtigten Überwachung eines Mitarbeiters an seinem nicht-öffentlichen Arbeitsplatz. „Beobachtung“ als Vorgang setzt grundsätzlich eine gewisse Dauerhaftigkeit voraus1. Aber auch eine kurzzeitige Videoüberwachung oder die von vornherein zeitlich befristete Beobachtung (z.B. nur für die Zwecke einer einmaligen Veranstaltung) erfüllt grundsätzlich den Tatbestand des § 6b. Je stärker der Beobachtungswille ausgeprägt ist, desto weniger kommt es auf die Dauer der Beobachtung an und umgekehrt. Auf eine bestimmte Motivation des Beobachtenden kommt es für die Tatbestandsmäßigkeit zunächst nicht an, die subjektive Zwecksetzung spielt erst bei der Rechtfertigung eine entscheidende Rolle (s. Rz. 14 ff.). 12 Optisch-elektronische Geräte sind alle Geräte, die Bewegtbilder bzw. Bildfol-

gen, die als Bewegtbilder wahrgenommen werden, erzeugen und wahrnehmbar machen können. Auf die Technik kommt es nicht an; erfasst werden analoge und digitale Videoüberwachung. Abgrenzungsschwierigkeiten können sich insbesondere bei sog. Webcams oder Wildkameras ergeben, die in regelmäßigen Abständen oder in Verbindung mit einem Bewegungsmelder Bilder erstellen, die jedoch aufgrund ihrer langsamen Abfolge nicht notwendigerweise als Bewegtbild wahrgenommen werden. Gleichwohl kann es sich in diesen Fällen um eine Videoüberwachung handeln2. Nicht abschließend geklärt ist, ob § 6b lediglich für ortsfeste Geräte zur Videoüberwachung gilt oder auch mobile Kameras erfasst3. Hier sollte eine wertende Betrachtung erfolgen; eine mobile Videoeinrichtung die auf Beobachtung angelegt ist, sollte nicht aus dem Anwendungsbereich des § 6b herausfallen. Der Wortlaut des § 6b gibt eine solche Einschränkung auch nicht her4. Die Datenschutzbehörden gehen in diesem Sinne z.B. auch davon aus, dass die Nutzung von Fotoapparaten oder Smartphones mit Videofunktion dem Anwendungsbereich des § 6b unterliegt5.

13 Der Begriff der Beobachtung setzt nicht die elektronische oder sonstige Auf-

zeichnung der erfassten Bilder voraus. Es ist zwar zutreffend, dass die Videoüberwachung erst durch die Möglichkeit der Aufzeichnung in besonders starker Weise in das Persönlichkeitsrecht der Betroffenen eingreift. Es geht jedoch da-

1 Gola/Klug, RDV 2004, 65 (68). 2 Ausführlich Wrede, DuD 2010, 225; Loy, ZfIR 2004, 181; bejahend Hessische Landesregierung, Hessischer Landtag Drucks. 15/2950, S. 18; nun auch Düsseldorfer Kreis, Orientierungshilfe „Videoüberwachung durch nicht öffentliche Stellen“, Stand 19.2.2014, S. 5. 3 Vgl. Gola/Klug, RDV 2004, 65 (66). 4 Zuletzt LG Memmingen v. 14.1.2016 – 22 O 1983/13, CR 2016, 240. 5 Düsseldorfer Kreis, Orientierungshilfe „Videoüberwachung durch nicht öffentliche Stellen“, Stand 19.2.2014, S. 5.

306

|

Becker

Beobachtung öffentlich zugänglicher Räume | § 6b BDSG

rum, den Einzelnen vor dem Eindruck der permanenten Beobachtung und Überwachung im öffentlichen Raum zu schützen. Rechtspolitisch ist dies zu begrüßen und einfachrechtlich hat dies seinen Ausdruck in einem Beobachtungsbegriff gefunden, der ohne weitere Qualifikation auskommt. Entgegen einer Mindermeinung findet § 6b daher auch im Fall der reinen Beobachtung ohne Aufzeichnung oder Speicherung von Daten Anwendung (sog. verlängertes Auge)1. Alles andere widerspräche auch der eindeutigen Gesetzesbegründung, die ausdrücklich hervorhebt, dass durch § 6b die Beobachtung selbst erfasst ist und es nicht auf das Erfordernis einer anschließenden Speicherung des Bildmaterials ankommt2. Vor diesem Hintergrund ist es auch zu begrüßen, dass die Rechtsprechung auf der Grundlage des allgemeinen Persönlichkeitsrechts einen Abwehranspruch gegen die bloße Möglichkeit der Beobachtung oder Aufzeichnung bzw. gegen die Schaffung eines entsprechenden Anscheins wegen des dadurch entstehenden Überwachungsdrucks bejaht3. Insoweit handelt es sich um einen dem § 6b vorgelagerten Tatbestand. Aber bereits die sichtbare, wenn auch möglicherweise ungenutzte oder funktionsunfähige Videokamera kann die aus Freiheitsgesichtspunkten unerwünschte verhaltenssteuernde Wirkung verursachen und stellt damit eine Beeinträchtigung des Persönlichkeitsrechts und der allgemeinen Handlungsfreiheit der Betroffenen dar4.

V. Zweckbestimmung und Zweckbindung Die Videoüberwachung ist gemäß § 6b nur zulässig, soweit sie für einen der in 14 Abs. 1 Nr. 1–3 genannten Zwecke erforderlich ist. Die Zwecksetzung ist vor allem im nicht-öffentlichen Bereich in einer verobjektivierten Weise zu betrachten. Zwar erfolgt die Zweckbestimmung einer Videoüberwachung zunächst subjektiv durch die verantwortliche Stelle. Darüber hinaus sind aber auch solche Zwecksetzungen zu berücksichtigen, die sich aus den objektiven Umständen ableiten lassen. Maßgeblich für die Frage der Zulässigkeit ist insoweit der tatsächliche, nicht der vorgeschützte Zweck einer Videoüberwachung. Der Aufgabenerfüllung öffentlicher Stellen gemäß Abs. 1 Nr. 1 kommt als 15 Rechtfertigungstatbestand eine Auffangfunktion zu. Die Regelung ist gegenüber 1 Vgl. nur Simitis/Scholz, § 6b BDSG Rz. 52 f. 2 BT-Drucks. 14/4329, S. 38; BT-Drucks. 14/5793, S. 62. 3 BGH v. 21.10.2011 – V ZR 265/10, NJW-RR 2012, 140; BGH v. 16.3.2010 – VI ZR 176/09, NJW 2010, 1533; OLG München v. 13.2.2012/4.1.2012 – 20 U 4641/11, CR 2012, 335; LG Bonn v. 16.11.2004 – 8 S 139/04, RDV 2005, 122; LG Darmstadt v. 17.3.1999 – 8 O 42/99, NZM 2000, 360; LG Braunschweig v. 18.3.1998 – 12 S 23-97, NJW 1998, 2457; AG Lemgo v. 24.2.2015 – 19 C 302/14, juris. 4 Vgl. OLG Köln v. 30.10.2008 – 21 U 22/08, NJW 2009, 1827, das grundsätzlich auch einen vorbeugenden Unterlassungsanspruch bejaht; AG Frankfurt v. 31.1.2015 – 33 C 3407/14.

Becker

|

307

§ 6b BDSG | Allgemeine und gemeinsame Bestimmungen den spezialgesetzlichen Regelungen zur Videoüberwachung durch öffentliche Stellen subsidiär. Ist die Videoüberwachung im Anwendungsbereich der spezialgesetzlichen Normen ausgeschlossen, kann sie nicht auf § 6b gestützt werden1. Der Anwendungsbereich des Abs. 1 Nr. 1 ist damit verhältnismäßig eng und überschneidet sich mit dem von Abs. 1 Nr. 2. Praktische Bedeutung kommt der Regelung vor allem bei der Videoüberwachung zur Eigensicherung von Bundesbehörden oder zum Schutz öffentlicher Einrichtungen zu2. 16 Die Videoüberwachung kann ferner zum Zwecke der Wahrnehmung des Haus-

rechts gemäß Abs. 1 Nr. 2 gerechtfertigt sein. Das Hausrecht ist dabei weit zu verstehen3, nicht lediglich im Sinne einer Zugangskontrolle oder als Schutz gegen Hausfriedensbruch (§ 123 StGB), sondern als ein umfassendes Bestimmungs-, Abwehr- und Sicherungsrecht in Bezug auf befriedetes Besitztum oder andere Räume, die der Öffentlichkeit zugänglich gemacht werden4. Die Videoüberwachung dient insoweit auch einer präventiven Absicherung des Hausrechts5. Da das Hausrecht grundsätzlich an den Grenzen des Grundstücks endet, ist auch das Recht zur Videoüberwachung zur Sicherung des Hausrechts auf das Grundstück des Hausrechtsinhabers beschränkt. Bei öffentlich-rechtlich genutzten Gebäuden ist im Rahmen der Abwägung zu berücksichtigen, dass die öffentliche Stelle die Nutzung im Rahmen der öffentlich-rechtlichen Widmung und Zwecksetzung des Gebäudes dulden muss und die Besucher regelmäßig gezwungen sind, die betreffenden Räumlichkeiten aufzusuchen6. Ebenso ist im Rahmen von Arbeitsverhältnissen zu berücksichtigen, dass auch Arbeitnehmer gezwungen sind, zur Erbringung der Arbeitsleistung die Räumlichkeiten des Arbeitgebers zu betreten und sich dort berechtigterweise aufhalten; ihre Videoüberwachung lässt sich damit im Regelfall nicht mit dem Hausrecht rechtfertigen7. Das Hausrecht gilt entsprechend auch in Bezug auf öffentliche Transportmittel (Busse, Bahnen).

17 Schließlich kann die Videoüberwachung auch gemäß Abs. 1 Nr. 3 zur Wahr-

nehmung berechtigter Interessen für konkret festgelegte Zwecke gerechtfertigt sein. Ungeachtet des gesetzgeberischen Ziels, die Videoüberwachung nur in engen Grenzen zu erlauben, hat der Gesetzgeber mit diesem Tatbestand eine Generalklausel in das Gesetz aufgenommen, die im Sinne eines effektiven Schutzes

1 Simitis/Scholz, § 6b BDSG Rz. 72. 2 Simitis/Scholz, § 6b BDSG Rz. 71 m.w.N. 3 Für die gleichlautende Regelung im Landesdatenschutzgesetz Nordrhein-Westfalen OVG NW v. 8.5.2009 – 16 A 3375/07, RDV 2009, 232 m.w.N.; grundlegend zum Begriff des Hausrechts und dessen Problematik Ziegler, DuD 2003, 337. 4 Vgl. Hessische Landesregierung, Hessischer Landtag Drucks. 15/2950, S. 13. 5 Umfassend zur Videoüberwachung im Bereich von Mietwohnungen- und Wohnungseigentum Huff, NZM 2002, 89; NZM 2002, 688; NZM 2004, 535. 6 Vgl. Ziegler, DuD 2003, 337 (338). 7 Forst, RDV 2009, 204 (208).

308

|

Becker

Beobachtung öffentlich zugänglicher Räume | § 6b BDSG

eng auszulegen ist1. Nach den Gesetzesmaterialien gilt der Rechtfertigungstatbestand nur für nicht-öffentliche Stellen2. Wie auch im Rahmen des § 28 genügt im Ausgangspunkt grundsätzlich jedes rechtliche, wirtschaftliche oder ideelle Interesse. Allerdings muss das Interesse objektiv bestehen3. Es genügt nicht die bloße Behauptung eines Interesses. In der Praxis werden vor allem Maßnahmen der Gefahrenabwehr und der Beweissicherung unter Abs. 1 Nr. 3 gefasst. In diesen Fällen ist eine scharfe Abgrenzung zur Wahrnehmung des – weit verstandenen – Hausrechts gemäß Abs. 1 Nr. 2 kaum möglich. Zwar soll ein Interesse an der Abwehr abstrakter Gefahren nicht ausreichen4. Gefordert wird vielmehr eine konkrete Gefahr z.B. in Bezug auf Vandalismus an Gebäuden, Einbrüche etc. Allerdings soll es hierfür wiederum genügen, wenn sich die erhöhte Gefährdungslage bei typisierender Betrachtung aus den Umständen ergibt, z.B. eine erhöhte Diebstahlsgefahr in Kaufhäusern, eine generell erhöhte Einbruchsgefahr bei Juwelieren5. Dem ist zuzustimmen. Nur eine typisierende Betrachtung ist auch praxisgerecht. Es ist demgegenüber überzogen, wenn gefordert wird, dass derjenige der eine Videoüberwachung einrichten will, Rechtsverletzungen oder Angriffe in der Vergangenheit nachweisen muss, um eine konkrete Gefährdung nachzuweisen6. Auswüchsen einer maßlosen Videoüberwachung kann hinreichend im Rahmen der Erforderlichkeitsprüfung bzw. der Interessenabwägung begegnet werden. Strenger ist allerdings der Maßstab, wenn es um die Überwachung von Mitarbeitern an öffentlich zugänglichen Arbeitsplätzen geht (s. Rz. 26). Der Tatbestand des Abs. 1 Nr. 3 verlangt, dass die Zwecksetzung konkret fest- 18 gelegt sein muss. Eine bestimmte Form der Festlegung wird dabei grundsätzlich nicht verlangt. Besteht eine Pflicht zur Führung eines Verfahrensverzeichnisses (§§ 4e Satz 1 Nr. 4, 4g Abs. 2), muss die Festlegung des Zweckes ohnehin schriftlich erfolgen. Die Anforderungen an die Festlegung des Zweckes in anderen Fällen (z.B. bei einer Videoüberwachung ohne Aufzeichnung von Daten) oder im Fall von Kleinstbetrieben i.S.d. § 4d Abs. 3 sollten nicht überspitzt werden. Der konkrete Zweck der Videoüberwachung wird sich bei diesen in aller Regel aus den objektiven Umständen ergeben und entsprechend eng anzunehmen sein (z.B. Videoüberwachung des Kassenbereichs in einem Einzelhandelsgeschäft zur 1 Simitis/Scholz, § 6b BDSG Rz. 77; Däubler/Klebe/Wedde/Weichert/Wedde, § 6b BDSG Rz. 35. 2 BT-Drucks. 14/5793, S. 61. 3 BT-Drucks. 14/5793, S. 61. 4 Vgl. Hessische Landesregierung, Hessischer Landtag Drucks. 15/2950, S. 13. 5 Zutreffend z.B. OLG München v. 13.2.2012/4.1.2012 – 20 U 4641/11, CR 2012, 335, das ohne weiteren Nachweis die grundsätzliche Schutzbedürftigkeit des Geschäftssitzes eines Versicherungskonzern bejaht; ähnlich AG Berlin-Mitte v. 18.12.2003 – 16 C 427/02, NJW-RR 2004, 531, das die Auflistung der verfolgten Interessen durch den Grundstückseigentümer als „plausibel und nachvollziehbar“ bezeichnet. 6 So aber Düsseldorfer Kreis, Orientierungshilfe „Videoüberwachung durch nicht öffentliche Stellen“, Stand 19.2.2014, S. 7; ebenso Simitis/Scholz, § 6b BDSG Rz. 80.

Becker

|

309

§ 6b BDSG | Allgemeine und gemeinsame Bestimmungen Verhinderung von Diebstählen). Eine fehlende Dokumentation geht dabei grundsätzlich zu Lasten der verantwortlichen Stelle. Auf Zwecke, die nicht offenkundig, aber auch nicht dokumentiert sind, kann sich die verantwortliche Stelle nicht berufen. Die Festlegung des Zwecks muss vor der Inbetriebnahme einer Videoüberwachung erfolgen1. 19 Die ggf. aus der Videoüberwachung gewonnenen Daten unterliegen einer stren-

gen Zweckbindung. Nach Abs. 3 Satz 2 dürfen die Daten für einen anderen als den ursprünglichen Zweck nur verarbeitet und genutzt werden, soweit dies für die Abwehr von Gefahren für die staatliche und öffentliche Sicherheit sowie zur Verfolgung von Straftaten erforderlich ist. Aufnahmen aus einer Videoüberwachung dürfen damit im Wesentlichen nur weiterverwendet werden, soweit es zu einer Rechtsverletzung gekommen ist und die Aufzeichnungen als Beweismittel dienen2. Im Fall schwerwiegender Straftaten kann auch die Veröffentlichung von Videoaufnahmen zur Fahndungsunterstützung zulässig sein. Unterhalb dieser Schwelle scheidet eine Veröffentlichung generell aus.

VI. Erforderlichkeit und Interessenabwägung 20 Die Videoüberwachung muss für die Verwirklichung der in Abs. 1 Nr. 1–3 ge-

nannten Zwecke erforderlich sein. Dies gilt auch für jede weitere Verarbeitung und die Nutzung von Daten, die aus der Videoüberwachung gewonnen werden (Abs. 3 Satz 1)3. Entsprechend dem allgemeinen Begriffsverständnis der Erforderlichkeit setzt dies voraus, dass die Videoüberwachung für den jeweiligen Zweck geeignet ist und kein milderes Mittel zur Verfügung steht, mit dem der Zweck ebenso wirksam erreicht werden kann (zur Auslegung des Begriffs der Erforderlichkeit im Rahmen des § 28 und den für das BDSG geltenden Besonderheiten s. Komm. zu § 28 BDSG Rz. 19 ff., 25). Die Erforderlichkeit in diesem Sinne bestimmt sich nach objektiven Maßstäben. Bei der Prüfung der Geeignetheit geht es vor allem darum, ungeeignete und insoweit für die Betroffenen unnötig belastende Maßnahmen auszuschließen. Es ist nicht notwendig, die am besten geeignete Alternative zu identifizieren. Von einer Geeignetheit ist vielmehr bereits dann auszugehen, wenn die Erreichung des maßgeblichen Zwecks sinnvoll gefördert wird4. Es ist insoweit verfehlt, wenn einer Videoüberwachung 1 2 3 4

BT-Drucks. 14/5793, S. 61. Vgl. BT-Drucks. 14/5793, S. 62. BT-Drucks. 14/5793, S. 62. BAG v. 14.12.2004 – 1 ABR 34/03, RDV 2005, 216, das insoweit von grundsätzlicher bzw. genereller Eignung der Videoüberwachung zur Verhinderung von Diebstählen in einem Betrieb spricht sowie davon, dass die Videoüberwachung die Erreichung dieses Ziels jedenfalls fördert; ähnlich OVG NW v. 8.5.2009 – 16 A 3375/07, RDV 2009, 232, das vor allem auf den „nach allgemeinen Erfahrungswerten“ gegebenen Abschreckungseffekt abstellt.

310

|

Becker

Beobachtung öffentlich zugänglicher Räume | § 6b BDSG

die Geeignetheit abgesprochen wird, weil z.B. die Auflösung der verwendeten Kameras zu gering ist, um Personen zu erkennen. Bei der Prüfung der Erforderlichkeit ist zu berücksichtigen, ob der verantwort- 21 lichen Stelle andere Maßnahmen z.B. der Gefahrenabwehr oder Beweissicherung wirtschaftlich zumutbar sind. Der Verweis auf ein vermeintlich milderes Mittel ist dann nicht berechtigt, wenn der verantwortlichen Stelle durch dessen Verwendung wesentlich höhere Kosten oder sonstige wesentliche Nachteile entstehen. So ist insbesondere der Verweis auf kostenintensive persönliche Kontrollen durch Mitarbeiter regelmäßig unangemessen, wenn diese mit hohen Personalkosten oder mit einer Mitarbeitergefährdung einhergehen1. An dieser Stelle wird der Konflikt zwischen einem wirtschaftlichen Eigentumsschutz und dem Recht auf informationelle Selbstbestimmung offenkundig. Denn im Hinblick auf die immer kostengünstiger werdende Videotechnik liegt es auf der Hand, dass die Videoüberwachung im Zweifel stets die wirtschaftlichere und gefahrlosere Form der Überwachung von Gebäuden und Anlagen darstellt. Dem kann sich die Anwendung des § 6b nicht verschließen. Der notwendige Ausgleich der widerstreitenden Rechte muss eher im Rahmen der Interessenabwägung sowie im Bereich der Hinweis- und Löschungspflichten erfolgen (s. Rz. 25 – weniger eine Frage des „Ob“, sondern des „Wie“). Die Interessenabwägung muss das Interesse der verarbeitenden Stelle an der 22 Durchsetzung der in Abs. 1 in Bezug genommenen Zwecke und die schutzwürdigen Interessen der Betroffenen gegenüberstellen. Der gesetzliche Wortlaut zur Interessenabwägung in Abs. 1 bzw. Abs. 3 Satz 1 entspricht weitgehend der Formulierung des § 28 Abs. 1 Satz 1 Nr. 2. Im Rahmen einer umfassenden Abwägung ist zu prüfen, ob die Verhältnismäßigkeit der Videoüberwachung sowie der Verarbeitung und Nutzung der erlangten Daten gewahrt bleibt. Maßgeblich für die Interessenabwägung sind die konkreten Umstände des Einzelfalls, wobei jedoch im Sinne einer gleichmäßigen Rechtsanwendung auch hier eine typisierende Betrachtung im Hinblick auf die Interessenlage der Betroffenen erforderlich und auch zulässig ist. In diesem Sinne ist die gesetzliche Formulierung zu verstehen, wonach die Videoüberlassung nur zulässig ist, „soweit keine Anhaltspunkte bestehen, dass schutzwürdige Interessen der Betroffenen überwiegen“. Da die Abwägung im Vorfeld der Videoüberwachung stattfinden muss, kommt es auf eine Prognose im Hinblick auf die betroffenen Interessen an. Im Fall wesentlicher Änderungen der Umstände muss seitens der verarbeitenden Stelle ggf. eine Neubewertung stattfinden. 1 AG Berlin-Mitte v. 18.12.2003 – 16 C 427/02, NJW-RR 2004, 531; OVG NW v. 8.5.2009 – 16 A 3375/07, RDV 2009, 232. Einschränkend Düsseldorfer Kreis, Orientierungshilfe „Videoüberwachung durch nicht öffentliche Stellen“, Stand 19.2.2014, S. 8, mit sehr weitgehenden Vorschlägen für mildere Maßnahmen, die zumindest zu erwägen sein sollen; ähnlich LDI NRW, Sehen und gesehen werden, Videoüberwachung durch Private, Orientierungshilfe mit Fallbeispielen, 2014, S. 15.

Becker

|

311

§ 6b BDSG | Allgemeine und gemeinsame Bestimmungen 23 Auf Seiten der verarbeitenden Stelle sind die Zwecksetzung und die für eine Vi-

deoüberwachung sprechenden Momente zu berücksichtigen. Insbesondere in Fällen, in denen die Videoüberwachung der Gefahrenabwehr oder Sicherungszwecken dient, ist das Maß der Gefahr zu berücksichtigen. Ist es bereits in der Vergangenheit zu konkreten Rechtsverletzungen gekommen, ist das Interesse an einer Vermeidung weiterer Rechtsverletzungen und an deren Aufklärung besonders hoch zu bewerten. Zu berücksichtigen ist auch, dass das Sicherheitsbedürfnis der Öffentlichkeit heute bei weitem ausgeprägter ist als noch vor einigen Jahren. Die Betreiber bestimmter Anlagen (z.B. Parkhäuser, U-Bahnen, Bahnhöfe, Fußballstadien, Schwimmbäder) stehen heute sogar unter einem erheblichen öffentlichen Druck eine angemessene Videoüberwachung zu betreiben, um damit den Nutzern ein angemessenes – wenn auch teils nur subjektives – Sicherheitsgefühl zu geben und die – kriminalpolitisch wünschenswerte – schnelle Aufklärung von Straftaten unterstützen zu können1. Dies wird geradezu als Teil der Verkehrssicherungspflicht der betroffenen Unternehmen gesehen. Es wäre falsch, dem mit überzogenen Anforderungen an die Interessenabwägung im Rahmen des § 6b entgegenzutreten. Dies gilt in ähnlicher Weise für Verkehrssicherungspflichten in Bezug auf die Vermeidung von Unfällen durch die Betreiber bestimmter Anlagen2.

24 Im Hinblick auf die Art und Weise der Videoüberwachung sind sämtliche tech-

nischen und sonstigen Umstände zu berücksichtigen, welche Einfluss auf die Intensität der Videoüberwachung und den Eingriff in die Rechte der Betroffenen haben. Zu beachten sind insbesondere die Auflösung der Kamera und die dadurch gegebene Erkennbarkeit erfasster Personen, die Größe und Veränderlichkeit des Bildausschnittes, eine vorhandene Zoomfunktion, die Verfolgbarkeit einzelner Personen, die Anzahl der Kameras in einem bestimmten Bereich, die Uhrzeiten, zu denen die Videoüberwachung stattfindet, die Anzahl der Personen, die Zugriff auf die Videoüberwachung bzw. Aufzeichnungen haben, sowie automatisierte Schwärzungen von Bildbereichen3. Umfassendere technische Konzepte, insbesondere die Verwendung sog. intelligenter Kameras mit Schwärzungs- und Verpixelungsfunktionen, bedürfen im Zweifel einer aufwändigen Detailbetrachtung4. Je größer die Individualisierbarkeit der betroffenen Personen und je umfangreicher die erfassten Daten und Auswertungsmöglichkei1 Zu den gegensätzlichen Standpunkten LDI NRW, Sehen und gesehen werden, Videoüberwachung durch Private, Orientierungshilfe mit Fallbeispielen, 2014, S. 4 ff. 2 Vgl. etwa LG Bonn v. 23.3.2015 – 1 O 370/14, juris (Verkehrsicherungspflicht im Schwimmbad); OLG Saarbrücken v. 29.11.2006 – 1 U 616/05, NJW-RR 2007, 462 (Verkehrssicherungspflicht im Schwimmbad); AG Brandenburg v. 22.6.2015 – 31C 232/14, Rz. 109 (Videoüberwachung in Waschanlage). 3 Vgl. BVerwG v. 25.1.2012 – 6 C 9/11; OLG München v. 13.2.2012/4.2.2012 – 20 U 4641/ 11, CR 2012, 335. 4 Zu den vielfältigen Aspekten intelligenter Kamerasysteme Winkler, DuD 2011, 797; Hornung/Dosei, K&R 2011, 153.

312

|

Becker

Beobachtung öffentlich zugänglicher Räume | § 6b BDSG

ten, desto strenger sind die Anforderungen an die berechtigten Interessen der verarbeitenden Stelle. Eine dauerhafte Überwachung rund um die Uhr ist im Regelfall unverhältnismäßig. Eine besondere Grenze für die Videoüberwachung stellt die Privat- oder Intimsphäre der Betroffenen dar; hier ist im Zweifel immer von einem überwiegenden Interesse der Betroffenen auszugehen1 (z.B. Unzulässigkeit der Überwachung von Sanitärräumen und Umkleidekabinen, nicht jedoch bei Schließfachanlagen in Umkleidebereichen, wenn es dort immer wieder zu Aufbrüchen und Diebstählen kommt). Von wesentlicher Bedeutung ist naturgemäß, ob die Videoüberwachung nur im Sinne eines „verlängerten Auges“ ohne Aufzeichnung stattfindet oder ob und ggf. wie Aufzeichnungen angefertigt, gespeichert, verarbeitet und ggf. übermittelt werden (Abs. 3 Satz 1)2. Durch die getrennte Regelung der Videoüberwachung in Abs. 1 und die Regelung der Verarbeitung und Nutzung in Abs. 3 hat der Gesetzgeber deutlich gemacht, dass beides getrennt zu prüfen und zu bewerten ist. Im Rahmen der Interessenabwägung sind auch die Erfüllung von Hinweispflichten (Abs. 2) und die Maßnahmen zur Sicherstellung einer zeitnahen Löschung (Abs. 5) zu berücksichtigen. Solange die Einhaltung dieser Gebote nicht gewährleistet ist, muss richtigerweise schon die Videoüberwachung als solche unterbleiben. Umgekehrt können ein klares und datenschutzfreundliches Hinweis- und Löschungskonzept die Abwägung positiv zugunsten der Videoüberwachung beeinflussen. Dies gilt in gleicher Weise für die Einhaltung der Gebote der Datenvermeidung und -sparsamkeit (§ 3a). Die vorgenannten Aspekte eröffnen einen gewissen Spielraum der verarbeiten- 25 den Stelle, die Videoüberwachung in tatsächlicher Hinsicht so zu gestalten, dass die Interessenabwägung zu ihren Gunsten ausfällt. In den Fällen, in denen die Rechtfertigungstatbestände des Abs. 1 Nr. 1–3 grundsätzlich erfüllt sind, geht es daher bei der Videoüberwachung meist nicht so sehr um das „Ob“, sondern vor allem um das „Wie“ der Videoüberwachung.3 Die Datenschutzbehörden und die Gerichte haben für eine Reihe von wieder- 25a kehrenden Fallkonstellationen vor allem im nicht-öffentlichen Bereich Vorgaben entwickelt. Webcams sind danach so anzubringen, dass auf ihnen Personen oder Kfz-Kennzeichen nicht individualisierbar sind4. Die Videoüber1 Vgl. BT-Drucks. 14/5793, S. 62. 2 Vgl. BT-Drucks. 14/5793, S. 62 („je leistungsfähiger die Möglichkeiten automatisierter Auswertung … desto gewichtiger ist das informationelle Selbstbestimmungsrecht im Rahmen der Abwägung“). 3 Einen Überblick zu allen relevanten Aspekte bietet die Checkliste des Düsseldorfer Kreises, vgl. ders., Orientierungshilfe „Videoüberwachung durch nicht öffentliche Stellen“, Stand 19.2.2014, S. 19 f. 4 VG Schwerin v. 18.6.2015 – 6 B 1637/15 SN, RDV 2015, 335; Düsseldorfer Kreis, Orientierungshilfe „Videoüberwachung durch nicht öffentliche Stellen“, Stand 19.2.2014, S. 13.

Becker

|

313

§ 6b BDSG | Allgemeine und gemeinsame Bestimmungen wachung innerhalb der Kundenbereiche von Gastronomiebetrieben ist im Regelfall unzulässig1. Ausnahmen gelten ggf. für den Eingangsbereich, wenn dort besondere Gefährdungslagen bestehen (z.B. durch Vandalismus, aggressive Gäste, Diebstähle). Die Videoüberwachung von privaten Grundstücken ist regelmäßig nur zulässig, soweit es sich um das eigene Grundstück handelt. Werden öffentliche Straßen und Wege (mit-)erfasst, ist die Videoüberwachung nach § 6b insoweit unzulässig. Auch das Erfassen von Nachbargrünstücken, gemeinsam mit Dritten genutzte Flächen und Gemeinschaftseigentum (Treppenhäuser, Fahrstühle, Tiefgaragen) ist in der Regel unzulässig, wenn nicht besondere Umstände vorliegen2. Rechtsgrundlagen sind in diesen Fällen mangels Bezug zu einem öffentlich zugänglichen Raum die allgemeinen Abwehransprüche aus §§ 823 Abs. 1, 2, 1004 BGB, § 201a StGB. Werden Daten aufgezeichnet, findet § 28 Anwendung. Innenkameras in Taxen können zulässig sein, wenn Fahrer und Gast nicht permanent überwacht werden, sondern vielmehr dem Fahrer die Möglichkeit gegeben wird, die Kamera ein- und auszuschalten, um sie in bedrohlichen Situationen zu nutzen3. Die Verwendung von Kameras in oder an Fahrzeugen, die laufend das Außengeschehen festhalten (sog. Dashcams) werden datenschutzrechtlich bisher in aller Regel als unzulässig angesehen4. Dies gilt auch für Taxen5. Ob diese Sicht auf Dauer beibehalten werden kann, ist mehr als fraglich; Fahrerassistenzsysteme oder „autonomes Fahren“ werden ohne Videosysteme nicht möglich sein, weshalb in absehbarer Zukunft eine Differenzierung in der Anwendung des § 6b stattfinden muss oder der Gesetzgeber gefragt ist. Ungeachtet der grundsätzlichen Unzulässigkeit nach § 6b beschäftigen sich die Zivilgerichte mehr und mehr mit der Folgefrage eines Beweisverwertungsverbots in Bezug auf Dashcam-Aufnahmen; in den Entscheidungen wird zum Teil auf die besonderen Umstände des Einzelfalls abgestellt, weshalb die Ergebnisse bisher etwas zufällig erscheinen und eine einheitliche Linie noch nicht ersichtlich ist6. In einer Bußgeldentscheidung wurden Dashcam-Aufnahmen kürzlich als Beweismittel zugelassen und festgestellt, dass ein Verstoß gegen 1 Düsseldorfer Kreis, Orientierungshilfe „Videoüberwachung durch nicht öffentliche Stellen“, Stand 19.2.2014, S. 13. 2 LG Detmold v. 8.7.2015 – 10 S 52/15, DuD 2016, 118; AG Dinslaken v. 5.3.2015 – 34 C 47/14, ZD 2015, 531; zu Darlegungslast hinsichtlich des Betroffenen AG München v. 20.3.2015 – 191 C 23903/14, ZD 2016, 93. 3 Düsseldorfer Kreis, Videoüberwachung in und an Taxis, 26./27.2.2013, S. 1. 4 Vgl. VG Ansbach v. 12.8.2014 – AN 4 K 13.01634, CR 2014, 746; Düsseldorfer Kreis, Unzulässigkeit der Videoüberwachung aus Fahrzeugen (sog. Dashcams), 25/26.2.2014. 5 Düsseldorfer Kreis, Videoüberwachung in und an Taxis, 26./27.2.2013, S. 2. 6 Vgl. z.B. LG Heilbronn v. 3.2.2015 – I 3 S 19/14, 3 S 19/14, CR 2015, 393 – Annahme eines Beweisverwertungsverbots; LG Frankenthal v. 30.12.2015 – 4 O 358/15, juris – kein Beweisverwertungsverbot aufgrund der besonderen Umstände; ähnlich AG Nürnberg v. 8.5.2015 – 18 C 8938/14, DuD 2016, 120; unklar und nach dem Gesetzgeber rufend der Arbeitskreis VI des 54. Deutscher Verkehrsgerichtstag in Goslar, der Dashcams als Beweismittel nicht generell ausschließen, aber auch nicht generell zulassen möchte.

314

|

Becker

Beobachtung öffentlich zugänglicher Räume | § 6b BDSG

§ 6b allein nicht zu einem Beweisverwertungsverbot führt1. Es ist abzusehen, dass solche Entscheidungen rasch die Verbreitung von Dashcams fördern und deren grundsätzliche Unzulässigkeit aufweichen werden; faktisch lässt sich die unzulässige Nutzung bei mobilen Geräten ohnehin nur schwer gerichtsförmlich nachweisen. Die Videoüberwachung in öffentlichen Verkehrsmitteln (Bus, Bahn) ist nur zulässig, wenn es ein hinreichend differenziertes Einsatzkonzept gibt, das nach konkreten Gefährdungsszenarien (örtlich, zeitlich) unterscheidet und grundsätzlich nicht zur flächendeckenden Dauerüberwachung führt2. In Deutschlands großen Städten ist die weitgehende Videoüberwachung im öffentlichen Personennahverkehr allerdings heute schon eher die Regel als die Ausnahme. Bereits seit 2014 gibt es eine Orientierungshilfe des Düsseldorfer Kreises zur Videoüberwachung in Schwimmbädern, welche die meisten Rechtfertigungsversuche von Kommunen zu Recht beiseite räumt3. Ebenfalls schon älter ist eine Handreichung der Aufsichtsbehörde in NRW zur Videoüberwachung in Schulen nach Landesrecht, die im Wesentlichen zum Ergebnis kommt, dass Videoüberwachung in Schulen keine Daseinsberechtigung hat4. Auch wenn dem im Grundsatz zuzustimmen ist, wird man bei extremen Fällen von Vandalismus oder Gewalt an Schulen im Einzelfall auch zur Zulässigkeit von Maßnahmen kommen müssen, ohne einer flächendecken Videoüberwachung das Wort zu reden. Eine immer noch junge Erscheinung, deren Bedeutung aber ebenfalls rasant wachsen wird, ist die Nutzung sog. Kameradrohnen5. Das Überfliegen fremder Wohngrundstücke mit laufender Kamera wird im Regelfall als Eingriff in die Privatsphäre des Besitzers anzusehen sein und ist deshalb im Zweifel unzulässig6. Auch hier spielt der Schutz vor „Überwachungsdruck“ eine Rolle; daher kann sogar das Überfliegen eines Grundstücks ohne (laufende) Kamera unzulässig sein und Abwehransprüche begründen7.

1 OLG Stuttgart v. 4.5.2016 – 4 Ss 543/15. 2 Düsseldorfer Kreis, Videoüberwachung in öffentlichen Verkehrsmitteln, 16.9.2015, S. 4 f.; VG Hannover v. 10.2.2016 – 10 A 4379/15, juris; Bergfink, DUD 2015, 145 ff. 3 LDI NRW, Ich sehe das, was Du so tust, Videoüberwachung an und in Schulen, 2008. 4 Vgl. dazu die von der EU-Kommission herausgegebene Studie: Finn/Wright, Study on privacy, data protection and ethical risks in civil Remotely Piloted Aircraft Systems operations, 2014; Artikel-29-Gruppe, Stellungnahme zum Einsatz von Drohnen (Opinion 01/2015 on Privacy and Data Protection Issues relating to the Utilisation of Drones), 16.6.2015, WP 231. 5 Vgl. dazu die von der EU-Kommission herausgegebene Studie: Finn/Wright, Study on privacy, data protection and ethical risks in civil Remotely Piloted Aircraft Systems operations, 2014; Artikel-29-Gruppe, Stellungnahme zum Einsatz von Drohnen (Opinion 01/2015 on Privacy and Data Protection Issues relating to the Utilisation of Drones), 16.6.2015, WP 231; Gola/Schomerus, BDSG, § 6b Rz. 7b. 6 Vgl. Düsseldorfer Kreis, Nutzung von Kameradrohnen durch Private, 15./16.9.2015. 7 AG Potsdam v. 16.4.2015 – 37 C 454/13, CR 2016, 314, mit Anm. Schmid, jurisPR-ITR 9/ 2016.

Becker

|

315

§ 6b BDSG | Allgemeine und gemeinsame Bestimmungen 26 Besondere Einschränkungen gelten in Bezug auf die Videoüberwachung im An-

wendungsbereich des § 6b, soweit es sich zugleich um den Arbeitsplatz von Mitarbeitern handelt. Insoweit werden die Bestimmungen des § 6b von der arbeitsrechtlichen Sonderbeziehung überlagert. Der Arbeitnehmer kann sich der Beobachtung an seinem Arbeitsplatz nicht ohne Verletzung seiner Dienstpflichten entziehen und bedarf daher eines besonderen Schutzes. Die langfristige und durchgehende videogestützte Beobachtung von Mitarbeitern an ihrem Arbeitsplatz ist grundsätzlich unzulässig, wenn keine besondere Gefährdungslage oder ein konkreter Anfangsverdacht nachgewiesen werden kann1. Ein überwiegendes Interesse des Arbeitgebers an der Videoüberwachung kann nur unter besonderen Voraussetzungen bejaht werden, insbesondere wenn es um die Abwehr besonderer Gefahren oder um die Aufdeckung erheblichen Fehlverhaltens (z.B. Begehung von Straftaten am Arbeitsplatz) geht, für das ein konkreter Anfangsverdacht besteht2. In diesen Fällen ist gleichwohl restriktiv mit der weiteren Nutzung und Auswertung gewonnener Daten zu verfahren. Erst recht ist die Videoüberwachung eines Mitarbeiters außerhalb des Betriebs in seinem privaten Umfeld durch einen vom Arbeitgeber beauftragten Privatdetektiv im Regelfall als rechtswidrig anzusehen3. Im Fall unzulässiger Videoüberwachung steht dem betroffenen Mitarbeiter regelmäßig ein Schmerzensgeld zu (s. Rz. 31). Die Videoüberwachung unterliegt als technische Überwachungsmaßnahme außerdem der Mitbestimmung (§ 87 Abs. 1 Nr. 6 BetrVG, § 75 Abs. 3 Nr. 17 BPersVG)4. Dem Betriebsrat stehen bei Verstoß hiergegen Unterlassungsansprüche zu5. Der gescheiterte Gesetzentwurf zum Beschäftigtendatenschutz von 2010 sah die Einführung eines § 32f (neu) vor, der im Einzelnen die Anforderungen an die Videoüberwachung für nicht öffentlich zugängliche Arbeitsplätze festlegen sollte6. Die vorgeschlagene Neuregelung sah eine entsprechende Anwendung von § 6b Abs. 3 und 4 vor.

1 BAG v. 21.6.2012 – 2 AZR 153/11, CR 2012, 795; BAG v. 14.12.2004 – 1 ABR 34/03, RDV 2005, 216; zur Schwierigkeit der Konkretisierung dieses Maßstabes Bayreuther, NZA 2005, 1038 (1039). 2 Vgl. Freckmann/Wahl, BB 2008, 1904; Oberwetter, NZA 2008, 609. 3 BAG v. 19.2.2015 – 8 AZR 1007/13, CR 2016, 155. 4 Ausführlich zum notwendigen Inhalt der Betriebsvereinbarung Freckmann/Wahl, BB 2008, 1904 (1906); Tammen, RDV 2000, 15 (18); s.a. Marties, NJW 2008, 2219; zu den Grenzen einer Betriebsvereinbarung bei Videoüberwachung BAG v. 26.8.2008 – 1 ABR 16/07, RDV 2008, 238; BAG v. 14.12.2004 – 1 ABR 34/03, RDV 2005, 216; LAG Hamm v. 14.4.2011 – 15 Sa 125/11, juris – Unverhältnismäßigkeit einer permanenten Videoüberwachung. 5 LAG Rheinland-Pfalz v. 19.8.2011 – 9 TaBVGa 1/11, juris. 6 BT-Drucks. 17/4320, S. 8; vgl. auch Heinson/Sörup/Wybitul, CR 2010, 751 (756 f.).

316

|

Becker

Beobachtung öffentlich zugänglicher Räume | § 6b BDSG

VII. Erkennbarkeit der Beobachtung Die Videoüberwachung ist gemäß Abs. 2 kenntlich zu machen. Fraglich ist, ob 27 die Transparenz der Videoüberwachung als Rechtmäßigkeitsvoraussetzung anzusehen ist1. Die Systematik spricht eher gegen eine solch strikte Auslegung. Im Gesetzgebungsverfahren wurde Abs. 2 lediglich als „allgemeine Verfahrenssicherung“ bezeichnet2. Dies spricht gegen die Kenntlichmachung als Rechtmäßigkeitsvoraussetzung, auch wenn dies in Bezug auf Schutzzweckgesichtspunkte unbefriedigend sein mag. Allerdings wird die fehlende oder unzureichende Transparenz regelmäßig auch bei der Interessenabwägung zu berücksichtigen sein (s. Rz. 24). Die heimliche Videobeobachtung wird daher in aller Regel unzulässig sein, wenn sie nicht zum Schutz überragend wichtiger Rechtsgüter, insbesondere im Rahmen notwehrähnlicher Situationen gerechtfertigt ist3. Die notwendigen Maßnahmen zur Kenntlichmachung sind anhand objektiver Kriterien zu bestimmen. Angemessen sind Maßnahmen, die den Erwartungen und Kenntnisnahmemöglichkeiten der betroffenen Verkehrskreise entsprechen. Kritisch zu sehen ist die Auffassung, dass es genügen kann, wenn die Videoanlage für jedermann sichtbar installiert ist4. Dies ist schon deshalb problematisch, weil Videokameras meist an Stellen installiert sind, an denen sie außerhalb der Reichweite etwaiger Passanten sind und deshalb nicht erwartet werden kann, dass sie von diesen wahrgenommen werden. Außerdem macht die Hinweispflicht nur dann Sinn, wenn der Betroffene gewarnt wird, bevor (!) er in das Blickfeld der Videoüberwachung gerät. Für den Regelfall ist daher eine separate und deutliche Kennzeichnung durch Hinweisschilder zu verlangen. Durchgesetzt haben sich hierfür Piktogramme, die mit einem Videokamerasymbol auf die optische Überwachung hinweisen (z.B. Piktogramm nach DIN 33450). Grundsätzlich müssen – nach bisheriger Verkehrsauffassung – keine besonderen Vorkehrungen zur Kenntlichmachung für Personen getroffen werden, welche die optischen Hinweise nicht wahrnehmen können (z.B. Menschen mit Sehbehinderungen); ein Verstoß gegen das Allgemeine Gleichbehandlungsgesetz (AGG) liegt insoweit nicht vor, weil dessen Anwendungsbereich nicht eröffnet ist (vgl. § 2 Abs. 1 AGG). Es ist anerkannt, dass keine besonderen Hinweise über die Verarbeitung oder Nutzung der Daten erforderlich sind (z.B. über die Dauer der Speicherung von Aufnahmen).

1 So jedenfalls ArbG Frankfurt v. 25.1.2006 – 7 Ca 3342/05, RDV 2006, 214; vgl. Gola/Schomerus, § 6b BDSG Rz. 28; Bayreuther, NZA 2005, 1038 (1040); zum daraus ggf. folgenden Verwertungsverbot bei heimlicher Videoüberwachung unten Rz. 31. 2 BT-Drucks. 14/5793, S. 62; vgl. auch Forst, RDV 2009, 204 (209) („bloße Ordnungsvorschrift“). 3 Zur heimlichen Videoüberwachung im Arbeitsverhältnis Forst, RDV 2009, 204 (209); Bayreuther, NZA 2005, 1038 (1040). 4 Vgl. Gola/Schomerus, § 6b BDSG Rz. 23.

Becker

|

317

§ 6b BDSG | Allgemeine und gemeinsame Bestimmungen 28 Anzugeben ist jeweils auch die verantwortliche Stelle. Ausreichend hierfür sind

Name oder Firma und die Postadresse, sofern diese nicht ebenfalls offenkundig ist (z.B. Firmenname am Gebäude). Weitere Angaben sind nicht erforderlich.

VIII. Benachrichtigungs- und Löschungspflichten 29 Ein Betroffener muss von der Videoüberwachung gemäß Abs. 4 benachrichtigt

werden, wenn die Daten aus der Videoüberwachung seiner Person zugeordnet werden. Dies gilt sowohl für den öffentlichen (§ 19a) als auch den nicht-öffentlichen Bereich (§ 33). Die Benachrichtigungspflicht setzt entsprechend dem Wortlaut des Abs. 4 zwingend voraus, dass durch die Videoüberwachung Daten erhoben, d.h. aufgezeichnet bzw. gespeichert wurden. Die Benachrichtigungspflicht entsteht in dem Moment, in dem der einzelne Betroffene von der verantwortlichen Stelle identifiziert und damit aus seiner relativen Anonymität im öffentlichen Raum herausgehoben wird. Die bloße Möglichkeit, die Identität der im Rahmen einer Videoüberwachung erfassten Personen festzustellen, begründet noch keine Benachrichtigungspflicht1. Der Verweis auf § 19a und § 33 umfasst auch die in deren Abs. 2 jeweils genannten Ausnahmetatbestände. Allerdings darf nicht generell angenommen werden, dass der Betroffene aufgrund der vorhandenen Hinweise auf die Videoüberwachung auf „andere Weise“ Kenntnis davon erlangt hat, dass eine individuelle Zuordnung seiner Person zu den Daten aus der Videoüberwachung stattgefunden hat (vgl. §§ 19a Abs. 2 Satz 1 Nr. 1, 33 Abs. 2 Satz 1 Nr. 1). Damit muss er gerade nicht rechnen. Die Benachrichtigung kann formlos erfolgen und muss Art und Umfang der Aufzeichnung sowie die damit verfolgte Zielsetzung umfassen.

30 An die Löschungspflicht gemäß Abs. 5 sind strenge Anforderungen zu stellen.

Die von der verarbeitenden Stelle vorgesehenen Löschungsfristen sind auch im Rahmen der Interessenabwägung zu berücksichtigen (s. Rz. 24). Die Löschung muss jeweils unverzüglich erfolgen, wenn die Aufbewahrung der Daten zur Zweckerreichung nach Abs. 1 nicht mehr erforderlich ist oder die schutzwürdigen Interessen der Betroffenen einer weiteren Speicherung entgegenstehen. Bei allen Maßnahmen zur Gefahrenabwehr und Sicherung ist dies der Fall, wenn es nicht zu relevanten Störungen gekommen ist. Die verarbeitende Stelle ist im eigenen Interesse gehalten, schnellstmöglich auf eine entsprechende Klärung hinzuwirken. Die Gesetzesmaterialien gehen davon aus, dass nicht mehr benötigte Aufnahmen innerhalb weniger Tage zu löschen sind2. Die Datenschutzbehörden gehen davon aus, dass die Löschung grundsätzlich innerhalb von 48 Stunden erfolgen muss3. Davon darf nur in Ausnahmefällen abgewichen werden. Die verarbeitende Stelle 1 Vgl. Simitis/Scholz, § 6b BDSG Rz. 133, 134. 2 BT-Drucks. 14/5793, S. 63. 3 Düsseldorfer Kreis, Orientierungshilfe „Videoüberwachung durch nicht öffentliche Stellen“, Stand 19.2.2014, S. 12.

318

|

Becker

Beobachtung öffentlich zugänglicher Räume | § 6b BDSG

muss ggf. nach dem Stand der Technik verfügbare automatisierte Verfahren zur Löschung vorsehen. Dies folgt auch bereits aus dem Grundsatz der Datenvermeidung und Datensparsamkeit gemäß § 3a1. Besteht ein Anlass zur Auswertung von Videoaufzeichnungen sind diese dementsprechend auch zügig durchzuführen. Für die Dauer der Auswertung ist die Löschung auszusetzen; danach sind nicht mehr benötigte Aufzeichnungen jedoch sofort zu löschen.

IX. Rechtsfolgen/Sanktionen, Rechtsweg Im Fall eines Verstoßes gegen § 6b ist die Videoüberwachung rechtswidrig. Be- 31 troffene können gegenüber einer rechtswidrigen Videoüberwachung außerdem Unterlassungsansprüche aus §§ 823 Abs. 1, 1004 BGB in Verbindung mit dem Recht auf informationelle Selbstbestimmung bzw. dem allgemeinen Persönlichkeitsrecht (Art. 2 Abs. 1, Art. 1 Abs. 1 GG) geltend machen2, sofern sie durch die Videoüberwachung hinreichend individuell betroffen sind. § 6b ist außerdem Schutzgesetz i.S.d. § 823 Abs. 2 BGB3. Für den Unterlassungsanspruch gegenüber Privaten ist der Zivilrechtsweg gegeben, im Arbeitsverhältnis zu den Arbeitsgerichten. Im öffentlichen Bereich kann der Unterlassungsanspruch unmittelbar auf die Grundrechte aus Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG gestützt werden, sofern es keinen einfachgesetzlichen Unterlassungsanspruch gibt4. Die Videoüberwachung ist schlichtes Verwaltungshandeln, gegen das der Rechtsweg zu den Verwaltungsgerichten gegeben ist5. Ein vorbeugender Unterlassungsanspruch kann schon bei Erstbegehungsgefahr gegeben sein, wenn ernsthafte und greifbare tatsächliche Anhaltspunkte dafür vorliegen, der Anspruchsgegner werde in naher Zukunft eine rechtswidrige Videoüberwachung durchführen6. Neben Unterlassungsansprüchen kann zumindest in Arbeitsverhältnissen auch ein Anspruch auf Schmerzensgeld gegeben sein7. Nach der Rechtsprechung han1 BT-Drucks. 14/5793, S. 63. 2 So schon BGH, NJW 1995, 1955 vor Einführung des § 6b; LG Berlin v. 23.7.2015 – 57 S 215/14, NJW-RR 2016, 366. 3 AG Berlin-Mitte v. 18.12.2003 – 16 C 427/02, NJW-RR 2004, 531; vgl. allgemein zum BDSG als Schutzgesetz auch Gola/Schomerus, § 1 BDSG Rz. 3. 4 BVerwG v. 25.1.2012 – 6 C 9/11, BVerwGE 141, 329 = juris, Rz. 22. 5 Vgl. BVerwG v. 25.1.2012 – 6 C 9/11, BVerwGE 141, 329 = juris, Rz. 22 m.w.N. 6 OLG Köln v. 30.10.2008 – 21 U 22/08, NJW 2009, 1827; zur Wiederholungsgefahr im Fall der öffentlichen Videoüberwachung BVerwG v. 25.1.2012 – 6 C 9/11, BVerwGE 141, 329 = juris, Rz. 21. 7 Zuletzt jedoch hinsichtlich der Höhe sehr zurückhaltend BAG v. 19.2.2015 – 8 AZR 1007/13, CR 2016, 155, bei mehrtägiger rechtswidriger Observation durch vom Arbeitgeber beauftragten Privatdetektiv und trotz Annahme einer schweren Persönlichkeitsverletzung lediglich ein Schmerzensgeld in Höhe von 1.000 Euro; ArbG Frankfurt v. 8.11.2013 – 22 Ca 9428/12, ZD 2014, 633; LAG Mainz v. 23.5.2013 – 2 Sa 540/12, juris; LAG Frankfurt v. 25.10.2010 – 7 Sa 1586/09, RDV 2011, 99 m. Anm. Albrecht, jurisPR-ITR 10/2011 Anm. 4.

Becker

|

319

§ 6b BDSG | Allgemeine und gemeinsame Bestimmungen delt es sich dabei nicht um einen Fall des § 253 BGB, sondern um einen ungeschriebenen Ausgleichsanspruch aufgrund Eingriffs in das grundgesetzlich geschützte allgemeine Persönlichkeitsrecht1. Ein Verstoß gegen § 6b ist als solcher nicht bußgeldbewehrt oder strafbar; die §§ 43, 44 enthalten keinen Verweis auf § 6b. Bußgeldbewehrt ist aber gemäß § 43 Abs. 1 Nr. 8 das Unterlassen der gebotenen Benachrichtigung nach Abs. 4 i.V.m. § 33 Abs. 1. Die zuständige Datenschutzbehörde kann außerdem Anordnungen zur Beseitigung von Verstößen treffen (§ 38 Abs. 5)2, – wovon die Datenschutzbehörden auch regelmäßig Gebrauch machen. Rechtswidrige Videoaufzeichnungen können unter bestimmten Voraussetzungen einem Beweisverwertungsverbot unterliegen3. Die Rechtsprechung ist jedoch generell zurückhaltend mit der Annahme eines Verwertungsverbots4 (dazu auch Rz. 26).

1 Vgl. BAG v. 19.2.2015 – 8 AZR 1007/13, CR 2016, 155; ausführlich auch ArbG Frankfurt v. 8.11.2013 – 22 Ca 9428/12, ZD 2014, 633. 2 VG des Saarlandes v. 29.1.2016 – 1 K 1122/14, RDV 2016, 101; VG Potsdam v. 20.11.2015 – 9 K 725/13, ; OVG Lüneburg v. 29.9.2014 – 11 LC 114/13, CR 2015, 39; VG Ansbach v. 12.8.2014 – AN 4 K 13.01634, CR 2014, 746, mit strengen Anforderungen an die Bestimmtheit einer Anordnung und die Ermessensausübung. 3 Ausführlich Bayreuther, NZA 2005, 1038 (1041). 4 Vgl. für das Arbeitsrecht BAG v. 21.6.2012 – 2 AZR 153/11, CR 2012, 795 (zum Beweisverwertungsverbot bei verdeckter Videoüberwachung); BAG v. 16.12.2010 – 2 AZR 485/ 08, RDV 2011, 192 m.w.N.; BAG v. 27.3.2003 – 2 AZR 51/02, RDV 2003, 293; LAG Düsseldorf v. 7.12.2015 – 7 Sa 1078/14, juris; LAG Köln v. 8.5.2015 – 4 Sa 1198/14, juris; LAG Hamm v. 15.7.2011 – 10 Sa 1781/10, ZD 2012, 141 – Ablehnung eines Verwertungsverbots bei Verstoß gegen § 6b in notwehrähnlicher Lage (Revision anhängig – BAG, 2 AZR 797/11); ArbG Düsseldorf v. 3.5.2011 – 11 Ca 7326/10, RDV 2011, 311 – Bejahung des Verwertungsverbots wegen Verstoß gegen § 6b (analog) und § 32 m.w.N.; ebenso ArbG Düsseldorf v. 29.4.2011 – 9 BV 183/10 m. Anm. Spitz, jurisPR-ITR 12/2011 Anm. 5; LArbG Sachsen-Anhalt v. 15.4.2008 – 11 Sa 522/07, juris – jedenfalls kein Verwertungsverbot bei fehlendem Bestreiten; ArbG Frankfurt v. 25.1.2006 – 7 Ca 3342/05, RDV 2006, 214 – Verwertungsverbot wegen Verstoß gegen § 6b bejaht; zur Verwertung privater Videoaufzeichnungen in einem Kaufhaus für einen Strafprozess s. BayOLG v. 24.1.2002 – 2St RR 8/02, NJW 2002, 2893; im Zivilprozess OLG Köln v. 5.7.2005 – 24 U 12/05, RDV 2006, 19; zur Zulässigkeit der verdeckten Videoüberwachung am Arbeitsplatz bei Diebstahlsverdacht unter Berücksichtigung der Menschenrechte EGMR v. 5.10.2010 – 420/ 07, EuGRZ 2011, 471; zusammenfassend zum Stand der Rechtsprechung Butz/Bummer, AuA 2011, 400; Steinkühler/Raif, AuA 2009, 213; Freckmann/Wahl, BB 2008, 1904 (1907).

320

|

Becker

Mobile personenbezogene Speicher- und Verarbeitungsmedien | § 6c BDSG

§ 6c Mobile personenbezogene Speicher- und Verarbeitungsmedien (1) Die Stelle, die ein mobiles personenbezogenes Speicher- und Verarbeitungsmedium ausgibt oder ein Verfahren zur automatisierten Verarbeitung personenbezogener Daten, das ganz oder teilweise auf einem solchen Medium abläuft, auf das Medium aufbringt, ändert oder hierzu bereithält, muss den Betroffenen 1. über ihre Identität und Anschrift, 2. in allgemein verständlicher Form über die Funktionsweise des Mediums einschließlich der Art der zu verarbeitenden personenbezogenen Daten, 3. darüber, wie er seine Rechte nach den §§ 19, 20, 34 und 35 ausüben kann, und 4. über die bei Verlust oder Zerstörung des Mediums zu treffenden Maßnahmen unterrichten, soweit der Betroffene nicht bereits Kenntnis erlangt hat. (2) Die nach Absatz 1 verpflichtete Stelle hat dafür Sorge zu tragen, dass die zur Wahrnehmung des Auskunftsrechts erforderlichen Geräte oder Einrichtungen in angemessenem Umfang zum unentgeltlichen Gebrauch zur Verfügung stehen. (3) Kommunikationsvorgänge, die auf dem Medium eine Datenverarbeitung auslösen, müssen für den Betroffenen eindeutig erkennbar sein. I. Einführung . . . . . . . . . . . . . .

1

II. Normadressat . . . . . . . . . . . . .

3

III. Speicher- und Verarbeitungsmedien . . . . . . . . . . . . . . . . . .

7

IV. Informationspflicht (Abs. 1) . . 12 V. Geräte und Einrichtungen zur Auskunft (Abs. 2) . . . . . . . . . . 18

VI. Erkennbarkeit von Datenverarbeitungs-Vorgängen (Abs. 3) VII. Fallgruppen 1. Gesundheitskarten . . . . . . . . . . 2. Kundenkarten . . . . . . . . . . . . . 3. Personalausweis . . . . . . . . . . . 4. RFID . . . . . . . . . . . . . . . . . . . 5. SIM-Karten . . . . . . . . . . . . . .

22 24 25 26 27 28

Schrifttum: Artikel-29-Datenschutzgruppe, Rahmen für Datenschutzfolgenabschätzungen für RFID-Anwendungen, WP 180 v. 11.2.2011; Conrad, RFID-Ticketing aus datenschutzrechtlicher Sicht, CR 2005, 537; Geis, Der Betroffene als Zahl – Wirtschaftsinteresse contra Betroffenenrechte?, RDV 2007, 1; Hornung, Datenschutz für Chipkarten, DuD 2004, 243; Hornung, RFID und datenschutzrechtliche Transparenz, MMR 5/2006, XX; Lahner, Anwendung des 6c BDSG auf RFID, DuD 2004, 723; Polenz, Der neue elektronische Personalausweis, MMR 2010, 671; Holznagel/Bonnekoh, Radio Frequency Identification – Innovation vs. Datenschutz?, MMR 2006, 17; Kramer, Ist die Geldkarte ein „mobiles personenbezogenes Speicher- und Verarbeitungsmedium“?, DSB 2002, Nr. 5, 8; Roßnagel,

Hullen

|

321

§ 6c BDSG | Allgemeine und gemeinsame Bestimmungen Modernisierung des Datenschutzrechts für eine Welt allgegenwärtiger Datenverarbeitung, MMR 2005, 71; Schmitz/Eckhardt, Einsatz von RFID nach dem BDSG, CR 2007, 171; Weichert, Datenschutzrechtliche Anforderungen an Chipkarten, DuD 1997, 266; Zilkens, Datenschutz im Pass- oder Personalausweiswesen, RDV 2010, 14; Zimmer, Notfall-Management mit der elektronischen Gesundheitskarte, DuD 2014, 394.

I. Einführung 1 § 6c normiert besondere Informationspflichten, die mit der Verwendung mo-

biler personenbezogener Speicher- und Verarbeitungsmedien (s. Legaldefinition in § 3 Abs. 10) einhergehen (Abs. 1). Hierdurch soll die Transparenz bei der Verarbeitung personenbezogener Daten auf mobilen Datenträgern wie Chipkarten, bei denen der Betroffene die Verarbeitungsvorgänge aufgrund mangelnder Beeinflussbarkeit oder Wahrnehmbarkeit regelmäßig nur schwer nachvollziehen kann, erhöht werden1.

2 Insbesondere soll der Betroffene durch die frühzeitige Information über die

Funktionsweise des Mediums sowie über die Art der zu verarbeitenden Daten erkennen können, in welcher Weise und in welchem Umfang in sein Recht auf informationelle Selbstbestimmung eingegriffen wird2. Hierdurch wird der Betroffene bereits vor der Speicherung seiner Daten auf dem Medium entscheiden können, ob er einem derart gestalteten Verarbeitungsprozess vertrauen möchte. § 6c adressiert hingegen nicht die Frage der Rechtmäßigkeit der Erhebung, Verarbeitung und Nutzung der personenbezogenen Daten, insofern gelten die entsprechenden allgemeinen oder speziellen Zulässigkeitsnormen des Datenschutzrechts3. Die Informationspflicht wird flankiert von der Pflicht zur Bereitstellung technischer Einrichtungen, die das Auslesen der mobilen Datenträger durch den Betroffenen selbst ermöglichen (Abs. 2) und der Pflicht, das Ablaufen von Datenverarbeitungsvorgängen auf Speicher- und Verarbeitungsmedien für den Betroffenen erkennbar zu machen (Abs. 3). Der europäische Verordnungsgeber hat in der DSGVO keine vergleichbare spezifische Regelung getroffen.

II. Normadressat 3 Die Informationspflichten des Abs. 1 treffen zwei unterschiedliche Stellen, die

zur Unterrichtung des Nutzers verpflichtet sind (verpflichtete Stellen, zur Einschränkung der Informationspflicht bei Kenntnis des Betroffenen s. Rz. 17). Zum einen ist dies die Stelle, die ein mobiles Speicher- und Verarbeitungs-

1 Vgl. BT-Drucks. 14/5793, S. 63, zutreffend auch Auernhammer/Herbst, § 6c BDSG Rz. 2. 2 So auch Däubler/Klebe/Wedde/Weichert/Weichert, § 6c BDSG Rz. 1. 3 Ausführlich zur Rechtsnatur der Regelung Simitis/Scholz, § 6c BDSG Rz. 20.

322

|

Hullen

Mobile personenbezogene Speicher- und Verarbeitungsmedien | § 6c BDSG

medium (hierzu Rz. 7) ausgibt. Zum anderen ist auch die Stelle verpflichtet, die „Verfahren zur automatisierten Verarbeitung personenbezogener Daten“ auf einen Speicher- und Verarbeitungsmedium aufbringt oder sie ändert oder hierfür bereithält. Als verpflichtete Stellen i.S.d. Abs. 1 kommen dabei alle in § 1 Abs. 2 genannten in Betracht. Ausgebende Stelle ist diejenige, die die Aushändigung, Übergabe, Verteilung 4 oder Versendung1 des Speicher- und Verarbeitungsmediums an den Betroffenen verantwortet. Etwaig zwischengeschaltete Transportpersonen fallen dabei nicht in den Anwendungsbereich der Norm2. Verfahrensstellen sind die Stellen, die „Verfahren zur automatisierten Verarbei- 5 tung personenbezogener Daten“ auf das Speicher- und Verarbeitungsmedium aufbringen, bereits vorhandene Verfahren ändern, aktivieren3 oder dem Betroffenen die Möglichkeit bieten, solche Verfahren selbst zu installieren oder zu verändern (bspw. durch Bereitstellung entsprechender Programme im Internet)4. Adressaten des Abs. 1 sind lediglich ausgebende Stellen oder Verfahrensstellen. 6 Diese müssen jedoch nicht zwangsläufig mit der verantwortlichen Stelle, die personenbezogene Daten für sich erhebt, verarbeitet oder nutzt (s. § 3 Abs. 7) identisch sein. Im Rahmen eines Kundenbindungsprogramms kann bspw. die Ausgabe einer Bonuskarte durch die teilnehmenden Unternehmen (ausgebende Stelle) erfolgen, die vorherige Aufspielung der notwendigen Software wird dabei durch die Verfahrensstelle durchgeführt. Die eigentliche Datenverarbeitung kann dann z.B. durch einen externen Dienstleister erfolgen5. In diesem Fall treffen die zuerst genannten Stellen die Pflichten aus § 6c, die letztgenannte jedoch nicht. Die nach § 6c verpflichtete Stelle wird jedoch regelmäßig auch mit der verantwortlichen Stelle i.S.v. § 3 Abs. 7 identisch sein.

III. Speicher- und Verarbeitungsmedien § 6c ist eine Spezialnorm für die Datenverarbeitung mittels mobiler personenbe- 7 zogener Speicher- und Verarbeitungsmedien. Dies sind gem. der Legaldefinition des § 3 Abs. 10 Datenträger, die an den Betroffenen ausgegeben werden, auf denen personenbezogene Daten über die Speicherung hinaus durch die ausgebende oder eine andere Stelle automatisiert verarbeitet werden können und bei denen der Betroffene diese Verarbeitung nur durch den Gebrauch des Mediums beeinflussen kann. 1 2 3 4

Simitis/Scholz, § 6c BDSG Rz. 24. Taeger/Gabel/Zscherpe, § 6c BDSG Rz. 13. Simitis/Scholz, § 6c BDSG Rz. 25. S. Bergmann/Möhrle/Herb, § 38a BDSG Rz. 9; auch Gola/Schomerus/Gola/Klug/Körffer, § 6c BDSG Rz. 3. 5 Gola/Schomerus/Gola/Klug/Körffer, § 6c BDSG Rz. 3.

Hullen

|

323

§ 6c BDSG | Allgemeine und gemeinsame Bestimmungen 8 Unstreitig fallen alle mobilen Medien, die mittels integrierten Prozessors selbst

eine automatische Datenverarbeitung auf der Karte ermöglichen (sog. Smartcards), in den Anwendungsbereich des § 6c. Solche Chipkarten werden bspw. zu kryptografischen Zwecken (Signaturkarten) oder als Bank- (EC-Karten mit Geldkartenfunktion) und Krankenversicherungskarten (elektronische Gesundheitskarte) eingesetzt1.

9 Umstritten ist jedoch, ob auch reine Speichermedien (Read-only- und Read-

write-Medien), die keine Prozessoreinheit und somit keine automatische Datenverarbeitung auf dem Medium selbst ermöglichen, von § 6c umfasst sind. Dies sind z.B. Karten, auf denen lediglich ein bestimmter Datensatz gespeichert ist, der zu Zwecken der Zugangs- oder Zugriffskontrolle ausgelesen wird, die jedoch über keine eigene Prozessoreinheit verfügen (z.B. „Hausausweise“). Insbesondere Kundenkarten, auf denen lediglich die Stammdaten des Kunden gespeichert werden, damit diese – z.B. zur Teilnahme an einem Bonusprogramm – an der Kasse ausgelesen werden können, fallen in die Kategorie der Speicherkarten.

10 Gegen eine Anwendbarkeit des § 6c auf reine Speichermedien spricht der

Wortlaut des § 3 Abs. 10 Nr. 2 (s. Komm. zu § 3 BDSG Rz. 82). Hiernach gelten nur solche Karten als Speicher- und Verarbeitungsmedien, bei denen eine Datenverarbeitung „über die Speicherung hinaus“ und auf der Karte selbst stattfindet2. Auch dem Schutzzweck der Norm nach unterfallen reine Speichermedien nicht dem Anwendungsbereich. Chipkarten mit eigener Prozessoreinheit bieten ein besonders hohes Maß an Intransparenz. Im Gegensatz zu optischen Kennkarten, die ebenfalls ein (externe) Datenverarbeitungsvorgänge auslösen können (bspw. beim Einscannen von aufgedruckten Barcodes), bringt der Einsatz von Smartcards, auf denen ein – für den Betroffenen ohne weitere Information nicht nachvollziehbarer – Datenverarbeitungsvorgang stattfindet, ein erhöhtes Maß an Unsicherheit mit sich, da es sich zumeist um neue informationstechnische Abläufe handelt, die dem Großteil der Betroffenen so noch nicht geläufig sind.

11 Aufgrund der mittlerweile allgegenwärtigen ununterbrochenen Konnektivität

sowie der weit verbreiteten Speicherung und sonstigen Verarbeitung personenbezogener Daten „in der Cloud“ käme es streng genommen noch nicht einmal auf den Umstand der Verarbeitung oder Speicherung auf dem Medium selbst an. Auch das bloße Auslösen von Datenverarbeitungsvorgängen durch ein mobiles Medium würde nach einer teilweise vertretenen Auffassung konsequen1 Zur Bedeutung und Einsatzumgebung solcher Smartcards s. ausführlich Simitis/Scholz, § 6c BDSG Rz. 13. 2 So zutreffend Auernhammer/Herbst, § 6c BDSG Rz. 5; Hornung, MMR 5/2006, XX; ähnlich auch Gola/Schomerus/Gola/Klug/Körffer, § 6c BDSG Rz. 2a; Simitis/Scholz, § 6c BDSG Rz. 6; Taeger/Gabel/Buchner, § 3 BDSG Rz. 61; a.A. Däubler/Klebe/Wedde/Weichert/Weichert, § 6c BDSG Rz. 2; Holznagel/Bonnekoh, MMR 2006, 17 (21); Taeger/Gabel/Zscherpe, § 6c BDSG Rz. 21.

324

|

Hullen

Mobile personenbezogene Speicher- und Verarbeitungsmedien | § 6c BDSG

terweise zum Vorliegen der Informationspflichten nach § 6c führen1. Auch in diesen Fällen liegt ein gleichgelagertes Transparenzinteresse des Betroffenen vor. Jedoch müsste hier der Gesetzgeber die Norm entsprechend weiter fassen, um den Anwendungsbereich nicht über den Wortlaut hinaus zu überdehnen.

IV. Informationspflicht (Abs. 1) Die verantwortlichen Stellen (s. Rz. 6) haben den Betroffenen über die in Abs. 1 12 Nr. 1–4 festgelegten Informationen zu unterrichten. Die Informationspflichten des Abs. 1 werden bereits ausgelöst, wenn sich das Verarbeitungsmedium bei Ausgabe in einem Zustand befindet, der die Datenverarbeitung nach Abs. 1 zu einem späteren Zeitpunkt ermöglicht, auch wenn dies noch von weiteren Umständen abhängig ist (bspw. dem Aufspielen einer entsprechenden Software oder der Einrichtung einer technischen Infrastruktur)2. Die Information des Betroffenen hat dabei vor der erstmaligen Verwendung des mobilen Mediums zu erfolgen3. Gemäß Abs. 1 Nr. 1 ist der Betroffene über die Identität und Anschrift (Nr. 1) 13 der verpflichteten Stelle (s. Rz. 3) zu informieren. Die Nennung der für die Datenverarbeitung verantwortlichen Stelle nach § 3 Abs. 7 kann sinnvoll sein, ist aber nicht durch Abs. 1 zwingend vorgeschrieben4. Die Angabe von Identität und Anschrift soll es dem Betroffenen erleichtern, seine Rechte durchzusetzen, bspw. auf die Bereitstellung von Einrichtungen nach Abs. 2 (s. Rz. 18). Aus Effektivitätsgründen empfiehlt sich die Nennung eines konkreten Ansprechpartners oder der funktional zuständigen Unternehmenseinheit5. Der Betroffene ist weiterhin über die Funktionsweise des Mediums sowie über 14 die Art der zu verarbeitenden personenbezogenen Daten zu informieren (Nr. 2). Dieses Erfordernis trägt wesentlich zur Steigerung der Transparenz des Datenverarbeitungsvorgangs bei6. Die Information muss dabei „in allgemein verständlicher Form“ erfolgen. Davon umfasst ist der Datenverarbeitungsvorgang in seiner Gesamtheit, auch wenn er (zumindest teilweise) außerhalb des mobilen Mediums stattfindet7. Auch technische Laien sollen hierdurch erkennen 1 So z.B. Däubler/Klebe/Wedde/Weichert/Weichert, § 6c BDSG Rz. 2; Taeger/Gabel/ Zscherpe, § 6c BDSG Rz. 21. 2 So auch Bergmann/Möhrle/Herb, § 6c BDSG Rz. 9; Simitis/Scholz, § 6c BDSG Rz. 24. 3 Auernhammer/Herbst, § 6c BDSG Rz. 17; Taeger/Gabel/Zscherpe, § 6c BDSG Rz. 38. 4 Taeger/Gabel/Zscherpe, § 6c BDSG Rz. 32. 5 Ähnlich auch Taeger/Gabel/Zscherpe, § 6c BDSG Rz. 31. 6 Die Gesetzesbegründung misst dieser Informationspflicht insofern eine „zentrale Bedeutung“ bei, s. BT-Drucks. 14/5793, S. 63. 7 S. BT-Drucks. 14/5793, S. 63, wonach die Unterrichtungspflicht jedoch lediglich auf „praktisch relevante Verarbeitungsoptionen“ beschränkt sein soll; Auernhammer/ Herbst, § 6c BDSG Rz. 14.

Hullen

|

325

§ 6c BDSG | Allgemeine und gemeinsame Bestimmungen können, welche Daten unter welchen Umständen von welchen Stellen verarbeitet werden1. Eine Pflicht zur Offenlegung technischer Details besteht darüber hinaus nicht2. 15 Zudem muss der Betroffene über die Möglichkeit der Ausübung seiner Rechte

nach den §§ 19, 20, 34 und 35 informiert werden (Nr. 3). Hierbei ist auf die Besonderheit der Verwendung mobiler Speicher- und Verarbeitungsmedien einzugehen, bspw. durch Unterrichtung über die Standorte von Lesegeräten nach Abs. 2 (s. hierzu Rz. 18).

16 Schließlich ist der Betroffene darüber zu informieren, wie er im Falle des Ver-

lusts oder der Zerstörung des Mediums vorgehen sollte (Nr. 4). Zweckmäßigerweise sollten sich diese Informationen auch auf den Fall der Beschädigung des Mediums beziehen3. Die Informationen hierüber können dem Betroffenen etwa anhalten, den Verlust unverzüglich einer zuständigen Stelle anzuzeigen und ihm erklären, ob und wie ein Ersatz angefordert werden muss und ob bzw. in welcher Höhe hierfür Kosten anfallen4.

17 Die Unterrichtung kann unterbleiben, soweit der Betroffene bereits Kenntnis

über die in Abs. 1 genannten Informationen erhalten hat. Bei einer nachgelagerten Aufspielung oder Änderungen des Verfahrens der Datenverarbeitung muss der Betroffene hierüber i.S.d. Abs. 1 informiert werden. Die Unterrichtung kann sich in diesem Fall auf die technischen oder organisatorischen Änderungen beschränken. Eine erneute vollumfängliche Information ist in diesen Fällen nicht notwendig5.

V. Geräte und Einrichtungen zur Auskunft (Abs. 2) 18 Die nach Abs. 1 verpflichteten Stellen haben technische Mittel (Lesegeräte) zur

Verfügung zu stellen, damit Betroffene von ihrem Auskunftsrecht Gebrauch machen und selbst die auf dem mobilen Medium gespeicherten Daten abrufen und zur Kenntnis nehmen können6. Die Verpflichtung trägt dem Umstand Rechnung, dass der Betroffene zwar in der Regel die physische Sachherrschaft über das mobile Medium besitzt, jedoch nicht ohne weitere technische Hilfsmittel in der Lage ist, die gespeicherten Inhalte abzurufen7. 1 Däubler/Klebe/Wedde/Weichert/Weichert, § 6c BDSG Rz. 5; Gola/Schomerus/Gola/ Klug/Körffer, § 6c BDSG Rz. 6. 2 S. BT-Drucks. 14/5793, S. 63. 3 Taeger/Gabel/Zscherpe, § 6c BDSG Rz. 37. 4 Taeger/Gabel/Zscherpe, § 6c BDSG Rz. 37; Simitis/Scholz, § 6c BDSG Rz. 41. 5 S. BT-Drucks. 14/5793, S. 64. 6 Gola/Schomerus/Gola/Klug/Körffer, § 6c BDSG Rz. 9. 7 Simitis/Scholz, § 6c BDSG Rz. 49.

326

|

Hullen

Mobile personenbezogene Speicher- und Verarbeitungsmedien | § 6c BDSG

Die Bereitstellung hat in einem angemessenen Umfang und kostenlos zu erfol- 19 gen. Der Gesetzgeber hat den unbestimmten Rechtsbegriff des angemessenen Umfangs gewählt, um Aspekte wie die Sensibilität der gespeicherten Daten, wirtschaftliche Erwägungen und Verbreitungsgrad des technischen Verfahrens, dem die Datenverarbeitung auf mobilen Medien zugrunde liegt, berücksichtigen zu können1. Möglich, aber nicht verpflichtend ist die Übergabe von Lesegeräte zur vorüber- 20 gehenden oder dauerhaften ausschließlichen Nutzung durch den Betroffenen. Ausreichend ist eine Zurverfügungstellung im öffentlichen Raum, wie es bspw. Geldautomaten zum Auslesen von Geldkarten im Selbstbedienungsbereich von Banken üblich ist2. Die Bereitstellung und Nutzung der Lesegeräte hat dabei grundsätzlich unent- 21 geltlich zu erfolgen. Dies trägt dem allgemeinen datenschutzrechtlichen Grundsatz Rechnung, dass Auskünfte prinzipiell kostenlos zu erteilen sind (s.a. Komm. zu § 19 BDSG Rz. 5)3.

VI. Erkennbarkeit von Datenverarbeitungs-Vorgängen (Abs. 3) Abs. 3 gibt vor, dass der Betroffene Kommunikationsvorgänge, die auf dem Me- 22 dium eine Datenverarbeitung auslösen, erkennen können muss. Hierdurch soll eine „heimliche“ Datenverarbeitung, die bspw. durch ein bloßes Vorbeigehen an einem entsprechenden Terminal unbemerkt ausgelöst werden könnte, verhindert werden4. Über die Art und Weise der Kenntlichmachung der Datenverarbeitungsvor- 23 gänge sagt Abs. 3 nichts aus, insofern besteht ein weiter Gestaltungsspielraum der verpflichteten Stellen. Die Vorgabe kann z.B. durch entsprechende Anzeigen auf einem Display, durch Signaltöne oder Lichtzeichen erfolgen5. Die Information über die Ausführung des Datenverarbeitungsvorgangs muss u.U. so rechtzeitig erfolgen, dass der Betroffene den Vorgang auf Wunsch abbrechen kann6. Eine Information erst nach Abschluss des Vorgangs ist nicht ausreichend7.

1 2 3 4 5 6

BT-Drucks. 14/5793, S. 64. Taeger/Gabel/Zscherpe, § 6c BDSG Rz. 43. Gola/Schomerus/Gola/Klug/Körffer, § 6c BDSG Rz. 10. So das in der Gesetzesbegründung gewählte Beispiel, s. BT-Drucks. 14/5793, S. 64. Däubler/Klebe/Wedde/Weichert/Weichert, § 6c BDSG Rz. 8. Differenzierend Taeger/Gabel/Zscherpe, § 6c BDSG Rz. 49; weitergehend Simitis/Scholz, § 6c BDSG Rz. 65. 7 Simitis/Scholz, § 6c BDSG Rz. 65.

Hullen

|

327

§ 6c BDSG | Allgemeine und gemeinsame Bestimmungen VII. Fallgruppen 1. Gesundheitskarten 24 Die elektronische Gesundheitskarte, seit dem 1.10.2011 ausgegeben wird, enthält

eine eigene Prozessoreinheit und ist somit in der Lage, personenbezogene Daten automatisiert zu verarbeiten. Zwar findet eine Datenverarbeitung auf der Karte zwecks fehlender Telematik-Infrastruktur zurzeit faktisch noch nicht statt. Da es bei der Frage der Anwendbarkeit der Norm lediglich auf die Möglichkeit einer automatisierten Verarbeitung personenbezogener Daten bei Ausgabe des Mediums ankommt1, unterfällt die elektronische Gesundheitskarte auch ohne aktuell durchgeführte kartenbasierte Datenverarbeitungsvorgänge dem Anwendungsbereich des § 6c2.

2. Kundenkarten 25 Kundenkarten, auf denen lediglich Stammdaten des Karteninhabers gespeichert

sind (Name, Anschrift, Kontaktdaten etc.), die z.B. der Identifikation zur Teilnahme an einem Bonusprogramm dienen, unterfallen nicht dem Anwendungsbereich des § 6c. Eine Ausnahme besteht lediglich dann, wenn solche Kundenkarten weitergehende Funktionen unter Einsatz einer eigenen Prozessoreinheit bereitstellen können3. 3. Personalausweis

26 Der elektronische Personalausweis4, der seit 1.11.2010 anstelle des laminierten

Papierdokuments ausgegeben wird, ist mit einer eigenen Prozessoreinheit ausgestattet, die eine automatisierte Verarbeitung personenbezogener Daten erlaubt5. Der elektronische Personalausweis ist somit nicht nur als reines Speichermedium ausgestaltet und fällt somit in den Anwendungsbereich des § 6c6. 4. RFID

27 Einen kontaktlosen Datenaustausch mit Speicher- und Verarbeitungsmedien ge-

währleisten so genannte RFID-Chips, die auch als Tags bezeichnet werden7. Die

1 Bergmann/Möhrle/Herb, § 6c BDSG Rz. 9. 2 Zu dem Verhältnis der spezialgesetzlichen Norm des § 291a SGB V zu und dem Verweis auf § 6c s. Simitis/Scholz, § 6c BDSG Rz. 70. 3 Hornung, MMR 5/2006, XX; Gola/Schomerus, § 6c BDSG Rz. 2a; a.A. Holznagel/Bonnekoh, MMR 2006, 17 (19). 4 Zu den rechtlichen Rahmenbedingungen s. Borges, NJW 2010, 3334. 5 S. Simitis/Scholz, § 6c BDSG Rz. 19. 6 Zum Verhältnis der einschlägigen Normen des PAuswG und § 6c BDSG s. Simitis/ Scholz, § 6c BDSG Rz. 71. 7 Zur RFID-Technik z.B. Hornung, MMR 5/2006, XXI; Simitis/Scholz, § 6c BDSG Rz. 10.

328

|

Hullen

Schadensersatz | § 7 BDSG

Radio Frequency Identification Technik ermöglicht den Datenaustausch mittels elektromagnetischer Wellen, wodurch die auf dem jeweiligen Medium gespeicherten Daten z.B. an eine externe Datenverarbeitungseinheit übertragen werden können1. Zutreffend ist die RFID als Schnittstelle nicht entscheiden für die Anwendbarkeit des § 6c, sondern die weitere technische Gestaltung des Mediums2. RFID-Systeme, die an reine Speichermedien gekoppelt sind, werden nicht vom Anwendungsbereich der Norm umfasst3. RFID-Medien unterfallen hingegen der Norm, soweit der RFID-Chip eine eigene Prozessoreinheit aufweist oder mit einer solchen intern verbunden ist. 5. SIM-Karten SIM-Karten sind kleine Chipkarten, die sowohl einen eigenen Speicher, als auch 28 eine eigene Prozessoreinheit (z.B. zur Verschlüsselung von Daten) aufweisen. SIM-Karten unterfallen daher prinzipiell dem Anwendungsbereich der Norm4. Ist es dem Betroffenen jedoch selbst möglich, die Datenverarbeitungsvorgänge zu steuern, bspw. durch sein Handy oder Notebook, so ist § 6c mangels entsprechender Beeinträchtigung des Betroffenen nicht anwendbar5.

§7 Schadensersatz 1Fügt

eine verantwortliche Stelle dem Betroffenen durch eine nach diesem Gesetz oder nach anderen Vorschriften über den Datenschutz unzulässige oder unrichtige Erhebung, Verarbeitung oder Nutzung seiner personenbezogenen Daten einen Schaden zu, ist sie oder ihr Träger dem Betroffenen zum Schadensersatz verpflichtet. 2Die Ersatzpflicht entfällt, soweit die verantwortliche Stelle die nach den Umständen des Falles gebotene Sorgfalt beachtet hat. I. Einführung . . . . . . . . . . . . . . . 1 II. Anwendungsbereich . . . . . . . . 5 III. Haftungsvoraussetzungen (Satz 1) . . . . . . . . . . . . . . . . . . 12

IV. Verschulden, Entlastungsbeweis (Satz 2) . . . . . . . . . . . . . . . . . . 15 V. Geltendmachung, Sonstiges . . . 20 VI. Konkurrenzen . . . . . . . . . . . . . 25

1 Ausführlich Schmitz/Eckhardt, CR 2007, 171; s.a. Taeger/Gabel/Zscherpe, § 6c BDSG Rz. 23. 2 Gola/Schomerus/Gola/Klug/Körffer, § 6c BDSG Rz. 2a; Hornung, MMR 5/2006, XXI; a.A. Taeger/Gabel/Zscherpe, § 6c BDSG Rz. 23. 3 So z.B. Gola/Schomerus/Gola/Klug/Körffer, § 6c BDSG Rz. 2a. 4 Gola/Schomerus/Gola/Klug/Körffer, § 6c BDSG Rz. 2a. 5 So auch Gola/Schomerus/Gola/Klug/Körffer, § 6c BDSG Rz. 4; Taeger/Gabel/Zscherpe, § 6c BDSG Rz. 22; differenzierend Däubler/Klebe/Wedde/Weichert/Weichert, § 6c BDSG Rz. 2.

Hullen/Becker

|

329

§ 7 BDSG | Allgemeine und gemeinsame Bestimmungen Schrifttum: Bachmeier, EG-Datenschutzrichtlinie – Rechtliche Konsequenzen für die Datenschutzpraxis, RDV 1995, 49; Bierekoven, Schadensersatzansprüche bei der Verletzung von Datenschutzanforderungen nach der BDSG-Novelle, Die Bedeutung der neuen Informationspflichten des § 42a BDSG, ITRB 2010, 88; Born, Schadensersatz bei Datenschutzverstößen, Diss. Hamburg, 2001; Dzida/Grau, Rechtsfolgen von Verstößen gegen den Beschäftigtendatenschutz, ZIP 2012, 504; Dönch, Verbandsklagen bei Verstößen gegen das Datenschutzrecht – neue Herausforderungen für die Datenschutz-Compliance, BB 2016, 962; Grimm/Freh, Schadensersatz und Schmerzensgeld wegen Verletzung des Arbeitnehmer-Persönlichkeitsrechts, ArbRB 2012, 151; Härting/Schneider, Das Ende des Datenschutzes – es lebe die Privatsphäre, CR 2015, 819; Hartung/Reintzsch, Die datenschutzrechtliche Haftung nach der EU-Datenschutzreform, Teil 1, ZWH 2013, 129; Hartung/ Reintzsch, Die datenschutzrechtliche Haftung nach der EU-Datenschutzreform, Teil 2, ZWH 2013, 180; Hoffmann, Die Verletzung der Vertraulichkeit informationstechnischer Systeme durch Google Street View, CR 2010, 514; Kopp, Das EG-Richtlinienvorhaben zum Datenschutz, RDV 1993, 1; Linsenbarth/Schiller, Datenschutz und Lauterkeitsrecht – Ergänzender Schutz bei Verstößen gegen das Datenschutzrecht durch das UWG?, WRP 2013, 576; Niedermeier/Schröcker, Ersatzfähigkeit immaterieller Schäden aufgrund rechtswidriger Datenverarbeitung, RDV 2002, 217; Oberwetter, Überwachung und Ausspähung von Arbeitnehmern am Arbeitsplatz – alles ohne Entschädigung?, NZA 2009, 1120; Roßnagel/Pfitzmann/Garstka, Modernisierung, des Datenschutzrechts, Gutachten im Auftrag des Bundesministeriums des Innern, 2002; Seel, Mitarbeiterobservation – Anspruch auf Geldentschädigung wegen heimlicher Videoaufnahmen, MDR 2015, 1213; Taeger, Datenschutzrechtliche Haftung – insbesondere bei unrichtiger Datenverarbeitung durch fehlerhafte Computerprogramme, RDV 1996, 77; Wind, Haftung bei der Verarbeitung personenbezogener Daten, RDV 1991, 16; Wuermeling, Umsetzung der Europäischen Datenschutzrichtlinie, DB 1996, 663.

I. Einführung 1 § 7 ist eine eigenständige Anspruchsgrundlage, die dem Betroffenen im Fall

rechtswidriger oder falscher Datenverwendung die Geltendmachung seines materiellen Schadens ermöglicht. Sachlich handelt es sich um einen deliktischen Anspruch1. Die praktische Bedeutung der Vorschrift wird eher als gering eingestuft. Dies liegt vor allem an der geringen Zahl von Gerichtsentscheidungen, die sich unmittelbar mit § 7 bzw. datenschutzrechtlichen Schadensersatzansprüchen beschäftigen2. Der Grund hierfür liegt in der Natur der Datenverwendung: Erweist 1 BT-Drucks. 14/4329, S. 38; BT-Drucks. 14/5793, S. 64. 2 Vgl. im Wesentlichen LG Memmingen v. 14.1.2016 – 22 O 1983/13, CR 2016, 240 (Videoüberwachung aus Fahrzeug); OLG Zweibrücken v. 21.2.2013 – 6 U 21/12, VersR 2013, 915 (Schadensersatz in Höhe der Rechtsanwaltskosten wegen rechtswidriger Sozialdatenerhebung); VG Wiesbaden v. 6.10.2010 – 6 K 280/10.WI, DuD 2011, 142 (mögliche Schadensersatzansprüche eines Journalisten wegen Nichtzulassung zu einer Veranstaltung aufgrund rechtswidriger Datenweitergabe an die NATO); BAG v. 20.1.2009 – 1 AZR 515/ 08, RDV 2009, 172 (Unterlassungsanspruch aus § 7 BDSG analog wegen Gewerkschaftswerbung per E-Mail); OLG Düsseldorf v. 14.12.2006 – 10 U 69/06, CR 2007, 534 (Unbe-

330

|

Becker

Schadensersatz | § 7 BDSG

sich die Verarbeitung oder Nutzung von Daten als rechtswidrig oder sind Daten falsch, wird der Betroffene versuchen, die rechtswidrige Datenverarbeitung zu beenden oder die falschen Daten korrigieren zu lassen. Zur Durchsetzung entsprechender Maßnahmen gibt das BDSG dem Betroffenen Korrektur-, Löschungsund Sperrungsansprüche an die Hand (vgl. §§ 6, 20, 35). Ist der Betroffene damit erfolgreich, ist der primäre „Schaden“ beseitigt1. Anders als im sonstigen Schadensrecht ist damit beim Datenschutz die Naturalrestitution (§ 249 Abs. 1 BGB) durch Beseitigung des rechtswidrigen Zustands die Regel. Aufwand und Kosten des Betroffenen, die rechtwidrige Verarbeitung oder Nutzung von Daten beenden oder einzelne Daten korrigieren zu lassen, sind typischerweise geringfügig. Gleiches gilt auf Seiten der verarbeitenden Stelle. Ein weitergehender Vermögensschaden tritt beim Betroffenen eher selten ein oder ist so marginal, dass sich aus Sicht des Betroffenen die Verfolgung nicht lohnt. Die Schadensminderungspflicht (§ 254 BGB) tut ihr Übriges. Am Beispiel2: Wer einen Kredit wegen einer unzutreffenden Kreditauskunft nicht erhält, wird und muss sich zunächst darum bemühen, seine Kreditfähigkeit nachzuweisen. Gelingt ihm dies gegenüber der Bank, ist es im Regelfall leicht, eine entsprechende Datenänderung bei der Kreditauskunft zu erreichen. Gelingt ihm dies gegenüber der Bank nicht, hilft auch eine – dann eher unwahrscheinliche – Änderung der Daten bei der Kreditauskunft nicht. Ein zurechenbarer materieller Schaden könnte allenfalls darin liegen, dass mehrere (oder alle) Banken einen Kredit aufgrund der Kreditauskunft trotz ihrer – nachgewiesenen – Fehlerhaftigkeit ablehnen, verzögern oder nur zu vergleichsweise schlechten Konditionen anbieten. Kausalität und Zurechenbarkeit des Schadens sind in solchen Fällen nicht einfach nachzuweisen. Diese und ähnliche Konstellationen machen deutlich, weshalb die (gerichtliche) Verfolgung von Vermögensschäden im Bereich des Datenschutzes bisher kaum eine Rolle spielt. Es bleibt in den meisten Fällen bei wirtschaftlich nicht quantifizierbaren Belästigungen des Betroffenen (z.B. durch Werbung), einem geringen Mehraufwand (z.B. für den Nachweis seiner angezweifelten Kreditfähigkeit) oder einfach nur bei einem Gefühl der Ohnmacht gegenüber der fremden Datenverarbeitung3. rechtigte Schufa-Meldung); LG Stuttgart v. 15.5.2002 – 21 O 97/01, DB 2002, 1499 (Ersatzansprüche im Zusammenhang mit Berichtigungsanspruch); LG Bonn v. 16.3.1994 – 5 S 179/93, RDV 1995, 253 (Unberechtigte Schufa-Meldung); OLG Frankfurt v. 6.1.1988 – 17 U 35/87 und 203/87, RDV 1988, 148 (Unberechtigte Schufa-Meldung); LG Paderborn v. 5.3.1981 – 5 S 3/81, DB 1981, 1038 (Fehlerhafte Meldung an Kreditauskunft). 1 Vgl. OLG Frankfurt v. 6.1.1988 – 17 U 35/87 und 203/87, RDV 1988, 148 (kein Beseitigungsanspruch nach erfolgter Korrektur fehlerhafter Schufa-Einträge). 2 Vgl. ähnlich LG Stuttgart v. 15.5.2002 – 21 O 97/01, DB 2002, 1499 zu einem falschen Schufa-Eintrag. Die Haftung wurde dort bei der einmeldenden Bank gesehen; ob diese im Ergebnis in Anspruch genommen wurde, ist dem Urteil nicht zu entnehmen; ähnlich LG Bonn v. 16.3.1994 – 5 S 179/93, RDV 1995, 253; siehe auch den Beispielsfall bei Wybitul, Handbuch – Datenschutz im Unternehmen, 2011, Rz. 359 (Rechtsanwaltskosten nach Kündigung wegen Datenschutzverstoß). 3 Vgl. dazu Dönch, BB 2016, 962 ff.

Becker

|

331

§ 7 BDSG | Allgemeine und gemeinsame Bestimmungen 2 In den Vordergrund rückt damit die Frage nach dem Ersatz des immateriellen

Schadens („Schmerzensgeld“), der nur in den gesetzlich bestimmten Fällen ersatzfähig ist (§ 253 BGB). Der Gesetzgeber hat für den Bereich der öffentlichen Stellen hierzu eine ausdrückliche Regelung getroffen (§ 8 Abs. 2), während es in allen anderen Fällen bei den allgemeinen Bestimmungen des Vertrags- und Deliktsrechts bleibt (§§ 253, 280, 823 BGB). Diese gewähren einen Anspruch auf Schmerzensgeld bei der Verletzung des allgemeinen Persönlichkeitsrechts (einschließlich des Rechts auf informationelle Selbstbestimmung) als Folge der Grundrechtsgewährleistung aus Art. 1 Abs. 1, Art. 2 Abs. 1 GG. Die fehlende Erwähnung des allgemeinen Persönlichkeitsrechts in § 253 BGB ist insoweit unbeachtlich1.

3 Ist im Einzelfall gleichwohl ein Vermögensschaden entstanden, bietet § 7 eine

zusätzliche Anspruchsgrundlage, deren Vorteil vor allem in der Beweislastumkehr hinsichtlich des Verschuldens liegt (§ 7 Satz 2). Für den öffentlichen Bereich wird die Vorschrift durch die Gefährdungshaftung des § 8 ergänzt, die auch immaterielle Schäden erfasst (§ 8 Abs. 2), aber zugleich eine enge betragsmäßige Begrenzung von Ersatzansprüchen vorsieht (§ 8 Abs. 3). Einen erheblichen Mehrwert für die Betroffenen gegenüber den weiter anwendbaren Haftungsregelungen des allgemeinen Zivilrechts (s. Rz. 25, 26) bzw. des relevanten Staatshaftungsrechts (s. Rz. 27) bieten die §§ 7 und 8 damit nicht. Der Vorwurf der symbolischen Gesetzgebung ist insoweit nicht ganz von der Hand zu weisen2.

4 In Zukunft könnten die Vorschriften allerdings in Kombination mit den Infor-

mationspflichten des § 42a im Fall von sog. Datenpannen an Bedeutung gewinnen3. Das Schadenspotenzial durch Datenpannen erscheint erheblich, während zugleich die Anforderungen an professionelle Datenverarbeiter, solche Datenpannen zu vermeiden, hoch anzusetzen sind (s. Komm. zu § 42a BDSG Rz. 1).

II. Anwendungsbereich 5 § 7 entspricht den Forderungen des Art. 23 EG-Datenschutzrichtlinie, der von

den Mitgliedstaaten die ausdrückliche Regelung eines eigenen, datenschutzrechtlichen Schadensersatzanspruches verlangt4. Die Regelung des § 7 ist dabei nicht in sich abgeschlossen, sondern zusammen mit den allgemeinen zivilrechtlichen Bestimmungen zu lesen. Der Gesetzgeber ging davon aus, dass dies

1 H.M., vgl. zur eindeutigen Gesetzesbegründung bei der Neuordnung des Schadensrechts BT-Drucks. 14/7752, S. 25 unter Hinweis auf die gefestigte BGH-Rechtsprechung seit BGHZ 128, 1 – Caroline von Monaco; Fortführung in BGHZ 160, 298; Simitis/Simitis, § 7 BDSG Rz. 33; Gola/Schomerus, § 7 BDSG Rz. 13; a.A. Niedermeier/Schröcker, RDV 2002, 217 (222). 2 Vgl. Simitis/Simitis, § 7 BDSG Rz. 7; Härting/Schneider, CR 2015, 819. 3 Bierekoven, ITRB 2010, 88. 4 Art. 23 Abs. 1 der EG-Datenschutzrichtlinie; dazu BR-Drucks. 461/00, S. 93.

332

|

Becker

Schadensersatz | § 7 BDSG

selbstverständlich sei und hat – anders als bei früheren Fassungen1 – bewusst darauf verzichtet, dies klarzustellen2. Es gelten daher insbesondere die allgemeinen Grundsätze zur haftungsausfüllenden Kausalität, zum Mitverschulden (§ 254 BGB) und zur Verjährung (§§ 195, 199 BGB). Berechtigte Anspruchssteller sind ausschließlich die von einer rechtswidrigen 6 oder fehlerhaften Datenverarbeitung Betroffenen (§ 3 Abs. 1). § 7 kommt keine drittschützende Wirkung zu3. Die Regelung spricht dem Betroffenen einen Schadensersatzanspruch in Bezug auf das ihm höchstpersönlich zustehende und verletzte allgemeine Persönlichkeitsrecht in seiner Ausprägung als Recht auf informationelle Selbstbestimmung (dazu Komm. zu § 1 BDSG Rz. 9) zu. Dritte (z.B. eine Bank, die sich auf eine fehlerhafte Kreditauskunft verlässt) können Ansprüche wegen unzulässiger oder fehlerhafter Datenverarbeitung nur nach den allgemeinen Bestimmungen geltend machen. Der Anwendungsbereich des § 7 ist nicht auf Verstöße gegen das BDSG be- 7 schränkt, sondern gilt nach seinem Wortlaut für jede „nach diesem Gesetz oder nach anderen Vorschriften über den Datenschutz“ unzulässige oder fehlerhafte Datenverwendung. Die Regelung gilt mithin für den gesamten Bereich des materiellen Datenschutzes. Verschiedene gesetzliche Regelungen verweisen ausdrücklich auf § 7 (§ 16 Abs. 4 De-Mail-Gesetz, § 82 SGB X4). § 7 findet außerdem Anwendung bei datenschutzrechtlichen Verstößen im Bereich des Gendiagnostikgesetzes (GenDG)5. § 7 findet neben § 40 TKG auch bei Verstößen gegen §§ 91 ff. TKG Anwendung, obwohl der Datenschutz gemäß TKG eine bereichsspezifische Sonderregelung darstellt und insoweit das BDSG verdrängt (§ 1 Abs. 3 Satz 1)6. Allerdings gilt dabei die Haftungsbeschränkung des § 44a TKG, die nicht nach Anspruchsgrundlagen unterscheidet und damit in ihrem Anwendungsbereich auch den Anspruch aus § 7 erfasst7. § 7 findet ferner Anwendung bei Verstößen gegen §§ 11 ff. TMG8. Gemäß dem sog. Medienprivileg des § 41 (dazu Komm. zu § 41 BDSG Rz. 4 ff.) sehen die Landespressegesetze (z.B. § 12 LandespresseG NRW) und der Rundfunkstaatsvertrag (§ 57 Abs. 1 RStV) für Datenschutzverstöße bei Verfolgung journalistisch-redaktioneller Zwecke Haftungserleichterungen vor9. Als datenschutzrechtliche Vorschrift i.S.d. § 7 1 2 3 4 5 6 7 8 9

Zur Gesetzgebungsgeschichte ausführlich Simitis/Simitis, § 7 BDSG Rz. 3 ff. BT-Drucks. 14/5793, S. 64. Simitis/Simitis, § 7 BDSG Rz. 9; BAG v. 20.1.2009 – 1 AZR 515/08, RDV 2009, 172. OLG Zweibrücken v. 21.2.2013 – 6 U 21/12, VersR 2013, 915; OLG Düsseldorf v. 21.8. 2015 – I-16 U 152/14, 16 U 152/14, juris. BT-Drucks. 16/10532, S. 16. Beck’scher TKG-Kommentar, 4. Aufl. 2013, § 91 TKG Rz. 7; Säcker/Klesczewski, Berliner Kommentar zum TKG, 3. Aufl. 2013, § 91 Rz. 4. Vgl. Beck’scher TKG-Kommentar, 4. Aufl. 2013, § 44 TKG Rz. 7; Säcker/Klesczewski, Berliner Kommentar zum TKG, 3. Aufl. 2013, § 44a Rz. 11. jurisPK-Internetrecht/Heckmann, 2. Aufl. 2009, Kapitel 1.12 Rz. 70. Dazu Harstein/Ring/Kreile/Dörr/Stettner, RStV, 37. Lieferung, Januar 2009, § 57 RStV Rz. 2.

Becker

|

333

§ 7 BDSG | Allgemeine und gemeinsame Bestimmungen kommt auch jede andere Rechtsvorschrift mit datenschutzrechtlichem Gehalt (§ 4 Abs. 1) in Betracht. Erfasst werden folglich auch Verstöße gegen entsprechende Bestimmungen in Tarifverträgen (§ 4 Abs. 1 TVG) oder Betriebsvereinbarungen (§§ 77, 87 Abs. 1 Nr. 6 BetrVG)1. 8 Anspruchsgegner ist die verarbeitende Stelle (§ 7 Satz 1), die auch für ihren

Auftragsdatenverarbeiter einzustehen hat (§ 11 Abs. 1 Satz 1). Eine entsprechende Anwendung auf andere als die verarbeitende Stelle (§ 3 Abs. 7), z.B. auf deren Beschäftigte (§ 3 Abs. 11) oder den betrieblichen Datenschutzbeauftragten (§ 4f), scheidet aus. § 7 ist insoweit nicht analogiefähig.

9 § 7 gilt für den öffentlichen und nicht-öffentlichen Bereich. Die Ersatzpflicht

trifft bei öffentlichen Stellen deren Träger. Die diesbezügliche Klarstellung in § 7 Satz 1 ist lediglich dem spezifischen Begriff der verarbeitenden Stellen im BDSG geschuldet (s. § 3 Abs. 7). Besonderheiten können sich in Bezug auf öffentlichrechtliche Kreditinstitute ergeben, die durch einzelne landesgesetzliche Regelungen in Bezug auf den Datenschutz den nicht-öffentlichen Stellen zugeordnet werden2.

10 Die Regelung gilt (anders als § 8) nicht nur für die automatisierte Datenver-

arbeitung, sondern auch für die Datenverarbeitung in Akten3.

11 § 7 Satz 1 wird teilweise als Grundlage eines allgemeinen datenschutzrecht-

lichen Unterlassungsanspruches angesehen, so dass insoweit ein Rückgriff auf §§ 1004, 823 Abs. 1, 2 BGB (wegen Verletzung des Rechts auf informationelle Selbstbestimmung bzw. in Verbindung mit den datenschutzrechtlichen Vorschriften als Schutzgesetze) nicht mehr notwendig wäre4. Sachlich unterscheidet sich ein solcher Unterlassungsanspruch jedoch nicht von dem allgemeinen Unterlassungsanspruch aus §§ 1004, 823 BGB; auf die Entlastungsmöglichkeit des § 7 Satz 2 kommt es in diesen Fällen nicht an, weil der Unterlassungsanspruch ohnehin verschuldensunabhängig ist5.

III. Haftungsvoraussetzungen (Satz 1) 12 Voraussetzung für die Haftung nach § 7 Satz 1 ist die unzulässige oder unrich-

tige Erhebung, Verarbeitung oder Nutzung (§ 3 Abs. 3–5) von personenbezogenen Daten des Betroffenen. Die „unzulässige“ Datenverarbeitung meint dabei

1 Gola/Schomerus, § 7 BDSG Rz. 5; Simitis/Simitis, § 7 BDSG Rz. 16; Dzida/Grau, ZIP 2012, 504 (507). 2 Simitis/Simitis, § 7 BDSG Rz. 10 m.w.N. 3 BR-Drucks. 461/00, S. 93. 4 BAG v. 20.1.2009 – 1 AZR 515/08, RDV 2009, 172; ablehnend Dzida/Grau, ZIP 2012, 504 (507). 5 Palandt/Bassenge, § 1004 BGB Rz. 4, 13; BGHZ 110, 313; dazu auch Simitis/Simitis, § 7 BDSG Rz. 29, 35, 36.

334

|

Becker

Schadensersatz | § 7 BDSG

jede rechtswidrige Nutzung oder Verwendung von Daten. Es genügt jede einfache Rechtswidrigkeit, es ist nicht erforderlich, dass der Rechtsverstoß bußgeldoder strafbewehrt ist (§§ 43, 44). Allerdings führt nicht jeder Verstoß gegen die Bestimmungen des BDSG unmittelbar zur Rechtswidrigkeit der Datenverarbeitung. Einzelnen Bestimmungen des BDSG kommt nur die Bedeutung einer Ordnungsvorschrift (vgl. z.B. Komm. zu § 6b BDSG Rz. 27) zu, ihre Verletzung begründet damit keinen Schadensersatzanspruch1. Die Bezugnahme auf die „unrichtige“ Datenverarbeitung betont den Anspruch des Betroffenen darauf, dass nur inhaltlich richtige Daten genutzt und verarbeitet werden dürfen; insoweit ergänzt § 7 im Bereichs des Schadensersatzes die Berichtigungsansprüche des Betroffenen (§§ 20 Abs. 1 Satz 1, 35 Abs. 1 Satz 1). Dementsprechend ist der Begriff der „unrichtigen“ Datenverarbeitung weit zu verstehen und umfasst alle falschen, unvollständigen oder verfälschten Daten und Datenverarbeitungsvorgänge2. Auf die Schwere der Verletzung kommt es, anders als bei § 8 Abs. 2, nicht an3. Der Ersatzanspruch aus § 7 setzt ferner voraus, dass der datenschutzrechtliche 13 Verstoß kausal zu einem Schaden beim Betroffenen geführt hat. Der Nachweis der Ursächlichkeit und des Eintritts eines Schadens obliegt dabei als haftungsbegründendem Umstand dem Betroffenen. Beweiserleichterungen gelten hierfür nicht. Die Gegenauffassung4 argumentiert vor allem mit dem Schutzzweck des Gesetzes, der jedoch insoweit keinen Niederschlag im Wortlaut gefunden hat. § 7 Satz 2 ordnet die Beweislastumkehr ausschließlich für die Frage der Verantwortlichkeit ein, im Übrigen bleibt es jedoch bei den allgemeinen Regeln der Beweislastverteilung, d.h. jede Seite hat in einem Rechtsstreit die für sie günstigen Umstände darzulegen und ggf. zu beweisen. Die Darlegungspflicht des Betroffenen nach den allgemeinen Regeln ist dabei indessen nicht zu überspannen, soweit es um Umstände geht, die in der Sphäre der verarbeitenden Stelle liegen5. Insbesondere muss der Betroffene nicht etwa die technischen Details der Datenverarbeitung darlegen, soweit diese für die Schadensursächlichkeit eine Rolle spielen. § 7 Satz 1 räumt den Betroffenen keinen Anspruch auf Ersatz des immateriel- 14 len Schadens ein6. Entsprechende politische Forderungen sind nicht Gesetz ge1 Däubler/Klebe/Wedde/Weichert/Däubler, § 7 BDSG Rz. 11; Niedermeyer/Schröcker, CR 2002, 217 (218). 2 Simitis/Simitis, § 7 BDSG Rz. 20. 3 Simitis/Simitis, § 7 BDSG Rz. 34 m.w.N. 4 Gola/Schomerus, § 7 BDSG Rz. 11 unter Hinweis auf LG Bonn v. 16.3.1994 – 5 S 179/93, RDV 1995, 253 (Ursächlichkeit stand aufgrund der Beweisaufnahme fest); LG Bielefeld v. 7.9.1995 – 22 S 100/95, RDV 1996, 43 (Entscheidung betrifft Schutzumfang des Bankgeheimnisses) und BGH RDV 1996, 132 (Entscheidung beruht maßgeblich auf den besonderen Anforderungen zur ärztlichen Dokumentationspflicht). 5 Niedermeier/Schröcker, RDV 2002, 217 (219). 6 OLG Zweibrücken v. 21.2.2013 – 6 U 21/12, VersR 2013, 915.

Becker

|

335

§ 7 BDSG | Allgemeine und gemeinsame Bestimmungen worden1. § 8 Abs. 2 findet keine entsprechende Anwendung. Auch mit einer richtlinienkonformen Auslegung gelangt man nicht zu einem Schmerzensgeldanspruch aus § 7 Satz 1; die EG-Datenschutzrichtlinie bietet hierfür keine Anhaltspunkte2. Ein solcher Anspruch auf „Schmerzensgeld“ oder „Geldentschädigung“ ergibt sich aber zweifelsohne aus allgemeinem Deliktsrecht in Verbindung mit dem allgemeinen Persönlichkeitsrecht (dazu Rz. 2). Hierfür gelten die von der Rechtsprechung entwickelten Grundsätze zum Eingriff in das allgemeine Persönlichkeitsrecht3. Insoweit werden typischerweise zwei Fallgruppen unterschieden: Zum einen Fälle, bei denen eine objektiv erheblich ins Gewicht fallende Persönlichkeitsrechtsverletzung begangen wurde. Zum anderen Fälle, bei denen subjektiv eine besonders schwere Schuld des Schädigers vorliegt. Diese Fallgruppen wurden allerdings vor allem im Bereich des Presserechts entwickelt4 und lassen sich nicht ohne Weiteres für den Bereich datenschutzrechtlicher Verstöße fruchtbar machen. Während im Presserecht zumeist die Individualität des Verletzten im Vordergrund steht, betrifft „ein“ Datenschutzverstoß häufig eine Vielzahl von Personen, wobei die Betroffenheit der einzelnen Personen häufig nur im Bagatellbereich liegt5. Schadensersatzrechtlich sind daher die von der „Caroline“-Rechtsprechung betonten sonstigen Gesichtspunkte und ihre Übersetzung ins datenschutzrechtliche Umfeld von besonderer Bedeutung, nämlich einmal die „Genugtuungsfunktion“ sowie die „Präventionsfunktion“ von Ersatzansprüchen im Fall von Persönlichkeitsrechtsverletzungen6. Es stellt sich insoweit die Frage, ob bei der Verletzung des Datenschutzes mit einer Vielzahl von Verletzten auch dann jedem Einzelnen ein angemessenes Schmerzensgeld zuzuerkennen ist, wenn die Beeinträchtigung des einzelnen Betroffenen für 1 Hierzu Simitis/Simitis, § 7 BDSG Rz. 32. 2 Vgl. Niedermeier/Schröcker, RDV 2002, 217 (223 f.); a.A. Kopp, RDV 1993, 1 (8); Wuermeling, DB 1996, 663 (670); rechtspolitisch Roßnagel/Pfitzmann/Garstka, Modernisierung, des Datenschutzrechts, Gutachten im Auftrag des Bundesministeriums des Innern, 2002, S. 19. 3 Palandt/Sprau, § 823 BGB Rz. 83 ff.; OLG Frankfurt v. 21.1.1987 – 21 U 164, 86, NJW 1987, 1087 (Videoaufnahmen von einem Betrunkenen); ähnlich OLG Köln v. 13.10. 1988 – 18 U 37/88, RDV 1989, 240 (Videoüberwachung durch Nachbarn). 4 Vgl. Rehbock, Medien- und Prozessrecht, 2. Aufl. 2011, § 3 Rz. 446 ff., 475 ff. 5 Vgl. z.B. AG Kassel v. 3.11.1998 – 424 C 1260/98, CR 1999, 749 (Weitergabe von Kundendaten); vgl. auch Hoffmann, CR 2010, 514 (518) zum Erfassen von W-LAN-Informationen durch Google Street View. 6 Vgl. zur Genugtuungsfunktion im Presserecht BGHZ 18, 149; BGHZ 26, 349 – Herrenreiterfall; BGHZ 35, 363 – Ginsengwurzel; BGH v. 30.1.1979 – VI ZR 163/77, NJW 1979, 1041 – Exdirektor; zur Präventionsfunktion die Caroline-Rechtsprechung; BGHZ 128, 1 (15); BGH v. 5.12.1995 – VI ZR 332/94, NJW 1996, 984; BGHZ 131, 332; BGHZ 160, 298; zum Kommerzialisierungsgedanken auch BGHZ 143, 214 – Marlene Dietrich; dazu Rehbock, Medien- und Prozessrecht, 2. Aufl. 2011, § 3 Rz. 443, 444; zur datenschutzrechtlichen Betrachtung ausführlich Born, Schadensersatz bei Datenschutzverstößen, 2001, S. 120 ff.

336

|

Becker

Schadensersatz | § 7 BDSG

diesen „verschmerzbar“ oder völlig vernachlässigbar ist, aber es unangemessen erschiene, dem Täter den Vorteil aus seinen möglicherweise sogar vorsätzlich begangenen Verletzungshandlungen ungeschmälert zu belassen. Die konkrete Bemessung des Schmerzensgeldes wäre dabei zumindest in bestimmten Bereichen (z.B. Adresshandel) im Hinblick auf den Marktwert von personenbezogenen Daten leicht möglich und nur das schadensersatzrechtliche Spiegelbild der Kommerzialisierung von Verbraucherdaten. Die rechtliche Entwicklung bleibt insoweit abzuwarten. Es ist zu vermuten, dass sich die Gerichte auch in Zukunft dem Thema nur vorsichtig nähern und mit Schmerzensgeldansprüchen zurückhaltend sein werden. Für die Unternehmen bleibt damit das Risiko wegen datenschutzrechtlicher Ersatzansprüche weitgehend überschaubar, solange es in Deutschland nicht die Möglichkeit von (datenschutzrechtlichen) Sammelklagen gibt, die eine Abschöpfung rechtswidrig erlangter Vorteile vorsehen. Allerdings wäre es durchaus denkbar, dass Betroffene ihre Ansprüche durch Abtretung z.B. an einen Verbraucherverband bündeln und gemeinsam geltend machen (zur Abtretbarkeit s. Rz. 22)1. Soweit bisher ein Schmerzensgeld zuerkannt wurde2, betraf dies jeweils nur Einzelfälle mit insgesamt überschaubaren Beträgen3. Gerade im Bereich des Arbeitsrechts dürften die bisher eher geringen Geldentschädigungen keine generalpräventive Wirkung gegen unzulässige Datenverarbeitungen (z.B. im Rahmen einer Videoüberwachung) haben.

IV. Verschulden, Entlastungsbeweis (Satz 2) § 7 Satz 2 gestattet der verantwortlichen Stelle den Entlastungsbeweis. Die Re- 15 gelung einer Exkulpationsmöglichkeit ist in der EG-Datenschutzrichtlinie als „Kann“-Vorschrift formuliert. Der nationale Gesetzgeber könnte daher auch 1 Vgl. zum erfolgreichen Fall einer solchen „unechten Sammelklage“ gegen einen Energieversorger wegen Preiserhöhungen LG Hamburg, ZMR 2012, 104; zur schlichten prozessualen Bündelung bei mehreren Beteiligten OLG Frankfurt v. 9.11.2010 – 11 U 4/10, juris; zu den standes- und wettbewerbsrechtlichen Fragen der Bewerbung von „unechten Sammelklagen“ durch Rechtsanwälte KG Berlin v. 31.8.2010 – 5 W 198/10, GRUR-RR 2010, 437; OLG München v. 12.1.2012 – 6 U 813/11, GRUR-RR 2012, 163. 2 Abgelehnt z.B. im Fall des LG Memmingen v. 14.1.2016 – 22 O 1983/13, CR 2016, 240 (kein Schmerzensgeld mangels signifikanter Beeinträchtigung). 3 Vgl. BAG v. 19.2.2015 – 8 AZR 1007/13, CR 2016, 155 (Observation in Freizeit durch Privatdetektiv an vier Tagen: 1 000 Euro); LArbG Mainz v. 23.5.2013 – 2 Sa 540/12 (Mehrmonatige offene Videoüberwachung: 650 Euro); ArbG Frankfurt v. 26.9.2000 – 18 Ca 4036/00, RDV 2001, 190 (Zweiwöchige Videoüberwachung am Arbeitsplatz: 1 300 DM); OLG Frankfurt v. 21.1.1987 – 21 U 164/86, NJW 1987, 1087 (Verbreitung von Videoaufnahmen eines Betrunkenen: 3 000 DM); OLG Köln v. 13.10.1988 – 18 U 37/88, RDV 1989, 240 (Einjähriger Videoüberwachung durch Nachbarn: 5 000 DM); zur Idee eines pauschalen Mindestbetrags für Schmerzensgeldzahlungen bei Serienfällen Oberwetter, NZA 2009, 1120 (1122 f.).

Becker

|

337

§ 7 BDSG | Allgemeine und gemeinsame Bestimmungen eine strengere Regelung vorsehen und z.B. im Rahmen einer Gefährdungshaftung den Entlastungsbeweis einschränken oder ganz abschneiden. Das BDSG belässt es jedoch zulässigerweise bei einer Verschuldenshaftung1. Der Wortlaut der Richtlinie und der Erwägungsgründe fordert allerdings zwingend, dass im Fall einer Exkulpationsmöglichkeit der hierfür erforderliche Nachweis von der verantwortlichen Stelle zu führen ist2. § 7 Satz 2 spiegelt diese Vorgabe zur Beweislast grundsätzlich wieder. Danach muss die verantwortliche Stelle darlegen und ggf. nachweisen, dass sie die nach den Umständen des Falles gebotene Sorgfalt beachtet hat. Die rechtspolitisch umstrittene3 Möglichkeit des Entlastungsbeweises ändert nichts an der grundsätzlichen Verschuldenshaftung4. Immerhin aber führt die Regelung hinsichtlich des Verschuldens zu einer Beweislastverteilung, die gegenüber derjenigen bei der allgemeinen deliktischen Haftung aus § 823 BGB zumindest im Ansatz zu einer Besserstellung der Betroffenen führt (zum Nutzen des § 7 aber Rz. 3). 16 Die Anforderungen an den Entlastungsbeweis hängen von den Umständen des

Einzelfalls ab. Die verantwortliche Stelle muss zeigen, dass sie nicht für den spezifisch eingetreten Schaden verantwortlich ist (oder ihr eigenes Verschulden jedenfalls gegenüber dem des Betroffenen unerheblich ist, § 254 BGB). Die verantwortliche Stelle muss dabei nachweisen, dass sie hinsichtlich der Umstände, die ursächlich zu dem Schaden geführt haben, die erforderliche Sorgfalt (§ 276 Abs. 2 BGB) eingehalten hat. Nicht notwendig ist, dass die verantwortliche Stelle zu diesem Zweck sämtliche Datenverarbeitungsvorgänge oder gar diesbezügliche Geschäftsgeheimnisse offenlegt, unabhängig davon ob sie für den eingetretenen Schaden von Bedeutung sein können oder nicht (vgl. auch Wertung des § 34 Abs. 1 Satz 4). Wurde der Schaden bspw. durch die mangelnde Aktualität der verarbeiteten Daten verursacht, kommt es allein auf die Frage an, ob die verantwortliche Stelle die notwendige Sorgfalt aufgewandt hat, um den relevanten Datenbestand hinreichend aktuell zu halten. Wurde der Schaden durch ein Datenleck oder den rechtswidrigen Eingriff eines Dritten verursacht, geht es um die Frage, welche Maßnahmen sorgfaltsgemäß aufzuwenden sind, um ein solches Datenleck oder Eingriffe Dritter abzuwenden. Der Sorgfaltsmaßstab ist dabei am Stand der Technik sowie dem Schutzinteresse der Betroffenen auszurichten. Maßgeblich sind die konkreten Umstände der Datenverarbeitungssituation. Der Wortlaut des § 7 Satz 2 ist insoweit mit dem Hinweis auf die „nach den Umständen des Falles gebotene Sorgfalt“ etwas enger formuliert als

1 2 3 4

Vgl. Bachmeier, RDV 1995, 49. S. Art. 23 Abs. 2 und Erwägungsgrund 55 der EG-Datenschutzrichtlinie. Simitis/Simitis, § 7 BDSG Rz. 21, 22. Der ursprüngliche Gesetzentwurf setzte ausdrücklich eine „schuldhafte“ Verletzung voraus, BT-Drucks. 14/4329, S. 10 (38); erst im weiteren Gesetzgebungsverfahren wurde dies im Hinblick auf die Entlastungsmöglichkeit des § 7 Satz 2, die eine Verschuldenshaftung notwendigerweise voraussetzt, für entbehrlich gehalten, BT-Drucks. 14/5793, S. 64.

338

|

Becker

Schadensersatz | § 7 BDSG

§ 276 Abs. 2 BGB, der auf die im „Verkehr erforderliche Sorgfalt“ abstellt1. Die verarbeitende Stelle kann sich naturgemäß nicht auf die „übliche Nachlässigkeit“ in ihrer Branche berufen. Rechtswidrige Eingriffe Dritter entschuldigen die verarbeitende Stelle nur, wenn sie nicht durch nach dem Stand der Technik zumutbare Schutzmaßnahmen (§ 9) abzuwenden sind2. Da es sich bei § 7 Satz 1 um eine deliktische Haftung handelt (s. Rz. 1), gelten 17 grundsätzlich ergänzend die Bestimmungen der §§ 823 ff. BGB und damit auch die Exkulpationsmöglichkeiten des § 831 Abs. 1 Satz 2 BGB. Sachlich ergeben sich jedoch aus den datenschutzrechtlichen Bestimmungen eine Reihe von Organisationspflichten, die wiederum die Entlastungsmöglichkeiten nach § 831 Abs. 1 Satz 2 BGB faktisch einschränken. Dazu gehören u.a. die Verpflichtung von Mitarbeitern auf das Datengeheimnis (§ 5), die Bestimmung eines betrieblichen Datenschutzbeauftragten (§ 4f Abs. 1 Satz 1), die Durchführung von Vorabkontrollen (§ 4d Abs. 5, 6), die technisch-organisatorischen Maßnahmen (§ 9) und die Auftragskontrolle (§ 11 Abs. 1 Satz 1, Abs. 2). Diese Organisationspflichten treffen die Organe der verarbeitenden Stelle. Eine diesbezügliche Pflichtverletzung der Organe wird der juristischen Person gemäß §§ 30, 31, 89 BGB ohne eine Exkulpationsmöglichkeit zugerechnet3. Die pflichtwidrige Nichteinbeziehung des Datenschutzbeauftragten, dessen Vorabkontrolle z.B. eine rechtswidrige Datenverarbeitung hätte verhindern können, führt damit regelmäßig zu einem Verschulden. Weitergehend wollen einzelne Stimmen die Anwendung des § 831 Abs. 1 Satz 2 BGB mit dem Hinweis auf eine vergleichbare Rechtslage bei der deliktischen Produzentenhaftung ausschließen4. Ein rechtspolitisches Bedürfnis hierfür ist im Hinblick auf die vorgenannten Organisationspflichten und die daraus folgende Haftung über §§ 30, 31, 89 BGB nicht ersichtlich. Offen ist die Frage, inwieweit das Fehlverhalten und vor allem Fehleinschät- 18 zungen des betrieblichen Datenschutzbeauftragten der verantwortlichen Stelle zugerechnet werden oder Einfluss auf die Einhaltung der erforderlichen Sorgfalt haben. Fraglich ist insbesondere, ob im Fall einer positiven Vorabkontrolle durch den Datenschutzbeauftragten, die sich im Nachhinein als fehlerhaft herausstellt, die Exkulpation gemäß § 7 Satz 2 möglich ist. Sofern die Vorabkontrolle lege artis (vgl. § 4d Abs. 5, 6) durchgeführt wurde, ist eine Exkulpation jedenfalls dann zu erwägen, wenn der Fehler allein in der Anwendung von Abwägungsregelungen z.B. im Rahmen des § 28 liegt, das Ergebnis des Datenschutzbeauftragten aber jedenfalls vertretbar erschien. Ein solches Verständnis würde die Stellung des betrieblichen Datenschutzbeauftragten im Unternehmen sicherlich stärken. Hiergegen ließe sich aus Schutzzweckgesichtspunkten ein1 2 3 4

Niedermeier/Schröcker, RDV 2002, 217 (219). Vgl. Simitis/Simitis, § 7 BDSG Rz. 25. Palandt/Sprau, § 31 BGB Rz. 7 ff.; § 823 BGB Rz. 50, 78; § 831 BGB Rz. 2 m.w.N. Däubler/Klebe/Wedde/Weichert/Däubler, § 7 BDSG Rz. 15; vgl. auch Niedermeier/ Schröcker, RDV 2002, 217 (221).

Becker

|

339

§ 7 BDSG | Allgemeine und gemeinsame Bestimmungen wenden, dass damit die Schadensersatzansprüche des Betroffenen in die Hände des Datenschutzbeauftragten gelegt würden, dessen Unabhängigkeit in der Praxis häufig nicht dem gesetzlichen Leitbild entspricht (§ 4f Abs. 3 Satz 2). Es gehört aber zur Konzeption des BDSG, dass dem betrieblichen Datenschutzbeauftragten eine besondere Rolle für die Einhaltung der datenschutzrechtlichen Regeln zukommt. Der Gesetzgeber setzt gerade auf einen Schutz durch Verfahrensregeln. Es ist daher nur folgerichtig, die verarbeitende Stelle zu entlasten, wenn das vorgeschriebene Verfahren zur Wahrung der datenschutzrechtlichen Belange eingehalten wurde und der Datenschutzbeauftragte auf Grundlage hinreichender Informationen im Rahmen einer Abwägung dazu kommt, dass eine bestimmte Maßnahme gemäß §§ 28 ff. zulässig ist. 19 Zu beachten ist, dass der Entlastungsbeweis i.S.d. § 7 Satz 2 sich zwar auf die

Einhaltung der gebotenen Sorgfalt richtet und damit die Frage des Verschuldens (§ 276 Abs. 2 BGB) in den Vordergrund stellt. Dies ist jedoch nicht abschließend zu verstehen. Die EG-Datenschutzrichtlinie verwendet den Begriff der Entlastungsmöglichkeit weiter als § 7 Satz 2. Art. 23 EG-Datenschutzrichtlinie spricht in der deutschen Fassung davon, dass der Umstand, durch den der Schaden eingetreten ist, der verantwortlichen Stelle „nicht zur Last gelegt werden kann“. Der verantwortlichen Stelle stehen mithin alle sonstigen Verteidigungsmöglichkeiten offen. In diesem Sinne kann die verantwortliche Stelle sich insbesondere mit einem Hinweis auf Höhere Gewalt oder auf ein Mitverschulden des Betroffenen (§ 254 BGB) verteidigen1. Hinsichtlich dieser allgemeinen „Entlastungsmöglichkeiten“ gilt ebenfalls die Beweislastverteilung des § 7 Satz 2. Im Ergebnis entspricht dies jedenfalls beim Mitverschuldenseinwand aus § 254 BGB der ohnehin gegebenen Beweislastverteilung.

V. Geltendmachung, Sonstiges 20 Der Anspruch aus § 7 Satz 1 ist ein zivilrechtlicher Anspruch und deshalb

grundsätzlich vor den ordentlichen Gerichten geltend zu machen. Dies gilt auch bei der Geltendmachung von Ansprüchen gegen öffentliche Stellen (Art. 34 Satz 3 GG; § 40 Abs. 2 VwGO). Die Sonderzuständigkeit für Amtshaftungsansprüche gemäß § 71 Abs. 2 Nr. 2 GVG dürfte zumindest entsprechende Anwendung finden. Für Schadensersatzansprüche gegen Arbeitgeber als verarbeitende Stelle ist die Zuständigkeit der Arbeitsgerichte gegeben, weil es sich um einen deliktischen Anspruch im Zusammenhang mit dem Arbeitsverhältnis handelt (§ 2 Abs. 1 Nr. 3d) ArbGG).

21 Mehrere Ersatzpflichtige haften gemäß § 840 BGB gesamtschuldnerisch. § 8

Abs. 4 findet allerdings keine entsprechende Anwendung.

1 Erwägungsgrund 55 der EG-Datenschutzrichtlinie.

340

|

Becker

Schadensersatz | § 7 BDSG

Teilweise wird vertreten, ein Schadensersatzanspruch aus § 7 sei nicht übertrag- 22 bar oder vererblich1. Soweit es um Ersatzansprüche wegen materieller Schäden geht, kann dies jedoch nicht überzeugen. Auch wenn der Datenschutz seinen Ursprung im Schutz des Persönlichkeitsrechts hat, sind materielle Esatzansprüche aus den §§ 7 Satz 1, 8 Abs. 1 als solche ohne Einschränkung übertragbar, vererblich, pfändbar und verpfändbar2. Das muss folgerichtig auch für den gesetzlichen Ersatzanspruch aus § 8 Abs. 2 gelten3. Davon zu unterscheiden ist dogmatisch die Geldentschädigung wegen eines rechtswidrigen Eingriffs in das allgemeine Persönlichkeitsrecht, die aus § 823 Abs. 2 BGB i.V.m. Art. 1 Abs. 1, Art. 2 Abs. 1 GG abgeleitet wird. Für diese Geldentschädigung hat der Bundesgerichtshof jüngst für den presserechtlichen Bereich entschieden, dass sie unvererblich ist4. Dem hat sich inzwischen ein Oberlandesgericht auch für den Bereich des Datenschutzes angeschlossen5. Die Begründung stellt auf den höchstpersönlichen Charakter des Anspruchs ab, dem vor allem Genugtuungsfunktion zukomme, die beim Tod des Anspruchsberechtigten gegenstandslos werde. Damit wird jedoch der für den Datenschutz wichtige Präventivgedanke praktisch außer Acht gelassen. Im Hinblick auf die DSGVO wird die Frage aber ohnehin neu zu beurteilen sein, weil der europarechtliche Begriff des „immateriellen Schadens“ in Art. 82 Abs. 1 DSGVO autonom auszulegen ist. Im Voraus kann auf einen Anspruch aus § 7 nicht verzichtet werden. Insofern 23 findet der Rechtsgedanke des § 6 Anwendung6. Nicht ersichtlich ist hingegen, weshalb der Betroffene nach Entstehung des Anspruchs durch bewusste Erklärung hierauf nicht verzichten können soll7. Insbesondere im Rahmen eines Vergleichs muss ein nachträglicher Verzicht zulässig sein. Ein Ausschluss oder eine wesentliche Einschränkung des § 7 durch AGB ist hingegen nicht möglich, weil hiermit gegen das gesetzliche Leitbild verstoßen würde (§ 307 Abs. 2 Nr. 1 BGB) 8. Ob indessen jedwede Haftungsbegrenzung ausgeschlossen ist, erscheint zweifelhaft. Die Möglichkeit von Haftungsbegrenzungen ist in § 309 Nr. 7 BGB nur im Hinblick auf überragende Rechtsgüter und in Bezug auf grobes Verschulden generell ausgeschlossen. Angemessene Haftungsbegrenzungen im Hinblick auf Fälle einfacher Fahrlässigkeit erscheinen daher nicht von vornherein unzulässig.

1 Simitis/Simitis, § 7 BDSG Rz. 44. 2 Däubler/Klebe/Wedde/Weichert/Däubler, § 7 BDSG Rz. 22; vgl. auch Palandt/Grüneberg, § 253 BGB Rz. 22; zu Änderung gegenüber der früheren Rechtslage BGH v. 6.12. 1994 – VI ZR 80/94, NJW 1995, 783. 3 Offen gelassen in OLG Düsseldorf v. 21.8.2015 – I-16 U 152/14, 16 U 152/14, juris, Rz. 34. 4 BGH v. 29.4.2014 – VI ZR 246/12, BGHZ 201, 45 = CR 2014, 602. 5 OLG Düsseldorf v. 21.8.2015 – I-16 U 152/14, 16 U 152/14, juris, Rz. 24. 6 Däubler/Klebe/Wedde/Weichert/Däubler, § 7 BDSG Rz. 24. 7 So aber Simitis/Simitis, § 7 BDSG Rz. 46. 8 Simitis/Simitis, § 7 BDSG Rz. 47.

Becker

|

341

§ 7 BDSG | Allgemeine und gemeinsame Bestimmungen 24 Ansprüche aus § 7 verjähren regelmäßig in drei Jahren ab Kenntnis von Scha-

den und Ersatzpflichtigem (Jahresendverjährung gemäß §§ 195, 199 Abs. 1 BGB), spätestens aber zehn Jahre nach Entstehung des Schadens bzw. 30 Jahre nach dem schadenstiftenden Ereignis (§ 199 Abs. 3 BGB).

VI. Konkurrenzen 25 Mit § 7 sollten die Betroffenen eine zusätzliche Anspruchsgrundlage erhalten.

§ 7 lässt andere Anspruchsgrundlagen unberührt1. Im Fall von Datenschutzverstößen sind daher gegen die verarbeitende Stelle auch vertragliche und deliktische Ansprüche, im Fall öffentlicher Stellen Staatshaftungsansprüche denkbar. Die Bedeutung anderer Anspruchsgrundlagen gegenüber § 7 liegt vor allem darin, dass sie ggf. auch Anspruch auf Ersatz des immateriellen Schadens geben.

26 Gegenüber nicht-öffentlichen Stellen kommen insbesondere Ansprüche aus

Verschulden bei Vertragsschluss (§ 311 Abs. 2 BGB), wegen Verletzung von Haupt- oder Nebenpflichten (§ 280 Abs. 1 BGB) oder aus Delikt in Betracht (§§ 823, 824, 826 BGB)2. Das Recht auf informationelle Selbstbestimmung ist ein sonstiges Recht i.S.d. § 823 Abs. 1 BGB. Des Weiteren sind die Bestimmungen des BDSG sowie der besonderen Datenschutzgesetze (§§ 91 ff. TKG, §§ 11 ff. TMG) als Schutzgesetze zugunsten des Betroffenen anzusehen. Das gilt jedenfalls für die Regelungen zur Einwilligung (§ 4a), die Kernregelungen über die Zulässigkeit der Datenverarbeitung (§§ 28 ff.) sowie Anforderungen an technische und organisatorische Maßnahmen (§ 9). Tatbestandlich werden daher über § 823 Abs. 2 BGB die gleichen Pflichtverletzungen wie über § 7 erfasst. Bei der Weitergabe von kreditrelevanten Informationen kommen Ansprüche aus § 824 BGB in Betracht3. Schadensersatzansprüche aus § 9 UWG wegen datenschutzrechtlicher Verstöße werden zwar diskutiert, der Nachweis eines konkreten Schadens beim Wettbewerber dürfte aber im Regelfall nicht gelingen4.

27 Gegenüber öffentlichen Stellen kommen vor allem Ansprüche aus Amtspflicht-

verletzung (Art. 34 GG, § 839 BGB) in Betracht5. Im Bereich des fiskalischen Handels sind die §§ 31, 89, 831 BGB als Haftungsgrundlagen zu prüfen.

1 H.M., vgl. Simitis/Simitis, § 7 BDSG Rz. 52; Gola/Schomerus, § 7 BDSG Rz. 16. 2 Ausführlich zu den Konkurrenzen Niedermeier/Schröcker, RDV 2002, 217 (219 ff.); vgl. auch Wind, RDV 1991, 16 ff. 3 OLG Frankfurt v. 6.1.1988 – 17 U 35/87 und 203/87, RDV 1988, 148. 4 Vgl. Linsenbarth/Schiller, WRP 2013, 576 (581 f.). 5 OLG Zweibrücken v. 21.2.2013 – 6 U 21/12, VersR 2013, 915.

342

|

Becker

Schadensersatz bei automatisierter Datenverarbeitung | § 8 BDSG

§8 Schadensersatz bei automatisierter Datenverarbeitung durch öffentliche Stellen (1) Fügt eine verantwortliche öffentliche Stelle dem Betroffenen durch eine nach diesem Gesetz oder nach anderen Vorschriften über den Datenschutz unzulässige oder unrichtige automatisierte Erhebung, Verarbeitung oder Nutzung seiner personenbezogenen Daten einen Schaden zu, ist ihr Träger dem Betroffenen unabhängig von einem Verschulden zum Schadensersatz verpflichtet. (2) Bei einer schweren Verletzung des Persönlichkeitsrechts ist dem Betroffenen der Schaden, der nicht Vermögensschaden ist, angemessen in Geld zu ersetzen. (3) 1Die Ansprüche nach den Absätzen 1 und 2 sind insgesamt auf einen Betrag von 130 000 Euro begrenzt. 2Ist aufgrund desselben Ereignisses an mehrere Personen Schadensersatz zu leisten, der insgesamt den Höchstbetrag von 130 000 Euro übersteigt, so verringern sich die einzelnen Schadensersatzleistungen in dem Verhältnis, in dem ihr Gesamtbetrag zu dem Höchstbetrag steht. (4) Sind bei einer automatisierten Verarbeitung mehrere Stellen speicherungsberechtigt und ist der Geschädigte nicht in der Lage, die speichernde Stelle festzustellen, so haftet jede dieser Stellen. (5) Hat bei der Entstehung des Schadens ein Verschulden des Betroffenen mitgewirkt, gilt § 254 des Bürgerlichen Gesetzbuchs. (6) Auf die Verjährung finden die für unerlaubte Handlungen geltenden Verjährungsvorschriften des Bürgerlichen Gesetzbuchs entsprechende Anwendung. I. Einführung . . . . . . . . . . . . . . . II. Anwendungsbereich . . . . . . . . III. Gefährdungshaftung . . . . . . . .

1 3 8

IV. Haftungsumfang, Geltendmachung . . . . . . . . . . . 10

Schrifttum: Siehe Schrifttum zu § 7 BDSG.

I. Einführung § 8 ist eine Sonderregelung für öffentliche Stellen, die eine verschuldensunab- 1 hängige, deliktische Gefährdungshaftung für die automatisierte Datenverarbeitung vorsieht. Die Bedeutung ist in Bezug auf die Rechtsprechung wie bei § 7 eher gering. Die Regelung statuiert letztlich nur eine warnend vorgetragene Sorgfaltsanforderung an öffentliche Stellen, ihre automatisierte Datenverarbeitung so einzurichten und im Falle mehrerer beteiligter Stellen (§ 8 Abs. 4) so aufeinander abzustimmen, dass eine rechtswidrige oder fehlerhafte Datenverarbeitung nicht vorkommt. Ähnlich wie bei § 7 ist die geringe Bedeutung des § 8 darauf zurückzuführen, dass die Datenverarbeitung letztlich nur Mittel zum Becker

|

343

§ 8 BDSG | Allgemeine und gemeinsame Bestimmungen Zweck ist und eine unrichtige Datenverarbeitung in aller erster Linie in der Rechtswirklichkeit zu korrigieren ist: Der Schaden des betroffenen Bürgers liegt im Zweifel nicht in einem falschen Datum, sondern manifestiert sich in fehlerhaftem Verwaltungshandeln ihm gegenüber. Wird das fehlerhafte Verwaltungshandeln seitens der Behörde autonom oder aufgrund von Rechtsmitteln des Betroffenen korrigiert, wird auch die Datenverarbeitung hieran angepasst und ein weitergehender materieller Schaden tritt nicht ein1. So gesehen hat sich die in der Gesetzesbegründung befürchtete „Automatisierungsgefährdung“2 jedenfalls in schadensrechtlicher Hinsicht nicht verwirklicht. Die Daseinsberechtigung des § 8 ist insoweit zweifelhaft. 2 Als Haftungsnorm geht § 8 jedenfalls über das von Art. 23 EG-Datenschutz-

richtlinie geforderte Haftungsregime hinaus. Die bereits durch das BDSG 1990 als § 7 a.F. eingeführte Regelung3 bedurfte daher nach Erlass der Richtlinie im Jahr 1995 keiner erheblichen inhaltlichen Änderung. Die „Ungleichbehandlung“ gegenüber nicht-öffentlichen Stellen durch die Anordnung der im Ansatz strengeren Gefährdungshaftung ist allerdings insoweit angemessen, als sie sich zwanglos damit begründen lässt, dass der betroffene Bürger in aller Regel keine Wahl hinsichtlich seiner Datenverarbeitung durch öffentliche Stellen hat und der staatliche Zwang seinen Ausgleich in einer entsprechenden strengen Haftung findet. Europarechtlich ist die an sich strengere Haftung indessen nicht geboten. Umgekehrt steht ihr auch der Gedanke der umfassenden Harmonisierung4 nicht entgegen, weil es nicht um den tatbestandlichen Umfang des zulässigen Datenverkehrs im Binnenmarkt geht, sondern „lediglich“ um die schadensersatzrechliche Behandlung von Verstößen im Rahmen des nationalen Deliktsrechts. Hierfür kann eine Vollharmoniserung (auch wenn sie auf den Bereich des Datenschutzes begrenzt ist) durch die EG-Datenschutzrichtlinie nicht angenommen werden; eine solche muss einem eigenen Rechtsakt der EU vorbehalten sein, wie sie zukünftig durch die DSGVO gelten wird, deren Art. 82 einheitliche Schadensersatzregelungen für den öffentlichen und nicht-öffentlichen Bereich vorsieht. In Einzelbereichen, in denen öffentliche Stellen betroffen sind, die keine hoheitlichen Aufgaben wahrnehmen, kann das bis zum Wirksamwerden der DSGVO noch unterschiedliche Haftungsregime indessen auch zu Wertungswidersprüchen führen5. Diese wären aber durch den Gesetzgeber aufzulösen und ändern nichts an der Anwendung des § 8. Die praktischen Auswirkungen der Gefährdungshaftung bleiben aufgrund ihrer höhenmäßigen Beschränkung (§ 8 Abs. 3) im Ergebnis ohnehin gering. 1 Vgl. den Fall bei Taeger, RDV 1996, 1 mit Hinweis auf ein unveröffentlichtes Urteil (LG Hannover, 15 O 181/90). 2 BR-Drucks. 618/88, S. 108. 3 Dazu BR-Drucks. 618/88, S. 108 ff. 4 Vgl. EuGH v. 24.11.2011 – C-468/10 und C-469/10 (ASNEF/FECEMD), CR 2012, 29 = K&R 2012, 40. 5 Simitis/Simitis, § 8 BDSG Rz. 6.

344

|

Becker

Schadensersatz bei automatisierter Datenverarbeitung | § 8 BDSG

II. Anwendungsbereich Der Haftung gemäß § 8 unterliegen ausschließlich öffentliche Stellen i.S.d. § 2 3 Abs. 1–3, 4 Satz 2. Da eine Regelung wie in § 12 Abs. 1 fehlt, gilt § 8 auch dann, wenn die öffentliche Stelle als öffentlich-rechtliches Unternehmen am Wettbewerb teilnimmt1. Die Regelung gilt nicht nur im Außenverhältnis zugunsten des Bürgers, sondern auch im Innenverhältnis zugunsten von Mitarbeitern öffentlicher Stellen2. Anspruchsberechtigt sind natürliche Personen, die bei einer automatisierten 4 Verwendung von Daten durch die öffentliche Stelle einen Schaden erlitten haben. Der Gesetzgeber hat in diesem Zusammenhang sehr wohl den Wertungswiderspruch gesehen, der darin liegt, dass gerade auch Unternehmen im Rahmen staatlicher Datenverarbeitung einen Schaden erleiden können3. Er sah sich aber offenbar außer Stande, diesen Punkt im BDSG zu regeln. Für Unternehmen bleibt es insoweit bei den allgemeinen Haftungsregeln des Staatshaftungsrechts, aus denen sie ggf. Ansprüche herleiten können. Wie § 7 gilt auch § 8 für jede rechtswidrige oder fehlerhafte Datenverwendung 5 nach dem BDSG und anderen Vorschriften über den Datenschutz, d.h. für das gesamte materielle Datenschutzrecht, dem die jeweiligen öffentliche Stellen unterliegen. Ausdrückliche Verweise auf § 8 enthalten insbesondere § 82 Satz 2 SGB X, § 22a Abs. 6 Nr. 9 BVerfSchG, § 9a Abs. 6 Nr. 9 BND-Gesetz und § 486 Abs. 2 StPO. Allerdings knüpft die Gefährdungshaftung ausschließlich an die automatisierte 6 Datenverarbeitung an, d.h. die manuelle oder aktenmäßige Verarbeitung von Daten begründet lediglich eine Haftung gemäß § 7 (Komm. zu § 7 BDSG Rz. 10) bzw. nach den allgemeinen Vorschriften. Die Abgrenzung mag im Einzelfall schwierig sein, wird aber vom Gesetzgeber so gefordert. Die Gegenmeinung, die zumindest bei der Kombination von automatisierter und nicht-automatisierter Verarbeitung eine einheitliche Betrachtung fordert und auch einen Fehler bei der nicht-automatisierten Verarbeitung als Schadensquelle ausreichen lassen möchte4, widerspricht dem erklärten Willen des historischen Gesetzgebers5. Die Gefährdungshaftung der öffentlichen Stellen gilt auch dann, wenn die Da- 7 ten im Auftrag verarbeitet werden (§ 11 Abs. 1 Satz 2). 1 2 3 4 5

Simitis/Simitis, § 8 BDSG Rz. 4; Gola/Schomerus, § 8 BDSG Rz. 3. Oberwetter, NZA 2009, 1120. BR-Drucks. 618/88, S. 108. Simitis/Simitis, § 8 BDSG Rz. 10 f. Vgl. BR-Drucks. 618/88, S. 110; BT-Drucks. 11/4306, S. 42 („Für diese Fälle [z.B. Fehler bei der manuellen Eingabe von Daten], die keinen Ausfluss der typischen Automatisierungsgefährdung darstellen, soll nicht die Gefährdungshaftung, sondern die normale Verschuldenshaftung gelten.“).

Becker

|

345

§ 8 BDSG | Allgemeine und gemeinsame Bestimmungen III. Gefährdungshaftung 8 Die Gefährdungshaftung knüpft (wie § 7) an eine unzulässige oder unrichtige

Erhebung, Verarbeitung oder Nutzung von Daten an. Auf den Nachweis eines Verschuldens kommt es nicht an; der öffentlichen Stelle steht auch nicht die Möglichkeit eines Entlastungsbeweises zu. Selbst wenn positiv erwiesen ist, dass die öffentliche Stelle mit aller gebotenen Sorgfalt gehandelt hat, ist sie nach § 8 zum Ersatz des materiellen und immateriellen Schadens verpflichtet. Den Grund für die Gefährdungshaftung sah der Gesetzgeber vor allem in der technischen Komplexität der Datenverarbeitung und der damit verbundenen „Automatisierungsgefährdung“1. Der Betroffene soll sich hiermit nicht auseinandersetzen und ein etwaiges Verschulden der verantwortlichen Stelle darlegen müssen. Der Gesetzgeber ging davon aus, dass § 8 auch den Ersatz mittelbarer Schäden umfassen soll, solange diese jedenfalls adäquat-kausal durch die automatisierte Datenverarbeitung verursacht werden2.

9 Die haftungsbegründende Unrichtigkeit der Daten muss im Rahmen der auto-

matisierten Datenverarbeitung entstanden sein (s. Rz. 6)3. § 8 findet keine Anwendung, wenn die öffentliche Stelle nachweisen kann, dass der Fehler im Rahmen der manuellen Bearbeitung eines Vorgangs (z.B. bei der manuellen Dateneingabe) entstanden ist4; in diesen Fällen bleibt es bei der Verschuldenshaftung des § 7. Die Beweislast hierfür liegt allerdings bei der öffentlichen Stelle5.

IV. Haftungsumfang, Geltendmachung 10 § 8 Abs. 1 umfasst zunächst den Ersatz des materiellen Schadens des Betroffe-

nen aufgrund der unzulässigen oder fehlerhaften Datenverarbeitung der öffentlichen Stelle.

11 § 8 Abs. 2 verpflichtet sodann auch zum Ersatz des immateriellen Schadens.

Der Gesetzgeber ging davon aus, dass der Nichtvermögensschaden der Hauptanwendungsfall des § 8 würde6. Allerdings setzt der Ersatz des immateriellen Schadens voraus, dass der haftungsbegründende Umstand als eine schwere Verletzung des Persönlichkeitsrechst des Betroffenen anzusehen ist. Maßgeblich ist dabei eine objektive Betrachtung, ein unabweisbares Bedürfnis für eine Geldent-

1 2 3 4 5 6

BR-Drucks. BR-Drucks. BR-Drucks. BR-Drucks. BR-Drucks. BR-Drucks.

346

|

618/88, S. 108; BT-Drucks. 11/4306, 618/88, S. 108; BT-Drucks. 11/4306, 618/88, S. 109; BT-Drucks. 11/4306, 618/88, S. 109; BT-Drucks. 11/4306, 618/88, S. 109; BT-Drucks. 11/4306, 618/88, S. 110; BT-Drucks. 11/4306,

Becker

S. 42. S. 42. S. 42. S. 42. S. 42. S. 42.

Schadensersatz bei automatisierter Datenverarbeitung | § 8 BDSG

schädigung ist jedoch nicht notwendig1. Die Notwendigkeit einer schweren Verletzung entspricht zwar der gefestigten Rechtsprechung zum Schmerzensgeld bei Persönlichkeitsrechtsverletzungen (vgl. Komm. zu § 7 BDSG Rz. 14), führt aber gerade bei typischen Datenschutzverstößen (z.B. unzulässiger Handel mit Verbraucherdaten) mit massenhafter Verletzung eher im Bagatellbereich zum Entfallen des Schmerzensgelds (Komm. zu § 7 BDSG Rz. 14). Die Regelung des § 8 Abs. 2 führt damit bei Lichte betrachtet nicht etwa zu einer Besserstellung des Betroffenen, sondern vor allem zu einer Haftungsbeschränkung zugunsten der öffentlichen Hand. Bei einem erheblichen Mitverschulden des Betroffenen ist eine schwere Verletzung des Persönlichkeitsrechts unter Umständen zu verneinen2. Im Gegenzug für die fehlende Exkulpationsmöglichkeit hat der Gesetzgeber au- 12 ßerdem eine höhenmäßige Begrenzung des Ersatzanspruches vorgesehen (§ 8 Abs. 3)3. Anders als noch im ursprünglichen Entwurf vorgesehen wird dabei eine doppelte Begrenzung normiert, nämlich für den einzelnen Betroffenen (§ 8 Abs. 3 Satz 1) und für die Gesamtheit aller durch einen Datenschutzverstoß oder einen Verarbeitungsfehler Betroffenen (§ 8 Abs. 3 Satz 2). Zu Recht wird auch insoweit darauf hingewiesen, dass im Fall des für die Datenverarbeitung eher typischen „Serienschadens“ der Ersatzanspruch des Einzelnen nur noch gering ausfällt4. Da die Gefährdungshaftung nach der EG-Datenschutzrichtlinie nicht geboten ist (s. Rz. 2), verstößt aber auch die höhenmäßige Begrenzung des Anspruchs nicht gegen Europarecht5. Ein weitergehende Schaden oder ein höheres Schmerzensgeld kann nach allgemeinen Vorschriften liquidiert werden (Komm. zu § 7 BDSG Rz. 25, 27). Sind mehrere öffentliche Stellen mit der Datenverarbeitung befasst und lässt 13 sich das schadenstiftende Ereignis nicht bei einer der Stellen lokalisieren, haftet dem Betroffenen gegenüber jede speichernde Stelle (§ 8 Abs. 4). Im Ergebnis dürfte diese Regelung allerdings nur dazu führen, dass im Ernstfall die beteiligten öffentlichen Stellen die aus ihrer Sicht verantwortliche Stelle gegenüber dem Betroffenen benennen, damit er diese in Anspruch nehmen kann. Werden mehrere Stellen erfolgreich als Gesamtschuldner in Anspruch genommen, richtet sich deren Ausgleich im Innenverhältnis nach § 426 Abs. 2 BGB. 1 Vgl. LG Hanau v. 4.4.2003 – 2 S 395/02, NJW-RR 2003, 1410 (Kein Schmerzensgeld bei ungewollter Eintragung in öffentliches Verzeichnis durch öffentliche Stelle) mit teils überzogenen Anforderungen, aber im konkreten Fall zutreffend; s.a. zu Bagatellfällen LG Zweibrücken v. 25.11.1997 – 3 S 134/97, RDV 1998, 177; AG Speyer, RDV 2008, 161; Oberwetter, NZA 2009, 1120 (1122). 2 LG Berlin v. 26.7.2005 – 27 O 301/05, NJW-RR 2005, 1565 (Unsachgemäße Verwendung der von ihr selbst veröffentlichten Personalausweisnummer einer Prominenten durch die Polizei). 3 BR-Drucks. 618/88, S. 110; BT-Drucks. 11/4306, S. 42. 4 Simitis/Simitis, § 8 BDSG Rz. 22. 5 A.A. Däubler/Klebe/Wedde/Weichert/Däubler, § 8 BDSG Rz. 7.

Becker

|

347

§ 9 BDSG | Allgemeine und gemeinsame Bestimmungen 14 Für die Gefährdungshaftung gelten der Mitverschuldenseinwand (§ 8 Abs. 5

BDSG, § 254 BGB; vgl. Komm. zu § 7 BDSG Rz. 19) sowie die Bestimmungen zur Verjährung deliktischer Ansprüche entsprechend (§ 8 Abs. 6; vgl. Komm. zu § 7 BDSG Rz. 24). Daneben gelten auch die sonstigen allgemeinen Bestimmungen wie bei der deliktischen Haftung nach § 7. Insbesondere haften mehrere materiell Ersatzpflichtige gemäß § 840 BGB gesamtschuldnerisch (dazu Komm. zu § 7 BDSG Rz. 21). Sämtliche Ansprüche aus § 8 sind übertragbar, abtretbar, pfändbar und verpfändbar (dazu Komm. zu § 7 BDSG Rz. 22). Weitergehende Ansprüche bleiben unberührt (dazu Komm. zu § 7 BDSG Rz. 25, 27).

§9 Technische und organisatorische Maßnahmen 1Öffentliche

und nicht-öffentliche Stellen, die selbst oder im Auftrag personenbezogene Daten erheben, verarbeiten oder nutzen, haben die technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um die Ausführung der Vorschriften dieses Gesetzes, insbesondere die in der Anlage zu diesem Gesetz genannten Anforderungen, zu gewährleisten. 2Erforderlich sind Maßnahmen nur, wenn ihr Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht. Anlage (zu § 9 Satz 1) personenbezogene Daten automatisiert verarbeitet oder genutzt, ist die innerbehördliche oder innerbetriebliche Organisation so zu gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. 2Dabei sind insbesondere Maßnahmen zu treffen, die je nach der Art der zu schützenden personenbezogenen Daten oder Datenkategorien geeignet sind, 1. Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren (Zutrittskontrolle), 2. zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können (Zugangskontrolle), 3. zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können (Zugriffskontrolle), 4. zu gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf 1Werden

348

|

Becker/Plath

§ 9 BDSG | Allgemeine und gemeinsame Bestimmungen 14 Für die Gefährdungshaftung gelten der Mitverschuldenseinwand (§ 8 Abs. 5

BDSG, § 254 BGB; vgl. Komm. zu § 7 BDSG Rz. 19) sowie die Bestimmungen zur Verjährung deliktischer Ansprüche entsprechend (§ 8 Abs. 6; vgl. Komm. zu § 7 BDSG Rz. 24). Daneben gelten auch die sonstigen allgemeinen Bestimmungen wie bei der deliktischen Haftung nach § 7. Insbesondere haften mehrere materiell Ersatzpflichtige gemäß § 840 BGB gesamtschuldnerisch (dazu Komm. zu § 7 BDSG Rz. 21). Sämtliche Ansprüche aus § 8 sind übertragbar, abtretbar, pfändbar und verpfändbar (dazu Komm. zu § 7 BDSG Rz. 22). Weitergehende Ansprüche bleiben unberührt (dazu Komm. zu § 7 BDSG Rz. 25, 27).

§9 Technische und organisatorische Maßnahmen 1Öffentliche

und nicht-öffentliche Stellen, die selbst oder im Auftrag personenbezogene Daten erheben, verarbeiten oder nutzen, haben die technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um die Ausführung der Vorschriften dieses Gesetzes, insbesondere die in der Anlage zu diesem Gesetz genannten Anforderungen, zu gewährleisten. 2Erforderlich sind Maßnahmen nur, wenn ihr Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht. Anlage (zu § 9 Satz 1) personenbezogene Daten automatisiert verarbeitet oder genutzt, ist die innerbehördliche oder innerbetriebliche Organisation so zu gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. 2Dabei sind insbesondere Maßnahmen zu treffen, die je nach der Art der zu schützenden personenbezogenen Daten oder Datenkategorien geeignet sind, 1. Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren (Zutrittskontrolle), 2. zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können (Zugangskontrolle), 3. zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können (Zugriffskontrolle), 4. zu gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf 1Werden

348

|

Becker/Plath

Technische und organisatorische Maßnahmen | § 9 BDSG

Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist (Weitergabekontrolle), 5. zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind (Eingabekontrolle), 6. zu gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können (Auftragskontrolle), 7. zu gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind (Verfügbarkeitskontrolle), 8. zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können. 3Eine Maßnahme nach Satz 2 Nummer 2 bis 4 ist insbesondere die Verwendung von dem Stand der Technik entsprechenden Verschlüsselungsverfahren. I. 1. 2. II. III. IV. V. 1. 2.

Einführung Normzweck und Inhalt . . . . . Anwendungsbereich (Satz 1) . Technische und organisatorische Maßnahmen (Satz 1) . . Grundsatz der Verhältnismäßigkeit (Satz 2) . . . . . . . . Rechtsfolgen bei Verstoß . . . Technische und organisatorische Maßnahmen nach der Anlage zu § 9 Satz 1 . . . . . . Anwendungsbereich . . . . . . . Gestaltung der inneren Organisation (Satz 1) . . . . . .

.. ..

1 5

..

9

. . 14 . . 19 . . 21 . . 24

3. Maßnahmenkatalog (Satz 2) . . a) Zutrittskontrolle (Nr. 1) . . . b) Zugangskontrolle (Nr. 2) . . c) Zugriffskontrolle (Nr. 3) . . . d) Weitergabekontrolle (Nr. 4) e) Eingabekontrolle (Nr. 5) . . . f) Auftragskontrolle (Nr. 6) . . g) Verfügbarkeitskontrolle (Nr. 7) . . . . . . . . . . . . . . . h) Gebot der getrennten Verarbeitung (Nr. 8) . . . . . 4. Verschlüsselungsverfahren (Satz 3) . . . . . . . . . . . . . . . . .

. . . .

28 30 34 37 40 . 44 . 48 . 52 . 54 . 57

. . 25

Schrifttum: Siehe auch Schrifttum zu § 11 BDSG; Klett/Lee, Vertraulichkeit des E-Mailverkehrs, CR 2008, 644; Wybitul, Selbst- oder Fremdbestimmung – gilt das Freiheitsgrundrecht auch in der Datensicherheit?, ZD 2013, 539.

Plath

|

349

§ 9 BDSG | Allgemeine und gemeinsame Bestimmungen I. Einführung 1. Normzweck und Inhalt 1 § 9 regelt zentral die Datensicherheit im Anwendungsbereich des BDSG1. Die

Norm verpflichtet jede Stelle, die mit personenbezogenen Daten umgeht, diejenigen technischen und organisatorischen Maßnahmen zu treffen, die zum Schutz dieser Daten und damit der informationellen Selbstbestimmung des Betroffenen erforderlich sind. Die Stelle muss also gewährleisten, dass die verwendeten Daten weder durch äußere Einflüsse noch durch fehlerhaftes oder gar missbräuchliches Verhalten im Betriebsablauf beeinträchtigt werden2. Darüber hinaus trifft sie die Pflicht, für eine Einhaltung der gesetzlichen Regelungen zu sorgen und personenbezogene Daten nur unter den Voraussetzungen zu verwenden, die das BDSG vorsieht. Damit verpflichtet § 9 zur Umsetzung aller gesetzlichen Anforderungen des BDSG, z.B. betreffend möglicher Auskunfts-, Berichtigungs- und Löschungspflichten3. Vielfach werden sich die zu treffenden Maßnahmen mit denjenigen decken, die die verarbeitende Stelle ohnehin im eigenen Interesse ergreifen wird, um eine Beschädigung, einen Verlust oder eine sonstige Beeinträchtigung ihrer Daten zu verhindern4.

2 Eine genaue Beschreibung der zu treffenden Maßnahmen hat der Gesetzgeber

aufgrund der Vielzahl denkbarer Einzelfallkonstellationen nicht vorgenommen. Allerdings befindet sich im Anhang zu § 9, auf den in Satz 1 verwiesen wird, eine Auflistung von Maßnahmen, die die verarbeitende Stelle im Falle einer automatisierten Verarbeitung mindestens zu berücksichtigen hat. Dieses Konzept wird auch unter der DSGVO im Grundsatz beibehalten und durch die Grundsätze des sog. „Privacy by Design“ bzw. „Privacy by Default“ weiter gestärkt (vgl. Art. 25 DSGVO).

3 Grundsätzlich sind gemäß Satz 2 allerdings nur die Maßnahmen zu treffen, die

als Ergebnis einer Verhältnismäßigkeitsprüfung erforderlich sind. Die Einhal-

1 Däubler/Klebe/Wedde/Weichert/Wedde, § 9 BDSG Rz. 1; Gola/Schomerus, § 9 BDSG Rz. 1; zum Verhältnis von Datenschutz und Datensicherheit sowie zum Begriff der Datensicherung vgl. die Ausführungen bei Taeger/Gabel/Schultze-Melling, § 9 BDSG Rz. 3 ff. sowie Gola/Schomerus, § 9 BDSG Rz. 3; Bergmann/Möhrle/Herb, § 9 BDSG Rz. 6 ff.; Simitis/Ernestus, § 9 BDSG Rz. 2 f. 2 Vgl. auch Art. 17 der EG-Datenschutzrichtlinie 95/46/EG, wonach „für den Schutz gegen die zufällige oder unrechtmäßige Zerstörung, den zufälligen Verlust, die unberechtigte Änderung, die unberechtigte Weitergabe oder den unberechtigten Zugang – insbesondere wenn im Rahmen der Verarbeitung Daten in einem Netz übertragen werden – und gegen jede andere Form der unrechtmäßigen Verarbeitung personenbezogener Daten“ zu sorgen ist; Taeger/Gabel/Schultze-Melling, § 9 BDSG Rz. 2 f. 3 Taeger/Gabel/Schultze-Melling, § 9 BDSG Rz. 14. 4 Däubler/Klebe/Wedde/Weichert/Wedde, § 9 BDSG Rz. 1; Bergmann/Möhrle/Herb, § 9 BDSG Rz. 4.

350

|

Plath

Technische und organisatorische Maßnahmen | § 9 BDSG

tung der Anforderungen des § 9 richtet sich danach nach folgendem Prüfungsschema: – Anwendbarkeit des BDSG (z.B. keine Beschränkung auf die Verwendung rein familiärer Daten) – Implementierung technischer und organisatorischer Maßnahmen – Erforderlichkeit der Maßnahmen. Für die Einhaltung der Anforderungen des § 9 ist grundsätzlich der Daten- 4 schutzbeauftragte (DSB) gemäß § 4f zuständig. Darüber hinaus sei auch den Stellen, die keinen DSB bestellen müssen, empfohlen, einem Mitarbeiter (z.B. dem Sicherheitsbeauftragten) die Verantwortung für die Ergreifung von Maßnahmen i.S.d. § 9 aufzuerlegen. Zumindest sollte jedoch die Durchführung entsprechender Überlegungen und Risikoanalysen zu Zwecken der Beweissicherung dokumentiert werden1. 2. Anwendungsbereich (Satz 1) Die Regelungen des § 9 sind grundsätzlich bei jedem Datenumgang im Anwen- 5 dungsbereich des BDSG zu beachten. Demnach richtet sich die Norm sowohl an verantwortliche Stellen (§ 3 Abs. 7) als auch an Auftragsdatenverarbeiter i.S.d. § 11, die nicht für sich, sondern für ihren Auftraggeber Daten verwenden2. Zu beachten ist, dass sich § 9 nicht auf die datenschutzrechtliche Verantwortlichkeit für den Datenumgang auswirkt. Wer verantwortliche Stelle und damit letztendlich für die Rechtmäßigkeit des Datenumgangs zuständig ist, richtet sich ausschließlich nach § 3 Abs. 7. Dementsprechend muss die verantwortliche Stelle im Falle einer Auftragsdatenverarbeitung gemäß § 11 Abs. 2 Nr. 3 dafür Sorge tragen, dass ihr Auftragnehmer diejenigen Maßnahmen trifft, die den Anforderungen des § 9 entsprechen3. Im Rahmen des § 9 kommt es nicht darauf an, ob die datenverwendende Stelle 6 öffentlich oder nicht-öffentlich ist. Ebenso unerheblich ist, ob die Daten automatisiert oder nicht-automatisiert durch die Stelle verwendet werden4. Der Wortlaut des Satz 1 macht zudem deutlich, dass die technischen und organisatorischen Maßnahmen während jeder Phase der Datenverwendung (Erhebung, Verarbeitung und Nutzung) zu berücksichtigen sind. Die Regelungen verpflichten – anders als bezüglich des Datengeheimnisses gemäß § 5 – nicht den Einzelnen, der tatsächlich physisch mit den personenbezogenen Daten umgeht, sondern die verarbeitende Stelle selbst. 1 So auch Taeger/Gabel/Schultze-Melling, § 9 BDSG Rz. 15. 2 Gola/Schomerus, § 9 BDSG Rz. 3. 3 Vgl. die diesbezüglichen Ausführungen bei Taeger/Gabel/Schultze-Melling, § 9 BDSG Rz. 14. 4 Däubler/Klebe/Wedde/Weichert/Wedde, § 9 BDSG Rz. 2; Gola/Schomerus, § 9 BDSG Rz. 6; Simitis/Ernestus, § 9 BDSG Rz. 8.

Plath

|

351

§ 9 BDSG | Allgemeine und gemeinsame Bestimmungen 7 Voraussetzung für die Anwendbarkeit des § 9 ist, dass der Anwendungsbereich

des BDSG eröffnet ist. Damit sind insbesondere bei Vorgängen familiärer oder persönlicher Natur, für die das BDSG gemäß § 1 Abs. 2 Nr. 3 nicht gilt, die Anforderungen des § 9 nicht einzuhalten. Eine Anwendung des § 9 entfällt auch, wenn der Betroffene freiwillig auf die Sicherungsmaßnahmen verzichtet1.

8 Fraglich ist, ob § 9 auch auf vorübergehend existierende Daten wie z.B. Zwi-

schenspeicherungen oder Protokolldateien anwendbar ist. Grundsätzlich geht auch von solchen Daten, solange sie existieren, ein gewisses Gefahrenpotential aus, dem durch entsprechende Maßnahmen begegnet werden muss. Damit ist bei denjenigen vorübergehenden Daten, auf die das BDSG anwendbar ist, die Regelung des § 9 zu berücksichtigen. Allerdings kann bei Daten, die z.B. nur für ganz kurze Augenblicke existieren, die Einhaltung weitreichender technischer und organisatorischer Maßnahmen gemäß Satz 2 unverhältnismäßig sein.

II. Technische und organisatorische Maßnahmen (Satz 1) 9 § 9 Satz 1 ordnet an, dass die verantwortliche Stelle diejenigen technischen und

organisatorischen Maßnahmen zu treffen hat, die zur Ausführung des Gesetzes erforderlich sind. Da jedoch die Verpflichtung zur Einhaltung der gesetzlichen Regelungen des BDSG per se besteht und dementsprechend keiner gesonderten gesetzlichen Anordnung bedarf, scheint die Regelung auf den ersten Blick Makulatur zu sein. So ist eine Datenverwendung, die sich auf einen gesetzlichen Erlaubnistatbestand stützt, nur dann zulässig, wenn die verantwortliche Stelle die entsprechenden Voraussetzungen erfüllt. § 9 muss also dahin gehend verstanden werden, dass jede Stelle, die mit personenbezogenen Daten umgeht, über die unmittelbaren gesetzlichen Anforderungen hinaus begleitende Maßnahmen treffen muss, um eine Einhaltung der gesetzlichen Vorschriften zu gewährleisten2. Nicht zuletzt soll die verarbeitende Stelle auch dazu verpflichtet werden, ihre datenschutzrechtlichen Mechanismen regelmäßig zu überprüfen und neuen Gegebenheiten anzupassen3.

10 Die verarbeitende Stelle ist dabei nicht nur den einzelnen Normen verpflichtet,

sondern darüber hinaus auch dem Schutz der informationellen Selbstbestimmung des Betroffenen, also dem Rechtsgut, das den Regelungen des BDSG in seiner Gesamtheit zugrunde liegt4. Dieser Umstand ist insbesondere im Vorfeld eines Datenumgangs von Bedeutung: noch bevor es zu einer geplanten Verwen-

1 Zum freiwilligen Verzicht auf Maßnahmen nach § 9 vgl. Wybitul, ZD 2013, 539 (540 ff.). 2 Simitis/Ernestus, § 9 BDSG Rz. 15; vgl. auch den Katalog der „Mindestanforderungen an den technischen Datenschutz bei der Anbindung von Praxis-EDV-Systemen an medizinische Netze“ des Düsseldorfer Kreises, Beschluss v. 4./5.5.2011. 3 Simitis/Ernestus, § 9 BDSG Rz. 15. 4 Simitis/Ernestus, § 9 BDSG Rz. 12.

352

|

Plath

Technische und organisatorische Maßnahmen | § 9 BDSG

dung personenbezogener Daten kommt, muss die verantwortliche Stelle präventiv durch Ergreifung entsprechender Maßnahmen dafür Sorge tragen, dass es nicht zu einer Verletzung der schutzwürdigen Interessen des Betroffenen kommt1. So wird bereits bei der Installation der benötigten IT- und TK-Hardware darauf zu achten sein, dass Vorkehrungen getroffen werden, die den Anforderungen des BDSG gerecht zu werden. Der Begriff der „technischen und organisatorischen Maßnahmen“ ist weit aus- 11 zulegen und umfasst alle denkbaren Mechanismen, die dazu geeignet sind, die Ausführung des Gesetzes zu gewährleisten2. Eine Abgrenzung zwischen „technischen“ und „organisatorischen“ Maßnahmen ist vielfach nicht möglich, allerdings auch nicht von Bedeutung. Auf eine genaue Auflistung der zu treffenden Maßnahmen hat der Gesetzgeber angesichts der starken Einzelfallkasuistik sowie der rasanten Entwicklung, insbesondere im technischen Bereich, bewusst verzichtet. Allerdings ist in der Anlage zu § 9 eine Konkretisierung von Maßnahmen erfolgt, die bei automatisierten Datenverwendungen insbesondere zu treffen sind. Trotz der Beschränkung auf diese spezielle Form des Datenumgangs lohnt sich auch in anderen Fällen ein Blick in den Maßnahmenkatalog der Anlage zu § 9. Auch im Falle nicht-automatisierter Datenverwendung wird der Verantwortliche z.B. Maßnahmen der Zugangs-, Zugriffs- Weitergabeund Organisationskontrolle ergreifen müssen3. Die getroffenen Maßnahmen können z.B. baulicher (Schlösser, Schallschutz 12 o.ä.) oder personeller (Wahl des Datenschutzbeauftragten) Natur sein, die ITund TK-Infrastruktur oder die täglichen Betriebsabläufe betreffen, einzelfallbezogen oder von grundsätzlicher Bedeutung sein oder vor äußeren oder inneren Einwirkungen schützen. Typische Maßnahmen sind der Schutz vor Einbruch und vor Zerstörung (z.B. durch Feuer), die Personal- und Auftragnehmerauswahl, die Einführung von Passwörtern und (physischen) Schlössern, die Implementierung bestimmter Verfahren wie z.B. dem Vier-Augen-Prinzip, der Erlass von Arbeitsrichtlinien sowie die Überwachung bzw. Kontrolle durch entsprechendes Personal4. Welche Maßnahmen tatsächlich ergriffen werden müssen, richtet sich letztlich nach dem Einzelfall. Dabei spielen Faktoren wie die Sensibilität der Daten, die Art der Datenverarbeitung sowie andere Umstände wie z.B. das Vorkommen von Publikumsverkehr eine entscheidende Rolle. Insbesondere müssen auch die gesetzlichen Regelungen, deren Ausführung durch die Ergreifung der Maßnahmen gewährleistet werden soll, berücksichtigt wer1 Simitis/Ernestus, § 9 BDSG Rz. 16. 2 Taeger/Gabel/Schultze-Melling, § 9 BDSG Rz. 16; Däubler/Klebe/Wedde/Weichert/Wedde, § 9 BDSG Rz. 17. 3 Ebenso Schaffland/Wiltfang, § 9 BDSG Rz. 27 ff. 4 S. u.a. auch Simitis/Ernestus, § 9 BDSG Rz. 20; Gola/Schomerus, § 9 BDSG Rz. 5; Bergmann/Möhrle/Herb, § 9 BDSG Rz. 37; Taeger/Gabel/Schultze-Melling, § 9 BDSG Rz. 20; Däubler/Klebe/Wedde/Weichert/Wedde, § 9 BDSG Rz. 17.

Plath

|

353

§ 9 BDSG | Allgemeine und gemeinsame Bestimmungen den. Eine ausführliche Darstellung technischer und organisatorischer Maßnahmen, die für die Einhaltung der Anforderungen des § 9 geeignet sind, ist in einer Vielzahl von Handbüchern und anderen Publikationen zu finden1. In der Praxis wird vor Einführung der Datensicherheitsmaßnahmen regelmäßig eine Risikoanalyse erfolgen, die den Sicherungsbedarf und -umfang ermittelt. 13 Der Verantwortliche muss allerdings nur diejenigen Maßnahmen treffen, die

zur Ausführung des Gesetzes erforderlich sind. Das Kriterium der Erforderlichkeit wird in Satz 2 erläutert.

III. Grundsatz der Verhältnismäßigkeit (Satz 2) 14 Satz 2 konkretisiert, welche Maßnahmen „erforderlich“ i.S.d. Satz 1 sind. Es

muss eine Abwägung nach dem Verhältnismäßigkeitsgrundsatz durchgeführt werden. Danach sind nur solche Maßnahmen „erforderlich“, die zur Gewährleistung der Durchführung des Gesetzes geeignet sind, und bei denen ein angemessenes Verhältnis zwischen Aufwand und angestrebtem Schutzzweck besteht2. Satz 2 schränkt damit die Verpflichtungen der datenverwendenden Stelle nach Satz 1 auf ein vertretbares Maß ein.

15 Auf der einen Seite der Abwägung steht der zu erwartende Aufwand, den eine

Maßnahme mit sich bringt. Gemeint ist damit sowohl der finanzielle als auch der zeitliche oder organisatorische Aufwand. Welche Maßnahme der Verantwortliche tatsächlich ergreift, ist ihm überlassen. Bei gleicher Effektivität kann er diejenige Maßnahme wählen, die den geringsten Aufwand mit sich bringt3. In einem zweiten Abwägungsschritt wird er allerdings zu prüfen haben, ob mit dem intendierten Aufwand der angestrebte Schutzzweck erreicht werden kann. Auf eine Maßnahme, die gemäß Satz 2 als einzige dazu geeignet ist, den ermittelten Schutzzweck zu gewährleisten, kann nicht mit Hinweis auf einen unzumutbaren Aufwand verzichtet werden. Vielmehr muss dann die geplante Art des Datenumgangs angepasst werden. Keine Berücksichtigung im Rahmen der Abwägung nach Satz 2 soll der Aufwand für solche Maßnahmen finden, die der Verantwortliche ohnehin und unabhängig von den datenschutzrechtlichen Vorschriften treffen müsste (z.B. Abschließung des Haupteingangs).

1 Vgl. z.B. der IT-Grundschutz-Katalog des Bundesamts für Sicherheit in der Informationstechnik (BSI), aufzurufen unter https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ ITGrundschutzStandards/ITGrundschutzStandards_node.html. 2 Zur Unverhältnismäßigkeit im Einzelfall der Anordnung einer Verschlüsselung von E-Mails durch den Datenschutzbeauftragten VG Berlin v. 24.5.2011 – VG 1 K 133/10, CR 2012, 191. 3 Bergmann/Möhrle/Herb, § 9 BDSG Rz. 26.

354

|

Plath

Technische und organisatorische Maßnahmen | § 9 BDSG

Mit der Orientierung am gesetzlichen Schutzzweck macht der Gesetzgeber deut- 16 lich, dass die Datensicherung keinen Selbstzweck erfüllen soll1. Wie im gesamten BDSG steht auch hier der Schutz der personenbezogenen Daten des Betroffenen und mithin seiner informationellen Selbstbestimmung im Vordergrund. Dementsprechend ist der vom Gesetzgeber gewählte Begriff „Schutzzweck“ irreführend. Gemeint ist eher die „Schutzbedürftigkeit“ des Betroffenen im konkreten Fall2. Im Einzelfall wird sich die Schutzbedürftigkeit des Betroffenen aus der Art der Daten, dem Zweck des Datenumgangs sowie der Größe der verarbeitenden Stelle ergeben. Darüber hinaus soll auch das Schadenspotential bei Verlust oder Verbreitung der Daten eine Auswirkung auf die Schutzbedürftigkeit haben3. Im Rahmen der nach Satz 2 erforderlichen Abwägung kommt es stets auf die 17 Summe der getroffenen Maßnahmen an4. Damit kann eine schwächere Vorkehrung durch eine andere, stärkere im Ergebnis ausgeglichen werden. Durch geschickte Gestaltung, z.B. durch die Implementierung von festen Abläufen und automatischen Kontrollmechanismen, kann in den meisten Fällen ein kostengünstiges Maßnahmenpaket entwickelt werden. Andererseits bildet im Falle der Verwendung unterschiedlicher Arten von personenbezogenen Daten stets das sensibelste Datum den Maßstab für die Schutzbedürftigkeit des Betroffenen5. Der Grundsatz der Verhältnismäßigkeit nach Satz 2 gilt nur für die flankieren- 18 den Maßnahmen nach § 9. Maßnahmen, die zwingend von anderen Vorschriften des BDSG vorausgesetzt werden, müssen unabhängig davon, ob sie in einem angemessenen Verhältnis zur Schutzbedürftigkeit des Betroffenen stehen, berücksichtigt werden6.

IV. Rechtsfolgen bei Verstoß Bei einem Verstoß gegen die Anforderungen des § 9 kann die Aufsichtsbehörde 19 Maßnahmen nach § 38 Abs. 5 zur Beseitigung technischer oder organisatorischer Mängel treffen, soweit Daten automatisiert oder dateibezogen verwendet werden7. Darüber hinaus führt der Verstoß gegen § 9 zu keinen weiteren Sanktionen nach dem BDSG, insbesondere nicht zu einer ordnungswidrigkeitsrechtlichen oder strafrechtlichen Ahndung. Die Datenverarbeitung bleibt damit trotz 1 Vgl. Bergmann/Möhrle/Herb, § 9 BDSG Rz. 27; Taeger/Gabel/Schultze-Melling, § 9 BDSG Rz. 24 f. 2 So auch Taeger/Gabel/Schultze-Melling, § 9 BDSG Rz. 24. 3 Taeger/Gabel/Schultze-Melling, § 9 BDSG Rz. 25. 4 Taeger/Gabel/Schultze-Melling, § 9 BDSG Rz. 33. 5 Simitis/Ernestus, § 9 BDSG Rz. 28. 6 Gola/Schomerus, § 9 BDSG Rz. 5. 7 Vgl. zur fehlenden Anordnungsbefugnis bei nicht-automatisierten Datenvorgängen OVG Hamburg v. 7.7.2005 – 1 Bf 172/03, NJW 2006, 310.

Plath

|

355

§ 9 BDSG | Allgemeine und gemeinsame Bestimmungen eines Verstoßes gegen § 9 nach Maßgabe des § 4 zulässig, es sei denn, dass zugleich ein Verstoß gegen andere Vorschriften des BDSG erfolgt. Dies wäre bspw. der Fall, wenn die unterlassene Einführung ausreichender technischer und organisatorischer Maßnahmen dazu führen würde, dass die Datenverwendung selbst gemäß § 28 unverhältnismäßig ist. Denkbar ist zudem, dass der Verantwortliche bei Verletzung der Vorgaben des § 9 auf Grundlage von Drittnormen (z.B. im Rahmen der Geschäftsführerhaftung nach § 43 Abs. 2 GmbHG) wegen der Verletzung von Obliegenheiten haftet. 20 Im Rahmen eines Auftragsdatenverarbeitungsverhältnisses ist zu beachten,

dass die Regelung des § 9 zwar den Auftragnehmer verpflichtet, der Auftraggeber jedoch weiterhin verantwortlich i.S.d. § 3 Abs. 7 ist. Er hat demnach gemäß § 11 Abs. 2 diejenigen Maßnahmen zu bestimmen, die der Auftragnehmer im Rahmen seiner Pflicht zur Gewährleistung der Datensicherheit treffen muss. Verstößt der Auftragnehmer damit gegen § 9, so führt dies zu einem unrechtmäßigen Datenumgang durch den Auftraggeber als verantwortliche Stelle, was wiederum gemäß § 43 Abs. 2 Nr. 1 eine Ordnungswidrigkeit darstellt.

V. Technische und organisatorische Maßnahmen nach der Anlage zu § 9 Satz 1 21 In der Anlage zu § 9 ist ein Kompromiss zwischen einerseits dem von der Wis-

senschaft propagierten Ansatz einer allgemeinen und flexiblen Formulierung und andererseits dem Bedürfnis der Praxis nach mehr Rechtssicherheit durch konkrete Maßnahmenkataloge zu sehen: Die Maßnahmen sind weiterhin „nur“ im Rahmen einer Anlage kodifiziert und beschränken sich auf relativ allgemeine und auslegungsbedürftige Formulierungen1. Die Auflistung bildet das Mindestmaß an Sicherheitsmaßnahmen, die die verarbeitende Stelle zur Gewährleistung der Ausführung des BDSG zu ergreifen hat.

22 Es wird kritisiert, dass der Katalog zu sehr an klassische Methoden der Daten-

verarbeitung anknüpft und die Maßnahmen nur schwer auf das aktuelle Nutzungsverhalten (z.B. Smartphones, Cloud Computing, Virtual Private Networks, usw.) anzuwenden sind. Die Befolgung der Anweisungen der Anlage zu § 9 wird damit häufig in der Praxis nicht mehr ausreichen, um das nach § 9 Satz 1 geforderte Gewährleistungsniveau zu erreichen.

23 Der Anlage zu § 9 kommt keine eigene normative Bedeutung zu. Sie ist vielmehr

immer im Zusammenhang mit § 9 zu sehen. Es ist deshalb auch eindeutig, dass der Verhältnismäßigkeitsgrundsatz nach § 9 Satz 2 auf den gesamten § 9 Satz 1 und damit auch auf die Anlage zu § 9 anwendbar ist2. Damit sind auch die Maß-

1 Taeger/Gabel/Schultze-Melling, § 9 BDSG Rz. 39 f. 2 Simitis/Ernestus, § 9 BDSG Rz. 55.

356

|

Plath

Technische und organisatorische Maßnahmen | § 9 BDSG

nahmen nach dem Katalog der Anlage zu § 9 nur in dem Umfang zu treffen, in dem sie erforderlich zur Erreichung des gesetzlichen Schutzzwecks sind. Die Verwendung des Begriffs „geeignet“ statt „erforderlich“ in Satz 2 der Anlage ist als gesetzliche Ungenauigkeit bedeutungslos1. 1. Anwendungsbereich Die Anlage zu § 9 ist unmittelbar in allen Phasen der Datenverwendung (Erhe- 24 bung, Verarbeitung und Nutzung) anwendbar, soweit der Datenumgang automatisiert erfolgt. Darüber hinaus ist jedoch auch eine entsprechende Anwendung auf nicht-automatisierte Vorgänge denkbar. Die Anlage zu § 9 richtet sich ebenso wie § 9 Satz 1 an jede Stelle, die mit personenbezogenen Daten umgeht, unabhängig davon, ob sie selbst die verantwortliche Stelle i.S.d. § 3 Abs. 7 ist. Die Formulierung „innerbehördliche oder innerbetriebliche Organisation“ macht zudem deutlich, dass die Anlage zu § 9 sowohl von öffentlichen als auch von nicht-öffentlichen Stellen anzuwenden ist. 2. Gestaltung der inneren Organisation (Satz 1) Die Organisationskontrolle nach Satz 1 bildet gewissermaßen das Leitmotiv 25 der Anlage zu § 9. Die Maßnahmen nach Satz 2 haben diesbezüglich einen ergänzenden Charakter. Damit muss jede Stelle, die Daten verwendet, durch ihre interne Organisation die Ausführung des Gesetzes gewährleisten. Der Grund für die besondere Hervorhebung der Bedeutung organisatorischer Maßnahmen liegt darin, dass die automatisierte Datenverarbeitung deutlich größere Gefahren für den Betroffenen durch unkontrollierte Vorgänge birgt. Durch die Entwicklung eines innerorganisatorischen Konzepts soll der Verantwortliche zugleich zu einer Auseinandersetzung mit den automatischen Verarbeitungsprozessen gezwungen werden. Der Maßnahmenkatalog des Satz 2 listet also all die Vorgaben einer effektiven organisatorischen Kontrolle auf, die eine datenverwendende Stelle mindestens zu beachten hat. Darüber hinaus muss die verarbeitende Stelle organisatorisch dafür sorgen, dass sie die weiteren Pflichten nach dem BDSG (z.B. Auskunfts-, Berichtigungs- und Löschungspflichten) tatsächlich durchführt. Der Begriff „Organisation“ ist weit auszulegen und umfasst sowohl die Aufbau- 26 als auch die Ablauforganisation2. Eines der wichtigsten Instrumente der internen Organisation ist die sog. Funktionsaufteilung. Dabei wird der Datenverwendungsvorgang in einzelne Abschnitte unterteilt, die wiederum einzeln organisatorisch durchdacht werden3. Diese Methodik hat den Vorteil, dass auf die datenschutzrechtlichen Besonderheiten jedes Abschnitts einzeln reagiert werden 1 Ebenso Simitis/Ernestus, § 9 BDSG Rz. 54. 2 Simitis/Ernestus, § 9 BDSG Rz. 50; Taeger/Gabel/Schultze-Melling, § 9 BDSG Rz. 44. 3 Simitis/Ernestus, § 9 BDSG Rz. 51.

Plath

|

357

§ 9 BDSG | Allgemeine und gemeinsame Bestimmungen kann, was sowohl zu einer Steigerung des Schutzniveaus als auch in den meisten Fällen zu einer Senkung des (finanziellen) Aufwands führt. Darüber hinaus ist es bei einem unterteilten Prozess leichter, auf eventuelle Fehler zu reagieren und die Kontrollmechanismen zu optimieren. 27 Welche konkreten Maßnahmen zur Umsetzung der gesetzlichen Anforderun-

gen die verantwortliche Stelle tatsächlich ergreift, ist alleine ihr überlassen. Satz 1 der Anlage steckt nur den abstrakten Rahmen fest1. 3. Maßnahmenkatalog (Satz 2)

28 In Satz 2 der Anlage hat der Gesetzgeber einen Maßnahmenkatalog eingeführt,

der einzelne Punkte im Rahmen der allgemeinen Organisationskontrolle nach Satz 1 auflistet. Der Katalog ist nicht abschließend und entspricht nach weit verbreiteter Ansicht nicht mehr den Anforderungen der modernen Technik. Aufgrund seiner – durchaus kritisierten – generalklauselartigen Formulierung ist er im Ansatz dennoch als Richtschnur anwendbar. Zu beachten ist, dass es nicht auf eine akribische Berücksichtigung jedes einzelnen Kontrollpunkts ankommt. Vielmehr kommt es darauf an, dass die Maßnahmen in ihrer Gesamtheit die Ausführung des Gesetzes nach § 9 Satz 1 gewährleisten.

29 Die Bezugnahme auf die Art der verwendeten Daten, womit der Grad an Sensi-

bilität gemeint ist, verdeutlicht, dass auch die Anlage zu § 9 kein allgemeingültiges Maßnahmenkonzept darstellt2. Es kommt vielmehr auch hier auf den Einzelfall an. Trotz des dahin gehend irreführenden Wortlauts ist die Art bzw. Kategorie der verwendeten Daten nur einer von vielen Punkten, die im Rahmen der Auflistung nach § 9 Satz 2 zu berücksichtigen sind. a) Zutrittskontrolle (Nr. 1)

30 Die datenverwendende Stelle muss zunächst Maßnahmen ergreifen, die den Zu-

tritt zu Datenverarbeitungsanlagen3 durch Unbefugte verhindern. Damit soll verhindert werden, dass auf die Datenverarbeitungsanlagen eingewirkt wird, um eine unkontrollierte Kenntnisnahme oder Verbreitung der Daten zu ermöglichen.

31 Unter „Zutritt“ ist die räumliche Annäherung bzw. der direkte Kontakt einer

natürlichen Person zu verstehen4. Die Verhinderung des Zutritts wird in der Regel durch physische Schranken und Hindernisse (z.B. Türen, Mauern, Blenden,

1 Zu Beispielen für Maßnahmen der Organisationskontrolle Taeger/Gabel/Schultze-Melling, § 9 BDSG Rz. 48. 2 Bergmann/Möhrle/Herb, § 9 BDSG Rz. 45. 3 Ausführlich zum Begriff der Datenverarbeitungsanlage in diesem Kontext Simitis/Ernestus, § 9 BDSG Rz. 72 ff. bzw. Taeger/Gabel/Schultze-Melling, § 9 BDSG Rz. 50. 4 Däubler/Klebe/Wedde/Weichert/Wedde, § 9 BDSG Rz. 36; Taeger/Gabel/Schultze-Melling, § 9 BDSG Rz. 49; Gola/Schomerus, § 9 BDSG Rz. 22.

358

|

Plath

Technische und organisatorische Maßnahmen | § 9 BDSG

evtl. in Verbindung mit Zeitschlössern, Passwörter, biometrischen Verfahren oder Chipkarten) erreicht1. Auch der Einsatz von Sichtschutzfolien (Polarisationsfolien) auf den verwendeten Bildschirmen ist als zutrittsverhindernde Maßnahme anzusehen2. „Unbefugt“ ist, wer zum in Frage stehenden Zeitpunkt nicht mit der konkret be- 32 troffenen Datenverarbeitungsanlage beschäftigt ist. Ausschlaggebend sind also Zeitpunkt, Tätigkeit und Zutrittsbereich einer Person3. Bereits hier wird deutlich, dass die Anlage zu § 9 dem technischen Fortschritt 33 nicht gefolgt ist. In einer Zeit, in der Daten nicht mehr ausschließlich in zentralen Rechenzentren, sondern (zumindest auch) am Arbeitsplatz, z.B. über Desktops, Laptops, Smartphones usw., verwendet werden, ist die Verhinderung einer räumlichen Annäherung unbefugter nicht zu bewerkstelligen4. Dies gilt insbesondere dann, wenn mit Publikumsverkehr zu rechnen ist, oder wenn die Verwendung der Datenverarbeitungsanlage im Wege des Fernzugriffs erfolgt. Der Schutz der Anlagen wird deshalb vielmehr durch Zugangs- und Zugriffskontrolle nach Nr. 2 und Nr. 3 des Maßnahmenkatalogs erreicht werden. b) Zugangskontrolle (Nr. 2) Im Rahmen einer Zugangskontrolle muss die datenverarbeitende Stelle gewähr- 34 leisten, dass Unbefugte keine Möglichkeit zur Nutzung der Datenverarbeitungssysteme haben. Es geht hier also weniger um die räumliche Nähe zur Datenverarbeitungsanlage als um die Möglichkeit zur Einwirkung auf das Datenverarbeitungssystem5. Unbefugte (zu diesem Begriff s. Rz. 32) sollen daran gehindert werden, von den Daten, die sich in der Datenverarbeitungsanlage befinden, Kenntnis zu erlangen, sie zu verarbeiten oder zu nutzen. Der Begriff „nutzen“ im Wortlaut der Nr. 2 ist also nicht im datenschutzrechtlichen Sinne des § 3 Abs. 5 zu verstehen, sondern umfasst vielmehr jeden Eingriff in den Prozess der Datenverwendung und damit auch in die technischen Systeme6. Typische Zugangskontrollmechanismen sind die Erfassung der berechtigten 35 Mitarbeiter, die Begrenzung ihrer Anzahl sowie ihre Authentifizierung vor der Gewährung des Zugangs. Die technische Umsetzung erfolgt in der Regel über passwortgeschützte Nutzeraccounts, Chipkarten, Identitätskontrollen, biometri1 Ausführlich hierzu Simitis/Ernestus, § 9 BDSG Rz. 83; Däubler/Klebe/Wedde/Weichert/ Wedde, § 9 BDSG Rz. 38 f.; Taeger/Gabel/Schultze-Melling, § 9 BDSG Rz. 53. 2 Taeger/Gabel/Schultze-Melling, § 9 BDSG Rz. 51. 3 Simitis/Ernestus, § 9 BDSG Rz. 78. 4 Däubler/Klebe/Wedde/Weichert/Wedde, § 9 BDSG Rz. 42; Simitis/Ernestus, § 9 BDSG Rz. 70. 5 Simitis/Ernestus, § 9 BDSG Rz. 90; Taeger/Gabel/Schultze-Melling, § 9 BDSG Rz. 54; Gola/Schomerus, § 9 BDSG Rz. 23. 6 So auch Simitis/Ernestus, § 9 BDSG Rz. 92 f.

Plath

|

359

§ 9 BDSG | Allgemeine und gemeinsame Bestimmungen sche Verfahren, Schlüssel, usw.1. Ebenfalls denkbar ist die Erstellung von Zugangsprotollen, um zumindest im Nachhinein nachvollziehen zu können, wer wann Zugang zu welcher Anlage hatte2. Je nach Sensibilität der Daten müssen die Schutzmaßnahmen mehr oder weniger aufwendig erfolgen. 36 In diesem Zusammenhang ist die aus Kostengründen verbreitete Praxis der

Fernwartung datenverarbeitender Systeme problematisch. Da die Mitarbeiter solcher Wartungsunternehmen im Wege des Fernzugriffs Zugang zu den personenbezogenen Daten bekommen können, müssen zwischen dem Auftraggeber und dem Wartungsunternehmen strenge Vereinbarungen bezüglich der Authentifizierung geschlossen werden. c) Zugriffskontrolle (Nr. 3)

37 Durch Maßnahmen der Zugriffskontrolle soll gewährleistet werden, dass nur

berechtigte Personen im vorgesehenen Umfang auf die verwendeten Daten und die Datenverarbeitungsanlagen zugreifen können. Es geht also weniger darum, fremde Personen an einer Einwirkung auf die Daten zu hindern, als darum, die Grenzen der Berechtigung des einzelnen Mitarbeiters durchzusetzen3. Die Norm setzt damit denklogisch voraus, dass zuvor überhaupt eine Begrenzung der zugriffsberechtigten Personen und des Zugriffsumfangs im Rahmen eines Berechtigungskonzepts erfolgt4.

38 Der Begriff „Zugriff“ bezeichnet jede Form des Zugangs zu personenbezogenen

Daten, der mit dem Ziel erfolgt, diese zu verwenden5. Er umfasst demnach über die reine Kenntnisnahme hinaus auch die Vervielfältigung, Veränderung, Löschung, Übermittlung und Speicherung der personenbezogenen Daten6. Die BDSG-fremde Terminologie „gelesen, kopiert […] oder entfernt“ ist nicht weiter von Bedeutung.

39 In der Praxis wird die Zugriffskontrolle im Regelfall durch die Unterteilung der

verwendeten Daten in bestimmte Zuständigkeitsbereiche und durch die Sicherung mittels Passwörtern oder anderen Kontrollmitteln bewerkstelligt7.

1 Ausführliche Beispiele für technische und organisatorische Maßnahmen bei Simitis/ Ernestus, § 9 BDSG Rz. 97 f. 2 Simitis/Ernestus, § 9 BDSG Rz. 94. 3 So auch Simitis/Ernestus, § 9 BDSG Rz. 100. 4 Däubler/Klebe/Wedde/Weichert/Wedde, § 9 BDSG Rz. 54; Taeger/Gabel/Schultze-Melling, § 9 BDSG Rz. 59. 5 Vgl. Simitis/Ernestus, § 9 BDSG Rz. 103. 6 Taeger/Gabel/Schultze-Melling, § 9 BDSG Rz. 58. 7 Ausführlich hierzu Taeger/Gabel/Schultze-Melling, § 9 BDSG Rz. 62; Simitis/Ernestus, § 9 BDSG Rz. 108.

360

|

Plath

Technische und organisatorische Maßnahmen | § 9 BDSG

d) Weitergabekontrolle (Nr. 4) Durch Maßnahmen der Weitergabekontrolle soll eine sichere Übermittlung 40 von personenbezogenen Daten gewährleistet werden. Dies betrifft sowohl die Beschränkung der Übermittlungsvorgänge und die Kontrolle der Übermittlungsbefugnis als auch die Sicherheit des Übermittlungsvorgangs selbst. Mit dem Begriff der „Weitergabe“ ist damit weitestgehend die Übermittlung gemäß § 3 Abs. 4 Nr. 3 gemeint, er umfasst aber darüber hinaus auch die unternehmensinterne Datenweitergabe sowie die Übermittlung im Rahmen der Auftragsdatenverarbeitung (§ 11)1. Auf die Art der Weitergabe (datenträgergebunden, über Funkverbindung oder über kabelgebundene Netzwerke) kommt es nicht an2. Die datenverarbeitende Stelle muss also zunächst den Übermittlungsvorgang 41 selbst absichern. Es muss also verhindert werden, dass Unbefugte während des Übermittlungsvorgangs Kenntnis der personenbezogenen Daten erlangen können. Dieser Teil der Kontrollmaßnahme betrifft sowohl den sicheren physischen Transport von Datenträgern als auch die Sicherheit der digitalen Übertragungswege. Typische Kontroll- und Absicherungsmechanismen sind die sorgfältige Auswahl des Transportpersonals, -wegs, -mittels und -behältnisses sowie sämtliche Verfahren der Verschlüsselung3 und der (elektronischen) Signatur4. Durch die technische Entwicklung hin zu tragbaren Datenträgern (Festplatten, 42 USB-Sticks, Mikrochips, CD-ROMs usw.) und zur Integration von Speichermedien in tragbaren Geräten wie bspw. Handys, Smartphones und Laptops ist eine effektive Datenträgerkontrolle in der Praxis schwierig. Auch hier wird sich die verarbeitende Stelle durch die Implementierung von Arbeitsrichtlinien über den sicheren Umgang mit solchen Datenträgern weiterhelfen müssen. Darüber hinaus besteht die Möglichkeit zu einer Verschlüsselung der Daten bzw. zu einer Sperrung der Datenträger5. Schließlich muss die datenverarbeitende Stelle dafür Sorge tragen, dass Daten- 43 übermittlungen grundsätzlich nur in einem vorgesehen Umfang durch befugte Personen vorgenommen werden. Zudem müssen erfolgte Übermittlungsvorgänge überprüfbar sein6. Ausreichend ist dabei die Möglichkeit einer Überprüfung des vorgesehenen Empfängers; eine Protokollierung aller Übermittlungs1 Taeger/Gabel/Schultze-Melling, § 9 BDSG Rz. 64. 2 Taeger/Gabel/Schultze-Melling, § 9 BDSG Rz. 63. 3 Zur Unverhältnismäßigkeit im Einzelfall der Anordnung einer Verschlüsselung von EMails durch den Datenschutzbeauftragten VG Berlin v. 24.5.2011 – VG 1 K 133.10; s. hierzu auch unten Rz. 57 ff. 4 Ausführlich hierzu Däubler/Klebe/Wedde/Weichert/Wedde, § 9 BDSG Rz. 66 ff.; weitere Beispiele bei Gola/Schomerus, § 9 BDSG Rz. 25; Simitis/Ernestus, § 9 BDSG Rz. 126 f.; Taeger/Gabel/Schultze-Melling, § 9 BDSG Rz. 68. 5 Däubler/Klebe/Wedde/Weichert/Wedde, § 9 BDSG Rz. 70. 6 Simitis/Ernestus, § 9 BDSG Rz. 113.

Plath

|

361

§ 9 BDSG | Allgemeine und gemeinsame Bestimmungen vorgänge und damit des tatsächlichen Empfängers ist nicht erforderlich1. Die diesbezüglichen Maßnahmen gleichen denen der Zugriffskontrolle. e) Eingabekontrolle (Nr. 5) 44 Durch Maßnahmen der Eingabekontrolle soll eine nachträgliche Überprüfung

und Feststellung ermöglicht werden, ob, wann und durch wen personenbezogene Daten in Datenverarbeitungssysteme eingegeben bzw. dort verändert oder von dort entfernt worden sind. Es handelt sich also um die Möglichkeit einer Ex-post-Kontrolle, um im Nachhinein Vorgänge nachvollziehen zu können. Die Maßnahmen nach Nr. 5 bilden die direkte Weiterführung der Zugriffs- und Weitergabekontrolle nach Nr. 3 und Nr. 42.

45 Am ehesten wird die Einhaltung dieses Kontrollerfordernis durch die Imple-

mentierung automatischer oder manueller Protokollierungs- und Archivierungsmechanismen erfolgen3. Die Art der verwendeten Daten, der Umfang und Zweck der Datenverwendung sowie die Anzahl der umgangsberechtigten Personen sind ausschlaggebende Faktoren für die Frequenz und den Umfang der Protokollierungen. Entsprechende Programme lassen sich auch auf mobile Datenverarbeitungsanlagen installieren.

46 Dem Sicherheitsziel von Nr. 5 wird nur genügt, wenn die Eingabekontrolle in

Form eines Protokolls über einen gewissen Zeitraum bestehen bleibt. Auch hier wird es auf die Umstände des Einzelfalls ankommen4.

47 Durch die Einführung von Protokollierungsmaßnahmen erfolgt zugleich auch

eine Erfassung von Daten über die Beschäftigten, die wiederum selbst datenschutzrechtlichen Vorschriften unterliegen. Generell empfiehlt es sich deshalb, die Protokollierungen inhaltlich auf ein – mit Blick auf die Erforderlichkeit nach § 9 Satz 1 vertretbares – Minimum zu reduzieren. In der Tat bergen solche Protokolldaten die Gefahr der Durchführung einer u.U. arbeitsrechtlich unzulässigen Leistungs- oder Verhaltenskontrolle. Ggf. bestehen auch Mitwirkungspflichten des Betriebs- oder Personalrats nach § 87 Abs. 1 Nr. 6 BetrVG bzw. § 75 Abs. 3 Nr. 17 BPersVG5.

1 Simitis/Ernestus, § 9 BDSG Rz. 116, der von diesem Grundsatz jedoch eine Ausnahme im Falle des Zugangs zu offenen Netzen vorsieht, § 9 BDSG Rz. 117; ebenso Taeger/Gabel/Schultze-Melling, § 9 BDSG Rz. 65. 2 Däubler/Klebe/Wedde/Weichert/Wedde, § 9 BDSG Rz. 77; Simitis/Ernestus, § 9 BDSG Rz. 129. 3 Ebenso Gola/Schomerus, § 9 BDSG Rz. 26. 4 Däubler/Klebe/Wedde/Weichert/Wedde, § 9 BDSG Rz. 83. 5 Ausführlich hierzu Däubler/Klebe/Wedde/Weichert/Wedde, § 9 BDSG Rz. 102 ff.

362

|

Plath

Technische und organisatorische Maßnahmen | § 9 BDSG

f) Auftragskontrolle (Nr. 6) Die Auftragskontrolle nach Nr. 6 betrifft ausschließlich den Bereich der Auf- 48 tragsdatenverarbeitung nach § 11. Es müssen also Maßnahmen getroffen werden, durch die gewährleistet wird, dass Daten nur entsprechend der Weisungen des Auftraggebers verwendet werden. Adressaten dieser Maßnahme sind sowohl der Auftraggeber als auch der Auf- 49 tragnehmer. Zu beachten ist, dass die Vorkehrungen nach Nr. 6 die allgemeinen Zulässigkeitsvoraussetzungen des § 11 flankieren. Auftraggeber und Auftragnehmer müssen also durch entsprechende Maßnahmen sicherstellen, dass die Vorgaben des § 11, die überhaupt erst eine Auftragsdatenverarbeitung rechtfertigen, tatsächlich berücksichtigt und umgesetzt werden. Dementsprechend unterliegen nur die Kontrollmaßnahmen, keinesfalls jedoch die Erlaubnistatbestandsvoraussetzungen des § 11 einer Verhältnismäßigkeitsabwägung nach § 9 Satz 2. Der Auftraggeber muss also v.a. dafür sorgen, dass seine Weisungen durch den 50 Auftragnehmer tatsächlich umgesetzt werden. Denkbar sind die Durchführung von Stichproben, das (vertragliche), u.U. sogar strafbewährte Verbieten bestimmter Verwendungen oder ggf. die Einführung elektronischer Sperren. Der Auftragnehmer muss innerbetrieblich dafür sorgen, dass die Weisungen des 51 Auftraggebers befolgt werden. Hier wird sich vielfach ein Rückgriff auf Zutritts-, Zugangs-, Zugriffs-, Weitergabe- und Eingabekontrolle nach Nr. 1–5 anbieten. g) Verfügbarkeitskontrolle (Nr. 7) Durch Maßnahmen der Verfügbarkeitskontrolle soll die verarbeitende Stelle 52 gewährleisten, dass die personenbezogenen Daten gegen zufällige Zerstörung oder Verlust geschützt werden. Da die verarbeitende Stelle in aller Regel ein außerordentliches Interesse an der Verfügbarkeit ihrer Daten haben wird, ist davon auszugehen, dass sich der datenschutzrechtlich gebotene Mindestschutzstandard nach der Anlage zu § 9 mit den Schutzmaßnahmen decken wird, die die Stelle im eigenen Interesse ohnehin treffen wird. Die verwendeten Daten sollen zunächst vor „zufälliger Zerstörung“ geschützt 53 werden. Damit werden unvorhergesehene Ereignisse bezeichnet, durch die gleichsam als Kollateralschaden eine Zerstörung der Daten erfolgt. Beispiele für solche Geschehnisse sind insbesondere Hard- oder Softwareausfälle, aber auch datenverarbeitungsfremde Ereignisse, die sich auf die automatisierte Verarbeitung auswirken, z.B. Stromausfälle, Brände, Wasserschäden oder Sabotage. Die verarbeitende Stelle muss also zum einen Maßnahmen treffen, um die Datenverarbeitungsanlagen vor solchen Einwirkungen zu schützen1. Darüber hinaus 1 Ausführlich zu den technischen Sicherungsmöglichkeiten Simitis/Ernestus, § 9 BDSG Rz. 156.

Plath

|

363

§ 9 BDSG | Allgemeine und gemeinsame Bestimmungen muss die verarbeitende Stelle auch dafür sorgen, dass der Eintritt eines unvorhergesehenen Ereignisses keinen endgültigen „Verlust“ der Daten nach sich zieht. In der Regel wird dieser Teil des Verfügbarkeitsschutzes durch die regelmäßige Erstellung von Backups oder Sicherheitskopien sowie durch die Implementierung redundanter Datenverarbeitungssysteme gewährleistet, durch die auch im Falle der (Zer)Störung von Hard- oder Software die Verfügbarkeit der Daten sichergestellt werden kann1. Bestandteil der Verfügbarkeitskontrolle ist letztlich auch die sichere Aufbewahrung der Backups selbst2. Die genauen Anforderungen an Maßnahmen der Verfügbarkeitskontrolle sind vom Einzelfall, insbesondere von der Sensibilität der verwendeten Daten abhängig3. h) Gebot der getrennten Verarbeitung (Nr. 8) 54 Gemäß Nr. 8 der Anlage zu § 9 muss die verantwortliche Stelle schließlich ge-

währleisten, dass Daten, die zu unterschiedlichen Zwecken erhoben wurden, auch tatsächlich getrennt verarbeitet werden. Diese Maßnahme dient also weniger der Datensicherheit als dem effektiven Datenschutz, so dass sie aus dem systematischen Rahmen des § 9 herausfällt.

55 Durch die Einführung technischer oder organisatorischer Maßnahmen nach

Nr. 8 der Anlage zu § 9 soll erreicht werden, dass sich der Grundsatz der Zweckbindung in der automatisierten Datenverarbeitung niederschlägt. Die verarbeitende Stelle muss also durch die Konzeption ihrer Datenverarbeitungssysteme gewährleisten, dass nur solche Daten gemeinsam verarbeitet werden, die auch zum gleichen Zweck erhoben wurden. Denkbar ist zunächst eine Trennung der technischen Systeme, z.B. durch die Verwendung unterschiedlicher Server. Angesichts der hohen Kosten, die hiermit verbunden sein können, ist in der Regel auch eine logische, prozessuale Trennung der Datenverwendung, z.B. durch eine Verarbeitung in unterschiedlichen Arbeitsschritten oder Zuständigkeiten, ausreichend4. Die verarbeitende Stelle muss zudem dafür sorgen, dass eine manuelle Aufhebung der Trennung, z.B. durch das Verschieben von Daten, nicht erfolgen kann. Die sicherste Methode, eine solche Manipulation zu verhindern, ist wohl eine Aufteilung der Zugriffsberechtigungen5.

56 Besonders strenge Trennungsmaßnahmen wird der Auftragsdatenverarbeiter

treffen müssen, der Daten verschiedener Auftraggeber verwendet (vgl. § 11)6.

1 Simitis/Ernestus, § 9 BDSG Rz. 158 f.; Däubler/Klebe/Wedde/Weichert/Wedde, § 9 BDSG Rz. 95; Taeger/Gabel/Schultze-Melling, § 9 BDSG Rz. 79. 2 Taeger/Gabel/Schultze-Melling, § 9 BDSG Rz. 81 f. 3 Vgl. Däubler/Klebe/Wedde/Weichert/Wedde, § 9 BDSG Rz. 93. 4 Taeger/Gabel/Schultze-Melling, § 9 BDSG Rz. 84; Däubler/Klebe/Wedde/Weichert/Wedde, § 9 BDSG Rz. 98. 5 So z.B. Däubler/Klebe/Wedde/Weichert/Wedde, § 9 BDSG Rz. 98. 6 Taeger/Gabel/Schultze-Melling, § 9 BDSG Rz. 86.

364

|

Plath

Technische und organisatorische Maßnahmen | § 9 BDSG

Darüber hinaus sind Maßnahmen nach Nr. 8 der Anlage zu § 9 auch in Konzernen von herausragender Bedeutung: Auch dann, wenn die Daten der Konzernunternehmen auf einem zentralen Server gespeichert werden, muss eine strenge Trennung der unterschiedlichen Datenkategorien gewährleistet werden, da das BDSG kein Konzernprivileg kennt. 4. Verschlüsselungsverfahren (Satz 3) Gemäß Satz 3 der Anlage zu § 9 sind die Zugangs-, Zugriffs- und Weitergabe- 57 kontrolle (Nr. 2, 3 und 4 der Anlage) insbesondere durch die Verschlüsselung der verwendeten personenbezogenen Daten zu gewährleisten. Durch diese explizite Konkretisierung der einzuführenden technischen und organisatorischen Maßnahmen soll den wachsenden Gefahren begegnet werden, die den verwendeten Daten durch Hackerangriffe droht1. Der Begriff der „Verschlüsselung“ wird im BDSG nicht definiert. Gemeinhin 58 versteht man darunter jedoch ein Verfahren, durch das eine klar lesbare Information (der sog. Klartext) mithilfe eines Verschlüsselungsverfahrens (Kryptosystem) in eine nicht lesbare bzw. interpretierbare Zeichenabfolge umgewandelt wird. Die Information wird erst nach ihrer Entschlüsselung wieder als Klartext lesbar. Welche Art der Verschlüsselung (z.B. symmetrische oder asymmetrische) die datenverwendende Stelle anzuwenden hat, lässt der Wortlaut offen. Mit dem Zusatz „dem Stand der Technik entsprechend“ macht der Gesetzgeber jedoch deutlich, dass er durchaus hohe Anforderungen an die Verschlüsselung stellt2. Zugleich verpflichtet er die Stelle dazu, ihre Verschlüsselungsmechanismen in regelmäßigen Abständen zu überprüfen und ggf. der technischen Entwicklung anzupassen, da nur so ein effektiver Schutz gegen die innovativen Methoden der Hacker gewährleistet werden kann3. Teilweise wird vertreten, dass – zumindest beim E-Mail-Verkehr – aus § 9 fak- 59 tisch eine Verschlüsselungspflicht folgt. Der Einsatz von Verschlüsselungstechnologien sei heutzutage so unproblematisch, dass er grundsätzlich stets als verhältnismäßig, mithin also als verpflichtend anzusehen sei4. Gegen diese Ansicht spricht jedoch, dass eine Maßnahme, die unter den Vorbehalt der Verhältnismäßigkeit gestellt wird, nicht per se verpflichtend sein kann. Es steht der verantwortlichen Stelle damit grundsätzlich frei, sich für einen anderen, ebenso effektiven Schutz des E-Mail-Verkehrs zu entscheiden. In der Regel wird jedoch die Verschlüsselung tatsächlich das Mittel der Wahl darstellen. 1 Ebenso Simitis/Ernestus, § 9 BDSG Rz. 165. 2 Ebenso Gola/Schomerus, § 9 BDSG Rz. 29a; zum Begriff „Stand der Technik“ vgl. Simitis/ Ernestus, § 9 BDSG Rz. 171. 3 Ausführlicher zu der sich wandelnden Sicherheit von Verschlüsselungen Taeger/Gabel/ Schultze-Melling, § 9 BDSG Rz. 89 f. 4 So z.B. Klett/Lee, CR 2008, 644 (646).

Plath

|

365

§ 9a BDSG | Allgemeine und gemeinsame Bestimmungen

§ 9a Datenschutzaudit 1Zur

Verbesserung des Datenschutzes und der Datensicherheit können Anbieter von Datenverarbeitungssystemen und -programmen und datenverarbeitende Stellen ihr Datenschutzkonzept sowie ihre technischen Einrichtungen durch unabhängige und zugelassene Gutachter prüfen und bewerten lassen sowie das Ergebnis der Prüfung veröffentlichen. 2Die näheren Anforderungen an die Prüfung und Bewertung, das Verfahren sowie die Auswahl und Zulassung der Gutachter werden durch besonderes Gesetz geregelt. I. Einführung . . . . . . . . . . . . . . . II. Adressaten . . . . . . . . . . . . . . .

1 6

III. Durchführung des Datenschutzaudits . . . . . . . . . . 7 IV. Gütesiegel . . . . . . . . . . . . . . . . 10

Schrifttum: Behrendt, Datenschutz in der Realität – Vier Jahre Datenschutzaudit in Schleswig-Holstein, DuD 2006, 20; Bizer, Bausteine eines Datenschutzaudits, DuD 2006, 5; Bräutigam/Sonnleithner, Stiftung Datenschutz – Ein Schritt in die richtige Richtung, AnwBl 2011, 240; Piltz/Schulz, Die Stiftung Datenschutz – moderner Datenschutz neu gedacht, RDV 2011, 117; Voßbein, Prüfstandards für den Datenschutz – Hilfe für den Datenschutzbeauftragten, DuD 2006, 713; Wagner, Bundesstiftung Datenschutz – Chancen? Grenzen!, RDV 2011, 229; Weichert, Datenschutz als Verbraucherschutz, DuD 2001, 264; Weichert, Datenschutz-Audit und -Gütesiegel im Medizinbereich, MedR 2003, 674.

I. Einführung 1 § 9a schafft die Voraussetzungen für die Einführung eines Verfahrens zur Un-

tersuchung und Bewertung der Maßnahmen, die die verarbeitende Stelle zur Gewährleistung des Datenschutzes und der Datensicherheit getroffen hat (Datenschutzaudit). Die Vorschrift ergänzt die Regelungen des § 9, der die Einführung entsprechender technischer und organisatorischer Maßnahmen vorschreibt. Anstelle einer repressiven Sanktionierung von Verstößen gegen § 9 hat sich der Gesetzgeber also für einen präventiven Ansatz zur Durchsetzung der Datensicherheit entschieden. Dadurch soll verhindert werden, dass es überhaupt zu Verstößen gegen das BDSG – und damit zu einer Verletzung des Selbstbestimmungsrechts des Betroffenen – kommt.

2 Der Gesetzgeber hat sich dabei bewusst gegen eine verpflichtende Vorabkon-

trolle und für eine Selbstregulierung durch die datenverarbeitende Stelle entschieden1. Der Anreiz für die verantwortliche Stelle, sich einer solchen freiwilligen Kontrolle zu unterziehen, liegt in der darin begründeten Möglichkeit der 1 Ausführlich hierzu Däubler/Klebe/Wedde/Weichert/Weichert, § 9a BDSG Rz. 3 f.

366

|

Plath

Datenschutzaudit | § 9a BDSG

Imagepflege und Werbung: Gemäß Satz 1 soll die verarbeitende Stelle das Ergebnis der Prüfung veröffentlichen dürfen. In der Tat gilt das Thema Datenschutz und -sicherheit infolge einiger „Skandale“ als durchaus sensibel und ist in besonderem Maße der Aufmerksamkeit der Medien und Verbraucher ausgesetzt. In einer Zeit, in der fast alle Vorgänge mit einer Verwendung personenbezogener Daten einhergehen, kann sich ein hoher Datensicherheitsstandard erheblich zugunsten der verarbeitenden Stelle auswirken und einen Wettbewerbsvorteil darstellen1. § 9a verankert letztlich nur die Intention des Gesetzgebers, ein Auditverfahren 3 im Bereich des Datenschutzrechts einzuführen. Die eigentliche normative Ausgestaltung soll gemäß Satz 2 spezialgesetzlich erfolgen, doch wurde dieses Vorhaben durch den Bundesgesetzgeber bis heute nicht umgesetzt2. Damit hat § 9a zurzeit einen rein deklaratorischen, programmatischen Charakter. Lediglich in Schleswig-Holstein wurde in §§ 4 Abs. 2, 43 Abs. 2 LDSG SH ein 4 einheitliches Auditverfahren eingeführt, dessen Anwendbarkeit sich jedoch auf solche Produkte oder Verfahren beschränkt, an deren Einsatz bzw. Durchführung öffentliche Stellen des Landes beteiligt sind3. Darüber hinaus wurde 2008 das europäische Datenschutzgütesiegel European Privacy Seal (EuroPriSe) eingeführt, durch das Produkte und Verfahren ausgezeichnet werden können, die mit dem europäischen Datenschutzrecht konform sind4. Im Koalitionsvertrag 2009 wurde schließlich die Gründung einer Stiftung Da- 5 tenschutz vereinbart. Diese soll sich am Vorbild der Stiftung Warentest orientieren und eine unabhängige Überprüfung von Produkten und Dienstleistungen im Hinblick auf ihre Datenschutzfreundlichkeit vornehmen5. Die Durchführung dieses Projekts zog sich jedoch seitdem immer weiter in die Länge. Im Januar 2013 wurde die Stiftung Datenschutz gegründet. Der Sitz der Geschäftsstelle ist in Leipzig. 1 Simitis/Scholz, § 9a BDSG Rz. 3 ff.; Taeger/Gabel/Schultze-Melling, § 9a BDSG Rz. 2; Bergmann/Möhrle/Herb, § 9a BDSG Rz. 4; vgl. zur diesbezüglichen Kritik Gola/Schomerus, § 9a BDSG Rz. 4. 2 Ausführlich zum gescheiterten Entwurf eines Bundesdatenschutzauditgesetzes (BDSAuditG) Taeger/Gabel/Schultze-Melling, § 9a BDSG Rz. 8 ff.; Gola/Schomerus, § 9a BDSG Rz. 2; Simitis/Scholz, § 9a BDSG Rz. 41 ff. 3 Vgl. hierzu Simitis/Scholz, § 9a BDSG Rz. 20 ff.; Däubler/Klebe/Wedde/Weichert/Weichert, § 9a BDSG Rz. 8; Bergmann/Möhrle/Herb, § 9a BDSG Rz. 11 ff.; Gola/Schomerus, § 9a BDSG Rz. 14; Weichert, DuD 2001, 264 (268); Bizer, DuD 2006, 5 (7); Behrendt, DuD 2006, 20 ff.; zur Umsetzung dieses Verfahrens im medizinischen Bereich Weichert, MedR 2003, 674. 4 Däubler/Klebe/Wedde/Weichert/Weichert, § 9a BDSG Rz. 9; Simitis/Scholz, § 9a BDSG Rz. 9. 5 Ausführlich zu diesem Projekt Bräutigam/Sonnleithner, AnwBl 2011, 240 ff.; Piltz/Schulz, RDV 2011, 117; Wagner, RDV 2011, 229.

Plath

|

367

§ 9a BDSG | Allgemeine und gemeinsame Bestimmungen II. Adressaten 6 Die Möglichkeit der Durchführung eines Datenschutzaudits besteht für alle Stel-

len, die mit personenbezogenen Daten umgehen. Dabei kommt es nicht darauf an, ob die Stelle öffentlich oder nicht-öffentlich ist1. Unklar ist allerdings, ob sich § 9a ausschließlich an verantwortliche Stellen i.S.d. § 3 Abs. 7 richtet2. Der Wortlaut des § 9a ist diesbezüglich unklar. Gegen diese Ansicht spricht die dogmatische Nähe zu § 9, der sich nach h.M. an jede Stelle, die personenbezogene Daten verwendet, richtet (vgl. Komm. zu § 9 BDSG Rz. 5). Auch ist es angesichts des Normzwecks nach der hier vertretenen Ansicht nicht ersichtlich, warum sich nur verantwortliche Stellen zu einer freiwilligen Selbstkontrolle verpflichten können sollten. Vielmehr ist es im Sinne einer effektiven Prävention, die Möglichkeit zur Durchführung eines Auditverfahrens möglichst vielen Stellen anzubieten. Hierfür spricht nicht zuletzt auch die – durchaus systemfremde – Einbeziehung in den Adressatenkreis des § 9a von Anbietern von Datenverarbeitungssystemen und -programmen, die selbst keine Daten verarbeiten, sondern lediglich die technischen Voraussetzungen dafür liefern.

III. Durchführung des Datenschutzaudits 7 Gemäß Satz 1 soll die Durchführung des Datenschutzaudits durch unabhängige

und akkreditierte Gutachter erfolgen, deren Zulassung gemäß Satz 2 durch ein Spezialgesetz geregelt werden soll3. Zu beachten ist, dass hierdurch keine Beschneidung der Befugnisse des betrieblichen Datenschutzbeauftragten bzw. der Aufsichtsbehörden erfolgen soll4. Idealerweise sollten diese vielmehr in das Auditverfahren eingebunden werden5.

8 Generell wird zwischen dem Produkt- und dem Verfahrens-Audit unterschie-

den6. Beim Produktaudit wird geprüft, ob bestimmte Produkte, die im Rahmen der Datenverarbeitung verwendet werden können, mit den Schutzstandards des BDSG konform sind. Auf diese Weise werden insbesondere Datenverarbeitungssysteme und -programme geprüft. Entsprechend richtet sich § 9a auch an die Anbieter solcher Produkte7.

1 2 3 4

Bergmann/Möhrle/Herb, § 9a BDSG Rz. 5. So z.B. Simitis/Scholz, § 9a BDSG Rz. 31; Bergmann/Möhrle/Herb, § 9a BDSG Rz. 14. Zur Qualifizierung der Gutachter Simitis/Scholz, § 9a BDSG Rz. 36. Vgl. Simitis/Scholz, § 9a BDSG Rz. 15 ff.; kritisch diesbezüglich Gola/Schomerus, § 9a BDSG Rz. 5, 9 ff. 5 Gola/Schomerus, § 9a BDSG Rz. 8; Bergmann/Möhrle/Herb, § 9a BDSG Rz. 19. 6 Ausführlich hierzu Däubler/Klebe/Wedde/Weichert/Weichert, § 9a BDSG Rz. 10 ff. 7 Ausführlich zum Produktaudit Simitis/Scholz, § 9a BDSG Rz. 24 ff.

368

|

Plath

Datenschutzaudit | § 9a BDSG

Im Rahmen eines Verfahrensaudits wird hingegen überprüft, ob der Daten- 9 umgang durch die datenverarbeitenden Stellen selbst technisch und organisatorisch den Anforderungen des BDSG entspricht. Gegenstand der Untersuchung sind sowohl die verwendeten technischen Einrichtungen (insbesondere Hardund Software) als auch das Datenschutzkonzept, also die technischen und organisatorischen Maßnahmen nach § 9, die interne Kontrolle, v.a. durch den betrieblichen Datenschutzbeauftragten, die Gewährleistung der Zweckbindung, des Grundsatzes der Datenvermeidung und -sparsamkeit nach § 3a, der Feststellung der Erforderlichkeit, usw.1. Das Verfahrensaudit ist auf Kontinuität ausgelegt und verlangt eine ständige Anpassung des Datenschutzstandards an technische und gesetzliche Veränderungen2. Teilweise wird vertreten, dass Gegenstand des Datenschutzaudits weniger die Einhaltung des gesetzlichen Mindeststandards als die darüber hinausgehende „Übergewährleistung“ des Datenschutzes sein sollte, da es erst dann gerechtfertigt sei, der verarbeitenden Stelle durch die Verleihung des Gütesiegels einen Wettbewerbsvorteil zu verschaffen3. Gegen diese Ansicht spricht jedoch, dass Sinn und Zweck des Gesetzes weniger die Auszeichnung besonders beflissener datenverarbeitender Stellen ist als die Einführung einer präventiven Kontrolle zur ex-ante-Vermeidung von Rechtsverstößen4.

IV. Gütesiegel Die Durchführung eines Datenschutzaudits soll nach dem Willen des Gesetz- 10 gebers durch die Vergabe entsprechender Zertifikate flankiert werden. Teilweise werden an der Sinnhaftigkeit der Einführung solcher Gütesiegel Zweifel laut. Dabei wird argumentiert, dass die Wirtschaft in all den Jahren, in denen der Bundesgesetzgeber es versäumt hat, das Auditverfahren spezialgesetzlich zu regeln, weitgehend auch ohne entsprechende Zertifikate ausgekommen ist. Dagegen sprechen jedoch die Erfahrungen, die in anderen Bereichen (wie z.B. dem Umweltrecht)5 und mit bestehenden Gütesiegeln6 gesammelt wurden. Die steigende Verbreitung und Akzeptanz solcher zertifizierter Abzeichen deuten darauf hin, dass auch und gerade im besonders sensiblen Bereich des Datenschutzrechts von einer positiven Auswirkung von Gütesiegeln auf das Image und die Wettbewerbsfähigkeit der ausgezeichneten Stellen auszugehen ist. Vieles spricht 1 2 3 4

Ausführlich zum Verfahrensaudit Simitis/Scholz, § 9a BDSG Rz. 28 ff. Simitis/Scholz, § 9a BDSG Rz. 30. Vgl. hierzu Gola/Schomerus, § 9a BDSG Rz. 7. So im Ergebnis auch Gola/Schomerus, § 9a BDSG Rz. 7 mit Verweis auf den Wortlaut der Norm. 5 Vgl. Bergmann/Möhrle/Herb, § 9a BDSG Rz. 3. 6 Z.B. mit dem Gütesiegel des unabhängigen Landesdatenschutzzentrums Schleswig-Holstein und dem European Privacy Seal (EuroPriSe).

Plath

|

369

§ 10 BDSG | Allgemeine und gemeinsame Bestimmungen also dafür, dass der somit geschaffene Anreiz eine freiwillige Selbstkontrolle durch die verarbeitenden Stellen befördern wird. 11 Voraussetzung für die erfolgreiche Implementierung von Gütesiegeln ist die

Gewährleistung der Transparenz, Objektivität und Sicherheit des Prüfungsverfahrens1. Es muss also von vorneherein feststehen, was Gegenstand der Zertifizierung ist (sog. Target of Evaluation, ToE)2, welche Anforderungen an die Datenschutzkonformität von Produkten und Verfahren gestellt werden, welche Prüfungs- und Bewertungsmaßstäbe gelten und wie die Akkreditierung der Gutachter erfolgt. Ebenfalls muss die Geltungsdauer und die Reichweite des Gütesiegels festgelegt werden. All dies sollte der Bundesgesetzgeber gemäß Satz 2 spezialgesetzlich normieren, was jedoch bis heute nicht erfolgt ist.

12 Diese Lücke füllen zunehmend private Anbieter von Datenschutzkontrollen so-

wie unternehmensinterne Audits, deren erfolgreiche Durchführung sogar mit entsprechenden Siegeln und Zertifikaten ausgezeichnet werden3. Ihre Akzeptanz wird jedoch wegen der fehlenden hoheitlichen Regulierung und Überprüfung dieser Verfahren häufig noch in Frage gestellt4.

13 Die überprüfte Stelle kann erteilte Gütesiegel veröffentlichen, muss dies aber

nicht. Ebenso wenig ist sie dazu verpflichtet, die Nichterteilung von Zertifikaten zu veröffentlichen5. Zu beachten ist schließlich, dass die Werbung mit einem fiktiven Gütesiegel oder die falsche Behauptung der behördlichen Genehmigung bzw. der Verleihung eines tatsächlich existierenden Zertifikats gemäß § 3 Abs. 3 UWG i.V.m. Nr. 4 des Anhangs zu § 3 Abs. 3 UWG einen Wettbewerbsverstoß darstellt6.

§ 10 Einrichtung automatisierter Abrufverfahren (1) 1Die Einrichtung eines automatisierten Verfahrens, das die Übermittlung personenbezogener Daten durch Abruf ermöglicht, ist zulässig, soweit dieses Verfahren unter Berücksichtigung der schutzwürdigen Interessen der Betroffenen und der Aufgaben oder Geschäftszwecke der beteiligten Stellen angemessen ist. 2Die Vorschriften über die Zulässigkeit des einzelnen Abrufs bleiben unberührt 1 2 3 4 5 6

Vgl. Weichert, DuD 2001, 264 (268). Däubler/Klebe/Wedde/Weichert/Weichert, § 9a BDSG Rz. 10. Vgl. zum unternehmensinternen Audit Voßbein, DuD 2006, 713. Vgl. Simitis/Scholz, § 9a BDSG Rz. 11; ebenso Weichert, DuD 2001, 264 (268). Simitis/Scholz, § 9a BDSG Rz. 38. Ausführlicher hierzu Däubler/Klebe/Wedde/Weichert/Weichert, § 9a BDSG Rz. 6; Simitis/Scholz, § 9a BDSG Rz. 39.

370

|

Plath

Einrichtung automatisierter Abrufverfahren | § 10 BDSG

(2) 1Die beteiligten Stellen haben zu gewährleisten, dass die Zulässigkeit des Abrufverfahrens kontrolliert werden kann. 2Hierzu haben sie schriftlich festzulegen: 1. Anlass und Zweck des Abrufverfahrens, 2. Dritte, an die übermittelt wird, 3. Art der zu übermittelnden Daten, 4. nach § 9 erforderliche technische und organisatorische Maßnahmen. 3Im öffentlichen Bereich können die erforderlichen Festlegungen auch durch die Fachaufsichtsbehörden getroffen werden. (3) 1Über die Einrichtung von Abrufverfahren ist in Fällen, in denen die in § 12 Abs. 1 genannten Stellen beteiligt sind, die oder der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit unter Mitteilung der Festlegungen nach Absatz 2 zu unterrichten. 2Die Einrichtung von Abrufverfahren, bei denen die in § 6 Abs. 2 und in § 19 Abs. 3 genannten Stellen beteiligt sind, ist nur zulässig, wenn das für die speichernde und die abrufende Stelle jeweils zuständige Bundes- oder Landesministerium zugestimmt hat. (4) 1Die Verantwortung für die Zulässigkeit des einzelnen Abrufs trägt der Dritte, an den übermittelt wird. 2Die speichernde Stelle prüft die Zulässigkeit der Abrufe nur, wenn dazu Anlass besteht. 3Die speichernde Stelle hat zu gewährleisten, dass die Übermittlung personenbezogener Daten zumindest durch geeignete Stichprobenverfahren festgestellt und überprüft werden kann. 4Wird ein Gesamtbestand personenbezogener Daten abgerufen oder übermittelt (Stapelverarbeitung), so bezieht sich die Gewährleistung der Feststellung und Überprüfung nur auf die Zulässigkeit des Abrufes oder der Übermittlung des Gesamtbestandes. (5) 1Die Absätze 1 bis 4 gelten nicht für den Abruf allgemein zugänglicher Daten. 2Allgemein zugänglich sind Daten, die jedermann, sei es ohne oder nach vorheriger Anmeldung, Zulassung oder Entrichtung eines Entgelts, nutzen kann. I. 1. 2. II.

Einführung Normzweck und Inhalt . . . . . . Anwendungsbereich . . . . . . . . Zulässigkeit des Abrufverfahrens (Abs. 1) . . . . . . . . III. Gewährleistung von Kontrollmöglichkeiten (Abs. 2) . . . . .

. .

1 5

. 10

IV. Unterrichtung bei Beteiligung öffentlicher Stellen (Abs. 3) . . . 26 V. Verantwortlichkeit (Abs. 4) . . . 28 VI. Allgemein zugängliche Daten (Abs. 5) . . . . . . . . . . . . . . . . . . 31

. 18

Schrifttum: Engelien-Schulz, Einrichtung automatisierter Abrufverfahren – Zu den allgemeinen datenschutzrechtlichen Anforderungen für öffentliche Stellen des Bundes, VR 2011, 1; Heinemann, Stichprobenpflicht bei automatisierten Datenabrufen – Prüfung und Glaubhaftmachung des berechtigten Interesses, ZD 2014, 291.

Plath

|

371

§ 10 BDSG | Allgemeine und gemeinsame Bestimmungen I. Einführung 1. Normzweck und Inhalt 1 § 10 regelt, unter welchen Voraussetzungen die Einrichtung automatisierter

Abrufverfahren zulässig ist. § 10 ist vor dem Hintergrund zu sehen, dass auch das Abrufen von Daten einen Übermittlungsvorgang gemäß § 3 Abs. 4 Nr. 3b) darstellt. Unternehmen, deren Tätigkeiten typischerweise vom Anwendungsbereich der Norm erfasst sind, sind etwa Auskunfteien, Warn- und Kreditinformationsdienste sowie Adresshändler.

2 Erfolgt der Abruf im Rahmen eines automatisierten Verfahrens, so entsteht da-

durch ein erhöhtes Gefahrenpotenzial für die personenbezogenen Daten des Betroffenen: Nicht die verantwortliche Stelle, sondern der Empfänger veranlasst den Übermittlungsvorgang. Eine Überprüfung der Notwendigkeit der Datenübermittlung durch die verantwortliche Stelle ist im Rahmen des konkreten Abrufvorgangs kaum möglich1. Diesen Risiken versucht der Gesetzgeber durch die speziellen Zulässigkeitsanforderungen des § 10 zu begegnen.

3 Zu beachten ist, dass § 10 nur die Einrichtung eines solchen automatisierten

Verfahrens regelt und den automatisierten Datenabruf gesetzlich ermöglicht2. Die Norm dient dem Schutz der Interessen des Betroffenen im Vorfeld des eigentlichen Verwendungsverfahrens3. Aus Abs. 1 Satz 2 geht hervor, dass die Zulässigkeit des tatsächlichen Übermittlungsvorgangs sich nach § 4 Abs. 1 richtet. Das Gesetz ordnet damit bei Abrufverfahren eine zweistufige Prüfung an: (i) Zulässigkeit des Abrufverfahrens als solches nach § 10 sowie (ii) Zulässigkeit des einzelnen Abrufs nach § 4 Abs. 14. § 10 ist also keine eigenständige Erlaubnisnorm für die Verwendung personenbezogener Daten.

4 Voraussetzung für die Zulässigkeit der Einrichtung eines automatisierten Ab-

rufverfahrens ist zunächst, dass die schutzwürdigen Interessen des Betroffenen gegenüber den Interessen der beteiligten Stellen an der Verfolgung ihrer Aufgaben und Geschäftszwecke nicht überwiegen (Abs. 1). Darüber hinaus müssen sowohl der Übermittler als auch der Empfänger gewährleisten, dass die Zulässigkeit des Abrufverfahrens kontrolliert werden kann (Abs. 2). Öffentliche Stellen müssen darüber hinaus den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (vgl. §§ 22 ff.) über die Einrichtung eines automatisierten Abrufverfahrens unterrichten (Abs. 3). Die datenschutzrechtliche Verantwor-

1 Däubler/Klebe/Wedde/Weichert/Klebe, § 10 BDSG Rz. 3; Taeger/Gabel/Schultze-Melling, § 10 BDSG Rz. 1. 2 Vgl. hierzu ausführlich Simitis/Ehmann, § 10 BDSG Rz. 1 f. 3 Vgl. Taeger/Gabel/Schultze-Melling, § 10 BDSG Rz. 2. 4 Anschaulich Simitis/Ehmann, § 10 BDSG Rz. 39 ff.; Bergmann/Möhrle/Herb, § 10 BDSG Rz. 7; Däubler/Klebe/Wedde/Weichert/Klebe, § 10 BDSG Rz. 4; vgl. auch EngelienSchulz, VR 2011, 1 (2).

372

|

Plath

Einrichtung automatisierter Abrufverfahren | § 10 BDSG

tung für die Zulässigkeit der Datenübermittlung trägt stets der Empfänger der Daten (Abs. 4). Vom Anwendungsbereich des § 10 sind lediglich allgemein zugängliche Daten, insbesondere offene Datenbanken, ausgenommen (Abs. 5). 2. Anwendungsbereich § 10 richtet sich gleichermaßen an öffentliche wie auch an nicht-öffentliche Stel- 5 len. Adressaten der Norm sind dabei sowohl der Empfänger, der die Verantwortung für die Zulässigkeit einer im Wege des automatisierten Abrufs erfolgten Übermittlung trägt, als auch der Übermittler, der das Verfahren einrichtet. Der Gesetzgeber bezeichnet beide als „beteiligte Stellen“, vgl. Abs. 1 Satz 1 und Abs. 2 Satz 1. Der automatisch erfolgende Abruf personenbezogener Daten muss zugleich eine 6 Übermittlung i.S.d. § 3 Abs. 4 Nr. 3b darstellen, um den Anwendungsbereich der Norm zu eröffnen (vgl. Komm. zu § 3 BDSG Rz. 39 ff.)1. Nicht der Fall ist dies bspw. bei der Weitergabe von Daten innerhalb eines Unternehmens, also einer verantwortlichen Stelle, oder im Rahmen einer Auftragsdatenverarbeitung gemäß § 112. Ebenfalls keine Übermittlung stellt der Abruf von personenbezogenen Daten durch den Betroffenen selbst dar3. Der Empfänger muss also „Dritter“ sein; er wird nach dem Übermittlungsvorgang selbst verantwortliche Stelle bezüglich der übermittelten Daten. Zu beachten ist, dass das BDSG kein Konzernprivileg kennt, so dass auch die Weitergabe von Daten zwischen verschiedenen Konzernunternehmen eine Übermittlung i.S.d. § 3 Abs. 4 Nr. 3 darstellt. Darüber hinaus ist § 10 auch nicht auf persönliche oder familiäre Abrufsysteme anwendbar, da die Verwendung von Daten durch nicht-öffentliche Stellen zu solchen privaten Zwecken gemäß § 1 Abs. 2 Nr. 3 gar nicht erst in den Anwendungsbereich des BDSG fällt. Grundsätzlich kann die verantwortliche Stelle auch einen Auftragsdatenver- 7 arbeiter i.S.d. § 11 zur Einrichtung eines automatisierten Abrufverfahrens beauftragen. In diesem Fall bleibt sie weiter für die Einhaltung der Voraussetzungen des § 10 verantwortlich4. Das Gesetz unterscheidet in Abs. 4 zwischen dem Abruf einzelner Daten, auch 8 „Dialogverarbeitung“5, „sequenzieller Abruf“6 oder „Einzelabruf“7 genannt, und dem Abruf eines Gesamtbestands personenbezogener Daten, den der Gesetz1 Simitis/Ehmann, § 10 BDSG Rz. 8. 2 Ausführlich zum Abruf im Rahmen der Auftragsdatenverarbeitung Simitis/Ehmann, § 10 BDSG Rz. 20 ff. 3 Gola/Schomerus, § 10 BDSG Rz. 6. 4 Ebenso Engelien-Schulz, VR 2011, 1 (6). 5 Gola/Schomerus, § 10 BDSG Rz. 3. 6 Taeger/Gabel/Schultze-Melling, § 10 BDSG Rz. 6. 7 Bergmann/Möhrle/Herb, § 10 BDSG Rz. 3.

Plath

|

373

§ 10 BDSG | Allgemeine und gemeinsame Bestimmungen geber als „Stapelverarbeitung“ bezeichnet. Denkbar ist jedoch auch der Abruf mehrerer Daten aus einem Datenbestand oder auch nur von Teilen von Datensätzen1. In sämtlichen dieser Fälle ist der Anwendungsbereich der Norm eröffnet. 9 Für den Fall der Einrichtung von Abrufverfahren mit Stellen, die sich außerhalb

der Bundesrepublik Deutschland befinden, sind zusätzlich die §§ 4b und 4c zu berücksichtigen, welche die Übermittlung personenbezogener Daten ins Ausland regeln.

II. Zulässigkeit des Abrufverfahrens (Abs. 1) 10 Die Frage, ob die Einrichtung und natürlich auch die anschließende Aufrecht-

erhaltung eines automatisierten Abrufverfahrens zulässig sind, richtet sich nach Abs. 1 Satz 1. Dabei ordnet das Gesetz eine Vorabkontrolle an: Die Zulässigkeitsprüfung nach Abs. 1 Satz 1 muss vor der Einrichtung des automatisierten Abrufverfahrens erfolgen2.

11 Der Begriff „automatisiertes Abrufverfahren“ wird in Abs. 1 als ein Verfahren

zur „Übermittlung personenbezogener Daten durch Abruf“ definiert. Ein „Abruf“ liegt nur dann vor, wenn der Vorgang durch den Empfänger auf irgendeine Art und Weise initiiert wurde3. Das Verfahren ist „automatisiert“, wenn es elektronisch erfolgt, was heute der Regelfall ist4. Das häufigste automatisierte Abrufverfahren ist der Online-Abruf über eine Internetverbindung5. Unerheblich ist, ob die Daten direkt im Internet eingesehen werden können, oder ob eine automatisierte Übermittlung einzelner Daten, bspw. nach Ausfüllung eines entsprechenden Formulars, erfolgt. Voraussetzung ist lediglich, dass die abrufbaren Daten nicht i.S.d. Abs. 5 allgemein zugänglich sind.

12 Inhalt der Prüfungspflicht ist die Durchführung einer Abwägung zwischen den

schutzwürdigen Interessen des Betroffenen einerseits sowie den Interessen der beteiligten Stellen nach dem Verhältnismäßigkeitsgrundsatz andererseits. Gegenstand der Prüfung ist allein die Frage, ob die geschäftlichen bzw. aufgabenbezogenen Interessen der beteiligten Stellen es rechtfertigen, anstelle einer „klassischen“ Übermittlung durch Datenweitergabe nach § 3 Abs. 4 Nr. 3a) eine Übermittlung im Wege des automatisierten Abrufs gemäß § 3 Abs. 4 Nr. 3b) durchzuführen. Es kommt in diesem ersten Prüfungsschritt also nicht darauf an, ob der jeweilige Übermittlungsvorgang selbst verhältnismäßig ist6. 1 Vgl. Simitis/Ehmann, § 10 BDSG Rz. 16. 2 Simitis/Ehmann, § 10 BDSG Rz. 46. 3 Ebenso Bergmann/Möhrle/Herb, § 10 BDSG Rz. 3; Gola/Schomerus, § 10 BDSG Rz. 5; Simitis/Ehmann, § 10 BDSG Rz. 15; Engelien-Schulz, VR 2011, 1 (3). 4 Simitis/Ehmann, § 10 BDSG Rz. 31; Taeger/Gabel/Schultze-Melling, § 10 BDSG Rz. 6. 5 Zum Begriff „Online-Verfahren“ kritisch Simitis/Ehmann, § 10 BDSG Rz. 36. 6 Vgl. Bergmann/Möhrle/Herb, § 10 BDSG Rz. 15.

374

|

Plath

Einrichtung automatisierter Abrufverfahren | § 10 BDSG

Die Einrichtung des Abrufverfahrens ist verhältnismäßig, wenn sie geeignet, er- 13 forderlich und angemessen ist. Die Abwägung muss durch öffentliche Stellen im pflichtgemäßen Ermessen erfolgen1, und bei nicht-öffentlichen Stellen zu einem sachgerechten Interessenausgleich führen2. Grundsätzlich kann ein automatisches Abrufverfahren auch zwischen öffentlichen und nicht-öffentlichen Stellen eingerichtet werden, wobei die übermittelnde öffentliche Stelle dann die Regelungen des § 16 für die Übermittlung von Daten an nicht-öffentliche Stellen beachten muss3. Maßstab für die Beurteilung der Interessen der beteiligten Stellen wird in der 14 Regel die zu erwartende Frequenz, Dringlichkeit, und Menge sowie das mutmaßliche Volumen der Übermittlungsvorgänge sein. Je häufiger, umfassender und eiliger die Übermittlungen voraussichtlich sein werden, desto eher wird die Einrichtung eines automatischen Abrufverfahrens verhältnismäßig sein4. Ebenso von Bedeutung ist die Höhe der finanziellen Mehrbelastung, die die Durchführung eines „klassischen“ Übermittlungsverfahrens im Wege der Datenweitergabe nach § 3 Abs. 4 Nr. 3a) mit sich bringen würde. Der Grad der Schutzwürdigkeit des Betroffenen wird sich dagegen maßgeblich 15 daran bemessen, wie gefährdend die Einrichtung eines automatisierten Verfahrens für dessen Daten wäre. Dabei muss insbesondere die Sensibilität der verwendeten Daten berücksichtigt werden. Allerdings muss im Gegenzug auch beachtet werden, dass ein solcher Vorgang nicht nur Gefahren birgt. Vielmehr kann der automatisierte Abruf für den Betroffenen auch eine Erleichterung darstellen, wenn er dadurch keine weiteren Auskünfte mehr geben oder Ermittlungen in seinem Umfeld hinnehmen muss5. Ein Überwiegen der Betroffeneninteressen wird meist nur dann anzunehmen sein, wenn durch das automatische Abrufverfahren gegen gesetzliche Vorschriften, insbesondere des BDSG, verstoßen wird6. Dem Restrisiko, welches dadurch entsteht, dass eine Prüfung der Erforderlichkeit der Übermittlung im Einzelnen nicht mehr möglich ist, wird durch die Kontrollauflagen der Abs. 2 und 3 begegnet. Im Regelfall wird also ein begründetes Interesse der beteiligten Stellen an der Einrichtung eines automatischen Abrufverfahrens gegenüber den schutzwürdigen Interessen des Betroffenen überwiegen.

1 Zur Einrichtung automatischer Abrufverfahren durch öffentliche Stellen, insbesondere ausführlich zu den Ermessenserwägungen Engelien-Schulz, VR 2011, 1 (2, 3). 2 Däubler/Klebe/Wedde/Weichert/Klebe, § 10 BDSG Rz. 6. 3 Engelien-Schulz, VR 2011, 1 (3). 4 Bergmann/Möhrle/Herb, § 10 BDSG Rz. 15; Däubler/Klebe/Wedde/Weichert/Klebe, § 10 BDSG Rz. 7; Gola/Schomerus, § 10 BDSG Rz. 11. 5 Ebenso Bergmann/Möhrle/Herb, § 10 BDSG Rz. 16. 6 Taeger/Gabel/Schultze-Melling, § 10 BDSG Rz. 10; Bergmann/Möhrle/Herb, § 10 BDSG Rz. 17.

Plath

|

375

§ 10 BDSG | Allgemeine und gemeinsame Bestimmungen 16 Darüber hinaus setzt das BDSG – anders als einige Landesdatenschutzgesetze –

nicht die Erteilung einer (behördlichen) Erlaubnis oder das Bestehen einer speziellen gesetzlichen Ermächtigungsgrundlage für die Einrichtung eines automatisierten Abrufverfahrens voraus1. Eine Ausnahme von diesem Grundsatz normiert allerdings Abs. 3, sobald Sicherheitsbehörden gemäß § 19 Abs. 32 bzw. § 6 Abs. 23 beteiligt sind.

17 Abs. 1 Satz 2 verdeutlicht die Entscheidung des Gesetzgebers für ein zweistufi-

ges Verfahren der Zulässigkeitsprüfung. Die Zulässigkeit der zweiten Stufe, also des Übermittlungsvorgangs selbst, richtet sich somit nach den allgemeinen Zulässigkeitsvorschriften, insbesondere § 4 Abs. 1.

III. Gewährleistung von Kontrollmöglichkeiten (Abs. 2) 18 Die beteiligten Stellen sind gemäß Abs. 1 nach Durchführung der gebotenen Ab-

wägung frei in ihrer Entscheidung, ob sie ein automatisches Abrufverfahren einrichten wollen. Entscheiden sie sich dafür, so müssen sie jedoch nach Abs. 2 Satz 1 die Durchführung einer Zulässigkeitskontrolle durch die jeweils zuständige Kontroll- oder Aufsichtsbehörde gewährleisten können. Um also eine nachträgliche Überprüfung der Entscheidung nach Abs. 1 zu ermöglichen, verpflichtet der Gesetzgeber alle beteiligten Stellen dazu, bestimmte Punkte schriftlich festzulegen:

19 Nr. 1: Die verantwortliche Stelle muss Anlass und Zweck des Abrufverfahrens

festhalten. Damit ist im Ergebnis die Dokumentation derjenigen aufgaben- und geschäftsbezogenen Interessen der beteiligten Stelle gemeint, durch die im Rahmen der Abwägung nach Abs. 1 die Einrichtung des Verfahrens begründet wurde4. Ebenfalls muss die verantwortliche Stelle festhalten, warum mit einer Zulässigkeit der einzelnen Abfragen zu rechnen ist5. Insgesamt sollte die Entscheidung für die Einrichtung des automatisierten Abrufverfahrens für Außenstehende nachvollziehbar sein.

20 Nr. 2: Des Weiteren muss der „Dritte, an den übermittelt wurde“, also der Emp-

fänger der Daten, schriftlich festgehalten werden. Die Angabe einer Empfänger-

1 Bergmann/Möhrle/Herb, § 10 BDSG Rz. 8; Däubler/Klebe/Wedde/Weichert/Klebe, § 10 BDSG Rz. 6. 2 Dies sind Verfassungsschutzbehörden, Bundesnachrichtendienst, Militärischer Abschirmdienst und, soweit die Sicherheit des Bundes berührt wird, andere Behörden des Bundesministeriums der Verteidigung. 3 Dies sind Staatsanwaltschaft und Polizei sowie öffentliche Stellen der Finanzverwaltung, soweit sie personenbezogene Daten in Erfüllung ihrer gesetzlichen Aufgaben im Anwendungsbereich der Abgabenordnung zur Überwachung und Prüfung speichern. 4 Ebenso Däubler/Klebe/Wedde/Weichert/Klebe, § 10 BDSG Rz. 12. 5 Bergmann/Möhrle/Herb, § 10 BDSG Rz. 22.

376

|

Plath

Einrichtung automatisierter Abrufverfahren | § 10 BDSG

kategorie, z.B. Auskunfteien, ist dabei nicht ausreichend. Vielmehr hat eine möglichst genaue Bezeichnung der Empfänger zu erfolgen1. Eine Ausnahme von diesem Grundsatz ist lediglich dann denkbar, wenn der Abruf ausschließlich und flächendeckend durch eine bestimmte Empfängerkategorie erfolgen wird2. Nr. 3: Darüber hinaus muss dokumentiert werden, welche Art von Daten durch 21 das Abrufverfahren übermittelt werden sollen. Auch hier wird eine genaue Kategoriebezeichnung (z.B. „Name“, „Anschrift“, „Beruf“, „Familienstand“ usw.) erfolgen müssen. Darüber hinaus muss auch festgehalten werden, ob es sich bei den verwendeten Daten um „besondere Arten personenbezogener Daten“ gemäß § 3 Abs. 6, sog. sensible Daten, handelt3. Nr. 4: Schließlich müssen die beteiligten Stellen auch festhalten, welche tech- 22 nischen und organisatorischen Maßnahmen sie zur Gewährleistung der Datensicherheit gemäß § 9 getroffen haben. Auch Abs. 2 betrifft nach der hier vertretenen Ansicht nur die Einrichtung des 23 Abrufverfahrens und dient demnach nicht der Gewährleistung einer Kontrolle der einzelnen Übermittlungsvorgänge4. Die korrekte Dokumentation nach Abs. 2 ist konstitutive Voraussetzung für die Zulässigkeit der Einrichtung automatisierter Abrufverfahren5. Entsprechend sinnvoll ist es, die schriftliche Festlegung sorgsam, ausführlich und genau vorzunehmen. Die schriftliche Dokumentation muss vor der tatsächlichen Inbetriebnahme 24 des Abrufverfahrens erfolgen6. Die Auflistung des Abs. 2 Satz 2 ist nach einhelliger Ansicht abschließend. Richtschnur für das tatsächliche Ausmaß und die Genauigkeit der Dokumentationspflicht muss allerdings stets die Möglichkeit einer effektiven Kontrolle sein7. Die Dokumentation hat grundsätzlich durch die beteiligten verantwortlichen 25 Stellen, also sowohl durch den Übermittler als auch durch den Empfänger der Daten, zu erfolgen. Eine Ausnahme hiervon normiert Abs. 2 Satz 3, wonach die Festlegungen auch durch die Fachaufsichtsbehörden erfolgen können, soweit ausschließlich öffentliche Stellen des Bundes am Abrufverfahren beteiligt sind8.

1 Däubler/Klebe/Wedde/Weichert/Klebe, § 10 BDSG Rz. 13; Taeger/Gabel/Schultze-Melling, § 10 BDSG Rz. 15. 2 Bergmann/Möhrle/Herb, § 10 BDSG Rz. 22. 3 So Taeger/Gabel/Schultze-Melling, § 10 BDSG Rz. 15. 4 A.A. Taeger/Gabel/Schultze-Melling, § 10 BDSG Rz. 13. 5 OLG Stuttgart v. 26.8.2002 – 1 Ss 230/02, NJW 2004, 83 (84); Däubler/Klebe/Wedde/ Weichert/Klebe, § 10 BDSG Rz. 11. 6 Taeger/Gabel/Schultze-Melling, § 10 BDSG Rz. 13; Bergmann/Möhrle/Herb, § 10 BDSG Rz. 20. 7 So im Ergebnis wohl auch Taeger/Gabel/Schultze-Melling, § 10 BDSG Rz. 17. 8 Vgl. Bergmann/Möhrle/Herb, § 10 BDSG Rz. 21.

Plath

|

377

§ 10 BDSG | Allgemeine und gemeinsame Bestimmungen IV. Unterrichtung bei Beteiligung öffentlicher Stellen (Abs. 3) 26 Sobald öffentliche Stellen des Bundes gemäß § 12 Abs. 1 an der Einrichtung des

automatisierten Abrufverfahrens beteiligt sind, muss die oder der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) hierüber informiert werden, Abs. 3 Satz 1. Dabei sind ihr oder ihm auch die Festlegungen nach Abs. 2 mitzuteilen. Die Unterrichtung ist allerdings keine Zulässigkeitsvoraussetzung.

27 Noch weiter gehen die Anforderungen, sobald Sicherheitsbehörden gemäß § 19

Abs. 3 (Verfassungsschutz, BND, Militärischer Abschirmdienst und u.U. andere Behörden des Bundesministeriums der Verteidigung) oder § 6 Abs. 2 (Staatsanwaltschaft, Polizei und u.U. öffentliche Stellen der Finanzverwaltung) am automatischen Abrufverfahren beteiligt sind: Als Ausnahme zu dem Grundsatz, wonach die beteiligten Stellen eigenverantwortliche über die Einrichtung eines automatisierten Abrufverfahrens entscheiden können, muss in diesen Fällen das zuständige Bundes- oder Landesministerium vorab seine Zustimmung erteilen1.

V. Verantwortlichkeit (Abs. 4) 28 Gemäß Abs. 4 Satz 1 trägt bei automatisierten Abrufverfahren der Empfänger

die Verantwortung dafür, dass die jeweilige Übermittlung gemäß § 4 zulässig ist. Dadurch wird dem Umstand Rechnung getragen, dass der Übermittler bei automatisierten Verfahren keine oder nur eingeschränkte Möglichkeiten hat, für die datenschutzrechtliche Rechtmäßigkeit des einzelnen Übermittlungsvorgangs zu sorgen.

29 Die übermittelnde Stelle2 trifft jedoch gemäß Abs. 4 Satz 2 die Pflicht, die Zu-

lässigkeit eines Abrufs zu überprüfen, sobald hierfür ein konkreter Anlass besteht (sog. Anlassprüfung)3. Darüber hinaus muss sie gemäß Abs. 4 Satz 3 als Mindestkontrollstandard ein Stichprobenverfahren einführen, das dazu geeignet ist, die Rechtmäßigkeit von Übermittlungen im Nachhinein zu überprüfen4. Als die diesbezüglich sinnvollste Methode wird teilweise eine Protokollierung des Abrufenden, des Zeitpunkts und der abgerufenen Daten bei einer Stichprobenquote von 5–10 % aller Abrufungsvorgänge angesehen5. Nach der hier vertretenen Ansicht ist diese Quote in ihrer Pauschalität jedoch deutlich zu hoch

1 Ausführlich hierzu Engelien-Schulz, VR 2011, 1 (4). 2 In dem Wortlaut der Norm „speichernde Stelle“ ist ein Redaktionsfehler des Gesetzgebers zu sehen; so auch Heinemann, ZD 2014, 291. 3 Bergmann/Möhrle/Herb, § 10 BDSG Rz. 35. 4 Umfassend zum Stichprobenverfahren Heinemann, ZD 2014, 291 (293). 5 Ausführlich hierzu Bergmann/Möhrle/Herb, § 10 BDSG Rz. 37; Däubler/Klebe/Wedde/ Weichert/Klebe, § 10 BDSG Rz. 17.

378

|

Plath

Einrichtung automatisierter Abrufverfahren | § 10 BDSG

angesetzt. Richtigerweise ist die Festlegung der Kontrollquote stattdessen eine Frage der Einzelfallbeurteilung1. Vor diesem Hintergrund wird man z.B. im Bereich von Auskunfteien oder bei Versandhändlern eine Quote im Promille-Bereich als ausreichend ansehen müssen. Eine Besonderheit bei der Zulässigkeitsüberprüfung normiert Abs. 4 Satz 4 für 30 die sog. Stapelverarbeitung (batch processing). Bei diesem Verfahren erfolgt keine Verarbeitung der einzelnen Daten im Rahmen des Abrufs, sondern es wird eine Datengesamtheit als „Stapel“ an den Empfänger übermittelt und erst dann und dort ausgewertet bzw. verarbeitet. Im Falle einer solchen Stapelverarbeitung muss lediglich die Zulässigkeit der Übermittlung des Gesamtbestandes feststellbar und überprüfbar sein. Eine Überprüfung aller einzelnen Daten ist weder möglich noch notwendig2. Zu beachten ist auch hier, dass Abs. 4 keine Aussage dazu trifft, ob eine Stapelverarbeitung überhaupt zulässig ist, sondern nur, wie die Überprüfung der Zulässigkeit zu erfolgen hat.

VI. Allgemein zugängliche Daten (Abs. 5) Abs. 5 nimmt allgemein zugängliche (personenbezogene) Daten vom Anwen- 31 dungsbereich der Abs. 1–4 aus. Der Grund hierfür ist, dass die Regelung des § 10 der Gefahr eines missbräuchlichen Abrufs durch die Einrichtung automatischer Abrufverfahren begegnen will. Ein solcher ist bei Daten, die ohnehin durch jedermann eingesehen werden können, jedoch gar nicht erst möglich3. Der Begriff der „allgemein zugänglichen Daten“ ist genauso auszulegen wie im 32 Rahmen des § 28 Abs. 1 Satz 1 Nr. 3, so dass auf die diesbezüglichen Ausführungen verwiesen werden kann (vgl. Komm. zu § 28 BDSG Rz. 75 ff.). Abs. 5 Satz 2 stellt darüber hinaus klar, dass Daten auch dann allgemein zugänglich sind, wenn sie von jedermann nach vorheriger Anmeldung, Zulassung oder Entgeltzahlung eingesehen werden können. Zugangshindernisse sind also unerheblich, sobald sie von jedermann ohne Weiteres überwunden werden können. Die Ausnahme des Abs. 5 betrifft insbesondere öffentlich zugängliche Datenbanken und Register wie z.B. das Vereinsregister und das Handelsregister (ausführlich hierzu Komm. zu § 28 BDSG Rz. 75).

1 Heinemann, ZD 2014, 291 (294). 2 Ausführlich hierzu Simitis/Ehmann, § 10 BDSG Rz. 117. 3 Simitis/Ehmann, § 10 BDSG Rz. 121; Engelien-Schulz, VR 2011, 1 (6 ff.).

Plath

|

379

§ 11 BDSG | Allgemeine und gemeinsame Bestimmungen

§ 11 Erhebung, Verarbeitung oder Nutzung personenbezogener Daten im Auftrag (1) 1Werden personenbezogene Daten im Auftrag durch andere Stellen erhoben, verarbeitet oder genutzt, ist der Auftraggeber für die Einhaltung der Vorschriften dieses Gesetzes und anderer Vorschriften über den Datenschutz verantwortlich. 2Die in den §§ 6, 7 und 8 genannten Rechte sind ihm gegenüber geltend zu machen. (2) 1Der Auftragnehmer ist unter besonderer Berücksichtigung der Eignung der von ihm getroffenen technischen und organisatorischen Maßnahmen sorgfältig auszuwählen. 2Der Auftrag ist schriftlich zu erteilen, wobei insbesondere im Einzelnen festzulegen sind: 1. der Gegenstand und die Dauer des Auftrags, 2. der Umfang, die Art und der Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung von Daten, die Art der Daten und der Kreis der Betroffenen, 3. die nach § 9 zu treffenden technischen und organisatorischen Maßnahmen, 4. die Berichtigung, Löschung und Sperrung von Daten, 5. die nach Absatz 4 bestehenden Pflichten des Auftragnehmers, insbesondere die von ihm vorzunehmenden Kontrollen, 6. die etwaige Berechtigung zur Begründung von Unterauftragsverhältnissen, 7. die Kontrollrechte des Auftraggebers und die entsprechenden Duldungsund Mitwirkungspflichten des Auftragnehmers, 8. mitzuteilende Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen Vorschriften zum Schutz personenbezogener Daten oder gegen die im Auftrag getroffenen Festlegungen, 9. der Umfang der Weisungsbefugnisse, die sich der Auftraggeber gegenüber dem Auftragnehmer vorbehält, 10. die Rückgabe überlassener Datenträger und die Löschung beim Auftragnehmer gespeicherter Daten nach Beendigung des Auftrags. 3Er kann bei öffentlichen Stellen auch durch die Fachaufsichtsbehörde erteilt werden. 4Der Auftraggeber hat sich vor Beginn der Datenverarbeitung und sodann regelmäßig von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zu überzeugen. 5Das Ergebnis ist zu dokumentieren. (3) 1Der Auftragnehmer darf die Daten nur im Rahmen der Weisungen des Auftraggebers erheben, verarbeiten oder nutzen. 2Ist er der Ansicht, dass 380

|

Plath

Erhebung, Verarbeitung oder Nutzung im Auftrag | § 11 BDSG

eine Weisung des Auftraggebers gegen dieses Gesetz oder andere Vorschriften über den Datenschutz verstößt, hat er den Auftraggeber unverzüglich darauf hinzuweisen. (4) Für den Auftragnehmer gelten neben den §§ 5, 9, 43 Abs. 1 Nr. 2, 10 und 11, Abs. 2 Nr. 1 bis 3 und Abs. 3 sowie § 44 nur die Vorschriften über die Datenschutzkontrolle oder die Aufsicht, und zwar für 1. a) öffentliche Stellen, b) nicht-öffentliche Stellen, bei denen der öffentlichen Hand die Mehrheit der Anteile gehört oder die Mehrheit der Stimmen zusteht und der Auftraggeber eine öffentliche Stelle ist, die §§ 18, 24 bis 26 oder die entsprechenden Vorschriften der Datenschutzgesetze der Länder, 2. die übrigen nicht-öffentlichen Stellen, soweit sie personenbezogene Daten im Auftrag als Dienstleistungsunternehmen geschäftsmäßig erheben, verarbeiten oder nutzen, die §§ 4f, 4g und 38. (5) Die Absätze 1 bis 4 gelten entsprechend, wenn die Prüfung oder Wartung automatisierter Verfahren oder von Datenverarbeitungsanlagen durch andere Stellen im Auftrag vorgenommen wird und dabei ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann. I. II. 1. 2.

3. 4. III. 1. 2. 3. 4.

Einführung . . . . . . . . . . . . . . Anwendungsbereich Sachlicher Anwendungsbereich Territorialer Anwendungsbereich . . . . . . . . . . . . . . . . . a) Auftragnehmer im Ausland b) Auftraggeber im Ausland . . Zeitlicher Anwendungsbereich . . . . . . . . . . . . . . . . . Verhältnis zu den Erlaubnisnormen des BDSG . . . . . . . . . Auftragsverhältnis Begriff des „Auftrags“ (Abs. 1 Satz 1) . . . . . . . . . . . . Eigeninteresse des Auftragnehmers . . . . . . . . . . . Doppelfunktion des Auftragnehmers . . . . . . . . . . . Funktionsübertragung . . . . . . . a) Call Center . . . . . . . . . . . . b) Marktforschungsinstitute . . c) Letter-Shops . . . . . . . . . . . d) Outsourcing/Inkasso . . . . .

1 7 10 11 16 19 20

21 24 25 27 31 32 33 35

IV. Verantwortlichkeitsverteilung im Rahmen des Auftragsverhältnisses (Abs. 1 Satz 1) . . . . V. Fallgruppen 1. Konzerne . . . . . . . . . . . . . . . . 2. Cloud Computing . . . . . . . . . . a) Rechtsnatur des Cloud Computings . . . . . . . . . . . . b) Auslandsbezug beim Cloud Computing . . . . . . . . . . . . c) Kontrollpflichten und Weisungsgebundenheit beim Cloud Computing . . . . . . . d) Unterauftragsverhältnisse beim Cloud Computing . . . 3. Banken . . . . . . . . . . . . . . . . . a) Vereinbarkeit mit dem KWG . . . . . . . . . . . . . . . . b) Vereinbarkeit mit dem StGB 4. Versicherungen und Verrechnungsstellen . . . . . . . . 5. Berufliche Geheimnisträger . . . 6. Beschäftigungsverhältnisse . . .

Plath

|

39 42 46 49 51 55 57 59 63 67 72 78 86

381

§ 11 BDSG | Allgemeine und gemeinsame Bestimmungen VI. Auswahl des Auftragnehmers (Abs. 2 Satz 1) . . . . . . . . . . . . VII. Beauftragung des Auftragnehmers (Abs. 2 Satz 2) . . . . . . . . VIII. Inhalt des Auftragsdatenverarbeitungsvertrages (Abs. 2 Satz 2) . . . . . . . . . . . . 1. Gegenstand und Dauer des Auftrags (Nr. 1) . . . . . . . . . . . 2. Umfang, Art und Zweck der Verwendung, Art der Daten und Kreis der Betroffenen (Nr. 2) . . . . . . . . . . . . . . . . . . 3. Technische und organisatorische Maßnahmen (Nr. 3) . . . 4. Berichtigung, Löschung und Sperrung (Nr. 4) . . . . . . . . . . . 5. Spezifische Pflichten des Auftragnehmers (Nr. 5) . . . . . . 6. Unterauftragsverhältnisse (Nr. 6) a) Deckungsgleiche Pflichten für Unterauftragnehmer . . . b) Unterauftragnehmer im Ausland . . . . . . . . . . . . . . .

90 95 98 99

101 102 103 104 105 106

7. Kontrollrechte des Auftraggebers (Nr. 7) . . . . . . . . . . . . . 8. Mitteilungspflichten bei Verstößen (Nr. 8) . . . . . . . . . . 9. Weisungsbefugnisse des Auftraggebers (Nr. 9) . . . . . . . 10. Pflichten bei Beendigung des Auftrags (Nr. 10) . . . . . . . . . . IX. Kontrolle des Auftragnehmers (Abs. 2 Satz 4) . . . . . . . . . . . . X. Durchführung des Auftrags (Abs. 3) 1. Weisungsgebundenheit des Auftragnehmers (Abs. 3 Satz 1) 2. Hinweispflicht des Auftragnehmers (Abs. 3 Satz 2) . . . . . . . . 3. Gesetzliche Pflichten des Auftragnehmers (Abs. 4) . . . . . XI. Prüfung und Wartung von Datenverarbeitungsanlagen (Abs. 5) . . . . . . . . . . . . . . . . . XII. Rechtsfolgen/Sanktionen . . . .

108 109 110 111 112

115 116 118 121 125

107

Schrifttum: Becker/Nikolaeva, Das Dilemma der Cloud-Anbieter zwischen US Patriot Act und BDSG, CR 2012, 170; Bierekoven, Auftragsdatenverarbeitung in der Cloud, DGRI Handbuch 2010, 95; Bongen/Kremer, Probleme der Abwicklung ärztlicher Privatliquidationen durch externe Verrechnungsstellen, NJW 1990, 2911; Bräutigam, § 203 StGB und der funktionale Unternehmensbegriff, CR 2011, 411; Conrad/Fechtner, IT-Outsourcing durch Anwaltskanzleien nach der Inkasso-Entscheidung des EuGH und dem BGH, Urteil vom 7.2.2013, CR 2013, 137; Conrad/Schneider, Einsatz von „privater IT“ im Unternehmen, ZD 2011, 153; Engels, Datenschutz in der Cloud – Ist hierbei immer eine Auftragsdatenverarbeitung anzunehmen?, K&R 2011, 548; Erd, Datenschutzrechtliche Probleme sozialer Netzwerke, NVwZ 2011, 19; Fisahn, Bankgeheimnis und informationelle Selbstbestimmung, CR 1995, 632; Freise, Erfahrungen mit der Umsetzung des neuen § 11 BDSG nach einem Jahr in: Taeger (Hrsg.), Digitale Evolution – Herausforderungen für das Informations- und Medienrecht, Tagungsband Herbstakademie 2010, Edewecht (OlWIR) 2010 S. 161; Gaul/Koehler, Mitarbeiterdaten in der Computer Cloud: Datenschutzrechtliche Grenzen des Outsourcings, BB 2011, 2229; Giesen, Zum Begriff des Offenbarens nach § 203 StGB im Falle der Einschaltung privatärztlicher Verrechnungsstellen, NStZ 2012, 122. Grapentin, Haftung und anwendbares Recht im internationalen Datenverkehr – EUStandardvertragsklauseln und Binding Corporate Rules, CR 2011, 102; Heghmanns/Niehaus, Outsourcing im Versicherungswesen und der Gehilfenbegriff des § 203 III 2 StGB, NStZ 2008, 57; Heidrich/Wegener, Sichere Datenwolke – Cloud Computing und Datenschutz, MMR 2010, 803; Heinrichs, Funktionsauslagerung (Outsourcing) bei Kreditinstituten, WM 2000, 1561; Hoenik/Hülsunk, Outsourcing im Versicherungs- und Gesundheits-

382

|

Plath

Erhebung, Verarbeitung oder Nutzung im Auftrag | § 11 BDSG wesen ohne Einwilligung? MMR 2004, 788; Jahn/Palm, Outsourcing in der Kanzlei: Verletzung von Privatgeheimnissen?, AnwBl 2011, 613; Jandt/Roßnagel/Wilke, Outsourcing der Verarbeitung von Patientendaten – Fragen des Daten- und Geheimnisschutzes, NZS 2011, 641; Kort, Strafbarkeitsrisiken des Datenschutzbeauftragten nach § 203 StGB beim IT-Outsourcing, insbesondere in datenschutzrechtlich „sichere“ Drittstaaten, NStZ 2011, 193; Kühling/Biendl, Datenschutzrecht – Basis und Bremse des Cloud Computing, CR 2014, 150; Lensdorf, Auftragsdatenverarbeitung in der EU/EWR und Unterauftragsdatenverarbeitung in Drittländern, CR 2010, 735; Lensdorf/Steger, IT-Compliance im Unternehmen, ITRB 2006, 206; Meyer/Steding, Outsourcing von Bankdienstleistungen: Bank- und datenschutzrechtliche Probleme der Aufgabenverlagerung von Kreditinstituten auf Tochtergesellschaften und sonstige Dritte, BB 2001, 1693; Moos, Die Entwicklung des Datenschutzrechts im Jahr 2010, K&R 2011, 145; Nägele/Jacobs, Rechtsfragen des Cloud Computings, ZUM 2010, 281; Neumann, Vorgaben des europäischen Datenschutzrechts für die Abtretung von Telekommunikationsentgeltforderungen, CR 2013, 21; Niemann/Hennrich, Kontrolle in den Wolken?, CR 2010, 686; Otto, Strafrechtliche Konsequenzen aus der Ermöglichung der Kenntnisnahme von Bankgeheimnissen in einem öffentlich-rechtlichen Kreditinstitut durch Wartungs- und Servicepersonal eines Computer-Netzwerks, Wistra 1999, 201; Pohle/Ammann, Über den Wolken … – Chancen und Risiken des Cloud Computings; Redeker, Datenschutz auch bei Anwälte – aber gegenüber Datenschutzkontrollinstanzen gilt das Berufsgeheimnis, NJW 2209, 554; Rüpke, Das Anwaltsgeheimnis auf dem Prüfstand des Strafrechts – ein quasi-datenschutzrechtliches Missverständnis zu § 203 StGB?, NJW 2002, 2835; Scholz/Lutz, Standardvertragsklauseln für Auftragsverarbeiter und § 11 BDSG, CR 2011, 424; Schulz, Die (un-)Zulässigkeit von Datenübertragungen innerhalb verbundener Unternehmen, BB 2011, 2552; Schuster/Reichl, Cloud Computing & SaaS: Was sind die wirklich neuen Fragen? CR 2010, 38; Splittgerber/Rockstroh, Sicher durch die Cloud navigieren – Vertragsgestaltung beim Cloud Computing, BB 2011, 2179; Wanagas, Ein Jahr BDSG-Novelle II – Rückblick unter besonderer Berücksichtigung der Fragen der Auftragsdatenverarbeitung und der Informationspflichten, DStR 2010, 1908; Weber/Voigt, Internationale Auftragsdatenverarbeitung, ZD 2011, 74; Weichert, Datenschutz auch bei Anwälten?, NJW 2009, 550; Witzel, Organisatorische Pflichten beim Outsourcing im Bankenbereich – Die Besonderheiten von § 25a KWG im Überblick, ITRB 2006, 286.

I. Einführung Die Regelung des § 11 ermöglicht es der verantwortlichen Stelle, Dritte mit der 1 Erhebung, Verarbeitung und Nutzung personenbezogener Daten zu betreuen, ohne dass es dazu einer gesetzlichen Erlaubnis oder einer Einwilligung der Betroffenen bedarf. Praktische Relevanz entfaltet die Regelung u.a. im Bereich des Hostings von Daten durch externe Dienstleister (insbesondere beim Cloud Computing), im Bereich des Outsourcings (z.B. von IT-Systemen oder Geschäftsprozessen) sowie in allen sonstigen Fällen, in denen Dienstleister durch die verantwortliche Stelle damit beauftragt werden, personenbezogene Daten weisungsgebunden für diese zu verarbeiten. Die Konstruktion der Auftragsdatenverarbeitung basiert auf dem gesetzlichen 2 Kunstgriff des § 3 Abs. 8 Satz 3. Danach sind Personen und Stellen, die im Plath

|

383

§ 11 BDSG | Allgemeine und gemeinsame Bestimmungen räumlichen Anwendungsbereich der Norm als Auftragsdatenverarbeiter tätig sind, keine „Dritten“ i.S.d. BDSG. Daraus folgt, dass die Übertragung der Daten an einen solchen Auftragnehmer keine „Übermittlung“ i.S.d. BDSG darstellt mit der Konsequenz, dass die Übertragung der Daten sowie deren Verarbeitung und Nutzung durch den Auftragnehmer auch ohne Einwilligung oder gesetzliche Erlaubnis zulässig sind1. Damit handelt es sich bei der Regelung des § 11 auch nicht um einen Erlaubnistatbestand i.S.d. § 4 Abs. 1. Der Gesetzgeber betrachtet den Auftragnehmer im Falle der Auftragsdatenverarbeitung vielmehr als „verlängerten Arm“ des Auftraggebers und beide Parteien damit quasi als eine Einheit2. 3 Bei der Auftragsdatenverarbeitung bleibt der Auftraggeber als verantwortliche

Stelle für die Einhaltung der datenschutzrechtlichen Bestimmungen verantwortlich (Abs. 1 Satz 1). Er kann sich also nicht durch Einschaltung eines Dienstleisters von dieser Pflicht befreien3. Allerdings eröffnet ihm die Regelung des § 11 die Möglichkeit zur Einschaltung externer Dienstleister, die ihm ansonsten nach dem BDSG u.U. verwehrt wäre, weil es an einer Einwilligung fehlt und die gesetzlichen Erlaubnistatbestände im Einzelfall nicht eingreifen (vgl. § 4 Abs. 1).

4 Dieses „Privileg“ der Auftragsdatenverarbeitung hat allerdings auch seine Kehr-

seite. Denn das BDSG verpflichtet den Auftraggeber nicht nur zur sorgfältigen Auswahl und Überwachung des Auftragnehmers, sondern auch zur Einhaltung umfangreicher Mindestanforderungen bei der inhaltlichen Ausgestaltung des Auftragsdatenverarbeitungsvertrages (vgl. den sog. 10-Punkte-Katalog des Abs. 2 Satz 2 Nr. 1–10). Über diese Verpflichtung soll nach der gesetzgeberischen Intention sichergestellt werden, dass die für den Auftraggeber geltenden Anforderungen auch bei der Einschaltung externer Dienstleister gewahrt werden4. Es hat sich jedoch gezeigt, dass diese Anforderungen viele Unternehmen in der Praxis überfordern. Während es etwa im Rahmen eines komplexen ITOutsourcings selbstverständlich sein dürfte, dass die von dem Dienstleister zu erfüllenden Sicherheitsstandards detailliert geregelt werden, finden sich in der Praxis diverse Konstellationen, bei denen administrativer Aufwand und Ertrag in keinem angemessenen Verhältnis stehen. Wenn sich zwei Unternehmen z.B. im Bereich der Werbewirtschaft ad hoc oder testweise zu einer Kooperation zusammenfinden wollen, die eine Datenverarbeitung im Auftrag beinhaltet, sind sie gezwungen, den 10-Punkte-Katalog des Abs. 2 vollständig abzuarbeiten, vertraglich im Detail auszuformulieren und die Einhaltung dieser Anforderungen vor Beginn der Datenverarbeitung und danach regelmäßig zu kontrollieren und 1 Ähnlich Taeger/Gabel/Gabel, § 11 BDSG Rz. 3; Gola/Schomerus, § 11 BDSG Rz. 4; Bergmann/Möhrle/Herb, § 11 BDSG Rz. 3; Simitis/Petri, § 11 BDSG Rz. 43; vgl. auch Scholz/ Lutz, CR 2011, 424 (425). 2 Bergmann/Möhrle/Herb, § 11 BDSG Rz. 16. 3 Taeger/Gabel/Gabel, § 11 BDSG Rz. 3; Simitis/Petri, § 11 BDSG Rz. 48. 4 Taeger/Gabel/Gabel, § 11 BDSG Rz. 1.

384

|

Plath

Erhebung, Verarbeitung oder Nutzung im Auftrag | § 11 BDSG

zu dokumentieren (vgl. Abs. 2 Satz 4 und 5). Bei Aufträgen mit geringem Volumen, die in der Praxis häufig allein auf Zuruf erfolgen, ist der Gesetzesverstoß damit bereits vorprogrammiert, denn nur wenige dieser Verträge dürften den strengen gesetzlichen Vorgaben genügen. Bei derartigen Konstellationen ist daher zu überlegen, ob die Zusammenarbeit nicht alternativ auf die Regelung des § 28 oder einen sonstigen Erlaubnistatbestand des BDSG gestützt werden kann, um den Anforderungen des § 11 und dem damit verbundenen administrativen Aufwand zu entgehen. Ein vergleichbares Phänomen zeigt sich im Bereich des Cloud Computings (s. 5 Rz. 55). Auch hier stößt die Regelung des § 11 an ihre praktischen Grenzen, wenn der Auftraggeber z.B. verpflichtet sein soll, sich vor Ort – wie teilweise gefordert wird – von der Einhaltung der organisatorischen und technischen Maßnahmen bei einem international agierenden Anbieter entsprechender Cloud Services zu überzeugen. Im Ergebnis ist in diesem Bereich der Gesetzgeber gefordert. Er hat Regelungen 6 bereitzustellen, welche die Interessen der Wirtschaft einerseits und der Betroffenen andererseits in einen angemessenen und vor allem der technischen Entwicklung entsprechenden Ausgleich bringen. Im Anwendungsbereich der DSGVO wird die Konstruktion der Auftragsdatenverarbeitung in vergleichbarer, jedoch im Detail abweichender Form weiter aufrechterhalten und ist dort in Art. 28 DSGVO geregelt.

II. Anwendungsbereich 1. Sachlicher Anwendungsbereich Die Regelung des § 11 gilt sowohl für den öffentlichen wie auch für den nicht- 7 öffentlichen Bereich1. Die Anforderungen des § 11 gelten nicht, wenn die zu verarbeitenden Daten 8 keine personenbezogenen Daten i.S.d. § 3 Abs. 1 darstellen. In diesem Fall findet das BDSG schon keine Anwendung (vgl. § 1 Abs. 1). Allerdings kann es in Zweifelsfällen, z.B. wenn IP-Adressen verarbeitet werden (zur Rechtsnatur von IP-Adressen vgl. Komm. zu § 3 BDSG Rz. 20) angezeigt sein, den Vertrag vorsorglich im Einklang mit den Vorgaben des § 11 auszugestalten, um Bußgelder und weitere negative Konsequenzen zu vermeiden. Die Regelungen des § 11 sind darüber hinaus auch dann nicht einschlägig, wenn 9 zwar personenbezogene Daten vorliegen, der Auftragnehmer jedoch keine Erhebung, Verarbeitung oder Nutzung dieser Daten vornimmt. Dies ist z.B. beim sog. „Server-Housing“ der Fall, also dem Fall, dass der verantwortlichen Stelle 1 So auch Gola/Schomerus, § 11 BDSG Rz. 2.

Plath

|

385

§ 11 BDSG | Allgemeine und gemeinsame Bestimmungen von dem „Auftragnehmer“ lediglich eine reine Rechenzentrumsfläche zur Verfügung gestellt wird, innerhalb derer sie ihre Server selbst betreibt und auf diesen die personenbezogenen Daten selbst verarbeitet1. 2. Territorialer Anwendungsbereich 10 In territorialer Hinsicht ist zu unterscheiden zwischen der Konstellation, bei der

ein deutscher Auftraggeber seine Daten durch einen im Ausland ansässigen Auftragsdatenverarbeiter verarbeiten lässt, und der Konstellation, bei der der Auftraggeber selbst seinen Sitz im Ausland hat und sich eines deutschen Auftragnehmers bedient. a) Auftragnehmer im Ausland

11 Soweit ein Auftragnehmer im Ausland von einem deutschen Auftraggeber im

Wege der Auftragsdatenverarbeitung beauftragt werden soll, gilt folgende Unterscheidung (zu Unterauftragsverhältnissen zwischen dem Auftragnehmer und einem weiteren Unterauftragnehmer s. Rz. 105 ff.):

12 Erfolgt die Datenverarbeitung im Geltungsbereich der EG-Datenschutzricht-

linie, also in einem anderen Mitgliedstaat der EU oder einem anderen Vertragsstaat des EWR, ist eine Auftragsdatenverarbeitung nach Maßgabe des § 11 möglich, da in diesem Fall der Auftragnehmer als „Nicht-Dritter“ angesehen werden kann (vgl. § 3 Abs. 8)2.

13 Erfolgt die Datenverarbeitung hingegen in einem Drittstaat außerhalb der ge-

nannten Gebiete, findet § 11 grundsätzlich keine Anwendung3. Dies ergibt sich im Umkehrschluss aus § 3 Abs. 8, wonach Stellen außerhalb der EU bzw. des EWR grundsätzlich als „Dritte“ anzusehen sind4. Damit wird durch § 3 Abs. 8 die Auftragsdatenverarbeitung nur für die genannten Gebiete privilegiert. Eine Übertragung von Daten an Unternehmen in außereuropäische Drittstaaten stellt dagegen grundsätzlich eine Übermittlung dar und ist demnach nur im Rahmen der allgemeinen Erlaubnistatbestände möglich. Wegen der Einzelheiten wird auf die Komm. zu § 4b BDSG Rz. 16 verwiesen. Unter Umständen kann jedoch eine Berücksichtigung der Kriterien des § 11 für die Zulässigkeit einer Übermittlung nach § 28 ausschlaggebend sein5. D.h. für die Praxis ist es grundsätzlich zu empfehlen, Verträge mit Auftragnehmern in Drittstaaten dem Anforderungskatalog 1 So im Ergebnis auch Gola/Schomerus, § 11 BDSG Rz. 8; Simitis/Petri, § 11 BDSG Rz. 33. 2 So auch Gola/Schomerus, § 11 BDSG Rz. 16; Bergmann/Möhrle/Herb, § 11 BDSG Rz. 14; Weber/Voigt, ZD 2011, 74, 75. 3 Taeger/Gabel/Gabel, § 11 BDSG Rz. 25; Bergmann/Möhrle/Herb, § 11 BDSG Rz. 15; Simitis/Petri, § 11 BDSG Rz. 8. 4 Scholz/Lutz, CR 2011, 424 (425). 5 Vgl. auch Gola/Schomerus, § 11 BDSG Rz. 16.

386

|

Plath

Erhebung, Verarbeitung oder Nutzung im Auftrag | § 11 BDSG

des § 11 entsprechend auszugestalten, um auf diese Weise die Argumente für die Zulässigkeit des Übermittlungsvorgangs zu stärken. Fraglich ist allerdings, ob in analoger Anwendung des § 3 Abs. 8 eine Daten- 14 verarbeitung im nicht-europäischen Ausland ausnahmsweise gleichwohl zulässig sein kann, ohne dass die weiteren Voraussetzungen des § 28 vorliegen müssten1. Der teleologische Hintergrund dieser Norm liegt darin, die Privilegierung des § 11 nur dann zuzulassen, wenn der Sicherheits- und Schutzstandard der EGDatenschutzrichtlinie gewährleistet ist (vgl. § 4b Abs. 3), was in den EU- und EWR-Mitgliedstaaten kraft Gesetzes der Fall ist. Im Hinblick auf diesen Sinn und Zweck scheint es nach der hier vertretenen Ansicht jedoch gerechtfertigt, eine Auftragsdatenverarbeitung im nicht-europäischen Ausland in Abweichung vom zuvor dargestellten Grundsatz dann als zulässig anzusehen, wenn die Einhaltung des Schutzniveaus der EG-Datenschutzrichtlinie anderweitig garantiert ist. Dies sollte insbesondere dann der Fall sein, wenn eine Verwendung der Standardvertragsklauseln der EU-Kommission2 vereinbart ist3. Zu beachten ist, dass die EU-Kommission einige Drittstaaten (u.a. Argentinien, Kanada und die Schweiz) als „sicher“ eingestuft hat, mit der Folge, dass eine Datenübermittlung in diese Länder grundsätzlich zulässig ist, soweit die Frage des Schutzniveaus betroffen ist (vgl. Komm. zu § 4b BDSG Rz. 29)4. Maßgeblich ist bei der Auftragsdatenverarbeitung im Ausland grundsätzlich, wo 15 die tatsächliche Handlung erfolgt, also z.B., wo der Server installiert ist, auf dem die Datenverarbeitung vorgenommen wird. Irrelevant ist es dagegen, wo der Auftragnehmer seinen Sitz hat5. Dies folgt ebenfalls aus dem Wortlaut des § 3 Abs. 8, der an dem Ort der Erhebung, Verarbeitung und Nutzung anknüpft6. Dies kann zu Problemen führen, wenn der Auftragnehmer verschiedene Re1 So zutreffend Weber/Voigt, ZD 2011, 74 (77 f.). 2 Beschluss der EU-Kommission vom 5.2.2010 über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsdatenverarbeiter in Drittländer nach der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates, Nr. 2010/ 87/EU, K(2010) 593, ABl. L 39 vom 12.2.2010, S. 5; ausführlich hierzu Grapentin, CR 2011, 102 (103 f.); sowie Moos, K&R 2011, 145 (147); sowohl die Art. 29-Datenschutzgruppe als auch die Konferenz der Datenschutzbeauftragten des Bundes und der Länder haben die Anwendbarkeit der EU-Standardvertragsklauseln bis zum 31.1.2016 bejaht vgl. http://ec.europa.eu/justice/data-protection/article-29/press-material/press-release/art29_ press_material/2015/20151016_wp29_statement_on_schrems_judgement.pdf und https: //www.datenschutz.hessen.de/ft-europa.htm#entry4521. 3 Ebenso Leupold/Glossner/Stögmüller, Anwaltshandbuch IT-Recht, Teil 5 Rz. 354; Weber/Voigt, ZD 2011, 74 (75); so im Ergebnis auch Erd, NVwZ 2011, 19 (21); vgl. auch Schulz, BB 2011, 2552 (2554 f.) bezüglich der Ermöglichung eines konzerninternen Datenumgangs; a.A. Scholz/Lutz, CR 2011, 424 (427 f.). 4 Bierekoven, DGRI Jahrbuch 2010, S. 95, 102. 5 Taeger/Gabel/Gabel, § 11 BDSG Rz. 25. 6 Simitis/Dammann, § 3 BDSG Rz. 230; Schaffland/Wiltfang, § 3 BDSG Rz. 91.

Plath

|

387

§ 11 BDSG | Allgemeine und gemeinsame Bestimmungen chenzentren betreibt, die in unterschiedlichen Ländern belegen sind. Befinden sich sämtliche dieser Rechenzentren innerhalb der EU bzw. des EWR, so ist den Anforderungen des § 11 insoweit genüge getan. Befinden sich einzelne der Rechenzentren jedoch in einem Drittland, bedarf es entweder einer vertraglichen Beschränkung auf die Datenverarbeitung allein innerhalb der in der EU bzw. des EWR belegenen Rechenzentren, oder die Parteien ergreifen eine der in Rz. 14 dargestellten Maßnahmen. b) Auftraggeber im Ausland 16 Befindet sich der Sitz des Auftraggebers im Ausland, stellt sich stets die Frage,

ob deutsches Recht und damit § 11 anzuwenden ist, wenn der Auftragnehmer im Inland tätig wird. Maßgeblich ist insoweit ebenfalls nicht der Sitz des Auftragnehmers, sondern ob die Erhebung, Verarbeitung oder Nutzung in Deutschland stattfindet (s. Rz. 15). Grundsätzlich richtet sich die Anwendbarkeit des BDSG nach § 1 Abs. 5. Gemäß Satz 1 dieser Vorschrift hängt es zunächst davon ab, ob sich der Sitz einer verantwortlichen Stelle (hier des Auftraggebers) innerhalb oder außerhalb des EWR befindet.

17 Hat der Auftraggeber seinen Sitz in einem Drittstaat, der nicht Vertragsstaat

des EWR ist, findet das deutsche Recht grundsätzlich Anwendung, sobald der Auftraggeber personenbezogene Daten in Deutschland erhebt, verarbeitet oder nutzt, § 1 Abs. 5 Satz 2. Erteilt er zu diesem Zweck einen Auftrag an einen die Daten in Deutschland verarbeitenden oder nutzenden Dienstleister, muss er sich also an das deutsche Recht halten. Damit unterliegt dieser Auftrag zwar der Privilegierung, aber auch den Anforderungen des § 111.

18 Anders liegt es dagegen, wenn sich der Sitz des Auftraggebers innerhalb des

EWR befindet. In diesen Fällen muss gemäß § 1 Abs. 5 Satz 1 zunächst danach differenziert werden, ob die Datenverarbeitung durch eine in Deutschland ansässige Niederlassung erfolgt. Nur in diesem Fall findet deutsches Recht Anwendung, § 1 Abs. 5 Satz 1 Halbs. 2. Damit kann ein im EWR Ausland sitzender Auftraggeber beeinflussen, ob deutsches Recht Anwendung findet oder nicht. Erteilt er den Auftrag zur Datenverarbeitung über eine Niederlassung in Deutschland, unterliegt der Auftrag dem BDSG. Erteilt er den Auftrag vom Hauptsitz des Unternehmens aus, ist auf den Auftrag das Recht des jeweiligen Mitglied- bzw. Vertragsstaats anzuwenden. Dabei ist davon auszugehen, dass die Konzepte der Beauftragung ähnlich sein werden, da das Konstrukt der Auftragsdatenverarbeitung auf der EG-Datenschutzrichtlinie beruht. Allerdings können sich in der konkreten Ausgestaltung durchaus relevante Unterschiede ergeben. Zu den Besonderheiten i.R.d. Cloud Computings vgl. Rz. 51 ff. Im Übrigen wird auf die Kommentierung zu § 1 Abs. 5 verwiesen (Komm. zu § 1 BDSG Rz. 45 ff.). 1 So auch Gola/Schomerus, § 11 BDSG Rz. 16a.

388

|

Plath

Erhebung, Verarbeitung oder Nutzung im Auftrag | § 11 BDSG

3. Zeitlicher Anwendungsbereich Der 10-Punkte-Katalog wie auch einige weitere Verschärfungen sind im Rah- 19 men des BDSG 2009 in das Gesetz aufgenommen worden. Damit einhergehend wurden in § 43 Abs. 1 Nr. 2b Bußgeldtatbestände für den Fall der schuldhaften Verletzungen bestimmter Pflichten im Zusammenhang mit der Beauftragung des Auftragnehmers eingeführt. Dies hat zu der Frage geführt, ob die damalige Neuregelung des BDSG 2009 auch für Altverträge gilt, die vor dem Inkrafttreten der Novellierung zum 1.9.2009 geschlossen worden sind. Da das Gesetz keine Rückwirkungs- bzw. Übergangsregelung vorsieht, ist nach der hier vertretenen Auffassung davon auszugehen, dass keine Pflicht zur Anpassung von Altverträgen besteht. Teilweise wird jedoch empfohlen, Altverträge vorbeugend der neuen Rechtslage anzupassen1. Werden solche Verträge allerdings neu geschlossen oder durch aktives Handeln verlängert oder werden unter bestehenden Rahmenverträgen neue Einzelaufträge abgeschlossen, sind die Anforderungen des § 11 in der Fassung des BDSG 2009 zu beachten2. Mittlerweile dürfte diese Frage durch Zeitablauf kaum noch praktische Relevanz entfalten. Mit Inkrafttreten der DSGVO sind Verträge über die Auftragsdatenverarbeitung an den Vorgaben des Art. 28 DSGVO zu messen. Zur Frage, ob insoweit eine Anpassung bestehender Verträge erforderlich ist, s. Komm. zu Art. 28 DSGVO Rz. 8. 4. Verhältnis zu den Erlaubnisnormen des BDSG Fraglich ist schließlich, ob im Fall einer „missglückten“ Auftragsdatenverarbei- 20 tung der Rückgriff auf die allgemeinen Erlaubnisnormen des BDSG zulässig bleibt. Denkbar ist diese Konstellation z.B. dann, wenn die Parteien beabsichtigten, die Übermittlung von personenbezogenen Daten an einen Dienstleister im Wege der Auftragsdatenverarbeitung zu regeln, es jedoch an einer wirksamen Auftragsdatenverarbeitung mangelt, da bestimmte Anforderungen des § 11 wie z.B. die formale Festlegung der organisatorischen und technischen Maßnahmen nach § 9 BDSG nicht eingehalten worden sind. Nach der hier vertretenen Ansicht ist in diesen Fällen durchaus ein Rückgriff auf die allgemeinen Erlaubnistatbestände, insbesondere also auf § 28 möglich, soweit deren Voraussetzungen vorliegen. Denn die Übermittlungsbefugnisse des BDSG sind grundsätzlich nicht an die Einhaltung bestimmter Formerfordernisse gekoppelt, sondern greifen immer dann ein, wenn die Übermittlung der Daten an den Empfänger von dem Tatbestand der jeweiligen Erlaubnisnormen gedeckt ist.

1 Gola/Schomerus, § 11 BDSG Rz. 17. 2 So auch Taeger/Gabel/Gabel, § 11 BDSG Rz. 6.

Plath

|

389

§ 11 BDSG | Allgemeine und gemeinsame Bestimmungen III. Auftragsverhältnis 1. Begriff des „Auftrags“ (Abs. 1 Satz 1) 21 Erforderlich für die Anwendbarkeit des § 11 ist eine Erhebung, Verarbeitung

oder Nutzung personenbezogener Daten im Auftrag. Der Begriff des „Auftrags“ ist im weitesten Sinne zu verstehen, er ist also insbesondere nicht auf Auftragsverhältnisse i.S.d. §§ 662 ff. BGB beschränkt1. In Betracht kommen insbesondere Dienst- und Werkverträge, aber auch alle sonstigen Vertragsformen. Eine Bezeichnung des Vertrages als „Auftragsdatenverarbeitungsvertrag“ ist nicht notwendig.

22 Erforderlich für einen „Auftrag“ i.S.d. § 11 ist, dass der Auftraggeber den Auf-

tragnehmer damit betraut, die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten durchzuführen2. Wie die Wahl der Verknüpfung „oder“ in Abs. 1 Satz 1 zeigt, muss der Auftragnehmer selbstverständlich nicht sämtliche der vorgenannten Tätigkeiten übernehmen. Es reicht also, wenn der Auftragnehmer z.B. allein für die Verarbeitung der Daten zuständig ist, während die Erhebung durch den Auftraggeber oder einen weiteren Auftragnehmer erfolgt3.

23 Eine Erheblichkeitsschwelle kennt der § 11 nicht. Die Regelungen zur Auftrags-

datenverarbeitung kommen also auch dann zur Anwendung, wenn lediglich im geringen Umfang personenbezogene Daten verarbeitet werden oder die Beauftragung zeitlich begrenzt ist4. Allerdings ist insbesondere die Frage des Volumens und der Bedeutung der bei der Datenverarbeitung verwendeten personenbezogenen Daten bei der Ausgestaltung des Auftragsverhältnisses zu berücksichtigen. So kann davon ausgegangen werden, dass z.B. in Fällen eines nur geringen Volumens an Daten von eher untergeordneter Bedeutung das Risiko eines Missbrauchs geringer sein dürfte, als etwa bei hochsensiblen Bankdaten eines international vernetzten Konzerns. Insofern sind in den Fällen der weniger bedeutsamen Daten von geringfügigem Umfang nach der hier vertretenen Ansicht auch geringere Anforderungen an die Auswahl des Auftragnehmers und die zu treffenden organisatorischen und technischen Maßnahmen zu stellen.

1 Däubler/Klebe/Wedde/Weichert/Wedde, § 11 BDSG Rz. 17; Gola/Schomerus, § 11 BDSG Rz. 6; Bergmann/Möhrle/Herb, § 11 BDSG Rz. 8. 2 So auch Gola/Schomerus, § 11 BDSG Rz. 7. 3 So im Ergebnis auch Gola/Schomerus, § 11 BDSG Rz. 7; Däubler/Klebe/Wedde/Weichert/Wedde, § 11 BDSG Rz. 8; Bergmann/Möhrle/Herb, § 11 BDSG Rz. 9; Simitis/Petri, § 11 BDSG Rz. 12. 4 Däubler/Klebe/Wedde/Weichert/Wedde, § 11 BDSG Rz. 5; a.A. Schaffland/Wiltfang, § 11 BDSG Rz. 3, wonach bei lediglich gelegentlicher Datenverarbeitung für Dritte eine Ausnahme zu machen sei.

390

|

Plath

Erhebung, Verarbeitung oder Nutzung im Auftrag | § 11 BDSG

2. Eigeninteresse des Auftragnehmers Fraglich ist, ob ein Eigeninteresse des Auftragnehmers an der Durchführung 24 des Auftrages eine wirksame Auftragsdatenverarbeitung ausschließt. Dagegen könnte eingewandt werden, dass es der Rechtsnatur der – weisungsgebundenen – Auftragsdatenverarbeitung zuwider läuft, wenn der Auftragnehmer selber daran interessiert ist, dass die Daten in bestimmter Art und Weise verarbeitet werden. Nach richtiger Ansicht1 ist ein solches Eigeninteresse jedoch nicht schädlich, denn der Gesetzeswortlaut gibt hierfür keine Anhaltspunkte. Überdies liegt es auch in der Natur der Sache, dass der Auftragnehmer in der Regel ein zumindest finanzielles Interesse an der Durchführung des Auftrags hat. Freilich darf das Eigeninteresse des Auftragnehmers nicht dem Weisungsrecht des Auftraggebers zuwiderlaufen, da Letzteres für eine wirksame Auftragsdatenverarbeitung erforderlich ist (vgl. Abs. 3). 3. Doppelfunktion des Auftragnehmers Denkbar ist auch eine Konstellation, bei der die Datenverarbeitung nur zum Teil 25 im Auftrag erfolgt, während die Daten des Auftraggebers von dem Auftragnehmer zudem auch für weitergehende Zwecke über den Auftrag hinaus genutzt werden sollen. Unkritisch ist dies, wenn dabei unterschiedliche Datensätze eines Auftraggebers genutzt werden2. In diesem Fall gelten für die im Auftrag verarbeiteten Daten die Regelungen des § 11, während sich die Verarbeitung und Nutzung der sonstigen Daten nach den allgemeinen Erlaubnisnormen des BDSG richtet. Möglich ist es aber auch, dass ein und derselbe Datensatz zum Teil im Auftrag und zum Teil im Rahmen der allgemeinen Zulässigkeitsvoraussetzungen genutzt wird. So ist es z.B. denkbar, dass ein Dienstleister im Rahmen eines Auftrags weisungsfreie Entscheidungen für seinen Auftraggeber treffen darf und soll, z.B. hinsichtlich der Frage, ob ein Antragsteller als neuer Kunde akzeptiert werden soll, wohingegen er bei der weiteren Kundenbetreuung weisungsgebunden als Call Center des Auftraggebers fungiert. Auch bei dieser Konstellation unterliegt der Auftragnehmer den Regelungen des § 11, soweit seine Tätigkeit als Auftragsdatenverarbeiter betroffen ist, und den allgemeinen Zulässigkeitsregelungen, soweit seine Tätigkeit als weisungsfreier Dienstleister betroffen ist. Beide Regelungen kommen also nebeneinander jeweils für die von ihnen betroffene Tätigkeit zur Anwendung. Fraglich ist dann jedoch, welche Folgen es hat, wenn der Dienstleister nach den Regelungen des Auftragsdatenverarbeitungsvertrages nicht mehr zur Verwendung der im Auftrag verarbeiteten Daten berechtigt sein soll. Nach der hier vertretenen Ansicht bleibt in diesem Fall der Dienstleister zur weiteren Verarbeitung und Nutzung der Daten auf Grundlage der allgemeinen Zulässigkeitsvoraussetzungen berechtigt. Er ist allerdings nicht mehr be1 So etwa Gola/Schomerus, § 11 BDSG Rz. 7a. 2 So auch Taeger/Gabel/Gabel, § 11 BDSG Rz. 21.

Plath

|

391

§ 11 BDSG | Allgemeine und gemeinsame Bestimmungen rechtigt und verpflichtet, die entsprechenden Daten im Rahmen der weisungsgebundenen Auftragstätigkeit gemäß § 11 zu nutzen. 26 Wenig praktikabel erscheint demgegenüber die Auffassung, die nach der über-

wiegenden Zweckbestimmung fragt, wenn sich die mit der Verarbeitung verbundenen Zwecke nicht sauber trennen lassen1. Nach der hier vertretenen Ansicht lässt sich diese Sichtweise nur schwer mit dem Modell der Auftragsdatenverarbeitung vereinbaren. Denn wenn der Auftragnehmer einerseits berechtigt sein soll, bestimmte Tätigkeiten weisungsfrei durchzuführen, andererseits aber an die Weisungen des Auftraggebers gebunden sein soll, so dürfte es insgesamt an der erforderlichen Weisungsgebundenheit fehlen, wenn sich die beiden Bereiche nicht hinreichend voneinander trennen lassen (z.B. weil dieselben Datensätze für beide Zwecke genutzt werden). In solchen Fällen muss sich die gesamte Tätigkeit des Dienstleisters an den allgemeinen Zulässigkeitsvoraussetzungen messen lassen. 4. Funktionsübertragung

27 Nach der bislang h.M. soll es an einer wirksamen Auftragsdatenverarbeitung

fehlen, sobald eine sog. „Funktionsübertragung“ auf den Auftragnehmer vorliegt2. Gemeint ist damit der Fall, dass dem Auftragnehmer nicht nur die Verarbeitung von Daten übertragen wird, sondern darüber hinaus auch die der Verarbeitung zugrunde liegende Aufgabe bzw. Funktion3. Folgt man dieser Ansicht, so hat sich die Tätigkeit des Auftragnehmers auf die Erfüllung reiner Hilfsbzw. Unterstützungsfunktionen zu beschränken4. Zum Teil wird insoweit sogar vertreten, dass eine Auftragsdatenverarbeitung bereits dann ausscheide, wenn der Dienstleister auch nur den kleinsten inhaltlichen Bewertungs- oder Ermessensspielraum bei der Aufgabenerfüllung habe; denn es gehe dann im Kern nicht mehr um reine „Datenverarbeitung“, sondern um andere übergeordnete Aufgaben und damit eine Funktionsübertragung5.

28 Der Begriff der Funktionsübertragung ist in dem BDSG nicht erwähnt. Eine

gewisse Stütze findet dieses Prinzip allerdings in der Regelung des Abs. 3, wo-

1 So vertreten etwa von Taeger/Gabel/Gabel, § 11 BDSG Rz. 21. 2 So auch Gola/Schomerus, § 11 BDSG Rz. 9; Bergmann/Möhrle/Herb, § 11 BDSG Rz. 10, 11 ff.; vgl. auch Wanagas, DStR 2010, 1908. 3 Gola/Schomerus, § 11 BDSG Rz. 9; Bergmann/Möhrle/Herb, § 11 BDSG Rz. 11; Simitis/ Petri, § 11 BDSG Rz. 22. 4 So bspw. Däubler/Klebe/Wedde/Weichert/Wedde, § 11 BDSG Rz. 5; ebenso Bergmann/ Möhrle/Herb, § 11 BDSG Rz. 8 sowie Simitis/Petri, § 11 BDSG Rz. 22; nach Gola/Schomerus kommt es auf die „datenschutzrechtliche Verantwortlichkeit“ an, dem Dienstleister darf keinerlei Ermessensspielraum eingeräumt werden, § 11 BDSG Rz. 9. 5 Vgl. dazu auch die Zusammenfassung des Meinungsstands in dem Arbeitsbericht der adhoc-Arbeitsgruppe „Konzerninterner Datentransfer“ des Düsseldorfer Kreises, S. 4.

392

|

Plath

Erhebung, Verarbeitung oder Nutzung im Auftrag | § 11 BDSG

nach der Auftragnehmer die Daten nur nach Weisung des Auftraggebers erheben, verarbeiten und nutzen darf. Allerdings steht die Weisungsbefugnis des Auftraggebers hinsichtlich des Umgangs mit den personenbezogenen Daten nicht zwingend im Widerspruch zu dem Recht des Auftragnehmers, weitreichende Aufgaben für den Auftraggeber zu übernehmen, solange er sich nur im datenschutzrechtlichen Bereich den Weisungen des Auftraggebers unterwirft. Darüber hinaus folgt auch aus dem Wortlaut des Abs. 3 Satz 1, dass eine Auftragsdatenverarbeitung (bereits) dann vorliegt, wenn der Ausführende die Datenverarbeitung nicht für sich selbst, sondern für den Auftraggeber durchführt1. Vor diesem Hintergrund ist der im Vordringen befindlichen Gegenansicht zu- 29 zustimmen, wonach es nicht darauf ankommt, ob sich die Tätigkeit des Auftragnehmers auf reine Hilfsfunktionen beschränkt – was eine Auftragsdatenverarbeitung nach herkömmlicher Auffassung ermöglichen soll – oder die Übertragung eigener Funktionen beinhaltet – was der Auftragsdatenverarbeitung nach herkömmlicher Auffassung entgegensteht – sondern allein darauf, wie die Auftragserteilung konkret ausgestaltet wird. Entscheidend ist danach also nicht, welche Aufgabe übertragen wird, sondern wie dies geschieht, d.h., in welcher Weise der Auftrag ausgestaltet wird2. Anders formuliert: Solange die Einhaltung der Weisungsbefugnisse und sonstigen Anforderungen des § 11 sichergestellt ist, lässt sich grundsätzlich jeder Auftrag als Auftragsdatenverarbeitung ausgestalten. Grenzen findet dieser Ansatz allein dort, wo sich die nach § 11 notwendigen 30 Weisungsrechte nicht mit der eigenständigen Wahrnehmung von Aufgaben durch den Auftragnehmer vereinbaren lassen. Insofern ist eine wertende Einzelfallbetrachtung erforderlich, die sich danach richtet, wie viel Spielraum dem Auftragnehmer noch eingeräumt werden kann, um dem Merkmal der Weisungsgebundenheit gerecht zu werden3. Sobald der Auftragnehmer über die Verwendung der Daten eigenständig und verantwortlich entscheiden kann, fehlt es an der erforderlichen Weisungsgebundenheit. In der Praxis werden dazu insbesondere folgende Fallgruppen diskutiert: a) Call Center Die Verträge zur Beauftragung von Call Centern werden in der Regel als Auf- 31 tragsdatenverarbeitungsverträge ausgestaltet. Die verantwortliche Stelle überlässt dem Call Center einen Datensatz z.B. mit Kundendaten und beauftragt das Call Center damit, die entsprechenden Telefonate im Namen des Auftraggebers zu führen. Soweit ein beauftragtes Call Center, wie in der Praxis üblich, aufgrund 1 Vgl. dazu auch die Zusammenfassung des Meinungsstands in dem Arbeitsbericht der adhoc-Arbeitsgruppe „Konzerninterner Datentransfer“ des Düsseldorfer Kreises, S. 4. 2 So bspw. Taeger/Gabel/Gabel, § 11 BDSG Rz. 15; Neumann, CR 2013, 21 (24). 3 So auch Gola/Schomerus, § 11 BDSG Rz. 9.

Plath

|

393

§ 11 BDSG | Allgemeine und gemeinsame Bestimmungen eines klar vorgegebenen Gesprächsleitfadens für den jeweiligen Auftraggeber tätig wird, ist von einer Weisungsgebundenheit auszugehen1. Etwas anderes könnte gelten, wenn der Auftraggeber das Call Center nicht lediglich damit beauftragt, z.B. Outbound-Calls nach festgelegten Vorgaben zu führen, sondern ihm generell die Aufgabe der Kundengewinnung überträgt und Form, Zeit und vor allem Inhalt der Neukundenansprache und des Vertragsschlusses in das freie Ermessen des Call Centers stellt. Insgesamt wird man aber davon ausgehen können, dass branchenübliche Spielräume bei der Ausgestaltung der Telefonate einer Auftragsdatenverarbeitung nicht entgegenstehen. b) Marktforschungsinstitute 32 Zahlreiche Unternehmen bedienen sich eines Marktforschungsinstituts, um die

Zufriedenheit ihrer Kunden oder die Nachfrage nach neuen Produkten besser einschätzen zu können. Ähnlich wie bei Call Centern ist die Frage, ob das Tatbestandsmerkmal der Weisungsgebundenheit erfüllt ist, davon abhängig, inwieweit dem Marktforschungsinstitut ein Ermessensspielraum eingeräumt wird. Ist es anhand eines genauen Fragebogens lediglich mit der Befragung und statistischen Erfassung der Daten beauftragt, wird eine Weisungsgebundenheit regelmäßig zu bejahen sein, nicht jedoch, wenn der Inhalt der Befragung dem Institut gänzlich anheimgestellt wird2.

c) Letter-Shops 33 Im Rahmen des Letter-Shop-Verfahrens werden Unternehmen als sog. Letter-

Shop damit beauftragt, die Versendung von Werbemitteilungen und sonstigen Informationen für den Auftraggeber zu übernehmen. Je nach Ausgestaltung des Auftrags kann die Aufgabe des Letter-Shops Maßnahmen wie z.B. die Frankierung, Etikettierung und Versendung der Werbemittel sowie weitere Tätigkeiten umfassen. Um diese Tätigkeiten durchführen zu können, werden dem LetterShop die Namen und Adressen und ggf. weitere Daten der (potentiellen) Kunden, die angeschrieben werden sollen, von dem jeweiligen Auftraggeber zur Verfügung gestellt. Solange sichergestellt ist, dass der Letter-Shop diese Daten nur für die Erfüllung der Zwecke des Auftrags nutzen darf, lässt sich die Einschaltung des Letter-Shops problemlos als Auftragsdatenverarbeitung ausgestalten3.

34 Eine andere Frage ist dabei, ob auch die Nutzung sog. „Fremddatensätze“ im

Rahmen des Letter-Shop-Verfahrens möglich ist. Gemeint ist damit der Fall,

1 So auch Gola/Schomerus, § 11 BDSG Rz. 9 und 12; Taeger/Gabel/Gabel, § 11 BDSG Rz. 17; Däubler/Klebe/Wedde/Weichert/Wedde, § 11 BDSG Rz. 9; Bergmann/Möhrle/ Herb, § 11 BDSG Rz. 12a; Simitis/Petri, § 11 BDSG Rz. 29. 2 Vgl. Gola/Schomerus, § 11 BDSG Rz. 9; Taeger/Gabel/Gabel, § 11 BDSG Rz. 17. 3 So auch Taeger/Gabel/Gabel, § 11 BDSG Rz. 17; Bergmann/Möhrle/Herb, § 11 BDSG Rz. 12a.

394

|

Plath

Erhebung, Verarbeitung oder Nutzung im Auftrag | § 11 BDSG

dass ein Unternehmen dem Letter-Shop nicht seine eigenen Kundensätze zur Verfügung stellt, sondern zur Kundengewinnung auch Datensätze eines Dritten, häufig eines Listbrokers, verwenden will. Um den Anforderungen des § 28 Abs. 3 zu genügen (zu den weiteren Einzelheiten s. dazu Komm. zu § 28 BDSG Rz. 143 ff.), erhält der Werbetreibende bei diesem Verfahren keinen direkten Zugriff auf die Daten des Dritten. Vielmehr wird der Letter-Shop durch den Listeigner bzw. Listbroker damit beauftragt, die Werbemittel des Werbetreibenden zu versenden, und zwar an die von dem Listeigner bzw. Listbroker bereitgestellten Adressen. Mit Blick auf die Vereinbarkeit dieses Verfahrens mit den Anforderungen des § 11 ergibt sich bei der Nutzung von Fremddatensätzen kein Unterschied zu der Nutzung eigener Datensätze des Werbetreibenden. Solange der Listeigner bzw. Listbroker in dem Vertrag mit dem Letter-Shop sicherstellt, dass die Anforderungen des § 11 an den Auftragsdatenverarbeitungsvertrag einschließlich des Gebots der Weisungsgebundenheit eingehalten werden und der Letter-Shop die Daten insbesondere nicht gegenüber dem Werbetreibenden offenlegen darf, ist die Beauftragung mit § 11 vereinbar1. Unschädlich ist es dabei auch, wenn darüber hinaus auch der Werbetreibende einen eigenen Vertrag mit dem Letter-Shop schließt, um die korrekte Aussendung sicherzustellen, solange er dabei keinen Zugriff auf die Daten erhält und die Weisungsbefugnisse des Listeigners bzw. Listbrokers unberührt bleiben. d) Outsourcing/Inkasso Wird der Betrieb von IT-Systemen oder ganzer Geschäftsprozesse im Wege des 35 IT- bzw. Business-Process-Outsourcings an einen Dienstleister übertragen, kommt es erneut auf die konkrete Ausgestaltung des Auftrags an2. Soweit hinsichtlich des Umgangs mit den personenbezogenen Daten des Auftraggebers dessen Weisungshoheit erhalten bleibt, lässt sich das Outsourcing grundsätzlich ohne Weiteres im Einklang mit dem BDSG ausgestalten3. Beim klassischen IT-Outsourcing wird diese Weisungshoheit des Auftraggebers 36 in aller Regel gegeben sein4, denn es liegt grundsätzlich weder im Interesse des Auftraggebers noch des Auftragnehmers, dass der Auftragnehmer weitgehend weisungsfrei mit diesen Daten verfährt. Entsprechendes gilt für den Bereich des Application-Service-Providing (ASP)5. Bei Outsourcing ganzer Geschäftsprozesse kann das Modell der Auftrags- 37 datenverarbeitung indes an seine Grenzen stoßen, wenn dem Auftragnehmer im Rahmen des Outsourcings weitreichende Entscheidungsbefugnisse hinsichtlich 1 2 3 4 5

So auch Gola/Schomerus, § 11 BDSG Rz. 12. So im Ergebnis auch Gola/Schomerus, § 11 BDSG Rz. 13. Ebenso Bergmann/Möhrle/Herb, § 11 BDSG Rz. 12. So im Ergebnis auch Taeger/Gabel/Gabel, § 11 BDSG Rz. 18. Vgl. auch Taeger/Gabel/Gabel, § 11 BDSG Rz. 18.

Plath

|

395

§ 11 BDSG | Allgemeine und gemeinsame Bestimmungen der Erhebung, Verarbeitung und/oder Nutzung personenbezogener Daten eingeräumt werden sollen. Soweit jedoch die Weisungsbefugnisse des Auftraggebers in ausreichendem Maße erhalten bleiben, ist auch das Business-ProcessOutsourcing mit § 11 vereinbar1. Dies ist jedenfalls dann der Fall, wenn der Auftragnehmer nicht eigenständig und -verantwortlich über das Schicksal der Daten entscheiden kann, sondern vertraglich sichergestellt ist, dass er diese ausschließlich innerhalb der klar umrissenen Grenzen des jeweiligen Auftrags nutzen darf. Ausreichend ist es dabei jedoch, wenn der Auftraggeber lediglich den äußeren Rahmen eines solchen Auftrags vorgibt. Er ist mithin nicht verpflichtet, den Auftragnehmer im Detail vorzuschreiben, auf welche Weise bzw. in welcher konkreten Form er den jeweiligen Auftrag zu erfüllen hat. 38 Auf diese Weise lässt sich nach der hier vertretenen Ansicht z.B. die Durchfüh-

rung der Lohn- und Gehaltsbuchhaltung sowie auch die Erstellung von Steuererklärungen im Wege der Auftragsdatenverarbeitung auf einen externen Dienstleister übertragen2. Gleiches gilt für die Auslagerung der konzerninternen Personalverwaltung3 sowie die Einschaltung Dritter bei der Erbringung von Versicherungs- und Bankdienstleistungen, etwa der Entscheidung über die Kreditvergabe, soweit diese nach konkreten Vorgaben des auslagernden Instituts zu erfolgen hat4. Schließlich ist auch die Verwendung von Daten durch externe, z.B. „freie“ Mitarbeiter, mit § 11 vereinbar, und zwar selbst, wenn diese über private IT-Systeme auf die Daten zugreifen, soweit die verantwortliche Stelle auch gegenüber diesen Personen weisungsbefugt ist5. Die Frage, ob Inkassodienstleistungen wirksam dem Regime des § 11 unterstellt werden können, war zuletzt Gegenstand einer Entscheidung des OLG Düsseldorf. Danach soll die Übertragung von Inkassodienstleistungen regelmäßig keine Auftragsdatenverarbeitung i.S.d. § 11 darstellen6. Zur Begründung führte das OLG Düsseldorf aus, dass die Übertragung von Inkassomanagement über die Wahrnehmung bloßer technischer Hilfsfunktion hinausgeht7. Nach der hier vertretenen Auffassung überspannt diese Entscheidung die Anforderungen an eine wirksame Auftragsdatenverarbeitung. 1 So auch Taeger/Gabel/Gabel, § 11 BDSG Rz. 19. 2 Ebenso Taeger/Gabel/Gabel, § 11 BDSG Rz. 19 sowie im Ergebnis wohl auch Bergmann/ Möhrle/Herb, § 11 BDSG Rz. 11a; Arbeitsbericht der ad-hoc-Arbeitsgruppe „Konzerninterner Datentransfer“ des Düsseldorfer Kreises, S. 3; kritisch hingegen Däubler/Klebe/ Wedde/Weichert/Wedde, § 11 BDSG Rz. 15; Gola/Schomerus, § 11 BDSG Rz. 11 sowie Simitis/Petri, § 11 BDSG Rz. 28. 3 Vgl. Arbeitsbericht der ad-hoc-Arbeitsgruppe „Konzerninterner Datentransfer“ des Düsseldorfer Kreises, S. 13; kritisch hingegen Gola/Schomerus, § 11 BDSG Rz. 9. 4 Ebenso Taeger/Gabel/Gabel, § 11 BDSG Rz. 19; kritisch hingegen Däubler/Klebe/ Wedde/Weichert/Wedde, § 11 BDSG Rz. 15. 5 Conrad/Schneider, ZD 2011, 153 (154). 6 OLG Düsseldorf v. 13.2.2015 – 16 U 41/14, ZD 2015, 336. 7 OLG Düsseldorf v. 13.2.2015 – 16 U 41/14, ZD 2015, 336 (339).

396

|

Plath

Erhebung, Verarbeitung oder Nutzung im Auftrag | § 11 BDSG

IV. Verantwortlichkeitsverteilung im Rahmen des Auftragsverhältnisses (Abs. 1 Satz 1) Ein Grundprinzip der Auftragsdatenverarbeitung liegt darin, dass grundsätzlich 39 allein der Auftraggeber für die Einhaltung der datenschutzrechtlichen Bestimmungen verantwortlich bleibt (Abs. 1 Satz 1)1. Entsprechend sind auch die Betroffenenrechte der §§ 6, 7 und 8 einschließlich etwaiger Schadensersatzansprüche gegen ihn geltend zu machen (Abs. 1 Satz 2)2. Über diese in Abs. 1 Satz 2 explizit aufgeführten Rechte hinaus, sind auch alle weiteren Rechte der Betroffenen gegenüber dem Auftraggeber geltend zu machen, wie z.B. das Widerspruchsrecht des § 28 Abs. 43. Der Auftragnehmer hat hingegen zunächst einmal nur die in § 11 Abs. 3 und 4 40 normierten Pflichten zu beachten. Handelt der Auftragnehmer also nach den Weisungen des Auftraggebers, kann er für etwaige daraus resultierende Datenschutzverstöße grundsätzlich nicht belangt werden. Eine eigene Haftung des Auftragnehmers gegenüber Dritten kann indes dann begründet werden, wenn er sich über die Weisungen des Auftraggebers hinwegsetzt4. Gleiches kann gelten, wenn es an dem wirksamen Abschluss eines Auftragsdatenverarbeitungsvertrages fehlt und sich der Auftragnehmer entsprechend nicht auf das Privileg des § 11 berufen kann5. Den Parteien bleibt es grundsätzlich unbenommen, im Innenverhältnis eine ab- 41 weichende Verteilung der Risiken festzulegen, soweit die Grenze der Weisungsgebundenheit des Auftragnehmers dabei nicht überschritten wird. So empfiehlt es sich aus Sicht des Auftraggebers zum einen, den Auftragnehmer dazu zu verpflichten, die notwendigen Mitwirkungshandlungen zu erbringen, damit der Auftraggeber seine Pflichten im Außenverhältnis gegenüber den Betroffenen sowie den Aufsichtsbehörden erfüllen kann. Zum anderen kann auch eine Regelung von Haftungsfragen angezeigt sein, z.B. für den Fall, dass der Auftraggeber wegen eines vertragswidrigen Verhaltens des Auftragnehmers durch Dritte in Anspruch genommen wird.

V. Fallgruppen 1. Konzerne Auch wenn kein Zweifel darüber besteht, dass das BDSG kein „Konzernprivi- 42 leg“ kennt, also konzernverbundene Unternehmen genauso behandelt werden 1 2 3 4 5

Bergmann/Möhrle/Herb, § 11 BDSG Rz. 16; Simitis/Petri, § 11 BDSG Rz. 48. Gola/Schomerus, § 11 BDSG Rz. 26; Bergmann/Möhrle/Herb, § 11 BDSG Rz. 19 ff. Taeger/Gabel/Gabel, § 11 BDSG Rz. 30; Simitis/Petri, § 11 BDSG Rz. 50. Taeger/Gabel/Gabel, § 11 BDSG Rz. 30; Gola/Schomerus, § 11 BDSG Rz. 26. Ähnlich auch Gola/Schomerus, § 11 BDSG Rz. 26 bezüglich der „bösgläubigen“ Befolgung rechtswidriger Anweisungen.

Plath

|

397

§ 11 BDSG | Allgemeine und gemeinsame Bestimmungen wie sonstige Dritte, wird dieser Umstand in der Praxis vereinzelt immer noch übersehen. Tatsache ist, dass auch die Übermittlung von personenbezogenen Daten zwischen selbständigen Unternehmen eines Konzerns der gesetzlichen Erlaubnis bzw. der Einwilligung der Betroffenen bedarf1. Fehlt es an diesen Voraussetzungen, kann der konzerninterne Datentransfer allein im Wege einer Auftragsdatenverarbeitung ermöglich werden2. Dieses Erfordernis gilt indes nicht bei der Übermittlung von Daten innerhalb einer juristischen Personen, als z.B. an juristisch unselbständige Unternehmenseinheiten, Niederlassungen oder Zweigstellen3. 43 Gesellschaftsrechtliche Über- bzw. Unterordnungsverhältnisse stehen der Ver-

einbarung einer Auftragsdatenverarbeitung nicht entgegen, solange keine Anhaltspunkte gegeben sind, dass die datenschutzrechtlichen Weisungen missachtet werden4.

44 Die nach Abs. 2 Satz 1 gebotene sorgfältige Auswahl des Auftragnehmers (s.

Rz. 90 ff.) schließt die Vereinbarung einer Auftragsdatenverarbeitung zwischen Unternehmen, die demselben Konzern angehören, ebenfalls nicht aus. Denn die Vorschrift gebietet nicht, dass eine Auswahl unter Wettbewerbsbedingungen oder gar eine Ausschreibung erfolgt. Maßgeblich ist lediglich, dass ein Auftragnehmer ausgewählt wird, der Gewähr dafür bietet, die Anforderungen des § 9 einzuhalten und den vorgegebenen Verarbeitungsauftrag zu erfüllen5.

45 Liegt keine Auftragsdatenverarbeitung vor, sondern eine „Übermittlung“, ist zu

prüfen, ob diese durch die gesetzlichen Erlaubnistatbestände des BDSG gedeckt ist. Diese Möglichkeit ist auch im Konzern selbstverständlich nicht gesperrt, wobei sich der Umstand der konzernrechtlichen Verflechtung im Rahmen der Interessenabwägung nach den §§ 28 und 29 u.U. positiv auswirken kann. 2. Cloud Computing

46 Von besonderer praktischer Relevanz ist die Frage der datenschutzrechtlichen

Zulässigkeit des Cloud Computings. Eine akkurate Definition dieses Begriffs existiert bis heute nicht6. Im weitesten Sinne ist unter Cloud Computing eine Praxis zu verstehen, im Rahmen derer IT-Leistungen, insbesondere auch die Datenverarbeitung, auf externe Systeme ausgelagert werden. Der Zugriff auf diese „outgesourcten“ Inhalte erfolgt dann über Netzwerke (bei Public Clouds über 1 2 3 4

So im Ergebnis auch Simitis/Petri, § 11 BDSG Rz. 35. Ebenso im Ergebnis Gola/Schomerus, § 11 BDSG Rz. 9. So auch Taeger/Gabel/Gabel, § 11 BDSG Rz. 24. Arbeitsbericht der ad-hoc-Arbeitsgruppe „Konzerninterner Datentransfer“ des Düsseldorfer Kreises, S. 3; dem folgend Taeger/Gabel/Gabel, § 11 BDSG Rz. 22. 5 Arbeitsbericht der ad-hoc-Arbeitsgruppe „Konzerninterner Datentransfer“ des Düsseldorfer Kreises, S. 3. 6 So auch Bierekoven, DGRI Jahrbuch 2010, S. 95, 97; Schuster/Reichl, CR 2010, 38.

398

|

Plath

Erhebung, Verarbeitung oder Nutzung im Auftrag | § 11 BDSG

das Internet, bei Private Clouds über das Intranet, s. Rz. 47)1. Cloud Computing lässt sich maßgeblich in drei Leistungsbereiche unterteilen, nämlich der Bereitstellung (a) von Infrastruktur (Infrastructure as a Service, IaaS), (b) von Entwicklerplattformen (Platform as a Service, PaaS) und (c) von Software (Software as a Service, SaaS)2. Der Unterschied des Cloud Computings zum klassischen Outsourcing besteht in der Vielschichtigkeit der Leistungen, in der Vernetzung von Kapazitäten sowie in der „universellen Nutzbarkeit“ der Dienste3. Die Erbringung der Cloud-Dienste erfolgt flexibel bzw. bedarfsgesteuert und erfordert vielfach den Rückgriff auf Subunternehmer durch den Cloud Provider. Der flüchtige, virtuelle Charakter dieser Praxis soll durch das Bild der „Cloud“, also Wolke, versinnbildlicht werden. Allgemein wird zwischen unternehmens- oder gruppeninternen, geschlossenen 47 Private Clouds und öffentlichen, allgemein zugänglichen Public Clouds unterschieden4. Die besondere Attraktivität des Cloud Computings ist v.a. wirtschaftlicher Natur, da durch die Auslagerung die Notwendigkeit der Unterhaltung einer umfassenden eigenen IT-Infrastruktur entfällt und eine bedarfsgerechte Abrechnung der in Anspruch genommenen Leistungen erfolgen kann. Zugleich wirft die Praxis des Cloud Computings eine Vielzahl rechtlicher Fragen 48 auf5. Die geltenden, aus dem analogen Zeitalter stammenden Rechtsnormen lassen sich nur schwerlich mit dem virtuellen und ungreifbaren Charakter der „Datenwolken“ vereinbaren. Insbesondere das deutsche Datenschutzrecht mit seinen hohen Anforderungen an Datensicherheit und Kontrolle scheint die Inanspruchnahme von Cloud-Dienstleistungen rechtlich bedenklich zu machen. Gleichzeitig herrscht weitestgehend Einigkeit darüber, dass in der Auslagerung von IT-Diensten und in der Zentralisierung von Infrastrukturen die Zukunft liegt6. Solange sich das Recht also diesen neuen Gegebenheiten noch nicht angepasst hat, gilt es, eine Vereinbarkeit dieser Praxis mit den vorhandenen Normen herzustellen7. Die größten Herausforderungen liegen dabei im globalen Charakter des Cloud Computings und in der eingeschränkten Kontroll- und Weisungsmöglichkeit durch den Cloud-Anwender.

1 Bierekoven, DGRI Jahrbuch 2010, S. 95, 98 f. 2 Vgl. Nägele/Jacobs, ZUM 2010, 281, 282; Schuster/Reichl, CR 2010, 38 f.; Gaul/Koehler nennen darüber hinaus auch noch den Leistungsbereich „Communication as a Service (CaaS), BB 2011, 2229. 3 Vgl. auch Bierekoven, DGRI Jahrbuch 2010, S. 95, 97 f.; Engels, K&R 2011, 548 f.; Schuster/Reichl, CR 2010, 38. 4 Vgl. Bierekoven, DGRI Jahrbuch 2010, S. 95 (98 f.); Gaul/Koehler, BB 2011, 2229. 5 Vgl. nur Engels, K&R 2011, 548; Heidrich/Wegener, MMR 2010, 803; Niemann/Hennrich, CR 2010, 686; Kühling/Biendl, CR 2014, 145. 6 So auch Niemann/Wegener, MMR 2010, 686 (690). 7 Ebenso Niemann/Hennrich, CR 2010, 686.

Plath

|

399

§ 11 BDSG | Allgemeine und gemeinsame Bestimmungen a) Rechtsnatur des Cloud Computings 49 Die Bewertung der Zulässigkeit des Cloud Computings nach dem BDSG ist zu-

nächst eng mit der Frage verbunden, ob das Cloud Computing datenschutzrechtlich als Übermittlung oder als Auftragsdatenverarbeitung zu qualifizieren ist. Häufig werden die Voraussetzungen für eine Übermittlung der Daten an den Cloud-Anbieter i.R.d. Erlaubnistatbestands des § 28 nicht erfüllt sein, wenngleich durchaus ernsthaft darüber nachgedacht werden kann, ob man nicht auch über die nach § 28 vorzunehmende Interessenabwägung zu dem Ergebnis gelangt, dass die Einschaltung eines Cloud-Anbieters z.B. aus Kostengründen und wegen dessen technischer Expertise im Sinne der Norm erforderlich sein kann. Gleichwohl ist das Cloud Computing in den meisten Fällen wohl eher nur im Wege der Auftragsdatenverarbeitung i.S.d. § 11 möglich1. Für eine Qualifikation des Cloud Providers als Auftragnehmer spricht, dass er in der Regel weisungsgebunden mit den personenbezogenen Daten umgeht und nicht selbst „Herr der Daten“ ist2. Dies gilt umso mehr, als nach der hier vertretenen Ansicht auch eine Funktionsübertragung einer Qualifikation als Auftragsdatenverarbeitung nicht grundsätzlich entgegen steht (vgl. Rz. 27 ff.)3.

50 Voraussetzung für eine rechtmäßige Inanspruchnahme von Cloud-Leistungen

ist demzufolge der Abschluss eines wirksamen Auftragsdatenverarbeitungsvertrags i.S.d. § 11. Problematisch sind dabei insbesondere drei Punkte: (a) der Auslandsbezug, der häufig beim Cloud Computing besteht, (b) die Einhaltung der Kontroll- und Weisungspflichten des Auftraggebers und (c) die Berechtigung zur Begründung von Unterauftragsverhältnissen gemäß § 11 Abs. 2 Satz 2 Nr. 6. b) Auslandsbezug beim Cloud Computing

51 Problematisch ist zunächst, dass eine Auftragsdatenverarbeitung i.R.d. Privile-

gierung des § 11 nur möglich ist, wenn der Datenumgang durch den Auftragnehmer im Inland, zumindest jedoch im Geltungsbereich der EG-Datenschutzrichtlinie, also in einem anderen Mitgliedstaat der EU oder einem anderen Vertragsstaat des EWR, stattfindet, vgl. § 3 Abs. 8 (hierzu ausführlich Rz. 12). Im Umkehrschluss würde dies bedeuten, dass eine Auftragsdatenverarbeitung in anderen, außereuropäischen Ländern nicht zulässig wäre. Hintergrund dieser Regelung ist, dass nur im Anwendungsbereich der EG-Datenschutzrichtlinie

1 Heidrich/Wegener, MMR 2010, 803 (805); Niemann/Hennrich, CR 2010, 686 (687); Pohle/Ammann, CR 2009, 273 (277); Splittgerber/Rockstroh, BB 2011, 2179 (2181); ausführlich zu der Frage, wann Cloud Computing als Auftragsdatenverarbeitung zu qualifizieren ist Engels, K&R 2011, 548 (549 f.). 2 Engels, K&R 2011, 548; Niemann/Hennrich, CR 2010, 686 (687); vgl. auch Gaul/Koehler, BB 2011, 2229 (2231). 3 A.A. Splittgerber/Rockstroh, BB 2011, 2179 (2182).

400

|

Plath

Erhebung, Verarbeitung oder Nutzung im Auftrag | § 11 BDSG

ohne Weiteres von einem angemessenen Schutzniveau ausgegangen werden kann, das die Privilegierung der Auftragsdatenverarbeitung rechtfertigt1. Ein Blick in die Praxis zeigt, dass die großen Cloud Provider (Google, Amazon, 52 IBM, Microsoft, Apple und salesforce) ihren Sitz im Ausland, insbesondere in den USA haben. Allerdings ist für die Anwendbarkeit des § 11 nicht der Sitz des Auftragnehmers, sondern der tatsächliche Ort der Datenverarbeitung ausschlaggebend2. Da die meisten Anbieter zumindest auch Rechenzentren im europäischen Inland unterhalten, ist vielfach bereits damit der Anwendungsbereich des § 11 eröffnet, solange die Daten ausschließlich in diesen Rechenzentren verarbeitet werden3. Problematisch bleibt damit nur der Fall, in dem die Auftragsdatenverarbeitung 53 tatsächlich über Infrastrukturen stattfindet, die nachweislich nicht in der EU bzw. dem EWR belegen sind. Teilweise wird vertreten, dass der Auftragsdatenverarbeiter in diesem Fall entsprechend dem Wortlaut des § 3 Abs. 8 als „Dritter“ einzuordnen sei mit der Folge, dass die Privilegierung des § 11 BDSG nicht greift. Nach dieser Ansicht ist deshalb in der Weitergabe der Daten an diesen „Dritten“ eine Übermittlung i.S.v. § 3 Abs. 4 Nr. 3 zu sehen, die eine Einhaltung der Übermittlungsvoraussetzung erfordert. Sofern sich der „Dritte“ in einem „unsicheren“ Drittstaat befinde, müssten darüber hinaus auch die Voraussetzungen, die § 4b Abs. 2 für die Übermittlung in Drittländer außerhalb der EU bzw. des EWR aufstellt, eingehalten werden (vgl. hierzu ausführlich Komm. zu § 4b BDSG Rz. 15 ff.). Dieser Ansatz ist in der Praxis – und gerade im Hinblick auf das Cloud Computing, das von seiner Internationalität und Flexibilität lebt, wenig praktikabel. Im Hinblick auf den teleologischen Hintergrund der Bedeutung des Verarbeitungsorts (s. Rz. 14) muss deshalb nach der hier vertretenen Ansicht eine Auftragsdatenverarbeitung im nicht-europäischen Ausland auch dann in analoger Anwendung des § 3 Abs. 8 zulässig sein, wenn die Einhaltung des Schutzniveaus der EG-Datenschutzrichtlinie anderweitig garantiert ist (vgl. § 4b Abs. 2 und 3)4. Dies sollte insbesondere dann der Fall sein, wenn die Einhaltung der Standardvertragsklauseln der EU-Kommission vereinbart ist (hierzu ausführlich Rz. 14 sowie Komm. zu § 4b BDSG Rz. 31)5. Zu beachten ist, dass einige außereuropäische Drittstaaten (u.a. Argentinien, Kanada und die Schweiz) von 1 Engels, K&R 2011, 548; Bierekoven, DGRI Jahrbuch 2010, S. 95, 101. 2 Taeger/Gabel/Gabel, § 11 BDSG Rz. 25; ebenso Simitis/Dammann, § 3 BDSG Rz. 246; vgl. auch Niemann/Hennrich, CR 2010, 686 (688). 3 Vgl. Niemann/Hennrich, CR 2010, 686 (688); Splittgerber/Rockstroh, BB 2011, 2179 (2180); Becker/Nikolaeva, CR 2012, 170. 4 Ebenso Niemann/Hennrich, CR 2010, 686 (688); Pohle/Ammann, CR 2009, 273 (277); Weber/Voigt, ZD 2011, 74 (77 f.). 5 Ebenso Bierekoven, DGRI Jahrbuch 2010, S. 95, 102, 104; Gaul/Koehler, BB 2011, 2229 (2233); Nägele/Jacobs, ZUM 2010, 281 (290); Pohle/Ammann, CR 2009, 273 (277); Splittgerber/Rockstroh, BB 2011, 2179 (2181, 2184).

Plath

|

401

§ 11 BDSG | Allgemeine und gemeinsame Bestimmungen der EU-Kommission als „sicher“ eingestuft wurden, so dass eine Datenübermittlung in diese Länder zulässig ist (s. Rz. 14)1. 54 Zu Problemen bei der Beauftragung US-amerikanischer Cloud Anbieter kann

unter Umständen der US Patriot Act führen, wonach Unternehmen ggf. zur Herausgabe von Daten an die US-Behörden verpflichtet werden können2. Dieses Auskunftsverlangen kann sogar auf ausländische Töchter US-amerikanischer Unternehmen ausgedehnt werden3. Problematisch ist, dass die Übermittlung der in Deutschland verarbeiteten Daten an die amerikanische Muttergesellschaft in der Regel nicht über § 28, §§ 4b, 4c zu rechtfertigen ist4. In diesem Fall sehen sich die Cloud Anbieter in dem – bislang ungelösten – Dilemma, entweder gegen deutsches bzw. europäisches Datenschutzrecht oder gegen eine Anordnung der US-Behörden zu verstoßen. In der Praxis ist davon auszugehen, dass ein amerikanisches Unternehmen eher bereit sein wird, gegen europäisches Datenschutz- als gegen amerikanisches Terrorschutzrecht zu verstoßen. c) Kontrollpflichten und Weisungsgebundenheit beim Cloud Computing

55 Der virtuelle Charakter des Cloud Computings macht die Einhaltung der Kon-

troll- und Weisungspflichten durch den Auftraggeber problematisch. Vor Abschluss des Auftragsdatenverarbeitungsvertrags ist der Auftraggeber dazu verpflichtet, den Auftragnehmer sorgfältig auszuwählen (vgl. Rz. 90) und dahingehend zu kontrollieren, ob ausreichende technische und organisatorische Maßnahmen i.S.d. § 9 zur Gewährleistung der Datensicherheit getroffen wurden (vgl. Rz. 91). Zudem sind auch während der Vertragslaufzeit regelmäßige Kontrollen durchzuführen. Problematisch ist dabei, dass aufgrund der hohen Standardisierung der Inanspruchnahme von Cloud Diensten sowie der Internationalität der Vertragspartner eine Kontrolle schwierig ist, insbesondere bei Public Cloud Diensten. Nach der hier vertretenen Ansicht ist den Kontrollpflichten des Auftraggebers Genüge getan, wenn er sich hinreichend informiert und das Ergebnis der Prüfung dokumentiert (vgl. Abs. 2 Satz 4 und 5 sowie Rz. 92). Dabei darf sich der Auftraggeber auf Informationen, die der Cloud Anbieter veröffentlicht hat, sowie auf Zertifizierungen, Prüfberichte und Referenzen verlassen5. Je standardisierter die in Anspruch genommene Leistung, umso summarischer bzw. abstrakter können auch die Prüfungen sein. Eine Untersuchung vor Ort ist dagegen nicht erforderlich und im Falle des Cloud Computings auch praxisfern6. In diesem Zusammenhang gilt 1 2 3 4 5

Bierekoven, DGRI Jahrbuch 2010, S. 95, 102; Pohle/Ammann, CR 2009, 273 (277). Ausführlich zu dieser Problematik Becker/Nikolaeva, CR 2012, 170. Vgl. Becker/Nikolaeva, CR 2012, 170 (172). Ausführlich hierzu Becker/Nikolaeva, CR 2012, 170 (173 f.). Ebenso Niemann/Hennrich, CR 2010, 686 (690); Gaul/Koehler, BB 2011, 2229 (2232); kritisch, aber im Ergebnis ebenso Bierekoven, DGRI Jahrbuch 2010, S. 95, 110; kritisch Schuster/Reichl, CR 2010, 38 (42). 6 Ebenso Gaul/Koehler, BB 2011, 2229 (2232).

402

|

Plath

Erhebung, Verarbeitung oder Nutzung im Auftrag | § 11 BDSG

es zu beachten, dass gerade die Geheimhaltung der genauen Sicherheitsstandards sowie der Belegenheit der Infrastruktur einen großen Beitrag zur Absicherung des Cloud Computings vor externen Eingriffen leistet. Es ist demnach sogar im Interesse des Datenschutzes, eine summarische Prüfung der getroffenen technischen und organisatorischen Maßnahmen als ausreichend anzusehen1. Darüber hinaus muss der Auftragnehmer gemäß Abs. 3 Satz 1 weisungsgebun- 56 den operieren. Problematisch ist dabei, dass eine individuelle Anweisung des Cloud Anbieters in der Praxis im Regelfall kaum möglich sein wird. Andererseits ist das Cloud Computing durch ein hohes Maß an Standardisierung gekennzeichnet, so dass allgemeine Anweisungen den Anforderungen des Abs. 3 Satz 1 genügen. Diesen kann sich der Cloud Anbieter bereits bei Abschluss des Auftragsdatenverarbeitungsvertrags formularmäßig unterwerfen2. Maßgeblich ist insoweit, dass die entsprechenden Verträge BDSG-konform ausgestaltet werden. Soweit die standardmäßig bereitgestellten Verträge mancher Cloud Anbieter diesen Anforderungen nicht entsprechen, ist im Interesse beider Parteien anzuraten, die Verträge individuell anzupassen und die notwendigen Anpassungen ggf. im Rahmen einer Ergänzungsvereinbarung vorzunehmen. d) Unterauftragsverhältnisse beim Cloud Computing In der Praxis ist es üblich, dass sich ein Cloud Provider mehrerer Subunterneh- 57 mer zur Erbringung seiner Leistungen bedient3. Um sicherzustellen, dass die Sicherheitsstandards des § 11 auch durch den Unterauftragnehmer eingehalten werden, macht Abs. 2 Satz 2 Nr. 6 die Zulässigkeit der Begründung eines solchen Verhältnisses von einer entsprechenden Zustimmung durch den Auftraggeber abhängig. Diese kann nach der hier vertretenen Ansicht jedoch pauschal und ohne die Benennung konkreter Subunternehmer erteilt werden, so dass auch dieser Anforderung durch eine entsprechend allgemein formulierte Vereinbarung im Auftragsdatenverarbeitungsvertrag genügt werden kann4. Darüber hinaus sollte auch sichergestellt werden, dass die Pflichten und Weisungen aus dem Hauptvertrag deckungsgleich im Verhältnis des Auftragnehmers zum Unterauftragnehmer bestehen (hierzu ausführlich Rz. 106). Problematisch ist die Begründung von Unterauftragsverhältnissen, wenn der 58 Unterauftragnehmer außerhalb der EU bzw. des EWR tätig ist. Ausführlich hierzu s. Rz. 107. 1 So auch Niemann/Hennrich, MMR 2010, 686 (690). 2 Ebenso Niemann/Hennrich, MMR 2010, 686 (692); Bierekoven, DGRI Jahrbuch 2010, S. 95, 106. 3 Ausführlich zu den verschiedenen Subunternehmer-Modellen, insbesondere dem Generalunternehmer- und dem Multi-Vendor-Management-Modell Bierekoven, DGRI Jahrbuch 2010, S. 95, 99 ff. 4 Vgl. Bierekoven, DGRI Jahrbuch 2010, S. 95, 107.

Plath

|

403

§ 11 BDSG | Allgemeine und gemeinsame Bestimmungen 3. Banken 59 Im Rahmen der Auftragsdatenverarbeitung bei Banken stellt sich insbesondere

die Frage nach der Vereinbarkeit des Outsourcings mit dem Bankgeheimnis.

60 Das Bankgeheimnis wird allgemein als besondere Ausprägung des Rechts auf in-

formationelle Selbstbestimmung, eines Teilbereichs des allgemeinen Persönlichkeitsrechts, verstanden. Es findet somit seine verfassungsrechtliche Grundlage in Art. 2 Abs. 1 i.V.m. 1 Abs. 1 GG1. Zugleich liegt dem Bankgeheimnis eine langjährige Tradition der Geheimhaltung von Bankkundendaten als Voraussetzung für den Aufbau eines Vertrauensverhältnisses zugrunde. Damit wird in ihm auch ein vorkonstitutionelles Gewohnheitsrecht gesehen2. Eine gesetzliche Regelung des Bankgeheimnisses gibt es nicht. Seine Existenz wird jedoch in § 9 Abs. 1 KWG, § 32 BBankG, § 30a AO, § 12 GWG sowie in § 17 Abs. 2 PachtkreditG vorausgesetzt3. Im Verhältnis zwischen Kunde und Bank wird das Bankgeheimnis rechtsgeschäftlich begründet. Dessen Wahrung ist vor- und nachvertragliche Nebenpflicht i.S.d. § 311 Abs. 2 Nr. 1 BGB4.

61 Das Bankgeheimnis bietet umfassenden Schutz. Es fallen darunter alle Tatsachen

und Wertungen privater oder bankgeschäftlicher Art, die nach dem tatsächlichen, zumindest jedoch nach dem mutmaßlichen Willen des Kunden geheim gehalten werden sollen5. Es gibt also keine unwesentlichen Bankdaten, so dass jedes Outsourcing der Verarbeitung entsprechender Daten eine Beeinträchtigung des Bankgeheimnisses bedeutet6. Die Geheimhaltungspflicht gilt gegenüber jedem Dritten7. Darüber hinaus muss das Bankgeheimnis auch bankintern gewahrt werden. Der Kreis derer, die ohne eine Verletzung des Bankgeheimnisses Kenntnis von geschützten Tatsachen und Wertungen erlangen können, beschränkt sich auf Stellen, die mit Tätigkeiten des regelmäßigen Bankbetriebs betraut sind8. Damit können von diesem sog. „innere Bankgeheimnis“ sowohl bankeigene Mitarbeiter als auch organisatorisch Außenstehende, die eine bankgeschäftliche Tätigkeit ausführen, betroffen sein9. Für die Reichweite des inne1 Schimansky/Bunte/Lwowski/Bruchner/Krepold, Bankrechts-Handbuch, § 39 Rz. 5 f.; Meyer/Steding, BB 2001, 1693. 2 Schimansky/Bunte/Lwowski/Bruchner/Krepold, Bankrechts-Handbuch, § 39 Rz. 9. 3 Ausführlich hierzu Schimansky/Bunte/Lwowski/Bruchner/Krepold, Bankrechts-Handbuch, § 39 Rz. 7 ff.; Meyer/Steding, BB 2001, 1693 f. 4 Schimansky/Bunte/Lwowski/Bruchner/Krepold, Bankrechts-Handbuch, § 39 Rz. 8; Fisahn, CR 1995, 632 (634). 5 Schimansky/Bunte/Lwowski/Bruchner/Krepold, Bankrechts-Handbuch, § 39 Rz. 10 ff.; Meyer/Steding, BB 2001, 1693 (1694). 6 Meyer/Steding, BB 2001, 1693 (1694). 7 Schimansky/Bunte/Lwowski/Bruchner/Krepold, Bankrechts-Handbuch, § 39 Rz. 17; Meyer/Steding, BB 2001, 1693 (1695). 8 Meyer/Steding, BB 2001, 1693 (1695). 9 Schimansky/Bunte/Lwowski/Bruchner/Krepold, Bankrechts-Handbuch, § 39 Rz. 23 ff.

404

|

Plath

Erhebung, Verarbeitung oder Nutzung im Auftrag | § 11 BDSG

ren Bankgeheimnisses ist grundsätzlich der Wille des Kunden maßgeblich, wobei aber von einem regelmäßigen Einverständnis mit einer für den Bankbetrieb erforderlichen Weitergabe ausgegangen werden kann1. Es stellt sich die Frage, ob eine an sich nach § 11 zulässige Auftragsdatenver- 62 arbeitung gegen das Bankgeheimnis verstößt. Von maßgeblicher Bedeutung sind dabei zum einen die Regelungen des Kreditwirtschaftsgesetzes (KWG) und zum anderen der Straftatbestand des § 203 Abs. 2 Satz 1 Nr. 1, 2 StGB. a) Vereinbarkeit mit dem KWG Grundsätzlich steht das Bankgeheimnis einer Arbeitsteilung – und damit auch 63 einem Outsourcing – nicht entgegen2. Dies ergibt sich nicht zuletzt auch im Rückschluss aus § 25a Abs. 2 KWG, der eine Auslagerung von Tätigkeiten erlaubt, und lediglich bestimmte aufsichtsrechtliche Voraussetzungen formuliert, die für die Rechtmäßigkeit einer Auslagerungen von Banktätigkeiten eingehalten werden müssen3. Den Anforderungen des § 25a Abs. 2 KWG muss entsprochen werden, wenn 64 eine zumindest langzeitige, nicht zwingend notwendige Auslagerung von Aktivitäten auf ein organisatorisch selbständiges Unternehmen erfolgt4. Eine notwendige Tätigkeitsauslagerung fällt damit im Umkehrschluss nicht in den Regelungsbereich der Norm. Die Auftragsdatenverarbeitung ist in der Regel ein Fall des § 25a Abs. 2 KWG5. Die Kontrollvorgaben dieser Norm zielen darauf ab, dass das Auslagerungsunternehmen den gleichen Sorgfaltsanforderungen genügt, wie das Kreditinstitut selbst6. Dafür ist erforderlich, dass die outsourcende Bank ausreichende Vorkehrungen zur Risikovermeidung trifft und den Auftragnehmer in ihr internes Kontrollsystem einbezieht7. Darüber hinaus darf die Auslagerung weder die Geschäftsorganisation noch die Ausübung der Prüfungsund Kontrollrechte sowohl der Geschäftsleitung als auch des Bundesaufsichtsamts für Kreditwesen stören. Für die Gewährleistung der Einhaltung dieser Vorgaben ist eine schriftliche Vereinbarung mit dem Auftragnehmer erforderlich8.

1 Meyer/Steding, BB 2001, 1693 (1695). 2 Schimansky/Bunte/Lwowski/Bruchner/Krepold, Bankrechts-Handbuch, § 39 Rz. 27; Heinrichs, WM 2000, 1561 (1566). 3 So auch Bergmann/Möhrle/Herb, § 11 BDSG Rz. 12a; ausführlich hierzu Witzel, ITRB 2006, 286 ff. 4 Schimansky/Bunte/Lwowski/Bruchner/Krepold, Bankrechts-Handbuch, § 39 Rz. 28; Witzel, ITRB 2006, 286 (287); Heinrichs, WM 2000, 1561 (1563). 5 Heinrichs, WM 2000, 1561 (1564). 6 Witzel, ITRB 2006, 286; Heinrichs, WM 2000, 1561 (1563). 7 Witzel, ITRB 2006, 286 (287 f.); Heinrichs, WM 2000, 1561 (1564). 8 Witzel, ITRB 2006, 286 (287 f.); Heinrichs, WM 2000, 1561, (1564).

Plath

|

405

§ 11 BDSG | Allgemeine und gemeinsame Bestimmungen 65 Mit der Beauftragung des Auftragnehmers wird der Kreis derer erweitert, die dem

„inneren Bankgeheimnis“ verpflichtet sind. Das Auslagerungsunternehmen wird vertraglich in den rechtsgeschäftlich begründeten Wirkungsbereich des Bankgeheimnisses zwischen dem Kreditinstitut und dem Kunden einbezogen. Dieser Gedanke ist vergleichbar mit dem, der hinter § 203 Abs. 3 Satz 2 StGB steht.

66 Damit ist eine Auftragsdatenverarbeitung i.S.d. § 11 auch im Hinblick auf das

Bankgeheimnis unbedenklich, wenn die Voraussetzungen des § 25a KWG erfüllt werden. Dabei decken sich die aufsichts- und datenschutzrechtlichen Anforderungen in weiten Teilen. b) Vereinbarkeit mit dem StGB

67 Darüber hinaus stellt sich für öffentlich-rechtliche Kreditinstitute die Frage

nach der möglichen Strafbarkeit einer Datenweitergabe, die mit der Auftragsdatenverarbeitung einhergeht. Hintergrund hierfür ist § 203 Abs. 2 Satz 1 Nr. 1, 2 StGB. Teilweise wird vertreten, dass Mitarbeiter eines öffentlich-rechtlichen Kreditinstituts Amtsträger i.S.d. § 203 Abs. 2 Satz 1 Nr. 1 StGB, zumindest jedoch für den öffentlichen Dienst besonders Verpflichtete i.S.v. Nr. 2 seien1. Im Rahmen der Auftragsdatenverarbeitung erfolgt auch eine Offenbarung, soweit Bankdaten als Geheimnisse i.S.d. § 203 Abs. 2 StGB angesehen werden können2. Problematisch ist jedoch, dass die Gleichstellungsregel des § 203 Abs. 3 Satz 2 StGB, die den Täterkreis des Absatz 1 auf berufsmäßig tätige Gehilfen ausweitet (vgl. ausführlich Rz. 74), nicht für den Personenkreis des Absatzes 2 gilt3. Zudem greift der für Absatz 2 normierte Tatbestandsausschluss des § 203 Abs. 2 Satz 2 StGB, der eine Unbedenklichkeit der Datenweitergabe an Behörden normiert, im Falle der Auftragsdatenverarbeitung gerade nicht.

68 Tatbestandsausschließend würde sicherlich eine Einwilligung des Betroffenen

in die Geheimnisoffenbarung wirken. Eine ausdrückliche Einwilligung wird jedoch in vielen Fällen nicht explizit erteilt. Im Einzelfall wird allerdings zu prüfen sein, ob eine Einwilligung durch Zustimmung in die AGB des Kreditinstituts wirksam erteilt wurde. Hier wird es maßgeblich auf die Frage ankommen, ob eine solche vorformulierte Einwilligungserklärung einer AGB-Kontrolle standhält (hierzu ausführlich Komm. zu § 4a BDSG Rz. 39). Darüber hinaus ist grundsätzlich auch eine konkludente Einwilligung möglich, wobei eine stillschweigende Einwilligung nur infrage kommt, wenn die Offenbarung vorhersehbar und selbstverständlich, zumindest jedoch regelmäßig üblich ist (hierzu ausführlich Rz. 73)4. Damit kann in eine Weitergabe von Daten an externe Ver1 Fischer, § 203 Rz. 24; Taeger/Gabel/Gabel, § 11 Rz. 9; Otto, Wistra 1999, 201 (202). 2 Vgl. hierzu die nachstehende Ausführungen zu BGH v. 27.10.2009 – XI ZR 225/08, NJW 2010, 361. 3 Fischer, § 203 Rz. 19. 4 Lackner/Kühl/Kühl, § 203 StGB Rz. 18.

406

|

Plath

Erhebung, Verarbeitung oder Nutzung im Auftrag | § 11 BDSG

rechnungsstellen nicht konkludent eingewilligt werden1. Der Tatbestand des § 203 Abs. 2 Nr. 1, 2 StGB ist damit durch die Auftragsdatenverarbeitung regelmäßig erfüllt. Allerdings ergibt sich aus dem Zusammenspiel mehrerer gesetzgeberischer Ent- 69 scheidungen, dass auch eine Auftragsdatenverarbeitung bei Banken straflos sein muss. Der Gesetzgeber hat sich durch die Formulierung des § 11 grundsätzlich für die Möglichkeit einer Auftragsdatenverarbeitung ausgesprochen. Zugleich hat er für den Täterkreis des § 203 Abs. 1 StGB die Notwendigkeit einer Tatbestandserweiterung durch den Abs. 3 gesehen. Es ist nicht ersichtlich, warum eine Erweiterung des Kreises der Geheimnisträger bei Kreditinstituten nicht erfolgt ist, zumal die Norm nur öffentlich-rechtliche Institute betrifft, die gegenüber privaten Banken erheblich benachteiligt sein würden. Diese Ungleichbehandlung hat auch der BGH erkannt2. In einem Urteil über die 70 Zulässigkeit der Abtretung von Darlehensforderungen durch ein öffentlichrechtliches Kreditinstitut hat sich der BGH gegen einen strafrechtlichen Schutz des Bankgeheimnisses ausgesprochen, so dass bereits kein Geheimnis i.S.d. § 203 StGB vorliegt, das offenbart werden könnte3. Da eine analoge Ausweitung des Täterkreises des § 203 Abs. 1 StGB gegen Art. 103 Abs. 2 GG verstoße, müsse die im Rahmen einer Darlehensabtretung erforderliche Weitergabe von Daten aus dem Anwendungsbereich des § 203 Abs. 2 StGB herausgenommen werden4. Die Frage, ob Mitarbeiter öffentlich-rechtlicher Kreditinstitute dem § 203 Abs. 2 Satz 1 Nr. 1, 2 StGB unterfallen, hat der BGH offen gelassen5. Es ist durchaus denkbar, dass diese Rechtsprechung auch auf die strafrechtliche Beurteilung von Auftragsdatenverarbeitung anwendbar ist. Als Lösung dieses Problems wird in der Literatur darüber hinaus eine Konstruk- 71 tion über den rechtfertigenden Notstand gemäß § 34 StGB vertreten6: Das Interesse des Kunden an der Geheimhaltung seiner Daten müsse hinter dem wirtschaftlichen Interesse der Bank an der Möglichkeit eines Outsourcings zurücktreten, soweit das Recht des Kunden auf informationelle Selbstbestimmung gewahrt ist. Hierfür könnten die Vorgaben des § 11 als Vorgabe dienen. 4. Versicherungen und Verrechnungsstellen Für Versicherungen und Verrechnungsstellen stellt sich im Rahmen eines IT- 72 Outsourcings über die datenschutzrechtliche Zulässigkeit hinaus die Frage nach 1 BGH v. 10.7.1991 – VIII ZR 296/90, NJW 1991, 2955; BGH v. 20.5.1992 – VIII ZR 240/ 91. 2 BGH v. 27.10.2009 – XI ZR 225/08, NJW 2010, 361. 3 BGH v. 27.10.2009 – XI ZR 225/08, NJW 2010, 361 (362). 4 BGH v. 27.10.2009 – XI ZR 225/08, NJW 2010, 361 (363). 5 BGH v. 27.10.2009 – XI ZR 225/08, NJW 2010, 361 (362). 6 Otto, Wistra 1999, 201 (204 ff.).

Plath

|

407

§ 11 BDSG | Allgemeine und gemeinsame Bestimmungen der strafrechtlichen Unbedenklichkeit im Hinblick auf § 203 Abs. 1 Nr. 6 StGB. Diese Norm stellt die unbefugte Offenbarung von Geheimnissen unter Strafe. Das Recht auf informationelle Selbstbestimmung des Einzelnen als dieser Norm zugrundeliegendes Schutzgut von hoher Bedeutung1 führt zu einem weiten Geheimnisbegriff. Damit werden nicht nur sensible Daten wie z.B. über Krankheiten oder Schadensfälle, sondern bereits das Bestehen einer Vertragsbeziehung als Privatgeheimnis geschützt2. Unter Offenbarung ist jede Mitteilung über eine geheime Tatsache zu verstehen, wobei bereits ein Zugänglichmachen, das ohne Weiteres eine Kenntnisnahme des relevanten Datums ermöglicht, ausreichend ist3. Da die Datenverarbeitung meistens zumindest mit der Möglichkeit zur Kenntnisnahme einhergeht, liegt bei der Auftragsdatenverarbeitung i.d.R. eine Offenbarung von Geheimnissen vor4. 73 Unbefugt ist die Offenbarung dann nicht, wenn eine Einwilligung vorliegt.

Diese kann – was die strafrechtliche Einwilligung betrifft – formlos und konkludent erfolgen, wobei eine stillschweigende Einwilligung nur infrage kommt, wenn die Offenbarung vorhersehbar und selbstverständlich, zumindest jedoch regelmäßig üblich ist5. So kann in eine Weitergabe von Daten an externe Verrechnungsstellen nicht konkludent eingewilligt werden6. Eine tatbestandsausschließende Einwilligung liegt nach der hier vertretenen Ansicht jedenfalls dann vor, wenn sie den Anforderungen an eine Einwilligung i.S.d. § 4 Abs. 1 genügt. Eine solche Einwilligung wird jedoch in vielen Fällen nicht erteilt.

74 Eine unbefugte Geheimnisoffenbarung ist allerdings dann nicht tatbestandlich,

wenn sie an einen berufsmäßig tätigen Gehilfen i.S.d. § 203 Abs. 3 Satz 2 StGB erfolgt. Darunter fällt, wer den Schweigepflichtigen in seiner von § 203 StGB erfassten Funktion oder Tätigkeit derart unterstützt, dass damit eine Kenntnis von Geheimnissen einhergeht oder unproblematisch möglich ist7. Folglich stellt sich im Bereich des IT-Outsourcings die Frage, ob ein IT-Dienstleister Gehilfe i.S.d. § 203 Abs. 3 Satz 2 StGB ist8.

75 Das Bejahen eines berufsmäßig tätigen Gehilfen setzt eine effektive Kontrolle

desselben durch den Geheimnisträger voraus, die verhindern soll, dass dieser Geheimnisse offenbaren kann9. Teilweise wird vertreten, dass Gehilfe nur ist,

1 2 3 4 5 6

Heghmanns/Niehaus, NStZ 2008, 57 (61 m.w.N.). Bräutigam, CR 2011, 411 (412); Heghmanns/Niehaus, NStZ 2008, 57. Heghmanns/Niehaus, NStZ 2008, 57. So i.E. auch Simitis/Petri, § 11 BDSG Rz. 44. Lackner/Kühl/Kühl, § 203 StGB Rz. 18. BGH v. 10.7.1991 – VIII ZR 296/90, NJW 1991, 2955; BGH v. 20.5.1992 – VIII ZR 240/ 91, NJW 1992, 2348; Bräutigam, CR 2011, 411 (413). 7 Heghmanns/Niehaus, NStZ 2008, 57 (58). 8 So z.B. auch Simitis/Petri, § 11 BDSG Rz. 46. 9 Heghmanns/Niehaus, NStZ 2008, 57 (61).

408

|

Plath

Erhebung, Verarbeitung oder Nutzung im Auftrag | § 11 BDSG

wer darüber hinaus organisatorisch in den Betrieb eingebunden ist1. Damit wären externe Dienstleister i.d.R. von § 203 Abs. 3 Satz 2 StGB nicht erfasst. Hierfür gibt der Wortlaut der Norm jedoch keinen Anhaltspunkt her2. Darüber hinaus wäre § 203 Abs. 3 Satz 2 StGB gegenstandslos, wenn eine Betriebszugehörigkeit erforderlich wäre, da organisatorisch Eingebundene bereits direkt von § 203 Abs. 1 Nr. 6 StGB erfasst werden3. Zudem ist der beauftragte Datenverarbeiter eher mit einem Erfüllungsgehilfen i.S.d. § 278 BGB als mit einem Verrichtungsgehilfen i.S.d. § 831 BGB vergleichbar4. Eine organisatorische Einbindung des Erfüllungsgehilfen ist jedoch für dessen Zurechnung gerade nicht erforderlich. Auch der Vergleich mit § 53a StPO, der ein Zeugnisverweigerungsrecht für berufsmäßig tätige Gehilfen normiert und lediglich einen inneren Zusammenhang der Tätigkeit erfordert5, spricht gegen die Notwendigkeit einer betrieblichen Zugehörigkeit6. Die Erforderlichkeit einer organisatorischen Einbindung ist darüber hinaus realitätsfremd. In diese Richtung geht auch die Ansicht des BGH, der das Prinzip der Arbeitsteiligkeit in der Datenverarbeitung anerkannt hat7. Schließlich spricht auch das Verhältnis von § 11 BDSG zu § 203 StGB für eine 76 Anwendbarkeit der Ausnahmevorschrift des § 203 Abs. 3 Satz 2 StGB auf das IT-Outsourcing durch Versicherungen und Verrechnungsstellen. Zwar können die Wertungen des BDSG dem StGB nicht unmittelbar zugrunde gelegt werden, doch muss § 11 bei der Auslegung des § 203 Abs. 3 Satz 2 StGB berücksichtigt werden8. § 11 setzt für die Zulässigkeit der Datenverarbeitung eine strenge Kontrolle der datenverarbeitenden Stelle voraus, um einen Schutz des Rechts auf informationelle Selbstbestimmung zu gewährleisten. Damit stellt er Anforderungen an die Geheimhaltung von Daten, die mit den Kontrollanforderungen des § 203 Abs. 3 Satz 2 StGB vergleichbar sind. Der gleiche Schutzzweck beider Normen rechtfertigt es, an die effektive Kontrolle nach § 203 Abs. 3 Satz 2 StGB die gleichen Maßstäbe zu stellen, wie an die Kontrolle nach § 119. So fällt eine nach BDSG erlaubte Auftragsdatenverarbeitung aus dem Tatbestand des § 203 Abs. 1 Nr. 6 StGB heraus und ist auch in strafrechtlicher Hinsicht zulässig. 1 Schönke/Schröder/Lenckner/Eisele, § 203 Rz. 64a; im Ergebnis ebenso SK-StGB/Hoyer, § 203 Rz. 48; MüKo/Cierniak, § 203 StGB Rz. 114. 2 Kort, NStZ 2011, 193 (194 f.); Heghmanns/Niehaus, NStZ 2008, 57 (59). 3 Heghmanns/Niehaus, NStZ 2008, 57 (59); Jahn/Palm, AnwBl 2011, 613 (618); Kort, NStZ 2011, 193 (194). 4 Heghmanns/Niehaus, NStZ 2008, 57 (59). 5 OLG Hamm v. 20.1.2009 – 5 Ws 24/09, NStZ 2010, 164. 6 Heghmanns/Niehaus, NStZ 2008, 57 (59); ausführlich hierzu Hoenike/Hülsdunk, MMR 2004, 788 (789 ff.). 7 BGH v. 10.2.2010 – VIII ZR 53/09, WM 2010, 669; Kort, NStZ 2011, 193 (194). 8 Heghmanns/Niehaus, NStZ 2008, 57 (60). 9 Bräutigam, CR 2011, 411 (415 f.); Heghmanns/Niehaus, NStZ 2008, 57 (62); Hoenike/ Hülsdunk, MMR 2004, 788 (791 f.).

Plath

|

409

§ 11 BDSG | Allgemeine und gemeinsame Bestimmungen 77 Im Ergebnis ist damit ein nach § 11 zulässiges Outsourcing durch Versicherun-

gen oder Verrechnungsstellen nicht strafbar nach § 203 Abs. 1 Nr. 6 StGB, soweit der Auftragnehmer als berufsmäßig tätiger Gehilfe des Auftraggebers (§ 203 Abs. 3 Satz 2 StGB) betrachtet werden kann. Dabei wird in der Regel mit der Einhaltung der in § 11 normierten Kontrollpflichten zugleich auch den Anforderungen, die § 203 Abs. 3 Satz 2 StGB an die Kontrolle des Gehilfen stellt, genügt. 5. Berufliche Geheimnisträger

78 Bei Ärzten und Rechtsanwälten besteht in Bezug auf die Regelungen des BDSG

die Besonderheit, dass sie bereits berufsrechtlich zur Geheimhaltung verpflichtet sind1. § 43a Abs. 2 BRAO ordnet dies für Rechtsanwälte sogar gesetzlich an.

79 Es stellt sich die Frage, ob aus diesem Umstand ein Konflikt mit dem BDSG ent-

steht. In der Tat bleiben berufliche Geheimhaltungspflichten gemäß § 1 Abs. 3 Satz 2 von den datenschutzrechtlichen Vorschriften unberührt (vgl. Komm. zu § 1 BDSG Rz. 40). Dies heißt jedoch nicht, dass das BDSG auf diese Berufsgruppen überhaupt nicht anwendbar ist. Allerdings müssen die Besonderheiten dieser Geheimhaltungspflichten berücksichtigt werden. Das BDSG und das Berufsgeheimnis stehen somit ergänzend nebeneinander2.

80 Im Fall des Outsourcings in Form einer Datenverarbeitung stellt sich darüber

hinaus die Frage, inwieweit die Weitergabe von Patienten- bzw. Mandantendaten nach § 203 Abs. 1 Nr. 1, 3 StGB strafbar ist. Von besonderer Relevanz ist dabei die Weitergabe von Daten an externe Verrechnungsstellen.

81 Die Norm des § 203 StGB dient dem strafrechtlichen Schutz des Berufs-

geheimnisses. Damit sind nur solche Daten Geheimnisse i.S.d. dieser Norm, die tatsächlich auch dem Berufsgeheimnis unterliegen3. Persönliche Daten von Mandanten bzw. Patienten wie Name und Anschrift, die für die Abrechnung erforderlich sind, stehen jedoch im engen Verhältnis zur beruflichen Tätigkeit des Arztes bzw. Anwalts. Auch die Abrechnung erbrachter Leistungen gehört zum typischen Tätigkeitsfeld dieser Berufe. Da für die korrekte Abrechnung auch die erbrachten Leistungen genannt werden müssen, und gerade diese Angaben sensible Informationen über den Patienten bzw. Mandanten darstellen, fallen abrechnungsrelevante Daten in das Berufsgeheimnis. Ihre Weitergabe an Verrechnungsstellen ist auch eine Offenbarung i.S.d. § 203 Abs. 1 StGB (s. die Ausführungen zu Versicherungen Rz. 72)4.

1 Vgl. zum Patientengeheimnis Jandt/Roßnagel/Wilke, NZS 2011, 641 f.; zum IT-Outsourcing bei Anwälten Conrad/Fechtner, CR 2013, 137. 2 Redeker, NJW 2009, 554 (555 f.); Weichert, NJW 2009, 550 (551). 3 Jahn/Palm, AnwBl 2011, 613 (615); Rüpke, NJW 2002, 2835 (2836). 4 Bongen/Kremer, NJW 1990, 2911; Kort, NStZ 2011, 193; ebenso zum „Anwaltssekretariat“ Jahn/Palm, AnwBl 2011, 613 (616); ausführlich zur Weitergabe von Daten an privatärztliche Verrechnungsstellen Giesen, NStZ 2012, 122.

410

|

Plath

Erhebung, Verarbeitung oder Nutzung im Auftrag | § 11 BDSG

Die Strafbarkeit einer solchen Auftragsdatenverarbeitung entfällt jedoch, wenn 82 in der Verrechnungsstelle ein berufsmäßig tätiger Gehilfe i.S.d. § 203 Abs. 3 Satz 2 StGB gesehen werden kann (vgl. hierzu die Ausführungen Rz. 74). Nach der hier vertretenen Ansicht ist der Auftragsdatenverarbeiter als ein solcher zu qualifizieren. Angesichts der Tatsache, dass Verrechnungsstellen oft hochspezialisierte Unternehmen sind, deren Geschäft gerade vom vertrauensvollen Umgang mit sensiblen Daten abhängt, muss nicht befürchtet werde, dass durch die Inanspruchnahme ihrer Dienste eine Aushöhlung des Rechts auf informationelle Selbstbestimmung des Patienten bzw. Mandanten erfolgt1. Auf eine innerbetriebliche Einbindung des Gehilfen kommt es dagegen nach der hier vertretenen Ansicht nicht an2. Darüber hinaus sind Praxen und Kanzleien geradezu darauf angewiesen, Teile ihrer Tätigkeit, und insbesondere die Verrechnung, auszulagern, um sich auf ihre Kernkompetenz konzentrieren und im Wettbewerb bestehen zu können3. Auch spricht die gesonderte Erwähnung von Verrechnungsstellen in § 203 83 Abs. 1 Nr. 6 StGB nicht gegen ihre Einordnung als berufsmäßig tätige Gehilfen4. Durch die Gleichstellungsregel des § 203 Abs. 3 Satz 2 StGB wird lediglich die für Anwälte und Ärzte bestehende Schweigepflicht auf die Verrechnungsstellen ausgeweitet. Dagegen will § 203 Abs. 1 Nr. 6 StGB die Geheimnisse schützen, zu deren Geheimhaltung die Verrechnungsstellen ihrerseits beruflich verpflichtet sind. Deren Geheimhaltungspflichten müssen sich mit den Berufsgeheimnissen der Ärzte bzw. der Anwälte nicht unbedingt decken. Den Anforderungen an eine effektive Kontrolle der Verrechnungsstelle als be- 84 rufsmäßig tätigem Gehilfen wird durch die Einhaltung der Vorgaben des § 11 genügt. Dadurch wird vertraglich eine Schweigepflicht begründet, die durch § 203 Abs. 1 Nr. 1, 3 i.V.m. Abs. 3 Satz 2 StGB strafrechtlich ergänzt wird5. Eine Strafbarkeit nach § 203 Abs. 1 Nr. 1, 3 StGB entfällt darüber hinaus jeden- 85 falls dann, wenn der Betroffene in die Offenbarung des Geheimnisses wirksam eingewilligt hat (s. die Ausführungen zum gleichen Problem bei Versicherungen Rz. 73)6.

1 2 3 4

Hoenike/Hülsdunk, MMR 2004, 788 (789). Ebenso Jahn/Palm, AnwBl 2011, 613 (618). Vgl. auch Jahn/Palm, AnwBl 2011, 613. Hoenike/Hülsdunk, MMR 2004, 788 (789); Jahn/Palm, AnwBl 2011, 613 (618); a.A. Bongen/Kremer, NJW 1990, 2911 f. 5 Hoenike/Hülsdunk, MMR 2004, 788 (791); so im Ergebnis auch Bergmann/Möhrle/Herb, § 11 BDSG Rz. 28; a.A. Jandt/Roßnagel/Wilke, NZS 2011, 641 (645). 6 Simitis/Petri, § 11 BDSG Rz. 45; Bongen/Kremer, NJW 1990, 2911 (2912); Jandt/Roßnagel/Wilke, NZS 2011, 641 (645).

Plath

|

411

§ 11 BDSG | Allgemeine und gemeinsame Bestimmungen 6. Beschäftigungsverhältnisse 86 Im Falle der Auftragsdatenverarbeitung von Beschäftigtendaten sind neben den

allgemeinen Voraussetzungen des § 11 spezifische arbeitsrechtliche Regelungen zu beachten.

87 Zunächst stellt sich für die verantwortliche Stelle in ihrer Funktion als Arbeit-

geberin die Frage, ob die geplante Datenverwendung nach § 32 bzw. nach § 28 zulässig ist. Zu dieser Frage sowie zur Abgrenzung dieser Normen vgl. Komm. zu § 32 BDSG Rz. 81.

88 Darüber hinaus stellt sich die Frage, ob – ungeachtet der Regelungen des § 11 –

eine der Auftragsdatenverarbeitung nachempfundene Übergabe von Daten an einen Dienstleister auch durch eine Betriebsvereinbarung ermöglicht werden kann. In diesem Fall käme es auf die Einhaltung der Regelungen des § 11 nicht an. Grundsätzlich ist eine Betriebsvereinbarung eine „andere Rechtsvorschrift“ i.S.d. § 4 Abs. 1, so dass sie als Erlaubnisnorm per se infrage kommt2. Dabei muss die Betriebsvereinbarung nicht das Schutzniveau des BDSG gewährleisten; es reicht nach der hier vertretenen Ansicht vielmehr aus, dass den allgemeinen Wertungen des BDSG, insbesondere der Verhältnismäßigkeit der Maßnahmen, entsprochen wird, und dass dem Arbeit- bzw. Auftraggeber eine ausreichende Kontrolle des Auftragnehmers möglich ist3. Damit bietet der Abschluss einer Betriebsvereinbarung in den genannten Grenzen eine interessante Möglichkeit, den teilweise starren Anforderungen des § 11 zumindest in einigen Punkten zu entgehen.

89 Wird die Auftragsdatenverarbeitung hingegen auf § 11 gestützt, so müssen u.U.

dennoch betriebsverfassungsrechtliche Vorschriften, insbesondere bezüglich der Beteiligung des Betriebsrats, berücksichtigt werden. So werden bei Unternehmen, die über einen Betriebsrat verfügen, i.d.R. Unterrichtungs- und Beratungsrechte des Betriebsrats gemäß § 90 BetrVG bestehen4. Darüber hinaus kann der Betriebsrat auch ein Mitbestimmungsrecht auf Grundlage des § 87 Abs. 1 Nr. 6 BetrVG haben, wenn in der Auftragsdatenverarbeitung eine technische Einrichtung zu sehen ist, die zur Überwachung der Leistung und des Verhaltens des Arbeitsnehmers objektiv geeignet ist. Diskutiert wird dies insbesondere im Falle der Auftragsdatenverarbeitung im Wege des Cloud Computings5.

1 Vgl. auch Gaul/Koehler, BB 2011, 2229 (2231 f.). 2 Vgl. auch BAG v. 27.5.1986 – 1 ABR 48/84, NZA 1986, 643 (646); ebenso Gaul/Koehler, BB 2011, 2229 (2234). 3 Ebenso Gaul/Koehler, BB 2011, 2229 (2234). 4 Vgl. auch Gaul/Koehler, BB 2011, 2229 (2234). 5 So z.B. Gaul/Koehler, BB 2011, 2229 (2235).

412

|

Plath

Erhebung, Verarbeitung oder Nutzung im Auftrag | § 11 BDSG

VI. Auswahl des Auftragnehmers (Abs. 2 Satz 1) Der Auftraggeber ist bei der Wahl seines Auftragnehmers grundsätzlich frei1. Er 90 ist allerdings verpflichtet, den Auftragnehmer unter besonderer Berücksichtigung der von diesem getroffenen technischen und organisatorischen Maßnahmen sorgfältig auszuwählen (Abs. 2 Satz 1)2. Mit den technischen und organisatorischen Maßnahmen sind insbesondere 91 die nach § 9 zu treffenden Maßnahmen gemeint3. Soweit mehrere Auftragnehmer diese Standards erfüllen, ist der Auftraggeber nicht verpflichtet, denjenigen Dienstleister auszuwählen, der das höchste Schutzniveau bietet. Erforderlich ist allein, dass die gesetzlichen Anforderungen eingehalten werden4. Um die erforderliche Sorgfalt bei der Auswahl des Auftragnehmers walten lassen 92 zu können, hat sich der Auftraggeber vor Vergabe des Auftrags über die von dem Auftragnehmer getroffenen bzw. zu treffenden technischen und organisatorischen Maßnahmen zu informieren und das Ergebnis der Prüfung zu dokumentieren (vgl. Abs. 2 Satz 4 und 5)5. Geeignete Mittel zur Einholung dieser Informationen können z.B. Zertifizierungen, Prüfberichte oder Referenzen sein. Ebenso kann eine Besichtigung der Betriebsstätte des potentiellen Auftragnehmers Aufschlüsse über dessen Eignung geben, wobei eine solche Vor-Ort-Kontrolle jedoch keinesfalls zwingende Voraussetzung für eine sorgfältige Auswahl ist, soweit sich der Auftraggeber aufgrund sonstiger Informationen ein verlässliches Bild machen kann6. Nicht immer wird ein potentieller Auftragnehmer die Maßnahmen bereits um- 93 gesetzt haben. So wird er z.B. die Investitionen für bestimmte Sicherheitseinrichtungen erst vornehmen, wenn er tatsächlich beauftragt worden ist. Insofern reicht es für die Auswahl des Auftragnehmers aus, dass sich der Aufraggeber die entsprechenden Sicherheitskonzepte vorlegen lässt und deren Umsetzung zum Gegenstand des Vertrages macht, ohne dass die entsprechende Hard- und Software bereits vorhanden sein müsste. Wie aus Abs. 2 Satz 4 folgt, muss diese allerdings spätestens „vor Beginn der Datenverarbeitung“ verfügbar sein. Zu den Einzelheiten der Prüfungspflicht des Auftraggebers s. Rz. 112 ff. 1 Däubler/Klebe/Wedde/Weichert/Wedde, § 11 BDSG Rz. 26; Bergmann/Möhrle/Herb, § 11 BDSG Rz. 30. 2 Gola/Schomerus, § 11 BDSG Rz. 20; Bergmann/Möhrle/Herb, § 11 BDSG Rz. 30. 3 Bergmann/Möhrle/Herb, § 11 BDSG Rz. 30; Simitis/Petri, § 11 BDSG Rz. 56. 4 Anders wohl Däubler/Klebe/Wedde/Weichert/Wedde, § 11 BDSG Rz. 26, wonach der Auftraggeber dem Anbieter den Vorzug geben „sollte“, der bezüglich der vorhandenen Sicherheitsstandards die beste Kosten/Nutzen-Relation biete. 5 Vgl. Gola/Schomerus, § 11 BDSG Rz. 21a; Bergmann/Möhrle/Herb, § 11 BDSG Rz. 31. 6 Ebenso Gola/Schomerus, § 11 BDSG Rz. 21; kritisch Däubler/Klebe/Wedde/Weichert/ Wedde, § 11 BDSG Rz. 29, wonach „im Regelfall“ eine Analyse vor Ort vorzunehmen sei, sowie Simitis/Petri, § 11 BDSG Rz. 59.

Plath

|

413

§ 11 BDSG | Allgemeine und gemeinsame Bestimmungen 94 Bei der Auswahl des Auftragnehmers und der Festlegung der anzuwendenden

Schutzstandards ist nicht zuletzt auch die Art der im Auftrag zu verarbeitenden Daten zu berücksichtigen. So wird vertreten, dass bei besonderen Arten von personenbezogenen Daten i.S.d. § 3 Abs. 9 tendenziell strengere Maßstäbe anzulegen seien1. Im Umkehrschluss heißt dies allerdings auch, dass bei lediglich geringer Gefährdungslage keine überhöhten Anforderungen an die Auswahl des Auftragnehmers gestellt werden dürfen. Zu den Besonderheiten i.R.d. Cloud Computings vgl. Rz. 55.

VII. Beauftragung des Auftragnehmers (Abs. 2 Satz 2) 95 Der Auftrag ist schriftlich, also unterschrieben oder – was in der Praxis aus-

scheiden dürfte – mit notariell beurkundetem Handzeichen, zu erteilen (Abs. 2 Satz 2). Eine Auftragserteilung per E-Mail oder der Abschluss über ein WebsiteFormular genügt den gesetzlichen Anforderungen daher nicht. Auf die Rechtsnatur des Vertrages kommt es dabei nicht an. Es ist also unerheblich, ob er z.B. als Geschäftsbesorgungs- oder Werkvertrag oder etwa im öffentlich-rechtlichen Bereich z.B. als Verwaltungsvereinbarung geschlossen wird, solange die inhaltlichen Anforderungen des Abs. 2 Satz 2 erfüllt sind (dazu Rz. 98 ff.). 96 Umstritten sind die Konsequenzen eines Verstoßes gegen das Schriftformerfordernis. Zum Teil wird vertreten, dass es in diesem Fall an einer wirksamen Auftragsdatenverarbeitung und einem wirksamen Vertrag insgesamt fehle, die Einhaltung des Schriftformerfordernisses also i.S.v. § 126, § 125 Abs. 1 BGB konstitutiv sei2. Nach anderer Ansicht soll das Formerfordernis keine Wirksamkeitsvoraussetzung darstellen, da es nach der gesetzgeberischen Intention lediglich der Beweissicherung dienen solle3. Wenngleich die letztgenannte Ansicht mit Blick auf den zugrundeliegenden Art. 17 Abs. 4 EG-Datenschutzrichtlinie vorzugswürdig erscheint, sollte in der Praxis nicht auf die Einhaltung des Schriftformerfordernisses verzichtet werden, da ein Verstoß gegen dieses Erfordernis u.a. eine Bußgeldpflicht nach § 43 Abs. 1 Nr. 2b auslösen kann. 97 Das Schriftformerfordernis gilt ausschließlich für den Abschluss des Vertrages („Der Auftrag ist schriftlich zu erteilen.“), nicht jedoch für die Weisungen, die im Rahmen des Vertragsverhältnisses erteilt werden4. Solche Weisungen können 1 Däubler/Klebe/Wedde/Weichert/Wedde, § 11 BDSG Rz. 27; teilweise sind strengere Anforderungen bereits spezialgesetzlich angeordnet, z.B. in § 80 SGB X, vgl. Bergmann/ Möhrle/Herb, § 11 BDSG Rz. 35. 2 So bspw. Gola/Schomerus, § 11 BDSG Rz. 17; Däubler/Klebe/Wedde/Weichert/Wedde, § 11 BDSG Rz. 32. 3 So Taeger/Gabel/Gabel, § 11 BDSG Rz. 54. 4 So z.B. auch Taeger/Gabel/Gabel, § 11 BDSG Rz. 54; Bergmann/Möhrle/Herb, § 11 BDSG Rz. 36b und Simitis/Petri, § 11 BDSG Rz. 81, die allerdings schriftliche Weisungen zum Zwecke des Nachweises und der Revisionssicherheit empfehlen.

414

|

Plath

Erhebung, Verarbeitung oder Nutzung im Auftrag | § 11 BDSG

daher z.B. auch per E-Mail erteilt werden, was die Handhabung in der Praxis erheblich erleichtert. Weiterhin wird vertreten, dass auch etwaige Unterauftragsverhältnisse nur schriftlich abgeschlossen werden dürften1. Aus dem Wortlaut des § 11 lässt sich dieses Erfordernis allerdings nicht zwingend entnehmen, so dass nach der hier vertretenen Ansicht auch eine Unterbeauftragung in Textform möglich ist, soweit die sonstigen Anforderungen des § 11 eingehalten werden.

VIII. Inhalt des Auftragsdatenverarbeitungsvertrages (Abs. 2 Satz 2) Nach Abs. 2 Satz 2 ist auch der Mindestinhalt („insbesondere“) eines Auftrags- 98 datenverarbeitungsvertrages durch das BDSG im Rahmen des sog. „10-PunkteKataloges“ gesetzlich vorgegeben2. Für die Praxis sei empfohlen, diesen Katalog Punkt für Punkt abzuarbeiten, um auf diese Weise den Nachweis der Einhaltung dieser Mindestanforderungen führen zu können. Im Geltungsbereich der DSGVO finden sich die Anforderungen an den Inhalt des Auftrags in Art. 28 Abs. 3 DSGVO. Viele der dort geregelten Anforderungen entsprechen denen des BDSG. Allerdings finden sich auch gewisse Abweichungen. Zu den Einzelheiten s. Komm. zu Art. 28 DSGVO Rz. 8. 1. Gegenstand und Dauer des Auftrags (Nr. 1) Gegenstand und Dauer des Auftrags werden sich regelmäßig aus dem zugrunde- 99 liegenden Vertragsverhältnis ergeben, z.B. einem IT-Servicevertrag. Es genügt den Anforderungen des BDSG, wenn insoweit im Rahmen des Auftragsdatenverarbeitungsvertrages auf die Regelungen des Hauptvertrages verwiesen wird3. Vorsicht ist bei diesem Vorgehen insoweit geboten, als man in der Praxis häufig auf eigenständige Kündigungsregelungen im Rahmen von Auftragsdatenverarbeitungsverträgen trifft, die nicht immer mit den Regelungen des Hauptvertrages im Einklang stehen. Eine eigenständige Kündigung des Auftragsdatenverarbeitungsvertrags wird jedoch i.d.R. nicht mit dem BDSG im Einklang stehen, da der Hauptvertrag, soweit er die Verarbeitung personenbezogener Daten betrifft, mit Wegfall des Auftragsdatenverarbeitungsvertrages in den meisten Fällen nicht mehr zu erfüllen sein wird. Insofern ist darauf zu achten, einen Gleichlauf der Kündigungs- und Laufzeitregelungen zu vereinbaren. Der Pflicht zu Festlegung der Dauer des Auftrags steht es nicht entgegen, wenn 100 der Vertrag auf unbestimmte Zeit geschlossen wird4. Allerdings ist bei Verträgen 1 2 3 4

Däubler/Klebe/Wedde/Weichert/Wedde, § 11 BDSG Rz. 32. Bergmann/Möhrle/Herb, § 11 BDSG Rz. 36a. So auch Gola/Schomerus, § 11 BDSG Rz. 18. So auch Bergmann/Möhrle/Herb, § 11 BDSG Rz. 37.

Plath

|

415

§ 11 BDSG | Allgemeine und gemeinsame Bestimmungen dieser Art festzulegen, unter welchen Voraussetzungen der Auftragnehmer auch vor Vertragsbeendigung zur Löschung von Daten verpflichtet ist1. 2. Umfang, Art und Zweck der Verwendung, Art der Daten und Kreis der Betroffenen (Nr. 2) 101 Festzulegen sind zudem der Umfang, Art und Zweck der vorgesehenen Erhe-

bung, Verarbeitung und Nutzung, die Art der Daten und der Kreis der Betroffenen. Ausreichend ist es insoweit, diese in ihren wesentlichen Grundzügen zu beschreiben. So genügt etwa zur Beschreibung der „Art der Daten“ die Verwendung von Begriffen wie „Mitarbeiterdaten“ oder „Kundendaten“2. Nicht erforderlich ist es somit, jedes einzelne Datum konkret zu spezifizieren3.

3. Technische und organisatorische Maßnahmen (Nr. 3) 102 Erforderlich ist zudem eine Festlegung der nach § 9 von dem Auftragnehmer zu

treffenden technischen und organisatorischen Maßnahmen. Diese Maßnahmen sind in dem Auftrag konkret zu benennen. Pauschale Verpflichtungen zur Einhaltung der Regelungen des § 9 ohne nähere Konkretisierung genügen diesem Erfordernis nicht4. Wegen der weiteren Einzelheiten wird auf die Kommentierung zu § 9 verwiesen. 4. Berichtigung, Löschung und Sperrung (Nr. 4)

103 Weiterhin sind die Pflichten des Auftragnehmers zur Berichtigung, Löschung

und Sperrung von Daten festzulegen. Die entsprechenden Rechte der Betroffenen ergeben sich vor allem aus § 35 BDSG. Der Auftraggeber hat sicherzustellen, dass er die entsprechenden Rechte gegenüber dem Auftragnehmer durchsetzen kann5. Ausreichend ist es auch hier, wenn der Auftragsdatenverarbeitungsvertrag auf die Regelung des § 35 BDSG verweist und dem Auftraggeber insoweit das Recht verschafft, von dem Auftragnehmer unter den Voraussetzungen dieser Norm – sowie ggf. auch aus sonstigen Gründen – eine Berichtigung, Löschung oder Sperrung von Daten zu verlangen.

1 Däubler/Klebe/Wedde/Weichert/Wedde, § 11 BDSG Rz. 34. 2 Ähnlich Gola/Schomerus, § 11 BDSG Rz. 18a; Bergmann/Möhrle/Herb, § 11 BDSG Rz. 38. 3 Ähnlich Taeger/Gabel/Gabel, § 11 BDSG Rz. 43, der „gewisse Kategorisierungen und Abstrahierungen“ als zulässig erachtet. 4 Däubler/Klebe/Wedde/Weichert/Wedde, § 11 BDSG Rz. 41; Gola/Schomerus spricht von „einzelfallbezogener“ Festlegung, § 11 BDSG Rz. 18b. 5 Ähnlich Gola/Schomerus, § 11 BDSG Rz. 18c; Bergmann/Möhrle/Herb, § 11 BDSG Rz. 42b.

416

|

Plath

Erhebung, Verarbeitung oder Nutzung im Auftrag | § 11 BDSG

5. Spezifische Pflichten des Auftragnehmers (Nr. 5) Nr. 5 verpflichtet zur Festlegung der nach Abs. 4 bestimmten Pflichten des Auf- 104 tragnehmers (s. Rz. 118 ff.). Hierzu gehört bspw. die Pflicht zur Einhaltung des Datengeheimnisses nach § 5. Auch diese Pflichten sind in dem Auftragsdatenverarbeitungsvertrages explizit aufzuführen, wobei es nach der hier vertretenen Ansicht jedenfalls ausreichen sollte, den Inhalt der entsprechenden gesetzlichen Regelungen zu zitieren. 6. Unterauftragsverhältnisse (Nr. 6) Weiterhin festzulegen ist die Berechtigung zur Begründung von Unterauftrags- 105 verhältnissen. Aus dem Wortlaut der Regelung ergibt sich, dass lediglich die Frage der grundsätzlichen Berechtigung zu regeln ist, nicht aber die Frage, gegenüber welchen konkreten Unternehmen eine Unterbeauftragung erfolgen darf1. Es ist somit z.B. ausreichend, eine Gruppe von berechtigten Unterauftragnehmern zu benennen (z.B. „Konzernunternehmen“, „Auftragnehmer mit Sitz in Deutschland“, etc.). Selbstverständlich ist es ebenso zulässig, jegliche Vergabe von Unterauftragsverhältnissen von der Zustimmung des Auftraggebers abhängig zu machen. Zur Unterbeauftragung im Anwendungsbereich der DSGVO s. Komm. zu Art. 28 Abs. 4 DSGVO. a) Deckungsgleiche Pflichten für Unterauftragnehmer Auch bei der Vergabe von Unteraufträgen bleibt der Auftraggeber als verant- 106 wortliche Stelle im Außenverhältnis gegenüber den Betroffenen für die Einhaltung der datenschutzrechtlichen Bestimmungen verantwortlich2. Um diesen Pflichten nachkommen zu können, hat der Auftragnehmer seine Unterauftragnehmer zur Einhaltung der Bestimmungen des zwischen Auftraggeber und Auftragnehmer vereinbarten Auftrags zu verpflichten. Aus vertragstechnischer Sicht kann dies durch einen Verweis auf den Hauptvertrag geschehen, um sicherzustellen, dass die Pflichten „deckungsgleich“ durchgereicht werden3. Zu beachten bleibt allerdings, dass die gegenseitigen Rechte und Pflichten stets nur in der Vertragskette begründet werden. Soweit der Unterauftragsvertrag nicht als Vertrag zugunsten Dritter, namentlich des Auftraggebers, ausgestaltet wird, kann der Auftraggeber z.B. Weisungen nur gegenüber seinem Auftragnehmer erteilen, der sodann im Verhältnis zu seinem Unterauftragnehmer sicherzustellen hat, dass auch dieser die Weisungen des Auftraggebers befolgt. Gleiches gilt etwa für die Kontrollrechte des Auftraggebers. Insoweit ist sicherzustellen, dass der Auftraggeber seine Kontrollen direkt auch bei dem Unterauftragnehmer durchfüh1 So auch Gola/Schomerus, § 11 BDSG Rz. 18e; Taeger/Gabel/Gabel, § 11 BDSG Rz. 47; Däubler/Klebe/Wedde/Weichert/Wedde, § 11 BDSG Rz. 44. 2 So auch Gola/Schomerus, § 11 BDSG Rz. 18e. 3 Gola/Schomerus, § 11 BDSG Rz. 18e.

Plath

|

417

§ 11 BDSG | Allgemeine und gemeinsame Bestimmungen ren kann. Der Abschluss eines direkten Vertrages zwischen dem Auftraggeber und dem Unterauftragnehmer ist datenschutzrechtlich nicht erforderlich1. b) Unterauftragnehmer im Ausland 107 Fraglich ist, ob und wie ein Unterauftragnehmer beauftragt werden kann, wenn

der Auftragnehmer bzw. der Unterauftragnehmer im Ausland sitzen (hierzu ausführlich Komm. zu § 4b BDSG Rz. 12 sowie § 4c BDSG Rz. 31). Soweit sich sowohl der Auftragnehmer als auch der Unterauftragnehmer im EU/EWR-Inland befinden, richtet sich die Zulässigkeit eines Unterauftragsverhältnisses nach den allgemeinen Regeln des § 11 Abs. 2 Satz 2 Nr. 6. Problematisch ist jedoch der Fall, in dem sich der Unterauftragnehmer im EU/EWR-Ausland (Drittland) befindet. Dabei muss differenziert werden zwischen (1) Fällen, in denen sich auch der (vorgeschaltete) Auftragnehmer in einem Drittland befindet, und den (2) Fällen, in denen sich nur der (vorgeschaltete) Auftragnehmer im EU/EWR-Inland befindet: (1) Der erste Fall ist in den EU-Standardvertragsklauseln vom 15.5.20102 explizit geregelt. Danach ist die Unterbeauftragung eines außerhalb der EU bzw. des EWR niedergelassenen Subunternehmers durch einen ebenfalls außerhalb der EU bzw. des EWR niedergelassenen Auftragnehmer unter der Einhaltung der Voraussetzungen der Klausel 11 der EU-Standardvertragsklauseln zulässig3.

(2) Fraglich ist jedoch, ob im zweiten Fall, in dem der Auftragnehmer im EU/ EWR-Inland sitzt, eine Unterbeauftragung unter den Voraussetzungen der EU-Standardvertragsklauseln ebenfalls zulässig ist. Wäre dies nicht der Fall, so würde die Zulässigkeit einer solchen Unterbeauftragung nur durch eine komplexe Vertragskonstellation zwischen Auftraggeber, Auftragnehmer und Subunternehmer möglich sein, die u.U. der Erteilung einer Genehmigung gemäß § 4c Abs. 2 bedarf. Aus dem Wortlaut und der Begründung ergibt sich jedoch eindeutig, dass eine (entsprechende) Anwendung der EUStandardvertragsklauseln ausgeschlossen ist4. Die Artikel-29-Datenschutzgruppe schlägt daher vor, einen Vertrag unter Verwendung der Standard1 Taeger/Gabel/Gabel, § 11 BDSG Rz. 47. 2 Beschluss der EU-Kommission vom 5.2.2010 über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern nach der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates. 3 Vgl. hierzu Lensdorf, CR 2010, 735 (736). 4 Ebenso Lensdorf, CR 2010, 735 (736 f.); vgl. auch die Stellungnahmen 3/2009, WP 161 der Artikel-29-Datenschutzgruppe über den Entwurf einer Entscheidung der EU-Kommission zu Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern nach der Richtlinie 95/46/EG sowie WP 176, „FAQs in order to address some issues raised by the entry into force of the EU Commission Decision 2010/87/EU of February 2010 on standard contractual clauses for the transfer of personal data to processors established in third countries under Directive 95/46/EG“.

418

|

Plath

Erhebung, Verarbeitung oder Nutzung im Auftrag | § 11 BDSG

vertragsklauseln direkt zwischen dem Auftraggeber und dem Unterauftragnehmer zu schließen, wobei der eigentliche Auftragnehmer in den Vertrag einbezogen werden sollte, oder sogar den Vertrag mit dem Unterauftragnehmer im Auftrag und im Namen des Auftraggebers schließen könnte1. 7. Kontrollrechte des Auftraggebers (Nr. 7) Das BDSG verlangt darüber hinaus eine Festlegung der Kontrollrechte des Auf- 108 traggebers einschließlich der korrespondierenden Duldungs- und Mitwirkungspflichten des Auftragnehmers2. Nicht geregelt ist, in welchem Umfang der Auftraggeber Kontrollen durchführen muss bzw. der Auftragnehmer diese dulden muss. Daher wird sich z.B. nicht abstrakt beantworten lassen, ob ein Zutrittsrecht des Auftraggebers vereinbart werden muss3 oder ob es ausreicht, wenn der Auftragnehmer dem Auftraggeber die Einhaltung der Bedingungen des Auftrags in geeigneter Form nachweist. Nach der hier vertretenen Ansicht reicht es aus, Zutrittsrechte auf Fälle zu beschränken, bei denen ein konkreter Verdacht des Vertragsverstoßes nachgewiesen werden kann4. 8. Mitteilungspflichten bei Verstößen (Nr. 8) Der Vertrag hat zudem Regelungen dahingehend zu enthalten, dass der Auftrag- 109 nehmer dem Auftraggeber etwaige Verstöße durch ihn oder die bei ihm beschäftigen Personen gegen die datenschutzrechtlichen Bestimmungen bzw. die Festlegungen des Auftrags mitzuteilen hat. Nach dem Wortlaut der Norm ist dies nicht zwingend dahingehend zu verstehen, dass stets sämtliche Verstöße mitgeteilt werden müssten (… mitzuteilende Verstöße …“)5. Um negative Konsequenzen zu vermeiden, empfiehlt es sich jedoch zumindest aus Sicht des Auftraggebers, die Mitteilungspflicht auf sämtliche Verstöße zu erstrecken und diese ggf. sogar auf potentielle Verstöße auszudehnen. 1 Vgl. Stellungnahme WP 176 der Artikel-29-Datenschutzgruppe, „FAQs in order to address some issues raised by the entry into force of the EU Commission Decision 2010/87/ EU of February 2010 on standard contractual clauses for the transfer of personal data to processors established in third countries under Directive 95/46/EG“; ähnlich auch die Vorschläge des Düsseldorfer Kreises, Beschluss v. 19./20.4.2007; ausführlich hierzu Lensdorf, CR 2010, 735 (738 f.). 2 So auch Gola/Schomerus, § 11 BDSG Rz. 18 f. 3 Dahingehend Gola/Schomerus, § 11 BDSG Rz. 18 f. 4 Ähnlich Taeger/Gabel/Gabel, § 11 BDSG Rz. 48, wonach eigene Prüfungen des Auftraggebers vor Ort nicht zwingend erforderlich sind. 5 So auch Taeger/Gabel/Gabel, § 11 BDSG Rz. 49; nach Däubler/Klebe/Wedde/Weichert/ Wedde, § 11 BDSG Rz. 49 verlangt der Schutzzweck der Norm allerdings eine weite Auslegung mit der Konsequenz, dass auch leichte Verstöße zu melden seien; Gola/Schomerus, § 11 BDSG Rz. 18g sowie Bergmann/Möhrle/Herb, § 11 BDSG Rz. 44b sprechen sich für eine Mitteilungspflicht in Fällen unrechtmäßiger Kenntniserlangung gemäß § 42a aus.

Plath

|

419

§ 11 BDSG | Allgemeine und gemeinsame Bestimmungen 9. Weisungsbefugnisse des Auftraggebers (Nr. 9) 110 In dem Auftrag sind zudem auch die konkreten Weisungsbefugnisse des Auf-

traggebers zu regeln. In der Praxis trifft man diesbezüglich häufig auf Regelungen, unter denen dem Auftraggeber eine pauschale Weisungsbefugnis eingeräumt wird („Der Auftragnehmer hat die datenschutzrechtlichen Weisungen des Auftraggebers zu befolgen.“)1. Allerdings würden derartige Klauseln dem Auftraggeber nahezu unbeschränkte Weisungsrechte gewähren, was in der Regel nicht gewollt ist. Insofern empfiehlt sich eine Beschränkung dahingehend, dass Weisungen nur innerhalb der Grenzen des Auftrags erteilt werden dürfen2. Zudem sind u.a. im Rahmen eines „Change-Request“-Verfahrens Regelungen für den Fall vorzusehen, dass sich die Aufgaben des Auftragnehmers aufgrund der Weisungen des Auftraggebers erweitern, z.B. weil er eine neue Sicherheitssoftware zu beschaffen hat, um den datenschutzrechtlichen Anforderungen zu genügen. In diesen Fällen mag die entsprechende Anpassung der vereinbarten Vergütung sachgerecht erscheinen. 10. Pflichten bei Beendigung des Auftrags (Nr. 10)

111 Zu regeln sind schließlich die Pflichten des Auftragnehmers zur Rückgabe über-

lassener Datenträger und zur Löschung der bei ihm gespeicherten Daten bei Beendigung des Auftrags. Insoweit ist als Ausnahme zur generellen Löschungspflicht insbesondere auch zu regeln, inwieweit der Auftragnehmer zur weiteren Speicherung von Daten berechtigt ist, um seinen gesetzlichen Aufbewahrungsund sonstigen Pflichten nachzukommen bzw. um z.B. eine Abrechnung der Servicevergütung gegenüber dem Auftraggeber vornehmen zu können.

IX. Kontrolle des Auftragnehmers (Abs. 2 Satz 4) 112 Der Auftraggeber hat sich vor Beginn der Datenverarbeitung und sodann regel-

mäßig von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zu überzeugen3. Das Ergebnis ist zu dokumentieren (vgl. Abs. 2 Satz 2)4.

113 Hervorzuheben ist, dass die erste Prüfung (erst) vor Beginn der Datenverarbei-

tung zu erfolgen hat, also nicht bereits vor oder bei Vertragsschluss. Insoweit ist aber jedenfalls die notwendige Sorgfalt bei der Auswahl des Auftragnehmers anzulegen (vgl. dazu Rz. 90). Nach dieser ersten Vorabkontrolle hat der Auftrag-

1 2 3 4

Vgl. Gola/Schomerus, § 11 BDSG Rz. 18h. Ähnlich im Ergebnis Däubler/Klebe/Wedde/Weichert/Wedde, § 11 BDSG Rz. 51. Bergmann/Möhrle/Herb, § 11 BDSG Rz. 48. Gola/Schomerus, § 11 BDSG Rz. 21a.

420

|

Plath

Erhebung, Verarbeitung oder Nutzung im Auftrag | § 11 BDSG

geber während der Laufzeit des Auftrags regelmäßig weitere Kontrollen durchzuführen. Eine starre Festlegung der Prüfintervalle hat der Gesetzgeber bewusst abgelehnt1. Daher richten sich diese nach den Umständen des Einzelfalles, also insbesondere der Art und dem Umfang der verarbeiteten Daten2. Eine Vor-Ort Kontrolle ist i.d.R. nicht erforderlich, um den Kontrollanforderungen zu genügen3. Eine schriftliche Dokumentation ist nach dem Wortlaut der Norm nicht erfor- 114 derlich. Diese kann also auch in Textform erfolgen, wobei sie zu Beweiszwecken eine schriftliche Niederlegung empfiehlt4.

X. Durchführung des Auftrags (Abs. 3) 1. Weisungsgebundenheit des Auftragnehmers (Abs. 3 Satz 1) Nach Abs. 3 Satz 1 darf der Auftragnehmer die Daten nur im Rahmen der Wei- 115 sungen des Auftraggebers erheben, verarbeiten oder nutzen5. Bezüglich der Einzelheiten der Ausgestaltung der Weisungsrechte sei auf die obige Kommentierung unter Rz. 97 verwiesen. 2. Hinweispflicht des Auftragnehmers (Abs. 3 Satz 2) Ist der Auftragnehmer der Ansicht, dass eine Weisung gegen das BDSG oder 116 eine andere datenschutzrechtliche Bestimmung verstößt, hat er den Auftraggeber unverzüglich darauf hinzuweisen6. Nach zutreffender Ansicht wird durch diese Norm keine Pflicht des Auftragnehmers begründet, sämtliche Weisungen des Auftraggebers auf ihre datenschutzrechtliche Zulässigkeit hin zu prüfen7. Vielmehr greift die Hinweispflicht grundsätzlich erst dann, wenn der Auftragnehmer konkrete Anhaltspunkte dafür hat, dass eine Weisung dem Gesetz zuwiderlaufen könnte8. 1 So auch Bergmann/Möhrle/Herb, § 11 BDSG Rz. 48. 2 Däubler/Klebe/Wedde/Weichert/Wedde, § 11 BDSG Rz. 56. 3 Däubler/Klebe/Wedde/Weichert/Wedde, § 11 BDSG Rz. 58 unter Hinweis auf die Entstehungsgeschichte der Norm; ebenso Gola/Schomerus, § 11 BDSG Rz. 21; Bergmann/ Möhrle/Herb empfiehlt dennoch eine Vor-Ort-Kontrolle, § 11 BDSG Rz. 48a. 4 Ebenso Däubler/Klebe/Wedde/Weichert/Wedde, § 11 BDSG Rz. 58; Bergmann/Möhrle/ Herb, § 11 BDSG Rz. 48c. 5 Bergmann/Möhrle/Herb, § 11 BDSG Rz. 49; Simitis/Petri, § 11 BDSG Rz. 85. 6 Bergmann/Möhrle/Herb, § 11 BDSG Rz. 51; Simitis/Petri, § 11 BDSG Rz. 92. 7 So zutreffend Taeger/Gabel/Gabel, § 11 BDSG Rz. 57; Däubler/Klebe/Wedde/Weichert/ Wedde, § 11 BDSG Rz. 65; Bergmann/Möhrle/Herb, § 11 BDSG Rz. 51; vgl. Simitis/Petri, § 11 BDSG Rz. 91. 8 Ebenso Gola/Schomerus, § 11 BDSG Rz. 25; Simitis/Petri fordert eine erhöhte Wachsamkeit des Auftragnehmers bei sensiblen Daten i.S.d. § 3 Abs. 9, § 11 BDSG Rz. 91.

Plath

|

421

§ 11 BDSG | Allgemeine und gemeinsame Bestimmungen 117 Nicht geregelt ist, welche Konsequenzen mit dem Hinweis des Auftragnehmers

auf eine rechtswidrige Weisung verbunden sind. Aus dem Zweck der Norm folgt allerdings, dass der Auftraggeber verpflichtet ist, dem Hinweis nachzugehen und die Rechtmäßigkeit seiner Weisung zu überprüfen. Sollte diese tatsächlich nicht mit dem Gesetz im Einklang stehen, wird er sie in aller Regel schon aus eigenem Interesse zurückziehen und dürfte dazu auch verpflichtet sein1. Ist der Auftraggeber allerdings weiterhin der Ansicht, die Weisung rechtmäßig erteilt zu haben und hält er deshalb an der Weisung fest, steht der Auftragnehmer vor einem Dilemma. Verweigert er die Durchführung, macht er sich im Zweifel gegenüber dem Auftraggeber schadensersatzpflichtig und riskiert weitere Konsequenzen wegen Vertragsbruchs. Befolgt er allerdings die Weisung des Auftraggebers, läuft er Gefahr, gegen datenschutzrechtliche oder ggf. sogar strafrechtliche Bestimmungen zu verstoßen. Es empfiehlt sich daher, im Rahmen der Auftragsdatenverarbeitungsverträge einen Mechanismus aufzunehmen, der die Rechte und Pflichten der Parteien – einschließlich etwaiger Freistellungsverpflichtungen – in solchen Fällen konkretisiert. Ungeachtet dessen sind etwaige dem BDSG zuwiderlaufende Weisungen wegen Verstoßes gegen ein gesetzliches Verbot nach § 134 BGB als nichtig anzusehen, so dass insoweit die Vertragsfreiheit der Parteien endet2. Gleichwohl dürfte im Falle unterschiedlicher Rechtsauffassungen eine Pflicht des Auftragnehmers bestehen, die Weisung zunächst einmal zu befolgen3. Die Haftung für weisungsgemäß durchgeführte Aufträge trägt im Außenverhältnis grundsätzlich der Auftraggeber (Abs. 1 Satz 1)4. 3. Gesetzliche Pflichten des Auftragnehmers (Abs. 4)

118 Die Pflicht zur Einhaltung der datenschutzrechtlichen Bestimmungen trifft

grundsätzlich den Auftraggeber (vgl. Abs. 1 Satz 1)5. In Abs. 4 ist geregelt, welche Pflichten abweichend von dem allgemeinen Grundsatz den Auftragnehmer treffen. Konkret sind dies – die Bestimmungen über das Datengeheimnis (§ 5); – die Pflicht zur Umsetzung der erforderlichen technischen und organisatorischen Maßnahmen (§ 9); – die Bußgeldvorschriften des § 43 Abs. 1 Nr. 2, 10 und 11, Abs. 2 Nr. 1–3 und Abs. 3; – die Strafvorschriften des § 44. 1 So auch Däubler/Klebe/Wedde/Weichert/Wedde, § 11 BDSG Rz. 66. 2 Ebenso Simitis/Petri, § 11 BDSG Rz. 95, der zudem im öffentlichen Bereich mit dem Grundsatz der Gesetzmäßigkeit der Verwaltung argumentiert. 3 Vgl. dazu auch Däubler/Klebe/Wedde/Weichert/Wedde, § 11 BDSG Rz. 66; zum gleichen Ergebnis kommt auch Bergmann/Möhrle/Herb, § 11 BDSG Rz. 52; a.A. Simitis/ Petri § 11 BDSG Rz. 92. 4 Däubler/Klebe/Wedde/Weichert/Wedde, § 11 BDSG Rz. 67. 5 Bergmann/Möhrle/Herb, § 11 BDSG Rz. 53.

422

|

Plath

Erhebung, Verarbeitung oder Nutzung im Auftrag | § 11 BDSG

Darüber hinaus gelten für nicht-öffentliche Stellen, soweit sie als Dienstleis- 119 tungsunternehmen geschäftsmäßig personenbezogene Daten im Auftrag erheben, die Regelungen über die Bestellung und die Aufgaben eines Beauftragten für den Datenschutz (§§ 4f, 4g) und die Bestimmungen über die Aufsichtsbehörden (§ 38). Schließlich gelten für öffentliche Stellen sowie für nicht-öffentliche Stellen, bei 120 denen der öffentlichen Hand die Mehrheit der Anteile gehört oder die Mehrheit der Stimmen zusteht und der Auftraggeber eine öffentliche Stelle ist, die Regelungen der §§ 18 (Datenschutz in der Bundesverwaltung) und 24–26 (Bundesbeauftragte oder Bundesbeauftragter für den Datenschutz) bzw. die entsprechenden Vorschriften der Landesdatenschutzgesetze1.

XI. Prüfung und Wartung von Datenverarbeitungsanlagen (Abs. 5) Die Regelungen über die Auftragsdatenverarbeitung gelten entsprechend, wenn 121 die Prüfung oder Wartung automatisierter Verfahren oder von Datenverarbeitungsanlagen durch andere Stellen im Auftrag vorgenommen wird und dabei ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann (Abs. 5). Hintergrund der Regelung ist, dass bei der Wartung von IT-Systemen zwar keine Datenverarbeitung und -nutzung im klassischen Sinne erfolgt2, jedenfalls ist dies i.d.R. nicht der Zweck des Auftrags, aber dennoch die Gefahr besteht, dass der Dienstleister im Rahmen seiner Tätigkeit Kenntnis von personenbezogenen Daten erhält. Mit Blick auf die damit einhergehende Vergleichbarkeit der Gefährdungslage für das Persönlichkeitsrecht des Betroffenen hat sich der Gesetzgeber zur Einführung der Regelung des Abs. 5 entschieden3. Die Regelung des Abs. 5 enthält keine Definition der Tätigkeiten, die in ihren 122 Anwendungsbereich fallen. Allerdings besteht Einigkeit darüber, dass darunter im weitesten Sinne sämtliche Tätigkeiten im Zusammenhang mit der Systembetreuung von Datenverarbeitungsanlagen fallen, also insbesondere die Wartung und Pflege von Hard- und Software einschließlich der Fernwartung4. Ausreichend für die Anwendbarkeit ist darüber hinaus, dass ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann5. Es ist also nicht erforderlich, dass ein solcher Zugriff tatsächlich erfolgt6. Diese Schwelle darf allerdings nicht so niedrig gelegt werden, dass am Ende ein rein theoretisch möglicher Zugriff auf personenbezogene Daten ausreichen würde, um die Anwend1 2 3 4 5 6

So auch Gola/Schomerus, § 11 BDSG Rz. 27. So auch Bergmann/Möhrle/Herb, § 11 BDSG Rz. 64. Vgl. Gola/Schomerus, § 11 BDSG Rz. 14. Taeger/Gabel/Gabel, § 11 BDSG Rz. 66; Gola/Schomerus, § 11 BDSG Rz. 15. Bergmann/Möhrle/Herb, § 11 BDSG Rz. 65; Simitis/Petri, § 11 BDSG Rz. 98. Taeger/Gabel/Gabel, § 11 BDSG Rz. 67.

Plath

|

423

§ 11 BDSG | Allgemeine und gemeinsame Bestimmungen barkeit des Abs. 5 zu begründen1. Werden die Daten z.B. so verschlüsselt, dass ein Rückschluss auf die betroffenen Personen nicht oder nur mit erheblichem Aufwand möglich ist, muss nicht damit gerechnet werden, dass der Auftragnehmer unter Bruch seiner vertraglichen Verpflichtungen versuchen könnte, die Verschlüsselung zu umgehen, zumal eine dem Stand der Technik entsprechende Verschlüsselung als Maßnahme nach Satz 2 Nr. 2–4 der Anlage zu § 9 Satz 1 erfüllt (s. Satz 3 der Anlage zu § 9 Abs. 1; vgl. hierzu auch Komm. zu § 9 BDSG Rz. 57 ff.). Ebenso kommt die Regelung dann nicht zur Anwendung, wenn lediglich ein Zugriff auf Testdaten ohne Personenbezug oder anonyme Daten erfolgt2. 123 Soweit der Anwendungsbereich des Abs. 5 eröffnet ist, geltend die Regelungen der

Absätze 1–4 entsprechend, d.h., dass mit dem Auftragnehmer ein Auftragsdatenverarbeitungsvertrag abzuschließen ist, der den Vorgaben des § 11 entspricht3.

124 In der Praxis ist die Frage von Bedeutung, ob auch die Reparatur oder Wartung

i.R. der gesetzlichen Gewährleistung als eine „Prüfung und Wartung“ i.S. des Abs. 5 anzusehen ist. Dies hätte die – praktisch schwer umzusetzende – Folge, dass der Käufer bei Vertragsschluss, spätestens aber vor Beginn der Gewährleistungsarbeiten den Pflichten nach Abs. 2 nachkommen müsste, und ein Auftragsdatenverarbeitungsvertrag geschlossen werden müsste4. Der Wortlaut des Abs. 5 spricht zunächst dafür, dass sich der Anwendungsbereich der Norm auch auf die Wartung i.R. einer Gewährleistung erstreckt. Teilweise wird vertreten, dass die Einhaltung der Anforderungen des Abs. 5 durch den Abschluss einer Geheimhaltungsverpflichtung nach § 5 analog ersetzt werden könnte5. Problematisch ist dabei jedoch, dass dem Käufer durch die Nichteinhaltung der Anforderungen des Abs. 5 i.V.m. Abs. 2 Satz 2 und 4 ein Bußgeld gemäß § 43 Abs. 1 Nr. 2b droht6. Zu denken wäre darüber hinaus an eine teleologische Reduktion des Abs. 5, da der Käufer durch die Inanspruchnahme seiner Gewährleistungsrechte ein gesetzlich eingeräumtes Recht wahrnimmt, in dessen Ausübung er durch Abs. 5 erheblich gehindert wäre. Problematisch an diesem Ansatz ist allerdings, dass Abs. 5 dem Schutz des Persönlichkeitsrechts der Betroffenen und damit einem hohen Schutzgut dient, dessen Einschränkung durch die allgemeinen Gewährleistungsrechte u.U. schlecht zu rechtfertigen ist. Angesichts der unkla1 Enger wohl Däubler/Klebe/Wedde/Weichert/Wedde, § 11 BDSG Rz. 74. 2 Taeger/Gabel/Gabel, § 11 BDSG Rz. 67; Däubler/Klebe/Wedde/Weichert/Wedde, § 11 BDSG Rz. 74. 3 Gola/Schomerus, § 11 BDSG Rz. 15a. 4 Ausführlich zu den damit verbundenen Problemen Freise in Taeger (Hrsg.), Digitale Evolution – Herausforderungen für das Informations- und Medienrecht, S. 161, 175. 5 Vgl. auch Freise in Taeger (Hrsg.), Digitale Evolution – Herausforderungen für das Informations- und Medienrecht, S. 161, 175. 6 Dieses Problem erkennt auch Freise in Taeger (Hrsg.), Digitale Evolution – Herausforderungen für das Informations- und Medienrecht, S. 161, 176.

424

|

Plath

Erhebung, Verarbeitung oder Nutzung im Auftrag | § 11 BDSG

ren Rechtslage empfiehlt es sich daher, vor Beginn der Wartungsarbeiten im Rahmen der Gewährleistungsrechte des Käufers die Voraussetzungen des Abs. 5 einzuhalten und einen Auftragsdatenverarbeitungsvertrag zu schließen. Die Pflicht zum Abschluss eines solchen Vertrages für den Eintritt eines Gewährleistungsfalls könnte in dem Kaufvertrag selbst vereinbart werden, was dann die Parteien davon entbinden würde, gewissermaßen vorsorglich stets direkt im Rahmen des Kaufs die Anforderungen des § 11 umzusetzen.

XII. Rechtsfolgen/Sanktionen Ein vorsätzlicher oder fahrlässiger Verstoß gegen die Anforderungen des Abs. 2 125 Satz 2 an die Erteilung des Auftrags, insbesondere gegen das Schriftformerfordernis, stellt eine Ordnungswidrigkeit dar und wird in der Praxis durchaus mit Bußgeldern sanktioniert1. Gleiches gilt, wenn sich der Auftraggeber nicht vor Beginn der Datenverarbeitung von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen überzeugt (vgl. § 43 Abs. 1 Nr. 2b)2. Zu beachten ist, dass nicht abschließend geklärt ist, welche Folgen der Verstoß 126 gegen das Schriftformerfordernis für die Wirksamkeit des Vertrags hat (s. Rz. 96). Darüber hinaus führt ein Verstoß gegen die weiteren Anforderungen des § 11 i.d.R. zur Unzulässigkeit der Datenverarbeitung durch den Auftragnehmer, so etwa, wenn die Maßnahmen des 10-Punkte-Kataloges nicht gesetzeskonform umgesetzt sind3. Diese Rechtsfolge ergibt sich nicht unmittelbar aus § 11, der keine Regelungen zu den Konsequenzen eines Verstoßes enthält. Jedoch ergibt sie sich aus § 4 Abs. 1, wonach Erhebung, Verarbeitung und Nutzung personenbezogener Daten nur zulässig sind, soweit eine gesetzliche Erlaubnis vorliegt oder der Betroffene eingewilligt hat. Fehlt es also ein einer gesetzmäßigen Beauftragung des Auftraggebers im Einklang mit § 11, so liegt kein wirksame Auftragsdatenverarbeitung vor mit der Konsequenz, dass sich die Parteien nicht auf die Fiktion des § 3 Abs. 8 berufen können. Der Auftragnehmer bleibt also „Dritter“ und es findet folglich eine „Übermittlung“ von personenbezogenen Daten an den Auftragnehmer statt, die einer gesetzlichen Erlaubnis bzw. der Einwilligung der Betroffenen bedarf. Im Umkehrschluss heißt dies allerdings auch, dass eine missglückte Auftrags- 127 datenverarbeitung nicht automatisch zur Unzulässigkeit der Datenverarbeitung 1 Das BayLDA teilte in seiner Pressemitteilung vom 20.8.2015 mit, dass es gegen ein Unternehmen ein Bußgeld verhängte, da in den Aufträgen mit den Auftragsdatenverarbeitern keine konkreten technisch-organisatorischen Maßnahmen zum Schutz der Daten festgelegt wurden. 2 Ebenso Gola/Schomerus, § 11 BDSG Rz. 28; Bergmann/Möhrle/Herb, § 11 BDSG Rz. 69. 3 Däubler/Klebe/Wedde/Weichert/Wedde, § 11 BDSG Rz. 33.

Plath

|

425

§ 12 BDSG | Datenverarbeitung der öffentlichen Stellen führen muss. Denn wenn es nach dem BDSG, z.B. im Rahmen des § 28, zulässig wäre, die Daten an den Auftragnehmer zu übermitteln und diese von ihm verarbeiten zu lassen, so wird diese gesetzliche Erlaubnis nicht dadurch wieder entzogen, dass die Parteien beabsichtigt hatten, ihre Vertragsbeziehung den Regelungen des § 11 zu unterstellen1.

Zweiter Abschnitt Datenverarbeitung der öffentlichen Stellen Erster Unterabschnitt Rechtsgrundlagen der Datenverarbeitung

§ 12 Anwendungsbereich (1) Die Vorschriften dieses Abschnittes gelten für öffentliche Stellen des Bundes, soweit sie nicht als öffentlich-rechtliche Unternehmen am Wettbewerb teilnehmen. (2) Soweit der Datenschutz nicht durch Landesgesetz geregelt ist, gelten die §§ 12 bis 16, 19 bis 20 auch für die öffentlichen Stellen der Länder, soweit sie 1. Bundesrecht ausführen und nicht als öffentlich-rechtliche Unternehmen am Wettbewerb teilnehmen oder 2. als Organe der Rechtspflege tätig werden und es sich nicht um Verwaltungsangelegenheiten handelt. (3) Für Landesbeauftragte für den Datenschutz gilt § 23 Abs. 4 entsprechend. (4) Werden personenbezogene Daten für frühere, bestehende oder zukünftige Beschäftigungsverhältnisse erhoben, verarbeitet oder genutzt, gelten § 28 Absatz 2 Nummer 2 und die §§ 32 bis 35 anstelle der §§ 13 bis 16 und 19 bis 20. I. Allgemeines . . . . . . . . . . . . . . II. Öffentliche Stellen des Bundes und öffentlich-rechtliche Wettbewerbsunternehmen (Abs. 1) III. Öffentliche Stellen der Länder (Abs. 2) . . . . . . . . . . . . . . . . . .

1 5

IV. Zeugnisverweigerungsrecht der Landesdatenschutzbeauftragten (Abs. 3) . . . . . . . . . . . . . . . . . . 10 V. Personaldatenverarbeitung (Abs. 4) . . . . . . . . . . . . . . . . . . 11

9

1 So im Ergebnis wohl auch Däubler/Klebe/Wedde/Weichert/Wedde, § 11 BDSG Rz. 14, allerdings ohne spezifische Auseinandersetzung mit der Frage, ob der missglückte Versuch einer Auftragsdatenverarbeitung den Rückgriff auf die allgemeinen Erlaubnistatbestände sperrt.

426

|

Plath/Roggenkamp

§ 12 BDSG | Datenverarbeitung der öffentlichen Stellen führen muss. Denn wenn es nach dem BDSG, z.B. im Rahmen des § 28, zulässig wäre, die Daten an den Auftragnehmer zu übermitteln und diese von ihm verarbeiten zu lassen, so wird diese gesetzliche Erlaubnis nicht dadurch wieder entzogen, dass die Parteien beabsichtigt hatten, ihre Vertragsbeziehung den Regelungen des § 11 zu unterstellen1.

Zweiter Abschnitt Datenverarbeitung der öffentlichen Stellen Erster Unterabschnitt Rechtsgrundlagen der Datenverarbeitung

§ 12 Anwendungsbereich (1) Die Vorschriften dieses Abschnittes gelten für öffentliche Stellen des Bundes, soweit sie nicht als öffentlich-rechtliche Unternehmen am Wettbewerb teilnehmen. (2) Soweit der Datenschutz nicht durch Landesgesetz geregelt ist, gelten die §§ 12 bis 16, 19 bis 20 auch für die öffentlichen Stellen der Länder, soweit sie 1. Bundesrecht ausführen und nicht als öffentlich-rechtliche Unternehmen am Wettbewerb teilnehmen oder 2. als Organe der Rechtspflege tätig werden und es sich nicht um Verwaltungsangelegenheiten handelt. (3) Für Landesbeauftragte für den Datenschutz gilt § 23 Abs. 4 entsprechend. (4) Werden personenbezogene Daten für frühere, bestehende oder zukünftige Beschäftigungsverhältnisse erhoben, verarbeitet oder genutzt, gelten § 28 Absatz 2 Nummer 2 und die §§ 32 bis 35 anstelle der §§ 13 bis 16 und 19 bis 20. I. Allgemeines . . . . . . . . . . . . . . II. Öffentliche Stellen des Bundes und öffentlich-rechtliche Wettbewerbsunternehmen (Abs. 1) III. Öffentliche Stellen der Länder (Abs. 2) . . . . . . . . . . . . . . . . . .

1 5

IV. Zeugnisverweigerungsrecht der Landesdatenschutzbeauftragten (Abs. 3) . . . . . . . . . . . . . . . . . . 10 V. Personaldatenverarbeitung (Abs. 4) . . . . . . . . . . . . . . . . . . 11

9

1 So im Ergebnis wohl auch Däubler/Klebe/Wedde/Weichert/Wedde, § 11 BDSG Rz. 14, allerdings ohne spezifische Auseinandersetzung mit der Frage, ob der missglückte Versuch einer Auftragsdatenverarbeitung den Rückgriff auf die allgemeinen Erlaubnistatbestände sperrt.

426

|

Plath/Roggenkamp

Anwendungsbereich | § 12 BDSG Schrifttum: Bäumler, New Public Management und Persönlichkeitsschutz, CR 1997, 169; Brink/Wolff, Die verfassungsrechtliche Ausstrahlung des Datenschutzes auf den Verwaltungs- und Sozialgerichtsprozess, NVwZ 2011, 134; Engelien-Schulz, Zum Umgang mit Personalaktendaten, Personaldaten und Personendaten auf Bundesebene im Zusammenhang mit der Privatisierung, RDV 2004, 112; Engelien-Schulz, Erläuterungen zum teilweise neuen § 12 Abs. 4 Bundesdatenschutzgesetz – Betrachtung eines Regelungsgeflechts, BWV 2003, 27; Fritsche, Datenschutz im öffentlichrechtlichen Bereich, LKV 1991, 81; Klink, Datenschutz in der elektronischen Justiz, Diss. Kassel 2010; Martens, Anwendungsbereich des Entwurfs der Datenschutz-Grundverordnung im öffentlichen Bereich, PinG 2015, 213.

I. Allgemeines Abweichend von der EG-Datenschutzrichtlinie unterscheidet das BDSG zwi- 1 schen öffentlichen und nicht-öffentlichen Stellen. Die maßgeblichen Datenschutzvorschriften für öffentliche Stellen finden sich im zweiten Abschnitt. Der primäre Anwendungsbereich der spezifischen Datenschutzregelungen für den öffentlichen Bereich wird in Abs. 1 festgelegt. Die Vorschriften gelten für öffentliche Stellen des Bundes. Aus dem Anwendungsbereich werden öffentlich-rechtliche Wettbewerbsunter- 2 nehmen herausgenommen. Dieser Ausschluss ist jedoch nicht umfassend. Aus § 24 Abs. 1 i.V.m. § 2 ergibt sich, dass diese der Kontrolle der oder des Bundesbeauftragten für den Datenschutz und Informationsfreiheit (BfDI) unterliegen. Für sie gilt also der dritte Unterabschnitt des zweiten Abschnitts1. In Abs. 2 wird weitgehend § 1 Abs. 2 paraphrasiert, zudem aber noch auf die kon- 3 kret anwendbaren Vorschriften des zweiten Abschnitts verwiesen und auch hier werden die öffentlich-rechtlichen Wettbewerbsunternehmen ausgeklammert. Abs. 3 erklärt das Zeugnisverweigerungsrecht des § 23 Abs. 4 für Landesbeauf- 4 tragte für den Datenschutz für entsprechend anwendbar. In Abs. 4 werden für den Fall der Erhebung, Verarbeitung und Nutzung personenbezogener Daten im Kontext von Beschäftigungsverhältnissen (vgl. § 3 Abs. 11) bestimmte Vorschriften des dritten Abschnitts, der grundsätzlich nur für nicht-öffentliche Stellen und öffentlich-rechtliche Wettbewerbsunternehmen gilt, für anwendbar erklärt.

II. Öffentliche Stellen des Bundes und öffentlich-rechtliche Wettbewerbsunternehmen (Abs. 1) In Abs. 1 wird zunächst klargestellt, dass die im zweiten Abschnitt getroffenen 5 Regelungen grundsätzlich nur für öffentliche Stellen des Bundes Geltung be1 Simitis/Dammann, § 12 BDSG Rz. 2.

Roggenkamp

|

427

§ 12 BDSG | Datenverarbeitung der öffentlichen Stellen anspruchen. Die öffentlichen Stellen des Bundes sind in § 2, und dort insbesondere in Abs. 1 legaldefiniert (s. Komm. zu § 2 BDSG Rz. 5 ff.). Im Umkehrschluss folgt aus § 12 auch, dass der zweite Abschnitt für andere Stellen grundsätzlich nicht gilt. 6 Vom Anwendungsbereich sind die öffentlich-rechtlichen Unternehmen, so-

weit sie am Wettbewerb teilnehmen ausgenommen. Diese stehen regelmäßig mit privatrechtlich organisierten Unternehmen in Konkurrenz. Wettbewerbsverzerrungen durch unterschiedliche datenschutzrechtliche Regelungen sollen vermieden werden1. Für die Annahme, dass ein öffentlich-rechtliches Unternehmen „am Wettbewerb teilnimmt“ soll die abstrakte Möglichkeit einer Konkurrenzsituation ausreichend sein. Ein tatsächlicher Wettbewerb muss nach wohl herrschender Auffassung nicht bestehen2. Es müssen lediglich Leistungen erbracht werden, die auch von privaten Unternehmen angeboten werden (könnten)3. Eine „Teilnahme am Wettbewerb“ kann also auch dann vorliegen, wenn öffentliche Unternehmen faktisch keine Konkurrenz haben4.

7 Wenn die öffentlich-rechtlichen Unternehmen einer Aufgabe nachgehen, die

sich als hoheitliche Tätigkeit darstellt, gilt die Ausnahme nicht. Das kann für gemischttätige Unternehmen (z.B. die KfW) mit praktischen Problemen verbunden sein, da die Verarbeitung von Daten je nach Art der Tätigkeit (hoheitlich/ nicht-hoheitlich) auf der Grundlage verschiedener Normen zu erfolgen hat, was den administrativen Aufwand erhöht5.

8 Von der Ausnahme des Abs. 1 wird in § 24 Abs. 1 eine Rückausnahme gemacht.

Dort wird klargestellt, dass die oder der BfDI sämtliche öffentlichen Stellen des Bundes, unabhängig von ihrer Teilnahme am Wettbewerb, kontrolliert. Der § 38 findet keine Anwendung6.

III. Öffentliche Stellen der Länder (Abs. 2) 9 In Abs. 2 wird klargestellt, dass auch die Regelungen des zweiten Abschnitts des

BDSG nachrangig zu den Landesdatenschutzgesetzen sind. Da jedes Bundesland

1 Gola/Schomerus, § 12 BDSG Rz. 2; Simitis/Dammann, § 12 BDSG Rz. 9; Bergmann/ Möhrle/Herb, § 12 BDSG Rz. 8. 2 Gola/Schomerus, § 12 Rz. 2; Bergmann/Möhrle/Herb, § 12 BDSG Rz. 8; Taeger/Gabel/ Heckmann, § 12 BDSG Rz. 15. 3 Gola/Schomerus, § 12 BDSG Rz. 2. 4 Bergmann/Möhrle/Herb, § 12 BDSG Rz. 8 – als Beispiel werden von diesen die Bundeswehrkrankenhäuser angeführt. Auch kommunale Verkehrs- oder Versorgungsbetriebe sind erfasst, Gola/Schomerus, § 12 BDSG Rz. 2. 5 Simitis/Simitis, § 27 BDSG Rz. 13 f. 6 Ausdrücklich auch noch einmal der § 27 Abs. 1 Satz 3 BDSG, nach welchem die §§ 18, 21 und 24–26 BDSG gelten.

428

|

Roggenkamp

Anwendungsbereich | § 12 BDSG

über ein eigenes Datenschutzgesetz verfügt, hat die Regelung keine praktische Bedeutung1 mehr. § 1 Abs. 2 wird insoweit eingeschränkt, dass auch hier die öffentlich-rechtlichen Wettbewerbsunternehmen ausgeklammert werden, soweit sie am Wettbewerb teilnehmen. Daneben werden die (nur noch theoretisch) anwendbaren Vorschriften des zweiten Abschnitts aufgelistet und damit die speziell auf die Bundesverwaltung und die oder den BfDI bezogenen Regelungen ausgeklammert2.

IV. Zeugnisverweigerungsrecht der Landesdatenschutzbeauftragten (Abs. 3) Der § 23 Abs. 4, der die oder den BfDI berechtigt, über Personen, die ihr oder 10 ihm in seiner Eigenschaft als Bundesbeauftragte oder Bundesbeauftragter Tatsachen anvertraut haben, sowie über diese Tatsachen selbst das Zeugnis zu verweigern, gilt nach Abs. 3 für Landesdatenschutzbeauftragte (LfD) entsprechend. Da durch Landesgesetzgeber mangels Gesetzgebungskompetenz keine Ausnahmen von den in den Prozessordnungen niedergelegten Zeugnispflichten festgelegt werden können, war eine Regelung durch den Bund erforderlich3. Das Zeugnisverweigerungsrecht gilt nur im Zusammenhang mit der Wahrnehmung von Aufgaben des Datenschutzes4. Da der § 23 Abs. 4 in seiner Gesamtheit erfasst ist, erstreckt sich das Zeugnisverweigerungsrecht entsprechend § 23 Abs. 4 Satz 2 auch auf die Mitarbeiter der LfD5. Der LfD entscheidet über die Ausübung des Zeugnisverweigerungsrechts der Mitarbeiter, da keine andere hierzu berufene Instanz ersichtlich ist6.

V. Personaldatenverarbeitung (Abs. 4) Durch Abs. 4 wird klargestellt, dass alle Arbeits- und Beschäftigungsverhältnisse 11 unabhängig von der Einstufung des Arbeitgebers als öffentliche oder nicht-öf1 Däubler/Klebe/Wedde/Weichert/Wedde, § 12 BDSG Rz. 10; Gola/Schomerus, § 12 BDSG Rz. 5a; Taeger/Gabel/Heckmann, § 12 BDSG Rz. 16; Bergmann/Möhrle/Herb, § 12 BDSG Rz. 13. 2 Vgl. Gola/Schomerus, § 12 BDSG Rz. 3. 3 Simitis/Dammann, § 12 BDSG Rz. 18; Gola/Schomerus, § 12 BDSG Rz. 6; Bergmann/ Möhrle/Herb, § 12 BDSG Rz. 14. 4 Bergmann/Möhrle/Herb, § 12 BDSG Rz. 17. 5 Bergmann/Möhrle/Herb, § 12 BDSG Rz. 15; Gola/Schomerus, § 12 BDSG Rz. 6; Simitis/ Dammann, § 12 BDSG Rz. 20. 6 Simitis/Dammann, § 12 BDSG Rz. 20 – Die entsprechende „Maßgabe“ des § 23 Abs. 4 Satz 2 gilt nicht entsprechend, da bezüglich organisatorischer Angelegenheiten der Länder keine Gesetzgebungskompetenz des Bundes besteht.

Roggenkamp

|

429

§ 12 BDSG | Datenverarbeitung der öffentlichen Stellen fentliche Stelle in datenschutzrechtlicher Hinsicht gleich zu behandeln sind1. Dementsprechend werden die hierfür relevanten Vorschriften des dritten Abschnitts, also § 28 Abs. 2 Nr. 2 sowie die §§ 32–35, für unmittelbar anwendbar erklärt, wenn personenbezogene Daten für frühere, bestehende oder zukünftige Beschäftigungsverhältnisse erhoben, verarbeitet oder genutzt werden. 12 Erfasst sind sämtliche (befristeten und unbefristeten, Teilzeit und Vollzeit) Be-

schäftigtenverhältnisse (vgl. auch Komm. zu § 3 BDSG Rz. 87 ff.) im öffentlichen Dienst, d.h. sowohl Beamte, Richter, Tarifbeschäftigte, Auszubildende, Soldaten, Angestellte und Arbeiter2. Bundestagsabgeordnete und Inhaber anderer Wahlämter im Bundestag sind nicht erfasst3. Auf Basis von Werkverträgen Tätige werden ebenfalls nicht erfasst4. Für sie gilt der dritte Abschnitt unmittelbar5.

13 Aus der Nennung der „zukünftigen Beschäftigungsverhältnisse“ folgt, dass auch

die Verarbeitung von Bewerberdaten von Abs. 4 erfasst ist.

14 Die Art der Verarbeitung (automatisiert oder nicht-automatisiert) ist unerheb-

lich (vgl. § 32 Abs. 2). Mit Blick auf Personalakten gehen die speziellen Regelungen der §§ 106–115 BBG dem BDSG vor6.

15 Die Datenerhebung, -verarbeitung oder -nutzung muss „für“ Beschäftigungs-

verhältnisse erfolgen, damit Abs. 4 greift. Das bedeutet, dass Datenerhebung, -verarbeitung oder -nutzung, die anderen Zwecken dient, aber personenbezogene Daten der Beschäftigten betrifft, nach den Regelungen des zweiten Abschnitts erfolgt7.

16 Aufgrund der konkreten Verweisung auf § 28 Abs. 2 sind die speziellen Re-

gelungen zur Verarbeitung besonderer personenbezogener Daten (§ 3 Abs. 9) in § 28 Abs. 6 ausgenommen worden. Gleichzeitig sind die entsprechenden Regelungen im zweiten Abschnitt nicht anwendbar. Die besondere Schutzbedürftigkeit „sensibler Daten“ ist dennoch im Rahmen der Bewertung der Erforderlichkeit nach § 32 Abs. 1 Satz 1 zu berücksichtigen8.

1 Statt aller Däubler/Klebe/Wedde/Weichert/Wedde, § 12 BDSG Rz. 14. 2 Däubler/Klebe/Wedde/Weichert/Wedde, § 12 BDSG Rz. 16; Gola/Schomerus, § 12 BDSG Rz. 7. 3 Taeger/Gabel/Heckmann, § 12 BDSG Rz. 33; Däubler/Klebe/Wedde/Weichert/Wedde, § 12 BDSG Rz. 17. 4 Simitis/Dammann, § 12 BDSG Rz. 27; Däubler/Klebe/Wedde/Weichert/Wedde, § 12 BDSG Rz. 17. 5 Däubler/Klebe/Wedde/Weichert/Wedde, § 12 BDSG Rz. 17; Taeger/Gabel/Heckmann, § 12 BDSG Rz. 33. 6 Gola/Schomerus, § 12 BDSG Rz. 7. 7 Simitis/Dammann, § 12 BDSG Rz. 28; für eine weitere Auslegung Däubler/Klebe/Wedde/Weichert/Wedde, § 12 BDSG Rz. 21. 8 Däubler/Klebe/Wedde/Weichert/Wedde, § 12 BDSG Rz. 24.

430

|

Roggenkamp

Datenerhebung | § 13 BDSG

§ 13 Datenerhebung (1) Das Erheben personenbezogener Daten ist zulässig, wenn ihre Kenntnis zur Erfüllung der Aufgaben der verantwortlichen Stelle erforderlich ist. (1a) Werden personenbezogene Daten statt beim Betroffenen bei einer nichtöffentlichen Stelle erhoben, so ist die Stelle auf die Rechtsvorschrift, die zur Auskunft verpflichtet, sonst auf die Freiwilligkeit ihrer Angaben hinzuweisen. (2) Das Erheben besonderer Arten personenbezogener Daten (§ 3 Abs. 9) ist nur zulässig, soweit 1. eine Rechtsvorschrift dies vorsieht oder aus Gründen eines wichtigen öffentlichen Interesses zwingend erfordert, 2. der Betroffene nach Maßgabe des § 4a Abs. 3 eingewilligt hat, 3. dies zum Schutz lebenswichtiger Interessen des Betroffenen oder eines Dritten erforderlich ist, sofern der Betroffene aus physischen oder rechtlichen Gründen außerstande ist, seine Einwilligung zu geben, 4. es sich um Daten handelt, die der Betroffene offenkundig öffentlich gemacht hat, 5. dies zur Abwehr einer erheblichen Gefahr für die öffentliche Sicherheit erforderlich ist, 6. dies zur Abwehr erheblicher Nachteile für das Gemeinwohl oder zur Wahrung erheblicher Belange des Gemeinwohls zwingend erforderlich ist, 7. dies zum Zweck der Gesundheitsvorsorge, der medizinischen Diagnostik, der Gesundheitsversorgung oder Behandlung oder für die Verwaltung von Gesundheitsdiensten erforderlich ist und die Verarbeitung dieser Daten durch ärztliches Personal oder durch sonstige Personen erfolgt, die einer entsprechenden Geheimhaltungspflicht unterliegen, 8. dies zur Durchführung wissenschaftlicher Forschung erforderlich ist, das wissenschaftliche Interesse an der Durchführung des Forschungsvorhabens das Interesse des Betroffenen an dem Ausschluss der Erhebung erheblich überwiegt und der Zweck der Forschung auf andere Weise nicht oder nur mit unverhältnismäßigem Aufwand erreicht werden kann oder 9. dies aus zwingenden Gründen der Verteidigung oder der Erfüllung überoder zwischenstaatlicher Verpflichtungen einer öffentlichen Stelle des Bundes auf dem Gebiet der Krisenbewältigung oder Konfliktverhinderung oder für humanitäre Maßnahmen erforderlich ist. I. Allgemeines . . . . . . . . . . . . . . II. Erhebung personenbezogener Daten (Abs. 1) . . . . . . . . . . . . .

1 2

III. Art und Weise der Erhebung . . 9 IV. Erhebung bei nicht-öffentlicher Stelle (Abs. 1a) . . . . . . . . . . . . 12

Roggenkamp

|

431

§ 13 BDSG | Datenverarbeitung der öffentlichen Stellen V. Einschränkungen bei sensiblen Daten (Abs. 2) . . . . . . . . . . . . . 1. Vorliegen einer Rechtsvorschrift (Abs. 2 Nr. 1) . . . . . . . . . . . . . . 2. Vorliegen einer Einwilligung (Abs. 2 Nr. 2) . . . . . . . . . . . . . . 3. Schutz lebenswichtiger Interessen (Abs. 2 Nr. 3) . . . . . . . . . . . . . . 4. Offenkundig öffentliche Daten (Abs. 2 Nr. 4) . . . . . . . . . . . . . .

13 14 15 16

5. Abwehr erheblicher Gefahren (Abs. 2 Nr. 5) . . . . . . . . . . . . 6. Belange des Gemeinwohls (Abs. 2 Nr. 6) . . . . . . . . . . . . 7. Gesundheit (Abs. 2 Nr. 7) . . . 8. Forschung (Abs. 2 Nr. 8) . . . . 9. Verteidigung (Abs. 2 Nr. 9) . .

. . 20 . . . .

. . . .

21 22 23 24

18

Schrifttum: Albrecht, Erhebung und Verarbeitung von personenbezogenen Daten an bayerischen Schulen, AnwZert ITR 14/2010 Anm. 3; Brenneisen/Bock, Die präventiv-polizeiliche Rasterfahndung im Lichte der aktuellen Rechtsprechung des BVerfG, DuD 2006, 685; Bull, Aus aktuellem Anlaß: Über Stil und Technik der Datenschutzgesetzgebung, RDV 1999, 148; Eifert, Informationelle Selbstbestimmung im Internet – Das BVerfG und die Online-Durchsuchungen, NVwZ 2008, 521; Geis, Individualrechte in der sich verändernden europäischen Datenschutzlandschaft, CR 1995, 171; Hornung, Ein neues Grundrecht, CR 2008, 299; Kopp/ Pfisterer, Vorauseilender Gehorsam? – Die Übermittlung personenbezogener Daten durch Unternehmen im Rahmen freiwilliger Kooperation mit Aufsichts- und Ermittlungsbehörden – Teil 1, CCZ 2015, 98; Tinnefeld, Persönlichkeitsrecht und Modalitäten der Datenerhebung im Bundesdatenschutzgesetz, NJW 1993, 1117; Zilkens, Datenerhebungen in der öffentlichen Verwaltung – Datenschutzgerechte Befragungen von Bürgern und Bediensteten, ZD 2012, 371.

I. Allgemeines 1 Bereits die Erhebung von personenbezogenen Daten ist eine mit Blick auf das

Grundrecht auf informationelle Selbstbestimmung relevante Handlung. Dementsprechend regelt § 13, wann diese Erhebung, die allgemein bereits durch § 4 erfasst ist, durch eine öffentliche Stelle erfolgen darf. Während in Abs. 1 und Abs. 2 die Zulässigkeit der Erhebung geregelt ist, enthält Abs. 1a eine Hinweispflicht für die verantwortliche Stelle. § 13 gilt primär (vgl. im Einzelnen die Komm. zu § 12) für öffentliche Stellen des Bundes soweit sie nicht als öffentlichrechtliche Unternehmen am Wettbewerb teilnehmen.

II. Erhebung personenbezogener Daten (Abs. 1) 2 Der § 13 ist eine spezifische Ergänzung des § 4. Er ist Grundlage für die Recht-

mäßigkeit des Eingriffs in das Recht auf informationelle Selbstbestimmung des Bürgers durch die Erhebung dessen personenbezogener Daten. Mit „Erheben“ ist auch hier das aktive und willentliche1„Beschaffen von Daten“ über den Betroffenen gemeint (§ 3 Abs. 3). 1 Däubler/Klebe/Wedde/Weichert/Wedde, § 13 BDSG Rz. 3.

432

|

Roggenkamp

Datenerhebung | § 13 BDSG

Der Begriff ist weit zu verstehen. Es ist unerheblich, ob die Daten durch eigenes 3 Tätigwerden (Befragung, Beobachtung) oder durch Dritte im Auftrag beschafft werden1. Ebensowenig spielt es eine Rolle, mit welchen Hilfsmitteln oder über welchem Kommunikationsweg die Daten beschafft werden. Eine tatsächliche Kenntnisnahme ist nicht erforderlich. Ausreichend ist es, wenn Daten mit Willen der verantwortlichen Stelle in ihren Herrschaftsbereich gelangen2. Die tatsächliche Kenntnisnahme von Daten ist, wenn ein entsprechender Vorsatz vorliegt, z.B. im Rahmen einer Beobachtung, als Erhebung anzusehen3. An diesem fehlt es, wenn die öffentliche Stelle personenbezogene Daten ohne Anforderung erhält (z.B. durch einen Antrag oder eine Anzeige) oder sie Zufallsbeobachtungen macht4. So es sich bei den Daten um allgemein zugängliche Informationen (z.B. im Internet) handelt, ist eine grundrechts- und damit datenschutzrechtlich relevante Datenerhebung erst gegeben, wenn „Informationen, die durch die Sichtung allgemein zugänglicher Inhalte gewonnen wurden, gezielt zusammengetragen, gespeichert und ggf. unter Hinzuziehung weiterer Daten ausgewertet werden und sich daraus eine besondere Gefahrenlage für die Persönlichkeit des Betroffenen ergibt“5. Die schlichte Kenntnisnahme von öffentlich-zugänglichen Webseiten, Chats, Diskussionen in Internetforen oder das Abonnieren von Newslettern ist „dem Staat grundsätzlich nicht verwehrt“6. Die öffentlichen Stellen dürfen personenbezogene Daten nur für Zwecke ihrer 4 eigenen Aufgabenerfüllung erheben. Das bedeutet, dass die öffentliche Stelle für die in Rede stehende Aufgabe7 örtlich (vgl. z.B. § 3 VwVfG) und sachlich zuständig8 sein muss. Selbstverständlich ist, dass die angestrebte Aufgabenerfüllung selbst rechtmäßig sein muss9. Die Erhebung der personenbezogenen Daten muss für die Zweckerreichung er- 5 forderlich sein. Diese Anforderung steht im Kontext zum Grundsatz der Datenvermeidung und Datensparsamkeit (§ 3a). Es dürfen nur die personenbezogenen Daten erhoben werden, ohne die die öffentliche Stelle ihre Aufgaben nicht, nicht vollständig oder nicht in rechtmäßiger Weise durchführen könnte10. Das bedeu-

1 Däubler/Klebe/Wedde/Weichert/Wedde, § 13 BDSG Rz. 4; Simitis/Sokol/Scholz, § 13 BDSG Rz. 11. 2 Simitis/Sokol/Scholz, § 13 BDSG Rz. 11 – s.a. Komm. zu § 3 BDSG Rz. 30. 3 Simitis/Sokol/Scholz, § 13 BDSG Rz. 14. 4 Däubler/Klebe/Wedde/Weichert/Wedde, § 13 BDSG Rz. 5; Tinnefeld, NJW 1993, 1117. 5 BVerfG v. 27.2.2008 – 1 BvR 370/07, Rz. 309. 6 BVerfG v. 27.2.2008 – 1 BvR 370/07, Rz. 308. 7 Die nach Art. 7 EG-Datenschutzrichtlinie im öffentlichen Interesse liegen oder in Ausübung öffentlicher Gewalt erfolgen muss. 8 Aufgabenzuweisungen finden sich bspw. in § 3 BSIG oder § 4 BKAG. 9 Statt aller Däubler/Klebe/Wedde/Weichert/Wedde, § 13 BDSG Rz. 9. 10 Däubler/Klebe/Wedde/Weichert/Wedde, § 13 BDSG Rz. 15.

Roggenkamp

|

433

§ 13 BDSG | Datenverarbeitung der öffentlichen Stellen tet, dass eine Erhebung nicht zulässig ist, wenn sie für die öffentliche Stelle lediglich dienlich, nützlich, praktisch, geeignet oder zweckmäßig ist1. 6 Von einer Erforderlichkeit kann allerdings ausgegangen werden, wenn die Erhe-

bung dazu führt, dass im Interesse des Betroffenen die Aufgabenerfüllung beschleunigt werden kann; insbesondere, wenn ansonsten die Aufgabenerfüllung nicht in angemessener Zeit möglich ist2.

7 Die Beurteilung der Erforderlichkeit der Erhebung ist ex-ante, also zum Zeit-

punkt der Erhebung selbst vorzunehmen. Im Rahmen der regelmäßig notwendigen Sachverhaltserforschung3, z.B. zur Vorbereitung einer Ermessensentscheidung, ist somit eine Erhebung nicht deshalb unzulässig, weil sich ex-post herausstellt, dass die gewonnenen Erkenntnisse für die Entscheidung nicht relevant waren. In einem solchen Fall sind die nicht benötigten Daten aber umgehend zu löschen (§ 20 Abs. 2 Nr. 2). Die Erhebung muss im konkreten Fall, bezogen auf den individuell Betroffenen erforderlich sein. Das ist nicht der Fall, wenn die Erhebung erst in der Zukunft relevant werden könnte, bzw. die Daten ggf. benötigt werden könnten4. Bereits die „anlasslose“ Erhebung, nicht erst die Speicherung „auf Vorrat“, ist unzulässig5.

8 Erfolgt die Erhebung nicht zum Zweck der Aufgabenerfüllung der öffentlichen

Stelle oder ist sie für diese nicht erforderlich, so ist sie unzulässig und gleichzeitig ein ungerechtfertigter (rechtswidriger) Eingriff in das Recht auf informationelle Selbstbestimmung des Betroffenen. Die Daten dürfen weder verarbeitet noch genutzt werden6.

III. Art und Weise der Erhebung 9 In engem Zusammenhang mit der Frage, ob eine Datenerhebung für die Auf-

gabenerfüllung erforderlich ist, steht die Frage nach der Art und Weise der Datenerhebung. Insbesondere im Bereich der präventiven und repressiven Tätigkeit der Polizei und Staatsanwaltschaft ist ein enges Netz an zu beachtenden Vorschriften geschaffen worden, um ein Übermaß an grundrechtsrelevanter staatlicher „Erhebungstätigkeit“ zu verhindern. Dennoch musste das BVerfG

1 Simitis/Sokol/Scholz, § 13 BDSG Rz. 26. 2 Vgl. Taeger/Gabel/Heckmann, § 13 BDSG Rz. 20; Bergmann/Möhrle/Herb, § 13 BDSG Rz. 23. 3 Vgl. §§ 24, 26 VwVfG. 4 Taeger/Gabel/Heckmann, § 13 BDSG Rz. 23. 5 Simitis/Sokol/Scholz, § 13 Rz. 26; Gola/Schomerus, § 13 BDSG Rz. 4; vgl. st. Rspr. des BVerfG v. 2.3.2010 – 1 BvR 256/08 – Vorratsdatenspeicherung; BVerfGE 65, 1, 46; 100, 313, 360; 115, 320, 350; 118, 168, 187. 6 Simitis/Sokol/Scholz, § 13 BDSG Rz. 28.

434

|

Roggenkamp

Datenerhebung | § 13 BDSG

wiederholt die zum Schutze der Bürger grundrechtlich gebotenen Grenzen aufzeigen1. Bemerkenswert ist in diesem Zusammenhang insbesondere die Entscheidung 10 zur sog. „Online-Durchsuchung“2, also der Ermöglichung der heimlichen Durchsuchung eines Computers ohne Kenntnis des Betroffenen. Im Rahmen dieser Entscheidung hat das BVerfG festgestellt, dass das allgemeine Persönlichkeitsrecht auch das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme3 umfasst. Es schützt den Bürger insbesondere vor einem heimlichen Zugriff auf seinen PC, durch den die auf dem System vorhandenen Daten ganz oder zu wesentlichen Teilen ausgespäht werden können4. Ein Eingriff durch eine heimliche Infiltration eines informationstechnischen Systems, ist nur zulässig, wenn tatsächliche Anhaltspunkte einer konkreten Gefahr für ein überragend wichtiges Rechtsgut bestehen. Als „überragend wichtig“ werden die Rechtsgüter Leib, Leben und Freiheit der Person und solche Güter der Allgemeinheit angesehen, deren Bedrohung die Grundlagen oder den Bestand des Staates oder die Grundlagen der Existenz der Menschen berührt. Ein Eingriff ist grundsätzlich unter den Vorbehalt richterlicher Anordnung zu stellen und es müssen gesetzliche Vorkehrungen getroffen werden, um den Kernbereich privater Lebensgestaltung zu schützen5. In der Praxis hat sich gezeigt, dass mit diesen Vorgaben auch weiterhin lax um- 11 gegangen wird. So wurde im Oktober 2011 bekannt, dass trotz Fehlens einer hinreichenden Rechtsgrundlage Rechner verdächtiger Personen mit einem sog. Staatstrojaner infiltriert wurden, um im Rahmen einer „Quellen-Telekommunikationsüberwachung“ VoIP-Gespräche abhören zu können6.

IV. Erhebung bei nicht-öffentlicher Stelle (Abs. 1a) Der Grundsatz der Direkterhebung beim Betroffenen (§ 4 Abs. 2 Satz 17) kann 12 auch von öffentlichen Stellen unter den Voraussetzungen des § 4 Abs. 2 Satz 2 ausnahmsweise durchbrochen werden. Werden personenbezogene Daten über einen Dritten bei einer nicht-öffentlichen Stelle (§ 2 Abs. 4) erhoben, ist die öf1 Vgl. z.B. BVerfG v. 3.3.2004 – 1 BvR 2378/98 u. 1 BvR 1084/99, CR 2004, 343 – „Großer Lauschangriff“; BVerfG v. 27.2.2008 – 1 BvR 370/07, 1 BvR 595/07, CR 2008, 306 – „Online-Durchsuchung“; BVerfG v. 2.3.2010 – 1 BvR 256/08, CR 2010, 232 – „Vorratsdatenspeicherung“; BVerfG v. 20.4.2016 – 1 BvR 966/09 u. 1 BvR 1140/09 – „BKA-Gesetz“. 2 BVerfG v. 27.2.2008 – 1 BvR 370/07, 1 BvR 595/07, CR 2008, 306, hierzu statt vieler Eifert, NVwZ 2008, 521. 3 Hierzu Hornung, CR 2008, 299. 4 BVerfG v. 27.2.2008 – 1 BvR 370/07, 1 BvR 595/07, CR 2008, 306, Rz. 205. 5 BVerfG v. 27.2.2008 – 1 BvR 370/07, 1 BvR 595/07, CR 2008, 306 – Leitsätze 2 und 3. 6 Hierzu Braun/Roggenkamp, K&R 2011, 681. 7 Hierzu näher die Komm. zu § 4 BDSG Rz. 6 ff.

Roggenkamp

|

435

§ 13 BDSG | Datenverarbeitung der öffentlichen Stellen fentliche Stelle nach Abs. 1a verpflichtet, darauf hinzuweisen, ob und wenn ja auf welcher Rechtsgrundlage eine Verpflichtung zur Auskunft besteht. Dahinter steht der Gedanke, dass von nicht-öffentlichen Stellen nicht erwartet werden kann, dass sie über eine entsprechende Rechtskenntnis verfügen1. Besteht keine Verpflichtung zur Auskunft, ist hierauf ebenfalls hinzuweisen. Über den Erhebungszweck ist im Gegensatz zu § 4 Abs. 3 Nr. 2 regelmäßig nicht zu informieren, da dieser typischerweise nur das Rechtsverhältnis zwischen der öffentlichen Stelle und den Betroffenen berührt2.

V. Einschränkungen bei sensiblen Daten (Abs. 2) 13 In Abs. 2 findet sich eine weitere Einschränkung der Erhebungsmöglichkeiten

öffentlicher Stellen. Besondere Arten personenbezogener Daten (§ 3 Abs. 9) – auch als „sensitive“ oder besser „sensible“ Daten3 bezeichnet – dürfen nur erhoben werden, wenn einer der enumerativ aufgelisteten, eng auszulegenden4 und abschließenden5 Ausnahmetatbestände erfüllt ist. 1. Vorliegen einer Rechtsvorschrift (Abs. 2 Nr. 1)

14 Die Erhebung sensibler Daten ist öffentlichen Stellen immer dann gestattet,

wenn eine Rechtsvorschrift dies vorsieht oder aus Gründen eines „wichtigen öffentlichen Interesses“ zwingend erfordert. Die in Rede stehende Rechtsvorschrift selbst, muss bei europarechtskonformer Auslegung (Art. 8 Abs. 4 EG-Datenschutzrichtlinie) die Erhebung ebenfalls aufgrund eines wichtigen öffentlichen Interesses fordern. Ob ein öffentliches Interesse „wichtig“ ist, ist Auslegungsfrage. Deutlich wird, dass nicht jedes öffentliche Interesse ausreichend sein kann6. Der Definitionsversuch, dass es sich um ein öffentliches Interesse von solcher Bedeutung und Tragweite handeln müsse, dass ausnahmsweise ein Abweichen von den verbindlichen Vorgaben des gesetzlichen Datenschutzes gerechtfertigt sei7, hilft nur bedingt weiter. Anhaltspunkte bieten die Erwägungsgründe 34–36 der EG-Datenschutzrichtlinie, in welchen bspw. das öffentliche Gesundheitswesen und die sozialen Sicherungssysteme benannt sind8. Daraus kann gefolgert 1 Simitis/Sokol/Scholz, § 13 BDSG Rz. 29. 2 Simitis/Sokol/Scholz, § 13 BDSG Rz. 32; Taeger/Gabel/Heckmann, § 13 BDSG Rz. 35. 3 So auch die Bezeichnung bei Taeger/Gabel/Heckmann, § 13 BDSG Rz. 36 sowie Bergmann/Möhrle/Herb, § 13 BDSG Rz. 28. 4 Simitis/Sokol/Scholz, § 13 BDSG Rz. 34. 5 Taeger/Gabel/Heckmann, § 13 BDSG Rz. 36. 6 Simitis/Sokol/Scholz, § 13 BDSG Rz. 35; Bergmann/Möhrle/Herb, § 13 BDSG Rz. 30. 7 Simitis/Sokol/Scholz, § 13 BDSG Rz. 35; Däubler/Klebe/Wedde/Weichert/Wedde, § 13 BDSG Rz. 26. 8 Gola/Schomerus, § 13 BDSG Rz. 14.

436

|

Roggenkamp

Datenerhebung | § 13 BDSG

werden, dass ein wichtiges öffentliches Interesse (zumindest) all die Einrichtungen und Tätigkeiten des Staates erfasst, die für das Wohl der Allgemeinheit und den Bestand des Staates von nicht unerheblicher Bedeutung sind. Im Falle des Vorliegens einer Rechtsvorschrift, kann – so lange nicht Gegenteiliges offensichtlich ist – davon ausgegangen werden, dass der Gesetzgeber das Vorliegen eines wichtigen öffentlichen Interesses geprüft und bejaht hat1. Im Falle der zweiten Alternative ist im Einzelfall eine strenge Erforderlichkeitsprüfung vorzunehmen. Das geforderte „zwingende“ Erfordernis der Erhebung ist nur dann gegeben, wenn praktisch keine Alternative gegeben ist2. 2. Vorliegen einer Einwilligung (Abs. 2 Nr. 2) Eine Erhebung sensibler Daten ist auch dann zulässig, wenn der Betroffene ein- 15 gewilligt (s. Komm. zu § 4a BDSG) hat. Die Einwilligung muss sich ausdrücklich auf diese Daten beziehen (§ 4a Abs. 3). Eine konkludente Einwilligung reicht nicht aus3. Die Erforderlichkeit der Datenerhebung bleibt auch bei Vorliegen einer Einwilligung Voraussetzung.4 3. Schutz lebenswichtiger Interessen (Abs. 2 Nr. 3) Die Erhebung sensibler personenbezogener Daten ist auch zulässig, wenn das 16 zum Schutz lebenswichtiger Interessen des Betroffenen oder eines Dritten erforderlich ist. Zusätzlich muss der Betroffene aus physischen oder rechtlichen Gründen zur Einwilligungserteilung außerstande sein. Der Begriff der „lebenswichtigen“ Interessen umfasst alle existentiellen Interessen, insbesondere die Rechtsgüter Leib und Leben5. Problematisiert wird in diesem Zusammenhang, inwieweit Beachtung finden 17 muss, dass der Betroffene im Einzelfall erkennbar seine Einwilligung nicht erteilt hätte, wäre er zur Erteilung in der Lage gewesen6. Gola/Schomerus7 und Dammann8 ist darin zuzustimmen, dass ein erkennbarer Wille des Betroffenen bei der Frage der Zulässigkeit der Erhebung zu respektieren und zu berücksichtigen ist. Steht mit hinreichender Sicherheit fest, dass die Erhebung dem Willen des Betroffenen widerspricht, so hat sie zu unterbleiben. Sind für einen objekti1 Gola/Schomerus, § 13 BDSG Rz. 14. 2 Däubler/Klebe/Wedde/Weichert/Wedde, § 13 BDSG Rz. 26; Gola/Schomerus, § 13 BDSG Rz. 15 (Verdeutlichung des Ausnahmecharakters der Vorschrift). 3 Gola/Schomerus, § 13 BDSG Rz. 16; Bergmann/Möhrle/Herb, § 13 BDSG Rz. 31. 4 Gola/Schomerus, § 13 BDSG Rz. 16. 5 Däubler/Klebe/Wedde/Weichert/Wedde, § 13 BDSG Rz. 30. 6 Vgl. die Darstellung bei Taeger/Gabel/Heckmann, § 13 Rz. 53 ff. 7 Gola/Schomerus, § 13 BDSG Rz. 17. 8 Dammann/Simitis, EG-Datenschutzrichtlinie, Art. 8 Rz. 11; zurückhaltend Simitis/Sokol/ Scholz, § 13 BDSG Rz. 37.

Roggenkamp

|

437

§ 13 BDSG | Datenverarbeitung der öffentlichen Stellen ven Dritten keine oder keine hinreichenden Anhaltspunkte für einen entgegenstehenden Willen des Betroffenen erkennbar, ist die Erhebung zulässig.1 4. Offenkundig öffentliche Daten (Abs. 2 Nr. 4) 18 Öffentliche Daten des Betroffenen sind solche, die jedermann ohne besondere

Schwierigkeiten einsehen kann. Sie sind immer dann offenkundig öffentlich, wenn aus der Perspektive des objektiven Betrachters die Veröffentlichung mit dem eindeutigen Willen des Betroffenen erfolgt ist2. Ein „eindeutiger Wille“ ist regelmäßig nicht erkennbar, wenn die sensiblen Daten durch einen Dritten veröffentlicht wurden, z.B. im Rahmen eines Presseartikels, eines Eintrags auf einem Blog oder einer Social Networking Plattform.

19 Veröffentlicht der Betroffene sensible Daten selbst, ist grundsätzlich von einer

Offenkundigkeit auszugehen. Das betrifft insbesondere auch Daten die der Betroffene selbst im Internet (z.B. bei Twitter, in einem Blog oder auf einer Homepage) einstellt und die ohne Weiteres für jeden Nutzer „sichtbar“ sind. Wenn sich der Betroffene dafür entscheidet, den Zugriff durch einen unbestimmten Personenkreis nicht (z.B. durch Passwortschutz) zu unterbinden, kann von einem Veröffentlichungswillen ausgegangen werden3. Ob ein eindeutiger Veröffentlichungswille des Betroffenen angenommen werden kann, wenn die Daten in einem sog. sozialen Netzwerk eingestellt wurden, muss nach hier vertretener Auffassung von der Ausrichtung bzw. dem Zweck des Angebots abhängig gemacht werden4. Dient das Netzwerk der beruflichen Kontaktpflege (z.B. Xing, LinkedIn) und dem „Networking“, kann der objektive Betrachter unter Berücksichtigung dieses Zwecks von einem eindeutigen Veröffentlichungswillen ausgehen. Bei Netzwerken, die primär dem Austausch unter „Freunden“ dienen (private soziale Netzwerke – z.B. Facebook), kann ein Veröffentlichungswille nicht ohne Weiteres angenommen werden. Das gilt insbesondere, wenn das in Rede stehende Netzwerk die Nutzerdaten in der Grundeinstellung „für jedermann sichtbar“ vorhält und der Nutzer hierauf nicht oder nicht hinreichend deutlich im Registrierungsprozess hingewiesen wird. Auch bei Berücksichtigung der Tatsache, dass die Datenschutzdefizite und -bedingungen bei großen sozialen Netzwerken inzwischen Gegenstand der Erörterung in Abendnachrichten und allgemeinen Tageszeitungen sind, kann nicht davon ausgegangen werden, dass jedermann über die Notwendigkeit der Vornahme entsprechender Änderungen

1 Vgl. Däubler/Klebe/Wedde/Weichert/Wedde, § 13 BDSG Rz. 30. 2 Vgl. Gola/Schomerus, § 13 BDSG Rz. 18; für eine restriktive Auslegung, die dazu führt, dass „kaum Anwendungsfälle denkbar“ sind Simitis/Sokol/Scholz, § 13 BDSG Rz. 38. 3 Vgl. LG Köln v. 22.6.2011 – 28 O 819/10; enger Wedde, der fordert, dass „ohne Zweifel“ davon auszugehen sein muss, dass die „mitgeteilten Informationen auch öffentlichen Stellen zur Kenntnis gebracht werden sollen“, Däubler/Klebe/Wedde/Weichert/Wedde, § 13 BDSG Rz. 32. 4 Zustimmend Taeger/Gabel/Heckmann, § 13 BDSG Rz. 58.

438

|

Roggenkamp

Datenerhebung | § 13 BDSG

weiß. Im Gegenteil, gerade aufgrund der o.g. Berichterstattung kann nicht davon ausgegangen werden, dass de facto über private soziale Netzwerke öffentlich zugängliche sensible Daten mit Willen des Betroffenen öffentlich zugänglich sind. 5. Abwehr erheblicher Gefahren (Abs. 2 Nr. 5) Nach Art. 3 Abs. 2 der EG-Datenschutzrichtlinie findet diese keine Anwendung 20 auf die Verarbeitung personenbezogener Daten betreffend die öffentliche Sicherheit. Dementsprechend ist in Nr. 5 die Erhebung sensibler Daten zum Zweck der Gefahrenabwehr zulässig. Es muss allerdings nach dem Wortlaut eine „erhebliche Gefahr“ für die öffentliche Sicherheit vorliegen. Im Gefahrenabwehrrecht wird hierunter gemeinhin eine „Gefahr für ein bedeutsames Rechtsgut wie Bestand des Staates, Leben, Gesundheit, Freiheit, nicht unwesentliche Vermögenswerte sowie andere strafrechtlich geschützte Güter“ verstanden1. Daraus folgt, dass Gefahrenabwehrmaßnahmen zum Schutz der öffentlichen Ordnung nicht von Nr. 5 abgedeckt sind. 6. Belange des Gemeinwohls (Abs. 2 Nr. 6) Die Ausnahmeregelung der Nr. 6, die eine Erhebung sensibler Daten zur Ab- 21 wehr von Nachteilen für bzw. zur Wahrung von Belangen des Gemeinwohls gestattet, ist mit Blick auf den Wortlaut der weiteste und unbestimmteste der Ausnahmetatbestände2. Der Begriff der „Belange des Gemeinwohls“ ist insofern vergleichbar mit dem unbestimmten Begriff der „öffentlichen Ordnung“ im Gefahrenabwehrrecht. Er wird in anderen Rechtsgebieten mit den „wesentlichen Interessen der Öffentlichkeit“ gleichgesetzt3, die freilich ebenfalls wenig greifbar sind. Ein Definitionsversuch in der datenschutzrechtlichen Literatur4 beschreibt das Gemeinwohl als das „Wohlergehen einer Gemeinschaft, also einer Gruppe von Menschen mit gemeinsamen Lebensumständen und Interessen“, was gleichsam wenig Erhellung verschafft. Fest steht lediglich, dass private Interessen Einzelner, die hinter den durch die öffentliche Sicherheit (Nr. 5) geschützten Rechtsgütern zurückbleiben, nicht umfasst sind. Unter Berücksichtigung des besonderen Schutzbedarfs sensibler Daten, muss es sich um Angelegenheiten handeln, die von „erheblicher“ Bedeutung für eine Vielzahl von Personen sind. 7. Gesundheit (Abs. 2 Nr. 7) Im Gesundheitsbereich, genauer im Bereich der Gesundheitsvorsorge, der medi- 22 zinischen Diagnostik, der Gesundheitsversorgung oder Behandlung oder für die 1 2 3 4

S. z.B. die Legaldefinition in § 2 Satz 1 Nr. 1c) Nds.SOG. Vgl. Taeger/Gabel/Heckmann, § 13 BDSG Rz. 67. Z.B. MüKo-GmbHG/Limpert, § 62 Rz. 32. Gola/Schomerus, § 13 BDSG Rz. 20.

Roggenkamp

|

439

§ 14 BDSG | Datenverarbeitung der öffentlichen Stellen Verwaltung von Gesundheitsdiensten ist die Erhebung sensibler personenbezogener Daten zulässig, wenn sie zur Erfüllung der in den Bereichen verfolgten Zwecke erforderlich ist. Die Verarbeitung der Daten muss durch in diesem Bereich tätiges Personal erfolgen, das einer Geheimhaltungspflicht (vgl. § 203 Abs. 1 Nr. 1 StGB) unterliegt1. Auch Verwaltungen, Abrechnungsstellen und Apotheken sind erfasst2. 8. Forschung (Abs. 2 Nr. 8) 23 Ist die Erhebung sensibler personenbezogener Daten für die Durchführung von

Forschungsprojekten erforderlich, kann sie nach Nr. 8 zulässig sein. Es muss sich bei den Forschungsprojekten um wissenschaftliche Vorhaben handeln. Die Zulässigkeit steht unter der Prämisse, dass bei einer Abwägung mit dem wissenschaftlichen Interesse an der Durchführung des Forschungsvorhabens das Interesse des Betroffenen an dem Ausschluss der Erhebung nicht erheblich überwiegt3. Außerdem muss der Zweck der Forschung auf andere Weise entweder gar nicht oder nur mit unverhältnismäßigem Aufwand erreicht werden können. 9. Verteidigung (Abs. 2 Nr. 9)

24 Ausweislich Art. 3 Abs. 2 EG-Datenschutzrichtlinie findet diese keine Anwen-

dung auf die Verarbeitung personenbezogener Daten, die für „die Landesverteidigung, die Sicherheit des Staates (einschließlich seines wirtschaftlichen Wohls, wenn die Verarbeitung die Sicherheit des Staates berührt)“ erfolgt. Dementsprechend ist nach Nr. 9 die Erhebung sensibler personenbezogener Daten zulässig, wenn zwingende Gründe der Verteidigung, der Erfüllung über- oder zwischenstaatlicher Verpflichtungen einer öffentlichen Stelle des Bundes auf dem Gebiet der Krisenbewältigung, der Konfliktverhinderung oder für humanitäre Maßnahmen diese erforderlich machen.

§ 14 Datenspeicherung, -veränderung und -nutzung (1) 1Das Speichern, Verändern oder Nutzen personenbezogener Daten ist zulässig, wenn es zur Erfüllung der in der Zuständigkeit der verantwortlichen Stelle liegenden Aufgaben erforderlich ist und es für die Zwecke erfolgt, für 1 Hierzu von Lewinski, MedR 2004, 95. 2 Däubler/Klebe/Wedde/Weichert/Wedde, § 13 BDSG Rz. 37; Gola/Schomerus, § 13 BDSG Rz. 22. 3 Nach Bergmann/Möhrle/Herb, § 13 BDSG Rz. 38 soll ein erhebliches Überwiegen gegenüber dem Betroffeneninteresse anzunehmen sein, wenn „das Forschungsvorhaben erhebliche Auswirkungen auf die Gesundheit oder die soziale Sicherung der Bevölkerung hat“.

440

|

Roggenkamp

§ 14 BDSG | Datenverarbeitung der öffentlichen Stellen Verwaltung von Gesundheitsdiensten ist die Erhebung sensibler personenbezogener Daten zulässig, wenn sie zur Erfüllung der in den Bereichen verfolgten Zwecke erforderlich ist. Die Verarbeitung der Daten muss durch in diesem Bereich tätiges Personal erfolgen, das einer Geheimhaltungspflicht (vgl. § 203 Abs. 1 Nr. 1 StGB) unterliegt1. Auch Verwaltungen, Abrechnungsstellen und Apotheken sind erfasst2. 8. Forschung (Abs. 2 Nr. 8) 23 Ist die Erhebung sensibler personenbezogener Daten für die Durchführung von

Forschungsprojekten erforderlich, kann sie nach Nr. 8 zulässig sein. Es muss sich bei den Forschungsprojekten um wissenschaftliche Vorhaben handeln. Die Zulässigkeit steht unter der Prämisse, dass bei einer Abwägung mit dem wissenschaftlichen Interesse an der Durchführung des Forschungsvorhabens das Interesse des Betroffenen an dem Ausschluss der Erhebung nicht erheblich überwiegt3. Außerdem muss der Zweck der Forschung auf andere Weise entweder gar nicht oder nur mit unverhältnismäßigem Aufwand erreicht werden können. 9. Verteidigung (Abs. 2 Nr. 9)

24 Ausweislich Art. 3 Abs. 2 EG-Datenschutzrichtlinie findet diese keine Anwen-

dung auf die Verarbeitung personenbezogener Daten, die für „die Landesverteidigung, die Sicherheit des Staates (einschließlich seines wirtschaftlichen Wohls, wenn die Verarbeitung die Sicherheit des Staates berührt)“ erfolgt. Dementsprechend ist nach Nr. 9 die Erhebung sensibler personenbezogener Daten zulässig, wenn zwingende Gründe der Verteidigung, der Erfüllung über- oder zwischenstaatlicher Verpflichtungen einer öffentlichen Stelle des Bundes auf dem Gebiet der Krisenbewältigung, der Konfliktverhinderung oder für humanitäre Maßnahmen diese erforderlich machen.

§ 14 Datenspeicherung, -veränderung und -nutzung (1) 1Das Speichern, Verändern oder Nutzen personenbezogener Daten ist zulässig, wenn es zur Erfüllung der in der Zuständigkeit der verantwortlichen Stelle liegenden Aufgaben erforderlich ist und es für die Zwecke erfolgt, für 1 Hierzu von Lewinski, MedR 2004, 95. 2 Däubler/Klebe/Wedde/Weichert/Wedde, § 13 BDSG Rz. 37; Gola/Schomerus, § 13 BDSG Rz. 22. 3 Nach Bergmann/Möhrle/Herb, § 13 BDSG Rz. 38 soll ein erhebliches Überwiegen gegenüber dem Betroffeneninteresse anzunehmen sein, wenn „das Forschungsvorhaben erhebliche Auswirkungen auf die Gesundheit oder die soziale Sicherung der Bevölkerung hat“.

440

|

Roggenkamp

Datenspeicherung, -veränderung und -nutzung | § 14 BDSG

die die Daten erhoben worden sind. 2Ist keine Erhebung vorausgegangen, dürfen die Daten nur für die Zwecke geändert oder genutzt werden, für die sie gespeichert worden sind. (2) Das Speichern, Verändern oder Nutzen für andere Zwecke ist nur zulässig, wenn 1. eine Rechtsvorschrift dies vorsieht oder zwingend voraussetzt, 2. der Betroffene eingewilligt hat, 3. offensichtlich ist, dass es im Interesse des Betroffenen liegt, und kein Grund zu der Annahme besteht, dass er in Kenntnis des anderen Zwecks seine Einwilligung verweigern würde, 4. Angaben des Betroffenen überprüft werden müssen, weil tatsächliche Anhaltspunkte für deren Unrichtigkeit bestehen, 5. die Daten allgemein zugänglich sind oder die verantwortliche Stelle sie veröffentlichen dürfte, es sei denn, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Zweckänderung offensichtlich überwiegt, 6. es zur Abwehr erheblicher Nachteile für das Gemeinwohl oder einer Gefahr für die öffentliche Sicherheit oder zur Wahrung erheblicher Belange des Gemeinwohls erforderlich ist, 7. es zur Verfolgung von Straftaten oder Ordnungswidrigkeiten, zur Vollstreckung oder zum Vollzug von Strafen oder Maßnahmen im Sinne des § 11 Abs. 1 Nr. 8 des Strafgesetzbuchs oder von Erziehungsmaßregeln oder Zuchtmitteln im Sinne des Jugendgerichtsgesetzes oder zur Vollstreckung von Bußgeldentscheidungen erforderlich ist, 8. es zur Abwehr einer schwerwiegenden Beeinträchtigung der Rechte einer anderen Person erforderlich ist oder 9. es zur Durchführung wissenschaftlicher Forschung erforderlich ist, das wissenschaftliche Interesse an der Durchführung des Forschungsvorhabens das Interesse des Betroffenen an dem Ausschluss der Zweckänderung erheblich überwiegt und der Zweck der Forschung auf andere Weise nicht oder nur mit unverhältnismäßigem Aufwand erreicht werden kann. (3) 1Eine Verarbeitung oder Nutzung für andere Zwecke liegt nicht vor, wenn sie der Wahrnehmung von Aufsichts- und Kontrollbefugnissen, der Rechnungsprüfung oder der Durchführung von Organisationsuntersuchungen für die verantwortliche Stelle dient. 2Das gilt auch für die Verarbeitung oder Nutzung zu Ausbildungs- und Prüfungszwecken durch die verantwortliche Stelle, soweit nicht überwiegende schutzwürdige Interessen des Betroffenen entgegenstehen. (4) Personenbezogene Daten, die ausschließlich zu Zwecken der Datenschutzkontrolle, der Datensicherung oder zur Sicherstellung eines ordnungsRoggenkamp

|

441

§ 14 BDSG | Datenverarbeitung der öffentlichen Stellen gemäßen Betriebes einer Datenverarbeitungsanlage gespeichert werden, dürfen nur für diese Zwecke verwendet werden. (5) 1Das Speichern, Verändern oder Nutzen von besonderen Arten personenbezogener Daten (§ 3 Abs. 9) für andere Zwecke ist nur zulässig, wenn 1. die Voraussetzungen vorliegen, die eine Erhebung nach § 13 Abs. 2 Nr. 1 bis 6 oder 9 zulassen würden oder 2. dies zur Durchführung wissenschaftlicher Forschung erforderlich ist, das öffentliche Interesse an der Durchführung des Forschungsvorhabens das Interesse des Betroffenen an dem Ausschluss der Zweckänderung erheblich überwiegt und der Zweck der Forschung auf andere Weise nicht oder nur mit unverhältnismäßigem Aufwand erreicht werden kann. 2Bei der Abwägung nach Satz 1 Nr. 2 ist im Rahmen des öffentlichen Interesses das wissenschaftliche Interesse an dem Forschungsvorhaben besonders zu berücksichtigen. (6) Die Speicherung, Veränderung oder Nutzung von besonderen Arten personenbezogener Daten (§ 3 Abs. 9) zu den in § 13 Abs. 2 Nr. 7 genannten Zwecken richtet sich nach den für die in § 13 Abs. 2 Nr. 7 genannten Personen geltenden Geheimhaltungspflichten. I. Allgemeines . . . . . . . . . . . . . . 1 II. Speicherung, Veränderung und Nutzung durch öffentliche Stellen (Abs. 1) 1. Speicherung, Veränderung und Nutzung . . . . . . . . . . . . . . 2 2. Erforderlichkeit . . . . . . . . . . . . 3 3. Zweckbindung . . . . . . . . . . . . . 4 III. Ausnahmen (Abs. 2) . . . . . . . . 7 1. Rechtsvorschrift (Abs. 2 Nr. 1) 8 2. Einwilligung des Betroffenen (Abs. 2 Nr. 2) . . . . . . . . . . . . . . 9 3. Offensichtliches Betroffeneninteresse (Abs. 2 Nr. 3) . . . . . . . 10 4. Überprüfung von Angaben bei Verdacht auf Unrichtigkeit (Abs. 2 Nr. 4) . . . . . . . . . . . . . . 12

5. Allgemein zugängliche Daten (Abs. 2 Nr. 5) . . . . . . . . . . . . . . 6. Belange des Gemeinwohls (Abs. 2 Nr. 6) . . . . . . . . . . . . . . 7. Verfolgung und Vollstreckung von Straftaten und Ordnungswidrigkeiten (Abs. 2 Nr. 7) . . . . 8. Abwehr schwerwiegender Beeinträchtigungen Dritter (Abs. 2 Nr. 8) . . . . . . . . . . . . . . 9. Wissenschaftliche Forschung (Abs. 2 Nr. 9) . . . . . . . . . . . . . . IV. Sekundärzwecke (Abs. 3) . . . . . V. Zweckänderungsverbot (Abs. 4) VI. Sensible Daten (Abs. 5) . . . . . . VII. Medizinische Daten (Abs. 6) . .

13 14 15 16 18 19 20 21 24

Schrifttum: Arbeitsgruppe „Elektronische Verwaltungsakte“, „Anforderungen der Verwaltungsgerichtsbarkeit an die Führung elektronischer Verwaltungsakten“ – eine Orientierungshilfe, Jur-PC 2011, Web-Dok. 66/2011.

442

|

Roggenkamp

Datenspeicherung, -veränderung und -nutzung | § 14 BDSG

I. Allgemeines Durch § 14 wird die Speicherung, Veränderung und Nutzung personenbezoge- 1 ner Daten durch öffentliche Stellen geregelt. Insbesondere wird die strenge Zweckbindung der Datenverarbeitung im öffentlichen Bereich klargestellt.

II. Speicherung, Veränderung und Nutzung durch öffentliche Stellen (Abs. 1) 1. Speicherung, Veränderung und Nutzung Die Begriffe Speicherung, Veränderung und Nutzung sind im ersten Abschnitt 2 des BDSG in § 3 näher definiert. Speicherung ist zunächst das Erfassen, Aufnehmen oder Aufbewahren personenbezogener Daten auf einem Datenträger zum Zweck ihrer weiteren Verarbeitung oder Nutzung (s. Komm. zu § 3 BDSG Rz. 35). Da das BDSG für öffentliche Stellen uneingeschränkt und nicht nur für die automatisierte Verarbeitung gilt, ist darüber hinaus auch die Verarbeitung von Daten in Akten erfasst1. Unter einer Datenveränderung ist nach § 3 Abs. 4 Nr. 2 (s. Komm. zu § 3 BDSG Rz. 36) das inhaltliche Umgestalten gespeicherter personenbezogener Daten zu verstehen. Die ebenfalls unter diese Definition subsumierbare Berichtigung ist nach § 20 Abs. 1 zu beurteilen2. Datennutzung ist jede Verwendung personenbezogener Daten, die nicht Verarbeitung (also Speichern, Verändern, Übermitteln, Sperren und Löschen personenbezogener Daten) ist (§ 3 Abs. 5 i.V.m. Abs. 4 s. Komm. zu § 3 BDSG Rz. 53). 2. Erforderlichkeit Wie auch die Erhebung (§ 13) ist das Speichern, Verändern oder Nutzen per- 3 sonenbezogener Daten nur zulässig, wenn es zur Erfüllung der Aufgaben der verantwortlichen Stelle erforderlich ist. Insofern gelten die gleichen Grundsätze (vgl. Komm. zu § 13 BDSG Rz. 4 ff.). Die Erforderlichkeit ist bezüglich jeder einzelnen genannten Maßnahme zu prüfen3. Es ist zu fragen, ob es der Speicherung, Veränderung oder Nutzung bedarf, weil sonst eine bestimmte Aufgabe, für die die verantwortliche Stelle zuständig ist4, nicht, nicht vollständig oder nicht in rechtmäßiger Weise erfüllt werden könnte5. Die Erforderlichkeit ist insbesondere im Falle der Speicherung in regelmäßigen Abständen neu zu überprü1 2 3 4

Gola/Schomerus, § 14 BDSG Rz. 2. Gola/Schomerus, § 14 BDSG Rz. 3. Gola/Schomerus, § 14 BDSG Rz. 5. Die explizite Nennung in § 14 Abs. 1 hat nur deklaratorischen Charakter, vgl. Taeger/ Gabel/Heckmann, § 14 BDSG Rz. 8. 5 Taeger/Gabel/Heckmann, § 14 BDSG Rz. 10.

Roggenkamp

|

443

§ 14 BDSG | Datenverarbeitung der öffentlichen Stellen fen. Ist die Speicherung für die Aufgabenerfüllung nicht mehr erforderlich, so ist die weitere Speicherung unzulässig. Die Daten sind entweder zu löschen (§ 20 Abs. 2 Nr. 2) oder zu sperren (§ 20 Abs. 3). Eine Speicherung auf Vorrat, also weil die gespeicherten Daten in Zukunft theoretisch benötigt werden könnten, ist grundsätzlich unzulässig1. Ausnahmen finden sich in bereichsspezifischen Regelungen, die zu bestimmten Zwecken ein Vorhalten auf Vorrat ermöglichen2. Eine Regelung die eine Speicherung ohne hinreichend konkrete Zweckbindung ermöglicht, ist jedoch unzulässig3. 3. Zweckbindung 4 Der Kern der Regelung des § 14 Abs. 1 ist die Festlegung des Zweckbindungs-

grundsatzes4. Die Speicherung, Veränderung oder Nutzung personenbezogener Daten ist grundsätzlich nur zu dem Zweck zulässig, zu dem die Daten erhoben wurden. Die Zweckbestimmung lässt sich aus der verfolgten Aufgabe ableiten und wird regelmäßig enger als diese festzulegen sein. Gleichzeitig ist sie regelmäßig weiter zu ziehen als der konkrete Anlass der einzelnen Maßnahme5. Der Erhebungszweck haftet dem erhobenen personenbezogenen Datum bis zur Zweckerfüllung an, weshalb dieser in der Praxis hinreichend deutlich definiert und dokumentiert werden muss6. Aus dem Wortlaut des § 14 Abs. 1, welcher von den „Zwecken“ spricht, folgt bereits, dass mit der Erhebung auch mehrere Zwecke verfolgt werden können. Gleichzeitig kann die Speicherung, Veränderung oder Nutzung auch nur für einen der Erhebungszwecke erfolgen.

5 Aus § 14 Abs. 1 Satz 2 folgt, dass in Fällen, in denen Daten nicht durch die ver-

antwortliche Stelle erhoben wurden, die Zweckfestlegung zum Zeitpunkt der Speicherung erfolgen muss7. Die Änderung oder Nutzung darf in diesem Fall nur für die Zwecke erfolgen, für die die personenbezogenen Daten gespeichert wurden.

6 Bei der Gestaltung von Vorgangsbearbeitungssystemen für die öffentliche

Hand muss der Zweckbindungsgrundsatz durch entsprechende technische Gestaltung berücksichtigt werden. Der Datenumgang muss sich entlang der rechtskonformen Durchführung des jeweiligen Verwaltungsverfahrens ausrichten8.

1 2 3 4 5 6 7 8

Gola/Schomerus, § 14 BDSG Rz. 8. Vgl. z.B. § 29 BPolG. So bereits BVerfG v. 15.12.1983 – 1 BvR 209/83 u.a., NJW 1984, 419 (422). Gola/Schomerus, § 14 BDSG Rz. 10. Simitis/Dammann, § 14 BDSG Rz. 42. Gola/Schomerus, § 14 BDSG Rz. 10. Vgl. Gola/Schomerus, § 14 BDSG Rz. 11. Laue, Vorgangsbearbeitungssysteme in der öffentlichen Verwaltung, Diss. 2010, S. 329 ff.

444

|

Roggenkamp

Datenspeicherung, -veränderung und -nutzung | § 14 BDSG

III. Ausnahmen (Abs. 2) In Abs. 2 ist festgelegt, wann eine Datenspeicherung, -veränderung oder -nut- 7 zung für andere Zwecke ausnahmsweise zulässig ist. Die Aufzählung ist abschließend1 und eng auszulegen2. Zusätzlich müssen die Voraussetzungen des Abs. 1 vorliegen, d.h. die Speicherung, Veränderung oder Nutzung muss auch in diesem Fall zur Erfüllung der Aufgaben der verantwortlichen Stelle erforderlich sein3. 1. Rechtsvorschrift (Abs. 2 Nr. 1) Eine Zweckänderung bzw. „Zweckentfremdung“ ist zulässig, wenn eine Rechts- 8 vorschrift sie entweder (explizit) vorsieht oder zwingend voraussetzt (vgl. auch die Komm. zu § 4 BDSG Rz. 13 ff.). Die verfassungsrechtlich nicht unbedenkliche4 zweite Variante ist nur dann erfüllt, wenn die Zweckentfremdung unbedingt für den Normvollzug – insbesondere älterer Vorschriften, die noch nicht den Anforderungen des BVerfG entsprechen – notwendig ist. Wäre bspw. auch eine neue Erhebung möglich, ist die Zweckänderung nicht „zwingend“ und daher nicht gestattet5. 2. Einwilligung des Betroffenen (Abs. 2 Nr. 2) Eine Zweckänderung ist auch bei Vorliegen einer entsprechenden Einwilligung 9 des Betroffenen zulässig. Die Einwilligung ist unter Beachtung der in § 4a Abs. 1 niedergelegten Voraussetzungen einzuholen6. Das ergibt sich bereits aus § 4 Abs. 1. Danach ist jedwede Erhebung, Verarbeitung und Nutzung personenbezogener Daten unter anderem in dem Umfang zulässig, in dem der Betroffene eingewilligt hat (vgl. näher die Komm. zu § 4 BDSG). Die Einwilligung muss sich gerade auch auf die Zweckänderung beziehen7. 3. Offensichtliches Betroffeneninteresse (Abs. 2 Nr. 3) Die Einholung einer Einwilligung bezüglich der Zweckänderung ist entbehrlich, 10 wenn diese im konkreten Fall offensichtlich im Interesse des Betroffenen liegt und zusätzlich keinerlei Anhaltspunkte dafür bestehen, dass der Betroffene in 1 2 3 4 5

Taeger/Gabel/Heckmann, § 14 BDSG Rz. 32; Bergmann/Möhrle/Herb, § 14 BDSG Rz. 11. Gola/Schomerus, § 14 BDSG Rz. 12. Däubler/Klebe/Wedde/Weichert/Wedde, § 14 BDSG Rz. 12. Vgl. Simitis/Dammann, § 14 BDSG Rz. 56. Simitis/Dammann, § 14 BDSG Rz. 56; Däubler/Klebe/Wedde/Weichert/Wedde, § 14 BDSG Rz. 13. 6 Gola/Schomerus, § 14 BDSG Rz. 16. 7 Taeger/Gabel/Heckmann, § 14 BDSG Rz. 41; Kühling/Sivridis/Seidel, Datenschutzrecht, S. 175.

Roggenkamp

|

445

§ 14 BDSG | Datenverarbeitung der öffentlichen Stellen Kenntnis des anderen Zwecks die Einwilligung verweigern würde. Ausreichend ist es, wenn die Zweckänderung für den Betroffenen bei Saldierung der Vorund Nachteile offensichtlich von Vorteil ist, die Vorteile also sicher und eindeutig überwiegen1. Dann ist die Beteiligung des ggf. nur schwer ausfindbar zu machenden Betroffenen nicht notwendig. Offensichtlichkeit ist gegeben, wenn der „durchschnittlich aufmerksame Bedienstete der verantwortlichen Stelle“ dies eindeutig erkennen kann2. 11 Die Ausnahme ist nur anzuwenden, wenn der tatsächliche Wille des Betroffene

nicht oder nur unter erschwerten Bedingungen in Erfahrung gebracht werden kann3.

4. Überprüfung von Angaben bei Verdacht auf Unrichtigkeit (Abs. 2 Nr. 4) 12 Eine Zweckänderung ist zulässig, wenn tatsächliche Anhaltspunkte, also ein auf

konkreten Tatsachen beruhender Anfangsverdacht4, bei der verantwortlichen Stelle besteht, dass Angaben über den Betroffenen unrichtig sind. Bloße Vermutungen oder gar Mutmaßungen reichen nicht aus. Ein „präventiver Dateienabgleich“ mit dem Ziel derartige Tatsachen bzw. Erkenntnisse erst zu gewinnen, ist unzulässig5. Abgeglichen werden dürfen nur die Daten, für die der Verdacht der Unrichtigkeit besteht. Die Überprüfung muss zudem notwendig sein. Ist auch eine Klärung durch Nachfrage beim Betroffenen möglich, ist dies dem Abgleich mit Daten die einem anderen Zweck dienen vorzuziehen6. 5. Allgemein zugängliche Daten (Abs. 2 Nr. 5)

13 Öffentliche Stellen dürfen (vgl. für nicht-öffentliche Stellen § 28 Abs. 1 Nr. 3)

bei personenbezogenen Daten, die allgemein zugänglich sind oder die sie veröffentlichen dürften, eine Zweckänderung vornehmen, wenn schutzwürdige Interessen des Betroffenen dem nicht offensichtlich entgegenstehen. Allgemein zugänglich sind personenbezogene Daten immer dann, wenn sie von einem individuell nicht bestimmbaren Personenkreis ohne Weiteres zur Kenntnis genommen werden können oder könnten. Daraus folgt noch nicht, dass öffentliche Stellen aus derartigen Daten umfangreiche Personendatenbanken erstellen dürften. Vielmehr müssen bei jedweder Datenverwendung die Anforderungen des Absatz 1 erfüllt werden, also eine Erforderlichkeit zur Aufgabenerfüllung ge-

1 Kühling/Sivridis/Seidel, Datenschutzrecht, S. 175; enger Gola/Schomerus, § 14 BDSG Rz. 17 sowie Däubler/Klebe/Wedde/Weichert/Wedde, § 14 BDSG Rz. 15. 2 Bergmann/Möhrle/Herb, § 14 BDSG Rz. 26; Schaffland/Wiltfang, § 14 BDSG Rz. 25. 3 Simitis/Dammann, § 14 BDSG Rz. 61. 4 Vgl. für § 152 StPO Meyer-Goßner, StPO, 54. Aufl. 2011, § 152 StPO Rz. 4. 5 Simitis/Dammann, § 14 BDSG Rz. 66. 6 Vgl. Simitis/Dammann, § 14 BDSG Rz. 68.

446

|

Roggenkamp

Datenspeicherung, -veränderung und -nutzung | § 14 BDSG

geben sein (s. Rz. 3)1. Auch Daten, die die verantwortliche Stelle selbst veröffentlichen dürfte (z.B. Registerdaten), unterliegen bezüglich einer zweckändernden Nutzung der Prämisse der Erforderlichkeit2. Zu beachten ist stets auch das (schutzwürdige) Interesse des Betroffenen am Ausschluss der Zweckänderung. Überwiegt es im Rahmen der vorzunehmenden Abwägung offensichtlich, ist die Zweckänderung unzulässig. Kommt die verantwortliche Stelle zu dem Ergebnis, dass die Zweckänderung zulässig ist, ist dies ein belastender Verwaltungsakt, gegen den der Betroffene mit Widerspruch und Klage vorgehen kann3. 6. Belange des Gemeinwohls (Abs. 2 Nr. 6) Eine Zweckänderung ist zulässig, wenn sie zur Abwehr erheblicher Nachteile für 14 das Gemeinwohl (1. Variante), einer Gefahr für die öffentliche Sicherheit (2. Variante) oder zur Wahrung erheblicher Belange des Gemeinwohls (3. Variante) erfolgt. Die Varianten 1 und 3 nehmen Bezug auf den wenig greifbaren Begriff des „Gemeinwohls“ (s. Komm. zu § 13 BDSG Rz. 21). Die Zulässigkeit der Zweckänderung unter diesem Aspekt ist nur mit größter Zurückhaltung zu bejahen4. Der Begriff der öffentlichen Sicherheit ist dem allgemeinen Sicherheitsrecht, insbesondere dem Polizeirecht zuzuordnen. Er umfasst den Schutz zentraler Rechtsgüter wie Leben, Gesundheit, Freiheit, Ehre, Eigentum und Vermögen des Einzelnen sowie die Unversehrtheit der Rechtsordnung und Funktionsfähigkeit der staatlichen Einrichtungen, wobei in der Regel eine Gefährdung der öffentlichen Sicherheit angenommen wird, wenn eine strafbare Verletzung dieser Schutzgüter droht5. Nicht erfasst von Nr. 6 ist die „öffentliche Ordnung“, also die Gesamtheit der ungeschriebenen Regeln, deren Beachtung nach den jeweils herrschenden sozialen und ethischen Anschauungen als unerlässliche Voraussetzung eines geordneten menschlichen Zusammenlebens innerhalb eines bestimmten Gebiets angesehen wird6. 7. Verfolgung und Vollstreckung von Straftaten und Ordnungswidrigkeiten (Abs. 2 Nr. 7) Zu Strafverfolgungszwecken sowie zur Verfolgung von Ordnungswidrigkeiten 15 und den daran ggf. anschließenden Maßnahmen (insbesondere Vollstreckung) ist ebenfalls eine Zweckänderung zulässig, wenn die weiteren Voraussetzungen des Abs. 1 vorliegen. In der Praxis handelt es sich im Wesentlichen um eine Befugnisnorm zur Unterrichtung der Strafverfolgungs- und Ordnungsbehörden 1 2 3 4 5 6

Simitis/Dammann, § 14 BDSG Rz. 69; Gola/Schomerus, § 14 BDSG Rz. 19. Gola/Schomerus, § 14 BDSG Rz. 19. Bergmann/Möhrle/Herb, § 14 BDSG Rz. 28; Gola/Schomerus, § 14 BDSG Rz. 19. Vgl. Taeger/Gabel/Heckmann, § 14 BDSG Rz. 66 – „hoch angelegte Schwelle“. Statt aller BVerfG v. 14.5.1985 – 1 BvR 233/81, 1 BvR 341/81 – BVerfGE 69, 315 (352). BVerfG v. 14.5.1985 – 1 BvR 233/81, 1 BvR 341/81 – BVerfGE 69, 315 (352).

Roggenkamp

|

447

§ 14 BDSG | Datenverarbeitung der öffentlichen Stellen durch öffentliche Stellen1. Erlangt bspw. eine öffentliche Stelle im Rahmen ihrer Aufgabenerfüllung Hinweise auf eine Straftat, so darf sie die damit zusammenhängenden personenbezogenen Daten an die Polizei oder Staatsanwaltschaft weiterleiten. Für die datenschutzrechtlich relevante Tätigkeit von Polizei und Staatsanwaltschaft existieren bereichsspezifische Regelungen (z.B. die Dateiregelungen der §§ 483 ff. StPO). 8. Abwehr schwerwiegender Beeinträchtigungen Dritter (Abs. 2 Nr. 8) 16 Ist die Abwehr einer schwerwiegenden Rechtsbeeinträchtigung einer anderen

(natürlichen oder juristischen2) Person zu besorgen, ist eine zweckändernde Speicherung, Veränderung oder Nutzung zulässig. Als schwerwiegend ist eine Rechtsbeeinträchtigung immer dann einzustufen, wenn entweder hochrangige Rechtsgüter (z.B. Leib, Leben, Freiheit der Person) gefährdet sind oder das Ausmaß der zu erwartenden Beeinträchtigung bzw. des zu erwartenden Schadens sehr hoch ist. Es muss sich bei der abzuwehrenden Beeinträchtigung um eine konkrete Gefährdung handeln. Im konkreten Fall muss die hinreichende Wahrscheinlichkeit bestehen, dass in absehbarer Zeit die Beeinträchtigung eintritt. Die Zweckänderung muss verhältnismäßig sein. Es ist eine Güter- und Interessenabwägung zwischen der drohenden Beeinträchtigung und der aus der Zweckänderung resultierenden Beeinträchtigung des Rechts auf informationelle Selbstbestimmung des Betroffenen vorzunehmen3.

17 Reine Vermögensinteressen sind nach der wohl herrschenden Meinung nicht ge-

schützt4. Das überzeugt nicht, da auch Beeinträchtigungen von Vermögensinteressen mitunter existentielle Folgen haben können. Daher können auch diese bei entsprechender Intensität grundsätzlich eine Zweckänderung legitimieren5.

9. Wissenschaftliche Forschung (Abs. 2 Nr. 9) 18 Ist die Zweckänderung zur Durchführung wissenschaftlicher Forschungsvor-

haben erforderlich und überwiegt das wissenschaftliche Interesse an der Forschung das Interesse des Betroffenen am Ausschluss der Zweckänderung erheblich, ist sie zulässig. Der Forschungszweck darf auf andere Weise nicht, oder nur mit unverhältnismäßigem Aufwand erreicht werden können6. Zu prüfen ist

1 2 3 4

Gola/Schomerus, § 14 BDSG Rz. 21. Simitis/Dammann, § 14 BDSG Rz. 83; Gola/Schomerus, § 14 BDSG Rz. 22. Simitis/Dammann, § 14 BDSG Rz. 87; Bergmann/Möhrle/Herb, § 14 BDSG Rz. 31. Simitis/Dammann, § 14 BDSG Rz. 84; Gola/Schomerus, § 14 BDSG Rz. 22; Taeger/ Gabel/Heckmann, § 14 BDSG Rz. 82; Kühling/Sivridis/Seidel, Datenschutzrecht, S. 177. 5 Vgl. Bergmann/Möhrle/Herb, § 14 BDSG Rz. 31, die eine Ausnahme nur bei lediglich einfachen Vermögensinteressen Dritter ablehnen. 6 Kühling/Sivridis/Seidel, Datenschutzrecht, S. 177.

448

|

Roggenkamp

Datenspeicherung, -veränderung und -nutzung | § 14 BDSG

bspw., ob der Forschungszweck auch auf Basis pseudonymisierter oder anonymisierter Daten erreichbar ist1.

IV. Sekundärzwecke (Abs. 3) Das öffentliche Interesse an einer funktionsfähigen Verwaltung, welche recht- 19 mäßig, zweckmäßig und nach dem Prinzip der Kostengerechtigkeit agiert und funktionsfähigen Kontrollmechanismen unterliegt, ist Hintergrund der Regelung des Abs. 32. In diesem wird bestimmt, dass eine Zweckänderung nicht vorliegt, wenn die Verarbeitung oder Nutzung von Daten der Wahrnehmung von Aufsichts- und Kontrollbefugnissen, der Rechnungsprüfung oder der Durchführung von Organisationsuntersuchungen für die verantwortliche Stelle dient. Wenn ein überwiegendes schutzwürdiges Interesse des Betroffenen nicht entgegensteht, liegt auch keine unzulässige Zweckänderung vor, wenn eine Verarbeitung oder Nutzung zu Ausbildungs- und Prüfungszwecken erfolgt. Es wird fingiert, dass diese Sekundär- bzw. Nebenzwecke vom Hauptzweck der Erhebung bereits mit umfasst sind3.

V. Zweckänderungsverbot (Abs. 4) Eine Einschränkung der Möglichkeit der Zweckänderung enthält Abs. 4 (vgl. 20 auch die entsprechende Regelung in § 31). Sind personenbezogene Daten ursprünglich nur zum Zweck der Datenschutzkontrolle, der Datensicherung (also z.B. eines Backups oder Zugriffslogdateien) oder zur Sicherstellung eines ordnungsgemäßen Betriebs einer Datenverarbeitungsanlage gespeichert worden, ist eine Verwendung zu einem anderen Zweck nicht zulässig.

VI. Sensible Daten (Abs. 5) Für die zweckändernde Speicherung, Veränderung oder Nutzung sensibler per- 21 sonenbezogener Daten (§ 3 Abs. 9) statuiert Abs. 5, dass besondere Voraussetzungen, die mit den Erhebungsvoraussetzungen nach § 13 Abs. 2 Nr. 1–6 sowie § 13 Abs. 2 Nr. 9 korrespondieren (Abs. 5 Nr. 1), vorliegen müssen. Insofern wird auf die Kommentierung zu § 13 Abs. 2 BDSG verwiesen. Zudem ist eine Zweckänderung zur Durchführung wissenschaftlicher For- 22 schung möglich, wenn das öffentliche Interesse das Interesse des Betroffenen 1 Däubler/Klebe/Wedde/Weichert/Wedde, § 14 BDSG Rz. 21. 2 Vgl. Gola/Schomerus, § 14 BDSG Rz. 24. 3 Vgl. Bergmann/Möhrle/Herb, § 14 BDSG Rz. 33.

Roggenkamp

|

449

§ 15 BDSG | Datenverarbeitung der öffentlichen Stellen am Ausschluss der Zweckänderung erheblich überwiegt. Das wissenschaftliche Interesse ist bei der Abwägung im Rahmen des öffentlichen Interesses „besonders zu berücksichtigen“. Daraus folgt, dass das im Rahmen des Abs. 2 Nr. 9 genannte, rein wissenschaftliche Interesse nicht ausreicht, sondern ein darüber hinausgehendes allgemeines Interesse1 an den Forschungsergebnissen bestehen muss. 23 Auch hier darf der Zweck der Forschung auf andere Weise nicht oder nur mit

unverhältnismäßigen Aufwand erreicht werden können.

VII. Medizinische Daten (Abs. 6) 24 Abs. 6 enthält eine datenschutzrechtliche Erlaubnisnorm für die Speicherung,

Veränderung und Nutzung medizinischer Daten2, also Daten, die den in § 13 Abs. 2 Nr. 7 genannten Zwecken dienen. Da diese Daten durch das Berufsgeheimnis der behandelnden Personen geschützt sind, bedarf es keiner „ausdrücklichen“ Einwilligung (§ 4a Abs. 3) der betroffenen Person3. Soweit im medizin- und gesundheitsbereichsspezifischen Recht Regelungen fehlen, bleibt das BDSG – insbesondere die strikte Zweckbindung des § 14 Abs. 4 anwendbar4.

§ 15 Datenübermittlung an öffentliche Stellen (1) Die Übermittlung personenbezogener Daten an öffentliche Stellen ist zulässig, wenn 1. sie zur Erfüllung der in der Zuständigkeit der übermittelnden Stelle oder des Dritten, an den die Daten übermittelt werden, liegenden Aufgaben erforderlich ist und 2. die Voraussetzungen vorliegen, die eine Nutzung nach § 14 zulassen würden. (2) 1Die Verantwortung für die Zulässigkeit der Übermittlung trägt die übermittelnde Stelle. 2Erfolgt die Übermittlung auf Ersuchen des Dritten, an den die Daten übermittelt werden, trägt dieser die Verantwortung. 3In diesem 1 Z.B. im Medizin- oder Umweltbereich denkbar, vgl. Simitis/Dammann, § 14 BDSG Rz. 120; Taeger/Gabel/Heckmann, § 14 BDSG Rz. 120. 2 Däubler/Klebe/Wedde/Weichert/Wedde, § 14 BDSG Rz. 33; Gola/Schomerus, § 14 BDSG Rz. 33. 3 Gola/Schomerus, § 14 BDSG Rz. 33. 4 Simitis/Dammann, § 14 BDSG Rz. 125; Taeger/Gabel/Heckmann, § 14 BDSG Rz. 122.

450

|

Roggenkamp

§ 15 BDSG | Datenverarbeitung der öffentlichen Stellen am Ausschluss der Zweckänderung erheblich überwiegt. Das wissenschaftliche Interesse ist bei der Abwägung im Rahmen des öffentlichen Interesses „besonders zu berücksichtigen“. Daraus folgt, dass das im Rahmen des Abs. 2 Nr. 9 genannte, rein wissenschaftliche Interesse nicht ausreicht, sondern ein darüber hinausgehendes allgemeines Interesse1 an den Forschungsergebnissen bestehen muss. 23 Auch hier darf der Zweck der Forschung auf andere Weise nicht oder nur mit

unverhältnismäßigen Aufwand erreicht werden können.

VII. Medizinische Daten (Abs. 6) 24 Abs. 6 enthält eine datenschutzrechtliche Erlaubnisnorm für die Speicherung,

Veränderung und Nutzung medizinischer Daten2, also Daten, die den in § 13 Abs. 2 Nr. 7 genannten Zwecken dienen. Da diese Daten durch das Berufsgeheimnis der behandelnden Personen geschützt sind, bedarf es keiner „ausdrücklichen“ Einwilligung (§ 4a Abs. 3) der betroffenen Person3. Soweit im medizin- und gesundheitsbereichsspezifischen Recht Regelungen fehlen, bleibt das BDSG – insbesondere die strikte Zweckbindung des § 14 Abs. 4 anwendbar4.

§ 15 Datenübermittlung an öffentliche Stellen (1) Die Übermittlung personenbezogener Daten an öffentliche Stellen ist zulässig, wenn 1. sie zur Erfüllung der in der Zuständigkeit der übermittelnden Stelle oder des Dritten, an den die Daten übermittelt werden, liegenden Aufgaben erforderlich ist und 2. die Voraussetzungen vorliegen, die eine Nutzung nach § 14 zulassen würden. (2) 1Die Verantwortung für die Zulässigkeit der Übermittlung trägt die übermittelnde Stelle. 2Erfolgt die Übermittlung auf Ersuchen des Dritten, an den die Daten übermittelt werden, trägt dieser die Verantwortung. 3In diesem 1 Z.B. im Medizin- oder Umweltbereich denkbar, vgl. Simitis/Dammann, § 14 BDSG Rz. 120; Taeger/Gabel/Heckmann, § 14 BDSG Rz. 120. 2 Däubler/Klebe/Wedde/Weichert/Wedde, § 14 BDSG Rz. 33; Gola/Schomerus, § 14 BDSG Rz. 33. 3 Gola/Schomerus, § 14 BDSG Rz. 33. 4 Simitis/Dammann, § 14 BDSG Rz. 125; Taeger/Gabel/Heckmann, § 14 BDSG Rz. 122.

450

|

Roggenkamp

Datenübermittlung an öffentliche Stellen | § 15 BDSG

Fall prüft die übermittelnde Stelle nur, ob das Übermittlungsersuchen im Rahmen der Aufgaben des Dritten, an den die Daten übermittelt werden, liegt, es sei denn, dass besonderer Anlass zur Prüfung der Zulässigkeit der Übermittlung besteht. 4§ 10 Abs. 4 bleibt unberührt. (3) 1Der Dritte, an den die Daten übermittelt werden, darf diese für den Zweck verarbeiten oder nutzen, zu dessen Erfüllung sie ihm übermittelt werden. 2Eine Verarbeitung oder Nutzung für andere Zwecke ist nur unter den Voraussetzungen des § 14 Abs. 2 zulässig. (4) Für die Übermittlung personenbezogener Daten an Stellen der öffentlichrechtlichen Religionsgesellschaften gelten die Absätze 1 bis 3 entsprechend, sofern sichergestellt ist, dass bei diesen ausreichende Datenschutzmaßnahmen getroffen werden. (5) Sind mit personenbezogenen Daten, die nach Absatz 1 übermittelt werden dürfen, weitere personenbezogene Daten des Betroffenen oder eines Dritten so verbunden, dass eine Trennung nicht oder nur mit unvertretbarem Aufwand möglich ist, so ist die Übermittlung auch dieser Daten zulässig, soweit nicht berechtigte Interessen des Betroffenen oder eines Dritten an deren Geheimhaltung offensichtlich überwiegen; eine Nutzung dieser Daten ist unzulässig. (6) Absatz 5 gilt entsprechend, wenn personenbezogene Daten innerhalb einer öffentlichen Stelle weitergegeben werden. I. Allgemeines . . . . . . . . . . . . . II. Zulässigkeitsvoraussetzungen (Abs. 1) . . . . . . . . . . . . . . . . . 1. Öffentliche Stelle als Übermittlungsempfänger . . . . 2. Zur Erfüllung eigener Aufgaben (Abs. 1 Nr. 1 Alt. 1) . . . . . . . . 3. Zur Erfüllung der Übermittlungsempfängeraufgaben (Abs. 1 Nr. 1 Alt. 2) . . . . . . . . 4. Voraussetzungen, die Nutzung zulassen würden (Abs. 1 Nr. 2)

.

1

.

5

.

6

.

7

.

9 10

III. Datenschutzrechtliche Verantwortlichkeit (Abs. 2) . . . . . . . . IV. Zweckbindung auf Übermittlungsempfängerseite (Abs. 3) . . V. Öffentlich-rechtliche Religionsgesellschaften als Übermittlungsempfänger (Abs. 4) . . . . . VI. Übermittlung überschießender Daten (Abs. 5) . . . . . . . . . . . . . VII. Interne Weitergabe von Daten (Abs. 6) . . . . . . . . . . . . . . . . . .

11 16 19 22 25

Schrifttum: Gallwass, Zum Verhältnis von staatlichem und kirchlichem Datenschutzrecht, BayVbl 1980, 423; Hennrichs, Datenübermittlung von der Polizei an die Fahrerlaubnisbehörde, NJW 1999, 3152; Schatzschneider, Legitimation und Grenzen staatlich-kirchlicher Kooperation im Meldewesen, NJW 1983, 2554; Schlink, Datenschutz und Amtshilfe, NVwZ 1986, 249; Simitis, Von der Amtshilfe zur Informationshilfe, NJW 1986, 2795.

Roggenkamp

|

451

§ 15 BDSG | Datenverarbeitung der öffentlichen Stellen I. Allgemeines 1 Die Übermittlung personenbezogener Daten, also entsprechend § 3 Abs. 4 Nr. 3

das Bekanntgeben gespeicherter oder durch Datenverarbeitung gewonnener personenbezogener Daten an einen Dritten in der Weise, dass entweder die Daten an den Dritten weitergegeben werden oder der Dritte zur Einsicht oder zum Abruf bereitgehaltene Daten einsieht oder abruft (z.B. im Rahmen einer elektronischen Akteneinsicht), durch die verantwortliche Stelle an andere öffentliche Stellen ist in § 15 geregelt. Zum Begriff der Übermittlung allgemein s. Komm. zu § 3 Abs. 4 Nr. 3 BDSG.

2 Die (strengeren) Regelungen zur Übermittlung an nicht-öffentliche Stellen fin-

den sich in § 16. Hierbei wird zwar nach dem Wortlaut auf die Organisationsform und nicht auf den Verwendungszweck abgestellt. In bestimmten Fällen (hierzu Rz. 6) ist jedoch auch bei öffentlichen Stellen der § 16 heranzuziehen.

3 Zu den datenempfangenden öffentlichen Stellen im Sinne der Vorschrift zählen

grundsätzlich alle deutschen öffentlichen Stellen, soweit sie Dritte sind, sowie solche im EU-Ausland1. Bei einer Datenübermittlung ins sonstige Ausland ist der gegenüber §§ 15 und 16 speziellere § 4b zu berücksichtigen2.

4 Um Missverständnisse mit dem weitergehenden Begriff des in § 3 Abs. 8 Satz 1

definierten Empfängers zu vermeiden, wurde der Begriff des „Empfängers“ im Rahmen der Novellierung des BDSG im Jahr 2001 durch den des „Dritten, an den die Daten übermittelt werden“ (vgl. z.B. Abs. 1 Nr. 1), ersetzt3. Um eine bessere Lesbarkeit zu ermöglichen wird dieser im Folgenden auch als „Übermittlungsempfänger“ bezeichnet.

II. Zulässigkeitsvoraussetzungen (Abs. 1) 5 Eine Übermittlung personenbezogener Daten durch eine öffentliche Stelle an

eine öffentliche Stelle ist immer dann zulässig, wenn entweder die Übermittlung zur Aufgabenerfüllung der übermittelnden Stelle oder des Übermittlungsempfängers erforderlich ist. Außerdem müssen die Voraussetzungen vorliegen, nach denen eine Nutzung nach § 14 zulässig wäre. Die übermittelnde öffentliche Stelle muss für die Übermittlung, bzw. der Übermittlungsempfänger muss für die Verarbeitung der übermittelten Daten zuständig sein4.

1 2 3 4

BT-Drucks. 14/4239, S. 40. Simitis/Dammann, § 15 BDSG Rz. 1. BT-Drucks. 14/4239, S. 40. Gola/Schomerus, § 15 BDSG Rz. 5; Taeger/Gabel/Heckmann, § 15 BDSG Rz. 15.

452

|

Roggenkamp

Datenübermittlung an öffentliche Stellen | § 15 BDSG

1. Öffentliche Stelle als Übermittlungsempfänger Nach dem Wortlaut kommt § 15 immer dann zur Anwendung, wenn auf der 6 Übermittlungsempfängerseite eine öffentliche Stelle steht. Unter Heranziehung des hinter § 12 stehenden Rechtsgedankens ist jedoch nicht am Wortlaut zu verhaften und jede öffentliche Stelle i.S.d. § 2 durch die vereinfachten Zulässigkeitsvoraussetzungen zu privilegieren. Ist die öffentliche Stelle „am Markt“ – also im Wettbewerb mit nicht-öffentlichen Stellen – tätig und erfolgt die Datenübermittlung auch nicht ausnahmsweise zur Erfüllung einer dem öffentlichen Unternehmen übertragenen öffentlichen Aufgabe, muss nach der wohl herrschenden Meinung nicht § 15, sondern § 16 analog herangezogen werden1. In diesen Fällen wird freilich in der Regel schon keine „Aufgabe“ vorliegen zu deren Erfüllung die Übermittlung erforderlich ist2. Das im Wettbewerb agierende öffentliche Unternehmen handelt nicht in „Ausübung öffentlicher Gewalt“ (Art. 7 Buchst. e Alt. 2 EG-Datenschutzrichtlinie) und auch nur mittelbar zur Erfüllung einer Aufgabe, die „im öffentlichen Interesse“ (Art. 7 Buchst. e Alt. 1 EG-Datenschutzrichtlinie) liegt.3 2. Zur Erfüllung eigener Aufgaben (Abs. 1 Nr. 1 Alt. 1) Wie auch das Erheben (§ 13) und das Speichern (§ 14) kann das Übermitteln 7 von personenbezogenen Daten legitimiert sein, wenn es zur Erfüllung der Aufgaben der übermittelnden öffentlichen Stelle erforderlich ist. Wie dort ist ein strenger Maßstab anzulegen. Sowohl die konkret übermittelten Daten als auch die Übermittlung als solche müssen sich als zwingend notwendig erweisen, weil die Aufgabe sonst nicht oder nur unter unverhältnismäßigem (insbesondere zeitlichem) Aufwand erfüllt werden könnte4. Ist das nicht der Fall, ist die Übermittlung bspw. nur „bequemer“, dann ist sie unzulässig. Das z.B. die Auswahl der tatsächlich erforderlichen Daten oder eine Anonymisierung (vgl. § 3a) Aufwand für die übermittelnde Stelle bedeutet, ist noch keine Rechtfertigung für ein Unterlassen dieses Aufwands5. Der von der Übermittlung Betroffene muss keinesfalls einen vertieften Eingriff 8 in sein Recht auf informationelle Selbstbestimmung hinnehmen, weil es auf Seiten der öffentlichen Stelle Versäumnisse gegeben hat. So muss die Vorhaltung der Möglichkeit der selektiven Entfernung oder Anonymisierung von Einzelinformationen im Rahmen von elektronischen Aktensystemen von der öffentlichen Stelle bereits bei Beschaffung einer entsprechenden Softwareausstattung 1 Simitis/Dammann, § 15 BDSG Rz. 5–8 (m.w.N.); Taeger/Gabel/Heckmann, § 15 BDSG Rz. 12. 2 Vgl. aber Simitis/Dammann, § 15 BDSG Rz. 7. 3 Zustimmend Taeger/Gabel/Heckmann, § 15 BDSG Rz. 12. 4 Strenger Simitis/Dammann, § 15 BDSG Rz. 11, „unmöglich“. 5 Vgl. Simitis/Dammann, § 15 BDSG Rz. 12.

Roggenkamp

|

453

§ 15 BDSG | Datenverarbeitung der öffentlichen Stellen berücksichtigt werden. Wird eine solche Funktionalität nicht geboten, so kann dies allein noch nicht die Übermittlung nicht erforderlicher Informationen rechtfertigen. Diese sind vielmehr „händisch“ zu entfernen. 3. Zur Erfüllung der Übermittlungsempfängeraufgaben (Abs. 1 Nr. 1 Alt. 2) 9 Auch die Erforderlichkeit der Übermittlung zur Aufgabenerfüllung des Über-

mittlungsempfängers kann die Datenübermittlung bei Vorliegen der weiteren Voraussetzungen der Nr. 2 legitimieren1. Dabei kommt es nicht auf die Erforderlichkeit der Übermittlung als solcher, sondern auf die Erforderlichkeit der Kenntnis der übermittelten Daten an2. Zu beachten ist auch hier der Direkterhebungsgrundsatz des § 4 Abs. 2. D.h., dass vor der Übermittlung durch die anfordernde Stelle zu prüfen ist, ob auch eine Erhebung beim Betroffenen möglich ist. § 15 Abs. 1 Nr. 1 Alt. 2 kann nicht als Ausnahme zu diesem Grundsatz gelesen werden3. Kann ausnahmsweise von einer Direkterhebung abgesehen werden (vgl. hierzu Komm. zu § 4 Abs. 2 BDSG) sind die allgemeinen Verpflichtungen (z.B. § 4 Abs. 3) zu berücksichtigen. 4. Voraussetzungen, die Nutzung zulassen würden (Abs. 1 Nr. 2)

10 Unabhängig davon, welche Alternative des Abs. 1 Nr. 1 vorliegt, müssen nach

Abs. 1 Nr. 2 zusätzlich die Voraussetzungen vorliegen, nach denen eine Nutzung der zu übermittelnden personenbezogenen Daten zulässig wäre. Die gesamten Zulässigkeitsaspekte des § 14 (vgl. die dortige Kommentierung) sind zu beachten.

III. Datenschutzrechtliche Verantwortlichkeit (Abs. 2) 11 Die datenschutzrechtliche Verantwortlichkeit bei einer Übermittlung zwischen öf-

fentlichen Stellen ist zweigeteilt. Grundsätzlich trägt die übermittelnde Stelle die Verantwortung dafür, dass die Übermittlung zulässig ist. Das betrifft sowohl das „Ob“ der Übermittlung als auch die Frage, welche Daten übermittelt werden4.

12 Für den Fall, dass die Übermittlung durch die Übermittlungsempfängerstelle

veranlasst („auf Ersuchen des Dritten“) wurde, also in der Regel im Fall der Übermittlung zur Erfüllung der Übermittlungsempfängeraufgaben, trägt die empfangende öffentliche Stelle die datenschutzrechtliche Verantwortung. Die übermittelnde Stelle wird hierdurch jedoch nicht vollständig von der Verant1 Taeger/Gabel/Heckmann, § 15 BDSG Rz. 18. 2 Simitis/Dammann, § 15 BDSG Rz. 15. 3 Taeger/Gabel/Heckmann, § 15 BDSG Rz. 18; Gola/Schomerus, § 15 BDSG Rz. 7; Simitis/ Dammann, § 15 BDSG Rz. 16. 4 Bergmann/Möhrle/Herb, § 15 BDSG Rz. 18.

454

|

Roggenkamp

Datenübermittlung an öffentliche Stellen | § 15 BDSG

wortlichkeit befreit. Sie hat stets zu prüfen, ob die ersuchende Stelle für die Aufgaben, zu deren Erfüllung die Übermittlung (bzw. die Kenntnis der Daten) angeblich erforderlich ist, zuständig ist und ob sich das Übermittlungsersuchen im Rahmen dieser Aufgaben bewegt. Hier besteht auf Seiten der ersuchenden Stelle die Notwendigkeit, der um Datenübermittlung ersuchten Stelle mitzuteilen, warum (und auf welcher Rechtsgrundlage) die angefragten Daten benötigt werden1. Besteht im konkreten Fall ein „besonderer Anlass zur Prüfung der Zulässigkeit“, 13 bleibt die übermittelnde Stelle – neben dem Übermittlungsempfänger2 – vollumfänglich für die Zulässigkeit der Übermittlung verantwortlich. Ein solcher Anlass ist immer dann gegeben, wenn an der Zulässigkeit des Übermittlungsersuchens starke Zweifel bestehen3 oder für die um Übermittlung ersuchte Stelle nicht nachvollziehbar ist, wofür die Daten benötigt werden4. Das ist bspw. dann der Fall, wenn Daten angefordert werden, deren Bedarf sich dem Anforderungsempfänger verschließt (z.B. Anforderung von Gesundheitsdaten durch die Bauaufsichtsbehörde)5. Bei einem automatisierten Abrufverfahren (§ 10 Abs. 4) liegt nach Abs. 2 Satz 4 14 i.V.m. § 10 Abs. 4 die Verantwortlichkeit beim abrufenden Dritten. Vergleiche hierzu, insbesondere auch zu den Pflichten der übermittelnden Stelle, die Komm. zu § 10 Abs. 4 BDSG. § 15 wird als Schutzgesetz nach § 823 Abs. 2 BGB eingestuft und kann eine 15 Amtspflicht i.S.d. Art. 34 GG i.V.m. § 839 BGB begründen. Die verantwortliche Stelle ist gleichzeitig haftende Stelle6.

IV. Zweckbindung auf Übermittlungsempfängerseite (Abs. 3) Der Zweckbindungsgrundsatz ist auch im Zusammenhang mit der Übermitt- 16 lung von Daten an eine andere öffentliche Stelle zu beachten. Dementsprechend stellt Abs. 3 klar, dass die Verarbeitung und Nutzung der übermittelten personenbezogenen Daten bei der empfangenden öffentlichen Stelle nur zu dem Zweck zulässig ist, der Grund für die Übermittlung war. Eine Zweckänderung, also Speicherung, Veränderung oder Nutzung zu einem anderen Zweck ist nur unter den Voraussetzung des § 14 Abs. 2 (s. Komm. zu § 14 BDSG Rz. 7 ff.) zulässig. 1 Kühling/Sivridis/Seidel, Datenschutzrecht, S. 179; Bergmann/Möhrle/Herb, § 15 BDSG Rz. 20. 2 Simitis/Dammann, § 15 BDSG Rz. 27. 3 Gola/Schomerus, § 15 BDSG Rz. 16. 4 Simitis/Dammann, § 15 BDSG Rz. 27. 5 Däubler/Klebe/Wedde/Weichert/Wedde, § 15 BDSG Rz. 14; Bergmann/Möhrle/Herb, § 15 BDSG Rz. 23. 6 Gola/Schomerus, § 15 BDSG Rz. 32.

Roggenkamp

|

455

§ 15 BDSG | Datenverarbeitung der öffentlichen Stellen 17 Abs. 3 bezieht sich nur auf § 14 Abs. 2, nicht aber auf § 14 Abs. 5. Daraus folgt,

dass eine Zweckänderung durch den Übermittlungsempfänger bei sensiblen Daten (§ 3 Abs. 9) ausgeschlossen ist1.

18 Bei einer „Weiterübermittlung“ an weitere öffentliche Stellen ist Abs. 3 immer

dann anwendbar, wenn die sog. Zweitempfänger in den Anwendungsbereich des BDSG fallen. Ansonsten leitet sich die Zweckbindung aus dem jeweiligen Landesrecht ab2.

V. Öffentlich-rechtliche Religionsgesellschaften als Übermittlungsempfänger (Abs. 4) 19 Zugunsten öffentlich-rechtlicher Religionsgesellschaften bestimmt Abs. 4, dass

die Absätze 1–3 des § 15 entsprechende Geltung haben. Zu den öffentlich-rechtlichen Religionsgesellschaften zählen alle Religionsgesellschaften, die den Status einer Körperschaft des öffentlichen Rechts nach Art. 140 GG i.V.m. Art. 137 Abs. 2 WRV haben3. Der Status einer Körperschaft des öffentlichen Rechts ist ein Mittel zur Erleichterung und Entfaltung der Religionsfreiheit. Für die korporierten Religionsgemeinschaften begründet er eine bevorzugte Rechtsstellung4. Dementsprechend gehört der § 15 Abs. 4 zum Bündel einfachgesetzlicher Privilegien, die lediglich Religionsgemeinschaften mit diesem Status5 zukommen6. Hat die Religionsgesellschaft „nur“ eine privatrechtliche Organisationsform, richtet sich die Übermittlung nach § 167.

20 Die zu übermittelnden Daten sollen nicht der Religionsgesellschaft als solcher

zur Verfügung gestellt werden. Vielmehr ist die Übermittlung lediglich an die Stellen der Religionsgesellschaft zulässig, also an den organisationsrechtlich unselbständigen Teil der Religionsgesellschaft, der, entsprechend § 15 Abs. 1, diese zur Aufgabenerfüllung benötigt8. Von Abs. 4 ist nach der vorherrschenden Auffassung nicht die Weiterleitung an selbständige Einrichtungen wie z.B. einen Verein erfasst. Hier findet vielmehr § 16 Anwendung. Organisationsrechtlich 1 Vgl. Pättgen, Medizinische Forschung und Datenschutz, Diss. 2008, S. 154. 2 Däubler/Klebe/Wedde/Weichert/Wedde, § 15 BDSG Rz. 19; Simitis/Dammann, § 15 BDSG Rz. 37. 3 Gola/Schomerus, § 15 BDSG Rz. 20; Däubler/Klebe/Wedde/Weichert/Wedde, § 15 BDSG Rz. 20. 4 BVerfG v. 19.12.2000 – 2 BvR 1500/97, NJW 2001, 429 (432). 5 Die (teilweise ungeschriebenen) Voraussetzungen zur Erlangung dieses Status zeigt BVerfG v. 19.12.2000 – 2 BvR 1500/97, NJW 2001, 429 auf. 6 Hierzu Towfigh, Die rechtliche Verfassung von Religionsgemeinschaften, Diss. 2006, S. 209 f. 7 Simitis/Dammann, § 15 BDSG Rz. 47; Däubler/Klebe/Wedde/Weichert/Wedde, § 15 BDSG Rz. 20. 8 Vgl. Simitis/Dammann, § 15 BDSG Rz. 47, 48.

456

|

Roggenkamp

Datenübermittlung an öffentliche Stellen | § 15 BDSG

selbständige kirchliche Einrichtungen sind anderen vergleichbaren Einrichtungen z.B. im Gesundheits-, Kultur- oder karitativen Bereich datenschutzrechtlich gleichzustellen. Es besteht kein Grund für eine Privilegierung1. Die Übermittlung an Stellen öffentlich-rechtlicher Religionsgesellschaften ist 21 nur dann zulässig, wenn sichergestellt ist, dass bei dem Übermittlungsempfänger ausreichende Datenschutzmaßnahmen getroffen werden. Die Religionsgemeinschaft, die in den Genuss der privilegierten Datenübermittlung kommen möchte, muss die rechtlichen und tatsächlichen Voraussetzungen für einen angemessenen Datenschutz schaffen. Es müssen technische und organisatorische Datenschutzvorkehrungen entsprechend § 9 vorliegen2. Zudem müssen auch (interne) Regelungen vorhanden sein, deren Schutzwirkung derjenigen des BDSG vergleichbar ist3. Der öffentlichen Stelle kommt insofern eine „Daten-Garantenstellung“4 zu. Sie muss sich vergewissern, dass die Datenschutzmaßnahmen tatsächlich vorgenommen wurden und von ausreichendem Niveau sind. Auf Beteuerungen oder pauschale Erklärungen darf sie sich nicht verlassen5.

VI. Übermittlung überschießender Daten (Abs. 5) Der Abs. 5 adressiert den praktisch häufigen Fall, dass die Übermittlung von 22 personenbezogenen Daten aus einem Vorgang bzw. aus einer Akte erfolgt und das Aussortieren oder Anonymisieren von „überschießenden“6 personenbezogenen Daten, also solchen Daten die eigentlich nicht übermittelt werden dürften, weil sie zur Aufgabenerfüllung nicht erforderlich sind, nur mit großem Aufwand oder gar nicht möglich ist. Hierbei kann es sich sowohl um weitere personenbezogene Daten des unmittelbar Betroffenen aber auch um personenbezogene Daten von weiteren Personen handeln. Die Unmöglichkeit der Trennung muss nicht unbedingt aus fehlenden personellen Kapazitäten resultieren. Sie kann sich auch de facto daraus ergeben, dass die personenbezogenen Daten, wenn sie „aus dem Kontext gerissen“ werden, ihre Aussagekraft verlieren7. Ausnahmsweise ist in diesem Fall nach Abs. 5 eine Übermittlung dieser überschießenden Daten zulässig, wenn und soweit berechtigte Interessen des Betroffenen oder der Dritten Person an der Geheimhaltung der Daten offensichtlich überwiegen. 1 Simitis/Dammann, § 15 BDSG Rz. 49; Gola/Schomerus, § 15 BDSG Rz. 21; jeweils m.w.N. auch zur a.A. 2 Taeger/Gabel/Heckmann, § 15 BDSG Rz. 55; für § 6 BDSG a.F. bereits Schatzschneider, NJW 1983, 2554 (2556). 3 Simitis/Dammann, § 15 BDSG Rz. 62; Gola/Schomerus, § 15 BDSG Rz. 25 f. 4 Gallwass, BayVbl 1980, 423 (425). 5 Simitis/Dammann, § 15 BDSG Rz. 66. 6 So die treffende Bezeichnung von Dammann, Simitis/Dammann, § 15 BDSG Rz. 72. 7 Gola/Schomerus, § 15 BDSG Rz. 27.

Roggenkamp

|

457

§ 16 BDSG | Datenverarbeitung der öffentlichen Stellen 23 Das berechtigte Interesse an der Geheimhaltung der überschießenden Daten

kann jeglicher Art sein und sich entweder aus Begleitumständen oder aus der Art der Daten (z.B. Informationen aus der „Privatsphäre“) ergeben. Auch an Geschäftsgeheimnissen kann ein Geheimhaltungsinteresse i.S.d. Vorschrift bestehen1. Ein offensichtliches Überwiegen des Geheimhaltungsinteresses ist dann gegeben, wenn dieses für jedermann aus dem konkreten Sachverhalt ersichtlich ist2. Im Zweifel ist vor der Übermittlung eine Klärung herbeizuführen oder der erhöhte Aufwand einer Unkenntlichmachung in Kauf zu nehmen3.

24 Eine Nutzung der überschießenden personenbezogenen Daten durch den Über-

mittlungsempfänger ist explizit untersagt. Auch die weitere Übermittlung an einen Zweitempfänger ist unzulässig, da die Normen, die eine solche gestatten, die Zulässigkeit zur Nutzung direkt (§ 15 Abs. 1 Nr. 2, § 16 Abs. 1 Nr. 1) oder indirekt (§ 16 Abs. 1 Nr. 2 im Rahmen des schutzwürdigen Interesses) voraussetzen4.

VII. Interne Weitergabe von Daten (Abs. 6) 25 Nach Abs. 6 gilt die Regelung des Abs. 5 entsprechend, wenn personenbezogene

Daten innerhalb einer öffentlichen Stelle weitergegeben werden. Eine solche interne Weitergabe, also eine „Übermittlung“ innerhalb derselben öffentlichen Stelle, ist nicht als Übermittlung i.S.d. BDSG einzustufen. Wenn aber bei einer Übermittlung ausnahmsweise überschießende Daten weitergegeben werden dürfen, dann muss dies bei „nur“ interner Weitergabe – die als Nutzung personenbezogener Daten zu qualifizieren ist – erst recht möglich sein5. Abs. 6 gilt auch für die Bekanntgabe durch Bereithalten zur Einsicht6.

§ 16 Datenübermittlung an nicht-öffentliche Stellen (1) 1Die Übermittlung personenbezogener Daten an nicht-öffentliche Stellen ist zulässig, wenn 1. sie zur Erfüllung der in der Zuständigkeit der übermittelnden Stelle liegenden Aufgaben erforderlich ist und die Voraussetzungen vorliegen, die eine Nutzung nach § 14 zulassen würden, oder 1 2 3 4 5

Gola/Schomerus, § 15 BDSG Rz. 28; Simitis/Dammann, § 15 BDSG Rz. 78. Taeger/Gabel/Heckmann, § 15 BDSG Rz. 72; Simitis/Dammann, § 15 BDSG Rz. 78. Gola/Schomerus, § 15 BDSG Rz. 28; Taeger/Gabel/Heckmann, § 15 BDSG Rz. 72. Simitis/Dammann, § 15 BDSG Rz. 82. Simitis/Dammann, § 15 BDSG Rz. 85 unter Heranziehung von BR-Drucks. 379/1/90 v. 11.6.1990. 6 Simitis/Dammann, § 15 BDSG Rz. 85.

458

|

Roggenkamp

§ 16 BDSG | Datenverarbeitung der öffentlichen Stellen 23 Das berechtigte Interesse an der Geheimhaltung der überschießenden Daten

kann jeglicher Art sein und sich entweder aus Begleitumständen oder aus der Art der Daten (z.B. Informationen aus der „Privatsphäre“) ergeben. Auch an Geschäftsgeheimnissen kann ein Geheimhaltungsinteresse i.S.d. Vorschrift bestehen1. Ein offensichtliches Überwiegen des Geheimhaltungsinteresses ist dann gegeben, wenn dieses für jedermann aus dem konkreten Sachverhalt ersichtlich ist2. Im Zweifel ist vor der Übermittlung eine Klärung herbeizuführen oder der erhöhte Aufwand einer Unkenntlichmachung in Kauf zu nehmen3.

24 Eine Nutzung der überschießenden personenbezogenen Daten durch den Über-

mittlungsempfänger ist explizit untersagt. Auch die weitere Übermittlung an einen Zweitempfänger ist unzulässig, da die Normen, die eine solche gestatten, die Zulässigkeit zur Nutzung direkt (§ 15 Abs. 1 Nr. 2, § 16 Abs. 1 Nr. 1) oder indirekt (§ 16 Abs. 1 Nr. 2 im Rahmen des schutzwürdigen Interesses) voraussetzen4.

VII. Interne Weitergabe von Daten (Abs. 6) 25 Nach Abs. 6 gilt die Regelung des Abs. 5 entsprechend, wenn personenbezogene

Daten innerhalb einer öffentlichen Stelle weitergegeben werden. Eine solche interne Weitergabe, also eine „Übermittlung“ innerhalb derselben öffentlichen Stelle, ist nicht als Übermittlung i.S.d. BDSG einzustufen. Wenn aber bei einer Übermittlung ausnahmsweise überschießende Daten weitergegeben werden dürfen, dann muss dies bei „nur“ interner Weitergabe – die als Nutzung personenbezogener Daten zu qualifizieren ist – erst recht möglich sein5. Abs. 6 gilt auch für die Bekanntgabe durch Bereithalten zur Einsicht6.

§ 16 Datenübermittlung an nicht-öffentliche Stellen (1) 1Die Übermittlung personenbezogener Daten an nicht-öffentliche Stellen ist zulässig, wenn 1. sie zur Erfüllung der in der Zuständigkeit der übermittelnden Stelle liegenden Aufgaben erforderlich ist und die Voraussetzungen vorliegen, die eine Nutzung nach § 14 zulassen würden, oder 1 2 3 4 5

Gola/Schomerus, § 15 BDSG Rz. 28; Simitis/Dammann, § 15 BDSG Rz. 78. Taeger/Gabel/Heckmann, § 15 BDSG Rz. 72; Simitis/Dammann, § 15 BDSG Rz. 78. Gola/Schomerus, § 15 BDSG Rz. 28; Taeger/Gabel/Heckmann, § 15 BDSG Rz. 72. Simitis/Dammann, § 15 BDSG Rz. 82. Simitis/Dammann, § 15 BDSG Rz. 85 unter Heranziehung von BR-Drucks. 379/1/90 v. 11.6.1990. 6 Simitis/Dammann, § 15 BDSG Rz. 85.

458

|

Roggenkamp

Datenübermittlung an nicht-öffentliche Stellen | § 16 BDSG

2. der Dritte, an den die Daten übermittelt werden, ein berechtigtes Interesse an der Kenntnis der zu übermittelnden Daten glaubhaft darlegt und der Betroffene kein schutzwürdiges Interesse an dem Ausschluss der Übermittlung hat. 2Das Übermitteln von besonderen Arten personenbezogener Daten (§ 3 Abs. 9) ist abweichend von Satz 1 Nr. 2 nur zulässig, wenn die Voraussetzungen vorliegen, die eine Nutzung nach § 14 Abs. 5 und 6 zulassen würden oder soweit dies zur Geltendmachung, Ausübung oder Verteidigung rechtlicher Ansprüche erforderlich ist. (2) Die Verantwortung für die Zulässigkeit der Übermittlung trägt die übermittelnde Stelle. (3) 1In den Fällen der Übermittlung nach Absatz 1 Nr. 2 unterrichtet die übermittelnde Stelle den Betroffenen von der Übermittlung seiner Daten. 2Dies gilt nicht, wenn damit zu rechnen ist, dass er davon auf andere Weise Kenntnis erlangt, oder wenn die Unterrichtung die öffentliche Sicherheit gefährden oder sonst dem Wohle des Bundes oder eines Landes Nachteile bereiten würde. (4) 1Der Dritte, an den die Daten übermittelt werden, darf diese nur für den Zweck verarbeiten oder nutzen, zu dessen Erfüllung sie ihm übermittelt werden. 2Die übermittelnde Stelle hat ihn darauf hinzuweisen. 3Eine Verarbeitung oder Nutzung für andere Zwecke ist zulässig, wenn eine Übermittlung nach Absatz 1 zulässig wäre und die übermittelnde Stelle zugestimmt hat. I. Allgemeines . . . . . . . . . . . . . II. Zulässigkeitsvoraussetzungen (Abs. 1) . . . . . . . . . . . . . . . . . 1. Nicht-öffentliche Stelle als Übermittlungsempfänger . . . . 2. Zur Erfüllung eigener Aufgaben (Abs. 1 Nr. 1) . . . . . . . . . . . . . 3. Berechtigtes Interesse des Übermittlungsempfängers (Abs. 1 Nr. 2) . . . . . . . . . . . . .

.

1

.

2

.

3

.

4

.

6

III. Verantwortlichkeitszuweisung (Abs. 2) . . . . . . . . . . . . . . . . . . IV. Unterrichtungspflicht (Abs. 3) V. Zweckbindung (Abs. 4) . . . . . . VI. Veröffentlichung von Mitarbeiterdaten auf Behördenseite . . .

10 11 17 20

Schrifttum: Brisch/Laue, Verbot der Weitergabe von Patientendaten an private Abrechnungsstellen (Anmerkung zu BSG v. 10.12.2008 – B 6 KA 37/07 R), CR 2009, 465; Guckelberger, Personalisierte Behördenauftritte im Internet, ZBR 2009, 332; Schierbaum, Beschäftigten-Daten auf der Homepage der Dienststelle, PersR 2010, 268; Simitis, Von der Amtshilfe zur Informationshilfe, NJW 1986, 2795.

I. Allgemeines Im Gegensatz zu § 15 regelt § 16 die Übermittlung von personenbezogenen 1 Daten durch öffentliche Stellen an nicht-öffentliche Stellen. In Abs. 1 sind die Voraussetzungen für die Zulässigkeit der Übermittlung genannt. Die VerantRoggenkamp

|

459

§ 16 BDSG | Datenverarbeitung der öffentlichen Stellen wortlichkeit für die Übermittlung weist Abs. 2 in jedem Fall der übermittelnden öffentlichen Stelle zu. In Abs. 3 werden der Übermittlung nachgelagerte Unterrichtungspflichten formuliert. Schließlich enthält Abs. 4 Regelungen zur Zweckbindung.

II. Zulässigkeitsvoraussetzungen (Abs. 1) 2 Eine öffentliche Stelle darf personenbezogene Daten an nicht-öffentliche Stellen

zunächst dann übermitteln, wenn das zur Erfüllung ihrer Aufgaben erforderlich ist und zusätzlich die Voraussetzungen vorliegen, die eine Nutzung nach § 14 zulassen würden (Nr. 1). Alternativ ist eine Übermittlung an eine nicht-öffentliche Stelle zulässig, wenn der Übermittlungsempfänger ein berechtigtes Interesse an der Kenntnisnahme der angefragten Daten glaubhaft machen kann und der Betroffene kein schutzwürdiges Interesse am Ausschluss der Übermittlung hat (Nr. 2). 1. Nicht-öffentliche Stelle als Übermittlungsempfänger

3 Während § 15 die Übermittlung von personenbezogenen Daten zwischen zwei öf-

fentlichen Stellen regelt, ist § 16 immer dann einschlägig, wenn Daten an eine nicht-öffentliche Stelle übermittelt werden. Aber auch wenn Daten an öffentliche Stellen übermittelt werden, gibt es Fälle, in denen § 16 zur Anwendung kommen muss. Das ist immer dann der Fall, wenn die als Übermittlungsempfängerin in Betracht kommende Stelle „am Markt“ tätig ist (vgl. hierzu näher die Komm. zu § 15 BDSG Rz. 6). Das Einstellen bzw. Veröffentlichen von personenbezogenen Daten auf allgemein zugänglichen Angeboten im Internet ist als eine Datenübermittlung an nicht-öffentliche Stellen anzusehen1. Bei einer Übermittlung an Dritte im Ausland müssen die zusätzlichen Anforderungen des § 4b beachtet werden2.

2. Zur Erfüllung eigener Aufgaben (Abs. 1 Nr. 1) 4 Die Übermittlung an eine nicht-öffentliche Stelle ist zulässig, wenn sie zur Erfül-

lung der Aufgaben der öffentlichen Stelle erforderlich ist. Insofern gilt das zur entsprechenden Zulässigkeitsregel in § 15 Abs. 1 Nr. 1 Gesagte. Die Erforderlichkeit ist immer dann gegeben, wenn personenbezogene Daten durch die öffentliche Stelle mitgeteilt werden müssen, z.B. wenn ohne deren Kenntnis ein 1 Vgl. auch Gola/Schomerus, § 16 BDSG Rz. 7, die eine besondere Beeinträchtigung schutzwürdiger Interessen des Betroffenen annehmen, wenn die Veröffentlichung „suchfähig“ ist. Zur Frage, ob das Veröffentlichen von Informationen im Internet ein Übermitteln i.S.d. BDSG ist s.a. Komm. zu § 3 BDSG Rz. 46. 2 Däubler/Klebe/Wedde/Weichert/Wedde, § 16 BDSG Rz. 3; Gola/Schomerus, § 16 BDSG Rz. 3.

460

|

Roggenkamp

Datenübermittlung an nicht-öffentliche Stellen | § 16 BDSG

Verwaltungsakt keinen Sinn machen würde. Es kommt jedoch nicht darauf an, ob der Übermittlungsempfänger die zu übermittelnden Daten für die Erfüllung seiner Aufgaben benötigt1. Außerdem muss auch hier der Zweckbindungsgrundsatz beachtet werden, wes- 5 halb im Rahmen dieser Zulässigkeitsvariante auch die Voraussetzungen des § 14 vorliegen müssen, nach denen eine Nutzung der zu übermittelnden personenbezogenen Daten zulässig wäre. 3. Berechtigtes Interesse des Übermittlungsempfängers (Abs. 1 Nr. 2) Eine Übermittlung ist auch zulässig, wenn der Übermittlungsempfänger ein be- 6 rechtigtes Interesse an der Kenntnis der zu übermittelnden Daten glaubhaft machen kann. Berechtigt ist jedes ideelle und wirtschaftliche Interesse, das auf sachlichen Erwägungen beruht und mit der Rechtsordnung im Einklang steht2. Einfache Neugier reicht nicht aus, ein rechtliches Interesse ist hingegen stets als berechtigtes Interesse einzustufen3. Dass ein berechtigtes Interesse besteht, muss glaubhaft gemacht werden. Eine 7 vollumfängliche Beweisführung ist nicht notwendig, aber zulässig. Der die Daten Begehrende muss substantiiert und für die Behörde nachvollziehbar darlegen, wieso er diese benötigt4. Besondere Formvorschriften existieren nicht5, die Glaubhaftmachung selbst kann also auch durch mündliches Vorbringen, Erläuterung am Telefon oder im Rahmen einer E-Mail (Textform) erfolgen6. Unter Berücksichtigung der in § 9 sowie der Anlage zu § 9 (insbesondere Nr. 4) niedergelegten Zielvorgaben zum Schutz vor unbefugter Kenntnisnahme sowie der Unterrichtungspflicht nach § 16 Abs. 3 ist die datenübermittelnde Stelle vor Übermittlung verpflichtet, die Identität des Übermittlungsempfängers auf geeignete Weise festzustellen7. Mit Blick auf die mitunter hohe Sensibilität der Daten kann bei bislang unbekannten Personen eine Identitätsfeststellung nach Maßgabe des Gefahrenabwehrrechts angezeigt sein. Ein unberechtigtes „Abfischen“ der Daten ist als Erschleichen einer Übermittlung personenbezogener Daten (§ 43 Abs. 2 Nr. 4) ordnungswidrig, bei Vorliegen der weiteren Voraussetzungen des § 44 auch strafbar8. Ohne Kenntnis der (wahren) Identität ist die Möglichkeit der Sanktionierung jedoch ein stumpfes Schwert. 1 2 3 4 5 6

Bergmann/Möhrle/Herb, § 16 BDSG Rz. 14; Gola/Schomerus, § 16 BDSG Rz. 6. Gola/Schomerus, § 16 BDSG Rz. 10; Simitis/Dammann, § 16 BDSG Rz. 17. Gola/Schomerus, § 16 BDSG Rz. 10. Gola/Schomerus, § 16 BDSG Rz. 10. Taeger/Gabel/Heckmann, § 16 BDSG Rz. 21. Däubler/Klebe/Wedde/Weichert/Wedde, § 16 BDSG Rz. 9 – „einfache Erklärung“ ausreichend. 7 Vgl. Simitis/Dammann, § 16 BDSG Rz. 28. 8 Nur die Verwirklichung des § 44 BDSG ist taugliche Vortat für die Datenhehlerei (§ 202d StGB).

Roggenkamp

|

461

§ 16 BDSG | Datenverarbeitung der öffentlichen Stellen 8 Die öffentliche Stelle hat, wenn ein berechtigtes Interesse vorliegt, vor der Über-

mittlung von Amts wegen zu prüfen, ob im konkreten Fall ein Interesse des Betroffenen am Ausschluss der Übermittlung besteht. Das ist insbesondere dann der Fall, wenn der Betroffene der Übermittlung widersprochen hat. Der Umfang der Überprüfungspflicht hängt einerseits von der allgemeinen Sensibilität (zum Vorgehen bei sensiblen Daten i.S.d. § 3 Abs. 9 sogleich) der Daten ab, andererseits von den zu erwartenden Folgen für den Betroffenen1. Ist ein Interesse des Betroffenen am Ausschluss der Übermittlung erkennbar, ist abzuwägen, ob dieses Interesse des Betroffenen schutzwürdig ist. Auch das ist eine Frage des konkreten Einzelfalls. Führt die Abwägung, bei der die in § 14 Abs. 2 niedergelegten Wertungen hilfsweise herangezogen werden können, zu dem Ergebnis, dass zumindest nicht ausgeschlossen werden kann, dass der Schutz der Rechtsgüter und Interessen des Betroffenen Vorrang hat, muss die Übermittlung unterbleiben2.

9 Sensible Daten (§ 3 Abs. 9) dürfen übermittelt werden, wenn entweder die Vo-

raussetzungen vorliegen, die eine Nutzung nach § 14 Abs. 5 und 6 zulassen würden (s. Komm. zu § 14 BDSG Rz. 22 ff.). Daneben ist eine Übermittlung sensibler Daten an nicht-öffentliche Stellen in dem Umfang zulässig, in dem sie zur Geltendmachung, Ausübung oder Verteidigung rechtlicher Ansprüche der übermittelnden Stelle3 erforderlich ist. Der weit zu interpretierende Begriff der rechtlichen Ansprüche umfasst öffentlich-rechtliche und privatrechtliche Rechtspositionen einschließlich Anwartschaften, jedoch keine reinen Vermögensinteressen4. Der Erforderlichkeitsgrundsatz gebietet die Überprüfung, ob die Übermittlung überhaupt und falls ja in welchem Umfang und welcher Form (z.B. anonymisiert) zulässig ist.

III. Verantwortlichkeitszuweisung (Abs. 2) 10 Im Gegensatz zur differenzierten Regelung des § 15 Abs. 2 verbleibt es im Rah-

men des § 16 beim datenschutzrechtlichen Grundsatz, dass die Verantwortung für die Zulässigkeit der Übermittlung allein die übermittelnde Stelle trägt.

IV. Unterrichtungspflicht (Abs. 3) 11 Derjenige, dessen personenbezogene Daten für öffentliche Zwecke erhoben und

gespeichert wurden, muss in der Regel nicht damit rechnen, dass diese an nicht-

1 Taeger/Gabel/Heckmann, § 16 BDSG Rz. 24; Bergmann/Möhrle/Herb, § 16 BDSG Rz. 19. 2 Taeger/Gabel/Heckmann, § 16 BDSG Rz. 26; Simitis/Dammann, § 16 BDSG Rz. 24; Däubler/Klebe/Wedde/Weichert/Wedde, § 16 BDSG Rz. 11. 3 Taeger/Gabel/Heckmann, § 16 BDSG Rz. 31; Simitis/Dammann, § 16 BDSG Rz. 34. 4 Simitis/Dammann, § 16 BDSG Rz. 33.

462

|

Roggenkamp

Datenübermittlung an nicht-öffentliche Stellen | § 16 BDSG

öffentliche Stellen weitergegeben werden. Daher ist die übermittelnde öffentliche Stelle unter Umständen verpflichtet den Betroffenen entsprechend zu unterrichten1. Die die Verpflichtung auslösenden Umstände sind eng begrenzt. Erfolgt die 12 Übermittlung zur Aufgabenerfüllung (Abs. 1 Nr. 1) besteht keine Pflicht zur Unterrichtung. Obsolet ist eine Unterrichtung, wenn damit zu rechnen ist, dass der Betroffene 13 von der Übermittlung durch die öffentliche Stelle auf andere Weise Kenntnis erlangt. Damit soll überflüssiger Aufwand und „bürokratischer Leerlauf“ vermieden werden2. Aus Sicht der öffentlichen Stelle muss es also hinreichend wahrscheinlich sein, dass eine Kenntnisnahme in engem zeitlichen Zusammenhang3 zu der Übermittlung erfolgen wird. Nicht ausreichend ist die Annahme, dass der Betroffene vom Übermittlungsempfänger angeschrieben oder kontaktiert werden wird. Hieraus kann der Betroffene nicht die Kenntnis erlangen, dass die Daten gerade von der öffentlichen Stelle übermittelt wurden4. Von einer Unterrichtung ist abzusehen, wenn sie die öffentliche Sicherheit ge- 14 fährden würde. Eine Gefährdungslage nach der Unterrichtung muss hinreichend wahrscheinlich und nicht bloß theoretisch möglich sein. Eine Gefährdung der öffentlichen Ordnung ist nicht ausreichend5. Gleiches gilt, wenn die Unterrichtung dem Wohl des Bundes oder eines Landes 15 in sonstiger Weise Nachteile bereiten würde. Da der „Bestand des Staates und die Funktionsfähigkeit seiner Einrichtungen“ bereits als kollektives Schutzgut von der öffentlichen Sicherheit umfasst ist, ist der praktische Anwendungsbereich dieser Ausnahme unklar6. Besteht eine Unterrichtungspflicht, ist der Betroffene so konkret wie möglich da- 16 rüber zu informieren, dass, welche, an wen und zu welchem Zweck seine personenbezogenen Daten übermittelt wurden7.

1 Däubler/Klebe/Wedde/Weichert/Wedde, § 16 BDSG Rz. 18; Bergmann/Möhrle/Herb, § 16 BDSG Rz. 28. 2 Simitis/Dammann, § 16 BDSG Rz. 43. 3 Däubler/Klebe/Wedde/Weichert/Wedde, § 16 BDSG Rz. 20 fordert eine Kenntnisnahme unmittelbar nach der Übermittlung, Gola/Schomerus, § 16 BDSG Rz. 17 hingegen reicht eine Kenntnisnahme „in ausreichender Zeit“ aus. 4 Bergmann/Möhrle/Herb, § 16 BDSG Rz. 29, die darauf hinweisen, dass eine Verpflichtung des Übermittlungsempfängers bei Kontaktaufnahme auf die Herkunft der Daten hinzuweisen ausreichen kann. 5 Bergmann/Möhrle/Herb, § 16 BDSG Rz. 30. 6 Nach Gola/Schomerus, § 16 BDSG Rz. 17 liegen der Alternative „keine konkreten Fallgestaltungen zugrunde“. 7 Simitis/Dammann, § 16 BDSG Rz. 41.

Roggenkamp

|

463

§ 16 BDSG | Datenverarbeitung der öffentlichen Stellen V. Zweckbindung (Abs. 4) 17 Abs. 4 stellt klar, dass der Zweckbindungsgrundsatz für den Übermittlungsemp-

fänger gilt und dieser dementsprechend die übermittelten personenbezogenen Daten grundsätzlich nur für den konkreten Zweck verarbeiten oder nutzen darf, zu dem sie ihm übermittelt wurden.

18 Auf die Zweckbindung ist der Übermittlungsempfänger hinzuweisen. Es ist also

zunächst im Kontext der Übermittlung zu konstatieren, zu welchem Zweck die öffentliche Stelle die Daten übermittelt. Außerdem ist dem Übermittlungsempfänger zu verdeutlichen, dass eine zweckfremde Nutzung verboten ist. Zur Verdeutlichung ist ein Hinweis auf die Möglichkeit eines Bußgelds von bis zu 300 000 Euro im Falle eines Verstoßes (§ 43 Abs. 3 i.V.m. Abs. 2 Nr. 5) ratsam, wenn auch nicht zwingend erforderlich.

19 Ausnahmsweise ist eine Zweckänderung im Rahmen der Verarbeitung oder

Nutzung zulässig, wenn die Voraussetzungen für eine Übermittlung nach Abs. 1 vorliegen und die übermittelnde Behörde zugestimmt hat, Abs. 4 Satz 3. Die Entscheidung über die Zulässigkeit der Zweckänderung trifft allein die öffentliche Stelle, die alternativ eine (erneute) Übermittlung der für den anderen Zweck benötigten personenbezogenen Daten veranlassen könnte. Durch die Regelung sollen lediglich überflüssige Übermittlungsvorgänge vermieden werden1.

VI. Veröffentlichung von Mitarbeiterdaten auf Behördenseite 20 Die Namen, Funktionen und dienstliche Erreichbarkeit von Behördenmitarbei-

tern, die mit Außenkontakten betraut sind, dürfen nach Auffassung des BVerwG2 im Interesse einer transparenten, bürgernahen öffentlichen Verwaltung, auch ohne deren Einverständnis im Internet bekannt gegeben werden. Etwas anderes soll nur dann gelten, wenn einer solchen Bekanntgabe Sicherheitsbedenken (z.B. Gefahr der Anfeindung oder Gefährdung durch Dritte) entgegenstehen. Diese Rechtsprechung verkennt nach hier vertretener Auffassung elementare datenschutzrechtliche Grundsätze3. So soll die – nicht von einer Einwilligung gedeckte – Übermittlung personenbezogener Mitarbeiterdaten im Internet „ohne ausdrückliche gesetzliche Ermächtigung“ zulässig sein. Zuzugeben ist dem BVerwG, dass es grundsätzlich Sache der Behörde ist zu „bestimmen, ob und ggf. auf welche Weise sie die tatsächliche Erreichbarkeit ihrer Bediensteten durch Außenstehende sicherstellen will“. Da die Übermittlung der Mitarbeiterdaten aber einen Eingriff in deren Recht auf informationelle Selbstbestimmung 1 Vgl. Simitis/Dammann, § 16 BDSG Rz. 50. 2 BVerwG v. 12.3.2008 – 2 B 131/07, DuD 2008, 696 m. Anm. Jäger, jurisPR-ITR 11/2008 Anm. 4. 3 Kritisch auch Schierbaum, PersR 2010, 268.

464

|

Roggenkamp

Durchführung des Datenschutzes in der Bundesverwaltung | § 18 BDSG

darstellt, ist eine gesetzliche (oder persönliche) Gestattung notwendig1. Zudem ist zwingend der Erforderlichkeitsgrundsatz zu beachten. Es kann bezweifelt werden, dass das Ziel der bürgernahen, transparenten Verwaltung nur durch Offenbarung der Mitarbeiternamen erreicht werden kann. Solange bspw. durch entsprechende Kürzel, Aktenzeichen oder ähnliches eine Zuordnung eines Vorgangs zur Sachbearbeiterin oder Sachbearbeiter möglich ist, ist der bürgerliche Name nicht von (berechtigtem) Interesse. Das gilt sowohl für die Korrespondenz mit dem Bürger als auch – und erst Recht – für den Internetauftritt. Auch ein Beamter hat das grundsätzliche Recht selbst zu entscheiden, ob er und Informationen über ihn im Internet auffindbar sein sollen sein. Die Veröffentlichung bzw. Verbreitung von Bildern oder Videos der Mitarbei- 21 ter ist nach der speziellen Regelung des § 22 KUG stets (auch in Papierform) von einer Einwilligung abhängig2. Diese muss abweichend vom Wortlaut schriftlich erfolgen, wenn sie im Kontext eines Arbeitsverhältnisses erteilt wird3. Aus dem Grundsatz der Zweckbindung und der Datensparsamkeit, aber auch der Fürsorgepflicht des Dienstherren folgt die Verpflichtung, die veröffentlichten Daten durch technische Vorkehrungen4 so zu schützen, dass sie nicht von (Personen-)Suchmaschinen indiziert oder dupliziert werden.

§ 17

(weggefallen)

§ 18 Durchführung des Datenschutzes in der Bundesverwaltung (1) 1Die obersten Bundesbehörden, der Präsident des Bundeseisenbahnvermögens sowie die bundesunmittelbaren Körperschaften, Anstalten und Stiftungen des öffentlichen Rechts, über die von der Bundesregierung oder einer 1 2 3 4

Vgl. BVerfG v. 15.12.1983 – 1 BvR 209, 269, 362, 420, 440, 484/83. BAG v. 19.2.2015 – 8 AZR 1011/13, juris Rz. 13 ff. BAG v. 19.2.2015 – 8 AZR 1011/13, juris Rz. 25. Nach dem Quasi-Standard „Robot Exclusion Standard“ wird von Suchmaschinen bei der Indizierung von Webseiten zunächst die Datei mit der Bezeichnung robots.txt ausgelesen. In dieser kann der Betreiber von Webseiten festlegen, welche Inhalte nicht durch Suchmaschinen indiziert werden sollen. Auch über die sog. Metainformationen im Quelltext einer Webseite können Suchmaschinen ausgeschlossen werden. Näheres Gourley/Totti/Sayer/Reddy/Aggarwal, HTTP – The definitive Guide, 1st Ed. 2002, S. 230 ff.

Roggenkamp

|

465

Durchführung des Datenschutzes in der Bundesverwaltung | § 18 BDSG

darstellt, ist eine gesetzliche (oder persönliche) Gestattung notwendig1. Zudem ist zwingend der Erforderlichkeitsgrundsatz zu beachten. Es kann bezweifelt werden, dass das Ziel der bürgernahen, transparenten Verwaltung nur durch Offenbarung der Mitarbeiternamen erreicht werden kann. Solange bspw. durch entsprechende Kürzel, Aktenzeichen oder ähnliches eine Zuordnung eines Vorgangs zur Sachbearbeiterin oder Sachbearbeiter möglich ist, ist der bürgerliche Name nicht von (berechtigtem) Interesse. Das gilt sowohl für die Korrespondenz mit dem Bürger als auch – und erst Recht – für den Internetauftritt. Auch ein Beamter hat das grundsätzliche Recht selbst zu entscheiden, ob er und Informationen über ihn im Internet auffindbar sein sollen sein. Die Veröffentlichung bzw. Verbreitung von Bildern oder Videos der Mitarbei- 21 ter ist nach der speziellen Regelung des § 22 KUG stets (auch in Papierform) von einer Einwilligung abhängig2. Diese muss abweichend vom Wortlaut schriftlich erfolgen, wenn sie im Kontext eines Arbeitsverhältnisses erteilt wird3. Aus dem Grundsatz der Zweckbindung und der Datensparsamkeit, aber auch der Fürsorgepflicht des Dienstherren folgt die Verpflichtung, die veröffentlichten Daten durch technische Vorkehrungen4 so zu schützen, dass sie nicht von (Personen-)Suchmaschinen indiziert oder dupliziert werden.

§ 17

(weggefallen)

§ 18 Durchführung des Datenschutzes in der Bundesverwaltung (1) 1Die obersten Bundesbehörden, der Präsident des Bundeseisenbahnvermögens sowie die bundesunmittelbaren Körperschaften, Anstalten und Stiftungen des öffentlichen Rechts, über die von der Bundesregierung oder einer 1 2 3 4

Vgl. BVerfG v. 15.12.1983 – 1 BvR 209, 269, 362, 420, 440, 484/83. BAG v. 19.2.2015 – 8 AZR 1011/13, juris Rz. 13 ff. BAG v. 19.2.2015 – 8 AZR 1011/13, juris Rz. 25. Nach dem Quasi-Standard „Robot Exclusion Standard“ wird von Suchmaschinen bei der Indizierung von Webseiten zunächst die Datei mit der Bezeichnung robots.txt ausgelesen. In dieser kann der Betreiber von Webseiten festlegen, welche Inhalte nicht durch Suchmaschinen indiziert werden sollen. Auch über die sog. Metainformationen im Quelltext einer Webseite können Suchmaschinen ausgeschlossen werden. Näheres Gourley/Totti/Sayer/Reddy/Aggarwal, HTTP – The definitive Guide, 1st Ed. 2002, S. 230 ff.

Roggenkamp

|

465

Durchführung des Datenschutzes in der Bundesverwaltung | § 18 BDSG

darstellt, ist eine gesetzliche (oder persönliche) Gestattung notwendig1. Zudem ist zwingend der Erforderlichkeitsgrundsatz zu beachten. Es kann bezweifelt werden, dass das Ziel der bürgernahen, transparenten Verwaltung nur durch Offenbarung der Mitarbeiternamen erreicht werden kann. Solange bspw. durch entsprechende Kürzel, Aktenzeichen oder ähnliches eine Zuordnung eines Vorgangs zur Sachbearbeiterin oder Sachbearbeiter möglich ist, ist der bürgerliche Name nicht von (berechtigtem) Interesse. Das gilt sowohl für die Korrespondenz mit dem Bürger als auch – und erst Recht – für den Internetauftritt. Auch ein Beamter hat das grundsätzliche Recht selbst zu entscheiden, ob er und Informationen über ihn im Internet auffindbar sein sollen sein. Die Veröffentlichung bzw. Verbreitung von Bildern oder Videos der Mitarbei- 21 ter ist nach der speziellen Regelung des § 22 KUG stets (auch in Papierform) von einer Einwilligung abhängig2. Diese muss abweichend vom Wortlaut schriftlich erfolgen, wenn sie im Kontext eines Arbeitsverhältnisses erteilt wird3. Aus dem Grundsatz der Zweckbindung und der Datensparsamkeit, aber auch der Fürsorgepflicht des Dienstherren folgt die Verpflichtung, die veröffentlichten Daten durch technische Vorkehrungen4 so zu schützen, dass sie nicht von (Personen-)Suchmaschinen indiziert oder dupliziert werden.

§ 17

(weggefallen)

§ 18 Durchführung des Datenschutzes in der Bundesverwaltung (1) 1Die obersten Bundesbehörden, der Präsident des Bundeseisenbahnvermögens sowie die bundesunmittelbaren Körperschaften, Anstalten und Stiftungen des öffentlichen Rechts, über die von der Bundesregierung oder einer 1 2 3 4

Vgl. BVerfG v. 15.12.1983 – 1 BvR 209, 269, 362, 420, 440, 484/83. BAG v. 19.2.2015 – 8 AZR 1011/13, juris Rz. 13 ff. BAG v. 19.2.2015 – 8 AZR 1011/13, juris Rz. 25. Nach dem Quasi-Standard „Robot Exclusion Standard“ wird von Suchmaschinen bei der Indizierung von Webseiten zunächst die Datei mit der Bezeichnung robots.txt ausgelesen. In dieser kann der Betreiber von Webseiten festlegen, welche Inhalte nicht durch Suchmaschinen indiziert werden sollen. Auch über die sog. Metainformationen im Quelltext einer Webseite können Suchmaschinen ausgeschlossen werden. Näheres Gourley/Totti/Sayer/Reddy/Aggarwal, HTTP – The definitive Guide, 1st Ed. 2002, S. 230 ff.

Roggenkamp

|

465

§ 18 BDSG | Datenverarbeitung der öffentlichen Stellen obersten Bundesbehörde lediglich die Rechtsaufsicht ausgeübt wird, haben für ihren Geschäftsbereich die Ausführung dieses Gesetzes sowie anderer Rechtsvorschriften über den Datenschutz sicherzustellen. 2Das Gleiche gilt für die Vorstände der aus dem Sondervermögen Deutsche Bundespost durch Gesetz hervorgegangenen Unternehmen, solange diesen ein ausschließliches Recht nach dem Postgesetz zusteht. (2) 1Die öffentlichen Stellen führen ein Verzeichnis der eingesetzten Datenverarbeitungsanlagen. 2Für ihre automatisierten Verarbeitungen haben sie die Angaben nach § 4e sowie die Rechtsgrundlage der Verarbeitung schriftlich festzulegen. 3Bei allgemeinen Verwaltungszwecken dienenden automatisierten Verarbeitungen, bei welchen das Auskunftsrecht des Betroffenen nicht nach § 19 Abs. 3 oder 4 eingeschränkt wird, kann hiervon abgesehen werden. 4Für automatisierte Verarbeitungen, die in gleicher oder ähnlicher Weise mehrfach geführt werden, können die Festlegungen zusammengefasst werden. I. Allgemeines . . . . . . . . . . . . . . II. Sicherstellung der Ausführung (Abs. 1) . . . . . . . . . . . . . . . . . . III. Konkrete Verpflichtungen (Abs. 2) . . . . . . . . . . . . . . . . . .

1 2

1. Verzeichnis eingesetzter Datenverarbeitungsanlagen (Abs. 2 Satz 1) . . . . . . . . . . . . .

5

4

2. Verzeichnis automatisierter Verarbeitungen (Abs. 2 Satz 2) .

8

Schrifttum: Dammann, Das Dateistatut nach § 18 Abs. 2 BDSG, DuD 1993, 547; Engelien-Schulz, Zum Verfahrensverzeichnis nach § 4e BDSG und seiner Bedeutung für den ordnungsgemäßen Umgang mit personenbezogenen Daten, VR 2011, 119; EngelienSchulz, Muss man nicht haben, sollte man aber – Zum Ob und Wie eines dienststellenbezogenen Datenschutzkonzepts für öffentliche Stellen des Bundes, VR 2011, 185; Hoffmann, Apps der öffentlichen Verwaltung – Rechtsfragen des Mobile Government, MMR 2013, 631.

I. Allgemeines 1 Der § 18 stellt klar, dass (Abs. 1) datenschutzrechtliche Regelungen in der Bun-

desverwaltung einzuhalten sind und dies sicherzustellen ist. Eine für alle öffentlichen Stellen, auf die § 18 anwendbar ist, geltende, die Datenschutzdurchführung flankierende Verpflichtung ist in Abs. 2 niedergelegt.

II. Sicherstellung der Ausführung (Abs. 1) 2 In § 18 Abs. 1 wird die Selbstverständlichkeit (vgl. Art. 20 Abs. 3 GG) konsta-

tiert, dass die Ausführung des BDSG und anderer Rechtsvorschriften über den Datenschutz (z.B. TMG, TKG, bereichsspezifische Datenschutzregelungen) in der Bundesverwaltung sicherzustellen ist. Ebenfalls selbstverständlich ist die

466

|

Roggenkamp

Durchführung des Datenschutzes in der Bundesverwaltung | § 18 BDSG

Aussage, dass die Verpflichtung zur Sicherstellung der Ausführung des Datenschutzrechts1 sich auf die jeweiligen Geschäftsbereiche erstreckt. Nicht (mehr) dem Anwendungsbereich des § 18 unterfallen die Deutsche Post- 3 bank AG, die Deutsche Telekom AG und, seit Auslaufen der gesetzlichen Exklusivlizenz bezüglich der Beförderung von Briefsendungen (§ 51 Abs. 1 PostG) zum 31.12.2007, die Deutsche Post AG2. § 18 Abs. 1 Satz 2 ist daher seit dem 1.1.2008 bedeutungslos.

III. Konkrete Verpflichtungen (Abs. 2) In Absatz 2 finden sich konkrete erweiternde Verpflichtungen für alle öffent- 4 lichen Stellen, auf die § 18 anwendbar ist3. Sie sind neben der allgemeinen Sicherstellung der Ausführung des Datenschutzrechts zu erfüllen sind. 1. Verzeichnis eingesetzter Datenverarbeitungsanlagen (Abs. 2 Satz 1) Nach Abs. 2 Satz 1 ist ein Verzeichnis der eingesetzten Datenverarbeitungsanla- 5 gen zu führen. Der Begriff der Datenverarbeitungsanlagen ist weit auszulegen. Erfasst ist jedes technische Gerät, mit welchem personenbezogene Daten verarbeitet werden könnten4. Aus dem eindeutigen Wortlaut der Norm folgt, dass es nicht darauf ankommt, ob eine Verarbeitung personenbezogener Daten tatsächlich auch auf diesen Rechnern erfolgt. Umfasst sind sowohl die zentralen Server als auch die einzelnen Arbeitsplatzrechner5. Auch mobile Rechner (Laptop, Notebook, Netbook) sind zu erfassen. Da auch Smartphones (z.B. iPhone, Windows Phone, Android) und Tablets (z.B. iPad, kindle) grundsätzlich geeignet sind Daten zu verarbeiten, sind diese ebenfalls aufzuführen.6 Nach einer in der Literatur verbreiteten Auffassung sind auch die im persönli- 6 chen Eigentum der Bediensteten stehenden Rechner zu erfassen7. Begründet wird dies mit einer entsprechenden Äußerung des Gesetzgebers in der Begründung zu § 15 Satz 2 des RegE8. Auch verbotswidrig eingesetzte private Rechner 1 Zu dienststellenbezogenen Datenschutzkonzepten für öffentliche Stellen des Bundes vgl. Engelien-Schulz, VR 2011, 185 ff. 2 Taeger/Gabel/Heckmann, § 18 BDSG Rz. 16. 3 Simitis/Dammann, § 18 BDSG Rz. 15. 4 Simitis/Dammann, § 18 BDSG Rz. 17 f. 5 Gola/Schomerus, § 18 BDSG Rz. 5. 6 Vgl. Simitis/Dammann, § 18 BDSG Rz. 18. 7 Gola/Schomerus, § 18 BDSG Rz. 5; Simitis/Dammann, § 18 BDSG Rz. 17; Taeger/Gabel/ Heckmann, § 18 BDSG Rz. 22. 8 BT-Drucks. 11/4306, S. 45: „Damit soll sichergestellt werden, daß auch sog. Arbeitsplatzrechner erfaßt werden, und zwar auch dann, wenn sie etwa im Eigentum des Arbeitsplatzinhabers stehen.“

Roggenkamp

|

467

§ 18 BDSG | Datenverarbeitung der öffentlichen Stellen seien grundsätzlich aufzunehmen, es sei denn, sie sind aus der öffentlichen Stelle entfernt oder ihr Einsatz „unmöglich gemacht“ worden1. In der Praxis würde die konsequente Umsetzung dieser Interpretation dazu führen, dass jeder Bedienstete sofort bei Erwerb eines privaten Rechners, Smartphones, etc. dieses zum Zwecke der Aufnahme im Verzeichnis melden müsste. Da inzwischen die Arbeit im „Home-Office“ auch in öffentlichen Stellen weit verbreitet, häufig sogar notwendig ist, kann es auf die physische Präsenz in der öffentlichen Stelle nicht mehr ankommen. Grundsätzlich müsste auch die (private) Nutzung von webbasierten Diensten (z.B. Webmailprogrammen wie GoogleMail, WebApps wie GoogleDocs, soziale Netzwerke wie Facebook) gemeldet werden, da durch die Bediensteten auf den (Cloud-)Rechnern der Anbieter personenbezogene Daten gespeichert und bearbeitet werden könnten. 7 Sinn und Zweck des Verzeichnisses ist es, die Übersicht zu behalten, wo per-

sonenbezogene Daten bearbeitet werden oder bearbeitet werden können2. Diese Übersichtlichkeit geht mit Blick auf die Ubiquität privater „Datenverarbeitungsanlagen“3 bei allzu extensiver Auslegung verloren. Zweckmäßig ist daher allein die Auflistung der Geräte, die entweder dauerhaft physisch in der öffentlichen Stelle befindlich sind, oder für die dem Bediensteten die Nutzungserlaubnis zu „dienstlichen Zwecken“ erteilt wurde. Lediglich vom Bediensteten mitgeführte private Geräte (z.B. Smartphones oder Tablets) sind nach hier vertretener Auffassung nicht aufzunehmen. Bereits aus den allgemeinen datenschutzrechtlichen Anforderungen an öffentliche Stellen ergibt sich, dass die Bediensteten ausdrücklich darauf hinzuweisen sind, dass eine Verarbeitung personenbezogener Daten auf privaten Geräten4 ohne die vorgenannte Nutzungserlaubnis nicht zulässig ist. 2. Verzeichnis automatisierter Verarbeitungen (Abs. 2 Satz 2)

8 Ausweislich Abs. 2 Satz 2 ist ein Verzeichnis der automatisierten Verarbeitun-

gen mit den Angaben nach § 4e (s.a. die dortige Kommentierung) sowie den Rechtsgrundlagen für die Verarbeitung festzulegen (sog. Dateistatut5). Es ist das organisatorische und verfahrensmäßige Mittel um Datenschutzrecht und tatsächliche Datenverarbeitung miteinander in Einklang zu bringen6. Die Festlegung muss sinnvollerweise vor der Implementierung bzw. bereits vor der An-

1 Simitis/Dammann, § 18 BDSG Rz. 17. 2 Simitis/Dammann, § 18 BDSG Rz. 16. 3 Die von der Bundesregierung zum Zeitpunkt der Veröffentlichung des Regierungsentwurfs (April 1989) – also vor Verbreitung des Internets und tragbarer PCs – nicht berücksichtigt werden konnte. 4 Zu datenschutzrechtlichen Implikationen des „Bring your own device“-Trends, Conrad/ Schneider, ZD 2011, 153. 5 Ausführlich bereits Dammann, DuD 1993, 547 ff. 6 Simitis/Dammann, § 18 BDSG Rz. 25.

468

|

Roggenkamp

Auskunft an den Betroffenen | § 19 BDSG

schaffung eines automatisierten Verfahrens zur Verarbeitung personenbezogener Daten erfolgen1. Bei der Festlegung handelt es sich um einen ordnenden, normativ wirkenden 9 Akt der öffentlichen Stelle, der insbesondere die Grenzen der Verarbeitung – insbesondere in personeller Hinsicht (Festlegung von Zugangs- und Zugriffsberechtigungen) – festlegt2. Dem Dateistatut wird der Charakter einer innerdienstlichen Dienstvorschrift oder Anordnung zugesprochen3. Das Verzeichnis, welches dem internen Datenschutzbeauftragten und der oder 10 dem BfDI zur Aufgabenunterstützung dienen soll4, muss in verkörperter Form vorliegen, also nicht rein elektronisch. Auf eine Unterschrift kommt es, trotz des Wortlauts („schriftlich“) nicht an5. In das Verzeichnis sind alle automatisiert geführten Verarbeitungsvorgänge unabhängig vom Zweck6 der Verarbeitung aufzunehmen7. Automatisierte Verarbeitungen die allgemeinen Verwaltungszwecken dienen, 11 also nur den Verwaltungsvollzug erleichtern8, müssen ausweislich Abs. 2 Satz 3 nicht in das Verzeichnis aufgenommen werden, wenn das Auskunftsrecht des Betroffenen nicht nach § 19 Abs. 3 oder 4 eingeschränkt wird. Zur Entlastung der verantwortlichen Stelle müssen sog. Mehrfach-Verarbeitun- 12 gen, also automatisierte Verarbeitungen, die in gleicher oder ähnlicher Weise mehrfach geführt werden, nach Abs. 2 Satz 4 nur einmal aufgeführt werden9.

Zweiter Unterabschnitt Rechte des Betroffenen

§ 19 Auskunft an den Betroffenen (1) 1Dem Betroffenen ist auf Antrag Auskunft zu erteilen über 1. die zu seiner Person gespeicherten Daten, auch soweit sie sich auf die Herkunft dieser Daten beziehen, 1 2 3 4 5 6 7 8 9

Vgl. VG Wiesbaden v. 23.5.2005 – 23 LG 485/05 (V), CR 2005, 785, juris Rz. 56. Gola/Schomerus, § 18 BDSG Rz. 7. Simitis/Dammann, § 18 BDSG Rz. 37. Gola/Schomerus, § 18 BDSG Rz. 5. Simitis/Dammann, § 18 BDSG Rz. 28. Aber die Zweckbestimmung aufführend, vgl. § 4e Nr. 4 BDSG. Simitis/Dammann, § 18 BDSG Rz. 31. Taeger/Gabel/Heckmann, § 18 BDSG Rz. 34. Taeger/Gabel/Heckmann, § 18 BDSG Rz. 35; Bergmann/Möhrle/Herb, § 18 BDSG Rz. 41.

Roggenkamp

|

469

Auskunft an den Betroffenen | § 19 BDSG

schaffung eines automatisierten Verfahrens zur Verarbeitung personenbezogener Daten erfolgen1. Bei der Festlegung handelt es sich um einen ordnenden, normativ wirkenden 9 Akt der öffentlichen Stelle, der insbesondere die Grenzen der Verarbeitung – insbesondere in personeller Hinsicht (Festlegung von Zugangs- und Zugriffsberechtigungen) – festlegt2. Dem Dateistatut wird der Charakter einer innerdienstlichen Dienstvorschrift oder Anordnung zugesprochen3. Das Verzeichnis, welches dem internen Datenschutzbeauftragten und der oder 10 dem BfDI zur Aufgabenunterstützung dienen soll4, muss in verkörperter Form vorliegen, also nicht rein elektronisch. Auf eine Unterschrift kommt es, trotz des Wortlauts („schriftlich“) nicht an5. In das Verzeichnis sind alle automatisiert geführten Verarbeitungsvorgänge unabhängig vom Zweck6 der Verarbeitung aufzunehmen7. Automatisierte Verarbeitungen die allgemeinen Verwaltungszwecken dienen, 11 also nur den Verwaltungsvollzug erleichtern8, müssen ausweislich Abs. 2 Satz 3 nicht in das Verzeichnis aufgenommen werden, wenn das Auskunftsrecht des Betroffenen nicht nach § 19 Abs. 3 oder 4 eingeschränkt wird. Zur Entlastung der verantwortlichen Stelle müssen sog. Mehrfach-Verarbeitun- 12 gen, also automatisierte Verarbeitungen, die in gleicher oder ähnlicher Weise mehrfach geführt werden, nach Abs. 2 Satz 4 nur einmal aufgeführt werden9.

Zweiter Unterabschnitt Rechte des Betroffenen

§ 19 Auskunft an den Betroffenen (1) 1Dem Betroffenen ist auf Antrag Auskunft zu erteilen über 1. die zu seiner Person gespeicherten Daten, auch soweit sie sich auf die Herkunft dieser Daten beziehen, 1 2 3 4 5 6 7 8 9

Vgl. VG Wiesbaden v. 23.5.2005 – 23 LG 485/05 (V), CR 2005, 785, juris Rz. 56. Gola/Schomerus, § 18 BDSG Rz. 7. Simitis/Dammann, § 18 BDSG Rz. 37. Gola/Schomerus, § 18 BDSG Rz. 5. Simitis/Dammann, § 18 BDSG Rz. 28. Aber die Zweckbestimmung aufführend, vgl. § 4e Nr. 4 BDSG. Simitis/Dammann, § 18 BDSG Rz. 31. Taeger/Gabel/Heckmann, § 18 BDSG Rz. 34. Taeger/Gabel/Heckmann, § 18 BDSG Rz. 35; Bergmann/Möhrle/Herb, § 18 BDSG Rz. 41.

Roggenkamp

|

469

§ 19 BDSG | Datenverarbeitung der öffentlichen Stellen 2. die Empfänger oder Kategorien von Empfängern, an die die Daten weitergegeben werden, und 3. den Zweck der Speicherung. 2In dem Antrag soll die Art der personenbezogenen Daten, über die Auskunft erteilt werden soll, näher bezeichnet werden. 3Sind die personenbezogenen Daten weder automatisiert noch in nicht automatisierten Dateien gespeichert, wird die Auskunft nur erteilt, soweit der Betroffene Angaben macht, die das Auffinden der Daten ermöglichen, und der für die Erteilung der Auskunft erforderliche Aufwand nicht außer Verhältnis zu dem vom Betroffenen geltend gemachten Informationsinteresse steht. 4Die verantwortliche Stelle bestimmt das Verfahren, insbesondere die Form der Auskunftserteilung, nach pflichtgemäßem Ermessen. (2) Absatz 1 gilt nicht für personenbezogene Daten, die nur deshalb gespeichert sind, weil sie aufgrund gesetzlicher, satzungsmäßiger oder vertraglicher Aufbewahrungsvorschriften nicht gelöscht werden dürfen, oder ausschließlich Zwecken der Datensicherung oder der Datenschutzkontrolle dienen und eine Auskunftserteilung einen unverhältnismäßigen Aufwand erfordern würde. (3) Bezieht sich die Auskunftserteilung auf die Übermittlung personenbezogener Daten an Verfassungsschutzbehörden, den Bundesnachrichtendienst, den Militärischen Abschirmdienst und, soweit die Sicherheit des Bundes berührt wird, andere Behörden des Bundesministeriums der Verteidigung, ist sie nur mit Zustimmung dieser Stellen zulässig. (4) Die Auskunftserteilung unterbleibt, soweit 1. die Auskunft die ordnungsgemäße Erfüllung der in der Zuständigkeit der verantwortlichen Stelle liegenden Aufgaben gefährden würde, 2. die Auskunft die öffentliche Sicherheit oder Ordnung gefährden oder sonst dem Wohle des Bundes oder eines Landes Nachteile bereiten würde oder 3. die Daten oder die Tatsache ihrer Speicherung nach einer Rechtsvorschrift oder ihrem Wesen nach, insbesondere wegen der überwiegenden berechtigten Interessen eines Dritten, geheim gehalten werden müssen und deswegen das Interesse des Betroffenen an der Auskunftserteilung zurücktreten muss. (5) 1Die Ablehnung der Auskunftserteilung bedarf einer Begründung nicht, soweit durch die Mitteilung der tatsächlichen und rechtlichen Gründe, auf die die Entscheidung gestützt wird, der mit der Auskunftsverweigerung verfolgte Zweck gefährdet würde. 2In diesem Fall ist der Betroffene darauf hinzuweisen, dass er sich an die Bundesbeauftragte oder den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit wenden kann. (6) 1Wird dem Betroffenen keine Auskunft erteilt, so ist sie auf sein Verlangen der oder dem Bundesbeauftragten für den Datenschutz und die Informa470

|

Roggenkamp

Auskunft an den Betroffenen | § 19 BDSG

tionsfreiheit zu erteilen, soweit nicht die jeweils zuständige oberste Bundesbehörde im Einzelfall feststellt, dass dadurch die Sicherheit des Bundes oder eines Landes gefährdet würde. 2Die Mitteilung der oder des Bundesbeauftragten an den Betroffenen darf keine Rückschlüsse auf den Erkenntnisstand der verantwortlichen Stelle zulassen, sofern diese nicht einer weitergehenden Auskunft zustimmt. (7) Die Auskunft ist unentgeltlich. I. Allgemeines 1. Rechte des Betroffenen . . . . . 2. Insbesondere: das Auskunftsrecht . . . . . . . . . . . . . . . . . . II. Auskunftsanspruch (Abs. 1) . 1. Auskunft über die zur Person gespeicherten Daten (Abs. 1 Nr. 1) . . . . . . . . . . . . 2. Herkunft der Daten (Abs. 1 Nr. 1 a.E.) . . . . . . . . . 3. Empfänger (Abs. 1 Nr. 2) . . . 4. Zweck der Speicherung (Abs. 1 Nr. 3) . . . . . . . . . . . . 5. Voraussetzungen (Abs. 1 Satz 2 und 3) . . . . . . . 6. Verfahren und Form der Auskunftserteilung (Abs. 1 Satz 4) III. Ausnahmen von der Auskunftserteilung (Abs. 2) . . . .

.

1

. .

2 5

.

7

. 9 . 10 . 11 . 12 . 15 . 17

IV. Auskunftsbeschränkung bei Übermittlung an Sicherheitsbehörden (Abs. 3) . . . . . . . . . V. Unterbleiben der Auskunftserteilung bei Geheimhaltungsinteresse (Abs. 4) . . . . . . . . . . 1. Gefährdung ordnungsgemäßer Aufgabenerfüllung (Nr. 1) . . . . 2. Gefährdung der öffentlichen Sicherheit oder Ordnung oder Nachteiligkeit für das Bundesoder Landeswohl (Nr. 2) . . . . . 3. Rechtliche oder faktische Geheimhaltungsbedürftigkeit (Nr. 3) . . . . . . . . . . . . . . . . . . VI. Begründung der Verweigerung (Abs. 5) . . . . . . . . . . . . . . . . . VII. Auskunft an BfDI (Abs. 6) . . . VIII. Unentgeltlichkeit (Abs. 7) . . .

18 19 20

21 23 24 27 29

Schrifttum: Bäumler, Der Auskunftsanspruch des Bürgers gegenüber den Nachrichtendiensten, NVwZ 1988, 199; Polenz, Der Auskunftsanspruch des Steuerpflichtigen gegenüber den Finanzbehörden, NJW 2009, 1921; Knemeyer, Auskunftsanspruch und behördliche Auskunftsverweigerung, JZ 1992, 348; Roewer, Bürgerauskunft durch die Verfassungsschutzbehörden? – Ein Beitrag zu § 13 II BDSG und § 3 I BVerfSchG, NVwZ 1989, 11; Schapper, Rechtsstaatliche Fundierung der Informationsverarbeitung bei Sicherheitsbehörden und Nachrichtendiensten, DRiZ 1987, 221; Schatzschneider, Das Auskunftsverhalten der Verfassungsschutzbehörden, NVwZ 1988, 223; Simitis/Fuckner, Informationelle Selbstbestimmung und „staatliches Geheimhaltungsinteresse“, NJW 1990, 2713; Sydow, Vorwirkungen von Ansprüchen auf datenschutzrechtliche Auskunft und Informationszugang, NVwZ 2013, 467; Weichert, Der Datenschutzanspruch auf Negativauskunft, NVwZ 2007, 1004.

Roggenkamp

|

471

§ 19 BDSG | Datenverarbeitung der öffentlichen Stellen I. Allgemeines 1. Rechte des Betroffenen 1 Im zweiten Unterabschnitt des zweiten Abschnitts des BDSG sind die Rechte

des Betroffenen und die korrespondierenden Pflichten der öffentlichen Stellen geregelt. Hierbei handelt es sich um das Auskunftsrecht (§ 19), die Verpflichtung zur Benachrichtigung (§ 19a), das Recht des Betroffenen auf Berichtigung, Löschung und Sperrung von Daten sowie das Widerspruchsrecht (§ 20). Außerdem wird in § 21 die Möglichkeit der Anrufung der oder des BfDI geregelt. 2. Insbesondere: das Auskunftsrecht

2 Eine der wesentlichen Aussagen des Volkszählungsurteils des BVerfG ist der

Passus, dass mit „dem Recht auf informationelle Selbstbestimmung […] eine Gesellschaftsordnung und eine diese ermöglichende Rechtsordnung nicht vereinbar [wäre], in der Bürger nicht mehr wissen können, wer was wann und bei welcher Gelegenheit über sie weiß“1.

3 Das in § 19 geregelte Auskunftsrecht soll helfen genau diesen Zustand zu ver-

hindern. Dem Betroffenen wird gegenüber der verantwortlichen Stelle ein umfangreiches, verhältnismäßig einfach geltend zu machendes Kontrollrecht eingeräumt. Die durch das Grundrecht auf informationelle Selbstbestimmung zum Schutz der freien Entfaltung der Persönlichkeit gewährleistete Befugnis, grundsätzlich selbst über Preisgabe und Verwendung der personenbezogenen Daten zu bestimmen – also der Schutz vor „unbegrenzter Erhebung, Speicherung, Verwendung und Weitergabe“2 –, kann nur ausgeübt werden, wenn der Betroffene sich in effektiver Art und Weise Klarheit über den Status Quo verschaffen kann. Dementsprechend gilt das Auskunftsrecht zu Recht als eines der grundlegenden Rechte des Betroffenen gegenüber der verantwortlichen Stelle3.

4 Das Interesse des Betroffenen von den ihn betreffenden informationsbezogenen

Maßnahmen des Staates Kenntnis zu erlangen, wird grundrechtlich sowohl durch das Grundrecht auf informationelle Selbstbestimmung als auch durch den Anspruch auf effektiven Rechtsschutz (Art. 19 Abs. 4 GG) geschützt4. Zur Gewährleistung eines tatsächlich effektiven Rechtsschutzes gehört es nach dem BVerfG auch, dass der von einem Eingriff in das Grundrecht auf informationelle Selbstbestimmung Betroffene von diesem Eingriff überhaupt Kenntnis erhalten

1 BVerfG v. 15.12.1983 – 1 BvR 209/83 u.a. – Volkszählung, NJW 1984, 419 (422). 2 BVerfG v. 15.12.1983 – 1 BvR 209/83 u.a. – Volkszählung, NJW 1984, 419 (422). 3 Bäumler, NVwZ 1988, 199, 199 – „magna charta des Datenschutzes“; Simitis/Mallmann, § 19 BDSG Rz. 1 und 10; Bergmann/Möhrle/Herb, § 19 BDSG Rz. 4; Gola/Schomerus, § 19 BDSG Rz. 2 – „erste Stelle der Betroffenenrechte“. 4 BVerfG v. 10.3.2008 – 1 BvR 2388/03 – Datensammlung über steuerliche Auslandsbeziehungen, NJW 2008, 2099, Rz. 58.

472

|

Roggenkamp

Auskunft an den Betroffenen | § 19 BDSG

kann. In derartigen Fällen kann auch Art. 19 Abs. 4 GG einen Informationsanspruch begründen1.

II. Auskunftsanspruch (Abs. 1) Ausweislich Abs. 1 sind dem Betroffenen i.S.d. § 3 Abs. 1 auf Antrag, (1.) über 5 die zu seiner Person gespeicherten Daten, auch soweit sie sich auf die Herkunft dieser Daten beziehen, (2.) über die Empfänger oder Kategorien von Empfängern, an die die Daten weitergegeben werden, und (3.) über den Zweck der Speicherung Auskunft zu erteilen. Der Auskunftsanspruch ist unabdingbares Recht2. Die Auskunftserteilung ist, 6 wie auch die Ablehnung der Auskunftserteilung, als Verwaltungsakt und nicht als Realakt einzustufen3. Das folgt aus § 19 Abs. 5, der explizit von einer „Entscheidung“ spricht, welche einer Ablehnung der Auskunftserteilung (und damit notwendigerweise auch der Gewährung der Auskunft) vorausgeht. Richtige Klageart bei Versagung der Auskunft ist dementsprechend die Verpflichtungsklage4. Im Fall der Untätigkeit der um Auskunft ersuchten Stelle kann Untätigkeitsklage (§ 75 VwGO) erhoben werden5. 1. Auskunft über die zur Person gespeicherten Daten (Abs. 1 Nr. 1) Es besteht ein Recht auf Auskunft bezüglich aller zur Person des Betroffenen 7 (noch) gespeicherten Daten. Sowohl die in automatisierten und in nicht-automatisierten als auch die in Akten gespeicherten Daten sind umfasst und zwar unabhängig davon, ob dem Betroffenen die Speicherung bereits bekannt ist oder ob die Daten gesperrt sind6. Sind keine personenbezogenen Daten über den Betroffenen gespeichert, ist eine 8 entsprechende Fehlanzeige grundsätzlich ebenfalls mitzuteilen7, um dem Betroffenen entsprechende Klarheit zu verschaffen, vgl. Art. 12 EG-Datenschutzrichtlinie. Ausnahmsweise kann die Negativauskunft verweigert werden, wenn die Information, ob personenbezogene Daten über eine Person gespeichert wer1 BVerfG v. 10.3.2008 – 1 BvR 2388/03 – Datensammlung über steuerliche Auslandsbeziehungen, NJW 2008, 2099 (2100), Rz. 67. 2 Bergmann/Möhrle/Herb, § 19 BDSG Rz. 61. 3 A.A. Bergmann/Möhrle/Herb, § 19 BDSG Rz. 47 – nur Ablehnung ist Verwaltungsakt, vgl. aber auch ebda, Rz. 62. 4 Simitis/Mallmann, § 19 BDSG Rz. 124; vgl. zum Auskunftsanspruch nach § 15 BVerfSchG BVerwG v. 28.11.2007 – 6 A 2/07, NVwZ 2008, 580 sowie BVerwG v. 24.3.2010 – 6 A 2/09, AfP 2010, 410. 5 Simitis/Mallmann, § 19 BDSG Rz. 124. 6 Gola/Schomerus, § 19 BDSG Rz. 4. 7 Bergmann/Möhrle/Herb, § 19 BDSG Rz. 5.

Roggenkamp

|

473

§ 19 BDSG | Datenverarbeitung der öffentlichen Stellen den, selbst die Ausnahmetatbestände des Abs. 4 (hierzu Rz. 19 ff.) erfüllen würde1. 2. Herkunft der Daten (Abs. 1 Nr. 1 a.E.) 9 Es besteht auch ein Anspruch des Betroffenen zu erfahren, woher die gespeicher-

ten Daten kommen, d.h. bei wem sie erhoben wurden. Nur bei Kenntnis der Herkunft wird er in die Lage versetzt, ggf. weitere Schritte (z.B. Geltendmachung weiterer Ansprüche, Widerlegung falscher Behauptungen) vorzunehmen2. Zur Herkunft der Daten gehört auch die Angabe der Person, die über die personenbezogenen Daten informiert hat3. Die Darlegung eines besonderen Auskunftsinteresses ist auch bezüglich der Herkunft der Daten nicht erforderlich4. 3. Empfänger (Abs. 1 Nr. 2)

10 Die Pflicht zur Auskunftserteilung umfasst auch die Auskunft über die Empfän-

ger (§ 3 Abs. 8) oder Kategorien von Empfängern, an welche die Daten des Betroffenen weitergegeben werden. Aus der Verpflichtung wird gefolgert, dass die Empfänger und Kategorien der Empfänger von der verantwortlichen Stelle gespeichert werden müssen unabhängig davon, ob eine regelmäßige Datenweitergabe (bzw. Übermittlung) stattfindet5. Der Auskunftsanspruch erstreckt sich auch auf das gewählte Übermittlungsmedium bzw. den Übermittlungsweg. Wenn nämlich durch eine unsichere Übermittlung der Zugriff unberechtigter Dritter eröffnet wurde (z.B. bei Übermittlung per einfacher E-Mail, telefonische Auskunft etc.), ist ein Recht des Betroffenen auf künftiges Unterlassen, Löschung und Schadensersatz denkbar6. Der Einwand, der Übermittlungsweg sei nicht aktenkundig gemacht worden, führt nicht zu einem Entfallen des Auskunftsanspruchs7. 4. Zweck der Speicherung (Abs. 1 Nr. 3)

11 Damit der Betroffene die Möglichkeit hat zu überprüfen, ob seine Daten recht-

mäßig gespeichert werden, ist auch die Kenntnis des Zwecks der Speicherung

1 2 3 4 5 6

Vgl. Weichert, NVwZ 2007, 1004 (1007). Simitis/Mallmann, § 19 BDSG Rz. 25; Gola/Schomerus, § 19 BDSG Rz. 5. BVerwG v. 3.9.1991 – 1 C 48/88, NJW 1992, 451 (452). Polenz, NJW 2009, 1921 (1926); BVerwG v. 3.9.1991 – 1 C 48/88, NJW 1992, 451 (452). Gola/Schomerus, § 19 BDSG Rz. 6; Simitis/Mallmann, § 19 BDSG Rz. 26. Vgl. BSG v. 13.11.2012 – B 1 KR 13/12 R, NVwZ 2013, 526 (527) – für einen Auskunftsanspruch nach § 83 Abs. 1 SGB X. 7 BSG v. 13.11.2012 – B 1 KR 13/12 R, NVwZ 2013, 526 (528) unter Hinweis darauf, dass die fehlende Dokumentation einen Verstoß gegen das Gebot des effektiven Rechtschutzes darstelle.

474

|

Roggenkamp

Auskunft an den Betroffenen | § 19 BDSG

notwendig. Dementsprechend ist dieser ebenfalls – unter Nennung der Rechtsgrundlage1 – mitzuteilen. 5. Voraussetzungen (Abs. 1 Satz 2 und 3) Voraussetzung für die Auskunftserteilung ist die Antragstellung des Betroffenen 12 bei der verantwortlichen Stelle. Eine bestimmte Form der Antragstellung ist nicht vorgesehen. Ein mündlicher Antrag ist – auch per Telefon – also grundsätzlich ausreichend2. In dem Umfang, in dem dies erforderlich ist, ist zum Schutz des Betroffenen die Authentizität der Anfrage zu überprüfen. Es muss ausgeschlossen werden können, dass die Auskunft gegenüber einer anderen Person als dem Betroffenen, einem gesetzlichen Vertreter oder einem hinreichend Bevollmächtigten erfolgt3. In letztem Fall ist die Bevollmächtigung zur Auskunftseinholung zweifelsfrei festzustellen, was auch durch Nachfrage beim Betroffenen geschehen kann4. Dem Betroffenen obliegt es nach Abs. 1 Satz 2 grundsätzlich im Antrag die Art 13 der personenbezogenen Daten, über die Auskunft erteilt werden soll, näher zu bezeichnen. Ausreichend ist eine grob umrissene Angabe des Zusammenhangs in dem die Daten stehen, z.B. „meine Gesundheitsdaten“5. Häufig wird sich der Zusammenhang bereits aus dem Zuständigkeitsbereich der konkreten Stelle ergeben, die um Auskunft ersucht wurde. Bei Unklarheiten ist der Auskunftsbegehrende um Konkretisierung zu bitten. Für den Fall, dass die personenbezogenen Daten nicht automatisiert oder in au- 14 tomatisierten Dateien gespeichert sind – das betrifft insbesondere Fälle, in denen lediglich Papierakten geführt werden – muss der Betroffene Angaben machen, die das Auffinden der Daten ermöglichen. Die Einschränkung ist restriktiv zu handhaben. Sie hat den Zweck den Aufwand, der mit dem Auffinden der gewünschten Daten verbunden ist, auf verhältnismäßiges Maß zu reduzieren6. Lassen sich die den Betroffenen betreffenden Akten mit Hilfe vorhandener elektronischer Systeme auch ohne weitere Angaben (z.B. Aktenzeichen) durch Eingabe des Namens auffinden, darf das Auskunftsersuchen nicht pauschal unter Hinweis auf das Fehlen der Angaben zurückgewiesen werden. Die verantwortliche Stelle muss den Betroffenen bei Fehlen konkreter Angaben darauf hinweisen, dass und welche weiteren Informationen sie benötigt, um die gewünschte Auskunft mit verhältnismäßigem Aufwand erteilen zu können. Das im Rahmen der Interessenabwägung gegen den Aufwand abzuwägende Informationsinte1 2 3 4 5 6

Bergmann/Möhrle/Herb, § 19 BDSG Rz. 8. Bergmann/Möhrle/Herb, § 19 BDSG Rz. 9. Vgl. Simitis/Mallmann, § 19 BDSG Rz. 32; Taeger/Gabel/Mester, § 19 BDSG Rz. 8. Simitis/Mallmann, § 19 BDSG Rz. 34. Simitis/Mallmann, § 19 BDSG Rz. 37; Bergmann/Möhrle/Herb, § 19 BDSG Rz. 12. Simitis/Mallmann, § 19 BDSG Rz. 47.

Roggenkamp

|

475

§ 19 BDSG | Datenverarbeitung der öffentlichen Stellen resse des Betroffenen ist konkret-individuell mit Blick auf den Verwendungskontext zu bestimmen1. Um die Prüfung der Verhältnismäßigkeit zu ermöglichen, ist, bei fehlender Offenkundigkeit und hohem Auskunftsaufwand, vor der Auskunftsverweigerung beim Betroffenen das hinter der Auskunft stehende Interesse zu erfragen2. Eine generelle Verpflichtung zur Darlegung des Interesses besteht auf Seiten des Antragstellers aber nicht. Eine Begründung ist grundsätzlich nicht erforderlich3. 6. Verfahren und Form der Auskunftserteilung (Abs. 1 Satz 4) 15 Die verantwortliche Stelle bestimmt das Verfahren und die Form der Auskunfts-

erteilung nach pflichtgemäßem Ermessen. Gegenstand der in diesem Zusammenhang stehenden Überlegungen müssen dabei insbesondere auch Aspekte der Datensicherheit (§ 9) sein. Eine Übermittlung der gewünschten Informationen per einfacher (unverschlüsselter) E-Mail ist somit ausgeschlossen, wenn nicht ausnahmsweise eine entsprechende Einwilligung des Betroffenen vorliegt4. Vielmehr kann bei sensiblen Informationen eine Übermittlung per Einschreiben angezeigt sein5. Die Auskunft muss für den Betroffenen verständlich und nachvollziehbar sein. Nicht selbsterklärende Ausdrücke u.ä. sind zu erläutern6.

16 Die Auskunft hat unverzüglich zu erfolgen. Absolutes Maximum soll eine Frist

von zwei Wochen sein7. Eine derart lange Frist ist allerdings nur mit besonderen Umständen, z.B. der besonderen Schwierigkeit der Zusammenstellung der Informationen oder einem hohen Krankenstand zu rechtfertigen8. Aus dem hohen Stellenwert des Auskunftsrechts folgt die Verpflichtung der verantwortlichen Stelle die organisatorisch-notwendigen Vorkehrungen (insbesondere Klärung der Zuständigkeiten) zu treffen, um den Prozess der Auskunftserteilung zeitlich zu optimieren.

III. Ausnahmen von der Auskunftserteilung (Abs. 2) 17 Sind die de facto noch gespeicherten personenbezogenen Daten nur noch des-

halb gespeichert, weil sie auf Grund gesetzlicher, satzungsmäßiger oder vertrag-

1 2 3 4 5 6 7 8

Simitis/Mallmann, § 19 BDSG Rz. 45 f. Taeger/Gabel/Mester, § 19 BDSG Rz. 17. BVerwG v. 3.9.1991 – 1 C 48/88, NJW 1992, 451 (452). Vgl. VG Berlin v. 24.5.2011 – 1 K 133.10, juris. Gola/Schomerus, § 19 BDSG Rz. 15. Gola/Schomerus, § 19 BDSG Rz. 15. Däubler/Klebe/Wedde/Weichert/Wedde, § 19 BDSG Rz. 12. Offenbar a.A. Bergmann/Möhrle/Herb, § 19 BDSG Rz. 15c, die eine Frist von zwei Wochen als zu kurz bemessen ansehen und stattdessen vier Wochen als Regel und entsprechend § 75 VwGO drei Monate als absolute Grenze ansehen.

476

|

Roggenkamp

Auskunft an den Betroffenen | § 19 BDSG

licher Aufbewahrungspflichten nicht gelöscht werden dürfen (Alt. 1) oder weil sie zu Zwecken der Datensicherung (z.B. Sicherungskopien) oder Datenschutzkontrolle (d.h. Daten, die bei einem behördlichen Datenschutzbeauftragten oder der Aufsichtsbehörde vorliegen1) vorgehalten werden (Alt. 2), ist ein Absehen von der Auskunftserteilung möglich. Weitere Voraussetzung für eine Versagung des Auskunftsrechts ist es aber, dass eine Auskunftserteilung einen unverhältnismäßigen Aufwand erfordern würde. Es ist eine Abwägung mit dem Informationsinteresse des Betroffenen vorzunehmen. Nur wenn nach alledem eine substantiierte Begründung, warum der Aufwand unverhältnismäßig ist, möglich ist, darf der Antrag abgelehnt werden2.

IV. Auskunftsbeschränkung bei Übermittlung an Sicherheitsbehörden (Abs. 3) Sind personenbezogene Daten an eine Verfassungsschutzbehörde, den BND, 18 den MAD oder an andere Behörden des BMV übermittelt worden, ist die Tatsache, dass eine entsprechende Übermittlung stattgefunden hat, nicht mitzuteilen, wenn die jeweilige Empfängerbehörde dem nicht zugestimmt hat. Durch diese Auskunftsbeschränkung soll erreicht werden, dass der Betroffene nicht „durch die Hintertür“ von einer Abfrage durch eine der genannten Sicherheitsbehörden erfährt3. Alle sonstigen im Rahmen des Auskunftsanspruchs mitzuteilenden Tatsachen sind von der Beschränkung nicht erfasst.

V. Unterbleiben der Auskunftserteilung bei Geheimhaltungsinteresse (Abs. 4) Ausnahmsweise hat die Auskunftserteilung zu unterbleiben, wenn das Interesse 19 des Betroffenen an der Auskunftserteilung bei Vorliegen und nach Abwägung mit einer in den Abs. 4 Nr. 1–3 genannten öffentlichen Geheimhaltungsinteressen zurücktreten muss. Diese Interessenabwägung muss, unter Anlegung eines strengen Maßstabs, im konkreten Einzelfall und unter Berücksichtigung des konkreten Auskunftsinteresses des Betroffenen erfolgen4. 1 Gola/Schomerus, § 19 BDSG Rz. 20. 2 Vgl. Däubler/Klebe/Wedde/Weichert/Wedde, § 19 BDSG Rz. 16 3 Gola/Schomerus, § 19 BDSG Rz. 22; Däubler/Klebe/Wedde/Weichert/Wedde, § 19 BDSG Rz. 19. 4 Däubler/Klebe/Wedde/Weichert/Wedde, § 19 BDSG Rz. 29; das Interesse an der Preisgabe der Identität eines Informanten kann z.B. dann das öffentliche Interesse an der Geheimhaltung überwiegen, wenn der „Informant“ wider besseren Wissens oder leichtfertig unwahre Tatsachen behauptet hat, BVerwG v. 3.9.1991 – 1 C 48/88, NJW 1992, 451 (452 f.).

Roggenkamp

|

477

§ 19 BDSG | Datenverarbeitung der öffentlichen Stellen 1. Gefährdung ordnungsgemäßer Aufgabenerfüllung (Nr. 1) 20 Die Sicherung der ordnungsgemäßen Aufgabenerfüllung staatlicher Stellen kann

eine Einschränkung des Auskunftsrechts rechtfertigen1. Der erste Ausnahmetatbestand ist dann erfüllt, wenn die Auskunft selbst die ordnungsgemäße Erfüllung der in der Zuständigkeit der verantwortlichen Stelle liegenden Aufgaben gefährden würde. Die (konkrete) Gefährdung muss also unmittelbare Folge der Auskunft selbst sein2.

2. Gefährdung der öffentlichen Sicherheit oder Ordnung oder Nachteiligkeit für das Bundes- oder Landeswohl (Nr. 2) 21 Ein Geheimhaltungsinteresse kann auch dann bestehen, wenn die Auskunft die

öffentliche Sicherheit oder Ordnung gefährden würde oder Nachteile für das Wohl des Bundes oder eines Landes die Folge wären. Eine besondere Beschränkung, wie sie z.B. in § 13 Abs. 2 Nr. 6 oder § 14 Nr. 6 mit dem Erfordernis der „erheblichen“ Nachteile und dem Fehlen des Bezugs auf die öffentliche Ordnung3 vorgenommen wurde, hat der Gesetzgeber nicht vorgenommen. Unter Berücksichtigung des hohen Stellenwerts des durch den Auskunftsanspruch geschützten Rechtsguts der informationellen Selbstbestimmung, kann der wohl herrschenden Literaturmeinung4 darin beigepflichtet werden, dass auch hier ein strenger Maßstab anzulegen ist und zumindest eine gewisse Erheblichkeit der Gefährdungen oder Nachteile verlangt werden muss. Diese können aber auch für von der öffentlichen Sicherheit erfasste Rechtsgüter gegeben sein, die nicht der allgemeinen Definition der „erheblichen“ Gefahr5 unterfallen oder die „nur“ für die öffentliche Ordnung bestehen.

22 Nachteile für das Wohl des Bundes oder Landes sind dann anzunehmen, wenn

wesentliche Interessen negativ berührt werden (z.B. Störung der inneren Sicherheit, Störung der freundschaftlichen Beziehungen zu anderen Staaten oder internationalen Organisationen). Fiskalische Nachteile sind nur dann relevante Nachteile für das Wohl eines Staates, wenn sie durch ihr Gewicht die Funktions-

1 BVerfG v. 10.3.2008 – 1 BvR 2388/03 – Datensammlung über steuerliche Auslandsbeziehungen, NJW 2008, 2099, Rz. 77. 2 BVerwG v. 3.9.1991 – 1 C 48/88, NJW 1992, 451 (452); Däubler/Klebe/Wedde/Weichert/ Wedde, § 19 BDSG Rz. 23. 3 Instruktiv zum Begriff Fechner, JuS 2003, 734. 4 Däubler/Klebe/Wedde/Weichert/Wedde, § 19 BDSG Rz. 25; Gola/Schomerus, § 19 BDSG Rz. 27; Taeger/Gabel/Mester, § 19 BDSG Rz. 33. 5 Also „eine Gefahr für ein bedeutsames Rechtsgut wie Bestand des Staates, Leben, Gesundheit, Freiheit, nicht unwesentliche Vermögenswerte sowie andere strafrechtlich geschützte Güter“ (vgl. z.B. § 2 Nr. 1c) Nds.SOG).

478

|

Roggenkamp

Auskunft an den Betroffenen | § 19 BDSG

fähigkeit des Bundes oder des Landes oder seine wirtschaftliche Leistungsfähigkeit insgesamt in Frage stellen1. 3. Rechtliche oder faktische Geheimhaltungsbedürftigkeit (Nr. 3) Schließlich kann die Geheimhaltungsbedürftigkeit auch aus den Daten bzw. der 23 Tatsache ihrer Speicherung selbst folgen. Das ist nach Nr. 3 der Fall, wenn dies in einer Rechtsvorschrift festgelegt wurde oder wenn die Geheimhaltungsbedürftigkeit immanent ist, was insbesondere aus überwiegenden berechtigten Interessen eines Dritten folgen kann. In letzterem Fall ist das Auskunftsinteresse gegen das berechtigte Interesse des Dritten (hierzu die Komm. zu § 16 BDSG Rz. 6) abzuwägen. Überwiegt letzteres, muss die Auskunft unterbleiben.

VI. Begründung der Verweigerung (Abs. 5) Grundsätzlich ist die Ablehnung einer Auskunftserteilung, die einen belasten- 24 den Verwaltungsakt darstellt (s.a. Rz. 6)2, zu begründen, was schon aus Abs. 5 Satz 1 e contrario folgt3. Dabei sind sowohl die rechtlichen als auch tatsächlichen Gründe, auf die die Entscheidung gestützt wird, mitzuteilen4. Es ist also nicht ausreichend die Auskunft z.B. „unter Hinweis auf § 19 Abs. 4 Nr. 2 BDSG“ zu verweigern oder lediglich den Gesetzestext zu paraphrasieren. Soweit wie möglich sind auch die Tatsachen darzulegen, die zu der ablehnenden Entscheidung geführt haben. Ausnahmsweise kann nach Abs. 5 Satz 1 eine Begründung entfallen, wenn und 25 soweit bereits durch die Mitteilung der Gründe, auf die die Entscheidung gestützt wird, der mit der Auskunftsverweigerung verfolgte Zweck gefährdet würde. In diesen Fällen reicht eine generelle Versagungsbegründung wie z.B. „Über laufende Ermittlungen wird grundsätzlich keine Auskunft erteilt“ aus5 und ist auch geboten, um Rückschlüsse des Betroffenen auf gespeicherte Daten zu verhindern6. Nach Abs. 5 Satz 2 ist der Betroffene bei Verweigerung der Auskunft nach 26 Abs. 5 Satz 1 darauf hinzuweisen, dass er sich an die oder den BfDI wenden kann. Das gilt über den Wortlaut des Abs. 5 Satz 2 hinaus auch für Fälle, in denen die Auskunftsverweigerung keiner Begründung bedarf7. 1 So zu § 99 VwGO Schoch/Schmidt-Aßmann/Pietzner/Rudisile, VwGO, 28. El. 2015, § 99 VwGO Rz. 16. 2 Vgl. BVerwG v. 28.11.2007 – 6 A 2/07, NVwZ 2008, 580 (580); Gola/Schomerus, § 19 BDSG Rz. 31; Bergmann/Möhrle/Herb, § 19 BDSG Rz. 47. 3 Bergmann/Möhrle/Herb, § 19 BDSG Rz. 47. 4 Gola/Schomerus, § 19 BDSG Rz. 31. 5 Gola/Schomerus, § 19 BDSG Rz. 32. 6 Gola/Schomerus, § 19 BDSG Rz. 31 f.; Taeger/Gabel/Mester, § 19 BDSG Rz. 35. 7 Bergmann/Möhrle/Herb, § 19 BDSG Rz. 50.

Roggenkamp

|

479

§ 19 BDSG | Datenverarbeitung der öffentlichen Stellen VII. Auskunft an BfDI (Abs. 6) 27 Wird die Auskunft verweigert, kann der Betroffene nach Abs. 6 verlangen, dass

die Auskunft der oder dem BfDI erteilt wird. Die Möglichkeit der Einschaltung der oder des BfDI kann zwar keinen vollwertigen Ausgleich für die Erschwerung der Wahrung des aus dem Recht auf informationelle Selbstbestimmung folgenden Rechts auf Auskunft geben. Sie bedeutet aber eine Minderung der aus der Verweigerung der Auskunft folgenden Belastung des Betroffenen1. Bevor die öffentliche Stelle die Auskunft der oder dem BfDI gegenüber erteilt, muss sie jedoch über die jeweils zuständige oberste Bundesbehörde eine Freigabe im Einzelfall einholen. Diese ist zu versagen, wenn im konkreten Fall die Auskunft an die oder den BfDI die Sicherheit des Bundes oder eines Landes gefährden würde. Denkbare Fälle sind bei dieser engen Einschränkung rar, die Nichtfreigabe dürfte der krasse Ausnahmefall sein2. Die oder der BfDI überprüft die Angelegenheit und wirkt bei einem Verstoß darauf hin, dass Abhilfe geschaffen wird3. Über die Möglichkeit der Diskussion mit der verantwortlichen Stelle geht die Befugnis nicht hinaus. Bleibt diese bei ihrer Auffassung, ist dies zu respektieren4.

28 Eine Einschaltung der oder des BfDI soll nicht die Ausforschung ermöglichen5.

Das Ergebnis der Überprüfung ist dem Betroffenen daher so mitzuteilen, dass der Sinn und Zweck der Auskunftsverweigerung nicht ad absurdum geführt wird und der Betroffene durch die oder den BfDI Rückschlüsse auf die bei der verantwortlichen Stelle gespeicherten Daten ziehen kann.

VIII. Unentgeltlichkeit (Abs. 7) 29 Die Auskunft hat unentgeltlich zu erfolgen. Das bedeutet, dass auch Porto- oder

Kopierkosten von der verantwortlichen Stelle getragen werden müssen6. Ist die verantwortliche Stelle für den Betroffenen leicht erreichbar, so kann Akteneinsicht angeboten werden, um Kosten und Aufwand für die verantwortliche Stelle gering zu halten7. Da Sinn und Zweck der Norm die Erleichterung der Rechtswahrung für den Betroffenen ist8, besteht diese Möglichkeit nur, wenn hieraus für den Betroffenen kein nennenswerter Zeit- und Kostenaufwand resultiert.

1 So für den Fall des § 15 Abs. 4 Satz 3 und 4 BVerfSchG das OVG Münster v. 17.6.1994 – 21 A 3434/93, NWVBl 1994, 470. 2 So auch Gola/Schomerus, § 19 BDSG Rz. 33. 3 Taeger/Gabel/Mester, § 19 BDSG Rz. 38. 4 Gola/Schomerus, § 19 BDSG Rz. 33. 5 Vgl. BT-Drucks. 11/4306, S. 46. 6 Bergmann/Möhrle/Herb, § 19 BDSG Rz. 60; Taeger/Gabel/Mester, § 19 BDSG Rz. 39. 7 Vgl. Taeger/Gabel/Mester, § 19 BDSG Rz. 39; Bergmann/Möhrle/Herb, § 19 BDSG Rz. 60 und Rz. 15a. 8 BT-Drucks. 11/4306, S. 47.

480

|

Roggenkamp

Benachrichtigung | § 19a BDSG

§ 19a Benachrichtigung (1) 1Werden Daten ohne Kenntnis des Betroffenen erhoben, so ist er von der Speicherung, der Identität der verantwortlichen Stelle sowie über die Zweckbestimmungen der Erhebung, Verarbeitung oder Nutzung zu unterrichten. 2Der Betroffene ist auch über die Empfänger oder Kategorien von Empfängern von Daten zu unterrichten, soweit er nicht mit der Übermittlung an diese rechnen muss. 3Sofern eine Übermittlung vorgesehen ist, hat die Unterrichtung spätestens bei der ersten Übermittlung zu erfolgen. (2) 1Eine Pflicht zur Benachrichtigung besteht nicht, wenn 1. der Betroffene auf andere Weise Kenntnis von der Speicherung oder der Übermittlung erlangt hat, 2. die Unterrichtung des Betroffenen einen unverhältnismäßigen Aufwand erfordert oder 3. die Speicherung oder Übermittlung der personenbezogenen Daten durch Gesetz ausdrücklich vorgesehen ist. 2Die verantwortliche Stelle legt schriftlich fest, unter welchen Voraussetzungen von einer Benachrichtigung nach Nummer 2 oder 3 abgesehen wird. (3) § 19 Abs. 2 bis 4 gilt entsprechend. I. Allgemeines . . . . . . . . . . . . . . II. Benachrichtigungspflicht (Abs. 1) . . . . . . . . . . . . . . . . . .

1

III. Ausnahmen (Abs. 2, 3) . . . . . .

6

2

Schrifttum: Siehe § 19 BDSG.

I. Allgemeines Die in § 19a niedergelegte Informations- und Benachrichtigungspflicht bei Da- 1 tenerhebung ohne Kenntnis des Betroffenen flankiert § 4 Abs. 3 (s.a. Komm. zu § 4 BDSG Rz. 23 ff.) für Fälle, in denen Daten ausnahmsweise nicht offen oder nicht beim Betroffenen selbst erhoben werden, er also von der Datenerhebung nichts weiß oder nichts erfährt1. Mit § 19a wird Art. 11 EG-Datenschutzrichtlinie umgesetzt. Es handelt sich um eine Ergänzung des Auskunftsrechts des Betroffenen. Das Grundrecht auf informationelle Selbstbestimmung, bzw. dessen Ausübung ist nur möglich, wenn der Betroffene weiß, dass, von wem und wel1 Bergmann/Möhrle/Herb, § 19a BDSG Rz. 4; zur Benachrichtigungspflicht bei Videoüberwachung s. die Komm. zu § 6b BDSG Rz. 29.

Roggenkamp

|

481

§ 19a BDSG | Datenverarbeitung der öffentlichen Stellen che Daten über ihn erhoben wurden. Ohne diese Kenntnis ist es nicht möglich, die sog. Betroffenenrechte (also Auskunft, Datenberichtigung, Datenlöschung etc.) auszuüben1.

II. Benachrichtigungspflicht (Abs. 1) 2 Durch die Benachrichtigung soll der Betroffene, dessen Daten ohne seine Kennt-

nis erhoben wurden, in die Lage versetzt werden, seinen Auskunftsanspruch geltend zu machen2. Die Pflicht wird nicht wie bei § 4 Abs. 3 bereits durch die Erhebung, sondern erst durch die Speicherung ausgelöst3. Findet keine Speicherung statt, besteht auch keine Benachrichtigungsverpflichtung4.

3 Der Wortlaut des Abs. 1 Satz 1 stellt (im Gegensatz zu § 33 Abs. 1 Satz 1) nicht

auf eine erstmalige Erhebung oder Speicherung ab. Daraus wird gefolgert, dass zumindest dann, wenn die Speicherung weiterer Daten nicht in engem sachlichen Zusammenhang mit der Speicherung von Daten, über die bereits informiert wurde, steht, eine neue Benachrichtigung zu erfolgen hat5.

4 Die Benachrichtigung hat, auch wenn – außer für den Fall der ersten Übermitt-

lung nach Abs. 1 Satz 3 – kein Zeitpunkt angegeben ist, unverzüglich nach Speicherung zu erfolgen, um dem Interesse des Betroffenen in ausreichendem Umfang Rechnung zu tragen6.

5 Inhaltlich besteht die Verpflichtung zunächst von der Speicherung sowie über

die Identität der verantwortlichen Stelle zu unterrichten. Erforderlich ist die Mitteilung des Namens und der vollen Anschrift, nicht lediglich eine Postfachadresse7. Außerdem ist der Betroffene über die Zweckbestimmung der Erhebung, Verarbeitung oder Nutzung zu informieren (Abs. 1 Satz 1 a.E.). Eine Unterrichtung über die Empfänger bzw. Kategorien von Empfängern von Daten muss nach Abs. 1 Satz 2 immer dann erfolgen, wenn der Betroffene nicht mit einer Übermittlung an diese rechnen muss. Das bedeutet, dass alle Empfänger angegeben werden müssen, die dem Betroffenen nicht als Empfänger bekannt sind oder bekannt sein müssten8. Hier ist zugunsten des Betroffenen eine restriktive Handhabung geboten. Im Zweifel hat eine Unterrichtung zu erfolgen.

1 2 3 4 5 6 7 8

Vgl. Gola/Schomerus, § 19a BDSG Rz. 1; Simitis/Mallmann, § 19a BDSG Rz. 3. Simitis/Mallmann, § 19a BDSG Rz. 10. Gola/Schomerus, § 19a BDSG Rz. 3; Bergmann/Möhrle/Herb, § 19a BDSG Rz. 6. Simitis/Mallmann, § 19a BDSG Rz. 11; Bergmann/Möhrle/Herb, § 19a BDSG Rz. 6. Simitis/Mallmann, § 19a BDSG Rz. 12; Taeger/Gabel/Mester, § 19a BDSG Rz. 8. Gola/Schomerus, § 19a BDSG Rz. 4. Bergmann/Möhrle/Herb, § 19a BDSG Rz. 9. Gola/Schomerus, § 19a BDSG Rz. 5.

482

|

Roggenkamp

Benachrichtigung | § 19a BDSG

III. Ausnahmen (Abs. 2, 3) Eine Benachrichtigungsverpflichtung besteht nicht, wenn einer der drei in 6 Abs. 2 genannten, eng und im Zweifel zugunsten des Betroffenen auszulegenden1, Ausnahmegründe vorliegt. Dementsprechend kann nach Nr. 1 von einer Benachrichtigung abgesehen wer- 7 den, wenn der Betroffene bereits auf anderem Wege Kenntnis von der Speicherung oder Übermittlung erlangt hat. In diesem Fall wird die Benachrichtigung selbst sinnlos, weil der Betroffene ja bereits die Möglichkeit hat, seine Rechte geltend zu machen. Da im Streitfall die Kenntnis nachgewiesen werden muss, ist eine Benachrichtigung im Zweifel sinnvoll2. Erfordert die Benachrichtigung einen unverhältnismäßigen Aufwand, ist sie 8 nach Nr. 2 ebenfalls entbehrlich. Hier ist im konkreten Einzelfall der Aufwand gegen das Informationsinteresse abzuwägen. Im Fall eines Absehens von einer Benachrichtigung als Ergebnis des Abwägungsprozesses, ist dies für Dritte nachvollziehbar und substantiiert zu dokumentieren (Abs. 2 Satz 2). Da die Dokumentationspflicht die Vorgabe des Art. 11 Abs. 2 EG-Datenschutzrichtlinie umsetzt, nach welcher „geeignete Garantien“ verlangt werden, ist der behördliche Datenschutzbeauftragte bei der Dokumentationserstellung zu beteiligen3. Ist die Speicherung oder Übermittlung der Daten des Betroffenen durch ein Ge- 9 setz ausdrücklich vorgesehen, kann eine Benachrichtigung ausweislich Nr. 3 ebenfalls unterbleiben. Hier wird davon ausgegangen, dass der Betroffene die gesetzliche Regelung kennt (bzw. kennen kann) und dementsprechend weiß (bzw. wissen kann), dass eine Speicherung oder Übermittlung im Rahmen des Möglichen ist4. Auch hier hat eine für Dritte nachvollziehbare Dokumentation zu erfolgen, wenn von einer Benachrichtung abgesehen wird. Nach Abs. 3 gilt § 19 Abs. 2–4 entsprechend. Das bedeutet, dass eine Benach- 10 richtigung auch dann unterbleiben kann, wenn eine Auskunft nach den dort genannten Voraussetzungen unterbleiben müsste oder verweigert werden könnte (s. Komm. zu § 19 BDSG Rz. 17 ff.).

1 2 3 4

Bergmann/Möhrle/Herb, § 19a BDSG Rz. 14. Bergmann/Möhrle/Herb, § 19a BDSG Rz. 15. Vgl. Bergmann/Möhrle/Herb, § 19a BDSG Rz. 18. Gola/Schomerus, § 19a BDSG Rz. 9; Bergmann/Möhrle/Herb, § 19a BDSG Rz. 16.

Roggenkamp

|

483

§ 20 BDSG | Datenverarbeitung der öffentlichen Stellen

§ 20 Berichtigung, Löschung und Sperrung von Daten; Widerspruchsrecht (1) 1Personenbezogene Daten sind zu berichtigen, wenn sie unrichtig sind. festgestellt, dass personenbezogene Daten, die weder automatisiert verarbeitet noch in nicht automatisierten Dateien gespeichert sind, unrichtig sind, oder wird ihre Richtigkeit von dem Betroffenen bestritten, so ist dies in geeigneter Weise festzuhalten. (2) Personenbezogene Daten, die automatisiert verarbeitet oder in nicht automatisierten Dateien gespeichert sind, sind zu löschen, wenn 1. ihre Speicherung unzulässig ist oder 2. ihre Kenntnis für die verantwortliche Stelle zur Erfüllung der in ihrer Zuständigkeit liegenden Aufgaben nicht mehr erforderlich ist. (3) An die Stelle einer Löschung tritt eine Sperrung, soweit 1. einer Löschung gesetzliche, satzungsmäßige oder vertragliche Aufbewahrungsfristen entgegenstehen, 2. Grund zu der Annahme besteht, dass durch eine Löschung schutzwürdige Interessen des Betroffenen beeinträchtigt würden, oder 3. eine Löschung wegen der besonderen Art der Speicherung nicht oder nur mit unverhältnismäßig hohem Aufwand möglich ist. (4) Personenbezogene Daten, die automatisiert verarbeitet oder in nicht automatisierten Dateien gespeichert sind, sind ferner zu sperren, soweit ihre Richtigkeit vom Betroffenen bestritten wird und sich weder die Richtigkeit noch die Unrichtigkeit feststellen lässt. (5) 1Personenbezogene Daten dürfen nicht für eine automatisierte Verarbeitung oder Verarbeitung in nicht automatisierten Dateien erhoben, verarbeitet oder genutzt werden, soweit der Betroffene dieser bei der verantwortlichen Stelle widerspricht und eine Prüfung ergibt, dass das schutzwürdige Interesse des Betroffenen wegen seiner besonderen persönlichen Situation das Interesse der verantwortlichen Stelle an dieser Erhebung, Verarbeitung oder Nutzung überwiegt. 2Satz 1 gilt nicht, wenn eine Rechtsvorschrift zur Erhebung, Verarbeitung oder Nutzung verpflichtet. (6) Personenbezogene Daten, die weder automatisiert verarbeitet noch in einer nicht automatisierten Datei gespeichert sind, sind zu sperren, wenn die Behörde im Einzelfall feststellt, dass ohne die Sperrung schutzwürdige Interessen des Betroffenen beeinträchtigt würden und die Daten für die Aufgabenerfüllung der Behörde nicht mehr erforderlich sind. (7) Gesperrte Daten dürfen ohne Einwilligung des Betroffenen nur übermittelt oder genutzt werden, wenn 2Wird

484

|

Roggenkamp

Berichtigung, Löschung und Sperrung; Widerspruchsrecht | § 20 BDSG

1. es zu wissenschaftlichen Zwecken, zur Behebung einer bestehenden Beweisnot oder aus sonstigen im überwiegenden Interesse der verantwortlichen Stelle oder eines Dritten liegenden Gründen unerlässlich ist und 2. die Daten hierfür übermittelt oder genutzt werden dürften, wenn sie nicht gesperrt wären. (8) Von der Berichtigung unrichtiger Daten, der Sperrung bestrittener Daten sowie der Löschung oder Sperrung wegen Unzulässigkeit der Speicherung sind die Stellen zu verständigen, denen im Rahmen einer Datenübermittlung diese Daten zur Speicherung weitergegeben wurden, wenn dies keinen unverhältnismäßigen Aufwand erfordert und schutzwürdige Interessen des Betroffenen nicht entgegenstehen. (9) § 2 Abs. 1 bis 6, 8 und 9 des Bundesarchivgesetzes ist anzuwenden. I. II. III. IV. V. VI. VII.

Allgemeines . . . . . . . . . . . . Berichtigungspflicht (Abs. 1) Löschungspflicht (Abs. 2) . . Sperrung (Abs. 3) . . . . . . . . Non-liquet-Fälle (Abs. 4) . . . Widerspruchsrecht (Abs. 5) . Sperrung in Akten (Abs. 6) .

. . . . . . .

1 2 7 11 15 16 21

VIII. Übermittlung/Nutzung gesperrter Daten (Abs. 7) . . . . IX. Nachbenachrichtigungspflicht (Abs. 8) . . . . . . . . . . . . . . . . . X. Angebot an das Bundesarchiv (Abs. 9) . . . . . . . . . . . . . . . . . XI. Rechtsstreitigkeiten . . . . . . . .

24 30 33 34

Schrifttum: Arbeitsgruppe „Elektronische Verwaltungsakte“, „Anforderungen der Verwaltungsgerichtsbarkeit an die Führung elektronischer Verwaltungsakten“ – eine Orientierungshilfe, Jur-PC 2011, Web-Dok. 66/2011; Grundmann/Greve, Löschung und Vernichtung von Akten, NVwZ 2015, 1726; Kilian, Medizinische Forschung und Datenschutzrecht – Stand und Entwicklung in der Bundesrepublik Deutschland und in der Europäischen Union, NJW 1998, 787; Nolte, Zum Recht auf Vergessen im Internet, ZRP 2011, 236; Riegel, Entfernung und Vernichtung von Vermerken aus der Ausländerakte, NJW 1984, 2194; Weichert, Der Datenschutzanspruch auf Negativauskunft, NVwZ 2007, 1004.

I. Allgemeines Flankierend zum Auskunftsanspruch regelt § 20 die weiteren fundamentalen 1 Rechte des Betroffenen, nämlich die Berichtigung unrichtiger personenbezogener Daten (Abs. 1), die Löschung (Abs. 2) und Sperrung (Abs. 3) von personenbezogenen Daten sowie das Widerspruchsrecht (Abs. 5).

II. Berichtigungspflicht (Abs. 1) In § 20 Abs. 1 Satz 1 ist die Berichtigung unrichtiger personenbezogener Daten 2 geregelt. Aus Art. 2 Abs. 1 GG resultiert nach Auffassung des BVerwG ein „AnRoggenkamp

|

485

§ 20 BDSG | Datenverarbeitung der öffentlichen Stellen spruch des Betroffenen darauf, dass die über ihn gespeicherten Daten richtig und vollständig sind“. Aus diesem folge ein Anspruch auf Berichtigung unrichtiger bzw. unrichtig gewordener Daten, mit der eine entsprechende Amtspflicht der speichernden Stelle korrespondiere1. Im Ergebnis handelt es sich bei § 20 Abs. 1 also weniger um eine Anspruchsgrundlage denn um eine von Amts wegen, also ohne Zutun des Betroffenen zu beachtende Berichtigungsverpflichtung öffentlicher Stellen, die aus jedweder Unrichtigkeit personenbezogener Daten resultiert. Insbesondere muss der Betroffene keinen „Antrag“ auf Berichtigung stellen.2 Erlangt die Behörde – z.B. durch einen entsprechenden Hinweis des Betroffenen – Kenntnis von der Unrichtigkeit, ist sie zur Korrektur verpflichtet3. Bei Untätigkeit der zur Vornahme der Berichtigung verpflichteten Stelle oder Ablehnung (Verwaltungsakt4) kann ggf. Verpflichtungs- bzw. Untätigkeitsklage erhoben werden5. 3 Unrichtig sind personenbezogene Daten immer dann, wenn die aus ihnen ab-

lesbaren Aussagen über die persönlichen oder sachlichen Verhältnisse des Betroffenen nicht im Einklang mit der Realität stehen6. Auch unvollständige Angaben können „unrichtig“ sein, wenn durch die Unvollständigkeit ein unzutreffender Eindruck entsteht7. Es ist irrelevant, wie die Unrichtigkeit zu Stande gekommen ist (z.B. fehlerhafte Dateneingabe, Falschinformationen) und ob es sich um „wesentliche“ Aussagen handelt8. Die Unrichtigkeit ist allerdings im Erhebungskontext zu betrachten. Wurden die Daten (z.B. im Rahmen einer statistischen Erhebung) gesammelt, um den Zustand zu einem gewissen Zeitpunkt zu ermitteln, so kommt es auf die Richtigkeit zu diesem Zeitpunkt, nicht aber auf ggf. zwischenzeitlich veränderte Verhältnisse an9.

4 Die Beweislast für die Richtigkeit der gespeicherten Daten liegt im Streitfall

grundsätzlich bei der verantwortlichen Stelle10. In bestimmten Fällen, namentlich dann, wenn nur der Betroffene Zugriff auf die Daten hat, muss dieser die Unrichtigkeit substantiiert darlegen. Die richtigen Daten sind nur bei einer entsprechenden Verpflichtung zu nennen11. 1 2 3 4 5 6 7 8 9 10 11

BVerwG v. 4.3.2004 – 1 WB 32/03, NVwZ 2004, 626 (627). Simitis/Mallmann, § 20 BDSG Rz. 25. Taeger/Gabel/Mester, § 20 BDSG Rz. 9. Gola/Schomerus, § 20 BDSG Rz. 40. Simitis/Mallmann, § 20 BDSG Rz. 106; Gola/Schomerus, § 20 BDSG Rz. 40; Däubler/ Klebe/Wedde/Weichert/Wedde, § 20 BDSG Rz. 30. BVerwG v. 4.3.2004 – 1 WB 32/03, NVwZ 2004, 626 (627); Taeger/Gabel/Mester, § 20 BDSG Rz. 6; Bergmann/Möhrle/Herb, § 20 BDSG Rz. 14. Bergmann/Möhrle/Herb, § 20 BDSG Rz. 14. BVerwG v. 4.3.2004 – 1 WB 32/03, NVwZ 2004, 626 (627); Taeger/Gabel/Mester, § 20 BDSG Rz. 6. Vgl. Taeger/Gabel/Mester, BDSG, § 20 Rz. 6 f. Bergmann/Möhrle/Herb, § 20 BDSG Rz. 18. Taeger/Gabel/Mester, § 20 BDSG Rz. 11; Bergmann/Möhrle/Herb, § 20 BDSG Rz. 20.

486

|

Roggenkamp

Berichtigung, Löschung und Sperrung; Widerspruchsrecht | § 20 BDSG

Naturgemäß können nur Tatsachen berichtigt werden. Nur diese sind – im Ge- 5 gensatz zu Meinungen und Werturteilen – dem Beweis zugänglich1. Wenn dem Werturteil jedoch offenkundig unzutreffende Tatsachen zugrunde liegen, kommt eine Berichtigung in Betracht2. Sind die unrichtigen Daten in papiernen Akten enthalten, gebietet der Grund- 6 satz der Aktenvollständigkeit3 und Aktenklarheit, dass die nachträgliche Korrektur erkennbar ist4. Dementsprechend bestimmt Abs. 1 Satz 2, dass die Unrichtigkeit oder das Bestreiten der Richtigkeit durch den Betroffenen „in geeigneter Weise“ festzuhalten ist. Regelmäßig wird ein entsprechender Aktenvermerk hierzu ausreichend sein. Im Falle einer führenden elektronischen Aktenführung5, also de facto einer „Speicherung in nicht automatisierten Dateien“, muss Abs. 1 Satz 2 entsprechend gelten. Jedwede Korrektur muss für Dritte nachvollziehbar bleiben6.

III. Löschungspflicht (Abs. 2) Bei der in Abs. 2 enthaltenen Löschungsverpflichtung handelt es sich um klar- 7 stellende Ausprägungen allgemeiner datenschutzrechtlicher Grundsätze, wie dem Gebot der Datensparsamkeit und Erforderlichkeit7. So zeigt Abs. 2 Nr. 1 die logische Konsequenz einer unzulässigen Speicherung 8 personenbezogener Daten auf: die Löschung (zum Begriff vgl. die Komm. zu § 3 BDSG Rz. 52) der rechtswidrig gespeicherten Daten. Ein gesonderter Antrag auf Löschung durch den Betroffenen ist nicht erforderlich, da die öffentliche Stelle rechtswidrig gespeicherte Daten von Amts wegen zu löschen hat. Bei Weigerung durch die öffentliche Stelle ist eine Verpflichtungsklage durch den Betroffenen möglich8. Die Regelung in Abs. 2 Nr. 2, nach welcher eine Löschung personenbezogener 9 Daten zu erfolgen hat, wenn ihre Kenntnis für die verantwortliche Stelle zur Erfüllung der in ihrer Zuständigkeit liegenden Aufgaben nicht mehr erforderlich ist, ist überflüssig, da eine fortgesetzte Speicherung in diesem Fall schon als un1 2 3 4 5 6

Vgl. Däubler/Klebe/Wedde/Weichert/Wedde, § 20 BDSG Rz. 6. Bergmann/Möhrle/Herb, § 20 BDSG Rz. 15; Gola/Schomerus, § 20 BDSG Rz. 4–5. Vgl. hierzu BVerfG v. 6.6.1983 – 2 BvR 244, 310/83, NJW 1983, 2135. Däubler/Klebe/Wedde/Weichert/Wedde, § 20 BDSG Rz. 9. Nicht elektronische Hilfs- oder Duplo-Akten. Hierzu, sowie zu weiteren Anforderungen an elektronische Verwaltungsakten, AG „Elektronische Verwaltungsakte“, JurPC Web-Dok. 66/2011, Abs. 21 ff. 7 Gola/Schomerus, § 20 BDSG Rz. 10: „lediglich deklaratorischer Charakter“. 8 Vgl. BVerwG v. 9.6.2010 – 6 C 5/09 für einen Fall der Löschung von Daten aus der Datei „Gewalttäter Sport“ nach § 32 Abs. 2 BKAG; Simitis/Mallmann, § 20 BDSG Rz. 106; Däubler/Klebe/Wedde/Weichert/Wedde, § 20 BDSG Rz. 30.

Roggenkamp

|

487

§ 20 BDSG | Datenverarbeitung der öffentlichen Stellen zulässig i.S.d. Nr. 1 einzustufen wäre. Sie stellt bestenfalls klar, dass eine zulässige Speicherung personenbezogener Daten auch nachträglich unzulässig werden kann. Da eine nachträglich eintretende Unzulässigkeit einer Speicherung von personenbezogenen Daten auf vielfältige Weise eintreten kann (z.B. durch Widerruf einer nur durch Einwilligung des Betroffenen gedeckten Speicherung1), ist die Existenz des Abs. 1 Nr. 2 missverständlich. Es entsteht der Eindruck, dass es sich um den einzigen Fall der nachträglich eintretenden Unzulässigkeit der Speicherung handelt, der zu einer Löschpflicht führt. Das ist nicht der Fall. 10 Die Löschungspflicht ist nicht absolut. Ggf. ist sie in eine Sperrungverpflichtung

(Abs. 3) umzudeuten2. Im Falle einer Archivwürdigkeit der Daten (Abs. 9, Rz. 33 unten) besteht ebenfalls keine Löschungspflicht.

IV. Sperrung (Abs. 3) 11 Bei Vorliegen einer der in Abs. 3 Nr. 1–3 aufgezählten Tatbestände wird die Lö-

schung durch eine Sperrung i.S.d. § 3 Abs. 4 Nr. 4, also ein Kennzeichnen gespeicherter personenbezogener Daten, um ihre weitere Verarbeitung oder Nutzung einzuschränken (hierzu die Komm. zu § 3 BDSG Rz. 48), substituiert. Die Regelung gilt nur für personenbezogene Daten in automatisierten oder in nichtautomatisierten Dateien3. Für Akten (sowohl papierne als auch führende elektronische Akten) gilt die Regelung des Abs. 64.

12 Eine Sperrung kann geboten sein, wenn der Löschung Aufbewahrungsfristen

entgegenstehen (Abs. 3 Nr. 1). Es muss sich hierbei um gesetzliche, satzungsmäßig oder vertragliche festgelegte Aufbewahrungsfristen handeln. Ein Aufbewahrungsbedürfnis „zur Sicherheit“ ist nicht ausreichend.

13 Vor der Löschung ist zu prüfen, ob eine Sperrung zugunsten des Betroffenen,

insbesondere wenn dieser die Daten noch benötigen könnte, der Löschung vorzuziehen ist. Besteht die Möglichkeit, dass bspw. die Beweissituation des Betroffenen verschlechtert werden könnte, wenn die Daten gelöscht werden, sind sie nach Abs. 3 Nr. 2 lediglich zu sperren5.

14 Aufgrund der Art der Speicherung kann es nicht oder nur mit unverhältnismäßi-

gem Aufwand möglich sein personenbezogene Daten zu löschen. Auch in diesem Fall kann nach Abs. 3 Nr. 3 ausnahmsweise eine Sperrung ausreichen. Praktische Fälle sind in Zeiten günstiger Datenträgerpreise nicht mehr ersichtlich6. 1 Vgl. Gola/Schomerus, § 20 BDSG Rz. 11. 2 Vgl. Taeger/Gabel/Mester, § 20 BDSG Rz. 19. 3 Däubler/Klebe/Wedde/Weichert/Wedde, § 20 BDSG Rz. 13; Gola/Schomerus, § 20 BDSG Rz. 13. 4 Taeger/Gabel/Mester, § 20 BDSG Rz. 20; Gola/Schomerus, § 20 BDSG Rz. 13. 5 Gola/Schomerus, § 20 BDSG Rz. 16. 6 Däubler/Klebe/Wedde/Weichert/Wedde, § 20 BDSG Rz. 17.

488

|

Roggenkamp

Berichtigung, Löschung und Sperrung; Widerspruchsrecht | § 20 BDSG

V. Non-liquet-Fälle (Abs. 4) Eine Sperrverpflichtung besteht auch, wenn die Richtigkeit personenbezogener 15 Daten im Streit ist und sich weder die Richtigkeit noch die Unrichtigkeit der Daten festgestellt werden kann (Abs. 4). Der Betroffene hat im Falle des Bestreitens der Richtigkeit keine Verpflichtung den Beweis über die Unrichtigkeit zu erbringen. Die öffentliche Stelle ist beweisbelastet und zwar auch dann, wenn der Betroffene es unterlässt, nach § 26 Abs. 2 Satz 1 VwVfG bei der von Amts wegen gebotenen Ermittlung des tatsächlichen Sachverhaltes (§ 24 Abs. 1 VwVfG)1 mitzuwirken2.

VI. Widerspruchsrecht (Abs. 5) Ein dem § 35 Abs. 5 entsprechendes und auf Art. 14 Buchst. a EG-Datenschutz- 16 richtlinie basierendes Widerspruchsrecht des Betroffenen (s.a. die Komm. zu § 35 BDSG Rz. 47 ff.) besteht auch gegenüber öffentlichen Stellen. Der Betroffene kann bezüglich rechtmäßig erhobener Dateien einer automatisierten Verarbeitung oder einer Verarbeitung in nicht automatisierten Dateien widersprechen. Wird ein entsprechender Widerspruch gegenüber der verantwortlichen Stelle er- 17 hoben, muss diese prüfen, ob ein schutzwürdiges Interesse des Betroffenen wegen seiner besonderen persönlichen Situation das Interesse der verantwortlichen Stelle an dieser Form der Erhebung, Verarbeitung oder Nutzung überwiegt. Der formfrei mögliche3 Widerspruch des Betroffenen sollte, damit diese Abwägung vorgenommen werden kann, hinsichtlich der „besonderen persönlichen Situation“ (Abs. 5 Satz 1) des Betroffenen hinreichend substantiiert sein. Eine Begründung ist indes nicht Voraussetzung4. Ist der Behörde die „besondere persönliche Situation“ nicht bekannt und diese auch nicht (z.B. aus der Sensibilität der Daten) erkennbar, muss sie den Betroffenen um Darlegung bitten. Der Begriff der besonderen persönlichen Situation ist weit zu verstehen und um- 18 fasst bspw. eine besondere politische oder gesellschaftliche Stellung des Betroffenen oder eine erhöhte Sensibilität der in Rede stehenden Daten5. Nach Abs. 5 Satz 2 besteht kein Widerspruchsrecht, wenn die Erhebung, Ver- 19 arbeitung oder Nutzung durch Rechtsvorschrift vorgeschrieben ist. Die Vorschrift muss die Behörde nicht nur ermächtigen sondern verpflichten6. Bei der Ablehnung ist auf die Rechtsvorschrift hinzuweisen7. 1 2 3 4 5 6 7

Gola/Schomerus, § 20 BDSG Rz. 19. Taeger/Gabel/Mester, § 20 BDSG Rz. 25. Taeger/Gabel/Mester, § 20 BDSG Rz. 27; Bergmann/Möhrle/Herb, BDSG, § 20 Rz. 84. Bergmann/Möhrle/Herb, § 20 BDSG Rz. 84. Däubler/Klebe/Wedde/Weichert/Wedde, § 20 BDSG Rz. 24. Taeger/Gabel/Mester, § 20 BDSG Rz. 31. Bergmann/Möhrle/Herb, § 20 BDSG Rz. 86; Gola/Schomerus, § 20 BDSG Rz. 23.

Roggenkamp

|

489

§ 20 BDSG | Datenverarbeitung der öffentlichen Stellen 20 Die Entscheidung über den Widerspruch ist ein Verwaltungsakt i.S.d. § 35

Satz 1 VwVfG, der mit Widerspruch und Anfechtungsklage angegriffen werden kann1. Zudem besteht daneben2 die Möglichkeit der Anrufung der oder des BfDI nach § 213 (s. die dortige Kommentierung). Ergibt die Abwägung ein überwiegendes Interesse des Betroffenen, dürfen die Daten weder erhoben noch (weiter) verarbeitet oder genutzt werden. Bereits erhobene Daten sind zu löschen oder zu sperren4.

VII. Sperrung in Akten (Abs. 6) 21 Personenbezogene Daten, die sich in Akten befinden, werden in der Regel weder

gelöscht noch gesperrt. Abs. 6 trägt dem Umstand Rechnung, dass auch durch das Vorhalten personenbezogener Daten in Akten Interessen des Betroffenen beeinträchtigt werden können. Dementsprechend sind personenbezogene Daten durch entsprechende Kennzeichnung5 zu sperren, wenn die Daten nicht mehr zur Aufgabenerfüllung der verantwortlichen Stelle benötigt werden und im Einzelfall schutzwürdige Interessen des Betroffenen beeinträchtigt werden könnten.

22 Im Falle des Haltens führender elektronischer Akten ist eine Sperrung per-

sonenbezogener Daten immer bereits dann geboten, wenn der jeweilige Verwaltungsvorgang abgeschlossen ist bzw. nicht mehr benötigt wird. Dies folgt aus der erhöhten Gefährdungssituation aufgrund der automatisierten Verarbeitung der Aktendaten.

23 Ein Vernichtungs- oder Entfernungsanspruch kann im Einzelfall gleichwohl

gegeben sein, wenn die Akten (oder Bestandteile der Akten) rechtswidrig angelegt oder geführt werden6.

VIII. Übermittlung/Nutzung gesperrter Daten (Abs. 7) 24 In Einzelfällen kann es notwendig sein, gesperrte Daten i.S.d. § 3 Abs. 4 Nr. 3 zu

nutzen oder i.S.d. § 3 Abs. 5 zu übermitteln. Abs. 7 stellt klar, dass dies grundsätzlich nur zulässig ist, wenn der Betroffene zuvor seine Einwilligung (§ 4a) erteilt hat.

1 2 3 4 5

Gola/Schomerus, § 20 BDSG Rz. 24. Vgl. Gola/Schomerus, § 21 BDSG Rz. 1. Taeger/Gabel/Mester, § 20 BDSG Rz. 32. Taeger/Gabel/Mester, § 20 BDSG Rz. 30. Durch Hinweis auf dem das Datum enthaltenen Aktenblatt und Aktendeckel, Gola/Schomerus, § 20 BDSG Rz. 28. 6 VG Frankfurt v. 27.1.1988 – V/2 E 2147/86 (n.rkr.), NJW 1988, 1613.

490

|

Roggenkamp

Berichtigung, Löschung und Sperrung; Widerspruchsrecht | § 20 BDSG

Ausnahmsweise ist eine Einwilligung nach Abs. 7 Nr. 1 entbehrlich, wenn die 25 Übermittlung oder Nutzung aus im überwiegenden Interesse der verantwortlichen Stelle oder eines Dritten liegenden Gründen unerlässlich ist. Beispielhaft, aber nicht abschließend, wird die Übermittlung oder Nutzung zu wissenschaftlichen Zwecken und zur Behebung einer bestehenden Beweisnot genannt. Der Begriff „wissenschaftliche Zwecke“ ist der Interpretation zugänglich. Um- 26 fasst sind sowohl Zwecke der wissenschaftlichen Forschung und Lehre. Die Übermittlung oder Nutzung muss jedoch, dies ist zwingend zu prüfen und zu dokumentieren, unerlässlich sein. Der Zweck dürfte ohne Kenntnis der Daten oder auf andere Weise nicht erreichbar sein1. Eine Beweisnot besteht, wenn aufklärungsbedürftige Tatsachen nicht anders als 27 durch Vorlage der gesperrten personenbezogenen Daten bewiesen werden können2. Es muss sich hierbei nicht zwingend um Beweisschwierigkeiten im Rahmen eines Prozesses handeln3. Vielmehr ist auf das Bedürfnis, das Interesse des Dritten an der Tatsachenaufklärung im Einzelfall abzustellen, welches das Interesse des Betroffenen überwiegen muss. Die Ausnahme der Unerlässlichkeit aus „sonstigen im überwiegenden Interesse 28 der verantwortlichen Stelle oder eines Dritten liegenden Gründen“ ist restriktiv zu handhaben. Das Interesse der verantwortlichen Stelle oder des Dritten muss, damit die Ausnahme nicht zum Regelfall wird, deutlich überwiegen. Das Kriterium der Unerlässlichkeit erfordert, dass es keine Alternative gibt4. Weitere Voraussetzung der Übermittlung oder Nutzung ist nach Abs. 7 Nr. 2, 29 dass die in Rede stehenden personenbezogenen Daten übermittelt oder genutzt werden dürften, wenn sie nicht gesperrt wären. Zur Sicherstellung der Einhaltung des Gebots der Zweckbindung müssen die Voraussetzungen der hierfür einschlägigen allgemeinen Vorschriften (§§ 14 ff. – s. Kommentierung dort) vorliegen5.

IX. Nachbenachrichtigungspflicht (Abs. 8) Die verantwortliche Stelle ist nach Abs. 8 grundsätzlich verpflichtet, andere Stel- 30 len, die die betroffenen Daten erhalten haben, von der Berichtigung unrichtiger Daten, der Sperrung bestrittener Daten sowie von Sperrungen und Löschungen in Kenntnis zu setzen (sog. Nachbenachrichtigungspflicht6 vgl. auch die Kommentierung zum inhaltsgleichen § 35 Abs. 7 BDSG). 1 Gola/Schomerus, § 20 BDSG Rz. 31. 2 Vgl. OVG Münster v. 30.6.1987 – 18 A 1152/85, NJW 1988, 90, 91; Gola/Schomerus, § 20 BDSG Rz. 32; Simitis/Mallmann, § 20 BDSG Rz. 73. 3 Vgl. OVG Münster v. 30.6.1987 – 18 A 1152/85 – NJW 1988, 90 (91). 4 Vgl. Gola/Schomerus, § 20 BDSG Rz. 33. 5 Taeger/Gabel/Mester, § 20 BDSG Rz. 41; Gola/Schomerus, § 20 BDSG Rz. 34. 6 Däubler/Klebe/Wedde/Weichert/Wedde, § 20 BDSG Rz. 28.

Roggenkamp

|

491

§ 20 BDSG | Datenverarbeitung der öffentlichen Stellen 31 Das gilt nicht, wenn der damit einhergehende Aufwand unverhältnismäßig ist,

was z.B. bei simplen, leicht erkennbaren Schreib- oder Tippfehlern gegeben sein kann1. Eine Nachbenachrichtigung ist ebenfalls nicht vorzunehmen, wenn der Nachbenachrichtigung ein schutzwürdiges Interesse des Betroffenen entgegensteht. Das ist der Fall, wenn der Betroffene durch die neuen Daten ungünstiger gestellt würde2.

32 Eine Nachbenachrichtigungspflicht besteht ebenfalls nicht, wenn die Daten auf-

grund Abs. 2 Nr. 2 gelöscht oder nach Abs. 3, 2 Nr. 2 gesperrt wurden. Das Daten zur Aufgabenerfüllung der verantwortlichen Stelle nicht mehr notwendig sind, betrifft regelmäßig nur die jeweils zuständige Stelle und ist von dieser eigenständig zu beurteilen3.

X. Angebot an das Bundesarchiv (Abs. 9) 33 Abs. 9 stellt klar, dass § 20 keinen Vorrang vor dem BArchG hat. Nach § 2

Abs. 1 BArchG sind alle Unterlagen, die zur Erfüllung öffentlicher Aufgaben nicht mehr benötigt werden, dem Bundesarchiv oder ggf. dem zuständigen Landesarchiv zur Übernahme anzubieten und, wenn es sich um Unterlagen von bleibendem Wert i.S.d. § 3 BArchG handelt, als Archivgut des Bundes zu übergeben. Erst im Falle der Ablehnung – die Bewertungskompetenz liegt alleine beim Bundesarchiv4 – dürfen die Daten gelöscht werden.

XI. Rechtsstreitigkeiten 34 Bei Streit über die Verpflichtung zur Berichtigung, Sperrung oder Löschung

oder über den Widerspruch kann der Betroffene den Verwaltungsrechtsweg (Verpflichtungsklage5) beschreiten. Wird eine Löschung begehrt, kann im Rahmen des § 123 VwGO eine Sperrung in Betracht kommen6.

35 Ein Schadensersatzanspruch ist sowohl nach §§ 7, 87 (s.a. die dortige Kommen-

tierung) als auch nach Art. 34 GG i.V.m. § 839 BGB denkbar8.

1 2 3 4 5

Gola/Schomerus, § 20 BDSG Rz. 38. Taeger/Gabel/Mester, § 20 BDSG Rz. 44. Taeger/Gabel/Mester, § 20 BDSG Rz. 42. Grundmann/Greve, NVwZ 2015, 1726 (1728). Simitis/Mallmann, § 20 BDSG Rz. 106; Gola/Schomerus, § 20 BDSG Rz. 40; Däubler/ Klebe/Wedde/Weichert/Wedde, § 20 BDSG Rz. 30. 6 Simitis/Mallmann, § 20 BDSG Rz. 106; Gola/Schomerus, § 20 BDSG Rz. 40; Bergmann/ Möhrle/Herb, § 20 BDSG Rz. 115. 7 Taeger/Gabel/Mester, § 20 BDSG Rz. 46. 8 Däubler/Klebe/Wedde/Weichert/Wedde, § 20 BDSG Rz. 30; Bergmann/Möhrle/Herb, § 20 BDSG Rz. 114.

492

|

Roggenkamp

Anrufung der oder des Bundesbeauftragten | § 21 BDSG

§ 21 Anrufung der oder des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit 1Jedermann

kann sich an die Bundesbeauftragte oder den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit wenden, wenn er der Ansicht ist, bei der Erhebung, Verarbeitung oder Nutzung seiner personenbezogenen Daten durch öffentliche Stellen des Bundes in seinen Rechten verletzt worden zu sein. 2Für die Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten durch Gerichte des Bundes gilt dies nur, soweit diese in Verwaltungsangelegenheiten tätig werden. I. Einführung . . . . . . . . . . . . . . . II. Jedermann-Recht . . . . . . . . . . III. Formelle Voraussetzungen . . .

1 2 3

IV. Materielle Voraussetzungen . . . V. Bearbeitung der Anrufung . . . .

5 9

Schrifttum: Arlt/Piendl, Zukünftige Organisation und Rechtsstellung der Datenschutzkontrolle in Deutschland, CR 1998, 713; Bäumler, Wahrung der Grundrechte durch den Datenschutzbeauftragten, RDV 1996, 163; Brühann/Zerdick, Umsetzung der EG-Datenschutzrichtlinie, CR 1996, 429; Engelien-Schulz, Umgang mit Eingaben von Behördenangehörigen, DSB 2009 Nr. 6, 10; Giesen, Rechtsstellung, Aufgaben und Befugnisse der Datenschutzkontrollstellen, RDV 1998, 15; Giesen, Rechtsstellung, Aufgaben und Befugnisse der Datenschutzkontrollstellen nach Art. 28 der EG-Datenschutzrichtlinie, DuD 1997, 529; Herb, Die Struktur der Datenschutzkontrollstellen in der Bundesrepublik, ZUM 2004, 530; Höckenbrink, Finanzkontrolle, Datenschutz und die Unabhängigkeit der Rechnungshöfe, DÖV 1991, 50; v. Lewinski, Tätigkeitsberichte im Datenschutz, RDV 2004, 163; Müller, Das datenschutzpolitische Mandat des BfD, RDV 2004, 211; v. Lewinski, Unabhängigkeit des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit, ZG 2015, 288; Paeffgen, Amtsträgerbegriff und die Unabhängigkeit des Datenschutzbeauftragten, JZ 1997, 178; Schaar, Minimalprogramm in Sachen Datenschutz, MMR 2014, 641; Stentzel, Der datenschutzrechtliche Präventionsstaat, PinG 2016, 45; Thomé, Die Unabhängigkeit der Bundesdatenschutzaufsicht, VuR 2015, 130; Tinnefeld, Bundesbeauftragter für den Datenschutz, DuD 2003, 439; Weber, EG-Datenschutzrichtlinie, CR 1995, 297; Weichert, Widerspruchsrecht gegen Datenschutzkontrollen, CR 1994, 174.

I. Einführung Die Norm statuiert das Recht des Betroffenen zur Anrufung des BfDI bei Daten- 1 schutz-Konflikten mit öffentlichen Stellen des Bundes. Das Anrufungsrecht soll eine kompetente, unabhängige und unbürokratische Konfliktlösung für den Betroffenen gewährleisten1. Hierdurch soll einerseits das Vertrauen des Bürgers 1 So auch Roßnagel/Heil, Handbuch Datenschutzrecht, Teil 5.1 Rz. 58.

Hullen

|

493

§ 21 BDSG | Datenverarbeitung der öffentlichen Stellen in den Datenschutz durch öffentliche Stellen gefördert, andererseits dem BfDI die Möglichkeit gegeben werden, wichtige Informationen zur Amtsausübung aus erster Hand, nämlich von den Betroffenen selbst, erhalten zu können1. Das Anrufungsrecht entspricht dem Petitionsrecht nach Art. 17 GG und steht selbständig neben der Möglichkeit, im Falle der Rechtsverletzung gerichtlichen Schutz in Anspruch nehmen zu können2. Das Anrufungsrecht ist ebenfalls in Art. 28 Abs. 4 EG-Datenschutzrichtlinie verankert. 1a In der DSGVO werden das Anrufungsrecht in Art. 77 (Recht auf Beschwerde

bei einer Aufsichtsbehörde) geregelt (s. Art. 77 DSGVO).

II. Jedermann-Recht 2 Das Recht auf Anrufung des BfDI steht jeder natürlichen Person zu, unabhängig

von Staatsangehörigkeit, Wohnsitz, Alter oder dem Vorliegen anderer persönlicher Voraussetzungen. Da das Anrufungsrecht als Betroffenenrecht ausgestaltet ist, muss derjenige, der sich im Rahmen des § 21 an den BfDI wenden will, eine eigene Rechtsverletzung vortragen können. Dies hindert Dritte nicht daran, fremde Rechtsverletzungen zu monieren, jedoch sind diese nicht Betroffene i.S.d. Satz 1. In Fällen der Drittanrufung findet kein Verfahren nach § 21 statt, welches sich als Verwaltungsverfahren nach dem VwVfG des Bundes richtet. Vielmehr steht es im Ermessen des BfDI, über eine angemessene Bearbeitung der Drittanrufung zu entscheiden3. Angehörige öffentlicher Stellen können den BfDI auch im Falle von Beschwerden über den eigenen Dienstherren anrufen, ohne den Dienstweg einhalten zu müssen4.

III. Formelle Voraussetzungen 3 § 21 schreibt keine formellen Voraussetzungen der Anrufung des BfDI vor.

Eine solche kann daher ohne Einhaltung von Form- oder Fristerfordernissen und daher schriftlich, in elektronischer Form oder auch mündlich erfolgen5. Anonymen Hinweisen muss der BfDI jedoch nicht nachgehen.

4 Der Betroffene muss den Sachverhalt, der die Rechtsverletzung begründet, darle-

gen. An die Sachverhaltsschilderung dürfen jedoch keine zu hohen Anforderungen gestellt werden6. Eine Benennung der vermeintlich verletzten Rechtsnor-

1 S.a. Taeger/Gabel/Grittmann, § 21 BDSG Rz. 1. 2 S. Däubler/Klebe/Wedde/Weichert/Weichert, § 21 BDSG Rz. 1; Gola/Schomerus/Gola/ Klug/Körffer, § 21 BDSG Rz. 1. 3 So Bergmann/Möhrle/Herb, § 21 BDSG Rz. 6. 4 Däubler/Klebe/Wedde/Weichert/Weichert, § 21 BDSG Rz. 3. 5 Roßnagel/Heil, Handbuch Datenschutzrecht, Teil 5.1 Rz. 62. 6 Roßnagel/Heil, Handbuch Datenschutzrecht, Teil 5.1 Rz. 62; Simitis/Dammann, § 21 Rz. 12.

494

|

Hullen

Anrufung der oder des Bundesbeauftragten | § 21 BDSG

men, die der Betroffene bemängelt, ist nicht notwendig. In Zweifelsfällen muss der Betroffene zwecks Sachverhaltsklärung zur Substantiierung seines Vorbringens aufgefordert werden1.

IV. Materielle Voraussetzungen Der Betroffene muss der Auffassung sein, dass er bei der Erhebung, Verarbei- 5 tung oder Nutzung seiner personenbezogenen Daten durch eine öffentliche Stelle des Bundes in seinen Rechten verletzt wurde. Eine tatsächliche Rechtsverletzung, die durch den BfDI ja gerade erst geklärt werden soll, muss nicht vorliegen. Eine vermeintliche Rechtsverletzung ist für das Anrufungsrecht nach § 21 ausreichend2. Der Betroffene muss vorbringen, dass er „bei der Erhebung, Verarbeitung oder 6 Nutzung seiner personenbezogenen Daten“ in seinen Rechten verletzt wurde. Er kann dabei geltend machen, in einem beliebigen Recht, welches die Zulässigkeit der Datenverarbeitung in seinem Interesse begrenzt oder ihm Kontroll- und Einwirkungsmöglichkeiten gewährt, beeinträchtigt zu sein3. Dies können sowohl Rechte des Betroffenen, bspw. auf Auskunft, Information, Berichtigung, Löschung oder Schadenersatz, als auch datenschutzrechtliche Verfahrensregeln wie die Pflicht zur Bestellung eines betrieblichen Datenschutzbeauftragten sowie technisch-organisatorische Vorgaben sein, soweit der Betroffene hierdurch in seinem Allgemeinen Persönlichkeitsrecht verletzt sein könnte4. Die Bemängelung allgemeiner Missstände fällt jedoch nicht unter das Anrufungsrecht nach § 21. In diesen Fällen bleibt es dem BfDI jedoch unbenommen, im Rahmen seiner allgemeinen Kontrollaufgaben tätig zu werden5. Es ist ausreichend, dass eine konkrete Rechtsverletzung unmittelbar zu befürchten ist. Der Betroffene kann sich bereits bei drohender Rechtsverletzung an den BfDI wenden, da ihm ein Abwarten, bis die Rechtsverletzung tatsächlich eingetreten ist, nicht zuzumuten ist6. Die (vermeintliche) Rechtsverletzung muss durch eine öffentliche Stelle des 7 Bundes begangen worden sein, da sich die Zuständigkeit des BfDI lediglich auf solche erstreckt. Es gilt der Zuständigkeitsrahmen des § 24 Abs. 1 und 3 (s. Komm. zu § 24 BDSG Rz. 3). Nach Satz 2 gilt eine eingeschränkte Zuständigkeit bei der Datenverarbeitung durch Gerichte, soweit diese nicht in (Justiz-)Verwaltungsangelegenheiten tätig werden (s.a. Komm. zu § 24 BDSG Rz. 12). Die Zu1 2 3 4 5 6

So Taeger/Gabel/Grittmann, § 21 Rz. 9. Gola/Schomerus/Gola/Klug/Körffer, § 21 BDSG Rz. 5. Roßnagel/Heil, Handbuch Datenschutzrecht, Teil 5.1 Rz. 61. Ähnlich Däubler/Klebe/Wedde/Weichert/Weichert, § 21 BDSG Rz. 4. Auernhammer/Eßer, § 21 BDSG Rz. 9. Simitis/Dammann, § 21 BDSG Rz. 9; Taeger/Gabel/Grittmann, § 21 BDSG Rz. 6.

Hullen

|

495

§ 22 BDSG | Datenverarbeitung der öffentlichen Stellen ständigkeit des BfDI endet folglich dort, wo die Rechtssprechungstätigkeit der Gerichte beginnt1. 8 Bei Unzuständigkeit des BfDI ist die Anrufung zu verwerfen, worüber der An-

rufende zu informieren ist. Bei (mutmaßlichem) Einverständnis des Anrufenden kann sein Anliegen an die (bspw. nach den Landesdatenschutzgesetzen) zuständigen Stellen weitergeleitet werden, worüber dieser ebenfalls (vorab) informiert werden sollte2.

V. Bearbeitung der Anrufung 9 Den Grundsätzen des Petitionsrechts zufolge ist der BfDI verpflichtet, Anru-

fungen entgegenzunehmen und zu bearbeiten3. Im Rahmen seiner Kontrollbefugnisse hat er dabei den der Beschwerde zugrundeliegenden Sachverhalt zu ermitteln, rechtlich zu bewerten und ggf. auf Abhilfe zu drängen. Der Betroffene ist vom Ergebnis zu unterrichten. Die Unterrichtung des Betroffenen stellt jedoch kein Verwaltungsakt i.S.v. § 35 Satz 1 VwVfG dar, da es zumindest an einer hoheitlichen Maßnahme, die auf unmittelbare Rechtswirkung nach außen gerichtet ist, mangelt4.

10 Ein Anspruch des Betroffenen auf Einleitung einer bestimmten Maßnahme, wie

bspw. den Ausspruch einer förmlichen Beanstandung durch den BfDI, besteht jedoch nicht5. Rechtsmissbräuchliche Anrufungen muss der BfDI hingegen nicht bearbeiten6, insbesondere wenn diese aufgrund bewusst falscher Tatsachendarstellung oder in beleidigender Absicht erfolgen7.

11 Der Betroffenen hat das Recht auf eine vertrauliche Behandlung der Anrufung8.

Ihm steht weiterhin ein Anspruch auf Auskunft über die Verwendung seiner personenbezogenen Daten durch den BfDI gemäß § 19 zu9. Die nun wohl h.M. ist darüber hinaus der Auffassung, dass dem Betroffenen zudem ein eigenes Akteneinsichtsrecht zusteht10.

1 Taeger/Gabel/Grittmann, § 21 BDSG Rz. 7. 2 Simitis/Dammann, § 21 BDSG Rz. 11. 3 Gola/Schomerus/Gola/Klug/Körffer, § 21 BDSG Rz. 6 mit Verweis auf BVerwG v. 1.9. 1976 – VII B 101/75, NJW 1977, 118 (118). 4 Taeger/Gabel/Grittmann, § 21 BDSG Rz. 13. 5 Vgl. OVG Münster v. 2.6.1993 – 25 A 2307/91, NVwZ-RR 1994, 25, zu § 25 Abs. 1 DSG NRW. 6 Taeger/Gabel/Grittmann, § 21 BDSG Rz. 10. 7 Gola/Schomerus, § 21 BDSG Rz. 6. 8 Däubler/Klebe/Wedde/Weichert/Weichert, § 21 BDSG Rz. 8. 9 Däubler/Klebe/Wedde/Weichert/Weichert, § 21 BDSG Rz. 10. 10 Einen Anspruch bejahen Däubler/Klebe/Wedde/Weichert/Weichert, § 21 BDSG Rz. 10; auf § 19 und das IFG stützend auch Gola/Schomerus/Gola/Klug/Körffer, § 21 BDSG

496

|

Hullen

Wahl und Unabhängigkeit des Bundesbeauftragten | § 22 BDSG

Dritter Unterabschnitt Die oder der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit

§ 22 Wahl und Unabhängigkeit der oder des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (1) 1Der Deutsche Bundestag wählt ohne Aussprache auf Vorschlag der Bundesregierung die Bundesbeauftragte oder den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit mit mehr als der Hälfte der gesetzlichen Zahl seiner Mitglieder. 2Die oder der Bundesbeauftragte muss bei ihrer oder seiner Wahl das 35. Lebensjahr vollendet haben. 3Die oder der Gewählte ist von der Bundespräsidentin oder dem Bundespräsidenten zu ernennen. (2) 1Die oder der Bundesbeauftragte leistet vor der Bundespräsidentin oder dem Bundespräsidenten folgenden Eid: „Ich schwöre, dass ich meine Kraft dem Wohle des deutschen Volkes widmen, seinen Nutzen mehren, Schaden von ihm wenden, das Grundgesetz und die Gesetze des Bundes wahren und verteidigen, meine Pflichten gewissenhaft erfüllen und Gerechtigkeit gegen jedermann üben werde. So wahr mir Gott helfe.“ 2Der

Eid kann auch ohne religiöse Beteuerung geleistet werden.

(3) 1Die Amtszeit der oder des Bundesbeauftragten beträgt fünf Jahre. 2Einmalige Wiederwahl ist zulässig. (4) 1Die oder der Bundesbeauftragte steht nach Maßgabe dieses Gesetzes zum Bund in einem öffentlich-rechtlichen Amtsverhältnis. 2Sie oder er ist in Ausübung ihres oder seines Amtes unabhängig und nur dem Gesetz unterworfen. (5) 1Die oder der Bundesbeauftragte ist eine oberste Bundesbehörde. 2Der Dienstsitz ist Bonn. 3Die Beamtinnen und Beamten der oder des Bundesbeauftragten sind Beamtinnen und Beamte des Bundes.

Rz. 6; Taeger/Gabel/Grittmann, § 21 BDSG Rz. 11, bejaht zumindest einen entsprechenden Anspruch auf pflichtgemäße Ermessensentscheidung über die Akteneinsicht; ablehnend hingegen VGH München v. 10.3.1988 – 5 C 86.03492, NJW 1989, 2643 (2643) zu § 29 Abs. 1 VwVfG Bay.

Hullen

|

497

§ 22 BDSG | Datenverarbeitung der öffentlichen Stellen (6) 1Die Leitende Beamtin oder der Leitende Beamte nimmt die Rechte der oder des Bundesbeauftragten wahr, wenn die oder der Bundesbeauftragte an der Ausübung ihres oder seines Amtes verhindert ist oder wenn ihr oder sein Amtsverhältnis endet und sie oder er nicht zur Weiterführung der Geschäfte verpflichtet ist. 2Absatz 4 Satz 2 ist entsprechend anzuwenden. I. Einführung . . . . . . . . . . . II. BDSG-Novelle 2016 . . . . . III. Wahl, Ernennung und Eid (Abs. 1 und 2) . . . . . . . . . IV. Amtszeit (Abs. 3) . . . . . .

.... ....

1 3a

.... ....

4 7

V. Amtsstellung und Unabhängigkeit (Abs. 4) . . . . . . . . . . . . . .

8

VI. Organisation und Ausstattung (Abs. 5) . . . . . . . . . . . . . . . . . . 13 VII. Vertretung (Abs. 6) . . . . . . . . . 15

Schrifttum: Siehe § 21 BDSG.

I. Einführung 1 Dem Amt der oder des unabhängigen Bundesbeauftragten für den Datenschutz

und die Informationsfreiheit (BfDI) kommt eine herausragende Rolle beim effektiven Schutz des Rechts auf informationelle Selbstbestimmung zu1. Der dritte Unterabschnitt des BDSG (§§ 22–26) enthält Regelungen über Wahl, Stellung, Befugnisse und Aufgaben des BfDI. Lediglich das Petitionsrecht (Anrufung des BfDI) wurde als Recht des Betroffenen in § 21 normiert (s. Komm. zu § 21 BDSG Rz. 2). Die unabhängige Stellung des BfDI wurde durch das „Zweite Gesetz zur Änderung des Bundesdatenschutzgesetzes – Stärkung der Unabhängigkeit der Datenschutzaufsicht im Bund durch Errichtung einer obersten Bundesbehörde“ vom 25.2.20152, welches am 1.1.2016 in Kraft trat (BDSG 2016), europarechtskonform ausgestaltet (s. Rz. 3a).

1a In der DSGVO werden Ernennungsprozess und Unabhängigkeit der Aufsichts-

behörden durch Art. 52 (Unabhängigkeit) und Art. 53 (Allgemeine Bedingungen für die Mitglieder der Aufsichtsbehörde) geregelt. Die konkrete Ausgestaltung, bspw. hinsichtlich des Behördenaufbaus, der Qualifikation ihrer Mitarbeiter, des Wahl- bzw. Ernennungsverfahrens oder der Amtsdauer, bleibt auch weiterhin den Mitgliedstaaten vorbehalten (Art. 54 DSGVO).

2 § 22 legt Wahlmodalitäten, Amtszeit und -verhältnis sowie Organisation,

Ausstattung und Vertretung des BfDI fest. Darüber hinaus wird in Abs. 4 Satz 2 die Unabhängigkeit des Amtes des BfDI festgeschrieben. Das Erfordernis einer unabhängigen Kontrolle des Datenschutzes ist auch in Art. 8 Abs. 3 der

1 BVerfG v. 15.12.1983 – 1 BvR 209, 269, 362, 420, 440, 484/83, NJW 1984, 419 – Volkszählung. 2 BGBl. I S. 162.

498

|

Hullen

Wahl und Unabhängigkeit des Bundesbeauftragten | § 22 BDSG

EU-Grundrechtecharta, Art. 16 Abs. 2 Satz 2 AEUV sowie in Art. 28 Abs. 1 EGDatenschutzrichtlinie verankert. Der erste Regierungsentwurf des BDSG aus dem Jahr 1973 sah die Schaffung ei- 3 ner unabhängigen Kontrollinstanz überhaupt nicht vor. Die Überprüfung von Datenschutzverstößen durch die Gerichte, flankiert durch ein System der Selbstkontrolle, wurde als ausreichend angesehen1. Eine unabhängige Überwachung der Einhaltung des Datenschutzes wurde dann jedoch im Rahmen des weiteren Gesetzgebungsverfahrens vom Parlament eingefordert2. Der BfDI wird seit 1990 durch den Bundestag gewählt, wodurch das Amt abermals politisch und demokratisch gestärkt wurde. Eine weitere Stärkung der Unabhängigkeit des BfDI, die der Erfüllung europarechtlicher Vorgaben (Art. 28 Abs. 1 EG-Datenschutzrichtlinie) diente, erfolgte zum 1.1.2016 durch das BDSG 2016 (s. Rz. 3a).

II. BDSG-Novelle 2016 Vor dem Hintergrund der europarechtlichen Vorgaben aus Art. 8 Abs. 3 der 3a EU-Grundrechtecharta, Art. 16 Abs. 2 Satz 2 AEUV sowie Art. 28 Abs. 1 EGDatenschutzrichtlinie, die eine Tätigkeit der Kontrollstellen in (völliger) Unabhängigkeit3 vorsehen, mussten die Regelungen des BDSG 1990 nachgebessert werden. Nach einem von der Europäischen Kommission eingeleiteten Vertragsverletzungsverfahren und einem Urteil des EuGH4, welches die vor 2016 bestehende Ausgestaltung (der Datenschutzkontrolle über den privaten Sektor) für europarechtswidrig erachtete (s. Rz. 12)5, wurden auch die bundesrechtlichen Regelungen für den öffentlichen Bereich, insbesondere hinsichtlich der Rechtsund Dienstaufsicht durch die Bundesregierung bzw. das Bundesministerium des Innern (BMI), als unanwendbar angesehen6. Mit dem „Zweiten Gesetz zur Änderung des Bundesdatenschutzgesetzes – Stär- 3b kung der Unabhängigkeit der Datenschutzaufsicht im Bund durch Errichtung einer obersten Bundesbehörde“ vom 25.2.20157, folgte der Gesetzgeber den Anforderungen des EuGH an die Unabhängigkeit des BfDI und stärkte dessen 1 BT-Drucks. 7/1027, S. 18. 2 S. Simitis/Dammann, § 22 BDSG Rz. 1 m.w.N. 3 Zum Begriff der „völligen“ Unabhängigkeit kritisch und zutreffend von Lewinski, ZG 2015, 228 (229). 4 EuGH v. 9.3.2010 – C-518/07, NJW 2010, 1265. Zu einem ähnlichen, die österreichische Datenschutzkontrolle betreffenden Urteil s. EuGH v. 16.10.2012 – Rs. C-614/10, darauf bezugnehmend auch die Begründung zum BDSG 2016, BT-Drucks. 18/2848, S. 11. 5 S. hierzu Thomé, VuR 2015, 130 (131). 6 S. Simitis/Dammann, § 22 BDSG Rz. 19 und 23 sowie § 23 BDSG Rz. 1. 7 BGBl. I S. 162.

Hullen

|

499

§ 22 BDSG | Datenverarbeitung der öffentlichen Stellen Amt1. Durch das BDSG 2016 wurden u.a. folgende Änderungen mit Wirkung zum 1.1.2016 eingeführt: – Der BfDI unterliegt nun lediglich der parlamentarischen und gerichtlichen Kontrolle. Er unterliegt nicht mehr der Rechtsaufsicht der Bundesregierung. § 22 Abs. 4 Satz 3 BDSG a.F. wurde daher gestrichen. – Der BfDI untersteht nun auch nicht mehr der Dienstaufsicht des Bundesministeriums des Innern und ist diesem auch organisatorisch nicht mehr angegliedert (so noch § 22 Abs. 5 Satz 1 und 2 BDSG a.F.). – Der BfDI erhält nun den Status einer obersten Bundesbehörde (§ 22 Abs. 5 BDSG 2016). – Der Amtseid wird nun vor dem Bundespräsidenten und nicht mehr vor dem Bundesinnenminister abgelegt. § 22 Abs. 2 BDSG wurde entsprechend geändert. – Die Vertretung des BfDI wird nun nicht mehr durch den Bundesinnenminister (§ 22 Abs. 6 BDSG a.F.), sondern durch das Gesetz (§ 22 Abs. 6 BDSG 2016) bestimmt. – Die Entlassung des BfDI kann nun nicht mehr auf Vorschlag der Bundesregierung erfolgen (§ 23 Abs. 1 Satz 3 BDSG a.F.). Das Vorschlagsrecht steht nun – bei Vorliegen der normierten Gründe – allein dem Präsidenten des Bundestages zu (§ 23 Abs. 1 Satz 3 BDSG 2016). – Der BfDI entscheidet nach eigenem, pflichtgemäßen Ermessen über gerichtliche und außergerichtliche Aussagen. Einer Genehmigung des Bundesinnenministers bedarf es nun nicht mehr. Lediglich nach Beendigung des Amtes bedarf es einer Genehmigung des aktuell amtierenden BfDI (§ 23 Abs. 5 Satz 3 und Abs. 6 Satz 1). – Es wurde durchweg auch die weibliche Amtsbezeichnung („die Bundesbeauftragte“) in das BDSG eingefügt. 3c An der BDSG-Novellierung wird auch Kritik geäußert2. Dabei wird u.a. beklagt,

dass der BfDI in personeller und finanzieller Hinsicht noch immer unzureichend ausgestattet ist3. Auch die vergebene Chance einer – in verschiedenen Varianten geforderten – institutionellen Weiterentwicklung wird bemängelt, z.B.

1 BT-Drucks. 18/2848, S. 11; zum Gesetzgebungsprozess ausführlich von Lewinski, ZG 2015, 229 (231 ff.). 2 von Lewinksi spricht von „rechtspolitischen Leerstellen“, s. von Lewinski, ZG 2015, 228 (237) sowie Schaar, MMR 2014, 641 f.; Thomé, VuR 2015, 130 f. 3 So Schaar, MMR 2014, 641 (642); Thomé, VuR 2015, 130 (132); positiver zur personellen Ausstattung in Hinblick auf die Kontrollstellen anderer Mitgliedstaaten von Lewinski, ZG 2015, 228 (240 f.).

500

|

Hullen

Wahl und Unabhängigkeit des Bundesbeauftragten | § 22 BDSG

vor dem Hintergrund einer recht „kleinräumigen“ Organisation der Datenschutzkontrolle im Zusammenspiel der Ebenen EU, Bund und Länder1. Zudem werden z.B. fehlende Sanktionsmöglichkeiten im Bereich der Kontrolle der TKUnternehmen2 und eine unterbliebene Klarstellung des Verhältnisses von BfDI und der Stiftung Datenschutz kritisiert3. Zudem wird die Festschreibung des Dienstsitzes im politikfernen Bonn bemängelt4.

III. Wahl, Ernennung und Eid (Abs. 1 und 2) Die Bundesregierung schlägt einen aus ihrer Sicht für das Amt geeigneten Kan- 4 didaten vor5. Die Wahl des BfDI erfolgt mit absoluter Mehrheit des Bundestages. Durch das Vorschlagsrecht wird sichergestellt, dass keine Person zum Bundesbeauftragten gewählt wird, die nicht das Vertrauen der Bundesregierung genießt6. Abs. 1 Satz 1 weicht dabei vom Grundsatz des einfachen Mehrheitsbeschlusses (Art. 42 Abs. 2 Satz 1 GG) ab, um einen breiteren parlamentarischen Konsens über den Amtsträger zu erzielen und dessen demokratische Legitimation zu erhöhen7. Durch das BDSG 2016 wurde klargestellt, dass die Wahl ohne vorherige Aussprache erfolgt. Dies spiegelt die bereits gängige Praxis wieder8. Subjektive Voraussetzung für die Wahl ist die Vollendung des 35. Lebensjahres 5 (Abs. 1 Satz 2). Weitere Voraussetzungen, wie etwa die Befähigung zum Richteramt oder andere Qualifikationen sieht das Gesetz nicht vor9. Die Fähigkeit zur Bekleidung öffentlicher Ämter muss jedoch vorhanden sein10. Die Ernennung, der lediglich formelle Bedeutung zukommt, erfolgt gemäß Abs. 1 Satz 3 durch den Bundespräsidenten. Der Amtseid (Abs. 2), dessen Formel dem Eid des Bundespräsidenten (Art. 56 6 GG) entspricht, wird seit dem 1.1.2016 nicht mehr vom Bundesinnenminister,

1 2 3 4 5 6 7 8 9 10

von Lewinski, ZG 2015, 228 (237 f.). Thomé, VuR 2015, 130 (133), so auch Schaar, MMR 2014, 641 (642). von Lewinski, ZG 2015, 228 (238 f.). Schaar, MMR 2014, 641 (642). Zu Recht kritisch Thomé, VuR 2015, 130 (133). Kritisch sah dies Däubler/Klebe/Wedde/Weichert/Weichert, § 22 BDSG Rz. 2, da der BfDI u.a. die Datenverarbeitung der von der Bundesregierung geführten Bundesverwaltung kontrollieren soll. Vgl. Gola/Schomerus/Gola/Klug/Körffer, § 22 BDSG Rz. 3. Mit dem Quorum der absoluten Mehrheit werden ebenfalls der Bundesbeauftragte für die Stasi-Unterlagen sowie der Wehrbeauftrage gewählt. BT-Drucks. 18/2848, S. 15. Anders z.B. § 26 Abs. 1 Satz 1 LDSG BW. Taeger/Gabel/Grittmann, § 22 BDSG Rz. 5; Simitis/Dammann, § 22 BDSG Rz. 9.

Hullen

|

501

§ 22 BDSG | Datenverarbeitung der öffentlichen Stellen sondern vom Bundespräsidenten abgenommen1. Auch dies ist – wenn auch eine eher symbolische2 – Folge der Stärkung der Unabhängigkeit des BfDI durch das BDSG 2016 (s. Rz. 3a).

IV. Amtszeit (Abs. 3) 7 Nach fünfjähriger Amtszeit kann der BfDI einmal wiedergewählt werden. Hier-

durch soll eine einseitige Interessenwahrnehmung im Rahmen der Amtsausübung und die Gefahr einer etwaigen „Betriebsblindheit“ unterbunden werden3. Die maximale Amtszeit von zehn Jahren stellt dennoch die Kontinuität der Arbeit des BfDI sicher. Auch hier folgte der Gesetzgeber dem für den Bundespräsidenten festgeschriebenen Grundsatz. Im Gegensatz zu der in Art. 54 Abs. 2 GG gewählten Formulierung „anschließende Wiederwahl“ spricht Satz 2 jedoch dafür, dass sich die maximale Amtszeit von zehn Jahren nicht lediglich auf zwei aufeinanderfolgende Amtsperioden bezieht. Gemeint ist die zulässige Gesamtdauer der Ausübung des Amts, auch wenn diese durch die Amtszeit einer anderen Person unterbrochen sein sollte4. Die Amtszeit des BfDI ist weder an die Legislaturperiode noch an die Amtszeit der Bundesregierung geknüpft, wodurch die Unabhängigkeit und die parteipolitische Neutralität des Amtes gestärkt werden5.

V. Amtsstellung und Unabhängigkeit (Abs. 4) 8 Der BfDI nimmt eine rechtliche Sonderstellung ein. Er steht in einem öffent-

lich-rechtlichen Amtsverhältnis eigener Art6 (Satz 1) und ist weder Beamter auf Zeit, noch Angestellter im öffentlichen Dienst. Der BfDI wird jedoch als Beamter in haftungsrechtlicher Hinsicht behandelt. Er unterfällt somit der Amtshaftung nach Art. 34 GG i.V.m. § 839 BGB. Er ist zudem Amtsträger i.S.d. § 11 Abs. 1 Nr. 2 Buchst. b StGB und folglich mögliches Tatsubjekt strafrechtlicher Amtsdelikte wie bspw. die der §§ 203 Abs. 2 und 353b StGB. Die Beamten des BfDI sind Beamte des Bundes (Abs. 5 Satz 3). 1 S. Auernhammer/von Lewinski, § 22 BDSG Rz. 12; Dammann schlägt aufgrund der ressortübergreifenden Bedeutung die Übertragung der Abnahme auf den Bundestags- oder Bundespräsidenten vor, s. Simitis/Dammann, § 22 BDSG Rz. 11. 2 von Lewinski, ZG 2015, 229 (233). 3 Gola/Schomerus, § 22 BDSG Rz. 7. 4 Taeger/Gabel/Grittmann, § 22 BDSG Rz. 7; Schaffland/Wiltfang, § 22 BDSG Rz. 4. Weitergehend Dammann, der auch nach zehnjähriger Amtszeit eine Wiederwahl für möglich hält, sofern zuvor mindestens eine Amtsperiode pausiert wurde, s. Simitis/Dammann, § 22 BDSG Rz. 13. 5 Roßnagel/Heil, Handbuch Datenschutzrecht, Teil 5.1 Rz. 39. 6 Paeffgen, JZ 1997, 184.

502

|

Hullen

Wahl und Unabhängigkeit des Bundesbeauftragten | § 22 BDSG

Gemäß Abs. 4 Satz 2 ist der BfDI unabhängig in der Ausübung seines Amtes. 9 Dies gilt insbesondere den Stellen gegenüber, die der Kontrolle des BfDI unterliegen1, da eine effektive und unvoreingenommene Aufgabenerfüllung ansonsten nicht möglich wäre und das Vertrauen in die Integrität des Amtsinhabers leiden würde. In der Praxis bedeutet dies, dass der BfDI keiner Fachaufsicht unterliegt und auch ansonsten weisungsfrei im Rahmen des geltenden Rechts handeln kann2. Die Unabhängigkeit einer Kontrollstelle für den Datenschutz wird durch die 10 EU-Grundrechtecharta (Art. 8 Abs. 3), Art. 16 Abs. 2 Satz 2 AEUV und die EGDatenschutzrichtlinie festgeschrieben, die zeitlich nach § 22 in Kraft traten. § 28 Abs. 1 Unterabs. 2 EG-Datenschutzrichtlinie fordert dabei eine „völlige Unabhängigkeit“ bei der Wahrnehmung der Aufgaben (s. bereits Rz. 3a)3. Die in Abs. 4 Satz 3 BDSG a.F. festgeschriebene Rechtsaufsicht durch die Bun- 11 desregierung war – auch vor dem Hintergrund eines Urteils des EuGH zur Vereinbarkeit der gesetzlichen Regelungen über die Datenschutzaufsicht über den nicht-öffentlichen Bereich in Deutschland4 sowie eines Urteils des EuGH zur österreichischen Gesetzeslage5 – nicht mit Art. 28 Abs. 1 EG-Datenschutzrichtlinie vereinbar und somit europarechtswidrig. Die unionsrechtlich festgeschriebene (völlige) Unabhängigkeit verbietet eine staatliche Aufsicht jeglicher Art, die es grundsätzlich ermögliche, auf Entscheidungen der unabhängigen Datenschutzkontrolle mittelbar oder unmittelbar Einfluss zu nehmen, diese aufzuheben oder zu ersetzen. Auch wenn eine staatliche Kontrolle nur zu Zwecken der Sicherstellung der Einhaltung der geltenden rechtlichen Bestimmungen vorgesehen ist, weckt die Möglichkeit der Einflussnahme u.U. gewisse Begehrlichkeiten (bspw. hinsichtlich des Zugriffs auf Daten zu Zwecken der staatlichen Strafverfolgung)6. Die sich hieraus ergebende abstrakte Gefahr einer Einflussnahme reicht aus, um die Unabhängigkeit der Datenschutzkontrolle durch den bloßen Verdacht der Abhängigkeit und einen möglichen „vorauseilenden Gehorsam“ zu beeinträchtigen. Da Art. 28 EG-Datenschutzrichtlinie ebenfalls für die Datenschutzkontrolle im 12 öffentlichen Bereich gilt7, entfiel die formale Rechtsaufsicht durch die Bundes1 Roßnagel/Heil, Handbuch Datenschutzrecht, Teil 5.1 Rz. 78. 2 Taeger/Gabel/Grittmann, § 22 BDSG Rz. 9; kritisch zur Kontrolle im nicht-öffentlichen Bereich Stenztel, PinG 2016, 45 (48 f.). 3 Dies gilt auch für den Europäischen Datenschutzbeauftragten, s. Art. 44 Abs. 1 und 2 der Verordnung (EG) Nr. 45/2001 des Europäischen Parlaments und des Rates vom 18.12. 2000 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe und Einrichtungen der Gemeinschaft und zum freien Datenverkehr. 4 EuGH v. 9.3.2010 – C-518/07, NJW 2010, 1265, s. hierzu auch Auernhammer/von Lewinski, § 22 BDSG Rz. 28; Thomé, VuR 2015, 130 (131). 5 EuGH v. 16.10.2012 – C-614/10; s. hierzu von Lewinski, ZG 2015, 288 (230). 6 EuGH v. 9.3.2010 – C-518/07, NJW 2010, 1265 (1266), Rz. 30 ff. 7 EuGH v. 9.3.2010 – C-518/07, NJW 2010, 1265 (1267), Rz. 36.

Hullen

|

503

§ 22 BDSG | Datenverarbeitung der öffentlichen Stellen regierung zum 1.1.20161. Abs. 4 Satz 3 BDSG a.F. wurde daher durch das BDSG 2016 (s. Rz. 3a) ersatzlos gestrichen. Der BfDI unterliegt seitdem lediglich der parlamentarischen Berichterstattung (s. Komm. zu § 26 BDSG Rz. 3) und gerichtlichen Kontrolle (s. Komm. zu § 25 BDSG Rz. 11).

VI. Organisation und Ausstattung (Abs. 5) 13 Der BfDI ist seit dem 1.1.2016 keiner Dienstaufsicht mehr unterworfen. Die

früher in Abs. 5 Satz 2 vorgesehene Regelung, nach der der BfDI der Dienstaufsicht des Bundesministeriums des Innern unterlag, wurde gestrichen. Auch dies geschah vor dem Hintergrund der „völligen Unabhängigkeit“ der Kontrollstelle (§ 28 Abs. 1 EG-Datenschutzrichtlinie) und der diesbezüglichen Rechtsprechung des EuGH2 (s. Rz. 11)3. Auch wenn im Rahmen der Dienstaufsicht lediglich Fragen eines geregelten Geschäftsablaufs adressiert und inhaltliche oder rechtliche Weisungen nicht erfolgen konnten, war eine zumindest mittelbare Einflussnahme auf die Person des BfDI über eine rigide Aufsichtsführung nicht auszuschließen4.

14 Der BfDI ist durch Abs. 5 Satz 1 BDSG 2016 in den Rang einer obersten Bun-

desbehörde mit Dienstsitz in Bonn5 erhoben worden. Diese ist weder Ministerium noch Teil der Bundesregierung und unterliegt keiner Aufsicht der Exekutive6. Die organisatorische Ankopplung bei dem Bundesministerium des Innern (§ 22 Abs. 5 Satz 1 BDSG a.F.) entfällt somit. Diese sowie der Umstand, dass personelle Entscheidungen des BfDI nur im Einvernehmen mit dem BMI zu treffen waren, hatten ebenfalls zu Bedenken hinsichtlich der völligen Unabhängigkeit der Kontrollstelle geführt7.

14a Aufgrund des Status einer eigenständigen obersten Bundesbehörde und des da-

mit einhergehenden Wegfalls der organisatorischen Angliederung beim BMI muss der BfDI eine eigene Verwaltungsorganisation aufbauen8. Als oberste Bundesbehörde ist der BfDI haushaltsrechtlich mit den notwendigen Personal1 Die Rechtsaufsicht wurde zwar in keinem Fall ausgeübt, s. BT-Drucks. 18/2848, S. 16. Jedoch reicht schon die bloße Möglichkeit aus, um die Unabhängigkeit der Amtsausübung zu beeinträchtigen. 2 EuGH v. 9.3.2010 – C-518/07, NJW 2010, 1265 und EuGH v. 16.10.2012 – C-614/10. 3 S.a. BT-Drucks. 18/2848, S. 13. 4 Simitis/Dammann, § 22 BDSG Rz. 23, der die Regelung für unanwendbar hält; differenzierend jedoch Auernhammer/von Lewinski, § 22 BDSG Rz. 34, der eine Dienstaufsicht in einem Teilbereich für möglich hält. 5 Hierzu mit Recht kritisch Schaar, MMR 2014, 641 (642). 6 BT-Drucks. 18/2848, S. 16. 7 Däubler/Klebe/Wedde/Weichert/Weichert, § 22 BDSG Rz. 5; Gola/Schomerus/Gola/ Klug/Körffer, § 22 BDSG Rz. 12. 8 S. hierzu von Lewinski, ZG 2015, 288 (234).

504

|

Hullen

Rechtsstellung der oder des Bundesbeauftragten | § 23 BDSG

und Sachmitteln auszustatten1. Einer entsprechenden gesetzlichen Regelung (§ 22 Abs. 5 Satz 3 BDSG a.F.) bedurfte es nicht mehr2.

VII. Vertretung (Abs. 6) Abs. 6 Satz 1 enthält eine Vertretungsregelung für den Fall der Unmöglichkeit 15 der Amtsausübung des BfDI sowie für die Übergangszeit nach Beendigung des Amtsverhältnisses (sofern der alte Amtsinhaber die Geschäfte nicht bis zur Ernennung des Nachfolgers weiterführt). In beiden Fällen ist nun der Leitende Beamte mit der Ausübung der Rechte des BfDI betraut. Im Falle der dauerhaften Dienstunfähigkeit oder der Entlassung (s. Komm. zu § 23 BDSG Rz. 3) ist vorzeitig ein neuer Amtsinhaber zu wählen. Die gesetzliche Regelung betrifft die Vertretung nach außen, intern kann der BfDI eigene Vertretungsregelungen treffen3. Satz 2 garantiert dabei, dass auch der Leitende Beamte die Rechte des BfDI unabhängig ausüben kann (s. Rz. 9). Das BDSG 2016 ersetzt somit die bis zum 1.1.2016 geltende gewillkürte Bestim- 16 mung des Vertreters des BfDI durch eine gesetzliche Vertretungsregelung. Die Auswahl des Vertreters traf nach §§ 22 Abs. 6 Satz 1 BDSG a.F. der Bundesminister des Innern. Da der BfDI hierzu lediglich gehört werden sollte, nicht jedoch selbst bestimmen konnte, wer ihn während der vorübergehenden Dienstunfähigkeit vertritt, stand auch diese Regelung im Widerspruch zur in Art. 28 Abs. 1 EG-Datenschutzrichtlinie geforderten völligen Unabhängigkeit der Kontrollstelle4.

§ 23 Rechtsstellung der oder des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (1) 1Das Amtsverhältnis der oder des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit beginnt mit der Aushändigung der Ernennungsurkunde. 2Es endet 1. mit Ablauf der Amtszeit, 2. mit der Entlassung. 1 2 3 4

BT-Drucks. 18/2848, S. 16. Ausführlich von Lewinski, ZG 2015, 288 (239 f.). S. BT-Drucks. 18/2848, S. 17. Taeger/Gabel/Grittmann, § 22 BDSG Rz. 13; wohl auch Gola/Schomerus/Gola/Klug/ Körffer, § 22 BDSG Rz. 13, die die Vereinbarkeit der Regelung mit europarechtlichen Vorgaben zumindest bezweifeln.

Hullen

|

505

Rechtsstellung der oder des Bundesbeauftragten | § 23 BDSG

und Sachmitteln auszustatten1. Einer entsprechenden gesetzlichen Regelung (§ 22 Abs. 5 Satz 3 BDSG a.F.) bedurfte es nicht mehr2.

VII. Vertretung (Abs. 6) Abs. 6 Satz 1 enthält eine Vertretungsregelung für den Fall der Unmöglichkeit 15 der Amtsausübung des BfDI sowie für die Übergangszeit nach Beendigung des Amtsverhältnisses (sofern der alte Amtsinhaber die Geschäfte nicht bis zur Ernennung des Nachfolgers weiterführt). In beiden Fällen ist nun der Leitende Beamte mit der Ausübung der Rechte des BfDI betraut. Im Falle der dauerhaften Dienstunfähigkeit oder der Entlassung (s. Komm. zu § 23 BDSG Rz. 3) ist vorzeitig ein neuer Amtsinhaber zu wählen. Die gesetzliche Regelung betrifft die Vertretung nach außen, intern kann der BfDI eigene Vertretungsregelungen treffen3. Satz 2 garantiert dabei, dass auch der Leitende Beamte die Rechte des BfDI unabhängig ausüben kann (s. Rz. 9). Das BDSG 2016 ersetzt somit die bis zum 1.1.2016 geltende gewillkürte Bestim- 16 mung des Vertreters des BfDI durch eine gesetzliche Vertretungsregelung. Die Auswahl des Vertreters traf nach §§ 22 Abs. 6 Satz 1 BDSG a.F. der Bundesminister des Innern. Da der BfDI hierzu lediglich gehört werden sollte, nicht jedoch selbst bestimmen konnte, wer ihn während der vorübergehenden Dienstunfähigkeit vertritt, stand auch diese Regelung im Widerspruch zur in Art. 28 Abs. 1 EG-Datenschutzrichtlinie geforderten völligen Unabhängigkeit der Kontrollstelle4.

§ 23 Rechtsstellung der oder des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (1) 1Das Amtsverhältnis der oder des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit beginnt mit der Aushändigung der Ernennungsurkunde. 2Es endet 1. mit Ablauf der Amtszeit, 2. mit der Entlassung. 1 2 3 4

BT-Drucks. 18/2848, S. 16. Ausführlich von Lewinski, ZG 2015, 288 (239 f.). S. BT-Drucks. 18/2848, S. 17. Taeger/Gabel/Grittmann, § 22 BDSG Rz. 13; wohl auch Gola/Schomerus/Gola/Klug/ Körffer, § 22 BDSG Rz. 13, die die Vereinbarkeit der Regelung mit europarechtlichen Vorgaben zumindest bezweifeln.

Hullen

|

505

§ 23 BDSG | Datenverarbeitung der öffentlichen Stellen Die Bundespräsidentin oder der Bundespräsident entlässt die Bundesbeauftragte oder den Bundesbeauftragten, wenn diese oder dieser es verlangt oder auf Vorschlag der Präsidentin oder des Präsidenten des Bundestages, wenn Gründe vorliegen, die bei einer Richterin auf Lebenszeit oder einem Richter auf Lebenszeit die Entlassung aus dem Dienst rechtfertigen. 4Im Fall der Beendigung des Amtsverhältnisses erhält die oder der Bundesbeauftragte eine von der Bundespräsidentin oder dem Bundespräsidenten vollzogene Urkunde. 5Eine Entlassung wird mit der Aushändigung der Urkunde wirksam. 6Endet das Amtsverhältnis mit Ablauf der Amtszeit, ist die oder der Bundesbeauftragte verpflichtet, auf Ersuchen der Präsidentin oder des Präsidenten des Bundestages die Geschäfte bis zur Ernennung einer Nachfolgerin oder eines Nachfolgers weiterzuführen. (2) 1Die oder der Bundesbeauftragte darf neben ihrem oder seinem Amt kein anderes besoldetes Amt, kein Gewerbe und keinen Beruf ausüben und weder der Leitung oder dem Aufsichtsrat oder Verwaltungsrat eines auf Erwerb gerichteten Unternehmens noch einer Regierung oder einer gesetzgebenden Körperschaft des Bundes oder eines Landes angehören. 2Sie oder er darf nicht gegen Entgelt außergerichtliche Gutachten abgeben. (3) 1 Die oder der Bundesbeauftragte hat der Präsidentin oder dem Präsidenten des Bundestages Mitteilung über Geschenke zu machen, die sie oder er in Bezug auf das Amt erhält. 2Die Präsidentin oder der Präsident des Bundestages entscheidet über die Verwendung der Geschenke. 3Sie oder er kann Verfahrensvorschriften erlassen. (4) 1Die oder der Bundesbeauftragte ist berechtigt, über Personen, die ihr oder ihm in ihrer oder seiner Eigenschaft als Bundesbeauftragte oder Bundesbeauftragter Tatsachen anvertraut haben, sowie über diese Tatsachen selbst das Zeugnis zu verweigern. 2Dies gilt auch für die Mitarbeiterinnen und Mitarbeiter der oder des Bundesbeauftragten mit der Maßgabe, dass über die Ausübung dieses Rechts die oder der Bundesbeauftragte entscheidet. 3Soweit das Zeugnisverweigerungsrecht der oder des Bundesbeauftragten reicht, darf die Vorlegung oder Auslieferung von Akten oder anderen Schriftstücken von ihr oder ihm nicht gefordert werden. (5) 1Die oder der Bundesbeauftragte ist, auch nach Beendigung ihres oder seines Amtsverhältnisses, verpflichtet, über die ihr oder ihm amtlich bekannt gewordenen Angelegenheiten Verschwiegenheit zu bewahren. 2Dies gilt nicht für Mitteilungen im dienstlichen Verkehr oder über Tatsachen, die offenkundig sind oder ihrer Bedeutung nach keiner Geheimhaltung bedürfen. 3Die oder der Bundesbeauftragte entscheidet nach pflichtgemäßem Ermessen, ob und inwieweit sie oder er über solche Angelegenheiten vor Gericht oder außergerichtlich aussagt oder Erklärungen abgibt; wenn sie oder er nicht mehr im Amt ist, ist die Genehmigung der oder des amtierenden Bundesbeauftragten erforderlich. 4Unberührt bleibt die gesetzlich begründete Pflicht, Straftaten anzuzeigen und bei Gefährdung der freiheitlichen demokratischen 506

|

Hullen

Rechtsstellung der oder des Bundesbeauftragten | § 23 BDSG

Grundordnung für deren Erhaltung einzutreten. 5Für die Bundesbeauftragte oder den Bundesbeauftragten und ihre oder seine Mitarbeiterinnen und Mitarbeiter gelten die §§ 93, 97, 105 Abs. 1, § 111 Abs. 5 in Verbindung mit § 105 Abs. 1 sowie § 116 Abs. 1 der Abgabenordnung nicht. 6Satz 5 findet keine Anwendung, soweit die Finanzbehörden die Kenntnis für die Durchführung eines Verfahrens wegen einer Steuerstraftat sowie eines damit zusammenhängenden Steuerverfahrens benötigen, an deren Verfolgung ein zwingendes öffentliches Interesse besteht, oder soweit es sich um vorsätzlich falsche Angaben der oder des Auskunftspflichtigen oder der für sie oder ihn tätigen Personen handelt. 7Stellt die oder der Bundesbeauftragte einen Datenschutzverstoß fest, ist sie oder er befugt, diesen anzuzeigen und den Betroffenen hierüber zu informieren. (6) Die oder der Bundesbeauftragte darf als Zeugin oder Zeuge aussagen, es sei denn die Aussage würde 1 dem Wohle des Bundes oder eines deutschen Landes Nachteile bereiten, insbesondere Nachteile für die Sicherheit der Bundesrepublik Deutschland oder ihre Beziehungen zu anderen Staaten, oder 2 Grundrechte verletzen. 2Betrifft

die Aussage laufende oder abgeschlossene Vorgänge, die dem Kernbereich exekutiver Eigenverantwortung der Bundesregierung zuzurechnen sind oder sein könnten, darf die oder der Bundesbeauftragte nur im Benehmen mit der Bundesregierung aussagen. 3§ 28 des Bundesverfassungsgerichtsgesetzes bleibt unberührt. (7) 1Die oder der Bundesbeauftragte erhält vom Beginn des Kalendermonats an, in dem das Amtsverhältnis beginnt, bis zum Schluss des Kalendermonats, in dem das Amtsverhältnis endet, im Fall des Absatzes 1 Satz 6 bis zum Ende des Monats, in dem die Geschäftsführung endet, Amtsbezüge in Höhe der Besoldungsgruppe B 11 sowie den Familienzuschlag entsprechend Anlage V des Bundesbesoldungsgesetzes. 2Das Bundesreisekostengesetz und das Bundesumzugskostengesetz sind entsprechend anzuwenden. 3Im Übrigen sind § 12 Abs. 6 sowie die §§ 13 bis 20 und 21a Abs. 5 des Bundesministergesetzes mit den Maßgaben anzuwenden, dass an die Stelle der vierjährigen Amtszeit in § 15 Abs. 1 des Bundesministergesetzes eine Amtszeit von fünf Jahren tritt. 4Abweichend von Satz 3 in Verbindung mit den §§ 15 bis 17 und 21a Abs. 5 des Bundesministergesetzes berechnet sich das Ruhegehalt der oder des Bundesbeauftragten unter Hinzurechnung der Amtszeit als ruhegehaltsfähige Dienstzeit in entsprechender Anwendung des Beamtenversorgungsgesetzes, wenn dies günstiger ist und die oder der Bundesbeauftragte sich unmittelbar vor ihrer oder seiner Wahl zur oder zum Bundesbeauftragten als Beamtin oder Beamter oder als Richterin oder Richter mindestens in dem letzten gewöhnlich vor Erreichen der Besoldungsgruppe B 11 zu durchlaufenden Amt befunden hat. Hullen

|

507

§ 23 BDSG | Datenverarbeitung der öffentlichen Stellen (8) Absatz 5 Satz 5 bis 7 gilt entsprechend für die öffentlichen Stellen, die für die Kontrolle der Einhaltung der Vorschriften über den Datenschutz in den Ländern zuständig sind. I. Einführung . . . . . . . . . . . . . . .

1

II. Amtsverhältnis (Abs. 1–3 und 7) 1. Beginn und Beendigung des Amtsverhältnisses (Abs. 1) . . . . 2. Inkompatibilität (Abs. 2) . . . . . .

3 5

3. Geschenke (Abs. 3) . . . . . . . 4. Amtsbezüge (Abs. 7) . . . . . . III. Zeugnisverweigerungsrecht (Abs. 4) . . . . . . . . . . . . . . . IV. Verschwiegenheitspflicht (Abs. 5 und 6) . . . . . . . . . .

... ...

7 8

...

9

. . . 12

Schrifttum: Siehe § 21 BDSG.

I. Einführung 1 § 23 regelt eine Vielzahl unterschiedlicher Belange, die sich auf das Amtsverhältnis

des BfDI beziehen, nämlich Beginn und Beendigung (Abs. 1) sowie Inkompatibilität des Amtes (Abs. 2), die Annahme von Geschenken (Abs. 3) und Besoldung (Abs. 7) des BfDI. Darüber hinaus wird das Zeugnisverweigerungsrecht (Abs. 4) bzw. die Verschwiegenheitspflicht (Abs. 5 und 6) des BfDI statuiert. In ihrer Systematik ist die Norm unübersichtlich, eine klarere Trennung der verschiedenen Regelungsbereiche durch den Gesetzgeber wäre zu begrüßen gewesen1.

2 Der BfDI ist weder Beamter im staatsrechtlichen Sinne, noch Angestellter im öf-

fentlichen Dienst. Da er in einem Amtsverhältnis sui generis zum Bund steht2, wurden eigene, den Dienst betreffende Regelungen in das BDSG aufgenommen3. Diese orientieren sich an den Regelungen für andere öffentliche Amtsträger, insbesondere an denen, die die Mitglieder der Bundesregierung betreffen (vgl. z.B. §§ 5–7 BMinG). § 23 erfüllt dabei die Vorgaben aus Art. 28 Abs. 7 (Berufsgeheimnis), Abs. 2 (Unabhängigkeit) und Abs. 3, Spiegelstrich 3 (Anzeigerecht) EG-Datenschutzrichtlinie.

2a Auch § 23 wurde durch das BDSG 2016 angepasst, um die unionsrechtlich fest-

geschriebene (völlige) Unabhängigkeit des BfDI in nationales Recht umzusetzen (s. Komm. zu § 22 BDSG Rz. 3a). U.a. findet eine Entlassung nun auf Vorschlag des Bundestagspräsidenten statt (Abs. 1), der auch über die Verwendung von Geschenken entscheidet (Abs. 3) – zuvor oblag dies der Bundesregierung bzw. dem Bundesinnenminister. Neu geregelt wurde auch die Befugnis, vor Gericht oder außergerichtlich auszusagen und Erklärungen abzugeben (Abs. 5 und 6). Zudem wurde die Besoldung des BfDI angehoben (Abs. 7). 1 So auch Däubler/Klebe/Wedde/Weichert/Weichert, § 23 BDSG Rz. 1; s.a. Auernhammer/ von Lewinski, § 23 BDSG Rz. 1, der eine teilweise „große Liebe zum Detail“ attestiert. 2 S. Zöller, Der Datenschutzbeauftragte im Verfassungssystem, S. 33. 3 Roßnagel/Heil, Handbuch Datenschutzrecht, Teil 5.1 Rz. 40.

508

|

Hullen

Rechtsstellung der oder des Bundesbeauftragten | § 23 BDSG

In der DSGVO wird die Unabhängigkeit der Aufsichtsbehörden durch Art. 52 2b (Unabhängigkeit) und der Rahmen des Amtsverhältnisses durch Art. 53 (Allgemeine Bedingungen für die Mitglieder der Aufsichtsbehörde) geregelt. Die konkrete Ausgestaltung, bspw. der Regelungen in Zusammenhang mit der Beendigung des Amtsverhältnisses, der Bestimmung hinsichtlich der Inkompatibilität oder der Verschwiegenheitspflicht, bleibt auch weiterhin den Mitgliedstaaten vorbehalten (Art. 54 DSGVO).

II. Amtsverhältnis (Abs. 1–3 und 7) 1. Beginn und Beendigung des Amtsverhältnisses (Abs. 1) Das Amtsverhältnis des BfDI beginnt nach dessen Wahl (s. Komm. zu § 22 3 BDSG Rz. 4) mit Aushändigung der Ernennungsurkunde durch den Bundespräsidenten (s. Komm. zu § 22 BDSG Rz. 5). Zur Gewährleistung der Unabhängigkeit der Stellung des BfDI endet dessen Amtsverhältnis – außer durch Ablauf der Amtszeit (Satz 2 Nr. 1) und auf eigenes Verlangen (Abs. 1 Satz 3 Var. 1) – nur, wenn er entlassen wird. Dies ist nur auf Vorschlag des Bundespräsidenten dann möglich, wenn Gründe vorliegen, die bei einem Richter auf Lebenszeit eine Entlassung nach §§ 21, 24 DRiG rechtfertigen würden (Satz 3 Var. 2). Aus Gründen der Unabhängigkeit des Amtes des BfDI liegt das Vorschlagsrecht mit Änderung des Abs. 1 Satz 3 durch das BDSG 2016 seit dem 1.1.2016 nicht mehr bei der Bundesregierung (s. Rz. 2a). Es kommen jedoch nur die Entlassungsgründe der §§ 21, 24 DRiG in Betracht, die auf das Amt des BfDI entsprechend anwendbar sind1. Es bedarf, anders als im Falle der Entlassung eines Richters (vgl. § 21 Abs. 3 DRiG), keines rechtskräftigen Gerichtsurteils, ein mit einfacher Mehrheit gefasster Entschluss der Bundesregierung ist zur Einleitung der Entlassung ausreichend2. Der BfDI kann seinerseits das Amt ohne Angaben von Gründen jederzeit niederlegen, indem er seine Entlassung selbst verlangt3. Zur vorübergehenden Weiterführung der Geschäfte bis zur Neubesetzung des 4 Amtes kann der ehemalige Amtsinhaber auch nach Beendigung des Amtsverhältnisses verpflichtet werden (Satz 6). Ein dementsprechendes Ersuchen oblag früher dem Bundesinnenminister. Durch das BDSG 2016 ist aus Gründen der Unabhängigkeit des BfDI nun der Bundestagspräsident für ein solches Ersuchen zuständig (s. Rz. 2a). Die Weiterführung der Geschäfte soll jedoch nur in besonderen Ausnahmefällen, in denen die Behördenleitung nicht durch einen anderen Behördenmitarbeiter kommissarisch übernommen werden kann und für einen begrenzten Zeitraum erfolgen können, in dem die Weiterführung der Geschäfte 1 Gola/Schomerus/Gola/Klug/Körffer, § 23 BDSG Rz. 2. 2 Bergmann/Möhrle/Herb, § 23 BDSG Rz. 4. 3 S. Däubler/Klebe/Wedde/Weichert/Weichert, § 23 BDSG Rz. 2a.

Hullen

|

509

§ 23 BDSG | Datenverarbeitung der öffentlichen Stellen durch den ehemaligen Amtsinhaber unabdingbar ist1. Praktisch wird sich die Regelung in dem „Ersuchen“ bzgl. der Weiterführung der Amtsgeschäfte erschöpfen, da eine Amtsfortführung ohne Zustimmung des ehemaligen Amtsinhabers kaum denkbar ist2. 2. Inkompatibilität (Abs. 2) 5 Dem BfDI ist zur Gewährleistung der Unabhängigkeit des Amtes eine anderwei-

tige Berufsausübung verboten. Er darf neben seinem Amt als Bundesbeauftragter kein anderes besoldetes Amt, kein Gewerbe und keinen sonstigen Beruf ausüben. Weiterhin sind ihm Leitungs- und Aufsichtsfunktionen in Erwerbsunternehmen sowie Regierungs- bzw. gesetzgeberische Tätigkeit auf Bundes- und Landesebene untersagt. Etwaige in Abs. 2 Satz 1 genannte Tätigkeiten sind spätestens mit der Ernennung zum BfDI zu beenden3. Auch die entgeltliche Erstellung von Gutachten beeinträchtigt die Unabhängigkeit des Amtes und ist daher untersagt. Unentgeltliche wissenschaftliche Tätigkeiten wie Lehraufträge, Vorträge, Publikationen und Gutachten sind hingegen nicht verboten, sondern gehören zur typischen Amtsausübung des BfDI4. 6 Die Erstattung unentgeltlicher (gerichtlicher und außergerichtlicher) Gutachten kann gemäß Abs. 6 Satz 2 vom Bundesministerium des Innern versagt werden, wenn die Aufgabenerfüllung des BfDI hierdurch nachteilig betroffen werden würde. Die Gutachtenerstattung auf Anforderung von Bundestag oder Bundesregierung nach § 26 Abs. 2 Satz 1 ist von der Versagungsmöglichkeit nicht umfasst, da es sich hierbei um eine Kernaufgabe des BfDI handelt und das Informationsrecht dieser Verfassungsorgane nicht eingeschränkt werden darf5. Auch darüberhinausgehend ist eine Genehmigungsversagung für etwaige unentgeltliche gutachterliche Tätigkeiten aufgrund der unabhängigen Stellung des BfDI (s. Komm. zu § 22 BDSG Rz. 9) abzulehnen6. 3. Geschenke (Abs. 3) 7 Über die Annahme von Geschenken hat der BfDI das BMI zu unterrichten

(Satz 1). Selbiges entscheidet dann über die weitere Verwendung (Satz 2)7. Auch

1 Ähnlich Gola/Schomerus/Gola/Klug/Körffer, § 23 BDSG Rz. 2; Simitis/Dammann hält die Regelung wegen Unvereinbarkeit mit europäischem Recht für unanwendbar § 23 BDSG Rz. 1. 2 So auch Auernhammer/von Lewinski, § 23 BDSG Rz. 13. 3 Taeger/Gabel/Grittmann, § 23 BDSG Rz. 4. 4 Gola/Schomerus/Gola/Klug/Körffer, § 23 BDSG Rz. 3; kritisch hingegen Zöller, Der Datenschutzbeauftragte im Verfassungssystem, S. 31. 5 In diesem Sinne auch Bergmann/Möhrle/Herb, § 23 BDSG Rz. 31; Gola/Schomerus/ Gola/Klug/Körffer, § 23 BDSG Rz. 17. 6 So auch Simitis/Dammann, § 23 BDSG Rz. 36. 7 Aus europarechtlichen Gründen ablehnend Simitis/Dammann, § 23 BDSG Rz. 13.

510

|

Hullen

Rechtsstellung der oder des Bundesbeauftragten | § 23 BDSG

hierdurch soll die Unabhängigkeit des Amtes gewahrt bleiben und schon der bloße Anschein etwaiger Abhängigkeiten vermieden werden1. Die Unterrichtungspflicht gilt nicht bei geringwertigen Geschenken, die eine gewisse Relevanzgrenze nicht überschreiten2. 4. Amtsbezüge (Abs. 7) Die Besoldung des BfDI wird in Abs. 7 festgeschrieben. Sie ist an die beamten- 8 rechtlichen Maßgaben und die Regelungen für die Mitglieder der Bundesregierung nach den BMinG angelehnt. Durch das BDSG 2016 wurde die Vergütung der Tätigkeit des Bundesbeauftragten auch unter Berücksichtigung der in den letzten Jahren gestiegenen Bedeutung und des Arbeitsumfangs angehoben3. Eine Ministerialzulage erhält der BfDI jedoch nicht.

III. Zeugnisverweigerungsrecht (Abs. 4) Die Möglichkeit der Zeugnisverweigerung (Abs. 4 Satz 1) stärkt das Recht des 9 Betroffenen auf Anrufung des BfDI (§ 21) sowie das Recht aller übrigen Personen, sich in Belangen des Datenschutzes an den Bundesbeauftragten zu wenden4. Die hierfür notwendige Vertrauensbasis kann nur bestehen, wenn der BfDI auch in einem gerichtlichen Verfahren nicht verpflichtet ist, über Personen aussagen zu müssen, die sich an ihn als Amtsträger gewandt haben5 und die ihm in diesem Zusammenhang bekannt gewordenen Tatsachen preiszugeben. Aus diesem Grund bedarf es neben der Pflicht zur Verschwiegenheit (Abs. 5) auch des Rechts, nicht als Zeuge zu Aussagen zu müssen. Es ergänzt die allgemeinen Zeugnisverweigerungsrechte der §§ 52 f. StPO, §§ 383 f. ZPO für die Belange der Amtsausübung des BfDI. Das Zeugnisverweigerungsrecht des Abs. 4 ist durch das BDSG 2016 bis auf die Einfügung der weiblichen Amtsbezeichnungen nicht verändert worden6. Das Zeugnisverweigerungsrecht erstreckt sich auch auf die Behördenmitarbeiter 10 (Abs. 4 Satz 2). In diesen Fällen bleibt es jedoch dem BfDI vorbehalten, über Ausübung und Umfang der Zeugnisverweigerung zu entscheiden. Das Zeugnisverweigerungsrecht liefe größtenteils leer, wenn in einem Verfahren 11 statt einer Aussage die Vorlegung von Akten oder anderen Schriftstücken gefordert werden könnte, was durch Satz 3 unterbunden wird. Die Begriffe Akten 1 2 3 4 5 6

Vgl. Gola/Schomerus/Gola/Klug/Körffer, § 23 BDSG Rz. 4. Schaffland/Wiltfang, § 23 BDSG Rz. 6. S. BT-Drucks. 18/2848, S. 18. BT-Drucks. 11/4306, S. 47. S. hierzu Simitis/Dammann, § 23 BDSG Rz. 14. von Lewinski, ZG 2015, 288 (234).

Hullen

|

511

§ 23 BDSG | Datenverarbeitung der öffentlichen Stellen und Schriftstücke sind dabei weit zu verstehen. Umfasst sind hierdurch z.B. auch E-Mails und sonstige Aufzeichnungen, die weder in Schriftform vorliegen, noch bereits zur Akte verfügt wurden. Auch eine Beschlagnahme dieser Unterlagen ist ausgeschlossen1.

IV. Verschwiegenheitspflicht (Abs. 5 und 6) 12 Der BfDI ist zur Verschwiegenheit über die ihm amtlich bekannt gewordenen

Angelegenheiten verpflichtet. Die Verschwiegenheitspflicht gilt dabei auch über die Beendigung des Amtsverhältnisses hinaus fort (Satz 1). Offenkundige Tatsachen oder Mitteilungen im dienstlichen Verkehr (solche erfolgen im Rahmen der amts- und anlassbezogenen Kommunikation mit anderen Behörden2) und Tatsachen mit geringer Bedeutung unterliegen nicht der Verschwiegenheitspflicht (Abs. 5 Satz 2).

12a Bis zum 1.1.2016 bedurfte eine gerichtliche oder außergerichtliche Aussage des

Bundesbeauftragten der Genehmigung des Bundesinnenministers. Durch das BDSG 2016 wurde Abs. 5 Satz 3 geändert und damit die Aussagebefugnis des BfDI neu geregelt. Nun entscheidet der Bundesbeauftrage im Allgemeinen nach pflichtgemäßem Ermessen selbst, ob und in welchem Umfang er aussagt oder Erklärungen abgibt. Auch hiermit wird der unionsrechtlich festgeschriebenen Unabhängigkeit der Datenschutzkontrollstelle Rechnung getragen (s. Komm. zu § 22 BDSG Rz. 9)3. Nach dem Ausscheiden aus dem Amt bedürfen Aussagen und Erklärungen jedoch weiterhin einer Genehmigung, da Unabhängigkeit und das Recht zur Ermessensentscheidung über eine Aussage an das Amt des BfDI gekoppelt sind, nicht an den (ehemaligen) Amtsträger4. Über eine entsprechende Aussagegenehmigung entscheidet der amtierende Bundesbeauftragte (Abs. 5 Satz 3 Halbs. 2).

13 Abs. 6 Satz 1 enthält Einschränkungen des Aussagerechts. Durch das BDSG

2016 werden hier nun die Fälle geregelt, in denen der Bundesbeauftragte nicht bzw. nur im Benehmen mit der Bundesregierung als Zeuge aussagen darf. Hierbei handelt es sich um drei Fallgruppen: – die Aussage bereitet dem Wohle des Bundes oder eines Bundeslandes Nachteile, insbesondere hinsichtlich der Sicherheit der Bundesrepublik Deutschland oder der Beziehungen zu anderen Staaten (Abs. 6 Satz 1 Nr. 1)5 oder

1 BT-Drucks. 11/4306, S. 47. 2 S. Auernhammer/von Lewinski, § 23 BDSG Rz. 28. Hierbei ist die Mitteilung auf die unabdingbar notwendigen Angaben zu beschränken, s. Gola/Schomerus/Gola/Klug/ Körffer, § 23 BDSG Rz. 11. 3 BT-Drucks. 18/2848, S. 14. 4 S.a. BT-Drucks. 18/2848, S. 14. 5 Ausführlich von Lewinski, ZG 2015, 288 (235).

512

|

Hullen

Rechtsstellung der oder des Bundesbeauftragten | § 23 BDSG

– die Aussage verletzt (konkret) Grundrechte (Abs. 6 Satz 1 Nr. 2) oder – die Aussage betrifft Vorgänge, die dem Kernbereich exekutiver Eigenverantwortung zuzurechnen sind oder zugerechnet werden könnten (Abs. 6 Satz 2). Während in in den Fällen des Satz 1 der Bundesbeauftragte nicht aussagen darf1, kann dieser über Vorgänge im Sinne von Satz 2 nur „im Benehmen“ mit der Bundesregierung aussagen. Die Regelung des Satz 2 zu Aussagen mit Bezug zum Kernbereich exekutiver Ei- 13a genverantwortung (der z.B. Informationen über die Willensbildung der Bundesregierung, Erörterungen im Kabinett oder Vorbereitungen von Kabinetts- und Ressortentscheidungen umfasst2) wird kritisch betrachtet. Zum einen wird der weite Interpretationsspielraum des Kernbereichs bemängelt sowie der Umstand, das schon eine nur etwaige Zuordnung zu diesem bereits das Aussagerecht des BfDI einschränkt3. Zudem ist unklar, wie sich in der Praxis das „Benehmen“ der Bundesregierung von einem „Einvernehmen“ oder einer Genehmigung der Aussage durch diese unterscheiden soll4. Gemäß Abs. 6 Satz 3 kann eine Genehmigung zur Aussage vor dem BVerfG 13b nur versagt werden, wenn es das Wohl des Bundes oder eines Landes erfordert, wobei das BVerfG die Verweigerung der Aussagegenehmigung für unbegründet erklären kann (vgl. § 28 Abs. 2 Satz 2 BVerfGG). Durch die Verschwiegenheitspflicht wird das Recht zur Anzeige einer Straftat 14 nach § 44 und Stellung eines Strafantrags nicht eingeschränkt (Abs. 5 Satz 7). Entsprechende Pflichten ergeben sich aus dem Amtseid des BfDI (§ 22 Abs. 2) und § 138 StGB. Auf die Erteilung einer Aussagegenehmigung kommt es in diesen Fällen nicht an5. Mitteilungs- und Vorlagepflichten der Abgabenordnung werden durch Abs. 5 15 Satz 5 eingeschränkt, um auch gegenüber den Finanzbehörden im Rahmen der Ermittlung der Steuerpflicht die Verschwiegenheitspflicht aufrecht zu erhalten. Eine Ausnahme hiervon besteht lediglich im Zusammenhang mit Steuerstraftaten und vorsätzlich falschen Angaben des Steuerpflichtigen (Abs. 5 Satz 6). Die Regelungen des Satz 5 und 6 sowie die Anzeigebefugnis (Abs. 5 Satz 7) gelten gemäß Abs. 8 auch für die öffentlichen Stellen, die für die Kontrolle des Datenschutzes auf Landesebene zuständig sind.

1 Zur Frage, ob es sich um eine Aussageverweigerungspflicht oder ein Aussageverbot bzw. um eine gebundene Entscheidung oder eine Ermessensentscheidung des BfDI handelt, s. von Lewinski, SG 2015, 288 (235 f.). 2 S.a. BT-Drucks. 18/2848, S. 19. 3 Schaar, MMR 2014, 641 (642). 4 S.a. von Lewinski, SG 2015, 288 (236). 5 Simitis/Dammann, § 23 BDSG Rz. 30.

Hullen

|

513

§ 24 BDSG | Datenverarbeitung der öffentlichen Stellen

§ 24 Kontrolle durch die Bundesbeauftragte oder den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (1) Die oder der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit kontrolliert bei den öffentlichen Stellen des Bundes die Einhaltung der Vorschriften dieses Gesetzes und anderer Vorschriften über den Datenschutz. (2) 1Die Kontrolle der oder des Bundesbeauftragten erstreckt sich auch auf 1. von öffentlichen Stellen des Bundes erlangte personenbezogene Daten über den Inhalt und die näheren Umstände des Brief-, Post- und Fernmeldeverkehrs, und 2. personenbezogene Daten, die einem Berufs- oder besonderen Amtsgeheimnis, insbesondere dem Steuergeheimnis nach § 30 der Abgabenordnung, unterliegen. 2Das Grundrecht des Brief-, Post- und Fernmeldegeheimnisses des Artikels 10 des Grundgesetzes wird insoweit eingeschränkt. 3Personenbezogene Daten, die der Kontrolle durch die Kommission nach § 15 des Artikel 10-Gesetzes unterliegen, unterliegen nicht der Kontrolle durch die Bundesbeauftragte oder den Bundesbeauftragten, es sei denn, die Kommission ersucht die Bundesbeauftragte oder den Bundesbeauftragten, die Einhaltung der Vorschriften über den Datenschutz bei bestimmten Vorgängen oder in bestimmten Bereichen zu kontrollieren und ausschließlich ihr darüber zu berichten. 4Der Kontrolle durch die Bundesbeauftragte oder den Bundesbeauftragten unterliegen auch nicht personenbezogene Daten in Akten über die Sicherheitsüberprüfung, wenn der Betroffene der Kontrolle der auf ihn bezogenen Daten im Einzelfall gegenüber der oder dem Bundesbeauftragten widerspricht. (3) Die Bundesgerichte unterliegen der Kontrolle der oder des Bundesbeauftragten nur, soweit sie in Verwaltungsangelegenheiten tätig werden. (4) 1Die öffentlichen Stellen des Bundes sind verpflichtet, die Bundesbeauftragte oder den Bundesbeauftragten und ihre oder seine Beauftragten bei der Erfüllung ihrer Aufgaben zu unterstützen. 2Ihnen ist dabei insbesondere 1. Auskunft zu ihren Fragen sowie Einsicht in alle Unterlagen, insbesondere in die gespeicherten Daten und in die Datenverarbeitungsprogramme, zu gewähren, die im Zusammenhang mit der Kontrolle nach Absatz 1 stehen, 2. jederzeit Zutritt in alle Diensträume zu gewähren. 3Die in § 6 Abs. 2 und § 19 Abs. 3 genannten Behörden gewähren die Unterstützung nur der oder dem Bundesbeauftragten selbst und den von ihr oder ihm schriftlich besonders Beauftragten. 4Satz 2 gilt für diese Behörden nicht, 514

|

Hullen

Kontrolle durch die oder den Bundesbeauftragten | § 24 BDSG

soweit die oberste Bundesbehörde im Einzelfall feststellt, dass die Auskunft oder Einsicht die Sicherheit des Bundes oder eines Landes gefährden würde. (5) 1Die oder der Bundesbeauftragte teilt das Ergebnis ihrer oder seiner Kontrolle der öffentlichen Stelle mit. 2Damit kann sie oder er Vorschläge zur Verbesserung des Datenschutzes, insbesondere zur Beseitigung von festgestellten Mängeln bei der Verarbeitung oder Nutzung personenbezogener Daten, verbinden. 3§ 25 bleibt unberührt. (6) Absatz 2 gilt entsprechend für die öffentlichen Stellen, die für die Kontrolle der Einhaltung der Vorschriften über den Datenschutz in den Ländern zuständig sind. I. II. 1. 2. III.

Einführung . . . . . . . . . . . . . Kontrollaufgaben (Abs. 1) Aufgabe . . . . . . . . . . . . . . . . Kontrollumfang . . . . . . . . . . Kontrolle sensibler Bereiche (Abs. 2) . . . . . . . . . . . . . . . . 1. Berufs- und besondere Amtsgeheimnisse (Abs. 2 Satz 1–3)

..

1

.. ..

2 3

..

6

..

7

2. Widerspruchsrecht bei Akten über die Sicherheitsüberprüfung (Abs. 2 Satz 4) . . . . . . . . . . . . . IV. Kontrolle der Gerichte (Abs. 3) V. Unterstützung (Abs. 4) . . . . . . VI. Mitteilungspflicht (Abs. 5) . . . .

10 12 13 16

Schrifttum: Siehe § 21 BDSG.

I. Einführung Die Norm regelt eines der wichtigsten Aufgabengebiete des BfDI, nämlich die 1 Kontrolle öffentlicher Stellen des Bundes in Bezug auf die Einhaltung datenschutzrechtlicher Vorgaben (Abs. 1). Ausdrücklich erstrecken sich die Kontrollbefugnisse auch auf personenbezogene Daten, die besonderen Geheimhaltungspflichten im Bereich des Brief-, Post- und Fernmeldeverkehrs oder einem sonstigen Berufs- oder Amtsgeheimnis unterfallen. Einschränkungen bestehen jedoch bei Daten, die in den Zuständigkeitsbereich der G10-Kommission fallen (Abs. 2) sowie bei Bundesgerichten, die der Kontrolle nur unterfallen, soweit sie in Angelegenheiten der Justizverwaltung tätig werden (Abs. 3). Des Weiteren werden Mitwirkungspflichten der zu kontrollierenden Stelle (Abs. 4) und die Mitteilung des Kontrollergebnisses durch den BfDI festgelegt. § 24 setzt zusammen mit den anderen Normen des dritten Unterabschnitts Vorgaben aus Art. 28 EG-Datenschutzrichtlinie in deutsches Recht um1. Die DSGVO bestimmt die Aufgaben der Aufsichtsbehörden in Art. 57 sowie 1a den Kontrollumfang in Art. 55 (Zuständigkeit). 1 Zu den erfolgten Anpassungen der Norm durch die Umsetzung der EG-Datenschutzrichtlinie s. Gola/Schomerus/Gola/Klug/Körffer, § 24 BDSG Rz. 1.

Hullen

|

515

§ 24 BDSG | Datenverarbeitung der öffentlichen Stellen II. Kontrollaufgaben (Abs. 1) 1. Aufgabe 2 Die nachträgliche Kontrolle der Einhaltung datenschutzrechtlicher Vorgaben

durch öffentliche Stellen des Bundes ist eine der originären Tätigkeiten des BfDI, die trotz nachträglich hinzugekommener gesetzlicher Aufgaben im präventiven Bereich noch immer einen hohen Stellenwert einnimmt1. Der BfDI ist zur Kontrolle verpflichtet, jedoch steht die Art und Weise der konkrete Ausübung (bspw. durch Befragungen oder Besuche) in seinem Ermessen2. Dies gilt insbesondere für die Auswahl der zu kontrollierenden Stellen, die konkrete Ausgestaltung und den Zeitpunkt der Durchführung der Kontrollen3. Es kommen sowohl anlasslose, turnusgemäß oder unregelmäßig durchgeführte, als auch anlassbezogene Kontrollen in Betracht. 2. Kontrollumfang

3 Der Kontrolle unterfallen öffentliche Stellen des Bundes i.S.v. § 2 (s. Komm. zu

§ 2 BDSG Rz. 5)4. Umfasst werden daher auch Vereinigungen des privaten Rechts von öffentlichen Stellen des Bundes und der Länder nach § 2 Abs. 3. Auch nicht-öffentliche Stellen können in den Kontrollbereich des BfDI fallen, wenn diese im Auftrag des Bundes handeln (s. § 11 Abs. 4 Nr. 1 Buchst. b). Der Kontrolle unterfallen daher umfassend alle Stellen des Bundes sowie die Verfassungsorgane Bundestag, Bundesrat, Bundespräsident und die Bundesregierung5. Die Bundesgerichte werden nur kontrolliert, soweit personenbezogene Daten in Justizverwaltungsangelegenheiten anfallen (s. hierzu Rz. 12).

4 Kontrollgegenstand ist die vollumfängliche Einhaltung der Vorschriften des

BDSG und anderer Vorschriften über den Datenschutz6. Neben den allgemeinen datenschutzrechtlichen Vorschriften von Bund und Ländern und den bereichsspezifischen Normen gehören hierzu alle Vorschriften, die den Einzelnen i.S.v. § 1 Abs. 1 vor der Beeinträchtigung seines Persönlichkeitsrechts durch den Umgang mit personenbezogenen Daten schützen7. Hierunter fallen neben Vorgaben aus formellen und materiellen Gesetzen auch Verwaltungsvorschriften

1 Vgl. Däubler/Klebe/Wedde/Weichert/Weichert, § 24 BDSG Rz. 1. 2 Däubler/Klebe/Wedde/Weichert/Weichert, § 24 BDSG Rz. 4. 3 Vgl. Auernhammer/von Lewinski, § 23 BDSG Rz. 21; Taeger/Gabel/Grittmann, § 24 BDSG Rz. 3. 4 Simitis/Dammann, § 24 BDSG Rz. 5. 5 Gola/Schomerus/Gola/Klug/Körffer, § 24 BDSG Rz. 2. 6 So auch Bergmann/Möhrle/Herb, § 24 BDSG Rz. 7; Taeger/Gabel/Grittmann, § 24 BDSG Rz. 7. 7 S.a. Simitis/Dammann, § 24 BDSG Rz. 9.

516

|

Hullen

Kontrolle durch die oder den Bundesbeauftragten | § 24 BDSG

und allgemeine Dienstanweisungen1, soweit diese gesetzliche Regelungen rechtmäßig konkretisieren2. Einzelweisungen zählen jedoch nicht zum Kontrollmaßstab des BfDI, da es sich hierbei nicht um Vorschriften i.S. einer allgemeinen Vorgabe in Bezug auf den Umgang mit personenbezogenen Daten handelt3. Inhaltlich sind neben Vorschriften über die Zulässigkeit der Erhebung und Ver- 5 wendung sowie über die Rechte des Betroffenen (einschließlich der Grundrechte) auch Regelungen umfasst, die Verfahren, Organisation oder Technik (bspw. Aspekte der Datensicherheit) betreffen4. Bei der Beurteilung der Frage, ob die datenschutzrechtlichen Vorschriften eingehalten werden, ist ein etwaiger der zu kontrollierenden Stelle eingeräumter Beurteilungsspielraum, bspw. im Rahmen der Ermessensausübung, zu berücksichtigen5.

III. Kontrolle sensibler Bereiche (Abs. 2) Abs. 2 regelt die Kontrollbefugnisse des BfDI von personenbezogenen Daten in 6 sensiblen Bereichen. Dies sind vornehmlich solche, die im Zusammenhang mit dem Brief-, Post- und Fernmeldeverkehr stehen (Nr. 1) sowie personenbezogene Daten, die unter ein Berufs- oder besonderen Amtsgeheimnis fallen (Nr. 2). Ob sich die Kontrollbefugnisse des BfDI auch auf die genannten sensiblen Bereiche beziehen, war vor der Klarstellung durch den Gesetzgeber, insbesondere im Zusammenhang mit Daten, die dem Steuergeheimnis unterfallen, umstritten6. 1. Berufs- und besondere Amtsgeheimnisse (Abs. 2 Satz 1–3) Gemäß Abs. 2 Satz 1 Nr. 2 erstreckt sich die Kontrolle des BfDI auch auf die 7 personenbezogenen Daten einer öffentlichen Stelle des Bundes, die einem Berufs- oder besonderen Amtsgeheimnis unterfallen. Ausdrücklich wird hierbei das Steuergeheimnis hervorgehoben, umfasst sind jedoch personenbezogene Daten jeglicher Berufs- oder besonderer Amtsgeheimnisse. Hierzu zählen bspw. das Arztgeheimnis und die Berufsgeheimnisse von Rechtsanwälten und Notaren sowie die Verschwiegenheitspflichten weiterer in § 203 Abs. 1 StGB genannter 1 Auernhammer/von Lewinski, § 24 BDSG Rz. 19. 2 Verwaltungsvorschriften und allgemeine Dienstanweisungen unterliegen selbst der Kontrolle durch den BfDI und sind daher lediglich sekundär als Kontrollmaßstäbe heranzuziehen, s. Simitis/Dammann, § 24 BDSG Rz. 9. 3 Einzelweisungen unterfallen jedoch selbstverständlich der Kontrolle selbst, s. Auernhammer/von Lewinski, § 24 BDSG Rz. 19; Simitis/Dammann, § 24 BDSG Rz. 9. 4 S. Däubler/Klebe/Wedde/Weichert/Weichert, § 24 BDSG Rz. 3; Gola/Schomerus/Gola/ Klug/Körffer, § 24 BDSG Rz. 3. 5 Ausführlich Simitis/Dammann, § 24 BDSG Rz. 12; Taeger/Gabel/Grittmann, § 24 BDSG Rz. 11. 6 S. hierzu Gola/Schomerus/Gola/Klug/Körffer, § 24 BDSG Rz. 6.

Hullen

|

517

§ 24 BDSG | Datenverarbeitung der öffentlichen Stellen Personen1. Als weitere besondere Amtsgeheimnisse sind u.a. das Statistikgeheimnis (§ 16 BStatG) und das Sozialgeheimnis (§ 35 SGB I) zu nennen. 8 Auch personenbezogene Daten, die dem Brief-, Post- oder Fernmeldegeheim-

nis des Art. 10 GG unterliegen, fallen in den Kontrollbereich des BfDI. Diese Kompetenzerweiterung erfolgte zum einen in Hinblick auf die Einordnung der Nachfolgeunternehmen der Deutschen Bundespost als öffentliche Stellen (§ 2 Abs. 1 Satz 2). Zum anderen unterliegen öffentliche Stellen, die nicht nur in das Recht auf informationelle Selbstbestimmung, sondern auch in andere Grundrechte des Betroffenen, hier in das Recht aus Art. 10 Abs. 1 GG, eingreifen, einem besonderen Kontrollbedürfnis. Die Befugnisse des BfDI erstrecken sich dabei auch auf Konstellationen, in denen das Brief-, Post- oder Fernmeldegeheimnis noch nicht gebrochen ist. Somit sind auch Datenschutzkontrollen möglich, bei denen der BfDI zwangsläufig Kenntnis von geschützten Kommunikationsinhalten nehmen muss, um seine Aufgaben effektiv wahrnehmen zu können2.

9 Nicht der Kontrolle des BfDI unterfallen personenbezogene Daten, die der Kon-

trolle durch die Kommission i.S.d. § 15 Artikel 10-Gesetz („Gesetz zur Beschränkung des Brief-, Post- und Fernmeldegeheimnisses“) unterfallen. Eine Datenschutzkontrolle ist insofern bereits durch die unabhängige, weisungsungebundene G 10-Kommission3 gewährleistet. Die Kommission kann dem BfDI jedoch Gelegenheit zur Stellungnahme in Fragen des Datenschutzes geben, s. § 15 Abs. 5 Satz 4 Artikel 10-Gesetz. Der BfDI darf in diesem Fall jedoch ausschließlich der Kommission Bericht erstatten4. 2. Widerspruchsrecht bei Akten über die Sicherheitsüberprüfung (Abs. 2 Satz 4)

10 Eingeschränkt wird die Kontrollbefugnis des BfDI hinsichtlich personenbezoge-

ner Daten, die sich in Akten über die Sicherheitsüberprüfung nach dem Sicherheitsüberprüfungsgesetzes (SÜG) befinden. Sie betreffen die Überprüfung einer Person, die mit sicherheitsempfindlichen Tätigkeiten, die in der Regel Zugang zu vertraulichen Verschlusssachen beinhalten (§ 1 Abs. 2), betraut wird. Der Betroffene kann in den Fällen des Satzes 4 einer Kontrolle der ihn betreffenden personenbezogenen Daten widersprechen. Die Ausnahmeregelung rechtfertigt sich aus dem Inhalt der Überprüfungsakten der jeweiligen Person. Diese enthalten u.U. Stellungnahmen über die persönliche Integrität des Betroffenen und können ein umfassendes Persönlichkeitsprofil über den Betroffenen eröff-

1 2 3 4

Taeger/Gabel/Grittmann, § 24 BDSG Rz. 14. S. ausführlich Simitis/Dammann, § 24 Rz. 20. Taeger/Gabel/Grittmann, § 24 BDSG Rz. 16. Gola/Schomerus/Gola/Klug/Körffer, § 24 BDSG Rz. 9; Simitis/Dammann, § 24 BDSG Rz. 22.

518

|

Hullen

Kontrolle durch die oder den Bundesbeauftragten | § 24 BDSG

nen1. Bei einem Widerspruch, der dem BfDI gegenüber erklärt werden muss2, überwiegt daher das Geheimhaltungsinteresse des Betroffenen das öffentliche Interesse an einer Kontrolle durch den BfDI3. Nach Abs. 6 ist die Regelung des Abs. 2 entsprechend anwendbar für öffentliche 11 Stellen, die in den Ländern für die Kontrolle der Einhaltung des Datenschutzes zuständig sind4.

IV. Kontrolle der Gerichte (Abs. 3) Eine weitere Ausnahme von den umfangreichen Kontrollbefugnissen des BfDI 12 ist in Abs. 3 für den Bereich der Judikative festgeschrieben. Die Ausnahme ist auf die in Art. 97 GG festgeschriebene richterliche Unabhängigkeit zurückzuführen5. Der Kontrolle unterfällt hingegen der gesamte Bereich der Justizverwaltungsangelegenheiten, d.h. die Eigenverwaltung der Gerichte (wie z.B. im Bereich der Personalverwaltung oder Mittelbeschaffung, Justizverwaltungsakte nach § 23 EGGVG). Dies gilt auch für Tätigkeiten der Geschäftsstellen, von Rechtspflegern und der Registerführung6. Alle Daten, die in Bezug zu Rechtsfindung und Rechtsspruch sowie zu den diesbezüglichen Vorbereitungs- und Durchführung stehen, gehören zum Kernbereich der richterlichen Unabhängigkeit und entziehen sich der Kontrolle durch den BfDI7.

V. Unterstützung (Abs. 4) Zur effektiven Wahrnehmung seiner Kontrollaufgaben ist der BfDI auf die Un- 13 terstützung der zu kontrollierenden Stelle angewiesen. Um im Bedarfsfall relevante Informationen auch bei fehlendem Mitwirkungswillen erhalten zu können, verpflichtet Abs. 4 die Stellen insbesondere, Unterlagen offenzulegen und dem BfDI Zutritt zu allen Diensträumen zu gewähren (Satz 2). Die Pflichten des Abs. 4 bestehen auch gegenüber Mitarbeitern und Beauftragten des BfDI8. Die Pflicht beschränkt sich hierbei nicht nur auf die Überlassung von Unterla- 14 gen. Vielmehr hat die zu leistende Unterstützung aktiv und umfassend zu erfol1 So auch Bergmann/Möhrle/Herb, § 24 BDSG Rz. 20; Simitis/Dammann, § 24 BDSG Rz. 25. 2 S. hierzu auch Weichert, CR 1994, 180. 3 So auch Gola/Schomerus/Gola/Klug/Körffer, § 24 BDSG Rz. 10. 4 S. hierzu Taeger/Gabel/Grittmann, § 24 BDSG Rz. 25. 5 Ausführlich Gola/Schomerus/Gola/Klug/Körffer, § 24 BDSG Rz. 11. 6 Däubler/Klebe/Wedde/Weichert/Weichert, § 24 Rz. 8. 7 Gola/Schomerus/Gola/Klug/Körffer, § 24 BDSG Rz. 11. 8 S. Simitis/Dammann, § 24 BDSG Rz. 38.

Hullen

|

519

§ 24 BDSG | Datenverarbeitung der öffentlichen Stellen gen. Dies gilt insbesondere vor dem Hintergrund, dass Daten nicht ohne weitere Hilfe (z.B. papierbasiert in Akten) einsehbar, sondern in mitunter hochkomplexen technischen Systemen gespeichert sind, die sich ohne entsprechende Mitwirkung nicht kontrollieren lassen1. Satz 2 führt daher nur die wichtigsten Unterstützungshandlungen beispielhaft auf. Die Unterstützung hat vollumfänglich und ohne schuldhaftes Zögern zu erfolgen2. Unregelmäßigkeiten bei der Pflichterfüllung durch die zu kontrollierende Stelle können nach § 25 beanstandet werden. 15 Eine Einschränkung der Unterstützung enthalten Satz 3 und 4 für den Fall der

Kontrolle von Sicherheitsbehörden. Hier ist die Kontrolle ausschließlich vom BfDI persönlich oder von schriftlich Beauftragten durchzuführen. Im Einzelfall können selbst dem BfDI und den Beauftragten i.S.v. Satz 3 Auskünfte verwehrt werden, wenn hierdurch die Sicherheit des Bundes oder eines Landes gefährdet ist. Eine Versagung wird jedoch nur ausnahmsweise in Extremfällen denkbar sein3, da der BfDI bzw. dessen Mitarbeiter den gleichen Geheimhaltungsvorschriften unterworfen sind, wie die Mitarbeiter der Sicherheitsbehörde selbst4.

VI. Mitteilungspflicht (Abs. 5) 16 Die Kontrollergebnisse sind der kontrollierten Stelle mitzuteilen (Satz 1). Die

Mitteilung enthält nicht nur etwaig festgestellte Datenschutzdefizite. Sie soll zudem auch Vorschläge zu deren Beseitigung sowie allgemeine Hinweise zur Anhebung des Datenschutzniveaus umfassen (Satz 2). Ziel der Mitteilung ist die Steigerung der Sensibilität gegenüber Belangen des Datenschutzes und eine konstruktive Kritik, die zu zu einer Verbesserung des Status Quo führt5. Der BfDI wird dabei vom gesetzgeberischen Leitbild als „Partner der öffentlichen Verwaltung“6 verstanden, der (auch) eine beratende Funktion übernimmt. Satz 3 stellt jedoch klar, dass es dem BfDI unbenommen bleibt, neben der Mitteilung nach Abs. 5 auch eine Beanstandung i.S.v. § 25 (s. Komm. zu § 25 BDSG Rz. 2) auszusprechen.

1 2 3 4 5 6

Simitis/Dammann, § 24 BDSG Rz. 32. Däubler/Klebe/Wedde/Weichert/Weichert, § 24 BDSG Rz. 12. S. Simitis/Dammann, § 24 BDSG Rz. 39. So Däubler/Klebe/Wedde/Weichert/Weichert, § 24 Rz. 13. Däubler/Klebe/Wedde/Weichert/Weichert, § 24 Rz. 14. Taeger/Gabel/Grittmann, § 24 BDSG Rz. 24.

520

|

Hullen

Beanstandungen durch die oder den Bundesbeauftragten | § 25 BDSG

§ 25 Beanstandungen durch die Bundesbeauftragte oder den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (1) 1Stellt die oder der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit Verstöße gegen die Vorschriften dieses Gesetzes oder gegen andere Vorschriften über den Datenschutz oder sonstige Mängel bei der Verarbeitung oder Nutzung personenbezogener Daten fest, so beanstandet sie oder er dies 1. bei der Bundesverwaltung gegenüber der zuständigen obersten Bundesbehörde, 2. beim Bundeseisenbahnvermögen gegenüber dem Präsidenten, 3. bei den aus dem Sondervermögen Deutsche Bundespost durch Gesetz hervorgegangenen Unternehmen, solange ihnen ein ausschließliches Recht nach dem Postgesetz zusteht, gegenüber deren Vorständen, 4. bei den bundesunmittelbaren Körperschaften, Anstalten und Stiftungen des öffentlichen Rechts sowie bei Vereinigungen solcher Körperschaften, Anstalten und Stiftungen gegenüber dem Vorstand oder dem sonst vertretungsberechtigten Organ und fordert zur Stellungnahme innerhalb einer von ihm zu bestimmenden Frist auf. 2In den Fällen von Satz 1 Nr. 4 unterrichtet die oder der Bundesbeauftragte gleichzeitig die zuständige Aufsichtsbehörde. (2) Die oder der Bundesbeauftragte kann von einer Beanstandung absehen oder auf eine Stellungnahme der betroffenen Stelle verzichten, insbesondere wenn es sich um unerhebliche oder inzwischen beseitigte Mängel handelt. (3) 1Die Stellungnahme soll auch eine Darstellung der Maßnahmen enthalten, die aufgrund der Beanstandung der oder des Bundesbeauftragten getroffen worden sind. 2Die in Absatz 1 Satz 1 Nr. 4 genannten Stellen leiten der zuständigen Aufsichtsbehörde gleichzeitig eine Abschrift ihrer Stellungnahme an die Bundesbeauftragte oder den Bundesbeauftragten zu. I. Einführung . . . . . . . . . . . . . . . II. 1. 2. 3.

Verfahren (Abs. 1) Voraussetzungen . . . . . . . . . . . Ermessen . . . . . . . . . . . . . . . . . Adressaten . . . . . . . . . . . . . . . .

1 2 3 4

4. 5. III. IV. V.

Form und Inhalt . . . . . . . . . . . 5 Wirkung . . . . . . . . . . . . . . . . . 6 Beanstandungsverzicht (Abs. 2) 8 Stellungnahme (Abs. 3) . . . . . . 9 Streitigkeiten . . . . . . . . . . . . . 11

Schrifttum: Siehe § 21 BDSG.

Hullen

|

521

§ 25 BDSG | Datenverarbeitung der öffentlichen Stellen I. Einführung 1 Der BfDI hat die Befugnis, datenschutzwidriges Verhalten und sonstige Män-

gel des Datenschutzes formell zu beanstanden und eine Stellungnahme hierüber zu verlangen, wodurch der betroffenen Stelle zugleich ein entsprechender Missstand mitgeteilt wird. Sie ist neben den weiteren Handlungsmöglichkeiten des BfDI1, insbesondere der Unterbreitung von Verbesserungsvorschlägen (§ 24 Abs. 5 Satz 2) sowie der Empfehlung und Beratung (§ 26 Abs. 3), ein wichtiges Mittel zur Gewährleistung der Einhaltung des Datenschutzes2. Weisungsbefugnisse oder Möglichkeiten zur Verbesserung datenschutzkritischer Abläufe durch eigenes Eingreifen stehen dem BfDI hingegen nicht zu3. Die Beanstandung entfaltet keine unmittelbare Rechtswirkung4 und kann somit auch nicht als Verwaltungsakt angesehen werden5. Die Möglichkeit der Beanstandung eines rechtswidrigen oder mangelhaften Datenschutzes entspricht den europarechtlichen Vorgaben des § 28 Abs. 3 EG-Datenschutzrichtlinie, der „wirksame Einwirkungsbefugnisse“ für die den Datenschutz kontrollierenden Stellen fordert6.

1a Die Aufgaben und Befugnisse der Aufsichtsbehörden werden in der DSGVO in

Art. 57 und 58 geregelt.

II. Verfahren (Abs. 1) 1. Voraussetzungen 2 Voraussetzung einer Beanstandung durch den BfDI ist die Feststellung eines

Verstoßes gegen eine Vorschrift des Datenschutzes7. Ein weiterer Beanstandungsgrund sind sonstige Mängel bei der Verarbeitung oder Nutzung personenbezogener Daten. Gleiches gilt für Mängel bei der Datenerhebung, die lediglich aufgrund eines Redaktionsversehens nicht als Anlass einer Beschwerde in Abs. 1 Satz 1 aufgeführt sind8. Unter sonstigen Mängeln sind solche Zustände und Abläufe zu verstehen, die zwar nicht eindeutig rechtswidrig, aber trotzdem verbesserungsbedürftig in Hinblick auf ein hohes Datenschutzniveau und den Schutz

1 Eine Übersicht zu den Aufgaben des BfDI findet sich bei Simitis/Dammann, § 24 BDSG Rz. 4. 2 Taeger/Gabel/Grittmann, § 25 BDSG Rz. 1. 3 Roßnagel/Heil, Handbuch Datenschutzrecht, Teil 5.1 Rz. 57; Schaffland/Wiltfang, § 25 BDSG Rz. 1. 4 Simitis/Dammann, § 25 BDSG Rz. 2. 5 Vgl. BVerwG v. 5.2.1992 – 7 B 15/92, CR 1993, 242. 6 S. hierzu Weber, CR 1995, 298. 7 Auernhammer/von Lewinski, § 25 BDSG Rz. 3; Roßnagel/Heil, Handbuch Datenschutzrecht, Teil 5.1 Rz. 56. 8 So auch die Beschlussempfehlung des Innenausschusses, BT-Drucks. 11/7235, S. 102; Simitis/Dammann, § 25 BDSG Rz. 4; Taeger/Gabel/Grittmann, § 25 BDSG Rz. 3.

522

|

Hullen

Beanstandungen durch die oder den Bundesbeauftragten | § 25 BDSG

des allgemeinen Persönlichkeitsrechts der Betroffenen sind1. Es ist unerheblich, ob der Verstoß bzw. Mangel vorsätzlich oder fahrlässig herbeigeführt wurde oder ein Verschulden nicht festzustellen ist2. Rechtsverletzungen und Mängel, die keine Datenschutzrelevanz aufweisen, wie z.B. ineffiziente Arbeitsabläufe, können hingegen nicht vom BfDI beanstandet werden3. 2. Ermessen Nach Feststellung eines Datenschutzverstoßes oder -mangels ist der BfDI be- 3 rechtigt und verpflichtet, Maßnahmen zur Beseitigung des Defizits zu veranlassen. Die Ausnahmeregelung des Abs. 2 schafft jedoch einen breiten Ermessensspielraum4, innerhalb dessen von einer förmlichen Beanstandung, die vom Adressaten oftmals als schwerwiegende Maßnahme empfunden wird5, abgesehen werden kann. Dies wird insbesondere dann sinnvoll sein, wenn die betroffene Stelle bereits Maßnahmen zur Beseitigung des Mangels getroffen hat oder ein fruchtbarer Dialog im Rahmen einer Empfehlung bzw. Beratung durch BfDI schneller und effektiver zur Verbesserung des Datenschutzes führt als eine formelle Beanstandung. Obwohl eine Beanstandung nicht immer als erster Schritt zur Veranlassung der Beseitigung eines Datenschutzmangels erforderlich ist, sieht das Gesetz kein abgestuftes System von Maßnahmen vor. Der BfDI ist prinzipiell nicht verpflichtet, vor einer formellen Beanstandung sein übriges Handlungsinstrumentarium auszuschöpfen. Vielmehr kann er sogleich nach der Feststellung eines Datenschutzmangels von seinem Recht aus Abs. 1 Gebrauch machen6. Dies wird insbesondere bei schwerwiegenden Mängeln oder fehlender Kooperationsbereitschaft der verantwortlichen Stelle angezeigt sein. 3. Adressaten Die Beanstandung datenschutzrelevanter Mängel erfolgt gegenüber der jeweils 4 zuständigen weisungsberechtigten Stelle, da diese, z.B. durch Ausübung der Fach- oder Rechtsaufsicht, für Abhilfe sorgen kann7. Bei Beanstandungen von 1 Die Mängel müssen geeignet sein, das Persönlichkeitsrecht oder schutzwürdige Interesse des Betroffenen zu beeinträchtigen, s. Gola/Schomerus/Gola/Klug/Körffer, § 25 BDSG Rz. 2. 2 Däubler/Klebe/Wedde/Weichert/Weichert, § 25 BDSG Rz. 2. 3 Taeger/Gabel/Grittmann, § 25 BDSG Rz. 3; Simitis/Dammann, § 25 BDSG Rz. 4. 4 Däubler/Klebe/Wedde/Weichert/Weichert, § 25 BDSG Rz. 2. 5 Simitis/Dammann, § 25 BDSG Rz. 7. 6 So auch Däubler/Klebe/Wedde/Weichert/Weichert, § 25 BDSG Rz. 2; Simitis/Dammann, § 25 BDSG Rz. 8; a.A. Gola/Schomerus/Gola/Klug/Körffer, § 25 BDSG Rz. 6, die die Beanstandung als „ultima ratio“ bezeichnen; ausdrücklich auch Roßnagel/Heil, Handbuch Datenschutzrecht, Kap. 5.1 Rz. 56. 7 Vgl. Gola/Schomerus/Gola/Klug/Körffer, § 25 BDSG Rz. 4.

Hullen

|

523

§ 25 BDSG | Datenverarbeitung der öffentlichen Stellen Datenschutzverstößen oder -mängeln in der Bundesverwaltung (Satz 1 Nr. 1) sind die obersten Bundesbehörden, in den meisten Fällen also die jeweiligen Bundesministerien, Adressaten der Beanstandung des BfDI. In den übrigen Fällen des Satzes 1 sind dies die obersten weisungsberechtigten Organe der in Nr. 2–4 aufgezählten Stellen1. Bei Beanstandungen gegenüber bundesunmittelbaren Körperschaften, Anstalten oder Stiftungen (Satz 1 Nr. 4) ist gemäß Satz 2 zusätzlich die für die Fach- und Rechtsaufsicht zuständige Behörde zu unterrichten, die ebenfalls Gelegenheit zur Prüfung der Beanstandung und zur Einleitung von Maßnahmen zur Abhilfe des Mangels erhalten soll. 4. Form und Inhalt 5 Die Beanstandung ist an sich formfrei, da § 25 insofern keine Regelung enthält.

Zweckmäßigerweise wird eine solche jedoch – ggf. nach einer vorab erfolgten mündlichen Beanstandung – in Textform erfolgen. Sie enthält die Darstellung der Sachlage, auf der der Datenschutzverstoß oder der sonstige Mangel beruht, sowie die rechtliche Einschätzung des beanstandeten Vorgangs oder einer Erläuterung, worin der sonstige Mangel (s. Rz. 2) gesehen wird. Zudem fordert der BfDI zur Abgabe einer Stellungnahme (s. Rz. 6, 9) innerhalb einer von ihm bestimmten Frist auf. 5. Wirkung

6 Die Beanstandung löst die Pflicht zur Abgabe einer Stellungnahme des Bean-

standungsadressaten aus. Eine unmittelbar durchsetzbare Abhilfepflicht folgt aus der Beanstandung jedoch nicht. Ihr kommt auch keine aufschiebende Wirkung zu2. Die betroffene Stelle ist also nicht daran gehindert, das beanstandete Verhalten beizubehalten oder zu wiederholen. Der Adressat der Beanstandung ist jedoch im Rahmen des Grundsatzes des Vorrangs des Gesetzes (Art. 20 Abs. 3 GG) zur Herstellung eines rechtmäßigen Zustandes verpflichtet3. Da auch die Pflicht zur Stellungnahme nicht durch den BfDI erzwingbar ist4, hat die Beanstandung eher den Charakter einer formellen Rüge5. Dem BfDI bleibt als wirksames Mittel jedoch die konkrete Benennung der Mängel in den Tätigkeitsbericht (§ 26 Abs. 1)6, der aufgrund seiner hohen Beachtung in Bundestag und Öffentlichkeit zumindest einen entsprechenden Rechtfertigungsdruck bewirkt (s. Rz. 10).

1 Ausführlich Auernhammer/von Lewinski, § 25 BDSG Rz. 10; Bergmann/Möhrle/Herb, § 25 BDSG Rz. 9. 2 Simitis/Dammann, § 25 BDSG Rz. 11. 3 So auch Roßnagel/Heil, Handbuch Datenschutzrecht, Kap. 5.1 Rz. 57. 4 S. Schaffland/Wiltfang, § 25 BDSG Rz. 6; Simitis/Dammann, § 25 BDSG Rz. 21. 5 So Bergmann/Möhrle/Herb, § 25 BDSG Rz. 26. 6 So Taeger/Gabel/Grittmann, § 25 BDSG Rz. 16.

524

|

Hullen

Beanstandungen durch die oder den Bundesbeauftragten | § 25 BDSG

Eine Pflicht zur Unterrichtung der Betroffenen über die beanstandeten Mängel 7 sieht das Gesetz nicht vor. Dem BfDI steht bei der Unterrichtung des Betroffenen ein Ermessen zu1. Grundsätzlich ist jedoch von einer Unterrichtungspflicht auszugehen, wenn keine überwiegenden Interessen der betroffenen Stellen das Informationsinteresse überwiegen. Von einem besonders hohen Interesse des Betroffenen an einer Unterrichtung ist regelmäßig dann auszugehen, wenn sein Hinweis an den BfDI zu der Beanstandung geführt hat (vgl. Komm. zu § 21 BDSG Rz. 2), er Schadensersatzansprüche geltend machen oder Strafantrag stellen kann2. Eine Unterrichtung ist insbesondere dann geboten, wenn der Betroffene auf anderem Wege keine Informationen über die beanstandeten Mängel, die einen rechtswidrigen Eingriff in sein Persönlichkeitsrecht bewirken, einholen kann3.

III. Beanstandungsverzicht (Abs. 2) Die Ausnahmeregelung des Abs. 2 nennt beispielhaft zwei Fälle, in denen von 8 einer Beanstandung abgesehen oder auf eine Stellungnahme verzichtet werden kann. Auch darüber hinaus steht es im Ermessen des BfDI, ob er auf eine Beanstandung verzichtet. Ein Verzicht wird jedoch nur dann in Betracht kommen, wenn die Gewährleistung des Datenschutzes auf andere Weise sichergestellt ist4. Dies kann z.B. dann der Fall sein, wenn sich die verantwortliche Stelle von sich aus an den BfDI mit der Bitte um Beratung wendet oder wenn Maßnahmen zur Beseitigung des Mangels bereits getroffen sind, auch wenn dieser noch nicht vollkommen beseitigt ist5.

IV. Stellungnahme (Abs. 3) Die Stellungnahme wird von dem Adressaten der Beanstandung (s. Rz. 4) unter 9 Mitwirkung der betroffenen Stelle innerhalb der vom BfDI gesetzten Frist abgegeben6. Sie muss erkennen lassen, in welchem Umfang der beanstandete Mangel anerkannt bzw. warum die Beanstandung als gegenstandslos betrachtet wird. Hierbei sind sowohl tatsächliche als auch rechtliche Umstände aufzuführen, die der Bewertung der Beanstandung zugrunde liegen7. Die Stellungnahme enthält 1 Simitis/Dammann, § 25 BDSG Rz. 18 mit Verweis auf die Parallelnormen in Landesdatenschutzgesetzen, die einen solchen Ermessensspielraum ausdrücklich einräumen. 2 Simitis/Dammann, § 25 BDSG Rz. 17. 3 Zutreffend Taeger/Gabel/Grittmann, § 25 BDSG Rz. 6. 4 Taeger/Gabel/Grittmann, § 25 BDSG Rz. 11. 5 Vgl. Simitis/Dammann, § 25 BDSG Rz. 7. 6 S. Bergmann/Möhrle/Herb, § 25 BDSG Rz. 27; Taeger/Gabel/Grittmann, § 25 BDSG Rz. 13. 7 Gola/Schomerus/Gola/Klug/Körffer, § 25 BDSG Rz. 7.

Hullen

|

525

§ 26 BDSG | Datenverarbeitung der öffentlichen Stellen weiterhin Aussagen über geplante bzw. eingeleitete Gegenmaßnahmen (Satz 1) und bereits beseitigte Mängel, soweit sich die betroffene Stelle der Beanstandung anschließt. Die in Abs. 1 Satz 1 Nr. 4 genannten Stellen leiten eine Abschrift der Stellungnahme der zuständigen Aufsichtsbehörde zu, damit diese ggf. im Rahmen der Fach- und Rechtsaufsicht eingreifen und so die bestehenden Datenschutzdefizite beseitigen kann. 10 Im Falle einer ablehnenden Stellungnahme und ausbleibender Abhilfe verbleibt

dem BfDI u.a., die Bundesregierung über die Missstände zu informieren (§ 26 Abs. 3) und den Bundestag, insbesondere im Rahmen seiner Tätigkeitsberichte1, zu unterrichten (§ 26 Abs. 1)2.

V. Streitigkeiten 11 Streitigkeiten im Zusammenhang mit einer Beanstandung fallen in die Zustän-

digkeit der Verwaltungsgerichte3. Da die Beanstandung keinen Regelungscharakter aufweist und eine sonstige Rechtsbeeinträchtigung regelmäßig nicht in Betracht kommt, mangelt es jedoch an einer entsprechenden Klagebefugnis4. Dies gilt auch für ein Vorgehen gegen die Aufforderung zur fristgerechten Stellungnahme (Abs. 1 Satz 1). Da die Stellungnahme nicht durch den BfDI erzwungen werden kann (s. Rz. 6), fehlt es auch hier am notwendigen Rechtsschutzbedürfnis. Klagen des BfDI auf Abgabe einer Stellungnahme oder auf Durchführung einer Maßnahme zur Wiederherstellung bzw. Stärkung des Datenschutzes sind unzulässig, da die Verfahrensregelungen des BDSG insoweit abschließend sind und ein Vorgehen im Klageweg gerade nicht vorsehen5.

§ 26 Weitere Aufgaben der oder des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (1) 1Die oder der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit erstattet dem Deutschen Bundestag alle zwei Jahre einen Tätigkeitsbericht. 2Sie oder er unterrichtet den Deutschen Bundestag und die Öffentlichkeit über wesentliche Entwicklungen des Datenschutzes. 1 Zur derzeit aktuellen Übersicht über Beanstandungen nach § 25 BDSG s. z.B. BfDI, 25. Tätigkeitsbericht, S. 243 (Anlage 2). 2 Zu weiteren Eskalationsmöglichkeiten Auernhammer/von Lewinski, § 25 BDSG Rz. 16. 3 Simitis/Dammann, § 25 BDSG Rz. 19. 4 S. BVerwG v. 5.2.1992 – 7 B 15/92, CR 1993, 242. 5 S. Simitis/Dammann, § 25 BDSG Rz. 21.

526

|

Hullen

§ 26 BDSG | Datenverarbeitung der öffentlichen Stellen weiterhin Aussagen über geplante bzw. eingeleitete Gegenmaßnahmen (Satz 1) und bereits beseitigte Mängel, soweit sich die betroffene Stelle der Beanstandung anschließt. Die in Abs. 1 Satz 1 Nr. 4 genannten Stellen leiten eine Abschrift der Stellungnahme der zuständigen Aufsichtsbehörde zu, damit diese ggf. im Rahmen der Fach- und Rechtsaufsicht eingreifen und so die bestehenden Datenschutzdefizite beseitigen kann. 10 Im Falle einer ablehnenden Stellungnahme und ausbleibender Abhilfe verbleibt

dem BfDI u.a., die Bundesregierung über die Missstände zu informieren (§ 26 Abs. 3) und den Bundestag, insbesondere im Rahmen seiner Tätigkeitsberichte1, zu unterrichten (§ 26 Abs. 1)2.

V. Streitigkeiten 11 Streitigkeiten im Zusammenhang mit einer Beanstandung fallen in die Zustän-

digkeit der Verwaltungsgerichte3. Da die Beanstandung keinen Regelungscharakter aufweist und eine sonstige Rechtsbeeinträchtigung regelmäßig nicht in Betracht kommt, mangelt es jedoch an einer entsprechenden Klagebefugnis4. Dies gilt auch für ein Vorgehen gegen die Aufforderung zur fristgerechten Stellungnahme (Abs. 1 Satz 1). Da die Stellungnahme nicht durch den BfDI erzwungen werden kann (s. Rz. 6), fehlt es auch hier am notwendigen Rechtsschutzbedürfnis. Klagen des BfDI auf Abgabe einer Stellungnahme oder auf Durchführung einer Maßnahme zur Wiederherstellung bzw. Stärkung des Datenschutzes sind unzulässig, da die Verfahrensregelungen des BDSG insoweit abschließend sind und ein Vorgehen im Klageweg gerade nicht vorsehen5.

§ 26 Weitere Aufgaben der oder des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (1) 1Die oder der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit erstattet dem Deutschen Bundestag alle zwei Jahre einen Tätigkeitsbericht. 2Sie oder er unterrichtet den Deutschen Bundestag und die Öffentlichkeit über wesentliche Entwicklungen des Datenschutzes. 1 Zur derzeit aktuellen Übersicht über Beanstandungen nach § 25 BDSG s. z.B. BfDI, 25. Tätigkeitsbericht, S. 243 (Anlage 2). 2 Zu weiteren Eskalationsmöglichkeiten Auernhammer/von Lewinski, § 25 BDSG Rz. 16. 3 Simitis/Dammann, § 25 BDSG Rz. 19. 4 S. BVerwG v. 5.2.1992 – 7 B 15/92, CR 1993, 242. 5 S. Simitis/Dammann, § 25 BDSG Rz. 21.

526

|

Hullen

Weitere Aufgaben der oder des Bundesbeauftragten | § 26 BDSG

(2) 1Auf Anforderung des Deutschen Bundestages oder der Bundesregierung hat die oder der Bundesbeauftragte Gutachten zu erstellen und Berichte zu erstatten. 2Auf Ersuchen des Deutschen Bundestages, des Petitionsausschusses, des Innenausschusses oder der Bundesregierung geht die oder der Bundesbeauftragte ferner Hinweisen auf Angelegenheiten und Vorgänge des Datenschutzes bei den öffentlichen Stellen des Bundes nach. 3Die oder der Bundesbeauftragte kann sich jederzeit an den Deutschen Bundestag wenden. (3) 1Die oder der Bundesbeauftragte kann der Bundesregierung und den in § 12 Abs. 1 genannten Stellen des Bundes Empfehlungen zur Verbesserung des Datenschutzes geben und sie in Fragen des Datenschutzes beraten. 2Die in § 25 Abs. 1 Nr. 1 bis 4 genannten Stellen sind durch die Bundesbeauftragte oder den Bundesbeauftragten zu unterrichten, wenn die Empfehlung oder Beratung sie nicht unmittelbar betrifft. (4) 1Die oder der Bundesbeauftragte wirkt auf die Zusammenarbeit mit den öffentlichen Stellen, die für die Kontrolle der Einhaltung der Vorschriften über den Datenschutz in den Ländern zuständig sind, sowie mit den Aufsichtsbehörden nach § 38 hin. 2§ 38 Abs. 1 Satz 4 und 5 gilt entsprechend. I. Einführung . . . . . . . . . . . . . . . II. Tätigkeitsbericht und Unterrichtung (Abs. 1) . . . . . . III. Gutachten, Berichterstattung, Untersuchungen (Abs. 2) . . . . .

1 3

IV. Empfehlungen und Beratung (Abs. 3) . . . . . . . . . . . . . . . . . . 9 V. Zusammenarbeit der Datenschutzstellen (Abs. 4) . . . 13

6

Schrifttum: Siehe § 21 BDSG.

I. Einführung Neben der Bearbeitung von Eingaben (§ 21), der Kontrolle des Datenschutzes 1 öffentlicher Stellen des Bundes (§ 24) und der Möglichkeit der förmlichen Beanstandung von Datenschutzdefiziten (§ 25) statuiert § 26 weitere wesentliche Aufgaben des BfDI, nämlich die Erstattung des Tätigkeitsberichts (Abs. 1) sowie von Gutachten und Berichten (Abs. 2) und die Beratung öffentlicher Stellen des Bundes in Fragen des Datenschutzes (Abs. 3). Abs. 4 regelt die Koordinierung der Tätigkeit des BfDI mit den übrigen für den Datenschutz zuständigen Stellen des öffentlichen und nicht-öffentlichen Bereichs. Aufgaben und Befugnisse der Aufsichtsbehörden werden künftig durch Art. 57, 58 DSGVO bestimmt. Insbesondere Begutachtung und Beratung durch den BfDI sind Teil eines prä- 2 ventiven Datenschutzes, der über Gefahren, problematische Entwicklungen und eine entsprechende datenschutzgerechte Ausgestaltung von Abläufen und Verfahren aufklärt, bevor es zu einem Verstoß gegen Datenschutzregelungen Hullen

|

527

§ 26 BDSG | Datenverarbeitung der öffentlichen Stellen kommt. Gleiches gilt für die Erstellung des Tätigkeitsberichts, der jedoch nur teilweise dem präventiven Wirken des BfDI zuzuordnen ist, da hier bereits begangene Datenschutzverstöße und Beanstandungen i.S.d. § 25 benannt werden. § 26 setzt dabei die Anforderungen von Art. 28 Abs. 5 (Berichterstattung) und Abs. 6 (Zusammenarbeit der Kontrollstellen) EG-Datenschutzrichtlinie in nationales Recht um.

II. Tätigkeitsbericht und Unterrichtung (Abs. 1) 3 Der BfDI ist berechtigt und verpflichtet, dem Bundestag einen Tätigkeitsbericht

zu übermitteln, der jedoch gleichermaßen der Information von Öffentlichkeit, weiteren politisch Beteiligten, Betroffenen und verantwortlichen Stellen (auch des nicht-öffentlichen Bereichs) dient1. Durch das BDSG 2001 wurde der Berichtszeitraum auf zwei Jahre ausgedehnt, da sich in der Parlamentspraxis herausstellte, dass über die zwei letzten, bis dahin jährlich vom BfDI vorgelegten Tätigkeitsberichte zusammen beraten wurde2. Der Tätigkeitsbericht wird sowohl als Bundestags-Drucksache als auch auf den Internetseiten des BfDI3 veröffentlicht. Die Bundesregierung und der Innenausschuss des Bundestages nehmen regelmäßig zu den wesentlichen Punkten des Tätigkeitsberichts Stellung, letzterer erteilt zudem entsprechende Beschlussempfehlungen für das weitere parlamentarische Vorgehen4. Auch außerhalb des Tätigkeitsberichts kann sich der BfDI jederzeit an den Bundestag wenden (Abs. 2 Satz 3). Ein eigenes Rederecht steht ihm nicht zu, jedoch kommt es regelmäßig zu Äußerungen in den zuständigen Ausschüssen des Parlaments5.

4 Im Rahmen des Tätigkeitsberichts ist der BfDI in der inhaltlichen Gestaltung

und Schwerpunktsetzung frei. Insbesondere ist er dabei nicht auf den Datenschutz im nicht-öffentlichen Bereich beschränkt6. Dies ging aus Abs. 1 Satz 2 der bis zum 22.5.2001 gültigen Gesetzesfassung ausdrücklich hervor, der die Darstellung der Entwicklung des Datenschutzes im nicht-öffentlichen Bereich ausdrücklich erwähnte7. Die aktuelle Formulierung soll klarstellen, dass der BfDI auch außerhalb des Tätigkeitsberichts Parlament und Öffentlichkeit über Belange des Datenschutzes informieren kann8.

1 So auch Däubler/Klebe/Wedde/Weichert/Weichert, § 26 BDSG Rz. 2. 2 Bergmann/Möhrle/Herb, § 26 BDSG Rz. 4; kritisch hierzu Däubler/Klebe/Wedde/Weichert/Weichert, § 16 BDSG Rz. 3; zustimmend Gola/Schomerus/Körffer, § 26 BDSG Rz. 3. 3 Abrufbar unter www.bfdi.bund.de. 4 Roßnagel/Heil, Handbuch Datenschutzrecht, Kap. 5.1 Rz. 65. 5 Gola/Schomerus/Körffer, § 26 BDSG Rz. 6. 6 So u.a. auch Taeger/Gabel/Grittmann, § 26 BDSG Rz. 4; kritisch zum enormen Umfang des Berichts Auernhammer/von Lewinski, § 26 BDSG Rz. 9. 7 S. hierzu auch Simitis/Dammann, § 26 BDSG Rz. 5. 8 S. BT-Drucks. 14/4329, S. 42.

528

|

Hullen

Weitere Aufgaben der oder des Bundesbeauftragten | § 26 BDSG

Vielmehr dient der Tätigkeitsbericht einer umfassenden Beschreibung der da- 5 tenschutzrelevanten Entwicklungen im Berichtszeitraum, der Darstellung von Trends und aktuellen sowie zu erwartenden Problemen und der Präsentation der Ergebnisse seiner Arbeit sowie der aus seiner Sicht zu treffenden Folgemaßnahmen. So enthält der Tätigkeitsbericht regelmäßig u.a. einen Überblick zur Lage des Datenschutzes und zur Entwicklung des Datenschutzrechts sowie Ausführungen zum technologischen Datenschutz, zu Datenschutzfragen des Internets, der Inneren Sicherheit, der Verwaltung, des Rechtswesens, des Internets, des TK-Sektors, der Wirtschaft, des Gesundheits- und Verkehrswesen sowie zu Fragen des Mitarbeiterdatenschutzes, der internationalen Entwicklung des Datenschutzes und Dienststelleninternes. Die jeweilige Auswahl der im Einzelfall behandelten Themen wird dabei insbesondere von der technischen Entwicklung als auch von der Schwerpunktsetzung des jeweiligen Amtsträgers abhängen.

III. Gutachten, Berichterstattung, Untersuchungen (Abs. 2) Auf Verlangen des Bundestages oder der Bundesregierung erstellt der BfDI Gut- 6 achten und Berichte zu datenschutzrelevanten Sachverhalten und Rechtsfragen (Abs. 2 Satz 1). Hierdurch kann dessen Sachkunde und unabhängige Meinung bei der Steuerung und Kontrolle der Verwaltung sowie im Rahmen der Gesetzgebung berücksichtigt werden1. Ausschließlich Bundestag und Bundesregierung sind berechtigt, ein Gutachten oder einen Bericht anzufordern2. Hierfür bedarf es eines förmlichen Beschlusses, der mit einfacher Mehrheit gefasst werden kann. In der Praxis spielt dieses Vorgehen jedoch eine untergeordnete Rolle, zum einen, da der BfDI im großen Umfang proaktiv informatorisch tätig ist, zum anderen, da eine Empfehlung oder Beratung i.S.v. Abs. 3 (s. Rz. 9) zumeist gleich effektiv, aber formal weniger aufwändig ist3. Auf Veranlassung des Bundestages, des Petitionsausschusses, des Innenaus- 7 schusses oder der Bundesregierung untersucht der BfDI Angelegenheiten und Vorgänge des Datenschutzes bei den öffentlichen Stellen des Bundes (Abs. 2 Satz 2). Besonders bedeutsam ist die Möglichkeit eines Kontrollauftrags durch den Innenausschuss, der federführend für allgemeine Angelegenheiten des Datenschutzes und andere datenschutzrelevante Aufgaben wie die der inneren Sicherheit oder der Bundesverwaltung tätig ist. Die Zusammenarbeit mit dem Petitionsausschuss sichert nicht nur die Möglichkeit der Unterrichtung durch eine von der Bundesverwaltung unabhängige Instanz, sie stellt zugleich eine Informa-

1 Roßnagel/Heil, Handbuch Datenschutzrecht, Kap. 5.1 Rz. 70. 2 Bergmann/Möhrle/Herb, § 26 BDSG Rz. 10; Gola/Schomerus/Körffer, § 26 BDSG Rz. 4; s.a. Auernhammer/von Lewinski, § 26 BDSG Rz. 16 f. 3 So Gola/Schomerus/Körffer, § 26 BDSG Rz. 4.

Hullen

|

529

§ 26 BDSG | Datenverarbeitung der öffentlichen Stellen tionsquelle des BfDI über an das Parlament gerichtete Bitten und Beschwerden der Bevölkerung dar1. 8 Der BfDI kann sich jederzeit an den Bundestag wenden, was die Wichtigkeit sei-

ner Aufgabenerfüllung noch einmal unterstreicht2. Ein eigenes Rederecht im Plenum oder die Möglichkeit, Themen auf die Tagesordnung setzen zu können, wird ihm durch Satz 3 jedoch nicht eingeräumt3.

IV. Empfehlungen und Beratung (Abs. 3) 9 Empfehlungen und Beratung (Abs. 3 Satz 1) sind ein wichtiges Mittel des BfDI

zur Verbesserung des Datenschutzes bei den öffentlichen Stellen des Bundes. Durch die Zurverfügungstellung seines rechtlichen, technischen und organisatorischen Sachverstands wirkt der BfDI präventiv auf die Einhaltung des Datenschutzes hin, wobei eine beratende Tätigkeit auch bei bereits eingetretenen Datenschutzmängeln – ggf. auch nach Ausspruch einer Beanstandung (§ 25) – nicht ausgeschlossen ist. Zwischen öffentlich kritisierender und beratender Aufgabe besteht ein Spannungsverhältnis, wobei der BfDI zur Schaffung einer die Zusammenarbeit aller Beteiligten fördernden Vertrauensbasis regelmäßig zuerst das mildere Mittel der Beratung wählen wird4.

10 Adressaten der Beratungstätigkeit sind sowohl die Bundesregierung, die verant-

wortlichen Stellen, als auch deren Aufsichtsbehörden und sonstige öffentliche Stellen i.S.d. § 12 Abs. 1. Auswahl, Umfang und Form der konkreten Beratungstätigkeit stehen dabei im Ermessen des BfDI5.

11 Eine formelles Beteiligungsverfahren, nach dem die Meinung des BfDI – bspw.

im Rahmen von Gesetzgebungsvorhaben – zwingend einzuholen wäre, besteht jedoch nicht (zur Zusammenarbeit mit den Bundesministerien vgl. jedoch § 21 GGO). Eine Pflicht zur Unterrichtung des BfDI besteht neben der generellen Pflicht der öffentlichen Stellen zur Unterstützung des BfDI (§ 24 Abs. 1 Satz 1) nur bei Einrichtung automatisierter Abrufverfahren durch öffentliche Stellen (§ 10 Abs. 3)6.

12 Gemäß Abs. 3 Satz 2 ist bei Beratungstätigkeiten im nachgeordneten Bereich

einer obersten Bundesbehörde oder einer sonstigen in § 25 Abs. 1 Satz 1 genannten obersten Dienstbehörde diese über die Beratung zu informieren. Hier-

1 2 3 4 5

Simitis/Dammann, § 26 BDSG Rz. 16. Taeger/Gabel/Grittmann, § 26 BDSG Rz. 4. Däubler/Klebe/Wedde/Weichert/Weichert, § 26 BDSG Rz. 6. Simitis/Dammann, § 26 BDSG Rz. 18. Däubler/Klebe/Wedde/Weichert/Weichert, § 26 Rz. 7 f.; Taeger/Gabel/Grittmann, § 26 BDSG Rz. 6. 6 Ausführlich Simitis/Dammann, § 26 BDSG Rz. 21.

530

|

Hullen

Weitere Aufgaben der oder des Bundesbeauftragten | § 26 BDSG

durch soll sichergestellt werden, dass auch auf dieser Ebene ein Austausch mit dem BfDI erfolgen und durch Wahrnehmung der Aufsichts- und Leitungspflichten ein datenschutzkonformer Zustand hergestellt werden kann. In welcher Form und in welchem Umfang die Unterrichtung erfolgt, steht im Ermessen des BfDI1.

V. Zusammenarbeit der Datenschutzstellen (Abs. 4) Dem BfDI kommt eine Koordinierungsfunktion im Sinne einer effektiven Zu- 13 sammenarbeit mit den Landesdatenschutzbeauftragen und den Aufsichtsbehörden i.S.d. § 38 zu (Abs. 4 Satz 1). Hierdurch soll ein einheitlicher Datenschutz im öffentlichen und nicht-öffentlichen Bereich, sowohl auf Bundes-, als auch auf Landesebene als auch ein kontinuierlicher Erfahrungsaustausch gewährleistet werden2. Die Zusammenarbeit von Bundes- und Landesbeauftragten erfolgt in der „Kon- 14 ferenz der Datenschutzbeauftragten des Bundes und der Länder“ (DSB-Konferenz), die seit 1978 zweimal jährlich unter wechselndem Vorsitz eines Datenschutzbeauftragten tagt. Die Aufsichtsbehörden für den Datenschutz im nichtöffentlichen Bereich kommen im sog. Düsseldorfer Kreis zusammen, der ebenfalls zwei Mal im Jahr tagt. Beide Gremien, die bei themenübergreifenden Fragestellungen auch gemeinsam beraten, sind in Arbeitskreise unterteilt und veröffentlichen ihre Ergebnisse in rechtlich nicht bindenden3 Entschließungen bzw. Beschlüssen, die u.a. auf den Internetseiten des BfDI veröffentlicht werden4. Auf europäischer Ebene arbeitet der BfDI mit den Kontrollstellen anderer europäischer Mitgliedstaaten in der Gruppe für den Schutz von Personen bei der Verarbeitung personenbezogener Daten zusammen (Artikel-29-Datenschutzgruppe, vgl. Art. 29 EG-Datenschutzrichtlinie), die regelmäßig Stellungnahmen zu Themen des Datenschutzes mit gesamteuropäischen Bezug herausgibt5. Durch den Verweis in Abs. 4 Satz 2 auf § 38 Abs. 1 Satz 4 und 5 wird klar- 15 gestellt, dass im Rahmen der Zusammenarbeit der Kontrollstellen personenbezogene Daten übermittelt werden können6 und Amtshilfe, auch innerhalb der Europäischen Union, geleistet wird.

1 2 3 4 5 6

Taeger/Gabel/Grittmann, § 26 BDSG Rz. 7. S. BT-Drucks. 7/1027, S. 20 und ausführlich Simitis/Dammann, § 26 BDSG Rz. 23. Simitis/Dammann, § 26 BDSG Rz. 25. Abrufbar unter www.bfdi.bund.de. S. Auernhammer/von Lewinski, § 26 BDSG Rz. 11. Simitis/Dammann, § 26 BDSG Rz. 26.

Hullen

|

531

§ 27 BDSG | Datenverarbeitung nicht-öffentlicher Stellen

Dritter Abschnitt Datenverarbeitung nicht-öffentlicher Stellen und öffentlich-rechtlicher Wettbewerbsunternehmen Erster Unterabschnitt Rechtsgrundlagen der Datenverarbeitung

§ 27 Anwendungsbereich (1) 1Die Vorschriften dieses Abschnittes finden Anwendung, soweit personenbezogene Daten unter Einsatz von Datenverarbeitungsanlagen verarbeitet, genutzt oder dafür erhoben werden oder die Daten in oder aus nicht automatisierten Dateien verarbeitet, genutzt oder dafür erhoben werden durch 1. nicht-öffentliche Stellen, 2. a) öffentliche Stellen des Bundes, soweit sie als öffentlich-rechtliche Unternehmen am Wettbewerb teilnehmen, b) öffentliche Stellen der Länder, soweit sie als öffentlich-rechtliche Unternehmen am Wettbewerb teilnehmen, Bundesrecht ausführen und der Datenschutz nicht durch Landesgesetz geregelt ist. 2Dies gilt nicht, wenn die Erhebung, Verarbeitung oder Nutzung der Daten ausschließlich für persönliche oder familiäre Tätigkeiten erfolgt. 3In den Fällen der Nummer 2 Buchstabe a gelten anstelle des § 38 die §§ 18, 21 und 24 bis 26. (2) Die Vorschriften dieses Abschnittes gelten nicht für die Verarbeitung und Nutzung personenbezogener Daten außerhalb von nicht automatisierten Dateien, soweit es sich nicht um personenbezogene Daten handelt, die offensichtlich aus einer automatisierten Verarbeitung entnommen worden sind. I. Einführung . . . . . . . . . . . . . . II. Automatisierte oder dateigebundene Datenverwendung (Abs. 1 Satz 1, Abs. 2) . . . . . . 1. Automatisierte Datenverwendung . . . . . . . . . . . . . . 2. Dateigebundene Datenverwendung . . . . . . . . . . . . . . III. Erweiterung des Anwendungsbereichs (Abs. 2) . . . . . . . . . .

532

|

Plath

.

1

.

3

.

5

.

7

.

8

IV. Adressatenkreis (Abs. 1 Satz 1) 1. Nicht-öffentliche Stellen (Abs. 1 Satz 1 Nr. 1) . . . . . . . . . 2. Öffentlich-rechtliche Wettbewerbsunternehmen (Abs. 1 Satz 1 Nr. 2) . . . . . . . . . 3. Ausnahme bei persönlicher oder familiärer Tätigkeit . . . . . .

17 18 19 22

Anwendungsbereich | § 27 BDSG Schrifttum: Caspar, Geoinformationen und Datenschutz am Beispiel des Internetdienstes Google Street View, DÖV 2009, 965; Forgó/Krügel/Müllenbach, Zur datenschutz- und persönlichkeitsrechtlichen Zulässigkeit von Google Street View, CR 2010, 616; Zilkens, Datenschutz im nicht-öffentlichen (privaten) Bereich des kommunalen Umfelds, VR 2010, 253.

I. Einführung § 27 normiert den Anwendungsbereich des gesamten Dritten Abschnitts des 1 BDSG (§§ 27–38a), der die Datenverarbeitung durch nicht-öffentliche Stellen und öffentlich-rechtliche Wettbewerbsunternehmen regelt. Danach kommen die Vorschriften des Dritten Abschnitts immer dann zur Anwendung, wenn (i) Daten unter Einsatz von Datenverarbeitungsanlagen verwendet werden oder Daten in oder aus nicht automatisierten Dateien verwendet werden, (ii) die Daten durch nicht-öffentliche Stellen oder durch öffentlich-rechtliche Wettbewerbsunternehmen verwendet werden und (iii) die Datenverwendung nicht ausschließlich für familiäre oder persönliche Tätigkeiten erfolgt. Diese Voraussetzungen müssen kumulativ erfüllt sein, wobei im Anwendungsbereich des § 32 die erste Voraussetzung entfällt (vgl. § 32 Abs. 2). § 27 wiederholt in weiten Teilen die Regelungen des § 1 Abs. 2, der den Gel- 2 tungsbereich des BDSG bestimmt. Damit stellt sich die Frage nach dem tatsächlichen Aussagegehalt des § 27. Bezüglich der Voraussetzungen der automatisierten bzw. dateigebundenen Datenverarbeitung (Abs. 1 Satz 1) sowie des Ausschlusses familiärer und persönlicher Tätigkeiten (Abs. 2 Satz 2) ist § 27 im Verhältnis zu § 1 Abs. 2 tatsächlich redundant. Liegen diese Voraussetzungen nämlich nicht vor, so ist das BDSG – ausgenommen § 32 – gar nicht erst anwendbar, so dass sich die Frage nach der Geltung des Dritten Abschnitts überhaupt nicht stellt. Dementsprechend besteht der Aussagewert des § 27 maßgeblich in der Abgrenzung zwischen den Regelungen des Zweiten Abschnitts (§§ 12–26), der die Datenverwendung durch öffentliche Stellen regelt, und denen des Dritten Abschnitts (§§ 27–38a), der die Datenverwendung durch nichtöffentliche Stellen regelt.

II. Automatisierte oder dateigebundene Datenverwendung (Abs. 1 Satz 1, Abs. 2) Voraussetzung für die Anwendbarkeit des Dritten Abschnitts ist zunächst, dass 3 die Erhebung, Verarbeitung oder Nutzung der Daten entweder automatisiert oder dateigebunden erfolgt. Abs. 1 Satz 1 wiederholt diesbezüglich die Anforderungen, die das Gesetz in § 1 4 Abs. 2 Nr. 3 für die Anwendbarkeit des BDSG auf nicht-öffentliche Stellen normiert hat. Eine eigenständige Bedeutung kommt diesen Regelungen also nicht zu. Plath

|

533

§ 27 BDSG | Datenverarbeitung nicht-öffentlicher Stellen 1. Automatisierte Datenverwendung 5 Eine automatisierte Datenverwendung setzt nach der Legaldefinition des § 3

Abs. 2 Satz 1 den Einsatz von Datenverarbeitungsanlagen, z.B. Computern, voraus (vgl. auch Komm. zu § 3 BDSG Rz. 24).

6 Der Wortlaut des Abs. 1 Satz 1 unterscheidet zwischen den Verwendungsfor-

men des Verarbeitens und Nutzens und der des Erhebens: während die ersten beiden Vorgänge tatsächlich unter Einsatz von Datenverarbeitungsanlagen erfolgen müssen, ist es ausreichend, wenn die Erhebung selbst nicht automatisiert, aber im Hinblick auf eine automatisierte Weiterverwendung der Daten erfolgt. Damit wird bspw. auch eine manuelle Datenerhebung vom BDSG erfasst, wenn die spätere Verarbeitung mit Hilfe einer Datenverarbeitungsanlage erfolgen soll. Als Faustformel gilt, dass der Dritte Abschnitt immer dann zur Anwendung kommen kann, wenn Daten mithilfe von Computern, elektronischen Datenträgern oder elektronischen Speichermedien verwendet werden1.

2. Dateigebundene Datenverwendung 7 Erfolgt die Datenverwendung nicht automatisiert, so müssen die Daten datei-

gebunden verwendet werden. Voraussetzung ist also zumindest ein mittelbarer Dateibezug, d.h. dass die Daten wenigstens in oder aus nicht automatisierten Dateien verwendet werden müssen2. Gemäß der Legaldefinition des § 3 Abs. 2 Satz 2 ist eine (nicht automatisierte) Datei „jede nicht automatisierte Sammlung personenbezogener Daten, die gleichartig aufgebaut ist und nach bestimmten Merkmalen zugänglich ist und ausgewertet werden kann“. Ein Beispiel für nicht automatisierte Dateien sind etwa Karteikartensammlungen (ausführlich zum Begriff der nicht-automatisierten Dateien s. Komm. zu § 3 BDSG Rz. 25 ff.)3. Der Anwendungsbereich dieser Norm ist in der Praxis relativ gering.

III. Erweiterung des Anwendungsbereichs (Abs. 2) 8 Abs. 2 bestätigt im Umkehrschluss zunächst den in Abs. 1 Satz 1 normierten

Grundsatz, dass die verarbeiteten oder genutzten Daten – soweit keine Datenverarbeitungsanlage zum Einsatz kommt – einen zumindest mittelbaren Dateibezug aufweisen müssen. Von diesem Grundsatz sieht Abs. 2 jedoch sogleich eine Ausnahme für den Fall vor, dass die verarbeiteten oder genutzten Daten zwar keinen Dateibezug vorweisen, jedoch offensichtlich aus einer automati-

1 Ebenso Bergmann/Möhrle/Herb, § 27 BDSG Rz. 14; zu der Frage, ob auch in der Ablichtung von Hausfassaden durch Google Street View eine „automatisierte Datenverarbeitung“ i.S.d. § 3 Abs. 2 Satz 1, § 27 BDSG zu sehen ist Forgó/Krügel/Müllenbach, CR 2010, 616 (618) sowie Caspar, DÖV 2009, 965 (966). 2 Vgl. Däubler/Klebe/Wedde/Weichert/Wedde, § 27 BDSG Rz. 18. 3 Bergmann/Möhrle/Herb, § 27 BDSG Rz. 14.

534

|

Plath

Anwendungsbereich | § 27 BDSG

sierten Verarbeitung entnommen worden sind. Nach Abs. 2 gelten die Vorschriften des Dritten Abschnitts also auch für die Verarbeitung von Daten, die unmittelbar aus einer automatisierten Verarbeitung entnommen wurden. Mit Blick auf die Regelung des Abs. 1 stellt sich damit allerdings die Frage, wie 9 die Regelung des Abs. 2 im Hinblick auf ihr Verhältnis zur Grundregel des Abs. 1 bzw. des § 1 Abs. 2 Nr. 3 zu verstehen ist. Ein erster Ansatz wäre, § 1 als „Tor“ zum BDSG zu verstehen. Alle Vorgänge, welche die Kriterien dieser Regelung – die Abs. 1 Satz 1 und 2 wiederholt – nicht erfüllen, fallen gar nicht in den Anwendungsbereich des BDSG. Damit wäre der Anwendungsbereich des BDSG jedoch auch für diejenigen Vorgänge verschlossen, die durch Abs. 2 gerade dem Dritten Abschnitt zugeordnet werden sollen: Das BDSG findet nach dieser Auslegung – im Umkehrschluss aus § 1 Abs. 2 Nr. 3 – keine Anwendung auf die Verarbeitung von Daten, die unmittelbar aus einer automatisierten Verarbeitung entnommen wurden, so dass sich bei dieser Auslegung gar nicht erst die Frage stellt, ob solche Vorgänge einer gesetzlichen Erlaubnis nach dem Dritten Abschnitt bedürfen. Bei diesem Verständnis von § 1 und Abs. 2 würde Abs. 2 jedoch in seiner Bedeutung leer laufen. Um der Norm eine eigenständige Bedeutung – und nicht zuletzt auch eine Da- 10 seinsberechtigung – zukommen zu lassen, liegt es daher nahe, Abs. 2 tatsächlich als Erweiterung des Anwendungsbereichs des BDSG anzusehen, soweit der Dritte Abschnitt betroffen ist. Es wäre jedoch absolut systemwidrig, an dieser Stelle eine Erweiterung des Anwendungsbereichs eines Gesetzes – wenn auch begrenzt auf den Dritten Abschnitt – zu verorten. Die Regelung des Abs. 2 hätte demzufolge in § 1 Abs. 2 Nr. 3 erfolgen müssen, der gerade definiert, welche Formen des Datenumgangs durch nicht-öffentliche Stellen in den Anwendungsbereich des BDSG gelangen. Allerdings findet sich eine entsprechende Durchbrechung der Systematik des BDSG auch in § 32 Abs. 2, so dass diese Auslegung durchaus möglich erscheint. Gleichwohl liegt die nach der hier vertretenen Ansicht überzeugendste Aus- 11 legung des Abs. 2 darin, diese Norm als Auslegungsregelung anzusehen. Abs. 2 verdeutlicht demnach, dass auch die Verwendung von Daten, die unmittelbar aus einer automatisierten Verarbeitung entnommen wurden, als automatisierte bzw. dateigebundene Datenverarbeitung i.S.v. § 1 Abs. 2 Nr. 3 anzusehen ist. Die Regelung soll Umgehungsmöglichkeiten vorbeugen, die dadurch entste- 12 hen, dass eine nicht automatisierte bzw. dateiungebundene Datenverwendung durchgeführt wird, um eine Anwendbarkeit des Dritten Abschnitts zu verhindern. Damit fällt bspw. eine Praxis, bei der Daten vor ihrer Verwendung einzeln aus einer elektronischen Datei entnommen, kopiert oder ausgedruckt und in eine Akte übernommen werden, aufgrund der Regelung des Abs. 2 ebenfalls in den Anwendungsbereich des Dritten Abschnitts1. 1 So im Ergebnis Gola/Schomerus, § 27 BDSG Rz. 15.

Plath

|

535

§ 27 BDSG | Datenverarbeitung nicht-öffentlicher Stellen 13 Stammen Daten offensichtlich aus einer elektronischen Verarbeitung, so sind

auf die weitere Verwendung (nur) dieser Daten die Regelungen des Dritten Abschnitts anwendbar (vgl. Abs. 2 Halbs. 2).

14 Umstritten ist allerdings, wann eine Datenentnahme „offensichtlich“ ist. Auf-

grund dieses unbestimmten Rechtsbegriffs kommt es auf eine Auslegung des Einzelfalls an. Als Maßstab für die Offensichtlichkeit wird vertreten, dass die Datenentnahme aus einer automatisierten Datenverarbeitung für den aufmerksamen objektiven Betrachter ohne Weiteres erkennbar sein muss1. Darüber hinaus sind Indizien für eine „offensichtliche“ Entnahme bspw. ein unnatürliches Verhältnis von Datenmenge und Verarbeitungszeitraum oder eine Aufbereitungsmethode, die dafür spricht, dass Datenverarbeitungsanlagen zum Einsatz gekommen sind. Ebenso kann sich die Offensichtlichkeit aus dem graphischen bzw. optischen Erscheinungsbild der verwendeten Daten ergeben, z.B. wenn eindeutig Computerausdrucke oder -kopien verwendet werden2. Schließlich ist die elektronische Verarbeitung auch dann offensichtlich, wenn die verantwortliche Stelle die Herkunft der Daten und ihre Verarbeitungsweise kennen muss. So wird eine verantwortliche Stelle, die Daten bei der Schufa anfordert, davon ausgehen müssen, dass diese Daten einer automatischen Verarbeitung entstammen3.

15 Teilweise wird mit Hinweis auf die Umgehungsschutzfunktion der Norm die

Ansicht vertreten, dass Abs. 2 restriktiv auszulegen sei. Noch weitergehend wird vertreten, dass nur die Verwendung solcher Daten in den Anwendungsbereich des Dritten Abschnitts fallen soll, die der automatisierten Verarbeitung unmittelbar durch die verantwortliche Stelle selbst, und nicht etwa durch Dritte, entnommen wurden4. Für eine restriktive Ansicht spricht in der Tat, dass die verantwortliche Stelle die Herkunft von Daten, die ihr zuvor von einem Dritten übermittelt wurden, nicht immer nachvollziehen kann. Soweit es nicht aufgrund der oben genannten Indizien eindeutig ist, dass die Daten aus einer automatisierten Verarbeitung entnommen wurden, kann die verantwortliche Stelle diese Daten nutzen, ohne auf die Erlaubnistatbestände des Dritten Abschnitts angewiesen zu sein. Damit kommt Abs. 2 immer dann zur Anwendung, wenn die verantwortliche Stelle die Herkunft der Daten kennt, weil sie sie z.B. selbst aus eigenen automatisierten Dateien entnommen hat oder auf eigene Initiative von einer Stelle, die bekanntermaßen Daten automatisiert verarbeitet, abgerufen hat5. Allerdings wäre eine Beschränkung des Anwendungsbereichs des Abs. 2 1 Schaffland/Wiltfang, § 27 BDSG Rz. 51; Bergmann/Möhrle/Herb, § 27 BDSG Rz. 18; Simitis/Simitis, § 27 BDSG Rz. 32. 2 Ebenso Däubler/Klebe/Wedde/Weichert/Wedde, § 27 BDSG Rz. 21. 3 Däubler/Klebe/Wedde/Weichert/Wedde, § 27 BDSG Rz. 21; Taeger/Gabel/Buchner, § 27 BDSG Rz. 16; Simitis/Simitis, § 27 BDSG Rz. 34. 4 Schaffland/Wiltfang, § 27 BDSG Rz. 51; Gola/Schomerus, § 27 BDSG Rz. 16; Bergmann/ Möhrle/Herb, § 27 BDSG Rz. 20. 5 Ebenso Gola/Schomerus, § 27 BDSG Rz. 16.

536

|

Plath

Anwendungsbereich | § 27 BDSG

auf die Entnahme von Daten durch die verantwortliche Stelle selbst wiederum zu weitreichend, da in diesen Fällen eben diese Entnahme nicht nur „offensichtlich“, sondern positiv bekannt ist. Gegen die restriktive Auslegung des Abs. 2 wird indes eingewandt, dass die 16 Norm primär dem Schutz der informationellen Selbstbestimmung des Betroffenen diene und demzufolge eher eine weite als eine restriktive Auslegung angebracht sei1. Dieser Auffassung ist jedoch zu widersprechen: Zutreffend ist, dass das gesamte BDSG – und damit auch § 27 – dem Schutz der informationellen Selbstbestimmung dient. Abs. 2 ist damit zwar vor dem Hintergrund dieses Schutzes zu sehen, bleibt jedoch in erster Linie eine Ausnahmevorschrift zu Abs. 1 und ist demzufolge restriktiv auszulegen. Da in der Praxis die automatisierte Verarbeitung inzwischen den absoluten Regelfall darstellt, sind die Auswirkungen dieses Meinungsstreits allerdings von begrenzter Bedeutung.

IV. Adressatenkreis (Abs. 1 Satz 1) Auf eine automatisierte oder dateigebundene Datenverwendung ist der Dritte 17 Abschnitt des BDSG nur dann anwendbar, wenn sie durch eine nicht-öffentliche Stelle oder ein öffentlich-rechtliches Wettbewerbsunternehmen erfolgt. Ist dies nicht der Fall, so richtet sich die Zulässigkeit des Datenumgangs – soweit der Anwendungsbereich des BDSG nach § 1 überhaupt eröffnet ist – nach den Regelungen des Zweiten Abschnitts (§§ 12–26). 1. Nicht-öffentliche Stellen (Abs. 1 Satz 1 Nr. 1) Der Begriff der nicht-öffentlichen Stelle ist in § 2 Abs. 4 legaldefiniert und um- 18 fasst grundsätzlich alle natürlichen (z.B. Ärzte, Anwälte, Handwerker, Therapeuten usw.) und juristischen Personen (z.B. Stiftungen), Gesellschaften (z.B. GmbHs, AGs, KGs) und andere Personenvereinigungen (z.B. Vereine) des privaten Rechts (ausführlich hierzu Komm. zu § 2 BDSG Rz. 15). Konzerne, denen einzelne Unternehmen angehören, gelten nicht als einheitliche verantwortliche Stelle, das BDSG kennt insofern keinen sog. „Konzernprivileg“. Ebenso wenig werden einzelne Abteilungen, unselbständige Zweigstellen oder der Betriebsrat als eigenständige verantwortliche Stelle betrachtet2. Zu beachten ist schließlich, dass nicht-öffentliche Stellen, die hoheitliche Aufgaben wahrnehmen (sog. Beliehene), gemäß § 2 Abs. 4 Satz 2 als öffentliche Stellen gelten und dementsprechend – zumindest soweit sich hoheitlich handeln – nicht in den Anwendungsbereich des Dritten Abschnitts fallen3. Dagegen gelten Unternehmen auch dann 1 So z.B. Däubler/Klebe/Wedde/Weichert/Wedde, § 27 BDSG Rz. 22; Taeger/Gabel/Buchner, § 27 BDSG Rz. 17; Simitis/Simitis, § 27 BDSG Rz. 31. 2 Schaffland/Wiltfang, § 27 BDSG Rz. 23; Simitis/Simitis, § 27 BDSG Rz. 5. 3 Vgl. Gola/Schomerus, § 27 BDSG Rz. 6; Schaffland/Wiltfang, § 27 BDSG Rz. 15.

Plath

|

537

§ 27 BDSG | Datenverarbeitung nicht-öffentlicher Stellen als nicht-öffentliche Stellen, wenn die öffentliche Hand die Mehrheit der Gesellschaftsanteile besitzt1. 2. Öffentlich-rechtliche Wettbewerbsunternehmen (Abs. 1 Satz 1 Nr. 2) 19 Den nicht-öffentlichen Stellen gleichgestellt sind auch öffentliche Stellen, die als

öffentlich-rechtliche Unternehmen am Wettbewerb teilnehmen2. Durch diese Angleichung soll verhindert werden, dass der Wettbewerb zugunsten öffentlichrechtlicher Unternehmen verzerrt wird. Voraussetzung für eine Anwendbarkeit des Dritten Abschnitts ist demnach, dass die öffentliche Stelle im Wettbewerb tätig wird, also Leistungen anbietet, die auch von anderen (privaten) Stellen angeboten werden können, und keine Monopolstellung einnimmt. Die Rechtsform des öffentlich-rechtlichen Unternehmens und der Unternehmensgegenstand sind unerheblich3. Erforderlich ist eine gewisse Regelmäßigkeit der Teilnahme am Wettbewerb4. Dabei ist es unerheblich, ob die Stelle mit Gewinnerzielungsabsicht tätig wird5. Beschränkt sich die Tätigkeit als Wettbewerbsunternehmen auf bestimmte Tätigkeitsbereiche einer verantwortlichen Stelle, so ist der Dritte Abschnitt auch nur auf die Datenverwendung innerhalb dieser Bereiche anwendbar6.

20 Abs. 1 Satz 1 Nr. 2 unterscheidet zwischen (i) öffentlichen Stellen des Bundes

(Nr. 2a) und (ii) öffentlichen Stellen der Länder (Nr. 2b). Soweit öffentliche Stellen des Bundes am Wettbewerb teilnehmen, richtet sich die Zulässigkeit des Datenumgangs nach dem Dritten Abschnitt des BDSG. Dagegen fallen öffentliche Stellen der Länder nur dann unter den Anwendungsbereich des Dritten Abschnitts, wenn kein Landesdatenschutzgesetz besteht und die verantwortliche Stelle Bundesrecht ausführt. Da jedoch inzwischen alle Länder Datenschutzgesetze haben, kommt dem BDSG bezüglich öffentlicher Stellen der Länder lediglich eine rein theoretische Auffangfunktion zu. Allerdings verweisen viele Landesdatenschutzgesetze auf die Regelungen des BDSG, so dass die Vorschriften des Dritten Abschnitts zumindest mittelbar zu Anwendung kommen7.

21 Zu beachten ist, dass gemäß Abs. 1 Satz 3 die Datenschutzkontrolle in öffent-

lich-rechtlichen Wettbewerbsunternehmen nicht durch die Aufsichtsbehörden gemäß § 38, sondern durch den Bundesbeauftragten für den Datenschutz und

1 Schaffland/Wiltfang, § 28 BDSG Rz. 10. 2 Ausführlich zum Datenschutz im privaten Bereich des kommunalen Umfelds Zilkens, VR 2010, 253 (254). 3 Simitis/Simitis, § 27 BDSG Rz. 37. 4 Bergmann/Möhrle/Herb, § 27 BDSG Rz. 12; a.A. Simitis/Simitis, § 27 BDSG Rz. 40, wonach die bloße Teilnahme am Wettbewerb ausreichen soll. 5 Gola/Schomerus, § 27 BDSG Rz. 7. 6 Bergmann/Möhrle/Herb, § 27 BDSG Rz. 12. 7 Ausführlich hierzu Bergmann/Möhrle/Herb, § 27 BDSG Rz. 13.

538

|

Plath

Datenerhebung und -speicherung für eigene Geschäftszwecke | § 28 BDSG

die Informationsfreiheit (BfDI) nach Maßgabe der §§ 18, 21 und §§ 24–26 durchgeführt werden soll1. 3. Ausnahme bei persönlicher oder familiärer Tätigkeit Grundsätzlich ist der Zweck einer Datenverwendung im Rahmen des § 27 un- 22 erheblich. Eine Ausnahme macht das Gesetz jedoch dahingehend, dass ein Datenumgang, der ausschließlich für persönliche oder familiäre Tätigkeiten erfolgt, nach Abs. 1 Satz 2 nicht in den Anwendungsbereich des Dritten Abschnitts fällt. Diese Negativausnahme gilt nur für die Tätigkeiten natürlicher Personen. Auch hier wiederholt das Gesetz die allgemeine Regelung des § 1 Abs. 2 Nr. 3 Halbs. 2, so dass bezüglich der Einzelheiten auf die dortige Kommentierung (Komm. zu § 1 BDSG Rz. 30 ff.) verwiesen werden kann. Wann eine Tätigkeit dem privaten bzw. familiären Bereich zuzuordnen ist, rich- 23 tet sich nach der Verkehrsanschauung. Ausschlaggebend ist dabei nicht der Umfang, sondern lediglich der Zweck der Datenverwendung. Der Wortlaut der Norm, der eine „ausschließliche“ familiäre oder persönliche Tätigkeit fordert, spricht dabei grundsätzlich für eine enge Auslegung. Allerdings ist eine scharfe Trennung in einer Zeit, in der inzwischen fast jeder einen privaten Computer, ein Handy oder ein ähnliches Gerät besitzt und durch deren Nutzung Daten automatisiert verwendet, kaum noch möglich. Nach der hier vertretenen Ansicht muss deshalb der Schwerpunkt einer Datenverwendung eindeutig außerhalb des familiären oder privaten Bereichs liegen, um zu einer Anwendbarkeit des BDSG zu gelangen. Allein die Tatsache, dass z.B. auf dem privaten PC vereinzelt dienstliche Dateien gespeichert sind, führt dementsprechend nicht dazu, dass die Datenverwendung ihren persönlichen Charakter verliert2.

§ 28 Datenerhebung und -speicherung für eigene Geschäftszwecke (1) 1Das Erheben, Speichern, Verändern oder Übermitteln personenbezogener Daten oder ihre Nutzung als Mittel für die Erfüllung eigener Geschäftszwecke ist zulässig, 1. wenn es für die Begründung, Durchführung oder Beendigung eines rechtsgeschäftlichen oder rechtsgeschäftsähnlichen Schuldverhältnisses mit dem Betroffenen erforderlich ist, 1 Kritisch hierzu Simitis/Simitis, § 27 BDSG Rz. 15. 2 So auch Gola/Schomerus, § 27 BDSG Rz. 11; a.A. Bergmann/Möhrle/Herb, § 27 BDSG Rz. 7; Taeger/Gabel/Buchner, § 27 BDSG Rz. 19; Simitis/Simitis, § 27 BDSG Rz. 48.

Plath

|

539

Datenerhebung und -speicherung für eigene Geschäftszwecke | § 28 BDSG

die Informationsfreiheit (BfDI) nach Maßgabe der §§ 18, 21 und §§ 24–26 durchgeführt werden soll1. 3. Ausnahme bei persönlicher oder familiärer Tätigkeit Grundsätzlich ist der Zweck einer Datenverwendung im Rahmen des § 27 un- 22 erheblich. Eine Ausnahme macht das Gesetz jedoch dahingehend, dass ein Datenumgang, der ausschließlich für persönliche oder familiäre Tätigkeiten erfolgt, nach Abs. 1 Satz 2 nicht in den Anwendungsbereich des Dritten Abschnitts fällt. Diese Negativausnahme gilt nur für die Tätigkeiten natürlicher Personen. Auch hier wiederholt das Gesetz die allgemeine Regelung des § 1 Abs. 2 Nr. 3 Halbs. 2, so dass bezüglich der Einzelheiten auf die dortige Kommentierung (Komm. zu § 1 BDSG Rz. 30 ff.) verwiesen werden kann. Wann eine Tätigkeit dem privaten bzw. familiären Bereich zuzuordnen ist, rich- 23 tet sich nach der Verkehrsanschauung. Ausschlaggebend ist dabei nicht der Umfang, sondern lediglich der Zweck der Datenverwendung. Der Wortlaut der Norm, der eine „ausschließliche“ familiäre oder persönliche Tätigkeit fordert, spricht dabei grundsätzlich für eine enge Auslegung. Allerdings ist eine scharfe Trennung in einer Zeit, in der inzwischen fast jeder einen privaten Computer, ein Handy oder ein ähnliches Gerät besitzt und durch deren Nutzung Daten automatisiert verwendet, kaum noch möglich. Nach der hier vertretenen Ansicht muss deshalb der Schwerpunkt einer Datenverwendung eindeutig außerhalb des familiären oder privaten Bereichs liegen, um zu einer Anwendbarkeit des BDSG zu gelangen. Allein die Tatsache, dass z.B. auf dem privaten PC vereinzelt dienstliche Dateien gespeichert sind, führt dementsprechend nicht dazu, dass die Datenverwendung ihren persönlichen Charakter verliert2.

§ 28 Datenerhebung und -speicherung für eigene Geschäftszwecke (1) 1Das Erheben, Speichern, Verändern oder Übermitteln personenbezogener Daten oder ihre Nutzung als Mittel für die Erfüllung eigener Geschäftszwecke ist zulässig, 1. wenn es für die Begründung, Durchführung oder Beendigung eines rechtsgeschäftlichen oder rechtsgeschäftsähnlichen Schuldverhältnisses mit dem Betroffenen erforderlich ist, 1 Kritisch hierzu Simitis/Simitis, § 27 BDSG Rz. 15. 2 So auch Gola/Schomerus, § 27 BDSG Rz. 11; a.A. Bergmann/Möhrle/Herb, § 27 BDSG Rz. 7; Taeger/Gabel/Buchner, § 27 BDSG Rz. 19; Simitis/Simitis, § 27 BDSG Rz. 48.

Plath

|

539

§ 28 BDSG | Datenverarbeitung nicht-öffentlicher Stellen 2. soweit es zur Wahrung berechtigter Interessen der verantwortlichen Stelle erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Verarbeitung oder Nutzung überwiegt, oder 3. wenn die Daten allgemein zugänglich sind oder die verantwortliche Stelle sie veröffentlichen dürfte, es sei denn, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Verarbeitung oder Nutzung gegenüber dem berechtigten Interesse der verantwortlichen Stelle offensichtlich überwiegt. 2Bei

der Erhebung personenbezogener Daten sind die Zwecke, für die die Daten verarbeitet oder genutzt werden sollen, konkret festzulegen. (2) Die Übermittlung oder Nutzung für einen anderen Zweck ist zulässig 1. unter den Voraussetzungen des Absatzes 1 Satz 1 Nummer 2 oder Nummer 3,

2. soweit es erforderlich ist, a) zur Wahrung berechtigter Interessen eines Dritten oder b) zur Abwehr von Gefahren für die staatliche oder öffentliche Sicherheit oder zur Verfolgung von Straftaten und kein Grund zu der Annahme besteht, dass der Betroffene ein schutzwürdiges Interesse an dem Ausschluss der Übermittlung oder Nutzung hat, oder 3. wenn es im Interesse einer Forschungseinrichtung zur Durchführung wissenschaftlicher Forschung erforderlich ist, das wissenschaftliche Interesse an der Durchführung des Forschungsvorhabens das Interesse des Betroffenen an dem Ausschluss der Zweckänderung erheblich überwiegt und der Zweck der Forschung auf andere Weise nicht oder nur mit unverhältnismäßigem Aufwand erreicht werden kann. (3) 1Die Verarbeitung oder Nutzung personenbezogener Daten für Zwecke des Adresshandels oder der Werbung ist zulässig, soweit der Betroffene eingewilligt hat und im Falle einer nicht schriftlich erteilten Einwilligung die verantwortliche Stelle nach Absatz 3a verfährt. 2Darüber hinaus ist die Verarbeitung oder Nutzung personenbezogener Daten zulässig, soweit es sich um listenmäßig oder sonst zusammengefasste Daten über Angehörige einer Personengruppe handelt, die sich auf die Zugehörigkeit des Betroffenen zu dieser Personengruppe, seine Berufs-, Branchen- oder Geschäftsbezeichnung, seinen Namen, Titel, akademischen Grad, seine Anschrift und sein Geburtsjahr beschränken, und die Verarbeitung oder Nutzung erforderlich ist 1. für Zwecke der Werbung für eigene Angebote der verantwortlichen Stelle, die diese Daten mit Ausnahme der Angaben zur Gruppenzugehörigkeit beim Betroffenen nach Absatz 1 Satz 1 Nummer 1 oder aus allgemein zu540

|

Plath

Datenerhebung und -speicherung für eigene Geschäftszwecke | § 28 BDSG

gänglichen Adress-, Rufnummern-, Branchen- oder vergleichbaren Verzeichnissen erhoben hat, 2. für Zwecke der Werbung im Hinblick auf die berufliche Tätigkeit des Betroffenen und unter seiner beruflichen Anschrift oder 3. für Zwecke der Werbung für Spenden, die nach § 10b Absatz 1 und § 34g des Einkommensteuergesetzes steuerbegünstigt sind. 3Für Zwecke nach Satz 2 Nummer 1 darf die verantwortliche Stelle zu den dort genannten Daten weitere Daten hinzuspeichern. 4Zusammengefasste personenbezogene Daten nach Satz 2 dürfen auch dann für Zwecke der Werbung übermittelt werden, wenn die Übermittlung nach Maßgabe des § 34 Absatz 1a Satz 1 gespeichert wird; in diesem Fall muss die Stelle, die die Daten erstmalig erhoben hat, aus der Werbung eindeutig hervorgehen. 5Unabhängig vom Vorliegen der Voraussetzungen des Satzes 2 dürfen personenbezogene Daten für Zwecke der Werbung für fremde Angebote genutzt werden, wenn für den Betroffenen bei der Ansprache zum Zwecke der Werbung die für die Nutzung der Daten verantwortliche Stelle eindeutig erkennbar ist. 6Eine Verarbeitung oder Nutzung nach den Sätzen 2 bis 4 ist nur zulässig, soweit schutzwürdige Interessen des Betroffenen nicht entgegenstehen. 7Nach den Sätzen 1, 2 und 4 übermittelte Daten dürfen nur für den Zweck verarbeitet oder genutzt werden, für den sie übermittelt worden sind. (3a) 1Wird die Einwilligung nach § 4a Absatz 1 Satz 3 in anderer Form als der Schriftform erteilt, hat die verantwortliche Stelle dem Betroffenen den Inhalt der Einwilligung schriftlich zu bestätigen, es sei denn, dass die Einwilligung elektronisch erklärt wird und die verantwortliche Stelle sicherstellt, dass die Einwilligung protokolliert wird und der Betroffene deren Inhalt jederzeit abrufen und die Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen kann. 2Soll die Einwilligung zusammen mit anderen Erklärungen schriftlich erteilt werden, ist sie in drucktechnisch deutlicher Gestaltung besonders hervorzuheben. (3b) 1Die verantwortliche Stelle darf den Abschluss eines Vertrags nicht von einer Einwilligung des Betroffenen nach Absatz 3 Satz 1 abhängig machen, wenn dem Betroffenen ein anderer Zugang zu gleichwertigen vertraglichen Leistungen ohne die Einwilligung nicht oder nicht in zumutbarer Weise möglich ist. 2Eine unter solchen Umständen erteilte Einwilligung ist unwirksam. (4) 1Widerspricht der Betroffene bei der verantwortlichen Stelle der Verarbeitung oder Nutzung seiner Daten für Zwecke der Werbung oder der Markt- oder Meinungsforschung, ist eine Verarbeitung oder Nutzung für diese Zwecke unzulässig. 2Der Betroffene ist bei der Ansprache zum Zweck der Werbung oder der Markt- oder Meinungsforschung und in den Fällen des Absatzes 1 Satz 1 Nummer 1 auch bei Begründung des rechtsgeschäftlichen oder rechtsgeschäftsähnlichen Schuldverhältnisses über die verantwortPlath

|

541

§ 28 BDSG | Datenverarbeitung nicht-öffentlicher Stellen liche Stelle sowie über das Widerspruchsrecht nach Satz 1 zu unterrichten; soweit der Ansprechende personenbezogene Daten des Betroffenen nutzt, die bei einer ihm nicht bekannten Stelle gespeichert sind, hat er auch sicherzustellen, dass der Betroffene Kenntnis über die Herkunft der Daten erhalten kann. 3Widerspricht der Betroffene bei dem Dritten, dem die Daten im Rahmen der Zwecke nach Absatz 3 übermittelt worden sind, der Verarbeitung oder Nutzung für Zwecke der Werbung oder der Markt- oder Meinungsforschung, hat dieser die Daten für diese Zwecke zu sperren. 4In den Fällen des Absatzes 1 Satz 1 Nummer 1 darf für den Widerspruch keine strengere Form verlangt werden als für die Begründung des rechtsgeschäftlichen oder rechtsgeschäftsähnlichen Schuldverhältnisses. (5) 1Der Dritte, dem die Daten übermittelt worden sind, darf diese nur für den Zweck verarbeiten oder nutzen, zu dessen Erfüllung sie ihm übermittelt werden. 2Eine Verarbeitung oder Nutzung für andere Zwecke ist nicht-öffentlichen Stellen nur unter den Voraussetzungen der Absätze 2 und 3 und öffentlichen Stellen nur unter den Voraussetzungen des § 14 Abs. 2 erlaubt. 3Die übermittelnde Stelle hat ihn darauf hinzuweisen. (6) Das Erheben, Verarbeiten und Nutzen von besonderen Arten personenbezogener Daten (§ 3 Abs. 9) für eigene Geschäftszwecke ist zulässig, soweit nicht der Betroffene nach Maßgabe des § 4a Abs. 3 eingewilligt hat, wenn 1. dies zum Schutz lebenswichtiger Interessen des Betroffenen oder eines Dritten erforderlich ist, sofern der Betroffene aus physischen oder rechtlichen Gründen außerstande ist, seine Einwilligung zu geben, 2. es sich um Daten handelt, die der Betroffene offenkundig öffentlich gemacht hat, 3. dies zur Geltendmachung, Ausübung oder Verteidigung rechtlicher Ansprüche erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Erhebung, Verarbeitung oder Nutzung überwiegt, oder 4. dies zur Durchführung wissenschaftlicher Forschung erforderlich ist, das wissenschaftliche Interesse an der Durchführung des Forschungsvorhabens das Interesse des Betroffenen an dem Ausschluss der Erhebung, Verarbeitung und Nutzung erheblich überwiegt und der Zweck der Forschung auf andere Weise nicht oder nur mit unverhältnismäßigem Aufwand erreicht werden kann. (7) 1Das Erheben von besonderen Arten personenbezogener Daten (§ 3 Abs. 9) ist ferner zulässig, wenn dies zum Zweck der Gesundheitsvorsorge, der medizinischen Diagnostik, der Gesundheitsversorgung oder Behandlung oder für die Verwaltung von Gesundheitsdiensten erforderlich ist und die Verarbeitung dieser Daten durch ärztliches Personal oder durch sonstige Personen erfolgt, die einer entsprechenden Geheimhaltungspflicht unterliegen. 2Die Verarbeitung und Nutzung von Daten zu den in Satz 1 genannten 542

|

Plath

Datenerhebung und -speicherung für eigene Geschäftszwecke | § 28 BDSG

Zwecken richtet sich nach den für die in Satz 1 genannten Personen geltenden Geheimhaltungspflichten. 3Werden zu einem in Satz 1 genannten Zweck Daten über die Gesundheit von Personen durch Angehörige eines anderen als in § 203 Abs. 1 und 3 des Strafgesetzbuchs genannten Berufes, dessen Ausübung die Feststellung, Heilung oder Linderung von Krankheiten oder die Herstellung oder den Vertrieb von Hilfsmitteln mit sich bringt, erhoben, verarbeitet oder genutzt, ist dies nur unter den Voraussetzungen zulässig, unter denen ein Arzt selbst hierzu befugt wäre. (8) 1Für einen anderen Zweck dürfen die besonderen Arten personenbezogener Daten (§ 3 Abs. 9) nur unter den Voraussetzungen des Absatzes 6 Nr. 1 bis 4 oder des Absatzes 7 Satz 1 übermittelt oder genutzt werden. 2Eine Übermittlung oder Nutzung ist auch zulässig, wenn dies zur Abwehr von erheblichen Gefahren für die staatliche und öffentliche Sicherheit sowie zur Verfolgung von Straftaten von erheblicher Bedeutung erforderlich ist. (9) 1Organisationen, die politisch, philosophisch, religiös oder gewerkschaftlich ausgerichtet sind und keinen Erwerbszweck verfolgen, dürfen besondere Arten personenbezogener Daten (§ 3 Abs. 9) erheben, verarbeiten oder nutzen, soweit dies für die Tätigkeit der Organisation erforderlich ist. 2Dies gilt nur für personenbezogene Daten ihrer Mitglieder oder von Personen, die im Zusammenhang mit deren Tätigkeitszweck regelmäßig Kontakte mit ihr unterhalten. 3Die Übermittlung dieser personenbezogenen Daten an Personen oder Stellen außerhalb der Organisation ist nur unter den Voraussetzungen des § 4a Abs. 3 zulässig. 4Absatz 2 Nummer 2 Buchstabe b gilt entsprechend. I. Einführung . . . . . . . . . . . . . . . 1. Anwendungsbereich . . . . . . . . . 2. Verhältnis zur Einwilligung . . . . II. Datenverwendung zur Erfüllung eigener Geschäftszwecke (Abs. 1) . . . . . . . . . . . . . . . . . . 1. Eigener Geschäftszweck . . . . . . 2. Begründung, Durchführung, Beendigung eines rechtsgeschäftlichen oder rechtsgeschäftsähnlichen Verhältnisses (Abs. 1 Satz 1 Nr. 1) . . . . . . . . . a) Rechtsgeschäftliches bzw. rechtsgeschäftsähnliches Schuldverhältnis . . . . . . . . . b) Erforderlichkeit . . . . . . . . . . c) Fallgruppen . . . . . . . . . . . . . aa) Kaufverträge . . . . . . . . . bb) Bank- und Kreditverträge cc) Versicherungsverträge . .

1 6 8

10 12

15 16 19 29 30 34 38

dd) Arbeitsverträge . . . . . . . ee) Mietverträge . . . . . . . . . ff) Behandlungsverträge (Arzt, Krankenhaus) . . . . gg) Mitgliedschaften/Mitgesellschafter . . . . . . . . . 3. Wahrung berechtigter Interessen (Abs. 1 Satz 1 Nr. 2) . . . . . . . . . a) Berechtigte Interessen der verantwortlichen Stelle . . . . . b) Erforderlichkeit . . . . . . . . . . c) Schutzwürdige Interessen des Betroffenen . . . . . . . . . . . . . d) Abwägung . . . . . . . . . . . . . . e) Fallgruppen aa) Strategische Datenanalyse (Data Warehouse, Data Mining, Kundenprofile) bb) Warnung und Aufklärung cc) Bonitätsprüfung . . . . . . . dd) Auskunfteien . . . . . . . . .

Plath

|

39 40 41 43 46 47 50 51 53

55 58 61 62

543

§ 28 BDSG | Datenverarbeitung nicht-öffentlicher Stellen

4.

5. III. 1. 2. 3. 4. IV. 1. 2. 3.

544

ee) Beweissicherung . . . . . . ff) Outsourcing . . . . . . . . gg) Due Diligence . . . . . . . hh) Unternehmensverkäufe ii) Konzerninteressen . . . . jj) Versicherungen . . . . . . Allgemein zugängliche Daten (Abs. 1 Satz 1 Nr. 3) . . . . . . . . a) Begriff der allgemein zugänglichen Daten . . . . . . b) Befugnis zur Veröffentlichung . . . . . . . . . . . . . . . c) Interessenabwägung . . . . . . Zweckbestimmung (Abs. 1 Satz 2) . . . . . . . . . . . . Datenverwendung zu anderen Zwecken (Abs. 2) . . . . . . . . . . Wahrung eigener Interessen/ allgemein zugängliche Daten (Abs. 2 Nr. 1) . . . . . . . . . . . . . Wahrung berechtigter Interessen Dritter (Abs. 2 Nr. 2a) . . . . Gefahrenabwehr (Abs. 2 Nr. 2b) Wissenschaftliche Forschung (Abs. 2 Nr. 3) . . . . . . . . . . . . . Datenverwendung zu Zwecken der Werbung und des Adresshandels (Abs. 3) . . . Begriff der Werbung und des Adresshandels . . . . . . . . . . . . Einwilligung (Abs. 3 Satz 1) . . . Listenprivileg (Abs. 3 Satz 2) . . a) Listendaten und sonst zusammengefasste Daten . . b) Angehörigkeit zu einer Personengruppe . . . . . . . . . c) Umfang der Listendaten . . . d) Werbung durch die verantwortliche Stelle (Abs. 3 Satz 2) . . . . . . . . . . . . . . . . aa) Eigenwerbung (Abs. 3 Satz 2 Nr. 1) . . . . . . . . . bb) Geschäftswerbung (Abs. 3 Satz 2 Nr. 2) . . . cc) Spendenwerbung (Abs. 3 Satz 2 Nr. 3) . . . dd) Erforderlichkeit . . . . . .

|

Plath

64 65 66 67 73 74 75 76 80 82 88 91 93 95 97 98 99 102 109 113 114 115 119 120 121 125 126 127

4. Hinzuspeicherung von Daten (Abs. 3 Satz 3) . . . . . . . . . . . . 5. Übermittlung zu Werbezwecken (Abs. 3 Satz 4) . . . . . . . . . . . . a) Listendaten . . . . . . . . . . . . b) Werbezweck . . . . . . . . . . . c) Speicherungspflicht . . . . . . d) Transparenzgebot . . . . . . . . e) Praktische Ausgestaltung . . 6. Werbung für fremde Angebote (Abs. 3 Satz 5) . . . . . . . . . . . . a) Anwendungsvoraussetzungen b) Transparenzgebot . . . . . . . . c) Letter-Shop-Verfahren . . . . 7. Interessenabwägung (Abs. 3 Satz 6) . . . . . . . . . . . . 8. Zweckbindung (Abs. 3 Satz 7) V. Anforderungen an die Einwilligung (Abs. 3a) . . . . . . 1. Schriftliche Bestätigung (Abs. 3a Satz 1 Halbs. 1) . . . . . 2. Protokollierung (Abs. 3a Satz 1 Halbs. 2) . . . . . . . . . . . . . . . . 3. Drucktechnische Hervorhebung bei gebündelten Erklärungen (Abs. 3a Satz 2) . . . . . . . . . . . VI. Kopplungsverbot (Abs. 3b) . . VII. Widerspruchsrecht (Abs. 4) . . 1. Adressaten des Widerspruchs (Abs. 4 Satz 1, 3) . . . . . . . . . . . a) Verantwortliche Stelle als Adressat . . . . . . . . . . . . . . b) Dritter als Adressat . . . . . . . 2. Unterrichtung und Belehrung (Abs. 4 Satz 2) . . . . . . . . . . . . 3. Form und Frist des Widerspruchs (Abs. 4 Satz 4) . . . . . . 4. Rechtsfolgen des Widerspruchs VIII. Zweckbindung bei Drittübermittlungen (Abs. 5) . . . . . . . . IX. Besondere Arten personenbezogener Daten (Abs. 6–9) . . 1. Allgemeine Zulässigkeitsvoraussetzungen (Abs. 6) . . . . . . . . . a) Schutz lebenswichtiger Interessen (Abs. 6 Nr. 1) . . .

128 133 134 135 137 139 142 143 144 146 148 149 153 154 158 162 166 170 175 179 180 184 186 193 200 204 207 209 210

Datenerhebung und -speicherung für eigene Geschäftszwecke | § 28 BDSG b) Offenkundig öffentliche Daten (Abs. 6 Nr. 2) . . . . . . . . . . . c) Geltendmachung rechtlicher Ansprüche (Abs. 6 Nr. 3) . . . d) Wissenschaftliche Forschung (Abs. 6 Nr. 4) . . . . . . . . . . . 2. Datenverwendung zu gesundheitlichen Zwecken (Abs. 7) . . . . . .

211 212 213

3. Zweckänderung bei der Verwendung sensibler Daten (Abs. 8) . . 217 4. Datenverwendung durch Organisationen ohne Erwerbszweck (Abs. 9) . . . . . . . . . . . . . 219 X. Rechtsfolgen/Sanktionen . . . . . 222

214

Schrifttum: Becker/Germayer, Spannungsverhältnis zwischen einer Auskunftspflicht beim Verkauf markenrechtsverletzender Produkte im E-Commerce und dem Bankgeheimnis, CR 2014 278; Büllesbach, Datenschutz bei Data Warehouses und Data Mining, CR 2000, 11; Bergles/Eul, Warndateien für international agierende Banken – vereinbar mit Datenschutz und Bankgeheimnis?, BKR 2003, 273; Cebulla, Umgang mit Kollateraldaten – Datenschutzrechtliche Grauzone für verantwortliche Stellen, ZD 2015, 507; Cornelius, Schneidiges Datenschutzrecht: Zur Strafbarkeit einer GPS-Überwachung, NJW 2013, 3340; Drewes, Dialogmarketing nach dem neuen Listenprivileg, CR 2010, 759; Eckhardt/ Rheingans, Direktmarketing bei Bestandskunden ohne Einwilligung? – Bewertung der Wechselwirkung von Datenschutz und Wettbewerbsrecht, ZD 2013, 318; Ernst, Abmahnung aufgrund von Normen außerhalb des UWG, WRP 2004, 1133; Göpfert/Meyer, Datenschutz bei Unternehmenskauf: Due Diligence und Betriebsübergang, NZA 2011, 486; Hanloser, Die BDSG-Novelle II: Neuregelungen zum Kunden- und Arbeitnehmerdatenschutz, MMR 2009, 594; Huppertz/Ohrmann, Wettbewerbsvorteil durch Datenschutzverletzungen?, CR 2011, 449; Kamlah/Hoke, Das SCHUFA-Verfahren im Lichte der jüngeren obergerichtlichen Rechtsprechung, RDV 2007, 242; Kamlah/Hoke, Datenschutz und UWG – Unterlassungsansprüche bei Datenschutzverstößen, RDV 2008, 226; Kinast/ Kühnl, Telematik und Bordelektronik – Erhebung und Nutzung von Daten zum Fahrverhalten, NJW 2014, 3057; Lixfeld, § 28 Abs. 3a S. 1 1. Alt. BDSG – Schriftform oder Textform? Eine rechtsmethodische Untersuchung, RDV 2010, 163; Lüttge, Unternehmensumwandlung und Datenschutz, NJW 2000, 2463; Pfeifer, Neue Regeln für die Datennutzung zu Werbezwecken – Die Reform des BDSG, MMR 2010, 524; Plath, Hardware, Software und IT-Verträge in der M&A Transaktion, CR 2007, 345; Plath/Frey, OnlineMarketing nach der BDSG-Novelle, CR 2009, 613; Plath/Frey, Direktmarketing nach der BDSG-Novelle: Grenzen erkennen, Spielräume optimal nutzen, BB 2009, 1762; Riesenhuber, Die Einwilligung des Arbeitnehmers im Datenschutzrecht, RdA 2011, 257; Roßnagel/Jandt, Rechtskonformes Direktmarketing – Gestaltungsanforderungen und neue Strategien für Unternehmen, MMR 2011, 86; Rudolph, E-Mails als Marketinginstrument im Rahmen neuer Geschäftskontakte, CR 2010, 257; Salvenmoser/Hauschka, Korruption, Datenschutz und Compliance, NJW 2010, 331; Schaffland, Datenschutz und Bankgeheimnis bei Fusion – (k)ein Thema?, NJW 2002, 1539; Schulz, Die (Un-)Zulässigkeit von Datenübertragungen innerhalb verbundener Unternehmen, BB 2011, 2552; Weichert, Datenschutz als Verbraucherschutz, DuD 2001, 264; Wronka, Reglementierung des Adresshandels im novellierten BDSG, RDV 2010, 159; Wulf/Burgenmeister, Industrie 4.0 in der Logistik – Rechtliche Hürden beim Einsatz neuer Vernetzungs-Technologien, CR 2015, 404.

Plath

|

545

§ 28 BDSG | Datenverarbeitung nicht-öffentlicher Stellen I. Einführung 1 Das BDSG unterstellt die Erhebung, Verarbeitung und Nutzung personenbezo-

gener Daten einem Verbot mit Erlaubnisvorbehalt (§ 4 Abs. 1). Die Datenverwendung ist damit nur dann gestattet, wenn entweder der Betroffene eingewilligt hat oder eine gesetzliche Erlaubnisnorm eingreift. Die Regelungen der §§ 28, 29 sind die für die Praxis bedeutendsten Erlaubnisnormen in diesem Sinne.

2 § 28 regelt, in Abgrenzung zu § 29, den Fall der Datenverwendung für „eigene

Geschäftszwecke“ und lässt sich in drei Tatbestandskomplexe aufteilen: (i) Abs. 1 regelt die Datenverwendung zur Erfüllung eigener Geschäftszwecke; (ii) Abs. 2 regelt die Datenverwendung zu bestimmten anderen Zwecken, die jedoch nicht fremde Geschäftszwecke i.S.d. § 29 sind; (iii) Abs. 3 regelt schließlich die Datenverwendung zu Zwecken der Werbung oder des Adresshandels. Unter der DSGVO gibt eine solche Differenzierung nicht, zentrale Norm für die Verarbeitung ist Art. 6 DSGVO.

3 Darüber hinaus normieren die Abs. 3a–4 besondere Anforderungen an die Ein-

willigung in die Datenverwendung zu Werbezwecken und an den Widerspruch dagegen. Im Geltungsbereich der DSGVO findet sich ein spezifisches Widerspruchsrecht gegen Maßnahmen der Direktwerbung in Art. 21 Abs. 2 DSGVO. Hinsichtlich der Einwilligung in die Direktwerbung, soweit eine solche überhaupt erforderlich ist, gelten die allgemeinen Regelungen des Art. 7 DSGVO bzw. für Kinder des Art. 8 DSGVO. In Abs. 5 ist der Grundsatz der Zweckbindung geregelt. Die entsprechenden Regelungen der DSGVO finden sich in Art. 5 Abs. 1 Buchst. b) und Art. 6 Abs. 4 DSGVO. Schließlich enthalten die Abs. 6–9 besondere Voraussetzungen für den Umgang mit sensiblen Daten. Diese sind in der DSGVO in Art. 9 DSGVO geregelt.

4 Die Regelung des § 28 beruht auf dem Grundgedanken, dass die Datenverwen-

dung nicht Haupttätigkeit bzw. Geschäftszweck der verantwortlichen Stelle, sondern vielmehr Nebenprodukt der eigentlichen geschäftlichen Tätigkeit ist1. Die geschäftsmäßige Datenverwendung zu fremden Geschäftszwecken regeln dagegen die §§ 29 und 30, wobei die Abgrenzung hier im Einzelfall schwierig sein kann (zur Abgrenzung s. Rz. 14). Unter der DSGVO gilt diese Unterscheidung nicht mehr (vgl. Art. 6 DSGVO).

5 § 28 in der aktuellen Form ist am 1.9.2009 in Kraft getreten. Dabei sind die

Übergangsfristen gemäß § 47 zu beachten, die mittlerweile aber weitgehend an praktischer Bedeutung verloren haben dürften (s. die Komm. zu § 47 BDSG).

1 Vgl. Schaffland/Wiltfang, § 28 BDSG Rz. 3 f.

546

|

Plath

Datenerhebung und -speicherung für eigene Geschäftszwecke | § 28 BDSG

1. Anwendungsbereich Die Norm umfasst – entgegen dem Wortlaut der Überschrift, wo nur von Da- 6 tenerhebung und -speicherung die Rede ist – die Phasen der Erhebung, Speicherung, Veränderung, Übermittlung und Nutzung1. Nicht umfasst sind jedoch die Sperrung und Löschung von Daten, die in § 35 speziell geregelt sind. § 28 richtet sich an alle Stellen i.S.d. § 27 (nicht-öffentliche Stellen bzw. öffent- 7 liche Stellen des Bundes und der Länder, die als öffentlich-rechtliche Unternehmen am Wettbewerb teilnehmen)2 und ist damit das Gegenstück zu den §§ 13– 16, welche die Datenverwendung durch öffentliche Stellen regeln. Seit der umfassenden BDSG-Novelle II vom 14.8.2009 ist auch die Datenverwendung im Rahmen von Beschäftigungsverhältnissen vom Regelungsbereich des § 28 ausgenommen und nun in § 32 geregelt, wobei insoweit Abgrenzungsfragen entstehen. Vorrangige Bestimmungen gelten zudem auch für die Übermittlung von Daten an Auskunfteien (§ 28b), die Bildung von Scorewerten (§ 28a) und die Datenverwendung für Zwecke der Markt- und Meinungsforschung (§ 30a). § 28 greift jedoch subsidiär, wenn ein bestimmter Tatbestand nicht von diesen spezielleren Regelungen erfasst wird. 2. Verhältnis zur Einwilligung Die Einwilligung nach § 4a und die Erlaubnisnorm des § 28 stehen grundsätz- 8 lich nebeneinander. Damit kann ein Vorgang sowohl aufgrund einer Einwilligung als auch auf der Grundlage eines Erlaubnistatbestands zulässig sein. Hat ein Betroffener von seinem Selbstbestimmungsrecht Gebrauch gemacht und in die Datenverwendung wirksam eingewilligt, kommt es auf die Rechtmäßigkeit der Datenverwendung nach den Voraussetzungen einer Erlaubnisnorm nicht mehr an. Umstritten ist jedoch, ob bei Widerruf einer erteilten Einwilligung oder der 9 Verweigerung der Erteilung einer Einwilligung die Datenverwendung dennoch auf eine – an sich anwendbare – Erlaubnisnorm gestützt werden kann. Dafür spricht, dass nach § 4 die Einwilligung und die gesetzliche Erlaubnis in einem „Entweder-oder“-Verhältnis zueinanderstehen. Auch bei Wegfall einer Einwilligung bleibt es objektiv bei einer Zulässigkeit des Datenumgangs nach § 28. Die gegenteilige Meinung würde die Anwendbarkeit des § 28 von dem zusätzlichen Erfordernis des Fehlens eines entgegenstehenden Willens des Betroffenen abhängig machen, was dem Charakter der Norm als objektiver Erlaubnistatbestand entgegensteht, und im Übrigen auch nicht vom Wortlaut der Norm gedeckt

1 So auch Taeger/Gabel/Taeger, § 28 BDSG Rz. 27; Gola/Schomerus, § 28 BDSG Rz. 2; Däubler/Klebe/Wedde/Weichert/Wedde, § 28 BDSG Rz. 1. 2 Taeger/Gabel/Taeger, § 28 BDSG Rz. 21 ff.

Plath

|

547

§ 28 BDSG | Datenverarbeitung nicht-öffentlicher Stellen ist1. Angesichts dieser Unsicherheit wird dennoch teilweise davon abgeraten, in der Praxis bei eindeutig zulässigen Datenverwendungen eine zusätzliche Einwilligung einzuholen, da es im Falle ihres Widerrufs „vertrauensstörend“ wirken könnte, wenn der Datenumgang gleichwohl (mit Verweis auf die Erlaubnisnorm) fortgeführt wird2. Es handelt sich hierbei jedoch um eine unternehmenspolitische Entscheidung, die von Fall zu Fall sorgfältig abgewogen werden muss. Auf die Wirksamkeit der Datenverwendung hat diese Entscheidung nach der hier vertretenen Ansicht keine Auswirkung. Soweit sich die verantwortliche Stelle für die Einholung einer Einwilligung entscheidet, mag es in bestimmten Konstellationen zur Vermeidung eines „Vertrauensverlustes“ ratsam sein, auf die „Vorsorglichkeit“ der Einwilligung hinzuweisen und ggf. bereits deutlich zu machen, dass die Verwendung der Daten alternativ auch auf die Erlaubnisnorm des § 28 gestützt werden könnte.

II. Datenverwendung zur Erfüllung eigener Geschäftszwecke (Abs. 1) 10 Nach Abs. 1 ist die Datenverwendung zur Erfüllung eigener Geschäftszwecke in

drei Fällen zulässig:

(i) die Datenverwendung erfolgt zum Zweck der Durchführung eines rechtsgeschäftlichen oder rechtsgeschäftsähnlichen Verhältnisses (Nr. 1); (ii) die Datenverwendung dient berechtigten Interessen der verantwortlichen Stelle, die gegenüber Interessen des Betroffenen vorrangig sind (Nr. 2); (iii) es werden allgemein zugängliche Daten bzw. Daten, die die verantwortliche Stelle veröffentlichen darf, verwendet, soweit keine schutzwürdigen Interessen des Betroffenen offensichtlich gegen die Verwendung sprechen (Nr. 3). 11 Grundsätzlich sind diese drei Erlaubnistatbestände gleichrangig, jedoch nicht

nebeneinander anwendbar, so dass die verantwortliche Stelle die Datenverwendung jeweils nur auf eine der drei Varianten stützen kann3. Dreh- und Angelpunkt der Erlaubnisnorm ist dabei stets der typische, eigene Geschäftszweck der verantwortlichen Stelle, dessen Verfolgung sich im Regelfall im Abschluss von rechtsgeschäftlichen oder rechtsgeschäftsähnlichen Schuldverhältnissen, also insbesondere Verträgen, widerspiegelt4. Aus diesem Grund ist stets vorrangig zu

1 So im Ergebnis auch Schaffland/Wiltfang, § 28 BDSG Rz. 2; Riesenhuber, RdA 2011, 257 (261); a.A. Simitis/Simitis, § 28 BDSG Rz. 20 mit der Begründung, dass sich die verantwortliche Stelle ihr eigenes Verhalten anrechnen lassen und auf die Inanspruchnahme des Erlaubnistatbestands verzichten muss. 2 Taeger/Gabel/Taeger, § 28 BDSG Rz. 20. 3 Simitis/Simitis, § 28 BDSG Rz. 53 f.; Däubler/Klebe/Wedde/Weichert/Wedde, § 28 BDSG Rz. 14. 4 Vgl. Taeger/Gabel/Taeger, § 28 Rz. 31.

548

|

Plath

Datenerhebung und -speicherung für eigene Geschäftszwecke | § 28 BDSG

prüfen, ob eine Datenverwendung im Zusammenhang mit einem konkreten Schuldverhältnis steht. In den weiteren Erlaubnistatbeständen des Abs. 1 Satz 1 Nr. 2 und 3 ist dagegen lediglich eine Auffangklausel zu Nr. 1 für den Fall zu sehen, dass die Datenerhebung nicht für ein konkretes rechtsgeschäftliches Verhältnis erfolgt, trotzdem jedoch im Zusammenhang mit dem typischen geschäftlichen Tätigkeitsbereich der verantwortlichen Stelle steht1. Eine Datenverwendung, die zwar in den Anwendungsbereich des Abs. 1 Satz 1 Nr. 1 fällt, danach jedoch nicht erlaubt ist, kann nicht nach Nr. 2 oder Nr. 3 zulässig sein2. Die Sperrwirkung von Nr. 1 greift jedoch ausschließlich im Rahmen der Durchführung des konkreten Schuldverhältnisses. 1. Eigener Geschäftszweck Allen drei Fallvarianten ist gemein, dass die Datenverwendung zu „eigenen Ge- 12 schäftszwecken“ erfolgen muss. Der Begriff unterscheidet sich inhaltlich nicht von dem der „eigenen Zwecke“ i.S.v. § 28 a.F.3. Fraglich ist jedoch, wann von einem „eigenen Geschäftszweck“ gesprochen wer- 13 den kann. Das Gesetz liefert diesbezüglich keinen Anhaltspunkt. Es wird also im Einzelfall zu bestimmen sein, welcher Zweck von der verantwortlichen Stelle verfolgt wird. Hierbei kann bspw. auf Gesellschaftsverträge, Satzungen, Geschäftsordnungen u.ä. zurückgegriffen werden4. Da diese jedoch von der verantwortlichen Stelle bzw. deren Gesellschaftern selbst redigiert werden, besteht in gewissem Maße die Möglichkeit, auf die Bestimmung des „eigenen Zwecks“ Einfluss zu nehmen. Problematisch sind die Fälle, in denen die Verwendung sowohl zu eigenen als 14 auch zu fremden Zwecken erfolgt. Dies kann bspw. Marktforschungsinstitute, Auskunfteien und Rechenzentren betreffen, die sowohl für Dritte als auch für sich selbst Daten verwenden. Der Anwendungsbereich des § 28 wird in der Rechtsprechung z.B. mit Blick auf Bewertungsportale für Ärzte abgelehnt, da die Daten bei solchen Portalen eine Art Ware darstellen und somit selbst Gegenstand der Dienstleistung sind5. Stellt die Datenverwendung allerdings lediglich ein Hilfsmittel dar, um Geschäftszwecke zu erreichen, die durch die Datenverendung ermöglicht werden, so soll § 28 Anwendung finden6. Wie in diesen und 1 Simitis/Simitis, § 28 BDSG Rz. 54; Däubler/Klebe/Wedde/Weichert/Wedde, § 28 BDSG Rz. 14. 2 Gola/Schomerus, § 28 BDSG Rz. 9; Däubler/Klebe/Wedde/Weichert/Wedde, § 28 BDSG Rz. 14; so im Ergebnis auch Bergmann/Möhrle/Herb, § 28 BDSG Rz. 227. 3 Taeger/Gabel/Taeger, § 28 BDSG Rz. 30; Däubler/Klebe/Wedde/Weichert/Wedde, § 28 BDSG Rz. 10. 4 Ebenso Simitis/Simitis, § 28 BDSG Rz. 23; Schaffland/Wiltfang, § 28 BDSG Rz. 6, 12. 5 OLG Frankfurt a.M. v. 8.3.2012 – 16 U 125/11, CR 2012, 399. 6 BGH v. 23.9.2014 – VI ZR 358/13, CR 2015, 116.

Plath

|

549

§ 28 BDSG | Datenverarbeitung nicht-öffentlicher Stellen ähnlichen Konstellationen die Zweckbestimmung erfolgen soll, ist umstritten. Nach der hier vertretenen Ansicht ist nach dem Schwerpunkt der Datenverwendung zu fragen1. Damit richtet sich ein Datenumgang, der meist zu eigenen Zwecken und nur gelegentlich zu fremden geschäftlichen Zwecken erfolgt, nach § 28. Nach Ansicht der Vertreter der Gegenmeinung müsste jeder Datenumgang einzeln betrachtet werden und je nach konkretem Zweck nach § 28 oder § 29 behandelt werden2. Dagegen spricht jedoch, dass eine vereinzelte Beurteilung aller Datenvorgänge zu einem unübersichtlichen Geflecht unterschiedlicher Anforderungen an den Umgang mit ein und denselben Daten führen würde, was nicht im Interesse der Rechtssicherheit der Beteiligten wäre. 2. Begründung, Durchführung, Beendigung eines rechtsgeschäftlichen oder rechtsgeschäftsähnlichen Verhältnisses (Abs. 1 Satz 1 Nr. 1) 15 Der Erlaubnistatbestand des Abs. 1 Satz 1 Nr. 1 ermöglicht die Datenverwendung

für den Fall, dass der geschäftliche Zweck in der Durchführung eines rechtsgeschäftlichen oder rechtsgeschäftsähnlichen Verhältnisses liegt. Damit trägt das Gesetz dem Umstand Rechnung, dass der Umgang mit personenbezogenen Daten für eine Geschäftsabwicklung und damit für die Erfüllung rechtlicher Pflichten unerlässlich ist und ggf. auch im Interesse des Betroffenen sein kann3. Gleichzeitig darf die Datenverwendung nur ein „Mittel zum (Geschäfts-)Zweck“4 bzw. Hilfsmittel im Zusammenhang mit einem Rechtsgeschäft sein, nicht jedoch Hauptzweck der Tätigkeit, da ansonsten § 29 einschlägig wäre5. Eine entsprechende Regelung enthält auch die DSGVO in Art. 6 Abs. 1 Buchst. b DSGVO. a) Rechtsgeschäftliches bzw. rechtsgeschäftsähnliches Schuldverhältnis

16 Mit der BDSG-Novelle II6 wurde die ehemalige Formulierung „Vertragsverhält-

nis“ bzw. „vertragsähnliches Verhältnis“ durch die Formulierung „rechtsgeschäftliches oder rechtsgeschäftsähnliches Schuldverhältnis“ ersetzt. Dies erfolgte mit dem Ziel einer Angleichung an die Terminologie des allgemeinen Schuldrechts, insbesondere des § 311 BGB7. Das Erfordernis einer rechtsgeschäftlichen Beziehung unterscheidet § 28 von § 29, der eine solche gerade nicht verlangt8.

1 Ebenso Schaffland/Wiltfang, § 28 BDSG Rz. 9 in Anlehnung an BayOLG, DuD 1981, 209. 2 Simitis/Simitis, § 28 BDSG Rz. 25; Taeger/Gabel/Taeger, § 28 BDSG Rz. 34 ff.; Däubler/ Klebe/Wedde/Weichert/Wedde, § 28 BDSG Rz. 12. 3 So auch Taeger/Gabel/Taeger, § 28 BDSG Rz. 33, 48. 4 Taeger/Gabel/Taeger, § 28 BDSG Rz. 31. 5 Taeger/Gabel/Taeger, § 28 BDSG Rz. 31; Däubler/Klebe/Wedde/Weichert/Wedde, § 28 BDSG Rz. 10. 6 BDSG-Novelle II v. 14.8.2009. 7 Bergmann/Möhrle/Herb, § 28 BDSG Rz. 19; Taeger/Gabel/Taeger, § 28 BDSG Rz. 33, Fn. 27; Gola/Schomerus, § 28 BDSG Rz. 12. 8 Däubler/Klebe/Wedde/Weichert/Wedde, § 28 BDSG Rz. 11.

550

|

Plath

Datenerhebung und -speicherung für eigene Geschäftszwecke | § 28 BDSG

Unter rechtsgeschäftlichen Schuldverhältnissen sind vor allem Vertragsver- 17 hältnisse aller Art zu verstehen1. Rechtsgeschäftsähnliche Schuldverhältnisse entstehen durch Gesetz und zeich- 18 nen sich dadurch aus, dass die Parteien einander zu Rücksichtnahme und Vertrauen verpflichtet sind2. Typischer Anwendungsfall sind insbesondere die Vertragsverhandlung und -anbahnung sowie ähnliche geschäftliche Kontakte i.S.d. § 311 Abs. 2 BGB, insbesondere das nachvertragliche Vertrauensverhältnis3. Angesichts der Tatsache, dass mit der Anpassung des Wortlauts an das BGB keine Veränderung des Anwendungsbereichs einhergehen sollte, fallen auch die nach § 28 a.F. mit umfassten „vertragsähnlichen Vertrauensverhältnisse“ wie bspw. Mitgliedschaften in Vereinen, Parteien oder Organisationen, Geschäftsführungen ohne Auftrag, Gefälligkeitsverhältnisse, Preisausschreiben oder nichtige Vertragsverhältnisse in den Anwendungsbereich der Norm4. Schließlich soll auch durch das Einholen einer Einwilligung in die Datenverwendung zu Werbezwecken ein (vorvertragliches) rechtsgeschäftsähnliches Schuldverhältnis begründet werden, welches bspw. die Speicherung einer erteilten Einwilligung rechtfertigt5. b) Erforderlichkeit Liegt ein Schuldverhältnis i.S.d. Abs. 1 Satz 1 Nr. 1 vor, so muss die Datenver- 19 wendung zur Begründung, Durchführung oder Beendigung dieses Schuldverhältnisses objektiv erforderlich sein, damit der Erlaubnistatbestand zur Anwendung kommen kann. Ist dies der Fall, ist eine weitere Interessenabwägung entbehrlich6. Maßstab ist dabei grundsätzlich die Zweckbestimmung des konkreten Schuldverhältnisses im Einzelfall. Wann genau von einer Erforderlichkeit des Datenumgangs gesprochen werden 20 kann, geht aus dem Gesetz nicht eindeutig hervor. Der Begriff der „Erforderlichkeit“ ist in dem BDSG nicht weiter definiert. Auch eine Abgrenzung zu der vor dem 1.9.2009 geltenden Fassung, in der noch darauf abgestellt worden war, ob 1 Taeger/Gabel/Taeger, § 28 BDSG Rz. 40; Bergmann/Möhrle/Herb, § 28 BDSG Rz. 21; Däubler/Klebe/Wedde/Weichert/Wedde, § 28 BDSG Rz. 19; Schaffland/Wiltfang, § 28 BDSG Rz. 17. 2 Gola/Schomerus, § 28 BDSG Rz. 13. 3 Bergmann/Möhrle/Herb, § 28 BDSG Rz. 20; Taeger/Gabel/Taeger, § 28 BDSG Rz. 44; Gola/Schomerus, § 28 BDSG Rz. 13. 4 Taeger/Gabel/Taeger, § 28 BDSG Rz. 45; vgl. zu § 28 a.F. Simitis/Simitis, § 28 BDSG Rz. 86 ff.; Däubler/Klebe/Wedde/Weichert/Wedde, § 28 BDSG Rz. 23; Gola/Schomerus, § 28 BDSG Rz. 13. 5 So z.B. LG Hamburg v. 23.12.2008 – 312 O 362/08, VUR 2009, 279. 6 Taeger/Gabel/Taeger, § 28 BDSG Rz. 47; enger dagegen Gola/Schomerus, der für die Fälle, in denen sich die Erforderlichkeit nicht eindeutig aus dem Vertragszweck ergibt, eine Interessenabwägung ergänzend für notwendig hält, § 28 BDSG Rz. 17.

Plath

|

551

§ 28 BDSG | Datenverarbeitung nicht-öffentlicher Stellen die Verwendung der Daten der Zweckbestimmung des Vertragsverhältnisses „dient“, ist wenig ergiebig. Denn es wird davon ausgegangen, dass auch die ehemalige Formulierung des § 28 a.F. bereits damals im Sinne einer „Erforderlichkeit“ auszulegen war und eine Änderung der Rechtslage mit der Neufassung nicht bezweckt worden ist1. 21 Generell wird angenommen, wenn auch mit unterschiedlichen Nuancierungen,

dass dem Grundsatz der Erforderlichkeit (nur) dann genüge getan wird, wenn die aus dem Rechtsverhältnis folgenden Rechte und Pflichten nur bei Verwendung der jeweiligen Daten geltend gemacht bzw. erfüllt werden können2.

22 Wenngleich über den vorstehenden Grundsatz in der juristischen Literatur weit-

gehend Konsens bestehen dürfte, stellt sich die weitere Frage der praktischen Umsetzung. Dabei mag nachfolgende Unterscheidung hilfreich sein, um die verschiedenen Fallkonstellationen und Auslegungsvarianten voneinander abzugrenzen.

23 Eindeutig ist, dass die Erforderlichkeit jedenfalls immer dann vorliegt, wenn die

Erreichung des Geschäftszwecks ohne die angestrebte Datenverwendung absolut unmöglich ist. So ist es z.B. unmöglich, einen Kunden mit Ware zu beliefern, wenn die verantwortliche Stelle nicht auch die Adressdaten des Betroffenen kennt und diese für die Zwecke der Belieferung verwenden darf. Gleiches gilt selbstverständlich, soweit die verantwortliche Stelle rechtlich dazu verpflichtet ist, bestimmte Daten zu verwenden, z.B. im Rahmen gesetzlicher Archivierungspflichten.

24 Eine solche absolute Unmöglichkeit wird jedoch nicht in jeder Konstellation ge-

geben sein. Schaltet bspw. ein Versandhandelsunternehmern einen Logistikdienstleister ein und übermittelt diesem die Adressdaten des Kunden, um die Belieferung des Kunden durchführen zu können, so müsste ein solcher Vorgang an dem Maßstab der absoluten Unmöglichkeit scheitern. Denn als milderes Mittel stünde es dem Versandhandelsunternehmen theoretisch frei, eine eigene Versandflotte aufzubauen und die Belieferung selbst durchzuführen. Ein derart strenger Maßstab würde jedoch weder den Interessen der verantwortlichen Stelle noch den Interessen der Betroffenen gerecht werden, die letztlich die daraus resultierenden erhöhten Kosten zu tragen hätten. Vor diesem Hintergrund muss eine Datenverwendung auch dann als erforderlich angesehen werden, wenn die Erreichung des Geschäftszwecks andernfalls relativ unmöglich wäre. Dies ist insbesondere dann der Fall, wenn die Alternative zum konkreten Datenumgang wirtschaftlich nicht durchführbar oder aus sonstigen Gründen für die verantwortliche Stelle unzumutbar ist3.

1 Gola/Schomerus, § 28 BDSG Rz. 14; Taeger/Gabel/Taeger, § 28 BDSG Rz. 49. 2 Ähnlich Gola/Schomerus, § 28 BDSG Rz. 15; Taeger/Gabel/Taeger, § 28 BDSG Rz. 47 („nur bei ihrer Kenntnis … erfüllt werden können“). 3 So auch Gola/Schomerus, § 28 BDSG Rz. 15.

552

|

Plath

Datenerhebung und -speicherung für eigene Geschäftszwecke | § 28 BDSG

Fraglich ist schließlich, ob eine Datenverwendung auch dann als erforderlich an- 25 zusehen ist, wenn sie zwar nicht unumgänglich ist, jedoch für die Erreichung des Geschäftszwecks als förderlich angesehen werden kann. Sicherlich zu weitgehend, da vom Wortlaut der Norm nicht mehr gedeckt, wäre die Auslegung, dass jede Maßnahme zulässig ist, die im weitesten Sinne der Durchführung des Rechtsverhältnisses förderlich ist. Der Maßstab des reinen „nice to have“ ist damit nicht ausreichend, um dem Grundsatz der Erforderlichkeit zu genügen. Ist die Verwendung der Daten hingegen insoweit sinnvoll bzw. förderlich, als damit weitere Kosten vermieden werden, die Prozesse beschleunigt werden oder in sonstiger Form Effizienzgewinne erzielt werden, so dürfte das Kriterium der Erforderlichkeit einer solchen Maßnahme i.d.R. zu bejahen sein. Insbesondere gilt dies, wenn zwar ein milderes Mittel zur Verfügung steht, also das Rechtsgeschäft auch ohne die konkrete Verwendung der Daten durchgeführt werden könnte, die Wahl eines solchen Mittels jedoch mit Nachteilen für die verantwortliche Stelle und/ oder die Betroffenen verbunden wäre. Gerade wenn die Verwendung der Daten auch im Interesse des Betroffenen geschieht, bspw. um einen besseren Service oder eine schnellere Abwicklung zu ermöglichen, wäre es nicht einzusehen, weshalb eine solche Maßnahme an dem Erforderlichkeitsgrundsatz scheitern sollte1. Teilweise wird die Erforderlichkeit einer Datenverwendung dann abgelehnt, 26 wenn diese auch auf der Grundlage von anonymisierten oder pseudonymisierten Daten erfolgen kann2. Dies kann allerdings nur dann gelten, wenn das verfolgte Ziel auf diese Weise mit gleicher Sicherheit erreicht werden kann. Die Erlaubnisnorm des Abs. 1 Satz 1 Nr. 1 ermöglicht nicht nur die Verwendung 27 von Daten über den Vertragspartner der verantwortlichen Stelle, sondern auch die Verwendung von Daten Dritter, wenn deren Verwendung zur Durchführung des Vertrages erforderlich ist3. Dies ist bspw. bei Verträgen zugunsten Dritter, bei Arbeitsverträgen, im Rahmen von Überweisungen und im Zusammenhang mit der Auszahlung von Versicherungssummen der Fall4. Darüber hinaus können auch Anwälte und Ärzte auf Daten über Gegenparteien oder Familienmitglieder angewiesen sein5. Ändert sich der Vertragspartner des Betroffenen und mithin auch die verantwortliche Stelle, so darf die vorherige verantwortliche Stelle nur diejenigen Daten übermitteln, die für die Vertragsfortführung erforderlich sind6. Darüber hinaus dürfen ansonsten lediglich anonymisierte Daten 1 Restriktiver dagegen Taeger/Gabel/Taeger, § 28 BDSG Rz. 50 ff. 2 So z.B. Taeger/Gabel/Taeger, § 28 BDSG Rz. 59; Bergmann/Möhrle/Herb, § 28 BDSG Rz. 235. 3 Ebenso Taeger/Gabel/Taeger, § 28 BDSG Rz. 41; Simitis/Simitis, § 28 BDSG Rz. 62 ff.; restriktiver Däubler/Klebe/Wedde/Weichert/Wedde, § 28 BDSG Rz. 20, 46; a.A. dagegen Bergmann/Möhrle/Herb, § 28 Rz. 22; Cebulla, ZD 2015, 507 (508). 4 Vgl. auch Gola/Schomerus, § 28 BDSG Rz. 18. 5 Simitis/Simitis, § 28 BDSG Rz. 62, 65. 6 Däubler/Klebe/Wedde/Weichert/Wedde, § 28 BDSG Rz. 22.

Plath

|

553

§ 28 BDSG | Datenverarbeitung nicht-öffentlicher Stellen oder reine Strukturdaten übermittelt werden1. Erfolgt der Wechsel des Vertragspartners infolge eines Betriebsübergangs (§ 613a BGB), so findet bezüglich der Beschäftigtendaten § 32 anstelle von § 28 Anwendung2. 28 Über die Erforderlichkeit hinaus müssen auch stets die Vorgaben zur Datenver-

meidung und -sparsamkeit des § 3a beachtet werden. c) Fallgruppen

29 Wie bereits dargestellt, lässt sich nur schwer eine pauschale Antwort auf die

Frage geben, welche Daten im Rahmen eines Schuldverhältnisses in welchem Umfang verwendet werden dürfen. Dies hängt von der Gestaltung des Schuldverhältnisses im Einzelfall, vom Parteiwillen und den äußeren Umständen ab. Die folgenden Fallgruppen stellen damit keine abschließende Aufzählung aller erlaubten Datenverwendungen dar, sondern zeigen typische Konstellationen auf und sollen als Leitfaden dienen: aa) Kaufverträge

30 Gerade bei Kaufverträgen richtet sich die Erforderlichkeit eines Datenumgangs

in hohem Maße nach dem konkreten Einzelfall. So wird bei Bargeschäften des täglichen Lebens in der Regel keine Datenverwendung notwendig sein. Dagegen ist eine Speicherung der sog. „Basisdaten“ (Name, Anschrift, Kontodaten usw.) bei bargeldlosen Geschäften (z.B. bei Käufen im Wege des Lastschriftverfahrens oder bei Zahlungen per Kreditkarte) zumindest bis zur Vertragsabwicklung und während der Gewährleistungszeit zulässig3. Zusätzlich kann unter Umständen das Speichern von Daten über den Familienstand, die Einkommens- bzw. Vermögensverhältnisse, Sicherheiten, Zahlungseingänge, Mahnungen und Rechnungen nach Abs. 1 Satz 1 Nr. 1 gerechtfertigt sein4. Das Speichern des Geburtstags, zumindest des Geburtsjahrs, ist zur Verifizierung der Geschäftsfähigkeit bzw. eines Mindestalters5 oder zur Unterscheidung mehrerer gleichnamiger Kunden6 zulässig. Ebenso ist grundsätzlich die Verwendung von Kundendaten zu Zwecken der späteren Qualitätskontrolle bzw. Kundenbetreuung zulässig7.

1 Simitis/Simitis, § 28 BDSG Rz. 67. 2 Däubler/Klebe/Wedde/Weichert/Wedde, § 28 BDSG Rz. 22. 3 Bergmann/Möhrle/Herb, § 28 BDSG Rz. 129; Däubler/Klebe/Wedde/Weichert/Wedde, § 28 BDSG Rz. 40. 4 Ebenso Schaffland/Wiltfang, § 28 BDSG Rz. 21; Simitis/Simitis, § 28 BDSG Rz. 60. 5 Ebenso Schaffland/Wiltfang, § 28 BDSG Rz. 20; Däubler/Klebe/Wedde/Weichert/Wedde, § 28 BDSG Rz. 42. 6 Bergmann/Möhrle/Herb, § 28 BDSG Rz. 129a; a.A. Däubler/Klebe/Wedde/Weichert/ Wedde, § 28 BDSG Rz. 42, der eine Unterscheidung anhand der Anschrift für ausreichend erachtet. 7 OLG Düsseldorf v. 19.5.2010 – I-15 U 11/09, BeckRS 2011, 03132.

554

|

Plath

Datenerhebung und -speicherung für eigene Geschäftszwecke | § 28 BDSG

Bei finanzierten Kaufverträgen oder Ratenkaufverträgen ist darüber hinaus auch das Speichern von Bonitätsdaten des Käufers zulässig, z.B. wenn dies einer Entscheidung über den Vertragsschluss dient1. Die Übermittlung von Daten ist insbesondere dann zulässig, wenn der Vertrag 31 gerade darauf gerichtet ist, dass auch Dritte in den Einwirkungskreis einbezogen werden. Dies kann bspw. bei Lieferungsketten oder Buchungen der Fall sein, also immer dann, wenn mehrere Beteiligte zur Durchführung des Vertrages eingeschaltet werden müssen2. Problematisch ist die Übermittlung von Bonitätsdaten. Dient sie dem konkreten Vertragszweck, wird sie nach Abs. 1 Satz 1 Nr. 1 zulässig sein. Eine pauschale Übermittlung von Daten über die Kreditwürdigkeit an Auskunfteien wie die SCHUFA ist jedoch vom konkreten Vertragszweck nicht mehr gedeckt, so dass eine Zulässigkeit sich nicht bereits aus Abs. 1 Satz 1 Nr. 1 ergibt3. Hier ist jedoch Abs. 1 Satz 1 Nr. 2 bzw. die in ihrem Anwendungsbereich vorrangige Regelung des § 28a zu beachten (vgl. Komm. zu § 28a BDSG Rz. 11 ff.). Die Übermittlung von Daten zu Werbe- oder Adresshandelszwecken ist ebenfalls nicht nach Abs. 1 Satz 1 Nr. 1, sondern nur unter den Voraussetzungen des Abs. 3 zulässig (s. Rz. 99 ff.). Nr. 1 erlaubt nicht die systematische Durchsuchung und Auswertung der aus 32 den Vertragsverhältnissen stammenden Daten zur Herstellung von Kundenprofilen oder zur Untersuchung des Konsumverhaltens. Dieses sog. „Data Mining“ ist in der Regel nicht vom Vertragszweck umfasst4. Über den konkreten Vertragszweck hinaus kann sich die Zulässigkeit dieser Vorgehensweise jedoch nach Nr. 2 oder Nr. 3 ergeben, zumal der Kunde u.U. sogar ein Interesse daran haben kann, zielgerichtete Angebote zu erhalten (vgl. hierzu auch Rz. 55 ff.). Eine Speicherung von Daten auf Vorrat ist ebenso wenig nach Abs. 1 Satz 1 Nr. 1 zulässig5. Werden mehrere Verträge zwischen denselben Parteien geschlossen, so ist eine 33 Verwendung der Daten aus dem einen Schuldverhältnis im Rahmen des anderen Schuldverhältnisses nicht nach Abs. 1 Satz 1 Nr. 1 zulässig. Denkbar ist jedoch auch hier eine Zulässigkeit nach Abs. 1 Satz 1 Nr. 2 (s. Rz. 46). bb) Bank- und Kreditverträge Jedenfalls zulässig ist bei Bank- und Kreditverträgen das Speichern von Daten 34 über die Bonität des Kreditnehmers und über Sicherheiten sowie von Daten 1 Ebenso Schaffland/Wiltfang, § 28 BDSG Rz. 21; Simitis/Simitis, § 28 BDSG Rz. 72. 2 Ebenso Schaffland/Wiltfang, § 28 BDSG Rz. 56 ff.; a.A. Bergmann/Möhrle/Herb, § 28 BDSG Rz. 130, wonach eine Übermittlung von Daten nur mit Einwilligung des Betroffenen zulässig ist. 3 Simitis/Simitis, § 28 BDSG Rz. 73. 4 Gola/Schomerus, § 28 BDSG Rz. 11; Bergmann/Möhrle/Herb, § 28 BDSG Rz. 129b, 131; Däubler/Klebe/Wedde/Weichert/Wedde, § 28 BDSG Rz. 43. 5 Simitis/Simitis, § 28 BDSG Rz. 70.

Plath

|

555

§ 28 BDSG | Datenverarbeitung nicht-öffentlicher Stellen über eventuelle Bürgen. Problematisch ist jedoch, dass fast jedem Datum ein potentieller Aussagewert über die Kreditwürdigkeit des Betroffenen innewohnt. Der Anwendungsbereich des Abs. 1 Satz 1 Nr. 1 muss deshalb auf solche Daten beschränkt werden, die eine Aussage über die Kreditwürdigkeit im Rahmen des konkreten Vertragsverhältnisses treffen1. Bei der Ermittlung der Kreditwürdigkeit mithilfe eines Scoring-Verfahrens ist § 28b zu beachten. 35 Bonitätsdaten, die im Rahmen der Vertragsanbahnung verwendet wurden, un-

terliegen in besonderem Maße der Vertraulichkeit, so dass sie bei Scheitern der Verhandlungen umgehend gelöscht werden müssen und nicht übermittelt werden dürfen, soweit nicht gesetzliche Aufbewahrungspflichten oder sonstige Rechtfertigungsgründe bestehen2.

36 Innerhalb des Vertragsverhältnisses ist die Übermittlung von Bonitätsdaten zu-

lässig, soweit diese Übermittlung für dessen Durchführung erforderlich ist. So dürfen z.B. Daten über die wirtschaftlichen Verhältnisse sowie über das Geschäfts- und Zahlungsverhalten eines Kunden im Rahmen einer Bankauskunft an anfragende Dritte übermittelt werden, da dies unter Umständen auch im Interesse des Betroffenen sein kann3. Dagegen ist die Übermittlung von Daten an Auskunfteien wie die SCHUFA in der Regel nicht vom Vertragszweck umfasst und daher nicht nach Abs. 1 Satz 1 Nr. 1 zulässig. Denkbar ist jedoch eine Zulässigkeit nach Abs. 1 Satz 1 Nr. 2, da Kreditinstitute ein gewichtiges Interesse an einem funktionierenden Auskunfteien-System haben (s. Rz. 62 f.)4. Zudem ist an dieser Stelle die Regelung des § 28a zu beachten, wenn Daten über Forderungen an Auskunfteien übermittelt werden.

37 Im Rahmen von Verträgen mit Kreditinstituten müssen über das BDSG hinaus

noch die spezialgesetzlichen Vorgaben des Wertpapierhandelsgesetzes (WpHG) und des Kreditwesengesetzes (KWG) bezüglich der Übermittlung etwaiger Daten beachtet werden5.

cc) Versicherungsverträge 38 Auch im Rahmen von Versicherungsverträgen ist nach Abs. 1 Satz 1 Nr. 1 nur

die Verwendung solcher Daten zulässig, die für den konkreten Vertrag von Bedeutung sind. So sind bspw. Daten über den gesundheitlichen Zustand des Betroffenen im Rahmen von Lebens- und Krankenversicherungen, jedoch nicht 1 Simitis/Simitis, § 28 BDSG Rz. 72; Däubler/Klebe/Wedde/Weichert/Wedde, § 28 BDSG Rz. 35. 2 Däubler/Klebe/Wedde/Weichert/Wedde, § 28 BDSG Rz. 34. 3 Simitis/Simitis, § 28 BDSG Rz. 74; vgl. auch Gola/Schomerus, § 28 BDSG Rz. 19; Däubler/Klebe/Wedde/Weichert/Wedde lehnt dies für Girokonten ab, die nur auf Guthabenbasis geführt werden, § 28 BDSG Rz. 35. 4 Ebenso Simitis/Simitis, § 28 BDSG Rz. 75. 5 Vgl. hierzu ausführlich Däubler/Klebe/Wedde/Weichert/Wedde, § 28 BDSG Rz. 37 ff.

556

|

Plath

Datenerhebung und -speicherung für eigene Geschäftszwecke | § 28 BDSG

unbedingt im Rahmen von Hausratsversicherungen von Interesse1. Dabei müssen jedoch die Auskunftspflichten des Versicherungsnehmers nach §§ 19, 31 VVG beachtet werden2. Eine Übermittlung der Daten an einen Rückversicherer ist nicht in jedem Fall durch den Vertragszweck gedeckt. Allerdings ergibt sich auch hier eine Zulässigkeit nach Abs. 1 Satz 1 Nr. 2 (s. Rz. 74)3. dd) Arbeitsverträge Seit der BDSG-Novelle II ist die Datenverwendung i.R.v. Arbeitsverträgen in 39 § 32 speziell geregelt. Allerdings gilt diese Norm nur für die Datenverwendung im Rahmen des konkreten Beschäftigungsverhältnisses. Für Daten, die über das konkrete Beschäftigungsverhältnis hinaus anfallen, gilt dagegen § 28 (eingehend zum Verhältnis zwischen § 32 und § 28 s. die Komm. zu § 32 BDSG Rz. 8 ff.)4. Beispiele hierfür sind die Möglichkeit eines Arbeitnehmers zum Einkauf zu Vorzugspreisen, das Einrichten eines Privatkontos beim arbeitgebenden Kreditinstitut, ebenso wie der Abschluss privater Versicherungs- oder Behandlungsverträge5. Der Grund hierfür ist, dass der diesbezügliche Datenumgang gerade nicht im konkreten Arbeitsverhältnis, sondern in einem getrennt zu behandelnden Vertrag zwischen den Parteien erfolgt. Es bleibt also bei dem Grundsatz, dass für die Bewertung der Zulässigkeit eines Datenumgangs immer das Schuldverhältnis im Einzelfall maßgeblich ist. Dementsprechend ist, ebenso wie bei anderen Vertragsverhältnissen auch, die Verwendung von Daten aus dem einen Schuldverhältnis im Rahmen des anderen Schuldverhältnisses nicht per se nach Abs. 1 Satz 1 Nr. 1 zulässig. ee) Mietverträge Zulässig ist im Rahmen von Mietverträgen insbesondere das Speichern aller Da- 40 ten, die zur eindeutigen Identifizierung des Mieters notwendig sind, sowie von Daten über dessen Bonität6. Gleiches gilt für Angaben über Familienverhältnisse (zumindest die Anzahl der Familienmitglieder) und Haustierhaltung7. Die Übermittlung von Daten an eine Immobilienverwaltung oder einen Hausmeister ist vom Vertragszweck umfasst und damit nach Abs. 1 Satz 1 Nr. 1 zulässig8. 1 Ebenso Däubler/Klebe/Wedde/Weichert/Wedde, § 28 BDSG Rz. 46; Simitis/Simitis, § 28 BDSG Rz. 76. 2 Simitis/Simitis, § 28 BDSG Rz. 76. 3 Ebenso Simitis/Simitis, § 28 BDSG Rz. 78; vgl. auch die Mustererklärung „Einwilligung in die Erhebung und Verwendung von Gesundheitsdaten und Schweigepflichtentbindungserklärung“ des Düsseldorfer Kreises, Beschluss v. 17.1.2012. 4 Vgl. auch Däubler/Klebe/Wedde/Weichert/Wedde, § 28 BDSG Rz. 24. 5 Däubler/Klebe/Wedde/Weichert/Wedde, § 28 BDSG Rz. 24. 6 Bergmann/Möhrle/Herb, § 28 BDSG Rz. 149. 7 Bergmann/Möhrle/Herb, § 28 BDSG Rz. 149; a.A. Gola/Schomerus, § 28 BDSG Rz. 17. 8 Bergmann/Möhrle/Herb, § 28 BDSG Rz. 152.

Plath

|

557

§ 28 BDSG | Datenverarbeitung nicht-öffentlicher Stellen Alle Daten müssen nach Beendigung des Mietverhältnisses gelöscht werden, soweit keine gesetzlichen Aufbewahrungspflichten oder sonstige Rechtfertigungsgründe bestehen. Im Falle des wiederholten Mietens von Gegenständen (Bücher, Videos, Autos) dürfen Daten über die einzelnen Mietvorgänge nicht dauerhaft gespeichert werden1. ff) Behandlungsverträge (Arzt, Krankenhaus) 41 Bereits das Bestehen eines Behandlungsvertrags stellt ein personenbezogenes

Datum dar, soweit der Patient identifizierbar ist. Darüber hinaus sind die Daten, die im Rahmen von Arzt- oder Krankhausverträgen anfallen, in der Regel als sensible Daten besonderer Art i.S.d. § 3 Abs. 9 zu qualifizieren2. Beim Umgang mit solchen Daten (z.B. Befunddaten) müssen deshalb insbesondere Abs. 6 und 7 beachtet werden. 42 Nach Abs. 1 Satz 1 Nr. 1 ist nur die Speicherung der Daten zulässig, die für die Durchführung des jeweiligen Behandlungsvertrags notwendig sind3. Die Übermittlung von Daten, bspw. an Verrechnungsstellen oder Versicherungen, ist dagegen nur mit Einwilligung des Patienten zulässig, da in der Regel das Interesse des Betroffenen an der Geheimhaltung seiner Gesundheitsdaten gegenüber dem Interesse der verantwortlichen Stelle an einer Auslagerung des Abrechnungsprozesses überwiegen wird. Ausnahmsweise ist eine Übermittlung auf Grundlage des Abs. 1 Satz 1 Nr. 1 jedoch möglich, wenn sie anonymisiert erfolgt, so dass ein Rückschluss auf die Identität des Betroffenen nicht möglich ist4. Unberührt davon bleiben die Regelungen der Auftragsdatenverarbeitung nach § 11. Zu beachten ist darüber hinaus, dass sich eine Übermittlungsbefugnis auch aus spezialgesetzlichen Regelungen, insbesondere §§ 295 ff. SGB V, ergeben kann5. gg) Mitgliedschaften/Mitgesellschafter 43 Maßstab für die Zulässigkeit einer Datenverwendung in Vereinen oder Parteien

ist der in der Satzung festgelegte Vereinszweck6. Je nach Satzung kann die Veröffentlichung und Übermittlung von Daten i.R.v. Mitgliederlisten zulässig sein. Gleiches gilt für die Veröffentlichung in Vereinszeitungen und anderen Mitteilungsforen wie „Schwarzen Brettern“. So ist bspw. die Veröffentlichung von Turniersiegern in Sportvereinen regelmäßig vom Vertragszweck umfasst7. Unter 1 Bergmann/Möhrle/Herb, § 28 BDSG Rz. 156. 2 Ausführlich zu den Besonderheiten Bergmann/Möhrle/Herb, § 28 BDSG Rz. 136 ff. 3 Bergmann/Möhrle/Herb, § 28 BDSG Rz. 85 und 137; Däubler/Klebe/Wedde/Weichert/ Wedde, § 28 BDSG Rz. 30. 4 Bergmann/Möhrle/Herb, § 28 BDSG Rz. 85 f.; Däubler/Klebe/Wedde/Weichert/Wedde, § 28 BDSG Rz. 30. 5 Kilian/Heussen/Polenz, Computerrecht, Teil 13 IV Rz. 20. 6 Gola/Schomerus, § 28 BDSG Rz. 22. 7 Ähnlich Gola/Schomerus, § 28 BDSG Rz. 22.

558

|

Plath

Datenerhebung und -speicherung für eigene Geschäftszwecke | § 28 BDSG

bestimmten Umständen kann das Interesse der betroffenen Stelle an der Verwendung der Mitgliedsdaten eines Betroffenen auch nach der Beendigung seiner Mitgliedschaft fortbestehen1. Ebenso soll nach Abs. 1 Satz 1 Nr. 1 der Treuhandkommanditist eines geschlos- 44 senen Immobilienfonds berechtigt sein, den Gesellschaftern bzw. Treugebern die Kontaktdaten der anderen Gesellschafter bzw. Treugeber zu übermitteln, wenn die Kenntnis dieser Daten erforderlich ist, um ein nach dem Gesellschaftsvertrag erforderliches Quorum zur Wahrnehmung bestimmter Gesellschaftsrechte zu erreichen2. Schließlich ist anerkannt, dass eine Gewerkschaft ein berechtigtes Interesse an 45 der Nutzung der betrieblichen E-Mail-Adressen ihrer Mitglieder hat, da die Kommunikation mit den Gewerkschaftsmitgliedern der Erfüllung des eigenen Geschäftszwecks dient3. 3. Wahrung berechtigter Interessen (Abs. 1 Satz 1 Nr. 2) Nach Abs. 1 Satz 1 Nr. 2 ist die Datenverwendung zur Wahrung berechtigter In- 46 teressen der verantwortlichen Stelle erlaubt, wenn kein Grund zur Annahme besteht, dass überwiegende Interessen des Betroffenen der Verarbeitung oder Nutzung entgegenstehen. Die Vorschrift ist ein Auffangtatbestand zu Abs. 1 Satz 1 Nr. 1 für den Fall, dass kein rechtsgeschäftliches oder rechtsgeschäftsähnliches Schuldverhältnis besteht bzw. die Datenverwendung nicht im konkreten Zusammenhang mit der Begründung, Durchführung oder Beendigung des Schuldverhältnisses steht (eingehend zum Verhältnis der Erlaubnistatbestände des Abs. 1 zueinander s. Rz. 11)4. Eine entsprechende Regelung enthält auch die DSGVO in Art. 6 Abs. 1 Buchst. f DSGVO. a) Berechtigte Interessen der verantwortlichen Stelle Das berechtigte Interesse der verantwortlichen Stelle muss bei vernünftiger Er- 47 wägung durch die Sachlage gerechtfertigt sein, tatsächlich bestehen und kann rechtlicher, wirtschaftlicher, ideeller oder sonstiger Natur sein5. Es besteht je1 LG Düsseldorf v. 12.1.2011 – 2a O 189/10, BeckRS 2011, 03131 bzgl. der Fortsetzung der Speicherung von Zuchtdaten durch einen Hundezüchterverein zu Zwecken der Eintragung in Zuchtbücher. 2 LG Frankfurt a.M. v. 8.5.2009 – 2-21 O 78/08, CCZ 2010, 39; vgl. auch OLG München v. 5.2.2015 – 23 U 1875/14, ZIP 2015, 523. 3 BAG v. 20.1.2009 – 1 AZR 515/08, NJW 2009, 1990 (1996). 4 Däubler/Klebe/Wedde/Weichert/Wedde, § 28 BDSG Rz. 47; Taeger/Gabel/Taeger, § 28 BDSG Rz. 54. 5 Däubler/Klebe/Wedde/Weichert/Wedde, § 28 BDSG Rz. 48; Gola/Schomerus, § 28 BDSG Rz. 24; Taeger/Gabel/Taeger, § 28 BDSG Rz. 55; Simitis/Simitis, § 28 BDSG Rz. 103, 104; Bergmann/Möhrle/Herb, § 28 BDSG Rz. 230 mit Verweis auf BGH v. 22.5.1984 – VI ZR 105/82, NJW 1984, 1886 (1887); Schaffland/Wiltfang, § 28 BDSG Rz. 85.

Plath

|

559

§ 28 BDSG | Datenverarbeitung nicht-öffentlicher Stellen denfalls dann, wenn die verantwortliche Stelle ohne die Datenverwendung einen (erheblichen) Nachteil hätte1. Grundsätzlich kann jedes Interesse berechtigt sein, das von der Rechtsordnung gebilligt ist2. 48 Es muss sich dabei grundsätzlich um ein eigenes Interesse der verantwortlichen

Stelle handeln; ob auch Interessen Dritter oder öffentliche Belange im Rahmen des Abs. 1 Satz 1 Nr. 2 geltend gemacht werden können, ist streitig3. Im Jahr 2013 hat der BGH nun entschieden, dass Drittinteressen durchaus Berücksichtigung finden können und zwar aufgrund von Art. 7 EG-Datenschutzrichtlinie, der – abweichend vom Wortlaut Abs. 1 Satz 1 Nr. 2 – auch die Interessen von Dritten, die als Empfänger der Daten in Betracht kommen, mit umfasst4. Der BGH urteilte im konkreten Fall, dass bei einer GPS-Überwachung nicht nur die berechtigten Interessen des überwachenden Detektivs zu berücksichtigen sind, sondern auch die Interessen seines Auftraggebers in die Abwägung mit einfließen müssen5. Darüber hinaus können fremde Interessen auch dann als eigene Interessen geltend gemacht werden, wenn die verantwortliche Stelle gerade mit der Wahrung fremder Interessen betraut ist. Dies kann bspw. bei Anwälten, Steuerberatern und Wirtschaftsprüfern der Fall sein6. Ebenso können unter Umständen Konzerninteressen als eigene Interessen eines Konzernunternehmens betrachtet werden7. Schließlich kann sich z.B. auch der Verbreiter eines Beitrags auf die Meinungsäußerungsfreiheit des Verfassers berufen, wenn gerade in der Verbreitung dieses Beitrags der eigene Geschäftszweck der verantwortlichen Stelle zu sehen ist8.

49 Die Frage, ob überhaupt ein berechtigtes Interesse gegeben ist, muss objektiv

beantwortet werden und hängt nicht von dem Ergebnis einer Interessenabwägung ab9. Eine Abwägung erfolgt erst an späterer Stelle zwischen dem zuvor festgestellten berechtigten Interesse der verantwortlichen Stelle und dem schutzwürdigen Interesse des Betroffenen. Insoweit unterscheidet sich dieser Erlaubnistatbestand von dem Grundtatbestand des Abs. 1 Satz 1 Nr. 1, der dem Wortlaut nach keine Interessenabwägung erfordert, wenngleich eine solche über das Merkmal der Erforderlichkeit in den Tatbestand mit einzubeziehen ist.

1 Däubler/Klebe/Wedde/Weichert/Wedde, § 28 BDSG Rz. 48. 2 Gola/Schomerus, § 28 BDSG Rz. 24; vgl. zur Speicherung von Mitarbeiterdaten zum Zwecke der effektiven Rechtsdurchsetzung in Urheberrechtsprozessen VG Berlin v. 13.1.2014 – 1 K 220.12, ZD 2014, 316. 3 Ablehnend Simitis/Simitis, § 28 BDSG Rz. 105. 4 BGH v. 4.6.2013 – 1 StR 32/13, ZD 2013, 502 (507). 5 Cornelius, NJW 2013, 3340 (3342). 6 Simitis/Simitis, § 28 BDSG Rz. 106. 7 Schaffland/Wiltfang, § 28 BDSG Rz. 85. 8 So OLG Hamburg v. 2.8.2011 – 7 U 134/10, ZD 2011, 138 (140) bezüglich eines Beitrags in einem Internetforum. 9 Taeger/Gabel/Taeger, § 28 BDSG Rz. 55.

560

|

Plath

Datenerhebung und -speicherung für eigene Geschäftszwecke | § 28 BDSG

b) Erforderlichkeit Das Merkmal der Erforderlichkeit wird genauso ausgelegt wie im Rahmen von 50 Abs. 1 Satz 1 Nr. 11. Die Datenverwendung ist jedenfalls dann erforderlich, wenn sie zur Erreichung des beabsichtigten Ziels unerlässlich ist2. Die Erforderlichkeit kann jedoch darüber hinaus auch dann bejaht werden, wenn für die Datenverwendung keine zumutbare Alternative besteht3, oder sie für die verantwortliche Stelle zweckmäßig ist4. Dies kann bspw. der Fall sein, wenn die Zielerreichung auf andere Weise nur mit einem größeren Kostenaufwand verbunden wäre5. Für einen Versicherer kann es z.B. erforderlich sein, bei begründeten Verdachtsfällen von Versicherungsbetrug zusätzliche personenbezogene Daten über den Versicherungsnehmer zu erheben, um den Sachverhalt aufzuklären6. Eine absolute Notwendigkeit der beabsichtigten Datenverwendung muss nicht gegeben sein7. c) Schutzwürdige Interessen des Betroffenen Die Interessen der verantwortlichen Stelle sind mit den entgegenstehenden Inte- 51 ressen des Betroffenen abzuwägen. Die Berücksichtigung schutzwürdiger Interessen des Betroffenen im Rahmen einer Abwägung soll dem Zweck des Gesetzes, die informationelle Selbstbestimmung des Einzelnen zu bewahren, Genüge tun8. Damit ist jedenfalls das Persönlichkeitsrecht ein schutzwürdiges Interesse des Betroffenen9. Rein wirtschaftliche oder berufliche Interessen, die in keiner Beziehung zur Privatsphäre des Einzelnen stehen, werden vom BDSG und damit von Abs. 1 Satz 1 Nr. 2 nicht geschützt und kommen somit nicht als gegenläufige schutzwürdige Interessen des Betroffenen in Betracht10. Ebenso wie die Interessen der verantwortlichen Stelle müssen auch die schutz- 52 würdigen Interessen des Betroffenen tatsächlich bestehen11. Sie sind dann zu be1 In dieser Hinsicht hat die BDSG-Novelle II für Klarheit gesorgt. S. auch die diesbezüglichen Ausführungen oben, Rz. 19 ff.; Schaffland/Wiltfang, § 28 BDSG Rz. 85. 2 Däubler/Klebe/Wedde/Weichert/Wedde, § 28 BDSG Rz. 48. 3 Ebenso Gola/Schomerus, § 28 BDSG Rz. 25, 15; Däubler/Klebe/Wedde/Weichert/Wedde, § 28 BDSG Rz. 48; Simitis/Simitis, § 28 BDSG Rz. 108; Bergmann/Möhrle/Herb, § 28 BDSG Rz. 235. 4 So auch Schaffland/Wiltfang, § 28 BDSG Rz. 85, 110. 5 Schaffland/Wiltfang, § 28 BDSG Rz. 110 m.w.N. 6 OLG Köln v. 3.8.2012 – 20 U 98/12, ZD 2013, 191. 7 So auch Däubler/Klebe/Wedde/Weichert/Wedde, § 28 BDSG Rz. 48; Gola/Schomerus, § 28 BDSG Rz. 25, 15. 8 Vgl. Schaffland/Wiltfang, § 28 BDSG Rz. 86. 9 Gola/Schomerus, § 28 BDSG Rz. 26; Bergmann/Möhrle/Herb, § 28 BDSG Rz. 236; vgl. die Aufzählung in Schaffland/Wiltfang, § 28 BDSG Rz. 87. 10 So im Ergebnis auch Schaffland/Wiltfang, § 28 BDSG Rz. 87; a.A. Gola/Schomerus, § 28 BDSG Rz. 26. 11 Im Ergebnis ebenso Gola/Schomerus, § 28 BDSG Rz. 28.

Plath

|

561

§ 28 BDSG | Datenverarbeitung nicht-öffentlicher Stellen rücksichtigen, wenn es für ihr Bestehen konkrete Anhaltspunkte gibt, also insbesondere, wenn sie offensichtlich sind oder auf der Hand liegen1. Allein die Tatsache, dass schutzwürdige Interessen des Betroffenen bestehen, steht einer Datenverwendung nach Abs. 1 Satz 1 Nr. 2 nicht entgegen. Die Interessen des Betroffenen müssen vielmehr gewichtiger sein als die Interessen der verantwortlichen Stelle2. Ob dies der Fall ist, muss im Rahmen einer Abwägung ermittelt werden. d) Abwägung 53 Die verantwortliche Stelle ist nicht dazu verpflichtet, eine ausführliche Interes-

senabwägung im Einzelfall durchzuführen3. Eine summarische, am typischen Sachverhalt orientierte Abwägung ist ausreichend4. Andernfalls würde die Datenverwendung in der Regel mit einem derartigen Aufwand einhergehen, dass sie sich für die verantwortliche Stelle nicht mehr lohnt, so dass der Erlaubnistatbestand des Abs. 1 Satz 1 Nr. 2 de facto kaum jemals zur Anwendung kommen würde.

54 Maßstab der Abwägung ist der Verhältnismäßigkeitsgrundsatz5. Die Datenver-

wendung muss also geeignet, erforderlich und angemessen sein, wobei die Geeignetheit und Erforderlichkeit bereits vorab zu prüfen sind (s. Rz. 50), so dass an dieser Stelle lediglich noch die Angemessenheit im Wege der Interessenabwägung zu ermitteln ist. Je sensibler die betroffenen Daten sind, desto gewichtiger muss das berechtigte Interesse der verantwortlichen Stelle sein6. Ein strengerer Maßstab wird ebenfalls dann anzusetzen sein, wenn erkennbar die Interessen Minderjähriger betroffen sind7. Die Interessenabwägung kann grundsätzlich auch und selbst dann zugunsten der verantwortlichen Stelle ausfallen, wenn der Betroffene der Datenverarbeitung widersprochen hat8.

1 Däubler/Klebe/Wedde/Weichert/Wedde, § 28 BDSG Rz. 52; Gola/Schomerus, § 28 BDSG Rz. 28; im Ergebnis ebenso Taeger/Gabel/Taeger, § 28 BDSG Rz. 61. 2 Schaffland/Wiltfang, § 28 BDSG Rz. 86. 3 A.A. Taeger/Gabel/Taeger, § 28 BDSG Rz. 62. 4 Ebenso Däubler/Klebe/Wedde/Weichert/Wedde, § 28 BDSG Rz. 52; Gola/Schomerus, § 28 BDSG Rz. 28; Simitis/Simitis, § 28 BDSG Rz. 129; Schaffland/Wiltfang, § 28 BDSG Rz. 89, 128, s.a. die Übersicht Rz. 107a; strenger dagegen Taeger/Gabel/Taeger, § 28 BDSG Rz. 62, der eine Einzelfallprüfung erfordert. 5 BGH v. 17.12.1985 – VI ZR 244/84, NJW 1986, 2505 (2505). 6 Simitis/Simitis, § 28 BDSG Rz. 127. 7 So ähnlich Bergmann/Möhrle/Herb, § 28 BDSG Rz. 243, 251. 8 Däubler/Klebe/Wedde/Weichert/Wedde, § 28 BDSG Rz. 53; so grundsätzlich auch Simitis/Simitis, § 28 BDSG Rz. 109, 143, allerdings mit der Forderung nach einem strengeren Prüfungsmaßstab; vgl. auch OLG Düsseldorf v. 19.5.2010 – I-15 U 11/09, BeckRS 2011, 03132.

562

|

Plath

Datenerhebung und -speicherung für eigene Geschäftszwecke | § 28 BDSG

e) Fallgruppen aa) Strategische Datenanalyse (Data Warehouse, Data Mining, Kundenprofile) Unternehmen haben ein nachvollziehbares Interesse an einer strategischen Da- 55 tenanalyse, da sie die Voraussetzung u.a. für eine Optimierung des Leistungsangebots, für eine gezielte und damit effektive Werbung und für die Verbesserung des eigenen Managements ist1. Unter dem Oberbegriff „Big Data“ ist dieses Thema zuletzt zunehmend in den Fokus der öffentlichen Debatte geraten. Der Begriff „Data Warehouse“ bezeichnet in diesem Zusammenhang Datenbanken, in denen die verantwortliche Stelle Daten zusammenfasst und organisiert, die aus ihrer geschäftlichen Tätigkeit stammen2. Diese Datenbanken können im Wege des sog. „Data Minings“ systematisch untersucht und analysiert werden mit dem Ziel, bestimmte Muster oder Gruppierungen zu erkennen3. Data Warehousing und Data Mining sind datenschutzrechtlich unbedenklich, wenn dabei ausschließlich anonymisierte (§ 3 Abs. 6) oder irreversibel pseudonymisierte (§ 3 Abs. 6a) Daten verwendet werden, da es sich hierbei gar nicht erst um personenbezogene Daten i.S.d. § 3 Abs. 1 handelt4. Ist dies nicht der Fall, muss das wirtschaftliche und organisatorische Interesse der verantwortlichen Stelle an der strategischen Nutzung solcher Datensammlungen mit den schutzwürdigen Interessen des Betroffenen abgewogen werden. So stellt z.B. die Datenverarbeitung von Geräten wie Smartphones, Fahrzeugen oder Unterhaltungselektronik nicht per se einen Eingriff in das Recht auf informationelle Selbstbestimmung des Nutzers dar5. Aufgrund der zunehmenden Verwendung solcher intelligenter Technologien im Alltag und den daraus resultierenden Datenmengen erlangt aber die Frage nach der zulässigen Nutzbarkeit solcher Daten immer mehr an Gewicht6. Teilweise wird vertreten, dass in dieser Praxis eine abzulehnende Massendatenverarbeitung zu sehen sei, von der ein prinzipiell erhöhtes Risiko für die Daten der Betroffenen ausgehen soll7. Dem ist nicht zuzustimmen, jedenfalls soweit aufgrund dieses Risikos dem Data Warehousing bzw. Data Mining eine generelle Absage erteilt werden soll. Die Schutzbedürftigkeit des einzelnen Betroffenen kann nicht davon abhängen, in welchem quantitativen Umfang die Datenverwendung erfolgt8. Erfolgt die Verwendung in Data Warehouses und durch 1 2 3 4 5

So auch Büllesbach, CR 2000, 11 (14). Schaffland/Wiltfang, § 28 BDSG Rz. 132a; Büllesbach, CR 2000, 11 (12). Vgl. Büllesbach, CR 2000, 11 (12). Vgl. Taeger/Gabel/Buchner, § 3 BDSG Rz. 47; Büllesbach, CR 2000, 11 (13). Vgl. OLG Hamm Beschluss v. 2.7.2015 – 28 U 46/15, ZD 2016, 230 zur „Elektronik im Land Rover Discovery“. 6 Vgl. für die Fahrzeugbordelektronik Kinast/Kühnl, NJW 2014, 3057; zu den neuen Herausforderungen im Bereich der Logistik Wulf/Burgenmeister, CR 2015, 404. 7 Baeriswil, RDV 2000, 6; Jacob/Jost, DuD 2003, 621 (623). 8 So auch Bull, NJW 2006, 1617 (1620).

Plath

|

563

§ 28 BDSG | Datenverarbeitung nicht-öffentlicher Stellen Data Mining ausschließlich zum Zweck der Marktanalyse und des strategischen Managements, so ist der Personenbezug, auch wenn er noch besteht, nicht ausschlaggebend. Konkret geht es der verantwortlichen Stelle nämlich nicht um den einzelnen Kunden, sondern um das Erkennen von Mustern1. In diesen Fällen überwiegt in der Regel das Interesse der verantwortlichen Stelle. 56 Etwas anders muss diese Praxis bewertet werden, wenn sie in der Erstellung von

konkreten Kundenprofilen mündet. Der Personenbezug ist dann von Bedeutung. Fehlt es an diesem, steht das Datenschutzrecht der Erstellung und Nutzung anonymer Kundenprofile nicht entgegen. Der Ausgang der Interessenabwägung hängt hingegen bei personenbezogenen Kundenprofilen maßgeblich vom Ziel der Datenverwendung ab. Werden bspw. Kundenprofile erstellt, anhand derer Kreditkartenunternehmen unübliche Zahlungsverhalten und damit mögliche Missbräuche feststellen können, so wird dem ausgeprägten Interesse der verantwortlichen Stelle, sich vor schädlichem Verhalten zu schützen, eine nur geringe Schutzbedürftigkeit des Betroffenen entgegenzusetzen sein. Dafür spricht auch, dass dieser regelmäßig ein Eigeninteresse daran haben wird, dass ungewöhnliche Vorgänge überprüft werden. Ähnlich ist die Erstellung von Kundenprofilen zur Überprüfung der Bonität oder des Zahlungsverhaltens zu bewerten: Auch hier überwiegt in der Regel das Interesse der verantwortlichen Stelle, kein unnötiges wirtschaftliches Risiko einzugehen. Die Erstellung von Kundenprofilen ausschließlich zu Werbezwecken richtet sich dagegen nicht nach Abs. 1 Satz 1 Nr. 2, sondern nach Abs. 3 (Rz. 99 ff.).

57 Schließlich wird der Zulässigkeit einer systematischen Datenanalyse regelmäßig

entgegengehalten, dass es ihr an einer ausreichenden Zweckbindung gemäß Abs. 1 Satz 2 fehle2. Selbstverständlich kann nicht vorab jeder einzelne Analysevorgang als Verwendungszweck aufgezählt werden. Maßgeblich ist jedoch lediglich der „Endzweck“ einer jeweiligen Datenverwendung3. Der Hinweis bei erstmaliger Erhebung oder Speicherung, dass Daten zu Zwecken der Profilerstellung oder Marktanalyse verwendet werden, genügt damit den Anforderungen des Abs. 1 Satz 2. bb) Warnung und Aufklärung

58 Es besteht ein herausragendes Interesse der Wirtschaft an der Verwendung von

Daten zu Zwecken des Risikomanagements und zur Bekämpfung von Korruption und Wirtschaftskriminalität4. Darunter fallen bspw. Maßnahmen wie die

1 Ebenso Bull, NJW 2006, 1617 (1621); ähnlich in Bezug auf das Erkennen von Wirtschaftskriminalität auch Salvenmoser/Hauschka, NJW 2010, 331 (333). 2 So Däubler/Klebe/Wedde/Weichert/Wedde, § 28 BDSG Rz. 50; Simitis/Simitis, § 28 BDSG Rz. 112. 3 Ebenso Bull, NJW 2006, 1617 (1621). 4 Ausführlich hierzu Salvenmoser/Hauschka, NJW 2010, 331 (333).

564

|

Plath

Datenerhebung und -speicherung für eigene Geschäftszwecke | § 28 BDSG

Einrichtung von unternehmens- oder konzerninternen Warndateien zur Vorbeugung von Geldwäsche und Betrug1. Demgegenüber kann die Schutzwürdigkeit des Betroffenen in aller Regel nicht überwiegen2. Ebenso nach Abs. 1 Satz 1 Nr. 2 zulässig ist die Übermittlung entsprechender Daten an Branchenwarndienste, z.B. im Bank-, Versicherungs- oder Spielbankgeschäft3. Die verantwortlichen Stellen haben ein gemeinsames Interesse an der Bekämpfung bereichsspezifischer Risiken. Die Überprüfung und Bekämpfung von Straftaten im Arbeitsverhältnis richtet sich dagegen seit der BDSG-Novelle II nach § 32 Abs. 1 Satz 1 und 24. Kreditinstitute sind zur Einrichtung eines entsprechenden Sicherheitssystems sogar qua Gesetz verpflichtet; die Datenverwendung zu diesen Zwecken richtet sich vorrangig nach §§ 25a, 25c KWG5. Bei sorgfältiger Ausgestaltung wird in solchen Fällen auch die Begründung von „Information-Sharing“ Systemen innerhalb eines Konzernverbunds zulässig sein ebenso wie die Begründung einer zentralen Stelle innerhalb eines Konzerns mit besonderer Expertise. In eine ähnliche Richtung geht die Argumentation, wonach ein berechtigtes In- 59 teresse der verantwortlichen Stelle auch in der Aufklärung oder Warnung der Öffentlichkeit liegen kann. Gerade dann, wenn der eigene Geschäftszweck der verantwortlichen Stelle darin besteht, eine Plattform für warnende oder aufklärende Meinungsäußerungen zu bieten, überwiegt regelmäßig ihr Interesse an der Verwendung personenbezogener Daten gegenüber den Interessen des Betroffenen. Dies hat das OLG Hamburg mit Blick auf den Betreiber eines Internetforums entschieden, dem das Gericht ein eigenes Interesse an der Verbreitung der Warnung eines Plattformnutzers vor bestimmten Nahrungsergänzungsmitteln zugebilligt hat6. Ähnlich gelagert sind die Fälle der Datenverwendung zu Zwecken eines Pro- 60 duktrückrufs. Das Interesse der verantwortlichen Stelle, Daten für eine Rückrufaktion zu verwenden, wird regelmäßig gegenüber den Interessen des Betroffenen überwiegen, zumal solche Aktionen auch zu dessen eigener Sicherheit erfolgen7. Ein Beispiel hierfür ist die Übermittlung von Autokäuferdaten durch den Händler an den Hersteller8. 1 Taeger/Gabel/Taeger, § 28 BDSG Rz. 60; Schaffland/Wiltfang, § 28 BDSG Rz. 90, allerdings mit hohen Sorgfaltsanforderungen. 2 Ebenso Taeger/Gabel/Taeger, § 28 BDSG Rz. 65; Simitis/Simitis, § 28 BDSG Rz. 135; Bergmann/Möhrle/Herb, § 28 BDSG Rz. 252; Bergles/Eul, BKR 2003, 273; a.A. dagegen Däubler/Klebe/Wedde/Weichert/Wedde, § 28 BDSG Rz. 50. 3 Ebenso Simitis/Simitis, § 28 BDSG Rz. 119; ähnlich im Ergebnis Schaffland/Wiltfang, § 28 BDSG Rz. 90, 110 (117). 4 S.a. Taeger/Gabel/Taeger, § 28 BDSG Rz. 68; Däubler/Klebe/Wedde/Weichert/Wedde, § 28 BDSG Rz. 51; Salvenmoser/Hauschka, NJW 2010, 331 (333). 5 Vgl. Taeger/Gabel/Taeger, § 28 BDSG Rz. 60; Salvenmoser/Hauschka, NJW 2010, 331 (332). 6 OLG Hamburg v. 2.8.2011 – 7 U 134/10, ZD 2011, 138 (140). 7 Taeger/Gabel/Taeger, § 28 BDSG Rz. 67; Simitis/Simitis, § 28 BDSG Rz. 113, 122. 8 Bergmann/Möhrle/Herb, § 28 BDSG Rz. 252.

Plath

|

565

§ 28 BDSG | Datenverarbeitung nicht-öffentlicher Stellen cc) Bonitätsprüfung 61 Ähnlich wie die Frage der Korruptionsbekämpfung bzw. der allgemeinen Com-

pliance (s. Rz. 58 ff.) ist die Problematik der Bonitätsprüfung zu bewerten. Grundsätzlich besteht ein Interesse der verantwortlichen Stelle an der Überprüfung der Bonität eines Kunden, insbesondere dann, wenn sie vorleistungspflichtig ist1. Im Rahmen der Interessenabwägung ist insbesondere zu berücksichtigen, ob sog. „weiche“ Merkmale (Einschätzungen, Angaben über Mahnungen, Lohnabzüge, Kreditkündigungen)2 oder „harte“ Merkmale (Zwangsvollstreckung, Insolvenz) verwendet werden. Der Grund hierfür ist, dass „weiche“ Merkmale einen erheblichen Interpretationsspielraum eröffnen, der sich unter Umständen zulasten des Betroffenen auswirken kann. Je „weicher“ die Merkmale, desto sorgfältiger muss die Interessenabwägung erfolgen3. Dagegen kann bei „harten“ Negativmerkmalen grundsätzlich von einem Vorrang der berechtigten Interessen der verantwortlichen Stelle ausgegangen werden4. dd) Auskunfteien

62 Soweit Daten über Forderungen an Auskunfteien übermittelt werden, richtet

sich diese Verwendung nach § 28a (vgl. Komm. zu § 28a BDSG Rz. 1, 3 zur Bewertung der Übermittlung von Daten an die SCHUFA nach § 28 a.F.)5. Demnach bleibt für eine Anwendbarkeit des Abs. 1 Satz 1 Nr. 2 nur Raum, wenn andere Daten als Daten über Forderungen übermittelt werden. Darüber hinaus ist § 28a auch dann nicht anwendbar, wenn es sich beim Empfänger nicht um eine Auskunftei i.S.d. § 28a handelt, oder wenn keine Übermittlung, sondern eine sonstige Verarbeitung bzw. Nutzung der Daten stattfindet (vgl. hierzu Komm. zu § 28a BDSG Rz. 5).

63 Im Rahmen der Interessenabwägung wird hier jedoch darauf zu achten sein, ob

es sich bei dem infrage stehenden Datum um ein „weiches“ oder „hartes“ Negativmerkmal handelt (näher hierzu s. Rz. 61). Unterliegen die betroffenen Daten dem Bankgeheimnis, so ist zu beachten, dass an die Wahrung des Bankgeheim-

1 BGH v. 23.1.2003, NJW 2003, 1237 (1240); vgl. auch Kamlah/Hoke, RDV 2007, 242 (243); ebenso Bergmann/Möhrle/Herb, § 28 BDSG Rz. 231; Schaffland/Wiltfang, § 28 BDSG Rz. 107; im Ergebnis auch Simitis/Simitis, § 28 BDSG Rz. 118; Weichert, DuD 2001, 264 (266). 2 Zum „weichen“ Merkmal der Kontoauflösung wegen Kontoüberziehung OLG München v. 22.6.2010 – 5 U 2020/10, MMR 2011, 209 (210). 3 Simitis/Simitis, § 28 BDSG Rz. 137; Bergmann/Möhrle/Herb, § 28 BDSG Rz. 241 m.w.N.; für eine absolute Unzulässigkeit der Übermittlung von „weichen unklaren Negativmerkmalen“ Däubler/Klebe/Wedde/Weichert/Wedde, § 28 BDSG Rz. 54. 4 Ebenso Simitis/Simitis, § 28 BDSG Rz. 137; OLG Frankfurt a.M. v. 13.7.2010 – 19 W 33/10, NJOZ 2010, 2376 (2377). 5 OLG Koblenz v. 23.9.2009 – 2 U 423/09, OLG Koblenz v. 3.11.2009 – 2 U 423/09, LG Dortmund v. 15.5.2009 – 8 O 400/08 sowie LG Dortmund v. 30.9.2009 – 2 O 23/09.

566

|

Plath

Datenerhebung und -speicherung für eigene Geschäftszwecke | § 28 BDSG

nisses weitgehend die gleichen Anforderungen gestellt werden wie an die Erforderlichkeit nach Abs. 1 Satz 1 Nr. 2. Damit ist eine Verletzung des Bankgeheimnisses in aller Regel dann ausgeschlossen, wenn der jeweilige Vorgang datenschutzrechtlich gerechtfertigt ist1. ee) Beweissicherung Ein berechtigtes Interesse der verantwortlichen Stelle besteht auch in der Ver- 64 wendung von Daten zu Nach- oder Beweiszwecken. So soll bspw. ein Unternehmen ein berechtigtes Interesse an der Aufbewahrung erteilter Einwilligungen in Werbeanrufe auch nach deren Widerruf haben, um zu einem späteren Zeitpunkt die Einhaltung der gesetzlichen Einwilligungsvorschriften nachweisen zu können2. ff) Outsourcing Angesichts der zunehmenden Bedeutung und Komplexität von IT-Systemen be- 65 steht ein berechtigtes wirtschaftliches und organisatorisches Interesse der verantwortlichen Stellen an einem Outsourcing dieses Bereichs und damit an der Übermittlung der für die Funktionswahrnehmung erforderlichen Daten3. Gleiches gilt für die Auslagerung ganzer Geschäftsprozesse. Soweit dabei nur die notwendigen Daten übermittelt und konkrete Verwendungsbeschränkungen des Dienstleisters vereinbart werden, muss das Interesse des Betroffenen hinter dem Ausgliederungsinteresse der verantwortlichen Stelle zurücktreten. In der Praxis wird im Rahmen des Outsourcings zwar regelmäßig eine Auftragsdatenverarbeitung gemäß § 11 vereinbart. Zwingend ist dies jedoch nicht, da ein Outsourcing unter den vorstehend dargestellten Voraussetzungen grundsätzlich auch auf § 28 gestützt werden kann. Zu beachten ist dabei, dass bei einem Outsourcing im Rahmen einer Auftragsdatenverarbeitung der Übermittler weiterhin verantwortliche Stelle bleibt, so dass es auf die Frage des Rechts zur Übermittlung nach § 28 nicht ankommt, sondern allein auf die Einhaltung der Voraussetzungen des § 11. Dies ist zweifellos einer der Gründe, weshalb in der Praxis regelmäßig der „sicherere“ Weg über die Auftragsdatenverarbeitung eingeschlagen wird, die nicht von einer Interessenabwägung abhängt. gg) Due Diligence Im Rahmen einer Due Diligence-Prüfung, z.B. im Rahmen von Unternehmens- 66 transaktionen kann es ebenfalls zu einer Verwendung personenbezogener Daten kommen. Auch hier gilt der Grundsatz, dass der Umgang mit anonymisier1 Vgl. OLG Thüringen v. 18.5.2004 – U 862/03; ebenso Schaffland/Wiltfang, § 29 Rz. 31; Kamlah/Hoke, RDV 2007, 242 (243). 2 LG Hamburg v. 23.12.2008 – 312 O 362/08, VuR 2009, 279. 3 Simitis/Simitis, § 28 BDSG Rz. 101.

Plath

|

567

§ 28 BDSG | Datenverarbeitung nicht-öffentlicher Stellen ten oder pseudonymisierten Daten zu bevorzugen ist1. Ist dies jedoch nicht möglich – z.B. weil es auf die Identität des Betroffenen ankommt – oder mit einem unverhältnismäßigen Aufwand verbunden, so kann eine Datenverwendung im Rahmen von Due Diligence auf Abs. 1 Satz 1 Nr. 2 gestützt werden, soweit sie im konkreten Fall erforderlich ist2. Das Interesse der verantwortlichen Stelle, eine Prüfung durch den potentiellen Käufer des Unternehmens zu ermöglichen, ist in der Regel höher zu bewerten als das Interesse des Betroffenen, jedenfalls soweit der Erwerber zur Vertraulichkeit verpflichtet wird. Davon ist auch die Übermittlung von Daten an die Stelle erfasst, die mit der Due Diligence-Prüfung beauftragt ist, z.B. Rechtsanwälte oder Wirtschaftsprüfer3. Die Verwendung von Arbeitnehmerdaten für eine Due Diligence-Prüfung innerhalb eines Arbeitsverhältnisses richtet sich nicht nach § 32, sondern ebenfalls nach Abs. 1 Satz 1 Nr. 2 (s. dazu Komm. zu § 32 BDSG Rz. 9, 146)4. hh) Unternehmensverkäufe 67 Im Rahmen der datenschutzrechtlichen Beurteilung einer Unternehmenstrans-

aktion muss zwischen dem „Share Deal“ und dem „Asset Deal“ unterschieden werden. Beim Share Deal ist lediglich die gesellschaftsrechtliche Beteiligung Gegenstand des Unternehmenskaufvertrages, so dass die Identität des Unternehmens von der Transaktion unberührt bleibt5. Dementsprechend erfolgt auch keine Übermittlung an einen Dritten i.S.d. § 3 Abs. 8 Satz 3, so dass der Anwendungsbereich des § 28 nicht eröffnet ist, da das Verbot des § 4 Abs. 1 nicht zum Tragen kommt. Anders ist die Situation beim Asset Deal. Hier werden die einzelnen Wirtschaftsgüter, zu denen auch Daten gehören können, im Wege der Einzelrechtsnachfolge übertragen6. Dementsprechend erfolgt auch ein Wechsel der verantwortlichen Stelle; es findet eine Übermittlung der Daten i.S.d. § 3 Abs. 4 Satz 2 Nr. 3 statt. Diese Verwendung erfolgt grundsätzlich im berechtigten Interesse der ursprünglich verantwortlichen Stelle, ihre Assets im Rahmen der Transaktion zu veräußern.

68 Teilweise wird eine Datenübermittlung im Rahmen von Unternehmensverkäu-

fen ohne Einwilligung jedoch als unzulässig abgelehnt7. Diese Ansicht stützt sich darauf, dass dem Betroffenen der Vertragspartner nicht aufoktroyiert werden könne8. Dies ist grundsätzlich zutreffend, doch wirkt sich dieser Umstand

1 Däubler/Klebe/Wedde/Weichert/Wedde, § 28 BDSG Rz. 51; im Ergebnis ebenso Taeger/ Gabel/Taeger, § 28 BDSG Rz. 59, 69; vgl. auch Göpfert/Meyer, NZA 2011, 486 (489). 2 Taeger/Gabel/Taeger, § 28 BDSG Rz. 69; Göpfert/Meyer, NZA 2011, 486 (488). 3 Taeger/Gabel/Taeger, § 28 BDSG Rz. 69. 4 A.A. Däubler/Klebe/Wedde/Weichert/Wedde, § 28 BDSG Rz. 51. 5 Vgl. Göpfert/Meyer, NZA 2011, 486 (490); Plath, CR 2007, 345 (346). 6 Vgl. Plath, CR 2007, 345. 7 Simitis/Simitis, § 28 BDSG Rz. 68 m.w.N. 8 Simitis/Simitis, § 28 BDSG Rz. 68.

568

|

Plath

Datenerhebung und -speicherung für eigene Geschäftszwecke | § 28 BDSG

nicht auf das Ergebnis der Interessenabwägung i.R.d. Abs. 1 Satz 1 Nr. 2 aus. Das maßgebliche Interesse des Betroffenen liegt insoweit eben nicht in der Verhinderung der Übermittlung seiner personenbezogenen Daten, sondern in der freien Wahl des Vertragspartners. Diesem Interesse wird durch den Umstand genügte getan, dass eine gesonderte Übertragung der Vertragsbeziehung nur mit Zustimmung des Betroffenen erfolgen kann. Die Übermittlung der personenbezogenen Daten ist dagegen nach Abs. 1 Satz 1 Nr. 2 zulässig1. Das BayLDA vertritt in seiner Praxis einen restriktiveren Ansatz und fordert entweder eine Einwilligung der Betroffenen oder, dass die Betroffenen einen frühzeitigen Hinweis über die geplante Transaktion erhalten und die Möglichkeit bekommen, der Datenübermittlung zu widersprechen2. Verstöße werden mit Bußgeldern geahndet. Beim einfachen Verkauf von Kundenlisten und Adressdaten zu Werbezwecken außerhalb einer Transaktion ist Abs. 3 einschlägig. Dient die Unternehmenstransaktion dem vornehmlichen oder gar alleinigen Zweck, die erworbenen Daten für Werbezwecke zu verwenden, so ist zur Ermittlung der anwendbaren Norm eine Abgrenzung im Einzelfall erforderlich, wobei auf den Schwerpunkt der bezweckten Nutzung abzustellen ist. Strittig ist, ob im Fall einer Unternehmensumwandlung eine Übermittlung von 69 Daten erfolgt. Dies ist aufgrund der Gesamtrechtsnachfolge gemäß § 20 UmwG abzulehnen, da das neu entstandene Unternehmen nicht Dritter i.S.d. § 3 Abs. 8 Satz 3 ist3. Der Anwendungsbereich des Abs. 1 Satz 1 Nr. 2 ist damit gar nicht erst eröffnet. Einen Sonderfall zu den oben dargestellten Unternehmensverkäufen bildet der 70 Verkauf von Kanzleien bzw. Praxen (z.B. bei Anwälten, Steuerberatern oder Ärzten). Auch hier kommt es in der Regel zur Übermittlung der Mandantenbzw. Patientenkarteien. Diese Datenverwendung erfolgt zwar ebenfalls im berechtigten Interesse der verantwortlichen Stelle, doch ist hier problematisch, dass es sich bei den infrage stehenden Daten in der Regel um sehr sensible Daten handelt. Patientendaten sind „besondere Arten personenbezogener Daten“ i.S.d. § 3 71 Abs. 9. Ihre Verwendung richtet sich ausschließlich nach Abs. 6–8, so dass eine Zulässigkeit nach Abs. 1 Satz 1 Nr. 2 ausgeschlossen ist4. Der Verkauf von Arztpraxen ohne Einwilligung in die Übermittlung der Patientendaten ist wegen eines Verstoßes gegen ein gesetzliches Verbot (Art. 2 Abs. 1 GG, § 203 StGB) gemäß § 134 BGB nichtig5. 1 Ebenso Schaffland, NJW 2002, 1539 (1541). 2 Vgl. Pressemitteilung BayLDA vom 30.7.2015. 3 Ebenso Simitis/Simitis, § 28 BDSG Rz. 66; Lüttge, NJW 2000, 2463 (2465); vgl. auch Innenministerium Baden-Württemberg, Hinweise zum Datenschutz für die private Wirtschaft Nr. 38 v. 18.1.2000; a.A. Taeger/Gabel/Taeger, § 28 BDSG Rz. 69 ff. 4 Simitis/Simitis, § 28 BDSG Rz. 132. 5 BGH v. 11.12.1991, NJW 1992, 737; Däubler/Klebe/Wedde/Weichert/Wedde, § 28 BDSG Rz. 54; Schaffland/Wiltfang, § 28 BDSG Rz. 92b.

Plath

|

569

§ 28 BDSG | Datenverarbeitung nicht-öffentlicher Stellen 72 Mandantendaten sind dagegen keine „besonderen Daten“ i.S.d. § 3 Abs. 9, so

dass ihre Übermittlung grundsätzlich nach Abs. 1 Satz 1 Nr. 2 zu bewerten ist. Aufgrund ihrer besonderen Sensibilität wird hier jedoch regelmäßig die Interessenabwägung zugunsten des Betroffenen ausfallen, so dass das Einholen einer Einwilligung zu empfehlen ist1. Dies gilt insbesondere angesichts der Tatsache, dass die Geheimhaltung solcher Daten eine Berufspflicht nach § 43a Abs. 2 BRAO ist, und dass das Mandatsgeheimnis von den Bestimmungen des BDSG unberührt bleibt (vgl. ausführlich hierzu Komm. zu § 1 BDSG Rz. 40). ii) Konzerninteressen

73 Umstritten ist, ob das Interesse der verantwortlichen Stelle am wirtschaftlichen

Wohlergehen des (Gesamt-)Konzerns gegenüber den berechtigten Interessen des Betroffenen überwiegen kann2. Dafür spricht zunächst, dass die wirtschaftliche Situation eines konzernverbundenen Unternehmens regelmäßig eng mit der wirtschaftlichen Situation des Konzerns selbst verbunden ist, und somit das Vorliegen eines berechtigten, wirtschaftlichen Interesses der verantwortlichen Stelle grundsätzlich zu bejahen ist. Allerdings ist zu berücksichtigen, dass das BDSG kein Konzernprivileg vorsieht. Dieser grundsätzlichen Ausrichtung würde es zuwiderlaufen, wenn eine konzerninterne Datenübermittlung durch die verantwortliche Stelle mit der Wahrnehmung von Konzerninteressen gemäß Abs. 1 Satz 1 Nr. 2 gerechtfertigt werden könnte. Demnach ist davon auszugehen, dass im Regelfall die schutzwürdigen Interessen des Betroffenen gegenüber dem wirtschaftlichen Interesse der verantwortlichen Stelle am Wohlergehen des Konzerns überwiegen werden, solange die Rechtfertigung der Übermittlung allein aus der Konzernverbundenheit hergeleitet werden soll3. Ungeachtet dessen bleibt eine Übermittlung an konzernverbundene Unternehmen nach den allgemeinen Abwägungsgrundsätzen, die auch für die Übermittlung an konzernferne Dritte gelten, stets möglich, z.B. also wenn eine Konzerngesellschaft von der verantwortlichen Stelle zur Wahrung von deren Interessen, etwa einer Bonitätsprüfung, eingeschaltet wird. jj) Versicherungen

74 Umstritten ist, ob die Übermittlung von Daten von Versicherungsnehmern durch

den Versicherer an den Rückversicherer nach Abs. 1 Satz 1 Nr. 2 zulässig ist4. Das

1 Ebenso Däubler/Klebe/Wedde/Weichert/Wedde, § 28 BDSG Rz. 49; Simitis/Simitis, § 28 BDSG Rz. 134. 2 Zur Zulässigkeit der Übermittlung innerhalb einer Gesellschaft LG Hamburg v. 9.3.2009 – 415 O 141/08. 3 Ebenso Schulz, BB 2011, 2552 (2554). 4 Bergmann/Möhrle/Herb, § 28 BDSG Rz. 252; Simitis/Simitis, § 28 BDSG Rz. 116; vgl. auch die Mustererklärung „Einwilligung in die Erhebung und Verwendung von Gesundheitsdaten und Schweigepflichtentbindungserklärung“ des Düsseldorfer Kreises, Beschluss v. 17.1.2012.

570

|

Plath

Datenerhebung und -speicherung für eigene Geschäftszwecke | § 28 BDSG

berechtigte Interesse der verantwortlichen Stelle soll nach einer Ansicht entfallen, wenn der Datenempfänger die Möglichkeit hat, sich die notwendigen Daten durch staatliche Stellen übermitteln zu lassen1. Dem muss entgegengehalten werden, dass es für den Betroffenen keinen Unterschied macht, ob der Hersteller bzw. Rückversicherer durch eine öffentliche oder nicht-öffentliche Stelle Zugriff auf seine Daten erhält, zumal er in der Regel ein Interesse an der Durchführung von Rückrufaktionen bzw. an der Rückversicherung seines Versicherers hat. Für den Datenempfänger bedeutet der Umweg über staatliche Stellen jedoch einen erheblichen Mehraufwand, der in keinem Verhältnis zur Beeinträchtigung des Betroffenen steht. 4. Allgemein zugängliche Daten (Abs. 1 Satz 1 Nr. 3) Nach Abs. 1 Satz 1 Nr. 3 ist die Verwendung personenbezogener Daten auch 75 dann zulässig, wenn diese Daten entweder allgemein zugänglich sind (1. Variante), oder die verantwortliche Stelle diese Daten veröffentlichen dürfte (2. Variante), wenn und soweit kein schutzwürdiges Betroffeneninteresse offensichtlich überwiegt. Die Datenverwendung muss dabei zur Erfüllung des eigenen Geschäftszwecks erfolgen und darf demnach nicht der Geschäftszweck selbst sein2. a) Begriff der allgemein zugänglichen Daten Mit der Zulässigkeit der Nutzung allgemein zugänglicher Daten wird dem Grund- 76 recht auf Informationsfreiheit entsprochen3. Demnach sind „allgemein zugängliche“ Daten solche, die aus „allgemein zugänglichen Quellen“ i.S.d. Art. 5 Abs. 1 Satz 1 GG entnommen werden können4. Eine Quelle ist nach der Definition des BVerfG allgemein zugänglich, wenn sie „technisch geeignet und bestimmt ist, der Allgemeinheit Informationen zu verschaffen“5. Darunter fallen z.B.: – Alle frei erwerbbaren, veröffentlichten Printmedien wie Telefonbücher, Zeitungen und Zeitschriften, Bücher, Kataloge, Flyer, Verzeichnisse, Nachschlagewerke usw.6, nicht jedoch interne Rundschreiben, Mitgliederlisten und Newsletter7; 1 Däubler/Klebe/Wedde/Weichert/Wedde, § 28 BDSG Rz. 49; Simitis/Simitis, § 28 BDSG Rz. 122. 2 Bergmann/Möhrle/Herb, § 28 BDSG Rz. 260. 3 Gola/Schomerus, § 28 BDSG Rz. 32 m.w.N.; kritisch und für eine restriktive Auslegung Simitis/Simitis, § 28 BDSG Rz. 147 ff. 4 So noch der Wortlaut der a.F., der aus redaktionellen Gründen abgeändert wurde; Däubler/Klebe/Wedde/Weichert/Wedde, § 28 BDSG Rz. 57; Bergmann/Möhrle/Herb, § 28 BDSG Rz. 261. 5 BVerfGE 27, 71 (83); BVerfGE 33, 52 (65); BVerfGE 103, 44 (60). 6 Däubler/Klebe/Wedde/Weichert/Wedde, § 28 BDSG Rz. 58; Bergmann/Möhrle/Herb, § 28 BDSG Rz. 262; Schaffland/Wiltfang, § 28 BDSG Rz. 134. 7 Taeger/Gabel/Taeger, § 28 BDSG Rz. 94; Schaffland/Wiltfang, § 28 BDSG Rz. 135; Simitis/Simitis, § 28 BDSG Rz. 152.

Plath

|

571

§ 28 BDSG | Datenverarbeitung nicht-öffentlicher Stellen – öffentlich zugängliche Fernseh- und Radiosendungen sowie entsprechende Aufzeichnungen, z.B. CDs, DVDs, Videos, CD-Roms, MP3s, Podcasts1; – alle allgemein, z.B. über Suchmaschinen zugänglichen Internetinhalte, insbesondere auch Daten aus sozialen Netzwerken, soweit sie allgemein sichtbar sind2, ebenso wie ihre Zusammentragung durch Dienste wie yasni oder 123people3, öffentlich zugängliche Gebäudefotos, etwa über „Google StreetView“, soweit sie personenbeziehbar sind4, nicht jedoch Daten aus geschlossenen Intranets; – öffentlich zugängliche Anschläge, Plakate, Annoncen, Werbungen, inklusive der Veröffentlichungen auf allgemein zugänglichen „Schwarzen Brettern“5; – öffentliche Veranstaltungen, Konzerte, Ausstellungen, Aufführungen, Kundgebungen, Vorträge, Messen6; – öffentlich einsehbare Register wie das Vereinsregister, das Register der Aufsichtsbehörden, das Handelsregister, das Schiffsregister, das familienrechtliche Güterrechtsregister, das Partnerschaftsregister, das Wählerverzeichnis, in begrenztem Umfang das Einwohnermelderegister7. Problematisch ist jedoch die Frage, ob auch solche Register, bei denen die Einsichtnahme ein berechtigtes Interesse Voraussetzung erfordert (z.B. das Grundbuch, das Verkehrszentralregister, das Bundeszentralregister, das Personenstandsregister, das Fahrzeugregister, das Gewerbezentralregister sowie das Schuldnerverzeichnis und SCHUFA-Listen), als allgemein zugängliche Quellen angesehen werden können. Grundsätzlich ist dies nicht der Fall, da durch das Erfordernis eines berechtigten Interesses eine Zugangsschranke besteht8. Ist jedoch 1 Bergmann/Möhrle/Herb, § 28 BDSG Rz. 262; Däubler/Klebe/Wedde/Weichert/Wedde, § 28 BDSG Rz. 58; Taeger/Gabel/Taeger, § 28 BDSG Rz. 82; Schaffland/Wiltfang, § 28 BDSG Rz. 134. 2 Bergmann/Möhrle/Herb, § 28 BDSG Rz. 262, 263; Taeger/Gabel/Taeger, § 28 BDSG Rz. 83; Gola/Schomerus, § 28 BDSG Rz. 33a; a.A. Däubler/Klebe/Wedde/Weichert/Wedde, § 28 BDSG Rz. 58, wenn eine Veröffentlichung durch den Betroffenen nicht explizit gewollt ist. 3 Taeger/Gabel/Taeger, § 28 BDSG Rz. 83. 4 Taeger/Gabel/Taeger, § 28 BDSG Rz. 84; a.A. Bergmann/Möhrle/Herb, § 28 BDSG Rz. 269. 5 Bergmann/Möhrle/Herb, § 28 BDSG Rz. 262; Däubler/Klebe/Wedde/Weichert/Wedde, § 28 BDSG Rz. 58; Schaffland/Wiltfang, § 28 BDSG Rz. 134. 6 Bergmann/Möhrle/Herb, § 28 BDSG Rz. 262; Taeger/Gabel/Taeger, § 28 BDSG Rz. 82; Gola/Schomerus, § 28 BDSG Rz. 32. 7 Vgl. Taeger/Gabel/Taeger, § 28 BDSG Rz. 94. 8 Bergmann/Möhrle/Herb, § 28 BDSG Rz. 261, 264; Däubler/Klebe/Wedde/Weichert/ Wedde, § 28 BDSG Rz. 58; Taeger/Gabel/Taeger, § 28 BDSG Rz. 85, 92; Schaffland/Wiltfang, § 28 BDSG Rz. 135; Gola/Schomerus, § 28 BDSG Rz. 32; Simitis/Simitis, § 28 BDSG Rz. 153.

572

|

Plath

Datenerhebung und -speicherung für eigene Geschäftszwecke | § 28 BDSG

ein berechtigtes Interesse gegeben, so können auch solche Quellen ausnahmsweise als allgemein zugänglich anzusehen sein. Ein berechtigtes Interesse soll dabei bereits dann vorliegen, wenn die Daten zur Erörterung eines Themas von öffentlichem Interesse verwendet werden sollen1; – Daten aus öffentlichen Gerichtsverfahren2; – öffentliche Bekanntmachungen, bspw. über Insolvenzverfahren3, Baufreigaben4, Autokennzeichen. Die Daten müssen im Zeitpunkt der Verwendung allgemein zugänglich sein5. 77 Unerheblich ist, wie lange sie bereits zugänglich waren, und ob sie später gelöscht wurden. Auch flüchtige Daten, z.B. aus einer öffentlich gesprochenen Rede, sind öffentlich zugängliche Daten i.S.d. Abs. 1 Satz 1 Nr. 36. Unerheblich ist, ob die verwendeten Daten tatsächlich aus öffentlich zugänglichen Quellen entnommen wurden. Es kommt lediglich darauf an, dass der Verwender diese Möglichkeit gehabt hätte. So ist bspw. die Verwendung von Daten, die der verantwortlichen Stelle von einem Dritten übermittelt wurden, zulässig, wenn die verantwortliche Stelle die Daten auch aus öffentlich zugänglichen Quellen hätte entnehmen können7. Ebenso wenig von Bedeutung ist die Art der Entnahme der Daten aus der allgemein zugänglichen Quelle. Sie können demnach kopiert, heruntergeladen, abgeschrieben oder auf sonstige Weise abgerufen worden sein8. Schließlich ist es auch unerheblich, ob die Quelle inländischer oder ausländischer Herkunft ist9. Keine Auswirkung auf die allgemeine Zugänglichkeit von Daten hat ein even- 78 tuell bestehender spezialgesetzlicher, bspw. urheberrechtlicher Schutz der Daten10. Dagegen sind Daten, die nur unter einschränkenden Voraussetzungen zugänglich sind, grundsätzlich keine allgemein zugänglichen Daten i.S.d. Abs. 1 Satz 1 Nr. 3. Dies gilt z.B. für Auskünfte nach dem Informationsfreiheitsgesetz (IFG) sowie nach dem Umweltinformationsgesetz (UIG)11. Eine Ausnahme von 1 So z.B. OLG Hamburg v. 2.8.2011 – 7 U 123/10, ZD 2011, 138 (140) bezüglich der Verwendung von Daten aus dem (irischen) Handelsregister zu Zwecken der Verbraucheraufklärung in einem Forumsbeitrag. 2 Vgl. OLG Stuttgart v. 11.4.2013 – 2 U 111/12, ZD 2013, 408. 3 Ausführlich hierzu Taeger/Gabel/Taeger, § 28 BDSG Rz. 86; Bergmann/Möhrle/Herb, § 28 BDSG Rz. 262. 4 A.A. Simitis/Simitis, § 28 BDSG Rz. 152. 5 Bergmann/Möhrle/Herb, § 28 BDSG Rz. 266. 6 Taeger/Gabel/Taeger, § 28 BDSG Rz. 82. 7 Däubler/Klebe/Wedde/Weichert/Wedde, § 28 BDSG Rz. 59; Schaffland/Wiltfang, § 28 BDSG Rz. 136. 8 Simitis/Simitis, § 28 BDSG Rz. 160. 9 So z.B. OLG Hamburg v. 2.8.2011 – 7 U 134/10, ZD 2011, 138 (140). 10 Taeger/Gabel/Taeger, § 28 BDSG Rz. 84. 11 Taeger/Gabel/Taeger, § 28 BDSG Rz. 96 ff.

Plath

|

573

§ 28 BDSG | Datenverarbeitung nicht-öffentlicher Stellen diesem Grundsatz ist jedoch denkbar, wenn die Zugangsvoraussetzungen erfüllt sind und die Verwendung der Daten im öffentlichen Interesse erfolgt1. Keine Auswirkung auf die allgemeine Zugänglichkeit hat zudem die Tatsache, dass der Zugang nur gegen Entgelt oder Gebühr gewährt wird2. 79 Strittig ist, in welchem Umfang eine Datenverwendung nach Abs. 1 Satz 1 Nr. 3

zulässig ist. Teilweise wird vertreten, dass dieser Erlaubnistatbestand nur zur Verwendung vereinzelter Daten berechtigt3. Für diese Restriktion gibt es jedoch keinen Anhaltspunkt im Gesetz. Vielmehr ist von „Daten“ in der Mehrzahl die Rede. Lediglich der Zweckbindungsgrundsatz aus Abs. 1 Satz 2 muss bei einer umfänglichen Datenverwendung beachtet werden. b) Befugnis zur Veröffentlichung

80 Den allgemein zugänglichen Daten gleichgestellt sind solche Daten, die zwar

(noch) nicht allgemein zugänglich sind, zu deren Veröffentlichung die verantwortliche Stelle jedoch berechtigt ist. Es kann nämlich keinen Unterschied machen, ob die Veröffentlichung bereits erfolgt ist, oder ob sie durch die verantwortliche Stelle zulässigerweise herbeigeführt werden könnte4. Die ursprüngliche Herkunft der Daten ist dabei unerheblich5. Die Berechtigung kann sowohl vertraglicher als auch gesetzlicher (z.B. § 103 UrhG, § 12 Abs. 3 UWG) Natur sein6.

81 Der eher geringe Anwendungsbereich des Abs. 1 Satz 1 Nr. 3 Variante 2 umfasst

bspw. die Verwendung durch Verlage oder Fachinformationsdienste von Daten über die publizistische oder wissenschaftliche Vergangenheit ihrer Autoren7. Ebenso kann die Verwendung von Daten, die im Rahmen eines Nachschlagewerks noch veröffentlicht werden sollen, aber bereits übermittelt wurden, in den Anwendungsbereich der Norm fallen8. c) Interessenabwägung

82 Auch im Rahmen des Abs. 1 Satz 1 Nr. 3 muss eine Abwägung mit den schutz-

würdigen Interessen der Betroffenen erfolgen. Die Datenverwendung ist nur dann ausgeschlossen, wenn die Betroffeneninteressen gegenüber den Interessen der verantwortlichen Stelle offensichtlich überwiegen. Die Offensichtlichkeit ist gegeben, wenn die Interessensverletzung für den objektiven, unvoreingenom-

1 2 3 4 5 6 7

So z.B. OLG Hamburg v. 2.8.2011 – 7 U 134/10, ZD 2011, 138 (140). Taeger/Gabel/Taeger, § 28 BDSG Rz. 100. So z.B. Simitis/Simitis, § 28 BDSG Rz. 161. Vgl. Simitis/Simitis, § 28 BDSG Rz. 157. Simitis/Simitis, § 28 BDSG Rz. 159. Taeger/Gabel/Taeger, § 28 BDSG Rz. 102. Gola/Schomerus, § 28 BDSG Rz. 33; Simitis/Simitis, § 28 BDSG Rz. 157; Däubler/Klebe/ Wedde/Weichert/Wedde, § 28 BDSG Rz. 60. 8 Simitis/Simitis, § 28 BDSG Rz. 158.

574

|

Plath

Datenerhebung und -speicherung für eigene Geschäftszwecke | § 28 BDSG

menen Beobachter ohne Weiteres auf der Hand liegt1. Dabei ist die Schutzbedürftigkeit des Betroffenen bei Daten, die jedermann zugänglich sind, grundsätzlich gering zu bewerten. Eine ausführliche Auseinandersetzung und Einzelfallprüfung ist damit nicht erforderlich2. Für eine Schutzbedürftigkeit des Betroffenen kann bspw. der Umstand sprechen, 83 dass er erkennbar die allgemeine Zugänglichkeit ausschließen will, bspw. durch einen Sperrvermerk3. Fraglich ist, ob dies auch bei Daten aus geschlossenen Netzwerken, soweit diese überhaupt öffentlich zugänglich sind (s. Rz. 76), der Fall ist. Eine überwiegende Schutzwürdigkeit ist wohl dann abzulehnen, wenn jedermann ohne Weiteres die Möglichkeit hat, Mitglied des Netzwerks zu werden, um damit auf die Daten zuzugreifen. In diesen Fällen ist es für den Betroffenen erkennbar, dass seine Daten praktisch für jeden, also öffentlich zugänglich sind4. Von einer überwiegenden Schutzwürdigkeit des Betroffenen ist dagegen in der 84 Regel jedenfalls dann auszugehen, wenn dieser der Verwendung seiner veröffentlichten Daten widersprochen hat5. Unter Umständen können sich auch Veränderungen bzw. der Zeitablauf auf 85 das Ergebnis der Interessenabwägung auswirken. So verletzt bspw. die Verwendung von Daten, die einer Löschungsfrist unterliegen, nach Ablauf dieser Frist in der Regel die schutzwürdigen Interessen des Betroffenen6. Gleiches gilt für Straftaten, „Jugendsünden“ und andere Daten, die sich auf Ereignisse der entfernten Vergangenheit beziehen7. Die Möglichkeit einer Weiterentwicklung des Betroffenen bzw. die „Gnade des Vergessens“8 ist ein offensichtlich schutzwürdiges Interesse9. Gleiches gilt für Daten aus Archiven bzw. solche, die nur über sog. Way-back-machines aufgerufen werden können10. Ihre Verwendung ohne Datum bzw. Hinweis auf die erfolgte Löschung bzw. Veränderung verletzt schutzwürdige Betroffeneninteressen. Zulässig ist jedoch der Hinweis auf die vormalige Existenz solcher gelöschten Daten11. Eine Ausnahme ist allerdings in 1 Bergmann/Möhrle/Herb, § 28 BDSG Rz. 278; Däubler/Klebe/Wedde/Weichert/Wedde, § 28 BDSG Rz. 61. 2 Däubler/Klebe/Wedde/Weichert/Wedde, § 28 BDSG Rz. 61; Gola/Schomerus, § 28 BDSG Rz. 31. 3 Taeger/Gabel/Taeger, § 28 BDSG Rz. 95, 99. 4 A.A. Bergmann/Möhrle/Herb, § 28 BDSG Rz. 268. 5 Däubler/Klebe/Wedde/Weichert/Wedde, § 28 BDSG Rz. 61; im Ergebnis ebenso Taeger/Gabel/Taeger, § 28 BDSG Rz. 107. 6 Taeger/Gabel/Taeger, § 28 BDSG Rz. 88. 7 Bergmann/Möhrle/Herb, § 28 BDSG Rz. 280. 8 Bergmann/Möhrle/Herb, § 28 BDSG Rz. 267. 9 Taeger/Gabel/Taeger, § 28 BDSG Rz. 104. 10 Taeger/Gabel/Taeger, § 28 BDSG Rz. 104 f. 11 Bergmann/Möhrle/Herb, § 28 BDSG Rz. 270.

Plath

|

575

§ 28 BDSG | Datenverarbeitung nicht-öffentlicher Stellen den Fällen denkbar, in denen ein aktueller Bezug besteht oder wenn ein öffentliches Interesse an der Vergangenheit des Betroffenen besteht1. 86 Umstritten ist die Frage, ob die Zusammenstellung und Veröffentlichung von

allgemein zugänglichen Daten auf Bewertungsportalen, bspw. zur Bewertung von Lehrkräften, gegen die schutzwürdigen Interessen der Betroffenen verstößt. Problematisch ist dabei, dass durch die Zusammenstellung den Nutzern die Möglichkeit eröffnet wird, eine Bewertung vorzunehmen, die ihrerseits unter Umständen in die Interessen der Betroffenen eingreift. Diese beiden Vorgänge müssen jedoch getrennt betrachtet werden. Die Verwendung der Daten als solche ist nach Abs. 1 Satz 1 Nr. 3 zulässig, wenn sich die verantwortliche Stelle aus allgemein zugänglichen Daten bedient. Die Rechtmäßigkeit der anschließend erfolgenden Bewertung ist eine Frage des allgemeinen Persönlichkeitsrechts, die über das Datenschutzrecht hinausgeht2. Die Einräumung der Bewertungsmöglichkeit führt demnach für sich genommen nicht zu einer Verletzung der schutzwürdigen Betroffeneninteressen3.

87 Die verantwortliche Stelle trägt das Risiko einer fehlerhaften Abwägung sowie

die Beweislast bezüglich der öffentlichen Zugänglichkeit der verwendeten Daten4. Es empfiehlt sich daher, die Quelle zumindest intern zu vermerken.

5. Zweckbestimmung (Abs. 1 Satz 2) 88 Das Erfordernis der Zweckbestimmung nach Abs. 1 Satz 2 bezieht sich auf alle

drei Erlaubnistatbestände des Abs. 1 Satz 1. Sinn und Zweck dieses Erfordernisses ist es, eine vorsorgliche Datenerhebung bzw. eine Vorratsdatensammlung zu verhindern. Erforderlich ist deshalb, dass die verantwortliche Stelle bei der Datenerhebung, spätestens jedoch vor Beginn der Speicherung, den Zweck der Datenverwendung im Rahmen ihrer geschäftlichen Tätigkeit festlegt5. Abs. 1 Satz 2 normiert lediglich die Pflicht zur Zweckbestimmung. Die Bindung an diesen Zweck ergibt sich erst aus dem Umkehrschluss der Abs. 2, 3, 5 oder 8, welche die Anforderungen an eine Verwendung zu anderen als den festgelegten Zwecken normieren6.

89 Dabei stellt sich insbesondere die Frage, wann eine Zweckbestimmung „konkret“

i.S.d. Abs. 1 Satz 2 ist. Der Hinweis, die Datenverwendung erfolge „zum eigenen Geschäftszweck“, wird wohl für sich genommen nicht ausreichen, da dieser Um-

1 Bergmann/Möhrle/Herb, § 28 BDSG Rz. 267. 2 Diesbezüglich sind die Grundsätze zu beachten, die der BGH in der Spickmich.de-Entscheidung entwickelt hat, BGHZ 181, 328, vgl. dazu Komm. zu § 29 BDSG Rz. 50. 3 So im Ergebnis auch Taeger/Gabel/Taeger, § 28 BDSG Rz. 106. 4 Bergmann/Möhrle/Herb, § 28 BDSG Rz. 271. 5 Bergmann/Möhrle/Herb, § 28 BDSG Rz. 282; Däubler/Klebe/Wedde/Weichert/Wedde, § 28 BDSG Rz. 63. 6 So auch Taeger/Gabel/Taeger, § 28 BDSG Rz. 110.

576

|

Plath

Datenerhebung und -speicherung für eigene Geschäftszwecke | § 28 BDSG

stand bereits allgemeine Voraussetzung für die Erlaubnistatbestände des Abs. 1 ist. Andernfalls wäre Abs. 1 Satz 2 obsolet1. Andererseits würde eine Aufzählung jedes einzelnen denkbaren Verwendungsfalls einen unverhältnismäßigen Aufwand darstellen. Die Erlaubnistatbestände des Abs. 1 machen deutlich, dass eine Datenverwendung im wirtschaftlichen Wettbewerb unumgänglich ist. Eine zu enge Auslegung des Zweckbestimmungserfordernisses würde diesem Interesse, das der Gesetzgeber ausdrücklich anerkannt hat, zuwiderlaufen. Damit reicht es aus, wenn die verantwortliche Stelle den typischen Sachverhalt der Datenverwendung generalisiert darstellt (z.B. „Durchführung des mit dem Kunden geschlossenen Kaufvertrages“). Zudem ist nach dem Wortlaut des Abs. 1 Satz 2 auch die Bestimmung einer Vielzahl von Zwecken zulässig. Es empfiehlt sich demnach, die Zweckbestimmung möglichst weitläufig zu verfassen, um einen späteren Umweg über die Zweckänderungsvorschriften zu vermeiden. Die Zweckbestimmung ist auch für alle nachfolgenden Verwendungen der einmal erhobenen Daten bindend2. Die Zweckbestimmung kann sich grundsätzlich auch aus den Begleitumständen 90 der Datenverwendung ergeben, ohne dass etwa ein „Register“ geführt werden müsste. Das Gesetz verpflichtet insbesondere nicht dazu, die Zweckbestimmung in Schriftform vorzunehmen3. Aus Gründen der Beweissicherung empfiehlt sich jedoch eine schriftliche Niederlegung der Zwecke4. Die Zweckbestimmung hat keine Publizitätswirkung, sondern dient lediglich dem Nachweis der Zulässigkeit einer Datenverwendung. Eine interne Dokumentation des festgelegten Zwecks ist damit in jedem Fall ausreichend.

III. Datenverwendung zu anderen Zwecken (Abs. 2) Abs. 2 normiert eine Durchbrechung des Zweckbindungsgrundsatzes5. Eine 91 Änderung des gemäß Abs. 1 Satz 2 festgelegten Zwecks (z.B. Vertragserfüllung) ist in fünf Fällen zulässig: (i) Zur Wahrung eigener berechtigter Interessen (Abs. 2 Nr. 1 Variante 1 i.V.m. Abs. 1 Satz 1 Nr. 2), (ii) im Fall der Verwendung allgemein zugänglicher Daten (Abs. 2 Nr. 1 Variante 2 i.V.m. Abs. 1 Satz 1 Nr. 3), (iii) zur Wahrung berechtigter Interessen Dritter (Abs. 2 Nr. 2 Buchst. a), (iv) zur Gefahrenabwehr (Abs. 2 Nr. 2 Buchst. b) sowie (v) zu Forschungszwecken (Abs. 2 Nr. 3). Diese Aufzählung ist abschließend6. 1 2 3 4

Ebenso Taeger/Gabel/Taeger, § 28 BDSG Rz. 109. Simitis/Simitis, § 28 BDSG Rz. 40. Zuletzt auch das BAG 12.2.2015 – 6 AZR 845/13, NZA 2015, 741 (748). Ebenso Däubler/Klebe/Wedde/Weichert/Wedde, § 28 BDSG Rz. 64; Bergmann/Möhrle/Herb, § 28 BDSG Rz. 282; a.A. Gola/Schomerus, der aus den Anforderungen zur datenschutzgerechten Organisation eine Pflicht zur Einhaltung der Schriftform ableitet, § 28 BDSG Rz. 35. 5 Däubler/Klebe/Wedde/Weichert/Wedde, § 28 BDSG Rz. 69. 6 So auch Däubler/Klebe/Wedde/Weichert/Wedde, § 28 BDSG Rz. 69; Taeger/Gabel/ Taeger, § 28 BDSG Rz. 118.

Plath

|

577

§ 28 BDSG | Datenverarbeitung nicht-öffentlicher Stellen 92 Die Möglichkeit einer Zweckänderung beschränkt sich auf die Vorgänge des

Übermittelns und des Nutzens1; die Erhebung und die Speicherung ist i.R.d. § 28 nur unter den Voraussetzungen des Abs. 1 zulässig. Eine Änderung ist sowohl zu Zwecken zulässig, die zum Zeitpunkt der Festlegung schon existierten, aber nicht berücksichtigt wurden, als auch zu gänzlich neuen, unvorhergesehenen Zwecken. 1. Wahrung eigener Interessen/allgemein zugängliche Daten (Abs. 2 Nr. 1)

93 Bezüglich der Zweckänderung zur Wahrung eigener berechtigter Interessen

bzw. im Rahmen der Verwendung allgemein zugänglicher Daten (Abs. 2 Nr. 1) kann auf die Ausführungen zu Abs. 1 Nr. 2 und 3 verwiesen werden (s. Rz. 51 ff. bzw. 82). Dies gilt insbesondere für die erforderliche Interessenabwägung. Dabei muss auch der geänderte Zweck im Zusammenhang mit dem eigenen Geschäftszweck stehen2. Letztlich soll Abs. 2 Nr. 1 die verantwortliche Stelle lediglich dazu zwingen, auch bei einer Verwendung über den festgelegten Zweck hinaus eine Interessenabwägung vorzunehmen3.

94 Ein für die Praxis relevanter Anwendungsfall des Abs. 2 Nr. 1 Variante 1 ist die

Änderung des Zwecks zur Datennutzung mit dem Ziel der Kunderückgewinnung. Die Zulässigkeit dieses Vorgehens war Gegenstand eines Urteils des OLG Köln4. Dort stand die Praxis eines Stromanbieters auf dem Prüfstand, der ehemalige Kunden ca. ein Jahr nach ihrem Wechsel zu einem anderen Anbieter unter Verwendung der i.R.d. Vertragsverhältnisses gespeicherten Daten zu Zwecken der Rückgewinnung angeschrieben hatte. Dabei hat es das OLG Köln grundsätzlich für zulässig erachtet, die im Rahmen des Vertragsverhältnisses gespeicherten Daten „Name“, „Anschrift“ sowie den Hinweis „ehemaliger Kunde“ zu Zwecken der Rückgewinnung zu verwenden, obwohl damit eine Änderung des ursprünglichen Verwendungszwecks (Vertragsdurchführung) einher ging. Die Verwendung dieser Daten sei zur Erreichung des Zwecks der Kundenrückgewinnung auch erforderlich, da diese Daten die Voraussetzung für ein gezieltes Anschreiben ausschließlich ehemaliger Kunden seien5. Nicht erforderlich und damit unzulässig sei hingegen eine Verwendung der Information, zu welchem Konkurrenzanbieter der Kunde gewechselt ist. Die Nutzung dieses Datums diene nicht dem primären Ziel der Kundenrückgewinnung, sondern lediglich einer besonders wirksamen Ausgestaltung der (Ab-)Werbung6.

1 2 3 4 5 6

Taeger/Gabel/Taeger, § 28 BDSG Rz. 114. Taeger/Gabel/Taeger, § 28 BDSG Rz. 121. So auch Taeger/Gabel/Taeger, § 28 BDSG Rz. 125. OLG Köln v. 19.11.2010 – 6 U 73/19, NJW 2010, 90. So auch OLG Köln v. 19.11.2010 – 6 U 73/19, NJW 2010, 90 (91). OLG Köln v. 19.11.2010 – 6 U 73/19, NJW 2010, 90 (91).

578

|

Plath

Datenerhebung und -speicherung für eigene Geschäftszwecke | § 28 BDSG

2. Wahrung berechtigter Interessen Dritter (Abs. 2 Nr. 2a) Eine Durchbrechung des gemäß Abs. 1 Satz 2 festgelegten Zwecks ist zudem zur 95 Wahrung berechtigter Interessen Dritter zulässig. Ein solches berechtigtes Interesse eines Dritten kann sowohl wirtschaftlicher als auch rechtlicher oder ideeller Natur sein. Auch dieses Interesse muss mit den schutzwürdigen Interessen des Betroffenen abgewogen werden, wobei Letztere umso eher überwiegen, je sensibler die verwendeten Daten sind. Zulässig ist bspw. die Erweiterung des Zwecks auf die Übermittlung der Kundendatei eines Unternehmers an seinen Rechtsnachfolger, auf die Übermittlung einer Änderung von Reisedaten/-routen durch ein Reisebüro bzw. Transportunternehmen an eine dem Reisenden nahestehende Person sowie auf die Verwendung der Daten eines Ehegatten bspw. durch den Verkäufer einer Ware im Rahmen eines Geschäfts zur Deckung des Lebensbedarfs i.S.d. § 1357 BGB1. Ein berechtigtes Interesse kann u.U. auch im konzerninternen Informationsaustausch zu sehen sein, bspw. im Falle der Übermittlung von internen Telefon- und Adresslisten oder zur Koordinierung von Lieferungen2. Auch die Geltendmachung zivilrechtlicher (Auskunfts-)Ansprüche (z.B. § 101a UrhG) kann ein berechtigtes Interesse Dritter sein3. In diesem Zusammenhang entschied der BGH, dass ein Bankinstitut einen Auskunftsanspruch eines Markeninhabers nach § 19 Abs. 2 Satz 1 Nr. 3 MarkenG mit dem Ziel, Namen und Anschrift eines markenrechtsverletzenden Kontoinhabers zu erlangen, seitens der Bank nicht unter Hinweis auf das Bankgeheimnis verweigern darf, wenn über das Konto die Kaufpreiszahlungen für ein gefälschtes Markenprodukt abgewickelt wurden4. Desweiteren stellte der BGH fest, dass das Grundrecht des Kontoinhabers auf Schutz der persönlichen Daten nach Art. 8 EU-Grundrechtecharta und das Recht der Bank auf Berufsfreiheit nach Art. 15 EU-Grundrechtecharta hinter den Grundrechten von Markeninhabern auf Schutz des geistigen Eigentums und einen wirksamen Rechtsschutz zurücktreten müssen, solange keine gleichwertigen alternativen Auskunftsmöglichkeiten zum Anspruch nach § 19 Abs. 2 Satz 1 Nr. 3 MarkenG bestehen5. Die Möglichkeit ein Strafverfahren mit anschließender Akteneinsicht einzuleiten, stellt nach dem BGH keine gleichwertige Alternative dar. Besteht keine andere Möglichkeit für den Schädiger eine auch nur mögliche Rechtsverletzung zu verfolgen, so wird in 1 Vgl. Gola/Schomerus, § 28 BDSG Rz. 37; Bergmann/Möhrle/Herb, § 28 BDSG Rz. 287; Däubler/Klebe/Wedde/Weichert/Wedde, § 28 BDSG Rz. 74; Taeger/Gabel/Taeger, § 28 BDSG Rz. 132; Simitis/Simitis, § 28 BDSG Rz. 176. 2 Ebenso Simitis/Simitis, § 28 BDSG Rz. 177, 178. 3 Bergmann/Möhrle/Herb, § 28 BDSG Rz. 293; a.A. dagegen Taeger/Gabel/Taeger, § 28 BDSG Rz. 134; zum Interesse der Durchsetzung etwaiger Ansprüche gegen einen Lebensversicherer durch die Erben des Versicherten LG Saarbrücken v. 27.4.2009 – 12 O 292/08, ZEV 2009, 398 (400). 4 BGH v. 21.10.2015 – I ZR 51/12. 5 Vgl. zur Vorlagefrage EuGH v. 16.7.2015 – C-580/13, GRUR 2015, 894; kritisch Becker/ Germayer, CR 2014, 278.

Plath

|

579

§ 28 BDSG | Datenverarbeitung nicht-öffentlicher Stellen der Regel das berechtige Interesse des Dritten bei einer Abwägung unterliegen1. Dementsprechend wird ein berechtigtes Interesse eines geschädigten Dritten regelmäßig abzulehnen sein, wenn der geschädigte Rechteinhaber die Verfolgung seiner Ansprüche auch ohne die Herausgabe von Daten wahrnehmen kann. Mit diesem Argument entschied der BGH, dass ein Patient nicht vom Klinikträger die Herausgabe der Privatanschrift seines Arztes verlangen kann, um diesen wegen eines Behandlungsfehlers zu verklagen, da für ein solches Begehren das berechtigte Interesse fehlt, solange auch eine Zustellung der Klage über die Arbeitsstelle möglich ist2. Die divergierenden Entscheidungen des BGH zeigen, dass konkret auf jeden Einzelfall abzustellen ist bei der Bewertung der Frage, ob Daten an einen Dritten zur Geltendmachung von Rechtsansprüchen herausgegeben werden dürfen. Ebenfalls nach Abs. 2 Nr. 2a zulässig ist eine Änderung des festgelegten Zwecks zur Übermittlung von Negativdaten an eine Auskunftei, soweit hier nicht sogar von einem eigenen Interesse der verantwortlichen Stelle ausgegangen werden kann3. Kein berechtigtes Interesse hat hingegen ein Kreditkarteninstitut an einer über den Abrechnungsvorgang hinausgehenden Auswertung von Zahlungsdaten4, soweit dies nicht mit dem Ziel einer Bonitätsprüfung bzw. der Absicherung vor Betrugsfällen erfolgt. Eine entsprechende Regelung enthält auch die DSGVO in Art. 6 Abs. 1 Buchst. f DSGVO. 96 Zu beachten ist, dass gemäß Abs. 5 der empfangende Dritte die Daten nur zu

den Zwecken verwenden darf, zu denen sie ihm übermittelt wurden. Gemäß Abs. 5 Satz 2 ist jedoch auch der Empfänger unter den Voraussetzungen der Abs. 2 und 3 zur Zweckänderung berechtigt (s. Rz. 205).

3. Gefahrenabwehr (Abs. 2 Nr. 2b) 97 Die Erweiterung des Zwecks auf die Übermittlung und Nutzung von Daten zur

Gefahrenabwehr nach Abs. 2 Nr. 2b ist nur zulässig, wenn zumindest konkrete Anhaltspunkte für das Vorliegen einer Gefahr oder einer Straftat vorliegen; ein Gefahrenverdacht oder die Verfolgung von Ordnungswidrigkeiten ist als Zweck nicht ausreichend5. Diese Norm ist subsidiär zu spezialgesetzlichen Regelungen, bspw. der StPO oder der AO6. Sie rechtfertigt nur die Erweiterung des Zwecks auf die Übermittlung von Daten an die Polizei oder Staatsanwaltschaft, nicht jedoch die Erhebung durch diese. Ebenso wenig lässt sich aus Abs. 2 Nr. 2b eine 1 Vgl. BGH v. 9.7.2015 – III ZR 329/14, ZD 2015, 527, für die Interessenabwägung bei § 35 Abs. 1 Nr. 3 LKHG M-V. 2 BGH v. 20.1.2015 – VI ZR 137/14, ZD 2015, 225. 3 So auch Taeger/Gabel/Taeger, § 28 BDSG Rz. 131. 4 Enger noch Däubler/Klebe/Wedde/Weichert/Wedde, § 28 BDSG Rz. 74. 5 Bergmann/Möhrle/Herb, § 28 BDSG Rz. 296; Däubler/Klebe/Wedde/Weichert/Wedde, § 28 BDSG Rz. 79; Taeger/Gabel/Taeger, § 28 BDSG Rz. 144, 145. 6 Gola/Schomerus, § 28 BDSG Rz. 38; Däubler/Klebe/Wedde/Weichert/Wedde, § 28 BDSG Rz. 77.

580

|

Plath

Datenerhebung und -speicherung für eigene Geschäftszwecke | § 28 BDSG

Übermittlungspflicht ableiten1. Die angeordnete Interessenabwägung wird regelmäßig zugunsten der verantwortlichen Stelle ausfallen, da der Betroffene kein schutzwürdiges Interesse an der Abwendung einer Strafverfolgung hat2. Im Beschäftigungsverhältnis ist der Vorrang des § 32 zu beachten. Eine entsprechende Regelung enthält auch die DSGVO in Art. 6 Abs. 1 Buchst. e DSGVO. 4. Wissenschaftliche Forschung (Abs. 2 Nr. 3) Die Durchbrechung der Zweckbindung ist nach Abs. 2 Nr. 3 sowohl zu Zwecken 98 der eigenen Forschung als auch zur Forschung durch dritte Stellen zulässig3. Ausreichend ist ein Interesse wissenschaftlicher Art. Das Vorliegen eines zusätzlichen wirtschaftlichen oder rechtlichen Interesses wird nicht vorausgesetzt, schadet aber auch nicht. Auch dieses Interesse muss gegenüber dem schutzwürdigen Interesse des Betroffenen überwiegen. Schließlich muss der Forschungszweck nicht oder nur mit unverhältnismäßigem Aufwand auf eine andere Weise bzw. ohne die infrage stehende Datenverwendung zu erreichen sein. Als realistischer Maßstab wird vertreten, dass ein Aufwand dann als unverhältnismäßig gilt, wenn er mehr als 10 % der Gesamtkosten des Forschungsprojekts ausmacht4. Unter welchen Voraussetzungen („ob“) Daten zu Forschungszwecken genutzt werden dürfen, ist darüber hinaus in Abs. 6 Nr. 4 kodifiziert. Dagegen ist der Vorgang der Datenverwendung zu Forschungszwecken („wie“) in § 40 geregelt.

IV. Datenverwendung zu Zwecken der Werbung und des Adresshandels (Abs. 3) Abs. 3 normiert, unter welchen Voraussetzung Daten zu Zwecken der Werbung 99 bzw. des Adresshandels verwendet werden dürfen5. Die Norm regelt das Verarbeiten und Nutzen von Daten zu diesen Zwecken; das Erheben von Daten zu Werbezwecken ist vom Anwendungsbereich des Abs. 3 ausgenommen und nur unter den Voraussetzungen des Abs. 1 zulässig. 1 Taeger/Gabel/Taeger, § 28 BDSG Rz. 146. 2 Taeger/Gabel/Taeger, § 28 BDSG Rz. 147; vgl. auch FG Düsseldorf v. 1.6.2011 – 4 K 3063/10 Z, wonach der vom Hauptzollamt geforderte Namensabgleich bei Bewerbern in sicherheitsrelevanten Bereichen mit den Namenslisten der Verordnungen Nr. 2580/ 2001/EG und Nr. 881/2002/EG über Maßnahmen zur Bekämpfung des Terrorismus zulässig ist. 3 Bergmann/Möhrle/Herb, § 28 BDSG Rz. 298. 4 So auch Bergmann/Möhrle/Herb, § 28 BDSG Rz. 308. 5 Zur der Thematik des Adresshandels und Direktmarketing vgl. Düsseldorfer Kreis: Anwendungshinweise der Datenaufsichtsbehörden zur Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten für Werbezwecke; vgl. LG Düsseldorf v. 20.12. 2013 – 33 O 95/13 U, ZD 2014, 200 zur generellen Unwirksamkeit von Adresshandelsverträgen, die systematisch gegen § 7 Abs. 2 Nr. 2 UWG verstoßen.

Plath

|

581

§ 28 BDSG | Datenverarbeitung nicht-öffentlicher Stellen 100 Teilweise wird vertreten, dass Abs. 3 bezüglich der Verarbeitung und Nutzung

von Daten zu Zwecken der Werbung oder des Adresshandels nicht abschließend sei, in Ausnahmefällen also ein Rückgriff auf die Erlaubnistatbestände des Abs. 1 Satz 1, insbesondere Nr. 2, zulässig sei1. Nach h.M. entspricht eine derartige Auslegung jedoch nicht dem Willen des Gesetzgebers, der darin lag, die Verwendung von Daten zu Werbezwecken strengeren Regeln zum Schutz des Betroffenen zu unterwerfen2.

101 Abs. 3 ist eine sehr umfassende, teilweise auch verworrene Norm. Im Überblick

regelt sie folgende Tatbestände:

– Satz 1 regelt, dass die Verarbeitung und Nutzung von Daten zu Zwecken der Werbung und des Adresshandels grundsätzlich nur mit Einwilligung zulässig ist. – Satz 2 regelt als Ausnahme zu dem Einwilligungserfordernis, dass ohne Einwilligung (lediglich) die Verarbeitung und Nutzung von Listendaten zulässig ist. Es handelt sich hierbei nicht um das ursprüngliche, umstrittene Listenprivileg des Abs. 3 Satz 1 Nr. 3 a.F., das nach Aussage des Gesetzgebers gestrichen wurde, sondern um ein neues Listenprivileg, das auf bestimmte Anwendungsfälle beschränkt wird. Danach ist die Nutzung von Listendaten ohne Einwilligung nur zur Werbung für eigene Zwecke (Nr. 1), zur beruflichen Werbung (Nr. 2) sowie zur Spendenwerbung (Nr. 3) zulässig. – Satz 3 regelt, dass im Falle der Nutzung von Listendaten zur Werbung für eigene Zwecke (Abs. 3 Satz. 1 Nr. 1) diese Listendaten mit weiteren Daten angereichert werden dürfen; – Satz 4 regelt die Zulässigkeit der Übermittlung von Listendaten an Dritte zu Zwecken der Werbung; – Satz 5 regelt die Voraussetzungen, unter denen die verantwortliche Stelle Werbung für fremde Zwecke machen darf; – Satz 6 regelt das Erfordernis einer Interessenabwägung für die Fälle der Eigenwerbung sowie der Übermittlung an Dritte zu Werbezwecken; – Satz 7 regelt, dass übermittelte Daten nur zu den Zwecken verwendet werden dürfen, zu denen sie übermittelt wurden (Zweckbindung). 1. Begriff der Werbung und des Adresshandels 102 Das BDSG definiert die Begriffe „Werbung“ und „Adresshandel“ nicht. Eine De-

finition der Werbung ist jedoch in Art. 2a) der RL 2006/114/EG über irrefüh1 So z.B. Drewes, CR 2010, 759 (761). 2 Vgl. Bergmann/Möhrle/Herb, § 28 BDSG Rz. 327; Gola/Schomerus, § 28 BDSG Rz. 42; Däubler/Klebe/Wedde/Weichert/Wedde, § 28 BDSG Rz. 96.

582

|

Plath

Datenerhebung und -speicherung für eigene Geschäftszwecke | § 28 BDSG

rende und vergleichende Werbung1 zu finden. Danach ist Werbung „jede Äußerung bei der Ausübung eines Handels, Gewerbes, Handwerks oder freien Berufs mit dem Ziel, den Absatz von Waren oder die Erbringung von Dienstleistungen, einschließlich unbeweglicher Sachen, Rechte und Verpflichtungen, zu fördern“. Dabei stellt sich die Frage, ob diese wettbewerbsrechtliche Definition zur Auslegung des Abs. 3 herangezogen werden kann. Dies ist jedenfalls dann der Fall, wenn man in § 28 entgegen der hier vertretenen Ansicht eine Marktverhaltensregelung i.S.d. § 3a UWG sieht (s. Komm. zu § 1 BDSG Rz. 15 f.)2. Doch auch dann, wenn man eine wettbewerbsschützende Funktion des BDSG ablehnt, ist es im Sinne der Einheitlichkeit der Rechtsordnung, dass sich die Auslegung des Begriffs „Werbung“ im Rahmen des Wettbewerbsrechts und im Rahmen des Datenschutzrechts an denselben Maßstäben orientiert. Im Zentrum der Richtliniendefinition steht das Ziel des Warenabsatzes bzw. 103 der Leistungserbringung. Damit kann nur dann von einer „Werbung“ gesprochen werden, wenn eine Ansprache von Personen erfolgt, die darauf gerichtet ist, diese zur Abnahme einer Ware oder zur Inanspruchnahme einer Leistung zu veranlassen. Dies ist regelmäßig dann der Fall, wenn die verantwortliche Stelle ihre Waren oder Dienstleistung anpreist oder den Betroffenen zur (meist finanziellen) Unterstützung auffordert3. Unerheblich ist dann, in welcher Form die Ansprache vorgenommen wird und ob sie direkt oder indirekt, bewusst oder unbewusst bzw. gezielt oder zufällig erfolgt4. Aus der Regelung zur beruflichen Werbung des Abs. 3 Satz 2 Nr. 2 ergibt sich, dass auch die Ansprache von Unternehmen und juristischen Personen unter den Begriff der Werbung fallen kann. Voraussetzung für die Anwendbarkeit des BDSG ist dabei jedoch, dass es zur Verwendung personenbezogener Daten kommt (s. Komm. zu § 3 BDSG Rz. 3 ff.). Keine Werbung liegt dagegen vor, wenn die verantwortliche Stelle lediglich ihre 104 Beziehung zum Kunden ohne konkrete Absatzabsicht pflegen möchte. Damit sind Anschreiben und selbst durchgeführte Anrufe zur Erkundigung über die Kundenzufriedenheit5 oder zur Entschuldigung für einen Fehler in der Regel keine Werbungen i.S.d. Abs. 3. Gleiches gilt für solche Ansprachen, die das Ziel verfolgen, den Betroffenen grundsätzlich und losgelöst von einer konkreten Ab1 Richtlinie 2006/114/EG der Europäischen Parlaments und des Rates v. 12.12.2006 über irreführende und vergleichende Werbung. 2 So bspw. Ernst, WRP 2004, 1133 (1137); a.A. OLG München v. 12.1.2012 – 29 U 3926/11, CR 2012, 269; OLG Köln v. 17.1.2014 – 6 U 167/13, GRUR-Prax 2014, 242. 3 Ebenso Däubler/Klebe/Wedde/Weichert/Wedde, § 28 BDSG Rz. 89; Bergmann/Möhrle/ Herb, § 28 BDSG Rz. 322. 4 Ebenso Bergmann/Möhrle/Herb, § 28 BDSG Rz. 322. 5 A.A. unter wettbewerbsrechtlichen Aspekten bei Anrufen, die im Auftrag eines Unternehmens durch Marktforschungsinstitute durchgeführt werden OLG Köln v. 12.12.2008 – 6 U 41/08, MMR 2009, 267 sowie OLG Köln v. 30.3.2012 – 6 U 191/11, GRUR-Prax 2012, 266 m. Anm. Bohne.

Plath

|

583

§ 28 BDSG | Datenverarbeitung nicht-öffentlicher Stellen satzintention als Kunden zu erhalten. Ebenso liegt unter Umständen keine Werbung vor, wenn die verantwortliche Stelle einen ehemaligen Kunden zurückgewinnen will, ohne dass die Ansprache mit einer direkten Absatzabsicht für konkrete Leistungen oder Produkte verbunden ist1. Allerdings hat das OVG Berlin-Brandenburg zuletzt entschieden, dass auch nur mittelbar absatzfördernde Maßnahmen von Abs. 3 erfasst werden2. Das OVG nahm eine Nutzung zur Werbezwecken i.S.d. Abs. 3 dadurch an, dass im Rahmen eines Service-Calls eine „Opt-in“ Anfrage erfolgte und bewertete den Service-Call damit insgesamt als – mangels Einwilligung – unzulässigen Werbeanruf. Ebenfalls eine unzulässige Werbemaßnahme liegt vor, wenn ein Anwalt im Namen seines Mandanten durch einen Auskunftsanspruch gegen den Schädiger Kontaktdaten von möglichen weiteren Geschädigten erlangt und diese Daten zur Mandantenakquise verwendet3. 105 Ausgenommen vom Anwendungsbereich des Abs. 3 ist darüber hinaus die nicht

geschäftsmäßige, aber zu eigenen Zwecken erfolgende Markt- oder Meinungsforschung, soweit und solange sie nicht mit dem Ziel betrieben wird, Kunden zu gewinnen4. Die Zulässigkeit dieser Praxis richtet sich nach Abs. 1 Nr. 2 bzw. Abs. 2 Nr. 3. Für die geschäftsmäßige Markt- und Meinungsforschung gilt dagegen die Spezialregelung des § 30a.

106 Unter „Adresshandel“ i.S.d. Abs. 3 ist jede Vermarktung von Dateien zu ver-

stehen, die diejenigen Daten enthalten, die für die Kontaktaufnahme mit einer Person benötigt werden. Typischerweise sind davon der Vor- und Nachname, die (private oder berufliche) postalische Adresse sowie u.U. weitere ergänzende Hinweise umfasst5. Nach dem Sinn und Zweck der Norm fällt darüber hinaus auch der Handel mit Telefonnummern und E-Mail-Adressen sowie weiteren Daten über die betreffende Person unter den Begriff des Adresshandels, auch wenn der Wortlaut eine andere Auslegung suggeriert (s.a. Komm. zu § 29 BDSG Rz. 20)6. Unerheblich ist, ob die Daten verkauft, vermietet oder in sonstiger Form überlassen werden7.

107 Fraglich ist jedoch, ob der Adresshandel einen Unterfall der Werbung oder

vielmehr eine eigenständige Verwendungsform darstellt. Praktisch relevant ist diese Frage vor allem deshalb, weil der Adresshandel lediglich in Satz 1 von Abs. 3 erwähnt wird, wohingegen in den verbleibenden Regelungen des Abs. 3 1 S. auch zur Unzulässigkeit eines Angebots OLG Karlsruhe v. 9.5.2012 – 6 U 38/11, NJW 2012, 3312. 2 OVG Berlin-Brandenburg v. 31.7.2015 – OVG 12 N 71.14, ZD 2016, 37 mit Anm. Heermann. 3 Vgl. OLG Köln v. 17.1.2014 – 6 U 167/13, NJW 2014, 1820. 4 So auch Gola/Schomerus, § 28 BDSG Rz. 43. 5 Däubler/Klebe/Wedde/Weichert/Wedde, § 28 BDSG Rz. 89. 6 Ebenso Bergmann/Möhrle/Herb, § 29 BDSG Rz. 26. 7 Bergmann/Möhrle/Herb, § 28 BDSG Rz. 323.

584

|

Plath

Datenerhebung und -speicherung für eigene Geschäftszwecke | § 28 BDSG

nur noch allein auf die Werbung Bezug genommen wird. Die Einordnung als gesonderte Verwendungsform hätte zur Folge, dass der Adresshandel stets nur mit Einwilligung der Betroffenen zulässig wäre, da sich die weiteren Erlaubnistatbestände für den Umgang mit Listendaten gemäß Abs. 3 Satz 2 nicht ausdrücklich auf den Adresshandel beziehen. Nach der hier vertretenen Meinung ist der Adresshandel i.S.d. Abs. 3 jedoch jedenfalls dann ein Unterfall der Werbung, soweit er zu Werbezwecken erfolgt. Werden also z.B. Adressdaten vermarket, um dem Erwerber der Daten die Werbeansprache potenzieller Kunden zu ermöglichen, kann eine solche Maßnahme auf die Erlaubnistatbestände des Abs. 3 gestützt werden, soweit deren Voraussetzungen erfüllt sind. Gestützt wird die hier vertretene Auslegung durch die Regelung des Abs. 3 Satz 4, der ausdrücklich die Übermittlung zusammengefasster personenbezogener Daten zu Werbezwecken gestattet. Somit kann der Begriff der „Werbung“ nicht auf die eigentliche Werbeansprache beschränkt sein, sondern muss auch die vorausgehende Übermittlung von solchen Daten, mithin den Adresshandel, mit umfassen. Die Regelungen des Abs. 3 sind nur in den Fällen einschlägig, in denen der Ad- 108 resshandel lediglich neben der eigentlichen geschäftlichen Tätigkeit betrieben wird, er darf also nicht der Geschäftszweck der verantwortlichen Stelle sein. Der geschäftsmäßige Adresshandel fällt unter § 29 Abs. 1, wobei dieser wiederum in Satz 2 die Anwendbarkeit der Regelungen des § 28 Abs. 3–3b anordnet. 2. Einwilligung (Abs. 3 Satz 1) Gemäß Abs. 3 Satz 1 ist die Datenverwendung zu Zwecken der Werbung oder 109 des Adresshandels grundsätzlich nur mit Einwilligung des Betroffenen zulässig1. Damit hat sich der Gesetzgeber für eine sog. „Opt-in“-Lösung entschieden. In Ausnahme zu diesem Grundsatz ist für die Fälle des Abs. 3 Satz 2–5 (Verwen- 110 dung von Listendaten sowie „transparente Werbung“) ein „Opt-out“-Verfahren angeordnet, so dass die Verwendung von Listendaten sowie die Werbung für fremde Zwecke unter den Voraussetzungen dieser Normen solange zulässig ist, wie der Betroffene ihr nicht widersprochen hat2. Zu beachten ist, dass der Gesetzgeber in Abs. 3b ein sog. Kopplungsverbot ein- 111 geführt hat, wonach es der verantwortlichen Stelle unter bestimmten Voraussetzungen untersagt ist, den Abschluss eines Vertrags von der Abgabe einer Einwilligung in die Datenverwendung abhängig zu machen (s. Rz. 170 ff.). 1 Pfeifer, MMR 2010, 524 (525); a.A. Drewes, CR 2010, 759 (760), wonach Abs. 3 Satz 1 eine rein deklaratorische Funktion zukommt; Vgl. hierzu auch die Stellungnahme der Artikel-29-Datenschutzgruppe zur „EASA/IAB Best Practice Recommendation on Online Behavioural Advertising“ v. 8.12.2011. 2 Vgl. Bergmann/Möhrle/Herb, § 28 BDSG Rz. 314; Roßnagel/Jandt, MMR 2011, 86 (89).

Plath

|

585

§ 28 BDSG | Datenverarbeitung nicht-öffentlicher Stellen 112 Grundsätzlich trifft die verantwortliche Stelle die Darlegungs- und Beweislast

bezüglich des Vorliegens einer Einwilligung1. Sie ist jedoch nicht dazu verpflichtet, die Herkunft ihrer mit Einwilligung erhobenen Daten zu kennzeichnen2. Ausführlicher zur Einwilligung in die Datenverwendung zu Werbezwecken vgl. Rz. 154 ff. 3. Listenprivileg (Abs. 3 Satz 2)

113 Als Ausnahme zum grundsätzlichen Einwilligungserfordernis des Abs. 3 Satz 1

ist unter den Voraussetzungen von Abs. 3 Satz 2–4 eine Verarbeitung und Nutzung von Listendaten bzw. von sonst zusammengefassten Daten auch ohne Einwilligung des Betroffenen zulässig, wenn sie zu Werbezwecken erfolgt3. Soweit der Adresshandel mit der hier vertretenen Ansicht einen Unterfall der Werbung darstellt (s. Rz. 107), gilt dieses Listenprivileg auch für den Adresshandel zu Werbezwecken, sofern er nicht geschäftsmäßig erfolgt. a) Listendaten und sonst zusammengefasste Daten

114 Die als „neues Listenprivileg“ bezeichnete Regelung des Abs. 3 Satz 2 weitet die

Möglichkeit der Datenverarbeitung und -nutzung zu Zwecken der Werbung bzw. des Adresshandels auf sog. Listendaten aus. Die in Abs. 3 Satz 2 genannten Daten bzw. Merkmale müssen listenmäßig oder auf andere Weise zusammengefasst sein. Eine listenmäßige Zusammenfassung liegt vor, wenn Daten über mehr als eine Person nach einem bestimmten Merkmal geordnet fortlaufend in einer Zusammenstellung gebündelt wurden4. Sind die Daten nicht nach einem Merkmal fortlaufend geordnet, sondern ohne logischen Zusammenhang lediglich miteinander verbunden, so handelt es sich um „sonst zusammengefasste Daten“, für die das Listenprivileg ebenfalls greift. Beispiele hierfür sind zusammengeheftete Einzelblätter, Karteien oder versandfertig beschriftete Umschläge, Etiketten und andere Drucksachen5. Unerheblich ist, mit welcher Technik diese Zusammenstellungen entstanden sind, ob sie auf einem digitalen Medium gleich welcher Art gespeichert wurden, oder ob sie als Ausdruck vorliegen6. Voraussetzung ist allerdings stets, dass der Anwendungsbereich des Dritten Abschnitts 1 Vgl. OLG Bamberg v. 12.5.2005 – 1 U 143/04, MMR 2006, 481; ebenso zur Beweislast bezüglich wettbewerbsrechtlicher Werbeeinwilligungen BGH v. 10.2.2011 – I ZR 164/ 09, MMR 2011, 662; OLG Hamburg v. 29.7.2009 – 5 U 43/08 sowie 5 U 226/08, VuR 2010, 104 (105); LG Bonn v. 10.1.2012 – 11 O 49/11, MMR 2012, 319. 2 So auch Däubler/Klebe/Wedde/Weichert/Wedde, § 28 BDSG Rz. 93. 3 Wronka, RDV 2010, 159 (160), sieht in dieser Einschränkung eine Benachteiligung des Adresshandels. Dazu s.o. Rz. 107. 4 Däubler/Klebe/Wedde/Weichert/Wedde, § 28 BDSG Rz. 97. 5 Bergmann/Möhrle/Herb, § 28 BDSG Rz. 343. 6 Däubler/Klebe/Wedde/Weichert/Wedde, § 28 BDSG Rz. 97.

586

|

Plath

Datenerhebung und -speicherung für eigene Geschäftszwecke | § 28 BDSG

des BDSG überhaupt eröffnet ist (vgl. dazu Komm. zu § 27 BDSG Rz. 3 ff.). Im Folgenden werden Listendaten und sonst zusammengefasste Daten einheitlich als „Listendaten“ bezeichnet. b) Angehörigkeit zu einer Personengruppe Das Merkmal der Angehörigkeit zu einer Personengruppe bezeichnet die Ge- 115 meinsamkeit, die alle auf der Liste erfassten Personen miteinander verbindet (z.B. das Geschlecht, der Wohnort etc.). Erst dieses gemeinsame Merkmal macht aus einer aussagelosen Aufzählung eine für den Verwender interessante und zu Werbezwecken nutzbare Liste1. Dabei ist eine Aufzählung umso aussagekräftiger, je genauer die Personenzugehörigkeit ist. Umstritten ist deshalb, ob sich die Gruppenzugehörigkeit aus mehreren Merk- 116 malen zusammensetzen darf (z.B. „golfspielende Sportwagenfahrer“ als eigene Personengruppe, statt der zwei gesonderten Personengruppe „Golfspieler“ und „Sportwagenfahrer“). Es wird dabei befürchtet, dass eine derartige Ausweitung der Gruppenzugehörigkeit zu einer Aushöhlung des Betroffenenschutzes führen würde, so dass das Merkmal eng auszulegen sei2. Nach Ansicht des OLG Köln könne aus der im Zuge der BDSG-Novelle II neu eingeführten Verwendung des Plurals in Satz 2 Nr. 1 („Angaben“) keineswegs gefolgert werden, dass nunmehr – entgegen der bisherigen Rechtslage – Personengruppen über mehr als ein Merkmal definiert werden dürften3. Der Begriff „Angaben“ beschreibe nicht die Personengruppe, sondern beziehe sich vielmehr auf die beiden Möglichkeiten der Zugehörigkeit, nämliche diese bejahend oder verneinend4. Diese Wortlautauslegung ist nachvollziehbar, indes keinesfalls zwingend. Denn es ist der Gesetzesbegründung keineswegs zu entnehmen, dass sich der Begriff der „Angaben“ nicht auch auf die Beschreibung der Personengruppe beziehen kann. Zudem setzt der Begriff der „Personengruppe“ nicht zwingend voraus, dass diese Gruppe nur durch ein einziges Merkmal beschrieben werden darf. Nach der hier vertretenen Ansicht muss daher die Verwendung von mehr als einem Merkmal zur Festlegung der Personengruppe möglich sein5. Diesem Ergebnis steht auch der Schutzzweck der Norm nicht entgegen. Denn dem befürchteten Ausufern der Verwendung von Listendaten steht die Regelung des Abs. 3 Satz 6 entgegen, die eine Interessenabwägung verlangt6. Bei dieser Abwägung ist insbesondere zu berücksichtigen, welchen Aussagewert 117 die zur Gruppenbestimmung verwendeten Daten haben. Diskutiert wird in die1 2 3 4 5 6

Bergmann/Möhrle/Herb, § 28 BDSG Rz. 346. So z.B. Bergmann/Möhrle/Herb, § 28 BDSG Rz. 346. OLG Köln v. 19.11.2010 – 6 U 73/10, CR 2011, 680 (682). OLG Köln v. 19.11.2010 – 6 U 73/10, CR 2011, 680 (682). So auch Eckhardt, Anm. zu OLG Köln v. 19.11.2010 – 6 U 73/10, CR 2011, 682 (684). So auch Eckhardt, Anm. zu OLG Köln v. 19.11.2010 – 6 U 73/10, CR 2011, 682 (684).

Plath

|

587

§ 28 BDSG | Datenverarbeitung nicht-öffentlicher Stellen sem Zusammenhang z.B., ob die Angabe der Datenquelle überhaupt als Gruppenmerkmal gewertet werden kann. Hier muss differenziert werden, ob dieses Merkmal überhaupt einen Informationswert enthält1. Bedeutungslos ist bspw. die Tatsache, dass die Listendaten von einem Adresshändler stammen2. Gleiches gilt aber auch für die Angabe, dass Daten von einem großen UniversalVersandhandel stammen, da inzwischen ein Großteil der Bevölkerung mindestens einmal bei einem Versandhandel bestellt hat, und dort fast jedes Produkt erworben werden kann. Die Gruppenzugehörigkeit ist in diesen Fällen erst durch die Angabe eines zusätzlichen Merkmals, bspw. der erworbenen Ware, gegeben. Dagegen wird bei spezialisierten Versandhändlern, die bspw. nur Spielzeug vertreiben, bereits in der Angabe der Quelle ein Gruppenmerkmal zu sehen sein, welches in die Abwägung einzufließen hat3. Zu beachten ist, dass die Angabe der in Abs. 3 Satz 2 genannten Merkmale, also der Listendaten selbst, kein Gruppenmerkmal darstellt, auch wenn sich daraus eine Gemeinsamkeit mit Informationswert ablesen lässt, wenn also bspw. aus der Adresse ein Rückschluss auf die finanziellen Verhältnisse des Betroffenen gezogen werden kann. Dies führt darüber hinaus auch dazu, dass jede spezifizierende Zuordnung zu einer Personengruppe durch Merkmale, die sich bereits aus der zulässigen Nennung der Listendaten ergeben, unbedenklich ist4. 118 Damit ist die Zusammenfassung einer Liste z.B. unter dem Merkmal „Weibliche

Sportartikelkäuferinnen des Versandhandels XY über 30 aus Norddeutschland“ zulässig, weil die Merkmale „weiblich“, „über 30“ und „aus Norddeutschland“ sich bereits aus den Daten „Name“, „Geburtsjahr“ und „Anschrift“ ergeben, das Merkmal „Versandhandel“ in der Regel keine Aussagekraft besitzt, und somit nur das Merkmal „Sportartikelkäuferin“ als (einziges) zusätzliches Gruppenmerkmal bezeichnet werden kann. c) Umfang der Listendaten

119 Neben der soeben dargestellten Zugehörigkeit zu einer Personengruppe dürfen

nur die in Abs. 3 Satz 2 aufgezählten Merkmale in der Liste oder sonstigen Zusammenfassung genannt werden. Dies sind: – die Berufsbezeichnung (z.B. Bäcker, Lehrer, Anwalt), Branchenbezeichnung (z.B. Versicherungsbranche, Medienbranche, Hotelbranche) oder Geschäftsbezeichnung („Hotel zum Rathaus“, „Schreinerei Meyer“); – der Name und, soweit vorhanden, der Titel („Direktor“, „Prokurist“, beamtenrechtliche Dienstbezeichnungen, Adelstitel) oder akademische Grad (Prof., Dr., Dipl.-Ing., M.A.); 1 2 3 4

So im Ergebnis auch Gola/Schomerus, § 28 BDSG Rz. 51; Plath/Frey, CR 2009, 613 (615). Plath/Frey, CR 2009, 613 (615). Ebenso Gola/Schomerus, § 28 BDSG Rz. 51. Ebenso Schaffland/Wiltfang, § 28 BDSG Rz. 148.

588

|

Plath

Datenerhebung und -speicherung für eigene Geschäftszwecke | § 28 BDSG

– die Anschrift (privat oder beruflich)1, nicht jedoch die Rufnummer2, auch wenn Abs. 3 Satz 2 Nr. 1 allgemein zugängliche Rufnummernverzeichnisse als zulässige Erhebungsquelle anführt (s. Rz. 123). Fraglich ist, ob auch die EMail-Adresse eine „Anschrift“ i.S.d. Abs. 3 Satz 2 ist. Der grundsätzlich als abschließend aufgefasste Wortlaut des Abs. 3 Satz 2 spricht zunächst gegen eine derartige Auslegung3. Mangels abschließender Klärung dieser Frage ist jedoch auch eine Auslegung des Listenmerkmals „Anschrift“ dahin gehend denkbar, dass darunter alle Daten zu verstehen sind, die das Anschreiben des Betroffenen ermöglichen. Folgt man diesem Ansatz, so wäre auch die EMail-Adresse eine Anschrift i.S.d. BDSG, zumal inzwischen ein Großteil der Korrespondenz über den elektronischen Weg erfolgt4. Zu beachten ist, dass die Verwendung von E-Mail-Adressen unter Umständen in den Anwendungsbereich des TMG fällt, ein Rückgriff auf das Listenprivileg des Abs. 3 Satz 2 damit gar nicht erst notwendig bzw. möglich ist5; – das Geburtsjahr, nicht jedoch der Geburtstag und -monat6. d) Werbung durch die verantwortliche Stelle (Abs. 3 Satz 2) Die Verarbeitung und Nutzung von Listendaten bzw. sonst zusammengefassten 120 Daten ist grundsätzlich nur zur Werbung durch die verantwortliche Stelle in einem der in Abs. 3 Satz 2 aufgezählten Fälle zulässig. aa) Eigenwerbung (Abs. 3 Satz 2 Nr. 1) Gemäß Abs. 3 Satz 2 Nr. 1 darf die verantwortliche Stelle Listendaten für Zwe- 121 cke der Werbung für eigene Angebote (Eigenwerbung) verwenden. Die Norm ist damit lex specialis für den Fall der Werbung zu den allgemeinen Verwendungsvoraussetzungen des Abs. 1, wonach eine Datenverwendung grundsätzlich nur zur Verfolgung des eigenen Geschäftszwecks zulässig ist. Dieser Umstand spiegelt sich in der Voraussetzung des Abs. 3 Satz 2 Nr. 1 wider, wonach die verwendeten Daten im Rahmen des rechtsgeschäftlichen bzw. rechtsgeschäftsähnlichen Schuldverhältnisses gemäß Abs. 1 Satz 1 Nr. 1 rechtmäßig erhoben worden sein müssen, zumindest jedoch aus allgemein zugänglichen Verzeichnissen 1 Simitis/Simitis, § 28 BDSG Rz. 234. 2 Bergmann/Möhrle/Herb, § 28 BDSG Rz. 349 mit Verweis darauf, dass teilweise in der Nennung der Rufnummernverzeichnisse in Abs. 3 Satz 2 Nr. 1 ein Wertungswiderspruch zu sehen ist. 3 Vgl. Däubler/Klebe/Wedde/Weichert/Wedde mit dem eindeutigen Hinweis, die Auflistung sei abschließend, § 28 BDSG Rz. 99. 4 Zu beachten ist, dass dies nicht i.R.d. § 7 UWG gelten kann, der die E-Mail-Adresse ausdrücklich nicht als Unterfall der Anschrift ansieht. 5 Ausführlich hierzu Plath/Frey, CR 2009, 613 (614 f.). 6 So auch Taeger/Gabel/Taeger, § 28 BDSG Rz. 194.

Plath

|

589

§ 28 BDSG | Datenverarbeitung nicht-öffentlicher Stellen stammen müssen. Beide Erhebungsformen sind für sich genommen ausreichend, können jedoch auch gemischt werden1. Damit wird deutlich, dass die verantwortliche Stelle sowohl Daten von Bestands- als auch von Neukunden zu Werbezwecken verwenden darf2. 122 Die Erhebung von Daten im Rahmen eines Gewinnspiels ist als Erhebung im

Rahmen eines Schuldverhältnisses anzusehen, soweit es sich dabei um eine Auslobung (§ 657 BGB), ein Preisausschreiben (§ 661 BGB) oder eine Gewinnzusage (§ 661a BGB) handelt3. Voraussetzung hierfür ist jedoch, dass die Datenerhebung auch tatsächlich mit der Durchführung des Rechtsgeschäfts in Verbindung steht. Daten, die im Rahmen einer separaten Einwilligung anlässlich eines Gewinnspiels erhoben werden, sind nicht i.S.d. Abs. 3 Satz 2 Nr. 1 zur Durchführung des Rechtsgeschäfts erhoben worden4.

123 Der Begriff der „allgemein zugänglichen Verzeichnisse“ ist enger zu verstehen

als der Begriff der „allgemein zugänglichen Quellen“ i.S.d. Abs. 1 Satz 1 Nr. 3. Er ist, wie der Wortlaut es bereits verdeutlicht, auf „Verzeichnisse“, also auf übersichtliche, strukturierte Anordnungen von Informationen, z.B. Mitgliederlisten, beschränkt5. Unerheblich ist, ob die Verzeichnisse freiwillig oder verpflichtend sind6. Zu beachten ist, dass ausdrücklich auch Daten aus Rufnummernverzeichnissen zu Werbezwecken verwendet werden dürfen, obwohl die Rufnummer kein Listendatum i.S.d. Abs. 3 Satz 2 ist. Dieser Widerspruch kann nur so verstanden werden, dass nur die Verwendung derjenigen Daten aus Rufnummernverzeichnissen zulässig ist, die auch Listendaten sind. So dürfen bspw. Name und Anschrift einer Person aus dem Telefonbuch entnommen werden. Die verantwortliche Stelle ist nicht zur Kennzeichnung der Herkunft der Daten verpflichtet7.

124 Nicht nach Abs. 3 Satz 2 Nr. 1 zulässig ist die Werbung für fremde Zwecke oder

die Weitergabe der Listendaten an Dritte (dies ergibt sich nicht zuletzt auch aus Abs. 3 Satz 4, s. Rz. 133). Fraglich ist, ob auch Konzerninteressen „eigene Zwecke“ i.S.d. Abs. 3 Satz 2 Nr. 1 sind. Grundsätzlich existiert im BDSG kein Konzernprivileg; Konzernunternehmen werden als selbständige verantwortliche Stellen behandelt8. Eine Ausnahme von diesem Grundsatz ist jedoch in den Fällen denkbar, in denen mehrere Rechtsträger aus organisatorischen, steuerlichen oder sonstigen Gründen eigenständig sind, in ihrer Gesamtheit durch den Be-

1 2 3 4 5 6 7 8

Bergmann/Möhrle/Herb, § 28 BDSG Rz. 357. Ebenso Pfeifer, MMR 2010, 524 (526). So auch Bergmann/Möhrle/Herb, § 28 BDSG Rz. 359. KG v. 26.8.2010 – 23 U 34/10, NJW 2011, 466. Ebenso Bergmann/Möhrle/Herb, § 28 BDSG Rz. 360. Bergmann/Möhrle/Herb, § 28 BDSG Rz. 361. Bergmann/Möhrle/Herb, § 28 BDSG Rz. 362. Vgl. Bergmann/Möhrle/Herb, § 28 BDSG Rz. 355; ausführlich hierzu Schulz, BB 2011, 2552 (2553 ff.).

590

|

Plath

Datenerhebung und -speicherung für eigene Geschäftszwecke | § 28 BDSG

troffenen aber als eine Einheit wahrgenommen werden. Dies ist bspw. der Fall, wenn neben dem Kernunternehmen, das sich dem eigentlichen Geschäftszweck widmet, eine Vertriebsgesellschaft besteht, deren Geschäftszweck in der Unterstützung des Kernunternehmens zu sehen ist. Für den Betroffenen wird es regelmäßig unerheblich sein, ob er seinen Vertrag bspw. mit der V-Vertriebs-KG oder mit der V-Online-KG geschlossen hat, wenn beide zusammen nach außen hin als „V“ auftreten. Aufgrund dieser Auxiliarfunktion ist in der Werbung für eigene Zwecke der Vertriebsgesellschaft zugleich eine Werbung für die Zwecke des Kernunternehmens zu sehen, die sich die Vertriebsgesellschaft zu eigen gemacht hat. Eine derartige Werbung ist damit nach der hier vertretenen Ansicht eine „Werbung für eigene Angebote“ und demnach nach Abs. 3 Satz 2 Nr. 1 zulässig1. Zu beachten ist, dass dies keine Frage der Übermittlung von Daten, sondern lediglich der Auslegung des Merkmals „eigene Zwecke“ ist. bb) Geschäftswerbung (Abs. 3 Satz 2 Nr. 2) Nach Abs. 3 Satz 2 Nr. 2 ist die Verwendung von Listendaten auch zu Zwecken 125 der Werbung in Bezug auf die berufliche Tätigkeit des Betroffenen durch Versendung an dessen Geschäftsadresse zulässig. Die Werbung darf an den Betroffenen persönlich adressiert oder sonst personifiziert sein2. Die verantwortliche Stelle ist dabei nicht auf Eigenwerbung beschränkt. Nicht vom Erlaubnistatbestand umfasst ist das Versenden von berufsbezogener Werbung an die private Anschrift des Betroffenen, es sei denn, dass diese mit der Geschäftsadresse übereinstimmt3. Teilweise wird jedoch vertreten, dass in diesem Fall der geschäftliche Charakter der Werbung deutlich werden muss, die verantwortliche Stelle also nicht nur Name und Anschrift, sondern darüber hinaus auch die Geschäftsbezeichnung angeben muss4. Für diese Ansicht gibt es allerdings keine Anhaltspunkte im Wortlaut der Norm. Unerheblich ist, ob der Betroffene Verbraucher oder Unternehmer i.S.d. §§ 13, 14 BGB ist. Eine Listendatenverwendung zu Werbezwecken ist auch dann nach Abs. 3 Satz 2 Nr. 2 zulässig, wenn der Betroffene nicht selbst Unternehmer ist, sondern die Werbung in seiner Funktion als Angestellter eines Unternehmens erhält5. cc) Spendenwerbung (Abs. 3 Satz 2 Nr. 3) Gemäß Abs. 3 Satz 2 Nr. 3 ist zudem die Verwendung von Listendaten auch zu 126 Zwecken der Spendenwerbung zulässig. Voraussetzung ist, dass die verantwort1 Enger dagegen Bergmann/Möhrle/Herb, § 28 BDSG Rz. 355, die eine Zulässigkeit lediglich nach Abs. 3 Satz 4 in Betracht ziehen. 2 Ebenso Däubler/Klebe/Wedde/Weichert/Wedde, § 28 BDSG Rz. 104. 3 Ebenso Drewes, CR 2010, 759 (761). 4 Bergmann/Möhrle/Herb, § 28 BDSG Rz. 366. 5 So auch Bergmann/Möhrle/Herb, § 28 BDSG Rz. 368.

Plath

|

591

§ 28 BDSG | Datenverarbeitung nicht-öffentlicher Stellen liche Stelle eine steuerbegünstigte Einrichtung ist. Dieses ist gemäß § 10b EStG bei steuerbefreiten Körperschaften, Personenvereinigungen oder Vermögensmassen, die gemeinnützige, kirchliche oder karitative Zwecke i.S.d. §§ 52–54 AO verfolgen, sowie gemäß 34g EStG bei politischen Parteien bzw. unabhängigen Wählervereinigungen der Fall. Der Erlaubnistatbestand greift jedoch nur, wenn die Werbung zur Spende aufruft, nicht jedoch, wenn sie bspw. für eine Mitgliedschaft in der Organisation wirbt1. dd) Erforderlichkeit 127 Die Datenverwendung muss für die dargestellten Werbezwecke erforderlich

sein. Zur Auslegung des Merkmals der Erforderlichkeit sei auf Rz. 19 ff. verwiesen. Grundsätzlich ist eine Datenverwendung erforderlich, soweit das Ziel nicht oder nur mit einem unverhältnismäßigen Aufwand auf andere Weise erreicht werden kann. Von der Erforderlichkeit kann dabei ausgegangen werden, wenn die sonstigen Voraussetzungen der Datenverwendung erfüllt sind, denn grundsätzlich ist eine zielgerichtete Werbung nur unter Verwendung personenbezogener Daten möglich. Allein im Einzelfall kann es aufgrund besonderer Umstände zu einer abweichenden Beurteilung kommen, wobei diese Abwägung umso eher zugunsten des Betroffenen ausfallen wird, je sensibler die verwendeten Daten sind2. Teilweise wird vertreten, dass eine an Minderjährige gerichtete Werbung, die mit dem Ziel eines Vertragsschlusses erfolgt, nicht erforderlich sei, da ein wirksamer Vertragsschluss ohne Zustimmung der Eltern nicht möglich sei3. Dagegen spricht jedoch, dass die Werbung an Minderjährige wettbewerbsrechtlich i.S.d. § 3 UWG (§ 4 Nr. 2 UWG a.F.) unbedenklich ist, soweit sie die Unerfahrenheit von Kindern und Jugendlichen nicht ausnutzt4. Eine derartig restriktive Auslegung des Merkmals der Erforderlichkeit i.R.d. Abs. 3 Satz 2 würde damit zu einer Verkürzung des durch den Gesetzgeber für zulässig erklärten Werbespielraums führen. Unter Umständen müssen die Interessen von Minderjährigen jedoch i.R.d. Abwägung, Abs. 3 Satz 6, berücksichtigt werden (s. Rz. 151). 4. Hinzuspeicherung von Daten (Abs. 3 Satz 3)

128 Abs. 3 Satz 3 ist die wohl unverständlichste Norm des insgesamt missglückten

§ 28. Je nach Lesart und Auslegung kann diese Regelung gegenstandslos und mithin überflüssig sein oder das Regel-Ausnahme-Gefüge des Abs. 3 Satz 1 und 2 völlig aushöhlen. Nach dem Wortlaut ist davon auszugehen, dass sich Abs. 3 Satz 3 ausschließlich auf Abs. 3 Satz 2 Nr. 1 bezieht, so dass das Hinzuspeichern von Daten nur für den Zweck der Eigenwerbung zulässig ist, nicht jedoch für

1 2 3 4

Bergmann/Möhrle/Herb, § 28 BDSG Rz. 372. Plath/Frey, CR 2009, 613 (616). So z.B. Bergmann/Möhrle/Herb, § 28 BDSG Rz. 351. So BGH v. 17.7.2008 – I ZR 160/05, GRUR 2009, 71 – Sammelaktion für Schokoriegel.

592

|

Plath

Datenerhebung und -speicherung für eigene Geschäftszwecke | § 28 BDSG

Zwecke der Berufs- oder Spendenwerbung (Abs. 3 Satz 2 Nr. 2, 3)1. Darüber hinaus soll nach dem Willen des Gesetzgebers Abs. 3 Satz 3 keine eigenständige Erhebungs- oder Übermittlungsbefugnis sein2. Die Rechtsprechung hat dies zwischenzeitlich bestätigt3. Daraus folgt laut der Gesetzesbegründung, dass „die verantwortliche Stelle die Daten gestützt auf eine andere Befugnis rechtmäßig erhoben, z.B. nach Absatz 1 Satz 1 Nummer 3, oder rechtmäßig übermittelt bekommen haben muss“4. Sinn und Zweck der Regelung soll sein, dass die verantwortliche Stelle durch die hinzu gespeicherten Daten die Betroffenen besser erfassen, unterteilen und selektieren kann, um dadurch gezielter werben zu können5. Zunächst stellt sich die Frage, welche Arten von Daten durch die verantwort- 129 liche Stelle hinzugespeichert werden dürfen. Denkbar ist insoweit eine Begrenzung dieser Möglichkeit auf Listendaten. Damit könnte die verantwortliche Stelle zu den Listendaten, die sie bereits gespeichert hat, ausschließlich die restlichen, bislang noch ungespeicherten Listendaten hinzufügen6. Dies wäre bspw. der Fall, wenn die verantwortliche Stelle zum bereits vorhandenen Listenmerkmal „Name“ noch das neue Listenmerkmal „Anschrift“ hinzufügen würde. Gegen diese Auslegung spricht allerdings zum einen der Wortlaut des Abs. 3 Satz 3, der das Hinzuspeichern weiterer Daten zu den (genannten) Listendaten erlaubt. Zum anderen steht dem auch der Wille des Gesetzgebers entgegen, die Möglichkeiten der verantwortlichen Stelle, Daten zu Werbezwecken zu verwenden, zu erweitern7. Es wäre also denkbar, dass die verantwortliche Stelle alle Arten von Daten, also sowohl Listen- als auch sonstige Daten, hinzuspeichern dürfte. Dagegen spricht jedoch, dass eine Gleichstellung der Listendaten mit sonstigen Daten dem Wortlaut des Abs. 3 Satz 2 Nr. 1 widersprechen würde, wonach Listendaten, die zu Zwecken der Eigenwerbung genutzt werden sollen, nur direkt beim Betroffenen oder aus allgemein zugänglichen Verzeichnisses erhoben werden dürfen. Demnach muss Abs. 3 Satz 3 dahingehend ausgelegt werden, dass die hinzugespeicherten Daten jede Form von Daten sein dürfen, jedoch mit Ausnahme von Listendaten. Dann stellt sich jedoch die weitere Frage, ob die verantwortliche Stelle diese Da- 130 ten auch dann hinzuspeichern darf, wenn sie zu deren Verwendung zu Werbezwecken nicht ermächtigt ist. Dies würde nämlich zu einer vollkommenen Aus1 Für eine analoge Anwendung auf die Berufswerbung gemäß Abs. 3 Satz 2 Nr. 2 jedoch Drewes, CR 2010, 759 (762); zur Zulässigkeit der Hinzuspeicherung der Information, zu welchem Anbieter ein ehemaliger Kunde gewechselt ist LG Augsburg v. 19.8.2011 – 3 HK O 2827/11. 2 BT-Drucks. 16/12011, S. 32. 3 OLG Köln v. 19.11.2010 – 6 U 73/10, CR 2011, 680 (682). 4 BT-Drucks. 16/12011, S. 32. 5 Vgl. BT-Drucks. 16/12011, S. 32; Hanloser, MMR 2009, 594 (595). 6 So z.B. Roßnagel/Jandt, MMR 2011, 86 (89). 7 S. BT-Drucks. 16/12011, S. 32.

Plath

|

593

§ 28 BDSG | Datenverarbeitung nicht-öffentlicher Stellen höhlung des Erlaubnistatbestands des Abs. 3 Satz 2 Nr. 1 führen. In der Tat sieht die Logik des Abs. 3 vor, dass Daten grundsätzlich nur zu Werbezwecken verwendet werden dürfen, wenn der Betroffene in die Verwendung eingewilligt hat. Andernfalls hat sich die verantwortliche Stelle auf die Verwendung bestimmter Daten, nämlich der Listendaten, zu beschränken. Dürfte die verantwortliche Stelle nun jedes beliebige weitere Datum zu den Listendaten frei hinzufügen, so wäre sie in der Verwendung von Daten zu Zwecken der Eigenwerbung keiner Beschränkung mehr unterworfen. In diesem Fall ist es jedoch erstaunlich, dass der Verwendungszweck der Eigenwerbung nicht von vornherein aus dem Regel-Ausnahme-Gefüge des Abs. 3 herausgenommen wurde. Dieses auf den ersten Blick überraschende Ergebnis wäre zu verhindern, wenn eine Einschränkung des Abs. 3 Satz 3 dahingehend erfolgen würde, dass nur solche Daten hinzugespeichert werden dürfen, zu deren Verwendung zu Werbezwecken die verantwortliche Stelle, bspw. aufgrund einer Einwilligung, ohnehin befugt ist. Diese Auslegung entspricht jedoch nicht dem eindeutigen Willen des Gesetzgebers. Vielmehr wollte dieser die Möglichkeit zur beliebigen Ausweitung von Datensätzen schaffen, um den verantwortlichen Stellen weitergehende Werbebefugnisse einzuräumen1. Damit ist als Ergebnis festzuhalten, dass die verantwortliche Stelle die Listendaten des Betroffenen um eine beliebige Anzahl zusätzlicher Daten ergänzen darf, solange und soweit sie diese rechtmäßig erhoben hat oder ihr diese rechtmäßig übermittelt wurden. Dies gilt unabhängig davon, ob die verantwortliche Stelle ursprünglich zur Verwendung der Daten zu Werbezwecken befugt war. 131 Aus dem Umstand, dass Abs. 3 Satz 3 keine eigenständige Erhebungsbefugnis

sein soll, ergibt sich, dass die verantwortliche Stelle die hinzugespeicherten Daten bereits zuvor rechtmäßig erhoben haben muss. Die Beschränkung des Abs. 3 Satz 2 Nr. 1 auf die Erhebung direkt beim Betroffenen oder aus allgemein zugänglichen Verzeichnissen greift nach der hier vertretenen Ansicht damit nicht. Die verantwortliche Stelle kann die Daten demnach entweder beim Betroffenen selbst oder auf sonst nach Abs. 1 zulässige Weise erhoben haben. Vom Erlaubnistatbestand umfasst ist auch die Verwendung von Daten, die der verantwortlichen Stelle auf rechtmäßige Weise durch einen Dritten übermittelt wurden2.

132 Zuletzt gibt auch der Begriff „hinzuspeichern“ Rätsel auf. Er ist nämlich – über

Abs. 3 Satz 3 hinaus – dem BDSG ansonsten fremd. Es ist darin deshalb weder eine besondere Form des Speicherns, noch eine sonst eigenständige Nutzungsart zu sehen. Vielmehr wollte der Gesetzgeber damit ausdrücken, dass die zusätzlichen Daten den vorhandenen Datensätzen beigefügt und in den Durch-

1 So auch Simitis/Simitis, § 28 BDSG Rz. 240. 2 A.A. allerdings OLG Köln v. 19.11.2010 – 6 U 73/10, CR 2011, 680 (682), wenn auch mit missverständlicher Formulierung, wonach das „Hinzuspeichern“ Listendaten nur dann betreffen könne, wenn diese öffentlichen Verzeichnissen entnommen worden seien.

594

|

Plath

Datenerhebung und -speicherung für eigene Geschäftszwecke | § 28 BDSG

suchungs- und Auswertungsprozess einbezogen werden und einer Werbemaßnahme zugrunde gelegt werden dürfen1. 5. Übermittlung zu Werbezwecken (Abs. 3 Satz 4) Abs. 3 Satz 4 steht in seiner Unverständlichkeit dem ebenso misslungenen Abs. 3 133 Satz 3 in nichts nach. Eindeutig ist lediglich, dass die Norm unter bestimmten Umständen die Übermittlung von Daten zu Werbezwecken für zulässig erklärt. Es besteht dabei weitestgehend Einigkeit darüber, dass diese Norm zu einer Aufweichung der Voraussetzungen für die an sich nach Abs. 3 eingeschränkte Datenverwendung zu Werbezwecken führt2. Nach Abs. 3 Satz 2 dürfen Listendaten grundsätzlich nur durch die verantwortliche Stelle selbst zu Werbezwecken genutzt werden, und zwar für eigene Werbezwecke oder für Zwecke der beruflichen bzw. Spendenwerbung, Abs. 3 Satz 2 Nr. 1–3. Die für diese Zwecke nutzbaren Daten dürfen nur unter den Voraussetzungen des Abs. 3 Satz 4 an Dritte übermittelt werden, die diese wiederum selbst zu Werbezwecken nutzen dürfen. Ein und dasselbe Datum darf demnach nicht nur durch die ursprünglich verantwortliche Stelle, sondern darüber hinaus auch nach dessen Übermittlung durch die neue verantwortliche Stelle, also den Datenempfänger, verwendet werden, so dass die Möglichkeit der Datenverwendung zu Werbezwecken tatsächlich durch Abs. 3 Satz 4 erweitert wird. Der Regelungsgehalt des Abs. 3 Satz 4 umfasst mithin sowohl eine Übermittlungsbefugnis für die übermittelnde Stelle als auch eine Nutzungsbefugnis für die empfangende Stelle3. a) Listendaten Abs. 3 Satz 4 erfordert als Voraussetzung für eine wirksame Übermittlung zu 134 Werbezwecken zunächst, dass die übermittelten Daten „personenbezogene Daten nach Satz 2“, also Listendaten sind. Der Ursprung der Daten ist dabei unerheblich. Diese Daten müssen als Liste oder sonst zusammengefasst sein, vgl. Abs. 3 Satz 24. Die Übermittlung nur einzelner personenbezogener Daten über nur eine Person ist damit nicht zulässig, da es hier an der listenmäßigen Zusammenfassung fehlt. b) Werbezweck Die Datenübermittlung muss zu Werbezwecken erfolgen, wobei unklar ist, wel- 135 che konkreten Zwecke hiervon umfasst werden. Jedenfalls dürften darunter alle 1 Ebenso Bergmann/Möhrle/Herb, § 28 BDSG Rz. 387. 2 Vgl. Simitis/Simitis, § 28 BDSG Rz. 243; Däubler/Klebe/Wedde/Weichert/Wedde, § 28 BDSG Rz. 111. 3 Ausführlich hierzu Pfeifer, MMR 2010, 524 (526). 4 Bergmann/Möhrle/Herb, § 28 BDSG Rz. 380.

Plath

|

595

§ 28 BDSG | Datenverarbeitung nicht-öffentlicher Stellen Werbezwecke fallen, die § 28 legitimiert. Dies sind zunächst einmal die Zwecke der Abs. 3 Satz 2 Nr. 1–3, also die Eigenwerbung, die berufliche Werbung sowie die Spendenwerbung1. Aus Abs. 3 Satz 5, der die sog. Beipack- oder Empfehlungswerbung regelt, ergibt sich zudem, dass auch die Werbung für fremde Zwecke zulässig sein muss2. 136 Daraus ergibt sich jedoch ein Widerspruch zur Regelung des Abs. 3 Satz 2

Nr. 1, der die Voraussetzungen der Eigenwerbung normiert: Mit der Übermittlung von Daten wird ihr Empfänger selbst zur verantwortlichen Stelle. Damit richtet sich die Zulässigkeit einer Verwendung zuvor übermittelter Daten zu Zwecken der Eigenwerbung durch den Empfänger ebenfalls nach Abs. 3 Satz 2 Nr. 1. Danach dürfen jedoch nur solche Listendaten zu eigenen Werbezwecken verwendet werden, die direkt beim Betroffenen erhoben oder aus allgemein zugänglichen Verzeichnissen entnommen wurden (s. Rz. 121). Diese Voraussetzung ist bei übermittelten Daten jedoch gerade nicht erfüllt, so dass die Verwendung zu Werbezwecken von Daten, die der verantwortlichen Stelle übermittelt wurden, nach dem Wortlaut des Abs. 3 Satz 2 Nr. 1 nicht zulässig wäre. Dieser Umstand führt zu dem absurden Ergebnis, dass die ursprünglich verantwortliche Stelle Listendaten nach Abs. 3 Satz 4 zu Werbezwecken übermitteln darf, der Empfänger ebendiese Daten jedoch nicht nutzen darf. Damit wäre jedoch die Möglichkeit einer Übermittlung von Daten zu Zwecken der Eigenwerbung durch den Empfänger vollkommen sinnentleert. Nach der hier vertretenen Ansicht muss deshalb in Abs. 3 Satz 4 eine Durchbrechung der Voraussetzungen für die Eigenwerbung nach Abs. 3 Satz 2 Nr. 1 hineingelesen werden, mit der Folge, dass der Empfänger die ihm übermittelten Daten auch tatsächlich nutzen darf, und es auf die Herkunft der Daten in Abweichung zu Abs. 3 Satz 2 Nr. 1 nicht mehr ankommt. Die hierdurch entstehende Ausweitung des Erlaubnistatbestands des Abs. 3 wird durch das in Abs. 3 Satz 4 beinhaltete Speicherungsund Transparenzgebot aufgefangen. c) Speicherungspflicht

137 Konstitutive Voraussetzung für eine Zulässigkeit der Übermittlung und Nut-

zung nach Abs. 3 Satz 4 ist darüber hinaus, dass die Übermittlung nach Maßgabe des § 34 Abs. 1a Satz 1 gespeichert wird. Danach muss die übermittelnde Stelle die Tatsache der Übermittlung, die Herkunft der Daten und die Empfänger für die Dauer von zwei Jahren nach der Übermittlung speichern. Konkrete Anforderungen an die Art der Speicherung stellt das Gesetz nicht. Die verantwortliche Stelle muss lediglich in der Lage sein, während der genannten zwei Jahre dem Betroffenen auf dessen Verlangen Auskunft über die Herkunft der übermittelten Daten und die Empfänger zu geben. Unklar ist, ob auch der Emp-

1 So wohl auch Taeger/Gabel/Taeger, § 28 BDSG Rz. 199. 2 S. auch Plath/Frey, CR 2009, 613 (616).

596

|

Plath

Datenerhebung und -speicherung für eigene Geschäftszwecke | § 28 BDSG

fänger zur Speicherung der Übermittlung verpflichtet ist. In der Tat trifft ihn gemäß § 34 Abs. 1a Satz 2 dieselbe Pflicht wie den Übermittler, wobei Abs. 3 Satz 4 jedoch gerade nicht auf diese Norm verweist. Angesichts der Tatsache, dass sich der gesamte § 34 Abs. 1a explizit auf den Erlaubnistatbestand des Abs. 3 Satz 4 bezieht, muss allerdings auch von einer entsprechenden Speicherungspflicht des Empfängers ausgegangen werden. Der fehlende Verweis auf § 34 Abs. 1a Satz 2 ist damit offenbar ein Redaktionsversehen. Sinn und Zweck der Speicherungspflicht ist, dass der Betroffene sich über den 138 Umgang mit seinen personenbezogenen Daten informieren kann und ggf. sein Widerspruchsrecht aus Abs. 4 in Anspruch nehmen kann1. Die Speicherungspflicht gilt unabhängig von der Werbeform (z.B. Anschreiben, Haustürwerbung, telefonische Werbung)2. d) Transparenzgebot Abs. 3 Satz 4 Halbs. 2 normiert ein Transparenzgebot, wonach bei einer Ver- 139 wendung zuvor übermittelter Daten zu Werbezwecken die ersterhebende Stelle eindeutig aus der Werbung hervorgehen muss. Auch dieses Gebot gilt unabhängig von der Form der Werbung (z.B. Anschreiben, Haustürwerbung, telefonische Werbung)3. Hierdurch soll es dem Betroffenen ermöglicht werden, einer unerwünschten Datenübermittlung auf den Grund zu gehen und diese für die Zukunft im Wege des Widerspruchs nach Abs. 4 bereits an der Wurzel zu verhindern4. Anders als im Rahmen von Abs. 3 Satz 5, der die sog. Beipackwerbung regelt, 140 muss die ersterhebende Stelle nicht nur erkennbar sein, sondern aus der Werbung eindeutig hervorgehen. Damit reicht es nicht aus, wenn diese Stelle lediglich identifizierbar ist, z.B. anhand eines Kennzeichens. Dagegen genügt die Nennung der genauen Bezeichnung, also Name bzw. Firma der verantwortlichen Stelle den Anforderungen des Abs. 3 Satz 4 Halbs. 25. Die Angabe einer ladungsfähigen Adresse ist nach dem Wortlaut der Norm nicht erforderlich6. Dafür spricht auch, dass mit Kenntnis der Bezeichnung die Anschrift problemlos herausgefunden werden kann. Zudem wird eine über den Namen hinausgehende Angabepflicht in den meisten Fällen vom Gesetzgeber explizit normiert7. 1 So auch Simitis/Simitis, § 28 BDSG Rz. 243. 2 So Däubler/Klebe/Wedde/Weichert/Wedde, § 28 BDSG Rz. 113; Simitis/Simitis, § 28 BDSG Rz. 243. 3 Däubler/Klebe/Wedde/Weichert/Wedde, § 28 BDSG Rz. 113; Simitis/Simitis, § 28 BDSG Rz. 243. 4 So im Ergebnis auch Taeger/Gabel/Taeger, § 28 BDSG Rz. 199. 5 Ebenso Drewes, CR 2010, 759 (762 f.). 6 A.A. Bergmann/Möhrle/Herb, § 28 BDSG Rz. 378. 7 Vgl. nur die dahingehende Regelung zur Impressumspflicht, § 5 Abs. 1 Nr. 1 TMG.

Plath

|

597

§ 28 BDSG | Datenverarbeitung nicht-öffentlicher Stellen 141 Im Falle mehrerer aufeinanderfolgender Übermittlungen einer Datenzusam-

menfassung stellt sich die Frage, ob alle Glieder der Übermittlungskette aus der Werbung hervorgehen müssen. Dagegen spricht jedoch nicht nur der Wortlaut der Norm, sondern auch ihr Sinn und Zweck, dem Widerspruchsrecht des Betroffenen zur Durchsetzung zu verhelfen: Kennt der Betroffene den Ursprung der Übermittlung, so kann er bei der ersterhebenden Stelle von seinem Auskunftsanspruch Gebrauch machen und damit nach und nach die gesamte Kette nachvollziehen. e) Praktische Ausgestaltung

142 Keine Aussage trifft Abs. 3 Satz 4 Halbs. 2 bezüglich der konkreten Anforderun-

gen an die Ausgestaltung der Hinweispflicht. Aus dem Wortlaut geht lediglich hervor, dass die Stelle, die die Daten als Erste erhoben hat, aus der Werbung hervorzugehen hat. Folgt man streng dem Wortlaut, so würde dies bedeuten, dass die Angabe der ersterhebenden Stelle der Werbung selbst anhaften muss, und somit jede Werbung einzeln mit der Herkunftsangabe zu bedrucken ist, was in der Praxis mit einem ganz erheblichen und nicht zu vertretenen Aufwand verbunden wäre. Naheliegender ist deshalb eine Auslegung des Abs. 3 Satz 4 Halbs. 2 dahingehend, dass die Angabe mit der Werbung lediglich im Zusammenhang stehen muss. Ausreichend ist damit ein Hinweis auf einer Beilage oder in einem Anschreiben. Die Angabe muss dabei zwar selbstverständlich sichtbar sein, aber nicht in sonstiger Weise, z.B. durch Fettdruck oder Unterstreichung, deutlich hervorgehoben werden, da Abs. 3 Satz 4 keine Warn- oder Belehrungs-, sondern nur eine Informationsfunktion hat. Fraglich ist zudem, ob ein Hinweis auf dem Umschlag bzw. dem Etikett der Werbung ausreichend ist. Angesichts der Tatsache, dass die Verpackung einer Werbung in der Regel unbeachtet weggeworfen wird, scheint diese Praxis zumindest fragwürdig. Für ihre Zulässigkeit spricht allerdings, dass auch eine unerwünschte Werbung mit dem dazugehörigen Anschreiben in vielen Fällen unbesehen entsorgt wird. Die Angabe der ersterhebenden Stelle kann darüber hinaus auch im Zusammenhang mit dem ohnehin verpflichtenden Hinweis auf das Widerspruchsrecht gemäß Abs. 4 verbunden werden. 6. Werbung für fremde Angebote (Abs. 3 Satz 5)

143 Abs. 3 Satz 5 erlaubt der verantwortlichen Stelle, Daten auch zu Zwecken der

Werbung für fremde Angebote zu nutzen. Der häufigste (und wohl auch intendierte)1 Anwendungsfall dieser Norm ist die sog. „Beipack-“ oder „Empfehlungswerbung“, bei der ein Unternehmen seiner eigenen Werbung die Werbung eines Drittunternehmens – oftmals gegen eine finanzielle Beteiligung an den Versandkosten – beilegt oder die Produkte eines Dritten seinen Kunden, 1 BT-Drucks. 16/13657, S. 19; Bergmann/Möhrle/Herb, § 28 BDSG Rz. 391.

598

|

Plath

Datenerhebung und -speicherung für eigene Geschäftszwecke | § 28 BDSG

z.B. im Rahmen eines Empfehlungsschreibens, empfiehlt1. Ein klassisches Beispiel für diese Praxis der Beipackwerbung ist das Beifügen von Flyern eines Drittanbieters zu dem eigenen Katalogversand. Die Werbung für fremde Zwecke muss jedoch nicht zwingend in Kombination mit eigener Werbung erfolgen, sondern kann auch isoliert erfolgen oder z.B. in Kombination mit der Zusendung bestellter Waren. In diesem letztgenannten Fall ist allerdings schon fraglich, ob überhaupt eine Datenverwendung zur Werbezwecken vorliegt, da die Daten des Betroffenen primär zum Zweck der Warenzustellung, und eben nicht in erster Linie zur Werbeansprache verwendet werden. a) Anwendungsvoraussetzungen Die Erlaubnisnorm beschränkt sich ausdrücklich auf die Verwendungsform der 144 Nutzung und stellt demnach keine Erhebungs- oder Übermittlungs-, sondern lediglich eine Nutzungsbefugnis dar2. Damit hat sich die verantwortliche Stelle auf die Verwendung solcher Daten zu beschränken, die sie bereits rechtmäßig erhoben hat3. Zudem darf sie die Daten nicht an den Fremdwerbenden übermitteln, sondern muss die Nutzung (bspw. die Versendung der Werbung) selbst oder durch einen im Wege der Auftragsdatenverarbeitung (§ 11) beauftragten Dienstleister (z.B. Lettershops, s. Rz. 148) vornehmen4. Fraglich ist, wie die Formulierung „unabhängig vom Vorliegen der Vorausset- 145 zungen des Satzes 2“ zu verstehen ist. Es erscheint nämlich zunächst paradox, dass die verantwortliche Stelle weitreichendere Befugnisse haben soll, wenn sie für fremde Zwecke wirbt, als wenn sie Eigenwerbung durchführt und an die Voraussetzungen des Abs. 3 Satz 2 gebunden ist. Der eindeutige Wortlaut lässt indes nach der hier vertretenen Ansicht nur den Rückschluss zu, dass der gesamte Satz 2, der eine Beschränkung auf Listendaten normiert, bei der Fremdwerbung nicht berücksichtigt werden muss. Damit ist die Nutzung aller erhobenen personenbezogenen Daten für fremde Werbezwecke zulässig, unabhängig davon, ob es sich um Listendaten handelt und ob die Daten als Liste oder in sonstiger Form zusammengefasst sind5. Durch dieses erstaunliche Ergebnis ergeben sich für die Praxis jedoch interessante, wenn auch fragwürdige Gestaltungsspielräume, insbesondere innerhalb von Konzernen. So könnten sich mehrere Unternehmen darauf verständigen, in Zukunft jeweils Werbung für das andere (Kon1 BT-Drucks. 16/13657, S. 19. 2 Bergmann/Möhrle/Herb, § 28 BDSG Rz. 398; a.A. bezüglich des Befugnischarakters ohne Begründung Däubler/Klebe/Wedde/Weichert/Wedde, § 28 BDSG Rz. 114, der den Abs. 3 Satz 5 lediglich für eine Durchführungsnorm hält. 3 So auch Däubler/Klebe/Wedde/Weichert/Wedde, § 28 BDSG Rz. 114; Taeger/Gabel/ Taeger, § 28 BDSG Rz. 202. 4 Bergmann/Möhrle/Herb, § 28 BDSG Rz. 398. 5 So auch Bergmann/Möhrle/Herb, § 28 BDSG Rz. 396; Rudolph, CR 2010, 257 (261); Drewes, CR 2010, 759 (764); a.A. wohl Simitis/Simitis, § 28 BDSG Rz. 244.

Plath

|

599

§ 28 BDSG | Datenverarbeitung nicht-öffentlicher Stellen zern-)Unternehmen zu machen, um hierfür weitreichendere Daten, insbesondere zu den Konsumgewohnheiten der Betroffenen, nutzen zu können, die über die inhaltlich beschränkten Listendaten hinaus gehen. b) Transparenzgebot 146 Darüber hinaus hat der Gesetzgeber die Schutzwürdigkeit des Betroffenen da-

durch berücksichtigt, dass er ein Transparenzgebot normiert hat. Danach muss „bei der Ansprache zum Zwecke der Werbung die für die Nutzung der Daten verantwortliche Stelle eindeutig erkennbar“ sein. Verantwortliche Stelle ist der Verwender der Daten, nicht jedoch der Dritte, dessen Produkte z.B. im Wege der Beipack- bzw. Empfehlungswerbung beworben werden, denn eine eigenständige Verwendung der Daten durch den Dritten findet bei dieser Werbeform nicht statt. Ziel dieser Aufklärungspflicht ist die Information des Betroffenen darüber, wer für die Verwendung seiner Daten datenschutzrechtlich verantwortlich ist, und an wen demzufolge ein eventueller Widerspruch nach Abs. 4 zu richten ist1. Es stellt sich jedoch die Frage, wie die Angabe zu erfolgen hat, damit die verantwortliche Stelle „eindeutig erkennbar ist.“ Nach der Gesetzesbegründung ist dies der Fall, wenn „der Betroffene die verantwortliche Stelle ohne Zweifel und mit seinen Kenntnissen und Möglichkeiten identifizieren kann. Eine Erkennbarkeit ‚bei der Ansprache‘ ist nicht gegeben, wenn der Betroffene anhand eines Kennzeichens oder einer Nummer lediglich die Möglichkeit erhält, durch weiteres Tätigwerden die Stelle zu identifizieren. Einer eindeutigen Erkennbarkeit bei der Ansprache genügt nur eine Bezeichnung im Klartext“2. Die verantwortliche Stelle ist mit anderen Worten nur dann erkennbar, wenn sie ohne Weiteres und unmittelbar zu identifizieren ist. Erforderlich ist damit jedenfalls die Angabe der genauen Bezeichnung (Name, Firma) der verantwortlichen Stelle. Teilweise wird vertreten, dass darüber hinaus auch eine ladungsfähige Adresse angegeben werden muss3. Hierfür gibt es jedoch keinen Anhaltspunkt im Wortlaut der Norm, zumal mit Kenntnis der Bezeichnung das Herausfinden der weiteren Angaben unschwer möglich ist. Darüber hinaus sind Anforderungen an die Angabe geringer als im Rahmen des Satz 4, wonach die verantwortliche Stelle sogar „eindeutig hervorgehen“ muss (s. Rz. 140).

147 Die Angabe der verantwortlichen Stelle kann zusammen mit dem ohnehin ver-

pflichtenden Hinweis zum Widerspruchsrecht gemäß Abs. 4 erfolgen, ersetzt diesen jedoch nicht4.

1 Däubler/Klebe/Wedde/Weichert/Wedde, § 28 BDSG Rz. 115; Gola/Schomerus, § 28 BDSG Rz. 64. 2 BT-Drucks. 16/13657, S. 19. 3 So z.B. Bergmann/Möhrle/Herb, § 28 BDSG Rz. 394. 4 Bergmann/Möhrle/Herb, § 28 BDSG Rz. 395.

600

|

Plath

Datenerhebung und -speicherung für eigene Geschäftszwecke | § 28 BDSG

c) Letter-Shop-Verfahren In der Praxis ist die Werbung im Wege des sog. Letter-Shop-Verfahrens sehr 148 verbreitet. Dabei versendet ein Dienstleister, nämlich der Letter-Shop, Werbemittel seiner Auftraggeber (z.B. Versandhäuser), die ihm von diesen bereitgestellt wurden. Die Versendung erfolgt unter Verwendung von personenbezogenen Daten, die der Letter-Shop entweder von dem Werbetreibenden selbst, oder aber von dritter Stelle, z.B. von Verlagen oder Adresshändlern, erhalten hat. Zwischen dem „Datenlieferanten“ und dem Letter-Shop wird ein Auftragsdatenverarbeitungsvertrag gemäß § 11 geschlossen, so dass der Letter-Shop nicht als verantwortliche Stelle i.S.d. § 28 angesehen werden kann (s. die diesbezügliche Komm. zu § 11 BDSG Rz. 33)1. Bei der Verwendung von Daten eines Dritten wird auf diesem Wege sichergestellt, dass der Werbetreibende keinen Zugriff auf die Daten des Dritten erhält. Damit kommt diese Konstruktion ohne Datenübermittlung aus2. Dennoch kann die werbende Stelle die personenbezogenen Daten des Betroffenen erfahren, nämlich dann, wenn dieser auf die Werbung reagiert. Damit ist das Letter-Shop-Verfahren zur Kundenneugewinnung sehr attraktiv. In dieser Kenntniserlangung durch den Werbetreibenden könnte jedoch eine unzulässige Datenübermittlung gesehen werden. Doch auch wenn dieses Verfahren letztlich zu dem Ergebnis führt, dass der Werbetreibende die Daten des Betroffenen erhält, so kann es dennoch nicht mit einer direkten Datenübermittlung von der verantwortlichen Stelle an den Werbenden verglichen werden. Der Vorgang der Datenweitergabe erfolgt in mehreren Schritten und vor allem nicht direkt durch den Adressinhaber. Vielmehr ist im Rahmen des Letter-Shop-Verfahrens der Betroffene selbst in die Datenweitergabe eingeschaltet, sie erfolgt auf dessen Initiative, nämlich dadurch, dass der Betroffene selbst auf die Werbung reagiert. Auf dieses Verhalten hat der Adressinhaber keinen Einfluss. Demnach liegt keine Datenübermittlung vom Adressinhaber, sondern vielmehr vom Betroffenen (mit Einwilligung) an den Werbenden vor, so dass das Letter-Shop-Verfahren aufgrund der Regelung des Abs. 3 Satz 5 auch im Hinblick auf § 28 unbedenklich ist3. 7. Interessenabwägung (Abs. 3 Satz 6) Gemäß Abs. 3 Satz 6 ist eine Datenverarbeitung oder -nutzung nach Maßgabe 149 der Sätze 2–4 nur zulässig, wenn ihr keine schutzwürdigen Interessen des Betroffenen entgegenstehen. Der Gesetzgeber verlangt damit eine Interessen1 Vgl. Gola/Schomerus, § 11 BDSG Rz. 7, 11; im Ergebnis ebenso Däubler/Klebe/Wedde/ Weichert/Wedde, § 11 BDSG Rz. 12, unter der Prämisse, dass der Letter-Shop keine eigenständige Verfügungsbefugnis hat, und demnach keine Funktionsübertragung erfolgt. 2 Bergmann/Möhrle/Herb, § 28 BDSG Rz. 401. 3 Ebenso Gola/Schomerus, § 28 BDSG Rz. 58; Bergmann/Möhrle/Herb, § 28 BDSG Rz. 401; Plath/Frey, BB 2009, 1762 (1764).

Plath

|

601

§ 28 BDSG | Datenverarbeitung nicht-öffentlicher Stellen abwägung, bei der insbesondere die Art bzw. Sensibilität der Daten, der intendierte Zweck sowie die Zugehörigkeit des Betroffenen zu einer besonders schutzwürdigen Personengruppe von Bedeutung sein können. 150 Besondere Vorsicht ist demnach bspw. dann zu üben, wenn Daten verwendet

werden, die einen Rückschluss auf Krankheiten oder Behinderungen, Straftaten bzw. Ordnungswidrigkeiten oder die wirtschaftlichen Verhältnisse des Betroffenen zulassen. Hier stellt sich die Frage, wie aussagekräftig Adressen sind1. So lässt bspw. die Anschrift eines Krankenhauses oder einer JVA den Schluss zu, dass der Betroffene krank bzw. inhaftiert ist2. Dieser Umstand wird zwar in der Abwägung Berücksichtigung finden müssen, doch ist in ihm kein absoluter Ausschlussgrund zu sehen. Vielmehr wird die Zulässigkeit einer solchen Datenverwendung von weiteren Faktoren beeinflusst werden.

151 Insbesondere der Werbezweck kann sich auf die Schutzwürdigkeit des Betroffe-

nen auswirken. So wird bspw. Werbung für Möbel oder Lebensmittel in der Regel weniger sensibel sein als Werbung für Suchtheilungsanstalten oder Erotikartikel. Schließlich ist auch die Zugehörigkeit des Betroffenen zu einer bestimmten Personengruppe im Rahmen der Abwägung zu berücksichtigen. So sind z.B. die Interessen Minderjähriger als besonders schutzwürdig einzuschätzen. Darüber hinaus gilt das bezüglich der Abwägungskriterien zu Abs. 1 Satz 1 Nr. 2 und 3 sowie Abs. 2 Nr. 2 Gesagte (s. Rz. 53 f., 82 ff., 95 f.).

152 Umstritten ist, ob sich das Gebot der Interessenabwägung nach Abs. 3 Satz 6

nur auf die Sätze 2–4 (Verwendung von Listendaten zu eigenen Werbezwecken) bezieht, oder ob eine Interessenabwägung vielmehr auch bei einer Verwendung i.S.d. anderen Erlaubnistatbestände des Abs. 3 zu erfolgen hat. So stellt sich zunächst die Frage, ob Satz 6 auch auf Satz 1 (Datenverwendung auf Grundlage einer Einwilligung) anwendbar ist. Da die Wirksamkeit einer Einwilligung jedoch nie von einer weiteren Interessenabwägung abhängig sein kann, ist eine Anwendbarkeit des Satz 6 auf Satz 1 ausgeschlossen3. Fraglich ist allerdings, ob Satz 6 auch auf die Nutzung nach Satz 5 (Fremdwerbung) anzuwenden ist. Teilweise wird vertreten, dass das Erfordernis einer Interessenabwägung Ausfluss des Grundrechts auf informationelle Selbstbestimmung sei und es demnach allgemeine Voraussetzung für eine zulässige Datenverwendung sei, so dass in der fehlenden Erwähnung von Satz 5 ein Redaktionsversehen zu sehen sei4. Dem muss jedoch entgegengehalten werden, dass das Gesetz, und insbesondere § 28 (z.B. in Abs. 1 Satz 1 Nr. 2 und 3 sowie in Abs. 2 Nr. 2), vielerorts eine Berücksichtigung der Betroffeneninteressen ausdrücklich anordnet, so dass nicht 1 Vgl. Simitis/Simitis, § 28 BDSG Rz. 245. 2 Vgl. grundsätzlich zur besonderen Schutzbedürftigkeit von Adressen von Justizvollzugsanstalten AG Bremen v. 27.5.2011 – 10 C 221/11. 3 Bergmann/Möhrle/Herb, § 28 BDSG Rz. 406. 4 So z.B. Bergmann/Möhrle/Herb, § 28 BDSG Rz. 406 m.w.N.

602

|

Plath

Datenerhebung und -speicherung für eigene Geschäftszwecke | § 28 BDSG

von einem allgemeingültigen datenschutzrechtlichen Grundsatz der Interessenabwägung ausgegangen werden kann. Darüber hinaus gibt es keine Anhaltspunkte für ein dahingehendes Redaktionsversehen des Gesetzgebers1. Demzufolge ist die Rechtmäßigkeit einer Datennutzung zu fremden Werbezwecken nicht vom Ergebnis einer Interessenabwägung nach Satz 6 abhängig. 8. Zweckbindung (Abs. 3 Satz 7) Eine Datenübermittlung nach Maßgabe von Abs. 3 Satz 1 (Einwilligung), Satz 2 153 (Verwendung von Listendaten für eigene Werbung) und Satz 4 (Übermittlung zu Werbezwecken) unterliegt gemäß Abs. 3 Satz 7 einer Zweckbindung. Der Empfänger darf demnach die Daten nur zu den Zwecken verwenden, zu denen die Übermittlung erfolgte. Dieser Zweck ist vor der Übermittlung festzulegen und dem Empfänger mitzuteilen2. Darüber hinaus gilt das zu Abs. 1 Satz 2 Gesagte (s. Rz. 88 ff.).

V. Anforderungen an die Einwilligung (Abs. 3a) Eine Datenverwendung zu Zwecken der Werbung oder des Adresshandels ist 154 gemäß Abs. 3 Satz 1 grundsätzlich nur mit Einwilligung des Betroffenen erlaubt3. Die Voraussetzungen für eine wirksame Einwilligung sind generell in § 4a geregelt (zu den Voraussetzungen im Einzelnen vgl. Komm. zu § 4a BDSG Rz. 2, 23 ff.). Für die Einwilligung in eine Datenverwendung zu Zwecken der Werbung und des Adresshandels hat der Gesetzgeber jedoch in Abs. 3a eine Spezialregelung getroffen. Zwar ergibt sich die Beschränkung des Anwendungsbereichs auf die Fälle des Abs. 3 (Nutzung nur für Werbe- und Adresshandelszwecke) nicht aus dem Wortlaut des Abs. 3a, doch wird dies aufgrund der systematischen Stellung der Norm allgemein angenommen4. Es drängt sich die Frage auf, in welchem Verhältnis die Regelung des Abs. 3a 155 zum Grundtatbestand des § 4a steht. In Ausnahme zum grundsätzlichen Schriftformerfordernis des § 4a Abs. 1 Satz 3 normiert Abs. 3a Voraussetzungen, unter denen eine Einwilligung auch ohne Einhaltung des Formerfordernisses wirksam abgegeben werden kann. Problematisch ist jedoch, dass eine solche Ausnahme auch in § 4a Abs. 1 Satz 3 vorgesehen ist. Danach kann auf die 1 So im Ergebnis auch Däubler/Klebe/Wedde/Weichert/Wedde, § 28 BDSG Rz. 116; Taeger/Gabel/Taeger, § 28 BDSG Rz. 203; Simitis/Simitis, § 28 BDSG Rz. 245. 2 Taeger/Gabel/Taeger, § 28 BDSG Rz. 204. 3 Vgl. hierzu auch die Stellungnahme der Artikel-29-Datenschutzgruppe zur „EASA/IAB Best Practice Recommendation on Online Behavioural Advertising“ v. 8.12.2011. 4 So auch Gola/Schomerus, § 28 BDSG Rz. 45; Däubler/Klebe/Wedde/Weichert/Wedde, § 28 BDSG Rz. 119; Eckhardt/Rheingans, ZD 2013, 318 (321); im Ergebnis ebenso Drewes, CR 2010, 759 (764).

Plath

|

603

§ 28 BDSG | Datenverarbeitung nicht-öffentlicher Stellen Schriftform verzichtet werden, wenn „wegen besonderer Umstände eine andere Form angemessen ist“. 156 Das Verhältnis des Abs. 3a zu § 4a Abs. 1 Satz 3 lässt sich auf zwei Arten deuten:

– Denkbar ist zum einen, dass Abs. 3a zusätzlich zu § 4a Abs. 1 Satz 3 eingreift1. Für den Fall, dass die Schriftform gemäß § 4a Abs. 1 Satz 3 wegen besonderer Umstände entbehrlich ist, müssen bei einer intendierten Verwendung zu Werbezwecken darüber hinaus auch die Anforderungen des Abs. 3a (schriftliche Bestätigung bzw. Protokollierung) berücksichtigt werden. Diese Interpretation entspräche also einem Rechtsfolgenverweis. – Ebenso vorstellbar ist zum anderen eine Interpretation des Abs. 3a dahingehend, dass er einen gegenüber § 4a Abs. 1 Satz 3 abgeschlossenen und eigenständigen Ausnahmetatbestand darstellt2. Der Verweis auf die Grundnorm würde in diesem Fall lediglich verdeutlichen, dass grundsätzlich vom Formerfordernis auszugehen ist, seine Einhaltung jedoch unter den Voraussetzungen des Abs. 3a entbehrlich ist. Diese Auslegung käme einem Rechtsgrundverweis gleich. 157 Der Gesetzeswortlaut gibt keinen Hinweis auf die richtige Interpretation: Die

Formulierung „nach § 4a Absatz 1 Satz 3“ kann sich sowohl auf das vorangestellte Wort „Einwilligung“ als auch auf die nachgestellte Formulierung „in anderer Form als der Schriftform“ beziehen. Für eine Auslegung als eigenständigen Ausnahmetatbestand spricht, dass es nicht ersichtlich ist, warum gerade die Einwilligung in eine Datenverwendung zu Werbezwecken an strengere Anforderungen geknüpft werden soll, während bei anderen Verwendungsformen nur § 4a berücksichtigt werden muss3. Die Gesetzesbegründung macht jedoch deutlich, dass der Gesetzgeber die Anforderungen an die Entbehrlichkeit der Schriftform zum Schutz des Betroffenen verschärfen wollte, und dass Abs. 3a dahingehend ausgelegt werden muss, dass er zusätzlich zu den Erfordernissen des § 4a Abs. 1 Satz 3 greift. Nach dem Willen des Gesetzgebers „unterliegt die Einwilligung der allgemeinen Form des § 4a Abs. 1 Satz 3 des Bundesdatenschutzgesetzes, d.h., die Einwilligung bedarf der Schriftform, soweit nicht wegen besonderer Umstände eine andere Form angemessen ist. Soweit eine andere Form angemessen ist, geht es um ein Abweichen von der Erklärungsform“4. Diese eindeutige Formulierung lässt keinen anderen Schluss zu. Dies bedeutet für die Praxis, dass die Bestätigung oder Protokollierung einer nicht-schriftlich erteilten Einwilligung für sich genommen noch nicht zwangsläufig zu ihrer Wirksamkeit führt. Vielmehr muss sich die verantwortliche Stelle im Vorfeld vergewissern, dass die Schriftform 1 Sowohl Taeger/Gabel/Taeger, § 28 BDSG Rz. 166; Gola/Schomerus, § 28 BDSG Rz. 44; Bergmann/Möhrle/Herb, § 28 BDSG Rz. 414. 2 So z.B. Däubler/Klebe/Wedde/Weichert/Wedde, § 28 BDSG Rz. 119; Simitis/Simitis, § 28 BDSG Rz. 219. 3 Ebenso Gola/Schomerus, § 28 BDSG Rz. 45. 4 BT-Drucks. 16/12011, S. 33.

604

|

Plath

Datenerhebung und -speicherung für eigene Geschäftszwecke | § 28 BDSG

nach Maßgabe des § 4a Abs. 1 Satz 3 entbehrlich ist (vgl. zu den Anforderungen an die Schriftform der Einwilligung Komm. zu § 4a BDSG Rz. 12 ff.). 1. Schriftliche Bestätigung (Abs. 3a Satz 1 Halbs. 1) Ist die Einhaltung der Schriftform einer Einwilligung nach Maßgabe des § 4a 158 Abs. 1 Satz 3 entbehrlich, so ist gemäß Abs. 3a Satz 1 Halbs. 1 Voraussetzung für eine wirksame Einwilligung in eine Datenverwendung zu Werbezwecken, dass die Einwilligung von der verantwortlichen Stelle schriftlich bestätigt wird. Vom Anwendungsbereich dieser Norm sind grundsätzlich alle nicht-schriftlichen Formen der Einwilligung (insbesondere mündlich erklärte Einwilligungen) umfasst. Fraglich ist allerdings, ob auch elektronische Einwilligungen bereits allein durch ihre schriftliche Bestätigung formwirksam werden. Denn der 2. Halbs. von Abs. 3a Satz normiert besondere Protokollierungsanforderungen als Voraussetzung für die Wirksamkeit elektronisch abgegebener Einwilligungen. Es stellt sich damit die Frage, ob Abs. 3a Satz 1 Halbs. 2 bezüglich Einwilligungen in elektronischer Form Sperrwirkung entfaltet und somit stets eine zusätzliche Protokollierung erforderlich ist. Der Wortlaut des Halbs. 2 ist diesbezüglich nicht eindeutig. Allerdings stellt die Protokollierungsmöglichkeit nach Halbs. 2 eine Erleichterung im Vergleich zur schriftlichen Bestätigung gemäß Halbs. 1 dar. Wenn der Gesetzgeber also diese „einfache“ Wirksamkeitsvoraussetzung für ausreichend erachtet hat, so muss eine nach Halbs. 1 schriftlich bestätigte elektronische Einwilligung erst recht wirksam sein1. Demzufolge ist Abs. 3a Satz 1 Halbs. 1 auf alle nicht-schriftlichen Formen inklusive der elektronischen Form anwendbar2. Die verantwortliche Stelle hat damit die Wahl, ob sie eine in elektronischer Form abgegebene Einwilligung nach Abs. 3a Satz 1 schriftlich bestätigt, oder ob sie die Einwilligung i.S.v. Abs. 3 Satz 2 protokolliert. Nach der Gesetzesbegründung soll Sinn und Zweck der Bestätigungspflicht 159 sein, dass der Betroffene kontrollieren kann, ob die verantwortliche Stelle seine Einwilligung, insbesondere ihre Reichweite oder eventuelle Beschränkungen, korrekt dokumentiert hat3. Darüber hinaus sollen auch die zusätzlichen Informations- und Warnfunktionen der Schriftform ersetzt werden4. Dementsprechend muss die schriftliche Bestätigung den Inhalt der Einwilligung wiedergeben und all die Angaben beinhalten, die zum Nachweis, zur Information und zur Warnung des Betroffenen notwendig sind5. So muss die verantwortliche Stelle bestätigen, welche Daten in welchem Umfang verwendet werden dürfen. 1 2 3 4 5

So auch Taeger/Gabel/Taeger, § 28 BDSG Rz. 172; Simitis/Simitis, § 28 BDSG Rz. 222. So im Ergebnis auch Däubler/Klebe/Wedde/Weichert/Wedde, § 28 BDSG Rz. 121. Vgl. BT-Drucks. 16/12011, S. 33. BT-Drucks. 16/12011, S. 33. So auch Bergmann/Möhrle/Herb, § 28 BDSG Rz. 419; Däubler/Klebe/Wedde/Weichert/ Wedde, § 28 BDSG Rz. 126.

Plath

|

605

§ 28 BDSG | Datenverarbeitung nicht-öffentlicher Stellen Darüber hinaus muss auch der genaue Verwendungszweck festgehalten werden, insbesondere, ob die Verwendung zur eigenen oder fremden Werbung erfolgen soll und ob bzw. an wen die Daten übermittelt werden dürfen1. Eine genaue Dokumentation der Umstände der Einwilligung im Rahmen der Bestätigung liegt nicht zuletzt auch im Interesse der verantwortlichen Stelle, die im Streitfall die Pflicht hat, eine wirksame Einwilligung nachzuweisen2. 160 Unklar ist, zu welchem Zeitpunkt die Bestätigung zu erfolgen hat. Der Wortlaut

des Gesetzes enthält hierüber keine Angabe. Aus dem Sinn und Zweck der Bestätigungspflicht, dem Betroffenen eine Kontrollmöglichkeit über die Verwendung seiner Daten einzuräumen, ergibt sich jedoch, dass die Bestätigung zumindest im nahen zeitlichen Zusammenhang mit der ersten Werbemaßnahme erfolgen sollte. Nach der hier vertretenen Ansicht muss die Bestätigung damit innerhalb von zwei Wochen nach Eingang der Einwilligung, spätestens zeitgleich mit der ersten Werbemaßnahme, schriftlich bestätigt werden3.

161 Umstritten ist schließlich, in welcher Form die Bestätigung erteilt werden muss4.

Nach dem Wortlaut des Abs. 3a Satz 1 Halbs. 1 ist die verantwortliche Stelle dazu verpflichtet, die Einwilligung „schriftlich zu bestätigen“. Es stellt sich also die Frage, ob mit dieser Formulierung die strenge Schriftform (§ 126 BGB) gefordert wird, oder ob eine Bestätigung in elektronischer (§ 126a BGB) oder Textform (§ 126b) ausreichend ist. In der Praxis würde ein strenges Schriftformerfordernis zu erheblichen – nicht zuletzt auch finanziellen – Nachteilen führen5. Der Wortlaut des Abs. 3a Satz 1 Halbs. 1 ähnelt zunächst der Formulierung des § 126 BGB, der auf die „schriftliche Form“ Bezug nimmt. Zugleich scheint es auf den ersten Blick nur konsequent, wenn zumindest in der Bestätigung das strenge Schriftformerfordernis des § 4a Abs. 1 Satz 3 eingehalten wird6. Dennoch muss Abs. 3a Satz 1 Halbs. 1 so verstanden werden, dass auch eine Bestätigung in elektronischer oder Textform ausreichend sein muss7. Der Grund hierfür ist, dass die Bestätigung nach Abs. 3a Satz 1 Halbs. 1 nicht die eigentliche Einwilligung ersetzt, da diese vorab vom Betroffenen erteilt werden muss. Eines Übereilungsschutzes, wie er durch die Einhaltung der Schriftform gewährleistet werden soll, bedarf es nach Erklärung der Einwilligung nicht mehr. Vielmehr hat die Bestätigungspflicht, wie oben dargestellt, eine Kontroll- und Informationsfunktion, der Genüge getan wird, sobald der Betroffene eine Nachricht in 1 Bergmann/Möhrle/Herb, § 28 BDSG Rz. 419; Däubler/Klebe/Wedde/Weichert/Wedde, § 28 BDSG Rz. 125. 2 Simitis/Simitis, § 28 BDSG Rz. 221. 3 So im Ergebnis auch Simitis/Simitis, § 28 BDSG Rz. 221; Pfeifer, MMR 2010, 524 (525). 4 Ausführlich hierzu Lixfeld, RDV 2010, 163. 5 Vgl. Lixfeld, RDV 2010, 163. 6 So Taeger/Gabel/Taeger, § 28 BDSG Rz. 167, der dieses Ergebnis jedoch stark kritisiert; im Ergebnis ebenso und kritisch Lixfeld, RDV 2010, 166. 7 Ebenso Plath/Frey, BB 2009, 1762 (1766); Rudolph, CR 2010, 257 (261).

606

|

Plath

Datenerhebung und -speicherung für eigene Geschäftszwecke | § 28 BDSG

elektronischer oder Textform erhält1. Darüber hinaus würde eine Schriftformverpflichtung den Betroffenen nicht schützen, sondern vielmehr unter Umständen sogar zu einer Verwendung zusätzlicher Daten und somit zu einem erweiterten Eingriff in den Schutzbereich der informationellen Selbstbestimmung führen. Denn die verantwortliche Stelle müsste, um bspw. eine Einwilligung in die Verwendung einer E-Mail Adresse schriftlich zu bestätigen, zusätzlich die Anschriftsdaten des Betroffenen erheben, obwohl sie an diesen Daten ggf. gar nicht interessiert ist. Schließlich würde die Verpflichtung zur Einhaltung der Schriftform zu einem erheblichen logistischen und finanziellen Aufwand führen, der nicht zu rechtfertigen ist2. Damit würde es für die verantwortliche Stelle kostengünstiger und einfacher sein, eine Datenverwendung durch die Erlaubnistatbestände des Abs. 3 zu legitimieren, als eine Einwilligung des Betroffenen einzuholen, was nicht i.S.d. Betroffenenschutzes ist, der am ehesten durch die Einholung einer Einwilligung gewährleistet wird. Demnach kann nach der hier vertretenen Ansicht die Bestätigung sowohl in Schriftform als auch in elektronischer oder Textform erfolgen3. 2. Protokollierung (Abs. 3a Satz 1 Halbs. 2) In Abs. 3a Satz 1 Halbs. 2 hat der Gesetzgeber die Anforderungen an die Wirk- 162 samkeit elektronisch (z.B. per E-Mail oder SMS) abgegebener Einwilligungen herabgesenkt. Die Pflicht zur schriftlichen Bestätigung entfällt, wenn die verantwortliche Stelle die Einwilligung protokolliert und dem Betroffenen die Möglichkeit einräumt, die Einwilligung jederzeit abzurufen und zu widerrufen. Damit sollte eine Angleichung an die Regelungen des § 94 TKG und des § 13 Abs. 2 TMG erfolgen, die ähnliche Anforderungen an elektronisch erteilte Einwilligungen stellen4. Die verantwortliche Stelle muss insbesondere protokollieren, dass, wann (Tag 163 und Uhrzeit) und wie (E-Mail, Klick-Bestätigung, SMS) der Betroffene eingewilligt hat. Darüber hinaus muss auch der Inhalt der Einwilligung, also Zweck und Umfang der Datenverwendung, im Protokoll festgehalten werden5. Eine genaue Protokollierung des Einwilligungsinhalts empfiehlt sich nicht zuletzt auch im Hinblick auf die Beweispflicht der verantwortlichen Stelle. 1 So auch Bergmann/Möhrle/Herb, § 28 BDSG Rz. 420; Taeger/Gabel/Taeger, § 28 BDSG Rz. 169. 2 Ebenso Taeger/Gabel/Taeger, § 28 BDSG Rz. 168. 3 Ebenso Bergmann/Möhrle/Herb, § 28 BDSG Rz. 420; zum selben Ergebnis kommt Lixfeld, RDV 2010, 163. 4 BT-Drucks. 16/12011, S. 33; Taeger/Gabel/Taeger, § 28 BDSG Rz. 171; Simitis/Simitis, § 28 BDSG Rz. 222; Däubler/Klebe/Wedde/Weichert/Wedde, § 28 BDSG Rz. 127; Bergmann/Möhrle/Herb, § 28 BDSG Rz. 422. 5 Bergmann/Möhrle/Herb, § 28 BDSG Rz. 423; Däubler/Klebe/Wedde/Weichert/Wedde, § 28 BDSG Rz. 128.

Plath

|

607

§ 28 BDSG | Datenverarbeitung nicht-öffentlicher Stellen 164 Die verantwortliche Stelle muss darüber hinaus sicherstellen, dass der Betroffene

jederzeit den Inhalt der Einwilligung, insbesondere ihren Umfang und Zweck, abrufen kann. Dem Betroffenen müssen die Informationen angegeben werden, die er für einen wirksamen Widerruf der Einwilligung braucht. Dabei muss zum einen darauf geachtet werden, dass der Einwilligungsinhalt ausschließlich vom Betroffenen eingesehen werden kann. In der Regel wird dies mittels eines Logins (Benutzername und Passwort) gewährleistet1. Zugleich darf die Abrufmöglichkeit aber nicht dazu führen, dass die verantwortliche Stelle zusätzliche Daten verwendet. So muss bspw. dafür gesorgt werden, dass ein Abruf der Einwilligung auch dann möglich ist, wenn der Betroffene kein eigenes Online-Konto bei der verantwortlichen Stelle unterhält. Ein Ausweg wäre z.B. die Einräumung der Möglichkeit, sich den Inhalt der Einwilligung per E-Mail zusenden zu lassen2. In der Praxis empfiehlt sich deshalb – nicht zuletzt auch im Hinblick auf die Ausgestaltung der Einwilligungserklärung als Double opt-in (s. ausführlich Komm. zu § 4a BDSG Rz. 56 ff.) – die Versendung einer automatischen E-Mail an den Betroffenen, welche entweder den Text der Einwilligungserklärung oder einen Link, über den die Erklärung abgerufen werden kann, beinhaltet3. Mit dieser Herangehensweise wäre zum einen den Anforderungen an die jederzeitige Abrufbarkeit genüge getan. Zum anderen entfiele auch die Notwendigkeit einer Protokollierung der Einwilligungserteilung, da nach der hier vertretenen Ansicht eine E-Mail-Bestätigung als schriftliche Bestätigung ausreicht (s. Rz. 161). Mit Versendung der E-Mail ist der Pflicht zur Abrufermöglichung ausreichend genüge getan, da der Betroffene sich durch diese E-Mail jederzeit über die abgegebene Einwilligung informieren kann.

165 Ungeachtet dessen steht es der verantwortlichen Stelle frei, die Wirksamkeit der

Einwilligung nicht durch eine Protokollierung nach Halbs. 2, sondern im Wege der schriftlichen Bestätigung nach Halbs. 1 herbeizuführen (s. Rz. 158)4. 3. Drucktechnische Hervorhebung bei gebündelten Erklärungen (Abs. 3a Satz 2)

166 Schließlich stellt Abs. 3a spezielle Anforderungen an die Wirksamkeit einer

Einwilligung in die Datenverwendung zu Werbezwecken, die zusammen mit anderen Erklärungen und schriftlich abgegeben wurde. Eine solche Einwilligung ist nur wirksam, wenn der Betroffene durch drucktechnische Hervorhebung auf die Erteilung der Einwilligung aufmerksam gemacht wird. Da der Wortlaut von „schriftlichen“ Einwilligungen spricht, muss dies sowohl für ge-

1 Taeger/Gabel/Taeger, § 28 BDSG Rz. 172; Däubler/Klebe/Wedde/Weichert/Wedde, § 28 BDSG Rz. 130; Bergmann/Möhrle/Herb, § 28 BDSG Rz. 423. 2 Taeger/Gabel/Taeger, § 28 BDSG Rz. 172. 3 Zur Unzulässigkeit von Werbemaßnahmen bei fehlender Aktivierung des Bestätigungslinks vgl. OLG Frankfurt a.M. v. 30.9.2013 – 1 U 314/12, MMR 2014, 115. 4 Taeger/Gabel/Taeger, § 28 BDSG Rz. 173; Simitis/Simitis, § 28 BDSG Rz. 222.

608

|

Plath

Datenerhebung und -speicherung für eigene Geschäftszwecke | § 28 BDSG

druckte als auch für elektronische Texte gleichermaßen gelten1. Mit diesem, i.R.d. BDSG-Novelle II eingeführten Erfordernis wollte der Gesetzgeber den Grundsätzen, die der BGH im Payback-Urteil2 entwickelt hat, Rechnung tragen. Abs. 3a Satz 2 präzisiert die Regelung des § 4a Abs. 1 Satz 4, in der lediglich eine 167 „besondere Hervorhebung“ angeordnet wird, und geht dieser Generalnorm bei Einwilligungen in die Datenverwendung zu Werbezwecken als Spezialnorm vor3. Damit ist, anders als im Rahmen des § 4a Abs. 1 Satz 4, eine andere als eine drucktechnische Hervorhebung nicht ausreichend4. Eine drucktechnische Hervorhebung kann insbesondere durch besondere typo- 168 graphische Gestaltungen wie Fettdruck, Unterstreichung, Umrandung, Farbe, Veränderung der Schriftgröße oder durch Verwendung eines anderen Schrifttyps erfolgen, also auf jede Art und Weise, die dazu führt, dass der Betroffene auf die Einwilligungserklärung aufmerksam gemacht wird5. Anders als noch im Gesetzesentwurf vorgesehen6 ist es nicht erforderlich, dass der Betroffene durch ein gesondertes Tun, bspw. durch Ankreuzen oder durch eine eigenständige Unterschrift, seinen zweifelsfreien Erklärungswillen kundtut7. Damit gilt auch weiterhin die zu § 4a ergangene Payback-Entscheidung des BGH, wonach die datenschutzrechtliche Einwilligung nicht zwingend als sog. gesondertes „Opt-in“ gestaltet werden muss8. Dabei muss jedoch beachtet werden, dass eine wettbewerbsrechtliche Einwilligung in bestimmte Werbemaßnahmen nach § 7 UWG gesondert, also als „Opt-in“, erfolgen muss. Vgl. hierzu auch die ausführliche Komm. zu § 4a BDSG Rz. 55. Aus Abs. 3a Satz 2 ergibt sich nicht zuletzt auch, dass eine Aufforderung zur 169 Einwilligung in die Datenverwendung in die Allgemeinen Geschäftsbedingungen (AGB) der verantwortlichen Stelle eingebettet werden kann, soweit die Einwilligungserklärung drucktechnisch hervorgehoben wurde9. Bezüglich der genauen Anforderungen sowie der Frage, inwiefern solche Einwilligungen der AGB-Kontrolle i.S.d. §§ 305 ff. BGB unterliegen, kann auf die Komm. zu § 4a BDSG Rz. 39 verwiesen werden. 1 Taeger/Gabel/Taeger, § 28 BDSG Rz. 175; vgl. auch die ähnliche Problematik bzgl. des Begriffs „schriftlich“ im Zusammenhang mit der Form der Bestätigung nach Abs. 3a Satz 1, Rz. 161. 2 BGH v. 16.7.2008 – VII ZR 348/06, CR 2008, 720 – Payback. 3 Ebenso Däubler/Klebe/Wedde/Weichert/Wedde, § 28 BDSG Rz. 133. 4 Bergmann/Möhrle/Herb, § 28 BDSG Rz. 425. 5 BT-Drucks. 16/12011, S. 33; Däubler/Klebe/Wedde/Weichert/Wedde, § 28 BDSG Rz. 133; Taeger/Gabel/Taeger, § 28 BDSG Rz. 175. 6 BT-Drucks. 16/12011, S. 33. 7 Ebenso Taeger/Gabel/Taeger, § 28 BDSG Rz. 176; Pfeifer, MMR 2010, 524 (525); a.A. Däubler/Klebe/Wedde/Weichert/Wedde, § 28 BDSG Rz. 133. 8 BGH v. 16.7.2008 – VII ZR 348/06, CR 2008, 720 (722) – Payback; vgl. auch OLG Frankfurt a.M. v. 17.12.2015 – 6 U 30/15, WRP 2016, 364. 9 So auch BGH v. 25.10.2012 – I ZR 169/10, CR 2013, 440 – Einwilligung in Werbeanrufe II.

Plath

|

609

§ 28 BDSG | Datenverarbeitung nicht-öffentlicher Stellen VI. Kopplungsverbot (Abs. 3b) 170 Abs. 3b normiert ein sog. Kopplungsverbot. Dadurch soll verhindert werden, dass

der Betroffene faktisch zur Abgabe einer Einwilligung in die Datenverwendung zu Zwecken der Werbung oder des Adresshandels gezwungen wird, indem ihm bei einer entsprechenden Weigerung ein Vertragsschluss nicht oder nur mit erheblichen Nachteilen möglich ist. Einwilligungen, die unter Verstoß gegen das Kopplungsverbot erteilt wurden, sind gemäß Abs. 3b Satz 2 ex tunc unwirksam1. Die Verwendung von Daten zu Zwecken der Werbung oder des Adresshandels ist dann rechtswidrig, und bereits erhobene oder übermittelte Daten müssen gelöscht werden2. Letztlich konkretisiert Abs. 3b lediglich das in § 4a Abs. 1 Satz 1 normierte allgemeine Erfordernis der Freiwilligkeit von Einwilligungen3. Abs. 3b ist eine Parallelregelung zu § 95 Abs. 5 TKG, der ein Verbot der Kopplung von TK-Diensteangeboten und Einwilligungen normiert (s. dazu die Komm. zu § 95 TKG Rz. 14)4.

171 Entgegen dem restriktiven Wortlaut von Abs. 3b muss aufgrund des Zwecks der

Norm, den Betroffenen in seiner freien Willensentscheidung zu schützen, angenommen werden, dass das Kopplungsverbot nicht nur für den Abschluss eines Vertrages, sondern auch für dessen Änderung oder Kündigung gilt5. Darüber hinaus ist die Norm auf alle Einwilligungen nach Abs. 3 Satz 1 i.V.m. Abs. 3a, unabhängig von ihrer Form, anwendbar6.

172 Das Kopplungsverbot gilt gemäß Abs. 3b Satz 1 a.E. nur, „wenn dem Betroffe-

nen ein Zugang zu gleichwertigen vertraglichen Leistungen ohne die Einwilligung nicht oder nicht in zumutbarer Weise möglich ist“. Damit stellt sich die Frage, wann ein für den Betroffenen zumutbarer Zugang zu einer gleichwertigen Leistung gegeben ist. Der Fokus dieser Anforderung liegt eindeutig auf der infrage stehenden Leistung, nicht auf der Identität des Leistenden. Damit kommt es nicht darauf an, ob der Betroffene die Möglichkeit hat, mit dem konkreten Erbringer einen Vertrag ohne Abgabe einer Einwilligung zu schließen, sondern lediglich, ob mit Blick auf den gesamten Markt der Zugang zu einer vergleichbaren Leistung zumutbar möglich ist7. Damit wird deutlich, dass diese Voraussetzung umso eher erfüllt ist, je allgemeiner und ortsunabhängiger der

1 2 3 4

Taeger/Gabel/Taeger, § 28 BDSG Rz. 184. Taeger/Gabel/Taeger, § 28 BDSG Rz. 185. Simitis/Simitis, § 28 Rz. 223; Pfeifer, MMR 2010 524 (526). Zur Zulässigkeit der Kopplung von Telemediendiensten (§ 12 Abs. 3 TMG a.F.) mit der Einwilligung in die Verwendung von Daten zu Zwecken der Geolokalisation des Nutzers OVG Münster v. 3.12.2009 – 13 B 775/09, MMR 2010, 350 (351). 5 Ebenso Bergmann/Möhrle/Herb, § 28 BDSG Rz. 428. 6 Bergmann/Möhrle/Herb, § 28 BDSG Rz. 429. 7 Bergmann/Möhrle/Herb, § 28 BDSG Rz. 430; im Ergebnis ebenso Däubler/Klebe/Wedde/ Weichert/Wedde, § 28 BDSG Rz. 135; zur Parallelregelung im TKG Spindler/Schuster/ Eckhardt, Recht der elektronischen Medien, § 95 TKG Rz. 26. S.a. die Komm. zu § 95 TKG Rz. 14.

610

|

Plath

Datenerhebung und -speicherung für eigene Geschäftszwecke | § 28 BDSG

Leistungsgegenstand ist. Abs. 3b wirkt demzufolge dem Missbrauch einer Marktmacht oder gar Monopolstellung entgegen1. Zugleich heißt dies jedoch auch, dass in der Praxis werbetreibende Unternehmen den Markt in Hinblick auf Ausweichmöglichkeiten für den Betroffenen untersuchen sollten2. Fraglich ist, wann ein alternativer Leistungszugang als unzumutbar anzusehen 173 ist. Teilweise wird vertreten, dass dies bereits der Fall sein soll, sobald er mit einem höheren Kosten- oder Zeitaufwand, schlechteren Konditionen oder minderwertigen Leistungen verbunden ist3. Nach der hier vertretenen Ansicht ist dieser Maßstab jedoch zu streng. Dies folgt daraus, dass das Gesetz lediglich von einer „Gleichwertigkeit“ der Leistungen spricht, ihre Identität also gerade nicht gefordert ist. Das Kopplungsverbot kann und soll nicht dazu führen, dass eine vollkommene Preisangleichung des Angebots erfolgt. Vielmehr muss es zulässig sein, dass ein Unternehmen die Kopplung von Vertragsschluss und Einwilligung durch die Gewährung eines attraktiveren Angebots, z.B. in Form eines geringeren Preises, kompensiert4. Wann die Grenze zur Unzumutbarkeit konkret überschritten ist, hängt vom Einzelfall ab. Es muss dabei die Frage gestellt werden, ob das Alternativangebot so extrem ist, dass seine Tolerierung von niemandem erwartet werden kann. Dies wird erst bei einem ganz erheblichen Preisunterschied, z.B. von 100 %, oder einem extremen Mehraufwand der Fall sein. Zulässig ist es dagegen, den Betroffenen durch einen positiven Anreiz in Form 174 einer Zusatzleistung zur Abgabe einer Einwilligung bewegen zu wollen5. Das Paradebeispiel für diese Praxis sind Bonus- oder Treue(punkt)systeme. In der Tat ist in diesem Fall die Abgabe der Einwilligung nicht mit der Abwendung eines Nachteils, sondern mit der Gewährung eines Vorteils verbunden. Der Betroffene wird hierdurch nicht in seiner freien Willensentscheidung beeinträchtigt. Er entscheidet sich vielmehr bewusst für die Verwendung seiner Daten zu Werbezwecken, um in den Genuss der versprochenen Leistung zu kommen.

VII. Widerspruchsrecht (Abs. 4) Abs. 4 regelt, unter welchen Voraussetzungen und mit welchen Folgen der Be- 175 troffene einer nach § 28 zulässigen Verarbeitung oder Nutzung seiner Daten zu Zwecken der Werbung bzw. der Markt- oder Meinungsforschung6 widersprechen kann. Damit wird dem Betroffenen ein zusätzliches Recht gewährt, das 1 Däubler/Klebe/Wedde/Weichert/Wedde, § 28 BDSG Rz. 136. 2 Däubler/Klebe/Wedde/Weichert/Wedde, § 28 BDSG Rz. 135. 3 So z.B. Bergmann/Möhrle/Herb, § 28 BDSG Rz. 431; Däubler/Klebe/Wedde/Weichert/ Wedde, § 28 BDSG Rz. 135; Taeger/Gabel/Taeger, § 28 BDSG Rz. 183. 4 Ebenso Spindler/Schuster/Eckhardt, Recht der elektronischen Medien, § 95 TKG Rz. 27. 5 Däubler/Klebe/Wedde/Weichert/Wedde, § 28 BDSG Rz. 91. 6 Die Zulässigkeit solcher Praktiken richtet sich nach § 30a, vgl. die diesbezügliche Kommentierung.

Plath

|

611

§ 28 BDSG | Datenverarbeitung nicht-öffentlicher Stellen diesem eine weitere Möglichkeit eröffnet, sich gegen die ungewollte Verwendung seiner Daten zu wehren. Dieses Recht steht neben den ihm gemäß § 6 Abs. 1 ohnehin zustehenden Auskunfts-, Berichtigungs- und Löschungsrechten. Hintergrund dieser Erweiterung der Betroffenenrechte ist die erhöhte Schutzwürdigkeit der Betroffenen im Bereich der Werbung. Die verantwortlichen Stellen verwenden Daten, die sie rechtmäßig erhoben haben, zum zusätzlichen Zweck der Werbung oder des Adresshandels. Vor dieser – gesetzlich erlaubten (s. Rz. 99) – faktischen Zweckerweiterung soll der Betroffene durch erweiterte Rechte geschützt werden1. Unter der DSGVO richtet sich das Widerspruchsrecht des Betroffenen nach Art. 21 DSGVO. 176 Das Widerspruchsrecht kann gegen jede Form der Verarbeitung oder Nutzung von Daten zu Werbezwecken erfolgen. Auf die konkrete Form der Werbung (z.B. Postsendung, Anruf, E-Mail, SMS, persönliche Ansprache, aber auch Sponsoring), die Identität des Werbenden (Unternehmen, gemeinnützige Vereine, Parteien, religiöse Gruppierungen) oder den Zweck der Werbung (Produktwerbung, Imagewerbung) kommt es nicht an2. Voraussetzung ist jedoch, dass die Werbung der Hauptzweck der Datenverwendung ist. Nach der hier vertretenen Ansicht fällt damit die Verbindung von Werbung mit einer anderweitigen Korrespondenz, z.B. durch die Beilage von Werbung zu bestellter Ware, Rechnungen oder Kontoauszügen, nicht in den Anwendungsbereich des Abs. 43. 177 Der Betroffene kann auch einer Datenverwendung zu Zwecken der Markt- und Meinungsforschung widersprechen unabhängig davon, ob die Ansprache durch die verantwortliche Stelle selbst oder durch ein im Wege der Auftragsdatenverarbeitung (§ 11) beauftragtes Unternehmen oder Institut erfolgt. Gemäß § 30a Abs. 5 ist Abs. 4 auch auf die geschäftsmäßige Markt- und Meinungsforschung, im Rahmen derer ein repräsentativer Teil der Bevölkerung auf Initiative eines Marktforschungsinstituts befragt wird, anwendbar4. 178 Das Widerspruchsrecht des Betroffenen kann – ebenso wenig wie die Rechte aus § 6 Abs. 1 – weder abbedungen noch eingeschränkt werden5. Umstritten ist, ob diese Vorschrift eine verbraucherschützende Norm i.S.d. § 2 Unterlassungsklagegesetz (UKlaG) ist6. Nach der hier vertretenen Ansicht (s. Rz. 102, Komm. 1 Ebenso Taeger/Gabel/Taeger, § 28 BDSG Rz. 212. 2 Däubler/Klebe/Wedde/Weichert/Wedde, § 28 BDSG Rz. 144; Bergmann/Möhrle/Herb, § 28 BDSG Rz. 461. 3 So auch Bergmann/Möhrle/Herb, § 28 BDSG Rz. 463, die jedoch zwischen Eigen- und Fremdwerbung differenzieren wollen; a.A. dagegen Taeger/Gabel/Taeger, § 28 BDSG Rz. 213 sowie Simitis/Simitis, § 28 BDSG Rz. 250. 4 Simitis/Simitis, § 28 BDSG Rz. 251. 5 Bergmann/Möhrle/Herb, § 28 BDSG Rz. 446; Taeger/Gabel/Taeger, § 28 BDSG Rz. 212; Simitis/Simitis, § 28 BDSG Rz. 252. 6 So z.B. Däubler/Klebe/Wedde/Weichert/Wedde, § 28 BDSG Rz. 141; Huppertz/Ohrmann, CR 2011, 449 (454); ausführlich zur diesbezüglichen Rechtsprechung Kamlah/Hoke, RDV 2008, 226 (228 ff.).

612

|

Plath

Datenerhebung und -speicherung für eigene Geschäftszwecke | § 28 BDSG

zu § 1 BDSG Rz. 15 f. m.w.N.) kommt § 28 – und somit auch Abs. 4 – jedoch keine verbraucherschützende Funktion zu, so dass eine Anwendbarkeit des UKlaG abzulehnen ist (s. dazu die Komm. zu § 1 BDSG Rz. 15 ff.)1. 1. Adressaten des Widerspruchs (Abs. 4 Satz 1, 3) Der Widerspruch des Betroffenen kann alternativ oder kumulativ an zwei Ad- 179 ressatenkreise gerichtet werden, namentlich an die verantwortliche Stelle oder an Dritte, die Daten im Wege der Übermittlung erhalten haben: a) Verantwortliche Stelle als Adressat Adressat des Widerspruchs ist grundsätzlich die für die Verarbeitung oder Nut- 180 zung verantwortliche Stelle. Bei größeren Betrieben kann der Widerspruch auch an eine Niederlassung oder Betriebsstätte gerichtet werden2. Umstritten ist, gegen wen der Widerspruch im Fall einer Auftragsdatenver- 181 arbeitung (§ 11) geltend gemacht werden muss. Grundsätzlich ist der Wortlaut des Satz 1 dahingehend eindeutig, dass der Widerspruch an die verantwortliche Stelle gerichtet werden muss. Dies ist gemäß § 11 Abs. 1 Satz 1 der Auftraggeber. Allerdings wird vermehrt vertreten, dass der Gedanke des § 11 Abs. 1 Satz 2, der u.a. normiert, dass die Auskunfts-, Berichtigungs- und Löschungsrechte des Betroffenen aus § 6 Abs. 1 auch gegen den Beauftragten geltend gemacht werden können, aufgrund der teleologischen Nähe auch auf das Widerspruchsrecht gemäß Abs. 4 angewandt werden muss. Damit soll ein Widerspruch nicht bereits deshalb unwirksam sein, weil er sich an den Auftragsdatenverarbeiter richtet. Vielmehr habe dieser den Widerspruch an seinen Auftraggeber, also an die eigentlich verantwortliche Stelle, weiterzuleiten. Den Auftraggeber soll dabei die Pflicht treffen, für eine entsprechende Weiterleitung (vertraglich) zu sorgen3. Dagegen spricht zunächst, dass der Wortlaut sowohl des Abs. 4 Satz 1 als auch 182 des § 11 Abs. 1 Satz 2 eindeutig nur auf die verantwortliche Stelle Bezug nimmt. Darüber hinaus greift auch das Argument dieser Ansicht zu kurz, wonach eine Ermittlung der verantwortlichen Stelle in vielen Fällen nur schwer möglich sei. Dies folgt schon daraus, dass Abs. 4 Satz 2 eine Verpflichtung zur Unterrichtung des Betroffenen über die verantwortliche Stelle normiert (s. hierzu die ausführliche Kommentierung unter Rz. 186). Schließlich ist auch keine absolute Vergleichbarkeit dieser Betroffenenrechte gegeben, denn zumindest der Berichtigungs- und der Löschungsanspruch richten sich gegen den fehlerhaften oder 1 Vgl. auch OLG Düsseldorf v. 20.2.2004 – I U 149/03, RDV 2004, 222; OLG Hamburg v. 25.11.2004 – 5 U 22/04, MMR 2005, 617; Kamlah/Hoke, RDV 2008, 226 (228 ff.). 2 Däubler/Klebe/Wedde/Weichert/Wedde, § 28 BDSG Rz. 145; Bergmann/Möhrle/Herb, § 28 BDSG Rz. 449; Taeger/Gabel/Taeger, § 28 BDSG Rz. 216. 3 So z.B. Simitis/Simitis, § 28 BDSG Rz. 268; Bergmann/Möhrle/Herb, § 28 BDSG Rz. 450.

Plath

|

613

§ 28 BDSG | Datenverarbeitung nicht-öffentlicher Stellen unzulässigen Umgang mit Daten, wohingegen Abs. 4 ein Widerspruchsrecht auch bei rechtmäßigen Datenverwendungen einräumt1. Damit besteht keine Schutzbedürftigkeit des Betroffenen, die eine derart extensive Auslegung des eindeutigen Wortlauts zu rechtfertigen vermag, so dass im Ergebnis der Widerspruch gegen den Auftraggeber geltend zu machen ist. 183 Auch bei Übermittlungsketten gilt der Grundsatz, dass der Widerspruch

grundsätzlich an die verantwortliche Stelle gerichtet werden muss. Dabei stellt sich jedoch die Frage, ob diese Stelle zur Weiterleitung des Widerspruchs an weitere Kettenglieder verpflichtet ist. Hierfür bietet das Gesetz keinen Anhaltspunkt. Damit muss ein Betroffener, der sich effektiv gegen eine Verwendung seiner Daten zu Werbezwecken wehren will, nach § 34 Auskunft über die Herkunft bzw. Empfänger seiner Daten verlangen und gegenüber jeder einzelnen verantwortlichen Stelle seinen Widerspruch erklären. b) Dritter als Adressat

184 Darüber hinaus kann der Widerspruch auch an Dritte gerichtet werden, die Da-

ten nach Maßgabe des § 28 Abs. 3 im Wege der Übermittlung erhalten haben. Gemeint sind damit also insbesondere Empfänger, die Daten aufgrund einer Einwilligung gemäß Abs. 3 Satz 1, oder Listendaten unter den Voraussetzungen des Abs. 3 Satz 2 und Satz 4 zum Zweck der Werbung erhalten haben. Damit gewährt der Gesetzgeber dem Betroffenen einen zweiten, zusätzlichen Widerspruchsadressaten. Der Betroffene kann – ebenso wie im Rahmen des Abs. 4 Satz 1 – sowohl der Verarbeitung als auch der Nutzung der personenbezogenen Daten widersprechen. Keine Anwendung findet Abs. 3 Satz 4 auf Daten, die der Dritte nicht nach Maßgabe des Abs. 3, sondern bspw. unter den Voraussetzungen des Abs. 1, der die Datenverwendung zur Erfüllung eigener Geschäftszwecke regelt, erhalten hat. Da in diesen Fällen der Dritte jedoch zugleich selbst verantwortliche Stelle wird, hat der Betroffene die Möglichkeit, einen Widerspruch gegen diesen Empfänger auf Abs. 4 Satz 1 zu stützen.

185 Fraglich ist, ob auch öffentliche Stellen „Dritte“ i.S.d Abs. 4 Satz 3 sein können.

Dagegen spricht zunächst, dass § 28 im Dritten Abschnitt des BDSG eingeordnet ist, der nur für nicht-öffentliche Stellen gilt. Allerdings trifft der Wortlaut des Abs. 4 keine diesbezügliche Unterscheidung. Auch öffentliche Stellen sind „Dritte“ in Bezug auf nicht-öffentliche verantwortliche Stellen. Darüber hinaus soll durch das Widerspruchsrecht in Abs. 4 das Recht auf informationelle Selbstbestimmung des Betroffenen weiter gestärkt werden. Dieses kann u.U. auch durch eine Verwendung durch öffentliche Stellen bedroht werden. Es ist demnach i.S.d. Normzwecks, dass auch öffentliche Stellen Adressaten eines Widerspruchs nach Abs. 4 Satz 3 sein können2.

1 Vgl. Simitis/Simitis, § 28 BDSG Rz. 248. 2 Ebenso Simitis/Simitis, § 28 BDSG Rz. 273, 274.

614

|

Plath

Datenerhebung und -speicherung für eigene Geschäftszwecke | § 28 BDSG

2. Unterrichtung und Belehrung (Abs. 4 Satz 2) Gemäß Abs. 4 Satz 2 ist die verantwortliche Stelle dazu verpflichtet, den Betrof- 186 fenen bereits bei der Ansprache zum Zweck der Werbung bzw. bei der Begründung eines Schuldverhältnisses nach Abs. 1 Satz 1 über ihre Identität sowie über das Bestehen des Widerspruchsrechts zu benachrichtigen. Darüber hinaus muss die verantwortliche Stelle sicherstellen, dass der Betroffene Kenntnis über die Herkunft der verwendeten Daten erlangen kann, falls der Ansprechende die Daten nicht selbst gespeichert hat. Hiermit soll gewährleistet werden, dass der Betroffene schon vor der ersten Datennutzung zu Werbe- bzw. Marktund Meinungsforschungszwecken alle Informationen bekommt, die er zur sofortigen Geltendmachung seines Widerspruchsrechts benötigt. Unklar ist, ob die Benachrichtigung auch bei allen nachfolgenden Ansprachen 187 zu erfolgen hat. Dafür spricht zum einen der Wortlaut des Abs. 4 Satz 2, wonach die Unterrichtung „auch“ bei Begründung des Schuldverhältnisses vorgenommen werden muss. Zum anderen entspricht es auch dem der Norm zugrundeliegenden Sinn und Zweck des Betroffenenschutzes, dass dieser bei jeder erneuten Ansprache über das Bestehen und den Adressaten des Widerspruchsrechts in Kenntnis gesetzt wird1. Darüber hinaus ist es wohl auch im Sinne der verantwortlichen Stelle, routinemäßig die Belehrung vorzunehmen, um nicht zwischen bereits informierten und noch nicht informierten Adressaten unterscheiden zu müssen. Keine Angaben macht das Gesetz zur Form der Belehrung. Insbesondere ist, 188 anders als für die Einwilligungserteilung nach § 4a Abs. 1 Satz 4 bzw. Abs. 3a Satz 2, keine besondere Hervorhebung der Belehrung notwendig. Nach der hier vertretenen Ansicht ist es ausreichend, wenn die Belehrung dergestalt erfolgt, dass der Betroffene, der sich über seine Rechte informieren will, diese ohne Weiteres finden und lesen kann. Sie muss damit bei einer Platzierung in den AGB oder anderem „Kleingedruckten“, z.B. durch eine Überschrift, erkennbar gemacht werden. Aus Beweissicherungsgründen empfiehlt sich grundsätzlich die Einhaltung jedenfalls der Textform. Inhaltlich muss die Belehrung über die Identität der verantwortlichen Stelle 189 aufklären. Erforderlich, aber auch ausreichend ist die Angabe der Firmenbezeichnung2. Darüber hinaus muss der Betroffene über sein Widerspruchsrecht belehrt werden. Dabei ist die verantwortliche Stelle in der Formulierung der Belehrung frei, sie muss weder den Wortlaut des Gesetzes noch die juristischen Fachtermini wiedergeben. Ausreichend ist es damit, den Betroffenen darauf aufmerksam zu machen, dass er sich an die verantwortliche Stelle wenden kann, sollte er keine Werbung mehr wünschen. 1 So auch Taeger/Gabel/Taeger, § 28 BDSG Rz. 214; Gola/Schomerus, § 28 BDSG Rz. 66; Bergmann/Möhrle/Herb, § 28 BDSG Rz. 481; Däubler/Klebe/Wedde/Weichert/Wedde, § 28 BDSG Rz. 153. 2 Strenger Bergmann/Möhrle/Herb, § 28 BDSG Rz. 472, der auch die Angabe der Adresse fordert.

Plath

|

615

§ 28 BDSG | Datenverarbeitung nicht-öffentlicher Stellen 190 Nutzt die verantwortliche Stelle Daten, die sie nicht selbst gespeichert hat, so ver-

pflichtet Abs. 4 Satz 2 Halbs. 2 diese, dem Betroffenen die Möglichkeit zu eröffnen, über die Herkunft der Daten Kenntnis zu erlangen. Von besonderer Bedeutung ist diese Regelung im Falle der Nutzung fremder Datenbestände, insbesondere im Rahmen des sog. „Listbrokings“ und des „Letter-Shop-Verfahrens“1. Die verantwortliche Stelle ist damit nicht dazu verpflichtet, die Herkunft der Daten anzugeben, muss jedoch sicherstellen, dass der Betroffene die Datenquelle unproblematisch im Wege der Nachfrage in Erfahrung bringen kann. In der Praxis stellt sich regelmäßig die Frage, wie dieser Pflicht nachgekommen werden kann. Am sichersten ist die Angabe einer (kostenlosen!) Telefonnummer, über die sich der Betroffene über die Herkunft seiner Daten informieren kann. Denkbar ist auch die Einrichtung eines E-Mail-Services. Voraussetzung für die Gewährleistung des Rechts zur Kenntniserlangung ist ein entsprechendes Monitoring, das eine Information des Betroffenen nach Maßgabe des Abs. 4 Satz 2 Halbs. 2 ermöglichen kann. Doch auch im Rahmen der Vertragsgestaltung mit der dritten Stelle, die die Daten ursprünglich gespeichert hat, muss sichergestellt werden, dass die verantwortliche Stelle zur Auskunft über die Identität der „Quelle“ – insbesondere im Hinblick auf eventuelle Geschäftsgeheimnisse – berechtigt ist.

191 Im Falle einer Auftragsdatenverarbeitung (§ 11) muss die verantwortliche

Stelle dafür sorgen, dass der Auftragnehmer die Belehrung und Unterrichtung nach Abs. 4 Satz 2 durchführt.

192 Kommt die verantwortliche Stelle ihrer Pflicht zu Belehrung nicht nach, so führt

dies nicht dazu, dass die Werbemaßnahme unzulässig wird; ihre Zulässigkeit richtet sich allein nach Abs. 3. Allerdings ist ein Verstoß gegen die Unterrichtungspflicht gemäß § 43 Abs. 1 Nr. 3 bußgeldbewährt (vgl. auch Rz. 224). 3. Form und Frist des Widerspruchs (Abs. 4 Satz 4)

193 Der Widerspruch bedarf keiner Begründung und unterliegt keinem gesetzli-

chen Formerfordernis. Er kann damit grundsätzlich schriftlich, mündlich oder in Textform, ausdrücklich oder konkludent erfolgen, soweit der Widerspruchswille – zumindest im Wege der Auslegung – erkennbar ist. Fraglich ist, ob auch eine vertragliche Vereinbarung über die einzuhaltende Form des Widerspruchs zulässig ist. Hierzu nimmt die Regelung des Abs. 4 Satz 4 Stellung, wonach der Widerspruch gegen eine Datenverwendung im Rahmen der Begründung, Durchführung oder Beendigung eines Schuldverhältnisses gemäß Abs. 1 Satz 1 Nr. 1 keiner strengeren Form unterworfen werden darf, als für die Begründung des Schuldverhältnisses vereinbart. Im Umkehrschluss muss die Regelung so verstanden werden, dass eine vertragliche Formvereinbarung grundsätzlich zulässig sein muss. Allerdings wollte der Gesetzgeber ausweislich der Gesetzes1 Bergmann/Möhrle/Herb, § 28 BDSG Rz. 474.

616

|

Plath

Datenerhebung und -speicherung für eigene Geschäftszwecke | § 28 BDSG

begründung mit dieser Regelung die Rechte des Betroffenen stärken1. Tatsächlich führt diese Regelung jedoch eher zu einer Rechteschwächung, da der Betroffene darauf achten muss, bei seinem Widerspruch die richtige Form einzuhalten. Dieses widersprüchliche Ergebnis ist jedoch angesichts des eindeutigen Wortlauts des Abs. 4 Satz 4 hinzunehmen. Damit darf die verantwortliche Stelle verlangen, dass i.R.d. Widerspruchs jedenfalls die Form des der Verarbeitung zugrunde liegenden Schuldverhältnisses einzuhalten ist2. Der Widerspruch muss gegenüber der verantwortlichen Stelle bzw. dem Drit- 194 ten erklärt werden. Ausreichend ist, wenn die Erklärung gegenüber einem Mitarbeiter, einem Erfüllungsgehilfen oder einem Auftragnehmer erfolgt3. Damit genügt jedoch das Anbringen eines „Werbung unerwünscht“-Aufklebers an den Briefkasten nicht, um der Werbemaßnahme – zumindest datenschutzrechtlich – zu widersprechen. Dagegen muss die Rücksendung einer Werbung unter dem Vermerk „Annahme verweigert“ als Widerspruch angesehen werden, da der Betroffene damit seinen Widerspruch dem Adressaten zukommen lässt4. Fraglich ist, ob eine Eintragung in eine sog. „Robinson-Liste“, einer Schutzliste 195 von Personen, die keine Werbung empfangen wollen, als Widerspruch i.S.d. Abs. 4 angesehen werden kann. Dagegen spricht zunächst, dass diese Listen nicht bindend sind. Vielmehr treten Unternehmen solchen Initiativen auf freiwilliger Basis bei und unterwerfen sich ihnen im Rahmen einer Selbstverpflichtung5. Eine allgemeine datenschutzrechtliche Außenwirkung kann diesen Listen nicht zugesprochen werden6. Darüber hinaus ist die Eintragung in eine solche Liste nicht als Erklärung gegenüber der verantwortlichen Stelle zu werten, so dass die Voraussetzungen für einen wirksamen Widerspruch i.S.d. Abs. 4 nicht gegeben sind7. Teilweise wird jedoch vertreten, dass ein Eintrag in eine Robinson-Liste im Rahmen der Prüfung eventuell entgegenstehender schutzwürdiger Interessen des Betroffenen zu berücksichtigen sei8. Dem Betroffenen steht es frei, die Reichweite seines Widerspruchs selbst zu be- 196 stimmen. Er kann ihn somit auf bestimmte Daten oder auf bestimmte Verwendungsformen beschränken9. 1 2 3 4 5 6 7 8 9

BT-Drucks. 16/12011, S. 33. So auch Däubler/Klebe/Wedde/Weichert/Wedde, § 28 BDSG Rz. 154. Gola/Schomerus, § 28 BDSG Rz. 61. Gola/Schomerus, § 28 BDSG Rz. 61; Bergmann/Möhrle/Herb, § 28 BDSG Rz. 453; Simitis/ Simitis, § 28 BDSG Rz. 264. So auch Taeger/Gabel/Taeger, § 28 BDSG Rz. 218. Zu beachten ist jedoch, dass u.U. eine wettbewerbsrechtliche Verpflichtung zur Konsultierung und Berücksichtigung dieser Listen besteht. So im Ergebnis auch Gola/Schomerus, § 28 BDSG Rz. 62; Bergmann/Möhrle/Herb, § 28 BDSG Rz. 454; Simitis/Simitis, § 28 BDSG Rz. 259. Gola/Schomerus, § 28 BDSG Rz. 62. Simitis/Simitis, § 28 BDSG Rz. 262.

Plath

|

617

§ 28 BDSG | Datenverarbeitung nicht-öffentlicher Stellen 197 Eine Frist für die Einlegung des Widerspruchs besteht nicht1. Fraglich ist je-

doch, innerhalb welcher Frist der Widerspruch beachtet werden muss. Grundsätzlich wirkt er ex-nunc. Allerdings muss der verantwortlichen Stelle ein gewisser Zeitraum eingeräumt werden, um technisch und organisatorisch eine (weitere) Datenverwendung zu verhindern. Ihr kann es bspw. nicht zugemutet werden, den Zugang von bereits auf den Weg gebrachter postalischer Werbung zu verhindern. Ebenso muss der verantwortlichen Stelle die Möglichkeit eingeräumt werden, den Widerspruch im System zu implementieren.

198 Grundsätzlich ist es ausreichend, wenn die verantwortliche Stelle unverzüglich

(§ 121 Abs. 1 Satz 1 BGB), also ohne schuldhaftes Zögern, auf den Widerspruch reagiert2. Die genaue Zeitspanne hängt vom Einzelfall, insbesondere der konkreten Werbemaßnahme ab, und kann einige Tage bis hin zu einem Monat3 umfassen. In einer aktuellen Entscheidung des LG Freiburgs urteilte das Gericht für die Briefkastenwerbung, dass ein Unternehmen für die organisatorische Umsetzung des Wunsches eines Verbrauchers, keine Werbung mehr zu erhalten, eine gewisse – in dem Urteil nicht spezifizierte – Zeitspanne zur Verfügung hat4. Allerdings beurteilte das Gericht einen Zeitraum von vier Wochen in dem konkreten Fall als zu lang. Erfolgt innerhalb des Umsetzungszeitraums eine nicht in zumutbarer Weise zu verhindernde Übermittlung oder Nutzung der Daten, so sind nach weitverbreiteter Ansicht die Empfänger, die die Daten für weitere Werbezwecke verwenden wollen, über den Widerspruch zu informieren5. Umstritten ist, ob die verantwortliche Stelle auf jeden Widerspruch einzeln reagieren muss, oder ob das „Sammeln“ mehrerer Widersprüche zulässig ist, um diese gebündelt zu einem späteren Zeitpunkt, bspw. im Rahmen einer regelmäßigen Datenwartung, zu bearbeiten. Die Frage lässt sich nicht pauschal beantworten. Grundsätzlich würde es, gerade bei großen Unternehmen, zu einer unverhältnismäßigen zeitlichen und wirtschaftlichen Belastung der verantwortlichen Stelle führen, wenn diese sofort jeden einzelnen Widerspruch vermerken müsste. Andererseits wäre die Grenze der „Unverzüglichkeit“ jedenfalls dann überschritten, wenn die Bearbeitung nur alle 3 bis 6 Monate erfolgen würde Vertretbar wäre im Ergebnis die gebündelte Bearbeitung von Widersprüchen innerhalb eines Monats.

199 Die Geltendmachung sowie die Bearbeitung des Widerspruchs müssen kosten-

los erfolgen. Eine Kostenpflichtigkeit des Widerspruchs würde dem Schutzzweck der Norm, den Betroffenen mit einem zusätzlichen Recht auszustatten, widersprechen. 1 Simitis/Simitis, § 28 BDSG Rz. 261; Rudolph, CR 2010, 257 (261). 2 So auch im Ergebnis Simitis/Simitis, § 28 BDSG Rz. 275; Bergmann/Möhrle/Herb, § 28 BDSG Rz. 470. 3 Vgl. Bergmann/Möhrle/Herb, § 28 BDSG Rz. 470. 4 LG Freiburg v. 14.1.2016 – 3 S 227/14, GRUR-RS 2016, 01394. 5 Simitis/Simitis, § 28 BDSG Rz. 279; Bergmann/Möhrle/Herb, § 28 BDSG Rz. 470.

618

|

Plath

Datenerhebung und -speicherung für eigene Geschäftszwecke | § 28 BDSG

4. Rechtsfolgen des Widerspruchs Hat der Betroffene der Verarbeitung oder Nutzung seiner Daten durch die ver- 200 antwortliche Stelle widersprochen, so wird nach Abs. 4 Satz 1 eine entsprechende Datenverarbeitung oder -nutzung zu Zwecken der Werbung bzw. der Meinungsforschung unzulässig. Damit ist sogar die Speicherung dieser und zusätzlicher Daten als Verarbeitungsvorgang gemäß § 3 Abs. 4 Nr. 1 zu Werbezwecken rechtswidrig. Umstritten ist, ob die verantwortliche Stelle als Folge des Widerspruchs nicht 201 nur zur Sperrung der Daten, sondern sogar zur Löschung der Daten verpflichtet ist. Gestützt wird diese Ansicht auf die Regelung des § 35 Abs. 2 Nr. 1, der bestimmt, dass personenbezogene Daten zu löschen sind, wenn ihre Speicherung unzulässig ist. Grundsätzlich muss hier zwischen den Widerspruchsadressaten unterschieden werden. Rechtsfolge eines Widerspruchs gegen die verantwortliche Stelle ist die Unzulässigkeit der Verarbeitung und Nutzung der Daten. Da die Speicherung gemäß § 3 Abs. 4 eine Form der Verarbeitung ist, führt der Widerspruch auch zu ihrer Unzulässigkeit. Der Widerspruch entzieht der Speicherung die Rechtsgrundlage, womit die Voraussetzungen des § 35 Abs. 2 Nr. 1 erfüllt sind1. Eine Einschränkung muss allerdings für die Fälle gemacht werden, in denen die verantwortliche Stelle zu einer Verwendung der Daten zu anderen Zwecken als denen der Werbung bzw. der Markt- und Meinungsforschung berechtigt ist. In diesen Fällen legitimiert die Zulässigkeit der anderweitigen Verwendung die Speicherung der betroffenen Daten2. Unklar ist jedoch, wie diese Unterscheidung technisch umgesetzt werden soll. Als Lösung wird in der Literatur die Einrichtung von Sperrungen oder Sperrdateien diskutiert, die verhindern sollen, dass auf diese gespeicherten Daten im Rahmen von Werbemaßnahmen zugegriffen werden kann3. Durch diese Einrichtungen soll deutlich werden, dass die Speicherung nicht „zu Zwecken“ der Werbung erfolgt. Richtet sich der Widerspruch gegen einen Dritten gemäß Abs. 4 Satz 3, so ist 202 die Anwendbarkeit des § 35 Abs. 2 Nr. 1 problematischer. In der Tat ist der Wortlaut des Abs. 4 Satz 3 dahin gehend eindeutig, dass infolge eines Widerspruchs lediglich die Sperrung der betroffenen Daten zu Zwecken der Werbung bzw. der Markt- und Meinungsforschung zu erfolgen hat. Richtet sich der Widerspruch allerdings explizit gegen die Speicherung der Daten, so muss wohl von einer Anwendbarkeit des § 35 Abs. 2 Nr. 1 ausgegangen werden. Zu den Rechtsfolgen eines Verstoßes gegen die Regelungen des Abs. 4 s. 203 Rz. 222 ff. 1 So auch Simitis/Simitis, § 28 BDSG Rz. 281; Däubler/Klebe/Wedde/Weichert/Wedde, § 28 BDSG Rz. 147. 2 Ebenso Bergmann/Möhrle/Herb, § 28 BDSG Rz. 466; Taeger/Gabel/Taeger, § 28 BDSG Rz. 221. 3 So z.B. Bergmann/Möhrle/Herb, § 28 BDSG Rz. 467; Simitis/Simitis, § 28 BDSG Rz. 278.

Plath

|

619

§ 28 BDSG | Datenverarbeitung nicht-öffentlicher Stellen VIII. Zweckbindung bei Drittübermittlungen (Abs. 5) 204 Werden Daten an einen Dritten übermittelt, so ist der Empfänger gemäß Abs. 5

Satz 1 bei der Verwendung dieser Daten an die Zwecke gebunden, zu denen die Übermittlung stattgefunden hat. Damit wird der in Abs. 1 Satz 2 für die verantwortliche Stelle normierte Grundsatz der Zweckbindung auf den Datenempfänger ausgeweitet. Der Begriff „Dritte“ muss i.S.d. Legaldefinition des § 3 Abs. Satz 2 ausgelegt werden. Demnach können sowohl nicht-öffentliche als auch öffentliche Stellen „Dritte“ sein1. Dies verdeutlicht auch Abs. 5 Satz 2, der ausdrücklich auf den für öffentliche Stellen geltenden § 14 Bezug nimmt. Abs. 5 Satz 1 tritt als lex generalis hinter der Regelung des Abs. 3 Satz 7, der die Zweckbindung bei Übermittlungen zu Werbezwecken regelt, zurück, wenn die Übermittlung nach Maßgabe des Abs. 3 Satz 1, 2 und 4 erfolgt. Ansonsten gilt Abs. 5 Satz 1 für alle Datenübermittlungen, die unter den Voraussetzungen des § 28 zulässig sind. Die Missachtung der Zweckbindung ist gemäß § 43 Abs. 1 Nr. 4 bußgeldbewährt.

205 Diese grundsätzliche Bindung an den Übermittlungszweck wird durch Satz 2 ge-

lockert. Danach steht es dem Datenempfänger frei, für nicht-öffentliche Stellen unter Einhaltung der Voraussetzungen der Abs. 2 und 3, die die Verwendung von Daten zu anderen, insbesondere Werbezwecken, regeln, bzw. den Voraussetzungen des § 14 für öffentliche Stellen die Daten zu anderen Zwecken zu nutzen. In der Literatur wird stark kritisiert, dass mit dieser Regelung der Zweckbindungsgrundsatz nicht nur gelockert, sondern faktisch aufgehoben werde2. In der Tat werden dem Datenempfänger damit die gleichen Möglichkeiten eingeräumt wie der verantwortlichen Stelle. Nach der herrschenden Meinung muss deshalb eine restriktive Auslegung des Abs. 5 Satz 2 erfolgen, wobei fraglich ist, wie diese zu erfolgen hat3. Vielfach wird vertreten, dass die fehlende Kenntnis des Betroffenen von der Datenübermittlung im Rahmen der angeordneten Interessenabwägungen berücksichtigt werden müsse4. Zu beachten ist, dass für die Zweckbindung im Rahmen der Übermittlung zu Werbezwecken nach Abs. 3 Satz 7 keine Zweckerweiterung möglich ist.

206 Nach Abs. 5 Satz 2 hat die verantwortliche Stelle den Empfänger der Daten so-

wohl auf die grundsätzlich bestehende Zweckbindung als auch auf die Ausnahmemöglichkeiten des Satz 2 hinzuweisen5.

1 Ebenso Simitis/Simitis, § 28 BDSG Rz. 285; Bergmann/Möhrle/Herb, § 28 BDSG Rz. 494. 2 Taeger/Gabel/Taeger, § 28 BDSG Rz. 223; Simitis/Simitis, § 28 BDSG Rz. 289. 3 Bergmann/Möhrle/Herb, § 28 BDSG Rz. 497; Simitis/Simitis, § 28 BDSG Rz. 290; Däubler/Klebe/Wedde/Weichert/Wedde, § 28 BDSG Rz. 162. 4 So Bergmann/Möhrle/Herb, § 28 BDSG Rz. 497; Simitis/Simitis, § 28 BDSG Rz. 290; Däubler/Klebe/Wedde/Weichert/Wedde, § 28 BDSG Rz. 162. 5 Taeger/Gabel/Taeger, § 28 BDSG Rz. 223; Däubler/Klebe/Wedde/Weichert/Wedde, § 28 BDSG Rz. 161.

620

|

Plath

Datenerhebung und -speicherung für eigene Geschäftszwecke | § 28 BDSG

IX. Besondere Arten personenbezogener Daten (Abs. 6–9) Die Absätze 6–9 regeln den Umgang mit besonders sensiblen Daten. Diese „be- 207 sonderen Arten personenbezogener Daten“ werden in § 3 Abs. 9 als „Angaben über die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben“ definiert. Ihre gesonderte Behandlung ist auf Art. 8 EG-Datenschutzrichtlinie zurückzuführen, der ein grundsätzliches Verbot der Verwendung solcher sensiblen Daten vorsieht. Es gelten dabei lediglich gewisse Ausnahmen, die in Umsetzung der europäischen Vorgaben in den Absätzen 6–9 für die Datenverwendung zu eigenen Zwecken durch nicht-öffentliche Stellen geregelt wurden. Trotz der Einführung des § 32, der die Datenverwendung i.R.v. Beschäftigungs- 208 verhältnissen regelt, sind Abs. 6–9 auch auf Arbeitsverhältnisse anzuwenden1. 1. Allgemeine Zulässigkeitsvoraussetzungen (Abs. 6) Nach Abs. 6 ist die Erhebung, Verarbeitung und Nutzung von „besonderen perso- 209 nenbezogenen Daten“ i.S.d. § 3 Abs. 9 zu eigenen Geschäftszwecken ausnahmsweise zulässig, wenn der Betroffene in die Verwendung ausdrücklich eingewilligt hat, oder wenn einer der vier Ausnahmetatbestände der Nr. 1–4 erfüllt ist. a) Schutz lebenswichtiger Interessen (Abs. 6 Nr. 1) Die Verwendung sensibler Daten ist nach Abs. 6 Nr. 1 zulässig, wenn sie zum 210 Schutz lebenswichtiger Interessen des Betroffenen oder eines Dritten notwendig ist. Darunter fallen alle existenziellen Interessen und Bedürfnisse des Betroffenen, insbesondere der Schutz von Leib und Leben. Voraussetzung ist jedoch, dass der Betroffene aus physischen (z.B. Ohnmacht, mangelnde Einsichtsfähigkeit, Unerreichbarkeit, Rausch) oder rechtlichen (z.B. Geschäftsunfähigkeit, Minderjährigkeit) Gründen nicht selbst einwilligen kann. Diese Ausnahme betrifft also Fälle, in denen davon ausgegangen werden kann, dass der Betroffene eingewilligt hätte, wenn er dazu in der Lage gewesen wäre2. Zu beachten ist, dass im Falle einer gesetzlichen Vertretung zunächst die Einwilligung des Vertreters einzuholen ist3. Allerdings soll sich die verantwortliche Stelle über die Verweigerung einer solchen Einwilligung hinwegsetzen können, wenn der Vertreter da1 BT-Drucks. 16/13657, S. 21; ausführlich zu den Besonderheiten aufgrund des Allgemeinen Gleichbehandlungsgesetzes (AGG) Gola/Schomerus, § 28 BDSG Rz. 76. 2 Ebenso Taeger/Gabel/Taeger, § 28 BDSG Rz. 227; Däubler/Klebe/Wedde/Weichert/ Wedde, § 28 BDSG Rz. 170. 3 Däubler/Klebe/Wedde/Weichert/Wedde, § 28 BDSG Rz. 170; Bergmann/Möhrle/Herb, § 28 BDSG Rz. 512.

Plath

|

621

§ 28 BDSG | Datenverarbeitung nicht-öffentlicher Stellen durch lebenswichtige Interessen des Betroffenen verletzt und die verantwortliche Stelle nach eigener Prüfung zu dem Ergebnis kommt, dass die Voraussetzungen von Abs. 6 Nr. 1 erfüllt sind1. Als lebenswichtige Interessen werden neben der Unversehrtheit von Leib und Leben auch die personelle und religiöse Identität angesehen2. b) Offenkundig öffentliche Daten (Abs. 6 Nr. 2) 211 Eine Einwilligung in die Verwendung sensibler Daten ist gemäß Abs. 6 Nr. 2

auch dann entbehrlich, wenn der Betroffene die verwendeten Daten offenkundig veröffentlicht hat. Die Veröffentlichung der Daten muss also auf eine freie Willensentscheidung des Betroffenen zurückzuführen sein, da der Betroffene dann als nicht schutzwürdig angesehen werden kann3. Dies ist bei Pressemeldungen Dritter über den Betroffenen oder anderen durch Dritte erfolgten Veröffentlichungen im Zweifel nicht der Fall4. Dagegen wird regelmäßig in der Annahme eines öffentlichen Amtes, in der eigenständigen Veröffentlichung von Texten und Bildern oder in der Aufnahme in erkennbar öffentlich zugängliche Listen, Internetseiten (v.a. soziale Netzwerke), Foren, Manifeste, Verzeichnisse usw. eine offenkundige Veröffentlichung zu sehen sein5. c) Geltendmachung rechtlicher Ansprüche (Abs. 6 Nr. 3)

212 Nach Abs. 6 Nr. 3 ist die Verwendung sensibler Daten ohne Einwilligung zuläs-

sig, wenn sie zur Geltendmachung, Ausübung oder Verteidigung rechtlicher Ansprüche i.S.d. § 194 Abs. 1 BGB erforderlich ist und kein Grund zur Annahme besteht, dass schutzwürdige Interessen des Betroffenen überwiegen. Da rechtliche Ansprüche sowohl privater als auch öffentlich-rechtlicher Natur sein können, können sich auch öffentliche Stellen auf Abs. 6 Nr. 3 berufen6. Der Ausnahmetatbestand ist trotz seines unklaren Wortlauts nicht auf gerichtliche Situationen beschränkt, sondern umfasst auch die außer- oder vorprozessuale Durchsetzung von Ansprüchen7. Die Erforderlichkeit sowie das Überwiegen der schutzwürdigen Betroffeneninteressen muss im Rahmen einer Interessenabwägung geprüft werden.

1 Z.B. Bergmann/Möhrle/Herb, § 28 BDSG Rz. 512; Däubler/Klebe/Wedde/Weichert/ Wedde, § 28 BDSG Rz. 170; Simitis/Simitis, § 28 BDSG Rz. 301. 2 Bergmann/Möhrle/Herb, § 28 BDSG Rz. 513; Taeger/Gabel/Taeger, § 28 BDSG Rz. 228. 3 Gola/Schomerus, § 28 BDSG Rz. 77; Taeger/Gabel/Taeger, § 28 BDSG Rz. 229; Däubler/ Klebe/Wedde/Weichert/Wedde, § 28 BDSG Rz. 171; Simitis/Simitis, § 28 BDSG Rz. 303. 4 Gola/Schomerus, § 28 BDSG Rz. 77; Däubler/Klebe/Wedde/Weichert/Wedde, § 28 BDSG Rz. 173; Simitis/Simitis, § 28 BDSG Rz. 302. 5 Simitis/Simitis, § 28 BDSG Rz. 303; Taeger/Gabel/Taeger, § 28 BDSG Rz. 229; Bergmann/Möhrle/Herb, § 28 BDSG Rz. 515 f. 6 Simitis/Simitis, § 28 BDSG Rz. 305; Bergmann/Möhrle/Herb, § 28 BDSG Rz. 517. 7 Bergmann/Möhrle/Herb, § 28 BDSG Rz. 519; Taeger/Gabel/Taeger, § 28 BDSG Rz. 232.

622

|

Plath

Datenerhebung und -speicherung für eigene Geschäftszwecke | § 28 BDSG

d) Wissenschaftliche Forschung (Abs. 6 Nr. 4) Besondere Arten personenbezogener Daten dürfen schließlich nach Abs. 6 Nr. 4 213 auch dann ohne Einwilligung verwendet werden, wenn dies zur Durchführung einer eigenen wissenschaftlichen Forschung erforderlich ist, wobei das wissenschaftliche Interesse der verantwortlichen Stelle gegenüber den schutzwürdigen Interessen des Betroffenen erheblich überwiegen muss und der Zweck der Forschung auf andere Weise nicht oder nur mit erheblichem Aufwand erreicht werden kann. Auch hier muss also eine ausgiebige Interessenabwägung vorgenommen werden. Abs. 6 Nr. 4 ist lex specialis zu Abs. 2 Nr. 3, der die Verwendung anderer als sensibler Daten zu Forschungszwecken regelt. 2. Datenverwendung zu gesundheitlichen Zwecken (Abs. 7) Über die Grundregelung des Abs. 6 hinaus ist unter den Voraussetzungen des 214 Abs. 7 die Erhebung sensibler Daten zu Zwecken des Gesundheitswesens zulässig. Namentlich fallen darunter die Gesundheitsvorsorge, die medizinische Diagnostik, die Gesundheitsversorgung, die medizinische Behandlung sowie die Verwaltung von Gesundheitsdiensten1. Der Anwendungsbereich der Norm ist grundsätzlich für alle Typen von sensiblen Daten eröffnet, wird sich im Regelfall jedoch auf Gesundheitsdaten beschränken2. Die unter diesen Voraussetzungen erhobenen Daten dürfen ferner nur von Per- 215 sonen verarbeitet werden, die der ärztlichen Schweigepflicht unterliegen. Damit muss auch das medizinische Verwaltungspersonal den ärztlichen Geheimhaltungspflichten, insbesondere § 203 Abs. 1 Nr. 1 StGB, unterworfen werden3. Die Verarbeitung sensibler Daten darf ferner gemäß Abs. 7 Satz 2 nur zu Zwecken vorgenommen werden, die von der ärztlichen Schweigepflicht umfasst werden. Satz 3 erweitert die Zweckbindung des Satz 2 sowie die Schweigepflicht des § 203 Abs. 1 und 3 StGB auf weitere Berufsgruppen, die im Gesundheitsbereich unterstützend tätig sind. Dies sind zum einen Berufe, die bei der Heilung oder Linderung von Krankheiten behilflich sind, insbesondere medizinische Therapeuten, Heilpraktiker, Krankengymnasten u.ä., sowie Berufe, die an der Herstellung und dem Vertrieb von Hilfsmitteln beteiligt sind, z.B. Pharmazeuten, orthopädische und zahntechnische Werkstätten, Arznei- und Naturheilmittelhersteller sowie Optiker. Auch Angehörige dieser Berufe dürfen medizinische Daten nur unter den Voraussetzungen verarbeiten, unter denen auch Personen, die der Schweigepflicht nach § 203 Abs. 1 und 3 StGB unterworfen sind, eine Verarbeitung vornehmen dürften. 1 Zum länderübergreifenden eHealth-Versorgungsdienst epSOS (European Patients Smart Open Services) vgl. die ausführliche Stellungnahme der Artikel-29-Datenschutzgruppe v. 25.1.2012. 2 Simitis/Simitis, § 28 BDSG Rz. 314. 3 Däubler/Klebe/Wedde/Weichert/Wedde, § 28 BDSG Rz. 180; Bergmann/Möhrle/Herb, § 28 BDSG Rz. 528.

Plath

|

623

§ 28 BDSG | Datenverarbeitung nicht-öffentlicher Stellen 216 Keine Anwendung findet Abs. 7 auf die Erhebung und Verarbeitung von Daten

durch Unfall- und Krankenversicherungen1. Insbesondere bedarf die Übermittlung von Daten an privatärztliche Verrechnungsstellen der Einwilligung des Betroffenen2. Zu beachten ist, dass im Falle der Verwendung von Daten zur medizinischen Versorgung in vielen Fällen bereichsspezifische Regelungen vorgehen3.

3. Zweckänderung bei der Verwendung sensibler Daten (Abs. 8) 217 Unausgesprochen liegt der Regelung des Abs. 8 der Gedanke zugrunde, dass

auch bei der Verwendung „besonderer personenbezogener Daten“ der Grundsatz der Zweckbindung gilt4. In Ausnahme zu diesem Grundsatz regelt Abs. 8, dass die Übermittlung und Nutzung sensibler Daten zu „anderen“ Zwecken nur unter den Voraussetzungen des Abs. 6 und 7 zulässig sein soll. Unklar ist zunächst, welche Zwecke „andere Zwecke“ sein können. Darüber hinaus gleicht die Regelung des Abs. 8 einem Zirkelschluss, denn sie verweist in Ausnahme zu den Regelungen des Abs. 6 und 7 auf eben diese Normen und ihre Voraussetzungen. Die Norm kann angesichts dessen nur so verstanden werden, dass eine Zweckerweiterung nach Abs. 8 Satz 1 zulässig sein soll, wenn neben dem ursprünglichen Zweck ein weiterer Zweck vorliegt, der eine Datenverwendung unter den Voraussetzungen des Abs. 6 oder 7 legitimiert.

218 Darüber hinaus erlaubt Abs. 8 Satz 2 eine Datenverwendung zu einem anderen

als dem ursprünglichen Zweck, wenn die Verwendung zur Abwehr erheblicher Gefahren oder zur Verfolgung von Straftaten von erheblicher Bedeutung erforderlich ist. Aufgrund der Erheblichkeitsschwelle ist diese Regelung strenger als die des Abs. 2 Nr. 2b, der eine Zweckänderung zur Abwehr jeder Art von Gefahren oder Straftaten erlaubt. Der Verdacht einer Gefahr oder Straftat reicht auch hier nicht aus, es müssen zumindest konkrete Anhaltspunkte vorliegen5. 4. Datenverwendung durch Organisationen ohne Erwerbszweck (Abs. 9)

219 Abs. 9 privilegiert die Erhebung, Verarbeitung und Nutzung von sensiblen Da-

ten durch politisch, philosophisch, religiös oder gewerkschaftlich6 ausgerichtete Organisationen, sofern sie keinen Erwerbszweck verfolgen. Diese Aufzählung

1 Taeger/Gabel/Taeger, § 28 BDSG Rz. 235; Bergmann/Möhrle/Herb, § 28 BDSG Rz. 527; Simitis/Simitis, § 28 BDSG Rz. 317. 2 Taeger/Gabel/Taeger, § 28 BDSG Rz. 237; vgl. BGH v. 10.10.2013 – III ZR 325/12, CR 2014, 13. 3 Simitis/Simitis, § 28 BDSG Rz. 313. 4 Gola/Schomerus, § 28 BDSG Rz. 81; Taeger/Gabel/Taeger, § 28 BDSG Rz. 238. 5 Bergmann/Möhrle/Herb, § 28 BDSG Rz. 534. 6 Vgl. die diesbezüglichen Beispiele bei Bergmann/Möhrle/Herb, § 28 BDSG Rz. 541 ff.

624

|

Plath

Datenerhebung und -speicherung für eigene Geschäftszwecke | § 28 BDSG

ist abschließend1. Auf die Rechtsform oder den Aufbau der Organisation kommt es nicht an2. Organisationen, die einen Erwerbszweck verfolgen, können sich bei der Verwendung sensibler Daten auch dann nicht auf Abs. 9 berufen, wenn sie einen der oben genannten Zwecke verfolgen oder einer entsprechenden Organisation nahestehen3. Daher fallen bspw. kirchliche oder politische Verlage aus dem Anwendungsbereich der Norm raus, eine Datenverwendung ist dann nur unter den allgemeinen Voraussetzungen des § 28 möglich4. Der Ausnahmetatbestand ist gemäß Abs. 9 Satz 2 auf die Verwendung der sensi- 220 blen Daten von Mitgliedern oder solcher Personen beschränkt, die regelmäßig Kontakt mit der Organisation haben, da nur in diesen Fällen von einer eingeschränkten Schutzbedürftigkeit der Betroffenen ausgegangen werden kann. Nahestehende Personen sind bspw. ernsthafte Interessenten, Spender, Förderer, u.U. auch nahe Familienmitglieder5. Darüber hinaus muss die Datenverwendung für die Tätigkeit der Organisation erforderlich sein, die Daten müssen also in Beziehung zur Aufgabe der Organisation stehen6. Die Übermittlung von sensiblen Daten ist grundsätzlich als Form der Verarbei- 221 tung von der Regelung des Abs. 9 umfasst. Allerdings bestimmt Abs. 9 Satz 3, dass die Übermittlung von sensiblen Daten an Empfänger, die außerhalb der Organisation stehen, gemäß § 4a Abs. 3 nur mit Einwilligung des Betroffenen zulässig ist. Als Rückausnahme regelt Abs. 9 Satz 4, dass eine Einwilligung entbehrlich ist, wenn die Übermittlung gemäß Abs. 2 Nr. 2b zur Abwehr von Gefahren für die staatliche oder öffentliche Sicherheit oder zur Verfolgung von Straftaten erforderlich ist (s. Rz. 97). Dabei vertritt die h.M. in der Literatur die Ansicht, dass im Sinne einer verfassungskonformen Auslegung und mit Verweis auf die diesbezügliche Einschränkung in Abs. 8 Satz 2 auch i.R.d. Abs. 9 Satz 4 eine Beschränkung des Ausnahmetatbestands auf erhebliche Gefahren bzw. Straftaten zu erfolgen hat7. 1 Taeger/Gabel/Taeger, § 28 BDSG Rz. 241; Bergmann/Möhrle/Herb, § 28 BDSG Rz. 539; Däubler/Klebe/Wedde/Weichert/Wedde, § 28 BDSG Rz. 186; Simitis/Simitis, § 28 BDSG Rz. 328. 2 Bergmann/Möhrle/Herb, § 28 BDSG Rz. 538; Simitis/Simitis, § 28 BDSG Rz. 332. 3 Simitis/Simitis, § 28 BDSG Rz. 331. 4 Taeger/Gabel/Taeger, § 28 BDSG Rz. 240; Bergmann/Möhrle/Herb, § 28 BDSG Rz. 545; Gola/Schomerus, § 28 BDSG Rz. 82; Däubler/Klebe/Wedde/Weichert/Wedde, § 28 BDSG Rz. 187. 5 Bergmann/Möhrle/Herb, § 28 BDSG Rz. 548; strenger dagegen Däubler/Klebe/Wedde/ Weichert/Wedde, § 28 BDSG Rz. 189; Simitis/Simitis, § 28 BDSG Rz. 334. 6 Bergmann/Möhrle/Herb, § 28 BDSG Rz. 540; Taeger/Gabel/Taeger, § 28 BDSG Rz. 241; Däubler/Klebe/Wedde/Weichert/Wedde, § 28 BDSG Rz. 188; Simitis/Simitis, § 28 BDSG Rz. 333. 7 So z.B. Taeger/Gabel/Taeger, § 28 BDSG Rz. 242; Simitis/Simitis, § 28 BDSG Rz. 337; Däubler/Klebe/Wedde/Weichert/Wedde, § 28 BDSG Rz. 191; a.A. Bergmann/Möhrle/ Herb, § 28 BDSG Rz. 551, der sich lediglich für eine enge Auslegung der Norm ausspricht.

Plath

|

625

§ 28a BDSG | Datenverarbeitung nicht-öffentlicher Stellen X. Rechtsfolgen/Sanktionen 222 Eine Datenverwendung, die nicht durch einen der Erlaubnistatbestände des § 28

und auch sonst durch keine Einwilligung oder bereichsspezifische Erlaubnisnorm gedeckt ist, ist unzulässig.

223 Bei Zuwiderhandlungen kann die verantwortliche Stelle auf Unterlassung und

Beseitigung gemäß § 823 Abs. 1 i.V.m. § 1004 BGB in Anspruch genommen werden. Möglich sind auch die Geltendmachung von Schadensersatzansprüchen aus § 7 BDSG, § 823 Abs. 1 BGB sowie § 823 Abs. 2 BGB i.V.m. § 28 als Schutzgesetz. Der Betroffene kann zudem bei schwerwiegenden Verletzungen seines Rechts auf informationelle Selbstbestimmung Anspruch auf Zahlung von Schmerzensgeld haben.

224 Darüber hinaus ist ein Verstoß gegen § 28 unter den Voraussetzungen des § 43,

insbesondere § 43 Abs. 1 Nr. 3, 3a und 4 sowie Abs. 2 Nr. 5, 5a und 5b, als Ordnungswidrigkeit bußgeldbewährt. Bei vorsätzlichen Verstößen, die gegen Entgelt oder in Bereicherungs- oder Schädigungsabsicht erfolgen, droht zudem eine Strafbarkeit gemäß § 44.

225 Schließlich berechtigt ein Verstoß gegen § 28 auch zu einem Einschreiten der

Aufsichtsbehörde gemäß § 38.

226 Da nach der hier vertretenen, jedoch umstrittenen Ansicht § 28 keine verbrau-

cherschützende Funktion hat, kommt eine Inanspruchnahme aus dem Unterlassungsklagegesetz (UKlaG) oder dem UWG nicht in Betracht (s. Rz. 102).

227 Ebenso wenig stellt § 28 ein Verbotsgesetz i.S.d. § 134 BGB dar. Damit ist ein

Rechtsgeschäft, das unter Verstoß gegen § 28 zustande gekommen ist, nicht bereits deshalb nichtig. Nach Auffassung des BGH würde die gegenteilige Ansicht zum einen die Verkehrsfähigkeit von Geldforderungen aushebeln, und zum anderen verkennen, dass dem Schutzzweck des § 28 durch die im BDSG vorgesehenen Sanktionierungen ausreichend genügt wird1.

§ 28a Datenübermittlung an Auskunfteien (1) 1Die Übermittlung personenbezogener Daten über eine Forderung an Auskunfteien ist nur zulässig, soweit die geschuldete Leistung trotz Fälligkeit nicht erbracht worden ist, die Übermittlung zur Wahrung berechtigter Interessen der verantwortlichen Stelle oder eines Dritten erforderlich ist und 1 BGH v. 27.2.2007 – XI ZR 195/05, NJW 2007, 2106 (2108) sowie OLG Brandenburg v. 19.2.2010 – 4 U 194/08.

626

|

Plath/Kamlah

Datenübermittlung an Auskunfteien | § 28a BDSG

1. die Forderung durch ein rechtskräftiges oder für vorläufig vollstreckbar erklärtes Urteil festgestellt worden ist oder ein Schuldtitel nach § 794 der Zivilprozessordnung vorliegt, 2. die Forderung nach § 178 der Insolvenzordnung festgestellt und nicht vom Schuldner im Prüfungstermin bestritten worden ist, 3. der Betroffene die Forderung ausdrücklich anerkannt hat, 4. a) der Betroffene nach Eintritt der Fälligkeit der Forderung mindestens zweimal schriftlich gemahnt worden ist, b) zwischen der ersten Mahnung und der Übermittlung mindestens vier Wochen liegen, c) die verantwortliche Stelle den Betroffenen rechtzeitig vor der Übermittlung der Angaben, jedoch frühestens bei der ersten Mahnung über die bevorstehende Übermittlung unterrichtet hat und d) der Betroffene die Forderung nicht bestritten hat oder 5. das der Forderung zugrunde liegende Vertragsverhältnis aufgrund von Zahlungsrückständen fristlos gekündigt werden kann und die verantwortliche Stelle den Betroffenen über die bevorstehende Übermittlung unterrichtet hat. 2Satz 1 gilt entsprechend, wenn die verantwortliche Stelle selbst die Daten nach § 29 verwendet. (2) 1Zur zukünftigen Übermittlung nach § 29 Abs. 2 dürfen Kreditinstitute personenbezogene Daten über die Begründung, ordnungsgemäße Durchführung und Beendigung eines Vertragsverhältnisses betreffend ein Bankgeschäft nach § 1 Abs. 1 Satz 2 Nr. 2, 8 oder Nr. 9 des Kreditwesengesetzes an Auskunfteien übermitteln, es sei denn, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Übermittlung gegenüber dem Interesse der Auskunftei an der Kenntnis der Daten offensichtlich überwiegt. 2Der Betroffene ist vor Abschluss des Vertrages hierüber zu unterrichten. 3Satz 1 gilt nicht für Giroverträge, die die Einrichtung eines Kontos ohne Überziehungsmöglichkeit zum Gegenstand haben. 4Zur zukünftigen Übermittlung nach § 29 Abs. 2 ist die Übermittlung von Daten über Verhaltensweisen des Betroffenen, die im Rahmen eines vorvertraglichen Vertrauensverhältnisses der Herstellung von Markttransparenz dienen, an Auskunfteien auch mit Einwilligung des Betroffenen unzulässig. (3) 1Nachträgliche Änderungen der einer Übermittlung nach Absatz 1 oder Absatz 2 zugrunde liegenden Tatsachen hat die verantwortliche Stelle der Auskunftei innerhalb von einem Monat nach Kenntniserlangung mitzuteilen, solange die ursprünglich übermittelten Daten bei der Auskunftei gespeichert sind. 2Die Auskunftei hat die übermittelnde Stelle über die Löschung der ursprünglich übermittelten Daten zu unterrichten. Kamlah

|

627

§ 28a BDSG | Datenverarbeitung nicht-öffentlicher Stellen I. II. III. 1.

Einführung . . . . . . . . . . . . . . . Anwendungsbereich . . . . . . . . Erlaubnistatbestände . . . . . . . . Erlaubnistatbestände für die Übermittlung (Abs. 1) . . . . . . . a) Daten über eine Forderung . . b) Nicht erbrachte Leistung trotz Fälligkeit . . . . . . . . . . . . . . . c) Notwendigkeit einer Interessenabwägung? . . . . . . . . . . . d) Übermittlungsbefugnis . . . . . e) Die Regelbeispiele im Einzelnen aa) Übermittlung aufgrund eines Urteils oder eines Titels (Abs. 1 Satz 1 Nr. 1) bb) Übermittlung aufgrund Feststellung im Insolvenzverfahren (Abs. 1 Satz 1 Nr. 2) . . . . . . . . . . . . . . cc) Übermittlung aufgrund eines Anerkenntnisses (Abs. 1 Satz 1 Nr. 3) . . . .

1 2 11 12 13 18 20 21a

2.

22

23 24

3. IV. V.

dd) Übermittlung aufgrund vorheriger Mahnungen (Abs. 1 Satz 1 Nr. 4) . . . . ee) Übermittlung aufgrund einer Kündigung (Abs. 1 Satz 1 Nr. 5) . . . . f) Verantwortliche Stelle betreibt geschäftsmäßige Datenverarbeitung (Abs. 1 Satz 2) . . . . Datenübermittlung durch Kreditinstitute (Abs. 2 Sätze 1 und 3) a) Erlaubnistatbestand (Abs. 2 Satz 1) . . . . . . . . . . . b) Girokontoverträge ohne Überziehungsmöglichkeit (Abs. 2 Satz 3) . . . . . . . . . . . c) Unterrichtungspflicht gegenüber Betroffenen (Abs. 2 Satz 2) d) Übermittlungsverbot für Kreditinstitute (Abs. 2 Satz 4) Nachberichtspflicht (Abs. 3) . . . Verhältnis zu anderen Normen Rechtsfolgen bei Verstoß . . . . .

26 37 41

44 56 57 59 67 80 81

Schrifttum: Siehe § 6a BDSG; ferner Chrozciel, Datenschutzrechtliche Pflichten nach dem Geldwäschegesetz, ZD 2013, 170; Gounalakis/Klein, Zulässigkeit von personenbezogenen Bewertungsplattformen, NJW 2010, 566; Gurlit, Verfassungsrechtliche Rahmenbedingungen des Datenschutzes, NJW 2010, 1035; Hanten/Görke/Ketessidis, Outsourcing im Finanzsektor, 2011; Härting, „Prangerwirkung“ und „Zeitfaktor“, CR, 2009, 21; Iraschko-Luscher/ Kiekenbeck, Internetbewertungen von Dienstleistern – praktisch oder kritisch?, ZD 2012, 261; Hilpert, Der Austausch von Seriositätsdaten durch Auskunfteien, ZD 2015, 259; Hofmann, Die Pflicht zur Bewertung der Kreditwürdigkeit, NJW 2010, 1782; Hornung, Erweiterung der SCHUFA-Klausel möglich?, CR 2007, 753; Kamlah/Hoke, Das SCHUFA-Verfahren im Lichte jüngerer obergerichtlicher Rechtsprechung, RDV 2007, 242; Kamlah/ Hornung, Zur Übermittlung sogenannter Negativdaten an Auskunfteien, PinG 2015, 265; Kamp/Weichert, Scoringsysteme zur Beurteilung der Kreditwürdigkeit – Chancen und Risiken für Verbraucher, Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein, 2005; Kilian, Subventionstransparenz und Datenschutz, NJW 2011, 1325; Korczak, Verantwortungsvolle Kreditvergabe, Gutachten im Auftrag des Bundesministeriums für Verbraucherschutz, Ernährung und Landwirtschaft, München 2005; Liedke, Die Einwilligung im Datenschutzrecht, Edewecht 2012; Lützen, „Schriftlich“ und „Schriftform“ – der unbekannte Unterschied, NJW 2012, 1627; Lixfeld, § 28 Abs. 3a, Satz 1 1. Alt. BDSG – Schriftform oder Textform? Eine rechtsmethodische Untersuchung, RDV 2010, 163; Moos, Die Entwicklung des Datenschutzrechts im Jahre 2010, K&R 2011, 145; Moos, Die Entwicklung des Datenschutzrechts im Jahr 2011, K&R 2012, 151; Nagel, Das HIS System in der aktuellen Rechtsprechung zur Kraftfahrtversicherung, DAR 2015, 348; Polenz, Datenschutz in der Versicherungswirtschaft, VuR, 2015, 416; Schulz, Und er sah, dass es gut

628

|

Kamlah

Datenübermittlung an Auskunfteien | § 28a BDSG war. Zur Übermittlung von Positivdaten gewerblicher Marktteilnehmer an Auskunfteien, PinG 2014, 81; Roßnagel, Die Novellen zum Datenschutzrecht, NJW 2009, 2716; Wienen, Prangerwirkung von Onlineveröffentlichungen, ITRB 2012, 160.

I. Einführung Nach der im Jahr 2001 abgeschlossenen Umsetzung der EG-Datenschutzricht- 1 linie (95/46/EG) in deutsches Recht wandte sich der Gesetzgeber bereichsspezifischen Themen zu. So wurden von Bundesministerien insbesondere Studien zum Thema Auskunfteien1 und Scoring2 in Auftrag gegeben. I.E. sah sich der Gesetzgeber veranlasst, einzelne Aspekte der Auskunfteitätigkeit speziell zu regeln. Parallel hierzu führte eine Reihe von Datenschutzpannen und -skandalen der Jahre 2007 bis 2009 zu einer weiteren Überarbeitung des BDSG. Durch das Gesetz zur Änderung des BDSG vom 29.7.2009 (sog. Novelle I) wurde mit Wirkung zum 1.4.2010 mit § 28a eine Sondervorschrift für Datenübermittlungen3 an Auskunfteien in das BDSG aufgenommen4. Ziel des Gesetzesgebers war es, Art. 7f EG-Datenschutzrichtlinie zu konkretisieren5 und für mehr Rechtssicherheit zu sorgen6. Da die Übermittlungsvoraussetzungen an Auskunfteien ihre Entsprechung in der Vorschrift zur geschäftsmäßigen (Weiter-)Verarbeitung finden müssen, wurde gleichzeitig § 29 Abs. 1 um eine entsprechende Speichererlaubnis für Auskunfteien ergänzt7. Durch die Festlegung der Voraussetzungen, 1 Bericht des Bundesministeriums des Innern zum Datenschutz bei Auskunfteien, Innenausschuss Adrs. 16(4)124; zur Bedeutung von Auskunfteien im Rahmen der Kreditvergabe auch EuGH v. 23.11.2006 – Rs. C 238/05, WM 2007, 157; nach BGH v. 22.2.2011 – VI ZR 120/10, NJW 2011, 2204 ist die Erteilung von zutreffenden Bonitätsauskünften für das Funktionieren der Wirtschaft von erheblicher Bedeutung; von einer Pflicht zur Bewertung der Kreditwürdigkeit spricht Hofmann, NJW 2010, 1782. 2 Kamp/Weichert, Scoringsysteme zur Beurteilung der Kreditwürdigkeit – Chancen und Risiken für Verbraucher, Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein, 2005; Korczak, Verantwortungsvolle Kreditvergabe, Gutachten im Auftrag des Bundesministeriums für Verbraucherschutz, Ernährung und Landwirtschaft, München 2005. 3 Zur Faxanfrage einer Auskunftei nach Wirtschaftsdaten im Sinne der Direkterhebung und zur wettbewerbsrechtlichen Einordnung OLG Stuttgart v. 25.7.2013 – 2 U 9/13, ZD 2014, 144. 4 BGBl. I, S. 2254. 5 BT-Drucks. 16/10529, S. 11; s. aber nunmehr zu den Anforderungen an eine richtlinienkonforme nationale Gesetzgebung EuGH v. 24.11.2011 in den verbundenen Rechtssachen C-468/10 und C-469/10 (Verarbeitung personenbezogener Daten), CR 2012, 29 ff.; hierzu mit Blick auf die 2010 in Kraft getretenen Neuregelungen zu Auskunfteien Moos, Die Entwicklung des Datenschutzrechts im Jahr 2011, 151 (151 f.). 6 BT-Drucks. 16/10529, S. 1; zu den verfassungsrechtlichen Rahmenbedingungen des Datenschutzes, Gurlit, NJW 2010, 1035. 7 BT-Drucks. 16/10529, S. 11.

Kamlah

|

629

§ 28a BDSG | Datenverarbeitung nicht-öffentlicher Stellen nach denen die Daten an die Auskunfteien übermittelt werden dürfen, ist gleichzeitig der von den Auskunfteien verarbeitete Datenkranz vorbestimmt.

II. Anwendungsbereich 2 Die Norm steht im dritten Abschnitt des BDSG, dessen Anwendungsbereich über

§ 27 definiert wird. Damit gilt die Norm für alle nicht-öffentlichen Stellen sowie diejenigen öffentlichen Stellen des Bundes, die am Wettbewerb teilnehmen (vgl. § 27). Öffentliche Stellen der Länder, die am Wettbewerb teilnehmen (z.B. Sparkassen und – soweit auf sie zutreffend – Landesbanken) müssen § 28a anwenden, wenn die für sie anwendbaren Landesdatenschutzgesetze auf das BDSG verweisen. Dies gilt aber nur, wenn es sich um eine dynamische Verweisung handelt1. Wird statisch auf das BDSG in einer bestimmten Fassung verwiesen2, so kann für die entsprechenden Wettbewerbsunternehmen § 28a nicht angewendet werden; sie sind somit bis zur Anpassung der Verweisungen privilegiert3.

3 Die Vorschrift des § 28a geht dem § 28 als Sondervorschrift vor, denn § 28a re-

gelt die Rechtmäßigkeitsvoraussetzungen abschließend4. Fehlen jedoch die tatbestandlichen Voraussetzungen des § 28a wie insbesondere die Forderungsbezogenheit, dann ist der Anwendungsbereich des § 28 oder auch des § 32 – sofern bspw. zwischen dem Betroffenen und der verantwortlichen Stelle neben dem Kreditverhältnis zugleich auch ein Beschäftigungsverhältnis besteht – weiter eröffnet. Dagegen ist eine Anwendung des § 29 nicht denkbar. Diese Vorschrift regelt die Übermittlung durch die Auskunfteien und nicht die hier geregelte Übermittlung an Auskunfteien.

4 Nicht dagegen ausgeschlossen ist die Übermittlung auf Basis einer Einwilligung

nach § 4a, denn die Zulässigkeitsvarianten nach § 4 stehen gleichwertig nebeneinander5. Da Einwilligungen vielfach Bestandteil von AGB darstellen (s. hierzu § 4a)6, dürfte die gesetzgeberische Wertung des § 28a AGB-rechtlich dazu führen, dass die Beschränkungen des § 28a nicht wesentlich über eine im Rahmen von AGBs erteilte Einwilligung „aufgebohrt“ werden können.

5 Da § 28a Abs. 1 Satz 1 nur die Übermittlung (§ 3 Abs. 4 Nr. 3) reglementiert,

gelten für die übrigen Phasen der Datenerhebung bzw. -verarbeitung und Nut-

1 § 2 Abs. 4 LDSG BW, Art. 3 BayDSG, § 2 Abs. 2 DSG NW, § 2 Abs. 2 u. 3 LDSG RP, § 2 Abs. 2 SDSG, § 3 Abs. 2 DSG LSA, § 3 Abs. 2 LDSG SH, § 26 ThürDSG. 2 § 2 DSG MV Abs. 5, § 2 NDSG Abs. 3 oder § 2 SächsDSG Abs. 3. 3 Bergmann/Möhrle/Herb, § 28a BDSG Rz. 3. 4 Vgl. Simitis/Ehmann, § 28a BDSG Rz. 3, der allerdings die Spezialität nur in Bezug auf § 28 Abs. 1 Satz 1 BDSG annimmt. 5 Auch Auernhammer/Kramer, § 28a BDSG Rz. 5. 6 Zu Einwilligungserklärungen bei Gewinnspielen KG Berlin v. 26.8.2010 – 23 U 34/10, K&R 2011, 270 f.; eingehend Liedke, S. 20.

630

|

Kamlah

Datenübermittlung an Auskunfteien | § 28a BDSG

zung die allgemeinen Regelungen (insbesondere § 28). Ohne die Meldung von Daten können jedoch Auskunfteien nicht tätig werden, so dass § 28a einen zentralen Aspekt ihrer Tätigkeit regelt. Außerdem handelt es sich bei Auskunfteien i.d.R. nicht um Auftragsdatenverarbeiter i.S.d. § 11, an die Daten ohne eine „Übermittlung“ im datenschutzrechtlichen Sinne weitergegeben werden können, weil sie nicht als Dritte gelten (§ 3 Abs. 8 Satz 3). Auftragsdatenverarbeitung ist grundsätzlich nur dann anzunehmen, wenn sich die Auskunftei ihrerseits eines Dienstleisters bedient oder (ggf. nach erfolgter Übermittlung) Archivfunktionen für die Datenempfänger übernimmt. Da das BDSG dem Schutz natürlicher Personen dient (§ 3 Abs. 1), ist die An- 6 wendung des § 28a dann zweifelhaft, wenn bspw. Zahlungserfahrungen zu Unternehmen übermittelt werden. Diese Daten sind nur dann personenbezogen und somit vom Anwendungsbereich des § 28a erfasst, wenn sie direkt auf eine natürliche Person bezogen werden können (Einzelunternehmer, Kleingewerbetreibende, Selbständige, eingetragene Kaufleute; vgl. § 3)1 oder als Information einer juristischen Person auf eine natürliche Person „durchschlagen“2. § 28a regelt die Datenübermittlung an Auskunfteien, ohne den Begriff im Ge- 7 setzestext oder in der Begründung zu definieren. Die Gesetzesbegründung lehnt sich an Ehmann3 an: „Unter einer Auskunftei ist grundsätzlich ein Unternehmen zu verstehen, das unabhängig vom Vorliegen einer konkreten Anfrage geschäftsmäßig bonitätsrelevante Daten über Unternehmen oder Privatpersonen sammelt, um sie bei Bedarf seinen Geschäftspartnern für die Beurteilung der Kreditwürdigkeit des Betroffenen gegen Entgelt zugänglich zu machen“4. Geschäftspartner in diesem Sinne sind mangels „Konzernprivileg“ bei konzerninternen Auskunfteien dementsprechend die angeschlossenen Konzerngesellschaften. Sowohl die Auskunfteidefinition der Gesetzesbegründung als auch die des neu- 8 en, durch die sog. Novelle III5 eingefügten § 29 Abs. 6 stellen „grundsätzlich“ nur darauf ab, dass die gespeicherten Daten zum Zwecke der Kreditwürdigkeitsprüfung dienen6. Um welche Daten es sich dabei handeln kann, bleibt je1 Insoweit ablehnend Gierschmann/Saeugling/Heinemann, § 28a BDSG Rz. 16 ff.; für den Anwendbarkeit auf Unternehmen Auerhammer/Kramer, § 28a BDSG Rz. 3. 2 S. BGH v. 24.6.2003 – VI ZR 3/03 (kreditrelevante Daten der natürlichen Person in Wirtschaftsauskunft), NJW 2003, 2904 und VG Wiesbaden v. 7.12.2007 – 6 E 928/07 (Hessische Zirkusdatei), NVwZ-RR 2008, 617; LG Berlin v. 27.11.2013 – 10 O 125/13, ZD 2014, 366; s.a. BGH v. 17.12.1985 – VI ZR 244/84 (kreditrelevante Daten des Unternehmens in Auskunft über Person), NJW 1985, 2505; hierzu auch Schulz, PinG 2014, 81. 3 Simitis/Ehmann, 6. Aufl. 2006, § 29 Rz. 71 ff. 4 BT-Drucks. 16/10529, S. 9. 5 BGBl. I 2009, S. 2355 (2384). 6 Zur Pflicht der Kreditwürdigkeitsprüfung EuGH v. 18.12.2014 – C 449/13, EuZW 2015, 189 und EuGH v. 27.3.2014 – C-565/12, NJW 2014, 1941.

Kamlah

|

631

§ 28a BDSG | Datenverarbeitung nicht-öffentlicher Stellen weils offen. Während die Auskunfteidefinition der Gesetzesbegründung noch von bonitätsrelevanten Daten spricht, formuliert § 29 Abs. 6 ganz allgemein nur als Voraussetzung, dass personenbezogene Daten zur Bewertung der Kreditwürdigkeit genutzt werden dürfen. Damit ist es denkbar, dass es bonitätsrelevante Daten geben kann, die nicht forderungsbezogen sind. Das wiederum bedeutet, dass datenverarbeitende Stellen, die nicht forderungsbezogene Daten verarbeiten, als Auskunfteien zu qualifizieren sind, solange diese Daten nur bonitätsrelevant sind. Von Auskunfteien wiederum abzugrenzen sind Warndateien und Hinweissysteme, denen keine forderungsbezogenen Daten zum Zwecke der Kreditwürdigkeitsprüfung zugrunde liegen1. Es sind aber auch Mischformen denkbar. So werden bei sog. Vermieterschutzportalen einerseits Forderungsdaten und andererseits Angaben zum Mieterverhalten verarbeitet2. Der Anwendungsbereich des § 29 geht allerdings über den des Begriffs der Auskunftei hinaus. Bspw. wurde die Zulässigkeit der Datenspeicherung und -übermittlung bei Bewertungsportalen nach dem für Auskunfteien geltenden § 29 Abs. 1 geprüft3. Aber auch die Anbringung eines GPS-Senders an einem Fremd-Kfz zur Erstellung eines Bewegungsprofiles wird nach § 29 geprüft4. 9 Eine Auskunftei im vorstehenden Sinne liegt auch dann vor, wenn sie nur kon-

zernintern tätig wird. Ein „Konzernprivileg“ existiert insoweit nicht.

1 S.a. Däubler/Klebe/Wedde/Weichert/Weichert, § 28a BDSG Rz. 1; einen Rechtsprechungsüberblick zum sog. HIS der Versicherungswirtschaft bieten Polenz, VuR 2015, 416 und Nagel, DAR 2015, 348. 2 https://www.demda.de/produkt-demda-mietercheck.php, gesehen am 17.7.2012. 3 BGH v. 23.6.2009 – IV ZR 196/08, NJW 2009, 2888 – spick-mich.de; hierzu Gounalakis/ Klein, NJW 2010, 566; BGH v. 23.9.2014 – VI ZR 358/13, NJW 2015, 489; s.a. „Auskunftei“ über Justizprüfung, 17. TB 2005 des LfD NRW; eingehend OLG Frankfurt a.M. v. 8.3. 2012 – 16 U 125/11, CR 2012, 399; für eine Anwendung des § 30a BDSG offenbar Iraschko-Luscher/Kiekenbeck, ZD 2012, 261; die Anwendung des BDSG bei Bewertungsportalen ablehnend Härting, CR 2009, 21 (26); zur Löschung negativer eBay-Bewertung bei Bereithaltung entsprechender Schutzmechanismen OLG Düsseldorf v. 11.3.2011 – I-15 W 14/ 11, MMR 2011, 457; zur Zulässigkeit einer Online-Schuldtitelbörse LG Köln v. 17.3.2010 – 28 O 612/09, MMR 2010, 369; zur Zulässigkeit ungeschwärzter Urteilsveröffentlichung (Abmahnanwalt) OLG Hamburg v. 16.2.2010 – 7 U 88/09, ITRB 2010, 154; anders bei ärztlichen Untersuchungsbefunden VGH Baden-Württemberg v. 27.7.2010 – 1 S 501/ 10, RDV 2011, 35; zur Zulässigkeit der Veröffentlichung von Schriftsätzen LG Berlin v. 17.9.2009 – 27 O 530/09, ITRB 2010, 58; zur Zulässigkeit täteridentifizierender Dossiers in Internetportalen BGH v. 9.2.2010 – VI ZR 243/08, CR 2010, 480; zur Unzulässigkeit von unterschiedslosen Online-Veröffentlichungen von EU-Agrarsubventionsempfängern EuGH v. 9.11.2010 – Rs. C-92/09, Rs. C-93/09, CR 2011, 271; hierzu eingehend Kilian, NJW 2011, 1325; zu behördlichen Warnungen vor verzehrungeeigneten Lebensmitteln unter Nennung des Unternehmens, EuGH v. 11.4.2013 – C-636/11, ZD 2013, 403; zu „Internethygienepranger“ beispielhaft BayVGH v. 18.3.2013 – 9 CE 12.2755, ZD 2015, 416; zu sog. AGG-Hopper-Dateien OLG Stuttgart v. 11.4.2013 – 2 U 111/12, ZD 2013, 408. 4 LG Lüneburg v. 28.3.2011 – 26 Qs 45/11, NJW 2011, 2225.

632

|

Kamlah

Datenübermittlung an Auskunfteien | § 28a BDSG

Der Gesetzgeber erkennt mit der Regelung mittelbar an, dass es ein berechtigtes 10 Interesse an Bonitätsprüfungen gibt1. „Nur“ die Einmeldevoraussetzungen sollen geschärft werden. Gleichwohl bleiben Einzelheiten des Verhältnisses der Normen untereinander sowie der Abs. 1–3 innerhalb des § 28a zueinander unklar.

III. Erlaubnistatbestände Geregelt wird in § 28a, unter welchen Voraussetzungen personenbezogene Da- 11 ten über Schuldner an Auskunfteien übermittelt (§ 28a Abs. 1 Satz 1)2 oder durch die verantwortliche Stelle selbst verwendet (§ 28a Abs. 1 Satz 2) werden dürfen. Kreditinstitute dürfen zusätzliche personenbezogene Daten an Auskunfteien übermitteln (§ 28a Abs. 2). In allen Fällen nach Abs. 1 und 2 besteht eine Nachberichtspflicht bei Veränderungen (§ 28a Abs. 3). 1. Erlaubnistatbestände für die Übermittlung (Abs. 1) Abs. 1 Satz 1 enthält für die Übermittlung von Informationen über Leistungsstö- 12 rungen abschließend3 fünf verschiedene Erlaubnistatbestände (Nr. 1–5). a) Daten über eine Forderung Bei den übermittelten personenbezogenen Daten muss es sich um Angaben über 13 eine Forderung handeln. Der Begriff der Forderung ist schuldrechtlich zu verstehen (s. § 241 BGB). Der Rechtsgrund der Forderung ist unerheblich. In Betracht kommen damit 14 schuldrechtliche wie deliktische Ansprüche. Selbst Forderungen aus einem öffentlich-rechtlichen Schuldverhältnis fallen darunter, sofern nicht ggf. bereichsspezifische Datenschutzregelungen hierfür bestehen. Denn § 28a Abs. 1 unterscheidet nicht nach Art oder Dauer des Schuldverhältnisses. Damit ist die Übermittlung von Forderungen an Auskunfteien aus allen Schuldverhältnissen möglich, nicht nur aus Kreditverhältnissen, sondern z.B. auch aus Mietverhältnissen oder nicht gezahlten Prämien. Geregelt wird die Zulässigkeit der Übermittlung von Daten, die im Zusammen- 15 hang mit einer Forderung stehen („über eine Forderung“). Forderungsdaten sind damit auch Zahlungsverhaltensdaten (z.B. die Aussage „zahlt unpünktlich“, „langsamer Zahler“4 oder „macht Skontoabzüge“), aber auch z.B. Rücklastschriften. Im Einzelfall kann jedoch bei Zahlungserfahrungsdaten die Abgrenzung schwierig sein, ob diese als „negativ“ (rückständige Forderung nach 1 2 3 4

Gola/Schomerus, § 28a BDSG Rz. 5. S. auch die Rechtsprechungsübersicht bei Kamlah/Hoke, RDV 2007, 242. Däubler/Klebe/Wedde/Weichert/Weichert, § 28a BDSG Rz. 4. BGHZ 8, 142.

Kamlah

|

633

§ 28a BDSG | Datenverarbeitung nicht-öffentlicher Stellen Abs. 1), „positiv“ (Begründung, Durchführung oder – vertragsgemäße – Beendigung nach Abs. 2) oder „neutral“ (Personenstammdaten) und demnach „nur“ nach § 28 zu beurteilen sind. Dies gilt insbesondere in den Fällen, in denen die Zahlungsverhaltensdaten in einem wie auch immer gearteten Index zusammengefasst werden1. Nicht forderungsbezogene Daten sind bspw. sog. Seriositätsmerkmale (z.B. Betrugsverdacht oder Missbrauch)2 oder allgemeine Verhaltensdaten (z.B. Nichtbeachtung der Hausordnung im Rahmen einer Mieterwarndatei, „Hochretournierer“ im Versandhandel)3. 16 Die Beispiele zeigen die Abgrenzungsschwierigkeiten auf, die durch die gesetz-

lich nicht definierten Tatbestandsvoraussetzungen „Auskunft“ und „Daten über eine Forderung“ aufgeworfen werden (z.B. bei Information über eine fristlose Kündigung ohne unmittelbaren Forderungsbezug). I.E. ergeben sich hieraus Gestaltungsspielräume, denn die Übermittlung dieser nicht forderungsbezogenen Angaben richtet sich wie bisher nach den Voraussetzungen des § 28, insbesondere nach dessen Abs. 2 Nr. 2.

17 Grundsätzlich unerheblich ist, welche Höhe die offene Forderung hat. Gerade

wenn der Anschein besteht, es können vergleichsweise geringe Forderungen nicht beglichen werden, begründet dies ein Informationsinteresse4.

b) Nicht erbrachte Leistung trotz Fälligkeit 18 Weitere Voraussetzung ist, dass die geschuldete Leistung trotz Fälligkeit nicht

erbracht wurde. Der Begriff der Fälligkeit orientiert sich an dem des allgemeinen Zivilrechts und bezeichnet damit den Zeitpunkt, ab dem die Leistung verlangt werden kann5. Zu beachten ist bei Forderungen, deren Höhe durch Gestaltungsurteil zu bestimmen ist, dass hier die Fälligkeit erst nach Rechtskraft des Urteils eintritt6. Nachträglich abgeschlossene Ratenzahlungsvereinbarungen ändern an dem Kriterium der Fälligkeit nichts, da mit ihnen in aller Regel nicht die Fälligkeit einer Forderung aufgehoben, sondern nur eine Stundung oder Vollstreckungsabrede erreicht werden soll7. 1 Taeger, BB 2007, 785. 2 S. zu den Anforderungen an Verdachtsmitteilungen (AVAD) OLG Hamburg v. 6.5.2009 – 5 U 155/08, VersR 2010, 1375; zur Zulässigkeit und Grenzen der Verdachtsberichtserstattung, Wienen, ITRB 2012, 160; zum Austausch von Seriositätsdaten unter Beachtung aufsichtsrechtlicher Vorschriften Hilpert, ZD 2015, 259; Chrocziel, ZD 2013, 170. 3 OLG Hamburg v. 25.11.2004 – 5 U 22/04, MMR, 2005, 617. 4 So bereits OLG Saarbrücken v. 12.9.2001 – 1 U 62/01, DB 2002, 526; nunmehr auch BGH v. 22.2.2011 – VI ZR 120/10, NJW 2011, 2204; LG Münster v. 30.11.2015 – 11 O 72/15. 5 Zur Übermittlung verjährter Forderungen OLG Frankfurt v. 19.11.2012 – 23 U 68/12, ZD 2013, 134. 6 Palandt/Grüneberg, § 286 BGB Rz. 13 m.w.N. 7 Vgl. schon OLG Hamm v. 17.3.1989 – 11 W 106/88, NJW-RR 1989, 1011; LG Mainz v. 7.11.2013 – 1 O 75/13 bestätigt durch OLG Koblenz v. 25.3.2014 – 4 U 1516/13.

634

|

Kamlah

Datenübermittlung an Auskunfteien | § 28a BDSG

Das Nichterbringen der Leistung setzt nicht voraus, dass dieses durch ein Erlö- 19 schen des Schuldverhältnisses gerechtfertigt ist1. So ist eine etwaige Aufrechnungslage nicht beim Tatbestandsmerkmal der Nichterbringung der Leistung zu berücksichtigen, sondern bei dem Interesse der übermittelnden Stelle2. c) Notwendigkeit einer Interessenabwägung? Nach der Systematik der §§ 28 und 29 war eine Übermittlung von Daten an 20 Auskunfteien vor Einführung des § 28a nur nach erfolgter Interessenabwägung zulässig. Da die Anforderungen an die Zulässigkeit dieser Datenverarbeitungen und -nutzungen (im Zusammenhang mit Auskunfteien) unterschiedlich beurteilt wurden, soll § 28a jetzt Rechtssicherheit schaffen3. Die nach der bisherigen Rechtslage zusätzlich notwendige Interessenabwägung wurde vom Gesetzgeber aus Gründen der Rechtsklarheit durch die Prüfung der Voraussetzungen der Nr. 1 bis 5 in Abs. 1 Satz 1 ersetzt4. Konkret bedeutet das, dass nur die Interessen der verantwortlichen Stelle bzw. 21 die eines Dritten gegeben sein müssen. Das Interesse der Auskunftei an Übermittlungen an sie ergibt sich bereits aus der sich aus dem Geschäftsbetrieb ergebenden Möglichkeit zur Auskunftserteilung um so den Rechtsverkehr zu schützen5. Das berechtigte Interesse der übermittelnden Stelle wiederum ergibt sich aus der Beteiligung an einem solchen Warnsystem6. Die Würdigung der Interessen des Betroffenen ist durch den Gesetzgeber in Form der Regelbeispiele erfolgt. Eine über die – abschließenden7 – Regelbeispiele hinausgehende „zusätzliche Interessenabwägung“ war dagegen – entgegen dem insoweit etwas irreführenden Wortlaut – nicht gewollt, da dies dem gesetzgeberischen Ziel der Rechtssicherheit zuwider liefe8. Abzustellen ist hier vielmehr auf das seit langem gerichtlich anerkannte berechtigte Interesse der Kreditwirtschaft an einem funktionsfähigen Informationssystem zum Schutz vor Forderungsausfällen oder auch betrügerischen Handlungen9. Diese Auslegung dürfte auch der Rechtspre1 2 3 4 5 6 7 8 9

Simitis/Ehmann, § 28a BDSG Rz. 20 f. BT-Drucks. 16/10529, S. 14. BT-Drucks. 16/10529, S. 14. BT-Drucks. 16/10529, S. 14; Däubler/Klebe/Wedde/Weichert/Weichert, § 28a BDSG Rz. 4. OLG Frankfurt am Main v. 16.3.2011 – 19 U 291/10; KG Berlin v. 23.8.2011 – 4 W 43/11; OLG Karlsruhe v. 22.9.2015 – 10 U 27/14; AG Wiesbaden v. 25.11.2015 – 93 C 855/15; LG Wiesbaden v. 2.12.2015 – 4 O 30/15, MMR 2015, 517. OLG Frankfurt am Main v. 16.3.2011 – 19 U 291/10, ZD 2011, 35; OLG Düsseldorf v. 30.7.2015 – I-16 U 224/14; OLG Karlsruhe v. 22.9.2015 – 10 U 27/14. Simitis/Ehmann, § 28a BDSG Rz. 28. Simitis/Ehmann, § 28a BDSG Rz. 24; Gola/Schomerus, § 28a BDSG Rz. 6; so auch ausdrücklich OLG Frankfurt a.M. v. 13.3.2011 – 19 U 291/10, ZD 2011, 35; seitdem ständige Rechtsprechung, zuletzt OLG Düsseldorf v. 30.7.2015 – I-16 U 224/14 m.w.N. BGH v. 19.9.1985 – III ZR 213/83, NJW 1986, 46.

Kamlah

|

635

§ 28a BDSG | Datenverarbeitung nicht-öffentlicher Stellen chung des Europäischen Gerichtshofs entsprechen, nach der durch nationales Recht die Interessenwägung nach Art. 7f EG-Datenschutzrichtlinie nicht „zusätzlich“ eingeschränkt werden darf1. d) Übermittlungsbefugnis 21a Die Übermittlung forderungsbezogener Daten an Auskunfteien erfolgt (aus-

schließlich) auf Basis von § 28a. Eine Beschränkung der Übermittlungsbefugnis auf den Forderungsinhaber ist dem Wortlaut des § 28a Abs. 1 nicht zu entnehmen. Weder der Wortlaut des § 28a Abs. 1 noch die Gesetzesbegründung stellen auf den Gläubiger als Übermittler ab. Die Übermittlung einer nicht beglichenen Forderung an eine Auskunftei auch durch einen Dritten im eigenen Namen ist zulässig2. e) Die Regelbeispiele im Einzelnen aa) Übermittlung aufgrund eines Urteils oder eines Titels (Abs. 1 Satz 1 Nr. 1)

22 Nach Abs. 1 Satz 1 Nr. 1 ist Voraussetzung für die Übermittlung von Angaben

über eine Forderung, dass die Forderung durch ein rechtskräftiges oder für vorläufig vollstreckbar erklärtes Urteil festgestellt worden ist3. Es müssen keine Zivilrechtsurteile sein, sondern es reicht jedes andere Urteil aus allen Gerichtsbarkeiten. Ferner können Schuldtitel nach § 794 ZPO übermittelt werden wie Vollstreckungsbescheide, gerichtliche Vergleiche, Kostenfestsetzungsbeschlüsse oder notarielle Urkunden, in denen der Schuldner sich der sofortigen Zwangsvollstreckung unterwirft. Dieser Katalog spricht dafür, dass auch in den Fällen des § 709 ZPO übermittelt werden darf4. Schuldtitel5, die dort nicht genannt werden, wie z.B. Schuldtitel nach der Bundesrechtsanwaltsordnung (BRAO) über rückständige Kammerbeiträge (§ 84 BRAO) oder auch Verwaltungsakte (wie Gebührenbescheide), fallen dagegen nicht unter diese Zulässigkeitsvariante. Eine zusätzliche Interessenabwägung oder weitere Mahnung wie in § 28a Abs. 1 Satz 1 Nr. 4

1 EuGH v. 24.11.2011 – C-468/10, C-469/10 (Verarbeitung personenbezogener Daten), CR 2012, 29. 2 OLG Köln v. 30.10.2015 – 11 U 98/15; OLG Karlsruhe v. 22.9.2015 – 10 U 27/14; OLG Bamberg v. 16.7.2015 – 8 W 34/15; OLG Düsseldorf v. 30.7.2015 – I-16 U 224/14; OLG Düsseldorf v. 13.7.2015 – I-16 U 41/14; LG Coburg v. 7.10.2015 – 13 O 133/15; LG Berlin v. 18.6.2014 – 5 O 325/13; zusammenfassend zum Verhältnis Gläubiger, Inkassounternehmen und Auskunftei KG Berlin v. 17.2.2016 – 26 U 197/12, ZD 2016, 289. 3 S. hierzu bereits OLG Frankfurt a.M. v. 13.7.2010 – 19 W 33/10, MMR 2010, 792. 4 So auch mit ausführlicher Begründung Simitis/Ehmann, § 28a BDSG Rz. 34 ff.; wohl auch Däubler/Klebe/Wedde/Weichert/Weichert, § 28a BDSG Rz. 5; a.A. Helfrich, S. 144 ff. 5 Zur Zulässigkeit einer Online-Schuldtitelbörse LG Köln v. 17.3.2010 – 28 O 612/09, MMR 2010, 369.

636

|

Kamlah

Datenübermittlung an Auskunfteien | § 28a BDSG

sind hier ausweislich der Gesetzesbegründung entbehrlich1. Allerdings muss dem Betroffenen die Gelegenheit bleiben, die Forderung nach Titulierung zu begleichen. In Anlehnung an § 802f Abs. 1 ZPO sollte daher eine Übermittlung erst nach zwei Wochen erfolgen2. Demgegenüber kommt es nicht darauf an, ob zwischen der Titulierung und der Übermittlung einige Zeit verstrichen ist3. bb) Übermittlung aufgrund Feststellung im Insolvenzverfahren (Abs. 1 Satz 1 Nr. 2) Eine im Insolvenzverfahren in die Tabelle eingetragene Forderung ist kein 23 Schuldtitel i.S.d. Nr. 1, wirkt jedoch nach § 178 Abs. 3 InsO wie ein rechtskräftiges Urteil. Deshalb kommt nicht Nr. 1 zum Tragen, sondern Nr. 2. Auch hier haben die Betroffeneninteressen ohne eine weitere Mahnung oder Zahlungsaufforderung zurückzutreten, zumal die Insolvenzeröffnung ohnehin schon nach § 30 InsO öffentlich bekanntzumachen ist und diese Information dann von der Auskunftei nach § 29 Abs. 1 Satz 1 Nr. 2 aus dem öffentlichen Register erhoben werden kann4 (s.a. § 30a Rz. 18). cc) Übermittlung aufgrund eines Anerkenntnisses (Abs. 1 Satz 1 Nr. 3) Nach Abs. 1 Satz 1 Nr. 3 kann eine Übermittlung erfolgen, wenn der Betroffene 24 die Forderung ausdrücklich anerkannt hat, er sie aber trotzdem nicht begleicht. Dies gilt bspw., wenn ein Schuldner die Forderung akzeptiert, aber wegen seiner finanziellen Lage um Zahlungsaufschub bittet. Nicht darunter fallen Konstellationen, in denen der Schuldner die Forderung zwar anerkannt hat, sie aber nicht begleicht, weil er z.B. gegen sie aufrechnen kann5. Denn wenn der Schuldner Einwände oder Einreden geltend machen kann, fehlt das berechtigte Interesse des Gläubigers6. Umgekehrt stellt der Zahlungsausgleich für sich allein kein Anerkenntnis in diesem Sinne dar, da schließlich geleistet wurde. Die Forderung muss vom Betroffenen ausdrücklich, also nicht nur stillschwei- 25 gend oder konkludent anerkannt worden sein7. Eine (Teil-)Zahlung ist kein Anerkenntnis i.S.v. Nr. 3, da sonst Nr. 4 leer laufen könnte8. 1 BT-Drucks. 16/10529, S. 14; AG Münster v. 14.1.2013 – 48 C 2651/12, ZD 2014, 153. 2 Für eine Woche plädiert Däubler/Klebe/Wedde/Weichert/Weichert, § 28a BDSG Rz. 5. 3 OLG Köln v. 30.10.2015 – 11 U 98/15; vgl. auch OLG Saarbrücken v. 2.11.2011 – 5 U 187-11/36, VersR 2012, 371. 4 Eine Verpflichtung zur Informationsbeschaffung besteht für den an einen Insolvenzschuldner leistenden Gläubiger indes nicht, BGH v. 15.4.2010 – IX ZR 62/09, MMR 2010, 634 (www.insolvenzbekanntmachungen.de). 5 BT-Drucks. 16/10529, S. 14. 6 BT-Drucks. 16/10529, S. 14; Däubler/Klebe/Wedde/Weichert/Weichert, § 28a BDSG Rz. 6. 7 Vgl. OLG Bamberg v. 16.7.2015 – 8 W 34/15; LG Coburg v. 7.10.2015 – 13 O 133/15. 8 Vgl. auch Simitis/Ehmann, § 28a BDSG Rz. 40.

Kamlah

|

637

§ 28a BDSG | Datenverarbeitung nicht-öffentlicher Stellen dd) Übermittlung aufgrund vorheriger Mahnungen (Abs. 1 Satz 1 Nr. 4) 26 Eine weitere Zulässigkeitsvariante ist in Nr. 4 normiert, wonach auch Forderun-

gen übermittelt werden dürfen, die weder tituliert noch vom Betroffenen anerkannt wurden. Solche Forderungsdaten werden in der Literatur und Rechtsprechung häufig als „weiche Negativdaten“ bezeichnet1.

27 Die Voraussetzungen unter Nr. 4 sollen sicherstellen, dass der Betroffene vor

der Meldung der Forderung an eine Auskunftei ausreichende Gelegenheit erhält, die Forderung zu begleichen oder das Bestehen der Forderung zu bestreiten2. Gerade für diese Forderungsdaten sollte mit der Neuregelung Rechtssicherheit geschaffen werden. Daher formuliert Nr. 4 detailliert Voraussetzungen, bei deren kumulativem Vorliegen eine Übermittlung zulässig ist.

28 Buchst. a knüpft unmittelbar an die Fälligkeitsvoraussetzung des Eingangssatzes

an und fordert, dass der Betroffene nach Eintritt der Fälligkeit der Forderung mindestens zweimal schriftlich gemahnt worden ist. Dabei müssen die Mahnungen nicht zwingend von der schlussendlich übermittelnden Stelle (Inkassounternehmen) stammen, sondern die Mahnungen des ursprünglichen Gläubigers zählen mit. Sofern der Schuldner nach der ersten Mahnung die Forderung ausdrücklich anerkennt, aber zum Ausdruck bringt, nicht zahlen zu können, kommt eine Übermittlung aufgrund Abs. 1 Nr. 3 in Betracht. Unerheblich ist, ob in der Mahnung der richtige Betrag ausgewiesen ist3. Die Schriftform ist gesetzlich definiert in § 126 BGB, wobei zweifelhaft ist, ob hier tatsächlich die gesetzliche Schriftform gemeint ist. Vielmehr liegt vor dem Hintergrund des Schutzzwecks der Norm nahe, dass nur mündlich erteilte Mahnungen nicht ausreichen sollten. Anderenfalls würden die Mahnungen einer Unterschrift bedürfen und könnten nur durch die elektronische Form (§ 126a BGB) mit elektronischer Signatur ersetzt werden. Es sind aber keine Gründe ersichtlich, warum eine Mahnung ohne Unterschrift oder eine Mahnung in Textform (§ 126b BGB) nicht ausreichend sein sollten. Auch an anderen Stellen verwendet das Gesetz den Begriff „schriftlich“, ohne dass ein Verweis auf § 126 BGB gemeint sein kann (z.B. § 11 Abs. 2)4. Es kommt nur darauf an, dass sich der Gläubiger zweimal einer Forderung berühmt und diese zur Zahlung anmahnt. Für die Formlosigkeit der Mahnung in diesem Sinne spricht auch, dass nach Buchst. c die Mahnung mit der (formlosen) Unterrichtung verbunden werden kann. „Schriftlich“ ist daher nicht i.S.v. „Schriftform“ zu verstehen5.

1 2 3 4

S. Simitis/Ehmann, § 29 BDSG Rz. 175. BT-Drucks. 16/10529, S. 14; kritisch Simitis/Ehmann, § 28a BDSG Rz. 58. LG Düsseldorf v. 30.3.2012 – 8 O 354/11. Dort vertritt Taeger/Gabel/Gabel, § 11 BDSG Rz. 54 zurecht, dass das Schriftformerfordernis im Lichte von Art. 17 der EG-Datenschutzrichtlinie auszulegen ist. 5 Eingehend zu Unterscheidung Lützen, NJW 2012, 1627, s.a. BAG v. 15.12.2011 – 7 ABR 40/10; im Ergebnis mit ebenso einschränkender Auslegung bei § 28 Abs. 3a Lixfeld, RDV 2010, 163, der allerdings zunächst von der Identität von Schriftform und Schriftlichkeit ausgeht, nunmehr auch LG Berlin v. 18.6.2014 – 5 O 325/13.

638

|

Kamlah

Datenübermittlung an Auskunfteien | § 28a BDSG

Nach Buchst. b müssen zwischen der ersten Mahnung und der Übermittlung 29 mindestens vier Wochen liegen. Die zweite Mahnung sollte jedoch nicht unmittelbar vor der Übermittlung erfolgen, um sie nicht zur reinen „Förmelei“ verkommen zu lassen. Es sollte deshalb die in einer zweiten Mahnung ggf. gesetzte Nachfrist abgewartet werden, damit sich der Betroffene nicht aus Unachtsamkeit oder Unkenntnis der Forderung1 einer Übermittlung von Forderungsdaten ausgesetzt sieht, die letztlich keinen sicheren Rückschluss auf die Zahlungsunwilligkeit oder -unfähigkeit zulassen. Eine weitere Voraussetzung ist die in Buchst. c enthaltene Verpflichtung, den 30 Betroffenen rechtzeitig vor der Übermittlung, jedoch frühestens mit der ersten Mahnung, über die bevorstehende Übermittlung zu unterrichten. Erfolgt die Unterrichtung mit der ersten Mahnung, ist eine wiederholte Unterrichtung mit der zweiten Mahnung nicht mehr erforderlich. Die Unterrichtung kann aber auch erst in der zweiten Mahnung erfolgen, sofern sichergestellt ist, dass dem Betroffenen ausreichend Zeit bleibt vor der Übermittlung zu reagieren2. An die Unterrichtung sind keine formellen oder inhaltlichen Anforderungen 31 gestellt. Es ist nur über die bevorstehende Übermittlung als solche zu unterrichten. Allerdings sollte die betreffende Auskunftei, an die übermittelt werden soll, so bezeichnet werden, dass der Betroffene dort seine Verfahrensrechte insbesondere sein Auskunftsrecht nach § 34 geltend machen kann3. Da die Unterrichtung in aller Regel mit der Mahnung verbunden wird und zu- 32 gleich den Betroffenen die Gelegenheit geben soll, die Forderung zu begleichen oder zu bestreiten4 kann die Mahnung leicht als widerrechtliche Drohung verstanden werden5. Dies sollte vermieden werden, indem auf die gesetzlichen Voraussetzungen einer zulässigen Übermittlung referenziert wird und dementsprechend eine Übermittlung nicht erfolgt, wenn der Betroffene „die Forderung nicht bestritten“ hat6. Eine unzulässige Drohung kann dagegen vorliegen, wenn eine Unterrichtung erfolgt, der (vermeintliche) Forderungsinhaber aber gar nicht bereit und in der Lage ist, die Forderung auch tatsächlich zu melden, weil er bspw. gar nicht zu den Kunden der Auskunftei zählt7. Die Unzulässigkeit der Unterrichtung kann sich auch daraus ergeben, dass nach Bestreiten die Daten-

1 2 3 4 5

BT-Drucks. 16/10529, S. 14. Vgl. auch Gola/Schomerus, § 28a BDSG Rz. 9. So auch Simitis/Ehmann, § 28a BDSG Rz. 61 f. BT-Drucks. 16/10529, S. 14. So bereits LG Rottweil v. 2.11.1994 – 3 O 553/94; AG Leipzig v. 13.1.2010 – 118 C 10105/09, MMR 2010, 723. 6 BGH v. 19.3.2015 – I ZR 157/13, ZIP 2015, 1998; die insoweit von Gierschmann/Saeugling/Heinemann, § 28a BDSG Rz. 96 f. vorgeschlagenen Texte dürften daher nicht ausreichend sein. 7 S. insbesondere Simitis/Ehmann, § 28a BDSG Rz. 15 ff.

Kamlah

|

639

§ 28a BDSG | Datenverarbeitung nicht-öffentlicher Stellen übermittlung an eine Auskunftei angekündigt wurde1. Die Unterrichtungspflichten nach § 4 Abs. 3 bleiben von Nr. 4 unberührt2. 33 Schließlich ist nach Buchst. d Voraussetzung, dass der Betroffene die Forderung

nicht vor der Übermittlung bestritten „hat“, die Forderung also bis zum Zeitpunkt der Übermittlung unbestritten geblieben ist. Ein nachträgliches Bestreiten nach erfolgter Übermittlung und Speicherung bei der Auskunftei führt dagegen nicht zur Unzulässigkeit der ursprünglichen Übermittlung. Schuldrechtliche Einwendungen oder Einreden sind mithin grundsätzlich verspätet, also kann nachträglich lediglich vorgetragen werden, es hätten die Übermittlungsvoraussetzungen nach § 28a Abs. 1 Nr. 4 nicht vorgelegen, was durch die verantwortliche Stelle dann auch überprüft werden muss. Die Differenzierung ist vor dem Hintergrund der Unterrichtungspflicht auch konsequent, da durch die kumulativ zu erfüllenden Übermittlungsvoraussetzungen in Nr. 4 der Betroffene ausreichend geschützt wird. Auch führt das Kriterium nicht zu einer grundsätzlichen Bestreitensobliegenheit, die dem Zivilrecht fremd ist3. Vielmehr ist diesbezüglich der Zusammenhang mit der Unterrichtungspflicht zu sehen, die allerdings faktisch dann doch den Sinn hat, auf (vermeintlich) bestehende Forderungen aufmerksam zu machen, um sich gegen unberechtigte Forderungen zu wehren.

34 Das Bestreiten einer Forderung hat substantiiert zu erfolgen, denn von der bis-

herigen, sich in der Praxis herausgebildeten rechtlichen Beurteilung, dass ein treuwidriges Bestreiten einer Forderung durch den Betroffenen einer Übermittlung an eine Auskunftei nicht entgegensteht, soll nicht abgewichen werden4. Auch wenn der Gläubiger das (substantiierte) Bestreiten für unbegründet hält, darf eine Übermittlung nicht erfolgen, solange die Forderung nicht gerichtlich festgestellt wurde, es sei denn das Bestreiten erfolgte offensichtlich rechtsmissbräuchlich5.

35 Wenn der Betroffene trotz zweifacher Mahnung und ausdrücklichem Hinweis

auf die bevorstehende Übermittlung die Forderung weder begleicht noch bestreitet, kann der Gläubiger davon ausgehen, dass der Betroffene entweder nicht willens oder nicht in der Lage ist, die bestehende Forderung auszugleichen (Zahlungsunwilligkeit oder -unfähigkeit).

36 Mit den Regelungen zu Abs. 1 Satz 1 Nr. 4 schafft der Gesetzgeber trotz Kritik

im Gesetzgebungsverfahren bewusst neben den zivilrechtlichen Verzugsvoraus-

1 OLG Celle v. 19.12.2913 – 13 U 64/13, ZD 2014, 198; LG Darmstadt v. 16.10.2014 – 27 O 133/14, RdV 2015, 100. 2 BT-Drucks. 16/10529, S. 14. 3 S. hierzu Helfrich, S. 154. 4 BT-Drucks. 16/10529, S. 14. 5 OLG Frankfurt a.M. v. 15.11.2004 – 23 U 155/03, MDR 2005, 881; ähnlich OLG Koblenz v. 23.9.2009 – 2 U 423/09, MMR 2010, 277.

640

|

Kamlah

Datenübermittlung an Auskunfteien | § 28a BDSG

setzungen (§§ 286 ff. BGB) eine zweite Ebene von datenschutzrechtlichen Verzugsvoraussetzungen für eine Meldung des Verzugs an eine Auskunftei. Seiner Ansicht nach ist (alleiniges) Ziel der Verzugsregeln, dass dem Gläubiger kein finanzieller Nachteil durch eine nicht fristgerechte Zahlung entsteht1. Der Verzug allein sei aber kein Indiz für die Zahlungsunwilligkeit oder -unfähigkeit des Schuldners2. Die übrigen am Geschäftsverkehr teilnehmenden potenziellen Gläubiger werden über ggf. mehrfach vorliegende Verzugsfälle eines Betroffenen über die Auskunfteien unter Umständen nicht mehr zuverlässig informiert. Dem ggü. hat der Gesetzgeber die grundsätzliche Zulässigkeit der Übermittlung sog. „weicher“ Forderungsdaten anerkannt und jedenfalls insoweit für mehr Rechtssicherheit gesorgt. ee) Übermittlung aufgrund einer Kündigung (Abs. 1 Satz 1 Nr. 5) Nach Abs. 1 Satz 1 Nr. 5 sind Übermittlungen auch zulässig, wenn das der For- 37 derung zugrunde liegende Vertragsverhältnis aufgrund von Zahlungsrückständen fristlos gekündigt werden kann und die verantwortliche Stelle den Betroffenen über die bevorstehende Übermittlung unterrichtet (wobei im Gegensatz zu Nr. 4 das Kriterium der Rechtzeitigkeit hier nicht gegeben ist) hat. Solche Fälle finden sich z.B. im Mietrecht (§§ 543, 569 Abs. 3 BGB) sowie in Anlehnung an § 490 BGB in den AGB der Banken in Ziff. 19 Abs. 3 oder in den AGB der Sparkassen in Nr. 26 Abs. 2. Die weiteren in Ziffer 4 genannten Voraussetzungen müssen hier nicht vorliegen3. Da Nr. 5 nur von einem „Vertragsverhältnis“ spricht, ist die Norm auch nur 38 dafür und nicht auf sonstige rechtsgeschäftliche oder rechtsgeschäftsähnliche Schuldverhältnisse (vgl. § 28 Abs. 1 Satz 1 Nr. 1) anwendbar. Nr. 5 erfasst die Fälle, in denen objektiv die Voraussetzungen einer fristlosen 39 Kündigung aufgrund von Zahlungsrückständen vorliegen4. Eine tatsächliche Kündigung muss nach dem Wortlaut der Norm nicht erfolgt sein („kann“). Das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Übermittlung der Forderungsdaten tritt hinter das berechtigte Interesse der Unternehmen an der Übermittlung zurück. Denn in diesen Fällen liegt bereits eine erhebliche Vertragsstörung im Verantwortungsbereich des Betroffenen vor, der er trotz der vorgeschriebenen Unterrichtung nicht abgeholfen hat5. Nr. 5 setzt eine Möglichkeit zur fristlosen Kündigung aufgrund von Zahlungs- 40 rückständen voraus. Übermittlungen im Anschluss an eine ordentliche Kündigung oder Gesamtfälligstellung (§ 498 BGB) sind daher nur unter Beachtung 1 2 3 4 5

BT-Drucks. 16/10529, S. 14. BT-Drucks. 16/10529, S. 14. A.A. AG Ahlen v. 8.10.2013 – 30 C 209/13, ZD 2014, 202. BT-Drucks. 16/10529, S. 14. BT-Drucks. 16/10529, S. 14.

Kamlah

|

641

§ 28a BDSG | Datenverarbeitung nicht-öffentlicher Stellen der Voraussetzungen nach den Nr. 1–4 möglich, soweit nicht zugleich eine außerordentliche und insbesondere fristlose Kündigung aufgrund von Zahlungsrückständen möglich gewesen wäre. f) Verantwortliche Stelle betreibt geschäftsmäßige Datenverarbeitung (Abs. 1 Satz 2) 41 Nach § 28a Abs. 1 Satz 2 gilt Satz 1 entsprechend, wenn die verantwortliche

Stelle selbst die Daten nach § 29 verwendet, also selbst geschäftsmäßig Daten zum Zwecke der Übermittlung speichert.

42 Diese Vorschrift folgt einem Änderungsantrag aus dem Innenausschuss. Es soll

sich hier um eine „Klarstellung“ handeln1. Diese Klarstellung ist aber insoweit entbehrlich und eher irreführend, da geschäftsmäßige Datenverarbeiter über § 29 Abs. 1 Nr. 3 und Abs. 2 an die Voraussetzungen des § 28a Abs. 1 und 2 gebunden sind. Sollte die verantwortliche Stelle die Daten bspw. als konzerninterne Auskunftei vorhalten, würde für diese ebenso § 29 gelten, nachdem ihr die Daten von der Konzerngesellschaft nach § 28a übermittelt wurden.

43 Der Begriff der „Verwendung“ in Satz 2 ist unklar, da er im BDSG entgegen ur-

sprünglichen Planungen nicht definiert wurde (s. allerdings § 45). Nach Sinn und Zweck fallen indessen unter den Begriff „Verwendung“ alle Arten der Verarbeitung und Nutzung (§ 3 Abs. 4 und Abs. 5) im Anschluss an eine nach § 28a erfolgte Übermittlung2. 2. Datenübermittlung durch Kreditinstitute (Abs. 2 Sätze 1 und 3) a) Erlaubnistatbestand (Abs. 2 Satz 1)

44 Abs. 2 Satz 1 ist ein spezieller gesetzlicher Erlaubnistatbestand, der zum einen

nur Kreditinstitute und zum anderen nur bestimmte Bankgeschäfte betrifft3. Hintergrund der gesetzlichen Regelung ist, dass Kreditinstitute die Datenübermittlungen bislang auf eine Einwilligung nach § 4a stützten und vereinzelt Zweifel an der Freiwilligkeit und damit an der Wirksamkeit einer solchen Einwilligung (dazu § 4a) bestanden. An die Stelle der Einwilligungserklärung soll deshalb der neue Erlaubnistatbestand in Abs. 2 treten, um mehr Rechtssicherheit zu schaffen4. Das Bankgeheimnis bleibt daneben aber anwendbar5.

45 Während Abs. 1 detailliert und abschließend die Zulässigkeitsvoraussetzungen

zur Übermittlung forderungsbezogener Daten (sog. „Negativdaten“) regelt, for1 2 3 4 5

BT-Drucks. 16/13219, S. 8. So auch Simitis/Ehmann, § 28a BDSG Rz. 6. Vgl. BT-Drucks. 16/10529, S. 14/15. BT-Drucks. 16/10529, S. 15. Eingehend Hanten/Görke/Ketessidis/Bühr, S. 191.

642

|

Kamlah

Datenübermittlung an Auskunfteien | § 28a BDSG

muliert Abs. 2 Satz 1 einen speziellen Erlaubnistatbestand für Kreditinstitute für bestimmte Übermittlungen personenbezogener Daten über die Begründung, ordnungsgemäße Durchführung und Beendigung eines Vertrages (sog. „Positivdaten“) im Rahmen bestimmter Bankgeschäfte, wobei Satz 3 bestimmte Giroverträge, konkret Girokonten ohne Überziehungsmöglichkeit (sog. Guthabenkonten) wieder ausnimmt1. Der Begriff des Kreditinstitutes wird in § 1 Abs. 1 Satz 1 KWG (Kreditwesen- 46 gesetz) und der des Bankgeschäfts in § 1 Abs. 1 Satz 2 KWG bestimmt. Allerdings verweist das BDSG nur auf bestimmte Bankgeschäfte, nämlich die Kredit-, Garantie- und Girogeschäfte nach § 1 Abs. 1 Satz 2 Nr. 2, 8 und 9 KWG. Mit dem Verweis auf § 1 Abs. 1 Satz 2 Nr. 9 KWG wollte der Gesetzgeber auch das Girogeschäft vom Anwendungsbereich der Vorschrift erfasst sehen2. Allerdings war bereits vorher das Girogeschäft in das Zahlungsdiensteaufsichtsgesetz (ZAG) verlagert worden3. Dass vom Gesetzgeber jedoch Giroverträge gemeint waren, ergibt sich aber bereits aus § 28a Abs. 2 Satz 3. Nach Abs. 2 Satz 1 dürfen Angaben über die Begründung, ordnungsgemäße 47 Durchführung und Beendigung eines derartigen Vertragsverhältnisses auch ohne Einwilligung an Auskunfteien übermittelt werden. Die Formulierung ist erkennbar der derzeit aktuellen SCHUFA-Klausel nachgebildet. Übermittelt werden dürfen nach Satz 1 grundsätzlich alle das Vertragsverhältnis beschreibende Daten (Angaben über Begründung, ordnungsgemäße Durchführung und Beendigung des Vertrags), nicht jedoch inhaltliche Daten aus dem Vertrag (z.B. Einkommensangaben des Betroffenen)4. Das schließt eine Übermittlung dieser Daten auf Basis einer Einwilligung jedoch nicht aus. Abs. 2 Satz 1 betrifft nur die Übermittlung der dort genannten Daten durch das Kreditinstitut. Andere, darüber hinaus gehende Daten dürfen übermittelt werden, wenn eine Einwilligung nach § 4a vorliegt5. Daten über die Begründung eines Vertrags sind nicht nur die Daten über den 48 erfolgten Vertragsschluss (z.B. Einräumung eines Kredites), sondern auch die über die vorausgehende Antragsstellung. Daten über die ordnungsgemäße Durchführung sind Daten über die vertrags- 49 gemäße Abwicklung von Krediten (z.B. Bedienung oder Tilgung von Krediten) oder auch positive Zahlungsverhaltensdaten (z.B. zahlt pünktlich). Da Abs. 2 Satz 1 entgegen Abs. 1 Satz 1 nicht auf forderungsbezogene Daten begrenzt ist, 1 S. nun aber BT-Drucks. 18/7204 – Entwurf eines Gesetzes zur Umsetzung der Richtlinie über die Vergleichbarkeit von Zahlungskontoentgelten, den Wechsel von Zahlungskonten sowie den Zugang zu Zahlungskonten mit grundlegenden Funktionen. 2 BT-Drucks. 16/10529, S. 15. 3 Bergmann/Möhrle/Herb, § 28a BDSG Rz. 44a ff. 4 BT-Drucks. 16/10529, S. 15; Simitis/Ehmann, § 28a BDSG Rz. 86 ff. zu Abgrenzungsschwierigkeiten. 5 BT-Drucks. 16/10529, S. 15.

Kamlah

|

643

§ 28a BDSG | Datenverarbeitung nicht-öffentlicher Stellen ist über diese Vorschrift auch die Übermittlung allgemeiner – positiver – Verhaltensdaten möglich. § 28 geht hier im Anwendungsbereich des § 28a Abs. 2 also voll auf. Tritt eine Störung im Vertragsverhältnis ein, richtet sich die Zulässigkeit der Übermittlung jedoch nach § 28, wobei bei forderungsbezogenen Daten die Einschränkungen nach § 28a Abs. 1 zu beachten sind. Anfragen nach dem Stand eines Insolvenzverfahrens sind zulässig, da sie ein deutliches Weniger gegenüber einer Übermittlung darstellen1. 50 Zu den Daten über die Beendigung zählen nur die vertragsgemäße Beendigung

oder der vollständige Zahlungsausgleich. Das Kriterium der Ordnungsmäßigkeit bezieht sich nicht nur auf die Durchführung, sondern auch auf die Beendigung. Daten über eine (fristlose) Kündigung sind nach Maßgabe von § 28a Abs. 1 übermittelbar.

51 In allen Fällen des Abs. 2 Satz 1 ist die Übermittlung nur zulässig, wenn das

schutzwürdige Interesse des Betroffenen an dem Ausschluss der Übermittlung das Interesse der Auskunftei an der Kenntnis der Daten nicht offensichtlich überwiegt. Diese Formulierung lehnt sich z.B. an § 28 Abs. 1 Satz 1 Nr. 3 oder § 29 Abs. 1 Satz 1 Nr. 2 an und geht damit davon aus, dass die entsprechenden Übermittlungen nur ganz ausnahmsweise unzulässig sind (vgl. auch die dortigen Kommentierungen)2.

52 Aus dem Erfordernis des „offensichtlichen“ Überwiegens ergibt sich, dass die

Übermittlungen nur in Ausnahmefällen unzulässig sein dürften. Das kann z.B. der Fall sein, wenn eine offensichtlich bedrohte Person vermeiden möchte, dass im Rahmen einer Kontoeröffnung ihre aktuellen Adressdaten in den Datenbestand einer Auskunftei eingemeldet und von dort wiederum Dritten, z.B. der ihr drohenden Person, beauskunftet werden können3. Bei sensiblen Daten (dazu gehören z.B. die besonderen Daten nach § 3 Abs. 9 oder Daten über Minderjährige) wird eine Abwägung im Zweifel zugunsten des Betroffenen ausfallen. Naturgemäß dürfen auch nur Daten übermittelt werden, die zum Zeitpunkt der Übermittlung von der verantwortlichen Stelle noch gespeichert werden dürfen4.

53 Entgegen dem Regelungskonzept des Abs. 1 enthält Abs. 2 keine abschließende

Regelung über die Zulässigkeit der Übermittlung bestimmter „Positivdaten“, sondern zählt nur bestimmte Bankgeschäfte auf. Das bedeutet jedoch nicht, dass für diese Geschäfte die spezielle Ermächtigungsgrundlage des Abs. 2 Satz 1 ausschließlich gilt. Die Übermittlung von Positivdaten aus Bankgeschäften i.S.d. Abs. 2 wie aber auch aus übrigen Geschäften richtet sich demnach weiterhin nach den allgemeinen Regeln. Das bedeutet, dass die Zulässigkeitsvarianten des § 4 nach wie vor gleichrangig nebeneinander stehen. Die Übermittlung von

1 2 3 4

AG Essen v. 22.2.2011 – 12 C 312/10. So auch Simitis/Ehmann, § 28a BDSG Rz. 98 ff. BT-Drucks. 16/10529, S. 15. BT-Drucks. 16/10529, S. 15.

644

|

Kamlah

Datenübermittlung an Auskunfteien | § 28a BDSG

Bankgeschäften nach Abs. 2 kann demnach weiter auf eine Einwilligung gestützt werden. Umgekehrt bleibt für Geschäfte außerhalb des Anwendungsbereiches des Abs. 2 § 28 weiterhin anwendbar. Aus der speziellen Ermächtigungsgrundlage für bestimmte Bankgeschäfte ist 54 mithin nicht der Umkehrschluss zu ziehen, dass die Übermittlung von Positivdaten aus sonstigen Geschäften ausschließlich mit Einwilligung möglich ist1. Konsequent formuliert daher die Gesetzesbegründung, dass die Möglichkeit bei anderen verantwortlichen Stellen als Kreditinstituten auf Basis einer Einwilligung Daten zu übermitteln, unberührt bleibt. Verantwortliche Stellen, die keine Kreditinstitute sind, können mithin das Vertragsverhältnis beschreibende Daten (Angaben über Begründung, ordnungsgemäße Durchführung und Beendigung des Vertrages) bei Vorliegen einer Einwilligung übermitteln, müssen das aber nicht2. Vielmehr bleibt die Einwilligung fakultativ und steht gleichrangig neben den gesetzlichen Zulässigkeitstatbeständen. Ein Zwang zur Einwilligung für die nicht in Abs. 2 ausdrücklich genannten Geschäfte würde dagegen das gesetzgeberische Ziel konterkarieren, „zwanghafte“ Einwilligungen gerade zu verhindern. Vielmehr sollte durch Schaffung eines gesetzlichen Zulässigkeitstatbestandes für bestimmte Bankgeschäfte gerade hierfür ein Ausweg eröffnet werden. Ob allerdings die Kreditwirtschaft auf eine Einwilligung des Kunden tatsächlich 55 verzichten kann, ist zweifelhaft, da in aller Regel immer noch eine Befreiung vom Bankgeheimnis erforderlich sein dürfte3. Diese dann mit Elementen einer datenschutzrechtlichen Einwilligung zu versehen, ist über §§ 4 und 4a möglich und kann nur für die Sonderfälle nach Satz 4 nicht ausgeschlossen werden. Auch die sog. SCHUFA-Klausel hat in erster Linie die Funktion, vom Bankgeheimnis zu befreien4. An dem Erfordernis der Freiwilligkeit solcher Einwilligungen ändert sich dabei nichts. Insoweit ist nach wie vor § 4a zu beachten. b) Girokontoverträge ohne Überziehungsmöglichkeit (Abs. 2 Satz 3) Nach Satz 3 gilt der gesetzliche Erlaubnistatbestand nicht für solche Giroverträge, 56 die die Einrichtung eines Kontos ohne Überziehungsmöglichkeit zum Gegenstand haben. In diesen Fällen, in denen der Betroffene nur ein Guthabenkonto unterhält, soll das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Übermittlung grundsätzlich das berechtigte Interesse der verantwortlichen Stelle oder eines Dritten an der Kenntnis dieser Daten überwiegen5. Auch hier bleibt aber die Möglichkeit einer wirksamen (also insbesondere freiwilligen) Ein1 A.A. Simitis/Ehmann, § 28a BDSG Rz. 79; Däubler/Klebe/Wedde/Weichert/Weichert, § 28a BDSG Rz. 11 und 14. 2 BT-Drucks. 16/10529, S. 15. 3 S. hierzu Kamlah, MMR 1999, 395 (397) zur Funktion der SCHUFA-Klausel. 4 S. hierzu ausführlich Hornung, CR 2007, 753 ff. 5 Kritisch Simitis/Ehmann, § 28a BDSG Rz. 93.

Kamlah

|

645

§ 28a BDSG | Datenverarbeitung nicht-öffentlicher Stellen willigung nach § 4a unberührt. Bei Pfändungsschutzkonten (P-Konten) gelten seit dem 1.7.2010 die Regelungen nach § 850k Abs. 8 ZPO, wonach eine Übermittlung an Auskunfteien ohne Einwilligung zulässig ist. c) Unterrichtungspflicht gegenüber Betroffenen (Abs. 2 Satz 2) 57 Nach Abs. 2 Satz 2 ist der Betroffene vor Abschluss des Vertrages durch die

verantwortliche Stelle von der beabsichtigten Übermittlung zu unterrichten. Damit soll dem Betroffenen die Möglichkeit gegeben werden, vom Abschluss des Vertrages abzusehen1. Daher muss die Unterrichtung zu einem Zeitpunkt erfolgen, in dem der Betroffene noch tatsächlich in der Lage ist, vom Vertrag Abstand zu nehmen.

58 Die Unterrichtungspflicht nach § 4 Abs. 3 bleibt von Abs. 2 Satz 2 unberührt2.

Beides kann miteinander verbunden werden, wenn dies für den Betroffenen hinreichend transparent ist. Entgegen der in § 4 Abs. 3 geregelten Pflicht ist die Unterrichtungspflicht in § 28a aufgrund der Verortung dort wohl aber zulässigkeitsbegründend. d) Übermittlungsverbot für Kreditinstitute (Abs. 2 Satz 4)

59 Abs. 2 Satz 4 enthält ein Übermittlungsverbot, das auch nicht durch eine Einwil-

ligung des Betroffenen umgangen werden kann. Flankierend ist § 29 Abs. 1 Nr. 3 erlassen worden, wonach die Aufnahme von nach Abs. 2 Satz 4 erfassten Daten in den Auskunftsdatenbestand unzulässig ist3.

60 Nach Abs. 2 Satz 4 ist eine Übermittlung von Daten über Verhaltensweisen des

Betroffenen, die im Rahmen eines vorvertraglichen Vertrauensverhältnisses der Herstellung von Markttransparenz dienen, an Auskunfteien zum Zwecke der zukünftigen Übermittlung nach § 29 Abs. 2 auch mit Einwilligung des Betroffenen unzulässig. Gemeint sind die Fälle, in denen sich ein Betroffener lediglich nach Kreditkonditionen erkundigt, ohne einen konkreten Kreditantrag zu stellen (sog. Konditionenanfrage). Diese Tatsache soll nicht der Auskunftei zum Zwecke der Weiterübermittlung gemeldet werden dürfen.

61 Mit der Regelung hat der Gesetzgeber die Zulässigkeit von Bonitätsanfragen

auch bei reiner Nachfrage von Kreditkonditionen ausdrücklich anerkannt. Mit der Regelung will der Gesetzgeber nur verhindern, dass die Nachfrage nach Kreditkonditionen bei verschiedenen Banken dergestalt an Auskunfteien übermittelt wird, dass dieses negativ bei der sog., Scoreberechnung berücksichtigt wird4. Die Regelung berührt damit nicht die Zulässigkeit der eigentlichen Anfrage und

1 2 3 4

BT-Drucks. 16/10529, BT-Drucks. 16/10529, BT-Drucks. 16/10529, BT-Drucks. 16/10529,

646

|

Kamlah

S. 15. S. 15. S. 16. S. 15.

Datenübermittlung an Auskunfteien | § 28a BDSG

der damit verbundenen Übermittlung der Anfragedaten selbst, da nur die Übermittlung zum Zwecke der Weiterübermittlung durch die Auskunftei unzulässig sein soll1. Die Übermittlung zu diesem Zwecke ist auch schon wegen § 29 Abs. 2 zum Nachweis des berechtigten Interesses erforderlich. Wird dagegen eine konkrete Kreditanfrage gestellt, so darf dies an die Aus- 62 kunftei übermittelt und diese Tatsache nach Kreditgewährung oder Ablehnung insoweit auch zum Auskunftsdatenbestand des Betroffenen gespeichert und verwertet werden. Im Einzelfall kann zweifelhaft sein, ob eine sog. Konditionenanfrage vorliegt 63 oder ob die Anfrage des Betroffenen schon direkt auf den Vertragsabschluss gerichtet ist. Direkt auf den Vertragsabschluss gerichtet ist eine Anfrage auch dann noch nicht, wenn die Kreditinstitute Konditionen nur nach Stellung eines vollständigen Antrags errechnen, sondern erst dann, wenn der Betroffene die Konditionen akzeptiert und seinem Antrag zugrunde legt2 und der so gestellte Antrag nur noch von dem Kreditinstitut angenommen werden muss. Im Übrigen kann die Abgrenzung von einer sog. Konditionenanfrage zu einer Kreditanfrage danach erfolgen, ob zivilrechtlich vom Betroffenen ein Antrag auf Vertragsschluss gestellt worden ist. Wegen der unterschiedlichen Weiterverarbeitbarkeit im Datenbestand haben 64 die Auskunfteien unterschiedliche Anfragegründe zur Verfügung zu stellen, damit die anfragenden Kreditgeber den Anfragegrund nach Konditionenabfrage oder Antrag auf Vertragsschluss differenzieren können. Wegen des ausdrücklichen Verbotes einer Einwilligung und dem damit gesetz- 65 lich angeordneten Ausschluss des informationellen Selbstbestimmungsrechtes begegnet jedoch die Vorschrift verfassungs- und europarechtlichen Bedenken3. Mit dem Übermittlungsverbot korrespondiert das in § 29 Abs. 1 Satz 1 Nr. 3 66 niedergelegte Nutzungsverbot. 3. Nachberichtspflicht (Abs. 3) Abs. 3 wurde erst spät im Gesetzgebungsverfahren eingefügt und regelt entspre- 67 chend einem Vorschlag des Bundesrates gesetzliche Nachberichtspflichten, die gewährleisten sollen, dass Datenbestände der Auskunfteien aktuell und richtig sind4. Zum einen muss die verantwortliche Stelle der Auskunftei nachträgliche Änderungen zu einmal übermittelten Daten mitteilen (Abs. 3 Satz 1), zum ande1 BT-Drucks. 16/10529, S. 15. 2 BT-Drucks. 16/10529, S. 15. 3 So auch Simitis/Ehmann, § 28a BDSG Rz. 97; zum Verhältnis von europarechtlichen zu nationalen Datenschutzvorschriften EuGH v. 24.11.2011 in den verbundenen Rechtssachen C-468/10 und C-469/10 (Verarbeitung personenbezogener Daten), CR 2012, 29 ff. 4 BT-Drucks. 16/13219, S. 19.

Kamlah

|

647

§ 28a BDSG | Datenverarbeitung nicht-öffentlicher Stellen ren muss aber auch die Auskunftei eine etwa erfolgte Löschung der übermittelnden Stelle mitteilen (Abs. 3 Satz 2), um zu verhindern, dass Nachberichtigungen zu bereits gelöschten Daten erfolgen. 68 Nach der Rechtsprechung besteht ohnehin die Pflicht, Kreditinformationssys-

teme so zu gestalten, dass diese ein vollständiges und aktuelles Bild der Kreditwürdigkeit bieten1. Um diese Organisationspflicht zu erfüllen, hatten einige Auskunfteien schon vor der Novelle entsprechende vertragliche Verpflichtungen mit den Teilnehmern des Kreditinformationssystems vereinbart. Der Gesetzgeber meinte jedoch, die Erfahrungen hätten gezeigt, dass die verantwortlichen Stellen ihren vertraglich übernommenen Nachberichtspflichten vielfach nicht ordnungsgemäß nachgekommen seien. So hätten z.B. die Kreditinstitute kein eigenes Interesse an der Nachmeldung von Tatsachen, die geeignet seien, den Scorewert positiv zu beeinflussen, weil der betroffene Kunde damit auch für die Konkurrenz attraktiver würde2.

69 Durch die Aufnahme der Nachberichtspflicht als gesetzliche (und nicht mehr

nur vertragliche) Verpflichtung besteht nunmehr wegen § 38 die Möglichkeit, dass die Aufsichtsbehörden bei Verstößen tätig werden, was ausweislich der Gesetzesbegründung auch Motiv für diese Regelung war3.

70 Unter die in Abs. 3 Satz 1 genannten Tatsachen, deren Änderung mitzuteilen ist,

fallen aufgrund des ausdrücklichen Verweises sowohl die nach Abs. 1 wie nach Abs. 2 genannten Tatsachen4, also sowohl Positiv- wie Negativinformationen5.

71 Zu den nach Abs. 1 mitzuteilenden Änderungen und Berichtigungen gehört z.B.

die Erledigung einer offenen Forderung. Die übermittelnde Stelle darf dabei aber auch die Art und Weise der Zahlung mitteilen. Ebenfalls von der Mitteilungspflicht umfasst sind Änderungen des Schuldsaldos.

72 Auch bei den nach Abs. 2 übermittelten Daten kann sich ein Berichtigungs-

bedarf ergeben, so z.B. wenn ein Darlehen vorzeitig zurückgezahlt wird oder der Betroffene umzieht6.

73 Aus den in der Gesetzesbegründung gewählten Beispielen lässt sich ableiten,

dass nicht jede Änderung der Saldenhöhe die Nachberichtspflicht auslöst. So

1 BGH v. 19.9.1985 – III ZR 213/83, NJW 1984, 1889. 2 BT-Drucks. 16/13219, S. 19, ob die vertraglichen Verpflichtungen tatsächlich aus denen in der Gesetzesbegründung beschriebenen Motiven nicht greifen, muss indessen bezweifelt werden, da dies eine detaillierte Kenntnis von der Funktionsweise der bei den Auskunfteien eingesetzten Scoringverfahren voraussetzen würde. Diese werden aber durch die Auskunfteien in aller Regel als Betriebs- und Geschäftsgeheimnis behandelt. 3 BT-Drucks. 16/13219, S. 19. 4 Simitis/Ehmann, § 28a BDSG Rz. 9 spricht von einer „Nachverwendungspflicht“ für eigene Datenbanken. 5 BT-Drucks. 16/13219, S. 19. 6 BT-Drucks. 16/13219, S. 19.

648

|

Kamlah

Datenübermittlung an Auskunfteien | § 28a BDSG

ist es im Bereich von Negativdaten denkbar, dass sich offene Rückstände allein wegen der aufgelaufenen Verzugszinsen täglich, wenn auch geringfügig, ändern. Eine fortlaufende Unterrichtung auch über kleinste Veränderungen ist weder im Interesse des Betroffenen, noch der Auskunftei und würde auch dem Grundsatz der Datensparsamkeit und Datenvermeidung nach § 3a widersprechen. Hier wird eine gewisse Wesentlichkeit zu fordern sein, die sich an der Höhe der Forderungsveränderungen orientiert. Im Bereich der Positivdaten ist ausweislich der Gesetzesbegründung die vorzeitige Erledigung nachzuberichten. Damit erscheint es ausreichend, wenn sich die reguläre Tilgung aus der Auskunft der Auskunftei ableiten lässt, so dass reguläre Tilgungen (auch sog. Ballonraten) nicht jedes Mal zusätzlich durch die verantwortliche Stelle übermittelt werden müssen. Kreditaufstockungen oder Prolongationen wären zur Wahrung der berechtigten Interessen des Betroffenen auch nur nachzuberichten, wenn diese wesentlich sind (etwa 500 Euro bzw. drei Monate). Einzelheiten bleiben zweifelhaft. So ist bspw. noch ungeklärt, ob das Versterben 74 eines Schuldners nachzuberichten ist. So unterliegen Verstorbene zwar nicht (mehr) dem BDSG, nachzuberichten sind aber nach Abs. 3 Satz 1 „Tatsachen“ und damit auch das Versterben des Schuldners1. Unklar ist die Behandlung von Fällen, in denen die offene und der Auskunftei 75 übermittelte Forderung abgetreten wird. Im Falle der bloßen Inkassozession wird die Forderung ggf. über das Inkassounternehmen durch den ursprünglichen Gläubiger korrekt und aktuell zu halten sein. Im Fall des Forderungsverkaufs (Vollzession) wäre allenfalls eine vertragliche Übertragung auf den Forderungskäufer (Factoringunternehmen) denkbar. Sofern der ursprüngliche Gläubiger nicht mehr am Auskunfteiverfahren teilnehmen möchte, stellt sich die Frage, ob die gesetzliche Nachberichtspflicht dazu führen kann, dass Auskunfteiverträge praktisch „nachwirken“. Die Nachberichtspflicht nach Abs. 3 Satz 1 besteht innerhalb von einem Monat 76 nach Kenntniserlangung. Damit soll sichergestellt werden, dass die Aktualisierung schnell in den Datenbestand der Auskunftei übernommen wird. Diese Frist ermöglicht es, dass monatlich Bestandsaktualisierungen, ggf. im Wege der Stapelverarbeitung vorgenommen werden können. Nach Abs. 3 Satz 2 hat die Auskunftei eine Unterrichtungspflicht. Sie hat die 77 übermittelnde Stelle über die Löschung der ursprünglich übermittelten Daten zu unterrichten. Eine Frist hat der Gesetzgeber nicht vorgesehen, doch dürfte wie bei Satz 1 die Monatsfrist angemessen sein. Die Nachberichtspflicht kann nur solange bestehen, wie die ursprünglich über- 78 mittelten Daten bei der Auskunftei gespeichert sind2. Die Unterrichtungspflicht 1 Einschränkend Gierschmann/Saeugling/Heinemann, § 28a BDSG Rz. 75 ff. 2 Gola/Schomerus, § 28a BDSG Rz. 4 und 19.

Kamlah

|

649

§ 28a BDSG | Datenverarbeitung nicht-öffentlicher Stellen nach Satz 2 soll sicherstellen, dass die berichtspflichtige Stelle Kenntnis darüber hat, ob die zeitlichen Voraussetzungen der Nachberichtspflicht noch vorliegen1. Damit soll sichergestellt werden, dass nicht bereits von der Auskunftei gelöschte Daten seitens der übermittelnden Stelle als Korrekturen gemeldet werden und so die Forderungsdaten bei der Auskunftei wieder „aufleben“. Dies kann bspw. dann erforderlich werden, wenn die Auskunftei im Anschluss an eine Beschwerde des Betroffenen Daten löscht, ohne dass die übermittelnde Stelle vorher hierüber Kenntnis hatte. 79 Aus dem Sinn und Zweck der Vorschrift, Korrekturen zu schon gelöschten Ein-

trägen zu verhindern, kann abgeleitet werden, dass eine Löschungsmitteilung der Auskunftei an die ursprünglich übermittelnde Stelle dann nicht besteht, wenn die ursprünglich übermittelnde Stelle bereits Kenntnis von der Löschung durch die Auskunftei hatte oder im Rahmen der (letztmaligen) Übermittlung deutlich gemacht hat, dass sie keine weiteren Korrekturen mehr vornehmen wird, weil sie das Vertragsverhältnis zur Auskunftei beendet hat oder die Forderung mittlerweile erledigt/ausgeglichen wurde. Dementsprechend muss eine von der übermittelten Stelle veranlasste Löschung durch die Auskunftei auch nicht „quittiert“ werden2.

IV. Verhältnis zu anderen Normen 80 Bei den Datenübermittlungen an Auskunfteien spielt insbesondere das Verhält-

nis von Datenschutz und Bankgeheimnis eine zentrale Rolle. Auch wenn die Kreditwirtschaft trotz der Ermächtigungsgrundlage nach § 28a Abs. 2 zur Befreiung des Bankgeheimnisses an der Einwilligungslösung festhalten möchte, hat die Rechtsprechung immer wieder die Datenübermittlung von Daten über offene Forderungen an Auskunfteien auch bei Fehlen einer Einwilligung für zulässig erachtet3. Hintergrund für diese Rechtsprechung ist der Gedanke des rechtsmissbräuchlichen Verhaltens: hat sich ein Bankkunde vertragswidrig gegenüber dem Kreditinstitut verhalten, handelt der Bankkunde rechtsmissbräuchlich, wenn er von dem Kreditinstitut verlangt, dass dieses trotz dieses Verhaltens keine Daten an die Auskunftei weitergibt4. Daher kann selbst bei Einsatz einer unwirksamen Einwilligung die Datenübermittlung aufgrund einer Interessenabwägung zulässig sein5. 1 BT-Drucks. 16/13219, S. 19. 2 Simitis/Ehmann, § 28a BDSG Rz. 8 und 107 f. 3 Diese zusammenfassend Kamlah/Hoke, RDV 2007, 242 (243 f.); s.a. Freise, ITRB 2012, 54 im Anschluss an KG Berlin v. 23.8.2011 – 4 W 43/11. 4 LG Düsseldorf v. 26.10.2010 – 7 O 469/09, MMR 2011, 415. 5 OLG Frankfurt a.M. v. 13.7.2010 – 19 W 33/10, ITRB 2010, 425 (zusammengefasst von Hornung) = MMR 2010, 792; s.a. Moos, K&R 2011, 145 (152).

650

|

Kamlah

Scoring | § 28b BDSG

V. Rechtsfolgen bei Verstoß Ein Verstoß gegen die Vorschriften des § 28a kann sowohl zivilrechtliche Fol- 81 gen (wie einen Schadensersatzanspruch nach § 7) oder verwaltungsrechtliche Folgen (wie ein Eingreifen der Aufsichtsbehörde nach § 38) auslösen. Eine nach § 28a unzulässige Datenübermittlung kann außerdem eine Ord- 82 nungswidrigkeit (insbesondere nach § 43 Abs. 2 Nr. 1 oder Nr. 4) sein, oder bei Hinzutreten weiterer Umstände eine Straftat nach § 44 darstellen. Der Verstoß gegen Abs. 2 Satz 2 ist deshalb nicht bußgeldbewehrt, da die auf die unterlassene Unterrichtung folgende rechtswidrige Übermittlung sanktioniert ist. Ein Verstoß gegen die Nachberichtspflichten ist nur im Fall des Abs. 3 Satz 1 83 eine Ordnungswidrigkeit (§ 43 Abs. 1 Nr. 4a). Die fehlende Unterrichtung durch eine Auskunftei nach Abs. 2 Satz 2 löst kein Ordnungswidrigkeitenverfahren aus. Wegen der Bußgeldbewehrung für Abs. 3 Satz 1 wird die Praxis vermutlich unabhängig von der Wesentlichkeit der Veränderung monatliche Aktualisierungsläufe vornehmen, falls sich in der Aufsichtspraxis nicht etwaige Wesentlichkeitsgrenzen herausbilden.

§ 28b Scoring Zum Zweck der Entscheidung über die Begründung, Durchführung oder Beendigung eines Vertragsverhältnisses mit dem Betroffenen darf ein Wahrscheinlichkeitswert für ein bestimmtes zukünftiges Verhalten des Betroffenen erhoben oder verwendet werden, wenn 1. die zur Berechnung des Wahrscheinlichkeitswerts genutzten Daten unter Zugrundelegung eines wissenschaftlich anerkannten mathematisch-statistischen Verfahrens nachweisbar für die Berechnung der Wahrscheinlichkeit des bestimmten Verhaltens erheblich sind, 2. im Fall der Berechnung des Wahrscheinlichkeitswerts durch eine Auskunftei die Voraussetzungen für eine Übermittlung der genutzten Daten nach § 29 und in allen anderen Fällen die Voraussetzungen einer zulässigen Nutzung der Daten nach § 28 vorliegen, 3. für die Berechnung des Wahrscheinlichkeitswerts nicht ausschließlich Anschriftendaten genutzt werden, 4. im Fall der Nutzung von Anschriftendaten der Betroffene vor Berechnung des Wahrscheinlichkeitswerts über die vorgesehene Nutzung dieser Daten unterrichtet worden ist; die Unterrichtung ist zu dokumentieren.

Kamlah

|

651

§ 28b BDSG | Datenverarbeitung nicht-öffentlicher Stellen I. II. 1. 2.

Einführung . . . . . . . . . . . . . . Anwendungsbereich . . . . . . . Begriff . . . . . . . . . . . . . . . . . . Entscheidung im Rahmen eines Vertragsverhältnisses . . . . . . . 3. Vertragsverhältnis mit dem Betroffenen . . . . . . . . . . . . . . 4. Prognose zukünftigen Verhaltens . . . . . . . . . . . . . . . III. Zulässigkeitsvoraussetzungen

. . .

1 4 6

.

8

. 14 . 15 . 20

1. Wissenschaftlichkeit des Verfahrens (Halbs. 2 Nr. 1) . . . . 2. Zulässigkeit der verarbeiteten und genutzten Daten (Halbs. 2 Nr. 2) . . . . . . . . . . . . 3. Anschriftendaten (Halbs. 2 Nr. 3 und 4) . . . . . . . . IV. Normadressat . . . . . . . . . . . . . V. Verhältnis zu anderen Normen VI. Rechtsfolgen/Sanktionen . . . . .

21 24 31 40 41 43

Schrifttum: S. §§ 6a, 28a und 34 BDSG; ferner Härting, Profiling: Vorschläge für eine intelligente Regulierung, CR 2014, 528; Hammersen/Eisenried, Ist „Redlining“ in Deutschland erlaubt?, ZD 2014, 342; Heinson/Schmidt, IT-gestützte Compliance-Systeme und Datenschutzrecht, CR, 2010, 540; Kahler, Unisextarife im Versicherungswesen – Grundrechtsprüfung durch den EuGH, NJW 2011, 894; Sommer, Personalinformationssysteme im radikalen Wandel, CuA 6/2014, 4; Taeger/Rose, Rechtliche Rahmenbedingungen für das Scoring in Deutschland und in weiteren ausgewählten Staaten, K&R, Beiheft zu Heft 10/2014.

I. Einführung 1 Die Vorschrift wurde durch das Gesetz zur Änderung des Bundesdatenschutz-

gesetzes vom 29.7.2009 (sog. Novelle I) mit Wirkung zum 1.4.2010 in das BDSG mit aufgenommen1. Neben der Absicht, mehr Rechtssicherheit bei Auskunfteien zu schaffen2, ging es dem Gesetzgeber insbesondere darum, das sog. Kreditscoring zu regeln3, welches von den Datenschutzaufsichtsbehörden in deren Tätigkeitsberichten immer wieder kritisch begleitet wurde und Gegenstand mehrerer Studien war (s. zur Entstehungsgeschichte auch § 28a)4. Mit der Schaffung des § 28b hat der Gesetzgeber die Zulässigkeit von Scoringverfahren5 grundsätzlich anerkannt6. Neuere gesetzgeberische Initiativen werden keine parlamentarische Mehrheit finden7.

1 2 3 4

BGBl. I, S. 2254. S. die BT-Drucks. 16/13219, 16/10581 und 16/10529. BT-Drucks. 16/10529, S. 1. Zusammenfassend aus seiner Sicht Däubler/Klebe/Wedde/Weichert/Weichert, § 28b BDSG Rz. 1. 5 Eingehend zur Bonitätsbeurteilung mittels DV-gestützter Verfahren, Braunfelds/Richter, CR 1996, 775. 6 So auch in Simitis/Ehmann, § 28b BDSG Rz. 11. 7 BT-Drucks. 18/4864; insgesamt zum rechtlichen Rahmen des Scorings in Deutschland und anderen ausgewählten Staaten, Taeger/Rose, K&R Beiheft zu Heft 10/2014; mit Blick schon auf die DSGVO Härting, CR 2014, 528.

652

|

Kamlah

Scoring | § 28b BDSG

Das Gesetz definiert den Begriff des Wahrscheinlichkeitswerts nicht näher. 2 Aus der Überschrift des § 28b und der Gesetzesbegründung wird jedoch deutlich, dass Scorewerte bzw. Scoreverfahren aller Art, unabhängig von ihrer Bezeichnung als Ratingverfahren, Indizes o.ä., gemeint sind1. Die Einsatzgebiete von Scoreverfahren sind vielfältig. Allerdings fallen nicht alle 3 unter den Anwendungsbereich der Norm.

II. Anwendungsbereich Durch seine Stellung im Gesetz gilt § 28b nur für den nicht-öffentlichen Bereich 4 (s. hierzu § 28a). In Anknüpfung an § 27 sind dagegen rein manuelle und nicht dateigebundene Verfahren nicht vom § 28b erfasst2. Ob man diese Verfahren dann „Scoring“ nennen kann, ist insoweit unerheblich, da diese Verfahren sich nicht an § 28b messen müssen und somit zulässig bleiben3. Da § 28b gleichzeitig Anknüpfungsnorm für die neu geschaffenen Auskunftsansprüche des § 34 Abs. 2 bis 4 ist, entfaltet der Anwendungsbereich des § 28b auch bei der Reichweite der Transparenz praktische Relevanz. Der Definition des Anwendungsbereichs kommt entscheidende Bedeutung zu. 5 Dabei ist § 28b so gefasst, dass er nicht alle Scoreverfahren regelt, sondern nur die, welche die tatbestandlichen Voraussetzungen des § 28b Halbs. 1 erfüllen. Nur wenn diese Voraussetzungen erfüllt sind, greifen die Zulässigkeitsanforderungen der Nr. 1–4 in § 28b Halbs. 2. Für alle anderen Scoreverfahren gelten die Nr. 1–4 des § 28b Halbs. 2 nicht. 1. Begriff § 28b ist überschrieben mit „Scoring“, ohne den Begriff an irgendeiner Stelle ins 6 Deutsche zu übersetzen oder ihn im Gesetz selbst zu definieren. Die Gesetzesbegründung spricht vielmehr von „Scoreverfahren“. Danach handelt es sich bei Scoreverfahren um mathematisch-statistische Verfahren, mit denen die Wahrscheinlichkeit, mit der eine bestimmte Person ein bestimmtes Verhalten zeigen wird, berechnet werden kann4. Scorewerte sind also lediglich statistische Werte, die keine individuelle Bewertung des jeweils Betroffenen darstellen. Vielmehr wird dieser aufgrund bei ihm vorliegender Daten einer Vergleichsgruppe und damit dem dieser Vergleichsgruppe innewohnenden Gruppenrisiko zugeordnet. 1 Zu „Wahrscheinlichkeitsaussagen“ auch Däubler/Klebe/Wedde/Weichert/Weichert, § 3 BDSG Rz. 18. 2 Gola/Schomerus, § 28b BDSG Rz. 5. 3 Vgl. auch Simitis/Ehmann, § 28b BDSG Rz. 54 ff.; Gürtler/Kriese, RDV 2010, 47 (49). 4 BT-Drucks. 16/10529, S. 1; so unterdessen auch der BGH v. 28.1.2014 – VI ZR 156/13, NJW 2014, 1235.

Kamlah

|

653

§ 28b BDSG | Datenverarbeitung nicht-öffentlicher Stellen Der Score kann sowohl bei Veränderung der zum jeweils Betroffenen gespeicherten Daten, als auch bei Veränderung der Risikostruktur der Vergleichsgruppe variieren1. Das Gesetz selbst wiederum spricht im Folgenden dann von „Wahrscheinlichkeitswerten“. Dabei handelt es sich nach der Definition der Gesetzesbegründung um Werte, die auf Basis eben dieser Scoreverfahren berechnet werden2. Davon zu trennen sind Bestandteile von Wahrscheinlichkeitswerten. Diese sind aber wegen der nach § 34 Abs. 2 Satz 3 Nr. 2 bestehenden grundsätzlichen Transparenzpflicht wohl auch an § 28b zu messen. Anders verhält es sich dagegen bei sog. Zwischenrechnungen, die für sich genommen gerade keinen (abgeschlossenen) Wahrscheinlichkeits(teil)wert, sondern nur ein Zwischenergebnis darstellen, welches lediglich als Variable oder Datenart in den (Gesamt)wahrscheinlichkeitswert eingeht und deswegen für sich genommen aus dem Anwendungsbereich des § 28b und dementsprechend auch dem des § 34 herausfällt. Eng verknüpft mit dem Begriff des „Wahrscheinlichkeitswertes“ ist seine Eignung, eine Prognose über ein zukünftiges Verhalten des Betroffenen abzugeben. Dieses ist aber bei reinen vergangenheitsbezogenen Schätzverfahren – auch wenn sie auf dokumentierten Erfahrungssätzen (z.B. Punkteliste in einer Exceltabelle) beruhen – nicht der Fall (zu Schätzdaten s. auch § 35 Abs. 1 Satz 2). 7 Wie solche Wahrscheinlichkeitswerte ausgedrückt werden, ist unerheblich. Ent-

scheidend ist der Charakter als Wahrscheinlichkeitswert. Daher können auch sog. Bonitätsindizes Wahrscheinlichkeitswerte darstellen. Bonitätsindizes wiederum sind keine Tatsachenbehauptungen, sondern Werturteile und damit Meinungsäußerungen. Beruhen Bonitätsindizes auf wahren Tatsachen, sind diese in aller Regel nicht zu beanstanden3. Der Einordnung als Meinungsäußerung folgt, dass diese nur eingeschränkt einem Korrekturanspruch ausgesetzt sein können (s. dazu § 35). 2. Entscheidung im Rahmen eines Vertragsverhältnisses

8 Die strengen Voraussetzungen des § 28b gelten nur in den Fällen, in denen das

Scoring unmittelbar zu einer Entscheidung über die Begründung, Durchführung oder Beendigung eines konkreten Vertragsverhältnisses mit dem Betroffenen (s.a. die Formulierung des § 28a Abs. 2 Satz 1) führen soll und es auch nur genau zu diesem Zwecke erfolgt.

1 OLG Nürnberg v. 30.1.2012 – 3 U 2362/11, ZD 2013, 26; LG Wiesbaden v. 21.4.2011 – 9 O 277/10. 2 Eingehend zur Begrifflichkeit Simitis/Ehmann, § 28b BDSG Rz. 20 ff., zu Scoreverfahren aus fachlicher Sicht ders. a.a.O. Rz. 27 ff. 3 BGH v. 22.2.2011 – VI ZR 120/10, NJW 2011, 2204; LG Berlin v. 27.11.2013 – 10 O 125/13, ZD 2014, 366; BGH v. 28.1.2014 – VI ZR 156/13, NJW 2014, 1235; OLG Oldenburg v. 29.3.2016 – 13 U 61/15, n.v.

654

|

Kamlah

Scoring | § 28b BDSG

Das bedeutet, dass Scoreverfahren bzw. Scorewerte, die nicht im Rahmen von 9 Entscheidungen über die Begründung, Durchführung oder Beendigung eines konkreten Vertragsverhältnisses mit dem Betroffenen verwendet werden, nicht unter den Anwendungsbereich des § 28b fallen. Dies ist bspw. bei Scoringverfahren im Rahmen der Werbung denkbar, da diese nicht unmittelbar im Zusammenhang mit der Begründung, Durchführung oder Beendigung eines konkreten Vertragsverhältnisses im Zusammenhang stehen, sondern dem eigentlichen Angebot zum unmittelbaren Abschluss eines Vertrages vorgelagert sind1. Dies gilt entsprechend für alle Fallgestaltungen, bei denen aufgrund der ermittelten Scorewerte nicht unmittelbar über einen Vertrag entschieden wird, wie bspw. auch bei (Vor-)Auswahlentscheidungen im Bereich der Mitarbeitergewinnung (s.a. § 6a)2. Dementsprechend findet § 28b nicht nur dann keine Anwendung, wenn der Betroffene auf Basis von Scoreverfahren in bestimmter Weise beworben wird, sondern auch dann nicht, wenn ihm im Anschluss an ein Scoring ein Angebot oder eine Vertragsverlängerung (zu geänderten – ggf. verbesserten – Konditionen) unterbreitet wurde3, denn in diesen Fällen hängt ja die Entscheidung über die Begründung des Vertragsverhältnisses nicht vom Scoreanwender, sondern vom Betroffenen ab. So ist der Anwendungsbereich des § 28b erst recht nicht eröffnet, wenn (erst) gar kein Vertragsverhältnis begründet werden soll4. Vom Anwendungsbereich der Vorschrift werden auch Scoreverfahren erfasst, 10 die zum Zwecke der Entscheidung über die Durchführung eines Vertragsverhältnisses erhoben oder verwendet werden. Die wichtigsten Fallgruppen hierfür sind das Scoring zum Zwecke der Erhöhung einer Kreditlinie oder der (weiteren) Hereinnahme von Sicherheiten. Entsprechendes gilt, wenn sich aufgrund eines während der Laufzeit des Vertra- 11 ges durchgeführten Scorings die Konditionen ändern. Erfasst werden aber möglicherweise auch scoregestützte Entscheidungen während der Laufzeit des Vertrages, wie z.B. die Ermittlung des Grades eines bestimmten Service Levels, mit dem der Betroffene bedient wird, wie dies durch entsprechende Verfahren z.B. in Call-Centern der Fall sein kann. Reine Potenzialanalysen im Rahmen des Beschäftigtenverhältnisses dürften zumindest dann, wenn ihnen keine Entscheidung folgt, nicht unter den Anwendungsbereich des § 28b fallen5. Maßnahmen zum Zwecke der Rechtsverfolgung fallen auch dann nicht unter 12 den Anwendungsbereich des § 28b, wenn dessen Erfolgsaussichten mittels Scoreverfahren vorher geprüft werden. Dementsprechend ist die Ermittlung der 1 Simitis/Ehmann, § 28b BDSG Rz. 45; Gola/Schomerus, § 28b BDSG Rz. 8 auch für den Fall der Pflege bestehender Kundenbeziehungen. 2 Vgl. Gola/Schomerus, § 28b BDSG Rz. 7. 3 A.A. Däubler/Klebe/Wedde/Weichert/Weichert, § 28b BDSG Rz. 2; offenbar auch Gola/ Schomerus, § 28b BDSG Rz. 9. 4 Vgl. Simitis/Ehmann, § 28b BDSG Rz. 44. 5 Gola/Schomerus, § 28b BDSG Rz. 7.

Kamlah

|

655

§ 28b BDSG | Datenverarbeitung nicht-öffentlicher Stellen Beitreibungswahrscheinlichkeit (durch ein Inkassounternehmen) kein Anwendungsfall des § 28b, sofern damit nicht gleichzeitig bspw. eine Vertragskündigung einhergeht1. Bei der Ermittlung von Beitreibungswahrscheinlichkeiten geht es auch nicht um eine Ermittlung oder Steuerung gegenseitiger Leistungspflichten im Rahmen der Durchführung eines Vertrages, da der Schuldner ja bereits ausgefallen ist und nur die Erfolgsaussichten von Inkassomaßnahmen ermittelt werden sollen. 13 Die Verwendung von Scores i.S.d. Vorschrift im Falle der Beendigung ist bspw.

denkbar, wenn aufgrund einer sich verschlechternden Vermögenslage (was durch einen entsprechenden Score zum Ausdruck gebracht wird) ggf. fristlos gekündigt werden soll (s. hierzu § 28a). 3. Vertragsverhältnis mit dem Betroffenen

14 Unter den Anwendungsbereich fallen nur Scoreverfahren in Bezug auf den ein-

zelnen Betroffenen, d.h. das Vertragsverhältnis, um dessen Begründung, Durchführung oder Beendigung es geht, muss sich auf den Betroffenen beziehen. Damit sind tatbestandlich bspw. auch solche Scoreverfahren vom Anwendungsbereich des § 28b ausgenommen, die der Bewertung eines Forderungsportfolios oder der gegen den Betroffenen selbst bestehenden Forderung im Rahmen eines Forderungskaufs dienen, da es hier nicht um den Vertrag mit dem Betroffenen, sondern um einen Vertrag zwischen Forderungskäufer und -verkäufer geht. 4. Prognose zukünftigen Verhaltens

15 Der Wahrscheinlichkeitswert muss sich auf ein bestimmtes zukünftiges Ver-

halten des Betroffenen beziehen. Dagegen fallen retrospektive Leistungs- und Verhaltensanalysen nicht unter § 28b2. Nach der Gesetzesbegründung setzt die Norm ein selbstbestimmtes Handeln des Betroffenen voraus, so dass Ereignisse, die auf höhere Gewalt oder Fremdeinwirkung beruhen, ausscheiden sollen (z.B. Blitzschlag, Diebstahl oder Erkrankung). Deswegen sollen die – scoringgestützten – Verfahren zur Tarifierung etwa von Lebens- oder Krankenversicherungen oder Versicherungen gegen Kfz-Diebstahl kein Scoring i.S.d. § 28b darstellen3.

16 Die vom Gesetzgeber in der Begründung vorgenommene Abgrenzung führt je-

doch zu Auslegungsschwierigkeiten und Wertungswidersprüchen, da bspw. auch die Zahlungsunfähigkeit nicht immer selbstbestimmt ist, etwa weil dem Be-

1 Im Zusammenhang mit Inkasso-Scores verkennen Gola/Schomerus, § 28b BDSG Rz. 10, dass diese in aller Regel nicht dazu dienen, eine Entscheidung über die Vertragsbeendigung zu begründen. 2 Gola/Schomerus, § 28b BDSG Rz. 6. 3 S. BT-Drucks. 16/10529, S. 16; Däubler/Klebe/Wedde/Weichert/Weichert, § 28 BDSG Rz. 4.

656

|

Kamlah

Scoring | § 28b BDSG

troffenen wegen unverschuldeter Erkrankung oder Arbeitslosigkeit nur noch verminderte oder gar keine Einnahmen mehr zur Verfügung stehen. Wegen der durch die Gesetzesbegründung ausdrücklich erfolgten Privilegierung von Tarifierungsverfahren sind gleichwohl offenbar auch solche Verfahren vom Anwendungsbereich des § 28b ausgenommen, in denen die (durch Scoreverfahren ermittelte) Bonität des Betroffenen zumindest Teilbestandteil der Tarifierung ist. Geldwäsche- und Betrugspräventionssysteme sind nach dem Willen des Ge- 17 setzgebers – auch wenn sie zur Erkennung von Verhaltensmustern oder Plausibilitäten auf Scoreverfahren beruhen – ebenfalls vom Anwendungsbereich des § 28b ausgenommen, da ausweislich der Gesetzesbegründung die Regelungen des KWG, insbesondere die über die Ausgestaltung der internen Risikomessverfahren unberührt bleiben1. Im Bereich des Arbeitnehmerdatenschutzes stellt sich die Frage, ob scoring- 18 gestützte Auswahlentscheidungen unter den Anwendungsbereich des § 28b fallen, weil diese nicht die Prognose eines zukünftigen Verhaltens im Blick haben (zur Frage, ob eine Auswahlentscheidung in unmittelbarem Zusammenhang mit der Begründung eines Vertragsverhältnisses steht, s. Rz. 9). Gegen die Anwendbarkeit des § 28b spricht, dass bei Auswahlentscheidungen die aufgrund des in der Vergangenheit erfolgten Verhaltens erworbenen Kenntnisse und Fähigkeiten evaluiert werden sollen und weniger ein zukünftiges Verhalten prognostiziert werden soll2. Zur Frage, wenn gleichwohl zukünftiges Verhalten prognostiziert wird3 und der ermittelte Wahrscheinlichkeitswert das Arbeitsverhältnis berührt, s. Rz. 25. Schließlich muss der Wahrscheinlichkeitswert für die genannten Zwecke er- 19 hoben oder verwendet werden. Während sich der Begriff der Erhebung aus § 3 Abs. 3 ergibt, ist der Begriff der Verwendung nicht definiert. Es ist jedoch davon auszugehen, dass damit der Oberbegriff zur Nutzung, Speicherung, Verarbeitung oder Übermittlung zu verstehen ist4.

III. Zulässigkeitsvoraussetzungen Nach § 28b darf zum Zwecke der Entscheidung über die Begründung, Durch- 20 führung oder Beendigung eines Vertragsverhältnisses mit dem Betroffenen ein Wahrscheinlichkeitswert für ein bestimmtes zukünftiges Verhalten des Betroffe1 S. BT-Drucks. 16/10529, S. 16; vgl. auch Simitis/Ehmann, § 28b BDSG Rz. 41 ff., der ebenfalls zum Ergebnis kommt, dass nicht alle Aktivitäten von § 28b erfasst sind; Gürtler/Kriese, RDV 2010, 47 (48 und 50); a.A. undifferenziert Däubler/Klebe/Wedde/Weichert/Weichert, § 28b BDSG Rz. 3; zu IT-gestützten Compliance-Systemen, Heinson/ Schmidt, CR 2010, 540 (zu Fraud Detection, S. 542 f.). 2 A.A. offenbar Simitis/Ehmann, § 28b BDSG Rz. 7. 3 S. hierzu Sommer, CuA 6/2014, 4. 4 Helfrich, S. 181 unter Bezug auf BT.-Drucks. 16/10529, 16.

Kamlah

|

657

§ 28b BDSG | Datenverarbeitung nicht-öffentlicher Stellen nen erhoben oder verwendet werden, wenn die in Nr. 1–4 genannten Voraussetzungen kumulativ erfüllt sind. 1. Wissenschaftlichkeit des Verfahrens (Halbs. 2 Nr. 1) 21 Nach § 28b Nr. 1 müssen die zur Berechnung des Wahrscheinlichkeitswertes ge-

nutzten Daten unter Zugrundelegung eines wissenschaftlich anerkannten mathematisch-statistischen Verfahrens nachweisbar für die Berechnung der Wahrscheinlichkeit eines bestimmten Verhaltens erheblich sein1. Die Anforderung eines wissenschaftlich anerkannten mathematisch-statistischen Verfahrens soll der Qualitätssicherung von Scoringverfahren dienen. Die „Richtigkeit“ eines Ergebnisses ist jedoch nicht Zulässigkeitsvoraussetzung für ein Scoring2. Insbesondere kann mit Blick auf einen einzelnen Betroffenen das Ergebnis nicht richtig oder falsch sein3. Erfasst werden von dieser Regelung alle bei Durchführung von Scoringverfahren verwendeten Daten4. Welches wissenschaftliche Verfahren zugrunde gelegt wurde, ist unerheblich5.

22 Für die Berechnung des Wahrscheinlichkeitswertes müssen die verwendeten Da-

ten unter Zugrundelegung des Verfahrens nachweisbar erheblich sein. Für die Berechtigung zur Nutzung bestimmter Daten (teilweise auch Parameter genannt) kommt es ausschließlich auf deren mathematisch-statistisch ermittelte Erheblichkeit an. Es soll vermieden werden, dass vermeintlich subjektiv motivierte oder gar willkürlich ausgewählte Daten bei der Berechnung von Scorewerten eine Rolle spielen. Grundsätzlich erheblich können dabei alle Daten sein, die zulässigerweise gespeichert werden6. Das können auch richtig geschätzte Daten sein7.

23 Aus dem Kriterium der Nachweisbarkeit ist eine Pflicht abzuleiten, die im Sco-

reverfahren verwendeten Daten regelmäßig einer Überprüfung zu unterziehen, um ggf. das entsprechende Prüfungsergebnis der Aufsichtsbehörde vorlegen zu können, damit auch sie die Erheblichkeit und die Wissenschaftlichkeit nachvollziehen kann8. Das Scoreverfahren ist lediglich der Aufsichtsbehörde offenzulegen, insbesondere ist kein Anspruch des Betroffenen auf detaillierte Auskunft hierüber gegeben (s. § 34)9. So werden teilweise die statistischen Landesämter

1 2 3 4 5 6 7 8 9

S. hierzu auch die ähnliche Formulierung in § 10 KWG Abs. 1 Satz 3 und 5. Auerhammer/Kramer, § 28b BDSG Rz. 27. Auerhammer/Kramer, § 28b BDSG Rz. 30. S. BT-Drucks. 16/10529, S. 16. Gürtler/Kriese, RDV 2010, 47 S. 48; vgl. auch OLG Nürnberg v. 30.10.2012 – 3 U 2362/11, ZD 2013, 26. Simitis/Ehmann, § 28b BDSG Rz. 37 ff. Gierschmann/Saeugling/Heinemann, § 28b BDSG Rz. 32. S. BT-Drucks. 16/10529, S. 16; Gola/Schomerus, § 28b BDSG Rz. 11 weisen zurecht darauf hin, dass die der Aufsichtsbehörde ggf. überlassenen Unterlagen mit Blick auf die Informationsfreiheitsgesetze als Betriebs- und Geschäftsgeheimnisse zu kennzeichnen sind. BT-Drucks. 16/10529, S. 15; BR-Drucks. 548/08, S. 30.

658

|

Kamlah

Scoring | § 28b BDSG

herangezogen, um mit deren Expertise die Qualität der seitens der verantwortlichen Stelle vorgelegten Gutachten zu überprüfen1. Dem Kriterium der Wissenschaftlichkeit ist aber unter Umständen dann nicht 23a genüge getan, wenn nur ein einzelner Faktor als Berechnungsgrundlage herangezogen wird2. Allerdings wird zu unterscheiden sein, ob das gesamte Scoringverfahren nur auf Basis weniger Daten unterhalten wird oder ob diesem grundsätzlich zahlreiche Parameter zugrunde liegen und nur im konkreten Einzelfall wenige Daten zum Betroffenen vorliegen. 2. Zulässigkeit der verarbeiteten und genutzten Daten (Halbs. 2 Nr. 2) Zusätzlich (die Nr. 1–4 in § 28b sind kumulativ zu erfüllen) müssen nach Nr. 2 24 im Falle der Berechnung des Wahrscheinlichkeitswerts durch eine Auskunftei die Voraussetzungen für eine Übermittlung der genutzten Daten nach § 29 und in allen anderen Fällen die einer zulässigen Nutzung der Daten nach § 28 vorliegen. Mit seinem Verweis auf die §§ 28 und 29 will § 28b Nr. 2 klarstellen, dass im 25 Rahmen der Scoreberechnung keine Daten verwendet werden, die nicht nach den gesetzlichen Bestimmungen hätten übermittelt bzw. genutzt werden dürfen3. Auffällig ist, dass in § 28b nicht auf § 32 verwiesen wird. Dies mag an den sich zeitlich überschneidenden BDSG-Novellen und der relativ späten Integration des § 32 in die BDSG-Novelle II4 liegen, kann aber auch bedeuten, dass im Anwendungsbereich des § 28b (außerhalb des § 28b bleiben dagegen Anwendungsbereiche denkbar, s. Rz. 9 und 18) kein Mitarbeiterscoring stattfinden soll5. Zu beachten ist allerdings, dass ausweislich der Gesetzesmaterialien das sog. Kreditscoring ganz im Fokus der Schaffung des § 28b stand6. Mit dem Bezug auf die §§ 28 und 29 ist ferner klargestellt, dass Wahrscheinlich- 26 keitswerte auch auf Basis von Daten ermittelt werden können, die allgemein zugänglichen Quellen und damit auch dem Internet entstammen. Allerdings sind insbesondere bei den aus dem Internet entnommenen Daten besondere Sorgfaltspflichten zu beachten7. 1 Zum Scoring-Verfahren der SCHUFA, s. 17. Bericht der Landesregierung über die Tätigkeit der für den Datenschutz im nicht-öffentlichen Bereich in Hessen zuständigen Aufsichtsbehörden, LT-Drucks. 16/3650, S. 11. 2 OLG Frankfurt v. 7.4.2015 – 24 U 82/14, ZD 2015, 335 vgl. auch AG Neuss v. 11.8.2011 – 90 C 4596/10. 3 Undeutlich bei seiner Beschreibung des Verhältnisses von § 28b zu § 29 Helfrich, S. 197 ff. 4 BGBl. I, S. 2814. 5 In diesem Sinne Simitis/Ehmann, § 28b BDSG Rz. 2 ff. 6 S.a. Auerhammer/Kramer, § 28b BDSG Rz. 7. 7 Einzelheiten s. Helfrich, S. 205 ff., 212 ff.

Kamlah

|

659

§ 28b BDSG | Datenverarbeitung nicht-öffentlicher Stellen 27 Hinsichtlich sog. AGG-Daten bestehen jenseits des § 3 Abs. 9 grundsätzlich

keine gesonderten Beschränkungen. Dies gilt insbesondere dort, wo gerade wegen der erforderlichen und zulässigen Bonitätsprüfung das beabsichtigte Geschäft nicht ohne Ansehen der Person und zu vergleichbaren Bedingungen erfolgt und deswegen gerade kein Massengeschäft i.S.v. § 19 Abs. 1 Nr. 1 AGG ist1. Die Nutzung von Daten über das Geschlecht des/der Betroffenen zur Berechnung eines Scorewertes ist grundsätzlich zulässig2.

27a Im Rahmen der Berechnung eines Wahrscheinlichkeitswertes zu einer Person

hat der Betroffene keinen Anspruch auf Berücksichtigung weiterer Daten, wie bspw. individuelle Einkommens- und Vermögens- oder auch Familienverhältnisse3.

28 Eine Befugnis kann jedenfalls die wirksame Einwilligung des Betroffenen sein4,

da § 28b nicht „nur“ auf die §§ 28 und 29 verweist. Ein Ausschluss der Einwilligung würde überdies verfassungs- und europarechtlichen Bedenken unterliegen (vgl. schon zu § 28a Abs. 2). Die Einwilligung kann bspw. dann praktische Bedeutung erhalten, wenn der Betroffene durch Eigenangaben die Datenbasis zur Berechnung des Scorewertes beeinflussen will, diese Daten aber nicht nach §§ 28 bzw. 29 hätten übermittelt bzw. genutzt werden dürfen (etwa zusätzliche Kategorien von Positivdaten, wie Einkommens- oder Vermögensverhältnisse etc., hierzu auch § 28a). Bei der Auslegung, welche Daten nach den §§ 28 und 29 in diesem Rahmen verarbeitet und genutzt werden können, ist bei der durchzuführenden Interessenabwägung zu berücksichtigen, dass der Gesetzgeber die Nutzung von Anschriftendaten ausdrücklich zugelassen hat (§ 28b Nr. 3 und 4). So wird man an die Übermittlungs- und Nutzungsbefugnis objektiver, direkt auf einem Verhalten des Betroffenen beruhender Daten keine höheren Anforderungen stellen können als bei der Nutzung von Anschriftendaten.

29 Ferner sind nicht nur im Anwendungsbereich des § 10 KWG die dort in Abs. 1

Satz 6 getroffenen Wertungen hinsichtlich der Frage zu berücksichtigen, welche Datenkategorien bei der Ermittlung von Wahrscheinlichkeitswerten zugrunde gelegt werden können5. Nach § 10 KWG Abs. 1 Satz 7 können diese Daten auch von Dritten erhoben werden.

30 Wenn eine Auskunftei die Berechnung des Wahrscheinlichkeitswertes durch-

führt, dann ist sie auch für die Berechnung und das Ergebnis datenschutzrecht-

1 Enger Helfrich, S. 130 ff., 209, 253, der verkennt, dass jedweder Kreditvertrag eine individuelle Risikoprüfung erforderlich macht; das Urteil des EuGH v. 1.3.2011 – Rs. C 236/ 09 (Unisextarife) bespricht Kahler, NJW 2011, 894. 2 OLG München v. 12.3.2014 – 15 U2395/13, ZD 2014, 570. 3 OLG München v. 12.3.2014 – 15 U2395/13, ZD 2014, 570. 4 S. hierzu auch Däubler/Klebe/Wedde/Weichert/Weichert, § 28b BDSG Rz. 10, der offensichtlich eine Einwilligung auch nicht völlig ausschließt. 5 Einzelheiten s. Taeger/Gabel/Mackenthun, § 28b BDSG Rz. 34 ff.; Helfrich, S. 57 ff.

660

|

Kamlah

Scoring | § 28b BDSG

lich die verantwortliche Stelle. Das ist jedoch nicht der Fall, wenn die Berechnung von Wahrscheinlichkeitswerten von der Auskunftei lediglich im Auftrag erfolgt. In diesen Fällen ähnelt die Tätigkeit der Auskunftei eher derjenigen eines IT-Dienstleisters, der weisungsgebunden die vom Auftraggeber entwickelten oder ausgewählten Scoreverfahren oder von diesen vorgegebenen Formeln verwendet. Wenn ausschließlich Daten des Auftraggebers zugrunde gelegt werden, erfolgt keine Datenübermittlung zwischen Auskunftei und Auftraggeber. Bei in der Praxis häufig vorkommenden Mischformen, d.h. bei Zugrundelegung von Daten sowohl der Auskunftei als auch der entscheidenden Stelle, ist dagegen für die seitens der Auskunftei beigesteuerten Daten § 29 anwendbar. Durch den Verweis auf § 29 in § 28b Nr. 2 sind auch die neuen Vorschriften des § 28a miteinbezogen. 3. Anschriftendaten (Halbs. 2 Nr. 3 und 4) Nach Nr. 3 darf die Berechnung des Wahrscheinlichkeitswertes nicht ausschließ- 31 lich auf Anschriftendaten basieren. Der Gesetzgeber hat den Begriff der Anschriftendaten nicht näher definiert. Die Gesetzesbegründung verweist insoweit nur auf die in der Öffentlichkeit diskutierte Bedeutung von Anschriftendaten1. Diese Diskussion machte sich in erster Linie an sog. georeferenzierten Daten, welche für das sog. Geo-Scoring verwendet werden, fest. Dabei geht es um Daten, die an die Anschrift (zum Begriff der Anschrift s. auch § 28 Abs. 3) anknüpfen, und die Anschrift lediglich eingrenzt, welche Daten in einem bestimmten Umfeld dieser Anschrift signifikant sind2. Das können alle Arten von Daten sein, wie bspw. Hochhausdichte, Gartengrundstücke, Einfamilienhäuser, Dichte einer bestimmten Kfz-Klasse, Bahnhofsnähe, ggf. aber auch Dichte der im Umfeld lebenden Personen, die im Schuldnerverzeichnis der Amtsgerichte eingetragen sind. Gemeint sind mithin Umfelddaten, die außer der Tatsache, dass der Betroffene unter der das Umfeld definierenden Anschrift wohnt3, nicht an ein Verhalten des Betroffenen anknüpfen und ihm deshalb nicht ausschließlich zur Berechnung eines Wahrscheinlichkeitswertes über sein eigenes zukünftiges Verhalten zugeordnet werden sollen4. Eigenes Verhalten, wie etwa das Unterhalten mehrerer Wohnsitze oder häufige 32 Umzüge5 sind dagegen keine Anschriftendaten in diesem Sinne. Das entspricht auch der Einordnung in Art. 3 Nr. 2 der RL 2007/2/EG (Inspire-RL), wonach 1 S. BT-Drucks. 16/10529, S. 16 und 16/13219, S. 9. 2 Nach Gierschmann/Saeugling/Heinemann, § 28b BDSG Rz. 61 ff. sind Umfelddaten schon keine Anschriftendaten. 3 Vgl. Gürtler/Kriese, RDV 2010, 47, 50 f.; ähnlich Simitis/Ehmann, § 28b BDSG Rz. 63 ff. 4 Eingehend zu Scoringverfahren unter Einbeziehung von Geodaten Behm, RDV 2010, 61 ff. 5 Nach LG Hamburg v. 16.8.1996 – 317 S 354/95, NJW RR 1996, 1522 sind diese bonitätsrelevant.

Kamlah

|

661

§ 28b BDSG | Datenverarbeitung nicht-öffentlicher Stellen nur Daten mit einem direkten oder indirekten Bezug zu einem bestimmten Standort oder geografischem Gebiet Geodaten sind. 33 Die Berechnung des Wahrscheinlichkeitswertes darf nicht ausschließlich auf

Anschriftendaten gestützt werden. Gegen dieses Ausschließlichkeitsverbot wird entgegen dem Wortlaut der Vorschrift auch dann verstoßen, wenn das Verbot dadurch umgangen wird, dass zwar neben Anschriftendaten auch andere Daten genutzt werden, diese aber nur mit einer verschwindend geringen Gewichtung in die Berechnung des Scorewertes einfließen1. Damit müssen diese anderen Daten einen maßgeblichen Einfluss auf den berechneten Wahrscheinlichkeitswert haben. Anschriftendaten dürfen allenfalls ergänzend herangezogen werden. Nur so wird das gesetzgeberische Ziel, welches durch den Änderungsantrag des Innenausschusses noch einmal konkretisiert wurde2, erreicht, auf die entsprechend kritische öffentliche Diskussion hinsichtlich der Nutzung von Anschriftendaten in Scoreverfahren3 zu reagieren. Gleichwohl bleibt zu konstatieren, dass die (flankierende) Nutzung von Anschriftendaten ausdrücklich zugelassen wird.

34 Allerdings wird die Nutzungsbefugnis an die Voraussetzung geknüpft, dass der

Betroffene vor der Berechnung über die vorgesehene Nutzung von Anschriftendaten zu unterrichten ist (§ 28b Nr. 4). Die Unterrichtung soll in der Praxis über allgemeine Geschäftsbedingungen (AGB) erfolgen können4. Die Unterrichtungspflicht soll dem Betroffenen die Möglichkeit geben, ggf. vom Vertrag Abstand zu nehmen5. Dies setzt eine ausreichende Möglichkeit zur Kenntnisnahme der Unterrichtung und eine angemessene Frist zwischen Unterrichtung und Scoreberechnung voraus.

35 Sofern also die Unterrichtung tatsächlich in den AGB erfolgt, müssen diese dem

Betroffenen vor Vertragsschluss zur Kenntnis gelangt sein. Eine Unterrichtung außerhalb von AGB ist möglich, wenn nicht daher sogar angezeigt, da AGB oft erst später bei Vertragsschluss einbezogen werden. Ein Formzwang besteht nicht. Daher kann die Unterrichtung auch per E-Mail erfolgen. Hinsichtlich der Unterrichtungstiefe enthält das Gesetz keine Angaben. Ausreichend erscheint aus dem Wortlaut heraus ein Hinweis, dass überhaupt Anschriftendaten genutzt werden. Welche dies im Einzelnen sein können, muss dagegen nicht aufgeführt werden. Eine Unterrichtung im Rahmen von Hinweisen nach § 13 TMG erscheint jedenfalls dann denkbar zu sein, wenn auf diese vor der Berechnung noch einmal gesondert verwiesen wird.

36 Da damit die Unterrichtung durchaus kurz sein kann, gilt umso mehr, sie deut-

lich erkennbar abzubilden. Anders als die Unterrichtung nach § 4 Abs. 3 (s. § 4)

1 2 3 4 5

BT-Drucks. 16/13219, S. 9. Vgl. BT-Drucks. 16/13219, S. 7. S. auch Däubler/Klebe/Wedde/Weichert/Weichert § 28b BDSG Rz. 11. BT-Drucks. 16/10529, S. 16; BR-Drucks. 548/08, S. 31. Gegenäußerung der Bundesregierung zu Nr. 7, Buchst. C.

662

|

Kamlah

Scoring | § 28b BDSG

ist die Unterrichtungspflicht nach § 28b Nr. 4 wohl zulässigkeitsbegründend, so dass eine fehlende oder nicht deutliche Unterrichtung die sich anschließende Scoreberechnung unzulässig macht. Eine entsprechende Unterrichtung könnte bspw. folgenden Wortlaut haben:

37

„Wir weisen darauf hin, dass wir zum Zwecke der Entscheidung über die Begründung, Durchführung oder Beendigung dieses Vertragsverhältnisses im Rahmen der Risikosteuerung Wahrscheinlichkeitswerte für Ihr zukünftiges Verhalten erheben oder verwenden und zur Berechnung dieser Wahrscheinlichkeitswerte auch Anschriftendaten genutzt werden.“

Die Unterrichtung ist zu dokumentieren. Diese Verpflichtung dürfte durch die 38 Aufnahme in die Antragsunterlagen, die beiden Vertragsparteien zur Verfügung stehen, erfüllt sein. Einen eigenen Anwendungsbereich hat diese Verpflichtung dann, wenn die Unterrichtung außerhalb der Vertragsunterlagen (insbesondere mündlich) erfolgt. Die Unterrichtungs- bzw. Dokumentationspflicht trifft nur die entscheidende 39 Stelle als verantwortliche Stelle, nicht jedoch die Auskunfteien, die ja keinen Betroffenenkontakt haben.

IV. Normadressat Aus dem Vorstehenden und aus der Stellung im Gesetz ergibt sich, dass Norm- 40 adressat der Vorschrift zunächst die „entscheidende Stelle“ ist. Nur diese erhebt oder verwendet (nutzt) Wahrscheinlichkeitswerte für eine Entscheidung. Gleichwohl entsteht ein faktischer Zwang für den „Scorelieferanten“ – der eine Auskunftei sein kann, aber nicht zwingend sein muss – die gesetzlichen Auflagen einzuhalten, die für die „entscheidende Stelle“ gelten.

V. Verhältnis zu anderen Normen Unabhängig von der Anwendbarkeit des § 28b auf das entsprechende Scorever- 41 fahren bleibt die Prüfung des Anwendungsbereichs des § 6a unberührt, der durch seine Stellung im allgemeinen Teil des BDSG auch für den öffentlichen Bereich gilt. Daneben gilt auch § 29 Abs. 7, da ein Score auch Ergebnis einer Datenbankabfrage sein kann1. Im Bereich des KWG regeln § 25a KWG und die daran anknüpfenden Mindest- 42 anforderungen für das Risikomanagement (MaRisk) besondere Pflichten zur Risikovorsorge2. Hieraus ergibt sich – wenn auch nicht unumstritten – eine Recht1 Zum Verhältnis von § 28b zu § 29 insgesamt allerdings undeutlich Helfrich, S. 197 ff. 2 S. auch § 91 AktG Abs. 2 oder § 317 Abs. 4 HGB; die Pflicht zur Kreditwürdigkeitsprüfung wurde auch vom EuGH v. 18.12.2014 – C-449/13, ZD 2015,175 festgestellt.

Kamlah

|

663

§ 29 BDSG | Datenverarbeitung nicht-öffentlicher Stellen fertigung auch zur Einrichtung und Unterhaltung von Scoreverfahren1. Die entsprechende Diskussion hat sich aber seit der Einführung des insoweit konkreteren § 10 KWG auf diese Norm verlagert. I.E. ist – entgegen kritischen Stimmen2 – auch bei parallelem Geltungsbereich von BDSG und KWG ein Durchschlagen der aufsichtsrechtlichen Normen auf die datenschutzrechtliche Zulässigkeit zu bejahen3.

VI. Rechtsfolgen/Sanktionen 43 Ein Verstoß gegen § 28b insgesamt ist nicht bußgeldbewehrt. Über § 28b Nr. 2

ist allenfalls eine unbefugte Verarbeitung personenbezogener Daten sanktioniert. Der Schutz der Betroffenen wird ferner über § 43 Abs. 1 Nr. 8a–c sichergestellt (s. Rz. 36). Im Übrigen sind Wahrscheinlichkeitswerte als Meinungsäußerungen nur eingeschränkt überprüfbar (s. Rz. 7).

§ 29 Geschäftsmäßige Datenerhebung und -speicherung zum Zweck der Übermittlung (1) 1Das geschäftsmäßige Erheben, Speichern, Verändern oder Nutzen personenbezogener Daten zum Zweck der Übermittlung, insbesondere wenn dies der Werbung, der Tätigkeit von Auskunfteien oder dem Adresshandel dient, ist zulässig, wenn 1. kein Grund zu der Annahme besteht, dass der Betroffene ein schutzwürdiges Interesse an dem Ausschluss der Erhebung, Speicherung oder Veränderung hat, 2. die Daten aus allgemein zugänglichen Quellen entnommen werden können oder die verantwortliche Stelle sie veröffentlichen dürfte, es sei denn, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Erhebung, Speicherung oder Veränderung offensichtlich überwiegt, oder 1 Taeger/Gabel/Mackenthun, § 28b BDSG Rz. 34 ff. 2 Für Simitis/Ehmann, § 28b BDSG Rz. 18 f. ist der Themenkreis ungelöst; Gürtler/Kriese, RDV 2010, 47, 49 betrachten § 10 KWG als lex specialis, ebenso wohl Helfrich, S. 58 ff., 59, zum Verhältnis KWG zu BDSG S. 88 ff. und 191 ff. 3 Zum Diskussionsstand Taeger/Gabel/Mackenthun, § 28b BDSG Rz. 34 ff; zum Verhältnis von KWG und BDSG unter besonderer Berücksichtigung der Verwendung von Anschriftendaten Hammersen/Eisenried, ZD 2014, 342.

664

|

Kamlah/Plath

§ 29 BDSG | Datenverarbeitung nicht-öffentlicher Stellen fertigung auch zur Einrichtung und Unterhaltung von Scoreverfahren1. Die entsprechende Diskussion hat sich aber seit der Einführung des insoweit konkreteren § 10 KWG auf diese Norm verlagert. I.E. ist – entgegen kritischen Stimmen2 – auch bei parallelem Geltungsbereich von BDSG und KWG ein Durchschlagen der aufsichtsrechtlichen Normen auf die datenschutzrechtliche Zulässigkeit zu bejahen3.

VI. Rechtsfolgen/Sanktionen 43 Ein Verstoß gegen § 28b insgesamt ist nicht bußgeldbewehrt. Über § 28b Nr. 2

ist allenfalls eine unbefugte Verarbeitung personenbezogener Daten sanktioniert. Der Schutz der Betroffenen wird ferner über § 43 Abs. 1 Nr. 8a–c sichergestellt (s. Rz. 36). Im Übrigen sind Wahrscheinlichkeitswerte als Meinungsäußerungen nur eingeschränkt überprüfbar (s. Rz. 7).

§ 29 Geschäftsmäßige Datenerhebung und -speicherung zum Zweck der Übermittlung (1) 1Das geschäftsmäßige Erheben, Speichern, Verändern oder Nutzen personenbezogener Daten zum Zweck der Übermittlung, insbesondere wenn dies der Werbung, der Tätigkeit von Auskunfteien oder dem Adresshandel dient, ist zulässig, wenn 1. kein Grund zu der Annahme besteht, dass der Betroffene ein schutzwürdiges Interesse an dem Ausschluss der Erhebung, Speicherung oder Veränderung hat, 2. die Daten aus allgemein zugänglichen Quellen entnommen werden können oder die verantwortliche Stelle sie veröffentlichen dürfte, es sei denn, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Erhebung, Speicherung oder Veränderung offensichtlich überwiegt, oder 1 Taeger/Gabel/Mackenthun, § 28b BDSG Rz. 34 ff. 2 Für Simitis/Ehmann, § 28b BDSG Rz. 18 f. ist der Themenkreis ungelöst; Gürtler/Kriese, RDV 2010, 47, 49 betrachten § 10 KWG als lex specialis, ebenso wohl Helfrich, S. 58 ff., 59, zum Verhältnis KWG zu BDSG S. 88 ff. und 191 ff. 3 Zum Diskussionsstand Taeger/Gabel/Mackenthun, § 28b BDSG Rz. 34 ff; zum Verhältnis von KWG und BDSG unter besonderer Berücksichtigung der Verwendung von Anschriftendaten Hammersen/Eisenried, ZD 2014, 342.

664

|

Kamlah/Plath

Geschäftsmäßige Datenerhebung zum Zweck der Übermittlung | § 29 BDSG

3. die Voraussetzungen des § 28a Abs. 1 oder Abs. 2 erfüllt sind; Daten im Sinne von § 28a Abs. 2 Satz 4 dürfen nicht erhoben oder gespeichert werden. 2§ 28 Absatz 1 Satz 2 und Absatz 3 bis 3b ist anzuwenden. (2) 1Die Übermittlung im Rahmen der Zwecke nach Absatz 1 ist zulässig, wenn 1. der Dritte, dem die Daten übermittelt werden, ein berechtigtes Interesse an ihrer Kenntnis glaubhaft dargelegt hat und 2. kein Grund zu der Annahme besteht, dass der Betroffene ein schutzwürdiges Interesse an dem Ausschluss der Übermittlung hat. 2§ 28 Absatz 3 bis 3b gilt entsprechend. 3Bei der Übermittlung nach Satz 1 Nr. 1 sind die Gründe für das Vorliegen eines berechtigten Interesses und die Art und Weise ihrer glaubhaften Darlegung von der übermittelnden Stelle aufzuzeichnen. 4Bei der Übermittlung im automatisierten Abrufverfahren obliegt die Aufzeichnungspflicht dem Dritten, dem die Daten übermittelt werden. 5Die übermittelnde Stelle hat Stichprobenverfahren nach § 10 Abs. 4 Satz 3 durchzuführen und dabei auch das Vorliegen eines berechtigten Interesses einzelfallbezogen festzustellen und zu überprüfen. (3) 1Die Aufnahme personenbezogener Daten in elektronische oder gedruckte Adress-, Rufnummern-, Branchen- oder vergleichbare Verzeichnisse hat zu unterbleiben, wenn der entgegenstehende Wille des Betroffenen aus dem zugrunde liegenden elektronischen oder gedruckten Verzeichnis oder Register ersichtlich ist. 2Der Empfänger der Daten hat sicherzustellen, dass Kennzeichnungen aus elektronischen oder gedruckten Verzeichnissen oder Registern bei der Übernahme in Verzeichnisse oder Register übernommen werden. (4) Für die Verarbeitung oder Nutzung der übermittelten Daten gilt § 28 Abs. 4 und 5. (5) § 28 Abs. 6 bis 9 gilt entsprechend. (6) Eine Stelle, die geschäftsmäßig personenbezogene Daten, die zur Bewertung der Kreditwürdigkeit von Verbrauchern genutzt werden dürfen, zum Zweck der Übermittlung erhebt, speichert oder verändert, hat Auskunftsverlangen von Darlehensgebern aus anderen Mitgliedstaaten der Europäischen Union oder anderen Vertragsstaaten des Abkommens über den Europäischen Wirtschaftsraum genauso zu behandeln wie Auskunftsverlangen inländischer Darlehensgeber. (7) 1Wer den Abschluss eines Verbraucherdarlehensvertrags oder eines Vertrags über eine entgeltliche Finanzierungshilfe mit einem Verbraucher infolge einer Auskunft einer Stelle im Sinne des Absatzes 6 ablehnt, hat den Verbraucher unverzüglich hierüber sowie über die erhaltene Auskunft zu unterrichten. 2Die Unterrichtung unterbleibt, soweit hierdurch die öffentliche Sicherheit oder Ordnung gefährdet würde. 3§ 6a bleibt unberührt. Plath

|

665

§ 29 BDSG | Datenverarbeitung nicht-öffentlicher Stellen I. Einführung . . . . . . . . . . . . . . . II. Anwendungsbereich und Normadressaten 1. Anwendungsbereich . . . . . . . . . 2. Vorrangige Spezialregelungen . . 3. Geschäftsmäßigkeit der Datenverwendung . . . . . . . . . . . . . . . 4. Übermittlung als Zweck der Datenverwendung . . . . . . . . . . 5. Abgrenzung zu § 28 . . . . . . . . . 6. Adressaten . . . . . . . . . . . . . . . . a) Auskunfteien . . . . . . . . . . . . b) Werbewirtschaft . . . . . . . . . c) Adresshandel . . . . . . . . . . . . d) Warndienste . . . . . . . . . . . . e) Verzeichnisverlage . . . . . . . . f) Bewertungsportale/Soziale Netzwerke . . . . . . . . . . . . . . g) Sonstige Adressaten . . . . . . . III. Zulässigkeit der Datenverwendung zu Zwecken der Übermittlung (Abs. 1) . . . . . . . . . . . . . . 1. Schutzwürdige Interessen des Betroffenen (Abs. 1 Satz 1 Nr. 1) . . a) Allgemeine Abwägungsgrundsätze . . . . . . . . . . . . . . b) Typische Fallkonstellationen aa) Besondere Schutzwürdigkeit aufgrund der Person des Betroffenen . . . . . . . bb) Besonders schutzwürdige Daten . . . . . . . . . . . . . . cc) Rechts- oder vertragswidriges Verhalten des Betroffenen . . . . . . . . . . dd) Kenntnis des Betroffenen ee) Bewertungsportale/Social Media . . . . . . . . . . . . . . ff) Profilerstellung . . . . . . . 2. Daten aus allgemein zugänglichen Quellen (Abs. 1 Satz 1 Nr. 2) . . . a) Allgemein zugängliche Quellen . . . . . . . . . . . . . . . . b) Interessenabwägung . . . . . . . 3. Sonderregelung für Kreditbzw. Bonitätsauskunfteien (Abs. 1 Satz 1 Nr. 3) . . . . . . . . .

666

|

Plath

1 4 5 7 8 11 13 14 19 20 22 24 25 29 33 35 38

44 45 48 49 50 52 54 56 61 63

4. Zweckbestimmung (Abs. 1 Satz 2 Halbs. 1) . . . . . . . 5. Sonderregelung für Werbung und Adresshandel (Abs. 1 Satz 2 Halbs. 2) . . . . . . . . . . . . . . . . . a) Einwilligung (Abs. 1 Satz 2 i.V.m. § 28 Abs. 3 Satz 1) . . . b) Listenprivileg (Abs. 1 Satz 2 i.V.m. § 28 Abs. 3 Satz 2) . . . c) Hinzuspeicherung von Daten (Abs. 1 Satz 2 i.V.m. § 28 Abs. 3 Satz 3) . . . . . . . . d) Übermittlung zu Werbezwecken (Abs. 1 Satz 2 i.V.m. § 28 Abs. 3 Satz 4) . . . e) Werbung für fremde Angebote (Abs. 1 Satz 2 i.V.m. § 28 Abs. 3 Satz 5) . . . f) Interessenabwägung und Zweckbindung (Abs. 1 Satz 2 i.V.m. § 28 Abs. 3 Satz 6 und 7) . . . . . . . IV. Zulässigkeit der geschäftsmäßigen Übermittlung von Daten (Abs. 2) . . . . . . . . . . . . . 1. Glaubhafte Darlegung eines berechtigten Interesses (Abs. 2 Satz 1 Nr. 1) . . . . . . . . . a) Berechtigtes Interesse . . . . . . b) Glaubhafte Darlegung . . . . . 2. Interessenabwägung (Abs. 2 Satz 1 Nr. 2) . . . . . . . . . 3. Sonderregelung für Werbung und Adresshandel (Abs. 2 Satz 2 i.V.m. § 28 Abs. 3–3b) . . . . . . . 4. Aufzeichnungspflicht (Abs. 2 Satz 3) . . . . . . . . . . . . . 5. Sonderregelungen für automatisierte Abrufverfahren (Abs. 2 Satz 4 und 5) . . . . . . . . . V. Aufnahme in elektronische oder gedruckte Verzeichnisse (Abs. 3) VI. Sonderregelung für die Verarbeitung und Nutzung übermittelter Daten (Abs. 4) . . . . . . VII. Geschäftsmäßige Verwendung sensibler Daten (Abs. 5) . . . . .

66 69 70 72 73 74 76

77 78 79 80 83 88 89 90 94 96 100 104

Geschäftsmäßige Datenerhebung zum Zweck der Übermittlung | § 29 BDSG VIII. Sonderregelungen für Verbraucherkredite (Abs. 6 und 7) 111 1. Gleichbehandlung bzgl. des Zugangs zu Kreditauskunftssystemen (Abs. 6) . . . . . . . . . . 112

2. Information des betroffenen Verbrauchers (Abs. 7) . . . . . . . 115 IX. Rechtsfolgen bei Verstoß . . . . 118

Schrifttum: Caspar, Geoinformationen und Datenschutz am Beispiel des Internetdienstes Google Street View, DÖV 2009, 965; Ernst, Social Plugins: Der „Like-Button“ als datenschutzrechtliches Problem, NJOZ 2010, 1917; Feldmann, Datenschutz und Meinungsfreiheit: Regulierung ohne BDSG, AnwBl 2011, 250; Forgó/Krügel/Müllenbach, Zur datenschutz- und persönlichkeitsrechtlichen Zulässigkeit von Google Street View, CR 2010, 616; Gärtner/Tintemann, Die Speicherung des Negativmerkmals „Restschuldbefreiung“ in einer Auskunftei, VuR 2012, 54; Greve/Schärdel, Der digitale Pranger – Bewertungsportale im Internet, MMR 2008, 644; Gounalakis/Klein, Zulässigkeit von personenbezogenen Bewertungsplattformen – Die „Spickmich“-Entscheidung des BGH vom 23.6.2009, NJW 2010, 566; Gundermann, Zur datenschutzrechtlichen Zulässigkeit von Bewertungsportalen – am Beispiel des AOK-Ärztenavigators, VuR 2010, 329; Kaiser, Bewertungsportale im Internet – die Spickmich-Entscheidung des BGH, NVwZ 2009, 1474; Kamlah/Schulz, Bonitätsprüfung: Auskunftsmöglichkeiten und Fragerecht des Vermieters, Die Wohnungswirtschaft 2009, 60; Kamlah/Schulz, Bonitätsprüfung: Anfrage des Vermieters bei einer Auskunftei, Die Wohnungswirtschaft 2009, 64; Kühling, Im Dauerlicht der Öffentlichkeit- Freifahrt für personenbezogene Bewertungsportale!?, NJW 2015, 447; Moos, Unzulässiger Handel mit Persönlichkeitsprofile? Erstellung und Vermarktung kommerzieller Datenbanken mit Personenbezug, MMR 2006, 718; Pfeifer, Verhaltensorientierte Nutzeransprache, K&R 2011, 543; Pfeifer/Kamp, Datenschutz und Persönlichkeitsrecht, ZUM 2009, 185; Piltz, Der Like-Button von Facebook, CR 2011, 657; Wronka, Reglementierung des Adresshandels im novellierten BDSG, RDV 2010, 159.

I. Einführung Das BDSG unterstellt die Erhebung, Verarbeitung und Nutzung personenbezo- 1 gener Daten einem Verbot mit Erlaubnisvorbehalt (§ 4 Abs. 1). Die Datenverwendung ist damit nur dann gestattet, wenn entweder der Betroffene eingewilligt hat oder eine gesetzliche Erlaubnisnorm eingreift. Vor diesem Hintergrund ist § 29 nach § 28 die für die Praxis wohl bedeutendste Erlaubnisnorm. Sie regelt die geschäftsmäßige Verwendung personenbezogener Daten, wenn diese konkret „zum Zweck der Übermittlung“ erfolgt. § 29 lässt sich maßgeblich in zwei Tatbestandskomplexe aufteilen: Abs. 1 regelt, 2 unter welchen Umständen die geschäftsmäßige Erhebung, Speicherung, Veränderung oder Nutzung von Daten zulässig ist und verdeutlicht, dass jede Datenverwendung im Rahmen des § 29 zum Zweck der (späteren) Übermittlung dieser Daten zu erfolgen hat. Abs. 2 regelt dann, unter welchen Voraussetzungen die (anschließende) Übermittlung zulässig ist. Darüber hinaus regeln die Absätze 3–7 die Aufnahme von Daten in Verzeich- 3 nisse (Abs. 3), das Widerspruchsrecht des Betroffenen (Abs. 4), den Umgang Plath

|

667

§ 29 BDSG | Datenverarbeitung nicht-öffentlicher Stellen mit sensiblen Daten (Abs. 5), die Auskunft an Darlehensgeber aus dem EU-internen Ausland (Abs. 6) sowie die Unterrichtung des Verbrauchers im Zusammenhang mit Verbraucherdarlehensverträgen (Abs. 7).

II. Anwendungsbereich und Normadressaten 1. Anwendungsbereich 4 § 29 richtet sich an alle Stellen i.S.d. § 27 (nicht-öffentliche Stellen bzw. öffent-

liche Stellen des Bundes und der Länder, die als öffentlich-rechtliche Unternehmen am Wettbewerb teilnehmen) und gilt gemäß § 27 Abs. 2 nur für die Verarbeitung und Nutzung von automatisierten Dateien oder unter Einsatz von Datenverarbeitungsanlagen. Unter der DSGVO gibt eine solche Differenzierung nicht, zentrale Norm für die Verarbeitung ist Art. 6 DSGVO. 2. Vorrangige Spezialregelungen

5 Die Regelung des § 29 findet auch bei grundsätzlicher Eröffnung ihres Anwen-

dungsbereichs keine Anwendung, wenn eine vorrangige Spezialregelung eingreift. Seit der BDSG-Novelle II ist der geschäftsmäßige Datenumgang im Zusammenhang mit Markt- und Meinungsforschungen abschließend in § 30a geregelt ist. Darüber hinaus ist im Fall einer Übermittlung von Daten ohne Personenbezug, z.B. anonymisierter Daten, § 30 als lex specialis anzuwenden, soweit das BDSG überhaupt Anwendung findet. Schließlich ist § 28b anzuwenden, wenn die Datenerhebung durch die verantwortliche Stelle im Wege des Scorings, also der Ermittlung eines Wahrscheinlichkeitswerts für ein bestimmtes zukünftiges Verhalten, erfolgt.

6 § 29 steht als Erlaubnisnorm neben der Einwilligung nach § 4a. Damit kann ein

Vorgang sowohl aufgrund einer Einwilligung als auch aufgrund der Einschlägigkeit des Erlaubnistatbestands zulässig sein. Liegt eine Einwilligung vor, kommt es grundsätzlich nicht mehr darauf an, ob die Voraussetzungen des § 29 erfüllt sind. Allerdings ist umstritten, ob die Fortführung einer Datenverwendung auf den Erlaubnistatbestand gestützt werden kann, wenn eine zuvor erteilte Einwilligung in diese Handlung widerrufen wurde. Nach der hier vertretenen Ansicht ist dies aufgrund des objektiven Charakters der in dem BDSG normierten Erlaubnistatbestände der Fall (ausführlich hierzu Komm. zu § 28 BDSG Rz. 9). 3. Geschäftsmäßigkeit der Datenverwendung

7 Voraussetzung für die Anwendbarkeit des § 29 ist zunächst die Geschäftsmäßigkeit der Datenverwendung durch die verantwortliche Stelle. Die Datenverwendung ist geschäftsmäßig, wenn sie eine auf Dauer bzw. Wiederholung gerichtete, also „nach668

|

Plath

Geschäftsmäßige Datenerhebung zum Zweck der Übermittlung | § 29 BDSG

haltige“ Tätigkeit darstellt (vgl. § 3 Nr. 10 TKG)1. Dabei ist bereits die erste Handlung geschäftsmäßig, wenn sie mit Fortführungsabsicht erfolgt2. Unerheblich ist, ob in der geschäftsmäßigen Datenverwendung die Haupttätigkeit der verantwortlichen Stelle zu sehen ist. Eine Ausprägung der Datenübermittlungspraxis als Nebentätigkeit ist damit ausreichend, solange in dieser Tätigkeit nicht lediglich ein Nebeneffekt des eigentlichen Hauptgeschäfts der verantwortlichen Stelle zu sehen ist. Ausschlaggebend für die Geschäftsmäßigkeit ist allein der Wiederholungs- oder Dauercharakter einer bestimmten Praxis. Unerheblich ist zudem, ob die verantwortliche Stelle gewerbsmäßig in Gewinnerzielungsabsicht und entgeltlich tätig wird3.

4. Übermittlung als Zweck der Datenverwendung Die Zweckbestimmung der geschäftsmäßigen Datenverwendung muss darüber 8 hinaus gerade in der Übermittlung dieser Daten an Dritte liegen. Damit fallen diejenigen verantwortlichen Stellen in den Anwendungsbereich des § 29, deren Geschäft es (u.a.) ist, Daten zu erheben, zu verarbeiten oder zu nutzen, gerade um sie zu einem späteren Zeitpunkt an Dritte übermitteln zu können. Unerheblich ist, ob es tatsächlich zu einer Übermittlung kommt. Die Zweckbestimmung der Übermittlung verdeutlicht, dass § 29 nur dann einschlä- 9 gig ist, wenn die Datenverwendung zu dem Zweck erfolgt, die Daten einem Dritten, nämlich dem Empfänger, zur Verfügung zu stellen. Keine Übermittlung in diesem Sinne ist die Überlassung der Daten an einen Auftragsdatenverarbeiter nach § 11.

Weitestgehend Einigkeit besteht darüber, dass in der geschäftsmäßigen Verwen- 10 dung von Daten zum Zweck der Übermittlung keine vom BVerfG4 untersagte Vorratsdatenspeicherung zu sehen ist. In der Tat ist es ausreichend, wenn ein zumindest potenzielles Interesse Dritter an bestimmten Daten zu bestimmten Zwecken besteht5. Darüber hinaus gilt das Verbot der Vorratsdatenspeicherung vor allem für öffentliche Stellen6. 5. Abgrenzung zu § 28 In der Praxis stellt sich immer wieder die Frage nach der Abgrenzung des § 29 zu 11 § 28, der ebenso wie § 29 regelt, unter welchen Umständen eine Datenverwen1 A.A. Schaffland/Wiltfang, § 29 BDSG Rz. 4, der „geschäftsmäßig“ i.S.v. „kommerziell“ auslegt. 2 Gola/Schomerus, § 29 BDSG Rz. 6 f.; Däubler/Klebe/Wedde/Weichert/Weichert, § 29 BDSG Rz. 3; Simitis/Ehmann, § 29 BDSG Rz. 60. 3 Däubler/Klebe/Wedde/Weichert/Weichert, § 29 BDSG Rz. 3; Taeger/Gabel/Taeger, § 29 BDSG Rz. 16; Simitis/Ehmann, § 29 BDSG Rz. 60. 4 BVerfG v. 15.2.1983 – 1 BvR 209/83, BVerfGE 65, 1 = NJW 1984, 419 – Volkszählungsurteil. 5 So auch Taeger/Gabel/Taeger, § 29 BDSG Rz. 17; Däubler/Klebe/Wedde/Weichert/Weichert, § 29 BDSG Rz. 4; kritisch hingegen Simitis/Ehmann, § 29 BDSG Rz. 55. 6 Taeger/Gabel/Taeger, § 29 BDSG Rz. 17.

Plath

|

669

§ 29 BDSG | Datenverarbeitung nicht-öffentlicher Stellen dung zu bestimmten Geschäftszwecken zulässig ist. Probleme bereitet hier vor allem die semantische Ähnlichkeit zwischen dem Begriff der „eigenen Geschäftszwecke“ (§ 28) und der „Geschäftsmäßigkeit“ (§ 29). Die Abgrenzung zwischen diesen Begriffen, und zugleich auch zwischen diesen beiden Normen, erfolgt insbesondere anhand des Merkmals der Zweckbestimmung: § 28 regelt den Fall, dass es gewissermaßen als Nebeneffekt oder notwendige Begleiterscheinung der eigentlichen geschäftlichen Tätigkeit der verantwortlichen Stelle zur Verwendung von Daten kommt; der Datenumgang erfolgt zum eigenen Geschäftszweck. Dagegen ist § 29 immer dann einschlägig, wenn gerade in der Erhebung, Speicherung, Veränderung und Nutzung von Daten mit dem Ziel ihrer anschließenden Übermittlung der eigentliche Geschäftszweck der verantwortlichen Stelle zu sehen ist. Dies ist insbesondere dann der Fall, wenn das Geschäft der verantwortlichen Stelle darin besteht, Daten gewissermaßen als „Ware“ geschäftsmäßig für die Zwecke ihrer Kunden zu verwenden und sie an diese zu übermitteln (s.a. zur Abgrenzung des Anwendungsbereichs Komm. zu § 28 BDSG Rz. 13)1. 12 Umstritten ist, welche Norm zur Anwendung kommt, wenn eine Datenverwen-

dung sowohl eigenen als auch fremden Zwecken dient. Nach der hier vertretenen Ansicht ist in diesen Fällen nach dem Schwerpunkt des Vorgangs zu fragen (s. ausführlich Komm. zu § 28 BDSG Rz. 14). 6. Adressaten

13 Ausweislich des (nicht abschließenden) Wortlauts von Abs. 1 Satz 1 fallen in

den Anwendungsbereich der Norm insbesondere die Tätigkeiten von Auskunfteien, Adresshändlern und Werbeunternehmen. Darüber hinaus kann die Norm je nach Konstellation auch auf Warndienste, Verzeichnisverlage, soziale Netzwerke und Bewertungsportale anzuwenden sein2. Typischerweise richtet sich die Norm also an Stellen, die nicht notwendig in einer vertraglichen Beziehung zum Betroffenen stehen3. a) Auskunfteien

14 Zum klassischen Anwendungsbereich des § 29 gehören insbesondere die Tätigkeiten von (Kredit-)Auskunfteien wie der SCHUFA4, der CEG, Bürgel oder InfoScore5. 1 Vgl. auch LG Köln v. 17.3.2010 – 28 O 612/09, MMR 2010, 369. 2 Bergmann/Möhrle/Herb, § 29 BDSG Rz. 22; Taeger/Gabel/Taeger, § 29 BDSG Rz. 7; vgl. auch die grundsätzlichen Ausführungen in Simitis/Ehmann, § 29 BDSG Rz. 92 ff. 3 Vgl. Schaffland/Wiltfang, § 29 BDSG Rz. 3. 4 Ausführlich hierzu Simitis/Ehmann, § 29 BDSG Rz. 85 ff.; Bergmann/Möhrle/Herb, § 29 BDSG Rz. 40 ff. sowie zur grundlegenden Entscheidung des BGH v. 15.12.1983 – III ZR 207/82, NJW 1984, 1889; Schaffland/Wiltfang, § 29 BDSG Rz. 15 ff. 5 VG Darmstadt v. 18.11.2010 – 5 K 994/10, MMR 2011, 416.

670

|

Plath

Geschäftsmäßige Datenerhebung zum Zweck der Übermittlung | § 29 BDSG

Das BDSG liefert keine explizite Definition der „Auskunftei“1, doch kann wohl Abs. 6 als Begriffsbestimmung zur Hilfe gezogen werden. Damit ist eine Auskunftei eine Stelle, die geschäftsmäßig personenbezogene Daten, die zur Bewertung der Kreditwürdigkeit von Verbrauchern genutzt werden dürfen, erhebt, speichert oder verändert, um diese Daten (meistens entgeltlich) an anfragende Stellen, insbesondere Banken oder Versandhändler, zu übermitteln2. Diese Beschreibung, die nicht als Legaldefinition angesehen werden kann, umfasst jedoch nur den Bereich der Kredit- und Bonitätsauskunftei und ist demnach zu eng. Unter den Begriff der Auskunftei können nach der hier vertretenen Ansicht (zumindest im Anwendungsbereich des § 29) unter gewissen Umständen auch solche Stellen fallen, die Auskunft über persönliche Angelegenheiten des Betroffenen zu anderen Zwecken, z.B. zur Adressermittlung, erteilen3. Darüber hinaus ist § 29 auch dann anzuwenden, wenn die Auskunftstätigkeit 15 zwar geschäftsmäßig erfolgt, aber nicht den Kern der geschäftlichen Tätigkeit eines Unternehmens betrifft. Dies ist z.B. dann der Fall, wenn Unternehmen wie Banken oder Versandhäuser Daten, die ursprünglich im Rahmen des eigenen Geschäftszwecks erhoben wurden, aussondern, um diese auf Anfrage geschäftsmäßig an Dritte, z.B. „echte“ Auskunfteien, weiterzuleiten4. Diese Praxis ist inzwischen nicht unüblich. Voraussetzung für die Anwendbarkeit des § 29 ist auch in diesen Fällen, dass die Datenübermittlung „geschäftsmäßig“ zum Zweck der Übermittlung erfolgt. Dabei sind eine gewisse Regelmäßigkeit der Datenverwendung bzw. ihre Einbindung in eine selbständige Organisation oder Struktur als starke Indizien für die Geschäftsmäßigkeit anzusehen. Zu beachten ist, dass die Übermittlung von Daten über Kunden oder Geschäfts- 16 partner an die Auskunfteien (z.B. durch Banken oder Versandhäuser) zum Zwecke der Versorgung der Auskunftei mit Informationen, die sog. „Einmeldung“, keinen Fall des § 29 darstellt. Dieser Datenumgang erfolgt nämlich letztlich im eigenen geschäftlichen Interesse der verantwortlichen Stelle, das System der Auskunfteien bzw. Warndienste aufrechtzuerhalten. Soweit bei solchen Vorgängen Forderungsdaten an Auskunfteien übermittelt werden, ist § 28a anzuwenden. Die Übermittlung aller anderen Daten beurteilt sich nach § 28 Abs. 1 Satz 1 Nr. 2, der die Datenübermittlungen zur Wahrung eigener Interessen regelt (s. ausführlich Komm. zu § 28 BDSG Rz. 62 f., § 28a BDSG Rz. 12 ff.).

1 Simitis/Ehmann, § 29 BDSG Rz. 82. 2 So auch Taeger/Gabel/Taeger, § 29 BDSG Rz. 21. 3 Ausführlich zur Begriffsbestimmung Simitis/Ehmann, § 29 BDSG Rz. 83; vgl. auch die Definition von Gärtner, der eine Auskunftei als „Informationsfabrik, die den Rohstoff Bonitätsdatum zu dem Produkt einer umfangreichen Zahlungsprognose verarbeitet und dann an der Kreditgeber zum Risikomanagement übermittelt“, bezeichnet, Gärtner/ Tintemann, VuR 2012, 54 (55). 4 Ebenso Taeger/Gabel/Taeger, § 29 BDSG Rz. 14.

Plath

|

671

§ 29 BDSG | Datenverarbeitung nicht-öffentlicher Stellen 17 Auch die Übermittlung von Daten an Auskunfteien im Rahmen einer Aus-

kunftsanfrage beurteilt sich nicht nach § 29, sondern ebenfalls nach § 28 Abs. 1 Satz 1 Nr. 1. Diese Art der Datenverwendung erfolgt ausschließlich in dem Interesse der verantwortlichen Stelle, Auskunft über den Betroffenen zu erlangen. Dagegen ist § 29 auf die Speicherung erhobener Daten durch die Auskunftei selbst anwendbar, da diese Speicherung dem Zweck der späteren Übermittlung an die Auskunftsempfänger dient1.

18 Erfolgt die Datenerhebung durch die Auskunftei im Wege des Scorings (Ermitt-

lung eines Wahrscheinlichkeitswerts für ein bestimmtes zukünftiges Verhalten), so findet auf diesen Vorgang ausschließlich § 28b als vorrangige Norm Anwendung. b) Werbewirtschaft

19 § 29 ist zudem auf die geschäftsmäßige Datenübermittlung zu Werbezwecken

anwendbar. Auch der Begriff der „Werbung“ wird im BDSG nicht definiert. Nach der hier vertretenen Ansicht ist in Anlehnung an Art. 2a) der RL 2006/ 114/EG über irreführende und vergleichende Werbung2 unter Werbung jede Ansprache von Personen zu verstehen, die darauf gerichtet ist, diese zur Abnahme einer Ware oder zur Inanspruchnahme einer Leistung zu veranlassen (vgl. zur Definition der Werbung Komm. zu § 28 BDSG Rz. 102 ff.). Damit ist § 29 immer dann einschlägig, wenn eine geschäftsmäßige Datenverwendung zu Übermittlungszwecken der Durchführung von Werbemaßnahmen dient. Der Regelfall der Datenverwendung zur Werbung ist im (vorgeschalteten) Adresshandel zu sehen. c) Adresshandel

20 Grundsätzlich fällt auch die Tätigkeit von Adresshändlern in den Anwendungs-

bereich des § 29. Der Begriff des „Adresshandels“ wird im BDSG ebenfalls nicht definiert. Nach der hier vertretenen Ansicht ist unter Adresshandel jede Vermarktung von Dateien zu verstehen, die diejenigen Daten enthält, die für die Kontaktaufnahme mit einer Person benötigt werden (z.B. Name, Anschrift, EMail-Adresse, Telefonnummer), wobei die Ansprache zu Werbezwecken erfolgen muss (ausführlich hierzu, insbesondere zum Verhältnis zur Werbung Komm. zu § 28 BDSG Rz. 106 f.). Der Adresshandel ist damit ein Unterfall der Werbung (s. ausführlich dazu die Komm. zu § 28 BDSG Rz. 107)3: Die Beschaffung von Daten zu Werbezwecken fällt in den Bereich des Adresshandels, ihre Verwendung in den der Werbung.

1 OLG Frankfurt a.M. v. 16.3.2011 – 19 U 291/10, ZD 2011, 35. 2 Richtlinie 2006/114/EG der Europäischen Parlaments und des Rates v. 12.12.2006 über irreführende und vergleichende Werbung. 3 A.A. Simitis/Ehmann, § 29 BDSG Rz. 75.

672

|

Plath

Geschäftsmäßige Datenerhebung zum Zweck der Übermittlung | § 29 BDSG

Der Begriff des Adresshandels umfasst nicht nur den Verkauf bzw. die Vermie- 21 tung von Daten, sondern insbesondere auch die Makleraktivität sogenannter Listbroker sowie von Lettershops, soweit diese Stellen Daten tatsächlich übermitteln und nicht nur im Wege einer Auftragsdatenverarbeitung gemäß § 11 zur Verfügung gestellt bekommen1. d) Warndienste Auch die Tätigkeit von Warndiensten fällt in den Anwendungsbereich des § 29. 22 Dabei ist eine etwaige Entgeltlichkeit der Warndiensttätigkeit unerheblich2. Warndienste sind in der Regel branchenintern. Sie sammeln Hinweise und Informationen über Personen, die im Zusammenhang mit der jeweiligen Branche „negativ“ aufgefallen sind, und leiten die Daten auf Anfrage an die teilnehmenden Unternehmen weiter. Damit erfolgt die Tätigkeit dieser Dienste geschäftsmäßig und mit dem Zweck der Übermittlung. Von besonderer Bedeutung sind in der Praxis die Warndienste der Versicherungswirtschaft (die Auskunftsstelle über den Versicherungsaußendienst, AVAD sowie das Hinweis- und Informationssystem, HIS/Uniwagnis), der Wohnungswirtschaft (gegen Mietnomaden)3 und der Spielbanken4. Übermittelt der Warndienst zugleich auch Forderungsdaten, so ist der Dienst 23 bezüglich dieses Tätigkeitsbereichs als Auskunftei anzusehen (vgl. Komm. zu § 28a BDSG Rz. 8). In diesem Fall ist zu beachten, dass ggf. § 28a zur Anwendung kommt. e) Verzeichnisverlage Auch Verlage, deren Tätigkeit in der Erstellung und Verbreitung von Verzeich- 24 nissen wie z.B. Telefonbüchern besteht, unterfallen dem Anwendungsbereich des § 295. Besonders deutlich wird dies anhand der Regelung des Abs. 3, der eine Aufnahme von personenbezogenen Daten in ein Verzeichnis verbietet, wenn der entgegenstehende Wille des Betroffenen ersichtlich ist. f) Bewertungsportale/Soziale Netzwerke Anbieter von Bewertungsportalen und sozialen Netzwerken ermöglichen ihren 25 Nutzern, Daten auf der Plattform einzustellen und diese dann zum Abruf bereit1 2 3 4

Bergmann/Möhrle/Herb, § 29 BDSG Rz. 25; Simitis/Ehmann, § 29 BDSG Rz. 76. So auch Simitis/Ehmann, § 29 BDSG Rz. 110 f. Simitis/Ehmann, § 29 BDSG Rz. 114; Kamlah/Schulz, Die Wohnwirtschaft 2009, 60. Däubler/Klebe/Wedde/Weichert/Weichert, § 29 BDSG Rz. 8; Gola/Schomerus, § 29 BDSG Rz. 7; Bergmann/Möhrle/Herb, § 29 BDSG Rz. 33, die allerdings Warndienste als Unterfall der Auskunfteien aufführen; Schaffland/Wiltfang, § 29 BDSG Rz. 10. 5 So auch Bergmann/Möhrle/Herb, § 29 BDSG Rz. 20.

Plath

|

673

§ 29 BDSG | Datenverarbeitung nicht-öffentlicher Stellen zuhalten, worin nach § 3 Abs. 4 Nr. 3b) eine Übermittlungshandlung zu sehen ist. Damit stellt sich die Frage, ob diese Tätigkeit des Plattformbetreibers in den Anwendungsbereich des § 29 fällt. 26 Vorfrage für die Anwendbarkeit des § 29 ist insoweit zunächst, ob überhaupt

das BDSG Anwendung findet oder ggf. das im Online-Bereich grundsätzlich vorrangige TMG. Allerdings ist das BDSG in Abgrenzung zum TMG auch im Online-Bereich anwendbar, wenn die Zulässigkeit einer Verwertung von Inhaltsdaten infrage steht. Zu beachten ist, dass die Zulässigkeit von Datenverwendungen, die im Zusammenhang mit der Erbringung des Telemediendienstes selbst in Verbindung stehen (z.B. die Verwendung von Anmeldedaten), vorrangig nach den Regelungen des TMG, insbesondere §§ 12 ff. TMG, zu bewerten ist (s. dazu Komm. zu § 11 TMG Rz. 10 ff.).

27 Für eine Anwendbarkeit des § 29 auf die Verwendung von Inhaltsdaten in sozia-

len Netzwerken und Bewertungsportalen spricht, dass es tatsächlich gerade der Geschäftszweck dieser Netzwerke ist, Daten zu erheben und Dritten im Wege des Abrufs zu übermitteln, und zwar unabhängig davon, ob der Anbieter einen weiteren Geschäftszweck wie die Erzielung von Werbeeinnahmen verfolgt1. Diese Tätigkeit ist zudem auf Wiederholung ausgerichtet und mithin geschäftsmäßig. Diese Ansicht hat der BGH in der „spickmich.de“-Entscheidung bestätigt2. Auch aus den jüngeren Gerichtsentscheidungen lässt sich eine Tendenz feststellen, die Tätigkeit der Plattformbetreiber nach § 29 zu beurteilen3. Umstritten ist jedoch im Bereich der Bewertungsportale, ob und unter welchen Voraussetzungen auf deren Tätigkeit das Medienprivileg des § 41 anwendbar ist, was eine Unanwendbarkeit des BDSG zu Folge hätte4. Voraussetzung hierfür wäre, dass eine journalistisch-redaktionelle Aufarbeitung der personenbezogenen Daten erfolgt. So hat der BGH entschieden, dass ein Bewertungsportal, das lediglich fremde Beiträge sammelt, auflistet und zur Verfügung stellt, keinen ausreichenden journalistisch-redaktionellen Beitrag leistet, um unter das Medienprivileg des § 41 zu fallen (vgl. auch Komm. zu § 41 BDSG Rz. 12)5.

28 Zu beachten ist, dass auf die Datenverwendung im Zusammenhang mit der Re-

gistrierung der Plattform-User und der Durchsetzung des Vertrages zwischen 1 Ebenso Taeger/Gabel/Taeger, § 29 BDSG Rz. 13, 25; Piltz, CR 2011, 657 (661); so grundsätzlich auch Greve/Schärdel, MMR 2008, 644 (646), der jedoch die Frage aufwirft, ob auf Bewertungsportale nicht vielmehr das Medienprivileg des § 41 anwendbar sei, MMR 2008, 644 (647 f.). 2 BGH v. 23.6.2009 – VI ZR 196/08, NJW 2009, 2888 – spickmich.de; ebenso zur Anwendbarkeit des BDSG auf ärztliche Bewertungsportale LG Hamburg v. 20.9.2010 – 325 O 111/10 sowie Gundermann, VuR 2010, 329 (331 f.). 3 Vgl. BGH v. 23.9.2014 – VI ZR 358/13, CR 2015, 116; BGH v. 23.6.2009 – VI ZR 196/08, CR 2009, 593; so auch OLG Frankfurt a.M. v. 8.3.2012 – 16 U 125/11, CR 2012, 399. 4 So z.B. Greve/Schärdel, MMR 2008, 644 (647 f.). 5 BGH v. 23.6.2009 – VI ZR 196/08, NJW 2009, 2888 (2890) – spickmich.de.

674

|

Plath

Geschäftsmäßige Datenerhebung zum Zweck der Übermittlung | § 29 BDSG

dem Betreiber und dem Nutzer, soweit nicht der Vorrang des TMG greift, § 28 Abs. 1 Satz 1 Nr. 1 anzuwenden ist, der das Erheben, Speichern, Verändern oder Übermitteln von Daten im Rahmen eines Schuldverhältnisses regelt. Diese Tätigkeiten fallen also nicht in den Anwendungsbereich des § 29. g) Sonstige Adressaten § 29 ist, über die vorgenannten „klassischen“ Anwendungsfälle hinaus, u.U. 29 auch auf die Tätigkeit anderer nicht-öffentlicher Stellen anwendbar, die geschäftsmäßig Daten verwenden. So kann bspw. die Datenverwendung durch Detekteien oder genetischen Labors an § 29 zu messen sein1. Voraussetzung hierfür ist jedoch, dass diese Stellen die Daten unabhängig von einem bestimmten Auftrag verwenden, da ansonsten die Datenverwendung zur Erfüllung vertraglicher Verpflichtungen im Rahmen des eigenen Geschäftszwecks gemäß § 28 Abs. 1 Satz 1 Nr. 1 erfolgt2. In den Anwendungsbereich des § 29 fällt zudem der Schuldtitelhandel, im Rah- 30 men dessen fremde Titeldaten an Titelkaufinteressenten übermittelt werden. Dabei ist der Titeldatenhändler nicht in den Verkauf der Titel selbst involviert3. In den Anwendungsbereich des § 29 fällt zudem die Tätigkeit von Diensten wie 31 Google Street View, die Abbildung öffentlich zugänglicher Orte erstellen und diese zum Abruf bereithalten, sofern die gewonnen Daten einen Personenbezug aufweisen4. Schließlich soll § 29 auch auf Archive anwendbar sein, die Medienunternehmen 32 mit dem Ziel unterhalten, Beiträge nicht nur zu eigenen journalistisch-redaktionellen Zwecken bereitzuhalten, sondern diese vielmehr Dritten zur Verfügung zu stellen5.

III. Zulässigkeit der Datenverwendung zu Zwecken der Übermittlung (Abs. 1) Die zulässige geschäftsmäßige Übermittlung von Daten nach § 29 setzt voraus, 33 dass die übermittelten Daten zuvor rechtmäßig erhoben, gespeichert, verändert oder genutzt wurden. Für diese der Übermittlung vorgeschalteten Verwen1 Bergmann/Möhrle/Herb, § 29 BDSG Rz. 38. 2 Ebenso Däubler/Klebe/Wedde/Weichert/Weichert, § 29 BDSG Rz. 6; Simitis/Ehmann, § 29 BDSG Rz. 98. 3 Ausführlich hierzu LG Köln v. 17.3.2010 – 28 O 612/09, MMR 2010, 369. 4 Simitis/Ehmann, § 29 BDSG Rz. 99; ebenso Caspar, DÖV 2009, 965 (971); a.A. Forgó/ Krügel/Müllenbach, CR 2010, 616 (620), wonach den Daten der erforderliche Personenbezug fehlt. 5 OLG Hamburg v. 17.11.2009 – 7 U 62/09 sowie 7 U 74/09.

Plath

|

675

§ 29 BDSG | Datenverarbeitung nicht-öffentlicher Stellen dungsformen begründet Abs. 1 als Erlaubnistatbestand (§ 4 Abs. 1) die Rechtsgrundlage. Die Formulierung „zum Zwecke der Übermittlung“ verdeutlicht, dass das Erheben, Speichern, Verändern und Nutzen im Kontext des § 29 lediglich als Vorstufe zum eigentlichen Verwendungszweck, nämlich der Übermittlung, zu sehen ist1. Allerdings setzt eine rechtmäßige Übermittlung nach Abs. 2 keineswegs voraus, dass auch ihre Vorstufe in Form der Erhebung, Speicherung, Veränderung oder Nutzung der betroffenen Daten nach der Regelung des § 29 erfolgt ist. So kann bspw. eine geschäftsmäßige Übermittlung nach Abs. 2 auch dann zulässig sein, wenn die Daten zuvor im Rahmen des eigenen Geschäftszwecks gemäß § 28 Abs. 1 Satz 1 Nr. 1 erhoben wurden und nun lediglich im Wege der Übermittlung weiterverwendet werden, soweit dies mit der Zweckbindung der Daten vereinbar ist. Abs. 1 als Erlaubnistatbestand kommt damit vor allem eine Auffangfunktion zu, um die Übermittlung nach Abs. 2, der notwendigerweise bestimmte Verarbeitungsschritte vorausgehen, zu ermöglichen. Zumindest im Regelfall wird jedoch der Vorgang der Speicherung, Verwertung oder Nutzung nach Abs. 1 zu bewerten sein. 34 Dabei setzt Abs. 1 voraus, dass einer der Tatbestände von Abs. 1 Satz 1 Nr. 1–3,

die im Folgenden dargestellt werden, erfüllt ist und der Grundsatz der Zweckbindung (Abs. 1 Satz 2 i.V.m. § 28 Abs. 1 Satz 2) sowie – soweit im konkreten Fall einschlägig – die Regelungen zur Verwendung von Daten zu Werbezwecken (Abs. 1 Satz 2 i.V.m. § 28 Abs. 3–3b) berücksichtigt wurden. 1. Schutzwürdige Interessen des Betroffenen (Abs. 1 Satz 1 Nr. 1)

35 Die geschäftsmäßige Verwendung von Daten zum Zweck der Übermittlung ist

zulässig, wenn kein Grund zur Annahme besteht, dass ihr ein schutzwürdiges Interesse des Betroffenen entgegensteht (Abs. 1 Satz 1 Nr. 1). Die Tatsache, dass die Verwendungsform des „Nutzens“ entgegen der Formulierung des ersten Teils von Abs. 1 Satz 1 an dieser Stelle nicht aufgeführt wird, muss als Redaktionsversehen angesehen werden2.

36 Die Formulierung des Erlaubnistatbestands des Abs. 1 Satz 1 Nr. 1 gibt Rätsel

auf. Der Grund hierfür ist, dass die dogmatische Ausprägung der Norm als positive Zulässigkeitsvoraussetzung im Spannungsverhältnis zu ihrer inhaltlichen Ausgestaltung als Verbotsnorm steht. In der Tat würde eine strenge Auslegung des Wortlauts zunächst zu dem Ergebnis führen, dass eine Datenverwendung nach Abs. 1 immer zulässig ist, es sei denn, dass schutzwürdige Interessen des Betroffenen einer Verwendung seiner Daten entgegenstehen. Problematisch ist

1 Ausführlich zu den verschiedenen „Phasen“ des § 29 Simitis/Ehmann, § 29 BDSG Rz. 121 ff. 2 So auch Bergmann/Möhrle/Herb, § 29 BDSG Rz. 52; Gola/Schomerus, § 29 BDSG Rz. 10; dieser Umstand ist wohl darauf zurück zu führen, dass die Verwendungsform des Nutzens erst nachträglich in Abs. 1 anlässlich der Novelle II 2009 eingeführt wurde.

676

|

Plath

Geschäftsmäßige Datenerhebung zum Zweck der Übermittlung | § 29 BDSG

dabei jedoch, dass der Betroffene in aller Regel ein schutzwürdiges Interesse am Ausschluss einer Verwendung seiner Daten haben wird1. Dieses Interesse leitet sich grundsätzlich aus dem Recht auf informationelle Selbstbestimmung als Bestandteil des allgemeinen Persönlichkeitsrechts (Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG) ab. Die Schutzwürdigkeit des Betroffenen erhöht sich zudem, je sensibler das verwendete Datum ist. Damit würde es nur in den seltensten Fällen zu einer Zulässigkeit nach Abs. 1 Satz 1 Nr. 1 kommen, der Anwendungsbereich der Norm würde leer laufen. Es wird also deutlich, dass es auf das Bestehen eines schutzwürdigen Interesses 37 des Betroffenen allein nicht ankommen kann. Vielmehr wird auch die verantwortliche Stelle in aller Regel ein Interesse (sei es aufgrund der Berufsfreiheit, Art. 12 GG oder aus sonstigen Gründen) an der Datenverwendung nach Abs. 1 haben, das angemessen berücksichtigt werden muss. Aus diesem Grund herrscht weitestgehend Einigkeit darüber, dass das Erfordernis einer Abwägung nach dem Verhältnismäßigkeitsgrundsatz zwischen den schutzwürdigen Interessen des Betroffenen und den berechtigten Interessen der verantwortlichen Stelle in den Erlaubnistatbestand des Abs. 1 Satz 1 Nr. 1 hinein zu lesen ist2. Die Abwägung ist allerdings immer erst dann vorzunehmen, wenn triftige Anhaltspunkte dafür vorliegen, dass entgegenstehende Interessen des Betroffenen bestehen3. Ist dies nicht der Fall, so ist die Datenverwendung nach Abs. 1 Satz 1 Nr. 1 ohne Abwägung zulässig. a) Allgemeine Abwägungsgrundsätze Das Interesse der verantwortlichen Stelle leitet sich aus dem Zweck der Über- 38 mittlung nach Abs. 2 ab4. Es wird in den meisten Fällen wirtschaftlicher Natur sein, kann aber auch z.B. politisch, religiös, kulturell oder sonst ideell begründet sein5. Die dem gegenüberstehenden Interessen des Betroffenen können sich sowohl 39 aus der Person des Betroffenen als auch aus der Art der verwendeten Daten ergeben. In der Regel wird das schutzwürdige Interesse auf das Recht des Betroffenen auf informationelle Selbstbestimmung zurückzuführen sein, es kann aber 1 Gola/Schomerus, § 29 BDSG Rz. 11. 2 Vgl. nur Taeger/Gabel/Taeger, § 29 BDSG Rz. 33; Bergmann/Möhrle/Herb, § 29 BDSG Rz. 54; Däubler/Klebe/Wedde/Weichert/Weichert, § 29 BDSG Rz. 13; Gola/Schomerus, § 29 BDSG Rz. 11 mit Verweis auf die st. Rspr. des BGH v. 7.7.1983 – III ZR 159/82, NJW 1984, 436 (437); BGH v. 15.12.1983 – III ZR 207/82, NJW 1984, 1898 (1890); BGH v. 19.9.1985 – III ZR 213/83, NJW 1986, 46; BGH v. 17.12.1985 – VI ZR 244/84, NJW 1986, 2505 (2506); im Ergebnis ebenso Simitis/Ehmann, § 29 BDSG Rz. 161; Schaffland/Wiltfang, § 29 BDSG Rz. 18. 3 Gola/Schomerus, § 29 BDSG Rz. 12. 4 Gola/Schomerus, § 29 BDSG Rz. 10. 5 So auch Taeger/Gabel/Taeger, § 29 BDSG Rz. 28.

Plath

|

677

§ 29 BDSG | Datenverarbeitung nicht-öffentlicher Stellen auch z.B. rein wirtschaftlicher Natur sein1. Die Schutzwürdigkeit der Interessen setzt voraus, dass eine negative Einwirkung von nicht unbedeutendem Ausmaß droht2. 40 Wie bei jeder Abwägung hängt die Zulässigkeit einer Datenverwendung gemäß

Abs. 1 Satz 1 Nr. 1 im Ergebnis von der konkreten Konstellation ab. So kann unter Umständen lediglich die Erhebung, nicht jedoch die Speicherung oder Veränderung eines Datums nach Abs. 1 Satz 1 Nr. 1 zulässig sein3. Ebenfalls wird zu berücksichtigen sein, welche Daten tatsächlich zum Zweck der Übermittlung verwendet werden müssen, und ob dieser Zweck auch durch weniger einschneidende Maßnahmen, wie z.B. der Anonymisierung der Daten, zu erreichen ist.

41 Fraglich ist, welcher Abwägungsmaßstab an Abs. 1 Satz 1 Nr. 1 anzulegen ist.

Der Wortlaut, wonach „kein Grund zur Annahme“ für das Bestehen schutzwürdiger Interessen des Betroffenen vorliegen darf, spricht dafür, dass sich die verantwortliche Stelle mit den Betroffeneninteressen auseinandersetzen muss. Zum gleichen Ergebnis führt der Vergleich mit Abs. 1 Satz 1 Nr. 2, der zwar ebenfalls (ausdrücklich) eine Interessenabwägung vorsieht, jedoch das „offensichtliche Überwiegen“ der Betroffeneninteressen ausreichen lässt. Es drängt sich demnach der Rückschluss auf, dass im Rahmen von Abs. 1 Satz 1 Nr. 1 ein strengerer Maßstab anzulegen ist. Die verantwortliche Stelle muss damit zumindest eine summarische Interessenabwägung durchführen4.

42 Für die Praxis besteht allerdings das Problem, dass es – gerade bei einer ge-

schäftsmäßigen Tätigkeit – zu einer Verwendung einer Vielzahl von Daten in einem einzigen Arbeitsprozess kommt. Es wäre jedoch unzumutbar und praxisfern, von der verantwortlichen Stelle eine Abwägung im Einzelfall zu verlangen. Daher sieht das Gesetz eine solche Einzelfallprüfung bei der geschäftsmäßigen Datenerhebung zum Zwecke der Übermittlung auch nicht vor, denn die Regelung verweist in Abs. 1 Satz 2 nur auf § 28 Abs. 1 Satz 2 und Abs. 3–3b, welche keine Verpflichtungen zur Durchführung einer einzelfallbezogenen Interessenabwägung enthalten. Dies hat das OLG Frankfurt im Jahre 2015 ausdrücklich entschieden5. Jedenfalls dann, wenn die Stelle immer wieder dieselbe Art von Daten verwendet, muss eine pauschale, typisierte Abwägung für ausreichend erachtet werden. So ist es z.B. ausreichend, wenn die verantwortliche Stelle zu dem grundsätzlichen Ergebnis kommt, dass ihr Interesse als Kreditauskunftei an der Verwendung von Bonitätsdaten im Rahmen einer wiederkehrenden Konstellation gegenüber den Interessen des Betroffenen überwiegt. Lediglich dann,

1 2 3 4 5

Taeger/Gabel/Taeger, § 29 BDSG Rz. 29; Schaffland/Wiltfang, § 29 BDSG Rz. 9. Schaffland/Wiltfang, § 29 BDSG Rz. 20. Bergmann/Möhrle/Herb, § 29 BDSG Rz. 61. Schaffland/Wiltfang, § 29 BDSG Rz. 10. OLG Frankfurt a.M. v. 14.12.2015 – 1 U 128/15, NZI 2016, 188.

678

|

Plath

Geschäftsmäßige Datenerhebung zum Zweck der Übermittlung | § 29 BDSG

wenn besondere Gründe für eine Sonderbehandlung des Betroffenen bestehen, bspw. weil dieser sich ausdrücklich gegen eine Verwendung seiner Daten ausgesprochen hat, kann die Durchführung einer Abwägung im Einzelfall geboten sein1. Strittig ist, inwieweit die verantwortliche Stelle Daten, die sie von Dritten emp- 43 fangen hat, auf ihre Richtigkeit überprüfen muss. Teilweise wird vertreten, dass sich die verantwortliche Stelle die Fehler ihrer Quelle zumindest dann zurechnen lassen muss, wenn eine Prüfung „mit geringer Mühe“ möglich ist2. Dem ist nach der hier vertretenen Ansicht zu widersprechen, jedenfalls dann, wenn sich dieser Maßstab auf die Überprüfung jedes einzelnen Datums beziehen soll. Es ist einer verantwortlichen Stelle, die geschäftsmäßig und demnach in einem bestimmten Umfang Daten verwendet, nicht zuzumuten, systematisch jedes Datum auf seine Richtigkeit zu überprüfen. Was im Einzelfall noch als „geringe Mühe“ gelten mag, würde in der Menge zu einem unverhältnismäßigen Aufwand führen. Gerade dann, wenn die verantwortliche Stelle die Daten von anderen Unternehmen, eventuell sogar auf regelmäßiger Basis, empfängt, darf sie sich auf die Validität der Daten verlassen. Höchstens in Ausnahmefällen kann eine eigenständige Prüfung notwendig sein, z.B. wenn die Quelle außerordentlich fraglich ist oder der Fehler sich geradezu aufdrängt. Zu beachten ist jedoch, dass die verantwortliche Stelle im Falle des Datenankaufs nach Ansicht der Rechtsprechung zu einer Überprüfung dahingehend verpflichtet sein soll, ob der Betroffene in die Verwendung seiner Daten wirksam eingewilligt hat (ausführlich hierzu vgl. Komm. zu § 4a BDSG Rz. 85)3. b) Typische Fallkonstellationen aa) Besondere Schutzwürdigkeit aufgrund der Person des Betroffenen Eine besondere Schutzwürdigkeit kann auf Gründe zurückzuführen sein, die in 44 der Person des Betroffenen liegen. Dies ist bspw. der Fall, wenn er aufgrund seiner Minderjährigkeit oder aus anderen Gründen nicht oder nur beschränkt geschäftsfähig ist4. Eine Verwendung seiner Daten ist dann zwar nicht generell verboten, doch müssen die berechtigten Interessen des besonders schutzwürdigen Betroffenen bei der Abwägung nach Abs. 1 Satz 1 Nr. 1 in besonderem Maße berücksichtigt werden. 1 So im Ergebnis wohl auch Taeger/Gabel/Taeger, § 29 BDSG Rz. 30; Schaffland/Wiltfang, § 29 BDSG Rz. 18. 2 So z.B. LG Paderborn v. 5.3.1981 – 5 S 3/81, MDR 1981, 581; ebenso Bergmann/Möhrle/ Herb, § 29 BDSG Rz. 12; weniger streng dagegen Gola/Schomerus, § 29 BDSG Rz. 13, der das Prüfungserfordernis von der Seriosität der Quelle abhängig machen will. 3 OLG Düsseldorf v. 24.11.2009 – 20 U 137/09, MMR 2010, 99. 4 Vgl. Bergmann/Möhrle/Herb, § 29 BDSG Rz. 55.

Plath

|

679

§ 29 BDSG | Datenverarbeitung nicht-öffentlicher Stellen bb) Besonders schutzwürdige Daten 45 Eine erhöhte Schutzwürdigkeit der Interessen des Betroffenen kann auch auf die

Natur der verwendeten Daten zurückzuführen sein1. So wird bei der Verwendung offensichtlich falscher Daten die Abwägung im Regelfall zugunsten des Betroffenen ausfallen2. Die verantwortliche Stelle kann kein überwiegendes Interesse an der Verwendung erkannt unzutreffender Daten haben. Gleiches gilt für die Verwendung von Daten, die ohne jede Aussagekraft bezüglich des in Rede stehenden Zwecks sind3.

46 Vorsicht ist auch bei der Verwendung von Daten geboten, die auf subjektiven

Bewertungen beruhen. Hier muss grundsätzlich zwischen negativen und positiven Daten unterschieden werden. Je negativer und dementsprechend einschneidender das Datum, desto „härter“ müssen die Fakten sein, auf denen die Bewertungen aufbauen4. Schließlich kann auch der Umstand, dass der Betroffene einer Verwendung seiner Daten widersprochen hat, einer Zulässigkeit nach Abs. 1 Satz 1 Nr. 1 entgegenstehen. Ob die Interessen des Betroffenen gegenüber den Interessen der verantwortlichen Stelle tatsächlich überwiegen, wird im Einzelfall zu ermitteln sein.

47 Zu beachten ist, dass bei sensiblen, sog. „besonderen Arten personenbezogener

Daten“ (§ 3 Abs. 9) die Sonderregelungen des Abs. 5 i.V.m. § 28 Abs. 6–9 angewandt werden müssen (s. Rz. 104 ff.). cc) Rechts- oder vertragswidriges Verhalten des Betroffenen

48 Auf das Ergebnis der Abwägung wird sich im Regelfall auch auswirken, wenn

Daten verwendet werden, die einen Verstoß des Betroffenen gegen rechtliche oder vertragliche Verpflichtungen betreffen. Problematisch ist dabei, dass gerade Daten über ein ordnungswidriges oder strafbares Verhalten des Betroffenen besonders sensibel sind. Die Verwendung solcher Daten ist jedoch im Regelfall dann zulässig, wenn die verantwortliche Stelle ein berechtigtes Interesse an der Verwendung gerade dieser Daten, bspw. im Rahmen von Warndateien, hat5. Gleiches gilt für Daten über einen Verstoß des Betroffenen gegen öffentlichrechtliche oder vertragliche Pflichten. Wer sich rechtsbrüchig verhält, kann

1 Vgl. grundsätzlich zur besonderen Schutzbedürftigkeit von Adressen von Justizvollzugsanstalten AG Bremen v. 27.5.2011 – 10 C 221/11. 2 So auch Däubler/Klebe/Wedde/Weichert/Weichert, § 29 BDSG Rz. 12; Taeger/Gabel/ Taeger, § 29 BDSG Rz. 30; Simitis/Ehmann, § 29 BDSG Rz. 170. 3 Simitis/Ehmann, § 29 BDSG Rz. 165. 4 Ausführlich hierzu Simitis/Ehmann, § 29 BDSG Rz. 175 ff.; Gola/Schomerus, § 29 BDSG Rz. 15; ähnlich Kamlah/Schulz, Die Wohnungswirtschaft 2009, 64 (65). 5 Taeger/Gabel/Taeger, § 29 BDSG Rz. 31; Däubler/Klebe/Wedde/Weichert/Weichert, § 29 BDSG Rz. 21; Simitis/Ehmann, § 29 BDSG Rz. 187; Schaffland/Wiltfang, § 29 BDSG Rz. 10.

680

|

Plath

Geschäftsmäßige Datenerhebung zum Zweck der Übermittlung | § 29 BDSG

keine besondere Schutzwürdigkeit für sich in Anspruch nehmen1. Dies gilt vor allem dann, wenn die Verwendung solcher Daten im Rahmen eines Auskunftsoder Warnsystems zum Schutz der verantwortlichen Stelle erfolgt. Andernfalls wäre die Praxis der Kreditauskunfteien, die das durchaus sensible Datum der Kreditwürdigkeit bzw. Bonität verwenden, unzulässig, was jedoch schon deshalb nicht sein kann, weil das Gesetz diese Praxis in § 28a sowie in Abs. 6 voraussetzt2. dd) Kenntnis des Betroffenen Wurden die verwendeten Daten durch die verantwortliche Stelle direkt beim 49 Betroffenen und mit dessen Kenntnis unter Hinweis auf den beabsichtigten Übermittlungszweck erhoben, so kann sich auch dieser Umstand auf das Ergebnis der Interessenabwägung auswirken. Insbesondere wird der Betroffene dann als weniger schutzwürdig anzusehen sein, wenn er die Möglichkeit hatte, der Datenverwendung im Vorfeld zu widersprechen3. ee) Bewertungsportale/Social Media Einen besonderen Fall bildet die Übermittlung von Daten im Wege der Bereit- 50 haltung zum Abruf auf einem Bewertungsportal, bspw. der Bewertung der Leistung von Ärzten oder Anwälten. Der Anwendungsbereich des § 29 ist nach wohl h.M. eröffnet (s. Rz. 27)4. Die Bereitstellung der Daten auf einem Bewertungsportal ist danach nur zulässig, wenn und soweit die schutzwürdigen Interessen des Betroffenen gegenüber den berechtigten Interessen der verantwortlichen Stelle nicht überwiegen. Es muss also in aller Regel eine Abwägung zwischen dem Grundrecht auf Meinungsfreiheit (Art. 5 Abs. 1 Satz 1 GG) und dem allgemeinen Persönlichkeitsrecht des Betroffenen (Art. 1 Abs. 1 i.V.m. Art. 2 Abs. 1 GG) erfolgen5. Desweitern muss bei einer entsprechenden Abwägung auf beiden Seiten die mittelbare Drittwirkung des Grundrechts aus Art. 12 Abs. 1 GG berücksichtigt werden6. In der spickmich.de-Entscheidung hat der BGH deutlich gemacht, dass die Meinungsfreiheit der verantwortlichen Stelle (in diesem Fall einem Portal zu Bewertung von Lehrern) höher zu bewerten sei als das 1 So auch Kamlah/Schulz, Die Wohnungswirtschaft 2009, 64. 2 Ebenso Schaffland/Wiltfang, § 29 BDSG Rz. 20. 3 So auch Bergmann/Möhrle/Herb, § 29 BDSG Rz. 59; Taeger/Gabel/Taeger, § 29 BDSG Rz. 33; Däubler/Klebe/Wedde/Weichert/Weichert, § 29 BDSG Rz. 17. 4 BGH v. 23.6.2009 – VI ZR 196/08, NJW 2009, 2888 (2891) – spickmich.de; ebenso OLG Düsseldorf v. 6.10.2010 – I-15U 80/08, BeckRS 2011, 21696. 5 BGH v. 23.6.2009 – VI ZR 196/08, NJW 2009, 2888 (2891 ff.) – spickmich.de; ebenso OLG Düsseldorf v. 6.10.2010 – I-15U 80/08, BeckRS 2011, 21696; Gounalakis/Klein, NJW 2010, 566 (568); Greve/Schärdel, MMR 2008, 644 (647); Kühling, NJW 2015, 447 (448 ff.). 6 So zuletzt BGH v. 23.9.2014 – VI ZR 358/13, CR 2015, 116 (117).

Plath

|

681

§ 29 BDSG | Datenverarbeitung nicht-öffentlicher Stellen allgemeine Persönlichkeitsrecht des Betroffenen. Das Gericht begründete diese Auffassung im konkreten Fall damit, dass das Portal die Bewertung strengen, neutralen Vorgaben (Noten, vorgegebene Bewertungen) unterworfen habe, freie (und damit u.U. beleidigende) Äußerungen der User verhindert habe und die Seite mit einer Zugangsbeschränkung in Form eines Log-ins versehen habe1. Darüber hinaus sei lediglich die (berufliche) Sozialsphäre der betroffenen Lehrer durch die negativen Bewertungen tangiert, so dass eine Einschränkung der Meinungsäußerungsfreiheit nur im Ausnahmefall möglich sei2. Auch die Anonymität von Bewertungen führt nach zutreffender Ansicht des BGH nicht zu einer Beschränkung der Meinungsfreiheit. Art. 5 Abs. 1 Satz 1 GG schütze die Meinung als solche, nicht ihre Zuordnung zu einem bestimmten Individuum3. Eine Haftung der Betreiber von Bewertungsportalen kommt nur dann in Betracht, wenn sie zumutbare Prüfungspflichten verletzen. Somit dürften einem Diensteanbieter keine Prüfungspflichten auferlegt werden, die sein Geschäftsmodell wirtschaftlich gefährden oder seine Tätigkeit unverhältnismäßig erschweren4. In der gleichen Entscheidung urteilte der BGH, dass der Betreiber eines Bewertungsportals für Ärzte, bei Beschwerden über anonyme Bewertungen, Informationen und Belege über einen behaupteten Behandlungskontakt beim Bewertenden anfordern und soweit zulässig dem betroffenen Arzt übermitteln muss5. 51 Fraglich ist, ob diese Grundsätze auch auf sog. „Social Plugins“ wie dem „Like-

Button“ von Facebook übertragbar sind. Der Stein des Anstoßes ist nach verbreiteter Ansicht darin zu sehen, dass die an die Webseite übermittelten Daten nicht der Sozial-, sondern vielmehr der Privatsphäre des Betroffenen entstammen. Zudem wird argumentiert, dass die Abwägung schon deshalb zulasten der verantwortlichen Stelle ausfallen müsse, weil die Datenerhebung heimlich vorgenommen werde6. Allerdings ist es bereits fraglich, welche Daten tatsächlich erhoben werden7, und ob es sich bei den erhobenen Daten, z.B. der IP-Adresse und dem allgemeinen Surfverhalten, um personenbezogene Daten (vgl. § 3 Abs. 1) handelt (vgl. Komm. zu § 3 BDSG Rz. 20 ff.). Darüber hinaus ließe sich argumentieren, dass der durchschnittliche Anwender in der Regel davon ausgehen wird, dass mit dem Anklicken des Social Plugins eine Datenerhebung 1 BGH v. 23.6.2009 – VI ZR 196/08, NJW 2009, 2888 (2891 ff.) – spickmich.de; vgl. auch Gundermann, VuR 2010, 329 (334); kritisch dagegen Kaiser, NVwZ 2009, 1474 (1475 f.) sowie Pfeifer/Kamp, ZUM 2009, 185 (186). 2 BGH v. 23.6.2009 – VI ZR 196/08, NJW 2009, 2888 (2892) – spickmich.de; ebenso OLG Düsseldorf v. 6.10.2010 – I-15U 80/08, BeckRS 2011, 21696; Gundermann, VuR 2010, 329 (332). 3 BGH v. 23.6.2009 – VI ZR 196/08, NJW 2009, 2888 (2892) – spickmich.de. 4 BGH v. 1.3.2016 – VI ZR 34/15. 5 BGH v. 1.3.2016 – VI ZR 34/15. 6 So z.B. Piltz, CR 2010, 657 (661). 7 Hullen, Anm. zu LG Berlin v. 14.3.2011 – 91 O 25/11, MMR 2011, 387 (388); Ernst, NJOZ 2010, 1917.

682

|

Plath

Geschäftsmäßige Datenerhebung zum Zweck der Übermittlung | § 29 BDSG

durch den Seitenbetreiber erfolgt. Zu beachten ist dabei jedoch, dass im Falle des Like-Buttons anscheinend eine Datenerhebung durch Facebook unabhängig davon erfolgt, ob der Betroffene das Plugin aktiviert oder ob er auf der Plattform eingeloggt ist. Aus diesem Grund wird weitestgehend davon ausgegangen, dass der Like-Button mit den Regelungen des BDSG, insbesondere des § 29, nicht vereinbar sei1. ff) Profilerstellung Ebenfalls problematisch ist die Frage, ob die – in der Praxis durchaus verbreitete 52 – Erstellung von Profilen nach Abs. 1 Satz 1 Nr. 1 zulässig ist2. In der Verknüpfung mehrerer Daten zu einem Gesamtbild ist eine Veränderung dieser Daten zu sehen (vgl. § 3 Abs. 4 Nr. 2), so dass bei geschäftsmäßiger Tätigkeit der Anwendungsbereich des Erlaubnistatbestands eröffnet ist. Allein die Verknüpfung mehrerer Daten zu einem Gesamtbild führt nach der hier vertretenen Ansicht jedoch nicht zu einem Überwiegen der Interessen des Betroffenen3. Erst, wenn durch die Verknüpfung ein umfassendes Persönlichkeitsbild des Betroffenen erstellt wird, ist eine Unzulässigkeit nach Abs. 1 Satz 1 Nr. 1 denkbar4. Allerdings besteht bei Verwendung von öffentlich zugänglichen Daten die Möglichkeit einer Zulässigkeit nach Abs. 1 Satz 1 Nr. 2, der geringere Anforderungen an die Abwägung stellt (s. Rz. 61). Unter Umständen ist auch die in ihrem Anwendungsbereich vorrangige Regelung des § 15 Abs. 3 TMG zu beachten, wenn ein Telemedien-Diensteanbieter Nutzerdaten auf der eigenen Homepage zu Zwecken der Profilerstellung verwendet5. Problematisch ist auch der Fall, in dem durch die Filterung von Daten erst eine 53 Identifizierung der betroffenen Person erst möglich wird, wenn also nicht zu einer bereits bekannten Person ein Profil erstellt wird, sondern die Profilerstellung gerade zum Zweck der Identifizierung erfolgt. Eine derartige Profilerstellung dürfte jedenfalls dann nicht nach Abs. 1 Satz 1 Nr. 1 zulässig sein, wenn die verantwortliche Stelle das Profil mithilfe einer systematischen Filterung, bspw. von Inhalten auf sozialen Netzwerken, erstellt. So hat der EuGH entschieden, dass „eine systematische Prüfung aller Inhalte“ einer Profilseite in einem sozialen Netzwerk noch nicht einmal zu Zwecken der Bekämpfung von Urheberrechts1 So z.B. Ernst, NJOZ 2010, 1917 (1919); Piltz, CR 2011, 657 (662). 2 Vgl. die Ausführungen im Rahmen der Stellungnahme 2/2010 v. 22.6.2010 der Artikel29-Datenschutzgruppe zur Werbung auf Basis von Behavioural Targeting. 3 Ebenso Moos, MMR 2006, 718 (722). 4 Zur erhöhten Intensität eines Grundrechtseingriffs bei Erstellung eines Profils im Rahmen von Online-Durchsuchungen BVerfG v. 27.2.2008 – 1 BvR 370/07 und 1 BvR 595/07, MMR 2008, 315 (319 f.) – Online-Durchsuchung; vgl. auch Gola/Schomerus, § 29 BDSG Rz. 18; Däubler/Klebe/Wedde/Weichert/Weichert, § 29 BDSG Rz. 23; Pfeifer, K&R 2011, 543 (546). 5 Vgl. hierzu Pfeifer, K&R 2011, 543 (545, 547).

Plath

|

683

§ 29 BDSG | Datenverarbeitung nicht-öffentlicher Stellen verletzungen zulässig sei, wenn die gesammelten Daten eine Identifizierung der Nutzer ermöglichen würden, da hierdurch das Recht auf den Schutz personenbezogener Daten verletzt werden würde1. 2. Daten aus allgemein zugänglichen Quellen (Abs. 1 Satz 1 Nr. 2) 54 Darüber hinaus ist die geschäftsmäßige Verwendung von Daten zu Übermitt-

lungszwecken zulässig, wenn die Daten aus allgemein zugänglichen Quellen entnommen werden können und kein Grund zur Annahme besteht, dass die schutzwürdigen Interessen des Betroffenen am Ausschluss der Verwendung gegenüber den Interessen der verantwortlichen Stellen offensichtlich überwiegen (Abs. 1 Satz 1 Nr. 2). Auch hier kann die fehlende Nennung der Verwendungsform der „Nutzung“ auf ein Redaktionsversehen des Gesetzgebers zurückgeführt werden2.

55 Abs. 1 Satz 1 Nr. 2 ordnet gewissermaßen als Spezialnorm zu Abs. 1 Satz 1 Nr. 1

einen weniger strengen Abwägungsmaßstab an, der darauf zurückzuführen ist, dass das Interesse des Betroffenen an der Geheimhaltung von Daten, die bereits veröffentlicht wurden, deutlich geringer einzuschätzen ist3. Darüber hinaus steht das Grundrecht des Betroffenen auf informationelle Selbstbestimmung im Fall der Verwendung allgemein zugänglicher Daten im Konflikt mit dem Grundrecht auf Informationsfreiheit der verantwortlichen Stelle. a) Allgemein zugängliche Quellen

56 Der Begriff der „allgemein zugänglichen Quellen“ im Rahmen von Abs. 1

Satz 1 Nr. 2 ist genauso auszulegen wie die gleichlautende Bestimmung im Rahmen von § 28 Abs. 1 Satz 1 Nr. 3. Beide Formulierungen sind an Art. 5 Abs. 1 Satz 1 GG angelehnt, wonach jeder das Recht hat, sich aus „allgemein zugänglichen Quellen“ zu informieren. Eine Quelle ist nach der Definition des BVerfG allgemein zugänglich, wenn sie „technisch geeignet und bestimmt ist, der Allgemeinheit Informationen zu verschaffen“4. Damit gelten im Regelfall folgende Quellen als allgemein zugänglich (ausführlich hierzu Komm. zu § 28 BDSG Rz. 76): – alle frei erwerbbaren, veröffentlichten Printmedien; – öffentlich zugängliche Fernseh- und Radiosendungen sowie Aufzeichnungen; 1 Das Urteil bezog sich allerdings auf die Sammlung und Identifizierung von IP-Adressen, deren Einordnung als personenbezogenes Datum nach der hier vertreten Ansicht fraglich ist. 2 So auch Bergmann/Möhrle/Herb, § 29 BDSG Rz. 63. 3 Einschränkend Gärtner/Tintemann, VuR 2012, 54 (56) bezüglich der Übernahme von Daten aus öffentlichen Verzeichnissen, insbesondere bezogen auf Insolvenzdaten. 4 BVerfGE 27, 71 (83); BVerfGE 33, 52 (65); BVerfGE 103, 44 (60).

684

|

Plath

Geschäftsmäßige Datenerhebung zum Zweck der Übermittlung | § 29 BDSG

– alle allgemein, z.B. über Suchmaschinen zugänglichen Internetinhalte1; – Daten aus öffentlichen Gerichtsverfahren2; – öffentlich zugängliche Anschläge u.ä.; – öffentliche Veranstaltungen u.ä.; – öffentlich einsehbare Register; – öffentliche Bekanntmachungen. Die Tatsache, dass der Zugang zu bestimmten Daten nur gegen Entrichtung ei- 57 ner Gebühr oder bei Überwindung einer ähnlichen Zugangsbeschränkung möglich ist, wirkt sich nicht auf die allgemeine Zugänglichkeit der Daten aus. Dagegen sind Daten, zu denen der Zugang nur bei Vorliegen eines „berechtigten“ oder „rechtlichen“ Interesses gewährt wird, nicht allgemein zugänglich i.S.d. Abs. 1 Satz 1 Nr. 23. Voraussetzung ist, dass die Daten zum Zeitpunkt der Verwendung öffentlich 58 zugänglich waren. Das OLG Frankfurt entschied zuletzt, dass es auf die Zulässigkeit einer Speicherung von Daten aus einer öffentlich zugänglichen Quelle keinen Einfluss hat, ob die entnommenen Daten während der gesamten Speicherzeit weiterhin allgemein zugänglich bleiben4. Weiterhin ist es unerheblich, ob die verantwortliche Stelle die Daten tatsächlich der allgemein zugänglichen Quelle entnommen hat. Ausschlaggebend ist allein, dass sie hierzu die Möglichkeit gehabt hätte5. Teilweise wird vertreten, dass in diesen Fällen die öffentliche Zugänglichkeit der verantwortlichen Stelle zumindest bekannt gewesen sein muss6. Dagegen spricht jedoch, dass Abs. 1 Satz 1 Nr. 2 ein objektiver Erlaubnistatbestand ist und es auf die tatsächliche Kenntnis der verantwortlichen Stelle nicht ankommt. Allerdings obliegt es der verantwortlichen Stelle, die öffentliche Zugänglichkeit der Daten im Streitfall zu beweisen. Darüber hinaus ist die Art der Entnahme der Daten aus der allgemein zugäng- 59 lichen Quelle belanglos. Sie können demnach kopiert, heruntergeladen, abge1 So z.B. bzgl. der Inhalte auf Homepages von Ärzten bzw. Praxen LG Hamburg v. 20.9. 2010 – 325 O 111/10 sowie Gundermann, VuR 2010, 329 (331); zur Zulässigkeit einer kurzfristigen Speicherung von im Internet frei zugänglichen Daten durch eine Suchmaschine OLG Hamburg v. 13.11.2009 – 7 W 125/09, ZUM-RD 2010, 74 (76). 2 Vgl. OLG Stuttgart v. 11.4.2013 – 2 U 111/12, ZD 2013, 408. 3 Taeger/Gabel/Taeger, § 29 BDSG Rz. 36; Bergmann/Möhrle/Herb, § 29 BDSG Rz. 68; Däubler/Klebe/Wedde/Weichert/Weichert, § 29 BDSG Rz. 24; Simitis/Ehmann, § 29 BDSG Rz. 192. 4 Vgl. OLG Frankfurt a.M. v. 14.12.2015 – 1 U 128/15, NZI 2016, 188. 5 Gola/Schomerus, § 29 BDSG Rz. 19; Taeger/Gabel/Taeger, § 29 BDSG Rz. 35; Simitis/ Ehmann, § 29 BDSG Rz. 194. 6 Taeger/Gabel/Taeger, § 29 BDSG Rz. 35; Gola/Schomerus, § 29 BDSG Rz. 19, der sogar eine mögliche Strafbarkeit des Betroffenen wegen des untauglichen Versuchs einer unzulässigen Speicherung gemäß § 44 Abs. 1 in Erwägung zieht.

Plath

|

685

§ 29 BDSG | Datenverarbeitung nicht-öffentlicher Stellen schrieben oder auf sonstige Weise abgerufen worden sein. Im Hinblick auf die Zulässigkeit nach § 29 Abs. 1 Satz 1 Nr. 1 ist auch ein eventueller urheberrechtlicher Schutz der verwendeten Daten ohne Bedeutung. 60 Schließlich ist auch die Verwendung solcher Daten zulässig, die die verantwort-

liche Stelle zwar nicht aus einer öffentlich zugänglichen Quelle entnommen hat, die sie jedoch selbst veröffentlichen dürfte (Abs. 1 Satz 1 Nr. 2). Auch in diesem Fall ist aufgrund der (zukünftigen) Öffentlichkeit der Daten eine geringere Schutzwürdigkeit des Betroffenen anzunehmen. b) Interessenabwägung

61 Die Verwendung öffentlich zugänglicher Daten ist jedoch nicht absolut zulässig,

sondern bedarf einer Abwägung zwischen den Interessen der verantwortlichen Stelle mit den schutzwürdigen Interessen des Betroffenen (Abs. 1 Satz 1 Nr. 2). Aufgrund der geringeren Schutzwürdigkeit veröffentlichter Daten ordnet das Gesetz einen erleichterten Abwägungsmaßstab an. Demzufolge ist die Datenverwendung bereits dann zulässig, wenn keine schutzwürdigen Interessen des Betroffenen am Ausschluss der Verwendung offensichtlich bzw. eindeutig erkennbar überwiegen. Das Erfordernis der Offensichtlichkeit bezieht sich sowohl auf das Vorliegen entgegenstehender schutzwürdiger Interessen als auch auf das Überwiegen dieser Interessen gegenüber den Interessen der verantwortlichen Stelle1. Ansonsten gelten die gleichen Abwägungsgrundsätze wie i.R.d. Abs. 1 Satz 1 Nr. 1 (s. Rz. 38 ff.).

62 Ein offensichtliches Überwiegen der Betroffeneninteressen kann bspw. vorlie-

gen, wenn die verantwortliche Stelle Daten aus dem Melderegister sachfremd verwendet. Zwar ist das Melderegister als „allgemein zugängliche Quelle“ anzusehen, doch würde eine weitergehende Verwendung solcher Daten zu sonstigen Zwecken dazu führen, dass die melderechtlichen Schutzmechanismen außer Kraft gesetzt wären2. 3. Sonderregelung für Kredit- bzw. Bonitätsauskunfteien (Abs. 1 Satz 1 Nr. 3)

63 Schließlich ist eine Datenverwendung zu Übermittlungszwecken auch dann zu-

lässig, wenn die Voraussetzungen des § 28a erfüllt sind, der besondere Regelungen für die Übermittlung von Forderungsdaten an Auskunfteien vorsieht (Abs. 1 Satz 1 Nr. 3). Dementsprechend können sich auch nur Auskunfteien, nicht jedoch z.B. Warndienste, auf diesen Erlaubnistatbestand berufen3. Dies lässt jedoch nicht den Umkehrschluss zu, dass Datenverwendungen durch Auskunf1 Gola/Schomerus, § 29 BDSG Rz. 19. 2 Ebenso Däubler/Klebe/Wedde/Weichert/Weichert, § 29 BDSG Rz. 25. 3 So auch Simitis/Ehmann, § 29 BDSG Rz. 199.

686

|

Plath

Geschäftsmäßige Datenerhebung zum Zweck der Übermittlung | § 29 BDSG

teien nur auf Grundlage des Abs. 1 Satz 1 Nr. 3 zulässig sind. Die Norm ist lediglich ein weiterer Erlaubnistatbestand für den Sonderfall einer Übermittlung von Forderungsdaten nach Maßgabe des § 28a und entwickelt keine Sperrwirkung. Abs. 1 Satz 1 Nr. 3 bildet also gewissermaßen das Gegenstück zur Regelung des 64 § 28a: Daten, die unter den Voraussetzungen des § 28a durch Dritte bei den Auskunfteien eingemeldet wurden, können durch die Auskunfteien auf Grundlage des Abs. 1 Satz 1 Nr. 3 nun auch zu Übermittlungszwecken verwendet werden. Durch den direkten Verweis auf die Voraussetzungen des § 28a wird eine Gleichschaltung der Verwendungsvoraussetzungen vor und nach der Dateneinmeldung erreicht. Damit wird auch deutlich, warum der Erlaubnistatbestand des Abs. 1 Satz 1 Nr. 3 im Gegensatz zu den Regelungen von Nr. 1 und 2 keine weitere Interessenabwägung fordert: Daten, die zulässigerweise eingemeldet wurden, sollen auch zulässigerweise durch die Auskunftei verwendet werden dürfen1. Der Betroffene wird ausreichend durch die strenge Regelung des § 28a geschützt. Allerdings entbindet dieser Umstand die Auskunftei nicht von jeglicher Kontrolle. Für die Zulässigkeit „ihrer Seite“ des Datenverwendungsvorgangs ist ausschließlich die Auskunftei verantwortlich2. Die Erhebung und Speicherung von Daten über Verhaltensweisen des Betroffe- 65 nen, die im Rahmen eines vorvertraglichen Vertrauensverhältnisses der Herstellung von Markttransparenz dienen (§ 28a Abs. 2 Satz 4), ist generell unzulässig (Abs. 1 Satz 1 Nr. 3 Halbs. 2)3. Solche Daten dürfen demnach nicht in den Auskunftstatbestand aufgenommen werden. 4. Zweckbestimmung (Abs. 1 Satz 2 Halbs. 1) Abs. 1 Satz 2 verweist auf die Regelung des § 28 Abs. 1 Satz 2, der eine Pflicht 66 der verantwortlichen Stelle zur Bestimmung eines Verwendungszwecks vorsieht. Die Zweckbestimmung muss bereits zum Zeitpunkt der Erhebung, spätestens jedoch im Moment der Speicherung erfolgen4. Dadurch soll eine vorsorgliche Datenerhebung bzw. eine Vorratsdatensammlung verhindert werden. Abs. 1 Satz 2 Halbs. 1 regelt nur die Bestimmung des Zwecks; die Bindung an den Zweck ergibt sich erst aus Abs. 2 Satz 1. Der lediglich generell festgelegte Zweck der „Übermittlung an Dritte“ ist nicht 67 ausreichend, da er bereits Tatbestandsvoraussetzung der Regelungen des Abs. 1 Satz 1 ist. Die verantwortliche Stelle muss damit einen weiteren, konkreten Zweck bestimmen. Da die verantwortliche Stelle jedoch nicht im Voraus jede denkbare Verwendungssituation vorhersehen kann, reicht die Darstellung eines typischen Sachverhalts im Rahmen der Zweckbestimmung nach der hier vertre1 2 3 4

Ebenso Simitis/Ehmann, § 29 BDSG Rz. 199. Simitis/Ehmann, § 29 BDSG Rz. 199. Vgl. zu solchen „Konditionenanfragen“ Komm. zu § 28a BDSG Rz. 60 ff. Bergmann/Möhrle/Herb, § 29 BDSG Rz. 79.

Plath

|

687

§ 29 BDSG | Datenverarbeitung nicht-öffentlicher Stellen tenen Ansicht aus (vgl. Komm. zu § 28 BDSG Rz. 89). Ausreichend ist bspw. die Bestimmung von Zwecken wie „Werbung“, „Bonitätsauskunft“ oder „Adresshandel“1. Darüber hinaus ist nach dem Wortlaut des Abs. 1 Satz 2 i.V.m. § 28 Abs. 1 Satz 2 auch die Bestimmung mehrerer Verwendungszwecke zulässig. 68 Das Gesetz verpflichtet nicht dazu, die Zweckbestimmung in Schriftform vorzu-

nehmen. Aus Gründen der Beweissicherung empfiehlt sich dies dennoch2. Die Zweckbestimmung hat keine Publizitätswirkung, sondern dient lediglich dem Nachweis der Zulässigkeit einer Datenverwendung. Eine interne Dokumentation des Zwecks ist damit ausreichend. 5. Sonderregelung für Werbung und Adresshandel (Abs. 1 Satz 2 Halbs. 2)

69 Aufgrund des Verweises in Abs. 1 Satz 2 Halbs. 2 auf § 28 Abs. 3–3b ergibt sich,

dass im Fall der Verwendung von Daten zum Zweck der Übermittlung für Werbung oder Adresshandel Sonderregeln zu beachten sind3. Diese Regeln sind lex specialis gegenüber den allgemeinen Verwendungsvoraussetzungen des Abs. 1 Satz 14. Zur Definition dieser Begriffe vgl. Komm. zu § 28 BDSG Rz. 102 ff.

a) Einwilligung (Abs. 1 Satz 2 i.V.m. § 28 Abs. 3 Satz 1) 70 Die geschäftsmäßige Verwendung von Daten zu Zwecken der Werbung oder

des Adresshandels ist grundsätzlich nur mit Einwilligung zulässig („Opt-in“Lösung), vgl. Abs. 1 Satz 2 i.V.m. § 28 Abs. 3 Satz 1. Von diesem Grundsatz weicht der Gesetzgeber jedoch in § 28 Abs. 3 Satz 2–7 ab, da unter den dort geregelten Voraussetzungen, auf die weiter unten näher eingegangen wird, eine Datenverwendung auch ohne Einwilligung des Betroffenen zulässig ist („Optout“-Lösung).

71 Die Voraussetzungen für eine wirksame Einwilligung sind grundsätzlich in

§ 4a geregelt. Darüber hinaus hat der Gesetzgeber jedoch für die Einwilligung in eine Datenverwendung zu Zwecken der Werbung oder des Adresshandels in § 28 Abs. 3a, auf den Abs. 1 Satz 2 ebenfalls verweist, eine Sonderregelung getroffen. Nach der hier vertretenen Ansicht greift § 28 Abs. 3a zusätzlich zu den Erfordernissen des § 4a. Demzufolge ist im Falle der Entbehrlichkeit der Schriftform (§ 4a Abs. 1 Satz 3) Voraussetzung für die Wirksamkeit der Einwilligung, dass diese von der verantwortlichen Stelle schriftlich bestätigt wurde (§ 28 Abs. 3a Satz 1)5. Wurde die Einwilligung elektronisch erteilt, so muss die verant-

1 So auch Taeger/Gabel/Taeger, § 29 BDSG Rz. 45. 2 Vgl. auch Taeger/Gabel/Taeger, § 29 BDSG Rz. 46; Bergmann/Möhrle/Herb, § 29 BDSG Rz. 80. 3 Kritisch zu der dogmatischen Gestaltung dieses Verweises als Rechtsgrundverweis Wronka, RDV 2010, 159 (160). 4 Ebenso Wronka, RDV 2010, 159 (160). 5 Ausführlich hierzu Komm. zu § 28 BDSG Rz. 158 ff.

688

|

Plath

Geschäftsmäßige Datenerhebung zum Zweck der Übermittlung | § 29 BDSG

wortliche Stelle die Einwilligung protokollieren und dafür sorgen, dass der Betroffene sie jederzeit abrufen kann (Abs. 1 Satz 2 i.V.m. § 28 Abs. 3a Satz 2). Wahlweise steht es der verantwortlichen Stelle nach der hier vertretenen Ansicht frei, die Wirksamkeit aus der elektronischen Einwilligung durch eine schriftliche Bestätigung herbeizuführen (ausführlich hierzu Komm. zu § 28 BDSG Rz. 165). Der Abschluss eines Vertrags darf dabei nicht mit der Abgabe einer datenschutzrechtlichen Einwilligung gekoppelt werden (Abs. 1 Satz 2 i.V.m. § 28 Abs. 3b). b) Listenprivileg (Abs. 1 Satz 2 i.V.m. § 28 Abs. 3 Satz 2) Darüber hinaus ist eine Datenverwendung zu Zwecken der Werbung ohne Ein- 72 willigung nur zulässig, wenn die verantwortliche Stelle listenmäßig oder sonst zusammengefasst personenbezogene Daten über die Zugehörigkeit des Betroffenen zu einer Personengruppe, seine Berufs-, Branchen- oder Geschäftsbezeichnung, seinen Namen, Titel, akademischen Grad, seine Anschrift oder sein Geburtsjahr verwendet (ausführlich hierzu Komm. zu § 28 BDSG Rz. 114 ff.). Listendaten dürfen jedoch nur zu Zwecken der Eigenwerbung (§ 28 Abs. 3 Satz 2 Nr. 1), der Geschäftswerbung (§ 28 Abs. 3 Satz 2 Nr. 2) oder der Spendenwerbung (§ 28 Abs. 3 Satz 2 Nr. 3) verwendet werden (Näheres hierzu s. Komm. zu § 28 BDSG Rz. 120 ff.). c) Hinzuspeicherung von Daten (Abs. 1 Satz 2 i.V.m. § 28 Abs. 3 Satz 3) Die verantwortliche Stelle darf zu den Listendaten noch weitere Daten für Zwe- 73 cke der Eigenwerbung (§ 28 Abs. 3 Satz 2) hinzuspeichern (Abs. 1 Satz 2 i.V.m. § 28 Abs. 3 Satz 3). Nach der hier vertretenen Ansicht darf es sich bei den hinzugespeicherten Daten um alle Arten von Daten außer Listendaten handeln, wobei es unerheblich ist, ob die verantwortliche Stelle die hinzugefügten Daten ansonsten bereits zu Werbezwecken hätte nutzen dürfen. Der Gesetzgeber hat sich mit dieser Regelung bewusst für eine Ausweitung der Verwendungsbefugnis zu Zwecken der Eigenwerbung entschieden. Da § 28 Abs. 3 Satz 3 keine eigenständige Erhebungsbefugnis darstellt, ist lediglich Voraussetzung, dass die hinzugefügten Daten zuvor rechtmäßig erhoben wurden (ausführlich zum Hinzuspeichern von Daten Komm. zu § 28 BDSG Rz. 128 ff.). d) Übermittlung zu Werbezwecken (Abs. 1 Satz 2 i.V.m. § 28 Abs. 3 Satz 4) Darüber hinaus ist auch die Übermittlung von Listendaten an Dritte, die diese 74 Daten wiederum selbst zu Werbezwecken nutzen dürfen, erlaubt (Abs. 1 Satz 2 i.V.m. § 28 Abs. 3 Satz 3). Damit betrifft diese Norm insbesondere die Praxis der Adresshändler und Listbroker. Voraussetzung für die zulässige Übermittlung von Daten zu Werbezwecken ist jedoch, dass die übermittelnde Stelle die Tatsache der Übermittlung, die Herkunft der Daten und die Empfänger für eine Dauer von zwei Jahren nach der Übermittlung speichert. Trotz des fehlenden Plath

|

689

§ 29 BDSG | Datenverarbeitung nicht-öffentlicher Stellen Verweises in § 28 Abs. 3 Satz 4 auf § 34 Abs. 1a Satz 2, der dem Empfänger dieselben Speicherungspflichten wie dem Übermittler auferlegt, gilt das Speicherungsgebot nach der hier vertretenen Ansicht auch für den Empfänger der Daten (s. Komm. zu § 28 BDSG Rz. 137). 75 Der durch Verweis in Bezug genommene § 28 Abs. 3 Satz 4 Halbs. 2 normiert

darüber hinaus ein Transparenzgebot, wonach bei einer Verwendung zuvor übermittelter Daten zu Werbezwecken die ersterhebende Stelle eindeutig aus der Werbung hervorgehen muss. e) Werbung für fremde Angebote (Abs. 1 Satz 2 i.V.m. § 28 Abs. 3 Satz 5)

76 Zudem ist die geschäftsmäßige Nutzung von Daten zu Zwecken der Werbung

für fremde Angebote zulässig (Abs. 1 Satz 2 i.V.m. § 28 Abs. 3 Satz 4 ist). Die Regelung betrifft damit insbesondere die Praxis der sog. Beipack- oder Empfehlungswerbung (s. ausführlich Komm. zu § 28 BDSG Rz. 143). Nach der hier vertretenen Ansicht muss sich die verantwortliche Stelle dabei nicht – anders als i.R.d. Eigenwerbung – auf Listendaten beschränken (s. Komm. zu § 28 BDSG Rz. 145). Der Gesetzgeber hat auch hier ein Transparenzgebot normiert, wonach die verantwortliche Stelle bei der Ansprache zu Zwecken der Werbung für den Betroffenen eindeutig erkennbar sein muss (s. Komm. zu § 28 BDSG Rz. 146). f) Interessenabwägung und Zweckbindung (Abs. 1 Satz 2 i.V.m. § 28 Abs. 3 Satz 6 und 7)

77 Die Verwendung von Daten zu Zwecken der Eigenwerbung, das Hinzuspei-

chern von Daten sowie das Übermitteln von Daten zu Werbezwecken sind gemäß § 28 Abs. 3 Satz 6 jedoch nur zulässig, soweit keine schutzwürdigen Interessen des Betroffenen entgegenstehen. Die verantwortliche Stelle muss demnach eine (zusätzliche) Interessenabwägung durchführen. Lediglich die Nutzung zu Zwecken der Fremdwerbung (§ 28 Abs. 3 Satz 5) ist nach der hier vertretenen Ansicht ohne weitere Interessenabwägung zulässig (ausführlich zur Interessenabwägung Komm. zu § 28 BDSG Rz. 152). Schließlich unterliegen die nach § 28 Abs. 3 verwendeten Daten einer Zweckbindung. Sie dürfen demnach nur zu Zwecken der Werbung und des Adresshandels verwendet werden.

IV. Zulässigkeit der geschäftsmäßigen Übermittlung von Daten (Abs. 2) 78 Abs. 2 regelt, unter welchen Voraussetzungen zulässigerweise erhobene, gespei-

cherte, verarbeitete oder genutzte Daten geschäftsmäßig an Dritte übermittelt werden dürfen. Grundsätzlich muss die Übermittlung innerhalb des nach Abs. 1 Satz 2 Halbs. 1 festgesetzten Zwecks erfolgen. Darüber hinaus normieren Abs. 2 Satz 1 Nr. 1 und Nr. 2 zwei Voraussetzungen, die kumulativ vorliegen müssen. 690

|

Plath

Geschäftsmäßige Datenerhebung zum Zweck der Übermittlung | § 29 BDSG

Dementsprechend ist die Übermittlung nur zulässig, wenn (i) der empfangende Dritte ein berechtigtes Interesse an der Übermittlung glaubhaft darlegen kann (Nr. 1) und (ii) kein Grund zur Annahme besteht, dass der Betroffene ein schutzwürdiges Interesse am Ausschluss der Übermittlung hat (Nr. 2). Die Vorschrift ist immer nur dann von Bedeutung, wenn keine wirksame Einwilligung in die Datenübermittlung erteilt wurde. 1. Glaubhafte Darlegung eines berechtigten Interesses (Abs. 2 Satz 1 Nr. 1) Das erste Zulässigkeitskriterium für die geschäftsmäßige Datenübermittlung ist, 79 dass der Empfänger der Daten ein berechtigtes Interesse an der Übermittlung glaubhaft darlegen kann. a) Berechtigtes Interesse Nach der Rechtsprechung des BGH soll ein berechtigtes Interesse des Dritten 80 dann vorliegen, wenn „die Kenntnis der Daten für die von dem Empfänger beabsichtigten Ziele und Zwecke erforderlich ist“1. Hinsichtlich dieser Ziele und Zwecke kommt als berechtigtes Interesse grund- 81 sätzlich jedes von der Rechtsordnung gebilligte Interesse infrage2. Es muss durch die Sachlage gerechtfertigt sein, tatsächlich bestehen und kann wirtschaftlicher oder rechtlicher, aber auch ideeller oder sonstiger Natur sein. Die Datenübermittlung muss darüber hinaus zur Erreichung dieser Ziele erfor- 82 derlich sein. Die Erforderlichkeit ist jedenfalls dann gegeben, wenn dem Empfänger kein anderes, milderes Mittel zur Kenntnisnahme der Daten zur Verfügung steht, oder wenn der Empfänger ohne die Übermittlung einen erheblichen Nachteil erleiden würde. Hier sei auch auf die ausführlichen Darstellungen in Komm. zu § 28 BDSG Rz. 19 ff. verwiesen. Es muss grundsätzlich ein eigenes Interesse des Empfängers vorliegen. Fremde Interessen können jedoch dann als eigene berechtigte Interessen geltend gemacht werden, wenn der Empfänger gerade mit der Wahrnehmung fremder Interessen betraut ist. Typische berechtigte Interessen sind bspw. die Überprüfung der Bonität des Betroffenen durch ein vorleistungspflichtiges Unternehmen sowie die Überprüfung der Kreditwürdigkeit durch eine Bank3. Ebenso wird ein berechtigtes Interesse des Vermieters an einer Auskunft über die (wirtschaftliche) Zulässigkeit seines potenziellen Mieters zu bejahen sein4. 1 BGH v. 22.5.1984 – VI ZR 105/82, NJW 1984, 1886 (1887). 2 Bergmann/Möhrle/Herb, § 29 BDSG Rz. 87; Taeger/Gabel/Taeger, § 29 BDSG Rz. 52; Däubler/Klebe/Wedde/Weichert/Weichert, § 29 BDSG Rz. 49b; Schaffland/Wiltfang, § 29 BDSG Rz. 40. 3 So auch Bergmann/Möhrle/Herb, § 29 BDSG Rz. 87 f. 4 Ebenso Kamlah/Schulz, Die Wohnungswirtschaft 2009, 64.

Plath

|

691

§ 29 BDSG | Datenverarbeitung nicht-öffentlicher Stellen b) Glaubhafte Darlegung 83 Das berechtigte Interesse muss durch den Übermittlungsempfänger „glaubhaft

dargelegt“ werden. Die Glaubhaftigkeit ist gegeben, wenn eine überwiegende Wahrscheinlichkeit für das Vorliegen eines Interesses spricht1. Es besteht weitestgehend Einigkeit darüber, dass die Anforderungen an eine „glaubhafte Darlegung“ niedriger sind als bei einer „Glaubhaftmachung“ i.S. der ZPO2. Erst recht ist es nicht erforderlich, dass der Empfänger sein berechtigtes Interesse sogar beweist3.

84 Dabei stellt sich die Frage, wie die Darlegung zu erfolgen hat. Grundsätzlich ist

hierfür Voraussetzung, dass dem Übermittler die Identität des Datenempfängers soweit bekannt ist, dass er sie nachprüfen kann4. Dies kann bspw. durch die Vorlage eines Ausweises oder einer Vollmacht bzw. durch die Nennung einer Kennung oder Kundennummer erfolgen. Darüber hinaus muss eine irgendwie geartete Erklärung oder Dokumentenvorlage durch den Empfänger erfolgen, aus der das Interesse an der Kenntnis der Daten ersichtlich wird. Die glaubhafte Darlegung ist dabei jedoch an keinerlei Formerfordernis gebunden5.

85 Nicht ausreichend ist, wenn der Datenempfänger lediglich auf Nachfrage ein

Interesse vorweisen kann. Vielmehr muss der Empfänger sein Interesse im Rahmen jedes Übermittlungsvorgangs selbst kundtun und vortragen. Die tatsächlichen Umstände hängen letztlich vom Einzelfall ab. Je enger die Beziehung zwischen Übermittler und Empfänger ist und je regelmäßiger Übermittlungen stattfinden, desto allgemeiner kann die glaubhafte Darstellung erfolgen6. So ist es bspw. ausreichend, wenn regelmäßige Abonnenten der Leistungen einer Auskunftei ihr Interesse durch Angabe eines vorher (vertraglich) vereinbarten Wort- oder Zifferncodes je nach Geschäftsvorgang darlegen7. Gleiches gilt, wenn die Übermittlung immer zu demselben Zweck, z.B. zur Bonitätsauskunft, erfolgt. Die Angabe des Interesses muss dabei durchaus konkret sein, ein mit „Auskunft“ oder „Vertrag“ begründetes Interesse ist nicht ausreichend. Dies heißt jedoch nicht, dass die Interessendarlegung immer in aller Ausführlichkeit erfolgen muss. Stichwortartige Darstellungen wie „Bonitätsauskunft“, „Mieterüberprüfung“ oder die Nennung der Vertragsart („Ratenkaufvertrag“, „Mietvertrag“, „Darlehensvertrag“) genügen den Anforderungen des Abs. 1 Satz 1 Nr. 18.

1 Gola/Schomerus, § 29 BDSG Rz. 27; Bergmann/Möhrle/Herb, § 29 BDSG Rz. 92; Däubler/Klebe/Wedde/Weichert/Weichert, § 29 BDSG Rz. 49c. 2 So z.B. auch Simitis/Ehmann, § 29 BDSG Rz. 224. 3 So auch Schaffland/Wiltfang, § 29 BDSG Rz. 44. 4 Bergmann/Möhrle/Herb, § 29 BDSG Rz. 93. 5 Schaffland/Wiltfang, § 29 BDSG Rz. 45. 6 Bergmann/Möhrle/Herb, § 29 BDSG Rz. 92; Schaffland/Wiltfang, § 29 BDSG Rz. 46. 7 Ebenso Taeger/Gabel/Taeger, § 29 BDSG Rz. 55; Schaffland/Wiltfang, § 29 BDSG Rz. 44. 8 Ebenso Taeger/Gabel/Taeger, § 29 BDSG Rz. 55.

692

|

Plath

Geschäftsmäßige Datenerhebung zum Zweck der Übermittlung | § 29 BDSG

Den Übermittler trifft keine Pflicht zur Überprüfung der Richtigkeit der An- 86 gaben des Übermittlungsempfängers, soweit diese plausibel erscheinen und kein Grund zur Annahme besteht, dass das dargelegte Interesse nur vorgetäuscht ist1. Teilweise fordern die Aufsichtsbehörden, dass bei massenhaften Übermittlungen, z.B. durch Auskunfteien, eine stichprobenartige Überprüfung durch die verantwortliche Stelle durchgeführt werden muss2. Die Überprüfung erfolgt in der Regel durch Vorlage eines Dokuments, z.B. eines Kaufvertrags oder eines Kreditantrags, welches das berechtigte Interesse der verantwortlichen Stelle belegt. Bei automatisierten Abrufverfahren ist die Stichprobenprüfung gemäß Abs. 2 Satz 5 vorgeschrieben (s. Rz. 95). Problematisch ist die glaubhafte Darlegung eines berechtigten Interesses des 87 Empfängers insbesondere im Falle der Übermittlung personenbezogener Daten im Wege des Abrufs (§ 3 Abs. 4 Nr. 3b) auf Bewertungsportalen oder sozialen Netzwerken3. Insbesondere stellt sich die Frage, ob und vor allem wie der empfangende Dritte sein berechtigtes Interesse an der Kenntnis der Daten glaubhaft machen kann. Ein solches Interesse ist jedenfalls dann anzunehmen, wenn der Empfänger Daten abruft, die er selbst auf die Seite eingestellt hat oder die unter seiner Kontrolle eingestellt worden sind. Doch auch im Falle des Abrufs „fremder“ Daten ist im Regelfall davon auszugehen, dass der Empfänger ein berechtigtes Interesse an der Übermittlung der Daten hat. So hat der BGH im „spickmich.de“-Urteil4 zutreffenderweise entschieden, dass Abs. 2 Satz 1 Nr. 1 im Hinblick auf die Meinungsfreiheit gemäß Art. 5 Abs. 1 Satz 1 GG verfassungsgemäß auszulegen sei: Zur aktiven Ausübung der Meinungsfreiheit gehöre auch die Möglichkeit zum ungehinderten Meinungsaustausch und mithin auch zur Teilnahme an Foren und Bewertungsportalen5. Dabei erstrecke sich der Schutzbereich der Meinungsfreiheit auch auf anonyme oder pseudonyme Äußerungen6. Im Ergebnis führt die verfassungskonforme Auslegung von Abs. 2 Satz 1 Nr. 1 dazu, dass keine einzelfallbezogene Darlegung des berechtigten Interesses am Datenabruf erforderlich ist, sondern eine Gesamtabwägung vorgenommen werden muss zwischen dem allgemeinen Persönlichkeitsrecht desjenigen, dessen Daten übermittelt werden und dem Informationsinteresse des Nutzers der 1 Gola/Schomerus, § 29 BDSG Rz. 28; Taeger/Gabel/Taeger, § 29 BDSG Rz. 55; Schaffland/ Wiltfang, § 29 BDSG Rz. 47; strenger hingegen Däubler/Klebe/Wedde/Weichert/ Weichert, § 29 BDSG Rz. 49d, der eine Überprüfung der Glaubhaftigkeit im Einzelfall fordert. 2 Vgl. Gola/Schomerus, § 29 BDSG Rz. 28; Simitis/Ehmann, § 29 BDSG Rz. 227; Schaffland/Wiltfang, § 29 BDSG Rz. 47. 3 Ausführlich zur datenschutzrechtlichen Bewertung der Nutzung sozialer Netzwerke vgl. Stellungnahme 5/2009 der Artikel-29-Datenschutzgruppe v. 12.6.2009. 4 BGH v. 23.6.2009 – VI ZR 196/08, NJW 2009, 2888 – spickmich.de. 5 Im Ergebnis zustimmend Feldmann, AnwBl 2011, 250 (252). 6 BGH v. 23.6.2009 – VI ZR 196/08, NJW 2009, 2888 (2892) – spickmich.de; ebenso OLG Düsseldorf v. 6.10.2010 – I-15U 80/08, BeckRS 2011, 21696.

Plath

|

693

§ 29 BDSG | Datenverarbeitung nicht-öffentlicher Stellen Daten1. Erst recht wird ein berechtigtes Interesse des Empfängers anzunehmen sein, wenn die Thematik des Netzwerks oder des Bewertungsportals einen Bereich betrifft, in dem ein erhöhter Informations-, Transparenz- und Aufklärungsbedarf besteht, wie dies z.B. bei Bewertungsportalen über Ärzte oder Rechtsanwälte der Fall ist2. 2. Interessenabwägung (Abs. 2 Satz 1 Nr. 2) 88 Zusätzlich zum Erfordernis der glaubhaften Darlegung setzt Abs. 2 Satz 1 Nr. 2

voraus, dass kein Grund zur Annahme besteht, dass ein schutzwürdiges Interesse des Betroffenen am Ausschluss der Übermittlung vorliegt. Auch hier muss – trotz des diesbezüglich unklaren Wortlauts – eine Abwägung mit den Interessen des empfangenden Dritten vorgenommen werden. Im Einzelnen kann auf die Ausführungen zu Abs. 1 Satz 1 Nr. 1 (nicht Nr. 2, der ein offensichtliches Interesse fordert) verwiesen werden (s. Rz. 35 ff.). 3. Sonderregelung für Werbung und Adresshandel (Abs. 2 Satz 2 i.V.m. § 28 Abs. 3–3b)

89 Aufgrund des Verweises in Abs. 2 Satz 2 auf die Regelungen des § 28 Abs. 3–3b

gelten auch bei der geschäftsmäßigen Übermittlung Sonderregelungen, wenn die Übermittlung zu Zwecken der Werbung oder des Adresshandels erfolgt. Im Einzelnen kann auf die Ausführungen zu Abs. 1 Satz 2 verwiesen werden (s. Rz. 69 ff.). 4. Aufzeichnungspflicht (Abs. 2 Satz 3)

90 Der Gesetzgeber hat zudem Aufzeichnungspflichten der übermittelnden bzw.

empfangenden Stelle normiert (Abs. 2 Satz 3 und 4). Dies erfolgte mit der Intention, den Betroffenen zu schützen und eine effektive Durchsetzung und Überprüfung der Einhaltung der Anforderungen des Abs. 1 Satz 1 Nr. 1 zu erreichen. Die Aufzeichnungen dienen einer eventuellen nachträglichen Kontrolle durch den Datenschutzbeauftragten (§ 4g) oder durch die Aufsichtsbehörden (§ 38).

91 Die Aufzeichnungspflicht trifft grundsätzlich den Übermittler. Gemäß Abs. 2

Satz 3 muss dieser bei jedem Übermittlungsvorgang aufzeichnen, dass (i) ein berechtigtes Interesse des Empfängers gegeben ist und dass er (ii) dieses Interesse auch glaubhaft dargelegt hat. Konkret bedeutet dies, dass die verantwortliche Stelle bei jeder Übermittlung

1 BGH v. 23.9.2014 – VI ZR 358/13, CR 2015, 116 (120); BGH v. 23.6.2009 – VI ZR 196/08, NJW 2009, 2888 (2893) – spickmich.de; ebenso Gundermann, VuR 2010, 329 (333) bzgl. der Zulässigkeit des AOK-Ärztenavigators. 2 Vgl. LG Kiel v. 19.12.2001 – 14 O 142/01, NJW-RR 2002, 1195; Gundermann, VuR 2010, 329 (333).

694

|

Plath

Geschäftsmäßige Datenerhebung zum Zweck der Übermittlung | § 29 BDSG

– die Identität des Empfängers – die Gründe für das Vorliegen eines Interesses (z.B. „Ratenkauf“ bei Bonitätsanfragen) sowie – die Art und Weise bzw. das Mittel der Darlegung (z.B. „Vorlage eines Vertragsdokuments“) protokollieren muss. Nicht erforderlich ist ein ausführliches Übermittlungsprotokoll oder gar eine Speicherung der konkreten Darlegungsdokumente1. Die Protokollierung muss jedoch konkret genug sein, um eine jederzeitige Überprüfung der Einhaltung der Übermittlungsvoraussetzungen (vgl. Abs. 2 Satz 1 Nr. 1) zu kontrollieren. In den meisten Fällen werden stichpunktartige Aufzeichnungen ausreichen2. Keine Aussage trifft das Gesetz bezüglich der Dauer der Aufzeichnungspflicht. 92 Nach der hier vertretenen Ansicht erscheint in Anlehnung an die Verjährungsfristen eventueller Schadensersatzforderungen gemäß § 7 i.V.m. § 195 BGB eine Aufzeichnungsdauer von drei Jahren angemessen. Jedenfalls sollte jedoch eine an die Löschungsfristen nach § 35 Abs. 2 Satz 2 Nr. 4 angelehnte Aufzeichnungsdauer von vier Jahren ausreichen3. Teilweise wird vertreten, dass bei Massenverfahren auch kürzere Fristen von etwa einem Jahr ausreichend seien4. Umstritten ist, ob die Aufzeichnungspflicht auch fortbesteht, nachdem die betroffenen Daten gelöscht wurden. Dagegen spricht zwar, dass eine Aufzeichnung ohne Aussagewert ist, wenn die betroffenen Daten nicht mehr vorhanden sind5. Allerdings dient die Aufzeichnungspflicht der Ermöglichung einer effektiven Nachkontrolle, an der auch nach Löschung der betroffenen Daten ein Interesse bestehen kann. Das Gesetz macht ebenso keine Angaben zur Form der Aufzeichnung. Aus die- 93 sem Umstand lässt sich der Rückschluss ziehen, dass der Aufzeichnungspflichtige diesbezüglich frei ist. 5. Sonderregelungen für automatisierte Abrufverfahren (Abs. 2 Satz 4 und 5) Erfolgt die Übermittlung im Wege des automatisierten Abrufs (§ 3 Abs. 4 94 Nr. 3b, § 10), so muss nicht der Übermittler, sondern der Empfänger die Auf1 So auch Schaffland/Wiltfang, § 29 BDSG Rz. 48. 2 Vgl. Schaffland/Wiltfang, § 29 BDSG Rz. 48. 3 So auch Bergmann/Möhrle/Herb, § 29 BDSG Rz. 107; Taeger/Gabel/Taeger, § 29 BDSG Rz. 60; a.A. Däubler/Klebe/Wedde/Weichert/Weichert, § 29 BDSG Rz. 51 sowie Schaffland/Wiltfang, § 29 BDSG Rz. 50, die sich für eine Aufbewahrungsdauer von fünf Jahren ausspricht. 4 Bergmann/Möhrle/Herb, § 29 BDSG Rz. 107. 5 So z.B. Gola/Schomerus, § 29 BDSG Rz. 30.

Plath

|

695

§ 29 BDSG | Datenverarbeitung nicht-öffentlicher Stellen zeichnung durchführen (Abs. 2 Satz 4). Die Anforderungen an die Protokollierung sind identisch. 95 Die übermittelnde Stelle ist dann zwar von der Aufzeichnungspflicht befreit,

doch muss sie Stichprobenkontrollen durchführen (Abs. 2 Satz 5 i.V.m. § 10 Abs. 4 Satz 3). Durch die Einführung dieser Regelung sollte dem Umstand Rechnung getragen werden, dass bei automatisierten Abrufverfahren die Durchführung einer Vorabüberprüfung der glaubhaften Darlegung eines berechtigten Übermittlungsinteresses in der Praxis nicht möglich ist. Die übermittelnde Stelle muss im Rahmen der Stichprobenkontrolle feststellen und überprüfen, ob im Einzelfall ein berechtigtes Interesse des Empfängers (vgl. Abs. 2 Satz 1 Nr. 2) vorgelegen hat. Zu den Anforderungen an die Stichproben im Einzelnen vgl. Komm. zu § 10 BDSG Rz. 29.

V. Aufnahme in elektronische oder gedruckte Verzeichnisse (Abs. 3) 96 Abs. 3 regelt, unter welchen Voraussetzungen personenbezogene Daten in elek-

tronische oder gedruckte Verzeichnisse aufgenommen werden können. Diese Regelung baut auf § 104 TKG auf, der eine Aufnahme von Telekommunikationsteilnehmern in Verzeichnisse nur auf Antrag des Teilnehmers zulässt. Durch Abs. 3 soll der Schutz des § 104 TKG auch auf solche Verzeichnisse erweitert werden, die nicht durch Telekommunikationsanbieter erstellt oder geführt werden1.

97 Voraussetzung für die Anwendbarkeit des Abs. 3 ist dementsprechend, dass die

Daten, die durch die verantwortliche Stelle in elektronischen oder gedruckten Verzeichnissen verwendet werden sollen, aus Telekommunikationsverzeichnissen i.S.d. § 104 TKG entnommen wurden. Stammen die personenbezogenen Daten aus anderen Quellen, so ist Abs. 3 nicht anwendbar2. Zu beachten ist, dass Abs. 3 lediglich regelt, unter welchen (Negativ-)Voraussetzungen die Aufnahme von Daten in Verzeichnisse zulässig ist. Die Zulässigkeit der anschließenden Verwendung dieser Verzeichnisse und der darin enthaltenen Daten richtet sich nach den Grundregeln des Abs. 1.

98 Aus der Formulierung des Abs. 3 Satz 1 ergibt sich, dass eine Aufnahme von

personenbezogenen Daten in elektronische oder gedruckte Verzeichnisse grundsätzlich zulässig ist. Einer Einwilligung des Betroffenen bedarf es nicht. Lediglich dann, wenn der entgegenstehende Wille des Betroffenen aus dem zu1 Taeger/Gabel/Taeger, § 29 BDSG Rz. 64; Simitis/Ehmann, § 29 BDSG Rz. 240; Bergmann/Möhrle/Herb, § 29 BDSG Rz. 110; Däubler/Klebe/Wedde/Weichert/Weichert, § 29 BDSG Rz. 54. 2 Taeger/Gabel/Taeger, § 29 BDSG Rz. Rz. 64; Simitis/Ehmann, § 29 BDSG Rz. 243.

696

|

Plath

Geschäftsmäßige Datenerhebung zum Zweck der Übermittlung | § 29 BDSG

grunde liegenden Verzeichnis i.S.d. § 104 TKG ersichtlich wird, ist die Verwendung der personenbezogenen im entsprechenden Umfang unzulässig. Der entgegenstehende Wille kann sich z.B. auf bestimmte Daten, auf die Aufnahme in bestimmte Verzeichnisse oder auf das Verbot einer Datenverknüpfung beschränken1. Die eingeschränkte Verwendung von Daten, z.B. die Abkürzung des Vornamens, muss auch als eine solche Kennzeichnung aufgefasst und entsprechend respektiert werden2. Schließlich müssen Kennzeichnungen, die in den Ursprungsverzeichnissen be- 99 züglich des Verwendungswillens des Betroffenen vorgenommen wurden (z.B. Ablehnung einer Verwendung zu Werbezwecken), in den Nachfolgeverzeichnissen i.S.v. Abs. 3 übernommen werden (Abs. 3 Satz 2).

VI. Sonderregelung für die Verarbeitung und Nutzung übermittelter Daten (Abs. 4) Gemäß Abs. 4 sind auf die Verarbeitung und Nutzung übermittelter Daten die 100 Regelungen des § 28 Abs. 4 (Widerspruchsrecht) und § 28 Abs. 5 (Zweckbindung bei Drittübermittlung) anzuwenden. Dem Betroffenen gewährt der Gesetzgeber ein Widerspruchsrecht gegen die 101 Verarbeitung oder Nutzung seiner Daten zu Zwecken der Werbung oder der Markt- und Meinungsforschung (Abs. 4 i.V.m. § 28 Abs. 4). Der Widerspruch kann auch an Dritte gerichtet werden, die Daten nach Maßgabe des § 28 Abs. 3 im Wege der Übermittlung erhalten haben (vgl. Komm. zu § 28 BDSG Rz. 184). Darüber hinaus ist die verantwortliche Stelle dazu verpflichtet, den Betroffenen 102 bereits bei der Ansprache zum Zweck der Werbung über ihre Identität sowie über das Bestehen des Widerspruchsrechts zu benachrichtigen. Zudem muss sie sicherstellen, dass der Betroffene Kenntnis über die Herkunft der verwendeten Daten erlangen kann (Abs. 4 i.V.m. § 28 Abs. 4 Satz 2, vgl. Komm. zu § 28 BDSG Rz. 186). Richtet sich der Widerspruch gegen einen Dritten (vgl. § 28 Abs. 4 Satz 3), so hat dieser die Daten unverzüglich für Zwecke der Werbung bzw. der Markt- und Meinungsforschung zu sperren (s.a. Komm. zu § 28 BDSG Rz. 200). Auf eine solche Sperrung ist auch der Empfänger gesperrter Daten hinzuweisen3. Schließlich dürfen übermittelte Daten nur zu den Zwecken verarbeitet oder ge- 103 nutzt werden, zu den sie übermittelt wurden (Abs. 4 i.V.m. § 28 Abs. 5 Satz 1). Diese grundsätzliche Bindung an den Übermittlungszweck wird jedoch durch § 28 Abs. 5 Satz 2 gelockert, der wiederum auf die Ausnahmeregelungen des 1 So auch Taeger/Gabel/Taeger, § 29 BDSG Rz. 65. 2 Bergmann/Möhrle/Herb, § 29 BDSG Rz. 112. 3 Taeger/Gabel/Taeger, § 29 BDSG Rz. 66.

Plath

|

697

§ 29 BDSG | Datenverarbeitung nicht-öffentlicher Stellen § 28 Abs. 2 und 3 bzw. auf § 14 (für öffentliche Stellen) verweist. Gemäß § 28 Abs. 5 Satz 3 muss die verantwortliche Stelle den Datenempfänger sowohl auf die Zweckbindung als auch auf die Ausnahmemöglichkeiten des § 28 Abs. 5 Satz 2 hinweisen. Zu beachten ist, dass § 28 Abs. 5 teilweise durch die Regelung über die absolute Zweckbindung bei der Übermittlung zu Werbezwecken verdrängt wird (§ 28 Abs. 3 Satz 7). Diese Verdrängung muss auch im Rahmen von § 29 berücksichtigt werden, da in Abs. 1 Satz 2 und in Abs. 2 Satz 2 auf § 28 Abs. 3 verwiesen wird.

VII. Geschäftsmäßige Verwendung sensibler Daten (Abs. 5) 104 Abs. 5 verweist auf die Regelungen des § 28 Abs. 6–9, die für den Umgang mit

sog. sensiblen Daten, also „besonderen Arten personenbezogener Daten“ (vgl. § 3 Abs. 9), Sonderregelungen vorsehen.

105 Damit ist die geschäftsmäßige Verwendung sensibler Daten erlaubt, wenn eine

Einwilligung vorliegt oder einer der vier Erlaubnistatbestände des § 28 Abs. 6 erfüllt ist (Abs. 5 i.V.m. § 28 Abs. 6). So ist ein entsprechender Datenumgang ohne Einwilligung nur zulässig, wenn er (i) zum Schutz lebenswichtiger Interessen erfolgt (Abs. 5 i.V.m. § 28 Abs. 6 Nr. 1), (ii) offenkundig öffentliche Daten verwendet werden (Abs. 5 i.V.m. § 28 Abs. 6 Nr. 2), (iii) dies zur Geltendmachung rechtlicher Ansprüche (Abs. 5 i.V.m. § 28 Abs. 6 Nr. 3) oder (iv) zu Zwecken der wissenschaftlichen Forschung (Abs. 5 i.V.m. § 28 Abs. 6 Nr. 4) erforderlich ist (zur ausführlichen Darstellung der Erlaubnistatbestände s. Komm. zu § 28 BDSG Rz. 207 ff.).

106 Über die Grundregelung des Abs. 5 i.V.m. § 28 Abs. 6 hinaus ist unter den Vo-

raussetzungen des Abs. 5 i.V.m. § 28 Abs. 7 die geschäftsmäßige Erhebung sensibler Daten zu Zwecken des Gesundheitswesens zulässig. Voraussetzung ist jedoch, dass die Daten nur von Personen verarbeitet werden, die der medizinischen Schweigepflicht unterworfen wurden (vgl. Komm. zu § 28 BDSG Rz. 214 ff.).

107 Die Verwendung sensibler Daten unterliegt einer Zweckbindung. Diese wird je-

doch durch Abs. 5 i.V.m. § 28 Abs. 8 durchbrochen. Nach der hier vertretenen Ansicht kann die Regelung nur dahingehend verstanden werden, dass eine Zweckerweiterung nach § 28 Abs. 8 Satz 1 nur dann zulässig sein soll, wenn neben dem ursprünglichen Zweck ein weiterer Zweck vorliegt, der eine Datenverwendung unter den Voraussetzungen des § 28 Abs. 6 oder 7 legitimiert (s.a. Komm. zu § 28 BDSG Rz. 217).

108 Darüber hinaus erlaubt § 28 Abs. 8 Satz 2 eine Datenverwendung zu einem an-

deren als dem ursprünglichen Zweck, wenn die Verwendung zur Abwehr erheblicher Gefahren oder zur Verfolgung von Straftaten von erheblicher Bedeutung erforderlich ist (vgl. Komm. zu § 28 BDSG Rz. 218). 698

|

Plath

Geschäftsmäßige Datenerhebung zum Zweck der Übermittlung | § 29 BDSG

Schließlich privilegiert Abs. 5 i.V.m. § 28 Abs. 9 die geschäftsmäßige Erhebung, 109 Verarbeitung und Nutzung von sensiblen Daten durch politisch, philosophisch, religiös oder gewerkschaftlich ausgerichtete Organisationen, sofern sie keinen Erwerbszweck verfolgen. Die Anwendbarkeit dieser Norm steht nicht im Widerspruch zum Anwendungsbereich des § 29, der den geschäftsmäßigen Datenumgang regelt, denn das Merkmal der Geschäftsmäßigkeit setzt gerade nicht voraus, dass die Tätigkeit der verantwortlichen Stelle gewerbsmäßig oder entgeltlich erfolgt (s. ausführlich Komm. zu § 29 BDSG Rz. 7). Zu beachten ist, dass die Regelungen des § 28 Abs. 6–9 vielfach eine Erforder- 110 lichkeits- oder Verhältnismäßigkeitsabwägung erfordern.

VIII. Sonderregelungen für Verbraucherkredite (Abs. 6 und 7) In Umsetzung des Art. 9 EU-Verbraucherkreditrichtlinie1 sehen Abs. 6 und 7 111 bestimmte Regelungen vor, die die Verwendung von Daten aus Datenbanken zur Bewertung der Kreditwürdigkeit betreffen. Zu beachten ist, dass sich der Schutzbereich dieser beiden Normen in Abweichung zu den sonstigen Regelungen des § 29 nur auf betroffene Verbraucher i.S.d. § 13 BGB erstreckt und ausschließlich auf Vorgänge im Zusammenhang mit der Kreditvergabe beschränkt ist. 1. Gleichbehandlung bzgl. des Zugangs zu Kreditauskunftssystemen (Abs. 6) Abs. 6 regelt die Gleichbehandlung europäischer Kreditgeber bezüglich des Zu- 112 gangs zu Kreditauskunfteien im Falle grenzüberschreitender Kreditvergaben. Adressaten der Norm sind damit alle Kreditinformationssysteme wie Auskunfteien oder Warndienste, soweit sie allgemein zugänglich sind. Abs. 6 gilt demnach nicht für geschlossene, z.B. konzerninterne Warndienste2. Durch die Regelung des Abs. 6 soll gewährleistet werden, dass Kreditgeber aus 113 EU- und EWR-Staaten denselben Zugang zu Informationen über die Kreditwürdigkeit von Verbrauchern haben wie inländische Kreditgeber, um Wettbewerbsverzerrungen zu verhindern3. Die Verpflichtung der Kreditauskunfteien zur Gleichbehandlung bezieht sich auf alle Anfrage- und Auskunftsvoraussetzungen wie Formalitäten oder Kosten. Abs. 6 hat keine Auswirkung auf die Auskunftsansprüche der Betroffenen, die in 114 Abs. 7 geregelt werden. 1 Richtlinie 2008/48/EG des europäischen Parlaments und des Rates v. 23.4.2008 über Verbraucherkreditverträge und zur Aufhebung der Richtlinie 87/102/EWG des Rates. 2 Ebenso Gola/Schomerus, § 29 BDSG Rz. 46. 3 Vgl. Erwägungsgrund 28 der EU-Verbraucherkreditrichtlinie 2008/48/EG.

Plath

|

699

§ 29 BDSG | Datenverarbeitung nicht-öffentlicher Stellen 2. Information des betroffenen Verbrauchers (Abs. 7) 115 Lehnt ein Kreditgeber eine Kreditvergabe an einen Verbraucher infolge einer

negativen Auskunft durch ein Kreditinformationssystem ab, so muss er den betroffenen Verbraucher sowohl über die Anfrage als auch über die erhaltene Auskunft informieren. Die Regelung soll der Transparenz bei der Kreditvergabe dienen und betrifft sowohl Verbraucherdarlehens- (§ 491 BGB) als auch Finanzierungshilfeverträge (§ 506 BGB). Die Auskunft muss unverzüglich, kostenlos und mit einer Begründung versehen erfolgen1. Teilweise wird vertreten, dass der Verbraucher seinen Auskunftsanspruch auch direkt gegen die Auskunftei geltend machen kann2. Gegen diese Ansicht spricht jedoch der eindeutige Wortlaut des Abs. 7 Satz 13. Allerdings bleiben andere Auskunftsansprüche gegen das Kreditinformationssystem, z.B. aus § 34, unberührt.

116 Die Information muss unterbleiben, wenn durch die Auskunft eine Gefahr für

die öffentliche Sicherheit und Ordnung entstehen würde (Abs. 7 Satz 2). Dies ist laut Erwägungsgrund 29 der EU-Verbraucherkreditrichtlinie insbesondere dann der Fall, wenn durch die Erteilung der Auskunft gegen europäische Rechtsvorschriften (z.B. über Terrorismusfinanzierung oder Geldwäsche) verstoßen wird oder die Verhütung, Ermittlung, Feststellung oder Verfolgung von Straftaten behindert wird. Entgegenstehende Betriebs- oder Geschäftsgeheimnisse reichen indes nicht zur Ablehnung eines Auskunftsanspruchs aus4.

117 Der Verweis in Abs. 7 Satz 3 auf § 6a verdeutlicht, dass der Auskunftsanspruch

nach Abs. 7 neben den Auskunftsansprüchen gemäß § 6a besteht.

IX. Rechtsfolgen bei Verstoß 118 Eine Datenverwendung im Anwendungsbereich des § 29, die nicht durch einen

der dort normierten Erlaubnistatbestände und auch sonst durch keine Einwilligung oder bereichsspezifische Regelung gedeckt ist, ist unzulässig. Bei Zuwiderhandlungen kann die verantwortliche Stelle auf Unterlassung und Beseitigung gemäß § 823 Abs. 1 i.V.m § 1004 BGB in Anspruch genommen werden. Möglich ist auch die Geltendmachung von Schadensersatzansprüchen aus § 7 BDSG, § 823 Abs. 1 BGB sowie § 823 Abs. 2 BGB i.V.m. § 29 als Schutzgesetz. Der Betroffene kann zudem bei schwerwiegenden Verletzungen seines Rechts auf informationelle Selbstbestimmung Anspruch auf Zahlung von Schmerzensgeld haben.

119 Unzulässiger oder unrichtiger Weise gespeicherte Daten müssen unter den Vo-

raussetzungen des § 35 berichtigt, gelöscht oder gesperrt werden.

1 Vgl. BT-Drucks. 16/11643, S. 140. 2 So z.B. Bergmann/Möhrle/Herb, § 29 BDSG Rz. 126; Däubler/Klebe/Wedde/Weichert/ Weichert, § 29 BDSG Rz. 61. 3 Ebenso Taeger/Gabel/Taeger, § 29 BDSG Rz. 73. 4 So auch Bergmann/Möhrle/Herb, § 29 BDSG Rz. 127.

700

|

Plath

Übermittlung in anonymisierter Form | § 30 BDSG

Darüber hinaus ist ein Verstoß gegen § 29 unter den Voraussetzungen des § 43, 120 insbesondere § 43 Abs. 1 Nr. 5–7b sowie § 43 Abs. 2 Nr. 5 als Ordnungswidrigkeit bußgeldbewährt. Bei vorsätzlichen Verstößen, die gegen Entgelt oder in Bereicherungs- oder Schädigungsabsicht erfolgen, droht zudem eine Strafbarkeit gemäß § 44. Schließlich berechtigt ein Verstoß gegen § 29 auch zu einem Einschreiten der 121 Aufsichtsbehörde gemäß § 38.

§ 30 Geschäftsmäßige Datenerhebung und -speicherung zum Zweck der Übermittlung in anonymisierter Form (1) 1Werden personenbezogene Daten geschäftsmäßig erhoben und gespeichert, um sie in anonymisierter Form zu übermitteln, sind die Merkmale gesondert zu speichern, mit denen Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können. 2Diese Merkmale dürfen mit den Einzelangaben nur zusammengeführt werden, soweit dies für die Erfüllung des Zwecks der Speicherung oder zu wissenschaftlichen Zwecken erforderlich ist. (2) Die Veränderung personenbezogener Daten ist zulässig, wenn 1. kein Grund zu der Annahme besteht, dass der Betroffene ein schutzwürdiges Interesse an dem Ausschluss der Veränderung hat, oder 2. die Daten aus allgemein zugänglichen Quellen entnommen werden können oder die verantwortliche Stelle sie veröffentlichen dürfte, soweit nicht das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Veränderung offensichtlich überwiegt. (3) Die personenbezogenen Daten sind zu löschen, wenn ihre Speicherung unzulässig ist. (4) § 29 gilt nicht. (5) § 28 Abs. 6 bis 9 gilt entsprechend. I. II. III. 1. 2.

Einführung . . . . . . . . . . . . . Anwendungsbereich . . . . . . Die Norm im Einzelnen . . . . Datentrennung (Abs. 1 Satz 1) Datenzusammenführung (Abs. 1 Satz 2) . . . . . . . . . . . 3. Zulässigkeit der Veränderung (Abs. 2) . . . . . . . . . . . . . . . .

. . . .

. 1 . 6 . 11 . 12

. . 16

4. Löschung (Abs. 3) . . . . . . . . . . 5. Nichtanwendung von § 29 (Abs. 4) . . . . . . . . . . . . . . . . . . 6. Sensible Daten (Abs. 5) . . . . . . . IV. Verhältnis zu anderen Normen V. Rechtsfolgen/Sanktionen . . . . .

21 22 23 24 28

. . 19

Schrifttum: Siehe §§ 6a, 28a, 34 BDSG.

Plath/Kamlah

|

701

Übermittlung in anonymisierter Form | § 30 BDSG

Darüber hinaus ist ein Verstoß gegen § 29 unter den Voraussetzungen des § 43, 120 insbesondere § 43 Abs. 1 Nr. 5–7b sowie § 43 Abs. 2 Nr. 5 als Ordnungswidrigkeit bußgeldbewährt. Bei vorsätzlichen Verstößen, die gegen Entgelt oder in Bereicherungs- oder Schädigungsabsicht erfolgen, droht zudem eine Strafbarkeit gemäß § 44. Schließlich berechtigt ein Verstoß gegen § 29 auch zu einem Einschreiten der 121 Aufsichtsbehörde gemäß § 38.

§ 30 Geschäftsmäßige Datenerhebung und -speicherung zum Zweck der Übermittlung in anonymisierter Form (1) 1Werden personenbezogene Daten geschäftsmäßig erhoben und gespeichert, um sie in anonymisierter Form zu übermitteln, sind die Merkmale gesondert zu speichern, mit denen Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können. 2Diese Merkmale dürfen mit den Einzelangaben nur zusammengeführt werden, soweit dies für die Erfüllung des Zwecks der Speicherung oder zu wissenschaftlichen Zwecken erforderlich ist. (2) Die Veränderung personenbezogener Daten ist zulässig, wenn 1. kein Grund zu der Annahme besteht, dass der Betroffene ein schutzwürdiges Interesse an dem Ausschluss der Veränderung hat, oder 2. die Daten aus allgemein zugänglichen Quellen entnommen werden können oder die verantwortliche Stelle sie veröffentlichen dürfte, soweit nicht das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Veränderung offensichtlich überwiegt. (3) Die personenbezogenen Daten sind zu löschen, wenn ihre Speicherung unzulässig ist. (4) § 29 gilt nicht. (5) § 28 Abs. 6 bis 9 gilt entsprechend. I. II. III. 1. 2.

Einführung . . . . . . . . . . . . . Anwendungsbereich . . . . . . Die Norm im Einzelnen . . . . Datentrennung (Abs. 1 Satz 1) Datenzusammenführung (Abs. 1 Satz 2) . . . . . . . . . . . 3. Zulässigkeit der Veränderung (Abs. 2) . . . . . . . . . . . . . . . .

. . . .

. 1 . 6 . 11 . 12

. . 16

4. Löschung (Abs. 3) . . . . . . . . . . 5. Nichtanwendung von § 29 (Abs. 4) . . . . . . . . . . . . . . . . . . 6. Sensible Daten (Abs. 5) . . . . . . . IV. Verhältnis zu anderen Normen V. Rechtsfolgen/Sanktionen . . . . .

21 22 23 24 28

. . 19

Schrifttum: Siehe §§ 6a, 28a, 34 BDSG.

Plath/Kamlah

|

701

§ 30 BDSG | Datenverarbeitung nicht-öffentlicher Stellen I. Einführung 1 Während § 28 die Datenverarbeitung zu eigenen Geschäftszwecken und § 29 die

Datenverarbeitung zum Zwecke der Übermittlung (sog. fremdnützige Datenverarbeitung1) regelt, geht es bei § 30 um die geschäftsmäßige Datenerhebung und -speicherung zum Zwecke der Übermittlung in anonymisierter Form. Sodann folgte ursprünglich mit § 31 eine Vorschrift über die besondere Zweckbindung. Damit stellte ursprünglich die Vorschrift des § 30 eine besondere Variante des § 29 dar, denn bei § 30 erfolgt entsprechend dem im Datenschutzrecht geltenden Phasenmodell2 nur die Datenerhebung und -speicherung in geschäftsmäßiger Form, während die sich dann anschließende Übermittlung anonymisiert vollzog.

2 Diese Gesamtsystematik ist aber durch die sog. BDSG-Novelle II vom 14.8.2009

etwas durchbrochen worden3. Mit ihr wurde nicht nur das sog. Listenprivileg überarbeitet (Einzelheiten, s. § 28 und dort insbesondere Abs. 3), sondern auch mit dem § 30a eine Sondervorschrift für die Datenverarbeitung zum Zwecke der Markt- und Meinungsforschung eingeführt (zur Abgrenzung s. auch § 30a). Seitdem wird die Frage gestellt, welchen Regelungsbereich § 30 überhaupt noch hat (s. dazu sogleich Rz. 6)4.

3 Gleichwohl stellt sich die Frage, warum es einer Regelung im BDSG bedarf, die

eine anonymisierte Form der Datenverarbeitung – insbesondere die der Übermittlung – regelt. Anonymisierte Datenverarbeitungsvorgänge sind schon vom Ansatz her nicht BDSG-relevant. Grund für die Aufnahme des § 30 kann nur die in bestimmten Fällen zulässige „Reanonymisierung“5 nach Abs. 1 Satz 2 sein, der Raum für ein Regelungsbedürfnis schafft6.

4 Die Vorschrift trennt demnach zwischen dem Personenbezug, der ggf. noch

beim Normadressaten (wieder) hergestellt werden kann, und dem (fehlenden) Personenbezug beim Empfänger der Datei. Für letzteren hat es keine rechtliche Relevanz, dass ggf. der Personenbezug bei der übermittelten Stelle (wieder) hergestellt werden kann. § 30 stützt damit bei der Frage, wann von einem Personenbezug ausgegangen werden kann, die sog. relative Theorie, die ausschließlich auf die Kompetenz der verantwortlichen Stelle abstellt (Einzelheiten s. § 3 Abs. 1).

5 Teilweise werden als praktischer Anwendungsfall für den § 30 beispielhaft Sco-

ringverfahren genannt, da in diesen Fällen u.U. eine ausschließlich anonymisierte Übermittlung aggregierter Daten erfolge7. Das lässt die Diskussion wieder

1 2 3 4 5 6 7

So bspw. der Titel der Dissertation von Ganßauge. Simitis/Dammann, § 3 BDSG Rz. 100 ff. und 111 ff. BGBl. I, S. 2814. Von Funktionslosigkeit spricht Simitis/Ehmann, § 30 BDSG Rz. 1. Kritisch zum Begriff der Deanonymisierung Simitis/Ehmann, § 30 BDSG Rz. 55 ff. Von „Restrisiko“ spricht Taeger/Gabel/Taeger, § 30 BDSG Rz. 4. Däubler/Klebe/Wedde/Weichert/Weichert, § 30 BDSG Rz. 1.

702

|

Kamlah

Übermittlung in anonymisierter Form | § 30 BDSG

aufkommen, ob es sich bei übermittelten Scorewerten, die einer Person zugeordnet werden, um personenbezogene Daten handelt1. Diese Frage hat aber durch die Einführung des in seinem Anwendungsbereich vorrangigen § 28b an Bedeutung verloren, durch den die Bildung und Übermittlung von Wahrscheinlichkeitswerten an bestimmte Voraussetzungen geknüpft wird. Dagegen behält § 30 bspw. für sog. Portfolioanalysen, bei denen Auswertungen auf Basis anonymisierter Daten erfolgen (können) und dann das aggregierte Analyseergebnis (in Form einer Studie) dem Empfänger zur Verfügung gestellt wird, weiterhin praktische Relevanz. Solche Portofolioanalysen können unterschiedlichste Fragestellungen beinhalten. So kann Gegenstand einer solchen Analyse die Bewertung eines Forderungsbestandes sein. Im Fokus steht dann nicht die Betrachtung von Einzelrisiken, sondern die eines ganzen Portfolios, welche dann ggf. im Rahmen von Forderungstransaktionen preisrelevant sein können. Daneben können bei entsprechender Ausgestaltung auch notwendige Datentestverfahren über § 30 legitimiert werden.

II. Anwendungsbereich Als im dritten Abschnitt des BDSG stehende Norm bestimmt sich der Anwen- 6 dungsbereich des § 30 zunächst nach § 27 (s. dort). Bemerkenswert ist an dieser Stelle, dass eine vergleichbare Vorschrift im zweiten Abschnitt des BDSG fehlt. Hier wird man auf die Vorschriften zum Statistikrecht zurückzugreifen haben. Der Anwendungsbereich ist aber im Verhältnis zu den §§ 28, 29, 30a denkbar 7 eng geworden (Einzelheiten s. Rz. 24 ff.). Bei der initialen Erhebung und Speicherung muss es sich zunächst um per- 8 sonenbezogene Daten handeln. Fehlt es bereits daran, handelt es sich schon nicht um einen datenschutzrelevanten Vorgang (Einzelheiten s. § 3 Abs. 1)2. Die Erhebung und Speicherung personenbezogener Daten muss ferner ge- 9 schäftsmäßig erfolgt sein. Das BDSG definiert diesen Begriff nicht näher. Entsprechend der Systematik knüpft diese Norm aber an § 29 an, so dass auf die dortige Kommentierung verwiesen werden kann3. Aus dem Eingangssatz des Abs. 1 ergibt sich ferner, dass § 30 keine Ermächti- 10 gungsgrundlage für die initiale Erhebung enthält4. Vielmehr regelt § 30 nur die Anforderungen an die weitere Datenverarbeitung. Die Zulässigkeit der initialen Erhebung richtet sich vielmehr nach den allgemeinen Regeln, also nach 1 Zuletzt zusammenfassend Helfrich, S. 49 ff. 2 Simitis/Ehmann, § 30 BDSG Rz. 27. 3 Taeger/Gabel/Taeger, § 30 BDSG Rz. 10 verweist u.a. auch noch auf die Rechtsprechung zu § 46 Abs. 4 Satz 1 AO sowie die Formulierung des § 3 Nr. 10 TKG. 4 Gola/Schomerus, § 30 BDSG Rz. 3.

Kamlah

|

703

§ 30 BDSG | Datenverarbeitung nicht-öffentlicher Stellen den Zulässigkeitsvarianten des § 4 BDSG1. Der Rückgriff auf § 29 ist für diese Phase nicht ausgeschlossen. Abs. 4 stellt nur für die weitere Verarbeitung klar, dass diese nicht auf § 29 gestützt werden kann. Eine Einwilligung ist für die Erhebungsphase zwar möglich, aber nicht zwingend2.

III. Die Norm im Einzelnen 11 Entsprechend dem eben Gesagten regelt die Norm in erster Linie die (weitere)

Datenverarbeitung nach der (zulässigen) Datenerhebung. 1. Datentrennung (Abs. 1 Satz 1)

12 Ausweislich des Wortlautes dürfen die Daten nach der (zulässigen) Erhebung

nicht in der erhobenen Form gespeichert werden, sondern sind vor der Speicherung3 so zu verändern (s. § 3 Abs. 4 Nr. 2), dass die Merkmale, mit denen Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können, gesondert gespeichert werden. Erfolgt die Trennung zu diesem Zeitpunkt nicht, handelt es sich nicht um einen Vorgang nach § 30, sondern nach § 294.

13 Die sog. Filetrennung erfolgt dergestalt, dass in der Datei, die weiterverarbeitet

und analysiert werden soll, die entsprechenden Datensätze nur noch mit einer Kennung versehen sind. Dagegen enthält der „Personenstammsatz“ nur die Stammdaten mit der Kennung, um so eine Zuordnung wieder herstellen zu können.

14 Dementsprechend sind die Daten nicht (voll) anonymisiert i.S.v. § 3 Abs. 6, son-

dern nur pseudonymisiert (§ 3 Abs. 6a), da sich der Personenbezug durch die verantwortliche Stelle schließlich wiederherstellen lassen soll5. (Voll) anonymisiert ist dann erst die sich daran anschließende Übermittlung6.

15 Die Pseudonymisierung ist wirksam auszugestalten, damit die Abgrenzung zum

§ 29 nicht leer läuft. Dementsprechend ist die Pseudonymisierung durch technisch-organisatorische Maßnahmen nach dem jeweils aktuellen Stand der Technik zu unterlegen7.

1 Däubler/Klebe/Wedde/Weichert/Weichert, § 30 BDSG Rz. 4. 2 Däubler/Klebe/Wedde/Weichert/Weichert, § 30 BDSG Rz. 4; Simitis/Ehmann, § 30 BDSG Rz. 37 ff. (43); undeutlich hier dagegen Taeger/Gabel/Taeger, § 30 BDSG Rz. 22 unter Bezug auf Däubler/Klebe/Wedde/Weichert/Weichert, § 30 BDSG Rz. 10. 3 Simitis/Ehmann, § 30 BDSG Rz. 54; Däubler/Klebe/Wedde/Weichert/Weichert, § 30 BDSG Rz. 7. 4 Vgl. Gola/Schomerus, § 30 BDSG Rz. 5. 5 Taeger/Gabel/Taeger, § 30 BDSG Rz. 16; Gola/Schomerus, § 30 BDSG Rz. 7. 6 Gola/Schomerus, § 30 BDSG Rz. 6. 7 Taeger/Gabel/Taeger, § 30 BDSG Rz. 17.

704

|

Kamlah

Übermittlung in anonymisierter Form | § 30 BDSG

2. Datenzusammenführung (Abs. 1 Satz 2) Nach Abs. 1 Satz 2 darf eine Zusammenführung der nach Satz 1 getrennten Da- 16 teien erfolgen, soweit dies für die Erfüllung des Zwecks der Speicherung oder zu wissenschaftlichen Zwecken erforderlich ist. Die Erforderlichkeit muss dabei bei der verantwortlichen Stelle, nicht etwa beim Empfänger gegeben sein. Es stellt sich aber die Frage, wann eigentlich diese Erforderlichkeit gegeben sein kann1. Diese Frage stellt sich nach Einführung von § 30a umso mehr, weil das immer wieder erwähnte Beispiel der „Langzeitstudien“2 vermutlich im Rahmen der Markt- und Meinungsforschungen größere praktische Relevanz entfaltet und somit dem vorrangigen § 30a unterfällt. Aus dem Wort „soweit“ wird allgemein eine zeitliche Begrenzung für die „Ent- 17 pseudonymisierung“ abgeleitet. Danach ist die Datentrennung sofort wieder herzustellen3. Fraglich ist, ob eine Datenzusammenführung nach Satz 2 auch auf Basis einer 18 Einwilligung erfolgen darf, da sich nach dem Wortlaut die Möglichkeit der Zusammenführung „nur“ bei entsprechender Erforderlichkeit ergibt. Das ist jedoch zu bejahen. Grund hierfür ist, dass der Rückgriff auf alle Zulässigkeitsvarianten des § 4 nicht abgeschnitten werden kann4. Erfolgt die Datenzusammenführung im Zusammenhang mit einer Zweckänderung oder -erweiterung gegenüber der ursprünglich im Zusammenhang mit der Datenerhebung erteilten Einwilligung, so werden an die ursprünglich erteilte Einwilligung strenge Anforderungen angelegt5. 3. Zulässigkeit der Veränderung (Abs. 2) Abs. 2 normiert Voraussetzungen für die zulässige Veränderung personenbezo- 19 gener Daten. Damit greift Abs. 2 (nur), wenn sich die Daten nicht (mehr) in einem pseudonymisierten Zustand befinden6. Nach § 3 Abs. 4 Nr. 2 ist das „Verändern“ das inhaltliche Umgestalten personenbezogener Daten. Die Veränderung kann in einer inhaltlichen Aufbereitung, Verknüpfung oder Kontextveränderung, aber auch in einer Berichtigung von Daten bestehen7. Folglich besteht der Sinn der Vorschrift darin, es der verantwortlichen Stelle zu ermöglichen, die (wissenschaftliche) Analyse oder Auswertung adäquat vorbereiten zu können. 1 Gola/Schomerus, § 30 BDSG Rz. 9; Taeger/Gabel/Taeger, § 30 BDSG Rz. 19. 2 Bergmann/Möhrle/Herb, § 30 BDSG, Rz. 22; Simitis/Ehmann, § 30 BDSG, Rz. 62; Taeger/ Gabel/Taeger, § 30 BDSG Rz. 18; Gola/Schomerus, § 30 BDSG Rz. 8. 3 Simitis/Ehmann, § 30 BDSG Rz. 61; Taeger/Gabel/Taeger, § 30 BDSG Rz. 18. 4 Simitis/Ehmann, § 30 BDSG Rz. 59; Taeger/Gabel/Taeger, § 30 BDSG Rz. 18. 5 Gola/Schomerus, § 30 BDSG Rz. 8. 6 Bergmann/Möhrle/Herb, § 30 BDSG Rz. 28. 7 Däubler/Klebe/Wedde/Weichert/Weichert, § 3 BDSG Rz. 35.

Kamlah

|

705

§ 30 BDSG | Datenverarbeitung nicht-öffentlicher Stellen 20 Allerdings darf die Veränderung nur unter bestimmten Voraussetzungen erfol-

gen, wobei die Zulässigkeit auch davon abhängt, welche Form der Veränderung tatsächlich vorgenommen wird. So wird bspw. eine Aktualisierung von Daten schon auch im Interesse des Betroffenen stehen. Im Übrigen darf der Betroffene kein schutzwürdiges Interesse am Ausschluss der Veränderung haben (s. auch § 29 Abs. 1 Nr. 1). Bei der Bestimmung der Interessen ist die Kenntnis des Betroffenen über die Inhalte der Studie mit zu berücksichtigen1. Nach der 2. Variante ist die Veränderung zulässig bei aus öffentlichen Verzeichnissen entnommenen Daten und fehlendem offensichtlichen Überwiegen entgegen stehender Interessen des Betroffenen (s.a. § 28 Abs. 1 Satz 1 Nr. 3 und § 29 Abs. 1 Satz 1 Nr. 2). 4. Löschung (Abs. 3)

21 Abs. 3 wiederholt § 35 Abs. 2 Satz 2 Nr. 1 und hat keinen eigenen Regelungs-

gehalt2.

5. Nichtanwendung von § 29 (Abs. 4) 22 Abs. 4 hat (ebenfalls) nur eine klarstellende Funktion. Da die Datenübermitt-

lung in anonymisierter Form erfolgt, kann sie nicht auf § 29 gestützt werden. Die Zulässigkeit einer Datenerhebung kann sich aber gleichwohl aus § 29 ergeben, da hierzu der Eingangssatz des Abs. 1 keine Aussage trifft (s. schon oben). Dementsprechend kann ein Unternehmen, welches die Daten nach § 29 Abs. 1 zulässigerweise erhoben hat, hinsichtlich der weiteren Datenverarbeitung sowohl nach § 29 Abs. 2, als auch nach § 30 vorgehen (zu praktischen Anwendungsfällen s.o.). Ausgeschlossen ist lediglich der umgekehrte Fall, dass nach § 30 gespeicherte Daten nicht (auch) nach § 29 übermittelt werden dürfen3. 6. Sensible Daten (Abs. 5)

23 Wie § 29 enthält § 30 – und diesem folgend auch § 30a – einen Abs. 5, der die

Schutzbedürftigkeit von sensiblen Daten bei deren Verarbeitung hervorhebt. Ob der pauschale Verweis auf eine Vorschrift des § 28, der die Datenverarbeitung für eigene Zwecke regelt, sachgerecht ist4, kann im Grunde dahinstehen. Jedenfalls ist über die nur entsprechende Anwendung der Abs. 6–9 des § 28 bei der Auslegung der Schutzbedürftigkeit sensibler Daten Rechnung zu tragen. Zu

1 2 3 4

Bergmann/Möhrle/Herb, § 30 BDSG Rz. 31; Simitis/Ehmann, § 30 BDSG Rz. 72. H.M., statt aller Däubler/Klebe/Wedde/Weichert/Weichert, § 30 BDSG Rz. 9. Simitis/Ehmann, § 30 BDSG Rz. 82 f. Bejahend Taeger/Gabel/Taeger, § 30 BDSG Rz. 23 unter Bezug auf Däubler/Klebe/Wedde/ Weichert/Weichert, § 30 BDSG Rz. 11, die in der initialen Erhebung entgegen der systematischen Verortung des § 30 eine Datenverarbeitung für eigene Zwecke erblicken; kritisch Simitis/Ehmann, § 30 BDSG Rz. 84 ff.; Gola/Schomerus, § 30 BDSG Rz. 12.

706

|

Kamlah

Markt- oder Meinungsforschung | § 30a BDSG

beachten ist hier vor allem § 4a Abs. 3, wonach sich bei der Datenverarbeitung von sensiblen Daten, die auf eine Einwilligung gestützt wird, die Einwilligung ausdrücklich auf die sensiblen Daten zu beziehen hat.

IV. Verhältnis zu anderen Normen Erfolgt die Datenerhebung und -speicherung zwar personenbezogen, aber nicht 24 zum Zwecke der Übermittlung, sondern für eigene Zwecke, dann greift § 281. Bei einer geschäftsmäßigen Datenerhebung und -speicherung mit anschließen- 25 der Übermittlung nicht anonymisierter, sondern personenbezogener Daten greift § 292. Dient die geschäftsmäßige Datenverarbeitung und -speicherung dem Zweck der 26 Markt- und Meinungsforschung, geht § 30a dem § 30 vor3. Im Anwendungsbereich des TMG bzw. des TKG sind für die Marktforschung wiederum die Sondervorschriften des § 15 Abs. 3 TMG bzw. die des § 95 Abs. 2 TKG zu beachten. In Abgrenzung zu § 40 ist § 30 nur dann anwendbar, wenn die Datenerhebung 27 und -speicherung geschäftsmäßig erfolgt. In diesen Fällen geht § 30 auch dem § 40 vor4.

V. Rechtsfolgen/Sanktionen Gemäß § 43 Abs. 2 Nr. 6 ist ein Verstoß gegen § 30 Abs. 1 Satz 2 bußgeld- und 28 nach § 44 Abs. 1 strafbewehrt. Auf § 30 Abs. 1 Satz 1 wird in § 43 Abs. 2 Nr. 6 dagegen nicht verwiesen. Ein Verstoß gegen die initialen Erhebungs- bzw. Speichervoraussetzung kann 29 nach den für diese geltenden Bestimmungen geahndet werden (insbesondere § 43 Abs. 2 Nr. 1).

§ 30a Geschäftsmäßige Datenerhebung und -speicherung für Zwecke der Markt- oder Meinungsforschung (1) 1Das geschäftsmäßige Erheben, Verarbeiten oder Nutzen personenbezogener Daten für Zwecke der Markt- oder Meinungsforschung ist zulässig, wenn 1 2 3 4

Taeger/Gabel/Taeger, § 30 BDSG Rz. 5. Taeger/Gabel/Taeger, § 30 BDSG Rz. 6. Zu den Hintergründen Taeger/Gabel/Taeger, § 30 BDSG Rz. 7 f. Gola/Schomerus, § 30 BDSG Rz. 2.

Kamlah

|

707

§ 30a BDSG | Datenverarbeitung nicht-öffentlicher Stellen 1. kein Grund zu der Annahme besteht, dass der Betroffene ein schutzwürdiges Interesse an dem Ausschluss der Erhebung, Verarbeitung oder Nutzung hat, oder 2. die Daten aus allgemein zugänglichen Quellen entnommen werden können oder die verantwortliche Stelle sie veröffentlichen dürfte und das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Erhebung, Verarbeitung oder Nutzung gegenüber dem Interesse der verantwortlichen Stelle nicht offensichtlich überwiegt. 2Besondere Arten personenbezogener Daten (§ 3 Absatz 9) dürfen nur für ein bestimmtes Forschungsvorhaben erhoben, verarbeitet oder genutzt werden. (2) 1Für Zwecke der Markt- oder Meinungsforschung erhobene oder gespeicherte personenbezogene Daten dürfen nur für diese Zwecke verarbeitet oder genutzt werden. 2Daten, die nicht aus allgemein zugänglichen Quellen entnommen worden sind und die die verantwortliche Stelle auch nicht veröffentlichen darf, dürfen nur für das Forschungsvorhaben verarbeitet oder genutzt werden, für das sie erhoben worden sind. 3Für einen anderen Zweck dürfen sie nur verarbeitet oder genutzt werden, wenn sie zuvor so anonymisiert werden, dass ein Personenbezug nicht mehr hergestellt werden kann. (3) 1Die personenbezogenen Daten sind zu anonymisieren, sobald dies nach dem Zweck des Forschungsvorhabens, für das die Daten erhoben worden sind, möglich ist. 2Bis dahin sind die Merkmale gesondert zu speichern, mit denen Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren Person zugeordnet werden können. 3Diese Merkmale dürfen mit den Einzelangaben nur zusammengeführt werden, soweit dies nach dem Zweck des Forschungsvorhabens erforderlich ist. (4) § 29 gilt nicht. (5) § 28 Absatz 4 und 6 bis 9 gilt entsprechend. I. Einführung . . . . . . . . . . . . . . . 1 II. Anwendungsbereich . . . . . . . . 4 1. Geschäftsmäßiges Erheben, Verarbeiten und Nutzen für Zwecke der Markt- und Meinungsforschung (Abs. 1 Satz 1) . . . . . 10 a) Allgemeine Interessenabwägung (Abs. 1 Satz 1 Nr. 1) . . . 16 b) Aus allgemein zugänglichen Quellen entnommene Daten (Abs. 1 Satz 1 Nr. 2) . . . . . . . 17

2. Sensible Daten (Abs. 1 Satz 2) . . 3. Weitere Verarbeitung und Nutzung (Abs. 2) . . . . . . . . . . . 4. Primat der Anonymisierung (Abs. 3) . . . . . . . . . . . . . . . . . . 5. (Nicht) anwendbare Vorschriften (Abs. 4 und 5) . . . . . . . . . . . . . III. Verhältnis zu anderen Normen IV. Rechtsfolgen, Sanktionen . . . .

19 21 28 30 33 36

Schrifttum: Hornung/Hoffman, Die Zulässigkeit der Markt- und Meinungsforschung nach Datenschutz- und Wettbewerbsrecht Teil 1 und 2, WRP 2014, 776 und 910; Pflüger, Datenschutz in der Markt- und Meinungsforschung, RDV 2010, 101.

708

|

Kamlah

Markt- oder Meinungsforschung | § 30a BDSG

I. Einführung Die Bedeutung der Markt- und Meinungsforschung ist anerkannt1. Die Vor- 1 schrift des § 30a wurde im Zuge der sog. BDSG-Novelle II im Jahre 2009 neu geschaffen2. Zwar gab es die Markt- und Meinungsforschung3 schon vorher, doch war die Zulässigkeit der Markt- und Meinungsforschung bis dahin in den allgemeinen Vorschriften der §§ 28 und 29 geregelt. Im Zuge der völligen Neuregelung der Vorschriften zur Datenverarbeitung und Nutzung zum Zwecke der Werbung und des Adresshandels wurde die Zulässigkeit der Markt- und Meinungsforschung in eine eigene Vorschrift ausgegliedert – auch um damit eine bessere Abgrenzung zur Datenverarbeitung zum Zwecke der Werbung zu erreichen4 und die Markt- und Meinungsforschung nicht übermäßig zu beschränken5. Gleichwohl ist zu beachten, dass die Vorschrift auf die allgemeinen Regelungen zum Widerspruchsrecht (§ 28 Abs. 4) und zu den besonderen Arten von Daten (§ 28 Abs. 6–9) verweist (s. Abs. 5). Nur die Anwendung der Vorschrift zur geschäftsmäßigen Datenverarbeitung (§ 29) wird ausdrücklich ausgeschlossen (s. Abs. 4)6. Die Überschrift von § 30a erwähnt zwar nur das Erheben und die Speicherung, 2 ausweislich des weiteren Wortlauts der Vorschrift werden systemgerecht aber alle Phasen der Datenverarbeitung geregelt7. Dabei wird der Grundsatz der Zweckbindung in den einzelnen Vorschriften der Norm immer wieder betont. Ferner gilt das Prinzip der Anonymisierung (s. im Folgenden). Die Vorschrift formuliert gesetzliche Zulässigkeitstatbestände nach § 4, was eine 3 Einwilligung nach § 4a aber nicht ausschließt8. Das Vorhandensein eines gesetzlichen Zulässigkeitstatbestandes ist aber für die Markt- und Meinungsforschung von großer Bedeutung, weil typischerweise keine (vorher) erteilte Einwilligung zugrunde gelegt werden kann (z.B. bei Auswahl von Personen für Befragungen)9. Die Zulässigkeit der Ansprache ist dabei aber auch nach dem UWG zu prüfen10. Für die Erhebung der Befragungsdaten selbst und deren an1 Dies wird insbesondere in der Gesetzesbegründung deutlich, BT-Drucks. 16/1357, S. 19 f.; eingehend Pflüger, RDV 2010, 101 (102). 2 Ausführlich zur Entstehungsgeschichte Taeger/Gabel/Munz, § 30a BDSG Rz. 1 ff.; Simitis/Ehmann, § 30a BDSG Rz. 1 ff. 3 Nach Pflüger, RDV 2010, 101 (102) gehört hierzu auch die Sozialforschung. 4 Vgl. auch die Begründung zu Abs. 2, BT-Drucks. 16/13657, S. 20; hierzu eingehend auch Hornung/Hofmann, WPR 2014, 776. 5 BT-Drucks. 16/13657, S. 19 f. 6 Zum Verhältnis der Normen auch Hornung/Hofmann, WRP 2014, 776. 7 Ebenso Gola/Schomerus, § 30a BDSG Rz. 3. 8 I.E. ebenso Taeger/Gabel/Munz, § 30a BDSG Rz. 6. 9 Taeger/Gabel/Munz, § 30a BDSG Rz. 15. 10 Hornung/Hofmann, WRP 2014, 776 und 910.

Kamlah

|

709

§ 30a BDSG | Datenverarbeitung nicht-öffentlicher Stellen schließende Nutzung in anonymisierter Form ist dagegen weiterhin die Einwilligung erforderlich, da die Teilnahme an Befragungen freiwillig ist1.

II. Anwendungsbereich 4 Als im dritten Abschnitt des BDSG stehende Norm richtet sich der Anwen-

dungsbereich nach § 27 (s. im Einzelnen dort, aber auch § 28a).

5 Die Vorschrift regelt die „Markt- und Meinungsforschung“, wobei auf eine ge-

setzliche Definition verzichtet wird. Abgeleitet aus der Gesetzesbegründung handelt es sich um Markt- und Meinungsforschung, wenn öffentliche oder private Auftraggeber mittels wissenschaftlicher Methoden und Techniken notwendige Informationen als empirische Grundlage und zur Unterstützung wirtschaftlicher, gesellschaftlicher und politischer Entscheidungen bereitstellen2.

6 Damit stellt sich die Frage, ob der Anwendungsbereich des § 30a eröffnet ist,

wenn eines der vorgenannten Kriterien nicht gegeben ist, insbesondere der als „Markt- und Meinungsforschung“ beschriebenen Maßnahme keine wissenschaftlichen Methoden zugrunde liegen. Ähnlich wie bei § 28b wird man auch im Rahmen von § 30a sagen müssen, dass der Anwendungsbereich nicht eröffnet ist, wenn wesentliche Kennzeichnungsmerkmale der Markt- und Meinungsforschung fehlen. Die Beurteilung der Maßnahme richtet sich dann vielmehr nach den allgemeinen Regeln3. Die Anwendung der Vorschriften über die Werbung liegt in diesen Fällen zumindest nahe.

7 Ferner ist zu beachten, dass es sich bei der Markt- und der Meinungsforschung

um zwei grundverschiedene Sachverhalte handelt. Während sich die Marktforschung mit den Märkten und dem Marktverhalten der Anbieter und Nachfrager befasst, geht es bei der Meinungsforschung in erster Linie um Demoskopie4.

8 Die Vorschrift differenziert nicht danach, ob die Markt- oder Meinungsfor-

schung für eigene oder fremde Zwecke erfolgt. Insofern ist die Vorschrift grundsätzlich auf beide Fälle anwendbar5.

9 Die Markt- und Meinungsforschung ist insbesondere abzugrenzen von der Wer-

bung (zum Begriff der Werbung s. § 28 Abs. 3), damit nicht unter dem Vorwand der Markt- und Meinungsforschung tatsächlich eine Kundenansprache erfolgt6.

1 2 3 4

Pflüger, RDV 2010, 101 (106). BT-Drucks. 16/13657, S. 19 f. A.A. Taeger/Gabel/Munz, § 30a BDSG Rz. 10. Taeger/Gabel/Munz, § 30a BDSG Rz. 10, der auch die Sozialforschung vom Anwendungsbereich der Norm erfasst sieht; ausführlich Simitis/Ehmann, § 30a BDSG Rz. 67 ff. 5 Taeger/Gabel/Munz, § 30a BDSG Rz. 11; a.A. wohl Hornung/Hofmann, WRP 2014, 776, die die „interne“ Markt- und Meinungsforschung dann nach § 28 beurteilen. 6 S.a. Däubler/Klebe/Wedde/Weichert/Weichert, § 30a BDSG Rz. 2.

710

|

Kamlah

Markt- oder Meinungsforschung | § 30a BDSG

Da Ergebnis und Ziel einer zulässigen Marktforschung ein besserer Markterfolg sein kann, fallen durch Marktforschung mittelbar ausgelöste Effekte nicht unter den Begriff der Werbung und die damit verbundenen Anforderungen1. Umstritten ist das jedoch bei sog. Kundenzufriedenheitsanalysen, bei denen die Kundenbindung und damit die Absatzförderung im Vordergrund steht2. 1. Geschäftsmäßiges Erheben, Verarbeiten und Nutzen für Zwecke der Markt- und Meinungsforschung (Abs. 1 Satz 1) Voraussetzung für den Anwendungsbereich der Vorschrift ist zunächst, dass die 10 Erhebung, Verarbeitung und Nutzung geschäftsmäßig erfolgt. Das Kriterium der Geschäftsmäßigkeit sollte dabei nicht anders als in § 29 und § 30 ausgelegt werden3. Damit stellt sich aber gleichzeitig die Frage, wie Sachverhalte zu beurteilen sind, in denen die Markt- und Meinungsforschung nur als einmalige Befragungsaktion stattfindet. Aus dem insoweit klaren Gesetzeswortlaut sowie der Definition der Markt- und Meinungsforschung lässt sich aber entnehmen, dass solche Maßnahmen dann nach den allgemeinen Regeln der nach § 4 definierten Zulässigkeitsvarianten zu beurteilen sind, also nicht dem § 30a unterfallen4. Die Regelung gilt nicht institutsbezogen, sondern tätigkeitsbezogen. Sie gilt da- 11 her nicht nur für das Unternehmen selbst5, sondern auch für beauftragte Forschungsinstitute6. Die Verarbeitungsvarianten der Erhebung, Verarbeitung und Nutzung greifen 12 die Begriffe aus § 3 Abs. 3–5 auf, so dass auf die Kommentierungen zu den dortigen Vorschriften verwiesen werden kann7. Dabei muss es sich um personenbezogene Daten nach § 3 Abs. 1 handeln 13 (s. dort). Die Vorschrift betont dabei ausdrücklich, dass nur die Datenverarbeitung nach 14 § 30a zu beurteilen ist, die zum Zwecke der Markt- und Meinungsforschung erfolgt8. Die Zulässigkeit der Erhebung, Verarbeitung und Nutzung personenbezogener 15 Daten richtet sich dann nach zwei Zulässigkeitsvarianten, die sich im Wesentli1 2 3 4 5

Pflüger, RDV 2010, 101 (103 ff.). Vgl. OLG Köln v. 30.3.2012 – 6 U 191/11. BT-Drucks. 16/13657, S. 20. Ebenso Taeger/Gabel/Munz, § 30a BDSG Rz. 10. Kritisch mit durchaus guten Gründen hierzu Hornung/Hofmann, WRP 2014, 776, die die interne Markt- und Meinungsforschung nicht als von § 30a umfasst sehen. 6 Pflüger, RDV 2010, 101 (103). 7 Zur Übermittlungsbefugnis an beauftragte Forschungsinstitute den damit verbundenen Konsequenzen für die Auftragsdatenverarbeitung Pflüger, RDV 2010, 101 (105 f.). 8 Vgl. Gola/Schomerus, § 30a BDSG Rz. 1.

Kamlah

|

711

§ 30a BDSG | Datenverarbeitung nicht-öffentlicher Stellen chen an § 30 Abs. 2 orientieren sollen1, so dass ergänzend zu den nachfolgenden Ausführungen auf die dortige Kommentierung verwiesen werden kann2. a) Allgemeine Interessenabwägung (Abs. 1 Satz 1 Nr. 1) 16 Nach der ersten Zulässigkeitsvariante ist eine Datenverarbeitung zum Zwecke

der Markt- und Meinungsforschung zulässig, wenn kein Grund zur Annahme besteht, dass der Betroffene ein schutzwürdiges Interesse an dem Ausschluss der Erhebung, Verarbeitung oder Nutzung hat. Diese Formulierung greift die Bestimmungen des § 29 Abs. 1 Nr. 1 bzw. die des § 30 Abs. 2 Nr. 1 auf3, weshalb zwar grundsätzlich auf die dortigen Ausführungen verwiesen werden kann. Bei der Interessenabwägung ist aber zu berücksichtigen, dass diese zur Annahme eines überwiegenden schutzwürdigen Interesses des Betroffenen führen muss. Im Ergebnis wird dies nur in Ausnahmefällen anzunehmen sein4. b) Aus allgemein zugänglichen Quellen entnommene Daten (Abs. 1 Satz 1 Nr. 2)

17 Die beiden Zulässigkeitsvarianten des Abs. 1 sind Alternativen („oder“). Anders

als die Formulierung nach Nr. 1 orientiert sich die nach Nr. 2 nur teilweise an dem Vorbild des § 29 (hier des Abs. 1 Nr. 2, auch § 30 Abs. 2 Nr. 2 ist leicht anders formuliert)5. Es stellt sich allerdings die Frage, ob sich daraus in materieller Hinsicht ein unterschiedlicher Gehalt ergibt. In beiden Fällen wird die Zulässigkeit unter den Vorbehalt einer Interessenabwägung gestellt. In § 30a wird lediglich aus dem „es sei denn“ des § 29 Abs. 1 Nr. 2 ein „und“. Inhalt und Ergebnis der Interessenabwägung sind dennoch in beiden Normen identisch6, so dass hier auf die Kommentierung zu § 29 Abs. 1 Nr. 2 oder aber des § 30 Abs. 2 Nr. 2 verwiesen werden kann.

18 Wie bei § 29 Abs. 1 Nr. 1 und § 30 Abs. 2 Nr. 2 kommt es begrifflich darauf an,

dass die Daten aus allgemein zugänglichen Quellen entnommen werden „können“. Damit müssen sie nicht unmittelbar öffentlichen Quellen entnommen worden sein. Die Rückführbarkeit genügt7 (zum Begriff der allgemein zugänglichen Quellen entnommenen Daten, s. § 28 Abs. 1 Satz 1 Nr. 3 und § 29 Abs. 1 Satz 1 Nr. 2).

1 2 3 4

BT-Drucks. 16/13657, S. 20. Zum Verhältnis der beiden Normen auch Pflüger, RDV 2010, 101 (102). Vgl. Gola/Schomerus, § 30a BDSG Rz. 4. Nach Pflüger, RDV 2010, 101 (103) sind die Interessen schon aufgrund des bestehenden Widerspruchsrechts gewahrt. 5 Wobei ausweislich der Gesetzesbegründung § 30a „klarer gefasst“ wurde, BT-Drucks. 16/13657, S. 20. 6 Vgl. auch Gola/Schomerus, § 30a BDSG Rz. 4. 7 So auch Taeger/Gabel/Munz, § 30a BDSG Rz. 1; OLG Stuttgart v. 25.6.2015 – 3 U 24/157.

712

|

Kamlah

Markt- oder Meinungsforschung | § 30a BDSG

2. Sensible Daten (Abs. 1 Satz 2) Nach Abs. 1 Satz 2 dürfen die besonderen Arten personenbezogener Daten nach 19 § 3 Abs. 9 nur für ein bestimmtes Forschungsvorhaben – mithin nur einmal – erhoben, verarbeitet und genutzt werden (s. aber Abs. 5)1. Sofern es allerdings die hinreichende „Bestimmung“ des Forschungsvorhabens erlaubt, ist eine mehrfache Verarbeitung oder Nutzung denkbar2. Entscheidend ist, dass aus der (ggf. dauerhaften) Bestimmung die Zweckbindung hervorgeht. Ob daraus im Umkehrschluss geschlossen werden kann, dass andere als sensible 20 Daten (nach Abs. 1 Satz 2) mehrfach verwendet werden können, ist zweifelhaft3. Handelt es sich nicht um sensible Daten, richtet sich die Zulässigkeit der Maßnahme zunächst nach Abs. 1 Satz 1. Die Zweckbindung richtet sich dann nach Abs. 2. Da aber auch andere als öffentlich zugängliche Daten nur für ein bestimmtes Forschungsvorhaben verarbeitet oder genutzt werden können, stellt sich die Frage nach dem Regelungsgehalt von Abs. 1 Satz 2. Dies gilt insbesondere, weil eine entsprechende Regelung zur Weiterverarbeitung und Nutzung auf anonymer Basis, wie sie in Abs. 2 Satz 3 enthalten ist, in Abs. 1 fehlt. 3. Weitere Verarbeitung und Nutzung (Abs. 2) Während Abs. 1 Satz 1 die erste Phase der Markt- und Meinungsforschung de- 21 finiert, regelt Abs. 2 die – gestufte4 – weitere Behandlung der Daten. Nach Abs. 2 Satz 1, der Abs. 1 Nr. 1 aufgreift, dürfen für Zwecke der Markt- und 22 Meinungsforschung erhobene und gespeicherte personenbezogene Daten nur für diese Zwecke verarbeitet und genutzt werden. Damit werden die Daten einer speziellen Zweckbindung unterworfen. Die weitere Verarbeitung und Nutzung der aus allgemein zugänglichen Quel- 23 len erhobenen Daten wird nicht ausdrücklich erwähnt. Deren Behandlung ergibt sich aber aus dem Umkehrschluss zu Abs. 2 Satz 2. Danach dürfen diese Daten für (jeden)5 Zweck der Markt- und Meinungsforschung verarbeitet und genutzt werden6. Dementsprechend sagt Satz 2 in Anknüpfung an Abs. 1 Nr. 2, dass Daten, die 24 nicht aus allgemein zugänglichen Quellen entnommen worden sind und die die verantwortliche Stelle auch nicht veröffentlichen darf, nur für das For1 BT-Drucks. 16/13657, S. 20. 2 S.a. Taeger/Gabel/Munz, § 30a BDSG Rz. 18 zu länger andauernden Forschungsvorhaben, die ggf. eine mehrfache Kontaktaufnahme mit dem Betroffenen erforderlich machen. 3 Verneinend Gola/Schomerus, § 30a BDSG Rz. 4. 4 So die Gesetzesbegründung, BT-Drucks. 16/13657, S. 20. 5 So offenbar auch das Verständnis von Däubler/Klebe/Wedde/Weichert/Weichert, § 30a BDSG Rz. 4; Gola/Schomerus, § 30a BDSG Rz. 5. 6 BT-Drucks. 16/13657, S. 20.

Kamlah

|

713

§ 30a BDSG | Datenverarbeitung nicht-öffentlicher Stellen schungsvorhaben verarbeitet oder genutzt werden dürfen, für das sie erhoben worden sind1. Vor diesem Hintergrund sind langandauernde Forschungsvorhaben entsprechend zu definieren, damit eine weitere Verarbeitung und Nutzung nicht an der Zweckbindung des Abs. 2 scheitert2. Damit bleibt aber das Verhältnis von Abs. 1 Satz 2 und Abs. 2 Satz 1 unklar, denn Abs. 1 Satz 2 sagt, dass besondere Daten nur für ein bestimmtes Forschungsprojekt verwendet werden dürfen und Abs. 2 Satz 1 sagt, dass alle anderen Daten (es sei denn sie kommen aus öffentlichen Quellen) auch nur für das Forschungsprojekt verwendet werden dürfen, für das sie erhoben wurden. 25 Die Frage, ob und welche Daten die verantwortliche Stelle veröffentlichen darf,

richtet sich dabei nach den allgemeinen Bestimmungen.

26 Die Zweckbindung nach den Sätzen 1 und 2 wird fortgesetzt für den Fall, dass

die Daten für einen anderen Zweck nur verarbeitet oder genutzt werden dürfen, wenn sie zuvor so anonymisiert werden, dass ein Personenbezug nicht mehr hergestellt werden kann3. Allerdings fehlt eine entsprechende Regelung für Abs. 1 Satz 2.

27 Da sich nach § 3 Abs. 6 schon aus dem Begriff der Anonymisierung selbst ergibt,

dass es sich nicht (mehr) um personenbezogene Daten handelt, stellt sich die Frage, ob sich aus dem letzten Halbsatz der Vorschrift ein eigener Gehalt ergibt4. Offenbar wollte der Gesetzgeber mit seinem Verweis nur auf die erste Variante des § 3 Abs. 6 letzte Zweifel beseitigen, da nach § 3 Abs. 6 theoretisch eine Reanonymisierung denkbar ist, auch wenn diese mit einem unverhältnismäßigen Aufwand verbunden ist5.

4. Primat der Anonymisierung (Abs. 3) 28 Während Abs. 2 Satz 3 die Anonymisierung in der Phase der Zweckänderung

vorsieht, setzt Abs. 3 schon vorher an, um einer unzulässigen Zweckentfremdung vorzubeugen6. Danach hat eine Anonymisierung schon dann zu erfolgen, sobald dies nach dem Zweck des Forschungsvorhabens, für das die Daten erhoben worden sind, möglich ist7. Dieses Gebot ist zwingend („sind“). Gleichzeitig ist damit die Verpflichtung für die verantwortliche Stelle gegeben, je nach

1 BT-Drucks. 16/13657, S. 20. 2 Zur Problematik beim Rückgriff auf (repräsentative) Pools, Taeger/Gabel/Munz, § 30a BDSG Rz. 19. 3 BT-Drucks. 16/13657, S. 20. 4 Zweifelnd offenbar auch Gola/Schomerus, § 30a BDSG Rz. 5. 5 Däubler/Klebe/Wedde/Weichert/Weichert, § 30a BDSG Rz. 4. 6 BT-Drucks. 16/13657, S. 20; zu verschiedenen Branchenkodizes Pflüger, RDV 2010, 101 (102 f.). 7 Hornung/Hofmann, WRP 2014, 776 weisen darauf hin, dass sich aus dem Anonymisierungsgebot ergebe, von einer Auftragsdatenverarbeitung abzusehen.

714

|

Kamlah

Markt- oder Meinungsforschung | § 30a BDSG

Fortgang des Forschungsvorhabens Überprüfungen durchzuführen, ob die Möglichkeit zur Anonymisierung schon besteht1. Auch wenn bis dahin ein Personenbezug möglich bzw. sogar geboten ist, sind 29 die Merkmale schon dann gesondert zu speichern, mit denen ein Personenbezug hergestellt werden kann (Abs. 3 Satz 2) – mithin also zu pseudonymisieren2. Eine Zusammenführung ist auch nur dann statthaft, soweit dies nach dem Zweck des Forschungsvorhabens erforderlich ist, z.B. bei wiederholten Befragungen über einen längeren Zeitraum3 (Abs. 3 Satz 3). 5. (Nicht) anwendbare Vorschriften (Abs. 4 und 5) Bei § 30a handelt es sich zwar um eine geschäftsmäßige Datenverarbeitung zum 30 Zwecke der Markt- und Meinungsforschung; um diese jedoch von der geschäftsmäßigen Datenverarbeitung zum Zwecke der Übermittlung abzugrenzen, stellt Abs. 4 klar, dass § 29 keine Anwendung findet und ein Rückgriff darauf ausgeschlossen ist4. Demgegenüber gelten nach Abs. 5, der dem § 29 Abs. 5 und dem § 30 Abs. 5 31 entspricht (s. dort), § 28 Abs. 4 und 6–9 entsprechend. Die nur entsprechende Anwendung von § 28 Abs. 4 ist etwas irreführend, da in § 28 Abs. 4 Regelungen enthalten sind, die direkt auf die Markt- und Meinungsforschung Anwendung finden5. Demgegenüber wird über Abs. 5 auch im Bereich der Markt- und Meinungsfor- 32 schung die Erhebung, Verarbeitung und Nutzung von sensiblen Daten nach § 3 Abs. 9 dem strengen Regime des § 28 Abs. 6–9 unterworfen. Das schränkt den nach Abs. 1 Satz 2 erlaubten Anwendungsbereich wieder ein (s. aber auch § 28 Abs. 6 Nr. 4)6.

III. Verhältnis zu anderen Normen Die Norm und damit die Markt- und Meinungsforschung ist insbesondere von 33 der Werbung abzugrenzen (s. Rz. 1). Das ist schon wegen der Anwendbarkeit des § 7 UWG geboten, der in erster Linie die unlautere Werbung verhindern möchte, 1 So früh wie möglich fordert Däubler/Klebe/Wedde/Weichert/Weichert, § 30a BDSG Rz. 5. 2 BT-Drucks. 16/13657, S. 20. 3 BT-Drucks. 16/13657, S. 20. 4 BT-Drucks. 16/13657, S. 20. 5 Darauf weist auch Gola/Schomerus, § 30a BDSG Rz. 7 hin; da der Gesetzgeber sich aber an § 30 orientierte, hat er die Formulierung schlicht übernommen, BT-Drucks. 16/13657, S. 20. 6 Gola/Schomerus, § 30a BDSG Rz. 6.

Kamlah

|

715

§ 31 BDSG | Datenverarbeitung nicht-öffentlicher Stellen aber über § 7 Abs. 1 Satz 1 UWG eine Belästigung im Rahmen von Maßnahmen der Markt- und Meinungsforschung nicht grundsätzlich ausschließt1. 34 Daneben wird § 30a über seinen Abs. 4 von der geschäftsmäßigen Datenver-

arbeitung zum Zwecke der Übermittlung abgegrenzt2.

35 Im Anwendungsbereich des Telemediengesetzes ist § 15 Abs. 3 TMG zu beach-

ten, der dort die Marktforschung (und konsequenterweise nicht auch die Meinungsforschung) einschließlich des Verfahrens zum Widerspruchsrecht speziell regelt und damit dem § 30a vorgeht. Im Anwendungsbereich des TKG ist § 95 Abs. 2 TKG zu beachten.

IV. Rechtsfolgen, Sanktionen 36 Nach § 43 Abs. 2 Nr. 6 ist (nur) die unzulässige Zusammenführung nach § 30a

Abs. 3 Satz 3 bußgeldbewehrt3, nicht aber die unterbliebene Anonymisierung oder Pseudonymisierung4. Allerdings stellt sich dann die Frage, ob die (Weiter-) Verarbeitung und Nutzung der nicht anonymisierten bzw. pseudonymisierten Daten nach anderen Vorschriften unzulässig und bußgeldbewehrt ist.

37 Auch ein Verstoß gegen die in § 28 Abs. 4 Satz 2 enthaltene Unterrichtungs-

pflicht ist in § 43 Abs. 1 Nr. 3 i.V.m. Abs. 3 bußgeldbewehrt. Ein Verstoß gegen § 28 Abs. 4 Satz 1 ist sogar über § 43 Abs. 2 Nr. 5b i.V.m. Abs. 3 mit einem Bußgeld belegt und darüber hinaus über § 44 strafbewehrt.

§ 31 Besondere Zweckbindung Personenbezogene Daten, die ausschließlich zu Zwecken der Datenschutzkontrolle, der Datensicherung oder zur Sicherstellung eines ordnungsgemäßen Betriebes einer Datenverarbeitungsanlage gespeichert werden, dürfen nur für diese Zwecke verwendet werden. 1 S. zur Abgrenzung im Wettbewerbsrecht OLG Köln v. 12.12.2008 – 6 U 41/08, MMR 2009, 267; kritisch hierzu Pflüger, RDV 2010, 101 (103 ff.); danach aber OLG Köln v. 30.3.2012 – 6 U 191/11, MMR 2012, 535; zur Einholung von Einwilligungen in Werbekontakte im Zusammenhang mit Zufriedenheitsanalysen VG Berlin v. 7.5.2014 – VG 1 K 253.12, ZD 2014, 540. 2 Ausführlich zu den Abgrenzungen zu anderen Normen Simitis/Ehmann, § 30a BDSG Rz. 31 ff. 3 S. auch BT-Drucks. 16/13657, S. 20 mit ausdrücklichem Verweis auf die vergleichbare Norm des § 30. 4 So auch Simitis/Ehmann, § 30a BDSG Rz. 148 f.

716

|

Kamlah/Plath

§ 31 BDSG | Datenverarbeitung nicht-öffentlicher Stellen aber über § 7 Abs. 1 Satz 1 UWG eine Belästigung im Rahmen von Maßnahmen der Markt- und Meinungsforschung nicht grundsätzlich ausschließt1. 34 Daneben wird § 30a über seinen Abs. 4 von der geschäftsmäßigen Datenver-

arbeitung zum Zwecke der Übermittlung abgegrenzt2.

35 Im Anwendungsbereich des Telemediengesetzes ist § 15 Abs. 3 TMG zu beach-

ten, der dort die Marktforschung (und konsequenterweise nicht auch die Meinungsforschung) einschließlich des Verfahrens zum Widerspruchsrecht speziell regelt und damit dem § 30a vorgeht. Im Anwendungsbereich des TKG ist § 95 Abs. 2 TKG zu beachten.

IV. Rechtsfolgen, Sanktionen 36 Nach § 43 Abs. 2 Nr. 6 ist (nur) die unzulässige Zusammenführung nach § 30a

Abs. 3 Satz 3 bußgeldbewehrt3, nicht aber die unterbliebene Anonymisierung oder Pseudonymisierung4. Allerdings stellt sich dann die Frage, ob die (Weiter-) Verarbeitung und Nutzung der nicht anonymisierten bzw. pseudonymisierten Daten nach anderen Vorschriften unzulässig und bußgeldbewehrt ist.

37 Auch ein Verstoß gegen die in § 28 Abs. 4 Satz 2 enthaltene Unterrichtungs-

pflicht ist in § 43 Abs. 1 Nr. 3 i.V.m. Abs. 3 bußgeldbewehrt. Ein Verstoß gegen § 28 Abs. 4 Satz 1 ist sogar über § 43 Abs. 2 Nr. 5b i.V.m. Abs. 3 mit einem Bußgeld belegt und darüber hinaus über § 44 strafbewehrt.

§ 31 Besondere Zweckbindung Personenbezogene Daten, die ausschließlich zu Zwecken der Datenschutzkontrolle, der Datensicherung oder zur Sicherstellung eines ordnungsgemäßen Betriebes einer Datenverarbeitungsanlage gespeichert werden, dürfen nur für diese Zwecke verwendet werden. 1 S. zur Abgrenzung im Wettbewerbsrecht OLG Köln v. 12.12.2008 – 6 U 41/08, MMR 2009, 267; kritisch hierzu Pflüger, RDV 2010, 101 (103 ff.); danach aber OLG Köln v. 30.3.2012 – 6 U 191/11, MMR 2012, 535; zur Einholung von Einwilligungen in Werbekontakte im Zusammenhang mit Zufriedenheitsanalysen VG Berlin v. 7.5.2014 – VG 1 K 253.12, ZD 2014, 540. 2 Ausführlich zu den Abgrenzungen zu anderen Normen Simitis/Ehmann, § 30a BDSG Rz. 31 ff. 3 S. auch BT-Drucks. 16/13657, S. 20 mit ausdrücklichem Verweis auf die vergleichbare Norm des § 30. 4 So auch Simitis/Ehmann, § 30a BDSG Rz. 148 f.

716

|

Kamlah/Plath

Besondere Zweckbindung | § 31 BDSG I. Einführung . . . . . . . . . . . . . . . II. Kontroll- und Sicherungsdaten

1 2

III. Zweckbindung . . . . . . . . . . . . IV. Rechtsfolgen . . . . . . . . . . . . . .

5 7

Schrifttum: Kort, Datenschutzrechtliche und betriebsverfassungsrechtliche Fragen bei ITSicherheitsmaßnahmen, NZA 2011, 1319; Rost, Funktion und Zweck des Protokollierens, DuD 2007, 731; Runge, Protokolldaten zwischen Sicherheit und Rechtmäßigkeit, CR 1994, 710; Thomsen/Rost, Zentraler Protokollservice, DuD 2006, 292.

I. Einführung § 31 regelt die strikte, d.h. ausnahmslose Zweckbindung von Daten, die aus- 1 schließlich zu Zwecken der Datenschutzkontrolle, der Datensicherung oder zur Sicherstellung eines ordnungsgemäßen Betriebs einer Datenverarbeitungsanlage gespeichert werden (z.B. als Back-up oder zu Protokollierungszwecken)1. Diese Zweckbindung geht damit über die allgemeine Zweckbindung, wie sie z.B. § 28 Abs. 1 Satz 2 vorsieht, hinaus, da sie nicht im Wege der Zweckerweiterung durchbrochen werden kann. Die Verwendung dieser Daten ist an ihren Erhebungs- und Speicherungszweck gebunden. Demzufolge dürfen die verwendeten Daten unter keinen Umständen zweckentfremdet verwendet werden2. Die strenge Zweckbindung erstreckt sich dabei auf alle Phasen der Verwendung3. Systematisch schränkt § 31 die Verarbeitungs- und Nutzungsbefugnisse von §§ 28–30 ein4. Der Wortlaut der Norm ist identisch zu der Parallelregelung für den öffentlichen Bereich in § 14 Abs. 4 (vgl. Komm. zu § 14 BDSG Rz. 20). Normadressat sind alle verantwortlichen Stellen im Rahmen des Anwendungsbereichs von § 27, also entsprechend auch diejenigen, die Daten im Rahmen einer nach § 31 erlaubten Verwendung erhalten (insbesondere die betrieblichen Datenschutzbeauftragten, § 4g Abs. 1 Satz 3 Nr. 1, und die Aufsichtsbehörden, § 38)5.

II. Kontroll- und Sicherungsdaten Die besondere Zweckbindung des § 31 bezieht sich auf drei Speicherungszwe- 2 cke, wobei eine klare Abgrenzung nicht möglich ist. Die Datenschutzkontrolle umfasst die Speicherung von Daten, die für die Datenschutzkontrollstellen (insbesondere die betrieblichen Datenschutzbeauftragten und die Aufsichtsbehörden) zur Gewährleistung des Schutzes des Persönlichkeitsrechts der Betroffenen notwendig sind. Daraus folgt die Zulässigkeit sowohl der internen Auswertung 1 Grundsätzlich zum Sinn und Zweck der Protokollierung und der Zweckbindung Rost, DuD 2007, 731. 2 Vgl. dazu Runge, CR 1994, 710. 3 So auch Kort, NZA 2011, 1319 (1320). 4 Simitis/Dammann, § 31 BDSG Rz. 3. 5 Gola/Schomerus, § 31 BDSG Rz. 2.

Plath

|

717

§ 31 BDSG | Datenverarbeitung nicht-öffentlicher Stellen der Daten, als auch die Aufbereitung für externe Kontrollinstanzen1. Typischerweise handelt es sich hierbei um die Protokollierung von datenschutzrelevanten Vorgängen, etwa über den Zugriff bzw. Stichproben bei automatisierten Abrufverfahren gemäß § 10 Abs. 4 Satz 3. 3 Beim Begriff der Datensicherung kann auf die nach § 9 erforderlichen tech-

nischen und organisatorischen Maßnahmen zur Gewährleistung der Ausführungen der Vorschriften des BDSG zurückgegriffen werden2. Die Datensicherung erfasst u.a. den Schutz vor Datenverlust oder der Datenzerstörung. Ein typischer Anwendungsfall sind die auf Sicherungskopien gespeicherten Daten, insbesondere die für die Sicherstellung des Betriebsablaufs gespeicherten Back-ups.

4 Der dritte Speicherungszweck, die Speicherung zur Sicherstellung eines ord-

nungsgemäßen Betriebes einer Datenverarbeitungsanlage, fängt im Wesentlichen das auf, was in den anderen beiden Fällen ausgeklammert wird3.

III. Zweckbindung 5 Wegen der Bindung an den Erhebungs- und Speicherungszweck dürfen die

unter § 31 fallenden Daten „nur für diese Zwecke verwendet werden“4. Die Zwecke sind bei Erhebung konkret festzulegen, vgl. § 28 Abs. 1 Satz 2. Die Entscheidung über den Verwendungszweck liegt bei der verantwortlichen Stelle5. Die Zweckbindung gilt nur, wenn die Speicherung ausschließlich zu den von § 31 erfassten Zwecken erfolgt. Die Zweckbindung gilt nicht, sofern gleichzeitig mehrere Zwecke verfolgt werden6. Eine nachträgliche Zweckänderung ist nicht möglich7. Dies gilt selbst bei einer Erweiterung der Verwendungszwecke innerhalb der Tatbestandsalternativen. Unzulässig ist des Weiteren die Wiederherstellung von Originaldateien aus einer Sicherungskopie, die zur Datensicherung oder zum Zwecke des ordnungsgemäßen Betriebs einer Datenverarbeitungsanlage angefertigt wurde, wenn der Zweck, zu dem die Originaldateien gespeichert wurden, weggefallen ist und folglich nicht mehr erfüllt werden kann8.

6 In der praktischen Anwendung ist die Ermittlung oder Festlegung des Zwecks

der Datenerhebung von ausschlaggebender Bedeutung. Das Zweckbindungsgebot verbietet aber grundsätzlich eine beliebig weit gefasste Zweckbestimmung

1 2 3 4 5 6 7 8

Bergmann/Möhrle/Herb, § 31 BDSG Rz. 15. Vgl. Simitis/Dammann, § 14 BDSG Rz. 109. Simitis/Dammann, § 14 BDSG Rz. 110. Eine Verwendung für andere Zwecke ist damit ausgeschlossen, vgl. auch Thomsen/Rost, DuD 2006, 292 (293). Vgl. Gola/Schomerus, § 31 BDSG Rz. 5. I.E. ebenso Kort, NZA 2011, 1319 (1320). Vgl. Hess. LDSB, 14. TB, S. 32. Vgl. VGH Baden-Württemberg v. 30.7.2014 – 1 S 1352/13, ZD 2014, 579.

718

|

Plath

Datenerhebung für Zwecke des Beschäftigungsverhältnisses | § 32 BDSG

von gespeicherten Daten. Seit dem Volkszählungsurteil1 ergibt sich das zwingende Gebot, den Erhebungs- und Verwendungszweck möglichst eng zu bestimmen. Es dürfen nur solche Daten gespeichert werden, die für den Verwendungszweck geeignet, erforderlich und angemessen sind2.

IV. Rechtsfolgen Als gesetzliche Ausnahme besteht bei gespeicherten Daten zu den besonderen 7 Zwecken des § 31 nach § 33 Abs. 2 Nr. 2 Alt. 2 weder eine Pflicht zur Benachrichtigung noch eine Auskunftspflicht nach § 34 Abs. 4. Die Strafvorschriften des § 44 sowie die Bußgeldvorschriften des § 43 finden bei einem Verstoß gegen § 31 keine Anwendung.

§ 32 Datenerhebung, -verarbeitung und -nutzung für Zwecke des Beschäftigungsverhältnisses (1) 1Personenbezogene Daten eines Beschäftigten dürfen für Zwecke des Beschäftigungsverhältnisses erhoben, verarbeitet oder genutzt werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung erforderlich ist. 2Zur Aufdeckung von Straftaten dürfen personenbezogene Daten eines Beschäftigten nur dann erhoben, verarbeitet oder genutzt werden, wenn zu dokumentierende tatsächliche Anhaltspunkte den Verdacht begründen, dass der Betroffene im Beschäftigungsverhältnis eine Straftat begangen hat, die Erhebung, Verarbeitung oder Nutzung zur Aufdeckung erforderlich ist und das schutzwürdige Interesse des Beschäftigten an dem Ausschluss der Erhebung, Verarbeitung oder Nutzung nicht überwiegt, insbesondere Art und Ausmaß im Hinblick auf den Anlass nicht unverhältnismäßig sind. (2) Absatz 1 ist auch anzuwenden, wenn personenbezogene Daten erhoben, verarbeitet oder genutzt werden, ohne dass sie automatisiert verarbeitet oder in oder aus einer nicht automatisierten Datei verarbeitet, genutzt oder für die Verarbeitung oder Nutzung in einer solchen Datei erhoben werden. (3) Die Beteiligungsrechte der Interessenvertretungen der Beschäftigten bleiben unberührt. 1 BVerfG v. 15.12.1983 – BvR 209, 269, 362, 420, 440, 484/83 – Volkszählung. 2 Vgl. LDI Saar, 21. TB, S. 85 = RDV 2008, zur Videoüberwachung eines Serverraumes.

Plath/Stamer/Kuhnke

|

719

Datenerhebung für Zwecke des Beschäftigungsverhältnisses | § 32 BDSG

von gespeicherten Daten. Seit dem Volkszählungsurteil1 ergibt sich das zwingende Gebot, den Erhebungs- und Verwendungszweck möglichst eng zu bestimmen. Es dürfen nur solche Daten gespeichert werden, die für den Verwendungszweck geeignet, erforderlich und angemessen sind2.

IV. Rechtsfolgen Als gesetzliche Ausnahme besteht bei gespeicherten Daten zu den besonderen 7 Zwecken des § 31 nach § 33 Abs. 2 Nr. 2 Alt. 2 weder eine Pflicht zur Benachrichtigung noch eine Auskunftspflicht nach § 34 Abs. 4. Die Strafvorschriften des § 44 sowie die Bußgeldvorschriften des § 43 finden bei einem Verstoß gegen § 31 keine Anwendung.

§ 32 Datenerhebung, -verarbeitung und -nutzung für Zwecke des Beschäftigungsverhältnisses (1) 1Personenbezogene Daten eines Beschäftigten dürfen für Zwecke des Beschäftigungsverhältnisses erhoben, verarbeitet oder genutzt werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung erforderlich ist. 2Zur Aufdeckung von Straftaten dürfen personenbezogene Daten eines Beschäftigten nur dann erhoben, verarbeitet oder genutzt werden, wenn zu dokumentierende tatsächliche Anhaltspunkte den Verdacht begründen, dass der Betroffene im Beschäftigungsverhältnis eine Straftat begangen hat, die Erhebung, Verarbeitung oder Nutzung zur Aufdeckung erforderlich ist und das schutzwürdige Interesse des Beschäftigten an dem Ausschluss der Erhebung, Verarbeitung oder Nutzung nicht überwiegt, insbesondere Art und Ausmaß im Hinblick auf den Anlass nicht unverhältnismäßig sind. (2) Absatz 1 ist auch anzuwenden, wenn personenbezogene Daten erhoben, verarbeitet oder genutzt werden, ohne dass sie automatisiert verarbeitet oder in oder aus einer nicht automatisierten Datei verarbeitet, genutzt oder für die Verarbeitung oder Nutzung in einer solchen Datei erhoben werden. (3) Die Beteiligungsrechte der Interessenvertretungen der Beschäftigten bleiben unberührt. 1 BVerfG v. 15.12.1983 – BvR 209, 269, 362, 420, 440, 484/83 – Volkszählung. 2 Vgl. LDI Saar, 21. TB, S. 85 = RDV 2008, zur Videoüberwachung eines Serverraumes.

Plath/Stamer/Kuhnke

|

719

§ 32 BDSG | Datenverarbeitung nicht-öffentlicher Stellen I. Einführung . . . . . . . . . . . . . . II. Anwendungsbereich 1. Persönlicher Anwendungsbereich . . . . . . . . . . . . . . . . . 2. Sachlicher Anwendungsbereich 3. Verhältnis zu anderen Vorschriften . . . . . . . . . . . . . . III. Erforderlichkeit und Verhältnismäßigkeit . . . . . . . IV. Grundsatz der Direkterhebung V. Begründung eines Beschäftigungsverhältnisses . . 1. Das Fragerecht des Arbeitgebers 2. Die „ungefragte“ Übermittlung personenbezogener Daten . . . . 3. Mitteilungspflichten des Bewerbers . . . . . . . . . . . . . . . 4. Andere Quellen der Datenerhebung . . . . . . . . . . . . 5. Erfolglose Bewerbung . . . . . . . 6. Fallgruppen . . . . . . . . . . . . . . VI. Durchführung des Beschäftigungsverhältnisses . . 1. Allgemeine Daten . . . . . . . . . . 2. Gesundheitsdaten . . . . . . . . . . VII. Überwachung im Beschäftigungsverhältnis 1. Einführung . . . . . . . . . . . . . . 2. Überwachung des E-Mail-Verkehrs . . . . . . . . . . . a) Verbotene Privatnutzung des dienstlichen E-Mail-Accounts aa) Erhebung, Verarbeitung oder Nutzung personenbezogener Daten . . . . . bb) Erlaubnis nach § 32 BDSG . . . . . . . . . . . . . cc) Erlaubnis aufgrund einer Betriebsvereinbarung oder einer Einwilligung b) Erlaubte Privatnutzung des dienstlichen E-Mail-Accounts aa) Wann ist die Privatnutzung erlaubt? . . . . . . . . bb) Folgen der erlaubten Privatnutzung . . . . . . .

720

|

Stamer/Kuhnke

1 4 6 8

3.

16 19

4.

20 23

5.

25 26 27 31 32 53 55 59 75 78 80 82

6. 7. 8. 9. 10. 11. VIII. IX. X. XI.

83 85

1.

88 95

2.

cc) Reichweite des Schutzes des Fernmeldegeheimnisses . . . . . . . . . . . . . 102 dd) Rechtfertigung eines Eingriffs in das Fernmeldegeheimnis . . . . . . 108 Überwachung der Internetnutzung . . . . . . . . . . . . . . . . . 113 Telefonüberwachung a) Kontrolle der Verbindungsdaten . . . . . . . . . . . . . . . . 116 b) Kontrolle des Gesprächsinhalts . . . . . . . . . . . . . . . . 118 Videoüberwachung . . . . . . . . . 119 a) Videoüberwachung von Räumen mit Publikumsverkehr . 122 b) Videoüberwachung nicht öffentlich-zugänglicher Arbeitsplätze . . . . . . . . . . . 125 c) Verdeckte Überwachung . . . 127 Mitarbeiterortung . . . . . . . . . . 129 Erfassung biometrischer Daten 132 Massenscreenings . . . . . . . . . . 133 Überwachung durch einen Detektiv . . . . . . . . . . . . . . . . .134a Sonstige Überwachungsformen 135 Beweisverwertungsverbote . . . . 137 Übermittlung von Beschäftigtendaten an Dritte . . . . . . . . . 143 Datenverwendung bei und nach Beendigung des Beschäftigungsverhältnisses . . 148 Rechtsfolgen von Verstößen gegen den Beschäftigtendatenschutz . . . . . . . . . . . . . . . . . . 151 Beteiligungsrechte der Interessenvertretungen der Beschäftigten . . . . . . . . . . . . . 152 Betriebsrat . . . . . . . . . . . . . . . 153 a) Eigener Umgang des Betriebsrats mit Beschäftigtendaten . . . . . . . . . . . . . . . . 155 b) Mitbestimmungsrechte des Betriebsrats . . . . . . . . . . . . 159 c) Zuständiges Gremium . . . . 162 Andere Interessenvertretungen 164

Datenerhebung für Zwecke des Beschäftigungsverhältnisses | § 32 BDSG Schrifttum: Alter, Rechtsprobleme betrieblicher Videoüberwachung, NJW 2015, 2375; Ambrock, Nach Safe Harbor: Schiffbruch des transatlantischen Datenverkehrs?, NZA 2015, 1493; Balzer/Nugel, Observierungen und Datenschutz – Rechtliche Grenzen und Verwertbarkeit von Ermittlungsergebnissen, NJW 2013, 3397; Barton, Betriebliche Übung und private Nutzung des Internetarbeitsplatzes „Arbeitsrechtliche Alternativen“ zur Wiedereinführung der alleinigen dienstlichen Verwendung, NZA 2006, 460; Bayreuther, Einstellungsuntersuchungen, Fragerecht und geplantes Beschäftigtendatenschutzgesetz, NZA 2010, 679; Bauer/Schansker, (Heimliche) Videoüberwachung durch den Arbeitgeber, NJW 2012, 3537; Bayreuther, Videoüberwachung am Arbeitsplatz, NZA 2005, 1038; Beck, „Fragerecht“ und „Recht zur Lüge“ – allgemeine Grundsätze und bereichsspezifische Besonderheiten der Anfechtbarkeit nach § 123 Abs. 1 Alt. 1 BGB bei einer Befragung des Täuschenden, 2004; Beckschulze/Natzel, Das neue Beschäftigtendatenschutzgesetz – Eine Darstellung des aktuellen Gesetzentwurfs vom 28.8.2010, BB 2010, 2368; Behrens, Eignungsuntersuchungen und Datenschutz, NZA 2014, 301; Benecke/Groß, Das Recht am eigenen Bild im Arbeitsverhältnis, NZA 2015, 833; Bergwitz, Prozessuale Verwertungsverbote bei unzulässiger Videoüberwachung, NZA 2012, 353; Besgen/Prinz, Handbuch Internet.Arbeitsrecht, 2. Aufl. 2009; Bier/Spiecker, Intelligente Videoüberwachungstechnik: Schreckensszenario oder Gewinn für den Datenschutz?, CR 2012, 610; Bommer, Chancen im Arbeitnehmerdatenschutz erkennen und nutzen, ZD 2015, 123; Brink/Schmidt, Die rechtliche (Un-)Zulässigkeit von Mitarbeiterscreenings – Vom schmalen Pfad der Legalität, MMR 2010, 592; Brink/Wybitul, Der „neue Datenschutz“ des BAG – Vorgaben zum Umgang mit Beschäftigtendaten und Handlungsempfehlungen zur Umsetzung, ZD 2014, 225; ZD 2015, 415; Brühl/Sepperer, E-Mail-Überwachung am Arbeitsplatz – Wer bewacht den Wächter, ZD 2015; Byers/Pracka, Die Zulässigkeit der Videoüberwachung am Arbeitsplatz, BB 2013, 760; Carpenter, Assessment Center generell rechtlich unbedenklich?, NZA 2015, 466; Conrad/Grützmacher, Recht der Daten und Datenbanken im Unternehmen, 2014; Dann/Gastell, Geheime Mitarbeiterkontrollen: Straf- und arbeitsrechtliche Risiken bei unternehmensinterner Aufklärung, NJW 2008, 2945; Däubler, Gläserne Belegschaften? Das Handbuch zum Arbeitnehmerdatenschutz, 2015; De Wolf, Kollidierende Pflichten: zwischen Schutz von E-Mails und „Compliance“ im Unternehmen, NZA 2010, 1206; Diller, „Konten-Ausspäh-Skandal“ bei der Deutschen Bahn: Wo ist das Problem? BB 2009, 438; Deutsch/Diller, Die geplante Neuregelung des Arbeitnehmerdatenschutzes in § 32 BDSG, DB 2009, 1462; Diller/Powietzka, Drogenscreening und Arbeitsrecht, NZA 2001, 1227; Domke, Was bedeutet die Safe-Harbor-Entscheidung des EuGH für Unternehmen und ihre Personalabteilungen? BB 2015, 2804; Dzida/Grau, Verwertung von Beweismitteln bei Verletzung des Arbeitnehmerdatenschutzes, NZA 2010, 1201; Dzida/Grau, Rechtsfolgen von Verstößen gegen den Beschäftigtendatenschutz, ZIP 2012, 504; Ehmann, Das „Datenschutz-Paket“ der Europäischen Kommission – Beginn einer Zeitwende im europäischen Datenschutz? jurisPR-ITR 4/22012; Ehrich, Fragerecht des Arbeitgebers bei Einstellungen und Folgen der Falschbeantwortung, DB 2000, 421; Erfurth, Der „neue“ Arbeitnehmerdatenschutz im BDSG, NJOZ 2009, 2914; Eufinger, Mitbestimmung des Betriebsrats bei der Nutzung sozialer Netzwerke, ArbRAktuell 2015, 340; Fahrig, Verhaltenskodex und Whistleblowing im Arbeitsrecht, NJOZ 2010, 975; Feige, Personaldaten(über) fluss – Konzerne als illegale Datensammler? ZD 2015, 116; Felixberger, Beschäftigtendatenschutz: Bayerisches Eckpunktepapier, DSB 2010, 11; Fleischmann, Betriebliche Übung zur Privatnutzung üblicher elektronischer Kommunikationsmittel – Erwiderung auf Koch, NZA 2008, 911; Forst, Wer ist „Beschäftigter“ i.S.d. § 3 Abs. 11 BDSG?, RDV 2014, 128; Forst, Bewerberauswahl über soziale Netzwerke im Internet?, NZA 2010, 427;

Stamer/Kuhnke

|

721

§ 32 BDSG | Datenverarbeitung nicht-öffentlicher Stellen Forst, Der Regierungsentwurf zur Regelung des Beschäftigtendatenschutzes, NZA 2010, 1043; Forst, Die Rechte des Arbeitnehmers infolge einer rechtswidrigen Datenverarbeitung durch den Arbeitgeber, AuR 2010, 106; Forst, Beschäftigtendatenschutz im Kommissionsvorschlag einer EU-Datenschutzverordnung, NZA 2012, 364; Franck/Krause, Datenschutzrechtliche Aspekte des Mindestlohngesetzes, DB 2015, 1285; Franzen, Beschäftigtendatenschutz: Was wäre besser als der Status quo?, RDV 2014, 200; Franzen, Rechtliche Rahmenbedingungen psychologischer Eignungstests, NZA 2013, 1; Frings/Wahlers, Social Media, iPad & Co. im Arbeitsverhältnis, BB 2011, 3126; Fröhlich, § 32 BDSG n.F. – Neuer Arbeitnehmerdatenschutz, ArbRB 2009, 300; Fülbier/Splittgerber, Keine (Fernmelde-) Geheimnisse vor dem Arbeitgeber?, NJW 2012, 1995; Gassner/Schmidl, Datenschutzrechtliche Löschungspflicht und zivilrechtliche Verjährungsvorschriften, RDV, 2004, 153; Ginal/Heinemann-Diehl, Transfer von Beschäftigtendaten in das Ausland, ArbRAktuell 2015, 568; Gola, Datenschutzrechtliche Aspekte des Tarifeinheitsgesetzes, RDV 2015, 183; Gola, Datenschutz bei der Kontrolle „mobiler“ Arbeitnehmer – Zulässigkeit und Transparenz, NZA 2007, 1139; Gola, Beschäftigtendatenschutz und EU-Datenschutz-Grundverordnung, EuZW 2012, 332; Gola, Informationsrecht abgelehnter Bewerber, NZA 2013, 360; Gola/Jaspers, Mindestlohnkontrolle durch Arbeitgeber?, RDV 2015, 113; Gola/Jaspers, § 32 Abs. 1 BDSG – eine abschließende Regelung? RDV 2009, 212; Gola/Klug, Die Entwicklung des Datenschutzrechts im ersten Halbjahr 2015, NJW 2015, 2628; Gola/Wronka, Handbuch zum Arbeitnehmerdatenschutz, Heidelberg 2010; Götz, Zur Zulässigkeit der Befragung von Stellenbewerbern nach Vorstrafen, BB 1971, 1325; Grau/Granetzny, EUUS-Privacy Shield – Wie sieht die Zukunft des transatlantischen Datenverkehrs aus?, NZA 2016, 405; Greßlin, Umgang mit Bewerberdaten – was geht und was nicht?, BB 2015, 117; Grimm/Schiefer, Videoüberwachung am Arbeitsplatz, RdA 2009, 329; Grobys, Wir brauchen ein Arbeitnehmerdatenschutzgesetz! – Replik auf Fleck, BB 2003, 306, BB 2003, 682; Grunewald, Der Einsatz von Personalauswahlverfahren und -methoden im Betrieb – ein faktisch rechtsfreier Raum? NZA 1996, 15; Hanau/Hoeren, Private Internetnutzung durch Arbeitnehmer, 2003; Haußmann/Kaufmann, Auswirkungen absehbarer Änderungen im Datenschutzrecht auf Whistleblowing-Systeme, ArbRAktuell 2011, 186; Haußmann/Krets, EDV-Betriebsvereinbarungen im Praxistest, NZA 2005, 259; Hohenstatt/Stamer/Hinrichs, Background Checks von Bewerbern in Deutschland: Was ist erlaubt? NZA 2006, 1065; Hoppe/Braun, Arbeitnehmer-E-Mails: Vertrauen ist gut – Kontrolle ist schlecht – Auswirkungen der neuesten Rechtsprechung des BVerfG auf das Arbeitsverhältnis, MMR 2010, 80; Hornung/Steidle, Biometrie am Arbeitsplatz – sichere Kontrollverfahren versus ausuferndes Kontrollpotential, AuR 2005, 201; Hummerl/Hilbrans, Übermittlung von Arbeitnehmerdaten im Konzernverbund im Rahmen eines konzerneinheitlichen Datenverarbeitungssystems, AuR 2005, 207; Husemann, Die Information über die Schwerbehinderung im Arbeitsverhältnis, RdA 2014, 16; Iraschko-Luscher/Kiekenbeck, Welche Krankheitsdaten darf der Arbeitgeber von seinem Mitarbeiter abfragen? NZA 2009, 1239; Jaspers, Beschäftigtendatenschutz – Warten auf Brüssel?, RDV 2014, 175; Joussen, Schwerbehinderung, Fragerecht und positive Diskriminierung nach dem AGG, NZA 2007, 174; Joussen, Die Zulässigkeit von vorbeugenden Torkontrollen nach dem neuen BDSG, NZA 2010, 254; Joussen, Das erweiterte Führungszeugnis im Arbeitsverhältnis, NZA 2012, 776; Kamps/Bonanni, Was tun mit „Unsafe Harbor“? Die Übermittlung personenbezogener Daten in die USA nach dem EuGH-Urteil; ArbRB 2015, 378; Kania/Sansone, Möglichkeiten und Grenzen des Pre-Employment-Screenings, NZA 2012, 360; Keber, Rechtskonformer Einsatz von Social Media im Unternehmen – ausgewählte Einzelaspekte im Lichte aktueller Rechtsprechung, RDV 2014, 190; Keller, Die ärztliche

722

|

Stamer/Kuhnke

Datenerhebung für Zwecke des Beschäftigungsverhältnisses | § 32 BDSG Untersuchung des Arbeitnehmers im Rahmen des Arbeitsverhältnisses, NZA 1988, 561; Koch, Rechtsprobleme privater Nutzung betrieblicher elektronischer Kommunikationsmittel, NZA 2008, 911; Kock/Francke, Mitarbeiterkontrolle durch systematischen Datenabgleich zur Korruptionsbekämpfung, NZA 2009, 646; Körner, Moderner Datenschutz für die Beschäftigten: Ein Ende der Skandale? Gutachten zum Regierungsentwurf zur Regelung des Beschäftigtendatenschutzes, 2010; Kort, Betriebsrat und Arbeitnehmerdatenschutz, ZD 2016, 3; Kort, Das Dreiecksverhältnis von Betriebsrat, betrieblichem Datenschutzbeauftragten und Aufsichtsbehörde beim Arbeitnehmer-Datenschutz, NZA 2015, 1345; Kort, Informationsrechte des Betriebsrats nach § 80 II BetrVG bei Mitarbeitergesprächen, Zielvereinbarungen und Talent Management, NZA 2015, 520; Kort, Grenzen des Zugriffs des Sprecherausschusses auf Personaldaten leitender Angestellter, NZA-RR 2015, 113; Kort, Rechte des Betriebsrats auf Daten der elektronischen Personalakte – Aufgabenerfüllung der Personalvertretung und Arbeitnehmerdatenschutz, ZD 2015, 3; Kort, Die Stellung des Betriebsrats im System des Beschäftigtendatenschutzes, RDV 2012, 8; Kramer, Beschäftigtendatenschutz – Erster Referentenentwurf liegt vor, DSB 2010, 7; Kratz/Gubbels, Beweisverwertungsverbote bei privater Internetnutzung am Arbeitsplatz, NZA 2009, 652; Krimphove, Das Gendiagnostikgesetz, AuA 2010, 340; Kursawe/Nebel, „Sozialübliche innerbetriebliche Kommunikation“ – Zum Anwendungsbereich des Beschäftigtendatenschutzes, BB 2012, 516; Lang/Lachenmann, Kein Mitbestimmungsrecht bei Videokamera-Attrappen, NZA 2015, 591; Lichtenberg/Schücking, Stand der arbeitsrechtlichen Diskussion zur HIV-Infektion und AIDS-Erkrankung, NZA 1990, 41; Lönisch/ Mysliniec, Datenschutz bei Anforderung und Nutzung erweiterter Führungszeugnisse, NJW 2012, 2389; Lunk, Prozessuale Verwertungsverbote im Arbeitsrecht, NZA 2009, 457; Mähner, Neuregelung des § 32 BDSG zur Nutzung personenbezogener Mitarbeiterdaten – Am Beispiel der Deutschen Bahn, MMR 2010, 379; Maier/Garding, Einsatz eines Privatdetektivs im Arbeitsrecht, DB 2010, 559; Mathies, Arbeitnehmerüberwachung mittels Kamera?, NJW 2008, 2219; Mengel, Compliance und Arbeitsrecht, 2009; Mengel, Kontrolle der E-Mail- und Internetkommunikation am Arbeitsplatz, BB 2004, 2014; Milthaler, Das Fragerecht des Arbeitgebers nach den Vorstrafen des Bewerbers, 2006; Novara, Bewerberauswahl nach Kundenwünschen?, NZA 2015, 142; Oberwetter, Arbeitnehmerrechte bei Lidl, Aldi & Co, NZA 2008, 609; Oberwetter, Soziale Netzwerke im Fadenkreuz des Arbeitsrechts, NJW 2011, 417; Peuser, EU-Verordnungen zur Terrorismusbekämpfung in Unternehmen, DuD 2006, 680; Pletke, Die Zulässigkeit von Genomanalysen an Arbeitnehmern im deutschen und US-amerikanischen Recht, 1995; Rasmussen-Bonne/Raif, Neues beim Beschäftigtendatenschutz – Worauf sich Unternehmen einstellen müssen, GWR 2011, 80; Raif, Beschäftigtendatenschutz: Wird alles neu bei der Arbeitnehmerkontrolle? ArbRAktuell 2010, 359; Richardi, Arbeitsrechtliche Probleme bei Einstellung und Entlassung AIDS-infizierter Arbeitnehmer, NZA 1988, 73; Riesenhuber, Der Einsichts- und Löschungsanspruch nach §§ 34, 35 BDSG im Beschäftigungsverhältnis – Am Beispiel der Personalakten, NZA 2014, 753; Roeder/Buhr, Die unterschätzte Pflicht zum Terrorlistenscreening von Mitarbeitern, BB 2011, 1333; Sassenberg/Mantz, Die (private) E-Mail-Nutzung im Unternehmen, BB 2013, 889; Schimmelpfennig/Wenning, Arbeitgeber als Telekommunikationsdienste-Anbieter? – Eingeschränkter Zugriff auf elektronische Geschäftskorrespondenz bei zugelassener Privatnutzung von E-Mail und Internet am Arbeitsplatz, DB 2006, 2290; Scheben/Klos, Analyse von Chatprotokollen und Emails – Was ist erlaubt? Was ist verwertbar?, CCZ 2013, 88; Schulz, Compliance – Internes Whistleblowing, BB 2006, 629; Steinkühler, BB-Forum: Kein Datenproblem bei der Deutschen Bahn AG? Mitnichten! BB 2009, BB 1294; Straube/Klagges/Siebert, Beschäftigtendatenschutz: Wiedervor-

Stamer/Kuhnke

|

723

§ 32 BDSG | Datenverarbeitung nicht-öffentlicher Stellen lage in vier Jahren?, ArbRAktuell 2012, 81; Stück/Wein, Die ärztliche Untersuchung des Arbeitnehmers Voraussetzungen, Inhalt und Rechtsfolgen, NZA-RR 2005, 505; Thum/ Szczesny, Background Checks im Einstellungsverfahren: Zulässigkeit und Risiken für Arbeitgeber, BB 2007, 2405; Thüsing, Verbesserungsbedarf beim Beschäftigtendatenschutz, NZA 2011, 16; Thüsing, Beschäftigtendatenschutz und Compliance, 2014; Thüsing, Datenschutz im Arbeitsverhältnis – Kritische Gedanken zum neuen § 32 BDSG, NZA 2009, 865; Tinnefeld/Petri/Brink, Aktuelle Fragen um ein Beschäftigtendatenschutzgesetz – Eine erste Analyse, MMR 2010, 727; Tinnefeld/Rauhofer, Whistleblower: Verantwortungsbewusste Mitarbeiter oder Denunzianten? DuD 2008, 717; Traut, Screening von Beschäftigtendaten ohne und mit Anlass, RDV 2014, 119; Vietmeyer/Byers, Der Arbeitgeber als TK-Anbieter im Arbeitsverhältnis-Geplante BDSG-Novelle lässt Anwendbarkeit des TKG im Arbeitsverhältnis unangetastet, MMR 2010, 807; Wächter, Beschäftigtendatenschutz bei nutzergenerierten sozialen Netzwerken, JurPC Web-Dok. 28/2011, Abs. 1–174; Waltermann, Anspruch auf private Internetnutzung durch betriebliche Übung, NZA 2007, 529; Warga, Datenerhebung bei Bewerbern und Beschäftigten – Rechtslage nach der 2. Novelle zum BDSG 2009, Der Personalrat 2010, 97; Wiese, Gendiagnostikgesetz und Arbeitsleben, BB 2009, 2198; Wiese, Internet und Meinungsfreiheit des Arbeitgebers, Arbeitnehmers und Betriebsrats, NZA 2012, 1; Willemsen/Brune, Alkohol und Arbeitsrecht, DB 1988, 2304; Wisskirchen/Bissels, Das Fragerecht des Arbeitgebers bei Einstellung unter Berücksichtigung des AGG, NZA 2007, 169; Wisskirchen/Körber/Bissels, „Whistleblowing“ und „Ethikhotlines“, BB 2006, 1567; Wybitul, Handbuch Datenschutz im Unternehmen, 2011; Wybitul, Wie viel Arbeitnehmerdatenschutz ist „erforderlich“? BB 2010, 1085; Wybitul, E-MailAuswertung in der betrieblichen Praxis, NJW 2014, 3605; Wybitul, Neue Spielregeln bei Betriebsvereinbarungen und Datenschutz, NZA 2014, 225; Wybitul, Datenschutz am Arbeitsplatz – Was sind die aktuellen Vorgaben der Rechtsprechung?, ZD 2015, 453; Wybitul/Böhm, Freier Wille auch im Arbeitsverhältnis?, BB 2015, 2101; Wybitul, Das neue Bundesdatenschutzgesetz: Verschärfte Regeln für Compliance und interne Ermittlungen, BB 2009, 1582; Wybitul/Fladung, EU-Datenschutz-Grundverordnung – Überblick und arbeitsrechtliche Betrachtung des Entwurfs, BB 2012, 509.

I. Einführung 1 Bereits in den achtziger Jahren des 20. Jahrhunderts hatten Datenschutzbeauf-

tragte des Bundes und der Länder bereichsspezifische Regelungen zum Arbeitnehmerdatenschutz gefordert. Im neuen Jahrtausend hatten diese Forderungen neue Nahrung erhalten, nachdem vermeintliche wie echte „Datenschutzskandale“ in unterschiedlichen deutschen Großunternehmen bekannt geworden waren. Auf dem Weg hin zu einem umfassend kodifizierten Beschäftigtendatenschutz hat der 16. Deutsche Bundestag dann zunächst mit § 32 eine Grundsatzregelung getroffen, die nach dem erklärten Willen des Gesetzgebers die von der Rechtsprechung entwickelten allgemeinen Grundsätze zum Datenschutz im Beschäftigungsverhältnis, insbesondere zum Fragerecht des Arbeitgebers, zusammenfassen soll1. Die Regelung geht zurück auf Art. 1 Nr. 12 des Gesetzes zur Änderung

1 BT-Drucks. 16/13657, S. 20.

724

|

Stamer/Kuhnke

Datenerhebung für Zwecke des Beschäftigungsverhältnisses | § 32 BDSG

datenschutzrechtlicher Vorschriften vom 14.8.2009 und ist zum 1.9.2009 in Kraft getreten. Die „Arbeiten zu einem Arbeitnehmerdatenschutz“ sollten indessen bereits nach der Vorstellung des damaligen Entwurfsgebers fortgeführt werden. Im November 2009 brachte die SPD-Bundestagsfraktion den Entwurf eines eigenständigen Beschäftigtendatenschutzgesetzes in den Deutschen Bundestag ein1. Im August 2010 beschloss sodann das Bundeskabinett einen Regierungsentwurf, der zwar kein separates Beschäftigtendatenschutzgesetz, immerhin aber einen eigenen Unterabschnitt „Datenerhebung, -verarbeitung und -nutzung für Zwecke des Beschäftigungsverhältnisses“ im BDSG vorsieht2. Der hierzu erfolgten Stellungnahme des Bundesrates3 trug die Bundesregierung durch ihre Gegenäußerung4 indessen nur wenig Rechnung. Im September 2011 erfolgte sodann ein erneuter Antrag der SPD-Fraktion zur Regelung des Beschäftigtendatenschutzes in einem eigenen Gesetz5. Einigkeit konnte allerdings weiterhin nicht erzielt werden. Vor dem Hintergrund der europäischen datenschutzrechtlichen Entwicklungen ist eine Verwirklichung des Gesetzesvorhabens zwischenzeitlich mindestens fraglich. In den 28 Mitgliedstaaten der Europäischen Union bestehen bislang 28 unter- 2 schiedliche Datenschutzregimes. Das jeweilige inländische Datenschutzrecht muss sich im Rahmen der EG-Datenschutzrichtlinie6 bewegen, einer Richtlinie, die vom 24.10.1995 stammt und die seither nicht verändert worden ist7. Nicht zuletzt vor dem Hintergrund der enormen technologischen Entwicklungen seither hatte die Europäische Kommission bereits im Jahre 2012 einen Vorschlag für einen neuen Rechtsrahmen zum Schutz personenbezogener Daten in der EU skizziert8. Jener beinhaltet einerseits eine Richtlinie zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch Behörden im Zusammenhang mit der Verfolgung von Straftaten, der Strafvollstreckung sowie zum freien Datenverkehr9. Andererseits soll der künftige Rechtsrahmen eine 1 BT-Drucks. 17/69. 2 BT-Drucks. 17/4230; im Folgenden werden Entwurfsregelungen als „BDSG-E 2010“ kenntlich gemacht. 3 BR-Drucks. 535/10. 4 Anlage 4 zur BT-Drucks. 17/4230. 5 BT-Drucks. 17/7176. 6 Richtlinie 95/46/EG des Europäischen Parlaments und des Rates v. 24.10.1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr, ABl L 281 v. 23.11.1995, S. 31. 7 Nach einem Urteil des EuGH vom 24.11.2011, dessen Ausgangspunkt ein Verfahren des Tribunal Supremo Spaniens war, dürfen die Mitgliedstaaten keine Gesetze haben, die von der EG-Datenschutzrichtlinie abweichende oder zusätzliche Bedingungen für die Verarbeitung personenbezogener Daten haben (EuGH v. 24.11.2011 – C-468/10, NZA 2011, 1409). 8 „Der Schutz der Privatsphäre in einer vernetzten Welt – Ein europäischer Datenschutzrahmen für das 21. Jahrhundert“, KOM(2012) 9 endgültig; vgl. dazu auch Forst, NZA 2012, 364; Gola, EuZW 2012, 332. 9 KOM(2012) 10 endgültig.

Stamer/Kuhnke

|

725

§ 32 BDSG | Datenverarbeitung nicht-öffentlicher Stellen „Datenschutz-Grundverordnung“ zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr umfassen1. 3 Am 15.12.2015 haben sich EU-Parlament, EU-Ministerrat und EU-Kommission

im sog. Trilog-Verfahren auf eine endgültige Fassung der DSGVO verständigt, die nach Art. 99 Abs. 2 DSGVO ab 25. Mai 2018 gilt. Nach Art. 94 Abs. 1 DSGVO wird die Richtlinie 95/46/EG zum selben Zeitpunkt aufgehoben. Ab dem 25. Mai 2018 gelten dann in allen 28 EU-Mitgliedstaaten einheitliche Datenschutz-Mindeststandards nach Maßgabe der DSGVO2, wobei Art. 88 DSGVO für den Beschäftigtendatenschutz Sonderregelungen und insbesondere eine Öffnungsklausel hinsichtlich – spezifischerer – nationaler Regelungen beinhaltet (zur Fortgeltung von § 32 vgl. die Komm. zu Art. 88 DSGVO)3. Der gültige Koalitionsvertrag sieht insoweit vor, dass wenn mit einem Anschluss der Verhandlungen über die DSGVO nicht in angemessener Zeit gerechnet werden könne, „hiernach eine Regelung zum Beschäftigtendatenschutz getroffen werden soll“4. Auf dieser Grundlage ist jedenfalls in dieser Legislaturperiode nicht mehr mit einer neuen Regelung zum Beschäftigtendatenschutz zu rechnen.

3a Bereits am 6.10.2015 hat der EuGH die Entscheidung der Kommission, in der

auf Grundlage der EG-Datenschutzrichtlinie festgestellt wird, dass die Vereinigten Staaten von Amerika ein angemessenes Schutzniveau übermittelter personenbezogener Daten gewährleisten (Safe Harbor)5, für unvereinbar mit der EG-Datenschutzrichtlinie erklärt6. Unternehmen, die personenbezogene Daten an US-amerikanische Gesellschaften weiterleiten oder diesen Zugriff auf solche Daten verschaffen, können sich nun nicht mehr auf die Safe Harbor-Grundsätze berufen7.

1 KOM(2012) 11 endgültig; dazu näher Ehmann, jurisPR-ITR 4/2012; Wybitul/Fladung, BB 2012, 509. 2 Anders als Richtlinien finden Verordnungen in den Mitgliedstaaten unmittelbare Anwendung und bedürfen daher keiner nationalen Umsetzung, vgl. Art. 288 Abs. 2 AEUV. 3 Zur Frage der Regelungskompetenz der EU für einen Beschäftigtendatenschutz vgl. Franzen, RDV 2014, 200 (201). 4 S. 50 des Koalitionsvertrags zwischen CDU, CSU und SPD. 5 Entscheidung 2000/520/EG der Kommission vom 26.7.2000 gemäß der Richtlinie 95/46/ EG des Europäischen Parlaments und des Rates über die Angemessenheit des von den Grundsätzen des „sicheren Hafens“ und der diesbezüglichen „Häufig gestellten Fragen“ (FAQ) gewährleisteten Schutzes, vorgelegt vom Handelsministerium der USA (ABl. L 215, S. 7). 6 EuGH v. 6.10.2015 – C-362/14; zu den Konsequenzen im Hinblick auf den Beschäftigtendatenschutz vgl. Ambrock, NZA 2015, 1493; Domke, BB 2015, 2804; Ginal/Heinemann-Diehl, ArbRAktuell 2015, 568; Grau/Granetzky, NZA 2016, 405; Kamps/Bonanni, ArbRB 2015, 378. 7 Zum künftigen Transfer von Beschäftigtendaten in die USA vgl. Ambrock, NZA 2015, 1493; Domke, BB 2015, 2804; Ginal/Heinemann-Diehl, ArbRAktuell 2015, 568; Grau/ Granetzky, NZA 2016, 405; Kamps/Bonanni, ArbRB 2015, 378.

726

|

Stamer/Kuhnke

Datenerhebung für Zwecke des Beschäftigungsverhältnisses | § 32 BDSG

II. Anwendungsbereich 1. Persönlicher Anwendungsbereich Dem persönlichen Anwendungsbereich des § 32 unterfallen Beschäftigte i.S.v. 4 § 3 Abs. 11. Ausweislich der Gesetzesmaterialien ist der Begriff des Beschäftigungsverhältnisses nicht identisch mit dem im Sozialversicherungsrecht verwendeten Begriff1. Im Übrigen nennt § 3 Abs. 11, wer Beschäftigte sind. Die Vorschrift gilt demnach nicht nur für Arbeitnehmer, sondern auch für die weiteren dort genannten Personengruppen. Insbesondere erstreckt sich der Anwendungsbereich auf Bewerber für ein Beschäftigungsverhältnis sowie bereits ausgeschiedene Arbeitnehmer hinsichtlich ihres früheren Beschäftigungsverhältnisses. Weiter zählen zu den Beschäftigten u.a. Beamte und Richter. Freie Mitarbeiter unterfallen dem Beschäftigtendatenschutz nicht, es sei denn, sie sind aufgrund ihrer wirtschaftlichen Unselbständigkeit als arbeitnehmerähnliche Personen anzusehen, vgl. § 3 Abs. 11 Nr. 6. Nicht nur der explizite Hinweis in der Gesetzesbegründung, sondern gerade auch die Regelung in § 3 Abs. 11 Nr. 6 belegen, dass Organe wie Geschäftsführer und Vorstände keine Beschäftigten i.S.d. Vorschrift sind (zum Beschäftigtenbegriff im Einzelnen s. § 3 Rz. 87). Eine analoge Anwendung kommt bereits aufgrund der eindeutigen Formulierungen in § 3 Abs. 11 nicht in Betracht. Für die Erhebung, Verarbeitung und Nutzung personenbezogener Daten von Organen ist daher weiterhin insbesondere § 28 Abs. 1 maßgeblich2. Fraglich ist unterdessen, ob es hierbei für Fremdgeschäftsführer einer GmbH auch nach Inkrafttreten der DSGVO bleiben kann (vgl. dazu im Einzelnen die Komm. zu Art. 88 DSGVO Rz. 15)3. Fraglich ist weiter, ob Leiharbeitnehmer im Betrieb des Entleihers dem Anwendungsbereich des § 32 unterliegen4. Wäre der Anwendungsbereich des § 32 im Verhältnis zum Entleiher mangels Beschäftigungsverhältnisses nicht eröffnet, griffen in diesem Rahmen die Vorschriften des BDSG lediglich bei einer automatisierten Erhebung, Nutzung oder Verarbeitung ihrer personenbezogenen Daten gemäß § 285. Eine solche Betrachtung würde der „aufgespaltenen Arbeitgeberstellung“6 im Falle des Einsatzes von Leiharbeitnehmern in einem Entleiherbetrieb aber nicht gerecht (vgl. dazu auch nachfolgend unter Rz. 14; näher dazu § 3 BDSG Rz. 88). Eine Legaldefinition des Arbeitgeberbegriffs im Beschäftigtendatenschutz ent- 5 hält das BDSG nicht7. Er ist grundsätzlich spiegelbildlich zum Beschäftigten1 BT-Drucks. 16/13657, S. 17. 2 S. aber § 6 Abs. 3 AGG zur – beschränkten – Anwendbarkeit des Allgemeinen Gleichbehandlungsgesetzes. 3 Vgl. dazu auch Simitis/Seifert, § 32 BDSG Rz. 3b. 4 Offengelassen in BAG v. 15.4.2015 – 1 ABR 2/13, NZA 2014, 551, Rz. 49. 5 Vgl. zum Streitstand Forst, RDV 2014, 128, (130). 6 Vgl. für den Bereich des BetrVG BAG v. 13.3.2013 – 7 ABR 69/11, NZA 2013, 789. 7 S. aber § 3 Abs. 13 BDSG-E 2010, BT-Drucks. 17/4230, S. 4.

Stamer/Kuhnke

|

727

§ 32 BDSG | Datenverarbeitung nicht-öffentlicher Stellen begriff zu sehen. Mithin ist auch der Entleiher Arbeitgeber, da ihm der Arbeitnehmer für den Zeitraum der Entleihung als Arbeitnehmer überlassen ist (s. dazu Rz. 4). Im Übrigen ist der Anwendungsbereich von § 32 in § 12 Abs. 4 für die Datenverarbeitung der öffentlichen Stellen, die nicht am Wettbewerb teilnehmen, und in § 27 Abs. 1 für die Datenverarbeitung nicht-öffentlicher Stellen sowie öffentlich-rechtlicher Wettbewerbsunternehmen eröffnet. 2. Sachlicher Anwendungsbereich 6 In sachlicher Hinsicht erstreckt sich der Geltungsbereich auf die Datenverwen-

dung für Zwecke des Beschäftigungsverhältnisses. Das Dateierfordernis des § 27 Abs. 1 Satz 2 ist für den Beschäftigtendatenschutz durch § 32 Abs. 2 aufgehoben1. § 32 gilt folglich für das Erheben, Verarbeiten und Nutzen von Beschäftigtendaten durch den Arbeitgeber für Zwecke eines früheren, bestehenden oder zukünftigen Beschäftigtenverhältnisses auch, wenn Beschäftigtendaten erhoben, verarbeitet oder genutzt werden, ohne dass sie automatisiert verarbeitet oder in oder aus einer nicht automatisierten Datei verarbeitet, genutzt oder für die Verarbeitung oder Nutzung in einer solchen Datei erhoben werden. Damit gilt der Beschäftigtendatenschutz insbesondere auch für nicht digitalisierte Personalakten2. Demgegenüber erfasst die DSGVO nach Art. 2 Abs. 1 lediglich die automatisierte Verarbeitung personenbezogener Daten sowie die nichtautomatisierte Verarbeitung personenbezogener Daten zur Speicherung in einer Datei (vgl. dazu die Komm. zu Art. 2 DSGVO Rz. 5 ff.)3.

7 Wegen des Verzichts auf das Dateierfordernis erfasst der sachliche Anwen-

dungsbereich auch Befragungen oder handschriftliche Notizen für Zwecke des Beschäftigungsverhältnisses, bspw. also Bewerbungsgespräche oder Personalgespräche und dazu erfolgte handschriftliche Aufzeichnungen4, oder tatsächliche Vorgänge wie Schrankkontrollen5. Eine Einschränkung ist für innerbetriebliche Kommunikationen zu machen6. So soll Absatz 2 laut Gesetzesmaterialien den

1 S. zudem § 27 Abs. 3 BDSG-E 2010, der für den sachlichen Anwendungsbereich des Beschäftigtendatenschutzes ebenfalls auf das Dateierfordernis verzichtet. 2 Zur Nichtanwendbarkeit von § 34 BDSG für ein Einsichtsrecht in die Personalakte nach Beendigung des Arbeitsverhältnisses vgl. BAG v. 16.11.2010 – 9 AZR 573/09, NJW 2011, 1306; kritisch dazu Riesenhuber, NZA 2014, 753 (756). 3 Zur Vereinbarkeit von § 32 Abs. 2 mit dem Gebot der Vollharmonisierung vgl. Simitis/ Seifert, § 32 BDSG Rz. 3a. 4 Zur Datenerhebung im Rahmen von Assessment Centern s. Carpenter, NZA 2015, 466. 5 Vgl. dazu BAG v. 20.3.2013 – 2 AZR 546/12, NZA 2014, 143, Rz. 24. 6 In seiner Stellungnahme zu § 27 Abs. 3 BDSG-E 2010 hat der Bundesrat ausgeführt, es solle im weiteren Verlauf des Gesetzgebungsverfahrens geprüft werden, ob in Bezug auf den Verzicht auf das Dateierfordernis folgender Halbs. anzufügen wäre: „es sei denn, die Daten sind Gegenstand sozialüblicher innerbetrieblicher Kommunikation“. S. dazu auch Kursawe/Nebel, BB 2012, 516.

728

|

Stamer/Kuhnke

Datenerhebung für Zwecke des Beschäftigungsverhältnisses | § 32 BDSG

„von der Rechtsprechung aufgestellten Grundsätzen des Datenschutzes im Beschäftigungsverhältnis“ entsprechen. Insoweit verweist die Beschlussempfehlung auf zwei Entscheidungen des BAG zu Gesundheitsdaten in nicht elektronischen Personalakten1. Nach Maßgabe dieser Rechtssätze sind zu einer nicht elektronischen Personalakte genommene Gesundheitsdaten vor unbefugter zufälliger Kenntnisnahme durch Einschränkung des Kreises der Informationsberechtigten zu schützen. Überdies entspricht Absatz 2 nach der Beschlussempfehlung dem früheren § 12 Abs. 4 Halbs. 2 (a.F.). Hierbei handelte es sich um den Verzicht auf das Dateierfordernis für die Datenverarbeitung der öffentlichen Stellen, die nicht am Wettbewerb teilnehmen, im Rahmen von dienst- oder arbeitsrechtlichen Rechtsverhältnissen2. Insoweit war wiederum angenommen worden, es handele sich um eine Klarstellung, wonach auch die Verarbeitung personenbezogener Daten in Personalakten unter den gesetzlichen Schutz fällt3. Auf Grundlage der Gesetzesmaterialien kann daher für innerbetriebliche Kommunikationsvorgänge angenommen werden, dass diese jedenfalls so lange, wie es sich tatsächlich nur um einen üblichen Umgang untereinander handelt, nicht den Beschränkungen des § 32 unterfallen4. Dies entspricht auch dem Schutzzweck der Norm. Eine Anwendung von § 28 scheidet bereits deshalb aus, weil das dort bestehende Dateierfordernis durch solche Kommunikationsvorgänge nicht erfüllt wird. 3. Verhältnis zu anderen Vorschriften Vor Inkrafttreten der Vorschrift bestimmte sich die Zulässigkeit der Datenver- 8 arbeitung im Beschäftigungsverhältnis nach § 28. Nunmehr stellt sich die Frage nach der Abgrenzung des § 32 zu anderen Erlaubnistatbeständen, die teilweise weiterreichend sind. Vor allem stellt sich die Frage nach dem Verhältnis von § 32 zu § 28. Die Gesetzesmaterialien sind nicht eindeutig. So heißt es dort zunächst, § 28 Abs. 1 Satz 1 Nr. 1 werde im Hinblick auf Beschäftigungsverhältnisse „konkretisiert und insoweit verdrängt“. Dies soll auch für § 28 Abs. 1 Satz 2 gelten. Die „übrigen einschlägigen allgemeinen und bereichsspezifischen Datenschutzvorschriften, die eine Datenerhebung, -verarbeitung oder -nutzung erlauben oder anordnen, […]“ würden durch § 32 nicht verdrängt5. Einige Sätze später führt der Gesetzgeber dann allerdings – pauschalierend – aus, § 28 Abs. 1 fände keine Anwendung, wenn personenbezogene Daten eines Beschäftigten für 1 BAG v. 15.7.1987 – 5 AZR 215/86, NZA 1988, 53 und BAG v. 12.9.2006 – 9 AZR 271/06, NZA 2007, 269; vgl. hierzu auch Deutsch/Diller, DB 2009, 1462. 2 Nach Thüsing, NZA 2009, 865 (869), wurde damit eine Gleichstellung mit den Beschäftigten im öffentlichen Bereich bewirkt, da für die Arbeitnehmer im privaten Bereich bislang § 27 Abs. 1 Satz 1 BDSG maßgeblich war. 3 Gola/Schomerus, § 12 BDSG Rz. 9. 4 Vgl. insoweit auch § 27 Abs. 1 Satz 2 BDSG. 5 BT-Drucks. 16/13657, S. 20.

Stamer/Kuhnke

|

729

§ 32 BDSG | Datenverarbeitung nicht-öffentlicher Stellen Zwecke des Beschäftigungsverhältnisses erhoben, verarbeitet oder genutzt werden. Für „andere Zwecke“ könnten auch im Verhältnis von Arbeitgeber und Beschäftigten die Erlaubnisnormen des BDSG und anderer Gesetze weiterhin Anwendung finden. Explizit nennt die Begründung die Regelungen über die Datenverarbeitung zur Wahrung berechtigter Interessen des Arbeitgebers nach § 28 Abs. 1 Satz 1 Nr. 21 und über die Datenübermittlung und -nutzung zur Wahrung berechtigter Interessen eines Dritten, § 28 Abs. 3 Satz 1 Nr. 1 (a.F.)2. 9 Mit Rücksicht auf die Gesetzesmaterialien wird teilweise angenommen, § 32 ver-

dränge § 28 stets, wenn es um Zwecke des Beschäftigungsverhältnisses geht, Anwendungsraum für die Bestimmungen in § 28 bliebe demnach nur für „beschäftigungsfremde“ Zwecke3. Ein Rückgriff auf § 28 Abs. 1 wäre folglich zwar zulässig, soweit es bspw. um die Bereitstellung von Beschäftigtendaten an potentielle Käufer im Rahmen einer Due Diligence geht4. Unzulässig wäre dagegen ein Rückgriff auf die Erlaubnisnorm des § 28 Abs. 1 Nr. 3 hinsichtlich allgemein zugänglicher Beschäftigtendaten für Zwecke des Beschäftigungsverhältnisses5. Ein solches Verständnis lässt sich der Gesetzesbegründung unterdessen nicht entnehmen. Während nämlich § 28 Abs. 1 unterschiedliche Regelungen für öffentlich zugängliche und nicht öffentlich zugängliche personenbezogene Daten enthält, trifft § 32 insoweit keine Unterscheidung. Gleichermaßen regelt § 32 nicht den Umgang mit besonderen Arten personenbezogener Daten von Beschäftigten nach § 3 Abs. 9, spezielle Regelungen hierzu enthalten dagegen die Abs. 6–8 in § 28. Diese sind nach dem erklärten Willen des Gesetzgebers indessen weiterhin anwendbar (dazu auch Rz. 11)6. Die Ausführungen des Gesetzgebers sind daher so zu verstehen, dass § 32 die Vorschriften in § 28 verdrängt, soweit § 32 entsprechende Regelungen überhaupt enthält7. Für dieses Verständnis spricht auch die vorgesehene Regelung in § 32a Abs. 6 BDSG-E 2010. Jene Vorschrift schreibt den Grundsatz der Direkterhebung eigens für Beschäftigtendaten fest. Beschränkt wird die Informationsbeschaffung des Arbeitgebers aus allgemein zugänglichen Quellen allerdings nur hinsichtlich sozialer Netzwerke wie facebook oder studiVZ, während der Arbeitgeber wiederum Daten aus be-

1 Thüsing sieht hierin eine „unbemerkte“ Klarstellung, da das Schrifttum vor Inkrafttreten des § 32 BDSG teilweise von einer Unanwendbarkeit des § 28 Abs. 1 Satz 1 Nr. 2 ausgegangen war (Thüsing, NZA 2009, 865 [869]). 2 Jetzt § 28 Abs. 2 Satz 1 Nr. 2a BDSG. 3 Erfurth, NJOZ 2009, 2914 (2922); vgl. dazu auch Däubler/Klebe/Wedde/Weichert/Däubler, § 32 BDSG Rz. 8. 4 Vgl. hierzu auch Forst, NZA 2010, 1043 (1044); Beckschulze/Natzel, BB 2010, 2368; Kramer, DSB 2010, 7; zur Erhebung und Weitergabe von Beschäftigtendaten im Rahmen von § 13 MiLoG i.V.m. § 14 AEntG s. Franck/Krause, DB 2015, 1285; Gola/Jaspers, RDV 2015, 113. 5 Däubler/Klebe/Wedde/Weichert/Däubler, § 32 BDSG Rz. 8. 6 BT-Drucks. 16/13657, S. 21. 7 Vgl. dazu auch Feige, ZD 2015. 116 (118).

730

|

Stamer/Kuhnke

Datenerhebung für Zwecke des Beschäftigungsverhältnisses | § 32 BDSG

ruflichen Netzwerken wie LinkedIn oder Xing nutzen darf. Insoweit heißt es in der Begründung zum Regierungsentwurf 2010, „im Internet bei bestimmungsgemäßer Nutzung abrufbare Daten“ seien allgemein zugänglich1. Offenbar geht also der Entwurfsgeber de lege lata von einer Anwendbarkeit des § 28 Abs. 1 Nr. 3 für die Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses aus. Unbedacht gewählt ist die Formulierung des Gesetzgebers, wenn er meint, § 32 10 verdränge § 28 Abs. 1 Satz 2, wonach bei der Erhebung personenbezogener Daten die Zwecke, für die die Daten verarbeitet oder genutzt werden sollen, konkret festzulegen sind; einer weiteren konkreten Festlegung der Zwecke nach § 28 Abs. 1 Satz 2 durch den Arbeitgeber bedürfe es demnach nicht mehr2. Zwar regelt § 32 die Datenerhebung, -verarbeitung und -nutzung „für Zwecke des Beschäftigungsverhältnisses“ und legt den Zweck damit scheinbar selbst fest. Hierbei handelt es sich aber lediglich um eine allgemeine Festlegung, und es liefe dem Zweck des Beschäftigtendatenschutzes wider, wenn außerhalb von Beschäftigungsverhältnissen eine Datenerhebung „ins Blaue hinein“ unzulässig wäre, der Arbeitgeber aber „zum Zwecke eines Beschäftigungsverhältnisses“ genau dies dürfte, ohne den konkreten Zweck festzulegen. Im Wortlaut des § 32 finden sich für die Annahmen des Gesetzgebers ohnehin keine Anhaltspunkte. Zwar spricht § 32 Abs. 1 von „Zwecken“ des Beschäftigungsverhältnisses. Ähnlich ist aber § 28 Abs. 1 Satz 1 formuliert, dort ist die Rede von „Geschäftszwecken“. Wenn aber die Datenverarbeitung für solche Geschäftszwecke einer konkreten Zweckbestimmung bedarf, ist auch im Rahmen des § 32 von einer Anwendbarkeit des § 28 Abs. 1 Satz 2 auszugehen3. Weiterhin sind § 28 Abs. 6–9 neben § 32 anwendbar, die spezielle Vorschriften 11 für besondere Arten personenbezogener Daten nach § 3 Abs. 9 enthalten. Dies folgt nicht nur aus der Gesetzesbegründung4, sondern bis dato auch aus Art. 8 Abs. 2 EG-Datenschutzrichtlinie. Hiernach ist der Gesetzgeber zum Schutz besonderer Arten personenbezogener Daten verpflichtet. Dieser Verpflichtung wäre nicht Genüge getan, wenn die Erhebung, Verarbeitung oder Nutzung besonderer Arten personenbezogener Daten von Beschäftigten nach § 32 und nicht lediglich im Rahmen der strengeren Voraussetzungen von § 28 Abs. 6–9 zulässig wäre5. Art. 9 Abs. 2 Buchst. b DSGVO gestattet die Verarbeitung besonderer Arten personenbezogener Daten Beschäftigter ausnahmsweise, wenn dies durch ein Gesetz oder eine kollektivrechtliche Vereinbarung erlaubt und geeignete Garantien für die Grundrechte und die Interessen der Beschäftigten gewährleistet ist (vgl. dazu die Komm. zu Art. 9 DSGVO Rz. 15). Mithin gebietet 1 BR-Drucks. 535/10, S. 30; vgl. dazu auch Wiese, NZA 2012, 1 (3). 2 BT-Drucks. 16/13657, S. 20. 3 So auch Däubler/Klebe/Wedde/Weichert/Däubler, § 32 BDSG Rz. 8; Gola/Jaspers, RDV 2009, 212; Thüsing, NZA 2009, 865 (866). 4 BT-Drucks. 16/13657, S. 21. 5 Forst, NZA 2010, 1043 (1044); Thüsing, NZA 2009, 865 (867).

Stamer/Kuhnke

|

731

§ 32 BDSG | Datenverarbeitung nicht-öffentlicher Stellen Art. 9 Abs. 2 Buchst. b DSGVO ebenfalls die Anwendbarkeit von § 28 Abs. 6–9 bei der Verarbeitung besonderer Arten personenbezogener Beschäftigtendaten nach § 3 Abs. 9. 12 Auch im Bereich des Beschäftigtendatenschutzes ist eine Datenerhebung, -verarbeitung oder -nutzung auf der Grundlage einer freiwillig erteilten Einwilligung des Beschäftigten nach § 4a weiterhin zulässig1. Dies ist in der Beschlussempfehlung explizit erwähnt2 und folgt überdies aus der Gesetzessystematik nach § 4 Abs. 1. Das BAG geht ebenfalls von der Möglichkeit einer Einwilligung im Arbeitsverhältnis aus, wenn es für die Einwilligung eines Arbeitnehmers auf Grundlage von § 22 KUG hinsichtlich der Nutzung von Videoaufnahmen ausführt, diese bedürfe „gerade im Arbeitsverhältnis“ der Schriftform3. Das BAG meint mithin, dass Arbeitnehmer auch im Rahmen eines Arbeitsverhältnisses in der Lage sind frei zu entscheiden, wie sie ihr Grundrecht auf informationelle Selbstbestimmung ausüben wollen, und dass dieser Grundrechtsausübung nicht die Tatsache entgegensteht, dass Arbeitnehmer abhängig Beschäftigte sind4. Art. 88 DSGVO enthält keine spezifischen Regelungen für die Einwilligung eines Beschäftigten5. Insoweit gilt ebenfalls Art. 6 Abs. 1a), der die Datenverarbeitung u.a. im Falle einer Einwilligung des Beschäftigten gestattet, wobei Art. 7 DSGVO Bedingungen für die Einwilligung festschreibt (vgl. dazu Komm. zu Art. 88 DSGVO Rz. 12). 13 Für das Verhältnis zu anderen Rechtsvorschriften des Bundes, die auf personenbezogene Daten einschließlich deren Veröffentlichung anzuwenden sind, gilt § 1 Abs. 36. Diese gehen den Vorschriften des BDSG und damit auch § 32 vor. Soweit Landesdatenschutzgesetze für öffentliche Stellen besondere datenschutzrechtliche Bestimmungen für Dienst- oder Arbeitsverhältnisse enthalten, gehen diese ebenfalls § 32 vor7. 14 Nach der Rechtsprechung des BAG sind Tarifverträge8 und Betriebs- oder Dienstvereinbarungen9 ebenfalls Rechtsvorschriften i.S.v. § 4 Abs. 1, die als Erlaubnisvorschrift für eine Datenerhebung, -verarbeitung und -nutzung in Betracht kommen. Die Rechtsprechung des BAG war teilweise auf erhebliche Kri1 Vgl. dazu auch Wybitul/Böhm, BB 2015, 2101 (2103). 2 BT-Drucks. 16/13657, S. 20. 3 BAG v. 11.12.2014 – 8 AZR 1010/13, NZA 2015, 604, Rz. 26; vgl. dazu auch Kort, ZD 2016, 3 (6). 4 Vgl. dazu auch Wybitul/Böhm, BB 2015, 2101 (2103). 5 Vgl. aber den Erwägungsgrund 155 zu Art. 88 DSGVO. 6 Für das Verhältnis von §§ 22, 23 KUG zu den Bestimmungen des BDSG s. BAG v. 11.12. 2014 – 8 AZR 1010/13, NZA 2015, 604, Rz. 26; vgl. dazu auch Benecke/Groß, NZA 2015, 833 (835). 7 Simitis/Seifert, § 32 BDSG Rz. 19. 8 BAG v. 25.6.2002 – 9 AZR 405/00, NZA 2003, 275. 9 BAG v. 27.5.1986 – 1 ABR 48/84, NZA 1986, 643; dazu auch Kort, RDV 2012, 8 sowie Rz. 153.

732

|

Stamer/Kuhnke

Datenerhebung für Zwecke des Beschäftigungsverhältnisses | § 32 BDSG

tik in der Literatur gestoßen1. Gleichwohl hat das BAG unlängst im Zusammenhang mit der Durchführung von Torkontrollen, die sich auf die Durchsicht mitgeführter Behältnisse, Jacken- und Manteltaschen bezogen, erneut bestätigt, dass die entsprechende Betriebsvereinbarung eine Rechtsvorschrift i.S.v. § 4 Abs. 1 BDSG sei, die sowohl die automatisierte als auch die nicht automatisierte Erhebung, Nutzung oder Verarbeitung personenbezogener Daten von Arbeitnehmern wie Leiharbeitnehmern erlaubt2. Selbstverständlich muss die jeweilige Rechtsvorschrift einer Rechtskontrolle standhalten, eine Betriebsvereinbarung folglich insbesondere § 75 Abs. 2 BetrVG3. Art. 88 Abs. 1 DSGVO gestattet ebenfalls die Beschäftigtendatenverarbeitung auf Grundlage kollektivrechtlicher Vereinbarungen (vgl. dazu Komm. zu Art. 88 DSGVO Rz. 8). Dass die Beteiligungsrechte der Interessenvertretungen unberührt bleiben, 15 versteht sich von selbst, ist unterdessen in § 32 Abs. 3 ausdrücklich festgestellt.

III. Erforderlichkeit und Verhältnismäßigkeit Nach dem Wortlaut des § 32 Abs. 1 Satz 1 dürfen personenbezogene Daten ei- 16 nes Beschäftigten für Zwecke des Beschäftigungsverhältnisses erhoben, verarbeitet oder genutzt werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung für die Durchführung oder Beendigung des Beschäftigungsverhältnisses erforderlich ist. In den Gesetzesmaterialien heißt es hierzu, die Regelung in § 32 Abs. 1 Satz 1 entspräche den bisher von der Rechtsprechung aus dem verfassungsrechtlich geschützten allgemeinen Persönlichkeitsrecht nach Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG abgeleiteten „allgemeinen Grundsätzen zum Datenschutz im Beschäftigungsverhältnis“4. Nach der weiland maßgeblichen, im Zuge der Einführung des § 32 ebenfalls geänderten Fassung des § 28 Abs. 1 Nr. 1 war indessen ausreichend, dass die Erhebung, Verarbeitung oder Nutzung der Zweckbestimmung des Vertragsverhältnisses oder vertragsähnlichen Vertrauensverhältnisses „dient“. Zwischenzeitlich ist das Erforderlichkeitskriterium auch in § 28 Abs. 1 Nr. 1 festgeschrieben. Es stellt sich also die Frage, ob auf der Grundlage der unterschiedlichen Begrifflichkeiten von „Dienlichkeit“ einerseits und „Erforderlichkeit“ andererseits von einem Paradigmenwechsel auszugehen ist (zur Parallelproblematik im Rah1 Zum Streitstand vgl. Wybitul, NZA 2014, 225 (227), der dem Streit „eher überschaubare Bedeutung“ zuschreibt. 2 BAG v. 15.4.2014 – 1 ABR 2/13, NZA 2014, 551, Rz. 49; vgl. dazu auch BAG v. 25.9.2013 – 10 AZR 270/12, NZA 2014, 41. 3 Vgl. dazu sowie insbesondere zum Verhältnismäßigkeitsgrundsatz BAG v. 15.4.2014 – 1 ABR 2/13, NZA 2014, 551; vgl. dazu auch Wybitul, NZA 2014, 225 (228); zu den Vorteilen einer Betriebsvereinbarung, insbesondere gegenüber einer Einwilligung der Beschäftigten vgl. Kort, ZD 2016, 3 (5). 4 BT-Drucks. 16/13657, S. 21.

Stamer/Kuhnke

|

733

§ 32 BDSG | Datenverarbeitung nicht-öffentlicher Stellen men des § 28 s. Komm. zu § 28 BDSG Rz. 20). Teilweise wird hierzu vertreten, das Kriterium der Erforderlichkeit sei seit Inkrafttreten des BDSG „Ausgangspunkt“ der Zulässigkeitsprüfung gewesen1. Ungeachtet der Frage, ob diese Behauptung so pauschal zutrifft, spricht gegen einen Paradigmenwechsel jedenfalls der weitere Hinweis des Gesetzgebers, wonach § 32 „eine allgemeine Regelung zum Schutz personenbezogener Daten von Beschäftigten“ enthält, „die die von der Rechtsprechung erarbeiteten Grundsätze des Datenschutzes im Beschäftigungsverhältnis nicht ändern, sondern lediglich zusammenfassen“ soll2. In den in der Gesetzesbegründung zitierten Entscheidungen des BAG geht es um den Anspruch eines erfolglosen Bewerbers auf Vernichtung eines Personalfragebogens3, die Anfechtung eines Arbeitsvertrags wegen des Verschweigens einer Körperbehinderung4 sowie die Auskunftspflicht eines Arbeitnehmers nach seiner Einstellung über eine Tätigkeit für das frühere Ministerium für Staatssicherheit5. Wenngleich die Urteile also unterschiedliche Konstellationen betreffen, geht es in deren Kern jeweils um das Fragerecht des Arbeitgebers und die Abwägung der Interessen des Arbeitgebers an bestimmten Informationen einerseits gegen die Grenzen des Schutzbereichs des Beschäftigten andererseits. Auf Grundlage der Rechtssätze dieser Entscheidungen des BAG erscheint der Begriff der „Dienlichkeit“ daher in der Tat unpassend für den Beschäftigtendatenschutz. Möglicherweise hat der Gesetzgeber wiederum keinen „begrifflichen Mittelweg“ zwischen Dienlichkeit und Erforderlichkeit gefunden. Nach Maßgabe der gesetzgeberischen Erwägungen sowie der zitierten Entscheidungen des BAG sind daher keine zu strengen Anforderungen an das Erforderlichkeitskriterium zu stellen, andernfalls schon fraglich wäre, ob für die Durchführung des Beschäftigungsverhältnisses Leistungskontrollen jemals „erforderlich“ sein können6. 17 Im Lichte dieser Erwägungen setzt die Erforderlichkeit ein berechtigtes, billi-

genswertes und schutzwürdiges Interesse des Arbeitgebers an einer Information voraus. Dieses Interesse des Arbeitgebers muss objektiv so stark sein, dass das Interesse des Beschäftigten am Schutz seines Persönlichkeitsrechts zurücktreten muss7. Im Übrigen ist nach Maßgabe der Rechtssätze der zitierten Urteile des BAG davon auszugehen, dass die Datenerhebung, -verarbeitung oder -nut-

1 So ausdrücklich Gola/Jaspers, RDV 2009, 212; s.a. Deutsch/Diller, DB 2009, 1462 (1463); Fröhlich, ArbRB 2009, 300; Maier/Garding, DB 2010, 559 (561); a.A. Thüsing, NZA 2009, 865 (866). 2 BT-Drucks. 16/13657, S. 20. 3 BAG v. 6.6.1984 – 5 AZR 286/81, NZA 1984, 321. 4 BAG v. 7.6.1984 – 2 AZR 270/83, NZA 1985, 57. 5 BAG v. 7.9.1995 – 8 AZR 828/93, NZA 1996, 637. 6 Thüsing, NZA 2009, 865 (867), wählt das Beispiel der Kontonummer, schließlich könne der Arbeitgeber das Geld auch bar überreichen; nach Deutsch/Diller richtet sich die Erforderlichkeit nach dem „individuell verfolgten unternehmerischen Konzept“ (DB 2009, 1462 (1463)). 7 BAG v. 7.6.1984 – 2 AZR 270/83, NZA 1985, 57; vgl. dazu auch Hohenstatt/Stamer/Hinrichs, NZA 2006, 1065; Schaffland/Wiltfang, § 32 BDSG Rz. 1.

734

|

Stamer/Kuhnke

Datenerhebung für Zwecke des Beschäftigungsverhältnisses | § 32 BDSG

zung auch im Einzelfall verhältnismäßig sein muss1. Diesem Ansatz lässt sich nicht entgegnen, dass der Verhältnismäßigkeitsgrundsatz – lediglich – in § 32 Abs. 1 Satz 2 ausdrücklich angesprochen ist. Insoweit heißt es nämlich in der Gesetzesbegründung, die Aufnahme einer Abwägungsklausel in Satz 2 trage der Tatsache Rechnung, dass Maßnahmen zur Aufdeckung einer Straftat „in der Regel besonders intensiv in das allgemeine Persönlichkeitsrecht eingreifen“2. Dem Willen des Gesetzgebers ist folglich zu entnehmen, dass es für die Zulässigkeit der Datenerhebung, -verarbeitung und -nutzung stets auf die Intensität des Eingriffs in das allgemeine Persönlichkeitsrecht und eine diesbezügliche Abwägung des Einzelfalls ankommt, und der Gesetzgeber hinsichtlich Maßnahmen zur Aufdeckung von Straftaten lediglich unterstellt, dass diese regelmäßig besonders intensiv in das allgemeine Persönlichkeitsrecht eingreifen. Nach den allgemeinen Grundsätzen zur Verhältnismäßigkeit3 muss die Erhe- 18 bung, Verarbeitung und Nutzung der Beschäftigtendaten damit weiter einem legitimen Zweck dienen und in Bezug auf diesen Zweck verhältnismäßig, also geeignet, erforderlich und angemessen sein. Erweist sich die Datenerhebung, -verarbeitung oder -nutzung für den legitimen Zweck als geeignet, ist im nächsten Schritt zu prüfen, ob sie auch erforderlich im engeren Sinne ist, mithin kein milderes Mittel zur Verfügung steht, mit dem der Eingriff in das allgemeine Persönlichkeitsrecht des Beschäftigten reduziert werden könnte4. Wenn also das Erforderlichkeitspostulat nach § 32 Abs. 1 Satz 1 im vorstehend beschriebenen Sinne erfüllt ist, ist im Rahmen der Verhältnismäßigkeit zu prüfen, ob weitere, gleich wirksame Mittel in Betracht kommen, die weniger intensiv in das Persönlichkeitsrecht des Beschäftigten eingriffen5. Für die Prüfung der Angemessenheit ist die Intensität des konkreten Eingriffs in das allgemeine Persönlichkeitsrecht des Beschäftigten zu bewerten. Hierfür können die Grundsätze der Sphärentheorie herangezogen werden, wonach zu fragen ist, welchem Lebensbereich die jeweiligen Daten zuzuordnen sind6. Zu unterscheiden ist zwischen Informa1 ErfK/Wank, § 32 BDSG Rz. 6; Gaul/Koehler, GmbHR 2010, R139; Wybitul, BB 2010, 1085; vgl. auch das an späterer Stelle in den Gesetzesmaterialien zitierte Urteil des BAG v. 22.10.1986 – 5 AZR 660/85, NZA 1987, 415. 2 BT-Drucks. 16/13657, S. 21. 3 BVerfG v. 4.4.2006 – 1 BvR 518/02, NJW 2006, 1939 zur Verfassungsmäßigkeit der präventiven polizeilichen Rasterfahndung; vgl. dazu auch Kock/Franke, NZA 2009, 646. 4 BAG v. 7.9.1995 – 8 AZR 828/93, NZA 1996, 637 zur Geeignetheit, Erforderlichkeit und Angemessenheit einer Fragestellung; BAG v. 26.8.2008 – 1 ABR 16/07, NZA 2008, 1187 für die Prüfung der Zulässigkeit von Videoüberwachungsmaßnahmen. 5 Zur Verhältnismäßigkeitsprüfung vgl. auch BAG v. 20.3.2013 – 2 AZR 546/12, NZA 2014, 143, Rz. 28. 6 BAG v. 7.9.1995 – 8 AZR 828/93, NZA 1996, 637: „Ein unantastbarer Bereich privater Lebensgestaltung muss in jedem Fall gewahrt bleiben.“; BAG v. 6.6.1984 – 5 AZR 286/81, NZA 1984, 321: „Fragen nach Unfallschäden, Körperbehinderungen […] haben einen direkten Bezug zur Intimsphäre. Insoweit ist ein besonderer Schutz geboten.“

Stamer/Kuhnke

|

735

§ 32 BDSG | Datenverarbeitung nicht-öffentlicher Stellen tionen aus dem geschäftlichen oder sozialen Bereich, der Privatsphäre sowie solchen aus der Intimsphäre des Betroffenen. Die Intensität des Eingriffs ist bei Informationen, die die Intimsphäre betreffen, am stärksten1. Regelmäßig betrifft dies die Erhebung, Verarbeitung oder Nutzung besonderer Arten personenbezogener Daten nach § 3 Abs. 92.

IV. Grundsatz der Direkterhebung 19 Für den Arbeitgeber bieten sich im Vorfeld wie nach der Begründung eines Be-

schäftigungsverhältnisses zahlreiche Quellen für die Informationsgewinnung an. Umfassende Recherchen über Beschäftigte sind insbesondere in allgemein zugänglichen Quellen wie sozialen oder beruflichen Netzwerken oder über Suchdienste wie Google möglich. Für die Frage der Zulässigkeit der Nutzung solcher Quellen ist der Grundsatz der Direkterhebung nach § 4 Abs. 2 Satz 1 zu beachten3. Der Arbeitgeber muss Daten demnach grundsätzlich beim Beschäftigten selbst erheben. Eine Erhebung ohne seine Mitwirkung ist nur in Ausnahmefällen nach Maßgabe von § 4 Abs. 2 Satz 2 zulässig (vgl. dazu im Einzelnen Komm. zu § 4 BDSG Rz. 11 sowie nachfolgend Rz. 27).

V. Begründung eines Beschäftigungsverhältnisses 20 Nach § 32 Abs. 1 Satz 1 dürfen personenbezogene Daten eines Beschäftigten für

Zwecke des Beschäftigungsverhältnisses erhoben, verarbeitet oder genutzt werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses erforderlich ist. Die Gesetzesbegründung verweist exemplarisch auf Fragen nach fachlichen Fähigkeiten, Kenntnissen und Erfahrungen4.

21 § 32 BDSG-E 2010 unterscheidet zwischen verschiedenen Bewerberdaten. Un-

problematisch zulässig ist nach § 32 BDSG-E 2010 die Erhebung von Grunddaten des Bewerbers wie Name, Anschrift, E-Mail-Adresse und Telefonnummer. Die Erhebung „weiterer“ personenbezogener Daten des Bewerbers ist demnach zulässig, soweit deren Kenntnis erforderlich ist, um die Eignung des Beschäftigten „für die vorgesehenen Tätigkeiten“ festzustellen. Die Erhebung von Daten über die Rasse, die ethnische Herkunft, eine Behinderung, Gesundheit, sexuelle

1 Vgl. BAG v. 6.6.1984 – 5 AZR 286/81, NZA 1984, 321; BAG v. 22.10.1986 – 5 AZR 660/ 85, NZA 1987, 415; zur Verhältnismäßigkeit ausführlich Wybitul, BB 2010, 1085 (1086 f.). 2 Beachte die diesbzgl. Besonderheiten in § 4a Abs. 3 sowie in § 28 Abs. 6 bis 9 BDSG. 3 Vgl. dazu Forst, NZA 2010, 427 (429); § 32 Abs. 6 BDSG-E 2010 schreibt den Grundsatz der Direkterhebung für Beschäftigtendaten fest und enthält Besonderheiten für Recherchen des Arbeitgebers in sozialen und beruflichen Netzwerken. 4 BT-Drucks. 16/13657, S. 21.

736

|

Stamer/Kuhnke

Datenerhebung für Zwecke des Beschäftigungsverhältnisses | § 32 BDSG

Identität, Vermögensverhältnisse, Vorstrafen oder laufende Ermittlungsverfahren soll nach § 32 Abs. 2 BDSG-E 2010 nur unter den Voraussetzungen des § 8 Abs. 1 AGG zulässig sein. Auskunft über die behördliche Anerkennung einer Schwerbehinderung oder die Gleichstellung mit einer Schwerbehinderung nach § 68 SGB IX darf der Arbeitgeber nach § 32 Abs. 3 BDSG-E 2010 von einem Bewerber nicht verlangen. Sondervorschriften für Bewerber von Tendenzträgerunternehmen sehen § 32 Abs. 4 und 5 BDSG-E 2010 vor. § 32 Abs. 6 BDSG-E 2010 schreibt explizit den Direkterhebungsgrundsatz fest und trifft zugleich Regelungen für Internetrecherchen, insbesondere in sozialen und beruflichen Netzwerken. § 32 BDSG-E 2010 offenbart, dass der Gesetzgeber selbst von einem enormen 22 Informationsinteresse des Arbeitgebers ausgeht und in vielerlei Hinsicht auch ein entsprechendes Informationsbedürfnis anerkennt. De lege lata ist für die Frage der Zulässigkeit der Erhebung, Verarbeitung und Nutzung von Beschäftigtendaten auf die hergebrachten Grundsätze zum Fragerecht des Arbeitgebers zurückzugreifen, wobei es neben der Erforderlichkeit der Datenerhebung, -verarbeitung oder -nutzung der Beschäftigtendaten für die Entscheidung über die Begründung des Beschäftigungsverhältnisses auf deren Verhältnismäßigkeit ankommt (dazu Rz. 17). Besondere Bedeutung kommt dem Diskriminierungsschutz sowie den besonderen Arten personenbezogener Daten zu. 1. Das Fragerecht des Arbeitgebers Die für ihn relevanten Informationen kann der Arbeitgeber zunächst durch eine 23 umfangreiche Befragung des Bewerbers im Rahmen eines Vorstellungsgesprächs erlangen1. Nach Maßgabe der Rechtsprechung des BAG bestimmt sich die Zulässigkeit solcher Fragen des Arbeitgebers mittels einer Abwägung des aus der allgemeinen Handlungsfreiheit fließenden Informationsrechts des Arbeitgebers an der wahrheitsgemäßen Beantwortung der Fragen einerseits mit dem Bedürfnis des Arbeitnehmers an der Geheimhaltung seiner persönlichen Lebensumstände zum Schutz seines Persönlichkeitsrechts und zur Sicherung der Unverletzlichkeit seiner Individualsphäre andererseits. Demnach hat der Arbeitgeber ein schutzwürdiges Interesse an der wahrheitsgemäßen Beantwortung von Fragen, die in einem sachlichen und inneren Zusammenhang mit dem angestrebten Arbeitsplatz stehen und deren Beantwortung für den Arbeitsplatz und die zu verrichtende Tätigkeit selbst von Bedeutung sind. Bei einem schutzwürdigen Interesse des Arbeitgebers an der wahrheitsgemäßen Beantwortung einer Frage tritt das Interesse des Bewerbers an der Wahrung seines Persönlichkeitsrechts zurück. Im Falle einer nicht wahrheitsgemäßen Beantwortung einer zulässigen Frage kann der Arbeitgeber den Arbeitsvertrag nach § 123 Abs. 1 BGB anfechten. Der Bewerber hat wiederum im Falle einer unzulässigen Frage ein 1 Unter Umständen besteht ein Beteiligungsrecht des Betriebsrats nach § 94 BetrVG.

Stamer/Kuhnke

|

737

§ 32 BDSG | Datenverarbeitung nicht-öffentlicher Stellen „Recht zur Lüge“, der Arbeitgeber also kein Anfechtungsrecht1. Hier kommt dem AGG besondere Bedeutung zu2. 24 Nach den Gesetzesmaterialien bleibt es auch nach Inkrafttreten des § 32 bei die-

sen Grundsätzen, wobei im Lichte dieser Grundsätze Erforderlichkeit und Verhältnismäßigkeit der jeweiligen Datenerhebung, -verarbeitung und -nutzung für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses zu prüfen sind3. Zu beachten ist im Übrigen, dass eine Erweiterung des Fragerechts des Arbeitgebers durch Einwilligung nicht in Betracht kommt. Der Arbeitgeber kann also nicht im Vorfeld – bspw. durch entsprechenden Hinweis in der Stellenanzeige – eine Einwilligung des Beschäftigten zu einer Datenerhebung herbeiführen, die von seinem Fragerecht nicht umfasst wäre4. 2. Die „ungefragte“ Übermittlung personenbezogener Daten

25 Nicht sämtliche Beschäftigtendaten, die Grundlage für die Entscheidung über die

Begründung eines Beschäftigungsverhältnisses sein können, hat der Arbeitgeber erhoben. Vielmehr übermitteln Bewerber häufig „ungefragt“ personenbezogene Daten, sei es im Rahmen einer „Initiativbewerbung“ oder durch Übermittlung solcher personenbezogener Daten, die der Arbeitgeber nicht „abgefragt“ hat5. In solchen Fällen liegt zwar keine Datenerhebung durch den Arbeitgeber vor6. Die weitere Verarbeitung oder Nutzung durch den Arbeitgeber bemisst sich aber gleichwohl nach § 327. 3. Mitteilungspflichten des Bewerbers

26 Liegen Umstände vor, die die Durchführung eines Vertragsverhältnisses unmög-

lich oder unzumutbar machen, ist der Beschäftigte u.U. selbst verpflichtet, den Arbeitgeber unaufgefordert auf solche Umstände hinzuweisen. Fallgruppen sind etwa der Entzug der Fahrerlaubnis eines Kraftfahrers, eine Alkoholabhän-

1 Vgl. hierzu nur die in den Gesetzesmaterialien zitierte Entscheidung des BAG v. 7.6.1984 – 2 AZR 270/83, NZA 1984, 57; zu Auskunftspflichten des Arbeitnehmers vgl. die ebenfalls zitierte Entscheidung des BAG v. 7.9.1995 – 8 AZR 828/93, NZA 1996, 637; zum „Recht zur Lüge“ vgl. nur HWK/Thüsing, § 123 BGB Rz. 8 m.w.N. 2 Thüsing, Beschäftigtendatenschutz und Compliance, § 7 Rz. 20 ff.; zum Fragerecht des Arbeitgebers unter Berücksichtigung des AGG Wisskirchen/Bissels, NZA 2007, 169. 3 BT-Drucks. 16/13657, S. 21. 4 Gola/Wronka, Handbuch, Rz. 397. 5 Vgl. dazu Greßlin, BB 2015, 117. 6 Gola/Wronka, Handbuch, Rz. 502. 7 § 32b Abs. 2 BDSG-E 2010 will dem Arbeitgeber demgegenüber gestatten, solche Daten auch dann zu nutzen, wenn er sie selbst nicht hätte erheben dürfen, vgl. dazu auch Gola/ Wronka, Handbuch, Rz. 502.

738

|

Stamer/Kuhnke

Datenerhebung für Zwecke des Beschäftigungsverhältnisses | § 32 BDSG

gigkeit eines Kraftfahrers1 oder dessen langjährige fehlende Fahrpraxis2 sowie eine bevorstehende Haftstrafe (dazu Rz. 39). Entsprechendes gilt für die Vorbeschäftigung bei einem Wettbewerber im Falle eines nachvertraglichen Wettbewerbsverbots sowie solche gesundheitliche Beeinträchtigungen, die einen Bewerber voraussichtlich vollständig an der Ausübung der Tätigkeit hindern3. 4. Andere Quellen der Datenerhebung Neben der Befragung des Bewerbers bieten sich für den Arbeitgeber zahlreiche 27 weitere Quellen der Datenerhebung an. So bieten professionelle Dienstleister die Durchführung sog. Background Checks an. Weiter kann der Arbeitgeber frühere Arbeitgeber kontaktieren, um sich ein umfassendes Bild über einen Bewerber zu machen. Eine unerschöpfliche Quelle von Informationen bietet schließlich das Internet mit sozialen und beruflichen Netzwerken wie Suchdiensten. Dabei gilt, wie eingangs unter Rz. 19 dargestellt, auch für Beschäftigtendaten der Grundsatz der Direkterhebung nach § 4 Abs. 2 Satz 1. Dies bedeutet aber nicht, dass andere Formen der Datenerhebung per se ausgeschlossen sind. Soweit die Daten allgemein zugänglich sind, kann auf § 28 Abs. 1 Nr. 3 zurückgegriffen werden (dazu Rz. 9)4. Entscheidend ist also eine Abwägung der jeweiligen Interessen. Maßgeblich sind auch insoweit die aufgezeigten Grenzen des Fragerechts, weshalb der Arbeitgeber Informationen, die er beim Bewerber nicht abfragen dürfte, sich nicht durch allgemein zugängliche Quellen oder Fragen bei einem früheren Arbeitgeber beschaffen und im Anschluss nutzen dürfte. Zulässig ist im Lichte dieser Erwägungen jedenfalls die Informationsbeschaffung aus beruflichen Netzwerken wie LinkedIn oder Xing, Recherchen in sozialen Netzwerken wie facebook oder studiVZ sind demnach ausgeschlossen5. Insoweit kann auch nicht von einer Einwilligung des Beschäftigten nach § 4a ausgegangen werden, da es sich gerade nicht um berufliche, sondern um soziale Netzwerke handelt, die das private und nicht das berufliche Umfeld betreffen. Dass die Nutzer gut beraten sind, bei der Einpflege von Daten auch an ihr berufliches Umfeld zu denken, steht freilich auf einem anderen Blatt. Stößt der Arbeitgeber bei Internetrecherchen auf Informationen, die von seinem 28 Fragerecht nicht mehr umfasst wären, darf er solche Informationen für die Entscheidung über die Begründung des Beschäftigungsverhältnisses nicht verwenden. Dass der Beschäftigte hier unter Umständen vor unüberbrückbaren Beweishürden stehen kann, ist letztlich nicht zu ändern. Dem mit einem umfassenden Verbot von Internetrecherchen zu begegnen, wäre wiederum kein 1 2 3 4 5

ArbG Kiel v. 21.1.1982 – 2c Ca 2062/81, BB 1982, 804. BAG v. 24.1.1974 – 3 AZR 488/72, BB 1974, 887. Gola/Wronka, Handbuch, Rz. 477. Forst, NZA 2010, 427 m.w.N. Keber, RDV 2014, 190 (192); Kania/Sansone, NZA 2012, 360 (363).

Stamer/Kuhnke

|

739

§ 32 BDSG | Datenverarbeitung nicht-öffentlicher Stellen taugliches Mittel, beseitigte dies doch die Beweishürden, ob unzulässigerweise eine Recherche durchgeführt wurde oder nicht, ebenfalls nicht. Einen Ausweg könnten insoweit Betriebsvereinbarungen bieten, die Internetrecherchen zulassen und den Arbeitgeber, ggf. unter Vorlage der hieraus generierbaren Reporte, zur Rechenschaft über die gewonnenen und verwerteten Erkenntnisse verpflichten (zur Datenverarbeitung auf Grundlage einer Betriebsvereinbarung vgl. Rz. 14). Da solche Betriebsvereinbarungen normative Wirkung lediglich für die Arbeitnehmer eines Betriebs zeitigen, könnte durch Betriebsvereinbarungen ein etwaiges Einwilligungserfordernis hinsichtlich Bewerbern nicht wirksam ersetzt werden. 29 Frühere Arbeitgeber dürften ebenfalls lediglich in den Grenzen des Fragerechts

befragt werden. Allerdings darf der künftige Arbeitgeber die personenbezogenen Daten auch nur auf Grundlage von § 4, also im Rahmen einer Erlaubnisvorschrift oder einer Einwilligung, an den früheren Arbeitgeber übermitteln1. Legt der Bewerber entsprechende Zeugnisse vor oder macht er entsprechende Angaben im Lebenslauf, ohne zugleich auf die Vertraulichkeit seiner Bewerbung zu verweisen, kommt eine Einwilligung nach § 4a in Betracht. Überdies wäre die Verifizierung der Angaben auch von § 32 Abs. 1 Satz 1 gedeckt, da kein milderes Mittel zur Verfügung steht. Selbst eine notarielle Beglaubigung gäbe keine Garantie, dass das Zeugnis tatsächlich vom früheren Arbeitgeber stammt. Der frühere Arbeitgeber unterliegt wiederum selbst dem Datengeheimnis nach § 5 und ist deshalb verpflichtet, auch nach Beendigung des Beschäftigungsverhältnisses personenbezogene Daten nicht unbefugt zu verarbeiten. Seine Auskünfte müssen sich daher im Rahmen des erteilten Zeugnisses bewegen. Hat der frühere Arbeitgeber ein Gefälligkeitszeugnis erteilt, ist er an dessen Inhalt gebunden.

30 Die Einschaltung professioneller Anbieter sog. Background Checks bedarf der

Übermittlung personenbezogener Daten an den Anbieter solcher Leistungen2. Sofern die Durchführung der Background Checks nicht im Rahmen einer Auftragsdatenverarbeitung nach § 11 erfolgt (s. zu dem dabei auftretenden Problem der Funktionsübertragung ausführlich Komm. zu § 11 BDSG Rz. 27), läge eine Datenübermittlung vor, wobei fraglich wäre, ob diese erforderlich i.S.v. § 32 Abs. 1 Satz 1 wäre. Hierfür könnte sprechen, dass der Arbeitgeber ein anerkennenswertes Interesse an der Überprüfung der Angaben hat. Allerdings dürfte es sich bei der Einschaltung Dritter zur Überprüfung kaum um das mildeste Mittel solcher Überprüfungen handeln. Vielmehr ist der Arbeitgeber hier zunächst grundsätzlich selbst in der Pflicht, zumal solche Anbieter keine weitergehenden Befugnisse zur Überprüfung hätten, als ein Arbeitgeber. Vor diesem Hintergrund bedürfte die Datenübermittlung der Einwilligung des Beschäftigten3.

1 Nach § 3 Abs. 4 Satz 1 BDSG ist Verarbeiten auch das Übermitteln von Daten (dazu im Einzelnen Komm. zu § 3 BDSG Rz. 39). 2 Dazu Weichert, AuR 2010, 100. 3 S. dazu auch Kania/Sansone, NZA 2012, 360 (363).

740

|

Stamer/Kuhnke

Datenerhebung für Zwecke des Beschäftigungsverhältnisses | § 32 BDSG

5. Erfolglose Bewerbung Der Arbeitgeber darf nur solche Beschäftigtendaten nutzen, die er zulässig er- 31 hoben hat. Allerdings ist die Nutzung nicht zwangsläufig zulässig, weil bereits die Erhebung zulässig war. Vielmehr ist dies gesondert zu prüfen. Steht bspw. endgültig fest, dass ein Bewerber für die Einstellung nicht in Betracht kommt, sind die Daten nach Maßgabe von § 35 ggf. zu löschen (dazu Komm. zu § 35 BDSG Rz. 19)1. Gleichwohl ist vor einer vorschnellen Löschung der Daten abzuraten. In jedem Fall empfiehlt es sich, die Frist des § 15 Abs. 4 AGG zur Geltendmachung von Schadenersatz- und Entschädigungsansprüchen bei Verstößen gegen das Benachteiligungsverbot abzuwarten2. Die Zulässigkeit eines solchen Abwartens ergibt sich wiederum aus den Gesetzesmaterialien zu § 15 Abs. 4 AGG. Demnach wird die Frist zur Geltendmachung solcher Ansprüche damit begründet, dem Arbeitgeber könne es nicht zugemutet werden, Dokumentationen über das Einstellungsverfahren über einen längeren Zeitraum aufzubewahren3. Der Gesetzgeber geht also selbst davon aus, dass eine Löschung vor Ablauf dieser Frist nicht zwingend geboten ist4. Auch das BAG anerkennt in der in den Gesetzesmaterialien5 ebenfalls zitierten Entscheidung6 im Grundsatz ein berechtigtes Interesse des Arbeitgebers an der Aufbewahrung eines Personalfragebogens, den ein „erfolgloser“ Bewerber ausgefüllt hatte; ein solches berechtigtes Interesse vermag allerdings die Absicht des Arbeitgebers, im Falle einer nochmaligen Bewerbung einen Datenabgleich durchzuführen, nach Ansicht des BAG nicht zu begründen. Eine längere Speicherung personenbezogener Daten erfolgloser Bewerber kommt wiederum auf Grundlage einer wirksamen Einwilligung in Betracht7. 1 S. dazu auch Greßlin, BB 2015, 117 (119). 2 Die Frist beträgt vorbehaltlich anderslautender Vereinbarungen der Tarifvertragsparteien zwei Monate. Gola, NZA 2013, 360 (363), meint allerdings, die bisherige Rechtsprechung wegen Bewerberdiskriminierung zeige, dass die umgehende Rückgabe der Bewerbungsunterlagen offenbar zu keinem Prozessrisiko führe, weil der Bewerber für die Behauptung, er erfülle die für die Stellenausschreibung geforderten Anforderungen, nach wie vor beweispflichtig ist; Greßlin, BB 2015, 117, (118) weist zutreffend darauf hin, dass eine Aufbewahrung für die Dauer der regelmäßigen Verjährungsfrist unzulässig wäre. Für die explizite Regelung einer dreimonatigen Erlaubnis der Speicherung sprechen sich die Ausschüsse des Bundesrats in ihren Empfehlungen vom 25.10.2010 aus, BR-Drucks. 535/2/10, S. 28. 3 BT-Drucks. 16/1780, S. 38. 4 BT-Drucks. 16/1780, S. 38; ebenso mit Bezug auf die Gesetzesbegründung der Bundesbeauftragte für den Datenschutz, 22. Tätigkeitsbericht zum Datenschutz für die Jahre 2007 und 2008, S. 123. 5 BT-Drucks. 16/13657, S. 20. 6 BAG v. 6.6.1984 – 5 AZR 286/81, NZA 1984, 321; zu Unterrichtungspflichten und korrespondierenden Auskunftsrechten im Falle einer Speicherung von Bewerberdaten vgl. Greßlin, BB 2015, 117 (119). 7 Ein Formulierungsvorschlag für eine solche Einwilligung findet sich bei Greßlin, BB 2015, 117 (122).

Stamer/Kuhnke

|

741

§ 32 BDSG | Datenverarbeitung nicht-öffentlicher Stellen 6. Fallgruppen 32 Allgemeine Kontaktdaten wie Name, Anschrift, Telefonnummer, E-Mail-Ad-

resse sind erforderlich für die Kontaktierung und damit auch die Entscheidung über die Begründung eines Beschäftigungsverhältnisses. Vorsicht ist geboten bei Fragen nach weiteren Grunddaten eines Bewerbers wie etwa Geburtsname, Geburtsort, Alter, Familienstand und Nationalität. Solche Fragen können Indizien für eine Diskriminierung bilden1.

33 Erforderlich für die Entscheidung über die Begründung eines Beschäftigungsver-

hältnisses sind Informationen über Qualifikation und beruflichen Werdegang, etwaige Nebentätigkeiten, einschlägige nachvertragliche Wettbewerbsverbote2 oder die zeitliche Verfügbarkeit des Bewerbers. Auch darf sich der Arbeitgeber danach erkundigen, wie lange der Bewerber in seinen bisherigen Stellen beschäftigt war3. Das zuletzt bezogene Gehalt darf der Arbeitgeber nur erfragen, wenn dies für die Bewertung der Eignung des Bewerbers, insbesondere im Hinblick auf dessen Einsatz- und Leistungsbereitschaft, aussagekräftig ist4.

34 Insbesondere vor Abschaffung der Wehrpflicht war die Frage nach der Zulässig-

keit von Fragen über die Ableistung von Wehr- oder Ersatzdienst virulent. Unzulässig ist die Frage, ob Wehr- oder Ersatzdienst geleistet wurde, diese Erkenntnis sagt nichts über die Eignung des Bewerbers aus. Im Gegenteil könnten hieraus unzulässige Informationen über Religion oder Weltanschauung gewonnen werden. Anders verhielt es sich hinsichtlich der Frage, ob noch Wehr- oder Ersatzdienst zu leisten ist. Im Hinblick auf das Interesse des Arbeitgebers an der zeitlichen Verfügbarkeit des Bewerbers konnten solche Informationen erforderlich und verhältnismäßig für die Entscheidung über die Begründung eines Arbeitsverhältnisses sein5.

35 Nicht erforderlich für die Entscheidung über die Begründung eines Beschäfti-

gungsverhältnisses sind Informationen über Hobbys, Ess- und Trinkgewohnheiten. Entsprechendes gilt grundsätzlich für Fragen über Bekannte und Verwandte oder die private Lebensplanung6. Ausnahmen gelten wiederum bei zu befürchtenden Interessenkonflikten qua Verwandtschaft oder persönlicher Nähe.

36 Die Frage nach der Gewerkschaftszugehörigkeit ist vor Begründung eines Be-

schäftigungsverhältnisses mit Rücksicht auf Art. 9 Abs. 3 GG unzulässig, zumal es sich hierbei um besondere Arten personenbezogener Daten nach § 3 Abs. 9 handelt. Auch Art. 9 Abs. 1 DSGVO zählt die Gewerkschaftszugehörigkeit zu 1 2 3 4

Thüsing, Beschäftigtendatenschutz und Compliance, § 7 Rz. 20 ff. Simitis/Seifert, § 32 BDSG Rz. 23, ErfK/Preis, § 611 BGB Rz. 280. Dazu BAG v. 12.2.1970 – 2 AZR 184/69, NJW 1970, 1565 (1566). Dazu BAG v. 19.5.1983 – 2 AZR 171/81, BB 1984, 533; Wisskirchen/Bissels, NZA 2007, 169 (174). 5 Dazu Wisskirchen/Bissels, NZA 2007, 169 (174); Ehrich, DB 2000, 421 (425 f.). 6 Däubler/Klebe/Wedde/Weichert/Däubler, § 32 BDSG Rz. 17.

742

|

Stamer/Kuhnke

Datenerhebung für Zwecke des Beschäftigungsverhältnisses | § 32 BDSG

den besonderen Arten personenbezogener Daten (vgl. dazu Komm. zu Art. 9 DSGVO Rz. 6). Fraglich ist, ob ein Arbeitgeber nach der Einstellung ein berechtigtes Interesse an der Beantwortung der Frage nach der Gewerkschaftszugehörigkeit haben kann. Bislang wurde dies insbesondere mit Blick auf die Aufgabe des Grundsatzes der Tarifeinheit durch das BAG1 angenommen2. Ein berechtigtes Interesse des Arbeitgebers ist jedenfalls anzunehmen, soweit Vergütungsansprüche ausdrücklich die Mitgliedschaft in der tarifschließenden Gewerkschaft voraussetzen3. Auch das BAG schließt ein berechtigtes Interesse des Arbeitgebers an der Beantwortung der Frage nach der Gewerkschaftszugehörigkeit nicht grundsätzlich aus und hat deshalb den entsprechenden, pauschalen Unterlassungsantrag einer Gewerkschaft als unzulässig zurückgewiesen4. Auf Grundlage des zwischenzeitlich durch das Tarifeinheitsgesetz neu eingeführten § 4a Abs. 2 TVG sind im Falle von Tarifkollisionen im Betrieb grundsätzlich die Rechtsnormen des Tarifvertrags derjenigen Gewerkschaft anwendbar, die zum Zeitpunkt des Abschlusses des zuletzt abgeschlossenen kollidierenden Tarifvertrags im Betrieb die meisten in einem Arbeitsverhältnis stehenden Mitglieder hat. Dass der Arbeitgeber damit ggf. ein Interesse hat zu erfahren, welche Arbeitnehmer welcher Gewerkschaft angehören, dürfte damit zwar auf der Hand liegen. Nicht zuletzt aus datenschutzrechtlichen Gründen gestattet allerdings § 58 Abs. 3 ArbGG den Urkundsbeweis insbesondere hinsichtlich der Zahl der in einem Arbeitsverhältnis stehenden Gewerkschaftsmitglieder5. In den Gesetzesmaterialien heißt es hierzu, die Beweisführung über eine notarielle Erklärung stelle sicher, dass die Gewerkschaft die Namen ihrer im Betrieb des Arbeitgebers beschäftigten Arbeitnehmer in diesem Rahmen nicht nennen müsse, gewerkschaftlich organisierte Arbeitnehmer würden damit in ihrer verfassungsrechtlich geschützten Rechtsposition aus Art. 9 Abs. 3 GG sowie ihrem Recht auf informationelle Selbstbestimmung aus Art. 1 Abs. 2, Art. 2 Abs. 1 GG geschützt6. Gleichwohl betrifft dies lediglich die Offenbarung der Gewerkschaftsmitgliedschaft durch die Gewerkschaften selbst. Ein berechtigtes Interesse des Arbeitgebers an der Beantwortung der Frage nach der Gewerkschaftszugehörigkeit 1 BAG v. 23.6.2010 – 10 AS 2/10, NZA 2010, 778. 2 Thüsing, Beschäftigtendatenschutz und Compliance, § 7 Rz. 30. 3 Zur Zulässigkeit tariflicher Differenzierungsklauseln, wonach die Mitgliedschaft in einer Gewerkschaft zum Tatbestandsmerkmal eines Anspruchs gemacht wird, vgl. BAG v. 18.3.2009 – 4 AZR 64/08, NZA 2009, 1028; zur Unzulässigkeit sog. qualifizierter tariflicher Differenzierungsklauseln vgl. BAG v. 23.3.2011 – 4 AZR 366/09, NZA 2011, 920; zur Zulässigkeit einer Stichtagsklausel hinsichtlich der Mitgliedschaft in der tarifschließenden Gewerkschaft vgl. BAG v. 15.4.2015 – 4 AZR 796/13. 4 BAG v. 18.11.2014 – 1 AZR 257/13, NZA 2015, 308 zur Frage nach der Gewerkschaftszugehörigkeit im Rahmen konkreter Tarifverhandlungssituationen; vgl. dazu auch Gola, RDV 2015, 183 (184); Gola/Klug, NJW 2015, 2628 (2630). 5 Vgl. dazu auch Gola, RDV 2015, 183 (184). 6 BT-Drucks. 18/4062, S. 16.

Stamer/Kuhnke

|

743

§ 32 BDSG | Datenverarbeitung nicht-öffentlicher Stellen im Falle von Tarifkollision durch einen Arbeitnehmer lässt sich damit nicht ablehnen. 37 Gleichermaßen bedeutsam für den Arbeitgeber wie problematisch im Hinblick

auf die Erforderlichkeit für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses sind Fragen des Arbeitgebers über die privaten Vermögensverhältnisse des Bewerbers, insbesondere über Kreditverbindlichkeiten. Gerade bei Tätigkeiten, in denen der Beschäftigte Vermögensverfügungen vornehmen kann, bspw. als Kassierer oder Bankangestellter, oder bei denen die Gefahr einer Bestechung oder eines Geheimnisverrats besteht, hat der Arbeitgeber ein anerkennenswertes Informationsbedürfnis. Andererseits greifen gerade solche Fragen erheblich in das Persönlichkeitsrecht des Arbeitnehmers ein. Im Rahmen der Abwägung dieser widerstreitenden Interessen können solche Informationen als erforderlich betrachtet werden, wenn mit der in Rede stehenden Beschäftigung ein nicht nur geringfügiger eigenverantwortlicher finanzieller Spielraum einhergeht1. Abzustellen ist daher insbesondere auf den Verfügungsrahmen, der mit einer Beschäftigung einherginge. Ein erheblicher Verfügungsrahmen ist mit der Kassierertätigkeit in einem Supermarkt nicht ohne weiteres verbunden. Bankangestellte oder Mitarbeiter eines Finanzinstituts haben dagegen schon rein faktisch andere „Zugriffsmöglichkeiten“, weshalb Fragen nach der Abgabe einer eidesstattlichen Versicherung oder einem privaten Insolvenzverfahren erforderlich i.S.v. § 32 sind2.

38 Vergleichbar ist die Rechtslage bei Fragen nach Vorstrafen und laufenden Er-

mittlungsverfahren3. Auch insoweit ist eine Erforderlichkeit für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses nur anzunehmen, wenn die Erkenntnisse objektiv einen unmittelbaren Bezug zu der zu übernehmenden Tätigkeit haben4. In diesem Fall steht selbst die in Art. 6 Abs. 2 EMRK verankerte Unschuldsvermutung der Zulässigkeit einer Frage nach noch anhängigen Straf- oder Ermittlungsverfahren nicht entgegen5. Ist die Frage eines privaten Arbeitgebers allerdings zu weitgehend formuliert, weil diese ohne eine gegenständliche Beschränkung nach möglichen Vorstrafen und Anzeigen jeder 1 Vgl. dazu BAG v. 29.8.1980 – 7 AZR 726/77, AuR 1981, 60; Kania/Sansone, NZA 2012, 360 (361). 2 Hohenstatt/Stamer/Hinrichs, NZA 2006, 1065 (1068). 3 Zum sog. Sanktionslisten-Screening vgl. BFH v. 19.6.2012 – VII R 43/11, RDV 2012, 302; vgl. dazu auch Traut, RDV 2014, 119; Conrad/Grützmacher-Conrad/Schneider, § 69 Rz. 15 ff und nachfolgend Rz. 159. 4 BAG v. 6.9.2012 – 2 AZR 270/11, AP Nr. 72 zu § 123 BGB; BAG v. 20.5.1999 – 2 AZR 320/98, NZA 1999, 975; zum Fragerecht nach Disziplinarmaßnahmen vgl. LAG Schleswig-Holstein v. 12.1.2012 – 5 Sa 339/11, ZTR 2012, 299; vgl. zum Ganzen auch Gola/ Wronka, Handbuch, Rz. 555 ff.; Thüsing, Beschäftigtendatenschutz und Compliance, § 7 Rz. 34. 5 BAG v. 6.9.2012 – 2 AZR 270/11, AP Nr. 72 zu § 123 BGB.

744

|

Stamer/Kuhnke

Datenerhebung für Zwecke des Beschäftigungsverhältnisses | § 32 BDSG

Art gestellt ist, geht die Frage über das schutzwürdige Informationsinteresse des möglichen Arbeitgebers hinaus mit der Folge, dass der Bewerber nicht zu einer wahrheitsgemäßen Antwort verpflichtet ist1. Das Fragerecht wird ferner durch die Vorschriften des Bundeszentralregistergesetzes, insbesondere die Fristen nach § 53 BZRG, begrenzt, so dass sich ein Bewerber nach deren Ablauf als nicht vorbestraft vorstellen darf2. Dies gilt selbst für den Fall, dass der Bewerber eine Tätigkeit im allgemeinen Justizvollzugsdienst anstrebt3. Gleichermaßen darf ein Bewerber Vorstrafen, die nach § 32 Abs. 2 BZRG nicht im Bundeszentralregister vermerkt werden, verheimlichen4. Hat der Bewerber in näherer Zukunft eine Freiheitsstrafe zu verbüßen, die ihn 39 an der Ausübung der Beschäftigung hindert, besteht nicht nur ein Fragerecht des Arbeitgebers, sondern vielmehr eine Mitteilungspflicht des Bewerbers, und zwar unabhängig davon, ob die Straftat im Bezug zur Tätigkeit steht5. Der Bewerber wäre für den Zeitraum der Verbüßung der Freiheitsstrafe an der Ausübung der Tätigkeit gehindert. Für die Erforderlichkeit von Informationen über eine „Stasi-Vergangenheit“ ist 40 zu differenzieren, ob es um die Begründung eines Beschäftigungsverhältnisses mit dem Staat oder aber einem privaten Arbeitgeber geht. Während sich ein öffentlich-rechtlicher Arbeitgeber im Hinblick auf das Sonderkündigungsrecht im Einigungsvertrag6 nach einer etwaigen Tätigkeit im Ministerium für Staatssicherheit im Einstellungsgespräch erkundigen darf7, darf ein privatrechtlicher Arbeitgeber dies nur erfragen, soweit der zu besetzende Arbeitsplatz ein besonderes Sicherheitsbedürfnis, bspw. im Hinblick auf potentiellen Geheimnisverrat, verlangt8. Ausgesprochen begrenzt ist das Fragerecht des Arbeitgebers nach verpönten 41 Merkmalen gemäß § 1 AGG. Hier darf eine Erhebung nur unter den engen Vo1 BAG v. 6.9.2012 – 2 AZR 270/11, AP Nr. 72 zu § 123 BGB; nach BAG v. 20.3.2014 erscheint es allerdings „erwägenswert, den öffentlichen Arbeitgeber als berechtigt anzusehen, Bewerber für eine Tätigkeit im Justizvollzugsdienst ohne gegenständliche Einschränkung nach Vorstrafen zu fragen“ (2 AZR 1071/12, AP Nr. 73 zu § 123 BGB m. Anm. Kort unter Rz. 41). 2 BAG v. 20.3.2014 – 2 AZR 1071/12 m. Anm. Kort, AP Nr. 73 zu § 123 BGB; zu den Besonderheiten der Auskunftsrechte von Gerichten und Behörden vgl. die Anm. von Kort; vgl. dazu auch Kania/Sansone, NZA 2012, 360 (362). 3 BAG v. 20.3.2014 – 2 AZR 1071/12, AP Nr. 73 zu § 123 BGB m. Anm. Kort. 4 LAG Düsseldorf v. 24.4.2008 – 11 Sa 2101/07, PersR 2008, 465; Däubler/Kittner/Klebe/ Wedde/Klebe, § 94 BetrVG Rz. 17. 5 LAG Frankfurt v. 7.8.1986 – 12 Sa 361/86, NZA 1987, 352; Gola/Wronka, Handbuch, Rz. 534; a.A.: Däubler/Kittner/Klebe/Wedde/Klebe, § 94 BetrVG Rz. 17; vgl. dazu auch die Anm. Kort zu BAG v. 20.3.2014 – 2 AZR 1071/12, AP Nr. 73 zu § 123 BGB. 6 Art. 20 Abs. 1 i.V.m. Anlage I Kapitel XIX Sachgebiet A, Abschnitt III Nr. 1 Abs. 5 Nr. 2 EinigungsV. 7 BAG v. 13.6.1996 – 2 AZR 483/95, NZA 1997, 204. 8 ArbG Darmstadt v. 26.5.1994 – 8 Ca 674/93, BB 1994, 2495.

Stamer/Kuhnke

|

745

§ 32 BDSG | Datenverarbeitung nicht-öffentlicher Stellen raussetzungen des § 8 Abs. 1 AGG erfolgen. Ein Fragerecht besteht folglich nur, soweit das zu erhebende Datum aus objektiver Sicht zu den wesentlichen und entscheidenden beruflichen Anforderungen gehört1. Dies ist dann der Fall, wenn das erfragte Datum „ein zentraler Bestandteil des Anforderungsprofils“ ist2. Das Anforderungsprofil kann der Arbeitgeber im Rahmen seiner unternehmerischen Entscheidungsfreiheit frei gestalten, soweit er nicht die Grenzen der Verhältnismäßigkeit überschreitet3. Insbesondere hat sich der Arbeitgeber daher an objektiven beruflichen Kriterien zu orientieren. 42 Nach dieser Maßgabe sind Fragen nach dem Alter regelmäßig ausgeschlossen4.

Entsprechendes gilt für Fragen nach der sexuellen Identität5. Fragen nach einer Schwangerschaft sind ebenfalls unzulässig, und zwar nach der Rechtsprechung des EuGH6 und in der Folge auch des BAG7 unabhängig davon, ob alle Bewerber weiblich sind oder die Anstellung befristet wäre und eine Schwangerschaft eine Tätigkeit für den Großteil des Zeitraum ausschlösse8. Gleichermaßen unzulässig sind Fragen nach Rasse und ethnischer Herkunft, wobei die Frage nach der Staatsangehörigkeit oder Nationalität nicht die ethnische Herkunft betrifft9. Fragen danach können insbesondere zulässig sein im Hinblick auf das Erfordernis einer Aufenthalts- und Arbeitserlaubnis.

43 Nach der Religionszugehörigkeit darf gefragt werden, wenn es um die Einstel-

lung durch eine Kirche geht und die Zugehörigkeit oder Nichtzugehörigkeit nach Selbstverständnis, Art der Tätigkeit sowie im Hinblick auf die Repräsentation i.S.d. vertretenen Überzeugung als berufliche Anforderung zu bewerten ist10. Die Frage nach einer Mitgliedschaft in Scientology betrifft nicht die Religionsoder Weltanschauung11 und ist damit als zulässig anzusehen, wenn der Arbeitgeber eine Unterwanderung durch Scientology vermeiden möchte oder Loyalitätskonflikte befürchtet. 1 Vgl. dazu auch BT-Drucks. 17/4230, Entwurfsbegründung der Bundesregierung vom 15.12.2010, S. 10. 2 Rust/Falke/Falke, § 8 AGG Rz. 11; strenger Rasmussen-Bonne/Raif, GWR 2011, 58 (58), die auf eine Unverzichtbarkeit des zu erhebenden Datums abstellen; vgl. dazu auch Novara, NZA 2015, 142. 3 Rust/Falke/Falke, § 8 AGG Rz. 10. 4 Wisskirchen/Bissels, NZA 2007, 169. 5 Wisskirchen/Bissels, NZA 2007, 169. 6 EuGH v. 8.11.1990 – Rs C-177/88, NZA 1991, 171. 7 BAG v. 15.10.1992 – 2 AZR 227/92, NZA 1993, 257. 8 EuGH v. 4.10.2001, EAS RL 76/207/EWG Nr. 16 zu Art. 5; zustimmend: Gola/Wronka, Handbuch, Rz. 528; a.A. ErfK/Wank, § 32 BDSG Rz. 10; nach Ansicht des LAG Köln soll das auch für den Fall gelten, dass die Arbeitnehmerin befristet als Schwangerschaftsvertretung beschäftigt werden soll, LAG Köln v. 11.10.2012 – 6 Sa 641/12, NZA-RR 2013, 232. 9 ErfK/Schlachter, § 1 AGG Rz. 4a. 10 Dazu Gola/Wronka, Handbuch Rz. 513. 11 BAG v. 22.3.1995 – 5 AZB 21/94, NZA 1995, 823 für Scientology in Hamburg.

746

|

Stamer/Kuhnke

Datenerhebung für Zwecke des Beschäftigungsverhältnisses | § 32 BDSG

Für die Zulässigkeit von Fragen über den allgemeinen Gesundheitszustand, 44 eine Alkohol- oder Drogensucht ist zu beachten, dass solche Informationen das Merkmal der Behinderung nach § 1 AGG betreffen können. Bereits vor Inkrafttreten des AGG hat das BAG eine Drogensucht als Behinderung angesehen1. In einer Entscheidung, in der sich ein Arbeitgeber bei einem Bewerber erkundigt hatte, ob dieser an „Morbus Bechterew“ erkrankt sei, hat das BAG die Frage als Indiz nach § 22 AGG dafür gewertet, dass der Arbeitgeber seine Einstellungsentscheidung vom Nichtvorhandensein der fraglichen Behinderung abhängig gemacht hat2. Mithin kann nicht pauschal deshalb von einer Zulässigkeit entsprechender Fragen ausgegangen werden, weil möglicherweise die Eignung für die vorgesehene Tätigkeit oder die zeitliche Verfügbarkeit des Bewerbers eingeschränkt oder wegen einer Ansteckungsgefahr zukünftige Kolleginnen und Kollegen gefährdet sein könnten. Solche Fragen sind vielmehr nur dann zulässig, wenn das Nichtvorhandensein der Behinderung eine wesentliche und entscheidende Anforderung für die angestrebte berufliche Tätigkeit darstellt3. Will der Arbeitgeber gezielt behinderte Menschen fördern, darf er mit Blick auf § 5 AGG allerdings gezielt nach einer Behinderung fragen4. Im bestehenden Arbeitsverhältnis ist nach Ansicht des BAG jedenfalls nach sechs Monaten, also nach dem Erwerb des Sonderkündigungsschutzes für schwerbehinderte Menschen, die Frage des Arbeitgebers nach der Schwerbehinderung zulässig5. Oftmals hat ein Arbeitgeber Interesse daran, die Aussagen eines Bewerbers an- 45 hand geeigneter Dokumente nachzuprüfen oder Informationen durch bestimmte Dokumente überhaupt erst zu generieren6. In Betracht kommt eine Vielzahl von Unterlagen, die über unterschiedliche Aspekte des Lebens des Bewerbers Aussagen treffen. Wie das Fragerecht ist auch diese Art der Informationsgewinnung an § 32 gebunden. Der Arbeitgeber darf mithin nur solche Dokumente einfordern, die Daten beinhalten, bezüglich derer der Arbeitgeber auch ein Fragerecht hätte. Vor dem Hintergrund der vielfältigen technischen und überdies leicht zugänglichen Möglichkeiten zur Fälschung von Dokumenten kann es sich dabei empfehlen, Originaldokumente oder jedenfalls beglaubigte Kopien einzufordern. 1 BAG v. 14.1.2004 – 10 AZR 188/03, NZA 2005, 839. 2 BAG v. 17.12.2009 – 8 AZR 670/08, NZA 2010, 383. 3 BAG v. 5.10.1995 – 2 AZR 923/94, BB 1995, 2271; offengelassen, weil im konkreten Fall nicht entscheidungserheblich, für die Frage nach einer Schwerbehinderung des Bewerbers in BAG v. 7.7.2011 – 2 AZR 396/10, BB 2012, 1291; vgl. auch Bayreuther, NZA 2010, 679; Husemann, RdA 2014, 16; Thüsing, Beschäftigtendatenschutz und Compliance, § 7 Rz. 25; zur Frage, welche Einschränkungen sich aus einer in den Bewerbungsunterlagen angegebenen Behinderung ergeben, vgl. BAG v. 26.6.2014 – 8 AZR 547/13. 4 Joussen, NZA 2007, 174 (177). 5 BAG v. 16.2.2012 – 6 AZR 553/10, NJW-Spezial 2012, 308; vgl. dazu auch Husemann, RdA 2014, 16. 6 Vgl. dazu auch Hohenstatt/Stamer/Hinrichs, NZA 2006, 1065 (1066).

Stamer/Kuhnke

|

747

§ 32 BDSG | Datenverarbeitung nicht-öffentlicher Stellen 46 Die Vorlage von Dokumenten über fachliche Qualifikationen des Bewerbers

oder Nachweise wie insbesondere Zeugnisse darf der Arbeitgeber verlangen. Auch an Dokumentationen der jeweiligen Beschäftigungsdauer hat der Arbeitgeber ein berechtigtes Interesse1.

47 Schwieriger gestaltet sich die Frage nach der Zulässigkeit der Anforderung eines

polizeilichen Führungszeugnisses2. Teilweise bestehen ohnehin gesetzliche Vorlagepflichten. So sieht § 7 Abs. 3 Nr. 3 LuftSiG vor, dass für jeden Bewerber von der Luftsicherheitsbehörde „unbeschränkte Auskünfte aus dem Bundeszentralregister“ einzuholen sind. Nach Maßgabe von § 30 BZRG kann ein Führungszeugnis lediglich vom Betroffenen selbst beantragt und überdies an keinen anderen als den Antragssteller selbst versendet werden. Allerdings listet ein polizeiliches Führungszeugnis nicht lediglich solche Straftaten auf, die einen Bezug zur in Frage kommenden Tätigkeit haben könnten. Das Fragerecht des Arbeitgebers beschränkt sich indessen gerade auf solche Straftaten, die aus objektiver Sicht unmittelbaren Bezug zur übernehmenden Tätigkeit haben3. Das Verlangen eines polizeilichen Führungszeugnisses wird daher teilweise generell als rechtswidrig angesehen4. Dieses Ergebnis hat indessen zur Folge, dass einem Arbeitgeber kein Mittel zur Verfügung steht, die Antworten eines Bewerbers auf zulässige Fragen zu Vorstrafen zu verifizieren. Gleichzeitig treffen den Arbeitgeber erhebliche Sorgfaltspflichten im Hinblick auf die Auswahl geeigneter Bewerber5. Überdies sprechen die Gesetzesmaterialien zum BZRG selbst für die Zulässigkeit des Verlangens eines polizeilichen Führungszeugnisses durch den Arbeitgeber6. Jedenfalls für Beschäftigungsverhältnisse, die mit einem Umgang mit oder Zugang zu erheblichen Vermögensgegenständen verbunden sind, kann daher die Vorlage eines Führungszeugnisses verlangt werden. Insoweit ist ausreichend, dass beim Arbeitgeber entsprechende Rahmenbedingungen herrschen. Einer besonderen arbeitsvertraglichen Position des Bewerbers bedarf es nicht, so dass bspw. ein Finanzinstitut auch von einer Reinigungskraft oder dem Wachper-

1 BAG v. 12.2.1970 – 2 AZR 184/69, NJW 1970, 1565 (1566). 2 Vgl. die Anm. Kort zu BAG v. 20.3.2014 – 2 AZR 1071/12, AP Nr. 73 zu § 123 BGB; zu den datenschutzrechtlichen Problemen eines erweiterten Führungszeugnisses vgl. Joussen, NZA 2012, 776; Lönisch/Mysliniec, NJW 2012, 2389; zur Vorlage eines erweiterten Führungszeugnisses im bestehenden Arbeitsverhältnis vgl. LAG Hamm v. 4.7.2014 – 10 Sa 171/14 (Revision zugelassen) mit Anm. Tiedemann, ZD 2015, 37 (40). 3 S. dazu auch Kania/Sansone, NZA 2012, 360 (362). 4 Thüsing, Beschäftigtendatenschutz und Compliance, § 7 Rz. 37; Däubler/Kittner/Klebe/ Wedde/Klebe, § 94 BetrVG Rz. 17; Thum/Szczesny, BB 2007, 2405 (2406); a.A. Hohenstatt/Stamer/Hinrichs, NZA 2006, 1065 (1067); MüKo-HGB/von Hoyningen/Huene, § 59 HGB Rz. 104; Milthalter, Fragerecht des Arbeitgebers 2006, S. 204; Götz, BB 1971, 1325 (1326). 5 BGH v. 20.3.2001 – VI ZR 373/99, NJW 2001, 2023, für die Einstellung eines bewaffneten Wachmannes. 6 BT-Drucks. 6/477, S. 20.

748

|

Stamer/Kuhnke

Datenerhebung für Zwecke des Beschäftigungsverhältnisses | § 32 BDSG

sonal die Vorlage eines Führungszeugnisses beanspruchen kann, wenn nicht selbst ein unberechtigter Zugang zu solchen Vermögensgegenständen undenkbar wäre1. Überlegenswert wäre weiterhin die Einführung arbeitgeberbezogener Führungszeugnisse, wie es sie etwa in den Niederlanden oder Frankreich gibt2. Die vorstehenden Ausführungen gelten entsprechend für das Verlangen des Ar- 48 beitgebers nach einer SCHUFA-Auskunft. Hier ist die Interessenlage vergleichbar derjenigen bei der Vorlage polizeilicher Führungszeugnisse. Im Rahmen der Interessenabwägung kann das Interesse des Arbeitgebers an einer Verifikation der diesbezüglichen Angaben des Bewerbers überwiegen. Wünschenswert wäre indessen auch insoweit die Etablierung „arbeitgeberbezogener“ Schufa-Auskünfte3. Die Durchführung medizinischer Untersuchungen und psychologischer Tests 49 unterliegt ebenfalls den Grenzen des § 32 und ist mithin nur zulässig, wenn sie für die Einstellungsentscheidung erforderlich ist4. Die gewonnenen Erkenntnisse sind dem Beschäftigten vollumfänglich mitzuteilen5, während der Arbeitgeber lediglich die Information erhält, ob der Beschäftigte für die vorgesehene Tätigkeit geeignet ist oder nicht6. Beispiele zulässiger ärztlicher Untersuchungen sind die Flugtauglichkeit eines Piloten oder ein HIV-Test bei einem Chirurgen. Zudem bestehen Spezialregelungen medizinischer Untersuchungen zum Schutze bestimmter Beschäftigter, etwa §§ 32 ff. JArbSchG für junge Beschäftigte7. Untersuchungen während eines Beschäftigungsverhältnisses kommen in Betracht, wenn tatsächliche Anhaltspunkte vorliegen, die Zweifel an der fortdauernden Eignung des Beschäftigten begründen, oder wenn ein entsprechender Tätigkeitswechsel vorgesehen ist8. Nicht zulässig sind standardmäßige Alkohol- oder Drogentests, die ohne An- 50 haltspunkt eine etwaige Abhängigkeit abprüfen sollen9. Dieser Grundsatz ist 1 Vgl. dazu die Anm. Kort zu BAG v. 20.3.2014 – 2 AZR 1071/12, AP Nr. 73 zu § 123 BGB; zur Vorlage eines erweiterten Führungszeugnisses nach § 30a BZRG im bestehenden Arbeitsverhältnis vgl. LAG Hamm v. 4.7.2014 – 10 Sa 171/14 (Revision zugelassen) mit Anm. Tiedemann, ZD 2015, 37 (40). 2 Näher hierzu Milthaler, Fragerecht des Arbeitgebers, S. 205. 3 Hohenstatt/Stamer/Hinrichs, NZA 2006, 1065 (1069). 4 BAG v. 23.2.1967 – 2 AZR 124/66, AP Nr. 1 zu § 7 BAT; ErfK/Preis, § 611 BGB Rz. 293; Behrens, NZA 2014, 401; Franzen, NZA 2013, 1; Stück/Wein, NZA-RR 2005, 505; Iraschko-Luscher/Kiekenbeck, NZA 2009, 1239 (1240); Keller, NZA 1988, 561 (562). 5 Kritisch Bayreuther, NZA 2010, 679 (682). 6 Iraschko-Luscher/Kiekenbeck, NZA 2009, 1239 (1239); Lichtenberg/Schüssing, NZA 1990, 41 (44 f.). 7 Näher hierzu Behrens, NZA 2014, 401; Stück/Wein, NZA-RR 2005, 505 (505 ff.). 8 Vgl. dazu Behrens, NZA 2014, 401 (404). 9 So schon BAG v. 12.8.1999 – 2 AZR 55/99, NZA 1999, 1209; Thüsing, Beschäftigtendatenschutz und Compliance, § 7 Rz. 29; Diller/Powietzka, NZA 2001, 1227 (1228); zum Mitbestimmungsrecht des Betriebsrats vgl. LAG Baden-Württemberg v. 13.12. 2002 – 16 TaBV 4/02, NZA-RR 2003, 417.

Stamer/Kuhnke

|

749

§ 32 BDSG | Datenverarbeitung nicht-öffentlicher Stellen allerdings ebenfalls für solche Arbeitsplätze zu relativieren, bei denen eine Alkohol- oder Drogenabhängigkeit die Eignung eines Bewerbers oder einer Bewerberin entfallen ließe, zumal der Arbeitgeber in solchen Fällen ein entsprechendes Fragerecht hätte1. 51 Psychologische Eignungstests müssen sich vor dem Hintergrund der Achtung

der Privatsphäre des Bewerbers auf das Abprüfen von Fähigkeiten und Eigenschaften beschränken, die für die Ausübung der späteren Tätigkeit von Bedeutung sind. Unspezifische allgemeine Intelligenztests oder umfassende Persönlichkeitsprofile stellen einen übermäßigen und damit unzulässigen Eingriff in die Privatsphäre dar2.

52 Für die Frage der Zulässigkeit genetischer Untersuchungen und Analysen ge-

hen die spezielleren Vorschriften des am 1.2.2010 in Kraft getretenen Gendiagnostikgesetzes (GenDG) denen des BDSG vor. §§ 19–22 GenDG enthalten spezielle arbeitsrechtliche Regelungen, die das Ziel verfolgen, die Chancen genetischer Untersuchungen und Analysen zu nutzen und wiederum den damit verbundenen Missbrauchsgefahren vorzubeugen3. Der Anwendungsbereich des GenDG umfasst dabei nach § 2 GenDG jede Erhebung genetischer Daten „im Arbeitsleben“ und bezieht damit genetische Untersuchungen und Analysen vor und nach Begründung des Arbeitsverhältnisses ein4. In Betracht kommen genetische Untersuchungen zur Überprüfung der Eignung eines Bewerbers für einen Arbeitsplatz oder auch die Durchführung einer genetischen Untersuchung zur Aufklärung einer Straftat im Betrieb. § 19 GenDG verbietet es dem Arbeitgeber, die Vornahme genetischer Untersuchungen oder Analysen oder die Mitteilung der Ergebnisse früherer Untersuchungen zu verlangen oder entgegenzunehmen. Eine Einwilligung des Beschäftigten ist gegenstandslos. Selbst im Bereich des Arbeitsschutzes sind genetische Untersuchungen und Analysen nach § 20 Abs. 1 GenDG grundsätzlich unzulässig. Ausnahmen enthält § 20 Abs. 2 bis 4 GenDG. Überdies darf der Arbeitgeber nach § 21 Abs. 1 GenDG einen Beschäftigten nicht wegen seiner genetischen Eigenschaften, der seiner Verwandten oder der Verweigerung eine genetischen Untersuchung oder Analyse oder der Vorlage entsprechender Ergebnisse benachteiligen. Verstöße gegen die §§ 19 ff. GenDG können für den Arbeitgeber erhebliche Auswirkungen zeitigen. In Betracht kommen Schadenersatzansprüche, Ordnungswidrigkeiten und strafrechtliche Konsequenzen5.

1 2 3 4

Diller/Powietzka, NZA 2001, 1227 (1228); Bengelsdorf, NZA-RR 2004, 113 (114). ErfK/Wank, § 32 BDSG Rz. 9; vgl. dazu auch Franzen, NZA 2013, 1. So die Gesetzesbegründung: BT-Drucks. 16/10532, S. 16. Fischinger, NZA 2010, 65 (66); Wiese, BB 2009, 2198 (2202); zum weiten Beschäftigtenbegriff s. den Wortlaut des § 3 Nr. 12 GenDG. 5 Näheres zu den Rechtsfolgen Fischinger, NZA 2010, 65 (70).

750

|

Stamer/Kuhnke

Datenerhebung für Zwecke des Beschäftigungsverhältnisses | § 32 BDSG

VI. Durchführung des Beschäftigungsverhältnisses Nach Begründung des Beschäftigungsverhältnisses dürfen personenbezogene 53 Daten eines Beschäftigten für Zwecke des Beschäftigungsverhältnisses erhoben, verarbeitet oder genutzt werden, wenn dies für dessen Durchführung erforderlich ist. In der Gesetzesbegründung heißt es, die Regelung entspreche auch insoweit den bislang von der Rechtsprechung erarbeiteten Grundsätzen des Datenschutzes im Beschäftigungsverhältnis1, wobei ein Urteil des BAG zur Erhebung, Speicherung und Löschung von Arbeitnehmerdaten2 sowie die bereits im Zusammenhang mit dem Stadium der Begründung des Beschäftigungsverhältnisses zitierte Entscheidung zu Auskunftspflichten des Arbeitnehmers3 erwähnt werden. Insoweit kann zunächst auf die Ausführungen in Rz. 16 ff. zur Erforderlichkeit und Verhältnismäßigkeit der Datenerhebung, -verarbeitung und -nutzung und insbesondere zum Fragerecht des Arbeitgebers sowie die diesbezüglichen Fallgruppen verwiesen werden. Weiter heißt es in den Gesetzesmaterialien, der Arbeitgeber dürfe sich nach der Einstellung bei seinen Beschäftigten über Umstände informieren oder Daten verwenden, um seine vertraglichen Pflichten gegenüber den Beschäftigten erfüllen zu können, „z.B. Pflichten im Zusammenhang mit der Personalverwaltung, Lohn- und Gehaltsabrechnung“. Nach der Gesetzesbegründung gilt dies auch, „wenn der Arbeitgeber seine im Zusammenhang mit der Durchführung des Beschäftigungsverhältnisses bestehenden Rechte wahrnimmt, z.B. durch Ausübung des Weisungsrechts oder durch Kontrollen der Leistung oder des Verhaltens des Beschäftigten“4. Gerade nach der Einstellung eines Bewerbers zeigt sich im besonderen Maße das 54 Spannungsverhältnis zwischen dem vom Gesetzgeber anerkannten Recht und Bedürfnis des Arbeitgebers, Daten zur Wahrnehmung seiner Rechte zu erheben, zu verarbeiten oder zu nutzen einerseits und den von § 3a postulierten Grundsätzen der Datenvermeidung und Datensparsamkeit andererseits. Als Dauerschuldverhältnis ist ein Beschäftigungsverhältnis dem Wandel unterworfen. Der Arbeitgeber hat daher ein Interesse daran, möglichst viele Daten vorzuhalten, bspw., um ggf. die Eignung des Beschäftigten für andere Tätigkeiten prüfen oder aber im Rahmen betriebsbedingter Kündigungen eine ordnungsgemäße Sozialauswahl durchführen zu können5. Teilweise sind die hierfür notwendigen Daten bereits aus anderen Gründen vorzuhalten. Bspw. betrifft dies Unterhaltspflichten für Abrechnungszwecke. Aus Sicht des Beschäftigten besteht wiederum ein erhebliches Interesse an Datensparsamkeit. Auch insoweit können Fallgruppen gebildet werden: 1 2 3 4 5

BT-Drucks. 16/13657, S. 21. BAG v. 22.10.1986 – 5 AZR 660/85, NZA 1987, 415. BAG v. 7.9.1995 – 8 AZR 828/93, NZA 1996, 637. BT-Drucks. 16/13657, S. 21. Nach § 1 Abs. 3 KSchG sind für die Sozialauswahl nur die Kriterien Lebensalter, Betriebszugehörigkeit, Unterhaltspflichten und Schwerbehinderung maßgeblich.

Stamer/Kuhnke

|

751

§ 32 BDSG | Datenverarbeitung nicht-öffentlicher Stellen 1. Allgemeine Daten 55 Nach Maßgabe der dargestellten Grundsätze ist die Erhebung von Stammdaten

wie vollständiger Name, Anschrift, Familienstand1, Ausbildung, Qualifikation, Eintrittsdatum, Eingruppierung, Entgelt und Krankenkassenzugehörigkeit2 auch während des Beschäftigtenverhältnisses ohne Weiteres zulässig. Dies gilt zunächst für Grunddaten, die für die Entgeltabrechnung erforderlich sind, aber auch für sonstige Daten, die der Arbeitgeber zu Abrechnungszwecken benötigt, wie etwa die Konfession zur Erhebung der Kirchensteuer3. Auch Alter und Geschlecht des Beschäftigten darf der Arbeitgeber mit Blick auf Personalplanung, Beachtung des Gleichbehandlungsgrundsatzes, das Erreichen des Rentenalters bzw. ggf. die Unterscheidung von Arbeitnehmern bei Namensgleichheit speichern. Die Zulässigkeit der Nutzung und weiteren Verarbeitung ist dann freilich jeweils gesondert im Lichte datenschutzrechtlicher Bestimmungen zu prüfen.

56 Grundsätzlich unzulässig ist demgegenüber die Erhebung von Daten wie Betreu-

ungsaufgaben aufsichtsbedürftiger Kinder, berufliche Tätigkeit der Eltern oder sexueller Orientierung4. Auch die Erhebung weiterer Daten, die die Privatsphäre des Beschäftigten betreffen wie Freunde, Bekannte, Hobbys, Ess- oder Trinkgewohnheiten, ist grundsätzlich nicht erforderlich für die Durchführung eines Beschäftigungsverhältnisses und demnach nicht auf Grundlage von § 32 Abs. 1 Satz 1 zulässig. Anderes kann allerdings bei potentiellen Interessenkonflikten qua Verwandtschaft oder persönlicher Nähe sowie im Falle des Verdachts von Straftaten gelten (dazu Rz. 83). Beschäftigte, die Rufbereitschaft leisten, können verpflichtet sein, private Telefonnummern anzugeben, um ihre Erreichbarkeit sicherzustellen5.

57 Nach erfolgter Einstellung darf der Arbeitgeber nach der Gewerkschaftszuge-

hörigkeit fragen. Bei solchen Angaben handelt es sich zwar um besondere Arten personenbezogener Daten nach § 3 Abs. 9. Insbesondere mit Blick auf die Aufgabe des Grundsatzes der Tarifeinheit durch das BAG6 ist indessen grundsätzlich von einem berechtigten Interesse des Arbeitgebers an der Beantwortung der Frage auszugehen7, und zwar auch nach Inkrafttreten des Tarifeinheitsgesetzes (vgl. dazu Rz. 36). 1 Däubler/Klebe/Wedde/Weichert/Däubler, § 32 BDSG Rz. 73. 2 Däubler/Klebe/Wedde/Weichert/Däubler, § 32 BDSG Rz. 67. 3 Fitting, § 94 BetrVG Rz. 17; Däubler, Gläserne Belegschaften?, Rz. 258; Däubler/Klebe/ Wedde/Weichert/Däubler, § 32 BDSG Rz. 73; vgl. dazu auch Art. 9 Abs. 2b) DSGVO. 4 Zur Entlassung einer transsexuellen Person aus dem Grund der Geschlechtsumwandlung vgl. bereits EuGH v. 30.4.1996 – Rs. C-13/94, NZA 1996, 695. 5 Däubler/Klebe/Wedde/Weichert/Däubler, § 32 BDSG Rz. 72. 6 BAG v. 23.6.2010 – 10 AS 2/10, NZA 2010, 778; zur Rechtslage nach Inkrafttreten der DSGVO vgl. Komm. zu Art. 88 DSGVO Rz. 19. 7 Thüsing, Beschäftigtendatenschutz und Compliance, § 7 Rz. 30.

752

|

Stamer/Kuhnke

Datenerhebung für Zwecke des Beschäftigungsverhältnisses | § 32 BDSG

Selbstverständlich ist der Arbeitgeber auch zur Erhebung und Verarbeitung der 58 vertraglich vereinbarten Arbeitszeit („Soll-Arbeitszeit“) und der tatsächlich geleisteten Arbeitszeit („Ist-Arbeitszeit“) berechtigt1. Im Rahmen von § 16 Abs. 2 ArbZG, nach Maßgabe von § 17 Abs. 1 MiLoG sowie bei Arbeitszeitkonten ist er hierzu sogar verpflichtet, wobei es bei Arbeitszeitkonten nicht darauf ankommt, dass diesen Wertguthabenvereinbarungen nach § 7b SGB IV zugrunde liegen. Abwesenheitszeiten und die diesbezüglichen Gründe dürfen ebenfalls vorgehalten werden, weil auch solche Daten für die Durchführung des Beschäftigungsverhältnisses erforderlich sind2. Gleichermaßen ist die Erhebung und Verarbeitung des Arbeitsentgelts erforderlich nach Maßgabe von § 32 Abs. 1 Satz 1. Im Übrigen bestehen insoweit ohnehin gesetzliche Vorhalte- und Aufbewahrungspflichten3. 2. Gesundheitsdaten Krankheitsbedingte Fehlzeiten stellen für Arbeitgeber sowohl finanzielle als 59 auch arbeitsorganisatorische Belastungen dar4. Zugleich sind Gesundheitsdaten besondere Arten personenbezogener Daten nach § 3 Abs. 9 sowie nach Art. 9 Abs. 1 DSGVO. Für die beschäftigtendatenschutzrechtliche Beurteilung der Erhebung, Verarbeitung und Nutzung ist zwischen der Durchführung medizinischer Untersuchungen einerseits und einer sonstigen Erhebung von Krankheitsdaten andererseits zu unterscheiden. Bestehen begründete Zweifel an der gesundheitlichen Tauglichkeit eines Be- 60 schäftigten für die jetzige oder eine künftige Tätigkeit, kann der Beschäftigte verpflichtet sein, sich einer ärztlichen Untersuchung seines Gesundheitszustandes zu unterziehen5. Gleichermaßen kann bei ernsthaften, begründeten Zweifeln an der Arbeitsunfä- 61 higkeit, wie etwa auffällig häufiger oder häufig nur für kurze Zeit bestehender Arbeitsunfähigkeit6, der Medizinische Dienst der jeweiligen gesetzlichen Krankenkasse eingeschaltet werden. Demgegenüber kann der Arbeitgeber nicht verlangen, die Arbeitsunfähigkeit durch Untersuchung eines von ihm benannten Arztes 1 Däubler/Klebe/Wedde/Weichert/Däubler, 32 BDSG Rz. 74. 2 Auf dieser Grundlage kann ein Arbeitnehmer die Entfernung einer zu Recht erteilten Abmahnung aus der Personalakte nur verlangen, wenn das abgemahnte Verhalten für das Arbeitsverhältnis in jeder Hinsicht bedeutungslos geworden ist, vgl. BAG v. 19.7. 2012 – 2 AZR 782/11, NZA 2013, 91. 3 Zur sechsjährigen Aufbewahrungspflicht solcher Unterlagen vgl. § 147 Abs. 1 Nr. 5 i.V.m. Abs. 3 AO sowie § 41 Abs. 1 Satz 9 EStG; näher zu Aufbewahrungspflichten Simitis/Seifert, § 32 BDSG Rz. 76. 4 Iraschko-Luscher/Kiekenbeck, NZA 2009, 1239. 5 Vgl. dazu BAG v. 12.8.1999 – 2 AZR 55/99, NJW 2000, 604; vgl. dazu auch Behrens, NZA 2014, 401; s.a. § 32c Abs. 3 BDSG-E 2010. 6 Anhaltspunkte enthält § 275 Abs. 1a Satz 1 SGB V.

Stamer/Kuhnke

|

753

§ 32 BDSG | Datenverarbeitung nicht-öffentlicher Stellen zu überprüfen1. Auch gehört es nicht zu den regelmäßigen Aufgaben eines Betriebsarztes, die Arbeitsunfähigkeitsbescheinigungen von Beschäftigten auf ihre Richtigkeit zu kontrollieren, wie schon § 3 Abs. 3 ASiG ausdrücklich festhält2. 62 Das Arbeitsschutzrecht sieht überdies in verschiedenen Fällen Vorsorgeunter-

suchungen vor3. Ist eine medizinische Untersuchung durch Gesetz vorgeschrieben, muss sich der Betroffene solchen vorgeschriebenen Pflichtuntersuchungen unterziehen4. Dem Arbeitgeber dürfen die in diesem Rahmen erhobenen Gesundheitsdaten aber selbstverständlich nicht mitgeteilt werden.

63 Die hohen Anforderungen des GenDG für genetische Untersuchungen und

Analysen im Vorfeld eines Beschäftigungsverhältnisses gelten auch im Beschäftigungsverhältnis fort – das GenDG regelt die Situation vor und nach Begründung des Beschäftigungsverhältnisses einheitlich5. Insofern kann auf die Ausführungen vor Begründung des Beschäftigungsverhältnisses verwiesen werden (dazu Rz. 52). Ergänzend kann sich während des Beschäftigungsverhältnisses ein Interesse des Arbeitgebers ergeben, eine gefundene DNA-Spur, die bspw. mit einem Fehlverhalten oder einer Straftat in Verbindung gebracht wird, mit der DNA der Beschäftigten abzugleichen, um einen Verdächtigen zu ermitteln6. Allerdings gilt auch insoweit das Verbot des § 19 GenDG. Nach § 2 Abs. 2 Nr. 2a GenDG bleibt die Täterfeststellung mittels DNA-Analyse allein den Ermittlungsbehörden vorbehalten.

64 Unzulässig sind allgemeine gesundheitliche und sonstige Kontrollen, und damit

auch routinemäßige Alkohol- und Drogentests7. Das gilt auch für Betriebe mit erhöhtem Gefahrenpotential8. Anderes kann allerdings bei begründeten Zweifeln an der fortdauernden Eignung des Arbeitnehmers aufgrund einer vermuteten Alkohol- oder Drogenabhängigkeit gelten9. Überdies können branchenspezifische Sicherheitsvorschriften, die absolute Alkohol- und Rauschmittelverbote enthalten, den Arbeitgeber unter Wahrung des Verhältnismäßigkeitsgrundsatzes

1 BAG v. 2.3.2006 – 2 AZR 53/05, DB 2006, 2183, Rz. 30; LAG Bremen v. 7.5.1956 – 2 AZR 256/55, DB 1956, 623 (623); LAG Hamm v. 16.2.1977 – 2 Sa 772/76, DB 1977, 828; ErfK/ Dörner § 5 EFZG Rz. 13; a.A.: Lepke, Kündigung bei Krankheit, Rz. 596; LAG Berlin v. 27.11.1989 – 3 Sa 82/89, DB 1990, 1621 (1622). 2 Feichtinger/Malkmus/P. Feichtinger, § 5 EFZG Rz. 90. 3 Kittner/Pieper, ArbSchR, § 11 ArbSchG Rz. 7; Däubler, Gläserne Belegschaften?, Rz. 276; dahingehende Regelungen auflistend: Stück/Wein, NZA-RR, 2005, 505. 4 Däubler, Gläserne Belegschaften?, Rz. 276. 5 Däubler/Kittner/Klebe/Wedde/Klebe, § 94 BetrVG Rz. 38. 6 So etwa im Fall VGH Baden-Württemberg v. 28.11.2000 – PL 15 S 2838/99, AuR 2001, 469. 7 BAG v. 12.8.1999 – 2 AZR 55/99, NZA 1999, 1209; Däubler/Kittner/Klebe/Wedde/Klebe, § 94 BetrVG Rz. 38. 8 BAG v. 12.8.1999 – 2 AZR 55/99, NZA 1999, 1209; Däubler/Kittner/Klebe/Wedde/Klebe, § 94 BetrVG Rz. 38; Däubler, Gläserne Belegschaften?, Rz. 279; kritisch bzgl. der Neuregelung im BDSG-E 2010: Beckschulze/Natzel, BB 2010, 2368 (2371). 9 BAG v. 12.8.1999 – 2 AZR 55/99, NJW 2000, 604.

754

|

Stamer/Kuhnke

Datenerhebung für Zwecke des Beschäftigungsverhältnisses | § 32 BDSG

zu auch unangekündigten Kontrollen berechtigen1. Eine solche Kontrolle darf aber keine Rückschlüsse auf das private Alkohol- oder Drogenverhalten zulassen2. Schließlich kann es in Einzelfällen denkbar sein, dass ein Arbeitgeber im Rahmen einer unternehmerischen Entscheidung für einen bestimmten Arbeitsplatz nur einen Arbeitnehmer einsetzen möchte, der sich erfolgreich einem negativen Alkohol- oder Drogenscreening unterzogen hat3. Im Übrigen kann die Erhebung von Krankheitsdaten nach § 28 Abs. 6 Nr. 3 zur 65 Geltendmachung, Ausübung und Verteidigung rechtlicher Ansprüche zulässig sein, bspw. für Zwecke der Lohn- und Gehaltsabrechnung (vgl. dazu im Einzelnen die Komm. zu § 28 BDSG Rz. 212 und zu Art. 88 DSGVO Rz. 19). Zudem hat der Arbeitgeber ein berechtigtes Interesse daran zu erfahren, inwieweit 66 das arbeitsvertragliche Austauschverhältnis mit einem Arbeitnehmer durch Krankheit oder anders begründete Fehlzeiten gestört ist und wann bzw. ob mit einer Wiederherstellung der Arbeitsfähigkeit des Arbeitnehmers zu rechnen ist4. Die Gründe für ein solches Interesse reichen von der Berücksichtigung von Leistungseinschränkungen eines Beschäftigten über die Organisation eines gesundheitlich begründeten Wechsels des Arbeitsplatzes oder die Planung einer befristeten Vertretung bis hin zur Beurteilung der Entgeltzahlungsverpflichtung5. Auch die Erwägung einer krankheitsbedingten Kündigung kann ein Interesse an der Erhebung krankheitsbedingter Fehlzeiten begründen6. Die konkreten gesundheitlichen Beeinträchtigungen, die zu diesen Fehlzeiten führen, haben den Arbeitgeber hingegen generell nicht zu interessieren. So geht auch das Entgeltfortzahlungsgesetz davon aus, dass der Arbeitgeber nur von der Arbeitsunfähigkeit Kenntnis erhält und nicht von den medizinischen Gründen7. In dieser Weise sind auch Krankenrückkehrgespräche zu führen8. Der Betroffene muss auch im Rahmen solcher Gespräche nicht von seinem Krankheitsbild berichten9. Eine Ausnahme kommt in Betracht, wenn nähere Angaben über die Art der Krankheit für die weiteren Dispositionen notwendig sind, etwa bei ansteckenden Krankheiten10. Im 1 Diller/Powietzka, NZA 2001, 1227 (1230). 2 BAG v. 12.8.1999 – 2 AZR 55/99, NZA 1999, 1209 (1210). 3 BAG v. 12.8.1999 – 2 AZR 55/99, NZA 1999, 1209 (1210); Diller/Powietzka, NZA 2001, 1227 (1230). 4 ErfK/Wank, § 32 BDSG Rz. 24. 5 Stück/Wein, NZA-RR 2005, 505. 6 Stück/Wein, NZA-RR 2005, 505. 7 Feichtinger/Malkmus/P. Feichtinger, § 5 EFZG, Rz. 15; Däubler, Gläserne Belegschaften?, Rz. 274. 8 Näher dazu Iraschko-Luscher/Kiekenbeck, NZA 2009, 1239 (1242). 9 Däubler, Gläserne Belegschaften?, Rz. 274. 10 LAG Berlin v. 27.11.1989 – 9 Sa 82/89, DB 1990, 1621 (1622); LAG Mannheim, DB 1954, 476; LAG Bremen v. 28.3.1956 – Sa 10/56 BB 1956, 623; LAG Düsseldorf v. 3.5.1961 – 6 Sa 69/61, DB 1961, 1103; Denecke, BB 1951, 279; Lepke, DB 1970, 494; Lepke, Kündigung bei Krankheit, S. 120; Däubler, Gläserne Belegschaften?, Rz. 280.

Stamer/Kuhnke

|

755

§ 32 BDSG | Datenverarbeitung nicht-öffentlicher Stellen Übrigen ist der Beschäftigte nicht einmal in einem Kündigungsschutzprozess verpflichtet, den behandelnden Arzt von seiner Schweigepflicht zu entbinden und Auskunft über seinen Gesundheitszustand zu erteilen. Unterbleibt dies, kann das Gericht allerdings von einer negativen Zukunftsprognose ausgehen. 67 Die Durchführung eines HIV-Tests kann nur bei Tätigkeiten verlangt werden,

bei denen eine erhöhte Ansteckungsgefahr besteht1. Unter Umständen trifft den Beschäftigten eine Offenbarungspflicht2.

68 Eine weitere Rechtfertigung für die Erhebung von Krankheitsdaten Beschäftigter

ergibt sich aus § 28 Abs. 7 (dazu näher Komm. zu § 28 BDSG Rz. 214)3. Hiernach ist eine Erhebung auch zu dem Zweck zulässig, dass künftige Erkrankungen verhindert werden sollen. Zu diesem Zweck dürfen ärztliches Personal, also bspw. der Betriebsarzt, oder sonstige Personen, die einer entsprechenden Geheimhaltungspflicht unterliegen, besondere Arten personenbezogener Daten erheben4.

69 Die Erhebung von Gesundheitsdaten ist überdies zulässig im Rahmen der Durch-

führung eines betrieblichen Eingliederungsmanagements nach § 84 Abs. 2 SGB IX5.

70 Von der Durchführung eines betrieblichen Eingliederungsmanagements hängt die

Darlegungslast hinsichtlich alternativer Einsatzmöglichkeiten des Arbeitnehmers ab. Hat der Arbeitgeber kein ordnungsgemäßes betriebliches Eingliederungsmanagement durchgeführt, muss er im Prozess um die krankheitsbedingte Kündigung darlegen, dass der Arbeitnehmer nicht weiterbeschäftigt werden kann.

71 Hat der Arbeitgeber ein betriebliches Eingliederungsmanagement angeboten,

der Arbeitnehmer in die Durchführung indessen nicht eingewilligt, ist entscheidend, ob der Arbeitgeber den Arbeitnehmer vorab nach § 84 Abs. 2 Satz 3 SGB IX ordnungsgemäß über die Ziele des betrieblichen Eingliederungsmanagements und Art und Umfang der erhobenen und verwendeten Daten aufgeklärt hat6.

72 Die Speicherung krankheitsbedingter Fehlzeiten ist generell nur ohne Angabe

des Krankheitsgrundes zulässig. Dies ist auch im Hinblick auf die Aufbewahrung von Arbeitsunfähigkeitsbescheinigungen in Personalakten zu beachten7. Weiter sind die Daten gegen eine zufällige Kenntnisnahme zu schützen, und der 1 Däubler, Gläserne Belegschaften?, Rz. 281; ausführlich dazu Lichtenberg/Schücking, NZA 1990, 41. 2 Stück/Wein, NZA-RR 2005, 505 (507). 3 Däubler, Gläserne Belegschaften?, Rz. 270. 4 Däubler, Gläserne Belegschaften?, Rz. 270. 5 Zur Weitergabe solcher Daten an den Betriebsrat ohne Zustimmung des Arbeitnehmers s. BAG v. 7.2.2012 – 1 ABR 46/10; zu den Besonderheiten der Datenspeicherung im Falle eines betrieblichen Eingliederungsmanagement vgl. Däubler, Gläserne Belegschaften?, Rz. 399g. 6 BAG v. 24.3.2011 – 2 AZR 170/10, NZA 2011, 992. 7 Iraschko-Luscher/Kiekenbeck, NZA 2009, 1239 (1241).

756

|

Stamer/Kuhnke

Datenerhebung für Zwecke des Beschäftigungsverhältnisses | § 32 BDSG

Zugang zu solchen Daten ist auf einen kleinen Personenkreis zu beschränken1. So darf etwa die Alkoholsucht eines Arbeitnehmers nicht in der allgemein zugänglichen Personalakte, sondern vielmehr lediglich in einem verschlossenen Umschlag dokumentiert werden, der nur einem eingeschränkten Personenkreis zugänglich ist2. Bei Beachtung dieser inhaltlichen Grenzen ist eine EDV-mäßige Speicherung ebenfalls erlaubt3. Nach § 5 Abs. 1 Satz 1 MuSchG sollen werdende Mütter dem Arbeitgeber ihre 73 Schwangerschaft und den mutmaßlichen Tag der Entbindung mitteilen. Im Falle eines Beschäftigungsverbots kommt eine Mitteilungspflicht in Betracht4. Im bestehenden Arbeitsverhältnis ist nach Ansicht des BAG jedenfalls nach 74 sechs Monaten, also nach dem Erwerb des Sonderkündigungsschutzes für schwerbehinderte Menschen, die Frage des Arbeitgebers nach der Schwerbehinderung zulässig5.

VII. Überwachung im Beschäftigungsverhältnis 1. Einführung Die Problematik der datenschutzrechtlichen Zulässigkeit von Überwachungs- 75 maßnahmen im Beschäftigungsverhältnis gewinnt mit zunehmender Einbindung moderner Kommunikationstechnik in die Arbeitsabläufe und damit einhergehend auch den zunehmenden Überwachungsmöglichkeiten- und -notwendigkeiten immer mehr an Bedeutung. Die Gründe, welche den Arbeitgeber zu einer Kontrolle des Verhaltens seiner Beschäftigten veranlassen können, sind vielfältig. Zum einen hat der Arbeitgeber ein berechtigtes Interesse daran, die Arbeitsweise und das Verhalten seiner Beschäftigten während der Arbeitszeit zu kontrollieren, um festzustellen, ob diese ihren Verpflichtungen sowie den Weisungen des Arbeitgebers nachkommen6. Zum anderen kann eine Kontrolle erforderlich sein, um einen effizienten oder auch sicheren Arbeitsablauf zu gewährleisten7. Schließlich haben sich unter dem Stichwort „Compliance“ die Anforderungen an Unter1 BAG v. 12.9.2006 – 9 AZR 271/06, NZA 2007, 269; Däubler, Gläserne Belegschaften?, Rz. 397 und 476. 2 BAG v. 12.9.2006 – 9 AZR 271/06, AP BGB § 611 Personalakte Nr. 1. 3 Däubler, Gläserne Belegschaften?, Rz. 284, allerdings nur für eine EDV-mäßige Speicherung durch den Betriebsarzt; zu den Pflichten des Dienstherrn hinsichtlich der Aufbewahrung von Gesundheitsdaten für das Beihilfeverfahren vgl. § 108 Abs. 1 Satz 1 bis 3 BBG sowie Simitis/Seifert, § 32 BDSG Rz. 69. 4 Iraschko-Luscher/Kiekenbeck, NZA 2009, 1239. 5 BAG v. 16.2.2012 – 6 AZR 553/10, NJW-Spezial 2012, 308; vgl. dazu auch Husemann, RdA 2014, 16. 6 Simitis/Seifert, § 32 BDSG Rz. 77. 7 Beispiele: Einblick in E-Mail-Accounts von abwesenden Mitarbeitern; Videoüberwachung an Bankschaltern; Ortungssysteme in Lkws einer Spedition.

Stamer/Kuhnke

|

757

§ 32 BDSG | Datenverarbeitung nicht-öffentlicher Stellen nehmen zur Einhaltung gesetzlicher und ethischer Standards sowie das diesbezügliche öffentliche/mediale Bewusstsein innerhalb der letzten 10–15 Jahre drastisch verschärft. Wenn Vorstände und Geschäftsführer von Unternehmen nicht rechtzeitig geeignete Maßnahmen zur Vermeidung oder Aufklärung von Korruption und anderen Wirtschafts- oder Umweltdelikten implementieren, drohen dem Unternehmen empfindliche Geldbußen und erhebliche Reputationsschäden sowie ihren Organen die persönliche Haftung. Da Unternehmen aber nur durch ihre Beschäftigten handeln, bedingt eine wirksame Compliance auch effiziente Präventions- und Überwachungsmöglichkeiten im Betrieb. 76 Dies steht ganz offensichtlich in einem Zielkonflikt mit der grundgesetzlich ge-

schützten informationellen Selbstbestimmung der betroffenen Beschäftigten. Der „gläserne Mitarbeiter“ ist gesellschaftspolitisch zu Recht nicht erwünscht. Damit befindet sich das Datenschutzrecht aber im Spannungsverhältnis zwischen Compliance und Persönlichkeitsrechtschutz, wobei viele Unternehmen in den vergangenen Jahren leidvoll feststellen mussten, dass „Compliance“ wiederum auch die Einhaltung datenschutzrechtlicher Standards bedeutet. Es ist daher die Aufgabe des Datenschutzrechts, diesen Konflikt aufzulösen und für Rechtsicherheit im Interesse der Beteiligten zu sorgen. Insbesondere im Rahmen von unternehmensinternen Ermittlungen, aber auch bei simplen alltäglichen Vorgängen stellen sich den Arbeitgebern schwierige Fragen. Leider bieten die Regelungen des geltenden Rechts hierzu nur unbefriedigende Lösungsansätze, da viele wichtige Fragen offen bleiben und auch nur wenig Rechtsprechung existiert, die der Praxis Anhaltspunkte liefern könnte1.

77 Abhilfe sollte 2010 der Entwurf eines Gesetzes zur Regelung des Beschäftig-

tendatenschutzes (s. zur Gesetzgebungshistorie Rz. 1) schaffen, der insbesondere die jeweiligen Anforderungen an die verschiedenen Überwachungsmöglichkeiten erstmals gesetzlich regeln sollte. Gerade die Schwierigkeiten und Verzögerungen im Gesetzgebungsprozess verdeutlichen jedoch, dass die Auflösung des zuvor beschriebenen Konflikts in erster Linie eine gesellschaftspolitische Entscheidung erfordert, zu der sich der Gesetzgeber aber leider noch nicht durchringen konnte. Infolge inhaltlicher Differenzen wurde der besagte Gesetzesentwurf in der 18. Legislaturperiode nicht mehr Gegenstand des Koalitionsvertrages zwischen der CDU/CSU und der SPD. So kam die Große Koalition lediglich überein, einerseits auf einen zügigen Abschluss der europäischen Datenschutzgrundverordnung hinzuwirken und andererseits die (strengen) datenschutzrechtlichen Standards des deutschen Rechts zu bewahren2. 1 Vgl. etwa die Kritik von Thüsing, NZA 2009, 865, zur der zum 1.9.2009 neu eingeführten Regelung des § 32 BDSG. 2 Koalitionsvertrag zwischen der CDU, CSU und SPD, S. 104, https://www.cdu.de/sites/ default/files/media/dokumente/koalitionsvertrag.pdf.

758

|

Stamer/Kuhnke

Datenerhebung für Zwecke des Beschäftigungsverhältnisses | § 32 BDSG

2. Überwachung des E-Mail-Verkehrs Vor dem Hintergrund, dass geschäftliche Korrespondenz heutzutage in weiten 78 Teilen des Geschäftslebens fast ausschließlich über E-Mail abläuft, ist es selbstverständlich, dass nicht nur diejenigen Mitarbeiter eines Unternehmens, die in den E-Mail-Verteiler aufgenommen wurden, ein berechtigtes Interesse daran haben können, von den Verbindungsdaten und den Inhalten einer E-Mail-Kommunikation Kenntnis zu nehmen. Die Interessenlage ist auf Seiten des Arbeitgebers insoweit nicht anders zu bewerten als bei „normaler“ Geschäftspost in Papierform, die nach Erhalt in Aktenordnern abgelegt wird und hierdurch einer größeren Zahl von Mitarbeitern zugänglich wird. Von daher ist es umso misslicher, dass die Rechtslage zur Zulässigkeit einer Ein- 79 sichtnahme in E-Mails eines Mitarbeiters insbesondere dann sehr unübersichtlich ist, wenn der dienstliche E-Mail-Account zu privaten Zwecken genutzt werden darf, was erfahrungsgemäß in deutschen Unternehmen weit verbreitet ist. Denn in diesem Fall steht eine nach wie vor häufig vertretene Ansicht auf dem Standpunkt, dass der Arbeitgeber als Diensteanbieter i.S.d. TKG anzusehen ist und mithin das – strafrechtlich geschützte – Fernmeldegeheimnis eingreift. Folgt man dieser Ansicht, ist auch die Entscheidung des Arbeitgebers darüber, ob er seinen Arbeitnehmern die private Nutzung des dienstlichen E-MailAccounts gestattet, von entscheidender Bedeutung für die Frage der Zulässigkeit einer Überwachungsmaßnahme und damit einhergehend für die Reichweite seiner Kontrollbefugnisse. Nach der hier vertretenen und mittlerweile wohl auch h.M. gilt der Arbeitgeber dagegen auch dann nicht als Diensteanbieter i.S.d. TKG, wenn er die Privatnutzung erlaubt (vgl. zum Meinungsstand unter Rz. 95 ff.). a) Verbotene Privatnutzung des dienstlichen E-Mail-Accounts Ist die Privatnutzung des dienstlichen E-Mail-Accounts durch die Arbeitneh- 80 mer ausgeschlossen und duldet der Arbeitgeber diese auch nicht wissentlich, richtet sich die Zulässigkeit einer Kontrolle der Verbindungsdaten oder des Inhalts von E-Mails grundsätzlich nach den Regelungen des § 32, sofern nicht eine Betriebsvereinbarung Sonderregelungen enthält. Nach ganz h.M. ist der Arbeitgeber bei Ausschluss der Privatnutzung des dienst- 81 lichen Accounts nämlich nicht als „Anbieter“ i.S.d. TKG anzusehen1. Begründet wird dies damit, dass bei einer reinen dienstlichen Nutzung der Telekommunikationseinrichtungen Arbeitgeber und Arbeitnehmer nicht als Anbieter und Kunden aufeinandertreffen; vielmehr erfolgt die Nutzung dieser Einrichtungen in Befolgung der Vorgaben des Arbeitgebers2. Das TKG greift daher nicht ein 1 Vgl. etwa De Wolf, NZA 2010, 1206 (1208); Hoppe/Braun, MMR 2010, 80; Mengel, BB 2004, 2014 (2016); Thüsing, Beschäftigtendatenschutz und Compliance, § 3 Rz. 64. 2 Thüsing, Beschäftigtendatenschutz und Compliance, § 3 Rz. 65.

Stamer/Kuhnke

|

759

§ 32 BDSG | Datenverarbeitung nicht-öffentlicher Stellen und die Zulässigkeit einer Überwachungsmaßnahme ist allein an den Bestimmungen des BDSG zu messen1. Gemäß § 4 ist die Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten nur zulässig, soweit das BDSG oder eine andere Rechtsvorschrift dies erlaubt oder anordnet oder der Betroffene eingewilligt hat. aa) Erhebung, Verarbeitung oder Nutzung personenbezogener Daten 82 Sowohl bei den E-Mail-Verbindungsdaten (den sog. E-Mail-Logfiles) als auch

bei den Inhalten einer E-Mail ist unumstritten, dass es sich dabei um personenbezogene Daten handelt. Sofern der Arbeitgeber daher die Verbindungsdaten von E-Mails und/oder die E-Mails selbst archiviert oder von ihrem Inhalt Kenntnis nimmt, liegt damit zumindest der Tatbestand der Nutzung bzw. Verarbeitung personenbezogener Daten vor2. bb) Erlaubnis nach § 32 BDSG

83 Die Zulässigkeit der Erhebung, Sichtung oder Archivierung von E-Mail-Verbin-

dungsdaten und des Inhalts von E-Mails setzt nach § 32 zunächst voraus, dass diese Maßnahmen einem legitimen Zweck dienen. Dieser kann in der Aufdeckung von Straftaten liegen, sofern zu dokumentierende tatsächliche Anhaltspunkte den Verdacht begründen, dass der Betroffene im Beschäftigungsverhältnis eine Straftat begangen hat und diese Maßnahme sowohl erforderlich ist, als auch die Schutzinteressen des Arbeitnehmers nicht überwiegen (§ 32 Abs. 1 Satz 2)3. Als „Straftat“ i.S.d. § 32 Abs. 1 Satz 2 gelten nur solche Tatbestände, die auch im StGB und anderen deutschen Gesetzen als Straftaten eingestuft werden. Tatbestände, die zwar ausländische Strafgesetze verletzen, aber nach der deutschen Rechtsordnung nicht strafbar sind, dürften dagegen nicht erfasst sein4. Im Hinblick auf das erforderliche Verdachtsmoment dürfte es ausreichend sein, wenn ein Anfangsverdacht in dem Sinne vorliegt, dass Hinweise für das Vorliegen einer Straftat vorliegen5. Erforderlich ist die Maßnahme dann, wenn sie zur Aufdeckung der Straftat sowohl geeignet ist, als auch kein milderes Mittel zur Verfügung steht.

1 Vgl. etwa Wybitul, NJA 2014, 3605 (3607). 2 Besgen/Prinz/Busse, § 10 Rz. 7; Thüsing, Beschäftigtendatenschutz und Compliance, § 9 Rz. 28. 3 Vgl. allgemein zur Erforderlichkeit und Verhältnismäßigkeit im Kontext von § 32 unter Rz. 16 ff. 4 Sofern die Mitarbeiter jedoch arbeitsrechtlich wirksam verpflichtet wurden, bestimmte ausländische Regelungen zu befolgen (z.B. US-Handelsembargo-Vorschriften), kann eine Verletzung arbeitsvertraglicher Pflichten vorliegen, die der Arbeitgeber auf der Grundlage von § 32 Abs. 1 Satz 1 aufklären darf. 5 Erfurth, NJOZ 2009, 2914 (2920); Simitis/Seifert, § 32 BDSG Rz. 104; Thüsing, Beschäftigtendatenschutz und Compliance, § 9 Rz. 56.

760

|

Stamer/Kuhnke

Datenerhebung für Zwecke des Beschäftigungsverhältnisses | § 32 BDSG

Darüber hinaus ist gemäß § 32 Abs. 1 Satz 1 eine Erhebung, Verarbeitung oder Nutzung durch den Arbeitgeber auch dann gestattet, wenn dies für die Durchführung des Arbeitsverhältnisses erforderlich ist. Dies kann z.B. dann der Fall sein, wenn die Maßnahmen der Gewährleistung eines sicheren Betriebs der ITAnlage, einer effizienten Organisation der Arbeitsabläufe, der Verhinderung der Verbreitung von Betriebsgeheimnissen etc. dienen. Zugleich ermöglicht § 32 Abs. 1 Satz 1 aber auch präventive Maßnahmen, solange konkrete Verdachtsmomente nicht vorliegen. Sobald jedoch gewonnene Erkenntnisse ein Verdachtsmoment gegen individualisierbare Personen begründen, sind weitere Maßnahmen gegen diese Personen am strengeren Maßstab des § 32 Abs. 1 Satz 2 zu messen1. Schließlich muss die Maßnahme auch angemessen sein und die schutzwürdigen 84 Interessen des Arbeitnehmers dürfen nicht überwiegen. Soweit jedoch die private Nutzung ohnehin verboten ist, kann bei den im Rahmen der Angemessenheitsprüfung zu berücksichtigenden Interessen des Arbeitnehmers jedenfalls nicht dessen Recht auf informationelle Selbstbestimmung ins Feld geführt werden. Da der Arbeitgeber in einem solchen Fall davon ausgehen kann, dass es sich bei den über den Dienst-Account versandten und empfangenen E-Mails ausschließlich um dienstliche Korrespondenz handelt, ist die durch das Persönlichkeitsrecht geschützte Privatsphäre des Arbeitnehmers nicht berührt. Insoweit entspricht es auch der ganz h.M., dass eine E-Mail nicht mit einem Telefonat zu vergleichen ist, bei dem aufgrund der Flüchtigkeit des gesprochenen Wortes auch dann das Persönlichkeitsrecht des Mitarbeiters in besonderem Maße tangiert ist, wenn es sich um dienstliche Angelegenheiten handelt. Daher ist die E-Mail-Korrespondenz eher mit der herkömmlichen Post zu vergleichen und mithin weniger schutzwürdig2. Selbst wenn jedoch der Arbeitnehmer seinen dienstlichen Account in verbotswidriger Weise zu privaten Zwecken nutzt, kann er sich nicht auf sein Persönlichkeitsrecht stützen. Vielmehr wäre es rechtsmissbräuchlich, wenn der Arbeitnehmer sich in einer solchen Situation auf eine Verletzung seines Persönlichkeitsrechts berufen würde3. Dies gilt erst recht, sofern der Arbeitgeber E-Mails einsehen möchte, die an seine Mitarbeiter gerichtet sind (z.B. von Geschäftskunden), wobei sich hier die Frage stellt, ob überhaupt ein Fall des § 32 (und nicht eher des § 28) vorliegt, da keine personenbezogenen Daten eines Beschäftigten betroffen sind. Praktisch dürfte die Frage jedoch in der vorliegenden Konstellation keine Auswirkungen haben, da auch im Rahmen von § 32 kaum Umstände denkbar sind, die einer Kenntnisnahme durch den Arbeitgeber entgegenstehen könnten. Dennoch muss die Kontrolle aber auch im Hinblick auf Art und Ausmaß angemessen sein. Dementsprechend darf der Ar1 Thüsing, Beschäftigtendatenschutz und Compliance, § 3 Rz. 27. 2 Mengel, BB 2004, 2014 (2017); Simitis/Seifert, § 32 BDSG Rz. 91; Thüsing, Beschäftigtendatenschutz und Compliance, § 9 Rz. 50. 3 Vgl. Besgen/Prinz/Besgen/Prinz, § 1 Rz. 39 f.

Stamer/Kuhnke

|

761

§ 32 BDSG | Datenverarbeitung nicht-öffentlicher Stellen beitgeber keine Dauerüberwachung einrichten, die letztlich zur Folge hätte, dass er das Arbeitsverhalten des Mitarbeiters ständig überprüft. cc) Erlaubnis aufgrund einer Betriebsvereinbarung oder einer Einwilligung 85 Gemäß § 4 Abs. 1 ist die Erhebung, Verarbeitung und Nutzung von personenbe-

zogenen Daten auch dann zulässig, wenn dies eine „andere Rechtsvorschrift“ erlaubt. Dabei ist zunächst anerkannt, dass eine Betriebsvereinbarung als Rechtsvorschrift i.S.d. § 4 angesehen werden kann1. Demnach kann auf der Grundlage einer Betriebsvereinbarung nicht nur eine Konkretisierung der Regelungen des BDSG vorgenommen werden, wie etwa eine Festlegung von Konstellationen, in denen eine Einsichtnahme in E-Mails zulässig oder nicht zulässig sein soll, sondern auch vom Schutzstandard des BDSG zu Lasten der Arbeitnehmer abgewichen werden2. Andernfalls wäre der Hinweis im Gesetz sinnentleert. Wenn nur eine Verbesserung des Arbeitnehmerdatenschutzes durch Tarifverträge oder Betriebsvereinbarungen möglich sein sollte, hätte es keiner ausdrücklichen gesetzlichen Regelung bedurft, da sich dies bereits aus dem Günstigkeitsprinzip ergeben hätte3.

86 Gleichzeitig bedeutet dies jedoch wiederum nicht, dass Betriebsvereinbarungen

oder Tarifverträge ein beliebiges datenschutzrechtliches Niveau einführen könnten. Vielmehr ist die Regelungsautonomie der Parteien durch zwingendes Gesetzesrecht, die Wertungen des Grundgesetzes und die allgemeinen Grundsätze des Arbeitsrechts beschränkt4. Insbesondere haben die Betriebsparteien gemäß § 75 Abs. 2 BetrVG die freie Entfaltung der Persönlichkeit der im Betrieb beschäftigten Arbeitnehmer zu schützen und zu fördern. Eine Betriebsvereinbarung, die daher in erheblichem Maße die Wertungen des BDSG außer Acht lässt, dürfte mithin unwirksam sein.

87 Auch eine Einwilligung des Arbeitnehmers gemäß § 4a kann eine Kontrolle der

Verbindungsdaten oder des Inhalts einer E-Mail-Kommunikation durch den Arbeitgeber rechtfertigen. Diese muss allerdings selbstverständlich im Voraus erteilt werden. Ferner kann der Arbeitnehmer eine bereits erteilte Einwilligung jederzeit wieder widerrufen5. Schließlich muss die Einwilligung freiwillig erfolgen. Ob dieses Merkmal aufgrund der besonderen Interessenlagen und Kräfte1 BAG v. 9.7.2013 – 1 ABR 2/13 (1), NZA 2013, 1433, Rz. 31 der Entscheidungsgründe; BAG v. 27.5.1986 – 1 ABR 48/84, NZA 1986, 62; vgl. dazu auch Thüsing, Beschäftigtendatenschutz und Compliance, § 4 Rz. 4 m.w.N. 2 BAG v. 27.5.1986 – 1 ABR 48/84, NZA 1986, 643 (646); Thüsing, Beschäftigtendatenschutz und Compliance, § 4 Rz. 5 ff. 3 BAG v. 27.5.1986 – 1 ABR 48/84, NZA 1986, 643 (646). 4 Vgl. Besgen/Prinz/Busse, § 10 Rz. 70; Gola/Schomerus, § 4 BDSG Rz. 10; Thüsing, Beschäftigtendatenschutz und Compliance, § 4 Rz. 5. 5 Vgl. die Komm. zu § 4a BDSG.

762

|

Stamer/Kuhnke

Datenerhebung für Zwecke des Beschäftigungsverhältnisses | § 32 BDSG

verhältnisse im Arbeitsverhältnis überhaupt erfüllbar ist, wird zuweilen angezweifelt1. Im Rahmen des Gesetzgebungsprozesses zu § 32 hat der Gesetzgeber jedoch ausdrücklich klargestellt, dass es auch im Arbeitsverhältnis grundsätzlich möglich ist, eine freiwillige Einwilligung i.S.d. § 4a zu erteilen2. Auch das BAG geht von der Möglichkeit einer Einwilligung im Arbeitsverhältnis aus (vgl. hierzu auch Rz. 12 sowie die Kommentierung zu § 4a)3. Dennoch sind selbstverständlich Einzelfälle denkbar, in denen der Arbeitgeber seine dominierende Stellung ausnutzt, um eine Einwilligung zu erhalten, z.B. wenn die Gewährung bestimmter Leistungen nur von der Einwilligung in Kontrollen abhängig gemacht wird, ohne dass die Einwilligung für die Leistungsgewährung erforderlich wäre (vgl. das sog. Koppelungsverbot)4. b) Erlaubte Privatnutzung des dienstlichen E-Mail-Accounts aa) Wann ist die Privatnutzung erlaubt? Die Frage, ab wann die Privatnutzung des dienstlichen E-Mail-Accounts als er- 88 laubt anzusehen ist, kann von entscheidender Bedeutung für die Reichweite der Kontrollbefugnisse des Arbeitgebers sein. Denn nach früherer h.M. gilt ein Arbeitgeber, der die Privatnutzung seiner TK-Anlagen erlaubt, als „Diensteanbieter“ i.S.d. TKG (siehe hierzu noch unten unter bb) mit der Folge, dass die Kommunikation der Mitarbeiter dem Schutz des Fernmeldegeheimnisses (§ 88 TKG) unterliegt. Zwar ist in dieser Frage in den letzten Jahren ein Wandel in der Rechtsprechung und der arbeitsrechtlichen wie datenschutzrechtlichen Literatur zu verzeichnen. Da in dieser Hinsicht allerdings noch kein eindeutiges Meinungsbild besteht, kommt der Vorfrage, ob die Privatnutzung überhaupt erlaubt ist, nach wie vor entscheidende Bedeutung zu. Relevant wird diese Frage naturgemäß dann, wenn im Unternehmen keine klare 89 Regelung besteht. Hier stellt sich die Frage, ob die Duldung einer Privatnutzung einer Erlaubnis zur Privatnutzung gleichsteht. Nach hier vertretener Ansicht gilt in Ermangelung einer ausdrücklichen Regelung zunächst der Grundsatz, dass vom Arbeitgeber zur Verfügung gestellte Betriebsmittel auch nur zu dienstlichen Zwecken genutzt werden dürfen. Denn auch ohne ausdrückliches Verbot können Arbeitnehmer nicht ohne weiteres davon ausgehen, dass vom Arbeitgeber zur Erfüllung dienstlicher Zwecke zur Verfügung gestellte Betriebsmittel – auf Kosten des Arbeitgebers – auch privat genutzt werden dürfen (zur Gegenansicht s. Rz. 91). 1 So wohl Simitis/Simitis, § 4a BDSG Rz. 62 m.w.N. Tatsächlich sah der Regierungsentwurf für einen neuen Beschäftigtendatenschutz eine erhebliche Einschränkung der Anwendbarkeit der Einwilligung vor, was jedoch kontrovers diskutiert wurde. 2 BT-Drucks. 16/13657, S. 20. 3 Vgl. BAG v. 11.12.2014 – 8 AZR 1010/13, NZA 2015 (604). 4 Vgl. hierzu Simitis/Simitis, § 4a BDSG Rz. 63.

Stamer/Kuhnke

|

763

§ 32 BDSG | Datenverarbeitung nicht-öffentlicher Stellen 90 Etwas anderes könnte nur dann gelten, wenn die Duldung der Privatnutzung zu

einer entsprechenden betrieblichen Übung führt. Nach ständiger Rechtsprechung des BAG ist die betriebliche Übung ein gleichförmiges und wiederholtes Verhalten des Arbeitgebers, das den Inhalt der Arbeitsverhältnisse gestaltet und geeignet ist, vertragliche Ansprüche auf eine Leistung zu begründen, wenn die Arbeitnehmer aus dem Verhalten des Arbeitgebers schließen durften, ihnen werde die Leistung auch künftig gewährt1. Nach zutreffender Ansicht kann daher eine betriebliche Übung zumindest immer dann nicht entstehen, wenn die Privatnutzung ausdrücklich verboten ist. Dies gilt selbst dann, wenn der Arbeitgeber die Privatnutzung dennoch nicht unterbindet oder ahndet2. Denn in diesem Fall verletzt der Arbeitnehmer seine arbeitsvertraglichen Pflichten und kann alleine aus der Nicht-Sanktionierung seines Verhaltens nicht darauf schließen, dass die Privatnutzung künftig erlaubt sei. Da der Arbeitgeber nicht verpflichtet ist, solchen Pflichtverstößen nachzugehen oder diese zu ahnden, kommt auch der Duldung solcher Verstöße kein rechtserheblicher Erklärungswert zu. Für das Entstehen des für eine betriebliche Übung erforderlichen schutzwürdigen Vertrauens in die künftige Fortgewährung einer Leistung besteht hier kein Raum.

91 Eine betriebliche Übung kann daher allenfalls dann entstehen, wenn in dem Be-

trieb keine Regelung zur Nutzung von E-Mail oder Internet vorhanden ist. Nach weit verbreiteter Auffassung soll in dieser Konstellation allerdings eine vom Arbeitgeber nicht unterbundene Gepflogenheit, den E-Mail-Account zu privaten Zwecken zu nutzen, eine Rechtsbindung durch betriebliche Übung begründen3. Dieser Ansicht ist zuzugestehen, dass in Unternehmen häufig „ungeschriebene Gesetze“ oder Praktiken entstehen, die von der Geschäftsleitung toleriert werden und sich deswegen die rechtliche Bewertung auch an der betrieblichen Realität orientieren muss. Dies gilt auch für die E-Mail- und Internet-Nutzung am Arbeitsplatz: Ein Mitarbeiter, der beobachten konnte, dass eine Vielzahl seiner Kollegen und Vorgesetzten regelmäßig Nachrichten-Portale auf ihrem Dienstrechner aufsuchen, wird kaum Unrechtsbewusstsein haben, wenn er dies auch tut (jedenfalls solange nicht ein Verbot der Privatnutzung hinreichend kommuniziert wurde). Vorliegend geht es jedoch nicht um die Frage, ob der Arbeitnehmer in dieser Situation möglicherweise einen Pflichtverstoß begeht, der arbeitsrechtliche Sanktionen rechtfertigt. Vielmehr geht es um die Frage, ob sich dieser Mitarbeiter wegen der Duldung des Arbeitgebers auf das Institut der betrieblichen Übung berufen kann und künftig einen rechtlich durchsetzbaren 1 BAG v. 19.8.2008 – 3 AZR 194/07, NZA 2009, 196 (198). 2 VG Karlsruhe v. 27.5.2013 – 2 K 3249/12, NVwZ-RR 2013, 797 (801); Fülbier/Splittgerber, NJW 2012, 1995 (1998) m.w.N.; Thüsing, Beschäftigtendatenschutz und Compliance, § 3 Rz. 70; Waltermann, NZA 2007, 529 (530 ff.). 3 Barton, NZA 2006, 460 (461); Fleischmann, NZA 2008, 1397 (1397 f.); Küttner/Kreitner, Internet-, Telefonnutzung Rz. 4 m.w.N.; a.A. hingegen Koch, NZA 2008, 911 (912 ff.) .); ErfK/Preis, § 611 BGB Rz. 222; Fülbier/Splittgerber, NJW 2012, 1995 (1998); Waltermann, NZA 2007, 529 (530 ).

764

|

Stamer/Kuhnke

Datenerhebung für Zwecke des Beschäftigungsverhältnisses | § 32 BDSG

Anspruch auf eine durch das Fernmeldegeheimnis strafrechtlich geschützte Privatnutzung des dienstlichen E-Mail-Accounts erlangt. Dies wird zuweilen nicht ausreichend berücksichtigt; vielmehr wird teilweise vorschnell vom Vorliegen einer betrieblichen Übung ausgegangen1. Nach der hier vertretenen Ansicht geht es zu weit, dem alleinigen Dulden der 92 Privatnutzung so weitreichende Rechtsfolgen beizumessen. Hierfür besteht weder ein praktisches Bedürfnis, noch entspricht dies dem Sinn und Zweck der Regelungen des TKG, und auch die vom BAG zum Institut der betrieblichen Übung herausgebildeten Grundsätze werden dabei nicht hinreichend berücksichtigt. Damit eine betriebliche Übung entstehen kann, muss der Arbeitgeber durch sein Verhalten bei den Arbeitnehmern die Erwartungshaltung begründen, dass der Arbeitgeber sich auch für die Zukunft vertraglich binden möchte. In der vorliegenden Konstellation kann sich – anders als bspw. bei der wiederholten Zahlung einer Weihnachtsgratifikation – der Arbeitnehmer jedoch auf kein aktives Verhalten des Arbeitgebers als Indiz für dessen Willen, sich dauerhaft zu verpflichten, stützen. Vielmehr erschöpft sich das Verhalten des Arbeitgebers im einfachen „Geschehen lassen“ der privaten Nutzung, so dass die Begründung und damit der Beweis der Annahme eines Bindungswillens ungleich schwieriger ist als in den sonstigen Anwendungsfällen der betrieblichen Übung. Ein Mitarbeiter, der ohne ausdrückliche Gestattung den Dienst-Account des Arbeitgebers zu privaten Zwecken nutzt, wird vermutlich eher nicht die Erwartungshaltung haben, dass er nach einer gewissen Zeit des Duldens der Privatnutzung einen Anspruch hierauf erlangt und seine Kommunikation fortan sogar durch das Fernmeldegeheimnis geschützt ist. Vielmehr nimmt der Arbeitnehmer in diesem Fall regelmäßig in Kauf, dass der Arbeitgeber ggf. Zugriff auf die Kommunikation nehmen kann. Dementsprechend hat auch das TKG nur den kommerziellen TK-Anbieter vor Augen und nicht den Arbeitgeber, der es duldet, dass seine Mitarbeiter seine TK-Einrichtungen auch privat nutzen (s. hierzu noch Rz. 95 ff.). Im Übrigen sind – wie Waltermann zutreffend feststellt – mit der privaten E-Mail-Nutzung durch die Arbeitnehmer neben der Anwendbarkeit des TKG noch weitergehende Sicherheits- und Kostenrisiken verbunden, die so gravierend sind, dass sie gegen einen dauerhaften Bindungswillen des Arbeitgebers sprechen2. Darüber hinaus ist durchaus fraglich, ob die gestattete gelegentliche private Nut- 93 zung des Dienst-Accounts einer betrieblichen Übung überhaupt zugänglich ist. So setzt das Entstehen einer betrieblichen Übung nach der Rechtsprechung des BAG ein schutzwürdiges Vertrauen der Arbeitnehmer in die Fortgewährung einer Vergünstigung voraus, das der Arbeitgeber durch sein Verhalten begründet hat. Die bloße Gewährung von Annehmlichkeiten kann nach der Rechtsprechung des BAG im Allgemeinen dagegen nicht Gegenstand einer betriebli1 Wie hier etwa Barton, NZA 2006, 460 (461); Fülbier/Splittgerber, NJW 2012, 1995 (1998). 2 Waltermann, NZA 2007, 529 (531 f.).

Stamer/Kuhnke

|

765

§ 32 BDSG | Datenverarbeitung nicht-öffentlicher Stellen chen Übung sein1. Darüber hinaus setzt eine betriebliche Übung voraus, dass die betreffende Leistung wiederholt und in einer gewissen Breite (also nicht nur vereinzelt für bestimmte Mitarbeiter) gewährt wird. 94 Insgesamt ist daher sehr zweifelhaft, ob die bloße Duldung der Privatnutzung

überhaupt eine betriebliche Übung begründen kann, welche eine rechtlich verbindliche „Erlaubnis“ der Privatnutzung zur Folge hat2. Selbst wenn dies jedoch bejaht wird, kommt eine betriebliche Übung allenfalls dann in Betracht, wenn (i) im Betrieb keine ausdrückliche Regelung zur Privatnutzung von E-Mail oder Internet vorhanden ist, (ii) die Privatnutzung auf breiter Ebene im Betrieb sozusagen „gewohnheitsrechtlich“ anerkannt ist und (iii) die hierfür zuständigen Entscheidungsträger im Betrieb hierüber auch Kenntnis haben. Da auch letztere Einschränkung zugegebenermaßen wenig greifbar ist, ist dem Arbeitgeber nach wie vor zu empfehlen, die Privatnutzung ausdrücklich zu verbieten und ggf. die Nutzung von web-basierten E-Mail Diensten zuzulassen, wenn er rechtliche Zweifel sowie Einschränkungen im Hinblick auf seine Kontrollbefugnisse über den dienstlichen E-Mail-Account nicht in Kauf nehmen möchte. Dies kann im Rahmen einer internen IT-Richtlinie erfolgen, die im Betrieb hinreichend kommuniziert wird (z.B. durch Aufnahme im Intranet sowie Aushändigung bei Abschluss des Arbeitsvertrages). Je nach Ausgestaltung einer solchen Richtlinie kann allerdings ein Mitbestimmungsrecht des Betriebsrats eingreifen (vgl. § 87 Abs. 1 Nr. 6 BetrVG). bb) Folgen der erlaubten Privatnutzung

95 Wie bereits zuvor angedeutet, hat die erlaubte Privatnutzung des dienstlichen

Accounts nach der früheren h.M. zur Folge, dass der Arbeitgeber als Diensteanbieter i.S.d. der Regelungen des TKG anzusehen ist, mit der Folge, dass die über seine TK-Einrichtungen erfolgende private Kommunikation dem Fernmeldegeheimnis gemäß § 88 TKG unterliegt3.

„Diensteanbieter“ ist gemäß § 3 Nr. 6 TKG jeder, der ganz oder teilweise geschäftsmäßig Telekommunikationsdienste erbringt oder an der Erbringung solcher Dienste mitwirkt. Gemäß § 3 Nr. 10 TKG setzt das „geschäftsmäßige Erbringen von Telekommunikationsdiensten“ das nachhaltige Angebot von Tele1 BAG v. 16.4.1997 – 10 AZR 705/96, NZA 1998, 423 (424); Thüsing, Beschäftigtendatenschutz und Compliance, § 3 Rz. 68; ErfK/Preis, § 611 BGB Rz. 222. 2 So auch Fülbier/Splittgerber, NJW 2012, 1995 (1999). 3 Mengel, BB 2004, 1445 (1450); Hanau/Hoeren, S. 41 f.; De Wolf, NZA 2010, 1206; Däubler/Kittner/Klebe/Wedde/Wedde, § 32 BDSG Rz. 115 ff.; Simitis/Seifert, § 32 BDSG Rz. 92; Vietmeyer/Byers, MMR 2010, 807 (808); vgl. auch Komm. zu § 88 TKG Rz. 13 ff. m.w.N., die der wohl h.M. folgt; so grundsätzlich auch Sassenberg/Mantz, BB 2013, 891 (889), die jedoch ausnahmsweise eine Datenzugriffsmöglichkeit „im Notfall“ bejahen. Zur erstarkenden Gegenansicht s. indessen Rz. 98 ff.

766

|

Stamer/Kuhnke

Datenerhebung für Zwecke des Beschäftigungsverhältnisses | § 32 BDSG

kommunikation für Dritte mit oder ohne Gewinnerzielungsabsicht voraus. Demgegenüber sieht § 3 Nr. 24 TKG vor, dass „Telekommunikationsdienste“ in der Regel gegen Entgelt erbrachte Dienste sind, die ganz oder überwiegend in der Übertragung von Signalen über Telekommunikationsnetze bestehen, einschließlich Übertragungsdienste in Rundfunknetzen. Damit ist ein gewisser Widerspruch in der gesetzlichen Definition offensichtlich, soweit § 3 Nr. 10 TKG eine Gewinnerzielungsabsicht nicht voraussetzt, die Nr. 24 dagegen in der Regel eine Entgeltlichkeit der Leistungen fordert (s. dagegen aber Komm. zu § 88 TKG Rz. 13 m.w.N.). Dessen ungeachtet wird der Standpunkt vertreten, dass ein Arbeitgeber, der 96 seine Arbeitnehmer seine Telekommunikationseinrichtungen auch für private Zwecke nutzen lässt, geschäftsmäßig Telekommunikationsdienstleistungen erbringe, da es sich bei den Arbeitnehmern um Dritte i.S.d. § 3 Nr. 10 TKG handele1. Es sei auch unerheblich, dass der Arbeitgeber die Nutzung unentgeltlich gestatte, da eine „Geschäftsmäßigkeit“ keine Gewinnerzielungsabsicht voraussetze. Dabei scheint auch die Gesetzesbegründung dieses Ergebnis zu stützen. So heißt es etwa in der Regierungsbegründung zum TKG: „Auch ein ohne Gewinnerzielungsabsicht erfolgendes, auf Dauer angelegtes Angebot von Telekommunikationsdiensten verpflichtet zur Wahrung des Fernmeldegeheimnisses. Dem Fernmeldegeheimnis unterliegen damit z.B. Corporate Networks, Nebenstellenanlagen in Hotels und Krankenhäusern, Clubtelefone, Nebenstellenanlagen in Betrieben und Behörden, soweit sie den Beschäftigten zur privaten Nutzung zur Verfügung gestellt sind.“2. Die Gleichsetzung der „Nebenstellenanlagen in Betrieben“ mit denjenigen in Hotels oder Krankenhäusern, lässt jedoch Zweifel dahingehend aufkommen, ob der Gesetzgeber damit tatsächlich die überwiegend dienstlich genutzten TK-Einrichtungen vor Augen hatte. Diese Ansicht beruft sich ferner auf einen Beschluss des OLG Karlsruhe, das zu 97 dem Ergebnis gelangt ist, dass eine Universität, welche ihren Mitarbeitern sowie auch externen Vereinen und Studierenden ihr E-Mail-System auch zur Privatnutzung zur Verfügung stellt, als Unternehmen i.S.d. § 206 StGB (das teilweise identisch mit dem Begriff des Anbieters nach § 88 Abs. 2 TKG ist) anzusehen ist. Wie Thüsing richtig ausführt, ist jedoch der vom OLG Karlsruhe entschiedene Fall nicht mit der Konstellation des Arbeitgebers gleichzusetzen, der seinen Arbeitnehmern, also gerade nicht „externen Dritten“, die Nutzung seiner TKEinrichtungen ermöglicht3. In der Rechtsprechung und auch in der Literatur zeichnet sich mittlerweile eine 98 deutliche Tendenz dahingehend ab, dass auch ein Arbeitgeber, der seinen Mitarbeitern die Privatnutzung seiner Telekommunikationssysteme unentgeltlich 1 So etwa Hoppe/Braun, MMR 2010, 80; Vietmeyer/Byers, MMR 2010, 807 (808 m.w.N.). 2 BT-Drucks. 13/3609, S. 53. 3 Thüsing, Beschäftigtendatenschutz und Compliance, § 3 Rz. 77.

Stamer/Kuhnke

|

767

§ 32 BDSG | Datenverarbeitung nicht-öffentlicher Stellen erlaubt, nicht als Diensteanbieter i.S.d. TKG anzusehen ist. So hat das LAG Berlin-Brandenburg entschieden, dass ein Arbeitgeber nicht allein dadurch zum Diensteanbieter i.S.d. TKG wird, dass er seinen Beschäftigten gestattet, einen dienstlichen E-Mail-Account auch privat zu nutzen1. Das LAG Berlin-Brandenburg begründet dies damit, dass ein solcher Arbeitgeber nicht „geschäftsmäßig“ Telekommunikationsleistungen erbringt, wie dies § 3 Nr. 6 TKG aber voraussetzt. Damit folgt das LAG Berlin-Brandenburg dem LAG Niedersachsen, das bereits zuvor entschieden hatte, dass ein Arbeitgeber, der die Privatnutzung des Internets gestattet dennoch nicht als Dienstanbieter i.S.d. TKG anzusehen ist2. Auch das VG Karlsruhe3 sowie das LAG Hessen4 – wenngleich letzteres nur mittelbar – haben sich in neueren Entscheidungen gegen die Heranziehung des § 88 TKG ausgesprochen. Insbesondere konstatierte das VG Karlsruhe, dass der Sinn und Zweck des TKG gerade nicht darin bestehe, die unternehmens-, bzw. behördeninternen Rechtsbeziehungen – namentlich zwischen Arbeitgeber und Arbeitnehmer – zu regeln5. 99 Dementsprechend findet auch die Ansicht, welche die Anwendbarkeit des TKG

trotz erlaubter Privatnutzung ablehnt, auch in der Literatur immer mehr Anhänger6.

100 Dieser Ansicht ist zuzustimmen. Entscheidend ist vor allem, dass es – wie auch

das VG Karlsruhe richtigerweise feststellte – nicht dem Sinn und Zweck des auf kommerzielle TK-Anbieter abzielenden TKG entspricht, auch den Arbeitgeber zu erfassen, der aus rein praktischer Erwägung und als Entgegenkommen, seine Mitarbeiter die TK-Einrichtungen des Unternehmens auch zu privaten Zwecken unentgeltlich nutzen lässt7. So ist die Interessenlage im Verhältnis zwischen Arbeitgeber und Arbeitnehmer keineswegs mit derjenigen im Verhältnis eines kommerziellen TK-Anbieters zu seinen Kunden vergleichbar. Es besteht kein Bedürfnis dafür, die über den Dienst-Account ablaufende Kommunikation durch das Fernmeldegeheimnis zu schützen, denn der Arbeitnehmer hat die Wahl, ob er die TK-Einrichtungen des Arbeitgebers nutzt oder auf andere Dienste zurückgreift. Im Übrigen wird ein hinreichender Schutz nach wie vor durch das subsidiär anzuwendende BDSG gewährleistet, d.h. auch wenn das TKG nicht zur

1 LAG Berlin-Brandenburg v. 16.2.2011 – 4 Sa 2132/10, NZA-RR 2011, 342; LAG BerlinBrandenburg v. 14.1.2016 – 5 Sa 657/15, BB 2016, 891. 2 LAG Niedersachsen v. 31.5.2010 – 12 Sa 875/09, NZA-RR 2010, 406. 3 VG Karlsruhe v. 27.5.2013 – 2 K 3249/12, NVwZ-RR 2013, 797. 4 LAG Hessen v. 5.8.2013 – 7 Sa 1060/10, Rz. 70 ff. 5 VG Karlsruhe v. 27.5.2013 – 2 K 3249/12, NVwZ-RR 2013, 797 (801). 6 Vgl. Thüsing, Beschäftigtendatenschutz und Compliance, § 3 Rz. 79–99; Wybitul, NJW 2014, 3605 (3607); Fülbier/Splittgerber, NJW 2012, 1995 (1999); Schimmelpfennig/Wenning, DB 2006, 2290 (2292 ff.); Haußmann/Krets, NZA 2005, 259 (260); Scheben/Klos, CCZ 2013, 88 (88 ff.); wohl auch Grobys, BB 2003, 682 (683). 7 Schimmelpfennig/Wenning, DB 2006, 2290 (2293).

768

|

Stamer/Kuhnke

Datenerhebung für Zwecke des Beschäftigungsverhältnisses | § 32 BDSG

Anwendung gelangt, ist keine unbegrenzte Kontrolle möglich. Vielmehr müssen – in Ermangelung einer Betriebsvereinbarung – die Voraussetzungen des § 32 vorliegen (s. unter Rz. 83 zu den Anforderungen des § 32 zur Rechtfertigung einer E-Mail-Überwachung)1. Der Arbeitgeber würde dagegen durch die Anwendung des Fernmeldegeheimnisses ganz empfindlich beeinträchtigt. Da mit dem Eingreifen des TKG die gesamte E-Mail-Kommunikation des Arbeitnehmers – sofern nicht eindeutig zwischen privaten und dienstlichen E-Mails unterschieden werden kann – dem Fernmeldegeheimnis unterliegt2, kann der Arbeitgeber per E-Mail erfolgende geschäftliche Kommunikation praktisch nicht mehr ohne Einwilligung des Mitarbeiters einsehen, was in vielerlei Konstellationen eine erhebliche Einschränkung darstellt (Krankheitsfall, Verdacht des Geheimnisverrats oder von Korruptionsdelikten, Kooperation mit Behörden bei der Aufklärung von potentiellen Wettbewerbsverstößen). Auch die nach Vorschriften des HGB und der Abgabenordnung bestehenden Aufbewahrungspflichten von Geschäftspost ließen sich kaum einhalten3. Im Ergebnis spricht daher vieles dafür, den Arbeitgeber auch dann aus dem An- 101 wendungsbereich des TKG auszunehmen, wenn er den Arbeitnehmern die Privatnutzung seiner TK-Einrichtungen unentgeltlich gestattet. Aufgrund der mittlerweile zahlreichen Rechtsprechung und der zunehmenden Stimmen in der Literatur, welche diese Ansicht stützen, dürfte diese nunmehr auch als herrschend anzusehen sein. Dementsprechend wären die Kontrollmöglichkeiten des Arbeitgebers – wie auch im Falle eines Verbots der Privatnutzung – allein am Maßstab des BDSG zu messen. cc) Reichweite des Schutzes des Fernmeldegeheimnisses Folgt man der kritikwürdigen Ansicht, wonach die Gestattung der Privatnut- 102 zung des dienstlichen E-Mail-Accounts zur Folge hat, dass die Kommunikation dem Schutz des Fernmeldegeheimnisses unterliegt, stellt sich die Frage nach der Reichweite dieses Schutzes. Dabei ist zunächst festzuhalten, dass der Schutz des Fernmeldegeheimnisses zwar nur die private Kommunikation erfasst. Lässt sich diese allerdings nicht von der geschäftlichen Kommunikation unterscheiden, wäre dem Arbeitgeber konsequenterweise der Zugriff auf die gesamte Kommunikation, die über den betreffenden Account erfolgt, verwehrt4. Sofern der Arbeitgeber daher die Privatnutzung des Dienst-Accounts dennoch zulassen möchte, sollte er die Mitarbeiter zumindest anweisen, private E-Mails, z.B. in der Betreff-Zeile, kenntlich zu machen. Hält sich der Mitarbeiter nicht an diese 1 S. Wybitul, NJW 2014, 3605 (3607). 2 Vgl. Besgen/Prinz/Busse, § 10 Rz. 88. 3 HWK/Lembke, BDSG Vorb. Rz. 92a; Thüsing, Beschäftigtendatenschutz und Compliance, § 3 Rz. 89. 4 Besgen/Prinz/Busse, § 10 Rz. 88; Schimmelpfennig/Wenning, DB 2006, 2290 (2291); Vietmeyer/Byers, MMR 2010, 807 (809).

Stamer/Kuhnke

|

769

§ 32 BDSG | Datenverarbeitung nicht-öffentlicher Stellen Regel und kommt es zu der Situation, dass der Arbeitgeber, zunächst unerkannt, eine private E-Mail gesichtet hat, wird man dem Arbeitgeber zumindest keinen vorsätzlichen Verstoß gegen das Fernmeldegeheimnis anlasten können. 103 Der Schutz des Fernmeldegeheimnisses hat zur Folge, dass eine Kontrolle des

E-Mail-Inhalts grundsätzlich ausgeschlossen ist. Eine Kontrolle/Speicherung der Verbindungsdaten ist nur zulässig, wenn die Nutzung dem Arbeitnehmer nicht kostenfrei überlassen ist und die Speicherung zu Abrechnungszwecken dient (§ 96 Abs. 1 TKG), was in der Praxis allerdings kaum relevant sein dürfte, oder wenn sie zur Erkennung und Beseitigung von Störungen an der Telekommunikationsanlage erforderlich ist. Eine Auswertung der Verbindungsdaten zu anderen Kontrollzwecken ist dagegen ausgeschlossen.

104 Umstritten ist, bis zu welchem Zeitpunkt E-Mails vom Schutz des Fernmeldege-

heimnisses umfasst sind. Denn das Eingreifen des Fernmeldegeheimnisses setzt das Vorliegen eines TK-Vorgangs voraus; ist der TK-Vorgang jedoch abgeschlossen, entfällt auch der Schutz des Fernmeldegeheimnisses. Druckt etwa der Arbeitnehmer eine E-Mail aus und heftet diese in einen (dienstlichen) Ordner ab oder verschiebt er eine E-Mail in einen Projekt-Ordner, zu dem auch andere Mitarbeiter des Unternehmens Zugang haben, ist der TK-Vorgang endgültig abgeschlossen und das Fernmeldegeheimnis steht einer Kontrolle des Inhalts der E-Mail durch den Arbeitgeber nicht mehr entgegen1. Diese Beispiele verdeutlichen jedoch, dass es, abhängig von den technischen Rahmenbedingungen und den jeweiligen Handlungen des Mitarbeiters, durchaus auch Grauzonen geben kann, bei denen fraglich ist, ob der TK-Vorgang schon beendet ist oder noch andauert.

105 Die Rechtsprechung des Bundesverfassungsgerichts stellt hierfür vor allem auf

die Beherrschbarkeit des TK-Vorgangs ab: Wenn der Mitarbeiter von einer eingehenden E-Mail tatsächlich Kenntnis genommen hat und er einen Zugriff des Arbeitgebers verhindern kann, weil er sie etwa lokal auf seinem PC gespeichert hat, ist der TK-Vorgang beendet und die E-Mail nicht mehr vom Fernmeldegeheimnis geschützt2. Bleibt die E-Mail dagegen auf dem Mailserver des Providers gespeichert, hat der Kommunikationsteilnehmer nicht die Möglichkeit, eine Weitergabe der Kommunikation durch den Provider an Dritte zu verhindern, was den Schutz des Fernmeldegeheimnisses erfordert. Hieraus folgt, dass nach den jeweiligen Einstellungen des verwendeten E-Mail-Systems (POP3 oder IMAP) zu differenzieren ist: 1 LAG Berlin-Brandenburg v. 14.1.2016 – 5 Sa 657/15, BB 2016, 891: „Nach Abschluss des Übertragungsvorgangs im Herrschaftsbereich des Kommunikationsteilnehmers gespeicherte Verbindungsdaten werden nicht durch § 88 TKG geschützt (LAG Berlin-Brandenburg a.a.O [= 16.2.2011 – 4 Sa 2132/10], Rz. 39; VGH Kassel v. 19.5.2009 – 6 A 2672/08.Z).“ 2 BVerfG v. 16.6.2009 – 2 BvR 902/06, MMR 2009, 673.

770

|

Stamer/Kuhnke

Datenerhebung für Zwecke des Beschäftigungsverhältnisses | § 32 BDSG

Werden E-Mails im POP3-Verfahren nach dem „Abholen“ auf dem Mail-Ser- 106 ver nicht gelöscht, sondern dort archiviert, verbleiben sie im Herrschaftsbereich des Providers außerhalb der beherrschbaren Sphäre des Arbeitnehmers. Das Fernmeldegeheimnis bleibt (ggf. dauerhaft) anwendbar. Ist das E-Mail-Verfahren hingegen so konfiguriert, dass jede E-Mail nach erfolgreichem Abruf automatisch vom Server des Providers gelöscht wird, endet in diesem Moment der Schutz des TKG. Die weiteren Kontrollmöglichkeiten richten sich nach dem BDSG1. Im IMAP-Verfahren verbleiben E-Mails grds. auf dem Mailserver. Hier ist der 107 TK-Vorgang erst dann abgeschlossen, wenn der Arbeitnehmer nach dem Abruf vom Server eine zusätzliche Handlung vornimmt, mit der er über die E-Mail verfügt, wie z.B. das Verschieben in einen öffentlichen Ordner (z.B. einen projekt-bezogenen Ordner, auf den mehrere Mitarbeiter Zugriff haben). Mit der Vornahme dieser Handlung endet der TK-Vorgang und damit der Schutz des Fernmeldegeheimnisses, weil der Arbeitnehmer bewusst seine Kommunikation in den Herrschaftsbereich des Arbeitgebers gestellt hat2. Aber auch dann, wenn der Arbeitnehmer von einer E-Mail Kenntnis genommen hat, diese jedoch nicht aus der „Inbox“ entfernt, hat er diese bewusst im Machtbereich des Arbeitgebers belassen, d.h. auch in diesem Fall ist der TK-Vorgang abgeschlossen3. Lediglich dann, wenn die E-Mail zwar bereits in das Postfach des Mitarbeiters gelangt ist, dieser jedoch die Nachricht noch nicht zur Kenntnis genommen hat, dürfte der TK-Vorgang noch nicht als beendet anzusehen sein, da der Mitarbeiter noch keine Entscheidung über den Verbleib der E-Mail treffen konnte4. dd) Rechtfertigung eines Eingriffs in das Fernmeldegeheimnis Das TKG verpflichtet den Arbeitgeber als Telekommunikationsdienstanbieter, 108 für alle Inhalte und näheren Umstände der privaten Telekommunikation das Fernmeldegeheimnis zu wahren (§ 88 Abs. 2 TKG). Darunter fällt auch die Information, wer an der Telekommunikation beteiligt ist, insbesondere in Form von E-Mail-Adressen. Der Arbeitgeber muss gemäß § 88 Abs. 3 TKG die Erfassung und Verwendung von Daten grundsätzlich auf das für die Erbringung des TK-Dienstes erforderliche Maß beschränken. Hierunter fallen auch solche Maßnahmen, die für den Schutz der technischen Systeme des Arbeitgebers erforderlich sind. So können bspw. das Filtern und die Nicht-Zustellung einer virenverseuchten E-Mail gerechtfertigt sein, wenn durch die unterdrückte E-Mail Störungen oder Schäden drohen. 1 So auch Hoppe/Braun, MMR 2010, 80 (82). 2 Hoppe/Braun, MMR 2010, 80 (82). 3 VGH Kassel v. 19.5.2009 – 6 A 2672/08.Z, NJW 2009, 2470; Nolte/Becker, CR 2009, 126 (127). 4 So auch Vietmeyer/Byers, MMR 2010, 807 (808).

Stamer/Kuhnke

|

771

§ 32 BDSG | Datenverarbeitung nicht-öffentlicher Stellen 109 Grundsätzlich ist im Anwendungsbereich des TKG in gesetzlich geregelten Aus-

nahmefällen zwar die Erfassung und Verwendung auch zu anderen Zwecken erlaubt. Für das spezifische Kontrollinteresse des Arbeitgebers ist jedoch keiner der Rechtfertigungsgründe des TKG einschlägig. Eine Rechtfertigung auf der Grundlage einer Regelung einer Betriebsvereinbarung ist ebenfalls nicht möglich, da das TKG – anders als § 4 BDSG – keine abweichenden Regelungen durch Betriebsvereinbarung oder Tarifvertrag zulässt1. Im Anwendungsbereich des TKG ist eine Verhaltenskontrolle durch den Arbeitgeber daher stets unzulässig.

110 Greift der Arbeitgeber trotzdem vorsätzlich auf E-Mails des Arbeitnehmers zu,

die dem Fernmeldegeheimnis unterliegen, macht er sich in seiner Stellung als Telekommunikationsanbieter strafbar (§ 206 StGB). Durch den Einsatz von Filterprogrammen und der damit verbundenen Löschung oder Zustellungsverzögerung kann er den Tatbestand des § 206 Abs. 2 Nr. 2 StGB verwirklichen (eine Rechtfertigung gem. § 88 Abs. 3 TKG ist aber möglich, s.o.). Das unbefugte Öffnen und Lesen von Mitarbeiter E-Mails kann eine Strafbarkeit des Arbeitgebers nach § 206 Abs. 1 StGB begründen, wenn der Arbeitgeber den Inhalt einer anderen Person mitteilt und damit Informationen weitergibt (z.B. an einen Rechtsanwalt oder eine Behörde). Das bloße Lesen privater E-Mails ist nicht nach § 206 StGB strafbar; eine Strafbarkeit kann sich allerdings unabhängig von der Stellung als Telekommunikationsanbieter wegen Ausspähens von Daten nach § 202a StGB ergeben.

111 Denkbar ist, in Fällen des konkreten Verdachts einer Straftat oder eines dro-

henden Verrats von Geschäftsgeheimnissen einen notwehrähnlichen Rechtfertigungsgrund anzunehmen2. Dies setzt jedoch eine gegenwärtig noch andauernde Gefahr voraus. Präventive Maßnahmen sind daher ebenso wenig möglich wie vergangenheitsbezogene Maßnahmen zur Aufklärung bereits begangener Straftaten. Letzteres kann und sollte jedoch ggf. den staatlichen Ermittlungsbehörden überlassen werden. Eine Einwilligung des Arbeitnehmers kann zwar eine Kontrolle der Verbindungsdaten oder des Inhalts einer E-Mail-Kommunikation durch den Arbeitgeber auch dann rechtfertigen, wenn die Kommunikation durch das Fernmeldegeheimnis geschützt ist. Im Ergebnis dürfte dies aber nur in seltenen Ausnahmefällen eine praktikable Lösung darstellen, da die Einwilligung im Voraus erteilt werden muss und jederzeit wieder widerrufen werden kann.

111a Soweit allerdings gefordert wird, dass die Einwilligung sowohl durch den Absen-

der als auch durch den Empfänger einer E-Mail erteilt werden muss3, überzeugt

1 Hanau/Hoeren, S. 51; Hoppe/Braun, MMR 2010, 80 (84); Mengel, BB 2004, 2014 (2021); a.A. Thüsing, Beschäftigtendatenschutz und Compliance, § 4 Rz. 8 ff. 2 So im Ergebnis wohl auch Mengel, BB 2004, 2014 (2019). 3 Vgl. Sassenberg/Mantz, BB 2013, 889 (891).

772

|

Stamer/Kuhnke

Datenerhebung für Zwecke des Beschäftigungsverhältnisses | § 32 BDSG

diese Ansicht, die sich auf eine Entscheidung des BVerfG zu einer telefonischen Fangschaltung stützt, nicht. Anders als im Falle der telefonischen Kommunikation können die Teilnehmer an einer E-Mail-Kommunikation ohnehin nicht verhindern, dass der jeweils andere Teilnehmer (in rechtlich zulässiger Weise) den Inhalt der Kommunikation an Dritte weiterleitet. Es erscheint daher nicht nachvollziehbar, wenn die Kenntniserlangung eines Dritten infolge einer Weiterleitung von E-Mails rechtlich völlig unbedenklich ist, eine Kenntniserlangung nach Ermöglichung der Einsichtnahme in den E-Mail-Account dagegen wegen Verletzung des Fernmeldegeheimnisses strafbar sein soll. Überzeugender ist es daher, zwischen telefonischer Kommunikation und E-Mail-Kommunikation zu unterscheiden und jedenfalls bei der E-Mail-Kommunikation die Einwilligung eines der Beteiligten genügen zu lassen (so auch Jenny in der Komm. zu § 88 TKG Rz. 11). Festzuhalten bleibt daher, dass die Kontrollmöglichkeiten des Arbeitgebers ex- 112 trem begrenzt sind, solange das TKG eingreift. Will der Arbeitgeber den Arbeitnehmern gleichwohl die private E-Mail-Nutzung gestatten, empfiehlt sich daher die Einrichtung zwei getrennter E-Mail-Accounts1. 3. Überwachung der Internetnutzung Bei der Überwachung der Internetnutzung der Arbeitnehmer durch den Ar- 113 beitgeber stellen sich im Wesentlichen dieselben grundlegenden Fragen wie bei der Überwachung der E-Mail-Nutzung. Insbesondere ist auch hier von entscheidender Bedeutung, ob die Privatnutzung erlaubt ist oder nicht und dementsprechend, ob der Arbeitgeber als Diensteanbieter i.S.d. TKG anzusehen ist2. Nach zutreffender Ansicht wird der Arbeitgeber durch die unentgeltliche Gestattung der Privatnutzung der betrieblichen TK-Einrichtungen nicht zum Diensteanbieter. Richtigerweise sind daher die Einschränkungen des TKG sowie des TMG, insbesondere das Fernmeldegeheimnis im Arbeitsverhältnis nicht zu beachten (vgl. hierzu Rz. 95 ff.). Da dies in der Literatur teilweise abweichend beurteilt wird, ist dem Arbeitgeber allerdings zu empfehlen, die Privatnutzung zu untersagen, sollte er eine Einschränkung seiner Kontrollbefugnisse im Hinblick auf die Internetnutzung nicht hinnehmen wollen. Insoweit sei auf die Ausführungen zur Überwachung der E-Mail-Nutzung unter Rz. 78 ff. verwiesen. Sofern sich die Zulässigkeit einer Überwachung der Internetnutzung (allein) 114 nach dem BDSG richtet, ist gemäß § 4 zunächst vorrangig auf etwaige Regelungen in einer Betriebsvereinbarung abzustellen. In Ermangelung einer Betriebsvereinbarung greift § 32 Abs. 1, d.h. die Maßnahme muss zur Durchführung des Arbeitsverhältnisses oder zur Aufdeckung einer Straftat erforderlich und unter 1 Vgl. Koch, NZA 2008, 911 (913). 2 Vgl. Mengel, BB 2004, 2014 (2019 ff.).

Stamer/Kuhnke

|

773

§ 32 BDSG | Datenverarbeitung nicht-öffentlicher Stellen Abwägung der Interessen beider Parteien auch angemessen sein. Soweit die Privatnutzung des Internets ohnehin verboten ist, sind an den legitimen Zweck einer Überwachungsmaßnahme keine allzu hohen Anforderungen zu stellen. Hier können sowohl die Nutzungsdauer als auch die besuchten Webseiten überprüft werden, z.B. um festzustellen, ob gegen das private Nutzungsverbot verstoßen wurde1. Allerdings ist eine dauerhafte Überwachung des Arbeitnehmers auch in diesem Fall nicht zulässig2. Ist die Privatnutzung dagegen erlaubt, wird man eine Überprüfung der Nutzungsdauer regelmäßig für zulässig erachten können, sofern dies dazu dienen soll festzustellen, ob sich die Privatnutzung tatsächlich noch in einem angemessenen Rahmen hält, welche eine ordnungsgemäße Erfüllung der arbeitsvertraglichen Pflichten während der Arbeitszeit noch zulässt. Eine Überprüfung der besuchten Webseiten wird dagegen nur dann statthaft sein, wenn Anhaltspunkte für einen Verstoß vorliegen (z.B. Besuch von Seiten mit pornographischen oder strafbaren Inhalten)3. 115 In diesem Zusammenhang ist noch zu berücksichtigen, dass die exzessive Nut-

zung des Internets während der Arbeitszeit zu privaten Zwecken eine schwere Verletzung der arbeitsvertraglichen Pflichten darstellen kann, da der Arbeitnehmer während des Surfens im Internet seine arbeitsvertraglich geschuldete Arbeitsleistung nicht erbringt. Dies kann den Arbeitgeber zu einer verhaltensbedingten Kündigung des Arbeitsverhältnisses berechtigen4. Darüber hinaus kann eine verhaltensbedingte oder gar außerordentliche fristlose Kündigung in Betracht kommen, wenn der Arbeitnehmer unbefugterweise Daten herunterlädt, welche Störungen des IT-Systems verursachen oder strafbare oder pornographische Darstellungen beinhalten5. 4. Telefonüberwachung a) Kontrolle der Verbindungsdaten

116 Im Hinblick auf die Kontrolle der telefonischen Verbindungsdaten ist ebenfalls

die Frage erheblich, ob der Arbeitgeber, der die private Telefonnutzung gestattet hat als Diensteanbieter nach dem TKG anzusehen ist mit der Folge, dass das

1 Besgen/Prinz/Busse, § 10 Rz. 45 ff.; Leupold/Glossner/Hegewald, Teil 7 Rz. 75; Mengel, BB 2004, 2014 (2020). 2 Oberwetter, NZA 2008, 609 (611). 3 Leupold/Glossner/Hegewald, Teil 7 Rz. 91; Mengel, BB 2004, 2014 (2021). 4 BAG v. 27.4.2006 – 2 AZR 386/05, NZA 2006, 977; das LAG Berlin-Brandenburg (Urt. v. 14.1.2016 – 5 Sa 657/15, BB 2016, 891) hat im Falle einer fortwährenden privaten Nutzung des dienstlichen Internetanschlusses im Umfang von knapp 40 Stunden in einem Zeitraum von 30 Arbeitstagen eine außerordentliche fristlose Kündigung für rechtswirksam erachtet. 5 BAG v. 7.7.2005 – 2 AZR 581/04, NZA 2006, 98.

774

|

Stamer/Kuhnke

Datenerhebung für Zwecke des Beschäftigungsverhältnisses | § 32 BDSG

Fernmeldegeheimnis eingreift. Insoweit sei auf die entsprechenden Ausführungen zur Überwachung des dienstlichen E-Mail-Accounts verwiesen (s. Rz. 78 ff.). Nach richtiger Ansicht ist es nicht maßgeblich, ob die Privatnutzung erlaubt ist 117 oder nicht, da der Arbeitgeber auch dann, wenn er die Privatnutzung des Telefonanschlusses zu privaten Zwecken unentgeltlich gestattet, nicht als Diensteanbieter i.S.d. TKG angesehen werden kann1. Dementsprechend darf der Arbeitgeber – wie auch im Fall der ausschließlich dienstlichen Nutzung – die Verbindungsdaten (Zielrufnummer, Datum, Uhrzeit und Dauer der Kommunikation) speichern und nutzen2. b) Kontrolle des Gesprächsinhalts Unabhängig davon, ob die Nutzung des Telefonanschlusses zu privaten Zwe- 118 cken gestattet ist oder nicht, ist eine heimliche Telefonüberwachung grundsätzlich ausgeschlossen. Insoweit genießt der Persönlichkeitsschutz des Arbeitnehmers insbesondere auch aufgrund der Flüchtigkeit des gesprochenen Wortes Vorrang vor etwaigen Kontrollinteressen des Arbeitgebers3. Aber auch eine offene Aufzeichnung oder das offene Mithören von Telefonaten wird grundsätzlich nur dann für zulässig angesehen, wenn der Arbeitnehmer diesbezüglich seine Einwilligung erteilt hat4. Darüber hinaus wird eine Kontrolle auch dann für zulässig erachtet, wenn es der Aufdeckung von Straftaten dient oder ein sonstiger erheblicher Pflichtverstoß zu Lasten des Arbeitgebers zu befürchten ist. In jedem Fall wird hierzu jedoch ein konkreter Verdacht erforderlich sein5. Unabhängig von diesen Grundsätzen bestehen besondere Kontrollbefugnisse des Arbeitgebers, wenn die Hauptpflicht des Arbeitnehmers das Führen von Telefonaten ist, so dass die Telefonüberwachung dem Arbeitgeber als Leistungskontrolle dient (bspw. in Callcentern). Allerdings darf auch hier die Überwachung nur offen und nur während der Probezeit erfolgen6. 5. Videoüberwachung Der Einsatz von Videokameras zur gezielten Überwachung von Mitarbeitern 119 bietet sich meist in Betrieben wie etwa Warenhäusern und Lagerhallen an, in denen Gegenstände aufbewahrt oder sortiert werden und Diebstähle durch Mitarbeiter verhindert werden sollen. Daneben werden Videokameras üblicherweise 1 Vgl. die entsprechenden Erwägungen zur Kontrolle von E-Mails unter Ziffer 2b) bb); a.A. u.a. Simitis/Seifert, § 32 BDSG Rz. 88. 2 Vgl. HWK/Lembke, BDSG Vorb. Rz. 105. 3 Oberwetter, NZA 2008, 609 (611); Simitis/Seifert, § 32 BDSG Rz. 88; Vietmeyer/Byers, MMR 2010, 807 (809). 4 Mengel, Compliance und Arbeitsrecht, Kap. 7 Rz. 15 ff. 5 Oberwetter, NZA 2008, 609 (611). 6 Simitis/Seifert, § 32 BDSG Rz. 89; Oberwetter, NZA 2008, 609 (611).

Stamer/Kuhnke

|

775

§ 32 BDSG | Datenverarbeitung nicht-öffentlicher Stellen auch zur allgemeinen Überwachung in Betrieben mit Publikumsverkehr verwendet, wie etwa Kaufhäuser, Supermärkte, Bankfilialen, Tankstellen, Museen oder Bahnhöfe. 120 Inwieweit eine Videoüberwachung zulässig ist, richtet sich generell nach dem

Einsatzort und dem Anlass für die Überwachung. Dabei ist zum einen zwischen Orten mit Publikumsverkehr und nicht öffentlich zugänglichen Arbeitsstätten zu unterscheiden, zum anderen zwischen offener und verdeckt erfolgender Überwachung. Die Überwachungsmaßnahme kann sich gezielt gegen Mitarbeiter oder gegen alle sich in einem Raum aufhaltenden Personen richten. Schließlich kann sie allgemein präventiv oder als Aufklärungsmittel bei Vorliegen eines bestimmten Tatverdachts eingesetzt werden.

121 Allen Fällen ist jedoch gemein, dass die Einrichtung eines Videoüberwachungs-

systems der zwingenden Mitbestimmung des Betriebsrats gemäß § 87 Abs. 1 Nr. 6 BetrVG unterliegt1. Eine ohne Zustimmung des Betriebsrats in Betrieb genommene Videoüberwachung ist rechtswidrig. Zur Sicherung seiner Beteiligungsrechte stehen dem Betriebsrat Unterlassungsansprüche zu, welche dieser gerichtlich durchsetzen kann2. Allerdings hat der Betriebsrat kein Mitbestimmungsrecht, soweit der Arbeitgeber lediglich die Einführung von VideokameraAttrappen plant3. Videoaufnahmen fallen in den Anwendungsbereich des Datenschutzrechtes, sobald auf ihnen natürliche Personen oder Sachen, die Informationen über natürliche Personen offenbaren (z.B. Kfz), zu sehen sind4. Im Anwendungsbereich des BDSG ist die Einrichtung von Videoüberwachungssystemen zudem dem jeweils zuständigen Datenschutzbeauftragten nach § 4d BDSG anzuzeigen5. a) Videoüberwachung von Räumen mit Publikumsverkehr

122 Die Videoüberwachung öffentlich zugänglicher Räume richtet sich nach § 6b.

Maßgeblich ist, ob der betreffende Bereich nach seinem Zweck dazu bestimmt ist, von einer unbestimmten Anzahl von Personen betreten und genutzt zu werden6. Neben Verkaufsräumen umfasst diese Vorschrift daher etwa auch Bahnsteige, Ausstellungsräume oder Schalterhallen7. § 6b ist abschließend und gilt demnach auch dann, wenn sich der Arbeitsplatz von Mitarbeitern innerhalb ei-

1 BAG v. 11.12.2012 – 1 ABR 78/11, NZA 2013, 913, 914; BAG v. 29.6.2004, 1 ABR 21/03, NZA 2004, 1278; Fitting, § 87 BetrVG Rz. 244; HWK/Lembke, BDSG Vorb. Rz. 109. 2 Richardi, § 87 Rz. 532; Maties, NJW 2008, 2219 (2224). 3 LAG Mecklenburg-Vorpommern v. 12.11.2014 – 3 TaBV 5/14, NZA-RR 2015, 196 (196 ff.); s. hierzu ausführlich Lang/Lachenmann, NZA 2015, 591 (591 ff.). 4 Bier/Spiecker, CR 2012, 610 (612). 5 Alter, NJW 2015, 2375 (2376). 6 Bier/Spiecker, CR 2012, 610 (613). 7 Alter, NJW 2015, 2375 (2376) unter Verweis auf BT-Drucks. 14/4329, S. 38.

776

|

Stamer/Kuhnke

Datenerhebung für Zwecke des Beschäftigungsverhältnisses | § 32 BDSG

nes solchen Raumes befindet1. Die Aufteilung eines Raumes in einen öffentlichen und einen nicht-öffentlich zugänglichen Teil (z.B. ein räumlich abgetrennter Kassenbereich) ist im Rahmen von § 6b nicht möglich2. Gemäß § 6b Abs. 1 Nr. 2 und Nr. 3 ist die Überwachung zulässig, wenn diese zur Wahrnehmung des Hausrechts oder zur Wahrnehmung berechtigter Interessen erforderlich ist und keine Anhaltspunkte bestehen, dass schutzwürdige Interessen der Betroffenen überwiegen. Als berechtigte Interessen kommen dabei sowohl ideelle als auch wirtschaftliche Interessen wie bspw. die Vermeidung oder Aufklärung von gegen den Arbeitgeber gerichteten Straftaten in Betracht3. Danach wäre eine Überwachung zulässig, wenn ein entsprechender Verdacht auf zukünftige Straftaten darauf beruht, dass bereits in der Vergangenheit einschlägige Straftaten begangen wurden und Wiederholungsgefahr besteht oder wenn eine gewisse Wahrscheinlichkeit besteht, dass einschlägige Delikte typischerweise begangen werden, wie etwa Ladendiebstähle in einem Kaufhaus oder Raubüberfälle in einer Bankfiliale4. Darüber hinaus ist die Überwachung bspw. durch Hinweisschilder kenntlich zu machen (vgl. § 6b Abs. 2). Eine Überwachung ist ferner nur dann zulässig, wenn die schutzwürdigen Inte- 123 ressen der Betroffenen nicht überwiegen. Bei dieser Abwägung ist auch insbesondere das Persönlichkeitsrecht der betroffenen Arbeitnehmer zu berücksichtigen. In der Regel dürfte jedoch das berechtigte Interesse des Arbeitgebers am Schutz seiner Rechtsgüter insbesondere aus Art. 12 und 14 GG durch eine Videoüberwachung dem Persönlichkeitsrecht der hierzu automatisch mitüberwachten Mitarbeiter vorangehen, wenn mit Straftaten Dritter zu rechnen ist5. Anders kann dieser Abwägungsprozess dagegen aussehen, wenn sich die Be- 124 obachtungen ausschließlich gegen die Mitarbeiter richten. In diesem Fall wird zu verlangen sein, dass der konkrete Verdacht von Straftaten seitens der Mitarbeiter vorliegen muss, da anderenfalls eine solche Dauerüberwachung am Persönlichkeitsrecht der beobachteten Mitarbeiter scheitert6. So hat das BAG entschieden, dass eine verdachtsunabhängige unbegrenzte Videoüberwachung im Betrieb nicht verhältnismäßig und damit rechtswidrig ist7. Abhilfe könnte hier zukünftig durch intelligente Videoüberwachungssysteme möglich sein, da diese durch eine selektive Auswahl von Sensoren und ggf. eine Pseudonymisierung eine anlasslose Totalüberwachung vermeiden8.

1 2 3 4 5 6 7 8

Oberwetter, NZA 2008, 609 (610). Maties, NJW 2008, 2219 (2221); Bayreuther, NZA 2005, 1038. Gola/Schomerus, § 6b BDSG Rz. 20a; Bayreuther, NZA 2005, 1038. Bayreuther, NZA 2005, 1038 (1039). Gola/Schomerus, § 6b BDSG Rz. 20a; Bayreuther, NZA 2005, 1038 (1039). Bauer/Schansker, NJW 2012, 3537 (3539); Bayreuther, NZA 2005, 1038 (1039). Vgl. Dann/Gastell, NJW 2008, 2945 (2948). S. hierzu sehr ausführlich Bier/Spiecker, CR 2012, 610.

Stamer/Kuhnke

|

777

§ 32 BDSG | Datenverarbeitung nicht-öffentlicher Stellen b) Videoüberwachung nicht öffentlich-zugänglicher Arbeitsplätze 125 Die Videoüberwachung nicht öffentlich-zugänglicher Arbeitsplätze ist nicht ge-

setzlich geregelt1. Die Grundsätze, welche die Rechtsprechung zur Überwachung in solchen Konstellationen entwickelt hat, entsprechen jedoch weitgehend denen des § 6b, d.h. auch hier hat eine Abwägung zwischen dem Schutzinteresse des Arbeitgebers und dem Eingriff in das Persönlichkeitsrecht der Arbeitnehmer stattzufinden2. Von zusätzlicher Bedeutung kann in dieser Konstellation jedoch die konkrete Beschaffenheit der zu überwachenden Räumlichkeiten sein. Insgesamt begegnet die Videoüberwachung infolge der schwer vorhersehbaren Verhältnismäßigkeitsprüfung auch hier einer nicht unerheblichen Rechtsunsicherheit in der Praxis3.

126 Zwar hat das BAG ausgeführt, dass die dem § 6b zugrunde liegenden Wertun-

gen, sollten sie überhaupt anwendbar sein, mit einem noch strengeren Maßstab angewendet werden müssen. Ein Mehr an Rechtsicherheit schafft diese Vorgabe jedoch nicht zwangsläufig. Gerechtfertigt wird der erhöhte Maßstab damit, dass bei der Videoüberwachung am nicht öffentlich-zugänglichen Arbeitsplatz der Personenkreis nicht anonym, sondern überschaubar und dem Arbeitgeber bekannt ist. Der Überwachungs- und Anpassungsdruck sei daher für die beobachteten Personen sehr viel größer4. c) Verdeckte Überwachung

127 Eine verdeckte oder heimliche Videoüberwachung kommt in Räumen mit Pu-

blikumsverkehr nur unter sehr engen Voraussetzungen in Betracht. So schreibt § 6b Abs. 2 vor, dass die Überwachung kenntlich zu machen ist. Allerdings ist § 6b nach jüngerer Rspr. des BAG verfassungskonform dahin auszulegen, dass auch eine verdeckte Videoüberwachung öffentlich zugänglicher Räume im Einzelfall zulässig sein kann (s. hierzu noch unten). Zwar fehlt eine vergleichbare gesetzliche Verpflichtung im Falle der Videoüberwachung von nicht öffentlichzugänglichen Arbeitsplätzen. Allerdings kann daraus nicht gefolgert werden, dass in diesem Fall eine verdeckte Überwachung grds. zulässig sein soll. Vielmehr ist der Rechtsprechung des BAG die Wertung zu entnehmen, dass an die Zulässigkeit einer Überwachung in nicht öffentlich-zugänglichen Räumen regelmäßig höhere Anforderungen zu stellen sind als in öffentlichen Räumlichkeiten. Erachtet daher der Gesetzgeber für öffentliche Räume das Persönlichkeitsrecht der Betroffenen so hoch, dass eine verdeckte Überwachung nur in sehr engen

1 Insb. kommt keine analoge Anwendung des § 6b BDSG in Betracht, vgl. BT-Drucks. 14/4329, S. 38. 2 Vgl. Bauer/Schansker, NJW 2012, 3537 (3539); Bayreuther, NZA 2005, 1038 (1041). 3 Alter, NJW 2015, 2375 (2380). 4 BAG v. 29.6.2004 – 1 ABR 21/03, NZA 2004, 1278 (1282); bestätigt und fortgeführt durch BAG v. 26.8.2008 – 1 ABR 16/07, NZA 2008, 1187 (1191).

778

|

Stamer/Kuhnke

Datenerhebung für Zwecke des Beschäftigungsverhältnisses | § 32 BDSG

Grenzen zulässig sein soll, muss dies erst recht in nicht öffentlich-zugänglichen Räumen gelten1. Nach der Rspr. des BAG ist die heimliche Videoüberwachung eines Arbeitneh- 128 mers – in Räumen mit oder ohne Publikumsverkehr – jedoch dann zulässig, wenn der konkrete Verdacht einer strafbaren Handlung oder einer anderen schweren Verfehlung zu Lasten des Arbeitgebers besteht, weniger einschneidende Mittel zur Aufklärung des Verdachts (wie etwa Befragungen von Mitarbeitern oder Kunden) ausgeschöpft sind und daher die verdeckte Videoüberwachung praktisch das einzig verbleibende Mittel darstellt, um den Sachverhalt aufzuklären und die Überwachung insgesamt nicht unverhältnismäßig ist2. Die strafbare Handlung des Arbeitnehmers bedarf dabei keiner erheblichen Intensität, so dass z.B. auch der Diebstahl geringwertiger Sachen ausreicht3. Allerdings sollte die Überwachung sowohl zeitlich als räumlich auf das notwendige Minimum beschränkt werden4. Angesichts der hohen Hürden, welche die Rechtsprechung an die verdeckte Videoüberwachung stellt, ist es aus Arbeitgeberperspektive insgesamt ratsam, heimliche Videoaufzeichnungen restriktiv zu handhaben. Zur Begrenzung des Risikos, sich bei unzulässiger heimlicher Videoüberwachung einer Schadensersatz- oder Schmerzensgeldpflicht auszusetzen, kann sich im Einzelfall selbst das Einschalten der Polizei als sinnvoll erweisen5. 6. Mitarbeiterortung Die Möglichkeiten zur Ortung von Mitarbeitern innerhalb und außerhalb des 129 Betriebes erlangen aufgrund des Voranschreitens der technischen Ortungsmöglichkeiten (GPS6, Diensthandy, RFID-Chips in Dienstausweisen) zunehmend größere Bedeutung7. Damit einher geht die Frage der datenschutzrechtlichen Zulässigkeit des Einsatzes solcher Ortungssysteme. Dies hatte auch den Gesetzgeber veranlasst, im Entwurf eines Gesetzes zur Regelung des Beschäftigtendatenschutzes erstmalig den Einsatz von Ortungssystemen gesetzlich zu regeln (§ 32g BDSG-E 2010). 1 So auch Bayreuther, NZA 2005, 1038 (1041). 2 BAG v. 21.11.2013 – 2 AZR 797/11, NZA 2014, 243 (248); BAG v. 21.6.2012 – 2 AZR 153/ 11, ArbRB 2012, 197; BAG v. 27.3.2003 – 2 AZR 51/02, NZA 2003, 1193 (1195); Alter, NJW 2015, 2375; Bauer/Schansker, NJW 2012, 3537; Bergnitz, NZA 2012, 353; Byers/Pracka, BB 2013, 760 (763); Simitis/Seifert, § 32 BSDG Rz. 79a; s. dazu auch Oberwetter, NZA 2008, 609 (610); Maties, NJW 2008, 2219 (2220). 3 Oberwetter, NZA 2008, 609 (610). 4 Vgl. Byers/Pracka, BB 2013, 760 (763). 5 Bauer/Schansker, NJW 2012, 3537 (3540). 6 Zur Mitarbeiterortung durch GPS s. ausführlich Simitis/Seifert, § 32 BDSG Rz. 82. 7 Däubler, Rz. 318.

Stamer/Kuhnke

|

779

§ 32 BDSG | Datenverarbeitung nicht-öffentlicher Stellen 130 Die Zulässigkeit des Einsatzes von Ortungssystemen richtet sich grundsätzlich

nach § 4 Abs. 1, d.h. erforderlich ist entweder eine Einwilligung des Arbeitnehmers oder eine andere Rechtsgrundlage wie ein Gesetz oder eine Betriebsvereinbarung. Da der Einsatz von Ortungssystemen der Mitbestimmung des Betriebsrats nach § 87 Abs. 1 Nr. 6 BetrVG unterliegt, dürften bereits sehr häufig die Voraussetzungen für den Einsatz der Ortungssysteme in einer Betriebsvereinbarung geregelt sein. Wie bereits weiter unter Rz. 85 ff. ausgeführt, dürfen die Betriebsparteien auch von dem ansonsten anwendbaren § 32 abweichen. Dabei sind allerdings der Regelungsautonomie der Betriebsparteien Grenzen gesetzt. Da die Betriebsparteien gemäß § 75 Abs. 2 BetrVG insbesondere die freie Entfaltung der Persönlichkeit der Mitarbeiter schützen sollen, wird zu berücksichtigen sein, dass durch den Einsatz von Ortungssystemen ein sehr genaues Bewegungsund Verhaltensprofil der Mitarbeiter erstellt werden kann und dies mitunter auch während seiner Freizeit fortwirkt mit der Folge, dass eine mit Ortungssystemen einhergehende Dauerüberwachung nur bei gewichtigen betrieblichen Interessen des Arbeitgebers zulässig sein dürfte. So dürfte bspw. eine HandyOrtung nur dann zulässig sein, wenn diese zur eigenen Sicherheit des Mitarbeiters erfolgt oder dem Schutz überdurchschnittlich wertvoller Gegenstände des Arbeitgebers dient1, z.B. im Falle des Auslandseinsatzes eines Arbeitnehmers in Krisenregionen2. In jedem Fall wird der Einsatz solcher Ortungssysteme nur dann zulässig sein, wenn das Transparenzgebot eingehalten ist, d.h. dem Mitarbeiter muss der Einsatz bekannt sein3.

131 Der Einsatz von RFID-Technik dürfte zur Identifikation von Mitarbeitern, etwa

bei Zugangskontrollen sowie zur Anmeldung bei Dienstbeginn oder Abmeldung bei Dienstende zulässig sein. Unproblematisch ist auch der Einsatz zur Sicherung von beweglichen Sachen, so lange diese nicht einzelnen Mitarbeitern zuzuordnen sind (z.B. Bücher einer Bibliothek). 7. Erfassung biometrischer Daten

132 Als Alternative zu den herkömmlichen Zugangskontrollen wie Pin-Nummer

oder Chipkarte sowie zur RFID-Technik existiert die Möglichkeit der biometrischen Identifikation von Mitarbeitern. Anstelle von Passwörtern werden zur Zugangskontrolle biometrische Daten des Arbeitnehmers, wie z.B. Iris, Fingerabdruck oder Stimme verwendet. Gerade in Unternehmen, die ein erhöhtes Sicherungsbedürfnis haben, werden diese Identifikationssysteme aufgrund ihrer geringen Fehleranfälligkeit vermehrt verwendet. Auch wenn solche Identifizierungssysteme für die Unternehmen einen erheblichen Mehrwert darstellen, sind sie insofern problematisch, als es sich bei den biometrischen Arbeitnehmerdaten

1 Simitis/Seifert, § 32 BDSG Rz. 83; so auch Gola, NZA 2007, 1139 (1143). 2 Beckschulze/Natzel, BB 2010, 2368 (2373). 3 Vgl. etwa Gola, NZA 2007, 1139 (1143).

780

|

Stamer/Kuhnke

Datenerhebung für Zwecke des Beschäftigungsverhältnisses | § 32 BDSG

um besonders sensible Daten handelt1, insbesondere wenn sie einen Rückschluss auf den Gesundheitszustand der Mitarbeiter erlauben. Um zu gewährleisten, dass die erhobenen Daten tatsächlich nur zur Zugangskontrolle verwendet werden, wird allgemein verlangt, dass die Speicherung der Daten auf einer im Besitz des Arbeitnehmers befindlichen Chipkarte erfolgt, während der Arbeitgeber selbst keinen Zugriff auf die Informationen haben soll2. Eine solche Handhabung schützt zwar die Interessen der Arbeitnehmer, trägt aber nicht ausreichend dem Interesse des Arbeitgebers, die Verlustgefahr des Zugangsmittels zu minimieren, Rechnung3. Im Regelfall ist daher zwar die ausschließliche Speicherung auf einer Chipkarte das mildeste Mittel, allerdings wird im Einzelfall zu prüfen sein, ob nicht ausnahmsweise das gesteigerte Sicherungsbedürfnis des Arbeitgebers auch eine Speicherung der Daten im Unternehmen erfordert. In diesem Fall lässt sich das Persönlichkeitsrecht der Arbeitnehmer durch eine Anonymisierung der Daten ausreichend schützen; die gespeicherten Daten können bei dieser Methode nicht den einzelnen Mitarbeitern zugeordnet werden, vielmehr kann der Arbeitgeber durch die bei ihm gespeicherten Daten nur erkennen, ob der betreffende Arbeitnehmer zum zugangsberechtigten Mitarbeiterkreis gehört oder nicht4. 8. Massenscreenings Das Massenscreening stellt für Unternehmen ein wirksames Mittel zur Korrup- 133 tionsbekämpfung und Aufdeckung sonstiger Straftaten dar: Durch einen elektronischen Datenabgleich werden bereits vorhandene Arbeitnehmerdaten geprüft und mit anderen Daten (z.B. mit Lieferantendaten) verglichen, um so gesetzwidriges Verhalten der Arbeitnehmer aufzudecken. Welche Anforderungen an die datenschutzrechtliche Rechtfertigung einer solchen Maßnahme zu stellen sind, ist weitestgehend ungeklärt. Während Einigkeit darüber besteht, dass der Arbeitgeber ein gesteigertes Interesse und zuweilen sogar die Pflicht hat, Straftaten seiner Mitarbeiter aufzuklären, ist dagegen umstritten, ob – und wenn ja welche – Interessen der Arbeitnehmer durch einen solchen Datenabgleich berührt sind und damit, zu wessen Gunsten die erforderliche Interessenabwägung ausfällt5. 1 Gola, NZA 2007, 1139 (1140); Besgen/Prinz/Roloff, § 5 Rz. 66; Simitis/Seifert, § 32 BDSG Rz. 98. 2 Oberwetter, NZA 2008, 609 (612); Simitis/Seifert, § 32 BDSG Rz. 98; Gola, NZA 2007, 1139 (1141), will dem Arbeitnehmer ein Wahlrecht zwischen der Speicherung beim Arbeitgeber und der Speicherung allein auf der Chipkarte einräumen. 3 Ähnlich auch Däubler/Klebe/Wedde/Weichert/Däubler, § 32 BDSG Rz. 87, der wegen der hohen Verlustgefahr von Chipkarten diese nur im Einzelfall als milderes Mittel anerkennt. 4 Gola, NZA 2007, 1139 (1141). 5 Vgl. hierzu Thüsing, Beschäftigtendatenschutz und Compliance, § 8 Rz. 1 ff.

Stamer/Kuhnke

|

781

§ 32 BDSG | Datenverarbeitung nicht-öffentlicher Stellen 134 Nach zutreffender Ansicht wird durch ein Massenscreening nicht nur das Per-

sönlichkeitsrecht der Arbeitnehmer betroffen, bei denen der Datenabgleich positiv ausfällt, sondern auch das Persönlichkeitsrecht derjenigen Arbeitnehmer, bei denen er ein negatives Ergebnis zur Folge hat, da diese keinen zurechenbaren Anlass für die Erhebung ihrer Daten geschaffen haben1. In der Konsequenz ist daher die Zahl der zu überprüfenden Mitarbeiter in verdachtsunabhängigen Fällen so weit wie möglich zu begrenzen. Grundsätzlich ist daher nur die stichprobenartige Kontrolle bestimmter Arbeitnehmergruppen zulässig. Ausnahmsweise ist aber die Kontrolle der ganzen Belegschaft gerechtfertigt und zwar dann, wenn ein konkreter Tatverdacht vorliegt. Zum zusätzlichen Schutz der Arbeitnehmer soll der Datenabgleich außerdem pseudonymisiert durchgeführt werden2.

Die Zulässigkeit von Entscheidungen, die ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhen, bestimmt sich künftig nach Art. 22 DSGVO. Die Vorschrift wird daher bei Massenscreenings regelmäßig zu beachten sein. Der Begriff des „Profiling“ ist in Art. 4 Nr. 4 DSGVO legaldefiniert als „jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen“. Nach Art. 22 DSGVO sind rechtserhebliche Entscheidungen grundsätzlich nicht ausschließlich auf der Grundlage automatisierter Verarbeitungsvorgänge zu treffen; Abs. 2 enthält hierfür Ausnahmen, nämlich bei Erforderlichkeit der Entscheidung im Rahmen von Abschluss oder Durchführung eines Vertrags zwischen Verantwortlichem und betroffener Person (Buchst. a), bei gesetzlicher Gestattung (Buchst. b) und ausdrücklicher Einwilligung der betroffenen Person (Buchst. c). Art. 22 DSGVO sieht weiterhin Verfahrensrechte von Betroffenen in Abs. 3 und eine noch restriktivere Handhabung bei besonderen Kategorien personenbezogener Daten (Art. 9 Abs. 1 DSGVO) in Abs. 4 vor (vgl. hierzu die Komm. zu § 22 DSVGO).

1 Zum Folgenden Kock/Francke, NZA 2009, 646 (648); a.A. Thüsing, Beschäftigtendatenschutz und Compliance, § 8 Rz. 5 ff., der auf dem Standpunkt steht, dass auch in verdachtsunabhängigen Fällen keine Begrenzung auf bestimmte Arbeitnehmergruppen erforderlich sei, da diejenigen Personen, bei denen kein Treffer erfolgt, auch nicht in ihrem Recht auf informationelle Selbstbestimmung betroffen seien. Auch eine Pseudonymisierung sei daher nicht erforderlich. 2 HWK/Lembke, BDSG Vorb. Rz. 104a; Kock/Francke, NZA 2009, 646 (648); Wybitul, BB 2009, 1582 (1584).

782

|

Stamer/Kuhnke

Datenerhebung für Zwecke des Beschäftigungsverhältnisses | § 32 BDSG

9. Überwachung durch einen Detektiv Besteht ein durch Tatsachen begründeter Verdacht, der Arbeitnehmer begehe 134a Straftaten zu Lasten des Arbeitgebers, kann die Einschaltung eines Detektivs zur Erlangung weiterer Informationen erwägenswert sein – etwa, um den Verbleib gestohlener oder unterschlagener Gegenstände zu klären oder um eine verhaltensbedingte Kündigung zu substantiieren. Solche durch Privatdetektive beschaffte Informationen über eine bestimmte oder bestimmbare natürliche Person unterfallen § 32 Abs. 1 Satz 2 BDSG und Art. 2 Buchst. a der Richtlinie 95/46/EG1. Die Anforderungen der Rechtsprechung an eine solche Observation sind allerdings streng: Das BAG sprach jüngst einer wegen des Verdachts auf unberechtigte Krankmeldung überwachten und heimlich gefilmten Arbeitnehmerin einen Geldentschädigungsanspruch zu. Für diese Entscheidung war allerdings tragend, dass der Arbeitgeber seinen Verdacht nicht anhand konkreter Tatsachen fundieren konnte; das BAG betonte dabei auch den hohen Beweiswert einer ärztlichen Arbeitsunfähigkeitsbescheinigung2. Zu den Maßstäben der Rechtfertigungs- und Verhältnismäßigkeitsprüfung verhält sich das BAG daher in diesem Fall mangels Entscheidungserheblichkeit nicht3. Eine rechtlich zulässige Observation ist nach dem bisher Gesagten mithin anspruchsvoll: Zum einen müssen die Voraussetzungen des § 32 Abs. 1 Satz 24 erfüllt sein, zum anderen die Anforderungen des Allgemeinen Persönlichkeitsrechts aus Art. 2 Abs. 1, Art. 1 Abs. 1 GG eingehalten werden. Insbesondere steigen die Anforderungen an die Rechtfertigung, sobald die Überwachung sich nicht nur auf die Sozial-, sondern auch auf die Privatsphäre erstreckt. Werden schließlich im Zuge der Überwachung zusätzlich Ton- und/oder Videoaufnahmen erstellt, intensiviert dies den Eingriff erheblich5. 10. Sonstige Überwachungsformen Neben den zuvor beschriebenen Maßnahmen stehen dem Arbeitgeber, der kon- 135 trollieren will, ob seine Mitarbeiter Straftaten zu seinen Lasten begehen oder in anderer Weise gegen ihre Verhaltenspflichten verstoßen, noch diverse weitere Kontrollmechanismen zur Verfügung wie etwa die Durchführung von Torkontrollen6, das Abtasten des Körpers sowie die Durchführung von Zuverlässig1 2 3 4

BAG v. 19.2.2015 – 8 AZR 1007/13, NZA 2015, 994. BAG v. 19.2.2015 – 8 AZR 1007/13, NZA 2015, 994. BAG v. 19.2.2015 – 8 AZR 1007/13, NZA 2015, 994 (997). Sollten besondere Arten personenbezogener Daten (§ 3 Abs. 9 BDSG) berührt werden, ist – wie auch das BAG feststellt – zudem an § 28 Abs. 6 BDSG zu denken; vgl. BAG v. 19.2.2015 – 8 AZR 1007/13, NZA 2015, 994 (996). 5 Vgl. Balzer/Nugel, NJW 2013, 3397 (3401 f.). 6 Vgl. hierzu ausführlich Joussen, NZA 2010, 254, der eine Anwendung des § 32 BDSG vollständig ablehnt.

Stamer/Kuhnke

|

783

§ 32 BDSG | Datenverarbeitung nicht-öffentlicher Stellen keits- oder Ehrlichkeitstests. Im Rahmen der zur Klärung ihrer Zulässigkeit erforderlichen Interessenabwägung zwischen den Belangen des Arbeitgebers und der Arbeitnehmer sind die allgemeinen Grundsätze des § 32 zu beachten. Liegt ein konkreter Verdacht einer Straftat vor, richtet sich die Zulässigkeit der Kontrolle nach § 32 Abs. 1 Satz 2. Bei der Interessenabwägung sind hier die Beeinträchtigung der Arbeitnehmer durch die Kontrolle einerseits und das Aufklärungsinteresse des Arbeitgebers sowie die Schwere des mutmaßlichen Delikts und die Konkretisierung des Verdachts andererseits abzuwägen1. 136 Dient die Überwachungsmaßnahme dagegen der Prävention von Straftaten

durch stichprobenartige Kontrollen oder der Aufdeckung anderer Pflichtverletzungen richtet sich ihre Zulässigkeit nach § 32 Abs. 1 Satz 1. Solche Kontrollen sind zulässig, wobei die Zahl der zu kontrollierenden Personen sowie die Dauer der Kontrolle auf ein Minimum zu beschränken ist. Demzufolge ist eine Dauerüberwachung regelmäßig unzulässig. Auch eine Massenkontrolle der Belegschaft dürfte nur in wenigen Ausnahmefällen gerechtfertigt sein2. Eine solche Ausnahme ist dann anzunehmen, wenn der Arbeitgeber ein bestimmtes pflichtwidriges Verhalten aufklären möchte, wobei zwar ein konkreter, diesbezüglicher Verdacht vorliegt, die Pflichtverletzung allerdings keine Straftat i.S.d. § 32 Abs. 1 Satz 2 darstellt. Hier kann – je nach Schwere der Pflichtverletzung und Umständen des Einzelfalls – ein berechtigtes Interesse des Arbeitgebers an der Kontrolle aller Mitarbeiter bestehen. Dient die Kontrolle dagegen lediglich der Prävention von Straftaten und Pflichtverletzungen, ist nur eine stichprobenartige Kontrolle zulässig. 11. Beweisverwertungsverbote

137 Verstößt eine vom Arbeitgeber durchgeführte Kontrollmaßnahme gegen das

BDSG, stellt sich – insbesondere im Kündigungsschutzprozess – die Frage nach einem prozessualen Beweisverwertungsverbot. Weder das BDSG noch das allgemeine Zivilprozessrecht treffen diesbezüglich Regelungen.

138 Unproblematisch ist die Beurteilung bei rechtmäßig erlangten Beweismitteln:

War die Kontrollmaßnahme rechtmäßig, besteht grundsätzlich kein Anlass, die Verwertung der erlangten Informationen zu verbieten3. Dies gilt im Übrigen auch für Zufallsfunde4. Hat der Arbeitgeber wegen eines konkreten Tatverdachts der Begehung einer Straftat eine Überwachungseinrichtung installiert, so können im Prozess – sofern die Maßnahme rechtmäßig ist – auch andere in diesem Zusammenhang erlangte Informationen z.B. über die Verletzung einer ein-

1 2 3 4

Simitis/Seifert, § 32 BDSG Rz. 101 ff. HWK/Lembke, § 32 BDSG Rz. 13 ff. Differenzierend Dzida/Grau, NZA 2010, 1201 (1204). Zum Zufallsfund bei verdeckter Videoüberwachung: BAG v. 21.11.2013 – 2 AZR 163/11, NZA 2014, 243.

784

|

Stamer/Kuhnke

Datenerhebung für Zwecke des Beschäftigungsverhältnisses | § 32 BDSG

fachen Arbeitsvertragsvertragspflicht verwendet werden1. Schwieriger ist es, wenn es um die Verwendung von Beweismitteln geht, die durch eine rechtswidrig vorgenommene Maßnahme erlangt worden sind2. Aus der kontrovers geführten Diskussion hat sich eine h.M. herausgebildet, deren Lösung überzeugt: Nicht jede rechtswidrig durchgeführte Maßnahme führt zu einem Beweisverwertungsverbot, vielmehr kommt es darauf an, ob die Verwertung des Beweises im Prozess eine erneute Verletzung des allgemeinen Persönlichkeitsrechts des Arbeitnehmers darstellen würde3. Dies bedeutet – wie das BAG in einem Urteil aus dem Jahre 2007 klargestellt hat 139 – zunächst, dass der isolierte Verstoß des Arbeitgebers gegen ein etwaiges Mitbestimmungsrecht des Betriebsrats nach § 87 Abs. 1 Nr. 6 BetrVG oder andere betriebsverfassungsrechtliche Verpflichtungen nicht dazu führt, dass die gewonnenen Beweise unverwertbar sind. Wenn die Maßnahme bei ordnungsgemäßer Beteiligung des Betriebsrats zulässig gewesen wäre, die Datenerhebung, -verarbeitung oder -nutzung selber also keinen Verstoß gegen das allgemeine Persönlichkeitsrecht des Arbeitnehmers darstellt, handelt es sich auch bei der anschließenden Verwertung im Prozess nicht um eine Verletzung des allgemeinen Persönlichkeitsrechts4. Sind dagegen die relevanten Informationen durch eine Maßnahme gewonnen wor- 140 den, die deshalb rechtswidrig ist, weil sie Persönlichkeitsrechte der Arbeitnehmer verletzt, ist grundsätzlich davon auszugehen, dass die Verletzung dieser Rechte durch eine Verwendung im Prozess perpetuiert wird, so dass ihre Verwertung verboten ist5. Ausnahmsweise kann aber auch in einem solchen Fall die Verwertung zulässig sein; nämlich wenn die verletzten Persönlichkeitsrechte gerade nicht die der Prozesspartei waren6. Hierzu folgendes Beispiel: Ist ein Massenscreening deshalb unverhältnismäßig, weil der kontrollierte Personenkreis nicht auf ein Minimum bzw. auf eine bestimmte Personengruppe reduziert wurde (vgl. Rz. 133), ist die Maßnahme rechtswidrig, weil sie die Persönlichkeitsrechte der „unschuldigen“, aber gleichwohl kontrollierten Arbeitnehmer verletzt. Das Persönlichkeitsrecht desjenigen, dessen Straftat durch den Datenabgleich aufgedeckt wurde und dessen Kündigung nun begründet werden soll, ist dagegen nicht verletzt, so dass auch eine Verwertung der gewonnenen Beweise im Prozess zulässig ist7. 1 A.A. Grimm/Schiefer, RdA 2009, 329 (340). 2 Vgl. zu Informationen, die aus einer rechtswidrigen Videoüberwachung erlangt wurden ausführlich Grimm/Schiefer, RdA 2009, 329 (340 f.). 3 BAG v. 13.12.2007 – 2 AZR 537/06, NZA 2008, 1008; Dzida/Grau, NZA 2010, 1201 (1202); Erfurth, NJOZ 2009, 2914 (2922); Grimm/Schiefer, RdA 2009, 329 (339); Kratz/Gubbels, NZA 2009, 652 (656); Simitis/Seifert, § 32 BDSG Rz. 193; Thüsing, Beschäftigtendatenschutz und Compliance, § 21 Rz. 31. 4 BAG v. 13.12.2007 – 2 AZR 537/06, NZA 2008, 1008. 5 Kratz/Gubbels, NZA 2009, 652 (656). 6 Dzida/Grau, NZA 2010, 1201 (1202 f.). 7 A.A. Kratz/Gubbels, NZA 2009, 652 (656).

Stamer/Kuhnke

|

785

§ 32 BDSG | Datenverarbeitung nicht-öffentlicher Stellen 141 Darüber hinaus stellt sich die Frage, ob unter besonderen Umständen auch Be-

weise zulasten des Arbeitnehmers verwendet werden können, wenn diese Beweise durch eine rechtswidrige Maßnahme gewonnen wurden, die deshalb rechtswidrig ist, weil sie das Persönlichkeitsrecht des klagenden Arbeitnehmers verletzt1. Die wohl h.M. vertritt den Standpunkt, eine Verwertung sei in diesem Fall dann zulässig, wenn der Arbeitgeber sich in einer „notwehrähnlichen Lage“ befinde2. Diese wiederum sei dann gegeben, wenn der Arbeitgeber ein gesteigertes Interesse an der Durchsetzung seiner Rechte habe und die Persönlichkeitsrechtsverletzung des Arbeitnehmers nicht erheblich sei. Dies ist überzeugend, da ein Verwertungsverbot in solchen Konstellationen auch nur dann gerechtfertigt erscheint, wenn auch die Interessen des Arbeitgebers an der Verwertung in die Abwägung eingebracht wurden und diese Interessenabwägung zu Lasten des Arbeitgebers ausfällt.

142 In der Praxis dürfte diese Frage allerdings nur in eher seltenen Fällen tatsächlich

relevant werden. Aufgrund der zivilprozessualen Wahrheitspflicht (§ 138 ZPO) wird der Arbeitnehmer den Sachvortrag des Arbeitgebers selbst dann nicht widerlegen können ohne seinerseits einen Prozessbetrug zu begehen, wenn die Erkenntnisse des Arbeitgebers durch rechtswidrige Ermittlungsmaßnahmen erlangt wurden. Von entscheidender Bedeutung ist daher eher die Frage, ob ein Beweisverwertungsverbot Fernwirkung entfalten kann und ob zusätzlich zum Beweisverwertungsverbot ein Sachvortragsverwertungsverbot existiert. Beide Fragen sind zu verneinen. Erlangt der Arbeitgeber durch eine rechtswidrige Kontrollmaßnahme Kenntnis von anderen Beweismitteln, so sind diese vollständig verwertbar, eine Fernwirkung besteht nicht3. Ebenso wenig ist der Richter daran gehindert zwischen den Parteien unstreitigen Sachvortrag zu berücksichtigen, selbst wenn der Sachvortrag auf rechtswidrig erlangten Informationen beruht. Wie das BAG klargestellt hat, existiert ein Sachvortragsverwertungsverbot im deutschen Prozessrecht nicht4.

142a Allerdings schränkt das BAG diesen Grundsatz wiederum ein, wenn der Schutz-

zweck der bei der Informationsgewinnung verletzten Norm einer Verwertung der Information zwecks Vermeidung eines Eingriffs in höherrangige Rechtspositionen dieser Partei zwingend entgegensteht und dies auch nicht durch schutzwürdige Interessen der Gegenseite, sprich des Arbeitgebers, gerechtfertigt werden könnte5.

1 Grundsätzlich ablehnend Kratz/Gubbels, NZA 2009, 652 (656). 2 Dzida/Grau, NZA 2010, 1201 (1203); andeutungsweise auch BAG v. 13.12.2007 – 2 AZR 537/06, NZA 2008, 1008. 3 Dzida/Grau, NZA 2010, 1201 (1206); Grimm/Schiefer, RdA 2009, 329 (340); Bergwitz, NZA 2012, 353. 4 16.12.2010 – 2 AZR 485/08, AP BGB § 626 Nr. 232; BAG v. 13.12.2007 – 2 AZR 537/06, NZA 2008, 1008; Dzida/Grau, NZA 2010, 1201 (1205); Grimm/Schiefer, RdA 2009, 329 (340); Lunk, NZA 2009, 457 (458). 5 BAG v. 16.12.2010 – 2 AZR 485/08, AP BGB § 626 Nr. 232.

786

|

Stamer/Kuhnke

Datenerhebung für Zwecke des Beschäftigungsverhältnisses | § 32 BDSG

Dies führt in der Praxis in der Regel zu dem – richtigen – Ergebnis, dass der 142b Sachverhalt ohne direkten Rückgriff auf das rechtswidrige Beweismittel aufgeklärt werden kann. Entsprechend konnte das BAG in seinem Urteil aus dem Jahr 2010 die Rechtmäßigkeit einer verdeckten Videoaufzeichnung mit der Begründung offen lassen, der Schutzzweck der bei der Informationsgewinnung möglicherweise verletzten Norm verbiete jedenfalls nicht, den beklagten Arbeitgeber mit seinem – unstreitigen – Sachvortrag zu hören. Denn das allgemeine Persönlichkeitsrecht des Arbeitnehmers sei nicht schrankenlos gewährt und der Eingriff darin sei vorliegend durch überwiegende schutzwürdige Interessen des Arbeitgebers gerechtfertigt1. Ganz ähnlich verfährt das LAG Hamm, wenn es Chatprotokolle trotz möglichen Verstoßes gegen das Fernmeldegeheimnis wegen überwiegender Interessen der Arbeitgeberin für verwertbar hält2, und das LAG Rheinland-Pfalz, wenn es trotz einer in ihrer Durchführung nicht verhältnismäßigen Einsicht in einen elektronischen Kalender der Arbeitnehmerin aufgrund einer Güterabwägung zur Verwertbarkeit des unstreitig gewordenen Sachverhalts kommt3. Das LAG Berlin-Brandenburg weist in einer jüngeren Entscheidung4 in einem obiter dictum darauf hin, dass die Inhalte eines Browserverlaufs auch dann verwertbar gewesen wären, wenn sie rechtswidrig gespeichert und genutzt worden wären, weil der Arbeitgeber durch einen arbeitsvertraglichen Vorbehalt stichprobenartiger Kontrollen die Entstehung einer arbeitnehmerseitigen Erwartung auf die Vertraulichkeit seiner privaten Kommunikation von vornherein verhindert habe.

VIII. Übermittlung von Beschäftigtendaten an Dritte Es gibt vielfältige Situationen, in denen es für den Arbeitgeber zur Durchfüh- 143 rung des Beschäftigungsverhältnisses erforderlich oder zumindest sinnvoll sein kann, die von ihm erhobenen und gespeicherten Daten bezüglich seiner Arbeitnehmer an „Dritte“ zu übermitteln5. Dies reicht von der Auslagerung der Lohnbuchhaltung bis zur Weitergabe von Informationen im Rahmen einer Due Diligence beim Verkauf des Unternehmens. Dabei ist zunächst festzuhalten, dass eine Datenübermittlung an einen „Dritten“ auch dann vorliegt, wenn die Übermittlung innerhalb eines Konzerns erfolgt. Damit kennt das BDSG kein „Konzernprivileg“, das einen freien Datenaustausch zwischen den Konzernunterneh1 2 3 4 5

BAG v. 16.12.2010 – 2 AZR 485/08, AP BGB § 626 Nr. 232. LAG Hamm v. 10.7.2012 – 14 Sa 1711/10, CCZ 2013, 115. LAG Rheinland-Pfalz v. 25.11.2014 – 8 Sa 363/14, ZD 2015, 488. LAG Berlin-Brandenburg v. 14.1.2016 – 5 Sa 657/15, BB 2016, 891. Zur Rechtmäßigkeit einer Weisung des Arbeitgebers an den Arbeitnehmer, personenbezogene Daten zwecks Beantragung und Nutzung einer elektronischen Signaturkarte an einen Zertifizierungsanbieter zu übertragen vgl. BAG v. 25.9.2013 – 10 AZR 270/12, NZA 2014, 41.

Stamer/Kuhnke

|

787

§ 32 BDSG | Datenverarbeitung nicht-öffentlicher Stellen men zuließe1. D.h., auch im Falle einer Datenübermittlung im Konzern ist eine gesonderte datenschutzrechtliche Rechtfertigung erforderlich. Art. 88 Abs. 2 DSGVO enthält Vorgaben für die Datenweitergabe im Konzern und damit ebenfalls kein Konzernprivileg (vgl. dazu Komm. zu Art. 88 DSGVO Rz. 20). Erfolgt die Datenübermittlung ins Ausland, sind diesbezüglich noch die besonderen Vorschriften des § 4b und § 4c zu beachten und zwar unabhängig davon, ob die Übermittlung innerhalb oder außerhalb des Konzerns erfolgt2. 144 Von der Übermittlung von Beschäftigtendaten im engeren Sinne ist die Auf-

tragsdatenverarbeitung zu unterscheiden. Ein typischer Anwendungsfall der Auftragsdatenverarbeitung ist die Auslagerung der Lohn- und Gehaltsabrechnung auf einen externen Anbieter oder ein anderes Konzernunternehmen. Hier richten sich die Zulässigkeitsanforderungen nach § 11 BDSG3.

145 Erfolgt die Datenübermittlung nicht im Rahmen einer Auftragsdatenverarbei-

tung, bedarf die Übermittlung einer gesonderten Erlaubnis, sei es auf der Grundlage einer Konzernbetriebsvereinbarung4 (zur Datenverarbeitung auf Grundlage von Betriebsvereinbarungen s. Rz. 14 und 85) oder auf der Grundlage von § 32 Abs. 1 Satz 1. So kann etwa der Aufbau einer konzernweiten Personalverwaltung, die Grundlage für den konzernweiten Personaleinsatz, die Personalentwicklung oder auch die Schaffung eines konzernweiten Arbeitsmarktes ist, eine Datenübermittlung im Konzern rechtfertigen. Gleiches gilt für die Erstellung konzernweiter Telefon- oder E-Mail-Verzeichnisse.

146 Sofern im Rahmen einer Due Diligence Beschäftigtendaten dem Kaufinteres-

senten übermittelt werden sollen, greift § 32 Abs. 1 als Rechtfertigungsgrundlage nicht ein, da die Datenübermittlung nicht zur Durchführung des Beschäftigungsverhältnisses erforderlich ist. Vielmehr ist auf die Generalklausel des § 28 Abs. 1 Satz 1 Nr. 2 abzustellen. Hiernach wird eine Interessenabwägung zwischen den Interessen der betroffenen Arbeitnehmer und dem Interesse des Arbeitgebers an einer Übermittlung der entsprechenden Daten vorgenommen. Im Regelfall muss dem Interesse der Arbeitnehmer dabei insofern Rechnung getragen werden, als dass dem Erwerber – zumindest in der Anfangsphase einer Transaktion – lediglich anonymisierte Mitarbeiterlisten sowie geschwärzte Musterverträge überreicht werden. Soweit aber das Management sowie andere Schlüsselkräfte und Know-how-Träger betroffen sind, wird man auch ein überwiegendes Interesse des Arbeitgebers an der Übermittlung von ungeschwärzten

1 Vgl. Simitis/Seifert, § 32, Rz. 116; vgl. dazu auch Conrad/Grützmacher/Moos, § 47 Rz. 3 ff.; zu Auswirkungen von Matrixstrukturen vgl. Feige, ZD 2015, 116. 2 Siehe hierzu die Kommentierung der §§ 4b und c BDSG; zur Datenübermittlung in die USA nach der Entscheidung des EuGH vom 6.10.2015 – C-362/14 (Safe Harbor) vgl. auch Rz. 3. 3 S. hierzu im Einzelnen die Komm. zu § 11 BDSG. 4 BAG v. 20.12.1995 – 7 ABR 8/95, NZA 1996, 945 (947).

788

|

Stamer/Kuhnke

Datenerhebung für Zwecke des Beschäftigungsverhältnisses | § 32 BDSG

Unterlagen wie etwa Anstellungsverträgen annehmen können1; hierbei handelt es sich um entscheidende Informationen für einen Erwerber, die dieser für eine angemessene Prüfung der arbeitsrechtlichen und personellen Verhältnisse der Zielgesellschaft benötigt. Die Vorlage nicht anonymisierter Listen von Mitarbeitern mit Angaben zu Gehalt und anderen Daten wird auch dann für zulässig anzusehen sein, wenn etwa im Rahmen eines Unternehmenskaufs, der einen Betriebsübergang zur Folge hat („Asset-Deal“), eine Identifizierung der Mitarbeiter erforderlich ist, die zu den übergehenden Bereichen zählen. Dies kann z.B. für die nach § 613a Abs. 5 BGB erforderliche Unterrichtung wie auch zur Bestimmung des Verpflichtungsumfangs (z.B. aus betrieblicher Altersversorgung) des Erwerbers erforderlich sein. Aber auch bei einem Share-Deal wird eine Vorlage individualisierter Listen dann gerechtfertigt sein, wenn die Durchführung der Transaktion unmittelbar bevorsteht und die Liste z.B. im Zusammenhang mit einer Garantie Bestandteil des Kaufvertrages werden soll. Gleiches gilt, wenn der Vollzug der Transaktion nach Abschluss des Kaufvertrages überwiegend wahrscheinlich geworden ist und die Daten z.B. für die Vorbereitung des Übergangs des Geschäftsbetriebs benötigt werden2. Eine Veröffentlichung von Beschäftigtendaten, z.B. auf der Homepage des Un- 147 ternehmens, wird regelmäßig nur dann erforderlich i.S.d. § 32 Abs. 1 Satz 1 sein, wenn es sich um Mitarbeiter mit Außenwirkung handelt (z.B. Geschäftsführung sowie Kontaktpersonen in den unterschiedlichen Unternehmensbereichen). In den anderen Fällen ist zur Veröffentlichung eine Einwilligung erforderlich. Sofern die Veröffentlichung eines Fotos des jeweiligen Betroffenen erfolgen soll, ist in jedem Fall dessen Einwilligung erforderlich3. Scheidet der auf der Homepage genannte Mitarbeiter aus, hat er einen Anspruch auf Löschung seines Mitarbeiterprofils4. Gleichzeitig hat aber auch das Unternehmen einen Anspruch auf Löschung von Hinweisen auf die bisherige Unternehmenszugehörigkeit des Mitarbeiters, z.B. in sozialen Netzwerken.

IX. Datenverwendung bei und nach Beendigung des Beschäftigungsverhältnisses Daten, die für die Beendigung des Arbeitsverhältnisses und dessen Abwick- 148 lung erforderlich sind, dürfen vom Arbeitgeber erhoben, verarbeitet und genutzt 1 Seibt/Hohenstatt, in Willemsen/Hohenstatt/Schweibert/Seibt, Umstrukturierung und Übertragung von Unternehmen, 4. Aufl. 2011, Rz. K27. 2 Vgl. Seibt/Hohenstatt, Rz. K27. 3 Simitis/Seifert, § 32 BDSG Rz. 125. 4 Vgl. LAG Hessen v. 24.1.2012 – 19 SaGa 1480/11, RDV 2012, 204; zur weiteren Nutzung von Videoaufnahmen eines ausgeschiedenen Mitarbeiters vgl. BAG v. 11.12.2014 – 8 AZR 1010/13, NZA 2015, 604; vgl. dazu auch Benecke/Groß, NZA 2015, 833 und oben Rz. 12.

Stamer/Kuhnke

|

789

§ 32 BDSG | Datenverarbeitung nicht-öffentlicher Stellen werden. Unerlässlich und damit zulässig ist hier vor allem die Nutzung der Stammdaten oder der aus den Stammdaten resultierenden Daten (bspw. die Vergütung) der Arbeitnehmer, sei es bspw. bei der Berechnung der Länge einer Kündigungsfrist oder der Höhe einer Abfindung. Regelmäßig werden diese Daten schon vor Beendigung des Arbeitsverhältnisses durch den Arbeitgeber erhoben. Ihre Nutzung ist unproblematisch1. 149 Für die Zulässigkeit der Datenverwendung bei der Kündigungsentscheidung

gilt: Ohne Weiteres zulässig ist die Verwendung solcher Daten, die der Arbeitgeber zur Einhaltung seiner gesetzlichen Pflichten bei der Entscheidungsfindung – bspw. der Durchführung einer Sozialauswahl (§ 1 Abs. 3 Satz 1 KSchG) – benötigt2. D.h. aber auch, dass der Arbeitgeber grundsätzlich alle Daten speichern und verwenden darf, die er zur Erfüllung der ihm obliegenden Darlegungs- und Beweislast in einem potentiellen Kündigungsschutzprozess benötigt3. Dabei darf allerdings nicht unberücksichtigt bleiben, dass hier – und dies gilt insbesondere für die verhaltensbedingte Kündigung – natürlich nur die Verwendung solcher Daten zulässig ist, deren Erhebung nicht gegen die oben dargestellten Grundsätze über Beweisverwertungsverbote verstoßen hat (vgl. Rz. 137). Von § 32 ebenfalls erfasst ist die Datenverwendung bei Abwicklung des Arbeitsverhältnisses4. Dass ein Arbeitsverhältnis nicht ohne die Berücksichtigung von Arbeitnehmerdaten abgewickelt werden kann und ihre Verwendung daher zulässig sein muss, liegt auf der Hand. Insbesondere damit noch ausstehende Ansprüche beider Seiten geltend gemacht und beglichen werden können, müssen die hierfür erforderlichen Daten erhoben und verwendet werden5.

150 Auch nach Beendigung des Arbeitsverhältnisses kann eine Erhebung, Verarbei-

tung oder Nutzung von Arbeitnehmerdaten erforderlich sein. Nach § 35 Abs. 2 Nr. 3 sind zwar solche Daten zu löschen, die für den Zweck, für den sie erhoben wurden, nicht mehr erforderlich sind; allerdings gibt es auch nach Beendigung des Arbeitsverhältnisses Konstellationen, in denen der Arbeitgeber auf die Daten des Arbeitnehmers weiterhin angewiesen ist6, so dass ihre Aufbewahrung erforderlich bleibt. Dies gilt z.B. wenn aus dem Arbeitsverhältnis nachvertragliche Pflichten – bspw. ein Wettbewerbsverbot – resultieren, aber auch dann, wenn der Arbeitgeber per Gesetz zur Aufbewahrung von Unterlagen oder Speicherung

1 ErfK/Wank, § 32 BDSG Rz. 29; Simitis/Seifert, § 32 BDSG Rz. 135. 2 Simitis/Seifert, § 32 BDSG Rz. 135. 3 HWK/Lembke, § 32 BDSG Rz. 15; auf dieser Grundlage kann eine Arbeitnehmer die Entfernung einer zu Recht erteilten Abmahnung aus der Personalakte nur verlangen, wenn das abgemahnte Verhalten für das Arbeitsverhältnis in jeder Hinsicht bedeutungslos geworden ist, vgl. BAG v. 19.7.2012 – 2 AZR 782/11, NZA 2013, 91. 4 HWK/Lembke, § 32 BDSG Rz. 15; Simitis/Seifert, § 32 BDSG Rz. 140. 5 Simitis/Seifert, § 32 BDSG Rz. 140. 6 ErfK/Wank, § 32 BDSG Rz. 29; für ein sehr weitgehendes Speicherungsrecht Gola/Schomerus, § 32 BDSG Rz. 23.

790

|

Stamer/Kuhnke

Datenerhebung für Zwecke des Beschäftigungsverhältnisses | § 32 BDSG

von Daten verpflichtet ist1. Die Speicherung der für diese Zwecke konkret benötigten Daten ist damit zulässig. Aber auch unabhängig von diesen vertraglichen oder gesetzlichen Bindungen muss der Arbeitgeber befugt sein, über einen längeren Zeitraum zumindest die Stammdaten und die damit verbundenen Daten der Arbeitnehmer zu speichern, um ggf. ihre Tätigkeit im Unternehmen z.B. im Hinblick auf nachvertragliche Pflichtverletzungen darlegen zu können2.

X. Rechtsfolgen von Verstößen gegen den Beschäftigtendatenschutz Die Rechtsfolgen von Verstößen gegen den Beschäftigtendatenschutz sind unter- 151 schiedlich. In Betracht kommen vertragliche wie deliktsrechtliche Schadenersatzansprüche nach §§ 280, 311 Abs. 2 oder § 823 BGB3. Im Falle von Diskriminierungen folgen Ansprüche überdies aus § 15 AGG. Eine Schadenersatzhaftung der verantwortlichen Stelle ordnet zudem § 7 an (dazu Komm. zu § 7 BDSG Rz. 5). § 35 regelt die Berichtigung, Sperrung und Löschung unbefugt gespeicherter Daten (dazu Komm. zu § 35 BDSG Rz. 9 ff.). In Betracht kommt weiter ein allgemeiner Beseitigungs- und Unterlassungsanspruch nach § 1004 sowie ein Gegendarstellungsanspruch nach § 83 Abs. 2 BetrVG bzw. § 26 Abs. 2 Satz 4 SprAuG. Unter Umständen hat der Beschäftigte ein Zurückbehaltungsrecht hinsichtlich seiner Arbeitsleistung. Überdies bestehen Beschwerderechte nach § 84 BetrVG. Auch kann der Beschäftigte Anzeige bei den Datenschutzbehörden erstatten. Nach §§ 43 Abs. 2, 44 sind Verstöße gegen § 32 Ordnungswidrigkeiten bzw. u.U. Straftaten (dazu ausführlich Komm. zu § 43 BDSG Rz. 9 und Komm. zu § 44 BDSG Rz. 2)4. Wie bereits ausgeführt, ist auch eine Verletzung des Fernmeldegeheimnisses, soweit einschlägig, strafbar. In verfahrensrechtlicher Hinsicht kommen Beweisverwertungsverbote in Betracht (dazu ausführlich Rz. 137 ff.).

1 HWK/Lembke, § 32 BDSG Rz. 15. 2 Das BAG begründet im Urteil v. 16.11.2010 – 9 AZR 573/09, NJW 2011, 1306 eine Pflicht des Arbeitgebers, dem Arbeitnehmer auch nach Beendigung des Arbeitsverhältnisses Einsicht in seine Personalakte zu gewähren, so dass hieraus gefolgert werden kann, dass der Senat grundsätzlich keine Zweifel an der Rechtmäßigkeit der Aufbewahrung einer solchen Personalakte hat; vgl. dazu auch Riesenhuber, NZA 2014, 753 (756); zum Rechtsweg bei Auskunftsanspruch eines ausgeschiedenen Arbeitnehmers vgl. BAG v. 3.2.2014 – 10 AZB 77/13. 3 Vgl. zum Schmerzensgeldanspruch eines Arbeitnehmers bei rechtswidrigen heimlichen Videoaufnahmen durch einen Detektiv BAG v. 19.2.2015 – 8 AZR 1007/13, NZA 2015, 994. 4 Ausführlich zu den Rechtsfolgen sowie zu arbeitsrechtlichen Maßnahmen gegen die Verantwortlichen Dzida/Grau, ZIP 2012, 504; Forst, AuR 2010, 106.

Stamer/Kuhnke

|

791

§ 32 BDSG | Datenverarbeitung nicht-öffentlicher Stellen XI. Beteiligungsrechte der Interessenvertretungen der Beschäftigten 152 § 32 Abs. 3 stellt klar, dass die Beteiligungsrechte der Interessenvertretungen

der Beschäftigten unberührt bleiben1. Die Gesetzesbegründung verweist beispielhaft auf § 87 Abs. 1 Nr. 6 BetrVG sowie § 75 Abs. 3 Nr. 17 BPersVG bei Einführung und Anwendung technischer Einrichtungen durch den Arbeitgeber zur Überwachung von Verhalten und Leistung der Beschäftigten2. Interessenvertretungen i.S.d. Vorschrift sind auch die Sprecherausschüsse der leitenden Angestellten3 sowie Mitarbeitervertretungen auf Grundlage kirchenrechtlicher Vorschriften. Der betriebliche Datenschutzbeauftragte ist dagegen keine solche Interessenvertretung4. 1. Betriebsrat

153 Betriebsvereinbarungen können nach der Rechtsprechung des BAG5 und der

überwiegenden Meinung in der Literatur6 Erlaubnistatbestand i.S.d. § 4 Abs. 1 sein (dazu näher Rz. 14 und 85 sowie Komm. zu § 4 BDSG Rz. 3). § 4 Abs. 1 BDSG-E 2010 regelte dies explizit7. Unlängst hat das BAG im Zusammenhang mit der Durchführung von Torkontrollen, die sich auf die Durchsicht mitgeführter Behältnisse, Jacken- und Manteltaschen bezogen, erneut bestätigt, dass die entsprechende Betriebsvereinbarung eine Rechtsvorschrift i.S.v. § 4 Abs. 1 BDSG sei, die sowohl die automatisierte als auch die nicht automatisierte Erhebung, Nutzung oder Verarbeitung personenbezogener Daten von Arbeitnehmern wie Leiharbeitnehmern erlaubt8. In der zitierten Entscheidung betreffend die Telefondatenerfassung aus dem Jahr 1986 hatte das BAG angenommen, eine Betriebsvereinbarung oder ein Spruch der Einigungsstelle könnten auch zuungunsten der Arbeitnehmer von den Vorschriften des BDSG abweichen. Sie müssten sich im Rahmen der Regelungskompetenz der Betriebspartner halten und den Grundsätzen über den Persönlichkeitsschutz des Arbeitnehmers im Arbeitsverhältnis Rechnung tragen9. 1 S.a. § 32l Abs. 3 BDSG-E 2010, BT-Drucks. 535/10. 2 BT-Drucks. 16/13657, S. 21. 3 Zum Informationsrecht des Sprecherausschusses nach § 25 Abs. 2 SprAuG vgl. Kort, NZA-RR 2015, 113. 4 Simitis/Seifert, § 32 BDSG Rz. 145; zu den unterschiedlichen Rollen von Betriebsrat und Datenschutzbeauftragtem beim Arbeitnehmer-Datenschutz vgl. Kort, NZA 2015, 1345. 5 BAG v. 9.7.2013 – 1 ABR 2/13 (A), NZA 2013, 1933; BAG v. 27.5.1986 – 1 ABR 48/84, NZA 1986, 634. 6 Gola/Wronka, Rz. 332; Thüsing Beschäftigtendatenschutz und Compliance, § 4 Rz. 4; Kort, RDV 2012, 8. 7 Zur Rechtslage im Rahmen von Art. 88 vgl. Komm. zu Art. 88 DSGVO Rz 8. 8 BAG v. 15.4.2014 – 1 ABR 2/13, NZA 2014, 551; vgl. dazu auch BAG v. 25.9.2013 – 10 AZR 270/12, NZA 2014, 41 und Kort, ZD 2016, 3 (6). 9 BAG v. 27.5.1986 – 1 ABR 48/84, NZA 1986, 634.

792

|

Stamer/Kuhnke

Datenerhebung für Zwecke des Beschäftigungsverhältnisses | § 32 BDSG

Gleichwohl wird teilweise weiterhin angenommen, Betriebsvereinbarungen dürften nicht „hinter dem Niveau“ des BDSG zurückbleiben1. Wenn man annimmt, eine Betriebsvereinbarung sei Erlaubnistatbestand i.S.d. § 4 Abs. 1, ist es aber nur folgerichtig, dass durch Betriebsvereinbarung von den Vorschriften des BDSG zuungunsten der Arbeitnehmer abgewichen werden kann2. Dies gilt auch für freiwillige Betriebsvereinbarungen nach § 88 BetrVG. Allerdings müssen die Betriebspartner nach § 75 Abs. 2 Satz 1 BetrVG auch das allgemeine Persönlichkeitsrecht nach Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG beachten3. Dies führt im Rahmen der Verhältnismäßigkeit mitunter zu dem Ergebnis, dass eine Datenverarbeitung, für die das BDSG keine Rechtsgrundlage bereithält, auch auf Grundlage einer Betriebsvereinbarung unzulässig – weil unverhältnismäßig – sein kann4. Stellt der Betriebsrat datenschutzrechtliche Missstände im Betrieb fest, ist er auf- 154 grund des Gebots der vertrauensvollen Zusammenarbeit nach § 2 Abs. 1 BetrVG verpflichtet, diese zunächst betriebsintern zu klären5. a) Eigener Umgang des Betriebsrats mit Beschäftigtendaten Nach der Rechtsprechung des BAG6 sowie der herrschenden Ansicht in der Litera- 155 tur7 ist der Betriebsrat nicht selbst „verantwortliche Stelle“ i.S.v. § 3 Abs. 7, sondern vielmehr Teil der verantwortlichen Stelle „Arbeitgeber“ (dazu näher Komm. zu § 3 BDSG Rz. 66 ff.)8. Bislang war das BAG weiter davon ausgegangen, dass der betriebliche Datenschutzbeauftragte den Betriebsrat nicht kontrollieren könne9. 1 Simitis/Simitis, § 2 BDSG Rz. 160; Simitis/Scholz/Sokol, § 4 BDSG Rz. 17. 2 Vgl. auch BAG v. 27.5.1986 – 1 ABR 48/84, NZA 1986, 643 (647), wonach „eine mögliche Verbesserung des Arbeitnehmerdatenschutzes durch Tarifverträge oder Betriebsvereinbarungen keiner ausdrücklichen gesetzlichen Regelung bedurft (hätte), sich vielmehr schon aus dem Günstigkeitsprinzip ergeben (hätte)“; in BAG v. 15.4.2014 – 1 ABR 2/ 13, NZA 2014, 551, heißt es unter Rz. 49, da die in der dortigen Betriebsvereinbarung zu Torkontrollen geregelten Kontrollmaßnahmen einer Rechtskontrolle am Maßstab des § 75 Abs. 2 BetrVG standhielten, würden die datenschutzrechtlichen Belange der betroffenen Arbeitnehmer nicht beeinträchtigt. 3 So auch BAG v. 15.4.2014 – 1 ABR 2/13, NZA 2014, 551. 4 Zur Zulässigkeit von Videoüberwachungsmaßnahmen am Arbeitsplatz vgl. BAG v. 29.6. 2004 – 1 ABR 21/03, NZA 2004, 1278; zur Fragestellung i.ü. Thüsing, Beschäftigtendatenschutz und Compliance, § 4 Rz. 17, der von einer Kontrolle spricht, die mit den Vorgaben des BDSG „vergleichbar“, aber „um einige Pegelstriche großzügiger“ ist; Franzen, RdA 2010, 257 (260); Wybitul, Handbuch Datenschutz im Unternehmen, Rz. 221. 5 Kort, RDV 2012, 8 (12). 6 BAG v. 12.8.2009 – 7 ABR 15/08, NZA 2009, 1218. 7 Dazu Kort, RDV 2012, 8. 8 BAG v. 7.2.2012 – 1 ABR 46/10, NZA 2012, 744; kritisch Kort, NZA 2015, 1345 (1347, 1351). 9 BAG v. 11.11.1997 – 1 ABR 21/97, NZA 1998, 385.

Stamer/Kuhnke

|

793

§ 32 BDSG | Datenverarbeitung nicht-öffentlicher Stellen In einer jüngeren Entscheidung hat das BAG diese Frage offengelassen1. Fraglich ist allerdings, ob der Betriebsrat den Datenschutzbeauftragten kontrollieren darf oder gar muss. Zweifelsohne gehört es auch zu den Aufgaben des Betriebsrats nach § 80 Abs. 1 Nr. 1 BetrVG, die Einhaltung des Beschäftigtendatenschutzes zu überprüfen. Weiter kann der Betriebsrat seine Zustimmung zur Einstellung eines Datenschutzbeauftragten oder zur Versetzung eines Arbeitnehmers auf die entsprechende Position nach § 99 Abs. 2 Nr. 1 BetrVG mit der Begründung verweigern, diesem fehle die nach § 4f Abs. 2 Satz 1 erforderliche Fachkunde und Zuverlässigkeit2. Ein allgemeines Kontrollrecht des Betriebsrats gegenüber dem betrieblichen Datenschutzbeauftragten folgt hieraus unterdessen nicht3. 156 Im Rahmen der Ausübung seines Amtes werden dem Betriebsrat personenbezo-

gene Daten durch den Arbeitgeber bereitgestellt, der Betriebsrat erhebt oder verarbeitet aber auch selbst personenbezogene Daten von Arbeitnehmern. Da der Betriebsrat Teil der verantwortlichen Stelle ist, ist die Bereitstellung solcher Daten durch den Arbeitgeber als Datennutzung nach § 3 Abs. 5 und nicht etwa als Datenweitergabe nach § 3 Abs. 4 anzusehen4. Die Bereitstellung an den Betriebsrat ist dabei an § 32 sowie ggf. an der subsidiären Vorschrift in § 28 zu messen. Sie ist zulässig, wenn ein Bezug zu den Aufgaben des Betriebsrats besteht5. Besteht kein solcher Bezug, ist die Datennutzung durch den Arbeitgeber und in der Folge auch die Datennutzung durch den Betriebsrat unzulässig6.

157 Die eigene Datenerhebung sowie Nutzung von durch den Arbeitgeber bereit-

gestellten Daten sind ebenfalls an § 32 und ggf. an § 28 zu messen7. Auch insoweit ist die Datenerhebung, -verarbeitung und -nutzung für die Wahrnehmung der gesetzlichen Aufgaben des Betriebsrats zulässig8. Taugliche Rechtsgrundlage ist u.a. § 80 Abs. 1 BetrVG, der die allgemeinen Aufgaben des Betriebsrats for-

1 BAG v. 23.3.2011 – 10 AZR 562/09, BB 2011, 2683 mit Anm. Wybitul zur Kompatibilität des Betriebsratsamts sowie des Amts als Datenschutzbeauftragter; kritisch Kort, NZA 2015, 1345 (1346). 2 BAG v. 22.3.1994 – 1 ABR 51/93, AP BetrVG 1972, § 99 Versetzung Nr. 4 zur Bestellung eines Datenschutzbeauftragten nach § 36 Abs. 2 BDSG a.F.; kritisch Kort, NZA 2015, 1345. 3 Kort, NZA 2015, 1345 (1351); zur Schaffung von Betriebsrat und Datenschutzbeauftragten unterstützenden Strukturen vgl. Bommer, ZD 2015, 123 (124). 4 Gola/Schomerus, § 3 BDSG Rz. 49. 5 Däubler, Gläserne Belegschaften?, Rz. 633 ff.; Simitis/Seifert, § 32 BDSG Rz. 170; Gola/ Wronka, Rz. 1980; Kort, ZD 2016, 3; Kort, RDV 2012, 8 (11); zur Zulässigkeit der Weitergabe personenbezogener Daten von Arbeitnehmern an den Betriebsrat im Zusammenhang mit betrieblichem Eingliederungsmanagement siehe BAG v. 7.2.2012 – 1 ABR 46/10, DB 2012, 1517. 6 Vgl. dazu auch Kort, NZA 2015, 1345 (1347). 7 Kort, RDV 2012, 8 (10). 8 Däubler, Gläserne Belegschaften?, Rz. 633 ff.; Simitis/Seifert, § 32 BDSG, Rz. 170; Gola/ Wronka, Rz. 1999; Kort, RDV 2012, 8 (11).

794

|

Stamer/Kuhnke

Datenerhebung für Zwecke des Beschäftigungsverhältnisses | § 32 BDSG

muliert. Die Grenzen des Aufgabenbereichs bilden dabei die Zulässigkeitsgrenzen der Datenerhebung, -verarbeitung und -nutzung1. Weitere Grenzen ergeben sich aus dem Grundsatz der Datensparsamkeit nach § 3a, u.U. den Vorschriften in §§ 9, 312 sowie dem Recht auf informationelle Selbstbestimmung der Beschäftigten nach § 75 Abs. 2 Satz 1 BetrVG3. Der Betriebsrat hat daher, soweit dies zur Aufgabenwahrnehmung ausreichend ist, mit anonymisierten oder pseudonymisierten Daten zu arbeiten4 und muss sich auf die für die Wahrnehmung der gesetzlichen Aufgaben erforderlichen Datenerhebungen und -verwendungen beschränken. Hat der Betriebsrat bspw. nur ein Einsichtnahmerecht in Unterlagen, wäre eine auf Dauer angelegte Datenspeicherung unzulässig5. Eine Datenerhebung und -nutzung über die gesetzlichen Aufgaben des Betriebsrats hinaus wäre allerdings u.U. nach vorheriger Einwilligung der Betroffenen möglich6. Betriebsratsmitglieder sind an das Datengeheimnis nach § 5 gebunden. Über- 158 dies bestehen betriebsverfassungsrechtliche Geheimhaltungsvorschriften, bspw. nach § 99 Abs. 3 BetrVG sowie allgemein nach § 75 Abs. 2 BetrVG7. Die Weitergabe von Beschäftigtendaten bspw. an Gewerkschaften ist daher im Regelfall unzulässig8. b) Mitbestimmungsrechte des Betriebsrats Die Beteiligungsrechte des Betriebsrats in beschäftigtendatenschutzrelevanten Be- 159 reichen sind ausgesprochen vielfältig. Insbesondere kommt das erzwingbare Mitbestimmungsrecht im Bereich der Überwachung von Arbeitnehmerleistung und -verhalten nach § 87 Abs. 1 Nr. 6 BetrVG in Betracht, auf das sich auch die Gesetzesbegründung bezieht9. Zu beachten ist freilich der Gesetzes- und Tarifvorbehalt tarifgebundener Arbeitgeber nach § 87 Abs. 1 Eingangssatz BetrVG. So sind Arbeitgeber u.U. zu einem Abgleich personenbezogener Beschäftigtendaten mit sog. 1 Zu Informationsrechten des Betriebsrats bei Mitarbeitergesprächen, Zielvereinbarungen und Talent Management und dem erforderlichen Aufgabenbezug vgl. Kort, NZA 2015, 520; zu Online-Zugriffsrechten des Betriebsrats auf Personalakten vgl. Kort, ZD 2015, 3. 2 Dazu BAG v. 12.8.2009 – 7 ABR 15/08, NZA 2009, 1218. 3 Kort, ZD 2016, 3 (4); Kort, RDV 2012, 8 (11). 4 Däubler/Kittner/Klebe/Wedde/Klebe, § 94 BetrVG, Rz. 53; Simitis/Seifert, § 32 BDSG Rz. 173. 5 BVerwG v. 4.9.1990, NJW 1991, 375, in Bezug auf die Rechte des Personalrats; Gola/ Wronka, Rz. 1976; Simitis/Seifert, § 32 BDSG Rz. 171; Jordan/Bissels/Löw, BB 2010, 2889 (2892); zu der Frage, ob ein Betriebsrat berechtigt ist, ein eigenes Personalinformationssystem aufzubauen s. Kort, RDV 2012, 8 (10 f.); Simitis/Seifert, § 32 BDSG Rz. 173. 6 Simitis/Seifert, § 32 BDSG Rz. 173. 7 Däubler/Kittner/Klebe/Wedde/Buschmann, § 79 BetrVG Rz. 40. 8 Däubler/Klebe/Wedde/Weichert/Däubler, § 28 BDSG Rz. 29; Kort, NZA 2015, 1345 (1348). 9 BT-Drucks. 16/13657, S. 37.

Stamer/Kuhnke

|

795

§ 32 BDSG | Datenverarbeitung nicht-öffentlicher Stellen Sanktionslisten, die auf den in den Mitgliedstaaten unmittelbar anwendbaren EU-Verordnungen EG Nr. 2580/2001 vom 27.12.2001 sowie EG Nr. 881/2002 des Rates vom 27.5.2002 beruhen, verpflichtet1. Überdies erfasst das Mitbestimmungsrecht nach § 87 Abs. 1 Nr. 6 BetrVG lediglich Überwachungen mittels technischer Einrichtungen. Datenerhebungen durch Privatdetektive, Vorgesetzte oder Testkäufer fallen demgegenüber nicht unter § 87 Abs. 1 Nr. 6 BetrVG2. Andererseits genügt es, wenn die technische Einrichtung objektiv zur Überwachung geeignet ist; auf den subjektiven Willen des Arbeitgebers, entsprechende Möglichkeiten zu nutzen, kommt es nicht an3. Der Einfluss des Betriebsrats auf Datenerhebungen des Arbeitgebers ist dementsprechend vielfältig, beispielhaft genannt seien Zeiterfassungssysteme, Zugangskontrollen, Videoüberwachungsmaßnahmen, Bildschirmarbeitsplätze, Personalinformationssysteme sowie die Erfassung betrieblicher Telefon-, E-Mail- und weiterer Kommunikationsdaten4. 159a Schließlich greift das Mitbestimmungsrecht nach § 87 Abs. 1 Nr. 6 BetrVG nur

bei der Einführung und Änderung einer technischen Überwachungseinrichtung ein. Über das „ob“ deren Einführung kann der Arbeitgeber mitbestimmungsfrei entscheiden. Dem Betriebsrat steht diesbezüglich kein Initiativrecht zu5. Gleiches gilt dementsprechend bei der Abschaffung einer solchen Einrichtung; auch hierüber kann der Arbeitgeber jederzeit mitbestimmungsfrei entscheiden6.

160 Das Mitbestimmungsrecht des Betriebsrats nach § 94 BetrVG betrifft Personal-

fragebögen, Angaben in schriftlichen Arbeitsverträgen sowie die Aufstellung allgemeiner Beurteilungsgrundsätze7. Für das Mitbestimmungsrecht im Zusam-

1 Zu Mitbestimmungsrechten des Betriebsrats vgl. ArbG Dessau-Roßlau v. 17.6.2009 – 1 BV 1/09; zum Sanktionslisten-Screening vgl. auch BFH v. 19.6.2012 – VII R 43/11, RDV 2012, 302; vgl. dazu auch Traut, RDV 2014, 119; Conrad/Grützmacher/Conrad/ Schneider, § 69 Rz. 15 ff. 2 Simitis/Seifert, § 32 BDSG Rz. 160. 3 St. Rspr. seit BAG v. 9.9.1975 – 1 ABR 20/74, AP, BetrVG 1972, § 87, Überwachung Nr. 2; BAG v. 23.4.1985 – 1 ABR 39/81, AP, BetrVG 1972, § 87, Überwachung Nr. 11. 4 Wollenschläger, Rz. 1170 f.; Simitis/Seifert, § 32 BDSG Rz. 162 f.; näher zu den Voraussetzungen des § 87 Abs. 1 Nr. 6 BetrVG im beschäftigtendatenschutzrechtlichen Kontext: Däubler, Gläserne Belegschaften?, Rz. 708 ff.; zur Frage der Mitbestimmung des Betriebsrats bei der Nutzung sozialer Netzwerke vgl. LAG Düsseldorf v. 12.1.2015 – 9 Ta BV 51/ 14 (Rechtsbeschwerde zugelassen); vgl. dazu auch Eufinger, ArbRAktuell 2015, 340; Kort, ZD 2016, 3 (4). 5 BAG v. 28.11.1989 – 1 ABR 97/88, NZA 1990, 406; BVerwG v. 29.9.2004 – 6 P 4/04, NVWZ 2005, 342; LAG Niedersachsen v. 22.10.2013 – 1 TaBV 53/13, zitiert nach OpenJur 2013, 45428; GK-BetrVG/Wiese, 10. Aufl. 2014, § 87 Rz. 572; ErfK/Kania, 16. Aufl. 2016, § 87 BetrVG Rz. 9; Richardi, § 87 Rz. 518; HWGNRH/Worzalla, § 87 Rz. 376; HWK/Clemenz, 7. Aufl. 2016, § 87 BetrVG Rz. 139; Matthes, MHdB ArbR, § 238 Rz. 38. 6 BAG v. 28.11.1989 – 1 ABR 97/88, NZA 1990, 406. 7 Vgl. dazu nur BAG v. 17.3.2015 – 1 ABR 48/13 für die Zuständigkeit bei der Aufstellung von Beurteilungsgrundsätzen.

796

|

Stamer/Kuhnke

Datenerhebung für Zwecke des Beschäftigungsverhältnisses | § 32 BDSG

menhang mit Personalfragebögen genügt dabei, dass personenbezogene Daten auf einem Datenträger erfasst werden1. Unerheblich ist, ob die befragte Person selbst den Fragebogen ausfüllt oder ein Dritter dies tut. Im Übrigen ersetzt die kollektivrechtliche Zulässigkeit nicht die individualrechtliche. Zweck der Mitbestimmung ist vielmehr, dass die Schranken des Fragerechts sowie insbesondere des AGG beachtet werden (dazu ausführlich Rz. 23 ff. und 41 ff.)2. Ein Mitbestimmungsrecht des Betriebsrats nach § 94 Abs. 2 BetrVG bei der Aufstellung allgemeiner Beurteilungsgrundsätze setzt voraus, dass sich diese Grundsätze auf die Person des Arbeitnehmers beziehen. Stellenbeschreibungen und Arbeitsplatzbewertungen sind demnach keine Beurteilungsgrundsätze i.S.v. § 94 Abs. 2 BetrVG; auch Anforderungsprofile sind keine Beurteilungsgrundsätze3. Mit einer Datenerhebung verbunden ist ebenfalls die Aufstellung von Auswahl- 161 richtlinien nach § 95 Abs. 1 BetrVG4. Macht der Arbeitgeber bspw. Einstellungen von bestimmten Ergebnissen eines Mitarbeiter-Screenings abhängig, kommt ein Mitbestimmungsrecht des Betriebsrats hinsichtlich der beschäftigten Arbeitnehmer, aber auch hinsichtlich Bewerbern in Betracht. c) Zuständiges Gremium Nach der Zuständigkeitsordnung des BetrVG ist grundsätzlich zunächst der ört- 162 liche Betriebsrat zuständig. Eine originäre Zuständigkeit des Gesamtbetriebsrats bzw. des Konzernbetriebsrats besteht nur bei Angelegenheiten, die das Gesamtunternehmen oder mehrere Betriebe bzw. den gesamten Konzern oder mehrere Unternehmen betreffen und nicht durch die lokalen Betriebsräte bzw. Gesamtbetriebsräte geregelt werden können5. Es müssen daher zwingende Erfordernisse für eine betriebs- oder unternehmensübergreifende Regelung vorliegen6, wobei auf die Verhältnisse der einzelnen Konzerne und Unternehmen abzustellen ist. Die originäre Zuständigkeit des Gesamtbetriebsrates bzw. des Konzernbetriebsrats kann sich aus objektiv zwingenden Gründen oder aus der „subjektiven Unmöglichkeit“ einer Regelung auf Betriebs- oder Unternehmensebene ergeben7. Maßgeblich ist daher abzustellen auf den Inhalt und die Ziele der geplanten Regelung. Soweit sich diese nur durch eine einheitliche Regelung auf Unternehmens- oder Konzernebene erreichen lassen, ist der Gesamtbetriebsrat bzw. der Konzernbetriebsrat zuständig. Soweit im Hinblick auf eine bestimmte Angelegenheit eine originäre Zuständigkeit des Gesamt- oder Konzernbetriebsrats nicht in Betracht kommt, können die lokalen Betriebsräte oder 1 2 3 4 5 6 7

Richardi/Thüsing, § 94 BetrVG Rz. 6. Richardi/Thüsing, § 94 BetrVG Rz. 11; Simitis/Seifert, § 32 BDSG Rz. 154. Richardi/Thüsing, § 94 BetrVG Rz. 55. Däubler, Gläserne Belegschaften?, Rz. 682. Vgl. dazu auch BAG v. 16.8.2011 – 1 ABR 22/10; Feige, ZD 2015, 116 (120). Vgl. dazu Kort, ZD 2016, 3 (8). BAG v. 19.6.2007 – 1 AZR 454/06, NZA 2007, 1184 (1186).

Stamer/Kuhnke

|

797

§ 32 BDSG | Datenverarbeitung nicht-öffentlicher Stellen die Gesamtbetriebsräte dennoch durch Delegation den Gesamt- bzw. Konzernbetriebsrat beauftragen, die Mitbestimmungsrechte wahrzunehmen (vgl. §§ 50 Abs. 2 und 58 Abs. 2 BetrVG). 163 Hieraus folgt im Hinblick auf Betriebsvereinbarungen mit datenschutzrecht-

lichem Bezug, dass eine originäre Zuständigkeit des Gesamtbetriebsrats bzw. des Konzernbetriebsrats dann gegeben ist, wenn unternehmens- oder konzernweit einheitliche EDV-1 oder Telefonsysteme2 eingeführt werden sollen. Auch im Hinblick auf Betriebsvereinbarungen zur Nutzung von E-Mail und Internet ist eine Regelung auf Unternehmens- oder Konzernebene zwingend erforderlich, da im Hinblick auf die konzerninterne Kommunikation und deren Überwachung einheitliche Schutzstandards bestehen müssen. Andernfalls könnte es zu impraktikablen Überwerfungen kommen, wenn in manchen Betrieben oder Unternehmen eines Konzerns z.B. die E-Mail-Nutzung verboten ist und in anderen Teilen erlaubt. Auch im Hinblick auf Maßnahmen, die der Korruptionsbekämpfung dienen, wie etwa Massenscreenings, ist ein effektives Vorgehen nur mit einheitlichen Prüfstandards und Konsequenzen möglich, so dass auch hier eine Zuständigkeit des Konzernbetriebsrats gegeben ist3. Etwas anders könnte nur dann gelten, wenn bestimmte Überwachungsmaßnahmen ausschließlich auf lokaler Ebene eingeführt werden, wie etwa eine Videoüberwachung in einem Betrieb des Unternehmens oder Konzerns. Auch im Falle der Einführung von konzerneinheitlichen Personalfragebögen oder Beurteilungsgrundsätzen, ist der Konzernbetriebsrat zur Wahrnehmung des Mitbestimmungsrechts nach § 94 BetrVG zuständig4. 2. Andere Interessenvertretungen

164 In öffentlichen Verwaltungen nimmt der Personalrat die Aufgaben des Be-

triebsrats wahr, vgl. § 130 BetrVG und § 112 BPersVG. Sein Einfluss auf den Beschäftigtendatenschutz ähnelt weitgehend der beschriebenen Rechtslage bei Betriebsräten5. Gleichwohl lassen sich die im Betriebsverfassungsrecht geltenden Grundsätze nicht unbesehen auf das Personalvertretungsrecht übertragen6. Zu beachten ist, dass nach § 12 Abs. 1 und 4 die Vorschrift nach § 32 nur für die öffentlichen Stellen des Bundes gilt (dazu näher Komm. zu § 12 BDSG Rz. 5). Das Äquivalent zu § 87 Abs. 1 Nr. 6 BetrVG ist der in der Gesetzesbegründung eben1 2 3 4

BAG v. 14.11.2006 – 1 ABR 4/06, NZA 2007, 399. BAG v. 11.11.1998 – 7 ABR 47/97, NZA 1999, 947. Vgl. Kock/Francke, NZA 2009, 646 (650). Vgl. LAG Baden-Württemberg v. 12.6.1995 – 16 TaBV 12/94; LAG Düsseldorf v. 6.3. 2009 – 9 TaBV 347/08, AE 2009, 206. 5 Simitis/Seifert, § 32 BDSG Rz. 174 ff.; Däubler, Gläserne Belegschaften?, Rz. 839 ff. 6 Zu den Besonderheiten vgl. Däubler, Gläserne Belegschaften?, Rz. 839 ff; zum fehlenden Anspruch des Personalrats auf lesenden Zugriff auf Arbeitszeitkontendaten einzelner Beschäftigter vgl. BVerwG v. 19.3.2014 – 6 P 1/13; vgl. dazu auch Kort, ZD 2015, 3.

798

|

Stamer/Kuhnke

Benachrichtigung des Betroffenen | § 33 BDSG

falls zitierte § 75 Abs. 3 Nr. 17 BPersVG1. Mitbestimmungsrechte des Personalrates bei Fragebögen regeln §§ 75 Abs. 3 Nr. 8, 76 Abs. 2 Nr. 2 BPersVG. Für leitende Mitarbeiter kann der Sprecherausschuss Unterrichtungs- und Be- 165 ratungsansprüche, allerdings keine weitergehenden Mitbestimmungsrechte reklamieren2. Nach § 27 Abs. 2 SprAuG haben Arbeitgeber und Sprecherausschuss die freie Entfaltung der Persönlichkeit der leitenden Angestellten zu schützen und zu fördern. In kirchlichen Einrichtungen werden die Beschäftigten im Betrieb von Vertre- 166 tungen repräsentiert, die sich nach dem jeweiligen autonomen Mitarbeitervertretungsrecht bestimmen3. Gewerkschaften sind keine Interessenvertretungen der Beschäftigten i.S.v. § 32 167 Abs. 3. Allerdings kann auch ein Tarifvertrag Rechtsgrundlage für eine Datenerhebung des Arbeitgebers sein4.

Zweiter Unterabschnitt Rechte des Betroffenen

§ 33 Benachrichtigung des Betroffenen (1) 1Werden erstmals personenbezogene Daten für eigene Zwecke ohne Kenntnis des Betroffenen gespeichert, ist der Betroffene von der Speicherung, der Art der Daten, der Zweckbestimmung der Erhebung, Verarbeitung oder Nutzung und der Identität der verantwortlichen Stelle zu benachrichtigen. 2Werden personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung ohne Kenntnis des Betroffenen gespeichert, ist der Betroffene von der erstmaligen Übermittlung und der Art der übermittelten Daten zu benachrichtigen. 3Der Betroffene ist in den Fällen der Sätze 1 und 2 auch über die Kategorien von Empfängern zu unterrichten, soweit er nach den Umständen des Einzelfalles nicht mit der Übermittlung an diese rechnen muss. 1 Däubler, Gläserne Belegschaften?, Rz. 314. 2 Simitis/Seifert, § 32 BDSG Rz. 179; zu Informationsrechten des Sprecherausschusses in Bezug auf Personaldaten leitender Angestellter vgl. Kort, NZA-RR 2015, 113. 3 BVerfG v. 11.10.1977 – 2 BvR 209/76, NJW 1978, 581; vgl. dazu auch Simitis/Seifert, § 32 BDSG Rz. 181. 4 BAG v. 25.6.2002 – 9 AZR 405/00, NZA 2003, 275; vgl. dazu auch BAG v. 27.5.1986 – 1 ABR 48/84, NZA 1986, 634; zur Frage der Praktikabilität vgl. Thüsing, Beschäftigtendatenschutz und Compliance, § 4 Rz. 19; vgl. dazu auch die Komm. zu Art. 88 DSGVO Rz. 8.

Stamer/Kuhnke/Kamlah

|

799

Benachrichtigung des Betroffenen | § 33 BDSG

falls zitierte § 75 Abs. 3 Nr. 17 BPersVG1. Mitbestimmungsrechte des Personalrates bei Fragebögen regeln §§ 75 Abs. 3 Nr. 8, 76 Abs. 2 Nr. 2 BPersVG. Für leitende Mitarbeiter kann der Sprecherausschuss Unterrichtungs- und Be- 165 ratungsansprüche, allerdings keine weitergehenden Mitbestimmungsrechte reklamieren2. Nach § 27 Abs. 2 SprAuG haben Arbeitgeber und Sprecherausschuss die freie Entfaltung der Persönlichkeit der leitenden Angestellten zu schützen und zu fördern. In kirchlichen Einrichtungen werden die Beschäftigten im Betrieb von Vertre- 166 tungen repräsentiert, die sich nach dem jeweiligen autonomen Mitarbeitervertretungsrecht bestimmen3. Gewerkschaften sind keine Interessenvertretungen der Beschäftigten i.S.v. § 32 167 Abs. 3. Allerdings kann auch ein Tarifvertrag Rechtsgrundlage für eine Datenerhebung des Arbeitgebers sein4.

Zweiter Unterabschnitt Rechte des Betroffenen

§ 33 Benachrichtigung des Betroffenen (1) 1Werden erstmals personenbezogene Daten für eigene Zwecke ohne Kenntnis des Betroffenen gespeichert, ist der Betroffene von der Speicherung, der Art der Daten, der Zweckbestimmung der Erhebung, Verarbeitung oder Nutzung und der Identität der verantwortlichen Stelle zu benachrichtigen. 2Werden personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung ohne Kenntnis des Betroffenen gespeichert, ist der Betroffene von der erstmaligen Übermittlung und der Art der übermittelten Daten zu benachrichtigen. 3Der Betroffene ist in den Fällen der Sätze 1 und 2 auch über die Kategorien von Empfängern zu unterrichten, soweit er nach den Umständen des Einzelfalles nicht mit der Übermittlung an diese rechnen muss. 1 Däubler, Gläserne Belegschaften?, Rz. 314. 2 Simitis/Seifert, § 32 BDSG Rz. 179; zu Informationsrechten des Sprecherausschusses in Bezug auf Personaldaten leitender Angestellter vgl. Kort, NZA-RR 2015, 113. 3 BVerfG v. 11.10.1977 – 2 BvR 209/76, NJW 1978, 581; vgl. dazu auch Simitis/Seifert, § 32 BDSG Rz. 181. 4 BAG v. 25.6.2002 – 9 AZR 405/00, NZA 2003, 275; vgl. dazu auch BAG v. 27.5.1986 – 1 ABR 48/84, NZA 1986, 634; zur Frage der Praktikabilität vgl. Thüsing, Beschäftigtendatenschutz und Compliance, § 4 Rz. 19; vgl. dazu auch die Komm. zu Art. 88 DSGVO Rz. 8.

Stamer/Kuhnke/Kamlah

|

799

§ 33 BDSG | Datenverarbeitung nicht-öffentlicher Stellen (2) 1Eine Pflicht zur Benachrichtigung besteht nicht, wenn 1. der Betroffene auf andere Weise Kenntnis von der Speicherung oder der Übermittlung erlangt hat, 2. die Daten nur deshalb gespeichert sind, weil sie aufgrund gesetzlicher, satzungsmäßiger oder vertraglicher Aufbewahrungsvorschriften nicht gelöscht werden dürfen oder ausschließlich der Datensicherung oder der Datenschutzkontrolle dienen und eine Benachrichtigung einen unverhältnismäßigen Aufwand erfordern würde, 3. die Daten nach einer Rechtsvorschrift oder ihrem Wesen nach, namentlich wegen des überwiegenden rechtlichen Interesses eines Dritten, geheimgehalten werden müssen, 4. die Speicherung oder Übermittlung durch Gesetz ausdrücklich vorgesehen ist, 5. die Speicherung oder Übermittlung für Zwecke der wissenschaftlichen Forschung erforderlich ist und eine Benachrichtigung einen unverhältnismäßigen Aufwand erfordern würde, 6. die zuständige öffentliche Stelle gegenüber der verantwortlichen Stelle festgestellt hat, dass das Bekanntwerden der Daten die öffentliche Sicherheit oder Ordnung gefährden oder sonst dem Wohle des Bundes oder eines Landes Nachteile bereiten würde, 7. die Daten für eigene Zwecke gespeichert sind und a) aus allgemein zugänglichen Quellen entnommen sind und eine Benachrichtigung wegen der Vielzahl der betroffenen Fälle unverhältnismäßig ist, oder b) die Benachrichtigung die Geschäftszwecke der verantwortlichen Stelle erheblich gefährden würde, es sei denn, dass das Interesse an der Benachrichtigung die Gefährdung überwiegt, 8. die Daten geschäftsmäßig zum Zweck der Übermittlung gespeichert sind und a) aus allgemein zugänglichen Quellen entnommen sind, soweit sie sich auf diejenigen Personen beziehen, die diese Daten veröffentlicht haben, oder b) es sich um listenmäßig oder sonst zusammengefasste Daten handelt (§ 29 Absatz 2 Satz 2) und eine Benachrichtigung wegen der Vielzahl der betroffenen Fälle unverhältnismäßig ist, 9. aus allgemein zugänglichen Quellen entnommene Daten geschäftsmäßig für Zwecke der Markt- oder Meinungsforschung gespeichert sind und eine Benachrichtigung wegen der Vielzahl der betroffenen Fälle unverhältnismäßig ist. 2Die verantwortliche Stelle legt schriftlich fest, unter welchen Voraussetzungen von einer Benachrichtigung nach Satz 1 Nr. 2 bis 7 abgesehen wird. 800

|

Kamlah

Benachrichtigung des Betroffenen | § 33 BDSG I. Einführung . . . . . . . . . . . . . . . II. Anwendungsbereich . . . . . . . . 1. Benachrichtigung bei Speicherung zu eigenen Zwecken (Abs. 1 Satz 1 und 3) . . 2. Benachrichtigung bei Speicherung zum Zwecke der Übermittlung (Abs. 1 Satz 2 und 3) . . III. Ausnahmen von der Pflicht zur Benachrichtigung (Abs. 2) . . . . 1. Kenntnis auf sonstige Weise (Abs. 2 Nr. 1) . . . . . . . . . . . . . . a) Direkterhebung (§ 4 Abs. 3) b) Einwilligung . . . . . . . . . . . . c) Sonstige Unterrichtungspflichten . . . . . . . . . . . . . . . d) Sonstige Kenntnisnahme . . . 2. Aufbewahrungspflichten und Datenschutzkontrolle (Abs. 2 Nr. 2)

1 4 5 19 22 23 24 26 27 28

3. Geheime Daten (Abs. 2 Nr. 3) . . 4. Gesetzlich angeordnete Datenverarbeitung (Abs. 2 Nr. 4) . . . . 5. Datenverarbeitung zum Zwecke der wissenschaftlichen Forschung (Abs. 2 Nr. 5) . . . . . . . . . . . . . . 6. Gefährdung der Sicherheit und Ordnung (Abs. 2 Nr. 6) . . . . . . . 7. Öffentliche Daten (Abs. 2 Nr. 7a, 8a und 9) . . . . . . . . . . . . . . . . . 8. Gefährdung eigener Geschäftszwecke (Abs. 2 Nr. 7b) . . . . . . . 9. Listendaten (Abs. 2 Nr. 8b) . . . . IV. Dokumentation der zugrunde gelegten Ausnahme . . . . . . . . . V. Rechtsfolgen/Sanktionen . . . . .

37 41 42 44 46 52 53 55 58

32

Schrifttum: Siehe §§ 6a, 28a und § 34 BDSG; ferner Göpfert/Meyer, Datenschutz bei Unternehmenskauf: Due Dilligence und Betriebsübergang, NZA 2011, 486; Selk, Datenschutz bei Unternehmenstransaktionen – Ein Überblick über Rechtslage und Diskussionsstand sowie Auswirkungen der BDSG-Novelle II, RDV 2009, 254.

I. Einführung § 33 regelt die Pflicht zur Benachrichtigung, wenn personenbezogene Daten 1 ohne Kenntnis des Betroffenen gespeichert werden. Ob die Speicherung an sich rechtmäßig ist, ergibt sich aus den einschlägigen Zulässigkeitsnormen. Die Benachrichtigung ist aber keine Zulässigkeitsvoraussetzung. Die Datenverarbeitung ohne Kenntnis des Betroffenen wird vor allem im Bereich der Tätigkeit von Detekteien oder Sicherheitsdiensten relevant1. Neben § 34 ist § 33 die zentrale Transparenzvorschrift, die den Betroffenen in die Lage versetzen soll, über die Information der erfolgten Datenverarbeitung ggf. weitergehende Rechte geltend machen zu können. Wie bei § 34 wohnt auch dem § 33 die Überlegung inne, dass die Wahrung von Rechten erst dann gegeben ist, wenn der Betroffene vorher in die Lage versetzt wird, ausreichend Kenntnis über die Datenverarbeitung zu erlangen2. 1 Zur Diskussion im Bereich des Arbeitnehmerdatenschutzes, s. Entwurf eines Gesetzes zum Beschäftigtendatenschutz, BT-Drucks. 17/4230. 2 Zum grundsätzlichen Unterschied zwischen § 33 und § 34 Simitis/Dix, § 33 BDSG Rz. 3 und § 34 BDSG Rz. 6.

Kamlah

|

801

§ 33 BDSG | Datenverarbeitung nicht-öffentlicher Stellen 2 Die Anordnung der §§ 33–35 hat dabei eine innere Logik. Erfolgt die Datenver-

arbeitung ohne Kenntnis des Betroffenen, ist er zu benachrichtigen. Er ist dann erst überhaupt in der Lage, gezielt bei der verantwortlichen Stelle Auskunft nach § 34 zu verlangen1. Ohne Kenntnis der verantwortlichen Stelle über § 33 müsste der Betroffene Auskunftsersuchen quasi „ins Blaue hinein“ richten. In Kenntnis der bei der verantwortlichen Stelle gespeicherten Daten kann der Betroffene dann seine Rechte nach § 35 geltend machen. Bereits aus dem Wortlaut der §§ 33 und 34 ergibt sich, dass die verantwortliche Stelle eine unterschiedliche Transparenztiefe zu leisten hat. Die Vorschriften der §§ 33–35 stehen damit in einem Stufenverhältnis2. Wesentliche Aufgabe des § 33 ist es, allgemein darüber zu informieren, dass und bei wem Daten verarbeitet oder genutzt werden. Der Betroffene kann sich dann – bei Interesse – gezielt an die verantwortliche Stelle wenden. Nach § 34 hat dann der Betroffene die Möglichkeit, detailliert Auskunft zu erhalten, um mit Hilfe dieser Informationen, insbesondere seine Rechte aus § 35 geltend zu machen. § 33 und § 34 haben damit abgestufte Funktionen, weswegen die Anforderungen an den Inhalt der gesetzlichen Benachrichtigung nach § 33 nicht überspannt und die Anforderungen nach § 34 nicht in § 33 hineingelesen werden dürfen.

3 Damit ist § 33 also die Einstiegsnorm der Verfahrensrechte3, die die nötige

Transparenz zugunsten des Betroffenen herstellt. Die Schaffung dieser Transparenz ist allerdings dann nicht mehr erforderlich, wenn diese bereits auf andere Weise hergestellt worden ist (s. § 33 Abs. 2). Damit soll insbesondere vermieden werden, dass die Betroffenen wiederholt über Selbstverständlichkeiten informiert werden.

II. Anwendungsbereich 4 Der Anwendungsbereich bestimmt sich nach § 1 Abs. 3 (s. dort) und nach § 27

(s. dort, s.a. § 28a)4. Umstritten ist die Anwendung des § 33 bei Bewertungsportalen5.

§ 33 formuliert in Abs. 1 zwei Anwendungsfälle, die eine Benachrichtigungspflicht auslösen. Dabei spielt zunächst allein die Verarbeitungsvariante der Speicherung tatbestandlich eine Rolle. Abs. 1 Satz 2 enthält eine Sonderregelung für Stellen, die geschäftsmäßig Daten zum Zwecke der Übermittlung speichern 1 2 3 4

Simitis/Dix, § 34 BDSG Rz. 3. Simitis/Dix, § 33 BDSG Rz. 44 spricht von Vorstufe des Auskunftsrechts. Eingehend Simitis/Dix, § 34 BDSG Rz. 1 ff. Für eine ausnahmslose Anwendung des dritten Abschnitts des BDSG bei der Verarbeitung von Daten in Akten Simitis/Dix, § 33 BDSG Rz. 6. 5 Zur Anwendbarkeit von § 33 bei Bewertungsportalen Anmerkung Rössel zu OLG Hamburg v. 2.8.2011 – 7 U 134/10, ITRB 2011, 276; zur völligen Unanwendbarkeit der Benachrichtigungspflicht bei Bewertungsportalen Härting, CR 2009, 21 (26 f.).

802

|

Kamlah

Benachrichtigung des Betroffenen | § 33 BDSG

(vgl. § 29 Abs. 1). Dementsprechend gilt Abs. 1 Satz 1 für die Speicherung zur Erfüllung eigener Geschäftszwecke. Beide Sätze des Abs. 1 beschreiben einen tatbestandlichen Teil und eine daran anknüpfende Rechtsfolge. 1. Benachrichtigung bei Speicherung zu eigenen Zwecken (Abs. 1 Satz 1 und 3) Tatbestandlich setzt Abs. 1 Satz 1 voraus, dass erstmals personenbezogene Daten für eigene Zwecke (s. § 28 oder auch § 32) ohne Kenntnis des Betroffenen (§ 3 Abs. 1) gespeichert werden. Der Begriff der Speicherung wird in § 3 Abs. 4 Nr. 1 definiert. Wesentliches Tatbestandsmerkmal ist, dass die Speicherung ohne Kenntnis des Betroffenen erfolgt sein muss. Daher besteht konsequenterweise keine Pflicht zur gesetzlichen Benachrichtigung, wenn der Betroffene auf andere Weise Kenntnis von der Speicherung oder Übermittlung erlangt hat (s. Abs. 2). Bei der Speicherung, die eine Benachrichtigungspflicht auslöst, muss es sich um eine erstmalige Speicherung personenbezogener Daten handeln. Dabei kommt es nicht darauf an, um welche Art von personenbezogenen Daten es sich handelt, die erstmalig gespeichert wurden, sondern nur darum, dass die erstmalige Speicherung personenbezogener Daten überhaupt erfolgt. Es kommt auch nicht darauf an, ob später weitere – ggf. andere – personenbezogene Daten gespeichert werden. Lediglich die initiale Speicherung durch die verantwortliche Stelle löst die Benachrichtigungspflicht aus. Dies ist auch sinnvoll, denn mit der gesetzlichen Benachrichtigung wird der Betroffene über die verantwortliche Stelle informiert und kann dort Auskunftsersuchen nach § 34 stellen1. Praktisch relevant kann die Frage der Verpflichtung der verantwortlichen Stelle zur Benachrichtigung bei erstmaliger Speicherung insbesondere im Rahmen von M&A-Transaktionen werden. Hier wird man zwischen Gesamtrechts- und Einzelrechtsnachfolge unterscheiden müssen. Bei der Gesamtrechtsnachfolge ändert sich die rechtliche Identität der verantwortlichen Stelle nicht, so dass zumindest dort keine (neue) Benachrichtigungspflicht ausgelöst wird2. Bei der Einzelrechtsnachfolge handelt es sich auf Seiten des Übernehmers um eine erstmalige Speicherung, über die informiert werden muss (zur Frage der Rechtmäßigkeit einer solchen Übermittlung s. § 28). 1 Ähnlich Taeger/Gabel/Meents, § 33 BDSG Rz. 9; a.A. Simitis/Dix, § 33 BDSG Rz. 10 ff., der eine Verpflichtung zur Benachrichtigung jedes Mal dann annimmt, wenn nachträglich Daten anderer Art gespeichert werden, so auch Däubler/Klebe/Wedde/Weichert/ Däubler, § 33 BDSG Rz. 8; differenzierend Gola/Schomerus, § 33 BDSG Rz. 16. 2 Ähnlich Taeger/Gabel/Meents, § 33 BDSG Rz. 10; Gola/Schomerus, § 33 BDSG Rz. 13; a.A. Simitis/Dix, § 33 BDSG Rz. 10 und 28; Däubler/Klebe/Wedde/Weichert/Däubler, § 33 BDSG Rz. 9; allgemein zu datenschutzrechtlichen Fragen bei M&A-Transaktionen; Selk, Datenschutz bei Unternehmenstransaktionen, RDV 2009, 254; Göpfert/Meyer, Datenschutz bei Unternehmenskauf: Due Dilligence und Betriebsübergang, NZA 2011, 486.

Kamlah

|

803

5

6

7

8

§ 33 BDSG | Datenverarbeitung nicht-öffentlicher Stellen 9 Anders als es der Wortlaut der Vorschrift nahezulegen scheint, wird die Benach-

richtigungspflicht erst ausgelöst, wenn die Speicherung1 bereits erfolgt ist. Über eine etwa auch nur kurz bevorstehende Speicherung muss (noch) nicht benachrichtigt werden. Die Informationspflicht dient nicht dazu, den Betroffenen vor einer künftigen Speicherung zu warnen.

10 Als Rechtsfolge bestimmt Abs. 1 Satz 1, dass der Betroffene2 von der Speiche-

rung selbst, der Art der Daten, der Zweckbestimmung der Erhebung, Verarbeitung oder Nutzung und der Identität der verantwortlichen Stelle zu benachrichtigen ist. Das Gesetz schreibt keine Frist oder Form vor. Die Benachrichtigung kann daher in Form eines Briefes, der nicht unterschrieben sein muss, per EMail oder aber auch per SMS erfolgen. Allerdings erscheint wegen der Anlage zu § 9 Satz 1 Nr. 4 eine postalische Benachrichtigung geboten zu sein3, wobei potentielle Beeinträchtigungen in der Sphäre des Betroffenen, die etwa durch die Absenderangabe (etwa eines Inkassounternehmens oder einer Auskunftei) auf dem Briefumschlag entstehen könnten, hinzunehmen sind4.

11 Darüber hinaus stellt sich die Frage, ob eine gesetzliche Benachrichtigung in All-

gemeinen Geschäftsbedingungen (AGB) erfolgen kann. Anders als die Anforderungen an eine wirksame Einwilligung (§ 4a) setzen die Benachrichtigungspflichten keine Hervorhebung voraus. Insofern ist davon auszugehen, dass eine Benachrichtigung im Rahmen von AGB, die bspw. mit einem Versandhandelskatalog zugesendet werden, ausreichend ist. In der Praxis werden „Datenschutzinformationen“ jedoch in der Regel gesondert ausgewiesen, was aus Transparenzgesichtspunkten auch sinnvoll erscheint.

12 Hinsichtlich der Frist wird der verantwortlichen Stelle ähnlich wie beim Aus-

kunftsrecht nach § 34 eine Bearbeitungszeit zuzubilligen sein (s. dort § 34). Allerdings darf durch eine Verzögerung keine Verkürzung der Rechte des Betroffenen entstehen, bspw. weil zwischenzeitlich stattfindende Verarbeitungsvorgänge nicht mehr nachvollzogen werden können. Damit verkürzt sich nach dem Sinn und Zweck der Norm die Bearbeitungszeit je nach Intensität der Verarbeitungstätigkeit der verantwortlichen Stelle5.

1 Unerheblich ist, ob die Speicherung „zur Person“ erfolgt, so auch Simitis/Dix, § 33 BDSG Rz. 14 und 60. 2 Daraus, dass der Betroffene konkret angesprochen werden soll, ergibt sich, dass es bspw. nicht ausreicht, wenn ein Hinweis in Verbandsmitteilungen erfolgt, vgl. AG Bremerhaven v. 16.10.1986 – 20 OWi 95 Js (B) 93/84, RDV 1987, 91; Däubler/Klebe/Wedde/Weichert/Däubler, § 33 BDSG Rz. 17, der dementsprechend auch Aushänge nicht für ausreichend hält. 3 Vgl. Simitis/Dix, § 33 BDSG Rz. 35. 4 Zur telefonischen Benachrichtigung Gierschmann/Saeugling/Heinemann, § 33 BDSG Rz. 50 ff. 5 Ausführlich Taeger/Gabel/Meents, § 33 BDSG Rz. 19 ff.

804

|

Kamlah

Benachrichtigung des Betroffenen | § 33 BDSG

Sowohl als technisch-organisatorische Maßnahme (s. soeben) wie aber auch aus 13 zivilprozessualen Gründen sollte die verantwortliche Stelle über eine erfolgte Benachrichtigung Nachweis (auch ggü. der Datenschutzaufsichtsbehörde, § 38) führen können (s.a. Abs. 2 Satz 2). Das führt zu der Frage, worüber eigentlich im Zweifel (s. § 43 Abs. 1 Nr. 8) Nachweis zu führen ist. Praktisch relevant wird das bei Postrückläufern. Eine Verpflichtung der verantwortlichen Stelle die aktuelle Anschrift des Betroffenen zum Zwecke der Benachrichtigung zu ermitteln, ist dem Gesetz nicht zu entnehmen1. Die verantwortliche Stelle hat vielmehr ihrer gesetzlichen Verpflichtung damit Genüge getan, wenn sie die Benachrichtigung an die Adresse versandt hat, die sie gespeichert hat2. Aus der Formulierung „Art der Daten“ lässt sich schließen, dass nicht über das 14 personenbezogene Datum, welches Gegenstand der erstmaligen Speicherung war im Einzelnen zu benachrichtigen ist, sondern nur über die Art der Daten. Damit ist eine gewisse Abstraktion und Verallgemeinerung möglich3. So kann es ausreichend sein, wenn bei erstmaliger Speicherung bspw. von Adresse, Beruf, Geburtsdatum, finanziellen Verpflichtungen, Immobilien, Vermögensdaten oder ähnlichem gesprochen wird4 (zum Begriff „Datenart“ s.a. § 34). Entscheidend i.S.d. Vorschrift ist vielmehr, dass die Identität der verantwort- 15 lichen Stelle genau bezeichnet wird. Hier sind die korrekte und vollständige Firmierung, eine (ladungsfähige) Anschrift am Sitz der verantwortlichen Stelle5 sowie idealerweise ggf. ein Ansprechpartner zu benennen. Das muss nicht notwendigerweise das Organ der verantwortlichen Stelle sein. Es kann auch der betriebliche Datenschutzbeauftragte genannt werden. Die Bekanntgabe der verantwortlichen Stelle ist Voraussetzung zur Geltendmachung weiterer Rechte, insbesondere das des § 34. Ferner ist über die Zweckbestimmung der Erhebung, Verarbeitung und Nut- 16 zung zu benachrichtigen. Nur vor dem Hintergrund der angegebenen Zwecke ist der Betroffene in der Lage, die Rechtmäßigkeit der Speicherung zu beurteilen. Nach Erhalt einer Auskunft nach § 34 kann er dann im Rahmen von § 35 die Löschung rechtswidrig gespeicherter Daten erreichen. Dementsprechend sind die Zwecke im Rahmen der gesetzlichen Benachrichtigung so zu beschreiben, dass der Betroffene sich darüber ein ausreichendes Bild machen kann6. Auf den 1 A.A. offenbar Däubler in Däubler/Klebe/Wedde/Weichert/Däubler, § 33 BDSG Rz. 14, undeutlich insoweit auch Simitis/Dix, § 33 BDSG Rz. 21 f. 2 A.A. offenbar Simitis/Dix, § 33 BDSG Rz. 37, der auf den Zugang nach § 130 BGB abstellt. 3 Vgl. Taeger/Gabel/Meents, § 33 BDSG Rz. 14. 4 7. Bericht der hessischen Landesregierung über die Tätigkeit der für den Datenschutz zuständigen Aufsichtsbehörden im nicht-öffentlichen Bereich, LT-Drucks. 13/6385, 8; dagegen weitergehend Simitis/Dix, § 33 BDSG Rz. 16. 5 So auch Simitis/Dix, § 33 BDSG Rz. 18. 6 Vgl. Simitis/Dix, § 33 BDSG Rz. 17.

Kamlah

|

805

§ 33 BDSG | Datenverarbeitung nicht-öffentlicher Stellen im Rahmen von § 4 Abs. 3 Nr. 2 anzulegenden Maßstab kann auch hier zurückgegriffen werden. 17 Nach Abs. 1 Satz 3 ist der Betroffene auch über die Kategorien von Empfän-

gern zu unterrichten, soweit er nach den Umständen des Einzelfalles nicht mit der Übermittlung an diese rechnen muss. Der Begriff des Empfängers bestimmt sich in § 3 Abs. 8 Satz 1 (s. dort, insbesondere zur Abgrenzung zum „Dritten“, zum Begriff der Kategorien von Empfängern s. auch § 34). Die Unterrichtungspflicht steht (nur) hinsichtlich der Kategorien von Empfängern unter dem Vorbehalt, dass der Betroffene nach den Umständen des Einzelfalles nicht mit der Übermittlung an diese rechnen muss. Aber auch, wenn die Zwecke genau beschrieben sind (z.B. Zwecke der Werbung oder der Marktforschung), sind für den Betroffenen die Kategorien der Empfänger nicht ohne Weiteres erkennbar, so dass im Grunde stets solche Umstände vorliegen, bei denen der Betroffene nicht erkennen kann, an wen seine Daten übermittelt werden. Teilweise wird deshalb gefordert, dass die Benachrichtigung zumindest eine branchenbezogene Nennung der Kategorien von Empfängern enthalten müsse1.

18 Umstritten ist, ob auch über Auftragnehmer nach § 11 als Empfängerkategorie

zu benachrichtigen ist. Nach dem Wortlaut wäre dies anzunehmen, da § 3 Abs. 8 zwischen Empfängern und Dritten unterscheidet und nur der Begriff des Dritten Auftragsdatenverarbeiter (innerhalb des Europäischen Wirtschaftsraums) ausnimmt. Da aber insbesondere auch der Betroffene selbst unter den Begriff der Empfänger fällt, erscheint eine einschränkende Auslegung angezeigt. Im Falle der Auftragsdatenverarbeitung ist der Betroffene über die Regelungen des § 11 ausreichend geschützt. Außerdem knüpft auch § 33 Abs. 1 Satz 2 erst an eine Übermittlung – also eine Weitergabe an Dritte, § 3 Abs. 4 Nr. 3 – an, so dass sich eine unterschiedliche Behandlung verbietet2. 2. Benachrichtigung bei Speicherung zum Zwecke der Übermittlung (Abs. 1 Satz 2 und 3)

19 Abs. 1 Satz 2 enthält eine Sondervorschrift für geschäftsmäßige Datenver-

arbeiter nach § 29. Erfolgt danach die Speicherung geschäftsmäßig und nicht für eigene Zwecke, sondern zum Zwecke der Übermittlung ohne Kenntnis des Betroffenen, ist der Betroffene – anders als nach Satz 1 – erst von der erstmaligen Übermittlung und der Art der übermittelten Daten zu benachrichtigen. Das Gesetz geht damit davon aus, dass bei der geschäftsmäßigen Datenverarbeitung zum Zwecke der Übermittlung das Informationsbedürfnis des Betroffenen 1 Vgl. hier auch die Brancheneinteilung aus dem 19. TB der hess. Landesregierung zur Datenschutzaufsicht im nicht-öffentlichen Bereich, LT-Drucks. 16/5892, 18, s. hierzu Gola/ Schomerus, § 34 BDSG Rz. 16b. 2 A.A. Simitis/Dix, § 33 BDSG Rz. 33.

806

|

Kamlah

Benachrichtigung des Betroffenen | § 33 BDSG

erst entsteht, wenn die Übermittlung auch tatsächlich erfolgt ist. Dementsprechend ist es denkbar, dass bei einem geschäftsmäßigen Datenverarbeiter personenbezogene Daten unter Umständen in umfangreichem Maße gespeichert werden, ohne dass der Betroffene hiervon Kenntnis erhält. Solange jedoch der geschäftsmäßige Datenverarbeiter keinen Übermittlungsvorgang vornimmt, entsteht kein besonderes Schutzinteresse der Betroffenen. Erst mit der erstmaligen Übermittlung entsteht die besondere Interessenlage, die eine Benachrichtigungspflicht rechtfertigt1. Da es bei der geschäftsmäßigen Speicherung zum Zwecke der Übermittlung gerade der Sinn und Zweck ist, die gespeicherten personenbezogenen Daten zu übermitteln, besteht in der Praxis häufig keine zeitliche Differenz zwischen der erstmaligen Speicherung und der darauf folgenden Übermittlung. Die Benachrichtigungspflicht wird erst ausgelöst, wenn die Übermittlung erst- 20 malig erfolgt ist. Dabei muss bei der Benachrichtigung nicht über alle (im Laufe der Zeit) gespeicherten Daten informiert werden, sondern (nur) über die Art der (erstmalig) übermittelten Daten. Es ist deshalb denkbar, dass bei dem geschäftsmäßigen Datenverarbeiter weitere personenbezogene Daten gespeichert sind als die, über die im Rahmen der erstmaligen Übermittlung zu benachrichtigen ist. Mit der initialen Information hat der Betroffene dann aber die Information über die verantwortliche Stelle und kann dann dort jederzeit sein Auskunftsrecht nach § 34 geltend machen. Auffällig bei Abs. 1 Satz 2 ist, dass im Gegensatz zu Satz 1 die Nennung der 21 Identität der verantwortlichen Stelle als Gegenstand der Benachrichtigung fehlt. Aus dem Sinn und Zweck der Norm, nämlich quasi als verfahrensrechtliche „Einstiegsnorm“ zur Herstellung der Transparenz zum Zwecke der Geltendmachung weiterer Rechte, wird man in Abs. 1 Satz 2 aber hineinlesen müssen, dass auch über die Identität der verantwortlichen Stelle, hier also des geschäftsmäßigen Datenverarbeiters, ebenfalls zu benachrichtigen ist2. Nur so lässt sich das Minus rechtfertigen, wonach der Betroffene nicht sogleich über alle erstmalig übermittelten personenbezogenen Daten im Detail und unter Umständen nicht einmal über die Kategorien von Empfängern zu benachrichtigen ist. Erst bei Kenntnis der verantwortlichen Stelle ist der Betroffene in die Lage versetzt, ggf. dieser ggü. Ansprüche nach § 34 zu erheben, um dann detailliertere Auskunft zu erhalten. Im Übrigen kann auf die Kommentierung zu Satz 1 und 3 verwiesen werden. In Fällen, in denen Daten für eigene wie auch zum Zwecke der Übermittlung gespeichert sind, sollte eine Benachrichtigung nach Satz 1 erfolgen.

1 A.A. Simitis/Dix, § 33 BDSG Rz. 24 ff. 2 So auch Simitis/Dix, § 33 BDSG Rz. 30.

Kamlah

|

807

§ 33 BDSG | Datenverarbeitung nicht-öffentlicher Stellen III. Ausnahmen von der Pflicht zur Benachrichtigung (Abs. 2) 22 Abs. 2 bestimmt zahlreiche Ausnahmen von der Pflicht zur Benachrichtigung.

Teilweise wird daher die Wirksamkeit der Funktion der gesetzlichen Benachrichtigung in Zweifel gezogen1. Bei den Ausnahmen wird in den Nr. 1–6 nicht danach differenziert, ob die Speicherung zu eigenen Zwecken oder zum Zwecke der Übermittlung erfolgt. 1. Kenntnis auf sonstige Weise (Abs. 2 Nr. 1)

23 Die Benachrichtigungspflicht setzt tatbestandlich voraus, dass die Speicherung

ohne Kenntnis des Betroffenen erfolgt. Konsequent bestimmt Abs. 2 Nr. 1 daher, dass eine Pflicht zur Benachrichtigung dann nicht besteht, wenn der Betroffene auf andere Weise Kenntnis von der Speicherung oder der Übermittlung erlangt hat. Das ist in zahlreichen Fällen denkbar. Nicht erforderlich ist dabei, dass sich der Betroffene der Kenntnisnahme noch bewusst ist2. a) Direkterhebung (§ 4 Abs. 3)

24 Nach § 4 Abs. 2 Satz 1 gilt der Direkterhebungsgrundsatz, wonach personenbe-

zogene Daten grundsätzlich beim Betroffenen zu erheben sind. Nach § 4 Abs. 3 bestehen Unterrichtungspflichten3, die der Benachrichtigungspflicht aus § 33 sehr ähneln. Wenn also der Betroffene im Rahmen der Direkterhebung nach § 4 Abs. 3 unterrichtet worden ist oder sogar das nicht erforderlich war, weil der Betroffene im Rahmen der Direkterhebung Kenntnis auf andere Weise erlangt hat (s. § 4 Abs. 3 Satz 1 Halbs. 3), ist (auch) der Ausnahmetatbestand des § 33 Abs. 2 Satz 1 Nr. 1 gegeben4.

25 Durch die durch das BDSG 2001 in das Gesetz aufgenommene Vorschrift des

§ 4 Abs. 3 ist der Mechanismus der nachträglichen Benachrichtigung des BDSG 1977 quasi auf die Erhebungsphase vorverlegt worden5.

b) Einwilligung 26 Ferner ist die Datenverarbeitung nach § 4a (s. aber auch § 28 Abs. 3 i.V.m. § 28

Abs. 3a oder § 7 Abs. 2 und 3 UWG) auf Basis einer erteilten Einwilligung zulässig6. Zu den Wirksamkeitsvoraussetzungen einer Einwilligung gehört aber auch, Für eine enge Auslegung der Ausnahmetatbestände daher Simitis/Dix, § 33 BDSG Rz. 45. A.A. Simitis/Dix, § 33 BDSG Rz. 53. Neu eingeführt durch das BDSG 2001, BGBl. I, S. 904. So auch Simitis/Dix, § 33 BDSG Rz. 15; Däubler/Klebe/Wedde/Weichert/Däubler, § 33 BDSG Rz. 7. 5 Entgegen Simitis/Dix, § 33 BDSG Rz. 43 ist nicht „anerkannt“, dass es sich bei § 4 Abs. 3 um eine Zulässigkeitsvorschrift handelt, s. hierzu § 4. 6 S. Simitis/Dix, § 33 BDSG Rz. 54, Fn. 109 und Rz. 57. 1 2 3 4

808

|

Kamlah

Benachrichtigung des Betroffenen | § 33 BDSG

dass der Betroffene die Reichweite der erteilten Einwilligung erkennen kann (sog. informierte Einwilligung, Einzelheiten s. § 4a). Genügt eine Einwilligung diesen Anforderungen, enthält die Einwilligung aber in aller Regel die Bestandteile des § 4 Abs. 31, womit wiederum eine Kenntnisnahme auf andere Weise i.S.d. § 33 Abs. 2 Satz 2 Nr. 1 gegeben ist2. c) Sonstige Unterrichtungspflichten Darüber hinaus enthält das BDSG zahlreiche Transparenzvorschriften, die – bei 27 entsprechender Gestaltung – dazu führen können, dass der Ausnahmetatbestand des Abs. 2 Satz 1 Nr. 1 greift. So ist nach § 6b Abs. 2 implizit (s. aber § 6b Abs. 4) und nach § 28 Abs. 4 Satz 2 explizit über die verantwortliche Stelle zu unterrichten. Auch § 28a Abs. 1 Nr. 4 und 5 sowie Abs. 2 enthalten Unterrichtungspflichten. Je nach Gestaltung im Einzelfall kann durch die genannten Unterrichtungspflichten die Pflicht zur Benachrichtigung entfallen. d) Sonstige Kenntnisnahme Schließlich kann sich eine Kenntnis über die Speicherung oder die Übermittlung 28 auf andere Weise aus den unterschiedlichsten Gründen ergeben. Denkbar wären hier Fälle, in denen die verantwortliche Stelle freiwillige Transparenz leistet (um damit auch etwa der Pflicht zur gesetzlichen Benachrichtigung vorzubeugen). Aber auch aus besonderen und offensichtlichen Umständen kann sich eine 29 Kenntnis ergeben. So kann sich unter Umständen schon aus verbraucherrechtlich vorgeschriebenen Hinweis- und Unterrichtungstexten eine solche Kenntnis ergeben. Zu beachten ist dabei jedoch, dass – wollte man damit auch gleichzeitig die Funktion des § 33 erfüllen – die entsprechenden Inhalte mit erfasst werden müssten. Daneben kann von einer Kenntnis ausgegangen werden, wenn der Betroffene – bspw. nach einem Werbewiderspruch – eine Speicherung bspw. selbst verlangt. Eine „Verarbeitungsquittung“ in Form einer gesetzlichen Benachrichtigung entspricht nicht dem Sinn und Zweck der Norm3. Demgegenüber ist bei einer Videoüberwachung nach § 6b trotz § 6b Abs. 2 nach § 33 zu benachrichtigen, wenn die durch die Videoüberwachung erhobenen Daten einer bestimmten Person zugeordnet werden, § 6b Abs. 4. Ganz allgemein kann sich im Vorfeld einer Vertragsbeziehung – unbeschadet 30 des § 4 Abs. 3 – eine entsprechende Kenntnis des Betroffenen ergeben. Dies gilt insbesondere dann, wenn umfangreiche Eigenangaben von den Betroffenen erfragt und erhoben werden (z.B. im Rahmen von Selbstauskünften bei Kredit1 Bei einer unwirksamen Einwilligung bleibt aber die Erfüllung der Voraussetzungen des § 33 gleichwohl denkbar. 2 Däubler/Klebe/Wedde/Weichert/Däubler, § 33 BDSG Rz. 7. 3 A.A. offenbar Simitis/Dix, § 33 BDSG Rz. 17.

Kamlah

|

809

§ 33 BDSG | Datenverarbeitung nicht-öffentlicher Stellen instituten, Versicherungen oder Vermietern). Zu beachten ist allerdings, dass die verantwortliche Stelle dann nach § 4 Abs. 3 über die Empfängerkategorien zu unterrichten hat. Dementsprechend haben diejenigen Betroffenen keine Kenntnis, deren Daten der verantwortlichen Stelle von Dritten übermittelt wurden (z.B. Angaben des Geschädigten ggü. seiner Versicherung über den Schädiger). 31 Schließlich kann der Betroffene schon aufgrund einer Auskunft nach § 34

Kenntnis erhalten haben. Eine nur vermutete Kenntnis dagegen reicht nicht aus1. Allerdings ist eine Benachrichtigung dann entbehrlich, wenn die relevanten Informationen als allgemein bekannt vorausgesetzt werden können. Sinn und Zweck der Norm ist es nicht, die Betroffenen über Selbstverständlichkeiten zu informieren oder sie gar damit zu belästigen. 2. Aufbewahrungspflichten und Datenschutzkontrolle (Abs. 2 Nr. 2)

32 Nr. 2 enthält zwei Ausnahmetatbestände. Nach der ersten Variante hat eine Be-

nachrichtigung nicht zu erfolgen, wenn die Daten nur deshalb gespeichert sind, weil sie aufgrund gesetzlicher, satzungsmäßiger oder vertraglicher Aufbewahrungspflichten nicht gelöscht werden dürfen (s. auch § 35 Abs. 3 Nr. 1). Gesetzliche Aufbewahrungspflichten können sich aus dem Handels- oder Steuerrecht ergeben; satzungsmäßige Aufbewahrungspflichten aus Mitgliedschaftsrechten, insbesondere auf gesellschaftsrechtlicher Basis. Daneben können sich Aufbewahrungsfristen aus Vertragspflichten ergeben, wobei dann möglicherweise auch eine Kenntnis nach Nr. 1 vorliegt. Maßgeblich ist die entsprechende Verpflichtung zur Speicherung, nicht bloß die Befugnis dazu2.

33 Nach der zweiten Variante hat eine Benachrichtigung nicht zu erfolgen, wenn

die gespeicherten Daten ausschließlich der Datensicherung oder der Datenschutzkontrolle dienen3.

34 Hintergrund für beide Ausnahmen ist, dass die gespeicherten Daten bei Vorlie-

gen einer der Anwendungsfälle der Nr. 2 einer strengen Zweckbindung unterliegen, die eine darüber hinausgehende Verarbeitung und Nutzung der gespeicherten Daten ausschließt (s. auch § 31), weshalb dann auch die Benachrichtigungspflicht entfallen kann4. Das kommt insbesondere durch das Kriterium der Ausschließlichkeit der zweiten Fallvariante zum Ausdruck.

35 Auffällig ist, dass Nr. 2 nur von „Daten“ und nicht von „personenbezogenen

Daten“ spricht. Das ist aber vor dem Hintergrund des Begriffs „Art der Daten“

1 Däubler/Klebe/Wedde/Weichert/Däubler, § 33 BDSG Rz. 25. 2 Simitis/Dix, § 33 BDSG Rz. 66. 3 Was entgegen Simitis/Dix, § 33 BDSG Rz. 70 und Däubler/Klebe/Wedde/Weichert/ Däubler, § 33 BDSG Rz. 28 stets auch für Protokolldateien gelten dürfte. 4 Vgl. auch Gola/Schomerus, § 33 BDSG Rz. 32.

810

|

Kamlah

Benachrichtigung des Betroffenen | § 33 BDSG

konsequent, der eben nicht gleichzusetzen ist mit dem Begriff der personenbezogenen Daten. Allerdings ist die Befreiung von der Benachrichtigungspflicht nur dann gegeben, 36 wenn diese einen unverhältnismäßigen Aufwand erfordern würde, wovon in aller Regel ausgegangen werden kann1. Aufgrund der Tatsache, dass letztlich alle Daten zumindest zu Datenschutz- und Datensicherungszwecken aufzubewahren sind, wird der Aufwand, ohnehin in aller Regel unverhältnismäßig sein. Zudem dürfte der Betroffene möglicherweise schon im Rahmen der ursprünglichen Datenverarbeitung – nämlich bspw. im Rahmen eines Vertragsverhältnisses – Kenntnis erlangt haben, was schon die Ausnahme nach Nr. 1 greifen lässt2. 3. Geheime Daten (Abs. 2 Nr. 3) Nach Nr. 3 Var. 1 entfällt die Pflicht zur Benachrichtigung, wenn die Daten 37 nach einer Rechtsvorschrift geheim gehalten werden müssen. Solche, ein Offenbarungsverbot anordnende Rechtsvorschriften finden sich bspw. in § 43a Abs. 2 BRAO3 oder § 203 StGB aber auch § 258 StGB4. Mithin in den Fällen, in denen die verantwortliche Stelle den Tatbestand eines gesetzlich verbotenen Geheimnisverrats verwirklichen würde, entfällt die Benachrichtigungspflicht. Ob sich ein Offenbarungsverbot, welches die Pflicht zur Benachrichtigung entfallen lässt, bspw. auch aus einer vertraglichen Nebenpflicht oder einer gesondert abgeschlossenen Vertraulichkeitsvereinbarung ableiten lässt, erscheint zweifelhaft, da Nr. 3 ausdrücklich von einer Rechtsvorschrift spricht. Nach Nr. 3 Var. 2 besteht ferner keine Benachrichtigungspflicht, wenn die Da- 38 ten ihrem Wesen nach, namentlich wegen des überwiegenden rechtlichen Interesses eines Dritten, geheim gehalten werden müssen. Ein bloßes berechtigtes Interesse reicht nicht aus. An das rechtliche Interesse sind mithin hohe Anforderungen zu stellen, da das rechtliche Interesse gerade das Geheimhaltungsbedürfnis begründen muss. Eine durch die Benachrichtigung möglicherweise bloße Verschlechterung der Rechtsposition des Dritten genügt daher nicht. Geschützt wird ferner durch die 2. Variante in Nr. 3 nicht der Betroffene, sondern der Dritte (s. § 3 Abs. 8 Satz 2). Es muss sich also um geheimhaltungsbedürftige Tatsachen zum Schutze des Dritten handeln, von denen der Betroffene nichts erfahren darf. Damit impliziert diese Variante einen Konflikt des Be1 Vgl. Gola/Schomerus, § 33 BDSG Rz. 32. 2 Vgl. Gola/Schomerus, § 33 BDSG Rz. 32. 3 Zur fehlenden Auskunftsverpflichtung nach § 34 Abs. 7 von Rechtsanwälten AG Köln v. 4.2.2015 – 134 C 174/14, ZD 2015, 340. 4 Zum dann entstehenden Spannungsfeld von teilweise gesetzlich angeordneten Warndateien zur Prävention von Wirtschaftskriminalität Gola/Schomerus, § 33 BDSG Rz. 34; Wolff/Brink/Frogo, § 33 BDSG Rz. 52 hält Daten zur Verhindung von Wirtschaftskriminalität für geheimhaltungsbedürftig.

Kamlah

|

811

§ 33 BDSG | Datenverarbeitung nicht-öffentlicher Stellen troffenen mit dem Dritten. Das Informationsbedürfnis des Betroffenen tritt dann daher (erst) zurück, wenn das rechtliche Interesse des Dritten an dem Unterbleiben der Benachrichtigung überwiegt. Erfasst sind damit Fälle, in denen der Betroffene sich dem Dritten in rechtlich relevanter Weise entziehen möchte, wie etwa im Fall der Speicherung der Daten des Ehegatten in der Datei eines Frauenhauses. Inwieweit seitens Detekteien gespeicherte Daten in diesem Sinne eine Benachrichtigung entfallen lassen können, ist im Einzelnen zweifelhaft1. 39 Ihrem Wesen nach sind geheime Daten keine Kreditinformationen und auch

grundsätzlich keine medizinische Daten, auch wenn sie den Betroffenen belasten würden, da Nr. 3 die rechtlichen Interessen eines Dritten schützt2.

40 Umstritten ist, ob im Rahmen des Forderungsverkaufs (stille Zession) ein An-

wendungsfall des Ausnahmetatbestandes zu erblicken ist3. Einigkeit besteht dagegen wohl, dass bei Verfügungen auf den Todesfall ein Geheimhaltungsbedürfnis des Verfügenden deshalb besteht, damit dieser ggf. seine Entscheidung rückgängig machen kann4. 4. Gesetzlich angeordnete Datenverarbeitung (Abs. 2 Nr. 4)

41 Nach Nr. 4 kann eine Benachrichtigung entfallen, wenn die Speicherung oder

Übermittlung durch Gesetz ausdrücklich vorgesehen ist. Die etwas untechnisch anmutende Formulierung „vorgesehen“ schafft Auslegungsprobleme. Nicht ausreichend jedoch dürfte sein, wenn eine Speicherung oder Übermittlung nach Gesetz schlicht möglich ist (wie z.B. durch die §§ 28 ff.). Denn dann liefe die Pflicht zur Benachrichtigung weitgehend leer. Vielmehr dürften in Anlehnung an § 4 Abs. 1 die Fälle gemeint sein, in denen das Gesetz die Speicherung oder Übermittlung (ausdrücklich) anordnet (s. Beispiele solcher gesetzlicher Anordnungen, s. § 4)5. Eine solche Anordnung kann auch in § 25h KWG oder vergleichbaren aufsichtsrechtlichen Vorschriften6 erblickt werden. Die danach gesetzlich angeordnete Speicherungs- und Übermittlungsbefugnis zum Zwecke der Prävention von Wirtschaftskriminalität würde konterkariert, wenn man die Täter durch eine Benachrichtigung warnte7 (s.a. Rz. 37). Sinn dieser Privile-

1 S. Däubler/Klebe/Wedde/Weichert/Däubler, § 33 BDSG Rz. 36. 2 S.a. Taeger/Gabel/Meents, § 33 BDSG Rz. 39 f.; etwas anders Däubler/Klebe/Wedde/ Weichert/Däubler, § 33 BDSG Rz. 32. 3 Mit Blick auf das Geheimhaltungsinteresse des Forderungserwerbers bejahend Däubler/ Klebe/Wedde/Weichert/Däubler, § 33 BDSG Rz. 33; a.A. wohl Simitis/Dix, § 33 BDSG Rz. 80 und Gola/Schomerus, § 33 BDSG Rz. 33. 4 Däubler/Klebe/Wedde/Weichert/Däubler, § 33 BDSG Rz. 35 m.w.N. 5 So auch Simitis/Dix, § 33 BDSG Rz. 87 f. 6 Wolff/Brink/Frogo, § 33 BDSG Rz. 57 f. explizit für Vorschriften des Geldwäschegesetzes. 7 Unzutreffend und an der falschen Norm anknüpfend daher Gola/Schomerus, § 33 BDSG Rz. 40, richtiger dagegen dies. unter § 33 BDSG Rz. 34.

812

|

Kamlah

Benachrichtigung des Betroffenen | § 33 BDSG

gierung ist es auch, dass die verantwortliche Stelle durch die gesetzliche Anordnung der Datenverarbeitung nicht zusätzlich mit bürokratischem Aufwand belastet werden soll. In aller Regel definiert die gesetzliche Anordnungsnorm auch ausdrücklich die Zwecke, zu denen die Datenverarbeitung stattfinden darf, so dass ein darüber hinausgehendes Informationsbedürfnis des Betroffenen nicht besteht. 5. Datenverarbeitung zum Zwecke der wissenschaftlichen Forschung (Abs. 2 Nr. 5) Nr. 5 privilegiert die Wissenschaft und Forschung. Auch hier erklärt sich die 42 Ausnahme von der Benachrichtigungspflicht aus der engen Zweckbindung der in diesem Kontext verarbeiteten Daten (vgl. § 40 Abs. 1). Allerdings muss die Speicherung und Übermittlung personenbezogener Daten für die Zwecke der wissenschaftlichen Forschung erforderlich sein (s. § 40 Abs. 2 Satz 3). Hinsichtlich der Erforderlichkeit ist zu beachten, dass nach Möglichkeit im Rahmen der Forschung personenbezogene Daten zu anonymisieren sind, § 40 Abs. 2 Satz 1. Da der Personenbezug zum Zwecke der Forschung in aller Regel irrelevant sein dürfte, findet bei fehlendem Personenbezug § 33 von vornherein keine Anwendung. Für die übrigen Fälle, in denen dann gleichwohl ein Personenbezug erforderlich ist, befreit Nr. 5 die Wissenschaft und Forschung von der Benachrichtigungspflicht. Allerdings greift die Privilegierung nur dann, wenn die Benachrichtigung einen 43 unverhältnismäßigen Aufwand erfordern würde. Gerade wegen § 40 Abs. 2 könnte es sein, dass nur wenige Daten personenbezogen vorgehalten werden müssen und daher die Benachrichtigung keinen unverhältnismäßigen Aufwand darstellt (auch wenn Nr. 5 wie Nr. 2 und anders als Nr. 7 nur auf den unverhältnismäßigen Aufwand und nicht auf die Vielzahl der betroffenen Fälle abstellt). Deswegen bleibt der Zweck dieser Einschränkung des Forschungsprivilegs an dieser Stelle des Gesetzes unklar, weil der Betroffene über die Zweckbindung des § 40 Abs. 1 ausreichend geschützt ist. Die Vorschrift ist daher im Lichte von Art. 5 Abs. 3 dahingehend verfassungskonform auszulegen, dass eine Pflicht zur Benachrichtigung in aller Regel nicht besteht. 6. Gefährdung der Sicherheit und Ordnung (Abs. 2 Nr. 6) Ähnlich wie bei Nr. 3 steht bei Nr. 6 ein Geheimhaltungsbedürfnis im Vorder- 44 grund, welches nicht durch eine Benachrichtigung konterkariert werden soll. Voraussetzung ist zunächst, dass die zuständige öffentliche Stelle ggü. der verantwortlichen Stelle eine Feststellung getroffen „hat“. Ein Verwaltungsakt ist nicht zwingend notwendig. Damit muss sich die zuständige öffentliche Stelle ggü. der verantwortlichen Stelle in irgendeiner Weise geäußert haben. Das ist konsequent, denn vorher kann die verantwortliche Stelle keine Kenntnis über Kamlah

|

813

§ 33 BDSG | Datenverarbeitung nicht-öffentlicher Stellen eine etwa bestehende Sicherheitsrelevanz haben. Benachrichtigt die verantwortliche Stelle daher in Unkenntnis der Sachlage, kann sie hierfür ohne Hinzutreten besonderer Umstände nicht zur Verantwortung gezogen werden. 45 Umgekehrt ist es der verantwortlichen Stelle nicht zuzumuten, die Zuständigkeit

der an sie herangetretenen öffentlichen Stelle zu prüfen. Unterlässt die verantwortliche Stelle daher im Vertrauen auf die Zuständigkeit der öffentlichen Stelle die Benachrichtigung und stellt sich die Unzuständigkeit später heraus, kann sie hieraus ebenfalls nicht – etwa aus § 43 Abs. 1 Nr. 8 – verantwortlich gemacht werden. Ebenso kann die verantwortliche Stelle grundsätzlich auf die Feststellung an sich vertrauen, dass ein Bekanntwerden von Daten die öffentliche Sicherheit und Ordnung gefährden oder sonst dem Wohle des Bundes oder eines Landes Nachteile bereiten würde. Im Zweifel kann sich die verantwortliche Stelle nach § 38 Abs. 1 Satz 2 an die zuständige Datenschutzaufsichtsbehörde wenden1. 7. Öffentliche Daten (Abs. 2 Nr. 7a, 8a und 9)

46 Die Nr. 7–9 regeln in erster Linie die Behandlung der Benachrichtigungspflicht

bei der Speicherung von Daten, die aus allgemein zugänglichen Quellen entnommen worden sind. Die Daten müssen auch tatsächlich aus allgemein zugänglichen Quellen entnommen (und gespeichert) worden sein. Unerheblich ist, ob sie unmittelbar aus den öffentlichen Quellen entnommen oder ob sie von einer anderen Stelle übermittelt wurden, die jedoch erkennbar auf die allgemein zugängliche Quelle zugegriffen hatte2.

47 Die Formulierung greift die des § 29 Abs. 1 Satz 1 Nr. 2 auf (etwas anders da-

gegen § 28 Abs. 1 Satz 1 Nr. 3 oder § 28 Abs. 3 Satz 2 Nr. 1). Auf die Definition der allgemein zugänglichen Quellen kann daher an dieser Stelle verwiesen werden (s. § 28 Abs. 1 Satz 1 Nr. 3 und § 29 Abs. 1 Satz 1 Nr. 2). Hintergrund für den Wegfall der Benachrichtigungspflicht ist, dass der Betroffene über öffentliche Daten nicht noch informiert zu werden braucht und vielfach an der Veröffentlichung seiner Daten mitgewirkt haben dürfte und deshalb ein weiteres Informationsbedürfnis nicht besteht. Diese Mitwirkung kann teilweise sogar gesetzlich vorgeschrieben sein, wie im Falle von Eintragungen in öffentliche Register (z.B. Eintragung von Organeigenschaften oder Prokuren im Handelsregister) oder auch bei Pflichtangaben auf Geschäftsbriefen oder im Impressum3. Vielfach geschieht die „Veröffentlichung“ jedoch auch freiwillig, wie bei Eintra-

1 Vgl. Simitis/Dix, § 33 BDSG Rz. 93. 2 Gola/Schomerus, § 33 BDSG Rz. 38; Wolff/Brink/Frogo, § 33 BDSG Rz. 73. 3 S. AG Bad Schwartau v. 9.3.2005 – 2 C 794/04, DuD 2005, 372, das sowohl von Simitis/ Dix, § 33 BDSG Rz. 98, als auch Däubler/Klebe/Wedde/Weichert/Däubler, § 33 BDSG Rz. 46 falsch zitiert wird; die Ausnahmevorschrift bei „gecrawlten“ Daten ausdrücklich bejahend Gola/Schomerus, § 33 BDSG Rz. 41; Wolff/Brink/Frogo, § 33 BDSG Rz. 74.

814

|

Kamlah

Benachrichtigung des Betroffenen | § 33 BDSG

gungen in öffentliche Telefon- oder Branchenverzeichnisse1. Im Bereich der Social Media wird danach zu differenzieren sein, wie die Zugänglichkeitsregeln des entsprechenden Anbieters ausgestaltet sind. Erfolgt eine Veröffentlichung gegen den Willen des Betroffenen, stellt sich die 48 Frage, ob ggf. presse-/äußerungsrechtliche Ansprüche greifen. Darüber hinaus muss aber der Veröffentlichung eine vorherige Speicherung vorausgegangen sein. Dementsprechend wäre zu fragen, ob zu diesem Zeitpunkt der Betroffene zu benachrichtigen gewesen wäre. Da ähnlich wie bei den geschäftsmäßigen Datenverarbeitern die Speicherung der Veröffentlichung dient, wäre auch hier eine zeitnahe Benachrichtigung angezeigt. Allerdings gehen im Anwendungsbereich des Presserechts die dort geltenden Grundsätze zum Schutz der Presse vor (§ 41). Nach Nr. 7a wird bei der Speicherung für eigene Zwecke der Wegfall der Be- 49 nachrichtigungspflicht in diesen Fällen (wieder) unter den Vorbehalt gestellt, dass sie wegen der Vielzahl der betroffenen Fälle unverhältnismäßig ist. Die Formulierung weicht insoweit von denen der Nr. 2 und 5 ab, als dort „nur“ auf den unverhältnismäßigen Aufwand abgestellt wird. Daher kann dieser Ausnahmetatbestand nicht greifen, wenn nur wenige Daten über einzelne Personen gespeichert werden2. Gerade aber bei der Entnahme von Daten aus allgemein zugänglichen Quellen dürfte eine Vielzahl von Fällen gegeben sein, da eine solche Entnahme in aller Regel nicht nur punktuell geschieht3. Anders als bei der Speicherung zu eigenen Zwecken beschränkt Nr. 8a die Be- 50 freiung von der Benachrichtigung bei der Entnahme von Daten aus allgemein zugänglichen Quellen zum Zwecke der Übermittlung auf die Fälle, in denen sie sich auf diejenigen Personen beziehen, die diese Daten veröffentlicht haben4. Entscheidend ist mithin das bereits angesprochene Mitwirkungselement, welches das Informationsbedürfnis entfallen lässt. Auch hier besteht der Vorbehalt, dass eine Benachrichtigung dann entfallen kann, wenn diese wegen der Vielzahl der Fälle unverhältnismäßig ist. Nr. 9 enthält die Ausnahmevorschrift für den Fall, dass aus allgemein zugäng- 51 lichen Quellen entnommene Daten geschäftsmäßig zum Zwecke der Marktund Meinungsforschung gespeichert werden. Die ausdrückliche Nennung dieser Fallgruppe ist insoweit konsequent, als dass durch die BDSG-Novelle II im Jahre 20095 die Markt- und Meinungsforschung offenbar zur deutlicheren Abgrenzung von der Werbung und dem Adresshandel (s.a. § 30a) aus dem § 29 he1 2 3 4

Taeger/Gabel/Meents, § 33 BDSG Rz. 49. Taeger/Gabel/Meents, § 33 BDSG Rz. 50. Kritisch Gola/Schomerus, § 33 BDSG Rz. 38. Gola/Schomerus, § 33 BDSG Rz. 41 nennen hier beispielhaft in Anlehnung an BT-Drucks. 11/4306, 51 Autoren, die von Bibliotheken nicht über die Aufnahme in die Kataloge informiert zu werden brauchen, Heiratsanzeigen oder Angaben in Telefonbüchern. 5 BGBl. I, S. 2814.

Kamlah

|

815

§ 33 BDSG | Datenverarbeitung nicht-öffentlicher Stellen rausgelöst und in einen eigenen § 30a integriert wurde. Ferner war eine Ergänzung durch Nr. 9 deshalb nötig, da der Verweis in Nr. 8b entgegen der bis zum 1.9.2009 geltenden Fassung den Verweis auf die Markt- und Meinungsforschungsdaten nicht mehr erfasst. Hieraus ergibt sich aber keine andere Behandlung als in den Fällen der Nr. 7a und 8a, so dass auf die dort gefundenen Grundsätze zurückgegriffen werden kann. 8. Gefährdung eigener Geschäftszwecke (Abs. 2 Nr. 7b) 52 Eine weitgehende Ausnahme von der Pflicht zur Benachrichtigung scheint

Nr. 7b zu formulieren. Danach kann bei der Speicherung für eigene Zwecke (bei der Speicherung zum Zwecke der Übermittlung ist eine entsprechende Vorschrift ausdrücklich nicht vorhanden) eine Benachrichtigung entfallen, wenn sie die Geschäftszwecke der verantwortlichen Stelle erheblich gefährden würde. Teilweise wird vertreten, dass dabei nicht auf ein konkretes Geschäft, welches möglicherweise durch die gesetzliche Benachrichtigung nicht zustande kommt, sondern auf den Geschäftszweck der verantwortlichen Stelle (quasi i.S.d. Satzung) abzustellen ist1. Auch dieser müsste durch die Benachrichtigung in erheblichem Maße gefährdet sein und stünde zusätzlich unter dem Vorbehalt, dass das Interesse an der Benachrichtigung die Gefährdung nicht überwiegt. Diese Auslegung würde dazu führen, dass entweder ganze Branchen von der gesetzlichen Benachrichtigung ausgenommen wären oder der Ausnahmetatbestand weitestgehend leer läuft. Daher kann die Vorschrift nur so gemeint sein, dass aufgrund der besonderen Situation eines konkreten Geschäftes im Einzelfall die Pflicht zur gesetzlichen Benachrichtigung entfällt2. Das schließt nicht aus, dass bei mehreren oder ganzen Gruppen von Geschäften die Benachrichtigung eine besondere Gefährdungslage für verantwortliche Stellen entstehen lassen kann, die eine Ausnahme von der Benachrichtigungspflicht rechtfertigt3. 9. Listendaten (Abs. 2 Nr. 8b)

53 Für geschäftsmäßige Datenverarbeiter enthält schließlich Nr. 8b eine Befreiung

von der Benachrichtigungspflicht. Danach soll nicht benachrichtigt werden müssen, wenn es sich um listenmäßig oder sonst zusammengefasste Daten nach § 29 Abs. 2 Satz handelt (zum Begriff der Listendaten s. § 28 Abs. 3 Satz 2). Während sich vor der BDSG-Novelle II im Jahre 2009 die Privilegierung ausdrücklich auf die im Rahmen von § 29 Abs. 2 genannten Listendaten bezog, erstreckt sich der Verweis über § 29 Abs. 2 Satz 2 nunmehr auf § 28 Abs. 3–3b.

1 Vgl. Simitis/Dix, § 33 BDSG Rz. 102 ff. 2 Zum Streitstand Taeger/Gabel/Meents, § 33 BDSG Rz. 52. 3 Zur Ausnahme von der Benachrichtigungspflicht bei einem von einem Berufsverband initiierten Tätigwerden eines Privatdedektivs um die Einhaltung berufsständischer Regeln zu überwachen, EuGH v. 7.11.2013 – C-473/12, ZD 2014, 137.

816

|

Kamlah

Benachrichtigung des Betroffenen | § 33 BDSG

Eine Änderung war damit aber nicht beabsichtigt. Nr. 8b flankiert damit den auf der Zulässigkeitsseite bestehenden Rechtsmäßigkeitstatbestand nach § 28 Abs. 3 Satz 2 auf der Ebene der Verfahrensrechte1. Zu beachten ist auch, dass der listenmäßigen oder sonstigen zusammengefassten Datenverarbeitung in aller Regel Verarbeitungsvorgänge vorausgehen und der Betroffene im Zuge dieser Speicherung entweder zu benachrichtigen ist oder ohnehin schon Kenntnis über die Speicherung erlangt hat, Abs. 2 Nr. 1. Auch hier steht die Privilegierung allerdings unter dem Vorbehalt, dass eine Be- 54 nachrichtigung wegen der Vielzahl der betroffenen Fälle unverhältnismäßig ist. Davon ist aber i.d.R. auszugehen, da bei der Verarbeitung listenmäßig oder sonst zusammengefasster Daten typischerweise eine große Zahl von Datensätzen betroffen ist.

IV. Dokumentation der zugrunde gelegten Ausnahme Nach Abs. 2 Satz 2 hat die verantwortliche Stelle schriftlich festzulegen, unter 55 welchen Voraussetzungen von einer Benachrichtigung nach den Nr. 2 bis 7 abgesehen wird. In der Praxis wird diese Aufgabe vom betrieblichen Datenschutzbeauftragten wahrzunehmen sein, auch wenn es sich um eine originäre Pflicht der verantwortlichen Stelle handelt. Die Vorschrift zwingt die verantwortliche Stelle, sich mit den Befreiungstatbeständen auseinanderzusetzen und dementsprechend eine sorgfältige Prüfung durchzuführen. Ausdrücklich von der Dokumentationspflicht ausgenommen sind die Nr. 1, 8 56 und 9. Hierfür ist kein hinreichender Grund ersichtlich2. Es empfiehlt sich aber, die Dokumentationspflicht auch auf diese Fälle der Befreiung zu erstrecken, zumal insbesondere die Nr. 1 eine große praktische Relevanz entfaltet. Da die Dokumentation schriftlich zu erfolgen hat, ist eine entsprechende Rubrik 57 in dem Verfahrensverzeichnis nach § 4g Abs. 2 denkbar.

V. Rechtsfolgen/Sanktionen Eine unterbliebene gesetzliche Benachrichtigung führt nicht zur Unzulässigkeit 58 der Datenverarbeitung. Sie ist nicht materielle Zulässigkeitsvoraussetzung. Eine unzureichende Benachrichtigung ist aber nach § 43 Abs. 1 Nr. 8 bußgeldbewehrt. Erweiterte Sanktionen ergeben sich bei Vorliegen der Voraussetzungen des § 43 Abs. 2 oder des § 44. Eine nicht rechtzeitige Benachrichtigung ist – anders als bei § 34 i.V.m. § 43 Abs. 1 Nr. 8a – dagegen nicht bußgeldbewehrt3. Das 1 Gola/Schomerus, § 33 BDSG Rz. 42. 2 So auch Simitis/Dix, § 33 BDSG Rz. 121. 3 A.A. Simitis/Dix, § 33 BDSG Rz. 43.

Kamlah

|

817

§ 34 BDSG | Datenverarbeitung nicht-öffentlicher Stellen kann dazu führen, dass Benachrichtigungen nachgeholt werden können. Eine unterbliebene Dokumentation nach Abs. 2 Satz 2 ist nicht sanktioniert. Allerdings ist damit der Anschein erweckt, die entsprechend sorgfältige Prüfung der Ausnahmetatbestände nicht hinreichend durchgeführt zu haben. Daher sollte gleichwohl eine ausreichende Dokumentation geführt werden. 59 Über § 38 ist die Durchsetzung der gesetzlichen Benachrichtigungspflicht seitens

der zuständigen Datenschutzaufsichtsbehörde denkbar.

§ 34 Auskunft an den Betroffenen (1) 1Die verantwortliche Stelle hat dem Betroffenen auf Verlangen Auskunft zu erteilen über 1. die zu seiner Person gespeicherten Daten, auch soweit sie sich auf die Herkunft dieser Daten beziehen, 2. den Empfänger oder die Kategorien von Empfängern, an die Daten weitergegeben werden, und 3. den Zweck der Speicherung. 2Der Betroffene soll die Art der personenbezogenen Daten, über die Auskunft erteilt werden soll, näher bezeichnen. 3Werden die personenbezogenen Daten geschäftsmäßig zum Zweck der Übermittlung gespeichert, ist Auskunft über die Herkunft und die Empfänger auch dann zu erteilen, wenn diese Angaben nicht gespeichert sind. 4Die Auskunft über die Herkunft und die Empfänger kann verweigert werden, soweit das Interesse an der Wahrung des Geschäftsgeheimnisses gegenüber dem Informationsinteresse des Betroffenen überwiegt. (1a) 1Im Fall des § 28 Absatz 3 Satz 4 hat die übermittelnde Stelle die Herkunft der Daten und den Empfänger für die Dauer von zwei Jahren nach der Übermittlung zu speichern und dem Betroffenen auf Verlangen Auskunft über die Herkunft der Daten und den Empfänger zu erteilen. 2Satz 1 gilt entsprechend für den Empfänger. (2) 1Im Fall des § 28b hat die für die Entscheidung verantwortliche Stelle dem Betroffenen auf Verlangen Auskunft zu erteilen über 1. die innerhalb der letzten sechs Monate vor dem Zugang des Auskunftsverlangens erhobenen oder erstmalig gespeicherten Wahrscheinlichkeitswerte, 2. die zur Berechnung der Wahrscheinlichkeitswerte genutzten Datenarten und 3. das Zustandekommen und die Bedeutung der Wahrscheinlichkeitswerte einzelfallbezogen und nachvollziehbar in allgemein verständlicher Form. 818

|

Kamlah

§ 34 BDSG | Datenverarbeitung nicht-öffentlicher Stellen kann dazu führen, dass Benachrichtigungen nachgeholt werden können. Eine unterbliebene Dokumentation nach Abs. 2 Satz 2 ist nicht sanktioniert. Allerdings ist damit der Anschein erweckt, die entsprechend sorgfältige Prüfung der Ausnahmetatbestände nicht hinreichend durchgeführt zu haben. Daher sollte gleichwohl eine ausreichende Dokumentation geführt werden. 59 Über § 38 ist die Durchsetzung der gesetzlichen Benachrichtigungspflicht seitens

der zuständigen Datenschutzaufsichtsbehörde denkbar.

§ 34 Auskunft an den Betroffenen (1) 1Die verantwortliche Stelle hat dem Betroffenen auf Verlangen Auskunft zu erteilen über 1. die zu seiner Person gespeicherten Daten, auch soweit sie sich auf die Herkunft dieser Daten beziehen, 2. den Empfänger oder die Kategorien von Empfängern, an die Daten weitergegeben werden, und 3. den Zweck der Speicherung. 2Der Betroffene soll die Art der personenbezogenen Daten, über die Auskunft erteilt werden soll, näher bezeichnen. 3Werden die personenbezogenen Daten geschäftsmäßig zum Zweck der Übermittlung gespeichert, ist Auskunft über die Herkunft und die Empfänger auch dann zu erteilen, wenn diese Angaben nicht gespeichert sind. 4Die Auskunft über die Herkunft und die Empfänger kann verweigert werden, soweit das Interesse an der Wahrung des Geschäftsgeheimnisses gegenüber dem Informationsinteresse des Betroffenen überwiegt. (1a) 1Im Fall des § 28 Absatz 3 Satz 4 hat die übermittelnde Stelle die Herkunft der Daten und den Empfänger für die Dauer von zwei Jahren nach der Übermittlung zu speichern und dem Betroffenen auf Verlangen Auskunft über die Herkunft der Daten und den Empfänger zu erteilen. 2Satz 1 gilt entsprechend für den Empfänger. (2) 1Im Fall des § 28b hat die für die Entscheidung verantwortliche Stelle dem Betroffenen auf Verlangen Auskunft zu erteilen über 1. die innerhalb der letzten sechs Monate vor dem Zugang des Auskunftsverlangens erhobenen oder erstmalig gespeicherten Wahrscheinlichkeitswerte, 2. die zur Berechnung der Wahrscheinlichkeitswerte genutzten Datenarten und 3. das Zustandekommen und die Bedeutung der Wahrscheinlichkeitswerte einzelfallbezogen und nachvollziehbar in allgemein verständlicher Form. 818

|

Kamlah

Auskunft an den Betroffenen | § 34 BDSG 2Satz

1 gilt entsprechend, wenn die für die Entscheidung verantwortliche Stelle 1. die zur Berechnung der Wahrscheinlichkeitswerte genutzten Daten ohne Personenbezug speichert, den Personenbezug aber bei der Berechnung herstellt oder 2. bei einer anderen Stelle gespeicherte Daten nutzt. 3Hat eine andere als die für die Entscheidung verantwortliche Stelle 1. den Wahrscheinlichkeitswert oder 2. einen Bestandteil des Wahrscheinlichkeitswerts berechnet, hat sie die insoweit zur Erfüllung der Auskunftsansprüche nach den Sätzen 1 und 2 erforderlichen Angaben auf Verlangen der für die Entscheidung verantwortlichen Stelle an diese zu übermitteln. 4Im Fall des Satzes 3 Nr. 1 hat die für die Entscheidung verantwortliche Stelle den Betroffenen zur Geltendmachung seiner Auskunftsansprüche unter Angabe des Namens und der Anschrift der anderen Stelle sowie der zur Bezeichnung des Einzelfalls notwendigen Angaben unverzüglich an diese zu verweisen, soweit sie die Auskunft nicht selbst erteilt. 5In diesem Fall hat die andere Stelle, die den Wahrscheinlichkeitswert berechnet hat, die Auskunftsansprüche nach den Sätzen 1 und 2 gegenüber dem Betroffenen unentgeltlich zu erfüllen. 6Die Pflicht der für die Berechnung des Wahrscheinlichkeitswerts verantwortlichen Stelle nach Satz 3 entfällt, soweit die für die Entscheidung verantwortliche Stelle von ihrem Recht nach Satz 4 Gebrauch macht. (3) 1Eine Stelle, die geschäftsmäßig personenbezogene Daten zum Zweck der Übermittlung speichert, hat dem Betroffenen auf Verlangen Auskunft über die zu seiner Person gespeicherten Daten zu erteilen, auch wenn sie weder automatisiert verarbeitet werden noch in einer nicht automatisierten Datei gespeichert sind. 2Dem Betroffenen ist auch Auskunft zu erteilen über Daten, die 1. gegenwärtig noch keinen Personenbezug aufweisen, bei denen ein solcher aber im Zusammenhang mit der Auskunftserteilung von der verantwortlichen Stelle hergestellt werden soll, 2. die verantwortliche Stelle nicht speichert, aber zum Zweck der Auskunftserteilung nutzt. 3Die Auskunft über die Herkunft und die Empfänger kann verweigert werden, soweit das Interesse an der Wahrung des Geschäftsgeheimnisses gegenüber dem Informationsinteresse des Betroffenen überwiegt. (4) 1Eine Stelle, die geschäftsmäßig personenbezogene Daten zum Zweck der Übermittlung erhebt, speichert oder verändert, hat dem Betroffenen auf Verlangen Auskunft zu erteilen über 1. die innerhalb der letzten zwölf Monate vor dem Zugang des Auskunftsverlangens übermittelten Wahrscheinlichkeitswerte für ein bestimmtes Kamlah

|

819

§ 34 BDSG | Datenverarbeitung nicht-öffentlicher Stellen zukünftiges Verhalten des Betroffenen sowie die Namen und letztbekannten Anschriften der Dritten, an die die Werte übermittelt worden sind, 2. die Wahrscheinlichkeitswerte, die sich zum Zeitpunkt des Auskunftsverlangens nach den von der Stelle zur Berechnung angewandten Verfahren ergeben, 3. die zur Berechnung der Wahrscheinlichkeitswerte nach den Nummern 1 und 2 genutzten Datenarten sowie 4. das Zustandekommen und die Bedeutung der Wahrscheinlichkeitswerte einzelfallbezogen und nachvollziehbar in allgemein verständlicher Form. 2Satz 1 gilt entsprechend, wenn die verantwortliche Stelle 1. die zur Berechnung des Wahrscheinlichkeitswerts genutzten Daten ohne Personenbezug speichert, den Personenbezug aber bei der Berechnung herstellt oder 2. bei einer anderen Stelle gespeicherte Daten nutzt. (5) Die nach den Absätzen 1a bis 4 zum Zweck der Auskunftserteilung an den Betroffenen gespeicherten Daten dürfen nur für diesen Zweck sowie für Zwecke der Datenschutzkontrolle verwendet werden; für andere Zwecke sind sie zu sperren. (6) Die Auskunft ist auf Verlangen in Textform zu erteilen, soweit nicht wegen der besonderen Umstände eine andere Form der Auskunftserteilung angemessen ist. (7) Eine Pflicht zur Auskunftserteilung besteht nicht, wenn der Betroffene nach § 33 Abs. 2 Satz 1 Nr. 2, 3 und 5 bis 7 nicht zu benachrichtigen ist. (8) 1Die Auskunft ist unentgeltlich. 2Werden die personenbezogenen Daten geschäftsmäßig zum Zweck der Übermittlung gespeichert, kann der Betroffene einmal je Kalenderjahr eine unentgeltliche Auskunft in Textform verlangen. 3Für jede weitere Auskunft kann ein Entgelt verlangt werden, wenn der Betroffene die Auskunft gegenüber Dritten zu wirtschaftlichen Zwecken nutzen kann. 4Das Entgelt darf über die durch die Auskunftserteilung entstandenen unmittelbar zurechenbaren Kosten nicht hinausgehen. 5Ein Entgelt kann nicht verlangt werden, wenn 1. besondere Umstände die Annahme rechtfertigen, dass Daten unrichtig oder unzulässig gespeichert werden, oder 2. die Auskunft ergibt, dass die Daten nach § 35 Abs. 1 zu berichtigen oder nach § 35 Abs. 2 Satz 2 Nr. 1 zu löschen sind. (9) 1Ist die Auskunftserteilung nicht unentgeltlich, ist dem Betroffenen die Möglichkeit zu geben, sich im Rahmen seines Auskunftsanspruchs persönlich Kenntnis über die ihn betreffenden Daten zu verschaffen. 2Er ist hierauf hinzuweisen.

820

|

Kamlah

Auskunft an den Betroffenen | § 34 BDSG I. Einführung . . . . . . . . . . . . . .

1

II. Die Geltendmachung des Auskunftsanspruchs . . . . . . .

2

III. Anwendungsbereich . . . . . . . 1. Voraussetzung des Auskunftsersuchens . . . . . . . . . . . . . . . . 2. Inhalt der Auskunft (Abs. 1) . . 3. Speicherungs- und Auskunftspflicht bei der Übermittlung von Daten zu Werbezwecken (Abs. 1a) 4. Inhalt der Auskunft beim Scoring (Abs. 2) . . . . . . . . . . . a) Wahrscheinlichkeitswerte (Abs. 2 Satz 1 Nr. 1) . . . . . . b) Datenarten (Abs. 2 Satz 1 Nr. 2) . . . . . . . . . . . . . . . . c) Einzelfallbezogene und nachvollziehbare Erläuterung (Abs. 2 Satz 1 Nr. 3) . . . . . .

7 9 21

5. 6. 7.

27 29 33

IV. V. VI.

38

VII.

40

VIII. IX.

d) Auskunft bei Berechnung des Wahrscheinlichkeitswerts durch Dritte (Abs. 2 Satz 3–6) Inhalt der Auskunft (Abs. 4 Satz 1) . . . . . . . . . . . . Inhalt der Auskunft bei Daten ohne Personenbezug (Abs. 2 Satz 2 und Abs. 4 Satz 2) Sondervorschriften für geschäftsmäßige Datenverarbeiter (Abs. 1 Satz 3 und 4, Abs. 3) . . Zweckbindung (Abs. 5) . . . . . Form der Auskunft (Abs. 6) . . Ausnahmen vom Auskunftsanspruch . . . . . . . . . . . . . . . . Kosten der Auskunft (Abs. 8 und 9) . . . . . . . . . . . . Verhältnis zu anderen Normen Rechtsfolgen/Sanktionen . . . .

45 49 56 59 63 70 74 78 83 87

Schrifttum: Siehe §§ 6a und 28a BDSG; ferner Bäcker, Die Betroffenenauskunft im Telekommunikationsrecht, MMR 2009, 803; Balzer/Nagel, Das Auslesen von Fahrzeugdaten, NJW 2016, 193; Gola, Aus den Tätigkeitsberichten der Aufsichtsbehörden (2), RDV 2012, 184; Härting, „Prangerwirkung“ und „Zeitfaktor“ – 14 Thesen zu Meinungsfreiheit, Persönlichkeitsrechten und Datenschutz im Netz, CR 2009, 21; Heinemann/Wäßle, Datenschutzrechtlicher Auskunftsanspruch bei Kreditscoring. Inhalt und Grenzen des Auskunftsanspruchs nach § 34 BDSG, MMR 2010, 600; Hoss, Auskunftsrecht des Betroffenen aus § 34 Abs. 1 BDSG in der Praxis: wirksames Instrument oder zahnloser Tiger?, RDV 2011, 6; Kempermann/Deiters/Fischer, Einführung eines Discovery-Verfahrens über deutsches Datenschutzrecht?, ZD 2013, 313; Klas/Möhrke-Sobolewski; Der digitale Nachlass – Erbenschutz trotz Datenschutz, NJW, 2015, 347; Riesenhuber, Der Einsichts- und Löschungsanspruch nach §§ 34, 35 BDSG im Beschäftigungsverhältnis – Am Beispiel Personalakten, NZA 2014, 753; Schilde-Stenzel, „Lehrevaluation“ oder Prangerseite im Internet; www. meinprof.de – Eine datenschutzrechtliche Bewertung, RDV 2006, 104; Schmidl, Dokumentationsdaten nach dem Allgemeinen Gleichbehandlungsgesetz (AGG), DuD 2007, 11; Taeger, Schutz von Betriebs- und Geschäftsgeheimnissen im Regierungsentwurf zur Änderung des BDSG, K&R 2008, 513, 546; Weichert, Verhängnisvolle Datenschutzselbstauskünfte, CR 95, 361.

I. Einführung Die Vorschrift des § 34 war bereits im ersten BDSG 1977 enthalten1. Sie formu- 1 liert ein Auskunftsrecht zugunsten des Betroffenen, welches Grundvorausset1 BGBl. I, S. 207.

Kamlah

|

821

§ 34 BDSG | Datenverarbeitung nicht-öffentlicher Stellen zung dafür ist, dass der Betroffene die Datenverarbeitung nachvollziehen und im Anschluss an die erhaltene Auskunft weitergehende Rechte – wie die nach § 35 – geltend machen kann (zum Stufenverhältnis der §§ 33–35 s. § 33). Die Vorschrift wurde durch die sog. BDSG-Novelle I1 deutlich erweitert, um mehr Transparenz insbesondere beim Scoring zu schaffen (Einzelheiten s. § 28a). Im Rahmen der sog. BDSG-Novelle II2 wurde eine Speicherpflicht aufgenommen, um im Falle der Übermittlung von Daten zu Werbezwecken Auskunft über die Herkunft und Empfänger der Daten zu gewährleisten.

II. Die Geltendmachung des Auskunftsanspruchs 2 Das Auskunftsrecht steht dem Betroffenen (§ 3 Abs. 1) zu. Er kann auch von

Minderjährigen ausgeübt werden, wenn sie ausreichend einsichtsfähig sind3. Der Anspruch besteht unabhängig von der Staatsbürgerschaft oder Wohnort des Auskunftsstellers. Der Anspruch gehört zu den unabdingbaren Rechten nach § 6. Er kann durch Vertrag weder beschränkt noch ausgeschlossen werden.

3 Ob der Anspruch im Wege der Gesamtrechtsnachfolge auf Erben übergehen

kann, ist zweifelhaft4. Die Erbeneigenschaft müsste zunächst von dem Erben gegenüber der verantwortlichen Stelle nachgewiesen werden, damit die Auskunft nur gegenüber einem Berechtigten erteilt wird und keine unzulässige Datenübermittlung an unberechtigte Personen erfolgt (s. § 43 Abs. 2). Wenn keine Vorsorgevollmacht vorliegt, kann eine Auskunft über die Daten des Erblassers (etwa über die Vermögensverhältnisse) deshalb in der Regel nicht vor Annahme der Erbschaft gestellt werden. Selbst dann könnte man aber den Auskunftsanspruch bezweifeln. Gegenstand der Erbschaft ist nur das wirtschaftliche Vermögen. Der Schutz des allgemeinen Persönlichkeitsrechts endet mit dem Tod5. Außerdem kann der Erblasser seine Ansprüche nach § 35 nicht mehr geltend machen, so dass der ursprüngliche Sinn des Auskunftsanspruchs nach § 34 nicht mehr erreicht werden kann. Das kann für den potenziellen Erben unbefriedigend sein, da er ja gerade mit Blick auf eine etwaige Annahme oder Ausschlagung der Erbschaft entsprechende Auskunftsersuchen stellt. Alternativ könnte er im Zweifel den Weg eines Nachlassinsolvenzverfahrens beschreiten. 1 BGBl. I, S. 2254. 2 BGBl. I, S. 2814. 3 Däubler/Klebe/Wedde/Weichert/Däubler, § 34 BDSG Rz. 6, wobei offen bleibt, ob nicht der Anspruch mit befreiender Wirkung nur an den gesetzlichen Vertreter erfüllt werden kann; praktische Relevanz hat diese Frage jedoch kaum, da der Anspruch i.d.R. kostenlos ist und grundsätzlich regelmäßig neu geltend gemacht werden kann, vgl auch Wolff/ Brink/Schmidt-Wudy, § 34 BDSG Rz. 36. 4 Bejahend wohl Klas/Möhrke-Sobolewski, NJW 2015, 3473; vgl. aber auch LG Hannover v. 16.3.2011 – 6 T 9/11. 5 BVerfG v. 25.8.2000 – 1 BvR 2707/95, NJW 2001, 594.

822

|

Kamlah

Auskunft an den Betroffenen | § 34 BDSG

Die Geltendmachung des Rechts auf Auskunft kann grundsätzlich durch einen 4 Bevollmächtigten (z.B. Anwälte, Ehegatten) erfolgen1. Für die verantwortliche Stelle entsteht aber in aller Regel das praktische Problem, dass die Wirksamkeit oder Echtheit der Vollmacht kaum zweifelsfrei zu ermitteln ist. Dies ist aber notwendig, um sicherzustellen, dass keine Auskunft an einen unberechtigten Dritten erfolgt (s. § 43 Abs. 2). Praxis ist daher vielfach, dem Auskunftsverlangen in der Gestalt nachzukommen, dass die Auskunft nicht gegenüber dem Bevollmächtigten, sondern mit befreiender Wirkung (s. § 362 BGB) gegenüber dem (vermeintlichen) Vollmachtgeber erteilt wird. Sofern eine Vollmacht tatsächlich nicht vorgelegen hat, ist jedenfalls keine Datenübermittlung an einen unberechtigten Dritten erfolgt. Je nach Reichweite ihrer Betreuungspflicht, können auch Betreuer Auskünfte 5 erhalten, wobei auch hier die Bestallung und die Reichweite der Betreuung gegenüber der verantwortlichen Stelle nachzuweisen ist. Unter dem Künstler- und Aliasnamen gespeicherte Daten sind grundsätzlich 6 ebenfalls nach § 34 zu beauskunften2.

III. Anwendungsbereich Die Norm gilt gemäß § 27 für den nicht-öffentlichen Bereich (Einzelheiten s. 7 dort sowie § 28a, zu den Erweiterungen für geschäftsmäßige Datenverarbeiter siehe auch Abs. 1 Satz 3 und 4 sowie Abs. 3) und im Anwendungsbereich des BDSG belegene nicht-öffentliche Stellen (s.a. § 1 Abs. 5). Unerheblich ist dagegen, ob es sich bei dem Anspruchsteller um einen ausländischen Mitbürger (mit ausländischem Wohnsitz) handelt3. Für den öffentlichen Bereich gilt § 19. Teilweise existieren spezialgesetzliche 8 Sonderregelungen, die wegen § 1 Abs. 3 vorgehen (s. Rz. 83 ff.). 1. Voraussetzung des Auskunftsersuchens Nach § 34 Abs. 1 hat die verantwortliche Stelle dem Betroffenen Auskunft über 9 die zu seiner Person gespeicherten Daten zu erteilen (Abs. 1 Nr. 1 Halbs. 1). Der Begriff der verantwortlichen Stelle ist in § 3 Abs. 7 und der der personenbezogenen Daten in § 3 Abs. 1 definiert4. 1 Zur höchstpersönlichen Natur des Einsichtsrecht in die Personalakte jedoch LAG Schleswig-Holstein v. 17.4.2014 – 5 Sa 385/13, ZD 2014, 577. 2 AG Hamburg-Altona v. 17.11.2004 – 317 C 328/04, DuD 2005, 170. 3 Däubler/Klebe/Wedde/Weichert/Däubler, § 34 BDSG Rz. 6. 4 Zu Biobanken oder Gendatenbanken sowie medizinischen Registern Simitis/Dix, § 34 BDSG Rz. 16.

Kamlah

|

823

§ 34 BDSG | Datenverarbeitung nicht-öffentlicher Stellen 10 Der Anspruchscharakter ergibt sich aus der Formulierung („hat“). Ausnahmen

bestehen nach Abs. 7. Der Auskunftsanspruch ist abhängig von der Geltendmachung eines entsprechenden Verlangens des Betroffenen.

11 Die Ausübung des Anspruchs ist grundsätzlich formfrei. Dies bedeutet, dass

Auskunftsersuchen per Brief, per Fax, per E-Mail, per SMS, aber auch mündlich (in den Geschäftsräumen der verantwortlichen Stelle, s. Abs. 9) oder fernmündlich gestellt werden können. Dementsprechend ist nicht einmal eine Unterschrift erforderlich, um einen Auskunftsanspruch geltend zu machen. Diese kann aber hilfreich zur Identifizierung oder als Nachweis sein.

12 Gleichwohl stellt sich die Frage, welche Anforderungen an ein wirksames Aus-

kunftsersuchen zu stellen sind, damit die verantwortliche Stelle den Anspruch auch tatsächlich erfüllen kann. Diese Frage ist insbesondere wegen der Bußgeldandrohung in § 43 Abs. 1 Nr. 8a bedeutsam. So ist das Auskunftsersuchen korrekt an die verantwortliche Stelle zu richten. Sofern nicht etwa in öffentlich zugänglichen Informationsmedien auf eine andere Adresse verwiesen wird, ist das Auskunftsersuchen an den Sitz der verantwortlichen Stelle zu richten. Zumindest müssen bei einer Adressierung an eine Zweigstelle oder Niederlassung, zeitliche Verzögerungen in Kauf genommen werden. Wer verantwortliche Stelle ist, kann mitunter zweifelhaft sein1.

13 Daneben muss die verantwortliche Stelle in die Lage versetzt werden, den Be-

troffenen zweifelsfrei zu identifizieren, damit die Auskunft auch an den um Auskunft ersuchenden Betroffenen ergeht und es nicht zur unbefugten Übermittlung von personenbezogenen Daten (des Betroffenen) an eine dritte Person kommt (s. § 43 Abs. 2, wohingegen § 42a nicht berührt sein dürfte)2. Da in aller Regel eine Identifizierung anhand der üblichen Angaben wie Vorname, Name, Anschrift und Geburtsdatum erfolgt, obliegt es dem Betroffenen, der verantwortlichen Stelle diese Daten im Rahmen des Auskunftsersuchens zu übermitteln. Da hier die Initiative der Datenverarbeitung von dem Betroffenen ausgeht, stellt das Zurverfügungstellen der personenbezogenen Daten aus Sicht der verantwortlichen Stelle keine Erhebung i.S.v. § 3 Abs. 3 dar, die eine Pflicht zur Zulässigkeitsprüfung seitens der verantwortlichen Stelle auslöst. Das ist auch deshalb sachgerecht, weil im Zeitpunkt des Auskunftsersuchens weder der Betroffene noch die verantwortliche Stelle weiß, welche personenbezogenen Daten zur zweifelsfreien Identifizierung tatsächlich erforderlich sind. Die Verantwortung für etwa „zu viel“ zur Verfügung gestellte Daten kann – vorbehaltlich der Pflicht zur Wahrung der Zulässigkeit der weiteren Datenverarbeitung und Nutzung – nicht zu Lasten der verantwortlichen Stelle gehen. Jedenfalls wäre aber eine Spei-

1 Zur Problematik beim „Smart-Car“, Balzer/Nagel, NJW 2016, 193. 2 Wegen der Strafandrohung geht Simitis/Dix, § 34 BDSG Rz. 43 ff. auch von einer Verpflichtung zur Identitätsprüfung aus; eine explizite Verpflichtung dagegen wohl ablehnend Gürtler/Kriese, RDV 2010, 47 (55) mit Fn. 38.

824

|

Kamlah

Auskunft an den Betroffenen | § 34 BDSG

cherung nach § 28 Abs. 1 Satz 1 Nr. 1 wohl zulässig. Etwas anderes gilt allenfalls dann, wenn der verantwortlichen Stelle aufgrund der zur Verfügung gestellten Daten keine zweifelsfreie Identifizierung möglich ist und diese den Betroffenen nach weiteren Angaben (z.B. Voranschriften, Geburtsort, weitere Vornamen, Aliasnamen, etc.) fragt1. Dann stellt sich die Frage, ob diese Erhebung zulässig, insbesondere erforderlich ist. Das ist aber dann der Fall, wenn ohne diese Angaben eine zweifelsfreie Identifizierung nicht möglich ist2. Ein praktisches Problem der Identifizierung besteht insbesondere dann, wenn die gespeicherten Adressen von den im Rahmen des Auskunftsersuchens angegebenen Adressen abweichen. Gerade in diesem Fall muss um weitere Angaben gebeten werden3. Besonders problematisch ist das bei Betroffenen ohne festen Wohnsitz. Entsprechendes gilt, wenn seitens der verantwortlichen Stelle Antragsformulare 14 vorgehalten werden. Etwaige „Pflichtfelder“ dürfen nicht dazu führen, dass von deren Ausfüllung die Erteilung der Auskunft abhängig gemacht wird, wenn die Angaben zur Beauskunftung nicht erforderlich sind. Werden diese nicht vollständig ausgefüllt, bleibt die verantwortliche Stelle zur Prüfung verpflichtet, ob nicht anhand der gemachten Angaben eine Identifizierung und Auskunftserteilung möglich ist. Umstritten ist, ob zum Zwecke der Identifizierung Ausweiskopien verlangt wer- 15 den dürfen4. Das kann erforderlich sein, wenn bspw. die Antragsdaten nicht mit denen bei der verantwortlichen Stelle übereinstimmen. Auch hier stellt sich dann die Frage, welche Daten aus dem Ausweis genau zur Identifizierung erforderlich sind und ob Teile der Ausweisdaten seitens des Betroffenen geschwärzt werden dürfen. In jedem Fall darf die Überlassung der (ungeschwärzten) Ausweiskopien nicht zur Voraussetzung für eine Auskunft gemacht werden. Die Übernahme von Daten aus den Ausweiskopien ist nur eingeschränkt möglich5. In jedem Fall sollten nach erfolgter Identifizierung die Ausweiskopien vernichtet werden. Die Erstellung einer Ausweiskopie ist dabei in bestimmten Fällen gestattet6. 1 In diesen Fällen sind nach Gola/Schomerus, § 34 BDSG Rz. 7 weitere Maßnahmen zu treffen. 2 Auch Simitis/Dix, § 34 BDSG Rz. 14 geht davon aus, dass im Zweifel zusätzliche Angaben erfragt werden müssen und damit erfragt werden dürfen. Er lässt bei nicht zweifelsfreier Identifizierung sogar die Verpflichtung zur Auskunftserteilung entfallen. 3 So auch Simitis/Dix, § 34 BDSG Rz. 43, dort auch zu den Identifizierungsmöglichkeiten mittels Personalausweisen. 4 Die Zulässigkeit der Vorlage des Ausweises bejahend jedenfalls für bei persönlichem Erscheinen des Betroffenen Gola/Schomerus, § 34 BDSG Rz. 7. 5 Vgl. § 20 Personalausweisgesetz, § 18 Passgesetz; zur Funktionsweise des elektronischen Personalausweises s. die Broschüre des Bundesministeriums des Innern „Der neue Personalausweis – Informationen zur Online-Ausweisfunktion“, Mai 2012. 6 Vgl. Erörterungen zwischen dem Bundesministerium des Innern, den Auskunfteien und den obersten für den Datenschutz zuständigen Aufsichtsbehörden im nicht-öffentlichen Bereich (Düsseldorfer Kreis), s. RDV 2012, 184.

Kamlah

|

825

§ 34 BDSG | Datenverarbeitung nicht-öffentlicher Stellen 16 Bei telefonischen Auskunftsersuchen werden i.d.R. gesteigerte Anforderungen

an eine zweifelsfreie Identifizierung zu stellen sein. Ggf. sind zusätzliche Angaben zu erfragen1. Bei Bestehen eines Vertragsverhältnisses können hier Kundenkennwörter oder ähnliches geeignet sein. Besteht ein vertragliches Schuldverhältnisses zum Betroffenen jedoch nicht, wurden im Vorfeld des Auskunftsersuchens in aller Regel auch keine Kennwörter vergeben, um die Identität festzustellen. Da die Telefonnummern Dritter aus öffentlichen Verzeichnissen entnommen werden können, stellt ein Rückruf auch nicht sicher, dass man dort die Person erreicht, zu deren Daten Auskunft erteilt werden soll. In solchen Fällen ist dann im Zweifel der Betroffene auf den Schriftweg zu verweisen.

17 Nach Abs. 1 Satz 2 soll der Betroffene die Art der personenbezogenen Daten,

über die Auskunft erteilt werden soll, näher bezeichnen. Aus dem Soll-Charakter der Vorschrift wird deutlich, dass die nähere Bezeichnung in diesem Sinne nicht zwingend, aber der Regelfall sein sollte.

18 Der Soll-Charakter hat aber seinen Grund darin, dass der Betroffene ja im Zwei-

fel erst über die erhaltene Auskunft erkennt, ob und welche Daten über ihn gespeichert sind. Daher wird er teilweise nicht in der Lage sein, die Daten, über die er Auskunft verlangt, genauer zu bezeichnen. Allerdings kann die verantwortliche Stelle ggf. zurückfragen und darum ersuchen das Auskunftsersuchen zu präzisieren. Aus der Soll-Vorschrift ergibt sich aber auch, dass – zumindest dann, wenn die verantwortliche Stelle um Konkretisierung gebeten hat – eine Auskunftspflicht nicht besteht, wenn dann keine Konkretisierung erfolgt.

19 Dementsprechend dürfte es zulässig sein, mangels hinreichender Konkretisie-

rung die Auskunft auch stufenweise – weil etwa das Auskunftsersuchen zunächst auslegungsfähig war – zu erteilen, ohne dass durch dieses Vorgehen Sanktionen nach § 43 Abs. 1 Nr. 8a ausgelöst werden2.

20 Die vielfach öffentlich bereit gehaltenen Formulare, in denen nur pauschal um

Beauskunftung der gespeicherten Daten gebeten wird, verpflichten die verantwortliche Stelle mithin nicht ohne Weiteres zu einer pauschalen Beauskunftung3. Auskunftsansprüche müssen vielmehr hinreichend bestimmt i.S.d. § 253 Abs. 2 Nr. 2 ZPO sein. Dazu reicht die Formulierung eines Auskunftsbegehrens „aus vorgelagerten Datenbanken“ nicht. Sie können auch nicht „ins Blaue“ geltend gemacht werden. Es muss vielmehr ausreichend dargelegt werden, dass tatsächlich personenbezogene Daten gespeichert sein könnten4.

1 2 3 4

Däubler/Klebe/Wedde/Weichert/Däubler, § 35 BDSG Rz. 27 f. Vgl. Gola/Schomerus, § 34 BDSG Rz. 5 f. Vgl. auch Simitis/Dix, § 34 BDSG Rz. 41. LAG Hessen v. 29.1.2013 – 13 Sa 263/12, ZD 2013, 413.

826

|

Kamlah

Auskunft an den Betroffenen | § 34 BDSG

2. Inhalt der Auskunft (Abs. 1) Nach § 34 Abs. 1 hat die verantwortliche Stelle dem Betroffenen Auskunft1 über 21 die zu seiner Person gespeicherten Daten zu erteilen2. Der Begriff der Speicherung ergibt sich aus § 3 Abs. 4 Nr. 1. Dass es sich dabei um personenbezogene Daten handeln muss, ergibt sich zum einen bereits aus § 1 Abs. 1 und § 3 Abs. 1 (s. dort auch zu Werturteilen3, sowie zur Frage, ob Daten zu juristischen Personen auch Personenbezug aufweisen können) sowie aus § 3 Abs. 6. Mit Blick auf den Sinn und Zweck der Vorschrift (Ermöglichung insbesondere des § 35) erscheint es sachgerecht solche Daten vom Auskunftsanspruch auszunehmen, die diesem Ziel gar nicht zugänglich sind. Das können insbesondere interne Bearbeitungshinweise oder technische Verarbeitungsdaten der verantwortlichen Stelle sein. Selbst wenn diese im Einzelfall Personenbezug aufweisen sollten, stellen sie Daten der verantwortlichen Stelle und nicht des Betroffenen dar. Daraus folgt gleichzeitig, dass nur die Daten des Betroffenen selbst zu beauskunften sind. Es ist auch über das völlige Fehlen von Daten Auskunft zu erteilen4 (s. aber auch Abs. 1 Satz 3). Ein Anspruch auf Vorlage von Dokumenten ergibt sich aus § 34 allerdings ebenso wenig5 wie auf Vorlage kompletter Aktenauszüge6. Das Gesetz definiert keinen Zeitraum, sondern spricht lediglich von den gespei- 22 cherten Daten. Ob etwa Altdaten noch zulässigerweise gespeichert sind, ist im Rahmen von § 35 zu beantworten, dessen Geltendmachung durch § 34 erst ermöglicht werden soll. Es ist aber nicht nur die Tatsache zu beauskunften, welche Daten gespeichert 23 sind, sondern es ist auch deren Herkunft mit anzugeben, soweit diese gespeichert ist (vgl. Art. 12 DS-RL „… soweit verfügbar …“). Damit soll sichergestellt werden, dass der Betroffene den „Weg“ seiner Daten nachvollziehen kann, um dann ggf. dort weitergehende Rechte verfolgen zu können. Dementsprechend kann bei Daten, die aus allgemein zugänglichen Quellen entnommen wurden, eine abstrakte – generalisierende – Beschreibung der Herkunft erfolgen.7 Umgekehrt genügt als Herkunftsangabe die Nennung einer identifizierbaren natürli1 S. auch die Muster von Gierschmann/Saeugling/Heinemann, § 34 BDSG Rz. 155. 2 Über bereits – bspw. wegen § 35 BDSG – gelöschte Daten ist daher nicht Auskunft zu erteilen. Daraus ergibt sich die Frage, ob allein zum Zwecke der Auskunftserteilung (weiterhin) zu speichern ist. Dies ist jedoch abzulehnen, so auch Simitis/Dix, § 34 BDSG Rz. 7; zu beachten ist allerdings, dass die Absätze 2 und 4 des § 34 dieses jedoch nunmehr genau vorschreiben. 3 S. hierzu bei Bewertungsportalen Härting, CR 2009, 21 (26). 4 So auch Simitis/Dix, § 34 BDSG Rz. 18; AG Leipzig v. 18.7.2014 – 107 C 2154/14, ZD 2014, 533. 5 Kempermann/Deiters/Fischer, ZD 2013, 313; vgl auch AG Bremen v. 20.2.2014 – 9 C 30/ 13, ZD 2014, 535. 6 EuGH v. 17.7.2014 – C-141/12 und C-372/12, ZD 2014, 515. 7 AG Leipzig v. 18.7.2014 – 107 C 2154/14, ZD 2014, 533.

Kamlah

|

827

§ 34 BDSG | Datenverarbeitung nicht-öffentlicher Stellen chen oder juristischen Person (exakte Firmierung). Eine Verpflichtung zur Speicherung der Herkunft ist daraus aber nicht abzuleiten (s. aber Abs. 1 Satz 3)1. 24 Gemäß Abs. 1 Satz 1 Nr. 2 hat die Auskunft auch den Empfänger oder die Ka-

tegorien von Empfängern2, an die die Daten weitergegeben werden, zu enthalten. Die verantwortliche Stelle hat insoweit ein Wahlrecht. Der Begriff des Empfängers ergibt sich aus § 3 Abs. 8 Satz 1 (in Abgrenzung zum „Dritten“ nach § 3 Abs. 8 Satz 2). Der Begriff der Kategorien von Empfängern ist im BDSG selbst nicht definiert, erscheint aber auch in § 4 Abs. 3 Nr. 3 und in § 4e Abs. 1 Satz 1 Nr. 6 (vgl. § 33). Als Kategorien von Empfängern dürften die üblichen Branchen- oder Wirtschaftsbezeichnungen (z.B. „Kreditinstitute“ oder „Unternehmen der Telekommunikationsbranche“) ausreichend sein.

25 Schließlich muss die Auskunft über den Zweck der Speicherung informieren

(Abs. 1 Satz 1 Nr. 3). Das ist notwendig, da der Betroffene nur so ggf. unzulässige Zweckänderungen feststellen kann, wobei hier eine allgemeine Zweckbeschreibung (z.B. „Vertragsabwicklung“) ausreichend ist3.

26 Für die geschäftsmäßigen Datenverarbeiter nach § 29 gelten Sondervorschrif-

ten zur Herkunfts- und Empfängerangabe.

3. Speicherungs- und Auskunftspflicht bei der Übermittlung von Daten zu Werbezwecken (Abs. 1a) 27 Abs. 1a normiert besondere Auskunfts- und Speicherungspflichten für den Fall

der Übermittlung sog. listenmäßig zusammengefasster Daten zu Werbezwecken gemäß § 28 Abs. 3 Satz 4. Gemäß Abs. 1a müssen sowohl der Übermittler (Satz 1) als auch der Empfänger (Satz 2) die Tatsache der Übermittlung, die Herkunft der Daten und den Empfänger für die Dauer von zwei Jahren nach der Übermittlung speichern. Genaue Anforderungen an die Art der Speicherung stellt das Gesetz nicht. Zu beachten ist, dass die Zweijahresfrist mit der Übermittlung aktualisierter Daten neu zu laufen beginnt.

28 Auffallend ist, dass in § 28 Abs. 3 Satz 4 lediglich darauf verwiesen wird, dass

Abs. 1a Satz 1 (Auskunfts- und Speicherungspflicht des Übermittlers) zu berücksichtigen sei. Es fehlt mithin ein Hinweis auf die Pflicht zur Berücksichtigung der Regelungen auch des Satzes 2 (Auskunfts- und Speicherungspflicht des Empfängers). Nach der hier vertretenen Ansicht ist davon auszugehen, dass es sich bei dem fehlenden Verweis in § 28 Abs. 3 Satz 4 auf Abs. 1a Satz 2 um ein Redaktionsversehen handelt, so dass auch die Auskunfts- und Speicherungs-

1 Simitis/Dix, § 34 BDSG Rz. 22; vgl. OVG Hamburg v. 7.7.2005 – 1 Bf 172/03, RDV 2006, 73. 2 Richtigerweise erstreckt sich der Anspruch nicht auf die Angabe der Anschrift des Empfängers, a.A. Däubler/Klebe/Wedde/Weichert/Däubler, § 34 BDSG Rz. 14. 3 Hoss, RDV 2011, 6 (6).

828

|

Kamlah

Auskunft an den Betroffenen | § 34 BDSG

pflicht des Empfängers nach Satz 2 bei der Übermittlung listenmäßig zusammengefasster Daten zu berücksichtigen ist (vgl. Komm. zu § 28 BDSG Rz. 137). 4. Inhalt der Auskunft beim Scoring (Abs. 2) Abs. 2 wurde durch die BDSG-Novelle I mit dem Ziel eingeführt, mehr Trans- 29 parenz beim sog. Scoring herbeizuführen. Der Eingangssatz des Abs. 2 verweist zunächst auf die nach § 28b für die Entscheidung verantwortliche Stelle (zur Entstehungsgeschichte1 s. § 28a und § 28b). Damit ist das Auskunftsrecht nach § 34 Abs. 2 nur für die verantwortlichen Stellen relevant, die sich mit ihren Verfahren auch tatsächlich im Anwendungsbereich des § 28b befinden. Als Anknüpfungsnorm ist daher zunächst der Anwendungsbereich des § 28b zu prüfen (s. § 28b). Dem Betroffenen ist nach Abs. 2 seitens der verantwortlichen Stelle auch nur 30 auf Verlangen entsprechend Auskunft zu erteilen. Damit wird deutlich, dass die jeweiligen Auskunftsansprüche nach Abs. 1 und 2 nebeneinander stehen und sowohl isoliert als auch zusammen geltend gemacht werden können. Das bedeutet aber auch, dass der Betroffene seine Auskunftsansprüche entsprechend konkretisieren muss. So muss für die verantwortliche Stelle erkennbar sein, ob (etwa neben dem Anspruch aus Abs. 1) auch ein Anspruch aus Abs. 2 geltend gemacht wird. Das Verlangen nach Abs. 2 kann ebenso formfrei geltend gemacht werden, wie 31 das des Abs. 1 (auf die Ausführungen in Rz. 11 kann daher verwiesen werden). Der Inhalt der Auskunft ergibt sich aus den Nr. 1–4 von Abs. 2 Satz 1.

32

a) Wahrscheinlichkeitswerte (Abs. 2 Satz 1 Nr. 1) Nach Abs. 2 Satz 1 Nr. 1 müssen die erhobenen und erstmalig gespeicherten (s. 33 § 3 Abs. 4) Wahrscheinlichkeitswerte (zur Abgrenzung vom Begriff des Bestandteils eines Wahrscheinlichkeitswertes nach Satz 3 Nr. 2 sowie zur bloßen Zwischenrechnung, s. § 28b) beauskunftet werden. Konkret kann dieser Wahrscheinlichkeitswert aus der Angabe einer Erfüllungs- oder Ausfallwahrscheinlichkeit in Prozent bestehen. Auch Zahlenangaben innerhalb einer definierten Skalierung oder Werte ähnlich den Schulnoten sind denkbar und wären dementsprechend Inhalt der Auskunft. Der Begriff der Erhebung ist hier – über den Wortlaut des § 3 Abs. 3 hinaus – so 34 zu verstehen, dass die Wahrscheinlichkeitswerte, die durch die verantwortliche Stelle selbst, etwa auf Basis eigener Datenbanken oder der jeweiligen Antragsdaten errechnet wurden, ebenfalls vom Anwendungsbereich der Norm erfasst sind. 1 Simitis/Dix, § 34 BDSG Rz. 33 spricht hier von Misstrauen des Gesetzgebers ohne allerdings weiter auszuführen, worauf sich dieses begründet.

Kamlah

|

829

§ 34 BDSG | Datenverarbeitung nicht-öffentlicher Stellen 35 Alternativ dazu sind auch erstmalig gespeicherte Wahrscheinlichkeitswerte zu

beauskunften. Diese Alternative kann sich sowohl auf die erstmalig durch die verantwortliche Stelle selbst errechneten Wahrscheinlichkeitswerte als auch auf die vorher durch Dritte übermittelten Wahrscheinlichkeitswerte beziehen.

36 Hintergrund für diese Regelung sind verschiedene Ausprägungen von Scorever-

fahren. Danach gibt es sog. externe Scoreverfahren, bei denen der Wahrscheinlichkeitswert durch einen externen Dienstleister wie etwa eine Auskunftei übermittelt wird, wie aber auch interne Scoreverfahren, bei denen der Wahrscheinlichkeitswert auf Basis eigener Datenbanken der verantwortlichen Stelle oder der Antragsdaten errechnet wird. Auch sog. integrierte Scoreverfahren, bei denen extern ermittelte Rechenergebnisse mit intern errechneten Rechenergebnissen kombiniert werden und erst durch diese Kombination der Wahrscheinlichkeitswert entsteht, sind weitverbreitete Praxis. Mit der in Abs. 2 Satz 1 Nr. 1 zum Ausdruck gebrachten Alternative soll mithin sichergestellt werden, dass der Betroffene lückenlos seine „Wahrscheinlichkeitshistorie“ nachvollziehen kann und in jedem Fall erfährt, welcher Wahrscheinlichkeitswert bei der verantwortlichen Stelle der Entscheidung zugrunde gelegen hat. Dabei spielt es keine Rolle, ob ein Vertrag mit dem Betroffenen tatsächlich zustande gekommen ist.

37 Der Zeitraum, für die Wahrscheinlichkeitswerte zu beauskunften sind, wird auf

sechs Monate vor dem Zugang des Auskunftsverlangens bestimmt. Da der verantwortlichen Stelle im Allgemeinen eine gewisse Bearbeitungsfrist zur Erfüllung des Auskunftsverlangens zuzubilligen ist, entsteht für die verantwortliche Stelle die praktische Problematik, ob – dem Wortlaut der Vorschrift entsprechend – bei der Auskunftserteilung auf die sechs Monate ab dem Zugang des Auskunftsverlangens abzustellen ist oder auf den Zeitpunkt der Auskunftserteilung selbst. Die Beantwortung dieser Problematik ergibt sich aus dem Sinn und Zweck der Norm und dem Interesse des Betroffenen. Dieses Interesse besteht insbesondere an einer aktuellen Auskunft. Stellte man dagegen auf den Zeitpunkt des Zugangs des Auskunftsersuchens ab, so wäre die Auskunft aufgrund der zuzubilligenden Bearbeitungszeit unter Umständen schon einige Wochen alt. Damit enthielte diese Auskunft nicht mehr die zuletzt errechneten und gespeicherten Wahrscheinlichkeitswerte. Das ist insbesondere in den Fällen nicht i.S.d. Betroffenen, in denen die Wahrscheinlichkeitswerte nicht im Kontext einer Beantragung (Begründung) eines Vertragsverhältnisses mit dem Betroffenen, sondern – ohne direkte Veranlassung durch den Betroffenen – zu dessen Durchführung oder Beendigung ermittelt wurden. Hier interessiert den Betroffenen die aktuelle Entwicklung seiner Wahrscheinlichkeitswerte. An bereits einigen Wochen zurückliegenden – auf Wahrscheinlichkeitswerten beruhenden – Entscheidungen besteht dagegen in aller Regel kein Interesse mehr, so dass im Ergebnis der Auskunftsanspruch dadurch erfüllt wird, wenn die Wahrscheinlichkeitswerte der letzten sechs Monate seit Auskunftserteilung beauskunftet werden. Die Fristbestimmung mit ihrer Anknüpfung an den Zugang hat vielmehr alleine den Zweck, einen Anknüpfungspunkt für § 43 Abs. 1 Nr. 8a zu bieten. 830

|

Kamlah

Auskunft an den Betroffenen | § 34 BDSG

b) Datenarten (Abs. 2 Satz 1 Nr. 2) Nach Abs. 2 Nr. 2 sind kumulativ zu den Wahrscheinlichkeitswerten nach 38 Abs. 2 Nr. 1 die zu deren Berechnung genutzten Datenarten zu beauskunften. Der Begriff der Nutzung orientiert sich dabei an § 3 Abs. 5. Der Begriff der Datenarten ist im BDSG nicht näher definiert. Aus der Tat- 39 sache, dass im Gesetz nicht der Begriff der personenbezogenen Daten gewählt wurde, ist jedoch zu schließen, dass nicht die sog. Einzelparameter in Form der konkret der Berechnung zugrunde liegenden personenbezogenen Daten gemeint und dementsprechend zu beauskunften sind. In diesem Zusammenhang ist auch zu berücksichtigen, dass die personenbezogenen Einzeldaten selbst schon nach § 34 Abs. 1 zu beauskunften sind1. Insoweit ist der Betroffene mit Blick auf etwaige Berichtigungs- und/oder Löschungsansprüche hinsichtlich der gespeicherten und einer Scoreberechnung zugrunde liegenden Daten hinreichend geschützt. Wie weit bei der Beauskunftung auf abstrakte Oberbegriffe abgestellt werden kann, ist im Einzelnen umstritten. Hier stehen sich das Transparenzgebot zugunsten des Betroffenen und das Bedürfnis der verantwortlichen Stelle an der Wahrung des Betriebs- und Geschäftsgeheimnisses hinsichtlich der eingesetzten Scoreverfahren2 gegenüber. Es können aber bspw. die Straße, die Hausnummer, die Postleitzahl und der Ort als „Adressdaten“ zusammengefasst werden, um den Auskunftsanspruch zu erfüllen3. Dementsprechend wird man in Anlehnung an § 10 Abs. 1 Satz 6 KWG auf den dort genannten Abstraktionsgrad (u.a. Zahlungsverhalten und Vertragstreue) zurückgreifen können. Damit können unter dem Begriff „Einkommensdaten“ einzelne personenbezogene Daten, wie Angaben zu Gehalt und sonstigen Einnahmen, ebenso zusammengefasst werden wie etwa Beruf, Arbeitgeber und Beschäftigungsdauer unter dem Begriff der „Daten aus dem Beschäftigungsverhältnis“ (zu „Art der Daten“ auch § 33)4. Eine Datenart können auch durch Dritte zugelieferte Scorebestandteile sein („Auskunfteiscore“). In diesem Fall kann der Betroffene ggf. dann weitergehende Rechte nach Abs. 4 geltend machen. 1 Insoweit etwas ungenau BGH v. 28.1.2014 – VI ZR 156/13, NJW 2014, 1235. 2 S. schon Erwägungsgrund 41 der RL 95/46/EG; auch die Gesetzesbegründung setzt sich dezidiert mit der Abwägung zwischen dem Informationsinteresse des Betroffenen und dem Geheimhaltungsinteresse der verantwortlichen Stelle auseinander, BT-Drucks. 10/529, S. 17. 3 S. BT-Drucks. 16/10529, S. 17. 4 S. auch Gürtler/Kriese, RDV 2011, 48 ff. (53 und 58 f.); Abel, RDV 2009, 147 (150). Im Gesetzgebungsverfahren gab es den Vorschlag, dass im Rahmen der Auskunft „die zur Berechnung der Wahrscheinlichkeitswerte genutzten Daten in absteigender Reihenfolge ihrer Bedeutung für das im Einzelfall berechnete Ergebnis“ beauskunftet werden müssen. Außerdem wurde vorgeschlagen den Begriff „Datenarten“ durch „Daten“ zu ersetzen, BR-Drucks. 548/08, S. 16 f. Dieser Vorschlag wurde jedoch abgelehnt, da eine Einordnung des Scorewerts „im allgemeinen Rahmen“ ausreichen sollte, BT-Drucks. 16/10581, S. 5.

Kamlah

|

831

§ 34 BDSG | Datenverarbeitung nicht-öffentlicher Stellen c) Einzelfallbezogene und nachvollziehbare Erläuterung (Abs. 2 Satz 1 Nr. 3) 40 Nach Abs. 2 Satz 1 Nr. 3 sind das Zustandekommen und die Bedeutung der

Wahrscheinlichkeitswerte einzelfallbezogen und nachvollziehbar in allgemeinverständlicher Form zu beauskunften.

41 Mit der Erläuterung der Bedeutung, soll dem Betroffenen die Möglichkeit gege-

ben werden zu erkennen, wie der Wahrscheinlichkeitswert einzuschätzen ist. Die bloße Bekanntgabe des Wahrscheinlichkeitswerts selbst sagt hierüber nichts aus. Der Betroffene soll erkennen können, ob es sich bei dem Wahrscheinlichkeitswert um einen guten, mittleren oder schlechten Wahrscheinlichkeitswert handelt1. Das kann auch durch generalisierende Aussagen wie „überdurchschnittliches Risiko“ erreicht werden.

42 Die Erläuterung der Bedeutung bedingt nicht, dass die Gewichtung der einzel-

nen Datenarten bekannt gegeben werden müsste. Eine noch in den Gesetzesentwürfen enthaltene entsprechende Formulierung ist nicht Gesetz geworden2.

43 Daneben ist auch das Zustandekommen einzelfallbezogen und nachvollziehbar

in allgemeinverständlicher Form zu erläutern. Diese Aneinanderreihung von unbestimmten Rechtsbegriffen schafft Rechtsunsicherheit und ist wegen § 43 Abs. 1 Nr. 8a verfassungsrechtlich bedenklich (Bestimmtheitsgebot). Die Formulierung „in allgemeinverständlicher Form“ ist nicht legaldefiniert. Sie findet sich aber in § 6c Abs. 1 Nr. 2 und in § 13 Abs. 1 Satz 1 TMG wieder. Dementsprechend wird man an den Auskunftsinhalt keine allzu hohen Anforderungen stellen dürfen. Eine nachvollziehbare bzw. allgemein verständliche Auskunft ist nicht mit einer nachrechenbaren gleichzusetzen, es genügt, dass der Betroffene erkennen kann, wie die ausgewiesene Bewertung im Verhältnis zur Bewertungsskala einzustufen ist. Auch im Gesetzeswortlaut findet sich die Formulierung „nachvollziehbar“. Komplexe mathematische Formeln sind demnach nicht zu offenbaren, zumal sie auch nicht allgemein verständlich, d.h. aus sich heraus für den Betroffenen verständlich sind3. Der Betroffene muss vielmehr (nur) in die Lage versetzt werden, dass er den zugrunde liegenden Entscheidungsvorgang so nachvollziehen kann, dass er seinen Standpunkt geltend machen kann. Dies erfordert eine Transparenz, die es dem Betroffenen ermöglicht, die im Rahmen

1 S. BT-Drucks. 16/13219, S. 9. 2 S. Entwurf vom August 2007, Anlage zum Schreiben des Bundesministeriums des Innern vom 7.8.2007, Az. V6-191 521-4/0; dementsprechend sind auch nicht die Bedeutungsreihenfolge der einzelnen Datenarten oder etwaige „Scoretreiber“ zu offenbaren; a.A. jedoch Simitis/Dix, § 34 BDSG Rz. 33. 3 S. BT-Drucks. 16/10529, S. 17; BGH v. 28.1.2014 – VI ZR 156/13, m.w.N., NJW 2014, 1235; OLG Frankfurt am Main v. 7.4.2015 – 24 U 82/14, ZD 2015, 335; OLG Frankfurt am Main v. 4.12.2014 – 11 U 1/14; OLG Schleswig-Holstein v. 14.4.2013 – 9 U 16/13; OLG München v. 12.3.2014 – 15 U 2395/13, ZD 2014, 570; Ebenso wird in der Literatur anerkannt, dass die Berechnungsmethode als Betriebs- und Geschäftsgeheimnis geschützt ist, Taeger, K&R 2008, 513.

832

|

Kamlah

Auskunft an den Betroffenen | § 34 BDSG

von Wahrscheinlichkeitsberechnungen typisierende Betrachtungsweise so zu erkennen, dass er auf seine bei ihm persönlich etwa vorliegenden atypischen Lebenssachverhalte konkret hinweisen kann (so kann bspw. ein längerer Auslandsaufenthalt dazu führen, dass es im Inland keine – ausreichenden Zahlungserfahrungen gibt)1. Nachvollziehbarkeit bedeutet nach allem gerade nicht, dass der Wahrscheinlichkeitswert nachrechenbar wird, sondern lediglich, dass für den Betroffenen eine schlüssige Möglichkeit besteht, zu erkennen, welche Faktoren die ausgewiesene Bewertung beeinflusst haben2. Das Kriterium der Einzelfallbezogenheit würde es aber verbieten, eine rein ge- 44 nerische Information zu erteilen, die in keinem direkten Bezug zu den konkreten Wahrscheinlichkeitswerten stehen, die über den Betroffenen vorliegen. Idealerweise kann der Betroffene aus der Auskunft ersehen, „woran es (bei ihm) gelegen hat“ (s. § 6a). Dementsprechend kann – eine entsprechende Informationstiefe vorausgesetzt – auch mit standardisierten Auskünften und Erläuterungen der Auskunftsanspruch erfüllt werden. Der Einzelfallbezogenheit ist Genüge getan, wenn der Betroffene erkennen kann, welche Daten über ihn gespeichert und welche Mitteilungen Dritter in die Berechnung des Wahrscheinlichkeitswertes eingeflossen sind3. Entscheidend ist, dass die personenbezogenen Daten des Betroffenen und der Umstand ihres Einflusses auf das konkrete Berechnungsergebnis Gegenstand der Auskunft sind; abstrakte Elemente der Scorecard in ihren Details wie Vergleichsgruppen und Gewichtungen sind von dem Auskunftsanspruch jedoch nicht umfasst4. d) Auskunft bei Berechnung des Wahrscheinlichkeitswerts durch Dritte (Abs. 2 Satz 3–6) Die Regelungen des Abs. 2 Satz 3–6 bestimmen, wie die Transparenz für den Be- 45 troffenen sichergestellt werden kann, wenn die Berechnung des Wahrscheinlichkeitswerts zumindest teilweise mit Unterstützung Dritter5 erfolgt6. Wird die Berechnung des Wahrscheinlichkeitswerts vollständig durch einen 46 Dritten durchgeführt, sehen die Vorschriften zugunsten der für die Entscheidung verantwortlichen Stelle im Grunde ein Wahlrecht vor. Entweder erfüllt die verantwortliche Stelle den Auskunftsanspruch nach Abs. 2 Satz 1 selbst. In 1 BGH v. 28.1.2014 – VI ZR 156/13, NJW 2014, 1235; OLG Schleswig-Holstein v. 14.4.2013 – 9 U 16/13; OLG Nürnberg v. 30.10.2012 – 2 U 2362/11. 2 BGH v. 28.1.2014 – VI ZR 156/13 m.w.N., NJW 2014, 1235; LG Wiesbaden v. 19.2.2013 – 8 O 142/12; i.E. auch OLG Nürnberg v. 30.10.2012 – 3 U 2362/11; OLG Schleswig-Holstein v. 14.4.2013 – 9 U 16/13. 3 LG Wiesbaden v. 19.2.2013 – 8 O 142/12. 4 BGH v. 28.1.2014 – VI ZR 156/13 m.w.N., NJW 2014, 1235. 5 Die Formulierung im Gesetz „andere Stelle“ ist insoweit etwas untechnisch. 6 S. hierzu ausführlich Gürtler/Kriese, RDV 2011, 48 (54 ff.).

Kamlah

|

833

§ 34 BDSG | Datenverarbeitung nicht-öffentlicher Stellen diesem Fall hat ihr der Dritte auf Verlangen alles so zur Verfügung zu stellen, dass der Auskunftsanspruch nach Abs. 2 Satz 1 erfüllt werden kann (s. Satz 3). Oder die für die Entscheidung verantwortliche Stelle kann bei vollständiger Berechnung des Wahrscheinlichkeitswerts durch einen Dritten den um Auskunft ersuchenden Betroffenen an diesen Dritten verweisen. Die für die Entscheidung verantwortliche Stelle hat dabei den Namen (genaue Firmierung) und die Anschrift (Sitz der Gesellschaft) des Dritten sowie die zur Bezeichnung des Einzelfalls notwendigen Angaben (z.B. Weiterleitung des Auskunftsersuchens) anzugeben. Macht sie von ihrem Wahlrecht Gebrauch und verweist den Betroffenen an die andere Stelle, so hat sie dies „unverzüglich“, d.h. ohne schuldhaftes Zögern, § 121 BGB zu tun (s. Satz 4). Der Dritte hat die Auskunftsansprüche nach Abs. 2 Satz 1 und 2 unentgeltlich1 zu erfüllen (s. Satz 5). Satz 6 stellt noch einmal für den umgekehrten Fall klar, dass dann, wenn die für die Entscheidung verantwortliche Stelle den Auskunftsanspruch selbst erfüllen möchte, der Dritte nicht ebenfalls zur Auskunft verpflichtet ist. 47 Kein Wahlrecht besteht, wenn der Dritte nur einen Bestandteil des Wahr-

scheinlichkeitswerts berechnet hat. Diese Grenze des Wahlrechts ergibt sich aus dem Umkehrschluss von Satz 4, der nur auf Satz 3 Nr. 1 verweist. In einem solchen Fall trifft die Auskunftspflicht stets die für die Entscheidung verantwortliche Stelle. Dies setzt jedoch voraus, dass das von dem Dritten errechnete Ergebnis auch tatsächlich ein Bestandteil eines Wahrscheinlichkeitswerts und nicht nur eine Zwischenrechnung war (s. zum Begriff Teilscore oder Rechenschritt/ Zwischenrechnung § 28b). Werden lediglich sog. aggregierte Variablen nach Vorgaben der für die Entscheidung verantwortlichen Stelle zugeliefert, woran sich dann erst der eigentliche Rechenschritt anschließt, handelt es sich um einen Fall des Abs. 2 Satz 1.

48 Der Umfang der Zulieferverpflichtung des Dritten orientiert sich dabei an

dem, was die für die Entscheidung verantwortliche Stelle im Außenverhältnis gegenüber dem Betroffenen zu erfüllen hat. Dementsprechend erstreckt sich der Umfang der Zulieferverpflichtung nicht auf den Umfang der nach Abs. 4 durch den Dritten ggf. zu erteilenden Auskunft. 5. Inhalt der Auskunft (Abs. 4 Satz 1)

49 Abs. 4 ist die Parallelvorschrift zu Abs. 2. Sie formuliert für die Stellen, die ge-

schäftsmäßig personenbezogene Daten zum Zwecke der Übermittlung erheben, speichern oder verändern, in welchem Umfang über errechnete Wahrscheinlichkeitswerte Auskunft zu erteilen ist.

1 Der Hinweis auf die Unentgeltlichkeit ist hier irreführend, da sich diese im Außenverhältnis zum Betroffenen bereits aus Abs. 8 ergibt. Demgegenüber obliegt es der Privatautonomie der für die Entscheidung verantwortlichen Stelle und der tatsächlich berechnenden Stelle ggf. im Innenverhältnis eine Aufwandsentschädigung zu vereinbaren.

834

|

Kamlah

Auskunft an den Betroffenen | § 34 BDSG

Anders als Abs. 2 stellt Abs. 4 nicht auf § 28b ab. Das ist insoweit konsequent, 50 als dass die in Abs. 4 gemeinten geschäftsmäßigen Datenverarbeiter nach § 29 nicht die für die Entscheidung verantwortlichen Stellen sind1. Vielmehr sind die in Abs. 4 genannten und gemeinten Stellen die sog. „anderen Stellen“ gemäß Abs. 2 Satz 3–6. Andererseits erweckt die fehlende Referenzierung auf den § 28b den Eindruck, 51 als ob auch Wahrscheinlichkeitswerte zu beauskunften sind, die auf Basis von Verfahren ermittelt oder errechnet worden sind, die nicht den Anforderungen des § 28b entsprechen und auch nicht entsprechen müssen, weil der Anwendungsbereich des § 28b nicht eröffnet ist2. Relevant könnte das bei einem durch einen geschäftsmäßigen Datenverarbeiter bspw. zum Zwecke der Werbung übermittelten Wahrscheinlichkeitswert werden. Dies würde bedeuten, dass zwar eine Stelle nach Abs. 4 Auskunft zu erteilen hätte, nicht aber die verantwortliche Stelle, die den Wahrscheinlichkeitswert letztlich nutzt, da sie nicht dem Anwendungsbereich des § 28b und damit auch nicht dem des § 34 Abs. 2 unterliegt. Das Auskunftsrecht kann aber seinen Zweck, weitergehende Ansprüche vorzubereiten, schon dann im Ansatz nicht erfüllen, wenn die letztlich verantwortliche Stelle nicht ebenfalls zur Auskunft verpflichtet ist, mithin die Auskunft des geschäftsmäßigen Datenverarbeiters „in der Luft hängt“ und quasi zum Selbstzweck verkommt. Aus dem nahezu identischen Wortlaut und damit aus Sinn und Zweck der in Abs. 2 und 4 normierten Auskunftsansprüche ergibt sich vielmehr, dass eine lückenlose Transparenz im Rahmen (nur) solcher Entscheidungen hergestellt werden sollte, die im Anwendungsbereich des § 28b liegen. Für den Betroffenen soll deutlich werden, an welcher Stelle ein vermeintlich schlechter Wahrscheinlichkeitswert entstanden ist und damit zu einer möglicherweise unbefriedigenden Entscheidung für den Betroffenen geführt hat, um dann genau gegenüber dieser Stelle seine Rechte geltend machen zu können. Da die Formulierung des Abs. 4 Satz 1 den Wortlaut des § 28b aufnimmt („für ein bestimmtes zukünftiges Verhalten“) ist dementsprechend der § 28b in den Eingangssatz des Abs. 4 hineinzulesen, damit die Ansprüche aus Abs. 2 und Abs. 4 parallel laufen und zu einem sinnvollen Ergebnis führen. Dementsprechend fallen Wahrscheinlichkeitswerte, die nicht dem Anwendungsbereich des § 28b unterliegen auch nicht unter die speziellen Auskunftsregelungen. Der Inhalt des Auskunftsanspruchs nach Abs. 4 entspricht dem des Abs. 2. Inso- 52 weit kann auf die Ausführungen dort verwiesen werden. Allerdings gibt es – jedenfalls dem Wortlaut nach – drei Abweichungen. Abs. 4 Satz 1 formuliert, dass der Name und die letztbekannte Anschrift der 53 Stelle bekannt zu geben sind, an die die Wahrscheinlichkeitswerte übermittelt 1 Weswegen diese auch nicht die Verpflichtung nach § 6a trifft. 2 Dass außerhalb des Anwendungsbereiches des § 28b „unwissenschaftliche“ Verfahren nicht unzulässig sind wurde bereits bei § 28b festgestellt.

Kamlah

|

835

§ 34 BDSG | Datenverarbeitung nicht-öffentlicher Stellen worden sind. Durch diesen Mechanismus soll sichergestellt werden, dass dort der Anspruch nach Abs. 2 geltend gemacht werden kann. Das ist aber im Ergebnis wenig hilfreich für den Betroffenen, da sich die Anschrift ändern kann. Wesentlich zur Erfüllung des Auskunftsanspruchs erscheint dagegen die Bekanntgabe des Dritten selbst. Dem Betroffenen wird dann zuzumuten sein, die aktuelle Anschrift ggf. selbst zu ermitteln, sofern sie ihm nicht aufgrund eines bestehenden oder beabsichtigten Vertragsverhältnisses ohnehin bekannt ist. Insoweit wird eine veraltete oder gar fehlende Anschrift nicht zu beanstanden sein. 54 Anders als in Abs. 2 Satz 1 Nr. 1 sind gemäß Abs. 4 die entsprechenden Wahr-

scheinlichkeitswerte zwölf Monate vorzuhalten. Im Sinne der vom Gesetzgeber beabsichtigten Parallelität der Ansprüche von Abs. 2 und Abs. 4 macht es keinen Sinn, dass die Stellen nach Abs. 4 die übermittelten Wahrscheinlichkeitswerte länger speichern und beauskunften müssen1. In den Monaten sieben bis zwölf kann der Betroffene nicht mehr nachvollziehen, ob der durch die nach Abs. 4 genannte Stelle ermittelte Wahrscheinlichkeitswert durch die verantwortliche Stelle tatsächlich auch so bei einer Entscheidung zugrunde gelegt wurde, da dieser bei der für die Entscheidung verantwortlichen Stelle im Zweifel schon (zurecht) gelöscht wurde. In aller Regel besteht auch nur in unmittelbarem Anschluss an eine Wahrscheinlichkeitswertberechnung ein entsprechendes Informationsbedürfnis des Betroffenen. Damit verkommt in den Monaten sieben bis zwölf der Auskunftsanspruch zu einem reinen Selbstzweck, da die übermittelten Scorewerte allein zum Zwecke der Auskunftserteilung gespeichert werden müssen2.

55 Ebenso abweichend zu Abs. 2 formuliert Abs. 4 Satz 1 Nr. 2 einen Anspruch auf

Auskunft über die Wahrscheinlichkeitswerte, die sich zum Zeitpunkt des Auskunftsverlangens nach den von der Stelle zur Berechnung angewandten Verfahren ergeben. Sinn dieser Vorschrift ist es, dem Betroffenen die Möglichkeit zu eröffnen, bei einer Stelle nach Abs. 4 einen potenziellen Wahrscheinlichkeitswert zu erfragen, der sich ergeben würde, wenn man bei einer für die Entscheidung selbst verantwortlichen Stelle einen Antrag stellte (Pflicht zur Beauskunftung des sog. tagesaktuellen Wahrscheinlichkeitswerts). Da die Berechnung von Wahrscheinlichkeitswerten auf höchst unterschiedliche und situationsabhängige Weise erfolgen kann, sieht Abs. 4 Satz 1 Nr. 2 vor, dass sich der Auskunftsanspruch (nur) auf die bei der Stelle nach Abs. 4 eingesetzten (Standard-)Verfahren erstreckt und nicht die unterschiedlichen bei den für die Entscheidung verantwortlichen Stellen final eingesetzten Verfahren antizipiert werden können.

1 So stellt auch Simitis/Dix, § 34 BDSG Rz. 34 fest, dass „ein plausibler Grund für die unterschiedlich langen Speicherfristen nicht erkennbar ist.“; eine völlig unverständliche „Begründung“ findet sich hierzu eigenartiger Weise bei der Gesetzesbegründung zu Abs. 4 Satz 2, BT-Drucks. 10/529, S. 18. 2 Damit wird aber das von Simitis/Dix, § 34 BDSG Rz. 7 im Grundsatz kritisierte DataMining zu Zwecken des Datenschutzes Realität.

836

|

Kamlah

Auskunft an den Betroffenen | § 34 BDSG

6. Inhalt der Auskunft bei Daten ohne Personenbezug (Abs. 2 Satz 2 und Abs. 4 Satz 2) Nach Abs. 2 Satz 2 gelten die Auskunftsverpflichtungen nach Abs. 2 Satz 1 ent- 56 sprechend, wenn die für die Entscheidung verantwortliche Stelle entweder die zur Berechnung der Wahrscheinlichkeitswerte genutzten Daten ohne Personenbezug speichert, den Personenbezug aber bei der Berechnung herstellt oder bei einer anderen Stelle gespeicherte Daten nutzt. Durch die Vorschrift soll verhindert werden, dass sich für die Entscheidung ver- 57 antwortliche Stellen dadurch ihren Auskunftspflichten entziehen, indem sie selbst die für die Wahrscheinlichkeitsberechnung erforderlichen Daten lediglich ohne Personenbezug speichern oder auf Datenbestände anderer zurückgreifen. Bei Verfahren, in denen nur die Berechnung von Wahrscheinlichkeitswerten erfolgt, dabei aber auf anonymisierte oder fremde Datenbestände zurückgegriffen wird, die aber nicht oder nur anonym gespeichert werden, bestünde die Gefahr, dass hier Auskunftsansprüche nicht geltend gemacht werden können. Dementsprechend soll sich die für die Entscheidung verantwortliche Stelle nicht darauf berufen können, sie hätte die entsprechenden personenbezogenen Daten nicht oder aufgrund von Löschung nicht mehr und könne daher nicht nach Abs. 2 Satz 1 beauskunften1. Abs. 4 Satz 2 ist fast wortgleich mit Abs. 2 Satz 2 und soll auch für den Abs. 4 58 entsprechende Umgehungen verhindern. 7. Sondervorschriften für geschäftsmäßige Datenverarbeiter (Abs. 1 Satz 3 und 4, Abs. 3) Nach Abs. 1 Satz 3 haben geschäftsmäßige Datenverarbeiter nach § 29 auch dann 59 Auskunft über Herkunft und Empfänger zu erteilen, wenn diese Angaben nicht gespeichert sind. Diese auf den ersten Blick ungewöhnliche – und über § 27 Abs. 2 hinausgehende2 – Vorschrift soll jedoch verhindern, dass sich geschäftsmäßige Datenverarbeiter ihrer Auskunftspflicht dadurch entziehen, dass bestimmte Angaben nicht technisch gespeichert werden3. Die verantwortliche Stelle soll sich mithin nicht auf eine technische „Unmöglichkeit“ berufen können, wenn Daten aber gleichwohl bekannt sind und somit i.S.v. Art. 12 DS-RL verfügbar sind. Entgegen Abs. 1 Satz 1 Nr. 3 enthält Abs. 1 Satz 3 keine Nennung der Katego- 60 rien von Empfängern als Auskunftsalternative. Allerdings ist auch in diesem Rahmen die Verwendung der üblichen Branchenbezeichnungen ausreichend4. 1 2 3 4

S. BT-Drucks. 16/10529, S. 17; vgl. auch Simitis/Dix, § 34 BDSG Rz. 35 und 38. S. hierzu undeutlich auch Simitis/Dix, § 34 BDSG Rz. 9. Simitis/Dix, § 34 BDSG Rz. 29 und 37. S. Gola/Schomerus, § 34 BDSG Rz. 16a ff. mit Verweis auf den 19. Tätigkeitsbericht der hessischen Landesregierung zur Datenschutzaufsicht im nicht-öffentlichen Bereich, LTDrucks. 16/5892.

Kamlah

|

837

§ 34 BDSG | Datenverarbeitung nicht-öffentlicher Stellen 61 Nach Abs. 1 Satz 4 kann seitens der geschäftsmäßigen Datenverarbeiter die

Auskunft über die Herkunft und Empfänger der Daten (nur) dann verweigert werden, wenn das Interesse an der Wahrung des Geschäftsgeheimnisses gegenüber dem Informationsinteresse des Betroffenen überwiegt. Es sind jedoch kaum Fälle denkbar, in denen die Herkunft und Empfänger von Daten ein derartiges Geschäftsgeheimnis darstellen können, da es ja gerade Sinn des Auskunftsanspruches ist, nachvollziehen zu können, wer die Daten geliefert hat und an wen sie zukünftig übermittelt werden sollen1. 62 Abs. 3 soll die Vorschrift des Abs. 2 Satz 2 ergänzen, um die Lücken in den Auskunftsrechten des Betroffenen zu schließen2. Insoweit kann auf die Ausführungen zu Abs. 2 Satz 2 verwiesen werden.

IV. Zweckbindung (Abs. 5) 63 Nach Abs. 5 dürfen die nach Abs. 1a–4 zum Zweck der Auskunftserteilung an

64

65 66

67

den Betroffenen gespeicherten Daten nur für diesen Zweck sowie für Zwecke der Datenschutzkontrolle verwendet werden. Mit dieser im Zuge der BDSG-Novellen I und II im Jahre 2009/2010 neu eingeführten Vorschrift3 soll dem Umstand Rechnung getragen werden, dass die seinerzeit gleichzeitig neu eingeführten Abs. 1a–4 die Speicherung von Daten anordnen, (nur) um diese beauskunften zu können. Das damit zwangläufig verbundene Entstehen großer Datenbanken soll dadurch abgesichert werden, dass die zum Zwecke der Auskunftserteilung nach Abs. 1a–4 gespeicherten Daten eben nur für diese Zwecke verwendet werden dürfen. Der Begriff der Verwendung ist im BDSG nicht definiert, wohl aber weit i.S.v. verarbeiten und nutzen zu verstehen4. Abs. 5 spricht lediglich von Daten, ohne deren Personenbezug entsprechend der Systematik des BDSG ausdrücklich zu erwähnen. Mit Blick auf die Abs. 2–4 lässt das die Diskussion wieder aufkommen, ob die dort im Wesentlichen geregelten Wahrscheinlichkeitswerte personenbezogene Daten sind5, zumal es auch in dem in Bezug genommenen Abs. 3 gerade um nicht personenbezogene Daten geht. Durch die Verankerung der Wahrscheinlichkeitswerte im BDSG selbst hat aber diese Frage an praktischer Bedeutung verloren. Konsequent und richtig verweist Abs. 5 dabei ausdrücklich nicht auf Abs. 1, denn sonst unterlägen etwa auch die personenbezogenen Bestands- bzw. Ver1 Eingehend Simitis/Dix, § 34 BDSG Rz. 25 ff. 2 S. BT-Drucks. 10/529, S. 18. 3 So hat die Vorschrift tatsächlich innerhalb weniger Wochen Änderungen erfahren, BGBl. I, S. 2254 und BGBl. I, S. 2814. 4 S. auch §§ 12 ff. TMG. 5 S. hierzu zuletzt zusammenfassend Helfrich, S. 49 ff.

838

|

Kamlah

Auskunft an den Betroffenen | § 34 BDSG

tragsdaten, deren Verarbeitung und Nutzung zur Durchführung bspw. einer Kundenbeziehung erforderlich ist, der Zweckbindung. Gleichzeitig wird damit aber auch deutlich, dass der Zweckbindung nur die zum 68 Zwecke der Auskunftserteilung vorzuhaltenden Daten unterliegen, nicht jedoch die diesen zugrunde liegenden personenbezogenen Daten selbst. Für die Wahrscheinlichkeitswerte bedeutet das, dass zwar diese selbst unter Einschluss ebenfalls bekanntzugebender Datenarten, nicht jedoch die den Wahrscheinlichkeitswerten zugrunde liegenden Einzeldaten der Zweckbindung unterliegen. Vor allem Daten, deren Personenbezug durch die Auskunftserteilung erst hergestellt wird und nur deshalb gespeichert werden unterliegen der Zweckbindung1. Um diese Zweckbindung zu erreichen, wird schließlich klargestellt, dass die Da- 69 ten für andere Zwecke zu sperren (§ 3 Abs. 4 Nr. 4) sind2.

V. Form der Auskunft (Abs. 6) Nach Abs. 6 ist die Auskunft auf Verlangen in Textform zu erteilen, soweit 70 nicht wegen der besonderen Umstände eine andere Form angemessen ist. Der Gesetzgeber hat sich bewusst für die Textform entschieden, da der Betroffene unkompliziert Auskunft erhalten soll. Schriftform i.S.v. § 126 BGB ist mithin nicht erforderlich3. Wird das Verlangen nicht ausgeübt, kann die Auskunft gleichwohl in Textform 71 erteilt werden. In diesen Fällen ist aber auch eine Erfüllung in anderer Weise denkbar, wie z.B. per Brief oder aber auch mündlich. Das ist insoweit von Bedeutung, als dass bei einer anderen Form der Auskunftserteilung ggf. Maßnahmen zu treffen sind, damit die Auskunft auch tatsächlich den Berechtigten erreicht (s. dazu auch sogleich)4. Ein Anspruch auf Auskunftserteilung in einer anderen Form als der Textform oder in sonst einer bestimmten Form ist der Vorschrift dagegen nicht zu entnehmen und besteht mithin nicht5. Dem „Verlangen“ kommt mithin allenfalls insoweit eine eigene Bedeutung zu, als dass (nur) eine Auskunft in Textform verlangt werden kann. Die durch die Vorschrift beabsichtigte Flexibilität der Auskunftserteilung zu- 72 gunsten des Betroffenen wird allerdings flankiert und unter den Vorbehalt gestellt, dass nicht wegen der besonderen Umstände eine andere Form der Auskunftserteilung angemessen ist. Dies führt zur Frage, woraus sich diese beson1 Gola/Schomerus, § 34 BDSG Rz. 8c. 2 Wobei Simitis/Dix, § 34 BDSG Rz. 48 diese „Klarstellung“ zumindest für irritierend hält; Simitis/Dix, § 34 BDSG Rz. 85 f. zum „Benachteiligungsverbot“. 3 BT-Drucks. 16/529, S. 18. 4 Vgl. Simitis/Dix, § 34 BDSG Rz. 49. 5 Simitis/Dix, § 34 BDSG Rz. 49.

Kamlah

|

839

§ 34 BDSG | Datenverarbeitung nicht-öffentlicher Stellen deren Umstände ergeben können und wer eigentlich die Angemessenheitsprüfung durchzuführen hat. Ein besonderer Umstand kann sicher sein, wenn der Betroffene nicht in der Lage ist, Auskünfte in Textform zu empfangen1. Dann ist der Auskunftsanspruch auf andere Weise zu erfüllen. Ferner kann sich im Rahmen der Identitätsprüfung ergeben, die Auskunft postalisch zu versenden. Da EMail-Adressen bestenfalls den Vornamen und den Nachnamen erkennen lassen, besteht eine gewisse Gefahr, dass die Auskunft nicht den eigentlichen Antragsteller, sondern möglicherweise einen unberechtigten Dritten erreicht. Diese Gefahr besteht insbesondere dann, wenn sich jemand unter Verwendung einer EMail-Empfangsadresse die Daten des Betroffenen missbräuchlich beschaffen möchte. Bei einer Versendung per Post an die identifizierte Anschrift erhält „schlimmstenfalls“ der Betroffene eine Auskunft, ohne sie beantragt zu haben, so dass damit die verantwortliche Stelle ihren Sorgfaltspflichten genügt2. Demgegenüber lässt sich dieses Ziel durch einen Versand an eine Postfach- oder c/oAdresse nicht erreichen3. Auch erscheint wegen der Anlage zu § 9 Satz 1 Nr. 4 sowie zum zivilprozessualen Nachweis eine Auskunft geboten zu sein, die in irgendeiner Form dokumentiert ist. 73 Das Gesetz bestimmt auch keine ausdrückliche Frist, innerhalb derer die Aus-

kunft zu erteilen ist. Das ist wegen § 43 Abs. 1 Nr. 8a nicht unproblematisch. Im Allgemeinen wird jedoch der verantwortlichen Stelle eine gewisse Bearbeitungszeit zuzubilligen sein. Sie muss wegen der Bußgeldandrohung in § 43 Abs. 1 Nr. 8a auch die Chance haben, die Daten erst zu ermitteln. Im Allgemeinen wird eine Bearbeitungsdauer von zwei bis vier Wochen als angemessen angenommen4.

VI. Ausnahmen vom Auskunftsanspruch 74 Nach Abs. 7 besteht eine Pflicht zur Auskunftserteilung nicht, wenn der Betrof-

fene nach § 33 Abs. 2 Satz 1 Nr. 2, 3 und 5–7 nicht zu benachrichtigen wäre. Insoweit kann auf die Ausführungen dort verwiesen werden5.

75 Daneben ist aber auch anerkannt, dass die Ausübung des Auskunftsrechts ihre

Grenze im Rechtsmissbrauch finden kann. So kann ein Auskunftsersuchen nicht

1 Vgl. BT-Drucks. 16/10529, S. 18 zu Abs. 8. 2 S.a. Däubler/Klebe/Wedde/Weichert/Däubler, § 34 BDSG Rz. 26; zu Fällen, dass aus medizinischen Gründen ein besonderer Umstand gegeben ist, Däubler/Klebe/Wedde/Weichert/Däubler, § 34 BDSG Rz. 33 und Simitis/Dix, § 34 BDSG Rz. 54 f. 3 S.a. Däubler/Klebe/Wedde/Weichert/Däubler, § 34 BDSG Rz. 26. 4 Ob die Erteilung „unverzüglich“ erfolgen muss, ist umstritten, grds. bejahend Gola/Schomerus, § 34 BDSG Rz. 16, mit Blick auf europarechtliche Grundlagen verneinend Taeger/ Gabel/Meents, § 34 BDSG Rz. 39. 5 A.A. Simitis/Dix, § 34 BDSG Rz. 57 ff., der entgegen dem ausdrücklichen Wortlaut der Vorschrift die Ausnahmetatbestände in § 34 Abs. 7 einschränkend auslegen möchte, ähnlich auch Däubler/Klebe/Wedde/Weichert/Däubler, § 34 BDSG Rz. 39.

840

|

Kamlah

Auskunft an den Betroffenen | § 34 BDSG

beliebig oft wiederholt werden1. Das gilt insbesondere dann, wenn für den Betroffenen erkennbar ist, dass sich keine Änderungen hinsichtlich der bei der verantwortlichen Stelle gespeicherten Daten ergeben haben. Dementsprechend kann mit Blick auf eine einmalige Entscheidung der verantwortlichen Stelle ein Auskunftsersuchen nach Abs. 2 auch nur einmal geltend gemacht werden. Jedenfalls kann die um Auskunft ersuchte Stelle in diesen Fällen auf bereits ergangene Auskünfte verweisen. Ein Rechtsmissbrauch kann auch dann vorliegen, wenn der Betroffene (bereits) selbst über die Daten verfügt oder sie in seiner Sphäre ermitteln kann2. Ähnlich wie die verantwortliche Stelle auch darüber Auskunft zu erteilen hat, 76 dass keine Daten zum Betroffenen gespeichert sind, hat sie im Falle eines Ausnahmetatbestandes dem Betroffenen mitzuteilen, dass ein solcher ihres Erachtens vorliegt und dass sie sich darauf beruft3. Nur so kann der Betroffene die Richtigkeit des Einwands prüfen. Nach Abs. 1 Satz 4 und Abs. 3 Satz 3 kann eine Auskunft verweigert werden, so- 77 weit das Interesse an der Wahrung des Geschäftsgeheimnisses gegenüber dem Informationsinteresse des Betroffenen überwiegt. Auskunftsansprüchen kann der Einwand der faktischen Unmöglichkeit ent- 77a gegenstehen4.

VII. Kosten der Auskunft (Abs. 8 und 9) Nach Abs. 8 Satz 1 sind die nach den vorstehenden Absätzen zu erteilenden 78 Auskünfte unentgeltlich zu erteilen. Ausnahmen bestehen zugunsten der Stellen, die geschäftsmäßig Daten zum 79 Zwecke der Übermittlung speichern. Hier besteht die Ausnahme, dass ein Entgelt für die Auskunft verlangt werden kann, wenn der Betroffene die Auskunft gegenüber Dritten zu wirtschaftlichen Zwecken nutzen kann. Aus der Formulierung ergibt sich, dass es auf die tatsächliche oder beabsichtigte Nutzung dabei nicht ankommt, da dies die um Auskunft ersuchte Stelle nicht verifizieren kann. Hintergrund für diese Privilegierung war die Sicherung der wirtschaftlichen Existenz der geschäftsmäßigen Datenverarbeiter, deren Grundlage nicht dadurch zunichte gemacht werden sollte, dass etwaige Auskünfte – über den Umweg des Betroffenen5 – kostenlos zu erhalten sind6. Allerdings darf das Entgelt 1 S. auch BT-Drucks. 16/10529, S. 11 „in angemessenen Abständen“; die von Simitis/Dix, § 34 BDSG Rz. 21 vorgeschlagene Wochenfrist ist daher sicher zu kurz; vgl. auch Däubler/Klebe/Wedde/Weichert/Däubler, § 34 BDSG Rz. 18 f. 2 LAG Hessen v. 29.1.2013 – 13 Sa 263/12, ZD 2013, 413. 3 So auch Simitis/Dix, § 34 BDSG Rz. 61. 4 LAG Hessen v. 29.1.2013 – 13 Sa 263/12, ZD 2013, 413. 5 Vgl. Weichert, CR 1995, 361. 6 S. auch Simitis/Dix, § 34 BDSG Rz. 65.

Kamlah

|

841

§ 34 BDSG | Datenverarbeitung nicht-öffentlicher Stellen über die durch die Auskunftserteilung entstandenen unmittelbar zurechenbaren Kosten nicht hinausgehen. Damit dürfen sog. Gemeinkosten nicht in die Berechnungsgrundlage mit eingehen. Die Ermittlung der zugrunde zu legenden Kosten kann im Einzelfall schwierig sein, so dass gewisse Pauschalierungen und Mischkalkulationen auch bei unterschiedlichen Auskunftswegen zuzulassen sein dürften1. 80 Ist die Auskunft nicht unentgeltlich, ist dem Betroffenen die Möglichkeit zu ge-

ben, sich im Rahmen seines Auskunftsanspruchs persönlich Kenntnis über die ihn betreffenden Daten zu verschaffen (s. Abs. 9). Dem Betroffenen ist mithin stets die Möglichkeit zu eröffnen, der Entgeltpflicht zu entgehen, weshalb er auch auf die Möglichkeit der persönlichen (kostenlosen) Kenntnisnahme in geeigneter Weise hinzuweisen ist (s. Abs. 9 Satz 2). Dieser Pflicht ist dadurch genügt, wenn ein entsprechender Hinweis im Rahmen des Auskunftsprozesses erfolgt. Die persönliche Kenntnisnahme ist dann dadurch erfüllt, dass der Betroffene entweder den Datensatz einsieht oder ihn vorgelesen bekommt. Denkbar ist auch, dass er den Datensatz abschreibt. In diesen Fällen ist dann auch keine Möglichkeit der wirtschaftlichen Nutzung der Auskunft gegeben. Anderenfalls wäre (wieder) eine Entgeltpflicht gegeben.

81 Jedoch wurde mit der sog. BDSG-Novelle I der Jahre 2009/20102 die zugunsten

der geschäftsmäßigen Datenverarbeiter bestehende Privilegierung dadurch relativiert, dass auch diese seitdem einmal je Kalenderjahr eine unentgeltliche Auskunft in Textform zu erteilen haben (s. Abs. 8 Satz 2)3. Abs. 9 greift dann nicht mehr ein. Das bedeutet, dass bei nicht entsprechender Konkretisierung des Auskunftsverlangens des Betroffenen innerhalb eines Kalenderjahres, weitere Auskünfte (Abs. 8 Satz 3) den genannten Grundsätzen entsprechend bepreist werden könnten4.

82 In keinem Fall darf jedoch ein Entgelt verlangt werden, wenn entweder beson-

dere Umstände die Annahme rechtfertigen, dass die Daten unrichtig oder unzulässig gespeichert werden oder die Auskunft ergibt, dass die Daten nach § 35 Abs. 1 zu berichtigen oder nach § 35 Abs. 2 Satz 2 Nr. 1 zu löschen sind (weil sie unzulässig gespeichert sind)5. Daraus ergibt sich aber auch, dass der Betroffene gehalten ist, bereits im Auskunftsersuchen auf diese möglicherweise bestehenden Umstände hinzuweisen. Ein Verdacht der Unrichtigkeit reicht jedoch nicht

1 Gola/Schomerus, § 34 BDSG Rz. 23. 2 BGBl. I, S. 2254; weswegen die umfänglichen Ausführungen von Simitis/Dix, § 34 BDSG Rz. 63 ff. an praktischer Bedeutung erheblich verlieren dürften. 3 Inwieweit dies zur Umgehung des oftmals eingeschränkten Informationszugangs bei der geschäftsmäßigen Datenverarbeitung führen wird, bleibt abzuwarten. 4 Zu den Kosten einer SCHUFA-Eigenauskunft, s. nicht nur der speziell zu lesende Fall des LG Berlin v. 14.1.1999 – 14 O 417/97, sondern auch AG Aachen v. 29.1.2003 – 82 C 344/ 02, dass das seinerzeit erhobene Auskunftsentgelt ausdrücklich bestätigte. 5 Wobei zu fragen ist, warum die Entgeltlichkeit nur in den Fällen des § 35 Abs. 2 Satz 2 Nr. 1 BDSG entfallen soll, vgl. Däubler/Klebe/Wedde/Weichert/Däubler, § 34 BDSG Rz. 48.

842

|

Kamlah

Auskunft an den Betroffenen | § 34 BDSG

aus1. Sinn der Regelung ist es, dass die Geltendmachung von Rechten zu keinen Kosten beim Betroffenen führen darf und eine Entgeltmöglichkeit allenfalls bei potenzieller Nutzung zu wirtschaftlichen Zwecken bestehen soll. Wurde ein Entgelt bereits vereinnahmt, so ist ggf. nach erfolgter Korrektur diese zumindest durch eine kostenlose Auskunft nachzuweisen.

VIII. Verhältnis zu anderen Normen Die Ansprüche innerhalb des § 34 stehen nebeneinander. Sie können alternativ 83 und/oder kumulativ geltend gemacht werden, sind aber auch nur dann entsprechend dem Auskunftsverlangen des Betroffenen zu erfüllen. Die Ansprüche nach § 34 und insbesondere der aus Abs. 2 bestehen unabhängig 84 von dem Ergebnis der Entscheidung der verantwortlichen Stelle. Das unterscheidet § 34 von § 6a und § 29 Abs. 7. Daneben bestehen im Anwendungsbereich anderer Gesetze dem § 34 vorrangige 85 (s. § 1 Abs. 3) Auskunftsansprüche2. Zu denken ist hier insbesondere an die des § 13 TMG des § 93 TKG oder aber auch im Bereich des Sozialdatenschutzes3. Andere wiederum verweisen auf § 34. Daneben bestehen insbesondere im Rahmen von Beschäftigungsverhältnissen 86 zugunsten des Arbeitnehmers Auskunfts- und Informationsrechte4. Dabei wird teilweise von einem Vorrang der datenschutzrechtlichen Vorschriften ausgegangen5. Ein Anspruch eines abgewiesenen Bewerbers auf Auskunft darüber, ob ein anderer Bewerber eingestellt wurde und ggf. aufgrund welcher Kriterien das geschehen ist besteht allerdings nicht6.

IX. Rechtsfolgen/Sanktionen Ein Verstoß gegen § 34 wird nun in § 43 Abs. 8a sanktioniert. Aufgrund der 87 zahlreichen unbestimmten Rechtsbegriffe – sowohl in § 34 als auch in § 43 1 Däubler/Klebe/Wedde/Weichert/Däubler, § 34 BDSG Rz. 47. 2 Zur Betroffenenauskunft im Telekommunikationsrecht Bäcker, MMR 2009, 803; einen Überblick bietet Woff/Brink/Schmidt-Wudy, § 34 BDSG Rz. 9 ff. 3 S. zum Auskunftsanspruch gegen eine Krankenkasse, BSG v. 13.11.2012 – B 1 KR 13/12, ZD 2013, 360; keine Auskunftspflicht des Klinikträgers gegenüber einem Dritten über die Privatanschrift bei ihm angestellter Ärzte, BGH v. 20.1.2015 – VI ZR 137/14, NJW 2015, 1525. 4 Einzelheiten s. Simitis/Dix, § 34 BDSG Rz. 90 ff.; zur Einsicht in die Personalakte nach Beendigung des Arbeitsverhältnisses BAG v. 16.11.2011 – 9 AZR 573/09, NJW 2011, 1306; zur Einsicht des Betriebsrates in Gleitzeitlisten LAG Köln v. 28.6.2011 – 12 TaBV 1/11, ZD 2011, 183. 5 Riesenhuber, NZA 2014, 753. 6 BAG v. 25.4.2015 – 8 AZR 287/08, NZA 2014, 224.

Kamlah

|

843

§ 35 BDSG | Datenverarbeitung nicht-öffentlicher Stellen Abs. 8a selbst – (z.B. „nicht rechtzeitig“) ruft diese Sanktionierung aufgrund des mangelnden Bestimmtheitsgebotes verfassungsrechtliche Bedenken hervor. Es ist ohnehin bemerkenswert, dass die Nicht- oder Schlechterfüllung eines gesetzlichen Schuldverhältnisses zwischen dem Betroffenen und der verantwortlichen Stelle staatlich sanktioniert wird. Über § 38 ist ein Einschreiten der Aufsichtsbehörde denkbar.

§ 35 Berichtigung, Löschung und Sperrung von Daten (1) 1Personenbezogene Daten sind zu berichtigen, wenn sie unrichtig sind. Daten sind als solche deutlich zu kennzeichnen. 1 (2) Personenbezogene Daten können außer in den Fällen des Absatzes 3 Nr. 1 und 2 jederzeit gelöscht werden. 2Personenbezogene Daten sind zu löschen, wenn 1. ihre Speicherung unzulässig ist, 2. es sich um Daten über die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit, Sexualleben, strafbare Handlungen oder Ordnungswidrigkeiten handelt und ihre Richtigkeit von der verantwortlichen Stelle nicht bewiesen werden kann, 3. sie für eigene Zwecke verarbeitet werden, sobald ihre Kenntnis für die Erfüllung des Zwecks der Speicherung nicht mehr erforderlich ist, oder 4. sie geschäftsmäßig zum Zweck der Übermittlung verarbeitet werden und eine Prüfung jeweils am Ende des vierten, soweit es sich um Daten über erledigte Sachverhalte handelt und der Betroffene der Löschung nicht widerspricht, am Ende des dritten Kalenderjahres beginnend mit dem Kalenderjahr, das der erstmaligen Speicherung folgt, ergibt, dass eine längerwährende Speicherung nicht erforderlich ist. 3Personenbezogene Daten, die auf der Grundlage von § 28a Abs. 2 Satz 1 oder § 29 Abs. 1 Satz 1 Nr. 3 gespeichert werden, sind nach Beendigung des Vertrages auch zu löschen, wenn der Betroffene dies verlangt. (3) An die Stelle einer Löschung tritt eine Sperrung, soweit 1. im Fall des Absatzes 2 Satz 2 Nr. 3 einer Löschung gesetzliche, satzungsmäßige oder vertragliche Aufbewahrungsfristen entgegenstehen, 2. Grund zu der Annahme besteht, dass durch eine Löschung schutzwürdige Interessen des Betroffenen beeinträchtigt würden, oder 3. eine Löschung wegen der besonderen Art der Speicherung nicht oder nur mit unverhältnismäßig hohem Aufwand möglich ist.

2Geschätzte

844

|

Kamlah

§ 35 BDSG | Datenverarbeitung nicht-öffentlicher Stellen Abs. 8a selbst – (z.B. „nicht rechtzeitig“) ruft diese Sanktionierung aufgrund des mangelnden Bestimmtheitsgebotes verfassungsrechtliche Bedenken hervor. Es ist ohnehin bemerkenswert, dass die Nicht- oder Schlechterfüllung eines gesetzlichen Schuldverhältnisses zwischen dem Betroffenen und der verantwortlichen Stelle staatlich sanktioniert wird. Über § 38 ist ein Einschreiten der Aufsichtsbehörde denkbar.

§ 35 Berichtigung, Löschung und Sperrung von Daten (1) 1Personenbezogene Daten sind zu berichtigen, wenn sie unrichtig sind. Daten sind als solche deutlich zu kennzeichnen. 1 (2) Personenbezogene Daten können außer in den Fällen des Absatzes 3 Nr. 1 und 2 jederzeit gelöscht werden. 2Personenbezogene Daten sind zu löschen, wenn 1. ihre Speicherung unzulässig ist, 2. es sich um Daten über die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit, Sexualleben, strafbare Handlungen oder Ordnungswidrigkeiten handelt und ihre Richtigkeit von der verantwortlichen Stelle nicht bewiesen werden kann, 3. sie für eigene Zwecke verarbeitet werden, sobald ihre Kenntnis für die Erfüllung des Zwecks der Speicherung nicht mehr erforderlich ist, oder 4. sie geschäftsmäßig zum Zweck der Übermittlung verarbeitet werden und eine Prüfung jeweils am Ende des vierten, soweit es sich um Daten über erledigte Sachverhalte handelt und der Betroffene der Löschung nicht widerspricht, am Ende des dritten Kalenderjahres beginnend mit dem Kalenderjahr, das der erstmaligen Speicherung folgt, ergibt, dass eine längerwährende Speicherung nicht erforderlich ist. 3Personenbezogene Daten, die auf der Grundlage von § 28a Abs. 2 Satz 1 oder § 29 Abs. 1 Satz 1 Nr. 3 gespeichert werden, sind nach Beendigung des Vertrages auch zu löschen, wenn der Betroffene dies verlangt. (3) An die Stelle einer Löschung tritt eine Sperrung, soweit 1. im Fall des Absatzes 2 Satz 2 Nr. 3 einer Löschung gesetzliche, satzungsmäßige oder vertragliche Aufbewahrungsfristen entgegenstehen, 2. Grund zu der Annahme besteht, dass durch eine Löschung schutzwürdige Interessen des Betroffenen beeinträchtigt würden, oder 3. eine Löschung wegen der besonderen Art der Speicherung nicht oder nur mit unverhältnismäßig hohem Aufwand möglich ist.

2Geschätzte

844

|

Kamlah

Berichtigung, Löschung und Sperrung von Daten | § 35 BDSG

(4) Personenbezogene Daten sind ferner zu sperren, soweit ihre Richtigkeit vom Betroffenen bestritten wird und sich weder die Richtigkeit noch die Unrichtigkeit feststellen lässt. (4a) Die Tatsache der Sperrung darf nicht übermittelt werden. (5) 1Personenbezogene Daten dürfen nicht für eine automatisierte Verarbeitung oder Verarbeitung in nicht automatisierten Dateien erhoben, verarbeitet oder genutzt werden, soweit der Betroffene dieser bei der verantwortlichen Stelle widerspricht und eine Prüfung ergibt, dass das schutzwürdige Interesse des Betroffenen wegen seiner besonderen persönlichen Situation das Interesse der verantwortlichen Stelle an dieser Erhebung, Verarbeitung oder Nutzung überwiegt. 2Satz 1 gilt nicht, wenn eine Rechtsvorschrift zur Erhebung, Verarbeitung oder Nutzung verpflichtet. (6) 1Personenbezogene Daten, die unrichtig sind oder deren Richtigkeit bestritten wird, müssen bei der geschäftsmäßigen Datenspeicherung zum Zweck der Übermittlung außer in den Fällen des Absatzes 2 Nr. 2 nicht berichtigt, gesperrt oder gelöscht werden, wenn sie aus allgemein zugänglichen Quellen entnommen und zu Dokumentationszwecken gespeichert sind. 2Auf Verlangen des Betroffenen ist diesen Daten für die Dauer der Speicherung seine Gegendarstellung beizufügen. 3Die Daten dürfen nicht ohne diese Gegendarstellung übermittelt werden. (7) Von der Berichtigung unrichtiger Daten, der Sperrung bestrittener Daten sowie der Löschung oder Sperrung wegen Unzulässigkeit der Speicherung sind die Stellen zu verständigen, denen im Rahmen einer Datenübermittlung diese Daten zur Speicherung weitergegeben wurden, wenn dies keinen unverhältnismäßigen Aufwand erfordert und schutzwürdige Interessen des Betroffenen nicht entgegenstehen. (8) Gesperrte Daten dürfen ohne Einwilligung des Betroffenen nur übermittelt oder genutzt werden, wenn 1. es zu wissenschaftlichen Zwecken, zur Behebung einer bestehenden Beweisnot oder aus sonstigen im überwiegenden Interesse der verantwortlichen Stelle oder eines Dritten liegenden Gründen unerlässlich ist und 2. die Daten hierfür übermittelt oder genutzt werden dürften, wenn sie nicht gesperrt wären. I. Einführung . . . . . . . . . . . . . . . 1 II. Anwendungsbereich . . . . . . . . 8 1. Berichtigung von Daten (Abs. 1 Satz 1) . . . . . . . . . . . . . 9 2. Recht zur jederzeitigen Löschung (Abs. 2 Satz 1) . . . . . . . . . . . . . 13 3. Pflicht zur Löschung (Abs. 2 Satz 2) . . . . . . . . . . . . . 14 a) Unzulässige Speicherung . . . 17

b) Sensible Daten . . . . . . . . . . . c) Für eigene Zwecke nicht mehr erforderlich . . . . . . . . . . . . . d) Sondervorschrift für geschäftsmäßige Datenverarbeiter . . . 4. Löschung von Positivdaten auf Verlangen des Betroffenen (Abs. 2 Satz 3) . . . . . . . . . . . . . 5. Folgen bei Löschung . . . . . . . . .

Kamlah

|

18 19 22 29 32

845

§ 35 BDSG | Datenverarbeitung nicht-öffentlicher Stellen 6. Sperrung von Daten (Abs. 3, 4, 4a und 8) . . . . . . . . . 33 7. Widerspruch gegen die Erhebung, Verarbeitung und Nutzung aus wichtigem Grund (Abs. 5) . . 47 8. Ausnahme für geschäftsmäßige Datenverarbeiter – Gegendarstellung (Abs. 6) . . . . . . . . . . . . . . 50

9. Nachinformation, Folgenbeseitigung (Abs. 7) . . . . . . . . . . . . . . 53 III. Verhältnis zu anderen Normen 57 IV. Rechtsfolgen/Sanktionen . . . . . 63

Schrifttum: Conrad/Hausen, Datenschutzgerechte Löschung personenbezogener Daten, ITRB 2011, 35; Fraenkel/Hammer, Rechtliche Löschvorschriften, DuD 2007, 899; Gassner/ Schmidl, Datenschutzrechtliche Löschungsverpflichtung und zivilrechtliche Verjährungsvorschriften, RDV 2004, 153; Härting, „Prangerwirkung“ und „Zeitfaktor“ – 14 Thesen zu Meinungsfreiheit, Persönlichkeitsrechten und Datenschutz im Netz, CR 2009, 21; Hammer/Fraenkel, Löschkonzept, DuD 2007, 905; Hammer/Fraenkel, Löschklassen – Stadardisierte Fristen für die Löschung personenbezogener Daten, DuD 2011, 890; Homann, Sperrfrist beim Zweitantrag auf Restschuldbefreiung, ZVI 2012, 206; Kamlah/Hoke, Datenschutz und UWG – Unterlassungsansprüche bei Datenschutzverletzungen, RDV 2008, 226; Kamlah/Walter, Scoring – was ist zulässig und welche (Auskunfts-)rechte haben die Betroffenen?, PinG 2015, 159; Nolte, Zum Recht auf Vergessen im Internet, ZRP 2011, 236; Reck/Köster/Wathling, 1 1/ 2 Jahre neues Verbraucherinsolvenzrecht – ein Zwischenstand, ZVI 2016, 1; Riemann, Löschung personenbezogener Daten im Datenbestand von Wirtschaftsauskunfteien, RdV 2014, 144; Riesenhuber, Der Einsichts- und Löschungsanspruch nach §§ 34, 35 BDSG im Beschäftigungsverhältnis – Am Beispiel Personalakten, NZA 2014, 753; Wächter, Datenschutz als „Software-Routine“ – Ein datenschutzrechtlicher Implementierungsvorschlag, DuD 1996, 272; Winkelmann, Falschauskünfte von Auskunfteien, MDR 1995, 718.

I. Einführung 1 § 35 normiert als einzige datenschutzrechtliche Vorschrift im BDSG die Mög-

lichkeiten des Betroffenen, Einfluss auf die zu seiner Person gespeicherten Daten zu nehmen. Ausweislich der Überschrift sind dies die Berichtigung, die Löschung und die Sperrung von Daten. Das Recht aus § 35 vorzubereiten, ist Aufgabe der §§ 33 und 341. Nur wenn der Betroffene die Möglichkeit hat zu erfahren, welche Daten über ihn verarbeitet werden, ist er erst in die Lage versetzt geltend zu machen, dass Daten berichtigt, gelöscht oder gesperrt werden müssen (s. zum Stufenverhältnis der §§ 33–35, § 33)2.

2 Die Korrekturansprüche des § 35 sind auf personenbezogene Daten zugeschnit-

ten, deren Korrektur letztlich durch ein Verändern der gespeicherten Daten i.S.v. § 3 Abs. 4 Satz 2 Nr. 2 erreicht werden kann. Daher finden sie ihre Grenze

1 Simitis/Dix, § 34 BDSG Rz. 1. 2 Vgl. auch Simitis/Dix, § 35 BDSG Rz. 1 f.

846

|

Kamlah

Berichtigung, Löschung und Sperrung von Daten | § 35 BDSG

bei errechneten Wahrscheinlichkeitswerten. Die Richtigkeit dieser richtet sich vielmehr allein danach, ob im Anwendungsbereich des § 28b die dort genannten Voraussetzungen erfüllt sind. Sind danach die zugrunde gelegten Daten zulässigerweise verarbeitet und genutzt und ist die Wissenschaftlichkeit des Verfahrens gegeben, ist der darauf errechnete Wahrscheinlichkeitswert ebenso zutreffend und zulässig. Die Richtigkeit einer Wahrscheinlichkeitswertberechnung kann mithin (nur) durch eine Korrektur der zugrunde gelegten personenbezogenen Daten erreicht werden, nicht jedoch durch einen Eingriff in die Berechnung selbst, da dies mit der Zulässigkeitsvoraussetzung der Wissenschaftlichkeit nicht vereinbar wäre1. Auf zutreffender Tatsachengrundlage ermittelte Bonitätsbeurteilungen (Bonitätsindex) stellen vielmehr Werturteile dar2. Aus der Rechtsnatur des Scorewerts als Meinungsäußerung folgt, dass dieser keinem Korrekturanspruch zugänglich ist3. Dementsprechend besteht auch kein Anspruch auf einen „perfekten“ Score4. Die Ausübung der Ansprüche (zur Ausübung etwa durch Dritte, s.a. § 34) ist 3 an keine Form oder Frist gebunden (zur Frist die Korrektur vorzunehmen, s. Rz. 15)5. Der Betroffene soll seine Rechte gegenüber der verantwortlichen Stelle6 einfach und jederzeit geltend machen können. Allerdings hat der Betroffene die personenbezogenen Daten, deren Löschung, Berichtigung oder Sperrung er verlangt, möglichst genau zu bezeichnen, damit die verantwortliche Stelle den Anspruch auch erfüllen kann. Die genaue Bezeichnung ist auch deshalb erforderlich, da es Bestandteile von personenbezogenen Daten geben kann, deren Löschung, Berichtigung oder Sperrung nicht verlangt werden kann. Nur durch eine genaue Bezeichnung ist eine exakte Prüfung möglich, ob auch gerade dieses personenbezogene Datum zu löschen, berichtigen oder zu sperren wäre. Auch aus prozessrechtlichen Gründen ist eine genaue Bezeichnung geboten, da ein sonst etwa erstrittener Titel nur schwer vollstreckungsfähig sein dürfte7. Das Löschungsersuchen ist ferner auszulegen. Denkbar ist, dass nur Berichtigungsansprüche oder sog. Werbewidersprüche gemeint sind, wenn bspw. gefordert wird, „aus der Werbedatei“ gelöscht zu werden. Hier wird der Wunsch des Be1 Vgl. auch Gola/Schomerus, § 6a BDSG Rz. 19; OLG Schleswig-Holstein v. 14.4.2013 – 9 U 16/13. 2 BGH v. 22.2.2011 – VI ZR 120/10, NJW 2011, 2204; OLG Oldenburg v. 29.3.2016 – 13 U 61/15. 3 BGH v. 22.2.2011 – VI ZR 120/10; BGH v. 28.1.2014 – VI ZR 156/13, NJW 2014, 1235; OLG Frankfurt am Main v. 7.4.2015 – 24 U 82/14, ZRP 2014, 168 ; OLG Schleswig-Holstein v. 14.4.2013 – 9 U 16/13. 4 LG Wiesbaden v. 21.4.2011 – 9 O 277/10; OLG Düsseldorf v. 5.5.2010 – 15 U 40/09; OLG Hamm v. 4.4.2013 – I-6W 14/46. 5 Simitis/Dix, § 35 BDSG Rz. 68. 6 Zum Suchmaschinenbetreiber als verantwortliche Stelle EuGH v. 13.5.2014 – Rs. C-131/ 12 (Google Spain), NJW 2014, 2257. 7 Zur Bestimmtheit von Klageanträgen s. Zöller/Greger, § 253 ZPO Rz. 13.

Kamlah

|

847

§ 35 BDSG | Datenverarbeitung nicht-öffentlicher Stellen troffenen in der Regel durch die Aufnahme in die Sperrdatei und die Mitteilung darüber erfüllt, während eine Löschung der Daten bspw. aufgrund eines noch bestehenden Vertragsverhältnisses u.U. gar nicht möglich ist. 4 Teilweise können Löschungen, Berichtigungen oder Sperrungen eilbedürftig

sein1. Allerdings ist bei der Erhebung von Löschungsansprüchen im einstweiligen Rechtsschutz zu beachten, dass eine Vorwegnahme der Hauptsache grundsätzlich nicht erfolgen darf, weswegen ein Löschungsantrag im einstweiligen Verfügungsverfahren in aller Regel ausscheidet (zum Sperrungsanspruch s. Rz. 37).

5 Die Geltendmachung der in § 35 genannten Ansprüche setzt ein entsprechendes

Verlangen des Betroffenen voraus. Gleichwohl ergibt sich aus den formulierten Ansprüchen auch, dass die verantwortliche Stelle Geschäftsprozesse zu unterhalten hat, um ohne ausdrückliches Verlangen die entsprechenden Korrekturmechanismen zu realisieren2. Dementsprechend hat die verantwortliche Stelle bspw. die Verpflichtung zur Löschung (regelmäßig) selbst zu überprüfen bzw. entsprechende Lösch- und/oder Korrekturroutinen vorzuhalten3. Nach § 38 steht der zuständigen Datenschutzaufsichtsbehörde hier ein Kontrollrecht zu.

6 Wie § 34 kann auch § 35 nach § 6 Abs. 1 nicht durch Rechtsgeschäfte aus-

geschlossen oder beschränkt werden (zum Begriff des Rechtsgeschäfts und der Rolle von Betriebs- oder Dienstvereinbarungen s. § 6; zur Vererblichkeit s. § 34).

7 Anders als § 34 sieht § 35 keine Kostenregelung vor. Kosten der Umsetzung von

Rechten nach § 35 dürfen daher nicht auf die Betroffenen verlagert werden4. So muss für den Betroffenen die Berichtigung, Sperrung oder Löschung selbst kostenfrei sein. Demgegenüber geht bspw. jedoch das Porto für die Versendung des entsprechenden Korrekturersuchens zu Lasten des Betroffenen. Ob und in welcher Höhe ggf. Rechtsanwaltskosten erstattungsfähig sind, richtet sich nach den allgemeinen Regeln der Erforderlichkeit5.

II. Anwendungsbereich 8 Der Anwendungsbereich bestimmt sich nach § 27 (s. dort und § 28a). 1 Allerdings reicht der bloße Hinweis auf die Kündigung bestehender Geschäftsbeziehungen alleine hierzu nicht ohne Weiteres aus, OLG Saarbrücken v. 2.11.2011 – 5 U 187/1136, VersR 2012, 371. 2 S. auch Simitis/Dix, § 35 BDSG Rz. 1, 9 und 24. 3 Eingehend Fraenkel/Hammer, DuD 2007, 899; Hammer/Fraenkel, DuD 2007, 905; Hammer/Fraenkel, DuD 2011, 890; Conrad/Hausen, ITRB 2011, 35 (38 f.); zu den damit verbunden Problemen im Internet s. Simitis/Dix, § 35 BDSG Rz. 8; Nolte, ZRP 2011, 236; s. auch Gierschmann/Saeugling/Saeugling, § 35 BDSG Annex zu § 35. 4 Simitis/Dix, § 35 BDSG Rz. 5. 5 S. hierzu LG Berlin v. 14.1.2014 – 55 S 350/12.

848

|

Kamlah

Berichtigung, Löschung und Sperrung von Daten | § 35 BDSG

1. Berichtigung von Daten (Abs. 1 Satz 1) Nach Abs. 1 Satz 1 sind personenbezogene Daten zu berichtigen, wenn sie un- 9 richtig sind. Da Löschungsansprüche in den Abs. 2 ff. geregelt sind, steht der Berichtigungsanspruch unabhängig neben den Löschungsansprüchen1. Der Berichtigungsanspruch ist zu den Löschungsansprüchen (prozessual) auch kein Minus, sondern ein aliud. Allerdings setzt ein Berichtigungsanspruch zumindest implizit voraus, dass die 10 betreffenden personenbezogenen Daten zulässigerweise verarbeitet und genutzt werden und deshalb keinem Löschungsanspruch unterliegen. Dem Berichtigungsanspruch unterliegen damit bspw. (zulässigerweise) verarbeitet und genutzte Geburts- oder Adressdaten. So können nicht nur Hausnummern, denen lediglich ein sog. Zahlendreher zugrunde liegt berichtigt werden, sondern die Anschrift insgesamt, wenn diese bspw. im Anschluss an einen Umzug unrichtig geworden ist, die Anschrift insgesamt aber zulässigerweise verarbeitet oder genutzt werden darf – möglicherweise sogar muss2. Vom Berichtigungsanspruch erfasst sind ferner falsche Schreibweisen sowie fehlerhafte Kunden- oder Bestandsdaten; mithin jede fehlerhafte Angabe zum Betroffenen, die jedoch zulässigerweise verarbeitet und genutzt werden kann. Unrichtig können personenbezogene Daten aber auch dann sein, wenn sie zwar 11 für sich genommen nicht falsch, jedoch insgesamt unvollständig sind3. Die Daten müssen in Ansehung des beabsichtigten Kontextes richtig sein4. Technisch bedingte Abweichungen führen nicht per se zur Unrichtigkeit von Daten5. Eine „Bagatellgrenze“ gibt es allerdings nicht6. Nach Abs. 1 Satz 2 sind geschätzte Daten als solche zu kennzeichnen. Diese 12 Norm ist systemfremd verortet, da Schätzdaten nicht unrichtig, sondern eben nur geschätzt sind. Um jedoch den Anschein der Richtigkeit zu vermeiden, sind Schätzdaten als solche deutlich zu kennzeichnen7. Diese durch die sog. BDSG1 Vgl. Simitis/Dix, § 35 BDSG Rz. 25. 2 So weist Simitis/Dix, § 35 BDSG Rz. 7 und 9 zu Recht darauf hin, dass ein Berichtigungsanspruch unabhängig davon besteht, ob es sich um eine Bagatelle handelt. 3 Zu verallgemeinernden Informationen s. bereits BGHZ 8, 142 („langsamer Zahler“). 4 S. Simitis/Dix, § 35 BDSG Rz. 9 und 15, der in Rz. 21 sogar die Löschung für unzulässig hält, wenn das zur Unrichtigkeit führt; vgl. auch OLG Düsseldorf v. 11.5.2005 – 15 U 196/04, NJW 2005, 2401; OLG Karlsruhe v. 6.9.2005 – 17 U 75/05 für eine Forderungsdokumentation; zusammenfassend Kamlah/Hoke, RDV 2007, 242; einen Berichtigungsanspruch gegen eine Auskunftei wegen missverständlicher Auskunft verneinend OLG Karlsruhe v. 3.6.2014 – 12 U 24/14, ZD 2014, 474. 5 Gierschmann/Saeugling/Saeugling, § 35 BDSG Rz. 25. 6 Gierschmann/Saeugling/Saeugling, § 35 BDSG Rz. 26. 7 Entgegen Gola/Schomerus, § 35 BDSG Rz. 6a handelt es sich bei Schätzdaten gerade nicht um Scoring, da Scoring wissenschaftlich-mathematischen Ansprüchen genügen muss, s. auch die Komm. zu § 28b BDSG.

Kamlah

|

849

§ 35 BDSG | Datenverarbeitung nicht-öffentlicher Stellen Novelle I im Jahr 2010 eingeführte Norm1 greift eine bei Auskunfteien geführte Diskussion auf. Dort sind vielfach im Bereich von sog. Wirtschaftsauskünften typischerweise betriebswirtschaftliche Kennzahlen geschätzt, da diese stetigem Wandel unterliegen2. Die Kennzeichnung soll sowohl den Betroffenen (auf den die Wirtschaftsinformationen ggf. „durchschlagen“) als auch den Empfänger schützen und vermeiden, dass die entsprechende Information als Faktum aufgefasst wird3. Dementsprechend ist die Tatsache des Schätzdatums nicht nur im Datenbestand zu speichern, sondern auch direkt bei der Information im Rahmen einer Auskunft zu vermerken. Von Schätzdaten zu unterscheiden sind Wahrscheinlichkeitswerte nach § 28b, da letztere nach wissenschaftlichen Methoden gewonnen werden müssen, während erstere eben nur geschätzt sind4. Der Berichtigung zugänglich sind nur Tatsachen und nicht Werturteile5. 2. Recht zur jederzeitigen Löschung (Abs. 2 Satz 1) 13 Nach Abs. 2 Satz 1 können personenbezogene Daten jederzeit gelöscht6 werden.

Anders als Abs. 2 Satz 2, nach dem unter den dort genannten Voraussetzungen personenbezogene Daten verpflichtend zu löschen „sind“, ist Satz 1 als KannVorschrift ausgestaltet7. Damit stellt sich die Frage, ob jenseits des Satzes 2 seitens der verantwortlichen Stelle eine Interessenabwägung stattzufinden hat, die – ähnlich einer Ermessensentscheidung im öffentlichen Bereich – dazu führen kann, dass nach Satz 1 – bei einer entsprechend anzunehmenden Ermessensreduzierung auf Null – Daten zu löschen „sind“. Das ist jedoch zu verneinen. Die Frage der Zulässigkeit der Speicherung und die damit zusammenhängende Frage, ob personenbezogene Daten zu löschen sind, wird im Rahmen von Satz 2 und insbesondere nach dessen Nr. 1 geprüft. Die Kann-Vorschrift des Satzes 1 liegt vielmehr in der Systematik des § 4 begründet, wonach es für einen Datenverarbeitungsvorgang einer Rechtsgrundlage bedarf. Danach bedarf es auch für Löschungen als Verarbeitungsvariante des § 3 Abs. 4 einer Rechtsgrundlage8. Diese wird in § 35 Abs. 2 Satz 1 gegeben und regelt damit Löschungen, zu denen

1 BGBl. I, S. 2254. 2 Zur Zulässigkeit der Speicherung einzelner Wirtschaftsinformationen OLG Hamm v. 19.6.2000 – 6 U 238/99, NJW 2001, 979. 3 Entgegen Simitis/Dix, § 35 BDSG Rz. 18 soll mit der Vorschrift nicht das Scoring geregelt werden; die Regelung dessen erfolgte durch § 28b. 4 Abwegig daher Wolff/Brink/Brink, § 35 BDSG Rz. 18, die nach wissenschaftlichen Methoden ermittelten Scorewerten eine „besondere Ungenauigkeit“ unterstellen; Zur Unterscheidung auch in der Entstehungsgeschichte s. Helfrich, S. 187 f. 5 S. zur Abgrenzung und Einordnung bei Scorewerten BGH v. 22.2.2011 – VI ZR 120/10, NJW 2011, 2204; BGH v. 28.1.2014 – VI ZR 156/13, NJW 2014, 1235; zur Berichtigung ärztlicher Diagnose und Behandlungsdokumentationen Simitis/Dix, § 35 BDSG Rz. 17. 6 Zum Löschbegriff Conrad/Hausen, ITRB 2011, 35. 7 S. auch Simitis/Dix, § 35 BDSG Rz. 19. 8 Taeger/Gabel/Meents, § 35 BDSG Rz. 16.

850

|

Kamlah

Berichtigung, Löschung und Sperrung von Daten | § 35 BDSG

die verantwortliche Stelle berechtigt, aber nicht verpflichtet ist. Ein Anspruch auf Löschung kann damit auf Abs. 2 Satz 1 nicht gestützt werden1. Die Berechtigung zur Löschung ist sogar unter Verweis auf Abs. 3 Nr. 1 und 2 ausdrücklich eingeschränkt. Die Löschung „kann“ (gemeint ist hier „darf“) dann nicht erfolgen, wenn der Löschung gesetzliche (z.B. § 147 AO, §§ 238, 257 HGB oder § 28f SGB IV), satzungsmäßige oder vertragliche Aufbewahrungsfristen entgegenstehen oder ein Grund zu der Annahme besteht, dass durch eine Löschung schutzwürdige Interessen des Betroffenen beeinträchtigt würden. Danach reduziert sich der Anwendungsbereich des Abs. 2 Satz 1 auf die Fälle, in denen personenbezogene Daten zulässigerweise gespeichert sind, die verantwortliche Stelle diese aber löschen möchte und hierfür nach § 4 eine Ermächtigungsgrundlage braucht2. In der Praxis häufiger ist jedoch der Fall, dass personenbezogene Daten länger als erforderlich aufbewahrt werden und der Betroffene erst Ansprüche nach Abs. 2 Satz 2 Nr. 2 oder 3 bemühen muss. 3. Pflicht zur Löschung (Abs. 2 Satz 2) Abs. 2 Satz 2 formuliert unterschiedliche Fälle, nach denen personenbezogene 14 Daten zu löschen sind. Diese Verpflichtung zur Löschung kann durch den Betroffenen geltend gemacht werden, setzt aber dieses Verlangen nicht voraus3. Die Frage ist, in welchem Zeitraum ein Löschungsanspruch nach Anspruchsstel- 15 lung durch den Betroffenen zu erfüllen ist. Eine Frist ist hierfür nicht vorgesehen. Da Löschungsansprüche vor den Zivilgerichten durchzusetzen sind, bietet sich hierfür ein Rückgriff auf die allgemeinen zivilrechtlichen Regeln an. Nach § 271 BGB wären dementsprechend die Ansprüche sofort zu erfüllen. Gleichwohl wird man der verantwortlichen Stelle eine gewisse Zeit zur Prüfung des Anspruchs zubilligen müssen4. Dies gilt insbesondere für geschäftsmäßige Datenverarbeiter, die ihre Daten oft aus anderen Quellen erhalten haben. Diese Zeit sollte vier Wochen allerdings nicht übersteigen5. Damit stellt sich die Frage, wie in dieser Zwischenzeit die Rechte der Betroffenen gewahrt werden können (s. hierzu Rz. 39). Das führt zur Frage, ob richtige und zulässigerweise gespeicherte Daten derart in 16 die Disposition des Betroffenen gestellt werden dürfen, dass ein Löschungsgesuch (zum Begriff der Löschung s. § 3 Abs. 4 Nr. 5) davon abhängig gemacht werden kann, vorher zu erfahren, wie sich eine etwaige Löschung auf einen anschließend errechneten Wahrscheinlichkeitswert auswirkt. Die in § 35 normierten Ansprüche sind jedoch auf die aktuell verarbeiteten und genutzten Daten be1 2 3 4 5

Im Ergebnis so auch Gierschmann/Saeugling/Saeugling, § 35 BDSG Rz. 35. Von einer generellen Erlaubnis zur Löschung sprechen Gola/Schomerus, § 35 BDSG Rz. 10. Simitis/Dix, § 35 BDSG Rz. 24. LG Wiesbaden v. 29.6.2012 – 5 O 121/12. A.A. zumindest für Berichtigungen Däubler/Klebe/Wedde/Weichert/Däubler, § 35 BDSG Rz. 11 und Rz. 31 für die Sperrung.

Kamlah

|

851

§ 35 BDSG | Datenverarbeitung nicht-öffentlicher Stellen zogen und sollen den Betroffenen vor der Speicherung falscher oder unzulässig gespeicherter Daten schützen. Auch die Auskunftsansprüche in § 34 sind allenfalls auf die Offenbarung des sog. tagesaktuellen Wahrscheinlichkeitswertes bezogen (s. § 34 Abs. 4 Nr. 2), der eben auf Basis der Daten errechnet wird, die zu dem Zeitpunkt eben (zulässigerweise) verarbeiteten und genutzten Daten zugrunde lagen. Im Ergebnis heißt dies also, dass der Betroffene kein Recht hat, sein Löschungsgesuch unter die oben dargestellte Bedingung zu stellen. In der Praxis kann das dazu führen, dass zu einem Betroffenen, der sein Recht nach § 35 geltend gemacht hat, im Nachhinein ein schlechterer Wahrscheinlichkeitswert berechnet wird. Dieses aus der Sicht des Betroffenen unbefriedigend erscheinende Ergebnis hat jedoch seine Grundlage in den Scoreverfahren selbst. Danach kann der Betroffene auch nach berechtigter Geltendmachung von Rechten aus § 35 in eine andere Vergleichsgruppe fallen, die den zu seiner Person berechneten Wahrscheinlichkeitswert maßgeblich beeinflusst. Vergleichbar verhält es sich bspw. mit einem „zu Recht“ vollzogenen Wohnort- und/oder Fahrzeugwechsel, der dazu führen kann, dass sich aufgrund der damit gewechselten Vergleichsgruppe bspw. die Versicherungsprämie ändert (bzw. erhöht). Auch ein zwangsläufig stattfindender Geburtstag kann zu einem Schwellenwechsel führen, der sich ebenso auf die unterschiedlichsten Wahrscheinlichkeitswerte auswirken kann. Dementsprechend ist es konsequent, wenn der Gesetzgeber die Zulässigkeit von Scoreverfahren allein von den in § 28b genannten Faktoren abhängig macht, auf die Normierung weitergehender Rechte in § 35 aber ausdrücklich verzichtet. Ein Verstoß gegen ein Benachteiligungsverbot ist damit nicht verbunden1. Zudem sind auf zutreffender Datengrundlage ermittelte Bonitätsaussagen zulässig2. a) Unzulässige Speicherung 17 Nach Satz 2 Nr. 1 sind personenbezogene Daten zu löschen, wenn ihre Speiche-

rung unzulässig ist. Diese Vorschrift greift § 4 auf, wonach für die Erhebung, Verarbeitung und Nutzung von personenbezogene Daten eine Rechtsgrundlage vorliegen muss. Innerhalb des BDSG ist das bei Vorliegen einer Einwilligung nach § 4a oder bei Eingreifen einer entsprechenden gesetzlichen Zulässigkeitsnorm gegeben. Dementsprechend kann hier auf die Ausführungen zu den einschlägigen Zulässigkeitstatbeständen verwiesen werden. Liegen danach die entsprechenden Zulässigkeitstatbestände nicht (mehr) vor, sind die personenbezogenen Daten zu löschen3. Umstritten sind dabei die Rechtsfolgen des Widerrufs einer Einwilligung. Da diese nach den zivilrechtlichen Regelungen (nur) ex nunc 1 Zu diesen nach § 34 s. Simitis/Dix, § 34 BDSG Rz. 85. 2 BGH v. 22.2.2011 – VI ZR 120/10, NJW 2011, 2204. 3 Vgl. Simitis/Dix, § 35 BDSG Rz. 26, der allerdings unzutreffenderweise dort davon ausgeht, dass eine § 4 Abs. 3 Zulässigkeitsvoraussetzung darstellt; zum Löschungsanspruch eines Arztes gegen ein Bewertungsportal BGH v. 23.9.2014 – VI ZR 358/13, NJW 2015, 489; zusammenfassend Gola/Schomerus, § 35 BDSG Rz. 2a und b.

852

|

Kamlah

Berichtigung, Löschung und Sperrung von Daten | § 35 BDSG

wirkt1, stellt sich die Frage, ob gleichwohl damit eine Verpflichtung zur Löschung ausgelöst wird2. b) Sensible Daten Satz 2 Nr. 2 greift die sensiblen Daten nach § 3 Abs. 9 auf. Über den Katalog des 18 § 3 Abs. 9 erfasst Abs. 2 Satz 2 Nr. 2 aber auch Daten über strafbare Handlungen oder Ordnungswidrigkeiten. Diese sind zu löschen, wenn von der verantwortlichen Stelle ihre Richtigkeit nicht bewiesen werden kann. Die Formulierung ähnelt der des Abs. 4, stellt aber jedenfalls vom Wortlaut her anders als dort auf die Beweisbarkeit der Richtigkeit ab. Für die verantwortliche Stelle ergeben sich damit aber keine höheren Anforderungen als bei Abs. 4. Bei sensiblen Daten soll eben anstatt der Sperrung sogleich die Löschung treten, wenn die Richtigkeit nicht bewiesen werden kann. Damit wird diese Kategorie personenbezogener Daten (bzw. die Personen selbst) besonders geschützt3. c) Für eigene Zwecke nicht mehr erforderlich Nach Satz 2 Nr. 3 sind personenbezogene Daten zu löschen, wenn sie für eigene 19 Zwecke verarbeitet werden und ihre Kenntnis für die Erfüllung des Zwecks der Speicherung nicht mehr erforderlich ist. Die Vorschrift greift § 28 auf. Die Zulässigkeit der Erhebung, Speicherung, Veränderung oder Übermittlung personenbezogener Daten ist für die initiale Phase der Datenverarbeitung bspw. in § 28 Abs. 1 geregelt. Da die Verarbeitungsvariante der Speicherung auch dort genannt ist, ist die Zulässigkeit der Speicherung schon dort zu prüfen. § 35 Abs. 2 Satz 2 Nr. 3 stellt demgegenüber klar, dass auch die (fortwährende) Speicherung dem Zweck entsprechend erforderlich sein muss. Ob und wann dann dementsprechend zu löschen ist, richtet sich nach dem individuellen Zweck und der daran anknüpfenden Erforderlichkeit4. Für die Praxis entsteht dadurch die Schwierigkeit, dass diese im Grundsatz bestehende individuelle Prüfungsanforderung statische Löschregeln ausschließt. Gleichwohl wird man Kategorisierungen zulassen müssen. So wird man bspw. bei der Dokumentation einer Kundenhistorie nicht die Erforderlichkeit hinsichtlich jedes Einzeldatums isoliert hinterfragen können, da Einzeldaten ggf. nur in Zusammenhang mit anderen Daten überhaupt erst einen Sinn ergeben können (zur Bedeutung des Kontextes s. Rz. 11). Vielmehr wird man Datensätze einer Kundenhistorie insgesamt betrachten müssen und diese zusammen mit einer gemeinsamen Erforderlichkeitsprüfung unterziehen. Aber auch hier kann das Ergebnis der Beurteilung 1 2 3 4

Taeger/Gabel/Meents, § 35 BDSG Rz. 20. So aber offenbar Simitis/Dix, § 35 BDSG Rz. 26, 36 und 43. S. im Einzelnen im Ergebnis aber teilweise zu weitgehend Simitis/Dix, § 35 BDSG Rz. 27 ff. Zur Zweckänderung zur Durchführung von Werbemaßnahmen Gola/Schomerus, § 35 BDSG Rz. 13.

Kamlah

|

853

§ 35 BDSG | Datenverarbeitung nicht-öffentlicher Stellen höchst unterschiedlich ausfallen. Teilweise bestehen gesetzliche Befugnisse zur Speicherung (vgl. §§ 95 ff. TKG). Andererseits wird bei einem Vertragsverhältnis danach zu unterscheiden sein, ob dieses vertragsgemäß erfüllt wurde oder noch Gewährleistungs- und/oder Verjährungsfristen1 laufen. Bei Dauerschuldverhältnissen ist eine Speicherung des Kundendatensatzes sicher so lange erforderlich, so lange das Schuldverhältnis fortbesteht. Im arbeitsrechtlichen Bereich können bspw. Bewerbungsunterlagen aufbewahrt werden bis die sog. „AGGFristen“ einschließlich eines „Zustellaufschlages“ für Gerichtspost abgelaufen sind2. Sachverhalte über Reklamationen und/oder Prozesse können so lange gespeichert bleiben, wie die entsprechenden Verfahren noch nicht abgeschlossen sind oder daraus Ansprüche erwachsen können. In keinem Fall ist die verantwortliche Stelle verpflichtet, etwaiges für sie relevantes Material zu vernichten3. Eine „Regelspeicherungdauer“ für erledigte Sachverhalte kann sich mithin an den zivilrechtlichen Verjährungsfristen orientieren. 20 Die Löschungsverpflichtung bezieht sich dabei auf den Zweck, zu dem die Spei-

cherung ursprünglich erfolgt war. Über diesen Zweck hinaus kann es Zwecke geben, die eine fortwährende Speicherung vorschreiben (z.B. gesetzliche Aufbewahrungspflichten), wobei die Nutzung für den ursprünglichen Zweck dann ausgeschlossen sein kann (s. auch Abs. 3 wonach an die Stelle der Löschung die Sperrung tritt).

21 In technischer Hinsicht sollten die Systeme der verantwortlichen Stelle so aus-

gestaltet sein, dass eine Löschung auch tatsächlich möglich ist4. Insoweit hat die verantwortliche Stelle gleichzeitig eine Systemverantwortung5. d) Sondervorschrift für geschäftsmäßige Datenverarbeiter

22 Satz 2 Nr. 4 enthält eine Sondervorschrift für geschäftsmäßige Datenverarbei-

ter6. Danach hat – differenziert danach, ob es sich um einen erledigten oder einen unerledigten Sachverhalt handelt – nach einem bestimmten Zeitraum eine Prüfung dahingehend zu erfolgen, ob eine längerwährende Speicherung noch erforderlich ist. Die Vorschrift wirft viele Fragen auf.

23 Die Fristbestimmung, nach der die sog. Regelprüfung zu erfolgen hat, lässt das

Kalenderjahr der erstmaligen Speicherung unberücksichtigt und zählt dann erst die folgenden vollen Kalenderjahre. Für nicht erledigte Sachverhalte beträgt die

1 Hierzu einschränkend Simitis/Dix, § 35 BDSG Rz. 38 und Gassner/Schmidl, RDV 2004, 153. 2 Gola/Schomerus, § 35 BDSG Rz. 13b; Gierschmann/Sauegling/Saeugling, § 35 BDSG Rz. 60. 3 Z.B. Aufbewahrung aus Gründen des AGG, s. Simitis/Dix, § 35 BDSG Rz. 39. 4 Dies ist allerdings immer noch nicht bei allen ERP-Systemen gegeben. 5 Vgl. auch Hammer/Frankel, DuD 2011, 35. 6 Allgemein zur Löschung bei Wirtschaftsauskunfteien, Riemann, RdV 2014, 144.

854

|

Kamlah

Berichtigung, Löschung und Sperrung von Daten | § 35 BDSG

Frist also maximal vier Jahre minus einen Tag und für erledigte Sachverhalte dementsprechend drei Jahre minus einen Tag1. Die Zulässigkeit der Speicherung erledigter Sachverhalte wurde damit vom Gesetzgeber ausdrücklich anerkannt. Für die Fristbestimmung wird entscheidend, wann ein erledigter bzw. ein nicht 24 erledigter Sachverhalt vorliegt. Erledigte Sachverhalte sind abgeschlossene Vorgänge wie erfüllte Verträge (vgl. § 24c Abs. 1 Satz 3 und 4 KWG), ausgeglichene Forderungen2 oder abgeschlossene Verfahren3. Erledigt sind diese Vorgänge allerdings erst im Zeitpunkt ihrer Erledigung, so dass die Prüffrist auch erst zu diesem Zeitpunkt zu laufen beginnt4. Dementsprechend sind unerledigte Sachverhalte alle noch laufenden Vorgänge 25 wie das Fortbestehen von Dauerschuldverhältnissen oder Sachverhalte, in denen noch Ansprüche zwischen den Vertragsparteien geltend gemacht werden können. Für die Fristbestimmung ist dabei an das Datum anzuknüpfen, an dem die Information über den nicht erledigten Sachverhalt letztmalig aktualisiert wurde (vgl. § 28a Abs. 3)5. Bei erledigten Sachverhalten hängt aber die Löschung auch noch davon ab, ob 26 der Betroffene der Löschung widerspricht. Der Gesetzgeber geht offenbar davon aus, dass es erledigte Sachverhalte gibt, deren fortwährende Speicherung sich für den Betroffenen in irgendeiner Weise positiv darstellt6. Inwieweit die 1 So auch im Ergebnis die Berechnung von Simitis/Dix, § 35 BDSG Rz. 42. Irritierend ist insoweit, dass der Gesetzgeber im Rahmen der BDSG-Novelle I im Jahre 2009/2010, BGBl. I, S. 2254 nicht nur eine Differenzierung zwischen erledigten und nicht erledigten Sachverhalten vorgenommen, sondern auch den Anknüpfungspunkt für die Fristberechnung verschoben hat, da nach dem BDSG 2001 das Jahr der Speicherung mitgezählt wurde. Das führt zumindest für nicht erledigte Sachverhalte nunmehr zu einer Fristverlängerung, während die Frist für erledigte Sachverhalte zumindest nach dem jetzigen Wortlaut der Vorschrift – entgegen der Gesetzesbegründung (BT-Drucks. 16/10529, S. 18) – gleichblieb. Dieser Widerspruch zwischen Gesetzesbegründung und Gesetzestext mag damit zusammenhängen, dass das BDSG 1991 ebenfalls eine andere Fristberechnung enthielt; zum Löschungsanspruch gegen einen Suchmaschinenbetreiber einer 16 Jahre alten Information EuGH v. 13.5.2014 – Rs. C-131/12 (Google Spain), NJW 2014, 2257. 2 BVerfG v. 25.7.1988 – 1 BvR 109/85, RDV 1989, 77; AG Duisburg v. 10.4.2001 – 7 N 105/ 97, ZInsO 2001, 573; AG Köln v. 22.7.2003 – 71 IN 453/02, ZInsO 2003, 957. 3 Zur Zulässigkeit der Löschung von Informationen über eine erteilte Restschuldbefreiung erst nach Ablauf von drei Kalenderjahren OLG Frankfurt a.M. v. 1.9.2009 – 21 U 45/09; LG Wiesbaden v. 17.12.2010 – 8 O 158/10; LG Regensburg v. 26.9.2008 – 2 S 229/07; seitdem ständige Rechtsprechung zuletzt OLG Frankfurt v. 14.12.2015 – 1 U 128/15; zum Löschungsanspruch bei Nichtweiterverfolgung der Forderung OLG München v. 22.6.2010 – 5 U 2020/10, MMR 2011, 209. 4 Vgl. LG Wiesbaden v. 15.4.2014 – 1 O 22/14; AG Lahnstein v. 16.8.2013 – 20 C 398/13. 5 Vgl. VG Karlsruhe v. 26.10.2012 – 6 K 1837/12, wonach die Fristen für jedenfalls bei neuen Insolvenzinformationen neu zu laufen beginnen. 6 Die Gesetzesbegründung BT-Drucks. 16/10529, S. 18 f. enthält hierzu keine weiteren Ausführungen.

Kamlah

|

855

§ 35 BDSG | Datenverarbeitung nicht-öffentlicher Stellen Löschung damit von der Disposition des Betroffenen abhängig zu machen ist, wird im Gesetz nicht weiter ausgeführt. Der verantwortlichen Stelle als geschäftsmäßigem Datenverarbeiter wird es im Rahmen von Massendatenverarbeitungsvorgängen aber nicht zuzumuten sein, im Rahmen der Lösch- bzw. Prüffristen mit den Betroffenen Kontakt aufzunehmen und sie über die bevorstehende Löschung zu informieren und sie quasi um deren Einverständnis zu bitten1. Vielmehr spricht das Wort „Widerspruch“ dafür, dass der Betroffene nachträglich dem an sich schon stattgefundenen Datenverarbeitungsvorgang der Löschung widersprechen und dementsprechend die Wiederaufnahme des gelöschten Datums verlangen kann (vgl. auch § 28 Abs. 4 und § 35 Abs. 5), indem der Betroffene die bei ihm noch vorhandene Information wieder zur Verfügung stellt. Für die nachträgliche Anwendung des Widerspruchsrechts spricht auch, dass die verantwortliche Stelle nicht weiß, welche erledigten Sachverhalte der Betroffene für sich als positiv empfindet und deswegen die fortwährende Speicherung wünscht. In aller Regel wird es auch dem Interesse des Betroffenen entsprechen, wenn Daten gelöscht werden. Ob und welche Daten zu ihm gespeichert sind, kann der Betroffene über § 34 erfahren. 27 Das Gesetz spricht ausdrücklich von einer Pflicht, nach der – nach Ablauf der

jeweiligen Frist – lediglich eine Prüfung erfolgen muss2, ob eine weitere Speicherung der Daten erforderlich ist3. Damit scheinen statische Löschfristen nicht geboten zu sein, die dazu führen, dass die entsprechenden Daten automatisch gelöscht werden. Vielmehr kann die verantwortliche Stelle auch länger währende Speicherungen vorsehen. Weil die Gesetzesbegründung davon spricht, dass das Datum länger gespeichert werden „kann“4, besteht umgekehrt damit eine Verpflichtung zu einer fortwährenden Speicherung nicht. Entscheidend ist jedoch, dass die fortwährende Speicherung überhaupt zulässig ist. Diese Frage ist aber nach den allgemeinen Regeln zu beurteilen. Gleichwohl lassen sich aus den in Satz 2 Nr. 4 genannten Fristen sog. Regelspeicherungsfristen für bestimmte Datenkategorien ableiten. Ist danach die Speicherungsdauer erreicht, müssen sogar hinsichtlich dieser Datenkategorien (statische) Löschroutinen zugunsten des Betroffenen etabliert werden, so dass sich Prüfungspflicht und Löschfrist gleichermaßen synchronisieren5.

1 So auch Gola/Schomerus, § 35 BDSG Rz. 14. 2 Nach OLG München v. 16.5.2011 – 21 U 968/11 besteht kein Anspruch auf Löschung vor Ablauf der Frist. 3 Vgl. auch Gola/Schomerus, § 35 BDSG Rz. 14. 4 BT-Drucks. 16/10529, S. 18 f. 5 Dieser Effekt ist insbesondere bei den Auskunfteien zu beobachten; vgl. hierzu LG Hamburg v. 16.8.1996 – 317 S 354/95, NJW-RR 1996, 1522, das sich bei der zulässigen Speicherungsdauer an der (seinerzeit) geltenden Frist orientiert, aber eine länger währende Speicherung explizit nicht ausschließt; eingehend zur Problematik auch Hammer/Fraenkel, DuD 2011, 890.

856

|

Kamlah

Berichtigung, Löschung und Sperrung von Daten | § 35 BDSG

Für Auskunfteien, die Bonitätsinformationen zur Verfügung stellen, spielt dabei 28 insbesondere eine Rolle, ob die gespeicherte und übermittelte Information vom Betroffenen hinzunehmen ist. Hier hat der Gesetzgeber über § 29 Abs. 1 Satz 1 Nr. 3 i.V.m. Abs. 2 eine grundsätzliche Wertung dahingehend vorgenommen, dass zulässigerweise an Auskunfteien übermittelte Daten dort auch gespeichert bzw. von diesen beauskunftet werden können. In der Rechtsprechung finden sich zahlreiche Bespiele, aus den sich diese Wertung ebenso nachvollziehen lässt1. Auch Informationen, die nicht direkt die angefragte Stelle betrafen wurden für wesentlich gehalten. So wurde sowohl für den Fall, dass in der Auskunft über eine Gesellschaft kreditrelevante Informationen der natürlichen Person enthalten2 waren, als auch für den umgekehrten Fall, in dem die Auskunft über die natürliche Person kreditrelevante Daten des Unternehmens3 enthielt, bejaht, dass insbesondere Informationen, die den Kreditgeber zu einer sorgfältigen Bonitätsprüfung veranlassen, in den entsprechenden Auskünften enthalten sein dürfen4. Ein Anspruch auf vorzeitige Löschung besteht nach Satz 2 Nr. 4 nicht5. 4. Löschung von Positivdaten auf Verlangen des Betroffenen (Abs. 2 Satz 3) Abs. 2 Satz 3 wurde durch die BDSG-Novelle I im Jahr 2010 neu eingefügt6.

29

Ausweislich der Gesetzesbegründung sollte damit ein Gleichlauf hinsichtlich der personenbezogenen Daten geschaffen werden, die auf Basis einer Einwil1 Zur Übermittlung einer Information über Rückstände nach Zwangsmaßnahmen KG Berlin v. 30.8.1994 – 7 U 5713/93, CR 1995, 80; zur Angabe „JVA“ OLG Celle v. 8.12.1993 – 3 U 48/93, zu Voranschriften und sich etwa daraus ableitenden häufigen Umzügen LG Hamburg v. 16.8.1996 – 317 S 354/95, NJW-RR 1996, 1522; zur Restschuldbefreiung OLG Frankfurt a.M. v. 1.9.2009 – 21 U 45/09; LG Wiesbaden v. 21.10.2010 – 5 T 9/10, MMR 2011, 348; vgl. OLG Karlsruhe v. 12.3.2012 – 8 U 166/11; st. Rspr. zuletzt auch OLG Frankfurt v. 14.12.2015 – 1 U 128/15; zur sog. Sperrzeitrechtsprechung des BGH aus der die Zulässigkeit der Speicherung von Insolvenzdaten abgeleitet werden kann zusammenfassend, Homann, ZVI 2012, 206; ob diese Rechtsprechung nach der Reform des Verbraucherinsolvenzrechts aufrecht erhalten werden kann erörtern Reck/Köster/Wathling, ZVI 2016, 1; die Europarechtskonformität der Speicherung von Restschuldbefreiungen feststellend OLG Hamm v. 20.9.2012 – I-6 W 44/12; dagegen war bei dem sog. Rostocker Schuldnerspiegel der Rückschluss auf die Zahlungsunwilligkeit- oder Unfähigkeit nicht zwingend möglich, s. BVerfG v. 9.10.2001 – 1 BvR 622/01, NJW 2002, 741. 2 BGH v. 24.6.2003 – VI ZR 3/03, NJW 2003, 2904; BGH v. 22.2.2011 – VI ZR 120/10, NJW 2011, 2204. 3 BGH v. 17.12.1985 – VI ZR 244/84, NJW 1986, 2505. 4 Zum zulässigen Umfang von Wirtschaftsinformationen OLG Hamm v. 19.6.2000 – 6 U 238/99, NJW 2001, 979; zu Bonitätsbewertungen BGH v. 22.2.2011 – VI ZR 120/10, NJW 2011, 2204. 5 Vgl. LG Wiesbaden v. 5.7.2007 – 7 O 175/07. 6 BGBl. I, S. 2254.

Kamlah

|

857

§ 35 BDSG | Datenverarbeitung nicht-öffentlicher Stellen ligung gespeichert werden, und der Daten, die aufgrund des neu geschaffenen gesetzlichen Zulässigkeitstatbestandes nach § 28a Abs. 2 bzw. der daraus resultierenden Speicherbefugnis nach § 29 Abs. 1 Satz 1 Nr. 3 gespeichert werden1. Dabei ging der Gesetzgeber offenbar davon aus, dass ein Widerruf zu einer erteilten Einwilligung zu einer Löschungsverpflichtung nach Abs. 2 Satz 2 Nr. 1 führt2. Daher sollte eine entsprechende Löschungsverpflichtung für personenbezogene Daten geschaffen werden, die auf Basis eines gesetzlichen Erlaubnistatbestandes gespeichert worden sind. Der Widerruf zu einer Einwilligung und das Löschungsersuchen nach Abs. 2 Satz 3 sollten die gleichen Rechtsfolgen haben. Die der Vorschrift zugrundeliegende Annahme, dass ein Widerruf zu einer erteilten Einwilligung zu einer Löschungsverpflichtung führt, ist jedoch insoweit fehlerhaft, als dass ein Widerruf einer erteilten Einwilligung nicht ex tunc, sondern nach allgemeiner Ansicht ex nunc wirkt3. Die Zulässigkeit einer auf Basis einer Einwilligung erfolgten Speicherung kann mithin nicht rückwirkend beseitigt werden. Sofern die Einwilligung den Ansprüchen der informierten Einwilligung genügt, ist auch die dann in aller Regel beschriebene weitere Verarbeitung des einmal auf Basis einer Einwilligung gewonnenen personenbezogenen Datums nicht ausgeschlossen4. Bezogen auf § 28a Abs. 2 sind nach Widerruf der Einwilligung lediglich weitere Übermittlungen an Auskunfteien ausgeschlossen, die sich auf die entsprechende Geschäftsbeziehung beziehen (vgl. § 28a Abs. 3). Ob die fehlende Aktualisierungsmöglichkeit des ursprünglich übermittelten Datums für sich genommen zu einer Löschungsverpflichtung führt, ist eine andere Frage und hängt davon ab, ob und wie man die fehlende Korrekturmöglichkeit mit Blick auf die ursprünglich gespeicherte Information beurteilt (zum Kontextverlust s. Rz. 11). 30 Die Vorschrift ist jedoch noch aus einem anderen Grund missglückt. Durch den

Verweis auf § 29 Abs. 1 Satz 1 Nr. 3 stünden dem Wortlaut nach auch Daten nach § 28a Abs 1 in der Disposition des Betroffenen, da § 29 Abs. 1 Satz 1 Nr. 3 auch auf den § 28a Abs. 1 verweist. Das war jedoch erkennbar nicht gemeint. Vielmehr hätte der Wortlaut der Vorschrift nicht „§ 28a Abs. 2 Satz 1 oder § 29Abs. 1 Satz 1 Nr. 3“, sondern entsprechend der Gesetzesbegründung umgekehrt „§ 29 Abs. 1 Satz 1 Nr. 3 in Verbindung mit § 28a Abs. 2“ lauten müssen5. Der Verweis sollte sich offensichtlich nur auf den Abs. 2 des § 28a beziehen.

31 Gemeint dürfte mithin Folgendes gewesen sein: Anknüpfungspunkt der Norm

war ausweislich der Gesetzesbegründung § 28a Abs. 2. Motiv für die Regelung war die Schaffung einer Löschungsverpflichtung für auf Basis des gesetzlichen

1 BT-Drucks. 16/10529, S. 19. 2 Nicht etwa Abs. 2 Satz 1 Nr. 1 wie es in der Gesetzesbegründung fälschlicherweise heißt, BT-Drucks. 16/10529, S. 19. 3 So bereits OLG Düsseldorf v. 12.7.1985 – 15 U 240/84, WM 1985, 1220. 4 KG Berlin v. 30.8.1994 – 7 U 5713/93, CR 1995, 80. 5 S. BT-Drucks. 16/10529, S. 19.

858

|

Kamlah

Berichtigung, Löschung und Sperrung von Daten | § 35 BDSG

Zulässigkeitstatbestandes nach § 28a Abs. 2 übermittelter sog. Positivdaten. Während man hinsichtlich der sog. Negativdaten nach § 28a Abs. 1 in aller Regel ein schutzwürdiges Interesse des Betroffenen an der Verarbeitung und Nutzung verneint, sollen sog. Positivdaten in der Disposition des Betroffenen stehen. Bei Schaffung der Norm stand vermutlich die Praxis einiger Auskunfteien Pate, die sog. Positivdaten bei Widerruf der zugrundeliegenden Einwilligung tatsächlich – aber im Grunde überobligatorisch – löschten. Die ohne Einwilligung nach § 28a Abs. 2 übermittelten Positivdaten sollten insoweit nicht anders behandelt werden dürfen. 5. Folgen bei Löschung Die Verpflichtung der verantwortlichen Stelle beschränkt sich dabei dann nur 32 auf die Löschung selbst. Keine Verpflichtung besteht hingegen, den Betroffenen über etwaige Folgen einer Löschung aufzuklären. Diese Löschungen können sich bspw. auf im Rahmen von Scoringverfahren nach § 28b errechnete Wahrscheinlichkeitswerte auswirken. Danach wirkt sich niemals eine Information (linear) auf einen bestimmten Wahrscheinlichkeitswert aus. Dieser setzt sich vielmehr aus dem Zusammenspiel der im Zeitpunkt der Berechnung vorliegenden Informationen zusammen, so dass eine Vorhersage darüber, wie sich eine etwaige Löschung zu einem bestimmten Zeitpunkt auf einen ggf. viel später liegenden Zeitpunkt der Wahrscheinlichkeitswerterrechnung auswirkt, seriös ohnehin nicht getroffen werden kann. 6. Sperrung von Daten (Abs. 3, 4, 4a und 8) Abs. 3 Nr. 1 formuliert für die Fälle des Abs. 2 Satz 2 Nr. 3 – also (nur) für die 33 Fälle der Speicherung für eigene Zwecke – Tatbestände, nach denen an die Stelle der Löschung die Sperrung tritt. Die Sperrung ist in § 3 Abs. 4 Satz 2 Nr. 4 definiert. Danach ist zu sperren, wenn einer Löschung gesetzliche, satzungsmäßige oder 34 vertragliche Aufbewahrungsfristen entgegenstehen1. Im Zusammenspiel mit Abs. 2 Satz 2 Nr. 3 bedeutet dies, dass die Daten zwar zum Zwecke der Sperrung gespeichert bleiben dürfen, das aber auch nur für den Zweck, für den sie gesperrt sind und deretwegen sich eine Löschung verbietet. Eine darüber hinausgehende Verarbeitung und Nutzung (z.B. wie für den ursprünglichen Zweck) ist unzulässig. Ebenso tritt an die Stelle der Löschung die Sperrung, wenn Grund zu der An- 35 nahme besteht, dass durch eine Löschung schutzwürdige Interessen des Betroffenen beeinträchtigt würden, Abs. 3 Nr. 2. Das kann der Fall sein, wenn zwar 1 § 147 AO, §§ 238, 257 HGB, § 28f SGB IV, § 273 Abs. 2 AktG, § 74 Abs. 2 GmbHG, § 93 GenG.

Kamlah

|

859

§ 35 BDSG | Datenverarbeitung nicht-öffentlicher Stellen

36

37

38

39

die eigentliche Speicherung unzulässig geworden ist, der Betroffene aber – etwa zur Beweissicherung – ein Interesse an der Sperrung hat. Einen heutzutage wenig wahrscheinlichen Fall formuliert Abs. 3 Nr. 3. Danach tritt an die Löschung die Sperrung, wenn wegen der besonderen Art der Speicherung eine Löschung nicht oder nur zu einem unverhältnismäßig hohen Aufwand möglich ist. Zum einen hat die verantwortliche Stelle eine Organisationsverpflichtung, dass Daten so gespeichert werden, dass sie auch einer Löschung zugänglich sind (vgl. § 3a). Zum anderen ist im Zweifel der Aufwand für eine Sperrung nicht weniger gering als für eine Löschung1. Personenbezogene Daten sind ferner zu sperren, soweit die Richtigkeit (nicht etwa Zulässigkeit) vom Betroffenen bestritten wird und sich weder die Richtigkeit noch die Unrichtigkeit feststellen lässt, Abs. 4. Das bedeutet, dass die verantwortliche Stelle (nur dann) verpflichtet ist die Daten zu sperren, wenn nach Ausschöpfung aller Beweismittel sich nicht feststellen lässt, welcher Beteiligte Recht hat2. Das bloße (nach erfolgter Übermittlung – zum Bestreiten vor Übermittlung forderungsbezogener Daten, s. § 28a Abs. 1 Satz 1 Nr. 4d) Bestreiten rechtfertigt eine Sperrung (oder gar Löschung) nicht3. Daher rechtfertigt auch ein anhängiges Hauptsache- oder einstweiliges Verfügungsverfahren eine Sperrung nicht, da die Richtigkeit des Datums noch in einem Hauptsacheverfahren geklärt werden kann und insoweit (noch) keine endgültige Unklarheit über die Richtigkeit besteht. Da diese Vorschrift in einem eigenen Absatz gefasst ist, gilt sie für sämtliche Fälle des § 35 Abs. 2 gleichermaßen. Gleichwohl stellt sich hier die Frage der praktischen Anwendbarkeit, denn wenn sich die Richtigkeit eines personenbezogenen Datums (endgültig) nicht beweisen lässt (non-liquet), liegt eine Löschungsverpflichtung zumindest nahe. Der Zweck einer Sperrung lässt sich bei einer endgültigen Nichtbeweisbarkeit nicht erreichen. Da Abs. 4 eine endgültige Nichtbeweisbarkeit voraussetzt, stellt sich die Frage, wie bis zu dem Zeitpunkt verfahren werden kann, an dem die Nichtbeweisbarkeit erst feststeht. Für solche Fälle besteht das praktische Bedürfnis den Datenbestand zu ergänzen, zu relativieren oder zu korrigieren. Es stellt sich die weitere Frage, wie verfahren werden kann, wenn die verantwortliche Stelle die gegen sie erhobenen Ansprüche prüfen möchte bzw. prüfen muss und dies eine gewisse Zeit in Anspruch nimmt. Eine Sperrung würde einem Anerkenntnis oder einer Vorwegnahme der Hauptsache gleichkommen, wenn diese wie eine Löschung wirkt, weil die Daten zum Zwecke der Übermittlung vorgehalten werden. Dies würde bei regelmäßigen Datenempfängern den (u.U. sogar fälschlichen) Eindruck erwecken, die Daten seien zurecht gelöscht 1 Zum Problem bei Marktsegmentierungsdaten Gola/Schomerus, § 35 BDSG Rz. 17 und 19. 2 LG Köln 6.4.2004 – 3 O 47/04. 3 Der Sinn von Kreditinformationssystemen (s. § 29 Abs. 6) wäre völlig sinnentleert, wenn man durch einfaches Bestreiten unliebsame Daten „aus dem Weg“ räumen könnte, so aber Wolff/Brink/Brink, § 35 BDSG Rz. 58 f.

860

|

Kamlah

Berichtigung, Löschung und Sperrung von Daten | § 35 BDSG

worden, was ggf. Schadensersatzansprüche nach sich ziehen könnte. Mit der (u.U. völlig unberechtigten) Geltendmachung von Ansprüchen könnten Betroffene die Löschungswirkung erreichen. Möchte man dieses verhindern, bliebe nur die fortwährende Speicherung des Datums, was weder im Interesse des Betroffenen ist, noch zumutbar für die verantwortliche Stelle sein kann, wenn umfangreiche Schadensersatzansprüche seitens des Betroffenen drohen und die verantwortliche Stelle ihrer Schadensminderungspflicht nachkommen möchte und muss. Unter Beibehaltung der im Rahmen des Abs. 4a zum Ausdruck kommenden gesetzgeberischen Wertung muss es daher möglich sein, zumindest für eine gewisse oder fest definierte Zeit (z.B. Dauer eines Gerichtsverfahrens) so wertfrei wie möglich zu dokumentieren, dass sich „Daten in Prüfung“ befinden1. Die verantwortliche Stelle bleibt dabei gehalten, die Klärung unverzüglich einzuleiten und durchzuführen. (Erst) wenn eine Klärung nicht möglich ist, hat die Sperrung nach Abs. 4 dahingehend zu erfolgen, dass bei Übermittlungen darauf nicht mehr hingewiesen wird, Abs. 4a2. Nach Abs. 4a darf die Tatsache der Sperrung nicht übermittelt werden. Mit 40 dieser Vorschrift soll verhindert werden, dass die Funktion der Sperrung dadurch umgangen wird, dass die Tatsache der Sperrung übermittelt wird, denn die Sperrung ist ja in aller Regel in den Fällen vorgesehen, in denen gerade keine weitere Datenverarbeitung erfolgen soll. Ausweislich der Gesetzesbegründung zu der im Rahmen der BDSG-Novelle I in 41 den Jahren 2009/2010 neu eingeführten Vorschrift darf auch die Tatsache einer Sperrung, die auf ein strittiges Datum hinweist, nicht an Dritte übermittelt werden. Denn die Mitteilung einer Sperrung könnte nämlich von empfangenden Dritten leicht dahingehend verstanden werden, dass der Betroffene nicht nur nicht zahlt, sondern auch noch ein schwieriger Kunde ist. Die Mitteilung könnte somit einen negativen Eindruck über den Betroffenen hinterlassen und deshalb zu einer für ihn negativen Entscheidung führen. Die Vorschrift darf auch nicht dadurch umgangen werden, dass eine Formulierung gewählt wird, aus der auf die Tatsache der Sperrung bzw. das Vorliegen einer Unregelmäßigkeit geschlossen werden kann3. Zu beachten ist aber, dass Abs. 4a eine verpflichtende Sperrung tatbestandlich voraussetzt, was in den Fällen, in denen das non-liquet nach Abs. 4 noch nicht feststeht, gerade nicht der Fall ist. Abs. 8 regelt nun, nach welchen Regeln gesperrte Daten verarbeitet und genutzt 42 werden können. Danach gibt es nur bestimmte Ausnahmefälle, in denen hierfür 1 Dieses Bedürfnis mag weniger für die Fälle der Speicherung zu eigenen Zwecken bestehen, dafür aber in den Fällen der geschäftsmäßigen Datenverarbeitung und Nutzung zum Zwecke der Übermittlung, da eine völlig ausbleibende Dokumentation beim Empfänger einer vollständigen Löschung gleichkommt. 2 Im Ergebnis a.A. VGH Hessen v. 2.1.2014 – 10 B 1397/13. 3 So die detaillierte Gesetzesbegründung, BT-Drucks. 16/10529, S. 19; s.a. Simitis/Dix, § 35 BDSG Rz. 54.

Kamlah

|

861

§ 35 BDSG | Datenverarbeitung nicht-öffentlicher Stellen keine Einwilligung erforderlich ist. Damit ist im Umkehrschluss eine Verarbeitung und Nutzung gesperrter Daten auf Basis einer Einwilligung grundsätzlich möglich1. 43 Ohne eine Einwilligung dürfen gesperrte Daten zu wissenschaftlichen Zwecken

übermittelt und genutzt werden, Abs. 1 Nr. 1 Var. 1. Zu fragen ist allerdings, ob nicht eine Anonymisierung nach § 40 Abs. 2 möglich ist.

44 Abs. 8 Nr. 1 Var. 2 privilegiert ebenso die Behebung einer Beweisnot. Diese For-

mulierung legt nahe, dass eine bloße Beweislast nicht ausreicht.

45 Schließlich soll eine Verarbeitung oder Nutzung gesperrter Daten ohne Einwil-

ligung des Betroffenen auch aus sonstigen im überwiegenden Interesse der verantwortlichen Stelle oder eines Dritten liegenden Gründen möglich sein, Abs. 8 Nr. 1 Var. 3. Letzteres gilt jedoch – wie für alle Varianten – nur, wenn die Verarbeitung oder Nutzung unerlässlich ist. Der ansonsten geltende Erforderlichkeitsgrundsatz wird damit noch einmal verschärft2.

46 Kumulativ („und“) gilt hierzu noch nach Abs. 8 Nr. 2, dass die Daten hierfür

übermittelt und genutzt werden dürften, wenn sie nicht gesperrt wären. Damit wird aber eher eine Selbstverständlichkeit ausgedrückt, die vor dem Hintergrund der engen Voraussetzungen der Nr. 1 keine eigene Bedeutung mehr hat3. Im Übrigen kann auf die Kommentierung zu § 20 Abs. 7 verwiesen werden. 7. Widerspruch gegen die Erhebung, Verarbeitung und Nutzung aus wichtigem Grund (Abs. 5)

47 Nach Abs. 5 dürfen personenbezogene Daten nicht für eine automatisierte Ver-

arbeitung oder eine Verarbeitung in nicht automatisierten Daten erhoben, verarbeitet oder genutzt werden, wenn der Betroffene bei der verantwortlichen Stelle widerspricht. Die Vorschrift formuliert damit einen Anspruch des Betroffenen. Der Anwendungsbereich knüpft dabei an die Verarbeitungsvorgänge nach § 3 Abs. 2 an und setzt gegenüber der verantwortlichen Stelle (§ 3 Abs. 7) einen Widerspruch gegen die Verarbeitungsvorgänge voraus. Der Widerspruch ist formfrei. Damit die verantwortliche Stelle die Berechtigung des Widerspruchs prüfen kann, sollten die personenbezogenen Daten, gegen deren Verarbeitung widersprochen wird, möglichst genau bezeichnet werden (s. schon Rz. 3).

48 Die genaue Bezeichnung hat sich auch auf die Gründe zu erstrecken, weshalb

widersprochen wird4. Denn die Verarbeitung hat (nur dann) zu unterbleiben, 1 Vgl. Taeger/Gabel/Meents, § 35 BDSG Rz. 38. 2 Taeger/Gabel/Meents, § 35 BDSG Rz. 41. 3 Nach Taeger/Gabel/Meents, § 35 BDSG Rz. 42 soll diese Regelung der Verhinderung von Umgehungen dienen. 4 Wie weit die Darlegungspflicht reicht ist im Einzelnen umstritten, s. Simitis/Dix, § 35 BDSG Rz. 56 Fn. 109.

862

|

Kamlah

Berichtigung, Löschung und Sperrung von Daten | § 35 BDSG

wenn eine Prüfung ergibt, dass das schutzwürdige Interesse des Betroffenen wegen seiner besonderen persönlichen Situation das Interesse der verantwortlichen Stelle an dieser Erhebung, Verarbeitung oder Nutzung überwiegt. Wann von einem Überwiegen in diesem Sinne gesprochen werden kann, ist eine Frage des Einzelfalls. Wegen der Verortung in § 35 ist systematisch zu berücksichtigen, dass die Da- 49 tenverarbeitung an sich nach den allgemeinen Vorschriften zulässig ist, es aber eine besondere persönliche Situation des Betroffenen gibt, die die schutzwürdigen Interesse des Betroffenen (nachträglich) überwiegen lassen. Es muss sich danach um besondere Umstände handeln, in denen sich der Betroffene befindet. Zu denken ist hier an solche Fälle, in denen der Betroffene durch die Datenverarbeitung einer hohen Gefährdung ausgesetzt wäre, wie z.B. wenn der Betroffene an einem Zeugenschutzprogramm teilnimmt oder die Betroffene in einem Frauenhaus wohnt1. Eine bloße Erkrankung2 oder rein wirtschaftliche Interessen3 reichen jedoch nicht aus. 8. Ausnahme für geschäftsmäßige Datenverarbeiter – Gegendarstellung (Abs. 6) Eine Ausnahme von den Verpflichtungen nach § 35 zugunsten der geschäfts- 50 mäßigen Datenverarbeiter enthält Absatz 6. Nach dessen Eingangssatz müssen personenbezogene Daten, die unrichtig sind oder deren Richtigkeit bestritten wird, bei der geschäftsmäßigen Datenspeicherung zum Zweck der Übermittlung – außer in den Fällen des Abs. 2 Nr. 2 – nicht berichtigt, gesperrt oder gelöscht werden. Bereits dieser Halbsatz des Abs. 6 Satz 1 wirft viele Fragen auf. Zunächst fällt (sprachlich) auf, dass die Vorschrift des Abs. 2 Nr. 2 ausgenom- 51 men wird. Gemeint war aber ganz offensichtlich, dass die Löschungsverpflichtung bei sensiblen Daten nach Abs. 2 Nr. 2 unabhängig von Abs. 6 unangetastet bestehen bleiben soll4. Ferner gilt die Privilegierung nur für Fälle der (feststehenden) Unrichtigkeit 52 und bei bestrittener Richtigkeit und nicht bei Vorliegen der sonstigen Sperrung- und/oder Löschungsverpflichtungen. Das erklärt sich aus dem Anwendungsbereich der Vorschrift, denn privilegiert werden soll nur die Behandlung solcher personenbezogener Daten, die aus allgemein zugänglichen Quellen entnommen (s. hierzu § 28 Abs. 1 Satz 1 Nr. 3 und § 29 Abs. 1 Satz 1 Nr. 2) und zu Dokumentationszwecken gespeichert sind. Beispielsfall für solche Daten, die zu 1 Weitere Bespiele auch bei Simitis/Dix, § 35 BDSG Rz. 58. 2 OLG Frankfurt a.M. v. 13.3.2011 – 19 U 291/10, ZD 2011, 35. 3 OLG Düsseldorf v. 13.2.2015 – I-16 U 41/14; OLG Frankfurt v. 15.10.2014 – 4 U 99/14, MMR 2016, 104. 4 Irritiert auch Simitis/Dix, § 35 BDSG Rz. 63.

Kamlah

|

863

§ 35 BDSG | Datenverarbeitung nicht-öffentlicher Stellen Dokumentationszwecken gespeichert werden, sind Pressearchive, die zum Zwecke der Übermittlung vorgehalten werden1. Hier wäre eine Berichtigung, Löschung oder Sperrung durch die verantwortliche Stelle nicht zielführend, da die Ursprungsdatei die bestrittene oder unrichtige Information nach wie vor enthielte2. Daher soll der geschäftsmäßige Datenverarbeiter verpflichtet sein, auf Verlangen des Betroffenen diesen personenbezogenen Daten eine Gegendarstellung hinzuzufügen, Abs. 6 Satz 2. Eine Übermittlung ohne diese Gegendarstellung darf dann nicht mehr erfolgen, Abs. 6 Satz 33. 9. Nachinformation, Folgenbeseitigung (Abs. 7) 53 Eine Art der Folgenbeseitigung formuliert Abs. 7. Danach sind von der Berich-

tigung unrichtiger Daten sowie der Löschung oder Sperrung wegen Unzulässigkeit der Speicherung die Stellen zu verständigen, denen im Rahmen einer Datenübermittlung diese Daten zur Speicherung weitergegeben wurden4. Damit soll sichergestellt werden, dass nicht aus irgendeinem Grund fehlerhafte Daten in Datenbeständen anderer verantwortlicher Stellen fortleben. Gleichzeitig sieht der Gesetzgeber aber offensichtlich auch die Gefahr, dass eine flächendeckende Nachinformation über die Korrektur ihrerseits schutzwürdige Interessen des Betroffenen beeinträchtigen kann, Abs. 7 a.E. Das kann in der Tat denkbar sein, wenn sich gerade durch die Korrektur eines möglicherweise sehr alten personenbezogenen Datums der Informationsunwert erst dadurch perpetuiert, dass er bei den nachträglichen Empfängern erst wieder in Erinnerung gerufen oder möglicherweise neu gespeichert wird5.

54 Für die ursprüngliche verantwortliche Stelle wird diese Verpflichtung unter den

Vorbehalt gestellt, dass sie keinen unverhältnismäßigen Aufwand erfordert. Wann von einem solchen Aufwand ausgegangen werden kann, ist eine Frage des Einzelfalls, kann aber dann vorliegen, wenn es sich um viele Empfänger handelt. Als geschäftsmäßige Datenverarbeiter haben jedenfalls einige Auskunfteien Systeme, die diese Nachinformation automatisch sicherstellen6.

55 Sollte die verantwortliche Stelle zur Nachinformation verpflichtet sein und/oder

solche Systeme zur automatischen Nachinformation vorhalten, hat sie jedenfalls

1 Simitis/Dix, § 35 BDSG Rz. 61. 2 Zum Löschungsanspruch gegen einen Suchmaschinenbetreiber nun aber EuGH v. 13.5. 2014 – Rs. C-131/12 (Google Spain), NJW 2014, 2257. 3 Simitis/Dix, § 35 BDSG Rz. 64. 4 Eine schlichte Auskunftserteilung löst nach Gola/Schomerus, § 35 BDSG Rz. 22 keine Nachinformationspflicht aus. 5 Vgl. Simitis/Dix, § 35 BDSG Rz. 67. 6 So auch Simitis/Dix, § 35 BDSG Rz. 66, der dort gerade in Fällen des in aller Regel durch Auskunfteien unterhaltenen automatisierten Abrufverfahrens für eine Nachberichtspflicht ein Bedürfnis zu sehen scheint.

864

|

Kamlah

Berichtigung, Löschung und Sperrung von Daten | § 35 BDSG

alles in ihrem Pflichtenkreis stehende getan. Die Formulierung „verständigen“ spricht dafür, dass eine wie auch immer geartete Nachinformation ausreichend ist. Davon zu trennen ist die Frage, ob die ursprünglichen Datenempfänger ver- 56 pflichtet sind, solche Informationen überhaupt anzunehmen oder weiterzuverarbeiten. Diese Frage wird jedoch im Pflichtenkreis dieser Datenempfänger zu beantworten sein. So wird man annehmen müssen, dass zumindest in den Fällen, in denen man regelmäßiger Datenempfänger ist, ein wie auch immer gearteten Korrekturmechanismus vorgehalten werden muss, damit evtl. fehlerhafte Daten auch in den eigenen Systemen korrigiert werden können. Besondere praktische Relevanz kann das in Ansehung von § 28a Abs. 3 entfalten.

III. Verhältnis zu anderen Normen § 35 ist vorrangige Anspruchsgrundlage zur Durchsetzung von Sperrungen, Lö- 57 schungen oder Berichtigungen gegenüber der verantwortlichen Stelle. Auf die allgemeinen zivilrechtlichen Normen zur Störungsbeseitigung wie etwa auf § 823 Abs. 1 i.V.m. § 1004 BGB analog kann mangels Regelungslücke nicht zurückgegriffen werden1. Teilweise kann es jedoch eine Anspruchskonkurrenz geben, wenn es um einen Widerruf einer erfolgten unzulässigen Übermittlung geht. Diese Ansprüche werden dann in aller Regel mit § 823 Abs. 1 i.V.m. § 1004 BGB begründet, denn aus § 35 lässt sich ein solcher Anspruch nicht herleiten. Allerdings stellt sich die Frage, ob dann die übermittelnde Stelle die richtige Beklagte ist und nicht vorrangig gegenüber der die Daten nunmehr verantwortlich speichernden Stelle vorzugehen ist. § 35 ist Schutzgesetz i.S.v. § 823 Abs. 2 BGB2. Jedenfalls führt ein Anspruch auf Widerruf gegen die übermittelnde Stelle dazu, dass der Auskunftei auch mitzuteilen wäre den Score „wiederherzustellen“3. Auf zutreffender Tatsachengrundlage ermittelte Bonitätsbeurteilungen (Bonitätsindex) stellen Werturteile dar, die nicht mit § 824 BGB angegriffen werden können4. Ferner scheiden in diesen Fällen auch Ansprüche nach § 823 Abs. 1 BGB grundsätzlich aus, wenn die Bonitätsbeurteilung als Meinungsäußerung auf zutreffenden Tatsachengrundlagen beruht. Daher existiert nach Ver1 Gola/Schomerus, § 35 BDSG Rz. 25; BGH v. 7.7.1983 – III ZR 159/82, NJW 1984, 436; LG Mannheim v. 12.2.2015 – 3 O 9/15; LG Berlin v. 27.11.2013 – 10 O 125/13; zum Löschungsanspruch von persönlichen Daten auf Website nach § 1004, § 823 Abs. 1 und 2 BGB allerdings LAG Frankfurt a.M. v. 24.1.2012 19 – SaGa 1480/11, ZD 2012, 284; an die zivilrechtlichen Normen ebenfalls anknüpfend bei Unterlassungsansprüchen gegen Foreneinträge auch OLG Hamburg v. 2.8.2011 – 7 U 134/10, ITRB 2011, 276. 2 S. auch Palandt/Sprau, § 823 BGB Rz. 62a. 3 OLG Düsseldorf v. 12.9.2014 – I-16 U 7/14, ZD 2015, 89. 4 BGH v. 22.2.2011 – VI ZR 120/10, NJW 2011, 2204; zu § 824 BGB OLG Frankfurt a.M. v. 6.1.1988 – 17 U 35/87, WM 1988, 148; Winkelmann, MDR 1985, 718.

Kamlah

|

865

§ 35 BDSG | Datenverarbeitung nicht-öffentlicher Stellen ankerung der Scoreverfahren in das BDSG kein Anspruch auf eine „richtige“ Berechnung von Wahrscheinlichkeitswerten (s. Rz. 2)1. 58 Inwieweit die Bestimmungen des BDSG als Marktverhaltensregel i.S.d. UWG

zu begreifen sind, ist im Einzelnen zweifelhaft2.

59 Eine spezielle Löschfrist für die aus den Schuldnerverzeichnissen der Gerichte

entnommenen Daten enthalten §§ 882e Abs. 1 und 3 sowie 882g Abs. 6 Satz 2 ZPO (vor dem 1.1.2013 galten die §§ 915a Abs. 1, 915b Abs. 2 sowie § 915g Abs. 2 ZPO). Diese Frist ist ggf. kürzer als die nach § 35 Abs. 2 Satz 2 Nr. 13. Daraus kann jedoch nicht der Schluss gezogen werden, dass wenn die den Schuldnerverzeichnissen der Gerichte entnommenen „harten“ Negativdaten früher zu löschen sind, dieses „erst recht“ für die etwa nach § 28a Abs. 1 übermittelten Daten gilt4.

60 Bewerbungsdaten sind nach den §§ 15 und 22 AGG vom Arbeitgeber so auf-

zubewahren, dass ihm der Entlastungsbeweis gelingt.

61 Nach § 83 Abs. 2 BetrVG besteht ein Gegendarstellungsrecht zugunsten des Ar-

beitnehmers. Dieses steht neben den Ansprüchen aus § 355 während teilweise vom vollständigen Vorgehen der datenschutzrechtlichen Löschungsvorschriften auch im Beschäftigungsverhältnis ausgegangen wird6.

62 Ferner gehen nach § 1 Abs. 3 spezielle Regelungen wie die des § 13 Abs. 4 Nr. 2

TMG, die des § 95 Abs. 3 TKG oder die des § 97 TKG7 vor.

IV. Rechtsfolgen/Sanktionen 63 Ausdrücklich eine Ordnungswidrigkeit ist zunächst nur ein Verstoß gegen § 35

Abs. 6 Satz 3, § 43 Abs. 1 Nr. 9. Zu berücksichtigen ist aber, dass insbesondere eine unterbliebene Löschung ggf. Tatbestände nach § 43 Abs. 2 Nr. 1 und 2 aus-

1 Auch besteht kein Anspruch auf Ersuchen der Wiederherstellung oder Neuberechnung solcher Wahrscheinlichkeitswerte gegen die die ursprünglichen Tatsachengrundlagen übermittelnde Stelle, OLG Düsseldorf v. 12.9.2014 – I-16 U 7/14. 2 S. hierzu Kamlah/Hoke, RDV 2008, 226; bejahend OLG Köln v. 19.11.2011 – 6 U 73/10, CR 2011, 680; verneinend OLG München v. 12.1.2012 – 29 U 3926/11, MMR 2012, 317; ebenfalls verneinend mit Blick auf etwaige Verstöße gegen § 13 Abs. 1 TMG beim Einsatz des Facebook-Like-Buttons, KG Berlin v. 29.4.2011 – 5 W 88/11, CR 2011, 468 f. 3 Vgl. Simitis/Dix, § 35 BDSG Rz. 44. 4 So im Ergebnis auch der BGH v. 24.6.2003 – VI ZR 3/03, WM 2003, 1667; AG Hamburg v. 25.2.2003 – 910 C 139/03; s.a. OLG Karlsruhe v. 12.3.2012 – 8 U 166/11. 5 Taeger/Gabel/Meents, § 35 BDSG Rz. 7; eingehend Simitis/Dix, § 35 BDSG Rz. 76 ff. 6 Riesenhuber, NZA 2014, 753; zum (arbeitsrechtlichen) Anspruch auf Entfernung von Unterlagen aus Personalakten s. jedoch LAG Sachsen v. 14.1.2014 – 1 Sa 266/13. 7 S. nun auch das Gesetz zur Einführung einer Speicherpflicht und Höchstspeicherfrist für Verkehrsdaten vom 10.12.2015, BGBl. I, S. 2218.

866

|

Kamlah

Aufsichtsbehörde | § 38 BDSG

lösen kann. Die Höhe des Bußgeldes richtet sich dann nach § 43 Abs. 3, der zwischen Ordnungswidrigkeiten nach Absatz 1 und 2 unterscheidet. Unter besonderen Voraussetzungen kann § 44 greifen. Teilweise wird angenommen, ein Verstoß gegen § 35 Abs. 1 Satz 2 löse eine 64 Ordnungswidrigkeit nach § 43 Abs. 2 Nr. 1 aus1. Dem kann nicht zugestimmt werden, da der Gesetzgeber dies in Ansehung von Art. 103 GG ausdrücklich hätte regeln müssen. Im Übrigen ist ein Vorgehen der Aufsichtsbehörden über § 38 denkbar2. Schmerzensgeldansprüche bestehen dagegen in aller Regel nicht3.

Dritter Unterabschnitt Aufsichtsbehörde

§§ 36–37

(weggefallen)

§ 38 Aufsichtsbehörde (1) 1Die Aufsichtsbehörde kontrolliert die Ausführung dieses Gesetzes sowie anderer Vorschriften über den Datenschutz, soweit diese die automatisierte Verarbeitung personenbezogener Daten oder die Verarbeitung oder Nutzung personenbezogener Daten in oder aus nicht automatisierten Dateien regeln einschließlich des Rechts der Mitgliedstaaten in den Fällen des § 1 Abs. 5. 2Sie berät und unterstützt die Beauftragten für den Datenschutz und die verantwortlichen Stellen mit Rücksicht auf deren typische Bedürfnisse. 3Die Aufsichtsbehörde darf die von ihr gespeicherten Daten nur für Zwecke der Aufsicht verarbeiten und nutzen; § 14 Abs. 2 Nr. 1 bis 3, 6 und 7 gilt entsprechend. 4Insbesondere darf die Aufsichtsbehörde zum Zweck der Aufsicht Daten an andere Aufsichtsbehörden übermitteln. 5Sie leistet den Aufsichtsbehörden anderer Mitgliedstaaten der Europäischen Union auf Ersuchen ergänzende Hilfe (Amtshilfe). 6Stellt die Aufsichtsbehörde einen Verstoß gegen dieses Gesetz oder andere Vorschriften über den Datenschutz fest, so ist sie 1 So Simitis/Dix, § 35 BDSG Rz. 18; Gola/Schomerus, § 35 BDSG Rz. 6a. 2 Zum Anspruch des Betroffenen auf Einschreiten der Aufsichtsbehörde s. VG Darmstadt v. 18.11.2010 – 5 K 994/10.DA, MMR 2011, 416. 3 Vgl. AG Speyer v. 2.4.2008 – 33 C 34/08; LG Bonn v. 30.12.2009 – 18 O 310/09; OLG Frankfurt a.M. v. 6.1.1988 – 17 U 35/87, WM 1988, 148.

Kamlah/Plath

|

867

Aufsichtsbehörde | § 38 BDSG

lösen kann. Die Höhe des Bußgeldes richtet sich dann nach § 43 Abs. 3, der zwischen Ordnungswidrigkeiten nach Absatz 1 und 2 unterscheidet. Unter besonderen Voraussetzungen kann § 44 greifen. Teilweise wird angenommen, ein Verstoß gegen § 35 Abs. 1 Satz 2 löse eine 64 Ordnungswidrigkeit nach § 43 Abs. 2 Nr. 1 aus1. Dem kann nicht zugestimmt werden, da der Gesetzgeber dies in Ansehung von Art. 103 GG ausdrücklich hätte regeln müssen. Im Übrigen ist ein Vorgehen der Aufsichtsbehörden über § 38 denkbar2. Schmerzensgeldansprüche bestehen dagegen in aller Regel nicht3.

Dritter Unterabschnitt Aufsichtsbehörde

§§ 36–37

(weggefallen)

§ 38 Aufsichtsbehörde (1) 1Die Aufsichtsbehörde kontrolliert die Ausführung dieses Gesetzes sowie anderer Vorschriften über den Datenschutz, soweit diese die automatisierte Verarbeitung personenbezogener Daten oder die Verarbeitung oder Nutzung personenbezogener Daten in oder aus nicht automatisierten Dateien regeln einschließlich des Rechts der Mitgliedstaaten in den Fällen des § 1 Abs. 5. 2Sie berät und unterstützt die Beauftragten für den Datenschutz und die verantwortlichen Stellen mit Rücksicht auf deren typische Bedürfnisse. 3Die Aufsichtsbehörde darf die von ihr gespeicherten Daten nur für Zwecke der Aufsicht verarbeiten und nutzen; § 14 Abs. 2 Nr. 1 bis 3, 6 und 7 gilt entsprechend. 4Insbesondere darf die Aufsichtsbehörde zum Zweck der Aufsicht Daten an andere Aufsichtsbehörden übermitteln. 5Sie leistet den Aufsichtsbehörden anderer Mitgliedstaaten der Europäischen Union auf Ersuchen ergänzende Hilfe (Amtshilfe). 6Stellt die Aufsichtsbehörde einen Verstoß gegen dieses Gesetz oder andere Vorschriften über den Datenschutz fest, so ist sie 1 So Simitis/Dix, § 35 BDSG Rz. 18; Gola/Schomerus, § 35 BDSG Rz. 6a. 2 Zum Anspruch des Betroffenen auf Einschreiten der Aufsichtsbehörde s. VG Darmstadt v. 18.11.2010 – 5 K 994/10.DA, MMR 2011, 416. 3 Vgl. AG Speyer v. 2.4.2008 – 33 C 34/08; LG Bonn v. 30.12.2009 – 18 O 310/09; OLG Frankfurt a.M. v. 6.1.1988 – 17 U 35/87, WM 1988, 148.

Kamlah/Plath

|

867

Aufsichtsbehörde | § 38 BDSG

lösen kann. Die Höhe des Bußgeldes richtet sich dann nach § 43 Abs. 3, der zwischen Ordnungswidrigkeiten nach Absatz 1 und 2 unterscheidet. Unter besonderen Voraussetzungen kann § 44 greifen. Teilweise wird angenommen, ein Verstoß gegen § 35 Abs. 1 Satz 2 löse eine 64 Ordnungswidrigkeit nach § 43 Abs. 2 Nr. 1 aus1. Dem kann nicht zugestimmt werden, da der Gesetzgeber dies in Ansehung von Art. 103 GG ausdrücklich hätte regeln müssen. Im Übrigen ist ein Vorgehen der Aufsichtsbehörden über § 38 denkbar2. Schmerzensgeldansprüche bestehen dagegen in aller Regel nicht3.

Dritter Unterabschnitt Aufsichtsbehörde

§§ 36–37

(weggefallen)

§ 38 Aufsichtsbehörde (1) 1Die Aufsichtsbehörde kontrolliert die Ausführung dieses Gesetzes sowie anderer Vorschriften über den Datenschutz, soweit diese die automatisierte Verarbeitung personenbezogener Daten oder die Verarbeitung oder Nutzung personenbezogener Daten in oder aus nicht automatisierten Dateien regeln einschließlich des Rechts der Mitgliedstaaten in den Fällen des § 1 Abs. 5. 2Sie berät und unterstützt die Beauftragten für den Datenschutz und die verantwortlichen Stellen mit Rücksicht auf deren typische Bedürfnisse. 3Die Aufsichtsbehörde darf die von ihr gespeicherten Daten nur für Zwecke der Aufsicht verarbeiten und nutzen; § 14 Abs. 2 Nr. 1 bis 3, 6 und 7 gilt entsprechend. 4Insbesondere darf die Aufsichtsbehörde zum Zweck der Aufsicht Daten an andere Aufsichtsbehörden übermitteln. 5Sie leistet den Aufsichtsbehörden anderer Mitgliedstaaten der Europäischen Union auf Ersuchen ergänzende Hilfe (Amtshilfe). 6Stellt die Aufsichtsbehörde einen Verstoß gegen dieses Gesetz oder andere Vorschriften über den Datenschutz fest, so ist sie 1 So Simitis/Dix, § 35 BDSG Rz. 18; Gola/Schomerus, § 35 BDSG Rz. 6a. 2 Zum Anspruch des Betroffenen auf Einschreiten der Aufsichtsbehörde s. VG Darmstadt v. 18.11.2010 – 5 K 994/10.DA, MMR 2011, 416. 3 Vgl. AG Speyer v. 2.4.2008 – 33 C 34/08; LG Bonn v. 30.12.2009 – 18 O 310/09; OLG Frankfurt a.M. v. 6.1.1988 – 17 U 35/87, WM 1988, 148.

Kamlah/Plath

|

867

§ 38 BDSG | Datenverarbeitung nicht-öffentlicher Stellen befugt, die Betroffenen hierüber zu unterrichten, den Verstoß bei den für die Verfolgung oder Ahndung zuständigen Stellen anzuzeigen sowie bei schwerwiegenden Verstößen die Gewerbeaufsichtsbehörde zur Durchführung gewerberechtlicher Maßnahmen zu unterrichten. 7Sie veröffentlicht regelmäßig, spätestens alle zwei Jahre, einen Tätigkeitsbericht. 8§ 21 Satz 1 und § 23 Abs. 5 Satz 4 bis 7 gelten entsprechend. (2) 1Die Aufsichtsbehörde führt ein Register der nach § 4d meldepflichtigen automatisierten Verarbeitungen mit den Angaben nach § 4e Satz 1. 2Das Register kann von jedem eingesehen werden. 3Das Einsichtsrecht erstreckt sich nicht auf die Angaben nach § 4e Satz 1 Nr. 9 sowie auf die Angabe der zugriffsberechtigten Personen. (3) 1Die der Kontrolle unterliegenden Stellen sowie die mit deren Leitung beauftragten Personen haben der Aufsichtsbehörde auf Verlangen die für die Erfüllung ihrer Aufgaben erforderlichen Auskünfte unverzüglich zu erteilen. 2Der Auskunftspflichtige kann die Auskunft auf solche Fragen verweigern, deren Beantwortung ihn selbst oder einen der in § 383 Abs. 1 Nr. 1 bis 3 der Zivilprozessordnung bezeichneten Angehörigen der Gefahr strafgerichtlicher Verfolgung oder eines Verfahrens nach dem Gesetz über Ordnungswidrigkeiten aussetzen würde. 3Der Auskunftspflichtige ist darauf hinzuweisen. (4) 1Die von der Aufsichtsbehörde mit der Kontrolle beauftragten Personen sind befugt, soweit es zur Erfüllung der der Aufsichtsbehörde übertragenen Aufgaben erforderlich ist, während der Betriebs- und Geschäftszeiten Grundstücke und Geschäftsräume der Stelle zu betreten und dort Prüfungen und Besichtigungen vorzunehmen. 2Sie können geschäftliche Unterlagen, insbesondere die Übersicht nach § 4g Abs. 2 Satz 1 sowie die gespeicherten personenbezogenen Daten und die Datenverarbeitungsprogramme, einsehen. 3§ 24 Abs. 6 gilt entsprechend. 4Der Auskunftspflichtige hat diese Maßnahmen zu dulden. (5) 1Zur Gewährleistung der Einhaltung dieses Gesetzes und anderer Vorschriften über den Datenschutz kann die Aufsichtsbehörde Maßnahmen zur Beseitigung festgestellter Verstöße bei der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten oder technischer oder organisatorischer Mängel anordnen. 2Bei schwerwiegenden Verstößen oder Mängeln, insbesondere solchen, die mit einer besonderen Gefährdung des Persönlichkeitsrechts verbunden sind, kann sie die Erhebung, Verarbeitung oder Nutzung oder den Einsatz einzelner Verfahren untersagen, wenn die Verstöße oder Mängel entgegen der Anordnung nach Satz 1 und trotz der Verhängung eines Zwangsgeldes nicht in angemessener Zeit beseitigt werden. 3Sie kann die Abberufung des Beauftragten für den Datenschutz verlangen, wenn er die zur Erfüllung seiner Aufgaben erforderliche Fachkunde und Zuverlässigkeit nicht besitzt. (6) Die Landesregierungen oder die von ihnen ermächtigten Stellen bestimmen die für die Kontrolle der Durchführung des Datenschutzes im Anwendungsbereich dieses Abschnittes zuständigen Aufsichtsbehörden. 868

|

Plath

Aufsichtsbehörde | § 38 BDSG

(7) Die Anwendung der Gewerbeordnung auf die den Vorschriften dieses Abschnittes unterliegenden Gewerbebetriebe bleibt unberührt. I. Einführung . . . . . . . . . . . . . .

1

II. Zuständigkeit . . . . . . . . . . . .

4

III. Gegenstand und Durchführung der aufsichtsbehördlichen Kontrolle . . . . . 1. Gegenstand der Kontrolle (Abs. 1 Satz 1) . . . . . . . . . . . . 2. Durchführung der Kontrolle . . 3. Verhältnis zum betrieblichen Datenschutzbeauftragten und zur verantwortlichen Stelle (Abs. 1 Satz 2) . . . . . . . . . . . . 4. Zweckbindung (Abs. 1 Satz 3) 5. Datenaustausch zwischen den Aufsichtsbehörden (Abs. 1 Satz 4) . . . . . . . . . . . . 6. Verpflichtung zur Amtshilfe (Abs. 1 Satz 5) . . . . . . . . . . . . 7. Aufsichtsbehördliche Unterrichtungsbefugnisse bei Verstößen (Abs. 1 Satz 6) . . . . a) Unterrichtung des Betroffenen . . . . . . . . . . . . b) Unterrichtung der für die Verfolgung bzw. Ahndung zuständigen Stellen . . . . . . . c) Unterrichtung der Gewerbeaufsichtsbehörden . . . . . . . 8. Veröffentlichung von Tätigkeitsberichten (Abs. 1 Satz 7) . . 9. Allgemeines Anrufungsrecht (Abs. 1 Satz 8 Halbs. 1) . . . . . .

6 7 15

18 19 21 23 25 26 28 29 30 33

10. Anzeigepflicht und Geltung der steuerrechtlichen Auskunftsund Vorlagepflichten (Abs. 1 Satz 8 Halbs. 2) . . . . . . IV. Registerführung (Abs. 2) . . . . V. Auskunftspflichten der verantwortlichen Stellen (Abs. 3) . . . 1. Inhalt der Auskunftspflicht (Abs. 3 Satz 1) . . . . . . . . . . . . 2. Ausnahmen von der Auskunftspflicht (Abs. 3 Satz 2, 3) . . . . . VI. Kontrollbefugnisse der Aufsichtsbehörden (Abs. 4) . . . . . 1. Gegenstand und Reichweite der Kontrollbefugnisse (Abs. 4 Satz 1–3) . . . . . . . . . . 2. Duldungspflicht der verantwortlichen Stelle (Abs. 4 Satz 4) VII. Anordnungsbefugnisse der Aufsichtsbehörden (Abs. 5) . . 1. Beseitigungsanordnung (Abs. 5 Satz 1 und 2) . . . . . . . . 2. Untersagungsanordnung (Abs. 5 Satz 2 Halbs. 1) . . . . . . 3. Abberufung des betrieblichen Datenschutzbeauftragten (Abs. 5 Satz 3) . . . . . . . . . . . . VIII. Übertragung der Datenschutzaufsicht auf die Länder (Abs. 6) . . . . . . . . . . . IX. Anwendbarkeit der Gewerbeordnung (Abs. 7) . . .

36 39 42 43 47 50 51 59 61 62 64 66 70 74

Schrifttum: Bull, Die „völlig unabhängige“ Aufsichtsbehörde – Zum Urteil des EuGH vom 9.3.2010 in Sachen Datenschutzaufsicht, EuZW 2010, 488; Ernst, Interessenkonflikte bei Personalunion zwischen Revisionsabteilung und Datenschutzbeauftragten, NJOZ 2010, 2443; Frenzel, „Völlige Unabhängigkeit“ im demokratischen Rechtsstaat – Der EuGH und die mitgliedstaatliche Verwaltungsorganisation, DÖV 2010, 925; Gola/Schomerus, Die Organisation der staatlichen Datenschutzkontrolle der Privatwirtschaft, ZRP 2000, 183; Herb, Die Struktur der Datenschutzkontrollstellen in der Bunderepublik, ZUM 2004, 530; v. Lewinski, Tätigkeitsberichte im Datenschutz, RDV 2004, 163; Petri/Tinnefeld, Völlige Unabhängigkeit der Datenschutzkontrolle – Demokratische Legitimation und unabhängige parlamentarische Kontrolle als moderne Konzeption der Gewaltenteilung,

Plath

|

869

§ 38 BDSG | Datenverarbeitung nicht-öffentlicher Stellen MMR 2010 157; Redeker, Datenschutz auch bei Anwälten – aber gegenüber Datenschutzkontrollinstanzen gilt das Berufsgeheimnis, NJW 2009, 554; Rüpke, Mehr Rechtssicherheit für anwaltliche Datenverarbeitung – Ein Vorschlag zur informationsrechtlichen Erweiterung der Bundesrechtsanwaltsordnung, ZRP 2008, 87; Tinnefeld/Petri/Brink, Aktuelle Fragen zur Reform des Beschäftigtendatenschutzes – Ein Update, MMR 2011, 427; Weichert, Datenschutz auch bei Anwälten?, NJW 2009, 550.

I. Einführung 1 § 38 regelt die Aufgaben und Befugnisse der Aufsichtsbehörden. Das BDSG sieht

grundsätzlich eine zweigliedrige Kontrolle nicht-öffentlicher Stellen vor. Primär erfolgt eine Eigenkontrolle der verantwortlichen Stelle durch den betrieblichen Datenschutzbeauftragten (§§ 4f, 4g). Demgegenüber sind die Aufsichtsbehörden für die externe, hoheitliche Kontrolle nicht-öffentlicher Stellen zuständig1. In der DSGVO regeln die Art. 51 ff. DSGVO die Aufgaben und Befugnisse der Aufsichtsbehörden.

2 Durch § 38 werden die Aufsichtsbehörden ermächtigt, die Einhaltung der Vor-

schriften des BDSG durch nicht-öffentliche Stellen zu kontrollieren und durchzusetzen. Mit dieser Kontrollmöglichkeit will der Staat seinem Auftrag zum Schutz des Grundrechts auf informationelle Selbstbestimmung auch im nichtöffentlichen Bereich gerecht werden und einen „vorgezogenen Rechtsschutz“ ermöglichen2. Zugleich dient die Einrichtung der Aufsichtsbehörden der Umsetzung der entsprechenden Vorgaben des Art. 28 EG-Datenschutzrichtlinie3.

3 Abs. 1 bestimmt den Umfang der Kontrollrechte sowie die weiteren Rechte,

Pflichten und Aufgaben der Aufsichtsbehörden. Abs. 2 verpflichtet die Aufsichtsbehörden zur Führung eines öffentlich einsehbaren Registers über meldepflichtige automatisierte Verarbeitungen i.S.d. § 4d Abs. 3 regelt die Auskunftspflichtigkeit der verantwortlichen Stellen gegenüber den Aufsichtsbehörden. Abs. 4 und Abs. 5 ermächtigen die mit der Datenschutzaufsicht betrauten Personen sowie die Aufsichtsbehörden selbst zur Ergreifung bestimmter Aufklärungs- und Durchsetzungsmaßnahmen. Abs. 6 überträgt die Aufgabe der Datenschutzaufsicht auf die Länder. Abs. 7 regelt das Verhältnis zu den Vorschriften der Gewerbeordnung.

1 Zur rechtlichen Einordnung der Aufsichtsbehörden Petri/Tinnefeld, MMR 2010, 157 f.; zur Struktur der Aufsichtsbehörden Herb, ZUM 2004, 530 ff. 2 Ausführlich hierzu Simitis/Petri, § 38 BDSG Rz. 3 ff.; Weichert, NJW 2009, 550. 3 Vgl. Simitis/Petri, § 38 BDSG Rz. 10 ff.; sowie Däubler/Klebe/Wedde/Weichert/Weichert, § 38 BDSG Rz. 6, insbesondere zur Frage, ob die von der EG-Datenschutzrichtlinie geforderte „völlige Unabhängigkeit“ der Aufsichtsbehörden gewährleistet wird; ausführlich hierzu s.u. Rz. 71.

870

|

Plath

Aufsichtsbehörde | § 38 BDSG

II. Zuständigkeit Die Bestimmung, d.h. die Benennung und Ermächtigung der Aufsichtsbehör- 4 den, erfolgt gemäß Abs. 6 durch die Bundesländer (ausführlich hierzu s. Rz. 70 ff.). Welche Stelle in den jeweiligen Bundesländern tatsächlich Aufsichtsbehörde ist, ist von Land zu Land unterschiedlich. In den meisten Ländern wird diese Aufgabe jedoch durch die jeweiligen Landesbeauftragten für den Datenschutz wahrgenommen1. Nach den allgemeinen verwaltungsverfahrensrechtlichen Vorschriften der Län- 5 der ist grundsätzlich diejenige Aufsichtsbehörde örtlich zuständig, in deren Zuständigkeitsbereich die Datenverwendung, die Gegenstand der Kontrolle ist, tatsächlich erfolgt. Unerheblich ist dabei, ob es sich bei dieser datenverarbeitenden Stelle um den Hauptsitz oder lediglich um eine Zweigniederlassung der verantwortlichen Stelle handelt2. Im Anwendungsbereich der DSGVO finden sich die Zuständigkeitsregelungen in Art. 55, 56 DSGVO.

III. Gegenstand und Durchführung der aufsichtsbehördlichen Kontrolle § 38 ermächtigt die Aufsichtsbehörden zu einer anlassunabhängigen Kontrolle 6 von Amts wegen und setzt demnach weder das Vorliegen konkreter Anhaltspunkte für Verletzungen noch eine entsprechende Aufforderung durch Dritte für das Tätigwerden der Behörden voraus3. Im Falle eines Eingreifens unterliegt die Aufsichtsbehörde jedoch dem Verhältnismäßigkeitsgrundsatz. Im Anwendungsbereich der DSGVO sind die Aufgaben der Aufsichtsbehörden in Art. 57 DSGVO geregelt. 1. Gegenstand der Kontrolle (Abs. 1 Satz 1) Gegenstand der aufsichtsbehördlichen Kontrolle sind zunächst die Anwendbar- 7 keit sowie die Einhaltung der Vorschriften des BDSG, sofern diese die Datenverwendung durch nicht-öffentliche Stellen zum Gegenstand haben. Neben den allgemeinen Vorschriften des ersten Abschnitts sind damit vor allem die Regelungen des Dritten Abschnitts, aber auch die Verhaltensregelungen des § 38a Gegenstand der Kontrollbefugnisse. Aus Abs. 5 Satz 3 ergibt sich darüber hi1 Die jeweiligen Aufsichtsbehörden der Länder sind auf http://www.bfdi.bund.de/DE/ Infothek/Anschriften_Links/anschriften_links-node.html aufzurufen; ausführlich hierzu Däubler/Klebe/Wedde/Weichert/Weichert, § 38 BDSG Rz. 4 f. 2 Simitis/Petri, § 38 BDSG Rz. 31; Däubler/Klebe/Wedde/Weichert/Weichert, § 38 BDSG Rz. 3. 3 Vgl. Taeger/Gabel/Grittmann, § 38 BDSG Rz. 1, 10; Simitis/Petri, § 38 BDSG Rz. 32.

Plath

|

871

§ 38 BDSG | Datenverarbeitung nicht-öffentlicher Stellen naus, dass die Aufsichtsbehörden auch die Geeignetheit des betrieblichen Datenschutzbeauftragten überprüfen können. 8 Unbeachtlich ist dabei, welche Phase der Datenverarbeitung durch die verant-

wortliche Stelle betroffen ist. Die Beschränkung des zweiten Halbsatzes auf automatisierte oder dateibezogene Verarbeitungen und Nutzungen bezieht sich nur auf BDSG-fremde Normen. Eine Einschränkung in Bezug auf die BDSG-Normen erfolgt also gerade nicht. Ebenso kommt es nicht darauf an, ob eine geplante Datenverwendung tatsächlich durchgeführt wurde oder im „Versuchsstadium“ stecken geblieben ist1.

9 Darüber hinaus sind die Aufsichtsbehörden auch zur Kontrolle der Einhaltung

aller sonstigen spezialgesetzlichen Datenschutzvorschriften befugt, zu deren Einhaltung nicht-öffentliche Stellen bei der Verarbeitung oder Nutzung personenbezogener Daten verpflichtet sind. Zu beachten ist jedoch, dass Abs. 1 Satz 1 Halbs. 2 die Kontrollbefugnis der Aufsichtsbehörden auf solche Normen beschränkt, die die automatisierte Verarbeitung personenbezogener Daten oder die Verarbeitung bzw. Nutzung von Daten in oder aus nicht-automatisierten Dateien (sog. dateigebundene Verwendung) regeln (ausführlich zu diesen Begriffen vgl. Komm. zu § 27 BDSG Rz. 7).

10 Aus dem in Abs. 4 Satz 3 normierten Verweis auf § 24 Abs. 6 (welcher wiede-

rum auf § 24 Abs. 2 verweist) ergibt sich, dass die Aufsichtsbehörden grundsätzlich auch die Einhaltung der Regelungen über die Verwendung von Daten kontrollieren, die dem Brief-, Post- und Fernmelde- oder einem Berufs- oder Amtsgeheimnis unterliegen. Problematisch ist dabei jedoch, ob in diesen Fällen aus Gründen der Geheimniswahrung nur eine eingeschränkte Auskunftspflicht der verantwortlichen Stellen gegenüber den Aufsichtsbehörden gilt (ausführlich hierzu Rz. 57)2.

11 Darüber hinaus ist es auch Aufgabe der Aufsichtsbehörden, die Einhaltung aus-

ländischer datenschutzrechtlicher Vorschriften anderer EU/EWR-Mitgliedstaaten zu kontrollieren, sofern ausländische Stellen in Deutschland personenbezogene Daten verwenden i.S.d. § 1 Abs. 5 Satz 1, ohne dass diese Verwendung über eine Niederlassung im Inland erfolgt (vgl. auch § 1 Abs. 5 Satz 5, der wiederum auf § 38 Abs. 1 verweist)3. Auch bei der Prüfung des „angemessenen Schutzniveaus“ gemäß § 4b Abs. 2 Satz 2, Abs. 3 (s. Komm. zu § 4b BDSG Rz. 23 ff.) müssen die Aufsichtsbehörden unter Umständen ausländisches Recht anwenden.

1 Ebenso Gola/Schomerus, § 38 BDSG Rz. 6. 2 Vgl. auch KG v. 20.8.2010 – 1 Ws (B) 51/07 – 2 Ss 23/07, NJW 2011, 324; vgl. auch Rüpke, ZRP 2008, 87, Weichert, NJW 2009, 550 sowie Redeker, NJW 2009, 554 zum Konflikt zwischen Mandatsgeheimnis und Datenschutzkontrolle. 3 Ausführlich hierzu Komm. zu § 1 BDSG Rz. 71.

872

|

Plath

Aufsichtsbehörde | § 38 BDSG

Ebenfalls Gegenstand der Kontrollbefugnisse der Aufsichtsbehörden sind die 12 Datenverwendungen durch Auftragsdatenverarbeiter gemäß § 111. Dies gilt jedoch nicht für nicht-öffentliche Stellen, die im Auftrag von öffentlichen Stellen Daten im Auftrag verarbeiten, da diese der Kontrolle durch den Bundes-(oder Landes-)beauftragten für den Datenschutz und die Informationsfreiheit nach §§ 21 ff. unterliegen (§ 11 Abs. 4 Nr. 1b). Die Datenverwendung durch öffentlich-rechtliche Wettbewerbsunternehmen i.S.d. § 27 Abs. 1 Nr. 2b unterliegt wiederum der Aufsicht nach § 38, soweit die Länder nichts Abweichendes geregelt haben2. Darüber hinaus sind die Aufsichtsbehörden aufgrund eines direkten Verweises 13 auch für die Kontrolle der Einhaltung der Datenschutzvorschriften durch Empfänger von Daten aus Schuldnerverzeichnissen zuständig, § 915e Abs. 4, Abs. 1b und c ZPO3. Keine Kontrollbefugnisse stehen den Aufsichtsbehörden hingegen gegenüber 14 verantwortlichen Stellen zu, die geschäftsmäßig Telekommunikationsdienste4 erbringen, soweit die Verwendung von personenbezogenen Daten zur Erbringung von Telekommunikationsdienstleistungen erfolgt. Vielmehr ist in diesen Fällen die oder der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) nach Maßgabe der §§ 21 ff. für die Kontrolle zuständig5. Die Kontrolle der Verwendung personenbezogener Daten zur Erbringung von Telemediendiensten nach dem TMG unterliegt hingegen der Aufsicht nach § 386. 2. Durchführung der Kontrolle § 38 regelt nicht, wann und wie die Aufsichtsbehörden ihren Kontrollpflichten 15 nachzukommen haben. Grundsätzlich erfolgt die Kontrolle durch die Aufsichtsbehörden nach eigenem Ermessen. Sie können grundsätzlich von Amts wegen und ohne, dass es eines konkreten Anlasses bedarf, tätig werden. In der Praxis ist jedoch davon auszugehen, dass einer Kontrolle im Regelfall entweder eine typische Gefährdungslage oder ein konkreter Anhaltspunkt für eine Verletzung des Rechts auf informationelle Selbstbestimmung der Betroffenen zugrunde liegen wird7. Der konkrete Ablauf der Kontrolle steht ebenfalls im Ermessen der Behörden. 16 Dabei werden in Abs. 4 und 5 sowohl die Behörden selbst als auch die mit der 1 2 3 4 5 6 7

So auch Däubler/Klebe/Wedde/Weichert/Weichert, § 38 BDSG Rz. 12. Simitis/Petri, § 38 BDSG Rz. 27. Ausführlich hierzu Simitis/Petri, § 38 BDSG Rz. 20. Dieser Begriff wird in § 3 Nr. 10 TKG legaldefiniert. Ausführlich hierzu Simitis/Petri, § 38 BDSG Rz. 18. Vgl. auch Däubler/Klebe/Wedde/Weichert/Weichert, § 38 BDSG Rz. 2a. Ausführlich zur Kontrollpraxis der Aufsichtsbehörden Simitis/Petri, § 38 BDSG Rz. 32.

Plath

|

873

§ 38 BDSG | Datenverarbeitung nicht-öffentlicher Stellen Datenschutzaufsicht betrauten Personen zur Ergreifung bestimmter Maßnahmen ermächtigt. 17 In der Regel wird die Aufsichtsbehörde die verantwortliche Stelle zunächst um

eine Stellungnahme bitten, ggf. verbunden mit der Aufforderung zur Beantwortung konkreter Fragen und der Vorlage bestimmter Dokumente. In einem zweiten Schritt erfolgt dann die eigentliche Aufklärung des Sachverhalts und die mögliche Feststellung eines Verstoßes. Das Ergebnis der Kontrolle wird dann sowohl der verantwortlichen Stelle als auch dem Beschwerdeführer mitgeteilt, sofern es einen gibt. Die Durchsetzung straf- oder zivilrechtlicher Sanktionen und Ansprüche obliegt jedoch dem Betroffenen1. 3. Verhältnis zum betrieblichen Datenschutzbeauftragten und zur verantwortlichen Stelle (Abs. 1 Satz 2)

18 Das BDSG sieht grundsätzlich vor, dass die Wahrung der Betroffenenrechte so-

wie die Einhaltung der Datenschutzvorschriften im Wege der Eigenkontrolle durch die verantwortlichen Stellen bzw. durch den betrieblichen Datenschutzbeauftragen erfolgt. Es ist mithin Aufgabe der Aufsichtsbehörde, einen effektiven Grundrechtsschutz – neben der Kontrolle – vor allem auch präventiv im Wege der Beratung und der Unterstützung der nicht-öffentlichen Stellen selbst zu gewährleisten (vgl. auch die entsprechende Regelung aus Sicht des Datenschutzbeauftragten in §§ 4g Abs. 1 Satz 2, 4d Abs. 6 Satz 3)2. Gegenstand der gegenseitigen Kooperationspflicht ist neben der Beratung durch die Aufsichtsbehörde nicht zuletzt auch die Vermittlung, sei es zwischen dem Datenschutzbeauftragten und der verantwortlichen Stelle oder im Verhältnis zu anderen Stellen und Behörden. Zu beachten ist jedoch, dass die Aufsichtsbehörde dabei neutral zu bleiben hat. Ihr primäres Ziel muss stets die objektive Einhaltung und Durchsetzung des Datenschutzrechts bleiben3. 4. Zweckbindung (Abs. 1 Satz 3)

19 Abs. 1 Satz 3 hat eine Doppelfunktion. Zum einen dient die Norm als Erlaubnis-

tatbestand für die Datenverwendung durch die Aufsichtsbehörden4. Zum anderen unterwirft sie ebendiese Verwendung einer strengen Zweckbindung. Die Behörden dürfen die im Zuge ihrer Aufgabenerfüllung gespeicherten Daten ausschließlich zum Zweck der Aufsicht verarbeiten und nutzen. Die genaue Bestim-

1 Vgl. zum Prozedere Aufsichtsbehörde Baden-Württemberg, Hinweise zum BDSG, Nr. 17, Staatsanzeiger 1982, Nr. 52; ebenso Gola/Schomerus, § 38 Rz. 16; Taeger/Gabel/ Grittmann, § 38 BDSG Rz. 11. 2 Vgl. auch Taeger/Gabel/Grittmann, § 38 BDSG Rz. 13. 3 Ebenso Gola/Schomerus, § 38 BDSG Rz. 7. 4 Simitis/Petri, § 38 BDSG Rz. 38.

874

|

Plath

Aufsichtsbehörde | § 38 BDSG

mung der Aufsichtszwecke erfolgt dabei durch die gesetzliche Aufgabenzuweisung an die Aufsichtsbehörden1. Eine Durchbrechung dieser Zweckbindung ist aufgrund des Verweises auf § 14 20 Abs. 2 Nr. 1–3, 6 und 7 nur zulässig, wenn (i) eine zwingende Rechtsvorschrift die Verwendung zu anderen Zwecken vorsieht (Nr. 1), (ii) der Betroffene eingewilligt hat (Nr. 2), (iii) die Zweckänderung offensichtlich im Interesse des Betroffenen liegt (Nr. 3), (iv) die Zweckänderung zum Schutz des Gemeinwohls erforderlich ist (Nr. 6) oder (v) die Zweckänderung zur Strafverfolgung erforderlich ist (Nr. 7)2. 5. Datenaustausch zwischen den Aufsichtsbehörden (Abs. 1 Satz 4) Abs. 1 Satz 4 konkretisiert die Zweckbestimmung der Datenverwendung nach 21 Satz 3 dahin gehend, dass insbesondere auch eine Übermittlung der Daten an andere nationale Aufsichtsbehörden (zur Amtshilfe ggü. Europäischen Aufsichtsbehörden s. Rz. 23 ff.) zulässig ist, sofern dieser Datenaustausch zur Erfüllung der Aufsichtsaufgaben erforderlich ist. Da die Verwendungsart der Übermittlung jedoch als Unterform der Verarbeitung3 bereits von Abs. 1 Satz 3 umfasst ist, kommt Satz 4 lediglich eine klarstellende Funktion zu, die das Ziel des flüssigen Informationsaustauschs zwischen den Aufsichtsbehörden unterstreichen soll. Hingewiesen sei zudem auf den informellen Informations- und Meinungsaus- 22 tausch zwischen den obersten Aufsichtsbehörden im Rahmen des Düsseldorfer Kreises4. Die Zusammenarbeit der Aufsichtsbehörden unter der DSGVO ist in Art. 60 DSGVO geregelt. Flankiert werden die Regelungen durch ein Kohärenzverfahren nach Art. 63 DSGVO. 6. Verpflichtung zur Amtshilfe (Abs. 1 Satz 5) In Umsetzung von Art. 28 Abs. 6 EG-Datenschutzrichtlinie verpflichtet Abs. 1 23 Satz 5 die nationalen Aufsichtsbehörden, den Kontrollstellen anderer EU/EWGLänder auf Ersuchen Amtshilfe zu leisten. Sinn und Zweck dieser Regelung ist, in Korrelation zum europaweit harmonisierten Datenschutzrecht und in Ergänzung zur Arbeit der Artikel-29-Datenschutzgruppe auch eine europaweite effektive Aufsicht zu gewährleisten, insbesondere bei grenzüberschreitenden Sachverhalten5. Unter der DSGVO finden sich die Regelungen zur gegenseitigen Amtshilfe in Art. 61 DSGVO. 1 2 3 4

So auch Taeger/Gabel/Grittmann, § 38 BDSG Rz. 15. Ausführlich zu diesen Zweckänderungstatbeständen vgl. Komm. zu § 14 BDSG Rz. 9 ff., 15 ff. Vgl. § 3 Abs. 4 Nr. 3. Vgl. https://www.bfdi.bund.de/DE/Infothek/Entschliessungen/DuesseldorferKreis/func tions/DKreis_table.html; ausführlich hierzu auch Simitis/Petri, § 38 BDSG Rz. 42. 5 Ausführlich zur Praxis der Amtshilfe Simitis/Petri, § 38 BDSG Rz. 41.

Plath

|

875

§ 38 BDSG | Datenverarbeitung nicht-öffentlicher Stellen 24 Fraglich ist jedoch, ob Satz 5 auch die Datenübermittlung an ausländische

Aufsichtsstellen legitimiert. Dagegen spricht, dass die Aufsichtsbehörden im Zuge der Amtshilfe lediglich dazu berechtigt und verpflichtet sind, im Rahmen ihrer Kompetenzen zu handeln1. Eine Legitimation für Maßnahmen, zu deren Vornahme die Aufsichtsbehörden nicht ohnehin schon berechtigt sind, ist in der Verpflichtung zur Amtshilfe nicht zu sehen. Damit kann Abs. 1 Satz 5 nicht als Ermächtigungsgrundlage für die Datenübermittlung zwischen Aufsichtsbehörden der Mitgliedstaaten herangezogen werden. Ebenso wenig können die §§ 4b, 4c als Ermächtigungsgrundlagen herangezogen werden, da diese Normen nicht auf die Datenverwendung durch Aufsichtsbehörden anwendbar sind2. Mangels gesonderter Ermächtigungsgrundlage ist damit die Datenübermittlung an ausländische Aufsichtsbehörden nur unter den allgemeinen Verwendungsvoraussetzungen des Abs. 1 Satz 3, 4 zulässig, wobei die innereuropäische Verpflichtung zur Amtshilfe nach Satz 5 bei der Bestimmung der Aufgaben der Aufsichtsbehörden im Rahmen von Satz 3 zu berücksichtigen ist3. 7. Aufsichtsbehördliche Unterrichtungsbefugnisse bei Verstößen (Abs. 1 Satz 6)

25 Abs. 1 Satz 6 regelt die Unterrichtungsbefugnisse der Behörden für den Fall der

Feststellung eines Verstoßes gegen Regelungen des Datenschutzrechts. a) Unterrichtung des Betroffenen

26 Abs. 1 Satz 6 befugt die Aufsichtsbehörden, bei festgestellten Verstößen die Be-

troffenen zu informieren.

27 Fraglich ist, ob entgegen dem eindeutigen Wortlaut der Norm auch eine ent-

sprechende Pflicht zur Unterrichtung seitens Aufsichtsbehörden besteht. Teilweise wird vertreten, dass sich eine entsprechende Verpflichtung aus der richtlinienkonformen Auslegung der Norm ergibt4. Gegen diese Ansicht spricht jedoch, dass ein einziger Verstoß oft die Rechte einer Vielzahl von Betroffenen verletzt. Eine Unterrichtung jedes einzelnen Betroffenen würde äußerst aufwändig sein, Ressourcen binden und nicht zuletzt auch zu erheblichen Kosten für den Staat führen. Vor diesem Hintergrund erscheint es sinnvoll zu differenzieren und eine Benachrichtigungspflicht lediglich gegenüber den Betroffenen anzunehmen, die ein besonderes Interesse daran haben, über Datenschutzverstöße, die

1 Im Ergebnis ebenso Simitis/Petri, § 38 BDSG Rz. 40, mit der Begründung, die Regelung zur Amtshilfe genüge nicht den verfassungsrechtlichen Anforderungen an die Normenbestimmtheit und -klarheit. 2 Vgl. aus systematischen Erwägungen Simitis/Petri, § 38 BDSG Rz. 40; ebenso Taeger/ Gabel/Grittmann, § 38 BDSG Rz. 17. 3 Im Ergebnis ebenso Gola/Schomerus, § 38 BDSG Rz. 9. 4 So z.B. Taeger/Gabel/Grittmann, § 38 BDSG Rz. 19.

876

|

Plath

Aufsichtsbehörde | § 38 BDSG

ihre Daten betreffen, informiert zu werden. Ein solches gesteigertes Benachrichtigungsinteresse dürfte dabei vor allem dann bestehen, wenn die Betroffenen die Aufklärung des Verstoßes durch eine Beschwerde selbst initiiert haben, oder wenn ihnen ohne die Benachrichtigung aufgrund der daraus folgenden Unkenntnis des Verstoßes erhebliche Nachteile drohen1. Die Information kann sich dabei jedoch auf die Mitteilung des Ergebnisses der Untersuchung beschränken2. b) Unterrichtung der für die Verfolgung bzw. Ahndung zuständigen Stellen Die Aufsichtsbehörde ist darüber hinaus auch befugt, Datenschutzverstöße den 28 Stellen zu melden, die für die Verfolgung und Ahndung der Verstöße zuständig sind. Dies können sowohl staatliche Stellen (z.B. Strafverfolgungsbehörden, vgl. auch das Strafantragsrecht der Aufsichtsbehörden, § 44 Abs. 2 Satz 2) als auch innerbetriebliche Stellen (z.B. die Geschäftsführung der verantwortlichen Stelle) sein. Diese Norm findet vor allem dann Anwendung, wenn die Aufsichtsbehörde bezüglich des festgestellten Verstoßes nicht selbst Bußgeldbehörde ist. Ob und in welchem Umfang die Aufsichtsbehörden eine Unterrichtung vornehmen, steht in ihrem Ermessen3. c) Unterrichtung der Gewerbeaufsichtsbehörden Die Aufsichtsbehörden sind schließlich auch befugt, die Gewerbeaufsichts- 29 behörden über schwerwiegende Verstöße gegen das Datenschutzrecht zu informieren, damit diese ggf. gewerberechtliche Maßnahmen ergreifen können. Diese Unterrichtungsbefugnis korreliert mit der Regelung des Abs. 7, wonach die gewerberechtlichen Vorschriften unberührt bleiben. 8. Veröffentlichung von Tätigkeitsberichten (Abs. 1 Satz 7) Abs. 1 Satz 7 verpflichtet die Aufsichtsbehörden, in regelmäßigen Abständen, je- 30 doch spätestens alle zwei Jahre, einen Tätigkeitsbericht zu veröffentlichen. Durch diese Regelung, die Art. 28 Abs. 5 EG-Datenschutzrichtlinie umsetzt, sollen die Aufsichtsbehörden zu der „Transparenz der Verarbeitung in dem Mitgliedstaat […], dem sie unterstehen“4, beitragen. Darüber hinaus dienen sie der Öffentlichkeitsarbeit sowie der Information und Aufklärung der Allgemeinheit5. In welcher Form und in welchem Umfang die Tätigkeitsberichte erfolgen, regelt 1 Ebenso Gola/Schomerus, § 38 BDSG Rz. 10. 2 Vgl. VG Bremen, RDV 2010, 129; ebenso Simitis/Petri mit dem Hinweis, dass der Betroffene in der Praxis auch über den Gang des Verfahrens unterrichtet wird, § 38 BDSG Rz. 43. 3 Gola/Schomerus, § 38 BDSG Rz. 11. 4 Erwägungsgrund 63 zur EG-Datenschutzrichtlinie. 5 Vgl. auch Bergmann/Möhrle/Herb, § 38 BDSG Rz. 28 mit Verweis auf von Lewinski, RDV 2004, 163; zum Sinn und Zweck der Berichtspflicht Petri/Tinnefeld, MMR 2010, 157 (158).

Plath

|

877

§ 38 BDSG | Datenverarbeitung nicht-öffentlicher Stellen die Norm nicht und steht dementsprechend im Ermessen der jeweiligen Behörde. Aufgrund des Sinns und Zwecks der Vorschrift muss jedoch gewährleistet werden, dass diese Tätigkeitsberichte jedermann zugänglich sind1. Auch die DSGVO sieht in Art. 59 DSGVO Regelungen zur Erstellung von Tätigkeitsberichten vor. 31 Umstritten ist, ob im Rahmen solcher Tätigkeitsberichte eine eindeutige Iden-

tifizierung bestimmter Unternehmen, z.B. durch Namensnennung oder eindeutige Hinweise, zulässig ist. Problematisch ist dies vor allem vor dem Hintergrund, dass Fragen des Datenschutzes heute einen ganz wesentlichen Bestandteil des Rufs eines Unternehmens darstellen, so dass sich eine negative Berichterstattung im Rahmen der Tätigkeitsberichte der Aufsichtsbehörden ganz erheblich auf das betroffene Unternehmen auswirken kann. Vor diesem Hintergrund wird vermittelnd vertreten, dass eine derartige Identifizierung dann zulässig sein soll, wenn die Nennung der verantwortlichen Stelle zum Verständnis notwendig ist, oder wenn über eine rechtliche Auseinandersetzung mit einer bestimmten verantwortlichen Stelle berichtet wird2. Grundsätzlich unterliegen die Aufsichtsbehörden bei der Frage, ob und in welchem Umfang verantwortliche Stellen identifizierbar genannt werden, dem Verhältnismäßigkeitsgrundsatz. Vor diesem Hintergrund wird regelmäßig die Einräumung einer Möglichkeit zur Stellungnahme durch die verantwortliche Stelle geboten sein3. Denkbar ist auch, den Maßstab der Informationspflicht nach § 42a auf die Verhältnismäßigkeit der Nennung von Unternehmen zu übertragen: Solange der Verstoß nicht „schwerwiegend“ i.S.d. § 42a ist, besteht nach der Wertung dieser Norm kein gesteigertes Informationsinteresse der Allgemeinheit, das eine identifizierbare Nennung der verantwortlichen Stelle i.R. des Tätigkeitsberichts rechtfertigen würde.

32 Der Schwerpunkt der Tätigkeitsberichte muss dabei stets darauf liegen, die Ar-

beit der Aufsichtsbehörden transparent zu dokumentieren. Keinesfalls darf demnach ein Unternehmen, welches gegen datenschutzrechtliche Vorschriften verstoßen hat, im Rahmen eines Tätigkeitsberichts „an den Pranger“ gestellt werden, ohne dass ein relevanter Bezug zu einer erwähnenswerten Tätigkeit der Aufsichtsbehörde besteht. 9. Allgemeines Anrufungsrecht (Abs. 1 Satz 8 Halbs. 1)

33 Grundsätzlich hat jedermann das Recht, sich an die Aufsichtsbehörden zu wen-

den, wenn er der Ansicht ist, dass er oder ein Dritter aufgrund eines Verstoßes 1 Ebenso Simitis/Petri, § 38 BDSG Rz. 45; Taeger/Gabel/Grittmann, § 38 BDSG Rz. 21. 2 Ebenso Taeger/Gabel/Grittmann, § 38 BDSG Rz. 21; ausführlich hierzu sowie zu der Frage, inwiefern im Rahmen der Berichte vor bestimmten Stellen gewarnt werden darf Simitis/ Petri, § 38 BDSG Rz. 46; Gola/Schomerus, § 38 Rz. 13a; zur namentlichen Bennenung eines Rechenzentrums durch einen Landesdatenschutzbeauftragten OVG Schleswig v. 28.2.2014 – 4 MB 82/13, ZD 2014, 536. 3 Ebenso Simitis/Petri, § 38 BDSG Rz. 46.

878

|

Plath

Aufsichtsbehörde | § 38 BDSG

gegen die Datenschutzregelungen durch eine verantwortliche Stelle in seinen Rechten verletzt wurde (ausführlich zu den Voraussetzungen und Umständen des Anrufungsrechts Komm. zu § 21 BDSG Rz. 3 ff.). Dies folgt aus dem Verweis in Abs. 1 Satz 8 auf § 21 Satz 1. Bestandteil des Anrufungsrechts ist dabei auch, dass dieses frist-, form- und kostenlos erfolgen kann1. Die Aufsichtsbehörde ist dann dazu verpflichtet, sich mit der Eingabe auseinan- 34 derzusetzen; eine Pflicht zum tatsächlichen Tätigwerden folgt hieraus jedoch nicht. Vielmehr steht ihr ein Entschließungsermessen zu, ob und wie sie tätig wird, wobei dieses im Fall einer Anrufung durch Betroffene regelmäßig auf Null reduziert sein wird2. Zu beachten ist, dass dieses Anrufungsrecht nicht zur Disposition der verant- 35 wortlichen Stellen steht. Eine wirksame Abbedingung, z.B. in Einwilligungserklärungen oder AGB, ist demzufolge nicht möglich. Ebenso ist unzulässig, die Ausübung des Anrufungsrechts mit (negativen) Konsequenzen zu belegen3. Letzteres ist insbesondere im Rahmen von Arbeitsverhältnissen problematisch, wenn sich ein Arbeitgeber als Betroffener an eine Aufsichtsbehörde wendet4. 10. Anzeigepflicht und Geltung der steuerrechtlichen Auskunfts- und Vorlagepflichten (Abs. 1 Satz 8 Halbs. 2) Aufgrund des Verweises in Abs. 1 Satz 8 auf § 23 Abs. 5 Satz 4 sind die Auf- 36 sichtsbehörden berechtigt, Straftaten anzuzeigen und verpflichtet, für die Erhaltung der freiheitlich demokratischen Grundordnung einzutreten. Abs. 1 Satz 8 i.V.m. § 23 Abs. 5 Satz 5 und 6 regeln, unter welchen Vorausset- 37 zungen die Aufsichtsbehörden an steuerliche Auskunfts- und Vorlagepflichten nach der Abgabenordnung (AO) gebunden sind. Der Verweis in Abs. 1 Satz 8 auf die Regelung des § 23 Abs. 5 Satz 7 befugt die 38 Aufsichtsbehörden, Verstöße anzuzeigen und Betroffene über Verstöße zu informieren. Da diese Befugnis bereits in Abs. 1 Satz 6 ausdrücklich normiert ist, kommt diesem Verweis insofern keine eigene Bedeutung zu. Näheres zu den straf- und steuerrechtlichen Anzeige- und Auskunftspflichten Komm. zu § 23 BDSG Rz. 14. 1 So auch Simitis/Petri, § 38 BDSG Rz. 35. 2 Ebenso Däubler/Klebe/Wedde/Weichert/Weichert, § 38 BDSG Rz. 16; Petri/Tinnefeld, MMR 2010, 157 (158); zu den Rechtsschutzmöglichkeiten des Betroffenen Taeger/Gabel/Grittmann, § 38 BDSG Rz. 51 sowie Däubler/Klebe/Wedde/Weichert/Weichert, § 38 BDSG Rz. 14. 3 Ebenso Bergmann/Möhrle/Herb, § 38 BDSG Rz. 38. 4 Hingewiesen sei darauf, dass der geplante § 32l Abs. 4 den Beschäftigten dazu verpflichtet, vor der Anrufung der Aufsichtsbehörde eine Beschwerde beim Arbeitgeber einzureichen. Diese Gesetzesänderung würde zu einer Schlechterstellung des Arbeitnehmers führen, vgl. Simitis/Petri, § 38 BDSG Rz. 4; Tinnefeld/Petri/Brink, MMR 2011, 427 (430 f.).

Plath

|

879

§ 38 BDSG | Datenverarbeitung nicht-öffentlicher Stellen IV. Registerführung (Abs. 2) 39 Abs. 2 verpflichtet die Aufsichtsbehörden, ein öffentlich einsehbares Register

der nach § 4d meldepflichtigen automatisierten Verarbeitungsverfahren zu führen (ausführlich zu den Voraussetzungen der Meldepflicht s. Komm. zu § 4d BDSG Rz. 4 ff.). In welcher Form das Register geführt werden muss (z.B. ob es automatisiert sein muss), ist nicht geregelt.

40 Dieses Register muss die in § 4e Satz 1 aufgezählten Angaben (z.B. Name und

Anschrift der verantwortlichen Stelle, Zweckbestimmung und Kategorien der Datenverwendung etc.) aufführen. Die Angaben nach § 4e Satz 1 Nr. 9 (Beurteilung der Maßnahmen zur Datensicherheit) sowie die Angabe der innerhalb der verantwortlichen Stelle zugriffsberechtigten Personen müssen ebenfalls im Register enthalten sein, dürfen jedoch zum Schutz der verantwortlichen Stelle vor der Aufdeckung von Sicherheitslücken nicht öffentlich einsehbar sein.

41 Die Einsicht in das Register darf nicht vom Bestehen eines berechtigten Interes-

ses abhängig gemacht werden1. Damit sind die Daten aus dem öffentlichen Register allgemein zugänglich i.S.d. § 28 Abs. 1 Satz 1 Nr. 3.

V. Auskunftspflichten der verantwortlichen Stellen (Abs. 3) 42 Abs. 3 regelt eine generelle Auskunftspflicht der verantwortlichen Stellen sowie

eine persönliche Auskunftspflicht ihres leitenden Personals (z.B. Geschäftsführer oder Vorstände, nicht jedoch betriebliche Datenschutzbeauftragte)2 gegenüber den Aufsichtsbehörden. Entsprechend steht den Aufsichtsbehörden ein (ungeschriebenes) Auskunftsrecht gegenüber den beaufsichtigten verantwortlichen Stellen zu3. Voraussetzung ist jedoch, dass die Aufsichtsbehörden ein Auskunftsverlangen gelten machen4. 1. Inhalt der Auskunftspflicht (Abs. 3 Satz 1)

43 Die Geschäftsleitung der verantwortlichen Stelle hat ihren Auskunftspflichten

unentgeltlich und unverzüglich (d.h. ohne schuldhaftes Zögern, § 121 BGB) nachzukommen. Dabei steht es der Geschäftsleitung frei, selbst die Auskunft zu erteilen, oder einen Mitarbeiter (in der Regel den betrieblichen Datenschutzbeauftragten) mit der Auskunft zu beauftragen5. In der Praxis wird diese Aus-

1 2 3 4 5

So auch Simitis/Petri, § 38 BDSG Rz. 52. Vgl. auch Gola/Schomerus, § 38 BDSG Rz. 20; Simitis/Petri, § 38 BDSG Rz. 53. Bergmann/Möhrle/Herb, § 38 BDSG Rz. 46. So auch Simitis/Petri, § 38 BDSG Rz. 54. Däubler/Klebe/Wedde/Weichert/Weichert, § 38 BDSG Rz. 20.

880

|

Plath

Aufsichtsbehörde | § 38 BDSG

kunft in Form einer (schriftlichen oder mündlichen) Stellungnahme zu den Vorwürfen der Aufsichtsbehörde erfolgen1. Welche Angaben die Auskunftspflicht umfasst, wird vom Ziel der Unter- 44 suchung abhängen. Problematisch ist dabei allerdings, dass einerseits die verantwortlichen Stellen regelmäßig nicht abschätzen können, welche Angaben die Aufsichtsbehörden zur Wahrnehmung ihrer Kontrollaufgaben benötigen, und sich in einem Zwiespalt zwischen Kooperationsbereitschaft und eigenen Geheimhaltungsinteressen befinden. Andererseits können auch die Aufsichtsbehörden nicht vorab absehen, welche konkreten Angaben und Dokumente sie zur Durchführung der Kontrolle benötigen werden. Es obliegt demnach den Aufsichtsbehörden, die verantwortlichen Stellen derart über den Hintergrund der Kontrolle aufzuklären und den Sinn und Zweck der Maßnahme zu konkretisieren, dass diese pflichtgemäß und angemessen reagieren können und in die Lage versetzt werden, beurteilen zu können, welche Angaben sie zur Erfüllung ihrer Auskunftspflicht machen müssen. Innerhalb dieses Rahmens muss die Auskunft allerdings umfassend, vollständig 45 und wahrheitsgemäß erfolgen. Sie verpflichtet die verantwortliche Stelle sowohl zur Stellungnahme als auch zur Vorlage aller erforderlichen Dokumente2. Die Auskunftspflicht umfasst dabei grundsätzlich sämtliche Phasen der Datenverwendung, von der Erhebung bis zur Nutzung und Löschung. Eine aus dem Auskunftsverlangen resultierende Grundrechtsverletzung der Berufsfreiheit und des Rechts am eingerichteten und ausgeübten Gewerbebetrieb lehnte zuletzt das OVG Bautzen ab, da Abs. 3 Satz 1 eine dem Vorbehalt des Gesetzes genügende Eingriffsnorm darstelle3. Eine Verweigerung der pflichtgemäßen Auskunft stellt gemäß § 43 Abs. 1 46 Nr. 10 eine Ordnungswidrigkeit dar, sofern keine Ausnahme nach Abs. 3 Satz 2 greift (Näheres hierzu unter Rz. 47 f.). 2. Ausnahmen von der Auskunftspflicht (Abs. 3 Satz 2, 3) Entsprechend der Regelung des § 383 ZPO steht den Auskunftspflichtigen ein 47 höchstpersönliches Auskunftsverweigerungsrecht zu, wenn und soweit sie sich selbst oder einen der in § 383 Abs. 1 Nr. 1–3 ZPO aufgeführte Angehörigen (Verlobte, Lebens- und Ehepartner sowie nahe Verwandte) mit der Auskunftserteilung der Gefahr einer straf- oder ordnungswidrigkeitsrechtlichen Verfolgung aussetzen würden4. Die Ausnahmevorschrift findet hingegen keine An1 Bergmann/Möhrle/Herb, § 38 BDSG Rz. 49; für die Zulässigkeit einer mündlichen Stellungnahme nur in Ausnahmefällen Simitis/Petri, § 38 BDSG Rz. 54. 2 Ausführlich hierzu Bergmann/Möhrle/Herb, § 38 BDSG Rz. 49. 3 OVG Bautzen v. 17.7.2013 – 3 B 470/12, ZD 2014, 48 (49). 4 Vgl. auch §§ 136 Abs. 1 Satz 2, 55 StPO.

Plath

|

881

§ 38 BDSG | Datenverarbeitung nicht-öffentlicher Stellen wendung, wenn andere (z.B. zivil- oder verwaltungsrechtliche) Folgen drohen. Das Aussageverweigerungsrecht einer auskunftspflichtigen Person lässt die grundsätzliche Auskunftspflicht der verantwortlichen Stelle unberührt. Den Aufsichtsbehörden steht es also frei, ihr Auskunftsverlangen weiterhin an andere Auskunftspflichtige der kontrollierten Stelle zu adressieren1. 48 Fraglich ist allerdings, ob eine Ausnahme von der Auskunftspflicht auch dann

besteht, wenn durch die Aussage selbst gegen (strafbewährte) Offenbarungsverbote verstoßen wird. Problematisch ist dies insbesondere, wenn durch die Auskunft gesetzliche oder berufliche Geheimhaltungspflichten verletzt werden. In einer umstrittenen Entscheidung hat das KG die Anwendbarkeit des Auskunftsverweigerungsrechts auf das Mandatsgeheimnis bejaht2. Aus Abs. 3 ergebe sich weder eine Auskunftsbefugnis noch -pflicht des Anwalts zur Weitergabe mandatsbezogener Informationen3. Das KG begründete seine Auffassung zutreffender Weise mit dem Verweis auf § 1 Abs. 3 Satz 2, wonach gesetzliche Geheimhaltungspflichten wie die anwaltliche Verschwiegenheitspflicht (§ 43a Abs. 2 BRAO) von den Regelungen des BDSG unberührt bleiben. Dies gelte im besonderen Maße für das Vertrauensverhältnis zwischen einem Strafverteidiger und seinem Mandanten mit Hinweis auf das nach der Rechtsprechung des EGMR besonders zu schützende Recht auf Verteidigung. Aufgrund der Tatsache, dass die Offenbarung anwaltlicher Geheimnisse gemäß § 203 Abs. 1 Nr. 3 StGB strafbar ist, würde sich der Anwalt durch die Auskunft der Gefahr der Strafverfolgung aussetzen. Damit hat das KG die Anwendbarkeit des Abs. 3 auch auf solche Fälle ausgeweitet, bei denen die Gefahr der Strafverfolgung sich nicht aus den mitgeteilten Informationen, sondern aus dem Akt der Mitteilung selbst ergibt4.

49 Gemäß Abs. 3 Satz 3 ist die Aufsichtsbehörde verpflichtet, die verantwortliche

Stelle auf das Auskunftsverweigerungsrecht nach Satz 2 hinzuweisen. Der Hinweis muss ausdrücklich (möglichst unter Nennung der Verweigerungsvoraussetzungen) und frühzeitig (möglichst zusammen mit dem Auskunftsverlangen) erfolgen5. Auskünfte, die ohne eine entsprechende Belehrung erfolgen, unterliegen einem Verwertungsverbot6.

1 2 3 4

So auch Simitis/Petri, § 38 Rz. 58; Taeger/Gabel/Grittmann, § 38 BDSG Rz. 27. KG v. 20.8.2010 – 1 Ws (B) 51/07 – 2 Ss 23/07, NJW 2011, 324. So aber Gola/Schomerus, § 38 BDSG Rz. 21. Kritisch zu diesem Urteil Simitis/Petri, § 38 BDSG Rz. 25 mit der Begründung, durch den Verweis auf § 24 Abs. 6, Abs. 2 in § 38 Abs. 4 seien gerade auch Daten, die einer beruflichen Geheimhaltungspflicht unterliegen, der Kontrolle durch die Aufsichtsbehörden unterworfen; bejahend zur Frage, ob eine aufsichtsbehördliche Kontrolle der Datenverwendung durch Anwälte erfolgen sollte Weichert, NJW 2009, 550 ff.; a.A. Redeker, NJW 2009, 554 ff., wonach der anwaltlichen Schweigepflicht der Vorrang einzuräumen ist. 5 So auch Simitis/Petri, § 38 Rz. 59. 6 Ebenso Gola/Schomerus, § 38 BDSG Rz. 21; Taeger/Gabel/Grittmann, § 38 BDSG Rz. 29; Däubler/Klebe/Wedde/Weichert/Weichert, § 38 BDSG Rz. 21.

882

|

Plath

Aufsichtsbehörde | § 38 BDSG

VI. Kontrollbefugnisse der Aufsichtsbehörden (Abs. 4) Abs. 3 stattet die mit der Kontrolle beauftragten Personen mit umfangreichen 50 Zutritts- und Einsichtsrechten zur Wahrnehmung ihrer Aufsichtsaufgabe aus. Die Aufsichtsbehörde unterliegt jedoch bei der Wahl und der Durchführung der Maßnahme dem Verhältnismäßigkeitsgrundsatz und hat damit stets der milderen Maßnahme den Vorrang einzuräumen. Im Anwendungsbereich der DSGVO finden sich die Regelungen über die Befugnisse der Aufsichtsbehörden in Art. 58 DSGVO. 1. Gegenstand und Reichweite der Kontrollbefugnisse (Abs. 4 Satz 1–3) Gemäß Abs. 4 Satz 1 dürfen die Vertreter der Aufsichtsbehörden während der 51 Betriebs- und Geschäftszeiten die Grundstücke und Geschäftsräume der überprüften verantwortlichen Stelle betreten und vor Ort Prüfungen und Besichtigungen vornehmen. Eine solche Vor-Ort-Überprüfung stellt einen Real-, aber keinen Verwaltungsakt dar1. Vor dem Hintergrund, dass aufsichtsbehördliche Kontrollen sowohl anlassbezo- 52 gen als auch anlasslos erfolgen dürfen, bedarf es auch für den direkten Zugang zur verantwortlichen Stellen weder konkreter Anhaltspunkte für Verstöße gegen datenschutzrechtliche Normen noch einer Vorankündigung2. Insbesondere dürfen die Aufsichtsbehörden damit jederzeit überprüfen, ob den Anforderungen an die Datensicherheit (vgl. § 9) entsprochen wird. Die Aufgaben der Aufsichtsbehörden umfassen auch die Feststellung, ob überhaupt eine die Anwendbarkeit des BDSG auslösende Datenverwendung erfolgt, so dass auch die Überprüfung dieser Frage Gegenstand einer Vor-Ort-Überprüfung sein kann3. Betreten werden dürfen nur Betriebs- und Geschäftsräume, in denen Datenver- 53 wendungsvorgänge erfolgen. Private Räume dürfen hingegen grundsätzlich nicht betreten werden4. Das Zugangsrecht besteht nur während der Betriebs- und Geschäftszeiten. Sind 54 solche Zeiten nicht gegeben (z.B. bei Dienstleistern, die rund um die Uhr er1 Däubler/Klebe/Wedde/Weichert/Weichert, § 38 BDSG Rz. 22. 2 Ebenso Gola/Schomerus, § 38 BDSG Rz. 22; Simitis/Petri weist darauf hin, dass Voranmeldungen dennoch üblich sind, § 38 BDSG Rz. 61; ebenso Taeger/Gabel/Grittmann, § 38 BDSG Rz. 30. 3 Vgl. OLG Celle v. 14.9.1995 – 2 Ss (OWi) 185/95, NJW 10995, 3265. 4 Ebenso Simitis/Petri, § 38 BDSG Rz. 62 sowie Taeger/Gabel/Grittmann, § 38 BDSG Rz. 31 mit Hinweis auf den Schutz des Grundrechts auf Unverletzlichkeit der Wohnung; einschränkend hingegen Bergmann/Möhrle/Herb in Bezug auf Wohnräume der Geschäftsleitung, die auch unternehmerisch genutzt werden, § 38 BDSG Rz. 63; nach Ansicht von Rüpke, ZRP 2008, 87 (88) soll auch das Betreten und Durchsuchen von Anwaltskanzleien nicht durch § 38 Abs. 4 gedeckt sein.

Plath

|

883

§ 38 BDSG | Datenverarbeitung nicht-öffentlicher Stellen reichbar sind), so gelten die branchenüblichen Zeiten bzw. die Zeiten, in denen in der Regel mit einer telefonischen Erreichbarkeit gerechnet werden kann1. 55 Gemäß Abs. 4 Satz 2 sind die Vertreter der Aufsichtsbehörden zudem dazu be-

fugt, vor Ort geschäftliche Unterlagen einzusehen, sofern diese Unterlagen für die Durchführung der Kontrolle von Bedeutung sind. Dies soll nach dem Wortlaut der Norm vor allem für die Übersicht nach § 4g Abs. 2 Satz 1 (Übersicht über die in § 4e Satz 1 genannten Angaben (s. Rz. 40) und über die innerhalb der verantwortlichen Stelle zugriffsberechtigte Personen2) sowie für die gespeicherten Daten und Datenverarbeitungsprogramme gelten. Die Einsicht in die Datenverarbeitungsprogramme kann jedoch durch eine Einsicht in (ausführliche) Programmdokumentationen als mildere Maßnahme ersetzt werden. Die Aufzählung in Abs. 4 Satz 2 ist nicht abschließend.

56 Abs. 4 berechtigt nur zur Einsicht in die geschäftlichen Unterlagen. Die Befug-

nis erstreckt sich damit lediglich auf die visuelle Wahrnehmung der Unterlagen, nicht jedoch auf ihre Vervielfältigung oder gar ihre Mitnahme3. Aus Gründen der Effektivität der Kontrollmaßnahmen muss sich das Recht der Einsichtnahme jedoch auch auf die Anfertigung von Notizen, Skizzen oder Fotos zur Gedächtnisstütze erstrecken. Zu beachten ist allerdings, dass die verantwortliche Stelle ggf. im Rahmen ihrer Auskunftspflicht nach Abs. 3 dazu verpflichtet werden kann, der Aufsichtsbehörde bestimmte Unterlagen zur Verfügung zu stellen.

57 Der Verweis in Abs. 4 Satz 3 auf die Regelung des § 24 Abs. 6 (der wiederum auf

§ 24 Abs. 2 verweist) verdeutlicht, dass auch Daten, die dem Brief-, Post-, Fernmelde- oder einem Berufs- oder Amtsgeheimnis unterliegen, Gegenstand der aufsichtsbehördlichen Kontrolle sein können. Eine Beschränkung der Kontrollbefugnisse besteht lediglich bezüglich solcher Daten, die der Kontrolle der sog. G10-Kommission4 unterliegen, sowie bezüglich Daten in Akten über die Sicherheitsüberprüfung, sofern der Betroffene einer Kontrolle widersprochen hat (§ 24 Abs. 2 Satz 3 und 4). Hingewiesen sei an dieser Stelle also auch auf das Widerspruchsrecht der verantwortlichen Stelle gegen eine solche Kontrolle von Daten in Akten über die Sicherheitsüberprüfung (ausführlich hierzu Komm. zu § 24 BDSG Rz. 10 f.).

1 So auch Däubler/Klebe/Wedde/Weichert/Weichert, § 38 BDSG Rz. 22. 2 Vgl. § 4g Abs. 2 Satz 1. 3 Einschränkender Gola/Schomerus, § 38 BDSG Rz. 23, Bergmann/Möhrle/Herb, § 38 BDSG Rz. 66, Taeger/Gabel/Grittmann, § 38 BDSG Rz. 33 und Simitis/Petri, § 38 BDSG Rz. 63, wonach die Aufsichtsbehörden zur Ablichtung mithilfe selbst mitgebrachter Scanner oder Kopierer befugt sind. 4 Bei der G 10-Kommission handelt es sich um eine Kommission, die über die Verwendung durch Nachrichtendienste des Bundes von Daten entscheidet, die dem Brief-, Postund Fernmeldegeheimnis unterliegen, vgl. § 15 Abs. 1 des Gesetzes zur Beschränkung des Brief-, Post- und Fernmeldegeheimnis (Artikel 10-Gesetz).

884

|

Plath

Aufsichtsbehörde | § 38 BDSG

Den Kontrollmaßnahmen nach Abs. 4 kann ebenfalls ein Aussageverweige- 58 rungsrecht entgegengehalten werden, auch wenn dieses – anders als in Abs. 3 Satz 2 – in Abs. 4 nicht ausdrücklich normiert ist. Dies ergibt sich nicht zuletzt aus dem allgemeinen Aussageverweigerungsrecht nach § 46 Abs. 1 OWiG, §§ 52, 136 Abs. 1 Satz 2 StPO1. 2. Duldungspflicht der verantwortlichen Stelle (Abs. 4 Satz 4) Die Kontrollbefugnisse der Aufsichtsbehörden werden in Abs. 4 Satz 4 durch 59 eine entsprechende Duldungspflicht der verantwortlichen Stelle flankiert. Bestandteil dieser Duldungspflicht ist zum einen, ein behinderndes Eingreifen zu unterlassen, zum anderen aber auch, die Aufsichtsbehörden so weit zu unterstützen, wie dies zur Vornahme der Kontrollmaßnahmen erforderlich ist. So wird die verantwortliche Stelle z.B. im Rahmen ihrer Duldungspflicht dazu verpflichtet sein, den Mitarbeitern der Aufsichtsbehörde Zugang zu verschlossenen Räumen zu verschaffen oder ein Einloggen in die Datenverarbeitungssysteme zu ermöglichen2. Zu beachten ist allerdings, dass die Aufsichtsbehörden die verantwortlichen Stellen stets über die Aufforderung zur Auskunftserteilung nach Abs. 3 zu einer aktiven Mitarbeit an der Kontrolle verpflichten können. Die Duldungspflicht kann bei Weigerung mit den Mitteln des Verwaltungs- 60 zwangs, insbesondere der Verhängung von Zwangsgeld, durchgesetzt werden3. Darüber hinaus stellt eine Verletzung der Duldungspflicht eine Ordnungswidrigkeit dar und ist gemäß § 43 Abs. 1 Nr. 10 bußgeldbewährt. Zu beachten ist allerdings, dass der Bußgeldtatbestand ausdrücklich nur bei einer Verletzung der Duldungspflicht nach Abs. 4 Satz 1 (Betreten von Geschäftsräumen) greift. Im Umkehrschluss muss gefolgert werden, dass eine Verletzung der Duldungspflichten nach Satz 2 (Einsicht in geschäftliche Unterlagen) nicht bußgeldbewährt ist. Zu diesem Ergebnis kam auch das KG4. Nach Auffassung des Gerichts stelle Satz 2 nicht etwa eine Konkretisierung der Duldungspflicht nach Satz 1, sondern einen eigenen Duldungstatbestand dar. Der Gesetzgeber habe sich bewusst nicht dafür entschieden, auch eine Verletzung dieser zweiten Duldungspflicht mit einem Bußgeld zu belegen, da die Einsichtnahme in geschäftliche Unterlagen einen weitaus gravierenderen Eingriff darstelle als das einfache physische Betreten und Überprüfen der Geschäftsräume5.

1 Ebenso Simitis/Petri, § 38 BDSG Rz. 65. 2 Ebenso Gola/Schomerus, § 38 Rz. 23; Bergmann/Möhrle/Herb, § 38 BDSG Rz. 70; Simitis/ Petri, § 38 BDSG Rz. 65. 3 Taeger/Gabel/Grittmann, § 38 BDSG Rz. 35. 4 KG v. 5.8.2011 – 3 Ws (B) 362/11, NStZ 2012, 219. 5 KG v. 5.8.2011 – 3 Ws (B) 362/11, NStZ 2012, 219 (220).

Plath

|

885

§ 38 BDSG | Datenverarbeitung nicht-öffentlicher Stellen VII. Anordnungsbefugnisse der Aufsichtsbehörden (Abs. 5) 61 Abs. 5 normiert als letzten Bestandteil der Kontrollmaßnahmen, die die Auf-

sichtsbehörden zur Erfüllung ihrer Aufgaben ergreifen können, bestimmte Anordnungs- und Untersagungsbefugnisse. Der Gesetzgeber gibt den Aufsichtsbehörden damit die Werkzeuge zur Hand, um Missstände, die sie infolge der Inanspruchnahme ihrer Rechte nach Abs. 3 und 4 feststellen konnten, auch tatsächlich zu beheben, die Einhaltung des Datenschutzrechts also nicht nur zu überprüfen, sondern auch tatsächlich durchzusetzen. 1. Beseitigungsanordnung (Abs. 5 Satz 1 und 2)

62 Die Aufsichtsbehörden können gemäß Abs. 5 Satz 1 zunächst Maßnahmen zur

Beseitigung festgestellter Verstöße anordnen. Gegenstand dieser Maßnahmen kann dabei nicht nur die Beseitigung physischer Mängel im Zusammenhang mit der Gewährleistung der Datensicherheit sein1, sondern auch die Beseitigung von materiellrechtlichen Missständen im Zusammenhang mit der Erhebung, Verarbeitung und Nutzung personenbezogener Daten. Den Aufsichtsbehörden steht es dabei unter Wahrung des Verhältnismäßigkeitsgrundsatzes frei, die Anordnung entweder darauf zu beschränken, dass die verantwortliche Stelle im freien Belieben Maßnahmen treffen muss, die zur Beseitigung der Missstände geeignet sind, oder selbst anzuordnen, welche konkreten Maßnahmen getroffen werden müssen2. Die Anordnung erfolgt im Wege des Verwaltungsakts, auf den das allgemeine Verwaltungsrecht anwendbar ist.

63 Kommt die verantwortliche Stelle der Anordnung nicht oder nicht in einem an-

gemessenen Zeitraum bzw. Umfang nach, so kann die Aufsichtsbehörde die Vornahme der Maßnahmen durch Verhängung eines Zwangsgeldes durchsetzen3. Dies ergibt sich aus Abs. 5 Satz 2. Voraussetzung hierfür ist jedoch, dass die Aufsichtsbehörde eine angemessene Umsetzungsfrist setzt und die Verhängung des Zwangsgeldes zuvor androht4. Darüber hinaus stellt das Zuwiderhandeln gegen eine Anordnung der Aufsichtsbehörde gemäß § 43 Abs. 1 Nr. 11 eine bußgeldbewährte Ordnungswidrigkeit dar.

1 Zur Rechtswidrigkeit der Anordnung eines Verschlüsselungsverfahrens für die Versendung von Bewerberprofilen per E-Mail VG Berlin v. 24.5.2011 – VG 1 K 133.10, 1 K 133/ 10. 2 Im Ergebnis ebenso Gola/Schomerus, § 38 Rz. 25; Taeger/Gabel/Grittmann, § 38 BDSG Rz. 38. 3 Zuletzt zum abgestuften Verfahren OVG Schleswig v. 4.9.2014 – 4 LB 20/13, CR 2014, 801. 4 Vgl. § 13 VwVG; so auch Simitis/Petri, § 38 BDSG Rz. 73.

886

|

Plath

Aufsichtsbehörde | § 38 BDSG

2. Untersagungsanordnung (Abs. 5 Satz 2 Halbs. 1) Neben den oben dargestellten Beseitigungsanordnungen können die Aufsichts- 64 behörden auch die Maßnahme ergreifen, eine Datenverwendung ganz zu untersagen und die Löschung der Daten zu verlangen. Denkbar ist eine solche Untersagungsanordnung nur in zwei Fällen: – Es wurden schwerwiegende Verstöße festgestellt (z.B. Verstöße, durch die in besonderem Maße das Persönlichkeitsrecht des Betroffenen bedroht wird) und die Beseitigung der Mängel konnte auch im Wege der Maßnahmen- und Zwangsmittelanordnung nicht beseitigt werden (Abs. 5 Satz 2 Halbs. 1). Zu beachten ist, dass auch in diesem Fall die Aufsichtsbehörde im Rahmen einer Verhältnismäßigkeitsprüfung die Angemessenheit der Untersagungsanordnung feststellen muss. Vielfach wird damit die Beschränkung der Untersagungsanordnung auf bestimmte Verwendungsformen oder Verfahren als mildestes Mittel geboten sein. – Die Datenverwendung ist in ihrer Gesamtheit unzulässig. Dies kann bspw. bereits dann der Fall sein, wenn es an einer Rechtsgrundlage für die Datenverarbeitung oder an einem wirksamen Auftragsdatenverarbeitungsvertrag fehlt1. In diesem Fall kann in der Untersagungsanordnung selbst die nach Abs. 5 Satz 1 angeordnete Maßnahme zu sehen sein. Es bedarf dann keiner Zwangsmittelandrohung nach Satz 22. Zu diesem Mittel wird die Aufsichtsbehörde jedoch nur greifen können, wenn ihr Ermessensspielraum auf Null reduziert ist. Die Untersagungsanordnung wird sich im Regelfall auf eine bestimmte Art und 65 Weise der Datenverwendung beschränken. Es ist der verantwortlichen Stelle demzufolge unbenommen, die Datenverwendung auf eine andere, gesetzeskonforme Weise wieder aufzunehmen. 3. Abberufung des betrieblichen Datenschutzbeauftragten (Abs. 5 Satz 3) Schließlich können die Aufsichtsbehörden die Abberufung des betrieblichen 66 Datenschutzbeauftragten verlangen. Voraussetzung hierfür ist, dass die Aufsichtsbehörden im Rahmen einer Kontrolle feststellen, dass dieser die zur Erfüllung seiner Aufgaben erforderliche Fachkunde und/oder Zuverlässigkeit nicht besitzt. Festgelegte Kriterien für die Zuverlässigkeitsüberprüfung des Datenschutz- 67 beauftragten gibt es nicht; den Aufsichtsbehörden wird ein weiter Ermessensspielraum eingeräumt. In der Regel werden diese aus mehreren Indizien ein Gesamtbild erstellen, das für oder gegen die Zuverlässigkeit spricht. Solche Indizien 1 So auch Gola/Schomerus, § 38 BDSG Rz. 26; Simitis/Petri, § 38 BDSG Rz. 73. 2 Ebenso Simitis/Petri, § 38 BDSG Rz. 73; Gola/Schomerus, § 38 BDSG Rz. 26.

Plath

|

887

§ 38 BDSG | Datenverarbeitung nicht-öffentlicher Stellen können bspw. Interessenskonflikte1, langjährige Untätigkeit oder offensichtlich fehlende Kenntnisse im Bereich des Datenschutzrechts sein2. Ggf. kann die Aufsichtsbehörde als milderes Mittel eine (Nach)Schulung des betrieblichen Datenschutzbeauftragten anordnen, um dessen Defizite auszugleichen3. 68 Durch das Abberufungsverlangen selbst tritt noch keine unmittelbare Rechts-

folge für den Datenschutzbeauftragten ein. Vielmehr ist in dieser Anordnung ein Verwaltungsakt zu sehen, durch den die verantwortliche Stelle zur Abberufung des betrieblichen Datenschutzbeauftragten verpflichtet wird. Da durch diese Anordnung sowohl die verantwortliche Stelle als Adressatin als auch der betriebliche Datenschutzbeauftragte beschwert werden, stehen beiden die üblichen verwaltungsrechtlichen Rechtsmittel zu4.

69 Zu beachten ist, dass durch die Bestellung eines ungeeigneten oder unzuverlässi-

gen Datenschutzbeauftragten regelmäßig auch der Bußgeldtatbestand des § 43 Abs. 1 Nr. 2 erfüllt sein wird.

VIII. Übertragung der Datenschutzaufsicht auf die Länder (Abs. 6) 70 Abs. 6 überträgt die Aufgabe der Datenschutzaufsicht auf die Länder. Sowohl

die Bestimmung, welche Landesstelle die Aufgaben der Aufsichtsbehörde wahrzunehmen hat, als auch die konkrete Ausgestaltung der Kontrolle obliegt demzufolge den einzelnen Bundesländern. § 38 steckt lediglich einen Rahmen ab, der einer Konkretisierung auf Landesebene bedarf (s. Rz. 4)5. Die Norm kann deshalb – über die Verwendung von Daten im Rahmen des Kontrollauftrags hinaus – nicht als Ermächtigungsgrundlage herangezogen werden. Sie verpflichtet allerdings die Länder dazu, eine entsprechende Ermächtigungsgrundlage zu schaffen6.

71 Die Ausgestaltung der Aufsichtsbehörden als Kontrollstellen, die der Fach- und

Rechtsaufsicht unterliegen, war Gegenstand eines Vertragsverletzungsverfahrens der EU-Kommission gegen die Bundesrepublik Deutschland7. Streitgegenstand

1 Vgl. hierzu auch Ernst, NJOZ 2010, 2443 für den Fall der Personalunion zwischen Revisionsabteilung und betrieblichem Datenschutzbeauftragten. 2 Ebenso Gola/Schomerus, § 38 BDSG Rz. 27. 3 Vgl. Taeger/Gabel/Grittmann, § 38 BDSG Rz. 41; Däubler/Klebe/Wedde/Weichert/Weichert, § 38 BDSG Rz. 33. 4 So auch Gola/Schomerus, § 38 BDSG Rz. 28; Taeger/Gabel/Grittmann, § 38 BDSG Rz. 40; Däubler/Klebe/Wedde/Weichert/Weichert, § 38 BDSG Rz. 33. 5 Zur Frage, ob die Berufung der Aufsichtsbehörden durch die Exekutive oder durch die Legislative zu erfolgen hat Simitis/Petri, § 38 BDSG Rz. 16; grundsätzlich zur Struktur und Unabhängigkeit der Aufsichtsbehörden Herb, ZUM 2004, 530 ff. 6 Ebenso Simitis/Petri, § 38 BDSG Rz. 16. 7 EuGH v. 9.3.2010 – C-518/07, NJW 2010, 1265; ausführlich hierzu Taeger/Gabel/Grittmann, § 38 BDSG Rz. 46 ff.; kritisch Däubler/Klebe/Wedde/Weichert/Weichert, § 38 BDSG Rz. 6; Bull, EuZW 2010, 488.

888

|

Plath

Aufsichtsbehörde | § 38 BDSG

war die Frage, wie die in Art. 28 Abs. 1 EG-Datenschutzrichtlinie geforderte „völlige Unabhängigkeit“ der Aufsichtsstellen zu verstehen sei1. Der EuGH legte entgegen der Ansicht der Bundesrepublik diesen Begriff dahin gehend aus, dass nicht nur eine grundsätzliche Unabhängigkeit gegenüber äußeren Einflussnahmen, insbesondere der kontrollierten Stellen, ausreiche, sondern vielmehr auch eine institutionelle Unabhängigkeit und damit eine Freiheit von jeglicher Art der staatlichen Aufsicht erforderlich sei. Denn im Wege der staatlichen Aufsicht sei gerade eine Einflussnahme auf die Entscheidungen der Aufsichtsbehörden möglich, und somit eine „völlige Unabhängigkeit“ gerade nicht gewährleistet. Diese sei jedoch zum Schutz des Persönlichkeitsrechts der Betroffenen einerseits und der berechtigten Interessen der kontrollierten verantwortlichen Stellen andererseits unerlässlich2. Im Zuge dieses Urteils bündelten die Länder die Kompetenzen der Aufsichts- 72 behörden innerhalb einer einzigen Stelle und unterstellten die Stellen lediglich einer Dienst-, nicht jedoch einer Fach- oder Rechtsaufsicht3. Zur örtlichen Zuständigkeit der Aufsichtsbehörden s. Rz. 5.

73

IX. Anwendbarkeit der Gewerbeordnung (Abs. 7) Abs. 7 erklärt schließlich die Regelungen der Gewerbeordnung (GewO) für wei- 74 terhin anwendbar. Damit bleiben auch die Gewerbeaufsichtsämter zur Ahndung von Verstößen gegen das Datenschutzrecht befugt, sofern darin auch ein Verstoß gegen die Vorschriften der GewO zu sehen ist. Denkbar ist dies insbesondere in den Fällen, in denen der datenschutzrechtliche Verstoß den Rückschluss auf die Unzuverlässigkeit des Gewerbetriebenden nach § 35 GewO zulässt4. Welche Maßnahmen die Gewerbeaufsichtsbehörden konkret ergreifen können, richtet sich dann ebenfalls nach der GewO. Gemäß Abs. 1 Satz 6 sind die Aufsichtsbehörden zudem dazu berechtigt, die Gewerbeaufsicht über schwerwiegende Verstöße gegen das Datenschutzrecht zu informieren (s. Rz. 29). Die Gewerbeund Datenschutzaufsichtsbehörden können, müssen jedoch nicht zusammenarbeiten5.

1 Ausführlich zu Auslegung dieses Begriffs Petri/Tinnefeld, MMR 2010, 157 (158 ff.) sowie Gola/Schomerus, ZRP 2000, 183 ff. 2 EuGH v. 9.3.2010 – C-518/07, NJW 2010, 1265 (1266 f.); kritisch zu diesem Urteil Frenzel, DÖV 2010, 925. 3 Zur verfassungsrechtlichen Fragwürdigkeit dieses verwaltungsorganisatorischen Aufbaus Simitis/Petri, § 38 BDSG Rz. 12 ff. sowie Bull, EuZW 2010, 488. 4 Simitis/Petri, § 38 BDSG Rz. 75, Taeger/Gabel/Grittmann, § 38 BDSG Rz. 50; Däubler/ Klebe/Wedde/Weichert/Weichert, § 38 BDSG Rz. 27. 5 Simitis/Petri, § 38 BDSG Rz. 75.

Plath

|

889

§ 38a BDSG | Datenverarbeitung nicht-öffentlicher Stellen

§ 38a Verhaltensregeln zur Förderung der Durchführung datenschutzrechtlicher Regelungen (1) Berufsverbände und andere Vereinigungen, die bestimmte Gruppen von verantwortlichen Stellen vertreten, können Entwürfe für Verhaltensregeln zur Förderung der Durchführung von datenschutzrechtlichen Regelungen der zuständigen Aufsichtsbehörde unterbreiten. (2) Die Aufsichtsbehörde überprüft die Vereinbarkeit der ihr unterbreiteten Entwürfe mit dem geltenden Datenschutzrecht. I. Einführung . . . . . . . . . . . . . . . 1 II. Selbstregulierung durch verbindliche Verhaltensnormen . . 2 III. Regulierte Selbstregulierung im Datenschutz . . . . . . . . . . . . 9 1. Vorlegung von Verhaltensregeln (Abs. 1) a) Vorlageberechtigte . . . . . . . . 10 b) Verhaltensregeln . . . . . . . . . 13

aa) Entwürfe . . . . . . . . . . . . bb) Inhaltliche Anforderungen . . . . . . . c) Zuständige Aufsichtsbehörde 2. Überprüfung der Vereinbarkeit mit geltendem Datenschutzrecht (Abs. 2) . . . . . . . . . . . . . . . . . .

14 16 19 20

IV. Europaweit geltende Verhaltensregelungen . . . . . . . . . . . . 24

Schrifttum: Abel, Umsetzung der Selbstregulierung: Probleme und Lösungen, RDV 2003, 11; Bizer, Selbstregulierung des Datenschutzes, DuD 2001, 168; von Braunmühl, Ansätze zur Ko-Regulierung in der Datenschutz-Grundverordnung, PinG 2015, 231; Christiansen, Selbstregulierung, regulatorischer Wettbewerb und staatliche Eingriffe im Internet, MMR 2000, 123; Düsseldorfer Kreis, Orientierungshilfe der Datenschutzaufsichtsbehörden für den Umgang mit Verhaltensregeln nach § 38a BDSG, November 2013; Heil, Datenschutz durch Selbstregulierung – Der europäische Ansatz, DuD 2001, 129; Hoeren, Prüfungsbescheide der Datenschutzaufsicht und ihre verwaltungsrechtliche Bindungswirkung, 2011, 1; Schaar, Selbstregulierung und Selbstkontrolle – Auswege aus dem Kontrolldilemma?, DuD 2003, 421; Vomhof, Verhaltensregeln nach § 38a BDSG – Der Code of Conduct der Versicherungswirtschaft, PinG 2014, 209; Wronka, Anmerkungen zu den Verhaltensregeln der Deutschen Versicherungswirtschaft, RDV 2014.

I. Einführung 1 Die Norm setzt Art. 27 EG-Datenschutzrichtlinie um, der die Mitgliedstaaten

anhält, die Ausarbeitung von Verhaltensregelungen zur Gewährleistung des Datenschutzes zu fördern1. Abs. 1 gibt Berufsverbänden und andere Vereini1 S. hierzu auch Erwägungsgrund 61 EG-Datenschutzrichtlinie, der die Mitgliedstaaten ausdrücklich zu einer Förderung der Selbstregulierung im Bereich des Datenschutzes anhält.

890

|

Hullen

Verhaltensregeln zur Förderung der Durchführung | § 38a BDSG

gungen die Möglichkeit, Verhaltensregeln i.S. interner Regelungen zur Förderung des Datenschutzes (Codes of Conducts) zu erarbeiten und den zuständigen Aufsichtsbehörden vorzulegen1. Abs. 2 enthält die Verpflichtung der zuständigen Aufsichtsbehörde zur Überprüfung dieser Verhaltensregelungen auf Vereinbarkeit mit geltendem Datenschutzrecht. In der DSGVO werden Verhaltensregeln in Art. 40 und 41 behandelt.

II. Selbstregulierung durch verbindliche Verhaltensnormen Selbstregulierung lässt sich als Festlegung eines Regelwerks verbindlicher Ver- 2 haltensnormen durch die sich dem Regelwerk Verpflichtenden definieren2. Die Festlegung kann dabei z.B. in Satzungs- oder Vertragsform durch Vereinigungen der Beteiligten erfolgen. Ein späterer Beitritt zu bereits bestehenden Regelwerken ist nicht ausgeschlossen. Fehlt den Kodizes ein wirksamer Durchsetzungsmechanismus, bspw. in Form von Beschwerde- und Sanktionsmechanismen, wird teilweise auch von Selbstverpflichtung, und nicht von Selbstregulierung gesprochen3. Unverbindliche Absichtserklärungen („privacy statements“) bleiben in Regelungsumfang und Verbindlichkeit qualitativ hinter der Selbstverpflichtung bzw. Selbstregulierung zurück. Im Kern geht es um die freiwillige, verbindliche Festlegung eines bereichs-, bran- 3 chen- oder gruppenspezifischen Regelwerks im Sinne einer Best Practice4. Hierdurch können regelungsbedürftige Lebenssachverhalte zumeist schneller, sachnäher und flexibler behandelt werden, als es durch den Gesetzgeber erfolgen könnte5. Dies gilt insbesondere für Regelungsmaterien mit grenzüberschreitendem Bezug6, da hier die Erarbeitung hoheitlicher Regelungswerke (z.B. internationale Verträge, Verordnungen und Richtlinien der Europäischen Union) regelmäßig noch größeren Abstimmungsbedarf voraussetzt und der Prozess der Anpassung bestehender Regelwerke entsprechend zäh verläuft7. Zudem stellen geprüfte Verhaltensregeln eine zuverlässige und praxisgerechte Verfahrensanleitung dar8, z.B. für die rechtmäßige Datenverarbeitung auf Grundlage weit gefasster Erlaubnistat-

1 2 3 4 5 6 7

BT-Drucks. 14/4329, S. 46. Vgl. auch Roßnagel/Roßnagel, Handbuch Datenschutzrecht, Teil 3.6 Rz. 2. Roßnagel/Roßnagel, Handbuch Datenschutzrecht, Teil 3.6 Rz. 3. So auch Däubler/Klebe/Wedde/Weichert/Weichert, § 38a BDSG Rz. 1. Roßnagel/Roßnagel, Handbuch Datenschutzrecht, Teil 3.6 Rz. 1. Diesbzgl. zur Internet Governance Christiansen, MMR 2000, 123. So z.B. die Bestrebungen zur Reformierung des EG-Datenschutzrichtlinie, s. Reding, ZD 2011, 1 (2). 8 Insofern zutreffend auch als „amtlich bestätigte Interpretationshilfen“ bezeichnet, s. Gola/ Schomerus/Klug/Korffer/Schomerus, § 38a BDSG Rz. 2.

Hullen

|

891

§ 38a BDSG | Datenverarbeitung nicht-öffentlicher Stellen bestände wie die der §§ 28, 291. Hierdurch lässt sich ein erhöhtes Maß an Rechtssicherheit schaffen. Dies gilt nicht nur für verarbeitende Stellen und Betroffene, sondern auch für die Aufsichtsbehörden, die sich statt auf Einzelfallprüfungen auf die Kontrolle der Einhaltung der Verhaltensregeln konzentrieren können2. 4 Weitere Vorteile der Selbstregulierung liegen weiterhin in einer erhöhten Ak-

zeptanz der freiwillig angenommenen Regelwerke, da Regelungsadressaten und Regelwerkverfasser oft (aber nicht zwangsläufig) identisch sind3. Zum anderen bieten sich der öffentlichen Hand Kostenvorteile gegenüber herkömmlichem gesetzgeberischen Handelns. Zumindest in Teilbereichen können der Erlass, die Überprüfung und die Kontrolle der Einhaltung von Regelungen sowie Beschwerdeinstanzen und Sanktionsmechanismen nicht staatlich, sondern privatwirtschaftlich finanziert werden4.

5 Sachverhalte mit Bezug zur Informationstechnologie eignen sich u.a. zur

Selbstregulierung, da die technische und gesellschaftliche Entwicklung in diesem Bereich eine besonders hohe Dynamik aufweist und komplexe Detailkenntnisse zur Durchdringung der Regelungsmaterie notwendig sind. Der Gesetzgeber sieht sich aufgrund der schnellen Entwicklung der Regelungsmaterie oftmals mit bereits gefestigten technischen und sozialen Gegebenheiten konfrontiert, die im Nachhinein nur noch schwer zu regulieren sind. Ein reaktives und ineffizientes gesetzgeberisches Handeln lässt sich in vielen Fällen vermeiden, wenn Vorgaben durch die Akteure selbst – innerhalb bestehender gesetzlicher Rahmenbedingungen – proaktiv, z.B. gleichzeitig mit der Entwicklung eines neuen Internetdienstes, gestaltet werden.

6 Kritik wird sowohl an der gesetzlichen Ausgestaltung als auch an der prakti-

schen Umsetzung der Norm geübt. Zu Recht werden dem Gesetzgeber Versäumnisse bei der Ausgestaltung der regulierten Selbstregulierung vorgeworfen5, die die Inanspruchnahme der Prüfung durch die Aufsichtsbehörden und die damit für alle Beteiligten entstehende „Win-Win-Situation“ erschweren. Weder Verfahren noch Ergebnis der Prüfung wurden gesetzlich näher bestimmt. Auch Regelungen zur Bindungswirkung geprüfter Verhaltenskodizes gegenüber den Aufsichtsbehörden und inhaltlich-qualitative Anforderungen an abnahmefähige Regelwerke wurden nicht kodifiziert. In einer Orientierungshilfe des Düsseldorfer Kreises zum Umgang mit Verhaltensregeln nach § 38a BDSG haben sich die Aufsichtsbehörden im November 2013 über viele offene Punkte verständigt, so 1 Hierzu dienen u.a. die ersten von den Datenschutzbehörden nach § 38a abgenommenen Verhaltensregelungen des Gesamtsverbands der deutschen Versicherungswirtschaft, s. Vomhof, PinG 2014, 209 (210). 2 Ausführlich zu den Vorteilen in der Praxis Vomhof, PinG 2014, 209 (214) f.; Simitis/ Petri, § 38a BDSG Rz. 7. 3 Taeger/Gabel/Kinast, § 38a BDSG Rz. 4. 4 Vgl. auch Auernhammer/von Lewinski, § 38a BDSG Rz. 2. 5 Simitis/Petri, § 38a BDSG Rz. 8.

892

|

Hullen

Verhaltensregeln zur Förderung der Durchführung | § 38a BDSG

dass auf diesem Wege mehr Klarheit über Zuständigkeit, Prüfgegenstand und Rechtsschutz gegen negative Entscheidungen erreicht werden konnte1. Obwohl Verhaltensregeln ein großes Potential zur Förderung des Datenschut- 7 zes zugesprochen wird2, wurden bislang erst zwei Regelwerke von den Aufsichtsbehörden i.S.v. Abs. 2 anerkannt.3 Dies liegt u.a. in der föderalen Struktur der Datenschutzaufsicht, den dementsprechend schwierigen und langwierigen Abstimmungsprozessen4 sowie den uneinheitlichen Auffassungen der Datenschutzbehörden in Bezug auf die inhaltlichen Anforderungen, die an ein Regelwerk i.S.d. Abs. 1 im Allgemeinen und im Besonderen zu stellen sind, begründet5. Die zuständigen Behörden beschränken sich teilweise nicht auf eine Prüfung auf Übereinstimmung mit geltendem Recht, sondern versuchen, darüber hinausgehende Anforderungen durchzusetzen und durch die Versagung der Anerkennung Einfluss auf den Inhalt der Regelwerke zu nehmen6. In solchen Fällen bleibt dem Vorlageberechtigten oftmals nur, die Verhaltensregeln auch ohne Anerkennung i.S.v. Abs. 2 zu implementieren. Selbstregulierungsaktivitäten wurden z.B. im Bereich der Verwendung von 8 Cookies (zum Begriff s. Komm. zu § 13 TMG Rz. 13), der Sozialen Netzwerke, des Inkassos und der Panorama-Bilderdienste („Street View“) entfaltet, die aus verschiedenen Gründen in unterschiedlichen Stadien auf dem Weg zu einem nach Abs. 2 abgenommenen Regelwerk endeten7. Neben Verhaltensregelungen für den Umgang mit personenbezogenen Daten in der Versicherungswirtschaft wurden als zweites Regelwerk überhaupt Ende Juli 2015 Verhaltensregelungen im Bereich der kommerziellen Nutzung staatlicher Geodaten von den Datenschutzbehörden genehmigt8. Im Telekommunikationsbereich hat der Gesetzgeber ausdrücklich die Einräumung der Möglichkeit der Selbstregulierung der Transparenz- und Informationspflichten der TK-Anbieter im Rahmen einer Rechtsverordnung vorgesehen, s. § 45n Abs. 4 Satz 2 TKG9. 1 Düsseldorfer Kreis, Orientierungshilfe der Datenschutzaufsichtsbehörden für den Umgang mit Verhaltensregeln nach § 38a BDSG, November 2013. 2 Roßnagel/Roßnagel, Handbuch Datenschutzrecht, Kap. 1 Rz. 47. 3 von Braunmühl, PinG 2015, 231 (231). 4 S. von Braunmühl, PinG 2015, 231 (231). 5 A.A. Däubler/Klebe/Wedde/Weichert/Weichert, § 38a BDSG Rz. 2, Verbänden und anderen Vorlageberechtigten unterstellt, „untergesetzliche Praktiken“ nicht transparent machen zu wollen. 6 So auch Taeger/Gabel/Kinast, § 38a BDSG Rz. 21, der zutreffend eine Freiwilligkeit bei einer Einflussnahme dieser Art in Frage stellt. 7 Zu weiteren Beispielen der Selbstregulierung s.a. Auernhammer/von Lewinksi, § 38a BDSG Rz. 6. 8 von Braunmühl, PinG 2015, 231 (231). 9 Vgl. zum Entwurf eines Gesetzes zur Änderung telekommunikationsrechtlicher Regelungen BT-Drucks. 17/5707, S. 67 sowie Beschlussempfehlung und Bericht hierzu, BTDrucks. 17/7521.

Hullen

|

893

§ 38a BDSG | Datenverarbeitung nicht-öffentlicher Stellen III. Regulierte Selbstregulierung im Datenschutz 9 Erfolgt die Selbstregulierung in einem staatlich vorgegebenen (d.h. gesetzlich

festgelegten) Rahmen, so wird von regulierter Selbstregulierung oder Ko-Regulierung1 gesprochen. Dieser Ansatz wurde, basierend auf Art. 27 EG-Datenschutzrichtlinie, auch für die Förderung des Datenschutzes gewählt. Während Abs. 1 die Vorlageberechtigung und den Beurteilungsmaßstab für die Verhaltensregelungen festlegt, regelt Abs. 2 das behördliche Anerkennungsverfahren. Das (positive) Ergebnis des Verfahrens nach Abs. 2 soll einer Qualitätsbestätigung oder einem Gütesiegel entsprechen2, welches präventiv Rechtssicherheit für die Mitglieder der Berufsverbände und anderen Vereinigungen, für Betroffene, aber auch für die Aufsichtsbehörden selbst schaffen (s.a. Rz. 3) und zudem eine positive Außendarstellung ermöglichen kann. 1. Vorlegung von Verhaltensregeln (Abs. 1) a) Vorlageberechtigte

10 Entwürfe von Verhaltensregeln können den zuständigen Aufsichtsbehörden von

Berufsverbänden und anderen Vereinigungen vorgelegt werden. Der Kreis der Vorlageberechtigten wurde weit gefasst, weder aus der Gesetzesbegründung noch aus der EG-Datenschutzrichtlinie ergeben sich diesbezügliche Einschränkungen3.

11 Berufsverbände sind Vereinigungen von Personen, die der gleichen Berufs-

gruppe angehören. Die Verbände müssen dabei Mitglieder umfassen, die im Rahmen ihrer beruflichen Tätigkeit zumindest auch mit der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten in Berührung kommen. Es ist nicht erforderlich, dass der Berufsverband zwangsweise alle Personen vertritt, die den jeweiligen Beruf ausüben, wie dies u.a. bei Rechtsanwalts- oder Architektenkammern der Fall ist.

12 Andere Vereinigungen i.S.d. Abs. 1 müssen Gruppen von verantwortlichen

Stellen (s. § 3 Abs. 7) vertreten. Dabei ist eine gewisse Homogenität der Mitgliederstruktur zu fordern4, wobei hieran aufgrund des Wortlauts der Norm keine strengen Maßstäbe anzulegen sind. Hierunter fallen insbesondere freiwillige Zusammenschlüsse wie regionale und nationale Wirtschaftsverbände5 (wie bspw. BITKOM oder GDV) und Verbände von Idealvereinen (wie z.B. der Verbrau-

1 Da in diesem Fall eine Kooperation zwischen Staat und einer „Vereinigungen“ stattfindet, Roßnagel/Roßnagel, Handbuch Datenschutzrecht, Teil 3.6 Rz. 21. 2 Däubler/Klebe/Wedde/Weichert/Weichert, § 38a BDSG Rz. 1. 3 So auch Simitis/Petri, § 38a BDSG Rz. 10. 4 Gola/Schomerus, § 38a BDSG Rz. 4; Simitis/Petri, § 38a BDSG Rz. 12. 5 Däubler/Klebe/Wedde/Weichert/Weichert, § 38a BDSG Rz. 4.

894

|

Hullen

Verhaltensregeln zur Förderung der Durchführung | § 38a BDSG

cherzentrale Bundesverband e.V.)1. Der Wortlaut des Abs. 1 umfasst zudem auch Konzerne und Unternehmensgruppen, die ihre datenschutzrechtlichen Verhaltensrichtlinien auf die Vereinbarkeit mit geltendem Datenschutzrecht prüfen lassen wollen2. Weder Berufsverbände noch andere Vereinigungen müssen ihre jeweilige Bezugsgruppe z.B. in Hinblick auf Anzahl oder Gewicht der Mitglieder repräsentieren3. Dies würde dem Gesetzeszweck, der Förderung der Selbstregulierung zur Verbesserung des Datenschutzes, und dem Erwägungsgrund 61 EG-Datenschutzrichtlinie, der die Förderung selbiger im Datenschutz vorschreibt, widersprechen4. b) Verhaltensregeln Vorlagefähig i.S.d. Abs. 1 sind Entwürfe für Verhaltensregeln (s. Rz. 14) zur För- 13 derung der Durchführung von datenschutzrechtlichen Regelungen (s. Rz. 16). aa) Entwürfe Die berechtigten Vereinigungen können der zuständigen Aufsichtsbehörde Ent- 14 würfe für Verhaltensregeln zur Förderung von datenschutzrechtlichen Regelungen vorlegen. Dem Wortlaut des Abs. 1 nach dürfen lediglich Regelungsentwürfe den zustän- 15 digen Behörden zur Überprüfung unterbreitet werden. Hiermit wollte der Gesetzgeber zum Ausdruck bringen, dass lediglich noch nicht überprüfte Regelungen den Aufsichtsbehörden unterbreitet werden können. Bereits geprüfte Regelwerke unterfallen der Kontrolle der Aufsichtsbehörden nach § 38. Werden Änderungen an einem bereits abgenommenen Regelwerk vorgenommen, so unterfällt selbiges jedoch wieder als Entwurf der Regelungsmaterie des Abs. 15. Dass die Regelungen des Entwurfs schon ganz oder teilweise durch die Mitglieder der jeweiligen Vereinigung befolgt werden, führt nicht zu einer Versagung der Vorlageberechtigung. Auch dies würde dem Normzweck, der Erhöhung des Datenschutzes durch von Aufsichtsbehörden geprüfte Selbstregulierungskodizes, widersprechen6. Gegenteiliges lässt sich auch nicht aus der Gesetzesbegründung schließen7, die lediglich zur Prüfpflicht der Aufsichtsbehörden Stellung bezieht.

1 Simitis/Petri, § 38a BDSG Rz. 12. 2 Däubler/Klebe/Wedde/Weichert/Weichert, § 38a BDSG Rz. 4; Taeger/Gabel/Kinast, § 38a BDSG Rz. 16, der die Vorlageberechtigung auch für Joint Ventures bejaht. 3 Bergmann/Möhrle/Herb, § 38a BDSG Rz. 4. 4 So auch Taeger/Gabel/Kinast, § 38a BDSG Rz. 17. 5 Simitis/Petri, § 38a BDSG Rz. 19. 6 So auch Taeger/Gabel/Kinast, § 38a BDSG Rz. 19. 7 BT-Drucks. 14/4329, S. 46.

Hullen

|

895

§ 38a BDSG | Datenverarbeitung nicht-öffentlicher Stellen bb) Inhaltliche Anforderungen 16 Welchen inhaltlichen Anforderungen der Entwurf entsprechen muss, ist um-

stritten. Dem Gesetzeswortlaut nach müssen die Verhaltensregelungen die Durchführung von datenschutzrechtlichen Regelungen fördern. Diese unglücklich an Art. 27 Abs. 1 EG-Datenschutzrichtlinie angelehnte Formulierung eröffnet einen großen Interpretationsspielraum, der in der Praxis für Unstimmigkeiten zwischen den Vorlageberechtigten und den Aufsichtsbehörden sorgt.

17 Die Regelungen sollen einen „datenschutzrechtlichen Mehrwert“1 bieten müs-

sen, wobei unklar ist, wann ein solcher Mehrwehrt anzunehmen ist. Teilweise wird eine Konkretisierung der gesetzlichen Datenschutzregelungen gefordert, wobei die Verhaltensregelungen die gesetzlichen Vorgaben nicht nur bereichsspezifisch abbilden und das Datenschutzrecht hinsichtlich Regelungstiefe und -breite nicht unterschreiten dürfen2. Andererseits wird schon die Übereinstimmung des Regelwerks mit geltendem Datenschutzrecht für ausreichend erachtet3. In der Praxis ist problematisch, dass die Aufsichtsbehörden selbst unterschiedliche Beurteilungsmaßstäbe angelegt haben4, was bei einer gemeinsamen Abstimmung im „Düsseldorfer Kreis“ oftmals zu einer uneinheitlichen Meinung bzgl. der inhaltlichen Abnahmefähigkeit des vorgelegten Regelwerks führte5.

18 Einen Mehrwert bieten Verhaltensregeln immer dann, wenn sie der Förderung

datenschutzrechtlicher Regelungen dienen. Dies ist sicherlich dann nicht gegeben, wenn die Verhaltensregeln im Widerspruch zum geltenden Datenschutzrecht stehen6. Von einer Förderung kann aber schon dann ausgegangen werden, wenn das gesetzliche, materiell-rechtlich festgeschriebene Datenschutzniveau nicht erhöht wird, sondern bspw. verständlicher dargestellt und somit leichter anwend- und besser durchführbar gemacht wird7. Dies kann gerade in einer auf eine bestimmte Branche zugeschnittene Auswahl und Aufbereitung datenschutzrechtlicher Regelungen, bspw. durch eine verwendergerechte Darstellung der mitunter kaum für rechtlich Versierte verständlichen Datenschutzregelungen bestehen. Bei der Beurteilung der Frage, wann geltende Datenschutzregeln durch einen Verhaltenskodex gefördert werden, ist daher ein großzügiger Maßstab anzulegen. Dies gilt insbesondere auch, um Wertungswidersprüche zwischen der (Ex-ante-)Prüfung im Rahmen des § 38a und der (Ex-Post-)Überprüfung nach § 38 zu vermeiden. Auch der Normzweck, der auf die Förderung der Implementierung überprüfter Regelwerke abzielt, würde durch weiterreichende 1 2 3 4 5

Vgl. Simitis/Petri, § 38a BDSG Rz. 16. m.w.N. So Däubler/Klebe/Wedde/Weichert/Weichert, § 38a BDSG Rz. 6. Gola/Schomerus, § 38a BDSG Rz. 5. Simitis/Petri, § 38a BDSG Rz. 16 Fn. 24. Kritisch zur Beurteilungspraxis durch die Aufsichtsbehörden auch Taeger/Gabel/Kinast, § 38a BDSG Rz. 21. 6 Simitis/Petri, § 38a BDSG Rz. 17. 7 So auch Abel, RDV 2003, 11 (12); Taeger/Gabel/Kinast, § 38a BDSG Rz. 22.

896

|

Hullen

Verhaltensregeln zur Förderung der Durchführung | § 38a BDSG

Anforderungen als die Prüfung der Übereinstimmung des Regelwerks mit geltendem Recht konterkariert werden. Die reine Wiedergabe gesetzlicher Regelungen wird jedoch in der Regel keinen fördernden Charakter aufweisen1. In der Orientierungshilfe des Düsseldorfer Kreises zum Umgang mit Verhaltens- 18a regeln nach § 38a haben mittlerweile auch die Aufsichtsbehörden klargestellt, dass Verhaltensregeln nicht über das gesetzliche Datenschutzniveau hinausgehen, jedoch einen Mehrwehrt enthalten müssen. Dieser könne „in einer bereichsspezifischen Präzisierung, ergänzenden konkretisierenden Regelungen und Anforderungen, fördernden Verfahren oder Standardisierungen und technischen Festlegungen“ zu sehen sein2. c) Zuständige Aufsichtsbehörde Die Entwürfe nach Abs. 1 sind der zuständigen Aufsichtsbehörde vorzulegen, 19 deren Zuständigkeit sich nach § 38 Abs. 1 (sachlich) bzw. Abs. 6 (örtlich) bestimmt. Bei länderübergreifenden Bezügen wird in der Praxis die zuständige Aufsichtsbehörde formell das Prüfverfahren übernehmen. Die Aufsichtsbehörden werden jedoch im „Düsseldorfer Kreis“ eine gemeinsame Position bzgl. der Vereinbarkeit der Regelwerke mit geltendem Datenschutzrecht erarbeiten3. Dies führt in der Praxis aufgrund unterschiedlicher rechtlicher Auffassungen der Aufsichtsbehörden u.U. zu einem nicht zu unterschätzenden Abstimmungsaufwand4. Die abgestimmte Entscheidung der zuständigen Behörde hat schließlich jedoch Bindungswirkung gegenüber allen anderen Aufsichtsbehörden5. 2. Überprüfung der Vereinbarkeit mit geltendem Datenschutzrecht (Abs. 2) Die zuständige Aufsichtsbehörde (s. Rz. 19) ist verpflichtet, den Entwurf der 20 Verhaltensregeln zu prüfen, wenn dieser durch den Vorlageberechtigten (s. Rz. 10) eingereicht und in rechtlicher, technischer und organisatorischer Hinsicht ausreichend begründet wurde. Der Entwurf ist auf Verlangen der Aufsichtsbehörden zu erläutern6. Die Überprüfung der Verhaltensregeln findet im Wege eines formellen Ver- 21 waltungsverfahrens statt, welches mit Einreichung des begründeten Entwurfs 1 So auch Bergmann/Möhrle/Herb, § 38a BDSG Rz. 8. 2 Düsseldorfer Kreis, Orientierungshilfe der Datenschutzaufsichtsbehörden für den Umgang mit Verhaltensregeln nach § 38a BDSG, November 2013, S. 6. 3 Düsseldorfer Kreis, Orientierungshilfe der Datenschutzaufsichtsbehörden für den Umgang mit Verhaltensregeln nach § 38a BDSG, November 2013, S. 6. 4 Zur behördlichen Abstimmungspraxis der Verhaltensregeln in der Versicherungswirtschaft Vomhof, PinG 2014, 209 (211). 5 Däubler/Klebe/Wedde/Weichert/Weichert, § 38a BDSG Rz. 8. 6 BT-Drucks. 14/4329, S. 46.

Hullen

|

897

§ 38a BDSG | Datenverarbeitung nicht-öffentlicher Stellen (s. Rz. 14) und der Stellung eines Antrags (§ 22 VwVfG) auf dessen Überprüfung auf Übereinstimmung mit den geltenden datenschutzrechtlichen Vorgaben beginnt1. Lediglich hierauf erstreckt sich die Prüfungskompetenz der zuständigen Aufsichtsbehörde (s. Rz. 19). Diese kann weitere Personen oder Stellen, deren rechtliche Interessen durch das Anerkennungsverfahren berührt werden könnten, z.B. Mitglieder der vorlageberechtigten Vereinigung2, am Verfahren beteiligen oder anhören (siehe § 13 Abs. 2, 3 VwVfG sowie Art. 27 Abs. 2 Satz 3 EG-Datenschutzrichtlinie)3. Das Verwaltungsverfahren endet mit einem feststellenden Verwaltungsakt, der die Vereinbarkeit mit geltendem Datenschutzrecht feststellt4. Da mit der Überprüfung regelmäßig eine komplexe rechtliche Prüfung des Regelwerks verbunden ist, liegt nicht nur eine bloße Auskunft der Behörde, sondern ein rechtlich bindendes Handeln mit Regelungscharakter vor5. 22 Die Feststellung, dass der Regelentwurf mit geltendem datenschutzrechtlichen

Vorgaben in Einklang steht, ist für die Verfahrensbeteiligten, aber auch für andere Behörden bindend (s.a. Rz. 3)6. Ein (ablehnender) Verwaltungsakt muss nach § 39 VwVfG mit einer entsprechenden Begründung versehen werden. Dem Antragsteller steht gegen die Feststellung der (vermeintlichen) Unvereinbarkeit der Verhaltensregeln mit geltendem Datenschutzrecht der Rechtsweg gemäß § 40 VwGO offen.

23 Eine Pflicht zur Veröffentlichung des Ergebnisses des Anerkennungsverfahrens

durch die prüfende Behörde ist gesetzlich nicht vorgesehen. Dem Vorlageberechtigen bleibt es unbenommen, auf eigene Initiative die Tatsache der Anerkennung i.S.v. Abs. 2 und das entsprechende Regelwerk zu veröffentlichen. Die Frage, ob die prüfende Aufsichtsbehörde berechtigt ist, die geprüften und anerkannten Verhaltensregeln zu veröffentlichen (etwa im Tätigkeitsbericht nach § 38 Abs. 1 Satz 6), u.U. sogar gegen den Willen des Vorlageberechtigten, wird nach h.M. bejaht7.

IV. Europaweit geltende Verhaltensregelungen 24 Entwürfe für gemeinschaftliche Verhaltensregeln, d.h. solche, die europaweite

Geltung beanspruchen, können gemäß Art. 27 Abs. 3 EG-Datenschutzrichtlinie 1 2 3 4

Gola/Schomerus, § 38a BDSG Rz. 5. Simitis/Petri, § 38a BDSG Rz. 23. Auernhammer/von Lewinski, § 38a BDSG Rz. 36. Düsseldorfer Kreis, Orientierungshilfe der Datenschutzaufsichtsbehörden für den Umgang mit Verhaltensregeln nach § 38a BDSG, November 2013, S. 7; Bergmann/Möhrle/ Herb, § 38a BDSG Rz. 18; Simitis/Petri, § 38a BDSG Rz. 25. 5 Ausführlich Hoeren, RDV 2011, 1. 6 S. Taeger/Gabel/Kinast § 38a BDSG Rz. 30 m.w.N.; Simitis/Petri, § 38a BDSG Rz. 21. 7 So z.B. Gola/Schomerus, § 38a BDSG Rz. 7; Simitis/Petri, § 38a Rz. 27 m.w.N.; Taeger/ Gabel/Kinast, § 38a BDSG Rz. 33.

898

|

Hullen

Zweckbindung bei Berufs- oder Amtsgeheimnis | § 39 BDSG

der Artikel-29-Datenschutzgruppe (bestehend aus den Vertretern der nationalen Datenschutzbehörden, dem Europäischen Datenschutzbeauftragten und einem Vertreter der EU-Kommission) vorgelegt werden. Im Gegensatz zu Verhaltensregeln, die lediglich unter § 38a fallen, wurden gemeinschaftliche Regelwerke bereits früh erfolgreich nach § 27 Abs. 3 EG-Datenschutzrichtlinie geprüft und angenommen (so der Kodex der Federation of European Direct Marketing)1. Die Artikel-29-Datenschutzgruppe prüft die Verhaltenskodizes auf Überein- 25 stimmung mit den Vorgaben aller einzelstaatlichen rechtlichen Regelungen zum Datenschutz. Zudem wird überprüft, ob Verhaltensregeln „ausreichende Qualität und Kohärenz aufweisen und genügenden zusätzlichen Nutzen für die Richtlinien und andere geltende Datenschutzrechtsvorschriften liefern, insbesondere, ob der Entwurf der Verhaltensregeln ausreichend auf die spezifischen Fragen und Probleme des Datenschutzes in der Organisation oder dem Sektor ausgerichtet ist, für die er gelten soll, und für diese Fragen und Probleme ausreichend klare Lösungen bietet“2.

Vierter Abschnitt Sondervorschriften

§ 39 Zweckbindung bei personenbezogenen Daten, die einem Berufs- oder besonderen Amtsgeheimnis unterliegen (1) 1Personenbezogene Daten, die einem Berufs- oder besonderen Amtsgeheimnis unterliegen und die von der zur Verschwiegenheit verpflichteten Stelle in Ausübung ihrer Berufs- oder Amtspflicht zur Verfügung gestellt worden sind, dürfen von der verantwortlichen Stelle nur für den Zweck verarbeitet oder genutzt werden, für den sie sie erhalten hat. 2In die Übermittlung an eine nicht-öffentliche Stelle muss die zur Verschwiegenheit verpflichtete Stelle einwilligen. (2) Für einen anderen Zweck dürfen die Daten nur verarbeitet oder genutzt werden, wenn die Änderung des Zwecks durch besonderes Gesetz zugelassen ist.

1 Gola/Schomerus, § 38a BDSG Rz. 9. 2 Artikel-29-Datenschutzgruppe, WP 13 v. 10.9.1998, S. 4, abrufbar unter http://ec.europa. eu/justice/policies/privacy/docs/wpdocs/1998/wp13_de.pdf.

Hullen/Plath

|

899

Zweckbindung bei Berufs- oder Amtsgeheimnis | § 39 BDSG

der Artikel-29-Datenschutzgruppe (bestehend aus den Vertretern der nationalen Datenschutzbehörden, dem Europäischen Datenschutzbeauftragten und einem Vertreter der EU-Kommission) vorgelegt werden. Im Gegensatz zu Verhaltensregeln, die lediglich unter § 38a fallen, wurden gemeinschaftliche Regelwerke bereits früh erfolgreich nach § 27 Abs. 3 EG-Datenschutzrichtlinie geprüft und angenommen (so der Kodex der Federation of European Direct Marketing)1. Die Artikel-29-Datenschutzgruppe prüft die Verhaltenskodizes auf Überein- 25 stimmung mit den Vorgaben aller einzelstaatlichen rechtlichen Regelungen zum Datenschutz. Zudem wird überprüft, ob Verhaltensregeln „ausreichende Qualität und Kohärenz aufweisen und genügenden zusätzlichen Nutzen für die Richtlinien und andere geltende Datenschutzrechtsvorschriften liefern, insbesondere, ob der Entwurf der Verhaltensregeln ausreichend auf die spezifischen Fragen und Probleme des Datenschutzes in der Organisation oder dem Sektor ausgerichtet ist, für die er gelten soll, und für diese Fragen und Probleme ausreichend klare Lösungen bietet“2.

Vierter Abschnitt Sondervorschriften

§ 39 Zweckbindung bei personenbezogenen Daten, die einem Berufs- oder besonderen Amtsgeheimnis unterliegen (1) 1Personenbezogene Daten, die einem Berufs- oder besonderen Amtsgeheimnis unterliegen und die von der zur Verschwiegenheit verpflichteten Stelle in Ausübung ihrer Berufs- oder Amtspflicht zur Verfügung gestellt worden sind, dürfen von der verantwortlichen Stelle nur für den Zweck verarbeitet oder genutzt werden, für den sie sie erhalten hat. 2In die Übermittlung an eine nicht-öffentliche Stelle muss die zur Verschwiegenheit verpflichtete Stelle einwilligen. (2) Für einen anderen Zweck dürfen die Daten nur verarbeitet oder genutzt werden, wenn die Änderung des Zwecks durch besonderes Gesetz zugelassen ist.

1 Gola/Schomerus, § 38a BDSG Rz. 9. 2 Artikel-29-Datenschutzgruppe, WP 13 v. 10.9.1998, S. 4, abrufbar unter http://ec.europa. eu/justice/policies/privacy/docs/wpdocs/1998/wp13_de.pdf.

Hullen/Plath

|

899

§ 39 BDSG | Sondervorschriften I. II. 1. 2. III.

Einführung . . . . . . . . . . . . . . . 1 Anwendungsbereich Adressaten . . . . . . . . . . . . . . . . 2 Berufs- und Amtsgeheimnis . . . 5 Reichweite der Zweckbindung 11

IV. Einwilligung des Geheimnisträgers (Abs. 1 Satz 2) . . . . . . . 13 V. Durchbrechung der Zweckbindung (Abs. 2) . . . . . . 14

Schrifttum: Giesen, Zum Begriff des Offenbarens nach § 203 StGB im Falle der Einschaltung privatärztlicher Verrechnungsstellen, NStZ 2012, 122; Redeker, Datenschutz auch bei Anwälten – aber gegenüber Datenschutzkontrollinstanzen gilt das Berufsgeheimnis, NJW 2009, 554; Weichert, Datenschutz auch bei Anwälten?, NJW 2009, 550.

I. Einführung 1 § 39 ist eine Sondervorschrift zu den allgemeinen Regelungen des BDSG, durch

die personenbezogene Daten, die einem Berufs- oder Amtsgeheimnis unterliegen, im Fall ihrer Weitergabe einer besonders strengen Zweckbindung unterstellt werden. Sinn und Zweck der Norm ist eine Erweiterung des originären Amts- bzw. Berufsgeheimnisses und der damit verbundenen Beschränkungen auf weitere Adressaten1. Zu beachten ist, dass das Zweckbindungsgebot nicht greift, wenn der Betroffene in eine darüber hinaus gehende Verwendung wirksam eingewilligt hat.

II. Anwendungsbereich 1. Adressaten 2 Adressat des § 39 ist nicht die zur Geheimniswahrung verpflichtete Person oder

Stelle selbst, sondern diejenige Stelle, der die Daten „zur Verfügung gestellt“ wurden. Die Norm richtet sich dementsprechend sowohl an Stellen, die Daten infolge einer Übermittlung (§ 3 Abs. 4 Nr. 3) empfangen haben, als auch an alle anderen Stellen, die auf sonstige, berechtigte Weise Zugang zu den Daten erhalten haben und über diese „verfügen“. Damit fällt insbesondere auch die interne Weitergabe von Daten – z.B. durch den Betriebsarzt – in den Anwendungsbereich des § 392. Es kommt lediglich darauf an, dass die Daten durch die zur Verschwiegenheit verpflichtete Stelle – oder ihren Berufsgehilfen gemäß § 203

1 Ebenso Simitis/Dammann, § 39 BDSG Rz. 1; Taeger/Gabel/Mackenthun, § 39 BDSG Rz. 1. 2 Gola/Schomerus, § 39 BDSG Rz. 2; Däubler/Klebe/Wedde/Weichert/Weichert, § 39 BDSG Rz. 2; Taeger/Gabel/Mackenthun, § 39 BDSG Rz. 15; Bergmann/Möhrle/Herb, § 39 BDSG Rz. 12; zur Weitergabe i.R.d. der Datenschutzkontrolle von Daten, die dem anwaltlichen Berufsgeheimnis unterliegen Weichert, NJW 2009, 550 (551 ff.) sowie Redeker, NJW 2009, 554.

900

|

Plath

Zweckbindung bei Berufs- oder Amtsgeheimnis | § 39 BDSG

Abs. 3 Satz 2 (ausführlich hierzu Komm. zu § 11 BDSG Rz. 74) – weitergegeben wurden. § 39 setzt dabei voraus, dass die Weitergabe nach Maßgabe der allgemeinen Regelungen des BDSG oder eines Spezialgesetzes zulässig war, und ist dementsprechend keine Erlaubnisnorm. Grundsätzlich unerheblich ist, ob die empfangende Stelle öffentlich oder nicht- 3 öffentlich ist. Allerdings ist umstritten, ob bei der Datenverwendung durch nicht-öffentliche Stellen ein Dateibezug notwendig ist, vgl. § 1 Abs. 2 Nr. 3. Dagegen wird eingewandt, dass eine derartige Beschränkung zu einer nicht vertretbaren Beschneidung des Anwendungsbereichs des § 39 und demnach des Geheimnisschutzes führen würde1. Nach der hier vertretenen Ansicht ist dem jedoch nicht zu folgen: Die Anwendbarkeit des § 39 setzt voraus, dass das BDSG als solches Anwendung findet, was jedoch nicht der Fall ist, wenn die Voraussetzungen des § 1 Abs. 2 Nr. 3 schon gar nicht erfüllt sind2. Teilweise wird deshalb vermittelnd vertreten, dass der Anwendungsbereich des § 39 auf die Verwendung solcher Daten zu erweitern sei, die entsprechend § 27 Abs. 2 offensichtlich aus einer automatisierten Verarbeitung entnommen worden sind. Auch diese Ansicht ist jedoch aufgrund des eindeutigen Wortlauts des § 27, der sich ausschließlich auf den Dritten Abschnitt des BDSG (§§ 27–38a) bezieht, abzulehnen3. Damit sind nur solche nicht-öffentliche Stellen Normadressaten des § 39, die Daten mit Hilfe von automatischen Datenverarbeitungsanlagen bzw. in oder aus nicht automatisierten Dateien verarbeiten oder nutzen. Dagegen ist § 39 nach der hier vertretenen Ansicht nicht auf die Verwendung 4 von Daten i.R.e. Auftragsdatenverarbeitung (§ 11) anwendbar, da der Auftragnehmer die Daten weisungsgebunden verwendet und demnach nicht über sie „verfügen“ kann4. Grundsätzlich zur Vereinbarkeit von Auftragsdatenverarbeitungen mit Geheimhaltungspflichten vgl. Komm. zu § 11 BDSG Rz. 9 ff., 78 ff. 2. Berufs- und Amtsgeheimnis § 39 setzt weiter voraus, dass die weitergebende Stelle bezüglich der betroffenen 5 Daten zur Wahrung eines Berufs- oder Amtsgeheimnisses verpflichtet ist. Der Anwendungsbereich der Norm entspricht dem des § 1 Abs. 3 Satz 2, der die Anwendbarkeit besonderer Geheimhaltungspflichten neben dem BDSG normiert (ausführlich hierzu Komm. zu § 1 BDSG Rz. 39 ff.). Damit greift § 39 nur, wenn die Geheimhaltungspflicht gesetzlich begründet ist. Unerheblich ist dagegen, ob 1 So im Ergebnis Simitis/Dammann, § 39 BDSG Rz. 16 mit Verweis darauf, dass auch i.R.d. allgemeinen Zweckbindungsregelungen kein Dateibezug gefordert sei. 2 Im Ergebnis ebenso Taeger/Gabel/Mackenthun, § 39 BDSG Rz. 12; Bergmann/Möhrle/ Herb, § 39 BDSG Rz. 5. 3 Ebenso Taeger/Gabel/Mackenthun, § 39 BDSG Rz. 13. 4 Ebenso Gola/Schomerus, § 39 BDSG Rz. 9; Taeger/Gabel/Mackenthun, § 39 BDSG Rz. 17; Bergmann/Möhrle/Herb, § 39 BDSG Rz. 27.

Plath

|

901

§ 39 BDSG | Sondervorschriften der zur Geheimhaltung Verpflichtete selbst verantwortliche Stelle i.S.d. BDSG ist (z.B. weil seine Tätigkeit gar nicht erst in den Anwendungsbereich des BDSG gemäß § 1 Abs. 2 fällt)1. 6 Als zentrale Geheimhaltungsvorschrift gilt § 203 StGB, der den Verrat von Pri-

vatgeheimnissen unter Strafe stellt. Damit zählen jedenfalls die Angehörigen der in § 203 Abs. 1 StGB aufgezählten Berufsgruppen zu den beruflichen Geheimnisträgern i.S.d. § 39 (z.B. Angehörige von Heilberufen, Rechtsanwälte, Notare, Steuerberater, Berater in bestimmten Beratungsstellen usw.).

7 Als Träger von Amtsgeheimnissen sind die in § 203 Abs. 2 StGB aufgezählten

Personen anzusehen, insbesondere alle Amtsträger. Zu beachten ist, dass die beruflichen und amtlichen Geheimhaltungspflichten des § 203 Abs. 1 und 2 StGB entsprechend auch für den Datenschutzbeauftragten gelten, § 203 Abs. 2a StGB. Über den strafrechtlichen Geheimnisschutz hinaus wurden einige Berufsund Amtsgeheimnisse auch (ergänzend) spezialgesetzlich geregelt, z.B. das Anwaltsgeheimnis (§ 43a BRAO), das Notargeheimnis (§ 18 BNotO), das Steuergeheimnis (§ 30 AO), das Sozialgeheimnis (§ 35 SGB I), das Meldegeheimnis (§ 5 MRRG), das Adoptionsgeheimnis (§ 1758 BGB), das Fernmeldegeheimnis (§ 88 TKG) sowie das Geschäfts- und Betriebsgeheimnis (§ 17 UWG), vgl. Komm. zu § 1 BDSG Rz. 20 ff.

8 Keine Geheimhaltungspflichten i.S.d. § 39 sind das (schuldrechtlich begründete)

Bankgeheimnis, das allgemeine Amtsgeheimnis gemäß § 30 VwVfG, das Datengeheimnis nach § 5 sowie eventuelle Zeugnisverweigerungs- oder Schweigerechte2.

9 Zu beachten ist, dass § 39 nur auf personenbezogene Daten anwendbar ist, deren

Verwendung, insbesondere deren Verarbeitung, im Zusammenhang mit der Ausübung einer solchen Berufs- oder Amtspflicht steht3. Damit fallen z.B. die Weitergabe von Patientendaten, die ein Arzt erhoben hat4, oder von Mandantendaten, die ein Rechtsanwalt verarbeitet hat, in den Anwendungsbereich der Norm. Keine Anwendung findet § 39 hingegen z.B. auf Daten, die im Zusammenhang mit der reinen Organisation einer Praxis oder einer Kanzlei stehen.

10 Die Weitergabe von Daten, die unter Verletzung eines Berufs- oder Amts-

geheimnisses erhoben, verarbeitet oder genutzt wurden, ist generell unzulässig, so dass der Anwendungsbereich des § 39 gar nicht erst eröffnet ist5.

1 Taeger/Gabel/Mackenthun, § 39 BDSG Rz. 12; Simitis/Dammann, § 39 BDSG Rz. 13. 2 Vgl. Taeger/Gabel/Mackenthun, § 39 BDSG Rz. 6; Simitis/Dammann, § 39 BDSG Rz. 8, 11; Bergmann/Möhrle/Herb, § 39 BDSG Rz. 9. 3 Gola/Schomerus, § 39 BDSG Rz. 3; Taeger/Gabel/Mackenthun, § 39 BDSG Rz. 14. 4 Zur Weitergabe von Daten durch Ärzte an privatärztliche Verrechnungsstellen Giesen, NStZ 2012, 122 (125, 127). 5 Simitis/Dammann, § 39 BDSG Rz. 17.

902

|

Plath

Zweckbindung bei Berufs- oder Amtsgeheimnis | § 39 BDSG

III. Reichweite der Zweckbindung Der Verwendungszweck ist, soweit keine ausdrückliche Festlegung durch den 11 Geheimnisträger erfolgt, objektiv und einzelfallbezogen zu ermitteln. Dabei sind insbesondere übliche oder gesetzlich anerkannte Zwecke zu beachten. Das Zweckbindungsgebot des § 39 betrifft jede Form der Verarbeitung oder Nutzung der zur Verfügung gestellten Daten, insbesondere auch ihre weitere Übermittlung. Zu beachten ist jedoch, dass nachfolgende Empfänger der Daten nicht selbst Adressaten des § 39 werden, da die Vorschrift nur dann greift, wenn die Daten durch die zur Verschwiegenheit verpflichtete Stelle selbst weitergegeben wurden. § 39 entfaltet also keine „Kettenwirkung“1. Als Sondervorschrift geht § 39 allen anderen Regelungen zur Zweckbindung 12 vor, so dass auch keine Zweckänderung, bspw. nach Maßgabe der §§ 14 Abs. 3 bzw. 28 Abs. 5 Satz 2, vorgenommen werden kann. Eine Ausnahme zu diesem Grundsatz sieht lediglich Abs. 2 vor (s. Rz. 14). Dagegen gelten die Sonderregelungen zum Umgang mit besonderen Arten personenbezogener Daten (sog. sensible Daten, § 3 Abs. 9) neben § 39 fort2.

IV. Einwilligung des Geheimnisträgers (Abs. 1 Satz 2) Wie bereits festgestellt, umfasst das Zweckbindungsgebot insbesondere auch die 13 Weiterübermittlung der geschützten Daten durch den Normadressaten an einen Dritten. Erfolgt eine solche Übermittlung an eine nicht-öffentliche Stelle, so muss der „Weiter“-Übermittler die Einwilligung des Geheimnisträgers einholen. Der zur Verschwiegenheit verpflichtete Geheimnisträger darf die Einwilligung seinerseits nur erteilen, wenn die Übermittlung im Einklang mit seinem Berufsoder Amtsgeheimnis steht3. Unklar ist dabei, welchen Mehrwert die Einwilligungsregelung des Abs. 1 Satz 2 hat: Die Vereinbarkeit der Übermittlung mit der Berufs- oder Amtspflicht des Geheimnisträgers wird bereits durch die Erstreckung der Zweckbindung auf den Übermittler gewährleistet4.

V. Durchbrechung der Zweckbindung (Abs. 2) Gemäß Abs. 2 ist eine Durchbrechung des in Abs. 1 normierten strengen 14 Zweckbindungsgrundsatzes nur zulässig, wenn und soweit die Datenverwen1 Vgl. Simitis/Dammann, § 39 BDSG Rz. 26; Taeger/Gabel/Mackenthun, § 39 BDSG Rz. 5. 2 Taeger/Gabel/Mackenthun, § 39 BDSG Rz. 4. 3 Taeger/Gabel/Mackenthun, § 39 BDSG Rz. 2; Gola/Schomerus, § 39 BDSG Rz. 6; Däubler/Klebe/Wedde/Weichert/Weichert, § 39 BDSG Rz. 2. 4 Ebenso kritisch Gola/Schomerus, § 39 BDSG Rz. 5; a.A. Simitis/Dammann, § 39 BDSG Rz. 30, der in dieser Zusatzvoraussetzung eine notwendige Schutzverstärkung sieht.

Plath

|

903

§ 40 BDSG | Sondervorschriften dung zu einem anderen Zweck spezialgesetzlich zugelassen wird. Da das BDSG in einem solchen Fall sowieso aufgrund seiner Subsidiarität zurücktritt, kommt Abs. 2 lediglich eine deklaratorische Funktion zu (vgl. § 1 Abs. 3 Satz 1). Als besondere Regelung i.S.d. Abs. 2 sind insbesondere Auskunftspflichten, z.B. gegenüber staatlichen Stellen, anzusehen1.

§ 40 Verarbeitung und Nutzung personenbezogener Daten durch Forschungseinrichtungen (1) Für Zwecke der wissenschaftlichen Forschung erhobene oder gespeicherte personenbezogene Daten dürfen nur für Zwecke der wissenschaftlichen Forschung verarbeitet oder genutzt werden. (2) 1Die personenbezogenen Daten sind zu anonymisieren, sobald dies nach dem Forschungszweck möglich ist. 2Bis dahin sind die Merkmale gesondert zu speichern, mit denen Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren Person zugeordnet werden können. 3Sie dürfen mit den Einzelangaben nur zusammengeführt werden, soweit der Forschungszweck dies erfordert. (3) Die wissenschaftliche Forschung betreibenden Stellen dürfen personenbezogene Daten nur veröffentlichen, wenn 1. der Betroffene eingewilligt hat oder 2. dies für die Darstellung von Forschungsergebnissen über Ereignisse der Zeitgeschichte unerlässlich ist. I. Einführung . . . . . . . . . . . . . . II. Adressaten . . . . . . . . . . . . . . III. Besondere Zweckbindung (Abs. 1) . . . . . . . . . . . . . . . . . IV. Anonymisierung und Pseudonymisierung (Abs. 2) . . . . . . .

. .

1 4

.

7

.

9

V. Veröffentlichung der Forschungsergebnisse (Abs. 3) 11 VI. Verweise/Kontext . . . . . . . . . . 12 VII. Rechtsfolgen . . . . . . . . . . . . . . 16

Schrifttum: Graalmann-Scheerer, Die Übermittlung personenbezogener Informationen zu Forschungszwecken, NStZ 2005, 434; Kilian, Medizinische Forschung und Datenschutzrecht – Stand und Entwicklung in der Bundesrepublik Deutschland und in der Europäischen Union, NJW 1998, 787; Krupp/Preissl, Die Neufassung des BDSG und die wissenschaftliche Forschung, CR 1989, 121; Luttenberger/Reischl/Schröder/Stürzebecher, Daten1 Vgl. Gola/Schomerus, § 39 BDSG Rz. 7 m.w.N.; Däubler/Klebe/Wedde/Weichert/Weichert, § 39 BDSG Rz. 3.

904

|

Plath/Plath/Frey

§ 40 BDSG | Sondervorschriften dung zu einem anderen Zweck spezialgesetzlich zugelassen wird. Da das BDSG in einem solchen Fall sowieso aufgrund seiner Subsidiarität zurücktritt, kommt Abs. 2 lediglich eine deklaratorische Funktion zu (vgl. § 1 Abs. 3 Satz 1). Als besondere Regelung i.S.d. Abs. 2 sind insbesondere Auskunftspflichten, z.B. gegenüber staatlichen Stellen, anzusehen1.

§ 40 Verarbeitung und Nutzung personenbezogener Daten durch Forschungseinrichtungen (1) Für Zwecke der wissenschaftlichen Forschung erhobene oder gespeicherte personenbezogene Daten dürfen nur für Zwecke der wissenschaftlichen Forschung verarbeitet oder genutzt werden. (2) 1Die personenbezogenen Daten sind zu anonymisieren, sobald dies nach dem Forschungszweck möglich ist. 2Bis dahin sind die Merkmale gesondert zu speichern, mit denen Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren Person zugeordnet werden können. 3Sie dürfen mit den Einzelangaben nur zusammengeführt werden, soweit der Forschungszweck dies erfordert. (3) Die wissenschaftliche Forschung betreibenden Stellen dürfen personenbezogene Daten nur veröffentlichen, wenn 1. der Betroffene eingewilligt hat oder 2. dies für die Darstellung von Forschungsergebnissen über Ereignisse der Zeitgeschichte unerlässlich ist. I. Einführung . . . . . . . . . . . . . . II. Adressaten . . . . . . . . . . . . . . III. Besondere Zweckbindung (Abs. 1) . . . . . . . . . . . . . . . . . IV. Anonymisierung und Pseudonymisierung (Abs. 2) . . . . . . .

. .

1 4

.

7

.

9

V. Veröffentlichung der Forschungsergebnisse (Abs. 3) 11 VI. Verweise/Kontext . . . . . . . . . . 12 VII. Rechtsfolgen . . . . . . . . . . . . . . 16

Schrifttum: Graalmann-Scheerer, Die Übermittlung personenbezogener Informationen zu Forschungszwecken, NStZ 2005, 434; Kilian, Medizinische Forschung und Datenschutzrecht – Stand und Entwicklung in der Bundesrepublik Deutschland und in der Europäischen Union, NJW 1998, 787; Krupp/Preissl, Die Neufassung des BDSG und die wissenschaftliche Forschung, CR 1989, 121; Luttenberger/Reischl/Schröder/Stürzebecher, Daten1 Vgl. Gola/Schomerus, § 39 BDSG Rz. 7 m.w.N.; Däubler/Klebe/Wedde/Weichert/Weichert, § 39 BDSG Rz. 3.

904

|

Plath/Plath/Frey

Verarbeitung und Nutzung durch Forschungseinrichtungen | § 40 BDSG schutz in der pharmakogenetischen Forschung – eine Fallstudie, DuD 2004, 356; Mand, Biobanken für die Forschung und informationelle Selbstbestimmung, MedR 2005, 565.

I. Einführung Die Norm regelt, unter welchen besonderen Voraussetzungen personenbezo- 1 gene Daten von Forschungseinrichtungen zu Forschungszwecken verwendet werden dürfen1. Sie gewährt der wissenschaftlichen Forschung damit keine eigenständige Erlaubnis zur Erhebung, Verarbeitung und Nutzung personenbezogener Daten. Ob die Daten überhaupt erhoben, verarbeitet und genutzt werden dürfen, richtet sich nach den allgemeinen Erlaubnisnormen (also nach § 14 Abs. 2 Nr. 9 für öffentliche Stellen bzw. nach § 28 Abs. 2 Nr. 3, Abs. 6 Nr. 4 für nicht-öffentliche Stellen). Geregelt werden lediglich spezielle zusätzliche Voraussetzungen für die Verarbeitung und Nutzung dieser Daten2. Die Arbeit mit personenbezogenen Daten durch Forschungseinrichtungen steht 2 im Spannungsfeld zwischen der in Art. 5 Abs. 3 GG garantierten Freiheit der Wissenschaft und Forschung und dem Grundrecht des Einzelnen auf informationelle Selbstbestimmung nach Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG3. § 40 versucht hier einen Ausgleich zu finden: Der Forschung wird einerseits eine 3 besondere Zweckbindung (Abs. 1) bei ihrer Arbeit mit personenbezogenen Daten abverlangt, andererseits eine Privilegierung für die Veröffentlichung von Forschungsergebnissen zugestanden (Abs. 3). Darüber hinaus wird spezifiziert, wie die Forschung das allgemeine Prinzip der Datensparsamkeit (vgl. § 3a) konkret umzusetzen hat, nämlich durch Anonymisierung und Pseudonymisierung der Daten (Abs. 2). Unter der DSGVO ist die Datenverarbeitung für Forschungszwecke – ebenso wie die Verarbeitung für Archivzwecke und statistische Zwecke – an vielen Stellen privilegiert (vgl. Art. 89 Abs. 1 DSGVO).

II. Adressaten § 40 richtet sich an Forschungseinrichtungen. Die verantwortliche Stelle (vgl. 4 § 3 Abs. 7) muss gemäß Abs. 1 personenbezogene Daten für die wissenschaftliche Forschung4 erhoben oder gespeichert haben. Es muss sich um eine (privat1 Zur Parallelproblematik der Datenübermittlung zu kriminologischen Forschungszwecken im Strafverfahren Graalmann-Scheerer, NStZ 2005, 434. 2 Ausführlich zur Entwicklung der Norm Simitis/Simitis, § 40 BDSG Rz. 1 ff. 3 Zu diesem Konflikt ausführlich Gola/Schomerus, § 40 BDSG Rz. 3 ff. m.w.N.; sowie Kilian, NJW 1998, 787 (788). 4 Zum Begriff der Forschung vgl. BVerfGE 35, 79 ff.

Plath/Frey

|

905

§ 40 BDSG | Sondervorschriften rechtlich oder öffentlich-rechtlich organisierte) Institution handeln, die sich (nicht notwendig ausschließlich) der Wissenschaft widmet. Darunter fallen etwa Hochschulen der Bundeswehr, Max-Planck-Institute1 wie auch Forschungsabteilungen in Unternehmen. 5 Wesentlich ist, dass die Forschung unabhängig und (etwa in einem Unterneh-

men) in einer abgetrennten Einheit durchgeführt wird. Die Finanzierung der Forschung durch Drittmittel muss diese Unabhängigkeit nicht stören. Im Rahmen von Marktanalysen wird zu Recht darauf hingewiesen, dass es darauf ankommen wird, ob ein privates oder ein unabhängiges Institut beauftragt wird, und ob der Auftrag sich vorrangig an kommerziellen Interessen orientiert2. Für letztere Alternative gilt § 303.

6 Einzelne Wissenschaftler sind keine Normadressaten, wie sich aus der Über-

schrift der Norm (nicht jedoch zwingend aus ihrem Text) ergibt4.

III. Besondere Zweckbindung (Abs. 1) 7 Die Durchführung des Forschungsvorhabens unterliegt einer strikten Zweckbin-

dung: Für die Zwecke der Forschung erhobene und gespeicherte personenbezogene Daten dürfen demnach ausschließlich für ebendiese Forschungszwecke verarbeitet und genutzt werden. Gibt es hingegen eine speziellere Erlaubnisnorm oder liegt eine Einwilligung des Betroffenen vor, dann dürfen die Daten auch für andere Zwecke als Forschungszwecke verwendet werden.

8 Im Rahmen dieser Zweckbindung ist es durchaus denkbar, dass Daten von ei-

nem Forschungsinstitut an ein anderes übermittelt werden. Dies verbietet § 40 nicht5. Im Übrigen können die personenbezogenen Daten zu unterschiedlichen Forschungszwecken verwendet werden – der Wortlaut spricht allgemein nur von „Zwecken der Forschung“. Verarbeitung und Nutzung müssen sich folglich gerade nicht auf ein spezifisches Forschungsprojekt beziehen (im Gegensatz zu den Regelungen in zahlreichen Landesdatenschutzgesetzen)6.

1 Der Anwendungsbereich erstreckt sich allein auf Forschungsinstitute als Bundeseinrichtungen, andernfalls ist der Landesgesetzgeber zuständig. Zu den zahlreichen bereichsspezifischen Regelungen vgl. ausführlich Simitis/Simitis, § 40 BDSG Rz. 19 ff. 2 So z.B. Gola/Schomerus, § 40 BDSG Rz. 9. 3 Gola/Schomerus, § 40 BDSG Rz. 9; a.A. Taeger/Gabel/Mester, § 40 BDSG Rz. 6: Solche Forschungsvorhaben unterliegen wegen der kommerziell ausgerichteten Unternehmenspolitik nicht dem § 40; ebenso Simitis/Simitis, § 40 BDSG Rz. 36 ff. 4 Wie hier Gola/Schomerus, § 40 BDSG Rz. 7; Taeger/Gabel/Mester, § 40 BDSG Rz. 4; a.A. Däubler/Klebe/Wedde/Weichert/Weichert, § 40 BDSG Rz. 4. 5 Vgl. Bergmann/Möhrle/Herb, § 40 BDSG Rz. 14. 6 Dazu ausführlich Simitis/Simitis, § 40 BDSG Rz. 47 ff.

906

|

Plath/Frey

Verarbeitung und Nutzung durch Forschungseinrichtungen | § 40 BDSG

IV. Anonymisierung und Pseudonymisierung (Abs. 2) Abs. 2 konkretisiert das allgemeine datenschutzrechtliche Prinzip der Daten- 9 sparsamkeit und Datenvermeidung (vgl. § 3a). Nach Abs. 2 Satz 1 müssen die erhobenen personenbezogenen Daten (§ 3 Abs. 6) anonymisiert werden, sobald dies nach dem Forschungszweck möglich ist1. Bis zu diesem Zeitpunkt sind die personenbezogenen Daten nach Abs. 2 Satz 2 zu pseudonymisieren (§ 3 Abs. 6a)2. Im Rahmen eines Forschungsvorhabens sind also zunächst eindeutige, identifizierende Merkmale einer Person (wie der Name) gesondert von den zu verarbeitenden Datensätzen zu speichern. Dies erfolgt mittels einer sog. FileTrennung3 bzw. Codierung4. Eine solche gesonderte Speicherung kann bspw. im Rahmen von Langzeitstudien erforderlich sein, bei denen immer wieder auf Datensätze bestimmter Personen zurückgegriffen wird5. In dem Moment, in dem der Forschungszweck die Kenntnis der personenbezo- 10 genen Daten nicht mehr rechtfertigt, sind diese zu anonymisieren. Zu beachten ist, dass dies die Löschung der Identifikationsmerkmale voraussetzt6.

V. Veröffentlichung der Forschungsergebnisse (Abs. 3) Die Forschungseinrichtung darf die personenbezogenen Daten nur veröffent- 11 lichen, wenn der Betroffene gemäß § 4a darin eingewilligt hat, oder wenn dies für die zeitgeschichtliche Forschung unerlässlich ist. Im Rahmen der Einwilligung gilt: Der Betroffene ist insbesondere über Zweck und Umfang der Veröffentlichung im Voraus zu informieren. Die Erleichterung des § 4a Abs. 2 (Verzicht auf die Schriftform) soll für die Veröffentlichung nicht gelten7.

1 Zur „Anonymität“ von unbeschrifteten Proben mit körperlichen Stoffen, insbesondere im Hinblick auf die DNA Mand, MedR 2005, 565 (567); kritisch zur Sinnhaftigkeit dieses Erfordernisses im Hinblick auf die Aussagekraft der Daten Krupp/Preissl, CR 1989, 121 (124). 2 Zur Entscheidung für eine Pseudonymisierung (und somit gegen eine Anonymisierung) der Daten in der pharmakogenetischen Forschung Luttenberger/Reischl/Schröder/Stürzebecher, DuD 2004, 356 (357). 3 Vgl. Simitis/Simitis, § 40 BDSG Rz. 74. 4 Vgl. Gola/Schomerus, § 40 BDSG Rz. 14. 5 Vgl. Däubler/Klebe/Wedde/Weichert/Weichert, § 40 BDSG Rz. 9; zur Erforderlichkeit einer Pseudonymisierung zu Zwecken des „Follow-up“ Mand, MedR 2005, 565 (568). 6 Gola/Schomerus, § 40 BDSG Rz. 14; Simitis/Simitis, § 40 BDSG Rz. 71. 7 S. dazu Simitis/Simitis, § 40 BDSG Rz. 80; Däubler/Klebe/Wedde/Weichert/Weichert, § 40 BDSG Rz. 12.

Plath/Frey

|

907

§ 40 BDSG | Sondervorschriften VI. Verweise/Kontext 12 Für Zwecke der wissenschaftlichen Forschung kann gemäß § 4a Abs. 2 von der

Schriftform der Einwilligung abgesehen werden. Als besonderer Grund i.S.d. § 4 Abs. 1 Satz 3 muss dann die Gefährdung der wissenschaftlichen Forschung durch die Schriftform vorliegen. Zu beachten ist, dass diese Formerleichterung nicht für die Einwilligung in die Veröffentlichung von Forschungsergebnissen gilt, s. Rz. 11.

13 Im Falle der Speicherung und Übermittlung personenbezogener Daten besteht

eine Benachrichtigungspflicht des Betroffenen nach den §§ 19a, 33. Diese entfällt gemäß § 33 Abs. 2 Satz 1 Nr. 5 dann, wenn die Speicherung oder Übermittlung für Zwecke der wissenschaftlichen Forschung erforderlich ist und eine Benachrichtigung des Betroffenen einen unverhältnismäßigen Aufwand erfordern würde. Die verantwortliche Stelle muss hierzu konkret vortragen, andernfalls unterliegt sie der Benachrichtigungspflicht1.

14 Die Zulässigkeit der Erhebung der personenbezogenen Daten richtet sich nach

§ 13 (für öffentliche Stellen) bzw. nach § 28 (für private Forschungseinrichtungen). Bei der Übermittlung der Daten gelten die §§ 14 Abs. 1, 15 Abs. 1 (für die Übermittlung zwischen öffentlichen Stellen) bzw. die §§ 14 Abs. 1, 16 Abs. 1 (für die Übermittlung von öffentlicher Stelle an eine private Forschungseinrichtung). Die Übermittlung von privaten Forschungseinrichtungen an andere Stellen bemisst sich nach § 28 Abs. 2 Nr. 3 bzw. § 28 Abs. 6 Nr. 4.

15 In den Landesdatenschutzgesetzen befinden sich Regelungen, die der Grund-

struktur des § 40 entsprechen, allerdings inhaltlich breiter angelegt sind und sich daher in Nuancen unterscheiden. So verzichten einige Landesgesetze zwar auf die strenge Zweckbindung, beschränken die Nutzung der Daten allerdings auf ein bestimmtes Forschungsvorhaben2.

VII. Rechtsfolgen 16 Eine Nutzung der personenbezogenen Daten für andere als Forschungszwecke

kann gemäß §§ 43 Abs. 2 Nr. 5 und Nr. 6 als Ordnungswidrigkeit geahndet werden und ist gemäß § 44 Abs. 1 strafbewehrt, wenn der Verstoß vorsätzlich gegen Entgelt oder in Schädigungsabsicht erfolgt.

1 LG Ulm v. 1.12.2004 – 1 S 89/04, MMR 2005, 265. 2 Vgl. etwa § 27 HmbDSG; dazu ausführlich Simitis/Simitis, § 40 BDSG Rz. 88 ff.

908

|

Plath/Frey

Erhebung, Verarbeitung und Nutzung durch die Medien | § 41 BDSG

§ 41 Erhebung, Verarbeitung und Nutzung personenbezogener Daten durch die Medien (1) Die Länder haben in ihrer Gesetzgebung vorzusehen, dass für die Erhebung, Verarbeitung und Nutzung personenbezogener Daten von Unternehmen und Hilfsunternehmen der Presse ausschließlich zu eigenen journalistisch-redaktionellen oder literarischen Zwecken den Vorschriften der §§ 5, 9 und 38a entsprechende Regelungen einschließlich einer hierauf bezogenen Haftungsregelung entsprechend § 7 zur Anwendung kommen. (2) Führt die journalistisch-redaktionelle Erhebung, Verarbeitung oder Nutzung personenbezogener Daten durch die Deutsche Welle zur Veröffentlichung von Gegendarstellungen des Betroffenen, so sind diese Gegendarstellungen zu den gespeicherten Daten zu nehmen und für dieselbe Zeitdauer aufzubewahren wie die Daten selbst. (3) 1Wird jemand durch eine Berichterstattung der Deutschen Welle in seinem Persönlichkeitsrecht beeinträchtigt, so kann er Auskunft über die der Berichterstattung zugrunde liegenden, zu seiner Person gespeicherten Daten verlangen. 2Die Auskunft kann nach Abwägung der schutzwürdigen Interessen der Beteiligten verweigert werden, soweit 1. aus den Daten auf Personen, die bei der Vorbereitung, Herstellung oder Verbreitung von Rundfunksendungen berufsmäßig journalistisch mitwirken oder mitgewirkt haben, geschlossen werden kann, 2. aus den Daten auf die Person des Einsenders oder des Gewährsträgers von Beiträgen, Unterlagen und Mitteilungen für den redaktionellen Teil geschlossen werden kann, 3. durch die Mitteilung der recherchierten oder sonst erlangten Daten die journalistische Aufgabe der Deutschen Welle durch Ausforschung des Informationsbestandes beeinträchtigt würde. 3Der Betroffene kann die Berichtigung unrichtiger Daten verlangen. (4) 1Im Übrigen gelten für die Deutsche Welle von den Vorschriften dieses Gesetzes die §§ 5, 7, 9 und 38a. 2Anstelle der §§ 24 bis 26 gilt § 42, auch soweit es sich um Verwaltungsangelegenheiten handelt. I. Einführung . . . . . . . . . . . . . II. Medienprivileg (Abs. 1) . . . . 1. Anwendungsbereich a) Persönlicher Anwendungsbereich . . . . . . . . . . . . . . b) Sachlicher Anwendungsbereich . . . . . . . . . . . . . .

.. ..

1 4

..

5

..

9

2. Vorgaben für die Landesgesetzgebung . . . . . . . . . 14 III. Deutsche Welle (Abs. 2–4) . . . . 15 IV. Verweise/Kontext . . . . . . . . . . 22

Plath/Frey

|

909

§ 41 BDSG | Sondervorschriften Schrifttum: Caspar, Datenschutz im Verlagswesen: Zwischen Kommunikationsfreiheit und informationeller Selbstbestimmung, NVwZ 2010, 1451; Dörr, Freies Wort, freies Bild und freie Berichterstattung vs. Datenschutz? Die Fortentwicklung der kommunikativen Freiheit durch den Datenschutz, ZUM 2004, 536; Eberle, Medien und Datenschutz – Antinomien und Antipathien, MMR 2008, 508; Feldmann, Datenschutz und Meinungsfreiheit: Regulierung ohne BDSG, AnwBl 2011, 250; Feldmann/Koreng, Das „Recht auf Vergessen“ – Überlegungen zum Konflikt zwischen Datenschutz und Meinungsfreiheit, ZD 2012, 311; Gounalakis/Klein, Zulässigkeit von personenbezogenen Bewertungsplattformen – Die „Spickmich“-Entscheidung des BGH vom 23.6.2009, NJW 2010, 566; Groß, Zur Pressefreiheit, VR 2005, 261; Kloepfer, Datenschutz in Redaktionen, AfP 2005, 118; Härting, Datenschutz im Internet – Gesetzgeberischer Handlungsbedarf, BB 2010, 839; Lauber-Rönsberg, Internetveröffentlichungen und Medienprivileg, ZD 2014, 177; Ott, Die Entwicklung des Suchmaschinen- und Hyperlinkrechts im Jahr 2010, WRP 2011, 655; Schmidtmann/ Schwiering, Datenschutzrechtliche Rahmenbedingungen bei Smart-TV-Zulässigkeit von HbbTV-Applikationen, ZD 2014, 448; Schrader, Datenschutz und Medienfreiheit, DuD 2000, 68; Spindler, Datenschutz- und Persönlichkeitsrechte im Internet, GRUR-Beilage 2014, 101; Spindler, Datenschutz- und Persönlichkeitsrechte im Internet- Rahmen für Forschungsaufgaben und Reformbedarf, GRUR 2013, 996; Thomale, Die Datenverarbeitung zu journalistisch-redaktionellen Zwecken durch Telemedien, AfP 2009, 107; Weichert, Datenschutz bei Internetveröffentlichungen, VuR 2009, 323; Weichert, Datenschutz und Meinungsfreiheit: Regulierung im BDSG, AnwBl 2011, 252.

I. Einführung 1 § 41 beinhaltet zwei Regelungskomplexe, die weitestgehend mit der Verwen-

dung personenbezogener Daten in Medienunternehmen im Zusammenhang stehen. Unter der DSGVO ist dieser Themenkomplex in Art. 85 DSGVO geregelt.

2 Zum einen normiert Abs. 1 in Bezug auf die Verwendung personenbezogener

Daten durch Unternehmen der Presse eine Rahmenvorschrift für die Länder1. Die Presse wird insoweit privilegiert, als nur einzelne datenschutzrechtliche Regelungen wie etwa das Datengeheimnis (§ 5) auf sie Anwendung finden. Das Aufeinandertreffen einer freien Presse mit dem Anspruch des Einzelnen auf den Schutz seiner persönlichen Daten zwingt den Gesetzgeber zu einem besonderen Ausgleich zwischen Pressefreiheit (Art. 5 Abs. 1 Satz 2 GG)2 und allgemeinem Persönlichkeitsrecht (Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG). Diesen Ausgleich fordert gleichfalls das Europarecht (vgl. Art. 9 EG-Datenschutzrichtlinie)3. Der

1 Der Bundesgesetzgeber hat nach Art. 75 Abs. 1 Nr. 2 GG a.F. (der nach Art. 125a Abs. 1 Satz 1 GG auch nach der Föderalismusreform 2006 als Bundesrecht fortwirkt) im Bereich der Presse lediglich eine Rahmenkompetenz, s. dazu m.w.N. Taeger/Gabel/Westphal, § 41 BDSG Rz. 11 f.; Zur historischen Entwicklung der Norm vgl. Taeger/Gabel/ Westphal, § 41 BDSG Rz. 2 ff. sowie Simitis/Dix, § 41 BDSG Rz. 1 ff. 2 Ausführlich und grundsätzlich zur Pressefreiheit Groß, VR 2005, 261 ff. 3 Nach Art. 9 der RL 95/46/EG ist für die Verarbeitung personenbezogener Daten, die „allein zu journalistischen, künstlerischen oder literarischen Zwecken erfolgt“ ein Ausgleich

910

|

Plath/Frey

Erhebung, Verarbeitung und Nutzung durch die Medien | § 41 BDSG

Bundesgesetzgeber löst das Spannungsverhältnis, indem er die Presse von der Einhaltung der Datenschutzvorschriften des BDSG weitgehend freistellt. Gemeinhin ist daher vom „Medienprivileg“ die Rede1. Der BGH hat dies damit gerechtfertigt, dass journalistisches Arbeiten „ohne die Erhebung, Verarbeitung und Nutzung personenbezogener Daten auch ohne Einwilligung der jeweils Betroffenen nicht möglich“ sei2. Zum anderen normieren die Abs. 2–4 (wie auch § 42) besondere datenschutz- 3 rechtliche Regelungen für die Deutsche Welle3. Die Deutsche Welle ist als einzige Rundfunkanstalt des Bundes für den Auslandsrundfunk zuständig4.

II. Medienprivileg (Abs. 1) Im Rahmen des sog. „Medienprivilegs“ werden die Länder lediglich verpflichtet, 4 bestimmte datenschutzrechtliche Regelungen als Mindeststandard5 zu erlassen, den die Presse einhalten muss. Dies bedeutet im Umkehrschluss: (i) Der Betroffene kann, soweit das Medienprivileg greift, nicht die allgemeinen Rechte nach §§ 33 ff. geltend machen; (ii) die Presse bedarf keiner gesetzlichen Erlaubnisnorm oder einer Einwilligung (vgl. den Grundsatz nach § 4 Abs. 1), um personenbezogene Daten zu verwenden. Die Presse unterliegt nicht der staatlichen Kontrolle durch die Aufsichtsbehörden6.

1

2 3 4 5 6

zwischen dem Recht der freien Meinungsfreiheit und dem Recht auf Privatsphäre herzustellen. Zur Frage, ob § 41 Abs. 1 BDSG die Richtlinie europarechtskonform umsetzt, vgl. Simitis/Dix, § 41 BDSG Rz. 6. Vgl. nur Gola/Schomerus, § 41 BDSG Rz. 4; der BGH spricht von einer „Sonderstellung der Medien“, MMR 2009, 608 (610) – spickmich.de. Der Begriff „Medienprivileg“ wird mitunter kritisiert, vgl. Simitis/Dix, § 41 BDSG Rz. 3, wie auch Taeger/Gabel/Westphal, § 41 BDSG Rz. 14 ff.: Der Begriff Privileg würde dabei nicht hinreichend zum Ausdruck bringen, dass es um einen Ausgleich zweier gleichrangiger Verfassungsgüter, d.h. nicht um eine Privilegierung, sondern um praktische Konkordanz gehe. Das BVerfG betont immer wieder den Stellenwert der freien Presse als konstituierend für die freiheitlich-demokratische Grundordnung und bezeichnet dabei auch die Geheimhaltung der Informationsquellen und das Vertrauensverhältnis zu den Informanten als unentbehrlich (vgl. etwa BVerfG, NJW 2007, 1117 – Cicero), so dass man durchaus von einer Privilegierung sprechen kann, so auch Caspar, NVwZ 2010, 1452, Fn. 1; vgl. auch Gola/Schomerus, § 41 BDSG Rz. 4: Die Presse darf nicht in ihrem Wesensgehalt beeinträchtigt werden. So der BGH v. 23.6.2009 – VI ZR 196/08, MMR 2009, 608 (610) – spickmich.de; zu der dennoch laut gewordenen Kritik des Presserats an der Unterwerfung der freien Presse unter das Datenschutzrecht Schrader, DuD 2000, 68. Grundsätzlich zum Spannungsverhältnis zwischen Rundfunkfreiheit und informationeller Selbstbestimmung Dörr, ZUM 2004, 536 (539 ff.). Die Deutsche Welle ist nach § 1 Abs. 1 DWG eine Anstalt des öffentlichen Rechts und damit eine öffentliche Stelle i.S.d. §§ 1 Abs. 2 Nr. 1, 2 Abs. 1 BDSG. Vgl. BT-Drucks. 14/4329, S. 46. Vgl. dazu auch Simitis/Dix, § 41 BDSG Rz. 2.

Plath/Frey

|

911

§ 41 BDSG | Sondervorschriften 1. Anwendungsbereich a) Persönlicher Anwendungsbereich 5 Adressaten des Abs. 1 sind ausschließlich Unternehmen oder Hilfsunterneh-

men der Presse1. Das Privileg des Abs. 1 ist demnach nicht auf Vertreter anderer Medien anwendbar, so dass insbesondere der öffentlich-rechtliche und der private Rundfunk aus dem Anwendungsbereich der Norm herausfallen2. Dem Bundesgesetzgeber fehlt hier die Gesetzgebungskompetenz; die jeweiligen Regelungen finden sich in den Rundfunkstaatsverträgen3, in den Landesdatenschutzund in den Landesrundfunkgesetzen4.

6 Zu den Unternehmen der Presse gehören alle Stellen, die bei der Erstellung von

Printmedien mitwirken. Dies sind insbesondere die Verlage (z.B. Zeitungs-, Zeitschriften- und Buchverlage), aber auch Journalisten, professionell-journalistische Blogger5, Fotografen und Buchautoren6. Zuletzt stellte der VGH Bayern fest, dass Privatpersonen, politische Parteien oder Wirtschaftsunternehmen keine Unternehmen der Presse sind, wenn sie lediglich Informationen im Internet veröffentlichen mit der Intention, Bekanntheit zu erlangen7.

7 Zu den Hilfsunternehmen der Presse gehören dagegen alle Stellen, auf deren

Mitwirkung die Presseunternehmen angewiesen sind, um ihren journalistischredaktionellen Zweck zu erfüllen. Unter diesen Begriff fallen insbesondere Nachrichtenagenturen8, Pressekorrespondenten und Materndienste9. Es kommt

1 Die Definition der Presse entspricht dem formellen Pressebegriff gemäß Art. 5 Abs. 1 Satz 2 GG, vgl. Simitis/Dix, § 41 BDSG Rz. 9; auf inhaltliche, d.h. qualitative Maßstäbe kommt es nicht an. 2 Das datenschutzrechtliche Schutzniveau unterscheidet sich in Bezug auf Presse und Rundfunk, was vielfach kritisiert wird, vgl. dazu Taeger/Gabel/Westphal, § 41 BDSG Rz. 20 m.w.N.; Eberle, MMR 2008, 508 (511); Caspar, NVwZ 2010, 1451 (1452); Kloepfer, AfP 2005, 118. 3 Für den privaten Rundfunk gilt zunächst § 47 RStV: Verwiesen wird auf die entsprechenden Normen des TMG (§§ 11–15 TMG). Normiert wird gleichzeitig auch ein Auskunftsund Berichtigungsanspruch, vgl. dazu Hahn/Vesting, § 47 RStV Rz. 7 ff. Für den öffentlich-rechtlichen Rundfunk gelten diese Bestimmungen nicht, vgl. Bergmann/Möhrle/ Herb, Teil III MMuD, Rz. 4.2.2. Daneben trifft § 57 RStV in Bezug auf das Angebot von Telemedien durch privaten und öffentlich-rechtlichen Rundfunk und Presse inhaltsgleiche Regelungen zu § 41 BDSG, vgl. Hahn/Vesting, § 57 RStV Rz. 4 ff. 4 Vgl. etwa § 41 Abs. 1 NDR-StV, wonach das HmbDSG auch für den NDR gilt; § 49 Abs. 1 WDR-Gesetz verweist auf das Datenschutzgesetz in NRW; für den privaten Rundfunk auf Länderebene vgl. etwa § 37 Medienstaatsvertrag HSH, der wiederum auf § 47 RStV verweist. 5 Ebenso Simitis/Dix, § 41 BDSG Rz. 11. 6 So auch Taeger/Gabel/Westphal, § 41 BDSG Rz. 23; Simitis/Dix, § 41 BDSG Rz. 11. 7 VGH Bayern v. 25.3.2015 – 5 B 14.2164, CR 2015, 598 (599). 8 Vgl. etwa § 7 Abs. 2 Satz 1 HmbPG. 9 Taeger/Gabel/Westphal, § 41 BDSG Rz. 23; Bergmann/Möhrle/Herb, § 41 BDSG Rz. 17; Simitis/Dix, § 41 BDSG Rz 11.

912

|

Plath/Frey

Erhebung, Verarbeitung und Nutzung durch die Medien | § 41 BDSG

nicht auf die Einbindung dieser Hilfsunternehmen in eine redaktionelle Organisationsstruktur, sondern vielmehr auf den konkreten journalistisch-publizistischen Zweck der Datenverarbeitung durch diese Hilfsunternehmen an1. Damit fallen Unternehmen, die rein unterstützende Funktionen wahrnehmen, ohne dass diese einen Beitrag zur journalistisch-redaktionellen Pressetätigkeit im engeren Sinne leisten (z.B. Zusteller), nicht unter das Medienprivileg nach Abs. 1. Privilegiert sind dagegen (auch pressefremde) Unternehmen, soweit sie publizis- 8 tisch tätig sind. Dies bedeutet, dass sich bspw. auch die Herausgeber einer Werks- oder Vereinszeitung auf Abs. 1 berufen können2. b) Sachlicher Anwendungsbereich Das Unternehmen muss personenbezogene Daten ausschließlich zu eigenen 9 journalistisch-redaktionellen oder literarischen Zwecken erheben, verarbeiten oder nutzen. Dieses Merkmal ist aufgrund der hohen Bedeutung der Pressefreiheit weit auszulegen3. Damit ist es ausreichend, aber auch erforderlich, dass die (geplante) Veröffentlichung zumindest ein Mindestmaß an journalistischer Aufbereitung (Berichterstattung, Meinungsbildung, Recherche) bietet. Publikationen, die keine redaktionellen Zwecke verfolgen, wie z.B. Telefon-, Branchenund Adressverzeichnisse, aber auch unaufbereitete Anzeigenblätter, sind demzufolge nicht privilegiert4. Unter das Privileg fällt der gesamte Prozess der journalistisch-redaktionellen 10 oder literarischen Arbeit, von der Informationsbeschaffung bis zur Veröffentlichung selbst. Dabei ist es unerheblich, ob es tatsächlich zu einer Veröffentlichung kommt. Es kommt auch nicht darauf an, ob ein journalistisch-redaktionelles Angebot für die breite Öffentlichkeit vorgesehen ist oder sich dieses Angebot ausschließlich an kleine Zielgruppen wendet; entscheidend ist vielmehr der Beitrag zur öffentlichen Meinungsbildung5. 1 Grabitz/Hilf/Brühann, Sekundärrecht A. EG-Verbraucher- und Datenschutzrecht, Art. 9 Rz. 7; vgl. auch EuGH v. 16.12.2008 – C-73/07, Rz. 58, CR 2009, 229 – Satamedia: Das Privileg gilt nicht nur für Medienunternehmen, sondern für jeden, der journalistisch tätig ist. 2 Dies ist umstritten, a.A. Schaffland/Wilfang, § 41 BDSG Rz. 6. Unter den formellen Pressebegriff fallen diese Tätigkeiten eindeutig, sie genießen das Privileg eben nur im Rahmen ihrer redaktionellen Tätigkeit; enger Bergmann/Möhrle/Herb, § 41 BDSG Rz. 16 sowie Simitis/Dix, § 41 BDSG Rz. 11: Es bedarf einer abgetrennten Organisationseinheit. 3 A.A. Groß, VR 2005, 261 (266), wonach das Medienprivileg im Hinblick auf die Bedeutung der informationellen Selbstbestimmung eher restriktiv auszulegen ist. 4 Vgl. Gola/Schomerus § 41 BDSG Rz. 10; ebenso Groß, VR 2005, 261 (266); auch die Veröffentlichung von unveränderten und nicht redaktionell bearbeiteten amtlichen Mitteilungen fällt nicht unter Abs. 1, vgl. Simitis/Dix, § 41 BDSG Rz. 10; entsprechend auch in den Landespressegesetzen, vgl. etwa § 7 Abs. 3 Nr. 1 HmbPG. 5 VGH Baden-Württemberg v. 25.3.2014 – 1 S 169/14, NJW 2014, 2667 (2668).

Plath/Frey

|

913

§ 41 BDSG | Sondervorschriften 11 Die personenbezogenen Daten müssen ausschließlich für die redaktionelle Ar-

beit verwendet werden und für die Öffentlichkeit bestimmt sein1. Die Verwendung von Daten, die auch oder nur Zwecken der Abwicklung, Verwaltung oder Vermarktung dienen (bspw. die Verwendung von Personal-, Abonnenten- oder Lieferantendaten) ist nicht privilegiert2. Die Dokumentation und Archivierung personenbezogener Daten zu publizistischen Zwecken ist hingegen privilegiert. Der BGH hat digitale Pressedatenbanken unter den Schutz des Presseprivilegs gestellt3.

12 Umstritten ist, ob auch die „elektronische Presse“ selbst in den Anwendungs-

bereich des § 41 fällt. Diese Frage beschäftigte die Gerichte in jüngerer Zeit wiederholt, da von ihrer Beantwortung abhängt, ob die allgemeinen Normen des BDSG – insbesondere die §§ 28, 29 – anwendbar sind. Voraussetzung für das Eingreifen des Medienprivilegs gemäß § 41 ist in jedem Fall, dass eine journalistisch-redaktionelle Aufarbeitung der verwendeten personenbezogenen Daten erfolgt4. Im Kern steht also die Abgrenzung zwischen der reinen Übermittlung bzw. bloßen Zusammenstellung von Daten im Internet und deren redaktionellinhaltlicher Aufbereitung infrage. In diesem Zusammenhang hat der BGH eine Privilegierung gemäß Abs. 1 der Datenverwendung für ein Lehrerbewertungsportal („spickmich.de“) und ein Ärztebewertungsportal5 abgelehnt6. Der BGH

1 An Auflagenhöhe und Verbreitungsgrad sind keine hohen Anforderungen zu stellen, vgl. Gola/Schomerus, § 41 BDSG Rz. 10. 2 Vgl. dazu auch Caspar, NvWZ 2010, 1451 (1454 f.), der zu Recht darauf hinweist, dass insoweit das Medienprivileg eng auszulegen ist; Gola/Schomerus, § 41 BDSG Rz. 8 u. 10; vgl. weiter Schmidtmann/Schwiering, ZD 20114, 448 (449), die ein Medienprivileg für gewonnene Nutzerdaten von HbbTV-Rückkanälen und Smart-TV-Angeboten ablehnen. 3 BGH v. 15.12.2009 – VI ZR 227/08, CR 2010, 184 = NJW 2010, 757 (759) – Sedlmayr I (unter Anwendung des Medienprivilegs in § 17 Abs. 1 Deutschlandradio-Staatsvertrag; BGH v. 9.2.2010 – VI ZR 244/08, NJW 2010, 2432 (2435) – Sedlmayr II (unter Anwendung des Medienprivilegs in § 57 Abs. 1 RStV; BGH v. 20.4.2010 – VI ZR 245/08, NJW 2010, 2728 (2730) – Sedlmayr III (unter Anwendung des Medienprivilegs in § 57 Abs. 1 RStV); kritisch Simitis/Dix, § 41 BDSG Rz. 17 wie auch Caspar, NVwZ 2010, 1451 (1455). 4 BGH, MMR 2009, 608 (610) (spickmich.de). Nach Simitis/Dix, § 41 BDSG Rz. 9 müssen Telemediendienste darüber hinaus auch die Datenschutzregelungen für Mediendienste einhalten. Dies kann allerdings nur für Bestands- und Nutzungsdaten gelten, für Inhaltsdaten gilt das Medienprivileg abschließend. 5 BGH v. 23.9.2014 – VI ZR 358/13, CR 2015, 116. 6 Kritisch generell zur Anwendung des § 41 BDSG auf Bewertungsportale im Internet Simitis/Dix, § 41 BDSG Rz. 11: Das Medienprivileg sei kein allgemeines „Meinungsprivileg“; bezweifelt wird darüber hinaus, ob es einer Anknüpfung an § 41 BDSG überhaupt bedarf, nachdem § 57 Abs. 1 RStV die speziellere Regelung für das Angebot von Telemedien durch die Presse beinhalte, vgl. Greve/Schärdel, MMR 2009, 613. Für die Frage, ob § 41 BDSG die Anwendung der datenschutzrechtlichen Normen sperrt, erscheint es allerdings richtig, zunächst den Begriff der Presse im Sinne der bundesrechtlichen Rahmenvorschrift zu definieren.

914

|

Plath/Frey

Erhebung, Verarbeitung und Nutzung durch die Medien | § 41 BDSG

urteilte, dass die bloße automatische Auflistung fremder redaktioneller Beiträge noch keine eigene journalistisch-redaktionelle Gestaltung sei1. Damit war der Weg frei für die Anwendbarkeit des BDSG, hier des § 29 (vgl. dazu näher Komm. zu § 29 BDSG Rz. 25). Hingegen hat das LG Köln ein Internetportal, das vorhandenes Bildmaterial mit historischen und architektonischen Informationen verknüpft („Bilderbuch Köln“), unter das Medienprivileg gestellt und diesem gerade eine solche „eigenständige meinungsbildende Wirkung für die Allgemeinheit“ attestiert2. Um das datenschutzrechtliche Medienprivileg zu genießen, muss das Angebot also einen journalistisch-redaktionellen Mehrwert aufweisen können3. Es geht also darum, redaktionelle von allgemeinen Meinungsäußerungen, also die Pressefreiheit von der Meinungsäußerungsfreiheit abzugrenzen4. Andernfalls besteht das Risiko, dass Datenbanken oder Internetforen unter Berufung auf das Medienprivileg leichtfertig die Einhaltung datenschutzrechtlicher Vorschriften umgehen könnten5. Auch eine jüngere Entscheidung des VGH München setzt diese Linie fort: Danach genießt der Internetauftritt einer kommunalen Wählervereinigung, deren Zweck die Teilnahme an Kommunalwahlen ist, nicht das Medienprivileg6. Das BVerwG hat diese Entscheidung bestätigt7. Das Medienprivileg, so die Gerichte, sei kein allgemeines „Meinungsprivileg“. Die redaktionelle Arbeit eines Vereins müsste organisatorisch selbständig sein, um es in Anspruch zu nehmen. Hier verhalte es sich aber so, dass das Berichten auf der Homepage nicht Zweck, sondern nur Mittel zum Zweck des Vereins (nämlich zur politischen Interessenvertretung) sei. BVerwG betont schließlich, dass sich auch aus der Rechtsprechung des EuGH keine andere Auslegung ergebe8. 1 Zustimmend Roggenkamp, K&R 2009, 565; Gounalakis/Klein, NJW 2010, 566 (568); Spindler/Schuster, § 41 BDSG Rz. 1; kritisch vor dem Hintergrund, dass insbesondere Social Media wie Twitter oder Facebook heutzutage eine erhebliche Bedeutung für die Meinungsbildung haben Feldmann, AnwBl 2011, 250 (251, 252); vor diesem Hintergrund fordert Weichert die Einführung einer eigenständigen Norm für die Meinungskundgabe im Internet am Vorbild des § 29a BDSG, AnwBl 2011, 252 ff. 2 LG Köln, MMR 2010, 278 (279) – Bilderbuch Köln; dieser Ansicht folgt auch Härting, und kommt zu dem Schluss, dass mit dieser Argumentation auch der Internetdienst Google Street View unter das Medienprivileg falle, BB 2010, 839 (843); a.A. zu Google Street View Ott, WRP 2011, 655 (684). 3 Vgl. dazu auch Roggenkamp, K&R 2009, 565 und Weichert, VuR 2009, 323 (324): „Privilegiert sind im Bereich des Internets nur Online-Verlage mit redaktionellen Strukturen“. 4 So Weichert, VuR 2009, 323 (325). 5 So zu Recht Simitis/Dix, § 41 BDSG Rz. 11. Kritisch zur klassischen Auslegung des § 41 BDSG im Hinblick auf Blog-Angebote allerdings Spindler, GRUR-Beilage 2014, 101 (104); Spindler, GRUR 2013, 996. 6 VGH München v. 25.3.2015, CR 2015, 598. 7 BVerwG v. 29.10.2015, K&R 2016, 66. 8 BVerwG v. 29.10.2015, K&R 2016, 66.

Plath/Frey

|

915

§ 41 BDSG | Sondervorschriften 13 Soweit Angebote der „elektronischen Presse“ als Telemediendienste zu qualifi-

zieren sind, müssen u.U. die Regelungen des TMG beachtet werden. Dieser Umstand wirkt sich jedoch nicht auf die Anwendbarkeit des Medienprivilegs gemäß Abs. 1 aus, da sich die vorrangige Anwendbarkeit der Regelungen des TMG, insbesondere der §§ 12 ff. TMG, lediglich auf die Verwendung von Daten beschränkt, die im Zusammenhang mit der Erbringung des Telemediendienstes selbst in Verbindung stehen (z.B. die Verwendung von Anmeldedaten). Die Verwendung von Inhaltsdaten1 richtet sich dagegen nach den allgemeinen Regelungen des BDSG, so dass auf eine Verwendung personenbezogener Daten durch Telemediendienste, die im Zusammenhang mit journalistisch-redaktionellen Tätigkeiten steht, weiterhin § 41 anwendbar ist.

2. Vorgaben für die Landesgesetzgebung 14 Die Länder müssen Vorschriften erlassen, die den § 5 (Datengeheimnis), § 9

(Technische und organisatorische Maßnahmen), § 38a (Verhaltensregeln zur Förderung der Durchführung datenschutzrechtlicher Regelungen) entsprechen und eine § 7 (Schadensersatz) entsprechende Haftungsregelung enthalten. Dem sind die Länder grundsätzlich (wenn auch minimalistisch2) nachgekommen3. Darüber hinaus gibt es berufsethische Maßstäbe im Pressekodex des Deutschen Presserats4. Dort sind zahlreiche Richtlinien mit Bezug zum Datenschutzrecht niedergelegt, wie etwa zur Datenübermittlung zu journalistisch-redaktionellen Zwecken (Richtlinie 5.3). Schließlich regelt die Beschwerdeordnung des Deutschen Presserats ausdrücklich auch die Möglichkeit der Beschwerde des Einzelnen beim Deutschen Presserat im Falle einer Verletzung des Datenschutzrechts durch ein Presseunternehmen5.

III. Deutsche Welle (Abs. 2–4) 15 Die Abs. 2–4 erweitern die Rechte des Betroffenen im Falle von Persönlichkeits-

rechtsverletzungen durch eine Berichterstattung der Deutschen Welle um spezifische datenschutzrechtliche Ansprüche. Der Betroffene hat einen Anspruch

1 Zur Abgrenzung vgl. TMG-Kommentierung, Komm. zu § 12 TMG Rz. 20, § 14 TMG Rz. 2 ff. und § 15 TMG Rz. 12. 2 So zu Recht Kloepfer, AfP 2005, 118. 3 Vgl. etwa § 11a HmbPG, Art. 10a BayPrG; ausführlich dazu Simitis/Dix, § 41 BDSG Rz. 24 ff. § 57 RStV schließt die Lücke für das Angebot von Mediendiensten durch Presse und Rundfunk, vgl. dazu Thomale, AfP 2009, 105. 4 Abrufbar unter http://www.presserat.info/inhalt/der-pressekodex/einfuehrung.html (zuletzt abgerufen am 25.7.2016). Presseverbände haben diesem Pressekodex zugestimmt, es handelt sich um eine freiwillige Selbstverpflichtung. 5 Vgl. dazu Kloepfer, AfP 2005, 118; kritisch Taeger/Gabel/Westphal, § 41 BDSG Rz. 30 ff.

916

|

Plath/Frey

Erhebung, Verarbeitung und Nutzung durch die Medien | § 41 BDSG

auf die Speicherung von Gegendarstellungen (Abs. 2) sowie einen Auskunftsund einen Berichtigungsanspruch (Abs. 3). Im Lichte der verfassungsrechtlich garantierten Pressefreiheit unterscheiden sich 16 diese Ansprüche von den allgemeinen Ansprüchen im BDSG und können erst dann geltend gemacht werden, wenn eine Rechtsverletzung bereits eingetreten ist1. Diese speziellen Normen verdrängen damit die §§ 19 ff. (Rechte des Betroffenen gegenüber öffentlichen Stellen). Abs. 2 flankiert den presserechtlichen Gegendarstellungsanspruch. Hat jemand ei- 17 nen solchen Anspruch auf Gegendarstellung, so muss die Deutsche Welle dies im Kontext mit der Speicherung der entsprechenden personenbezogenen Daten vermerken. Mit dem Namen einer Person wird also bspw. vermerkt, dass diese Person wegen eines Berichts einen Anspruch auf Gegendarstellung geltend gemacht hat. Dies soll Wiederholungsfälle verhindern. In der journalistischen Praxis sind derartige (Sperr-)Vermerke üblich. Abs. 2 räumt nun dem Betroffenen gegenüber der Deutschen Welle einen Rechtsanspruch darauf ein. Der Vermerk muss gespeichert werden, bis die entsprechenden personenbezogenen Daten gelöscht werden. Abs. 3 gewährt dem Betroffenen ein Auskunftsrecht über seine von der Deut- 18 schen Welle gespeicherten personenbezogenen Daten. Darüber hinaus kann der Betroffene die Berichtigung unrichtiger Daten verlangen. Inhalt des Auskunftsanspruchs sind allein die personenbezogenen Daten, die 19 der Berichterstattung zugrunde liegen. Anders als nach § 19 (Auskunftsanspruch gegenüber öffentlich-rechtlichen Stellen) erstreckt sich der Anspruch nicht auf die Auskunft über die Herkunft und die Empfänger der Daten. Grenze des Auskunftsanspruchs sind der Schutz der eigenen Redakteure sowie 20 der Informantenschutz. Die Deutsche Welle kann die Auskunft im Rahmen einer Interessenabwägung verweigern, wenn sie damit auch ihre jeweiligen Redakteure (Nr. 1) oder andere Nachrichtenquellen (Nr. 2) preisgeben würde. Schließlich besteht auch dann ein Auskunftsverweigerungsrecht, wenn die Deutsche Welle sich insgesamt in ihrer journalistischen Arbeit beeinträchtigt sieht (Nr. 3). Abs. 4 Satz 1 legt fest, welche Vorschriften des BDSG weiterhin auf die Deutsche 21 Welle Anwendung finden. Es handelt sich um § 5 (Datengeheimnis), § 7 (Schadensersatz), § 9 (Datensicherung) und § 38a (Verhaltensregeln). Abs. 4 Satz 2 bestimmt schließlich, dass der Bundesbeauftragte für den Datenschutz (vgl. §§ 23 ff.) keine Zuständigkeit für die Deutsche Welle hat. Die Deutsche Welle hat ihren eigenen Datenschutzbeauftragten (vgl. § 42) und dies sowohl für ihre inhaltliche Arbeit als auch für ihre Verwaltungsaufgaben. 1 Nach Taeger/Gabel/Westphal, § 41 BDSG Rz. 40 soll es einen Anspruch auf Auskunft auch und bereits dann geben, wenn konkrete Anhaltspunkte für eine persönlichkeitsrechtsverletzende Berichterstattung vorliegen. Gegen eine entsprechende Anwendung der Norm spricht allerdings, dass der Auskunftsanspruch ausdrücklich eng gefasst ist und damit eine Analogie systematisch ausschließt.

Plath/Frey

|

917

§ 42 BDSG | Sondervorschriften IV. Verweise/Kontext 22 Die Regelungen des RStV (§ 47 RStV, § 57 RStV) gehen dem § 41 vor, soweit sie

sich auf den Umgang mit personenbezogenen Daten beziehen (vgl. § 1 Abs. 3).

23 Das Presseprivileg schließt zwar die Anwendung der allgemeinen datenschutz-

rechtlichen Normen aus, lässt aber die zivilrechtlichen Ansprüche, die dem Betroffenen wegen der Verletzung seines Persönlichkeitsrechts zustehen, unberührt.

§ 42 Datenschutzbeauftragter der Deutschen Welle (1) 1Die Deutsche Welle bestellt einen Beauftragten für den Datenschutz, der an die Stelle der oder des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit tritt. 2Die Bestellung erfolgt auf Vorschlag des Intendanten durch den Verwaltungsrat für die Dauer von vier Jahren, wobei Wiederbestellungen zulässig sind. 3Das Amt eines Beauftragten für den Datenschutz kann neben anderen Aufgaben innerhalb der Rundfunkanstalt wahrgenommen werden. (2) 1Der Beauftragte für den Datenschutz kontrolliert die Einhaltung der Vorschriften dieses Gesetzes sowie anderer Vorschriften über den Datenschutz. 2Er ist in Ausübung dieses Amtes unabhängig und nur dem Gesetz unterworfen. 3Im Übrigen untersteht er der Dienst- und Rechtsaufsicht des Verwaltungsrates. (3) Jedermann kann sich entsprechend § 21 Satz 1 an den Beauftragten für den Datenschutz wenden. (4) 1Der Beauftragte für den Datenschutz erstattet den Organen der Deutschen Welle alle zwei Jahre, erstmals zum 1.1.1994 einen Tätigkeitsbericht. 2Er erstattet darüber hinaus besondere Berichte auf Beschluss eines Organes der Deutschen Welle. 3Die Tätigkeitsberichte übermittelt der Beauftragte auch der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit. (5) 1Weitere Regelungen entsprechend den §§ 23 bis 26 trifft die Deutsche Welle für ihren Bereich. 2Die §§ 4f und 4g bleiben unberührt. I. Einführung . . . . . . . . . . . . . . . II. Stellung und Aufgaben . . . . . .

918

|

Plath/Frey

1 2

III. Verweise/Kontext . . . . . . . . . . 11

§ 42 BDSG | Sondervorschriften IV. Verweise/Kontext 22 Die Regelungen des RStV (§ 47 RStV, § 57 RStV) gehen dem § 41 vor, soweit sie

sich auf den Umgang mit personenbezogenen Daten beziehen (vgl. § 1 Abs. 3).

23 Das Presseprivileg schließt zwar die Anwendung der allgemeinen datenschutz-

rechtlichen Normen aus, lässt aber die zivilrechtlichen Ansprüche, die dem Betroffenen wegen der Verletzung seines Persönlichkeitsrechts zustehen, unberührt.

§ 42 Datenschutzbeauftragter der Deutschen Welle (1) 1Die Deutsche Welle bestellt einen Beauftragten für den Datenschutz, der an die Stelle der oder des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit tritt. 2Die Bestellung erfolgt auf Vorschlag des Intendanten durch den Verwaltungsrat für die Dauer von vier Jahren, wobei Wiederbestellungen zulässig sind. 3Das Amt eines Beauftragten für den Datenschutz kann neben anderen Aufgaben innerhalb der Rundfunkanstalt wahrgenommen werden. (2) 1Der Beauftragte für den Datenschutz kontrolliert die Einhaltung der Vorschriften dieses Gesetzes sowie anderer Vorschriften über den Datenschutz. 2Er ist in Ausübung dieses Amtes unabhängig und nur dem Gesetz unterworfen. 3Im Übrigen untersteht er der Dienst- und Rechtsaufsicht des Verwaltungsrates. (3) Jedermann kann sich entsprechend § 21 Satz 1 an den Beauftragten für den Datenschutz wenden. (4) 1Der Beauftragte für den Datenschutz erstattet den Organen der Deutschen Welle alle zwei Jahre, erstmals zum 1.1.1994 einen Tätigkeitsbericht. 2Er erstattet darüber hinaus besondere Berichte auf Beschluss eines Organes der Deutschen Welle. 3Die Tätigkeitsberichte übermittelt der Beauftragte auch der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit. (5) 1Weitere Regelungen entsprechend den §§ 23 bis 26 trifft die Deutsche Welle für ihren Bereich. 2Die §§ 4f und 4g bleiben unberührt. I. Einführung . . . . . . . . . . . . . . . II. Stellung und Aufgaben . . . . . .

918

|

Plath/Frey

1 2

III. Verweise/Kontext . . . . . . . . . . 11

Datenschutzbeauftragter der Deutschen Welle | § 42 BDSG Schrifttum: Binder, Rundfunk Berlin-Brandenburg: Senderfusion als Vorbild der Länderfusion?, LKV 2003, 355; Dörr, Freies Wort, freies Bild und freie Berichterstattung vs. Datenschutz? Die Fortentwicklung der kommunikativen Freiheit durch den Datenschutz, ZUM 2004, 536; Hein, Rundfunkspezifische Aspekte des neuen Bundesdatenschutzgesetzes, NJW 1991, 2614; Herb, Neue Rundfunkfinanzierung – neue Datenschutzprobleme? – Datenschutzrechtliche Normen im neuen Rundfunkbeitragsstaatsvertrag, MMR 2011, 232; vgl. auch die Literaturhinweise zu § 41 BDSG.

I. Einführung Der Auslandsrundfunk Deutsche Welle hat einen eigenen Datenschutzbeauf- 1 tragten1. Dieser tritt an die Stelle des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) und übernimmt dessen Aufgaben, womit die Staatsferne des Rundfunks bestätigt wird2.

II. Stellung und Aufgaben Nach Abs. 1 Satz 2 wählt der Verwaltungsrat der Deutschen Welle den Daten- 2 schutzbeauftragten auf Vorschlag des Intendanten für einen Zeitraum von vier Jahren (Wiederwahl zulässig)3. Der Datenschutzbeauftragte ist nach Abs. 2 Satz 2 unabhängig und in dieser 3 Funktion keinen Weisungen, sondern allein dem Gesetz unterworfen. Dies bedeutet, dass er insoweit keiner Fachaufsicht, sondern allein der Rechtsaufsicht unterliegt4. Darüber hinaus muss auch gewährleistet werden, dass das Verfahren zu seiner Ernennung ebenfalls staatsfern ist5. Diskutiert wird, ob die Ausübung der Rechtsaufsicht europarechtskonform ist. 4 Denn Art. 28 der EG-Datenschutzrichtlinie spricht von „völliger Unabhängigkeit“ der Kontrollstellen6. Nach der hier vertretenen Meinung ist allerdings die Ausübung der Rechtsaufsicht mit der EG-Datenschutzrichtlinie vereinbar. Denn die Rechtsaufsicht impliziert nicht mehr als die Gesetzmäßigkeit (nicht die Zweckmäßigkeit) des Handelns und steht einer unabhängigen Stellung nicht 1 Einen guten Überblick über die Stellung und die Aufgaben der verschiedenen Datenschutzbeauftragten auf Bundes- und Landesebene und in den Medienanstalten geben Bergmann/Möhrle/Herb, § 42 BDSG Rz. 42 ff. 2 Zur Entwicklung der Norm vgl. Taeger/Gabel/Westphal, § 42 BDSG Rz. 3 m.w.N.; vgl. auch Hein, NJW 1991, 2614; grundsätzlich zum Spannungsverhältnis zwischen Rundfunkfreiheit und informationeller Selbstbestimmung Dörr, ZUM 2004, 536 (539 ff.). 3 Vgl. auch Hein, NJW 1991, 2614. 4 Vgl. Gola/Schomerus, § 42 BDSG Rz. 3a; Dörr, ZUM 2004, 536 (543 ff.). 5 Dörr, ZUM 2004, 536 (545). 6 Zum Meinungsstreit vgl. Taeger/Gabel/Westphal, § 42 BDSG Rz. 12 ff.

Plath/Frey

|

919

§ 42 BDSG | Sondervorschriften entgegen1. Richtigerweise wird man die Rechtsaufsicht allerdings auf eine Evidenz- bzw. Willkürkontrolle beschränken müssen2. 5 Im Übrigen (also soweit er keine datenschutzrechtliche Kontrolle ausübt) unter-

liegt der Datenschutzbeauftragte der Fach- und Rechtsaufsicht des Verwaltungsrates (Abs. 2 Satz 3).

6 Er kann neben seiner datenschutzrechtlichen Funktion auch weitere Aufgaben

innerhalb der Deutschen Welle innehaben (vgl. Abs. 1 Satz 3)3. Im Übrigen kann er, muss aber nicht Angestellter der Deutschen Welle sein. Denkbar ist auch ein externer Datenschutzbeauftragter (entsprechend § 4f Abs. 2)4.

7 Die Deutsche Welle erlässt Regelungen entsprechend der §§ 23–26, um die

Stellung ihres Datenschutzbeauftragten konkret auszugestalten. Der Verweis auf die §§ 4f und 4g bedeutet, dass die Deutsche Welle dabei die Stellung ihres Datenschutzbeauftragten entsprechend den allgemeinen Regelungen ausgestalten muss5. Nach anderer Ansicht soll der Verweis der Deutschen Welle die Möglichkeit geben, weitere interne Datenschutzbeauftragte zu benennen6.

8 Der Datenschutzbeauftragte kontrolliert die Einhaltung datenschutzrecht-

licher Normen, sowohl in der redaktionellen Arbeit der Deutschen Welle als auch in Verwaltungsangelegenheiten7. Aufgrund des Medienprivilegs nach § 41 kontrolliert er damit im journalistisch-redaktionellen Bereich nur die §§ 5, 7, 9, 38a und die §§ 41, 42 (vgl. § 41 Abs. 4). Die Deutsche Welle bietet nach § 3 Abs. 1 DWG auch Telemedien an. Insoweit muss der Datenschutzbeauftragte auch die für Telemedien einschlägigen Datenschutzregelungen kontrollieren8. 1 Im Übrigen ist bereits fraglich, was unter einer „völligen Unabhängigkeit“ zu verstehen ist, da der Begriff „völlig“ nicht technisch verstanden werden kann. 2 So Taeger/Gabel/Westphal, § 42 BDSG Rz. 13. 3 Kritisch zum „Teilzeitmodell“ Simitis/Dix, § 42 BDSG Rz. 2. Der Begriff „Amt“ im Wortlaut des Gesetzes ist im Übrigen untechnisch zu verstehen, denn es handelt sich nicht um ein öffentlich-rechtliches Amtsverhältnis, vgl. Bergmann/Möhrle/Herb, § 42 BDSG Rz. 17. 4 Zur Vermeidung von Interessenkonflikten vgl. Bergmann/Möhrle/Herb, § 42 BDSG Rz. 18 ff. und Taeger/Gabel/Westphal, § 42 BDSG Rz. 6 ff. 5 Wie hier Simitis/Dix, § 42 BDSG Rz. 8; Hein, NJW 1991, 2614; zur umstrittenen Frage, wie die Verweisung auszulegen ist vgl. Taeger/Gabel/Westphal, § 42 BDSG Rz. 19 m.w.N. 6 So Bergmann/Möhrle/Herb, § 42 BDSG Rz. 41; Däubler/Klebe/Wedde/Weichert/Wedde, § 42 BDSG Rz. 1 und 7; dies hat die Deutsche Welle getan, sie hat einen Datenschutzbeauftragten und einen betrieblichen Beauftragten für den Datenschutz, vgl. das Organigramm unter „Organisation“ auf der Webseite http://www.dw-world.de (zuletzt abgerufen am 25.7.2016). 7 Zur Besonderheit bei der Datenschutzkontrolle der GEZ durch den Rundfunkbeauftragten für den Datenschutz und durch den Landesdatenschutzbeauftragten Herb, MMR 2011, 232 (233). 8 Vgl. Simitis/Dix, § 42 BDSG Rz. 3. Auch im Übrigen sind spezielle Vorschriften wie etwa das TKG zu beachten.

920

|

Plath/Frey

Informationspflicht bei unrechtmäßiger Kenntniserlangung | § 42a BDSG

Jedermann kann sich entsprechend der Regelung des § 21 an den Datenschutz- 9 beauftragten wenden (Abs. 3). Vorgetragen werden muss also eine eigene Rechtsverletzung1. Der Datenschutzbeauftragte übermittelt sowohl den Organen der Deutschen 10 Welle (also gemäß § 24 DW-Gesetz dem Rundfunkrat, dem Verwaltungsrat und dem Intendanten) als auch dem Bundesbeauftragten für den Datenschutz alle zwei Jahre seinen Tätigkeitsbericht (Abs. 4). Im Wege der europarechtskonformen Auslegung ist dieser Bericht auch zu veröffentlichen (vgl. Art. 28 Abs. 5 Satz 2 EG-Datenschutzrichtlinie)2.

III. Verweise/Kontext Die Rundfunkanstalten der Länder verfügen über eigene Datenschutzbeauftrag- 11 te, vgl. z.B. § 41 Abs. 2 NDR-Staatsvertrag3.

§ 42a Informationspflicht bei unrechtmäßiger Kenntniserlangung von Daten 1Stellt

eine nichtöffentliche Stelle im Sinne des § 2 Absatz 4 oder eine öffentliche Stelle nach § 27 Absatz 1 Satz 1 Nummer 2 fest, dass bei ihr gespeicherte 1. besondere Arten personenbezogener Daten (§ 3 Absatz 9), 2. personenbezogene Daten, die einem Berufsgeheimnis unterliegen, 3. personenbezogene Daten, die sich auf strafbare Handlungen oder Ordnungswidrigkeiten oder den Verdacht strafbarer Handlungen oder Ordnungswidrigkeiten beziehen, oder 4. personenbezogene Daten zu Bank- oder Kreditkartenkonten unrechtmäßig übermittelt oder auf sonstige Weise Dritten unrechtmäßig zur Kenntnis gelangt sind, und drohen schwerwiegende Beeinträchtigungen für die Rechte oder schutzwürdigen Interessen der Betroffenen, hat sie dies nach den Sätzen 2 bis 5 unverzüglich der zuständigen Aufsichtsbehörde sowie den

1 Das DWG regelt die Anrufung in § 20 als lex specialis, so dass § 42 Abs. 3 BDSG überflüssig ist, vgl. Bergmann/Möhrle/Herb, § 42 BDSG Rz. 3. 2 Der aktuelle Bericht ist unter http://www.dw.com/popups/pdf/52714834/elfter-t%C3% A4tigkeitsbericht.pdf (zuletzt abgerufen am 25.7.2016) abrufbar. 3 Vgl. auch Binder, LKV 2003, 355 (358) zur Datenschutzkontrolle nach dem RBB-StV.

Plath/Frey/Hullen

|

921

§ 42a BDSG | Sondervorschriften Betroffenen mitzuteilen. 2Die Benachrichtigung des Betroffenen muss unverzüglich erfolgen, sobald angemessene Maßnahmen zur Sicherung der Daten ergriffen worden oder nicht unverzüglich erfolgt sind und die Strafverfolgung nicht mehr gefährdet wird. 3Die Benachrichtigung der Betroffenen muss eine Darlegung der Art der unrechtmäßigen Kenntniserlangung und Empfehlungen für Maßnahmen zur Minderung möglicher nachteiliger Folgen enthalten. 4Die Benachrichtigung der zuständigen Aufsichtsbehörde muss zusätzlich eine Darlegung möglicher nachteiliger Folgen der unrechtmäßigen Kenntniserlangung und der von der Stelle daraufhin ergriffenen Maßnahmen enthalten. 5Soweit die Benachrichtigung der Betroffenen einen unverhältnismäßigen Aufwand erfordern würde, insbesondere aufgrund der Vielzahl der betroffenen Fälle, tritt an ihre Stelle die Information der Öffentlichkeit durch Anzeigen, die mindestens eine halbe Seite umfassen, in mindestens zwei bundesweit erscheinenden Tageszeitungen oder durch eine andere, in ihrer Wirksamkeit hinsichtlich der Information der Betroffenen gleich geeignete Maßnahme. 6Eine Benachrichtigung, die der Benachrichtigungspflichtige erteilt hat, darf in einem Strafverfahren oder in einem Verfahren nach dem Gesetz über Ordnungswidrigkeiten gegen ihn oder einen in § 52 Absatz 1 der Strafprozessordnung bezeichneten Angehörigen des Benachrichtigungspflichtigen nur mit Zustimmung des Benachrichtigungspflichtigen verwendet werden. I. Einführung . . . . . . . . . . . . . . . II. Benachrichtigungspflichtige Stelle (Satz 1) . . . . . . . . . . . . . III. Voraussetzungen 1. Besonders sensible Daten (Satz 1 Nr. 1–4) . . . . . . . . . . . . 2. Anhaltspunkte für Kenntniserlangung und Beeinträchtigung (Satz 1) . . . . . . . . . . . . . . . . . .

1 3

5

IV. Benachrichtigungspflicht (Satz 1, 2–5) . . . . . . . . . . . 1. Benachrichtigung des Betroffenen (Satz 2, 3 und 5) 2. Benachrichtigung der Aufsichtsbehörde (Satz 4) . . V. Verwertungsverbot und Sanktionen (Satz 6) . . . . . .

. . . 10 . . . 11 . . . 16 . . . 17

6

Schrifttum: Duisberg/Picot, Rechtsfolgen von Pannen in der Datensicherheit, CR 2009, 823; Eckhardt/Schmitz, Informationspflicht bei „Datenschutzpannen“, DuD 2010, 390; Dorn, Informationspflicht bei Datenschutzpannen: Wie geht man mit § 42a BDSG um?, DSB 7+8 2011, S. 16; ENISA, Data breach notifications in the EU, Januar 2011; ENISA, Recommendations for a methodology of the assessment of severity of personal data breaches, Dezember 2013; Ernst, Datenverlust und die Pflicht zur Öffentlichkeit, DuD 2010, 472; Hanloser, Europäische Security Breach Notification: Änderung des § 42a BDSG erforderlich?, DSB 2010, Nr. 3, 8; Höhne, Benachrichtigungspflichten bei unrechtmäßiger Kenntniserlangung von Daten durch Dritte – Informationspflichten bei Datenpannen nach der BDSG-Novelle II gemäß § 42a BDSG, § 15a TMG und § 93 Abs. 3 TKG, jurisPR-ITR 20/ 2009 Anm. 3; Hornung, Informationen über „Datenpannen“ – Neue Pflichten für datenverarbeitende Unternehmen, NJW 2010, 1841; Regnery, Datenleck beim Zoll: Forderung nach Security Breach Notice für Behörden, ZD 1/2011, VIII; Robrecht, Überblick über we-

922

|

Hullen

Informationspflicht bei unrechtmäßiger Kenntniserlangung | § 42a BDSG sentliche Neuerungen der BDSG-Novelle II, ZD 2011, 23; Spies, USA: Pflichtmitteilungen bei einem Bruch der Datensicherheit, MMR 2008, Heft 5, S. XIX; Zimmer-Goertz, Datenleck – Im Krisenfall richtig reagieren, PinG 2013, 77.

I. Einführung Die Norm statuiert eine Informationspflicht bei unrechtmäßiger Kenntnis- 1 erlangung von besonders sensiblen personenbezogenen Daten und (drohender) schwerwiegender Beeinträchtigung von Rechten oder schutzwürdigen Interessen der Betroffenen. Die Informationspflicht trifft hierbei lediglich nichtöffentliche Stellen und gleichgestellte öffentlich-rechtliche Wettbewerbsunternehmen (s. Rz. 3). Neben der Pflicht, Betroffene und zuständige Aufsichtsbehörde unverzüglich zu 2 informieren, müssen dem Betroffenen zudem Handlungsempfehlungen zur Schadensminimierung übermittelt werden. Die Aufsichtsbehörde ist über mögliche nachteilige Folgen und über getroffene Gegenmaßnahmen zu informieren. Neben Information und Schadensbegrenzung bezweckt die Regelung eine Präventivwirkung durch Publizität. Wer verpflichtet wird, Datenpannen aufzudecken, wird im Vorfeld regelmäßig höhere Maßstäbe zu ihrer Verhinderung anlegen1. Die Norm, die am 1.9.2009 in Kraft trat2, geht auf einen Vorschlag der Europäischen Union zur Änderung der Richtlinie 2002/58/EG über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation3 sowie auf vergleichbare Regelungen im US-amerikanischen Recht zur Data oder Security Breach Notification zurück4. Bereichsspezifische Benachrichtigungspflichten finden sich in § 15a TMG und § 109a TKG5. In der DSGVO wird die Verletzung des Schutzes personenbezogener Daten in Art. 33 und 34 geregelt.

II. Benachrichtigungspflichtige Stelle (Satz 1) Zur Informierung über die unrechtmäßige Kenntniserlangung von Daten sind 3 gem. Abs. 1 Halbs. 1 nichtöffentliche Stellen nach § 2 Abs. 4 (s. Komm. zu § 2 BDSG Rz. 15) sowie öffentlich-rechtliche Wettbewerbsunternehmen nach § 27 Abs. 1 Satz 1 Nr. 2 (s. Komm. zu § 27 BDSG Rz. 19) verpflichtet. Die Einschrän1 So auch Däubler/Klebe/Wedde/Weichert/Weichert, § 42a BDSG Rz. 2. 2 Zum Bericht der Bundesregierung über die Auswirkungen des § 42a BDSG v. 4.1.2013 s. BT-Drucks. 17/12319, S. 2 ff. 3 KOM(2007) 698 endg., S. 36. 4 Ausführlich Simitis/Dix, § 42a BDSG Rz. 1. 5 S. zum Verhältnis zu anderen Vorschriften sowie zur allgemeinen Schadensminderungspflicht Taeger/Gabel/Gabel, § 42a BDSG Rz. 3.

Hullen

|

923

§ 42a BDSG | Sondervorschriften kung des Adressatenkreises wird zu Recht kritisiert1. Es ist nicht einzusehen, warum das Schutzbedürfnis der Betroffenen bei Datenpannen öffentlicher Stellen anders zu beurteilen ist als bei einer unrechtmäßigen Kenntniserlangung von sensiblen Daten, die bei nichtöffentlichen Stellen gespeichert sind2. 4 Eine eigenständige Benachrichtigungspflicht für Auftragsdatenverarbeiter i.S.v.

§ 11 besteht nicht. Zum einen legt Abs. 1 fest, dass Daten, die unrechtmäßig zur Kenntnis Dritter gelangt sind, bei der nichtöffentlichen Stelle bzw. bei dem öffentlich-rechtlichen Wettbewerbsunternehmen selbst gespeichert sein müssen („… bei ihr gespeicherte … Daten“)3. Zum anderen sind die Pflichten, die den datenverarbeitenden Auftragnehmer treffen, in § 11 Abs. 4 aufgezählt. Ein Verweis auf § 42a wurde trotz Anregung des Bundesrates nicht aufgenommen4. Im Außenverhältnis bleibt also der Auftraggeber verantwortlich, wobei der Auftragnehmer verpflichtet ist, diesen über etwaige Datenpannen zu informieren (s.a. § 11 Abs. 2 Satz 2 Nr. 8).

III. Voraussetzungen 1. Besonders sensible Daten (Satz 1 Nr. 1–4) 5 Die Informationspflichten werden nur bei unrechtmäßiger Kenntniserlangung

der in Satz 1 Nr. 1–4 abschließend aufgezählten Arten besonders sensibler Daten ausgelöst. Hierbei handelt es sich zum einen um besondere Arten personenbezogener Daten i.S.v. § 3 Abs. 9 (Nr. 1, s. hierzu auch Komm. zu § 3 BDSG Rz. 76). Auch personenbezogene Daten, die einem Berufsgeheimnis unterfallen (Nr. 2), gehören zum Anwendungsbereich der Norm (s.a. Komm. zu § 39 BDSG Rz. 5). Dies sind z.B. Daten, die einem Arzt, Rechtsanwalt oder Steuerberater anvertraut wurden. Zudem werden Daten, die in Zusammenhang mit (dem Verdacht auf) strafbare Handlungen oder Ordnungswidrigkeiten (Nr. 3) anfallen, vom Anwendungsbereich der Norm erfasst. Gleiches gilt aufgrund des hohen Schadensrisikos5 auch für Daten über Bank- und Kreditkartenkonten6 (Nr. 4; bspw. Banknamen, Konto- und Kreditkartennummer, Daten zum Online-Banking oder zu Bezahldiensten wie PayPal7).

1 S. z.B. Regnery, ZD 1/2011, VIII und Hornung, NJW 2010, 1841 (1842), der zu Recht auf den Widerspruch zu den Regelungen in TMG und TKG hinweist, deren Anwendungsbereich insoweit nicht eingeschränkt ist. 2 So auch Schaar, Zwei Jahre Informationspflichten bei Datenpannen, PM 30/2011 v. 31.8. 2011, der eine Erstreckung der Informationspflichten auch auf staatliche Stellen fordert. 3 Simits/Dix, § 42a BDSG Rz. 3. 4 BT-Drucks. 16/12011, S. 41. 5 Ähnlich Gola/Schomerus/Klug/Körffer/Gola, § 42a BDSG Rz. 3. 6 Ausführlich hierzu Simitis/Dix, § 42a BDSG Rz. 5. 7 S. Zimmer-Goertz, PinG 2013, 77 (78).

924

|

Hullen

Informationspflicht bei unrechtmäßiger Kenntniserlangung | § 42a BDSG

2. Anhaltspunkte für Kenntniserlangung und Beeinträchtigung (Satz 1) Die verantwortliche Stelle, die Daten nach Satz 1 Nr. 1–4 speichert, muss tat- 6 sächliche Anhaltspunkte dafür haben, dass eine unrechtmäßige Kenntniserlangung durch Dritte erfolgt ist. Die Hinweise können dabei aus eigenem betrieblichem Umfeld, insbesondere vom Beauftragten für den Datenschutz (s. § 4g)1 vom Betroffenen oder von Strafverfolgungsbehörden stammen. Unerheblich ist, ob die Daten dabei unrechtmäßig i.S.v. § 3 Abs. 4 Nr. 3 übermittelt wurden oder ob Dritte in sonstiger Weise (bspw. durch das Eindringen in ein Computersystem oder das Auffinden eines verlorenen Datenträgers) Kenntnis erlangen. Unrechtmäßig ist die Kenntniserlangung, wenn diese weder durch eine Rechtsnorm (insbesondere einem Erlaubnistatbestand, bspw. der §§ 28, 29) oder die Einwilligung des Betroffenen erfolgen durfte (s. § 4 Abs. 1).2 Über die unrechtmäßige Kenntnisnahme der Daten muss bei der verantwort- 7 lichen Stelle keine absolute Gewissheit herrschen3. Jedoch ist die Vermutung einer möglichen Kenntnisnahme nicht ausreichend4. Erst, wenn tatsächliche Anhaltspunkte auf eine hohe Wahrscheinlichkeit der Kenntnisnahme schließen lassen, wird die Benachrichtigungspflicht ausgelöst5. Im Zweifelsfall ist jedoch von einer Kenntnisnahme der sensiblen Daten auszugehen, um den Zweck der gesetzlichen Regelung nicht ins Leere laufen zu lassen6. Eine Kenntnisnahme der Daten lässt sich in aller Regel vermeiden, wenn die Daten dem Stand der Technik entsprechend stark verschlüsselt wurden. Dies gilt insbesondere, wenn diese auf mobilen Datenträgern wie USB-Sticks gespeichert wurden. Zudem muss eine Beeinträchtigung der Rechte oder schutzwürdigen Interes- 8 sen der Betroffenen drohen oder bereits eingetreten sein. Ob eine solche Beeinträchtigung droht, ist anhand der Art der sensiblen Daten und der (potentiellen) Auswirkungen der Kenntniserlangung durch Dritte zu beurteilen. Hierbei sind nicht nur drohende oder bereits eingetretene materielle Schäden zu beachten, wie z.B. im Falle der unberechtigten Kenntnisnahme von Kreditkartendaten, sondern auch soziale Nachteile, die durch eine unrechtmäßige Verwendung der Daten eintreten können (bspw. im Falle des Identitätsbetrugs)7. Die Einschätzung, ob eine konkrete8 schwerwiegende Beeinträchtigung der 9 Rechte und schutzwürdigen Interessen des Betroffenen droht, ist aufgrund einer 1 Zur Einbindung des betrieblichen Datenschutzbeauftragten Gola/Schomerus/Klug/Körffer/Gola, § 42a BDSG Rz. 10. 2 Auernhammer/Herbst, § 42a BDSG Rz. 17. 3 Taeger/Gabel/Gabel, § 42a BDSG Rz. 17. 4 Vgl. auch Taeger/Gabel/Gabel, § 42a BDSG Rz. 17. 5 Simitis/Dix, § 42a BDSG Rz. 8 mit Beispielen. 6 Simits/Dix, § 42a BDSG Rz. 9, im Ergebnis auch Dorn, DSB 2011, 7+8 S. 18. 7 BT-Drucks. 16/12011, S. 34. 8 Vgl. Eckhardt/Schmitz, DuD 2010, 390 (392).

Hullen

|

925

§ 42a BDSG | Sondervorschriften Gefahrenprognose der verantwortlichen Stelle vorzunehmen1. Hierbei ist zum Zeitpunkt der Feststellung der (mutmaßlichen) Kenntniserlangung eine Bewertung anhand eines objektiven Maßstabs unter Einbeziehung aller bekannten Tatsachen und Anhaltspunkte vorzunehmen2. Hierbei ist zu beachten, dass die Anforderungen an die Eintrittswahrscheinlichkeit umso geringer sind, je schwerer die zu befürchtende Beeinträchtigung beim Betroffenen ausfallen wird3.

IV. Benachrichtigungspflicht (Satz 1, 2–5) 10 Nach Satz 1 der Norm sind zuständige Aufsichtsbehörde (regelmäßig die nach

§ 38; bei Post- und Telekommunikationsunternehmen der BfDI nach § 244) und Betroffene im Falle der unrechtmäßigen Kenntniserlangung der Daten (s. Rz. 6) unverzüglich, d.h. ohne schuldhaftes Zögern (§ 121 BGB) der zuständigen Stelle5 – unter Einbeziehung des Beauftragten für den Datenschutz – über die Datenpanne zu informieren.

1. Benachrichtigung des Betroffenen (Satz 2, 3 und 5) 11 Das Erfordernis der unverzüglichen Benachrichtigung des Betroffenen wird

durch Satz 2 eingeschränkt. Ein schuldhaftes Zögern ist zum einen dann nicht gegeben, wenn Datensicherungspflichten (Variante 1) oder Interessen der Strafverfolgung (Variante 2) einer Bekanntgabe gegenüber dem Betroffenen entgegenstehen. Aufgrund der Verschwiegenheitspflicht der Aufsichtsbehörden gilt diese Einschränkung nur für die Benachrichtigung des Betroffenen. Variante 1 bezweckt die Möglichkeit der Behebung des Datenlecks vor Bekanntgabe an eine Vielzahl von Personen6. Hierdurch soll verhindert werden, dass es zu einem weiteren Ausnutzen etwaiger Sicherheitslücken und somit zu einer Schadensvertiefung kommen kann7. Die Behebung der Sicherheitslücken muss umgehend und ihrerseits ohne schuldhaftes Zögern erfolgen8. Variante 2 stellt sicher, dass die Benachrichtigung nicht zu einer Beeinträchtigung der Strafverfolgung bei 1 Zum Vorschlag einer entsprechenden Bewertungsmethodologie s. ENISA, Recommendations for a methodology of the assessment of severity of personal data breaches, Dezember 2013. 2 Taeger/Gabel/Gabel, § 42a BDGS Rz. 20. 3 Simitis/Dix, § 42a BDSG Rz. 9; Taeger/Gabel, § 42a BDGS Rz. 20. Eine Information des Betroffenen in Zweifelsfällen empfiehlt aus Gründen möglicher Haftungspflichten und drohender Bußgelder Zimmer-Goertz, PinG 2013, 77 (77). 4 Simitis/Dix, § 42a BDSG Rz. 16. 5 BT-Drucks. 16/12011, S. 34. 6 BT-Drucks. 16/12011, S. 34. 7 Zimmer-Goertz, PinG 2013, 77 (79). 8 Simits/Dix, § 42a BDSG Rz. 12.

926

|

Hullen

Informationspflicht bei unrechtmäßiger Kenntniserlangung | § 42a BDSG

Datenverlusten mit strafrechtlich relevantem Hintergrund führt1. Bestehen Zweifel über die strafrechtliche Relevanz des Datenschutzverstoßes, sollte frühzeitig eine Stellungnahme der Strafverfolgungsbehörden eingeholt werden2. Die Information des Betroffenen hat im Fall des Satzes 2 vorläufig zu unterbleiben3. Satz 3 legt den Inhalt der Benachrichtigung des Betroffenen fest. Dieser ist über 12 die Art der unrechtmäßigen Kenntniserlangung zu unterrichten, also darüber, wie die Daten Dritten unberechtigt zur Kenntnis gelangt sind (bspw. interne Weitergabe von Datenbeständen, Verlust von Datenträgern, Hackerangriffe etc.). Darüber hinaus sind Handlungsempfehlungen zur Schadensminimierung auszusprechen, wie bspw. die Installation von Software-Updates zum Schließen einer kritischen Sicherheitslücke, die Kontrolle von Kontoauszügen auf unberechtigte Abbuchungen4 oder das Austauschen von Passwörtern oder Chipkarten5. Die Benachrichtigung muss dabei für den Betroffenen verständlich gestaltet sein, wobei die Anforderungen je nach Adressatenkreis (bspw. technische Laien oder Computerexperten) variieren können, wobei zur Vermeidung von „Trittbrettfahrern“ keinesfalls alle technischen Details der Datenpanne offengelegt werden müssen6. Darüber hinaus sollte den Betroffenen mitgeteilt werden, welche Arten von Da- 13 ten Dritten zur Kenntnis gelangt sind, soweit dies nicht aus den Umständen des Datenverlustes selbst ersichtlich ist. Diese verantwortliche Stelle ist hierzu nicht gesetzlich verpflichtet, doch wird das Vertrauen des Betroffenen in eine ordnungsgemäße Datenverarbeitung noch stärker beeinträchtigt, wenn lediglich mitgeteilt wird, dass ein Datenleck vorlag, nicht hingegen, welche Daten betroffen sind7. Auch eine Benachrichtigung über Maßnahmen, die die verantwortliche Stelle zur Wiederherstellung der Datensicherheit getroffen hat, ist regelmäßig sinnvoll8. Die Form der Benachrichtigung des Betroffenen ist nicht vorgeschrieben. 14 Zweckmäßig ist jedoch eine Information in Textform (§ 126b BGB), z.B. durch die Versendung von E-Mails9. Die Benachrichtigung der Betroffenen kann mit einem unverhältnismäßigen 15 Aufwand an Kosten und Zeit einhergehen. Dies gilt insbesondere dann, wenn die Kontaktdaten einer Vielzahl von Betroffenen nicht ohne Weiteres zu ermitteln sind. In diesem Fall befreit Satz 5 der Norm die verantwortliche Stelle vom 1 2 3 4 5 6 7 8 9

BT-Drucks. 16/12011, S. 34. Taeger/Gabel/Gabel, § 42a BDSG Rz. 23. Däubler/Klebe/Wedde/Weichert/Weichert, § 42a BDSG Rz. 10. Taeger/Gabel/Gabel, § 42a BDSG Rz. 24. Simits/Dix, § 42a BDSG Rz. 14. Simitis/Dix, § 42a BDSG Rz. 12. So auch Taeger/Gabel/Gabel, § 42a BDSG Rz. 24. Simitis/Dix, § 42a BDSG Rz. 16. S. z.B. Hornung, NJW 2010, 1841 (1843).

Hullen

|

927

§ 42a BDSG | Sondervorschriften Erfordernis der Individualbenachrichtigung, wenn die Öffentlichkeit durch halbseitige Anzeigen, die in mindestens zwei bundesweit erscheinenden Tageszeitungen1 oder durch gleich wirksame Maßnahmen informiert wird. Bei Letzteren ist abhängig vom Adressatenkreis z.B. an eine Bekanntgabe über soziale Netzwerke, einschlägige Blogs oder Nachrichtenportale im Internet zu denken. Sind die Auswirkungen des Datenlecks lediglich regional begrenzt, kommt auch eine Veröffentlichung in einer Zeitung mit entsprechend eingeschränktem Verbreitungsgebiet in Betracht2. 2. Benachrichtigung der Aufsichtsbehörde (Satz 4) 16 Die zuständige Aufsichtsbehörde muss gem. Satz 4 zwecks Beurteilung der Ge-

fährdungslage nicht nur über die Art des Datenlecks und eine Darlegung möglicher nachteiliger Folgen informiert werden, sondern auch über die von der verantwortlichen Stelle ergriffenen Gegenmaßnahmen. Anhand letzterer Information soll die Aufsichtsbehörde zudem beurteilen können, ob die Datenpanne bereits beseitigt wurde3 und in die Lage versetzt werden, ggf. weitere Maßnahmen einzuleiten4. Die Ausnahmen des Satzes 2 bzgl. der Pflicht zur sofortigen Benachrichtigung gelten hier nicht. Ebenso wenig kann die Pflicht der Benachrichtigung der Aufsichtsbehörden durch eine Veröffentlichung der relevanten Informationen in der Tagespresse oder auf ähnliche Weise (s. Rz. 15) erfüllt werden5.

V. Verwertungsverbot und Sanktionen (Satz 6) 17 Satz 6 statuiert ein strafrechtliches Verwertungsverbot, das demjenigen zugute-

kommt, der der Benachrichtigungspflicht unterliegt. Ähnliche Regelungen finden sich auch in anderen Vorschriften, z.B. in § 97 Abs. 1 Satz 2 InsO. Durch das Verwertungsverbot wird der Konflikt zwischen dem Nemo-tenetur-Grundsatz, nach dem niemand an seiner eigenen Strafverfolgung mitwirken muss, und der als Ordnungswidrigkeit behandelten, unterlassener Mitteilung nach Satz 1 aufgelöst6. Bei juristischen Personen ist Satz 6 regelmäßig auf die natürlichen Personen anzuwenden, die als Normadressaten der §§ 43, 44 in Betracht kommen7. 1 2 3 4 5 6

Zur Kritik an dieser Vorgabe Simitis/Dix, § 42a BDSG Rz. 17 m.w.N. Bergmann/Möhrle/Herb, § 42a BDSG Rz. 16; Simitis/Dix, § 42a BDSG Rz. 17. BT-Drucks. 16/12011, S. 35; Gola/Schomerus/Klug/Körffer/Gola, § 42a BDSG Rz. 6. Auernhammer/Herbst, § 42a BDSG Rz. 24. Taeger/Gabel/Gabel, § 42a BDSG Rz. 27. S. BT-Drucks. 16/12011, S. 35, die jedoch durch ein Redaktionsversehen von dem Betroffenen statt von dem Benachrichtigungspflichtigen spricht. 7 S.a. Däubler/Klebe/Wedde/Weichert/Weichert, § 42a BDSG Rz. 13; ausführlich Taeger/ Gabel/Gabel, § 42a BDSG Rz. 31.

928

|

Hullen

Bußgeldvorschriften | § 43 BDSG

Nach § 43 Abs. 2 Nr. 7, Abs. 3 kann derjenige, der Aufsichtsbehörde oder Be- 18 troffene nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig informiert, zur Zahlung eines Bußgeldes von bis zu 300 000 Euro verpflichtet werden. Zudem sieht § 44 Abs. 1 bei Vorliegen der entsprechenden Voraussetzungen eine Strafbewehrung vor.

Fünfter Abschnitt Schlussvorschriften

§ 43 Bußgeldvorschriften (1) Ordnungswidrig handelt, wer vorsätzlich oder fahrlässig 1. entgegen § 4d Abs. 1, auch in Verbindung mit § 4e Satz 2, eine Meldung nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig macht, 2. entgegen § 4f Abs. 1 Satz 1 oder 2, jeweils auch in Verbindung mit Satz 3 und 6, einen Beauftragten für den Datenschutz nicht, nicht in der vorgeschriebenen Weise oder nicht rechtzeitig bestellt, 2a. entgegen § 10 Absatz 4 Satz 3 nicht gewährleistet, dass die Datenübermittlung festgestellt und überprüft werden kann, 2b. entgegen § 11 Absatz 2 Satz 2 einen Auftrag nicht richtig, nicht vollständig oder nicht in der vorgeschriebenen Weise erteilt oder entgegen § 11 Absatz 2 Satz 4 sich nicht vor Beginn der Datenverarbeitung von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen überzeugt, 3. entgegen § 28 Abs. 4 Satz 2 den Betroffenen nicht, nicht richtig oder nicht rechtzeitig unterrichtet oder nicht sicherstellt, dass der Betroffene Kenntnis erhalten kann, 3a. entgegen § 28 Absatz 4 Satz 4 eine strengere Form verlangt, 4. entgegen § 28 Abs. 5 Satz 2 personenbezogene Daten übermittelt oder nutzt, 4a. entgegen § 28a Abs. 3 Satz 1 eine Mitteilung nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig macht, 5. entgegen § 29 Abs. 2 Satz 3 oder 4 die dort bezeichneten Gründe oder die Art und Weise ihrer glaubhaften Darlegung nicht aufzeichnet, 6. entgegen § 29 Abs. 3 Satz 1 personenbezogene Daten in elektronische oder gedruckte Adress-, Rufnummern-, Branchen- oder vergleichbare Verzeichnisse aufnimmt, Hullen/Becker

|

929

Bußgeldvorschriften | § 43 BDSG

Nach § 43 Abs. 2 Nr. 7, Abs. 3 kann derjenige, der Aufsichtsbehörde oder Be- 18 troffene nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig informiert, zur Zahlung eines Bußgeldes von bis zu 300 000 Euro verpflichtet werden. Zudem sieht § 44 Abs. 1 bei Vorliegen der entsprechenden Voraussetzungen eine Strafbewehrung vor.

Fünfter Abschnitt Schlussvorschriften

§ 43 Bußgeldvorschriften (1) Ordnungswidrig handelt, wer vorsätzlich oder fahrlässig 1. entgegen § 4d Abs. 1, auch in Verbindung mit § 4e Satz 2, eine Meldung nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig macht, 2. entgegen § 4f Abs. 1 Satz 1 oder 2, jeweils auch in Verbindung mit Satz 3 und 6, einen Beauftragten für den Datenschutz nicht, nicht in der vorgeschriebenen Weise oder nicht rechtzeitig bestellt, 2a. entgegen § 10 Absatz 4 Satz 3 nicht gewährleistet, dass die Datenübermittlung festgestellt und überprüft werden kann, 2b. entgegen § 11 Absatz 2 Satz 2 einen Auftrag nicht richtig, nicht vollständig oder nicht in der vorgeschriebenen Weise erteilt oder entgegen § 11 Absatz 2 Satz 4 sich nicht vor Beginn der Datenverarbeitung von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen überzeugt, 3. entgegen § 28 Abs. 4 Satz 2 den Betroffenen nicht, nicht richtig oder nicht rechtzeitig unterrichtet oder nicht sicherstellt, dass der Betroffene Kenntnis erhalten kann, 3a. entgegen § 28 Absatz 4 Satz 4 eine strengere Form verlangt, 4. entgegen § 28 Abs. 5 Satz 2 personenbezogene Daten übermittelt oder nutzt, 4a. entgegen § 28a Abs. 3 Satz 1 eine Mitteilung nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig macht, 5. entgegen § 29 Abs. 2 Satz 3 oder 4 die dort bezeichneten Gründe oder die Art und Weise ihrer glaubhaften Darlegung nicht aufzeichnet, 6. entgegen § 29 Abs. 3 Satz 1 personenbezogene Daten in elektronische oder gedruckte Adress-, Rufnummern-, Branchen- oder vergleichbare Verzeichnisse aufnimmt, Hullen/Becker

|

929

§ 43 BDSG | Schlussvorschriften 7. entgegen § 29 Abs. 3 Satz 2 die Übernahme von Kennzeichnungen nicht sicherstellt, 7a. entgegen § 29 Abs. 6 ein Auskunftsverlangen nicht richtig behandelt, 7b. entgegen § 29 Abs. 7 Satz 1 einen Verbraucher nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig unterrichtet, 8. entgegen § 33 Abs. 1 den Betroffenen nicht, nicht richtig oder nicht vollständig benachrichtigt, 8a. entgegen § 34 Absatz 1 Satz 1, auch in Verbindung mit Satz 3, entgegen § 34 Absatz 1a, entgegen § 34 Absatz 2 Satz 1, auch in Verbindung mit Satz 2, oder entgegen § 34 Absatz 2 Satz 5, Absatz 3 Satz 1 oder Satz 2 oder Absatz 4 Satz 1, auch in Verbindung mit Satz 2, eine Auskunft nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig erteilt oder entgegen § 34 Absatz 1a Daten nicht speichert, 8b. entgegen § 34 Abs. 2 Satz 3 Angaben nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig übermittelt, 8c. entgegen § 34 Abs. 2 Satz 4 den Betroffenen nicht oder nicht rechtzeitig an die andere Stelle verweist, 9. entgegen § 35 Abs. 6 Satz 3 Daten ohne Gegendarstellung übermittelt, 10. entgegen § 38 Abs. 3 Satz 1 oder Abs. 4 Satz 1 eine Auskunft nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig erteilt oder eine Maßnahme nicht duldet oder 11. einer vollziehbaren Anordnung nach § 38 Abs. 5 Satz 1 zuwiderhandelt. (2) Ordnungswidrig handelt, wer vorsätzlich oder fahrlässig 1. unbefugt personenbezogene Daten, die nicht allgemein zugänglich sind, erhebt oder verarbeitet, 2. unbefugt personenbezogene Daten, die nicht allgemein zugänglich sind, zum Abruf mittels automatisierten Verfahrens bereithält, 3. unbefugt personenbezogene Daten, die nicht allgemein zugänglich sind, abruft oder sich oder einem anderen aus automatisierten Verarbeitungen oder nicht automatisierten Dateien verschafft, 4. die Übermittlung von personenbezogenen Daten, die nicht allgemein zugänglich sind, durch unrichtige Angaben erschleicht, 5. entgegen § 16 Abs. 4 Satz 1, § 28 Abs. 5 Satz 1, auch in Verbindung mit § 29 Abs. 4, § 39 Abs. 1 Satz 1 oder § 40 Abs. 1, die übermittelten Daten für andere Zwecke nutzt, 5a. entgegen § 28 Absatz 3b den Abschluss eines Vertrages von der Einwilligung des Betroffenen abhängig macht, 5b. entgegen § 28 Absatz 4 Satz 1 Daten für Zwecke der Werbung oder der Markt- oder Meinungsforschung verarbeitet oder nutzt, 930

|

Becker

Bußgeldvorschriften | § 43 BDSG

6. entgegen § 30 Absatz 1 Satz 2, § 30a Absatz 3 Satz 3 oder § 40 Absatz 2 Satz 3 ein dort genanntes Merkmal mit einer Einzelangabe zusammenführt oder 7. entgegen § 42a Satz 1 eine Mitteilung nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig macht. (3) 1Die Ordnungswidrigkeit kann im Fall des Absatzes 1 mit einer Geldbuße bis zu fünfzigtausend Euro, in den Fällen des Absatzes 2 mit einer Geldbuße bis zu dreihunderttausend Euro geahndet werden. 2Die Geldbuße soll den wirtschaftlichen Vorteil, den der Täter aus der Ordnungswidrigkeit gezogen hat, übersteigen. 3Reichen die in Satz 1 genannten Beträge hierfür nicht aus, so können sie überschritten werden. I. II. III. IV.

Einführung . . . . . . . . . . . . . Täterschaft . . . . . . . . . . . . . Verfahrensverstöße (Abs. 1) Materiell-rechtliche Verstöße (Abs. 2) . . . . . . . . . . . . . . . .

.. .. ..

1 6 8

V. Rechtswidrigkeit und Schuld (Vorsatz, Fahrlässigkeit) . . . . . 13 VI. Verfahren, Bußgeld . . . . . . . . . 15

. . 11

Schrifttum: Ashkar, Durchsetzung und Sanktionierung des Datenschutzrechts nach den Entwürfen der Datenschutz-Grundverordnung, DuD 2015, 796; Barton, „Beihilfe durch Unterlassen“? – Zur strafrechtlichen Verantwortung des betrieblichen Datenschutzbeauftragten i.S.d. §§ 13, 27 StGB bei Nichterfüllung seiner gesetzlichen Pflichten, RDV 2010, 247; Bestmann, „Und wer muß zahlen?“ – Datenschutzrecht im Internet – die Bußgeldvorschriften, K&R 2003, 496; Binder, Computerkriminalität und Datenfernübertragung, RDV 1995, 116; Bongers/Krupna, Haftungsrisiken des internen Datenschutzbeauftragten, ZD 2013, 594; Cornelius, Schneidiges Datenschutzrecht: Zur Strafbarkeit einer GPS-Überwachung, NJW 2013, 3340; Faust/Spittka/Wybitul, Millardenbußgelder nach der DSGVO?, Ein Überblick über die neuen Sanktionen bei Verstößen gegen den Datenschutz, ZD 2016, 120; Forst, Grundfragen der Datenschutz-Compliance, DuD 2010, 160; Hartung/Reintzsch, Die datenschutzrechtliche Haftung nach der EU-Datenschutzreform, Teil 1, ZWH 2013, 129; Hartung/Reintzsch, Die datenschutzrechtliche Haftung nach der EU-Datenschutzreform, Teil 2, ZWH 2013, 180; Holländer, Datensündern auf der Spur. Bußgeldverfahren ungeliebtes Instrument der Datenschutzaufsichtsbehörden?, RDV 2009, 215; Krauß, WLAN-Scanning: Bußgeld gegen Google, CR 2013, R60; Krischker, Die Bußgeldbewehrtheit von Datenpannen, DuD 2015, 813; Marschall, Strafrechtliche Haftungsrisiken des betrieblichen Datenschutzbeauftragten? Notwendige Handlungsempfehlungen, ZD 2014, 66; Pätzel, Zur Offenkundigkeit von Halterdaten, NJW 1999, 3246; Weichert, Datenschutzstrafrecht – ein zahnloser Tiger?, NStZ 1999, 490; Wybitul/Reuling, Umgang mit § 44 BDSG im Unternehmen, CR 2010, 829.

I. Einführung Die Bußgeld- und Strafvorschriften des BDSG sind vor allem für private Unter- 1 nehmen relevant. Obwohl Bußgeld- und Strafverfahren auf der Grundlage der Becker

|

931

§ 43 BDSG | Schlussvorschriften §§ 43, 44 bis heute – verglichen mit der überragenden Rolle der Datenverarbeitung für das Wirtschaftsleben – eher selten sind, ist die Bedeutung der §§ 43, 44 in der Unternehmenswirklichkeit nicht zu unterschätzen. Während die zivilrechtlichen Sanktionen von Datenschutzverstößen aus Sicht der Unternehmen ein geringeres Drohpotenzial haben und „kalkulierbar“ erscheinen (vgl. dazu Komm. zu § 7 BDSG Rz. 1), ist die Sorge vor Bußgeld- und Strafverfahren, ihren Folgen für die Unternehmensleitung und ihrer negativen Öffentlichkeitswirkung groß. Auch der mit einem Bußgeld- oder Strafverfahren mittelbar verbundene wirtschaftliche „Schaden“ kann beträchtlich sein1. Dabei geht es weniger um das Bußgeld selbst (zur Höhe s. Rz. 17). Vor allem Aufwand und Kosten für Maßnahmen, um nach einem Datenschutzskandal in kurzer Zeit und umfassend auf „Musterschüler“-Niveau zu gelangen, sind häufig enorm2. Dies auch deshalb, weil im Rahmen von nachfolgenden Prüfungen durch die Behörden regelmäßig weitere Missstände aufgedeckt und bemängelt werden, die über den Anlass des ursprünglichen Verfahrens weit hinausgehen können. 2 Es wird überwiegend vertreten, dass die Bußgeldtatbestände vor allem des § 43

Abs. 2 und die darauf aufbauende Strafnorm des § 44 als allgemeine datenschutzrechtliche Regelungen auch über die Verletzung von Bestimmungen des BDSG hinaus für die Verletzung sonstigen materiellen Datenschutzrechts anwendbar sind, soweit dem nicht in Bezug auf die konkrete Norm die Subsidiarität des BDSG entgegensteht3. Dem ist jedoch zu widersprechen. Sofern der Gesetzgeber keine hinreichend eindeutige und klare Verweisungsnorm in ein datenschutzrechtliches Nebengesetz aufgenommen hat4, fehlt es an einer rechtsstaatlichen Grundlage zur Anwendung von bußgeld- oder strafrechtlichen Sanktionen5.

3 Als sanktionswürdig stellen sich in der Ahndungspraxis der Behörden vor allem

der achtlose Umgang mit Daten und der Datensicherheit, die Nichtmeldung von Datenlecks, die eine Gefahrenlage (z.B. für Kontendaten) verursachen (s.a. Komm. zu § 42a BDSG), die missbräuchliche Nutzung von Mitarbeiterdaten

1 Rechtlich sind die Aufwendungen zur Herstellung eines gesetzeskonformen Zustands selbstverständlich kein Schaden und können weder beim „Verursacher“ liquidiert werden noch kann sich das Unternehmen hiergegen versichern. 2 Vgl. nur TB LfD Berlin 2009, LT-Drucks. 16/3377, S. 118 ff. (Deutsche Bahn); 5. TB NÖB Baden-Württemberg 2007/2009, LT-Drucks. 14/4963, S. 20 f. (Discounter-Kette); bemerkenswert auch der Fall einer Versicherung, die nach einem Datenschutzvorfall einen Lehrstuhl für Datenschutz finanziert, vgl. 24. TB LfD Rheinland-Pfalz 2012/2013, S. 68. zu Compliance-Maßnahmen im Datenschutz Forst, DuD 2010, 160 ff. 3 Gola/Schomerus, § 43 BDSG Rz. 18; Simitis/Ehmann, § 43 BDSG Rz. 18 ff.; kritisch, aber im Ergebnis zustimmend Roßnagel/Bär, Handbuch Datenschutzrecht, Teil 5.7 Rz. 6. 4 Fraglich z.B. § 21g Abs. 4 EnWG, der zwar ausdrücklich auf § 43 Bezug nimmt, aber lediglich davon spricht, die Regelung sei zu „beachten“. 5 Vgl. BVerfG v. 8.3.1990 – 2 BvR 1463/88, NStZ 1990, 394; BVerfG v. 6.5.1987 – 2 BvL 11/85, BVerfGE 75, 329; Göhler/Gürtler, OWiG, 16. Aufl. 2012, Vor § 1 Rz. 17, 18.

932

|

Becker

Bußgeldvorschriften | § 43 BDSG

(z.B. durch Videoüberwachung) und die bewusst unberechtigte Kommerzialisierung von Verbraucherdaten dar. Für das Verständnis der Ahndungspraxis1 von besonderer Bedeutung ist das – 4 bisherige – Selbstverständnis der zuständigen Landesdatenschutzbehörden in Bezug auf die Verhängung von Bußgeldern. Die Behörden sehen ihre Aufgabe in erster Linie gerade nicht darin, hohe Bußgelder oder überhaupt Bußgelder zu verhängen2. Die Behörden sehen vielmehr ihre Beratungsfunktion im Vordergrund (vgl. auch § 4d Abs. 6 Satz 3, § 4g Abs. 1 Satz 2, § 38 Abs. 1 Satz 2, § 38a Abs. 2). Auch wenn die repressive Tätigkeit bei sich bessernder Personalausstattung mehr in den Vordergrund rückt, begnügen sich die Behörden vielfach bewusst mit Hinweisen zu erforderlichen Maßnahmen und der Umsetzungskontrolle durch Vor-Ort-Prüfungen3. Bis vor wenigen Jahren wurde dementsprechend nur vereinzelt von Seiten der Behörden der ausdrückliche Wille bekundet, verstärkt auch das bußgeld- und strafrechtliche Instrumentarium zu nutzen, um allfälligen Datenschutzverstößen entgegenzuwirken4. Andererseits sind die Behörden zunehmend um eine weitere Professionalisierung der Bußgeldpraxis bemüht; der Düsseldorfer Kreis hat offenbar eine Arbeitsgruppe Sanktionen eingerichtet, die vom Berliner Beauftragten für Datenschutz und Informationsfreiheit geleitet wird5. Generalpräventive Aspekte rücken dabei zunehmend stärker in den Vordergrund6. Naturgemäß wird ein besonderes Augenmerk auf größeren Unternehmen und Unternehmen in besonders sensiblen Branchen (Banken, Versicherungen, Gesundheitswesen, Marktforschung und Marketing, Call-Center) liegen. Seit der Vorauflage hat sich bestätigt, dass die Behörden vermehrt von der Möglichkeit einer Verbandsstrafe Gebrauch machen, ggf. gestützt auf eine Aufsichtspflichtverletzung (§§ 30, 130 OWiG)7. Die Datenschutzbehörden verwenden im Einzelfall die Einleitung eines Bußgeldver1 Zur historischen Entwicklung und „Fallzahlen“, vgl. Simitis/Ehmann, § 43 BDSG Rz. 79 ff. 2 Vgl. z.B. 25. TB LfD Hamburg 2014/2015, S. 258 („Bußgeldverhängung steht nicht im Vordergrund der Aufsichtstätigkeit“); 20. TB LfD Niedersachen 2009/2010, LT-Drucks. 16/4240, S. 62, 64 („zunächst Verfolgung eines kooperativen Ansatzes“, „primär verfolgte Zweck der Beratung“); vgl. 24. TB LfD Rheinland-Pfalz 2012/2013, S. 98 („Im Vordergrund der Tätigkeit des LfDI steht aber keineswegs das Ziel, willkommene Einnahmen … zu erzielen, sondern … das allgemeine Bewusstsein für die Geltung und Wirksamkeit unserer gesetzlichen Regelungen zu stärken.“). 3 20. TB LfD Niedersachen 2009/2010, LT-Drucks. 16/4240, S. 27. 4 Z.B. Tätigkeitsbericht LfD Berlin 2011, S. 153 („Bußgeld- sowie Strafverfahren sind daher wichtige Instrumente, um Verstöße gegen Datenschutzvorschriften zu sanktionieren.“). 5 Vgl. TB LfD Berlin 2011, S. 153. 6 20. TB LfD Niedersachen 2009/2010, LT-Drucks. 16/4240, S. 62; TB LfD Berlin 2009, LTDrucks. 16/3377, S. 73 f.; Holländer, RDV 2009, 215 (222). 7 Vgl. z.B. erstmals 22. TB LfD Niedersachsen 2013/2014, S. 84.

Becker

|

933

§ 43 BDSG | Schlussvorschriften fahrens auch dazu, die Bereitwilligkeit eines Unternehmens zu fördern, Verhaltensänderungen vorzunehmen oder entsprechende „Vereinbarungen“ zu treffen1. Auch führen Datenschutzbehörden vermehrt von sich aus Prüfungen und Kontrollen durch oder dann, wenn sie selbst oder durch Eingaben von Einzelpersonen und Unternehmen auf Missstände aufmerksam werden. Insbesondere die bayerische Datenschutzbehörde hat sich diesbezüglich seit der Vorauflage als sehr aktiv gezeigt und setzt u.a. auf automatisierte Prüfungen. Wie u.a. aus ihren Tätigkeitsberichten hervorgeht hat die Behörde bspw. schon 2012 über 13.000 Internetseiten von Anbietern mit Sitz in Bayern in Bezug auf eine ordnungsgemäße Implementierung eines Analysetools für Nutzerverhalten automatisiert geprüft, in vielen Fällen Aufforderungen zum Abstellen von Mängeln verschickt und in einigen Fällen Bußgeldverfahren durchgeführt, bei denen die Unternehmen gemäß § 130 Abs. 1 OWiG wegen Aufsichtspflichtverletzungen in Anspruch genommen wurden2. Rechtsgrundlage war dabei zwar das Telemediengesetz, aber das Vorgehen zeigt auch für den allgemeinen Datenschutz, dass die Behörden gewillt sind, die ihnen zustehenden Instrumentarien zu nutzen. So hat allein die bayerische Behörde in den Jahren 2013/2014 insgesamt über 117 Bußgeldverfahren geführt und dabei in 37 Fällen Bußgelder in einer Gesamthöhe von rund 200 000 Euro verhängt (Einzelwerte wurden nicht berichtet)3. Auch Strafverfahren werden von den Behörden häufig durch Weitergabe der Akten an die zuständige Staatsanwaltschaft eingeleitet. Bspw. in Berlin hat die Datenschutzbehörde in 2015 insgesamt 22 Strafanträge gestellt4. 5 Die EG-Datenschutzrichtlinie überlässt den Mitgliedstaaten die geeignete Sank-

tionierung von Datenschutzverstößen5. Die Art der Sanktionen ist nicht vorgegeben, der deutsche Gesetzgeber hatte insoweit einen weiten Gestaltungsspielraum6. Die Umsetzung in anderen europäischen Ländern ist sehr unterschiedlich erfolgt, die Verhängung von finanziellen Strafen verläuft in den meisten europäischen Ländern jedoch eher moderat7.

1 23. TB LfD Hamburg 2010/2011, LT-Drucks. 20/3570, S. 166 („Nach Einleitung des Bußgeldverfahrens ist es uns in längeren Verhandlungen gelungen, mit [dem Social-MediaAnbieter] eine Vereinbarung zu erzielen, die … zu erheblichen Verbesserungen für den Datenschutz geführt hat.“). 2 6. TB BayLDA 2013/2014, S. 28 ff. 3 6. TB BayLDA 2013/2014, S. 28 ff., 176 ff. 4 TB LfD Berlin 2015, S. 166. 5 Art. 24 der EG-Datenschutzrichtlinie. 6 Vgl. EuGH v. 7.1.2004 – Rs. C-60/02, Slg. 2004, I-651, Rz. 61, 62 m.w.N.; umfassend auch Simitis/Ehmann, § 43 BDSG Rz. 4 ff.; Roßnagel/Bär, Handbuch Datenschutzrecht, Teil 5.7 Rz. 6. 7 Vgl. dazu die Angaben zu den in den Mitgliedstaaten verhängten Strafen im 16. Bericht der Artikel-29-Gruppe für das Jahr 2012, S. 15 ff.

934

|

Becker

Bußgeldvorschriften | § 43 BDSG

II. Täterschaft Dem § 43 liegt der allgemeine Täterbegriff des Ordnungswidrigkeitenrechts zu- 6 grunde. Es gilt der Einheitstäterbegriff, der nicht zwischen Täterschaft, Anstiftung und Beihilfe unterscheidet (§ 14 Abs. 1 Satz 1 OWiG)1. Das unterschiedliche Maß der Beteiligung wird in erster Linie auf der Rechtsfolgenseite bei der Zumessung des Bußgeldes oder im Rahmen des Opportunitätsprinzips (§ 47 Abs. 1 OWiG) berücksichtigt2. Es ist nicht erforderlich, dass der Täter zu einer verantwortlichen Stelle (§ 3 Abs. 7) gehört; beide Absätze des § 43 sind zunächst „Jedermann“-Tatbestände3. Allerdings muss der Täter oder Beteiligte i.S.d. § 14 OWiG die besonderen täterbezogenen Merkmale des jeweiligen Tatbestandes erfüllen (z.B. Zuständigkeit für die Beantwortung von Auskunftsverlangen, § 43 Abs. 1 Nr. 7a i.V.m. § 29 Abs. 6)4. Die Bußgelddrohung richtet sich gegen die natürliche Person, welche die verbotene Handlung (§ 1 Abs. 1 OWiG) vornimmt oder das Gebotene unterlässt (§ 8 OWiG)5. Über die Regelungen des § 30 OWiG bzw. § 130 OWiG haftet ggf. jedoch auch das Unternehmen für die datenschutzrechtliche Ordnungswidrigkeit und unterliegt selbst der Bußgelddrohung, wenn eine betriebsbezogene Pflicht verletzt wurde6. Voraussetzung ist, dass entweder ein Organ oder ein sonstiger Repräsentant der juristischen Person gehandelt hat (§ 30 Abs. 1 OWiG) oder seine Aufsichtspflicht über die Mitarbeiter verletzt hat und hierdurch die Ordnungswidrigkeit ermöglicht wurde (§ 130 Abs. 1 OWiG). In der Praxis zeigt sich, dass es den Behörden nicht so sehr um die Ahndung des Verhaltens einzelner Mitarbeiter geht, sondern darum, Verhaltensänderungen beim Unternehmen als Ganzes herbeizuführen. Bußgeldbescheide richten sich daher häufiger als isolierte Verbandsstrafe gegen das Unternehmen und nicht gegen einzelne Mitarbeiter. Durch eine Gesetzesänderung kann die Verbandsstrafe nunmehr auch gegen einen Rechtsnachfolger des Unternehmens (z.B. im Fall der Umwandlung) verhängt werden (§ 30 Abs. 2a OWiG). Auch hiervon machen die Datenschutzbehörden inzwischen Gebrauch7. Der Datenschutzbeauftragte ist nicht Organ i.S.d. §§ 9, 30 OWiG. Auch eine 7 Haftung des Unternehmens für Fehlverhalten des Datenschutzbeauftragten auf der Grundlage des § 130 OWiG erscheint problematisch, weil es gerade zu den Eigenschaften des betrieblichen Datenschutzbeauftragten gehört, dass er fachlich unabhängig und insoweit weisungsfrei8 ist (§ 4f Abs. 3 Satz 2 BDSG; Art. 18 1 2 3 4 5 6 7 8

Erbs/Kohlhaas/Ambs, Strafrechtliche Nebengesetze, § 43 BDSG Rz. 28. Göhler/Gürtler, OWiG, § 14 Rz. 1, 2; Bohnert, OWiG, § 14 Rz. 1. Gola/Schomerus, § 43 BDSG Rz. 17; Bestmann, K&R 2003, 496 (497). Vgl. OLG Celle v. 14.6.1995 – 2 Ss (OWi) 185/95, RDV 1995, 244 (245); Erbs/Kohlhaas/ Ambs, Strafrechtliche Nebengesetze, § 43 BDSG Rz. 4. Erbs/Kohlhaas/Ambs, Strafrechtliche Nebengesetze, § 43 BDSG Rz. 4. Göhler/Gürtler, OWiG, § 130 Rz. 18; Bohnert, OWiG, § 130 Rz. 25. TB LfD Berlin 2015, S. 166 f. Gola/Schomerus, § 4f BDSG Rz. 48 ff.

Becker

|

935

§ 43 BDSG | Schlussvorschriften Abs. 2 EG-Datenschutzrichtlinie). Umgekehrt kann aber der Datenschutzbeauftragte, wenn er sich zum Komplizen von Datenschutzverstößen macht, selbst „Teilnehmer“ und damit Täter unter dem Einheitstäterbegriff sein1. Die Unterlassungsverantwortlichkeit (§ 8) wirft dabei besondere Fragen auf. Im Hinblick auf die grundlegende Entscheidung BGHSt 54, 44 (Compliance-Verantwortlicher) stellt sich die Frage, unter welchen Voraussetzungen Datenschutzverantwortliche im Unternehmen und insbesondere auch der betriebliche Datenschutzbeauftragte durch Nichteingreifen in die strafrechtliche Verantwortung geraten2. Der Datenschutzbeauftragte ist dabei grundsätzlich „Überwachergarant“, d.h. ihn trifft grundsätzlich eine Einschreitenspflicht, wenn er die Gefahr von Datenschutzverstößen erkennt (vgl. § 4g Abs. 1 Satz 1 – „wirkt auf die Einhaltung hin“)3. Hiervon gelangt man jedoch nicht ohne Weiteres zu einer strafrechtlichen Verantwortlichkeit. Denn die Funktion des Datenschutzbeauftragten ist in erster Linie auf Beratung gerichtet, er soll auf das datenschutzkonforme Vorgehen des Unternehmens „hinwirken“. Ob und wie sich seine Beratung oder bestimmte Hinweise auf die Entscheidungen und Handlungen der Unternehmensleitung oder der zuständigen Verantwortlichen im Unternehmen tatsächlich auswirken und ob sie für einen Verstoß ursächlich werden, wird jedoch häufig im Bereich der Spekulation liegen und daher im Zweifel zur Verneinung einer strafrechtlichen Haftung führen. Die eigene Haftung des Datenschutzbeauftragen wird daher eher als Ausnahme anzusehen sein und vor allem dann eine Rolle spielen, wenn der Datenschutzbeauftragte aktiv und bewusst auf eine gesetzeswidrige Lösung hingewirkt hat. Aber die Diskussion hierzu steht weiterhin am Anfang4.

III. Verfahrensverstöße (Abs. 1) 8 Die Regelungen des § 43 Abs. 1 betreffen Verstöße gegen die im Einzelnen auf-

gezählten Vorschriften, bei denen es sich ganz überwiegend um verfahrensbezogene Regelungen oder formale Anforderungen handelt. Eine Ausnahme bilden insoweit lediglich Nr. 4 und Nr. 6, welche Regelungen mit offenkundig materiellen Gehalt in Bezug nehmen5 (§ 28 Abs. 5 Satz 2 – Zweckbindungsgrundsatz bei der Übermittlung, § 29 Abs. 3 Satz 1 – Aufnahme in Verzeichnisse gegen den erkennbaren Willen des Betroffenen), die aber aus nicht erkennbaren Gründen vom Gesetzgeber als weniger wesentlich angesehen wurden. 1 Marschall, ZD 2014, 66 f.; Simitis/Ehmann, § 43 BDSG Rz. 25, 26; Gola/Schomerus, § 43 BDSG Rz. 17. 2 Vgl. allgemein Göhler/Gürtler, OWiG, § 30 Rz. 14 m.w.N.; speziell zum Datenschutzbeauftragten umfassend Barton, RDV 2010, 247 ff. 3 Barton, RDV 2010, 247 (248, 252). 4 Vgl. Marschall, ZD 2014, 66 f.; Bongers/Krupna, ZD 2013, 594 (597 ff.). 5 So zu Recht Simitis/Ehmann, § 43 BDSG Rz. 30.

936

|

Becker

Bußgeldvorschriften | § 43 BDSG

Eine großer Teil der Tatbestände des § 43 Abs. 2 ist erst durch die drei BDSG- 9 Novellen aus 2009 in das Gesetz gelangt (Nr. 2a, 2b, 3a, 4a, 7a, 7b, 8a, 8c)1. Insoweit ist das Rückwirkungsverbot zu beachten (vgl. §§ 3, 4 OWiG), sofern mit Blick auf die dreijährige Verjährung (s. Rz. 19) ältere Fälle noch Gegenstand von Verfahren werden könnten. Relevant ist das Rückwirkungsverbot auch dort, wo alte Sachverhalte bis in die Gegenwart andauern. Dies ist etwa der Fall im Hinblick auf die Einhaltung des geänderten § 11 bei Auftragserteilungen vor dem 1.9.2009. Für Altverträge kommt eine Anwendung des § 43 Abs. 1 Nr. 2b nicht in Betracht (Komm. zu § 11 BDSG Rz. 19)2, auch wenn die Vertragsparteien nicht gehindert sind, den geänderten Anforderungen durch Vertragsanpassung freiwillig nachzukommen. Ebenfalls keine Rückwirkung entfaltet § 43 Abs. 1 Nr. 3 soweit er sich auf die geänderte Fassung des § 28 Abs. 4 Satz 2 bezieht, der seit der Novelle v. 14.8.2009 bzw. dem Ablauf der Übergangsfrist (§ 47) verlangt, dass auch bei Begründung des rechtsgeschäftlichen oder rechtsgeschäftsähnlichen Schuldverhältnisses auf das Widerspruchsrecht gemäß § 28 Abs. 4 Satz 1 hinzuweisen ist. Dies lässt sich bei vor dem Inkrafttreten der Regelung begründeten Schuldverhältnissen naturgemäß nicht mehr nachholen. Im Übrigen kommt es für die Anwendung des § 43 Abs. 1 auf die in Bezug ge- 10 nommenen Regelungen an. § 43 Abs. 1 enthält insoweit Blankett-Tatbestände3. Auf die jeweilige Kommentierung wird verwiesen4.

IV. Materiell-rechtliche Verstöße (Abs. 2) Die Regelungen des § 43 Abs. 2 nehmen die verschiedenen materiell-rechtlichen 11 Bestimmungen des BDSG in Bezug. Zugleich sind die Tatbestände des § 43 Abs. 2 Anknüpfungspunkt für die Strafandrohung des § 44. Die Verwendung des Merkmals „unbefugt“ in Nr. 1, 2 oder 3 gibt lediglich das allgemeine Deliktsmerkmal wieder. Daten, die „allgemein zugänglich sind“, sind gemäß der Definition des § 10 Abs. 5 Satz 2 solche, die jedermann sei es ohne oder nach vorheriger Anmeldung in offenen Datenbanken zur Verfügung stehen (dazu Komm. zu § 10 BDSG Rz. 32; § 28 BDSG Rz. 76 ff.). Der Begriff ist jedoch in § 43 Abs. 2 weiter zu verstehen. Ein Verstoß scheidet auch bei sonstigen offenkundigen Daten aus5. 1 Zu den einzelnen Tatbeständen umfassend Holländer, RDV 2009, 215 (216 ff.). 2 Gola/Schomerus, § 11 BDSG Rz. 28; § 43 BDSG Rz. 6b. 3 Roßnagel/Bär, Handbuch Datenschutzrecht, Teil 5.7 Rz. 6; s.a. Göhler/Gürtler, OWiG, Vor § 1 Rz. 17. 4 Vgl. auch Erbs/Kohlhaas/Ambs, Strafrechtliche Nebengesetze, § 43 BDSG Rz. 5 ff.; Simitis/Ehmann, § 43 BDSG Rz. 32 ff.; Gola/Schomerus, § 43 BDSG Rz. 4 ff. 5 BGH v. 22.6.2000 – 5 StR 268/99, NStZ 2000, 596; BayObLG v. 18.1.1999 – 5 St RR 173-98, RDV 1999, 124; OLG Hamburg v. 22.1.1998 – I-4/98, RDV 1998, 216 (217); dazu Weichert, NStZ 1999, 490; vgl. zur „Offenkundigkeit“ Pätzel, NJW 1999, 3246.

Becker

|

937

§ 43 BDSG | Schlussvorschriften Sind solche allgemein zugänglichen oder offenkundigen Daten Gegenstand der Taten in Nr. 1–4 entfällt der strafwürdige Unwertgehalt. 12 Auch für die Anwendung des § 43 Abs. 2 kommt es auf die jeweils in Bezug ge-

nommen Regelungen an, auf deren Kommentierung verwiesen wird1.

V. Rechtswidrigkeit und Schuld (Vorsatz, Fahrlässigkeit) 13 Ein Verstoß gegen die in § 43 Abs. 1, 2 festgelegten Tatbestände indiziert die

Rechtswidrigkeit. Das Merkmal „unbefugt“ in Abs. 2 Nr. 1, 2 oder 3 gibt lediglich das allgemeine Deliktsmerkmal der Rechtswidrigkeit wieder (s. Rz. 11). Die allgemeinen Grundsätze des Ordnungswidrigkeiten- und des Strafrechts zum Notstand und zur Notwehr sind anwendbar (§§ 15, 16 OWiG; §§ 32, 34 StGB), dürften aber kaum praktisch werden. Auch sonstige Befugnisnormen außerhalb des BDSG können die Tatbestandlichkeit eines Verstoßes entfallen lassen2.

14 Die Ordnungswidrigkeiten gemäß § 43 Abs. 1 und 2 können vorsätzlich oder

fahrlässig begangen werden. Ähnlich wie im Rahmen der Schadensersatzhaftung (Komm. zu § 7 BDSG Rz. 18) stellt sich die Frage, welche Auswirkungen es für die Frage des Vorsatzes oder der Fahrlässigkeit bzw. des Vorliegens eines Verbotsirrtums (§ 11 Abs. 2 OWiG) hat, wenn der betriebliche Datenschutzbeauftragte im Rahmen seiner Hinzuziehung zu dem Ergebnis gekommen ist, dass z.B. eine Auftragsdatenverarbeitung ordnungsgemäß beauftragt ist (§ 43 Abs. 1 Nr. 2b i.V.m. § 11 Abs. 2 Satz 2) oder die Übermittlung an einen Dritten befugt ist (§ 43 Abs. 2 Nr. 1 i.V.m. § 28 Abs. 1 Satz 1). Auch in Bezug auf die Vorschriften der §§ 43, 44 gehört es richtigerweise zur Konzeption des BDSG, dass dem betrieblichen Datenschutzbeauftragten und seinem Rat eine besondere Rolle im Rahmen der Richtigkeitskontrolle zukommt und die nach bestem Gewissen erteilte Zustimmung oder Freigabe entlastend wirken müsste. Soweit ersichtlich hat diese Frage in behördlichen Entscheidungen bisher keine Rolle gespielt. Dies vielleicht nicht zuletzt deshalb, weil in den Fällen ahndungswürdiger Verstöße ein betrieblicher Datenschutzbeauftragter gar nicht involviert war. In der Praxis der Unternehmen stellt sich die Frage jedoch häufig und sollte dahin zu beantworten sein, dass sich die Mitarbeiter eines Unternehmens auch im Rahmen der §§ 43, 44 auf die positive Stellungnahme des Datenschutzbeauftragten verlassen können, wenn dieser auf der Grundlage angemessener Informationen einen Sachverhalt geprüft hat3. 1 Vgl. auch Erbs/Kohlhaas/Ambs, Strafrechtliche Nebengesetze, § 43 BDSG Rz. 19 ff.; Simitis/Ehmann, § 43 BDSG Rz. 53 ff.; Gola/Schomerus, § 43 BDSG Rz. 19 ff. 2 S. AG Tiergarten v. 5.10.2006 – 317 OWi 3235/05, NJW Spezial 2007, 47 = DSB 2007, 19 (Zulässigkeit der Auskunftsverweigerung durch Rechtsanwalt unter Berufung auf Anwaltsgeheimnis). 3 Vgl. allgemein zur Problematik Göhler/Gürtler, OWiG, § 11 Rz. 23 ff., 26b.

938

|

Becker

Bußgeldvorschriften | § 43 BDSG

VI. Verfahren, Bußgeld Zuständig für die Verfolgung ist mangels gesetzlicher Regelungen im BDSG das 15 fachlich zuständige Bundesministerium des Innern im Fall der Ausführung des Gesetzes durch die Bundesbehörden (§ 36 Abs. 1 Nr. 2b OWiG). Für nicht-öffentliche Stellen, d.h. vor allem für die privaten Unternehmen, ist jeweils die oberste Landesbehörde zuständig (§ 36 Abs. 1 Nr. 2a OWiG). Die Länder haben durchgängig davon Gebrauch gemacht, die Zuständigkeit auf die nach dem BDSG zuständigen Aufsichtsbehörden zu übertragen (§ 36 Abs. 2 Satz 1 OWiG i.V.m. § 38 BDSG)1. Zuständig für die Verhängung von Bußgeldern gegenüber Unternehmen sind mithin zumeist die Landesdatenschutzbeauftragten. Die örtliche Zuständigkeit ist nach § 37 OWiG zu bestimmen. Da „Tatort“ in der Regel der Sitz des Unternehmens ist, wird ein Verfahren zumeist vom Landesdatenschutzbeauftragten am Sitz des Unternehmens geführt. Bei Betroffenheit mehrerer Länder koordinieren sich die Landesdatenschutzbehörden2. Die Verfolgung von datenschutzrechtlichen Ordnungswidrigkeiten unterliegt 16 dem allgemeinen Opportunitätsprinzip (§ 47 OWiG). Die zuständige Behörde kann ein Bußgeld verhängen, muss dies jedoch nicht (dazu Rz. 4). Die Behörden machen von diesem Ermessen häufig auch zugunsten von Unternehmen Gebrauch, allerdings in der Regel nur, wenn sie sich kooperativ zeigen und aufgedeckte Verstöße kurzfristig beseitigen. Vor Erlass eines Bußgeldbescheides ist der Betroffene anzuhören (§ 54 OWiG) und kann Akteneinsicht verlangen (§ 49 Abs. 1 OWiG). Ergeht ein Bußgeldbescheid (§ 66 OWiG) ist hiergegen innerhalb von zwei Wochen nach Zugang der Einspruch zulässig (§§ 67 ff. OWiG). Die Höhe der Geldbuße ist bei den vorsätzlichen Verfahrensverstößen gemäß 17 § 43 Abs. 1 auf 50 000 Euro begrenzt (§ 43 Abs. 3 Satz 1) und bei vorsätzlichen materiell-rechtlichen Verstößen des § 43 Abs. 2 auf 300 000 Euro (§ 43 Abs. 3 Satz 2). Im Falle fahrlässiger Begehung halbieren sich diese Höchstgrenzen (§ 17 Abs. 2 OWiG). Die Begrenzung gilt je Tat, mehrere Geldbußen können aber zusammentreffen; dabei findet keine Gesamtstrafenbildung wie bei § 53 StGB statt, sondern es gilt das Kumulationsprinzip (§ 20 OWiG)3. Bußgelder im unteren fünfstelligen Bereich sind weiterhin eher die Regel4. Höhere Bußgelder sind eher 1 Vgl. z.B. für Nordrhein-Westfalen § 34 Abs. 3(b) DSG NRW; anders immer noch in Baden-Württemberg wegen angeblich verfassungsrechtlicher Bedenken – kritisch dazu der Landesdatenschutzbeauftragte, 32. TB LfD BW 2013/2014, S. 28. 2 Vgl. zum Fall einer Discounter-Kette: 15. TB NÖB Brandenburg 2008/2009, LT-Drucks. 5/1803, S. 23 f.; 9. TB LfD Mecklenburg-Vorpommern 2008/2009, LT-Drucks. 5/3844, S. 113 f. 3 Zum Ganzen Göhler/Gürtler, OWiG, Vor § 19 Rz. 1 ff., § 19 Rz. 2, § 20 Rz. 2. 4 Vgl. z.B. 38. TB LfD Bremen 2015, S. 80 f.; 25. TB LfD Hamburg 2014/2015, S. 258; 43. TB LfD Hessen 2014, S. 148; 22. TB LfD Niedersachen 2013/2014, S. 84; vgl. auch AG Bremerhaven, RDV 1987, 91 (92) (Beispiel einer Bagatellverurteilung).

Becker

|

939

§ 43 BDSG | Schlussvorschriften selten, mit medienwirksamen Ausnahmen in Fällen lange andauernder oder systematischer Verstöße durch große Unternehmen. Die aus den Medien bekannten Fälle schöpfen den Bußgeldrahmen weitgehend aus und kommen durch Kumulation mehrerer Bußgelder zu erheblichen Beträgen: ca. 1,1 Mio. Euro gegenüber der Deutschen Bahn (mehrere unzulässiger Mitarbeiter-Screenings)1; zwischen 10 000 und 310 000 Euro (insgesamt ca. 1,46 Mio. Euro) für 35 Gesellschaften einer Discounter-Kette (unzulässige Videoüber- und Detektivüberwachung von Mitarbeitern)2; insgesamt 137 000 Euro für zwei Unternehmen einer Drogeriekette (unzulässige Mitarbeiterkartei)3; 300 000 Euro für eine Auskunftei (beharrlicher Verstoß gegen Meldepflicht)4; 200 000 Euro für eine Sparkasse (unzulässige Zugriffe auf Kundendaten durch Außendienstmitarbeiter)5; 120 000 Euro für eine Bank (unzulässige Zugriffe auf Kundendaten durch Handelsvertreter)6; 80 000 Euro für einen großen Fleischverarbeiter (unzulässige Videoüberwachung von Mitarbeitern, teils in Sozialräumen)7; 60 000 Euro für einen Zahlungsdienstleister (unzulässige Weitergabe von Zahlungsdaten an Schwesterunternehmen)8. Seit der Vorauflage gab es weniger spektakuläre Fälle, aber der Trend zu durchaus empfindlichen Bußgeldern ist geblieben: 1 300 000 Euro für Datenschutzverstöße im Vertrieb eines Versicherungsunternehmens9; 145 000 Euro für WLANScanning durch Kamera-Fahrzeuge (Google Street View)10; 50 000 Euro für mangelnde vertragliche Regelung einer Auftragsdatenverarbeitung11; 54 000 Euro wegen unzulässiger Videoüberwachung bei einer Tankstellenkette12. Bei der Bemessung der Geldbuße gegen das Unternehmen wirkt es sich im Allgemeinen positiv aus, wenn sich der betreffende Täter bzw. das Unternehmen gegenüber der Behörde kooperativ verhalten, zur Aufklärung der Umstände beitragen und sich um eine schnellstmögliche Abstellung der Datenschutzverstöße sowie Folgenbeseitigung bemühen13. Im Übrigen kommt es darauf an, ob es sich um einen formellen oder materiellen Verstoß handelt, wie groß das Ausmaß der Verletzung ist (Anzahl der Betroffenen, mögliche Folgen für die Betroffenen), ob es 1 TB LfD Berlin 2009, LT-Drucks. 16/3377, S. 118 ff.; 23. TB BfDI Bund 2009/10, BTDrucks. 17/5200, S. 134 f. 2 15. TB NÖB Brandenburg 2008/2009, LT-Drucks. 5/1803, S. 23 f.; 9. TB LfD Mecklenburg-Vorpommern 2008/2009, LT-Drucks. 5/3844, S. 113 f. 3 Vgl. Simitis/Ehmann, § 43 BDSG Rz. 84. 4 32. TB LfD Bremen 2009, LT-Drucks. 17/1240, S. 76. 5 23. TB LfD Hamburg 2010/2011, LT-Drucks. 20/3570, S. 185. 6 20. TB LfD NRW 2009/2010, Landtags-Vorlage 15/615, S. 30. 7 19. TB LfD NRW 2008, Landtags-Vorlage 14/2440, S. 108. 8 Pressemitteilung LfD NRW v. 12.9.2011. 9 Pressemitteilung LfD Rheinland-Pfalz v. 29.12.2014. 10 24. TB LfD Hamburg 2012/2013, S. 190 f. 11 Pressemitteilung LfD Bayern v. 20.8.2015. 12 22. TB LfD NRW 2015, S. 66 f. 13 Vgl. z.B. 23. TB LfD Hamburg 2010/2011, LT-Drucks. 20/3570, S. 187.

940

|

Becker

Bußgeldvorschriften | § 43 BDSG

sich um einen Einzelfall oder eine Wiederholungstat handelt, wie die wirtschaftlichen Verhältnisse der beschuldigten Stelle sind und ob sich die beschuldigte Stelle einsichtig zeigt1. Das BDSG sieht außerdem in Entsprechung zu § 17 OWiG eine Gewinn- 18 abschöpfung vor, die zu einem Überschreiten der grundsätzlichen Höchstbeträge führen kann (§ 43 Abs. 3 Satz 2, 3). In der Praxis scheint die Regelung bisher keinerlei Rolle zu spielen, obwohl sich gerade in Fällen unzulässiger Kommerzialisierung von personenbezogenen Daten die Gewinnabschöpfung geradezu aufdrängt. Das Verhältnis der Regelung zur Gewinnabschöpfung gemäß § 17 Abs. 4 OWiG ist unklar. Richtigerweise kann es sich nur um eine klarstellende Wiederholung handeln, die entbehrlich gewesen wäre und die Anwendung des § 17 Abs. 4 nur bestätigt, aber nicht verdrängt. Dementsprechend bestehen auch keine Bedenken gegen die Anwendung der Gewinnabschöpfung im Rahmen einer Verbandsstrafe für datenschutzrechtliche Delikte gemäß §§ 30 Abs. 3, 17 Abs. 4 OWiG. Ebenso ist auch § 18 OWiG zu etwaigen Zahlungserleichterungen anwendbar. Der abzuschöpfende wirtschaftliche Vorteil umfasst nicht nur in Geld bestehende Vorteile, sondern auch andere messbare Vorteile, z.B. die Verbesserung der Marktsituation, Kosteneinsparungen etc.2. Ein Schätzung der Vorteile ist zulässig3. Zulässig ist in diesem Zusammenhang auch eine isolierte Verbandsstrafe (§ 30 Abs. 4 Satz 1 OWiG), mit der der Gewinn beim Unternehmen abgeschöpft wird. Insoweit kann ein Bußgeldbescheid auch dann gegen die verantwortliche juristische Person ergeben, wenn der verantwortliche Mitarbeiter oder Beteiligte (§ 14 OWiG) bzw. die verantwortliche Aufsichtsperson (§ 130 OWiG) nicht benannt werden kann, aber die Tat als tatsächlicher Vorgang zweifelsfrei zu beschreiben ist und die Betriebsbezogenheit der Pflichtverletzung feststeht (sog. anonyme Verbandsgeldbuße)4. Ordnungswidrigkeiten nach § 43 verjähren sowohl bei vorsätzlicher als auch bei 19 fahrlässiger Begehung drei Jahre nach Begehung der Tat, weil in beiden Begehungsformen die Bußgeldandrohung über 15 000 Euro liegt (§ 31 Abs. 2 Nr. 1, Abs. 3 i.V.m. § 17 Abs. 2 OWiG).

1 2 3 4

20. TB LfD Niedersachen 2009/2010, LT-Drucks. 16/4240, S. 62. Göhler/Gürtler, OWiG, 16. Aufl. 2012, § 17 Rz. 40. Göhler/Gürtler, OWiG, 16. Aufl. 2012, § 17 Rz. 45. Müller-Gugenberger/Bieneck/Schmid, Wirtschaftsstrafrecht, § 30 Rz. 192 ff.; Göhler/ Seitz, OWiG, § 66 Rz. 47.

Becker

|

941

§ 44 BDSG | Schlussvorschriften

§ 44 Strafvorschriften (1) Wer eine in § 43 Abs. 2 bezeichnete vorsätzliche Handlung gegen Entgelt oder in der Absicht, sich oder einen anderen zu bereichern oder einen anderen zu schädigen, begeht, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft. (2) 1Die Tat wird nur auf Antrag verfolgt. 2Antragsberechtigt sind der Betroffene, die verantwortliche Stelle, die oder der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit und die Aufsichtsbehörde. I. Einführung . . . . . . . . . . . . . . . II. Tatbestandsmerkmale . . . . . . . III. Vorsatz . . . . . . . . . . . . . . . . . .

1 2 4

IV. Strafantrag, Zuständigkeit, Verjährung . . . . . . . . . . . . . . .

5

Schrifttum: Siehe Schrifttum zu § 43 BDSG.

I. Einführung 1 Die Regelung knüpft an die Bußgeldtatbestände des § 43 Abs. 2 an und erhebt

sie zu Straftaten, wenn die weiteren Voraussetzungen des § 44 Abs. 1 vorliegen. Es handelt sich insoweit um eine Qualifikation des § 43 Abs. 2 (unechter Mischtatbestand). Hinsichtlich der Anwendung des § 43 Abs. 2 wird auch die Komm. zu § 43 BDSG verwiesen (s. insbesondere Komm. zu § 43 BDSG Rz. 11 f.). Die Strafandrohung beträgt Freiheitsstrafe bis zu zwei Jahre oder Geldstrafe. Es handelt sich mithin um ein Vergehen (§ 12 Abs. 2 StGB), der Versuch ist deshalb mangels ausdrücklicher Anordnung durch das Gesetz nicht strafbar (§ 23 Abs. 1 StGB). Hinsichtlich der Verbandshaftung gemäß §§ 30, 130 OWiG gelten die Ausführungen zu § 43 weitgehend entsprechend (Komm. zu § 43 BDSG Rz. 17).

II. Tatbestandsmerkmale 2 Zur Verwirklichung der Tatbestandsmerkmale des § 43 Abs. 2 hinzutreten muss,

dass der Täter gegen Entgelt oder in Bereicherungs- bzw. Schädigungsabsicht handelt. Der Begriff des Entgelts ist in § 11 Abs. 1 Nr. 9 StGB näher bestimmt und bedeutet „jede in einem Vermögensvorteil bestehende Gegenleistung“. Das Vorliegen einer „Gegenleistung“ setzt eine entsprechende Vereinbarung voraus; auf das tatsächliche Gewähren der Gegenleistung kommt es nicht an1. Ausrei1 Gola/Schomerus, § 44 BDSG Rz. 5; Simitis/Ehmann, § 44 BDSG Rz. 5; Wybitul/Reuling, CR 2010, 829 (831).

942

|

Becker

Strafvorschriften | § 44 BDSG

chend ist im Übrigen Drittbereicherungsabsicht (vgl. Wortlaut des § 44 Abs. 1: „sich oder einen anderen“). Fraglich ist dabei, in welcher Beziehung das Entgelt zur Tat stehen muss. So soll nach verbreiteter Auffassung in der Literatur z.B. der Arbeitslohn, den ein Mitarbeiter erhält, kein Lohn für den von ihm bei seiner Tätigkeit begangenen Datenschutzverstoß sein, sondern der allgemeinen Abgeltung seiner Arbeitsleistung dienen1. Nach der jüngsten Rechtsprechung des BGH genügt es demgegenüber für die Entgeltlichkeit bspw., wenn ein Privatdetektiv für die Observation eines Dritten, bei der rechtswidrig GPS-Daten erhoben werden, ein Honorar erhält2. Im selben Fall soll es für die Drittbereicherungsabsicht des mitwirkenden angestellten Privatdetektivs genügen, dass dieser für seinen Arbeitgeber tätig wird, der wiederum vom Auftraggeber entlohnt wird3. Diese Auffassung hat offenkundig große Bedeutung für sämtliche Datenschutzverstöße, die im Rahmen eines Arbeits- oder Dienstleistungsverhältnisses begangen werden und letztlich dem Vorteil des Arbeitgebers dienen. Während das Merkmal der Schädigungsabsicht durch seine überschießende In- 3 nentendenz und dem negativen Gehalt des Erfolges eine gewisse Begrenzung auf strafwürdiges Verhalten beinhaltet4, führt die Qualifikation des § 43 Abs. 2 durch die Merkmale der „Entgeltlichkeit“ oder der „Bereicherungsabsicht“ in der Unternehmenspraxis zu erheblichen Zweifelsfragen. Versteht man die Regelung mit der jüngsten BGH-Rechtsprechung5 weit, führt praktisch jeder Verstoß gegen § 43 Abs. 2 im Unternehmen zu einem Strafbarkeitsrisiko. Denn in einem weiteren Sinne sind das Unternehmen und seine Mitarbeiter „entgeltlich“ oder „in Bereicherungsabsicht“ tätig, weil ihre Tätigkeit naturgemäß auf das Erwirtschaften von Gewinnen ausgerichtet ist. Die sich daraus ergebenden Folge einer „per se“-Strafbarkeit der im Unternehmen begangenen Datenschutzverstöße erscheint aber schon deshalb unangemessen, weil der Normzweck des § 44 darin gesehen wird, eine erhöhte kriminelle Energie zu ahnden, die in der Erfüllung der Merkmale zum Ausdruck kommen soll6. Da das BDSG jedoch mit den nicht-öffentlichen Stellen7 (§ 2 Abs. 4 Satz 1) unter Ausklammerung der persönlichen und familiären Tätigkeiten (§ 1 Abs. 2 Nr. 3) in aller erster Linie den unternehmerischen Verkehr anspricht, ist die Erfüllung des Merkmals eher der Regelfall als Ausdruck einer besonderen kriminellen Energie. Es erscheint daher angebracht, die Merkmale der „Entgeltlichkeit“ und der „Bereicherungsabsicht“ in der Weise eng auszulegen, dass zwischen dem inkriminierten Verhalten und der „Entgeltlichkeit“ bzw. der „Bereicherungsabsicht“ eine unmittelbare Verbin1 2 3 4 5 6 7

Cornelius, NJW 2013, 3340 (3341); Wybitul/Reuling, CR 2010, 829 (831). BGH v. 4.6.2013 – 1 StR 32/13, BGHSt 58, 268 = DuD 2013, 666. BGH v. 4.6.2013 – 1 StR 32/13, BGHSt 58, 268 = DuD 2013, 666. Vgl. Wybitul/Reuling, CR 2010, 829 (831 f.). BGH v. 4.6.2013 – 1 StR 32/13, BGHSt 58, 268 = DuD 2013, 666. Simitis/Ehmann, § 44 BDSG Rz. 1; Bestmann, K&R 2003, 496 (497). Zur Auslegung des Begriffs Simitis/Ehmann, § 2 BDSG Rz. 115 ff.

Becker

|

943

§ 44 BDSG | Schlussvorschriften dung zu verlangen ist1, wie sie etwa beim unbefugten Verkauf von Kundendaten gegeben ist, nicht aber beim einmaligen rechtswidrigen Abruf einer Kreditauskunft aufgrund eines Abwägungsfehlers im Einzelfall2. So erscheint zwar die Entscheidung des BGH3 im o.g. Fall des Privatdetektivs im Ergebnis durchaus zutreffend, weil jedenfalls einzelne Aufträge von Anfang an in der von den Kunden gewollten Form nur unter Verstoß gegen den Datenschutz durchzuführen waren und sich der Privatdetektiv und sein Mitarbeiter hierüber einfach aus Gewinninteresse hinweggesetzt haben – statt einen solchen Auftrag gänzlich abzulehnen. Eine einfache Übertragung der Entscheidung auf jeden Datenschutzverstoß, der durch einen Mitarbeiter begangen wird, würde jedoch dem Normzweck des Qualifikationstatbestands nicht gerecht.

III. Vorsatz 4 Eine Strafbarkeit gemäß § 44 setzt eine Vorsatztat voraus. D.h. der Täter muss

die maßgeblichen Umstände kennen, aus denen sich die Verwirklichung der jeweiligen Tatbestandsmerkmale ergibt. Die „Bereicherungsabsicht“ bzw. die „Schädigungsabsicht“ setzen ferner eine überschießende Innentendenz voraus, die über den bloßen bedingten Vorsatz hinausgeht4.

IV. Strafantrag, Zuständigkeit, Verjährung 5 Verstöße gemäß § 44 Abs. 1 werden nur auf Antrag verfolgt (§ 44 Abs. 2 Satz 1).

Das Fehlen des Strafantrags begründet ein Verfahrenshindernis5. Das Strafantragsrecht steht nicht nur dem Betroffenen (§ 3 Abs. 1) und der verantwortlichen Stelle zu (§ 3 Abs. 7), sondern wird auch im öffentlichen Interesse der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit und der gemäß § 38 oder sonstigen Vorschriften zuständigen Aufsichtsbehörde eingeräumt (§ 44 Abs. 2)6. Die Antragsfrist beträgt gemäß § 77b Abs. 1, 2 StGB drei Monate ab Kenntnis von der Tat und dem Täter. Ein eigenes Tätigwerden der Staatsanwaltschaft ohne einen solchen Antrag ist ausgeschlossen. 1 A.A. Simitis/Ehmann, § 44 BDSG Rz. 6, der auch einen „mittelbaren“ Vermögensvorteil genügen lassen will; s.a. Erbs/Kohlhaas/Ambs, Strafrechtliche Nebengesetze, § 44 BDSG Rz. 2. 2 Vgl. auch die Fälle bei Simitis/Ehmann, § 43 BDSG Rz. 57, die alle offenbar nur Gegenstand von Bußgeldverfahren, aber nicht von Strafverfahren waren. 3 BGH v. 4.6.2013 – 1 StR 32/13, BGHSt 58, 268 = DuD 2013, 666. 4 Vgl. Gola/Schomerus, § 44 BDSG Rz. 7; enger Simitis/Ehmann, § 44 BDSG Rz. 7. 5 BGH v. 22.6.2000 – 5 StR 268/99, NStZ 2000, 596. 6 Für die Ausweitung auf eine Verfolgbarkeit von Amts wegen: Konferenz der Datenschutzbeauftragten des Bundes und der Länder, Ein modernes Datenschutzrecht für das 21. Jahrhundert, Eckpunkte v. 18.3.2010, BT-Drucks. 17/5200, S. 196, 203.

944

|

Becker

Laufende Verwendungen | § 45 BDSG

Für die Verfolgung einer Straftat nach § 44 ist die Staatsanwaltschaft zuständig. 6 Ergibt sich der Verdacht im Laufe der Prüfungen durch die Landesdatenschutzbehörde, gibt diese das Verfahren an die Staatsanwaltschaft insoweit ab (§ 41 Abs. 1 OWiG). Die Straftat wird vorrangig verfolgt und verdrängt die im Rahmen derselben prozessualen Tat begangenen Ordnungswidrigkeiten (§ 21 Abs. 1 OWiG). Die Straftat des § 44 kann insbesondere in Konkurrenz zu den allgemeinen Vertraulichkeits- und Computerdelikten stehen (§§ 202a, 203, 263a StGB)1. Die Tat verjährt fünf Jahre nach Vollendung bzw. dem Eintritt des Taterfolges 7 (§§ 78 Abs. 3 Nr. 4, 78a StGB).

Sechster Abschnitt Übergangsvorschriften

§ 45 Laufende Verwendungen 1Erhebungen,

Verarbeitungen oder Nutzungen personenbezogener Daten, die am 23.5.2001 bereits begonnen haben, sind binnen drei Jahren nach diesem Zeitpunkt mit den Vorschriften dieses Gesetzes in Übereinstimmung zu bringen. 2Soweit Vorschriften dieses Gesetzes in Rechtsvorschriften außerhalb des Anwendungsbereichs der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24.10.1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr zur Anwendung gelangen, sind Erhebungen, Verarbeitungen oder Nutzungen personenbezogener Daten, die am 23.5.2001 bereits begonnen haben, binnen fünf Jahren nach diesem Zeitpunkt mit den Vorschriften dieses Gesetzes in Übereinstimmung zu bringen. Schrifttum: Schneider, Die Übergangsregelungen des neuen BDSG, DuD 2002, 717.

Die Regelung ist durch Zeitablauf gegenstandslos geworden. Seit dem 23.5.2006 1 unterliegen alle relevanten Datenverarbeitungsvorgänge dem BDSG, auch soweit sie am 23.5.2001 bereits begonnen waren2.

1 Zu Konkurrenzen vgl. Erbs/Kohlhaas/Ambs, Strafrechtliche Nebengesetze, § 44 BDSG Rz. 4; Binder, RDV 1995, 116 (119 ff.) (zur Vorgängerbestimmung des § 44). 2 Eine Kommentierung der Vorschrift enthält bis zur 6. Auflage Simitis/Dammann, BDSG, 6. Aufl. 2006, § 45; s.a. Schneider, DuD 2002, 717.

Becker

|

945

Laufende Verwendungen | § 45 BDSG

Für die Verfolgung einer Straftat nach § 44 ist die Staatsanwaltschaft zuständig. 6 Ergibt sich der Verdacht im Laufe der Prüfungen durch die Landesdatenschutzbehörde, gibt diese das Verfahren an die Staatsanwaltschaft insoweit ab (§ 41 Abs. 1 OWiG). Die Straftat wird vorrangig verfolgt und verdrängt die im Rahmen derselben prozessualen Tat begangenen Ordnungswidrigkeiten (§ 21 Abs. 1 OWiG). Die Straftat des § 44 kann insbesondere in Konkurrenz zu den allgemeinen Vertraulichkeits- und Computerdelikten stehen (§§ 202a, 203, 263a StGB)1. Die Tat verjährt fünf Jahre nach Vollendung bzw. dem Eintritt des Taterfolges 7 (§§ 78 Abs. 3 Nr. 4, 78a StGB).

Sechster Abschnitt Übergangsvorschriften

§ 45 Laufende Verwendungen 1Erhebungen,

Verarbeitungen oder Nutzungen personenbezogener Daten, die am 23.5.2001 bereits begonnen haben, sind binnen drei Jahren nach diesem Zeitpunkt mit den Vorschriften dieses Gesetzes in Übereinstimmung zu bringen. 2Soweit Vorschriften dieses Gesetzes in Rechtsvorschriften außerhalb des Anwendungsbereichs der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24.10.1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr zur Anwendung gelangen, sind Erhebungen, Verarbeitungen oder Nutzungen personenbezogener Daten, die am 23.5.2001 bereits begonnen haben, binnen fünf Jahren nach diesem Zeitpunkt mit den Vorschriften dieses Gesetzes in Übereinstimmung zu bringen. Schrifttum: Schneider, Die Übergangsregelungen des neuen BDSG, DuD 2002, 717.

Die Regelung ist durch Zeitablauf gegenstandslos geworden. Seit dem 23.5.2006 1 unterliegen alle relevanten Datenverarbeitungsvorgänge dem BDSG, auch soweit sie am 23.5.2001 bereits begonnen waren2.

1 Zu Konkurrenzen vgl. Erbs/Kohlhaas/Ambs, Strafrechtliche Nebengesetze, § 44 BDSG Rz. 4; Binder, RDV 1995, 116 (119 ff.) (zur Vorgängerbestimmung des § 44). 2 Eine Kommentierung der Vorschrift enthält bis zur 6. Auflage Simitis/Dammann, BDSG, 6. Aufl. 2006, § 45; s.a. Schneider, DuD 2002, 717.

Becker

|

945

§ 46 BDSG | Übergangsvorschriften

§ 46 Weitergeltung von Begriffsbestimmungen (1) 1Wird in besonderen Rechtsvorschriften des Bundes der Begriff Datei verwendet, ist Datei 1. eine Sammlung personenbezogener Daten, die durch automatisierte Verfahren nach bestimmten Merkmalen ausgewertet werden kann (automatisierte Datei), oder 2. jede sonstige Sammlung personenbezogener Daten, die gleichartig aufgebaut ist und nach bestimmten Merkmalen geordnet, umgeordnet und ausgewertet werden kann (nicht automatisierte Datei). 2Nicht hierzu gehören Akten und Aktensammlungen, es sei denn, dass sie durch automatisierte Verfahren umgeordnet und ausgewertet werden können. (2) 1Wird in besonderen Rechtsvorschriften des Bundes der Begriff Akte verwendet, ist Akte jede amtlichen oder dienstlichen Zwecken dienende Unterlage, die nicht dem Dateibegriff des Absatzes 1 unterfällt; dazu zählen auch Bild- und Tonträger. 2Nicht hierunter fallen Vorentwürfe und Notizen, die nicht Bestandteil eines Vorgangs werden sollen. (3) 1Wird in besonderen Rechtsvorschriften des Bundes der Begriff Empfänger verwendet, ist Empfänger jede Person oder Stelle außerhalb der verantwortlichen Stelle. 2Empfänger sind nicht der Betroffene sowie Personen und Stellen, die im Inland, in einem anderen Mitgliedstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum personenbezogene Daten im Auftrag erheben, verarbeiten oder nutzen. Schrifttum: Haslach, Unmittelbare Anwendung der EG-Datenschutzrichtlinie, DuD 1998, 693; Ramm, § 46 BDSG – Eine Übergangsvorschrift?, DuD 2007, 431.

1 Bis 2001 enthielt das BDSG in § 3 Abs. 2 a.F. eine Definition der „Datei“ und in

§ 3 Abs. 3 eine Definition der „Akte“. „Empfänger“ waren in § 5 Abs. 3 Satz 2 Nr. 3 a.F. definiert. Diese Begriffsbestimmungen wurden im Zuge der Novelle von 2001 (Gesetz v. 18.5.2001, BGBl. I Nr. 23, S. 904 ff.) geändert: Der Begriff der Akte wird seither nicht mehr definiert1. Der Dateibegriff und der Begriff des Empfängers wurden mit der Novelle geändert (s. nunmehr § 2 Abs. 2 Satz 2; § 3 Abs. 8 Satz 1). Da der Gesetzgeber nicht auch gleichzeitig sämtliche datenschutzrechtlichen Vorschriften außerhalb des BDSG anpasste, welche diese Begriffe verwendeten, schuf er die Übergangsvorschrift des § 46, in der die alten 1 Vgl. Gola/Schomerus, § 3 BDSG Rz. 22.

946

|

Becker

Übergangsregelung | § 47 BDSG

Begrifflichkeiten für diesen Zweck und bis zur Anpassung der entsprechenden Gesetze aufrecht erhalten werden. Sofern durch die Verwendung der alten Definitionen bereichsspezifische Regelungen der EG-Datenschutzrichtlinie widersprechen sollten, wären diese richtlinienkonform auszulegen1. Obwohl vielfach gefordert2, hat der Gesetzgeber seit 2001 keinen Anlauf unternommenen, die datenschutzrechtlichen Begrifflichkeiten in den einzelnen Gesetzen zu konsolidieren. Im Hinblick auf das Inkraftreten der DSGVO ist damit auch nicht mehr zu rechnen.

§ 47 Übergangsregelung Für die Verarbeitung und Nutzung vor dem 1.9.2009 erhobener oder gespeicherter Daten ist § 28 in der bis dahin geltenden Fassung weiter anzuwenden 1. für Zwecke der Markt- oder Meinungsforschung bis zum 31.8.2010, 2. für Zwecke der Werbung bis zum 31.8.2012. I. Einführung . . . . . . . . . . . . . . .

1

II. Gegenwärtige Bedeutung der Norm . . . . . . . . . . . . . . . .

3

Schrifttum: Plath/Frey, Direktmarketing nach der BDSG-Novelle: Grenzen erkennen, Spielräume optimal nutzen, BB 2009, 1762; Wronka, Reglementierung des Adresshandels im novellierten BDSG, RDV 2010, 159.

I. Einführung Durch die am 1.9.2009 in Kraft getretene BDSG-Novelle II hat der Erlaubnistat- 1 bestand des § 28 tief greifende Änderungen erfahren, die insbesondere die Verwendung von Daten zu Werbezwecken betreffen: So wurde das „alte Listenprivileg“ weitgehend eingeschränkt bzw. neu gefasst und von einem Transparenzgebot flankiert (§ 28 Abs. 3 Satz 4), und die Anforderungen an die Form der Einwilligung wurden verschärft (§ 28 Abs. 3a)3. Da diese Veränderungen die Wirtschaft dazu gezwungen haben, die Verwendung von Daten zu Markt- und Meinungsforschungs- sowie zu Werbezwecken umfassend umzustellen, hatte der Gesetzgeber in § 47 eine Übergangsregelung getroffen, die eine Anpassung an die neuen gesetzlichen Bedingungen ermöglichen sollte. 1 Haslach, DuD 1998, 693; Gola/Schomerus, § 46 BDSG Rz. 2. 2 S. nur Ramm, DuD 2007, 431. 3 Ausführlich hierzu Komm. zu § 28 BDSG Rz. 154 ff.

Becker/Plath

|

947

Übergangsregelung | § 47 BDSG

Begrifflichkeiten für diesen Zweck und bis zur Anpassung der entsprechenden Gesetze aufrecht erhalten werden. Sofern durch die Verwendung der alten Definitionen bereichsspezifische Regelungen der EG-Datenschutzrichtlinie widersprechen sollten, wären diese richtlinienkonform auszulegen1. Obwohl vielfach gefordert2, hat der Gesetzgeber seit 2001 keinen Anlauf unternommenen, die datenschutzrechtlichen Begrifflichkeiten in den einzelnen Gesetzen zu konsolidieren. Im Hinblick auf das Inkraftreten der DSGVO ist damit auch nicht mehr zu rechnen.

§ 47 Übergangsregelung Für die Verarbeitung und Nutzung vor dem 1.9.2009 erhobener oder gespeicherter Daten ist § 28 in der bis dahin geltenden Fassung weiter anzuwenden 1. für Zwecke der Markt- oder Meinungsforschung bis zum 31.8.2010, 2. für Zwecke der Werbung bis zum 31.8.2012. I. Einführung . . . . . . . . . . . . . . .

1

II. Gegenwärtige Bedeutung der Norm . . . . . . . . . . . . . . . .

3

Schrifttum: Plath/Frey, Direktmarketing nach der BDSG-Novelle: Grenzen erkennen, Spielräume optimal nutzen, BB 2009, 1762; Wronka, Reglementierung des Adresshandels im novellierten BDSG, RDV 2010, 159.

I. Einführung Durch die am 1.9.2009 in Kraft getretene BDSG-Novelle II hat der Erlaubnistat- 1 bestand des § 28 tief greifende Änderungen erfahren, die insbesondere die Verwendung von Daten zu Werbezwecken betreffen: So wurde das „alte Listenprivileg“ weitgehend eingeschränkt bzw. neu gefasst und von einem Transparenzgebot flankiert (§ 28 Abs. 3 Satz 4), und die Anforderungen an die Form der Einwilligung wurden verschärft (§ 28 Abs. 3a)3. Da diese Veränderungen die Wirtschaft dazu gezwungen haben, die Verwendung von Daten zu Markt- und Meinungsforschungs- sowie zu Werbezwecken umfassend umzustellen, hatte der Gesetzgeber in § 47 eine Übergangsregelung getroffen, die eine Anpassung an die neuen gesetzlichen Bedingungen ermöglichen sollte. 1 Haslach, DuD 1998, 693; Gola/Schomerus, § 46 BDSG Rz. 2. 2 S. nur Ramm, DuD 2007, 431. 3 Ausführlich hierzu Komm. zu § 28 BDSG Rz. 154 ff.

Becker/Plath

|

947

§ 47 BDSG | Übergangsvorschriften 2 Die Übergangsfrist ist für die Verwendung von Daten zu Zwecken der Markt-

und Meinungsforschung (Nr. 1) am 31.8.2010, für die Verwendung von Daten zu Werbezwecken (Nr. 2) am 31.8.2012 abgelaufen.

II. Gegenwärtige Bedeutung der Norm 3 Seit Ablauf der Übergangsfrist beschränkt sich die aktuelle Bedeutung des § 47

auf die ex-post Beurteilung bereits abgeschlossener Vorgänge.

4 Die Übergangsregelung galt ausweislich des Wortlauts für alle personenbezoge-

nen Daten, die vor dem 1.9.2009 – und demnach spätestens am 31.8.2009 – zu Zwecken der Markt- und Meinungsforschung bzw. der Werbung erhoben, also durch aktives Tun der verantwortlichen Stelle beschafft wurden (vgl. Komm. zu § 3 BDSG Rz. 30)1. Eine spätere Speicherung der Daten nach diesem Stichtag war unschädlich, sofern die verantwortliche Stelle nicht anders als im Wege der Erhebung, also z.B. durch freiwillige Mitteilung des Betroffenen, Kenntnis von den später gespeicherten Daten erlangt hat. Zu beachten ist, dass die Geltung des § 28 n.F. sich nicht rückwirkend auf die Zulässigkeit der Erhebung, sondern nur auf die Zulässigkeit der weiteren Verwendung auswirkte.

5 Fraglich war, ob sich im Falle der Übermittlung von Daten, die in den Anwen-

dungsbereich des § 47 fielen, auch der Empfänger auf die Übergangsregelung berufen konnte, mit der Folge, dass auch dieser die Regelung des § 28 a.F. anwenden durfte. In diesem Fall hätte das ursprünglich Erhebungsdatum solchen übermittelten Daten gewissermaßen „angehaftet“ und bis zum Ablauf der Übergangsfrist eine Anwendung des § 28 a.F. gerechtfertigt. Für eine Fortwirkung des erstmaligen Erhebungs- bzw. Speicherungsdatums sprach v.a. die Intention des Gesetzgebers, einen Bestandsschutz alter Daten dadurch herbeizuführen, dass der Wirtschaft die Weiternutzung auch solcher Daten weiter ermöglicht wurde, deren Verwendung nach § 28 n.F. nicht mehr rechtmäßig gewesen wäre.

6 Strittig war des Weiteren auch, ob die Übergangsregelung des § 47 trotz des ein-

deutigen Wortlauts auch für die Verwendung von Daten nach Maßgabe des § 29 n.F. galt, der in weiten Teilen auf § 28 n.F. verweist. Dafür sprach zunächst der Sinn und Zweck des § 47, der Wirtschaft eine Anpassung an die neuen Regelungen zu ermöglichen. Dieses Interesse bestand auch, sogar in besonderem Maße, bei Stellen, die geschäftsmäßig Daten übermitteln2. Darüber hinaus war § 28 n.F. auf die Verwendung zu Werbezwecken von Daten, die vor dem 1.9. 2009 erhoben wurden, gar nicht anwendbar. Ein Verweis durch § 29 auf eine 1 Simitis/Dammann, § 3 BDSG Rz. 102. 2 Gegen diese Ansicht spricht sich Simitis/Ehmann mit der Begründung aus, dass der Gesetzgeber bewusst zwischen Adresshändlern und Werbenden unterscheiden wollte, § 47 BDSG Rz. 13.

948

|

Plath

Bericht der Bundesregierung | § 48 BDSG

Norm, die im konkreten Sachverhalt keine Anwendung fand, konnte vom Gesetzgeber jedoch nicht gewollt sein1. Damit umfasste die Übergangsregelung des § 47 nach der hier vertretenen Ansicht auch die Verweise des § 29 auf § 282. Schließlich stellte sich die Frage, ob Einwilligungen, die vor dem Stichtag und 7 unter den Voraussetzungen des § 28 a.F. erteilt wurden, wirksam blieben. Dafür sprach insbesondere, dass die nachträgliche Entwertung einer zuvor wirksam erteilten Einwilligung mit Auswirkung auf zukünftige Rechtsbeziehungen einer verfassungsrechtlich bedenklichen Rückwirkung des Gesetzes gleich käme3. § 47 wirkte sich demnach nur auf die Zulässigkeit zukünftiger Datenverwendungen i.R.d. Erlaubnistatbestands von § 28 n.F. aus und ließ die Wirksamkeit einmal erteilter Einwilligungen unberührt4.

§ 48 Bericht der Bundesregierung 1Die

Bundesregierung berichtet dem Bundestag 1. bis zum 31.12.2012 über die Auswirkungen der §§ 30a und 42a, 2. bis zum 31.12.2014 über die Auswirkungen der Änderungen der §§ 28 und 29. 2Sofern sich aus Sicht der Bundesregierung gesetzgeberische Maßnahmen empfehlen, soll der Bericht einen Vorschlag enthalten. Der Gesetzgeber5 ging bei der zweiten BDSG-Novelle 2009 davon aus, dass es im 1 Hinblick auf die – umstrittenen – neuen Vorschriften für die Erhebung und Verwendung personenbezogener Daten für Zwecke des Adresshandels, der Werbung (§§ 28, 29) und der Markt- und Meinungsforschung (§ 30a) sowie die neu eingeführten Informationspflichten der verantwortlichen Stelle in Fällen, in denen Dritte unrechtmäßig Kenntnis von personenbezogenen Daten erlangt haben (§ 42a), einer kurzfristigen Evaluierung bedürfe. Die Sorge bezog sich dabei offenbar in erster Linie auf etwaige negative Auswirkungen auf die Wirtschaft und weniger auf die Belange der Betroffenen6. Die Berichte hierzu hat die Bundesregierung jeweils erstellt und dem Bundestag zum Ablauf der gesetzlichen 1 Plath/Frey, BB 2009, 1762 (1767). 2 A.A. angesichts des eindeutigen Wortlauts Wronka, RDV 2010, 159 (162), der hierin jedoch eine ungerechtfertigte Benachteiligung des Adresshandels gegenüber der restlichen Werbewirtschaft sieht. 3 Vgl. zum Problem der Rückwirkung Simitis/Ehmann, § 47 BDSG Rz. 2 f. 4 Ebenso Plath/Frey, BB 2009, 1762 (1767). 5 BT-Drucks. 16/13657, S. 23. 6 BT-Drucks. 16/13657, S. 23.

Plath/Becker

|

949

Bericht der Bundesregierung | § 48 BDSG

Norm, die im konkreten Sachverhalt keine Anwendung fand, konnte vom Gesetzgeber jedoch nicht gewollt sein1. Damit umfasste die Übergangsregelung des § 47 nach der hier vertretenen Ansicht auch die Verweise des § 29 auf § 282. Schließlich stellte sich die Frage, ob Einwilligungen, die vor dem Stichtag und 7 unter den Voraussetzungen des § 28 a.F. erteilt wurden, wirksam blieben. Dafür sprach insbesondere, dass die nachträgliche Entwertung einer zuvor wirksam erteilten Einwilligung mit Auswirkung auf zukünftige Rechtsbeziehungen einer verfassungsrechtlich bedenklichen Rückwirkung des Gesetzes gleich käme3. § 47 wirkte sich demnach nur auf die Zulässigkeit zukünftiger Datenverwendungen i.R.d. Erlaubnistatbestands von § 28 n.F. aus und ließ die Wirksamkeit einmal erteilter Einwilligungen unberührt4.

§ 48 Bericht der Bundesregierung 1Die

Bundesregierung berichtet dem Bundestag 1. bis zum 31.12.2012 über die Auswirkungen der §§ 30a und 42a, 2. bis zum 31.12.2014 über die Auswirkungen der Änderungen der §§ 28 und 29. 2Sofern sich aus Sicht der Bundesregierung gesetzgeberische Maßnahmen empfehlen, soll der Bericht einen Vorschlag enthalten. Der Gesetzgeber5 ging bei der zweiten BDSG-Novelle 2009 davon aus, dass es im 1 Hinblick auf die – umstrittenen – neuen Vorschriften für die Erhebung und Verwendung personenbezogener Daten für Zwecke des Adresshandels, der Werbung (§§ 28, 29) und der Markt- und Meinungsforschung (§ 30a) sowie die neu eingeführten Informationspflichten der verantwortlichen Stelle in Fällen, in denen Dritte unrechtmäßig Kenntnis von personenbezogenen Daten erlangt haben (§ 42a), einer kurzfristigen Evaluierung bedürfe. Die Sorge bezog sich dabei offenbar in erster Linie auf etwaige negative Auswirkungen auf die Wirtschaft und weniger auf die Belange der Betroffenen6. Die Berichte hierzu hat die Bundesregierung jeweils erstellt und dem Bundestag zum Ablauf der gesetzlichen 1 Plath/Frey, BB 2009, 1762 (1767). 2 A.A. angesichts des eindeutigen Wortlauts Wronka, RDV 2010, 159 (162), der hierin jedoch eine ungerechtfertigte Benachteiligung des Adresshandels gegenüber der restlichen Werbewirtschaft sieht. 3 Vgl. zum Problem der Rückwirkung Simitis/Ehmann, § 47 BDSG Rz. 2 f. 4 Ebenso Plath/Frey, BB 2009, 1762 (1767). 5 BT-Drucks. 16/13657, S. 23. 6 BT-Drucks. 16/13657, S. 23.

Plath/Becker

|

949

§ 48 BDSG | Übergangsvorschriften Fristen vorgelegt (Bericht über die Auswirkungen der §§ 30a und 42a des Bundesdatenschutzgesetzes, BT-Drucks. 17/12319; Bericht der Bundesregierung über die Auswirkungen der Änderungen der §§ 28 und 29 des Bundesdatenschutzgesetzes [BDSG] im Rahmen der zweiten BDSG-Novelle, BT-Drucks. 18/ 3707). Beide Berichte ziehen grundsätzlich ein positives Fazit in Bezug auf die praktische Wirksamkeit der Änderungen und die dadurch bewirkten Verhaltensänderungen, insbesondere in Bezug auf die Meldung von Datenschutzpannnen (§ 42a) und die Vorgaben für das Direktmarketing (Änderungen der §§ 28, 29). Im Ergebnis sah die Bundesregierung daher keinen Bedarf für weitere Änderungen, zumal im Hinblick auf die zum Zeitpunkt des zweiten Berichts schon absehbare DSGVO Änderungen ohnehin nur noch für einen kurzen Zeitraum gegolten hätten.

950

|

Becker

Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) vom 4. Mai 2016 (ABl. Nr. L 119, S. 1)

Kapitel I Allgemeine Bestimmungen

Artikel 1 Gegenstand und Ziele (1) Diese Verordnung enthält Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr solcher Daten. (2) Diese Verordnung schützt die Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten. (3) Der freie Verkehr personenbezogener Daten in der Union darf aus Gründen des Schutzes natürlicher Personen bei der Verarbeitung personenbezogener Daten weder eingeschränkt noch verboten werden. I. Einführung . . . . . . . . . . . . . . . II. Gegenstand der DSGVO: Schutz natürlicher Personen (Abs. 1) III. Schutzgut der DSGVO: Grundrechte und Grundfreiheiten (Abs. 2) . . . . . . . . . . . . . . . . . .

1 3

IV. Grenzen des Schutzes der DSGVO: Freier Datenverkehr in der Union (Abs. 3) . . . . . . . . .

6

4

Schrifttum: Albrecht, Das neue EU-Datenschutzrecht – von der Richtlinie zur Verordnung. Überblick und Hintergründe zum finalen Text für die Datenschutz-Grundverordnung der EU nach der Einigung im Trilog, CR 2016, 88; Eckhardt/Kramer/Mester, Auswirkungen der geplanten EU-DSGVO auf den deutschen Datenschutz, DuD 37 (2013), 623; Ehmann, Der weitere Weg zur Datenschutzgrundverordnung. Näher am Erfolg, als viele glauben?, ZD 2015, 6; Gierschmann, Was „bringt“ deutschen Unternehmen die DS-GVO? Mehr Pflichten, aber die Rechtsunsicherheit bleibt, ZD 2016, 51; Härting, Datenschutz-Grundverordnung. Anwendungsbereich, Verbotsprinzip, Einwilligung, ITRB 2016, 36; Hopp/Svanberg, Making the General Data Protection Regulation work, PinG 2015,

Plath

|

951

Art. 1 DSGVO | Allgemeine Bestimmungen 203; Jaspers, Die EU-Datenschutz-Grundverordnung, DuD 36 (2012), 571; Leucker, Die zehn Märchen der Datenschutzreform, PinG 2015, 195; Mester, EU-Datenschutzgrundverordnung. Die europaweite Regelung des Datenschutzes noch 2015?, DuD 39 (2015), 194; Peifer, Auswirkungen der EU-Datenschutz-Grundverordnung auf öffentliche Stellen, Gewerbearchiv 2014, 142; Roßnagel/Nebel/Richter, Was bleibt vom Europäischen Datenschutzrecht? Überlegungen zum Ratsentwurf der DSG-VO, ZD 2015, 455; Stentzel, Das Grundrecht auf …? Auf der Suche nach dem Schutzgut des Datenschutzes in der Europäischen Union, PinG 2015, 185; Tinnefeld, Meinungsfreiheit durch Datenschutz. Voraussetzung einer zivilen Rechtskultur, ZD 2015, 22; Veil, DSG-VO: Risikobasierter Ansatz statt rigides Verbotsprinzip. Eine erste Bestandsaufnahme, ZD 2015, 347; Wagner, Der Entwurf einer Datenschutz-Grundverordnung der Europäischen Kommission, DuD 36 (2012a), 676; Wagner, Grenzen des europäischen Datenschutzrechts. Zum geplanten Datenschutzrechtsrahmen der EU, DuD 2012, 303.

I. Einführung 1 Die DSGVO soll nach dem politischen Willen der europäischen Legislative

durch „moderne“ und „harmonisierte“ Datenschutzbestimmungen Europa „für das digitale Zeitalter rüsten“1. Neben wirtschaftlichen Erwägungen, die etwa zu der Schaffung eines „Level Playing Field“ für europäische und außereuropäische Unternehmen geführt haben, und dem Harmonisierungsgedanken, der u.a. zu der Einführung einheitlicher Anlaufstellen durch das „One Stop Shop“Prinzip geführt hat, basiert die Novelle des europäischen Datenschutzrechts vor allem auf grundrechtlichen Erwägungen. Dementsprechend stellt Art. 1 bei der Festlegung der Gegenstände und Ziele der DSGVO den Schutz natürlicher Personen und deren Recht auf Schutz personenbezogener Daten in den Vordergrund. Damit ist die gesamte Verordnung im Lichte dieser Grundsätze zu lesen und zu interpretieren.

2 Das Verfahren für den Erlass der DSGVO zog sich über viele Jahre hin. Das Er-

gebnis entspricht einer Kompromisslösung zwischen den Interessen der Befürworter eines weitreichenden Datenschutzes, der Interessenvertreter der Wirtschaft und politischen Zugeständnissen sowohl zwischen den Mitgliedstaaten als auch gegenüber Drittstaaten, insbesondere den USA. Im historischen Kontext folgt aus den Erwägungsgründen, dass die DSGVO insgesamt die Verfehlungen der EG-Datenschutzrichtlinie überholen soll. Kritisiert wird, dass der „Datenschutz in der Union unterschiedlich gehandhabt wird, Rechtsunsicherheit besteht oder in der Öffentlichkeit die Meinung weit verbreitet ist, dass erhebliche Risiken für den Schutz natürlicher Personen bestehen“ (vgl. Erwägungsgrund 9). Diese Missstände erklären sich „aus den Unterschieden bei der Umsetzung und Anwendung der Richtlinie 95/46/EG“ und sollen mit der einheitlich geltenden DSGVO beseitigt werden (vgl. Erwägungsgrund 9). Insofern sieht der zuständige 1 Europäische Kommission, Pressemitteilung v. 15.6.2015.

952

|

Plath

Gegenstand und Ziele | Art. 1 DSGVO

Berichterstatter im EU-Parlament Albrecht dieses Ziel als erreicht an und spricht von einem „legislativen Durchbruch“1. Während Abs. 1 der Norm lediglich feststellt, dass die DSGVO Vorschriften zum Datenschutz „enthält“, entsteht bereits zwischen Abs. 2 und 3 ein grundrechtliches Spannungsfeld als Vorbote für die Abwägungsproblematik, die der gesamten Regelungsmaterie zugrunde liegt. Die maßgeblichen Erwägungsgründe finden sich in den Erwägungsgründen 1–16.

II. Gegenstand der DSGVO: Schutz natürlicher Personen (Abs. 1) Abs. 1 bestimmt Gegenstand und Ziele der DSGVO. Danach dient die Verord- 3 nung dem Schutz natürlicher Personen bei der Verarbeitung von personenbezogenen Daten. Während diese Begriffe der „Verarbeitung“ und der „personenbezogenen Daten“ in Art. 4 (Begriffsbestimmungen) näher definiert werden, fehlt es an einer Definition des Begriffs der „natürlichen Person“. Aus Erwägungsgrund 14 folgt insoweit allerdings ausdrücklich, dass die Formulierung des Abs. 1 wörtlich zu verstehen und entsprechend eng auszulegen ist, denn dort heißt es, dass die DSGVO „nicht für die Verarbeitung personenbezogener Daten juristischer Personen und insbesondere als juristische Person gegründeter Unternehmen, einschließlich Name, Rechtsform oder Kontaktdaten der juristischen Person“ gilt. Die in dem Erwägungsgrund gewählte Formulierung ist insoweit unpräzise, als dass der Begriff der „personenbezogenen Daten“ schon nach dessen Definition nur Daten über „natürliche Personen“ umfasst. „Personenbezogene Daten“ einer juristischen Person kann es danach – kraft Definition – nicht geben. Wenn in der Verordnung an anderer Stelle mehrfach der Begriff der „betroffenen Person“ verwendet wird, meint diese ebenfalls stets nur eine „natürliche Person“, auf die sich das jeweilige Datum bezieht (s. Art. 4 Abs. 1). Auf den ersten Blick verwirrend erscheint schließlich der Umstand, dass eine „natürliche Person“ nach der Definition des Art. 4 Nr. 18 auch ein „Unternehmen“ i.S.d. DSGVO darstellen kann. Dies ändert jedoch nichts daran, dass der Schutz der DSGVO auf den Schutz natürlicher Personen beschränkt ist. Wegen der Einzelheiten sei auf die Komm. zu Art. 4 DSGVO verwiesen.

III. Schutzgut der DSGVO: Grundrechte und Grundfreiheiten (Abs. 2) Aus Abs. 2 folgt, dass die DSGVO die Grundrechte und Grundfreiheiten natürli- 4 cher Personen im Allgemeinen schützt und insbesondere deren Recht auf Schutz 1 Albrecht, CR 2016, 88 (89).

Plath

|

953

Art. 1 DSGVO | Allgemeine Bestimmungen ihrer personenbezogenen Daten. Nach Erwägungsgrund 1, der auch Art. 8 Abs. 1 GrCh und Art. 16 Abs. 1 AEUV in Bezug nimmt, ist der „Schutz natürlicher Personen bei der Verarbeitung ihrer personenbezogenen Daten“ dabei selbst ein Grundrecht. Dieser Schutz gilt für sämtliche natürlichen Personen, und zwar „ungeachtet ihrer Staatsangehörigkeit oder ihres Aufenthaltsorts“ (vgl. Erwägungsgrund 14). Der Schutz der DSGVO ist damit keineswegs etwa nur auf EU-Bürger beschränkt. Gleichwohl greift die Formulierung insoweit etwas zu weit, als dass der räumliche Anwendungsbereich der DSGVO in bestimmten Konstellationen sehr wohl an den Aufenthaltsort der betroffenen Person anknüpft. Wegen der Einzelheiten sei auf die Komm. zu Art. 3 Abs. 2 DSGVO verwiesen. 5 Aus der Formulierung des Art. 1 geht nicht unmittelbar hervor, ob es sich bei

der Regelung des Abs. 2 um einen Programmsatz, das legislative Ziel, die faktische Voraussetzung für deren Umsetzung oder eine echte, tatbestandsähnliche Anforderung handelt. Tatsächlich wird hier bereits deutlich, dass es sich bei den Schutzgütern der DSGVO nicht um absolute Schutzrechte, sondern um abwägungsfähige und -bedürftige Rechtspositionen handelt. Dies folgt nicht zuletzt aus Erwägungsgrund 4, wo klar postuliert ist, dass das Recht auf Schutz der personenbezogenen Daten „kein uneingeschränktes Recht“ darstellt.

IV. Grenzen des Schutzes der DSGVO: Freier Datenverkehr in der Union (Abs. 3) 6 Abs. 3 ordnet an, dass der freie Verkehr personenbezogener Daten in der

Union „weder eingeschränkt noch verboten werden“ darf. Die Regelung kann nur im Verhältnis zu Abs. 2 zu lesen sein, denn für sich genommen enthält sie ein leeres Versprechen: Die DSGVO schränkt den freien Verkehr von Daten in der Union durchaus massiv ein, und zwar durch diverse Auflagen und minutiöse Rechtmäßigkeitsvoraussetzungen. Art. 6, der die Rechtmäßigkeit der Verarbeitung regelt, folgt gar dem Verbotsprinzip1, wonach die Verarbeitung personenbezogener Daten ohne Einwilligung oder sonstigen Erlaubnistatbestand grundsätzlich unzulässig ist (Verbot mit Erlaubnisvorbehalt). In Zusammenhang mit Abs. 2 kann Abs. 3 also nur dahingehend verstanden werden, dass die Verwirklichung des Grundrechtsschutzes kein vorbehaltloses Totalverbot des freien Datenverkehrs nach sich ziehen darf und auch keine übermäßige Einschränkung, sondern die gegenläufigen Interessen in einen angemessenen Ausgleich zu bringen sind.

7 Erwägungsgrund 6 macht dieses Spannungsverhältnis noch einmal besonders

deutlich, wenn es dort heißt: „Die Technik hat das wirtschaftliche und gesellschaftliche Leben verändert und dürfte den Verkehr personenbezogener Daten

1 So zutreffend Härting, ITRB 2016, 36; differenzierend zum „risikobasierten Ansatz“ Veil, ZD 2015, 347.

954

|

Plath

Sachlicher Anwendungsbereich | Art. 2 DSGVO

innerhalb der Union sowie die Datenübermittlung an Drittländer und internationale Organisationen noch weiter erleichtern, wobei ein hohes Datenschutzniveau zu gewährleisten ist.“

Artikel 2 Sachlicher Anwendungsbereich (1) Diese Verordnung gilt für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen. (2) Diese Verordnung findet keine Anwendung auf die Verarbeitung personenbezogener Daten a) im Rahmen einer Tätigkeit, die nicht in den Anwendungsbereich des Unionsrechts fällt, b) durch die Mitgliedstaaten im Rahmen von Tätigkeiten, die in den Anwendungsbereich von Titel V Kapitel 2 EUV fallen, c) durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten, d) durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit. (3) Für die Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen, Ämter und Agenturen der Union gilt die Verordnung (EG) Nr. 45/2001. Die Verordnung (EG) Nr. 45/2001 und sonstige Rechtsakte der Union, die diese Verarbeitung personenbezogener Daten regeln, werden im Einklang mit Artikel 98 an die Grundsätze und Vorschriften der vorliegenden Verordnung angepasst. (4) Die vorliegende Verordnung lässt die Anwendung der Richtlinie 2000/31/ EG und speziell die Vorschriften der Artikel 12 bis 15 dieser Richtlinie zur Verantwortlichkeit der Vermittler unberührt. I. Einführung . . . . . . . . . . . . . . . II. Anwendbarkeitsvoraussetzungen 1. Verarbeitung personenbezogener Daten (Abs. 1) . . . . . . . . . . . . . 2. Automatisierte Verarbeitung oder Dateibezug (Abs. 1) . . . . . .

1

4 5

3. Ausnahmetatbestände (Abs. 2) 8 a) Verarbeitung außerhalb des Unionsrechts (Buchst. a) . . . . 9 b) Verarbeitung durch die Mitgliedstaaten im Bereich der gemeinsamen Außen- und Sicherheitspolitik (Buchst. b) 11

Plath

|

955

Sachlicher Anwendungsbereich | Art. 2 DSGVO

innerhalb der Union sowie die Datenübermittlung an Drittländer und internationale Organisationen noch weiter erleichtern, wobei ein hohes Datenschutzniveau zu gewährleisten ist.“

Artikel 2 Sachlicher Anwendungsbereich (1) Diese Verordnung gilt für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen. (2) Diese Verordnung findet keine Anwendung auf die Verarbeitung personenbezogener Daten a) im Rahmen einer Tätigkeit, die nicht in den Anwendungsbereich des Unionsrechts fällt, b) durch die Mitgliedstaaten im Rahmen von Tätigkeiten, die in den Anwendungsbereich von Titel V Kapitel 2 EUV fallen, c) durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten, d) durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit. (3) Für die Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen, Ämter und Agenturen der Union gilt die Verordnung (EG) Nr. 45/2001. Die Verordnung (EG) Nr. 45/2001 und sonstige Rechtsakte der Union, die diese Verarbeitung personenbezogener Daten regeln, werden im Einklang mit Artikel 98 an die Grundsätze und Vorschriften der vorliegenden Verordnung angepasst. (4) Die vorliegende Verordnung lässt die Anwendung der Richtlinie 2000/31/ EG und speziell die Vorschriften der Artikel 12 bis 15 dieser Richtlinie zur Verantwortlichkeit der Vermittler unberührt. I. Einführung . . . . . . . . . . . . . . . II. Anwendbarkeitsvoraussetzungen 1. Verarbeitung personenbezogener Daten (Abs. 1) . . . . . . . . . . . . . 2. Automatisierte Verarbeitung oder Dateibezug (Abs. 1) . . . . . .

1

4 5

3. Ausnahmetatbestände (Abs. 2) 8 a) Verarbeitung außerhalb des Unionsrechts (Buchst. a) . . . . 9 b) Verarbeitung durch die Mitgliedstaaten im Bereich der gemeinsamen Außen- und Sicherheitspolitik (Buchst. b) 11

Plath

|

955

Art. 2 DSGVO | Allgemeine Bestimmungen c) Verarbeitung durch natürliche Personen zu persönlichen oder familiären Zwecken (Buchst. c) . . . . . . . 12 d) Verarbeitung zur Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten (Buchst. d) . . . . . . . . . . . . . 16

4. Verarbeitung durch die Organe, Einrichtungen, Ämter und Agenturen der Union (Abs. 3) . . 17 5. Unberührtheit der Richtlinie über den elektronischen Geschäftsverkehr (Abs. 4) . . . . . 18 6. Vorrang der ePrivacy Richtlinie . . . . . . . . . . . . . . . . . . . . 19

Schrifttum: Gola/Lepperhoff, Reichweite des Haushalts- und Familienprivilegs bei der Datenverarbeitung Aufnahme und Umfang der Ausnahmeregelung in der DSGVO, ZD 2016, 9.

I. Einführung 1 Art. 2 definiert den sachlichen Anwendungsbereich der DSGVO. Zusätzlich

muss der räumliche Anwendungsbereich gegeben sein, dessen Anforderungen sich nach Art. 3 richten.

2 Im Gegensatz zu der Regelung des § 1 BDSG trifft die DSGVO keine Unter-

scheidung hinsichtlich des persönlichen Anwendungsbereichs, d.h. sie findet grundsätzlich – vorbehaltlich der in Abs. 2 vorgesehenen Ausnahmen – auf jede datenverarbeitende natürliche oder juristische Person Anwendung, ohne dass etwa nach „öffentlichen“ oder „nicht-öffentlichen Stellen“ differenziert würde. Dass die DSGVO auch auf die Datenverarbeitung durch natürliche Personen Anwendung findet, folgt aus dem Umkehrschluss zu Art. 2 Abs. 2 Buchst. c, der die Datenverarbeitung natürlicher Personen nur unter bestimmten Voraussetzungen von dem Anwendungsbereich der DSGVO ausnimmt. Die maßgeblichen Erwägungsgründe finden sich in den Erwägungsgründen 17–18.

3 Für die Eröffnung des sachlichen Anwendungsbereichs müssen folgende Vo-

raussetzungen kumulativ erfüllt sein: (i)

Verarbeitung personenbezogener Daten (Abs. 1);

(ii) Verarbeitung entweder in „automatisierter“ Form oder, wenn es an der Automatisierung fehlt, Verarbeitung mit „Dateibezug“ (Abs. 1), (iii) kein Ausschlussgrund (Abs. 2); (iv) keine Anwendbarkeit vorrangiger Regelungen (Abs. 3 und 4).

II. Anwendbarkeitsvoraussetzungen 1. Verarbeitung personenbezogener Daten (Abs. 1) 4 Erforderlich ist zunächst eine Verarbeitung personenbezogener Daten. Der Be-

griff der personenbezogenen Daten ist in Art. 4 Nr. 1 definiert (s. dort), der Be956

|

Plath

Sachlicher Anwendungsbereich | Art. 2 DSGVO

griff der Verarbeitung in Art. 4 Nr. 2 (s. dort). Die Verarbeitung umfasst danach, anders als im BDSG, auch die „Erhebung“ und sonstige „Nutzung“ personenbezogener Daten, so dass mit der Verwendung lediglich des Begriffs der „Verarbeitung“ in Art. 2 keine Beschränkung des Anwendungsbereichs gegenüber dem BDSG verbunden ist. Erfasst ist nach dem ausdrücklichen Wortlaut des Art. 4 Nr. 2 vielmehr „jeder“ Vorgang im Zusammenhang mit personenbezogenen Daten. Diese Einführung eines allumfassenden Begriffs ist sehr zu begrüßen, da er für die Praxis, z.B. bei der Vertragsgestaltung, das Risiko reduziert, dass einzelne Vorgänge bei der Vielzahl der im BDSG vorgesehenen Unterfälle der Datenverwendung „versehentlich“ nicht berücksichtigt werden. 2. Automatisierte Verarbeitung oder Dateibezug (Abs. 1) Nicht jede Datenverarbeitung führt unmittelbar zur Anwendbarkeit der 5 DSGVO. Erforderlich ist vielmehr entweder (i) eine „ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten“ oder (ii) die „nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen“. Diese weiteren Anwendbarkeitsvoraussetzungen des Art. 2 ähneln den bereits bekannten Anforderungen in § 1 Abs. 2 Nr. 3 BDSG, der den sachlichen Anwendungsbereich des BDSG für „nicht-öffentliche Stellen“ regelt. Grundsätzlich bleibt es nach der DSGVO dabei, dass eine „automatisierte“ Ver- 6 arbeitung gefordert wird, also typischerweise eine computergestützte Verarbeitung. Bei der „off-line“ oder „manuellen“ Datenverarbeitung ist der Anwendungsbereich der DSGVO – wie schon unter dem BDSG – nur dann eröffnet, wenn ein Dateibezug vorliegt (s. Komm. zu § 1 BDSG Rz. 11). Hintergrund der Regelung ist, dass der Schutz natürlicher Personen gemäß Er- 7 wägungsgrund 15 „technologieneutral“ sein „und nicht von den verwendeten Techniken abhängen“ sollte. Trotz dieser Forderung nach einem „technologieneutralen“ Ansatz bleibt es dabei, dass Daten ohne „Dateibezug“ weiterhin ausgenommen sind. Damit fallen z.B. lose Zettelsammlungen oder Post-it Notizen nicht in den Anwendungsbereich der DSGVO, wohl aber strukturierte Datensammlungen wie etwa im Fall von chronologisch sortierten Aktenordnern (s. zur Parallelproblematik Komm. zu § 1 BDSG Rz. 27). Für die betroffene Person mag diese Einschränkung zu einer schwer nachvollziehbaren Reduktion des Schutzniveaus führen. Denn wenn es z.B. für einen Arbeitnehmer darum geht, dass seine Daten nicht ohne Einwilligung oder gesetzliche Ermächtigung für Zwecke außerhalb des Arbeitsverhältnisses verwendet werden, macht es aus seiner Sicht wenig Unterschied, ob diese Daten in einem chronologisch sortierten Aktenordner enthalten sind, dann wäre die DSGVO anwendbar, oder in einem unsortierten Papierstapel, was zur Unanwendbarkeit der DSGVO führen würde. Mit Blick auf diese Problematik hatte der deutsche Gesetzgeber bei der Neueinführung des § 32 BDSG in Abs. 2 eine – an sich systemwidrige – Ausnahme von Plath

|

957

Art. 2 DSGVO | Allgemeine Bestimmungen dem Dateierfordernis für den Bereich des Beschäftigtendatenschutzes vorgesehen (näher dazu vgl. Komm. zu § 32 BDSG Rz. 7). Diese Ausnahme ist in der DSGVO nicht übernommen worden. Verwiesen sei jedoch auf die Komm. zu Art. 88. 3. Ausnahmetatbestände (Abs. 2) 8 Auch wenn die Voraussetzungen des Abs. 1 erfüllt sind, findet die DSGVO auf

eine Verarbeitung personenbezogener Daten gleichwohl keine Anwendung, wenn einer der Ausnahmetatbestände des Abs. 2 vorliegt. a) Verarbeitung außerhalb des Unionsrechts (Buchst. a)

9 Die DSGVO findet keine Anwendung auf eine Verarbeitung personenbezogener

Daten im Rahmen einer Tätigkeit, die nicht dem Unionsrecht unterliegt (Abs. 2 Buchst. a). Die Norm hat mangels Gesetzgebungskompetenz des Verordnungsgebers für Bereiche außerhalb des Unionsrechts in erster Linie eine klarstellende Funktion1.

10 Der Umfang der Zuständigkeiten der EU ist im Vertrag von Lissabon festgelegt,

der drei Arten von Zuständigkeiten unterscheidet, und zwar die ausschließlichen Zuständigkeiten, die geteilten Zuständigkeiten und die unterstützenden Zuständigkeiten, bei denen die EU Maßnahmen zur Unterstützung oder Ergänzung der Politik der Mitgliedstaaten erlässt. Die Bereiche, auf die sich diese drei Arten von Zuständigkeiten erstrecken, sind in den Art. 3, 4 und 6 AEUV aufgeführt (zur abweichenden Auslegung des noch auf der EG-Datenschutzrichtlinie beruhenden BDSG vgl. Komm. zu § 4b BDSG Rz. 10). Für die Wirtschaftspraxis ergeben sich daraus regelmäßig weder relevante Einschränkungen noch relevante Freiräume. Denn u.a. fallen in den Anwendungsbereich des Unionsrechts der „Binnenmarkt“ (Art. 4 Abs. 2 Buchst. a AEUV), die „Sozialpolitik“ (Art. 4 Abs. 2 Buchst. b AEUV), der „wirtschaftliche, soziale und territoriale Zusammenhalt“ (Art. 4 Abs. 2 Buchst. c AEUV), der „Verbraucherschutz“ (Art. 4 Abs. 2 Buchst. f AEUV) sowie etwa die Bereiche „Gesundheit“, „Industrie“, „Kultur“, „Tourismus“ und „Bildung“ (Art. 6 AEUV).

b) Verarbeitung durch die Mitgliedstaaten im Bereich der gemeinsamen Außen- und Sicherheitspolitik (Buchst. b) 11 Die DSGVO findet gemäß Abs. 2 Buchst. b darüber hinaus keine Anwendung

auf eine Datenverarbeitung durch die Mitgliedstaaten im Rahmen von Tätigkeiten, die in den Anwendungsbereich von Titel V, Kapitel 2 des Vertrags über die Europäische Union (EUV) fallen. Dort geregelt ist die „gemeinsame Außenund Sicherheitspolitik“. 1 Albrecht, CR 2016, 88 (90).

958

|

Plath

Sachlicher Anwendungsbereich | Art. 2 DSGVO

c) Verarbeitung durch natürliche Personen zu persönlichen oder familiären Zwecken (Buchst. c) Die für die privatwirtschaftliche Praxis wohl relevanteste Ausnahme findet sich 12 in Abs. 2 Buchst. c. Nach dieser sog. „Haushaltsausnahme“ findet die DSGVO dann keine Anwendung, wenn die Verarbeitung durch eine natürliche Person zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten erfolgt. Die einschränkende Formulierung „ohne jede Gewinnerzielungsabsicht“, wie sie noch in den Vorversionen der Entwürfe der DSGVO vorgesehen war, konnte sich im Trilog nicht durchsetzen, womit der Ausnahme ein insoweit breiterer Anwendungsbereich verbleibt. Damit folgt die DSGVO einem bereits aus dem BDSG bekannten Konzept. 13 Auch der Anwendungsbereich des BDSG ist ausgeschlossen, soweit die Verwendung der personenbezogenen Daten ausschließlich für persönliche oder familiäre Tätigkeiten erfolgt (vgl. § 1 Abs. 2 Nr. 3 BDSG). Als typische – aber in dieser Form wohl zu weit gefasste – Beispiele nennt die DSGVO im Erwägungsgrund 18 „das Führen eines Schriftverkehrs oder von Anschriftenverzeichnissen oder die Nutzung sozialer Netze und Online-Tätigkeiten im Rahmen solcher Tätigkeiten“. Gemeint sind offenbar private Adressbücher oder Korrespondenz zwischen Privatpersonen in Schriftform. Diese Ausnahme soll ausweislich des Erwägungsgrunds auch dann gelten, wenn die Korrespondenz über soziale Netzwerke geführt wird. Der reine Umstand, dass die in sozialen Netzwerken eingestellten Informationen ggf. einer größeren Anzahl von Nutzern zugänglich sind, führt also nicht automatisch zur Anwendbarkeit der DSGVO. Gleichzeitig stellt Erwägungsgrund 18 klar, dass damit der Betreiber des sozialen Netzwerks, der diese private Art von Kommunikation durch die Bereitstellung der „Instrumente“ ermöglicht, nicht vom Ausnahmetatbestand umfasst werden soll. Es handelt sich also nicht um einen weiten Ausnahmetatbestand, der jedweden Umgang mit „familiären“ Daten beträfe. Im Gesetzgebungsprozess lange umstritten war die Beibehaltung des Wortes 14 „ausschließlich“, engl. „purely“, dahingehend, dass die Ausnahme nur dann gelten soll, wenn die Tätigkeit „ausschließlich“ den privaten oder familiären Zwecken dienen soll. Dass diese Formulierung im verabschiedeten Text der DSGVO beibehalten worden ist, führt nun dazu, dass sich der Verwender nicht darauf berufen kann, personenbezogene Daten Dritter „auch“ für eigene Zwecke zu verwenden und gewissermaßen nur „nebenbei“ zu kommerzialisieren. Eine solche Verwendung unterfiele der DSGVO, wie es auch bereits im BDSG vorgesehen ist (vgl. dazu Komm. zu § 1 BDSG Rz. 30). Grenzfälle mag es insbesondere im Bereich von Social-Media Aktivitäten geben. Insofern sei auf die Komm. zu § 1 BDSG Rz. 33 verwiesen. Weiter wird im Erwägungsgrund 18 klargestellt, dass diese Ausnahme die daten- 15 schutzrechtliche Verantwortung derjenigen Unternehmen unberührt lässt, die „die Instrumente für die Verarbeitung personenbezogener Daten für solche Plath

|

959

Art. 2 DSGVO | Allgemeine Bestimmungen persönlichen oder familiären Tätigkeiten bereitstellen“. Dies bezieht sich insbesondere auf Anbieter von Online-Plattformen und Technologien zur Speicherung und/oder Verbreitung von Daten und Informationen. Wenn also ein Nutzer über eine Social-Media Plattform z.B. Bilder und Informationen einstellt, die er nur im Familienkreis zugänglich macht, so unterfällt diese Tätigkeit des Nutzers nicht der DSGVO. Gleichwohl ist der Betreiber der Social-Media Plattform, der die Daten hostet, an die DSGVO gebunden. d) Verarbeitung zur Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten (Buchst. d) 16 Die DSGVO findet schließlich keine Anwendung auf eine Datenverarbeitung

zur Verhütung, Aufdeckung, Untersuchung oder Verfolgung von Straftaten oder zur Vollstreckung strafrechtlicher Sanktionen durch die zuständigen Behörden. Zu beachten ist, dass diese Ausnahme auf die Tätigkeit durch die Behörden beschränkt ist. Eine Tätigkeit durch „private“ Verantwortliche fällt durchaus auch dann in den Bereich der DSGVO, wenn sie den vorgenannten Zwecken im Bereich der Straftaten dient. Ganz im Gegenteil gelten insoweit dann u.U. die strengen Voraussetzungen des Art. 10. 4. Verarbeitung durch die Organe, Einrichtungen, Ämter und Agenturen der Union (Abs. 3)

17 Für die Verarbeitung personenbezogener Daten durch die Organe, Einrichtun-

gen, Ämter und Agenturen der Union gilt die Verordnung (EG) Nr. 45/2001. Die Verordnung (EG) Nr. 45/2001 und sonstige Rechtsakte der Union, die diese Verarbeitung personenbezogener Daten regeln, werden im Einklang mit Art. 98 an die Grundsätze und Vorschriften der DSGVO angepasst.

5. Unberührtheit der Richtlinie über den elektronischen Geschäftsverkehr (Abs. 4) 18 In Art. 2 Abs. 4 ist geregelt, dass die DSGVO die Anwendung der Richtlinie

über den elektronischen Geschäftsverkehr 2000/31/EG („E-Commerce-Richtlinie“) unberührt lässt. Speziell erwähnt sind die Vorschriften der Art. 12–15 der RL 2000/31, welche die Verantwortlichkeit von Anbietern von Vermittlungsdiensten regeln. Dort ist u.a. vorgesehen, dass der Dienstanbieter grundsätzlich nicht für die reine Durchleitung von Informationen haftet (Art. 12 E-CommerceRichtlinie), ebenso nicht für das „Caching“, also die automatische, zeitlich begrenzte Zwischenspeicherung von Daten (Art. 13 E-Commerce-Richtlinie). Weiter ist geregelt, dass der Host-Provider bestimmte Haftungsprivilegien genießt (Art. 14 E-Commerce-Richtlinie) und keine allgemeine Überwachungspflicht besteht (Art. 15 E-Commerce-Richtlinie). Diese Aktivitäten sollen also, selbst 960

|

Plath

Räumlicher Anwendungsbereich | Art. 3 DSGVO

wenn sie im räumlichen Anwendungsbereich der DSGVO stattfinden, von der Anwendbarkeit der DSGVO ausgenommen sein. 6. Vorrang der ePrivacy Richtlinie Über die vorstehenden Ausnahmen hinaus gelten vorrangig die Regelungen der 19 Richtlinie 2002/58/EG über den Datenschutz in der elektronischen Kommunikation – der sog. ePrivacy Richtlinie – als lex specialis, soweit die Voraussetzungen des Art. 95 gegeben sind1. Wegen der Einzelheiten sei auf die Komm. zu Art. 95 DSGVO verwiesen.

Artikel 3 Räumlicher Anwendungsbereich (1) Diese Verordnung findet Anwendung auf die Verarbeitung personenbezogener Daten, soweit diese im Rahmen der Tätigkeiten einer Niederlassung eines Verantwortlichen oder eines Auftragsverarbeiters in der Union erfolgt, unabhängig davon, ob die Verarbeitung in der Union stattfindet. (2) Diese Verordnung findet Anwendung auf die Verarbeitung personenbezogener Daten von betroffenen Personen, die sich in der Union befinden, durch einen nicht in der Union niedergelassenen Verantwortlichen oder Auftragsverarbeiter, wenn die Datenverarbeitung im Zusammenhang damit steht a) betroffenen Personen in der Union Waren oder Dienstleistungen anzubieten, unabhängig davon, ob von diesen betroffenen Personen eine Zahlung zu leisten ist; b) das Verhalten betroffener Personen zu beobachten, soweit ihr Verhalten in der Union erfolgt. (3) Diese Verordnung findet Anwendung auf die Verarbeitung personenbezogener Daten durch einen nicht in der Union niedergelassenen Verantwortlichen an einem Ort, der aufgrund Völkerrechts dem Recht eines Mitgliedstaats unterliegt. I. Einführung . . . . . . . . . . . . . II. Verarbeitung durch EU-Niederlassungen (Abs. 1) III. Verarbeitung durch NichtEU-Niederlassungen (Abs. 2) a) Angebot von Waren und Dienstleistungen . . . . . . . . .

..

1

..

5

. . 11

b) Verhaltensbeobachtung . . . . . . 22 IV. Verarbeitung in diplomatischen oder konsularischen Vertretungen eines Mitgliedstaats (Abs. 3) . . . . . . . . . . . . . . . . . . 24

. . 18

1 Albrecht, CR 2016, 88 (90).

Plath

|

961

Räumlicher Anwendungsbereich | Art. 3 DSGVO

wenn sie im räumlichen Anwendungsbereich der DSGVO stattfinden, von der Anwendbarkeit der DSGVO ausgenommen sein. 6. Vorrang der ePrivacy Richtlinie Über die vorstehenden Ausnahmen hinaus gelten vorrangig die Regelungen der 19 Richtlinie 2002/58/EG über den Datenschutz in der elektronischen Kommunikation – der sog. ePrivacy Richtlinie – als lex specialis, soweit die Voraussetzungen des Art. 95 gegeben sind1. Wegen der Einzelheiten sei auf die Komm. zu Art. 95 DSGVO verwiesen.

Artikel 3 Räumlicher Anwendungsbereich (1) Diese Verordnung findet Anwendung auf die Verarbeitung personenbezogener Daten, soweit diese im Rahmen der Tätigkeiten einer Niederlassung eines Verantwortlichen oder eines Auftragsverarbeiters in der Union erfolgt, unabhängig davon, ob die Verarbeitung in der Union stattfindet. (2) Diese Verordnung findet Anwendung auf die Verarbeitung personenbezogener Daten von betroffenen Personen, die sich in der Union befinden, durch einen nicht in der Union niedergelassenen Verantwortlichen oder Auftragsverarbeiter, wenn die Datenverarbeitung im Zusammenhang damit steht a) betroffenen Personen in der Union Waren oder Dienstleistungen anzubieten, unabhängig davon, ob von diesen betroffenen Personen eine Zahlung zu leisten ist; b) das Verhalten betroffener Personen zu beobachten, soweit ihr Verhalten in der Union erfolgt. (3) Diese Verordnung findet Anwendung auf die Verarbeitung personenbezogener Daten durch einen nicht in der Union niedergelassenen Verantwortlichen an einem Ort, der aufgrund Völkerrechts dem Recht eines Mitgliedstaats unterliegt. I. Einführung . . . . . . . . . . . . . II. Verarbeitung durch EU-Niederlassungen (Abs. 1) III. Verarbeitung durch NichtEU-Niederlassungen (Abs. 2) a) Angebot von Waren und Dienstleistungen . . . . . . . . .

..

1

..

5

. . 11

b) Verhaltensbeobachtung . . . . . . 22 IV. Verarbeitung in diplomatischen oder konsularischen Vertretungen eines Mitgliedstaats (Abs. 3) . . . . . . . . . . . . . . . . . . 24

. . 18

1 Albrecht, CR 2016, 88 (90).

Plath

|

961

Art. 3 DSGVO | Allgemeine Bestimmungen Schrifttum: Albrecht, Das neue EU-Datenschutzrecht – von der Richtlinie zur Verordnung, CR 2016, 88; Caspar, The CJEU Google Spain decision, DuD 39 (2015), 589; Klar, Räumliche Anwendbarkeit des (europäischen) Datenschutzrechts. Ein Vergleich am Beispiel von Satelliten, Luft und Panoramastraßenaufnahmen, ZD 2013, 109; Piltz, Der räumliche Anwendungsbereich europäischen Datenschutzrechts, K&R 2013, 292; Spiecker gen. Döhmann, Die Durchsetzung datenschutzrechtlicher Mindestanforderungen bei Facebook und anderen sozialen Netzwerken, K&R 2012, 717; Wieczorek, Der räumliche Anwendungsbereich der EU-Datenschutz-Grundverordnung, DuD 37 (2013), 644.

I. Einführung 1 Die Norm des Art. 3 regelt die verschiedenen Tatbestände, die den räumlichen

Anwendungsbereich der DSGVO eröffnen. Zusätzlich muss der sachliche Anwendungsbereich gemäß Art. 2 eröffnet sein.

2 Die rechtspolitische Zielsetzung des Art. 3 liegt erklärtermaßen in der Errich-

tung eines einheitlichen Datenschutzregimes innerhalb der EU. Während unter den Vorgaben der EG-Datenschutzrichtlinie innereuropäische Abgrenzungen zwischen den nationalen Rechtsordnungen der Mitgliedstaaten im Vordergrund standen, besteht nun im Grundsatz – jedenfalls in der Theorie – ein einheitliches datenschutzrechtliches Regelungswerk für sämtliche Sachverhalte mit EU-Bezug.

3 Darüber hinaus ist nunmehr auch explizit geregelt, unter welchen Vorausset-

zungen in Drittstaaten niedergelassene Unternehmen dem Recht der DSGVO unterworfen sein können. In dem vor Erlass der DSGVO ergangenen GoogleSpain-Urteil des EuGH1 wurde deutlich, dass Unternehmen aus Drittstaaten u.U. auch dann europäisches Datenschutzrecht beachten müssen, wenn die eigentliche Datenverarbeitung nicht in der EU stattfindet, das Unternehmen aber gleichwohl in der EU eine Niederlassung hat. Diese Linie findet in der DSGVO ihre Fortsetzung2. Unternehmen mit Sitz außerhalb der EU haben die Regeln der DSGVO zumindest dann zu befolgen, wenn sie Daten von in der EU befindlichen Personen verarbeiten, um Waren oder Dienstleistungen in der EU anzubieten oder das Verhalten dieser Personen zu beobachten.

4 Die Norm bestimmt somit insgesamt drei Anwendungsfälle für die Eröffnung

des räumlichen Anwendungsbereichs der DSGVO. Sie findet Anwendung:

– auf bestimmte Verarbeitungen durch EU-Niederlassungen, und zwar nach dem ausdrücklichen Wortlaut der Norm unabhängig davon, wo die Verarbeitung erfolgt und welche Personengruppen betroffen sind; – auf bestimmte Verarbeitungen durch Nicht-EU-Niederlassungen, wobei in diesem Fall Personen betroffen sein müssen, die sich in der Union „befinden“; 1 EuGH v. 13.5.2014 – C-131/12, CR 2014, 460 – Google Spain. 2 Beyvers/Herbrich, ZD 2014, 558 (562).

962

|

Plath

Räumlicher Anwendungsbereich | Art. 3 DSGVO

– im Falle einer Datenverarbeitung in diplomatischen oder konsularischen Vertretungen eines Mitgliedstaats (Abs. 3). Die maßgeblichen Erwägungsgründe finden sich in Erwägungsgründen 22–25.

II. Verarbeitung durch EU-Niederlassungen (Abs. 1) Der Anwendungsbereich der DSGVO ist nach der ersten Alternative (Abs. 1) er- 5 öffnet, wenn die Datenverarbeitung „im Rahmen der Tätigkeiten“ einer Niederlassung in der Union stattfindet, unabhängig davon, ob die Verarbeitung selbst auch in der Union stattfindet. Der Tatbestand erfordert zunächst eine „Verarbeitung“ von „personenbezogenen Daten“. Diese Begriffe sind in Art. 4 definiert (s. dort). Die Norm erfordert weiter eine Verarbeitung „im Rahmen der Tätigkeiten einer 6 Niederlassung“ in der Union. Maßgeblich ist nach dieser Norm also nicht, wo die Verarbeitung erfolgt, sondern vielmehr, ob das verarbeitende Unternehmen in der EU niedergelassen ist, sei es als Hauptsitz oder nur im Rahmen einer Niederlassung. In der Norm ist klargestellt, dass der Ort der Niederlassung auch dann ausreichend ist, wenn die eigentliche Verarbeitung selbst nicht in der Union erfolgt, z.B. weil die Niederlassung ihren Server außerhalb der EU betreibt. Anwendung findet die Norm sowohl auf die Niederlassung eines Verantwortlichen, als auch auf die Niederlassung eines Auftragsverarbeiters. Die maßgeblichen Fragen zur Prüfung der Eröffnung des Anwendungsbereichs 7 der DSGVO auf Grundlage dieser Variante lauten, (1.) wie das Merkmal der „Niederlassung“ zu verstehen ist, und (2.) ob die „Tätigkeit der Niederlassung“ selbst datenverarbeitend sein muss, oder ob bereits eine Hilfstätigkeit zur wirtschaftlichen Verwertung der Daten, oder sogar schlichte Präsenz in einem Mitgliedstaat ausreicht. Die erste Frage beantwortet sich nach der Auslegung des Begriffs der Niederlas- 8 sung. Dieser Begriff ist nicht unmittelbar in der DSGVO definiert. Nach Erwägungsgrund 22 setzt eine Niederlassung die „effektive und tatsächliche Ausübung einer Tätigkeit durch eine feste Einrichtung“ voraus. Die Rechtsform einer solchen Einrichtung, gleich, ob es sich um eine Zweigstelle oder eine Tochtergesellschaft mit eigener Rechtspersönlichkeit handelt, ist dabei nach Erwägungsgrund 22 nicht ausschlaggebend. Diese Formulierung deckt sich inhaltlich mit derjenigen der EG-Datenschutzrichtlinie1, so dass zur Definition des Begriffs der Niederlassung auf die entsprechende Judikatur zurückgegriffen werden kann. Kurz vor Verabschiedung der DSGVO entschied der EuGH insoweit im Fall „Weltimmo“2, dass bereits eine minimale Präsenz in Form eines Vertre1 Dort ebenfalls Erwägungsgrund 22. 2 EuGH v. 1.10.2015 – C-230/14, CR 2016, 109 – weltimmo.

Plath

|

963

Art. 3 DSGVO | Allgemeine Bestimmungen ters, eines Bankkontos und eines Postfaches im Sinne der EG-Datenschutzrichtlinie eine effektive und tatsächliche Tätigkeitsausübung darstellen kann. Anhand dieses Maßstabes kommt es auch nicht darauf an, ob die Niederlassung im streng juristischen Sinne einen „Sitz“ in der Union hat. Maßgeblich ist indes, dass sich jedenfalls die feste „Einrichtung“ in der Union befindet, wenngleich auch die eigentliche Datenverarbeitung außerhalb der Union erfolgen kann. 9 Allerdings bleibt es auch bei Vorliegen einer Niederlassung in der EU bei der

weiteren Frage, ob diese Niederlassung selbst „datenverarbeitend“ tätig werden muss, um den territorialen Anwendungsbereich der DSGVO zu eröffnen. Relevant wird dies z.B. in dem Fall, dass ein US-Unternehmen eine Niederlassung in der EU unterhält, diese Niederlassung jedoch keine Berührungspunkte zu dem Vorgang der Datenverarbeitung aufweist. Das vor Erlass der DSGVO ergangene Google-Spain-Urteil1 legte insoweit das entsprechende Tatbestandsmerkmal der EG-Datenschutzrichtlinie, wonach „Tätigkeiten einer Niederlassung“ in der EU gefordert waren, explizit dahingehend aus, dass diese Tätigkeit nicht datenverarbeitend sein musste. Ausreichend sei bereits, dass die Tätigkeit der Niederlassung die Verarbeitung durch den Mutterkonzern wirtschaftlich fördert, etwa durch den Anzeigenvertrieb. Durch Auslagerung der Verarbeitung, etwa durch den Betrieb der Server außerhalb der EU2, konnte das Unternehmen dem europäischen Datenschutzrecht also bereits vor Erlass der DSGVO nicht „entfliehen“3. Die deutsche Judikatur blieb in der insoweit besonders relevanten Frage der Anwendung deutschen Datenschutzrechts auf die Aktivität von Facebook bis zuletzt gespalten4. Das OVG Schleswig lehnte die Anwendbarkeit ab5, während das KG Berlin sie bejahte6. Diesbezüglich könnten die zuletzt vom Bundesverwaltungsgericht formulierten Vorlagefragen an den EuGH für mehr Rechtssicherheit sorgen7.

10 Der EuGH hat seine Linie zur Anwendbarkeit des nationalen bzw. europäischen

Datenschutzrechtes auf ausländische Unternehmen mit Niederlassung in der EU also schon vor Inkrafttreten der DSGVO deutlich gemacht und insoweit eine sehr weitreichende Anwendbarkeit des europäischen Rechts bejaht. Es ist damit zu rechnen, dass sich diese Rechtsprechung unter der DSGVO fortsetzen und somit eine sehr niedrige Schwelle für die Anwendbarkeit der DSGVO nach Abs. 1 angelegt werden wird. Dies wird insbesondere durch den Umstand verdeutlicht, dass nach dem Wortlaut der DSGVO noch nicht einmal eine Datenverarbeitung in der Union erforderlich ist. Andererseits dürfte es für die Begrün-

1 2 3 4 5 6 7

EuGH v. 13.5.2014 – C-131/12, CR 2014, 460 – Google Spain. Piltz, K&R 2013, 292 (293). Caspar, DuD 39 (2015), 589 (589). Beyvers/Herbrich, ZD 2014, 558 (559). OVG Schleswig v. 22.4.2013 – 4 MB 11/13, CR 2013, 536. KG Berlin v. 24.1.2014 – 5 U 42/12, CR 2014, 319. BVerwG v. 25.2.2016 – 1 C 28.14, ZD 2016, 199.

964

|

Plath

Räumlicher Anwendungsbereich | Art. 3 DSGVO

dung des Anwendungsbereichs der DSGVO selbst nach diesem niedrigen Maßstab nicht ausreichen, wenn die in der Union tätige Niederlassung überhaupt keinen Einfluss auf die Datenverarbeitung durch eine ausländische Muttergesellschaft hat bzw. an dieser in keiner Weise beteiligt ist und davon auch nicht profitiert.

III. Verarbeitung durch Nicht-EU-Niederlassungen (Abs. 2) Abs. 3 eröffnet den Anwendungsbereich der DSGVO für bestimmte Verarbei- 11 tungen durch Nicht-EU-Niederlassungen. Bei der Regelung des Abs. 2 handelt es sich um die wichtigste Neuerung gegenüber den bestehenden Regelungen des BDSG: Sie erweitert das Territorialitätsprinzip des Abs. 1 um das sog. „Targeting“1: Anknüpfungspunkt ist hier die Verarbeitung der Daten von Personen, „die sich in der Union befinden“. Adressat der Norm sind ausschließlich die „nicht in der Union niedergelassenen 12 Verantwortlichen oder Auftragsverarbeiter“. Damit bildet der Abs. 2 gewissermaßen das Gegenstück zu Abs. 1, wenngleich auch die Abgrenzung nicht randscharf erfolgt, da in Abs. 2 lediglich auf den reinen Ort der Niederlassung und den „Zusammenhang“ der Datenverarbeitung abgestellt wird, und nicht etwa auf die „Tätigkeit“ der Niederlassung, die nach Abs. 1 relevant ist. Zweck der Norm ist zum einen der sog. Belastungsausgleich in Bezug auf datenschutzrechtliche Vorgaben zugunsten europäischer Unternehmen im Verhältnis zu nicht-europäischen Unternehmen. Für außer- und innereuropäische Unternehmen soll ein „Level Playing Field“2 im EU-Markt geschaffen werden. Zum anderen soll nach Erwägungsgrund 23 sichergestellt werden, dass in der EU befindliche Personen auch gegenüber nicht-europäischen Unternehmen geschützt sind. Dieses Ziel wird freilich nur bedingt erreicht, da der Anwendungsbereich des Abs. 2 auf die nachfolgend näher dargestellten Tätigkeiten beschränkt ist. In den Entwurfsfassungen der DSGVO wurde zunächst noch auf die „in der 13 Union ansässigen Personen“ abgestellt. In der verabschiedeten Fassung findet sich stattdessen nunmehr eine Bezugnahme auf die Personen, die sich „in der Union befinden“. Dem mag man entnehmen, dass es nicht darum geht, wo eine Person ihren registrierten Wohnsitz hat, sondern vielmehr um ihren tatsächlichen physischen Aufenthaltsort. Unklar bleibt dabei allerdings, auf welchen konkreten Zeitpunkt des Aufenthalts 14 in der Union abzustellen ist. Vertreten wird dazu, dass der Zeitpunkt der Verarbeitung maßgeblich sei3. Allerdings wäre bei strenger Anlegung dieser Sichtweise z.B. ein EU-Bürger, der sich auf eine Auslandsreise begibt, jedenfalls für 1 Klar, ZD 2013, 109 (112). 2 European Commission: Stronger data protection rules for Europe (15.6.2015). 3 Albrecht, CR 2016, 88 (90).

Plath

|

965

Art. 3 DSGVO | Allgemeine Bestimmungen den Zeitraum einer solchen Reise nicht mehr durch die DSGVO geschützt, da er jedenfalls für diesen Moment nicht in der EU „befindlich“ ist. Dies kann nicht gemeint gewesen sein. Eine sachgerechte Auslegung mag darin liegen, bereits auf den Zeitpunkt der „Erhebung“ der Daten abzustellen und die Anwendbarkeit der DSGVO dann fortwirken zu lassen. So muss z.B. ein EU Bürger, dessen Daten durch ein nicht-europäisches Unternehmen gespeichert werden, auch dann noch geschützt sein, wenn er sich auf einer (kurzfristigen) Auslandsreise befindet. In Grenzfällen dürfte eine wertende Betrachtung anzulegen sein. 15 Festzuhalten ist aber jedenfalls, dass die Norm des Abs. 2 – anders als noch in

den Verhandlungen vorgesehen – nicht an die Staatsangehörigkeit der betroffenen Personen anknüpft. Bürger aus Drittstaaten, die sich in der Union „befinden“, sind genauso geschützt wie dort befindliche EU-Bürger.

16 Der Aufenthaltsort der betroffenen Person ist allerdings nicht allein ausrei-

chend, um den persönlichen Anwendungsbereich der DSGVO zu begründen. Erforderlich ist vielmehr zudem, dass die Datenverarbeitung bestimmten Zwecken dient. Einschlägige Zwecke sind sowohl das Angebot von Waren oder Dienstleistungen an solche Personen als auch die Beobachtung ihres Verhaltens. Im Umkehrschluss bedeutet dies allerdings auch, dass die Verarbeitung personenbezogener Daten durch ein nicht-europäisches Unternehmen dann nicht unter den Anwendungsbereich des Abs. 2 fällt, wenn diese Verarbeitung zu anderen Zwecken erfolgt, soweit dieses Unternehmen nicht eine Niederlassung nach Abs. 1 unterhält.

17 Ob sich somit ein nicht-europäisches Unternehmen, das Daten von in der EU

befindlichen Personen verarbeitet, an die Vorgaben der DSGVO zu halten hat, hängt im Anwendungsbereich des Abs. 2 also entscheidend von dem Zweck der Datenverarbeitung ab. Die Frage wird wichtig vor allem in Bezug auf digitale Dienstleistungen, Fernabsatz, und soziale Netzwerke, die sich an EU-Bürger richten1. a) Angebot von Waren und Dienstleistungen

18 Nach Abs. 2 Buchst. a ist ein Angebot von Waren oder Dienstleistungen erfor-

derlich. Aus dem europäischen Primär- und Sekundärrecht ergeben sich Auslegungshilfen für die Begriffe Waren (Art. 28 Abs. 2 AEUV) und Dienstleistung (Art. 57 AEUV, Richtlinie 2006/123/EG). Die DSGVO selbst hält keine eigene Definition bereit. Der Gesetzgeber wird von einer gewissen Eindeutigkeit der Begriffe ausgegangen sein. Insbesondere kann davon ausgegangen werden, dass keine zu enge Auslegung gewählt werden darf. So darf z.B. der Begriff der „Dienstleistungen“ nicht auf Leistungen i.S.d. § 611 BGB reduziert werden, sondern umfasst zweifellos auch Werk- und sonstige Leistungen.

1 Wieczorek, DuD 37 (2013), 644 (647).

966

|

Plath

Räumlicher Anwendungsbereich | Art. 3 DSGVO

Ein zentrales Problem für die Praxis ist die Auslegung der Formulierung „an- 19 zubieten“. Insbesondere fragt sich, ob es schon ausreicht, dass eine Webseite durch entsprechende sprachliche Gestaltung und/oder Domainendung auf den europäischen Markt abzielt1. Erwägungsgrund 23 gibt insoweit hilfreiche Auslegungshilfen. Danach ist zu prüfen, ob der Anbieter „offensichtlich beabsichtigt, betroffenen Personen in einem oder mehreren Mitgliedstaaten der Union Dienstleistungen anzubieten“. Erforderlich ist also eine sehr zielgerichtete Handlung. Nicht ausreichend dafür ist nach Erwägungsgrund 23 „die bloße Zugänglichkeit der Website des Verantwortlichen“. Der reine Umstand, dass eine in einem Drittstaat betriebene und auf den lokalen Markt ausgerichtete Website über das Internet auch in der Union abrufbar ist, führt also noch nicht zur Anwendbarkeit der DSGVO. Ebenso reicht die Angabe „einer E-Mail-Adresse oder anderer Kontaktdaten“ nicht aus. Dies kann allerdings anders zu bewerten sein, wenn Kontaktdaten angegeben werden, aus denen sich eine Ausrichtung auf die EU ergibt, z.B. durch Angabe einer Adresse eines Unternehmens mit Sitz in der EU. Nicht ausreichend ist nach den Erwägungsgründen weiterhin die Verwendung „einer Sprache, die in dem Drittland, in dem der für die Verarbeitung Verantwortliche niedergelassen ist, allgemein gebräuchlich ist“. Typischerweise gilt dies etwa für die Verwendung der englischen Sprache auf Webseiten US-amerikanischer Anbieter. Dieser Umstand allein führt noch nicht zur Anwendung der DSGVO. Andererseits stellt aber „die Verwendung einer Sprache oder Währung, die in einem oder mehreren Mitgliedstaaten gebräuchlich ist, in Verbindung mit der Möglichkeit, Waren und Dienstleistungen in dieser anderen Sprache zu bestellen“ einen Anhaltspunkt für die Anwendbarkeit der DSGVO dar. Erfasst sind damit insbesondere die Fälle, in denen z.B. ein US-amerikanischer Social Media Anbieter seine Website z.B. in deutscher Sprache ausgestaltet, womit er zu erkennen gibt, dass er seine Angebote auch an deutsche bzw. österreichische Nutzer ausrichtet. Gleiches gilt für „die Erwähnung von Kunden oder Nutzern, die sich in der Union befinden“, in den Website-Texten oder sonstigen Werbematerialien des Anbieters. Nicht klar geregelt ist, ob die DSGVO auch dann zur Anwendung kommt, wenn 20 es zwar an einem auf die EU ausgerichteten Angebot fehlt, es letztlich aber gleichwohl zum Vertragsschluss mit einer in der Union befindlichen Person kommt. Denkbar wäre insoweit der Fall, dass eine Website nur auf den US-amerikanischen Markt abzielt, ein deutscher Nutzer diese Seite jedoch ausfindig macht und dort Leistungen abruft. Zwar fehlt es bei diesem Beispiel im strengen Sinne an der offensichtlichen Absicht des Angebots von Leistungen an solche Nutzer. Allerdings muss die DSGVO insoweit nach der hier vertretenen Ansicht erst recht zur Anwendung kommen, wenn sich der Verantwortliche – auch ohne gezielt ausgerichtetes Angebot – letztlich sogar zum Vertragsschluss mit einer in der Union befindlichen Person entscheidet. 1 Piltz, K&R 2013, 292 (297).

Plath

|

967

Art. 3 DSGVO | Allgemeine Bestimmungen 21 Die lange geführte Debatte darüber, ob auch kostenlose oder werbefinanzierte

Angebote unter die Norm fallen1, erledigte sich durch die Formulierung „unabhängig davon, ob von diesen betroffenen Personen eine Zahlung zu leisten ist“, die im Trilog Eingang in den Normtext gefunden hat. Danach fallen alle entgeltlichen, unentgeltlichen und drittfinanzierten Angebote von Waren oder Dienstleistungen unter den Anwendungsbereich der Norm. b) Verhaltensbeobachtung

22 Zum zweiten Kriterium der „Verhaltensbeobachtung“ hält Erwägungsgrund 24

eine kleinteilige Definition bereit. So soll es entscheidend darauf ankommen, ob (i) Internetaktivitäten einer Person nachvollzogen, (ii) diese einem Profil zugeordnet, und so (iii) Vorlieben, Verhaltensweisen oder Gepflogenheiten analysiert oder vorausgesagt werden. Damit liegt die Messlatte zunächst recht hoch: „punktuelle Maßnahmen“2 werden für die Eröffnung des Anwendungsbereiches nicht ausreichen, vielmehr wird eine systematische, Algorithmen-basierte Auswertung von Daten zu fordern sein. Erkennbar zielt dieses Kriterium auf den Bereich der Online-Werbung ab, wo Targeting-basierte Produktempfehlungen für Nutzer generiert werden. Aber auch das Suchverhalten der Nutzer von Suchmaschinen, Datenbanken und sozialen Netzwerken dürfte erfasst sein. Ein Verbot des „Profiling“ selbst liegt darin nicht. Allerdings ist insoweit Art. 22 zu beachten, der das Verbot der automatisierten Einzelfallentscheidung regelt.

23 Hinsichtlich der Verhaltensbeobachtung nach Abs. 2 Buchst. b ist schließlich zu

beachten, dass der Anwendungsbereich nach dieser Variante nur eröffnet ist, wenn das „Verhalten in der Union erfolgt“.

IV. Verarbeitung in diplomatischen oder konsularischen Vertretungen eines Mitgliedstaats (Abs. 3) 24 Nach der dritten Variante findet die DSGVO Anwendung, wenn die Datenver-

arbeitung an einem Ort stattfindet, an dem „nach internationalem Recht“ mitgliedstaatliches Recht anwendbar ist. Davon sind nach Erwägungsgrund 25 insbesondere die „diplomatischen oder konsularischen Vertretungen eines Mitgliedstaats“ erfasst.

1 Vgl. nur Wieczorek, DuD 37 (2013), 644 (648). 2 Klar, ZD 2013, 109 (113).

968

|

Plath

Begriffsbestimmungen | Art. 4 DSGVO

Artikel 4 Begriffsbestimmungen Im Sinne dieser Verordnung bezeichnet der Ausdruck 1. „personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann; 2. „Verarbeitung“ jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung; 3. „Einschränkung der Verarbeitung“ die Markierung gespeicherter personenbezogener Daten mit dem Ziel, ihre künftige Verarbeitung einzuschränken; 4. „Profiling“ jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen; 5. „Pseudonymisierung“ die Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden; 6. „Dateisystem“ jede strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zugänglich sind, unabhängig davon, ob diese Sammlung zentral, dezentral oder nach funktionalen oder geografischen Gesichtspunkten geordnet geführt wird; Schreiber

|

969

Art. 4 DSGVO | Allgemeine Bestimmungen 7. „Verantwortlicher“ die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so kann der Verantwortliche beziehungsweise können die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden; 8. „Auftragsverarbeiter“ eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet; 9. „Empfänger“ eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, der personenbezogene Daten offengelegt werden, unabhängig davon, ob es sich bei ihr um einen Dritten handelt oder nicht. Behörden, die im Rahmen eines bestimmten Untersuchungsauftrags nach dem Unionsrecht oder dem Recht der Mitgliedstaaten möglicherweise personenbezogene Daten erhalten, gelten jedoch nicht als Empfänger; die Verarbeitung dieser Daten durch die genannten Behörden erfolgt im Einklang mit den geltenden Datenschutzvorschriften gemäß den Zwecken der Verarbeitung; 10. „Dritter“ eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, außer der betroffenen Person, dem Verantwortlichen, dem Auftragsverarbeiter und den Personen, die unter der unmittelbaren Verantwortung des Verantwortlichen oder des Auftragsverarbeiters befugt sind, die personenbezogenen Daten zu verarbeiten; 11. „Einwilligung“ der betroffenen Person jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist; 12. „Verletzung des Schutzes personenbezogener Daten“ eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden; 13. „genetische Daten“ personenbezogene Daten zu den ererbten oder erworbenen genetischen Eigenschaften einer natürlichen Person, die eindeutige Informationen über die Physiologie oder die Gesundheit dieser natürlichen Person liefern und insbesondere aus der Analyse einer biologischen Probe der betreffenden natürlichen Person gewonnen wurden; 970

|

Schreiber

Begriffsbestimmungen | Art. 4 DSGVO

14. „biometrische Daten“ mit speziellen technischen Verfahren gewonnene personenbezogene Daten zu den physischen, physiologischen oder verhaltenstypischen Merkmalen einer natürlichen Person, die die eindeutige Identifizierung dieser natürlichen Person ermöglichen oder bestätigen, wie Gesichtsbilder oder daktyloskopische Daten; 15. „Gesundheitsdaten“ personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen; 16. „Hauptniederlassung“ a) im Falle eines Verantwortlichen mit Niederlassungen in mehr als einem Mitgliedstaat den Ort seiner Hauptverwaltung in der Union, es sei denn, die Entscheidungen hinsichtlich der Zwecke und Mittel der Verarbeitung personenbezogener Daten werden in einer anderen Niederlassung des Verantwortlichen in der Union getroffen und diese Niederlassung ist befugt, diese Entscheidungen umsetzen zu lassen; in diesem Fall gilt die Niederlassung, die derartige Entscheidungen trifft, als Hauptniederlassung; b) im Falle eines Auftragsverarbeiters mit Niederlassungen in mehr als einem Mitgliedstaat den Ort seiner Hauptverwaltung in der Union oder, sofern der Auftragsverarbeiter keine Hauptverwaltung in der Union hat, die Niederlassung des Auftragsverarbeiters in der Union, in der die Verarbeitungstätigkeiten im Rahmen der Tätigkeiten einer Niederlassung eines Auftragsverarbeiters hauptsächlich stattfinden, soweit der Auftragsverarbeiter spezifischen Pflichten aus dieser Verordnung unterliegt; 17. „Vertreter“ eine in der Union niedergelassene natürliche oder juristische Person, die von dem Verantwortlichen oder Auftragsverarbeiter schriftlich gemäß Artikel 27 bestellt wurde und den Verantwortlichen oder Auftragsverarbeiter in Bezug auf die ihnen jeweils nach dieser Verordnung obliegenden Pflichten vertritt; 18. „Unternehmen“ eine natürliche und juristische Person, die eine wirtschaftliche Tätigkeit ausübt, unabhängig von ihrer Rechtsform, einschließlich Personengesellschaften oder Vereinigungen, die regelmäßig einer wirtschaftlichen Tätigkeit nachgehen; 19. „Unternehmensgruppe“ eine Gruppe, die aus einem herrschenden Unternehmen und den von diesem abhängigen Unternehmen besteht; 20. „verbindliche interne Datenschutzvorschriften“ Maßnahmen zum Schutz personenbezogener Daten, zu deren Einhaltung sich ein im Hoheitsgebiet eines Mitgliedstaats niedergelassener Verantwortlicher oder Auftragsverarbeiter verpflichtet im Hinblick auf Datenübermittlungen oder eine Kategorie von Datenübermittlungen personenbezogener Daten an einen Schreiber

|

971

Art. 4 DSGVO | Allgemeine Bestimmungen

21. 22.

23.

24.

25. 26.

Verantwortlichen oder Auftragsverarbeiter derselben Unternehmensgruppe oder derselben Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben, in einem oder mehreren Drittländern; „Aufsichtsbehörde“ eine von einem Mitgliedstaat gemäß Artikel 51 eingerichtete unabhängige staatliche Stelle; „betroffene Aufsichtsbehörde“ eine Aufsichtsbehörde, die von der Verarbeitung personenbezogener Daten betroffen ist, weil a) der Verantwortliche oder der Auftragsverarbeiter im Hoheitsgebiet des Mitgliedstaats dieser Aufsichtsbehörde niedergelassen ist, b) diese Verarbeitung erhebliche Auswirkungen auf betroffene Personen mit Wohnsitz im Mitgliedstaat dieser Aufsichtsbehörde hat oder haben kann oder c) eine Beschwerde bei dieser Aufsichtsbehörde eingereicht wurde; „grenzüberschreitende Verarbeitung“ entweder a) eine Verarbeitung personenbezogener Daten, die im Rahmen der Tätigkeiten von Niederlassungen eines Verantwortlichen oder eines Auftragsverarbeiters in der Union in mehr als einem Mitgliedstaat erfolgt, wenn der Verantwortliche oder Auftragsverarbeiter in mehr als einem Mitgliedstaat niedergelassen ist, oder b) eine Verarbeitung personenbezogener Daten, die im Rahmen der Tätigkeiten einer einzelnen Niederlassung eines Verantwortlichen oder eines Auftragsverarbeiters in der Union erfolgt, die jedoch erhebliche Auswirkungen auf betroffene Personen in mehr als einem Mitgliedstaat hat oder haben kann; „maßgeblicher und begründeter Einspruch“ einen Einspruch gegen einen Beschlussentwurf im Hinblick darauf, ob ein Verstoß gegen diese Verordnung vorliegt oder ob beabsichtigte Maßnahmen gegen den Verantwortlichen oder den Auftragsverarbeiter im Einklang mit dieser Verordnung steht, wobei aus diesem Einspruch die Tragweite der Risiken klar hervorgeht, die von dem Beschlussentwurf in Bezug auf die Grundrechte und Grundfreiheiten der betroffenen Personen und gegebenenfalls den freien Verkehr personenbezogener Daten in der Union ausgehen; „Dienst der Informationsgesellschaft“ eine Dienstleistung im Sinne des Artikels 1 Nummer 1 Buchstabe b der Richtlinie (EU) 2015/1535 des Europäischen Parlaments und des Rates1; „internationale Organisation“ eine völkerrechtliche Organisation und ihre nachgeordneten Stellen oder jede sonstige Einrichtung, die durch

1 Richtlinie (EU) 2015/1535 des Europäischen Parlaments und des Rates vom 9.9.2015 über ein Informationsverfahren auf dem Gebiet der technischen Vorschriften und der Vorschriften für die Dienste der Informationsgesellschaft (ABl. L 241 vom 17.9.2015, S. 1).

972

|

Schreiber

Begriffsbestimmungen | Art. 4 DSGVO

eine zwischen zwei oder mehr Ländern geschlossene Übereinkunft oder auf der Grundlage einer solchen Übereinkunft geschaffen wurde. I. Einführung . . . . . . . . . . . . II. Personenbezogene Daten (Nr. 1) . . . . . . . . . . . . . . . III. Verarbeitung (Nr. 2) . . . . . IV. Einschränkung der Verarbeitung (Nr. 3) . . . . . V. Profiling (Nr. 4) . . . . . . . . VI. Pseudonymisierung (Nr. 5) 1. Pseudonymisierung . . . . . . 2. Anonymisierung . . . . . . . . VII. Dateisystem (Nr. 6) . . . . . . VIII. Verantwortlicher (Nr. 7) . . IX. Auftragsverarbeiter (Nr. 8) X. Empfänger (Nr. 9) . . . . . . . XI. Dritter (Nr. 10) . . . . . . . . . XII. Einwilligung (Nr. 11) . . . . XIII. Verletzung des Schutzes personenbezogener Daten (Nr. 12) . . . . . . . . . . . . . . XIV. Genetische Daten (Nr. 13) . XV. Biometrische Daten (Nr. 14) . . . . . . . . . . . . . . XVI. Gesundheitsdaten (Nr. 15) XVII. Hauptniederlassung (Nr. 16) . . . . . . . . . . . . . . 1. Niederlassung . . . . . . . . . . 2. Hauptniederlassung . . . . . .

.

1

. 4 . 12 . 14 . 16 . . . . . . . .

18 22 23 25 28 29 32 35

. 39 . 44 . 49 . 53 . 58 . 59 . 60

XVIII. Vertreter (Nr. 17) . . . . . . . . XIX. Unternehmen (Nr. 18) . . . . XX. Unternehmensgruppe (Nr. 19) . . . . . . . . . . . . . . . 1. Herrschendes Unternehmen . 2. Sonstiges . . . . . . . . . . . . . . . XXI. Verbindliche interne Datenschutzvorschriften (Nr. 20) . XXII. Aufsichtsbehörde (Nr. 21) . . XXIII. Betroffene Aufsichtsbehörde (Nr. 22) . . . . . . . . . . . . . . . 1. Niederlassung des Verantwortlichen oder Auftragsverarbeiters (Buchst. a) . . . . . 2. Erhebliche Auswirkungen auf betroffene Personen (Buchst. b) . . . . . . . . . . . . . 3. Einreichung einer Beschwerde (Buchst. c) . . . . . . . . . . . . . . XXIV. Grenzüberschreitende Verarbeitung (Nr. 23) . . . . . XXV. Maßgeblicher und begründeter Einspruch (Nr. 24) . . . . . XXVI. Dienst der Informationsgesellschaft (Nr. 25) . . . . . . XXVII. Internationale Organisation (Nr. 26) . . . . . . . . . . . . . . .

65 68 72 73 76 79 83 84 85 86 89 90 94 96 100

I. Einführung Wie § 3 BDSG stellt Art. 4 die zentrale Definitionsnorm der DSGVO dar und 1 legt die jeweilige Bedeutung für die wesentlichen Begriffe der DSGVO fest. Art. 4 ist zwar nicht abschließend. Er umfasst jedoch die wichtigsten Definitionen der DSGVO. Lediglich in Art. 51 („Aufsichtsbehörde“) und Art. 68 („Ausschuss“) sowie im Rahmen des Art. 5 zur Festlegung der fundamentalen Grundsätze für die Verarbeitung personenbezogener Daten (z.B. „Rechtmäßigkeit“, „Zweckbindung“, „Transparenz“, „Verhältnismäßigkeit“ und „Rechenschaft“; s. Komm. zu Art. 5 DSGVO Rz. 1 ff.) finden sich weitere Legaldefinitionen. Schreiber

|

973

Art. 4 DSGVO | Allgemeine Bestimmungen 2 Eine Reihe der in der DSGVO verwendeten Begriffe weisen Anleihen zur EG-

Datenschutzrichtlinie auf, so dass eine entsprechende Verwandtschaft auch zu den Definitionen des BDSG vorhanden ist (vgl. auch Komm. zu § 3 BDSG Rz. 3). Allerdings weichen auch einzelne Bestimmungen vom Wortlaut der EGDatenschutzrichtlinie und des BDSG ab, so dass dort im Vergleich zur bisherigen Rechtslage abweichende Interpretationen möglich sind.

3 Darüber hinaus wurde der Katalog der Definitionen erheblich erweitert, so

dass es eine ganze Reihe neuer Definitionen gibt. Damit spiegelt der Definitionenkatalog die Komplexität der DSGVO wider: Kam die EG-Datenschutzrichtlinie noch mit einem Katalog von acht Definitionen aus, sind es bei der DSGVO nunmehr 26.

II. Personenbezogene Daten (Nr. 1) 4 Gemäß Nr. 1 sind unter „personenbezogenen Daten“ alle Informationen zu ver-

stehen, die sich auf eine identifizierte oder identifizierbare natürliche Person, sog. „Betroffene“, beziehen.

5 Wie schon das BDSG schützt auch die DSGVO ausschließlich natürliche Per-

sonen. Eine Ausdehnung des Persönlichkeitsschutzes auf Unternehmen, wie er in manchen Jurisdiktionen der Europäischen Union existiert (z.B. in Italien, Österreich oder Luxemburg1), ist durch die DSGVO nicht vorgesehen. Die DSGVO hindert die Mitgliedstaaten aber auch nicht daran, (weiterhin) einen solchen Unternehmenspersönlichkeitsschutz vorzusehen.

6 Die DSGVO gilt nicht für die Verarbeitung personenbezogener Daten Ver-

storbener, obwohl das nicht ausdrücklich in dem Gesetzestext Erwähnung findet. Stattdessen weist lediglich Erwägungsgrund 27 darauf hin, was allerdings im Einklang mit der überwiegenden Auslegung zum BDSG und der hier vertretenen Ansicht steht (vgl. Komm. zu § 3 BDSG Rz. 10). Danach endet das Recht eines Betroffenen auf informationelle Selbstbestimmung mit dessen Tod. Ausdrücklich weist Erwägungsgrund 27 aber darauf hin, dass die Mitgliedstaaten Vorschriften für die Verarbeitung der personenbezogenen Daten Verstorbener vorsehen können.

7 Für die Frage, ob ein Datum personenbezogen ist, kommt es darauf an, ob eine

natürliche Person anhand der Daten bereits identifiziert ist oder identifiziert werden kann. In der EG-Datenschutzrichtlinie wie auch in § 3 Abs. 1 BDSG war seinerzeit noch von einer „bestimmten oder bestimmbaren Person“ die Rede. Dennoch wird man im Rahmen der Interpretation der Nr. 1 auf die Auslegung zu EG-Datenschutzrichtlinie und BDSG zurückgreifen können. „Identifizierte oder identifizierbare“ wurde nämlich erst im Rahmen der offiziellen deutschen

1 Vgl. hierzu Artikel-29-Datenschutzgruppe, personenbezogene Daten, 28.

974

|

Schreiber

Begriffsbestimmungen | Art. 4 DSGVO

Übersetzung anstelle von „bestimmte oder bestimmbare“ aufgenommen. Offenbar hat man diese Übersetzung für treffender gehalten. Dass damit eine inhaltliche Änderung einher gehen sollte, ist nicht erkennbar; nicht zuletzt, weil der englische Text, der inhaltlich der Regelung der EG-Datenschutzrichtlinie entspricht, an selber Stelle unverändert geblieben ist. Wie schon in der EG-Datenschutzrichtlinie gilt eine natürliche Person als „iden- 8 tifizierbar“ (bzw. „bestimmbar“), die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann. Ergänzend ist in der DSGVO nun noch das Merkmal der „genetischen“ Identität hinzugekommen, ohne der Definition an sich jedoch eine abweichende Bedeutung beizumessen. Im Einzelnen kann auf die Komm. zu § 3 BDSG Rz. 6 und Rz. 12 ff. verwiesen werden. Wie schon unter dem BDSG wird es auch unter der DSGVO voraussichtlich 9 strittig bleiben, aus welcher Perspektive – objektiv bzw. absolut oder relativ – die Identifizierbarkeit (bzw. Bestimmbarkeit) des Personenbezugs zu beurteilen ist (vgl. Komm. zu § 3 BDSG Rz. 12 ff.). Zwar spricht für eine objektive bzw. absolute Auslegung, dass nach den Erwägungsgründen pseudonyme Daten (vgl. zum Begriff der „pseudonymen Daten“die Komm. zu Art. 4 DSGVO Rz. 18 ff.) als „Informationen über eine identifizierbare natürliche Person betrachtet werden [sollen]“1, und zwar obwohl es nicht jedem, der pseudonyme Daten verarbeitet, möglich sein wird, den Personenbezug wieder herzustellen. Ferner spricht Erwägungsgrund 26 davon, dass alle Mittel zur Bestimmung des Personenbezugs berücksichtigt werden sollten, die der Verantwortliche oder eine andere Person (also unbestimmt) nach allgemeinem Ermessen wahrscheinlich nutzen würden, um die natürliche Person direkt oder indirekt zu identifizieren. Zur Bemessung der Wahrscheinlichkeit sollen dann alle objektiven Faktoren, wie die Kosten der Identifizierung und der dafür erforderliche Zeitaufwand, herangezogen werden, wobei die zum Zeitpunkt der Verarbeitung verfügbare Technologie und technologische Entwicklungen zu berücksichtigen sind. Dagegen spricht allerdings, dass die Argumentation für die Anwendung eines 10 „relativen Personenbezugs“ auch im Rahmen der DSGVO weiterhin gültig ist (vgl. Komm. zu § 3 BDSG Rz. 1). Es ist nicht erkennbar, weshalb Datenverwendungen unter die Regulierung der DSGVO fallen sollten, die kein Gefahrenpotenzial für den Schutz des informationellen Selbstbestimmungsrechts eines konkreten Grundrechtsträgers aufweisen. In diesem Sinn hat auch der Generalanwalt beim Europäischen Gerichtshof, 11 Manuel Campos Sánchez-Bordona, in seinem Schlussantrag in der Rechtssache 1 Vgl. hierzu Erwägungsgrund 26.

Schreiber

|

975

Art. 4 DSGVO | Allgemeine Bestimmungen Patrick Beyer gegen Bundesrepublik Deutschland1 zur wortgleichen Definition in der EG-Datenschutzrichtlinie ausgeführt, dass es in Bezug auf die „Bestimmbarkeit“ des Personenbezugs eines Datums nicht darauf ankommen könne, ob irgend ein Dritter zusätzliche Daten besitzen würde, mit denen Personenbezug zu dem im Übrigen nicht personenbezogenen Datum hergestellt werden kann. Stattdessen könnten nur solche zusätzlichen Daten Dritter herangezogen werden, die der Verantwortliche auch erlangen kann. Das sei jedoch nicht der Fall, wenn der Kontakt mit diesen Dritten faktisch einen sehr hohen personellen und wirtschaftlichen Aufwand erfordern oder praktisch nicht durchführbar oder gesetzlich verboten wäre2. Das bedeutet, dass auch der Begriff der Mittel, auf die der Verantwortliche „wahrscheinlich“ zugreifen würde, von vornherein auf solche beschränkt werden muss, zu denen er überhaupt einen Zugang hat. Nach der hier vertretenen Auffassung, bleibt es also dabei, dass die Frage des Personenbezugs relativ zu beurteilen ist.

III. Verarbeitung (Nr. 2) 12 Als „Verarbeitung“ definiert die DSGVO als jeden mit oder ohne Hilfe auto-

matisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten. Als nicht abschließende Beispiele nennt die Definition dabei das Erheben, Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung, die Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen sowie die Vernichtung von personenbezogenen Daten. Damit macht die Definition deutlich, dass jeglicher Vorgang, der unmittelbar oder mittelbar auf die personenbezogenen Daten einwirkt sowie jede Form der Behandlung von personenbezogenen Daten eine „Verarbeitung“ im Sinne der DSGVO ist.

13 Unter dem BDSG war noch unterschieden worden zwischen „Erheben“, „Ver-

arbeiten“ und „Nutzen“. Die DSGVO führt nunmehr sämtlichen Umgang mit personenbezogenen Daten unter dem einheitlichen Begriff der „Verarbeitung“ wieder zusammen, wie dies auch schon unter der EG-Datenschutzrichtlinie fast wortgleich der Fall gewesen ist. Zu den Einzelheiten einer „Verarbeitung“ s. Komm. zu § 3 Abs. 3, 4 und 5 BDSG (vgl. Komm. zu § 3 BDSG Rz. 30 ff.). 1 Rechtssache C-582/14. 2 S. hierzu den Schlussantrag des Generalanwalts in der Rechtssache C-582/14, Rz. 68; vgl. hierzu auch Erwägungsgrund 26, der objektiven Faktoren, wie die Kosten der Identifizierung und der dafür erforderliche Zeitaufwand, herangezogen werden, wobei die zum Zeitpunkt der Verarbeitung verfügbare Technologie und technologische Entwicklungen zu berücksichtigen sind.

976

|

Schreiber

Begriffsbestimmungen | Art. 4 DSGVO

IV. Einschränkung der Verarbeitung (Nr. 3) Nach Nr. 3 handelt es sich bei einer „Einschränkung der Verarbeitung“ um eine 14 Markierung gespeicherter personenbezogener Daten mit dem Ziel, die künftige Verarbeitung einzuschränken. Das entspricht im Wesentlichen der Definition des „Sperrens“ gespeicherter personenbezogener Daten nach dem BDSG (§ 3 Abs. 4 Satz 2 Nr. 4 BDSG), so dass auf die dortige Kommentierung verwiesen werden kann (vgl. Komm. zu § 3 BDSG Rz. 48 ff.). Ergänzend weist Erwägungsgrund 67 darauf hin, dass auf die Tatsache, dass die Verarbeitung der personenbezogenen Daten beschränkt wurde, in dem jeweiligen (Speicher-)System unmissverständlich hingewiesen werden sollte. Die Tatbestände, nach denen eine Markierung gespeicherter personenbezogener 15 Daten erfolgen muss, sind in Art. 18 aufgeführt. Entsprechende Mitteilungspflichten finden sich in Art. 19 sowie in Art. 13 Abs. 2 Buchst. b, Art. 14 Abs. 2 Buchst. c sowie in Art. 15 Abs. 1 Buchst. e.

V. Profiling (Nr. 4) Nach Nr. 4 ist „Profiling“ jede Art der automatisierten Verarbeitung personen- 16 bezogener Daten, die darin besteht, dass diese Daten dazu verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten. Dies gilt insbesondere für eine Verarbeitung mit dem Ziel der Analyse und Vorhersage von Arbeitsleistung, wirtschaftlicher Lage, Gesundheit, persönlicher Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person. Zu diesen Formen der automatisierten Verarbeitung zählen insbesondere jegliche Formen des „Scoring“ (vgl. Komm. zu § 28b BDSG Rz. 1 ff.) sowie die immer weiter verbreiteten Arbeitnehmer-Bewertungssysteme (vgl. Komm. zu § 29 BDSG Rz. 52 ff.). Relevant wird die Definition insbesondere im Rahmen der Regelungen zur auto- 17 matisierten Entscheidung im Einzelfall, Art. 22, in der das „Profiling“ ausdrücklich als ein Unterfall der dort genannten automatisierten Verarbeitung genannt wird. Vgl. hierzu Komm. zu Art. 22 DSGVO Rz. 2 f.

VI. Pseudonymisierung (Nr. 5) 1. Pseudonymisierung Nr. 5 definiert „Pseudonymisierung“ als die Verarbeitung personenbezogener 18 Daten in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterSchreiber

|

977

Art. 4 DSGVO | Allgemeine Bestimmungen liegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden. 19 Danach handelt es sich bei der Pseudonymisierung um einen Verarbeitungsvor-

gang, an dessen Ende die ursprünglich personenbezogenen Daten ihrer individualisierenden Merkmale beraubt sind, so dass sie allein ohne weitere Informationen eine Identifizierung des ursprünglich Betroffenen nicht mehr ermöglichen. Im Gegensatz zur „Anonymisierung“, die grundsätzlich zu einer endgültigen Entkleidung personenbezogener Daten von identifizierenden Merkmalen führt (vgl. Komm. zu Art. 4 DSGVO Rz. 22), werden bei einer Pseudonymisierung die den Betroffenen individualisierenden Informationen gesondert aufbewahrt und gegen Zugriff durch Dritte geschützt, um in einem späteren Verarbeitungsvorgang den Personenbezug zu den übrigen Daten wieder herstellen zu können. Damit eine Zuordnung der zusätzlichen Informationen mit den übrigen Daten möglich bleibt, wird regelmäßig eine Zuordnungsregel definiert, die eine Re-Identifizierung ermöglicht (vgl. zum Vorgang der Pseudonymisierung Komm. zu § 3 BDSG Rz. 61 ff.).

20 Ob es sich bei den pseudonymisierten Daten weiterhin um personenbezogene

Daten handelt, oder ob ggf. differenziert werden muss, dürfte – wie auch schon beim BDSG – unter der DSGVO weiterhin strittig sein. Letztlich geht es auch hier, wie schon bei der Beurteilung des Personenbezugs (s. Komm. zu Art. 4 DSGVO Rz. 9 ff.), um die Frage, ob jedes pseudonymisierte Datum aufgrund der objektiven Möglichkeit, Personenbezug wieder herzustellen, auch weiterhin personenbezogen bleibt (absolute Theorie), oder ob man danach differenzieren muss, ob im Einzelfall für den die Daten verarbeitenden Verantwortlichen, Auftragsverarbeiter oder Dritten überhaupt die Möglichkeit besteht, durch Verwendung der Zuordnungsregel und Zugriff auf die den Betroffenen identifizierenden Informationen den Personenbezug wieder herzustellen (relative Theorie). Letztlich sprechen auch hier die gleichen Argumente für eine Anwendung der relativen Theorie, wie dies auch schon im Rahmen der Auseinandersetzung mit dem Begriff der personenbezogenen Daten der Fall gewesen ist. Daher sei an dieser Stelle darauf verwiesen (s. Komm. zu Art. 4 DSGVO Rz. 10 f.).

21 Anwendungsbereich der Pseudonymisierung ist vor allem gemäß den Ausfüh-

rungen in Erwägungsgrund 28, die Risiken für die betroffenen Personen zu senken und die Verantwortlichen und die Auftragsverarbeiter bei der Einhaltung ihrer Datenschutzpflichten zu unterstützen. 2. Anonymisierung

22 Anders als noch im BDSG ist in der DSGVO die „Anonymisierung“ als Gegen-

stück zur Pseudonymisierung nicht legaldefiniert (vgl. zur Definition im BDSG Komm. zu § 3 BDSG Rz. 56 ff.). Stattdessen erklärt Erwägungsgrund 26, dass anonymisierte personenbezogene Daten solche Informationen sind, die sich 978

|

Schreiber

Begriffsbestimmungen | Art. 4 DSGVO

nicht auf eine identifizierte oder identifizierbare natürliche Person beziehen, oder personenbezogene Daten, die in einer Weise anonymisiert worden sind, dass die betroffene Person nicht oder nicht mehr identifiziert werden kann. Letztlich kommt es also auf die Frage der Identifizierung zur Bestimmung des Personenbezugs an, um festzustellen, ob „anonyme“, also „nicht-personenbezogene“ Daten vorliegen. Da diese von vornherein nicht den Grundsätzen des Datenschutzes der DSGVO unterfallen1, dürfte eine Legaldefinition in der Tat entbehrlich sein.

VII. Dateisystem (Nr. 6) „Dateisystem“ ist nach Nr. 6 jede strukturierte Sammlung personenbezogener 23 Daten, die nach bestimmten Kriterien zugänglich sind, unabhängig davon, ob diese Sammlung zentral, dezentral oder nach funktionalen oder geografischen Gesichtspunkten geordnet geführt wird. Begriffsbestimmende Merkmale sind danach „strukturierte Sammlung“ und 24 „nach bestimmten Kriterien zugänglich“, was im Wesentlichen den Merkmalen der „nicht automatisierten Datei“ des § 3 Abs. 2 Satz 2 BDSG („Sammlung“ mit „gleichartigem Aufbau“ und „nach einem bestimmten personenbezogenen Merkmal zugänglich“) entspricht. Demzufolge können die Kommentierungen zu § 3 Abs. 2 Satz 2 BDSG entsprechende Anwendung finden (s. Komm. zu § 3 BDSG Rz. 25 ff.), wenngleich es für den Begriff des „Dateisystems“ nach der DSGVO irrelevant ist, ob es sich um eine „automatisierte“ oder eine „nicht automatisierte“ Datei (s. Komm. zu § 3 BDSG Rz. 24 f.) handelt.

VIII. Verantwortlicher (Nr. 7) Als „Verantwortlicher“ definiert Nr. 7 jede natürliche oder juristische Person, 25 Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Die Definition ist wortidentisch mit der Begriffsbestimmung des „für die Verarbeitung Verantwortlichen“ unter der EG-Datenschutzrichtlinie. Obwohl die Definition der „verantwortlichen Stelle“ des § 3 Abs. 7 BDSG vom 26 Wortlaut her enger ist als die entsprechenden Definitionen der EG-Datenschutzrichtlinie und der DSGVO (vgl. Komm. zu § 3 BDSG Rz. 66), können die Kommentierungen zu § 3 Abs. 7 BDSG hier gleichwohl Anwendung finden. Denn schon unter dem BDSG wurde im Wege richtlinienkonformer Auslegung von einer verantwortlichen Stelle gesprochen, wenn diese die Kontrolle über die Verarbeitung innehatte, also über die Vorgänge an sich entscheiden konnte (vgl. 1 S. hierzu Erwägungsgrund 26.

Schreiber

|

979

Art. 4 DSGVO | Allgemeine Bestimmungen Komm. zu § 3 BDSG Rz. 66 ff.). Die richtlinienkonforme Auslegung führte auch dazu, dass schon unter dem BDSG eine gemeinsame Verantwortung mehrerer Stellen, wie dies nun durch die DSGVO ausdrücklich hervorgehoben wird, möglich war (vgl. Komm. zu § 3 BDSG Rz. 69). 27 Sind die Zwecke und Mittel der Verarbeitung durch das Unionsrecht oder das

Recht der Mitgliedstaaten vorgegeben, so kann der Verantwortliche bzw. können die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden. D.h., geben im Rahmen einer Verarbeitung das Unionsrecht oder das Recht eines Mitgliedstaats Zweck und Mittel dieser Verarbeitung vor, können im Unionsrecht bzw. im Recht des jeweiligen Mitgliedstaats von der allgemeinen Definition abweichende Kriterien festgelegt werden, die den für diese Verarbeitung Verantwortlichen gesondert bestimmen.

IX. Auftragsverarbeiter (Nr. 8) 28 „Auftragsverarbeiter“ nach Nr. 8 sind alle natürlichen und juristische Personen,

Behörden, Einrichtungen oder andere Stellen, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeiten. Entscheidendes Kriterium der „Auftragsverarbeitung“ ist demnach, ob eine Verarbeitung „im Auftrag“ eines Verantwortlichen erfolgt. Was genau die DSGVO mit „im Auftrag“ meint, ist nicht näher konkretisiert. Letztlich wird man aber auch hier auf die Abgrenzungsmerkmale abstellen können, die sich im Rahmen des BDSG etabliert haben. Denn schon in der EG-Datenschutzrichtlinie war von einem „Auftragsverhältnis“ die Rede, das bei der Bestimmung eines Auftragsverhältnis auch im BDSG berücksichtigt werden musste.

Nach h.M. wurden dabei im Wege einer Negativabgrenzung vornehmlich diejenigen Auftragsverhältnisse nicht als Auftragsverarbeitung i.S.v. § 11 BDSG angesehen, die zu einer sog. „Funktionsübertragung“ führen. Gemeint ist damit der Fall, dass dem Auftragnehmer nicht nur die Verarbeitung von Daten übertragen wird, sondern darüber hinaus auch die der Verarbeitung zugrunde liegende Aufgabe bzw. Funktion (vgl. Komm. zu § 11 BDSG Rz. 27 ff.). Es ist nicht zu erkennen, warum das nunmehr unter der DSGVO anders sein soll1. Das Bedürfnis, den weiten Begriff der „Auftragsverhältnisse“ einzuschränken, bleibt auch unter der DSGVO bestehen. Anderenfalls würde bspw. jeder Auftrag an einen Freiberufler, in dessen Rahmen auch personenbezogene Daten verarbeitet werden, zu einer weisungsgebundenen Auftragsverarbeitung. Das kann jedoch nicht ernsthaft gemeint gewesen sein.

1 A.A. Härting, Datenschutz-Grundverordnung, Rz. 579.

980

|

Schreiber

Begriffsbestimmungen | Art. 4 DSGVO

X. Empfänger (Nr. 9) Nach Nr. 9 ist „Empfänger“ eine natürliche oder juristische Person, Behörde, 29 Einrichtung oder andere Stelle, der personenbezogene Daten offengelegt werden. Dies gilt unabhängig davon, ob es sich bei ihr um einen Dritten handelt oder nicht. Die „Empfänger“-Eigenschaft ist damit zunächst rein tatsächlich zu bestimmen, so dass auch Auftragsverarbeiter, die von einem Verantwortlichen personenbezogene Daten übermittelt bekommen, im Sinne der Definition „Dritte“ sind. Keine „Empfänger“ sind hingegen solche Stellen, die Teil desselben Verantwortlichen sind, der die Daten offenlegt; z.B. unselbständige Niederlassungen oder Funktionseinheiten einer Behörde, z.B. Dezernate. Ebenfalls keine „Empfänger“ sind gemäß der Definition Behörden, die im 30 Rahmen eines bestimmten Untersuchungsauftrags nach dem Unionsrecht oder dem Recht der Mitgliedstaaten möglicherweise personenbezogene Daten erhalten. Gemäß Erwägungsgrund 31 sind damit insbesondere Steuer- und Zollbehörden, Finanzermittlungsstellen, unabhängige Verwaltungsbehörden oder Finanzmarktbehörden, die für die Regulierung und Aufsicht von Wertpapiermärkten zuständig sind, angesprochen, wenn diese personenbezogene Daten erhalten, die für die Durchführung – gemäß dem Unionsrecht oder dem Recht der Mitgliedstaaten – eines einzelnen Untersuchungsauftrags im Interesse der Allgemeinheit erforderlich sind. Die Definition stellt jedoch klar, dass gleichwohl die Verarbeitung dieser Daten durch die genannten Behörden stets im Einklang mit den geltenden Datenschutzvorschriften gemäß den Zwecken der Verarbeitung erfolgen muss. Die fehlende Empfänger-Eigenschaft entbindet die Behörden also nicht von den sonstigen Vorgaben des Datenschutzrechts. Relevant wird die Empfänger-Eigenschaft insbesondere zur Bestimmung etwai- 31 ger Informations- und Mitteilungspflichten, z.B. nach Art. 13, 14, 15 oder 19.

XI. Dritter (Nr. 10) Nach Nr. 10 ist „Dritter“ eine natürliche oder juristische Person, Behörde, Ein- 32 richtung oder andere Stelle, außer der betroffenen Person, dem Verantwortlichen, dem Auftragsverarbeiter und den Personen, die unter der unmittelbaren Verantwortung des Verantwortlichen oder des Auftragsverarbeiters befugt sind, die personenbezogenen Daten zu verarbeiten. Wie schon im BDSG grenzt sich „Dritter“ damit auch im Rahmen der DSGVO 33 vornehmlich negativ vom Verantwortlichen, dem Betroffenen und Auftragsverarbeitern ab (vgl. Komm. zu § 3 BDSG Rz. 73). Anders als noch im BDSG ist nunmehr jeder Auftragsverarbeiter, und zwar unabhängig vom Ort der Verarbeitung, kein Dritter im Sinne der DSGVO. Nach dem BDSG galt dies allein für solche Auftragsverarbeiter, die in einem Mitgliedstaat der Europäischen Union oder einem Vertragsstaat des Abkommens über den Europäischen WirtSchreiber

|

981

Art. 4 DSGVO | Allgemeine Bestimmungen schaftsraum personenbezogene Daten im Auftrag verarbeiten (§ 3 Abs. 8 Satz 3 BDSG). Diese territoriale Beschränkung ist nunmehr entfallen, so dass jeder Auftragsverarbeiter, sofern er im Rahmen seines Auftrages tätig wird (s. Komm. zu Art. 4 DSGVO Rz. 28), kein Dritter im Sinne der Definition ist. Infolgedessen ist das „Privileg der Auftragsverarbeitung“ nicht mehr auf Verarbeiter aus dem Gebiet der Europäischen Union und der EFTA-Vertragsstaaten beschränkt (zum „Privileg der Auftragsverarbeitung“ unter der DSGVO s. Komm. zu Art. 28 DSGVO Rz. 3; zum BDSG vgl. Komm. zu § 3 BDSG Rz. 73 sowie zu § 11 BDSG Rz. 13 ff.). 34 Nicht Dritte sind ebenfalls diejenigen, die als Unterauftragnehmer des Verant-

wortlichen oder eines Auftragsverarbeiters befugt sind, personenbezogene Daten zu verarbeiten.

XII. Einwilligung (Nr. 11) 35 Eine zentrale Definition der DSGVO ist die der „Einwilligung“ nach Nr. 11, der

im Rahmen des Gesetzgebungsverfahrens große Aufmerksamkeit zukam, als das Konzept einer auf Einwilligung basierenden Datenschutzgesetzgebung kontrovers diskutiert wurde. Letztlich ist die Einwilligung aber ein entscheidender Grundpfeiler des Datenschutzes geblieben, die neben sonstigen Alternativen weiterhin eine Datenverarbeitung rechtfertigen kann1.

36 Nach Nr. 11 ist eine „Einwilligung“ jede freiwillig für den bestimmten Fall, in in-

formierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist.

37 Wesentliche Merkmale der Einwilligung sind damit „freiwillig“, „für den be-

stimmten Fall“, „in informierter Weise“ sowie „unmissverständlich abgegebene Willensbekundung“. Die zwischenzeitlich von EU-Kommission und Europäischem Parlament aufgestellte Forderung, eine Einwilligung müsse immer (also nicht nur bei sensiblen Daten) „explizit“ erfolgen, konnte sich nicht durchsetzen2. Als Kompromiss hat man sich jedoch verständigt, dass die Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung erfolgen muss. Damit ist Schweigen oder ein angekreuztes Kästchen für eine Einwilligung nicht ausreichend3.

38 Zu den einzelnen Merkmalen der Definition s. Komm. zu Art. 7 DSGVO Rz. 2. 1 Vgl. hierzu Albrecht, Das neue EU-Datenschutzrecht – von der Richtlinie zur Verordnung, CR 2016, 88 ff. 2 Vgl. hierzu Albrecht, Das neue EU-Datenschutzrecht – von der Richtlinie zur Verordnung, CR 2016, 88 ff. 3 S. hierzu auch Erwägunggrund 32.

982

|

Schreiber

Begriffsbestimmungen | Art. 4 DSGVO

XIII. Verletzung des Schutzes personenbezogener Daten (Nr. 12) Nr. 12 definiert die „Verletzung des Schutzes personenbezogener Daten“ als eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von bzw. zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden. Eine Verletzung der Sicherheit ist jeder Vorgang, der die technischen und organisatorischen Maßnahmen zum Schutz personenbezogener Daten unbeabsichtigt oder unrechtmäßig kompromittiert, indem er trotz dieser Maßnahmen zu Vernichtung, Verlust, Veränderung oder Offenlegung der Daten führt. Das kann sowohl durch einen technischen (z.B. durch technische Fehler hervorgerufene Veröffentlichung personenbezogener Daten oder versehentliche Deaktivierung von software- oder hardwarebasierten Sicherheitssystemen) als auch durch einen tatsächlichen Zwischenfall (z.B. durch unbefugtes Eindringen in einen geschützten Bereich, Liegenlassen eines Datenträgers in der Öffentlichkeit oder Brand in einem Serverraum) geschehen1. Damit eine Verletzung des Schutzes personenbezogener Daten vorliegt, müssen gemäß Definition die betroffenen Daten personenbezogen (s. Rz. 4) und zuvor – auf welche Weise auch immer – verarbeitet (s. Rz. 12) worden sein, was neben dem (in diesem Zusammenhang klassischen) Fall einer Speicherung, insbesondere auch eine Übermittlung umfasst. Kommt es als Folge der Verletzung des Schutzes zu einer Offenlegung oder zum Zugang zu personenbezogenen Daten, ist die Definition gleichwohl nur erfüllt, wenn dies unbefugt erfolgt ist. Demgegenüber stellt jegliche Vernichtung, Verlust oder Veränderung von personenbezogenen Daten aufgrund der Verletzung der Sicherheit ohne Weiteres eine Verletzung deren Schutzes i.S.d. Nr. 12 dar. Offenbar sieht die DSGVO die Notwendigkeit einer Anwendung der mit der Verletzung des Schutzes personenbezogener Daten einhergehenden Rechtsfolgen (vgl. Komm. zu Art. 33 DSGVO Rz. 1 ff. sowie 10 ff.) im Fall ihrer Offenlegung nur, wenn diese unbefugt erfolgt. Soweit die Integrität der Daten berührt ist, kommt es auf die Befugnis nicht (mehr) an. Art. 70 Abs. 1 Buchst. g sieht vor, dass der Datenschutzausschuss zukünftig Leitlinien, Empfehlungen und bewährte Verfahren zur Feststellung von Verletzungen des Schutzes personenbezogener Daten bereitstellt.

39

40

41

42

43

XIV. Genetische Daten (Nr. 13) Nach Nr. 13 sind „genetische Daten“ alle personenbezogenen Daten zu den 44 ererbten oder erworbenen genetischen Eigenschaften einer natürlichen Person, 1 Vgl. Art. 32 Abs. 1 Buchst. c.

Schreiber

|

983

Art. 4 DSGVO | Allgemeine Bestimmungen die eindeutige Informationen über die Physiologie oder die Gesundheit dieser natürlichen Person liefern und insbesondere aus der Analyse einer biologischen Probe der betreffenden natürlichen Person gewonnen wurden. 45 Genetische Daten i.S.d. Nr. 13 müssen zunächst personenbezogene Daten (s.

Rz. 4 ff.) sein. Die Definition erfasst daher keine Daten, die ursprünglich zu wissenschaftlichen Forschungszwecken personenbezogen gewonnen, zwischenzeitlich aber anonymisiert worden sind1.

46 Die Daten müssen sich auf ererbte oder erworbene genetische Eigenschaften

einer natürlichen Person beziehen, die eindeutige Informationen über die Physiologie oder die Gesundheit liefern. Unter diese Erbinformationen fallen neben ererbten bzw. vorgeburtlich erworbenen Eigenschaften, die u.a. Abstammungsbestimmungen oder Gendiagnostikmaßnahmen ermöglichen, auch im Laufe des Lebens erworbene genetische Veränderungen (z.B. durch Strahlung hervorgerufene Änderungen)2. Die Definition der DSGVO ist damit weiter als die des Gendiagnostikgesetzes (GenDG), das sich auf ererbte, bis zur Befruchtung oder vor Geburt erworbene Erbinformationen beschränkt. Genetische Daten können nicht nur Informationen über eine bestimmte Person enthalten, sondern machen diese aufgrund ihrer Einmaligkeit ggf. auch erst bestimmbar („genetischer Fingerabdruck“)3.

47 Schließlich sind nur solche personenbezogenen Daten genetische Daten, aus de-

nen Rückschlüsse auf den Gesundheitszustand des Betroffenen oder Aufschluss über dessen Physiologie, also über physikalische und biochemische Vorgänge im menschlichen Körper (insbesondere auf molekularer Ebene), gewonnen werden können. Anhand physiologischer Informationen lassen sich u.a. Vorhersagen über das Verhalten von Stoffwechsel oder Fortpflanzung treffen.

48 Analysen biologischer Proben können bspw. Chromosomen-, Desoxyribonukle-

insäure (DNS)- oder Ribonukleinsäure (RNS)-Analysen oder die Analyse von Elementen, durch die gleichwertige Informationen erlangt werden können, sein4.

XV. Biometrische Daten (Nr. 14) 49 Nach Nr. 14 sind „biometrische Daten“ mit speziellen technischen Verfahren

gewonnene personenbezogene Daten zu den physischen, physiologischen oder

1 Hardenberg, ZD 2014, 115 (117) m.w.N. 2 Vgl. Spickhoff/Fenger, Medizinrecht, GenDG, § 3 Rz. 1 und 4; vgl. Erwägungsgrund 71, der den engeren Begriff der „genetischen Anlagen“ verwendet; a.A. wohl BeckOKBDSG/ Schild, § 3 Rz. 12. 3 Vgl. BeckOKBDSG/Schild, § 3 Rz. 12 m.w.N. 4 Erwägungsgrund 34; zu weiteren Einzelheiten s. Spickhoff/Fenger, Medizinrecht, GenDG, § 3 Rz. 2.

984

|

Schreiber

Begriffsbestimmungen | Art. 4 DSGVO

verhaltenstypischen Merkmalen einer natürlichen Person, die die eindeutige Identifizierung dieser natürlichen Person ermöglichen oder bestätigen. Dazu gehören Gesichtsbilder oder daktyloskopische Daten. Wie auch bei genetischen Daten muss es sich bei den Informationen zunächst 50 um personenbezogene Daten handeln (s. Rz. 4 ff.). Des Weiteren müssen die Daten Informationen über physische, d.h. körperliche (z.B. Gesichtsform, Fingerabdruck, Augennetzhaut, Stimme, Handgeometrie, Venenstruktur)1, physiologische (s. Rz. 44) oder verhaltenstypische Merkmale einer Person enthalten. Zu Letzterem zählen u.a. Unterschrift, Tastenanschlag, charakteristische Gangart oder Sprechweise2 (vgl. Komm. zu § 3 BDSG Rz. 16). Gesichtsbilder und daktyloskopische Daten (d.h. Fingerabdruckdaten), die 51 Nr. 14 beispielhaft nennt, stellen Informationen über körperliche Merkmale dar, die eine eindeutige Identifizierung einer Person ermöglichen oder bestätigen. Bspw. enthalten biometrische Reisepässe oder Personalausweise solche Daten (sowohl Gesichtsbild-, als auch Fingerabdruckdaten) und können bereits seit einiger Zeit zur computergestützten eindeutigen Identifizierung bzw. Authentifizierung genutzt werden. In diesem Zusammenhang ist jedoch zu beachten, dass u.a. Lichtbilder nur dann 52 von der Definition von „biometrischen Daten“ erfasst sind, wenn sie mit speziellen technischen Mitteln verarbeitet werden3. Dadurch sollen Lichtbilder nicht per se den besonderen Regelungen biometrischer Daten unterworfen werden, sondern nur dann, wenn sie genutzt werden, um aus ihnen physische, physiologische oder verhaltenstypische Merkmale zu gewinnen oder diese zu analysieren.

XVI. Gesundheitsdaten (Nr. 15) Als „Gesundheitsdaten“ gelten personenbezogene Daten, die sich auf die kör- 53 perliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen. Nach Erwägungsgrund 35 zählen zu den Gesundheitsdaten Informationen etwa 54 über – Krankheiten, – Behinderungen, – Krankheitsrisiken, – Vorerkrankungen, 1 Vgl. Komm. zu § 3 BDSG Rz. 16; BeckOKBDSG/Schild, § 3 Rz. 10. 2 BeckOKBDSG/Schild, § 3 Rz. 10. 3 Vgl. Erwägungsgrund 51.

Schreiber

|

985

Art. 4 DSGVO | Allgemeine Bestimmungen – klinische Behandlungen oder – den physiologischen oder biomedizinischen Zustand der betroffenen Person. Dies gilt unabhängig von der Herkunft der Daten, ob sie nun von einem Arzt oder sonstigem Angehörigen eines Gesundheitsberufes, einem Krankenhaus, einem Medizinprodukt oder einem In-Vitro-Diagnostikum stammen. 55 Darüber hinaus unterfallen dem Begriff der „Gesundheitsdaten“ nach Erwägungs-

grund 35 auch solche Informationen, die von der Prüfung oder Untersuchung eines Körperteils oder einer körpereigenen Substanz, auch aus genetischen Daten und biologischen Proben, abgeleitet wurden. Gesundheitsdaten können daher gleichzeitig auch genetische Daten und/oder biometrische Daten sein (vgl. Rz. 44).

56 Des Weiteren gehören zu den Gesundheitsdaten Informationen über eine natür-

liche Person, die im Zuge der Anmeldung für sowie der Erbringung von unionsweiten Gesundheitsdienstleistungen1 für die Person erhoben werden2, vorausgesetzt, dass sich diese Informationen auf den Gesundheitszustand beziehen (z.B. wenn im Rahmen der Anmeldung Anamnesedaten abgefragt werden). Daneben können auch Nummern, Symbole oder Kennzeichen, die einer Person zugeteilt wurden, um sie für gesundheitliche Zwecke eindeutig zu identifizieren, den Gesundheitsdaten unterfallen3, sofern aus diesen Merkmalen Informationen über den Gesundheitszustand einer Person hervorgehen.

57 Nach alledem zählen sämtliche Informationen über Erkrankungen und den

sonstigen früheren, gegenwärtigen und künftigen körperlichen oder geistigen Gesundheitszustand einer Person4, d.h. auch Informationen über Ablauf und Inhalt einer medizinischen Behandlung (einschließlich Angaben über eingenommene Medikamente) und die Feststellung, dass eine bestimmte Person inzwischen genesen oder schon immer völlig gesund gewesen ist5, zu den Gesundheitsdaten. Dies gilt auch für die Information über einen Arztbesuch, jedoch nicht für die Zugehörigkeit zu einer bestimmten Krankenkasse (vgl. Komm. zu § 3 BDSG Rz. 78 m.w.N.).

XVII. Hauptniederlassung (Nr. 16) 58 Nr. 16 definiert den Begriff der „Hauptniederlassung“ im Hinblick auf Verant-

wortliche und Auftragsverarbeiter, die in mehr als einem Mitgliedstaat eine Nie-

1 Dies meint Gesundheitsdienstleistungen i.S.d. Richtlinie 2011/24/EU des Europäischen Parlaments und des Rates vom 9.3.2011 über die Ausübung der Patientenrechte in der grenzüberschreitenden Gesundheitsversorgung (vgl. Erwägungsgrund 35). 2 Vgl. Erwägungsgrund 35. 3 Vgl. Erwägungsgrund 35. 4 Vgl. Erwägungsgrund 35. 5 Simitis/Dammann, § 3 BDSG Rz. 260 m.w.N. (zum BDSG).

986

|

Schreiber

Begriffsbestimmungen | Art. 4 DSGVO

derlassung unterhalten. Er ist für die Bestimmung maßgeblich, welche Aufsichtsbehörde unter mehreren betroffenen Aufsichtsbehörden, d.h. bei grenzüberschreitenden Sachverhalten, als federführende Aufsichtsbehörde nach Art. 56 zuständig ist. 1. Niederlassung Obwohl der Begriff der „Niederlassung“ durch die DSGVO nicht ausdrücklich 59 definiert ist, wird der Begriff an mehreren Stellen der DSGVO verwendet, wie dies auch schon in der EG-Datenschutzrichtlinie und dem BDSG der Fall gewesen ist. Nach Erwägungsgrund 19 setzt eine Niederlassung die „effektive und tatsächliche Ausübung einer Tätigkeit durch eine feste Einrichtung“ voraus, ohne Rücksicht auf die Rechtsform (zur Definition der „Niederlassung“ s. Komm. zu Art. 3 DSGVO Rz. 8 sowie § 1 BDSG Rz. 53 ff.). 2. Hauptniederlassung Bei Niederlassungen in mehreren Mitgliedstaaten ist die Hauptniederlassung der 60 Ort der Hauptverwaltung in der Union. Abweichend davon gilt im Falle eines Verantwortlichen jedoch eine andere Niederlassung als Hauptniederlassung, wenn in dieser die Entscheidungen über Zweck und Mittel der Datenverarbeitung getroffen werden und sie befugt ist, diese Entscheidungen umsetzen zu lassen. Sofern ein Auftragsverarbeiter keine Hauptverwaltung in der Union hat, ist 61 diejenige Niederlassung maßgeblich, in der die Verarbeitungstätigkeiten hauptsächlich stattfinden, soweit der Auftragsverarbeiter spezifischen Pflichten aus dieser DSGVO unterliegt (zum räumlichen Anwendungsbereich der DSGVO s. Komm. zu Art. 3 DSGVO Rz. 1 ff.). Zur Auswahl der richtigen Niederlassung als Hauptniederlassung kann auf Er- 62 wägungsgrund 36 der DSGVO zurückgegriffen werden. Danach soll die Bestimmung der Hauptniederlassung von objektiven Kriterien abhängig gemacht werden. Als ein solches Kriterium wird die tatsächliche Ausübung von Managementtätigkeiten durch eine feste Einrichtung angeführt, in deren Rahmen Grundsatzentscheidungen zur Festlegung der Zwecke und Mittel der Verarbeitung getroffen werden. Somit ist der Ort der Hauptverwaltung eines Verantwortlichen nur ein Indiz für die Ausübung der aus Sicht des Datenschutzes maßgeblichen Tätigkeiten. Tatsächlich kommt es im Ergebnis auf diejenige Niederlassung an, die die Kontrolle über die Verarbeitung innehat1. Daher ist auch der Ort der Verarbeitung insoweit nicht ausschlaggebend2. 1 Vgl. hierzu Erwägungsgrund 37. 2 S. Erwägungsgrund 36.

Schreiber

|

987

Art. 4 DSGVO | Allgemeine Bestimmungen 63 Die „Befugnis“, datenschutzrelevante Entscheidungen umsetzen zu lassen, setzt

demnach voraus, dass eine Niederlassung, die nicht Ort der Hauptverwaltung ist, für alle Niederlassungen bindende Entscheidungen trifft, deren Umsetzung sie notfalls auch durchsetzen kann. Sinn und Zweck dieser Zuordnung ist es also, sicherzustellen, dass die federführende Aufsichtsbehörde einen aus Sicht des Datenschutzes kompetenten Ansprechpartner hat, der rechtlich und tatsächlich in der Lage ist, etwaige aufsichtsbehördliche Anordnungen oder Empfehlungen innerhalb des gesamten Unternehmens umzusetzen.

64 Bei einer Verarbeitung durch eine Unternehmensgruppe gilt die Hauptnie-

derlassung des herrschenden Unternehmens (zur Definition des „herrschenden Unternehmens“ bzw. der „Unternehmensgruppe“ s. Rz. 72) als Hauptniederlassung, es sei denn, die Zwecke und Mittel der Verarbeitung werden von einem anderen Unternehmen festgelegt1.

XVIII. Vertreter (Nr. 17) 65 Die DSGVO definiert den Begriff des „Vertreters“ als „eine in der Union nieder-

gelassene natürliche oder juristische Person, die von dem Verantwortlichen oder Auftragsverarbeiter schriftlich gemäß Art. 27 bestellt wurde und den Verantwortlichen oder Auftragsverarbeiter in Bezug auf die ihnen jeweils nach dieser Verordnung obliegenden Pflichten vertritt“ (zum Begriff der „juristischen Person“ s. Rz. 68).

66 Wie bislang schon nach der EG-Datenschutzrichtlinie soll der Vertreter im Na-

men des Verantwortlichen oder Auftragsverarbeiters tätig werden und den Aufsichtsbehörden als Anlaufstelle dienen2, da der Verantwortliche bzw. Auftragsverarbeiter über keine eigene Niederlassung in der Union verfügt. Der Vertreter muss nicht selbst Verantwortlicher i.S.d. Datenschutzrechts, sondern lediglich mit der Wahrnehmung der Interessen des im Drittland ansässigen Verantwortlichen oder Auftragsverarbeiter betraut sein (vgl. Komm. zu § 1 BDSG Rz. 67 m.w.N.; zur Erforderlichkeit der Bestellung eines Vertreters nach Art. 27 und deren Einzelheiten siehe die dortige Kommentierung).

67 Obwohl Nr. 17 lediglich festlegt, dass der Vertreter (irgendwo) in der Union nie-

dergelassen ist, schreibt Art. 27 Abs. 3 als weitergehende Voraussetzung vor, dass der Vertreter „in einem der Mitgliedstaaten niedergelassen sein [muss], in denen die betroffenen Personen, deren personenbezogene Daten im Zusammenhang mit den ihnen angebotenen Waren oder Dienstleistungen verarbeitet werden oder deren Verhalten beobachtet wird, sich befinden.“ Tatsächlich muss der Vertreter demnach in einem Mitgliedstaat niedergelassen sein, in dem sich

1 S. Erwägungsgrund 36. 2 Art. 27 Abs. 4, Erwägungsgrund 80.

988

|

Schreiber

Begriffsbestimmungen | Art. 4 DSGVO

die von der Verarbeitung betroffenen Personen befinden (vgl. Komm. zu Art. 27 DSGVO Rz. 5).

XIX. Unternehmen (Nr. 18) Nach Nr. 18 ist „Unternehmen“ eine natürliche oder juristische Person, die 68 eine wirtschaftliche Tätigkeit ausübt, unabhängig von ihrer Rechtsform, einschließlich Personengesellschaften oder Vereinigungen, die regelmäßig einer wirtschaftlichen Tätigkeit nachgehen. Die DSGVO führt damit einen weiten Unternehmensbegriff ein. Vom Wortsinn her eher überraschend, werden auch natürliche Personen als 69 „Unternehmen“ definiert, sofern sie die weitere Voraussetzung der wirtschaftlichen Tätigkeit erfüllen. Zudem ist der Begriff der „juristischen Person“ abweichend vom deutschrechtlichen Verständnis unabhängig von der gewählten Rechtsform zu verstehen, so dass auch Personengesellschaften und Vereinigungen als juristische Personen erfasst werden (s. Komm. zu § 2 BDSG Rz. 15). Natürliche oder juristische Personen gelten jedoch nur insoweit als „Unterneh- 70 men“ im Sinne der DSGVO, soweit sie eine wirtschaftliche Tätigkeit ausüben, also geschäftlich tätig werden. Damit sind sämtliche Personen ausgenommen, die ausschließlich zu persönlichen oder familiären Zwecken tätig werden, bei denen eine Verarbeitung von personenbezogenen Daten somit ohne Bezug zu einer beruflichen oder wirtschaftlichen Tätigkeit stattfindet1. Ebenfalls keine wirtschaftlichen Tätigkeiten stellen ausschließlich gemeinnützige Tätigkeiten dar. Die im Hinblick auf Personengesellschaften oder Vereinigungen vermeintlich 71 einschränkende Voraussetzung der „Regelmäßigkeit“ der Ausübung einer Wirtschaftstätigkeit beruht offenbar auf einem redaktionellen Versehen, so dass dem Wort „regelmäßig“ keine Bedeutung beizumessen sein dürfte. Im Rahmen des Gesetzgebungsverfahrens wurde die Definition von „Unternehmen“ umgestellt und begrifflich leicht verändert, wobei jedoch offenbar übersehen wurde, das Wort „regelmäßig“ entsprechend zu berücksichtigen2. Da es sich bei Personengesellschaften und Vereinigungen nach der Definition auch um juristische Personen im Sinne der Definition handelt, wäre es widersprüchlich, nur im Rahmen der Konkretisierung (insbesondere) eine regelmäßige wirtschaftliche Tätigkeit zu verlangen.

1 Vgl. Erwägungsgrund 18. 2 Vgl. Vorschlag der Kommission v. 25.1.2012, KOM(2012) 11 endgültig, 2012/0011 (COD), Art. 4 Abs. 15.

Schreiber

|

989

Art. 4 DSGVO | Allgemeine Bestimmungen XX. Unternehmensgruppe (Nr. 19) 72 Die DSGVO definiert den Begriff der „Unternehmensgruppe“ als eine Gruppe,

die aus einem herrschenden Unternehmen und den von diesem abhängigen Unternehmen besteht.

1. Herrschendes Unternehmen 73 Nach Erwägungsgrund 37 soll herrschendes Unternehmen sein, welches „zum

Beispiel aufgrund der Eigentumsverhältnisse, der finanziellen Beteiligung oder der für das Unternehmen geltenden Vorschriften oder der Befugnis, Datenschutzvorschriften umsetzen zu lassen, einen beherrschenden Einfluss auf die übrigen Unternehmen ausüben kann“. Diese Kriterien finden sich nahezu wortgleich in Art. 3 der Europäischen Betriebsrat-Richtlinie (RL 2009/38/EG)1 wieder, so dass diese Bestimmung mangels entgegenstehender Gründe und im Hinblick auf die Einheitlichkeit der (europäischen) Rechtsordnung zur Auslegung des Begriffs des „beherrschenden Einflusses“ herangezogen werden kann. Danach ist die bloße Möglichkeit zur Ausübung eines beherrschenden Einflusses ausreichend. Es ist daher nicht zwingend erforderlich, dass der Einfluss auch tatsächlich ausgeübt wird („kann“)2.

74 Art. 3 Abs. 2 der Europäischen Betriebsrat-Richtlinie enthält eine widerlegliche

Vermutungsregel, nach der die Fähigkeit, einen beherrschenden Einfluss auszuüben, bis zum Beweis des Gegenteils als gegeben gilt, wenn ein Unternehmen in Bezug auf ein anderes Unternehmen direkt oder indirekt – die Mehrheit des gezeichneten Kapitals dieses Unternehmens besitzt; – über die Mehrheit der mit den Anteilen am anderen Unternehmen verbundenen Stimmrechte verfügt; oder – mehr als die Hälfte der Mitglieder des Verwaltungs-, Leitungs- oder Aufsichtsorgans des anderen Unternehmens bestellen kann.

75 Vergleichbar mit der Formulierung einer Beherrschungsmöglichkeit aufgrund

„für das Unternehmen geltenden Vorschriften“ der DSGVO, ist in Art. 3 Abs. 1 der Europäischen Betriebsrat-Richtlinie von „sonstigen Bestimmungen, die die Tätigkeit des Unternehmens regeln“ die Rede. Es kommt insoweit maßgeblich darauf an, ob das herrschende Unternehmen über die Mittel verfügt, im abhängigen Unternehmen seinen Willen durchzusetzen3. 1 Richtlinie 2009/38/EG des Europäischen Parlaments und des Rates vom 6.5.2009 über die Einsetzung eines Europäischen Betriebsrats oder die Schaffung eines Verfahrens zur Unterrichtung und Anhörung der Arbeitnehmer in gemeinschaftsweit operierenden Unternehmen und Unternehmensgruppen; umgesetzt in § 6 Europäische BetriebsräteGesetz (EBRG). 2 Vgl. Blanke/Kunz in: Düwell, Betriebsverfassungsgesetz, § 6 EBRG Rz. 4 m.w.N. 3 Vgl. Blanke/Kunz in: Düwell, Betriebsverfassungsgesetz, § 6 EBRG Rz. 7.

990

|

Schreiber

Begriffsbestimmungen | Art. 4 DSGVO

2. Sonstiges Jedes Unternehmen, auf das das herrschende Unternehmen herrschenden Ein- 76 fluss ausübt, ist „abhängiges Unternehmen“ i.S.d. Nr. 191. Dies kann auch ein Gemeinschaftsunternehmen, ein „Joint Venture“, sein, solange der eine Gesellschafter einen beherrschenden Einfluss auf das Gemeinschaftsunternehmen ohne den anderen Gesellschafter ausüben kann2. Herrschende wie abhängige Unternehmen können jede Rechtsform haben und auch eine natürliche Person kann ein herrschendes Unternehmen sein (s. Rz. 68)3. Bereits zwei Unternehmen (und nicht erst mindestens drei Unternehmen) dürf- 77 ten als „Gruppe“ i.S.d. Definition anzusehen sein, da letztlich keine Gründe ersichtlich sind, es zwei Unternehmen zu verwehren, miteinander verbindliche interne Datenschutzvorschriften (Nr. 20) zu vereinbaren. Dieses Instrument kann in bestimmten Konstellationen auch gegenüber anderen Instrumenten, wie insbesondere Standarddatenschutzklauseln, vorteilhafter bzw. geeigneter sein, da es einen größeren Gestaltungsspielraum eröffnet und ggf. besser auf die individuellen Bedürfnisse der „Gruppe“ angepasst werden. Auch die Ernennung eines gemeinsamen Datenschutzbeauftragten (Art. 37 Abs. 2) kann für nur zwei Unternehmen sinnvoll und zielführend sein. Für eine Unternehmensgruppe ist daher ausreichend, dass sie aus einem herrschenden und einem abhängigen Unternehmen besteht. Eine Unternehmensgruppe ist nicht mit einer „Gruppe von Unternehmen, die 78 eine gemeinsame Wirtschaftstätigkeit ausüben“ gleichzusetzen. Letztgenannter Begriff wird von der DSGVO in verschiedenen Zusammenhängen, u.a. im Zusammenhang mit verbindlichen internen Datenschutzvorschriften i.S.d. Nr. 20 (Binding Corporate Rules; s. Rz. 79), verwendet. Auch wenn die Begriffe in der DSGVO ohnehin zumeist gemeinsam genannt werden, gibt es Unterschiede. Nur eine Unternehmensgruppe darf einen gemeinsamen Datenschutzbeauftragten benennen (Art. 37 Abs. 2), während diese Ausnahme einer Gruppe von Unternehmen verwehrt ist. Zudem wird das Vorliegen einer Unternehmensgruppe bei Bestimmung einer Hauptniederlassung i.S.d. Nr. 16 relevant (s. Rz. 58).

XXI. Verbindliche interne Datenschutzvorschriften (Nr. 20) „Verbindliche interne Datenschutzvorschriften“ i.S.d. Nr. 20 stellen Maßnah- 79 men zum Schutz personenbezogener Daten dar, zu deren Einhaltung sich ein in der Union niedergelassener Verantwortlicher oder Auftragsverarbeiter im Hinblick auf Datenübermittlungen oder eine Kategorie von Datenübermittlungen 1 Vgl. Art. 3 Abs. 1 BR-RL. 2 Vgl. Blanke/Kunz in: Düwell, Betriebsverfassungsgesetz, § 6 EBRG Rz. 7. 3 Vgl. Blanke/Kunz in: Düwell, Betriebsverfassungsgesetz, § 6 EBRG Rz. 9.

Schreiber

|

991

Art. 4 DSGVO | Allgemeine Bestimmungen personenbezogener Daten an einen Verantwortlichen oder Auftragsverarbeiter derselben Unternehmensgruppe oder derselben Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben, in einem oder mehreren Drittländern verpflichtet. Sie betreffen Datenübermittlungen in Drittländer und treten unter der DSGVO die Nachfolge für das bisherige Instrument der „verbindlichen Unternehmensregelungen“ nach § 4c Abs. 2 Satz 1 BDSG, auch als „Binding Corporate Rules“ bekannt (s. Komm. zu § 4c BDSG Rz. 38 ff.), an. Während der Begriff der „Binding Corporate Rules“ im Vergleich zur EG-Datenschutzrichtlinie in der englischen Fassung der DSGVO keine begriffliche Änderung erfahren hat, findet sich in der deutschen Fassung ohne ersichtlichen Grund nunmehr eine abweichende Formulierung. 80 Zum Begriff der Unternehmensgruppe i.S.d. Nr. 19 s. die dortige Kommentie-

rung.

81 Obwohl der Begriff einer „Gruppe von Unternehmen, die eine gemeinsame

Wirtschaftstätigkeit ausüben“ in der DSGVO mehrfach verwendet wird, definiert sie ihn nicht. Zunächst sind bereits zwei Unternehmen eine Gruppe i.S.d. Definition (s. Rz. 72). Eine gemeinsame Wirtschaftstätigkeit liegt vor, wenn die betreffenden Unternehmen die gleiche Tätigkeit in Zusammenarbeit ausüben. Eine solche Wirtschaftstätigkeit wäre bspw. der Vertrieb einer bestimmten Ware oder Dienstleistung, sei es arbeitsteilig oder in unterschiedlichen Regionen. Erwägungsgrund 48 spricht insoweit (wohl nicht abschließend) von einer Gruppe von „Einrichtungen“, die einer zentralen Stelle zugeordnet sind, wobei diese Gruppe ein berechtigtes Interesse haben kann, personenbezogene Daten innerhalb der Gruppe für interne Verwaltungszwecke, einschließlich der Verarbeitung von Kunden- und Beschäftigtendaten, zu übermitteln.

82 Zu beachten ist, dass nach Nr. 18 auch natürliche Personen, die eine wirtschaft-

liche Tätigkeit ausüben (vgl. die dortige Kommentierung), ebenfalls „Unternehmen“ i.S.d. der DSGVO und folglich Teil einer Unternehmensgruppe oder einer Gruppe von Unternehmen sein können (s. Rz. 68 und 72).

XXII. Aufsichtsbehörde (Nr. 21) 83 Die DSGVO definiert die „Aufsichtsbehörde“ als eine von einem Mitgliedstaat

gemäß Art. 51 eingerichtete unabhängige staatliche Stelle. Hervorzuheben ist, dass die staatliche Stelle nach dem Wortlaut der Definition nicht allein aufgrund ihrer Errichtung zur „Aufsichtsbehörde“ wird, sondern dass hierzu ebenfalls deren Unabhängigkeit sichergestellt sein müsste. Dies würde jedoch bedeuten, dass eine nach Art. 51 eingerichtete Stelle ihren Status als Aufsichtsbehörde ohne Unabhängigkeit (Art. 52) niemals erlangen bzw. nachträglich verlieren würde, wodurch auch die ihr unter der DSGVO erwachsenden Befugnisse entfallen würden. Das kann jedoch offensichtlich so nicht gemeint sein. Es ist daher 992

|

Schreiber

Begriffsbestimmungen | Art. 4 DSGVO

davon auszugehen, dass das Wort „unabhängige“ im Rahmen der Definition der „Aufsichtsbehörde“ keine Bedeutung entfaltet, sondern allein im Rahmen der Prüfung, ob die Aufsichtsbehörde unabhängig agiert, relevant wird (zu den einzelnen Voraussetzungen der Errichtung s. Komm. zu Art. 51 DSGVO).

XXIII. Betroffene Aufsichtsbehörde (Nr. 22) Eine Aufsichtsbehörde i.S.d. Nr. 21 ist eine „betroffene Aufsichtsbehörde“, 84 wenn sie von der Verarbeitung personenbezogener Daten „betroffen“ ist, da sich in ihrem Zuständigkeitsgebiet eine Niederlassung des Verantwortlichen bzw. des Auftragsverarbeiters befindet, die Verarbeitung erhebliche Auswirkungen auf betroffene Personen mit Wohnsitz im Mitgliedstaat dieser Aufsichtsbehörde hat oder haben könnte oder eine Beschwerde bei ihr eingereicht worden ist. 1. Niederlassung des Verantwortlichen oder Auftragsverarbeiters (Buchst. a) Die erste Alternative, dass eine Aufsichtsbehörde zu einer „betroffenen Auf- 85 sichtsbehörde“ wird, knüpft an die Niederlassung an. Befindet sich diese im Hoheitsgebiet der Aufsichtsbehörde, ist diese Aufsichtsbehörde betroffen. Zum Begriff der Niederlassung s. Rz. 58. Ausnahmsweise ist im Falle einer Auftragsverarbeitung die Aufsichtsbehörde des Auftragsverarbeiters, die schon nach Nr. 22 Buchst. a eigentlich betroffen wäre, weil der Auftragsverarbeiter im Hoheitsgebiet des Mitgliedstaats dieser Aufsichtsbehörde niedergelassen ist, gleichwohl nicht betroffen, wenn sich ein etwaiger Beschlussentwurf der federführenden Aufsichtsbehörde ausschließlich auf den Verantwortlichen, und nicht auch auf den Auftragsverarbeiter bezieht1. 2. Erhebliche Auswirkungen auf betroffene Personen (Buchst. b) Die zweite Alternative knüpft an den Wohnsitz eines Betroffenen im Mitglied- 86 staat der Aufsichtsbehörde an. Danach wird eine Aufsichtsbehörde „betroffen“, wenn eine Verarbeitung erhebliche Auswirkungen auf betroffene Personen mit Wohnsitz im Mitgliedstaat der Aufsichtsbehörde hat oder haben kann. Der Begriff des Wohnsitzes ist durch die DSGVO allerdings nicht definiert. 87 Richtigerweise kann damit jedoch nur der Hauptwohnsitz der betroffenen Person gemeint sein. Anderenfalls wären unter Umständen hinsichtlich einer betroffenen Person mehrere Aufsichtsbehörden einschlägig, sofern diese Person gleichzeitig mehrere Wohnsitze inne hätte (vgl. § 7 Abs. 2 BGB). 1 S. Erwägungsgrund 36.

Schreiber

|

993

Art. 4 DSGVO | Allgemeine Bestimmungen 88 Wann die Auswirkungen einer Verarbeitung „erheblich“ sind, lässt die DSGVO

offen. Stattdessen ist der Datenschutzausschuss nach Art. 70 dazu berufen, Leitlinien zu den Kriterien zu entwickeln, die bei der Feststellung erheblicher Auswirkungen der Verarbeitung auf betroffene Personen in mehr als einem Mitgliedstaat zu berücksichtigen sind1. Die Entwicklung derartiger Leitlinien sowie einer Rechtsprechungspraxis zur Auslegung dieser Voraussetzung bleibt daher abzuwarten. 3. Einreichung einer Beschwerde (Buchst. c)

89 Nach Buchst. c soll eine Aufsichtsbehörde auch dann betroffen sein, wenn eine

betroffene Person in dem betreffenden Mitgliedstaat eine Beschwerde (hinsichtlich der Verarbeitung) bei dieser Behörde eingereicht hat. Damit erweitert Buchst. c die „Betroffenheit“ auch auf solche Aufsichtsbehörden, in denen der Betroffene, der eine Beschwerde einreicht, keinen Wohnsitz hat2; anderenfalls wäre bereits Buchst. b einschlägig. Anders als bei der zweiten Variante der Nr. 22 ist nicht maßgeblich, ob die Verarbeitung (erhebliche) Auswirkungen auf die betroffene Person hat oder haben kann.

XXIV. Grenzüberschreitende Verarbeitung (Nr. 23) 90 Nach der DSGVO handelt es sich bei einer „grenzüberschreitenden Verarbei-

tung“ i.S.d. Nr. 23 um eine Verarbeitung, die innerhalb verschiedener Niederlassungen eines Verantwortlichen oder Auftragsverarbeiters in mehr als einem Mitgliedstaat oder in einer einzelnen Niederlassung erfolgt, jedoch erhebliche Auswirkungen auf betroffene Personen in mehr als einem Mitgliedstaat hat oder haben kann. Die Definition ist im Rahmen der Zusammenarbeit verschiedener von einer Verarbeitung betroffener Aufsichtsbehörden nach den Art. 56, 60 relevant.

91 Nach Nr. 23 kommt es für das Vorliegen einer grenzüberschreitenden Verarbei-

tung nicht allein auf eine Übermittlung von Daten von einem Mitgliedstaat in einen anderen an. Die Definition stellt alternativ darauf ab, ob sich die Verarbeitung auf betroffene Personen aus mehreren Mitgliedstaaten und damit grenzüberschreitend auswirkt. Letztlich geht es also um die grenzüberschreitende Relevanz der Verarbeitung3, nicht allein um die Übermittlung.

92 Unter Berücksichtigung von Art. 56 Abs. 1, in der von Hauptniederlassung oder

einziger Niederlassung die Rede ist, reicht es im Falle der ersten Alternative der

1 Vgl. hierzu Erwägungsgrund 124. 2 Wie dies auch ausdrücklich von Erwägungsgrund 124 gefordert wird. 3 Vgl. Erwägungsgrund 138, der sich auf Art. 56 bezieht, für den die Definition nach Nr. 23 maßgeblich ist, sowie Erwägungsgrund 5.

994

|

Schreiber

Begriffsbestimmungen | Art. 4 DSGVO

Nr. 23 aus, wenn der grenzüberschreitende Bezug sich daraus ergibt, dass Verantwortlicher und Auftragsverarbeiter in unterschiedlichen Mitgliedstaaten im Rahmen der Verarbeitung tätig sind. Da eine Verarbeitung unter Einsatz eines Auftragsverarbeiters als einheitlicher Verarbeitungsvorgang und damit als eine Verarbeitung anzusehen sein dürfte, handelt es sich bereits dann um eine grenzüberschreitende Verarbeitung, wenn Daten im Rahmen der Verarbeitung aus einer Niederlassung des Verantwortlichen in einem Mitgliedstaat an die Niederlassung des Auftragsverarbeiters in einem anderen Mitgliedstaat übermittelt werden. Hinsichtlich der Auslegung des Begriffs der „erheblichen Auswirkungen“ aus 93 der zweiten Alternative der Nr. 23 s. Rz. 84.

XXV. Maßgeblicher und begründeter Einspruch (Nr. 24) Die Definition nach Nr. 24 ist im Rahmen der Vorschriften über die Zusam- 94 menarbeit betroffener Aufsichtsbehörden mehrerer Mitgliedstaaten nach den Art. 60 ff. von Bedeutung. Im Rahmen dieser Zusammenarbeit hat die gemäß Art. 56 Abs. 1 zuständige federführende Aufsichtsbehörde den anderen betroffenen Aufsichtsbehörden laut Art. 60 Abs. 3 einen Beschlussentwurf im Hinblick darauf, ob ein Verstoß gegen die DSGVO vorliegt oder die beabsichtigte Maßnahme gegen den Verantwortlichen oder den Auftragsverarbeiter im Einklang mit der DSGVO steht, vorzulegen. Gegen diesen Entwurf können die anderen betroffenen Aufsichtsbehörden einen Einspruch einlegen. Handelt es sich bei diesem Einspruch um einen „maßgeblichen und begründeten Einspruch“ und schließt sich die federführende Aufsichtsbehörde dem Einspruch nicht an oder ist der Ansicht, dass dieser nicht maßgeblich oder nicht begründet ist, so leitet sie das Kohärenzverfahren nach Art. 63 ein (Art. 60 Abs. 4). Gemäß der Definition ist ein Einspruch immer dann maßgeblich und begrün- 95 det, wenn aus dem Einspruch die Tragweite der Risiken klar hervorgeht, die von dem Beschlussentwurf in Bezug auf die Grundrechte und Grundfreiheiten der betroffenen Personen und ggf. den freien Verkehr personenbezogener Daten in der Union ausgehen. Der Einspruch muss also begründet sein und die Tragweite der genannten Risiken klar hervorheben. Wann die Tragweite der Risiken allerdings „klar“ aus dem Einspruch hervorgeht, ist in der Definition nicht näher beschrieben. Hierfür sieht die DSGVO vor, dass der Datenschutzausschuss Leitlinien entwickelt, die bei der Feststellung zu berücksichtigen sein werden, was einen maßgeblichen und begründeten Einspruch darstellt1.

1 Vgl. Art. 70 i.V.m. Erwägungsgrund 124.

Schreiber

|

995

Art. 4 DSGVO | Allgemeine Bestimmungen XXVI. Dienst der Informationsgesellschaft (Nr. 25) 96 In Nr. 25 verweist die DSGVO zum Begriff „Dienst der Informationsgesell-

schaft“ auf die Definition der Dienstleistung i.S.d. Art. 1 Nr. 1 Buchst. b der Informationsverfahrensrichtlinie (RL (EU) 2015/1535)1.

97 Danach ist eine Dienstleistung der Informationsgesellschaft jede in der Regel

gegen Entgelt elektronisch im Fernabsatz und auf individuellen Abruf eines Empfängers erbrachte Dienstleistung. Dies setzt nach der weiteren Definition voraus, dass die Dienstleistung – ohne gleichzeitige physische Anwesenheit der Vertragsparteien erbracht wird;

– mittels Geräten für die elektronische Verarbeitung (einschließlich digitaler Kompression) und Speicherung von Daten am Ausgangspunkt gesendet und am Endpunkt empfangen wird und die vollständig über Draht, über Funk, auf optischem oder anderem elektromagnetischem Wege gesendet, weitergeleitet und empfangen wird; und – durch die Übertragung von Daten auf individuelle Anforderung erbracht wird. 98 In Anhang I der Richtlinie sind zahlreiche Beispiele aufgeführt, bei denen es sich

um keine Dienstleistungen im obigen Sinne handelt, wobei insbesondere folgende Beispiele hervorzuheben sind:

– Dienste, die nicht über elektronische Verarbeitungs- und Speicherungssysteme erbracht werden (z.B. Sprachtelefonie, Telefaxdienste oder über Sprachtelefon oder Telefax erbrachte Dienste) sowie – Dienste, die im Wege einer Übertragung von Daten ohne individuellen Abruf gleichzeitig für eine unbegrenzte Zahl von einzelnen Empfängern erbracht werden (z.B. Fernsehdienste einschließlich zeitversetztem Video-Abruf). 99 Relevant ist die Definition insbesondere für die Einwilligung von Kindern im

Rahmen der Nutzung von Diensten der Informationsgesellschaft (Art. 8) und zwar wohl am ehesten bei der Nutzung von sozialen Netzwerken im Internet2.

XXVII. Internationale Organisation (Nr. 26) 100 Die DSGVO definiert den Begriff der „internationalen Organisation“ als „eine

völkerrechtliche Organisation und ihre nachgeordneten Stellen oder jede sonstige Einrichtung, die durch eine zwischen zwei oder mehr Ländern geschlossene

1 Richtlinie (EU) 2015/1535 des Europäischen Parlaments und des Rates v. 9.9.2015 über ein Informationsverfahren auf dem Gebiet der technischen Vorschriften und der Vorschriften für die Dienste der Informationsgesellschaft. 2 Vgl. Erwägungsgrund 38.

996

|

Schreiber

Grundsätze für die Verarbeitung personenbezogener Daten | Art. 5 DSGVO

Übereinkunft oder auf der Grundlage einer solchen Übereinkunft geschaffen wurde“. Darunter fallen staatliche internationale Organisationen (IGOs), wie die Vereinten Nationen (UN) und die Welthandelsorganisation (WTO), aber auch die Europäische Union. Nicht von der Definition nach Nr. 26 erfasst sind demgegenüber nicht-staatliche 101 internationale Organisationen, sog. „internationale Nichtregierungsorganisationen (INGOs)“. Beispiele für solche Organisationen sind Amnesty International, Greenpeace oder Human Rights Watch.

Kapitel II Grundsätze

Artikel 5 Grundsätze für die Verarbeitung personenbezogener Daten (1) Personenbezogene Daten müssen a) auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden („Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“); b) für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden; eine Weiterverarbeitung für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gilt gemäß Artikel 89 Absatz 1 nicht als unvereinbar mit den ursprünglichen Zwecken („Zweckbindung“); c) dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein („Datenminimierung“); d) sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein; es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden („Richtigkeit“); e) in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist; personenbezogene Daten dürfen länger gespeichert werden, soweit die personenbezogenen Daten vorbehaltlich der Durchführung geeigneter technischer und organisatorischer Maßnahmen, die von dieser Verordnung zum Schutz der Rechte und Freiheiten der betroffenen Person gefordert werden, ausschließlich für im öffentSchreiber/Plath

|

997

Grundsätze für die Verarbeitung personenbezogener Daten | Art. 5 DSGVO

Übereinkunft oder auf der Grundlage einer solchen Übereinkunft geschaffen wurde“. Darunter fallen staatliche internationale Organisationen (IGOs), wie die Vereinten Nationen (UN) und die Welthandelsorganisation (WTO), aber auch die Europäische Union. Nicht von der Definition nach Nr. 26 erfasst sind demgegenüber nicht-staatliche 101 internationale Organisationen, sog. „internationale Nichtregierungsorganisationen (INGOs)“. Beispiele für solche Organisationen sind Amnesty International, Greenpeace oder Human Rights Watch.

Kapitel II Grundsätze

Artikel 5 Grundsätze für die Verarbeitung personenbezogener Daten (1) Personenbezogene Daten müssen a) auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden („Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“); b) für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden; eine Weiterverarbeitung für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gilt gemäß Artikel 89 Absatz 1 nicht als unvereinbar mit den ursprünglichen Zwecken („Zweckbindung“); c) dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein („Datenminimierung“); d) sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein; es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden („Richtigkeit“); e) in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist; personenbezogene Daten dürfen länger gespeichert werden, soweit die personenbezogenen Daten vorbehaltlich der Durchführung geeigneter technischer und organisatorischer Maßnahmen, die von dieser Verordnung zum Schutz der Rechte und Freiheiten der betroffenen Person gefordert werden, ausschließlich für im öffentSchreiber/Plath

|

997

Art. 5 DSGVO | Grundsätze lichen Interesse liegende Archivzwecke oder für wissenschaftliche und historische Forschungszwecke oder für statistische Zwecke gemäß Artikel 89 Absatz 1 verarbeitet werden („Speicherbegrenzung“); f) in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit“); (2) Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können („Rechenschaftspflicht“). I. Einführung . . . . . . . . . . . . . . 1 II. „Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“ (Buchst. a) . . . . 3 III. „Zweckbindung“ (Buchst. b) 6 IV. „Datenminimierung“ (Buchst. c) . . . . . . . . . . . . . . . 10

V. „Richtigkeit“ (Buchst. d) . . VI. „Speicherbegrenzung“ (Buchst. e) . . . . . . . . . . . . . VII. „Integrität und Vertraulichkeit“ (Buchst. f) . . . . . . . . . VIII. „Rechenschaftspflicht“ (Abs. 2) . . . . . . . . . . . . . . .

. . 12 . . 14 . . 19 . . 22

Schrifttum: Albrecht, Das neue EU-Datenschutzrecht – von der Richtlinie zur Verordnung, CR 2016, 88; Gierschmann, Was „bringt“ deutschen Unternehmen die DSGVO? – Mehr Pflichten, aber die Rechtsunsicherheit bleibt, ZD 2016, 51.

I. Einführung 1 Art. 5 stellt die fundamentalen Grundsätze für die Verarbeitung personenbezo-

gener Daten unter der DSGVO auf und etabliert diese Prinzipien im Sinne von Legaldefinitionen. Umfasst sind insbesondere Kriterien wie „Rechtmäßigkeit“, „Zweckbindung“, „Transparenz“, „Verhältnismäßigkeit“ und „Rechenschaft“. Die Norm basiert auf Art. 8 GRCh und entspricht weitgehend Art. 6 EG-Datenschutzrichtlinie. Im Unterschied zu Art. 6 EG-Datenschutzrichtlinie ist hingegen – das zwar bereits „gelebte“, nun aber ausdrücklich normierte Transparenzprinzip hinzugefügt worden (Buchst. a: „in einer für die betroffene Person nachvollziehbaren Weise“),

– der Grundsatz der Datenminimierung (bzw. „Datenvermeidung“ oder „Datensparsamkeit“) klarer definiert worden (Buchst. c: auf das „notwendige Maß“ beschränkt) und – eine umfassende sog. „Rechenschaftspflicht“ („Accountability“) des Verantwortlichen eingeführt worden (Abs. 2). 998

|

Plath

Grundsätze für die Verarbeitung personenbezogener Daten | Art. 5 DSGVO

Insgesamt fällt die Norm durch unscharfe Formulierungen auf, was unweiger- 2 lich zu Auslegungsfragen bei der Rechtsanwendung führen wird. Gleichzeitig ermöglicht sie durch ihre generalklauselartige Ausgestaltung gewisse Flexibilität. Eine Konkretisierung der Grundsätze findet sich in den weiteren Bestimmungen der DSGVO. Insofern ist zu erwarten, dass die Rechtsprechung die Grundsätze des Art. 5 zur Auslegung der Spezialnormen der DSGVO heranziehen wird. Ungeachtet dessen sind die Grundsätze allerdings auch selbst verbindlich und durchsetzbar1. Die maßgeblichen Erwägungsgründe finden sich in den Erwägungsgründen 39 und 57.

II. „Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“ (Buchst. a) Personenbezogene Daten müssen nach Buchst. a auf „rechtmäßige Weise“, 3 „nach dem Grundsatz von Treu und Glauben“ und in einer „nachvollziehbaren Weise“ verarbeitet werden. Das Erfordernis der Rechtmäßigkeit der Verarbeitung entspricht Art. 8 GRCh, wonach jede Verarbeitung einen Eingriff in die geschützte Privatsphäre darstellt und somit einer Rechtfertigung bedarf2. Nach dem Grundkonzept der DSGVO ist eine Verarbeitung immer dann rechtmäßig, wenn sie entweder durch eine wirksame Einwilligung des Betroffenen oder eine andere Rechtsgrundlage gedeckt ist (Art. 6 Abs. 1). Rechtsgrundlagen können sich aus der DSGVO selbst (Art. 6 Abs. 1) oder aus Unions- oder Mitgliedstaatsrecht (Art. 6 Abs. 2 und 3) sowie aus delegierten Rechtsakten (Art. 6 Abs. 5) ergeben. In der deutschen Fassung der Norm wird der Begriff Treu und Glauben be- 4 wusst als allgemeiner und in seiner Bedeutung in Deutschland einigermaßen gefestigter Rechtsbegriff verwendet. Die englische Sprachfassung spricht hier von „Fairness“. Die Wendung auf „nachvollziehbare Weise“ formuliert das Transparenzgebot 5 und überschneidet sich insofern stark mit dem Grundsatz von Treu und Glauben. Gemeint ist damit nicht, dass der Betroffene über jedes Detail der Verarbeitung seiner Daten im Voraus aufgeklärt werden muss. Im Zweifel wird der Betroffene kein Interesse an einer zu kleinteiligen Beschreibung z.B. technischer Verarbeitungsvorgänge haben. Somit ist das Transparenzgebot dahingehend zu verstehen, dass dem Betroffenen ein grundsätzliches Verständnis darüber vermittelt werden soll, wie, durch wen und für welche Zwecke seine Daten verarbeitet werden. Seine Konkretisierung findet dieser Grundsatz in Art. 12 (Transparente Information, Kommunikation und Modalitäten für die Ausübung der Rechte der betroffenen Person), der wiederum auf die Art. 13, 14 und 15–22 1 Albrecht, CR 2016, 88 (91). 2 von der Groeben/Schwarze/Hatje/Brühann, Art. 16 AEUV Rz. 101.

Plath

|

999

Art. 5 DSGVO | Grundsätze sowie Art. 34 verweist. Zu den Einzelheiten sei auf die Komm. zu Art. 12 DSGVO verwiesen.

III. „Zweckbindung“ (Buchst. b) 6 Nach Buchst. b ist bereits die Erhebung personenbezogener Daten nur für „fest-

gelegte, eindeutige und legitime Zwecke“ gestattet. Nach der hier vertretenen Ansicht können bei der Erhebung auch mehrere Zwecke festgelegt werden. Dies folgt nicht zuletzt aus der Verwendung des Plurals („Zwecke“). Erforderlich ist freilich, dass die Mitteilungspflichten des Art. 13 Abs. 1 Buchst. c erfüllt werden, wo im Übrigen auch auf (verschiedene) „Zwecke“, und eben nicht nur einen einzigen „Zweck“ abgestellt wird. Die (anschließende) Verarbeitung „in einer mit diesen Zwecken nicht zu vereinbarenden Weise“ ist untersagt („Zweckbindung“). Art. 12 Abs. 1 präzisiert dieses Gebot dahingehend, dass diese Zwecke und alle weiteren nach der DSGVO zu erteilenden Informationen und Mitteilungen dem Betroffenen „in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache“ kommuniziert werden müssen. Zielsetzung ist eine Laienverständlichkeit, die komplexe Sachverhalte zugänglich und, wie von den Creative Commons Lizenzen bekannt, auch unter Zuhilfenahme von grafischen Darstellungen „human readable“ macht. Interessanterweise kollidiert dieses Gebot mit der insbesondere von der deutschen Rechtsprechung entwickelten Forderung, den Betroffenen z.B. im Rahmen von Einwilligungserklärungen sehr detailliert und genau darüber zu informieren, wie mit seinen Daten umgegangen wird (zu den Einzelheiten vgl. die Komm. zu § 28 Abs. 3 BDSG Rz. 99 ff.). Aus Sicht der Praxis ist die in der DSGVO angelegte Tendenz zu vereinfachten oder gar umgangssprachlichen Aufklärungen zu begrüßen.

7 Die Datenverarbeitung zu anderen, über die ursprünglichen hinausgehenden,

Zwecken bleibt unter gewissen Voraussetzungen möglich (Zweckänderung). Dies folgt nicht direkt aus Art. 5, jedoch aus Art. 6 Abs. 4. Nach dieser Norm hat der Verantwortliche selbständig „festzustellen, ob die Verarbeitung zu einem anderen Zweck mit demjenigen, zu dem die personenbezogenen Daten ursprünglich erhoben wurden, vereinbar ist“. Diese Regelung unterstellt, dass eine Zweckänderung grundsätzlich möglich ist, allerdings unter der Einschränkung der „Vereinbarkeit“ des ursprünglichen mit dem neuen Zweck. Die Prüfung der Frage der „Vereinbarkeit“ richtet sich nach den in Art. 6 Abs. 4 aufgestellten Kriterien, die ausweislich des Wortlauts der Norm nicht abschließend gelten. Zu den Einzelheiten sei auf die Komm. zu Art. 6 DSGVO verwiesen.

8 Aus dem Erfordernis der Vereinbarkeit folgt weiterhin im Umkehrschluss, dass

eine erneute Einwilligung (nur dann) eingeholt werden bzw. ein gesonderter Rechtmäßigkeitsgrund (nur dann) vorliegen muss, wenn der neue Zweck der Verarbeitung mit dem ursprünglichen unvereinbar ist. Was zunächst nach einer 1000

|

Plath

Grundsätze für die Verarbeitung personenbezogener Daten | Art. 5 DSGVO

starken Restriktion klingt, bedeutet im Ergebnis allerdings, dass eine Zweckänderung selbst dann zulässig sein kann, wenn der ursprüngliche und der neue Zweck nicht miteinander vereinbar sind. Erforderlich ist in diesem Fall nach Art. 6 Abs. 4 allerdings eine neue Rechtsgrundlage, während die weitere Verarbeitung bei miteinander zu vereinbarenden Zwecken fortwirkend noch auf die ursprüngliche, für die Ersterhebung dienende Rechtsgrundlage gestützt werden kann. Diese Fortwirkung gilt vor allem dann, wenn bereits bei der Erhebung mehrere Zwecke festgelegt werden, von denen jedenfalls einer weiterhin verfolgt wird. Die Frage, ob eine Zweckänderung eine Pflicht zur Unterrichtung nach sich zieht, ist in Art. 13 und 14 geregelt. Für „im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder 9 historische Forschungszwecke oder für statistische Zwecke“ verweist die Norm schließlich auf Art. 89 Abs. 1 und erklärt diese Zwecke pauschal als für mit den ursprünglichen Zwecken vereinbar. Allerdings bleiben weiterhin die Anforderungen des Art. 89 zu beachten (s. dort). Art. 5 Abs. 1 Buchst. b regelt insoweit lediglich, dass eine solche Nutzung nicht bereits an der Zweckbindung scheitert.

IV. „Datenminimierung“ (Buchst. c) Die Norm des Buchst. c beschreibt die Maxime, dass die Datenverarbeitung ih- 10 rem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein muss, also den sog. Grundsatz der „Datenminimierung“. Dies meint die Beschränkung der Verarbeitung einschließlich der Erhebung von Daten auf einen Umfang, der zur jeweiligen Zweckerfüllung erforderlich ist und das notwendige Minimum in diesem Sinne darstellt. Es handelt sich damit im Grundsatz also nicht um eine Verpflichtung auf das absolute Minimum, sondern auf eine verhältnismäßige Handhabung der Datenmengen mit Augenmaß. Dies folgt nicht zuletzt aus Erwägungsgrund 39, wo es heißt: „Personenbezogene Daten sollten nur verarbeitet werden dürfen, wenn der Zweck der Verarbeitung nicht in zumutbarer Weise durch andere Mittel erreicht werden kann“. Zum Grundsatz der Datensparsamkeit im Anwendungsbereich des BDSG vgl. ausführlich Komm. zu § 3a BDSG. Eine generelle Subsidiarität der Verarbeitung personenbezogener Daten gegen- 11 über anderen Mitteln zur jeweiligen Zweckerreichung konnte sich im Trilog nicht durchsetzen. Dadurch wird deutlich, dass nach der gesetzgeberischen Intention personenbezogene Daten selbst dann erhoben und verarbeitet werden dürfen, wenn auch andere Mittel zur Verfügung gestanden hätten, um den beabsichtigen Zweck zu erreichen. Erforderlich bleibt aber, die Verarbeitung der Daten in diesen Fällen auf das angemessene Mindestmaß zu beschränken. Aus Erwägungsgrund 39 geht hervor, dass insbesondere die Speicherfrist für personenbezogene Daten auf das unbedingt erforderliche Mindestmaß beschränkt bleiben muss. Plath

|

1001

Art. 5 DSGVO | Grundsätze V. „Richtigkeit“ (Buchst. d) 12 Nach Buchst. d sind Daten „sachlich richtig und erforderlichenfalls auf dem

neuesten Stand“ zu halten. Der deutsche Text spricht somit von einem Gebot der Richtigkeit der Daten. Andere Sprachversionen beziehen sich stattdessen auf Genauigkeit („accuracy“) der Daten.

13 Zu diesem Zweck sollen alle „angemessenen Maßnahmen“ getroffen werden,

damit „unrichtige“ personenbezogene Daten gelöscht oder berichtigt werden. Erwägungsgrund 39 spricht insoweit davon, dass „alle vertretbaren Schritte“ zu unternehmen sind, unzutreffende oder unvollständige personenbezogene Daten zu korrigieren oder zu löschen. Eine Konkretisierung findet dieser Grundsatz in Art. 17 („Recht auf Vergessenwerden“). Die Begrenzung auf die Vornahme „angemessener Maßnahmen“ bzw. „vertretbarer Schritte“ folgt schon daraus, dass ein Gebot übermäßiger und fortwährender Kontrolle der möglichen Unrichtigkeit von Daten zu einem erhöhten Verarbeitungsaufwand führen würde, der in Anbetracht des Gebots der „Datenminimierung“ gerade nicht gewollt sein kann. Auch die erst im Rahmen des Trilogs aufgenommene Einschränkung, dass die Daten nur „erforderlichenfalls“ auf dem neuesten Stand zu halten sind, trägt den potentiell weitreichenden Folgen einer solchen Verpflichtung Rechnung. Sie würde sonst in uferlose Nachforschungspflichten ausarten. Freilich bleibt im Einzelfall zu prüfen, ob Daten, die sich nicht auf dem „neuesten Stand“ befinden, nicht auch „sachlich unrichtig“ sind, denn für letztere Datenkategorie gilt die Beschränkung dem Wortlaut der Norm nach nicht.

VI. „Speicherbegrenzung“ (Buchst. e) 14 Die Norm des Buchst. e enthält Regelungen zu drei Sachverhalten. Zunächst ist

geregelt, dass die Daten in einer „Form“ zu speichern sind, durch die eine Identifizierung des jeweiligen Betroffenen ermöglicht wird. Desweiteren wird die zulässige Höchstdauer der Speicherung durch die Zweckerfüllung begrenzt. Schließlich wird bezüglich dieser Höchstdauer eine Ausnahme für den Fall normiert, dass die Daten „ausschließlich für im öffentlichen Interesse liegende Archivzwecke oder für wissenschaftliche und historische Forschungszwecke oder für statistische Zwecke gemäß Artikel 89 Absatz 1“ verarbeitet werden.

15 Die Pflicht, Datensätze identifizierbar zu halten, schränkt Erwägungsgrund 57

insoweit ein, als ein Verantwortlicher nicht verpflichtet werden soll, „zur bloßen Einhaltung einer Vorschrift dieser Verordnung zusätzliche Daten einzuholen, um die betroffene Person zu identifizieren“. Gleichzeitig soll der Verantwortliche „sich nicht weigern“, von der Person zur Geltendmachung ihrer Rechte „beigebrachte“ Informationen „entgegenzunehmen“. Einzelheiten für den Fall, dass die Bestimmung einer von der Verarbeitung betroffenen Person nicht erforderlich oder möglich ist, regelt Art. 11 (s. dort). 1002

|

Plath

Grundsätze für die Verarbeitung personenbezogener Daten | Art. 5 DSGVO

Für die Höchstdauer der Speicherung gilt der Grundsatz, dass die Daten nur 16 solange gespeichert werden dürfen, wie es für die Realisierung der Zwecke der Datenverarbeitung erforderlich ist. Zu beachten ist insoweit, dass nach Buchst. b (s. dort) eine Zweckänderung grundsätzlich möglich bleibt. Vor diesem Hintergrund hat der Verantwortliche die Möglichkeit, soweit dies im Rahmen der Zweckänderung gestattet bleibt, die Speicherdauer durch Festlegung eines neuen Zweckes „zu verlängern“, wenn der ursprüngliche Speicherungszweck bereits vollständig erfüllt ist. Abweichend von vorstehendem Grundsatz dürfen personenbezogene Daten 17 auch bei Erreichung des eigentlichen Zwecks zu bestimmten weiteren Zwecken länger gespeichert werden. Konkret nennt die Norm insoweit „ausschließlich für im öffentlichen Interesse liegende Archivzwecke oder für wissenschaftliche und historische Forschungszwecke oder für statistische Zwecke gemäß Artikel 89 Absatz 1“. Auch bei Verfolgung dieser konkreten Zwecke dürfen die Daten allerdings nur dann länger gespeichert werden, sofern dies im Einklang mit Art. 89 (s. dort) steht, und die Notwendigkeit der Speicherung regelmäßig überprüft wird. Nach Erwägungsgrund 39 sind Fristen für Löschung und Überprüfung vorzu- 18 sehen, ohne dass diese Fristen konkret genannt worden sind. Im Ergebnis werden diese Fristen von den Umständen des Einzelfalles abhängen. Ungeachtet dessen muss es möglich sein, typisierte Regelprüffristen für wiederkehrende Vorgänge anzuwenden, da es gerade Unternehmen, die in großem Umfang Daten verarbeiten (wie etwa Auskunfteien), nicht zuzumuten ist, jeden einzelnen Fall gesondert zu bewerten.

VII. „Integrität und Vertraulichkeit“ (Buchst. f) Der erst durch den Trilog auf Initiative des EU-Parlaments hinzugefügte 19 Buchst. f soll die „Integrität und Vertraulichkeit“ von Daten sicherstellen. Dabei stimmt die Wortwahl mit derjenigen des Bundesverfassungsgerichts überein, mit der das Gericht das „IT-Grundrecht“ definierte, nämlich als „Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme“1. Die Norm fordert die Gewährleistung einer „angemessene[n] Sicherheit“ von Daten vor unautorisiertem Zugriff und vor Verlust oder „Zerstörung“ durch „geeignete technische und organisatorische Maßnahmen“. Darin liegt scheinbar zunächst nur die Forderung, im Sinne der verkehrsübli- 20 chen Sorgfalt im Umgang mit Daten, die entsprechenden Zugänge angemessen zu sichern, Übertragungen ggf. zu verschlüsseln, und unabhängige Sicherungskopien anzufertigen und sukzessive zu aktualisieren. Die Formulierung stellt aber tatsächlich ein Spannungsverhältnis mit allen vorangestellten Grundsätzen 1 BVerfG v. 27.2.2008 – 1 BvR 370/07, 1 BvR 595/07, NJW 2008, 822.

Plath

|

1003

Art. 5 DSGVO | Grundsätze auf: So müsste ein Unternehmen, um dem Schutz vor „zufälligem“ Untergang der Daten gerecht zu werden, etwa weitreichende und automatisierte Sicherungskopien anfertigen. Dadurch läuft es allerdings unmittelbar Gefahr, die Grundsätze der maximalen Speicherdauer und Zweckbindung jedenfalls dann zu unterlaufen, wenn solche Sicherungskopien nicht als „Archivzweck“ die zulässige Speicherdauer verlängern würden (s. bei Buchst. b). 21 Andererseits ließe sich vertreten, dass eine Maßnahme, die durch Buchst. f ge-

fordert wird, ohnehin einen legitimen Zweck im Sinne der Verordnung darstellt, und somit die restriktiveren Grundsätze aus Buchst. a–e einschränkt. Diese Interpretation scheint auch deswegen vernünftig, weil ein wirtschaftlich praktikabler Umgang mit Daten unter gleichzeitiger Beachtung aller restriktiven Grundsätze aus Art. 5 kaum möglich erscheint. Letztendlich müssen sich die Grundsätze gegenseitig einschränken und ausgleichen, um im Einzelfall zu einer rechtmäßigen Praxis zu führen.

VIII. „Rechenschaftspflicht“ (Abs. 2) 22 Abs. 2 normiert eine sog. „Rechenschaftspflicht“. Der Verantwortliche ist für

die Einhaltung des Abs. 1 verantwortlich und muss dessen Einhaltung nachweisen können. Ziel der Regelung ist es, die Unternehmen und sonstige Verantwortliche stärker in die Pflicht zu nehmen. Inwieweit die in Abs. 2 geregelt Pflicht jedoch über die an sich selbstverständliche Pflicht hinausreicht, eine Verarbeitung personenbezogener Daten nur im Einklang mit der DSGVO vorzunehmen, bleibt unklar1.

23 Auffällig ist jedenfalls die nunmehr in Abs. 2 explizit geregelte Nachweispflicht

des Verantwortlichen. Dies gilt insbesondere etwa in Bezug auf den Nachweis der Abgabe einer Einwilligung durch den Betroffenen (vgl. Art. 7 Abs. 1, der diese Nachweispflicht explizit normiert). Weiterhin wird die Nachweispflicht auch noch einmal in Art. 24 Abs. 1 ausdrücklich hervorgehoben, der die grundsätzliche Verantwortung des Verantwortlichen normiert. Weiterhin ist der Auftragsverarbeiter nach Art. 28 Abs. 3 Buchst. h im Rahmen der Beauftragung darauf zu verpflichten, „dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in diesem Artikel niedergelegten Pflichten zur Verfügung“ zu stellen. Hinsichtlich der Frage, wie dieser Nachweis zu erbringen ist, ergeben sich gewisse Anhaltspunkte aus Art. 35 Abs. 7 Buchst. d, der die Datenschutz-Folgenabschätzung regelt. Hier wird der Verantwortliche dazu verpflichtet, u.a. „Garantien, Sicherheitsvorkehrungen und Verfahren“ einzuführen, „durch die der Schutz personenbezogener Daten sichergestellt und der Nachweis dafür erbracht wird, dass diese Verordnung eingehalten wird“. Daraus mag man folgern, dass z.B. dokumentiere Verfahren dazu beitragen kön1 Ähnlich auch Gierschmann, ZD 2016, 51 (52).

1004

|

Plath

Rechtmäßigkeit der Verarbeitung | Art. 6 DSGVO

nen, der Nachweispflicht unter der DSGVO zu genügen. In die gleiche Richtung weist Erwägungsgrund 78, wo es heißt: „Um die Einhaltung dieser Verordnung nachweisen zu können, sollte der Verantwortliche interne Strategien festlegen und Maßnahmen ergreifen, die insbesondere den Grundsätzen des Datenschutzes durch Technik (data protection by design) und durch datenschutzfreundliche Voreinstellungen (data protection by default) Genüge tun.“ Nach Erwägungsgrund 82 kann auch die Führung eines Verfahrensverzeichnisses zum Nachweis beitragen. Bedeutung hat die Nachweispflicht vor allem für die Frage der Haftung des Ver- 24 antwortlichen sowie des Auftragsverarbeiters. Dazu sieht Art. 82 Abs. 3 vor, dass der Verantwortliche bzw. der Auftragsverarbeiter von der Haftung nur dann befreit wird, „wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist.“ Wegen der Einzelheiten sei auf die Komm. zu Art. 82 DSGVO verwiesen.

Artikel 6 Rechtmäßigkeit der Verarbeitung (1) Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist: a) Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben; b) die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen; c) die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt; d) die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen; e) die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde; f) die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt. Plath

|

1005

Rechtmäßigkeit der Verarbeitung | Art. 6 DSGVO

nen, der Nachweispflicht unter der DSGVO zu genügen. In die gleiche Richtung weist Erwägungsgrund 78, wo es heißt: „Um die Einhaltung dieser Verordnung nachweisen zu können, sollte der Verantwortliche interne Strategien festlegen und Maßnahmen ergreifen, die insbesondere den Grundsätzen des Datenschutzes durch Technik (data protection by design) und durch datenschutzfreundliche Voreinstellungen (data protection by default) Genüge tun.“ Nach Erwägungsgrund 82 kann auch die Führung eines Verfahrensverzeichnisses zum Nachweis beitragen. Bedeutung hat die Nachweispflicht vor allem für die Frage der Haftung des Ver- 24 antwortlichen sowie des Auftragsverarbeiters. Dazu sieht Art. 82 Abs. 3 vor, dass der Verantwortliche bzw. der Auftragsverarbeiter von der Haftung nur dann befreit wird, „wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist.“ Wegen der Einzelheiten sei auf die Komm. zu Art. 82 DSGVO verwiesen.

Artikel 6 Rechtmäßigkeit der Verarbeitung (1) Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist: a) Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben; b) die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen; c) die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt; d) die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen; e) die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde; f) die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt. Plath

|

1005

Art. 6 DSGVO | Grundsätze Unterabsatz 1 Buchstabe f gilt nicht für die von Behörden in Erfüllung ihrer Aufgaben vorgenommene Verarbeitung. (2) Die Mitgliedstaaten können spezifischere Bestimmungen zur Anpassung der Anwendung der Vorschriften dieser Verordnung in Bezug auf die Verarbeitung zur Erfüllung von Absatz 1 Buchstaben c und e beibehalten oder einführen, indem sie spezifische Anforderungen für die Verarbeitung sowie sonstige Maßnahmen präziser bestimmen, um eine rechtmäßig und nach Treu und Glauben erfolgende Verarbeitung zu gewährleisten, einschließlich für andere besondere Verarbeitungssituationen gemäß Kapitel IX. (3) Die Rechtsgrundlage für die Verarbeitungen gemäß Absatz 1 Buchstaben c und e wird festgelegt durch a) Unionsrecht oder b) das Recht der Mitgliedstaaten, dem der Verantwortliche unterliegt. Der Zweck der Verarbeitung muss in dieser Rechtsgrundlage festgelegt oder hinsichtlich der Verarbeitung gemäß Absatz 1 Buchstabe e für die Erfüllung einer Aufgabe erforderlich sein, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde. Diese Rechtsgrundlage kann spezifische Bestimmungen zur Anpassung der Anwendung der Vorschriften dieser Verordnung enthalten, unter anderem Bestimmungen darüber, welche allgemeinen Bedingungen für die Regelung der Rechtmäßigkeit der Verarbeitung durch den Verantwortlichen gelten, welche Arten von Daten verarbeitet werden, welche Personen betroffen sind, an welche Einrichtungen und für welche Zwecke die personenbezogenen Daten offengelegt werden dürfen, welcher Zweckbindung sie unterliegen, wie lange sie gespeichert werden dürfen und welche Verarbeitungsvorgänge und -verfahren angewandt werden dürfen, einschließlich Maßnahmen zur Gewährleistung einer rechtmäßig und nach Treu und Glauben erfolgenden Verarbeitung, wie solche für sonstige besondere Verarbeitungssituationen gemäß Kapitel IX. Das Unionsrecht oder das Recht der Mitgliedstaaten müssen ein im öffentlichen Interesse liegendes Ziel verfolgen und in einem angemessenen Verhältnis zu dem verfolgten legitimen Zweck stehen. (4) Beruht die Verarbeitung zu einem anderen Zweck als zu demjenigen, zu dem die personenbezogenen Daten erhoben wurden, nicht auf der Einwilligung der betroffenen Person oder auf einer Rechtsvorschrift der Union oder der Mitgliedstaaten, die in einer demokratischen Gesellschaft eine notwendige und verhältnismäßige Maßnahme zum Schutz der in Artikel 23 Absatz 1 genannten Ziele darstellt, so berücksichtigt der Verantwortliche – um festzustellen, ob die Verarbeitung zu einem anderen Zweck mit demjenigen, zu dem die personenbezogenen Daten ursprünglich erhoben wurden, vereinbar ist – unter anderem a) jede Verbindung zwischen den Zwecken, für die die personenbezogenen Daten erhoben wurden, und den Zwecken der beabsichtigten Weiterverarbeitung, 1006

|

Plath

Rechtmäßigkeit der Verarbeitung | Art. 6 DSGVO

b) den Zusammenhang, in dem die personenbezogenen Daten erhoben wurden, insbesondere hinsichtlich des Verhältnisses zwischen den betroffenen Personen und dem Verantwortlichen, c) die Art der personenbezogenen Daten, insbesondere ob besondere Kategorien personenbezogener Daten gemäß Artikel 9 verarbeitet werden oder ob personenbezogene Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 verarbeitet werden, d) die möglichen Folgen der beabsichtigten Weiterverarbeitung für die betroffenen Personen, e) das Vorhandensein geeigneter Garantien, wozu Verschlüsselung oder Pseudonymisierung gehören kann. I. Einführung . . . . . . . . . . . . . II. Voraussetzungen der Rechtmäßigkeit (Abs. 1) . . . . . . . . 1. Einwilligung (Buchst. a) . . . . 2. Vertragliche Verpflichtung (Buchst. b) . . . . . . . . . . . . . . 3. Rechtliche Verpflichtung (Buchst. c) . . . . . . . . . . . . . . 4. Schutz lebenswichtiger Interessen (Buchst. d) . . . . . . 5. Öffentliches Interesse oder hoheitliche Gewalt (Buchst. e)

..

1

.. ..

4 6

..

8

. . 13 . . 14

6. Wahrung berechtigter Interessen (Buchst. f) . . . . . . . . . . . . . . . . III. Ermächtigung der Mitgliedstaaten zum Erlass spezifischer Bestimmungen (Abs. 2) . . . . . . IV. Anforderungen an spezifische Bestimmungen (Abs. 3) . . . . . . V. Rechtmäßigkeit einer Zweckänderung (Abs. 4) . . . . .

17 24 27 30

. . 15

Schrifttum: Albrecht, Das neue EU-Datenschutzrecht – von der Richtlinie zur Verordnung, CR 2016, 88; Deutscher Dialogmarketing Verband e.V., Best Practice Guide, Europäische Datenschutz-Grundverordnung, Auswirkungen auf das Dialogmarketing, 2016; Gierschmann, Was „bringt“ deutschen Unternehmen die DSGVO? – Mehr Pflichten, aber die Rechtsunsicherheit bleibt, ZD 2016, 51; Ziegenhorn, Die materielle Rechtmäßigkeit von Datenverarbeitung nach der EU-Datenschutz-Grundverordnung, zfm 2016, 3.

I. Einführung Die Regelung des Abs. 1 definiert die einzelnen Rechtmäßigkeitsvoraussetzun- 1 gen für die Verarbeitung personenbezogener Daten. Neben Art. 5, der die Grundsätze für Verarbeitung personenbezogener Daten aufstellt, ist die Norm von zentraler Bedeutung für die rechtliche Bewertung der Verarbeitung personenbezogener Daten und das Konstrukt der DSGVO insgesamt. Schon die Formulierung der Überschrift verdeutlicht die Grundkonzeption des 2 europäischen Datenschutzregimes unter der DSGVO. Es handelt sich – wie schon bislang im Geltungsbereich der EG-Datenschutzrichtlinie – um ein generelles Verbot der Datenverarbeitung mit Erlaubnisvorbehalt: Die RechtPlath

|

1007

Art. 6 DSGVO | Grundsätze mäßigkeit eines jeden Verarbeitungsaktes muss begründet und festgestellt werden. Dafür stellt Art. 6 die grundlegenden Weichen. Die Norm weist große inhaltliche Ähnlichkeit mit Art. 7 EG-Datenschutzrichtlinie auf, der die „Grundsätze in Bezug auf die Zulässigkeit der Verarbeitung von Daten“ regelte. Insoweit können Abweichungen in der Formulierung Hinweise auf gesetzgeberische Intentionen und entsprechende Auslegungstendenzen geben. Die maßgeblichen Erwägungsgründe finden sich in den Erwägungsgründen 44–48. 3 Die Norm ist wie folgt aufgebaut:

– Abs. 1 normiert die einzelnen Rechtmäßigkeitsvoraussetzungen, die sich wiederum unterteilen in die Einwilligung (Buchst. a) und die weiteren gesetzlichen Erlaubnistatbestände (Buchst. b–f); – Abs. 2 regelt die Ermächtigung der Mitgliedstaaten zum Erlass spezifischer Bestimmungen, welche bestimmte Normen der DSGVO konkretisieren; – Abs. 3 regelt die Anforderungen an die nach Abs. 2 möglichen Rechtsgrundlagen zur Präzisierung der DSGVO; – Abs. 4 regelt die Rechtmäßigkeit der Zweckänderung.

II. Voraussetzungen der Rechtmäßigkeit (Abs. 1) 4 Nach Abs. 1 ist die Verarbeitung personenbezogener Daten nur dann rechtmäßig,

wenn „mindestens eine“ der in Art. 6 genannten Voraussetzungen gegeben ist. An erster Stelle nennt die DSGVO die Einwilligung (Buchst. a). Als weitere gesetzliche Rechtmäßigkeitsgründe stehen vertragliche (Buchst. b) und rechtliche Verpflichtungen (Buchst. c), lebenswichtige Interessen des Betroffenen (Buchst. d) und das öffentliche Interesse (Buchst. e) sowie ergänzend die Verarbeitung zur Wahrung allgemein berechtigter Interessen (Buchst. f) zur Verfügung.

5 Durch den Hinweis darauf, dass „mindestens eine“ der Voraussetzungen gege-

ben sein muss, wird deutlich, dass die Tatbestände auch nebeneinander zur Anwendung kommen können. In der Praxis wird diese Frage vor allem dann relevant, wenn es darum geht, ob vorsorglich eine Einwilligung des Betroffenen eingeholt werden sollte, wenn Unsicherheit über das Vorliegen eines weiteren Erlaubnistatbestands besteht. Nach der hier vertretenen Ansicht ist in Anbetracht der gewählten Formulierung des Abs. 1 davon auszugehen, dass der – auch gescheiterte – Versuch, eine Einwilligung einzuholen, den Verantwortlichen nicht daran hindert, die vorgesehene Datenverarbeitung alternativ auf die gesetzlichen Erlaubnistatbestände zu stützen. Dies folgt nicht zuletzt auch aus Art. 17 Abs. 1 Buchst. b, der anordnet, dass Daten trotz eines Widerrufs der erteilten Einwilligung nicht zu löschen sind, wenn eine „anderweitige Rechtsgrundlage für die Verarbeitung“ vorliegt. Zu den Einzelheiten sei auf die Komm. zu Art. 17 DSGVO verweisen. 1008

|

Plath

Rechtmäßigkeit der Verarbeitung | Art. 6 DSGVO

1. Einwilligung (Buchst. a) Nach Abs. 1 ist es weiterhin – d.h. wie auch unter dem Regime des BDSG – mög- 6 lich, die Verarbeitung auf eine Einwilligung des Betroffenen zu stützen. Explizite Voraussetzung für die Wirksamkeit der Einwilligung ist die Zweckbindung (vgl. dazu Art. 5 Buchst. b); sie erfordert eine „genaue“ Festlegung der Zwecke der Datenverarbeitung in dem Einwilligungstext, wobei auch mehrere Zwecke benannt werden können. Dies folgt ausdrücklich aus Erwägungsgrund 32: „Die Einwilligung sollte sich auf alle zu demselben Zweck oder denselben Zwecken vorgenommenen Verarbeitungsvorgänge beziehen. Wenn die Verarbeitung mehreren Zwecken dient, sollte für alle diese Verarbeitungszwecke eine Einwilligung gegeben werden.“ Die weiteren formellen und materiellen Anforderungen an eine wirksame Ein- 7 willigung sind in Art. 7 („Bedingungen für die Einwilligung“) geregelt. Liegt eine wirksame Einwilligung vor, ist kein Rückgriff auf die weiteren Erlaubnistatbestände erforderlich, bleibt aber möglich. 2. Vertragliche Verpflichtung (Buchst. b) Nach Buchst. b kann auch ein „Vertrag“ mit der betroffenen Person taugliche 8 Rechtsgrundlage für die Datenverarbeitung sein, wenn die Datenverarbeitung zu dessen „Erfüllung […] erforderlich“ ist. Buchst. b ist, von einer geringfügigen Satzumstellung abgesehen, mit Art. 7 Buchst. b der EG-Datenschutzrichtlinie inhaltlich identisch. Die Formulierung „zur Erfüllung eines Vertrages“ darf dabei nicht im rechts- 9 technischen Sinne zu eng verstanden werden: „Vertrag“ kann zunächst jedes Schuldverhältnis sein, wie es derzeit für das BDSG in § 28 Abs. 1 Satz 1 Nr. 1 BDSG ausdrücklich vorgesehen ist (dazu Komm. zu § 28 BDSG Rz. 15 ff.). Neben der „Erfüllung“ sind die Vorbereitung und Anbahnung des Vertrages, dessen Durchführung sowie auch dessen Abwicklung insbesondere zur Erfüllung von Gewährleistungspflichten oder sekundären Leistungspflichten erfasst. Auch vorvertragliche Maßnahmen können eine Verarbeitung legitimieren, al- 10 lerdings nur, wenn sie „auf Anfrage der betroffenen Person erfolgen“. Auch der Begriff „auf Anfrage“ ist weit zu verstehen und nicht etwa auf eine hinreichend bestimmte Willenserklärung i.S.d. § 145 BGB zu reduzieren. Erwägungsgrund 44 nennt insoweit auch den „geplanten Abschluss“ einer Vertragsbeziehung als Tatbestand, der unter diese Norm fällt. Typischer Anwendungsfall einer nach dieser Norm zulässigen vorvertraglichen Maßnahme ist etwa die Übermittlung personenbezogener Daten, der sog. Anfragedaten, an eine Auskunftei zum Zwecke der Bonitätsprüfung. Partei des Vertrages muss die betroffene Person sein. Eine Verarbeitung nach 11 diesem Erlaubnistatbestand kann also nicht auf einen Vertrag zwischen dem Verantwortlichen und einem Drittunternehmen gestützt werden, solange die bePlath

|

1009

Art. 6 DSGVO | Grundsätze troffene Person nicht Partei dieses Vertrages ist. Allerdings verlangt die Norm ihrem Wortlaut nach nicht, dass der Verantwortliche selbst Vertragspartei ist. Insofern ist es grundsätzlich denkbar, dass die Verarbeitung durch einen Verantwortlichen auf diese Norm gestützt werden kann, wenn diese Maßnahme zur Durchführung eines Vertrages zwischen der betroffenen Person und einem Dritten erforderlich ist. Zu denken wäre etwa an einen Rückversicherer, der den Abschluss eines Vertrages zwischen der Versicherung und dem Versicherungsnehmer erst ermöglicht und dazu Zugriff auf die Antragsdaten des Versicherungsnehmers benötigt. 12 Ob die Verarbeitung zu den von der Norm gedeckten Zwecken erforderlich ist,

muss objektiv anhand des konkreten Verarbeitungszweckes im Rahmen einer umfassenden Interessenabwägung bestimmt werden. Insoweit sei auf die Komm. zu § 28 BDSG Rz. 19 ff. verwiesen.

3. Rechtliche Verpflichtung (Buchst. c) 13 Unterliegt der Verantwortliche einer „rechtlichen Verpflichtung“, Vorversionen

sprachen hier noch von einer „gesetzlichen“ Verpflichtung, kann diese gemäß Buchst. c zur Rechtfertigung eines Verarbeitungsvorganges herangezogen werden. Die Norm entspricht Art. 7 Buchst. c EG-Datenschutzrichtlinie. Nach Abs. 2 und 3 kommen dafür insbesondere die dort genannten unionsrechtlichen bzw. einzelstaatlichen Rechtsgrundlagen in Betracht (s. Rz. 24 ff.). Erwägungsgrund 45 stellt insoweit klar, dass „nicht für jede einzelne Verarbeitung ein spezifisches Gesetz verlangt“ wird. Vielmehr kann nur ein Gesetz als Grundlage für mehrere Verarbeitungsvorgänge ausreichend sein. 4. Schutz lebenswichtiger Interessen (Buchst. d)

14 Buchst. d normiert den Schutz lebenswichtiger Interessen der betroffenen Per-

son oder einer anderen natürlichen Person als weitere Rechtsgrundlage für eine Datenverarbeitung, wenn diese zu diesem Zweck „erforderlich“ ist. Das soll nach Erwägungsgrund 46 nur dann der Fall sein, wenn die Verarbeitung „offensichtlich nicht auf eine andere Rechtsgrundlage gestützt werden kann“ mithin handelt es sich um eine subsidiäre Rechtsgrundlage. Als konkrete Beispiele für diesen Anwendungsfall nennt Erwägungsgrund 46 die Verarbeitung zu humanitären Zwecken, etwa bei Epidemien und Naturkatastrophen. Die Regelung entspricht Art. 7 Buchst. d der EG-Datenschutzrichtlinie. 5. Öffentliches Interesse oder hoheitliche Gewalt (Buchst. e)

15 Auch die Verarbeitung zur Wahrnehmung einer Aufgabe im öffentlichen Inte-

resse oder in Ausübung öffentlicher Gewalt kann nach Buchst. e Rechtsgrundlage für die Datenverarbeitung sein. Adressaten der Norm sind nur diejenigen

1010

|

Plath

Rechtmäßigkeit der Verarbeitung | Art. 6 DSGVO

Verantwortlichen, denen die Aufgabe „übertragen wurde“. Auffallend ist insoweit die Veränderung im Vergleich zu Art. 7 Buchst. e EG-Datenschutzrichtlinie: Dort galt noch die Tatbestandsalternative, wonach sich die Erlaubnis auch darauf stützen konnte, dass jedenfalls dem Empfänger der Daten eine entsprechende Aufgabe übertragen worden war. Weiterhin kommen – wie auch bei Buchst. c – unionsrechtliche bzw. einzelstaat- 16 liche Rechtsgrundlagen i.S.d. Abs. 2 und 3 als Rechtsgrundlagen für die Begründung eines öffentlichen Interesses bzw. der Ausübung öffentlicher Gewalt in Betracht (s. dort). 6. Wahrung berechtigter Interessen (Buchst. f) Buchst. f normiert einen – für die Praxis höchst relevanten – Auffangtatbestand 17 für die Rechtmäßigkeit der Datenverarbeitung. Danach ist die Verarbeitung rechtmäßig, wenn sie erforderlich ist für die Wahrung „berechtigter Interessen“ des Verantwortlichen oder eines Dritten, mit der Einschränkung, dass diese bei einer Abwägung mit den „Grundrechten und Grundfreiheiten“ des Betroffenen „überwiegen“. Letzterem Erfordernis soll bei der Verarbeitung personenbezogener Daten von Kindern besondere Bedeutung zukommen. Erwägungsgrund 47 illustriert insoweit, dass nach dieser Norm drei mögliche 18 Konstellationen denkbar sind. Abgestellt werden kann auf: – die berechtigten Interessen des Verantwortlichen selbst; etwa auf die Interessen eines Unternehmens, das eine Compliance-Untersuchung durchführt, – die berechtigten Interessen eines weiteren Verantwortlichen, an den die Daten weitergegeben werden dürfen; etwa die Interessen einer Auskunftei, welche die Daten von Wirtschaftsunternehmen erhält und diese als weitere Verantwortliche verarbeitet, – die berechtigten Interessen eines Dritten, der also nicht selbst Verantwortlicher sein muss; etwa im Falle der Datenverarbeitung durch Anwälte, Steuerberater oder Wirtschaftsprüfer im Interesse ihrer Mandanten oder im Fall der Verarbeitung durch eine Auskunftei, die sich insoweit auch auf die Interessen ihrer Kunden stützen kann. Die Heranziehung „berechtigter Interessen“ als Grundlage einer Erlaubnis ist 19 bereits im Geltungsbereich der EG-Datenschutzrichtlinie bzw. des BDSG kritisiert worden mit Blick auf die Konturlosigkeit dieses Merkmals. Im Rahmen der Verhandlungen der DSGVO sind zunächst diverse Vorschläge unterbreitet worden, die darauf abzielten, dieses Merkmal zu konkretisieren oder gar in einen abschließenden Katalog zu fassen1. Im Ergebnis ist allerdings zu begrüßen, dass es insoweit zu keiner Einschränkung gekommen ist, denn die Frage, ob 1 Zur Entwicklungsgeschichte der Norm vgl. Albrecht, CR 2016, 88 (92).

Plath

|

1011

Art. 6 DSGVO | Grundsätze eine Verarbeitung zulässig ist, muss am Ende auf Ebene der Interessenabwägung getroffen werden. Ein abschließender Katalog von Maßnahmen, die überhaupt erst den Anwendungsbereich der Norm eröffnen, hätte hingegen zu einem zu starren und vor allem statischen Korsett geführt, welches die Zukunftstauglichkeit der DSGVO unnötig beschränkt hätte. 20 Anhaltspunkte dafür, wie der Begriff der „berechtigten Interessen“ zu verste-

hen ist, gibt Erwägungsgrund 47. Einerseits heißt es dort, dass ein berechtigtes Interesse bspw. vorliegen könnte, „wenn eine maßgebliche und angemessene Beziehung zwischen der betroffenen Person und dem Verantwortlichen besteht, z.B. wenn die betroffene Person ein Kunde des Verantwortlichen ist oder in seinen Diensten steht“. Dieser Satz suggeriert, dass das Verhältnis zwischen der betroffenen Person und dem Verantwortlichen nicht erst auf Ebene der Interessenabwägung berücksichtigt wird, sondern bereits bei der Vorfrage, ob überhaupt ein berechtigtes Interesse vorliegt. Allerdings findet sich in Erwägungsgrund 47 auch folgende Aussage: „Insbesondere dann, wenn personenbezogene Daten in Situationen verarbeitet werden, in denen eine betroffene Person vernünftigerweise nicht mit einer weiteren Verarbeitung rechnen muss, könnten die Interessen und Grundrechte der betroffenen Person das Interesse des Verantwortlichen überwiegen“. Dies wiederum spricht dafür, dass die berechtigten Interessen zunächst allein in Bezug auf die Interessen des Verantwortlichen zu ermitteln sind. D.h. sie können selbst dann vorliegen, wenn die betroffene Person nicht mit der Verarbeitung rechnen muss. Erst auf der zweiten Ebene der Interessenabwägung ist dann zu prüfen, ob dieses Interesse des Verantwortlichen überwiegt, woran es nach dem zitierten Erwägungsgrund 47 z.B. fehlen kann, wenn die betroffene Person nicht mit der weiteren Verarbeitung rechnen muss.

21 Im Ergebnis kann daher, wie bereits unter dem BDSG, jedes von der Rechtsord-

nung anerkannte Interesse als „berechtigtes Interesse“ herangezogen werden (zu den Einzelheiten vgl. Komm. zu § 28 BDSG Rz. 47). In Erwägungsgrund 47 hat der Verordnungsgeber die Betrugsprävention sowie die Direktwerbung bereits als berechtigte Interessen anerkannt, allerdings freilich nur beispielhaft und nicht abschließend. Damit ist das noch unter dem BDSG geltende grundsätzliche Verbot der Verwendung personenbezogener Daten für Werbezwecke ohne Einwilligung (vgl. Komm. zu § 28 BDSG Rz. 99) aufgehoben worden. Ob und in welchen Fällen die Direktwerbung aber zulässig ist, richtet sich dann am Ende nach dem Maßstab der Erforderlichkeit, also einer Interessenabwägung1. Die ausdrückliche Hervorhebung der Direktwerbung in den Erwägungsgründen mag aber als Hinweis dahingehend verstanden werden, dass die Direktwerbung nicht nur ein „berechtigtes Interesse“ darstellt, denn dies versteht sich von selbst, sondern dass die Direktwerbung im Rahmen der Interessenabwägung grundsätzlich auch ohne Einwilligung möglich sein kann, solange der – freilich durch die Rechtsprechung zu konkretisierende – Maßstab der Erforderlichkeit ein1 So auch Albrecht, CR 2016, 88 (92).

1012

|

Plath

Rechtmäßigkeit der Verarbeitung | Art. 6 DSGVO

gehalten wird. Dafür spricht auch die Regelung des Art. 21 Abs. 2 sowie die korrespondierende Formulierung in Erwägungsgrund 70, wo darauf hingewiesen wird, dass die betroffene Person im Falle der Verarbeitung für die Zwecke der Direktwerbung (lediglich) ein Widerspruchsrecht haben sollte, und somit nicht etwa das Recht, die Direktwerbung von einer Einwilligung abhängig zu machen (zu den Einzelheiten s. Komm. zu Art. 21 DSGVO). Weiter spricht für diese Auslegung auch der Erwägungsgrund 38, der darauf hindeutet, dass Werbemaßnahmen gegenüber Kindern nur mit Einwilligung vorgenommen werden dürfen und im Umkehrschluss die Folgerung zulässt, dass dies gegenüber sonstigen betroffenen Personen i.d.R. nicht erforderlich ist. Im Ergebnis bedeutet dies, dass die Direktwerbung grundsätzlich auch ohne Einwilligung zulässig ist, soweit der Adressat die Verwendung seiner Daten zu Werbezwecken erwarten konnte (Erwägungsgrund 47). Danach ist – aufgrund des durch das Widerspruchsrecht vermittelten Schutzes – ein weiter Maßstab anzulegen, insbesondere soweit die betroffene Personen mit kommerziellen Anbietern von Waren und Leistungen, wie z.B. Online-Händlern, in Kontakt tritt. Denn der Kunde muss in der Regel davon ausgehen, dass die entsprechenden Unternehmen die Möglichkeiten des Dialogmarketings zur Vermarktung ihrer Produkte wahrnehmen werden1. Dies gilt umso mehr, wenn die Unternehmen, z.B. auf ihrer Website oder im Rahmen des Bestellprozesses, auf die beabsichtigte Verwendung der Kundendaten für Werbezwecke hinweisen. Die Verwendung von besonderen Arten von Daten (Art. 9) oder von Daten über strafrechtliche Verurteilung oder Straftaten (Art. 10) für Zwecke des Dialogmarketings ist hingegen ausgeschlossen, soweit keine wirksame Einwilligung vorliegt. Allerdings ist das Dialogmarketing auch außerhalb solcher Datenkategorien nicht grenzenlos möglich. So liegt eine gesteigerte Schutzbedürftigkeit der betroffenen Person vor, wenn sie den Kontakt zu dem Werbetreibenden nicht selbst initiiert hat, sondern die Kundendaten von dem Vertragspartner des Kunden an Drittunternehmen zu Werbezwecken übermittelt werden sollen2. Ein überwiegendes Interesse des Verantwortlichen wird in der Regel hingegen dann vorliegen, wenn die Daten aus öffentlich zugänglichen Quellen übernommen worden sind. Weiter ist relevant, ob die Werbeansprache gegenüber Privaten (B2C) oder Unternehmen (B2B) erfolgen soll. Die vorstehenden Erwägungen, wonach im Grundsatz keine Einwilligung erforderlich ist, gelten entsprechend für die Betrugsprävention und die Tätigkeit der entsprechenden Unternehmen wie insbesondere der Auskunfteien. Aus Erwägungsgrund 48 geht weiter hervor, dass Teile einer Unternehmens- 22 gruppe ein berechtigtes Interesse daran haben können, personenbezogene Daten 1 So im Ergebnis DDV Best Practice Guide Dialogmarketing, S. 7. 2 Im DDV Best Practice Guide Dialogmarketing, S. 8, wird insoweit angeregt, die erhöhte Schutzbedürftigkeit der betroffenen Personen in diesen Fällen durch Aggregation oder Pseudonymisierung von Selektionskriterien zu kompensieren.

Plath

|

1013

Art. 6 DSGVO | Grundsätze innerhalb der Unternehmensgruppe für interne Verwaltungszwecke, einschließlich der Verarbeitung personenbezogener Daten von Kunden und Beschäftigten, zu übermitteln. Der Begriff der „Verwaltungszwecke“ ist hier weit zu verstehen. Im Ergebnis folgt daraus, dass ein Datenaustausch im Konzern damit grundsätzlich möglich sein sollte, und zwar ohne dass es dazu einer Auftragsverarbeitung bedarf. Zu denken wäre etwa an zentralisierte HR-Abteilungen oder Compliance-Abteilungen, die in einem Konzernunternehmen errichtet werden und die entsprechenden Aufgaben für die weiteren Konzernunternehmen wahrnehmen. Auch eine Verarbeitung personenbezogener Daten für Compliance-Zwecke kann auf dieser Norm gestützt werden1. So folgt aus Erwägungsgrund 50, dass der Hinweis des Verantwortlichen auf mögliche Straftaten und die Übermittlung der maßgeblichen personenbezogenen Daten an eine zuständige Behörde ein berechtigtes Interesse darstellen. Erst recht müssen daher vorbereitende interne Compliance-Untersuchungen möglich sein. 23 Erforderlich ist die Verarbeitung, wenn kein milderes, wirtschaftlich gleich effi-

zientes Mittel zur Verfügung steht, den entsprechenden Zweck zu verwirklichen. In Erwägungsgrund 39 heißt es insoweit: „Personenbezogene Daten sollten nur verarbeitet werden dürfen, wenn der Zweck der Verarbeitung nicht in zumutbarer Weise durch andere Mittel erreicht werden kann“. Die Bewertung hängt maßgeblich von den Umständen des Einzelfalles ab. Für den Betroffenen sollen bei der Abwägung dessen Interessen, Grundrechte und Grundfreiheiten streiten. Damit sind – im deutschen Rechtsraum – insbesondere das Recht auf informationelle Selbstbestimmung aus Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG sowie das Grundrecht auf Achtung des Privat- und Familienlebens aus Art. 8 EMRK bzw. Art. 7 GrCh zu beachten. Aus Erwägungsgrund 47 ergibt sich, dass folgende Kriterien für die Abwägung heranzuziehen sind: – „die vernünftigen Erwartungen der betroffenen Person“, wobei aus der Bezugnahme auf die „vernünftigen“ Erwartungen folgt, dass ein verobjektivierter Maßstab anzulegen ist; – das „Verhältnis“ der betroffenen Person zu dem Verantwortlichen, z.B. wenn die Person ein „Kunde“ des Verantwortlichen ist oder in dessen „Diensten“ steht; d.h. je enger die Beziehung zwischen Verantwortlichen und der betroffenen Person ist, desto eher wird es möglich sein, die Verarbeitung auf diesen Tatbestand zu stützen; – die „Absehbarkeit“ einer möglichen Datenverarbeitung für die betroffene Person; hier spielen Aspekte wie Branchenübungen eine Rolle; – die Stärke des berechtigten Interesses, wobei die explizit genannten Zwecke der Betrugsprävention, der Direktwerbung sowie des konzerninternen Datentransfers als starke Interessen gelten dürften in Anbetracht der ausdrücklichen Erwähnung in Erwägungsgrund 47 bzw. 48. 1 Offen gelassen bei Gierschmann, ZD 2016, 51 (54).

1014

|

Plath

Rechtmäßigkeit der Verarbeitung | Art. 6 DSGVO

III. Ermächtigung der Mitgliedstaaten zum Erlass spezifischer Bestimmungen (Abs. 2) In Bezug aus Abs. 1 Buchst. c (Erfüllung einer rechtlichen Verpflichtung) und e 24 (Wahrnehmung von Aufgaben im öffentlichen Interesse oder in Ausübung hoheitlicher Gewalt) räumt der erst im Trilog hinzugefügte Abs. 2 den Mitgliedstaaten einen Spielraum ein, „spezifischere Bestimmungen zur Anpassung der Anwendung“ festzulegen. Die Mitgliedstaaten haben das Recht, „spezifische Anforderungen“ beizubehalten oder einzuführen, welche die Vorschriften der DSGVO „präziser bestimmen“. Auch erfasst von der Ermächtigung sind „besondere Verarbeitungssituationen“ gemäß Kapitel IX der DSGVO, in welchem besondere Vorschriften für die Beachtung von Grundrechten wie der Informationsfreiheit sowie für den Beschäftigungskontext geregelt sind. Aus der Verwendung des Begriffs „können“ wird deutlich, dass keine Pflicht der 25 Mitgliedstaaten besteht, spezifische Regelungen zu erlassen. Insofern stellt Erwägungsgrund 45 klar, dass gerade nicht „für jede einzelne Verarbeitung ein spezifisches Gesetz“ erforderlich ist. Aus der Wahl der Formulierung „präziser bestimmen“ wird weiterhin deutlich, dass sich die nationalen Regelungen im Rahmen der Vorgaben der DSGVO bewegen müssen, also nicht darüber hinausgehen dürfen. Hinzuweisen ist darauf, dass die Norm ausdrücklich auch die „Beibehaltung“ 26 bereits bei Inkrafttreten der DSGVO bestehender Normen zulässt. Die nationalen Gesetzgeber werden insoweit also zu prüfen haben, ob und inwieweit die derzeit bestehenden Normen den Anforderungen des Abs. 2 genügen, die in Abs. 3 näher konkretisiert werden.

IV. Anforderungen an spezifische Bestimmungen (Abs. 3) Abs. 3 regelt die Anforderungen an die Rechtsgrundlagen, mit denen die Präzi- 27 sierungen nach Abs. 2 vorgenommen werden können. Diese können sich nicht nur aus den Rechtsvorschriften der Mitgliedstaaten ergeben (Buchst. b), sondern auch direkt aus dem Unionsrecht (Buchst. a). Inhaltlich muss die Rechtsgrundlage den Zweck der Verarbeitung festlegen oder 28 wenigstens „für die Erfüllung einer Aufgabe erforderlich“ sein. Im Weiteren legt Abs. 3 den Regelungsrahmen für diese Rechtsvorschriften fest: sie dürfen u.a. „allgemeine Bedingungen“ darüber enthalten, welche „Arten von Daten“ verarbeitet werden dürfen, „welche Personen betroffen“ sind sowie über die Weitergabe und Zweckbindung der Datenverarbeitung. Grundlegende Voraussetzung für den Erlass einer jeden Rechtsgrundlage nach 29 Abs. 1 Buchst. e – nicht aber nach Abs. 1 Buchst. c – ist, dass die jeweiligen Rechtsvorschriften für die Erfüllung einer Aufgabe erforderlich sind, „die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt“. BeiPlath

|

1015

Art. 6 DSGVO | Grundsätze spiele für eine solche Regelung bilden etwa das Kreditwesengesetz oder Geldwäschegesetz. Ersteres dient u.a. der im öffentlichen Interesse liegenden Betrugsprävention. So folgt z.B. aus § 18 KWG die Pflicht des Kreditinstituts, sich vor Gewährung bestimmter Kredite die wirtschaftlichen Verhältnisse des Kreditnehmers offenlegen zu lassen. Letzteres dient laut offizieller Bezeichnung des Gesetzes dem „Aufspüren von Gewinnen aus schweren Straftaten“. Es verpflichtet die Adressaten des Gesetzes z.B. zur „Identifizierung des Vertragspartners“ (§ 3 Abs. 1 Nr. 1 GWG) sowie zur „kontinuierlichen Überwachung der Geschäftsbeziehung“ (§ 3 Abs. 1 Nr. 4 GWG) und regelt in den §§ 10–15 GWG die Rechte und Pflichten hinsichtlich der Verwendung der insoweit zu verarbeitenden personenbezogenen und sonstigen Daten.

V. Rechtmäßigkeit einer Zweckänderung (Abs. 4) 30 Abs. 4 normiert die Anforderungen an eine Zweckänderung. Die Regelung ist

im Zusammenhang mit Art. 5 zu lesen. Nach Art. 5 Abs. 1 Buchst. b ist die Erhebung personenbezogener Daten nur für „festgelegte, eindeutige und legitime“ Zwecke gestattet (zu möglichen Beschränkungen der dort geregelten Rechte und Pflichten s. Komm. zu Art. 23 DSGVO). Diese Zwecke hat der Verantwortliche der betroffenen Person zum Zeitpunkt der Erhebung der Daten mitzuteilen (Art. 13 Abs. 1 Buchst. c, zu den Einzelheiten siehe dort, s.a. Art. 14 Abs. 1 Buchst. c für den Fall, dass die Erhebung nicht bei der betroffenen Person erfolgt). Die Weiterverarbeitung „in einer mit diesen Zwecken nicht zu vereinbarenden Weise“ ist nach Art. 5 untersagt („Zweckbindung“). Erlaubt ist eine Zweckänderung nach Abs. 4 im Umkehrschluss allerdings dann, wenn „die Verarbeitung zu einem anderen Zweck mit demjenigen, zu dem die personenbezogenen Daten ursprünglich erhoben wurden, vereinbar ist“. Nach der hier vertretenen Ansicht folgt aus dem Wortlaut des Abs. 4, dass es sich in der Tat um eine „Zweckänderung“ handelt, die dann bei Feststellung der „Vereinbarkeit“ der Zwecke erlaubt ist, und nicht etwa um eine fingierte Ausweitung des ursprünglichen Zwecks1. Und selbstverständlich ist die Weiterverarbeitung erst recht dann zulässig, wenn sie sich innerhalb des ursprünglichen Erhebungszwecks bewegt2.

31 Diese „Vereinbarkeit“ ist nach Abs. 4 dann wiederum nicht erforderlich, wenn

der Betroffene entweder eine Einwilligung zu der Zweckänderung erteilt hat oder diese auf Grundlage „auf einer Rechtsvorschrift der Union oder der Mitgliedstaaten“ beruht. Fehlt es an solchen Erlaubnistatbeständen, so hat der Verantwortliche anhand der in Abs. 4 Buchst. a–e genannten Kriterien zu prüfen, ob die Vereinbarkeit des neuen mit dem ursprünglichen Zweck gegeben ist. Dabei postuliert die DSGVO strengere Anforderungen als sie noch unter dem 1 So im Ergebnis auch Ziegenhorn, zfm 2016, 3 (7). 2 Ziegenhorn, zfm 2016, 3 (6).

1016

|

Plath

Rechtmäßigkeit der Verarbeitung | Art. 6 DSGVO

BDSG galten. Denn während unter dem BDSG eine gesonderte Rechtsgrundlage für die zweckentfremdete Verarbeitung erforderlich war, konnte eine solche – soweit die Voraussetzungen der Zweckänderung vorlagen – ungeachtet dessen vorgenommen werden, ob die jeweiligen Zwecke miteinander vereinbar waren.1 Damit ergibt sich folgendes Prüfungsschema:

32

– Feststellung des ursprünglichen Zwecks bzw. der ursprünglichen Zwecke (Art. 5 Abs. 1 Buchst. b). – Feststellung, ob überhaupt eine rechtfertigungsbedürftige Zweckänderung vorliegt. – Bei Vorliegen einer rechtfertigungsbedürftigen Zweckänderung: Feststellung, ob diese von einer Einwilligung gedeckt ist oder durch Rechtsvorschriften der Union oder der Mitgliedstaaten nach Abs. 4. – Bei Vorliegen einer rechtfertigungsbedürftigen Zweckänderung und fehlender Einwilligung oder Rechtsvorschrift: Feststellung, ob die neuen Zwecke mit den alten Zwecken „vereinbar“ sind. Bei Vereinbarkeit der Zwecke bleibt die Verarbeitung weiterhin zulässig, ohne dass es dazu noch einmal einer gesonderten gesetzlichen Erlaubnisnorm bedürfte2. Aus Abs. 4 Buchst. a–e ergeben sich die Kriterien, anhand derer die „Vereinbar- 33 keit“ festgestellt werden soll. Nach Buchst. a gehört dazu zunächst die Verbindung zwischen den Zwecken. 34 So mag z.B. im Falle eines Warenkaufs im Internet eine anschließende Werbemaßnahme für ähnliche Produkte eine tendenziell enge Verbindung zu dem Kauf aufweisen und somit im Rahmen der Zweckänderung zulässig sein, wenn man nicht schon davon ausgeht, dass darin wegen der Voraussehbarkeit einer solchen Maßnahme schon gar keine Zweckänderung begründet liegt. Nach Buchst. b kommt es zudem auf den Zusammenhang an, in dem die per- 35 sonenbezogenen Daten erhoben wurden. Werden Daten z.B. im Rahmen eines Arbeitsverhältnisses erhoben, so bestünde zu einer anschließenden Werbemaßnahme gegenüber dem Arbeitnehmer eher kein enger Zusammenhang, wohl aber zu einer Compliance-Untersuchung am Arbeitsplatz des Betroffenen. Nach Buchst. c ist weiter die Art der personenbezogenen Daten relevant. Bei be- 36 sonderen Kategorien personenbezogener Daten gemäß Art. 9 oder Daten über strafrechtliche Verurteilungen und Straftaten gemäß Art. 10 dürften sehr hohe Anforderungen an eine Zweckänderung zu stellen sein, wobei eine solche eben gerade nicht gänzlich ausgeschlossen ist. Nach Buchst. d sind die möglichen Folgen der beabsichtigten Weiterverarbei- 37 tung für die betroffenen Personen zu berücksichtigen und nach Buchst. e das 1 Ziegenhorn, zfm 2016, 3 (6). 2 So auch Ziegenhorn, zfm 2016, 3 (6).

Plath

|

1017

Art. 7 DSGVO | Grundsätze Vorhandensein angemessener Garantien, wozu Verschlüsselung oder Pseudonymisierung gehören können. 38 In Ansehung dieser Kriterien zeigt sich, dass sich das Recht zur Zweckänderung

nicht im engeren Sinne danach richtet, ob im umgangssprachlichen Sinne eine „Vereinbarkeit“ der Zwecke vorliegt. Denn ob Daten z.B. verschlüsselt werden, sagt nichts darüber aus, wie zwei unterschiedliche Zwecke zueinander stehen. Vielmehr geht aus dem Katalog hervor, dass im Ergebnis eine umfangreiche Interessenabwägung vorzunehmen ist, um die Berechtigung zur Zweckänderung im Rahmen eines Kompatibilitätstests1 beurteilen zu können.

39 Nach der hier vertretenen Ansicht beurteilt sich die Kompatibilität nach objek-

tiven Kriterien, also nicht nach der subjektiven Erwartungshaltung der betroffenen Person2.

Artikel 7 Bedingungen für die Einwilligung (1) Beruht die Verarbeitung auf einer Einwilligung, muss der Verantwortliche nachweisen können, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat. (2) Erfolgt die Einwilligung der betroffenen Person durch eine schriftliche Erklärung, die noch andere Sachverhalte betrifft, so muss das Ersuchen um Einwilligung in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache so erfolgen, dass es von den anderen Sachverhalten klar zu unterscheiden ist. Teile der Erklärung sind dann nicht verbindlich, wenn sie einen Verstoß gegen diese Verordnung darstellen. (3) Die betroffene Person hat das Recht, ihre Einwilligung jederzeit zu widerrufen. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Die betroffene Person wird vor Abgabe der Einwilligung hiervon in Kenntnis gesetzt. Der Widerruf der Einwilligung muss so einfach wie die Erteilung der Einwilligung sein. (4) Bei der Beurteilung, ob die Einwilligung freiwillig erteilt wurde, muss dem Umstand in größtmöglichem Umfang Rechnung getragen werden, ob unter anderem die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung zu einer Verarbeitung von personenbezogenen Daten abhängig ist, die für die Erfüllung des Vertrags nicht erforderlich sind. 1 Albrecht, CR 2016, 88 (92). 2 Offen gelassen bei Gierschmann, ZD 2016, 51 (54).

1018

|

Plath

Art. 7 DSGVO | Grundsätze Vorhandensein angemessener Garantien, wozu Verschlüsselung oder Pseudonymisierung gehören können. 38 In Ansehung dieser Kriterien zeigt sich, dass sich das Recht zur Zweckänderung

nicht im engeren Sinne danach richtet, ob im umgangssprachlichen Sinne eine „Vereinbarkeit“ der Zwecke vorliegt. Denn ob Daten z.B. verschlüsselt werden, sagt nichts darüber aus, wie zwei unterschiedliche Zwecke zueinander stehen. Vielmehr geht aus dem Katalog hervor, dass im Ergebnis eine umfangreiche Interessenabwägung vorzunehmen ist, um die Berechtigung zur Zweckänderung im Rahmen eines Kompatibilitätstests1 beurteilen zu können.

39 Nach der hier vertretenen Ansicht beurteilt sich die Kompatibilität nach objek-

tiven Kriterien, also nicht nach der subjektiven Erwartungshaltung der betroffenen Person2.

Artikel 7 Bedingungen für die Einwilligung (1) Beruht die Verarbeitung auf einer Einwilligung, muss der Verantwortliche nachweisen können, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat. (2) Erfolgt die Einwilligung der betroffenen Person durch eine schriftliche Erklärung, die noch andere Sachverhalte betrifft, so muss das Ersuchen um Einwilligung in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache so erfolgen, dass es von den anderen Sachverhalten klar zu unterscheiden ist. Teile der Erklärung sind dann nicht verbindlich, wenn sie einen Verstoß gegen diese Verordnung darstellen. (3) Die betroffene Person hat das Recht, ihre Einwilligung jederzeit zu widerrufen. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Die betroffene Person wird vor Abgabe der Einwilligung hiervon in Kenntnis gesetzt. Der Widerruf der Einwilligung muss so einfach wie die Erteilung der Einwilligung sein. (4) Bei der Beurteilung, ob die Einwilligung freiwillig erteilt wurde, muss dem Umstand in größtmöglichem Umfang Rechnung getragen werden, ob unter anderem die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung zu einer Verarbeitung von personenbezogenen Daten abhängig ist, die für die Erfüllung des Vertrags nicht erforderlich sind. 1 Albrecht, CR 2016, 88 (92). 2 Offen gelassen bei Gierschmann, ZD 2016, 51 (54).

1018

|

Plath

Bedingungen für die Einwilligung | Art. 7 DSGVO I. Einführung . . . . . . . . . . . . . . . II. Nachweispflicht (Abs. 1) . . . . . III. Trennungs- und Transparenzgebot (Abs. 2) . . . . . . . . . . . . .

1 3

IV. Widerruf (Abs. 3) . . . . . . . . . . 10 V. Zwang (Abs. 4) . . . . . . . . . . . . 14

5

Schrifttum: Albrecht, Das neue EU-Datenschutzrecht – von der Richtlinie zur Verordnung, CR 2016, 88; Gierschmann, Was „bringt“ deutschen Unternehmen die DSGVO? – Mehr Pflichten, aber die Rechtsunsicherheit bleibt, ZD 2016, 51.

I. Einführung Art. 7 bestimmt, unter welchen Voraussetzungen eine Einwilligung eine rechts- 1 wirksame Grundlage für eine rechtmäßige Verarbeitung darstellt. Die Regelung ist im Zusammenhang mit Art. 6 Abs. 1 Buchst. a zu lesen, aus dem sich ergibt, dass die Verarbeitung personenbezogener Daten auf eine Einwilligung gestützt werden kann. Der Begriff der Einwilligung ist in Art. 4 Nr. 11 definiert. Danach ist eine Einwilligung „jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist“. Art. 7 normiert sodann weitere Anforderungen an die Wirksamkeit der Einwilligung. Regelungstechnisch unglücklich ist insoweit, dass Teile der Anforderungen an die Einwilligung somit in der Definition des Art. 4 Nr. 11 geregelt sind, während sich weitere – z.T. überlappende – Anforderungen in Art. 7 finden. Die maßgeblichen Erwägungsgründe finden sich in Erwägungsgründen 32, 42 und 43 sowie in Erwägungsgrund 171, der die Frage der Fortgeltung bereits vor Inkrafttreten der DSGVO bestehender Einwilligungen betrifft. Soweit eine Verarbeitung auf eine Einwilligung gestützt werden soll, richtet sich 2 die Prüfung nach folgendem Schema: – Vorliegen einer unmissverständlichen Erklärung oder sonstigen eindeutigen bestätigenden Handlung der betroffenen Person (Art. 4 Nr. 11), – Kenntnis der Sachlage auf Seiten der betroffenen Person („in informierter Weise“) (Art. 4 Nr. 11), – Abgabe der Erklärung ohne Zwang („freiwillig“) (Art. 4 Nr. 11), insbesondere ohne rechtswidrige Koppelung (Art. 7 Abs. 4), – Abgabe der Erklärung für den „bestimmten Fall“ (Art. 4 Nr. 11), – Nachweisbarkeit der Einwilligung (Art. 7 Abs. 1), – Bei kombinierten Erklärungen z.B. in AGB, Unterscheidbarkeit der Erklärung vom übrigen Text (Art. 7 Abs. 2), und – kein Widerruf der Einwilligung (Art. 7 Abs. 3). Sonderregelungen gelten für die Einwilligung eines Kindes (s. Art. 8). Plath

|

1019

Art. 7 DSGVO | Grundsätze Erwägungsgrund 171 regelt einen gewissen „Bestandsschutz“ für Alteinwilligungen, also Einwilligungen, die noch vor dem Inkrafttreten der DSGVO erhoben worden sind. Allerdings gilt dies nur dann, wenn „die Art der bereits erteilten Einwilligung den Bedingungen dieser Verordnung entspricht“. Fraglich ist damit, ob sämtliche Voraussetzungen der DSGVO an eine wirksame Einwilligung im Detail eingehalten werden müssen. Nach dem Wortlaut des Erwägungsgrundes sowie dem Regelungskontext ist diese Schlussfolgerung nicht zwingend. In diesem Fall hätte es nämlich keiner Erwähnung der Alteinwilligungen in den Erwägungsgründen bedurft, denn es versteht sich von selbst, dass eine Einwilligung, die sämtlichen Vorgaben der DSGVO genügt, selbstverständlich auch weiterhin Gültigkeit hat. Es lässt sich somit durchaus vertreten, dass die Einwilligung lediglich ihrer „Art“ nach der DSGVO entsprechen muss, also hinsichtlich der grundlegenden Prinzipien. Für die Praxis sei eine Berufung auf diese Auslegung allerdings nicht empfohlen, denn der englische Text („in line with the conditions of this Regulation“) zeigt, dass wohl doch eher eine vollständige Einhaltung der Vorgaben der DSGVO gefordert sein dürfte.

II. Nachweispflicht (Abs. 1) 3 Abs. 1 legt dem Verantwortlichen die Beweislast bezüglich des Vorliegens einer

wirksamen Einwilligung auf. Diese wird insbesondere in dem Fall relevant, dass ein Betroffener behauptet, keine Einwilligung abgegeben zu haben (z.B. weil sich einer Dritter seines E-Mail-Accounts bedient habe), oder dass diese nicht rechtmäßig sei. Diese Regelung konkretisiert noch einmal die bereits in Art. 5 Abs. 2 normierte sog. Rechenschaftspflicht, wonach der Verantwortliche den Nachweis zu erbringen hat, dass jeder Datenverarbeitungsvorgang unter seiner Kontrolle rechtmäßig erfolgt ist. Im Einzelnen laufen diese Vorgaben auf eine Dokumentationspflicht für den gesamten Verarbeitungsvorgang und die Einholung der entsprechenden Einwilligung hinaus. Einzelheiten s. Komm. zu Art. 5 DSGVO.

4 Praktisch relevant wird diese Frage der Beweislast vor allem im Online-Bereich.

Hier kommt es vor, dass betroffene Personen das Vorliegen einer Einwilligung mit dem Argument bestreiten, ein Dritter habe die Einwilligung unter unberechtigter Verwendung der E-Mail-Adresse des Betroffenen erteilt. Um in solchen Fällen den erforderlichen Nachweis einer Einwilligung erbringen zu können, hat sich insoweit das Double-Opt-In-Verfahren als Industriestandard etabliert, bei dem nach Abgabe der Einwilligungserklärung eine zweite, separate Bestätigung durch Anklicken eines per Mail versandten, personalisierten Hyperlinks abzugeben ist. Einzelheiten s. § 4a BDSG Rz. 56. Es ist davon auszugehen, dass dieses Verfahren auch im Geltungsbereich der DSGVO beibehalten werden kann.

1020

|

Plath

Bedingungen für die Einwilligung | Art. 7 DSGVO

III. Trennungs- und Transparenzgebot (Abs. 2) Abs. 2 definiert weitere Voraussetzungen für den Fall, dass die Einwilligung (i) 5 durch „schriftliche“ Erklärung erfolgt und (ii) „noch andere Sachverhalte betrifft“. Der typische Anwendungsfall dieser Norm liegt darin, dass Einwilligungserklärungen in Allgemeinen Geschäftsbedingungen „versteckt“ werden. Für diesen Fall gilt nach Abs. 2 ein sog. Trennungs- und Transparenzgebot. Da dieses Gebot nach Abs. 2 nur dann zur Anwendung kommt, wenn die Erklä- 6 rung „schriftlich“ erfolgt, muss man davon ausgehen, dass die Einwilligung im Umkehrschluss auch in sonstiger Form erteilt werden kann, also grundsätzlich formlos möglich ist. Sie kann also mündlich, in Textform, schriftlich oder in jeder sonstigen Form erfolgen. Dies wird in Erwägungsgrund 32 ausdrücklich klargestellt, der insoweit von einer „schriftlichen Erklärung, die auch elektronisch erfolgen kann, oder einer mündlichen Erklärung“ spricht. Entscheidend für die Anwendbarkeit dieses Trennungsprinzips im Online-Bereich 7 ist allerdings, ob der Normtext den Begriff „schriftlich“ so eng fasst wie § 126 BGB, oder ob von der Formulierung auch die Textform i.S.d. § 126a BGB erfasst ist. Hauptanwendungsfall in der digitalen Wirtschaft ist die Einwilligungserklärung in Textform, d.h. durch das Häkchensetzen auf einem Online-Formular. Es würde dem Schutzgedanken der Norm widersprechen, wenn in solchen Fällen keine Trennung der Sachverhalte erforderlich wäre. Eine strenge Auslegung nach § 126 BGB würde den Anwendungsbereich der Norm zu weit einschränken. Voraussetzung für die Rechtmäßigkeit der Einwilligung ist in Fällen „schriftli- 8 cher“ Erklärungen die „Unterscheidbarkeit“ von anderen Sachverhalten. Die Regelung des § 28 Abs. 3a BDSG verlangte insoweit, dass die kombinierte Einwilligung in „drucktechnisch deutlicher Gestaltung besonders hervorzuheben“ ist. Demgegenüber stellt die DSGVO nicht in erster Linie auf die grafische Gestaltung, also z.B. im Sinne der Verwendung von Großbuchstaben oder einer Umrandung des Textes, ab, sondern auf eine „klare und einfache Sprache“ und eine „leicht zugängliche Form“. Zu empfehlen ist für die Praxis insoweit insbesondere die ausdrückliche Verwendung des Wortes „Einwilligung“ als sprachliches Element, aber auch – wie unter dem BDSG – eine grafische Hervorhebung. Zu den Einzelheiten sei auf die Komm. zu § 28 BDSG Rz. 166 verwiesen. Als Rechtsfolge eines Verstoßes gegen dieses Trennungsgebot ordnet Art. 7 9 Abs. 2 Satz 2 die Unwirksamkeit lediglich der Einwilligung an. Im Umkehrschluss bleiben die übrigen Vertragsbedingungen also grundsätzlich unberührt. Im Ergebnis zeigt sich damit, dass es durchaus möglich bleibt, die datenschutzrechtliche Einwilligung mit Allgemeinen Geschäftsbedingungen oder sonstigen Regelungen zu verbinden, solange eine ausreichende Kennzeichnung vorgenommen wird. (Abs. 2) und kein Zwang bestand (Abs. 4).

Plath

|

1021

Art. 7 DSGVO | Grundsätze IV. Widerruf (Abs. 3) 10 Weder in der EG-Datenschutzrichtlinie noch im BDSG fanden sich Regelungen

zum Widerruf einer Einwilligung. Allerdings war diese Möglichkeit des Widerrufs grundsätzlich anerkannt, wenn auch mit gewissen Einschränkungen (vgl. Komm. zu § 4a BDSG Rz. 70). Abs. 3 regelt die Möglichkeit des Widerrufs nun explizit. Dabei ist das Recht jedes Betroffenen, eine abgegebene Einwilligung zu widerrufen, nicht als Recht zur Anfechtung zu verstehen, sondern als Recht, die Einwilligung ex nunc zu beseitigen und zukünftige Datenverarbeitung auf dieser Grundlage zu verhindern. Abs. 3 Satz 2 ordnet insoweit ausdrücklich an, dass durch „den Widerruf der Einwilligung […] die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt“ wird. Ebenfalls unberührt bleibt das Recht, die Verarbeitung auf Basis einer gesetzlichen Erlaubnisnorm fortzusetzen, so deren Voraussetzungen vorliegen. Dies folgt nicht zuletzt aus Art. 17 Abs. 1 Buchst. b, wonach die bei einem Widerruf der Einwilligung an sich vorgesehene Löschungspflicht dann nicht eintritt, wenn eine „anderweitige Rechtsgrundlage“ für die Verarbeitung vorliegt.

11 Sprachlich missglückt ordnet Abs. 3 Satz 3 an, dass die betroffene Person vor

Abgabe der Einwilligung „hiervon“ – gemeint ist das Widerrufsrecht – in Kenntnis gesetzt „wird“. Gemeint ist ganz offenbar, dass eine Pflicht des Verantwortlichen besteht, den Betroffenen vor Abgabe der Einwilligung über sein Widerrufsrecht aufzuklären. Nicht geregelt ist, wie es sich auswirkt, wenn der Verantwortliche dieser Pflicht nicht nachkommt. Die Überschrift des Art. 7, wonach die Norm „Bedingungen“ für die Einwilligung normiert, spricht dafür, dass ein Versäumnis der Aufklärung zur Unwirksamkeit der Einwilligung führt. Andererseits ist in Abs. 2 für den dort geregelten Fall verbundener Erklärungen ausdrücklich vorgesehen, dass ein Verstoß gegen die Regelungen des Abs. 2 zur „Unverbindlichkeit“ der Einwilligung führt. Das Fehlen einer entsprechenden Rechtsfolgenregelung in Abs. 3 könnte darauf hindeuten, dass der fehlende Hinweis auf das Widerrufsrecht die Wirksamkeit der Einwilligung unberührt lässt.

12 Schließlich muss nach Abs. 3 Satz 4 der „Widerruf der Einwilligung […] so ein-

fach wie die Erteilung der Einwilligung sein“. Dies bedeutet, dass damit offenbar kein fester Mindeststandard etabliert wird, sondern ein gewissermaßen „fließender“ Maßstab. Ist die Einwilligung z.B. in Schriftform eingeholt worden, muss es nach dem Wortlaut der Regelung möglich sein, den Widerruf ebenfalls an eine schriftliche Erklärung zu knüpfen, so dass z.B. ein mündlicher Widerruf in solchen Fällen nicht ausreichen würde.

13 Wird der Widerruf wirksam erklärt, so kann die weitere Verarbeitung nicht

mehr auf die Einwilligung gestützt werden. Unberührt davon bleiben andere gesetzliche Rechtmäßigkeitsgründe für die Verarbeitung (vgl. Art. 5).

1022

|

Plath

Bedingungen für die Einwilligung | Art. 7 DSGVO

V. Zwang (Abs. 4) Nach Art. 4 Nr. 11 ist eine Einwilligung nur dann wirksam, wenn sie ohne 14 „Zwang“ abgegeben worden ist, also „freiwillig“. Art. 7 Abs. 4 regelt insoweit den spezifischen Fall, dass der Abschluss eines Vertrages an die Abgabe einer datenschutzrechtlichen Einwilligung gekoppelt wird. Fraglich ist, ob damit ein „absolutes Koppelungsverbot“ statuiert worden ist, das für jeden Vertragsschluss gilt, also nicht etwa nur für Verträge mit „Monopolisten“1. In der Tat spricht Erwägungsgrund 43 exakt für diese Auslegung, wenn es dort heißt, dass die Einwilligung nicht als ohne Zwang erteilt gilt, „wenn die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung abhängig ist, obwohl diese Einwilligung für die Erfüllung nicht erforderlich ist“. Dieser Satz lässt in seiner Pauschalität keine Einschränkung dahingehend zu, dass das Koppelungsverbot z.B. nur im Falle einer Monopolstellung des Anbieters gelten könnte. Allerdings spricht der Wortlaut des Abs. 4 eine andere Sprache. Denn dort wird die Koppelung nicht per se verboten, sondern darauf abgestellt, dass dem Umstand einer möglichen Koppelung „in größtmöglichem Umfang Rechnung getragen werden“ müsse. Dies lässt Raum für die Interpretation, dass es für die Frage des Zwanges in der Tat auf eine wertende Betrachtung dahingehend ankommt, wie sehr die betroffene Person auf die Inanspruchnahme der Leistung angewiesen ist. Nach der hier vertretenen Ansicht sprechen die besseren Argumente für diese einschränkende Auslegung. Denn wenn der Kunde zwischen verschiedenen Anbietern einer Leistung auswählen kann, und sich dann für denjenigen Anbieter entscheidet, der den Vertragsschluss davon abhängig macht, dass der Kunde z.B. auch eine Werbeeinwilligung abgibt, fehlt es gerade nicht an der insoweit maßgeblichen „Freiwilligkeit“ der Erklärung. Denn dem Kunden hätte es frei gestanden, diese Erklärung nicht abzugeben, ohne Nachteile zu erleiden, da er sich an einen anderen gleichwertigen Anbieter hätten wenden können. Gestützt wird diese Auslegung durch eine weitere Passage des Erwägungsgrunds 15 43, wonach es vor allem darauf ankommt, ob „zwischen der betroffenen Person und dem Verantwortlichen ein klares Ungleichgewicht besteht“. Auch aus diesem Erwägungsgrund folgt, dass die Maßstäbe für das Vorliegen eines unbilligen Zwanges, der das Koppelungsverbot erst auslöst, nicht zu niedrig angesetzt werden dürfen. Bei einer auf dem Markt frei verfügbaren Leistung besteht kein „Ungleichgewicht“ zwischen Kunde und Anbieter. Zwar mag der Kunde insoweit einem Großkonzern gegenüberstehen. Dies ist für die vorliegende Bewertung jedoch nicht relevant, da auch der Konzern keinen Zwang auf den Einzelnen ausüben kann, wenn dem Kunden vergleichbare Alternativen zur Verfügung stehen. Im Ergebnis muss es somit möglich sein, die Erbringung der Leistung an

1 In diese Richtung Gierschmann, ZD 2016, 51 (54).

Plath

|

1023

Art. 8 DSGVO | Grundsätze die Erklärung einer Einwilligung zu koppeln, soweit die entsprechende Leistung zu vergleichbaren Konditionen von Dritten bezogen werden kann1. 16 Ein weiterer Fall des Zwanges soll nach Erwägungsgrund 43 gegeben sein, wenn

bei „verschiedenen Verarbeitungsvorgängen von personenbezogenen Daten nicht gesondert eine Einwilligung erteilt werden kann, obwohl dies im Einzelfall angebracht ist“. Da die Einwilligung ohnehin freiwillig zu erfolgen hat, ist kaum erkennbar, welcher Anwendungsbereich hier angesprochen sein soll. Wenn ein Nutzer z.B. vorsorglich um seine Einwilligung zur Durchführung einer Identitätsprüfung gebeten und diese daran gekoppelt wird, dass er zudem auch eine Werbeeinwilligung erteilt, so steht es ihm frei, beide Einwilligungen abzulehnen, soweit keine nach obigen Ausführungen unzulässige Koppelung an den Vertragsschluss vorliegt. Ein darüber hinausgehendes Schutzbedürfnis der betroffenen Person ist kaum erkennbar.

Artikel 8 Bedingungen für die Einwilligung eines Kindes in Bezug auf Dienste der Informationsgesellschaft (1) Gilt Artikel 6 Absatz 1 Buchstabe a bei einem Angebot von Diensten der Informationsgesellschaft, das einem Kind direkt gemacht wird, so ist die Verarbeitung der personenbezogenen Daten des Kindes rechtmäßig, wenn das Kind das sechzehnte Lebensjahr vollendet hat. Hat das Kind noch nicht das sechzehnte Lebensjahr vollendet, so ist diese Verarbeitung nur rechtmäßig, sofern und soweit diese Einwilligung durch den Träger der elterlichen Verantwortung für das Kind oder mit dessen Zustimmung erteilt wird. Die Mitgliedstaaten können durch Rechtsvorschriften zu diesen Zwecken eine niedrigere Altersgrenze vorsehen, die jedoch nicht unter dem vollendeten dreizehnten Lebensjahr liegen darf. (2) Der Verantwortliche unternimmt unter Berücksichtigung der verfügbaren Technik angemessene Anstrengungen, um sich in solchen Fällen zu vergewissern, dass die Einwilligung durch den Träger der elterlichen Verantwortung für das Kind oder mit dessen Zustimmung erteilt wurde. (3) Absatz 1 lässt das allgemeine Vertragsrecht der Mitgliedstaaten, wie etwa die Vorschriften zur Gültigkeit, zum Zustandekommen oder zu den Rechtsfolgen eines Vertrags in Bezug auf ein Kind, unberührt. 1 Anders aber Albrecht, CR 2016, 88 (91), der davon ausgeht, dass die Einwilligung in der Regel nicht frei erfolgen kann, wenn sie zur Bedingung für die Ausführung eines Vertrages gemacht wird, obwohl sie hierfür nicht notwendig ist. Ähnlich Gierschmann, ZD 2016, 51 (54).

1024

|

Plath

Art. 8 DSGVO | Grundsätze die Erklärung einer Einwilligung zu koppeln, soweit die entsprechende Leistung zu vergleichbaren Konditionen von Dritten bezogen werden kann1. 16 Ein weiterer Fall des Zwanges soll nach Erwägungsgrund 43 gegeben sein, wenn

bei „verschiedenen Verarbeitungsvorgängen von personenbezogenen Daten nicht gesondert eine Einwilligung erteilt werden kann, obwohl dies im Einzelfall angebracht ist“. Da die Einwilligung ohnehin freiwillig zu erfolgen hat, ist kaum erkennbar, welcher Anwendungsbereich hier angesprochen sein soll. Wenn ein Nutzer z.B. vorsorglich um seine Einwilligung zur Durchführung einer Identitätsprüfung gebeten und diese daran gekoppelt wird, dass er zudem auch eine Werbeeinwilligung erteilt, so steht es ihm frei, beide Einwilligungen abzulehnen, soweit keine nach obigen Ausführungen unzulässige Koppelung an den Vertragsschluss vorliegt. Ein darüber hinausgehendes Schutzbedürfnis der betroffenen Person ist kaum erkennbar.

Artikel 8 Bedingungen für die Einwilligung eines Kindes in Bezug auf Dienste der Informationsgesellschaft (1) Gilt Artikel 6 Absatz 1 Buchstabe a bei einem Angebot von Diensten der Informationsgesellschaft, das einem Kind direkt gemacht wird, so ist die Verarbeitung der personenbezogenen Daten des Kindes rechtmäßig, wenn das Kind das sechzehnte Lebensjahr vollendet hat. Hat das Kind noch nicht das sechzehnte Lebensjahr vollendet, so ist diese Verarbeitung nur rechtmäßig, sofern und soweit diese Einwilligung durch den Träger der elterlichen Verantwortung für das Kind oder mit dessen Zustimmung erteilt wird. Die Mitgliedstaaten können durch Rechtsvorschriften zu diesen Zwecken eine niedrigere Altersgrenze vorsehen, die jedoch nicht unter dem vollendeten dreizehnten Lebensjahr liegen darf. (2) Der Verantwortliche unternimmt unter Berücksichtigung der verfügbaren Technik angemessene Anstrengungen, um sich in solchen Fällen zu vergewissern, dass die Einwilligung durch den Träger der elterlichen Verantwortung für das Kind oder mit dessen Zustimmung erteilt wurde. (3) Absatz 1 lässt das allgemeine Vertragsrecht der Mitgliedstaaten, wie etwa die Vorschriften zur Gültigkeit, zum Zustandekommen oder zu den Rechtsfolgen eines Vertrags in Bezug auf ein Kind, unberührt. 1 Anders aber Albrecht, CR 2016, 88 (91), der davon ausgeht, dass die Einwilligung in der Regel nicht frei erfolgen kann, wenn sie zur Bedingung für die Ausführung eines Vertrages gemacht wird, obwohl sie hierfür nicht notwendig ist. Ähnlich Gierschmann, ZD 2016, 51 (54).

1024

|

Plath

Bedingungen für die Einwilligung eines Kindes | Art. 8 DSGVO I. Einführung . . . . . . . . . . . . . . . II. Anforderungen an die Einwilligung eines Kindes (Abs. 1) . . . . . . . . . . . . . . . . . .

1 4

III. Prüfpflicht des Verantwortlichen (Abs. 2) . . . . . . . . . . . . . 11 IV. Vertragsschluss eines Kindes (Abs. 3) . . . . . . . . . . . . 14

I. Einführung In Art. 8 sind die Bedingungen für die Einwilligung eines Kindes geregelt. Inso- 1 weit gelten also Sonderregelungen über die allgemeinen Anforderungen an die Einwilligung nach Art. 7 hinaus. Die Norm regelt in Abs. 1 die Voraussetzungen an die wirksame Einwilligung eines Kindes, allerdings nur für einen ganz spezifischen Fall, nämlich „bei einem Angebot von Diensten der Informationsgesellschaft, das einem Kind direkt gemacht wird“. Weiter trifft Abs. 1 eine Regelung dazu, bis zu welchem Alter eine Person als Kind gilt. Schließlich regelt Abs. 1 die Möglichkeit der Mitgliedstaaten, im nationalen Recht eine abweichende Altersschwelle festzulegen. Abs. 2 erlegt dem Verantwortlichen eine Prüfpflicht hinsichtlich der Einhaltung der vorstehenden Anforderungen auf. Abs. 3 stellt klar, dass nationales allgemeines Vertragsrecht unberührt bleibt. Art. 8 ist damit anwendbar, wenn folgende Voraussetzungen vorliegen:

2

– die Verarbeitung soll auf Grundlage einer Einwilligung erfolgen; d.h. wenn die Verarbeitung auf die gesetzlichen Erlaubnistatbestände gestützt werden kann, gelten insoweit keine Sonderregelungen und es bedarf keines Rückgriffs auf Art. 8; – die Einwilligung soll durch bzw. im Namen eines Kindes erteilt werden; – die Einwilligung soll gegenüber dem Anbieter eines Dienstes der Informationsgesellschaft, d.h. im elektronischen Fernabsatz, erfolgen; – das Angebot des Anbieters eines Dienstes der Informationsgesellschaft richtet sich direkt an das Kind. Liegen die obigen Voraussetzungen vor, kommt es dann weiter darauf an, wie 3 alt das Kind ist. Hat das Kind das 16. Lebensjahr vollendet, so kann es selbständig einwilligen. Hat es das 16. Lebensjahr allerdings noch nicht vollendet, so ist die Einwilligung nach Art. 8 nur dann wirksam, wenn entweder eine Zustimmung der gesetzlichen Vertreter zu der Einwilligung des Kindes vorliegt oder die gesetzlichen Vertreter diese direkt für das Kind erteilen.

II. Anforderungen an die Einwilligung eines Kindes (Abs. 1) Durch Abs. 1 wird dem in Erwägungsgrund 38 zum Ausdruck kommenden Ge- 4 danken, dass die personenbezogenen Daten von Kindern „besonderen Schutz“ verdienen, dadurch Rechnung getragen, dass die Einwilligung eines Kindes bis Plath

|

1025

Art. 8 DSGVO | Grundsätze zum vollendeten 16. Lebensjahr in die Verarbeitung seiner personenbezogenen Daten unter den Vorbehalt der Zustimmung seiner gesetzlichen Vertreter („Träger der elterlichen Verantwortung“) gestellt wird. Dies heißt, dass die Einwilligungserklärung eines Kindes, welches vorstehende Altersgrenze nicht erreicht hat, im Anwendungsbereich des Art. 8 grundsätzlich unwirksam ist, soweit und solange keine Zustimmung oder ein Fall des Abs. 3 vorliegt. 5 Zu beachten ist, dass der Anwendungsbereich des Art. 8 auf solche Einwilligun-

gen beschränkt ist, die gegenüber einem Anbieter eines „Dienstes der Informationsgesellschaft“ erteilt werden. Gemeint ist damit gemäß Art. 4 Nr. 25 jede Dienstleistung i.S.d. Art. 1 Nr. 1 Buchst. b der Richtlinie (EU) 2015/1535 des Europäischen Parlaments und des Rates, mithin „jede in der Regel gegen Entgelt elektronisch im Fernabsatz und auf individuellen Abruf eines Empfängers erbrachte Dienstleistung“. Somit beschränkt sich der Anwendungsbereich des Art. 8 auf den elektronischen Fernabsatz. Eine Liste der Dienste, welche nicht unter diese Definition fallen, findet sich in Anhang I zur Richtlinie (EU) 2015/ 1535. An dem Merkmal „Fernabsatz“ fehlt es z.B. bei der „Buchung eines Flugtickets über ein Computernetz, wenn sie in einem Reisebüro in Anwesenheit des Kunden vorgenommen wird“ oder bei der „Konsultation eines elektronischen Katalogs in einem Geschäft in Anwesenheit des Kunden“. An dem Merkmal „elektronisch“ fehlt es z.B. beim „Direktmarketing per Telefon/Telefax“, und an dem „individuellen Abruf“ fehlt es bei „Fernsehdiensten“ und „Hörfunkdiensten“.

6 Zudem ist der Anwendungsbereich auf Fälle beschränkt, in denen sich das An-

gebot „direkt“ an das Kind wendet. Aus Erwägungsgrund 38 wird deutlich, welche Fälle der Verordnungsgeber bei dem Erlass dieser Regelung im Auge hatte, wenn es dort heißt: „Ein solcher besonderer Schutz sollte insbesondere die Verwendung personenbezogener Daten von Kindern für Werbezwecke oder für die Erstellung von Persönlichkeits- oder Nutzerprofilen und die Erhebung von personenbezogenen Daten von Kindern bei der Nutzung von Diensten, die Kindern direkt angeboten werden, betreffen.“

7 Nimmt also z.B. ein 15-jähriges Kind im Internet im Anwendungsbereich der

Richtlinie an einem Gewinnspiel teil und willigt dort in die Verwendung seiner personenbezogenen Daten zu Werbezwecken ein, ist diese Erklärung unwirksam, wenn es an einer Zustimmung seiner Eltern fehlt.

8 Im Umkehrschluss folgt daraus aber auch, dass die Regelung des Art. 8 auf an-

dere Sachverhalte keine Anwendung findet. Beispielhaft ist in Erwägungsgrund 38 insoweit aufgeführt, dass „im Zusammenhang mit Präventions- oder Beratungsdiensten, die unmittelbar einem Kind angeboten werden“ keine Zustimmung der Eltern erforderlich sei. Fraglich bleibt aber, welche Altersgrenze in solchen Fällen gilt, also wenn die Einwilligung nicht gegenüber einem Anbieter eines „Dienstes der Informationsgesellschaft“ erteilt werden soll, also z.B. im Rahmen einer Sport- oder Schulveranstaltung. Diese Sachverhalte fallen nicht unter den Anwendungsbereich des elektronischen Fernabsatzes, sind aber 1026

|

Plath

Bedingungen für die Einwilligung eines Kindes | Art. 8 DSGVO

gleichwohl alltäglich und dennoch in der DSGVO weiterhin ungeregelt. Unter dem Regime des BDSG, das ebenfalls keine ausdrückliche Regelung für die Einwilligung durch Minderjährige bereithält, kommt es insoweit auf die Einsichtsfähigkeit des Minderjährigen i.S.d §§ 104 ff. BGB an (s. Komm. zu § 4a BDSG Rz. 7 ff.). Nach der hier vertretenen Ansicht spricht vieles dafür, diesen Maßstab auch unter der DSGVO anzuwenden. Von der in Abs. 1 vorgesehenen Untergrenze der Vollendung des 16. Lebens- 9 jahres dürfen die Mitgliedstaaten im nationalen Recht bis auf ein absolutes Minimum der Vollendung des 13. Lebensjahres abweichen. Dieser Kompromiss ist sehr zu bedauern, da es den Unternehmen die Chance nimmt, sich an einem unionsweit geltenden Regime zu orientieren. Handelt es sich bei dem Betroffenen um ein Kind i.S.d. Art. 8 bzw. der einschlägi- 10 gen Norm des nationalen Rechts, so kann die Einwilligung nach Abs. 1 auf zwei Arten bewirkt werden. Entweder die gesetzlichen Vertreter erteilen die Einwilligung selbst für das Kind oder das Kind erteilt die Einwilligung mit Zustimmung der gesetzlichen Vertreter. Die genauen Voraussetzungen dieser Zustimmung regelt die Norm unglücklicherweise nicht. Insbesondere finden sich keine Regelungen zu Form oder dem nötigen Inhalt der Zustimmung. So ist z.B. unklar, ob eine Zustimmung im Voraus, im Nachhinein oder nur gleichzeitig und z.B. auch ganz allgemein für eine unbekannte Anzahl von Sachverhalten erteilt werden kann.

III. Prüfpflicht des Verantwortlichen (Abs. 2) Für die Einhaltung der Vorgaben des Abs. 1, nämlich die Zustimmung oder Ein- 11 willigung durch die gesetzlichen Vertreter, erlegt Abs. 2 dem Verantwortlichen eine Prüfpflicht auf. Der Verantwortliche hat „unter Berücksichtigung der verfügbaren Technik angemessene Anstrengungen“ zu unternehmen, um nachzuprüfen, ob die Zustimmung erteilt wurde bzw. ob es sich bei den Einwilligenden tatsächlich um die gesetzlichen Vertreter des Kindes handelte. In dem von der Norm erfassten Online-Bereich dürfte es in Anbetracht dieses 12 Maßstabes („angemessene Anstrengungen“) im Grundsatz überzogen sein, wenn von den Eltern stets etwa ein schriftlicher Nachweis gefordert werden würde. Nach der hier vertretenen Ansicht dürfte es vielmehr ausreichend sein, wenn der Diensteanbieter z.B. über eine Abfragemaske eine Erklärung des einwilligenden Kindes einholt, wonach es das Vorliegen der Zustimmung seiner gesetzlichen Vertreter bestätigt. Darüber hinausgehende Maßnahmen, wie etwa der Zwang, den Betroffenen seine Ausweisdaten preisgeben zu lassen, sind i.d.R. nicht „angemessen“ und kollidieren gleichzeitig mit dem Grundsatz der Datensparsamkeit. Allerdings wird sich die „Angemessenheit“ insoweit am Ende auch nach der Natur der jeweiligen Leistung richten. An eine bloße Werbeeinwilligung dürften geringere Anforderungen zu stellen sein als z.B. an eine Einwilligung zur Nutzung von Daten in Kontaktbörsen. So verlangt Amazon derzeit etwa, Plath

|

1027

Art. 8 DSGVO | Grundsätze dass der Nutzer zur Freischaltung eines Films mit der FSK-Freigabe „ab 18“ eine komplexe Altersverifikation zu durchlaufen hat. Weiterhin hat der u.a. für das Wettbewerbsrecht zuständige I. Zivilsenat des BGH1 entschieden, dass es den jugendschutzrechtlichen Anforderungen nicht genügt, wenn pornographische Internet-Angebote den Nutzern nach der Eingabe einer Personal- oder Reisepassnummer zugänglich gemacht werden. Auch wenn zusätzlich eine Kontobewegung erforderlich ist oder eine Postleitzahl abgefragt wird, genügt ein solches System den gesetzlichen Anforderungen laut BGH nicht. Inwieweit diese Rechtsprechung auf den Bereich der DSGVO übertragen werden kann, bleibt abzuwarten. 13 Da es nach Abs. 2 ausreicht, wenn der Diensteanbieter lediglich „angemessene

Anstrengungen“ zur Verifikation der Zustimmung unternimmt, stellt sich die Frage, was gilt, wenn sich – trotz entsprechender Anstrengungen – herausstellt, dass der Anbieter zu einer Fehleinschätzung gelangt oder gar getäuscht worden ist. Nach der hier vertretenen Ansicht ergibt die Regelung des Abs. 2 nur dann Sinn, wenn die Einwilligung jedenfalls solange als wirksam erteilt gilt, bis der Diensteanbieter positive Kenntnis von der fehlenden Zustimmung erlangt oder diese Kenntnis bei „angemessener Anstrengung“ nachträglich erlangen müsste. Stellt sich dann heraus, dass es an der erforderlichen Zustimmung fehlte, kann die weitere Verarbeitung nicht mehr auf die fingierte Einwilligung gestützt werden. Dies ergibt sich schon aus dem Rechtsgedanken des Art. 7 Abs. 3, wonach eine Einwilligung jederzeit frei widerruflich ist.

IV. Vertragsschluss eines Kindes (Abs. 3) 14 Gemäß Abs. 3 lassen die Regelungen bezüglich der Einwilligung eines Kindes

nach Abs. 1 „das allgemeine Vertragsrecht der Mitgliedstaaten“ unberührt. Fraglich ist insoweit, unter welchen Voraussetzungen eine Person als „Kind“ i.S.d. Norm anzusehen ist. In der von der Kommission vorgelegten Entwurfsfassung der DSGVO fand sich noch eine Definition des Begriffs eines „Kindes“. Als Kind galt danach jede Person unter 18 Lebensjahren. In der verabschiedeten Fassung der DSGVO fehlt es an einer entsprechenden Definition. Die Regelung des Art. 8 Abs. 1 betrifft lediglich den spezifischen Fall der Erklärung der Einwilligung einer Person, die noch nicht das 16. Lebensjahr vollendet hat. Damit kann davon ausgegangen werden, dass eine solche Person jedenfalls als „Kind“ i.S.d. DSGVO zu betrachten ist. Ob Gleiches allerdings auch für ältere Personen im Alter von z.B. 18 oder 21 Jahren gilt, bleibt offen. Stattdessen verweist Art. 8 Abs. 3 nun zur Klärung der Rechts- und Vertragsfähigkeit, und somit der rechtlichen Verbindlichkeit der Willenserklärungen eines Kindes, auf das jeweilige nationale Recht.

15 Der Anwendungsbereich des Abs. 3 ist auf das „allgemeine Vertragsrecht“ der

Mitgliedstaaten beschränkt. Aus dem Zusammenspiel mit Abs. 1, der die Anfor1 BGH v. 18.10.2007 – I ZR 102/05, CR 2008, 386 – ueber18.de.

1028

|

Plath

Verarbeitung besonderer Kategorien personenbezogener Daten | Art. 9 DSGVO

derungen an eine „Einwilligung“ regelt, zeigt sich, dass die Regelung des Abs. 3 gerade nicht den Fall einer Einwilligung regeln soll. Zwar ist die Rechtsnatur einer datenschutzrechtlichen Einwilligung seit jeher umstritten (vgl. Komm. zu § 4a BDSG Rz. 7 ff.). Jedoch muss man insoweit Abs. 1 als abschließende Regelung verstehen. Im Ergebnis kann dies dazu führen, dass es z.B. an der Wirksamkeit der datenschutzrechtlichen Einwilligung eines Kindes fehlt, da die Voraussetzungen des Abs. 1 nicht eingehalten worden sind, und gleichzeitig kann der mit demselben „Click“ geschlossene Vertrag gleichwohl im Übrigen wirksam sein, nämlich wenn die Regelungen der Mitgliedstaaten dies so vorsehen.

Artikel 9 Verarbeitung besonderer Kategorien personenbezogener Daten (1) Die Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person ist untersagt. (2) Absatz 1 gilt nicht in folgenden Fällen: a) Die betroffene Person hat in die Verarbeitung der genannten personenbezogenen Daten für einen oder mehrere festgelegte Zwecke ausdrücklich eingewilligt, es sei denn, nach Unionsrecht oder dem Recht der Mitgliedstaaten kann das Verbot nach Absatz 1 durch die Einwilligung der betroffenen Person nicht aufgehoben werden, b) die Verarbeitung ist erforderlich, damit der Verantwortliche oder die betroffene Person die ihm bzw. ihr aus dem Arbeitsrecht und dem Recht der sozialen Sicherheit und des Sozialschutzes erwachsenden Rechte ausüben und seinen bzw. ihren diesbezüglichen Pflichten nachkommen kann, soweit dies nach Unionsrecht oder dem Recht der Mitgliedstaaten oder einer Kollektivvereinbarung nach dem Recht der Mitgliedstaaten, das geeignete Garantien für die Grundrechte und die Interessen der betroffenen Person vorsieht, zulässig ist, c) die Verarbeitung ist zum Schutz lebenswichtiger Interessen der betroffenen Person oder einer anderen natürlichen Person erforderlich und die betroffene Person ist aus körperlichen oder rechtlichen Gründen außerstande, ihre Einwilligung zu geben, d) die Verarbeitung erfolgt auf der Grundlage geeigneter Garantien durch eine politisch, weltanschaulich, religiös oder gewerkschaftlich ausgerichPlath

|

1029

Verarbeitung besonderer Kategorien personenbezogener Daten | Art. 9 DSGVO

derungen an eine „Einwilligung“ regelt, zeigt sich, dass die Regelung des Abs. 3 gerade nicht den Fall einer Einwilligung regeln soll. Zwar ist die Rechtsnatur einer datenschutzrechtlichen Einwilligung seit jeher umstritten (vgl. Komm. zu § 4a BDSG Rz. 7 ff.). Jedoch muss man insoweit Abs. 1 als abschließende Regelung verstehen. Im Ergebnis kann dies dazu führen, dass es z.B. an der Wirksamkeit der datenschutzrechtlichen Einwilligung eines Kindes fehlt, da die Voraussetzungen des Abs. 1 nicht eingehalten worden sind, und gleichzeitig kann der mit demselben „Click“ geschlossene Vertrag gleichwohl im Übrigen wirksam sein, nämlich wenn die Regelungen der Mitgliedstaaten dies so vorsehen.

Artikel 9 Verarbeitung besonderer Kategorien personenbezogener Daten (1) Die Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person ist untersagt. (2) Absatz 1 gilt nicht in folgenden Fällen: a) Die betroffene Person hat in die Verarbeitung der genannten personenbezogenen Daten für einen oder mehrere festgelegte Zwecke ausdrücklich eingewilligt, es sei denn, nach Unionsrecht oder dem Recht der Mitgliedstaaten kann das Verbot nach Absatz 1 durch die Einwilligung der betroffenen Person nicht aufgehoben werden, b) die Verarbeitung ist erforderlich, damit der Verantwortliche oder die betroffene Person die ihm bzw. ihr aus dem Arbeitsrecht und dem Recht der sozialen Sicherheit und des Sozialschutzes erwachsenden Rechte ausüben und seinen bzw. ihren diesbezüglichen Pflichten nachkommen kann, soweit dies nach Unionsrecht oder dem Recht der Mitgliedstaaten oder einer Kollektivvereinbarung nach dem Recht der Mitgliedstaaten, das geeignete Garantien für die Grundrechte und die Interessen der betroffenen Person vorsieht, zulässig ist, c) die Verarbeitung ist zum Schutz lebenswichtiger Interessen der betroffenen Person oder einer anderen natürlichen Person erforderlich und die betroffene Person ist aus körperlichen oder rechtlichen Gründen außerstande, ihre Einwilligung zu geben, d) die Verarbeitung erfolgt auf der Grundlage geeigneter Garantien durch eine politisch, weltanschaulich, religiös oder gewerkschaftlich ausgerichPlath

|

1029

Art. 9 DSGVO | Grundsätze

e) f) g)

h)

i)

j)

tete Stiftung, Vereinigung oder sonstige Organisation ohne Gewinnerzielungsabsicht im Rahmen ihrer rechtmäßigen Tätigkeiten und unter der Voraussetzung, dass sich die Verarbeitung ausschließlich auf die Mitglieder oder ehemalige Mitglieder der Organisation oder auf Personen, die im Zusammenhang mit deren Tätigkeitszweck regelmäßige Kontakte mit ihr unterhalten, bezieht und die personenbezogenen Daten nicht ohne Einwilligung der betroffenen Personen nach außen offengelegt werden, die Verarbeitung bezieht sich auf personenbezogene Daten, die die betroffene Person offensichtlich öffentlich gemacht hat, die Verarbeitung ist zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen oder bei Handlungen der Gerichte im Rahmen ihrer justiziellen Tätigkeit erforderlich, die Verarbeitung ist auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats, das in angemessenem Verhältnis zu dem verfolgten Ziel steht, den Wesensgehalt des Rechts auf Datenschutz wahrt und angemessene und spezifische Maßnahmen zur Wahrung der Grundrechte und Interessen der betroffenen Person vorsieht, aus Gründen eines erheblichen öffentlichen Interesses erforderlich, die Verarbeitung ist für Zwecke der Gesundheitsvorsorge oder der Arbeitsmedizin, für die Beurteilung der Arbeitsfähigkeit des Beschäftigten, für die medizinische Diagnostik, die Versorgung oder Behandlung im Gesundheits- oder Sozialbereich oder für die Verwaltung von Systemen und Diensten im Gesundheits- oder Sozialbereich auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats oder aufgrund eines Vertrags mit einem Angehörigen eines Gesundheitsberufs und vorbehaltlich der in Absatz 3 genannten Bedingungen und Garantien erforderlich, die Verarbeitung ist aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit, wie dem Schutz vor schwerwiegenden grenzüberschreitenden Gesundheitsgefahren oder zur Gewährleistung hoher Qualitäts- und Sicherheitsstandards bei der Gesundheitsversorgung und bei Arzneimitteln und Medizinprodukten, auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats, das angemessene und spezifische Maßnahmen zur Wahrung der Rechte und Freiheiten der betroffenen Person, insbesondere des Berufsgeheimnisses, vorsieht, erforderlich, oder die Verarbeitung ist auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats, das in angemessenem Verhältnis zu dem verfolgten Ziel steht, den Wesensgehalt des Rechts auf Datenschutz wahrt und angemessene und spezifische Maßnahmen zur Wahrung der Grundrechte und Interessen der betroffenen Person vorsieht, für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gemäß Artikel 89 Absatz 1 erforderlich.

1030

|

Plath

Verarbeitung besonderer Kategorien personenbezogener Daten | Art. 9 DSGVO

(3) Die in Absatz 1 genannten personenbezogenen Daten dürfen zu den in Absatz 2 Buchstabe h genannten Zwecken verarbeitet werden, wenn diese Daten von Fachpersonal oder unter dessen Verantwortung verarbeitet werden und dieses Fachpersonal nach dem Unionsrecht oder dem Recht eines Mitgliedstaats oder den Vorschriften nationaler zuständiger Stellen dem Berufsgeheimnis unterliegt, oder wenn die Verarbeitung durch eine andere Person erfolgt, die ebenfalls nach dem Unionsrecht oder dem Recht eines Mitgliedstaats oder den Vorschriften nationaler zuständiger Stellen einer Geheimhaltungspflicht unterliegt. (4) Die Mitgliedstaaten können zusätzliche Bedingungen, einschließlich Beschränkungen, einführen oder aufrechterhalten, soweit die Verarbeitung von genetischen, biometrischen oder Gesundheitsdaten betroffen ist. I. Einführung . . . . . . . . . . . . . . . II. Grundsatz: Verbot der Verarbeitung „besonderer Kategorien personenbezogener Daten“ (Abs. 1) . . . . 1. Definition der besonderen Kategorien personenbezogener Daten a) Rassische und ethnische Herkunft . . . . . . . . . . . . . . . b) Politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit . c) Genetische und biometrische Daten . . . . . . . . . . . . . . . . . d) Gesundheitsdaten . . . . . . . . e) Sexualleben oder sexuelle Orientierung . . . . . . . . . . . . 2. Grundsatz: Verbot der Verarbeitung . . . . . . . . . . . . . . III. Ausnahmen vom Verbot (Abs. 2) 1. Ausdrückliche Einwilligung (Abs. 2 Buchst. a) . . . . . . . . . . . 2. Arbeitsrecht/Sozialschutz (Abs. 2 Buchst. b) . . . . . . . . . . .

1

3 4 5

6 7 9 10 11 12 13 15

3. Schutz lebenswichtiger Interessen (Abs. 2 Buchst. c) . . . . . . . . 4. Datenverwendung durch Organisationen ohne Gewinnerzielungsabsicht (Abs. 2 Buchst. d) . . . . . 5. Offenkundig öffentliche Daten (Abs. 2 Buchst. e) . . . . . . . . . . . 6. Durchsetzung von Ansprüchen (Abs. 2 Buchst. f) . . . . . . . . . . . 7. Unions- und mitgliedstaatsrechtliche Ausnahmen (Abs. 2 Buchst. g) . . . . . . . . . . . 8. Gesundheitsversorgung (Abs. 2 Buchst. h) . . . . . . . . . . . 9. Öffentliche Gesundheitsbelange (Abs. 2 Buchst. i) . . . . . . . . . . . 10. Wissenschaftliche/historische Forschungszwecke (Abs. 2 Buchst. j) . . . . . . . . . . . IV. Verarbeitung durch Geheimnisträger (Abs. 3) . . . . . . . . . . . . . V. Vorbehalt für genetische, biometrische oder Gesundheitsdaten (Abs. 4) . . . . . . . . .

16 17 19 20 22 23 25 28 29 30

Schrifttum: Albrecht, Das neue EU-Datenschutzrecht – von der Richtlinie zur Verordnung – Überblick und Hintergründe zum finalen Text für die Datenschutz-Grundverordnung der EU nach der Einigung im Trilog, CR 2016, 88.

Plath

|

1031

Art. 9 DSGVO | Grundsätze I. Einführung 1 Art. 9 regelt die Verarbeitung „besonderer Kategorien von personenbezogenen

Daten“. Mit besonderen Datenkategorien sind personenbezogene Daten gemeint, „die ihrem Wesen nach hinsichtlich der Grundrechte und Grundfreiheiten besonders sensibel sind“. Diese Daten „verdienen einen besonderen Schutz, da im Zusammenhang mit ihrer Verarbeitung erhebliche Risiken für die Grundrechte und Grundfreiheiten auftreten können“ (Erwägungsgrund 51). Im BDSG werden die besonderen Kategorien von personenbezogenen Daten unter der Bezeichnung „besondere Arten personenbezogener Daten“ geführt. In der Praxis wird aber weiterhin häufig noch der griffigere Begriff der „sensiblen Daten“ verwendet1.

2 Vorbild für die Entstehung des Art. 9 war Art. 8 EG-Datenschutzrichtlinie. Art. 9

enthält zwar einige inhaltliche Änderungen im Vergleich zu Art. 8 EG-Datenschutzrichtlinie, dennoch ist der Aufbau der Norm weitgehend unverändert geblieben. Die Norm enthält in Abs. 1 ein grundsätzliches Verarbeitungsverbot für sensible Daten. Das Verbot wird dann in den folgenden Absätzen durch zahlreiche Ausnahmen entschärft. Zudem enthält Abs. 4 eine Öffnungsklausel, wonach die Mitgliedstaaten spezifische Regelungen im Bereich von „genetischen, biometrischen oder Gesundheitsdaten“ einführen oder aufrechterhalten können. Die maßgeblichen Erwägungsgründe finden sich in den Erwägungsgründen 51–56.

II. Grundsatz: Verbot der Verarbeitung „besonderer Kategorien personenbezogener Daten“ (Abs. 1) 3 Die Norm zählt in Abs. 1 die Kategorien von sensiblen Daten auf und stellt diese

Daten, wenn ein Personenbezug gegeben ist, also die Voraussetzungen des Art. 4 Nr. 1 vorliegen, unter ein grundsätzliches Verarbeitungsverbot. Die Sinnhaftigkeit, grundsätzlich bestimmte Daten als besonders sensible einzustufen und deren Nutzung unter besonders strenge Regelungen zu stellen, wurde schon unter Geltung des § 3 Abs. 9 BDSG bezweifelt, weil sich eine besondere Sensibilität von Daten immer erst aus der konkreten Verwendungsabsicht ergibt (vgl. die Komm. zu § 3 BDSG Rz. 76). Dieser Einwand ist auch in der DSGVO weiterhin nicht berücksichtigt worden. Gleichwohl ist ihm aber bei der Auslegung der wertungsbedürftigen Begriffe im Rahmen der Ausnahmen des Abs. 2 Rechnung zu tragen.

1. Definition der besonderen Kategorien personenbezogener Daten 4 Die Aufzählung von besonderen Datenkategorien in Abs. 1 wurde im Vergleich

zu Art. 8 EG-Datenschutzrichtlinie und ihrer Umsetzung in § 3 Abs. 9 BDSG leicht verändert. Wirklich neu in der Aufzählung sind nur die „genetischen und 1 Vgl. z.B. bei Albrecht, CR 2016, 88 (97).

1032

|

Plath

Verarbeitung besonderer Kategorien personenbezogener Daten | Art. 9 DSGVO

biometrischen Daten“. Die Aufzählung der besonderen Datenkategorien ist abschließend. a) Rassische und ethnische Herkunft Zu den Angaben zur rassischen und ethnischen Herkunft kann auf die Kom- 5 mentierung zum BDSG verwiesen werden (Komm. zu § 3 BDSG Rz. 79). b) Politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit Auch zu den Angaben zu politischen Meinungen, religiösen oder weltanschauli- 6 chen Überzeugungen oder der Gewerkschaftszugehörigkeit kann im Wesentlichen auf die Kommentierung zum BDSG verwiesen werden (Komm. zu § 3 BDSG Rz. 80). Zwar wurde der Begriff der „philosophischen Überzeugungen“ in „weltanschauliche Überzeugungen“ geändert. Die Änderung ist aber lediglich sprachlicher Natur. Der Begriff der weltanschaulichen Überzeugungen lehnt sich an die Begrifflichkeiten der Grundrechtecharta an und soll den besonderen grundrechtlichen Bezug dieser Kategorie von Daten zu Art. 10 Abs. 1 GRCh verdeutlichen. c) Genetische und biometrische Daten Eine echte Erweiterung in der Auflistung der „besonderen Datenkategorien“ 7 stellt die Aufnahme der genetischen und biometrischen Daten dar1. Die DSGVO enthält für beide Begriffe Legaldefinitionen. Genetische Daten sind nach Art. 4 Nr. 13 „personenbezogene Daten zu den ererbten oder erworbenen genetischen Eigenschaften einer natürlichen Person, die eindeutige Informationen über die Physiologie oder die Gesundheit dieser natürlichen Person liefern und insbesondere aus der Analyse einer biologischen Probe der betreffenden natürlichen Person gewonnen wurden“. Die Verarbeitung von DNA-Analysen fällt z.B. zunächst einmal unter das Verbot des Abs. 1. Die biometrischen Daten sind in Art. 4 Nr. 14 definiert. Danach sind dies „mit 8 speziellen technischen Verfahren gewonnene personenbezogene Daten zu den physischen, physiologischen oder verhaltenstypischen Merkmalen einer natürlichen Person, die die eindeutige Identifizierung dieser natürlichen Person ermöglichen oder bestätigen, wie Gesichtsbilder oder daktyloskopische Daten“. In Erwägungsgrund 51 stellt der Verordnungsgeber klar, dass die Verarbeitung von Lichtbildern nicht systematisch von der Definition des Begriffs „biometrische Daten“ erfasst wird. Nur wenn die Verarbeitung der Lichtbilder mit technischen Mitteln erfolgt, die eine eindeutige Identifizierung ermöglichen, liegen sensible Daten vor. Eine solche technische Maßnahme liegt z.B. in dem Abgleich eines Lichtbildes mit einer Gesichtserkennungssoftware. Somit dürften nicht nur Ge1 Albrecht, CR 2016, 88 (97).

Plath

|

1033

Art. 9 DSGVO | Grundsätze sichtserkennungsprogramme in sozialen Netzwerken unter die Kategorie biometrischer Daten fallen, sondern auch sämtliche modernen Identifizierungsverfahren wie Fingerabdruckerkennung, Stimmerkennung, Venenmustererkennung oder Handschriftanalyse. Im Gegenzug fallen gewöhnliche Fotos eines Menschen nicht per se unter den Begriff der biometrischen Daten, und zwar auch dann nicht, wenn die Abbildung der Person mit deren Namen verknüpft ist, solange die Verbindung zwischen Name und Abbildung nicht „mit speziellen technischen Mitteln“ gewonnen worden ist. Ab welchem Grad der Identifizierung der Person das Merkmal der „Eindeutigkeit“ gegeben ist, bleibt unklar und wird von der Rechtsprechung zu klären sein. d) Gesundheitsdaten 9 Gesundheitsdaten werden in der DSGVO in Art. 4 Nr. 15 legal definiert. Des-

weiteren kann auf die Kommentierung zu personenbezogen Daten zur Gesundheit im BDSG verwiesen werden (vgl. Komm. zu § 3 BDSG Rz. 78). e) Sexualleben oder sexuelle Orientierung

10 Neben den bereits im BDSG enthaltenen Begriff der Daten des Sexuallebens (vgl.

Komm. zu § 3 BDSG Rz. 81), ist der Begriff der Daten zur sexuellen Orientierung gerückt. Somit sind Angaben über die Geschlechtspartner-Orientierung auch dem Verarbeitungsverbot unterstellt. 2. Grundsatz: Verbot der Verarbeitung

11 Soweit „besondere Kategorien“ personenbezogener Daten vorliegen, ist deren Ver-

arbeitung grundsätzlich verboten. Das Verbreitungsverbot umfasst gemäß der Legaldefinition des Art. 4 Nr. 2 sämtliche der dort genannten Verarbeitungsformen.

III. Ausnahmen vom Verbot (Abs. 2) 12 Abs. 2 mildert das scharfe Verbot des Abs. 1 ab, indem zahlreiche Ausnahmetat-

bestände genannt werden, nach denen eine Verarbeitung „besonderer Kategorien“ personenbezogener Daten im Einzelfall erlaubt ist.

1. Ausdrückliche Einwilligung (Abs. 2 Buchst. a) 13 Das Verbot des Abs. 1 gilt nicht im Fall einer ausdrücklichen Einwilligung der

betroffenen Person. Der Begriff der Einwilligung ist in Art. 4 Nr. 11 definiert. Die weiteren Bedingungen einer Einwilligung regelt Art. 7. Nach dem Wortlaut der Norm ist eine „ausdrückliche“ Einwilligung erforderlich. Der Verordnungsgeber stellt an eine Einwilligung für den Bereich der sensiblen Daten damit hö1034

|

Plath

Verarbeitung besonderer Kategorien personenbezogener Daten | Art. 9 DSGVO

here Ansprüche als an eine sonstige Einwilligung nach Art. 7. Konkludente Einwilligungen sind somit im Bereich des Art. 9 ausgeschlossen. Die Ausdrücklichkeit der Einwilligung soll den Betroffenen auf die besondere Sensibilität der Datenkategorien aufmerksam machen. „Ausdrücklich“ i.S.d. Norm bedeutet, dass der betroffenen Person unter konkreter Nennung der Datenkategorie verdeutlicht werden muss, dass die entsprechenden Daten von der Einwilligung erfasst sind. Nicht erforderlich ist hingegen ein allzu formalistischer und wortlautgetreuer Verweis darauf, dass es sich dabei im technischen Sinne um „besondere Kategorien personenbezogener Daten i.S.d. Art. 9 Abs. 1“ handelt. Zusätzlich ist erforderlich, dass in der Einwilligung ein oder mehrere Zwecke der Verarbeitung festgelegt werden, auf die sich die Einwilligung bezieht. Abs. 2 Buchst. a sieht eine Rückausnahme vor. Trotz einer ausdrücklichen Ein- 14 willigung des Betroffenen kann das Verarbeitungsverbot des Abs. 1 eingreifen, wenn eine unionsrechtliche oder eine mitgliedstaatliche Rechtsvorschrift existiert, die die Einwilligungsmöglichkeit des Betroffenen ausschließt. 2. Arbeitsrecht/Sozialschutz (Abs. 2 Buchst. b) Die Ausnahmen für das Arbeitsrecht, die soziale Sicherheit und den Sozialschutz 15 sind in Abs. 2 Buchst. b geregelt. Eine Verarbeitung von besonderen Kategorien personenbezogener Daten in diesen Bereichen ist auch ohne Einwilligung zulässig, wenn (i) dies für die Wahrnehmung der genannten Rechte bzw. Erfüllung der entsprechenden Pflichten „erforderlich“ und (ii) dies nach dem Unionsrecht oder dem Recht des Mitgliedstaats oder in einer Kollektivvereinbarung „zulässig“ ist. Die Regelung muss geeignete Garantien für den Umgang mit den besonderen Kategorien personenbezogener Daten enthalten, d.h. selbst wenn eine entsprechende unionsrechtliche oder nationale Regelung existiert, ist weiter zu prüfen, ob diese dem vorgenannten Maßstab des Abs. 2 Buchst. b genügt. 3. Schutz lebenswichtiger Interessen (Abs. 2 Buchst. c) Zur Ausnahme des „Schutzes lebenswichtiger Interessen“ nach Abs. 2 Buchst. c 16 kann auf die Kommentierung zum BDSG verwiesen werden (Komm. zu § 28 BDSG Rz. 210). 4. Datenverwendung durch Organisationen ohne Gewinnerzielungsabsicht (Abs. 2 Buchst. d) Zur Ausnahme für „Organisationen ohne Gewinnerzielungsabsicht“ nach Abs. 2 17 Buchst. d kann auf die Kommentierung zum BDSG verwiesen werden (Komm. zu § 28 BDSG Rz. 219 und 220). Abs. 2 Buchst. d verbietet eine Übermittlung von sensiblen Daten an außerhalb 18 der Organisation stehende Dritte ohne eine Einwilligung des Betroffen. Der Plath

|

1035

Art. 9 DSGVO | Grundsätze Wortlaut von Abs. 2 Buchst. d spricht zwar nicht von einer „ausdrücklichen“ Einwilligung, dennoch ist eine solche erforderlich, denn in die Verarbeitung von sensiblen Daten kann nur „ausdrücklich“ eingewilligt werden (vgl. Rz. 13). Auch die Erwägungsgründe der Verordnung gehen insoweit von einer ausdrücklichen Einwilligung bei der Verarbeitung von sensiblen Daten im Rahmen rechtmäßiger Tätigkeiten bestimmter Vereinigungen oder Stiftungen aus (vgl. Erwägungsgrund 51). Eine Rückausnahme für die Übermittlung an außenstehende Dritte, wie sie § 28 Abs. 9 Satz 4 BDSG vorsieht, gibt es in der DSGVO nicht (vgl. Komm. zu § 28 BDSG Rz. 221). 5. Offenkundig öffentliche Daten (Abs. 2 Buchst. e) 19 Zur Ausnahme für „offenkundig öffentliche Daten“ nach Abs. 2 Buchst. e kann

auf die Kommentierung zum BDSG verwiesen werden (Komm. zu § 28 BDSG Rz. 211). 6. Durchsetzung von Ansprüchen (Abs. 2 Buchst. f)

20 Zur Ausnahme für die „Durchsetzung von Ansprüchen“ nach Abs. 2 Buchst. f

kann auf die Kommentierung zum BDSG verwiesen werden (Komm. zu § 28 BDSG Rz. 212).

21 Die Ausnahme des Abs. 2 Buchst. f greift nicht nur für die gerichtliche Geltend-

machung, Ausübung oder Verteidigung von Rechtsansprüchen ein. Aus Erwägungsgrund 52 geht hervor, dass dieser Ausnahmetatbestand nicht auf die Durchsetzung von Rechtsansprüchen vor Gericht beschränkt ist. Vielmehr ist auch die Geltendmachung z.B. in „einem Verwaltungsverfahren oder einem außergerichtlichen Verfahren“ mit erfasst. Darüber hinaus können sensible Daten auch von den Gerichten verarbeitet werden, wenn es für Handlungen in ihrer „justiziellen Tätigkeit“ erforderlich ist. Damit sind die Aufnahme von sensiblen Daten in Gerichtsakten, das Weiterleiten von sensiblen Daten an andere gerichtliche Stellen und vergleichbare Handlungen von der Ausnahme des Abs. 2 Buchst. f gedeckt. 7. Unions- und mitgliedstaatsrechtliche Ausnahmen (Abs. 2 Buchst. g)

22 Abs. 2 Buchst. g gestattet es dem europäischen und nationalen Gesetzgeber wei-

tere Ausnahmeregelungen aus Gründen eines „erheblichen öffentlichen Interesses“ zu erlassen. Eine solche Ausnahmeregelung muss angemessen sein und Garantien für die betroffenen Personen enthalten. Ähnliche Ausnahmeregelungen kennt das BDSG in § 13 Abs. 2 (Nr. 5, Nr. 6 und Nr. 9). Insoweit kann auf die Kommentierung zum BDSG verwiesen werden (Komm. zu § 13 BDSG Rz. 20, 21 und 24). 1036

|

Plath

Verarbeitung besonderer Kategorien personenbezogener Daten | Art. 9 DSGVO

8. Gesundheitsversorgung (Abs. 2 Buchst. h) Regelungen im Unionsrecht oder des Rechts eines Mitgliedstaats können nach 23 Abs. 2 Buchst. h Ausnahmen für die Verarbeitung von besonderen Kategorien von personenbezogenen Daten vorsehen für Zwecke der Gesundheitsvorsorge oder der Arbeitsmedizin sowie für weitere in dieser Norm aufgeführte Bereiche. Vergleichbare Regelungen enthält das BDSG in § 13 Abs. 2 Nr. 7 BDSG und § 28 Abs. 7 BDSG (vgl. Komm. zu § 13 BDSG Rz. 22 und § 28 BDSG Rz. 214 ff.). Erfolgt die Datenverarbeitung aufgrund eines Vertrags mit einem Angehörigen 24 eines Gesundheitsberufs müssen die Voraussetzungen und Garantien des Abs. 3 erfüllt (Rz. 29) sein. 9. Öffentliche Gesundheitsbelange (Abs. 2 Buchst. i) Die Verarbeitung von besonderen Kategorien von personenbezogenen Daten ist 25 aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit, wie dem Schutz vor schwerwiegenden grenzüberschreitenden Gesundheitsgefahren oder zur Gewährleistung hoher Qualitäts- und Sicherheitsstandards bei der Gesundheitsversorgung und bei Arzneimitteln und Medizinprodukten zulässig, soweit die Verarbeitung auf einer Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats beruht. Die Rechtsgrundlage muss mit entsprechenden Garantien zum Schutz der betroffenen Person ausgestattet sein. Der Begriff „öffentliche Gesundheit“ ist im Sinne der Verordnung (EG) 26 Nr. 1338/20081 auszulegen2. Art. 3d) jener Verordnung definiert die „öffentliche Gesundheit“ als „alle Elemente im Zusammenhang mit der Gesundheit, nämlich den Gesundheitszustand einschließlich Morbidität und Behinderung, die sich auf diesen Gesundheitszustand auswirkenden Determinanten, den Bedarf an Gesundheitsversorgung, die der Gesundheitsversorgung zugewiesenen Mittel, die Bereitstellung von und den allgemeinen Zugang zu Gesundheitsversorgungsleistungen sowie die entsprechenden Ausgaben und die Finanzierung und schließlich die Ursachen der Mortalität“. Ausweislich der Erwägungsgründe darf eine Verarbeitung aus „öffentlichen Ge- 27 sundheitsbelangen nicht dazu führen, dass Dritte, unter anderem Arbeitgeber, Versicherungs- und Finanzunternehmen, Daten zu anderen als in Abs. 2 Buchst. i genannten Zwecken verarbeiten“3.

1 Verordnung (EG) Nr. 1338/2008 des Europäischen Parlaments und des Rates vom 16.12. 2008 zu Gemeinschaftsstatistiken über öffentliche Gesundheit und über Gesundheitsschutz und Sicherheit am Arbeitsplatz. 2 Erwägungsgrund 54. 3 Erwägungsgrund 54.

Plath

|

1037

Art. 10 DSGVO | Grundsätze 10. Wissenschaftliche/historische Forschungszwecke (Abs. 2 Buchst. j) 28 Die besonderen Kategorien von personenbezogenen Daten dürfen schließlich

auch für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gemäß Art. 89 Abs. 1 verarbeitet werden. Voraussetzung ist eine entsprechende Rechtsgrundlage im Unionsrecht oder im Recht des jeweiligen Mitgliedstaates, die die nötigen Garantien nach Art. 89 Abs. 1 erfüllt. Eine ähnliche Ausnahme beinhaltet das BDSG in § 13 Abs. 2 Nr. 8 BDSG und § 28 Abs. 6 Nr. 4 BDSG (vgl. Komm. zu § 13 BDSG Rz. 23 und § 28 BDSG Rz. 213).

IV. Verarbeitung durch Geheimnisträger (Abs. 3) 29 Für die Anforderungen an die Verarbeitung durch Berufsgeheimnisträger nach

Abs. 3 kann auf die Kommentierung zum BDSG verwiesen werden (Komm. zu § 28 BDSG Rz. 215).

V. Vorbehalt für genetische, biometrische oder Gesundheitsdaten (Abs. 4) 30 Absatz 4 gibt den Mitgliedstaaten die Möglichkeit, für die Verarbeitung von ge-

netischen Daten, biometrischen Daten oder Gesundheitsdaten weitere Bedingungen und Einschränkungen aufrechtzuerhalten oder einzuführen. Somit können die Mitgliedstaaten strengere Anforderungen an den Umgang mit den entsprechenden besonderen Kategorien von personenbezogenen Daten stellen. Die Erwägungsgründe stellen allerdings klar, dass solche abweichenden Regelungen nicht den Datenverkehr innerhalb der Union beeinträchtigen dürfen, falls die betreffenden Regelungen für die grenzüberschreitende Verarbeitung solcher Daten gelten sollen1.

Artikel 10 Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten Die Verarbeitung personenbezogener Daten über strafrechtliche Verurteilungen und Straftaten oder damit zusammenhängende Sicherungsmaßregeln aufgrund von Artikel 6 Absatz 1 darf nur unter behördlicher Aufsicht vorgenommen werden oder wenn dies nach dem Unionsrecht oder dem Recht 1 Vgl. Erwägungsgrund 53.

1038

|

Plath

Art. 10 DSGVO | Grundsätze 10. Wissenschaftliche/historische Forschungszwecke (Abs. 2 Buchst. j) 28 Die besonderen Kategorien von personenbezogenen Daten dürfen schließlich

auch für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gemäß Art. 89 Abs. 1 verarbeitet werden. Voraussetzung ist eine entsprechende Rechtsgrundlage im Unionsrecht oder im Recht des jeweiligen Mitgliedstaates, die die nötigen Garantien nach Art. 89 Abs. 1 erfüllt. Eine ähnliche Ausnahme beinhaltet das BDSG in § 13 Abs. 2 Nr. 8 BDSG und § 28 Abs. 6 Nr. 4 BDSG (vgl. Komm. zu § 13 BDSG Rz. 23 und § 28 BDSG Rz. 213).

IV. Verarbeitung durch Geheimnisträger (Abs. 3) 29 Für die Anforderungen an die Verarbeitung durch Berufsgeheimnisträger nach

Abs. 3 kann auf die Kommentierung zum BDSG verwiesen werden (Komm. zu § 28 BDSG Rz. 215).

V. Vorbehalt für genetische, biometrische oder Gesundheitsdaten (Abs. 4) 30 Absatz 4 gibt den Mitgliedstaaten die Möglichkeit, für die Verarbeitung von ge-

netischen Daten, biometrischen Daten oder Gesundheitsdaten weitere Bedingungen und Einschränkungen aufrechtzuerhalten oder einzuführen. Somit können die Mitgliedstaaten strengere Anforderungen an den Umgang mit den entsprechenden besonderen Kategorien von personenbezogenen Daten stellen. Die Erwägungsgründe stellen allerdings klar, dass solche abweichenden Regelungen nicht den Datenverkehr innerhalb der Union beeinträchtigen dürfen, falls die betreffenden Regelungen für die grenzüberschreitende Verarbeitung solcher Daten gelten sollen1.

Artikel 10 Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten Die Verarbeitung personenbezogener Daten über strafrechtliche Verurteilungen und Straftaten oder damit zusammenhängende Sicherungsmaßregeln aufgrund von Artikel 6 Absatz 1 darf nur unter behördlicher Aufsicht vorgenommen werden oder wenn dies nach dem Unionsrecht oder dem Recht 1 Vgl. Erwägungsgrund 53.

1038

|

Plath

Daten über Straftaten | Art. 10 DSGVO

der Mitgliedstaaten, das geeignete Garantien für die Rechte und Freiheiten der betroffenen Personen vorsieht, zulässig ist. Ein umfassendes Register der strafrechtlichen Verurteilungen darf nur unter behördlicher Aufsicht geführt werden. I. Einführung . . . . . . . . . . . . . . . II. Daten über strafrechtliche Verurteilungen und Straftaten .

1

III. Anforderungen an die Verarbeitung . . . . . . . . . . . . .

5

2

Schrifttum: Wybitul, EU: Datenschutzgrundverordnung verabschiedet – die wichtigsten Folgen für die Praxis auf einen Blick, ZD-Aktuell 2016, 04185.

I. Einführung Art. 10 etabliert ein gesondertes Regime für Daten über strafrechtliche Ver- 1 urteilungen und Straftaten. Ursprünglich sollten solche Daten als „besondere Kategorie von personenbezogen Daten“ eingestuft und in Art. 9 geregelt werden. Im Zuge der Trilogverhandlungen wurden die Daten über Straftaten und ihre Folgen aus der Aufzählung des Art. 9 Abs. 1 herausgenommen und in Art. 10 selbständig geregelt. Somit sind personenbezogene Daten über strafrechtliche Verurteilungen und Straftaten oder damit zusammenhängende Sicherungsmaßregeln nicht als „besondere Kategorie von personenbezogen Daten“ zu qualifizieren. Eine Verarbeitung dieser Daten richtet sich somit ausschließlich nach den Bestimmungen des Art. 10 i.V.m. Art. 6. Der maßgebliche Erwägungsgrund findet sich in Erwägungsgrund 19.

II. Daten über strafrechtliche Verurteilungen und Straftaten Umfasst vom Begriff der Daten über strafrechtliche Verurteilungen und Straf- 2 taten oder damit zusammenhängende Sicherungsmaßregeln sind in erster Linie Informationen über die Strafe selbst. Satz 2 nennt insoweit beispielhaft ein „umfassendes Register der strafrechtlichen Verurteilungen“. Unklar bleibt, ob diese Vorschrift auch für vermutete bzw. noch aufzuklärende 3 Straftaten gilt. Der Umstand, dass neben den „strafrechtlichen Verurteilungen“ auch die „Straftaten“ als solche, also ohne Bezug zur „Verurteilung“ aufgeführt werden, legt eine weite Auslegung nahe. Allerdings würde eine solche Auslegung zu einer nahezu uferlosen Anwendung der Norm führen. Zudem fehlt es in der Norm an dem Verweis auf die „Verhütung, Ermittlung, Aufdeckung und der Verfolgung“ von Straftaten, der sich aber sehr wohl an anderer Stelle in der DSGVO findet. Insofern sprechen die besseren Argumente für eine engere Auslegung, wonach Vorfeldmaßnahmen z.B. zur Verhütung, Ermittlung und AufPlath

|

1039

Art. 11 DSGVO | Grundsätze deckung von Straftaten noch nicht in den Anwendungsbereich der Norm fallen. Entsprechend steht die Norm nach der hier vertretenen Ansicht z.B. einer Compliance-Untersuchung nicht entgegen1. 4 Die Verarbeitung von personenbezogenen Daten durch die zuständigen Behör-

den zum Zwecke der Verhütung, Ermittlung, Aufdeckung und der Verfolgung von Straftaten oder der Strafvollstreckung richtet sich nach der EU Richtlinie 2016/6802. Auf Verarbeitungstätigkeiten dieser Art findet die DSGVO keine Anwendung (vgl. Art. 2 Abs. 2 Buchst. d).

III. Anforderungen an die Verarbeitung 5 Für eine Verarbeitung von personenbezogenen Daten über strafrechtliche Ver-

urteilungen und Straftaten müssen nicht nur die Voraussetzungen des Art. 6 Abs. 1 vorliegen, der die generellen Anforderungen an die Rechtmäßigkeit der Verarbeitung regelt. Die Verarbeitung muss vielmehr darüber hinaus unter behördlicher Aufsicht erfolgen. Was konkret dies bedeutet, bleibt unklar.

6 Ein generelles Verarbeitungsverbot, wie es Art. 9 Abs. 1 für besondere Katego-

rien von personenbezogen Daten vorsieht, kennt Art. 10 also nicht. Ebenso findet sich in Art. 10 kein Ausnahmenkatalog entsprechend Art. 9 Abs. 2.

7 Allerdings können sowohl auf unionsrechtlicher Ebene als auch auf mitglied-

staatlicher Ebene Rechtsgrundlagen für eine zulässige Verarbeitung von Daten über Straftaten erlassen werden, vorausgesetzt die Grundlagen erfüllen die von der DSGVO vorgeschriebenen Garantien.

8 Der letzte Satz des Art. 10 ordnet an, dass ein umfassendes Register der straf-

rechtlichen Verurteilungen immer nur unter behördlicher Aufsicht geführt werden darf. In dieser Hinsicht besteht also keine Möglichkeit, nationale Ausnahmen von dieser Regelung zu beschließen.

Artikel 11 Verarbeitung, für die eine Identifizierung der betroffenen Person nicht erforderlich ist (1) Ist für die Zwecke, für die ein Verantwortlicher personenbezogene Daten verarbeitet, die Identifizierung der betroffenen Person durch den Verantwortlichen nicht oder nicht mehr erforderlich, so ist dieser nicht verpflichtet, 1 So auch Wybitul, ZD-Aktuell 2016, 04185. 2 Vgl. Erwägungsgrund 19 der DSGVO.

1040

|

Plath

Art. 11 DSGVO | Grundsätze deckung von Straftaten noch nicht in den Anwendungsbereich der Norm fallen. Entsprechend steht die Norm nach der hier vertretenen Ansicht z.B. einer Compliance-Untersuchung nicht entgegen1. 4 Die Verarbeitung von personenbezogenen Daten durch die zuständigen Behör-

den zum Zwecke der Verhütung, Ermittlung, Aufdeckung und der Verfolgung von Straftaten oder der Strafvollstreckung richtet sich nach der EU Richtlinie 2016/6802. Auf Verarbeitungstätigkeiten dieser Art findet die DSGVO keine Anwendung (vgl. Art. 2 Abs. 2 Buchst. d).

III. Anforderungen an die Verarbeitung 5 Für eine Verarbeitung von personenbezogenen Daten über strafrechtliche Ver-

urteilungen und Straftaten müssen nicht nur die Voraussetzungen des Art. 6 Abs. 1 vorliegen, der die generellen Anforderungen an die Rechtmäßigkeit der Verarbeitung regelt. Die Verarbeitung muss vielmehr darüber hinaus unter behördlicher Aufsicht erfolgen. Was konkret dies bedeutet, bleibt unklar.

6 Ein generelles Verarbeitungsverbot, wie es Art. 9 Abs. 1 für besondere Katego-

rien von personenbezogen Daten vorsieht, kennt Art. 10 also nicht. Ebenso findet sich in Art. 10 kein Ausnahmenkatalog entsprechend Art. 9 Abs. 2.

7 Allerdings können sowohl auf unionsrechtlicher Ebene als auch auf mitglied-

staatlicher Ebene Rechtsgrundlagen für eine zulässige Verarbeitung von Daten über Straftaten erlassen werden, vorausgesetzt die Grundlagen erfüllen die von der DSGVO vorgeschriebenen Garantien.

8 Der letzte Satz des Art. 10 ordnet an, dass ein umfassendes Register der straf-

rechtlichen Verurteilungen immer nur unter behördlicher Aufsicht geführt werden darf. In dieser Hinsicht besteht also keine Möglichkeit, nationale Ausnahmen von dieser Regelung zu beschließen.

Artikel 11 Verarbeitung, für die eine Identifizierung der betroffenen Person nicht erforderlich ist (1) Ist für die Zwecke, für die ein Verantwortlicher personenbezogene Daten verarbeitet, die Identifizierung der betroffenen Person durch den Verantwortlichen nicht oder nicht mehr erforderlich, so ist dieser nicht verpflichtet, 1 So auch Wybitul, ZD-Aktuell 2016, 04185. 2 Vgl. Erwägungsgrund 19 der DSGVO.

1040

|

Plath

Identifizierung der betroffenen Person | Art. 11 DSGVO

zur bloßen Einhaltung dieser Verordnung zusätzliche Informationen aufzubewahren, einzuholen oder zu verarbeiten, um die betroffene Person zu identifizieren. (2) Kann der Verantwortliche in Fällen gemäß Absatz 1 des vorliegenden Artikels nachweisen, dass er nicht in der Lage ist, die betroffene Person zu identifizieren, so unterrichtet er die betroffene Person hierüber, sofern möglich. In diesen Fällen finden die Artikel 15 bis 20 keine Anwendung, es sei denn, die betroffene Person stellt zur Ausübung ihrer in diesen Artikeln niedergelegten Rechte zusätzliche Informationen bereit, die ihre Identifizierung ermöglichen. I. Einführung . . . . . . . . . . . . . . . II. Keine Nachforschungspflicht des Verantwortlichen zur Bestimmung des Betroffenen (Abs. 1) . . . . . . . . . . . . . . . . . .

1

III. Pflichten bei Unidentifizierbarkeit der betroffenen Person (Abs. 2) . . . . . . . . . . . . . . . . . .

4

2

I. Einführung Die Vorschrift des Art. 11 regelt den Fall, dass eine betroffene Person von dem 1 Verantwortlichen nicht „identifiziert“ werden kann. Der Sinn der Regelung erschließt sich nicht unmittelbar. Allerdings ist die Regelung offenbar vor dem Hintergrund der grundlegenden Zielsetzung der DSGVO zu lesen, die Betroffenenrechte zu stärken. So ist der Verantwortliche nach Art. 12 Abs. 2 verpflichtet, der betroffenen Person die Ausübung ihrer Auskunfts-, Berichtigungs-, Löschungs- und aller weiteren Rechte gemäß den Art. 15–22 zu „erleichtern“. Von dieser Verpflichtung ist der Verantwortliche nach Art. 11 Abs. 2 allerdings grundsätzlich befreit, wenn er nachweisen kann, dass er nicht in der Lage ist, die betroffene Person zu identifizieren. Fehlt es also an der Möglichkeit, die betroffene Person zu identifizieren, so führt dies für den Verantwortlichen zu einer Befreiung von bestimmten Pflichten. Entsprechend war es dann die Zielsetzung des Verordnungsgebers, konkret zu regeln, unter welchen Voraussetzungen diese Erleichterungen zur Anwendung kommen sollen.

II. Keine Nachforschungspflicht des Verantwortlichen zur Bestimmung des Betroffenen (Abs. 1) Abs. 1 regelt den Fall, dass zwar personenbezogene Daten verarbeitet werden, 2 die Identifizierung der betroffenen Person durch den Verantwortlichen aber nicht oder nicht mehr erforderlich ist. Nach der Systematik der DSGVO kann man schon in Frage stellen, ob es diesen Fall überhaupt geben kann. Denn nach der Definition in Art. 4 Nr. 1 sind personenbezogene Daten nur solche Daten, Plath

|

1041

Art. 11 DSGVO | Grundsätze „die sich auf eine identifizierte oder identifizierbare natürliche Person“ beziehen. Insofern fehlt es streng genommen bereits an einem personenbezogenen Datum, wenn die Identifizierbarkeit der Person nicht gegeben ist. 3 Jedenfalls aber ordnet der Abs. 1 für diesen Fall als Rechtsfolge an, dass den

Verantwortlichen keine Verpflichtung trifft, „zur bloßen Einhaltung dieser Verordnung zusätzliche Informationen aufzubewahren, einzuholen oder zu verarbeiten, um die betroffene Person zu identifizieren.“ Ggf. dürfte er diese auch schon gar nicht, d.h. er hat nicht nur keine entsprechende Pflicht, sondern schon gar kein entsprechendes Recht, denn nach Art. 5 Abs. 1 Buchst. e dürfen die personenbezogenen Daten ohnehin nur solange „in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen … ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist.“ Wenn der Verantwortliche also bestimmte Daten bereits gänzlich gelöscht hat oder in einer Form speichert, die eine Identifizierung nicht (mehr) ermöglichen, so trifft ihn keine Pflicht, die Daten erneut zu beschaffen, etwa um der betroffenen Person eine Auskunft erteilen zu können.

III. Pflichten bei Unidentifizierbarkeit der betroffenen Person (Abs. 2) 4 Abs. 2 regelt den Fall, dass ein Verantwortlicher nachweislich nicht in der Lage

ist, die betroffene Person zu identifizieren. In diesem Fall legt Abs. 2 dem Verantwortlichen grundsätzlich eine Pflicht zur Unterrichtung des Betroffenen über diesen Umstand auf und befreit ihn im Gegenzug von bestimmten weiteren Pflichten unter der DSGVO, wie z.B. der Auskunftspflicht.

5 Der Tatbestand des Abs. 2 bezieht sich zunächst auf Abs. 1 („in derartigen Fällen“).

Für die Anwendbarkeit des Abs. 2 müssen damit die folgenden Voraussetzungen gegeben sein: (i) die Bestimmung der betroffenen Person durch den für die Verarbeitung Verantwortlichen ist nicht oder nicht mehr erforderlich (Abs. 1), und (ii) der Verantwortliche ist nachweislich nicht in der Lage, die betroffene Person zu identifizieren. Die Erleichterungen des Abs. 2 Satz 2 greifen damit nur dann, wenn beide Voraussetzungen gegeben sind. Es reicht also nicht aus, wenn die Identifikation lediglich nicht mehr erforderlich ist. Vielmehr darf der Verantwortliche objektiv nicht in der Lage sein, die betroffene Person zu bestimmen.

6 Ist sodann der Anwendungsbereich des Abs. 2 eröffnet, ergeben sich zwei

Rechtsfolgen: (i) der Verantwortliche hat den Betroffenen „hierüber“ zu unterrichten, „sofern möglich“, und (ii) die Art. 15–20 finden keine Anwendung, wenn nicht die betroffene Person zusätzliche Informationen bereitstellt, um seine Identifizierung zu ermöglichen.

7 Die erste Rechtsfolge erscheint zunächst widersinnig: Denn hier soll der Verant-

wortliche eine betroffenen Person darüber informieren, dass er diese Person

1042

|

Plath

Transparente Information, Kommunikation und Modalitäten | Art. 12 DSGVO

nicht identifizieren konnte. Grundsätzlich wird die Möglichkeit, eine Person zu kontaktieren aber davon abhängen, dass diese zunächst identifiziert wurde. Diesem Umstand trägt Abs. 2 in der Weise Rechnung, dass die Informationspflicht nur „sofern möglich“ zu erfüllen ist. Für den verbleibenden Anwendungsbereich wäre etwa ein Fall denkbar, in dem ein Verantwortlicher zwar über Kontaktdaten der betroffenen Person (etwa eine E-Mail-Adresse unter einem Pseudonym) verfügt, diese also kontaktieren, aus den vorhandenen Daten jedoch deren Identität nicht herleiten kann. Sinnvollerweise gilt in den Fällen, in denen der Verantwortliche eine betroffene 8 Person nicht identifizieren kann, als weitere Rechtsfolge, dass der Verantwortliche von seinen Pflichten nach Art. 15–20 befreit wird. Somit sind die Pflichten des Verantwortlichen, auf Begehren des Betroffenen Auskunft zu erteilen, Daten zu löschen, zu übertragen oder zu berichtigen nicht mehr anwendbar. Allerdings enthält Abs. 2 die Gegenausnahme, wonach die Pflichten nach 9 Art. 15–20 dann wieder aufleben, wenn die betroffene Person die Bestimmung ihrer Person ermöglicht. Teilt die betroffene Person im obigen Beispiel dem Verantwortlichen also mit, dass ihr die obige E-Mail-Adresse zuzuordnen ist, so kann sie weiterhin Auskunft verlangen und die weiteren Rechte der Art. 15–20 geltend machen.

Kapitel III Rechte der betroffenen Person Abschnitt 1 Transparenz und Modalitäten

Artikel 12 Transparente Information, Kommunikation und Modalitäten für die Ausübung der Rechte der betroffenen Person (1) Der Verantwortliche trifft geeignete Maßnahmen, um der betroffenen Person alle Informationen gemäß den Artikeln 13 und 14 und alle Mitteilungen gemäß den Artikeln 15 bis 22 und Artikel 34, die sich auf die Verarbeitung beziehen, in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln; dies gilt insbesondere für Informationen, die sich speziell an Kinder richten. Die Übermittlung der Informationen erfolgt schriftlich oder in anderer Form, gegebenenfalls auch elektronisch. Falls von der betroffenen Person verlangt, Plath/Kamlah

|

1043

Transparente Information, Kommunikation und Modalitäten | Art. 12 DSGVO

nicht identifizieren konnte. Grundsätzlich wird die Möglichkeit, eine Person zu kontaktieren aber davon abhängen, dass diese zunächst identifiziert wurde. Diesem Umstand trägt Abs. 2 in der Weise Rechnung, dass die Informationspflicht nur „sofern möglich“ zu erfüllen ist. Für den verbleibenden Anwendungsbereich wäre etwa ein Fall denkbar, in dem ein Verantwortlicher zwar über Kontaktdaten der betroffenen Person (etwa eine E-Mail-Adresse unter einem Pseudonym) verfügt, diese also kontaktieren, aus den vorhandenen Daten jedoch deren Identität nicht herleiten kann. Sinnvollerweise gilt in den Fällen, in denen der Verantwortliche eine betroffene 8 Person nicht identifizieren kann, als weitere Rechtsfolge, dass der Verantwortliche von seinen Pflichten nach Art. 15–20 befreit wird. Somit sind die Pflichten des Verantwortlichen, auf Begehren des Betroffenen Auskunft zu erteilen, Daten zu löschen, zu übertragen oder zu berichtigen nicht mehr anwendbar. Allerdings enthält Abs. 2 die Gegenausnahme, wonach die Pflichten nach 9 Art. 15–20 dann wieder aufleben, wenn die betroffene Person die Bestimmung ihrer Person ermöglicht. Teilt die betroffene Person im obigen Beispiel dem Verantwortlichen also mit, dass ihr die obige E-Mail-Adresse zuzuordnen ist, so kann sie weiterhin Auskunft verlangen und die weiteren Rechte der Art. 15–20 geltend machen.

Kapitel III Rechte der betroffenen Person Abschnitt 1 Transparenz und Modalitäten

Artikel 12 Transparente Information, Kommunikation und Modalitäten für die Ausübung der Rechte der betroffenen Person (1) Der Verantwortliche trifft geeignete Maßnahmen, um der betroffenen Person alle Informationen gemäß den Artikeln 13 und 14 und alle Mitteilungen gemäß den Artikeln 15 bis 22 und Artikel 34, die sich auf die Verarbeitung beziehen, in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln; dies gilt insbesondere für Informationen, die sich speziell an Kinder richten. Die Übermittlung der Informationen erfolgt schriftlich oder in anderer Form, gegebenenfalls auch elektronisch. Falls von der betroffenen Person verlangt, Plath/Kamlah

|

1043

Art. 12 DSGVO | Rechte der betroffenen Person kann die Information mündlich erteilt werden, sofern die Identität der betroffenen Person in anderer Form nachgewiesen wurde. (2) Der Verantwortliche erleichtert der betroffenen Person die Ausübung ihrer Rechte gemäß den Artikeln 15 bis 22. In den in Artikel 11 Absatz 2 genannten Fällen darf sich der Verantwortliche nur dann weigern, aufgrund des Antrags der betroffenen Person auf Wahrnehmung ihrer Rechte gemäß den Artikeln 15 bis 22 tätig zu werden, wenn er glaubhaft macht, dass er nicht in der Lage ist, die betroffene Person zu identifizieren. (3) Der Verantwortliche stellt der betroffenen Person Informationen über die auf Antrag gemäß den Artikeln 15 bis 22 ergriffenen Maßnahmen unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags zur Verfügung. Diese Frist kann um weitere zwei Monate verlängert werden, wenn dies unter Berücksichtigung der Komplexität und der Anzahl von Anträgen erforderlich ist. Der Verantwortliche unterrichtet die betroffene Person innerhalb eines Monats nach Eingang des Antrags über eine Fristverlängerung, zusammen mit den Gründen für die Verzögerung. Stellt die betroffene Person den Antrag elektronisch, so ist sie nach Möglichkeit auf elektronischem Weg zu unterrichten, sofern sie nichts anderes angibt. (4) Wird der Verantwortliche auf den Antrag der betroffenen Person hin nicht tätig, so unterrichtet er die betroffene Person ohne Verzögerung, spätestens aber innerhalb eines Monats nach Eingang des Antrags über die Gründe hierfür und über die Möglichkeit, bei einer Aufsichtsbehörde Beschwerde einzulegen oder einen gerichtlichen Rechtsbehelf einzulegen. (5) Informationen gemäß den Artikeln 13 und 14 sowie alle Mitteilungen und Maßnahmen gemäß den Artikeln 15 bis 22 und Artikel 34 werden unentgeltlich zur Verfügung gestellt. Bei offenkundig unbegründeten oder – insbesondere im Fall von häufiger Wiederholung – exzessiven Anträgen einer betroffenen Person kann der Verantwortliche entweder a) ein angemessenes Entgelt verlangen, bei dem die Verwaltungskosten für die Unterrichtung oder die Mitteilung oder die Durchführung der beantragten Maßnahme berücksichtigt werden, oder b) sich weigern, aufgrund des Antrags tätig zu werden. Der Verantwortliche hat den Nachweis für den offenkundig unbegründeten oder exzessiven Charakter des Antrags zu erbringen. (6) Hat der Verantwortliche begründete Zweifel an der Identität der natürlichen Person, die den Antrag gemäß den Artikeln 15 bis 21 stellt, so kann er unbeschadet des Artikels 11 zusätzliche Informationen anfordern, die zur Bestätigung der Identität der betroffenen Person erforderlich sind. (7) Die Informationen, die den betroffenen Personen gemäß den Artikeln 13 und 14 bereitzustellen sind, können in Kombination mit standardisierten Bildsymbolen bereitgestellt werden, um in leicht wahrnehmbarer, verständli1044

|

Kamlah

Transparente Information, Kommunikation und Modalitäten | Art. 12 DSGVO

cher und klar nachvollziehbarer Form einen aussagekräftigen Überblick über die beabsichtigte Verarbeitung zu vermitteln. Werden die Bildsymbole in elektronischer Form dargestellt, müssen sie maschinenlesbar sein. (8) Der Kommission wird die Befugnis übertragen, gemäß Artikel 92 delegierte Rechtsakte zur Bestimmung der Informationen, die durch Bildsymbole darzustellen sind, und der Verfahren für die Bereitstellung standardisierter Bildsymbole zu erlassen. I. Einführung . . . . . . . . . . . . . . . II. Grundprinzipen der Transparenz und der Modalitäten . .

1

III. Die Vorschriften im Einzelnen

10

2

Schrifttum: Albrecht, Das neue EU-Datenschutzrecht – von der Richtlinie zur Verordnung, CR 2016, 88; Buchholtz, Das „Recht auf Vergessen“ im Internet, ZD 2105, 570; Gierschmann, Was „bringt“ deutschen Unternehmen die DS-GVO, ZD 2016, 51; Roßnagel/ Nebel/Richter, Was bleibt vom Europäischen Datenschutzrecht?, ZD 2015, 455; Schantz, Die Datenschutzgrundverordnung – Beginn einer neuen Zeitrechnung im Datenschutzrecht, NJW 2016, 1841; Taeger, Scoring in Deutschland nach der EU-Datenschutzgrundverordnung, ZRP 2016, 72; Veil, DS-GVO: Risikobasierter Ansatz statt rigides Verbotsprinzip, ZD 2015, 347.

I. Einführung Mit Art. 12 wird das Kapitel 3 eröffnet, das die Rechte der betroffenen Person 1 beinhaltet. Als eigener Abschnitt 1 innerhalb dieses Kapitels enthält er die Regelungen zur Transparenz und zu den Modalitäten, die ausweislich der in den einzelnen Absätzen des Art. 12 enthaltenen Referenzierungen gleichsam „vor die Klammer“ der einzelnen Betroffenenrechte der Art. 13 ff. zu ziehen sind. Soweit die Art. 13 ff. also keine Anhaltspunkte über die Art und Weise der Rechtegewährung enthalten, kann auf die allgemeinen Grundsätze des Art. 12 zurückgegriffen werden. Umgekehrt gibt Art. 12 Auslegungshilfen für die in den Art. 13 ff. enthaltenen Modalitäten der Rechteeinräumung. Ähnlich wie Art. 5 für die Zulässigkeit der Datenverarbeitung Grundsätze formuliert, erfüllt diese Funktion Art. 12 für die Rechte der Betroffenen.

II. Grundprinzipen der Transparenz und der Modalitäten Art. 12 Abs. 1 enthält die Grundprinzipien, wie die gegenüber der betroffenen 2 Person zu erfüllenden Pflichten zu erbringen sind. Danach hat das in – präziser – transparenter – verständlicher Kamlah

|

1045

Art. 12 DSGVO | Rechte der betroffenen Person – und leicht zugänglicher Form und – in klarer und einfacher Sprache zu erfolgen. Es fällt auf, dass die Kriterien untereinander nicht klar voneinander abzugrenzen und teilweise redundant sind. So lässt sich aus dem Kriterium „präzise“ noch ein Maß an Genauigkeit ableiten. Aber bereits das nächste Kriterium der Transparenz hat keine eigene inhaltliche Bedeutung. Es wiederholt vielmehr die Überschrift des Abschnitts bzw. des Kapitels. Konsequenterweise erwähnt der Erwägungsgrund 58 die Transparenz auch nicht als eigenes Kriterium, sondern führt dann aus, wann diese als erreicht gilt. Das Kriterium der Verständlichkeit erscheint synonym mit dem der „Klarheit und Einfachheit der Sprache“. Gleichwohl erscheinen Fallkonstellationen denkbar, in denen mit (scheinbar) einfacher Sprache etwas unverständlich ausgedrückt wird. Die Verständlichkeit hat daher gegenüber dem Kriterium der sprachlichen Anforderung eine inhaltliche Komponente. Ob das Kriterium „in leicht zugänglicher Form“ eine inhaltliche Anforderung darstellt oder eine Modalität regelt ist aufgrund der Satzstellung etwas unklar. Dementsprechend lässt sich aus dem Kriterium ableiten, dass die Mitteilung oder Information nicht versteckt erfolgen darf und damit eine Modalität z.B. bezüglich der grafischen Ausgestaltung regelt. Das gilt insbesondere für Informationen, die sich speziell an Kinder richten. 3 Für Informationen nach den Art. 13 und 14 bestimmt Art. 12 Abs. 1 Satz 2,

dass diese schriftlich oder in anderer Form, ggf. auch elektronisch erfolgen (können). Damit wird für die zu erteilenden Informationen die grundsätzliche Formfreiheit gestattet. Sogar die elektronische Form ist denkbar. Nach Erwägungsgrund 58 beinhaltet dies sogar die Möglichkeit, die Informationen auf einer Website bereitzustellen. Allerdings soll das nach Erwägungsgrund 58 nur dann gelten, wenn die Information für die Öffentlichkeit bestimmt ist. Das ist insoweit irreführend, weil die nach den Art. 13 und 14 zu erteilende Information der betroffenen Person gegenüber zu erteilen ist und nicht gegenüber der Öffentlichkeit. Der Hinweis in den Erwägungsgründen kann daher nur so verstanden werden, dass die Information (an die betroffene Person) auch über eine Website erfolgen kann, wenn die zu erteilenden Informationen allgemeinen Charakter haben, die im Grunde jeder betroffenen Person gegenüber gleichartig ist.

4 Anders als in Erwägungsgrund 58 Satz 1 ist die betroffene Person in Erwägungs-

grund 58 Satz 2 nicht genannt. Das macht insoweit Sinn, als dass selbstredend ausschließlich für die betroffene Person bestimmte Informationen nicht ins Internet eingestellt werden können. Umgekehrt schließt das aber nicht aus, dass an die betroffene Person zu richtende Informationen dann über eine Internetdarstellung erteilt werden können, wenn die Informationen allgemeiner Natur sind und keine personenbezogenen Daten der betroffenen Person enthalten. Das gilt insbesondere für solche Informationen, die den Verantwortlichen als solchen beschreiben, wie die Zwecke der Verarbeitung, deren Verarbeitungskriterien etc. Insbesondere scheint eine Information über solche Bestandteile öffent1046

|

Kamlah

Transparente Information, Kommunikation und Modalitäten | Art. 12 DSGVO

lich denkbar, über die nach Art. 13 Abs. 2 und 14 Abs. 2 ggf. „zusätzlich“ zu informieren ist. Als Beispiel für eine an die Öffentlichkeit zu richtende Information nennt der 5 Erwägungsgrund 58 wegen der Vielzahl der Beteiligten die Werbung im Internet. Aber auch dieses Beispiel stellt letztlich darauf ab, dass es um Informationen geht, die der betroffenen Person gegenüber zu erteilen sind und sich lediglich aus dem Verarbeitungskontext ergibt, dass die Information dann (auch) über das Internet erfolgen kann. Solche Verarbeitungskontexte sind aber nicht nur bei der Werbung (im Internet) denkbar, sondern bei jeder gleichartigen – eine Vielzahl von Personen betreffenden – Datenverarbeitung, wie dies im Grunde bei jedem geschäftsmäßigen Datenverarbeiter stattfindet. Bei an Kinder gerichteten Informationen fordern Art. 12 Abs. 1 und der Erwä- 6 gungsgrund 58 gleichermaßen eine kindgerechte Sprache (Zur Frage der Voraussetzungen von durch Kinder erteilten Einwilligungen und wann jemand im Sinne der DSGVO ein „Kind“ ist, s. Art. 8). Für Mitteilungen nach den Art. 15–22 und Art. 34 ist die Formfreiheit in 7 Art. 12 Abs. 1 Satz 2 nicht ausdrücklich geregelt. Es ist jedoch kein Grund dafür ersichtlich, warum jene Mitteilungen einer bestimmten Form unterliegen sollen. Das gilt umso mehr, als dass nach Art. 15 Abs. 3 auch eine elektronische Auskunftserteilung denkbar ist. Dementsprechend kann auch im Rahmen der Mitteilungen formlos mit der betroffenen Person kommuniziert werden. Allerdings ist wegen der im Rahmen der Mitteilung allein die betroffene Person betreffenden Daten im Rahmen der Kommunikation nach den allgemeinen Grundsätzen die Vertraulichkeit und Integrität dieser Kommunikation sicherzustellen. Insgesamt ist aber festzuhalten, dass mit der in der Verordnung eindeutig zu 8 entnehmenden Tendenz, die elektronische Kommunikation zu fördern, im Umkehrschluss die Verarbeitung der elektronischen Kommunikationsdaten der betroffenen Person erforderlich und damit zulässig ist. Die mündliche Informationserteilung kann seitens des Verantwortlichen von ei- 9 ner Identitätsprüfung abhängig gemacht werden. Allerdings dürfte das Recht und die im Grunde sogar bestehende Pflicht zur Identitätsprüfung nicht auf die mündliche Informationserteilung beschränkt, sondern auf alle Fälle zu erstrecken sein. Das gilt insbesondere dann, wenn über personenbezogene Daten zu informieren ist. Insoweit kann auf die Komm. zu § 34 BDSG Rz. 13 verwiesen werden, der unter der Geltung des BDSG das Auskunftsrecht des Betroffenen regelte. Dieses Ergebnis wird im Grunde durch Art. 12 Abs. 2 Satz 2 und Abs. 6 bestätigt, wonach die Rechte der Art. 15–21 bzw. 22 nicht zu gewähren sind, wenn die betroffene Person nicht identifiziert werden kann.

Kamlah

|

1047

Art. 12 DSGVO | Rechte der betroffenen Person III. Die Vorschriften im Einzelnen 10 Art. 12 Abs. 1 definiert die Grundsätze für die nach den Art. 13 und 14 zu ertei-

lenden Informationen und den Mitteilungen, die nach den Art. 15–22 und 34 zu leisten sind. Art. 12 definiert damit nicht die Art und Weise der Rechteausübung der Art. 15–22 und 34, sondern nur die in diesem Zusammenhang von dem Verantwortlichen zu leistenden Informationen und Mitteilungen. Das ist konsequent, da für die Art und Weise der Ausübung der Rechte die betroffene Person selbst verantwortlich ist.

11 Nach Art. 12 Abs. 2 Satz 1 „erleichtert“ der Verantwortliche der betroffenen

Person die Ausübung ihrer Rechte gemäß den Art. 15–22. Da für die Art und Weise der Ausübung ihrer Rechte die betroffene Person selbst verantwortlich ist, wird man diese Vorschrift so zu verstehen haben, dass die betroffene Person bei der Ausübung ihrer Rechte nicht behindert werden darf. Das schließt eine Rechtsverteidigung durch den Verantwortlichen natürlich nicht aus. Die Informationsrechte des Betroffenen stellen keinen Selbstzweck dar. Sie dienen der Vorbereitung der Durchsetzung etwaiger datenschutzrechtlicher Ansprüche. Im Umkehrschluss bedeutet das aber auch, dass eine Informations- oder Mitteilungspflicht dann nicht besteht, wenn der entsprechende datenschutzrechtliche Anspruch gerade ausgeschossen ist. So ist aus Art. 17 Abs. 3 Buchst. e, Art. 18 Abs. 2 und Art. 21 Abs. 1 a.E. abzuleiten, dass in den dort genannten Fällen die Informations- und Mitteilungsrechte dementsprechend eingeschränkt sind und die Verfahrensrechte nicht der Ausforschung dienen. Etwas Gegenteiliges kann auch nicht daraus geschlossen werden, dass Art. 12 Abs. 2 Satz 2 einen Sonderfall bestimmt, nach welchem die Gewährung der vorgenannten Rechte verweigert werden kann. Daraus kann nicht der Umkehrschluss gezogen werden, dass die Rechte im Übrigen stets zu gewähren sind. Vielmehr verbleibt dem Verantwortlichen ein Recht zur Prüfung, ob die Rechte in begründeter Weise geltend gemacht worden sind. Da aber die betroffene Person ohnehin nach den Art. 13 und 14 über seine Rechte zu informieren ist, bleibt der eigentliche Regelungsgehalt der Vorschrift gering. Aus ihm lässt sich im Grunde nur ein allgemeines Behinderungsverbot ableiten.

12 Der Erwägungsgrund 59 stellt klar, dass die Rechte der betroffenen Person nach

Art. 15, 16, 17 und 21 grundsätzlich unentgeltlich zu gewähren sind und weist noch darauf hin, dass der Verantwortliche dafür sorgen soll, dass Anträge elektronisch gestellt werden können, insbesondere wenn die personenbezogenen Daten elektronisch verarbeitet werden. Anträge sollen mithin auch per E-Mail gestellt werden können.

13 Art. 12 Abs. 3 definiert „Bearbeitungsfristen“. Danach ist die betroffene Person

über – aufgrund der Geltendmachung von Rechten nach Art. 15–22 – getroffene Maßnahmen unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags zu informieren. Die Formulierung „unverzüglich“ legt einen

1048

|

Kamlah

Transparente Information, Kommunikation und Modalitäten | Art. 12 DSGVO

Vergleich mit § 121 BGB nahe. Die Monatsfrist, wie aber auch die Verlängerungsfrist haben zur Folge, dass der Eingang des Antrags von dem Verantwortlichen dokumentiert werden sollte. Die nunmehr gesetzlich niedergelegten Bearbeitungsfristen werfen die Frage auf, 14 welche Folgen an deren Verstreichenlassen geknüpft sind. Das gilt insbesondere für den Fall, in dem auch die Verlängerungsfrist, die zwei Monate betragen darf, aus welchen Gründen auch immer auch nicht gehalten werden kann. Es dürften jedoch Verzugsfolgen nicht eingetreten sein, sofern die zulässige Verlängerung i.S.v. Art. 12 Abs. 3 hinreichend begründet wurde. Mit Blick auf etwaige Sanktionen dürfte es dann am Verschulden fehlen. Bei der Verlängerungsfrist kommt hinzu, dass die Verlängerungsberechtigung 15 „unter Berücksichtigung der Komplexität und der Anzahl von Anträgen“ möglich ist. Stellt man aber auf die Rechte der Art. 15–22 ab, so dürften es weniger die Anträge (auf Berichtigung, Löschung, Sperrung) selbst sein, denen eine „Komplexität“ innewohnt, als vielmehr der ggf. erst noch zu recherchierende zugrunde liegende Sachverhalt und eine ggf. daran anknüpfende rechtliche Würdigung. Ebenso stellt sich bei dem Kriterium der Anzahl von Anträgen die Frage, ob es nur auf die von der betroffenen Person gestellten Anträge ankommt oder ob der Verantwortliche bei der Ermittlung der Anzahl der Anträge und die daran anknüpfende Fristverlängerung auf seinen derzeitigen Geschäftsanfall – also auch auf die Anträge anderer betroffener Personen – abstellen darf. Letzteres dürfte aber der Fall sein, da es in diesen Fällen dem Verantwortlichen eben nicht möglich ist, der einzelnen betroffenen Person fristgerecht zu antworten. Macht der Verantwortliche von einer Fristverlängerung Gebrauch, so ist die be- 16 troffene Person hierüber innerhalb eines Monats unter Nennung der Gründe für die Verzögerung zu unterrichten. Da aber die Verlängerungsoption nur bei bestehender Komplexität und entsprechender Anzahl der Anträge besteht, können sich nur aus diesen beiden Alternativen die entsprechenden Gründe ergeben. Unbeantwortet bleibt damit die Frage, was passiert, wenn die betroffene Person die angegebenen Gründe nicht teilt und hierüber quasi ein „Zwischenstreit“ entsteht. Insgesamt schafft die vermutlich gut gemeinte Vorschrift damit sehr viel Rechtsunsicherheit. Schließlich soll die betroffene Person (über die Fristverlängerung) „nach Mög- 17 lichkeit“ elektronisch informiert werden, sofern sie nichts anderes angibt. Schon angesichts der Offenheit der Vorschrift erschließt sich der Sinn der Vorschrift schwer, zumal die betroffene Person durch die elektronische Übermittlung keinen spürbaren Vorteil erfährt. Stark öffentlich-rechtlich geprägt ist Art. 12 Abs. 4. Danach ist die betroffene 18 Person darüber zu informieren, wenn der Verantwortliche dem Antrag der betroffenen Person nicht entsprechen will. Gleichzeitig sind die Gründe hierfür anzugeben, verbunden mit dem Hinweis, dass die Möglichkeit besteht, bei einer Aufsichtsbehörde Beschwerde einzulegen oder den Rechtsweg zu beschreiten. Kamlah

|

1049

Art. 12 DSGVO | Rechte der betroffenen Person Solche Rechtsbelehrungen sind im nicht-öffentlichen Bereich im Grunde systemwidrig. Der (erneute) Hinweis auf das Beschwerderecht bei der Aufsichtsbehörde beinhaltet auch unnötige Bürokratie, da darauf bereits nach den Art. 13, 14 und 15 hinzuweisen ist. An die anzugebenden Gründe sind keine allzu hohen Anforderungen zu stellen. Zumindest im nicht-öffentlichen Bereich sollte diese Vorschrift nicht dazu führen, dass sich der Verantwortliche quasi selbst belasten oder ein etwaiges Verteidigungsvorbringen vorzeitig offenbaren muss. 19 Art. 12 Abs. 5 regelt die Unentgeltlichkeit der zu erteilenden Informationen

und Mitteilungen. Ausweislich der Formulierung der Vorschrift sind aber nur die Informationen und Mitteilungen selbst unentgeltlich. Damit ist umgekehrt klargestellt, dass die Aufwendungen, die die betroffene Person zur Geltendmachung ihrer Rechte braucht von ihr zu tragen sind.

20 Allerdings kann der Verantwortliche bei offenkundig unbegründeten oder – ins-

besondere im Fall von häufigen Wiederholungen – exzessiven Anträgen einer betroffenen Person ein angemessenes Entgelt verlangen. Der praktische Anwendungsbereich der Vorschrift bleibt allerdings unklar. Dies ergibt sich schon daraus, dass die Informationspflichten gemäß Art. 13 und 14 ohne Antrag zu erfüllen sind. Ebenso dürften Erstanträge auf Auskunft nach Art. 15 in den seltensten Fällen „offensichtlich unbegründet“ sein. Dies gilt umso mehr, da insbesondere das Auskunftsrecht von keinen weiteren Voraussetzungen abhängig ist. Auch Ansprüche aus den Art. 16–22 sind in den seltensten Fällen offensichtlich unbegründet, wenn nicht über Einzelfragen schon eine Überprüfung stattgefunden hat. Daher dürften eher wiederholte – gleichlautende – Anträge dazu führen, dass ein angemessenes Entgelt verlangt werden kann. Geschwächt wird diese Regelung für den Verantwortlichen allerdings dadurch, dass er den Nachweis dafür erbringen muss, wenn er sich auf die Unzumutbarkeitsregel beziehen will. Um die Vorschrift durch eine übermäßige Nachweispflicht nicht in ihr Gegenteil zu verkehren oder zu entwerten, wird man an die Erbringung des Nachweises keine allzu hohen Anforderungen stellen dürfen. So sollte es ausreichen, wenn schlicht die Anzahl der – wiederholten – Ersuchen dokumentiert wird.

21 Offen bleibt allerdings, wofür das Entgelt genau verlangt werden kann. Der

grundsätzliche Anknüpfungspunkt der gesamten Vorschrift an die Rechte der betroffenen Person könnte insinuieren, dass eben nur für die danach zu leistenden Mitteilungen und Informationen ein Entgelt verlangt werden kann und nicht auch für etwa dazugehörende vorbereitende Arbeiten. Dem widerspricht aber der Wortlaut wonach die „Verwaltungskosten“ auch für die Durchführung der beantragten Maßnahme berücksichtigt werden können. Das wäre auch folgerichtig, um hinreichenden Schutz für den Verantwortlichen vor missbräuchlichen Ersuchen zu gewähren, zumal die reinen „Mitteilungskosten“ vermutlich den weitaus geringeren Teil ausmachen.

22 Welche Kosten schlussendlich allerdings als Verwaltungskosten gelten können,

bleibt unklar. Jedenfalls war die Begrifflichkeit des BDSG in § 34 Abs. 8, der un1050

|

Kamlah

Erhebung bei der betroffenen Person | Art. 13 DSGVO

ter Geltung des BDSG die Kostenfolge regelte insoweit enger („direkt zurechenbaren Kosten“). Die in § 34 Abs. 9 enthaltene Hinweispflicht ist ebenfalls entfallen, so dass auch ohne vorherige „Warnung“ nach erteilter Auskunft ein Entgelt verlangt werden kann. Art. 12 Abs. 6 greift noch einmal die Problematik der Identitätsprüfung auf. 23 Während Art. 12 Abs. 2 quasi sagt, dass den danach geltend gemachten Rechten nachzukommen ist, wenn die betroffene Person (gleichwohl) identifiziert werden kann, bestimmt Art. 12 Abs. 6 umgekehrt, dass unbeschadet des Art. 11 zusätzliche Informationen angefordert werden können, die zur Bestätigung der Identität der betroffenen Person erforderlich sind. Das wirft die alte Frage auf, welche Informationen zur Bestimmung der Iden- 24 tität der betroffenen Person erforderlich sind. Hierzu wird auf die Komm. zu § 34 BDSG Rz. 13 ff. verwiesen werden können. Man wird aber dem Verantwortlichen bei der Beurteilung seiner (begründeten) Zweifel einen gewissen Ermessenspielraum zubilligen müssen, da er es schließlich ist, der einer drohenden Übermittlung an die falsche betroffene Person begegnen muss (s. Sanktionen). Die zusätzliche Anforderung weiterer Informationen stellt dann keine unzulässige Datenerhebung dar. Die betroffene Person hat insoweit eine gewisse Mitwirkungspflicht. Jedenfalls wird die mangelnde Identifizierbarkeit einen Hauptgrund darstellen, warum der Geltendmachung von Rechten nicht nachgekommen werden kann (s. Rz. 9). Art. 12 Abs. 7 ermöglicht bei der Erteilung der Informationen nach den Art. 13 25 und 14 die Verwendung von standardisierten Bildsymbolen. Wie diese ausgestaltet werden können soll die Kommission festlegen dürfen, Art. 12 Abs. 8. Sinnvollerweise sollten Experten hinzugezogen werden.

Abschnitt 2 Informationspflicht und Recht auf Auskunft zu personenbezogenen Daten

Artikel 13 Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person (1) Werden personenbezogene Daten bei der betroffenen Person erhoben, so teilt der Verantwortliche der betroffenen Person zum Zeitpunkt der Erhebung dieser Daten Folgendes mit: a) den Namen und die Kontaktdaten des Verantwortlichen sowie gegebenenfalls seines Vertreters; Kamlah

|

1051

Erhebung bei der betroffenen Person | Art. 13 DSGVO

ter Geltung des BDSG die Kostenfolge regelte insoweit enger („direkt zurechenbaren Kosten“). Die in § 34 Abs. 9 enthaltene Hinweispflicht ist ebenfalls entfallen, so dass auch ohne vorherige „Warnung“ nach erteilter Auskunft ein Entgelt verlangt werden kann. Art. 12 Abs. 6 greift noch einmal die Problematik der Identitätsprüfung auf. 23 Während Art. 12 Abs. 2 quasi sagt, dass den danach geltend gemachten Rechten nachzukommen ist, wenn die betroffene Person (gleichwohl) identifiziert werden kann, bestimmt Art. 12 Abs. 6 umgekehrt, dass unbeschadet des Art. 11 zusätzliche Informationen angefordert werden können, die zur Bestätigung der Identität der betroffenen Person erforderlich sind. Das wirft die alte Frage auf, welche Informationen zur Bestimmung der Iden- 24 tität der betroffenen Person erforderlich sind. Hierzu wird auf die Komm. zu § 34 BDSG Rz. 13 ff. verwiesen werden können. Man wird aber dem Verantwortlichen bei der Beurteilung seiner (begründeten) Zweifel einen gewissen Ermessenspielraum zubilligen müssen, da er es schließlich ist, der einer drohenden Übermittlung an die falsche betroffene Person begegnen muss (s. Sanktionen). Die zusätzliche Anforderung weiterer Informationen stellt dann keine unzulässige Datenerhebung dar. Die betroffene Person hat insoweit eine gewisse Mitwirkungspflicht. Jedenfalls wird die mangelnde Identifizierbarkeit einen Hauptgrund darstellen, warum der Geltendmachung von Rechten nicht nachgekommen werden kann (s. Rz. 9). Art. 12 Abs. 7 ermöglicht bei der Erteilung der Informationen nach den Art. 13 25 und 14 die Verwendung von standardisierten Bildsymbolen. Wie diese ausgestaltet werden können soll die Kommission festlegen dürfen, Art. 12 Abs. 8. Sinnvollerweise sollten Experten hinzugezogen werden.

Abschnitt 2 Informationspflicht und Recht auf Auskunft zu personenbezogenen Daten

Artikel 13 Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person (1) Werden personenbezogene Daten bei der betroffenen Person erhoben, so teilt der Verantwortliche der betroffenen Person zum Zeitpunkt der Erhebung dieser Daten Folgendes mit: a) den Namen und die Kontaktdaten des Verantwortlichen sowie gegebenenfalls seines Vertreters; Kamlah

|

1051

Art. 13 DSGVO | Rechte der betroffenen Person b) gegebenenfalls die Kontaktdaten des Datenschutzbeauftragten; c) die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung; d) wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe f beruht, die berechtigten Interessen, die von dem Verantwortlichen oder einem Dritten verfolgt werden; e) gegebenenfalls die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten und f) gegebenenfalls die Absicht des Verantwortlichen, die personenbezogenen Daten an ein Drittland oder eine internationale Organisation zu übermitteln, sowie das Vorhandensein oder das Fehlen eines Angemessenheitsbeschlusses der Kommission oder im Falle von Übermittlungen gemäß Artikel 46 oder Artikel 47 oder Artikel 49 Absatz 1 Unterabsatz 2 einen Verweis auf die geeigneten oder angemessenen Garantien und die Möglichkeit, wie eine Kopie von ihnen zu erhalten ist, oder wo sie verfügbar sind. (2) Zusätzlich zu den Informationen gemäß Absatz 1 stellt der Verantwortliche der betroffenen Person zum Zeitpunkt der Erhebung dieser Daten folgende weitere Informationen zur Verfügung, die notwendig sind, um eine faire und transparente Verarbeitung zu gewährleisten: a) die Dauer, für die die personenbezogenen Daten gespeichert werden oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer; b) das Bestehen eines Rechts auf Auskunft seitens des Verantwortlichen über die betreffenden personenbezogenen Daten sowie auf Berichtigung oder Löschung oder auf Einschränkung der Verarbeitung oder eines Widerspruchsrechts gegen die Verarbeitung sowie des Rechts auf Datenübertragbarkeit; c) wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe a oder Artikel 9 Absatz 2 Buchstabe a beruht, das Bestehen eines Rechts, die Einwilligung jederzeit zu widerrufen, ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird; d) das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde; e) ob die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist, ob die betroffene Person verpflichtet ist, die personenbezogenen Daten bereitzustellen, und welche mögliche Folgen die Nichtbereitstellung hätte und f) das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Artikel 22 Absätze 1 und 4 und – zumindest in diesen Fällen – aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person. 1052

|

Kamlah

Erhebung bei der betroffenen Person | Art. 13 DSGVO

(3) Beabsichtigt der Verantwortliche, die personenbezogenen Daten für einen anderen Zweck weiterzuverarbeiten als den, für den die personenbezogenen Daten erhoben wurden, so stellt er der betroffenen Person vor dieser Weiterverarbeitung Informationen über diesen anderen Zweck und alle anderen maßgeblichen Informationen gemäß Absatz 2 zur Verfügung. (4) Die Absätze 1, 2 und 3 finden keine Anwendung, wenn und soweit die betroffene Person bereits über die Informationen verfügt. I. Einführung . . . . . . . . . . . . . . 1 II. Zwingende Informationsbestandteile (Abs. 1) . . . . . . . . 7 III. Zusätzliche Informationsbestandteile (Abs. 2) . . . . . . . . 16 IV. Informationspflichten bei nachträglicher Zweckänderung (Abs. 3) . . . . . . . . . . . . . . . . . 30

V. Ausnahmen von der Informationspflicht (Abs. 4) . . . . . . . . 31 VI. Keine Informationspflicht über Kategorien von Daten . . . 32 VII. Einschränkungen der Informationspflicht . . . . . . . . . . . . . . 33

Schrifttum: Siehe Art. 12 DSGVO.

I. Einführung Die Art. 13 und 14 beinhalten Informationspflichten des Verantwortlichen. Da- 1 bei unterscheidet die DSGVO danach, ob die Daten bei der betroffenen Person (Art. 13) oder ob sie nicht bei der betroffenen Person erhoben werden (Art. 14). Die Art. 13 und 14 enthalten den Rechtsgedanken der bislang in § 33 BDSG nie- 2 dergelegten Benachrichtigungspflicht. Die Unterscheidung der Art. 13 und 14 erinnert etwas an die in § 33 Abs. 1 BDSG zwischen dessen Satz 1 und 2 angelegte Differenzierung. Diese Differenzierung enthielt aber auch schon die EGDatenschutzrichtlinie in deren Art. 10 und 11. Von der Informationspflicht zu unterscheiden ist das Recht der betroffenen Per- 3 son auf Auskunft (Art. 15). Während die Informationspflichten proaktiv zu erfüllen sind, besteht die Pflicht des Verantwortlichen, Auskunft zu erteilen, nur auf Antrag. Auch insoweit wird das Konzept der EG-Datenschutzrichtlinie fortgesetzt (s. dort Art. 12). Das Konzept des BDSG sah ein Stufenverhältnis zwischen der Benachrichtigung 4 und der Auskunft vor. Während die Benachrichtigung zwar ohne Antrag zu erfüllen war, aber nur eine vergleichsweise geringe Initialinformation darstellte, konnte die interessierte betroffene Person dann auf Antrag weitere Informationen verlangen. So wurde sichergestellt, dass nicht unnötig viele Informationen an im Grunde Desinteressierte erteilt werden mussten. Hinsichtlich der Einzelheiten kann auf die Komm. zu § 33 BDSG Rz. 2 verwiesen werden. Kamlah

|

1053

Art. 13 DSGVO | Rechte der betroffenen Person 5 Die DSGVO hebt dieses Stufenverhältnis in teilweise unnötiger Weise auf und

verlangt von demVerantwortlichen die proaktive Erteilung von Informationen, die dann im Rahmen einer Auskunft auch noch einmal wiederholt werden müssen. Umgekehrt trägt sie dem Stufenverhältnis (noch) dadurch Rechnung, dass Grundinformationen stets (Art. 13 Abs. 1 und Art. 14 Abs. 1) und „zusätzliche“ Informationen nur unter bestimmten Voraussetzungen erteilt werden müssen (Art. 13 Abs. 2, Art. 14 Abs. 2). Darüber hinaus stellt sich die Frage, ob nicht Informationen auf der Website des Verantwortlichen erteilt werden können (s. Komm. zu Art. 12 DSGVO Rz. 4 f.). Das liegt auch deshalb nahe, weil nach den Art. 13 und 14 keine personenbezogenen Daten, sondern nur allgemeine Informationen zu erteilen sind.

6 Es bleibt abzuwarten, ob sich noch andere oder zusätzliche Informationspflich-

ten aus anderen Gesetzen ergeben (können). Art. 95 bestimmt insoweit das Verhältnis zur Richtlinie 2002/58, die durch das TKG umgesetzt wurde. Das Schicksal des TMG erscheint demgegenüber derzeit fraglich1.

II. Zwingende Informationsbestandteile (Abs. 1) 7 Art. 13 Abs. 1 enthält die in jedem Fall seitens des Verantwortlichen (s. Art. 4

Nr. 7) mitzuteilenden Informationsbestandteile. Dies ergibt sich aus der Formulierung „… teilt … mit: …“ Ein Ermessens- oder Abwägungsspielraum besteht insoweit nicht.

8 Die Information hat zum Zeitpunkt der Erhebung zu erfolgen. Da diese For-

mulierung nicht fordert, dass die Information „vor“ der Erhebung zu erfolgen hat, ist es denkbar, dass die Information auch in AGB oder sonstigen (vertraglichen) Formularen erfolgen kann, soweit sichergestellt ist, dass diese Formulare zur Kenntnis genommen werden können, sobald personenbezogene Daten erhoben werden. Dadurch dass die Informationspflicht erst zum Zeitpunkt der Erhebung ausgelöst wird, ist klargestellt, dass nach Wirksamwerden der DSGVO eine Nachinformation des Altbestandes nicht erforderlich ist2.

9 Zu den zwingenden Informationsbestandteilen gehören der Name und die

Kontaktdaten des Verantwortlichen sowie ggf. die seines Vertreters (Buchst. a). Der Begriff des Vertreters meint damit nicht den gesetzlichen Vertreter, sondern den in Art. 4 Nr. 17 definierten Vertreter. Der Begriff der Kontaktdaten soll sicherstellen, dass der Verantwortliche erreicht werden kann. Demnach genügt neben der exakten Firmierung die Angabe der postalischen Anschrift.

10 Wenn ein Datenschutzbeauftragter bestellt ist (s. hierzu Art. 37 ff. DSGVO),

sind auch dessen Kontaktdaten anzugeben (Buchst. b). Gleichwohl bleibt frag1 Vgl. auch Gierschmann, ZD 2016, 51 (54). 2 Härting, Datenschutz-Grundverordnung, Rz. 71.

1054

|

Kamlah

Erhebung bei der betroffenen Person | Art. 13 DSGVO

lich, welche Kontaktdaten anzugeben sind. Die Kontaktdaten des Verantwortlichen selbst sind ja bereits angegeben. Etwaige Briefe können dann „zu Händen des betrieblichen Datenschutzbeauftragten“ adressiert werden. Die Bekanntgabe des Namens des betrieblichen Datenschutzbeauftragten ist jedenfalls nicht erforderlich. Sofern eine E-Mail-Adresse angegeben wird, dürfte es ausreichen, wenn diese mit „Datenschutz“ oder „Datenschutzbeauftragter“ angegeben ist. Nach Buchst. c sind die Zwecke, für die die personenbezogenen Daten verarbei- 11 tet werden, sowie die Rechtsgrundlage für die Verarbeitung anzugeben. Hinsichtlich der Beschreibung der Zwecke kann auf die in Art. 5 Abs. 1 Buchst. b und c aufgeführten Grundsätze verwiesen werden. Im Rahmen einer nach Art. 13 Abs. 1 zu erteilenden Information dürften aber Schlagworte ausreichend sein („zum Zwecke der Werbung“, „zum Zwecke der Bonitätsprüfung“, „zum Zwecke der Risiko- und oder Betrugsprävention“). Insbesondere im Privatrechtsverkehr problematisch erscheint die Angabe der Rechtsgrundlage, auf die die (weitere) Verarbeitung gestützt werden soll. Da die DSGVO nur noch den Verarbeitungsbegriff kennt, Art. 4 Nr. 2, dürfte es ausreichend sein, wenn eine – oder ggf. mehrere – in Art. 6 Abs. 1 genannten Rechtsgrundlagen aufgeführt werden. Nach Buchst. d sind, wenn die Verarbeitung auf Art. 6 Abs. 1 Buchst. f beruht, 12 die berechtigten Interessen, die von dem Verantwortlichen oder einem Dritten verfolgt werden, bekanntzugeben. Solche berechtigten Interessen können bspw. die Bonitätsprüfung, die Betrugsbekämpfung, die Geldwäscheprävention, das (Versicherungs-)Ausfallrisiko, Überschuldungsprävention oder aber das Werbeinteresse sowie auch die Markt- und Meinungsforschung sein. Im Falle der Datenverarbeitung auf Basis des Art. 6 Abs. 1 Buchst. f dürfte sich die Beschreibung der berechtigten Interessen sehr stark an die nach Art. 13 Abs. 1 Buchst. c zu leistende Beschreibung der Zwecke orientieren. Das ist aber insoweit folgerichtig, als dass der (zulässige) Verarbeitungszweck gerade die berechtigten Interessen der Beteiligten beschreibt und sich umgekehrt aus den berechtigten Interessen der zulässige Verarbeitungszweck ergibt. Wie schon unter dem BDSG, genügen bei der Angabe von Kategorien von Emp- 13 fängern (Buchst. e) übliche Branchenbezeichnungen (s. Komm. zu § 33 BDSG Rz. 17). Im Falle des sog. Drittlandverkehrs (Buchst. f) besteht eine Informationspflicht 14 nur, wenn hierfür die „Absicht“ besteht. Dementsprechend besteht die Informationspflicht erst dann, wenn der Drittlandverkehr unmittelbar bevorsteht oder unternehmerisch geplant ist. Erfolgt sie nicht oder soll sie auch nicht erfolgen, besteht eine Informationspflicht auch in Form einer Negativbestätigung nicht. Wie bei Buchst. c soll auch beim Drittlandverkehr die Rechtsgrundlage angege- 15 ben werden. Daher soll auch über das (Nicht-)Bestehen eines Angemessenheitsbeschlusses oder die einschlägigen Rechtsgrundlagen der Art. 42 ff. informiert werden. Da in diesen Fällen ein Blick in die DSGVO ggf. nicht ausreicht, um die entsprechende Rechtsgrundlage nachzusehen, ist hier der Verantwortliche verKamlah

|

1055

Art. 13 DSGVO | Rechte der betroffenen Person pflichtet, auch über etwa vorhandene Binding Corporate Rules (BCR) und die Tatsache, wo diese ggf. verfügbar sind, zu informieren. Über diese Informationsverpflichtung gegenüber der betroffenen Person sind bspw. BCR quasi öffentlich (verfügbar).

III. Zusätzliche Informationsbestandteile (Abs. 2) 16 Nach Art. 13 Abs. 2 hat der Verantwortliche zusätzliche Informationen zu ge-

ben. Dies soll allerdings nur dann gelten, wenn diese notwendig sind, um eine faire und transparente Verarbeitung zu gewährleisten. Mit Blick auf die in Abs. 2 sodann aufgeführten weiteren Informationspflichten stellt sich aber die Frage, inwieweit diese helfen, eine faire und transparente Verarbeitung zu gewährleisten. Das gilt insbesondere für die Rechtsbelehrungspflichten wie die in Abs. 2 Buchst. b, c oder d genannten. Diese Rechte bestehen nach der DSGVO ohnehin. Es leuchtet nicht ein, wann eine gesonderte Information hierüber notwendig sein kann, um eine faire und transparente Verarbeitung zu gewährleisten. Eher ließe sich diese Notwendigkeit allenfalls aus der Information über die Speicherdauer (s. dazu aber sogleich) oder etwa über das Vorliegen einer automatisierten Einzelentscheidung ableiten1.

17 Das führt zu der Frage, welche Bedeutung ein etwaiges Fehlen dieser Informa-

tionen hat und ob die Erteilung der Information ggf. zulässigkeitsbegründend ist. In Deutschland gab es bereits eine vergleichbare Diskussion im Zusammenhang mit der in § 4 Abs. 3 BDSG niedergelegten Unterrichtungspflicht bei der Direkterhebung (s. Komm. zu § 4 BDSG Rz. 46 ff.). Das ist jedoch zu verneinen. Die Zulässigkeitstatbestände sind so formuliert, dass sie keine Referenzierungen auf in diesem Zusammenhang zu leistende Informationspflichten enthalten. Auch aus Art. 6 ergibt sich nichts anderes. Die in Art. 13 Abs. 2 enthaltenen Rechtsbelehrungspflichten enthalten keinen Bezug zu Datenverarbeitungsvorgängen. Überdies ist das Fehlen von entsprechenden Informationen über Art. 79 gesondert sanktionierbar. Wären die Informationspflichten zulässigkeitsbegründend, wäre die gesonderte Sanktionierbarkeit überflüssig, da dann ein etwaiges Fehlen über die Unzulässigkeit der Datenverarbeitung selbst sanktioniert werden könnte. Die gesonderte Sanktionsmöglichkeit spricht also gegen die konstitutive Wirkung der Informationspflichten.

18 Nach Abs. 2 Buchst. a wäre die Dauer, für die die personenbezogenen Daten ge-

speichert werden oder, falls dies nicht möglich ist, die Kriterien für die Festlegung der Dauer anzugeben. Dabei fällt auf, dass die DSGVO an keiner Stelle – auch nicht in Art. 17 – exakte Angaben über die Dauer einer Speicherung enthält. Während § 35 Abs. 2 Satz 2 Nr. 4 BDSG für geschäftsmäßige Datenverarbeiter bspw. noch Regelprüffristen von drei bzw. vier Jahren enthielt, ist in

1 Den Versuch einer Begründung unternimmt Veil, ZD 2015, 347.

1056

|

Kamlah

Erhebung bei der betroffenen Person | Art. 13 DSGVO

Art. 17 im Grunde nur noch der Erforderlichkeitsgrundsatz enthalten. Damit kann in der entsprechenden Information auch nur auf diese „Erforderlichkeit“ hingewiesen werden. Das ist aber auch zulässig, da diese Erforderlichkeit gleichzeitig ein Kriterium für die Festlegung der Dauer ist, wenn die exakte Angabe der Dauer der Speicherung nicht möglich ist. Zu konstatieren ist allerdings, dass damit die Informationspflicht zur reinen Bürokratie verkommt. Nach Abs. 2 Buchst. b ist die betroffene Person auf seine Rechte nach den 19 Art. 15 ff. hinzuweisen. Solche Rechtsbelehrungspflichten sind dem Privatrechtsverkehr fremd. Inhaltlich dürfte es nicht erforderlich sein, die einzelnen Artikel im Wortlaut wiederzugeben. Vielmehr dürfte es ausreichend sein, wenn auf das Bestehen der entsprechenden Rechte – dem Wortlaut des Abs. 2 Buchst. b entsprechend – mittels Verweis auf die entsprechenden Artikel hingewiesen wird. Beim Hinweis auf das Widerspruchsrecht gelten innerhalb der Information nach Art. 13 keine gesonderten Formvorschriften (s. aber Art. 21 Abs. 4). Abs. 2 Buchst. c beschreibt eine Pflicht, über die Widerrufbarkeit einer Einwil- 20 ligung zu informieren. Hier gilt das zu Buchst. b Gesagte. Diese Informationspflicht geht aber über eine reine Rechtsbelehrungspflicht noch hinaus, in dem sie die Informationspflicht auch auf die eintretende Rechtsfolge erstreckt. Dass nämlich der Widerruf der Einwilligung nur ex nunc wirkt, war schon unter Geltung des BDSG allgemeine Meinung (s. Komm. zu § 4a BDSG Rz. 71) und wird auch in Art. 7 Abs. 3 formuliert. Warum aber diese Belehrung über die Rechtsfolge erfolgen muss und warum diese notwendig sein soll, um eine faire und transparente Verarbeitung zu gewährleisten, ist völlig unklar (s. hierzu schon Rz. 16). Es spricht damit vieles dafür, die Vorschrift so auszulegen, dass nur über die Widerrufbarkeit der Einwilligung zu informieren ist und der zweite Halbsatz der Vorschrift die Rechtsfolge aus Art. 7 Abs. 3 schlicht wiederholt. Nach Abs. 2 Buchst. d ist über das Bestehen eines Beschwerderechts bei einer 21 Aufsichtsbehörde zu informieren. Diese Vorschrift ist insoweit undeutlich, als dass sinnvollerweise die Aufsichtsbehörde angegeben werden sollte, an der der Verantwortliche ihren juristischen Sitz hat und nicht einfach „irgendeine“. Gänzlich missglückt ist die Informationspflicht nach Abs. 2 Buchst. e. So spricht 22 die Vorschrift zunächst von einer „Bereitstellung“ von Daten durch die betroffene Person. Im Ergebnis dürfte es um die Erhebung von Daten durch den Verantwortlichen gehen. Diese Erhebung kann aber gesetzlich oder vertraglich vorgeschrieben sein. Praktische Anwendungsfälle können die Erhebung von Identitätsdaten zur Betrugs- und Geldwäschebekämpfung sein. Buchst. e erweitert damit die Informationspflichten noch einmal über die Belehrung der betroffenen Person über ihre Rechte hinaus hin zur Belehrung der betroffenen Person über die gegenüber dem Verantwortlichen bestehenden Pflichten zur Datenerhebung. Bestehen aber solche Pflichten, dürfte die Weigerung der Bereitstellung dazu führen, dass der Verantwortliche bspw. einen beantragten Vertrag gar Kamlah

|

1057

Art. 13 DSGVO | Rechte der betroffenen Person nicht eingehen darf. Welchen Sinn aber diese Information hat, erschließt sich nicht, da weder die betroffene Person noch der Verantwortliche insoweit anders reagieren können. Ähnlich stellt sich die Situation dar, wenn die Erhebung der personenbezogenen Daten für den Vertragsschluss erforderlich ist. Dann ist diese Erhebung möglicherweise nicht verpflichtend, aber immerhin zulässig nach Art. 6 Abs. 1 Buchst. b. Auch hier kann der (von der betroffenen Person) gewünschte Vertrag im Zweifel nicht geschlossen werden, wenn die entsprechenden Daten nicht zur Verfügung gestellt werden. Eine Aufklärung hierüber ist eigentlich unnötig. 23 Im Vergleich zu den übrigen nach Abs. 2 bestehenden Informationspflichten

hebt sich die in Buchst. f formulierte Pflicht deutlich ab. Diese Informationspflicht knüpft an den Art. 22 und den darin speziell geregelten „Verarbeitungsvorgang“ an. Dass hierüber gesondert zu informieren ist, sah Art. 12 der EGDatenschutzrichtlinie allerdings erst im Rahmen einer Auskunft vor.

24 Der Anwendungsbereich der Vorschrift wird jedoch dadurch undeutlich, dass

Art. 22 von einer Entscheidung und nicht von einer Entscheidungsfindung spricht. Der Verweis auf Art. 22 bedeutet aber, dass dem Begriff der Entscheidungsfindung in Abs. 2 Buchst. f kein eigener Bedeutungsinhalt gegenüber dem Begriff der Entscheidung in Art. 22 selbst zukommt. Danach ist also in Anlehnung an den Wortlaut des Art. 22 über das Bestehen einer „auf einer automatisierten Verarbeitung beruhenden Entscheidung“ einschließlich eines Profilings zu informieren.

25 Die entsprechende Informationsverpflichtung besteht aber nur, wenn in der

Person des Verantwortlichen die Voraussetzungen des Art. 22 aber auch tatsächlich vorliegen – also eine automatisierte Einzelentscheidung gegeben ist.

26 Die Informationspflicht setzt also zunächst das Bestehen einer automatisierten

Entscheidungsfindung einschließlich des Profilings gemäß Art. 22 Abs. 1 und 4 voraus. Es ist auffällig, dass Art. 13 Abs. 2 Buchst. f nur auf die Abs. 1 und 4 in Art. 22 verweist. Das scheint dafür zu sprechen, dass nur dann eine entsprechende Informationspflicht besteht, wenn eine an sich unzulässige automatisierte Einzelentscheidung (nach Art. 22 Abs. 1) vorliegt. Automatisierte Einzelentscheidungen können jedoch nach Art. 22 Abs. 2–4 zulässig sein (Einzelheiten s. Komm. zu Art. 22 DSGVO). Die Informationspflicht für (zulässige) automatisiere Einzelentscheidungen besteht durch den Verweis in Art. 13 Abs. 2 Buchst. f jedoch nur in den Fällen des Art. 22 Abs. 4, also dann, wenn die Entscheidung auf besonderen Kategorien personenbezogener Daten nach Art. 9 Abs. 1 beruht.

27 Auch wenn durch die Formulierung des Art. 22 (s. Komm. zu Art. 22 DSGVO

Rz. 2 f.) das Profiling mit der automatisierten Entscheidung gleichgesetzt ist, bleibt der Anwendungsbereich der Informationspflicht unklar. So formuliert Abs. 2 Buchst. f in Parenthese, dass „zumindest in diesen Fällen“ aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person zu erteilen 1058

|

Kamlah

Erhebung bei der betroffenen Person | Art. 13 DSGVO

sind. Diese Einschränkung legt nahe, dass die Informationen über die involvierte Logik etc. nur in den Fällen des dem Art. 22 unterfallenden Profilings zu erteilen sind. Anderenfalls ergibt die Parenthese keinen Sinn. Dem könnte entgegengehalten werden, dass bereits Art. 12 EG-Datenschutzrichtlinie ein Auskunftsrecht über den logischen Aufbau automatisierter Entscheidungen kannte. Allerdings handelt es sich hier um die dem Auskunftsrecht vorgelagerte Informationspflicht. Man wird mithin aufgrund der Formulierung der Parenthese dem Verantwortlichen einen gewissen Beurteilungsspielraum einräumen müssen, in welcher Tiefe auch in Fällen der automatisierten Einzelentscheidung, denen kein Profiling zugrunde liegt über die involvierte Logik etc. initial zu informieren ist. Umgekehrt ist die Vorschrift aber so zu lesen, dass die Pflicht, über die invol- 28 vierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person zu informieren, beim Vorliegen eines dem Art. 22 unterliegenden Profilings auf jeden Fall besteht. Gleichwohl bleibt die Reichweite der Informationspflicht unklar. Der Begriff der „involvierten Logik“ ist nicht definiert. Auch die Erwägungsgründe enthalten hier keine Hinweise. Es liegt daher nahe, sich an der Auslegung von Art. 12 EG-Datenschutzrichtlinie bzw. des diesen seinerzeit in deutsches Recht umsetzenden § 6a (insbesondere dessen Abs. 3) zu orientieren (s. Komm. zu § 6a BDSG Rz. 29 ff.). Es gibt jedenfalls keine Anhaltspunkte dafür, dass bei insoweit nahezu identischem Wortlaut mit der EG-Datenschutzrichtlinie Erweiterungen vorgenommen werden sollten. Das kommt auch in Erwägungsgrund 63 zum Ausdruck, der mit Blick auf die zu schützenden Geschäftsgeheimnisse den Erwägungsgrund 41 der EG-Datenschutzrichtlinie) fast wörtlich übernimmt (für das Auskunftsrecht s.a. Art. 15 Abs. 4). Mit Blick auf die Grundsätze des Art. 12 Abs. 1 erstreckt sich damit die Informationspflicht nicht auf (mathematische) Algorithmen, sondern allgemeinverständliche und in einfacher Sprache verfasste Erläuterungen zur Berechnungsgrundlage und der Methodik. Die vom Bundesgerichtshof aufgestellten Grundsätze1 haben insoweit weiter Bestand2 (s.a. Komm. zu Art. 22 DSGVO Rz. 2 f.). Insbesondere ist nicht (mehr) über verarbeitete oder sog. tagesaktuelle Wahrscheinlichkeitswerte und deren Einzelheiten zu informieren. Die entsprechenden Vorschriften in den §§ 34 Abs. 2 und 4 BDSG sind in der DSGVO nicht mehr enthalten3. Das schließt jedoch die Entwicklung neuer Verhaltensregeln (durch etwa einen code of conduct) nach Art. 40 nicht aus. Ferner ist die betroffene Person über die Tragweite und die angestrebten Aus- 29 wirkungen einer derartigen Verarbeitung zu informieren. Der Begriff der Trag1 BGH v. 28.1.2014 – VI ZR 156/13, NJW 2014, 1235. 2 S. insoweit Ehmann/Helfrich, EG-Datenschutzrichtlinie, Art. 12 Rz. 48 ff. zur Vorläufervorschrift; a.A. allerdings ohne weitere Begründung Roßnagel/Nebel/Richter, ZD 2015, 455. 3 Das konstatiert auch der Verbraucherzentrale Bundesverband in seinem Papier „Öffnungsklauseln ausschöpfen, nationale Spielräume nutzen“, 2.5.2016, S. 4.

Kamlah

|

1059

Art. 13 DSGVO | Rechte der betroffenen Person weite ist wohl im Sinne von „Bedeutung“ zu verstehen. Insoweit kann auf die entsprechende Komm. zu § 34 BDSG Rz. 41 verwiesen werden. Etwas irreführend ist die Formulierung der Informationspflicht über angestrebte Auswirkungen, denn ein Profiling wird nicht durchgeführt, um ein bestimmtes (negatives) Ergebnis zu erzielen. Das Ergebnis selbst ist zunächst wertneutral. Insoweit wird durch den Einsatz eines Profilings keine Auswirkung „angestrebt“. Allerdings kann die Verwendung des Profilings Folgen haben und zwar im Rahmen von Entscheidungsprozessen, wie dass passende Services angeboten, bessere Empfehlungen ausgesprochen werden können oder schnellere und unbürokratische (Kredit-)Entscheidungen getroffen werden können, ohne dass weitere Sicherheiten eingeholt werden müssen.

IV. Informationspflichten bei nachträglicher Zweckänderung (Abs. 3) 30 Abs. 3 sieht eine (neue) Informationspflicht vor, wenn der Verantwortliche be-

absichtigt, die Daten für einen anderen Zweck weiter zu verarbeiten, als den für den die Daten erhoben wurden. Die Vorschrift knüpft an Art. 6 Abs. 4 an. Die dort an sich zulässige Zweckänderung wird durch Art. 13 Abs. 3 quasi dadurch „sanktioniert“, dass über die beabsichtigte Weiterverarbeitung vorher zu informieren ist. Das dürfte die Praxis vor erhebliche Probleme stellen. Allerdings beschränkt sich die Informationspflicht neben der eigentlichen Zweckänderung auf die Erteilung der zusätzlichen Informationen nach Abs. 2 und beinhaltet nicht die zwingenden Informationsbestandteile des Abs. 1. Es ist eigentlich kein Fall denkbar, warum vor allem die in Abs. 2 enthaltenen Rechtsbelehrungspflichten „maßgeblich“ für Zweckänderung sein sollten. Um die grundsätzliche Zulässigkeit der nachträglichen Zweckänderung nicht völlig zu konterkarieren, wird man hinsichtlich der Art und Weise der nachträglichen Information auch hier zu dem Ergebnis kommen, dass diese Information – wie schon die initiale Information nach Abs. 2 – über eine Website möglich ist. Im Übrigen werden die Verantwortlichen gehalten sein, die von ihnen beabsichtigen Zwecke von vornherein genau festzulegen, Art. 5 Abs. 1 Buchst. b und darüber auch sogleich zu informieren, Art. 13 Abs. 2 Buchst. c.

V. Ausnahmen von der Informationspflicht (Abs. 4) 31 Nach Abs. 4 ist nicht zu informieren, wenn die betroffene Person bereits über

die Informationen verfügt. Die Vorschrift ähnelt § 33 Abs. 2 Nr. 1 BDSG, der unter Geltung des BDSG diese Ausnahme von den gesetzlichen Benachrichtigungspflichten regelte, weshalb auf die dort gefundenen Ausnahmen und Grundsätze verwiesen werden kann (Komm. zu § 33 BDSG Rz. 22 ff.). Große Bedeutung wird die Frage gewinnen, ob öffentlich bereitgestellte Informationen 1060

|

Kamlah

Erhebung bei der nicht betroffenen Person | Art. 14 DSGVO

von der Informationspflicht dispensieren oder sie zumindest erfüllen (s. hierzu schon Art. 12 Rz. 4 f.). Ähnlich verhält es sich mit der Frage, ob bei der Verarbeitung von öffentlich zugänglichen Daten eine Informationspflicht besteht, da die betroffene Person in aller Regel an deren Veröffentlichung selbst mitgewirkt hat (z.B. Impressumsangaben).

VI. Keine Informationspflicht über Kategorien von Daten Anders als bei Art. 14 Abs. 1 Buchst. d ist nicht über die Kategorien personenbe- 32 zogener Daten zu informieren, die verarbeitet werden. Das ist konsequent, da die Daten ja von der betroffenen Person selbst erhoben wurden und sie diese insoweit auch schon kennt, Art. 13 Abs. 4.

VII. Einschränkungen der Informationspflicht Die Informationspflichten können mittels der nach Art. 23 bestehenden Mög- 33 lichkeit, Ausnahmen zu schaffen, eingeschränkt werden.

Artikel 14 Informationspflicht, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurden (1) Werden personenbezogene Daten nicht bei der betroffenen Person erhoben, so teilt der Verantwortliche der betroffenen Person Folgendes mit: a) den Namen und die Kontaktdaten des Verantwortlichen sowie gegebenenfalls seines Vertreters; b) zusätzlich die Kontaktdaten des Datenschutzbeauftragten; c) die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung; d) die Kategorien personenbezogener Daten, die verarbeitet werden; e) gegebenenfalls die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten; f) gegebenenfalls die Absicht des Verantwortlichen, die personenbezogenen Daten an einen Empfänger in einem Drittland oder einer internationalen Organisation zu übermitteln, sowie das Vorhandensein oder das Fehlen eines Angemessenheitsbeschlusses der Kommission oder im Falle von Kamlah

|

1061

Erhebung bei der nicht betroffenen Person | Art. 14 DSGVO

von der Informationspflicht dispensieren oder sie zumindest erfüllen (s. hierzu schon Art. 12 Rz. 4 f.). Ähnlich verhält es sich mit der Frage, ob bei der Verarbeitung von öffentlich zugänglichen Daten eine Informationspflicht besteht, da die betroffene Person in aller Regel an deren Veröffentlichung selbst mitgewirkt hat (z.B. Impressumsangaben).

VI. Keine Informationspflicht über Kategorien von Daten Anders als bei Art. 14 Abs. 1 Buchst. d ist nicht über die Kategorien personenbe- 32 zogener Daten zu informieren, die verarbeitet werden. Das ist konsequent, da die Daten ja von der betroffenen Person selbst erhoben wurden und sie diese insoweit auch schon kennt, Art. 13 Abs. 4.

VII. Einschränkungen der Informationspflicht Die Informationspflichten können mittels der nach Art. 23 bestehenden Mög- 33 lichkeit, Ausnahmen zu schaffen, eingeschränkt werden.

Artikel 14 Informationspflicht, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurden (1) Werden personenbezogene Daten nicht bei der betroffenen Person erhoben, so teilt der Verantwortliche der betroffenen Person Folgendes mit: a) den Namen und die Kontaktdaten des Verantwortlichen sowie gegebenenfalls seines Vertreters; b) zusätzlich die Kontaktdaten des Datenschutzbeauftragten; c) die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung; d) die Kategorien personenbezogener Daten, die verarbeitet werden; e) gegebenenfalls die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten; f) gegebenenfalls die Absicht des Verantwortlichen, die personenbezogenen Daten an einen Empfänger in einem Drittland oder einer internationalen Organisation zu übermitteln, sowie das Vorhandensein oder das Fehlen eines Angemessenheitsbeschlusses der Kommission oder im Falle von Kamlah

|

1061

Art. 14 DSGVO | Rechte der betroffenen Person Übermittlungen gemäß Artikel 46 oder Artikel 47 oder Artikel 49 Absatz 1 Unterabsatz 2 einen Verweis auf die geeigneten oder angemessenen Garantien und die Möglichkeit, eine Kopie von ihnen zu erhalten, oder wo sie verfügbar sind. (2) Zusätzlich zu den Informationen gemäß Absatz 1 stellt der Verantwortliche der betroffenen Person die folgenden Informationen zur Verfügung, die erforderlich sind, um der betroffenen Person gegenüber eine faire und transparente Verarbeitung zu gewährleisten: a) die Dauer, für die die personenbezogenen Daten gespeichert werden oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer; b) wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe f beruht, die berechtigten Interessen, die von dem Verantwortlichen oder einem Dritten verfolgt werden; c) das Bestehen eines Rechts auf Auskunft seitens des Verantwortlichen über die betreffenden personenbezogenen Daten sowie auf Berichtigung oder Löschung oder auf Einschränkung der Verarbeitung und eines Widerspruchsrechts gegen die Verarbeitung sowie des Rechts auf Datenübertragbarkeit; d) wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe a oder Artikel 9 Absatz 2 Buchstabe a beruht, das Bestehen eines Rechts, die Einwilligung jederzeit zu widerrufen, ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird; e) das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde f) aus welcher Quelle die personenbezogenen Daten stammen und gegebenenfalls ob sie aus öffentlich zugänglichen Quellen stammen; g) das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Artikel 22 Absätze 1 und 4 und – zumindest in diesen Fällen – aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person. (3) Der Verantwortliche erteilt die Informationen gemäß den Absätzen 1 und 2 a) unter Berücksichtigung der spezifischen Umstände der Verarbeitung der personenbezogenen Daten innerhalb einer angemessenen Frist nach Erlangung der personenbezogenen Daten, längstens jedoch innerhalb eines Monats, b) falls die personenbezogenen Daten zur Kommunikation mit der betroffenen Person verwendet werden sollen, spätestens zum Zeitpunkt der ersten Mitteilung an sie, oder, c) falls die Offenlegung an einen anderen Empfänger beabsichtigt ist, spätestens zum Zeitpunkt der ersten Offenlegung. 1062

|

Kamlah

Erhebung bei der nicht betroffenen Person | Art. 14 DSGVO

(4) Beabsichtigt der Verantwortliche die personenbezogenen Daten für einen anderen Zweck weiterzuverarbeiten als den, für den die personenbezogenen Daten erlangt wurden, so stellt er der betroffenen Person vor dieser Weitergabe Informationen über diesen anderen Zweck und alle anderen maßgeblichen Informationen gemäß Absatz 2 zur Verfügung. (5) Die Absätze 1 bis 4 finden keine Anwendung, wenn und soweit a) die betroffene Person bereits über die Informationen verfügt, b) die Erteilung dieser Informationen sich als unmöglich erweist oder einen unverhältnismäßigen Aufwand erfordern würde; dies gilt insbesondere für die Verarbeitung für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke vorbehaltlich der in Artikel 89 Absatz 1 genannten Bedingungen und Garantien oder soweit die in Absatz 1 des vorliegenden Artikels genannte Pflicht voraussichtlich die Verwirklichung der Ziele dieser Verarbeitung unmöglich macht oder ernsthaft beeinträchtigt In diesen Fällen ergreift der Verantwortliche geeignete Maßnahmen zum Schutz der Rechte und Freiheiten sowie der berechtigten Interessen der betroffenen Person, einschließlich der Bereitstellung dieser Informationen für die Öffentlichkeit, c) die Erlangung oder Offenlegung durch Rechtsvorschriften der Union oder der Mitgliedstaaten, denen der Verantwortliche unterliegt und die geeignete Maßnahmen zum Schutz der berechtigten Interessen der betroffenen Person vorsehen, ausdrücklich geregelt ist oder d) die personenbezogenen Daten gemäß dem Unionsrecht oder dem Recht der Mitgliedstaaten dem Berufsgeheimnis, einschließlich einer satzungsmäßigen Geheimhaltungspflicht, unterliegen und daher vertraulich behandelt werden müssen. I. Einführung . . . . . . . . . . . . . II. Zwingende Informationsbestandteile (Abs. 1) . . . . . . . III. Zusätzliche Informationsbestandteile (Abs. 2) . . . . . . . IV. Fristen für die Informationserteilung (Abs. 3) . . . . . . . . .

.

1

.

2

.

4

.

7

V. Informationspflichten bei nachträglicher Zweckänderung (Abs. 4) . . . . . . . . . . . . . . . . . 12 VI. Ausnahmen von der Informationspflicht (Abs. 5) . . . . . . . . . 13 VII. Einschränkungen der Informationspflicht . . . . . . . . . . . . . . 21

Schrifttum: Siehe Art. 12 DSGVO.

I. Einführung Art. 14 regelt die Informationspflichten der Verantwortlichen, wenn die Daten 1 nicht bei der betroffenen Person erhoben wurden. Zu dem Verhältnis der Vorschriften s. Einführung zu Art. 13. Kamlah

|

1063

Art. 14 DSGVO | Rechte der betroffenen Person II. Zwingende Informationsbestandteile (Abs. 1) 2 Hinsichtlich der nach Art. 14 Abs. 1 zwingend zu erteilenden Informations-

bestandteile, kann auf die Ausführungen zu Art. 13 Abs. 1 verwiesen werden.

3 Zusätzlich ist allerdings bei Art. 14 Abs. 1 über die Kategorien von Daten, die

verarbeitet werden, zu informieren (Buchst. d). Ausreichend sind mithin Oberbegriffe. Solche Oberbegriffe können aus allgemeinen Beschreibungen bestehen, wie die Bezeichnung der Daten als Adressdaten, Vertragsdaten oder Zahlungsverhaltensdaten (s. § 10 KWG).

III. Zusätzliche Informationsbestandteile (Abs. 2) 4 Hinsichtlich der nach Art. 14 Abs. 2 zusätzlich zu erteilenden Informations-

bestandteile kann auf die Ausführungen zu Art. 13 Abs. 2 verwiesen werden.

5 Auffällig ist, dass die Informationspflicht für den Fall, dass die Verarbeitung auf

Art. 6 Abs. 1 Buchst. f („Wahrnehmung berechtigter Interessen“) beruht, anders als nach Art. 13 Abs. 1 Buchst. d, in Art. 14 nur einen zusätzlichen Informationsbestandteil darstellt, dessen Notwendigkeit der Erteilung von weiteren Voraussetzungen abhängt, Art. 14 Abs. 2 Buchst. b.

6 Folgerichtig ist hingegen, dass Art. 14 Abs. 2 Buchst. f anders als Art. 13 eine In-

formationspflicht die Herkunft der Daten (Quellen) sowie für aus öffentlich zugänglichen Quellen entnommene Daten enthält, denn Art. 14 regelt ja die Informationspflicht, wenn die Daten nicht bei der betroffenen Person erhoben wurden. Konnte der betroffenen Person nicht mitgeteilt werden, woher die Daten stammen, weil verschiedene Quellen verwendet wurden, so kann die Unterrichtung allgemein gehalten werden (Erwägungsgrund 61).

IV. Fristen für die Informationserteilung (Abs. 3) 7 Art. 14 Abs. 3 formuliert Fristen für die Informationserteilung. Das ist folge-

richtig, weil im Falle der Direkterhebung die Information im Kontext der Erhebung selbst erfolgt, was bei Art. 14 gerade nicht der Fall ist. Es besteht insoweit ein Bedürfnis, den Zeitpunkt der Information gesondert zu bestimmen.

8 Abs. 3 bestimmt daher alternativ drei unterschiedliche Zeitpunkte, zu denen die

Informationen zu erteilen sind.

9 Nach Abs. 3 Buchst. a bestimmt sich der Zeitpunkt der zu leistenden Informa-

tion unter Berücksichtigung der spezifischen Umstände der Verarbeitung der personenbezogenen Daten anhand einer angemessenen Frist nach Erlangung dieser Daten, wobei diese Frist längstens einen Monat betragen soll. Da sehr undeutlich ist, was spezifische Umstände der Datenverarbeitung oder auch eine da1064

|

Kamlah

Erhebung bei der nicht betroffenen Person | Art. 14 DSGVO

nach zu bestimmende angemessene Frist sein sollen, wird sich die Monatsfrist als Regelfall herausbilden, da sich auch aus Erwägungsgrund 61 nichts anderes ergibt. Das ist auch gerechtfertigt, als dass die Monatsfrist ohnehin nicht allzu lang bemessen ist. Sie erscheint auch bei Vorliegen spezifischer Umstände als angemessen, da es eben angemessen erscheint, Datenverarbeitungssysteme so einzurichten, dass innerhalb von monatlichen Zyklen Betroffeneninformationen erteilt werden können. Wenn die Daten zur Kommunikation mit der betroffenen Person verwendet 10 werden sollen, soll die Information spätestens zum Zeitpunkt der ersten Mitteilung an sie erfolgen, Abs. 3 Buchst. b. In der Praxis wären der betroffenen Person mithin bei der Ansprache bspw. zum Zwecke der Werbung gleichzeitig die entsprechenden Informationsbestandteile mitzuteilen, wenn das nicht schon an anderer Stelle erfolgt ist (s.a. Abs. 5). Eine dritte Fristbestimmung enthält Abs. 3 Buchst. c, wonach die Information 11 (erst dann) an die betroffene Person zu erteilen ist, wenn die Weitergabe der vorher erlangten Daten an einen anderen Empfänger beabsichtigt ist. Es drängt sich aber die Frage auf, ob nicht ein Zeitpunkt bestimmt werden muss, wann eben diese Absicht vorgelegen haben muss. Die Vorschrift darf also nicht dazu führen, dass (zunächst) nicht informiert wird, bis eine Weitergabeabsicht begründet wird. Dies würde die Fristbestimmung aus Buchst. a weitestgehend entwerten. Es liegt vielmehr nahe, dass diese Weitergabeabsicht bereits bei Erlangung der Daten bestanden haben muss. Praktischer Anwendungsfall für diese Vorschrift dürfte damit vor allem bei Auskunfteien vorliegen, die schon unter Geltung des BDSG in dessen § 33 Abs. 1 Satz 2 an eine vergleichbare Vorschrift gebunden waren. Allerdings lässt es Abs. 3 Buchst. c – wie schon § 33 Abs. 1 Satz 2 – zu, dass eine Informationserteilung erst im Zeitpunkt der ersten Offenlegung erfolgt. Wegen der ausdrücklichen Abschichtung der verschiedenen Fristbestimmungen sind die Fristen nach Buchst. b und c auch nicht durch die Monatsfrist in Buchst. a begrenzt.

V. Informationspflichten bei nachträglicher Zweckänderung (Abs. 4) Art. 14 Abs. 4 entspricht Art. 13 Abs. 3. Insoweit kann auf die Ausführungen 12 dort verwiesen werden. Zu beachten ist aber, dass anders als in Art. 13 in Art. 14 der Verweis auf die Verarbeitung nach Art. 6 Abs. 1 Buchst. f in Abs. 2 steht und insoweit sich die Informationspflicht bei nachträglicher Zweckänderung auch auf die Verarbeitung nach Art. 6 Abs. 1 Buchst. f zu erstrecken scheint. Insbesondere Branchen, die im Interesse Dritter tätig sind, müssen daher im Falle der nachträglichen Zweckänderung nicht nur über die Zweckänderung, sondern (noch einmal) über ihre eigentliche Tätigkeit und deren Rechtfertigung Kamlah

|

1065

Art. 14 DSGVO | Rechte der betroffenen Person informieren. Allerdings leiten sich aus der Beschreibung der Zwecke unmittelbar die berechtigten Interessen ab, s.a. Komm. zu Art. 13 DSGVO Rz. 30 a.E.).

VI. Ausnahmen von der Informationspflicht (Abs. 5) 13 Art. 14 Abs. 5 definiert Ausnahmen von der Informationspflicht. Die Informations-

pflicht besteht dann nicht, „wenn und soweit“ die Tatbestände der Buchst. a–d vorliegen. Diese Formulierung regelt zum einen, ob überhaupt einer der Ausnahmetatbestände erfüllt ist, aber auch, ob sie hinsichtlich der entsprechenden Tiefe erfüllt sind. Ist insbesondere letzteres nicht der Fall, muss unter Umständen dann über den fehlenden Teil nachinformiert werden, es sei denn, es greift ein Ausnahmetatbestand.

14 Nach Buchst. a ist nicht zu informieren, wenn die betroffene Person bereits über

die Information verfügt. Die Vorschrift entspricht dem § 33 Abs. 2 Nr. 1 BDSG. Auf die dort genannte Kommentierung zu den entsprechenden Ausnahmen kann insoweit verwiesen werden, Komm. zu § 33 BDSG Rz. 23 ff. So kann die betroffene Person bspw. im Rahmen einer Einwilligung oder im Rahmen der Erhebung über Art. 13 ggf. i.V.m. Art. 5 Abs. 1 Buchst. b bereits über die entsprechenden Informationen verfügen. Eine Doppelinformation erscheint gerade in diesen Fällen als durchaus verzichtbar. Große Bedeutung wird die Frage gewinnen, ob Darstellungen im Internet etwa in Form von direkt abrufbaren „Datenschutzgrundsätzen“ ggf. in Anlehnung an die sog. „Jedermannverzeichnisse“ geeignet sind, die betroffene Person so zu informieren, dass diese über die relevanten Informationen verfügen. Diese Frage wird von einer entsprechend transparenten Gestaltung – wie leichte Auffindbarkeit, ggf. auch ausdruckbar oder speicherbar – abhängig, im Ergebnis dann i.S.d. in Art. 14 Abs. 5 Buchst. b a.E. zum Ausdruck kommenden Rechtsgedankens aber wohl zu bejahen sein.

15 Die Informationspflicht entfällt nach Buchst. b auch dann, wenn sich deren Er-

teilung als unmöglich erweist oder einen unverhältnismäßigen Aufwand erfordert. Das Wort „oder“ macht deutlich, dass es sich hier um zwei Ausschlussgründe handelt. Fraglich ist allerdings, wann in diesem Sinne die Erteilung einer Information als unmöglich gelten soll. Hinsichtlich des Ausschlussgrundes des unverhältnismäßigen Aufwandes erwähnen die Verordnung und der Erwägungsgrund 62 (der Erwägungsgrund bezieht das nur auf „letzteres“) die Fälle, in denen die Datenverarbeitung im öffentlichen Interesse erfolgt. Ausweislich des Wortes „insbesondere“ sind danach aber auch andere Fälle denkbar. Anhaltspunkt für das Vorliegen dieser Ausnahme sollen dabei die Zahl der betroffenen Personen, das Alter der Daten oder etwaige geeignete Garantien in Betracht gezogen werden. Geeignete Garantien können bspw. dann angenommen werden, wenn die betroffene Person bereits über wesentliche Informationen verfügt. Insbesondere das genannte Kriterium der Anzahl der betroffenen Person legt es in Abgrenzung zur allgemeinen Unmöglichkeit nahe, beim Ausschluss1066

|

Kamlah

Erhebung bei der nicht betroffenen Person | Art. 14 DSGVO

grund des unverhältnismäßigen Aufwandes eher auf die „technisch-operative Unmöglichkeit“ abzuzielen, während bei der eigentlichen „allgemeinen Unmöglichkeit“ insbesondere rechtliche Schranken in Betracht kommen. So können unter die Unmöglichkeit die Fälle des § 33 Abs. 2 Nr. 3 BDSG fallen (s. Komm. § 33 BDSG Rz. 37 ff.). Gleichwohl führt das Kriterium der Anzahl der betroffenen Personen zu Ab- 16 grenzungsproblemen, denn es ist unklar, ab wann die Anzahl der betroffenen Personen dazu führt, dass deren Information als unverhältnismäßig gilt, mit der Folge, dass diese nicht informiert werden müssen. In Verbindung mit der Erwägung, dass sonstige angemessene Garantien ebenfalls die Informationspflicht entfallen lassen, führt das zu dem Schluss, dass große Personenmengen ggf. auch öffentlich informiert werden können und dies die Pflicht einer Einzelinformation entfallen lässt. Das wird in Buchst. b am Ende auch ausdrücklich so formuliert. Aber auch das Alter der Daten kann nach dem Erwägungsgrund zur Unverhältnismäßigkeit einer Information führen. Es liegt nahe, hier Parallelen zum § 33 Abs. 2 Nr. 2 BDSG zu ziehen, der eine Ausnahme für die Benachrichtigung für den Fall formulierte, dass Daten nur zu Datenschutz- und Datensicherungszwecken aufbewahrt werden. In der Tat ist und war es schon immer unverhältnismäßig, bspw. längst in Logfiles ausgelagerte Datenbestände zu heben, nur um daraus zu benachrichtigen. In jedem Fall – so scheint es Abs. 5 Buchst. b a.E. zum Ausdruck zu bringen – lässt sich leichter der Einwand der Unmöglichkeit und Unverhältnismäßigkeit begründen, wenn geeignete Informationen der Öffentlichkeit bereitgestellt werden. Dann greift möglicherweise auch schon die Ausnahme von Buchst. a. Es liegt nahe, dass diese Kriterien insgesamt bezogen die Datenbestände Anwen- 17 dung finden dürften, die im Zeitpunkt des Wirksamwerdens der DSGVO schon bestanden haben und insoweit keine „Nachinformation“ nach der DSGVO zu erfolgen hat. Überdies spricht schon die Eingangsformulierung von Art. 14 Abs. 1 dafür, dass die Informationspflicht erst dann greift, wenn die betreffenden personenbezogenen Daten erst erhoben „werden“ (s. zu Art. 13 auch Komm. zu Art. 13 DSGVO Rz. 2). In jedem Fall gilt die Ausnahme von der Informationspflicht, wenn die Ver- 18 arbeitung für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche und historische Forschungszwecke oder für statistische Zwecke erfolgt. Diese in der gesamten Verordnung fast durchgehende Privilegierung dieser Bereiche steht unter dem Vorbehalt der in Art. 89 genannten Bedingungen und Garantien oder wenn diese Information die genannten Zwecke vereitelt. In der Zielrichtung ähnelt die Vorschrift dem § 33 Abs. 2 Nr. 5 BDSG. Abs. 5 Buchst. c lässt die Informationspflicht für den Fall entfallen, dass die Er- 19 langung oder Offenlegung (…) ausdrücklich geregelt ist. Insbesondere der Begriff der Erlangung ist untechnisch. Der Zusammenhang mit dem Begriff der Offenlegung lässt vermuten, dass die Verarbeitung i.S.v. Art. 6 Abs. 1 Buchst. c Kamlah

|

1067

Art. 15 DSGVO | Rechte der betroffenen Person gemeint ist. Beispielhaft für eine gesetzlich angeordnete Offenlegung seien die (handels-)registerlich verpflichtenden Offenlegungen oder auch die Veröffentlichungen in Schuldnerverzeichnissen oder Insolvenzbekanntmachungen genannt. Der Begriff der Erlangung ist aber insoweit nachvollziehbar, als dass es in Art. 14 anders als in Art. 13 nicht um die (Erst-)Erhebung geht. Aber auch der Begriff der „Rechtsvorschrift“ ist undeutlich. Die vergleichbaren Vorschriften in § 33 Abs. 2 Nr. 2 und § 4 BDSG sprechen dagegen präziser von „Gesetz“ oder „Vorschriften“. Im Ergebnis dürfte das Gleiche gemeint sein. 20 Schließlich bestimmt Abs. 5 Buchst. d, dass die Informationspflicht entfällt,

wenn die Daten einem Berufsgeheimnis, einschließlich einer satzungsmäßigen Geheimhaltungspflicht unterliegen und daher vertraulich zu behandeln sind. Das Berufsgeheimnis war in § 1 Abs. 3 BDSG schon enthalten (s. Komm. zu § 1 BDSG Rz. 39 ff.). Auffällig ist der Begriff der satzungsmäßigen Geheimhaltungspflicht. Dazu könnten theoretisch auch gesellschaftsrechtliche Geheimhaltungspflichten gehören. Bspw. könnte ein Unternehmen in seinem Unternehmensgegenstand die von ihm verarbeiteten Daten als vertraulich erklären. Es liegt aber nahe, dass mit einer satzungsmäßigen Geheimhaltungspflicht berufsständische Satzungen gemeint sind.

VII. Einschränkungen der Informationspflicht 21 Die Informationspflichten können mittels der nach Art. 23 bestehenden Öff-

nungsklausel eingeschränkt werden.

Artikel 15 Auskunftsrecht der betroffenen Person (1) Die betroffene Person hat das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden; ist dies der Fall, so hat sie ein Recht auf Auskunft über diese personenbezogenen Daten und auf folgende Informationen: a) die Verarbeitungszwecke; b) die Kategorien personenbezogener Daten, die verarbeitet werden; c) die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, insbesondere bei Empfängern in Drittländern oder bei internationalen Organisationen; d) falls möglich die geplante Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer; 1068

|

Kamlah

Art. 15 DSGVO | Rechte der betroffenen Person gemeint ist. Beispielhaft für eine gesetzlich angeordnete Offenlegung seien die (handels-)registerlich verpflichtenden Offenlegungen oder auch die Veröffentlichungen in Schuldnerverzeichnissen oder Insolvenzbekanntmachungen genannt. Der Begriff der Erlangung ist aber insoweit nachvollziehbar, als dass es in Art. 14 anders als in Art. 13 nicht um die (Erst-)Erhebung geht. Aber auch der Begriff der „Rechtsvorschrift“ ist undeutlich. Die vergleichbaren Vorschriften in § 33 Abs. 2 Nr. 2 und § 4 BDSG sprechen dagegen präziser von „Gesetz“ oder „Vorschriften“. Im Ergebnis dürfte das Gleiche gemeint sein. 20 Schließlich bestimmt Abs. 5 Buchst. d, dass die Informationspflicht entfällt,

wenn die Daten einem Berufsgeheimnis, einschließlich einer satzungsmäßigen Geheimhaltungspflicht unterliegen und daher vertraulich zu behandeln sind. Das Berufsgeheimnis war in § 1 Abs. 3 BDSG schon enthalten (s. Komm. zu § 1 BDSG Rz. 39 ff.). Auffällig ist der Begriff der satzungsmäßigen Geheimhaltungspflicht. Dazu könnten theoretisch auch gesellschaftsrechtliche Geheimhaltungspflichten gehören. Bspw. könnte ein Unternehmen in seinem Unternehmensgegenstand die von ihm verarbeiteten Daten als vertraulich erklären. Es liegt aber nahe, dass mit einer satzungsmäßigen Geheimhaltungspflicht berufsständische Satzungen gemeint sind.

VII. Einschränkungen der Informationspflicht 21 Die Informationspflichten können mittels der nach Art. 23 bestehenden Öff-

nungsklausel eingeschränkt werden.

Artikel 15 Auskunftsrecht der betroffenen Person (1) Die betroffene Person hat das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden; ist dies der Fall, so hat sie ein Recht auf Auskunft über diese personenbezogenen Daten und auf folgende Informationen: a) die Verarbeitungszwecke; b) die Kategorien personenbezogener Daten, die verarbeitet werden; c) die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, insbesondere bei Empfängern in Drittländern oder bei internationalen Organisationen; d) falls möglich die geplante Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer; 1068

|

Kamlah

Auskunftsrecht | Art. 15 DSGVO

e) das Bestehen eines Rechts auf Berichtigung oder Löschung der sie betreffenden personenbezogenen Daten oder auf Einschränkung der Verarbeitung durch den Verantwortlichen oder eines Widerspruchsrechts gegen diese Verarbeitung; f) das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde; g) wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden, alle verfügbaren Informationen über die Herkunft der Daten; h) das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Artikel 22 Absätze 1 und 4 und – zumindest in diesen Fällen – aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person. (2) Werden personenbezogene Daten an ein Drittland oder an eine internationale Organisation übermittelt, so hat die betroffene Person das Recht, über die geeigneten Garantien gemäß Artikel 46 im Zusammenhang mit der Übermittlung unterrichtet zu werden. (3) Der Verantwortliche stellt eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung. Für alle weiteren Kopien, die die betroffene Person beantragt, kann der Verantwortliche ein angemessenes Entgelt auf der Grundlage der Verwaltungskosten verlangen. Stellt die betroffene Person den Antrag elektronisch, so sind die Informationen in einem gängigen elektronischen Format zur Verfügung zu stellen, sofern sie nichts anderes angibt. (4) Das Recht auf Erhalt einer Kopie gemäß Absatz 1b darf die Rechte und Freiheiten anderer Personen nicht beeinträchtigen. I. Einführung . . . . . . . . . . . . . . .

1

II. Auskunftspflichten (Abs. 1) . . .

3

Schrifttum: Siehe Art. 12 DSGVO.

I. Einführung Während die nach den Art. 13 und 14 zu erteilenden Informationen von Seiten 1 des Verantwortlichen angestoßen werden müssen, haben die nach Art. 15 zu erteilenden Auskünfte nur auf Verlangen der betroffenen Person zu erfolgen. Zum Verhältnis der Informationspflichten zu den Auskunftsrechten s. bereits 2 Komm. zu Art. 13 DSGVO Rz. 3.

Kamlah

|

1069

Art. 15 DSGVO | Rechte der betroffenen Person II. Auskunftspflichten (Abs. 1) 3 Art. 15 Abs. 1 formuliert zwei unterschiedliche Ansprüche.

Nach dessen 1. Alternative muss der Verantwortliche auf Verlangen der betroffenen Person (nur) eine Bestätigung darüber erteilen, ob durch ihn überhaupt Daten verarbeitet werden (sog. Verarbeitungsbestätigung). (Erst) wenn dies der Fall ist, hat die betroffene Person das Recht auf weitergehende Auskunft hinsichtlich der in Buchst. a–h beschriebenen Informationsbestandteile. Es stellt sich aber die Frage, ob das Auskunftsrecht der betroffenen Person tatsächlich streng dieses Stufenmodell durchlaufen muss. Es wäre unnötiger Formalismus und nicht den Prinzipen des Art. 12 entsprechend, wenn nicht die betroffene Person zumindest beide Anträge miteinander verbinden könnte. Nicht klar zu differenzierende Anträge der betroffenen Person sind im Zweifel so auszulegen, dass er gleichzeitig auch Auskunft über die weitergehenden Informationsbestandteile begehrt. Da zahlreiche Informationen bereits über Art. 13 und 14 zu erteilen sind, bietet die sog. Verarbeitungsbestätigung in Art. 15 Abs. 1 keinen wirklichen Mehrwert. 4 Art. 15 Abs. 1 ist so formuliert, dass zur Geltendmachung der darin geregelten

Rechte ein entsprechendes Verlangen artikuliert werden muss. An die Form sind mit Blick auf Art. 12 keine allzu hohen Anforderungen zu stellen. Gleichwohl betont Erwägungsgrund 63, dass bei der Verarbeitung großer Mengen von Informationen über die betroffene Person der Verantwortliche verlangen kann, dass die betroffene Person präzisiert, auf welche Information oder welche Verarbeitungsvorgänge sich ihr Auskunftsersuchen bezieht, bevor er ihr Auskunft erteilt. Dementsprechend ist es aber auch möglich, dass der Verantwortliche das ggf. unpräzise formulierte Auskunftsersuchen auslegt und zunächst (Teil-)auskünfte erteilt, um so dem mutmaßlichen Willen der betroffenen Person nachzukommen und ohne, dass sogleich Sanktionen drohen (zur Frage der Art und Weise der Kommunikation, s. Rz. 18).

5 Inhaltlich ist nach Art. 15 Abs. 1 über die personenbezogenen Daten Auskunft

zu erteilen, die verarbeitet werden. Art. 15 Abs. 3 formuliert, dass damit die personenbezogenen Daten gemeint sind, die Gegenstand der Verarbeitung sind. Umgekehrt sind damit solche personenbezogenen Daten ausgeschlossen, die zwar möglicherweise vorhanden sind, jedoch nicht „Gegenstand der (produktiven) Verarbeitung“ sind. Damit scheint sich die Auskunftspflicht bspw. nicht auf solche Daten zu beziehen, die lediglich zu Datenschutz- und Datensicherungszwecken aufbewahrt werden. Eine solche Ausnahme bestand schon in § 34 Abs. 7 i.V.m. § 33 Abs. 2 Satz 2 Nr. 3 BDSG.

6 Über die Auskunftspflicht hinsichtlich der Daten, die Gegenstand der Verarbei-

tung sind, formuliert Art. 15 Abs. 1 dann weitere Auskunftsbestandteile. Danach ist zunächst über die Verarbeitungszwecke Auskunft zu erteilen. Diese Formulierung weicht sowohl sprachlich als auch inhaltlich von den Art. 13 Abs. 1 1070

|

Kamlah

Auskunftsrecht | Art. 15 DSGVO

Buchst. c und Art. 14 Abs. 1 Buchst. c ab. Die dort genannten „Zwecke, für die die personenbezogenen Daten verarbeitet werden“ dürften keinen anderen Inhalt haben als die „Verarbeitungszwecke“ in Art. 15. Auffällig ist aber das Fehlen einer Verpflichtung zur Angabe der Rechtsgrundlage in Art. 15, während sie in Art. 13 und 14 noch genannt ist. Die Verpflichtung zur Angabe der Kategorien personenbezogener Daten, die 7 verarbeitet werden (Buchst. b) deckt sich mit der Verpflichtung in Art. 14, die in Art. 13 allerdings fehlt (s. dazu Komm. zu Art. 14 DSGVO Rz. 3). Allerdings ist sie im Rahmen des Art. 15 weitestgehend sinnentleert weil über den Art. 15 Abs. 1 Halbs. 2 bereits über die (konkreten) personenbezogenen Daten Auskunft zu erteilen ist. Die Verpflichtung zur Angabe der Empfänger oder Empfängerkategorien 8 deckt sich mit Art. 13 und 14, wobei Art. 15 eine weniger generalisierende Formulierung wählt, indem dort bestimmt ist, dass insoweit Auskunft zu erteilen ist, inwieweit personenbezogene Daten offengelegt worden sind oder noch offengelegt werden. Das wirft die Frage auf, wie lange der Empfänger als solcher zu speichern ist, damit über ihn in dieser Eigenschaft Auskunft erteilt werden kann. Unter Geltung des BDSG bestimmen § 34 Abs. 2 und 4 BDSG jedenfalls für erhobene bzw. übermittelte Wahrscheinlichkeitswerte sechs bzw. zwölf Monate. Ähnliche Fristen fehlen nunmehr. Hier wird sich unter Geltung der DSGVO eine Praxis herausbilden müssen. Daneben kann naturgemäß der Verantwortliche keine Auskunft darüber ertei- 9 len, an wen Daten noch weitergegeben werden, sondern nur an wen Daten noch weitergegeben werden „sollen“. Wie bei den Art. 13 und 14 dürfte es eben um die abstrakte Benennung der Empfängerkategorien gehen. Erweitert wird die Auskunftspflicht in Art. 15 Abs. 1 Buchst. c gegenüber den 10 Art. 13 und 14 dahingehend, dass speziell bei Empfängern in Drittländern oder bei internationalen Organisationen Auskunft zu erteilen ist. Diese Erweiterung ist streng genommen unnötig, da auch diese Stellen Empfänger oder Empfängerkategorien nach Halbs. 1 darstellen, Art. 4 Abs. 9. Insoweit schafft die Ergänzung nur Rechtsunsicherheit dahingehend, ob umgekehrt bestimmte Empfänger eben nicht genannt werden müssen. Art. 15 Abs. 1 Buchst. d enthält eine gegenüber den Art. 13 Abs. 2 und 14 Abs. 2 11 korrespondierende Verpflichtung dahingehend, dass – falls möglich – die geplante Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer zu beauskunften sind. Diese Vorschrift ist in Zusammenhang mit Art. 17 zu sehen, der anders als bspw. § 35 Abs. 2 Satz 2 Nr. 4 BDSG keine Regelprüffristen mehr vorsieht. Damit können nach neuer Rechtslage zunächst nur noch allgemeine Kriterien für die Festlegung dieser Dauer bekanntgegeben werden (s. hierzu auch schon die Komm. zu Art. 13 DSGVO Rz. 18). Diese können bspw. darin bestehen, dass man an das Bestehen eines Vertrages anknüpft. Kamlah

|

1071

Art. 15 DSGVO | Rechte der betroffenen Person 12 Art. 15 Abs. 1 Buchst. e und f enthalten Rechtsbelehrungspflichten wie schon

Art. 13 und 14.

13 Art. 15 Abs. 1 Buchst. g beschränkt die Pflicht zur Herkunftsangabe auf die Fäl-

le, in denen die Daten nicht bei der betroffenen Person erhoben wurden. Das erscheint folgerichtig. In diesen Fällen ist über alle „verfügbaren“ Informationen bezüglich der Herkunft der Daten Auskunft zu erteilen. Damit stellt sich die Frage, wann Informationen als verfügbar gelten. Da Erwägungsgrund 61 im Kontext des Art. 14 bestimmt, dass die Unterrichtung allgemein gehalten werden kann, wenn der betroffenen Person nicht mitgeteilt werden kann, woher die Daten stammen, weil verschiedene Quellen benutzt wurden (z.B. bei Personenstammdaten), dürften auch im Rahmen des Art. 15 an die Verfügbarkeit keine allzu hohen Anforderungen zu stellen sein. Das kann auch Erwägungsgrund 61 a.E. entnommen werden, wonach ein Verantwortlicher personenbezogene Daten nicht allein zu dem Zweck zu speichern hat, um auf mögliche Auskunftsersuchen reagieren zu können. Eine Verpflichtung zur Speicherung nur zum Zwecke der Beauskunftung dürfte sich aus der Vorschrift damit nicht ableiten lassen (vgl. zur Diskussion schon im Rahmen des § 34 BDSG, Komm. zu § 34 BDSG Rz. 23).

14 Die nach Art. 15 Abs. 1 Buchst. h zu erteilende Auskunft entspricht der nach

Art. 13 Abs. 2 Buchst. f und Art. 14 Abs. 2 Buchst. g zu erteilenden Information. Der Wortlaut ist insoweit identisch, so dass auf die dortigen Ausführungen verwiesen werden kann. Irritierend ist jedoch Erwägungsgrund 63, der anders als der Verordnungstext selbst nur noch auf die automatische Verarbeitung personenbezogener Daten abstellt und nicht auf die automatisierte Entscheidung(sfindung) nach Art. 22 Abs. 1 und 4. Auch scheint die Formulierung im Erwägungsgrund 63 es nahezulegen, dass es bei der automatisierten Entscheidung ggf. Dispensierungen von der Auskunftspflicht geben könnte, wohingegen „zumindest in den Fällen, in denen die Verarbeitung auf Profiling beruht“ die entsprechende Auskunft zu erteilen ist (s. schon Komm. zu Art. 13 DSGVO Rz. 23 ff.). In Anbetracht des eindeutigen und sich in drei Artikeln wiederholenden Wortlauts besteht ein Anspruch nach Art. 15 Abs. 1 Buchst. h jedoch nur bei Vorliegen einer automatisierten Entscheidung nach Art. 22. Es ist zu bedenken, dass auch eine Auslegung, die die Formulierung des Erwägungsgrundes gegenüber dem ausdrücklichen Verordnungstextes in den Vordergrund stellte, auch nur dazu führt, dass über die (involvierte) „Logik“ Auskunft zu erteilen ist (Komm. zu Art. 13 DSGVO Rz. 23 ff.). Das schließt jedoch die Entwicklung neuer Verhaltensregeln (durch etwa einen code of conduct) nach Art. 40 hinsichtlich der Auskunftsinhalte nicht aus.

15 Art. 15 Abs. 2 regelt die Auskunftspflichten beim Drittlandverkehr. Die Ziel-

richtung der Vorschrift entspricht der der Art. 13 Abs. 1 Buchst. f und Art. 14 Abs. 1 Buchst. f. Allerdings wird nach Art. 15 Abs. 2 die Auskunftspflicht erst ausgelöst, wenn die entsprechenden Übermittlungen auch tatsächlich erfolgen. Inhaltlich ist Auskunft über geeignete Garantien gemäß Art. 46 zu erteilen, die solche Übermittlungen flankieren. 1072

|

Kamlah

Auskunftsrecht | Art. 15 DSGVO

Während Art. 15 Abs. 1 und 2 die inhaltlichen Anforderungen an zu erteilende 16 Auskünfte regeln, bestimmt Art. 15 Abs. 3 nun das Verfahren, nach dem solche Auskünfte zu erteilen sind. Nach Art. 15 Abs. 3 Satz 1 hat der Verantwortliche eine „Kopie“ der personenbezogenen Daten zur Verfügung zu stellen. Damit soll klargestellt werden, dass die Daten nicht zu übertragen sind. Ein solcher Anspruch besteht allenfalls nach Art. 20. Vielmehr darf der Verantwortliche die personenbezogenen Daten behalten, hat aber der betroffenen Person nach Art. 15 eine Abschrift dieser Daten zur Verfügung zu stellen. Eine besondere Form definiert der Begriff der Kopie nicht. Insbesondere lässt sich aus diesem Begriff nicht ableiten, dass die Datenbankstruktur zu „kopieren“ ist. Dem würde schon Art. 15 Abs. 4 widersprechen. Inhaltlich beschränkt Art. 15 Abs. 3 den Inhalt der Auskunft auf die personenbezogenen Daten, die „Gegenstand der Verarbeitung“ sind (s. hierzu schon Rz. 5). Nach Art. 15 Abs. 3 sind die Auskünfte grundsätzlich kostenlos zu erteilen. Das 17 ergibt sich nicht ausdrücklich aus Art. 15 Abs. 3 selbst, sondern erst aus dem Umkehrschluss von Art. 15 Abs. 3 Satz 2, wonach für „alle weiteren Kopien“ ein angemessenes Entgelt verlangt werden kann sowie aus Art. 12 Abs. 5. Das wirft die Frage auf, wie oft die betroffene Person unentgeltlich Auskünfte beantragen kann und in welchen Fällen diese dann auch kostenlos zu erteilen ist. Erwägungsgrund 63 spricht hier von „angemessenen Abständen“, was insoweit etwas Klarheit bringt, weil es den Gedanken von Art. 12 Abs. 5 aufgreift, wonach bei offenkundig unbegründeten oder – insbesondere im Fall von häufigen Wiederholungen – exzessiven Anträgen einer betroffenen Person ein angemessenes Entgelt verlangt werden kann (s. – auch zur Höhe der Kosten – Komm. zu Art. 12 DSGVO Rz. 20 f). Der in § 34 Abs. 8 BDSG existierende Jahresturnus könnte hier als Anhaltspunkt dienen. Art. 15 Abs. 3 Satz 3 bestätigt dann den bereits in Art. 12 enthaltenen Gedanken, 18 wonach die betroffene Person den Antrag elektronisch stellen können soll. Die elektronische Antragstellung soll dann aber gleichzeitig auch die Verpflichtung auslösen, die Informationen in einem gängigen elektronischen Format zur Verfügung zu stellen. Aus der Formulierung ließe sich ableiten, dass nur die nach Art. 15 Abs. 1 Buchst. a–h zu liefernden Informationsbestandteile elektronisch zu erteilen sind, nicht aber die personenbezogenen Daten selbst. Demgegenüber formuliert Erwägungsgrund 63, dass der betroffenen Person nach Möglichkeit ein Fernzugang zu einem sicheren System bereitzustellen ist, der der betroffenen Person direkten Zugang zu ihren personenbezogenen Daten ermöglichen soll. Dieser Erwägungsgrund steht jedoch völlig isoliert und wird vom Verordnungstext nicht aufgegriffen. Er widerspricht auch der Logik des Art. 15 Abs. 3 und Art. 12 Abs. 5, die von einzelnen Auskunftsersuchen ausgehen, deren Häufung dann ggf. von dem Verantwortlichen bepreist werden kann. Danach besteht gerade keine Verpflichtung, der betroffenen Person (dauerhaft) Auskunft erteilen zu müssen. Dementsprechend muss auch kein elektronischer Datenbankzugang zur Erteilung eben dieser Auskünfte gelegt werden. Die im Verordnungstext deKamlah

|

1073

Art. 15 DSGVO | Rechte der betroffenen Person finierte Kostenregelung würde durch eine dementsprechende Verpflichtung völlig leer laufen. Die Möglichkeit der elektronischen Beantragung (E-Mail) bleibt davon unberührt. In der durch das EU-Parlament verabschiedeten Fassung befand sich in Art. 12 Abs. 3 die Verpflichtung zur Einrichtung eines Fernzugangs noch im Entwurf des Verordnungstexts selbst. Aus dem verabschiedeten Verordnungstext wurde diese Anforderung jedoch dann später wieder gestrichen. 19 Es ist auch zu bedenken, dass eine elektronische Beauskunftung auch unter dem

Identifizierungsvorbehalt steht. Das kommt bereits in den Art. 12 Abs. 2 und 6 zum Ausdruck. Auch hier sind die Erwägungsgrunde nicht ganz synchron mit dem Verordnungstext, wenn in Erwägungsgrund 64 formuliert wird, dass der Verantwortliche alle vertretbaren Mittel zu nutzen hat, um die Identität einer Auskunft suchenden Person zu überprüfen. Die Vertretbarkeit wird ihre Grenze in den Kosten zu finden haben. Vom Verantwortlichen kann nicht gefordert werden, dass er nur zum Zwecke der (elektronischen) Auskunftserteilung jedwedes (technisches) Mittel vorhalten muss. So lange also E-Mail-Adressen nicht verifiziert werden können, kann keine Verpflichtung bestehen, an diese E-MailAdresse persönliche Daten zu übermitteln.

20 Das kommt auch in Art. 15 Abs. 4 zum Ausdruck, wonach das Recht nach

Abs. 3 die Rechte und Freiheiten anderer Personen nicht beeinträchtigen darf. Diese anderen sind aber nicht nur etwaige andere betroffene Personen, sondern eben auch der Verantwortliche selbst. So können bspw. von einer Personalberatung gewonnene Daten über betroffene Personen die Geschäftsgrundlage dieser darstellen, weswegen das Auskunftsrecht des betroffenen Kandidaten begrenzt sein kann. Ebenso verhält es sich mit bei dem Verantwortlichen durch einen Verarbeitungsprozess schlicht entstehende (technische) Daten. Diese sind (zumindest auch) solche des Verantwortlichen und nicht der betroffenen Person. Art. 15 Abs. 4 formuliert damit eine Verhältnismäßigkeitsgrenze. Das gilt auch hinsichtlich der Art und Weise der Auskunftserteilung. So kann sich der Verantwortliche dadurch schützen, dass er eine beantragte Auskunft auch an die bekannte Anschrift der (vermeintlich) betroffenen Person senden kann. In diesen Fällen erreicht eine nicht zweifelsfrei identifizierbare Person „schlimmstenfalls“ eine Auskunft, die sie nicht beantragt hat und eine Beauskunftung an einen fremden Dritten wäre vermieden. Dementsprechend können auch Rückfragen mit dem Antragsteller konventionell erfolgen, wenn dies die sicherste Variante für den Austausch der in diesem Zuge übermittelten personenbezogenen Daten ist.

21 Art. 15 Abs. 4 enthält aber einen redaktionellen Fehler, der offenbar bei Durch-

sicht der Trilogfassung übersehen wurde. Mit dem Verweis auf Abs. 1 Buchst. b ist offenbar der Verweis auf Abs. 3 gemeint. Dies ergibt sich nicht schon aus dem Fehlen eines Abs. 1 Buchst. b, sondern aus einem Vergleich der Trilogfassung der Verordnung mit der Schlussfassung.

1074

|

Kamlah

Recht auf Berichtigung | Art. 16 DSGVO

Abschnitt 3 Berichtigung und Löschung

Artikel 16 Recht auf Berichtigung Die betroffene Person hat das Recht, von dem Verantwortlichen unverzüglich die Berichtigung sie betreffender unrichtiger personenbezogener Daten zu verlangen. Unter Berücksichtigung der Zwecke der Verarbeitung hat die betroffene Person das Recht, die Vervollständigung unvollständiger personenbezogener Daten – auch mittels einer ergänzenden Erklärung – zu verlangen. I. Einführung . . . . . . . . . . . . . . .

1

II. Tatbestandsvoraussetzungen . .

5

Schrifttum: Siehe Art. 12 DSGVO.

I. Einführung Wie das BDSG unterscheidet die DSGVO zwischen der Berichtigung und der 1 Löschung von personenbezogenen Daten. Anders als im BDSG ist der Berichtigung von personenbezogenen Daten jedoch in der DSGVO ein eigener Artikel gewidmet. Wie schon unter Geltung des BDSG macht eine Berichtigung nur Sinn, wenn 2 die entsprechenden personenbezogenen Daten an sich zulässigerweise verarbeitet werden. Ansonsten müsste deren Löschung und nicht Berichtigung erfolgen. Insoweit – wie auch zur Frage der Definition der Unrichtigkeit von Daten – kann auf die Komm. zu § 35 BDSG Rz. 9 ff. verwiesen werden. Art. 16 ist als Recht der betroffenen Person ausgestaltet. Um dieses Recht aus- 3 zuüben, muss die betroffene Person sich entsprechend artikulieren. Zur Form schweigt Art. 16, so dass auf die allgemeinen Grundsätze nach Art. 12 zurückzugreifen ist. Aber auch ohne konkrete Ausübung des Berichtigungsrechts ist der Verantwort- 4 liche verpflichtet, die durch ihn verarbeiteten personenbezogenen Daten korrekt zu halten. Das ergibt sich aus Art. 5 Abs. 1 Buchst. d (Einzelheiten, s. dort).

II. Tatbestandsvoraussetzungen Art. 16 formuliert zunächst ein Recht der betroffenen Person. Auch wenn an die 5 Form des Verlangens keine allzu hohen Anforderungen zu stellen sein dürften, wird die betroffene Person gehalten sein, die Daten, die sie für unzutreffend hält, Kamlah

|

1075

Art. 16 DSGVO | Rechte der betroffenen Person genau zu bezeichnen. Jedenfalls dürften ungenaue oder pauschale Berichtigungsverlangen dazu führen, dass der Verantwortliche seinerseits berechtigt ist, etwaige Rückfragen zu stellen, ohne sogleich in Verzug zu geraten. Dies ergibt sich aus dem in Art. 18 Abs. 1 Buchst. a a.E. und dem in Erwägungsgrund 63 a.E. im Kontext des Auskunftsrechts zum Ausdruck kommenden Rechtsgedanken. 6 Sprachlich etwas ungenau ist die Vorschrift insoweit, als dass die Berichtigung

„unzutreffender“ Daten verlangt werden kann. Folgerichtig wäre es gewesen, den Berichtigungsanspruch auf unrichtige Daten zu erstrecken.

7 Zu beachten ist, dass die betroffene Person die Berichtigung unzutreffender Da-

ten nur dann verlangen kann, wenn die Daten die betroffene Person selbst betreffen. Das kann den Berichtigungsanspruch für die Fälle einschränken, in denen die personenbezogenen Daten nicht (ausschließlich) die betroffene Person betreffen. Denkbar ist das bspw. in den Fällen, in denen Daten auch andere Personen betreffen (z.B. Beschreibung einer Beziehung zwischen zwei oder mehreren Personen) oder aber auch der Verantwortliche selbst (z.B. Vorgangsdaten, s. hierzu auch Komm. zu Art. 15 DSGVO Rz. 20).

8 Der Anspruch ist gegen den Verantwortlichen zu richten. Die Formulierung

geht dabei davon aus, dass es nur einen Verantwortlichen gibt. Nach der DSGVO ist aber auch die Mehrheit von gemeinsamen Verantwortlichen denkbar, Art. 26. Es spricht aber vieles dafür, dass sich dann die betroffene Person an jeden Verantwortlichen wenden kann. Wer dann tatsächlich für die Erfüllung des Anspruches intern zuständig ist, hat sich aus dem nach Art. 26 zwischen den Verantwortlichen zu schließenden Vertrag zu ergeben.

9 Der Verantwortliche hat das Berichtigungsverlangen unverzüglich zu erfüllen.

Diese Formulierung legt eine Anlehnung an § 121 BGB nahe. Dem Verantwortlichen wird jedoch eine angemessene Frist zur Prüfung des Berichtigungsverlangens zuzusprechen sein (vgl. auch Art. 18 Abs. 1 Buchst. a). Das gilt insbesondere dann, wenn zusätzliche Recherchen erforderlich sind, um das Berichtigungsverlangen und die damit zusammenhängenden Daten zu verifizieren. Auf die entsprechende Komm. zu § 35 BDSG Rz. 15 kann insoweit verwiesen werden.

10 Art. 16 Satz 2 formuliert das Recht der betroffenen Person, die Vervollständi-

gung unvollständiger personenbezogener Daten zu verlangen. Dabei stellt sich zunächst die Frage, inwieweit dem Satz 2 gegenüber dem Satz 1 ein eigener Regelungsgehalt zukommt. Denn eine fehlende Information wäre wohl auch schon nach Satz 1 zu ergänzen, wenn sich aus deren Fehlen die Unrichtigkeit der personenbezogenen Daten ergeben würde, sofern dies für den Verantwortlichen möglich ist. Die Möglichkeit hat ihre Grenze in dem ursprünglichen zweckgebundenem Funktionsumfang der Datenbank. Beispielhaft für eine Unrichtigkeit durch Fehlen der Information sei hier etwa die Information über einen zwischenzeitlichen Forderungsausgleich zu nennen, wenn die ursprünglich zulässigerweise dokumentierte offene Forderung weiterhin verarbeitet werden darf. Umgekehrt führt bspw. bei Adressangaben das Fehlen der Hausnummer nicht 1076

|

Kamlah

Recht auf Berichtigung | Art. 16 DSGVO

zwangsläufig zur Unrichtigkeit der Aussage, dass die betroffene Person in der „Goethestraße“ wohnt. Das Ergänzungsverlangen macht dann Sinn, wenn sich aus dem Fehlen kontextbezogen die Unrichtigkeit ergibt. Daraus ist aber auch zu entnehmen, dass ein Anspruch nur auf Ergänzung richtiger personenbezogener Daten besteht. Daher sollte die betreffende Person bei einem Ergänzungsoder Berichtigungsverlangen Nachweise vorlegen, aus denen sich die Richtigkeit der personenbezogenen Daten ergibt (z.B. Meldebescheinigung). In jedem Fall wird man dem Verantwortlichen ein Prüfungsrecht zubilligen können. Etwas undeutlich formuliert Satz 2 aber, dass die Vervollständigung offenbar 11 nur „für die Zwecke, für die die Daten verarbeitet wurden“ gelten soll. Beispiel eines (zulässigen) Ergänzungsverlangens ist danach jedenfalls die Ergänzung der Hausnummer, wenn die (vollständige) Adresse der zuverlässigen Identifizierung der betroffenen Person bspw. als Kunde und damit etwa auch eine von diesem gewünschte Kontaktaufnahme sicherstellt. Wenn aber das Verlangen (nur) mit Blick auf die ursprünglichen Zwecke zu er- 12 füllen ist stellt sich die Frage, ob umgekehrt das Verlangen seitens des Verantwortlichen mit der Begründung zurückgewiesen werden kann, dass die entsprechenden Ergänzungen nicht dem (ursprünglichen) Zweck entsprechen. Möglicherweise ist diese Fallkonstellation allerdings eher theoretischer Natur, denn es ist nicht recht verständlich, warum die betroffene Person von dem Vervollständigungsrecht nicht vorbehaltlos Gebrauch machen soll. In diesem Falle wären die zusätzlichen Daten möglicherweise als auf Basis von Art. 7 zulässigerweise verarbeitet anzusehen. Die dann vorzunehmende Ergänzung kann schlicht durch eine Hinzuspeiche- 13 rung der entsprechenden Information erfolgen. Ausdrücklich vorgesehen ist aber auch die Hinzufügung einer entsprechenden Erklärung. Die Wortwahl erscheint dem Äußerungsrecht entlehnt zu sein und ähnelt einer Gegendarstellung. Zu beachten ist aber, dass es bei Art. 16 um die Berichtigung unzutreffender personenbezogener Daten, nicht aber bspw. um zu korrigierende Meinungen geht. Auch geht die Gegendarstellung davon aus, dass eine Äußerung nicht „zurückgeholt“ werden kann. Ist aber eine Datenverarbeitung unzulässig, so sind die Daten schlicht zu löschen und ursprüngliche Datenempfänger darüber zu informieren (s. Art. 19). Der Anwendungsbereich der Hinzuspeicherung einer kompletten Erklärung bleibt zwischen dieser Löschung nebst Folgenbeseitigung und der Vervollständigung einer zulässigen aber weil unvollständig korrekturbedürftigen Information durch eine einfache Ergänzung eher gering. Jedenfalls wird man dem Verantwortlichen ein Wahlrecht zubilligen müssen, wenn das Ergänzungsverlangen unter Wahrung des entsprechenden Ziels mit einfacheren Mitteln zu erreichen ist. Ein darüber hinaus gehender Anspruch der betroffenen Person dürfte nicht bestehen. Insoweit kann die Vervollständigung mittels einer kompletten Erklärung nur dann verlangt werden, wenn das Berichtigungsziel nicht anders erreicht werden kann. Kamlah

|

1077

Art. 17 DSGVO | Rechte der betroffenen Person

Artikel 17 Recht auf Löschung („Recht auf Vergessenwerden“) (1) Die betroffene Person hat das Recht, von dem Verantwortlichen zu verlangen, dass sie betreffende personenbezogene Daten unverzüglich gelöscht werden, und der Verantwortliche ist verpflichtet, personenbezogene Daten unverzüglich zu löschen, sofern einer der folgenden Gründe zutrifft: a) Die personenbezogenen Daten sind für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig. b) Die betroffene Person widerruft ihre Einwilligung, auf die sich die Verarbeitung gemäß Artikel 6 Absatz 1 Buchstabe a oder Artikel 9 Absatz 2 Buchstabe a stützte, und es fehlt an einer anderweitigen Rechtsgrundlage für die Verarbeitung. c) Die betroffene Person legt gemäß Artikel 21 Absatz 1 Widerspruch gegen die Verarbeitung ein und es liegen keine vorrangigen berechtigten Gründe für die Verarbeitung vor, oder die betroffene Person legt gemäß Artikel 21 Absatz 2 Widerspruch gegen die Verarbeitung ein. d) Die personenbezogenen Daten wurden unrechtmäßig verarbeitet. e) Die Löschung der personenbezogenen Daten ist zur Erfüllung einer rechtlichen Verpflichtung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten erforderlich, dem der Verantwortliche unterliegt. f) Die personenbezogenen Daten wurden in Bezug auf angebotene Dienste der Informationsgesellschaft gemäß Artikel 8 Absatz 1 erhoben. (2) Hat der Verantwortliche die personenbezogenen Daten öffentlich gemacht und ist er gemäß Absatz 1 zu deren Löschung verpflichtet, so trifft er unter Berücksichtigung der verfügbaren Technologie und der Implementierungskosten angemessene Maßnahmen, auch technischer Art, um für die Datenverarbeitung Verantwortliche, die die personenbezogenen Daten verarbeiten, darüber zu informieren, dass eine betroffene Person von ihnen die Löschung aller Links zu diesen personenbezogenen Daten oder von Kopien oder Replikationen dieser personenbezogenen Daten verlangt hat. (3) Die Absätze 1 und 2 gelten nicht, soweit die Verarbeitung erforderlich ist a) zur Ausübung des Rechts auf freie Meinungsäußerung und Information; b) zur Erfüllung einer rechtlichen Verpflichtung, die die Verarbeitung nach dem Recht der Union oder der Mitgliedstaaten, dem der Verantwortliche unterliegt, erfordert, oder zur Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde; c) aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit gemäß Artikel 9 Absatz 2 Buchstaben h und i sowie Artikel 9 Absatz 3; 1078

|

Kamlah

Recht auf Löschung | Art. 17 DSGVO

d) für im öffentlichen Interesse liegende Archivzwecke, wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gemäß Artikel 89 Absatz 1, soweit das in Absatz 1 genannte Recht voraussichtlich die Verwirklichung der Ziele dieser Verarbeitung unmöglich macht oder ernsthaft beeinträchtigt, oder e) zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen. I. Einführung . . . . . . . . . . . . . . . II. Löschung auf Verlangen (Abs. 1) . . . . . . . . . . . . . . . . . . III. Die Löschungsgründe im Einzelnen . . . . . . . . . . . . . . . .

1 3

IV. Informationspflicht nach Löschung (Abs. 2) . . . . . . . . . . 15 V. Ausnahmen vom Löschungsanspruch (Abs. 3) . . . . . . . . . . 16

8

Schrifttum: Siehe Art. 12 DSGVO.

I. Einführung Art. 17 formuliert das sog. Recht auf Vergessenwerden. Die Schaffung eines 1 solchen Rechtes kann als eines der zentralen Motive für das Entstehen der DSGVO überhaupt angesehen werden. Zusätzliche Legitimation bekam der Gedanke, dass es im Internet(zeitalter) ein Recht auf Vergessen geben müsste, durch die Entscheidung des Europäischen Gerichtshofes in der Sache Google vs. Spain1. Der dort zugrunde liegende Sachverhalt, dass auch noch lange zurückliegende Ereignisse über entsprechende Suchmaschinen immer noch auffindbar und über das Internet damit einer Weltöffentlichkeit zugänglich sind, schien noch einmal die Notwendigkeit deutlich zu machen, diesen Bereich ausdrücklich zu regeln2. Dabei ist der Gedanke, dass personenbezogene Daten gelöscht werden müssen, 2 nicht neu, sondern dem Datenschutzrecht seit Anfang immanent. Die allgemeinen datenschutzrechtlichen Prinzipien wie Erforderlichkeit und Zweckbindung haben es immer schon impliziert, dass personenbezogene Daten nicht unbegrenzt verarbeitet werden dürfen. In sämtlichen Datenschutzgesetzen, wie aber auch in der EG-Datenschutzrichtlinie sind Vorschriften zur Löschung vorhanden3. Hinsichtlich des § 35 BDSG kann auf die Komm. zu § 35 BDSG verwiesen werden. Gleichwohl führte insbesondere die gleichsam „ewige“ Wiederauffindbarkeit von Informationen im Netz zu einem Störgefühl des EuGH und der legislativen Organe und dem Bedürfnis, dieses Recht ausdrücklich neu zu regeln. 1 EuGH v. 13.5.2014 – C-131/12, NJW 2014, 2257. 2 Zusammenfassend Buchholtz, ZD 2015, 570. 3 Gierschmann, ZD 2016, 51; von einem Marketingtrick sprechen Roßnagel/Nebel/Richter, ZD 2015, 455.

Kamlah

|

1079

Art. 17 DSGVO | Rechte der betroffenen Person Dass dieses Recht gleichwohl dann doch nicht so neu war und in der Begrifflichkeit eher zu Unsicherheiten führte, wurde im Rechtssetzungsverfahren erkannt und sorgte dann auch dafür, dass die Vorschrift nun ihre jetzige Überschrift bekam, aus der deutlich wird, dass es beim Recht auf Vergessenwerden schlicht um die datenschutzrechtliche Löschung geht.

II. Löschung auf Verlangen (Abs. 1) 3 Der Einleitungssatz des Abs. 1 lässt erkennen, wie wichtig dem Normengeber

dieser Regelungsbereich ist (s. soeben Einleitung Rz. 1 f.). Darin wird der Anspruch so formuliert, dass die betroffene Person das Recht hat, bei Vorliegen der in Abs. 1 aufgeführten Gründe die unverzügliche Löschung1 zu verlangen und, dass der Verantwortliche verpflichtet ist, die Löschung unverzüglich vorzunehmen.

4 Man hätte auch wie in Art. 16 etwas unaufgeregter formulieren können, dass auf

ein entsprechendes Verlangen hin eine Berichtigung bzw. hier die Löschung dann unverzüglich zu erfolgen hat. Die Formulierung, wonach eine „unverzügliche“ Löschung verlangt werden kann, ist vor dem Hintergrund, dass die Löschung ohnehin bei Vorliegen der entsprechenden Voraussetzungen (unverzüglich) vollzogen werden muss, im Grunde nicht nur überflüssig, sondern führt eher zur Unsicherheit, wenn nämlich die Löschung ohne die in der Verordnung formulierte Dringlichkeit verlangt wird. Dann könnte sich der Verantwortliche auf den Standpunkt stellen, die Löschung nicht sogleich vornehmen zu müssen.

5 Unklar bleibt ferner, ob die betroffene Person nicht nur das Löschungsverlangen

selbst artikulieren muss, sondern auch eine der in Buchst. a–f genannten Gründe angeben, sprich das Löschungsverlangen insoweit konkretisieren muss. Der Aufbau der Norm spricht eher dafür. Allerdings wird die betroffene Person in aller Regel immer auf irgendeine Weise äußern, dass sie die fortwährende Verarbeitung für unzulässig hält, so dass in jedem Fall der Verantwortliche Buchst. d zu prüfen hätte (s. dazu Rz. 12).

6 Die Vorschrift ähnelt im Aufbau der des Art. 16. Auch hier wird im Einleitungs-

satz ganz auf das Recht der betroffenen Person abgestellt. Dessen ungeachtet ergibt sich aber aus Art. 5 Abs. 1 Buchst. e, dass der Verantwortliche bereits eine eigene Verpflichtung hat, die Dauer seiner Datenverarbeitung zu überprüfen. Insoweit kann auf die Komm. zu Art. 5 DSGVO Rz. 14 ff. verwiesen werden. Aus der Formulierung des Eingangssatzes von Art. 17 kann also nicht geschlossen werden, dass eine Löschungsverpflichtung des für die Datenverarbeitung Verantwortlichen nur dann besteht, wenn ein entsprechendes Verlangen der betroffenen Person vorliegt. Dem entspricht auch der Erwägungsgrund 39, der ei1 Zum Begriff der Verarbeitung, der auch die Löschung enthält, s. Komm. zu Art. 4 DSGVO Nr. 2.

1080

|

Kamlah

Recht auf Löschung | Art. 17 DSGVO

nerseits den Verantwortlichen verpflichtet, regelmäßige Überprüfungen vorzunehmen, andererseits es diesem aber auch zubilligt, wenn dies nur in bestimmten Intervallen geschieht, so wie dieses bspw. bislang nach § 35 Abs. 2 Satz 2 Nr. 4 BDSG möglich und zulässig war. Hinsichtlich der übrigen tatbestandlichen Voraussetzungen des Eingangssatzes 7 zu Art. 17 kann auf die Komm. zu Art. 16 DSGVO Rz. 5 ff. verwiesen werden.

III. Die Löschungsgründe im Einzelnen In den Buchst. a–f werden die einzelnen Gründe aufgeführt, nach denen auf 8 Verlangen dann eine Löschung zu erfolgen hat. Dabei fällt auf, dass Buchst. d eigentlich eine Generalklausel darstellt, zu der die übrigen genannten Fälle eigentlich nur Unterfälle darstellen. § 35 BDSG formulierte auch nur die Löschungsverpflichtung bei unzulässiger Datenverarbeitung. Im Rahmen einer Inzidentprüfung waren dann darunter die Einzelnen (Un-)zulässigkeitstatbestände hineinzuprüfen. Diese Systematik hätte man auch bei Art. 17 beibehalten können. Es bestand aber offenbar das Bedürfnis, einzelne Tatbestände darüberhinausgehend noch einmal zu nennen. Nach Art. 17 Abs. 1 Buchst. a sind (auf Verlangen) die Daten zu löschen, wenn 9 sie für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr „notwendig“ sind. Das ist sprachlich insoweit ungenau, weil Art. 5 Abs. 1 Buchst. e den Begriff der „Erforderlichkeit“ (für die Zwecke) benutzt. Im Ergebnis dürften sich daraus aber keine Abweichungen ergeben. Allerdings bleibt offen, wie lange eine Verarbeitung (für bestimmte Zwecke) erforderlich bzw. notwendig ist. Neu ist diese Erforderlichkeitsregel jedoch nicht. Sie befand sich bereits in Art. 6 Abs. 1 Buchst. e EG-Datenschutzrichtlinie sowie in § 35 Abs. 2 Satz 2 Nr. 3 BDSG. Insoweit kann hinsichtlich der Anwendungsfälle auf die Komm. zu § 35 BDSG Rz. 19 ff. verwiesen werden. Weiterhin sind personenbezogene Daten zu löschen, wenn die betroffene Person 10 ihre Einwilligung widerruft, auf die sich die Verarbeitung gemäß Art. 6 Abs. 1 Buchst. a oder Art. 9 Abs. 2 Buchst. a stützte, und es an einer anderweitigen Rechtsgrundlage für die Verarbeitung der Daten fehlt, Art. 17 Abs. 1 Buchst. b. Bei dieser Vorschrift fällt auf, dass der Widerruf einer Einwilligung nicht automatisch zu einer Löschungsverpflichtung führt. Diese soll nur dann bestehen, wenn es (auch) an einer anderweitigen Rechtsgrundlage für die Verarbeitung fehlt. Damit ist durch die DSGVO die in Deutschland immer wieder diskutierte Streitfrage entschieden, ob zugunsten des Verantwortlichen nach einem Scheitern einer Einwilligung noch der Rückgriff auf einen gesetzlichen Zulässigkeitstatbestand möglich ist. Das ist nunmehr ausdrücklich zu bejahen. Bemerkenswert an der Vorschrift ist aber auch, dass sie nach Widerruf gleichwohl vom Grundsatz der Löschungsverpflichtung ausgeht, obwohl Art. 7 Abs. 3 bestimmt, Kamlah

|

1081

Art. 17 DSGVO | Rechte der betroffenen Person dass der Widerruf einer Einwilligung die Zulässigkeit einer bis dahin erfolgten Datenverarbeitung unberührt lässt. Diese Norm bestimmt richtigerweise die exnunc-Wirkung eines Widerrufs. Die aber über Art. 17 Abs. 1 Buchst. b statuierte Löschungsverpflichtung relativiert das dann aber stark. 11 Eine Löschung kann nach Art. 17 Abs. 1 Buchst. c auch dann verlangt werden,

wenn die betroffene Person gemäß Art. 21 Abs. 1 Widerspruch gegen die Verarbeitung personenbezogener Daten einlegt und keine vorrangigen berechtigten Gründe für die Verarbeitung vorliegen (hier sind die in Art. 21 Abs. 1 genannten Voraussetzungen hineinzulesen), oder die betroffene Person gemäß Art. 21 Abs. 2 Widerspruch gegen die Verarbeitung einlegt. Die erste Tatbestandsalternative knüpft an das Widerspruchsrecht nach Art. 21 Abs. 1 ein. Da aber die betroffene Person über Art. 17 Abs. 1 a, b, d und e zahlreiche Möglichkeiten besitzt, die „allgemeine“ Unzulässigkeit einer Verarbeitung zu rügen, stellt sich die Frage nach dem gesonderten Anwendungsbereich des Widerspruchsrechts nach Art. 21 Abs. 1. Die Vorschrift macht nur Sinn, wenn anders als bei den übrigen Löschungsgründen nicht die „allgemeine“ Unzulässigkeit gerügt wird, sondern die Datenverarbeitung an sich zulässig ist, gleichwohl eine gesonderte Abwägung zu einer Löschung führen kann (s.a. Komm. zu Art. 18 DSGVO und zu den Voraussetzungen im Einzelnen Art. 21 DSGVO Rz. 5). Zu beachten ist, dass die nach Art. 17 Abs. 1 Buchst. c vorzunehmende Prüfung einige Zeit in Anspruch nehmen kann. Will die betroffene Person in dieser Zeit die Verarbeitung einschränken, muss sie nach Art. 18 Abs. 1 Buchst. d vorgehen und gesondert ein entsprechendes Verlangen äußern.

12 Art. 17 Abs. 1 Buchst. d formuliert schlicht, dass die Löschung verlangt werden

kann, wenn die Daten unrechtmäßig verarbeitet wurden. Im Grunde bildet diese Variante eine Art Generalklausel wie sie auch schon in § 35 Abs. 2 Satz 2 Nr. 1 BDSG enthalten war. Innerhalb dieser Norm ist das Vorliegen einer Zulässigkeitsvariante nach Art. 6 zu prüfen.

13 Bei Art. 17 Abs. 1 Buchst. e besteht eigentlich auch eine Verpflichtung zur Lö-

schung, ohne dass die betroffene Person diese gesondert verlangen muss. Wenn nämlich eine Löschung der Daten zur Erfüllung einer rechtlichen Verpflichtung nach dem Recht der Union oder der Mitgliedstaaten erforderlich ist, dem der Verantwortliche unterliegt, ist bereits aufgrund dieser entsprechenden Verpflichtung zu löschen. Die Vorschrift ist insoweit eine „Öffnungsklausel“, als dass das Recht der Mitgliedstaaten jederzeit (weitere) Löschungen anordnen kann.

14 Wenn die Daten in Bezug auf angebotene Dienste der Informationsgesellschaft

gemäß Art. 8 Abs. 1 erhoben wurden, soll nach Erwägungsgrund 65 ein Recht auf Löschung auch dann bestehen (Art. 17 Abs. 1 Buchst. f), wenn die betreffende Person im Zeitpunkt ihres Löschungsverlangens kein Kind mehr ist. Die Vorschrift dient damit insbesondere dem Schutz von Kindern und etwa im Kindesalter abgegebenen Einwilligungen. 1082

|

Kamlah

Recht auf Löschung | Art. 17 DSGVO

IV. Informationspflicht nach Löschung (Abs. 2) Für den Fall, dass der Verantwortliche die personenbezogenen Daten öffentlich 15 gemacht hat, bestimmt Art. 17 Abs. 2 gesondert zu betrachtende Informationspflichten1. Art. 17 Abs. 2 ist insoweit eine Spezialvorschrift; die allgemeinen Mitteilungspflichten finden sich in Art. 192. Das Kriterium des Öffentlichmachens ist von dem der Offenlegung durch Übermittlung nach Art. 4 Abs. 2 zu unterscheiden. In Art. 17 Abs. 2 soll den besonderen Risiken im Netz Rechnung tragen (s.a. Erwägungsgrund 66), also die Folgen von an eine Öffentlichkeit gerichtete Angebote und die in diesem Zusammenhang stattfindende Preisgabe personenbezogener Daten an eben diese Öffentlichkeit regeln. Einzelheiten sind jedoch unklar, da die Vorschrift des Art. 17 Abs. 2 an zahlreiche unbestimmte Rechtsbegriffe geknüpft ist. So hat der Verantwortliche (nur) „unter Berücksichtigung der verfügbaren Technologie und der Implementierungskosten angemessene Maßnahmen, auch technischer Art zu treffen … .“. Die grundsätzliche Frage, die sich bei der Anwendung der Norm stellt, ist, ob dabei subjektiv auf den konkret Verantwortlichen oder objektiv auf einen allgemeinen Standard abzustellen ist. Letzteres würde insbesondere kleinere und mittlere Unternehmen stark treffen. Der Normzweck dürfte allerdings für einen objektiv anerkannten Standard sprechen.

V. Ausnahmen vom Löschungsanspruch (Abs. 3) Art. 17 Abs. 3 formuliert Ausnahmen vom Löschungsanspruch. Nach Art. 17 16 Abs. 3 Buchst. a soll ein Anspruch nicht bestehen, soweit die Verarbeitung zur Ausübung des Rechts auf freie Meinungsäußerung und Information erforderlich ist (s. hierzu auch Komm. zu Art. 85 DSGVO). Hintergrund der Norm ist, dass das Recht auf freie Meinungsäußerung und Information nur dann gewährleistet ist, wenn Informationen zur Willensbildung zur Verfügung stehen und diese nicht auf Verlangen der betroffenen Person gelöscht werden müssen3. Das ergibt sich nicht zuletzt aus Art. 11 GRCh4. Da das Recht auf Meinungsäußerung nicht nur von der Presse beansprucht 17 werden kann, sondern jedem als Grundrecht zur Verfügung steht, wird sich an 1 Für eine Informationspflicht gegenüber Dritten und keiner Löschungspflicht bei Dritten auch Roßnagel/Nebel/Richter, ZD 2016, 455. 2 BfDI-Info 6, April 2016, S. 14 sieht hier den Fokus auf Internetsuchmaschinen; zum Verhältnis von Art. 17 Abs. 2 und Art. 19 auch Schantz, NJW 2016, 1841. 3 Zur Eigenschaft von Scorewerten als Meinungsäußerung, BGH v. 22.2.2011 – VI ZR 120/ 10, NJW 2011, 2204; BGH v. 28.1.2014 – VI ZR 156/13, NJW 2014, 1235; OLG Oldenburg v. 29.3.2016 – 13 U 61/15. 4 S. hierzu auch Roßnagel/Nebel/Richter, ZD 2016, 455; Härting, Datenschutz-Grundverordnung, Rz. 704.

Kamlah

|

1083

Art. 17 DSGVO | Rechte der betroffenen Person dem Kriterium der Erforderlichkeit eine Abwägung herauszubilden haben, die die Rechte und Freiheiten der betroffenen Person, die sich auf die Löschung beruft und desjenigen, der sich auf die Meinungsfreiheit beruft voneinander abgrenzt (vgl. schon die Formulierung in Art. 9 EG-Datenschutzrichtlinie). Art. 17 regelt insoweit nur die Löschung personenbezogener Daten, nicht aber von (gespeicherten) Meinungen. Insoweit dürften diese dem Löschungsanspruch von vornherein entzogen sein. Aber bei personenbezogenen Daten kann die Interessenabwägung dann schwierig sein, wenn der Verantwortliche erst auf Basis von personenbezogenen Daten als der einer Meinung zugrunde liegenden Tatsache erst zu eben dieser Meinung gelangt ist oder gelangen konnte. Hier ist bei dem Löschungsbegehren abzuwägen, ob das der Meinung zugrunde liegende personenbezogene Datum (noch) für die Meinungsbildung erforderlich ist. Ein wesentliches Kriterium hierfür dürfte daher das Alter dieses personenbezogenen Datums sein1. 18 Art. 17 Abs. 3 Buchst. b greift die Zulässigkeitstatbestände des Art. 6 Abs. 1

Buchst. c und e, Abs. 2 und Abs. 3 auf. Danach kann eine Datenverarbeitung nicht nur (nach nationalem Recht) vorgeschrieben sein, sondern auch eine (länger währende) Verarbeitung im Sinne einer Speicherung. In diesen Fällen geht die gesetzliche Anordnung der Speicherung einem etwaigen Löschungsersuchen der betroffenen Person vor. Art. 17 Abs. 3 Buchst. b löst damit einen Zielkonflikt und schafft Rechtssicherheit für den Verantwortlichen.

19 Nach Art. 17 Abs. 3 Buchst. c besteht ein Löschungsanspruch auch im Bereich

des im öffentlichen Interesse liegenden Gesundheitsschutzes nicht.

Entsprechendes gilt für die in Art. 17 Abs. 3 Buchst. d genannten Zwecke, womit die Datenverarbeitung nach Art. 89 auch im Bereich der Löschungsansprüche privilegiert werden. Ob die im letzten Halbsatz genannte Einschränkung der Privilegierung tatsächlich oft greifen wird, ist fraglich, denn in aller Regel wird man erst dann zu den entsprechenden (Forschungs-)Ergebnissen kommen, wenn man alle personenbezogenen Daten verarbeitet hat. Erst danach kann ein Löschungsanspruch (wieder) relevant werden. 20 Schließlich soll ein Löschungsanspruch auch dann nicht bestehen, wenn die

Verarbeitung der personenbezogenen Daten zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist. Eine ähnliche Vorschrift ist auch in Art. 21 Abs. 1 a.E. enthalten. Sie dient dazu, dass die Rechtsdurchsetzung, aber auch die Rechtsverteidigung nicht dadurch eingeschränkt werden soll, in dem die andere Seite durch Geltendmachung von Löschungsansprüchen eben gerade diese Rechtsdurchsetzung oder Rechtsverteidigung behindert. Der (Prozess-)Gegner soll nicht über Löschungsansprüche Beweismittel oder anspruchsbegründende Tatsachen vernichten können. 1 EuGH v. 13.5.2014 – C-131/12, NJW 2014, 2257.

1084

|

Kamlah

Recht auf Einschränkung der Verarbeitung | Art. 18 DSGVO

Artikel 18 Recht auf Einschränkung der Verarbeitung (1) Die betroffene Person hat das Recht, von dem Verantwortlichen die Einschränkung der Verarbeitung zu verlangen, wenn eine der folgenden Voraussetzungen gegeben ist: a) die Richtigkeit der personenbezogenen Daten von der betroffenen Person bestritten wird, und zwar für eine Dauer, die es dem Verantwortlichen ermöglicht, die Richtigkeit der personenbezogenen Daten zu überprüfen, b) die Verarbeitung unrechtmäßig ist und die betroffene Person die Löschung der personenbezogenen Daten ablehnt und stattdessen die Einschränkung der Nutzung der personenbezogenen Daten verlangt; c) der Verantwortliche die personenbezogenen Daten für die Zwecke der Verarbeitung nicht länger benötigt, die betroffene Person sie jedoch zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigt, oder d) die betroffene Person Widerspruch gegen die Verarbeitung gemäß Artikel 21 Absatz 1 eingelegt hat, solange noch nicht feststeht, ob die berechtigten Gründe des Verantwortlichen gegenüber denen der betroffenen Person überwiegen. (2) Wurde die Verarbeitung gemäß Absatz 1 eingeschränkt, so dürfen diese personenbezogenen Daten – von ihrer Speicherung abgesehen – nur mit Einwilligung der betroffenen Person oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen oder zum Schutz der Rechte einer anderen natürlichen oder juristischen Person oder aus Gründen eines wichtigen öffentlichen Interesses der Union oder eines Mitgliedstaats verarbeitet werden. (3) Eine betroffene Person, die eine Einschränkung der Verarbeitung gemäß Absatz 1 erwirkt hat, wird von dem Verantwortlichen unterrichtet, bevor die Einschränkung aufgehoben wird. I. Einführung . . . . . . . . . . . . . . . II. Einschränkung der Verarbeitung auf Verlangen (Abs. 1) . . . III. Die Einschränkungsgründe im Einzelnen . . . . . . . . . . . . . . . .

1 2

IV. Verarbeitung trotz Einschränkung (Abs. 2) . . . . . . . . . . . . . 14 V. Information der betroffenen Person (Abs. 3) . . . . . . . . . . . . 20

4

Schrifttum: Siehe Art. 12 DSGVO.

Kamlah

|

1085

Art. 18 DSGVO | Rechte der betroffenen Person I. Einführung 1 Art. 18 formuliert die Voraussetzungen für die sog. „Einschränkung der Ver-

arbeitung“. Die Einschränkung der Verarbeitung ist in Art. 4 Nr. 3 gesondert definiert. Dort heißt es etwas zirkelschlussartig, dass die Einschränkung der Verarbeitung die Markierung gespeicherter personenbezogener Daten mit dem Ziel bedeutet, ihre künftige Verarbeitung einzuschränken. Was unter Verarbeitung wiederum zu verstehen ist ergibt sich aus der umfassenden Definition des Art. 4 Nr. 2. Nicht in Art. 4 Abs. 3 definiert ist hingegen der Begriff der „Markierung“ (s. hierzu Komm. zu Art. 4 DSGVO). Allerdings enthält der Erwägungsgrund 67 Hinweise, wie die Einschränkung im Einzelfall vorgenommen werden kann. Im Ergebnis entspricht aber die Einschränkung der Verarbeitung dem bislang aus dem BDSG bekannten Begriff der Sperrung. Die (bloße) Markierung bedeutet also, dass die Daten grundsätzlich weiter gespeichert bleiben dürfen. Sie müssen aber so gekennzeichnet werden, dass sie auch technisch so ausgesteuert werden können, dass die weitere Verarbeitung unterbleibt. Methoden zur Beschränkung der Verarbeitung personenbezogener Daten könnten nach Erwägungsgrund 67 u.a. darin bestehen, dass ausgewählte personenbezogenen Daten vorübergehend auf ein anderes Verarbeitungssystem übertragen, dass sie für Nutzer gesperrt oder dass veröffentliche Daten vorübergehend von einer Website entfernt werden. In automatisierten Dateisystemen sollte die Einschränkung der Verarbeitung grundsätzlich durch technische Mittel so erfolgen, dass die personenbezogenen Daten in keiner Weise weiterverarbeitet und nicht verändert werden können. Auf die Tatsache, dass die Verarbeitung der personenbezogenen Daten beschränkt wurde, sollte in dem System unmissverständlich hingewiesen werden.

II. Einschränkung der Verarbeitung auf Verlangen (Abs. 1) 2 Der Einleitungssatz des Art. 18 Abs. 1 ist ähnlich aufgebaut wie der des Art. 17.

Danach hat die betroffene Person ein Recht die Einschränkung der Verarbeitung zu verlangen, wenn die in der Norm aufgeführten Voraussetzungen vorliegen. Die Einschränkung ist mithin (nur) auf ein entsprechend geäußertes Verlangen der betroffenen Person hin vorzunehmen. Eine besondere Form ist wie schon bei den Art. 16 und 17 nicht vorgeschrieben. Insoweit kann auf die Komm. zu Art. 16 DSGVO Rz. 5 ff. verwiesen werden.

3 Anders als Art. 16 und 17 enthalten Art. 18 und 5 keine Vorschrift, die ein selb-

ständiges Tätigwerden des Verantwortlichen begründen könnte. Insoweit hat der Verantwortliche die Einschränkung der Verarbeitung tatsächlich nur auf Verlangen der betroffenen Person vorzunehmen.

1086

|

Kamlah

Recht auf Einschränkung der Verarbeitung | Art. 18 DSGVO

III. Die Einschränkungsgründe im Einzelnen In den Buchst. a–d werden die einzelnen Tatbestände aufgeführt, nach denen 4 die betroffene Person eine Einschränkung der Verarbeitung verlangen kann. Auch wenn das Verlangen nicht an eine besondere Form gebunden ist, wird man innerhalb des Art. 18 zugunsten des Verantwortlichen annehmen können, dass die betroffene Person hinreichend deutlich machen muss, auf welchen Tatbestand er sich im Einzelnen beruft. Bei undeutlichen Einschränkungsverlangen sind Rückfragen möglich, ohne dass der Verantwortliche in Verzug gerät (s. schon Art. 16 DSGVO Rz. 9). Nach Buchst. a hat der Verantwortliche die Verarbeitung der personenbezoge- 5 nen Daten einzuschränken, wenn deren Richtigkeit von der betroffenen Person bestritten wird. Wie schon bei Art. 17 ergibt sich daraus, dass die betroffene Person die entsprechenden Daten dann auch möglichst genau zu bezeichnen hat, damit der Verantwortliche dann auch dort die entsprechende „Markierung“ setzen kann. Bei ungenauen Einschränkungsverlangen sind dementsprechend Rückfragen möglich (s. Komm. zu Art. 16 DSGVO Rz. 9). Ausweislich des Wortlauts der Vorschrift kann eine Einschränkung nur dann 6 verlangt werden, wenn die Richtigkeit der personenbezogenen Daten von der betroffenen Person bestritten wird. Das Bestreiten der Zulässigkeit der Verarbeitung richtet sich vielmehr nach Art. 17 und führt nach dem Wortlaut nicht zur (vorübergehenden) Einschränkung der Verarbeitung. Vielmehr hat der Verantwortliche nach Art. 17 unverzüglich zu löschen und nicht nur die Verarbeitung einzuschränken. Allerdings stellt sich die Frage, ob der Verantwortliche auch beim Bestreiten 7 der Zulässigkeit nach Art. 17 während der Zeit, in der der Verantwortliche die Zulässigkeit der Verarbeitung billigenswerterweise (s. Komm. zu Art. 17 DSGVO Rz. 7 und Art. 16 DSGVO Rz. 9) überprüfen darf, die entsprechenden personenbezogenen Daten ebenfalls dergestalt markieren muss, dass vorübergehend deren Verarbeitung unterbleibt. Begreift man die Richtigkeit der Daten als Minus zur Zulässigkeit, wäre diese Auslegung konsequent. Hierfür scheint zu sprechen, dass Art. 5 Buchst. d die Richtigkeit als Datenverarbeitungsprinzip formuliert und sogar vorsieht, dass personenbezogene Daten unter Umständen auch zu löschen sind. Ähnlich wie bei § 35 Abs. 4 BDSG (s. Komm. § 35 BDSG Rz. 37) soll offensichtlich bei mangelnder Korrekturmöglichkeit die Löschungsverpflichtung stehen, denn an (dauerhaft) unrichtigen Daten, deren Richtigkeit sich nicht herstellen lässt kann kein Verarbeitungsinteresse bestehen. Für die hier diskutierte Frage bedeutet dies indes, dass im Wege des Erst-Recht-Schlusses die Verarbeitung der personenbezogenen Daten auch dann einzuschränken ist, wenn nicht deren Richtigkeit, sondern deren zulässige Verarbeitung bestritten wird. Das gilt zumindest in den Fällen, in denen keine rasche Klärung zu erwarten ist. Kamlah

|

1087

Art. 18 DSGVO | Rechte der betroffenen Person 8 Die Dauer der vorzunehmenden Einschränkung ist in zweierlei Hinsicht be-

grenzt. Zum einen definiert die Vorschrift eine Mindestdauer und zwar so lange bis es dem Verantwortlichen möglich ist, die Richtigkeit der personenbezogenen Daten zu überprüfen. Das schließt etwaige Bearbeitungszeiten Dritter, bei denen sich der Verantwortliche ggf. erkundigen muss mit ein. Wird aber die Überprüfbarkeit dauerhaft unmöglich, besteht nach der hier vertretenen Ansicht nicht nur die Pflicht zur Berichtigung (wie auch), sondern zur Löschung. Allerdings trägt die betroffene Person als diejenige, die sich auf den Anspruch beruft eine gewisse Darlegungslast und darf die Aufklärung nicht unbillig vereiteln.

9 Allerdings setzt sich hier die bereits unter der Geltung des BDSG diskutierte

Frage fort, ob die Tatsache der eingeschränkten Verarbeitung Dritten mitgeteilt werden darf. Für das BDSG wurde diese Frage durch die Einführung des § 35 Abs. 4a BDSG scheinbar geklärt (s. Komm. zu § 35 BDSG Rz. 40 f.). Eine vergleichbare Vorschrift ist in Art. 18 aber nicht mehr enthalten. Auch der Abs. 2 der Vorschrift spricht nur davon, wie mit den „markierten“ Daten umzugehen ist, nicht aber davon, ob ein (abstrakter) Hinweis offengelegt werden kann, der einen Hinweis auf noch vorhandene aber eben vorübergehend der Verarbeitung entzogene Daten bietet. Dementsprechend wird man Verantwortlichen, die Auskünfte erteilen und deren Empfänger – bspw. im Rahmen von auch europarechtlich vorgegebenen Kreditwürdigkeitsprüfungen – auf die Vollständigkeit und Richtigkeit der Auskünfte vertrauen dürfen, die Möglichkeit zubilligen müssen entsprechend abstrakt formulierte Hinweise zu geben. Ohne diesen Hinweis entstünde ansonsten der irreführende Eindruck, es lägen gar keine Daten vor. Auch würde ein Fehlen eines solchen Hinweises dazu führen, dass die Einschränkung der Datenverarbeitung (im Außenverhältnis) der Löschung gleichgestellt würde. Dass dieses gewollt war, kann der Vorschrift aber nicht entnommen werden. Im Gegenteil scheint Art. 18 Abs. 2 Alt. 3 das hier gefundene Ergebnis zu stützen. Dem entspricht auch die Formulierung von Erwägungsgrund 67 a.E.

10 Art. 18 Abs. 1 Buchst. b regelt den – wohl eher seltenen – Fall, dass wegen un-

zulässiger Datenverarbeitung an sich zu löschende Daten deshalb nicht gelöscht werden sollen, weil die betroffene Person deren Löschung widerspricht und vielmehr nur deren Einschränkung verlangt. Praktischer Anwendungsfall könnte sein, dass die betroffene Person die (unzulässig) verarbeiteten Daten zu Beweissicherungszwecken erhalten wissen möchte.

11 Von Buchst. b kaum zu unterscheiden ist der Anwendungsbereich des Art. 18

Abs. 1 Buchst. c. Danach steht der betroffenen Person ein Recht auf Einschränkung der Verarbeitung zu, wenn der Verantwortliche die personenbezogenen Daten für die Zwecke der Verarbeitung nicht länger benötigt, die betroffene Person sie jedoch zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigt. Wenn aber der Verantwortliche die personenbezogenen Daten für die Zwecke der Verarbeitung nicht länger benötigt, wären sie aber nach Art. 17 Abs. 1 Buchst. a zu löschen. Entsprechendes ist bereits aus Art. 5 1088

|

Kamlah

Recht auf Einschränkung der Verarbeitung | Art. 18 DSGVO

Abs. 1 Buchst. e ableitbar. Insoweit handelt es sich bei Art. 18 Abs. 1 Buchst. c im Grunde um einen Unterfall des Art. 18 Abs. 1 Buchst. b. Da Art. 18 Abs. 1 Buchst. b und c von der Unzulässigkeit der Datenverarbeitung 12 ausgehen, stellt sich die bei Art. 18 Abs. 1 Buchst. a diskutierte Frage der Dauer der Überprüfung und der einer ggf. unterdessen bestehenden Hinweismöglichkeit nicht. Nach Art. 18 Abs. 1 Buchst. d besteht zugunsten der betroffenen Person auch 13 dann ein Recht die Einschränkung der Datenverarbeitung zu verlangen, wenn sie gegen die Verarbeitung nach Art. 21 Abs. 1 Widerspruch eingelegt hat und solange noch nicht feststeht, ob die berechtigten Gründe des Verantwortlichen gegenüber denen der betroffenen Person überwiegen. Da aber nach der hier vertretenen Ansicht nicht nur das Bestreiten der Richtigkeit, sondern auch das Bestreiten der Zulässigkeit dazu führt, dass eine Einschränkung der Verarbeitung verlangt werden kann, stellt sich die Frage des Anwendungsbereichs dieser Vorschrift. Aus welchem Grund sollte die betroffene Person ihr Widerspruchsrecht ausüben, wenn sie sich nicht gegen die Richtigkeit der Daten oder Zulässigkeit der Datenverarbeitung wendet. Es spricht daher vieles dafür, dass Art. 21 Abs. 1 einen Sonderfall beschreiben möchte und insoweit eingeschränkt auszulegen ist, was sich nicht zuletzt auch aus der im zweiten Halbsatz formulierten gesonderten Interessenabwägung ergibt (Einzelheiten s. Komm. zu Art. 21 DSGVO Rz. 5). Anders als Art. 18 Abs. 1 Buchst. a erwähnt Art. 18 Abs. 1 Buchst. d keine Dauer für die danach vorzunehmende Prüfung. Eine gewisse Dauer der Prüfung wird man dem Verantwortlichen aber auch hier zubilligen müssen. Dieser wird auch hier ein Interesse an einer raschen Aufklärung haben, zu denen auch ergänzende Informationen der betroffenen Person gehören. Diese wird – da sie sich auf den Anspruch beruft – zumindest eine Darlegungslast haben, damit der Verantwortliche die entsprechende Prüfung und Abwägung ggf. nach Beschaffen von weiteren Informationen überhaupt erst vornehmen kann.

IV. Verarbeitung trotz Einschränkung (Abs. 2) Art. 18 Abs. 2 bestimmt, dass nach einer gemäß Abs. 1 erfolgten Einschränkung 14 die entsprechenden Daten – abgesehen von deren Speicherung – nur – mit Einwilligung der betroffenen Person oder – zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen oder – zum Schutz der Rechte einer anderen natürlichen oder juristischen Person oder – aus Gründen eines wichtigen öffentlichen Interesses der Union oder eines Mitgliedstaates verarbeitet werden. Kamlah

|

1089

Art. 18 DSGVO | Rechte der betroffenen Person 15 Dass die Speicherung der Daten im Falle der Einschränkung der Verarbeitung

vorbehaltlos gestattet ist, versteht sich von selbst, da die betreffenden Daten ja gerade nicht gelöscht, sondern nur markiert werden müssen.

16 Ausweislich des Wortes „oder“ stehen die verschiedenen Ausnahmealternativen

des Art. 18 Abs. 2 gleichrangig nebeneinander.

Die erste Alternative erscheint folgerichtig. Die betroffene Person, die (vorher) die Einschränkung der Datenverarbeitung verlangt hat, soll diese (situativ) wieder aufheben können. Der praktische Anwendungsfall ist allerdings nicht zweifelsfrei zu ermitteln, denn die nach erfolgter „Markierung“ immer noch gespeicherten Daten kann die betroffene Person bereits nach Art. 15 zur Kenntnis erhalten. Die Offenlegung an die betroffene Person selbst kann also das Regelungsbedürfnis hier nicht begründen. Es können dagegen nur Fälle gemeint sein, in denen es die betroffene Person dem Verantwortlichen gestattet, die vorher „markierten“ personenbezogenen Daten gleichwohl (anderweitig) weiterzuverarbeiten. Praktischer Anwendungsfall kann die Offenlegung sein, die die betroffene Person dann ausdrücklich gestattet. Zu denken wäre hier an die Offenlegung bspw. gegenüber einem Prozessbevollmächtigten, wobei auch die nach Art. 15 erteilte Auskunft an diesen weitergegeben werden kann. 17 Die zweite Ausnahmealternative in Art. 18 Abs. 2 korrespondiert mit Art. 17

Abs. 3 Buchst. e. So ist es denkbar, dass nach Art. 18 Abs. 1 – etwa im Zuge eines Löschungsbegehrens – (vorübergehend) die Verarbeitung personenbezogener Daten eingeschränkt musste. In diesen Fällen sollen aber zur Rechtsdurchsetzung bzw. Rechtsverteidigung die Daten gleichwohl verarbeitbar sein, um eben diese nicht zu behindern (s.a. Komm. zu Art. 21 DSGVO Rz. 8).

18 Dieser Auslegung entspricht auch die dritte Alternative, in der nun ausdrücklich

geregelt ist, dass die Weiterverarbeitung auch zum Schutz der Rechte einer anderen natürlichen oder juristischen Person möglich ist. Wenn aber sogar die Weiterverarbeitung der konkreten personenbezogenen Daten (ohne Zustimmung der betroffenen Person) zulässig ist, dann muss es erst Recht zulässig sein zum Schutz der Rechte einer anderen natürlichen oder juristischen Person diese über das Vorliegen von „markierten“ personenbezogenen Daten abstrakt zu informieren (s. Rz. 9) zur bei Auskunfteien bestehenden Problematik.

19 Schließlich kann eine Weiterverarbeitung auch aus Gründen eines wichtigen öf-

fentlichen Interesses der Union oder eines Mitgliedstaates verarbeitet werden.

V. Information der betroffenen Person (Abs. 3) 20 Nach Art. 18 Abs. 3 ist die betroffene Person vor Aufhebung der Einschränkung

zu informieren. Auffällig ist dabei, dass Abs. 3 nur auf Abs. 1 verweist. Das ist insoweit folgerichtig, da nach Abs. 2 (punktuelle) Aufhebungen auch ohne Wissen und Wollen der betroffenen Person möglich ist. 1090

|

Kamlah

Mitteilungspflicht | Art. 19 DSGVO

Innerhalb des Abs. 1 kommen aber als praktischer Anwendungsfall für den 21 Abs. 3 auch nur Buchst. a und d in Betracht, da nach den Buchst. b und c die Daten ohnehin nur für die betroffene Person aufbewahrt werden. Da die nach Buchst. b und c aufbewahrten Daten unzulässigerweise gespeichert sind, hat eigentlich deren Löschung zu erfolgen wenn die betroffene Person die deren Einschränkung verlangt hat, diese nicht mehr benötigt. Sinn mach daher Art. 18 Abs. 3 eigentlich nur in den Fällen des Art. 18 Abs. 1 22 Buchst. a und d, da in diesen beiden Fällen eine Überprüfung bzw. Wertung durch den Verantwortlichen erfolgt über dessen Ausgang die betroffene Person vorher zu unterrichten ist, um ggf. weitere Dispositionen treffen zu können.

Artikel 19 Mitteilungspflicht im Zusammenhang mit der Berichtigung oder Löschung personenbezogener Daten oder der Einschränkung der Verarbeitung Der Verantwortliche teilt allen Empfängern, denen personenbezogenen Daten offengelegt wurden, jede Berichtigung oder Löschung der personenbezogenen Daten oder eine Einschränkung der Verarbeitung nach Artikel 16, Artikel 17 Absatz 1 und Artikel 18 mit, es sei denn, dies erweist sich als unmöglich oder ist mit einem unverhältnismäßigen Aufwand verbunden. Der Verantwortliche unterrichtet die betroffene Person über diese Empfänger, wenn die betroffene Person dies verlangt. I. Einführung . . . . . . . . . . . . . . . II. Die Voraussetzungen im Einzelnen . . . . . . . . . . . . . . . .

1 3

III. Einschränkungen von der Mitteilungspflicht . . . . . . . . . . IV. Unterrichtung der betroffenen Person . . . . . . . . . . . . . . . . . .

5 7

Schrifttum: Siehe Art. 12 DSGVO.

I. Einführung Art. 19 knüpft an die Art. 16, 17 Abs. 1 und 18 an. Danach teilt der Verantwort- 1 liche allen Empfängern, denen personenbezogene Daten offengelegt wurden, jede Berichtigung (Art. 16) oder Löschung (Art. 17 Abs. 1) der personenbezogenen Daten mit. Voraussetzung ist also, dass es vorangegangene Übermittlungen an konkrete Empfänger überhaupt gab1. Eine ähnliche Vorschrift fand sich schon in 1 BfDI-Info 6, April 2016, S. 14.

Kamlah

|

1091

Mitteilungspflicht | Art. 19 DSGVO

Innerhalb des Abs. 1 kommen aber als praktischer Anwendungsfall für den 21 Abs. 3 auch nur Buchst. a und d in Betracht, da nach den Buchst. b und c die Daten ohnehin nur für die betroffene Person aufbewahrt werden. Da die nach Buchst. b und c aufbewahrten Daten unzulässigerweise gespeichert sind, hat eigentlich deren Löschung zu erfolgen wenn die betroffene Person die deren Einschränkung verlangt hat, diese nicht mehr benötigt. Sinn mach daher Art. 18 Abs. 3 eigentlich nur in den Fällen des Art. 18 Abs. 1 22 Buchst. a und d, da in diesen beiden Fällen eine Überprüfung bzw. Wertung durch den Verantwortlichen erfolgt über dessen Ausgang die betroffene Person vorher zu unterrichten ist, um ggf. weitere Dispositionen treffen zu können.

Artikel 19 Mitteilungspflicht im Zusammenhang mit der Berichtigung oder Löschung personenbezogener Daten oder der Einschränkung der Verarbeitung Der Verantwortliche teilt allen Empfängern, denen personenbezogenen Daten offengelegt wurden, jede Berichtigung oder Löschung der personenbezogenen Daten oder eine Einschränkung der Verarbeitung nach Artikel 16, Artikel 17 Absatz 1 und Artikel 18 mit, es sei denn, dies erweist sich als unmöglich oder ist mit einem unverhältnismäßigen Aufwand verbunden. Der Verantwortliche unterrichtet die betroffene Person über diese Empfänger, wenn die betroffene Person dies verlangt. I. Einführung . . . . . . . . . . . . . . . II. Die Voraussetzungen im Einzelnen . . . . . . . . . . . . . . . .

1 3

III. Einschränkungen von der Mitteilungspflicht . . . . . . . . . . IV. Unterrichtung der betroffenen Person . . . . . . . . . . . . . . . . . .

5 7

Schrifttum: Siehe Art. 12 DSGVO.

I. Einführung Art. 19 knüpft an die Art. 16, 17 Abs. 1 und 18 an. Danach teilt der Verantwort- 1 liche allen Empfängern, denen personenbezogene Daten offengelegt wurden, jede Berichtigung (Art. 16) oder Löschung (Art. 17 Abs. 1) der personenbezogenen Daten mit. Voraussetzung ist also, dass es vorangegangene Übermittlungen an konkrete Empfänger überhaupt gab1. Eine ähnliche Vorschrift fand sich schon in 1 BfDI-Info 6, April 2016, S. 14.

Kamlah

|

1091

Art. 19 DSGVO | Rechte der betroffenen Person § 35 Abs. 7 BDSG. Auffällig aber konsequent ist, dass Art. 19 nicht auf Art. 17 Abs. 2 verweist. Letztere Vorschrift ist jedoch Spezialvorschrift für die Fälle, in denen der Verantwortliche die personenbezogenen Daten öffentlich gemacht hat. 2 Gleichzeitig soll der Verantwortliche nach Art. 19 auch allen Empfängern eine

Einschränkung mitteilen. Die Einschränkung der Verarbeitung ist aber in Art. 18 isoliert geregelt und verweist ihrerseits nicht auf die Art. 16 und 17. Insoweit ist die Vorschrift sprachlich missglückt. Insgesamt sollte mit Art. 19 in Ergänzung zu Art. 17 Abs. 2 der Gedanke einer „Folgenbeseitigung“ transportiert werden.

II. Die Voraussetzungen im Einzelnen 3 Der Verantwortliche soll nach Art. 19 grundsätzlich allen Empfängern, denen

personenbezogene Daten offengelegt wurden, jede Berichtigung (nach Art. 16) oder Löschung (nach Art. 17 Abs. 1) mitteilen. Damit soll sichergestellt werden, dass sich nicht bei den Empfängern fehlerhafte oder unzulässige Daten und Datenbestände perpetuieren. Da die Vorschrift nicht auf den Dritten, sondern auf den Empfänger abstellt, erfährt sie eine gewisse Weite. Insbesondere umfasst der Begriff des „Empfängers“ auch etwaige Auftragsverarbeiter, obwohl diese keine „Dritten“ darstellen.

4 Daneben soll der Verantwortliche aber auch über eine Einschränkung nach

Art. 18 informieren. Ob das jedoch im Sinne der betroffenen Person ist, erscheint zweifelhaft. Denn die Vorschrift führt dazu, dass über die Information gerade nicht die von der betroffenen Person verlangte Einschränkung stattfindet, sondern dass sich das Einschränkungsverlangen und damit auch unter Umständen die personenbezogenen Daten seinerseits verbreitet. In den Fällen des Art. 18 Abs. 1 Buchst. b und c ergibt sich eine Informationspflicht eigentlich schon aus Art. 19 i.V.m. Art. 17 Abs. 1. In den Fällen des Art. 18 Abs. 1 Buchst. a und d erscheint dagegen eine Information nicht sinnvoll, da erst noch eine Prüfung stattfindet, an deren Ende auch stehen kann, dass die personenbezogenen Daten zurecht verarbeitet wurden. Eine zwischenzeitlich flächendeckend erteilte Information würde alle Beteiligten nur irritieren und möglicherweise eher Nachteile für die betroffene Person bedingen.

III. Einschränkungen von der Mitteilungspflicht 5 Die grundsätzlich bestehende Mitteilungspflicht entfällt jedoch, wenn sie sich als

unmöglich erweist oder mit unverhältnismäßigem Aufwand verbunden ist.

6 Es stellt sich bereits die Frage, ob sie nicht bereits deshalb mit unverhältnismäßi-

gem Aufwand verbunden ist, weil die Vorschrift auf den Empfänger abstellt. Es ist jedoch davon auszugehen, dass dem Verordnungsgeber das bewusst gewesen ist. Es müssen mithin weitere Umstände hinzutreten. Ein unverhältnismäßiger 1092

|

Kamlah

Recht auf Datenübertragbarkeit | Art. 20 DSGVO

Aufwand kann sich in Abgrenzung zur gleichrangig daneben stehenden Unmöglichkeit aus technisch-operativen Aspekten ergeben. Diese können dann unter Umständen doch wieder aus der Vielzahl der Empfänger und der damit verbundenen Vielzahl an Mitteilungen bedingt sein. Unmöglichkeit kann sich dagegen aus rechtlichen Gründen ergeben (zur Abgrenzung s. schon Art. 14 Abs. 5) oder wenn die Empfänger schlicht nicht mehr bekannt sind.

IV. Unterrichtung der betroffenen Person Nach Art. 19 Satz 2 hat der Verantwortliche die betroffene Person über die 7 (nachinformierten) Empfänger zu unterrichten, wenn die betroffene Person das verlangt. Das Verlangen selbst ist nicht weiter konkretisiert. Der selbständige Anwendungsbereich der Vorschrift erschließt sich erst aus dem Vergleich mit Art. 15 Abs. 1 Buchst. c. Dort ist es zur Erfüllung des Anspruchs ausreichend, „nur“ über die Kategorien von Empfängern Auskunft zu erteilen. Das reicht im Anwendungsbereich des Art. 19 nicht mehr. Das führt zur Frage, ob der Verantwortliche die Empfänger vorsichtshalber vorhalten muss, nur um sie im Falle des Art. 19 dann auch beauskunften zu können. Das würde jedoch zu weit führen und das Kriterium der Unmöglichkeit weitestgehend leer laufen lassen. Sollten sie aber gleichwohl vorhanden sein, wären sie aber ohnehin als gespeicherte Daten bereits nach Art. 15 zu beauskunften. Insoweit ist Art. 19 Satz 2 auch systematisch falsch verortet und im Grunde überflüssig, da nicht vorhandene personenbezogene Daten weder nach Art. 15 noch nach Art. 19 zu beauskunften sind. Eine Verpflichtung zur Speicherung alleine zum Zwecke der Beauskunftung an betroffene Personen ist jedoch der Verordnung nicht zu entnehmen (vgl. Komm. zu Art. 15 DSGVO Rz. 13).

Artikel 20 Recht auf Datenübertragbarkeit (1) Die betroffene Person hat das Recht, die sie betreffenden personenbezogenen Daten, die sie einem Verantwortlichen bereitgestellt hat, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten, und sie hat das Recht, diese Daten einem anderen Verantwortlichen ohne Behinderung durch den Verantwortlichen, dem die personenbezogenen Daten bereitgestellt wurden, zu übermitteln, sofern a) die Verarbeitung auf einer Einwilligung gemäß Artikel 6 Absatz 1 Buchstabe a oder Artikel 9 Absatz 2 Buchstabe a oder auf einem Vertrag gemäß Artikel 6 Absatz 1 Buchstabe b beruht und b) die Verarbeitung mithilfe automatisierter Verfahren erfolgt. Kamlah

|

1093

Recht auf Datenübertragbarkeit | Art. 20 DSGVO

Aufwand kann sich in Abgrenzung zur gleichrangig daneben stehenden Unmöglichkeit aus technisch-operativen Aspekten ergeben. Diese können dann unter Umständen doch wieder aus der Vielzahl der Empfänger und der damit verbundenen Vielzahl an Mitteilungen bedingt sein. Unmöglichkeit kann sich dagegen aus rechtlichen Gründen ergeben (zur Abgrenzung s. schon Art. 14 Abs. 5) oder wenn die Empfänger schlicht nicht mehr bekannt sind.

IV. Unterrichtung der betroffenen Person Nach Art. 19 Satz 2 hat der Verantwortliche die betroffene Person über die 7 (nachinformierten) Empfänger zu unterrichten, wenn die betroffene Person das verlangt. Das Verlangen selbst ist nicht weiter konkretisiert. Der selbständige Anwendungsbereich der Vorschrift erschließt sich erst aus dem Vergleich mit Art. 15 Abs. 1 Buchst. c. Dort ist es zur Erfüllung des Anspruchs ausreichend, „nur“ über die Kategorien von Empfängern Auskunft zu erteilen. Das reicht im Anwendungsbereich des Art. 19 nicht mehr. Das führt zur Frage, ob der Verantwortliche die Empfänger vorsichtshalber vorhalten muss, nur um sie im Falle des Art. 19 dann auch beauskunften zu können. Das würde jedoch zu weit führen und das Kriterium der Unmöglichkeit weitestgehend leer laufen lassen. Sollten sie aber gleichwohl vorhanden sein, wären sie aber ohnehin als gespeicherte Daten bereits nach Art. 15 zu beauskunften. Insoweit ist Art. 19 Satz 2 auch systematisch falsch verortet und im Grunde überflüssig, da nicht vorhandene personenbezogene Daten weder nach Art. 15 noch nach Art. 19 zu beauskunften sind. Eine Verpflichtung zur Speicherung alleine zum Zwecke der Beauskunftung an betroffene Personen ist jedoch der Verordnung nicht zu entnehmen (vgl. Komm. zu Art. 15 DSGVO Rz. 13).

Artikel 20 Recht auf Datenübertragbarkeit (1) Die betroffene Person hat das Recht, die sie betreffenden personenbezogenen Daten, die sie einem Verantwortlichen bereitgestellt hat, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten, und sie hat das Recht, diese Daten einem anderen Verantwortlichen ohne Behinderung durch den Verantwortlichen, dem die personenbezogenen Daten bereitgestellt wurden, zu übermitteln, sofern a) die Verarbeitung auf einer Einwilligung gemäß Artikel 6 Absatz 1 Buchstabe a oder Artikel 9 Absatz 2 Buchstabe a oder auf einem Vertrag gemäß Artikel 6 Absatz 1 Buchstabe b beruht und b) die Verarbeitung mithilfe automatisierter Verfahren erfolgt. Kamlah

|

1093

Art. 20 DSGVO | Rechte der betroffenen Person (2) Bei der Ausübung ihres Rechts auf Datenübertragbarkeit gemäß Absatz 1 hat die betroffene Person das Recht, zu erwirken, dass die personenbezogenen Daten direkt von einem Verantwortlichen einem anderen Verantwortlichen übermittelt werden, soweit dies technisch machbar ist. (3) Die Ausübung des Rechts nach Absatz 1 des vorliegenden Artikels lässt Artikel 17 unberührt. Dieses Recht gilt nicht für eine Verarbeitung, die für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde. (4) Das Recht gemäß Absatz 2 darf die Rechte und Freiheiten anderer Personen nicht beeinträchtigen. I. Einführung . . . . . . . . . . . . . . . II. Voraussetzungen (Abs. 1) . . . .

1 5

III. Verhältnis zu anderen Normen 13 IV. Einschränkungen (Abs. 3 und 4) 14

I. Einführung 1 Die Vorschrift enthält einen neuen Gedanken und hat kein Vorbild in der EG-

Datenschutzrichtlinie. Im Fall der Verarbeitung personenbezogener Daten mit Hilfe automatisierter Verfahren soll die betroffene Person über die eigenen Daten dadurch eine bessere Kontrolle haben, dass sie die sie betreffenden personenbezogenen Daten, die sie einem Verantwortlichen bereitgestellt hat, in einem strukturierten, gängigen, maschinenlesbaren und interoperablen Format erhalten und sie einem anderen Verantwortlichen übermitteln kann. Auf Basis einer Einwilligung oder zur Durchführung eines Vertragsverhältnisses überlassene Daten sollen von einem Anbieter auf den nächsten übertragen werden können (Erwägungsgrund 68). Diese – erkennbar auf soziale Netzwerke zugeschnittene Vorschrift1 – ist ähnlich motiviert wie Art. 17 und soll den Datenschutz im Internet zugunsten der betroffenen Personen erhöhen. Die betroffene Person soll die Möglichkeit erhalten, ggf. später für sie unliebsam gewordene Daten im Grunde voraussetzungslos auf einen anderen Anbieter übertragen zu können, insbesondere dann, wenn der Anbieter mit den eingestellten Daten nicht so verfährt, wie es sich die betroffene Person ursprünglich vorgestellt hat.

2 Art. 20 ist mit seiner Zielsetzung der Herausgabe von personenbezogenen Daten

an die betroffenen Person selbst einerseits ein Spezialfall des Art. 15. Andererseits hat jede betroffene Person das Recht, auch Löschungsansprüche nach Art. 17 zu erheben. Diese sollen ausweislich des Art. 17 Abs. 3 Satz 1 auch unbe1 Gierschmann, ZD 2016, 51 (54); ähnlich BfDI-Info 6, April 2016, S. 14, etwas weitergehend dann mit Blick auf Verträge mit Energieversorgern, Banken oder Versicherungen ohne dann allerdings die Frage zu beantworten, auf welche Daten sich das dann bezieht.

1094

|

Kamlah

Recht auf Datenübertragbarkeit | Art. 20 DSGVO

rührt bleiben. Die besondere Funktion des Art. 20 ist daher eher die, mit Hilfe eines datenschutzrechtlichen Anspruchs quasi Wettbewerb zu schaffen1. Die Verantwortlichen sollen dazu aufgefordert werden, interoperationale For- 3 mate zu entwickeln, welche die Datenübertragbarkeit ermöglichen. Andererseits soll das Recht der betroffenen Person, sie betreffende personenbezogene Daten zu übermitteln oder zu empfangen, für den Verantwortlichen nicht die Pflicht begründen, technisch kompatible Datenverarbeitungssysteme zu übernehmen oder beizubehalten (so etwas widersprüchlich Erwägungsgrund 68). Schließlich wohnt der Vorschrift ein starkes Dispositionsrecht der betroffenen 4 Person über die sie betreffenden Daten inne2. Der betroffenen Person wird anders als in den Art. 16, 17 und 18 quasi ein voraussetzungsloses Verfügungsrecht über „ihre“ Daten zugebilligt. Dies mag im Falle der auf Basis einer Einwilligung dem Verantwortlichen überlassenen Daten noch konsistent sein, wenn aber der Verantwortliche personenbezogene Daten auf Basis von Art. 6 Abs. 1 Buchst. b verarbeitet, können naturgemäß auch billigenswerte Interessen des Verantwortlichen dem Recht aus Art. 20 entgegenstehen. Dementsprechend formuliert dann auch Erwägungsgrund 68, dass die Ausübung des Rechts nach Art. 20 Abs. 1 insbesondere nicht bedeuten soll, dass die Daten, die sich auf die betroffene Person beziehen und von ihr zur Erfüllung eines Vertrags zur Verfügung gestellt worden sind, gelöscht werden, soweit und solange diese personenbezogenen Daten für die Erfüllung des Vertrags notwendig sind.

II. Voraussetzungen (Abs. 1) Nach Art. 20 Abs. 1 hat die betroffene Person zunächst das Recht, die sie betref- 5 fenden personenbezogenen Daten, die sie einem Verantwortlichen bereitgestellt hat, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten. Bereits der Einleitungssatz stellt damit klar, dass sich das Recht aus Art. 20 nur auf die personenbezogenen Daten beschränkt, die die betroffene Person selbst „betreffen“. Es ist jedoch Datenverarbeitungen immanent, dass personenbezogene Daten in aller Regel in einem Kontext stehen und nur durch diesen Kontext eine Aussagekraft erhalten und dementsprechend Wirkung entfalten. Insbesondere in sozialen Netzwerken entsteht ein – beabsichtigtes – Beziehungsgeflecht, bei welchem es im Grunde kaum denkbar erscheint, dass es dort personenbezogene Daten gibt, die (ausschließlich) die betroffene Person selbst betreffen. Damit stellt sich die Frage nach dem praktischen Anwendungsbereich der Vorschrift3. Der Verordnungsgeber hat das Problem offensichtlich gesehen 1 So ausdrücklich und zur Genese Albrecht, CR 2016, 88 (93); Schantz, NJW 2016, 1841. 2 Von einer Stärkung der Dispositionsbefugnis spricht BfDI-Info 6, April 2016, S. 14. 3 Von einer eingeschränkten Bedeutung gehen offenbar auch Roßnagel/Nebel/Richter, ZD 2016, 455 aus.

Kamlah

|

1095

Art. 20 DSGVO | Rechte der betroffenen Person und in Art. 20 Abs. 4 bestimmt, dass das Recht die Rechte und Freiheiten anderer Personen nicht berühren darf. Allerdings verweist Abs. 4 nur auf Abs. 2. Man wird aus dem Verweis in Abs. 4 nur auf den Abs. 2 aber nicht den Umkehrschluss ziehen können, dass bei der Ausübung des Rechts nach Abs. 1 die Rechte und Freiheiten anderer Personen nicht zu berücksichtigen sind. Dem steht schon der eindeutige Wortlaut des Abs. 1 („… sie betreffende Daten …“) entgegen. Aber auch aus den allgemeinen Grundsätzen ist abzuleiten, dass personenbezogene Daten die andere betreffen, nicht in der Dispositionsbefugnis desjenigen stehen können, der seine Rechte nach Art. 20 ausüben möchte. Der Anwendungsbereich der Vorschrift verengt sich damit naturgemäß, was insbesondere bei (in soziale Netzwerke eingestellten) Bildern mit mehreren Personen relevant werden dürfte. 6 Das Recht aus Art. 20 Abs. 1 bezieht sich dabei auf die personenbezogenen Da-

ten, die die betroffene Person einem Verantwortlichen „bereitgestellt“ hat. Der Anwendungsbereich ist damit zumindest diesbezüglich weit, da die Formulierung „jede andere Bereitstellung“ in Art. 4 Abs. 2 offenbar meint, dass jedwede davor genannte Verarbeitungsalternative eine Form der Bereitstellung sein kann (s. Komm. zu Art. 4 DSGVO). Gleichwohl wird die Frage relevant, welche Daten als „bereitgestellt“ gelten oder nicht. Nach enger Auslegung sind dies im Kontext einer Vertragsbeziehung nur die zur Durchführung des Vertragsverhältnisses überlassenen Stammdaten der betroffenen Person, vgl. Art. 20 Abs. 1 Buchst. a i.V.m. Art. 6 Abs. 1 Buchst. b, nicht aber etwa dann folgende Bestelldaten aus einem E-commerce-Prozess. Letztere sind vielmehr Daten des Verantwortlichen, die erst im Rahmen der Kundenbeziehung entstehen, nicht aber durch die betroffenen Person „bereitgestellt“ werden. (Nur) diese Auslegung wahrt auch die wettbewerbsrechtlichen Interessen des Verantwortlichen, vgl. auch Abs. 4. Das uneingeschränkte Recht, die Daten auch einem anderen Verantwortlichen zur Verfügung zu stellen, muss seine Grenze in den Daten haben, an denen der zur Herausgabe verpflichtete Verantwortliche keine eigenen Rechte hat (s.a. Erwägungsgrund 4).

7 Zudem lässt sich aus der Tatsache, dass Art. 20 Abs. 1 Buchst. a nur auf Basis

einer Einwilligung oder im Rahmen eines Vertrages nach Art. 6 Abs. 1 Buchst. b bereitgestellte Daten abstellt ableiten1, dass nicht von dem Recht auf Datenübertragbarkeit solche Fälle gemeint sind, in denen die betroffene Person ihre Daten schlicht eingibt oder hinterlässt, wie in Apps, Einstellungen an technischen Geräten oder Konten. In diesen Fällen steht die Nutzung von technischen Features im Vordergrund, nicht die eines Dienstes, bei denen der Wettbewerb im Datenschutz durch das Recht auf Datenübertragbarkeit gefördert werden soll. Bei der Nutzung von technischen Features hat es die betroffene Person auch in aller Regel allein in der Hand, die entsprechenden Daten ggf. wieder zu löschen2. Sie

1 Härting, Datenschutz-Grundverordnung, Rz. 729. 2 Gierschmann, ZD 2016, 51 (54).

1096

|

Kamlah

Recht auf Datenübertragbarkeit | Art. 20 DSGVO

ist insoweit auch nach dem Sinn und Zweck nicht i.S.d. Art. 20 „schutzbedürftig“ und auf einen Herausgabeanspruch angewiesen. Damit die betroffene Person die personenbezogenen Daten i.S.d. Art. 20 Abs. 1 8 auch erhalten kann, muss sie der Verantwortliche auch zur Verfügung stellen. Hierfür bestimmt Art. 20 Abs. 1 eine besondere Form. Danach müssen die personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format zur Verfügung gestellt werden. Hierbei wird auf den aktuellen Stand der Technik abzustellen sein. Da die betroffene Person die sie betreffenden Daten auch im Rahmen des Auskunftsrechts nach Art. 15 erhalten kann, wird man im Rahmen des Art. 20 ein Mehr fordern müssen, damit die Vorschrift eigene Wirkung entfalten kann. Welche Anforderungen im Einzelnen jedoch zu erfüllen sind, bleibt gleichwohl unklar. Nach Erhalt der Daten hat die betroffene Person das Recht, diese Daten einem 9 anderen Verantwortlichen ohne Behinderung durch den Verantwortlichen, dem die Daten bereitgestellt wurden, zu übermitteln. Das Recht, die erhaltenen Daten einem anderen Verantwortlichen zu übermitteln bedeutet jedoch nicht, dass dieser andere Verantwortliche die „angebotenen“ Daten einfach übernehmen muss. Hier kann er auf seine Allgemeinen Geschäftsbedingungen zurückgreifen. Eine Art Kontrahierungszwang entsteht dadurch nicht. Die Betonung des Rechts in Art. 20 Abs. 1 die zurückerlangten personenbezogenen Daten einem anderen Verantwortlichen zu übertragen bzw. schlicht zur Verfügung zu stellen ergibt sich schon aus den allgemeinen Regeln. Die Sinnhaftigkeit dieses Halbsatzes der Norm ergibt sich vielmehr aus dem Behinderungsverbot der ursprünglich verantwortlichen Stelle. Diese soll die durch Art. 20 intendierte Datenportabilität nicht durch (technische) Restriktionen unterlaufen dürfen und so den Wettbewerb verhindern. Nach Art. 20 Abs. 2 hat die betroffene Person auch das Recht zu erwirken, dass 10 die personenbezogenen Daten direkt vom Verantwortlichen einem anderen Verantwortlichen übertragen werden, soweit dies technisch machbar ist. Der Verantwortliche soll auch mit schuldbefreiender Wirkung direkt an den Dritten leisten dürfen und muss dies auch tun, wenn das von ihm verlangt wird. Allerdings steht ihm die Einrede der technischen Machbarkeit zur Verfügung. An diese Anforderung wird man keine allzu hohen Anforderungen stellen dürfen. Immerhin muss der Verantwortliche das Recht kostenlos erfüllen. Ihm dürfen darüber hinaus also keine weiteren unbilligen Kosten entstehen. Allerdings ist zu berücksichtigen, dass die Daten nach Abs. 1 in einem gängigen Format zu präsentieren sind. Der Einwand kann also nur dann eingreifen, wenn der andere Verantwortliche entweder kein gängiges oder aber ein gängiges, aber anderes Format verwendet. Ebenfalls können Schwierigkeiten entstehen, wenn es keine (gängigen) Schnittstellen zwischen den Verantwortlichen gibt. Im Zweifel wird man dem Verantwortlichen zubilligen müssen, dass er die betroffene Person auf den Weg nach Abs. 1 verweist. Kamlah

|

1097

Art. 20 DSGVO | Rechte der betroffenen Person 11 Das Recht zur Datenübertragbarkeit ist aber nicht uneingeschränkt gegeben. Es

besteht nur, wenn die Daten auf Basis einer Einwilligung verarbeitet wurden, Art. 20 Abs. 1 Buchst. a Alt. 1 oder deren Verarbeitung auf Basis eines Vertrages beruht, Art. 20 Abs. 1 Buchst. a Alt. 2. Damit besteht das Recht auf Datenübertragbarkeit ausdrücklich nicht, wenn die Datenverarbeitung auf Basis einer anderen als den genannten Rechtsgrundlagen erfolgte. Erwägungsgrund 68 stellt hierfür ausdrücklich klar, dass der autonomen Datenübertragbarkeit andere Interessen entgegenstehen können.

12 Weiterhin muss die (auf Basis von Art. 20 Abs. 1 Buchst. a) erfolgende Daten-

verarbeitung auch mithilfe automatisierter Verfahren erfolgen, um das Recht auf Datenübertragbarkeit zu begründen. Art. 4 Abs. 2 definiert nur den Begriff der Verarbeitung. Danach kann eine Verarbeitung auch ohne automatisierte Verfahren erfolgen. Das Recht auf Datenübertragbarkeit knüpft aber daran an, dass diese mithilfe automatisierter Verfahren erfolgt. Das ist insoweit konsequent, als dass die technischen Anforderungen an die Datenübertragbarkeit nur erfüllt werden können, wenn die Datenverarbeitung ursprünglich auch mithilfe automatisierter Verfahren erfolgte. Die Verarbeitung mithilfe automatisierter Verfahren dürfte aber der Regelfall sein.

III. Verhältnis zu anderen Normen 13 Da Art. 20 Abs. 1 Satz 1 formuliert, dass die betroffene Person die sie betreffen-

den Daten erhalten kann, lässt sich Art. 20 zumindest in dieser Tatbestandsalternative als Sonderform des Auskunftsrechts definieren. Art. 20 Abs. 3 Satz 1 betont darüber hinaus ausdrücklich, dass die Reche nach Art. 17 unberührt bleiben. Im Grunde dürfte dies aber für alle Betroffenenrechte gelten.

IV. Einschränkungen (Abs. 3 und 4) 14 Eine Einschränkung des Rechts aus Art. 20 formuliert Art. 20 Abs. 3 Satz 2. Da-

nach besteht das Recht aus Art. 20 nicht, wenn die Verarbeitung, die für die Wahrnehmung einer Aufgabe erforderlich ist, im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde. Der Standort der Norm irritiert zunächst. Die Ausnahme dürfte sich aber auf das (gesamte) Recht aus Art. 20 beziehen und nicht nur auf Art. 20 Abs. 3 Satz 1. Seinem Wortlaut nach verweist Art. 20 Abs. 3 Satz auf die Datenverarbeitungsvorgänge die auf Art. 6 Abs. 1 Buchst. e gestützt werden (können). In diesen Fällen hat also die betroffene Person kein Recht auf Datenübertragbarkeit. Die Vorschrift macht Sinn, weil durch eine Datenübertragung möglicherweise die Geeignetheit eingeschränkt werden könnte, gerade die öffentlich interessierende Aufgabe zu erfüllen oder schlicht der Verantwortliche nicht durch 1098

|

Kamlah

Widerspruchsrecht | Art. 21 DSGVO

eine Datenübertragung daran gehindert werden soll, die im öffentlichen Interesse erfolgende Datenverarbeitung durchzuführen. Schließlich stellt Art. 20 Abs. 4 die Vorschrift unter den Generalvorbehalt, dass 15 das Recht auf Datenübertragbarkeit die Rechte und Freiheiten anderer Personen nicht beeinträchtigen darf. Diese Norm formuliert eigentlich eine Selbstverständlichkeit, denn schon Erwägungsgrund 4 Satz 2 stellt fest, dass das Recht auf Schutz der personenbezogenen Daten kein uneingeschränktes Recht ist, sondern es im Hinblick auf seine gesellschaftliche Funktion gesehen und unter Wahrung des Verhältnismäßigkeitsgrundsatzes gegen andere Grundrechte abgewogen werden muss. Damit sind aber nicht nur andere betroffene Personen gemeint (s. zum Kontext zu anderen betroffenen Personen Komm. zu Art. 15 DSGVO Rz. 20), sondern auch der oder die Verantwortlichen, die in ihrer Ausübung des eingerichteten uns ausgeübten Gewerbebetriebs im Wettbewerb nicht unnötig belastet werden dürfen.

Abschnitt 4 Widerspruchsrecht und automatisierte Entscheidungsfindung im Einzelfall

Artikel 21 Widerspruchsrecht (1) Die betroffene Person hat das Recht, aus Gründen, die sich aus ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung sie betreffender personenbezogener Daten, die aufgrund von Artikel 6 Absatz 1 Buchstaben e oder f erfolgt, Widerspruch einzulegen; dies gilt auch für ein auf diese Bestimmungen gestütztes Profiling. Der Verantwortliche verarbeitet die personenbezogenen Daten nicht mehr, es sei denn, er kann zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die die Interessen, Rechte und Freiheiten der betroffenen Person überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen. (2) Werden personenbezogene Daten verarbeitet, um Direktwerbung zu betreiben, so hat die betroffene Person das Recht, jederzeit Widerspruch gegen die Verarbeitung sie betreffender personenbezogener Daten zum Zwecke derartiger Werbung einzulegen; dies gilt auch für das Profiling, soweit es mit solcher Direktwerbung in Verbindung steht. (3) Widerspricht die betroffene Person der Verarbeitung für Zwecke der Direktwerbung, so werden die personenbezogenen Daten nicht mehr für diese Zwecke verarbeitet. Kamlah

|

1099

Widerspruchsrecht | Art. 21 DSGVO

eine Datenübertragung daran gehindert werden soll, die im öffentlichen Interesse erfolgende Datenverarbeitung durchzuführen. Schließlich stellt Art. 20 Abs. 4 die Vorschrift unter den Generalvorbehalt, dass 15 das Recht auf Datenübertragbarkeit die Rechte und Freiheiten anderer Personen nicht beeinträchtigen darf. Diese Norm formuliert eigentlich eine Selbstverständlichkeit, denn schon Erwägungsgrund 4 Satz 2 stellt fest, dass das Recht auf Schutz der personenbezogenen Daten kein uneingeschränktes Recht ist, sondern es im Hinblick auf seine gesellschaftliche Funktion gesehen und unter Wahrung des Verhältnismäßigkeitsgrundsatzes gegen andere Grundrechte abgewogen werden muss. Damit sind aber nicht nur andere betroffene Personen gemeint (s. zum Kontext zu anderen betroffenen Personen Komm. zu Art. 15 DSGVO Rz. 20), sondern auch der oder die Verantwortlichen, die in ihrer Ausübung des eingerichteten uns ausgeübten Gewerbebetriebs im Wettbewerb nicht unnötig belastet werden dürfen.

Abschnitt 4 Widerspruchsrecht und automatisierte Entscheidungsfindung im Einzelfall

Artikel 21 Widerspruchsrecht (1) Die betroffene Person hat das Recht, aus Gründen, die sich aus ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung sie betreffender personenbezogener Daten, die aufgrund von Artikel 6 Absatz 1 Buchstaben e oder f erfolgt, Widerspruch einzulegen; dies gilt auch für ein auf diese Bestimmungen gestütztes Profiling. Der Verantwortliche verarbeitet die personenbezogenen Daten nicht mehr, es sei denn, er kann zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die die Interessen, Rechte und Freiheiten der betroffenen Person überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen. (2) Werden personenbezogene Daten verarbeitet, um Direktwerbung zu betreiben, so hat die betroffene Person das Recht, jederzeit Widerspruch gegen die Verarbeitung sie betreffender personenbezogener Daten zum Zwecke derartiger Werbung einzulegen; dies gilt auch für das Profiling, soweit es mit solcher Direktwerbung in Verbindung steht. (3) Widerspricht die betroffene Person der Verarbeitung für Zwecke der Direktwerbung, so werden die personenbezogenen Daten nicht mehr für diese Zwecke verarbeitet. Kamlah

|

1099

Art. 21 DSGVO | Rechte der betroffenen Person (4) Die betroffene Person muss spätestens zum Zeitpunkt der ersten Kommunikation mit ihr ausdrücklich auf das in den Absätzen 1 und 2 genannte Recht hingewiesen werden; dieser Hinweis hat in einer verständlichen und von anderen Informationen getrennten Form zu erfolgen. (5) Im Zusammenhang mit der Nutzung von Diensten der Informationsgesellschaft kann die betroffene Person ungeachtet der Richtlinie 2002/58/ EG ihr Widerspruchsrecht mittels automatisierter Verfahren ausüben, bei denen technische Spezifikationen verwendet werden. (6) Die betroffene Person hat das Recht, aus Gründen, die sich aus ihrer besonderen Situation ergeben, gegen die sie betreffende Verarbeitung sie betreffender personenbezogener Daten, die zu wissenschaftlichen oder historischen Forschungszwecken oder zu statistischen Zwecken gemäß Artikel 89 Absatz 1 erfolgt, Widerspruch einzulegen, es sei denn, die Verarbeitung ist zur Erfüllung einer im öffentlichen Interesse liegenden Aufgabe erforderlich. I. Einführung . . . . . . . . . . . . . . . 1 II. Voraussetzungen im Einzelnen (Abs. 1–3) . . . . . . . . . . . . . . . . 2 III. Hinweispflicht (Abs. 4) . . . . . . 11

IV. Form . . . . . . . . . . . . . . . . . . . 14 V. Forschungs- und statistische Zwecke . . . . . . . . . . . . . . . . . . 16

Schrifttum: Siehe Art. 12 DSGVO.

I. Einführung 1 Auffällig ist zunächst die Verortung der Vorschrift. Innerhalb des Kapitels III,

der die Rechte der betroffenen Person behandelt, enthält der Abschnitt 1 mit seinem Art. 12 gleichsam vor die Klammer gezogen die allgemeinen Hinweise zur Transparenz und den Modalitäten. Abschnitt 2 enthält das Informations- und Auskunftsrecht, Kapitel III die Rechte der betroffenen Personen zur Berichtigung und Löschung. Davon abgesetzt und zusammen mit der automatisierten Entscheidung im Einzelfall ist das Widerspruchsrecht in einem eigenen Abschnitt 4 verortet. Das macht an dieser Stelle bereits deutlich, dass es – anders als in Abschnitt 3 – nicht um fehlerhafte oder unzulässige Verarbeitungsvorgänge geht, sondern um an sich richtige und zulässige1, deren Einzelheiten aber gesondert geregelt werden müssen (Art. 22) oder die gleichwohl besondere Rechte der betroffenen Person definieren, nach denen eine (an sich richtige und zulässige) Datenverarbeitung gleichwohl ein Widerspruchrecht begründen kann (Art. 21).

1 Auch BfDI-Info 6, April 2016, S. 15 betont, dass es bei Art. 21 um „an sich rechtmäßige Verarbeitung personenbezogener Daten“ geht.

1100

|

Kamlah

Widerspruchsrecht | Art. 21 DSGVO

II. Voraussetzungen im Einzelnen (Abs. 1–3) Nach Art. 21 Abs. 1 Satz 1 hat die betroffene Person das Recht, jederzeit gegen 2 die Verarbeitung der sie betreffenden personenbezogenen Daten zu widersprechen. Allerdings besteht dieses Recht nicht voraussetzungslos. Das Recht besteht zunächst nur, wenn die (ursprüngliche) Verarbeitung auf- 3 grund von Art. 6 Abs. 1 Buchst. e oder f erfolgt. Der Verweis auf Art. 6 Abs. 1 Buchst. e überrascht etwas, weil immerhin die Datenverarbeitung im öffentlichen Interesse erfolgt. Der Verweis wird aber in Erwägungsgrund 69 ausdrücklich bestätigt. Naheliegender wäre es gewesen, wenn – ähnlich wie in Art. 20 – gerade in den Fällen in denen die Datenverarbeitung im öffentlichen Interesse erfolgt die entsprechenden Betroffenenrechte eingeschränkt werden. Daneben besteht das Widerspruchsrecht, wenn die Datenverarbeitung (ursprüng- 4 lich) nach Art. 6 Abs. 1 Buchst. f erfolgte. Das ist dagegen nachvollziehbar, weil in allen anderen Fällen des Art. 6 Abs. 1 die Datenverarbeitung entweder auf Basis der Einwilligung (deren Widerruf in Art. 17 Abs. 1 Buchst. b gesondert geregelt ist), zur Vertragserfüllung oder zur Erfüllung wichtiger Pflichten erforderlich ist, während sie bei Art. 6 Abs. 1 Buchst. f „nur“ auf Basis einer Interessenabwägung erfolgte. Das Widerspruchsrecht besteht aber auch bei einer ursprünglich auf Basis von 5 Art. 6 Abs. 1 Buchst. e und f gestützten Datenverarbeitung nur, wenn bei der betroffenen Person eine besondere Situation vorliegt. Diese besondere Situation muss über das hinausgehen, was Gegenstand der (ursprünglichen) Abwägung war, denn sonst wäre die ursprüngliche Datenverarbeitung nach Art. 6 Abs. 1 Buchst. f schon unzulässig gewesen. Die Systematik der Norm geht aber davon aus, dass eine an sich zulässige Datenverarbeitung vorliegt, sich aber nun (ggf. nachträglich) aus der besonderen Situation grundsätzlich ein Widerspruchsrecht ergibt. Auch Erwägungsgrund 69 geht davon aus, dass die Daten – auch wenn sie möglicherweise zulässig verarbeitet wurden – gleichwohl einem Widerspruchsrecht unterliegen können. Aus der grundsätzlich zulässigen Datenverarbeitung ergibt sich also, dass das Kriterium der besonderen Situation eng auszulegen ist und es Umstände sein müssen, die über das hinausgehen müssen, was Gegenstand der allgemeinen Interessenwägung (gewesen) ist. Das ergibt sich nicht zuletzt auch aus der Tatsache, dass das Widerspruchsrecht auch bei Datenverarbeitung bestehen soll, die (sogar) im öffentlichen Interesse besteht. Im Ergebnis dürfte damit die Norm in den praktischen Anwendungsfällen der des § 35 Abs. 5 BDSG entsprechen (s. Komm. zu § 35 BDSG Rz. 48)1. Das Widerspruchsrecht steht weiter unter der Voraussetzung, dass der Verant- 6 wortliche keine zwingenden schutzwürdigen Gründe für die Verarbeitung nachweisen kann, die die Interessen, Rechte und Freiheiten der betroffenen Person überwiegen oder die Verarbeitung der Geltendmachung, Ausübung oder Vertei1 So auch Härting, Datenschutz-Grundverordnung, Rz. 497.

Kamlah

|

1101

Art. 21 DSGVO | Rechte der betroffenen Person digung von Rechtsansprüchen dient. Geht man von der hier vertretenen Ansicht aus, wonach das Abwägungskriterium der besonderen Situation eng auszulegen ist, ergeben sich dementsprechend höhere Anforderungen daran, dass (selbst dann) die Interessen des Verantwortlichen überwiegen. Dementsprechend formuliert die Verordnung konsequent, dass dies zwingende und nachweisebare Gründe sein müssen, die dann auch noch die durch die besondere Situation der betroffenen Person gekennzeichneten Interessen überwiegen (müssen). 7 Entsprechendes soll nach Art. 21 Abs. 1 Satz 1 Halbs. 2 auch für ein auf die Be-

stimmungen des Art. 6 Abs. 1 Buchst. e und f gestütztes Profiling gelten. Insoweit gilt Vorstehendes in den Fällen des Profilings entsprechend.

8 Art. 21 Abs. 1 a.E. stellt klar, dass sich die betroffene Person nicht dadurch einer

Rechtsverfolgung entziehen können soll, dass sie durch eine Ausübung des Widerspruchsrechts die für die Rechtsverfolgung notwendige Datenverarbeitung verhindert. Das gilt insbesondere für Geltendmachung von Zahlungsansprüchen, insbesondere in Inkassosituationen, Komm. zu Art. 17 DSGVO Rz. 20.

9 Als Rechtsfolge formuliert Art. 21 Abs. 1 etwas untechnisch, dass im Falle der

zulasten des Verantwortlichen ausgehenden Interessenabwägung, dieser die Daten „nicht mehr verarbeitet“. Richtiger wäre es möglicherweise gewesen hier auf die Einschränkung der Datenverarbeitung nach Art. 18 zu verweisen. Allerdings bestimmt Art. 17 Abs. 1 Buchst. c, dass ein Löschungsanspruch besteht. Da aber dieser gesondert zu „verlangen“ ist, bleibt offen, was geschehen soll, wenn dieses Verlangen nicht gesondert geäußert wird.

10 Gemäß Art. 21 Abs. 2 besteht ein Recht, gegen Werbung zu widersprechen. Die-

ses Recht ist anders als Art. 21 Abs. 1 an weitere Voraussetzungen nicht gebunden. Ein solches Recht war in Art. 14b) EG-Datenschutzrichtlinie sowie in § 28 Abs. 4 BDSG bereits enthalten, so dass auf die Komm. zu § 28 BDSG Rz. 175 ff. verwiesen werden kann. Allerdings wurde die Vorschrift demgegenüber insoweit erweitert, dass sie sich nun auch ausdrücklich auf ein Profiling bezieht, dass mit einer solchen Direktwerbung in Verbindung steht. Da aber die Ansprache zum Zwecke der Werbung oftmals einer (vorherigen) Profilbildung folgen dürfte, ist diese Erweiterung folgerichtig. Im Anschluss an einen Hinweis nach den Art. 13 und 14 können betroffene Personen somit direkt reagieren. Als Rechtsfolge eines solchen Widerspruchs formuliert Art. 21 Abs. 3, dass die personenbezogenen Daten „nicht mehr verarbeitet werden“. Ähnlich wie in Art. 21 Abs. 1 ist diese Rechtsfolge insoweit undeutlich, als dass nicht an die Begriffe des 3. Abschnitts in Kapitel III angeknüpft wird. Wie bei Art. 21 Abs. 1 wird auch für den Werbewiderspruch Art. 21 Abs. 2 in Art. 17 Abs. 1 Buchst. c formuliert, dass ein Löschungsanspruch besteht – wenn die betroffene Person das verlangt. Die Praktikabilität dieser Rechtsfolge wird sich aber noch erweisen müssen, da man im Grunde zumindest die Stammdaten der betroffenen Person braucht, um die Werbewidersprüche zu vermerken und um die betroffene Person aussteuern zu können. An dieser Stelle die Einschränkung der Datenverarbeitung vorzusehen, wäre 1102

|

Kamlah

Widerspruchsrecht | Art. 21 DSGVO

möglicherweise zielführender gewesen. Aus dem Verlangenserfordernis wird man aber ableiten können, dass seitens der betroffenen Personen artikulierte Widersprüche dahingehend auszulegen sind, ob tatsächlich gleichzeitig eine Löschung verlangt wird. Vielfach wird es im Interesse des Betroffenen liegen, dass er in eine Sperrliste aufgenommen wird, um seinem Widerspruch Wirkung zu entfalten. Die Führung solcher Listen wird demnach auch künftig zulässig bleiben.

III. Hinweispflicht (Abs. 4) Art. 21 Abs. 4 formuliert die Verpflichtung des Verantwortlichen zum Zeitpunkt 11 der ersten Kommunikation auf das Widerspruchsrecht hinzuweisen (s. aber auch schon Art. 13 Abs. 2 Buchst. b und Art. 14 Abs. 2 Buchst. c). Das bedeutet im Umkehrschluss, dass der Hinweis nicht bereits im Zeitpunkt der Erhebung oder bei jeder Ansprache zu erfolgen hat. Etwas anderes ließe sich allenfalls aus Art. 5 Abs. 1 Buchst. a ableiten. Für den sog. Werbewiderspruch fand sich das bereits in Art. 14b) EG-Datenschutzrichtlinie sowie in § 28 Abs. 4 Satz 2 BDSG. Da das Widerspruchsrecht die zentrale Rechtfertigung dafür ist, dass ohne Einwilligung Werbung betrieben werden kann, sollte die Information hierüber bei jeder Ansprache erfolgen. Problematisch ist allerdings der Verweis auch auf die nach Art. 21 Abs. 1 artiku- 12 lierbaren Widersprüche. Während in den Fällen nach Art. 21 Abs. 1 i.V.m Art. 6 Abs. 1 Buchst. e noch in der initialen Phase Betroffenenkontakt bestehen kann, in denen der Hinweis – gesondert – erfolgen kann, sind spätestens innerhalb des Art. 21 Abs. 1 i.V.m Art. 6 Abs. 1 Buchst. f zahlreiche Fälle denkbar, denen keine Direkterhebung zugrunde lag. Hier erfolgt die „erste Kommunikation“ mit der betroffenen Person dann nicht im Rahmen einer Vertragsanbahnung oder ähnlichem, sondern unter Umständen erst mit der Ausübung der Betroffenenrechte. Im Rahmen dieser Kommunikation hat dann der entsprechende Hinweis zu erfolgen. Im Grunde handelt es sich insoweit um eine Erweiterung der Art. 13 ff., da anders als bei Art. 13 Abs. 2 Buchst. b und Art. 14 Abs. 2 Buchst. c in jedem Fall auf das Widerspruchsrecht hinzuweisen ist1. Allerdings hat dieser Hinweis ausweislich des Art. 21 Abs. 4 a.E. in einer verständ- 13 lichen und von anderen Informationen getrennten Form zu erfolgen. Diese im Bereich der Werbung bekannte Vorschrift ist dann im Rahmen der Art. 13 ff. dergestalt zu realisieren, dass sie ggf. drucktechnisch gesondert hervorgehoben wird.

IV. Form An eine besondere Form ist der Widerspruch nach Art. 21 nicht gebunden. Irri- 14 tierend ist allerdings, dass Erwägungsgrund 70 die Unentgeltlichkeit des Widerspruchs nur im Kontext des Werbewiderspruchs artikuliert. 1 Vgl. auch Gierschmann, ZD 2016, 51 (54).

Kamlah

|

1103

Art. 22 DSGVO | Rechte der betroffenen Person 15 Art. 20 Abs. 5 stellt klar, dass Widersprüche im Zusammenhang mit der Nut-

zung von Diensten in der Informationsgesellschaft (s.a. Art. 95) auch mittels automatisierter Verfahren ausgeübt werden können.

V. Forschungs- und statistische Zwecke 16 Art. 21 Abs. 1 und 2 knüpfen die Existenz des Widerspruchsrechts an bestimmte

vorangegangene Zulässigkeitstatbestände aus Art. 6 Abs. 1. Für die Datenverarbeitung zum Zwecke der wissenschaftlichen oder historischen Forschung sowie zu statistischen Zwecken nach Art. 89 bestand daher das Bedürfnis das Widerspruchsrecht der betroffenen Person gesondert zu regeln. Auch hier sollte die betroffene Person ein Widerspruchsrecht haben. Wie bei Art. 21 Abs. 1 ist aber auch hier das Vorliegen einer besondere Situation der betroffenen Person erforderlich (s. hierzu Rz. 5), welche dann gegen die Erforderlichkeit einer im öffentlichen Interesse liegenden Aufgabe abzuwägen ist.

Artikel 22 Automatisierte Entscheidungen im Einzelfall einschließlich Profiling (1) Die betroffene Person hat das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt. (2) Absatz 1 gilt nicht, wenn die Entscheidung a) für den Abschluss oder die Erfüllung eines Vertrags zwischen der betroffenen Person und dem Verantwortlichen erforderlich ist, b) aufgrund von Rechtsvorschriften der Union oder der Mitgliedstaaten, denen der Verantwortliche unterliegt, zulässig ist und diese Rechtsvorschriften angemessene Maßnahmen zur Wahrung der Rechte und Freiheiten sowie der berechtigten Interessen der betroffenen Person enthalten oder c) mit ausdrücklicher Einwilligung der betroffenen Person erfolgt. (3) In den in Absatz 2 Buchstaben a und c genannten Fällen trifft der Verantwortliche angemessene Maßnahmen, um die Rechte und Freiheiten sowie die berechtigten Interessen der betroffenen Person zu wahren, wozu mindestens das Recht auf Erwirkung des Eingreifens einer Person seitens des Verantwortlichen, auf Darlegung des eigenen Standpunkts und auf Anfechtung der Entscheidung gehört. 1104

|

Kamlah

Art. 22 DSGVO | Rechte der betroffenen Person 15 Art. 20 Abs. 5 stellt klar, dass Widersprüche im Zusammenhang mit der Nut-

zung von Diensten in der Informationsgesellschaft (s.a. Art. 95) auch mittels automatisierter Verfahren ausgeübt werden können.

V. Forschungs- und statistische Zwecke 16 Art. 21 Abs. 1 und 2 knüpfen die Existenz des Widerspruchsrechts an bestimmte

vorangegangene Zulässigkeitstatbestände aus Art. 6 Abs. 1. Für die Datenverarbeitung zum Zwecke der wissenschaftlichen oder historischen Forschung sowie zu statistischen Zwecken nach Art. 89 bestand daher das Bedürfnis das Widerspruchsrecht der betroffenen Person gesondert zu regeln. Auch hier sollte die betroffene Person ein Widerspruchsrecht haben. Wie bei Art. 21 Abs. 1 ist aber auch hier das Vorliegen einer besondere Situation der betroffenen Person erforderlich (s. hierzu Rz. 5), welche dann gegen die Erforderlichkeit einer im öffentlichen Interesse liegenden Aufgabe abzuwägen ist.

Artikel 22 Automatisierte Entscheidungen im Einzelfall einschließlich Profiling (1) Die betroffene Person hat das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt. (2) Absatz 1 gilt nicht, wenn die Entscheidung a) für den Abschluss oder die Erfüllung eines Vertrags zwischen der betroffenen Person und dem Verantwortlichen erforderlich ist, b) aufgrund von Rechtsvorschriften der Union oder der Mitgliedstaaten, denen der Verantwortliche unterliegt, zulässig ist und diese Rechtsvorschriften angemessene Maßnahmen zur Wahrung der Rechte und Freiheiten sowie der berechtigten Interessen der betroffenen Person enthalten oder c) mit ausdrücklicher Einwilligung der betroffenen Person erfolgt. (3) In den in Absatz 2 Buchstaben a und c genannten Fällen trifft der Verantwortliche angemessene Maßnahmen, um die Rechte und Freiheiten sowie die berechtigten Interessen der betroffenen Person zu wahren, wozu mindestens das Recht auf Erwirkung des Eingreifens einer Person seitens des Verantwortlichen, auf Darlegung des eigenen Standpunkts und auf Anfechtung der Entscheidung gehört. 1104

|

Kamlah

Automatisierte Entscheidungen | Art. 22 DSGVO

(4) Entscheidungen nach Absatz 2 dürfen nicht auf besonderen Kategorien personenbezogener Daten nach Artikel 9 Absatz 1 beruhen, sofern nicht Artikel 9 Absatz 2 Buchstabe a oder g gilt und angemessene Maßnahmen zum Schutz der Rechte und Freiheiten sowie der berechtigten Interessen der betroffenen Person getroffen wurden. I. Einführung . . . . . . . . . . . . . . . II. Voraussetzungen . . . . . . . . . . . III. Ausnahmen vom Verbot automatisierter Einzelentscheidungen (Abs. 2) . . . . . . . .

1 4

IV. Wahrung der Rechte der betroffenen Person (Abs. 3) . . . 14

8

Schrifttum: Siehe Art. 12 DSGVO.

I. Einführung Die Vorschrift regelt die automatisierte Einzelentscheidung. Sie hat ihr Vor- 1 bild in Art. 15 EG-Datenschutzrichtlinie, der wiederum durch § 6a BDSG umgesetzt wurde. Insoweit enthält die Vorschrift nichts grundsätzlich Neues, so dass in weiten Teilen auf die Komm. zu § 6a BDSG Rz. 5 ff. und Rz. 11 ff. verwiesen werden kann. Anders als in Art. 15 EG-Datenschutzrichtlinie oder in § 6a BDSG enthält 2 Art. 22 aber eine Aussage zum sog. Profiling, welches in Art. 4 Nr. 4 definiert ist (s. Komm. zu Art. 4 DSGVO). Schon der Wortlaut der Vorschrift lässt erkennen, dass das Profiling dort „hineingeschoben“ wurde. Das führt zu Auslegungsschwierigkeiten, denn schon bislang war klar, dass automatisierte Einzelentscheidungen auch solche sein können, die auf Basis eines (vollautomatisierten) Profilings direkt zu einer automatisierten Entscheidung führten. Umgekehrt bedeutete der Einsatz von Profilingverfahren nicht zwingend gleichzeitig das Vorliegen einer automatisierten Einzelentscheidung. Das war insbesondere in Fällen bloßer Vorselektionen anzunehmen, denen eine dann manuelle oder „analoge“ Entscheidungsfindung nachfolgen konnte (zu den entsprechenden Abgrenzungsfragen s. Komm. zu § 6a BDSG Rz. 5 ff. und Rz. 10). Das deutsche Recht unterschied daher zumindest für bestimmte Fälle in seiner BDSG-Fassung von 2010 zwischen der automatisierten Einzelentscheidung, die in § 6a BDSG geregelt wurde und der Frage, wie Wahrscheinlichkeitswerte gebildet werden dürfen (§ 28b BDSG). Die Verordnung enthält keine Regelung mehr zu der Frage, unter welchen Voraussetzungen Profilbildungen erfolgen dürfen, sondern verweist ausweislich des Erwägungsgrundes 72 auf die allgemeinen Zulässigkeitsvoraussetzungen. Aus deutscher Sicht tritt damit sogar eine gewisse Liberalisierung ein. Das schließt jedoch die Entwicklung neuer Verhaltensregeln (durch etwa einen code of conduct) nach Art. 40 nicht aus, die die Art und Weise wie auch die Einsatzgebiete näher beschreiben. Kamlah

|

1105

Art. 22 DSGVO | Rechte der betroffenen Person 3 Gleichwohl bleibt offen, wie sich der Begriff des Profilings in Art. 22 Abs. 1 ein-

fügt. Das Profiling wird der automatisierten Einzelentscheidung gleichgesetzt. Damit verliert die Regelung des Profilings aber gleichzeitig an Wert, weil es tatbestandlich schlussendlich auf die (automatisierte) Entscheidung ankommt. Das Ergebnis erstaunt ein wenig, da gerade Scoring- und Ratingverfahren, die im Ergebnis dem Profiling weitestgehend ausweislich der Begriffsbestimmung in Art. 4 Nr. 4 entsprechen dürften, immer wieder Gegenstand der Diskussion waren. Damit wird die Frage relevant, ob Art. 22 Abs. 2 Buchst. b insoweit eine Öffnungsklausel darstellt, die aus deutscher Sicht den Wegfall des § 28b BDSG kompensieren kann (s. dazu Rz. 9, aber auch Abs. 4)1.

II. Voraussetzungen 4 Wie auch schon bei den übrigen Betroffenenrechten formuliert der Einleitungs-

satz des Art. 22 ein Recht der betroffenen Person. Allerdings wird nicht zum Ausdruck gebracht, welche Rechtsfolge die betroffene Person verlangen kann (Löschung, Einschränkung, Berichtigung etc.), sondern „nur“ dass die betroffene Person das Recht hat, nicht einer automatisierten Einzelentscheidung unterworfen zu werden. Es fehlt also im Grunde die ausdrückliche Formulierung, dass die betroffene Person insoweit quasi einen Unterlassungsanspruch hat. Dieser ist aber in die Vorschrift hineinzulesen. Ob das Recht ungeachtet dessen besteht, ob die betroffene Person einen solchen Anspruch geltend macht, ist zweifelhaft, da es anders als beim Berichtigungs- oder Löschungsanspruch einer den Art. 5 Abs. 1 Buchst. d oder e korrespondierenden Vorschrift fehlt. Allenfalls ließe sich dies mit Art. 5 Abs. 1 Buchst. a begründen.

5 Wie bei personenbezogenen Daten, die unrichtig oder unzulässig verarbeitet

werden, erfährt die betroffene Person über die Tatsache des Vorliegens einer automatisierten Entscheidung (spätestens) über die Auskunft nach Art. 15 Abs. 1 Buchst. h. Das bedeutet aber gleichzeitig, dass automatisierte Einzelentscheidungen nicht per se unzulässig sind, was sich aber auch aus Art. 22 Abs. 2 ergibt.

6 Unzulässig sind automatisierte Einzelentscheidungen nur dann, wenn sie „aus-

schließlich“ auf einer automatisierten Verarbeitung beruhen. Das Kriterium der Ausschließlichkeit ist nicht neu und fand sich schon in Art. 15 EG-Datenschutzrichtlinie sowie § 6a BDSG. Insoweit kann auf die Komm. zu § 6a BDSG Rz. 11 ff. verwiesen werden2.

7 Gleichzeitig darf die (automatisierte) Einzelentscheidung keine rechtliche Wir-

kung entfalten oder die betroffene Person in ähnlicher Weise erheblich beeinträchtigen. Auch diese Formulierung ähnelt Art. 15 EG-Datenschutzrichtlinie 1 Hierzu Taeger, ZRP 2016, 72. 2 Den engen Anwendungsbereich stellen auch Roßnagel/Nebel/Richter, ZD 2016, 455 fest.

1106

|

Kamlah

Automatisierte Entscheidungen | Art. 22 DSGVO

(„… keiner für sie rechtliche Folgen nach sich ziehenden und keiner sie erheblich beeinträchtigenden Entscheidung …“) und § 6a BDSG, so dass auch hier auf die entsprechende Komm. zu § 6a BDSG Rz. 6 ff. verwiesen werden könnte. Allerdings nennt Erwägungsgrund 71 als Beispiele für eine solche Beeinträchtigung die automatische Ablehnung eines Online-Kreditantrags oder Online-Einstellungsverfahren ohne jegliches menschliches Eingreifen. Insbesondere die Nennung des Beispiels des Internetkreditgeschäfts führt zu Auslegungsschwierigkeiten, denn schon bislang war umstritten, ob die Ablehnung von (Kredit-) geschäften insbesondere im Bereich des täglichen Bedarfs eine erhebliche Beeinträchtigung darstellen kann. Dies ist aber nur dann der Fall, wenn auch das beabsichtigte Geschäft selbst erheblich ist. (s. Komm. zu § 6a BDSG Rz. 7) Insoweit ergibt sich aus Erwägungsgrund 71 nichts anderes. Zweifelhaft ist auch, ob mit dem Beispiel des Onlinekreditgeschäftes nicht nur Verbraucherkredite im Sinne der Richtlinie 2008/48 oder tatsächlich der gesamte E-Commerce gemeint war. Es ist aber nicht erkennbar, dass mit dieser Formulierung der gerade in Deutschland immer noch favorisierte Kauf auf Rechnung derart reglementiert werden sollte.

III. Ausnahmen vom Verbot automatisierter Einzelentscheidungen (Abs. 2) Der Unterlassungsanspruch besteht nicht, wenn die automatisierte Entschei- 8 dung für den Abschluss oder die Erfüllung eines Vertrages zwischen der betroffenen Person und dem Verantwortlichen erforderlich ist, Art. 22 Abs. 2. Diese Formulierung weicht von Art. 15 EG-Datenschutzrichtlinie und § 6a BDSG insoweit ab, als dass die Vorläufervorschriften des Art. 22 Abs. 2 nur darauf abstellten, dass dem Begehren der betroffenen Person stattgegeben wurde. Nunmehr soll es darauf ankommen, dass die automatisierte Einzelentscheidung erforderlich sein soll. Der Sinn dieser Formulierung erschließt sich nicht, denn es wird möglicherweise zahlreiche Fälle geben, in denen dem Wunsch der betroffenen Person nach Abschluss eines Vertrages stattgegeben wurde, die dem zugrunde liegende automatisierte Einzelentscheidung aber streng genommen gar nicht erforderlich war. Es leuchtet auch nicht ein, warum man dann der betroffenen Person einen gesonderten Anspruch verbriefen soll. Man wird daher hier das Kriterium der Erforderlichkeit weniger streng auslegen müssen. Zugunsten des Verantwortlichen müssen auch wirtschaftliche Gründe der automatisierten Entscheidungsfindung sprechen dürfen. Immerhin kommen diese auch den betroffenen Personen zugute, wenn die allgemeinen Geschäftsprozesskosten des Verantwortlichen sinken und dies gleichzeitig dazu führt, dass im Bereich ECommerce schnelle – positive – Entscheidungen getroffen werden können. Es macht schlicht keinen Sinn, den Verantwortlichen auf einen künstlich manuellen Prozessschritt zu verweisen, wenn er dem Anliegen der betroffenen Person stattgeben möchte. Kamlah

|

1107

Art. 22 DSGVO | Rechte der betroffenen Person 9 Ebenso zulässig sind automatisierte – beeinträchtigende – Einzelentscheidun-

gen, wenn diese nach dem Recht der Union oder der Mitgliedstaaten zulässig sind. Dies bedeutet, dass solche Vorschriften in den Mitgliedstaaten auch erst noch geschaffen werden können. Es handelt sich bei Art. 22 Abs. 2 Buchst. b mithin um eine Öffnungsklausel. Allerdings erstreckt sich der Anwendungsbereich der Öffnungsklausel nur auf Entscheidungen – einschließlich des Profilings – nach Abs. 1. Damit ist mit dieser Öffnungsklausel nicht die Befugnis des nationalen Gesetzgebers umfasst, Regelungen zur Art und Weise der Bildung von Profilen zu schaffen, wie dieses in § 28b BDSG vorgesehen war. Vielmehr soll ausweislich des Erwägungsgrundes 72 die Grundlage für die Profilbildung in den allgemeinen Datenschutzgrundsätzen liegen. In Betracht kommt hierfür insbesondere Art. 6 Abs. 1 Buchst. f. Etwaige Fragen hinsichtlich der Zulässigkeit der Verwendung von Anschriftendaten oder des Geoscoring beurteilen sich ausschließlich danach1. Ob noch § 15 Abs. 3 TMG2 als Rechtsgrundlage herangezogen werden kann ist allerdings fraglich. Der Datenschutzausschuss soll (ergänzende) Leitlinien herausbringen dürfen.

10 Sofern der (nationale) Gesetzgeber von seiner Rechtssetzungsbefugnis Gebrauch

machen darf, müssen diese Rechtsvorschriften angemessene Maßnahmen zur Wahrung der Rechte und Freiheiten sowie der betroffenen Person enthalten. Bereits bestehende Vorschriften müssten dementsprechend angepasst werden. Bspw. dürfte § 10 KWG dürfte erhalten bleiben.

11 Nach Erwägungsgrund 71 soll es – ggf. auf Basis zu schaffender oder im Lichte

der Verordnung anzupassender nationaler Vorschriften – nationalen Aufsichtsgremien möglich bleiben, Betrug und Steuerhinterziehung zu überwachen. Das bedeutet aber auch, dass auf Basis automatisierter Verarbeitung einschließlich des Profilings betriebene Betrugspräventionssysteme dem Grunde nach für zulässig erklärt werden. Gleiches gilt für Systeme, die auf dieser Basis Auffälligkeiten im Rahmen der Steuerentrichtung erkennen lassen. Schließlich wird auch die Zulässigkeit von vollautomatisierten Systemen anerkannt, mit denen deren Sicherheit und Zuverlässigkeit eines von einem Verantwortlichen bereitgestellten Dienstes überwacht und gewährleistet wird.

12 Erheblich beeinträchtigende automatisierte Entscheidungen sind auch dann zu-

lässig, wenn die betroffene Person ausdrücklich darin eingewilligt hat. Die danach zu erteilende Einwilligung hat sich zunächst an den Anforderungen der Art. 4 Nr. 11 und Art. 7 zu orientieren. Darüber hinaus fordert aber Art. 22 Abs. 2 Buchst. c die Ausdrücklichkeit der erteilten Einwilligung. Damit soll offenbar der erhöhten „Gefährdungslage“ Rechnung getragen werden. Welche praktischen Anforderungen konkret sich aus diesem zusätzlichen Kriterium er-

1 Das stellt auch der Verbraucherverband Bundeszentrale in seinem Papier „Kurzbewertung der europäischen Datenschutz-Grundverordnung“ fest, 2.5.2016, S. 5. 2 Ebenso Gierschmann, ZD 2016, 51.

1108

|

Kamlah

Automatisierte Entscheidungen | Art. 22 DSGVO

geben bleibt allerdings offen, da auch nach Erwägungsgrund 32 eine eindeutige bestätigende Handlung gefordert wird. Auf die Frage, wie es zur automatisierten Entscheidung einschließlich der Profil- 13 bildung kommt, hat das Einwilligungserfordernis keinen Einfluss. Es bezieht sich nur auf die automatisierte Einzelentscheidung einschließlich der Profilbildung selbst. Die Zulässigkeit der Willens- bzw. Profilbildung und der dabei ggf. erfolgenden Datenverarbeitung gelten laut Erwägungsgrund 72 die allgemeinen Zulässigkeitsvoraussetzungen.

IV. Wahrung der Rechte der betroffenen Person (Abs. 3) Nach Art. 22 Abs. 3 trifft der Verantwortliche geeignete Maßnahmen, um die 14 Rechte und Freiheiten sowie die berechtigten Interessen der betroffenen Person zu wahren. Hierzu gehören das Remonstrationsrecht und das Eingreifen auf die Entscheidung. Dieser Ansatz ist ebenfalls nicht grundsätzlich neu und fand sich in ähnlicher Form schon in Art. 15 EG-Datenschutzrichtlinie und in § 6a Abs. 2 BDSG. Allerdings waren diese Normen so formuliert, dass die Wahrung der Betroffenenrechte dazu führte, dass sie neben dem Stattgeben des gewünschten Begehrs ebenfalls zu einer Ausnahme des grundsätzlich bestehenden Verbotes einer automatisierten Entscheidung führten. Art. 22 Abs. 3 knüpft aber an die Fälle nach Art. 22 Abs. 2 Buchst. a und c – also an Fälle an, bei denen eine Ausnahme vom Verbot nach Art. 22 Abs. 1 ohnehin schon nach Art. 22 Abs. 2 Buchst. a und c selbst besteht. Insoweit lässt die DSGVO einen Ausnahmetatbestand vom Verbot der automatisierten Einzelentscheidung entfallen. Gleichzeitig erschwert sie die Ausnahmen des Art. 22 Abs. 2 Buchst. a und c indem sie sie an zusätzliche Voraussetzungen knüpft. Auch die Erwägungsgründe sind insoweit undeutlich. Nach Erwägungsgrund 71 sollte in jedem Fall eine solche Verarbeitung mit angemessenen Garantien verbunden sein, einschließlich der spezifischen Unterrichtung der betroffenen Person und des Anspruchs auf direktes Eingreifen einer Person, auf Darlegung des eigenen Standpunkts, auf Erläuterung der nach einer entsprechenden Bewertung getroffenen Entscheidung sowie des Rechts auf Anfechtung der Entscheidung. Die Formulierung „in jedem Fall“ spricht dafür, dass die im Erwägungsgrund genannten Auflagen in „jedem Fall“ des Vorliegens einer automatisierten Einzelentscheidung gelten sollten, mit der Folge, dass auch dann eine Entscheidung nach Abs. 1 zulässig ist. Art. 22 Abs. 4 formuliert zum Schutze der betroffenen Person das grundsätzliche 15 Verbot, dass automatisierte Einzelentscheidungen einschließlich des Profilings nicht auf Basis besonderer Kategorien Daten nach Art. 9 Abs. 1 erfolgen dürfen. Ausnahmen hiervon sollen nur dann gelten, wenn eine entsprechende Einwilligung vorliegt oder eine derartige Verarbeitung im öffentlichen Interesse liegt, Art. 9 Abs. 2 Buchst. a und g. Ohne dass dies im Verordnungstext ausdrücklich genannt wird, formuliert Erwägungsgrund 71, dass von einer autoKamlah

|

1109

Art. 22 DSGVO | Rechte der betroffenen Person matisierten Einzelentscheidung einschließlich des Profilings kein Kind betroffen sein sollte. 16 Ebenfalls außerhalb des Verordnungstextes fordert Erwägungsgrund 71 im Rah-

men einer nach Art. 22 stattfindenden Entscheidung, dass der betroffenen Person gegenüber eine faire und transparente Verarbeitung zu gewährleisten ist. Diese Anforderung hat aber keinen eigenen Regelungsgehalt, da sie sich im Grunde schon aus Art. 5 Abs. 1 Buchst. a ergibt. Über den Verordnungstext hinausgehend ist aber die Erwägung, wonach der für die Verarbeitung Verantwortliche (hierzu) geeignete mathematische oder statistische Verfahren für das Profiling verwenden soll. Damit wird zumindest für das Profiling konkret vorgegeben, wie die automatisierte Verarbeitung, die dann zu einem Profiling (ergebnis) führt, zu erfolgen hat. Im Wortlaut erinnert die Vorschrift an § 28b Nr. 1 BDSG. Aus dem Kriterium der Geeignetheit wird man ableiten müssen, dass nicht jedwede Profilbildung danach zulässig sein wird. Damit ist aber zumindest dieser Erwägungsgrund systemwidrig verortet, da er nicht nur die im Verordnungstext definierten Voraussetzungen an eine automatisierte Einzelentscheidung, sondern speziell für das Profiling gesonderte Voraussetzung an die Profilbildung formuliert, die im Grunde zu Art. 6 Abs. 1 gehören. Der Wortlaut dieser sich aus dem Erwägungsgrund ergebenden Anforderung ist auch nicht synchron mit den Art. 13 Abs. 2 Buchst. f, Art. 14 Abs. 2 Buchst. g und Art. 15 Abs. 1 Buchst. h wonach bei Vorliegen einer Entscheidung nach Art. 22 Abs. 1 und 4 über die „involvierte Logik“ zu informieren ist. Man wird aber die involvierte Logik in dem dem Profiling zugrunde liegenden statistisch-mathematischen Verfahren erblicken können (s.a. Komm. zu Art. 15 DSGVO Rz. 14).

17 Schließlich sind nach Erwägungsgrund 71 technische und organisatorische

Maßnahmen zu treffen, mit denen in geeigneter Weise insbesondere sichergestellt wird, dass Faktoren, die zu unrichtigen personenbezogenen Daten führen, korrigiert werden und das Risiko von Fehlern minimiert wird. Die Anforderung der Richtigkeit und der Speicherbegrenzung ergibt sich aber schon aus Art. 5 Abs. 1 Buchst. d und e. Mit der Formulierung in Erwägungsgrund 71 wird aber nicht auf die Richtigkeit der personenbezogenen Daten abgestellt, sondern darauf, dass diese (Faktoren) zu unrichtigen Ergebnissen führen können. Letztlich wird aus dieser Anforderung also die Verpflichtung abgeleitet werden müssen, die Art und Weise der Profilbildung einer regelmäßigen Überprüfung zu unterziehen, um deren Qualität zu sichern.

1110

|

Kamlah

Beschränkungen | Art. 23 DSGVO

Abschnitt 5 Beschränkungen

Artikel 23 Beschränkungen (1) Durch Rechtsvorschriften der Union oder der Mitgliedstaaten, denen der Verantwortliche oder der Auftragsverarbeiter unterliegt, können die Pflichten und Rechte gemäß den Artikeln 12 bis 22 und Artikel 34 sowie Artikel 5, insofern dessen Bestimmungen den in den Artikeln 12 bis 22 vorgesehenen Rechten und Pflichten entsprechen, im Wege von Gesetzgebungsmaßnahmen beschränkt werden, sofern eine solche Beschränkung den Wesensgehalt der Grundrechte und Grundfreiheiten achtet und in einer demokratischen Gesellschaft eine notwendige und verhältnismäßige Maßnahme darstellt, die Folgendes sicherstellt: a) die nationale Sicherheit; b) die Landesverteidigung; c) die öffentliche Sicherheit; d) die Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder die Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit; e) den Schutz sonstiger wichtiger Ziele des allgemeinen öffentlichen Interesses der Union oder eines Mitgliedstaats, insbesondere eines wichtigen wirtschaftlichen oder finanziellen Interesses der Union oder eines Mitgliedstaats, etwa im Währungs-, Haushalts- und Steuerbereich sowie im Bereich der öffentlichen Gesundheit und der sozialen Sicherheit; f) den Schutz der Unabhängigkeit der Justiz und den Schutz von Gerichtsverfahren; g) die Verhütung, Aufdeckung, Ermittlung und Verfolgung von Verstößen gegen die berufsständischen Regeln reglementierter Berufe; h) Kontroll-, Überwachungs- und Ordnungsfunktionen, die dauernd oder zeitweise mit der Ausübung öffentlicher Gewalt für die unter den Buchstaben a bis e und g genannten Zwecke verbunden sind; i) den Schutz der betroffenen Person oder der Rechte und Freiheiten anderer Personen; j) die Durchsetzung zivilrechtlicher Ansprüche. (2) Jede Gesetzgebungsmaßnahme im Sinne des Absatzes 1 muss insbesondere gegebenenfalls spezifische Vorschriften enthalten zumindest in Bezug auf a) die Zwecke der Verarbeitung oder die Verarbeitungskategorien, Grages

|

1111

Art. 23 DSGVO | Rechte der betroffenen Person b) die Kategorien personenbezogener Daten, c) den Umfang der vorgenommenen Beschränkungen, d) die Garantien gegen Missbrauch oder unrechtmäßigen Zugang oder unrechtmäßige Übermittlung; e) die Angaben zu dem Verantwortlichen oder den Kategorien von Verantwortlichen, f) die jeweiligen Speicherfristen sowie die geltenden Garantien unter Berücksichtigung von Art, Umfang und Zwecken der Verarbeitung oder der Verarbeitungskategorien, g) die Risiken für die Rechte und Freiheiten der betroffenen Personen und h) das Recht der betroffenen Personen auf Unterrichtung über die Beschränkung, sofern dies nicht dem Zweck der Beschränkung abträglich ist. I. Beschränkungen von Rechten und Pflichten (Abs. 1) . . . . . . .

1

II. Spezifische Vorschriften in Bezug auf Beschränkungen (Abs. 2) . . . . . . . . . . . . . . . . . .

8

I. Beschränkungen von Rechten und Pflichten (Abs. 1) 1 Art. 23 Abs. 1 eröffnet die Möglichkeit, durch Rechtsvorschriften der Mitglied-

staaten (oder der Union selbst) bestimmte Rechte und Pflichten des Verantwortlichen und/oder des Auftragsverarbeiters aus der DSGVO einzuschränken. Dies kann vor allem im Interesse der öffentlichen Sicherheit und zur Wahrung öffentlicher Interessen erfolgen. Die Regelung knüpft an Art. 13 der ehemaligen EG-Datenschutzrichtlinie1 an und hat ihrerseits Richtliniencharakter, da ausdrücklich Gesetzgebungsspielräume geschaffen werden. Der umfangreiche Katalog denkbarer Gründe für Abweichungen von den Bestimmungen der DSGVO rückt die Bestimmung zudem nah an eine Generalklausel. Die Norm könnte daher zu weitreichenden nationalen Abweichungen führen und gefährdet damit praktisch die eigentlich angestrebte Harmonisierung des Datenschutzniveaus, vgl. insofern auch die spezifischen Öffnungsklauseln in Art. 85 ff.

2 Grundsätzlich einschränkbar sind im Rahmen der Öffnungsklausel die Be-

troffenenrechte und Transparenzpflichten aus Art. 12–22 und Art. 34. Es können also Informations- und Benachrichtigungspflichten, Auskunftsrechte, Rechte auf Berichtigung, Löschung oder Übertragbarkeit von Daten, das Widerspruchsrecht sowie die Begrenzung von Profiling-Maßnahmen beschränkt werden. Soweit Art. 5 die Grundsätze der Datenverarbeitung regelt und sich hieraus entsprechende Rechte und Pflichten ergeben, können auch diese eingeschränkt 1 Nunmehr aufgehoben gemäß Art. 94 Abs. 1.

1112

|

Grages

Beschränkungen | Art. 23 DSGVO

werden. Art. 23 relativiert damit jene Rechte, die eigentlich den Kern des neuen, betroffenenfreundlichen Datenschutzrechts ausmachen. Art. 23 selbst ist nicht ganz eindeutig, wie der Begriff der „Gesetzgebungsmaß- 3 nahmen“ als Grundlage möglicher Beschränkungen zu verstehen ist. Erwägungsgrund 41 stellt klar, dass nicht nur formelle Parlamentsgesetze gemeint sind, sondern materielle Gesetze im weiteren Sinne, also auch z.B. Verordnungen und Satzungen. Zudem lässt der Wortlaut Auslegungsspielraum zu, ob ggf. nur solche Normen anerkannt werden, die unter Geltung der DSGVO neu erlassen werden („können beschränkt werden“). Der Zweck der Norm spricht allerdings eindeutig dafür, diesem formalen Aspekt keine Bedeutung beizumessen, sondern danach zu fragen, ob die fragliche (Bestands-) Regelung die inhaltlichen Anforderungen des Art. 23 (weiterhin) erfüllt. In diese Richtung deutet auch der regelungsverwandte Art. 6 Abs. 2, der in Bezug auf spezifische, über die Vorgaben der DSGVO hinausgehende Regelungen zur Verarbeitung im öffentlichen Interesse bzw. in Ausübung öffentlicher Gewalt (vgl. Art. 6 Abs. 1 Buchst. e), Vorschriften, die beibehalten werden mit solchen gleichstellt, die eingeführt werden. Bei der Einschränkung durch spezifische Rechtsvorschriften müssen jeweils fol- 4 gende Voraussetzungen gegeben sein: – Der Wesensgehalt der Grundrechte und Grundfreiheiten ist zu achten; Beschränkungen müssen also mit der GrCh und mit der EMRK in Einklang stehen. Diese Anforderung gilt indes für alle legitimen Gesetze in der EU. – Die beschränkende Maßnahme muss sich als notwendig und verhältnismäßig in einer demokratischen Gesellschaft darstellen. Das Erfordernis der „Notwendigkeit“ erscheint als geeigneter Anknüpfungspunkt, um ausufernden Abweichungen von der DSGVO ohne zwingenden Grund entgegenzuwirken. Gleichzeitig ist dieses Tatbestandsmerkmal aber naturgemäß wenig eindeutig und stark wertungsabhängig. – Die Zielsetzung muss einem der Zwecke aus dem spezifischen Katalog von lit. a–j entsprechen (s. dazu im Folgenden). Bei den zulässigen Zwecken, zu deren Erreichung die Vorgaben in Bezug auf 5 Transparenz und Zugang herabgesetzt werden dürfen, zählen insbesondere die nationale und öffentliche Sicherheit sowie die Landesverteidigung, Strafverfolgung und -vollstreckung. In diesem Zusammenhang ist allerdings i.S.v. Art. 2 Abs. 2 Buchst. d auf die Datenschutz-Richtlinie für Polizei und Strafjustiz1 hinzuweisen, in deren Anwendungsbereich die DSGVO zurücktritt, vgl. Erwägungsgrund 19. In der Konsequenz eröffnet Art. 23 der Union und den Mitgliedstaaten 1 Richtlinie 2016/680 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates.

Grages

|

1113

Art. 23 DSGVO | Rechte der betroffenen Person vor allem die Möglichkeit, Polizeibehörden und Justiz Befugnisse unter Beschränkung der Betroffenenrechte zuzugestehen, um die behördlichen Zielsetzungen außerhalb des Kernbereichs von Strafverfolgung und Prävention zu erfüllen. 6 Erstaunlicherweise greift die Öffnungsklausel darüber hinaus sehr weit. Denn es

reichen auch „sonstige wichtige Ziele des allgemeinen öffentlichen Interesses“ und damit ggf. schlicht wirtschaftliche oder finanzielle Interessen der Union oder des jeweiligen Mitgliedstaates, um die Informationsrechte der Betroffenen zu verkürzen. Erwägungsgrund 19 nennt beispielhaft die Bekämpfung der Geldwäsche, auch im Bereich der Steuerverwaltung könnte die Norm Bedeutung erlangen. Zudem kann die Durchsetzung zivilrechtlicher Ansprüche als Rechtfertigung dienen. Im Ergebnis sind die Mitgliedstaaten damit relativ frei in der Einführung ergänzender Regelungen, um die Betroffenenrechte im Sinne eines funktionieren Gemeinwesens einzuschränken. Auch Beschränkungen im Interesse des Betroffenen selbst oder Dritter sind zulässig; hier kann also angeknüpft werden, wenn widerstreitende Positionen in Bezug auf Auskunft und Vertraulichkeit in einen Ausgleich gebracht werden müssen.

7 Gemäß Erwägungsgrund 73 ist auch das mit Blick auf Betroffenenrechte kriti-

sche Führen öffentlicher Register aus Gründen des allgemeinen öffentlichen Interesses zulässig. Insbesondere zur Bereitstellung spezifischer Informationen im Zusammenhang mit dem politischen Verhalten unter ehemaligen totalitären Regimen können Löschungsansprüche der Betroffenen also ggf. verkürzt werden, vgl. zu den Anforderungen bei Archiven auch Art. 85 und Art. 89.

II. Spezifische Vorschriften in Bezug auf Beschränkungen (Abs. 2) 8 Nach Abs. 2 sind die gemäß Abs. 1 zulässigen Beschränkungen in bestimmter

Weise auszugestalten, um das herabgesetzte Schutz- und Transparenzniveau nicht willkürlich absenken zu können. Durch den Katalog struktureller und inhaltlicher Anforderungen soll sichergestellt werden, dass der Schutzanspruch der DSGVO nicht ausgehöhlt oder durch pauschale Einschränkungen umgangen wird.

9 So sind bei Erlass der einschränkenden Regelungen u.a. detaillierte Vorgaben

zu Verarbeitungszwecken und Garantien gegen Missbrauch sowie zu Speicherfristen vorzusehen, soweit anwendbar. Es ist sogar die Unterrichtung des Betroffenen über die Verkürzung seiner Informationsrechte erforderlich, wenn dies mit dem Regelungsziel vereinbar ist. Im Ergebnis müssen die Beschränkungen sehr spezifisch ausgestaltet werden; allgemeine Freistellungen von den Transparenzpflichten in ganzen Sektoren sind damit regelmäßig unzulässig.

10 Die Initiative des EU-Parlaments, einen dritten Absatz mit dem Regelungsinhalt

einzubringen, dass die in Abs. 1 genannten Maßnahmen Private nicht dazu ermächtigen oder verpflichten dürften, Daten über das erforderliche Maß hinaus 1114

|

Grages

Verantwortung des für die Verarbeitung Verantwortlichen | Art. 24 DSGVO

zu speichern, konnte sich im Gesetzgebungsverfahren nicht durchsetzen. Gleichwohl spielt das Verhältnismäßigkeitsprinzip bei der Beurteilung von Beschränkungen i.S.d. Art. 23 eine wichtige Rolle, vgl. Erwägungsgrund 73.

Kapitel IV Verantwortlicher und Auftragsverarbeiter Abschnitt 1 Allgemeine Pflichten

Artikel 24 Verantwortung des für die Verarbeitung Verantwortlichen (1) Der Verantwortliche setzt unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen um, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß dieser Verordnung erfolgt. Diese Maßnahmen werden erforderlichenfalls überprüft und aktualisiert. (2) Sofern dies in einem angemessenen Verhältnis zu den Verarbeitungstätigkeiten steht, müssen die Maßnahmen gemäß Absatz 1 die Anwendung geeigneter Datenschutzvorkehrungen durch den Verantwortlichen umfassen. (3) Die Einhaltung der genehmigten Verhaltensregeln gemäß Artikel 40 oder eines genehmigten Zertifizierungsverfahrens gemäß Artikel 42 kann als Gesichtspunkt herangezogen werden, um die Erfüllung der Pflichten des Verantwortlichen nachzuweisen. I. Einführung . . . . . . . . . . . . . . . II. Vom Verantwortlichen durchzuführende Maßnahmen (Abs. 1) . . . . . . . . . . . . . . . . . .

1 4

III. Vom Verantwortlichen zu treffende Datenschutzvorkehrungen (Abs. 2) . . . . . . . 10 IV. Nachweis durch Zertifizierung und Verhaltensregeln (Abs. 3) 12

Schrifttum: Albrecht, Das neue EU-Datenschutzrecht – von der Richtlinie zur Verordnung, CR 2016, 88.

Grages/Plath

|

1115

Verantwortung des für die Verarbeitung Verantwortlichen | Art. 24 DSGVO

zu speichern, konnte sich im Gesetzgebungsverfahren nicht durchsetzen. Gleichwohl spielt das Verhältnismäßigkeitsprinzip bei der Beurteilung von Beschränkungen i.S.d. Art. 23 eine wichtige Rolle, vgl. Erwägungsgrund 73.

Kapitel IV Verantwortlicher und Auftragsverarbeiter Abschnitt 1 Allgemeine Pflichten

Artikel 24 Verantwortung des für die Verarbeitung Verantwortlichen (1) Der Verantwortliche setzt unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen um, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß dieser Verordnung erfolgt. Diese Maßnahmen werden erforderlichenfalls überprüft und aktualisiert. (2) Sofern dies in einem angemessenen Verhältnis zu den Verarbeitungstätigkeiten steht, müssen die Maßnahmen gemäß Absatz 1 die Anwendung geeigneter Datenschutzvorkehrungen durch den Verantwortlichen umfassen. (3) Die Einhaltung der genehmigten Verhaltensregeln gemäß Artikel 40 oder eines genehmigten Zertifizierungsverfahrens gemäß Artikel 42 kann als Gesichtspunkt herangezogen werden, um die Erfüllung der Pflichten des Verantwortlichen nachzuweisen. I. Einführung . . . . . . . . . . . . . . . II. Vom Verantwortlichen durchzuführende Maßnahmen (Abs. 1) . . . . . . . . . . . . . . . . . .

1 4

III. Vom Verantwortlichen zu treffende Datenschutzvorkehrungen (Abs. 2) . . . . . . . 10 IV. Nachweis durch Zertifizierung und Verhaltensregeln (Abs. 3) 12

Schrifttum: Albrecht, Das neue EU-Datenschutzrecht – von der Richtlinie zur Verordnung, CR 2016, 88.

Grages/Plath

|

1115

Art. 24 DSGVO | Verantwortlicher und Auftragsverarbeiter I. Einführung 1 Sinn und Zweck des Art. 24 ist es, die Verwirklichung des Schutzzwecks der

DSGVO durch den Verantwortlichen sicherzustellen und zwar durch die Pflicht zur Umsetzung geeigneter „technischer und organisatorischer Maßnahmen“. Die Regelung ist als unmittelbar geltende Verpflichtung ausformuliert. Gleichzeitig soll die Umsetzung dieser Maßnahmen dazu dienen, den Nachweis für die Einhaltung der Regelungen der DSGVO erbringen zu können.

2 Welche konkreten Maßnahmen zu treffen sind, ergibt sich aus einer umfassen-

den Interessenabwägung, die anhand der in Art. 24 aufgeführten Kriterien vorzunehmen ist („Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen“). Daraus können sich im Einzelfall Abweichungen in Intensität und Umfang der zu treffenden Maßnahmen ergeben, d.h. es gilt insoweit kein starrer Katalog oder verbindlicher Basisstandard.

3 Die Pflicht zur Einhaltung der DSGVO ergibt sich bereits aus den jeweils kon-

kret normierten Rechten und Pflichten des DSGVO. In Art. 24 ist daher nicht nur eine „Bekräftigung“ der Anordnungen aus den übrigen Normen zu sehen, sondern eine Normierung von gesondert zu beachten Pflichten1.

Die maßgeblichen Erwägungsgründe finden sich in den Erwägungsgründen 74–79.

II. Vom Verantwortlichen durchzuführende Maßnahmen (Abs. 1) 4 In Abs. 1 findet sich der Pflichtenkatalog für den Verantwortlichen sowie die

Angabe der Faktoren, die er bei der Auswahl der Maßnahmen zur Erfüllung dieser Pflichten zu beachten hat.

5 Für den Verantwortlichen ergeben sich konkret folgende Pflichten:

1. die Pflicht zur Umsetzung geeigneter technischer und organisatorischer Maßnahmen, die sicherstellen sollen, dass personenbezogene Daten durch ihn rechtmäßig verarbeitet werden, 2. die Pflicht, die Maßnahmen so auszugestalten, dass darüber der Nachweis über die Anforderungen der Vorschriften der DSGVO an eine rechtmäßige Verarbeitung erbracht werden kann, und 3. die Pflicht, diese Maßnahmen zu überprüfen und ggf. zu aktualisieren. 6 Um festlegen zu können, welche Maßnahmen geeignet sind, hat der Verant-

wortliche folgende Faktoren zu berücksichtigen:

1 In diesem Sinne bereits zu § 9 BDSG Simitis/Ernestus, § 9 BDSG Rz. 15.

1116

|

Plath

Verantwortung des für die Verarbeitung Verantwortlichen | Art. 24 DSGVO

1. die Art der Verarbeitung, also bspw. manuelle oder automatisierte Verarbeitung, 2. den Umfang der Verarbeitung, d.h. die Menge der Daten, die erhoben werden, sowie der Aufwand, der bei ihrer Verarbeitung betrieben wird, 3. die Umstände der Verarbeitung, mithin die Auftragslage und entsprechende Aufgaben- und Verantwortungsverteilung zwischen mehreren an der Verarbeitung Beteiligten, die wirtschaftliche Verwertbarkeit der Daten, und andere vertragliche oder gesetzliche Verpflichtungen, 4. die Zwecke der Verarbeitung, 5. die Eintrittswahrscheinlichkeit eines Risikos für die Rechten und Freiheiten einer natürlichen Person sowie 6. die Schwere der Risiken für die Rechte und Freiheiten der Person. Nach Erwägungsgrund 76 ist das Risiko „anhand einer objektiven Bewertung“ 7 zu beurteilen, die ergeben soll, „ob die Datenverarbeitung ein Risiko oder ein hohes Risiko birgt“. Erwägungsgrund 75 stellt insbesondere auf Risiken ab, „die zu einem physischen, materiellen oder immateriellen Schaden führen“ könnten. Insoweit sind besonders hohe Anforderungen an die zu treffenden Maßnahmen zu stellen, wenn die Möglichkeit besteht, dass „die Verarbeitung zu einer Diskriminierung, einem Identitätsdiebstahl oder -betrug, einem finanziellen Verlust, einer Rufschädigung, einem Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden personenbezogenen Daten, der unbefugten Aufhebung der Pseudonymisierung oder anderen erheblichen wirtschaftlichen oder gesellschaftlichen Nachteilen führen kann“. Auch wenn die Aufzählung in Erwägungsgrund 75 ihrem Wortlaut nach nicht abschließend ist („insbesondere“), so stellt sich doch ein Indiz dafür dar, dass bei Nichtvorliegen der genannten Risiken die Verarbeitung im Grundsatz zulässig sein sollte und keine überzogenen Anforderungen an die zu treffenden Maßnahmen gestellt werden dürfen. Weitere Aspekte, die nach Erwägungsgrund 75 zu einem erhöhten Risiko führen 8 können, liegen vor bei einem Verlust der Möglichkeit der betroffenen Person, die Daten zu kontrollieren, bei der Verarbeitung sensibler Daten, bei der Verarbeitung von Daten „schutzbedürftiger natürlicher Personen, insbesondere Daten von Kindern“, oder wenn die Verarbeitung „eine große Menge personenbezogener Daten und eine große Anzahl von betroffenen Personen betrifft“. Der Begriff der „technischen und organisatorischen Maßnahmen“ war bereits 9 für die EG-Datenschutzrichtlinie von zentraler Bedeutung und wurde in § 9 BDSG mit einem ausführlichen Anhang normiert. Dadurch, dass der Begriff sprachlich unverändert in der DSGVO übernommen worden ist, kann die bisherige Auslegung dieses Begriffs als Richtschnur für die Auslegung der unter der DSGVO zu treffenden Maßnahmen dienen (ausführlich Komm. zu § 9 BDSG Rz. 9 ff.)1. 1 Simitis/Ernestus, § 9 BDSG Rz. 15 ff.

Plath

|

1117

Art. 24 DSGVO | Verantwortlicher und Auftragsverarbeiter Konkrete Beispiele für technische Maßnahmen enthält die Norm zwar nicht. Insofern bietet sich aber eine Anlehnung an die Anlage zu § 9 BDSG an. Demnach dürften unter technischen Maßnahmen u.a. bauliche Maßnahmen, wie insbesondere die Sicherung datenverarbeitender Anlagen, technische Maßnahmen, wie insbesondere die Verschlüsselung der Daten, sowie organisatorische Maßnahmen, wie etwa die Schulung und Sensibilisierung von Mitarbeitern und die stetige Selbstkontrolle und Weiterentwicklungen dieser Maßnahmen zu verstehen sein. Aus Erwägungsgrund 78 geht insoweit hervor, dass diese Maßnahmen „insbesondere den Grundsätzen des Datenschutzes durch Technik (data protection by design) und durch datenschutzfreundliche Voreinstellungen (data protection by default) Genüge tun“ müssen. Insofern sei auf die entsprechenden Kommentierungen verwiesen. Als spezifische Maßnahmen nennt Erwägungsgrund 78 die Minimierung von Daten, die Pseudonymisierung von Daten, die Herstellung von Transparenz sowie die Einräumung einer Möglichkeit der betroffenen Person, die Verarbeitung ihrer Daten zu überwachen.

III. Vom Verantwortlichen zu treffende Datenschutzvorkehrungen (Abs. 2) 10 Abs. 2 erweitert den Pflichtenkatalog des Abs. 1 um die Pflicht zur „Anwendung

geeigneter Datenschutzvorkehrungen“ mit der Einschränkung, dass diese in einem „angemessenen Verhältnis“ für den Verantwortlichen stehen müssen.

11 Eine Definition des Begriffs der „Datenschutzvorkehrungen“ hält die DSGVO

nicht bereit – der Begriff wird in der gesamten DSGVO nur an dieser einzigen Stelle überhaupt verwandt. Offenbar meint er auch etwas anderes als die bspw. in Art. 34 Abs. 3 Buchst. a genannten „Sicherheitsvorkehrungen“ (engl.: „protection measures“). Aus der Systematik des Art. 24 geht aber hervor, dass Datenschutzvorkehrungen grundsätzlich von den „technischen und organisatorischen Maßnahmen“ des Abs. 1 mit „umfasst“ sein müssen, also einen Unterfall dieser Maßnahmen darstellen. Unklar bleibt aber, welche spezifischen Maßnahmen damit konkret gemeint sind. Der Sinn erschließt sich erst mit Blick auf die englische Sprachfassung: dort ist von „data protection policies“, also offenbar internen wie externen Unternehmensrichtlinien, die Rede. „Datenschutzvorkehrungen“ trifft ein Unternehmen somit, indem es den Pflichtenkatalog aus Abs. 1 in konkrete Unternehmensrichtlinien umsetzt.

IV. Nachweis durch Zertifizierung und Verhaltensregeln (Abs. 3) 12 Schließlich ordnet Abs. 3 an, dass der Nachweis für die Erfüllung der Pflichten

des Verantwortlichen durch die Einhaltung der Regeln eines genehmigten Zertifizierungsverfahrens nach Art. 42 oder durch Einhaltung „genehmigter Verhal1118

|

Plath

Datenschutz durch Technikgestaltung | Art. 25 DSGVO

tensregeln“ nach Art. 40 erbracht werden kann. Gleichzeitig wird klargesellt, dass dies nur als ein „Gesichtspunkt“ bei der Bewertung heranzuziehen ist, also nicht per se als abschließender Nachweis dient. Erwägungsgrund 77 spricht insoweit – sprachlich etwas verunglückt – von verbindlichen „Anleitungen“ (im englischen Text „Guidance“) dafür, wie Maßnahmen zur Sicherstellung der Rechtmäßigkeit der Verarbeitung durchzuführen sind.

Artikel 25 Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen (1) Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der mit der Verarbeitung verbundenen Risiken für die Rechte und Freiheiten natürlicher Personen trifft der Verantwortliche sowohl zum Zeitpunkt der Festlegung der Mittel für die Verarbeitung als auch zum Zeitpunkt der eigentlichen Verarbeitung geeignete technische und organisatorische Maßnahmen – wie z.B. Pseudonymisierung – trifft, die dafür ausgelegt sind, die Datenschutzgrundsätze wie etwa Datenminimierung wirksam umzusetzen und die notwendigen Garantien in die Verarbeitung aufzunehmen, um den Anforderungen dieser Verordnung zu genügen und die Rechte der betroffenen Personen zu schützen. (2) Der Verantwortliche trifft geeignete technische und organisatorische Maßnahmen, die sicherstellen, dass durch Voreinstellung grundsätzlich nur personenbezogene Daten, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist, verarbeitet werden. Diese Verpflichtung gilt für die Menge der erhobenen personenbezogenen Daten, den Umfang ihrer Verarbeitung, ihre Speicherfrist und ihre Zugänglichkeit. Solche Maßnahmen müssen insbesondere sicherstellen, dass personenbezogene Daten durch Voreinstellungen nicht ohne Eingreifen der Person einer unbestimmten Zahl von natürlichen Personen zugänglich gemacht werden. (3) Ein genehmigtes Zertifizierungsverfahren gemäß Artikel 42 kann als Faktor herangezogen werden, um die Erfüllung der in den Absätzen 1 und 2 des vorliegenden Artikels genannten Anforderungen nachzuweisen. I. Einführung . . . . . . . . . . . . . . . II. Datenschutz „by Design“ (Abs. 1) . . . . . . . . . . . . . . . . . .

1 4

III. Datenschutz „by Default“ (Abs. 2) . . . . . . . . . . . . . . . . . . 8 IV. Zertifizierungsverfahren (Abs. 3) . . . . . . . . . . . . . . . . . . 12

Plath

|

1119

Datenschutz durch Technikgestaltung | Art. 25 DSGVO

tensregeln“ nach Art. 40 erbracht werden kann. Gleichzeitig wird klargesellt, dass dies nur als ein „Gesichtspunkt“ bei der Bewertung heranzuziehen ist, also nicht per se als abschließender Nachweis dient. Erwägungsgrund 77 spricht insoweit – sprachlich etwas verunglückt – von verbindlichen „Anleitungen“ (im englischen Text „Guidance“) dafür, wie Maßnahmen zur Sicherstellung der Rechtmäßigkeit der Verarbeitung durchzuführen sind.

Artikel 25 Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen (1) Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der mit der Verarbeitung verbundenen Risiken für die Rechte und Freiheiten natürlicher Personen trifft der Verantwortliche sowohl zum Zeitpunkt der Festlegung der Mittel für die Verarbeitung als auch zum Zeitpunkt der eigentlichen Verarbeitung geeignete technische und organisatorische Maßnahmen – wie z.B. Pseudonymisierung – trifft, die dafür ausgelegt sind, die Datenschutzgrundsätze wie etwa Datenminimierung wirksam umzusetzen und die notwendigen Garantien in die Verarbeitung aufzunehmen, um den Anforderungen dieser Verordnung zu genügen und die Rechte der betroffenen Personen zu schützen. (2) Der Verantwortliche trifft geeignete technische und organisatorische Maßnahmen, die sicherstellen, dass durch Voreinstellung grundsätzlich nur personenbezogene Daten, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist, verarbeitet werden. Diese Verpflichtung gilt für die Menge der erhobenen personenbezogenen Daten, den Umfang ihrer Verarbeitung, ihre Speicherfrist und ihre Zugänglichkeit. Solche Maßnahmen müssen insbesondere sicherstellen, dass personenbezogene Daten durch Voreinstellungen nicht ohne Eingreifen der Person einer unbestimmten Zahl von natürlichen Personen zugänglich gemacht werden. (3) Ein genehmigtes Zertifizierungsverfahren gemäß Artikel 42 kann als Faktor herangezogen werden, um die Erfüllung der in den Absätzen 1 und 2 des vorliegenden Artikels genannten Anforderungen nachzuweisen. I. Einführung . . . . . . . . . . . . . . . II. Datenschutz „by Design“ (Abs. 1) . . . . . . . . . . . . . . . . . .

1 4

III. Datenschutz „by Default“ (Abs. 2) . . . . . . . . . . . . . . . . . . 8 IV. Zertifizierungsverfahren (Abs. 3) . . . . . . . . . . . . . . . . . . 12

Plath

|

1119

Art. 25 DSGVO | Verantwortlicher und Auftragsverarbeiter Schrifttum: Domingo-Ferrer/Hansen/Hoepman/Le Métayer/Tirtea/Schiffner/Danezis, Privacy and data protection by design – from policy to engineering. ENISA, Heraklion, 2014; Härting, Art. 23 Abs. 1 DSGVO (Privacy by Design): Cupcake ohne Rezept, PinG 2015, 193; Hullen, Anonymisierung und Pseudonymisierung in der Datenschutz-Grundverordnung, PinG 2015, 210; Kipker, Privacy by Default und Privacy by Design, DuD 39 (2015), 410; Kipker/Voskamp, Datenschutz in sozialen Netzwerkennach der Datenschutzgrundverordnung, DuD 2012, 737; Mulligan/Bamberger, What regulators can do to advance privacy through design, CACM 56 (2013), 20; Peters/Kersten/Wolfenstetter, (Hrsg.): Innovativer Datenschutz, 2012; Richter, Datenschutz durch Technik und die Grundverordnung der EU-Kommission, DuD 36 (2012), 576; Rost/Bock, Privacy By Design und die Neuen Schutzziele, DuD 35 (2011), 30; Schulz, Privacy by Design. Datenschutz durch Technikgestaltung im nationalen und europäischen Kontext, CR 2012, 204; Solove, Privacy by Design: 4 Key Points, PinG 2015, 191; Spiekermann, The challenges of privacy by design, CACM 55 (2012), 38; Sydow/Kring, Die Datenschutzgrundverordnung zwischen Technikneutralität und Technikbezug Konkurrierende Leitbilder für den europäischen Rechtsrahmen, ZD 2014, 271; Tschersich, Privacy by default in the European Union proposal for data protection regulation. Studies on the impact of restrictive default privacy settings on the exchange of personal information on social network sites, 2015.

I. Einführung 1 Der viel beachtete Art. 25 enthält den Grundsatz: „Datenschutz durch Technik-

gestaltung und durch datenschutzfreundliche Voreinstellungen („Data Protection by Design and by Default“). Der Verantwortliche hat nach Abs. 1 und 2

– „by Design“, also schon bei Konzeptionierung, durch „geeignete technische und organisatorische Maßnahmen“ und – „by Default“, also durch geeignete „Voreinstellungen“ sicherzustellen, dass die Datenschutzgrundsätze wirksam umgesetzt werden. Dadurch soll gewährleistet werden, dass die Datenverarbeitung in gewisser Weise „automatisiert“ rechtskonform im Einklang mit der DSGVO abläuft1. 2 Vor allem der Grundsatz des Datenschutzes „by Design“ nimmt z.T. die Pflicht

einer Datenverarbeitungsfolgenabschätzung i.S.d. Art. 35 voraus2. Somit ergibt sich hieraus nicht nur für Verantwortliche im engen Sinne der DSGVO, sondern bereits für Hersteller und Entwickler von Produkten eine datenschutzrechtliche „Vorfeldwirkung“3. Auf diese Weise dehnt die DSGVO ihren Wirkungsbereich bereits weit vor den Zeitpunkt der eigentlichen Verarbeitung aus.

3 Zunächst vorgesehene Regelungen aus dem ursprünglichen Entwurf der Kom-

mission, welche die Kommission ermächtigt hätten, delegierte Legislativakte zu 1 Richter, DuD 36 (2012), 576. 2 In diesem Sinne schon Simitis/Scholz, § 3a BDSG Rz. 42. 3 Schulz, CR 2012, 204 (207).

1120

|

Plath

Datenschutz durch Technikgestaltung | Art. 25 DSGVO

erlassen und technische Standards festzulegen, konnten sich im Gesetzgebungsverfahren letztendlich nicht durchsetzen. Somit enthält die DSGVO gerade kein datenschutzrechtliches Lastenheft1 und auch keine Kompetenzzuweisung für dessen Aufstellung. Nicht zuletzt aus diesem Grund geriet der Programmsatz des „Privacy by Design“ schon im Vorfeld unter starke rechtliche und technische Kritik. Neben Zirkularität der Regelung des Art. 25 wurde das Fehlen eines „Rezepts“ zur Umsetzung der hochambitionierten Ziele bemängelt2. Auch die Wahl des „Instruments“ einer Verordnung zur Normierung dieses Grundsatzes wurde mit Argwohn betrachtet3. Allerdings sah bereits § 9 BDSG, mit einem ausführlichen Maßnahmenkatalog als Anlage, die Vornahme „technischer und organisatorischer Maßnahmen“ im Sinne des „Privacy by Design“ und „Default“ vor (s. Komm. zu § 9 BDSG). Somit kann in Art. 25 eine Fortführung dieses bereits bekannten Prinzips gesehen werden4. Auch der Grundsatz der Datenminimierung als präventive Maßnahme zur Vermeidung von Verletzung datenschutzrechtlicher Grundlagen ist bereits in § 3a BDSG enthalten (s. Komm. zu § 3a BDSG). Die maßgeblichen Erwägungsgründe finden sich in den Erwägungsgründen 75– 79 sowie in Erwägungsgrund 108.

II. Datenschutz „by Design“ (Abs. 1) Nach Abs. 1 hat der Verantwortliche „zum Zeitpunkt der Festlegung der Mittel 4 für die Verarbeitung“ und zum Zeitpunkt der Verarbeitung selbst „angemessene technische und organisatorische Maßnahmen“ (zu diesem Begriff s. Komm. zu Art. 24 DSGVO) zur wirksamen Umsetzung der „Datenschutzgrundsätze“ zu treffen. Als ein Beispiel für die zu treffenden Maßnahmen wird die Pseudonymisierung genannt. Weitere Maßnahmen können z.B. eine Verschlüsselung, Zugangs- und Zutrittskontrollen und alle sonstigen technischen und organisatorischen Maßnahmen i.S.d. Art. 24 darstellen (s. Komm. zu Art. 24 DSGVO). Anzumerken ist, dass die DSGVO bei der Festlegung der Mittel für die Datenverarbeitung streng genommen noch gar keine Anwendung findet, denn deren Anwendbarkeit setzt eine tatsächliche Verarbeitung personenbezogener Daten voraus. Die Regelung des Abs. 1 ist somit dahingehend zu verstehen, dass eine Verarbeitung, die auf unzureichend festgelegten Verarbeitungsmitteln beruht, unzulässig ist. Die Planung selbst kann als solche noch keinen Rechtsverstoß darstellen.

1 2 3 4

Simitis/Scholz, § 3a BDSG Rz. 18b. So insgesamt Härting, PinG 2015, 193 (194). Schulz, CR 2012, 204 (206). Kipker, DuD 39 (2015), 410.

Plath

|

1121

Art. 25 DSGVO | Verantwortlicher und Auftragsverarbeiter 5 Bei Auswahl und Einsatz der Maßnahmen hat der Verantwortliche nach Abs. 1

folgende Aspekte zu berücksichtigen:

– den Stand der Technik, also die technologischen Werkzeuge, die zur Verfügung stehen, um etwa eine angemessene Verschlüsselung und eine verlässliche Pseudonymisierung zu gewährleisten, – die Implementierungskosten, also das Verhältnis zwischen wirtschaftlichem Aufwand und praktischem Mehrwert für den Schutz der Daten, – die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung (s. dazu Komm. zu Art. 24 DSGVO), und – die Eintrittswahrscheinlichkeit und Schwere von eventuellen Persönlichkeitsrechtsverletzungen, also eine umfassende Güter- und Interessenabwägung (s. dazu Komm. zu Art. 24 DSGVO). 6 Ziel der „Maßnahmen“ ist nach Abs. 1 die Sicherstellung der sog. „Datenschutz-

grundsätze“. Konkret benannt wird der Grundsatz der Datenminimierung. Weitere Grundsätze finden sich in Art. 5. Es handelt sich insbesondere um die Grundsätze der Transparenz, Zweckbindung, Integrität und Vertraulichkeit der Datenverarbeitung. Neben der „wirksamen“ Umsetzung der Grundsätze soll dabei auch die „Aufnahme“ der „notwendigen Garantien“ (engl. „safeguards“, s. dazu bei Art. 6) in den Maßnahmenkatalog gewährleistet werden. Praktisch fordert die Norm damit insgesamt, dass schon bei der Programmierung, Erstellung und Konzeptionierung von Hardwarekomponenten, datenverarbeitenden Systemen oder Prozessen jeder Art technische Vorkehrungen getroffen werden sollen, die später eine Verwirklichung der Datenschutzgrundsätzen fördern oder überhaupt erst ermöglichen.

7 Aus Erwägungsgrund 78 geht hervor, dass die Regelung ausdrücklich auch als

„Ermutigung“ der Hersteller von Produkten und Anbietern von Diensten zu verstehen ist, diese in der Weise auszugestalten, dass der Verantwortliche sie in datenschutzkonformer Weise nutzen kann. Zwar trifft diese Hersteller bzw. Anbieter keine direkte Pflicht unter der DSGVO, soweit sie nicht selber als Verantwortliche tätig werden. Jedoch erhofft man sich von der Regelung eine Vorfeldwirkung in der Weise, dass die Verantwortlichen praktisch gezwungen werden, nur auf solche Hersteller bzw. Anbieter zurückzugreifen, die den Verantwortlichen eine Einhaltung der DSGVO ermöglichen.

III. Datenschutz „by Default“ (Abs. 2) 8 Nach Abs. 2 hat der Verantwortliche durch „geeignete technische und organisa-

torische Maßnahmen“1 sicherzustellen, dass durch Voreinstellungen personen-

1 Zu diesem Begriff s. bei Abs. 1, bei Art. 22 DSGVO und bei § 9 BDSG.

1122

|

Plath

Datenschutz durch Technikgestaltung | Art. 25 DSGVO

bezogene Daten grundsätzlich nur verarbeitet werden, wenn dies erforderlich ist, um den jeweiligen bestimmten Verarbeitungszweck zu erreichen. Datenschutzfreundliche „Voreinstellungen“ („Data Protection by Default“) 9 heißt dabei im Grundsatz, dass der Nutzer im Normalfall keine Änderungen an Einstellungen vornehmen muss, um unter den gegebenen Umständen ein Maximum an „Privatheit“ für seine Daten zu erreichen. Schon bei „Auslieferung“1 eines Produktes oder erstmaligem Freischalten oder Zur-Verfügung-Stellen einer Leistung sind – im Rahmen der Erforderlichkeit – die „datenschutzfreundlichsten“ Einstellungen und Komponenten zu verwenden. Im Wege der „Opt-In“Lösung kann der Betroffene dann entscheiden, ob und inwiefern er diese Einstellungen zum Nachteil seiner Privatsphäre abändern möchte. Dadurch soll der Betroffene vor Überrumpelung und Ausnutzung von Unerfahrenheit in Bezug auf solche Produkte und Dienstleistungen geschützt werden. Als geradezu klassischer Anwendungsfall dürften Voreinstellungen bei der Einholung von Einwilligungen gelten. In Erwägungsgrund 32 wird dazu klargestellt, dass „bereits angekreuzte Kästchen oder Untätigkeit der betroffenen Person“ keine wirksame Einwilligung begründen sollen. Als weitere Maßnahmen in diesem Bereich nennt Erwägungsgrund 78 die Möglichkeit, dass – die Verarbeitung personenbezogener Daten minimiert wird, – personenbezogene Daten so schnell wie möglich pseudonymisiert werden, – Transparenz in Bezug auf die Funktionen und die Verarbeitung personenbezogener Daten hergestellt wird, – der betroffenen Person ermöglicht wird, die Verarbeitung personenbezogener Daten zu überwachen, und – der Verantwortliche in die Lage versetzt wird, Sicherheitsfunktionen zu schaffen und zu verbessern. Insbesondere dürfen die Voreinstellungen nach Abs. 2 nicht darin resultieren, 10 dass personenbezogene Daten eines Betroffenen „einer unbestimmten Zahl von natürlichen Personen zugänglich gemacht werden“. Damit ist nicht etwa der Schutz vor Datenlecks oder unautorisierten Datenbank-„Dumps“ gemeint, sondern die intendierte Veröffentlichung von personenbezogenen Informationen an die allgemeine Öffentlichkeit. Prominentester Adressat dieser Verpflichtung sind soziale Netzwerke2, die für gewöhnlich eine große Einstellungsbandbreite in Bezug auf die Privatsphäre der Nutzer bereithalten. Begrenzt wird die Pflicht zur Verwendung datenschutzfreundlicher Voreinstel- 11 lungen durch das Tatbestandsmerkmal der „Erforderlichkeit“. Dies bedeutet im Umkehrschluss, dass die Voreinstellungen durchaus in einer Weise ausgestaltet 1 So Simitis/Scholz, § 3a BDSG Rz. 40. 2 Dazu ausführlich Kipker/Voskamp, DuD 2012, 737; Niemann/Scholz in: Peters/Kersten/ Wolfenstetter, S. 109; Spiecker gen. Döhmann, K&R 2012, 717.

Plath

|

1123

Art. 26 DSGVO | Für die Verarbeitung Verantwortlicher und Auftragsverarbeiter werden dürfen, die eine Verarbeitung aller zur Zweckerfüllung erforderlichen Daten ermöglicht.

IV. Zertifizierungsverfahren (Abs. 3) 12 Nach Abs. 3 kann ein genehmigtes Zertifizierungsverfahren gemäß Art. 42 als

Faktor herangezogen werden, um die Erfüllung der in den Absätzen 1 und 2 genannten Anforderungen nachzuweisen.

Artikel 26 Gemeinsam für die Verarbeitung Verantwortliche (1) Legen zwei oder mehr Verantwortliche gemeinsam die Zwecke der und die Mittel zur Verarbeitung fest, so sind sie gemeinsam Verantwortliche. Sie legen in einer Vereinbarung in transparenter Form fest, wer von ihnen welche Verpflichtung gemäß dieser Verordnung erfüllt, insbesondere was die Wahrnehmung der Rechte der betroffenen Person angeht, und wer welchen Informationspflichten gemäß den Artikeln 13 und 14 nachkommt, sofern und soweit die jeweiligen Aufgaben der Verantwortlichen nicht durch Rechtsvorschriften der Union oder der Mitgliedstaaten, denen die Verantwortlichen unterliegen, festgelegt sind. In der Vereinbarung kann eine Anlaufstelle für die betroffenen Personen angegeben werden. (2) Die Vereinbarung gemäß Absatz 1 muss die jeweiligen tatsächlichen Funktionen und Beziehungen der gemeinsam Verantwortlichen gegenüber betroffenen Personen gebührend widerspiegeln. Das wesentliche der Vereinbarung wird der betroffenen Person zur Verfügung gestellt. (3) Ungeachtet der Einzelheiten der Vereinbarung gemäß Absatz 1 kann die betroffene Person ihre Rechte im Rahmen dieser Verordnung bei und gegenüber jedem einzelnen der Verantwortlichen geltend machen. I. Einführung . . . . . . . . . . . . . . . II. Innenverhältnis zwischen gemeinsamen Verantwortlichen (Abs. 1) . . . . . . . . . . . . . . . . . .

1 2

III. Offenlegung der internen Vereinbarung (Abs. 2) . . . . . . . IV. Außenverhältnis bei gemeinsamen Verantwortlichen (Abs. 3)

6 9

I. Einführung 1 Ein primäres Ziel der DSGVO liegt in der Sicherstellung „einer klaren Zutei-

lung der Verantwortlichkeiten“ (vgl. Erwägungsgrund 79). Art. 26 regelt dazu 1124

|

Plath

Art. 26 DSGVO | Für die Verarbeitung Verantwortlicher und Auftragsverarbeiter werden dürfen, die eine Verarbeitung aller zur Zweckerfüllung erforderlichen Daten ermöglicht.

IV. Zertifizierungsverfahren (Abs. 3) 12 Nach Abs. 3 kann ein genehmigtes Zertifizierungsverfahren gemäß Art. 42 als

Faktor herangezogen werden, um die Erfüllung der in den Absätzen 1 und 2 genannten Anforderungen nachzuweisen.

Artikel 26 Gemeinsam für die Verarbeitung Verantwortliche (1) Legen zwei oder mehr Verantwortliche gemeinsam die Zwecke der und die Mittel zur Verarbeitung fest, so sind sie gemeinsam Verantwortliche. Sie legen in einer Vereinbarung in transparenter Form fest, wer von ihnen welche Verpflichtung gemäß dieser Verordnung erfüllt, insbesondere was die Wahrnehmung der Rechte der betroffenen Person angeht, und wer welchen Informationspflichten gemäß den Artikeln 13 und 14 nachkommt, sofern und soweit die jeweiligen Aufgaben der Verantwortlichen nicht durch Rechtsvorschriften der Union oder der Mitgliedstaaten, denen die Verantwortlichen unterliegen, festgelegt sind. In der Vereinbarung kann eine Anlaufstelle für die betroffenen Personen angegeben werden. (2) Die Vereinbarung gemäß Absatz 1 muss die jeweiligen tatsächlichen Funktionen und Beziehungen der gemeinsam Verantwortlichen gegenüber betroffenen Personen gebührend widerspiegeln. Das wesentliche der Vereinbarung wird der betroffenen Person zur Verfügung gestellt. (3) Ungeachtet der Einzelheiten der Vereinbarung gemäß Absatz 1 kann die betroffene Person ihre Rechte im Rahmen dieser Verordnung bei und gegenüber jedem einzelnen der Verantwortlichen geltend machen. I. Einführung . . . . . . . . . . . . . . . II. Innenverhältnis zwischen gemeinsamen Verantwortlichen (Abs. 1) . . . . . . . . . . . . . . . . . .

1 2

III. Offenlegung der internen Vereinbarung (Abs. 2) . . . . . . . IV. Außenverhältnis bei gemeinsamen Verantwortlichen (Abs. 3)

6 9

I. Einführung 1 Ein primäres Ziel der DSGVO liegt in der Sicherstellung „einer klaren Zutei-

lung der Verantwortlichkeiten“ (vgl. Erwägungsgrund 79). Art. 26 regelt dazu 1124

|

Plath

Gemeinsam für die Verarbeitung Verantwortliche | Art. 26 DSGVO

den Fall, dass mehrere Verantwortliche gemeinsam die Zwecke und die Mittel zur Verarbeitung personenbezogener Daten festlegen. Damit legt die Norm inzident zugleich fest, dass es nicht jeweils nur einen Verantwortlichen i.S.d. DSGVO geben kann, sondern dass dies auch für mehrere Unternehmen oder sonstige Stellen gelten kann. Abs. 1 trifft Regelungen zum Innenverhältnis zwischen den gemeinsamen Verantwortlichen. Abs. 2 regelt eine Offenlegungspflicht der Verantwortlichen. Abs. 3 trifft Regelungen zum Außenverhältnis gegenüber den betroffenen Personen. Die maßgeblichen Erwägungsgründe finden sich in den Erwägungsgründen 79 ff. sowie in Erwägungsgrund 92.

II. Innenverhältnis zwischen gemeinsamen Verantwortlichen (Abs. 1) Der Anwendungsbereich der Norm ist nach Abs. 1 eröffnet, wenn „zwei oder 2 mehr Verantwortliche gemeinsam die Zwecke der und die Mittel zur Verarbeitung“ festlegen. In diesem Fall gelten sie als „gemeinsame Verantwortliche“. Erwägungsgrund 92 nennt insoweit beispielhaft den Fall, dass „mehrere Verantwortliche eine gemeinsame Anwendung oder Verarbeitungsumgebung für einen gesamten Wirtschaftssektor, für ein bestimmtes Marktsegment oder für eine weit verbreitete horizontale Tätigkeit einführen möchten“. Zur Frage, ob über das Vehikel der „gemeinsamen Verantwortlichen“ ein Konzernprivileg begründet werden kann, welches den freien Austausch von Daten innerhalb einer Unternehmensgruppe ermöglicht, s. Komm. zu Art. 47 DSGVO). Abzugrenzen sind die gemeinsamen Verantwortlichen von den Auftragsver- 3 arbeitern nach Art. 26. Zwar mögen auch diese die konkreten Mittel der Verarbeitung festlegen, jedoch geschieht dies nur nach den Vorgaben des Verantwortlichen, so dass Verantwortlicher und Auftragsverarbeiter gerade nicht als gemeinsame Verantwortliche gelten. Die Abgrenzung kann im Einzelfall schwierig sein, liegt aber weitgehend in der Dispositionsbefugnis der Parteien, d.h. diese bestimmen durch die vertragliche Ausgestaltung ihrer Rechtsbeziehung, in welcher Funktion sie den betroffenen Personen gegenübertreten. Der Wortlaut des Abs. 1 ist zu eng gefasst, in dem er verlangt, dass Zweck „und“ 4 Mittel gemeinsam festgelegt werden müssten. Wenn zwei Unternehmen also gemeinsam nur die Zwecke festlegen, aber die Wahl der Mittel nur einem der beiden Verantwortlichen obliegt, so scheidet jedenfalls nach dem Wortlaut der Norm eine gemeinsame Verantwortlichkeit aus. Konsequenz wäre dann, dass – bei Erfüllung der sonstigen Anforderungen an eine „Verantwortlichkeit“ – jedes Unternehmen für sich Verantwortlicher bleibt, jedoch die weiteren Rechte und Pflichten des Art. 26 nicht zur Anwendung gelangen. Ungeachtet dessen bietet das Konstrukt des Art. 26 die Möglichkeit, bestimmte Datentransfers zwischen mehreren Unternehmen bzw. die Errichtung von „Datenpools“ zu ermöglichen. Plath

|

1125

Art. 26 DSGVO | Für die Verarbeitung Verantwortlicher und Auftragsverarbeiter Denn während sich grundsätzlich die Frage stellt, ob die Übermittlung personenbezogener Daten von einem Unternehmen auf ein anderes Unternehmen den Anforderungen des Art. 6 genügt, lässt sich ein solcher Transfer über die Etablierung einer gemeinsamen Verantwortung grundsätzlich ermöglichen. Damit ist nach der hier vertretenen Ansicht auch keine Umgehung der DSGVO verbunden, denn die Stellung als gemeinsamer Verantwortlicher führt dazu, dass jeden dieser Verantwortlichen auch die Verantwortung für die Einhaltung der DSGVO trifft. 5 Nach Abs. 1 Satz 2 haben die gemeinsamen Verantwortlichen das Recht und die

Pflicht im Innenverhältnis frei darüber zu entscheiden, wer von den beiden oder mehreren gemeinsam Verantwortlichen für die Erfüllung der Aufgaben unter der DSGVO verantwortlich ist. Dies gilt insbesondere etwa für die Informations- und Auskunftspflichten gegenüber den betroffenen Personen. Insbesondere sind die gemeinsam Verantwortlichen nach Abs. 1 Satz 3 berechtigt, nur eine einzige „Anlaufstelle“ für die betroffenen Personen zu benennen. Konkret bedeutet dies also etwa bei dem gemeinsamen Betrieb einer datenverarbeitenden Online-Plattform, dass nur ein Verantwortlicher als solcher benannt werden muss, solange dies im Innenverhältnis zwischen den Verantwortlichen entsprechend geregelt ist. Die Regelung im Innenverhältnis muss in „transparenter“ Form erfolgen. Üblicherweise wird dies auf Basis eines Vertrages erfolgen. Abs. 2 und 3 sprechen insoweit von einer „Vereinbarung“. Bei deren Gestaltung ist also zu beachten, dass sie nicht nur den Interessen der Vertragsparteien zu dienen hat, sondern auch denen der betroffenen Personen. Maßstab für die Transparenz ist also, dass die Regelungen auch für den Dritten verständlich sein müssen. Weitere Anforderungen an den Inhalt einer solchen Absprache im Innenverhältnis ergeben sich aus Abs. 3.

III. Offenlegung der internen Vereinbarung (Abs. 2) 6 Nach Abs. 2 muss die im Innenverhältnis zu treffende Vereinbarung „die jewei-

ligen tatsächlichen Funktionen und Beziehungen der gemeinsam Verantwortlichen gegenüber betroffenen Personen gebührend widerspiegeln“. Dort muss also z.B. geregelt sein, welcher Verantwortliche die Daten speichert, wer welche Rolle gegenüber den Betroffenen einnimmt, etc. Die sprachlich verunglückte Formulierung „gebührend widerspiegeln“ (in der englischen Fassung „duly reflect“) ist wohl so zu verstehen, dass die Vereinbarung den tatsächlichen Gegebenheiten der Verarbeitung zu entsprechen hat.

7 Nach Abs. 2 Satz 3 haben die betroffenen Personen ein Recht darauf, die Verein-

barung zur Regelung des Innenverhältnisses zur Verfügung gestellt zu bekommen. Dieses Recht ist allerdings beschränkt auf das „wesentliche der Vereinbarung“. Damit soll sichergestellt werden, dass die betreffenden Personen z.B. kein Recht darauf haben, auch die kommerziellen Eckdaten einer solchen Ver1126

|

Plath

Vertreter | Art. 27 DSGVO

einbarung, also z.B. die Höhe eines Revenue-Shares, einzusehen. Für die Praxis bietet es sich an, die offenzulegenden Inhalte im Rahmen einer separaten Vertragsanlage zu regeln, die so abgefasst ist, dass sie ohne Schwärzungen den Betroffenen offengelegt werden kann. Welche Regelungen zum „wesentlichen“ der Vereinbarung gehören, dürfte daran zu messen sein, welche Informationen die betroffenen Personen benötigen, um ihre Rechte gegenüber einem oder mehreren der gemeinsamen Verantwortlichen geltend machen zu können. Unklar ist, ob die Vereinbarung den betroffenen Personen unaufgefordert zur 8 Verfügung gestellt werden muss oder nur auf Anfrage. Da der Katalog der Informationspflichten nach Art. 13 keine Pflicht zur Nennung einer solchen Vereinbarung postuliert, sprechen die wohl besseren Argumente dafür, dass keine Pflicht zur unaufgeforderten Offenlegung einer entsprechenden Vereinbarung besteht.

IV. Außenverhältnis bei gemeinsamen Verantwortlichen (Abs. 3) Abs. 3 regelt das Außenverhältnis der gemeinsam Verantwortlichen gegenüber 9 den betroffenen Personen. Geregelt ist, dass jede betroffene Person ihre Rechte unter der DSGVO bei und gegenüber jedem einzelnen der gemeinsamen Verantwortlichen geltend machen kann. Damit ist sichergestellt, dass sich die gemeinsamen Verantwortlichen ihrer Haftung und Verantwortung im Außenverhältnis nicht dadurch entziehen können, dass sie im Innenverhältnis nur eine bestimmte Partei dazu verpflichten, die Pflichten der DSGVO gegenüber den betroffenen Personen zu erfüllen. Unberührt bleibt aber das Recht der gemeinsam Verantwortlichen, intern wirkende Haftungsbeschränkungen bzw. Regressmöglichkeiten vorzusehen.

Artikel 27 Vertreter von nicht in der Union niedergelassenen Verantwortlichen oder Auftragsverarbeitern (1) In den Fällen gemäß Artikel 3 Absatz 2 benennt der Verantwortliche oder der Auftragsverarbeiter schriftlich einen Vertreter in der Union. (2) Diese Pflicht gilt nicht für a) eine Verarbeitung, die gelegentlich erfolgt, nicht die umfangreiche Verarbeitung besonderer Datenkategorien im Sinne des Artikels 9 Absatz 1 oder die umfangreiche Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten im Sinne des Artikels 10 einschließt und unter Berücksichtigung der Art, der Umstände, des UmPlath

|

1127

Vertreter | Art. 27 DSGVO

einbarung, also z.B. die Höhe eines Revenue-Shares, einzusehen. Für die Praxis bietet es sich an, die offenzulegenden Inhalte im Rahmen einer separaten Vertragsanlage zu regeln, die so abgefasst ist, dass sie ohne Schwärzungen den Betroffenen offengelegt werden kann. Welche Regelungen zum „wesentlichen“ der Vereinbarung gehören, dürfte daran zu messen sein, welche Informationen die betroffenen Personen benötigen, um ihre Rechte gegenüber einem oder mehreren der gemeinsamen Verantwortlichen geltend machen zu können. Unklar ist, ob die Vereinbarung den betroffenen Personen unaufgefordert zur 8 Verfügung gestellt werden muss oder nur auf Anfrage. Da der Katalog der Informationspflichten nach Art. 13 keine Pflicht zur Nennung einer solchen Vereinbarung postuliert, sprechen die wohl besseren Argumente dafür, dass keine Pflicht zur unaufgeforderten Offenlegung einer entsprechenden Vereinbarung besteht.

IV. Außenverhältnis bei gemeinsamen Verantwortlichen (Abs. 3) Abs. 3 regelt das Außenverhältnis der gemeinsam Verantwortlichen gegenüber 9 den betroffenen Personen. Geregelt ist, dass jede betroffene Person ihre Rechte unter der DSGVO bei und gegenüber jedem einzelnen der gemeinsamen Verantwortlichen geltend machen kann. Damit ist sichergestellt, dass sich die gemeinsamen Verantwortlichen ihrer Haftung und Verantwortung im Außenverhältnis nicht dadurch entziehen können, dass sie im Innenverhältnis nur eine bestimmte Partei dazu verpflichten, die Pflichten der DSGVO gegenüber den betroffenen Personen zu erfüllen. Unberührt bleibt aber das Recht der gemeinsam Verantwortlichen, intern wirkende Haftungsbeschränkungen bzw. Regressmöglichkeiten vorzusehen.

Artikel 27 Vertreter von nicht in der Union niedergelassenen Verantwortlichen oder Auftragsverarbeitern (1) In den Fällen gemäß Artikel 3 Absatz 2 benennt der Verantwortliche oder der Auftragsverarbeiter schriftlich einen Vertreter in der Union. (2) Diese Pflicht gilt nicht für a) eine Verarbeitung, die gelegentlich erfolgt, nicht die umfangreiche Verarbeitung besonderer Datenkategorien im Sinne des Artikels 9 Absatz 1 oder die umfangreiche Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten im Sinne des Artikels 10 einschließt und unter Berücksichtigung der Art, der Umstände, des UmPlath

|

1127

Art. 27 DSGVO | Für die Verarbeitung Verantwortlicher und Auftragsverarbeiter fangs und der Zwecke der Verarbeitung voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt, oder b) Behörden oder öffentliche Stellen. (3) Der Vertreter muss in einem der Mitgliedstaaten niedergelassen sein, in denen die betroffenen Personen, deren personenbezogene Daten im Zusammenhang mit den ihnen angebotenen Waren oder Dienstleistungen verarbeitet werden oder deren Verhalten beobachtet wird, sich befinden. (4) Der Vertreter wird durch den Verantwortlichen oder den Auftragsverarbeiter beauftragt, zusätzlich zu diesem oder an seiner Stelle insbesondere für Aufsichtsbehörden und betroffene Personen bei sämtlichen Fragen im Zusammenhang mit der Verarbeitung zur Gewährleistung der Einhaltung dieser Verordnung als Anlaufstelle zu dienen. (5) Die Benennung eines Vertreters durch den Verantwortlichen oder den Auftragsverarbeiter erfolgt unbeschadet etwaiger rechtlicher Schritte gegen den Verantwortlichen oder den Auftragsverarbeiter selbst. I. Einführung . . . . . . . . . . . . . . . II. Anwendungsbereich (Abs. 1) . . . . . . . . . . . . . . . . . . III. Ausnahmen (Abs. 2) . . . . . . . .

1 2 4

IV. Niederlassung in einem Mitgliedstaat (Abs. 3) . . . . . . . . . . V. Aufgabe des Vertreters (Abs. 4) VI. Verantwortung (Abs. 5) . . . . . .

5 6 7

I. Einführung 1 Art. 27 regelt, unter welchen Voraussetzungen in Drittstaaten niedergelassene

Unternehmen einen „Vertreter“ in der Union benennen müssen. „Behörden oder öffentliche Stellen“ sind von dieser Pflicht ausgenommen. Zweck der Regelung ist es, eine zentrale „Anlaufstelle“ für die Aufsichtsbehörden und betroffenen Personen bei sämtlichen Fragen im Zusammenhang mit der Verarbeitung personenbezogener Daten zu etablieren. Aus Erwägungsgrund 80 ergibt sich, dass der Vertreter „im Namen“ des für die Verarbeitung Verantwortlichen oder des Auftragsverarbeiters tätig wird, also im Sinne einer echten Stellvertretung.

II. Anwendungsbereich (Abs. 1) 2 Der Anwendungsbereich des Art. 27 ist auf Fälle mit Drittstaatsbezug be-

schränkt. Ein „Vertreter“ ist nur dann zu benennen, wenn ein Fall des Art. 3 Abs. 2 vorliegt, der den territorialen Anwendungsbereich der DSGVO für den Fall regelt, dass die folgenden Voraussetzungen gegeben sind: – Verarbeitung personenbezogener Daten von in der Union befindlichen betroffenen Personen

1128

|

Plath

Vertreter | Art. 27 DSGVO

– Verarbeitung dieser Daten durch einen nicht in der Union niedergelassenen Verantwortlichen oder Auftragsverarbeiter – Verarbeitung zu dem Zweck entweder dazu, betroffenen Personen in der Union Waren oder Dienstleistungen anzubieten oder dazu, das Verhalten der betroffenen Personen in der Union zu beobachten. Hinsichtlich der weiteren Einzelheiten sei auf die Kommentierung zu Art. 3 verwiesen. Der Begriff des Vertreters ist in Art. 4 Nr. 17 definiert. Er kann sowohl eine na- 3 türliche als auch eine juristische Person sein. Weitere Voraussetzung ist, dass diese Person „schriftlich“ bestellt worden sein muss. Abs. 1 spricht davon, dass der Verantwortliche „oder“ der Auftragsverarbeiter den Verantwortlichen zu benennen hat. Unklar bleibt insoweit, ob es in Fällen der Auftragsverarbeitung ausreicht, wenn nur eines der beteiligten Unternehmen, also entweder der Verantwortliche oder der Auftragsverarbeiter den Vertreter benennt. Die in Abs. 1 gewählte Formulierung spricht tatsächlich für diese Auslegung; der Schutzgedanke allerdings dagegen.

III. Ausnahmen (Abs. 2) Nach Abs. 2 Buchst. a entfällt die Pflicht zur Benennung eines Vertreters, wenn 4 keiner der drei dort genannten Fälle vorliegt. Da bei der Formulierung der Norm mit doppelten Verneinungen gearbeitet worden ist, ist sie auf den ersten Blick schwer nachzuvollziehen. Im Ergebnis wird aber deutlich, dass die Anforderungen kumulativ zu lesen sind. Oder positiv formuliert: wenn nur eines der Ausschlusskriterien erfüllt ist, kann sich der Verantwortliche nicht auf den Ausnahmetatbestand berufen. Wenn also ein Unternehmen also z.B. nur „gelegentlich“ Daten im Anwendungsbereich der Norm verarbeitet, hat es gleichwohl einen Vertreter zu benennen hat, wenn aus dieser gelegentlichen Verarbeitung besondere Risiken resultieren oder z.B. sensible Daten verarbeitet werden. Nach Abs. 2 Buchst. b haben Behörden und öffentliche Stellen keinen Vertreter zu benennen.

IV. Niederlassung in einem Mitgliedstaat (Abs. 3) Abs. 3 regelt, wo der Vertreter niedergelassen sein muss, und zwar in (nur) ei- 5 nem der Mitgliedstaaten, in dem sich die betroffenen Personen befinden. Richtet also z.B. ein US-Unternehmen seine Tätigkeit auf Deutschland und Spanien aus und eröffnet damit den Anwendungsbereich des Art. 3 Abs. 2, so ist das US-Unternehmen berechtigt, entweder einen in Deutschland oder Spanien niedergelassenen Vertreter zu benennen. Unzureichend wäre es, einen Vertreter etwa in Plath

|

1129

Art. 27 DSGVO | Für die Verarbeitung Verantwortlicher und Auftragsverarbeiter Portugal zu benennen. Gleichzeitig ist es in dem Beispiel allerdings auch nicht erforderlich, sowohl in Deutschland und Spanien einen Vertreter zu benennen. Die Benennung nur eines Vertreters ist ausreichend. Es reicht die Benennung in nur „einem der Mitgliedstaaten“.

V. Aufgabe des Vertreters (Abs. 4) 6 Aufgabe des Vertreters ist es, insbesondere den Aufsichtsbehörden und den be-

troffenen Personen als „Anlaufstelle“ zu dienen. Entsprechend sind die betroffenen Personen auch über den Namen und die Kontaktdaten des Vertreters zu informieren (vgl. Art. 13 Abs. 1 Buchst. a und Art. 14 Abs. 1 Buchst. a). Diese Funktion als Anlaufstelle hat der Vertreter nach dem Wortlaut des Abs. 4 „zusätzlich“ zum Verantwortlichen bzw. Auftragsverarbeiter „oder an seiner Stelle“. Nach der hier vertretenen Ansicht ist diese „oder“ Formulierung nicht dahingehend zu verstehen, dass der Verantwortliche auswählen könnte, ob der Vertreter ihn gänzlich oder nur „zusätzlich“ vertritt. D.h. der Verantwortliche bzw. Auftragsverarbeiter bleibt in jedem Fall weiterhin verantwortlich. Allerdings hat die Behörde bzw. die betroffene Person die Wahl, ob sie sich an den Vertreter oder aber direkt den Verantwortlichen bzw. Auftragsverarbeiter wendet. Dies folgt nicht zuletzt aus Abs. 5. Flankiert wird die Regelung durch die Pflicht des Vertreters zur Zusammenarbeit mit den Aufsichtsbehörden nach Art. 31. Weiterhin ist der Vertreter zur Führung eines Verfahrensverzeichnisses nach Art. 30 Abs. 1 verpflichtet.

VI. Verantwortung (Abs. 5) 7 Die Benennung eines Vertreters durch den Verantwortlichen oder den Auftrags-

verarbeiter erfolgt nach Abs. 5 unbeschadet etwaiger rechtlicher Schritte gegen den Verantwortlichen oder den Auftragsverarbeiter selbst. Verantwortliche und Auftragsverarbeiter können sich ihrer Verantwortung unter der DSGVO also nicht durch die Benennung des Vertreters entziehen. Die Wahl der Formulierung „rechtlicher Schritte“ ist missglückt. Die Verantwortung bleibt unabhängig davon bestehen, ob die Behörde oder die betroffene Person rechtliche Schritte, also z.B. ein Gerichtsverfahren, einleitet. Besser formuliert ist dies in Erwägungsgrund 80, wo es heißt: „Die Benennung eines solchen Vertreters berührt nicht die Verantwortung und Haftung des Verantwortlichen oder des Auftragsverarbeiters nach Maßgabe dieser Verordnung“.

1130

|

Plath

Auftragsverarbeiter | Art. 28 DSGVO

Artikel 28 Auftragsverarbeiter (1) Erfolgt eine Verarbeitung im Auftrag eines Verantwortlichen, so arbeitet dieser nur mit Auftragsverarbeitern, die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen dieser Verordnung erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet. (2) Der Auftragsverarbeiter nimmt keinen weiteren Auftragsverarbeiter ohne vorherige gesonderte oder allgemeine schriftliche Genehmigung des Verantwortlichen in Anspruch. Im Fall einer allgemeinen schriftlichen Genehmigung informiert der Auftragsverarbeiter den Verantwortlichen immer über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder die Ersetzung anderer Auftragsverarbeiter, wodurch der Verantwortliche die Möglichkeit erhält, gegen derartige Änderungen Einspruch zu erheben. (3) Die Verarbeitung durch einen Auftragsverarbeiter erfolgt auf der Grundlage eines Vertrags oder eines anderen Rechtsinstruments nach dem Unionsrecht oder dem Recht der Mitgliedstaaten, der bzw. das den Auftragsverarbeiter in Bezug auf den Verantwortlichen bindet und in dem Gegenstand und Dauer der Verarbeitung, Art und Zweck der Verarbeitung, die Art der personenbezogenen Daten, die Kategorien betroffener Personen und die Pflichten und Rechte des Verantwortlichen festgelegt sind. Dieser Vertrag bzw. dieses andere Rechtsinstrument sieht insbesondere vor, dass der Auftragsverarbeiter a) die personenbezogenen Daten nur auf dokumentierte Weisung des Verantwortlichen – auch in Bezug auf die Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation – verarbeitet, sofern er nicht durch das Recht der Union oder der Mitgliedstaaten, dem der Auftragsverarbeiter unterliegt, hierzu verpflichtet ist; in einem solchen Fall teilt der Auftragsverarbeiter dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet; b) gewährleistet, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen; c) alle gemäß Artikel 32 erforderlichen Maßnahmen ergreift; d) die in den Absätzen 2 und 4 genannten Bedingungen für die Inanspruchnahme der Dienste eines weiteren Auftragsverarbeiters einhält; e) angesichts der Art der Verarbeitung den Verantwortlichen nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen dabei Plath

|

1131

Art. 28 DSGVO | Verantwortlicher und Auftragsverarbeiter unterstützt, seiner Pflicht zur Beantwortung von Anträgen auf Wahrnehmung der in Kapitel III genannten Rechte der betroffenen Person nachzukommen; f) unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen den Verantwortlichen bei der Einhaltung der in den Artikeln 32 bis 36 genannten Pflichten unterstützt; g) nach Abschluss der Erbringung der Verarbeitungsleistungen alle personenbezogenen Daten nach Wahl des Verantwortlichen entweder löscht oder zurückgibt, sofern nicht nach dem Unionsrecht oder dem Recht der Mitgliedstaaten eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht, h) dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in diesem Artikel niedergelegten Pflichten zur Verfügung stellt und Überprüfungen – einschließlich Inspektionen –, die vom Verantwortlichen oder einem anderen von diesem beauftragten Prüfer durchgeführt werden, ermöglicht und dazu beiträgt. Mit Blick auf Unterabsatz 1 Buchstabe h informiert der Auftragsverarbeiter den Verantwortlichen unverzüglich, falls er der Auffassung ist, dass eine Weisung gegen diese Verordnung oder gegen andere Datenschutzbestimmungen der Union oder der Mitgliedstaaten verstößt. (4) Nimmt der Auftragsverarbeiter die Dienste eines weiteren Auftragsverarbeiters in Anspruch, um bestimmte Verarbeitungstätigkeiten im Namen des Verantwortlichen auszuführen, so werden diesem weiteren Auftragsverarbeiter im Wege eines Vertrags oder eines anderen Rechtsinstruments nach dem Unionsrecht oder dem Recht des betreffenden Mitgliedstaats dieselben Datenschutzpflichten auferlegt, die in dem Vertrag oder anderen Rechtsinstrument zwischen dem Verantwortlichen und dem Auftragsverarbeiter gemäß Absatz 3 festgelegt sind, wobei insbesondere hinreichende Garantien dafür geboten werden muss, dass die geeigneten technischen und organisatorischen Maßnahmen so durchgeführt werden, dass die Verarbeitung entsprechend den Anforderungen dieser Verordnung erfolgt. Kommt der weitere Auftragsverarbeiter seinen Datenschutzpflichten nicht nach, so haftet der erste Auftragsverarbeiter gegenüber dem Verantwortlichen für die Einhaltung der Pflichten jenes anderen Auftragsverarbeiters. (5) Die Einhaltung genehmigter Verhaltensregeln gemäß Artikel 40 oder eines genehmigten Zertifizierungsverfahrens gemäß Artikel 42 durch einen Auftragsverarbeiter kann als Faktor herangezogen werden, um hinreichende Garantien im Sinne der Absätze 1 und 4 des vorliegenden Artikels nachzuweisen. (6) Unbeschadet eines individuellen Vertrags zwischen dem Verantwortlichen und dem Auftragsverarbeiter kann der Vertrag oder das andere Rechtsinstrument im Sinne der Absätze 3 und 4 des vorliegenden Artikels 1132

|

Plath

Auftragsverarbeiter | Art. 28 DSGVO

ganz oder teilweise auf den in den Absätzen 7 und 8 des vorliegenden Artikels genannten Standardvertragsklauseln beruhen, auch wenn diese Bestandteil einer dem Verantwortlichen oder dem Auftragsverarbeiter gemäß den Artikeln 42 und 43 erteilten Zertifizierung sind. (7) Die Kommission kann im Einklang mit dem Prüfverfahren gemäß Artikel 87 Absatz 2 Standardvertragsklauseln zur Regelung der in den Absätzen 3 und 4 des vorliegenden Artikels genannten Fragen festlegen. (8) Eine Aufsichtsbehörde kann im Einklang mit dem Kohärenzverfahren gemäß Artikel 63 Standardvertragsklauseln zur Regelung der in den Absätzen 3 und 4 des vorliegenden Artikels genannten Fragen festlegen. (9) Der Vertrag oder das andere Rechtsinstrument im Sinne der Absätze 3 und 4 ist schriftlich abzufassen, was auch in einem elektronischen Format erfolgen kann. (10) Unbeschadet der Artikel 82, 83 und 84 gilt ein Auftragsverarbeiter, der unter Verstoß gegen diese Verordnung die Zwecke und Mittel der Verarbeitung bestimmt, in Bezug auf diese Verarbeitung als Verantwortlicher. I. Einführung . . . . . . . . . . . . . . 1 II. Anforderungen an die Auswahl des Auftragsverarbeiters (Abs. 1) . . . . . . . . . . . . . . . . . 8 III. Anforderungen an die Unterbeauftragung (Abs. 2) . . 9 IV. Anforderungen an den Hauptauftrag (Abs. 3) . . . . . . 12 V. Anforderungen an den Unterauftrag (Abs. 4) . . . . . . 14

VI. Nachweis der Einhaltung der Garantien der DSGVO (Abs. 5) . . . . . . . . . . . . . . . . . VII. Verwendung von Standardvertragsklauseln (Abs. 6, 7 und 8) VIII. Schriftformerfordernis (Abs. 9) . . . . . . . . . . . . . . . . . IX. Verantwortlichkeit des Auftragsverarbeiters (Abs. 10) . . .

15 16 17 18

I. Einführung Art. 28 regelt die Auftragsverarbeitung, also den Fall, dass ein Auftragsverarbei- 1 ter Daten im Auftrag des Verantwortlichen verarbeitet (vgl. Abs. 1). „Auftragsverarbeiter“ ist nach Art. 4 Nr. 8 jede „natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet“. „Verantwortlicher“ ist nach Art. 4 Abs. 7 „die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet“. Das Konstrukt der Auftragsverarbeitung ähnelt damit dem aus § 11 BDSG be- 2 kannten Konstrukt. Die Verantwortung für die Einhaltung der Regelungen der DSGVO verbleibt grundsätzlich bei dem Verantwortlichen. Dieser „entscheidet“ Plath

|

1133

Art. 28 DSGVO | Verantwortlicher und Auftragsverarbeiter über „Zwecke und Mittel der Verarbeitung von personenbezogenen Daten“. Er beauftragt den Auftragsverarbeiter als seinen „verlängerten Arm“ und als quasi interne Stelle. 3 Unter dem BDSG galt insoweit eine ausdrückliche Privilegierung der Auftrags-

datenverarbeitung, als ein in der EU tätiger Auftragnehmer aufgrund gesetzlicher Fiktion nicht als „Dritter“ betrachtet wurde (vgl. § 3 Abs. 8 BDSG). Nach dem BDSG stellte im Grundsatz jede Weitergabe von Daten an eine natürliche oder juristische Person außerhalb der verantwortlichen Stelle eine erlaubnispflichtige „Übermittlung“ dar, die dann an den Erlaubnistatbeständen der §§ 28, 29 BDSG und damit dem Grundsatz der Erforderlichkeit zu messen war. Dies galt indes nicht für eine Weitergabe an einen Auftragsdatenverarbeiter in der EU, da dieser nicht als Dritter qualifiziert wurde. Dieses Konzept ist nun in der DSGVO insoweit übernommen worden, als der Auftragsverarbeiter weiterhin nicht als Dritter zu qualifizieren ist (vgl. die Definition des Art. 4 Nr. 10). Zu beachten ist zwar, dass die DSGVO nicht mehr den Tatbestand der „Übermittlung“ kennt; eine solche lag nach dem BDSG nur dann vor, wenn die Daten an einen „Dritten“ weitergegeben wurden, was bei einem Auftragsdatenverarbeiter eben nicht der Fall war. Insofern ist diskutiert worden, ob die Einschaltung eines Auftragsverarbeiters nach der DSGVO als Verarbeitungsvorgang einer besonderen Rechtfertigung bedarf. Nach der hier vertretenen Ansicht ist dies indes nicht der Fall, da das Konstrukt der Auftragsverarbeitung gerade dazu dient, die Einschaltung von Auftragsverarbeitern ohne zusätzliche Anforderungen zu ermöglichen, wobei im Gegenzug die strengen Anforderungen des Art. 28 eingehalten werden müssen. Im Ergebnis bedeutet dies: soweit der Verantwortliche nach Art. 6 zur Verarbeitung berechtigt ist, kann er sich dazu auch eines Auftragsverarbeiters bedienen, solange die Vorgaben des Art. 28 eingehalten werden.

4 Hingewiesen sei allerdings darauf, dass der Auftragsdatenverarbeiter nach der

DSGVO weiterhin einen „Empfänger“ von Daten darstellt (vgl. Art. 4 Abs. 9). Insofern sind also alle Pflichten zu beachten, die für die Weitergabe von Daten an solche „Empfänger“ gelten, wie etwa die Pflicht zur Benachrichtigung der betroffenen Person nach Art. 13 Abs. 1 Buchst. e und Art. 14 Abs. 1 Buchst. e und Art. 15 Abs. 1 Buchst. c.

5 Jede Verarbeitung im Auftrag darf nur auf Weisung des Verantwortlichen er-

folgen. Dies ergibt sich aus Art. 29 und wird dort näher konkretisiert.

6 Entsprechend dieser Weisungsgebundenheit der Verarbeitung im Auftrag trifft

die Haftung für die Verletzung der DSGVO auch in erster Linie den Verantwortlichen (vgl. Art. 82 Abs. 2 Satz 1). Allerdings kann unter bestimmten Voraussetzungen auch der Auftragsverarbeiter haften, nämlich dann, „wenn er seinen speziell den Auftragsverarbeitern auferlegten Pflichten aus dieser Verordnung nicht nachgekommen ist oder unter Nichtbeachtung der rechtmäßig erteilten Anweisungen des für die Datenverarbeitung Verantwortlichen oder gegen diese Anweisungen gehandelt hat“ (vgl. Art. 82 Abs. 2 Satz 2). 1134

|

Plath

Auftragsverarbeiter | Art. 28 DSGVO

Darüber hinaus treffen den Auftragsverarbeiter selbst bestimmte Pflichten unter 7 der DSGVO, wie z.B. die Pflicht zur Bestellung eines „Vertreters“ unter den in Art. 27 normierten Voraussetzungen, die Pflicht zur Führung eines Verfahrensverzeichnisses nach Art. 30 Abs. 2, die Pflicht zur Zusammenarbeit mit der Aufsichtsbehörde nach Art. 31, die Pflicht zur Meldung von Datenschutzverletzungen nach Art. 33 Abs. 2 sowie die Pflicht zur Bestellung eines Datenschutzbeauftragten unter den Voraussetzungen des Art. 37.

II. Anforderungen an die Auswahl des Auftragsverarbeiters (Abs. 1) Abs. 1 regelt die Anforderungen an die Auswahl des Auftragsverarbeiters durch 8 den Verantwortlichen. Er darf nur solche Auftragnehmer als Auftragsverarbeiter beauftragen, „die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen“ im Einklang mit der DSGVO durchgeführt werden. Diese führt im Wesentlichen zu einer Pflicht zur sorgfältigen Auswahl und Überwachung des Auftragsverarbeiters durch den Verantwortlichen, wie sie bereits aus § 11 BDSG bekannt ist (s. dazu Komm. § 11 BDSG Rz. 90 ff. und 112 ff.). Maßstäbe für die Auswahl des Auftragsverarbeiters sind nach Erwägungsgrund 81 insbesondere Fachwissen, Zuverlässigkeit und Ressourcen.

III. Anforderungen an die Unterbeauftragung (Abs. 2) Abs. 2 regelt, unter welchen Voraussetzungen der Auftragsverarbeiter Unterauf- 9 träge vergeben darf. Voraussetzung dafür ist die „schriftliche Genehmigung“ des Verantwortlichen. Aus Abs. 9 i.V.m. Abs. 4 ergibt sich, dass der Vertragsschluss zwischen Auftragsverarbeiter und Unterauftragnehmer selbst ebenfalls der Schriftform bedarf, wobei insoweit ein „elektronisches Format“ ausreicht. Dass in Abs. 2 nicht auch auf das „elektronische Format“ abgestellt wird, dürfte ein Redaktionsversehen sein, denn es ist nicht ersichtlich, weshalb bei der Vergabe von Unteraufträgen strengere Formerfordernisse gelten sollten als für den Vertragsschluss insgesamt. Insofern kann die „Genehmigung“ zur Erteilung von Unteraufträgen nach der hier vertreten Ansicht auch elektronisch erteilt werden. Die Wahl der Formulierung „Genehmigung“ darf nicht in der Weise missver- 10 standen werden, dass die Zustimmung i.S.d. § 184 BGB nur nachträglich erteilt werden dürfte. Ganz im Gegenteil ist nach dem Wortlaut des Abs. 2 eine „vorherige“ Genehmigung erforderlich. Hinsichtlich der Arten der möglichen „Genehmigungen“ unterscheidet Abs. 2 11 zwischen „gesonderten“ und „allgemeinen“ Genehmigungen. Daraus folgt, dass es also auch möglich ist, eine generelle Zustimmung zur Einschaltung von Unterauftragnehmern zu erteilen, ohne dass diese z.B. vorab namentlich bekannt sein müssten. Allerdings wird die „allgemeine“ Zustimmung nach Satz 2 Plath

|

1135

Art. 28 DSGVO | Verantwortlicher und Auftragsverarbeiter an die Pflicht gekoppelt, den Verantwortlichen vorab über jede geplante Aufnahme neuer Unterauftragnehmer bzw. das Ersetzen bestehender Unterauftragnehmer zu informieren. Damit soll dem Verantwortlichen die Möglichkeit gegeben werden, gegen derartige Änderungen „Einspruch“ zu erheben. Die Wahl der Formulierung lässt offen, ob der Verantwortliche das Recht haben soll, seine allgemein erteilte Zustimmung nach eigenem Ermessen gewissermaßen zurückzuziehen oder ob die Information lediglich dem Zweck dient, dass der Verantwortliche kontrollieren kann, ob der geplante neue Unterauftragnehmer die Voraussetzungen des Abs. 1 und der DSGVO insgesamt erfüllt bzw. in den Rahmen der erteilten Zustimmung fällt. Nach der hier vertretenen Ansicht ist die Regelung nicht im Sinne eines Rechts zum nachträglichen Entzug der Zustimmung zu verstehen. Denn wenn sich die Vertragsparteien verbindlich darauf geeinigt haben, dass der Auftragsverarbeiter in der Vergabe von Unteraufträgen frei sein soll, so muss er auch darauf vertrauen dürfen. Seine Grenze findet dieses Recht also nur dort, wo der Auftragnehmer beabsichtigt, Unterauftragnehmer zu beauftragen, die entweder nicht von der Zustimmung erfasst sind oder nicht den Anforderungen der DSGVO entsprechen, z.B. weil sie keine hinreichenden Garantien bezüglich der zu treffenden technischen und organisatorischen Maßnahmen bieten.

IV. Anforderungen an den Hauptauftrag (Abs. 3) 12 Nach Abs. 3 hat der – schriftlich oder elektronisch zu schließende (Abs. 9) –

Vertrag zur Beauftragung des Auftragsverarbeiters diverse Anforderungen zu erfüllen. Gleiches gilt, wenn die Beauftragung auf Grundlage „eines anderen Rechtsinstruments nach dem Unionsrecht oder dem Recht der Mitgliedstaaten“ erfolgt. Ausweislich des Erwägungsgrunds 81 können der Verantwortliche und der Auftragsverarbeiter frei entscheiden, ob sie einen individuellen Vertrag oder Standardvertragsklauseln verwenden, die entweder unmittelbar von der Kommission erlassen oder aber nach dem Kohärenzverfahren von einer Aufsichtsbehörde angenommen und dann von der Kommission erlassen wurden. Konkret sind folgende Mindestinhalte in der Beauftragung zu regeln: – Gegenstand und Dauer der Verarbeitung, – Art und Zweck der Verarbeitung, – die Art der personenbezogenen Daten, – die Kategorien von betroffenen Personen – und die Pflichten und Rechte des Verantwortlichen. Insbesondere ist zu regeln, dass der Auftragsverarbeiter – die personenbezogenen Daten nur auf dokumentierte Weisung des Verantwortlichen verarbeitet, wie in Art. 29 näher spezifiziert (Buchst. a); 1136

|

Plath

Auftragsverarbeiter | Art. 28 DSGVO

– gewährleistet, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen (Buchst. b); hinsichtlich der vertraglichen Verpflichtungen zur Vertraulichkeit ist eine Vereinbarung mit dem jeweiligen Auftragnehmer ausreichend. Nicht erforderlich ist etwa eine Vereinbarung der Mitarbeiter des Auftragnehmers direkt mit dem Auftraggeber. – alle gemäß Art. 32 erforderlichen Maßnahmen ergreift, also alle Maßnahmen zur Gewährleistung der „Sicherheit der Verarbeitung“ (Buchst. c); – die Bedingungen für die Vergabe von Unteraufträgen einhält (Buchst. d); – den Verantwortlichen mit geeigneten technischen und organisatorischen Maßnahmen dabei unterstützt, seiner Pflicht zur Beantwortung von Anträgen auf Wahrnehmung der Rechte der betroffenen Person nachzukommen (Buchst. e); – den Verantwortlichen bei der Einhaltung der in den Art. 32–36 genannten Pflichten unterstützt (Buchst. f); – nach Abschluss der Erbringung der Verarbeitungsleistungen alle personenbezogenen Daten nach Wahl des Verantwortlichen entweder zurückgibt oder löscht, sofern nicht eine Verpflichtung zur Speicherung der Daten besteht (Buchst. g); – dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung seiner Pflichten zur Verfügung stellt und Überprüfungen ermöglicht (Buchst. h); – den Verantwortlichen unverzüglich informiert, falls er der Auffassung ist, dass eine Weisung gegen die DSGVO oder gegen andere Datenschutzbestimmungen verstößt. Mit Blick auf die für die Praxis höchst relevante Frage, ob bestehende Auftrags- 13 datenverarbeitungsverträge, die unter Geltung des BDSG abgeschlossen worden sind, unter der DSGVO weiterhin verwendet werden können, lässt sich keine pauschale Antwort geben. Vielmehr wird es erforderlich sein, jeden bestehenden Vertrag daraufhin zu prüfen, ob er den neuen Vorgaben der DSGVO genügt. Die Mindestinhalte des Abs. 3 („Gegenstand und Dauer der Verarbeitung, Art und Zweck der Verarbeitung, die Art der personenbezogenen Daten, die Kategorien betroffener Personen und die Pflichten und Rechte des Verantwortlichen“) waren auch bereits nach § 11 Abs. 2 BDSG festzulegen. Gleiches oder zumindest Entsprechendes gilt – wenn auch mit Abweichungen in der Formulierung – für die Weisungsgebundenheit der Verarbeitung im Auftrag gemäß Abs. 3 Buchst. a (vgl. § 11 Abs. 3 BDSG), die Verpflichtung der zur Verarbeitung eingeschalteten Personen auf das Datengeheimnis gemäß Abs. 3 Buchst. b (vgl. § 5 BDSG), die Pflicht zur Ergreifung der Sicherheitsmaßnahmen nach Art. 32 gemäß Abs. 3 Buchst. c (vgl. § 11 Abs. 2 Nr. 3 BDSG), die AnforderunPlath

|

1137

Art. 28 DSGVO | Verantwortlicher und Auftragsverarbeiter gen an die Einschaltung von Unterauftragnehmern gemäß Abs. 3 Buchst. d (vgl. § 11 Abs. 2 Nr. 6 BDSG) sowie für die Löschpflichten nach Abs. 3 Buchst. g (vgl. § 11 Abs. 2 Nr. 10 BDSG). Keine direkte Entsprechung findet sich im BDSG bezüglich der Pflichten des Auftragnehmers, den Verantwortlichen bei der Beantwortung von Anträgen (Abs. 3 Buchst. e) und bei der Einhaltung der Pflichten nach den Art. 32–36 (Abs. 3 Buchst. f) zu unterstützen. Gleichwohl finden sich entsprechende Regelungen in vielen der branchenüblichen Verträge, so dass im Ergebnis also im Einzelfall zu prüfen bleibt, ob die Anforderungen der DSGVO bereits abgebildet sind.

V. Anforderungen an den Unterauftrag (Abs. 4) 14 Abs. 4 regelt die Anforderungen an den Vertrag, mit dem ein Auftragsverarbei-

ter einen weiteren Auftragsverarbeiter, also einen Unterauftragnehmer, unterbeauftragt. Ob eine solche Unterbeauftragung überhaupt zulässig ist, richtet sich nach Abs. 2. Abs. 4 regelt im Kern, dass der Unterauftrag den Anforderungen zu genügen hat, die nach Abs. 3 für den Hauptauftrag gelten. Kommt der Unterauftragnehmer seinen Datenschutzpflichten nicht nach, so haftet der erste Auftragsverarbeiter gegenüber dem Verantwortlichen für die Einhaltung der Pflichten des Unterauftragnehmers (Satz 2). Unberührt bleibt freilich das Recht des Unterbeauftragenden, bei dem Unterauftragnehmer Regress zu nehmen.

VI. Nachweis der Einhaltung der Garantien der DSGVO (Abs. 5) 15 Abs. 5 regelt, dass die Einhaltung genehmigter Verhaltensregeln (Art. 40) oder

eines genehmigten Zertifizierungsverfahrens (Art. 42) durch den Auftragsverarbeiter als Faktor herangezogen werden kann, um hinreichende Garantien im Sinne der Absätze 1 und 2 nachzuweisen. Erforderlich ist dazu also, dass (i) solche Verhaltensregeln oder Zertifizierungsverfahren bestehen und (ii) der Auftragsverarbeiter diese einhält. Ist dies der Fall, führt dies allerdings noch nicht zwingend zum Nachweis der Einhaltung der Garantien der DSGVO, stellt jedoch einen „Faktor“ für die Beurteilung dar.

VII. Verwendung von Standardvertragsklauseln (Abs. 6, 7 und 8) 16 Art. 28 sieht vor, dass die Auftragsvergabe auch auf Basis von Standardvertrags-

klauseln erfolgen kann (Abs. 6). Solche Standardvertragsklauseln können entweder durch die Kommission festgelegt werden oder durch eine Aufsichtsbehörde im Einklang mit dem Kohärenzverfahren gemäß Art. 63.

1138

|

Plath

Verarbeitung unter Aufsicht | Art. 29 DSGVO

VIII. Schriftformerfordernis (Abs. 9) Der Vertrag oder das andere Rechtsinstrument über die Beauftragung ist schrift- 17 lich abzufassen, was auch in einem elektronischen Format erfolgen kann. Das bisher geltend starre Schriftformerfordernis des § 11 BDSG wird damit durch eine wesentlich praktikablere Lösung ersetzt. Damit wird es nun endlich möglich, Auftragsverarbeitungsverträge z.B. per E-Mail oder Online abzuschließen.

IX. Verantwortlichkeit des Auftragsverarbeiters (Abs. 10) Abs. 10 regelt, dass der Auftragsverarbeiter seinen (haftungs-)privilegierten Sta- 18 tus verliert, wenn er sich zum Verantwortlichen „aufschwingt“, indem er „die Zwecke und Mittel der Verarbeitung bestimmt“. In diesem Fall gilt er selbst als (weiterer) Verantwortlicher.

Artikel 29 Verarbeitung unter der Aufsicht des Verantwortlichen oder des Auftragsverarbeiters Der Auftragsverarbeiter und jede dem Verantwortlichen oder dem Auftragsverarbeiter unterstellte Person, die Zugang zu personenbezogenen Daten hat, dürfen diese Daten ausschließlich auf Weisung des Verantwortlichen verarbeiten, es sei denn, dass sie nach dem Unionsrecht oder dem Recht der Mitgliedstaaten zur Verarbeitung verpflichtet sind. I. Einführung . . . . . . . . . . . . . . . II. Weisungsrecht . . . . . . . . . . . .

1 2

III. Rechtsfolgen . . . . . . . . . . . . . .

6

I. Einführung Art. 29 regelt das Weisungsrecht des Verantwortlichen. Die Norm basiert auf 1 Erwägungsgrund 79, der „eine klare Zuteilung der Verantwortlichkeiten“ fordert. Entsprechend trifft die Haftung für die Verletzung der DSGVO auch in erster Linie den Verantwortlichen (vgl. Art. 82 Abs. 2 Satz 1). Allerdings kann unter bestimmten Voraussetzungen auch der Auftragsverarbeiter haften, nämlich dann, wenn er „seinen speziell den Auftragsverarbeitern auferlegten Pflichten aus dieser Verordnung nicht nachgekommen ist oder unter Nichtbeachtung der rechtmäßig erteilten Anweisungen des für die Datenverarbeitung Verantwortlichen oder gegen diese Anweisungen gehandelt hat“ (vgl. Art. 82 Abs. 2 Satz 2). Plath

|

1139

Verarbeitung unter Aufsicht | Art. 29 DSGVO

VIII. Schriftformerfordernis (Abs. 9) Der Vertrag oder das andere Rechtsinstrument über die Beauftragung ist schrift- 17 lich abzufassen, was auch in einem elektronischen Format erfolgen kann. Das bisher geltend starre Schriftformerfordernis des § 11 BDSG wird damit durch eine wesentlich praktikablere Lösung ersetzt. Damit wird es nun endlich möglich, Auftragsverarbeitungsverträge z.B. per E-Mail oder Online abzuschließen.

IX. Verantwortlichkeit des Auftragsverarbeiters (Abs. 10) Abs. 10 regelt, dass der Auftragsverarbeiter seinen (haftungs-)privilegierten Sta- 18 tus verliert, wenn er sich zum Verantwortlichen „aufschwingt“, indem er „die Zwecke und Mittel der Verarbeitung bestimmt“. In diesem Fall gilt er selbst als (weiterer) Verantwortlicher.

Artikel 29 Verarbeitung unter der Aufsicht des Verantwortlichen oder des Auftragsverarbeiters Der Auftragsverarbeiter und jede dem Verantwortlichen oder dem Auftragsverarbeiter unterstellte Person, die Zugang zu personenbezogenen Daten hat, dürfen diese Daten ausschließlich auf Weisung des Verantwortlichen verarbeiten, es sei denn, dass sie nach dem Unionsrecht oder dem Recht der Mitgliedstaaten zur Verarbeitung verpflichtet sind. I. Einführung . . . . . . . . . . . . . . . II. Weisungsrecht . . . . . . . . . . . .

1 2

III. Rechtsfolgen . . . . . . . . . . . . . .

6

I. Einführung Art. 29 regelt das Weisungsrecht des Verantwortlichen. Die Norm basiert auf 1 Erwägungsgrund 79, der „eine klare Zuteilung der Verantwortlichkeiten“ fordert. Entsprechend trifft die Haftung für die Verletzung der DSGVO auch in erster Linie den Verantwortlichen (vgl. Art. 82 Abs. 2 Satz 1). Allerdings kann unter bestimmten Voraussetzungen auch der Auftragsverarbeiter haften, nämlich dann, wenn er „seinen speziell den Auftragsverarbeitern auferlegten Pflichten aus dieser Verordnung nicht nachgekommen ist oder unter Nichtbeachtung der rechtmäßig erteilten Anweisungen des für die Datenverarbeitung Verantwortlichen oder gegen diese Anweisungen gehandelt hat“ (vgl. Art. 82 Abs. 2 Satz 2). Plath

|

1139

Art. 29 DSGVO | Für die Verarbeitung Verantwortlicher und Auftragsverarbeiter II. Weisungsrecht 2 Das Weisungsrecht des Verantwortlichen besteht gegenüber drei Personengrup-

pen, nämlich (i) gegenüber den ihm unterstellten Personen (also typischerweise den Mitarbeitern seines Unternehmens), (ii) gegenüber seinen Auftragsverarbeitern sowie auch (iii) gegenüber denjenigen Personen, die diesen Auftragsverarbeitern unterstellt sind. Gegenüber der letztgenannten Personengruppe besteht i.d.R. keine vertragliche Beziehung. In diesen Fällen wird der Verantwortliche seine Weisungsrechte „gemittelt“ über seinen Vertragspartner, den Auftragsverarbeiter, ausüben. Dies folgt nicht zuletzt aus der Formulierung des Art. 32 Abs. 4, wonach der Auftragsverarbeiter die insoweit erforderlichen Schritte zu unternehmen hat, um die Durchsetzung der Weisungen des Verantwortlichen sicherzustellen. 3 Das Weisungsrecht findet seine Grenze in dem Fall, dass die betreffenden Personen nach dem Recht der Union oder der Mitgliedstaaten zur Verarbeitung verpflichtet sind. Ordnet also das anwendbare Recht z.B. eine bestimmte Archivierungspflicht des Auftragsverarbeiters an, so ist er an eine abweichende Weisung des Verantwortlichen nicht gebunden. In einem solchen Fall hat der Auftragsverarbeiter den Verantwortlichen unverzüglich zu informieren „falls er der Auffassung ist, dass eine Weisung gegen diese Verordnung oder gegen andere Datenschutzbestimmungen der Union oder der Mitgliedstaaten verstößt“ (Art. 28 Abs. 3). 4 Zum Umfang der Weisungsrechte und den Grenzen dieses Rechts sei auf die Komm. zu § 11 BDSG verwiesen. 5 Keine ausdrückliche Neuregelung enthält Art. 29 zu der unter der EG-Datenschutzrichtlinie bzw. dem BDSG seit jeher umstrittenen Frage, ob eine wirksame Auftragsverarbeitung per se dann ausgeschlossen ist, wenn eine sog. Funktionsübertragung vorliegt (vgl. dazu Komm. zu § 11 BDSG Rz. 27 ff.). Nach der hier vertretenen Ansicht ist die Zulässigkeit des Auftrags insoweit allein an der Frage zu messen, ob sich die Tätigkeit des Auftragnehmers innerhalb der Weisungen des Verantwortlichen bewegt. Ist dies der Fall, so bleibt für den ungeschriebenen Ausschlussgrund der Funktionsübertragung kein Raum (vgl. dazu Komm. zu § 11 BDSG Rz. 27 ff.).

III. Rechtsfolgen 6 Falls der Auftragsverarbeiter der Auffassung ist, dass eine Weisung gegen diese

Verordnung oder gegen andere Datenschutzbestimmungen der Union oder der Mitgliedstaaten verstößt, hat er den Verantwortlichen unverzüglich zu informieren (Art. 28 Abs. 3). 7 Eine Haftung trifft den Auftragsverarbeiter dann, wenn er „unter Nichtbeachtung der rechtmäßig erteilten Anweisungen des für die Datenverarbeitung Verantwortlichen oder gegen diese Anweisungen gehandelt hat“ (Art. 82 Abs. 2). 1140

|

Plath

Verzeichnis von Verarbeitungstätigkeiten | Art. 30 DSGVO

Artikel 30 Verzeichnis von Verarbeitungstätigkeiten (1) Jeder Verantwortliche und gegebenenfalls sein Vertreter führen ein Verzeichnis aller Verarbeitungstätigkeiten, die ihrer Zuständigkeit unterliegen. Dieses Verzeichnis enthält sämtliche folgenden Angaben: a) den Namen und die Kontaktdaten des Verantwortlichen und gegebenenfalls des gemeinsam mit ihm Verantwortlichen, des Vertreters des Verantwortlichen sowie eines etwaigen Datenschutzbeauftragten; b) die Zwecke der Verarbeitung; c) eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten; d) die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfänger in Drittländern oder internationalen Organisationen; e) gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation, sowie bei den in Artikel 49 Absatz 1 Unterabsatz 2 genannten Datenübermittlungen die Dokumentierung geeigneter Garantien; f) wenn möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien; g) wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1. (2) Jeder Auftragsverarbeiter und gegebenenfalls sein Vertreter führen ein Verzeichnis zu allen Kategorien von im Auftrag eines Verantwortlichen durchgeführten Tätigkeiten der Verarbeitung, die Folgendes enthält: a) den Namen und die Kontaktdaten des Auftragsverarbeiters oder der Auftragsverarbeiter und jedes Verantwortlichen, in dessen Auftrag der Auftragsverarbeiter tätig ist, sowie gegebenenfalls des Vertreters des Verantwortlichen oder des Auftragsverarbeiters und eines etwaigen Datenschutzbeauftragten; b) die Kategorien von Verarbeitungen, die im Auftrag jedes Verantwortlichen durchgeführt werden; c) gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation, sowie bei den in Artikel 49 Absatz 1 Unterabsatz 2 genannten Datenübermittlungen die Dokumentierung geeigneter Garantien; d) wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1. Plath

|

1141

Art. 30 DSGVO | Für die Verarbeitung Verantwortlicher und Auftragsverarbeiter (3) Das in den Absätzen 1 und 2 genannte Verzeichnis ist schriftlich zu führen, was auch in einem elektronischen Format erfolgen kann. (4) Der Verantwortliche oder der Auftragsverarbeiter sowie gegebenenfalls der Vertreter des Verantwortlichen oder des Auftragsverarbeiters stellen der Aufsichtsbehörde das Verzeichnis auf Anfrage zur Verfügung. (5) Die in den Absätzen 1 und 2 genannten Pflichten gelten nicht für Unternehmen oder Einrichtungen, die weniger als 250 Mitarbeiter beschäftigen, sofern die von ihnen vorgenommene Verarbeitung nicht ein Risiko für die Rechte und Freiheiten der betroffenen Personen birgt, die Verarbeitung nicht nur gelegentlich erfolgt oder nicht die Verarbeitung besonderer Datenkategorien gemäß Artikel 9 Absatz 1 bzw. die Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten im Sinne des Artikels 10 einschließt. I. Einführung . . . . . . . . . . . . . . . II. Pflicht des Verantwortlichen (Abs. 1) . . . . . . . . . . . . . . . . . . III. Pflicht des Auftragsverarbeiters (Abs. 2) . . . . . . . . . . . . . . . . . .

1 2 3

IV. Formerfordernis (Abs. 3) . . . . . V. Zurverfügungstellung gegenüber der Aufsichtsbehörde (Abs. 4) . . . . . . . . . . . . . . . . . . VI. Ausnahmen (Abs. 5) . . . . . . . .

4 5 6

I. Einführung 1 Art. 30 regelt die Pflicht zur Führung eines „Verzeichnisses aller Verarbei-

tungstätigkeiten“. Nach Abs. 1 trifft diese Pflicht zunächst den Verantwortlichen. Nach Abs. 2 ist darüber hinaus auch der Auftragsverarbeiter zur Führung eines „Verzeichnisses“ verpflichtet. Die Pflichten nach den Abs. 1 und 2 treffen zudem jeweils auch den jeweiligen „Vertreter“, also diejenige Person, die nach Art. 27 bei Sachverhalten mit Drittstaatbezug zu bestellen ist, wenn die dort genannten Vorrausetzungen vorliegen. Abs. 3 regelt die Formerfordernisse. Aus Abs. 4 ergibt sich eine Pflicht zur Offenlegung gegenüber den Behörden. Abs. 5 regelt schließlich, dass die vorstehenden Pflichten nicht für Unternehmen oder Einrichtungen gelten, die weniger als 250 Mitarbeiter beschäftigen, es sei denn, dass bestimmte Gegenausnahmen greifen. Zweck der Regelung ist nach Erwägungsgrund 82 der „Nachweis der Einhaltung dieser Verordnung“.

II. Pflicht des Verantwortlichen (Abs. 1) 2 Nach Abs. 1 hat der Verantwortliche die Pflicht zur Führung eines „Verzeichnis-

ses aller Verarbeitungstätigkeiten“. Dieses Verzeichnis hat folgende Informationen zu enthalten:

1142

|

Plath

Verzeichnis von Verarbeitungstätigkeiten | Art. 30 DSGVO

– den Namen und die Kontaktdaten des Verantwortlichen, seines Vertreters sowie des Datenschutzbeauftragten; bei mehreren Verantwortlichen sind auch der oder die weiteren gemeinsamen Verantwortlichen zu benennen. – die Zwecke der Verarbeitung; also z.B. bei einem Versandhändler „zur Erfüllung der mit den Kunden geschlossenen Verträge“; – eine Beschreibung der Kategorien von betroffenen Personen und der Kategorien personenbezogener Daten; ausreichend ist nach der Norm die Angabe von „Kategorien“ also etwa die Angabe „Kunden“ bzw. „Kundendaten (Name, Anschrift, Angaben zum Vertrag)“; – die Kategorien von Empfängern, an die die personenbezogenen Daten weitergegeben worden sind oder noch weitergegeben werden; hierunter fiele z.B. die Angabe, dass Daten an einen „Logistikdienstleister“ weitergegeben werden, der die bestellten Waren ausliefert. Da die Norm auch die Angabe der Kategorien zukünftiger Empfänger verlangt, ist insoweit durch den Verantwortlichen eine Abschätzung zu treffen, welche Empfängerkategorie insoweit in Betracht kommt. – ggf. Übermittlungen von Daten an ein Drittland oder an eine internationale Organisation sowie bei den in Art. 49 Abs. 1 genannten Datenübermittlungen die Dokumentierung geeigneter Garantien; insoweit sind also diejenigen Drittländer bzw. Organisationen anzugeben, in die die Daten übermittelt worden sind; – wenn möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien; – wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Art. 32 Abs. 1. Unklar bleibt, wie die Formulierung „wenn möglich“ zu verstehen ist. Der englische Text spricht hier von „where possible“, was dafür spricht, dass es tatsächlich darum gehen soll, ob die Angabe im objektiven Sinne überhaupt „möglich“ ist. Allerdings sollte es z.B. mit Blick auf die technischen und organisatorischen Maßnahmen stets „möglich“ sein, diese in allgemeiner Form zu beschreiben. Insofern dürfte das Merkmal allerdings eher im Sinne eines „soweit angemessen“ zu verstehen sein.

III. Pflicht des Auftragsverarbeiters (Abs. 2) Nach Abs. 2 hat auch der Auftragsverarbeiter ein Verzeichnis zu führen. Gegen- 3 über dem von dem Verantwortlichen zu führenden Verzeichnis gilt insoweit ein reduzierter Umfang. Dies erklärt sich aus der weisungsgebundenen Tätigkeit des Auftragsverarbeiters (vgl. Art. 29). Plath

|

1143

Art. 30 DSGVO | Für die Verarbeitung Verantwortlicher und Auftragsverarbeiter IV. Formerfordernis (Abs. 3) 4 Nach Abs. 3 sind die Aufzeichnungen bzw. Verzeichnisse schriftlich zu führen.

Eine Aufzeichnung in elektronischer Form ist insoweit ausreichend.

V. Zurverfügungstellung gegenüber der Aufsichtsbehörde (Abs. 4) 5 Nach Abs. 4 sind sowohl der Verantwortliche als auch der Auftragsverarbeiter

wie auch deren Vertreter, soweit einschlägig, verpflichtet, die jeweils von ihnen geführten Aufzeichnungen der Aufsichtsbehörde zur Verfügung zu stellen. Nach Erwägungsgrund 82 soll dies die Aufsichtsbehörde dadurch in die Lage versetzen, die Einhaltung der Vorschriften der DSGVO zu kontrollieren.

VI. Ausnahmen (Abs. 5) 6 Nach Abs. 5 entfallen die vorstehenden Pflichten zur Führung von Aufzeich-

nungen dann, wenn das betreffende Unternehmen bzw. die betreffende Einrichtung „weniger als 250 Mitarbeiter“ beschäftigt. Ziel der Regelung ist es nach Erwägungsgrund 13, „der besonderen Situation der Kleinstunternehmen sowie der kleinen und mittleren Unternehmen Rechnung zu tragen“.

Entsprechend heißt es dann auch in dem Erwägungsgrund, dass für die Definition des Begriffs „Kleinstunternehmen sowie kleine und mittlere Unternehmen“ Art. 2 des Anhangs zur Empfehlung 2003/361/EG der Kommission maßgebend sein soll. Zwar verwendet Abs. 3 nicht diese Begrifflichkeit. Gleichwohl wird deutlich, dass sich die Beantwortung der Frage, wie die 250 Mitarbeiter zu berechnen sind, nach den genannten Empfehlungen der Kommission richtet. Maßgeblich ist bei der Auftragsverarbeitung hinsichtlich der Aufzeichnungspflichten des Auftragsverarbeiters die Anzahl der Mitarbeiter des Auftragsverarbeiters, nicht des Verantwortlichen. 7 Als Rückausnahmen nennt Abs. 5 folgende drei Fälle:

– die Verarbeitung birgt ein Risiko für die Rechte und Freiheiten der betroffenen Personen; – die Verarbeitung erfolgt nur gelegentlich; – die Verarbeitung schließt besondere Datenkategorien gemäß Art. 9 Abs. 1 bzw. Daten über strafrechtliche Verurteilungen und Straftaten i.S.d. Art. 10 mit ein. Die Rückausnahmen sind mit einer „Oder“-Verbindung hinterlegt. Dies heißt: Liegt einer dieser Fälle vor, hat das betreffende Unternehmen auch dann Aufzeichnungen nach den Abs. 1 bzw. 2 zu führen, wenn dort weniger als 250 Mitarbeiter beschäftigt sind. 1144

|

Plath

Zusammenarbeit mit der Aufsichtsbehörde | Art. 31 DSGVO

Artikel 31 Zusammenarbeit mit der Aufsichtsbehörde Der Verantwortliche und der Auftragsverarbeiter und gegebenenfalls deren Vertreter arbeiten auf Anfrage mit der Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben zusammen. I. Einführung . . . . . . . . . . . . . . .

1

II. Zusammenarbeitspflicht . . . . .

2

I. Einführung Art. 31 regelt eine allgemeine Kooperationspflicht. Diese wird flankiert durch 1 spezifische Regelungen, wie etwa die Pflicht zur Vorlage der zu führenden Verzeichnisse nach Art. 30 Abs. 4.

II. Zusammenarbeitspflicht Normadressaten sind sowohl der Verantwortliche als auch der Auftragsver- 2 arbeiter und der etwaige Vertreter des Verantwortlichen bzw. des Auftragsverarbeiters. Ihnen wird die Pflicht auferlegt, mit der Aufsichtsbehörde bei der Erfüllung „ihrer“ Aufgaben zusammenzuarbeiten. Gemeint sind die Aufgaben der Aufsichtsbehörde, nicht die des Verantwortlichen bzw. des Auftragsverarbeiters. Diese Aufgaben sind in Art. 51 ff. geregelt und umfassen vor allem den Schutz der Grundrechte und Grundfreiheiten natürlicher Personen bei der Verarbeitung ihrer personenbezogenen Daten. Ausgelöst wird diese Pflicht durch eine „Anfrage“ der Behörde. Als konkret zu 3 treffende Maßnahme nennt Erwägungsgrund 82 die Vorlage der „entsprechenden Verzeichnisse“ (vgl. Art. 30).

Abschnitt 2 Sicherheit personenbezogener Daten

Artikel 32 Sicherheit der Verarbeitung (1) Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Plath/Grages

|

1145

Zusammenarbeit mit der Aufsichtsbehörde | Art. 31 DSGVO

Artikel 31 Zusammenarbeit mit der Aufsichtsbehörde Der Verantwortliche und der Auftragsverarbeiter und gegebenenfalls deren Vertreter arbeiten auf Anfrage mit der Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben zusammen. I. Einführung . . . . . . . . . . . . . . .

1

II. Zusammenarbeitspflicht . . . . .

2

I. Einführung Art. 31 regelt eine allgemeine Kooperationspflicht. Diese wird flankiert durch 1 spezifische Regelungen, wie etwa die Pflicht zur Vorlage der zu führenden Verzeichnisse nach Art. 30 Abs. 4.

II. Zusammenarbeitspflicht Normadressaten sind sowohl der Verantwortliche als auch der Auftragsver- 2 arbeiter und der etwaige Vertreter des Verantwortlichen bzw. des Auftragsverarbeiters. Ihnen wird die Pflicht auferlegt, mit der Aufsichtsbehörde bei der Erfüllung „ihrer“ Aufgaben zusammenzuarbeiten. Gemeint sind die Aufgaben der Aufsichtsbehörde, nicht die des Verantwortlichen bzw. des Auftragsverarbeiters. Diese Aufgaben sind in Art. 51 ff. geregelt und umfassen vor allem den Schutz der Grundrechte und Grundfreiheiten natürlicher Personen bei der Verarbeitung ihrer personenbezogenen Daten. Ausgelöst wird diese Pflicht durch eine „Anfrage“ der Behörde. Als konkret zu 3 treffende Maßnahme nennt Erwägungsgrund 82 die Vorlage der „entsprechenden Verzeichnisse“ (vgl. Art. 30).

Abschnitt 2 Sicherheit personenbezogener Daten

Artikel 32 Sicherheit der Verarbeitung (1) Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Plath/Grages

|

1145

Art. 32 DSGVO | Verantwortlicher und Auftragsverarbeiter Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen schließen unter anderem Folgendes ein: a) die Pseudonymisierung und Verschlüsselung personenbezogener Daten; b) die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen; c) die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen; d) ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung. (2) Bei der Beurteilung des angemessenen Schutzniveaus sind insbesondere die Risiken zu berücksichtigen, die mit der Verarbeitung verbunden sind, insbesondere durch – ob unbeabsichtigt oder unrechtmäßig – Vernichtung, Verlust, Veränderung oder unbefugte Offenlegung von beziehungsweise unbefugten Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf andere Weise verarbeitet wurden. (3) Die Einhaltung genehmigter Verhaltensregeln gemäß Artikel 40 oder eines genehmigten Zertifizierungsverfahrens gemäß Artikel 42 kann als Faktor herangezogen werden, um die Erfüllung der in Absatz 1 des vorliegenden Artikels genannten Anforderungen nachzuweisen. (4) Der Verantwortliche und der Auftragsverarbeiter unternehmen Schritte, um sicherzustellen, dass ihnen unterstellte natürliche Personen, die Zugang zu personenbezogenen Daten haben, diese nur auf Anweisung des Verantwortlichen verarbeiten, es sei denn, sie sind nach dem Recht der Union oder der Mitgliedstaaten zur Verarbeitung verpflichtet. I. Gewährleistung eines angemessenen Schutzniveaus (Abs. 1) . . II. Beurteilung des angemessenen Schutzniveaus (Abs. 2) . . . . . .

1 9

III. Zertifizierungsverfahren und Verfahrensregeln (Abs. 3) . . . . 11 IV. Verarbeitung durch unterstellte Personen (Abs. 4) . . . . . . . . . . 12

Literatur: Kraska, Datenschutz-Zertifizierungen in der EU-Datenschutzgrundverordnung, ZD 2016, 153; Sydow/Kring, Die Datenschutzgrundverordnung zwischen Technikneutralität und Technikbezug – Konkurrierende Leitbilder für den europäischen Rechtsrahmen, ZD 2014, 271.

1146

|

Grages

Sicherheit der Verarbeitung | Art. 32 DSGVO

I. Gewährleistung eines angemessenen Schutzniveaus (Abs. 1) Anknüpfend an Art. 17 der ehemaligen EG-Datenschutzrichtlinie1 bzw. § 9 BDSG 1 nimmt Abs. 1 die Verantwortlichen und Auftragsverarbeiter in die Pflicht, die Sicherheit der Datenverarbeitung zu gewährleisten, vgl. die allgemeine Anforderung in Art. 5 Abs. 1 Buchst. f 2. Sie sollen ein Schutzniveau herstellen, das insbesondere dem Stand der Technik und dem Risiko angemessen ist, vgl. auch Art. 35. Die im Entwurf der Kommission vorgesehenen Möglichkeiten zum Erlass delegierter Rechtsakte oder von Durchführungsbestimmungen zur näheren Ausgestaltung der Vorgaben konnten sich im Gesetzgebungsprozess nicht durchsetzen. Es wird ein relativer Ansatz verfolgt, was einerseits Flexibilität im Einzelfall 2 schafft, andererseits aber auch eine eigenverantwortliche Wertung des Verantwortlichen bzw. des Auftragsverarbeiters erfordert. Ggf. kann die konkrete Angemessenheit der Sicherheitsmaßnahmen maßgeblich sein bei der Verhängung von Geldbußen wegen Datenschutzverstößen, vgl. Art. 83 Abs. 2 Buchst. d bzw. Abs. 4 Buchst. a. In diesem Sinne kann die Unterschreitung eines adäquaten Niveaus einen eigenständigen, bußgeldbewährten Verstoß darstellen; dies ist eine wesentliche Verschärfung gegenüber der Rechtslage unter dem BDSG. Zudem sind die Bemühungen zur Herstellung eines angemessenen Schutzniveaus bei der Bemessung einer Strafzahlung zu berücksichtigen, wenn es einen anderen konkreten Verstoß gegeben hat. Angemessene Sicherheit ist durch technische und organisatorische Maßnahmen 3 zu erreichen, bei deren Auswahl Umstände und Zwecke der Verarbeitung ebenso wie die prognostizierte Wahrscheinlichkeit und Schwere einer möglichen Rechtsverletzung durch Sicherheitslücken zu berücksichtigen sind. Auch die Implementierungskosten sind ausdrücklich relevant bei der Bestimmung des verpflichtenden Sicherheitsstandards. Gleichwohl bleibt das gesetzgeberische Ziel die Sicherstellung eines angemessenen Schutzniveaus im Sinne der Betroffenen. Mit wirtschaftlichen Argumenten können daher keine unzureichenden Schutzmaßnahmen gerechtfertigt werden. Der Ansatz der DSGVO entspricht im Wesentlichen weiter der bereits aus § 9 4 Satz 2 BDSG bekannten Idee, einen in der konkreten Situation angemessenen Sicherheitsstandard zu gewährleisten (s. zu den Einzelheiten die Komm. zu § 9 BDSG). Insbesondere die auf Grundlage der Anlage zu § 9 Satz 1 BDSG etablierten Maßnahmenkataloge können weiter als Leitlinien dienen, wobei die Neuregelung die Chance bietet, sich von einem reinen „Abhaken“ eines Katalogs ab- und tatsächlich individuellen Sicherheitskonzepten zuzuwenden3. 1 Nunmehr aufgehoben gemäß Art. 94 Abs. 1. 2 Zu den Pflichten des Auftragverarbeiters und den Anforderungen an die vertragliche Dokumentation s. Art. 28 Abs. 3 Buchst. c und f. 3 Zur Berücksichtigung im Rahmen des Verfahrensverzeichnisses s. Art. 30 Abs. 1 Buchst. g und Abs. 2 Buchst. d.

Grages

|

1147

Art. 32 DSGVO | Verantwortlicher und Auftragsverarbeiter 5 In seiner Schutzrichtung erinnert Art. 32 stark an Art. 25. Dort sind insbeson-

dere die Prinzipien von „Privacy by Design“ bzw. „Privacy by Default“ normiert1. Systematisch ergeben sich aus Art. 25 Pflichten u.a. bereits im Vorfeld der Datenverarbeitung (zu der Frage, ob es solche nach der Systematik der DSGVO eigentlich geben kann, s. Komm. zu Art. 25 DSGVO Rz. 3), während Art. 32 daran anschließend die Sicherungspflichten während des Verarbeitungsvorganges regelt. Abs. 1 enthält insofern eine nicht abschließende Aufzählung erforderlicher Maßnahmen bzw. Ansatzpunkte, denen der Gesetzgeber besondere Relevanz bei der Implementierung von Sicherheitsmaßnahmen beimisst. Hierzu zählt gemäß Abs. 1 Buchst. a neben der technischen Verschlüsselung auch die inhaltliche Pseudonymisierung (s. zu den Einzelheiten die Komm. zu Art. 25 DSGVO).

6 Abs. 1 Buchst. b und c konkretisieren die Anforderungen an die Zuverlässigkeit

der verarbeitenden Systeme dahingehend, dass diese „auf Dauer“ sicherzustellen ist; der Zugang zu personenbezogenen Daten soll im Störungsfall „rasch“ wiederhergestellt werden. Damit normiert die Vorschrift einen hohen Anspruch an ITPerformance und Back-Up-Prozesse. Wie hoch die Anforderungen sind, hängt wiederum maßgeblich von den Umständen der Verarbeitung ab. Ein Absinken unter den allgemeinen Marktstandard ist jedenfalls nur schwer zu rechtfertigen.

7 Schließlich wird in Abs. 1 Buchst. d die Verpflichtung normiert, das Sicherheits-

niveau bzw. die Angemessenheit der Maßnahmen regelmäßig zu verifizieren und zu evaluieren. Da die Pflicht zur stetigen Wahrung eines angemessenen Sicherheitsniveaus besteht, können hieraus Pflichten zur Ergänzung der Sicherheitsmaßnahmen folgen; es ist aber auch eine berechtigte Absenkung auf ein angemessenes Maß denkbar. Die erforderliche Frequenz solcher Prüfungen muss mit der initialen Risikobewertung in Einklang stehen. Gleichwohl kann sich die Notwendigkeit ergeben, im Laufe der Zeit auch insofern eine Anpassung vorzunehmen.

8 Zudem folgt aus der Vorgabe zur Gewährleistung eines angemessenen Schutz-

niveaus die Pflicht, Sicherheitsverletzungen wie Systemstörungen oder Angriffe von Dritten angemessen schnell erkennen zu können – je nach Risikolage ggf. sehr kurzfristig. Denn erst auf dieser Grundlage können Gegenmaßnahmen ergriffen werden. Auch Folgepflichten wie jene aus Art. 33 und 34 zur Information der Aufsichtsbehörde bzw. des Betroffenen knüpfen an das Bekanntwerden der Sicherheitsverletzung an. Es sind also bei der Überwachung der Datenverarbeitung spezifische Sorgfaltsanforderungen zu beachten. Erwägungsgrund 87 macht deutlich, dass grundsätzlich solche technischen und organisatorischen Maßnahmen gefordert sind, die eine sofortige Feststellung erlauben, ob es zu einem relevanten Verletzungsereignis gekommen ist. Jedenfalls bei 1 Vgl. zur Bewertung solcher Konzepte angesichts der technischen Dynamik Sydow/Kring, ZD 2014, 271.

1148

|

Grages

Sicherheit der Verarbeitung | Art. 32 DSGVO

risikogeneigten Verarbeitungen ist auch zu fordern, dass Verletzungen nicht nur auf eine Recherche hin festgestellt werden können, sondern dem Verantwortlichen bzw. dem Auftragsverarbeiter durch technische und/oder organisatorische Maßnahmen proaktiv gemeldet werden.

II. Beurteilung des angemessenen Schutzniveaus (Abs. 2) Hinweise zur risikobasierten Auslegung des Begriffes eines „angemessenen 9 Schutzniveaus“ aus Abs. 1 finden sich in Abs. 2. Danach sind insbesondere solche Risiken zu berücksichtigen, die in Vernichtung, Verlust oder Veränderung von Daten resultieren können. Ebenso kritisch ist die unbefugte Weitergabe zu bewerten. Hieraus folgt, dass Verarbeiter insbesondere den Schutz gegen Angriffe von außen beachten müssen, da Bedrohungen durch Viren und Hacking spezifische Gefahren der Datenvernichtung und des Datenverlusts mit sich bringen. Erwägungsgrund 83 besagt mit Blick auf die relevanten Risiken für den Betroffe- 10 nen, dass insbesondere zu berücksichtigen ist, ob ein Sicherheitsproblem zu einem „physischen, materiellen oder immateriellen Schaden“ führen könnte. Erwägungsgrund 75 spezifiziert, dass Risiken bei der Verarbeitung berücksichtigt werden müssen, wenn diese z.B. potentiell zu einer Diskriminierung, einem Identitätsdiebstahl oder einem Verlust der Vertraulichkeit führen können. Zudem liegen relevante Risiken nahe, wenn sensible Daten wie genetische oder Gesundheitsdaten bzw. Daten über Straftaten verarbeitet werden. Auch Daten, die Schlussfolgerungen zu persönlichen Vorlieben oder den Aufenthaltsort betreffen, lösen regelmäßig das Bedürfnis nach erhöhten Sicherheitsmaßnahmen aus. Da diese Vorgaben gleichwohl allgemein gehalten sind, ist im Endeffekt eine umfassende Interessenabwägung anzustellen. Erwägungsgrund 76 stellt klar, dass die Risikoabwägung prinzipiell objektiv, also nicht unter Berücksichtigung der subjektiven Lage im individuellen Fall, erfolgen kann und soll. In Zweifelsfällen kann bei der Risikobewertung eine Konsultation der Aufsichtsbehörde angezeigt sein, um die Angemessenheit der Sicherheitsmaßnahmen zu verifizieren, vgl. Art. 36. Einen Anhaltspunkt können auch die technischen Richtlinien des Bundesamts für Sicherheit in der Informationstechnik (BSI-TR) bieten.

III. Zertifizierungsverfahren und Verfahrensregeln (Abs. 3) Nach Abs. 3 können genehmigte Verhaltensregeln nach Art. 40 oder ein geneh- 11 migtes Zertifizierungsverfahren gemäß Art. 42 als Faktoren herangezogen werden, um die Erfüllung der in Abs. 1 und 2 genannten Anforderungen zu belegen1. 1 Vgl. zu den Zertifizierungsvorgaben Kraska, ZD 2016, 153.

Grages

|

1149

Art. 33 DSGVO | Verantwortlicher und Auftragsverarbeiter Die Konzepte innerhalb der DSGVO werden insofern sinnvoll verzahnt1. Praktisch könnten zudem in Zukunft Leitlinien des Europäischen Datenschutzausschusses (vgl. Art. 68) eine Rolle spielen, aus denen sich Kriterien bei der Risikobestimmung und der Gestaltung entsprechender Sicherheitsmaßnahmen ergeben sollen, vgl. Erwägungsgrund 77. Im Endeffekt muss allerdings vom Verantwortlichen bzw. vom Auftragsverarbeiter stets im Streitfall nachgewiesen werden, dass die anerkannten Prozesse auch eingehalten wurden.

IV. Verarbeitung durch unterstellte Personen (Abs. 4) 12 Gemäß Abs. 4 haben der Verantwortliche und der Auftragsverarbeiter schließ-

lich sicherzustellen, dass ihnen unterstellte Personen, d.h. Angestellte oder weisungsgebundene freie Mitarbeiter, nur auf Anweisung des Verantwortlichen Zugang zu personenbezogenen Daten erlangen. Abweichende Verpflichtungen aufgrund unions- oder mitgliedstaatlicher Regelungen in dieser Hinsicht bleiben aber unberührt.

13 Eine Anweisung des Auftragverarbeiters genügt nach dem Wortlaut auch

dann nicht, wenn es sich um dessen Unterwiesene handelt. Vielmehr muss die Weisung letztlich durch den Verantwortlichen erfolgen bzw. auf ihr rückführbar sein. Vor diesem Hintergrund sollte stets erwogen werden, bereits in den Vertrag zur Begründung der Auftragsverarbeitung detaillierte Regelungen über Zugangsrechte und einen Mechanismus zur Erteilung entsprechender Einzelanweisungen aufzunehmen, um später nicht Arbeitsabläufe durch aufwendige Konsultationen des letztverantwortlichen Auftraggebers zu hemmen.

Artikel 33 Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde (1) Im Falle einer Verletzung des Schutzes personenbezogener Daten meldet der Verantwortliche unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, diese der gemäß Artikel 51 zuständigen Aufsichtsbehörde, es sei denn, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Erfolgt die Meldung an die Aufsichtsbehörde nicht binnen 72 Stunden, so ist ihr eine Begründung für die Verzögerung beizufügen. 1 Vgl. auch wiederum Art. 25 Abs. 3.

1150

|

Grages

Art. 33 DSGVO | Verantwortlicher und Auftragsverarbeiter Die Konzepte innerhalb der DSGVO werden insofern sinnvoll verzahnt1. Praktisch könnten zudem in Zukunft Leitlinien des Europäischen Datenschutzausschusses (vgl. Art. 68) eine Rolle spielen, aus denen sich Kriterien bei der Risikobestimmung und der Gestaltung entsprechender Sicherheitsmaßnahmen ergeben sollen, vgl. Erwägungsgrund 77. Im Endeffekt muss allerdings vom Verantwortlichen bzw. vom Auftragsverarbeiter stets im Streitfall nachgewiesen werden, dass die anerkannten Prozesse auch eingehalten wurden.

IV. Verarbeitung durch unterstellte Personen (Abs. 4) 12 Gemäß Abs. 4 haben der Verantwortliche und der Auftragsverarbeiter schließ-

lich sicherzustellen, dass ihnen unterstellte Personen, d.h. Angestellte oder weisungsgebundene freie Mitarbeiter, nur auf Anweisung des Verantwortlichen Zugang zu personenbezogenen Daten erlangen. Abweichende Verpflichtungen aufgrund unions- oder mitgliedstaatlicher Regelungen in dieser Hinsicht bleiben aber unberührt.

13 Eine Anweisung des Auftragverarbeiters genügt nach dem Wortlaut auch

dann nicht, wenn es sich um dessen Unterwiesene handelt. Vielmehr muss die Weisung letztlich durch den Verantwortlichen erfolgen bzw. auf ihr rückführbar sein. Vor diesem Hintergrund sollte stets erwogen werden, bereits in den Vertrag zur Begründung der Auftragsverarbeitung detaillierte Regelungen über Zugangsrechte und einen Mechanismus zur Erteilung entsprechender Einzelanweisungen aufzunehmen, um später nicht Arbeitsabläufe durch aufwendige Konsultationen des letztverantwortlichen Auftraggebers zu hemmen.

Artikel 33 Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde (1) Im Falle einer Verletzung des Schutzes personenbezogener Daten meldet der Verantwortliche unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, diese der gemäß Artikel 51 zuständigen Aufsichtsbehörde, es sei denn, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Erfolgt die Meldung an die Aufsichtsbehörde nicht binnen 72 Stunden, so ist ihr eine Begründung für die Verzögerung beizufügen. 1 Vgl. auch wiederum Art. 25 Abs. 3.

1150

|

Grages

Meldung von Verletzungen an die Aufsichtsbehörde | Art. 33 DSGVO

(2) Wenn dem Auftragsverarbeiter eine Verletzung des Schutzes personenbezogener Daten bekannt wird, meldet er diese dem Verantwortlichen unverzüglich. (3) Die Meldung gemäß Absatz 1 enthält zumindest folgende Informationen: a) eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen, der betroffenen Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze; b) den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen; c) eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten; d) eine Beschreibung der von dem Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen. (4) Wenn und soweit die Informationen nicht zur gleichen Zeit bereitgestellt werden können, kann der Verantwortliche diese Informationen ohne unangemessene weitere Verzögerung schrittweise zur Verfügung stellen. (5) Der Verantwortliche dokumentiert Verletzungen des Schutzes personenbezogener Daten einschließlich aller im Zusammenhang mit der Verletzung des Schutzes personenbezogener Daten stehenden Fakten, von deren Auswirkungen und der ergriffenen Abhilfemaßnahmen. Diese Dokumentation muss der Aufsichtsbehörde die Überprüfung der Einhaltung der Bestimmungen dieses Artikels ermöglichen. I. Meldepflicht der verantwortlichen Stelle (Abs. 1) . . . . . . . . 1 II. Meldepflicht des Auftragsverarbeiters (Abs. 2) . . . . . . . . 10

III. Inhaltliche Vorgaben an die Meldung (Abs. 3 und 4) . . . 13 IV. Dokumentationspflicht (Abs. 5) . . . . . . . . . . . . . . . . . . 17

Schrifttum: Gierschmann, Was „bringt“ deutschen Unternehmen die DSGVO – Mehr Pflichten, aber die Rechtsunsicherheit bleibt, ZD 2016, 51.

I. Meldepflicht der verantwortlichen Stelle (Abs. 1) Art. 33 normiert Verpflichtungen, wenn es zur „Verletzung des Schutzes per- 1 sonenbezogener Daten“ gekommen ist. Art. 4 Nr. 12 definiert ein solches Ereignis als „Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Grages

|

1151

Art. 33 DSGVO | Verantwortlicher und Auftragsverarbeiter Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden.“ Es geht also um sog. „Datenpannen“ und „Datenlecks“. Entsprechend einzuordnen sind einerseits Konstellationen wie Systemabstürze und andere (ggf. durch Dritteinflüsse ausgelöste) technische Probleme, die zu Datenverlusten oder -veränderungen geführt haben. Andererseits können auch gezielte Angriffe wie Hacking oder Datendiebstahl Meldepflichten auslösen. Eine vergleichbare Pflicht findet sich in § 42a BDSG, der daneben auch den Regelungsbereich des Art. 34 (Information des Betroffenen) betrifft. Die Meldepflichten wurden in der DSGVO im Vergleich zum BDSG allerdings deutlich erweitert. 2 Um eine angemessene Reaktion der Behörden zu gewährleisten (zur Information

des Betroffenen s. Art. 34), soll der Verantwortliche die angesprochenen Ereignisse grundsätzlich der gemäß Art. 51 zuständigen Aufsichtsbehörde melden. Auf Grundlage der Informationen kann diese dann weitere Maßnahmen im Rahmen ihrer Befugnisse erwägen. Wesentlich ist, dass personenbezogene Daten im Verantwortungsbereich der verantwortlichen Stelle verloren gehen, verändert werden oder in die Hände Dritter gelangen. Eine Erheblichkeitsschwelle ist grundsätzlich nicht vorgesehen, insbesondere ist keine Beschränkung auf „Risikodaten“ wie in § 42a BDSG vorgesehen. Gleichwohl muss nicht jedes Ereignis gemeldet werden, vgl. Rz. 6.

3 Die Meldung muss unverzüglich gemacht werden, möglichst innerhalb von 72

Stunden1. Hinsichtlich des Fristbeginns für die Meldung wird auf die Kenntnis des Verantwortlichen abgestellt. Eine ausdrückliche Vorgabe, wie schnell Verletzungen der Sicherheit bzw. des Schutzes personenbezogener Daten entdeckt werden müssen, beinhaltet die Norm nicht. Praktisch werden die Anforderungen sehr stark von der Risikogeneigtheit der Verarbeitung abhängen. Es ist daher zu berücksichtigen, dass ggf. hohe Sorgfaltspflichten in Bezug auf die Fähigkeit zum Erkennen sicherheitsrelevanter Ereignisse bestehen können, s. Komm. zu Art. 32 DSGVO Rz. 8. Spätestens, wenn der Verantwortliche z.B. von Angestellten, dem Auftragsverarbeiter oder Dritten auf das Ereignis hingewiesen wurde, muss es als bekannt gelten oder zumindest unmittelbare Nachforschungen zur Verifikation auslösen, vgl. zur Meldeplicht des Auftragsverarbeiters Abs. 2.

4 Da eine „unverzügliche“ Meldung vorgesehen ist, die i.S.v. § 121 Abs. 1 BGB

kein schuldhaftes Zögern erlaubt, sollte der Zeithorizont von 72 Stunden nach Möglichkeit nicht ausgeschöpft werden. Er deutet aber die Erwartungshaltung des Gesetzgebers an, dass der Verantwortliche über Mechanismen verfügen soll, die eine Meldung innerhalb dieser Frist ermöglichen. Je nach Schwere des Ereignisses kann die Regelhöchstfrist von 72 Stunden auch bereits unangemessen lang erscheinen und ein schuldhaftes Zögern durchaus nahelegen, vgl. Erwägungsgrund 87: „Bei der Feststellung, ob die Meldung unverzüglich erfolgt ist, sollten die Art und Schwere der Verletzung des Schutzes personenbezogener 1 Im ursprünglichen Kommissionsentwurf war noch eine Frist von 24 Stunden vorgesehen.

1152

|

Grages

Meldung von Verletzungen an die Aufsichtsbehörde | Art. 33 DSGVO

Daten sowie deren Folgen und nachteilige Auswirkungen für die betroffene Person berücksichtigt werden.“ Soweit eine Meldung innerhalb von 72 Stunden im konkreten Fall nicht möglich 5 ist, müssen die Informationen schnellstmöglich und ggf. schrittweise übermittelt werden, vgl. Abs. 4. Die Verzögerung über die 72-Stunden-Frist hinaus ist zu begründen. Erwägungsgrund 85 spricht insofern die „Rechenschaftspflicht“ der verantwortlichen Stelle an, vgl. Art. 5 Abs. 2. Nicht zuletzt, da die Begründung „beigefügt“ werden muss, ist die Meldung im Zweifel schriftlich bzw. in Textform bei der Aufsichtsbehörde zu machen. Die Meldepflicht steht unter dem Vorbehalt eines prognostizierten Risikos im 6 Einzelfall. Es muss ausnahmsweise keine Kontaktaufnahme mit der Aufsichtsbehörde erfolgen, wenn das Ereignis voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen, also insbesondere der Betroffenen, führt1. Eigentlich liegt eine solche Beurteilung im Regelungszusammenhang eher fern, da eine „Verletzung der Sicherheit“ (vgl. Definition in Rz. 1) unzureichende Sicherheitsmaßnahmen nach Art. 32 nahelegt, die ihrerseits bereits auf einer Risikoeinschätzung beruhen sollen; die Maßnahmen und deren Integrität sollten also erforderlich sein, um Risiken für den Betroffenen zu begegnen und Sicherheitsverletzungen müssten in der Folge risikorelevant sein. Im Endeffekt soll dieser Regelungsaspekt aber eine gewisse Flexibilität schaffen, wenn praktisch keine Beeinträchtigungen zu erwarten sind. Die entsprechende Prognoseeinschätzung muss die verantwortliche Stelle in 7 eigener Verantwortung treffen; sie trägt dabei das Risiko, dass die Aufsichtsbehörde die Einschätzung ggf. nach anderweitigem Bekanntwerden des Ereignisses nicht teilt. Angesichts der drohenden Bußgelder (vgl. Art. 83 Abs. 4 Buchst. a) bei versäumten oder verspäteten Meldungen spricht viel für ein niederschwelliges Meldeverhalten. Wegen der Schwierigkeit, innerhalb von 72 Stunden das Verletzungsereignis bzw. die Risiken für die Betroffenen endgültig einschätzen zu können, wird häufig eine vorsorgliche Meldung und ggf. die schrittweise Nachreichung von Details angezeigt sein, vgl. Rz. 162. Lediglich „alltägliche“ Ereignisse müssen in diesem Sinne nicht gemeldet werden. Wenn z.B. ein System aus technischen Gründen abstürzt und dadurch bestimmte Daten verloren gehen, auf die voraussichtlich weder der Verantwortliche noch der Betroffene angewiesen sind, dürfte eine Meldung nicht erforderlich sein. Eine Meldung wegen drohender Kenntnisnahme durch Dritte könnte bei Beto- 8 nung des Risikogesichtspunkts darüber hinaus nicht als erforderlich anzusehen sein, wenn das Risiko für den oder die Betroffenen i.S.d. Art. 34 Abs. 3 Buchst. a relativiert ist, wenn also Verschlüsselungsmaßnahmen einen Datenmissbrauch 1 Die Regelung ist dabei strenger als Art. 34 Abs. 1, der eine Information des Betroffenen nur bei einem „hohen“ Risiko fordert. 2 Gierschmann, ZD 2016, 51 (53).

Grages

|

1153

Art. 33 DSGVO | Verantwortlicher und Auftragsverarbeiter praktisch ausschließen. Gleichwohl spricht der mangelnde Verweis systematisch gegen ein solches Verständnis. Zudem erscheint es sinnvoll, die Aufsichtsbehörde auch dann informieren zu müssen, wenn ggf. eine Information des oder der Betroffenen entbehrlich erscheint, da die Aufsichtsbehörde auf einen umfassenden Überblick über sicherheitsrelevante Ereignisse angewiesen ist, um ihre Aufsichtspraxis hieran ausrichten zu können. 9 Gemäß Art. 70 Abs. 1 Buchst. g ist der Europäische Datenschutzausschuss (vgl.

Art. 68) dazu berufen, Leitlinien und Empfehlungen zu erlassen. Hierdurch sollen verbindliche Kriterien geschaffen werden zur Feststellung relevanter Verletzungen, bei der Beurteilung der „Unverzüglichkeit“ und in Bezug auf solche Umstände, unter denen der Verantwortliche (oder der Auftragsverarbeiter, s. dazu Abs. 2) angesichts der Risiken eine Meldung zu machen hat. Diese Vorgaben werden die Unternehmenspraxis wesentlich prägen.

II. Meldepflicht des Auftragsverarbeiters (Abs. 2) 10 Abs. 2 beinhaltet die Verpflichtung für den Auftragsverarbeiter, Verletzungen

des Schutzes personenbezogener Daten unverzüglich, also wiederum ohne schuldhaftes Zögern, an den Verantwortlichen zu melden. Auch insofern ist ein Verstoß bußgeldbewährt, vgl. Art. 83 Abs. 4 Buchst. a. Der Verantwortliche ist dann auf Grundlage der Meldung in der Lage, seinen Verpflichtungen gegenüber der Aufsichtsbehörde nachzukommen. Da dem Verantwortlichen die Entscheidung obliegt, ob eine Meldung im Einzelfall angesichts der konkreten Risiken erforderlich ist, ist der Auftragsverarbeiter zur Meldung jedes sicherheitsrelevanten Ereignisses verpflichtet. Da ihm kein Beurteilungsspielraum zusteht und er keine ggf. zeitaufwendige Abwägungsentscheidung zu treffen hat, ist in der Regel eine unmittelbare Mitteilung an den Auftraggeber zu fordern.

11 Bezugspunkt der Pflicht zur unverzüglichen Meldung ist wiederum die Kenntnis

des Auftragsverarbeiters. Auch er ist im Rahmen der obligatorischen Gewährleistung einer sicheren Verarbeitung verpflichtet, Vorkehrungen zu treffen, um angemessen schnell Kenntnis von relevanten Ereignissen zu erlangen, s. Komm. zu § 32 DSGVO Rz. 8.

12 Soweit eine Meldung des Verantwortlichen an der fehlenden Mitteilung durch

den Auftragsverarbeiter scheitert bzw. sich verzögert, erscheint eine Zurechnung des Fehlverhaltens des Beauftragten grundsätzlich nicht angezeigt; beide Normadressaten sind individuell unter Art. 33 für ihren Verantwortungsbereich haftbar. Gleichwohl kann sich der Verantwortliche nicht darauf zurückziehen, die Verarbeitung durch Auftragsverarbeiter entziehe sich seiner Kontrolle und er sei schlechthin auf Meldungen des Auftragsverarbeiters angewiesen. Vielmehr ist er verpflichtet, sich in angemessenen Intervallen von der Sicherheit der Verarbeitung durch seinen Auftragnehmer zu überzeugen und ggf. Sicher1154

|

Grages

Meldung von Verletzungen an die Aufsichtsbehörde | Art. 33 DSGVO

heitsverletzungen selbst aufzudecken, vgl. das Inspektionsrecht als obligatorischen Bestandteil eines Auftragsdatenverarbeitungsvertrags (Art. 28 Abs. 3 Buchst. h).

III. Inhaltliche Vorgaben an die Meldung (Abs. 3 und 4) Die DSGVO macht Mindestvorgaben, welche Angaben in der Meldung des Ver- 13 antwortlichen an die Aufsichtsbehörde enthalten sein müssen: – Eine Beschreibung des konkreten Ereignisses, soweit möglich unter Angabe der betroffenen Personen und Datensätze (jeweils nach Kategorie und Anzahl) – Benennung des Datenschutzbeauftragten oder einer anderen Kontaktperson – Beschreibung der wahrscheinlichen Folgen des Ereignisses – Beschreibung der ergriffenen oder zumindest vorgeschlagenen Maßnahmen zur Begegnung und ggf. Behebung des Problems sowie zur Abmilderung der Folgen des Ereignisses. Erwägungsgrund 88 verdeutlicht, dass bei der Bestimmung eines angemessenen 14 Umfangs der Meldung Berücksichtigung finden sollte, ob die personenbezogenen Daten durch geeignete technische Sicherheitsvorkehrungen geschützt waren, die die Wahrscheinlichkeit eines Identitätsbetrugs oder anderer Formen des Datenmissbrauchs wirksam verringern. Ist dies nicht der Fall, erhöhen sich die Anforderungen an die Meldung, da die Aufsichtsbehörde dann gefordert ist, entsprechende Maßnahmen zu ergreifen bzw. zu initiieren und hierfür auf umfassendere Informationen angewiesen ist. Auch die Strafverfolgungsbehörden sind ggf. auf detaillierte Angaben angewiesen, was die Anforderungen an eine hinreichende Meldung beeinflussen kann. Art. 40 Abs. 2 Buchst. i stellt klar, dass Verbände und Vereinigungen im Bereich 15 Datenschutz im Sinne der regulierten Selbstregulierung Verhaltensregeln aufstellen können, um die Anforderungen an Meldungen zu präzisieren. Auch der Europäische Datenschutzausschuss kann hierzu Empfehlungen aussprechen, s. Art. 70 Abs. 1 Buchst. g. Soweit eine komplette Meldung (ggf. unter Nennung weiterer Details, wenn 16 möglich und sinnvoll) nicht in einem Schritt abgegeben werden kann, eröffnet Abs. 4 die Möglichkeit bzw. die Pflicht, die Informationen schrittweise zur Verfügung zu stellen. Diese Befugnis sollte nicht überdehnt werden, um der Aufsichtsbehörde eine sinnvolle und schnelle Reaktion zu ermöglichen. Gleichwohl müssen die Informationsschritte nicht unverzüglich aufeinander folgen, der Wortlaut erfordert hier lediglich, dass keine „unangemessene weitere Verzögerung“ erfolgt. Grages

|

1155

Art. 34 DSGVO | Verantwortlicher und Auftragsverarbeiter IV. Dokumentationspflicht (Abs. 5) 17 Über die ggf. erforderliche Meldung bei der Aufsichtsbehörde hinaus soll der

Verantwortliche (alle) Verletzungen des Schutzes personenbezogener Daten dokumentieren, vgl. zu allgemeinen Dokumentationspflichten auch Art. 30. Die mit dem sicherheitsrelevanten Ereignis zusammenhängenden Umstände, Auswirkungen und Abhilfemaßnahmen sind ebenfalls niederzulegen. Neben der Auswertung im Eigeninteresse soll dies der Aufsichtsbehörde im Nachgang ermöglichen, die Einhaltung der Vorgaben des Art. 33 zu überprüfen. Daneben kann die Dokumentation dazu dienen, den sorgfältigen Umgang mit personenbezogenen Daten und den damit verbundenen Risiken im Allgemeinen nachvollziehen zu können.

18 Anders als in § 42a Satz 6 BDSG enthält Art. 33 keine Klarstellung, dass Mel-

dungen an die Behörden grundsätzlich nicht in Straf- und vergleichbaren Verfahren gegen den Verantwortlichen (als natürliche Person) verwendet werden können. Die rechtsstaatliche Garantie, sich nicht selbst belasten zu müssen, ist ergänzend in die Norm hineinzulesen, vgl. Komm. zu § 42a BDSG.

Artikel 34 Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person (1) Hat die Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge, so benachrichtigt der Verantwortliche die betroffene Person unverzüglich von der Verletzung. (2) Die in Absatz 1 genannte Benachrichtigung der betroffenen Person beschreibt in klarer und einfacher Sprache die Art der Verletzung des Schutzes personenbezogener Daten und enthält zumindest die in Artikel 33 Absatz 3 Buchstaben b, c und d genannten Informationen und Maßnahmen. (3) Die Benachrichtigung der betroffenen Person gemäß Absatz 1 ist nicht erforderlich, wenn eine der folgenden Bedingungen erfüllt ist: a) der Verantwortliche geeignete technische und organisatorische Sicherheitsvorkehrungen getroffen hat und diese Vorkehrungen auf die von der Verletzung betroffenen personenbezogenen Daten angewandt wurden, insbesondere solche, durch die die personenbezogenen Daten für alle Personen, die nicht zum Zugang zu den personenbezogenen Daten befugt sind, unzugänglich gemacht werden, etwa durch Verschlüsselung; 1156

|

Grages

Art. 34 DSGVO | Verantwortlicher und Auftragsverarbeiter IV. Dokumentationspflicht (Abs. 5) 17 Über die ggf. erforderliche Meldung bei der Aufsichtsbehörde hinaus soll der

Verantwortliche (alle) Verletzungen des Schutzes personenbezogener Daten dokumentieren, vgl. zu allgemeinen Dokumentationspflichten auch Art. 30. Die mit dem sicherheitsrelevanten Ereignis zusammenhängenden Umstände, Auswirkungen und Abhilfemaßnahmen sind ebenfalls niederzulegen. Neben der Auswertung im Eigeninteresse soll dies der Aufsichtsbehörde im Nachgang ermöglichen, die Einhaltung der Vorgaben des Art. 33 zu überprüfen. Daneben kann die Dokumentation dazu dienen, den sorgfältigen Umgang mit personenbezogenen Daten und den damit verbundenen Risiken im Allgemeinen nachvollziehen zu können.

18 Anders als in § 42a Satz 6 BDSG enthält Art. 33 keine Klarstellung, dass Mel-

dungen an die Behörden grundsätzlich nicht in Straf- und vergleichbaren Verfahren gegen den Verantwortlichen (als natürliche Person) verwendet werden können. Die rechtsstaatliche Garantie, sich nicht selbst belasten zu müssen, ist ergänzend in die Norm hineinzulesen, vgl. Komm. zu § 42a BDSG.

Artikel 34 Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person (1) Hat die Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge, so benachrichtigt der Verantwortliche die betroffene Person unverzüglich von der Verletzung. (2) Die in Absatz 1 genannte Benachrichtigung der betroffenen Person beschreibt in klarer und einfacher Sprache die Art der Verletzung des Schutzes personenbezogener Daten und enthält zumindest die in Artikel 33 Absatz 3 Buchstaben b, c und d genannten Informationen und Maßnahmen. (3) Die Benachrichtigung der betroffenen Person gemäß Absatz 1 ist nicht erforderlich, wenn eine der folgenden Bedingungen erfüllt ist: a) der Verantwortliche geeignete technische und organisatorische Sicherheitsvorkehrungen getroffen hat und diese Vorkehrungen auf die von der Verletzung betroffenen personenbezogenen Daten angewandt wurden, insbesondere solche, durch die die personenbezogenen Daten für alle Personen, die nicht zum Zugang zu den personenbezogenen Daten befugt sind, unzugänglich gemacht werden, etwa durch Verschlüsselung; 1156

|

Grages

Benachrichtigung des Betroffenen bei Verletzungen | Art. 34 DSGVO

b) der Verantwortliche durch nachfolgende Maßnahmen sichergestellt hat, dass das hohe Risiko für die Rechte und Freiheiten der betroffenen Personen gemäß Absatz 1 aller Wahrscheinlichkeit nach nicht mehr besteht; c) dies mit einem unverhältnismäßigen Aufwand verbunden wäre. In diesem Fall hat stattdessen eine öffentliche Bekanntmachung oder eine ähnliche Maßnahme zu erfolgen, durch die die betroffenen Personen vergleichbar wirksam informiert werden. (4) Wenn der Verantwortliche die betroffene Person nicht bereits über die Verletzung des Schutzes personenbezogener Daten benachrichtigt hat, kann die Aufsichtsbehörde unter Berücksichtigung der Wahrscheinlichkeit, mit der die Verletzung des Schutzes personenbezogener Daten zu einem hohen Risiko führt, von dem Verantwortlichen verlangen, dies nachzuholen, oder sie kann mit einem Beschluss feststellen, dass bestimmte der in Absatz 3 genannten Voraussetzungen erfüllt sind. I. Benachrichtigungspflicht des Verantwortlichen (Abs. 1) . . . . II. Inhaltliche Vorgaben an die Benachrichtigung (Abs. 2) . . . .

1 7

III. Entbehrlichkeit der Benachrichtigung (Abs. 3) . . . . . . . . . 10 IV. Entscheidung über die Benachrichtigungspflicht durch die Aufsichtsbehörde (Abs. 4) . . . . 12

I. Benachrichtigungspflicht des Verantwortlichen (Abs. 1) Art. 34 betrifft Benachrichtigungspflichten, wenn bestimmte sicherheitsrele- 1 vante Ereignisse zu einer „Verletzung des Schutzes personenbezogener Daten“ geführt haben, zu diesem Begriff s. Komm. zu Art. 33 DSGVO Rz. 1 sowie die Definition in Art. 4 Nr. 12. Die Regelung ergänzt also spezifisch mit Blick auf „Datenpannen“ oder „Datenlecks“ die allgemeinen Informationspflichten gegenüber dem Betroffenen aus Art. 13 und 14. Ereignisse wie gehackte E-Mail- oder Bankkonten können für den Betroffenen 2 gravierende Folgen haben. Erwägungsgrund 85 spricht physische, materielle oder immaterielle Schäden an, z.B. den Verlust der Kontrolle über eigene personenbezogene Daten, Diskriminierung, Identitätsdiebstahl oder -betrug, finanzielle Verluste, unbefugte Aufhebung einer Pseudonymisierung, Rufschädigung, Verlust der Vertraulichkeit bei einem Berufsgeheimnis unterliegenden Daten oder andere wirtschaftliche oder gesellschaftliche Nachteile. Dies gilt vor allem, wenn der Betroffene nicht rechtzeitig und adäquat reagieren kann. Vor diesem Hintergrund bestimmt Art. 34, dass der Betroffene informiert wer- 3 den muss, wenn seine personenbezogenen Daten Gegenstand eines sicherheitsrelevanten Ereignisses waren. Die Regelungen unter der DSGVO verschärfen die Pflichten im Gegensatz zur Lage unter dem BDSG insbesondere, da potentiell Grages

|

1157

Art. 34 DSGVO | Verantwortlicher und Auftragsverarbeiter alle personenbezogenen Daten (und nicht nur bestimmte Risikokategorien) relevant sind. Zudem kann nicht nur die unrechtmäßige Offenlegung an Dritte die Benachrichtigungspflicht auslösen, sondern auch interne und nicht zwingend im engeren Sinne unrechtmäßige Ereignisse (z.B. Datenverlust), vgl. die Komm. zu § 42a BDSG. Erwägungsgrund 86 macht deutlich, dass die Benachrichtigung den Betroffenen insbesondere in die Lage versetzen soll, „die erforderlichen Vorkehrungen treffen [zu] können.“ 4 Indes soll diese Pflicht gemäß Art. 34 Abs. 1 nicht immer gelten, sondern nur,

wenn „voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten“ als Folge des Ereignisses besteht. Die Schwelle zur Informationspflicht liegt also höher als im Rahmen der Meldepflicht gegenüber der Aufsichtsbehörde nach Art. 33; dort ist bei jedem Risiko Mitteilung zu machen. Anders als eine Aufsichtsbehörde, die sich einen Überblick über den allgemeinen Sicherheitsstandard machen soll, wäre eine Information der Betroffenen in jedem auch nur potentiell risikobehafteten Fall eher kontraproduktiv, da sie wohl einen allgemeinen Vertrauensverlust befördern würde1. Zudem ist die Meldung an eine Aufsichtsbehörde in der Regel mit deutlich weniger Aufwand verbunden als eine Information aller Betroffenen; die Abstufung berücksichtigt also auch die administrative Belastung des Verantwortlichen.

5 Gemäß Art. 70 Abs. 1 Buchst. h soll der Europäische Datenschutzausschuss (vgl.

Art. 68) Leitlinien und Empfehlungen bereitstellen, um zu beurteilen, wann eine Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Diese Hilfestellungen werden praktisch eine große Rolle spielen, um die Ungewissheit in diesem Bereich zu lindern. Der Verantwortliche ist jedenfalls für seine eigene Einschätzung verantwortlich, was zu einem Bußgeldrisiko führt, wenn die Aufsichtsbehörde im Endeffekt anderer Ansicht ist, vgl. Art. 83 Abs. 4 Buchst. a. Erstaunlicherweise droht im Vergleich zu einem Verstoß gegen die allgemeinen Informationspflichten nach Art. 12 ff. bei einer versäumten oder verspäteten Benachrichtigung wegen konkreter Verletzungen nur der niedrigere Bußgeldrahmen des Art. 83.

6 Die Benachrichtigung soll bei einem relevanten Risiko „unverzüglich“ erfolgen,

also i.S.v. § 121 Abs. 1 BGB ohne schuldhaftes Zögern. Je nach Ereignis kann eine besonders schnelle Benachrichtigung geboten sein, wenn z.B. Drittzugriffe auf E-Mail- oder Bankkonten drohen. Soweit es eher um eine latente und weniger einschneidende Gefährdungslage geht, mag im Einzelfall eine längere Benachrichtigungsfrist zur Verfügung stehen. Eine Orientierung an Art. 33 1 Bereits in der Entwurfsfassung der Kommission war ein abgestuftes Konzept in Bezug auf die Meldung an die Aufsichtsbehörde und die Information des Betroffenen vorgesehen. Gleichwohl war dort im Grunde noch eine Benachrichtigung bei jeder Beeinträchtigung der Privatsphäre angelegt.

1158

|

Grages

Benachrichtigung des Betroffenen bei Verletzungen | Art. 34 DSGVO

Abs. 3 legt nahe, dass ein Zeitraum von 72 Stunden nur im Ausnahmefall überschritten werden darf.

II. Inhaltliche Vorgaben an die Benachrichtigung (Abs. 2) Abs. 2 bestimmt, dass die Benachrichtigung „in klarer und einfacher Sprache 7 die Art der Verletzung des Schutzes personenbezogener Daten“ beschreiben muss, vgl. insofern auch die allgemeinen Bestimmungen zu Transparenz, Information und Kommunikation in Art. 12 Abs. 1. Entscheidend ist, dass der Betroffene verstehen kann, was passiert ist, um einzuschätzen, welche Risiken für ihn durch das Ereignis bestehen und welche Maßnahmen er ergreifen kann. Die Nachricht muss neben der Angabe zur Art der Verletzung zumindest folgende Informationen enthalten, vgl. Art. 33 Abs. 3 Buchst. b, c und d: – Benennung des Datenschutzbeauftragten oder einer anderen Kontaktperson – Beschreibung der wahrscheinlichen Folgen des Ereignisses – Beschreibung der ergriffenen oder zumindest vorgeschlagenen Maßnahmen zur Begegnung und ggf. Behebung des Problems sowie zur Abmilderung der Folgen des Ereignisses. Eine ausdrückliche Verpflichtung, den Betroffenen per „Rechtsbelehrung“ auf seine Betroffenen- und Beschwerderechte hinzuweisen, wie in Bezug auf die allgemeinen Informationspflichten in Art. 13 Abs. 2 Buchst. b und d bzw. Art. 14 Abs. 2 Buchst. c und e vorgesehen, beinhaltet Art. 34 nicht. Dies überrascht etwas, da die Ausübung solcher Rechte in der Konstellation einer akuten Sicherheitsverletzung eigentlich besonders naheliegend erscheint. Man kann aus der Vorgabe an den Verantwortlichen in Art. 12 Abs. 2, dem Betroffenen grundsätzlich die Ausübung seiner Rechte zu erleichtern, aber durchaus ableiten, dass ein Hinweis auf die Betroffenenrechte der Art. 12 ff. regelmäßig geboten erscheint. Auch ein Hinweis auf die Rechtsbehelfe nach Art. 77 ff. erscheint nicht unbillig; insofern ist allerdings das Interesse des Verantwortlichen zu beachten, nicht proaktiv auf rechtliche Maßnahmen und Verfahren zu seinem Nachteil hinzuwirken. Erwägungsgrund 88 stellt klar, dass in Bezug auf den Inhalt der Benachrichtigung 8 die Abstimmung mit der Aufsichtsbehörde und ggf. mit den Strafverfolgungsbehörden gesucht werden soll, z.B. um den Betroffenen hilfreiche Informationen an die Hand zu geben. Art. 40 Abs. 2 Buchst. i regelt außerdem, dass Verbände und Vereinigungen im Bereich des Datenschutzes Verhaltensregeln aufstellen können, um die Anforderungen an Benachrichtigungen zu präzisieren. Eine Vorgabe an die Form der Benachrichtigung beinhaltet die Norm nicht, 9 Art. 12 Abs. 1 bestätigt vielmehr die grundsätzliche Formfreiheit (zu den AnforGrages

|

1159

Art. 34 DSGVO | Verantwortlicher und Auftragsverarbeiter derungen bei der Unverhältnismäßigkeit der individuellen Benachrichtigung s. Rz. 10). Insofern erscheint in der Regel eine Information in Schrift- oder Textform angemessen; es kommt aber natürlich immer darauf an, welche Kontaktmöglichkeiten dem Verantwortlichen auf Grundlage seines Datenbestandes überhaupt offenstehen. Wenn z.B. nur eine Telefonnummer vorliegt, ist eine telefonische Kontaktaufnahme zu fordern. Ggf. kann dann eine Identitätsprüfung erforderlich sein, bevor konkrete Angaben übermittelt werden, vgl. die Komm. zu Art. 12 Abs. 1 DSGVO. Die Benachrichtigung ist für den Betroffenen in jedem Fall unentgeltlich, vgl. Art. 12 Abs. 5.

III. Entbehrlichkeit der Benachrichtigung (Abs. 3) 10 Unter bestimmten Voraussetzungen ist die Benachrichtigung der betroffenen

Person – trotz eines hohen Risikos für deren persönliche Rechte und Freiheiten – entbehrlich. Dies gilt in folgenden Konstellationen:

– Der Verantwortliche hat in Bezug auf die vom sicherheitsrelevanten Ereignis betroffenen Daten vorab geeignete Sicherheitsvorkehrungen getroffen, die einen Drittzugriff ausschließen, z.B. durch Verschlüsselung1. In einem solchen Fall kann sich das Risiko für die Betroffenen also praktisch nicht verwirklichen. – Der Verantwortliche hat durch nachträgliche Maßnahmen dafür gesorgt, dass das hohe Risiko für die Betroffenen „aller Wahrscheinlichkeit nach“ nicht mehr besteht. Denkbar wäre z.B., dass entwendete Zugangsdaten durch neue Daten ersetzt sowie das Datenleck geschlossen und damit der unbefugte Zugang faktisch ausgeschlossen wurde. Der Umstand, dass das relevante Risiko nur „wahrscheinlich“ ausgeschlossen wurde, begünstigt den Verantwortlichen entscheidend, setzt aber andererseits auch einen wirksamen Anreiz, nachträgliche Maßnahmen zu ergreifen. – Wenn eine individuelle Benachrichtigung einen unverhältnismäßigen Aufwand bedeuten würde, ist auch eine öffentliche Bekanntmachung zulässig, wenn hierdurch eine wirksame Information der Betroffenen gewährleistet wird. Denkbar ist insofern eine Bekanntmachung in den Medien, z.B. über Zeitungsanzeigen oder ggf. auch über die Unternehmenswebsite. Ein möglicher Anwendungsfall wären Ereignisse, die alle Kunden eines Telekommunikationsanbieters betreffen, aber keine individuelle Ansprache zur Erläuterungen spezifischer Gegenmaßnahmen erfordern. 11 Das Recht zur öffentlichen Bekanntmachung gilt im Zweifel auch, wenn eine in-

dividuelle Ansprache schlicht unmöglich ist, weil keine Kontaktdaten (mehr)

1 In der Entwurfsfassung der Kommission war noch der Vorbehalt vorgesehen, dass die Vorkehrungen „zur Zufriedenheit der Aufsichtsbehörde“ nachgewiesen werden sollten.

1160

|

Grages

Datenschutz-Folgenabschätzung | Art. 35 DSGVO

zur Verfügung stehen. Diesem Gedanken entsprechend besteht allerdings die Pflicht zur Information trotz mangelnder Kontaktdaten grundsätzlich fort, soweit ein relevantes Risiko für den Betroffenen gegeben ist.

IV. Entscheidung über die Benachrichtigungspflicht durch die Aufsichtsbehörde (Abs. 4) Soweit der Verantwortliche noch keine Benachrichtigung vorgenommen hat, ist 12 die Aufsichtsbehörde, die ihrerseits bereits über das Ereignis informiert ist, berechtigt, eine Verpflichtung zur Benachrichtigung im konkreten Fall auszusprechen. Hierzu nimmt die Behörde eine eigene Bewertung vor, ob hohe Risiken für die Betroffenen bestehen. Außerdem ist die Aufsichtsbehörde befugt, per Beschluss festzustellen, ob im konkreten Fall hinreichende Maßnahmen getroffen wurden, die eine (individuelle) Benachrichtigung gemäß Abs. 3 entbehrlich machen.

Abschnitt 3 Datenschutz-Folgenabschätzung und vorherige Konsultation

Artikel 35 Datenschutz-Folgenabschätzung (1) Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so führt der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch. Für die Untersuchung mehrerer ähnlicher Verarbeitungsvorgänge mit ähnlich hohen Risiken kann eine einzige Abschätzung vorgenommen werden. (2) Der Verantwortliche holt bei der Durchführung einer Datenschutz-Folgenabschätzung den Rat des Datenschutzbeauftragten, sofern ein solcher benannt wurde, ein. (3) Eine Datenschutz-Folgenabschätzung gemäß Absatz 1 ist insbesondere in folgenden Fällen erforderlich: a) systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung einschließlich Profiling gründet und die ihrerseits als Grundlage für Entscheidungen Grages/von dem Bussche

|

1161

Datenschutz-Folgenabschätzung | Art. 35 DSGVO

zur Verfügung stehen. Diesem Gedanken entsprechend besteht allerdings die Pflicht zur Information trotz mangelnder Kontaktdaten grundsätzlich fort, soweit ein relevantes Risiko für den Betroffenen gegeben ist.

IV. Entscheidung über die Benachrichtigungspflicht durch die Aufsichtsbehörde (Abs. 4) Soweit der Verantwortliche noch keine Benachrichtigung vorgenommen hat, ist 12 die Aufsichtsbehörde, die ihrerseits bereits über das Ereignis informiert ist, berechtigt, eine Verpflichtung zur Benachrichtigung im konkreten Fall auszusprechen. Hierzu nimmt die Behörde eine eigene Bewertung vor, ob hohe Risiken für die Betroffenen bestehen. Außerdem ist die Aufsichtsbehörde befugt, per Beschluss festzustellen, ob im konkreten Fall hinreichende Maßnahmen getroffen wurden, die eine (individuelle) Benachrichtigung gemäß Abs. 3 entbehrlich machen.

Abschnitt 3 Datenschutz-Folgenabschätzung und vorherige Konsultation

Artikel 35 Datenschutz-Folgenabschätzung (1) Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so führt der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch. Für die Untersuchung mehrerer ähnlicher Verarbeitungsvorgänge mit ähnlich hohen Risiken kann eine einzige Abschätzung vorgenommen werden. (2) Der Verantwortliche holt bei der Durchführung einer Datenschutz-Folgenabschätzung den Rat des Datenschutzbeauftragten, sofern ein solcher benannt wurde, ein. (3) Eine Datenschutz-Folgenabschätzung gemäß Absatz 1 ist insbesondere in folgenden Fällen erforderlich: a) systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung einschließlich Profiling gründet und die ihrerseits als Grundlage für Entscheidungen Grages/von dem Bussche

|

1161

Art. 35 DSGVO | Verantwortlicher und Auftragsverarbeiter dient, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlich erheblicher Weise beeinträchtigen; b) umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten gemäß Artikel 9 Absatz 1 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 oder c) systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche. (4) Die Aufsichtsbehörde erstellt eine Liste der Verarbeitungsvorgänge, für die gemäß Absatz 1 eine Datenschutz-Folgenabschätzung durchzuführen ist, und veröffentlicht diese. Die Aufsichtsbehörde übermittelt diese Listen dem in Artikel 68 genannten Ausschuss. (5) Die Aufsichtsbehörde kann des Weiteren eine Liste der Arten von Verarbeitungsvorgängen erstellen und veröffentlichen, für die keine Datenschutz-Folgenabschätzung erforderlich ist. Die Aufsichtsbehörde übermittelt diese Listen dem Ausschuss. (6) Vor Festlegung der in den Absätzen 4 und 5 genannten Listen wendet die zuständige Aufsichtsbehörde das Kohärenzverfahren gemäß Artikel 63 an, wenn solche Listen Verarbeitungstätigkeiten umfassen, die mit dem Angebot von Waren oder Dienstleistungen für betroffene Personen oder der Beobachtung des Verhaltens dieser Personen in mehreren Mitgliedstaaten im Zusammenhang stehen oder die den freien Verkehr personenbezogener Daten innerhalb der Union erheblich beeinträchtigen könnten. (7) Die Folgenabschätzung enthält zumindest Folgendes: a) eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung, gegebenenfalls einschließlich der von dem Verantwortlichen verfolgten berechtigten Interessen; b) eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck; c) eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen gemäß Absatz 1 und d) die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen, einschließlich Garantien, Sicherheitsvorkehrungen und Verfahren, durch die der Schutz personenbezogener Daten sichergestellt und der Nachweis dafür erbracht wird, dass diese Verordnung eingehalten wird, wobei den Rechten und berechtigten Interessen der betroffenen Personen und sonstiger Betroffener Rechnung getragen wird. (8) Die Einhaltung genehmigter Verhaltensregeln gemäß Artikel 40 durch die zuständigen Verantwortlichen oder die zuständigen Auftragsverarbeiter ist bei der Beurteilung der Auswirkungen der von diesen durchgeführten Verarbeitungsvorgänge, insbesondere für die Zwecke einer Datenschutz-Folgenabschätzung, gebührend zu berücksichtigen. 1162

|

von dem Bussche

Datenschutz-Folgenabschätzung | Art. 35 DSGVO

(9) Der Verantwortliche holt gegebenenfalls den Standpunkt der betroffenen Personen oder ihrer Vertreter zu der beabsichtigten Verarbeitung unbeschadet des Schutzes gewerblicher oder öffentlicher Interessen oder der Sicherheit der Verarbeitungsvorgänge ein. (10) Falls die Verarbeitung gemäß Artikel 6 Absatz 1 Buchstabe c oder e auf einer Rechtsgrundlage im Unionsrecht oder im Recht des Mitgliedstaats, dem der Verantwortliche unterliegt, beruht und falls diese Rechtsvorschriften den konkreten Verarbeitungsvorgang oder die konkreten Verarbeitungsvorgänge regeln und bereits im Rahmen der allgemeinen Folgenabschätzung im Zusammenhang mit dem Erlass dieser Rechtsgrundlage eine Datenschutz-Folgenabschätzung erfolgte, gelten die Absätze 1 bis 7 nur, wenn es nach dem Ermessen der Mitgliedstaaten erforderlich ist, vor den betreffenden Verarbeitungstätigkeiten eine solche Folgenabschätzung durchzuführen. (11) Erforderlichenfalls führt der Verantwortliche eine Überprüfung durch, um zu bewerten, ob die Verarbeitung gemäß der Datenschutz-Folgenabschätzung durchgeführt wird; dies gilt zumindest, wenn hinsichtlich des mit den Verarbeitungsvorgängen verbundenen Risikos Änderungen eingetreten sind. I. Einführung . . . . . . . . . . . . II. Verpflichtete . . . . . . . . . . . 1. Systematische und extensive Auswertung . . . . . . . . . . . . 2. Besondere Arten personenbezogener Daten . . . . . . . .

... ...

1 5

. . . 11

3. Betreiber systematischer Überwachungstechnik . . . . . . . 13 4. Ausnahmen . . . . . . . . . . . . . . . 14 III. Inhaltliche Anforderungen . . . 15

. . . 12

Schrifttum: Becker, EU-Datenschutz-Grundverordnung. Anforderungen an Unternehmen und Datenschutzbeauftragte, ITRB 2016, 107; Gierschmann, Was „bringt“ deutschen Unternehmen die DSGVO? – Mehr Pflichten, aber die Rechtsunsicherheit bleibt, ZD 2016, 51 (53); Kaufmann, Meldepflichten und Datenschutz-Folgenabschätzung – Kodifizierung neuer Pflichten in der EU-Datenschutz-Grundverordnung, ZD 2012, 358; Veil, DSGVO: Risikobasierter Ansatz statt rigides Verbotsprinzip – Eine erste Bestandsaufnahme, ZD 2015, 347; Wright/Finn/Rodrigues, A Comparative Analysis of Privacy Impact Assessment in Six Countries, Journal of Contemporary European Research 9 (1), 2013, S. 160.

I. Einführung Ist es wahrscheinlich, dass eine geplante Datenverarbeitung zu hohen Risiken 1 für die Rechte und Freiheiten der Betroffenen führt, schreibt Art. 35 eine vorausgehende Datenschutz-Folgenabschätzung für den Verantwortlichen vor. Sie dient dem Ziel, den Datenschutz und die Einhaltung der Vorgaben der Verordnung sicherzustellen (Erwägungsgrund 90). Dieses Instrument knüpft an die von dem Bussche

|

1163

Art. 35 DSGVO | Verantwortlicher und Auftragsverarbeiter Pflichten zur Meldung und Vorabkontrolle nach den Art. 18–21 RL 95/46/EG an und führt diese in der neuen Folgenabschätzung zusammen. 2 Die Meldepflicht des § 4d BDSG betraf sämtliche Verfahren automatisierter Da-

tenverarbeitungen, wohingegen der die Konsultationspflicht grundsätzlich auslösende Tatbestand der Verordnung deutlich enger gefasst ist (vgl. Art. 36). In der Praxis kam der Meldepflicht nach dem BDSG jedoch eine geringe Bedeutung zu, weil diejenigen Stellen von ihr ausgenommen sind, die einen Beauftragten für den Datenschutz bestellt haben. Zudem nahm § 4d Abs. 3 BDSG zahlreiche weitere nicht-öffentliche Stellen aus. Der Grund für diese das Regel-Ausnahme-Verhältnis umkehrende Gesetzessystematik liegt darin, dass der BDSGGesetzgeber von den Freiräumen der Richtlinie Gebrauch machte und regulatorisch einen anderen Ansatz verfolgte als die meisten Mitgliedstaaten: Die breit angelegte Pflicht zur Bestellung von Datenschutzbeauftragten sollte die Implementierung von Datenschutzverfahren „von innen“ heraus befördern, anstatt die Datenverarbeitungen in zentralen Melderegistern zu erfassen1. In diese Systematik passte auch die europarechtliche Vorgabe einer grundsätzlich stelleninternen Vorabkontrolle nach § 4d Abs. 6 BDSG.

3 Nach der Verordnung werden Folgenabschätzung und Einbindung der Auf-

sichtsbehörde nun in einem zweistufigen Verfahren miteinander verzahnt2: Die Folgenabschätzung erfolgt nach Abs. 1 auf einer ersten Stufe nur intern durch den Verantwortlichen selbst. Ergibt sie ein vermutetes hohes Risiko, muss auf der zweiten Stufe nach Art. 36 Abs. 1 die Aufsichtsbehörde konsultiert werden, der nun – anders als noch bei der Meldepflicht nach § 4d BDSG3 – eine obligatorische Rechtmäßigkeitskontrolle obliegt.

4 Da beide Stufen des Verfahrens tatbestandlich an ein prognostiziertes Risiko an-

knüpfen, dürfte in der Praxis bei Datenverarbeitungsprozessen größeren Umfangs stets eine mindestens oberflächliche Evaluation erforderlich sein. Diese Regelungstechnik erscheint ungewöhnlich. Sie dürfte aber der gesetzgeberischen Intention entsprechen, bereits während der Erarbeitung oder spätestens vor der Implementierung der Verfahren eine Sensibilisierung der Verantwortlichen für die Belange des Datenschutzes zu erreichen (prozessorientierter Ansatz), um sie noch während ihrer Entwicklung im Sinne datenschutzrechtlicher Anliegen zu beeinflussen. Bezüglich der für den Art. 35 maßgeblichen Erwägungen ist auf die Erwägungsgründe 89–93 zu verweisen.

1 Vgl. die Gesetzesbegründung des Umsetzungsgesetzes: „Der Entwurf zielt auf eine möglichst weitgehende Abschaffung von Meldepflichten […]“, BT-Drucks. 461/00, S. 68. 2 Kritisch zur teilweisen Abkehr von der rein stelleninternen Evaluation: Kaufmann, ZD 2012, 358 (361 f.). 3 Vgl. Simitis/Petri, § 4d BDSG Rz. 30; Wolff/Brink/Meltzian, BeckOK, § 4d BDSG Rz. 14.

1164

|

von dem Bussche

Datenschutz-Folgenabschätzung | Art. 35 DSGVO

II. Verpflichtete Die Pflicht zur Folgenabschätzung wird ausgelöst, wenn die Art eines Verarbei- 5 tungsvorganges wahrscheinlich zu einem hohen Risiko für die Rechte und Freiheiten der Betroffenen führt. Betroffen ist der Verantwortliche, nicht jedoch ein Auftragsverarbeiter. Das Erfordernis eines „hohen“ statt eines „konkreten“ Risikos, wie es im ursprünglichen Kommissionsentwurf noch geheißen hatte, legt eine restriktive Interpretation nahe. Gestützt wird diese durch den sehr deutlich formulierten Erwägungsgrund 89 der Verordnung, nach dem die bisherigen Voraussetzungen für eine Meldepflicht zu niedrig angesetzt gewesen seien und daher zu bürokratischen und finanziellen Hürden geführt hätten, ohne in allen Fällen zur Verbesserung des Datenschutzes beizutragen. Die tatbestandliche Risikobewertung soll unter Berücksichtigung der Art, des 6 Umfanges, der Umstände und der Zwecke der Verarbeitung erfolgen. Betont werden als Kriterien die systematische Struktur der Datenverarbeitung sowie der große Umfang (Erwägungsgrund 91). Ein weiterer Indikator ist die Frage, ob die Betroffenen durch den Prozess an der Wahrnehmung ihrer Rechte, aber auch an der Eingehung rechtsgeschäftlicher Verbindungen gehindert werden (ebd.). Insbesondere sind nach dem Wortlaut der Norm Vorgänge unter Einsatz neuer 7 Technologien angesprochen. Dieser Zusatz wurde erst im Rahmen der TrilogVerhandlungen aufgenommen. Nach Erwägungsgrund 89 sollen zudem Datenverarbeitungsvorgänge neuer Art, die bisher nicht Gegenstand von Folgenabschätzungen waren, unter die Norm fallen. Unter bestimmten Umständen soll die Datenschutz-Folgenabschätzung nicht nur ein einzelnes Projekt, sondern in einem weiteren Sinne neue technische Umgebungen erfassen, die etwa eine ganze Branche betreffen (Erwägungsgrund 92). In der Zusammenschau legen die Erwägungen eine auf das Geschäftsmodell bezogene Auslegung nahe. Tatbestandlich stehen nicht nur die konkreten technischen und organisatorischen Umstände des Verantwortlichen im Fokus, sondern insbesondere auch die abstrakten Risiken der technologischen Entwicklungsperspektiven für den Datenschutz. Klärungsbedürftig erscheint insbesondere in Abgrenzung zu den durch Art. 35 8 ausgelösten Pflichten, welche Maßnahmen ein Verantwortlicher zu ergreifen hat, um über das Vorliegen einer überprüfungspflichtigen Datenverarbeitung zu befinden bzw. den Grad der Wahrscheinlichkeit negativer Implikationen für den Datenschutz zu bestimmen. In der Testphase einer Datenschutz-Folgenabschätzung im Bereich des Smart Grid wird ein ähnliches Verfahren angewandt, bei dem der Verantwortliche zunächst anhand der zu erwartenden Auswirkungen des Verfahrens auf die Notwendigkeit einer Folgenabschätzung schließen soll. Die zuständige Unterarbeitsgruppe der Smart Grid Taskforce der Kommission erläutert, dass es im ersten Schritt nicht um eine vollständige Risikobewertung gehe, sondern um eine Auflistung derjenigen Faktoren, die bevon dem Bussche

|

1165

Art. 35 DSGVO | Verantwortlicher und Auftragsverarbeiter reits aus der Natur der geplanten Verarbeitung absehbar seien1. Ein ähnlicher Ansatz könnte für die Datenschutz-Folgenabschätzung verfolgt werden, wenngleich die Trennlinie zwischen erster und zweiter Stufe etwas unscharf bleibt. 9 Größere Rechtssicherheit versprechen schließlich die Positiv- und Negativ-Lis-

ten, die nach den Abs. 4–6 von den Aufsichtsbehörden zu erstellen sind und Aufschluss geben sollen, in welchen Fällen der Datenverarbeitung eine Folgenabschätzung erforderlich oder nicht erforderlich ist. Betreffen die angesprochenen Verarbeitungstätigkeiten den Binnenmarkt, ist nach Abs. 6 die Einleitung des Kohärenzverfahrens (s. Art. 63) erforderlich.

10 Abs. 3 nennt schließlich (abstrakte) Beispiele für Datenverarbeitungen, bei de-

nen eine Datenschutz-Folgenabschätzung erforderlich ist. Bereits nach Erwägungsgrund 91 nicht erforderlich ist eine Datenschutz-Folgenabschätzung für die Verarbeitung von Patienten- und Mandantendaten durch einzelne Ärzte und Angehörige anderer Gesundheitsberufe sowie Rechtsanwälte. 1. Systematische und extensive Auswertung

11 Die Folgenabschätzung ist verpflichtend bei systematischer und umfassender

Auswertung persönlicher Aspekte natürlicher Personen durch automatisierte Verarbeitung, etwa mittels Profiling (Art. 4 Nr. 4), wenn darauf Entscheidungen mit rechtlichen oder vergleichbar beeinträchtigenden Folgen für die Betroffenen basieren. Die Formulierung ist an Art. 15 Abs. 1 der Richtlinie 95/46/EG angelehnt. Umfasst sind vor allem Auskunfteien (Kreditscoringanbieter), darüber hinaus aber auch jede elektronische Erstellung von Persönlichkeitsprofilen wie etwa psychotechnische Computertests zur Bewerberauswahl2. 2. Besondere Arten personenbezogener Daten

12 Die Pflicht trifft außerdem Stellen, die in großem Umfang besondere Arten per-

sonenbezogener Daten nach Art. 9 oder nach Art. 10 verarbeiten.

3. Betreiber systematischer Überwachungstechnik 13 Schließlich ist eine Folgenabschätzung erforderlich bei systematischer umfang-

reicher Überwachung öffentlich zugänglicher Bereiche, insbesondere bei Einsatz optoelektronischer Überwachungstechnik (Erwägungsgrund 91). Dem klaren Wortlaut nach ist der Tatbestand nicht auf die Überwachung des öffentlichen 1 https://ec.europa.eu/energy/sites/ener/files/documents/DPIA%20template_incl%20line %20numbers.pdf, S. 17 (25.4.2016). 2 Vgl. für Art. 15 der RL 95/46/EG: Ehmann/Helfrich, EG-Datenschutzrichtlinie, Art. 15 Rz. 11 ff.

1166

|

von dem Bussche

Datenschutz-Folgenabschätzung | Art. 35 DSGVO

Raumes beschränkt, sondern umfasst auch Privatgelände, soweit es nur der Öffentlichkeit zugänglich gemacht wird. 4. Ausnahmen Der Ausnahmetatbestand des Abs. 10 befreit die Verantwortlichen von der Fol- 14 genabschätzung, wenn die Verarbeitung zur Erfüllung rechtlicher Pflichten oder zur Wahrnehmung einer im öffentlichen Interesse liegenden Aufgabe erforderlich ist, in Ausübung öffentlicher Gewalt erfolgt oder auf einer europäischen oder nationalen Rechtsgrundlage beruht, sofern die Auswirkungen auf den Datenschutz im Rahmen des Normsetzungsverfahrens bereits überprüft wurden. Die Mitgliedstaaten können hiervon jedoch abweichen und strengere Maßstäbe anordnen.

III. Inhaltliche Anforderungen Abs. 7 enthält die inhaltlichen Mindestanforderungen an die Folgenabschät- 15 zung. Sie muss eine systematische Beschreibung der geplanten Verarbeitungsvorgänge sowie ihrer Zwecke (a), eine Bewertung der Notwendigkeit und Verhältnismäßigkeit im Verhältnis zu den Zwecken (b), eine Bewertung der Risiken für die Rechte und Freiheiten der Betroffenen (c), sowie die zur Risikobewältigung zu ergreifenden Abhilfemaßnahmen (d) beinhalten. Zu berücksichtigen sind im Rahmen der Folgenabschätzung ferner ein ggf. beste- 16 hender Verhaltenskodex gemäß Art. 40 (Abs. 8) sowie der Standpunkt der Betroffenen bzw. ihrer Vertreter, sofern dies im Einzelfall angemessen ist (Abs. 9). Die im ursprünglichen Kommissionsentwurf vorgesehene Regelungstechnik aus 17 sehr allgemein gefassten Vorgaben in Verbindung mit einer Ermächtigung zur näheren Präzisierung für die Kommission ist in den Trilog-Verhandlungen zugunsten differenzierterer Kriterien in Abs. 7 ohne korrespondierende Ermächtigung gewichen. Dennoch bleiben die Vorgaben insgesamt eher vage. Genauere Vorgaben und Maßstäbe, wie die Risiken bewertet und auf geeignete Weise adressiert werden können, werden sich in der Praxis erst herausbilden müssen. Zurückgegriffen werden könnte auf die Standards des Handbuches des britischen ICO1 und die Erfahrungen weiterer Staaten mit ähnlichen Konzeptionen2. 1 https://ico.org.uk/media/for-organisations/documents/1042196/trilateral-full-report.pdf (25.4.2016). 2 Weltweite Vergleiche verschiedener Ausgestaltungen von Privacy Impact Assessments finden sich bei Wright/Finn/Rodrigues, Journal of Contemporary European Research 9 (1), S. 160 ff. sowie im Abschlussbericht des von der Kommission kofinanzierten Forschungsprojektes Privacy Impact Assessment Framework, abrufbar unter http://piafproject.eu/ ref/PIAF_D1_21_Sept2011Revlogo.pdf (25.4.2016).

von dem Bussche

|

1167

Art. 36 DSGVO | Verantwortlicher und Auftragsverarbeiter

Artikel 36 Vorherige Konsultation (1) Der Verantwortliche konsultiert vor der Verarbeitung die Aufsichtsbehörde, wenn aus einer Datenschutz-Folgenabschätzung gemäß Artikel 35 hervorgeht, dass die Verarbeitung ein hohes Risiko zur Folge hätte, sofern der Verantwortliche keine Maßnahmen zur Eindämmung des Risikos trifft. (2) Falls die Aufsichtsbehörde der Auffassung ist, dass die geplante Verarbeitung gemäß Absatz 1 nicht im Einklang mit dieser Verordnung stünde, insbesondere weil der Verantwortliche das Risiko nicht ausreichend ermittelt oder nicht ausreichend eingedämmt hat, unterbreitet sie dem Verantwortlichen und gegebenenfalls dem Auftragsverarbeiter innerhalb eines Zeitraums von bis zu acht Wochen nach Erhalt des Ersuchens um Konsultation entsprechende schriftliche Empfehlungen und kann ihre in Artikel 58 genannten Befugnisse ausüben. Diese Frist kann unter Berücksichtigung der Komplexität der geplanten Verarbeitung um sechs Wochen verlängert werden. Die Aufsichtsbehörde unterrichtet den Verantwortlichen oder gegebenenfalls den Auftragsverarbeiter über eine solche Fristverlängerung innerhalb eines Monats nach Eingang des Antrags auf Konsultation zusammen mit den Gründen für die Verzögerung. Diese Fristen können ausgesetzt werden, bis die Aufsichtsbehörde die für die Zwecke der Konsultation angeforderten Informationen erhalten hat. (3) Der Verantwortliche stellt der Aufsichtsbehörde bei einer Konsultation gemäß Absatz 1 folgende Informationen zur Verfügung: a) gegebenenfalls Angaben zu den jeweiligen Zuständigkeiten des Verantwortlichen, der gemeinsam Verantwortlichen und der an der Verarbeitung beteiligten Auftragsverarbeiter, insbesondere bei einer Verarbeitung innerhalb einer Gruppe von Unternehmen; b) die Zwecke und die Mittel der beabsichtigten Verarbeitung; c) die zum Schutz der Rechte und Freiheiten der betroffenen Personen gemäß dieser Verordnung vorgesehenen Maßnahmen und Garantien; d) gegebenenfalls die Kontaktdaten des Datenschutzbeauftragten; e) die Datenschutz-Folgenabschätzung gemäß Artikel 35 und f) alle sonstigen von der Aufsichtsbehörde angeforderten Informationen. (4) Die Mitgliedstaaten konsultieren die Aufsichtsbehörde bei der Ausarbeitung eines Vorschlags für von einem nationalen Parlament zu erlassende Gesetzgebungsmaßnahmen oder von auf solchen Gesetzgebungsmaßnahmen basierenden Regelungsmaßnahmen, die die Verarbeitung betreffen. (5) Ungeachtet des Absatzes 1 können Verantwortliche durch das Recht der Mitgliedstaaten verpflichtet werden, bei der Verarbeitung zur Erfüllung einer im öffentlichen Interesse liegenden Aufgabe, einschließlich der Verarbeitung 1168

|

von dem Bussche

Vorherige Konsultation | Art. 36 DSGVO

zu Zwecken der sozialen Sicherheit und der öffentlichen Gesundheit, die Aufsichtsbehörde zu konsultieren und deren vorherige Genehmigung einzuholen. I. Konsultation des Verantwortlichen 1. Einführung . . . . . . . . . . . . . . . 2. Verpflichtete . . . . . . . . . . . . . .

1 3

3. Verfahren . . . . . . . . . . . . . . . . II. Konsultation bei Normsetzungsverfahren . . . . .

4 6

Schrifttum: Veil, DSGVO: Risikobasierter Ansatz statt rigides Verbotsprinzip – Eine erste Bestandsaufnahme, ZD 2015, 347.

I. Konsultation des Verantwortlichen 1. Einführung Deutet die gemäß Art. 35 durchgeführte Datenschutz-Folgenabschätzung auf 1 ein hohes Risiko für die Rechte und Freiheiten der Betroffenen hin, so muss der Verantwortliche gemäß Art. 36 Abs. 1 die zuständige Aufsichtsbehörde vor Beginn der Datenverarbeitung konsultieren. Trotz des Erfordernisses vorheriger Konsultation lässt eine fehlende Zustimmung die (formelle) Rechtmäßigkeit der Verarbeitung nicht entfallen. Es handelt sich also regelungstechnisch nicht um ein Genehmigungsverfahren. Denn Abs. 2 stellt klar, dass es bei den allgemeinen Eingriffsbefugnissen des Art. 58 samt der Möglichkeit einer Untersagung der Verarbeitung bleibt. Dieser Verweis wäre überflüssig, handelte es sich um ein präventives Verbot mit Erlaubnisvorbehalt. Hierfür spricht auch ein Umkehrschluss zu Abs. 5, nach dem mitgliedstaatliches Recht neben einer Konsultationsauch eine Genehmigungspflicht für Verarbeitungen im öffentlichen Interesse mit Bezug zu sozialer Sicherung und öffentlicher Gesundheit vorsehen kann. Allerdings droht den nicht-öffentlichen Verantwortlichen im Falle einer aus an- 2 deren Gründen rechtswidrigen Verarbeitung ohne vorherige Konsultation eine doppelte Sanktion: Zum einen aufgrund der Verletzung der Konsultationspflicht, zum anderen aufgrund der rechtswidrigen Datenverarbeitung. Angesichts der potentiell hohen Bußgelder und dem damit einhergehenden wirtschaftlichen Druck dürfte die Regelung bei komplexen Verfahren die Wirkung einer faktischen Genehmigungspflicht haben. Maßgebliche Erwägungsgründe für Art. 36 sind in den Erwägungsgründen 94–96 zu finden. 2. Verpflichtete Die Konsultationspflicht baut auf der zweiten Stufe auf dem Ergebnis der Daten- 3 schutz-Folgenabschätzung auf. So müssen sich diejenigen Verantwortlichen an von dem Bussche

|

1169

Art. 36 DSGVO | Verantwortlicher und Auftragsverarbeiter die Aufsichtsbehörden wenden, bei denen die Prüfung das Bestehen eines hohen Risikos für die Rechte und Freiheiten der Betroffenen ergibt. Dieses muss sich in Abwesenheit von Maßnahmen des Verantwortlichen ergeben, welche die Risiken abmildern könnten. Letztere Voraussetzung wurde auf Betreiben des Rates im Rahmen der Trilog-Verhandlungen aufgenommen, offenbar um die Hürden des Tatbestandes zu erhöhen und den Stellen selbst die Möglichkeit zu geben, Risiken für den Datenschutz und damit die Konsultationspflicht durch geeignete Maßnahmen abzuwenden. Erwägungsgrund 94 könnte sogar dahingehend verstanden werden, dass es für das Entfallen der Konsultationspflicht ausreiche, wenn der Verantwortliche die bloße Meinung vertritt, das Risiko könne abgewendet werden. Ein derart weitreichendes Ermessen bei der Tatbestandsauslegung dürfte indes den Zwecken der Konsultationspflicht zuwiderlaufen. Das Bestehen der Pflichten aus Art. 36 ist gerichtlich voll überprüfbar. Eine seitens des Europäischen Parlamentes vorgeschlagene Ermächtigung zur Präzisierung des Tatbestandes durch den Europäischen Datenschutzausschuss wurde nicht aufgenommen. Die Pflicht trifft ausschließlich den Verantwortlichen, nicht jedoch den Auftragsverarbeiter. 3. Verfahren 4 Abs. 2 steckt den zeitlichen Horizont des Konsultationsverfahrens ab. Die Auf-

sichtsbehörden sollen binnen acht Wochen nach der Anfrage durch den Verantwortlichen beratend tätig werden, falls sie das angezeigte Vorhaben für nicht verordnungskonform halten, insbesondere weil der Verantwortliche die Risiken nicht hinreichend identifiziert oder abgemildert hat. Je nach Komplexität der geplanten Datenverarbeitung kann die Frist um sechs Wochen verlängert werden; in diesem Fall hat die Behörde den Verantwortlichen binnen vier Wochen nach Anfrage über die Verlängerung samt Begründung zu informieren. Bis zur Erlangung von Informationen, welche die Behörde nach Abs. 3 anfordert, können die Fristen suspendiert werden.

5 Abs. 3 legt die notwendigen Informationen fest, welche der Verantwortliche

der Aufsichtsbehörde im Rahmen der Konsultation zur Verfügung stellen muss. Hierzu zählen ggf. eine Übersicht der Zuständigkeiten des Verantwortlichen, der gemeinsam Verantwortlichen und der beteiligten Auftragsverarbeiter, insbesondere bei Verarbeitungen innerhalb einer Unternehmensgruppe (a), die Zwecke und Mittel der beabsichtigten Verarbeitung (b), die Maßnahmen und Garantien zum Schutz der Rechte und Freiheiten der Betroffenen (c), ggf. die Kontaktdaten des Datenschutzbeauftragten (d) sowie die Datenschutz-Folgenabschätzung nach Art. 35 (e). Darüber hinaus muss der Verantwortliche nach einer sehr weit gefassten Generalklausel alle weiteren Informationen bereitstellen, über welche die Aufsichtsbehörde Auskunft verlangt (f).

1170

|

von dem Bussche

Benennung eines Datenschutzbeauftragten | Art. 37 DSGVO

II. Konsultation bei Normsetzungsverfahren Nach Abs. 4 haben die Mitgliedstaaten die Aufsichtsbehörde im Rahmen von 6 Gesetzesvorhaben und bei der Erarbeitung von Verordnungen zu konsultieren, sofern ein Bezug zur Datenverarbeitung besteht. Die Norm enthält keine näheren Vorgaben über das Verfahren, den Zeitpunkt oder die Art der Beteiligung. Insofern kann von einem weitgehenden Ermessen der mitgliedstaatlichen Stellen ausgegangen werden.

Abschnitt 4 Datenschutzbeauftragter

Artikel 37 Benennung eines Datenschutzbeauftragten (1) Der Verantwortliche und der Auftragsverarbeiter benennen auf jeden Fall einen Datenschutzbeauftragten, wenn a) die Verarbeitung von einer Behörde oder öffentlichen Stelle durchgeführt wird, mit Ausnahme von Gerichten, die im Rahmen ihrer justiziellen Tätigkeit handeln, b) die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen, oder c) die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 besteht. (2) Eine Unternehmensgruppe darf einen gemeinsamen Datenschutzbeauftragten ernennen, sofern von jeder Niederlassung aus der Datenschutzbeauftragte leicht erreicht werden kann. (3) Falls es sich bei dem Verantwortlichen oder dem Auftragsverarbeiter um eine Behörde oder öffentliche Stelle handelt, kann für mehrere solcher Behörden oder Stellen unter Berücksichtigung ihrer Organisationsstruktur und ihrer Größe ein gemeinsamer Datenschutzbeauftragter benannt werden. (4) In anderen als den in Absatz 1 genannten Fällen können der Verantwortliche oder der Auftragsverarbeiter oder Verbände und andere Vereinigungen, die Kategorien von Verantwortlichen oder Auftragsverarbeitern vertrevon dem Bussche

|

1171

Benennung eines Datenschutzbeauftragten | Art. 37 DSGVO

II. Konsultation bei Normsetzungsverfahren Nach Abs. 4 haben die Mitgliedstaaten die Aufsichtsbehörde im Rahmen von 6 Gesetzesvorhaben und bei der Erarbeitung von Verordnungen zu konsultieren, sofern ein Bezug zur Datenverarbeitung besteht. Die Norm enthält keine näheren Vorgaben über das Verfahren, den Zeitpunkt oder die Art der Beteiligung. Insofern kann von einem weitgehenden Ermessen der mitgliedstaatlichen Stellen ausgegangen werden.

Abschnitt 4 Datenschutzbeauftragter

Artikel 37 Benennung eines Datenschutzbeauftragten (1) Der Verantwortliche und der Auftragsverarbeiter benennen auf jeden Fall einen Datenschutzbeauftragten, wenn a) die Verarbeitung von einer Behörde oder öffentlichen Stelle durchgeführt wird, mit Ausnahme von Gerichten, die im Rahmen ihrer justiziellen Tätigkeit handeln, b) die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen, oder c) die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 besteht. (2) Eine Unternehmensgruppe darf einen gemeinsamen Datenschutzbeauftragten ernennen, sofern von jeder Niederlassung aus der Datenschutzbeauftragte leicht erreicht werden kann. (3) Falls es sich bei dem Verantwortlichen oder dem Auftragsverarbeiter um eine Behörde oder öffentliche Stelle handelt, kann für mehrere solcher Behörden oder Stellen unter Berücksichtigung ihrer Organisationsstruktur und ihrer Größe ein gemeinsamer Datenschutzbeauftragter benannt werden. (4) In anderen als den in Absatz 1 genannten Fällen können der Verantwortliche oder der Auftragsverarbeiter oder Verbände und andere Vereinigungen, die Kategorien von Verantwortlichen oder Auftragsverarbeitern vertrevon dem Bussche

|

1171

Art. 37 DSGVO | Verantwortlicher und Auftragsverarbeiter ten, einen Datenschutzbeauftragten benennen; falls dies nach dem Recht der Union oder der Mitgliedstaaten vorgeschrieben ist, müssen sie einen solchen benennen. Der Datenschutzbeauftragte kann für derartige Verbände und andere Vereinigungen, die Verantwortliche oder Auftragsverarbeiter vertreten, handeln. (5) Der Datenschutzbeauftragte wird auf der Grundlage seiner beruflichen Qualifikation und insbesondere des Fachwissens benannt, das er auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt, sowie auf der Grundlage seiner Fähigkeit zur Erfüllung der in Artikel 39 genannten Aufgaben. (6) Der Datenschutzbeauftragte kann Beschäftigter des Verantwortlichen oder des Auftragsverarbeiters sein oder seine Aufgaben auf der Grundlage eines Dienstleistungsvertrags erfüllen. (7) Der Verantwortliche oder der Auftragsverarbeiter veröffentlicht die Kontaktdaten des Datenschutzbeauftragten und teilt diese Daten der Aufsichtsbehörde mit. I. Einführung . . . . . . . . . . . . . . . II. Pflicht zur Bestellung 1. Grundsatz . . . . . . . . . . . . . . . . a) Systematische Überwachung

1 2 4

b) Besondere Arten . . . . . . . . . 7 2. Privilegierungen . . . . . . . . . . . . 8 III. Ernennungsvoraussetzungen . . 10

Schrifttum: Bittner, Der Datenschutzbeauftragte gemäß EU-Datenschutz-Grundverordnungsentwurf, RDV 2014, 183; Eckhardt/Kramer, EU-DSGVO – Diskussionspunkte aus der Praxis, DuD 2013, 287; Eckhardt/Kramer/Mester, Auswirkungen der geplanten EUDSGVO auf den deutschen Datenschutz, DuD 2013, 623; Gierschmann, Was „bringt“ deutschen Unternehmen die DSGVO? – Mehr Pflichten, aber die Rechtsunsicherheit bleibt, ZD 2016, 51; Hoeren, Der betriebliche Datenschutzbeauftragte – Neuerungen durch die geplante DSGVO, ZD 2012, 355; Klug, Stand der EU-parlamentarischen Beratungen zur Rolle des Datenschutzbeauftragten – ein kommentierter Überblick, RDV 2013, 14; Klug, Die Position des EU-Parlaments zur zukünftigen Rolle von Datenschutzbeauftragten – ein kommentierter Überblick, RDV 2014, 90.

I. Einführung 1 Zu den politisch wohl umstrittensten Punkten der Datenschutz-Grundverord-

nung zählte die Frage nach der Pflicht zur Bestellung behördlicher und betrieblicher Datenschutzbeauftragter. In Art. 37 sieht das europäische Recht nun erstmals eine entsprechende Regelung vor, wenn auch für einen wesentlich kleineren Kreis als das BDSG. So konnte zwischen Kommission, Rat und Europäischem Parlament keine Einigung über eine Mindestanzahl entweder der Mitarbeiter der zu verpflichtenden Unternehmen oder der durch die Datenverarbeitung Betroffenen erzielt werden. Die Grundverordnung wird stattdessen auf den 1172

|

von dem Bussche

Benennung eines Datenschutzbeauftragten | Art. 37 DSGVO

Schwerpunkt der Tätigkeit der verantwortlichen Stelle abstellen. Veränderungen gegenüber dem BDSG wird es auch bei den Ernennungsvoraussetzungen geben. In Bezug auf die für Art. 37 maßgeblichen Erwägungen ist auf Erwägungsgrund 97 zu verweisen.

II. Pflicht zur Bestellung 1. Grundsatz Zur Bestellung eines Datenschutzbeauftragten verpflichtet ist nach Abs. 1 2 Buchst. a zunächst jede Behörde oder öffentliche Stelle mit Ausnahme von Gerichten, soweit sie im Rahmen ihrer justiziellen Tätigkeit handeln. Darüber hinaus nennt Abs. 1 zwei weitere Tatbestände für nicht-öffentliche 3 Stellen, die sowohl Verantwortliche als auch Auftragsverarbeiter sein können. Für alle übrigen Fälle ist die Ernennung von Datenschutzbeauftragten, wie Abs. 4 klarstellt, fakultativ. Jedoch enthält Abs. 4 auch eine Ermächtigung für die Mitgliedstaaten, in anderen Fällen als den von der Verordnung genannten die Bestellung eines Datenschutzbeauftragten zu verlangen. Ebenso können die Mitgliedstaaten statt einzelner Stellen auch Vereinigungen oder Verbände verpflichten. Es bleibt damit abzuwarten, ob der Bundesgesetzgeber an den niedrigeren Voraussetzungen des § 4f Abs. 1 BDSG festhält. a) Systematische Überwachung Die Pflicht zur Bestellung eines Datenschutzbeauftragten trifft Verantwortliche 4 und Auftragsverarbeiter, deren Kerntätigkeiten in der Durchführung von Verarbeitungsvorgängen bestehen, welche aufgrund ihrer Art, ihres Umfangs und/ oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen. Der sehr offen gefasste Tatbestand wirft zahlreiche Fragen auf1. Erwägungsgrund 97 liefert neben einer Wiederholung des Wortlautes der Norm lediglich den zusätzlichen Anhaltspunkt, dass sich der Begriff der Kerntätigkeit auf die primären Tätigkeiten und nicht auf Hilfstätigkeiten der Stelle bezieht. Relativ eindeutig mögen Bewachungsunternehmen oder Filmstudios in den Anwendungsbereich der Norm fallen2. 1 Hoeren, ZD 2012, 355 (356 f.) weist darauf hin, dass das Vorliegen des Tatbestandes erst nach entsprechender Prüfung beurteilt werden könne, weswegen die Vorschrift „leicht zirkulär“ sei. Zum Verständnis des Begriffs der Kerntätigkeit s.a. Gierschmann, ZD 2016, 51 (52). 2 So die Beispiele im kritischen Aufsatz von Eckhardt/Kramer/Mester, DuD 2013, 623 (628).

von dem Bussche

|

1173

Art. 37 DSGVO | Verantwortlicher und Auftragsverarbeiter 5 Die Schwierigkeiten der Auslegung lassen sich am Beispiel einer Factoringge-

sellschaft aufzeigen: Ob die Kerntätigkeit in der Durchführung von Verarbeitungsvorgängen besteht, beurteilt sich danach, ob man die Tätigkeit aus der Perspektive des Gläubigers (Forderungsankauf), aus der Perspektive des Schuldners (Geltendmachung von Forderungen) oder aus der internen Perspektive der Mitarbeiter (Erfassung und Verarbeitung von Zahlungsdaten) betrachtet. Unter Zugrundelegung der zuletzt genannten Perspektive stellt sich die Frage, ob diese Tätigkeit überhaupt eine „Überwachung“ erfordert, oder ob nicht die Kenntnisnahme des Zahlungsverhaltens der Schuldner ein bloßer Nebeneffekt der Buchhaltung ist, und schließlich auch, ob das Wesen dieser Tätigkeit eine regelmäßige und systematische Überwachung erfordert, wenn die Gesellschaft teilweise nur einzelne Forderungen, teilweise aber mehrere Forderungen gegen denselben Gläubiger erwirbt. Weiterhin wäre zu klären, ab welcher Zahl der Forderungen oder Mitarbeiter oder ab welcher Höhe einer einzelnen oder der Gesamthöhe der Forderungen von einer „umfangreichen“ Überwachung die Rede sein kann.

6 Zentraler Streitpunkt dürfte demnach die Auslegung sämtlicher Merkmale des

Tatbestandes nämlich der Begriffe der Kerntätigkeit, der Regelmäßigkeit und Systematik, der Überwachung sowie des Umfanges sein. Auch angesichts des Drohpotentials durch Bußgelder in Höhe von bis zu 10 Mio. Euro bzw. 2% des weltweiten Jahresumsatzes wird die Vorschrift zu einer erheblichen Rechtsunsicherheit führen. Im Rahmen des Trilogs wurde eine für Abs. 9 vorgesehene Ermächtigung der Kommission zur Präzisierung des Tatbestandes gestrichen. Auch der Europäische Datenschutzausschuss ist nach der Verordnung nicht zur Aufstellung von Leitlinien berufen. b) Besondere Arten

7 Verpflichtet sind außerdem alle Verantwortlichen und Auftragsverarbeiter, de-

ren Kerntätigkeiten in der umfangreichen Verarbeitung besonderer Kategorien personenbezogener Daten i.S.d. Art. 9 und 10 bestehen. Während der Begriff der personenbezogenen Daten vergleichsweise treffsicher handhabbar ist, erscheint die rechtssichere Auslegung des relativen Begriffes „umfangreich“ ohne weiteren Bezugspunkt schwierig (s. schon unter Rz. 4 ff.). 2. Privilegierungen

8 Abs. 2 sieht ein Konzernprivileg vor. Demnach genügt die Bestellung eines ein-

zelnen Datenschutzbeauftragten für eine Unternehmensgruppe, sofern dieser von jeder Niederlassung einfach erreichbar ist. Hiermit wird weniger die technische Erreichbarkeit mittels Fernkommunikation gemeint sein, als vielmehr die Verbreitung der Information unter den Mitarbeitern in den einzelnen Niederlassungen, wer der Beauftragte ist und wie er erreicht werden kann. Schon nach 1174

|

von dem Bussche

Benennung eines Datenschutzbeauftragten | Art. 37 DSGVO

der Rechtslage des BDSG konnte dieselbe Person für mehrere Unternehmen innerhalb eines Konzerns bestellt werden (vgl. Komm. zu § 4f BDSG Rz. 14). Die praktische Erleichterung besteht darin, dass nunmehr keine separate Bestellung erfolgen muss. Privilegiert werden nach Abs. 3 zudem die öffentlichen Stellen. Demnach kann 9 unter Berücksichtigung von Organisationsstruktur und Größe ein einziger Beauftragter für mehrere Behörden oder öffentliche Stellen bestellt werden. Da weitere Kriterien nicht genannt werden und der Maßstab von Größe und Struktur der Institution stark wertungsabhängig ist, dürfte ein weites Ermessen der Mitgliedstaaten gegeben sein. Nach dem Zweck der Regelung wird mindestens zu fordern sein, dass die jeweiligen Beauftragten faktisch in der Lage sind, ihren Zuständigkeitsbereich zu überblicken und ihre Aufgaben nach Art. 37 wirksam wahrzunehmen (ähnlich schon die deutsche Rechtslage, vgl. Komm. zu § 4f BDSG Rz. 15).

III. Ernennungsvoraussetzungen Der Datenschutzbeauftragte muss nach Abs. 5 über das erforderliche Fachwis- 10 sen verfügen, insbesondere über rechtliche und praktische Kenntnisse im Bereich des Datenschutzes. Indem auf die Befähigung zur Wahrnehmung der Aufgaben nach Art. 39 verwiesen wird, wird die Reichweite der jeweils erforderlichen Kenntnisse und Fähigkeiten in den Handlungskontext des Unternehmens gestellt (vgl. zur Rechtslage des BDSG Komm. zu § 4f BDSG Rz. 27). Auch Erwägungsgrund 97 verweist ausdrücklich auf das Maß notwendiger Kenntnisse in Bezug auf die Verarbeitungsvorgänge des Verantwortlichen oder des Auftragsverarbeiters. Demnach lassen sich der Verordnung keine konkreten und abschließenden for- 11 malen Qualifikationserfordernisse entnehmen. Der Beauftragte muss vielmehr die Fähigkeiten aufweisen, die in Bezug auf die verarbeitende Stelle erforderlich sind, um die ihm gemäß Art. 37 obliegenden Aufgaben zu erfüllen. Die aus dem BDSG bekannte Trias rechtlicher, organisatorischer und technischer Kenntnisse (vgl. Komm. zu § 4f BDSG Rz. 28) dürfte demnach in ihren wesentlichen Grundzügen auf die Verordnung übertragbar sein1. Abs. 6 eröffnet der Stelle die Wahlmöglichkeit zwischen einer internen und ei- 12 ner externen Lösung, ähnlich der Regelung in § 4f Abs. 2 Satz 3 BDSG. Abs. 7 beinhaltet die Pflicht zur Veröffentlichung der Kontaktdaten des Beauftragten sowie deren Mitteilung an die Aufsichtsbehörde.

1 Vgl. zu den Anforderungen an die Fachkunde auch Eckhardt/Kramer, DuD 2013, 287 (292 f.).

von dem Bussche

|

1175

Art. 38 DSGVO | Verantwortlicher und Auftragsverarbeiter

Artikel 38 Stellung des Datenschutzbeauftragten (1) Der Verantwortliche und der Auftragsverarbeiter stellen sicher, dass der Datenschutzbeauftragte ordnungsgemäß und frühzeitig in alle mit dem Schutz personenbezogener Daten zusammenhängenden Fragen eingebunden wird. (2) Der Verantwortliche und der Auftragsverarbeiter unterstützen den Datenschutzbeauftragten bei der Erfüllung seiner Aufgaben gemäß Artikel 39, indem sie die für die Erfüllung dieser Aufgaben erforderlichen Ressourcen und den Zugang zu personenbezogenen Daten und Verarbeitungsvorgängen sowie die zur Erhaltung seines Fachwissens erforderlichen Ressourcen zur Verfügung stellen. (3) Der Verantwortliche und der Auftragsverarbeiter stellen sicher, dass der Datenschutzbeauftragte bei der Erfüllung seiner Aufgaben keine Anweisungen bezüglich der Ausübung dieser Aufgaben erhält. Der Datenschutzbeauftragte darf von dem Verantwortlichen oder dem Auftragsverarbeiter wegen der Erfüllung seiner Aufgaben nicht abberufen oder benachteiligt werden. Der Datenschutzbeauftragte berichtet unmittelbar der höchsten Managementebene des Verantwortlichen oder des Auftragsverarbeiters. (4) Betroffene Personen können den Datenschutzbeauftragten zu allen mit der Verarbeitung ihrer personenbezogenen Daten und mit der Wahrnehmung ihrer Rechte gemäß dieser Verordnung im Zusammenhang stehenden Fragen zu Rate ziehen. (5) Der Datenschutzbeauftragte ist nach dem Recht der Union oder der Mitgliedstaaten bei der Erfüllung seiner Aufgaben an die Wahrung der Geheimhaltung oder der Vertraulichkeit gebunden. (6) Der Datenschutzbeauftragte kann andere Aufgaben und Pflichten wahrnehmen. Der Verantwortliche oder der Auftragsverarbeiter stellt sicher, dass derartige Aufgaben und Pflichten nicht zu einem Interessenkonflikt führen. I. Einführung . . . . . . . . . . . . . . . II. Stellung innerhalb der Stelle . .

1 2

III. Verschwiegenheitspflicht . . . . . IV. Abberufung und Kündigung . .

6 8

Schrifttum: Bittner, Der Datenschutzbeauftragte gemäß EU-Datenschutz-Grundverordnungsentwurf, RDV 2014, 183; Hoeren, Der betriebliche Datenschutzbeauftragte – Neuerungen durch die geplante DSGVO, ZD 2012, 355; Klug, Stand der EU-parlamentarischen Beratungen zur Rolle des Datenschutzbeauftragten – ein kommentierter Überblick, RDV 2013, 14; Klug, Die Position des EU-Parlaments zur zukünftigen Rolle von Datenschutzbeauftragten – ein kommentierter Überblick, RDV 2014, 90.

1176

|

von dem Bussche

Stellung des Datenschutzbeauftragten | Art. 38 DSGVO

I. Einführung Art. 38 befasst sich in einem weiten Sinne mit der organisatorischen Stellung 1 des Beauftragten innerhalb der Stelle, also mit seinen rechtlichen wie tatsächlichen Beziehungen innerhalb der Unternehmens- oder Behördenstruktur. Erkennbar lehnte sich der Verordnungsgeber dabei in vielen Punkten an die Rechtsstellung der Datenschutzbeauftragten nach dem BDSG an. Die Norm regelt auch die Beendigung der Stellung. Hier dürften sich die größten Unterschiede zur bisherigen Rechtslage ergeben. Abberufung und Kündigung sind künftig unter niedrigeren Voraussetzungen möglich bzw. nur in bestimmten Ausnahmefällen ausgeschlossen. Das Schutzniveau der Position des Beauftragten bleibt somit hinter dem des BDSG zurück; dies ist durch den europäischen Gesetzgeber offensichtlich so gewollt. Erwägungen zu Art. 38 finden sich in Erwägungsgrund 97.

II. Stellung innerhalb der Stelle Nach Abs. 3 Satz 3 berichtet der Datenschutzbeauftragte direkt der höchsten 2 Managementebene. Trotz des vom BDSG etwas abweichenden Wortlaut (nach § 4f Abs. 3 Satz 1 BDSG ist der Beauftragte „dem Leiter der […] Stelle unmittelbar zu unterstellen“) dürften sich materiell keine Änderungen zur bisherigen Rechtslage ergeben (vgl. Komm. zu § 4f BDSG Rz. 42). Nach Abs. 3 Satz 1 hat die Stelle sicherzustellen, dass der Beauftragte keine An- 3 weisungen hinsichtlich der Ausübung seiner Aufgaben erhält. Auch insofern dürften sich keine wesentlichen Abweichungen vom Verständnis des § 4f Abs. 3 Satz 2 BDSG einschließlich der spezifischen Problemstellungen ergeben (vgl. Komm. zu § 4f BDSG Rz. 43 ff.). Abs. 6 Satz 1 stellt klar, dass der Beauftragte innerhalb der Betriebsorganisation 4 nicht ausschließlich mit seinen Aufgaben aus Art. 39 befasst sein muss. Ihr oder ihm können daneben auch weitere Aufgaben und Pflichten zugewiesen werden, soweit diese nicht in einen Interessenkonflikt münden. Auch hier können die in § 4f Abs. 2 Satz 1 BDSG an das Zuverlässigkeitskriterium geknüpften Erwägungen und Diskussionsstände (Komm. zu § 4f BDSG Rz. 30 ff.) auf die neue Regelung übertragen werden. Die Stelle muss den Beauftragten nach Abs. 2 bei der Ausführung der Aufgaben 5 unterstützen (vgl. zur bisherigen Rechtslage Komm. zu § 4f BDSG Rz. 49 f.). Hierfür sind ihr oder ihm die notwendigen Ressourcen zur Verfügung zu stellen, einschließlich der Mittel zur Fortbildung. Dem Beauftragten muss Zugang zu den Daten und Datenverarbeitungen gewährt werden. Nach Abs. 1 trifft die Stelle eine Einbeziehungs- und Informationspflicht gegenüber dem Beauftragten hinsichtlich aller Angelegenheiten mit Bezug zum Datenschutz. von dem Bussche

|

1177

Art. 38 DSGVO | Verantwortlicher und Auftragsverarbeiter III. Verschwiegenheitspflicht 6 Nach Abs. 5 ist der Datenschutzbeauftragte hinsichtlich seiner Tätigkeit zur

Verschwiegenheit verpflichtet. Wie die Regelung des BDSG (vgl. Komm. zu § 4f BDSG Rz. 51) bezweckt diese Pflicht insbesondere den Schutz derjenigen, die sich mit ihren Anliegen an den Beauftragten wenden. Der Verweis auf das mitgliedstaatliche Recht stellt vor allem klar, dass sich die Rechtsfolgen einer Verletzung der Verschwiegenheit – in Deutschland namentlich eine mögliche Schadensersatzpflicht aus § 823 BGB1 – nach nationalem Recht richten. Auch muss die Einschränkung so verstanden werden, dass die Reichweite der Verschwiegenheitspflicht durch einzelstaatliches Recht begrenzt werden kann2.

7 Ein (abgeleitetes) Zeugnisverweigerungsrecht wie das des § 4f Abs. 4a BDSG

sieht die Grundverordnung nicht vor. Es könnte dort auch gar nicht geregelt werden, da es der Europäischen Union, soweit nicht der EuGH betroffen ist, an einer Kompetenz für den Erlass von Normen im Bereich der Justiz bzw. des Prozessrechts fehlt3. Fraglich ist, inwieweit der Hinweis auf das mitgliedstaatliche Recht im Rahmen der Verschwiegenheitspflicht die nationalen Parlamente ermächtigt, den Beauftragten entsprechende Rechte einzuräumen. Grundsätzlich ist unstreitig, dass Verordnungen die nationalen Normgeber umfassend binden und Ausführungsakte jedenfalls dann ausgeschlossen sind, wenn sie die unmittelbare Geltung der Verordnung verbergen könnten4. Allerdings kann die Bindungswirkung einer Verordnung nur so weit reichen wie der Kompetenzbereich der EU. Im Übrigen fördert ein Zeugnisverweigerungsrecht das Ziel eines effektiven Datenschutzes und läuft dem Verordnungszweck damit nicht zuwider. Die Mitgliedstaaten sind somit nicht gehindert, ein Zeugnisverweigerungsrecht der Datenschutzbeauftragten zu regeln.

IV. Abberufung und Kündigung 8 Unter dem BDSG war hinsichtlich des besonderen Schutzes der Datenschutz-

beauftragten zwischen den Einschränkungen bei der Abberufung und den Einschränkungen bei der Kündigung des dem Arbeitsverhältnis zugrunde liegenden

1 Näher Simitis/Simitis, § 4f BDSG Rz. 173 für die Verletzung der Verschwiegenheitspflicht nach BDSG. 2 So z.B. durch besondere Rechtfertigungsgründe wie § 34 StGB (vgl. zum BDSG Komm. zu § 4f BDSG Rz. 51). 3 Dies ergibt sich aus dem Prinzip der begrenzten Einzelermächtigung (Art. 4 Abs. 1 i.V.m. Art. 5 Abs. 1 Satz 1 EUV) in Verbindung mit den (beschränkten) Kompetenzvorschriften für den Bereich der Strafjustiz (Art. 82 Abs. 2 AEUV) sowie für den Bereich der Ziviljustiz (Art. 81 Abs. 2 AEUV). 4 Vgl. statt vieler nur Callies/Ruffert, EUV/AEUV, Art. 288 AEUV Rz. 19 f. mit Nachweisen der EuGH-Rechtsprechung.

1178

|

von dem Bussche

Stellung des Datenschutzbeauftragten | Art. 38 DSGVO

Schuldverhältnisses differenziert worden. Beide Rechtsverhältnisse waren nur unter der besonderen Voraussetzung des Vorliegens eines wichtigen Grundes widerruflich bzw. kündbar (§ 4f Abs. 3 Sätze 4–6 BDSG). Die Grundverordnung trifft diese Unterscheidung nicht mehr so genau1. Stattdessen ist in Abs. 3 nur noch davon die Rede, der Beauftragte dürfe wegen der Erfüllung seiner Aufgaben nicht „abberufen oder benachteiligt“ werden. Statt Abberufung verwendet die englische Sprachfassung der DSGVO den Begriff „dismissal“, der regelmäßig die Kündigung im arbeitsrechtlichen Sinne bezeichnet. In beiden Fällen dürfte jedoch aus teleologischen Gründen bei intern bestellten 9 Datenschutzbeauftragten ein weitgehender Gleichlauf des bereichsspezifischen Abberufungs- und Kündigungsschutzes anzunehmen sein. Denn beide Mechanismen erfüllen letztlich nicht primär den Zweck eines persönlichen Arbeitsplatzschutzes, sondern dienen der Wirksamkeit des Datenschutzes2. Geht es darum zu verhindern, dass die Stellen sich missliebiger, weil pflichtbewusster Beauftragter im Falle intensiven Drängens auf ein datenschutzkonformes Geschäftsgebaren entledigen, so kann dies nur wirksam erreicht werden, wenn sowohl die Position des Beauftragten als auch das zugrunde liegende Rechtsverhältnis geschützt werden. Die schuldrechtlich gekündigte, aber als (externe) Datenschutzbeauftragte weiterhin ernannte Person wäre nämlich schon aus faktischen Gründen gehindert, ihre Funktion weiterhin wahrzunehmen. Der Datenschutzbeauftragte genießt den Schutz vor Beeinträchtigungen seiner 10 Position aufgrund der Erfüllung seiner Pflichten. Sie oder er darf nicht gerade wegen der pflichtgemäßen Aufgabenwahrnehmung nach Art. 39 benachteiligt werden, also z.B. wegen einer kritischen Rechtmäßigkeitsprüfung von Datenverarbeitungen der Stelle. Im Umkehrschluss sollte demnach davon ausgegangen werden, dass eine Abberufung und eine ordentliche wie außerordentliche Kündigung des Arbeits- oder sonst zugrunde liegenden Schuldverhältnisses aus anderen Gründen grundsätzlich jederzeit möglich ist, etwa wegen wirtschaftlicher oder betriebsorganisatorischer Gründe3. Der Zweck der Norm erfordert überdies einen Umgehungsschutz, also die Unwirksamkeit einer Abberufung oder Kündigung, wenn andere Gründe nur vorgeschoben werden. Eine in Art. 35 Abs. 7 des Kommissionsentwurfes vorgesehene Mindestamtszeit von zwei Jahren ist nicht in die Verordnung aufgenommen worden. Freilich lässt die Grundverordnung das mitgliedstaatliche Schuld- und Arbeits- 11 recht im Übrigen unberührt. Das Abberufungs- und Kündigungsverbot adressiert damit einerseits die Stelle, die den Beauftragten nicht wegen Pflichterfül1 So auch Hoeren, ZD 2012, 355 (356) in Bezug auf einen früheren Entwurf. 2 Vgl. zur Differenzierung der Regelungszwecke des Arbeitsplatzschutzes und der Wirksamkeit des Datenschutzes unter der Rechtslage des BDSG: Simitis/Simitis, § 4f BDSG Rz. 182. 3 Anders noch die Rechtslage nach dem BDSG nach Auffassung des LAG Berlin-Brandenburg, MMR 2010, 61.

von dem Bussche

|

1179

Art. 39 DSGVO | Verantwortlicher und Auftragsverarbeiter lung des Amtes entheben darf, und bindet andererseits die Mitgliedstaaten, die schuldrechtlich kein Kündigungsrecht aus gleichem Grunde vorsehen dürfen. Somit können Abberufung und Kündigung des (internen) Beauftragten auseinanderfallen, wenn etwa das mitgliedstaatliche Arbeitsrecht höhere Anforderungen an die Kündigung stellt als die Grundverordnung an die Abberufung. Der oben angesprochene Gleichlauf von Abberufungs- und Kündigungsschutz meint insofern lediglich, dass sowohl Abberufung als auch Kündigung aus dem Grunde pflichtgemäßer Aufgabenerfüllung gleichermaßen ausgeschlossen sind.

Artikel 39 Aufgaben des Datenschutzbeauftragten (1) Dem Datenschutzbeauftragten obliegen zumindest folgende Aufgaben: a) Unterrichtung und Beratung des Verantwortlichen oder des Auftragsverarbeiters und der Beschäftigten, die Verarbeitungen durchführen, hinsichtlich ihrer Pflichten nach dieser Verordnung sowie nach sonstigen Datenschutzvorschriften der Union bzw. der Mitgliedstaaten; b) Überwachung der Einhaltung dieser Verordnung, anderer Datenschutzvorschriften der Union bzw. der Mitgliedstaaten sowie der Strategien des Verantwortlichen oder des Auftragsverarbeiters für den Schutz personenbezogener Daten einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter und der diesbezüglichen Überprüfungen; c) Beratung – auf Anfrage – im Zusammenhang mit der Datenschutz-Folgenabschätzung und Überwachung ihrer Durchführung gemäß Artikel 35; d) Zusammenarbeit mit der Aufsichtsbehörde; e) Tätigkeit als Anlaufstelle für die Aufsichtsbehörde in mit der Verarbeitung zusammenhängenden Fragen, einschließlich der vorherigen Konsultation gemäß Artikel 36, und gegebenenfalls Beratung zu allen sonstigen Fragen. (2) Der Datenschutzbeauftragte trägt bei der Erfüllung seiner Aufgaben dem mit den Verarbeitungsvorgängen verbundenen Risiko gebührend Rechnung, wobei er die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung berücksichtigt. I. Einführung . . . . . . . . . . . . . . . II. Aufgaben des Datenschutzbeauftragten 1. Informations- und Überwachungspflichten . . . . . . . . . .

1180

|

von dem Bussche

1

2

2. Kooperations- und Kontaktpflichten . . . . . . . . . . . . . . . . .

5

Art. 39 DSGVO | Verantwortlicher und Auftragsverarbeiter lung des Amtes entheben darf, und bindet andererseits die Mitgliedstaaten, die schuldrechtlich kein Kündigungsrecht aus gleichem Grunde vorsehen dürfen. Somit können Abberufung und Kündigung des (internen) Beauftragten auseinanderfallen, wenn etwa das mitgliedstaatliche Arbeitsrecht höhere Anforderungen an die Kündigung stellt als die Grundverordnung an die Abberufung. Der oben angesprochene Gleichlauf von Abberufungs- und Kündigungsschutz meint insofern lediglich, dass sowohl Abberufung als auch Kündigung aus dem Grunde pflichtgemäßer Aufgabenerfüllung gleichermaßen ausgeschlossen sind.

Artikel 39 Aufgaben des Datenschutzbeauftragten (1) Dem Datenschutzbeauftragten obliegen zumindest folgende Aufgaben: a) Unterrichtung und Beratung des Verantwortlichen oder des Auftragsverarbeiters und der Beschäftigten, die Verarbeitungen durchführen, hinsichtlich ihrer Pflichten nach dieser Verordnung sowie nach sonstigen Datenschutzvorschriften der Union bzw. der Mitgliedstaaten; b) Überwachung der Einhaltung dieser Verordnung, anderer Datenschutzvorschriften der Union bzw. der Mitgliedstaaten sowie der Strategien des Verantwortlichen oder des Auftragsverarbeiters für den Schutz personenbezogener Daten einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter und der diesbezüglichen Überprüfungen; c) Beratung – auf Anfrage – im Zusammenhang mit der Datenschutz-Folgenabschätzung und Überwachung ihrer Durchführung gemäß Artikel 35; d) Zusammenarbeit mit der Aufsichtsbehörde; e) Tätigkeit als Anlaufstelle für die Aufsichtsbehörde in mit der Verarbeitung zusammenhängenden Fragen, einschließlich der vorherigen Konsultation gemäß Artikel 36, und gegebenenfalls Beratung zu allen sonstigen Fragen. (2) Der Datenschutzbeauftragte trägt bei der Erfüllung seiner Aufgaben dem mit den Verarbeitungsvorgängen verbundenen Risiko gebührend Rechnung, wobei er die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung berücksichtigt. I. Einführung . . . . . . . . . . . . . . . II. Aufgaben des Datenschutzbeauftragten 1. Informations- und Überwachungspflichten . . . . . . . . . .

1180

|

von dem Bussche

1

2

2. Kooperations- und Kontaktpflichten . . . . . . . . . . . . . . . . .

5

Aufgaben des Datenschutzbeauftragten | Art. 39 DSGVO Schrifttum: Bittner, Der Datenschutzbeauftragte gemäß EU-Datenschutz-Grundverordnungsentwurf, RDV 2014, 183; Hoeren, Der betriebliche Datenschutzbeauftragte – Neuerungen durch die geplante DSGVO, ZD 2012, 355; Klug, Stand der EU-parlamentarischen Beratungen zur Rolle des Datenschutzbeauftragten – ein kommentierter Überblick, RDV 2013, 14; Klug, Die Position des EU-Parlaments zur zukünftigen Rolle von Datenschutzbeauftragten – ein kommentierter Überblick, RDV 2014, 90; Veil, DSGVO: Risikobasierter Ansatz statt rigides Verbotsprinzip – Eine erste Bestandsaufnahme, ZD 2015, 347.

I. Einführung Art. 39 beschreibt die Aufgaben der betrieblichen und behördlichen Daten- 1 schutzbeauftragten. Diese bestehen insbesondere in Informations-, Kooperations- und Überwachungspflichten, nicht aber in der selbständigen Entscheidung über interne Angelegenheiten des Datenschutzes. Nach Abs. 2 sollen die Datenschutzbeauftragten bei der Erfüllung ihrer Aufgaben die jeweiligen Risiken der Verarbeitungsvorgänge unter Berücksichtigung von Art, Umfang, Umständen und Zwecken beachten. Die Ausgestaltung der Pflichten bzw. ihr Umfang im Einzelfall ist daher in hohem Maße abhängig von den konkreten Umständen innerhalb der jeweiligen Stelle, insbesondere von der Art der zu kontrollierenden Datenverarbeitungen. Die für Art. 39 maßgeblichen Erwägungen ergeben sich aus Erwägungsgrund 97.

II. Aufgaben des Datenschutzbeauftragten 1. Informations- und Überwachungspflichten Der Datenschutzbeauftragte hat nach Abs. 1 Buchst. a den Verantwortlichen 2 oder den Auftragsverarbeiter und deren Mitarbeiter, die mit der Datenverarbeitung befasst sind, über ihre Pflichten nach der Verordnung und gemäß anderer europäischer oder nationaler Rechtsvorschriften über den Datenschutz zu informieren und zu beraten. Mit Abs. 1 Buchst. b wird dem Datenschutzbeauftragten eine weitreichende Überwachungspflicht auferlegt. Sie oder er überwacht die Einhaltung des Datenschutzrechts, aber auch der internen Vorgaben in Bezug auf den Datenschutz innerhalb der Stelle. Dem Datenschutzbeauftragten steht nach dem deutlichen Wortlaut allerdings kein eigenes internes Entscheidungsrecht über Angelegenheiten des Datenschutzes zu1. Vielmehr treffen die Pflichten die Stelle und damit letztlich das verantwortliche Management selbst2. Dies betrifft nach dem Wortlaut des Abs. 1 Buchst. b auch die Pflicht zur Schu- 3 lung von Mitarbeitern, die unter dem BDSG ausdrücklich den Beauftragten zu1 Vgl. Klug, RDV 2013, 14 (16 f.). 2 In diese Richtung auch Hoeren, ZD 2012, 355 (357).

von dem Bussche

|

1181

Art. 40 DSGVO | Verantwortlicher und Auftragsverarbeiter gewiesen war (Komm. zu § 4g BDSG Rz. 17 ff.). Andererseits verlangt Abs. 1 Buchst. a vom Beauftragten, dass er die an der Datenverarbeitung beteiligten Personen über ihre Pflichten informiert. Dass dies in einem bloß passiven Sinne des Zur-Verfügung-Stehens verstanden werden soll, ist nicht ersichtlich; vielmehr soll der Beauftragte aktiv informieren. Die Grenze zwischen Schulung und Information über rechtliche Grundlagen verläuft fließend. Jedenfalls dürfte es für die Stellen aus ökonomischen Gesichtspunkten auch künftig sinnvoll sein, Aufgaben der Weiterbildung an die Beauftragten zu übertragen, welche die hierfür notwendige Expertise aufweisen. 4 Abs. 1 Buchst. c stellt klar, dass die Beauftragten auch die Durchführung der Da-

tenschutz-Folgenabschätzungen nach Art. 35 überwachen und diesbezüglich beraten. Auch hier begründet die Grundverordnung also keine ausführende Zuständigkeit, sondern lediglich eine Überwachungs- und Beratungspflicht. 2. Kooperations- und Kontaktpflichten

5 Nach dem Konzept der Grundverordnung erfüllen die Datenschutzbeauftragten

die Funktion des Ansprechpartners gegenüber den Aufsichtsbehörden. Zum einen sollen sie, wie Abs. 1 Buchst. d sehr allgemein anordnet, mit den Behörden kooperieren. Zum anderen sollen sie nach Abs. 1 Buchst. e als Anlaufstelle der Aufsichtsbehörden fungieren, auch im Rahmen des Konsultationsverfahrens bei der Datenschutz-Folgenabschätzung nach Art. 36, und sich ggf. mit der Behörde in allen sonstigen Fragen beraten. Damit bleibt es im Grundsatz bei dem aus dem BDSG bekannten Ansatz, externe und interne Kontrolle miteinander zu verbinden1. Den Beauftragten steht ein entsprechendes Ermessen zu, in welchen Fällen die Aufsichtsbehörden eingeschaltet werden.

Abschnitt 5 Verhaltensregeln und Zertifizierung

Artikel 40 Verhaltensregeln (1) Die Mitgliedstaaten, die Aufsichtsbehörden, der Ausschuss und die Kommission fördern die Ausarbeitung von Verhaltensregeln, die nach Maßgabe der Besonderheiten der einzelnen Verarbeitungsbereiche und der besonderen Bedürfnisse von Kleinstunternehmen sowie kleinen und mittleren Unternehmen zur ordnungsgemäßen Anwendung dieser Verordnung beitragen sollen. 1 Zum Konzept des BDSG s. Simitis/Simitis, § 4f BDSG Rz. 13.

1182

|

von dem Bussche/von Braunmühl

Art. 40 DSGVO | Verantwortlicher und Auftragsverarbeiter gewiesen war (Komm. zu § 4g BDSG Rz. 17 ff.). Andererseits verlangt Abs. 1 Buchst. a vom Beauftragten, dass er die an der Datenverarbeitung beteiligten Personen über ihre Pflichten informiert. Dass dies in einem bloß passiven Sinne des Zur-Verfügung-Stehens verstanden werden soll, ist nicht ersichtlich; vielmehr soll der Beauftragte aktiv informieren. Die Grenze zwischen Schulung und Information über rechtliche Grundlagen verläuft fließend. Jedenfalls dürfte es für die Stellen aus ökonomischen Gesichtspunkten auch künftig sinnvoll sein, Aufgaben der Weiterbildung an die Beauftragten zu übertragen, welche die hierfür notwendige Expertise aufweisen. 4 Abs. 1 Buchst. c stellt klar, dass die Beauftragten auch die Durchführung der Da-

tenschutz-Folgenabschätzungen nach Art. 35 überwachen und diesbezüglich beraten. Auch hier begründet die Grundverordnung also keine ausführende Zuständigkeit, sondern lediglich eine Überwachungs- und Beratungspflicht. 2. Kooperations- und Kontaktpflichten

5 Nach dem Konzept der Grundverordnung erfüllen die Datenschutzbeauftragten

die Funktion des Ansprechpartners gegenüber den Aufsichtsbehörden. Zum einen sollen sie, wie Abs. 1 Buchst. d sehr allgemein anordnet, mit den Behörden kooperieren. Zum anderen sollen sie nach Abs. 1 Buchst. e als Anlaufstelle der Aufsichtsbehörden fungieren, auch im Rahmen des Konsultationsverfahrens bei der Datenschutz-Folgenabschätzung nach Art. 36, und sich ggf. mit der Behörde in allen sonstigen Fragen beraten. Damit bleibt es im Grundsatz bei dem aus dem BDSG bekannten Ansatz, externe und interne Kontrolle miteinander zu verbinden1. Den Beauftragten steht ein entsprechendes Ermessen zu, in welchen Fällen die Aufsichtsbehörden eingeschaltet werden.

Abschnitt 5 Verhaltensregeln und Zertifizierung

Artikel 40 Verhaltensregeln (1) Die Mitgliedstaaten, die Aufsichtsbehörden, der Ausschuss und die Kommission fördern die Ausarbeitung von Verhaltensregeln, die nach Maßgabe der Besonderheiten der einzelnen Verarbeitungsbereiche und der besonderen Bedürfnisse von Kleinstunternehmen sowie kleinen und mittleren Unternehmen zur ordnungsgemäßen Anwendung dieser Verordnung beitragen sollen. 1 Zum Konzept des BDSG s. Simitis/Simitis, § 4f BDSG Rz. 13.

1182

|

von dem Bussche/von Braunmühl

Verhaltensregeln | Art. 40 DSGVO

(2) Verbände und andere Vereinigungen, die Kategorien von Verantwortlichen oder Auftragsverarbeitern vertreten, können Verhaltensregeln ausarbeiten oder ändern oder erweitern, mit denen die Anwendung dieser Verordnung beispielsweise zu dem Folgenden präzisiert wird: a) faire und transparente Verarbeitung; b) die berechtigten Interessen des Verantwortlichen in bestimmten Zusammenhängen; c) Erhebung personenbezogener Daten; d) Pseudonymisierung personenbezogener Daten; e) Unterrichtung der Öffentlichkeit und der betroffenen Personen; f) Ausübung der Rechte betroffener Personen; g) Unterrichtung und Schutz von Kindern und Art und Weise, in der die Einwilligung des Trägers der elterlichen Verantwortung für das Kind einzuholen ist; h) die Maßnahmen und Verfahren gemäß den Artikeln 24 und 25 und die Maßnahmen für die Sicherheit der Verarbeitung gemäß Artikel 32; i) die Meldung von Verletzungen des Schutzes personenbezogener Daten an Aufsichtsbehörden und die Benachrichtigung der betroffenen Person von solchen Verletzungen des Schutzes personenbezogener Daten; j) die Übermittlung personenbezogener Daten an Drittländer oder an internationale Organisationen oder k) außergerichtliche Verfahren und sonstige Streitbeilegungsverfahren zur Beilegung von Streitigkeiten zwischen Verantwortlichen und betroffenen Personen im Zusammenhang mit der Verarbeitung, unbeschadet der Rechte betroffener Personen gemäß den Artikeln 77 und 79. (3) Zusätzlich zur Einhaltung durch die unter diese Verordnung fallenden Verantwortlichen oder Auftragsverarbeiter können Verhaltensregeln, die gemäß Absatz 5 des vorliegenden Artikels genehmigt wurden und gemäß Absatz 9 des vorliegenden Artikels allgemeine Gültigkeit besitzen, können auch von Verantwortlichen oder Auftragsverarbeitern, die gemäß Artikel 3 nicht unter diese Verordnung fallen, eingehalten werden, um geeignete Garantien im Rahmen der Übermittlung personenbezogener Daten an Drittländer oder internationale Organisationen nach Maßgabe des Artikels 46 Absatz 2 Buchstabe e zu bieten. Diese Verantwortlichen oder Auftragsverarbeiter gehen mittels vertraglicher oder sonstiger rechtlich bindender Instrumente die verbindliche und durchsetzbare Verpflichtung ein, die geeigneten Garantien anzuwenden, auch im Hinblick auf die Rechte der betroffenen Personen. (4) Die Verhaltensregeln gemäß Absatz 2 des vorliegenden Artikels müssen Verfahren vorsehen, die es der in Artikel 41 Absatz 1 genannten Stelle ermöglichen, die obligatorische Überwachung der Einhaltung ihrer Bestimmungen durch die Verantwortlichen oder die Auftragsverarbeiter, die sich von Braunmühl

|

1183

Art. 40 DSGVO | Verantwortlicher und Auftragsverarbeiter zur Anwendung der Verhaltensregeln verpflichten, vorzunehmen, unbeschadet der Aufgaben und Befugnisse der Aufsichtsbehörde, die nach Artikel 55 oder 56 zuständig ist. (5) Verbände und andere Vereinigungen gemäß Absatz 2 des vorliegenden Artikels, die beabsichtigen, Verhaltensregeln auszuarbeiten oder bestehende Verhaltensregeln zu ändern oder zu erweitern, legen den Entwurf der Verhaltensregeln bzw. den Entwurf zu deren Änderung oder Erweiterung der Aufsichtsbehörde vor, die nach Artikel 55 zuständig ist. Die Aufsichtsbehörde gibt eine Stellungnahme darüber ab, ob der Entwurf der Verhaltensregeln bzw. der Entwurf zu deren Änderung oder Erweiterung mit dieser Verordnung vereinbar ist und genehmigt diesen Entwurf der Verhaltensregeln bzw. den Entwurf zu deren Änderung oder Erweiterung, wenn sie der Auffassung ist, dass er ausreichende geeignete Garantien bietet. (6) Wird durch die Stellungnahme nach Absatz 5 der Entwurf der Verhaltensregeln bzw. der Entwurf zu deren Änderung oder Erweiterung genehmigt und beziehen sich die betreffenden Verhaltensregeln nicht auf Verarbeitungstätigkeiten in mehreren Mitgliedstaaten, so nimmt die Aufsichtsbehörde die Verhaltensregeln in ein Verzeichnis auf und veröffentlicht sie. (7) Bezieht sich der Entwurf der Verhaltensregeln auf Verarbeitungstätigkeiten in mehreren Mitgliedstaaten, so legt die nach Artikel 55 zuständige Aufsichtsbehörde – bevor sie den Entwurf der Verhaltensregeln bzw. den Entwurf zu deren Änderung oder Erweiterung genehmigt – ihn nach dem Verfahren gemäß Artikel 63 dem Ausschuss vor, der zu der Frage Stellung nimmt, ob der Entwurf der Verhaltensregeln bzw. der Entwurf zu deren Änderung oder Erweiterung mit dieser Verordnung vereinbar ist oder – im Fall nach Absatz 3 dieses Artikels – geeignete Garantien vorsieht. (8) Wird durch die Stellungnahme nach Absatz 7 bestätigt, dass der Entwurf der Verhaltensregeln bzw. der Entwurf zu deren Änderung oder Erweiterung mit dieser Verordnung vereinbar ist oder – im Fall nach Absatz 3 – geeignete Garantien vorsieht, so übermittelt der Ausschuss seine Stellungnahme der Kommission. (9) Die Kommission kann im Wege von Durchführungsrechtsakten beschließen, dass die ihr gemäß Absatz 8 übermittelten genehmigten Verhaltensregeln bzw. deren genehmigte Änderung oder Erweiterung allgemeine Gültigkeit in der Union besitzen. Diese Durchführungsrechtsakte werden gemäß dem Prüfverfahren nach Artikel 93 Absatz 2 erlassen. (10) Die Kommission trägt dafür Sorge, dass die genehmigten Verhaltensregeln, denen gemäß Absatz 9 allgemeine Gültigkeit zuerkannt wurde, in geeigneter Weise veröffentlicht werden. (11) Der Ausschuss nimmt alle genehmigten Verhaltensregeln bzw. deren genehmigte Änderungen oder Erweiterungen in ein Register auf und veröffentlicht sie in geeigneter Weise. 1184

|

von Braunmühl

Verhaltensregeln | Art. 40 DSGVO I. Einführung . . . . . . . . . . . . . 1. Entstehungsgeschichte . . . . . 2. Verhältnis zwischen Art. 40 und 42 . . . . . . . . . . . . . . . . . II. Anwendung . . . . . . . . . . . . 1. Verhaltensregeln für einen Mitgliedstaat . . . . . . . . . . . . 2. Verhaltensregeln für mehrere Mitgliedstaaten . . . . . . . . . .

.. ..

1 3

.. ..

8 9

. . 12 . . 15

III. Rechtsfolgen 1. Rechtsfolgen der Genehmigung 2. Grundlage für die Datenübertragung in Drittstaaten . . . . . . 3. Berücksichtigung bei der Strafbemessung . . . . . . . . . . . 4. Territoriale Wirkung . . . . . . . 5. Rechtsfolgen der Allgemeingültigkeitserklärung . . . . . . . .

18 . 20 . 21 . 22 . 23

Schrifttum: von Braunmühl, Selbstregulierung im Datenschutz – Chancen, Grenzen, Herausforderungen, DIVSI magazin 7/2013, 11; von Braunmühl, Ansätze zur Ko-Regulierung in der Datenschutz-Grundverordnung, PinG 2015, 231; Brown/Marsden, Regulating Code (2013); Buck-Heeb/Dieckmann, Selbstregulierung im Privatrecht, 2010; Christiansen, Selbstregulierung, regulatorischer Wettbewerb und staatliche Eingriffe im Internet, MMR 2000, 123; Kranig/Peintinger, Selbstregulierung im Datenschutzrecht, ZD 2014, 3; Krings/ Mammen, Zertifizierungen und Verhaltensregeln – Bausteine eines modernen Datenschutzes für die Industrie 4.0, RDV 2015, 231; Moos, Die Entwicklung des Datenschutzrechts im Jahr 2013, K&R 2014, 149; Schaar, Selbstregulierung im Datenschutz – Chancen, Grenzen, Risiken, DIVSI magazin 7/2013, 8; Schaar, Selbstregulierung und Selbstkontrolle – Auswege aus dem Kontrolldilemma?, DuD 2003, 421; Spindler/Thorun, Eckpunkte einer digitalen Ordnungspolitik (2015); Vomhof, Verhaltensregeln nach § 38a BDSG – Der Code of Conduct der Versicherungswirtschaft, PinG 2014, 209; Voss/Hurrelbrink (Hrsg.), Die digitale Öffentlichkeit, Band 2, Interview mit Prof. Dr. Wolfgang Schulz (August 2015), S. 13 ff.; Wronka, Anmerkungen zu den Verhaltensregeln der Deutschen Versicherungswirtschaft, RDV 2014.

I. Einführung Mit Art. 40 wird der bisher in Art. 27 der EG-Datenschutzrichtlinie (95/46/EG) 1 von 1995 geregelte Ansatz zur Förderung von Verhaltensregeln (Codes of Conduct) deutlich weiterentwickelt. Bisher gab es auf europäischer Ebene nur wenige Beispiele für eine erfolgreiche Anwendung von Art. 27 der Datenschutzrichtlinie1 bzw. der nationalen Umsetzungsgesetze2. In Deutschland wurden bisher lediglich der Code of Conduct der Versicherungswirtschaft3 und der GeoBusiness Code of Conduct der GIW-Kommission und des SRIW4 von den Auf1 S. Spindler/Thorun, Eckpunkte einer digitalen Ordnungspolitik, S. 60 ff., http://www.sr iw.de/stage/images/pdf/Spindler_Thorun-Eckpunkte_digitale_Ordnungspolitik_final.pdf (zuletzt abgerufen am 14.7.2015). 2 S. z.B. von Braunmühl, PinG 2015, 231. 3 S. z.B. Vomhof, PinG 2014, 209; Wronka, RDV 2014, 93. 4 S. Pressemeldung des SRIW vom 3.8.2015 abrufbar unter: http://sriw.de/index.php/ak tuelles/151-staatssekretaerin-zypries-begruesst-anerkennung-einheitlicher-datenschutz vorgaben-fuer-geodaten-durch-aufsichtsbehoerden (zuletzt abgerufen am 12.5.2016).

von Braunmühl

|

1185

Art. 40 DSGVO | Verantwortlicher und Auftragsverarbeiter sichtsbehörden nach § 38a anerkannt. Ein wichtiger Grund für die bisherige Zurückhaltung bei der Möglichkeit, Verhaltensregeln den Aufsichtsbehörden zur Prüfung vorzulegen, lag in der vagen Ausgestaltung von Art. 27 hinsichtlich Prüfverfahren, Prüfmaßstab und Rechtsfolgen. Der neue Art. 40 ist hinsichtlich des Genehmigungsverfahrens deutlich detaillierter, auch wenn gerade auf der Rechtsfolgenseite immer noch viele Fragen offenbleiben, die im Wege der Auslegung zu klären sein werden. Nach den Erwägungsgründen 77, 81 und 98 sollen genehmigte Verhaltensregeln die Anwendung der Verordnung erleichtern, indem sie konkretisieren, welche Maßnahmen verantwortliche Stellen oder Auftragsdatenverarbeiter genau ergreifen sollten, um ihre Pflichten nach der Verordnung zu erfüllen und identifizierte Risiken bei der Datenverarbeitung einzudämmen. Nach Erwägungsgrund 99 sollen bei der Ausarbeitung auch die einschlägigen interessierten Kreise konsultiert werden, also auf neudeutsch die relevanten Stakeholder. Das soll möglichst auch die Betroffenen einschließen. Da diese kaum einzeln befragt werden können, sind damit wohl die Verbraucherverbände gemeint, ggf. auch Gewerkschaften oder andere Arbeitnehmervertretungen. Deren Stellungnahmen sollen bei der Ausarbeitung der Verhaltensregeln berücksichtigt werden. 2 Der neue Art. 40 ist insgesamt eine große Chance, die Rahmenbedingungen

für eine funktionierende Ko-Regulierung im Datenschutz grundlegend zu verbessern und die Wirkung von Ko-Regulierungsmaßnahmen der Wirtschaft über die bisherige Rolle als „amtlich bestätigte Interpretationshilfe“1 hinaus zu stärken. Instrumente der Selbst- und Ko-Regulierung gewinnen im Zuge der Digitalisierung und der rasanten technischen Entwicklung an Bedeutung2, weil sie die Möglichkeit bieten, Regelungsziele auf innovationsfreundliche Weise zu erreichen3 und abstrakte gesetzliche Prinzipien im Interesse der Rechtssicherheit zu konkretisieren.4 Gerade bei grenzüberschreitenden Datenströmen ist diese Möglichkeit von besonderer Relevanz.5 Dieser Ansatz entspricht auch den Vorgaben der neuen Better Regulation Guidelines der EU, die im Mai 2015 veröffentlicht wurden6. Die dort vorgeschlagene Reduzierung der Regulierungsdichte in Bereichen mit schnellem technologischem Wandel wurde in der Verordnung insgesamt allerdings zu wenig berücksichtigt.

1 2 3 4

So etwa Gola/Schomerus, § 38a BDSG Rz. 2. Brown/Marsden, Regulating Code, S. 2 ff. S. Interview mit Wolfgang Schulz, Die digitale Öffentlichkeit, Band II, S. 22 f. Schaar, DIVSI magazin 7/2013, 10; von Braunmühl, DIVSI magazin 7/2013, 11; Kranig/ Peintinger, ZD 2014, 4. 5 So auch Christiansen, MMR 2000, 123. 6 Better Regulation Toolbox, 168 u.a., abzurufen unter: http://ec.europa.eu/smart-regula tion/guidelines/docs/br_toolbox_en.pdf.

1186

|

von Braunmühl

Verhaltensregeln | Art. 40 DSGVO

1. Entstehungsgeschichte Die EU-Kommission hatte in ihrem Entwurf vom Januar 20121 die bisherige Re- 3 gelung aus der Richtlinie fast wortgleich übernommen und mit einigen Ergänzungen versehen. Ergänzt wurden im jetzigen Abs. 2 Buchst. a–h Beispiele, für die eine Entwicklung von Verhaltensregeln besonders wünschenswert wäre. Gegenüber den nationalen Aufsichtsbehörden blieb es bei der vagen Möglichkeit, Verhaltensregeln vorzulegen und um eine Stellungnahme zu bitten, ob diese mit der Verordnung vereinbar sind. Neu war die vorgesehene Möglichkeit der EUKommission, ihr vorgelegte Verhaltensregeln, die sich auf mehrere Mitgliedstaaten beziehen, durch einen Durchführungsrechtsakt im sog. Ausschussverfahren für allgemein gültig zu erklären (Abs. 9). In dem im März 2014 vom EU-Parlament verabschiedeten Bericht zum Entwurf 4 einer Datenschutz-Grundverordnung2 fanden sich nur wenige Änderungsanträge zu Art. 38 (jetzt Art. 40). So sollte nach dessen Abs. 1 auch „die Annahme von durch eine Aufsichtsbehörde ausgearbeiteten Verhaltensregeln“ gefördert werden. Im Beispielkatalog wird „die Achtung der Rechte der Verbraucher“ ergänzt. Vorgeschlagen wurde auch, dass Aufsichtsbehörden „unverzüglich“ Stellung zu ihnen vorgelegten Verhaltensregeln nehmen „müssen“. Die Möglichkeit der Kommission, Verhaltensregeln für allgemein gültig zu erklären, wurde akzeptiert, aber eine Beteiligung des Parlaments gefordert. Entsprechende delegierte Rechtsakte sollten nach Vorstellung des Parlaments auch durchsetzbare Rechte für Betroffene enthalten. Im Juni 2015 legte der Rat seine Vorschläge vor3, die eine Reihe von Änderun- 5 gen zu Art. 38 (jetzt Art. 40) beinhalteten. Ergänzt wurde ein neuer Art. 38a (jetzt Art. 41), mit dem die Kontrolle der Einhaltung von anerkannten Verhaltensregeln gestärkt werden soll. In Art. 38 Abs. 1 (jetzt Art. 40) ergänzte der Rat die Berücksichtigung der Bedürfnisse von kleinen und mittelständischen Unternehmen. Im Beispielkatalog wurden einige Punkte gestrichen und andere Beispiele wie die Pseudonymisierung von Daten ergänzt. Übernommen wurde der Vorschlag des Parlaments, dass Aufsichtsbehörden auf Antrag zur Vereinbarkeit von Verhaltensregeln mit der Verordnung Stellung nehmen müssen und nicht lediglich können. Über die Stellungnahme hinaus müssen sie Verhaltensregeln anerkennen, wenn 6 diese ausreichende Schutzmaßnahmen vorsehen. In den neu hinzugefügten Absätzen 6 und 7 wird unterschieden, ob sich Verhaltensregeln lediglich auf Datenverarbeitungsprozesse in einem Mitgliedstaat beziehen oder in mehreren. Im ersten Fall registriert und veröffentlicht die zuständige Aufsichtsbehörde die an1 http://ec.europa.eu/justice/data-protection/document/review2012/com_2012_11_en.pdf. 2 http://www.europarl.europa.eu/sides/getDoc.do?pubRef=-%2F%2FEP%2F%2FTEXT%2B REPORT%2BA7-2013-0402%2B0%2BDOC%2BXML%2BV0%2F%2FEN&language=EN. 3 http://data.consilium.europa.eu/doc/document/ST-9565-2015-INIT/en/pdf.

von Braunmühl

|

1187

Art. 40 DSGVO | Verantwortlicher und Auftragsverarbeiter erkannten Verhaltensregeln. Im zweiten Fall, wenn sich die Verhaltensregeln auf Datenverarbeitungsprozesse in mehreren Mitgliedstaaten beziehen, muss die zuständige Aufsichtsbehörde vor der Anerkennung den Europäischen Datenschutzausschuss im Rahmen eines Kohärenzverfahrens nach Art. 63 anhören. Der Ausschuss muss dann mit einfacher Mehrheit eine Stellungnahme abgeben, die von der vorlegenden Aufsichtsbehörde zu berücksichtigen ist. Im Falle eines positiven Votums übermittelt der Europäische Datenschutzausschuss die Verhaltensregeln an die Kommission, die nach Abs. 9 entscheiden kann, diese im Wege eines Durchführungsrechtsaktes für allgemein gültig zu erklären. 7 Diese Vorschläge des Rates haben sich im Trilog durchgesetzt. Die substantielle

und chancenreiche Weiterentwicklung des Rechtsrahmens für die Selbst- und Ko-Regulierung ist daher letztendlich vor allem dem Rat zu verdanken. Für Unternehmen ergibt sich daraus insgesamt ein deutlich größerer Anreiz an der Entwicklung von Verhaltensregeln mitzuwirken bzw. sich ihnen anzuschließen1. Neben Nachweiserleichterungen gegenüber den Aufsichtsbehörden lassen sich die mit der Datenverarbeitung verbundenen rechtlichen Risiken einschließlich der Verhängung drastischer Bußgelder (bis zu 4% des weltweiten Umsatzes) durch anerkannte Verhaltensregeln deutlich reduzieren. 2. Verhältnis zwischen Art. 40 und 42

8 Das Verhältnis zwischen Verhaltensregeln und Zertifizierungen nach Art. 42

(s.a. Einführung zu Art. 42) ist als komplementär zu bewerten. Dabei sollten grundsätzlich beide Instrumente erwogen und ggf. auch miteinander kombiniert werden. Während Verhaltensregeln die notwendigen technischen und organisatorischen Maßnahmen für einen bestimmten Kontext, ein bestimmtes Produkt oder eine ganze Branche konkretisieren können, sind Zertifikate nach der DSGVO eher zum Nachweis rein technischer Maßnahmen für einzelne ganz konkrete Datenverarbeitungsvorgänge geeignet. Eine Kombination beider Instrumente kann z.B. sinnvoll sein, um durch bestimmte Zertifikate die Einhaltung genehmigter Verhaltensregeln zu demonstrieren. In der unternehmerischen Praxis wird sich im Regelfall anbieten, die jeweils ressourcenschonendste Alternative/Kombination dieser Mittel zum Nachweis der Rechtskonformität zu wählen. So sind Zertifizierungen stets mit einer kostenverursachenden umfassenden Kontrolle der konkreten Maßnahmen vor Ort verbunden, während Verhaltensregeln auf eine kontinuierlich involvierte freiwillige Selbstkontrolle setzen, die in aller Regel eher anlassbezogen Kontrollen hinsichtlich der korrekten Implementierung der Maßnahmen durchführen wird. Gerade komplexe und verbundene Verarbeitungsvorgänge bedürfen für eine Zertifikaterteilung einer ressourcenintensiven Vorabüberprüfung. Möchte also ein Unternehmen für eine Vielzahl von Verarbeitungsvorgängen schnell und effizient in den Genuss 1 Vgl. Spindler/Thorun, S. 39.

1188

|

von Braunmühl

Verhaltensregeln | Art. 40 DSGVO

der Erleichterung des Nachweises der Rechtskonformität kommen, bietet sich an, die für den Schutz personenbezogener Daten erforderlichen Maßnahmen in Verhaltensregeln zusammenzufassen, diese nach den Anforderungen des Art. 40 anerkennen zu lassen und eine nach Art. 41 anerkannte Stelle als freiwillige Selbstkontrolle einzusetzen. Sollte hingegen ausschließlich oder ergänzend für einzelne Verarbeitungsvorgänge der Bedarf an Rechtssicherheit bestehen, bieten sich im Sinne eines effektiven Ressourceneinsatzes hierfür eher Zertifizierungen i.S.v. Art. 42 an.

II. Anwendung Abs. 1 enthält ein Gebot für bestimmte staatliche Stellen, die Ausarbeitung von 9 Verhaltensregeln zu fördern, um damit zur ordnungsgemäßen Anwendung der Verordnung beizutragen. Da die Verordnung unmittelbar anwendbar ist und es keiner nationalen Umsetzungsgesetze mehr bedarf, dürfte dieser aus der Richtlinie übernommene allgemeine Passus in der Praxis wenig Relevanz entfalten. Wichtig ist aber die Ergänzung, dass bei der Anwendung von Art. 40 die besonderen Bedürfnisse von Kleinstunternehmen sowie kleinen und mittleren Unternehmen zu berücksichtigen sind. Berechtigt zur Ausarbeitung, Änderung und Erweiterung von Verhaltensregeln 10 sowie deren Vorlage bei der zuständigen Aufsichtsbehörde sind nach Abs. 2 und Abs. 5 Verbände und andere Vereinigungen, die Kategorien von für die Verarbeitung Verantwortlichen oder Auftragsverarbeitern vertreten. Gemeint sind damit insbesondere Branchen- und Berufsverbände, aber auch andere Organisationsformen, in denen sich Unternehmen zusammenschließen, z.B. auch im Konzern verbundene Unternehmen. Eine Mindestzahl an vertretenen Unternehmen oder eine bestimmte Branchenabdeckung ist nicht erforderlich. Ein Einzelunternehmen ist aber nicht antragsberechtigt. Eine Pflicht zur Vorlage von Verhaltensregeln bei der zuständigen Aufsichtsbehörde ist mit Art. 40 Abs. 5 aber nicht verbunden. So ist es entsprechend bisheriger Praxis gut möglich und in bestimmten Fällen auch sinnvoll, dass Verbände Verhaltensregeln als reine Selbstregulierung betreiben und auf eine Stellungnahme bzw. Genehmigung durch die Aufsichtsbehörden verzichten. Diese entfalten dann allerdings auch nicht die in der Verordnung vorgesehenen Rechtswirkungen und Nachweiserleichterungen. Abs. 2 benennt eine Reihe von Beispielen, bei denen die Anwendung der Ver- 11 ordnung durch Verhaltensregeln konkretisiert werden können, wie z.B. Pseudonymisierungsverfahren, Transparenzmaßnahmen und Verfahren zur Erleichterung der Ausübung subjektiver Rechte von Betroffenen. Die Aufzählung ist nicht abschließend.

von Braunmühl

|

1189

Art. 40 DSGVO | Verantwortlicher und Auftragsverarbeiter 1. Verhaltensregeln für einen Mitgliedstaat 12 Zuständig für die Anerkennung von Verhaltensregeln ist nach Abs. 5 i.V.m.

Art. 55 die nationale Aufsichtsbehörde, in dessen Hoheitsgebiet der Antragsteller seinen Sitz hat und für das die Verhaltensregeln gelten sollen. Die Aufsichtsbehörde muss auf Antrag in einem zweistufigen Verfahren dazu Stellung nehmen, ob die vorgelegten Verhaltensregeln mit der Verordnung vereinbar sind und genehmigt diese, soweit sie „ausreichende geeignete Garantien“ bieten (Art. 40 Abs. 5 S. 2). Die Genehmigung ist gegenüber Art. 27 EG-Datenschutzrichtlinie und § 38a BDSG, die lediglich eine Prüfung der Vereinbarkeit der Verhaltensregeln mit dem Gesetz vorsahen, ein Novum. Anders als in Art. 46 werden in diesem Abschnitt keine konkreten Beispiele für solche Garantien genannt. Aus dem Sinn und Zweck der Vorschrift sowie aus der Gesetzessystematik ergibt sich, dass ausreichende geeignete Garantien zum einen angemessene Schutzmaßnahmen zur Umsetzung der Pflichten der verantwortlichen Stelle bzw. des Auftragsdatenverarbeiters vorsehen und zum anderen eine Gewähr dafür bieten müssen, dass die entsprechenden Verhaltensregeln von den Unterzeichnern auch beachtet werden. Das bedeutet u.a., dass die Verhaltensregeln die Anwendung einzelner Vorschriften der Verordnung in der Praxis erleichtern müssen, indem diese kontextspezifisch z.B. durch technisch organisatorische Maßnahmen konkretisiert und interpretiert werden. Die gelegentlich durch deutsche Aufsichtsbehörden erfolgte Auslegung, dass Verhaltensregeln i.S.d. BDSG über das Gesetz hinausgehende Pflichten beinhalten müssten, ist nach dem Wortlaut der DSGVO nunmehr eindeutig ausgeschlossen. Maßstab für die Verhaltensregeln bildet daher ausschließlich das Gesetz. 13 Zu ausreichenden geeigneten Garantien hinsichtlich der Umsetzung der Verhaltensregeln gehört einerseits eine rechtliche Bindungswirkung, die durch eine Selbstverpflichtungserklärung von Unternehmen herbeigeführt werden kann. Weiterhin muss eine zuverlässige externe Kontrolle der Einhaltung gewährleistet werden (s.a. Art. 40 Abs. 4). Soweit eine nach Art. 41 akkreditierte private Stelle mit der Kontrolle der Einhaltung der Verhaltensregeln (und einer Sanktionierung im Fall eines Verstoßes) beauftragt wird, ist nach der Systematik der Art. 40 ff. von einer ausreichenden und geeigneten Garantie auszugehen. Wenn das nicht der Fall ist, müssen andere ebenso wirksame Garantien vorgesehen werden. Obwohl die Beauftragung privater Kontrolleinrichtungen nach Art. 41 grundsätzlich freiwillig ist („kann“), müssen Verhaltensregeln nach Abs. 4 zwingend „Verfahren vorsehen, die es der in Art. 41 Abs. 1 genannten Stelle ermöglichen, die obligatorische Überwachung der Einhaltung ihrer Bestimmungen (…) vorzunehmen“ (s.o.). Dies erscheint auf den ersten Blick widersprüchlich, ist aber wohl so zu verstehen, dass sowohl die externe Überwachung als auch entsprechende Verfahren zwingend sind, die Überwachung aber theoretisch auch durch eine andere als die in Art. 41 genannten Stellen durchgeführt werden kann. In Betracht käme z.B. eine Überwachung durch die Aufsichtsbehörden, die sich aber erfahrungsgemäß weder in der Rolle sehen noch über entspre1190

|

von Braunmühl

Verhaltensregeln | Art. 40 DSGVO

chende Ressourcen verfügen, neben der Einhaltung der Gesetze auch noch die Einhaltung von Verhaltensregeln zu kontrollieren. Die Beauftragung einer nach Art. 41 akkreditierten privaten Stelle dürfte daher der Regelfall sein. Eine Beteiligung bzw. Anhörung relevanter Stakeholder ist keine Genehmigungsvoraussetzung für Verhaltensregeln, wird aber in Erwägungsgrund 99 ausdrücklich als wünschenswert bezeichnet (s. Rz. 1). Die Einbeziehung interessierter Kreise bei der Erarbeitung von Verhaltensregeln ist auch eine Grundregel in den EU-Prinzipien für bessere Selbst- und Ko-Regulierung1, die aber ebenfalls nicht rechtlich verbindlich sind. Denkbar ist, dass die Aufsichtsbehörde eine Anhörung vor der Genehmigung nachholt, falls eine solche bei der Ausarbeitung der Verhaltensregeln nicht stattgefunden hat. Die nationale Aufsichtsbehörde veröffentlicht genehmigte Verhaltensregeln für 14 ihr Hoheitsgebiet in einem öffentlichen Verzeichnis (Art. 40 Abs. 6). 2. Verhaltensregeln für mehrere Mitgliedstaaten Wenn sich Verhaltensregeln auf Datenverarbeitungen in mehreren Mitgliedstaa- 15 ten der EU (d.h. mindestens zwei) beziehen2, muss die nationale Aufsichtsbehörde diese gemäß Abs. 7 vor der Genehmigung dem Europäischen Datenausschuss vorlegen. Dieser muss dann im Kohärenzverfahren nach Art. 63 ff. zum Beschlussentwurf der vorlegenden Aufsichtsbehörde Stellung nehmen und sich dabei zu der Frage äußern, ob der Entwurf der vorgelegten Verhaltensregeln mit der Verordnung vereinbar ist bzw. geeignete Garantien vorsieht. Gemäß Art. 64 Abs. 3 wird über diese Stellungnahmen innerhalb einer Frist 16 von acht Wochen mit einfacher Mehrheit entschieden. Wenn die Stellungnahme besonders komplexe Fragen beinhaltet, kann diese Frist um weitere sechs Wochen verlängert werden. Wenn sich ein Mitglied des Ausschusses innerhalb dieser Frist nicht äußert, wird von einer Zustimmung ausgegangen. Dieses Verfahren verspricht im Vergleich zu den bisherigen langwierigen Abstimmungsprozessen mit dem Düsseldorfer Kreis eine erhebliche Beschleunigung3 und wird die deutschen Aufsichtsbehörden unter Druck setzen, sich innerhalb der o.g. Fristen auf eine einheitliche Stellungnahme zu einigen. Die zuständige nationale Aufsichtsbehörde soll bei ihrer Entscheidung der Stellungnahme des Europäischen Datenschutzes gemäß Art. 64 Abs. 7 „weitestgehend Rechnung“ tragen und den Ausschuss über diese Entscheidung informieren. Weicht sie von der Stellungnahme des Ausschusses nach Art. 64 Abs. 8 insgesamt oder teilweise ab, kann der Ausschuss nach Art. 65 Abs. 1 mit Zwei-Drittel-Mehrheit einen 1 Abzurufen unter https://ec.europa.eu/digital-agenda/sites/digital-agenda/files/CoP%20%20Principles%20for%20better%20self-%20and%20co-regulation.pdf. 2 Kritisch zur Unterscheidung zwischen nationalen Verhaltensregeln und Verhaltensregeln für mehrere EU-Staaten Krings/Mammen, RDV 2015, 235. 3 So auch Krings/Mammen, RDV 2015, 235.

von Braunmühl

|

1191

Art. 40 DSGVO | Verantwortlicher und Auftragsverarbeiter verbindlichen Beschluss fassen, der für die nationale Aufsichtsbehörde verbindlich ist. Für Einzelheiten des Kohärenzverfahrens wird auf die Ausführungen zu Art. 63 ff. verwiesen. Gemäß Art. 40 Abs. 8 übermittelt der Europäische Datenschutzausschuss seine Stellungnahme an die Kommission, wenn er eine Genehmigung der Verhaltensregeln empfiehlt. 17 Die Kommission kann diese Verhaltensregeln mit einem Durchführungsrechts-

akt für allgemein gültig erklären (Art. 40 Abs. 9). Das Verfahren richtet sich nach Art. 93 Abs. 2 i.V.m. Art. 5 und 8 der Verordnung (EU) Nr. 182/2011. Danach kann die Kommission den Durchführungsrechtsakt sofort in Kraft setzen, legt diesen aber gleichzeitig einem Ausschuss mit Vertretern der Mitgliedstaaten vor. Erhebt der Ausschuss mit Mehrheitsentscheidung ein Veto, wird ein Konsultationsverfahren eingeleitet, das im Ergebnis zu einer Änderung oder einer Aufhebung des Rechtsaktes führen kann. Eine Beteiligung des Parlaments erfolgt nicht.

III. Rechtsfolgen 1. Rechtsfolgen der Genehmigung 18 Rechtsfolge der Genehmigung von Verhaltensregeln durch die zuständige Auf-

sichtsbehörde ist zum einen eine gewisse Selbstbindung der Verwaltung bei der Auslegung der Verordnung1. Im Übrigen ergeben sich weitere Rechtsfolgen aus den verschiedenen Verweisen in der Verordnung. Im Gegenzug zur Befolgung genehmigter Verhaltensregeln werden Nachweiserleichterungen im Hinblick auf angemessene technisch organisatorische Maßnahmen und die Erfüllung weiterer Pflichten nach der DSGVO gewährt. So wird Auftragsverarbeitern z.B. die Möglichkeit gegeben, hinreichende Garantien dafür zu bieten, dass die betreffenden technischen und organisatorischen Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen der DSGVO erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet (Art. 28 Abs. 5 i.V.m. Abs. 1 bzw. beim Einsatz von Subauftragsverarbeitern Abs. 4). Dabei können die Aufsichtsbehörden die Einhaltung genehmigter Verhaltensregeln bei der Beurteilung der Gesetzeskonformität von Unternehmen „als einen Faktor“ berücksichtigen.

19 Verweise mit Nachweiserleichterungen finden sich u.a. in Art. 24 Abs. 3 (Ver-

antwortung des für die Verarbeitung Verantwortlichen), Art. 28 Abs. 5 (Auftragsdatenverarbeitung), Art. 32 Abs. 3 (Sicherheit der Verarbeitung) und Art. 35 Abs. 8 (Datenschutz-Folgenabschätzung).

1 S. Krings/Mammen, RDV 2015, 233.

1192

|

von Braunmühl

Verhaltensregeln | Art. 40 DSGVO

2. Grundlage für die Datenübertragung in Drittstaaten Genehmigte Verhaltensregeln, die von der Kommission für allgemein gültig er- 20 klärt wurden, können nach Art. 40 Abs. 3 als Garantie i.S.d. Art. 46 Abs. 2e und damit als Grundlage für die Übertragung von Daten in Drittstaaten genutzt werden. 3. Berücksichtigung bei der Strafbemessung Die zuständige Aufsichtsbehörde hat nach Art. 83 Abs. 2 Buchst. j auch bei der 21 Bemessung von Bußgeldern die Einhaltung von Verhaltensregeln nach Art. 40 als begünstigenden Umstand zu berücksichtigen. Dies stellt einen weiteren Anreiz für Unternehmen dar, sich Verhaltensregeln nach Art. 40 anzuschließen, weil dadurch im Falle eines Verstoßes gegen die Verordnung mit einem geringeren Bußgeld gerechnet werden kann. 4. Territoriale Wirkung Die oben dargestellten rechtlichen Wirkungen beziehen sich bei genehmigten 22 Verhaltensregeln, die das Kohärenzverfahren durchlaufen haben, grundsätzlich auf die gesamte EU. Diese rechtlichen Wirkungen sind letztlich nicht mehr als eine Interpretationshilfe („kann als ein Faktor berücksichtigt werden“), der den Aufsichtsbehörden einen weiten Ermessensspielraum lässt. Im Rahmen dieses Ermessensspielraums können abweichende nationale Regelungen, die z.B. aufgrund von Öffnungsklauseln in der Verordnung erlassen wurden, ausreichend berücksichtigt werden. Voraussetzung für die Anrufung des Europäischen Datenschutzausschusses, der nach Art. 68 eine eigene Rechtspersönlichkeit hat, ist gemäß Art. 40 Abs. 7, dass Verhaltensregeln sich auf Datenverarbeitungsvorgänge in mehreren Mitgliedstaaten beziehen. Es wäre daher widersinnig, wenn eine Entscheidung des Ausschusses im Kohärenzverfahren lediglich rechtliche Wirkungen in einem Mitgliedstaat zur Folge hätte. 5. Rechtsfolgen der Allgemeingültigkeitserklärung Interessant ist die Frage, welche Rechtsfolge ein Durchführungsrechtsakt der 23 Kommission hat, der Verhaltensregeln für allgemein gültig erklärt (Art. 40 Abs. 9). Weil es sich dabei um einen formalen Rechtsakt unter Beteiligung der Mitgliedstaaten handelt (s. Rz. 16), liegt die Vermutung nahe, dass damit die Begründung einer Allgemeinverbindlichkeit ähnlich dem deutschen Tarifrecht (§ 5 Abs. 1 TVG) gemeint ist. Durch diese Möglichkeit würde aber das Grundprinzip der Selbst- und Ko-Regulierung untergraben, wonach eine Bindungswirkung für Unternehmen erst durch eine freiwillige Selbstverpflichtung entsteht. Außerdem knüpft das Bundesverfassungsgericht an die Erklärung der Allgemeinverbindlichkeit auch bei Tarifverträgen strenge Anforderungen. Eine Übervon Braunmühl

|

1193

Art. 41 DSGVO | Verantwortlicher und Auftragsverarbeiter tragung dieser Möglichkeit auf den Datenschutz ist daher kritisch zu sehen1. Die EU-Kommission sollte daher wenn überhaupt nur in absoluten Ausnahmefällen eine Allgemeinverbindlichkeit von Verhaltensregeln in Erwägung ziehen, z.B. wenn dies zur Eindämmung von Trittbrettfahrern im öffentlichen Interesse dringend geboten ist. Als milderes Mittel sollte die EU-Kommission Art. 40 Abs. 9 so auslegen, dass die Allgemeingültigkeit von Verhaltensregeln Unternehmen, die sich zu deren Einhaltung verpflichtet haben, eine widerlegbare Konformitätsvermutung mit den Artikeln der Verordnung gewährt, die durch die jeweiligen Verhaltensregeln umgesetzt werden. Diese an das Produktsicherheitsrecht (New Regulatory Framework) angelehnte Wirkung2 ist im EU-Recht bereits erprobt und anerkannt und würde zudem eine enorme Anreizwirkung für Unternehmen entfalten, sich an der Erarbeitung von Verhaltensregeln zu beteiligen und diese umzusetzen3. Die Knüpfung von rechtlichen Wirkungen an genehmigte Verhaltenskodizes über die in der Verordnung an verschiedenen Stellen ausdrücklich erwähnte Interpretationshilfe für Aufsichtsbehörden („kann als ein Faktor berücksichtigt werden“) ist in diesem Umfang absolut wünschenswert, weil dadurch ein höheres Maß an Rechtssicherheit erzeugt wird. 24 Gegen die grundsätzlich ebenfalls mögliche Auslegung, dass die allgemeine Gül-

tigkeit von Verhaltensregeln lediglich die Rechtsfolgen der Genehmigung (s. Rz. 18) auf die gesamte EU erstreckt, spricht zum einen die abweichende Wortwahl „allgemeine Gültigkeit“ statt „EU weite Genehmigung“ und darüber hinaus die hier vertretene Auffassung, dass die genannten Rechtsfolgen (Interpretationshilfe) bereits durch die Genehmigung der zuständigen Aufsichtsbehörde nach einem entsprechenden Kohärenzverfahren unionsweit gelten (s. Rz. 22).

Artikel 41 Überwachung der genehmigten Verhaltensregeln (1) Unbeschadet der Aufgaben und Befugnisse der zuständigen Aufsichtsbehörde gemäß den Artikeln 57 und 58 kann die Überwachung der Einhaltung von Verhaltensregeln gemäß Artikel 40 von einer Stelle durchgeführt werden, die über das geeignete Fachwissen hinsichtlich des Gegenstands der Verhaltensregeln verfügt und die von der zuständigen Aufsichtsbehörde zu diesem Zweck akkreditiert wurde. (2) Eine Stelle gemäß Absatz 1 kann zum Zwecke der Überwachung der Einhaltung von Verhaltensregeln akkreditiert werden, wenn sie 1 So im Ergebnis auch Spindler/Thorun, S. 54. 2 S. Buck-Heeb/Dieckmann, S. 170. 3 Spindler/Thorun, S. 55.

1194

|

von Braunmühl

Art. 41 DSGVO | Verantwortlicher und Auftragsverarbeiter tragung dieser Möglichkeit auf den Datenschutz ist daher kritisch zu sehen1. Die EU-Kommission sollte daher wenn überhaupt nur in absoluten Ausnahmefällen eine Allgemeinverbindlichkeit von Verhaltensregeln in Erwägung ziehen, z.B. wenn dies zur Eindämmung von Trittbrettfahrern im öffentlichen Interesse dringend geboten ist. Als milderes Mittel sollte die EU-Kommission Art. 40 Abs. 9 so auslegen, dass die Allgemeingültigkeit von Verhaltensregeln Unternehmen, die sich zu deren Einhaltung verpflichtet haben, eine widerlegbare Konformitätsvermutung mit den Artikeln der Verordnung gewährt, die durch die jeweiligen Verhaltensregeln umgesetzt werden. Diese an das Produktsicherheitsrecht (New Regulatory Framework) angelehnte Wirkung2 ist im EU-Recht bereits erprobt und anerkannt und würde zudem eine enorme Anreizwirkung für Unternehmen entfalten, sich an der Erarbeitung von Verhaltensregeln zu beteiligen und diese umzusetzen3. Die Knüpfung von rechtlichen Wirkungen an genehmigte Verhaltenskodizes über die in der Verordnung an verschiedenen Stellen ausdrücklich erwähnte Interpretationshilfe für Aufsichtsbehörden („kann als ein Faktor berücksichtigt werden“) ist in diesem Umfang absolut wünschenswert, weil dadurch ein höheres Maß an Rechtssicherheit erzeugt wird. 24 Gegen die grundsätzlich ebenfalls mögliche Auslegung, dass die allgemeine Gül-

tigkeit von Verhaltensregeln lediglich die Rechtsfolgen der Genehmigung (s. Rz. 18) auf die gesamte EU erstreckt, spricht zum einen die abweichende Wortwahl „allgemeine Gültigkeit“ statt „EU weite Genehmigung“ und darüber hinaus die hier vertretene Auffassung, dass die genannten Rechtsfolgen (Interpretationshilfe) bereits durch die Genehmigung der zuständigen Aufsichtsbehörde nach einem entsprechenden Kohärenzverfahren unionsweit gelten (s. Rz. 22).

Artikel 41 Überwachung der genehmigten Verhaltensregeln (1) Unbeschadet der Aufgaben und Befugnisse der zuständigen Aufsichtsbehörde gemäß den Artikeln 57 und 58 kann die Überwachung der Einhaltung von Verhaltensregeln gemäß Artikel 40 von einer Stelle durchgeführt werden, die über das geeignete Fachwissen hinsichtlich des Gegenstands der Verhaltensregeln verfügt und die von der zuständigen Aufsichtsbehörde zu diesem Zweck akkreditiert wurde. (2) Eine Stelle gemäß Absatz 1 kann zum Zwecke der Überwachung der Einhaltung von Verhaltensregeln akkreditiert werden, wenn sie 1 So im Ergebnis auch Spindler/Thorun, S. 54. 2 S. Buck-Heeb/Dieckmann, S. 170. 3 Spindler/Thorun, S. 55.

1194

|

von Braunmühl

Überwachung der genehmigten Verhaltensregeln | Art. 41 DSGVO

a) ihre Unabhängigkeit und ihr Fachwissen hinsichtlich des Gegenstands der Verhaltensregeln zur Zufriedenheit der zuständigen Aufsichtsbehörde nachgewiesen hat; b) Verfahren festgelegt hat, die es ihr ermöglichen, zu bewerten, ob Verantwortliche und Auftragsverarbeiter die Verhaltensregeln anwenden können, die Einhaltung der Verhaltensregeln durch die Verantwortlichen und Auftragsverarbeiter zu überwachen und die Anwendung der Verhaltensregeln regelmäßig zu überprüfen; c) Verfahren und Strukturen festgelegt hat, mit denen sie Beschwerden über Verletzungen der Verhaltensregeln oder über die Art und Weise, in der die Verhaltensregeln von dem Verantwortlichen oder dem Auftragsverarbeiter angewendet werden oder wurden, nachgeht und diese Verfahren und Strukturen für betroffene Personen und die Öffentlichkeit transparent macht, und d) zur Zufriedenheit der zuständigen Aufsichtsbehörde nachgewiesen hat, dass ihre Aufgaben und Pflichten nicht zu einem Interessenkonflikt führen. (3) Die zuständige Aufsichtsbehörde übermittelt den Entwurf der Kriterien für die Akkreditierung einer Stelle nach Absatz 1 gemäß dem Kohärenzverfahren nach Artikel 63 an den Ausschuss. (4) Unbeschadet der Aufgaben und Befugnisse der zuständigen Aufsichtsbehörde und der Bestimmungen des Kapitels VIII ergreift eine Stelle gemäß Absatz 1 vorbehaltlich geeigneter Garantien im Falle einer Verletzung der Verhaltensregeln durch einen Verantwortlichen oder einen Auftragsverarbeiter geeignete Maßnahmen, einschließlich eines vorläufigen oder endgültigen Ausschlusses des Verantwortlichen oder Auftragsverarbeiters von den Verhaltensregeln. Sie unterrichtet die zuständige Aufsichtsbehörde über solche Maßnahmen und deren Begründung. (5) Die zuständige Aufsichtsbehörde widerruft die Akkreditierung einer Stelle gemäß Absatz 1, wenn die Voraussetzungen für ihre Akkreditierung nicht oder nicht mehr erfüllt sind oder wenn die Stelle Maßnahmen ergreift, die nicht mit dieser Verordnung vereinbar sind. (6) Dieser Artikel gilt nicht für die Verarbeitung durch Behörden oder öffentliche Stellen. I. Einführung . . . . . . . . . . . . . . .

1

II. Anwendung . . . . . . . . . . . . . .

3

Schrifttum: von Braunmühl, Ansätze zur Ko-Regulierung in der Datenschutz-Grundverordnung, PinG 2015, 231; Dehmel, Umsetzungsoptionen der Ko-Regulierung im Datenschutz, Kompendium Digitale Standortpolitik (2013), 162; Krings/Mammen, Zertifizierungen und Verhaltensregeln – Bausteine eines modernen Datenschutzes für die Industrie 4.0, RDV 2015, 231; Kranig/Peintinger, Selbstregulierung im Datenschutzrecht, ZD 2014, 3.

von Braunmühl

|

1195

Art. 41 DSGVO | Verantwortlicher und Auftragsverarbeiter I. Einführung 1 Der auf Vorschlag des Rates neu eingefügte Art. 41 ermöglicht es Verbänden

und Unternehmen, eine private Stelle mit der nach Art. 40 Abs. 4 obligatorischen Überwachung der Einhaltung von Verhaltensregeln zu betrauen. Die Etablierung dieses bereits im Jugendmedienschutz bewährten Modells der Freiwilligen Selbstkontrolle gewährleistet zum einen eine unabhängige und zuverlässige Kontrolle, dass Verhaltensregeln in der Praxis auch tatsächlich umgesetzt werden. Gleichzeitig führt die Einrichtung privater ggf. brancheninterner Kontrollstellen dazu, dass Unternehmen, die sich freiwillig zur Einhaltung von Verhaltensregeln verpflichten, darauf vertrauen können, dass sie bei der Überprüfung keine hoheitlichen Maßnahmen der Aufsichtsbehörden befürchten müssen. Dieses Vertrauen ist ein wichtiger Anreiz für Unternehmen, sich zur Einhaltung untergesetzlicher Verhaltensregeln zu verpflichten.1

2 Neben den etablierten Einrichtungen der Freiwilligen Selbstkontrolle im Bereich

des Jugendmedienschutzes (FSF, FSK, FSM und USK) gibt es in Deutschland mit dem vom Branchenverband Bitkom und führenden Unternehmen der digitalen Wirtschaft gegründeten SRIW (Selbstregulierung Informationswirtschaft e.V.) auch im Bereich des Datenschutzes bereits eine solche Institution, die Unternehmen bei der Erarbeitung von Verhaltensregeln unterstützt und deren Einhaltung überwacht. Durch die in Art. 41 vorgesehene Pflicht zur Akkreditierung wird die Legitimation der freiwilligen Selbstkontrolle im Datenschutz voraussichtlich noch verbessert2. Vorteile der freiwilligen Selbstkontrolle sind u.a. eine Verbesserung der Marktüberwachung durch zusätzliche Ressourcen (ergänzend zu den meist eher begrenzten Kapazitäten der Aufsichtsbehörden) sowie eine Entlastung der Gerichte (durch Klärung von Fällen im Vorfeld gerichtlicher Verfahren).

II. Anwendung 3 Art. 41 sieht ein Akkreditierungsverfahren für private Kontrolleinrichtungen

vor, die die Einhaltung der nach Art. 40 anerkannten Verhaltensregeln gewährleisten sollen. Voraussetzung für eine Akkreditierung durch die zuständige Aufsichtsbehörde ist der Nachweis ausreichender Expertise und Unabhängigkeit in Bezug auf einen bestimmten Verhaltenskodex, der Ausschluss möglicher Interessenskonflikte, die Existenz eines angemessenen Beschwerdeverfahrens sowie die Möglichkeit, Sanktionen bei Verstößen zu verhängen. Zur Konkretisierung der in Art. 41 Abs. 2 Buchst. a–d aufgeführten Voraussetzungen soll die zuständige Aufsichtsbehörde die Kriterien für eine Akkreditierung im Rahmen des Kohärenzverfahrens an den Europäischen Datenschutzausschuss übermitteln, der

1 So auch Krings/Mammen, RDV 2015, 235; Kranig/Peintinger, ZD 2014, 7. 2 von Braunmühl, PinG 2015, 232.

1196

|

von Braunmühl

Überwachung der genehmigten Verhaltensregeln | Art. 41 DSGVO

im Regelfall innerhalb von sechs Wochen mit der Mehrheit seiner Mitglieder einen Beschluss über eine Stellungnahme fasst. Nach Art. 41 Abs. 2 Buchst. a muss die private Kontrollstelle der zuständigen 4 Aufsichtsbehörde ihre Unabhängigkeit und ihr Fachwissen in Bezug auf bestimmte nach Art. 40 genehmigte Verhaltensregeln nachweisen. Als Nachweis für ein angemessenes Fachwissen sind z.B. Ausbildungszeugnisse von Mitarbeitern geeignet, bspw. ein juristisches Staatsexamen oder eine Zertifizierung als Datenschutzbeauftragter. Für die notwendige Unabhängigkeit muss ein Weisungsrecht einzelner Unternehmen gegenüber einzelnen Mitarbeitern ausgeschlossen sein. Ein von mehreren voneinander unabhängigen Unternehmen getragener Verein, der von einem Kollegium wie einem Vorstand mit mindestens drei Personen geführt wird, dürfte hingegen unabhängig genug sein. Weitere Voraussetzung für die Akkreditierung ist nach Buchst. b die Festlegung 5 von Verfahren, die eine Bewertung, Überwachung und regelmäßige Überprüfung der Umsetzung von Verfahrensregeln ermöglichen. Welche Befugnisse den Einrichtungen der freiwilligen Selbstkontrolle dafür im Einzelnen eingeräumt werden sollte, hängt vom genauen Inhalt der Verhaltensregeln, dem jeweiligen Sachverhalt und von dem mit der entsprechenden Datenverarbeitung verbundenen Risiko ab1. Für die Bewertung der Umsetzung sind eine plausible Zusicherung (ggf. gestützt durch ergänzende Unterlagen) und eine entsprechende Selbstverpflichtungserklärung des jeweiligen Unternehmens im Regelfall ausreichend. Für die Überwachung ist ein transparentes Beschwerdeverfahren für Betroffene und ggf. auch Wettbewerber entscheidend, um Verdachtsfällen nachgehen zu können, Verstöße abzustellen oder ggf. in den Verhaltensregeln vorgesehene Sanktionen zu verhängen. Eine Überprüfung der Umsetzung von Verhaltensregeln kann bei Transparenzmaßnahmen von außen, z.B. durch eine Kontrolle von Websites durchgeführt werden, bei komplexen technischen Maßnahmen aber auch eine Vorortkontrolle bis hin zu einem Audit bei den Unterzeichnern der Verhaltensregeln erfordern. Alternativ kann der Unterzeichner die Umsetzung einzelner Maßnahmen auch durch eine Zertifizierung nach Art. 42 nachweisen. In solchen Fällen kommt eine Mischung der Instrumente nach Art. 40 und 42 in Betracht2. Nach Buchst. c muss die private Stelle zusätzlich ein transparentes und durch 6 klare Verfahrensregeln strukturiertes Beschwerdeverfahren anbieten, in dessen Rahmen behaupteten Verstößen gegen die Verhaltensregeln durch deren Unterzeichner nachgegangen wird. Gemäß Buchst. d soll die private Stelle zudem nachweisen, dass ihre Aufgaben 7 und Pflichten nicht zu Interessenkonflikten führen. Dafür sollte sichergestellt wer1 Für einen differenzierten Ansatz auch Dehmel, Umsetzungsoptionen der Ko-Regulierung im Datenschutz, S. 168. 2 So auch Dehmel, S. 172.

von Braunmühl

|

1197

Art. 42 DSGVO | Verantwortlicher und Auftragsverarbeiter den, dass Entscheidungen über die Frage, ob ein Verstoß gegen Verhaltensregeln vorliegt und wie dieser ggf. sanktioniert wird nicht durch die Unterzeichner selbst, sondern durch einen unabhängigen Beschwerdeausschuss getroffen werden. 8 Auch wenn die in Art. 41 genannten Voraussetzungen für die Akkreditierung

bereits hinreichend bestimmt sind, soll die zuständige Aufsichtsbehörde nach Abs. 3 einen Entwurf für die genauen Kriterien (bezogen auf bestimmte Verhaltensregeln) an den Europäischen Datenschutzausschuss übermitteln, der im Kohärenzverfahren dazu Stellung nimmt bzw. entscheidet.

9 Nach Abs. 4 muss eine nach Abs. 2 akkreditierte Stelle die Möglichkeit haben,

bei Verstößen gegen die von ihr überwachten Verhaltensregeln angemessene Maßnahmen zu ergreifen. Als Beispiel für mögliche Sanktionen wird ein vorläufiger oder endgültiger Ausschluss von Unternehmen vom Verhaltenskodex genannt. Die zuständige Aufsichtsbehörde muss über die ergriffenen Maßnahmen und ihre Begründung informiert werden.

10 Eine einmal erteilte Akkreditierung von Einrichtungen der freiwilligen Selbst-

kontrolle kann von der zuständigen Aufsicht widerrufen werden, wenn die Voraussetzungen nicht mehr erfüllt sind (Abs. 5).

Artikel 42 Zertifizierung (1) Die Mitgliedstaaten, die Aufsichtsbehörden, der Ausschuss und die Kommission fördern insbesondere auf Unionsebene die Einführung von datenschutzspezifischen Zertifizierungsverfahren sowie von Datenschutzsiegeln und -prüfzeichen, die dazu dienen, nachzuweisen, dass diese Verordnung bei Verarbeitungsvorgängen von Verantwortlichen oder Auftragsverarbeitern eingehalten wird. Den besonderen Bedürfnissen von Kleinstunternehmen sowie kleinen und mittleren Unternehmen wird Rechnung getragen. (2) Zusätzlich zur Einhaltung durch die unter diese Verordnung fallenden Verantwortlichen oder Auftragsverarbeiter können auch datenschutzspezifische Zertifizierungsverfahren, Siegel oder Prüfzeichen, die gemäß Absatz 5 des vorliegenden Artikels genehmigt worden sind, vorgesehen werden, um nachzuweisen, dass die Verantwortlichen oder Auftragsverarbeiter, die gemäß Artikel 3 nicht unter diese Verordnung fallen, im Rahmen der Übermittlung personenbezogener Daten an Drittländer oder internationale Organisationen nach Maßgabe von Artikel 46 Absatz 2 Buchstabe f geeignete Garantien bieten. Diese Verantwortlichen oder Auftragsverarbeiter gehen mittels vertraglicher oder sonstiger rechtlich bindender Instrumente die verbindliche und durchsetzbare Verpflichtung ein, diese geeigneten Garantien anzuwenden, auch im Hinblick auf die Rechte der betroffenen Personen. 1198

|

von Braunmühl

Art. 42 DSGVO | Verantwortlicher und Auftragsverarbeiter den, dass Entscheidungen über die Frage, ob ein Verstoß gegen Verhaltensregeln vorliegt und wie dieser ggf. sanktioniert wird nicht durch die Unterzeichner selbst, sondern durch einen unabhängigen Beschwerdeausschuss getroffen werden. 8 Auch wenn die in Art. 41 genannten Voraussetzungen für die Akkreditierung

bereits hinreichend bestimmt sind, soll die zuständige Aufsichtsbehörde nach Abs. 3 einen Entwurf für die genauen Kriterien (bezogen auf bestimmte Verhaltensregeln) an den Europäischen Datenschutzausschuss übermitteln, der im Kohärenzverfahren dazu Stellung nimmt bzw. entscheidet.

9 Nach Abs. 4 muss eine nach Abs. 2 akkreditierte Stelle die Möglichkeit haben,

bei Verstößen gegen die von ihr überwachten Verhaltensregeln angemessene Maßnahmen zu ergreifen. Als Beispiel für mögliche Sanktionen wird ein vorläufiger oder endgültiger Ausschluss von Unternehmen vom Verhaltenskodex genannt. Die zuständige Aufsichtsbehörde muss über die ergriffenen Maßnahmen und ihre Begründung informiert werden.

10 Eine einmal erteilte Akkreditierung von Einrichtungen der freiwilligen Selbst-

kontrolle kann von der zuständigen Aufsicht widerrufen werden, wenn die Voraussetzungen nicht mehr erfüllt sind (Abs. 5).

Artikel 42 Zertifizierung (1) Die Mitgliedstaaten, die Aufsichtsbehörden, der Ausschuss und die Kommission fördern insbesondere auf Unionsebene die Einführung von datenschutzspezifischen Zertifizierungsverfahren sowie von Datenschutzsiegeln und -prüfzeichen, die dazu dienen, nachzuweisen, dass diese Verordnung bei Verarbeitungsvorgängen von Verantwortlichen oder Auftragsverarbeitern eingehalten wird. Den besonderen Bedürfnissen von Kleinstunternehmen sowie kleinen und mittleren Unternehmen wird Rechnung getragen. (2) Zusätzlich zur Einhaltung durch die unter diese Verordnung fallenden Verantwortlichen oder Auftragsverarbeiter können auch datenschutzspezifische Zertifizierungsverfahren, Siegel oder Prüfzeichen, die gemäß Absatz 5 des vorliegenden Artikels genehmigt worden sind, vorgesehen werden, um nachzuweisen, dass die Verantwortlichen oder Auftragsverarbeiter, die gemäß Artikel 3 nicht unter diese Verordnung fallen, im Rahmen der Übermittlung personenbezogener Daten an Drittländer oder internationale Organisationen nach Maßgabe von Artikel 46 Absatz 2 Buchstabe f geeignete Garantien bieten. Diese Verantwortlichen oder Auftragsverarbeiter gehen mittels vertraglicher oder sonstiger rechtlich bindender Instrumente die verbindliche und durchsetzbare Verpflichtung ein, diese geeigneten Garantien anzuwenden, auch im Hinblick auf die Rechte der betroffenen Personen. 1198

|

von Braunmühl

Zertifizierung | Art. 42 DSGVO

(3) Die Zertifizierung muss freiwillig und über ein transparentes Verfahren zugänglich sein. (4) Eine Zertifizierung gemäß diesem Artikel mindert nicht die Verantwortung des Verantwortlichen oder des Auftragsverarbeiters für die Einhaltung dieser Verordnung und berührt nicht die Aufgaben und Befugnisse der Aufsichtsbehörden, die gemäß Artikel 55 oder 56 zuständig sind. (5) Eine Zertifizierung nach diesem Artikel wird durch die Zertifizierungsstellen nach Artikel 43 oder durch die zuständige Aufsichtsbehörde anhand der von dieser zuständigen Aufsichtsbehörde gemäß Artikel 58 Absatz 3 oder – gemäß Artikel 63 – durch den Ausschuss genehmigten Kriterien erteilt. Werden die Kriterien vom Ausschuss genehmigt, kann dies zu einer gemeinsamen Zertifizierung, dem Europäischen Datenschutzsiegel, führen. (6) Der Verantwortliche oder der Auftragsverarbeiter, der die von ihm durchgeführte Verarbeitung dem Zertifizierungsverfahren unterwirft, stellt der Zertifizierungsstelle nach Artikel 43 oder gegebenenfalls der zuständigen Aufsichtsbehörde alle für die Durchführung des Zertifizierungsverfahrens erforderlichen Informationen zur Verfügung und gewährt ihr den in diesem Zusammenhang erforderlichen Zugang zu seinen Verarbeitungstätigkeiten. (7) Die Zertifizierung wird einem Verantwortlichen oder einem Auftragsverarbeiter für eine Höchstdauer von drei Jahren erteilt und kann unter denselben Bedingungen verlängert werden, sofern die einschlägigen Voraussetzungen weiterhin erfüllt werden. Die Zertifizierung wird gegebenenfalls durch die Zertifizierungsstellen nach Artikel 43 oder durch die zuständige Aufsichtsbehörde widerrufen, wenn die Voraussetzungen für die Zertifizierung nicht oder nicht mehr erfüllt werden. (8) Der Ausschuss nimmt alle Zertifizierungsverfahren und Datenschutzsiegel und -prüfzeichen in ein Register auf und veröffentlicht sie in geeigneter Weise. I. Einführung . . . . . . . . . . . . . . . II. Anwendung . . . . . . . . . . . . . .

1 6

III. Zertifizierungsfolgen . . . . . . . . 13

Schrifttum von Braunmühl, Ansätze zur Ko-Regulierung in der Datenschutz-Grundverordnung, PinG 2015, 231; Hornung/Hartl, Datenschutz durch Marktanreize – auch in Europa?, ZD 2014, 219; Krings/Mammen, Zertifizierungen und Verhaltensregeln – Bausteine eines modernen Datenschutzes für die Industrie 4.0, RDV 2015, 231; Laue/Nink/Kremer, Das neue Datenschutzrecht in der betrieblichen Praxis, 2016; Spindler/Thorun, Eckpunkte einer digitalen Ordnungspolitik, 2016.

I. Einführung Zertifizierungsverfahren, Datenschutzsiegel und -prüfzeichen sollen die Trans- 1 parenz und die Einhaltung der Datenschutzgesetze verbessern und dadurch Bevon Braunmühl

|

1199

Art. 42 DSGVO | Verantwortlicher und Auftragsverarbeiter troffenen ermöglichen, rasch das Datenschutzniveau von Produkten und Diensten zu bewerten1. Daher sollen die Mitgliedstaaten, die Aufsichtsbehörden, der Europäische Datenschutzausschuss und die Kommission deren Einführung – insbesondere auf Unionsebene – fördern. Die Art. 42 und 43 normieren die allgemeinen Rahmenbedingungen für solche Zertifizierungsverfahren; wobei in der konkreten Ausgestaltung über die bisherige Regelung des § 9a BDSG hinausgegangen wird2. Denn § 9a BDSG brachte lediglich die Intention des Gesetzgebers zum Ausdruck, im Datenschutzrecht auf Auditverfahren setzen zu wollen3. Die konkrete Ausgestaltung der Verfahren sollte gemäß § 9a Satz 2 BDSG spezialgesetzlich erfolgen; was jedoch bis dato nicht geschehen ist (s. ausführlich Komm. zu § 9a BDSG Rz. 1, 3). 2 Mit der DSGVO wird zwar ebenso wie mit § 9a BDSG kein konkretes Zertifi-

zierungsverfahren unmittelbar vorgeschrieben und es gilt abzuwarten, ob und in welcher Form tatsächlich wie vorgesehen weitere Konkretisierungen der Zertifizierungskriterien durch die zuständigen Aufsichtsbehörden oder den Europäischen Datenschutzausschuss genehmigt werden (Art. 42 Abs. 5, Art. 57 Abs. 1 Buchst. n, Art. 70 Abs. 1 Buchst. n) bzw. die EU-Kommission technische Standards für Zertifizierungsverfahren festlegt (Art. 42 Abs. 9). Die DSGVO lässt aber zumindest mit den Art. 42 f. Eckpunkte solcher Verfahren erkennen und schafft gewisse Anreize zur Durchführung von Zertifizierungen (s. Rz. 13 f.), woraus der Rechtsanwender bereits jetzt Hinweise auf den möglichen Aufwand und Nutzen von Zertifizierungen, Datenschutzsiegeln und -prüfzeichen im Sinne der DSGVO ableiten kann4.

3 Im Gesetzgebungsverfahren wurden hinsichtlich der Durchführung von Zerti-

fizierungen unterschiedliche Ansätze verfolgt. Während der erste Entwurf der Europäischen Kommission lediglich allgemeine Bezugnahmen auf Zertifizierungen enthielt und keinerlei Aussage zum rechtlichen Charakter der Zertifizierungen und der konkreten Anforderungen an die Zertifizierungsstellen traf5, wurde sich – in Gleichlauf mit den Art. 40 f. – in der finalen Fassung für einen ko-regulatorischen Ansatz entschieden. In der konkreten Ausgestaltung insofern, dass nur von gewissen staatlichen Stellen genehmigte Kriterien für eine Zertifizierung nach Art. 42 herangezogen werden dürfen. Zudem dürfen solche Zertifizierungen ausschließlich von der Aufsichtsbehörde, die für den datenschutzrechtlich Verantwortlichen oder den Auftragsverarbeiter zuständig ist, oder von einer nach den Voraussetzungen des Art. 43 akkreditierten privaten Stellen durchgeführt werden. Im Gegenzug kommen den datenschutzrechtlich Verantwort1 Erwägungsgrund 100. 2 S.a. Laue/Nink/Kremer, Kap. 8 Rz. 28. 3 Zur begrifflichen Differenzierung zwischen Zertifizierung und Audit s. Hornung/Hartl, ZD 2015, 219 (220). 4 Ähnlich Laue/Nink/Kremer, Kap. 8 Rz. 28. 5 S. dazu ausführlich Krings/Mammen, RDV 2015, 231 (232 f.).

1200

|

von Braunmühl

Zertifizierung | Art. 42 DSGVO

lichen und Auftragsverarbeitern, die Verarbeitungsvorgänge nach diesen Vorgaben haben zertifizieren lassen, Erleichterungen des Nachweises zugute, dass die Regelungen der DSGVO eingehalten worden sind. Insgesamt handelt es sich bei den Art. 42 f. um einen gesetzlichen Rahmen beste- 4 hend aus Mindestanforderungen an private Zertifizierungsstellen, staatlicher Genehmigungspflicht für Zertifizierungskriterien und Anreizsetzung für die Wirtschaft. Darin spiegelt sich – insbesondere in der Gesamtbetrachtung mit den Art. 40 f. und den über das Gesetz verteilten Nachweiserleichterungen bzgl. der Rechtskonformität – die in der Wissenschaft aufgekommene Forderung wieder, auch1 im Datenschutzrecht stärker auf ko-regulatorische Ansätze als Mittel zur Konkretisierung der notwendigerweise allgemein gehaltenen gesetzgeberischen Vorgaben zu setzen und dadurch eine Verbesserung der regulatorischen Flexibilität und der Rechtssicherheit in einem stark innovationsgetriebenen Umfeld zu erreichen2. Das Verhältnis zwischen Zertifizierung und Verhaltensregeln nach Art. 40 ist 5 als komplementär zu bewerten. Dabei sollten grundsätzlich beide Instrumente erwogen und ggf. auch miteinander kombiniert werden. Während Verhaltensregeln die notwendigen technischen und organisatorischen Maßnahmen für einen bestimmten Kontext, ein bestimmtes Produkt oder eine ganze Branche konkretisieren können, sind Zertifikate nach der DSGVO eher zum Nachweis rein technischer Maßnahmen für einzelne ganz konkrete Datenverarbeitungsvorgänge geeignet. Eine Kombination beider Instrumente kann z.B. sinnvoll sein, um durch bestimmte Zertifikate die Einhaltung genehmigter Verhaltensregeln zu demonstrieren. In der unternehmerischen Praxis wird sich im Regelfall anbieten, die jeweils ressourcenschonendste Alternative/Kombination dieser Mittel zum Nachweis der Rechtskonformität zu wählen. So sind Zertifizierungen stets mit einer kostenverursachenden umfassenden Kontrolle der konkreten Maßnahmen vor Ort verbunden, während Verhaltensregeln auf eine kontinuierlich involvierte freiwillige Selbstkontrolle setzen, die in aller Regel eher anlassbezogen Kontrollen hinsichtlich der korrekten Implementierung der Maßnahmen durchführen wird. Gerade komplexe und verbundene Verarbeitungsvorgänge bedürfen für eine Zertifikaterteilung einer ressourcenintensiven Vorabüberprüfung. Möchte also ein Unternehmen für eine Vielzahl von Verarbeitungsvorgängen schnell und effizient in den Genuss der Erleichterung des Nachweises der Rechtskonformität kommen, bietet sich an, die für den Schutz personenbezogener Daten erforderlichen Maßnahmen in Verhaltensregeln zusammenzufassen, diese nach den Anforderungen des Art. 40 anerkennen zu lassen und eine nach Art. 41 anerkannte Stelle als freiwillige Selbstkontrolle einzusetzen. Sollte hingegen ausschließlich oder ergänzend für einzelne Verarbeitungsvorgänge der 1 Wie etwa in den Bereichen Produktsicherheit oder Jugendmedienschutz. 2 S. etwa Spindler/Thorun, Eckpunkte einer Digitalen Ordnungspolitik, insb. S. 60 ff.; von Braunmühl, PinG 2015, 231.

von Braunmühl

|

1201

Art. 42 DSGVO | Verantwortlicher und Auftragsverarbeiter Bedarf an Rechtssicherheit bestehen, bieten sich im Sinne eines effektiven Ressourceneinsatzes hierfür eher Zertifizierungen i.S.v. Art. 42 an.

II. Anwendung 6 Adressaten der Regelung sind in erster Linie die Datenschutzaufsichtsbehörden

und Zertifizierungsstellen gemäß Art. 43. Die Datenschutzaufsichtsbehörden werden berechtigt, Kriterien für Zertifizierungen zu genehmigen (Abs. 5). Der Europäische Datenschutzausschuss wird dabei über das Kohärenzverfahren gemäß Art. 63 eingebunden. Auf Basis dieser Kriterien werden sowohl Datenschutzaufsichtsbehörden als auch Zertifizierungsstellen gemäß Art. 43 berechtigt, Zertifizierungen zu erteilen (Abs. 5) und – falls die Voraussetzungen nicht mehr vorliegen – zu widerrufen (Abs. 7). Bevor allerdings eine Zertifizierung durch eine Stelle gemäß Art. 43 erteilt, verlängert oder widerrufen werden darf, ist die zuständige Aufsichtsbehörde über die Gründe zu unterrichten (Art. 43 Abs. 1 Satz 1, Abs. 5). Dadurch soll sichergestellt werden, dass die Aufsichtsbehörde auch tatsächlich im Bedarfsfall insbesondere von ihren Weisungs- und Widerrufsrechten nach Art. 58 Abs. 2 Buchst. h Gebrauch machen kann. Eine Zertifizierungserteilung gänzlich ohne Beteiligung der zuständigen Aufsichtsbehörde ist damit ausgeschlossen; was durchaus als sinnvolles Mittel zur Verbesserung der Glaubwürdigkeit entsprechender Zertifizierungen gesehen werden kann1.

7 Als Zertifizierungsgegenstand werden ausschließlich Verarbeitungsvorgänge

von Verantwortlichen und Auftragsverarbeitern genannt (Abs. 1). Das ist insofern auffällig, als dass der Markt ein Interesse daran haben dürfte, ein gesamtes Produkt und nicht lediglich gewisse Teilprozesse zertifizieren zu lassen, um sich dadurch von anderen Marktteilnehmern abheben zu können2. Zudem wird in den Erwägungsgründen davon gesprochen, dass u.a. eine bessere datenschutzrechtliche Einschätzungsmöglichkeit von Produkten und Dienstleistungen durch Betroffene angestrebt wird3, was nur dann umfassend möglich ist, wenn für sämtliche Datenverarbeitungsprozesse eines Produktes der Nachweis der Rechtskonformität vorliegt. Vor dem Hintergrund, dass die Zertifizierung i.S.d. Art. 42 jedoch in erster Linie dem Nachweis dienen soll, dass die Regelungen der DSGVO eingehalten werden (s. Rz. 14), ist die Festlegung auf Verarbeitungsvorgänge nachvollziehbar. Denn Anknüpfungspunkt für einen möglichen Rechtsverstoß kann nur der jeweils betroffene Verarbeitungsvorgang sein, nicht ein gesamtes Produkt. Einem Verantwortlichen oder Auftragsverarbeiter bleibt dabei unbenommen, sämtliche in Zusammenhang mit einem Produkt stehenden 1 In diese Richtung: Krings/Mammen, RDV 2015, 231 (232 ff.). 2 In diese Richtung auch Laue/Nink/Kremer, Kap. 8 Rz. 29, mit Beispielen für bestehende Produktzertifizierungen. 3 Erwägungsgrund 100.

1202

|

von Braunmühl

Zertifizierung | Art. 42 DSGVO

Verarbeitungsvorgänge zertifizieren zu lassen und dies entsprechend zu bewerben. Möglich ist aber auch, dass lediglich datenschutzrechtlich kritische Teilprozesse, für die jeweils der Nachweis der Rechtskonformität benötigt wird, zertifiziert werden. Dadurch kann einerseits – auch mit einer gewissen Außenwirkung – je nach Bedarf Rechtssicherheit geschaffen werden ohne notwendigerweise jeden einzelnen, ggf. zweifelsfrei datenschutzrechtlich unkritischen Verarbeitungsvorgang einer kostenverursachenden Zertifizierung zu unterziehen. Verantwortlichen und Auftragsverarbeitern verbleibt mit der konkreten Ausgestaltung somit die Möglichkeit, den jeweiligen Grad an Rechtssicherheit und besserer Vermarktbarkeit eines Produktes oder einer Dienstleistung selbst zu wählen1. Aus dem Umstand, dass Zertifizierungen dem Zweck dienen sollen, die Rechts- 8 konformität mit der DSGVO nachzuweisen, ergibt sich ferner, dass das durch die DSGVO normierte Recht den Maßstab für die Zertifizierungskriterien bildet. Überobligatorisches kann daher von den vorbenannten Stellen im Rahmen der Genehmigung von Kriterien und Standards nicht eingefordert werden2. Hinzu kommt, dass ausdrücklich den besonderen Bedürfnissen von Kleinstunternehmen sowie kleinen und mittleren Unternehmen Rechnung getragen werden soll (Abs. 1 Satz 2). Daraus ist wiederum abzuleiten, dass die auf Basis dieser Kriterien durchzuführenden Zertifizierungsverfahren so ressourcenschonend auszugestalten sind, dass auch die genannten Unternehmen ohne Weiteres eine Zertifizierung ihrer Verarbeitungsvorgänge durchführen lassen können3. Entsprechende Maßstäbe gelten für technische Standards für Zertifizierungsverfahren und Datenschutzsiegel und -prüfzeichen, die ggf. zukünftig gemäß Art. 43 Abs. 9 durch die Europäische Kommission festgelegt werden. Eine ausdrückliche Regelung, wer die zu genehmigenden Zertifizierungskrite- 9 rien ausarbeiten und vorlegen kann, liegt – im Gegensatz zu den Bestimmungen zu Verhaltensregeln (Art. 40 Abs. 2 Satz 1, Abs. 5; Komm. zu Art. 40 DSGVO Rz. 10) – nicht vor. Ob diesbezüglich eine untergesetzliche Konkretisierung erfolgt, bleibt abzuwarten. Da das Gesetz aber ausdrücklich von einer Genehmigung spricht, kann wohl davon ausgegangen werden, dass auch andere Akteure als die berechtigten öffentlichen Stellen befugt sind, Kriterien auszuarbeiten und zur Genehmigung vorzulegen. Mithin sollten etwa Vertreter der Wirtschaft und einschlägige Normungsgremien entsprechend vorgehen können. Zum Zwecke der Transparenz sind sämtliche Zertifizierungsanforderungen und 10 -kriterien von der Aufsichtsbehörde in geeigneter Form zu veröffentlichen 1 Anders Laue/Nink/Kremer, Kap. 8 Rz. 29, die in der konkreten Ausgestaltung eher beschränkte Vermarktbarkeitsmöglichkeiten für Unternehmen sehen; kritisch noch zum Entwurf des Europäischen Parlament Hornung/Hartl, ZD 2014, 219 (224), die sich für die ausdrückliche Möglichkeit der Produktzertifizierung aussprechen. 2 S. dazu auch Laue/Nink/Kremer, Kap. 8 Rz. 30; Hornung/Hartl, ZD 2014, 219 (223 f.). 3 Laue/Nink/Kremer, Kap. 8 Rz. 28.

von Braunmühl

|

1203

Art. 42 DSGVO | Verantwortlicher und Auftragsverarbeiter (Art. 43 Abs. 6 Satz 1) sowie sämtliche Zertifizierungsverfahren, Datenschutzsiegel und -prüfzeichen vom Europäischen Datenschutzausschuss in ein Register aufzunehmen und ebenfalls in geeigneter Weise zu veröffentlichen (Abs. 8; Art. 43 Abs. 6). 11 Unterwirft ein Verantwortlicher oder Auftragsverarbeiter einen oder mehrere

seiner Verarbeitungsvorgänge einer Zertifizierung, ist er zur Mitwirkung verpflichtet, indem er sämtliche für die Durchführung des Zertifizierungsverfahrens erforderlichen Informationen zur Verfügung zu stellen und erforderlichen Zugang zu seinen Verarbeitungstätigkeiten zu gewähren hat (Abs. 6).

12 Eine Zertifizierung kann einem Verantwortlichen oder Auftragsverarbeiter für

eine Höchstdauer von drei Jahren erteilt werden. Es besteht aber die Möglichkeit der Verlängerung, solange die einschlägigen Voraussetzungen weiterhin erfüllt werden (Abs. 7). Diese Begrenzung ist vor dem Hintergrund der konstanten technologischen Weiterentwicklungen und den damit verbundenen notwendigen Anpassungen von Zertifizierungskriterien und -verfahren zu sehen, dem mit Abs. 7 Rechnung getragen werden soll1.

III. Zertifizierungsfolgen 13 Auch wenn Abs. 2 klarstellt, dass die Verantwortung zur Einhaltung der daten-

schutzrechtlichen Bestimmungen unberührt bleibt, sieht das Gesetz doch einige Anreize für Verantwortliche und Auftragsverarbeiter vor, die Verarbeitungen auf Basis von zertifizierten Prozessen durchführen. Diese sind Erleichterungen des Nachweises, dass bestimmte Anforderungen der DSGVO eingehalten wurden2.

14 So regelt das Gesetz an mehreren Stellen, dass eine Zertifizierung als Faktor/Ge-

sichtspunkt zum Nachweis der Erfüllung der Pflichten nach der DSGVO herangezogen werden kann; so etwa allgemein für den Nachweis der Pflichten des für die Verarbeitung Verantwortlichen (Art. 24 Abs. 3). Auftragsverarbeitern wird über das Mittel der Zertifizierung die Möglichkeit gegeben, hinreichende Garantien dafür zu bieten, dass die betreffenden technischen und organisatorischen Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen der DSGVO erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet (Art. 28 Abs. 5 i.V.m. Abs. 1 bzw. beim Einsatz von Subauftragsverarbeitern Abs. 4). Zudem sind Nachweiserleichterungen für Maßnahmen zum Datenschutz durch Technik und durch datenschutzfreund1 Krings/Mammen, RDV 2015, 231 (233). 2 S. zu den Anreizen auch Hornung/Hartl, ZD 2014, 219 (224), die darüber hinaus eine Privilegierung im Rahmen aufsichtsbehördlicher Maßnahmen sowie eine Berücksichtigung bei der Haftung gegenüber Betroffenen als denkbar erachtet hätten.

1204

|

von Braunmühl

Zertifizierungsstellen | Art. 43 DSGVO

liche Voreinstellungen (Art. 25 Abs. 3) sowie zur Sicherheit der Verarbeitung vorgesehen (Art. 32 Abs. 3). Schließlich legt Art. 42 Abs. 2 fest, dass Zertifizierungen als Nachweis für geeignete Garantien im Rahmen der Übermittlung personenbezogener Daten an Drittländer oder internationale Organisationen nach Maßgabe von Art. 46 Abs. 2 Buchst. f vorgesehen werden können. Die inhaltliche Reichweite der Nachweiserleichterungen ist ausschließlich auf 15 das in der DSGVO normierte Recht beschränkt, da die Zertifikaterteilung auf den zuvor genehmigten Kriterien beruht, deren Maßstab das in der DSGVO normierten Recht ist (Rz. 8). Soweit und sofern daher ein Mitgliedstaat von Öffnungsklauseln Gebrauch macht und national strengere Vorschriften schafft, kann ein Zertifikat i.S.v. Art. 42 insoweit keine Erleichterung beim Nachweis der Rechtskonformität sein. Im Sinne der Rechtssicherheit und der praktischen Nutzbarkeit von Zertifikaten ist daher zu hoffen, dass die Mitgliedstaaten zurückhaltend bei der Gebrauchmachung von Öffnungsklauseln zur Schaffung strengerer Vorschriften agieren. Die Zertifizierung führt zu einer faktischen Selbstbindung der Verwaltung.1 Da 16 die zuständige Aufsichtsbehörde nach Art. 43 Abs. 1 Satz 1, Abs. 5 in jedem Fall einzubinden ist (s. Rz. 6), gilt dies sowohl für Zertifizierungen, die von einer zuständigen Aufsichtsbehörde selbst erteilt bzw. verlängert wurden, als auch für solche, bei denen dies durch eine private Stelle nach Art. 43 erfolgte. Zudem hat die zuständige Aufsichtsbehörde nach Art. 83 Abs. 2 Buchst. j auch 17 bei der Bemessung von Bußgeldern die Einhaltung von genehmigten Zertifizierungsverfahren nach Art. 42 als begünstigenden Umstand zu berücksichtigen (s.a. Komm. zu Art. 40 DSGVO Rz. 21).

Artikel 43 Zertifizierungsstellen (1) Unbeschadet der Aufgaben und Befugnisse der zuständigen Aufsichtsbehörde gemäß den Artikeln 57 und 58 erteilen oder verlängern Zertifizierungsstellen, die über das geeignete Fachwissen hinsichtlich des Datenschutzes verfügen, nach Unterrichtung der Aufsichtsbehörde – damit diese erforderlichenfalls von ihren Befugnissen gemäß Artikel 58 Absatz 2 Buchstabe h Gebrauch machen kann – die Zertifizierung. Die Mitgliedstaaten stellen sicher, dass diese Zertifizierungsstellen von einer oder beiden der folgenden Stellen akkreditiert werden: a) der gemäß Artikel 55 oder 56 zuständigen Aufsichtsbehörde; 1 Krings/Mammen, RDV 2015, 231 (233).

von Braunmühl

|

1205

Zertifizierungsstellen | Art. 43 DSGVO

liche Voreinstellungen (Art. 25 Abs. 3) sowie zur Sicherheit der Verarbeitung vorgesehen (Art. 32 Abs. 3). Schließlich legt Art. 42 Abs. 2 fest, dass Zertifizierungen als Nachweis für geeignete Garantien im Rahmen der Übermittlung personenbezogener Daten an Drittländer oder internationale Organisationen nach Maßgabe von Art. 46 Abs. 2 Buchst. f vorgesehen werden können. Die inhaltliche Reichweite der Nachweiserleichterungen ist ausschließlich auf 15 das in der DSGVO normierte Recht beschränkt, da die Zertifikaterteilung auf den zuvor genehmigten Kriterien beruht, deren Maßstab das in der DSGVO normierten Recht ist (Rz. 8). Soweit und sofern daher ein Mitgliedstaat von Öffnungsklauseln Gebrauch macht und national strengere Vorschriften schafft, kann ein Zertifikat i.S.v. Art. 42 insoweit keine Erleichterung beim Nachweis der Rechtskonformität sein. Im Sinne der Rechtssicherheit und der praktischen Nutzbarkeit von Zertifikaten ist daher zu hoffen, dass die Mitgliedstaaten zurückhaltend bei der Gebrauchmachung von Öffnungsklauseln zur Schaffung strengerer Vorschriften agieren. Die Zertifizierung führt zu einer faktischen Selbstbindung der Verwaltung.1 Da 16 die zuständige Aufsichtsbehörde nach Art. 43 Abs. 1 Satz 1, Abs. 5 in jedem Fall einzubinden ist (s. Rz. 6), gilt dies sowohl für Zertifizierungen, die von einer zuständigen Aufsichtsbehörde selbst erteilt bzw. verlängert wurden, als auch für solche, bei denen dies durch eine private Stelle nach Art. 43 erfolgte. Zudem hat die zuständige Aufsichtsbehörde nach Art. 83 Abs. 2 Buchst. j auch 17 bei der Bemessung von Bußgeldern die Einhaltung von genehmigten Zertifizierungsverfahren nach Art. 42 als begünstigenden Umstand zu berücksichtigen (s.a. Komm. zu Art. 40 DSGVO Rz. 21).

Artikel 43 Zertifizierungsstellen (1) Unbeschadet der Aufgaben und Befugnisse der zuständigen Aufsichtsbehörde gemäß den Artikeln 57 und 58 erteilen oder verlängern Zertifizierungsstellen, die über das geeignete Fachwissen hinsichtlich des Datenschutzes verfügen, nach Unterrichtung der Aufsichtsbehörde – damit diese erforderlichenfalls von ihren Befugnissen gemäß Artikel 58 Absatz 2 Buchstabe h Gebrauch machen kann – die Zertifizierung. Die Mitgliedstaaten stellen sicher, dass diese Zertifizierungsstellen von einer oder beiden der folgenden Stellen akkreditiert werden: a) der gemäß Artikel 55 oder 56 zuständigen Aufsichtsbehörde; 1 Krings/Mammen, RDV 2015, 231 (233).

von Braunmühl

|

1205

Art. 43 DSGVO | Verantwortlicher und Auftragsverarbeiter b) der nationalen Akkreditierungsstelle, die gemäß der Verordnung (EG) Nr. 765/2008 des Europäischen Parlaments und des Rates(1) im Einklang mit EN-ISO/IEC 17065/2012 und mit den zusätzlichen von der gemäß Artikel 55 oder 56 zuständigen Aufsichtsbehörde festgelegten Anforderungen benannt wurde. (2) Zertifizierungsstellen nach Absatz 1 dürfen nur dann gemäß Absatz 1 akkreditiert werden, wenn sie a) ihre Unabhängigkeit und ihr Fachwissen hinsichtlich des Gegenstands der Zertifizierung zur Zufriedenheit der zuständigen Aufsichtsbehörde nachgewiesen haben; b) sich verpflichtet haben, die Kriterien nach Artikel 42 Absatz 5, die von der gemäß Artikel 55 oder 56 zuständigen Aufsichtsbehörde oder – gemäß Artikel 63 – von dem Ausschuss genehmigt wurden, einzuhalten; c) Verfahren für die Erteilung, die regelmäßige Überprüfung und den Widerruf der Datenschutzzertifizierung sowie der Datenschutzsiegel und -prüfzeichen festgelegt haben; d) Verfahren und Strukturen festgelegt haben, mit denen sie Beschwerden über Verletzungen der Zertifizierung oder die Art und Weise, in der die Zertifizierung von dem Verantwortlichen oder dem Auftragsverarbeiter umgesetzt wird oder wurde, nachgehen und diese Verfahren und Strukturen für betroffene Personen und die Öffentlichkeit transparent machen, und e) zur Zufriedenheit der zuständigen Aufsichtsbehörde nachgewiesen haben, dass ihre Aufgaben und Pflichten nicht zu einem Interessenkonflikt führen. (3) Die Akkreditierung von Zertifizierungsstellen nach den Absätzen 1 und 2 erfolgt anhand der Kriterien, die von der gemäß Artikel 55 oder 56 zuständigen Aufsichtsbehörde oder – gemäß Artikel 63 – von dem Ausschuss genehmigt wurden. Im Fall einer Akkreditierung nach Absatz 1 Buchstabe b des vorliegenden Artikels ergänzen diese Anforderungen diejenigen, die in der Verordnung (EG) Nr. 765/2008 und in den technischen Vorschriften, in denen die Methoden und Verfahren der Zertifizierungsstellen beschrieben werden, vorgesehen sind. (4) Die Zertifizierungsstellen nach Absatz 1 sind unbeschadet der Verantwortung, die der Verantwortliche oder der Auftragsverarbeiter für die Einhaltung dieser Verordnung hat, für die angemessene Bewertung, die der Zertifizierung oder dem Widerruf einer Zertifizierung zugrunde liegt, verantwortlich. Die Akkreditierung wird für eine Höchstdauer von fünf Jahren 1 Verordnung (EG) Nr. 765/2008 des Europäischen Parlaments und des Rates vom 9. Juli 2008 über die Vorschriften für die Akkreditierung und Marktüberwachung im Zusammenhang mit der Vermarktung von Produkten und zur Aufhebung der Verordnung (EWG) Nr. 339/93 des Rates (Abl. L 218 vom 13.8.2008, S. 30).

1206

|

von Braunmühl

Zertifizierungsstellen | Art. 43 DSGVO

erteilt und kann unter denselben Bedingungen verlängert werden, sofern die Zertifizierungsstelle die Anforderungen dieses Artikels erfüllt. (5) Die Zertifizierungsstellen nach Absatz 1 teilen den zuständigen Aufsichtsbehörden die Gründe für die Erteilung oder den Widerruf der beantragten Zertifizierung mit. (6) Die Anforderungen nach Absatz 3 des vorliegenden Artikels und die Kriterien nach Artikel 42 Absatz 5 werden von der Aufsichtsbehörde in leicht zugänglicher Form veröffentlicht. Die Aufsichtsbehörden übermitteln diese Anforderungen und Kriterien auch dem Ausschuss. Der Ausschuss nimmt alle Zertifizierungsverfahren und Datenschutzsiegel in ein Register auf und veröffentlicht sie in geeigneter Weise. (7) Unbeschadet des Kapitels VIII widerruft die zuständige Aufsichtsbehörde oder die nationale Akkreditierungsstelle die Akkreditierung einer Zertifizierungsstelle nach Absatz 1, wenn die Voraussetzungen für die Akkreditierung nicht oder nicht mehr erfüllt sind oder wenn eine Zertifizierungsstelle Maßnahmen ergreift, die nicht mit dieser Verordnung vereinbar sind. (8) Der Kommission wird die Befugnis übertragen, gemäß Artikel 92 delegierte Rechtsakte zu erlassen, um die Anforderungen festzulegen, die für die in Artikel 42 Absatz 1 genannten datenschutzspezifischen Zertifizierungsverfahren zu berücksichtigen sind. (9) Die Kommission kann Durchführungsrechtsakte erlassen, mit denen technische Standards für Zertifizierungsverfahren und Datenschutzsiegel und -prüfzeichen sowie Mechanismen zur Förderung und Anerkennung dieser Zertifizierungsverfahren und Datenschutzsiegel und -prüfzeichen festgelegt werden. Diese Durchführungsrechtsakte werden gemäß dem in Artikel 93 Absatz 2 genannten Prüfverfahren erlassen. I. Einführung . . . . . . . . . . . . . . .

1

II. Anwendungsvoraussetzungen .

2

Schrifttum Hornung/Hartl, Datenschutz durch Marktanreize – auch in Europa?, ZD 2014, 219; Krings/Mammen, Zertifizierungen und Verhaltensregeln – Bausteine eines modernen Datenschutzes für die Industrie 4.0, RDV 2015, 231; Laue/Nink/Kremer, Das neue Datenschutzrecht in der betrieblichen Praxis, 2016.

I. Einführung Zertifizierungen i.S.v. Art. 42 können sowohl von der zuständigen Aufsichts- 1 behörde als auch von privaten Stellen erteilt, verlängert und widerrufen werden (ausführlich s. Komm. zu Art. 42 DSGVO Rz. 6). Art. 43 normiert im Wesentlichen die Rahmenbedingungen für die Anforderungen, die seitens des Gesetzgebers an die privaten Stellen gestellt werden. Die Norm ist vor dem Hintergrund des ko-regulatorischen Ansatzes der Art. 40 ff. zu sehen, wonach Konvon Braunmühl

|

1207

Art. 43 DSGVO | Verantwortlicher und Auftragsverarbeiter kretisierungen und Umsetzungen der DSGVO zwar auch privaten Stellen ermöglicht werden, der Gesetzgeber aber im Gegenzug dafür die Einhaltung gewisser Mindestanforderungen verlangt; insbesondere hinsichtlich der Unabhängigkeit und des für die Aufgabe erforderlichen Fachwissens. Der Nachweis über die Einhaltung erfolgt im Rahmen des in Art. 43 festgelegten Akkreditierungsverfahrens. Dadurch befreit der Gesetzgeber Zertifizierungen nach Art. 42, die durch private Stellen durchgeführt werden, von dem Verdacht reiner Gefälligkeitsprüfungen und schafft einen gesetzlichen Rahmen, der durchaus als geeignetes Mittel zur Vertrauensbildung gesehen werden kann1.

II. Anwendungsvoraussetzungen 2 Nach Art. 43 Abs. 1 ist es den Mitgliedstaaten vorbehalten, die konkrete Zustän-

digkeit für die Akkreditierung von privaten Zertifizierungsstellen zu regeln. Nach dem Gesetz ist die Kompetenzzuweisung an die zuständige Aufsichtsbehörde (Abs. 1 Buchst. a) und/oder die nationale Akkreditierungsstelle (Abs. 1 Buchst. b) möglich, die gemäß Verordnung (EG) Nr. 765/20082 im Einklang mit EN-ISO/IEC 17065/20123 und mit den zusätzlichen Anforderungen der zuständigen Aufsichtsbehörde festgelegten Anforderungen benannt wurde.

3 Die Akkreditierung einer privaten Stelle durch die zuständige Akkreditierungs-

stelle kann nur dann erfolgen, wenn die private Stelle insbesondere ihre Unabhängigkeit und ihr Fachwissen hinsichtlich des Gegenstands der Zertifizierung nachgewiesen (Abs. 2 Buchst. a) und sich verpflichtet hat, die von der zuständigen Aufsichtsbehörde oder dem Europäischen Datenschutzausschuss genehmigten Zertifizierungskriterien einzuhalten (Abs. 2 Buchst. b); s. Komm. zu Art. 42 DSGVO Rz. 2, 6). Zudem ist erforderlich, dass die private Stelle ein Verfahren sowohl für die Erteilung, die regelmäßige Überprüfung und den Widerruf der Datenschutzzertifizierung (Abs. 2 Buchst. c) als auch für ein wirksames und transparentes Beschwerdemanagementsystem festgelegt hat (Abs. 2 Buchst. d). Schließlich darf die Wahrnehmung der Aufgaben einer Zertifizierungsstelle zu keinem Interessenkonflikt führen (Abs. 2 Buchst. e).

4 Die in Abs. 2 festgelegten Anforderungen an die Zertifizierungsstellen sind dabei

– ebenso wie die in Art. 42 festgelegten Anforderungen an die Zertifizierung (s. Komm. zu Art. 42 DSGVO Rz. 1) – als Rahmenbedingungen zu verstehen. Nach 1 Laue/Nink/Kremer, Kap. 8 Rz. 37; s. ferner: Krings/Mammen, RDV 2015, 231 (233); Hornung/Hartl, ZD 2014, 219 (221). 2 Verordnung (EG) Nr. 765/2008 des Europäischen Parlaments und des Rates vom 9.7. 2008 über die Vorschriften für die Akkreditierung und Marktüberwachung im Zusammenhang mit der Vermarktung von Produkten und zur Aufhebung der Verordnung (EWG) Nr. 339/93 des Rates, ABl. L 218/30. 3 ISO/IEC 17065/2012 – Conformity assessment – Requirements for bodies certifying product, processes and services.

1208

|

von Braunmühl

Allgemeine Grundsätze | Art. 44 DSGVO

Abs. 3 soll eine weitere Konkretisierung der Akkreditierungskriterien durch die zuständige Aufsichtsbehörde oder den Europäischen Datenschutzausschuss erfolgen. Diese Kriterien sind nach Genehmigung zum Zwecke der Transparenz in leicht zugänglicher Form zu veröffentlichen (Abs. 6 Satz 1) sowie seitens der Aufsichtsbehörden an den Europäischen Datenschutzausschuss zu übermitteln (Abs. 6 Satz 2). Auch wenn sich die genaue Ausgestaltung der weiteren Konkretisierung der Ak- 5 kreditierungskriterien nicht vorhersagen lässt, können sich aus anderen europäischen Initiativen jedoch ggf. Hinweise ableiten lassen. So verlangen die „EU Principles for Better Self- And Co-Regulation“1 u.a., dass ein Verfahren zum Umgang mit Beschwerden von Dritten die Involvierung eines unabhängigen Entscheidungsgremiums erforderlich macht. Sobald akkreditiert, sind die privaten Stellen berechtigt Zertifizierungen auf Ba- 6 sis der nach Art. 42 festgelegten Kriterien und Verfahren zu erteilen (Art. 42 Abs. 5 Satz 1; s. Komm. zu Art. 42 DSGVO Rz. 6) zu verlängern (Art. 42 Abs. 7 Satz 1) und zu widerrufen (Art. 42 Abs. 7 Satz 2). In jedem Fall ist die zuständige Aufsichtsbehörde über die Gründe zu unterrichten (Art. 43 Abs. 1 Satz 1, Abs. 5; s. ausführlich Komm. zu Art. 42 DSGVO Rz. 6). Die Akkreditierung wird für eine Höchstdauer von fünf Jahren erteilt und kann 7 unter denselben Bedingungen verlängert werden, solange die Zertifizierungsstelle die Anforderungen erfüllt (Abs. 4 Satz 2).

Kapitel V Übermittlung personenbezogener Daten an Drittländer oder an internationale Organisationen

Artikel 44 Allgemeine Grundsätze der Datenübermittlung Jedwede Übermittlung personenbezogener Daten, die bereits verarbeitet werden oder nach ihrer Übermittlung an ein Drittland oder eine internationale Organisation verarbeitet werden sollen, ist nur zulässig, wenn der Verantwortliche und der Auftragsverarbeiter die in diesem Kapitel niedergelegten Bedingungen einhalten und auch die sonstigen Bestimmungen dieser Verordnung eingehalten werden; dies gilt auch für die etwaige Weiterübermittlung personenbezogener Daten durch das betreffende Drittland oder die be1 Abrufbar unter: https://ec.europa.eu/digital-agenda/sites/digital-agenda/files/CoP%20%20Principles%20for%20better%20self-%20and%20co-regulation.pdf (zuletzt abgerufen am 16.2.2016).

von Braunmühl/von dem Bussche

|

1209

Allgemeine Grundsätze | Art. 44 DSGVO

Abs. 3 soll eine weitere Konkretisierung der Akkreditierungskriterien durch die zuständige Aufsichtsbehörde oder den Europäischen Datenschutzausschuss erfolgen. Diese Kriterien sind nach Genehmigung zum Zwecke der Transparenz in leicht zugänglicher Form zu veröffentlichen (Abs. 6 Satz 1) sowie seitens der Aufsichtsbehörden an den Europäischen Datenschutzausschuss zu übermitteln (Abs. 6 Satz 2). Auch wenn sich die genaue Ausgestaltung der weiteren Konkretisierung der Ak- 5 kreditierungskriterien nicht vorhersagen lässt, können sich aus anderen europäischen Initiativen jedoch ggf. Hinweise ableiten lassen. So verlangen die „EU Principles for Better Self- And Co-Regulation“1 u.a., dass ein Verfahren zum Umgang mit Beschwerden von Dritten die Involvierung eines unabhängigen Entscheidungsgremiums erforderlich macht. Sobald akkreditiert, sind die privaten Stellen berechtigt Zertifizierungen auf Ba- 6 sis der nach Art. 42 festgelegten Kriterien und Verfahren zu erteilen (Art. 42 Abs. 5 Satz 1; s. Komm. zu Art. 42 DSGVO Rz. 6) zu verlängern (Art. 42 Abs. 7 Satz 1) und zu widerrufen (Art. 42 Abs. 7 Satz 2). In jedem Fall ist die zuständige Aufsichtsbehörde über die Gründe zu unterrichten (Art. 43 Abs. 1 Satz 1, Abs. 5; s. ausführlich Komm. zu Art. 42 DSGVO Rz. 6). Die Akkreditierung wird für eine Höchstdauer von fünf Jahren erteilt und kann 7 unter denselben Bedingungen verlängert werden, solange die Zertifizierungsstelle die Anforderungen erfüllt (Abs. 4 Satz 2).

Kapitel V Übermittlung personenbezogener Daten an Drittländer oder an internationale Organisationen

Artikel 44 Allgemeine Grundsätze der Datenübermittlung Jedwede Übermittlung personenbezogener Daten, die bereits verarbeitet werden oder nach ihrer Übermittlung an ein Drittland oder eine internationale Organisation verarbeitet werden sollen, ist nur zulässig, wenn der Verantwortliche und der Auftragsverarbeiter die in diesem Kapitel niedergelegten Bedingungen einhalten und auch die sonstigen Bestimmungen dieser Verordnung eingehalten werden; dies gilt auch für die etwaige Weiterübermittlung personenbezogener Daten durch das betreffende Drittland oder die be1 Abrufbar unter: https://ec.europa.eu/digital-agenda/sites/digital-agenda/files/CoP%20%20Principles%20for%20better%20self-%20and%20co-regulation.pdf (zuletzt abgerufen am 16.2.2016).

von Braunmühl/von dem Bussche

|

1209

Art. 44 DSGVO | Übermittlung an Drittländer treffende internationale Organisation an ein anderes Drittland oder eine andere internationale Organisation. Alle Bestimmungen dieses Kapitels sind anzuwenden, um sicherzustellen, dass das durch diese Verordnung gewährleistete Schutzniveau für natürliche Personen nicht untergraben wird. I. Einführung . . . . . . . . . . . . . . .

1

II. Einzelfragen . . . . . . . . . . . . . .

3

Schrifttum: Albrecht, Das neue EU-Datenschutzrecht – von der Richtlinie zur Verordnung, CR 2016, 88.

I. Einführung 1 Art. 44 legt den Anwendungsbereich des V. Kapitels fest. Einer besonderen

Rechtfertigung nach den Art. 44 ff. bedürfen alle Übermittlungen von Daten, die in einem Drittland oder einer internationalen Organisation verarbeitet bzw. dort verarbeitet werden sollen. Wie Art. 44 klarstellt, müssen auch die übrigen Vorschriften der Verordnung eingehalten werden; es bleibt also bei einem zweistufigen Prüfungsverfahren der Rechtmäßigkeit (vgl. zur gegenüber dem BDSG unveränderten Systematik Komm. zu § 4b BDSG Rz. 4).

2 Die Verordnung legt insgesamt detailliertere Vorgaben fest, als dies noch unter

Kapitel IV der Richtlinie 95/46/EG der Fall war. Regelungssystematisch besteht der größte Unterschied zur Richtlinie darin, dass die Generalklausel zur Zulässigkeit einer Übermittlung bei einem angemessenen Datenschutzniveau in einem Drittstaat aus Art. 25 Abs. 1 RL 95/46/EG und die darauf basierende Möglichkeit einer einzelfallorientierten Bewertung des Datenschutzniveaus gemäß § 4b Abs. 2 Satz 2 BDSG entfällt. Folglich fehlt es auch an Parallelvorschriften zu Art. 25 Abs. 2 RL 95/46/EG und § 4b Abs. 3 BDSG, welche die Angemessenheit des Schutzniveaus unter anderem an die konkreten Umstände der Datenverarbeitung geknüpft hatte. Die praktischen Auswirkungen dieser Änderung dürften freilich gering sein, da sich die Stellen auch bislang vor allem auf diejenigen Instrumente verlassen hatten, die abstrakt – also für jede Datenübermittlung – ein angemessenes Schutzniveau sicherstellen. Gemeint sind vor allem Kommissionsentscheidungen zur Angemessenheit des Datenschutzniveaus, Standardvertragsklauseln und verbindliche Unternehmensregelungen. Bezüglich der für den Art. 44 maßgeblichen Erwägungen ist auf die Erwägungsgründe 101–102 zu verweisen.

II. Einzelfragen 3 Erfasst sind nach dem ausdrücklichen Wortlaut neben den Verantwortlichen

auch die Auftragsverarbeiter. Die sich aus dieser fehlenden Privilegierung er-

1210

|

von dem Bussche

Angemessenheitsbeschluss | Art. 45 DSGVO

gebenden Probleme für die Praxis (vgl. Komm. zu § 4b BDSG Rz. 16) bestehen somit unverändert fort. Die Datenverarbeitung ist nur dann rechtmäßig, wenn die Bestimmungen des 4 V. Kapitels auch für etwaige weitere Transfers aus dem Drittland in ein weiteres Drittland eingehalten werden. Die Bedeutung dieser Regelung ist etwas unklar. Sie wird zum einen so verstanden werden müssen, dass sie die übermittelnde Stelle adressiert und diese dazu anhält, etwa durch vertragliche Vereinbarungen dafür zu sorgen, dass der Empfänger die Daten nicht ohne Einhaltung der Vorschriften des V. Kapitels an Dritte transferiert. Zum anderen könnte sie dem Wortlaut nach auch so verstanden werden, dass eine spätere Weitergabe entgegen der DSGVO die Rechtmäßigkeit der (ursprünglichen) Übermittlung berührt. Das Risiko eines vertragswidrigen Verhaltens des Datenempfängers kann dem Verantwortlichen bzw. dem Auftragsverarbeiter indes nicht aufgebürdet werden, jedenfalls sofern dieser im Zeitpunkt der Übermittlung seine Sorgfaltspflichten eingehalten und keinen Vorsatz auf die missbräuchliche Weitergabe hatte.

Artikel 45 Datenübermittlung auf der Grundlage eines Angemessenheitsbeschlusses (1) Eine Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation darf vorgenommen werden, wenn die Kommission beschlossen hat, dass das betreffende Drittland, ein Gebiet oder ein oder mehrere spezifische Sektoren in diesem Drittland oder die betreffende internationale Organisation ein angemessenes Schutzniveau bietet. Eine solche Datenübermittlung bedarf keiner besonderen Genehmigung. (2) Bei der Prüfung der Angemessenheit des gebotenen Schutzniveaus berücksichtigt die Kommission insbesondere das Folgende: a) die Rechtsstaatlichkeit, die Achtung der Menschenrechte und Grundfreiheiten, die in dem betreffenden Land bzw. bei der betreffenden internationalen Organisation geltenden einschlägigen Rechtsvorschriften sowohl allgemeiner als auch sektoraler Art – auch in Bezug auf öffentliche Sicherheit, Verteidigung, nationale Sicherheit und Strafrecht sowie Zugang der Behörden zu personenbezogenen Daten – sowie die Anwendung dieser Rechtsvorschriften, Datenschutzvorschriften, Berufsregeln und Sicherheitsvorschriften einschließlich der Vorschriften für die Weiterübermittlung personenbezogener Daten an ein anderes Drittland bzw. eine andere internationale Organisation, die Rechtsprechung sowie wirksame und durchsetzbare Rechte der betroffenen Person und wirksame verwaltungsvon dem Bussche

|

1211

Angemessenheitsbeschluss | Art. 45 DSGVO

gebenden Probleme für die Praxis (vgl. Komm. zu § 4b BDSG Rz. 16) bestehen somit unverändert fort. Die Datenverarbeitung ist nur dann rechtmäßig, wenn die Bestimmungen des 4 V. Kapitels auch für etwaige weitere Transfers aus dem Drittland in ein weiteres Drittland eingehalten werden. Die Bedeutung dieser Regelung ist etwas unklar. Sie wird zum einen so verstanden werden müssen, dass sie die übermittelnde Stelle adressiert und diese dazu anhält, etwa durch vertragliche Vereinbarungen dafür zu sorgen, dass der Empfänger die Daten nicht ohne Einhaltung der Vorschriften des V. Kapitels an Dritte transferiert. Zum anderen könnte sie dem Wortlaut nach auch so verstanden werden, dass eine spätere Weitergabe entgegen der DSGVO die Rechtmäßigkeit der (ursprünglichen) Übermittlung berührt. Das Risiko eines vertragswidrigen Verhaltens des Datenempfängers kann dem Verantwortlichen bzw. dem Auftragsverarbeiter indes nicht aufgebürdet werden, jedenfalls sofern dieser im Zeitpunkt der Übermittlung seine Sorgfaltspflichten eingehalten und keinen Vorsatz auf die missbräuchliche Weitergabe hatte.

Artikel 45 Datenübermittlung auf der Grundlage eines Angemessenheitsbeschlusses (1) Eine Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation darf vorgenommen werden, wenn die Kommission beschlossen hat, dass das betreffende Drittland, ein Gebiet oder ein oder mehrere spezifische Sektoren in diesem Drittland oder die betreffende internationale Organisation ein angemessenes Schutzniveau bietet. Eine solche Datenübermittlung bedarf keiner besonderen Genehmigung. (2) Bei der Prüfung der Angemessenheit des gebotenen Schutzniveaus berücksichtigt die Kommission insbesondere das Folgende: a) die Rechtsstaatlichkeit, die Achtung der Menschenrechte und Grundfreiheiten, die in dem betreffenden Land bzw. bei der betreffenden internationalen Organisation geltenden einschlägigen Rechtsvorschriften sowohl allgemeiner als auch sektoraler Art – auch in Bezug auf öffentliche Sicherheit, Verteidigung, nationale Sicherheit und Strafrecht sowie Zugang der Behörden zu personenbezogenen Daten – sowie die Anwendung dieser Rechtsvorschriften, Datenschutzvorschriften, Berufsregeln und Sicherheitsvorschriften einschließlich der Vorschriften für die Weiterübermittlung personenbezogener Daten an ein anderes Drittland bzw. eine andere internationale Organisation, die Rechtsprechung sowie wirksame und durchsetzbare Rechte der betroffenen Person und wirksame verwaltungsvon dem Bussche

|

1211

Art. 45 DSGVO | Übermittlung an Drittländer rechtliche und gerichtliche Rechtsbehelfe für betroffene Personen, deren personenbezogene Daten übermittelt werden, b) die Existenz und die wirksame Funktionsweise einer oder mehrerer unabhängiger Aufsichtsbehörden in dem betreffenden Drittland oder denen eine internationale Organisation untersteht und die für die Einhaltung und Durchsetzung der Datenschutzvorschriften, einschließlich angemessener Durchsetzungsbefugnisse, für die Unterstützung und Beratung der betroffenen Personen bei der Ausübung ihrer Rechte und für die Zusammenarbeit mit den Aufsichtsbehörden der Mitgliedstaaten zuständig sind, und c) die von dem betreffenden Drittland bzw. der betreffenden internationalen Organisation eingegangenen internationalen Verpflichtungen oder andere Verpflichtungen, die sich aus rechtsverbindlichen Übereinkünften oder Instrumenten sowie aus der Teilnahme des Drittlands oder der internationalen Organisation an multilateralen oder regionalen Systemen insbesondere in Bezug auf den Schutz personenbezogener Daten ergeben. (3) Nach der Beurteilung der Angemessenheit des Schutzniveaus kann die Kommission im Wege eines Durchführungsrechtsaktes beschließen, dass ein Drittland, ein Gebiet oder ein oder mehrere spezifische Sektoren in einem Drittland oder eine internationale Organisation ein angemessenes Schutzniveau im Sinne des Absatzes 2 des vorliegenden Artikels bieten. In dem Durchführungsrechtsakt ist ein Mechanismus für eine regelmäßige Überprüfung, die mindestens alle vier Jahre erfolgt, vorzusehen, bei der allen maßgeblichen Entwicklungen in dem Drittland oder bei der internationalen Organisation Rechnung getragen wird. Im Durchführungsrechtsakt werden der territoriale und der sektorale Anwendungsbereich sowie gegebenenfalls die in Absatz 2 Buchstabe b des vorliegenden Artikels genannte Aufsichtsbehörde bzw. genannten Aufsichtsbehörden angegeben. Der Durchführungsrechtsakt wird gemäß dem in Artikel 93 Absatz 2 genannten Prüfverfahren erlassen. (4) Die Kommission überwacht fortlaufend die Entwicklungen in Drittländern und bei internationalen Organisationen, die die Wirkungsweise der nach Absatz 3 des vorliegenden Artikels erlassenen Beschlüsse und der nach Artikel 25 Absatz 6 der Richtlinie 95/46/EG erlassenen Feststellungen beeinträchtigen könnten. (5) Die Kommission widerruft, ändert oder setzt die in Absatz 3 des vorliegenden Artikels genannten Beschlüsse im Wege von Durchführungsrechtsakten aus, soweit dies nötig ist und ohne rückwirkende Kraft, soweit entsprechende Informationen – insbesondere im Anschluss an die in Absatz 3 des vorliegenden Artikels genannte Überprüfung – dahingehend vorliegen, dass ein Drittland, ein Gebiet oder ein oder mehrere spezifischer Sektor in einem Drittland oder eine internationale Organisation kein angemessenes Schutzniveau im Sinne des Absatzes 2 des vorliegenden Artikels mehr gewährleistet. 1212

|

von dem Bussche

Angemessenheitsbeschluss | Art. 45 DSGVO

Diese Durchführungsrechtsakte werden gemäß dem Prüfverfahren nach Artikel 93 Absatz 2 erlassen. In hinreichend begründeten Fällen äußerster Dringlichkeit erlässt die Kommission gemäß dem in Artikel 93 Absatz 3 genannten Verfahren sofort geltende Durchführungsrechtsakte. (6) Die Kommission nimmt Beratungen mit dem betreffenden Drittland bzw. der betreffenden internationalen Organisation auf, um Abhilfe für die Situation zu schaffen, die zu dem gemäß Absatz 5 erlassenen Beschluss geführt hat. (7) Übermittlungen personenbezogener Daten an das betreffende Drittland, das Gebiet oder einen oder mehrere spezifische Sektoren in diesem Drittland oder an die betreffende internationale Organisation gemäß den Artikeln 46 bis 49 werden durch einen Beschluss nach Absatz 5 des vorliegenden Artikels nicht berührt. (8) Die Kommission veröffentlicht im Amtsblatt der Europäischen Union und auf ihrer Website eine Liste aller Drittländer beziehungsweise Gebiete und spezifischen Sektoren in einem Drittland und aller internationalen Organisationen, für die sie durch Beschluss festgestellt hat, dass sie ein angemessenes Schutzniveau gewährleisten bzw. nicht mehr gewährleisten. (9) Von der Kommission auf der Grundlage von Artikel 25 Absatz 6 der Richtlinie 95/46/EG erlassene Feststellungen bleiben so lange in Kraft, bis sie durch einen nach dem Prüfverfahren gemäß den Absätzen 3 oder 5 des vorliegenden Artikels erlassenen Beschluss der Kommission geändert, ersetzt oder aufgehoben werden. I. Einführung . . . . . . . . . . . . . . . II. Verfahren und Voraussetzungen III. Überprüfung und Überwachung

1 2 5

IV. Weitere Anforderungen . . . . . . V. Übergangsregelung . . . . . . . . .

6 7

Schrifttum: Albrecht, Das neue EU-Datenschutzrecht – von der Richtlinie zur Verordnung, CR 2016, 88.

I. Einführung Art. 45 ermächtigt die Kommission, das Vorliegen eines angemessenen Daten- 1 schutzniveaus in einem Drittland, in einem Gebiet oder einer oder mehrerer bestimmter Sektoren oder einer internationalen Organisation festzustellen. In Übereinstimmung mit der Rechtsprechung des EuGH1 wird in Erwägungsgrund 104 darunter ein Niveau verstanden, das dem europäischen Datenschutzniveau 1 EuGH v. 6.10.2015 – Rs. C-362/14, Rz. 73.

von dem Bussche

|

1213

Art. 45 DSGVO | Übermittlung an Drittländer der Sache nach gleichwertig ist. Das Konzept des „Angemessenheitsbeschlusses“ entspricht im Grundsatz dem Modell des Art. 25 Abs. 6 RL 95/46/EG (s. Komm. zu § 4b BDSG Rz. 23 ff.). Der wichtigste Unterschied besteht darin, dass die Entscheidungen nach Abs. 1 nunmehr nicht nur für das gesamte Land, sondern auch lediglich für bestimmte Gebiete oder einzelne Sektoren getroffen werden können. Damit erhält die Kommission bspw. die Möglichkeit, einer variierenden Gesetzgebung in föderalen Staaten Rechnung zu tragen oder die Feststellungen nur für Branchen zu treffen, in denen typischerweise mit weniger sensitiven Daten operiert wird oder in denen Branchenverbände über die Einhaltung bereichsspezifischer Datenschutzvorschriften wachen. Maßgebliche Erwägungsgründe für Art. 45 sind in den Erwägungsgründen 103– 107 zu finden.

II. Verfahren und Voraussetzungen 2 Abs. 2 legt die Kriterien fest, anhand derer das Vorliegen eines angemessenen

Schutzniveaus beurteilt werden muss. Da die einzelnen Elemente teilweise stark wertungsabhängig sind, ist das Schutzniveau nicht im Sinne des Vorliegens aller Voraussetzungen, sondern innerhalb einer Gesamtabwägung zu beurteilen. Dennoch wird auch künftig infolge der Rechtsprechung des EuGH und in Anbetracht der Wertungen der Grundrechte-Charta mit einem strengen gerichtlichen Prüfungsmaßstab zu rechnen sein1. In Bezug auf diese Rechtsprechung ist auch festzustellen, dass sich die materiellen Anforderungen, die der EuGH für Kommissionsentscheidungen nach Art. 25 Abs. 6 der RL 95/46/EG aufgestellt hatte, in den Kriterien der Verordnung wiederfinden, namentlich die Berücksichtigung eines wirksamen gerichtlichen Rechtsschutzes2 und der Vorschriften im Bereich der nationalen Sicherheit3. Damit erhalten diese Kritikpunkte des EuGH an der Kommissionsentscheidung 2000/520/EG einen stärkeren Anknüpfungspunkt in der Verordnung.

3 Sowohl hinsichtlich der Anforderungen an das Datenschutzrecht in Abs. 2

Buchst. a als auch an die Kontrollinstanzen in Abs. 2 Buchst. b ist nicht nur die abstrakte Rechtslage, sondern auch die konkrete Umsetzung zu berücksichtigen. Für Abs. 2 Buchst. a ergibt sich dies aus der Einbeziehung der Anwendung der Rechtsvorschriften, für Abs. 2 Buchst. b aus dem Erfordernis einer wirksamen Funktionsweise der Aufsichtsbehörden.

4 Die Annahme hat nach Abs. 4 Satz 4 unter Durchführung des Prüfverfahrens

nach Art. 93 Abs. 2 zu erfolgen. Nach Erwägungsgrund 105 soll zudem der Eu-

1 EuGH v. 6.10.2015 – Rs. C-362/14, Rz. 78. 2 EuGH v. 6.10.2015 – Rs. C-362/14, Rz. 89. 3 EuGH v. 6.10.2015 – Rs. C-362/14, Rz. 86 ff.

1214

|

von dem Bussche

Angemessenheitsbeschluss | Art. 45 DSGVO

ropäische Datenschutzausschuss bei der Bewertung des angemessenen Datenschutzniveaus eingebunden werden. Zu diesem Zweck ist die Kommission gemäß Art. 70 Abs. 1 Buchst. s Satz 2 verpflichtet, dem Ausschuss alle notwendigen Informationen zur Verfügung zu stellen, einschließlich der Korrespondenz mit der jeweiligen Regierung.

III. Überprüfung und Überwachung Nach Abs. 3 Satz 2 muss die Kommissionsentscheidung einen Mechanismus für 5 eine regelmäßige Überprüfung des Schutzniveaus vorsehen, innerhalb dessen mindestens alle vier Jahre die Entwicklungen im Drittstaat oder der internationalen Organisation evaluiert werden. Daneben soll die Kommission nach Abs. 4 diese Entwicklungen auch laufend überprüfen1. Sollten danach Informationen zu Tage treten, nach denen ein angemessenes Schutzniveau nicht mehr gewährleistet ist, müssen die Kommissionsentscheidungen nach Abs. 5 ohne Rückwirkung aufgehoben, geändert oder ausgesetzt werden. Dabei ist das Prüfverfahren nach Art. 93 Abs. 2 bzw. in extrem eiligen Fällen das Verfahren nach Art. 93 Abs. 3 zu beachten. In diesen Fällen hat die Kommission nach Abs. 6 Verhandlungen mit den Drittstaaten oder den internationalen Organisationen aufzunehmen, um den Gründen für eine Beanstandung der Angemessenheitsentscheidung abzuhelfen. Gemäß Abs. 7 bleiben Transfers auf Rechtsgrundlage der Art. 46–49 durch Entscheidungen nach Abs. 5 unberührt.

IV. Weitere Anforderungen In der Kommissionsentscheidung benannt werden müssen nach Abs. 3 Satz 3 6 der konkrete Anwendungsbereich sowie ggf. die zuständigen Aufsichtsbehörden nach Abs. 2 Buchst. b. Nach Abs. 8 veröffentlicht die Kommission im Amtsblatt der Europäischen Union sowie auf ihrer Homepage eine Liste der Staaten, Gebiete und Branchen bzw. internationalen Organisationen, für die ein angemessenes Schutzniveau festgestellt oder aberkannt wurde.

V. Übergangsregelung Abs. 9 sieht eine Übergangsregelung für die Kommissionsentscheidungen vor, 7 die gemäß Art. 25 Abs. 6 der RL 95/46/EG getroffen wurden. Diese bleiben uneingeschränkt und ohne feste Frist in Kraft, bis sie durch eine neue Kommissionsentscheidung nach der DSGVO geändert, ersetzt oder aufgehoben werden. 1 Diese Pflicht trifft die Kommission ausdrücklich auch hinsichtlich der Entscheidungen auf Basis der Richtlinie 95/46/EG (vgl. Abs. 4 und Erwägungsgrund 106).

von dem Bussche

|

1215

Art. 46 DSGVO | Übermittlung an Drittländer

Artikel 46 Datenübermittlung vorbehaltlich geeigneter Garantien (1) Falls kein Beschluss nach Artikel 45 Absatz 3 vorliegt, darf ein Verantwortlicher oder ein Auftragsverarbeiter personenbezogene Daten an ein Drittland oder eine internationale Organisation nur übermitteln, sofern der Verantwortliche oder der Auftragsverarbeiter geeignete Garantien vorgesehen hat und sofern den betroffenen Personen durchsetzbare Rechte und wirksame Rechtsbehelfe zur Verfügung stehen. (2) Die in Absatz 1 genannten geeigneten Garantien können, ohne dass hierzu eine besondere Genehmigung einer Aufsichtsbehörde erforderlich wäre, bestehen in a) einem rechtlich bindenden und durchsetzbaren Dokument zwischen den Behörden oder öffentlichen Stellen, b) verbindlichen internen Datenschutzvorschriften gemäß Artikel 47, c) Standarddatenschutzklauseln, die von der Kommission gemäß dem Prüfverfahren nach Artikel 93 Absatz 2 erlassen werden, d) von einer Aufsichtsbehörde angenommenen Standarddatenschutzklauseln, die von der Kommission gemäß dem Prüfverfahren nach Artikel 93 Absatz 2 genehmigt wurden, e) genehmigten Verhaltensregeln gemäß Artikel 40 zusammen mit rechtsverbindlichen und durchsetzbaren Verpflichtungen des Verantwortlichen oder des Auftragsverarbeiters in dem Drittland zur Anwendung der geeigneten Garantien, einschließlich in Bezug auf die Rechte der betroffenen Personen, oder f) einem genehmigten Zertifizierungsmechanismus gemäß Artikel 42 zusammen mit rechtsverbindlichen und durchsetzbaren Verpflichtungen des Verantwortlichen oder des Auftragsverarbeiters in dem Drittland zur Anwendung der geeigneten Garantien, einschließlich in Bezug auf die Rechte der betroffenen Personen. (3) Vorbehaltlich der Genehmigung durch die zuständige Aufsichtsbehörde können die geeigneten Garantien gemäß Absatz 1 auch insbesondere bestehen in a) Vertragsklauseln, die zwischen dem Verantwortlichen oder dem Auftragsverarbeiter und dem Verantwortlichen, dem Auftragsverarbeiter oder dem Empfänger der personenbezogenen Daten im Drittland oder der internationalen Organisation vereinbart wurden, oder b) Bestimmungen, die in Verwaltungsvereinbarungen zwischen Behörden oder öffentlichen Stellen aufzunehmen sind und durchsetzbare und wirksame Rechte für die betroffenen Personen einschließen. 1216

|

von dem Bussche

Datenübermittlung vorbehaltlich geeigneter Garantien | Art. 46 DSGVO

(4) Die Aufsichtsbehörde wendet das Kohärenzverfahren nach Artikel 63 an, wenn ein Fall gemäß Absatz 3 des vorliegenden Artikels vorliegt. (5) Von einem Mitgliedstaat oder einer Aufsichtsbehörde auf der Grundlage von Artikel 26 Absatz 2 der Richtlinie 95/46/EG erteilte Genehmigungen bleiben so lange gültig, bis sie erforderlichenfalls von dieser Aufsichtsbehörde geändert, ersetzt oder aufgehoben werden. Von der Kommission auf der Grundlage von Artikel 26 Absatz 4 der Richtlinie 95/46/EG erlassene Feststellungen bleiben so lange in Kraft, bis sie erforderlichenfalls mit einem nach Absatz 2 des vorliegenden Artikels erlassenen Beschluss der Kommission geändert, ersetzt oder aufgehoben werden. I. Einführung . . . . . . . . . . . . . . .

1

II. Übergangsregelungen . . . . . . .

5

I. Einführung Fehlt es an einer Angemessenheitsentscheidung nach Art. 45, kann eine Daten- 1 übermittlung in einen Drittstaat oder an eine internationale Organisation nur erfolgen, wenn der Verantwortliche oder der Auftragsverarbeiter ausreichende Garantien erbringt und durchsetzbare Betroffenenrechte sowie effektive Rechtsmittel für die Betroffenen zur Verfügung stehen. Art. 46 nennt also alle Mittel, mit denen ein Datentransfer bei Fehlen einer Angemessenheitsentscheidung gerechtfertigt werden kann. Unter der Richtlinie 95/46/EG waren im privaten Bereich die Instrumente der Binding Corporate Rules, der Standardvertragsklauseln sowie im Einzelfall zu genehmigende Vertragsklauseln auf Art. 26 Abs. 2 und Abs. 4 gestützt worden (Komm. zu § 4c BDSG Rz. 20 ff.). Die DSGVO differenziert nun die Voraussetzungen der Binding Corporate Rules (jetzt sog. verbindliche interne Datenschutzvorschriften) stärker aus und sieht mit dem Zertifizierungsmechanismus nach Art. 42 sowie den Verhaltensregeln nach Art. 40 weitere Garantien vor, die bei verbindlicher und durchsetzbarer Verpflichtung der Stelle im Drittstaat zur Rechtfertigung von Datentransfers herangezogen werden können. Der Datentransfer auf Basis von Binding Corporate Rules, Verhaltensregeln und 2 Zertifizierungen unterliegt nach dem Wortlaut des Abs. 2 zwar keiner Genehmigungspflicht für den jeweiligen einzelnen Transfer; jedoch ist nach dem in dieser Frage ebenso deutlichen Art. 47 Abs. 1 eine einmalige Genehmigung der Regelungen durch die zuständigen Aufsichtsbehörden erforderlich. Diese hinsichtlich der Binding Corporate Rules unter dem BDSG umstrittene Frage (Komm. zu § 4c BDSG Rz. 46) ist in der DSGVO somit beantwortet. Wie Erwägungsgrund 109 klarstellt, können Standardvertragsklauseln der Kom- 3 mission und der Aufsichtsbehörden durch individuelle einzelvertragliche Klauseln ergänzt werden, soweit diese den Standardvertragsklauseln nicht widervon dem Bussche

|

1217

Art. 47 DSGVO | Übermittlung an Drittländer sprechen. Soweit Vertragsklauseln im Einzelfall genehmigt werden, ist nach Abs. 4 das Kohärenzverfahren gemäß Art. 63 durchzuführen. 4 Findet der Datenaustausch zwischen öffentlichen Stellen statt, können gemäß

Abs. 2 Buchst. a rechtlich verbindliche Abkommen die Übermittlung rechtfertigen. Fehlt es wie bei bloßen Absichtserklärungen (Memorandum of Understanding, s.a. Erwägungsgrund 108) an einer rechtlichen Verbindlichkeit, ist nach Abs. 3 die vorherige Genehmigung der zuständigen Aufsichtsbehörde einzuholen. In Bezug auf die für Art. 46 maßgeblichen Erwägungen ist auf die Erwägungsgründe 108 und 109 zu verweisen.

II. Übergangsregelungen 5 Nach Abs. 5 Satz 1 bleiben die Genehmigungen, die auf Basis des Art. 26 Abs. 2

der Richtlinie 95/46/EG von den Mitgliedstaaten oder Aufsichtsbehörden erlassen wurden, uneingeschränkt in Kraft, bis diese geändert, ersetzt oder aufgehoben werden. Gleiches gilt für die Standardvertragsklauseln der Kommission nach Art. 26 Abs. 4 der Richtlinie.

Artikel 47 Verbindliche interne Datenschutzvorschriften (1) Die zuständige Aufsichtsbehörde genehmigt gemäß dem Kohärenzverfahren nach Artikel 63 verbindliche interne Datenschutzvorschriften, sofern diese a) rechtlich bindend sind, für alle betreffenden Mitglieder der Unternehmensgruppe oder einer Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben, gelten und von diesen Mitgliedern durchgesetzt werden, und dies auch für ihre Beschäftigten gilt, b) den betroffenen Personen ausdrücklich durchsetzbare Rechte in Bezug auf die Verarbeitung ihrer personenbezogenen Daten übertragen und c) die in Absatz 2 festgelegten Anforderungen erfüllen. (2) Die verbindlichen internen Datenschutzvorschriften nach Absatz 1 enthalten mindestens folgende Angaben: a) Struktur und Kontaktdaten der Unternehmensgruppe oder Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben, und jedes ihrer Mitglieder; b) die betreffenden Datenübermittlungen oder Reihen von Datenübermittlungen einschließlich der betreffenden Arten personenbezogener Daten, 1218

|

von dem Bussche

Art. 47 DSGVO | Übermittlung an Drittländer sprechen. Soweit Vertragsklauseln im Einzelfall genehmigt werden, ist nach Abs. 4 das Kohärenzverfahren gemäß Art. 63 durchzuführen. 4 Findet der Datenaustausch zwischen öffentlichen Stellen statt, können gemäß

Abs. 2 Buchst. a rechtlich verbindliche Abkommen die Übermittlung rechtfertigen. Fehlt es wie bei bloßen Absichtserklärungen (Memorandum of Understanding, s.a. Erwägungsgrund 108) an einer rechtlichen Verbindlichkeit, ist nach Abs. 3 die vorherige Genehmigung der zuständigen Aufsichtsbehörde einzuholen. In Bezug auf die für Art. 46 maßgeblichen Erwägungen ist auf die Erwägungsgründe 108 und 109 zu verweisen.

II. Übergangsregelungen 5 Nach Abs. 5 Satz 1 bleiben die Genehmigungen, die auf Basis des Art. 26 Abs. 2

der Richtlinie 95/46/EG von den Mitgliedstaaten oder Aufsichtsbehörden erlassen wurden, uneingeschränkt in Kraft, bis diese geändert, ersetzt oder aufgehoben werden. Gleiches gilt für die Standardvertragsklauseln der Kommission nach Art. 26 Abs. 4 der Richtlinie.

Artikel 47 Verbindliche interne Datenschutzvorschriften (1) Die zuständige Aufsichtsbehörde genehmigt gemäß dem Kohärenzverfahren nach Artikel 63 verbindliche interne Datenschutzvorschriften, sofern diese a) rechtlich bindend sind, für alle betreffenden Mitglieder der Unternehmensgruppe oder einer Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben, gelten und von diesen Mitgliedern durchgesetzt werden, und dies auch für ihre Beschäftigten gilt, b) den betroffenen Personen ausdrücklich durchsetzbare Rechte in Bezug auf die Verarbeitung ihrer personenbezogenen Daten übertragen und c) die in Absatz 2 festgelegten Anforderungen erfüllen. (2) Die verbindlichen internen Datenschutzvorschriften nach Absatz 1 enthalten mindestens folgende Angaben: a) Struktur und Kontaktdaten der Unternehmensgruppe oder Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben, und jedes ihrer Mitglieder; b) die betreffenden Datenübermittlungen oder Reihen von Datenübermittlungen einschließlich der betreffenden Arten personenbezogener Daten, 1218

|

von dem Bussche

Verbindliche interne Datenschutzvorschriften | Art. 47 DSGVO

c) d)

e)

f)

g)

h)

i) j)

Art und Zweck der Datenverarbeitung, Art der betroffenen Personen und das betreffende Drittland beziehungsweise die betreffenden Drittländer; interne und externe Rechtsverbindlichkeit der betreffenden internen Datenschutzvorschriften; die Anwendung der allgemeinen Datenschutzgrundsätze, insbesondere Zweckbindung, Datenminimierung, begrenzte Speicherfristen, Datenqualität, Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen, Rechtsgrundlage für die Verarbeitung, Verarbeitung besonderer Kategorien von personenbezogenen Daten, Maßnahmen zur Sicherstellung der Datensicherheit und Anforderungen für die Weiterübermittlung an nicht an diese internen Datenschutzvorschriften gebundene Stellen; die Rechte der betroffenen Personen in Bezug auf die Verarbeitung und die diesen offenstehenden Mittel zur Wahrnehmung dieser Rechte einschließlich des Rechts, nicht einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung nach Artikel 22 unterworfen zu werden sowie des in Artikel 79 niedergelegten Rechts auf Beschwerde bei der zuständigen Aufsichtsbehörde beziehungsweise auf Einlegung eines Rechtsbehelfs bei den zuständigen Gerichten der Mitgliedstaaten und im Falle einer Verletzung der verbindlichen internen Datenschutzvorschriften Wiedergutmachung und gegebenenfalls Schadenersatz zu erhalten; die von dem in einem Mitgliedstaat niedergelassenen Verantwortlichen oder Auftragsverarbeiter übernommene Haftung für etwaige Verstöße eines nicht in der Union niedergelassenen betreffenden Mitglieds der Unternehmensgruppe gegen die verbindlichen internen Datenschutzvorschriften; der Verantwortliche oder der Auftragsverarbeiter ist nur dann teilweise oder vollständig von dieser Haftung befreit, wenn er nachweist, dass der Umstand, durch den der Schaden eingetreten ist, dem betreffenden Mitglied nicht zur Last gelegt werden kann; die Art und Weise, wie die betroffenen Personen über die Bestimmungen der Artikel 13 und 14 hinaus über die verbindlichen internen Datenschutzvorschriften und insbesondere über die unter den Buchstaben d, e und f dieses Absatzes genannten Aspekte informiert werden; die Aufgaben jedes gemäß Artikel 37 benannten Datenschutzbeauftragten oder jeder anderen Person oder Einrichtung, die mit der Überwachung der Einhaltung der verbindlichen internen Datenschutzvorschriften in der Unternehmensgruppe oder Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben, sowie mit der Überwachung der Schulungsmaßnahmen und dem Umgang mit Beschwerden befasst ist; die Beschwerdeverfahren; die innerhalb der Unternehmensgruppe oder Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben, bestehenden Verfahvon dem Bussche

|

1219

Art. 47 DSGVO | Übermittlung an Drittländer ren zur Überprüfung der Einhaltung der verbindlichen internen Datenschutzvorschriften. Derartige Verfahren beinhalten Datenschutzüberprüfungen und Verfahren zur Gewährleistung von Abhilfemaßnahmen zum Schutz der Rechte der betroffenen Person. Die Ergebnisse derartiger Überprüfungen sollten der in Buchstabe h genannten Person oder Einrichtung sowie dem Verwaltungsrat des herrschenden Unternehmens einer Unternehmensgruppe oder der Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben, mitgeteilt werden und sollten der zuständigen Aufsichtsbehörde auf Anfrage zur Verfügung gestellt werden; k) die Verfahren für die Meldung und Erfassung von Änderungen der Vorschriften und ihre Meldung an die Aufsichtsbehörde; l) die Verfahren für die Zusammenarbeit mit der Aufsichtsbehörde, die die Befolgung der Vorschriften durch sämtliche Mitglieder der Unternehmensgruppe oder Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben, gewährleisten, insbesondere durch Offenlegung der Ergebnisse von Überprüfungen der unter Buchstabe j genannten Maßnahmen gegenüber der Aufsichtsbehörde; m) die Meldeverfahren zur Unterrichtung der zuständigen Aufsichtsbehörde über jegliche für ein Mitglied der Unternehmensgruppe oder Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben, in einem Drittland geltenden rechtlichen Bestimmungen, die sich nachteilig auf die Garantien auswirken könnten, die die verbindlichen internen Datenschutzvorschriften bieten, und n) geeignete Datenschutzschulungen für Personal mit ständigem oder regelmäßigem Zugang zu personenbezogenen Daten. (3) Die Kommission kann das Format und die Verfahren für den Informationsaustausch über verbindliche interne Datenschutzvorschriften im Sinne des vorliegenden Artikels zwischen Verantwortlichen, Auftragsverarbeitern und Aufsichtsbehörden festlegen. Diese Durchführungsrechtsakte werden gemäß dem Prüfverfahren nach Artikel 93 Absatz 2 erlassen. I. Einführung . . . . . . . . . . . . . . .

1

II. Inhaltliche Anforderungen . . .

3

I. Einführung 1 Art. 47 statuiert erstmals präzisere Vorgaben zur Umsetzung von Binding Cor-

porate Rules bzw. verbindlichen internen Datenschutzvorschriften (zur Legaldefinition s. Art. 4 Nr. 20). Zuvor konnten in Deutschland inhaltliche Anhaltspunkte ausschließlich den Arbeitspapieren der Aufsichtsbehörden entnommen werden (vgl. zur bisherigen Rechtslage Komm. zu § 4c BDSG Rz. 42 ff.). Weiter1220

|

von dem Bussche

Verbindliche interne Datenschutzvorschriften | Art. 47 DSGVO

hin notwendig bleibt es hingegen, die Anforderungen auf die konkrete Unternehmensstruktur zu übertragen und das Regelwerk dementsprechend anzupassen. Die Binding Corporate Rules müssen durch die zuständige Aufsichtsbehörde genehmigt werden. Nach Abs. 1 Buchst. a müssen die Regeln rechtlich verbindlich sein und jeden 2 Teil der Gruppe von Unternehmen oder der Unternehmensgruppe (zu den Legaldefinition s. Art. 4 Nr. 18 und 19) einschließlich aller Mitarbeiter erfassen; eine bestimmte Rechtsform ist jedoch nicht vorgeschrieben1. Weiterhin ist erforderlich, dass ausdrücklich durchsetzbare Rechte für die Betroffenen vorgesehen werden, Abs. 1 Buchst. b, und dass die inhaltlichen Anforderungen des Abs. 2 erfüllt werden, Abs. 1 Buchst. c. Erwägungen zu Art. 47 finden sich in Erwägungsgrund 110.

II. Inhaltliche Anforderungen Abs. 2 sieht eine Reihe von inhaltlichen Mindestanforderungen für die Formu- 3 lierung der verbindlichen internen Datenschutzvorschriften vor. Die Vorgaben orientieren sich stark an den (unverbindlichen) Empfehlungen der Artikel-29Datenschutzgruppe zu den Grundsätzen und Bestandteilen der Binding Corporate Rules2 unter der Richtlinie 95/46/EG. Art. 70 Abs. 1 Buchst. i enthält den Auftrag an den Europäischen Datenschutzausschuss, zur näheren inhaltlichen Konkretisierung der Kriterien und Anforderungen an die verbindlichen internen Datenschutzvorschriften Leitlinien, Empfehlungen und Best-Practice-Beispiele zu veröffentlichen. Art. 47 Abs. 3 ermächtigt die Kommission, die Vorgaben für den Informationsaustausch zwischen Verantwortlichen, Auftragsverarbeitern und Aufsichtsbehörden zu konkretisieren, der im Rahmen der Norm erforderlich ist, insbesondere aufgrund der Abs. 2 Buchst. h, k, l und m.

1 In Betracht kommt etwa auch eine Satzung (vgl. Komm. zu § 4c BDSG Rz. 39). Folgerungen für die Rechtsform können sich je nach anwendbarem Schuldrecht aber aus dem Erfordernis interner und externer Verbindlichkeit aus Abs. 2 Buchst. c) ergeben (vgl. auch Komm. zu § 4c BDSG Rz. 40); bloße Wohlverhaltenserklärungen etwa reichen demnach nicht aus. 2 S. insbesondere Working Paper (WP) 153 v. 24.6.2008 (Überblick über die Bestandteile und Grundsätze einer BCR); WP 154 v. 24.6.2008 (Vorschlag für die Struktur einer BCR) und WP 155 v. 24.6.2008 (FAQ); WP 204 rev.01 vom 22.5.2015 (Processor Binding Corporate Rules); alle abrufbar unter http://ec.europa.eu/justice/data-protection/article-29/ documentation/opinion-recommendation/index_en.htm. (zuletzt besucht: 25.4.2016).

von dem Bussche

|

1221

Art. 48 DSGVO | Übermittlung an Drittländer

Artikel 48 Nach dem Unionsrecht nicht zulässige Übermittlung oder Offenlegung Jegliches Urteil eines Gerichts eines Drittlands und jegliche Entscheidung einer Verwaltungsbehörde eines Drittlands, mit denen von einem Verantwortlichen oder einem Auftragsverarbeiter die Übermittlung oder Offenlegung personenbezogener Daten verlangt wird, dürfen unbeschadet anderer Gründe für die Übermittlung gemäß diesem Kapitel jedenfalls nur dann anerkannt oder vollstreckbar werden, wenn sie auf eine in Kraft befindliche internationale Übereinkunft wie etwa ein Rechtshilfeabkommen zwischen dem ersuchenden Drittland und der Union oder einem Mitgliedstaat gestützt sind. 1 Art. 48 stellt klar, dass eine gerichtliche oder verwaltungsbehördliche Entschei-

dung in einem Drittstaat, welche von einem Verantwortlichen oder einem Auftragsverarbeiter die Übermittlung von Daten erfordert, für sich genommen keine eigenständige Grundlage für eine Datenweitergabe darstellt. Vielmehr muss zudem ein internationales Abkommen wie ein Rechtshilfeabkommen vorliegen. In Betracht kommt aber auch ein anderer Rechtfertigungsgrund nach den Art. 45, 46 und 49; bei Fehlen einer Angemessenheitsentscheidung ist etwa an Art. 49 Abs. 1 Buchst. e zu denken, der allerdings nur die Übermittlung an Dritte, das Gericht oder die Verwaltungsbehörde zur Durchsetzung eines Anspruches rechtfertigt, nicht jedoch an die (siegreiche) Gegenpartei, welche etwa einen Auskunftsanspruch geltend gemacht hatte. Dies ergibt sich zum einen aus dem Wortlaut, da die Weitergabe dann nicht zur Durchsetzung eigener Ansprüche erfolgt, zum anderen aus der Systematik, da ansonsten das Erfordernis eines Rechtshilfeabkommens unterlaufen würde. Erwägungen zu Art. 48 sind in Erwägungsgrund 115 zu finden.

Artikel 49 Ausnahmen für bestimmte Fälle (1) Falls weder ein Angemessenheitsbeschluss nach Artikel 45 Absatz 3 vorliegt noch geeignete Garantien nach Artikel 46, einschließlich verbindlicher interner Datenschutzvorschriften, bestehen, ist eine Übermittlung oder eine Reihe von Übermittlungen personenbezogener Daten an ein Drittland oder an eine internationale Organisation nur unter einer der folgenden Bedingungen zulässig: a) die betroffene Person hat in die vorgeschlagene Datenübermittlung ausdrücklich eingewilligt, nachdem sie über die für sie bestehenden möglichen 1222

|

von dem Bussche

Art. 48 DSGVO | Übermittlung an Drittländer

Artikel 48 Nach dem Unionsrecht nicht zulässige Übermittlung oder Offenlegung Jegliches Urteil eines Gerichts eines Drittlands und jegliche Entscheidung einer Verwaltungsbehörde eines Drittlands, mit denen von einem Verantwortlichen oder einem Auftragsverarbeiter die Übermittlung oder Offenlegung personenbezogener Daten verlangt wird, dürfen unbeschadet anderer Gründe für die Übermittlung gemäß diesem Kapitel jedenfalls nur dann anerkannt oder vollstreckbar werden, wenn sie auf eine in Kraft befindliche internationale Übereinkunft wie etwa ein Rechtshilfeabkommen zwischen dem ersuchenden Drittland und der Union oder einem Mitgliedstaat gestützt sind. 1 Art. 48 stellt klar, dass eine gerichtliche oder verwaltungsbehördliche Entschei-

dung in einem Drittstaat, welche von einem Verantwortlichen oder einem Auftragsverarbeiter die Übermittlung von Daten erfordert, für sich genommen keine eigenständige Grundlage für eine Datenweitergabe darstellt. Vielmehr muss zudem ein internationales Abkommen wie ein Rechtshilfeabkommen vorliegen. In Betracht kommt aber auch ein anderer Rechtfertigungsgrund nach den Art. 45, 46 und 49; bei Fehlen einer Angemessenheitsentscheidung ist etwa an Art. 49 Abs. 1 Buchst. e zu denken, der allerdings nur die Übermittlung an Dritte, das Gericht oder die Verwaltungsbehörde zur Durchsetzung eines Anspruches rechtfertigt, nicht jedoch an die (siegreiche) Gegenpartei, welche etwa einen Auskunftsanspruch geltend gemacht hatte. Dies ergibt sich zum einen aus dem Wortlaut, da die Weitergabe dann nicht zur Durchsetzung eigener Ansprüche erfolgt, zum anderen aus der Systematik, da ansonsten das Erfordernis eines Rechtshilfeabkommens unterlaufen würde. Erwägungen zu Art. 48 sind in Erwägungsgrund 115 zu finden.

Artikel 49 Ausnahmen für bestimmte Fälle (1) Falls weder ein Angemessenheitsbeschluss nach Artikel 45 Absatz 3 vorliegt noch geeignete Garantien nach Artikel 46, einschließlich verbindlicher interner Datenschutzvorschriften, bestehen, ist eine Übermittlung oder eine Reihe von Übermittlungen personenbezogener Daten an ein Drittland oder an eine internationale Organisation nur unter einer der folgenden Bedingungen zulässig: a) die betroffene Person hat in die vorgeschlagene Datenübermittlung ausdrücklich eingewilligt, nachdem sie über die für sie bestehenden möglichen 1222

|

von dem Bussche

Ausnahmen für bestimmte Fälle | Art. 49 DSGVO

Risiken derartiger Datenübermittlungen ohne Vorliegen eines Angemessenheitsbeschlusses und ohne geeignete Garantien unterrichtet wurde, b) die Übermittlung ist für die Erfüllung eines Vertrags zwischen der betroffenen Person und dem Verantwortlichen oder zur Durchführung von vorvertraglichen Maßnahmen auf Antrag der betroffenen Person erforderlich, c) die Übermittlung ist zum Abschluss oder zur Erfüllung eines im Interesse der betroffenen Person von dem Verantwortlichen mit einer anderen natürlichen oder juristischen Person geschlossenen Vertrags erforderlich, d) die Übermittlung ist aus wichtigen Gründen des öffentlichen Interesses notwendig, e) die Übermittlung ist zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich, f) die Übermittlung ist zum Schutz lebenswichtiger Interessen der betroffenen Person oder anderer Personen erforderlich, sofern die betroffene Person aus physischen oder rechtlichen Gründen außerstande ist, ihre Einwilligung zu geben, g) die Übermittlung erfolgt aus einem Register, das gemäß dem Recht der Union oder der Mitgliedstaaten zur Information der Öffentlichkeit bestimmt ist und entweder der gesamten Öffentlichkeit oder allen Personen, die ein berechtigtes Interesse nachweisen können, zur Einsichtnahme offensteht, aber nur soweit die im Recht der Union oder der Mitgliedstaaten festgelegten Voraussetzungen für die Einsichtnahme im Einzelfall gegeben sind, Falls die Übermittlung nicht auf eine Bestimmung der Artikel 45 oder 46 – einschließlich der verbindlichen internen Datenschutzvorschriften – gestützt werden könnte und keine der Ausnahmen für einen bestimmten Fall gemäß dem ersten Unterabsatz anwendbar ist, darf eine Übermittlung an ein Drittland oder eine internationale Organisation nur dann erfolgen, wenn die Übermittlung nicht wiederholt erfolgt, nur eine begrenzte Zahl von betroffenen Personen betrifft, für die Wahrung der zwingenden berechtigten Interessen des Verantwortlichen erforderlich ist, sofern die Interessen oder die Rechte und Freiheiten der betroffenen Person nicht überwiegen, und der Verantwortliche alle Umstände der Datenübermittlung beurteilt und auf der Grundlage dieser Beurteilung angemessene Garantien in Bezug auf den Schutz personenbezogener Daten vorgesehen hat. Der Verantwortliche setzt die Aufsichtsbehörde von der Übermittlung in Kenntnis. Der Verantwortliche unterrichtet die betroffene Person über die Übermittlung und seine zwingenden berechtigten Interessen; dies erfolgt zusätzlich zu den der betroffenen Person nach den Artikeln 13 und 14 mitgeteilten Informationen. (2) Datenübermittlungen gemäß Absatz 1 Unterabsatz 1 Buchstabe g dürfen nicht die Gesamtheit oder ganze Kategorien der im Register enthaltenen pervon dem Bussche

|

1223

Art. 49 DSGVO | Übermittlung an Drittländer sonenbezogenen Daten umfassen. Wenn das Register der Einsichtnahme durch Personen mit berechtigtem Interesse dient, darf die Übermittlung nur auf Anfrage dieser Personen oder nur dann erfolgen, wenn diese Personen die Adressaten der Übermittlung sind. (3) Absatz 1 Unterabsatz 1 Buchstaben a, b und c und sowie Absatz 1 Unterabsatz 2 gelten nicht für Tätigkeiten, die Behörden in Ausübung ihrer hoheitlichen Befugnisse durchführen. (4) Das öffentliche Interesse im Sinne des Absatzes 1 Unterabsatz 1 Buchstabe d muss im Unionsrecht oder im Recht des Mitgliedstaats, dem der Verantwortliche unterliegt, anerkannt sein. (5) Liegt kein Angemessenheitsbeschluss vor, so können im Unionsrecht oder im Recht der Mitgliedstaaten aus wichtigen Gründen des öffentlichen Interesses ausdrücklich Beschränkungen der Übermittlung bestimmter Kategorien von personenbezogenen Daten an Drittländer oder internationale Organisationen vorgesehen werden. Die Mitgliedstaaten teilen der Kommission derartige Bestimmungen mit. (6) Der Verantwortliche oder der Auftragsverarbeiter erfasst die von ihm vorgenommene Beurteilung sowie die angemessenen Garantien im Sinne des Absatzes 1 Unterabsatz 2 des vorliegenden Artikels in der Dokumentation gemäß Artikel 30. I. Einführung . . . . . . . . . . . . . . . II. Private Verantwortliche 1. Ausdrückliche Einwilligung . . . . 2. Vertragserfüllung und Vertragsanbahnung . . . . . . . . . . . . . . . 3. Vertrag im Interesse des Betroffenen . . . . . . . . . . . . . . . . . . . . .

1 2 3 4

4. Wichtige Gründe des öffentliche Interessens . . . . . . . . . . . . . . . . 5 5. Rechtsverteidigung . . . . . . . . . . 6 6. Lebenswichtige Interessen . . . . . 7 7. Daten aus öffentlichen Registern 8 8. Überwiegende Interessen . . . . . 9 III. Behörden . . . . . . . . . . . . . . . . 11

I. Einführung 1 Kann eine Datenübermittlung in einen Drittstaat auf keinen anderen Tatbestand

gestützt werden, sieht Art. 49 unter engen Grenzen weitere Rechtfertigungstatbestände vor, unter denen der Transfer ausnahmsweise im Einzelfall gerechtfertigt werden kann. Eine Genehmigung seitens der Aufsichtsbehörden ist nicht erforderlich. Bis auf kleinere Veränderungen sowie den vollständig neu gestalteten Übermittlungsgrund des Abs. 1 a.E. entsprechen die Tatbestände im Wesentlichen denen des Art. 26 Abs. 1 RL 95/46/EG, dessen Umsetzung § 4c Abs. 1 Satz 1 BDSG darstellt (s. Komm. zu § 4c BDSG Rz. 4 ff.). Die für Art. 49 maßgeblichen Erwägungen ergeben sich aus den Erwägungsgründen 111–114.

1224

|

von dem Bussche

Ausnahmen für bestimmte Fälle | Art. 49 DSGVO

II. Private Verantwortliche 1. Ausdrückliche Einwilligung Abs. 1 Buchst. a verlangt für die Übermittlung eine ausdrückliche Einwilligung 2 des Betroffenen, nachdem er über die möglichen Risiken aufgrund der fehlenden ausreichenden Garantien oder eines fehlenden Angemessenheitsbeschlusses informiert wurde. Die Norm spezifiziert damit die grundsätzlich ohnehin bestehenden Anforderungen an eine informierte Einwilligung (s. Art. 4 Nr. 11) dahingehend, dass explizit auch über die Risiken für die Daten aufgrund der Drittlandübermittlung aufgeklärt werden muss. Eine entsprechende Datenschutzerklärung sollte daher mindestens aufgreifen, dass ein dem europäischen Datenschutzniveau ähnlicher Schutz nicht gewährleistet werden kann. Wie weit die Informationspflicht genau reicht, ist der Norm freilich nicht zweifelsfrei zu entnehmen. So dürfte streitig sein, ob und inwieweit die Rechtslage in Bezug auf den Datenschutz im Drittstaat darzustellen ist, und welche Gefahren sich nach der Erfahrungslage im Zielstaat empirisch, also losgelöst von der abstrakten Rechtslage, realisieren könnten. Das Erfordernis der Ausdrücklichkeit bekräftigt die für Einwilligungen bestehende Anforderung einer positiven Aussage bzw. bestätigenden Reaktion (Opt-In) und dürfte darüber hinaus verdeutlichen, dass die Zustimmung jeweils für den Einzelfall zu erteilen ist und nicht pauschal gegeben werden kann. 2. Vertragserfüllung und Vertragsanbahnung Der Wortlaut des Abs. 1 Buchst. b, der Rechtfertigungsnorm für Übermittlun- 3 gen aufgrund vertraglicher und vorvertraglicher Notwendigkeit, entspricht dem der Richtlinie 95/46/EG bzw. der Umsetzungsnorm des § 4c Abs. 1 Satz 1 Nr. 2 BDSG. Insoweit kann auf die Ausführungen hinsichtlich des BDSG verwiesen werden (Komm. zu § 4c BDSG Rz. 9). 3. Vertrag im Interesse des Betroffenen Der Tatbestand des Abs. 1 Buchst. c für eine Übermittlung aufgrund eines Ver- 4 trages im Interesse des Betroffenen entspricht bis auf den Begriff des Dritten als Vertragspartner, der durch eine andere natürliche oder juristische Person ersetzt wurde, dem der Richtlinie 95/46/EG. Da mit der Anpassung keine materiellen Änderungen gegenüber der bisherigen Rechtslage verbunden sein dürften, kann darauf insoweit verwiesen werden (Komm. zu § 4c BDSG Rz. 10). 4. Wichtige Gründe des öffentlichen Interesses Abs. 1 Buchst. d regelt den Datentransfer bei einer Notwendigkeit aufgrund 5 wichtiger Gründe des öffentlichen Interesses und entspricht dem Tatbestand des § 4c Abs. 1 Satz 1 Nr. 4 Alt. 1 BDSG (Komm. zu § 4c BDSG Rz. 12). Satz 1 von dem Bussche

|

1225

Art. 49 DSGVO | Übermittlung an Drittländer des Erwägungsgrundes 112 nennt einige Beispiele der anzuerkennenden öffentlichen Interessen, so etwa die internationale Kooperation im Wettbewerbsrecht, in Fragen des Steuer- oder Zollwesens, bei einem Austausch der Finanzaufsichtsbehörden oder bei Dienstleistern in Angelegenheiten der Sozialversicherung oder der öffentlichen Gesundheit einschließlich Meldepflichten bei übertragbaren Krankheiten oder zur Bekämpfung des Dopings im Sport. Gemäß Abs. 4 muss das öffentliche Interesse durch das Unionsrecht oder das mitgliedstaatliche Recht, dem der Verantwortliche unterfällt, bereits anerkannt sein. 5. Rechtsverteidigung 6 Die Datenübermittlung aus Gründen der Rechtsverteidigung gemäß Abs. 1

Buchst. e war ebenfalls bereits in der Richtlinie 95/46/EG vorgesehen, so dass sich gegenüber § 4c Abs. 1 Satz 1 Nr. 4 Alt. 2 BDSG keine zentralen Änderungen ergeben (Komm. zu § 4c BDSG Rz. 13 ff.). Hinsichtlich der Frage nach der Zulässigkeit von Transfers zu Zwecken vor- und außergerichtlicher Verfahren, insbesondere mit Blick auf das amerikanische Pretrial Discovery Verfahren (vgl. Komm. zu § 4c BDSG Rz. 14) legt Erwägungsgrund 111 ein weites Verständnis des Tatbestandes nahe. Erfasst sind demnach auch Verwaltungsverfahren und sonstige außergerichtliche Verfahren sowie Verfahren vor Regulierungsbehörden. 6. Lebenswichtige Interessen

7 Abs. 1 Buchst. f regelt die Übermittlung zum Schutz lebenswichtiger Interes-

sen des Betroffenen. Das angesichts des Grundsatzes der Privatautonomie bislang in den Tatbestand des § 4c Abs. 1 Satz 1 Nr. 5 BDSG hineingelesene Tatbestandsmerkmal der Subsidiarität gegenüber der Einholung einer Einwilligung des Betroffenen (Komm. zu § 4c BDSG Rz. 16) findet nun ausdrücklichen Niederschlag im Verordnungstext, nach dem der Betroffene aus physischen oder rechtlichen Gründen außer Stande sein muss, eine Einwilligung zu erteilen. 7. Daten aus öffentlichen Registern

8 Der Tatbestand des Abs. 1 Buchst. g für Daten aus öffentlichen Registern

weicht nicht von der korrespondierenden Norm der Richtlinie 95/46/EG ab. Insofern kann auf die Ausführungen zu § 4c Abs. 1 Satz 1 Nr. 6 BDSG verwiesen werden (Komm. zu § 4c BDSG Rz. 17 f.). Nach Abs. 2 Satz 1 darf nicht das gesamte Register oder eine gesamte Kategorie des Registers weitergegeben werden. Mit letzterem Ausschluss ist gemeint, dass lediglich spezifische Einzelauskünfte, nicht aber Listen aufgrund von Suchanfragen nach bestimmten Indikatoren weitergegeben werden dürfen, wie etwa aus einem Handelsregister sämtliche Unternehmen mit einem bestimmten Stammkapital. Abs. 2 Satz 2 stellt klar, dass bei Erforderlichkeit eines bestimmten Interesses für die Auskunftserteilung die gleichen Voraussetzungen für die anfragende Stelle im Drittland bestehen müssen. 1226

|

von dem Bussche

Ausnahmen für bestimmte Fälle | Art. 49 DSGVO

8. Überwiegende Interessen Neu ist die Ausnahme des Abs. 1 a.E. Subsidiär zu allen übrigen Rechtferti- 9 gungstatbeständen ist demnach eine Datenübermittlung in einen Drittstaat zulässig, wenn sie nicht wiederholt stattfindet, eine begrenzte Anzahl an Betroffenen betrifft, für die Wahrung der zwingenden legitimen Interessen des Verantwortlichen notwendig ist, welche in einer Interessenabwägung gegenüber den Interessen, Rechten und Freiheiten des Betroffenen den Vorzug genießen, der Verantwortliche alle Umstände des Datentransfers bewertet hat und hinsichtlich des Datenschutzes angemessene Absicherungen vorgenommen hat. Diese sechs jeweils sehr engen Voraussetzungen dürften nur in krassen Ausnahmefällen kumulativ vorliegen und erfordern teilweise einen hohen Aufwand bei den Verantwortlichen, so dass die Regelung lediglich als Auffangtatbestand für ungewöhnliche Situationen in Betracht kommen wird, in denen ein großes Interesse des Verantwortlichen an der Übermittlung nicht von der Hand zu weisen, ein Rechtfertigungstatbestand allerdings nicht in Sicht ist. Den besonderen Ausnahmecharakter der Norm unterstreichen die Meldepflich- 10 ten gegenüber der Aufsichtsbehörde für den einzelnen Transfer und gegenüber dem Betroffenen sowie die Dokumentationspflicht hinsichtlich der Bewertung der Umstände des Transfers und der angemessenen Absicherungen (Abs. 6). Als legitime gesellschaftliche Interessen sind nach Erwägungsgrund 113 jedenfalls die wissenschaftliche und historische Forschung sowie statistische Zwecke anerkannt.

III. Behörden Grundsätzlich können Behörden die Übermittlungen auf die gleichen Rechts- 11 grundlagen stützen wie private Verantwortliche. Gemäß Abs. 3 finden einige Tatbestände des Abs. 1 im Rahmen der Ausübung öffentlicher Gewalt jedoch keine Anwendung. Dies hat unterschiedliche Gründe: Die ausdrückliche Einwilligung nach Abs. 1 Buchst. a dürfte aus Gründen eines abstrakten Schutzes vor letztlich nicht freiwillig erteilten Zustimmungen aufgrund staatlicher Übermacht ausgeschlossen sein. Mit dem Ausschluss der Übermittlung aufgrund besonderer Interessen im Einzelfall nach Abs. 1 a.E. sowie aufgrund vertraglicher Notwendigkeiten nach Abs. 1 Buchst. b und c soll eine Umgehung der für die Behörden üblicherweise einschlägigen Rechtfertigung aufgrund wichtiger öffentlicher Interessen nach Abs. 1 Buchst. d verhindert werden, der gerade dann relevant und passgenau ist, wenn Behörden in Ausübung der öffentlichen Gewalt tätig werden.

von dem Bussche

|

1227

Art. 50 DSGVO | Übermittlung an Drittländer

Artikel 50 Internationale Zusammenarbeit zum Schutz personenbezogener Daten In Bezug auf Drittländer und internationale Organisationen treffen die Kommission und die Aufsichtsbehörden geeignete Maßnahmen zur a) Entwicklung von Mechanismen der internationalen Zusammenarbeit, durch die die wirksame Durchsetzung von Rechtsvorschriften zum Schutz personenbezogener Daten erleichtert wird, b) gegenseitigen Leistung internationaler Amtshilfe bei der Durchsetzung von Rechtsvorschriften zum Schutz personenbezogener Daten, unter anderem durch Meldungen, Beschwerdeverweisungen, Amtshilfe bei Untersuchungen und Informationsaustausch, sofern geeignete Garantien für den Schutz personenbezogener Daten und anderer Grundrechte und Grundfreiheiten bestehen, c) Einbindung maßgeblicher Interessenträger in Diskussionen und Tätigkeiten, die zum Ausbau der internationalen Zusammenarbeit bei der Durchsetzung von Rechtsvorschriften zum Schutz personenbezogener Daten dienen, d) Förderung des Austauschs und der Dokumentation von Rechtsvorschriften und Praktiken zum Schutz personenbezogener Daten einschließlich Zuständigkeitskonflikten mit Drittländern. 1 Der juristische Anwendungsbereich des Art. 50 ist begrenzt. Es handelt sich im

Kern um eine diplomatische Absichtserklärung. Nach Buchst. a und b soll die internationale Kooperation im Bereich des Datenschutzes ausgebaut werden, um die globale Durchsetzbarkeit von Rechtsvorschriften und die gegenseitige Unterstützung hierbei zu stärken. Hierfür soll nach Buchst. d der Austausch über datenschutzrechtliche Gesetzgebung und ihre Umsetzung in der Praxis gefördert werden. Die relevanten Akteure sollen nach Buchst. c dabei eingebunden werden. Da die genannten Aufgaben von der Kommission im Rahmen ihrer Kompetenz ohnehin wahrgenommen werden können, besteht die Bedeutung vor allem darin, dass auch die Aufsichtsbehörden zu einem direkten internationalen Austausch ermächtigt werden. Die für Art. 50 maßgeblichen Erwägungen ergeben sich aus Erwägungsgrund 116.

1228

|

von dem Bussche

Aufsichtsbehörde | Art. 51 DSGVO

Kapitel VI Unabhängige Aufsichtsbehörden Abschnitt 1 Unabhängigkeit

Artikel 51 Aufsichtsbehörde (1) Jeder Mitgliedstaat sieht vor, dass eine oder mehrere unabhängige Behörden für die Überwachung der Anwendung dieser Verordnung zuständig sind, damit die Grundrechte und Grundfreiheiten natürlicher Personen bei der Verarbeitung geschützt werden und der freie Verkehr personenbezogener Daten in der Union erleichtert wird (im Folgenden „Aufsichtsbehörde“). (2) Jede Aufsichtsbehörde leistet einen Beitrag zur einheitlichen Anwendung dieser Verordnung in der gesamten Union. Zu diesem Zweck arbeiten die Aufsichtsbehörden untereinander sowie mit der Kommission gemäß Kapitel VII zusammen. (3) Gibt es in einem Mitgliedstaat mehr als eine Aufsichtsbehörde, so bestimmt dieser Mitgliedstaat die Aufsichtsbehörde, die diese Behörden im Ausschuss vertritt, und führt ein Verfahren ein, mit dem sichergestellt wird, dass die anderen Behörden die Regeln für das Kohärenzverfahren nach Artikel 63 einhalten. (4) Jeder Mitgliedstaat teilt der Kommission bis spätestens 25. Mai 2018 die Rechtsvorschriften, die er aufgrund dieses Kapitels erlässt, sowie unverzüglich alle folgenden Änderungen dieser Vorschriften mit. I. Einführung . . . . . . . . . . . . . . . II. Unabhängigkeit der Aufsichtsbehörden (Abs. 1) . . . . . . . . . .

1 3

III. Einheitliche Anwendung (Abs. 1a und 2) . . . . . . . . . . . . IV. Notifizierungspflicht (Abs. 3)

5 7

Schrifttum: Gierschmann, Was „bringt“ deutschen Unternehmen die DSGVO?, ZD 2016, 51; Härting, Starke Behörden, schwaches Recht – der neue EU-Datenschutzentwurf, BB 2012, 459; von Lewinski, Unabhängigkeit des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit, ZG 2015, 228; Nguyen, Die zukünftige Datenschutzaufsicht in Europa, ZD 2015, 265; Schaar, Datenschutz-Grundverordnung: Arbeitsauftrag für den deutschen Gesetzgeber, PinG 2016, 62; Stentzel, Das Grundrecht auf …?, PinG 2015, 185; Stentzel, Der datenschutzrechtliche Präventionsstaat, PinG 2016, 48; Voßhoff/Hermerschmidt, Endlich! – Was bringt uns die Datenschutz-Grundverordnung? PinG 2016, 56.

Hullen

|

1229

Art. 51 DSGVO | Unabhängige Aufsichtsbehörden I. Einführung 1 Aufsichtsbehörden sind unabdingbare Einrichtungen für einen effektiven Da-

tenschutz. Damit sie ihren Aufgaben (s. Art. 57) wirkungsvoll nachkommen können, muss gewähreistet sein, dass die Aufsichtsbehörden unabhängig (s. Art. 52) handeln, insbesondere frei von jeglicher Fach- und Rechtsaufsicht und mit ausreichend finanziellen Mitteln ausgestattet. Dies gilt insbesondere vor dem Hintergrund einer erheblich gestiegenen Aufgabenfülle, die die Aufsichtsbehörden künftig zu bewältigen haben (s. Komm. zu Art. 57 DSGVO Rz. 1).

2 Art. 51 verpflichtet die Mitgliedstaaten, je eine oder mehrere (s. Erwägungs-

grund 117) unabhängige Datenschutz-Aufsichtsbehörden zu errichten bzw. zu unterhalten (Abs. 1). Die Aufsichtsbehörden sollen dabei auch zu einer europaweit einheitlichen Anwendung der DSGVO beitragen (Abs. 2). Zudem enthält Art. 51 die Pflicht zur Notifizierung von Rechtsvorschriften, die die Mitgliedstaaten auf Grundlage des Kapitels VI der DSGVO erlassen (Abs. 4). Maßgeblich sind die Erwägungsgründe 117–121.

II. Unabhängigkeit der Aufsichtsbehörden (Abs. 1) 3 Zur Überwachung der Einhaltung der Regeln der DSGVO sowie deren EU-

weit einheitlichen Auslegung, Anwendung und Durchsetzung sind unabhängige Aufsichtsbehörden notwendig. Art. 51 Abs. 1 enthält die Maßgabe, dass jeder Mitgliedstaat eine oder mehrere unabhängige Behörden (s.a. Komm. zu Art. 52 DSGVO Rz. 3) für den Datenschutz zu errichten bzw. zu unterhalten hat. Die Aufsichtsbehörden müssen dabei in der Lage sein, die Anwendung der DSGVO zu überwachen, um somit zum Schutz der Grundrechte und Grundfreiheiten natürlicher Personen in Bezug auf den Schutz personenbezogener Daten1 (Art. 7 und 8 GRCh, Art. 16 AEUV) sowie zum freien Verkehr solcher Daten innerhalb der EU (s. Komm. zu Art. 1 DSGVO Rz. 6) beizutragen.

4 Den Mitgliedstaaten steht es dabei frei, mehrere Aufsichtsbehörden zu errich-

ten, um ihren jeweiligen verfassungsmäßigen, organisatorischen und verwaltungstechnischen Strukturen gerecht zu werden. In Deutschland soll auch künftig das föderale System der Datenschutzaufsicht des Bundes und der Länder beibehalten werden (s. hierzu auch Komm. zu § 38 BDSG Rz. 4). Hierdurch wird es zu neuen Verfahren zur schnellen Koordinierung, Abstimmung und Entscheidungsfindung zwischen Bund und Ländern kommen müssen, damit sich Deutschland innerhalb der kurzen Fristen des Kohärenzverfahrens (s. Komm. zu Art. 64 DSGVO Rz. 5 und Art. 65 DSGVO Rz. 7) und im EDSA (s. Art. 64 ff.) mit „einer Stimme“ einbringen kann. Dieses Verfahren wird über die

1 Zu den vielfältigen Antworten auf die Frage nach dem Schutzgut der DSGVO s. Stentzel, PinG 2015, 185 (185).

1230

|

Hullen

Aufsichtsbehörde | Art. 51 DSGVO

bisherige Abstimmung der Datenschutzbehörden von Bund und Ländern weit hinausgehen müssen, um eine wirksame Außenvertretung sicherzustellen. Ein entsprechendes Prozedere wird der Gesetzgeber festlegen müssen (s. Erwägungsgrund 119)1.

III. Einheitliche Anwendung (Abs. 2 und 3) Die Aufsichtsbehörden sind nach Abs. 2 verpflichtet, zu einer europaweit ein- 5 heitlichen Anwendung der DSGVO beizutragen. Nur so kann eines der Hauptziele der Grundverordnung, die Harmonisierung des Datenschutzes in der EU, überhaupt erreicht werden. Hierzu wurden zudem erstmals in der Geschichte des europäischen Datenschutzes verbindliche Verfahren geschaffen (s. Art. 63 ff.), um die einheitliche Anwendung der europäischen Datenschutzbestimmungen sicherzustellen. Abs. 2 verweist insofern auf Kapitel VII (Zusammenarbeit und Kohärenz), in dem u.a. die Kooperation mehrerer Aufsichtsbehörden (und ggf. der Europäischen Kommission) bei grenzüberschreitenden Angelegenheiten (Art. 60 ff.) und Verfahren zur Klärung von Konflikten der Aufsichtsbehörden mehrerer Mitgliedstaaten (Art. 65) geregelt werden. Sind in einem Mitgliedstaat mehrere Aufsichtsbehörden für den Datenschutz 6 zuständig, so darf lediglich eine Behörde den Mitgliedstaat im EDSA vertreten (Abs. 3). Dies ist der Förderung von Transparenz und der Wirksamkeit der Zusammenarbeit von Aufsichtsbehörden unterschiedlicher Mitgliedstaaten, dem Datenschutzausschuss und der EU-Kommission sowie dem Erhalt der Effektivität des Kohärenzverfahrens nach Art. 57 ff. geschuldet (s.a. Erwägungsgrund 119). Sind in einem Mitgliedstaat mehrere Aufsichtsbehörden für den Datenschutz zuständig, so muss durch ein entsprechendes Koordinierungsverfahren sichergestellt werden, dass alle Aufsichtsbehörden eines Mitgliedstaates im Kohärenzverfahren mit „einer Stimme sprechen“. In Deutschland muss daher auch auf nationaler Ebene ein Kohärenzverfahren etabliert werden, damit die Datenschutzaufsicht von Bund und Ländern auf EU-Ebene sprechfähig ist (s. Rz. 4)2.

IV. Notifizierungspflicht (Abs. 4) Jeder Mitgliedstaat ist verpflichtet, die EU-Kommission über nationale Rechts- 7 vorschriften zu unterrichten, die auf Grundlage von Kapitel VI (unabhängige Aufsichtsbehörden) erlassen werden. Gleiches gilt für spätere Änderungen dieser Rechtsvorschriften. Der Notifizierungspflicht haben die Mitgliedstaaten spätestens bis zum 25.5.2018 nachzukommen. 1 S.a. Schaar, PinG 2016, 62 (64). 2 Härting, Datenschutz-Grundverordnung, Rz. 737.

Hullen

|

1231

Art. 52 DSGVO | Unabhängigkeit der Aufsichtsbehörden 8 Durch die Mitteilung der Mitgliedstaaten wird die Kommission in die Lage ver-

setzt, die nationalen Regelungen auf Übereinstimmung mit den Vorgaben aus Kapitel VI der DSGVO zu prüfen. Sollte dies nicht der Fall und keine Einigung mit dem jeweiligen Mitgliedstaat zu erzielen sein, so kann die EU-Kommission ein Vertragsverletzungsverfahren nach Art. 258 AEUV einleiten.

Artikel 52 Unabhängigkeit (1) Jede Aufsichtsbehörde handelt bei der Erfüllung ihrer Aufgaben und bei der Ausübung ihrer Befugnisse gemäß dieser Verordnung völlig unabhängig. (2) Das Mitglied oder die Mitglieder jeder Aufsichtsbehörde unterliegen bei der Erfüllung ihrer Aufgaben und der Ausübung ihrer Befugnisse gemäß dieser Verordnung weder direkter noch indirekter Beeinflussung von außen und ersuchen weder um Weisung noch nehmen sie Weisungen entgegen. (3) Das Mitglied oder die Mitglieder der Aufsichtsbehörde sehen von allen mit den Aufgaben ihres Amtes nicht zu vereinbarenden Handlungen ab und üben während ihrer Amtszeit keine andere mit ihrem Amt nicht zu vereinbarende entgeltliche oder unentgeltliche Tätigkeit aus. (4) Jeder Mitgliedstaat stellt sicher, dass jede Aufsichtsbehörde mit den personellen, technischen und finanziellen Ressourcen, Räumlichkeiten und Infrastrukturen ausgestattet wird, die sie benötigt, um ihre Aufgaben und Befugnisse auch im Rahmen der Amtshilfe, Zusammenarbeit und Mitwirkung im Ausschuss effektiv wahrnehmen zu können. (5) Jeder Mitgliedstaat stellt sicher, dass jede Aufsichtsbehörde ihr eigenes Personal auswählt und hat, das ausschließlich der Leitung des Mitglieds oder der Mitglieder der betreffenden Aufsichtsbehörde untersteht. (6) Jeder Mitgliedstaat stellt sicher, dass jede Aufsichtsbehörde einer Finanzkontrolle unterliegt, die ihre Unabhängigkeit nicht beeinträchtigt und dass sie über eigene, öffentliche, jährliche Haushaltspläne verfügt, die Teil des gesamten Staatshaushalts oder nationalen Haushalts sein können. I. Einführung . . . . . . . . . . . . . . . II. Unabhängigkeit (Abs. 1 und 2) III. Inkompatibilität (Abs. 3) . . . . . Schrifttum: Siehe Art. 51 DSGVO.

1232

|

Hullen

1 3 8

IV. Ausstattung und Finanzkontrolle (Abs. 4 und 6) . . . . . . 10 V. Personal (Abs. 5) . . . . . . . . . . . 12

Art. 52 DSGVO | Unabhängigkeit der Aufsichtsbehörden 8 Durch die Mitteilung der Mitgliedstaaten wird die Kommission in die Lage ver-

setzt, die nationalen Regelungen auf Übereinstimmung mit den Vorgaben aus Kapitel VI der DSGVO zu prüfen. Sollte dies nicht der Fall und keine Einigung mit dem jeweiligen Mitgliedstaat zu erzielen sein, so kann die EU-Kommission ein Vertragsverletzungsverfahren nach Art. 258 AEUV einleiten.

Artikel 52 Unabhängigkeit (1) Jede Aufsichtsbehörde handelt bei der Erfüllung ihrer Aufgaben und bei der Ausübung ihrer Befugnisse gemäß dieser Verordnung völlig unabhängig. (2) Das Mitglied oder die Mitglieder jeder Aufsichtsbehörde unterliegen bei der Erfüllung ihrer Aufgaben und der Ausübung ihrer Befugnisse gemäß dieser Verordnung weder direkter noch indirekter Beeinflussung von außen und ersuchen weder um Weisung noch nehmen sie Weisungen entgegen. (3) Das Mitglied oder die Mitglieder der Aufsichtsbehörde sehen von allen mit den Aufgaben ihres Amtes nicht zu vereinbarenden Handlungen ab und üben während ihrer Amtszeit keine andere mit ihrem Amt nicht zu vereinbarende entgeltliche oder unentgeltliche Tätigkeit aus. (4) Jeder Mitgliedstaat stellt sicher, dass jede Aufsichtsbehörde mit den personellen, technischen und finanziellen Ressourcen, Räumlichkeiten und Infrastrukturen ausgestattet wird, die sie benötigt, um ihre Aufgaben und Befugnisse auch im Rahmen der Amtshilfe, Zusammenarbeit und Mitwirkung im Ausschuss effektiv wahrnehmen zu können. (5) Jeder Mitgliedstaat stellt sicher, dass jede Aufsichtsbehörde ihr eigenes Personal auswählt und hat, das ausschließlich der Leitung des Mitglieds oder der Mitglieder der betreffenden Aufsichtsbehörde untersteht. (6) Jeder Mitgliedstaat stellt sicher, dass jede Aufsichtsbehörde einer Finanzkontrolle unterliegt, die ihre Unabhängigkeit nicht beeinträchtigt und dass sie über eigene, öffentliche, jährliche Haushaltspläne verfügt, die Teil des gesamten Staatshaushalts oder nationalen Haushalts sein können. I. Einführung . . . . . . . . . . . . . . . II. Unabhängigkeit (Abs. 1 und 2) III. Inkompatibilität (Abs. 3) . . . . . Schrifttum: Siehe Art. 51 DSGVO.

1232

|

Hullen

1 3 8

IV. Ausstattung und Finanzkontrolle (Abs. 4 und 6) . . . . . . 10 V. Personal (Abs. 5) . . . . . . . . . . . 12

Unabhängigkeit | Art. 52 DSGVO

I. Einführung Die völlige Unabhängigkeit der Aufsichtsbehörden ist – u.a. neben einer hinrei- 1 chend personellen und finanziellen Ausstattung – eine der wichtigsten Voraussetzungen für eine wirksame Datenschutzkontrolle und die einheitliche Anwendung und Durchsetzung der Regelungen der DSGVO. Nur unabhängige Aufsichtsbehörden können unbeeinflusst von Dritten ihren Aufgaben nachkommen und so ihre Befugnisse effektiv ausüben. Das Erfordernis der Unabhängigkeit der Aufsichtsbehörden findet sich bereits 2 in Art. 28 EG-Datenschutzrichtlinie (RL 95/46/EG). Das BDSG schreibt die Unabhängigkeit der Datenschutzaufsicht in § 22 BDSG fest. Durch die BDSG-Novelle 2016 wurden aufgrund mehrerer Urteile des EuGH (s. Komm. zu § 22 BDSG Rz. 3a) erhebliche Änderungen umgesetzt, um den Anforderungen an eine „völlige Unabhängigkeit“ i.S.d. EG-Datenschutzrichtlinie (RL 95/46/EG) gerecht zu werden (s. Komm. zu § 22 BDSG Rz. 3b). Maßgeblich für diesen Artikel sind die Erwägungsgründe 117–121.

II. Unabhängigkeit (Abs. 1 und 2) Nach Art. 52 Abs. 1 handeln Aufsichtsbehörden in „völliger“ Unabhängigkeit1. 3 Abs. 1 schafft damit die Voraussetzung, dass die Datenschutzaufsicht den ihr durch die DSGVO zugedachten Aufgaben (s. Art. 57) und Befugnissen (Art. 58) objektiv und unparteiisch nachkommen kann. Hierzu muss gewährleistet sein, dass die Aufsichtsbehörden frei von jeglicher mittelbaren oder unmittelbaren Einflussnahme von außen handeln können. Dabei ist bereits die bloße Gefahr einer (politischen) Einflussnahme auf die Aufsichtsbehörden zu vermeiden (s. Komm. zu § 22 BDSG Rz. 11). Dies ist für den öffentlichen Bereich auch berechtigt, bei dem es um den Schutz des Individuums gegen hoheitlich-staatliches Handeln geht. Problematisch kann eine völlige Unabhängigkeit jedoch im nicht-öffentlichen 4 Bereich werden. Hier stehen grundrechtlich geschützte Positionen wie Informations- und Meinungsfreiheit einer fast allumfassenden Anwendbarkeit des Datenschutzrechts und weiten Eingriffsbefugnissen der Aufsichtsbehörden gegenüber (s. Art. 58)2. Hier ist der Gesetzgeber gefordert, eine möglichst hohe Regelungsdichte zu schaffen, z.B. bei der Umsetzung der Betretensregelung nach Art. 58 Abs. 1 Buchst. f (s. Komm. zu Art. 58 DSGVO Rz. 11). Bereits in der Vergangenheit hat sich der EuGH3 mit der Auslegung des Be- 5 griffs der Unabhängigkeit auf Ebene der Mitgliedstaaten auseinandersetzen 1 S. hierzu von Lewinski, ZG 2015, 228 (229). 2 Ausführlich Stentzel, PinG 2016, 45 (48 f.). 3 EuGH v. 9.3.2010 – C-518/07 und EuGH v. 16.10.2012 – C-614/10.

Hullen

|

1233

Art. 52 DSGVO | Unabhängigkeit der Aufsichtsbehörden müssen (s. Komm. zu § 22 BDSG Rz. 9). So stellte der EuGH u.a. klar, dass die völlige Unabhängigkeit der Aufsichtsbehörden u.a. durch Rechtsaufsicht (bspw. einer Regierung) oder Dienstaufsicht (bspw. eines Ministeriums) zumindest mittelbar beeinträchtigt sei. 6 Abs. 2 stellt ergänzend klar, dass die Leitung der Aufsichtsbehörden frei von

direkter oder indirekter Beeinflussung von außen (z.B. durch Weisungen, Maßnahmen der Dienstaufsicht, Mittel- oder Personalzuteilung, Interessenkonflikte) sein muss. Der EuGH hatte in diesem Zusammenhang bereits 2012 entschieden, dass eine Beeinträchtigung der Unabhängigkeit gegeben ist, wenn die Geschäftsstelle einer Aufsichtsbehörde organisatorisch der Exekutive (im entschiedenen Fall dem österreichischen Bundeskanzleramt) angegliedert ist. Als eine Verletzung der Unabhängigkeit wurde es ebenfalls angesehen, wenn für die Behördenleitung nur Beamte (wenn auch formal in ihrer Entscheidung frei) einer anderen obersten Behörde in Betracht kommen (s. Komm. zu § 22 BDSG Rz. 3a).

7 In Deutschland wurde die organisatorische Verzahnung zwischen dem BfDI

und der Exekutive aufgehoben, um jeden Anschein einer möglichen Einflussnahme zu vermeiden (s. Komm. zu § 22 BDSG Rz. 3b)1. Die deutschen Datenschutzbehörden dürften in der Mehrzahl bereits den Anforderungen des Art. 52 entsprechen2.

III. Inkompatibilität (Abs. 3) 8 Amtsträger haben jegliche Tätigkeiten zu unterlassen, die ihre unabhängige

Aufgabenerfüllung beeinträchtigt. Dies gilt insbesondere für alle anderen beruflichen Tätigkeiten und für die Ausübung weiterer Ämter, die der Unabhängigkeit der Aufsichtsbehörde schaden könnte (s. Erwägungsgrund 121). So sind z.B. Leitungs- und Aufsichtsfunktionen bei Erwerbsunternehmen sowie Tätigkeiten im Bereich der Exekutive untersagt (s. Komm. zu § 23 BDSG Rz. 5).

9 Kompatibel mit der Amtsausübung sind hingegen unentgeltliche wissenschaftli-

che Tätigkeiten. Lehraufträge, Vorträge und Publikationen gehören bspw. zum typischen Aufgabengebiet der Behördenleitung (s. Art. 57 und Komm. zu § 23 BDSG Rz. 5).

IV. Ausstattung und Finanzkontrolle (Abs. 4 und 6) 10 Aufsichtsbehörden müssen genügend personelle und finanzielle Ressourcen

zur Verfügung stehen, um ihren Aufgaben nachkommen zu können (Abs. 4).

1 S. BT-Drucks. 18/2848, S. 13. 2 So Voßhoff/Hermerschmidt, PinG 2016, 56 (59).

1234

|

Hullen

Unabhängigkeit | Art. 52 DSGVO

Dies gilt auch für die technische und räumliche Ausstattung der Aufsichtsbehörden sowie für deren infrastrukturelle Anbindung. Durch die Digitalisierung der Gesellschaft und die Bearbeitung grenzüberschreitender Sachverhalte ist eine Ausstattung mit modernen IT-Mitteln und schnellen Internet-Zugängen notwendig, um eine effektive Wahrnehmung der Aufgaben und des Austausches mit anderen Aufsichtsbehörden und des EDSA zu gewährleisten. Gerade im Hinblick auf das kontinuierlich gestiegene Arbeitspensum, welches die Aufsichtsbehörden aufgrund eines umfangreicheren Aufgabenspektrums und der enorm gestiegenen Bedeutung des Datenschutzes in der heutigen Zeit zu bewältigen haben, ist eine Ausstattung mit zumindest hinreichenden Ressourcen unabdingbar. Es ist damit zu rechnen, dass die Ausstattung der Behörden mit entsprechenden finanziellen Mitteln und Personal ein Streitthema bleibt, da die zu bewältigenden Aufgaben mit der DSGVO deutlich gestiegen sind (s. Komm. zu Art. 57 DSGVO Rz. 1)1. Um eine entsprechende Ausstattung zu gewährleisten, sorgen nach Abs. 6 die 11 Mitgliedstaaten dafür, dass jede Aufsichtsbehörde über einen eigenen, öffentlichen Jahreshaushalt verfügt (s.a. Erwägungsgrund 120). Zudem sorgen die Mitgliedstaaten dafür, dass die Aufsichtsbehörden einer Finanzkontrolle unterliegen, die jedoch nicht die unabhängige Aufgabenerfüllung beeinträchtigen darf.

V. Personal (Abs. 5) Die Aufsichtsbehörden verfügen über eigenes Personal, welches der Behörden- 12 leitung untersteht, d.h. nur dieser weisungsgebunden verpflichtet ist. Auch dies dient der Sicherung der völligen Unabhängigkeit in Hinblick auf die Aufgabenerfüllung der Datenschutzaufsicht. Hierdurch wird insbesondere sichergestellt, dass Entscheidungen und Maßnahmen nicht durch Mitarbeiter gefällt und ausgeführt werden, die formal anderen Behörden unterstellt sind (z.B. durch Beamte anderer Ministerien, s. hierzu auch Komm. zu § 22 BDSG Rz. 11). Aus Gründen der Unabhängigkeit werden die Mitarbeiter (wie in Deutschland) 13 selbst von den Datenschutzbehörden ausgesucht. Alternativ kann die Personalauswahl durch eine unabhängige Stelle erfolgen, die nach dem Recht des jeweiligen Mitgliedstaats mit dieser Aufgabe betraut wurde und die der ausschließlichen Weisungsbefugnis der Leitung der Aufsichtsbehörde unterfällt (Erwägungsgrund 121).

1 S. nur Nguyen, ZD 2015, 265 (269).

Hullen

|

1235

Art. 53 DSGVO | Unabhängigkeit der Aufsichtsbehörden

Artikel 53 Allgemeine Bedingungen für die Mitglieder der Aufsichtsbehörde (1) Die Mitgliedstaaten sehen vor, dass jedes Mitglied ihrer Aufsichtsbehörden im Wege eines transparenten Verfahrens ernannt wird, und zwar – vom Parlament, – von der Regierung, – vom Staatsoberhaupt oder – von einer unabhängigen Stelle, die nach dem Recht des Mitgliedstaats mit der Ernennung betraut wird. (2) Jedes Mitglied muss über die für die Erfüllung seiner Aufgaben und Ausübung seiner Befugnisse erforderliche Qualifikation, Erfahrung und Sachkunde insbesondere im Bereich des Schutzes personenbezogener Daten verfügen. (3) Das Amt eines Mitglieds endet mit Ablauf der Amtszeit, mit seinem Rücktritt oder verpflichtender Versetzung in den Ruhestand gemäß dem Recht des betroffenen Mitgliedstaats. (4) Ein Mitglied wird seines Amtes nur enthoben, wenn es eine schwere Verfehlung begangen hat oder die Voraussetzungen für die Wahrnehmung seiner Aufgaben nicht mehr erfüllt. Schrifttum: Siehe Art. 51 DSGVO.

1 Art. 53 schreibt die Rahmenbedingungen für die Ernennung des Amtsinhabers

und dessen Qualifikation, das Ende der Amtszeit und die Amtsenthebung vor. Die bisher in Deutschland geltenden Regelungen der §§ 22 und 23 BDSG werden im Wesentlichen auch vor dem Hintergrund der Vorgaben der Art. 53 und 54 weiterhin Bestand haben können (s. aber Rz. 3). Maßgeblich für diesen Artikel ist der Erwägungsgrund 121.

2 Die Modalitäten der Ernennung bzw. Wahl des oder der Leiter/s der Daten-

schutzbehörden in den Mitgliedstaaten der Europäischen Union regelt Abs. 1. Die Mitgliedstaaten haben sicherzustellen, dass der (Aus-)Wahl- und Ernennungsprozess in einem transparenten Verfahren erfolgt. Dieses Verfahren muss durch das Parlament oder durch die bzw. zusammen mit der Regierung, durch das jeweilige Staatsoberhaupt des betreffenden Mitgliedstaates oder durch ein unabhängiges Gremium, welches durch nationales Recht mit der Auswahl betraut ist, betrieben werden (s.a. Erwägungsgrund 121).

3 Die Anforderungen an das Amt des Leiters der Datenschutzbehörde werden in

Abs. 2 festgeschrieben. Um die Aufgaben und Befugnisse gemäß den Vorgaben der DSGVO ausüben zu können, muss der Behördenleiter die notwendigen

1236

|

Hullen

Errichtung der Aufsichtsbehörde | Art. 54 DSGVO

Qualifikationen, Erfahrungen und Fähigkeiten, insbesondere im Bereich des Datenschutzes, zur Amtsausübung besitzen. Insofern geht die DSGVO über die entsprechende Regelung des § 22 BDSG hinaus, der keine weiteren Befähigungen oder Qualifikationen des potentiellen Amtsinhabers fordert (s. Komm. zu § 22 BDSG Rz. 5). Abs. 3 behandelt das Ende des Amtsverhältnisses, welches mit Ablauf der Amts- 4 zeit, dem Rücktritt des Amtsinhabers oder seiner Entlassung gemäß der gesetzlichen Bestimmungen der Mitgliedstaaten eintritt (s.a. Komm. zu § 23 BDSG Rz. 3). Eine Amtsenthebung kann gemäß Abs. 4 nur erfolgen, wenn dem Amtsinhaber 5 ein schweres Fehlverhalten nachgewiesen werden kann oder die zur Amtsausübung notwendige Befähigung nicht mehr gegeben ist (s.a. Komm. zu § 23 BDSG Rz. 3).

Artikel 54 Errichtung der Aufsichtsbehörde (1) Jeder Mitgliedstaat sieht durch Rechtsvorschriften Folgendes vor: a) die Errichtung jeder Aufsichtsbehörde; b) die erforderlichen Qualifikationen und sonstigen Voraussetzungen für die Ernennung zum Mitglied jeder Aufsichtsbehörde; c) die Vorschriften und Verfahren für die Ernennung des Mitglieds oder der Mitglieder jeder Aufsichtsbehörde; d) die Amtszeit des Mitglieds oder der Mitglieder jeder Aufsichtsbehörde von mindestens vier Jahren; dies gilt nicht für die erste Amtszeit nach 24. Mai 2016, die für einen Teil der Mitglieder kürzer sein kann, wenn eine zeitlich versetzte Ernennung zur Wahrung der Unabhängigkeit der Aufsichtsbehörde notwendig ist; e) die Frage, ob und – wenn ja – wie oft das Mitglied oder die Mitglieder jeder Aufsichtsbehörde wiederernannt werden können; f) die Bedingungen im Hinblick auf die Pflichten des Mitglieds oder der Mitglieder und der Bediensteten jeder Aufsichtsbehörde, die Verbote von Handlungen, beruflichen Tätigkeiten und Vergütungen während und nach der Amtszeit, die mit diesen Pflichten unvereinbar sind, und die Regeln für die Beendigung des Beschäftigungsverhältnisses. (2) Das Mitglied oder die Mitglieder und die Bediensteten jeder Aufsichtsbehörde sind gemäß dem Unionsrecht oder dem Recht der Mitgliedstaaten sowohl während ihrer Amts- beziehungsweise Dienstzeit als auch nach deren Beendigung verpflichtet, über alle vertraulichen Informationen, die ihnen bei der Wahrnehmung ihrer Aufgaben oder der Ausübung ihrer Befugnisse Hullen

|

1237

Errichtung der Aufsichtsbehörde | Art. 54 DSGVO

Qualifikationen, Erfahrungen und Fähigkeiten, insbesondere im Bereich des Datenschutzes, zur Amtsausübung besitzen. Insofern geht die DSGVO über die entsprechende Regelung des § 22 BDSG hinaus, der keine weiteren Befähigungen oder Qualifikationen des potentiellen Amtsinhabers fordert (s. Komm. zu § 22 BDSG Rz. 5). Abs. 3 behandelt das Ende des Amtsverhältnisses, welches mit Ablauf der Amts- 4 zeit, dem Rücktritt des Amtsinhabers oder seiner Entlassung gemäß der gesetzlichen Bestimmungen der Mitgliedstaaten eintritt (s.a. Komm. zu § 23 BDSG Rz. 3). Eine Amtsenthebung kann gemäß Abs. 4 nur erfolgen, wenn dem Amtsinhaber 5 ein schweres Fehlverhalten nachgewiesen werden kann oder die zur Amtsausübung notwendige Befähigung nicht mehr gegeben ist (s.a. Komm. zu § 23 BDSG Rz. 3).

Artikel 54 Errichtung der Aufsichtsbehörde (1) Jeder Mitgliedstaat sieht durch Rechtsvorschriften Folgendes vor: a) die Errichtung jeder Aufsichtsbehörde; b) die erforderlichen Qualifikationen und sonstigen Voraussetzungen für die Ernennung zum Mitglied jeder Aufsichtsbehörde; c) die Vorschriften und Verfahren für die Ernennung des Mitglieds oder der Mitglieder jeder Aufsichtsbehörde; d) die Amtszeit des Mitglieds oder der Mitglieder jeder Aufsichtsbehörde von mindestens vier Jahren; dies gilt nicht für die erste Amtszeit nach 24. Mai 2016, die für einen Teil der Mitglieder kürzer sein kann, wenn eine zeitlich versetzte Ernennung zur Wahrung der Unabhängigkeit der Aufsichtsbehörde notwendig ist; e) die Frage, ob und – wenn ja – wie oft das Mitglied oder die Mitglieder jeder Aufsichtsbehörde wiederernannt werden können; f) die Bedingungen im Hinblick auf die Pflichten des Mitglieds oder der Mitglieder und der Bediensteten jeder Aufsichtsbehörde, die Verbote von Handlungen, beruflichen Tätigkeiten und Vergütungen während und nach der Amtszeit, die mit diesen Pflichten unvereinbar sind, und die Regeln für die Beendigung des Beschäftigungsverhältnisses. (2) Das Mitglied oder die Mitglieder und die Bediensteten jeder Aufsichtsbehörde sind gemäß dem Unionsrecht oder dem Recht der Mitgliedstaaten sowohl während ihrer Amts- beziehungsweise Dienstzeit als auch nach deren Beendigung verpflichtet, über alle vertraulichen Informationen, die ihnen bei der Wahrnehmung ihrer Aufgaben oder der Ausübung ihrer Befugnisse Hullen

|

1237

Art. 54 DSGVO | Unabhängigkeit der Aufsichtsbehörden bekannt geworden sind, Verschwiegenheit zu wahren. Während dieser Amtsbeziehungsweise Dienstzeit gilt diese Verschwiegenheitspflicht insbesondere für die von natürlichen Personen gemeldeten Verstößen gegen diese Verordnung. I. Errichtung der Aufsichtsbehörde (Abs. 1) . . . . . . . . . . .

1

II. Verschwiegenheit (Abs. 2). . . .

3

Schrifttum: Siehe Art. 51 DSGVO.

I. Errichtung der Aufsichtsbehörde (Abs. 1) 1 Die Mitgliedstaaten haben auf nationaler Ebene gesetzliche Regelungen zur Er-

richtung der Aufsichtsbehörden (s. Art. 51), bzgl. der Eignung des Amtsinhabers (s. Art. 53 Abs. 2), zum Verfahren bis zu der Ernennung der Amtsinhaber (s. Art. 53 Abs. 1) sowie zu deren Amtszeit und Wiederwahl zu erlassen. Zudem muss der nationale Gesetzgeber gesetzliche Regelungen zu den Pflichten der Amtsinhaber und der Behördenmitarbeiter, zu verbotenen Handlungen und zur Inkompatibilität sowie zur Beendigung des Beschäftigungsverhältnisses erlassen.

2 Diese Regelungen werden im deutschen Datenschutzrecht hauptsächlich durch

§§ 22 und 23 BDSG getroffen. Diese Bestimmungen erfüllen bereits im Wesentlichen die Vorgaben der Art. 53 und 54 und werden in einem zukünftigen BDSG-Nachfolgegesetz ohne großen Änderungsbedarf fortbestehen können1. Maßgeblich für diesen Artikel ist der Erwägungsgrund 121.

II. Verschwiegenheit (Abs. 2) 3 Amtsinhaber und Mitarbeiter der Aufsichtsbehörden unterliegen der Ver-

schwiegenheitspflicht, die durch das Recht des maßgeblichen Mitgliedstaats oder durch Unionsrecht vorgegeben wird. Abs. 2 legt hierbei einen Rahmen fest, wonach die Verschwiegenheit während der Dienstzeit sowie auch darüber hinaus, d.h. nach Beendigung des Amtes, gilt. Inhaltlich bezieht sich die Verschwiegenheitspflicht auf alle vertraulichen Informationen, die bei der Wahrnehmung der Aufgaben (Art. 57) oder der Ausübung der Befugnisse (Art. 58) bekannt geworden sind.

4 Problematisch ist hierbei, dass die Verschwiegenheit nur für vertrauliche Infor-

mationen gelten soll, was einen breiten Auslegungsspielraum eröffnet. Abs. 2 Satz 2 konkretisiert lediglich, dass insbesondere Informationen im Zusammenhang mit Verstößen gegen die Verordnung, die von natürlichen Personen ge1 Allgemein zur Anpassung der deutschen Datenschutzgesetze s. Schaar, PinG 2015, 62.

1238

|

Hullen

Zuständigkeit | Art. 55 DSGVO

meldet wurden, während der Amts- bzw. Dienstzeit der Verschwiegenheit unterfallen. Präziser ist hier die Regelung im deutschen Datenschutzrecht in § 23 Abs. 5 5 BDSG. Hiernach unterfallen alle amtlich bekannt gewordenen Angelegenheiten der Verschwiegenheit, soweit sie Inhalt einer Mitteilung im dienstlichen Verkehr (mit anderen Behörden), nicht offenkundig oder nicht geheimhaltungsbedürftig sind (s. Komm. zu § 23 BDSG Rz. 12).

Abschnitt 2 Zuständigkeit, Aufgaben und Befugnisse

Artikel 55 Zuständigkeit (1) Jede Aufsichtsbehörde ist für die Erfüllung der Aufgaben und die Ausübung der Befugnisse, die ihr mit dieser Verordnung übertragen wurden, im Hoheitsgebiet ihres eigenen Mitgliedstaats zuständig. (2) Erfolgt die Verarbeitung durch Behörden oder private Stellen auf der Grundlage von Artikel 6 Absatz 1 Buchstabe c oder e, so ist die Aufsichtsbehörde des betroffenen Mitgliedstaats zuständig. In diesem Fall findet Artikel 56 keine Anwendung. (3) Die Aufsichtsbehörden sind nicht zuständig für die Aufsicht über die von Gerichten im Rahmen ihrer justiziellen Tätigkeit vorgenommenen Verarbeitungen. Schrifttum: Siehe Art. 51 DSGVO.

Art. 51 regelt die territoriale Zuständigkeit der Datenschutzbehörden. Diese 1 endet grundsätzlich an den Grenzen des jeweiligen Mitgliedstaates. Im ihrem Hoheitsgebiet sind die Aufsichtsbehörden für die Erfüllung ihrer Aufgaben (Art. 57) und für die Ausübung ihrer Befugnisse (Art. 58) zuständig. Datenschutzbehörden sind daher bspw. für die Datenverarbeitungsvorgänge von Niederlassungen des (Auftrags-)Datenverarbeiters oder für Beschwerden betroffener Personen ihres Hoheitsgebietes zuständig. Maßgeblich für diesen Artikel sind die Erwägungsgründe 122 und 128. Wenn die Datenverarbeitung durch eine Behörde oder von privaten Einrich- 2 tungen aufgrund Art. 6 Abs. 1 Buchst. c (Verarbeitung zur Erfüllung einer gesetzlichen Verpflichtung) oder Art. 6 Abs. 1 Buchst. e (Verarbeitung im öffentlichen Interesse oder aufgrund übertragener hoheitlicher Gewalt) erfolgt, so Hullen

|

1239

Zuständigkeit | Art. 55 DSGVO

meldet wurden, während der Amts- bzw. Dienstzeit der Verschwiegenheit unterfallen. Präziser ist hier die Regelung im deutschen Datenschutzrecht in § 23 Abs. 5 5 BDSG. Hiernach unterfallen alle amtlich bekannt gewordenen Angelegenheiten der Verschwiegenheit, soweit sie Inhalt einer Mitteilung im dienstlichen Verkehr (mit anderen Behörden), nicht offenkundig oder nicht geheimhaltungsbedürftig sind (s. Komm. zu § 23 BDSG Rz. 12).

Abschnitt 2 Zuständigkeit, Aufgaben und Befugnisse

Artikel 55 Zuständigkeit (1) Jede Aufsichtsbehörde ist für die Erfüllung der Aufgaben und die Ausübung der Befugnisse, die ihr mit dieser Verordnung übertragen wurden, im Hoheitsgebiet ihres eigenen Mitgliedstaats zuständig. (2) Erfolgt die Verarbeitung durch Behörden oder private Stellen auf der Grundlage von Artikel 6 Absatz 1 Buchstabe c oder e, so ist die Aufsichtsbehörde des betroffenen Mitgliedstaats zuständig. In diesem Fall findet Artikel 56 keine Anwendung. (3) Die Aufsichtsbehörden sind nicht zuständig für die Aufsicht über die von Gerichten im Rahmen ihrer justiziellen Tätigkeit vorgenommenen Verarbeitungen. Schrifttum: Siehe Art. 51 DSGVO.

Art. 51 regelt die territoriale Zuständigkeit der Datenschutzbehörden. Diese 1 endet grundsätzlich an den Grenzen des jeweiligen Mitgliedstaates. Im ihrem Hoheitsgebiet sind die Aufsichtsbehörden für die Erfüllung ihrer Aufgaben (Art. 57) und für die Ausübung ihrer Befugnisse (Art. 58) zuständig. Datenschutzbehörden sind daher bspw. für die Datenverarbeitungsvorgänge von Niederlassungen des (Auftrags-)Datenverarbeiters oder für Beschwerden betroffener Personen ihres Hoheitsgebietes zuständig. Maßgeblich für diesen Artikel sind die Erwägungsgründe 122 und 128. Wenn die Datenverarbeitung durch eine Behörde oder von privaten Einrich- 2 tungen aufgrund Art. 6 Abs. 1 Buchst. c (Verarbeitung zur Erfüllung einer gesetzlichen Verpflichtung) oder Art. 6 Abs. 1 Buchst. e (Verarbeitung im öffentlichen Interesse oder aufgrund übertragener hoheitlicher Gewalt) erfolgt, so Hullen

|

1239

Art. 56 DSGVO | Unabhängige Aufsichtsbehörden bleibt es auch bei einer etwaigen grenzüberschreitenden Verarbeitung bei der alleinigen Zuständigkeit der Aufsichtsbehörde des jeweiligen Mitgliedstaates i.S.d. Abs. 1. Die Federführung durch eine Aufsichtsbehörde eines anderen Mitgliedstaates gemäß Art. 56 ist in diesen Fällen außer Acht zu lassen (Abs. 2). 3 Die Aufsichtsbehörden sind gemäß Abs. 3 nicht für die Kontrolle der Gerichte

zuständig, soweit die Datenverarbeitung im Rahmen der justiziellen Tätigkeit vorgenommen wird. Hierzu zählen alle Datenverarbeitungen, die in Bezug zu Rechtsfindung und Rechtsspruch sowie zu der diesbezüglichen Vorbereitung und Durchführung stehen. Dies ist der richterlichen Unabhängigkeit geschuldet. Nicht ausgeschlossen sind jedoch Datenverarbeitungsvorgänge im Bereich der Justizverwaltung, z.B. im Bereich der Personalverwaltung oder Mittelbeschaffung sowie bei Justizverwaltungsakten nach § 23 EGGVG (s.a. Komm. zu § 24 BDSG Rz. 12).

Artikel 56 Zuständigkeit der federführenden Aufsichtsbehörde (1) Unbeschadet des Artikels 55 ist die Aufsichtsbehörde der Hauptniederlassung oder der einzigen Niederlassung des Verantwortlichen oder des Auftragsverarbeiters gemäß dem Verfahren nach Artikel 60 die zuständige federführende Aufsichtsbehörde für die von diesem Verantwortlichen oder diesem Auftragsverarbeiter durchgeführte grenzüberschreitende Verarbeitung. (2) Abweichend von Absatz 1 ist jede Aufsichtsbehörde dafür zuständig, sich mit einer bei ihr eingereichten Beschwerde oder einem etwaigen Verstoß gegen diese Verordnung zu befassen, wenn der Gegenstand nur mit einer Niederlassung in ihrem Mitgliedstaat zusammenhängt oder betroffene Personen nur ihres Mitgliedstaats erheblich beeinträchtigt. (3) In den in Absatz 2 des vorliegenden Artikels genannten Fällen unterrichtet die Aufsichtsbehörde unverzüglich die federführende Aufsichtsbehörde über diese Angelegenheit. Innerhalb einer Frist von drei Wochen nach der Unterrichtung entscheidet die federführende Aufsichtsbehörde, ob sie sich mit dem Fall gemäß dem Verfahren nach Artikel 60 befasst oder nicht, wobei sie berücksichtigt, ob der Verantwortliche oder der Auftragsverarbeiter in dem Mitgliedstaat, dessen Aufsichtsbehörde sie unterrichtet hat, eine Niederlassung hat oder nicht. (4) Entscheidet die federführende Aufsichtsbehörde, sich mit dem Fall zu befassen, so findet das Verfahren nach Artikel 60 Anwendung. Die Aufsichtsbehörde, die die federführende Aufsichtsbehörde unterrichtet hat, kann dieser einen Beschlussentwurf vorlegen. Die federführende Aufsichtsbehörde trägt diesem Entwurf bei der Ausarbeitung des Beschlussentwurfs nach Artikel 60 Absatz 3 weitestgehend Rechnung. 1240

|

Hullen

Art. 56 DSGVO | Unabhängige Aufsichtsbehörden bleibt es auch bei einer etwaigen grenzüberschreitenden Verarbeitung bei der alleinigen Zuständigkeit der Aufsichtsbehörde des jeweiligen Mitgliedstaates i.S.d. Abs. 1. Die Federführung durch eine Aufsichtsbehörde eines anderen Mitgliedstaates gemäß Art. 56 ist in diesen Fällen außer Acht zu lassen (Abs. 2). 3 Die Aufsichtsbehörden sind gemäß Abs. 3 nicht für die Kontrolle der Gerichte

zuständig, soweit die Datenverarbeitung im Rahmen der justiziellen Tätigkeit vorgenommen wird. Hierzu zählen alle Datenverarbeitungen, die in Bezug zu Rechtsfindung und Rechtsspruch sowie zu der diesbezüglichen Vorbereitung und Durchführung stehen. Dies ist der richterlichen Unabhängigkeit geschuldet. Nicht ausgeschlossen sind jedoch Datenverarbeitungsvorgänge im Bereich der Justizverwaltung, z.B. im Bereich der Personalverwaltung oder Mittelbeschaffung sowie bei Justizverwaltungsakten nach § 23 EGGVG (s.a. Komm. zu § 24 BDSG Rz. 12).

Artikel 56 Zuständigkeit der federführenden Aufsichtsbehörde (1) Unbeschadet des Artikels 55 ist die Aufsichtsbehörde der Hauptniederlassung oder der einzigen Niederlassung des Verantwortlichen oder des Auftragsverarbeiters gemäß dem Verfahren nach Artikel 60 die zuständige federführende Aufsichtsbehörde für die von diesem Verantwortlichen oder diesem Auftragsverarbeiter durchgeführte grenzüberschreitende Verarbeitung. (2) Abweichend von Absatz 1 ist jede Aufsichtsbehörde dafür zuständig, sich mit einer bei ihr eingereichten Beschwerde oder einem etwaigen Verstoß gegen diese Verordnung zu befassen, wenn der Gegenstand nur mit einer Niederlassung in ihrem Mitgliedstaat zusammenhängt oder betroffene Personen nur ihres Mitgliedstaats erheblich beeinträchtigt. (3) In den in Absatz 2 des vorliegenden Artikels genannten Fällen unterrichtet die Aufsichtsbehörde unverzüglich die federführende Aufsichtsbehörde über diese Angelegenheit. Innerhalb einer Frist von drei Wochen nach der Unterrichtung entscheidet die federführende Aufsichtsbehörde, ob sie sich mit dem Fall gemäß dem Verfahren nach Artikel 60 befasst oder nicht, wobei sie berücksichtigt, ob der Verantwortliche oder der Auftragsverarbeiter in dem Mitgliedstaat, dessen Aufsichtsbehörde sie unterrichtet hat, eine Niederlassung hat oder nicht. (4) Entscheidet die federführende Aufsichtsbehörde, sich mit dem Fall zu befassen, so findet das Verfahren nach Artikel 60 Anwendung. Die Aufsichtsbehörde, die die federführende Aufsichtsbehörde unterrichtet hat, kann dieser einen Beschlussentwurf vorlegen. Die federführende Aufsichtsbehörde trägt diesem Entwurf bei der Ausarbeitung des Beschlussentwurfs nach Artikel 60 Absatz 3 weitestgehend Rechnung. 1240

|

Hullen

Zuständigkeit der federführenden Aufsichtsbehörde | Art. 56 DSGVO

(5) Entscheidet die federführende Aufsichtsbehörde, sich mit dem Fall nicht selbst zu befassen, so befasst die Aufsichtsbehörde, die die federführende Aufsichtsbehörde unterrichtet hat, sich mit dem Fall gemäß den Artikeln 61 und 62. (6) Die federführende Aufsichtsbehörde ist der einzige Ansprechpartner der Verantwortlichen oder der Auftragsverarbeiter für Fragen der von diesem Verantwortlichen oder diesem Auftragsverarbeiter durchgeführten grenzüberschreitenden Verarbeitung. I. Einführung . . . . . . . . . . . . . . . II. Federführung . . . . . . . . . . . . . III. Zuständigkeit . . . . . . . . . . . . .

1 3 6

IV. Zuständigkeiten bei rein nationalem Bezug . . . . . . . . . . 10

Schrifttum: Siehe Art. 51 DSGVO.

I. Einführung Die Ausgestaltung der Zuständigkeiten der Aufsichtsbehörden in grenzüber- 1 schreitenden Angelegenheiten ist eines der zentralen Anliegen der DSGVO. Die Regelung soll zusammen mit den Mechanismen der Zusammenarbeit und Kohärenz (Kapitel VII) eine einheitliche Auslegung und Durchsetzung der europäischen Datenschutzregelungen durch die Aufsichtsbehörden gewährleisten. Die bislang vorherrschenden Unterschiede, nicht nur in Hinsicht auf das materielle Datenschutzniveau, sondern gerade auch beim Vollzug der nationalen Datenschutzgesetze, waren wesentliche Motive der Kommission bei der Erarbeitung der DSGVO1. Auch Unternehmensgruppen sollten von der Neuordnung der Zuständigkeiten 2 bei grenzüberschreitender Verarbeitung profitieren. Ursprünglich sollte eine einzige Behörde als zentraler Ansprechpartner die Kommunikation und Koordinierung in grenzüberschreitenden Angelegenheiten übernehmen. Dies hätte zu wesentlichen Verfahrenserleichterungen für Unternehmen und somit auch für eine finanzielle Entlastung der europäischen Wirtschaft geführt. Zwar ist auch in der finalen Fassung der DSGVO die federführende Aufsichtsbehörde stets alleiniger Ansprechpartner der (Auftrags-)Datenverarbeiter bei Fragen zu Angelegenheiten mit grenzüberschreitendem Bezug (s. Abs. 6). Von einem echten One-Stop-Shop hat der Verordnungsgeber jedoch Abstand genommen2. Maßgeblich für diesen Artikel sind die Erwägungsgründe 36 und 37 sowie 122–128. 1 S. Nguyen, ZD 2015, 265 (265). 2 So auch Gierschmann, ZD 2016, 51 (52).

Hullen

|

1241

Art. 56 DSGVO | Unabhängige Aufsichtsbehörden II. Federführung 3 Art. 56 Abs. 1 legt die Zuständigkeit der federführenden Aufsichtsbehörde bei

einer Datenverarbeitung mit grenzüberschreitendem Bezug fest. Federführend ist grundsätzlich die Aufsichtsbehörde der Hauptniederlassung i.S.d. Art. 4 Nr. 16 oder der einzigen Niederlassung des (Auftrags-)Datenverarbeiters (s. Rz. 6) in der EU. Daneben bleibt die Zuständigkeit weiterer Aufsichtsbehörden, den sog. betroffene Aufsichtsbehörden (s. Art. 22 Abs. 4) nach Art. 55 bestehen. Die Zusammenarbeit der Aufsichtsbehörden bestimmt sich dann nach Art. 60 (s. Rz. 5).

4 Die Federführung übernimmt eine Aufsichtsbehörde grundsätzlich in folgenden

Konstellationen:

– Konstellation 1: Der (Auftrags-)Datenverarbeiter hat Niederlassungen in mehreren Mitgliedstaaten der Union. – Konstellation 2: Der (Auftrags-)Datenverarbeiter hat zwar lediglich eine Niederlassung in der Union, die Datenverarbeitung hat jedoch (voraussichtlich) erhebliche Auswirkungen auf Personen in mehreren Mitgliedstaaten. In Konstellation 1 ist die Aufsichtsbehörde der Hauptniederlassung (s. Rz. 6) die federführende. In Konstellation 2 ist dies die Aufsichtsbehörde der einzigen Niederlassung (Abs. 1). 5 Die Zusammenarbeit zwischen dieser und den weiteren betroffenen Aufsichts-

behörden regelt Art. 60. Generell hat die federführende Aufsichtsbehörde mit allen anderen betroffenen Aufsichtsbehörden zusammenzuarbeiten. Dies gilt insbesondere dann, wenn (i) bei einer anderen (nicht-federführenden) Aufsichtsbehörde eine Beschwerde eingelegt wurde oder (ii) die Datenverarbeitung erhebliche Auswirkungen auf Personen des Hoheitsgebiets einer weiteren Aufsichtsbehörde hat. Dabei kann der Europäische Datenschutzausschuss Leitlinien zu Beurteilung der Frage, wann solch erhebliche Auswirkungen anzunehmen sind, erarbeiten (s. Erwägungsgrund 124).

III. Zuständigkeit 6 Grundsätzlich zuständig ist in grenzüberschreitenden Angelegenheiten als fe-

derführende Behörde die Aufsichtsbehörde am Ort der einzigen Niederlassung oder – bei mehreren Niederlassungen – der Hauptniederlassung des Unternehmens in der EU (Art. 4 Nr. 16, s. Komm. zu Art. 4 DSGVO Rz. 58 ff.)1. Bei der Bestimmung der Hauptniederlassung sind nach Erwägungsgrund 36 objektive Kriterien heranzuziehen. Dabei ist auch darauf abzustellen, an welchem Ort die

1 S. Härting, Datenschutz-Grundverordnung, Rz. 752.

1242

|

Hullen

Zuständigkeit der federführenden Aufsichtsbehörde | Art. 56 DSGVO

effektiven und tatsächlichen Managementtätigkeiten, die die Grundsatzentscheidungen der Datenverarbeitung umfassen, getroffen werden, unabhängig vom Vorhandensein der zur Verarbeitung benötigten technischen Mittel und Verfahren (s. Rz. 7). Das Vorhandensein und die Verwendung technischer Mittel und Verfahren zur Verarbeitung personenbezogener Daten oder Verarbeitungstätigkeiten begründen jedoch an sich noch keine (Erwägungsgrund 36). Ausnahmen finden sich jedoch mehrere. Werden Entscheidungen hinsichtlich 7 Zweck und Mittel der Verarbeitung in einer anderen Niederlassung des Unternehmens getroffen und umgesetzt, so ist nach Art. 4 Abs. 16 Buchst. a Halbs. 2 diese Niederlassung als „Hauptniederlassung“ i.S.d. Abs. 1 anzusehen (s. Komm. zu Art. 4 DSGVO Rz. 58 ff.). Zudem bleiben die nationalen Aufsichtsbehörden bei einer Beschwerde oder bei einem Verstoß stets zuständig, wenn der zugrundeliegende Sachverhalt nur mit einer Niederlassung in ihrem Mitgliedstaat zusammenhängt oder nur betroffene Personen dieses Mitgliedstaates erheblich beeinträchtigt (s. Rz. 10). Die DSGVO regelt in diesem Zusammenhang auch die Behandlung von Unter- 8 nehmensgruppen (zum Begriff s. Erwägungsgrund 37)1. Erwägungsgrund 36 Satz 9 zieht grundsätzlich die Hauptniederlassung des herrschenden Unternehmens einer Unternehmensgruppe als Anknüpfungspunkt zur Bestimmung der zuständigen federführenden Aufsichtsbehörde heran. Ob die so bestimmte Aufsichtsbehörde jedoch überhaupt für rechtlich selbständige Tochterunternehmen einer Unternehmensgruppe zuständig sein können, ist umstritten2. Z.T. wird argumentiert, dass diese eigenständige Verantwortliche i.S.d. Art. 4 Abs. 7 darstellen würden, wodurch die Aufsichtsbehörden auf Unternehmens- und nicht auf Konzernebene die Federführung bestimmen müssten. Die Zuständigkeit der federführenden Aufsichtsbehörde für Unternehmensgruppen wurde vom Verordnungsgeber aber gerade bezweckt (s. Erwägungsgrund 36) und liegt gleichermaßen im Interesse von Unternehmen und Aufsichtsbehörden, da nur so eine effizientere Datenschutzaufsicht erzielt werden kann. Die Zuständigkeiten, insbesondere für Unternehmensgruppen, bleiben weit ge- 9 streut3. Zudem kann sich die Zuständigkeit der federführenden Aufsichtsbehörde im Laufe des aufsichtsbehördlichen Verfahrens ändern, bspw. wenn nachträglich bekannt wird, dass datenschutzrelevante Entscheidungen tatsächlich in einer (anderen als ursprünglich angenommen) Niederlassung eines anderen Mitgliedstaates getroffen und umgesetzt werden4. 1 Härting, Datenschutz-Grundverordnung, Rz. 755. 2 Ablehnend Nguyen, ZD 2015, 256 (267). 3 Mit Beispielen Gierschmann, ZD 2016, 51 (52), zur Zuständigkeit für Unternehmen ohne europäische Niederlassung s. Härting, Datenschutz-Grundverordnung, Rz. 757. 4 Nguyen fordert daher, eine einmal begründete Federführung im weiteren Verfahren nicht mehr abzugeben, Nguyen, ZD 2015, 256 (267).

Hullen

|

1243

Art. 57 DSGVO | Unabhängigkeit der Aufsichtsbehörden IV. Zuständigkeiten bei rein nationalem Bezug 10 Sollte der Gegenstand einer Beschwerde oder eines Verstoßes gegen die DSGVO

nur auf Niederlassungen oder betroffene Personen eines Mitgliedstaates beschränkt sein, so bleibt die Aufsichtsbehörde dieses einen Mitgliedstaates abweichend von der Regelung des Abs. 1 zuständig (Abs. 2). In diesen Fällen liegt regelmäßig ein schwächerer grenzüberschreitender Bezug und eine größere Nähe zur nationalen Aufsichtsbehörde vor. In dem in Abs. 2 geregelten Fall hat die Aufsichtsbehörde die nach Abs. 1 federführende Behörde unverzüglich über die Angelegenheit (d.h. eine Beschwerde des Betroffenen oder einen selbst festgestellten Verstoß) zu unterrichten. Die federführende Aufsichtsbehörde hat innerhalb einer 3-Wochen-Frist zu entscheiden, ob sie mit der unterrichtenden Aufsichtsbehörde zusammenarbeiten will oder nicht.

11 Entscheidet sich die federführende Aufsichtsbehörde zur Übernahme der Ange-

legenheit, so arbeiten beide Aufsichtsbehörden zusammen. Die Zusammenarbeit wird durch Art. 60 geregelt. Die betroffene Aufsichtsbehörde kann in diesem Fall der federführenden einen Beschlussentwurf vorlegen (Abs. 4 Satz 2). Die federführende Aufsichtsbehörde soll dem Entwurf „weitestgehend Rechnung“ tragen. Sollten sich die Aufsichtsbehörden nicht auf eine gemeinsame Beschlussfassung einigen können, so erfolgt die Streitbeilegung im Wege des Kohärenzverfahrens durch den Europäischen Datenschutzausschuss (s. Komm. zu Art. 65 DSGVO Rz. 4).

12 Lehnt die federführende Aufsichtsbehörde die Übernahme der Angelegenheit

ab, bleibt der „örtlichen“ Aufsichtsbehörde, die die federführende unterrichtet hat (s. Rz. 10), der Fall zur eigenständigen Bearbeitung überlassen. Gemäß Abs. 5 leisten jedoch auch dann beide Behörden einander Amtshilfe (s. Art. 61) und führen bei Bedarf gemeinsame Maßnahmen durch (Art. 62).

Artikel 57 Aufgaben (1) Unbeschadet anderer in dieser Verordnung dargelegter Aufgaben muss jede Aufsichtsbehörde in ihrem Hoheitsgebiet a) die Anwendung dieser Verordnung überwachen und durchsetzen; b) die Öffentlichkeit für die Risiken, Vorschriften, Garantien und Rechte im Zusammenhang mit der Verarbeitung sensibilisieren und sie darüber aufklären. Besondere Beachtung finden dabei spezifische Maßnahmen für Kinder; c) im Einklang mit dem Recht des Mitgliedsstaats das nationale Parlament, die Regierung und andere Einrichtungen und Gremien über legislative 1244

|

Hullen

Art. 57 DSGVO | Unabhängigkeit der Aufsichtsbehörden IV. Zuständigkeiten bei rein nationalem Bezug 10 Sollte der Gegenstand einer Beschwerde oder eines Verstoßes gegen die DSGVO

nur auf Niederlassungen oder betroffene Personen eines Mitgliedstaates beschränkt sein, so bleibt die Aufsichtsbehörde dieses einen Mitgliedstaates abweichend von der Regelung des Abs. 1 zuständig (Abs. 2). In diesen Fällen liegt regelmäßig ein schwächerer grenzüberschreitender Bezug und eine größere Nähe zur nationalen Aufsichtsbehörde vor. In dem in Abs. 2 geregelten Fall hat die Aufsichtsbehörde die nach Abs. 1 federführende Behörde unverzüglich über die Angelegenheit (d.h. eine Beschwerde des Betroffenen oder einen selbst festgestellten Verstoß) zu unterrichten. Die federführende Aufsichtsbehörde hat innerhalb einer 3-Wochen-Frist zu entscheiden, ob sie mit der unterrichtenden Aufsichtsbehörde zusammenarbeiten will oder nicht.

11 Entscheidet sich die federführende Aufsichtsbehörde zur Übernahme der Ange-

legenheit, so arbeiten beide Aufsichtsbehörden zusammen. Die Zusammenarbeit wird durch Art. 60 geregelt. Die betroffene Aufsichtsbehörde kann in diesem Fall der federführenden einen Beschlussentwurf vorlegen (Abs. 4 Satz 2). Die federführende Aufsichtsbehörde soll dem Entwurf „weitestgehend Rechnung“ tragen. Sollten sich die Aufsichtsbehörden nicht auf eine gemeinsame Beschlussfassung einigen können, so erfolgt die Streitbeilegung im Wege des Kohärenzverfahrens durch den Europäischen Datenschutzausschuss (s. Komm. zu Art. 65 DSGVO Rz. 4).

12 Lehnt die federführende Aufsichtsbehörde die Übernahme der Angelegenheit

ab, bleibt der „örtlichen“ Aufsichtsbehörde, die die federführende unterrichtet hat (s. Rz. 10), der Fall zur eigenständigen Bearbeitung überlassen. Gemäß Abs. 5 leisten jedoch auch dann beide Behörden einander Amtshilfe (s. Art. 61) und führen bei Bedarf gemeinsame Maßnahmen durch (Art. 62).

Artikel 57 Aufgaben (1) Unbeschadet anderer in dieser Verordnung dargelegter Aufgaben muss jede Aufsichtsbehörde in ihrem Hoheitsgebiet a) die Anwendung dieser Verordnung überwachen und durchsetzen; b) die Öffentlichkeit für die Risiken, Vorschriften, Garantien und Rechte im Zusammenhang mit der Verarbeitung sensibilisieren und sie darüber aufklären. Besondere Beachtung finden dabei spezifische Maßnahmen für Kinder; c) im Einklang mit dem Recht des Mitgliedsstaats das nationale Parlament, die Regierung und andere Einrichtungen und Gremien über legislative 1244

|

Hullen

Aufgaben | Art. 57 DSGVO

d) e)

f)

g) h) i)

j) k) l) m)

n) o)

und administrative Maßnahmen zum Schutz der Rechte und Freiheiten natürlicher Personen in Bezug auf die Verarbeitung beraten; die Verantwortlichen und die Auftragsverarbeiter für die ihnen aus dieser Verordnung entstehenden Pflichten sensibilisieren; auf Anfrage jeder betroffenen Person Informationen über die Ausübung ihrer Rechte aufgrund dieser Verordnung zur Verfügung stellen und gegebenenfalls zu diesem Zweck mit den Aufsichtsbehörden in anderen Mitgliedstaaten zusammenarbeiten; sich mit Beschwerden einer betroffenen Person oder Beschwerden einer Stelle, einer Organisation oder eines Verbandes gemäß Artikel 80 befassen, den Gegenstand der Beschwerde in angemessenem Umfang untersuchen und den Beschwerdeführer innerhalb einer angemessenen Frist über den Fortgang und das Ergebnis der Untersuchung unterrichten, insbesondere, wenn eine weitere Untersuchung oder Koordinierung mit einer anderen Aufsichtsbehörde notwendig ist; mit anderen Aufsichtsbehörden zusammenarbeiten, auch durch Informationsaustausch, und ihnen Amtshilfe leisten, um die einheitliche Anwendung und Durchsetzung dieser Verordnung zu gewährleisten; Untersuchungen über die Anwendung dieser Verordnung durchführen, auch auf der Grundlage von Informationen einer anderen Aufsichtsbehörde oder einer anderen Behörde; maßgebliche Entwicklungen verfolgen, soweit sie sich auf den Schutz personenbezogener Daten auswirken, insbesondere die Entwicklung der Informations- und Kommunikationstechnologie und der Geschäftspraktiken; Standardvertragsklauseln im Sinne des Artikels 28 Absatz 8 und des Artikels 46 Absatz 2 Buchstabe d festlegen; eine Liste der Verarbeitungsarten erstellen und führen, für die gemäß Artikel 35 Absatz 4 eine Datenschutz-Folgenabschätzung durchzuführen ist; Beratung in Bezug auf die in Artikel 36 Absatz 2 genannten Verarbeitungsvorgänge leisten; die Ausarbeitung von Verhaltensregeln gemäß Artikel 40 Absatz 1 fördern und zu diesen Verhaltensregeln, die ausreichende Garantien im Sinne des Artikels 40 Absatz 5 bieten müssen, Stellungnahmen abgeben und sie billigen; die Einführung von Datenschutzzertifizierungsmechanismen und von Datenschutzsiegeln und -prüfzeichen nach Artikel 42 Absatz 1 anregen und Zertifizierungskriterien nach Artikel 42 Absatz 5 billigen; gegebenenfalls die nach Artikel 42 Absatz 7 erteilten Zertifizierungen regelmäßig überprüfen; Hullen

|

1245

Art. 57 DSGVO | Unabhängigkeit der Aufsichtsbehörden p) die Kriterien für die Akkreditierung einer Stelle für die Überwachung der Einhaltung der Verhaltensregeln gemäß Artikel 41 und einer Zertifizierungsstelle gemäß Artikel 43 abfassen und veröffentlichen; q) die Akkreditierung einer Stelle für die Überwachung der Einhaltung der Verhaltensregeln gemäß Artikel 41 und einer Zertifizierungsstelle gemäß Artikel 43 vornehmen; r) Vertragsklauseln und Bestimmungen im Sinne des Artikels 46 Absatz 3 genehmigen; s) verbindliche interne Vorschriften gemäß Artikel 47 genehmigen; t) Beiträge zur Tätigkeit des Ausschusses leisten; u) interne Verzeichnisse über Verstöße gegen diese Verordnung und gemäß Artikel 58 Absatz 2 ergriffene Maßnahmen und v) jede sonstige Aufgabe im Zusammenhang mit dem Schutz personenbezogener Daten erfüllen. (2) Jede Aufsichtsbehörde erleichtert das Einreichen von in Absatz 1 Buchstabe f genannten Beschwerden durch Maßnahmen wie etwa die Bereitstellung eines Beschwerdeformulars, das auch elektronisch ausgefüllt werden kann, ohne dass andere Kommunikationsmittel ausgeschlossen werden. (3) Die Erfüllung der Aufgaben jeder Aufsichtsbehörde ist für die betroffene Person und gegebenenfalls für den Datenschutzbeauftragten unentgeltlich. (4) Bei offenkundig unbegründeten oder – insbesondere im Fall von häufiger Wiederholung – exzessiven Anfragen kann die Aufsichtsbehörde eine angemessene Gebühr auf der Grundlage der Verwaltungskosten verlangen oder sich weigern, aufgrund der Anfrage tätig zu werden. In diesem Fall trägt die Aufsichtsbehörde die Beweislast für den offenkundig unbegründeten oder exzessiven Charakter der Anfrage. I. Einleitung . . . . . . . . . . . . . . . . II. Aufgaben (Abs. 1) . . . . . . . . . .

1 3

III. Übermittlung von Beschwerden (Abs. 2) . . . . . . . . . . . . . . . . . . IV. Kosten . . . . . . . . . . . . . . . . . .

4 5

Schrifttum: Siehe Art. 51 DSGVO.

I. Einleitung 1 Mit der DSGVO haben sich Aufgabenspektrum und die damit einhergehenden

Befugnisse der Aufsichtsbehörden erheblich erweitert. Zum einen müssen die Aufsichtsbehörden neue Aufgaben übernehmen, wie z.B. im Bereich der Beratung, Aufklärung, Zertifizierung und Akkreditierung1. Zudem müssen die Auf-

1 S. hierzu auch Nguyen, ZD 2015, 265 (269).

1246

|

Hullen

Aufgaben | Art. 57 DSGVO

sichtsbehörden die im Rahmen der DSGVO notwendige fortlaufende Zusammenarbeit mit Aufsichtsbehörden anderer Mitgliedstaaten bewältigen, z.B. mit federführenden Behörden im Verfahren nach Art. 60, im Rahmen der gegenseitigen Amtshilfe nach Art. 61 oder bei gemeinsamen Maßnahmen der Aufsichtsbehörden gemäß Art. 62. Gleiches gilt für die Sicherstellung der Einbringung im Kohärenzverfahren (bei Stellungnahmen nach Art. 64 und im Rahmen des Streitbeilegungsverfahren nach Art. 65) und allgemein im EDSA (Art. 66 ff.). Schließlich werden die Aufsichtsbehörden von Bund und Ländern in einem neu 2 zu schaffenden internen Abstimmungsverfahren eingebunden sein. Die Abstimmung auf nationaler Ebene ist insbesondere im Kohärenzverfahren und bei sonstigen Angelegenheiten, die im EDSA behandelt werden (s. Komm. zu Art. 51 DSGVO Rz. 4), notwendig, um auf europäischer Ebene innerhalb der in den jeweiligen Verfahren vorgesehenen kurzen Fristen mit einer Stimme sprechen zu können1. Ob die Aufsichtsbehörden diesen vielfältigen Pflichten gleichermaßen ohne eine erhebliche Aufstockung ihrer Ressourcen problemlos nachkommen können, ist fraglich2. Maßgeblich für diesen Artikel ist der Erwägungsgrund 129.

II. Aufgaben (Abs. 1) Art. 52 Abs. 1 regelt die Aufgaben der Aufsichtsbehörden in der Europäischen 3 Union. Diese lassen sich in folgende Aufgabengebiete zusammenfassen: – Überwachung der Anwendung der DSGVO und der Durchsetzung ihrer Regelungen; – Sensibilisierung und Aufklärung der Öffentlichkeit, u.a. über Risiken und Rechte, sowie der (Auftrags-)Datenverarbeiter über ihre Pflichten; – Beratung der Legislative und Exekutive, im Rahmen der Datenschutz-Folgenabschätzung auch der für die Verarbeitung Verantwortlichen; – die Entgegennahme von Beschwerden und deren Untersuchung; – die Zusammenarbeit mit anderen Aufsichtsbehörden zur einheitlichen Anwendung und Durchführung der Verordnung und Mitarbeit im Europäischen Datenschutzausschuss; – die Beobachtung allgemeiner Trends (z.B. technischer oder gesellschaftlicher Art) und deren etwaigen Auswirkungen auf den Datenschutz; – Bestimmung von Verarbeitungsarten der Datenschutz-Folgenabschätzung; 1 Schaar, PinG 2016, 62 (64); Härting, Datenschutz-Grundverordnung, Rz. 737. 2 S.a. Gierschmann, ZD 2016, 51 (55).

Hullen

|

1247

Art. 57 DSGVO | Unabhängigkeit der Aufsichtsbehörden – Förderung und Überprüfung von Verhaltensregelungen und Datenschutzzertifizierungen; – Festlegung und Genehmigung von Standardvertragsklauseln, im Rahmen der Auftragsdatenverarbeitung und der Übermittlung von Daten an Drittländer; – Dokumentation von Verstößen und Maßnahmen, die seitens der Aufsichtsbehörde ergriffen wurden sowie die Erstellung eines Jahresberichts.

III. Übermittlung von Beschwerden (Abs. 2) 4 Zur vereinfachten Übermittlung von Beschwerden haben die Aufsichtsbehör-

den ein Formular bereitzustellen, was auch elektronisch ausgefüllt werden können muss. Hierdurch soll ein zusätzlicher, einfacher und moderner Weg der Kommunikation mit den Aufsichtsbehörden eröffnet werden. Das Formular wird dabei regelmäßig durch eine Eingabemaske oder als (vorstrukturierte) EMail übermittelt werden. Andere Kommunikationsmittel dürfen hierdurch nicht ausgeschlossen werden.

IV. Kosten 5 Grundsätzlich sind die Leistungen der Aufsichtsbehörden für betroffene Per-

sonen und Datenschutzbeauftragte kostenlos (Abs. 3). Etwas anderes gilt bei offenkundig unbegründeten Beschwerden oder exzessiven Anfragen (Abs. 4). Der Exzesscharakter kann sich dabei insbesondere aus der häufigen Wiederholung der Anfragen ergeben. Hierdurch soll querulatorisches Verhalten unterbunden werden können Bei der Beurteilung der Frage, wann eine Antragstellung die Exzessgrenze überschreitet, kommt der Aufsichtsbehörde ein gewisser Beurteilungsspielraum zu.

6 Ist ein Antrag offenkundig unbegründet oder dessen Stellung exzessiv, so kann

die Aufsichtsbehörde eine angemessene Gebühr auf Grundlage der entstehenden Verwaltungskosten verlangen oder eine Bearbeitung des Antrags ablehnen. Der Antragsteller sollte darüber informiert werden, so dass er zwischen der kostenpflichtigen Bescheidung und der Nichtbescheidung wählen kann. Die Aufsichtsbehörde trägt die Beweislast für die offenkundige Unbegründetheit oder den exzessiven Charakter des Antrags.

1248

|

Hullen

Befugnisse | Art. 58 DSGVO

Artikel 58 Befugnisse (1) Jede Aufsichtsbehörde verfügt über sämtliche folgenden Untersuchungsbefugnisse, die es ihr gestatten, a) den Verantwortlichen, den Auftragsverarbeiter und gegebenenfalls den Vertreter des Verantwortlichen oder des Auftragsverarbeiters anzuweisen, alle Informationen bereitzustellen, die für die Erfüllung ihrer Aufgaben erforderlich sind, b) Untersuchungen in Form von Datenschutzüberprüfungen durchzuführen, c) eine Überprüfung der nach Artikel 42 Absatz 7 erteilten Zertifizierungen durchzuführen, d) den Verantwortlichen oder den Auftragsverarbeiter auf einen vermeintlichen Verstoß gegen diese Verordnung hinzuweisen, e) von dem Verantwortlichen und dem Auftragsverarbeiter Zugang zu allen personenbezogenen Daten und Informationen, die zur Erfüllung ihrer Aufgaben notwendig sind, zu erhalten, f) gemäß dem Verfahrensrecht der Union oder dem Verfahrensrecht des Mitgliedstaats Zugang zu den Geschäftsräumen, einschließlich aller Datenverarbeitungsanlagen und -geräte, des Verantwortlichen und des Auftragsverarbeiters zu erhalten. (2) Jede Aufsichtsbehörde verfügt über sämtliche folgenden Abhilfebefugnisse, die es ihr gestatten, a) einen Verantwortlichen oder einen Auftragsverarbeiter zu warnen, dass beabsichtigte Verarbeitungsvorgänge voraussichtlich gegen diese Verordnung verstoßen, b) einen Verantwortlichen oder einen Auftragsverarbeiter zu verwarnen, wenn er mit Verarbeitungsvorgängen gegen diese Verordnung verstoßen hat, c) den Verantwortlichen oder den Auftragsverarbeiter anzuweisen, den Anträgen der betroffenen Person auf Ausübung der ihr nach dieser Verordnung zustehenden Rechte zu entsprechen, d) den Verantwortlichen oder den Auftragsverarbeiter anzuweisen, Verarbeitungsvorgänge gegebenenfalls auf bestimmte Weise und innerhalb eines bestimmten Zeitraums in Einklang mit dieser Verordnung zu bringen, e) den Verantwortlichen anzuweisen, die von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person entsprechend zu benachrichtigen, f) eine vorübergehende oder endgültige Beschränkung der Verarbeitung, einschließlich eines Verbots, zu verhängen, Hullen

|

1249

Art. 58 DSGVO | Unabhängigkeit der Aufsichtsbehörden g) die Berichtigung oder Löschung von personenbezogenen Daten oder die Einschränkung der Verarbeitung gemäß den Artikeln 16, 17 und 18 und die Unterrichtung der Empfänger, an die diese personenbezogenen Daten gemäß Artikel 17 Absatz 2 und Artikel 19 offengelegt wurden, über solche Maßnahmen anzuordnen, h) eine Zertifizierung zu widerrufen oder die Zertifizierungsstelle anzuweisen, eine gemäß den Artikel 42 und 43 erteilte Zertifizierung zu widerrufen, oder die Zertifizierungsstelle anzuweisen, keine Zertifizierung zu erteilen, wenn die Voraussetzungen für die Zertifizierung nicht oder nicht mehr erfüllt werden, i) eine Geldbuße gemäß Artikel 83 zu verhängen, zusätzlich zu oder anstelle von in diesem Absatz genannten Maßnahmen, je nach den Umständen des Einzelfalls, j) die Aussetzung der Übermittlung von Daten an einen Empfänger in einem Drittland oder an eine internationale Organisation anzuordnen. (3) Jede Aufsichtsbehörde verfügt über sämtliche folgenden Genehmigungsbefugnisse und beratenden Befugnisse, die es ihr gestatten, a) gemäß dem Verfahren der vorherigen Konsultation nach Artikel 36 den Verantwortlichen zu beraten, b) zu allen Fragen, die im Zusammenhang mit dem Schutz personenbezogener Daten stehen, von sich aus oder auf Anfrage Stellungnahmen an das nationale Parlament, die Regierung des Mitgliedstaats oder im Einklang mit dem Recht des Mitgliedstaats an sonstige Einrichtungen und Stellen sowie an die Öffentlichkeit zu richten, c) die Verarbeitung gemäß Artikel 36 Absatz 5 zu genehmigen, falls im Recht des Mitgliedstaats eine derartige vorherige Genehmigung verlangt wird, d) eine Stellungnahme abzugeben und Entwürfe von Verhaltensregeln gemäß Artikel 40 Absatz 5 zu billigen, e) Zertifizierungsstellen gemäß Artikel 43 zu akkreditieren, f) im Einklang mit Artikel 42 Absatz 5 Zertifizierungen zu erteilen und Kriterien für die Zertifizierung zu billigen, g) Standarddatenschutzklauseln nach Artikel 28 Absatz 8 und Artikel 46 Absatz 2 Buchstabe d festzulegen, h) Vertragsklauseln gemäß Artikel 46 Absatz 3 Buchstabe a zu genehmigen, i) Verwaltungsvereinbarungen gemäß Artikel 46 Absatz 3 Buchstabe b zu genehmigen j) verbindliche interne Vorschriften gemäß Artikel 47 zu genehmigen. (4) Die Ausübung der der Aufsichtsbehörde gemäß diesem Artikel übertragenen Befugnisse erfolgt vorbehaltlich geeigneter Garantien einschließlich 1250

|

Hullen

Befugnisse | Art. 58 DSGVO

wirksamer gerichtlicher Rechtsbehelfe und ordnungsgemäßer Verfahren gemäß dem Unionsrecht und dem Recht des Mitgliedstaats im Einklang mit der Charta. (5) Jeder Mitgliedstaat sieht durch Rechtsvorschriften vor, dass seine Aufsichtsbehörde befugt ist, Verstöße gegen diese Verordnung den Justizbehörden zur Kenntnis zu bringen und gegebenenfalls die Einleitung eines gerichtlichen Verfahrens zu betreiben oder sich sonst daran zu beteiligen, um die Bestimmungen dieser Verordnung durchzusetzen. (6) Jeder Mitgliedstaat kann durch Rechtsvorschriften vorsehen, dass seine Aufsichtsbehörde neben den in den Absätzen 1, 2 und 3 aufgeführten Befugnissen über zusätzliche Befugnisse verfügt. Die Ausübung dieser Befugnisse darf nicht die effektive Durchführung des Kapitels VII beeinträchtigen. I. Einleitung . . . . . . . . . . . . . . . . II. Befugnisse (Abs. 1–3) . . . . . . . 1. Untersuchungsbefugnisse (Abs. 1) . . . . . . . . . . . . . . . . . .

1 7

2. Abhilfebefugnisse (Abs. 2) . . . . . 12 3. Genehmigungsbefugnisse (Abs. 3) . . . . . . . . . . . . . . . . . . 16

8

Schrifttum: Siehe Art. 51 DSGVO.

I. Einleitung Die in Art. 58 verankerten Befugnisse der Aufsichtsbehörden sind elementar für 1 die effektive Erfüllung ihrer Aufgaben (s. Art. 57) und somit für die Einhaltung der Datenschutzregelungen in der EU. Art. 58 ermächtigt die Aufsichtsbehörden, unterschiedliche Maßnahmen zu treffen, um der Überwachung und Durchsetzung des Datenschutzes nachkommen zu können. Maßgeblich für diesen Artikel ist der Erwägungsgrund 129. Mit der DSGVO sind den Aufsichtsbehörden weite Befugnisse eingeräumt wor- 2 den, die mit ihrem gewachsenen Aufgabenportfolio korrespondieren (s. Komm. zu Art. 57 DSGVO Rz. 1). Neu ist u.a. auch, dass Aufsichtsbehörden gegenüber anderen Behörden Anordnungen erlassen können, um bspw. rechtswidrige Verarbeitungsvorgänge zu unterbinden oder um personenbezogene Daten löschen zu lassen1. Dies ist insofern ein Novum, als dass hoheitliche Maßnahmen gegenüber einer anderen Behörde erlassen werden können (horizontale Weisungsbefugnis), was schwierige verfassungsrechtliche Fragen aufwerfen kann2. Der Gesetzgeber ist hier in der Pflicht, weitere Verfahrensvorschriften zu erlassen3. 1 Voßhoff/Hermerschmidt, PinG 2016, 56 (59). 2 Schaar, PinG 2016, 62 (64). 3 Voßhoff/Hermerschmidt, PinG 2016, 56 (59).

Hullen

|

1251

Art. 58 DSGVO | Unabhängigkeit der Aufsichtsbehörden 3 Auch in anderen Bereichen sind die Gesetzgeber der Mitgliedstaaten gefragt,

um die Befugnisse mit entsprechenden Verfahrensvorschriften auszugestalten bzw. eine Anpassung bestehender Regelungen vorzunehmen. Dies gilt bspw. für das Recht, sich jederzeit Zugang zu den Geschäftsräumen des (Auftrags-)Verarbeiters zu verschaffen (Abs. 1 Buchst. f)1.

4 Zudem können die Mitgliedstaaten nach Art. 90 Abs. 1 die Befugnisse der Auf-

sichtsbehörden gemäß Abs. 1 Buchst. e und f zum Schutz von Berufsgeheimnisträgern weiter ausgestalten2.

5 Art. 58 ermächtigt die Aufsichtsbehörde zu Untersuchungshandlungen, zu Maß-

nahmen zur Abhilfe datenschutzwidriger Sachverhalte (z.B. durch Beschränkung oder Untersagung eines Datenverarbeitungsvorgangs), zu Sanktionen, zur Erteilung von Genehmigungen und zu Beratungstätigkeiten. Zudem enthält Art. 58 die Verpflichtung der Mitgliedstaaten, gesetzlich sicherzustellen, dass Aufsichtsbehörden Verstöße gegen die DSGVO den Justizbehörden melden können (Abs. 5). Weitere Aufgaben können die Mitgliedstaaten den Aufsichtsbehörden durch Gesetz zuteilen (Abs. 6).

6 Abs. 2 enthält zudem die Maßgabe, dass die Ausübung der Befugnisse durch die

Aufsichtsbehörden nur in Einklang mit den unions- und nationalrechtlichen Verfahrensgarantien (insbesondere unter Beachtung des Verhältnismäßigkeitsgrundsatzes, s. Erwägungsgrund 129) erfolgen dürfen.

II. Befugnisse (Abs. 1–3) 7 Die Befugnisse der Aufsichtsbehörden werden systematisch in Untersuchungs-

befugnisse (Abs. 1), Abhilfebefugnisse (Abs. 2) und Genehmigungsbefugnisse (Abs. 3) unterteilt. Untersuchungsbefugnisse dienen der Aufklärung datenschutzrelevanter Sachverhalte und der Ermittlung datenschutzwidriger Zustände. Solche können die Aufsichtsbehörden durch entsprechende Abhilfebefugnisse beseitigen (lassen). Um Datenschutzverstöße zu vermeiden, unterliegen bestimmte Datenverarbeitungsvorgänge und Instrumente zum Datenaustausch (z.B. Vertragsklauseln gemäß Art. 46 Abs. 3 Buchst. a einer Genehmigungspflicht, die mit den entsprechenden Genehmigungsbefugnissen des Abs. 3 korrespondieren. Hier sind auch die Beratungsbefugnisse der Datenschutzbehörden festgeschrieben, deren Ausübung dazu beitragen soll, Datenschutzverstöße erst gar nicht aufkommen zu lassen.

1 S.a. Stentzel, PinG 2016, 45 (48). 2 Härting, Datenschutz-Grundverordnung, Rz. 745.

1252

|

Hullen

Befugnisse | Art. 58 DSGVO

1. Untersuchungsbefugnisse (Abs. 1) Die in Abs. 1 genannten Befugnisse dienen primär der Aufklärung daten- 8 schutzrelevanter Sachverhalte durch die Aufsichtsbehörden. Auf Grundlage dieser Befugnisse kann festgestellt werden, ob die Regelungen der DSGVO eingehalten werden. Durch die hierdurch gewonnenen Erkenntnisse können die Datenschutzbehörden ggf. für Abhilfe sorgen (Abs. 2). Die Ergebnisse der Untersuchungshandlungen versetzen die Aufsichtsbehörde zudem in die Lage, Maßnahmen nach Abs. 3 durchzuführen (bspw. Genehmigungen zu erteilen oder zu versagen). Durch Abs. 1 Buchst. a werden die Datenschutzbehörden u.a. in die Lage ver- 9 setzt, die zur Erfüllung ihrer Aufgaben (s. Komm. zu Art. 57 DSGVO Rz. 3) erforderlichen Informationen von für die Verarbeitung Verantwortlichen und Auftragsverarbeitern abzufragen. Diese haben auf Anweisung der Aufsichtsbehörde entsprechende Informationen bereitzustellen. Auf welche Art die Bereitstellung zu erfolgen hat, ist gesetzlich nicht festgelegt. Informationen können hier z.B. durch mündliche Auskünfte, in Textform oder digital in einer auswertbaren Datei übermittelt werden. Der Informationspflicht ist ein Zugriffsrecht der Aufsichtsbehörden zur Seite gestellt (Abs. 1 Buchst. e). Wird ein (vermeintlicher) Verstoß gegen die DSGVO festgestellt, so werden die Aufsichtsbehörden hierauf regelmäßig in einem ersten Schritt den Verantwortlichen hinweisen (Art. 1 Buchst. d). Gemäß Abs. 1 Buchst. b können Aufsichtsbehörden Datenschutzüberprüfungen 10 durchführen. Dies kann z.B. in den Geschäftsräumen des (Auftrags-)Verarbeiters erfolgen, durch Einräumung von Testzugängen zu IT-Systemen oder durch umfangreichere Auskunftsverlangen. Zudem können die Aufsichtsbehörden auch prüfen, ob der Datenschutz einer entsprechenden Zertifizierung i.S.d. Art. 42 Abs. 7 entspricht (Abs. 1 Buchst. c, zum Widerruf des Zertifikats s. Rz. 15). Schließlich gewährt Abs. 1 Buchst. f den Aufsichtsbehörden Zugang zu Ge- 11 schäftsräumen sowie zu Datenverarbeitungsanlagen und -geräten des für die Verarbeitung Verantwortlichen und des Auftragsverarbeiters. Dabei sind die einschlägigen unionsrechtlichen Vorgaben bzw. die Regelungen des Verfahrensrechts des jeweiligen Mitgliedstaates zu beachten. 2. Abhilfebefugnisse (Abs. 2) Die Aufsichtsbehörden sind befugt, einem datenschutzwidrigen Zustand durch 12 verschiedenen Maßnahmen abzuhelfen. Mildeste Mittel sind hierbei Warnungen vor voraussichtlich datenschutzwidrigem Verhalten und – bei bereits erfolgten Verstößen gegen die Regeln der DSGVO – Verwarnungen (Abs. 2 Buchst. a und b). Zudem können die Aufsichtsbehörden (Auftrags-)Verarbeiter anweisen, Verarbeitungsvorgänge auf eine bestimmte Weise und innerhalb einer bestimmten Frist so auszugestalten, dass sie den Regelungen der DSGVO entsprechen Hullen

|

1253

Art. 58 DSGVO | Unabhängigkeit der Aufsichtsbehörden (Abs. 2 Buchst. d). Die Verantwortlichen können auch angewiesen werden, die Rechte der betroffenen Personen zu achten und entsprechende Ansprüche zu erfüllen (Abs. 2 Buchst. c), bspw. wenn diese (erfolglos) Auskunft über ihre Daten verlangen (Art. 15) oder der Verarbeitung ihrer Daten widersprechen (Art. 21). Weiterhin kann die Aufsichtsbehörde den (Auftrags-)Verarbeiter anweisen, die betroffene Person über eine erfolgte Verletzung des Datenschutzes zu informieren (Abs. 2 Buchst. e). 13 Zudem sind die Aufsichtsbehörden befugt, die Berichtigung, Einschränkung

oder Löschung von Daten im Sinne des Betroffenen anzuordnen. Im Falle der Weitergabe der Daten an Dritte (s. Art. 17 Abs. 2 und Art. 19) kann die Datenschutzbehörde ebenfalls die Unterrichtung der Empfänger über die Berichtigung, Einschränkung oder Löschung verlangen (Abs. 2 Buchst. g).

14 Schärfste Maßnahmen der Abhilfe sind die (vorübergehende oder endgültige)

Beschränkung und das Verbot der Verarbeitung (Abs. 2 Buchst. f). In Betracht kommt ebenfalls die Aussetzung der Übermittlung von Daten an einen Empfänger in einem Drittland (Abs. 2 Buchst. j). Eine Geldbuße (s. Art. 83) kann gemäß Abs. 1 Buchst. i durch die Aufsichtsbehörde neben oder anstelle einer anderen Maßnahme des Art. 58 verhängt werden.

15 Schließlich sind die Aufsichtsbehörden befugt, Zertifizierungen (s. Art. 42 und

43) zu widerrufen oder durch die Zertifizierungsstelle widerrufen zu lassen. Letztere kann auch angewiesen werden, keine Zertifikate mehr zu erteilen, solange die Voraussetzungen hierfür nicht vorliegen (Abs. 2 Buchst. h). 3. Genehmigungsbefugnisse (Abs. 3)

16 Genehmigungen von Datenverarbeitungsvorgängen, Verhaltensregeln und

Vertragsklauseln und die Beratung durch die Aufsichtsbehörden sind wesentliche Elemente des präventiven Datenschutzes. Abs. 3 stattet die Datenschutzbehörden mit entsprechenden Genehmigungs- und Beratungsbefugnissen aus.

17 Die Beratung von Parlament und Regierung im Zusammenhang mit dem

Schutz personenbezogener Daten ist eine der wichtigsten Aufgaben der unabhängigen Aufsichtsbehörden. Die entsprechende Befugnis, entsprechende Stellungnahmen abzugeben (auf Antrag oder auf eigene Initiative), findet sich in Abs. 3 Buchst. b.

18 Beratende Funktionen üben die Aufsichtsbehörden auch im Rahmen der vorhe-

rigen Konsultation i.S.d. Art. 36 aus (Abs. 3 Buchst. a). Dieses Verfahren kommt zur Anwendung, wenn eine Datenschutz-Folgenabschätzung ergibt, dass eine bestimmte Form der Verarbeitung mit einem hohen Risiko für die persönlichen Rechte und Freiheiten der betroffenen Person verbunden ist (s. Art. 36 Abs. 2)1. Werden Daten zur Erfüllung einer im öffentlichen Interesse liegenden 1 S. hierzu auch Nguyen, ZD 2015, 265 (269).

1254

|

Hullen

Tätigkeitsbericht | Art. 59 DSGVO

Aufgabe verarbeitet, so sind die Aufsichtsbehörden auch hier befugt, eine entsprechende Genehmigung zu erteilen oder zu versagen. Dies gilt jedoch nur dann, wenn eine Genehmigungspflicht auf Ebene der Mitgliedstaaten durch Rechtsvorschrift statuiert wird (s. Art. 36 Abs. 5). Die Aufsichtsbehörden beurteilen und genehmigen Verhaltensregeln i.S.d. 19 Art. 40. Zudem akkreditieren sie Zertifizierungsstellen gemäß Art. 43 und erteilen selbst Zertifizierungen auf Grundlage der ebenfalls von der Aufsichtsbehörde genehmigten Zertifizierungskriterien (Abs. 3 Buchst. d–f). Weiterhin sind die Aufsichtsbehörden nach Abs. 3 Buchst. g befugt, Standard- 20 datenschutzklauseln zur Verwendung im Rahmen der Auftragsverarbeitung (s. Art. 28) und zur Übermittlung von Daten in Drittländer (s. Art. 46 Abs. 2 Buchst. d) festzulegen. Schließlich sind die Aufsichtsbehörden nach Abs. 3 Buchst. h–j ermächtigt, Ver- 21 tragsklauseln (Art. 46 Abs. 3 Buchst. a), Verwaltungsvereinbarungen (Art. 46 Abs. 3 Buchst. b) und verbindliche interne Vorschriften (Art. 47) zu genehmigen, die ebenfalls Instrumente der Übermittlung von Daten in Drittländer darstellen.

Artikel 59 Tätigkeitsbericht Jede Aufsichtsbehörde erstellt einen Jahresbericht über ihre Tätigkeit, der eine Liste der Arten der gemeldeten Verstöße und der Arten der getroffenen Maßnahmen nach Artikel 58 Absatz 2 enthalten kann. Diese Berichte werden dem nationalen Parlament, der Regierung und anderen nach dem Recht der Mitgliedstaaten bestimmten Behörden übermittelt. Sie werden der Öffentlichkeit, der Kommission und dem Ausschuss zugänglich gemacht. Schrifttum: Siehe Art. 51 DSGVO.

Art. 59 bestimmt, dass Aufsichtsbehörden jährlich einen Tätigkeitsbericht zu 1 veröffentlichen haben (Jahresbericht). Dieser dient der Information von Regierung, Parlament, Verwaltung und Öffentlichkeit über die wesentlichen Aktivitäten der Aufsichtsbehörde und der Entwicklung des Datenschutzes (s.a. Komm. zu § 26 BDSG Rz. 3). Der Bericht, der abweichend von § 26 Abs. 1 BDSG nicht alle zwei Jahre, sondern jährlich vorgelegt wird, ist der Öffentlichkeit, der Kommission und dem Europäischen Datenschutzausschuss zugänglich zu machen.

Hullen

|

1255

Tätigkeitsbericht | Art. 59 DSGVO

Aufgabe verarbeitet, so sind die Aufsichtsbehörden auch hier befugt, eine entsprechende Genehmigung zu erteilen oder zu versagen. Dies gilt jedoch nur dann, wenn eine Genehmigungspflicht auf Ebene der Mitgliedstaaten durch Rechtsvorschrift statuiert wird (s. Art. 36 Abs. 5). Die Aufsichtsbehörden beurteilen und genehmigen Verhaltensregeln i.S.d. 19 Art. 40. Zudem akkreditieren sie Zertifizierungsstellen gemäß Art. 43 und erteilen selbst Zertifizierungen auf Grundlage der ebenfalls von der Aufsichtsbehörde genehmigten Zertifizierungskriterien (Abs. 3 Buchst. d–f). Weiterhin sind die Aufsichtsbehörden nach Abs. 3 Buchst. g befugt, Standard- 20 datenschutzklauseln zur Verwendung im Rahmen der Auftragsverarbeitung (s. Art. 28) und zur Übermittlung von Daten in Drittländer (s. Art. 46 Abs. 2 Buchst. d) festzulegen. Schließlich sind die Aufsichtsbehörden nach Abs. 3 Buchst. h–j ermächtigt, Ver- 21 tragsklauseln (Art. 46 Abs. 3 Buchst. a), Verwaltungsvereinbarungen (Art. 46 Abs. 3 Buchst. b) und verbindliche interne Vorschriften (Art. 47) zu genehmigen, die ebenfalls Instrumente der Übermittlung von Daten in Drittländer darstellen.

Artikel 59 Tätigkeitsbericht Jede Aufsichtsbehörde erstellt einen Jahresbericht über ihre Tätigkeit, der eine Liste der Arten der gemeldeten Verstöße und der Arten der getroffenen Maßnahmen nach Artikel 58 Absatz 2 enthalten kann. Diese Berichte werden dem nationalen Parlament, der Regierung und anderen nach dem Recht der Mitgliedstaaten bestimmten Behörden übermittelt. Sie werden der Öffentlichkeit, der Kommission und dem Ausschuss zugänglich gemacht. Schrifttum: Siehe Art. 51 DSGVO.

Art. 59 bestimmt, dass Aufsichtsbehörden jährlich einen Tätigkeitsbericht zu 1 veröffentlichen haben (Jahresbericht). Dieser dient der Information von Regierung, Parlament, Verwaltung und Öffentlichkeit über die wesentlichen Aktivitäten der Aufsichtsbehörde und der Entwicklung des Datenschutzes (s.a. Komm. zu § 26 BDSG Rz. 3). Der Bericht, der abweichend von § 26 Abs. 1 BDSG nicht alle zwei Jahre, sondern jährlich vorgelegt wird, ist der Öffentlichkeit, der Kommission und dem Europäischen Datenschutzausschuss zugänglich zu machen.

Hullen

|

1255

Art. 60 DSGVO | Zusammenarbeit und Kohärenz

Kapitel VII Zusammenarbeit und Kohärenz Abschnitt 1 Zusammenarbeit

Artikel 60 Zusammenarbeit zwischen der federführenden Aufsichtsbehörde und anderen betroffenen Aufsichtsbehörden (1) Die federführende Aufsichtsbehörde arbeitet mit den anderen betroffenen Aufsichtsbehörden im Einklang mit diesem Artikel zusammen und bemüht sich dabei, einen Konsens zu erzielen. Die federführende Aufsichtsbehörde und die betroffenen Aufsichtsbehörden tauschen untereinander alle zweckdienlichen Informationen aus. (2) Die federführende Aufsichtsbehörde kann jederzeit andere betroffene Aufsichtsbehörden um Amtshilfe gemäß Artikel 61 ersuchen und gemeinsame Maßnahmen gemäß Artikel 62 durchführen, insbesondere zur Durchführung von Untersuchungen oder zur Überwachung der Umsetzung einer Maßnahme in Bezug auf einen Verantwortlichen oder einen Auftragsverarbeiter, der in einem anderen Mitgliedstaat niedergelassen ist. (3) Die federführende Aufsichtsbehörde übermittelt den anderen betroffenen Aufsichtsbehörden unverzüglich die zweckdienlichen Informationen zu der Angelegenheit. Sie legt den anderen betroffenen Aufsichtsbehörden unverzüglich einen Beschlussentwurf zur Stellungnahme vor und trägt deren Standpunkten gebührend Rechnung. (4) Legt eine der anderen betroffenen Aufsichtsbehörden innerhalb von vier Wochen, nachdem sie gemäß Absatz 3 des vorliegenden Artikels konsultiert wurde, gegen diesen Beschlussentwurf einen maßgeblichen und begründeten Einspruch ein und schließt sich die federführende Aufsichtsbehörde dem maßgeblichen und begründeten Einspruch nicht an oder ist der Ansicht, dass der Einspruch nicht maßgeblich oder nicht begründet ist, so leitet die federführende Aufsichtsbehörde das Kohärenzverfahren gemäß Artikel 63 für die Angelegenheit ein. (5) Beabsichtigt die federführende Aufsichtsbehörde, sich dem maßgeblichen und begründeten Einspruch anzuschließen, so legt sie den anderen betroffenen Aufsichtsbehörden einen überarbeiteten Beschlussentwurf zur Stellungnahme vor. Der überarbeitete Beschlussentwurf wird innerhalb von zwei Wochen dem Verfahren nach Absatz 4 unterzogen. 1256

|

Roggenkamp

Zusammenarbeit zwischen Aufsichtsbehörden | Art. 60 DSGVO

(6) Legt keine der anderen betroffenen Aufsichtsbehörden Einspruch gegen den Beschlussentwurf ein, der von der federführenden Aufsichtsbehörde innerhalb der in den Absätzen 4 und 5 festgelegten Frist vorgelegt wurde, so gelten die federführende Aufsichtsbehörde und die betroffenen Aufsichtsbehörden als mit dem Beschlussentwurf einverstanden und sind an ihn gebunden. (7) Die federführende Aufsichtsbehörde erlässt den Beschluss und teilt ihn der Hauptniederlassung oder der einzigen Niederlassung des Verantwortlichen oder gegebenenfalls des Auftragsverarbeiters mit und setzt die anderen betroffenen Aufsichtsbehörden und den Ausschuss von dem betreffenden Beschluss einschließlich einer Zusammenfassung der maßgeblichen Fakten und Gründe in Kenntnis. Die Aufsichtsbehörde, bei der eine Beschwerde eingereicht worden ist, unterrichtet den Beschwerdeführer über den Beschluss. (8) Wird eine Beschwerde abgelehnt oder abgewiesen, so erlässt die Aufsichtsbehörde, bei der die Beschwerde eingereicht wurde, abweichend von Absatz 7 den Beschluss, teilt ihn dem Beschwerdeführer mit und setzt den Verantwortlichen in Kenntnis. (9) Sind sich die federführende Aufsichtsbehörde und die betroffenen Aufsichtsbehörde darüber einig, Teile der Beschwerde abzulehnen oder abzuweisen und bezüglich anderer Teile dieser Beschwerde tätig zu werden, so wird in dieser Angelegenheit für jeden dieser Teile ein eigener Beschluss erlassen. Die federführende Aufsichtsbehörde erlässt den Beschluss für den Teil, der das Tätigwerden in Bezug auf den Verantwortlichen betrifft, teilt ihn der Hauptniederlassung oder einzigen Niederlassung des Verantwortlichen oder des Auftragsverarbeiters im Hoheitsgebiet ihres Mitgliedstaats mit und setzt den Beschwerdeführer hiervon in Kenntnis, während die für den Beschwerdeführer zuständige Aufsichtsbehörde den Beschluss für den Teil erlässt, der die Ablehnung oder Abweisung dieser Beschwerde betrifft, und ihn diesem Beschwerdeführer mitteilt und den Verantwortlichen oder den Auftragsverarbeiter hiervon in Kenntnis setzt. (10) Nach der Unterrichtung über den Beschluss der federführenden Aufsichtsbehörde gemäß den Absätzen 7 und 9 ergreift der Verantwortliche oder der Auftragsverarbeiter die erforderlichen Maßnahmen, um die Verarbeitungstätigkeiten all seiner Niederlassungen in der Union mit dem Beschluss in Einklang zu bringen. Der Verantwortliche oder der Auftragsverarbeiter teilt der federführenden Aufsichtsbehörde die Maßnahmen mit, die zur Einhaltung des Beschlusses ergriffen wurden; diese wiederum unterrichtet die anderen betroffenen Aufsichtsbehörden. (11) Hat – in Ausnahmefällen – eine betroffene Aufsichtsbehörde Grund zu der Annahme, dass zum Schutz der Interessen betroffener Personen dringender Handlungsbedarf besteht, so kommt das Dringlichkeitsverfahren nach Artikel 66 zur Anwendung. Roggenkamp

|

1257

Art. 60 DSGVO | Zusammenarbeit und Kohärenz (12) Die federführende Aufsichtsbehörde und die anderen betroffenen Aufsichtsbehörden übermitteln einander die nach diesem Artikel geforderten Informationen auf elektronischem Wege unter Verwendung eines standardisierten Formats. I. Einführung . . . . . . . . . . . . . . II. Zusammenarbeit mehrerer Aufsichtsbehörden (Abs. 1, 2) III. Beschlussfassungsverfahren (Abs. 3–9) . . . . . . . . . . . . . . . 1. Verfahren a) Schritt 1 – Beteiligung und Beschlussentwurf zur Stellungnahme . . . . . . . . . . b) Schritt 2 – Einspruch . . . . .

.

1 6

.

8

. 9 . 10

c) Schritt 3 – Kein (weiterer) Einspruch . . . . . . . . . . . . . . d) Schritt 4 – Erlass und Bekanntgabe des Beschlusses, Unterrichtung . . . . . . . . . . . e) Schritt 5 – Tätigkeit und Tätigkeitsbericht . . . . . . . . . 2. Dringlichkeitsverfahren (Abs. 11)

13 14 18 19

IV. Informationsaustausch (Abs. 12) . . . . . . . . . . . . . . . . . 20

Literatur Härting, Starke Behörden, schwaches Recht – der neue EU-Datenschutzentwurf, BB 2012, 459; Nguyen, Die zukünftige Datenschutzaufsicht in Europa, ZD 2015, 265.

I. Einführung 1 Der Art. 60 ist der erste Artikel im Kapitel VII, welches die „Zusammenarbeit

und Kohärenz“ behandelt. Er regelt, entsprechend der Bezeichnung des Abschnittes, die Zusammenarbeit zwischen zwei oder mehreren Aufsichtsbehörden (dazu allgemein Art. 51). Korrespondierende Erwägungsgründe finden sich in Erwägungsgrund 124–131.

2 Nach dem Konzept der DSGVO richtet sich die Zuständigkeit einer Aufsichts-

behörde für die Wahrnehmung der Aufgaben nach der DSGVO nach dem Hoheitsgebiet des eigenen Mitgliedstaates (Art. 55 Abs. 1 sowie Erwägungsgrund 122). Im Falle einer sog. „grenzüberschreitenden Verarbeitung“ (vgl. zur Begriffsbestimmung Art. 4 Nr. 23) ist das Hoheitsgebiet mehrerer Mitgliedstaaten berührt. Für diese Fälle, in denen mehrere Aufsichtsbehörden „betroffen“1 sind bzw. örtlich zuständig sein könnten, bestimmt Art. 56 Abs. 1 (s.a. Kommentierung dort), dass eine Aufsichtsbehörde die Federführung („leading supervisory authority“ – „federführende Aufsichtsbehörde“) innehat. Federführende Aufsichtsbehörde ist nach dem Wortlaut der Vorschrift „die Aufsichtsbehörde der Hauptniederlassung oder der einzigen Niederlassung des Verantwortlichen oder des Auftragsverarbeiters“ soweit es um grenzüberschreitende Datenverarbeitungen dieses Verantwortlichen oder Auftragsverarbeiters geht. Alle anderen örtlich zuständigen aber nicht federführenden Aufsichtsbehörden werden als „betroffene Aufsichtsbehörden“ bezeichnet.

1 Die DSGVO spricht von „concerned supervisory authority“.

1258

|

Roggenkamp

Zusammenarbeit zwischen Aufsichtsbehörden | Art. 60 DSGVO

Erwägungsgrund 36 sieht für den Fall der Auftragsdatenverarbeitung vor, dass 3 in Fällen, in denen sowohl der für die Verarbeitung Verantwortliche als auch der Auftragsverarbeiter „betroffen sind“, die Aufsichtsbehörde des Mitgliedstaats, in dem der für die Verarbeitung Verantwortliche seine Hauptniederlassung hat, grundsätzlich die zuständige federführende Aufsichtsbehörde ist. Die Aufsichtsbehörde des Auftragsverarbeiters solle dann als betroffene Aufsichtsbehörde betrachtet werden und sich an dem sogleich dargestellten Verfahren der Zusammenarbeit beteiligen. Nach Art. 56 Abs. 6 ist die federführende Aufsichtsbehörde der einzige Ansprechpartner sowohl für den Verantwortlichen als auch für den Auftragsverarbeiter, soweit es um Fragen der grenzüberschreitenden Datenverarbeitung geht. Eine Ausnahme von diesem Prinzip der zentralen Kontaktstelle soll nach Er- 4 wägungsgrund 127 dann gegeben sein, wenn „der Gegenstand der spezifischen Verarbeitung […] nur die Verarbeitungstätigkeiten in einem einzigen Mitgliedstaat und nur betroffene Personen in diesem einen Mitgliedstaat betrifft“. Als Beispiel wird im Erwägungsgrund die Verarbeitung von Arbeitnehmerdaten in einem bestimmten Mitgliedstaat genannt. In solchen Fällen solle – nach Unterrichtung durch die betroffene Aufsichtsbehörde – die federführende Aufsichtsbehörde entscheiden, ob eine Regelung auf „örtlicher Ebene“ sinnvoller ist. Art. 60 findet keine Anwendung auf die Verarbeitung von Daten durch Behör- 5 den oder private Einrichtungen im öffentlichen Interesse (Erwägungsgrund 128, Art. 55 Abs. 2). Hier ist ausschließlich die Aufsichtsbehörde des jeweiligen Mitgliedstaates zuständig.

II. Zusammenarbeit mehrerer Aufsichtsbehörden (Abs. 1, 2) Ausweislich Erwägungsgrund 123 sollen die Aufsichtsbehörden die Anwendung 6 der Bestimmungen der DSGVO überwachen (vgl. Art. 57 Abs. 1 Buchst. a) und „zu ihrer einheitlichen Anwendung in der gesamten Union beitragen“. Ziel ist es „natürliche Personen im Hinblick auf die Verarbeitung ihrer Daten zu schützen und den freien Verkehr personenbezogener Daten im Binnenmarkt zu erleichtern“. Zu diesem Zweck sollen die Aufsichtsbehörden untereinander und mit der Kommission zusammenarbeiten (vgl. Art. 57 Abs. 1 Buchst. g) und sich ggf. Amtshilfe leisten (dazu Art. 61), ohne dass eine Vereinbarung zwischen den Mitgliedstaaten über die Leistung von Amtshilfe oder über eine derartige Zusammenarbeit erforderlich wäre. In Abs. 1 wird die jeweils federführende Aufsichtsbehörde, die als zentrale Kon- 7 taktstelle agiert, zur Zusammenarbeit mit anderen betroffenen Aufsichtsbehörden verpflichtet. Zielvorgabe ist die Erzielung von Konsens untereinander. Die Stellung als federführende Aufsichtsbehörde bedeutet eine Art Verfahrensleitung. So ist es die federführende Aufsichtsbehörde, die gemeinsame MaßnahRoggenkamp

|

1259

Art. 60 DSGVO | Zusammenarbeit und Kohärenz men i.S.d. Art. 62 mit den betroffenen Aufsichtsbehörden initiiert. Sie legt grundsätzlich1 den ersten Beschlussentwurf vor. Die betroffenen Aufsichtsbehörden haben insbesondere im Rahmen der Beschlussfassung bei Beschwerden betroffener Personen starke Beteiligungsrechte. Der Beschluss wird – so sieht es Erwägungsgrund 126 vor – „gemeinsam vereinbart“.

III. Beschlussfassungsverfahren (Abs. 3–9) 8 Das Verfahren über die Fassung von Beschlüssen über Maßnahmen bzw. die

Abweisung einer Beschwerde ist in Abs. 3–9 beschrieben. 1. Verfahren

a) Schritt 1 - Beteiligung und Beschlussentwurf zur Stellungnahme 9 Aus Abs. 3 folgt, dass die federführende Aufsichtsbehörde vor der Beschlussfas-

sung – wie es auch Erwägungsgrund 125 vorsieht – für die „enge Einbindung und Koordinierung der betroffenen Aufsichtsbehörden im Entscheidungsprozess“ Sorge zu tragen hat. Dazu muss die federführende Aufsichtsbehörde den betroffenen Aufsichtsbehörden „unverzüglich“ alle „zweckdienlichen Informationen“ zum Beschlussgegenstand übermitteln. Dazu gehören alle Informationen, die für die substantiierte Stellungnahme der beteiligten Aufsichtsbehörden erforderlich sind. Ebenfalls „unverzüglich“ muss den betroffenen Aufsichtsbehörden ein Beschlussentwurf zur Stellungnahme zugeleitet werden. Dieser muss den „Standpunkten“ der beteiligten Aufsichtsbehörden „gebührend“ Rechnung tragen. Daraus folgt zum einen, dass den beteiligten Aufsichtsbehörden ausreichend Zeit für eine Stellungnahme noch vor Abfassung des Beschlusses einzuräumen ist. Zum anderen folgt aus Abs. 3 die Verpflichtung der federführenden Aufsichtsbehörde die Auffassung der beteiligten Aufsichtsbehörden nicht nur zur Kenntnis zu nehmen, sondern sich im Rahmen der Beschlussbegründung auch mit dieser auseinanderzusetzen. b) Schritt 2 – Einspruch

10 Nach Abs. 4 haben die betroffenen Aufsichtsbehörden nach „Konsultation“

durch die federführende Aufsichtsbehörde – es wird auf den Zugang des Beschlussentwurfs abzustellen sein – vier Wochen Zeit um gegen den Beschlussentwurf Einspruch einzulegen. Der Einspruch muss eine Begründung enthalten und „maßgeblich“ sein. Die Anforderungen an einen „maßgeblichen und begründeten“ Einspruch „sollte“ nach Erwägungsgrund 124 a.E. der Europäische Datenschutzausschuss festlegen.

1 Vgl. aber Erwägungsgrund 127.

1260

|

Roggenkamp

Zusammenarbeit zwischen Aufsichtsbehörden | Art. 60 DSGVO

Sollte der Einspruch nicht „maßgeblich und begründet“ sein oder sich die feder- 11 führende Aufsichtsbehörde dem Einspruch nicht anschließen, ist von ihr das Kohärenzverfahren nach Art. 63 (vgl. Kommentierung dort) einzuleiten. Will sich die federführende Aufsichtsbehörde dem Einspruch anschließen, muss 12 sie einen neuen Beschlussentwurf zur Stellungnahme vorlegen, gegen welchen wiederum Einspruch eingelegt werden kann, vgl. Abs. 5. Aus Abs. 5 Satz 2 folgt, dass die Frist in diesem Fall auf zwei Wochen verkürzt ist. c) Schritt 3 – Kein (weiterer) Einspruch Wird entweder kein oder kein weiterer Einspruch gegen die (ggf. überarbeitete) 13 Entwurfsfassung des Beschlusses der federführenden Aufsichtsbehörde eingelegt, ist dieser nach Abs. 6 für die federführende Aufsichtsbehörde und die betroffene Aufsichtsbehörde verbindlich. d) Schritt 4 – Erlass und Bekanntgabe des Beschlusses, Unterrichtung Die Zuständigkeit für Erlass und Bekanntgabe des Beschlusses sowie die Unter- 14 richtung des Beschwerdeführers sind je nach Inhalt unterschiedlich geregelt. Grundsätzlich wird der endgültige Beschluss allein von der federführenden Aufsichtsbehörde erlassen und dem Adressaten bekanntgegeben (Abs. 7). Beruht er auf einer Beschwerde, so fällt die Unterrichtung des Beschwerdefüh- 15 rers in die Zuständigkeit der Aufsichtsbehörde, bei welcher die Beschwerde eingereicht wurde. Die Aufsichtsbehörde, bei welcher die zu dem Verfahren anlassgebende Be- 16 schwerde eingereicht wurde, ist auch für den Erlass des ablehnenden oder abweisenden Beschlusses zuständig. In diesem Fall unterrichtet sie sowohl den Beschwerdeführer als auch den Verantwortlichen (Abs. 8). Bei einer nur teilweisen Ablehnung oder Abweisung einer Beschwerde wird so- 17 wohl ein Beschluss betreffend die Teilablehnung bzw. -abweisung als auch ein separater Beschluss gegenüber dem Verantwortlichen erlassen, aus welchem sich dessen Handlungsverpflichtungen ergeben. Letzterer fällt – samt Unterrichtung des Beschwerdeführers – in die Zuständigkeit der federführenden Aufsichtsbehörde. Der ablehnende oder abweisende Beschlussteil und dessen Bekanntgabe gegenüber dem Beschwerdeführer und die Unterrichtung des Verantwortlichen fällt hingegen in die Zuständigkeit der „für den Beschwerdeführer zuständigen“ Aufsichtsbehörde. e) Schritt 5 – Tätigkeit und Tätigkeitsbericht Für den Fall, dass der Beschluss dem Verantwortlichen oder Auftragsverarbeiter 18 Handlungspflichten auferlegt, bestimmt Abs. 10, dass dieser zur Umsetzung verRoggenkamp

|

1261

Art. 61 DSGVO | Zusammenarbeit und Kohärenz pflichtet ist. Über die getroffenen Maßnahmen muss er der federführenden Aufsichtsbehörde Bericht erstatten. Diese wiederum leitet diese Informationen an die betroffenen Aufsichtsbehörden zur Kenntnisnahme weiter. 2. Dringlichkeitsverfahren (Abs. 11) 19 In Eilfällen kann jede betroffene Aufsichtsbehörde Eilmaßnahmen nach Art. 66

(s. Kommentierung dort) vornehmen, sog. Dringlichkeitsverfahren.

IV. Informationsaustausch (Abs. 12) 20 Abs. 12 bestimmt, dass der Informationsaustausch zwischen den Aufsichts-

behörden auf elektronischem Wege und unter Nutzung standardisierter Formate erfolgen soll. Es ist sinnvollerweise das Format zu verwenden, welches auch im Übrigen durch die Kommission für den Informationsaustausch zwischen den Aufsichtsbehörden festgelegt wird (vgl. Art. 61 Abs. 9 oder Art. 67).

Artikel 61 Gegenseitige Amtshilfe (1) Die Aufsichtsbehörden übermitteln einander maßgebliche Informationen und gewähren einander Amtshilfe, um diese Verordnung einheitlich durchzuführen und anzuwenden, und treffen Vorkehrungen für eine wirksame Zusammenarbeit. Die Amtshilfe bezieht sich insbesondere auf Auskunftsersuchen und aufsichtsbezogene Maßnahmen, beispielsweise Ersuchen um vorherige Genehmigungen und eine vorherige Zurateziehung, um Vornahme von Nachprüfungen und Untersuchungen. (2) Jede Aufsichtsbehörde ergreift alle geeigneten Maßnahmen, um einem Ersuchen einer anderen Aufsichtsbehörde unverzüglich und spätestens innerhalb eines Monats nach Eingang des Ersuchens nachzukommen. Dazu kann insbesondere auch die Übermittlung maßgeblicher Informationen über die Durchführung einer Untersuchung gehören. (3) Amtshilfeersuchen enthalten alle erforderlichen Informationen, einschließlich Zweck und Begründung des Ersuchens. Die übermittelten Informationen werden ausschließlich für den Zweck verwendet, für den sie angefordert wurden. (4) Die ersuchte Aufsichtsbehörde, lehnt das Ersuchen nur ab, wenn (a) sie für den Gegenstand des Ersuchens oder für die Maßnahmen, die sie durchführen soll, nicht zuständig ist oder 1262

|

Roggenkamp

Art. 61 DSGVO | Zusammenarbeit und Kohärenz pflichtet ist. Über die getroffenen Maßnahmen muss er der federführenden Aufsichtsbehörde Bericht erstatten. Diese wiederum leitet diese Informationen an die betroffenen Aufsichtsbehörden zur Kenntnisnahme weiter. 2. Dringlichkeitsverfahren (Abs. 11) 19 In Eilfällen kann jede betroffene Aufsichtsbehörde Eilmaßnahmen nach Art. 66

(s. Kommentierung dort) vornehmen, sog. Dringlichkeitsverfahren.

IV. Informationsaustausch (Abs. 12) 20 Abs. 12 bestimmt, dass der Informationsaustausch zwischen den Aufsichts-

behörden auf elektronischem Wege und unter Nutzung standardisierter Formate erfolgen soll. Es ist sinnvollerweise das Format zu verwenden, welches auch im Übrigen durch die Kommission für den Informationsaustausch zwischen den Aufsichtsbehörden festgelegt wird (vgl. Art. 61 Abs. 9 oder Art. 67).

Artikel 61 Gegenseitige Amtshilfe (1) Die Aufsichtsbehörden übermitteln einander maßgebliche Informationen und gewähren einander Amtshilfe, um diese Verordnung einheitlich durchzuführen und anzuwenden, und treffen Vorkehrungen für eine wirksame Zusammenarbeit. Die Amtshilfe bezieht sich insbesondere auf Auskunftsersuchen und aufsichtsbezogene Maßnahmen, beispielsweise Ersuchen um vorherige Genehmigungen und eine vorherige Zurateziehung, um Vornahme von Nachprüfungen und Untersuchungen. (2) Jede Aufsichtsbehörde ergreift alle geeigneten Maßnahmen, um einem Ersuchen einer anderen Aufsichtsbehörde unverzüglich und spätestens innerhalb eines Monats nach Eingang des Ersuchens nachzukommen. Dazu kann insbesondere auch die Übermittlung maßgeblicher Informationen über die Durchführung einer Untersuchung gehören. (3) Amtshilfeersuchen enthalten alle erforderlichen Informationen, einschließlich Zweck und Begründung des Ersuchens. Die übermittelten Informationen werden ausschließlich für den Zweck verwendet, für den sie angefordert wurden. (4) Die ersuchte Aufsichtsbehörde, lehnt das Ersuchen nur ab, wenn (a) sie für den Gegenstand des Ersuchens oder für die Maßnahmen, die sie durchführen soll, nicht zuständig ist oder 1262

|

Roggenkamp

Gegenseitige Amtshilfe | Art. 61 DSGVO

(b) ein Eingehen auf das Ersuchen gegen diese Verordnung verstoßen würde oder gegen das Unionsrecht oder das Recht der Mitgliedstaaten, dem die Aufsichtsbehörde, bei der das Ersuchen eingeht, unterliegt. (5) Die ersuchte Aufsichtsbehörde informiert die ersuchende Aufsichtsbehörde über die Ergebnisse oder gegebenenfalls über den Fortgang der Maßnahmen, die getroffen wurden, um dem Ersuchen nachzukommen. Die ersuchte Aufsichtsbehörde erläutert gemäß Absatz 4 die Gründe für die Ablehnung des Ersuchens. (6) Die ersuchten Aufsichtsbehörden übermitteln die Informationen, um die von einer anderen Aufsichtsbehörde ersucht wurde, in der Regel auf elektronischem Wege unter Verwendung eines standardisierten Formats. (7) Ersuchte Aufsichtsbehörden verlangen für Maßnahmen, die sie aufgrund eines Amtshilfeersuchens getroffen haben, keine Gebühren. Die Aufsichtsbehörden können untereinander Regeln vereinbaren, um einander in Ausnahmefällen besondere aufgrund der Amtshilfe entstandene Ausgaben zu erstatten. (8) Erteilt eine ersuchte Aufsichtsbehörde nicht binnen eines Monats nach Eingang des Ersuchens einer anderen Aufsichtsbehörde die Informationen gemäß Absatz 5, so kann die ersuchende Aufsichtsbehörde eine einstweilige Maßnahme im Hoheitsgebiet ihres Mitgliedstaats gemäß Artikel 55 Absatz 1 ergreifen. In diesem Fall wird von einem dringenden Handlungsbedarf gemäß Artikel 66 Absatz 1 ausgegangen, der einen im Dringlichkeitsverfahren angenommenen verbindlichen Beschluss des Ausschuss gemäß Artikel 66 Absatz 2 erforderlich macht. (9) Die Kommission kann im Wege von Durchführungsrechtsakten Form und Verfahren der Amtshilfe nach diesem Artikel und die Ausgestaltung des elektronischen Informationsaustauschs zwischen den Aufsichtsbehörden sowie zwischen den Aufsichtsbehörden und dem Ausschuss, insbesondere das in Absatz 6 des vorliegenden Artikels genannte standardisierte Format, festlegen. Diese Durchführungsrechtsakte werden gemäß dem in Artikel 93 Absatz 2 genannten Prüfverfahren erlassen. I. II. 1. 2.

Einleitung . . . . . . . . . . . . . . . Amtshilfe . . . . . . . . . . . . . . . Amtshilfemaßnahmen . . . . . . Verfahren (Abs. 2–6) a) Schritt 1: Amtshilfeersuchen (Abs. 3) . . . . . . . . . . . . . . . b) Schritt 2: Annahme oder Ablehnung (Abs. 4, 5) . . . .

. . .

1 2 3

.

4

.

5

c) Schritt 3: Maßnahmen und Informationsaustausch (Abs. 2, 5) . . . . . . . . . . . . 3. Formate (Abs. 6) . . . . . . . . . 4. Kostentragung (Abs. 7) . . . . . 5. Untätigkeit (Abs. 8) . . . . . . .

Roggenkamp

|

. . . .

. . . .

6 7 8 9

1263

Art. 61 DSGVO | Zusammenarbeit und Kohärenz I. Einleitung 1 Neben der Zusammenarbeit sind Informationsaustausch und die Amtshilfe zwi-

schen den Aufsichtsbehörden ein wichtiges Instrument bei der einheitlichen Durchsetzung der DSGVO. Grundsätzlich ist die örtliche Zuständigkeit der Aufsichtsbehörden beschränkt. Wenn Amtshilfebemühungen scheitern, kann auch die unzuständige Aufsichtsbehörde eigene (einstweilige) Maßnahmen (vgl. Art. 55 Abs. 1) erlassen, vgl. auch Erwägungsgrund 133.

II. Amtshilfe 2 Art. 61 stellt zunächst klar, dass sowohl Informationsaustausch als auch eine

Amtshilfe zwischen Aufsichtsbehörden bereits aufgrund der DSGVO möglich ist. Eine separate Vereinbarung zwischen den Mitgliedstaaten oder ähnliches ist nicht erforderlich. Allerdings ist Art. 61 nicht abschließend. Nach Art. 61 Abs. 9 kann die Kommission Form- und Verfahrensregelungen sowie Regelungen zum elektronischen Informationsaustausch als Durchführungsrechtsakt treffen. 1. Amtshilfemaßnahmen

3 Als Beispiel für mögliche Amtshilfemaßnahmen nennt Abs. 1 Auskunftsersu-

chen und aufsichtsbezogene Maßnahmen „beispielsweise Ersuchen um vorherige Genehmigungen und eine vorherige Konsultation, um Vornahme von Nachprüfungen und Untersuchungen“. Diese Aufzählung ist jedoch nicht abschließend. Aus Abs. 8 und dem dortigen Verweis auf Art. 55 Abs. 1 lässt sich folgern, dass die gesamte Bandbreite der Maßnahmen, die der um Amtshilfe ersuchenden Aufsichtsbehörde in ihrem Mitgliedstaat möglich ist, auch von der um Amtshilfe ersuchten Aufsichtsbehörde erbeten werden kann. In der Regel wird es sich bei Amtshilfeersuchen jedoch um informatorische Ersuchen handeln. 2. Verfahren (Abs. 2–6) a) Schritt 1: Amtshilfeersuchen (Abs. 3)

4 Am Anfang des Amtshilfeverfahrens steht das in Abs. 3 geregelte Amtshilfeer-

suchen. Dieses hat so substantiiert wie möglich zu erfolgen. Alle für die Durchführung erforderlichen Informationen sind von der ersuchenden Aufsichtsbehörde mitzuteilen. Daneben ist die um Amtshilfe ersuchte Aufsichtsbehörde über Zweck und Grund des Ersuchens aufzuklären. Alle übermittelten Informationen dürfen nur für Zwecke der Amtshilfe verwendet werden, Abs. 3 Satz 2.

1264

|

Roggenkamp

Gegenseitige Amtshilfe | Art. 61 DSGVO

b) Schritt 2: Annahme oder Ablehnung (Abs. 4, 5) Nunmehr muss die um Amtshilfe ersuchte Aufsichtsbehörde darüber entschei- 5 den, ob sie das Ersuchen annimmt oder ablehnt. Die Möglichkeiten der Ablehnung sind durch Abs. 4 stark begrenzt. Lediglich Unzuständigkeit (Buchst. a) oder Verstoß gegen Unions- oder nationales Recht (Buchst. b) sind zulässige Ablehnungsgründe. Bei einer Ablehnung sind die Ablehnungsgründe zu erläutern (Abs. 5 Satz 2). c) Schritt 3: Maßnahmen und Informationsaustausch (Abs. 2, 5) Die um Amtshilfe ersuchte Aufsichtsbehörde hat, wenn keine Gründe für die 6 Ablehnung vorliegen, alle zur Zielerreichung geeigneten Maßnahmen zu ergreifen. Die Amtshilfemaßnahmen müssen unverzüglich, also ohne schuldhaftes Zögern, spätestens aber einen Monat nach Eingang des Ersuchens begonnen werden. Abs. 5 bestimmt, dass über die getroffenen Maßnahmen und die Ergebnisse der Maßnahmen zu informieren ist, vgl. auch Abs. 2 Satz 2. Insbesondere wenn die Maßnahmen einen Monat nach Eingang des Ersuchens noch nicht abgeschlossen sind, ist eine Mitteilung hierüber mit Blick auf die in Abs. 8 geregelte Folge (vermeintlicher) Untätigkeit (dazu sogleich) erforderlich. 3. Formate (Abs. 6) Grundsätzlich sollen Informationen auf elektronischem Weg und in einem stan- 7 dardisierten Format ausgetauscht werden. Dieses Format kann durch die Kommission festgelegt werden (vgl. Abs. 9). 4. Kostentragung (Abs. 7) Grundsätzlich muss die um Amtshilfe ersuchte Aufsichtsbehörde die für die 8 Amtshilfe entstandenen Kosten selbst tragen. Nach Abs. 7 können die Aufsichtsbehörden jedoch untereinander Kostentragungsregelungen für „besondere Ausgaben“ vereinbaren. 5. Untätigkeit (Abs. 8) Bei Untätigkeit der um Amtshilfe ersuchten Aufsichtsbehörde, d.h. wenn diese 9 nicht binnen eines Monats nach Zugang des Amtshilfeersuchens zumindest mit der Amtshilfemaßnahme begonnen und die Information hierüber erteilt hat, ist eine einstweilige Maßnahme der Amtshilfe suchenden Behörde zulässig. In Betracht kommen hierbei alle Maßnahmen, die die eigentlich zuständige Behörde auch treffen dürfte1. 1 Vgl. Erwägungsgrund 133.

Roggenkamp

|

1265

Art. 62 DSGVO | Zusammenarbeit und Kohärenz

Artikel 62 Gemeinsame Maßnahmen der Aufsichtsbehörden (1) Die Aufsichtsbehörden führen gegebenenfalls gemeinsame Maßnahmen einschließlich gemeinsamer Untersuchungen und gemeinsamer Durchsetzungsmaßnahmen durch, an denen Mitglieder oder Bedienstete der Aufsichtsbehörden anderer Mitgliedstaaten teilnehmen. (2) Verfügt der Verantwortliche oder der Auftragsverarbeiter über Niederlassungen in mehreren Mitgliedstaaten oder werden die Verarbeitungsvorgänge voraussichtlich auf eine bedeutende Zahl betroffener Personen in mehr als einem Mitgliedstaat erhebliche Auswirkungen haben werden, ist die Aufsichtsbehörde jedes dieser Mitgliedstaaten berechtigt, an den gemeinsamen Maßnahmen teilzunehmen. Die gemäß Artikel 56 Absatz 1 oder Absatz 4 zuständige Aufsichtsbehörde lädt die Aufsichtsbehörde jedes dieser Mitgliedstaaten zur Teilnahme an den gemeinsamen Maßnahmen ein und antwortet unverzüglich auf das Ersuchen einer Aufsichtsbehörde um Teilnahme. (3) Eine Aufsichtsbehörde kann gemäß dem Recht des Mitgliedstaats und mit Genehmigung der unterstützenden Aufsichtsbehörde den an den gemeinsamen Maßnahmen beteiligten Mitgliedern oder Bediensteten der unterstützenden Aufsichtsbehörde Befugnisse einschließlich Untersuchungsbefugnisse übertragen oder, soweit dies nach dem Recht des Mitgliedstaats der einladenden Aufsichtsbehörde zulässig ist, den Mitgliedern oder Bediensteten der unterstützenden Aufsichtsbehörde gestatten, ihre Untersuchungsbefugnisse nach dem Recht des Mitgliedstaats der unterstützenden Aufsichtsbehörde auszuüben. Diese Untersuchungsbefugnisse können nur unter der Leitung und in Gegenwart der Mitglieder oder Bediensteten der einladenden Aufsichtsbehörde ausgeübt werden. Die Mitglieder oder Bediensteten der unterstützenden Aufsichtsbehörde unterliegen dem Recht des Mitgliedstaats der einladenden Aufsichtsbehörde. (4) Sind gemäß Absatz 1 Bedienstete einer unterstützenden Aufsichtsbehörde in einem anderen Mitgliedstaat im Einsatz, so übernimmt der Mitgliedstaat der einladenden Aufsichtsbehörde nach Maßgabe des Rechts des Mitgliedstaats, in dessen Hoheitsgebiet der Einsatz erfolgt, die Verantwortung für ihr Handeln, einschließlich der Haftung für alle von ihnen bei ihrem Einsatz verursachten Schäden. (5) Der Mitgliedstaat, in dessen Hoheitsgebiet der Schaden verursacht wurde, ersetzt diesen Schaden so, wie er ihn ersetzen müsste, wenn seine eigenen Bediensteten ihn verursacht hätten. Der Mitgliedstaat der unterstützenden Aufsichtsbehörde, deren Bedienstete im Hoheitsgebiet eines anderen Mitgliedstaats einer Person Schaden zugefügt haben, erstattet diesem anderen Mitgliedstaat den Gesamtbetrag des Schadenersatzes, den dieser an die Berechtigten geleistet hat. 1266

|

Roggenkamp

Gemeinsame Maßnahmen der Aufsichtsbehörden | Art. 62 DSGVO

(6) Unbeschadet der Ausübung seiner Rechte gegenüber Dritten und mit Ausnahme des Absatzes 5 verzichtet jeder Mitgliedstaat in dem Fall des Absatzes 1 darauf, den in Absatz 4 genannten Betrag des erlittenen Schadens anderen Mitgliedstaaten gegenüber geltend zu machen. (7) Ist eine gemeinsame Maßnahme geplant und kommt eine Aufsichtsbehörde binnen eines Monats nicht der Verpflichtung nach Absatz 2 Satz 2 des vorliegenden Artikels nach, so können die anderen Aufsichtsbehörden eine einstweilige Maßnahme im Hoheitsgebiet ihres Mitgliedstaats gemäß Artikel 55 ergreifen. In diesem Fall wird von einem dringenden Handlungsbedarf gemäß Artikel 66 Absatz 1 ausgegangen, der eine im Dringlichkeitsverfahren angenommene Stellungnahme oder einen im Dringlichkeitsverfahren angenommenen verbindlichen Beschluss des Ausschusses gemäß Artikel 66 Absatz 2 erforderlich macht. I. Gemeinsame Maßnahmen . . . . II. Grenzüberschreitende Betroffenheit . . . . . . . . . . . . .

1 2

III. Befugnisse und geltendes Recht . . . . . . . . . . . . . . . . . . . IV. Haftung . . . . . . . . . . . . . . . . .

4 7

I. Gemeinsame Maßnahmen Auch in anderen als in den Art. 60 und 61 beschriebenen Fällen kann eine Zu- 1 sammenarbeit mehrerer Aufsichtsbehörden geboten und sinnvoll sein. Nach Art. 62 Abs. 1 sollen gemeinsame Maßnahmen durchgeführt werden, wenn das im konkreten Fall sinnvoll ist. Beispielhaft werden gemeinsame Untersuchungen oder gemeinsame Durchsetzungsmaßnahmen genannt.

II. Grenzüberschreitende Betroffenheit Im Falle einer grenzüberschreitenden Auftragsdatenverarbeitung und in Fällen 2 in denen ein Verarbeitungsvorgang „voraussichtlich auf eine bedeutende Zahl betroffener Personen in mehr als einem Mitgliedstaat erhebliche Auswirkungen haben“ wird, lädt nach Abs. 2 die nach Art. 56 Abs. 1 oder Abs. 4 zuständige Aufsichtsbehörde die Aufsichtsbehörden aus den anderen betroffenen Mitgliedstaaten ein, an gemeinsamen Maßnahmen teilzunehmen („einladende Aufsichtsbehörde“). Auf ein entsprechendes Ersuchen soll von der eingeladenen Aufsichtsbehörde („unterstützende Aufsichtsbehörde“) unverzüglich reagiert werden. Der Begriff der Einladung ist irreführend, da er einen Entscheidungsspielraum suggeriert, der der „einladenden Behörde“ nicht eingeräumt ist. Wenn die in Abs. 2 genannten Voraussetzungen vorliegen ist die „unterstützende Aufsichtsbehörde“ zur Teilnahme an gemeinsamen Maßnahmen „berechtigt“. Bei Untätigkeit der nach Abs. 2 Satz 2 verpflichteten Aufsichtsbehörde von 3 mehr als einem Monat, ist die einzuladende Aufsichtsbehörde nach Abs. 7 beRoggenkamp

|

1267

Art. 62 DSGVO | Zusammenarbeit und Kohärenz rechtigt einstweilige Maßnahmen im fremden Hoheitsgebiet zu ergreifen. Zulässig sind vorläufige Maßnahmen die dem Schutz der Rechte und Freiheit der betroffenen Personen dienen (vgl. für einstweilige Maßnahmen im eigenen Mitgliedstaat Erwägungsgrund 137). Die maximale Dauer wird entsprechend Art. 66 Abs. 1 mit maximal drei Monaten anzusetzen sein. Ein „dringender Handlungsbedarf“ gemäß Art. 66 Abs. 1 wird durch Abs. 7 fingiert. Zudem ist der Ausschuss mit der Angelegenheit zu befassen. Nach Abs. 7 ist „eine im Dringlichkeitsverfahren angenommene Stellungnahme oder ein[en] im Dringlichkeitsverfahren angenommene[n]r verbindliche[n]r Beschluss des Ausschusses gemäß Artikel 66 Absatz 2 erforderlich“. 4 Ob eine Verarbeitung „erhebliche Auswirkungen auf betroffene Personen in mehr

als einem Mitgliedstaat hat“ wird anhand von Leitlinien zu beurteilen sein, deren Schaffung nach Erwägungsgrund 124 dem Europäischen Datenschutzausschuss im Rahmen seiner Aufgaben in Bezug auf die Herausgabe von Leitlinien zu allen Fragen im Zusammenhang mit der Anwendung dieser Verordnung obliegt.

III. Befugnisse und geltendes Recht 5 Die Übertragung von Befugnissen durch eine Aufsichtsbehörde auf Mitglieder

oder Bedienstete der unterstützenden Aufsichtsbehörden ist nach Abs. 3 (im Rahmen des nationalen Rechts der übertragenden Aufsichtsbehörde) zulässig, wenn die unterstützende Aufsichtsbehörde zustimmt.

6 Die einladende Aufsichtsbehörde kann den Mitgliedern oder Bediensteten der

unterstützenden Aufsichtsbehörde (im Rahmen des nationalen Rechts der einladenden Aufsichtsbehörde) gestatten, ihre Untersuchungsbefugnisse nach eigenem nationalen Recht auszuüben. Allerdings bedarf es bei der Ausübung der Untersuchungsbefugnisse der Leitung und Gegenwart der einladenden Aufsichtsbehörde (bzw. ihrer Mitglieder und Bediensteten). Das nationale Recht der einladenden Aufsichtsbehörde gilt auch für die Mitglieder und Bediensteten der unterstützenden Aufsichtsbehörde.

IV. Haftung 7 Für den Fall, dass Bedienstete im Rahmen einer gemeinsamen Maßnahme in ei-

nem anderen Mitgliedstaat tätig sind, bestimmt Abs. 4, dass die „Verantwortung“ für deren „Handeln“ bei der einladenden Aufsichtsbehörde liegt. Sinn und Zweck dieser Regelung ist es offensichtlich, dem Geschädigten eine einfache Möglichkeit der Schadloshaltung zu bieten. Ausdrücklich ist hiervon die Schadensersatzhaftung umfasst. Der Begriff der Haftung dürfte sich aber auch auf Beseitigung und Unterlassung erstrecken. Maßgeblich für die Beurteilung von entsprechenden Ansprüchen ist das Recht des Mitgliedstaates, in dessen Hoheitsgebiet die Bediensteten im Rahmen der gemeinsamen Maßnahme handeln (oder unterlassen). 1268

|

Roggenkamp

Kohärenzverfahren | Art. 63 DSGVO

Schadensersatzpflichtig ist nach Abs. 5 Satz 1 der „Mitgliedstaat, in dessen Ho- 8 heitsgebiet der Schaden verursacht wurde“. Er wird (auch mit Blick auf das anzuwendende Recht) so behandelt, als hätte ein eigener Bediensteter den Schaden verursacht und muss zunächst entsprechend Schadensersatz an den Verletzten leisten. Es besteht ein Erstattungsanspruch des leistenden Mitgliedstaates gegenüber dem Mitgliedstaat der unterstützenden Aufsichtsbehörde. Im Übrigen besteht kein Erstattungsanspruch (vgl. Abs. 6). Ob durch den Geschädigten alternativ auch der Mitgliedstaat der unterstützen- 9 den Aufsichtsbehörde unmittelbar für Fehlverhalten der eigenen Bediensteten in Anspruch genommen werden kann, ist nicht eindeutig. Mit Blick auf den hier unterstellten Telos der Regelung – einfache Möglichkeit der Schadloshaltung – ist jedenfalls dann eine solche alternative Inanspruchnahme zuzubilligen, wenn der Geschädigte bei Beschränkung der Inanspruchnahme des Mitgliedstaates der einladenden Aufsichtsbehörde rechtlich oder faktisch schlechter gestellt würde.

Abschnitt 2 Kohärenz

Artikel 63 Kohärenzverfahren Um zur einheitlichen Anwendung dieser Verordnung in der gesamten Union beizutragen, arbeiten die Aufsichtsbehörden im Rahmen des in diesem Abschnitt beschriebenen Kohärenzverfahrens untereinander und gegebenenfalls mit der Kommission zusammen. Schrifttum: Gierschmann, Was „bringt“ deutschen Unternehmen die DSGVO?, ZD 2016, 51; Härting, Starke Behörden, schwaches Recht – der neue EU-Datenschutzentwurf, BB 2012, 459; Nguyen, Die zukünftige Datenschutzaufsicht in Europa, ZD 2015, 265; Schaar, Datenschutz-Grundverordnung: Arbeitsauftrag für den deutschen Gesetzgeber, PinG 2016, 62; Stentzel, Das Grundrecht auf …?, PinG 2015, 185; Voßhoff/Hermerschmidt, Endlich! – Was bringt uns die Datenschutz-Grundverordnung? PinG 2016, 56.

Art. 63 ff. legen ein Verfahren zur Sicherung der einheitlichen Anwendung der 1 DSGVO in der gesamten EU fest (Kohärenzverfahren). Die Einheitlichkeit der Rechtsauslegung und -anwendung (s. hierzu auch Komm. zu Art. 56 DSGVO Rz. 1) wird im Rahmen des Kohärenzverfahrens durch den EDSA sichergestellt, der als Einrichtung mit eigener Rechtspersönlichkeit aus den Leitern der Aufsichtsbehörden der Mitgliedstaaten und dem Europäischen Datenschutzbeauftragten besteht (s. Komm. zu Art. 68–76 DSGVO Rz. 4 ff.). Roggenkamp/Hullen

|

1269

Kohärenzverfahren | Art. 63 DSGVO

Schadensersatzpflichtig ist nach Abs. 5 Satz 1 der „Mitgliedstaat, in dessen Ho- 8 heitsgebiet der Schaden verursacht wurde“. Er wird (auch mit Blick auf das anzuwendende Recht) so behandelt, als hätte ein eigener Bediensteter den Schaden verursacht und muss zunächst entsprechend Schadensersatz an den Verletzten leisten. Es besteht ein Erstattungsanspruch des leistenden Mitgliedstaates gegenüber dem Mitgliedstaat der unterstützenden Aufsichtsbehörde. Im Übrigen besteht kein Erstattungsanspruch (vgl. Abs. 6). Ob durch den Geschädigten alternativ auch der Mitgliedstaat der unterstützen- 9 den Aufsichtsbehörde unmittelbar für Fehlverhalten der eigenen Bediensteten in Anspruch genommen werden kann, ist nicht eindeutig. Mit Blick auf den hier unterstellten Telos der Regelung – einfache Möglichkeit der Schadloshaltung – ist jedenfalls dann eine solche alternative Inanspruchnahme zuzubilligen, wenn der Geschädigte bei Beschränkung der Inanspruchnahme des Mitgliedstaates der einladenden Aufsichtsbehörde rechtlich oder faktisch schlechter gestellt würde.

Abschnitt 2 Kohärenz

Artikel 63 Kohärenzverfahren Um zur einheitlichen Anwendung dieser Verordnung in der gesamten Union beizutragen, arbeiten die Aufsichtsbehörden im Rahmen des in diesem Abschnitt beschriebenen Kohärenzverfahrens untereinander und gegebenenfalls mit der Kommission zusammen. Schrifttum: Gierschmann, Was „bringt“ deutschen Unternehmen die DSGVO?, ZD 2016, 51; Härting, Starke Behörden, schwaches Recht – der neue EU-Datenschutzentwurf, BB 2012, 459; Nguyen, Die zukünftige Datenschutzaufsicht in Europa, ZD 2015, 265; Schaar, Datenschutz-Grundverordnung: Arbeitsauftrag für den deutschen Gesetzgeber, PinG 2016, 62; Stentzel, Das Grundrecht auf …?, PinG 2015, 185; Voßhoff/Hermerschmidt, Endlich! – Was bringt uns die Datenschutz-Grundverordnung? PinG 2016, 56.

Art. 63 ff. legen ein Verfahren zur Sicherung der einheitlichen Anwendung der 1 DSGVO in der gesamten EU fest (Kohärenzverfahren). Die Einheitlichkeit der Rechtsauslegung und -anwendung (s. hierzu auch Komm. zu Art. 56 DSGVO Rz. 1) wird im Rahmen des Kohärenzverfahrens durch den EDSA sichergestellt, der als Einrichtung mit eigener Rechtspersönlichkeit aus den Leitern der Aufsichtsbehörden der Mitgliedstaaten und dem Europäischen Datenschutzbeauftragten besteht (s. Komm. zu Art. 68–76 DSGVO Rz. 4 ff.). Roggenkamp/Hullen

|

1269

Art. 64 DSGVO | Zusammenarbeit und Kohärenz 2 Der EDSA gewährleistet die einheitliche Rechtsanwendung durch die Abgabe

von Stellungnahmen (Art. 64) und – in Streitfällen – durch verbindliche Beschlüsse (Art. 65). Art. 66 ermöglicht bei dringendem Handlungsbedarf den Erlass einstweiliger Maßnahmen (s. Komm. zu Art. 66 DSGVO Rz. 1) und ein beschleunigtes Verfahren zur Erlangung einer Stellungnahme bzw. eines verbindlichen Beschlusses des EDSA. Maßgeblich für diesen Artikel sind die Erwägungsgründe 135–137.

Artikel 64 Stellungnahme Ausschusses (1) Der Ausschuss gibt eine Stellungnahme ab, wenn die zuständige Aufsichtsbehörde beabsichtigt, eine der nachstehenden Maßnahmen zu erlassen. Zu diesem Zweck übermittelt die zuständige Aufsichtsbehörde dem Ausschuss den Entwurf des Beschlusses, wenn dieser a) der Annahme einer Liste der Verarbeitungsvorgänge dient, die der Anforderung einer Datenschutz-Folgenabschätzung gemäß Artikel 35 Absatz 4 unterliegen, b) eine Angelegenheit gemäß Artikel 40 Absatz 7 und damit die Frage betrifft, ob ein Entwurf von Verhaltensregeln oder eine Änderung oder Ergänzung von Verhaltensregeln mit dieser Verordnung in Einklang steht, c) der Billigung der Kriterien für die Akkreditierung einer Stelle nach Artikel 41 Absatz 3 oder einer Zertifizierungsstelle nach Artikel 43 Absatz 3 dient, d) der Festlegung von Standard-Datenschutzklauseln gemäß Artikel 46 Absatz 2 Buchstabe d und Artikel 28 Absatz 8 dient, e) der Genehmigung von Vertragsklauseln gemäß Artikels 46 Absatz 3 Buchstabe a dient, oder f) der Annahme verbindlicher interner Vorschriften im Sinne von Artikel 47 dient. (2) Jede Aufsichtsbehörde, der Vorsitz des Ausschuss oder die Kommission können beantragen, dass eine Angelegenheit mit allgemeiner Geltung oder mit Auswirkungen in mehr als einem Mitgliedstaat vom Ausschuss geprüft wird, um eine Stellungnahme zu erhalten, insbesondere wenn eine zuständige Aufsichtsbehörde den Verpflichtungen zur Amtshilfe gemäß Artikel 61 oder zu gemeinsamen Maßnahmen gemäß Artikel 62 nicht nachkommt. (3) In den in den Absätzen 1 und 2 genannten Fällen gibt der Ausschuss eine Stellungnahme zu der Angelegenheit ab, die ihm vorgelegt wurde, sofern er nicht bereits eine Stellungnahme zu derselben Angelegenheit abgegeben hat. 1270

|

Hullen

Art. 64 DSGVO | Zusammenarbeit und Kohärenz 2 Der EDSA gewährleistet die einheitliche Rechtsanwendung durch die Abgabe

von Stellungnahmen (Art. 64) und – in Streitfällen – durch verbindliche Beschlüsse (Art. 65). Art. 66 ermöglicht bei dringendem Handlungsbedarf den Erlass einstweiliger Maßnahmen (s. Komm. zu Art. 66 DSGVO Rz. 1) und ein beschleunigtes Verfahren zur Erlangung einer Stellungnahme bzw. eines verbindlichen Beschlusses des EDSA. Maßgeblich für diesen Artikel sind die Erwägungsgründe 135–137.

Artikel 64 Stellungnahme Ausschusses (1) Der Ausschuss gibt eine Stellungnahme ab, wenn die zuständige Aufsichtsbehörde beabsichtigt, eine der nachstehenden Maßnahmen zu erlassen. Zu diesem Zweck übermittelt die zuständige Aufsichtsbehörde dem Ausschuss den Entwurf des Beschlusses, wenn dieser a) der Annahme einer Liste der Verarbeitungsvorgänge dient, die der Anforderung einer Datenschutz-Folgenabschätzung gemäß Artikel 35 Absatz 4 unterliegen, b) eine Angelegenheit gemäß Artikel 40 Absatz 7 und damit die Frage betrifft, ob ein Entwurf von Verhaltensregeln oder eine Änderung oder Ergänzung von Verhaltensregeln mit dieser Verordnung in Einklang steht, c) der Billigung der Kriterien für die Akkreditierung einer Stelle nach Artikel 41 Absatz 3 oder einer Zertifizierungsstelle nach Artikel 43 Absatz 3 dient, d) der Festlegung von Standard-Datenschutzklauseln gemäß Artikel 46 Absatz 2 Buchstabe d und Artikel 28 Absatz 8 dient, e) der Genehmigung von Vertragsklauseln gemäß Artikels 46 Absatz 3 Buchstabe a dient, oder f) der Annahme verbindlicher interner Vorschriften im Sinne von Artikel 47 dient. (2) Jede Aufsichtsbehörde, der Vorsitz des Ausschuss oder die Kommission können beantragen, dass eine Angelegenheit mit allgemeiner Geltung oder mit Auswirkungen in mehr als einem Mitgliedstaat vom Ausschuss geprüft wird, um eine Stellungnahme zu erhalten, insbesondere wenn eine zuständige Aufsichtsbehörde den Verpflichtungen zur Amtshilfe gemäß Artikel 61 oder zu gemeinsamen Maßnahmen gemäß Artikel 62 nicht nachkommt. (3) In den in den Absätzen 1 und 2 genannten Fällen gibt der Ausschuss eine Stellungnahme zu der Angelegenheit ab, die ihm vorgelegt wurde, sofern er nicht bereits eine Stellungnahme zu derselben Angelegenheit abgegeben hat. 1270

|

Hullen

Stellungnahme Ausschuss | Art. 64 DSGVO

Diese Stellungnahme wird binnen acht Wochen mit der einfachen Mehrheit der Mitglieder des Ausschusses angenommen. Diese Frist kann unter Berücksichtigung der Komplexität der Angelegenheit um weitere sechs Wochen verlängert werden. Was den in Absatz 1 genannten Beschlussentwurf angeht, der gemäß Absatz 5 den Mitgliedern des Ausschusses übermittelt wird, so wird angenommen, dass ein Mitglied, das innerhalb einer vom Vorsitz angegebenen angemessenen Frist keine Einwände erhoben hat, dem Beschlussentwurf zustimmt. (4) Die Aufsichtsbehörden und die Kommission übermitteln unverzüglich dem Ausschuss auf elektronischem Wege unter Verwendung eines standardisierten Formats alle zweckdienlichen Informationen, einschließlich – je nach Fall – einer kurzen Darstellung des Sachverhalts, des Beschlussentwurfs, der Gründe, warum eine solche Maßnahme ergriffen werden muss, und der Standpunkte anderer betroffener Aufsichtsbehörden. (5) Der Vorsitz des Ausschusses unterrichtet unverzüglich auf elektronischem Wege a) unter Verwendung eines standardisierten Formats die Mitglieder des Ausschusses und die Kommission über alle zweckdienlichen Informationen, die ihm zugegangen sind. Soweit erforderlich stellt das Sekretariat des Ausschusses Übersetzungen der zweckdienlichen Informationen zur Verfügung und b) je nach Fall die in den Absätzen 1 und 2 genannte Aufsichtsbehörde und die Kommission über die Stellungnahme und veröffentlicht sie. (6) Die zuständige Aufsichtsbehörde nimmt den in Absatz 1 genannten Beschlussentwurf nicht vor Ablauf der in Absatz 3 genannten Frist an. (7) Die in Absatz 1 genannte Aufsichtsbehörde trägt der Stellungnahme des Ausschusses s weitestgehend Rechnung und teilt dessen Vorsitz binnen zwei Wochen nach Eingang der Stellungnahme auf elektronischem Wege unter Verwendung eines standardisierten Formats mit, ob sie den Beschlussentwurf beibehalten oder ändern wird; gegebenenfalls übermittelt sie den geänderten Beschlussentwurf. (8) Teilt die betroffene Aufsichtsbehörde dem Vorsitz des Ausschusses innerhalb der Frist nach Absatz 7 des vorliegenden Artikels unter Angabe der maßgeblichen Gründe mit, dass sie beabsichtigt, der Stellungnahme des Ausschusses insgesamt oder teilweise nicht zu folgen, so gilt Artikel 65 Absatz 1. I. Einleitung . . . . . . . . . . . . . . . . II. Anlass zur Stellungnahme (Abs. 1 und 2) . . . . . . . . . . . . .

1 3

III. Verfahren (Abs. 3, 5 und 6) . . . IV. Weiteres Vorgehen nach Stellungnahme (Abs. 7 und 8)

5 7

Schrifttum: Siehe Art. 63 DSGVO.

Hullen

|

1271

Art. 64 DSGVO | Zusammenarbeit und Kohärenz I. Einleitung 1 Der EDSA gibt in den in Abs. 1 festgelegten Fällen oder auf Antrag (Abs. 2) eine

Stellungnahme zu geplanten Maßnahmen und Angelegenheiten mit grenzüberschreitender Bedeutung ab. Hierdurch soll gewährleistet werden, dass die Aufsichtsbehörden aller Mitgliedstaaten in die Auslegung der DSGVO eingebunden werden und eine einheitliche Anwendung der Datenschutzregeln stattfindet. Somit wird auch vermieden, dass eine unterschiedliche Genehmigungspraxis, z.B. im Rahmen von Verhaltensregeln nach Art. 38, zu einem „Run“ auf die Aufsichtsbehörden der Mitgliedstaaten führt, die die entsprechenden Regelungen der DSGVO eher großzügig auslegen und anwenden. Für die Aufsichtsbehörden bedeutet das kontinuierliche und unverzichtbare Engagement im EDSA einen erheblichen Aufgabenzuwachs, den es zu bewältigen gilt (s. Komm. zu Art. 57 DSGVO Rz. 1). Maßgeblich für diesen Artikel sind die Erwägungsgründe 135 und 136.

2 An der Entscheidungsfindung durch den Ausschuss sollten (Auftrags-)Datenver-

arbeiter und andere Interessengruppen beteiligt werden (z.B. im Rahmen eines Konsultationsverfahrens, s.a. Art. 70 Abs. 4). Nur hierdurch kann sichergestellt werden, dass der Ausschuss alle wesentlichen Belange, insbesondere praktischer und technischer Natur, im Rahmen seiner Stellungnahmen berücksichtigt.

II. Anlass zur Stellungnahme (Abs. 1 und 2) 3 Der EDSA gibt eine Stellungnahme ab, wenn eine Aufsichtsbehörde beabsich-

tigt, eine der in Abs. 1 aufgezählten Maßnahmen zu treffen, d.h.

– Verarbeitungsvorgänge zu bestimmen, die der Datenschutz-Folgenabschätzung unterliegen (Abs. 1 Buchst. a), – Verhaltensregeln mit Auswirkungen auf mehrere Mitgliedstaaten zu genehmigen (Abs. 1 Buchst. b) bzw. – entsprechende Überwachungsstellen zu akkreditieren (Abs. 1 Buchst. c), – Kriterien aufzustellen, die für eine Zertifizierungsstelle gelten (Abs. 1 Buchst. c), – Standard-Datenschutzklauseln der Auftragsdatenverarbeitung festzulegen (Abs. 1 Buchst. d), – sowie Standarddatenschutz- bzw. Vertragsklauseln und verbindliche unternehmensinterne Vorschriften zum Zwecke der Datenübermittlung an Drittländer festzulegen bzw. zu genehmigen (Abs. 1 Buchst. d–f). 4 Zudem nimmt der EDSA auf Antrag seines Vorsitzes, einer Aufsichtsbehörde

bzw. der Kommission in Grundsatzangelegenheiten oder solchen mit Auswirkungen auf mehrere Mitgliedstaaten Stellung (Abs. 2). Dieses Verfahren wird 1272

|

Hullen

Stellungnahme Ausschuss | Art. 64 DSGVO

auch eingeleitet, wenn eine zur Zusammenarbeit nach Art. 61 oder 62 verpflichtete Behörde untätig bleibt.

III. Verfahren (Abs. 3, 5 und 6) In den Fällen des Abs. 1 haben die Aufsichtsbehörden, die eine der dort genann- 5 ten Maßnahmen erlassen wollen, den entsprechenden Beschlussentwurf (z.B. die Genehmigung von Verhaltensregeln i.S.d. Art. 40 Abs. 7) an den EDSA zu übermitteln. Dies hat unverzüglich und in elektronischer Form unter Angabe aller für die Stellungnahme relevanten Informationen zu geschehen (s. Abs. 5). Der Vorsitz des EDSA sorgt für Weiterleitung des Beschlussentwurfs und aller weiteren relevanten Informationen an die Mitglieder des EDSA sowie an die Europäische Kommission (s. Abs. 5 Buchst. a). Der Vorsitz bestimmt dabei eine angemessene Frist, innerhalb derer die Mitglieder des EDSA Einwände gegen den übermittelten Beschlussentwurf erheben können. Wird innerhalb dieser Frist kein Einwand geltend gemacht, so wird nach Abs. 3 Satz 4 davon ausgegangen, dass das entsprechende Mitglied dem Beschlussentwurf zustimmt. Dabei dürfen die Entscheidungsfristen des Abs. 3 Satz 2 und 3 (s. Rz. 6) nicht überschritten werden. Soweit noch keine Stellungnahme zu derselben Angelegenheit abgegeben wurde, 6 erarbeitet der EDSA eine Stellungnahme, die von den Mitgliedern des EDSA mit einfacher Mehrheit innerhalb von acht Wochen angenommen wird (Abs. 3). Bei besonders komplexen Angelegenheiten kann die Frist nochmals um sechs Wochen verlängert werden, so dass spätestens nach 14 Wochen eine Stellungnahme des EDSA vorliegen muss. Solange hat die Aufsichtsbehörde, die die Stellungnahme i.S.d. Abs. 1 veranlasst hat, mit ihrer abschließenden Entscheidung über eine Maßnahme nach Abs. 1 Buchst. a–f zu warten (Abs. 6). Der Vorsitz des EDSA informiert die Aufsichtsbehörde des Abs. 1 und die Europäische Kommission über die Stellungnahme und veröffentlicht diese (auf den Internetseiten des Ausschusses).

IV. Weiteres Vorgehen nach Stellungnahme (Abs. 7 und 8) Liegt die Stellungnahme des EDSA vor, so hängt das weitere Prozedere davon 7 ab, ob die Stellungnahme das geplante Vorgehen der betroffenen Aufsichtsbehörde deckt, oder ob diese die geplante Maßnahme abweichend von der Stellungnahme erlassen will. Folgt die betroffene Aufsichtsbehörde der Stellungnahme zumindest weitest- 8 gehend (Abs. 7), so teilt sie dies dem Vorsitz des EDSA innerhalb von zwei Wochen nach Eingang der Stellungnahme mit und übermittelt ggf. die im Sinne der Stellungnahme abgeänderte Beschlussfassung. Hierbei wird es zwangsläufig zu Hullen

|

1273

Art. 65 DSGVO | Zusammenarbeit und Kohärenz unterschiedlichen Auffassungen darüber kommen, wann die Aufsichtsbehörden einer Stellungnahme „weitestgehend“ Rechnung tragen und wann eine Nichtbefolgung i.S.d. Abs. 8 vorliegt. 9 Lehnt die Aufsichtsbehörde die Auffassung des EDSA ab (Abs. 8) und folgt sie

dieser daher ganz oder teilweise nicht, so hat sie ebenfalls binnen zwei Wochen den Vorsitz des EDSA zu informieren und die Ablehnung zu begründen. In diesem Fall entscheidet der EDSA im Streitbeilegungsverfahren (Art. 65) in der Regel innerhalb eines weiteren Monats mit Zwei-Drittel-Mehrheit seiner Mitglieder durch verbindlichen Beschluss (s. Komm. zu Art. 65 DSGVO Rz. 8).

Artikel 65 Streitbeilegung durch den Ausschuss (1) Um die ordnungsgemäße und einheitliche Anwendung dieser Verordnung in Einzelfällen sicherzustellen, erlässt der Ausschuss in den folgenden Fällen einen verbindlichen Beschluss: a) wenn eine betroffene Aufsichtsbehörde in einem Fall nach Artikel 60 Absatz 4 einen maßgeblichen und begründeten Einspruch gegen einen Beschlussentwurf der federführenden Behörde eingelegt hat oder die federführende Behörde einen solchen Einspruch als nicht maßgeblich oder nicht begründet abgelehnt hat. Der verbindliche Beschluss betrifft alle Angelegenheiten, die Gegenstand des maßgeblichen und begründeten Einspruchs sind, insbesondere die Frage, ob ein Verstoß gegen diese Verordnung vorliegt; b) wenn es widersprüchliche Standpunkte dazu gibt, welche der betroffenen Aufsichtsbehörden für die Hauptniederlassung zuständig ist, c) wenn eine zuständige Aufsichtsbehörde in den in Artikel 64 Absatz 1 genannten Fällen keine Stellungnahme des Ausschusses einholt oder der Stellungnahme des Ausschusses gemäß Artikel 64 nicht folgt. In diesem Fall kann jede betroffene Aufsichtsbehörde oder die Kommission die Angelegenheit dem Ausschuss vorlegen. (2) Der in Absatz 1 genannte Beschluss wird innerhalb eines Monats nach der Befassung mit der Angelegenheit mit einer Mehrheit von zwei Dritteln der Mitglieder des Ausschusses angenommen. Diese Frist kann wegen der Komplexität der Angelegenheit um einen weiteren Monat verlängert werden. Der in Absatz 1 genannte Beschluss wird begründet und an die federführende Aufsichtsbehörde und alle betroffenen Aufsichtsbehörden übermittelt und ist für diese verbindlich. (3) War der Ausschuss nicht in der Lage, innerhalb der in Absatz 2 genannten Fristen einen Beschluss anzunehmen, so nimmt er seinen Beschluss in1274

|

Hullen

Art. 65 DSGVO | Zusammenarbeit und Kohärenz unterschiedlichen Auffassungen darüber kommen, wann die Aufsichtsbehörden einer Stellungnahme „weitestgehend“ Rechnung tragen und wann eine Nichtbefolgung i.S.d. Abs. 8 vorliegt. 9 Lehnt die Aufsichtsbehörde die Auffassung des EDSA ab (Abs. 8) und folgt sie

dieser daher ganz oder teilweise nicht, so hat sie ebenfalls binnen zwei Wochen den Vorsitz des EDSA zu informieren und die Ablehnung zu begründen. In diesem Fall entscheidet der EDSA im Streitbeilegungsverfahren (Art. 65) in der Regel innerhalb eines weiteren Monats mit Zwei-Drittel-Mehrheit seiner Mitglieder durch verbindlichen Beschluss (s. Komm. zu Art. 65 DSGVO Rz. 8).

Artikel 65 Streitbeilegung durch den Ausschuss (1) Um die ordnungsgemäße und einheitliche Anwendung dieser Verordnung in Einzelfällen sicherzustellen, erlässt der Ausschuss in den folgenden Fällen einen verbindlichen Beschluss: a) wenn eine betroffene Aufsichtsbehörde in einem Fall nach Artikel 60 Absatz 4 einen maßgeblichen und begründeten Einspruch gegen einen Beschlussentwurf der federführenden Behörde eingelegt hat oder die federführende Behörde einen solchen Einspruch als nicht maßgeblich oder nicht begründet abgelehnt hat. Der verbindliche Beschluss betrifft alle Angelegenheiten, die Gegenstand des maßgeblichen und begründeten Einspruchs sind, insbesondere die Frage, ob ein Verstoß gegen diese Verordnung vorliegt; b) wenn es widersprüchliche Standpunkte dazu gibt, welche der betroffenen Aufsichtsbehörden für die Hauptniederlassung zuständig ist, c) wenn eine zuständige Aufsichtsbehörde in den in Artikel 64 Absatz 1 genannten Fällen keine Stellungnahme des Ausschusses einholt oder der Stellungnahme des Ausschusses gemäß Artikel 64 nicht folgt. In diesem Fall kann jede betroffene Aufsichtsbehörde oder die Kommission die Angelegenheit dem Ausschuss vorlegen. (2) Der in Absatz 1 genannte Beschluss wird innerhalb eines Monats nach der Befassung mit der Angelegenheit mit einer Mehrheit von zwei Dritteln der Mitglieder des Ausschusses angenommen. Diese Frist kann wegen der Komplexität der Angelegenheit um einen weiteren Monat verlängert werden. Der in Absatz 1 genannte Beschluss wird begründet und an die federführende Aufsichtsbehörde und alle betroffenen Aufsichtsbehörden übermittelt und ist für diese verbindlich. (3) War der Ausschuss nicht in der Lage, innerhalb der in Absatz 2 genannten Fristen einen Beschluss anzunehmen, so nimmt er seinen Beschluss in1274

|

Hullen

Streitbeilegung | Art. 65 DSGVO

nerhalb von zwei Wochen nach Ablauf des in Absatz 2 genannten zweiten Monats mit einfacher Mehrheit der Mitglieder des Ausschusses an. Bei Stimmengleichheit zwischen den Mitgliedern des Ausschusses gibt die Stimme des Vorsitzes den Ausschlag. (4) Die betroffenen Aufsichtsbehörden nehmen vor Ablauf der in den Absätzen 2 und 3 genannten Fristen keinen Beschluss über die dem Ausschuss vorgelegte Angelegenheit an. (5) Der Vorsitz des Ausschusses unterrichtet die betroffenen Aufsichtsbehörden unverzüglich über den in Absatz 1 genannten Beschluss. Er setzt die Kommission hiervon in Kenntnis. Der Beschluss wird unverzüglich auf der Website des Ausschusses veröffentlicht, nachdem die Aufsichtsbehörde den in Absatz 6 genannten endgültigen Beschluss mitgeteilt hat. (6) Die federführende Aufsichtsbehörde oder gegebenenfalls die Aufsichtsbehörde, bei der die Beschwerde eingereicht wurde, trifft den endgültigen Beschluss auf der Grundlage des in Absatz 1 des vorliegenden Artikels genannten Beschlusses unverzüglich und spätestens einen Monat, nachdem der Europäische Datenschutzausschuss seinen Beschluss mitgeteilt hat. Die federführende Aufsichtsbehörde oder gegebenenfalls die Aufsichtsbehörde, bei der die Beschwerde eingereicht wurde, setzt den Ausschuss von dem Zeitpunkt, zu dem ihr endgültiger Beschluss dem Verantwortlichen oder dem Auftragsverarbeiter bzw. der betroffenen Person mitgeteilt wird, in Kenntnis. Der endgültige Beschluss der betroffenen Aufsichtsbehörden wird gemäß Artikel 60 Absätze 7, 8 und 9 angenommen. Im endgültigen Beschluss wird auf den in Absatz 1 genannten Beschluss verwiesen und festgelegt, dass der in Absatz 1 des vorliegenden Artikels genannte Beschluss gemäß Absatz 5 auf der Website des Ausschusses veröffentlicht wird. Dem endgültigen Beschluss wird der in Absatz 1 des vorliegenden Artikels genannte Beschluss beigefügt. I. Einleitung . . . . . . . . . . . . . . . . II. Anlass zur Beschlussfassung (Abs. 1) . . . . . . . . . . . . . . . . . . III. Verfahren . . . . . . . . . . . . . . . .

1 4 5

IV. Weiteres Vorgehen nach Beschlussfassung . . . . . . . . . . . 12 V. Rechtsschutz . . . . . . . . . . . . . . 14

Schrifttum: Siehe Art. 63 DSGVO.

I. Einleitung Mit dem in Art. 65 niedergelegten Streitbeilegungsverfahren des EDSA gibt es 1 erstmals in der Europäischen Union die Möglichkeit, in Streitigkeiten zwischen Datenschutzbehörden mehrerer Mitgliedstaaten bzgl. der Auslegung und Anwendung der Regelungen der DSGVO rechtsverbindlich (s. Abs. 2 Satz 3) durch Beschluss zu entscheiden. Hullen

|

1275

Art. 65 DSGVO | Zusammenarbeit und Kohärenz 2 Ein verbindlicher Beschluss des EDSA wird gemäß Abs. 1 herbeigeführt, wenn

es zu Meinungsverschiedenheiten zwischen federführender und einer anderen betroffenen Aufsichtsbehörde gibt, eine notwendige Stellungnahme des EDSA (s. Komm. zu Art. 64 DSGVO Rz. 3) nicht eingeholt bzw. befolgt wurde oder wenn Aufsichtsbehörden unterschiedlicher Auffassungen über die Zuständigkeit für die Hauptniederlassung sind (s. hierzu Komm. zu Art. 51 f. DSGVO).

3 Der EDSA entscheidet in der Regel innerhalb eines Monats mit einer Zwei-

Drittel-Mehrheit über die Angelegenheit per Beschluss (Abs. 2). Maßgeblich für diesen Artikel sind die Erwägungsgründe 135 und 136.

II. Anlass zur Beschlussfassung (Abs. 1) 4 Der EDSA entscheidet durch verbindlichen Beschluss gemäß Abs. 1 in einer der

folgenden drei Konstellationen:

1. In der Zusammenarbeit der federführenden und betroffenen Aufsichtsbehörde nach Art. 60 kommt es zu unterschiedlichen Auffassungen (Abs. 1 Buchst. a), z.B. bei der Beantwortung der Frage, ob ein Verstoß gegen die DSGVO vorliegt. 2. Es gibt unterschiedliche Auffassungen der betroffenen Behörden über die Zuständigkeit für die Hauptniederlassung des für die Verarbeitung Verantwortlichen (Abs. 1 Buchst. b) und somit darüber, welche die federführende Behörde i.S.d. Art. 56 Abs. 1 (s. Komm. zu Art. 56 DSGVO Rz. 6) ist. 3. Eine zuständige Aufsichtsbehörde hat die Einholung einer Stellungnahme des EDSA nach Art. 64 Abs. 1 (s. Komm. zu Art. 64 DSGVO Rz. 3) unterlassen oder folgt einer Stellungnahme des EDSA i.S.d. Art. 64 nicht (Abs. 1 Buchst c).

III. Verfahren 5 Eine Beschlussfassung i.S.d. Abs. 1 kann auf Betreiben der betroffenen Auf-

sichtsbehörde im Fall des Abs. 1 Buchst. a, der um die Zuständigkeit streitenden Behörden im Falle des Abs. 1 Buchst. b oder einer betroffenen Aufsichtsbehörde bzw. der Europäischen Kommission im Falle des Abs. 1 Buchst. c erfolgen. Zudem kann der EDSA in den Fällen des Abs. 1 auch auf eigene Initiative hin tätig werden.

6 Obwohl eine dem Art. 64 Abs. 5 entsprechende Regelung im Rahmen des Streit-

beilegungsverfahrens fehlt, werden den Mitgliedern des EDSA auch hier zweckmäßigerweise alle relevanten Informationen auf elektronischem Weg zur Verfügung gestellt werden (s. Komm. zu Art. 64 DSGVO Rz. 5). Der Vorsitz des EDSA wird die Mitglieder unverzüglich über die Befassung informieren (s.a. 1276

|

Hullen

Streitbeilegung | Art. 65 DSGVO

Art. 64 Abs. 5), damit ein Beschluss schnellst möglichst herbeigeführt werden kann. Der Beschluss des EDSA wird regelmäßig innerhalb einer Frist von einem Mo- 7 nat nach der Befassung des Ausschusses mit der jeweiligen Angelegenheit verabschiedet werden (Abs. 2). Die besondere Komplexität der dem Beschluss zugrundeliegenden Angelegenheit rechtfertigt eine Fristverlängerung um einen weiteren Monat. Hierbei können tatsächliche oder rechtliche Umstände die Annahme einer Komplexität i.S.d. Abs. 2 begründen. Wie ein entsprechender Beschlussentwurf erarbeitet wird, der mit einer Zwei- 8 Drittel-Mehrheit der Mitglieder des EDSA angenommen werden muss, ist gesetzlich nicht geregelt. Die Verfahrensweise wird in der Geschäftsordnung des EDSA festgelegt (s. Art. 72). Wird ein Beschluss innerhalb der in Abs. 2 genannten Fristen (d.h. spätestens 9 innerhalb von zwei Monaten) mit der erforderlichen Zwei-Drittel-Mehrheit angenommen, so wird er mit Gründen versehen an die federführende Aufsichtsbehörde und alle weiteren betroffenen Behörden übermittelt und ist für diese verbindlich (Abs. 2). Findet sich innerhalb der in Abs. 2 genannten Frist keine notwendige Mehrheit 10 von zwei Dritteln der Mitglieder des EDSA, so greift das Verfahren des Abs. 3. Hiernach entscheidet der EDSA innerhalb zweier weiterer Wochen nach Ablauf der Frist des Abs. 2 (d.h. nach höchstens zwei Monaten) mit einfacher Mehrheit der Mitglieder über einen Beschluss. Sollte es hierbei zu Stimmgleichheit kommen, so entscheidet in diesem Fall die Stimme des Vorsitzes. Bis zu einer verbindlichen Entscheidung des EDSA erlassen die betroffenen 11 Aufsichtsbehörden gemäß Abs. 4 keine eigenen Beschlüsse über die dem Ausschuss vorgelegten Angelegenheiten.

IV. Weiteres Vorgehen nach Beschlussfassung Nach Beschlussfassung unterrichtet der Vorsitz des EDSA die betroffenen Auf- 12 sichtsbehörden unverzüglich über den Beschluss und informiert zudem die Kommission (Abs. 5). Der Beschluss des EDSA wird auf dessen Internetseiten veröffentlicht, nachdem der Beschluss von den entsprechenden Aufsichtsbehörden umgesetzt wurde und deren „endgültiger Beschluss“ (s. Rz. 13) mitgeteilt wurde. Liegt der federführenden Aufsichtsbehörde (bzw. der Aufsichtsbehörde, bei der 13 Beschwerde eingereicht wurde) der Beschluss des EDSA vor, so trifft diese eine abschließende Entscheidung, den „endgültigen Beschluss“ auf Grundlage der verbindlichen Entscheidung des EDSA. Dieser endgültige Beschluss muss unverzüglich, spätestens innerhalb eines Monats nach Übermittlung des verbindlichen Beschlusses des EDSA erlassen werden (Abs. 6 Satz 1). Hierbei gilt das VerfahHullen

|

1277

Art. 66 DSGVO | Zusammenarbeit und Kohärenz ren des Art. 60 Abs. 7–9. Im endgültigen Beschluss ist auf den des EDSA Bezug nehmen (Abs. 6 Satz 4). Letzterer ist dem ersteren beizufügen (Abs. 6 Satz 5). Über den endgültigen Beschluss sowie über den Zeitpunkt, zu dem dieser dem Verantwortlichen, dem Auftragsverarbeiter oder der betroffenen Person zugegangen ist, ist der EDSA zu informieren (Abs. 6 Satz 2, Satz 3 i.V.m. Art. 60 Abs. 7 Satz 1).

V. Rechtsschutz 14 Der endgültige Beschluss der zuständigen Aufsichtsbehörde ergeht in der Regel

in Gestalt eines Verwaltungsaktes, der von den Gerichten der Mitgliedstaaten überprüft werden kann (s.a. Art. 78). Die für die Verarbeitung Verantwortlichen, Auftragsverarbeiter oder Beschwerdeführer können auch im Wege einer Nichtigkeitsklage nach Art. 263 Abs. 4 AEUV gegen den Beschluss des EDSA vorgehen, soweit sie hierdurch unmittelbar und individuell betroffen sind (s. Erwägungsgrund 143). Ansonsten besteht im Wege eines nationalen Gerichtsverfahrens die Möglichkeit der Vorlage an den EuGH nach Art. 267 AEUV1.

15 Die betroffenen Aufsichtsbehörden, die gegen den verbindlichen Beschluss des

EDSA vorgehen wollen, können ebenfalls Nichtigkeitsklage gemäß Art. 263 Abs. 4 AEUV erheben. Eine entsprechende Klagebefugnis wird aufgrund der umfassenden Bindungswirkung des Beschlusses des EDSA auch den Aufsichtsbehörden, die erst durch das Kohärenzverfahren mit der entsprechenden Angelegenheit befasst waren, zuzusprechen sein2.

Artikel 66 Dringlichkeitsverfahren (1) Unter außergewöhnlichen Umständen kann eine betroffene Aufsichtsbehörde abweichend vom Kohärenzverfahren nach Artikel 63, 64 und 65 oder dem Verfahren nach Artikel 60 sofort einstweilige Maßnahmen mit festgelegter Geltungsdauer von höchstens drei Monaten treffen, die in ihrem Hoheitsgebiet rechtliche Wirkung entfalten sollen, wenn sie zu der Auffassung gelangt, dass dringender Handlungsbedarf besteht, um Rechte und Freiheiten von betroffenen Personen zu schützen. Die Aufsichtsbehörde setzt die anderen betroffenen Aufsichtsbehörden, den Ausschuss und die Kommission unverzüglich von diesen Maßnahmen und den Gründen für deren Erlass in Kenntnis. 1 Ausführlich zu den Rechtmitteln Nguyen, ZD 2015, 265 (268). 2 So auch Nguyen, ZD 2015, 265 (268).

1278

|

Hullen

Art. 66 DSGVO | Zusammenarbeit und Kohärenz ren des Art. 60 Abs. 7–9. Im endgültigen Beschluss ist auf den des EDSA Bezug nehmen (Abs. 6 Satz 4). Letzterer ist dem ersteren beizufügen (Abs. 6 Satz 5). Über den endgültigen Beschluss sowie über den Zeitpunkt, zu dem dieser dem Verantwortlichen, dem Auftragsverarbeiter oder der betroffenen Person zugegangen ist, ist der EDSA zu informieren (Abs. 6 Satz 2, Satz 3 i.V.m. Art. 60 Abs. 7 Satz 1).

V. Rechtsschutz 14 Der endgültige Beschluss der zuständigen Aufsichtsbehörde ergeht in der Regel

in Gestalt eines Verwaltungsaktes, der von den Gerichten der Mitgliedstaaten überprüft werden kann (s.a. Art. 78). Die für die Verarbeitung Verantwortlichen, Auftragsverarbeiter oder Beschwerdeführer können auch im Wege einer Nichtigkeitsklage nach Art. 263 Abs. 4 AEUV gegen den Beschluss des EDSA vorgehen, soweit sie hierdurch unmittelbar und individuell betroffen sind (s. Erwägungsgrund 143). Ansonsten besteht im Wege eines nationalen Gerichtsverfahrens die Möglichkeit der Vorlage an den EuGH nach Art. 267 AEUV1.

15 Die betroffenen Aufsichtsbehörden, die gegen den verbindlichen Beschluss des

EDSA vorgehen wollen, können ebenfalls Nichtigkeitsklage gemäß Art. 263 Abs. 4 AEUV erheben. Eine entsprechende Klagebefugnis wird aufgrund der umfassenden Bindungswirkung des Beschlusses des EDSA auch den Aufsichtsbehörden, die erst durch das Kohärenzverfahren mit der entsprechenden Angelegenheit befasst waren, zuzusprechen sein2.

Artikel 66 Dringlichkeitsverfahren (1) Unter außergewöhnlichen Umständen kann eine betroffene Aufsichtsbehörde abweichend vom Kohärenzverfahren nach Artikel 63, 64 und 65 oder dem Verfahren nach Artikel 60 sofort einstweilige Maßnahmen mit festgelegter Geltungsdauer von höchstens drei Monaten treffen, die in ihrem Hoheitsgebiet rechtliche Wirkung entfalten sollen, wenn sie zu der Auffassung gelangt, dass dringender Handlungsbedarf besteht, um Rechte und Freiheiten von betroffenen Personen zu schützen. Die Aufsichtsbehörde setzt die anderen betroffenen Aufsichtsbehörden, den Ausschuss und die Kommission unverzüglich von diesen Maßnahmen und den Gründen für deren Erlass in Kenntnis. 1 Ausführlich zu den Rechtmitteln Nguyen, ZD 2015, 265 (268). 2 So auch Nguyen, ZD 2015, 265 (268).

1278

|

Hullen

Dringlichkeitsverfahren | Art. 66 DSGVO

(2) Hat eine Aufsichtsbehörde eine Maßnahme nach Absatz 1 ergriffen und ist sie der Auffassung, dass dringend endgültige Maßnahmen erlassen werden müssen, kann sie unter Angabe von Gründen im Dringlichkeitsverfahren um eine Stellungnahme oder einen verbindlichen Beschluss des Ausschusses ersuchen. (3) Jede Aufsichtsbehörde kann unter Angabe von Gründen, auch für den dringenden Handlungsbedarf, im Dringlichkeitsverfahren um eine Stellungnahme oder gegebenenfalls einen verbindlichen Beschluss des Ausschusses ersuchen, wenn eine zuständige Aufsichtsbehörde trotz dringenden Handlungsbedarfs keine geeignete Maßnahme getroffen hat, um die Rechte und Freiheiten von betroffenen Personen zu schützen. (4) Abweichend von Artikel 64 Absatz 3 und Artikel 65 Absatz 2 wird eine Stellungnahme oder ein verbindlicher Beschluss im Dringlichkeitsverfahren nach den Absätzen 2 und 3 binnen zwei Wochen mit einfacher Mehrheit der Mitglieder des Ausschusses angenommen. I. Einstweilige Maßnahmen (Abs. 1) . . . . . . . . . . . . . . . . . .

1

II. Beschleunigte Stellungnahme und Beschlussfassung (Abs. 2 und 3) . . . . . . . . . . . . . . . . . . .

3

III. Ersuchen der betroffenen Behörde (Abs. 2) . . . . . . . . . . . IV. Ersuchen anderer Behörden (Abs. 3) . . . . . . . . . . . . . . . . . . V. Frist und Mehrheit (Abs. 4) . . .

4 5 6

Schrifttum: Siehe Art. 63 DSGVO.

I. Einstweilige Maßnahmen (Abs. 1) Art. 66 Abs. 1 regelt ein beschleunigtes Verfahren zum Erlass einstweiliger 1 Maßnahmen in Fällen, in denen aufgrund außergewöhnlicher Umstände ein dringender Handlungsbedarf besteht, um Rechte und Freiheiten von betroffenen Personen zu schützen. In diesen Fällen können betroffene Aufsichtsbehörden aufgrund der dann vermuteten Eilbedürftigkeit abweichend von den herkömmlichen Regeln des Kohärenzverfahrens (Art. 63–65) bzw. zur herkömmlichen Zusammenarbeit zwischen der federführenden Aufsichtsbehörde und den sonstigen betroffenen Aufsichtsbehörden (Art. 60) sofort einstweilig tätig werden. Die einstweilig getroffenen Maßnahmen dürfen höchstens drei Monate aufrechterhalten werden. Bis zum Ende der Frist muss eine Entscheidung im herkömmlichen Kohärenzverfahren oder im Wege der regulären Zusammenarbeit zwischen federführender und betroffener Behörde ergehen. Zudem kann eine beschleunigte Stellungnahme bzw. Beschlussfassung des EDSA verlangt werden. Über den Erlass der Eilmaßnahme und dessen Gründe hat die betroffene Be- 2 hörde alle anderen betroffenen Aufsichtsbehörden, den EDSA und die Europäische Kommission unverzüglich zu informieren (Abs. 1 Satz 2). Maßgeblich für diesen Artikel ist der Erwägungsgrund 137. Hullen

|

1279

Art. 66 DSGVO | Zusammenarbeit und Kohärenz II. Beschleunigte Stellungnahme und Beschlussfassung (Abs. 2 und 3) 3 Die Aufsichtsbehörde, die eine einstweilige Maßnahme i.S.d. Abs. 1 getroffen

hat, kann eine beschleunigte Stellungnahme bzw. Beschlussfassung des EDSA beantragen (Abs. 2). Dies gilt auch für jede andere Aufsichtsbehörde, falls die betroffene (eigentlich für den Erlass der Maßnahme zuständige) Behörde bei dringendem Handlungsbedarf untätig bleibt (Abs. 3).

III. Ersuchen der betroffenen Behörde (Abs. 2) 4 Die Aufsichtsbehörde, die eine einstweilige Maßnahme ergreift, kann unter An-

gabe der Gründe eine beschleunigte Stellungnahme oder eine beschleunigte Fassung eines verbindlichen Beschlusses durch den EDSA verlangen. Hierzu muss die Aufsichtsbehörde der Auffassung sein, dass dringend eine endgültige Maßnahme erlassen werden muss und eine herkömmliche Stellungnahme (Art. 64) bzw. eine reguläre Beschlussfassung (Art. 65) dieser Dringlichkeit nicht gerecht wird.

IV. Ersuchen anderer Behörden (Abs. 3) 5 Für den Fall, dass eine zuständige Aufsichtsbehörde trotz dringendem Hand-

lungsbedarf keine Maßnahmen zum Schutz der Rechte und Freiheiten betroffener Personen getroffen hat, ist jede Aufsichtsbehörde befugt, eine beschleunigte Stellungnahme bzw. Beschlussfassung des EDSA herbeizuführen. Hierbei hat sie die Sachgründe und die Gründe der Dringlichkeit darzulegen. Auch in diesem Fall gelten die kurzen zweiwöchigen Entscheidungsfristen; die Beschlussfassung erfolgt mit einfacher Mehrheit (Abs. 4).

V. Frist und Mehrheit (Abs. 4) 6 Während reguläre Stellungnahmen bis zu 14 Wochen (s. Komm. zu Art. 64

DSGVO Rz. 6) und reguläre Beschlüsse zwei Monate plus zwei Wochen „Nachfrist“ (s. Komm. zu Art. 65 DSGVO Rz. 7) bis zum Erlass benötigen können, sind beide Fristen im Dringlichkeitsverfahren auf zwei Wochen verkürzt. Zudem müssen verbindliche Beschlüsse im Dringlichkeitsverfahren abweichend von Art. 65 Abs. 2 nur mit einfacher Mehrheit der Mitglieder des EDSA angenommen werden (Abs. 4).

1280

|

Hullen

Informationsaustausch | Art. 67 DSGVO

Artikel 67 Informationsaustausch Die Kommission kann Durchführungsrechtsakte von allgemeiner Tragweite zur Festlegung der Ausgestaltung des elektronischen Informationsaustauschs zwischen den Aufsichtsbehörden sowie zwischen den Aufsichtsbehörden und dem Ausschuss, insbesondere des standardisierten Formats nach Artikel 64, erlassen. Diese Durchführungsrechtsakte werden gemäß dem Prüfverfahren nach Artikel 93 Absatz 2 erlassen. Art. 67 ermächtigt die Kommission, per Durchführungsrechtsakt Standards für 1 den elektronischen Informationsaustausch zwischen den Aufsichtsbehörden und dem EDSA festzulegen und diesen auch darüber hinaus auszugestalten. Dies erleichtert die Digitalisierung der Kommunikations- und Verwaltungsvorgänge, die u.a. in Kapitel VII der DSGVO und in Art. 64, der Bestimmungen zu Stellungnahmen des EDSA enthält, geregelt sind. Gerade vor dem Hintergrund kurzer Entscheidungsfristen ist ein gemeinsamer Standard und der elektronische Informationsaustausch zwischen allen Beteiligten unabdingbar. Hierdurch kann bei entsprechender Ausgestaltung auch der elektronische Rechtsverkehr auf Ebene der Mitgliedstaaten gefördert werden. Art. 93 Abs. 2 verweist auf Art. 5 der Verordnung (EU) Nr. 182/2011 zur Fest- 2 legung der allgemeinen Regeln und Grundsätze, nach denen die Mitgliedstaaten die Wahrnehmung der Durchführungsbefugnisse durch die Kommission kontrollieren. Hierin ist das Prüfverfahren festgelegt, durch das die Mitgliedstaaten den Durchführungsrechtsakt zum Informationsaustausch der Kommission kontrollieren (siehe auch Erwägungsgrund 168).

Abschnitt 3 Europäischer Datenschutzausschuss

Artikel 68 Europäischer Datenschutzausschuss (1) Der Europäische Datenschutzausschuss (im Folgenden „Ausschuss“) wird als Einrichtung der Union mit eigener Rechtspersönlichkeit eingerichtet. (2) Der Ausschuss wird von seinem Vorsitz vertreten. (3) Der Ausschuss besteht aus dem Leiter einer Aufsichtsbehörde jedes Mitgliedstaats und dem Europäischen Datenschutzbeauftragten oder ihren jeweiligen Vertretern. Hullen/Roggenkamp

|

1281

Informationsaustausch | Art. 67 DSGVO

Artikel 67 Informationsaustausch Die Kommission kann Durchführungsrechtsakte von allgemeiner Tragweite zur Festlegung der Ausgestaltung des elektronischen Informationsaustauschs zwischen den Aufsichtsbehörden sowie zwischen den Aufsichtsbehörden und dem Ausschuss, insbesondere des standardisierten Formats nach Artikel 64, erlassen. Diese Durchführungsrechtsakte werden gemäß dem Prüfverfahren nach Artikel 93 Absatz 2 erlassen. Art. 67 ermächtigt die Kommission, per Durchführungsrechtsakt Standards für 1 den elektronischen Informationsaustausch zwischen den Aufsichtsbehörden und dem EDSA festzulegen und diesen auch darüber hinaus auszugestalten. Dies erleichtert die Digitalisierung der Kommunikations- und Verwaltungsvorgänge, die u.a. in Kapitel VII der DSGVO und in Art. 64, der Bestimmungen zu Stellungnahmen des EDSA enthält, geregelt sind. Gerade vor dem Hintergrund kurzer Entscheidungsfristen ist ein gemeinsamer Standard und der elektronische Informationsaustausch zwischen allen Beteiligten unabdingbar. Hierdurch kann bei entsprechender Ausgestaltung auch der elektronische Rechtsverkehr auf Ebene der Mitgliedstaaten gefördert werden. Art. 93 Abs. 2 verweist auf Art. 5 der Verordnung (EU) Nr. 182/2011 zur Fest- 2 legung der allgemeinen Regeln und Grundsätze, nach denen die Mitgliedstaaten die Wahrnehmung der Durchführungsbefugnisse durch die Kommission kontrollieren. Hierin ist das Prüfverfahren festgelegt, durch das die Mitgliedstaaten den Durchführungsrechtsakt zum Informationsaustausch der Kommission kontrollieren (siehe auch Erwägungsgrund 168).

Abschnitt 3 Europäischer Datenschutzausschuss

Artikel 68 Europäischer Datenschutzausschuss (1) Der Europäische Datenschutzausschuss (im Folgenden „Ausschuss“) wird als Einrichtung der Union mit eigener Rechtspersönlichkeit eingerichtet. (2) Der Ausschuss wird von seinem Vorsitz vertreten. (3) Der Ausschuss besteht aus dem Leiter einer Aufsichtsbehörde jedes Mitgliedstaats und dem Europäischen Datenschutzbeauftragten oder ihren jeweiligen Vertretern. Hullen/Roggenkamp

|

1281

Art. 68–76 DSGVO | Zusammenarbeit und Kohärenz (4) Ist in einem Mitgliedstaat mehr als eine Aufsichtsbehörde für die Überwachung der Anwendung der nach Maßgabe dieser Verordnung erlassenen Vorschriften zuständig, so wird im Einklang mit den nationalen Rechtsvorschriften dieses Mitgliedstaats ein gemeinsamer Vertreter benannt. (5) Die Kommission ist berechtigt, ohne Stimmrecht an den Tätigkeiten und Sitzungen des Ausschusses teilzunehmen. Die Kommission benennt einen Vertreter. Der Vorsitz des Ausschusses unterrichtet die Kommission über die Tätigkeiten des Ausschusses. (6) In den in Artikel 65 genannten Fällen ist der Europäische Datenschutzbeauftragte nur bei Beschlüssen stimmberechtigt, die Grundsätze und Vorschriften betreffen, die für die Organe, Einrichtungen, Ämter und Agenturen der Union gelten und inhaltlich den Grundsätzen und Vorschriften dieser Verordnung entsprechen.

Artikel 69 Unabhängigkeit (1) Der Ausschuss handelt bei der Erfüllung seiner Aufgaben oder in Ausübung seiner Befugnisse gemäß den Artikeln 70 und 71 unabhängig. (2) Unbeschadet der Ersuchen der Kommission gemäß Artikel 70 Absatz 1 Buchstabe b und Absatz 2 ersucht der Ausschuss bei der Erfüllung seiner Aufgaben oder in Ausübung seiner Befugnisse weder um Weisung noch nimmt er Weisungen entgegen.

Artikel 70 Aufgaben des Ausschusses (1) Der Ausschuss stellt die einheitliche Anwendung dieser Verordnung sicher. Hierzu nimmt der Ausschuss von sich aus oder gegebenenfalls auf Ersuchen der Kommission insbesondere folgende Tätigkeiten wahr: a) Überwachung und Sicherstellung der ordnungsgemäßen Anwendung dieser Verordnung in den in den Artikeln 64 und 65 genannten Fällen unbeschadet der Aufgaben der nationalen Aufsichtsbehörden; b) Beratung der Kommission in allen Fragen, die im Zusammenhang mit dem Schutz personenbezogener Daten in der Union stehen, einschließlich etwaiger Vorschläge zur Änderung dieser Verordnung; c) Beratung der Kommission über das Format und die Verfahren für den Austausch von Informationen zwischen den Verantwortlichen, den Auf1282

|

Roggenkamp

Art. 57 DSGVO IV. Zuständigkeiten bei rein nationalem Bezug Sollte der Gegenstand einer Beschwerde oder eines Verstoßes gegen die DSGVO nur auf Niederlassungen oder betroffene Personen eines Mitgliedstaates beschränkt sein, so bleibt die Aufsichtsbehörde dieses einen Mitgliedstaates abweichend von der Regelung des Abs. 1 zuständig (Abs. 2). In diesen Fällen liegt regelmäßig ein schwächerer grenzüberschreitender Bezug und eine größere Nähe zur nationalen Aufsichtsbehörde vor. In dem in Abs. 2 geregelten Fall hat die Aufsichtsbehörde die nach Abs. 1 federführende Behörde unverzüglich über die Angelegenheit (d.h. eine Beschwerde des Betroffenen oder einen selbst festgestellten Verstoß) zu unterrichten. Die federführende Aufsichtsbehörde hat innerhalb einer 3-Wochen-Frist zu entscheiden, ob sie mit der unterrichtenden Aufsichtsbehörde zusammenarbeiten will oder nicht. Entscheidet sich die federführende Aufsichtsbehörde zur Übernahme der Angelegenheit, so arbeiten beide Aufsichtsbehörden zusammen. Die Zusammenarbeit wird durch Art. 60 geregelt. Die betroffene Aufsichtsbehörde kann in diesem Fall der federführenden einen Beschlussentwurf vorlegen (Abs. 4 Satz 2). Die federführende Aufsichtsbehörde soll dem Entwurf „weitestgehend Rechnung“ tragen. Sollten sich die Aufsichtsbehörden nicht auf eine gemeinsame Beschlussfassung einigen können, so erfolgt die Streitbeilegung im Wege des Kohärenzverfahrens durch den Europäischen Datenschutzausschuss (s. Komm. zu Art. 65 DSGVO Rz. 4). Lehnt die federführende Aufsichtsbehörde die Übernahme der Angelegenheit ab, bleibt der „örtlichen“ Aufsichtsbehörde, die die federführende unterrichtet hat (s. Rz. 10), der Fall zur eigenständigen Bearbeitung überlassen. Gemäß Abs. 5 leisten jedoch auch dann beide Behörden einander Amtshilfe (s. Art. 61) und führen bei Bedarf gemeinsame Maßnahmen durch (Art. 62).

Artikel 57 Aufgaben (1) Unbeschadet anderer in dieser Verordnung dargelegter Aufgaben muss jede Aufsichtsbehörde in ihrem Hoheitsgebiet a) die Anwendung dieser Verordnung überwachen und durchsetzen; b) die Öffentlichkeit für die Risiken, Vorschriften, Garantien und Rechte im Zusammenhang mit der Verarbeitung sensibilisieren und sie darüber aufklären. Besondere Beachtung finden dabei spezifische Maßnahmen für Kinder; c) im Einklang mit dem Recht des Mitgliedsstaats das nationale Parlament, die Regierung und andere Einrichtungen und Gremien über legislative

Art. 68–76 DSGVO | Zusammenarbeit und Kohärenz (4) Ist in einem Mitgliedstaat mehr als eine Aufsichtsbehörde für die Überwachung der Anwendung der nach Maßgabe dieser Verordnung erlassenen Vorschriften zuständig, so wird im Einklang mit den nationalen Rechtsvorschriften dieses Mitgliedstaats ein gemeinsamer Vertreter benannt. (5) Die Kommission ist berechtigt, ohne Stimmrecht an den Tätigkeiten und Sitzungen des Ausschusses teilzunehmen. Die Kommission benennt einen Vertreter. Der Vorsitz des Ausschusses unterrichtet die Kommission über die Tätigkeiten des Ausschusses. (6) In den in Artikel 65 genannten Fällen ist der Europäische Datenschutzbeauftragte nur bei Beschlüssen stimmberechtigt, die Grundsätze und Vorschriften betreffen, die für die Organe, Einrichtungen, Ämter und Agenturen der Union gelten und inhaltlich den Grundsätzen und Vorschriften dieser Verordnung entsprechen.

Artikel 69 Unabhängigkeit (1) Der Ausschuss handelt bei der Erfüllung seiner Aufgaben oder in Ausübung seiner Befugnisse gemäß den Artikeln 70 und 71 unabhängig. (2) Unbeschadet der Ersuchen der Kommission gemäß Artikel 70 Absatz 1 Buchstabe b und Absatz 2 ersucht der Ausschuss bei der Erfüllung seiner Aufgaben oder in Ausübung seiner Befugnisse weder um Weisung noch nimmt er Weisungen entgegen.

Artikel 70 Aufgaben des Ausschusses (1) Der Ausschuss stellt die einheitliche Anwendung dieser Verordnung sicher. Hierzu nimmt der Ausschuss von sich aus oder gegebenenfalls auf Ersuchen der Kommission insbesondere folgende Tätigkeiten wahr: a) Überwachung und Sicherstellung der ordnungsgemäßen Anwendung dieser Verordnung in den in den Artikeln 64 und 65 genannten Fällen unbeschadet der Aufgaben der nationalen Aufsichtsbehörden; b) Beratung der Kommission in allen Fragen, die im Zusammenhang mit dem Schutz personenbezogener Daten in der Union stehen, einschließlich etwaiger Vorschläge zur Änderung dieser Verordnung; c) Beratung der Kommission über das Format und die Verfahren für den Austausch von Informationen zwischen den Verantwortlichen, den Auf1282

|

Roggenkamp

Europäischer Datenschutzausschuss | Art. 68–76 DSGVO

tragsverarbeitern und den Aufsichtsbehörden in Bezug auf verbindliche unternehmensinterne Datenschutzvorschriften; d) Bereitstellung von Leitlinien, Empfehlungen und bewährten Verfahren zu Verfahren für die Löschung gemäß Artikel 17 Absatz 2 von Links zu personenbezogenen Daten oder Kopien oder Replikationen dieser Daten aus öffentlich zugänglichen Kommunikationsdiensten; e) Prüfung – von sich aus, auf Antrag eines seiner Mitglieder oder auf Ersuchen der Kommission – von die Anwendung dieser Verordnung betreffenden Fragen und Bereitstellung von Leitlinien, Empfehlungen und bewährten Verfahren zwecks Sicherstellung einer einheitlichen Anwendung dieser Verordnung; f) Bereitstellung von Leitlinien, Empfehlungen und bewährten Verfahren gemäß Buchstabe e des vorliegenden Absatzes zur näheren Bestimmung der Kriterien und Bedingungen für die auf Profiling beruhenden Entscheidungen gemäß Artikel 22 Absatz 2; g) Bereitstellung von Leitlinien, Empfehlungen und bewährten Verfahren gemäß Buchstabe e des vorliegenden Absatzes für die Feststellung von Verletzungen des Schutzes personenbezogener Daten und die Festlegung der Unverzüglichkeit im Sinne des Artikels 33 Absätze 1 und 2, und zu den spezifischen Umständen, unter denen der Verantwortliche oder der Auftragsverarbeiter die Verletzung des Schutzes personenbezogener Daten zu melden hat; h) Bereitstellung von Leitlinien, Empfehlungen und bewährten Verfahren gemäß Buchstabe e des vorliegenden Absatzes zu den Umständen, unter denen eine Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen im Sinne des Artikels 34 Absatz 1 zur Folge hat; i) Bereitstellung von Leitlinien, Empfehlungen und bewährten Verfahren gemäß Buchstabe e des vorliegenden Absatzes zur näheren Bestimmung der in Artikel 47 aufgeführten Kriterien und Anforderungen für die Übermittlungen personenbezogner Daten, die auf verbindlichen internen Datenschutzvorschriften von Verantwortlichen oder Auftragsverarbeitern beruhen, und der dort aufgeführten weiteren erforderlichen Anforderungen zum Schutz personenbezogener Daten der betroffenen Personen; j) Bereitstellung von Leitlinien, Empfehlungen und bewährten Verfahren gemäß Buchstabe e des vorliegenden Absatzes zur näheren Bestimmung der Kriterien und Bedingungen für die Datenübermittlungen gemäß Artikel 49 Absatz 1; k) Ausarbeitung von Leitlinien für die Aufsichtsbehörden in Bezug auf die Anwendung von Maßnahmen nach Artikel 58 Absätze 1, 2 und 3 und die Festsetzung von Geldbußen gemäß Artikel 83; Roggenkamp

|

1283

Art. 68–76 DSGVO | Zusammenarbeit und Kohärenz l) Überprüfung der praktischen Anwendung der unter den Buchstaben e und f genannten Leitlinien, Empfehlungen und bewährten Verfahren; m) Bereitstellung von Leitlinien, Empfehlungen und bewährten Verfahren gemäß Buchstabe e des vorliegenden Absatzes zur Festlegung gemeinsamer Verfahren für die von natürlichen Personen vorgenommene Meldung von Verstößen gegen diese Verordnung gemäß Artikel 54 Absatz 2; n) Förderung der Ausarbeitung von Verhaltensregeln und der Einrichtung von datenschutzspezifischen Zertifizierungsverfahren sowie Datenschutzsiegeln und -prüfzeichen gemäß den Artikeln 40 und 42; o) Akkreditierung von Zertifizierungsstellen und deren regelmäßige Überprüfung gemäß Artikel 43 und Führung eines öffentlichen Registers der akkreditierten Einrichtungen gemäß Artikel 43 Absatz 6 und der in Drittländern niedergelassenen akkreditierten Verantwortlichen oder Auftragsverarbeiter gemäß Artikel 42 Absatz 7; p) Präzisierung der in Artikel 43 Absatz 3 genannten Anforderungen im Hinblick auf die Akkreditierung von Zertifizierungsstellen gemäß Artikel 42; q) Abgabe einer Stellungnahme für die Kommission zu den Zertifizierungsanforderungen gemäß Artikel 43 Absatz 8; r) Abgabe einer Stellungnahme für die Kommission zu den Bildsymbolen gemäß Artikel 12 Absatz 7; s) Abgabe einer Stellungnahme für die Kommission zur Angemessenheit des in einem Drittland oder einer internationalen Organisation gebotenen Schutzniveaus einschließlich zur Beurteilung der Frage, ob das Drittland, das Gebiet, ein oder mehrere spezifische Sektoren in diesem Drittland oder eine internationale Organisation kein angemessenes Schutzniveau mehr gewährleistet. Zu diesem Zweck gibt die Kommission dem Ausschuss alle erforderlichen Unterlagen, darunter den Schriftwechsel mit der Regierung des Drittlands, dem Gebiet oder spezifischen Sektor oder der internationalen Organisation; t) Abgabe von Stellungnahmen im Kohärenzverfahren gemäß Artikel 64 Absatz 1 zu Beschlussentwürfen von Aufsichtsbehörden, zu Angelegenheiten, die nach Artikel 64 Absatz 2 vorgelegt wurden und um Erlass verbindlicher Beschlüsse gemäß Artikel 65, einschließlich der in Artikel 66 genannten Fälle; u) Förderung der Zusammenarbeit und eines wirksamen bilateralen und multilateralen Austauschs von Informationen und bewährten Verfahren zwischen den Aufsichtsbehörden; v) Förderung von Schulungsprogrammen und Erleichterung des Personalaustausches zwischen Aufsichtsbehörden sowie gegebenenfalls mit Aufsichtsbehörden von Drittländern oder mit internationalen Organisationen; 1284

|

Roggenkamp

Europäischer Datenschutzausschuss | Art. 68–76 DSGVO

w) Förderung des Austausches von Fachwissen und von Dokumentationen über Datenschutzvorschriften und -praxis mit Datenschutzaufsichtsbehörden in aller Welt; x) Abgabe von Stellungnahmen zu den auf Unionsebene erarbeiteten Verhaltensregeln gemäß Artikel 40 Absatz 9; y) Führung eines öffentlich zugänglichen elektronischen Registers der Beschlüsse der Aufsichtsbehörden und Gerichte in Bezug auf Fragen, die im Rahmen des Kohärenzverfahrens behandelt wurden. (2) Die Kommission kann, wenn sie den Ausschuss um Rat ersucht, unter Berücksichtigung der Dringlichkeit des Sachverhalts eine Frist angeben. (3) Der Ausschuss leitet seine Stellungnahmen, Leitlinien, Empfehlungen und bewährten Verfahren an die Kommission und an den in Artikel 93 genannten Ausschuss weiter und veröffentlicht sie. (4) Der Ausschuss konsultiert gegebenenfalls interessierte Kreise und gibt ihnen Gelegenheit, innerhalb einer angemessenen Frist Stellung zu nehmen. Unbeschadet des Artikels 76 macht der Ausschuss die Ergebnisse der Konsultation der Öffentlichkeit zugänglich.

Artikel 71 Berichterstattung (1) Der Ausschuss erstellt einen Jahresbericht über den Schutz natürlicher Personen bei der Verarbeitung in der Union und gegebenenfalls in Drittländern und internationalen Organisationen. Der Bericht wird veröffentlicht und dem Europäischen Parlament, dem Rat und der Kommission übermittelt. (2) Der Jahresbericht enthält eine Überprüfung der praktischen Anwendung der in Artikel 70 Absatz 1 Buchstabe l genannten Leitlinien, Empfehlungen und bewährten Verfahren sowie der in Artikel 65 genannten verbindlichen Beschlüsse.

Artikel 72 Verfahrensweise (1) Sofern in dieser Verordnung nichts anderes bestimmt ist, fasst der Ausschuss seine Beschlüsse mit einfacher Mehrheit seiner Mitglieder. (2) Der Ausschuss gibt sich mit einer Mehrheit von zwei Dritteln seiner Mitglieder eine Geschäftsordnung und legt seine Arbeitsweise fest. Roggenkamp

|

1285

Europäischer Datenschutzausschuss | Art. 68–76 DSGVO

w) Förderung des Austausches von Fachwissen und von Dokumentationen über Datenschutzvorschriften und -praxis mit Datenschutzaufsichtsbehörden in aller Welt; x) Abgabe von Stellungnahmen zu den auf Unionsebene erarbeiteten Verhaltensregeln gemäß Artikel 40 Absatz 9; y) Führung eines öffentlich zugänglichen elektronischen Registers der Beschlüsse der Aufsichtsbehörden und Gerichte in Bezug auf Fragen, die im Rahmen des Kohärenzverfahrens behandelt wurden. (2) Die Kommission kann, wenn sie den Ausschuss um Rat ersucht, unter Berücksichtigung der Dringlichkeit des Sachverhalts eine Frist angeben. (3) Der Ausschuss leitet seine Stellungnahmen, Leitlinien, Empfehlungen und bewährten Verfahren an die Kommission und an den in Artikel 93 genannten Ausschuss weiter und veröffentlicht sie. (4) Der Ausschuss konsultiert gegebenenfalls interessierte Kreise und gibt ihnen Gelegenheit, innerhalb einer angemessenen Frist Stellung zu nehmen. Unbeschadet des Artikels 76 macht der Ausschuss die Ergebnisse der Konsultation der Öffentlichkeit zugänglich.

Artikel 71 Berichterstattung (1) Der Ausschuss erstellt einen Jahresbericht über den Schutz natürlicher Personen bei der Verarbeitung in der Union und gegebenenfalls in Drittländern und internationalen Organisationen. Der Bericht wird veröffentlicht und dem Europäischen Parlament, dem Rat und der Kommission übermittelt. (2) Der Jahresbericht enthält eine Überprüfung der praktischen Anwendung der in Artikel 70 Absatz 1 Buchstabe l genannten Leitlinien, Empfehlungen und bewährten Verfahren sowie der in Artikel 65 genannten verbindlichen Beschlüsse.

Artikel 72 Verfahrensweise (1) Sofern in dieser Verordnung nichts anderes bestimmt ist, fasst der Ausschuss seine Beschlüsse mit einfacher Mehrheit seiner Mitglieder. (2) Der Ausschuss gibt sich mit einer Mehrheit von zwei Dritteln seiner Mitglieder eine Geschäftsordnung und legt seine Arbeitsweise fest. Roggenkamp

|

1285

Europäischer Datenschutzausschuss | Art. 68–76 DSGVO

w) Förderung des Austausches von Fachwissen und von Dokumentationen über Datenschutzvorschriften und -praxis mit Datenschutzaufsichtsbehörden in aller Welt; x) Abgabe von Stellungnahmen zu den auf Unionsebene erarbeiteten Verhaltensregeln gemäß Artikel 40 Absatz 9; y) Führung eines öffentlich zugänglichen elektronischen Registers der Beschlüsse der Aufsichtsbehörden und Gerichte in Bezug auf Fragen, die im Rahmen des Kohärenzverfahrens behandelt wurden. (2) Die Kommission kann, wenn sie den Ausschuss um Rat ersucht, unter Berücksichtigung der Dringlichkeit des Sachverhalts eine Frist angeben. (3) Der Ausschuss leitet seine Stellungnahmen, Leitlinien, Empfehlungen und bewährten Verfahren an die Kommission und an den in Artikel 93 genannten Ausschuss weiter und veröffentlicht sie. (4) Der Ausschuss konsultiert gegebenenfalls interessierte Kreise und gibt ihnen Gelegenheit, innerhalb einer angemessenen Frist Stellung zu nehmen. Unbeschadet des Artikels 76 macht der Ausschuss die Ergebnisse der Konsultation der Öffentlichkeit zugänglich.

Artikel 71 Berichterstattung (1) Der Ausschuss erstellt einen Jahresbericht über den Schutz natürlicher Personen bei der Verarbeitung in der Union und gegebenenfalls in Drittländern und internationalen Organisationen. Der Bericht wird veröffentlicht und dem Europäischen Parlament, dem Rat und der Kommission übermittelt. (2) Der Jahresbericht enthält eine Überprüfung der praktischen Anwendung der in Artikel 70 Absatz 1 Buchstabe l genannten Leitlinien, Empfehlungen und bewährten Verfahren sowie der in Artikel 65 genannten verbindlichen Beschlüsse.

Artikel 72 Verfahrensweise (1) Sofern in dieser Verordnung nichts anderes bestimmt ist, fasst der Ausschuss seine Beschlüsse mit einfacher Mehrheit seiner Mitglieder. (2) Der Ausschuss gibt sich mit einer Mehrheit von zwei Dritteln seiner Mitglieder eine Geschäftsordnung und legt seine Arbeitsweise fest. Roggenkamp

|

1285

Art. 68–76 DSGVO | Zusammenarbeit und Kohärenz

Artikel 73 Vorsitz (1) Der Ausschuss wählt aus dem Kreis seiner Mitglieder mit einfacher Mehrheit einen Vorsitzenden und zwei stellvertretende Vorsitzende. (2) Die Amtszeit des Vorsitzenden und seiner beiden Stellvertreter beträgt fünf Jahre; ihre einmalige Wiederwahl ist zulässig.

Artikel 74 Aufgaben des Vorsitzes (1) Der Vorsitz hat folgende Aufgaben: a) Einberufung der Sitzungen des Ausschusses und Erstellung der Tagesordnungen, b) Übermittlung der Beschlüsse des Ausschuss nach Artikel 65 an die federführende Aufsichtsbehörde und die betroffenen Aufsichtsbehörden, c) Sicherstellung einer rechtzeitigen Ausführung der Aufgaben des Ausschusses, insbesondere der Aufgaben im Zusammenhang mit dem Kohärenzverfahren nach Artikel 63. (2) Der Ausschuss legt die Aufteilung der Aufgaben zwischen dem Vorsitzenden und dessen Stellvertretern in seiner Geschäftsordnung fest.

Artikel 75 Sekretariat (1) Der Ausschuss wird von einem Sekretariat unterstützt, das von dem Europäischen Datenschutzbeauftragten bereitgestellt wird. (2) Das Sekretariat führt seine Aufgaben ausschließlich auf Anweisung des Vorsitzes des Ausschusses aus. (3) Das Personal des Europäischen Datenschutzbeauftragten, das an der Wahrnehmung der dem Ausschuss gemäß dieser Verordnung übertragenen Aufgaben beteiligt ist, unterliegt anderen Berichtspflichten als das Personal, das an der Wahrnehmung der dem Europäischen Datenschutzbeauftragten übertragenen Aufgaben beteiligt ist. (4) Soweit angebracht, erstellen und veröffentlichen der Ausschuss und der Europäische Datenschutzbeauftragte eine Vereinbarung zur Anwendung des vorliegenden Artikels, in der die Bedingungen ihrer Zusammenarbeit festgelegt sind und die für das Personal des Europäischen Datenschutzbeauftrag1286

|

Roggenkamp

Art. 68–76 DSGVO | Zusammenarbeit und Kohärenz

Artikel 73 Vorsitz (1) Der Ausschuss wählt aus dem Kreis seiner Mitglieder mit einfacher Mehrheit einen Vorsitzenden und zwei stellvertretende Vorsitzende. (2) Die Amtszeit des Vorsitzenden und seiner beiden Stellvertreter beträgt fünf Jahre; ihre einmalige Wiederwahl ist zulässig.

Artikel 74 Aufgaben des Vorsitzes (1) Der Vorsitz hat folgende Aufgaben: a) Einberufung der Sitzungen des Ausschusses und Erstellung der Tagesordnungen, b) Übermittlung der Beschlüsse des Ausschuss nach Artikel 65 an die federführende Aufsichtsbehörde und die betroffenen Aufsichtsbehörden, c) Sicherstellung einer rechtzeitigen Ausführung der Aufgaben des Ausschusses, insbesondere der Aufgaben im Zusammenhang mit dem Kohärenzverfahren nach Artikel 63. (2) Der Ausschuss legt die Aufteilung der Aufgaben zwischen dem Vorsitzenden und dessen Stellvertretern in seiner Geschäftsordnung fest.

Artikel 75 Sekretariat (1) Der Ausschuss wird von einem Sekretariat unterstützt, das von dem Europäischen Datenschutzbeauftragten bereitgestellt wird. (2) Das Sekretariat führt seine Aufgaben ausschließlich auf Anweisung des Vorsitzes des Ausschusses aus. (3) Das Personal des Europäischen Datenschutzbeauftragten, das an der Wahrnehmung der dem Ausschuss gemäß dieser Verordnung übertragenen Aufgaben beteiligt ist, unterliegt anderen Berichtspflichten als das Personal, das an der Wahrnehmung der dem Europäischen Datenschutzbeauftragten übertragenen Aufgaben beteiligt ist. (4) Soweit angebracht, erstellen und veröffentlichen der Ausschuss und der Europäische Datenschutzbeauftragte eine Vereinbarung zur Anwendung des vorliegenden Artikels, in der die Bedingungen ihrer Zusammenarbeit festgelegt sind und die für das Personal des Europäischen Datenschutzbeauftrag1286

|

Roggenkamp

Art. 68–76 DSGVO | Zusammenarbeit und Kohärenz

Artikel 73 Vorsitz (1) Der Ausschuss wählt aus dem Kreis seiner Mitglieder mit einfacher Mehrheit einen Vorsitzenden und zwei stellvertretende Vorsitzende. (2) Die Amtszeit des Vorsitzenden und seiner beiden Stellvertreter beträgt fünf Jahre; ihre einmalige Wiederwahl ist zulässig.

Artikel 74 Aufgaben des Vorsitzes (1) Der Vorsitz hat folgende Aufgaben: a) Einberufung der Sitzungen des Ausschusses und Erstellung der Tagesordnungen, b) Übermittlung der Beschlüsse des Ausschuss nach Artikel 65 an die federführende Aufsichtsbehörde und die betroffenen Aufsichtsbehörden, c) Sicherstellung einer rechtzeitigen Ausführung der Aufgaben des Ausschusses, insbesondere der Aufgaben im Zusammenhang mit dem Kohärenzverfahren nach Artikel 63. (2) Der Ausschuss legt die Aufteilung der Aufgaben zwischen dem Vorsitzenden und dessen Stellvertretern in seiner Geschäftsordnung fest.

Artikel 75 Sekretariat (1) Der Ausschuss wird von einem Sekretariat unterstützt, das von dem Europäischen Datenschutzbeauftragten bereitgestellt wird. (2) Das Sekretariat führt seine Aufgaben ausschließlich auf Anweisung des Vorsitzes des Ausschusses aus. (3) Das Personal des Europäischen Datenschutzbeauftragten, das an der Wahrnehmung der dem Ausschuss gemäß dieser Verordnung übertragenen Aufgaben beteiligt ist, unterliegt anderen Berichtspflichten als das Personal, das an der Wahrnehmung der dem Europäischen Datenschutzbeauftragten übertragenen Aufgaben beteiligt ist. (4) Soweit angebracht, erstellen und veröffentlichen der Ausschuss und der Europäische Datenschutzbeauftragte eine Vereinbarung zur Anwendung des vorliegenden Artikels, in der die Bedingungen ihrer Zusammenarbeit festgelegt sind und die für das Personal des Europäischen Datenschutzbeauftrag1286

|

Roggenkamp

Europäischer Datenschutzausschuss | Art. 68–76 DSGVO

ten gilt, das an der Wahrnehmung der dem Ausschuss gemäß dieser Verordnung übertragenen Aufgaben beteiligt ist. (5) Das Sekretariat leistet dem Ausschuss analytische, administrative und logistische Unterstützung. (6) Das Sekretariat ist insbesondere verantwortlich für a) das Tagesgeschäft des Ausschusses, b) die Kommunikation zwischen den Mitgliedern des Ausschusses, seinem Vorsitz und der Kommission, c) die Kommunikation mit anderen Organen und mit der Öffentlichkeit, d) den Rückgriff auf elektronische Mittel für die interne und die externe Kommunikation, e) die Übersetzung sachdienlicher Informationen, f) die Vor- und Nachbereitung der Sitzungen des Ausschusses, g) die Vorbereitung, Abfassung und Veröffentlichung von Stellungnahmen, von Beschlüssen über die Beilegung von Streitigkeiten zwischen Aufsichtsbehörden und von sonstigen vom Ausschuss angenommenen Dokumenten.

Artikel 76 Vertraulichkeit (1) Die Beratungen des Ausschusses sind gemäß seiner Geschäftsordnung vertraulich, wenn der Ausschuss dies für erforderlich hält. (2) Der Zugang zu Dokumenten, die Mitgliedern des Ausschusses, Sachverständigen und Vertretern von Dritten vorgelegt werden, wird durch die Verordnung (EG) Nr. 1049/2001 des Europäischen Parlaments und des Rates1 geregelt. I. Allgemeines . . . . . . . . . . . . . .

1

II. Zielsetzung . . . . . . . . . . . . . . .

3

III. 1. 2. 3.

Zusammensetzung Mitglieder . . . . . . . . . . . . . . . . Vertreter der Kommission . . . . . Europäischer Datenschutzbeauftragter . . . . . . . . . . . . . . .

4 5 6

IV. 1. 2. V. 1.

Aufbau Vorsitz . . . . . . . . . . . . . . . . . . Sekretariat . . . . . . . . . . . . . . . . Aufgaben (Art. 70) . . . . . . . . . Aufgaben a) Stellungnahmetätigkeit . . . . . b) Empfehlungs- und Beratungstätigkeit . . . . . . . . . . . . . . . .

7 10 12 13 14

1 Verordnung (EG) Nr. 1049/2001 des Europäischen Parlaments und des Rates vom 30. Mai 2001 über den Zugang der Öffentlichkeit zu Dokumenten des Europäischen Parlaments, des Rates und der Kommission (ABl. L 145 vom 31.5.2001, S. 43).

Roggenkamp

|

1287

Europäischer Datenschutzausschuss | Art. 68–76 DSGVO

ten gilt, das an der Wahrnehmung der dem Ausschuss gemäß dieser Verordnung übertragenen Aufgaben beteiligt ist. (5) Das Sekretariat leistet dem Ausschuss analytische, administrative und logistische Unterstützung. (6) Das Sekretariat ist insbesondere verantwortlich für a) das Tagesgeschäft des Ausschusses, b) die Kommunikation zwischen den Mitgliedern des Ausschusses, seinem Vorsitz und der Kommission, c) die Kommunikation mit anderen Organen und mit der Öffentlichkeit, d) den Rückgriff auf elektronische Mittel für die interne und die externe Kommunikation, e) die Übersetzung sachdienlicher Informationen, f) die Vor- und Nachbereitung der Sitzungen des Ausschusses, g) die Vorbereitung, Abfassung und Veröffentlichung von Stellungnahmen, von Beschlüssen über die Beilegung von Streitigkeiten zwischen Aufsichtsbehörden und von sonstigen vom Ausschuss angenommenen Dokumenten.

Artikel 76 Vertraulichkeit (1) Die Beratungen des Ausschusses sind gemäß seiner Geschäftsordnung vertraulich, wenn der Ausschuss dies für erforderlich hält. (2) Der Zugang zu Dokumenten, die Mitgliedern des Ausschusses, Sachverständigen und Vertretern von Dritten vorgelegt werden, wird durch die Verordnung (EG) Nr. 1049/2001 des Europäischen Parlaments und des Rates1 geregelt. I. Allgemeines . . . . . . . . . . . . . .

1

II. Zielsetzung . . . . . . . . . . . . . . .

3

III. 1. 2. 3.

Zusammensetzung Mitglieder . . . . . . . . . . . . . . . . Vertreter der Kommission . . . . . Europäischer Datenschutzbeauftragter . . . . . . . . . . . . . . .

4 5 6

IV. 1. 2. V. 1.

Aufbau Vorsitz . . . . . . . . . . . . . . . . . . Sekretariat . . . . . . . . . . . . . . . . Aufgaben (Art. 70) . . . . . . . . . Aufgaben a) Stellungnahmetätigkeit . . . . . b) Empfehlungs- und Beratungstätigkeit . . . . . . . . . . . . . . . .

7 10 12 13 14

1 Verordnung (EG) Nr. 1049/2001 des Europäischen Parlaments und des Rates vom 30. Mai 2001 über den Zugang der Öffentlichkeit zu Dokumenten des Europäischen Parlaments, des Rates und der Kommission (ABl. L 145 vom 31.5.2001, S. 43).

Roggenkamp

|

1287

Art. 68–76 DSGVO | Zusammenarbeit und Kohärenz c) Prüf- und Überwachungstätigkeit . . . . . . . . . . . . . d) Förderungstätigkeit . . . . e) Dokumentationstätigkeit 2. Ersuchen der Kommission . VI. Arbeitsweise 1. Geschäftsordnung . . . . . . .

. . . .

. . . .

. . . .

16 17 18 19

2. Beschlussfassung . . . . . . . . . . . 22 3. Ergebnisse und Zwischenergebnisse a) Weiterleitung und Veröffentlichung . . . . . . . . . . . . . . . . 23 b) Jahresbericht . . . . . . . . . . . . 27

. . . 21

I. Allgemeines 1 Mit der DSGVO wird der Europäische Datenschutzausschuss, gewissermaßen als

zentrale europäische Datenschutzbehörde1, eingerichtet. Die maßgeblichen Regelungen, die hier zusammengefasst dargestellt werden sollen, finden sich in den Art. 68–76 sowie Erwägungsgrund 139.

2 Der Europäische Datenschutzausschuss hat eine eigene Rechtspersönlichkeit

(Art. 68 Abs. 1) und macht die mit der EG-Datenschutzrichtlinie eingesetzte „Arbeitsgruppe für den Schutz der Rechte von Personen bei der Verarbeitung personenbezogener Daten“ (sog. „Art. 29-Datenschutzgruppe“) obsolet, vgl. Erwägungsgrund 139. Im Gegensatz zu dieser, wird ihm weit mehr als nur beratende Funktion zugewiesen (vgl. Art. 70 – hierzu sogleich). Insbesondere kann der Europäische Datenschutzausschuss in bestimmten Fällen verbindliche Beschlüsse an Stelle der eigentlich zuständigen nationalen Aufsichtsbehörde treffen, vgl. z.B. Art. 61 Abs. 8 Satz 2.

II. Zielsetzung 3 Aufgabe und Ziel des Europäischen Datenschutzausschusses ist die „Förderung

der einheitlichen Anwendung“ der DSGVO in der Union, vgl. Erwägungsgrund 139. Daneben soll er „die Kommission insbesondere im Hinblick auf das Schutzniveau in Drittländern oder internationalen Organisationen beraten“ und die Zusammenarbeit zwischen den Aufsichtsbehörden fördern.

III. Zusammensetzung 1. Mitglieder 4 Mitglieder des Europäischen Datenschutzausschusses sind die Leiter der Auf-

sichtsbehörden der Mitgliedstaaten sowie der Europäische Datenschutzbeauftragte und die jeweiligen Vertreter, Art. 68 Abs. 3. Sollte es in einem Mitgliedstaat, wie z.B. in Deutschland der Fall, mehrere Aufsichtsbehörden geben, be-

1 Vgl. Härting, BB 2012, 459 (460).

1288

|

Roggenkamp

Europäischer Datenschutzausschuss | Art. 68–76 DSGVO

nennen diese nach Art. 64 Abs. 4 einen gemeinsamen Vertreter. Die Benennung dieses gemeinsamen Vertreters erfolgt nach nationalem Recht. 2. Vertreter der Kommission Die Kommission ist nach Art. 64 Abs. 5 berechtigt, durch einen Vertreter an 5 den Tätigkeiten und Sitzungen des Europäischen Datenschutzausschusses teilzunehmen. Sie hat aber kein Stimmrecht. 3. Europäischer Datenschutzbeauftragter Der Europäische Datenschutzbeauftragte hat im Fall der Streitbeilegung nach 6 Art. 65 nur ein eingeschränktes Stimmrecht, Art. 68 Abs. 6. Es ist, entsprechend seiner Zuständigkeit (vgl. Art. 41 ff. VO (EG) Nr. 45/2001), auf Beschlüsse begrenzt, die „Grundsätze und Vorschriften betreffen, die für Organe, Einrichtungen, Ämter und Agenturen der Union gelten und inhaltlich den Grundsätzen und Vorschriften“ der DSGVO entsprechen. Im Umkehrschluss bestehen im Übrigen die gleichen Mitbestimmungsbefugnisse wie bei den anderen Mitgliedern.

IV. Aufbau 1. Vorsitz Der Europäische Datenschutzausschuss wird durch seinen Vorsitz vertreten, 7 Art. 68 Abs. 2. Dieser (und zwei Stellvertreter) wird mit einfacher Mehrheit aus dem Kreis der Mitglieder gewählt, Art. 73 Abs. 1. Seine Amtszeit beträgt grundsätzlich fünf, bei Wiederwahl insgesamt maximal zehn Jahre, vgl. Art. 73 Abs. 2. Neben eher administrativen Aufgaben (Sitzungseinberufung, Erstellung von Ta- 8 gesordnungen, vgl. Art. 74 Abs. 1 Buchst. a; Übermittlung der Beschlüsse nach Art. 65 an die beteiligten Aufsichtsbehörden, Art. 74 Abs. 1 Buchst. b), fällt die Sicherstellung der „rechtzeitigen“ Ausführung der Aufgaben des Europäischen Datenschutzausschusses in den Verantwortungsbereich des Vorsitzes, Art. 74 Abs. 1 Buchst. c. Der genaue Zuschnitt der Verantwortlichkeiten, die Aufgabenteilung zwischen 9 dem Vorsitzenden und seinen Stellvertretern wird in der Geschäftsordnung des Europäischen Datenschutzausschusses festgeschrieben (s. dazu sogleich). 2. Sekretariat Das Sekretariat unterstützt den Europäischen Datenschutzausschuss in „ana- 10 lytischer, administrativer und logistischer Weise“ (Art. 75 Abs. 5). Dazu gehört nach der nicht abschließenden Aufzählung in Art. 75 Abs. 6 die Organisation des Tagesgeschäfts, die interne und externe Kommunikation, ÜbersetzungsarbeiRoggenkamp

|

1289

Art. 68–76 DSGVO | Zusammenarbeit und Kohärenz ten, Sitzungsvor- und -nachbereitung sowie die Unterstützung bei Vorbereitung, Abfassung und Veröffentlichung von Stellungnahmen, Beschlüssen etc. 11 Das Sekretariat ist beim Europäischen Datenschutzbeauftragten angesiedelt bzw.

wird von diesem bereitgestellt (Art. 75 Abs. 1) und personell ausgestattet (beachte Art. 75 Abs. 3 bezüglich der Berichtspflichten), arbeitet jedoch ausschließlich auf Anweisung des Vorsitzenden des Europäischen Datenschutzausschusses (Art. 75 Abs. 2). Die Bedingungen der Zusammenarbeit werden „soweit angebracht“ in einer gesonderten „Vereinbarung zur Anwendung“ des Art. 75 zwischen Europäischem Datenschutzausschuss und Europäischem Datenschutzbeauftragten festgelegt (Art. 75 Abs. 4).

V. Aufgaben (Art. 70) 12 Die Aufgaben des Europäischen Datenschutzausschusses sind – nicht abschlie-

ßend – in Art. 70 geregelt. Diese kann er „von sich aus“ oder auf Ersuchen der Kommission (hierzu Rz. 19) wahrnehmen. 1. Aufgaben a) Stellungnahmetätigkeit

13 Der Europäische Datenschutzausschuss hat umfangreiche Stellungnahmebefug-

nisse. Diese umfassen u.a. die Zertifizierungsanforderungen, Bildsymbole nach Art. 12 Abs. 7, Angemessenheit des Datenschutzniveaus in Drittländern etc., Beschlüsse in Kohärenzverfahren oder Verhaltensregeln nach Art. 40 Abs. 9. b) Empfehlungs- und Beratungstätigkeit

14 Einen großen Anteil an den Aufgaben des Europäischen Datenschutzausschus-

ses nimmt die „Empfehlungstätigkeit“. Immer dann (so kann die Aufgabenzuweisung nach hier vertretener Auffassung interpretiert werden) wenn eine einheitliche Vorgehensweise sinnvoll oder erforderlich scheint, ist es Aufgabe des Europäischen Datenschutzausschusses Leitlinien, Empfehlungen und „bewährte Verfahren“ bereitzustellen.

15 Daneben ist es Aufgabe des Europäischen Datenschutzausschusses, die Kommis-

sion umfangreich in Datenschutzfragen zu beraten. Dazu zählt nach Art. 70 Abs. 1 Buchst. b ausdrücklich auch ein Vorschlagsrecht bezüglich etwaiger Änderungen der DSGVO. c) Prüf- und Überwachungstätigkeit

16 Neben den nationalen Aufsichtsbehörden hat der Europäische Datenschutzaus-

schuss die Aufgabe der Überwachung und Sicherstellung der ordnungsgemäßen Anwendung der DSGVO in den in den Art. 64 und 65 genannten Fällen. 1290

|

Roggenkamp

Europäischer Datenschutzausschuss | Art. 68–76 DSGVO

Das erfolgt insbesondere durch Stellungnahmen (Art. 64) sowie ggf. durch Streitbeilegung (Art. 65). S. zu beidem näher Komm. zu Art. 64 und 65 DSGVO. d) Förderungstätigkeit Zu den Aufgaben des Europäischen Datenschutzausschusses gehört auch die För- 17 derung Dritter sowohl mit Blick auf die einheitliche Anwendung der DSGVO (z.B. durch Förderung der Zusammenarbeit und des Informations- und Verfahrensaustausches zwischen den Aufsichtsbehörden, Art. 70 Abs. 1 Buchst. u) als auch mit Blick auf den allgemeinen Erkentnisgewinn (z.B. durch Förderung des Austauschs über Datenschutzrecht und -praxis „in aller Welt“, Art. 70 Abs. 1 Buchst. w). e) Dokumentationstätigkeit Schließlich ist es Aufgabe des Europäischen Datenschutzausschusses ein öffent- 18 lich zugängliches elektronisches Register der Beschlüsse der Aufsichtsbehörden und Gerichte im Zusammenhang mit dem Kohärenzverfahren zu führen. 2. Ersuchen der Kommission Die Kommission kann den Europäischen Datenschutzausschuss um die Wahr- 19 nehmung einer Tätigkeit „ersuchen“ (Art. 70 Abs. 1), ihm aber keine Weisung erteilen (vgl. Art. 69 Abs. 2). Unbeschadet hiervon ist die Möglichkeit der Kommission bei dringlichen Angele- 20 genheiten eine Frist „anzugeben“ (vgl. Art. 70 Abs. 2). Unmittelbare Sanktionen sind an ein Verstreichenlassen der Frist nicht geknüpft. Ebenfalls unbeschadet der Unabhängigkeit ist das Ersuchen der Kommission nach Art. 70 Abs. 1 Buchst. e, also ein Ersuchen um die Prüfung von die Anwendung der DSGVO betreffenden Fragen und die Bereitstellung von Leitlinien, Empfehlungen und bewährten Verfahren zwecks Sicherstellung einer einheitlichen Anwendung der DSGVO.

VI. Arbeitsweise 1. Geschäftsordnung Die Festlegung von Geschäftsordnung und Arbeitsweise erfolgt mit einer Zwei- 21 drittelmehrheit der Mitglieder des Europäischen Datenschutzausschusses, Art. 72 Abs. 2. 2. Beschlussfassung Beschlüsse des Europäischen Datenschutzausschusses werden grundsätzlich mit 22 einfacher Mehrheit der Mitglieder gefasst, Art. 72 Abs. 1. Abweichungen sind nur in den in der DSGVO bestimmten Fällen (z.B. Art. 65) möglich, Art. 72 Abs. 1. Roggenkamp

|

1291

Art. 77 DSGVO | Rechtsbehelfe, Haftung und Sanktionen 3. Ergebnisse und Zwischenergebnisse a) Weiterleitung und Veröffentlichung 23 Stellungnahmen, Leitlinien, Empfehlungen und „bewährte Verfahren“ sind aus-

weislich Art. 70 Abs. 3 an die Kommission und den „Art. 93 Ausschuss“ (hierzu Komm. zu Art. 93 DSGVO) weiterzuleiten und zu veröffentlichen.

24 Der Zugang der Bürger zu Dokumenten richtet sich ausweislich Art. 76 Abs. 2

nach der Verordnung (EG) Nr. 1049/2001 des Europäischen Parlaments und des Rates vom 30.5.2001 über den Zugang der Öffentlichkeit zu Dokumenten des Europäischen Parlaments, des Rates und der Kommission.

25 Soweit eine Konsultation „interessierter Kreise“ stattgefunden hat, macht der

Europäische Datenschutzausschuss die Ergebnisse der Konsultation der Öffentlichkeit zugänglich, Art. 70 Abs. 4.

26 Die Beratungen selber sind nach Art. 76 Abs. 1 nur dann „vertraulich“, wenn

und soweit dies in der Geschäftsordnung so vorgesehen ist und der Ausschuss „dies für erforderlich hält“.

b) Jahresbericht 27 Nach Art. 71 Abs. 1 erstellt der Europäische Datenschutzausschuss einen Jahres-

bericht, welcher veröffentlicht und dem Europäischen Parlament, dem Rat und der Kommission übermittelt wird.

28 Inhaltlich ist nach Art. 71 sowohl über den „Schutz natürlicher Personen bei der

Verarbeitung“ zu berichten als auch eine „Überprüfung“ bestimmter Leitlinien, Empfehlungen und bewährten Verfahren sowie von verbindlichen Beschlüssen im Kohärenzverfahren nach Art. 65.

Kapitel VIII Rechtsbehelfe, Haftung und Sanktionen

Artikel 77 Recht auf Beschwerde bei einer Aufsichtsbehörde (1) Jede betroffene Person hat unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs das Recht auf Beschwerde bei einer Aufsichtsbehörde, insbesondere in dem Mitgliedstaat ihres Aufenthaltsorts, ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes, wenn die betroffene Person der Ansicht ist, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen diese Verordnung verstößt. 1292

|

Roggenkamp/Becker

Art. 77 DSGVO | Rechtsbehelfe, Haftung und Sanktionen 3. Ergebnisse und Zwischenergebnisse a) Weiterleitung und Veröffentlichung 23 Stellungnahmen, Leitlinien, Empfehlungen und „bewährte Verfahren“ sind aus-

weislich Art. 70 Abs. 3 an die Kommission und den „Art. 93 Ausschuss“ (hierzu Komm. zu Art. 93 DSGVO) weiterzuleiten und zu veröffentlichen.

24 Der Zugang der Bürger zu Dokumenten richtet sich ausweislich Art. 76 Abs. 2

nach der Verordnung (EG) Nr. 1049/2001 des Europäischen Parlaments und des Rates vom 30.5.2001 über den Zugang der Öffentlichkeit zu Dokumenten des Europäischen Parlaments, des Rates und der Kommission.

25 Soweit eine Konsultation „interessierter Kreise“ stattgefunden hat, macht der

Europäische Datenschutzausschuss die Ergebnisse der Konsultation der Öffentlichkeit zugänglich, Art. 70 Abs. 4.

26 Die Beratungen selber sind nach Art. 76 Abs. 1 nur dann „vertraulich“, wenn

und soweit dies in der Geschäftsordnung so vorgesehen ist und der Ausschuss „dies für erforderlich hält“.

b) Jahresbericht 27 Nach Art. 71 Abs. 1 erstellt der Europäische Datenschutzausschuss einen Jahres-

bericht, welcher veröffentlicht und dem Europäischen Parlament, dem Rat und der Kommission übermittelt wird.

28 Inhaltlich ist nach Art. 71 sowohl über den „Schutz natürlicher Personen bei der

Verarbeitung“ zu berichten als auch eine „Überprüfung“ bestimmter Leitlinien, Empfehlungen und bewährten Verfahren sowie von verbindlichen Beschlüssen im Kohärenzverfahren nach Art. 65.

Kapitel VIII Rechtsbehelfe, Haftung und Sanktionen

Artikel 77 Recht auf Beschwerde bei einer Aufsichtsbehörde (1) Jede betroffene Person hat unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs das Recht auf Beschwerde bei einer Aufsichtsbehörde, insbesondere in dem Mitgliedstaat ihres Aufenthaltsorts, ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes, wenn die betroffene Person der Ansicht ist, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen diese Verordnung verstößt. 1292

|

Roggenkamp/Becker

Recht auf Beschwerde bei einer Aufsichtsbehörde | Art. 77 DSGVO

(2) Die Aufsichtsbehörde, bei der die Beschwerde eingereicht wurde, unterrichtet den Beschwerdeführer über den Stand und die Ergebnisse der Beschwerde einschließlich der Möglichkeit eines gerichtlichen Rechtsbehelfs nach Artikel 78. I. Einführung . . . . . . . . . . . . . . . II. Beschwerde gegenüber der Aufsichtsbehörde (Abs. 1) 1. Einlegung der Beschwerde . . . . .

1

2

2. Befassung mit der Beschwerde . . 8 III. Unterrichtungspflichten und Rechtsbehelfsbelehrung (Abs. 2) 10

I. Einführung Die DSGVO sieht in ihrem siebten Kapitel ein differenziertes Rechtsschutz- und 1 Sanktionensystem vor, das bisher in der EG-Datenschutzrichtlinie vor allem nur hinsichtlich seines „Ob“ geregelt war (Art. 22–24 EG-Datenschutzrichtlinie) und inhaltlich durch das Recht der Mitgliedstaaten im Einzelnen ausgestaltet wurde. Dabei waren die Unterschiede in den Mitgliedstaaten zum Teil sehr erheblich, insbesondere wenn es um die Sanktionierung durch Bußgelder ging, die in den meisten Mitgliedstaaten bisher rechtlich oder faktisch eher marginal ausfallen und nur in geringem Maße abschreckend wirken. Es war daher von Anfang an ein wesentliches Anliegen der Reform, ein europaweit einheitliches und wirkungsvolleres Sanktionensystem zu schaffen. Dementsprechend regelt die DSGVO nunmehr selbst die wesentlichen Sanktionsbereiche in den Art. 77–84. Freilich liegt es auf der Hand, dass die Anwendung der verschiedenen Sanktionen sich auch weiterhin in vielen Aspekten, insbesondere in Bezug auf die verfahrensmäßige Umsetzung ihrer Geltendmachung, in den einzelnen Mitgliedstaaten unterscheiden wird. Dies beruht schlicht auf den sehr unterschiedlichen allgemeinen Sanktionssystemen der Mitgliedstaaten. Ein Beispiel für unterschiedliche Sanktionsordnungen ist, dass im Hinblick auf Dänemark und Estland die Sonderregelung des Art. 83 Abs. 9 notwendig wurde, weil diese Mitgliedstaaten nicht die Möglichkeit kennen, dass die Behörde eine Geldbuße verhängt, sondern dies dort nur durch gerichtliche Entscheidung möglich ist. Zwar sind die Mitgliedstaaten durch die DSGVO gehalten, die Sanktionen und ihre Durchsetzung wirksam, verhältnismäßig und abschreckend zu gestalten, aber es wird sich erst in der Anwendungspraxis der mitgliedstaatlichen Behörden und Gerichte zeigen, wie die Mitgliedstaaten diesen Auftrag verstehen und umsetzen werden.

II. Beschwerde gegenüber der Aufsichtsbehörde (Abs. 1) 1. Einlegung der Beschwerde Als grundlegenden Rechtsbehelf sieht Art. 77 vor, dass sich der Betroffene we- 2 gen Bedenken hinsichtlich der rechtmäßigen Verarbeitung seiner Daten an die Becker

|

1293

Art. 77 DSGVO | Rechtsbehelfe, Haftung und Sanktionen Aufsichtsbehörde wenden kann. Es handelt sich dabei um ein weitgefasstes Recht, das jedem „Betroffenen“ ohne weitere Voraussetzungen zusteht. Die „Betroffenheit“ ist dabei im Sinne der DSGVO zu verstehen, d.h. Betroffener ist eine natürliche Person, deren Daten von einem Dritten so verarbeitet werden, dass sie identifiziert werden oder identifizierbar sind (vgl. Art. 4 Nr. 1)1. Die Beschwerde ist bei „einer“ Aufsichtsbehörde anzubringen. Damit ist nicht „irgendeine“ Aufsichtsbehörde gemeint, sondern die innerhalb des Mitgliedstaats gemäß Art. 55, 56 zuständige Behörde. Die DSGVO geht davon aus, dass es entsprechend der unterschiedlichen Rechtstraditionen und innerstaatlichen Zuständigkeitsverteilungen innerhalb eines Mitgliedstaats mehrere Aufsichtsbehörden geben kann (Art. 51 Abs. 1). Die innerstaatlich unzuständige Aufsichtsbehörde kann eine Beschwerde daher grundsätzlich mit Verweis auf ihre Unzuständigkeit zurückweisen. Der Umgang mit einer solchen Beschwerde kann nach dem innerstaatlichen Recht näher geregelt werden. Sinnvollerweise sollte das innerstaatliche Recht vorsehen, dass die Beschwerde ggf. nach Anhördung des Beschwerdeführers an die (räumlich und sachlich) zuständige Behörde weitergegeben werden kann, die dann über die Beschwerde in der Sache entscheidet. In grenzüberschreitenden Fällen ist hingegen die Aufsichtsbehörde im Sitzland des Betroffenen ggf. gehalten, die nach Art. 56 federführende Aufsichtsbehörde mit der Angelegenheit zu befassen und mit dieser gemäß Art. 60 zusammenzuarbeiten. Für den Fall, dass die federführende Aufsichtsbehörde nicht oder nicht rechtzeitig tätig wird, steht der angerufenen Aufsichtsbehörde ggf. das Recht zu, vorläufige Maßnahmen zu ergreifen (Art. 62 Abs. 7 Satz 1; Art. 66 Abs. 1). 3 Die DSGVO sieht keine besondere Form für die Beschwerde vor, insbesondere

besteht weder ein Schriftformerfordernis noch bedarf es der Vertretung durch einen Rechtsanwalt. Vielmehr ist vorgesehen, dass die Beschwerde durch den Betroffenen so einfach wie möglich eingebracht werden kann, um einen effektiven Rechtsschutz zu gewährleisten. Die Aufsichtsbehörden sind gehalten, u.a. durch die Bereitstellung eines Beschwerdeformulars das Einlegen einer Beschwerde zu erleichtern (Art. 57 Abs. 2). Das Beschwerdeformular soll auch nach Möglichkeit elektronisch auszufüllen und zu übermitteln sein. Dabei handelt es sich nicht um eine zwingende Vorschrift. Es ist aber davon auszugehen, dass jede Aufsichtsbehörde als Teil ihrer allgemeinen Aufgabenerfüllung ein solches Formular online zur Verfügung stellen wird. Mit der Bereitstellung eines (elektronischen) Beschwerdeformulars dürfen andere Kommunikationsmittel für die Einlegung einer Beschwerde nicht ausgeschlossen werden. Der Betroffene muss daher die Möglichkeit haben, eine Beschwerde auch auf andere Art und Weise bei der Behörde anzubringen, durch formlose Eingabe, schriftlich, per Fax, E-Mail, aber auch persönlich und mündlich bei der Behörde. Es bleibt der 1 Die deutsche Fassung verwendet den Begriff des „Betroffenen“ und der „betroffenen Person“ synonym (vgl. etwa in Art. 57 Abs. 1 Buchst. e und f – „betroffene Person“).

1294

|

Becker

Recht auf Beschwerde bei einer Aufsichtsbehörde | Art. 77 DSGVO

Behörde indessen unbenommen, einen bestimmten Kommunikationsweg besonders attraktiv zu gestalten. Die Behörde muss außerdem im Rahmen der Befassung mit der Beschwerde auch die Möglichkeit haben, sich Gewissheit über die Identität des Beschwerdeführers verschaffen zu können und darüber, dass die Beschwerde von ihm willentlich auf den Weg gebracht wurde. Für die Beschwerde gilt naturgemäß auch keine Frist. Da im Fall eines Versto- 4 ßes gegen die Vorschriften der Verordnung eine fortdauernde Beeinträchtigung des Persönlichkeitsrechts des Betroffenen vorliegt, kann dieser zu jeder Zeit die damit verbundene Beeinträchtigung seiner Grundrechtsposition und seiner Persönlichkeitsrechte geltend machen. Ein datenschutzrechtlicher Verstoß stellt sich insoweit als ein Dauerdelikt dar. Die Aufsichtsbehörde ist daher auch selbst oder auf eine Beschwerde hin jederzeit zum Einschreiten gegen einen solchen Verstoß berechtigt und unter Umständen auch verpflichtet, selbst wenn die Beeinträchtigung ggf. schon lange andauert. Selbst eine wissentliche Duldung durch die Behörde kann dem nicht entgegenstehen, weil die Behörde nicht über das subjektive Recht des Betroffenen verfügen kann und durch die Duldung auch nicht die Rechtsschutzmöglichkeiten des Betroffenen aus Art. 77, 78 konterkariert werden dürfen. Fraglich und diskussionswürdig könnte hingegen sein, ob die Behörde auf eine Beschwerde hin noch gegen einen Verstoß einschreiten muss, wenn der Betroffene einen rechtswidrigen Zustand über lange Zeit wissentlich geduldet hat. Im Sinne eines leichten Zugangs zum Rechtsbehelf der Beschwerde sind auch 5 die Anforderungen an den Inhalt der Beschwerde und die Darlegungen des Beschwerdeführers im Zweifel gering anzusetzen. Es genügt nach dem Wortlaut des Abs. 1, dass der Beschwerdeführer seine Ansicht darlegt, dass die Verarbeitung der ihn betreffenden Daten gegen die Verordnung verstößt. Hierzu muss der Beschwerdeführer seine Identität nennen und Umstände angeben, aus denen sich ergibt, dass ein Dritter seine personenbezogenen Daten verarbeitet oder nutzt. Es sollte grundsätzlich nicht genügen, dies ins Blaue zu behaupten. Vielmehr muss die Aufsichtsbehörde ggf. auch Erklärungen und Nachweise verlangen können, aus denen sich die mögliche Betroffenheit des Beschwerdeführers ableiten lässt. Die Anforderungen hieran dürfen jedoch auch nicht überspannt werden. Dies zumal es in der Natur der Sache liegt, dass der Beschwerdeführer oftmals keine Gewissheit darüber hat, ob und welche Daten ein Unternehmen oder eine andere Stelle von ihm verarbeitet und es gerade Zweck der Beschwerde ist, dies zu klären. Aufgrund des Amtsermittlungsgrundsatzes ist es daher nicht erforderlich, dass der Vortrag des Beschwerdeführers im rechtlichen Sinne schlüssig ist. D.h. sein Vortrag muss nicht einen vollständig subsumierbaren und seine Ansicht stützenden Sachverhalt enthalten. Es genügt, dass in Bezug auf seine Schilderungen eine Datenverarbeitung möglich erscheint und nicht auszuschließen ist, dass diese Datenverarbeitung rechtswidrig ist. Die Aufsichtsbehörde kann daher eine Befassung nicht mit Hinweis auf mangelnde Schlüssigkeit der Beschwerde verweigern. Allerdings kann die Aufsichtsbehörde ihr weiBecker

|

1295

Art. 77 DSGVO | Rechtsbehelfe, Haftung und Sanktionen teres Tätigwerden in Bezug auf die Beschwerde, insbesondere Art und Umfang ihrer Untersuchungen (Art. 57 Abs. 1 Buchst. f) danach ausrichten, wie detailliert und plausibel der Vortrag des Beschwerdeführers ist. Bloßen Vermutungen oder Spekulationen eines Beschwerdeführers ohne konkrete Anhaltspunkte muss die Aufsichtsbehörde nicht mit aufwendigen Prüfungen nachkommen. In solchen Fällen kann es – wie auch bisher nach deutschem Recht – im Sinne einer angemessenen Befassung genügen, den betreffenden Verantwortlichen oder Auftragsverarbeiter um Stellungnahme zu bitten und das weitere Vorgehen vom Inhalt der Stellungnahme abhängig zu machen. 6 Die Beschwerde muss für den Beschwerdeführer unentgeltlich sein (Art. 57

Abs. 3). Verwaltungsgebühren oder Auslagen dürfen von der Aufsichtsbehörde mithin nicht erhoben werden. Umgekehrt muss der Beschwerdeführer seine eigenen Kosten selbst tragen; eine Kostentragungspflicht der Behörde oder des Verarbeiters ist in der Verordnung nicht vorgesehen, auch dann nicht, wenn die Beschwerde in der Sache erfolgreich ist. Davon unberührt bleibt die Kostentragung im Rahmen eines gerichtlichen Rechtsbehelfs nach Art. 78; die Verordnung verlangt nicht, dass auch das gerichtliche Verfahren für den Beschwerdeführer kostenlos sein muss. Daher sind Gerichtsgebühren sowie die Tragung von Rechtsverteidigungskosten durch die unterliegende Partei nicht ausgeschlossen, sondern können gemäß den sonst geltenden innerstaatlichen Regelungen angewendet werden. Dazu kann es auch gehören, dass die innerstaatlichen Verfahrensregeln vorsehen, dass z.B. eine anwaltliche Vertretung im Beschwerdeverfahren notwendig war und deshalb bei Obsiegen des Beschwerdeführers im gerichtlichen Verfahren ggf. von der Aufsichtsbehörde die Kosten der Zuziehung eines Bevollmächtigten auch schon zur Einlegung der Beschwerde zu erstatten sind (vgl. Regelung zum verwaltungsrechtlichen Vorverfahren in § 162 Abs. 2 Satz 2 VwGO). Gefordert wird eine solche Regelung durch Art. 57 Abs. 3 indessen nicht. Umgekehrt dürfte aber dem Entgeltverbot des Art. 57 Abs. 3 Sperrwirkung gegenüber eine Regelung zukommen, die bei Obsiegen der Aufsichtsbehörde im gerichtlichen Verfahren die Tragung von Kosten aus dem Beschwerdeverfahren durch den Beschwerdeführer vorsieht. Denn die Verordnung macht das Entgeltverbot nicht vom Erfolg oder Misserfolg der Beschwerde abhängig. Die Beschwerde bleibt damit, wie vom Gemeinschaftsrecht gewollt, ein finanziell risikoloser Rechtsbehelf (zum Missbrauchsvorbehalt nachfolgend).

7 Einzige Ausnahme vom Entgeltverbot des Art. 57 Abs. 3 ist der Missbrauchs-

vorbehalt in Art. 57 Abs. 4. Die Regelung sieht vor, dass die Aufsichtsbehörde bei offenkundig unbegründeten oder exzessiven Anfragen eine angemessene Gebühr auf der Grundlage der Verwaltungskosten verlangen oder sich weigern kann, tätig zu werden. Diese Regelung betrifft jedwedes Tätigwerden der Aufsichtsbehörde aufgrund einer Anfrage. Dazu gehören bspw. Auskunfts- oder Beratungsanfragen, aber eben auch Beschwerden. Das ergibt sich aus dem offenen Wortlaut der Regelung und aus der systematischen Stellung, die alle Tätigkeiten 1296

|

Becker

Recht auf Beschwerde bei einer Aufsichtsbehörde | Art. 77 DSGVO

der Aufsichtsbehörde abdeckt, die in den vorangehenden Absätzen des Art. 57 genannt werden und durch eine Anfrage von Betroffenen oder Dritten initiiert werden können und damit auch die Bearbeitung von Beschwerden gemäß Art. 57 Abs. 1 Buchst. f und Abs. 2. Die Gebühr kann von der Verwaltung in typisierende Weise festgelegt werden, muss sich aber an den üblicherweise tatsächlich anfallenden Kosten für die Bearbeitung einer Beschwerde richten. Es spricht nichts dagegen die Gebühr in einer gewissen Weise aufzuteilen oder zu staffeln, z.B. in eine Vorprüfungsgebühr, eine Gebühr für die Einholung von Informationen, Vor-Ort-Prüfungen etc. Abs. 4 ist im Übrigen nicht so zu verstehen, dass der (vermeintlich) Betroffene Anspruch darauf hat, dass die Aufsichtsbehörde tätig wird, solange er die Gebühr zahlt. Vielmehr kann sich die Behörde auch dann weigern, tätig zu werden, wenn der Beschwerdeführer die Zahlung der Gebühr anbietet. Die Regelung dient nicht in erster Linie einem Entgeltinteresse der Aufsichtsbehörde, sondern schützt diese davor, ihre im Zweifel (zu) knappen Ressourcen für unsinnige Tätigkeiten aufzuwenden. Das Wahlrecht, eine Gebühr zu verlangen oder das Tätigwerden ganz abzulehnen, liegt daher allein bei der Aufsichtsbehörde. Die Beweislast für das Vorliegen einer missbräuchlichen Beschwerde liegt bei der Aufsichtsbehörde (Art. 57 Abs. 4 Satz 2). Schon in der heutigen Praxis der Aufsichtsbehörden dürfe es sich dabei nicht etwa um einen theoretischen Fall handeln. Es kommt nicht selten vor, dass Betroffene vermeintliche Datenschutzverstöße oder offenkundig unbeabsichtigte Bagatellverstöße gegenüber Unternehmen gelten machen und sich hierfür des kostenlosen „Dienstes“ der Aufsichtsbehörden bedienen oder – offenkundig unbegründete – Strafanzeigen stellen, zum Teil in der Hoffnung, Unternehmen würden sich die Lästigkeit solcher Verfahren abkaufen lassen. 2. Befassung mit der Beschwerde Die Aufsichtsbehörde ist verpflichtet, sich mit der Beschwerde zu befassen 8 (Art. 57 Abs. 1 Buchst. b). Dazu gehört es, den Gegenstand der Beschwerde in angemessenem Umfang zu untersuchen und den Beschwerdeführer innerhalb angemessener Frist über den Fortgang und das Ergebnis der Untersuchung zu unterrichten (Art. 57 Abs. 1 Buchst. b). Die Befassung durch die Aufsichtsbehörde geht damit vom Grundsatz der Amtsermittlung aus. Zu diesem Zweck stehen der Aufsichtsbehörde die in Art. 58 genannten Befugnisse zu, insbesondere die verschiedenen Ermittlungsbefugnisse (Art. 58 Abs. 1) und Abhilfebefugnisse (Art. 58 Abs. 2). Es ist davon auszugehen, dass der Behörde insoweit ein gewisser Beurteilungsspielraum bei der Wahrnehmung ihrer Befugnisse zusteht. Sie kann insbesondere den Umfang ihrer Tätigkeit danach ausrichten, wie gravierend der vom Beschwerdeführer behaupte Verstoß gegen die Bestimmungen der DSGVO ist und welche Untersuchungsmaßnahmen geeignet, erforderlich und verhältnismäßig erscheinen. Bei einfachen Verstößen wird daher häufig die Anhörung des Verantwortlichen oder des Auftragsverarbeiters genügen, verbunden mit der Anweisung, alle relevanten Informationen hinsichtlich der streiBecker

|

1297

Art. 77 DSGVO | Rechtsbehelfe, Haftung und Sanktionen tigen Datenverarbeitung bereitzustellen (Art. 58 Abs. 1 Buchst. a). Allerdings ist die Aufsichtsbehörde im Interesse des Betroffenen grundsätzlich verpflichtet, von ihren Befugnissen wirksam Gebrauch zu machen. Dieser Anspruch ist verfahrensrechtlich dadurch abgesichert, dass der Betroffene bei Untätigkeit der Aufsichtsbehörde gerichtliche Hilfe beanspruchen kann (Art. 78 Abs. 3). Sofern sich rechtswidrige Datenverarbeitungen feststellen lassen, muss die Behörde daher grundsätzlich auch einschreiten und von ihren Abhilfebefugnissen Gebrauch machen, insbesondere durch Anordnungen, die zu einer rechtmäßigen Verarbeitung führen (Art. 58 Abs. 2 Buchst. d) oder mit denen eine rechtswidrige Verarbeitung beendet wird (Art. 58 Abs. 2 Buchst. f). Die Aufsichtsbehörde kann nicht sehenden Auges Verstöße dulden. Sie ist allerdings auch nicht gezwungen, über den konkreten Beschwerdegegenstand hinaus tätig zu werden und mögliche weitere Verstöße außerhalb der Beschwerde von sich aus zu prüfen. 9 Soweit sich nicht konkrete Anforderungen an das Verfahren aus der DSGVO er-

geben, ist der Mitgliedstaat im Übrigen frei darin, das Beschwerdeverfahren vor der Aufsichtsbehörde zweckmäßig zu regeln. Der jeweilige deutsche Bundesoder Landesgesetzgeber kann daher das Verfahren weitgehend den Bestimmungen der Verwaltungsverfahrensgesetze (VwVfG) des Bundes bzw. des jeweiligen Landes unterstellen.

III. Unterrichtungspflichten und Rechtsbehelfsbelehrung (Abs. 2) 10 Der Beschwerdeführer ist von der Aufsichtsbehörde u.a. über den Stand und die

Ergebnisse der Beschwerde zu unterrichten (Abs. 2). Die Verwendung des Begriffspaares „Stand“ und „Ergebnis“ legt nahe, dass die Aufsichtsbehörde den Beschwerdeführer allgemein über den Verfahrensgang umfassend auf dem Laufenden halten soll. Allerdings befasst sich auch die Bestimmung des Art. 57 Abs. 1 Buchst. f im Rahmen der Aufgabenbeschreibung der Aufsichtsbehörde mit der Bearbeitung von Beschwerden. Dort ist leicht abweichend davon die Rede, dass die Aufsichtsbehörde den Beschwerdeführer innerhalb angemessener Frist über den „Fortgang“ und das „Ergebnis“ der Untersuchung zu unterrichten hat, insbesondere wenn die Befassung anderer Aufsichtsbehörden notwendig wird (Art. 57 Abs. 1 Buchst. f). Mit dem unterschiedlichen Wortlaut ist jedoch kein sachlicher Unterschied beabsichtigt. Wie ein Blick bspw. auf die englische Fassung der DSGVO zeigt, die jeweils gleichlautend von „progress“ spricht, geht es darum, dass die Behörde ggf. über wichtige verfahrensrechtliche Schritte unterrichtet, bei denen z.B. nach deutschem Verwaltungsverfahrensrecht ohnehin eine Anhörung des Beschwerdeführers angezeigt wäre. Die Hinzuziehung oder Befassung einer anderen (datenschutzrechtlichen) Aufsichtsbehörde gemäß Art. 57 Abs. 1 Buchst. f ist hierfür nur ein Beispiel, macht aber deutlich, dass die Informationspflicht während des laufenden Verfahrens nur Umstände betrifft, 1298

|

Becker

Recht auf Beschwerde bei einer Aufsichtsbehörde | Art. 77 DSGVO

die wesentlichen Einfluss auf den Fortgang des Verfahrens haben. Abs. 2 ist hingegen nicht so zu verstehen, dass der Beschwerdeführer das Recht haben soll, über jedweden einzelnen Schritt der Behörde oder einzelne Maßnahmen auf dem Weg zu einer behördlichen Entscheidung separat unterrichtet zu werden. An die Unterrichtungspflicht sind daher keine überzogenen Anforderungen zu stellen. Im Regelfall wird man sogar annehmen können, dass die Unterrichtung in Bezug auf das Ergebnis der Beschwerde ausreichend ist, sofern dem Beschwerdeführer im Übrigen rechtliches Gehör gewährt wurde. Etwas anderes ergibt sich auch nicht aus den Bestimmungen zu den Rechtsbehelfen für den Fall, dass die Behörde der Beschwerde nicht im Sinne des Betroffenen abhilft. Ein solcher Rechtsbehelf steht dem Betroffenen ausdrücklich nur gegen einen ihn betreffenden „rechtsverbindlichen Beschluss“ der Aufsichtsbehörde zu (Art. 78 Abs. 1). Die Verordnung geht nicht davon aus, dass der Betroffene sich gegen einzelne verfahrensleitende Maßnahmen, wie z.B. die Durchführung oder Ablehnung einer Prüfung in den Geschäftsräumen des Verarbeiters (Art. 58 Abs. 1 Buchst. f), zur Wehr setzen kann, sondern einen verbindlichen Beschluss der Aufsichtsbehörde abwarten muss und diesen dann im Ganzen angreifen kann. Dies dient der Verfahrens- und Prozessökonomie und entspricht auch den Grundsätzen des deutschen Verfahrensrechts, das ebenfalls die isolierte Anfechtung einzelner Maßnahmen ausschließt (vgl. § 44a VwGO). Daher besteht auch zur Wahrung der Rechtsschutzinteressen des Betroffenen keine Notwendigkeit, diesen über alle verfahrensleitenden Maßnahmen zu unterrichten. Allerdings ergibt sich aus der Möglichkeit der Untätigkeitslage (Art. 78 Abs. 2), 11 dass die Aufsichtsbehörde mit der Unterrichtung des Betroffenen bzw. mit der Bearbeitung der Beschwerde auch nicht beliebig zuwarten darf. Vielmehr muss sie das Verfahren grundsätzlich innerhalb von drei Monaten abschließen oder, sofern dies nicht möglich ist, den Betroffenen über den Stand des Verfahrens unterrichten. Andernfalls läuft sie Gefahr, dass der Betroffene Klage nach Art. 78 Abs. 2 erhebt (vgl. Komm. zu Art. 78 DSGVO Rz. 3). Die Aufsichtsbehörde muss eine Entscheidung über die Beschwerde gegenüber 12 dem Beschwerdeführer mit einer Rechtsbehelfsbelehrung versehen (Art. 77 Abs. 2). Art und Inhalt der Rechtsbehelfsbelehrung muss sich an den Vorgaben des Art. 78 orientieren. Wie sich aus der Bezugnahme in Art. 78 Abs. 1 auf einen „rechtsverbindlichen Beschluss“ ergibt, muss die Aufsichtsbehörde nicht etwa die Mitteilungen zum Verfahrensstand, sondern erst ihre, den Beschwerdevorgang abschließende Entscheidung mit der Rechtsbehelfsbelehrung versehen. Dies gilt auch dann, wenn sie der Beschwerde nach ihre Ansicht im vollen Umfang abgeholfen hat.

Becker

|

1299

Art. 78 DSGVO | Rechtsbehelfe, Haftung und Sanktionen

Artikel 78 Recht auf wirksamen gerichtlichen Rechtsbehelf gegen eine Aufsichtsbehörde (1) Jede natürliche oder juristische Person hat unbeschadet eines anderweitigen verwaltungsrechtlichen oder außergerichtlichen Rechtsbehelfs das Recht auf einen wirksamen gerichtlichen Rechtsbehelf gegen einen sie betreffenden rechtsverbindlichen Beschluss einer Aufsichtsbehörde. (2) Jede betroffene Person hat unbeschadet eines anderweitigen verwaltungsrechtlichen oder außergerichtlichen Rechtbehelfs das Recht auf einen wirksamen gerichtlichen Rechtsbehelf, wenn die nach den Artikeln 55 und 56 zuständige Aufsichtsbehörde sich nicht mit einer Beschwerde befasst oder die betroffene Person nicht innerhalb von drei Monaten über den Stand oder das Ergebnis der gemäß Artikel 77 erhobenen Beschwerde in Kenntnis gesetzt hat. (3) Für Verfahren gegen eine Aufsichtsbehörde sind die Gerichte des Mitgliedstaats zuständig, in dem die Aufsichtsbehörde ihren Sitz hat. (4) Kommt es zu einem Verfahren gegen den Beschluss einer Aufsichtsbehörde, dem eine Stellungnahme oder ein Beschluss des Ausschusses im Rahmen des Kohärenzverfahrens vorangegangen ist, so leitet die Aufsichtsbehörde diese Stellungnahme oder diesen Beschluss dem Gericht zu. I. Einführung . . . . . . . . . . . . . . . II. Allgemeine Klagebefugnis gegen Beschlüsse (Abs. 1) . . . . III. Klagebefugnis bei Nichtbefassung mit Beschwerden (Abs. 2)

1 2

IV. Zuständige Gerichte (Abs. 3) . . V. Einbeziehung von Kohärenzbeschlüssen (Abs. 4) . . . . . . . .

4 5

3

I. Einführung 1 Art. 78 regelt den Rechtsschutz gegen rechtsverbindliche Beschlüsse der Auf-

sichtsbehörde im Rahmen ihrer Tätigkeit im Allgemeinen (Abs. 1) sowie in Bezug auf solche rechtsverbindlichen Beschlüsse oder ihre Untätigkeit, die im Zusammenhang mit einer Beschwerde stehen (Abs. 2). Nicht eindeutig ist, welche rechtsverbindlichen Beschlüsse insbesondere in Abs. 1 im Einzelnen gemeint sind. Der Aufsichtsbehörde stehen nach der DSGVO vielfältige Befugnisse zu (vgl. Art. 58), die nicht in jedem Fall in einen verbindlichen Beschluss der Aufsichtsbehörde münden müssen. Es ist indessen naheliegend, dass in erster Linie die Abhilfebefugnisse des Art. 58 Abs. 2 sowie die Genehmigungsbefugnisse des Art. 58 Abs. 3 durch Beschlüsse der Aufsichtsbehörde ausgeübt werden und dementsprechend der Rechtsschutzgewährleistung des Art. 78 unterliegen müs-

1300

|

Becker

Rechtsbehelf gegen Aufsichtsbehörde | Art. 78 DSGVO

sen. Während der Anwendungsbereich dieser Rechtsschutzgewährleistung autonom auszulegen ist, kann die konkrete Ausgestaltung des Verfahrens, durch das der Rechtsschutz gewährleistet wird, im Rahmen der mitgliedstaatlichen Verfahrensordnungen erfolgen. Im Ergebnis wird dies für die Anwendung in Deutschland bedeuten, dass Beschlüsse der Aufsichtsbehörde im Rahmen der für die Nachprüfung von Verwaltungshandeln geltenden Vorschriften der Verwaltungsgerichtsordnung (VwGO) überprüft werden können. Dieser Rechtsschutz kann dabei grundsätzlich weiter reichen als in Art. 78 gefordert. Er kann sich insbesondere auch auf einfaches Verwaltungshandeln beziehen und wird durch Art. 78 nicht auf Beschlüsse oder förmliches Verwaltungshandeln beschränkt. Andererseits ist es sinnvoll und zweckmäßig, die Rechtsschutzmöglichkeiten gegenüber der Aufsichtsbehörde auf verbindliches Verwaltungshandeln mit Regelungscharakter zu beschränken. Gegen die Wahrnehmung der allgemeinen Aufgaben durch die Aufsichtsbehörde nach Art. 57 sowie beratende Tätigkeiten der Aufsichtsbehörde gemäß Art. 58 Abs. 2 sind grundsätzlich keine Rechtsbehelfe gegeben. Diese Unterscheidung fügt sich erkennbar nahtlos in das deutsche Verfahrensrecht ein und wird daher voraussichtlich keine wesentlichen Änderungen oder Sondervorschriften zur „Umsetzung“ oder Konkretisierung des Art. 78 erfordern. Dies schließt nicht aus, dass es im Einzelfall Abgrenzungsschwierigkeiten und Zweifelsfragen hinsichtlich der unionsrechtlichen Rechtsgewährleistung geben kann, die notfalls durch Vorlagen an den EuGH zu lösen sind.

II. Allgemeine Klagebefugnis gegen Beschlüsse (Abs. 1) Art. 78 Abs. 1 regelt die allgemeine Klagebefugnis gegen Beschlüsse der Auf- 2 sichtsbehörde, welche sich gegen den Verantwortlichen oder den Auftragsverarbeiter richten und ihn in seinen Rechten betreffen. Mit „Beschlüssen“ sind dabei konkret-individuelle Entscheidungen der Aufsichtsbehörde gemeint, d.h. die verbindliche Anwendung der Verordnung gegenüber einer natürlichen oder juristischen Person im Einzelfall. Das ergibt sich u.a. aus einem Vergleich der Sprachfassungen (z.B. engl. decision, frz. décision). Die deutsche Übersetzung mit „Beschluss“ ist insofern etwas unglücklich. Die Klagebefugnis steht sowohl natürlichen Personen als auch juristischen Personen zu, die durch einen solchen Beschluss oder eine Entscheidung selbst betroffen sind. Verbände, die lediglich die Betroffenheit ihrer Mitglieder geltend machen können, sind damit nicht klagebefugt; für diese gilt Art. 80 als Sonderregelung. Die Betroffenheit ist hier im allgemeinen prozessrechtlichen Sinne einer konkret-individuellen, eigenen Betroffenheit zu verstehen. Der Rechtsschutz entspricht damit weitgehend demjenigen nach deutschem Recht gegenüber belastenden Verwaltungsakten (§ 42 VwGO). Als angreifbare Beschlüsse bzw. Verwaltungsakte kommen Verwarnungen und Anweisungen gemäß Art. 58 Abs. 2 Buchst. b–h und j sowie Genehmigungen bzw. die Verweigerung von Genehmigungen gemäß Art. 58 Abs. 3 Buchst. c, d, e, f, h, i, j in Betracht. Dabei handelt es sich um konkrete und reBecker

|

1301

Art. 78 DSGVO | Rechtsbehelfe, Haftung und Sanktionen gelnde Anordnungen, die in Form eines verwaltungsaktmäßigen Beschlusses ergehen können. Bei den übrigen in Art. 58 Abs. 2 und 3 genannten Fällen ist dies eher nicht der Fall. Bspw. kommt der Warnung gemäß Art. 58 Abs. 2 Buchst. a, dass eine beabsichtigte Verarbeitung voraussichtlich gegen die Verordnung verstoßen werde (sofern sie denn umgesetzt würde), nicht unmittelbar regelnder Charakter zu. Es handelt sich dabei lediglich um einen qualifizierten Beratungshinweis, der als solcher nicht rechtsverbindlich und damit auch nicht angreifbar ist. Darin unterscheidet sich dieser warnende Hinweis von der konkreten Verwarnung gemäß Art. 58 Abs. 3 Buchst. b, mit der festgestellt wird, dass ein Verantwortlicher oder ein Auftragsverarbeiter gegen die Verordnung nach Auffassung der Behörde bereits tatsächlich verstoßen hat. Ein weiteres Beispiel für eine fehlende verbindliche Regelung dürften die Stellungnahmen zu Verhaltensregeln oder deren Billigung gemäß Art. 58 Abs. 3 Buchst. d i.V.m. Art. 40 Abs. 5 sein, weil die Verhaltensregeln selbst nicht unmittelbar verbindlich sind und daher auch ihrer Autorisierung kein verbindlicher Charakter zukommt, auch wenn von einer offiziell gebilligten Verhaltensregelung faktisch eine quasi-regelnde Wirkung ausgehen kann. Es handelt sich in diesen Fällen aber um Empfehlungen, an die die betroffenen Marktteilnehmer und die Gerichte nicht gebunden sind und die daher auch nicht gerichtlich angegriffen werden können. Dieses Verständnis entspricht auch der Rechtslage unter der Datenschutzrichtlinie und dem BDSG, bei der die Billigung oder Missbilligung von unverbindlichen Verhaltensregeln durch Behörden kein Regelungscharakter zukommt.

III. Klagebefugnis bei Nichtbefassung mit Beschwerden (Abs. 2) 3 Art. 78 Abs. 2 regelt die Klagebefugnis, wenn sich die Aufsichtsbehörde nicht

mit einer Beschwerde des Betroffenen nach Art. 77 beschäftigt oder ihn nicht innerhalb von drei Monaten über den Stand oder das Ergebnis der gemäß Art. 77 erhobenen Beschwerde in Kenntnis setzt. Die Regelung entspricht im deutschen Recht offenkundig der Verpflichtungsklage in Form der Untätigkeitsklage (§ 42 Abs. 1 Alt. 2 i.V.m. § 75 VwGO), die ebenfalls an eine Frist von drei Monaten gebunden ist. Die Geltendmachung dieses Rechtsbehelfs steht ausdrücklich nur dem „Betroffenen“, d.h. dem Beschwerdeführer gemäß Art. 77 offen. Aus Art. 78 Abs. 2 lässt sich ein Anspruch des Verantwortlichen oder des Auftragsverarbeiters auf eine Entscheidung der Aufsichtsbehörde innerhalb eines bestimmten Zeitraums nicht ableiten. Es gibt insoweit kein allgemeines Beschleunigungsgebot, auch wenn der Schwebezustand hinsichtlich der Rechtmäßigkeit einer bestimmten Datenverarbeitung oder -übertragung insbesondere für Unternehmen äußerst problematisch sein kann.

1302

|

Becker

Rechtsbehelf gegen Aufsichtsbehörde | Art. 78 DSGVO

IV. Zuständige Gerichte (Abs. 3) Zuständig für Klagen gegen die Aufsichtsbehörde sind die Gerichte des Mit- 4 gliedstaates, in dem die Aufsichtsbehörde ihren Sitz hat (Abs. 3). Für die innerstaatlichen Zuständigkeiten gelten die allgemein Vorschriften des betreffenden Mitgliedstaates, d.h. in Deutschland die Bestimmungen der VwGO (vgl. § 52 VwGO).

V. Einbeziehung von Kohärenzbeschlüssen (Abs. 4) Art. 78 Abs. 4 regelt die Selbstverständlichkeit, dass im Fall eines gerichtlichen 5 Verfahrens dem Gericht auch ein Beschluss oder eine Stellungnahme des Kohärenzausschusses vorzulegen ist, der ggf. Grundlage der angegriffenen Entscheidung der Aufsichtsbehörde war. Es geht dabei vor allem um die verbindlichen Beschlüsse gemäß Art. 65 Abs. 1, mit denen der Kohärenzausschuss Meinungsverschiedenheiten bei der Zusammenarbeit verschiedener Aufsichtsbehörden gemäß Art. 60 Abs. 1, 4 beilegt. Nicht in Abs. 4 unmittelbar geregelt ist, welche Bindungswirkung einem Beschluss des Kohärenzausschusses vor einem innerstaatlichen Gericht zukommt. Dies ergibt sich nur aus den Erwägungsgründen, die diese Frage ausführlich behandeln1. Dort wird zunächst darauf hingewiesen, dass jeder berechtigt ist, Beschlüsse des Ausschusses unmittelbar durch Klage vor dem Gerichtshof anzufechten (Art. 263 AEUV). Als Adressaten solcher Beschlüsse müssen die betroffenen Aufsichtsbehörden, die diese Beschlüsse anfechten möchten, binnen zwei Monaten nach deren Übermittlung gemäß Art. 263 AEUV Klage erheben. Sofern Beschlüsse des Ausschusses einen Verantwortlichen, einen Auftragsverarbeiter oder den Beschwerdeführer unmittelbar und individuell betreffen, können diese Personen binnen zwei Monaten nach Veröffentlichung der betreffenden Beschlüsse auf der Website des Ausschusses im Einklang mit Art. 263 AEUV eine Klage auf Nichtigerklärung erheben. Sodann wird in den Erwägungsgründen dargelegt, welche Auswirkungen dieser Umstand auf das Verfahren vor den staatlichen Gerichten hat: Wird nämlich ein Beschluss einer Aufsichtsbehörde zur Umsetzung eines Beschlusses des Ausschusses vor einem einzelstaatlichen Gericht angefochten und wird die Gültigkeit des Beschlusses des Ausschusses in Frage gestellt, so hat das befasste einzelstaatliche Gericht nicht die Befugnis, den Beschluss des Ausschusses für nichtig zu erklären, sondern es muss im Einklang mit Art. 267 AEUV den Gerichtshof mit der Frage der Gültigkeit befassen, wenn es den Beschluss für nichtig hält. Allerdings darf ein einzelstaatliches Gericht den Gerichtshof nicht auf Anfrage einer natürlichen oder juristischen Person mit Fragen der Gültigkeit des Beschlusses des Ausschusses befassen, wenn diese Person Gelegenheit hatte, eine Klage auf Nichtigerklärung dieses Beschlusses zu erheben – insbesondere wenn sie un1 Vgl. Erwägungsgrund 143.

Becker

|

1303

Art. 79 DSGVO | Rechtsbehelfe, Haftung und Sanktionen mittelbar und individuell von dem Beschluss betroffen war –, diese Gelegenheit jedoch nicht innerhalb der Frist gemäß Art. 263 AEUV genutzt hat. Dies bedeutet, dass der Betroffene notfalls in doppelter Weise vorgehen muss und ihn betreffende Kohärenzbeschlüsse rechtzeitig vor dem Gerichtshof anfechten muss, wenn er dessen Unwirksamkeit später in einem nationalen Verfahren geltend machen will.

Artikel 79 Recht auf wirksamen gerichtlichen Rechtsbehelf gegen Verantwortliche oder Auftragsverarbeiter (1) Jede betroffene Person hat unbeschadet eines verfügbaren verwaltungsrechtlichen oder außergerichtlichen Rechtsbehelfs einschließlich des Rechts auf Beschwerde bei einer Aufsichtsbehörde gemäß Artikel 77 das Recht auf einen wirksamen gerichtlichen Rechtsbehelf, wenn sie der Ansicht ist, dass die ihr aufgrund dieser Verordnung zustehenden Rechte infolge einer nicht im Einklang mit dieser Verordnung stehenden Verarbeitung ihrer personenbezogenen Daten verletzt wurden. (2) Für Klagen gegen einen Verantwortlichen oder gegen einen Auftragsverarbeiter sind die Gerichte des Mitgliedstaats zuständig, in dem der Verantwortliche oder der Auftragsverarbeiter eine Niederlassung hat. Wahlweise können solche Klagen auch bei den Gerichten des Mitgliedstaats erhoben werden, in dem die betroffene Person ihren Aufenthaltsort hat, es sei denn, es handelt sich bei dem Verantwortlichen oder dem Auftragsverarbeiter um eine Behörde eines Mitgliedstaats, die in Ausübung ihrer hoheitlichen Befugnisse tätig geworden ist. I. Einführung . . . . . . . . . . . . . . . II. Recht auf wirksamen gerichtlichen Rechtsbehelf (Abs. 1) . . .

1

III. Gerichtliche Zuständigkeit (Abs. 2) . . . . . . . . . . . . . . . . . .

3

2

I. Einführung 1 Die Verordnung verlangt, dass dem Betroffenen nicht nur die Möglichkeit der

Beschwerde bei einer Aufsichtsbehörde zusteht, sondern der Betroffene auch unmittelbar gerichtlich gegen den Verantwortlichen oder den Auftragsverarbeiter vorgehen kann. Während Art. 79 Abs. 1 die Mitgliedstaaten verpflichtet, einen solchen Rechtsbehelf zur Verfügung zu stellen, regelt Art. 79 Abs. 2 die internationale Zuständigkeit der Gerichte im Verhältnis zwischen den Mitgliedstaaten.

1304

|

Becker

Art. 79 DSGVO | Rechtsbehelfe, Haftung und Sanktionen mittelbar und individuell von dem Beschluss betroffen war –, diese Gelegenheit jedoch nicht innerhalb der Frist gemäß Art. 263 AEUV genutzt hat. Dies bedeutet, dass der Betroffene notfalls in doppelter Weise vorgehen muss und ihn betreffende Kohärenzbeschlüsse rechtzeitig vor dem Gerichtshof anfechten muss, wenn er dessen Unwirksamkeit später in einem nationalen Verfahren geltend machen will.

Artikel 79 Recht auf wirksamen gerichtlichen Rechtsbehelf gegen Verantwortliche oder Auftragsverarbeiter (1) Jede betroffene Person hat unbeschadet eines verfügbaren verwaltungsrechtlichen oder außergerichtlichen Rechtsbehelfs einschließlich des Rechts auf Beschwerde bei einer Aufsichtsbehörde gemäß Artikel 77 das Recht auf einen wirksamen gerichtlichen Rechtsbehelf, wenn sie der Ansicht ist, dass die ihr aufgrund dieser Verordnung zustehenden Rechte infolge einer nicht im Einklang mit dieser Verordnung stehenden Verarbeitung ihrer personenbezogenen Daten verletzt wurden. (2) Für Klagen gegen einen Verantwortlichen oder gegen einen Auftragsverarbeiter sind die Gerichte des Mitgliedstaats zuständig, in dem der Verantwortliche oder der Auftragsverarbeiter eine Niederlassung hat. Wahlweise können solche Klagen auch bei den Gerichten des Mitgliedstaats erhoben werden, in dem die betroffene Person ihren Aufenthaltsort hat, es sei denn, es handelt sich bei dem Verantwortlichen oder dem Auftragsverarbeiter um eine Behörde eines Mitgliedstaats, die in Ausübung ihrer hoheitlichen Befugnisse tätig geworden ist. I. Einführung . . . . . . . . . . . . . . . II. Recht auf wirksamen gerichtlichen Rechtsbehelf (Abs. 1) . . .

1

III. Gerichtliche Zuständigkeit (Abs. 2) . . . . . . . . . . . . . . . . . .

3

2

I. Einführung 1 Die Verordnung verlangt, dass dem Betroffenen nicht nur die Möglichkeit der

Beschwerde bei einer Aufsichtsbehörde zusteht, sondern der Betroffene auch unmittelbar gerichtlich gegen den Verantwortlichen oder den Auftragsverarbeiter vorgehen kann. Während Art. 79 Abs. 1 die Mitgliedstaaten verpflichtet, einen solchen Rechtsbehelf zur Verfügung zu stellen, regelt Art. 79 Abs. 2 die internationale Zuständigkeit der Gerichte im Verhältnis zwischen den Mitgliedstaaten.

1304

|

Becker

Rechtsbehelf gegen Verantwortliche | Art. 79 DSGVO

II. Recht auf wirksamen gerichtlichen Rechtsbehelf (Abs. 1) Inhaltlich zielt die Rechtsgewährleistung des Abs. 1 darauf ab, dem Betroffenen 2 einen Unterlassungsanspruch gegen die verordnungswidrige Verarbeitung seiner personenbezogenen Daten an die Hand zu geben, der gerichtlich durchgesetzt werden kann. Materiell-rechtlich richten sich der Anspruch und seine Durchsetzung im deutschen Recht damit weiterhin nach den allgemeinen Bestimmungen mit unterschiedlichen Rechtswegen gegenüber öffentlichen und nicht-öffentlichen Stellen. Gegenüber einer fehlerhaften Datenverarbeitung durch öffentliche Stellen im Rahmen ihres hoheitlichen Handelns wird der Betroffene im Regelfall vor den Verwaltungsgerichten Rechtsschutz suchen müssen. Gegenüber einer rechtswidrigen Verarbeitung durch Unternehmen steht dem Betroffenen der Zivilrechtsweg offen, um vertragliche und deliktische Unterlassungsansprüche geltend zu machen. Da die entsprechenden Rechtsinstrumente im deutschen Recht vorhanden sind, ist derzeit nicht ersichtlich, dass es weiterer konkreter Umsetzungsmaßnahmen durch den deutschen Gesetzgeber bedürfte. Dies gilt des Weiteren auch für die Vollstreckung gerichtlicher Entscheidungen, die sich nach den allgemeinen prozessualen Vorschriften richtet. Im Regelfall wird es dabei um die Vollstreckung von Unterlassungstiteln gegen eine bestimmte Form der Datenverarbeitung oder -nutzung gehen.

III. Gerichtliche Zuständigkeit (Abs. 2) Die Regelung des Art. 79 Abs. 2 betrifft die internationale Zuständigkeit für 3 Klagen nach Abs. 1 und Schadensersatzklagen (Art. 82 Abs. 6). Abs. 2 räumt dem Betroffenen ein Wahlrecht ein. Grundsätzlich kann der Betroffene Klagen gegen einen Verantwortlichen oder einen Auftragsverarbeiter in dem Mitgliedstaat erheben, in dem der Beklagte eine Niederlassung hat. Alternativ kann der Betroffene die Klage aber auch in dem Mitgliedstaat erheben, in dem er seinen eigenen Aufenthaltsort hat. Dabei kommt es nach dem Wortlaut erkennbar nicht auf die Nationalität des Betroffenen an, sondern lediglich auf seinen tatsächlichen Aufenthaltsort. Gerade im Verhältnis zwischen Verbrauchern und verarbeitenden Unternehmen führt dies zu einer wichtigen Stärkung der Betroffenenrechte, weil der Betroffene bisher das Unternehmen im Zweifel an seinem (ausländischen) Sitz verklagen musste, während er nunmehr die Klage vor heimischen Gerichten einreichen kann. Die Verordnung verlangt bei genauem Hinsehen nur, dass der Betroffene innerhalb seines Sitzlandes klagen kann. Die Verordnung gibt nicht vor, dass sich auch die innerstaatliche (örtliche) Zuständigkeit allein oder vorrangig nach dem Aufenthaltsort des Betroffenen richten muss. Insoweit können im innerstaatlichen Recht bestehende Regelungen zur örtlichen Zuständigkeit von Gerichten bestehen bleiben und auch einen vom Aufenthaltsort innerhalb des Mitgliedstaats abweichenden Gerichtsstand vorsehen (denkbare wäre z.B. eine Konzentration auf spezialisierte Gerichte). Becker

|

1305

Art. 80 DSGVO | Rechtsbehelfe, Haftung und Sanktionen 4 Als Ausnahme von dem Wahlrecht des Betroffenen sieht die Verordnung für

den öffentlichen Bereich vor, dass die Klage gegen eine Behörde nur vor den Gerichten des Mitgliedstaates zulässig, an dem die Behörde ihren Sitz hat. Dies gilt nicht, wenn die Behörde nicht hoheitlich, sondern rein fiskalisch handelt.

Artikel 80 Vertretung von betroffenen Personen (1) Die betroffene Person hat das Recht, eine Einrichtung, Organisationen oder Vereinigung ohne Gewinnerzielungsabsicht, die ordnungsgemäß nach dem Recht eines Mitgliedstaats gegründet ist, deren satzungsmäßige Ziele im öffentlichem Interesse liegen und die im Bereich des Schutzes der Rechte und Freiheiten von betroffenen Personen in Bezug auf den Schutz ihrer personenbezogenen Daten tätig ist, zu beauftragen, in ihrem Namen eine Beschwerde einzureichen, in ihrem Namen die in den Artikeln 77, 78 und 79 genannten Rechte wahrzunehmen und das Recht auf Schadensersatz gemäß Artikel 82 in Anspruch zu nehmen, sofern dieses im Recht der Mitgliedstaaten vorgesehen ist. (2) Die Mitgliedstaaten können vorsehen, dass jede der in Absatz 1 des vorliegenden Artikels genannten Einrichtungen, Organisationen oder Vereinigungen unabhängig von einem Auftrag der betroffenen Person in diesem Mitgliedstaat das Recht hat, bei der gemäß Artikel 77 zuständigen Aufsichtsbehörde eine Beschwerde einzulegen und die in den Artikeln 78 und 79 aufgeführten Rechte in Anspruch zu nehmen, wenn ihres Erachtens die Rechte einer betroffenen Person gemäß dieser Verordnung infolge einer Verarbeitung verletzt worden sind. I. Einführung . . . . . . . . . . . . . . . II. Vertretung von Betroffenen (Abs. 1) . . . . . . . . . . . . . . . . . .

1

III. Eigenständige Verbandsklage (Abs. 2) . . . . . . . . . . . . . . . . . .

4

2

I. Einführung 1 Die Verordnung erweitert den individuellen Rechtsschutz, der durch die Rechts-

behelfe des Art. 77–79 sowie die Schadensersatzansprüche des Art. 82 gewährleistet wird, um die Möglichkeit, sich bei der Geltendmachung vertreten zu lassen (Art. 80 Abs. 1) bzw. um ein Recht zur Verbandsklage (Art. 80 Abs. 2). Die sachliche Berechtigung hierfür ergibt sich daraus, dass es sich beim Datenschutzrecht der DSGVO nicht nur um ein höchstpersönliches Recht der Betroffenen handelt, sondern es sich in gewisser Weise auch um Verbraucher- und

1306

|

Becker

Art. 80 DSGVO | Rechtsbehelfe, Haftung und Sanktionen 4 Als Ausnahme von dem Wahlrecht des Betroffenen sieht die Verordnung für

den öffentlichen Bereich vor, dass die Klage gegen eine Behörde nur vor den Gerichten des Mitgliedstaates zulässig, an dem die Behörde ihren Sitz hat. Dies gilt nicht, wenn die Behörde nicht hoheitlich, sondern rein fiskalisch handelt.

Artikel 80 Vertretung von betroffenen Personen (1) Die betroffene Person hat das Recht, eine Einrichtung, Organisationen oder Vereinigung ohne Gewinnerzielungsabsicht, die ordnungsgemäß nach dem Recht eines Mitgliedstaats gegründet ist, deren satzungsmäßige Ziele im öffentlichem Interesse liegen und die im Bereich des Schutzes der Rechte und Freiheiten von betroffenen Personen in Bezug auf den Schutz ihrer personenbezogenen Daten tätig ist, zu beauftragen, in ihrem Namen eine Beschwerde einzureichen, in ihrem Namen die in den Artikeln 77, 78 und 79 genannten Rechte wahrzunehmen und das Recht auf Schadensersatz gemäß Artikel 82 in Anspruch zu nehmen, sofern dieses im Recht der Mitgliedstaaten vorgesehen ist. (2) Die Mitgliedstaaten können vorsehen, dass jede der in Absatz 1 des vorliegenden Artikels genannten Einrichtungen, Organisationen oder Vereinigungen unabhängig von einem Auftrag der betroffenen Person in diesem Mitgliedstaat das Recht hat, bei der gemäß Artikel 77 zuständigen Aufsichtsbehörde eine Beschwerde einzulegen und die in den Artikeln 78 und 79 aufgeführten Rechte in Anspruch zu nehmen, wenn ihres Erachtens die Rechte einer betroffenen Person gemäß dieser Verordnung infolge einer Verarbeitung verletzt worden sind. I. Einführung . . . . . . . . . . . . . . . II. Vertretung von Betroffenen (Abs. 1) . . . . . . . . . . . . . . . . . .

1

III. Eigenständige Verbandsklage (Abs. 2) . . . . . . . . . . . . . . . . . .

4

2

I. Einführung 1 Die Verordnung erweitert den individuellen Rechtsschutz, der durch die Rechts-

behelfe des Art. 77–79 sowie die Schadensersatzansprüche des Art. 82 gewährleistet wird, um die Möglichkeit, sich bei der Geltendmachung vertreten zu lassen (Art. 80 Abs. 1) bzw. um ein Recht zur Verbandsklage (Art. 80 Abs. 2). Die sachliche Berechtigung hierfür ergibt sich daraus, dass es sich beim Datenschutzrecht der DSGVO nicht nur um ein höchstpersönliches Recht der Betroffenen handelt, sondern es sich in gewisser Weise auch um Verbraucher- und

1306

|

Becker

Vertretung von betroffenen Personen | Art. 80 DSGVO

Arbeitnehmerschutzrecht handelt, dessen individuelle Durchsetzung mit den typischen Schwierigkeiten beider Bereiche belastet wird: Der Nachteil durch eine rechtswidrige Verarbeitung für den Einzelnen ist häufig zwar belastend, aber wirtschaftlich von geringer oder nicht quantifizierbarer Bedeutung. Die Sachverhalte und ihre rechtliche Beurteilung sind demgegenüber häufig komplex und für den Verbraucher oder Arbeitnehmer nicht ohne Weiteres zu bewältigen. Möglicher Erfolg und Aufwand von Rechtsbehelfen stehen daher häufig in einem groben Missverhältnis für den Einzelnen. Im Arbeitsverhältnis kommt hinzu, dass der Einzelne bei der Geltendmachung seiner Rechte Nachteile für sein Arbeitsverhältnis befürchten muss und er deshalb eine Beeinträchtigung seiner Rechte zur Vermeidung von Nachteilen häufig hinnehmen wird. Kollektive Formen der Geltendmachung von Rechtsbehelfen gleichen diese strukturelle Benachteiligung der Betroffenen aus.

II. Vertretung von Betroffenen (Abs. 1) Art. 80 Abs. 1 gibt dem einzelnen Betroffenen grundsätzlich das Recht, seine 2 Rechte durch besondere Einrichtungen, Organisationen oder Vereinigungen wahrnehmen zu lassen. Es liegt auf der Hand, dass der Vorteil dieser Vertretung nicht so sehr im Einzelfall liegt, sondern darin, dass entsprechende Organisationen die Rechte für eine Vielzahl von Fällen wahrnehmen. Dem Verordnungsgeber ging es dabei darum, zu verhindern, dass sich daraus ein kommerzieller Geschäftszweig entwickelt, bei dem die Rechtewahrnehmung in erster Linie zum Selbstzweck wird und die betreffenden Organisationen hieraus ein Geschäftsmodell machen, bei dem die persönliche Betroffenheit des Einzelnen in den Hintergrund tritt. Aus diesem Grund verlangt Abs. 1, dass zur Vertretung nur solche Organisationen berechtigt sein sollen, die ohne Gewinnerzielungsabsicht handeln, die ordnungsgemäß nach dem Recht eines Mitgliedstaats gegründet wurden, deren satzungsmäßige Ziele im öffentlichen Interesse liegen und die im Bereich des Datenschutzes tätig sind. Im weiteren Sinn muss es sich mithin um gemeinnützige Organisationen handeln, die sich dem Schutz des Persönlichkeitsrechts im Rahmen der Verarbeitung personenbezogener Daten verschrieben haben. Entgegen der Entwurfsfassung des Rates verlangt Abs. 1 jedoch gerade nicht, dass der Schutz des Datenschutzes auch Teil der satzungsmäßigen Zielsetzung der Organisation sein muss. Vielmehr muss die Organisation nur in diesem Bereich tätig sein. Das bedeutet, dass solange die Organisation gemeinnützig ist, sie auch primär oder zusätzlich andere satzungsmäßige Ziele verfolgen kann. Der Begriff der Gemeinnützigkeit ist dabei autonom auszulegen und nicht etwa zwingend an die steuerliche Beurteilung in einem Mitgliedstaat geknüpft. Die Gemeinnützigkeit muss dem Wortlaut der Vorschrift nach für die Organisation als solche in ihrer Gesamtheit zu bejahen sein, d.h. es genügt nicht, dass nur ein Teil der Organisation gemeinnützige Zwecke verfolgt. Die Abgrenzung dürfte im Einzelfall Schwierigkeiten bereiten. Ein typisches Beispiel für eine vertretungsBecker

|

1307

Art. 80 DSGVO | Rechtsbehelfe, Haftung und Sanktionen berechtigte Organisation wäre etwa ein Verbraucherschutzverband. Auch politische Parteien, Bürgerinitiativen oder Gewerkschaften können als gemeinnützig anzusehen sein und daher als relevante Organisationen zur Vertretung von Betroffenen hinsichtlich ihrer individuellen Rechte in Frage kommen. 3 Das Vertretungsrecht bei der Geltendmachung von Schadensersatz steht unter

dem Vorbehalt, dass es im Recht des jeweiligen Mitgliedstaates vorgesehen ist (vgl. Abs. 1 a.E.). Im Ergebnis entscheidet damit der nationale Gesetzgeber darüber, ob die Vertretung und kollektive Geltendmachung von Schadensersatzansprüchen im Namen von einzelnen oder vielen Betroffenen zulässig ist1. Bisher gibt es eine solche Regelung im deutschen Recht nicht und es dürfte sich auch nicht um eine Priorität des deutschen Gesetzgebers für die bevorstehende „Umsetzung“ der Verordnung handeln.

III. Eigenständige Verbandsklage (Abs. 2) 4 Ebenfalls im Ermessen des Mitgliedstaates steht die in Abs. 2 vorgesehene Ver-

bandsklage. Nach dem Wortlaut der Bestimmung können die Mitgliedstaaten diese vorsehen, müssen dies aber nicht. Die Regelung sieht vor, dass der Mitgliedstaat Verbänden sowohl das Recht zur Beschwerde nach Art. 77 bei einer Aufsichtsbehörde als auch die unmittelbare Klagemöglichkeit gegen Verantwortliche und Auftragsverarbeiter gemäß Art. 78 und 79 einräumen kann. Für die Geltendmachung dieser Rechte gelten dabei grundsätzlich die Ausführungen zu den genannten Artikeln.

5 Die Einräumung eines eigenen Beschwerderechts (Art. 77) für Verbände stellt

als solche grundsätzlich keine Besonderheit dar. Aufgrund des Amtsermittlungsgrundsatzes kann ohnehin jedermann auch ohne selbst betroffen zu sein, eine Eingabe bei der Aufsichtsbehörde machen und damit das Tätigwerden der Aufsichtsbehörde anstoßen. Abs. 2 räumt dem Verband jedoch zusätzlich die Klagemöglichkeiten des Art. 78 ein und gibt dem Verband damit ein erhebliches weiteres Druckmittel an die Hand, das in dieser Form bisher in Deutschland nicht vorhanden ist. Ob der deutsche Gesetzgeber von dieser Möglichkeit Gebrauch machen wird, bleibt abzuwarten. Im Hinblick auf die individuellen Rechtsschutzmöglichkeiten aus Art. 77, 78 und 79 und ein ggf. bestehendes Vertre-

1 Der Wortlaut dieses Vorbehalts könnte in der deutschen Fassung sowohl auf die Rechtsbehelfe gemäß Art. 77, 78 und 79 als auch auf die Schadensersatzansprüche nach Art. 82 bezogen werden. Tatsächlich ergibt sich jedoch insbesondere aus der englischen Fassung der Verordnung (vgl. Erwägungsgrund 142 der englischen Fassung), dass der Vorbehalt nur für Schadensersatzklagen gilt. Der Grund für diesen nationalen Vorbehalt ist darin zu sehen, dass in den Mitgliedstaaten die Instrumente der Verbands- bzw. Sammelklagen sehr unterschiedlich geregelt sind und eine einheitliche Linie daher nicht durchsetzbar war.

1308

|

Becker

Aussetzung des Verfahrens | Art. 81 DSGVO

tungsrecht durch Verbände gemäß Abs. 1 scheint ein zusätzlicher Klageweg über Verbände rechtsstaatlich nicht geboten. Die Zweckmäßigkeit oder Notwendigkeit dieses Rechtsbehelfs wird im Ergebnis vom Gesamtpaket abhängen, mit dem der deutsche Gesetzgebe die Regelungen des Art. 80 ausgestaltet. Ein besonders scharfes Schwert ist jedoch die eigentliche Verbandsklage gegen 6 Verantwortliche und Auftragsverarbeiter gemäß Abs. 2 i.V.m. Art. 79. Denn diese eröffnet die unmittelbare und eigenständige Verfolgung von individuellen Rechtsverletzungen. Entgegen der Überschrift des Art. 80 handelt es sich dabei nicht mehr bloß um die Vertretung, sondern eben um die eigenständige Geltendmachung von Verstößen gegen die Verordnung unabhängig von einem Auftrag betroffener Personen. Der deutsche Gesetzgeber hat diese Möglichkeit bereits mit der Aufnahme von Datenschutzverstößen zum Nachteil von Verbrauchern in das Unterlassungsklagengesetz eröffnet (vgl. § 2 Abs. 1 Satz 2, Abs. 2 Nr. 11 UKlaG). Eine gewisse Einschränkung ergibt sich hierbei dadurch, dass das Klagegerecht nur im Zusammenhang mit der Datenverarbeitung zu Zwecken der Werbung, der Markt- und Meinungsforschung, des Betreibens einer Auskunftei, des Erstellens von Persönlichkeits- und Nutzungsprofilen, des Adresshandels, des sonstigen Datenhandels oder zu vergleichbaren kommerziellen Zwecken besteht (vgl. § 2 Abs. 2 Nr. 11 UKlaG). Die Zulässigkeit der Regelung nach Art. 80 Abs. 2 steht außer Frage. Umgekehrt ist aber auch zulässig, dass der deutsche Gesetzgeber die Unterlassungsklage „nur“ für diesen Bereich eröffnet. Art. 80 räumt dem nationalen Gesetzgeber insoweit eine Befugnis ein, die er auch lediglich für Teilbereiche nutzen kann. Insoweit gilt kein „Alles oder Nichts“-Prinzip.

Artikel 81 Aussetzung des Verfahrens (1) Erhält ein zuständiges Gericht in einem Mitgliedstaat Kenntnis von einem Verfahren zu demselben Gegenstand in Bezug auf die Verarbeitung durch denselben Verantwortlichen oder Auftragsverarbeiter, das vor einem Gericht in einem anderen Mitgliedstaat anhängig ist, so nimmt es mit diesem Gericht Kontakt auf, um sich zu vergewissern, dass ein solches Verfahren existiert. (2) Ist ein Verfahren zu demselben Gegenstand in Bezug auf die Verarbeitung durch denselben Verantwortlichen oder Auftragsverarbeiter vor einem Gericht in einem anderen Mitgliedstaat anhängig, so kann jedes später angerufene zuständige Gericht das bei ihm anhängige Verfahren aussetzen. (3) Sind diese Verfahren in erster Instanz anhängig, so kann sich jedes später angerufene Gericht auf Antrag einer Partei auch für unzuständig erklären, wenn das zuerst angerufene Gericht für die betreffenden Klagen zuständig ist und die Verbindung der Klagen nach seinem Recht zulässig ist. Becker

|

1309

Aussetzung des Verfahrens | Art. 81 DSGVO

tungsrecht durch Verbände gemäß Abs. 1 scheint ein zusätzlicher Klageweg über Verbände rechtsstaatlich nicht geboten. Die Zweckmäßigkeit oder Notwendigkeit dieses Rechtsbehelfs wird im Ergebnis vom Gesamtpaket abhängen, mit dem der deutsche Gesetzgebe die Regelungen des Art. 80 ausgestaltet. Ein besonders scharfes Schwert ist jedoch die eigentliche Verbandsklage gegen 6 Verantwortliche und Auftragsverarbeiter gemäß Abs. 2 i.V.m. Art. 79. Denn diese eröffnet die unmittelbare und eigenständige Verfolgung von individuellen Rechtsverletzungen. Entgegen der Überschrift des Art. 80 handelt es sich dabei nicht mehr bloß um die Vertretung, sondern eben um die eigenständige Geltendmachung von Verstößen gegen die Verordnung unabhängig von einem Auftrag betroffener Personen. Der deutsche Gesetzgeber hat diese Möglichkeit bereits mit der Aufnahme von Datenschutzverstößen zum Nachteil von Verbrauchern in das Unterlassungsklagengesetz eröffnet (vgl. § 2 Abs. 1 Satz 2, Abs. 2 Nr. 11 UKlaG). Eine gewisse Einschränkung ergibt sich hierbei dadurch, dass das Klagegerecht nur im Zusammenhang mit der Datenverarbeitung zu Zwecken der Werbung, der Markt- und Meinungsforschung, des Betreibens einer Auskunftei, des Erstellens von Persönlichkeits- und Nutzungsprofilen, des Adresshandels, des sonstigen Datenhandels oder zu vergleichbaren kommerziellen Zwecken besteht (vgl. § 2 Abs. 2 Nr. 11 UKlaG). Die Zulässigkeit der Regelung nach Art. 80 Abs. 2 steht außer Frage. Umgekehrt ist aber auch zulässig, dass der deutsche Gesetzgeber die Unterlassungsklage „nur“ für diesen Bereich eröffnet. Art. 80 räumt dem nationalen Gesetzgeber insoweit eine Befugnis ein, die er auch lediglich für Teilbereiche nutzen kann. Insoweit gilt kein „Alles oder Nichts“-Prinzip.

Artikel 81 Aussetzung des Verfahrens (1) Erhält ein zuständiges Gericht in einem Mitgliedstaat Kenntnis von einem Verfahren zu demselben Gegenstand in Bezug auf die Verarbeitung durch denselben Verantwortlichen oder Auftragsverarbeiter, das vor einem Gericht in einem anderen Mitgliedstaat anhängig ist, so nimmt es mit diesem Gericht Kontakt auf, um sich zu vergewissern, dass ein solches Verfahren existiert. (2) Ist ein Verfahren zu demselben Gegenstand in Bezug auf die Verarbeitung durch denselben Verantwortlichen oder Auftragsverarbeiter vor einem Gericht in einem anderen Mitgliedstaat anhängig, so kann jedes später angerufene zuständige Gericht das bei ihm anhängige Verfahren aussetzen. (3) Sind diese Verfahren in erster Instanz anhängig, so kann sich jedes später angerufene Gericht auf Antrag einer Partei auch für unzuständig erklären, wenn das zuerst angerufene Gericht für die betreffenden Klagen zuständig ist und die Verbindung der Klagen nach seinem Recht zulässig ist. Becker

|

1309

Art. 81 DSGVO | Rechtsbehelfe, Haftung und Sanktionen 1 Art. 81 regelt nach allgemeinen Grundsätzen des internationalen Zivilprozess-

rechts mögliche Konflikte, die sich durch eine doppelte Anhängigkeit desselben prozessualen Gegenstandes ergeben können. Es liegt auf der Hand, dass bei Anhängigkeit desselben Gegenstandes bei unterschiedlichen Gerichten die Gefahr einander widersprechender Entscheidungen besteht. Dem soll Art. 81 entgegenwirken. Ob die (rudimentäre) Regelung als solche notwendig ist, kann bezweifelt werden. Auch ohne die Erwähnung in Art. 81 wäre man wohl aufgrund allgemeiner prozessualer Prinzipien gemäß Art. 27 EuGVVO1 und nach dem Rechte der Mitgliedstaaten zum gleichen Ergebnis gekommen.

2 Art. 81 geht davon aus, dass das Gericht nicht selbst nachforschen muss, ob

möglicherweise in einem anderweitigen Staat ein Verfahren anhängig ist. Vielmehr wird es im Regelfall von einer der Parteien auf diesen Umstand hingewiesen werden, weil insbesondere Verantwortliche und Auftragsverarbeiter sich dagegen wehren werden, in derselben Angelegenheit vor zwei unterschiedlichen Gerichten und unterschiedlichen Mitgliedstaaten in Anspruch genommen zu werden. Daher sieht Abs. 1 vor, dass das zuständige (oder besser: befasste) Gericht, das von einem solchen Umstand Kenntnis erlangt, zunächst das andere Gericht kontaktiert, um sich zu vergewissern, dass es tatsächlich ein anderes anhängiges Verfahren gibt und ob dieses Verfahren dieselben Parteien und denselben Gegenstand betrifft wie das eigene Verfahren. Ist dies der Fall und war das andere Verfahren früher als das eigene Verfahren anhängig, kann das später angerufene Gericht das bei ihm anhängige Verfahren aussetzen (Abs. 2). Geschieht dies im ersten Rechtszug, kann das später angerufene Gericht sich auch ganz für unzuständig erklären und die Parteien an das zuerst angerufene Gericht verweisen (Abs. 3).

3 Im Zusammenhang mit den Regelungen des Art. 81 stellen sich sicherlich eine

ganze Reihe von Detailfragen, insbesondere zur Kommunikation zwischen den Gerichten, zur Bestimmung der Identität der Gegenstände, zum Ermessen des Gerichts hinsichtlich der Aussetzung und vieles mehr. So wirft etwa die Bezugnahme auf den „denselben Gegenstand“ und „dieselben Verantwortlichen“ die Frage auf, ob dies bedeuten kann, dass bei unterschiedlichen Betroffenen (und damit Klägern), aber denselben technischen und inhaltlichen Verarbeitungsvorgängen tatsächlich „derselbe Gegenstand“ gegeben ist. Dies erscheint durchaus naheliegend, weil es gerade bei massenhaften Verarbeitungsvorgängen sinnvoll wäre eine einheitliche Beurteilung und Entscheidung hinsichtlich der Zulässigkeit einer bestimmten Datenverarbeitung herbeizuführen. Prozessual handelt es sich jedoch nach herkömmlicher Anschauung bei unterschiedlichen Klägern um unterschiedliche prozessuale Gegenstände. Eine Aussetzung käme daher nicht in Betracht. Ob demgegenüber Abs. 3 mit dem Hinweis auf die „Verbindung 1 Verordnung (EU) Nr. 1215/2012 vom 12.12.2012 über die gerichtliche Zuständigkeit und die Anerkennung und Vollstreckung von Entscheidungen in Zivil- und Handelssachen, ABl. L 351/1.

1310

|

Becker

Haftung und Recht auf Schadenersatz | Art. 82 DSGVO

der Klagen“ vielmehr eine Bündelung solcher gerade nicht identischer Gegenstände vor demselben Gericht erreichen möchte, ist unklar. Die Rechtsprechung wird hier angemessene Lösungen unter Rückgriff auf die EuGVVO und unter Inanspruchnahme des Vorabentscheidungsverfahrens (Art. 267 Abs. 2 AEUV) entwickeln müssen.

Artikel 82 Haftung und Recht auf Schadenersatz (1) Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter. (2) Jeder an einer Verarbeitung beteiligte Verantwortliche haftet für den Schaden, der durch eine nicht dieser Verordnung entsprechende Verarbeitung verursacht wurde. Ein Auftragsverarbeiter haftet für den durch eine Verarbeitung verursachten Schaden nur dann, wenn er seinen speziell den Auftragsverarbeitern auferlegten Pflichten aus dieser Verordnung nicht nachgekommen ist oder unter Nichtbeachtung der rechtmäßig erteilten Anweisungen des für die Datenverarbeitung Verantwortlichen oder gegen diese Anweisungen gehandelt hat. (3) Der Verantwortliche oder der Auftragsverarbeiter wird von der Haftung gemäß Absatz 2 befreit, wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist. (4) Ist mehr als ein Verantwortlicher oder mehr als ein Auftragsverarbeiter bzw. sowohl ein Verantwortlicher als auch ein Auftragsverarbeiter an derselben Verarbeitung beteiligt und sind sie gemäß den Absätzen 2 und 3 für einen durch die Verarbeitung verursachten Schaden verantwortlich, so haftet jeder Verantwortliche oder jeder Auftragsverarbeiter für den gesamten Schaden, damit ein wirksamer Schadensersatz für die betroffene Person sichergestellt ist. (5) Hat ein Verantwortlicher oder Auftragsverarbeiter gemäß Absatz 4 vollständigen Schadenersatz für den erlittenen Schaden gezahlt, so ist dieser Verantwortliche oder Auftragsverarbeiter berechtigt, von den übrigen an derselben Verarbeitung beteiligten für die Datenverarbeitung Verantwortlichen oder Auftragsverarbeitern den Teil des Schadenersatzes zurückzufordern, der unter den in Absatz 2 festgelegten Bedingungen ihrem Anteil an der Verantwortung für den Schaden entspricht. (6) Mit Gerichtsverfahren zur Inanspruchnahme des Rechts auf Schadenersatz sind die Gerichte zu befassen, die nach den in Artikel 79 Absatz 2 genannten Rechtsvorschriften des Mitgliedstaats zuständig sind. Becker

|

1311

Haftung und Recht auf Schadenersatz | Art. 82 DSGVO

der Klagen“ vielmehr eine Bündelung solcher gerade nicht identischer Gegenstände vor demselben Gericht erreichen möchte, ist unklar. Die Rechtsprechung wird hier angemessene Lösungen unter Rückgriff auf die EuGVVO und unter Inanspruchnahme des Vorabentscheidungsverfahrens (Art. 267 Abs. 2 AEUV) entwickeln müssen.

Artikel 82 Haftung und Recht auf Schadenersatz (1) Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter. (2) Jeder an einer Verarbeitung beteiligte Verantwortliche haftet für den Schaden, der durch eine nicht dieser Verordnung entsprechende Verarbeitung verursacht wurde. Ein Auftragsverarbeiter haftet für den durch eine Verarbeitung verursachten Schaden nur dann, wenn er seinen speziell den Auftragsverarbeitern auferlegten Pflichten aus dieser Verordnung nicht nachgekommen ist oder unter Nichtbeachtung der rechtmäßig erteilten Anweisungen des für die Datenverarbeitung Verantwortlichen oder gegen diese Anweisungen gehandelt hat. (3) Der Verantwortliche oder der Auftragsverarbeiter wird von der Haftung gemäß Absatz 2 befreit, wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist. (4) Ist mehr als ein Verantwortlicher oder mehr als ein Auftragsverarbeiter bzw. sowohl ein Verantwortlicher als auch ein Auftragsverarbeiter an derselben Verarbeitung beteiligt und sind sie gemäß den Absätzen 2 und 3 für einen durch die Verarbeitung verursachten Schaden verantwortlich, so haftet jeder Verantwortliche oder jeder Auftragsverarbeiter für den gesamten Schaden, damit ein wirksamer Schadensersatz für die betroffene Person sichergestellt ist. (5) Hat ein Verantwortlicher oder Auftragsverarbeiter gemäß Absatz 4 vollständigen Schadenersatz für den erlittenen Schaden gezahlt, so ist dieser Verantwortliche oder Auftragsverarbeiter berechtigt, von den übrigen an derselben Verarbeitung beteiligten für die Datenverarbeitung Verantwortlichen oder Auftragsverarbeitern den Teil des Schadenersatzes zurückzufordern, der unter den in Absatz 2 festgelegten Bedingungen ihrem Anteil an der Verantwortung für den Schaden entspricht. (6) Mit Gerichtsverfahren zur Inanspruchnahme des Rechts auf Schadenersatz sind die Gerichte zu befassen, die nach den in Artikel 79 Absatz 2 genannten Rechtsvorschriften des Mitgliedstaats zuständig sind. Becker

|

1311

Art. 82 DSGVO | Rechtsbehelfe, Haftung und Sanktionen I. Einführung . . . . . . . . . . . . . . . II. Ersatzanspruch und Exkulpationsmöglichkeit (Abs. 1, 3) . III. Haftung des Verantwortlichen und des Auftragsverarbeiters (Abs. 2) . . . . . . . . . . . . . . . . . .

1 2

IV. Gemeinsame Haftung, Ausgleich zwischen den Beteiligten (Abs. 4, 5) . . . . . . . V. Geltendmachung (Abs. 6) . . . .

7 8

6

I. Einführung 1 Das Recht auf Ersatz des materiellen und immateriellen Schadens stellt grund-

sätzlich eine der zentralen Sanktionen bei Verstoß gegen die Bestimmungen der Verordnung dar. Wie bisher die Bestimmungen der §§ 7, 8 BDSG stellt die Regelung eine eigenständige Anspruchsgrundlage dar, die nach den Regeln des Gemeinschaftsrechts auszulegen ist. Die Regelung gilt unterschiedslos für den öffentlichen und nicht-öffentlichen Bereich. Sie geht für den nicht-öffentlichen Bereich über die Regelung des § 7 BDSG insoweit hinaus, als sie nicht nur den Ersatz des materiellen, sondern auch des immateriellen Schadens anordnet. Ferner ist sie hinsichtlich des immateriellen Schadens weiter als § 8 Abs. 2 BDSG gefasst, der einen Ersatz des immateriellen Schadens nur bei schweren Verletzungen des Persönlichkeitsrechts vorsieht. Anders als § 8 Abs. 3 BDSG enthält die Regelung zudem keine betragsmäßige Haftungsbegrenzung für den öffentlichen Bereich. Das Fehlen der im deutschen Recht vorgesehenen Einschränkungen der Ersatzansprüche für immaterielle Schäden ist generell zu begrüßen. Hinsichtlich der höhenmäßigen Begrenzung der Haftung in § 8 Abs. 3 BDSG gilt dies schon deshalb, weil sich die ursprüngliche Befürchtung einer uferlosen Haftung der öffentlichen Hand in keiner Weise bewahrheitet hat. Auch die Begrenzung des Ersatzanspruchs auf Fälle schwerer Persönlichkeitsverletzungen erscheint nicht notwendig. Sie entspricht zwar der gefestigten deutschen Rechtsprechung zum immateriellen Schaden bei Persönlichkeitsrechtsverletzungen (vgl. Komm. zu § 8 BDSG Rz. 11). Diese Begrenzung führt aber gerade bei typischen Datenschutzverletzungen im Bagatellbereich zum Entfallen des Schmerzensgeldes und stellt daher im deutschen Recht keine ernsthaft abschreckende und wirksame Sanktion dar. Art. 82 gilt unbeschadet von Schadensersatzforderungen aufgrund von Verstößen gegen andere Vorschriften des Unionsrechts oder des Rechts der Mitgliedstaaten1. Dies bedeutet, dass neben dem Anspruch aus Art. 82 weitergehendere oder einfacher durchzusetzende Ansprüche nach nationalem Recht bestehen bleiben.

1 Erwägungsgrund 146 Satz 4.

1312

|

Becker

Haftung und Recht auf Schadenersatz | Art. 82 DSGVO

II. Ersatzanspruch und Exkulpationsmöglichkeit (Abs. 1, 3) Der in Abs. 1 vorgesehene Ersatzanspruch steht nach dem Wortlaut „jeder Per- 2 son“ zu und scheint damit zunächst denkbar weit. Aufgrund der weiteren Tatbestandselemente ist aber davon auszugehen, dass der Anspruch in Wahrheit nur dem „Betroffenen“ zustehen soll, dessen Daten rechtswidrig verarbeitet wurden. Denn zum einen erfordert der Ersatzanspruch, dass der Schaden „wegen des Verstoßes“ entstanden ist, also durch den Verstoß (kausal) verursacht wurde. Zum anderen richten sich die maßgeblichen Verhaltenspflichten, welche dem Verstoß zugrunde liegen, gegen den Verantwortlichen bzw. unter bestimmten Voraussetzungen gegen den Auftragsverarbeiter. Deren Verpflichtungen beziehen sich jedoch auf die Daten des Betroffenen und schützen nicht etwaige Drittinteressen. Abs. 1 ist also nicht Grundlage für uferlose Drittansprüche von Personen, die zwar möglicherweise ein Interesse an der ordnungsgemäßen Datenverarbeitung haben, die aber nicht selbst Betroffene sind (z.B. Bank, die von einem Verarbeiter eine falsche Bonitätsauskunft über einen Kunden erhält). Abs. 1 ist auch nicht Grundlage für Ersatzansprüche von Wettbewerben mit dem Argument, dass das verletzende Unternehmen sich durch die Missachtung der datenschutzrechtlichen Bestimmungen einen Wettbewerbsvorteil zum Schaden anderer Unternehmen verschafft hat. Ebensowenig ist Abs. 1 Anspruchsgrundlage zwischen dem Verantwortlichen und dem Auftragsverarbeiter, – deren wechselseitige Ansprüche untereinander richten sich im Zweifel nach den zwischen ihnen bestehenden vertraglichen Abreden oder nach Deliktsrecht, wobei den Bestimmungen der Verordnung im Innenverhältnis zwischen dem Verantwortlichen und dem Auftragsverarbeiter grundsätzlich auch keine drittschützende Wirkung zukommt. Der schadensverursachende Verstoß kann sich nach den Erwägungsgründen 3 nicht nur unmittelbar auf die Regelungen der Verordnung beziehen, sondern auch auf delegierte Rechtsakte sowie Durchführungsakte und Rechtsvorschriften der Mitgliedstaaten zur Präzisierung der Verordnung1. Damit ist klargestellt, dass die Ersatzpflicht für alle Verstöße gegen materielles Datenschutzrecht gilt, das auf der Verordnung beruht. Ersatzfähig sind der materielle und der immaterielle Schaden, die durch den 4 Verstoß verursacht wurden. Eine nähere Definition insbesondere des immateriellen Schadens liefert die Verordnung nicht. Aus den Erwägungsgründen ergibt sich jedoch, dass der Begriff des Schadens im Lichte der Rechtsprechung des Gerichtshofs weit auf eine Art und Weise ausgelegt werden soll, die den Zielen der Verordnung in vollem Umfang entspricht2. Die betroffenen Personen sollen einen vollständigen und wirksamen Schadensersatz für den erlittenen 1 Erwägungsgrund 146 Satz 5. 2 Erwägungsgrund 146 Satz 3.

Becker

|

1313

Art. 82 DSGVO | Rechtsbehelfe, Haftung und Sanktionen Schaden erhalten1. Mit der Wirksamkeit des Schadensersatzes ist dabei auch gemeint, dass der Schadensersatz abschreckend sein und weitere Verstöße unattraktiv machen soll. Bei der Bestimmung des materiellen Schadens wie auch des immateriellen Schadens kann daher auch auf den Wert der Daten und ihrer Nutzung aus Sicht des Verantwortlichen abgestellt werden, insbesondere in den Fällen, in denen die personenbezogenen Daten des Betroffenen kommerzialisiert werden und sich der Verantwortliche bewusst über die Interessen des Betroffenen hinwegsetzt, um seine eigenen Erwerbsinteressen durchzusetzen. Ferner darf bei der Bestimmung des immateriellen Schadens berücksichtigt werden, dass bei Datenschutzverstößen der materielle Schaden aus Sicht des Betroffenen, der im Regelfall seine eigenen Daten gerade nicht kommerzialisiert, häufig schwer oder gar nicht zu quantifizieren ist und deshalb eine abschreckende Schadensersatzhaftung erst durch einen angemessen hohen immateriellen Schadensersatz verwirklich werden kann. Die Regelung des Art. 82 sollte daher künftig von der deutschen Rechtsprechung zum Anlass genommen werden, ihre zum Teil äußerst restriktive Haltung zur Zuerkennung von immateriellen Schäden oder von Schmerzensgeld zu überdenken. 5 Abs. 3 gibt dem Verantwortlichen bzw. dem Auftragsverarbeiter die Möglich-

keit, sich zu exkulpieren. Wie man vor diesem Hintergrund die Haftung des Art. 82 einordnet mag fraglich sein. In ersten Stellungnahmen wird die Haftung als Verschuldenshaftung mit vermutetem Verschulden bezeichnet2. Ebenso könnte man von einer Gefährdungshaftung mit Exkulpationsmöglichkeit sprechen. Im Ergebnis kommt es aber alleine darauf an, dass jedenfalls eine Haftung entfällt, wenn die in Anspruch genommenen Personen darlegen und ggf. beweisen können, dass sie für den Umstand, der zum Schadenseintritt geführt hat, in keiner Weise verantwortlich sind. Diese Regelung ist offen für Einwände, die sich zum einen aus dem objektiven Pflichtenkatalog des Verantwortlichen und seines Auftragsverarbeiters ergeben. Dazu gehört etwa in Bezug auf rechtswidrige Eingriffe Dritter die Einhaltung des Stands der Technik zur Abwehr solcher Angriffe. Dazu gehören aber auch etwaige allgemeine Fragen des Verschuldens. Die Verantwortung für einen Schaden entfällt auch dann, wenn der Verantwortliche nachweisen kann, dass er alle Sorgfaltsanforderungen eingehalten hat und eben nicht fahrlässig gehandelt hat. Die Beweislast, und dies ist entscheidend, liegt jedoch in jedem Fall nicht beim Betroffenen, sondern beim Verantwortlichen und seinen Auftragsverarbeitern. Dies ist schon deshalb richtig, weil der Betroffene im Regelfall keinen Einblick in die Art und Weise der Datenverarbeitung hat und es ihm deshalb im Zweifel nicht möglich ist, zu ermitteln, weshalb z.B. seine Daten unberechtigt an Dritte gelangt sind.

1 Erwägungsgrund 146 Satz 6. 2 Härting, Datenschutz-Grundverordnung, 2016 Rz. 234.

1314

|

Becker

Haftung und Recht auf Schadenersatz | Art. 82 DSGVO

III. Haftung des Verantwortlichen und des Auftragsverarbeiters (Abs. 2) Die Verordnung geht grundsätzlich davon aus, dass der Betroffene sowohl den 6 Verantwortlichen als auch unmittelbar den Auftragsverarbeiter in Anspruch nehmen kann (Abs. 2). Allerdings trägt die Haftungsregelung den abgestuften Verantwortlichkeiten dieser beiden Rollen Rechnung. Der Verantwortliche ist für die Festlegung der Modalitäten der Datenverarbeitung und die technischen und organisatorischen Maßnahmen zum Schutz der Daten zuständig (Art. 24 Abs. 1). Er erteilt dem Auftragsverarbeiter daher entsprechende vertragliche Vorgaben und Weisungen, wie die Festlegungen umzusetzen und einzuhalten sind (Art. 28 Abs. 3; Art. 29). Der Verantwortliche trägt dementsprechend die volle Verantwortung und Haftung für die Einhaltung der gesetzlichen Vorschriften, während der Auftragsverarbeiter dem Betroffenen für einen verursachten Schaden nur dann haftet, wenn er den ihm speziell auferlegten Pflichten nicht nachgekommen ist oder Weisungen des Verantwortlichen nicht beachtet hat (Abs. 2 Satz 2). Dabei ist klargestellt, dass sich der Auftragsverarbeiter zu seiner Entlastung nur auf rechtmäßig erteilte Anweisungen berufen kann. Zumindest wenn er erkennen kann, dass erteilte Weisungen ihrerseits einen Verstoß gegen die Verordnung darstellen und er nach Art. 28 Abs. 3, letzter Satz, verpflichtet gewesen wäre, den Verantwortlichen auf die Rechtswidrigkeit der Weisung hinzuweisen, kann er sich nicht auf eine solche Weisung berufen. Das Hauptanwendungsgebiet für haftungsbegründende Verstöße des Auftragsverarbeiters wird die Einhaltung der technischen und organisatorischen Maßnahmen sowie die Zweckbindung der Verarbeitung sein. Nicht verantwortlich ist der Auftragsverarbeiter im Regelfall dafür, ob der Verantwortliche die Daten rechtmäßig erhoben hat und ob die Nutzung der Daten durch gesetzliche Vorschriften oder die Einwilligung des Betroffenen gedeckt ist.

IV. Gemeinsame Haftung, Ausgleich zwischen den Beteiligten (Abs. 4, 5) Die Verordnung regelt in Art. 82 Abs. 4, 5 Grundprinzipen hinsichtlich der Haf- 7 tung mehrere Personen, die zum Schadensersatz verpflichtet sind sowie den Ausgleich zwischen den haftenden Personen. Abs. 4 stellt dabei klar, dass mehrere Verantwortliche und Auftragsverarbeiter dem Betroffenen (im Rahmen ihrer Haftung) als Gesamtschuldner für den gesamten Schaden haften. Das erscheint auf den ersten Blick folgerichtig, konterkariert allerdings die Einschränkung der Verantwortlichkeit des Auftragsverarbeiters, wenn dieser sich eigentlich nach Abs. 2 darauf berufen könnte, möglicherweise nur für einen Teil des Schadens verantwortlich zu sein. Dies wird jedoch von der Regelung des Abs. 4 erkennbar in Kauf genommen, sofern der Auftragsverarbeiter im GrundBecker

|

1315

Art. 82 DSGVO | Rechtsbehelfe, Haftung und Sanktionen satz haftet. Der Innenausgleich nach Abs. 5 richtet sich im Übrigen nach den Verantwortungsanteilen und richtigerweise auch nach Art und Umfang des jeweiligen Beitrags zum Verstoß und der Schadensverursachung.

V. Geltendmachung (Abs. 6) 8 Die Geltendmachung erfolgt vor den nach Art. 79 Abs. 2 zuständigen Gerichten.

Die Möglichkeit zur Geltendmachung durch einen Verband besteht nach deutschem Recht bisher nicht (vgl. Komm. zu Art. 80 DSGVO Rz. 3). Weitere Aspekte der Geltendmachung von Ersatzansprüchen, insbesondere die Berücksichtigung von Mitverschulden oder sonstigen Einreden (z.B. Verjährung) und Einwendungen (Treu und Glauben, Verwirkung etc.), unterliegen dem Recht der Mitgliedstaaten. Die internationalprivatrechtliche Abgrenzung erfolgt dabei vorrangig nach den hierfür geltenden Regelungen des Gemeinschaftsrechts, also insbesondere den Rom-Verordnungen1. Geht man davon aus, dass es sich bei Abs. 1 um einen deliktsähnlichen Schadensersatzanspruch handelt, wäre zunächst die Anwendbarkeit der Rom-II-Verordnung in Erwägung zu ziehen. Diese sieht jedoch in Art. 1 Abs. 2 Buchst. g Rom-II-Verordnung vor, dass sie keine Anwendung findet auf außervertragliche Schuldverhältnisse aus der Verletzung der Privatsphäre oder der Persönlichkeitsrechte, einschließlich der Verleumdung. Damit könnte die Anwendbarkeit auf Verstöße gegen die DSGVO ausgenommen sein, weil auch nach dem Gemeinschaftsrecht der Schutz personenbezogener Daten seine Wurzel im Schutz der Privatsphäre und des Persönlichkeitsrechts sowie weiterer Grundrechtspositionen hat2. Für eine Anwendung der Rom-II-Verordnung spricht hingegen, dass die Bereichsausnahme in Art. 1 Abs. 2 Buchst. g Rom-II-Verordnung sich eher aus der Idee heraus rechtfertigt, dass bisher die presserechtlichen Vorschriften und deliktischen Unterlassungsansprüche gemeinschaftsrechtlich nicht angeglichen sind und damit auch die internationale Zuständigkeit bis auf Weiteres dem nationalen Kollisionsrecht überlassen bleiben soll. Die Ausnahmeregelung sollte daher eng ausgelegt werden und die Rom-II-Verordnung auf den Anspruch aus Art. 82 Abs. 1 Anwendung finden. Das für die oben genannten Aspekte (Mitverschulden, Verjährung etc.) anwendbare Recht (vgl. Aufzählung in Art. 15 Rom-II-Verordnung) würde sich dann vor allem nach Art. 4 Abs. 1 Rom-II-Verordnung) richten, d.h. nach dem Recht des Mitgliedstaates, in dem der Schaden eintritt, unabhängig davon, in welchem Staat das schadensbegründende Ereignis oder indirekte Schadensfolgen eingetreten sind. Im Regelfall wäre dies bei einem Verstoß gegen die daten-

1 Verordnung (EG) Nr. 593/2008 vom 17.6.2008 über das auf vertragliche Schuldverhältnisse anzuwendende Recht (Rom I), ABl. L 177/6; Verordnung (EG) Nr. 864/2007 vom 11.7.2007 über das auf außervertragliche Schuldverhältnisse anzuwendende Recht („Rom II“), ABl. L199/40. 2 Vgl. Erwägungsgrund 4 Satz 3.

1316

|

Becker

Allgemeine Bedingungen für die Verhängung von Geldbußen | Art. 83 DSGVO

schutzrechtlichen Belange eines Betroffen das Recht des Staates, in dem er seinen gewöhnlichen Aufenthalt hat, also der Aufenthaltsort, an dem er auch nach Abs. 6 klagen kann.

Artikel 83 Allgemeine Bedingungen für die Verhängung von Geldbußen (1) Jede Aufsichtsbehörde stellt sicher, dass die Verhängung von Geldbußen gemäß diesem Artikel für Verstöße gegen diese Verordnung gemäß den Absätzen 5 und 6 in jedem Einzelfall wirksam, verhältnismäßig und abschreckend ist. (2) Geldbußen werden je nach den Umständen des Einzelfalls zusätzlich zu oder anstelle von Maßnahmen nach Artikel 58 Absatz 2 Buchstaben a bis h und i verhängt. Bei der Entscheidung über die Verhängung einer Geldbuße und über deren Betrag wird in jedem Einzelfall Folgendes gebührend berücksichtigt: a) Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs oder des Zwecks der betreffenden Verarbeitung sowie der Zahl der von der Verarbeitung betroffenen Personen und des Ausmaßes des von ihnen erlittenen Schadens; b) Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes; c) jegliche von dem Verantwortlichen oder dem Auftragsverarbeiter getroffenen Maßnahmen zur Minderung des den betroffenen Personen entstandenen Schadens; d) Grad der Verantwortung des Verantwortlichen oder des Auftragsverarbeiters unter Berücksichtigung der von ihnen gemäß den Artikeln 25 und 32 getroffenen technischen und organisatorischen Maßnahmen; e) etwaige einschlägige frühere Verstöße des Verantwortlichen oder des Auftragsverarbeiters; f) Umfang der Zusammenarbeit mit der Aufsichtsbehörde, um dem Verstoß abzuhelfen und seine möglichen nachteiligen Auswirkungen zu mindern; g) Kategorien personenbezogener Daten, die von dem Verstoß betroffen sind; h) Art und Weise, wie der Verstoß der Aufsichtsbehörde bekannt wurde, insbesondere ob und gegebenenfalls in welchem Umfang der Verantwortliche oder der Auftragsverarbeiter den Verstoß mitgeteilt hat; i) Einhaltung der nach Artikel 58 Absatz 2 früher gegen den für den betreffenden Verantwortlichen oder Auftragsverarbeiter in Bezug auf denselben Becker

|

1317

Allgemeine Bedingungen für die Verhängung von Geldbußen | Art. 83 DSGVO

schutzrechtlichen Belange eines Betroffen das Recht des Staates, in dem er seinen gewöhnlichen Aufenthalt hat, also der Aufenthaltsort, an dem er auch nach Abs. 6 klagen kann.

Artikel 83 Allgemeine Bedingungen für die Verhängung von Geldbußen (1) Jede Aufsichtsbehörde stellt sicher, dass die Verhängung von Geldbußen gemäß diesem Artikel für Verstöße gegen diese Verordnung gemäß den Absätzen 5 und 6 in jedem Einzelfall wirksam, verhältnismäßig und abschreckend ist. (2) Geldbußen werden je nach den Umständen des Einzelfalls zusätzlich zu oder anstelle von Maßnahmen nach Artikel 58 Absatz 2 Buchstaben a bis h und i verhängt. Bei der Entscheidung über die Verhängung einer Geldbuße und über deren Betrag wird in jedem Einzelfall Folgendes gebührend berücksichtigt: a) Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs oder des Zwecks der betreffenden Verarbeitung sowie der Zahl der von der Verarbeitung betroffenen Personen und des Ausmaßes des von ihnen erlittenen Schadens; b) Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes; c) jegliche von dem Verantwortlichen oder dem Auftragsverarbeiter getroffenen Maßnahmen zur Minderung des den betroffenen Personen entstandenen Schadens; d) Grad der Verantwortung des Verantwortlichen oder des Auftragsverarbeiters unter Berücksichtigung der von ihnen gemäß den Artikeln 25 und 32 getroffenen technischen und organisatorischen Maßnahmen; e) etwaige einschlägige frühere Verstöße des Verantwortlichen oder des Auftragsverarbeiters; f) Umfang der Zusammenarbeit mit der Aufsichtsbehörde, um dem Verstoß abzuhelfen und seine möglichen nachteiligen Auswirkungen zu mindern; g) Kategorien personenbezogener Daten, die von dem Verstoß betroffen sind; h) Art und Weise, wie der Verstoß der Aufsichtsbehörde bekannt wurde, insbesondere ob und gegebenenfalls in welchem Umfang der Verantwortliche oder der Auftragsverarbeiter den Verstoß mitgeteilt hat; i) Einhaltung der nach Artikel 58 Absatz 2 früher gegen den für den betreffenden Verantwortlichen oder Auftragsverarbeiter in Bezug auf denselben Becker

|

1317

Art. 83 DSGVO | Rechtsbehelfe, Haftung und Sanktionen Gegenstand angeordneten Maßnahmen, wenn solche Maßnahmen angeordnet wurden; j) Einhaltung von genehmigten Verhaltensregeln nach Artikel 40 oder genehmigten Zertifizierungsverfahren nach Artikel 42 und k) jegliche anderen erschwerenden oder mildernden Umstände im jeweiligen Fall, wie unmittelbar oder mittelbar durch den Verstoß erlangte finanzielle Vorteile oder vermiedene Verluste. (3) Verstößt ein Verantwortlicher oder ein Auftragsverarbeiter bei gleichen oder miteinander verbundenen Verarbeitungsvorgängen vorsätzlich oder fahrlässig gegen mehrere Bestimmungen dieser Verordnung, so übersteigt der Gesamtbetrag der Geldbuße nicht den Betrag für den schwerwiegendsten Verstoß. (4) Bei Verstößen gegen die folgenden Bestimmungen werden im Einklang mit Absatz 2 Geldbußen von bis zu 10 000 000 EUR oder im Fall eines Unternehmens von bis zu 2 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt, je nachdem, welcher der Beträge höher ist: a) die Pflichten der Verantwortlichen und der Auftragsverarbeiter gemäß den Artikeln 8, 11, 25 bis 39, 42 und 43; b) die Pflichten der Zertifizierungsstelle gemäß den Artikeln 42 und 43; c) die Pflichten der Überwachungsstelle gemäß Artikel 41 Absatz 4. (5) Bei Verstößen gegen die folgenden Bestimmungen werden im Einklang mit Absatz 2 Geldbußen von bis zu 20 000 000 EUR oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt, je nachdem, welcher der Beträge höher ist: a) die Grundsätze für die Verarbeitung, einschließlich der Bedingungen für die Einwilligung, gemäß den Artikeln 5, 6, 7 und 9; b) die Rechte der betroffenen Person gemäß den Artikeln 12 bis 22; c) die Übermittlung personenbezogener Daten an einen Empfänger in einem Drittland oder an eine internationale Organisation gemäß den Artikeln 44 bis 49; d) alle Pflichten gemäß den Rechtsvorschriften der Mitgliedstaaten, die im Rahmen des Kapitels IX erlassen wurden; e) Nichtbefolgung einer Anweisung oder einer vorübergehenden oder endgültigen Beschränkung oder Aussetzung der Datenübermittlung durch die Aufsichtsbehörde gemäß Artikel 58 Absatz 2 oder Nichtgewährung des Zugangs unter Verstoß gegen Artikel 58 Absatz 1. (6) Bei Nichtbefolgung einer Anweisung der Aufsichtsbehörde gemäß Artikel 58 Absatz 2 werden im Einklang mit Absatz 2 des vorliegenden Artikels 1318

|

Becker

Allgemeine Bedingungen für die Verhängung von Geldbußen | Art. 83 DSGVO

Geldbußen von bis zu 20 000 000 EUR oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt, je nachdem, welcher der Beträge höher ist. (7) Unbeschadet der Abhilfebefugnisse der Aufsichtsbehörden gemäß Artikel 58 Absatz 2 kann jeder Mitgliedstaat Vorschriften dafür festlegen, ob und in welchem Umfang gegen Behörden und öffentliche Stellen, die in dem betreffenden Mitgliedstaat niedergelassen sind, Geldbußen verhängt werden können. (8) Die Ausübung der eigenen Befugnisse durch eine Aufsichtsbehörde gemäß diesem Artikel muss angemessenen Verfahrensgarantien gemäß dem Unionsrecht und dem Recht der Mitgliedstaaten, einschließlich wirksamer gerichtlicher Rechtsbehelfe und ordnungsgemäßer Verfahren, unterliegen. (9) Sieht die Rechtsordnung eines Mitgliedstaats keine Geldbußen vor, kann dieser Artikel so angewandt werden, dass die Geldbuße von der zuständigen Aufsichtsbehörde in die Wege geleitet und von den zuständigen nationalen Gerichten verhängt wird, wobei sicherzustellen ist, dass diese Rechtsbehelfe wirksam sind und die gleiche Wirkung wie die von Aufsichtsbehörden verhängten Geldbußen haben. In jeden Fall müssen die verhängten Geldbußen wirksam, verhältnismäßig und abschreckend sein. Die betreffenden Mitgliedstaaten teilen der Kommission bis zum 25.5.2018 die Rechtsvorschriften mit, die sie aufgrund dieses Absatzes erlassen, sowie unverzüglich alle späteren Änderungsgesetze oder Änderungen dieser Vorschriften. I. Einführung . . . . . . . . . . . . . II. Verhängung von Geldbußen (Abs. 1) . . . . . . . . . . . . . . . . III. Bestimmung der Geldbuße (Abs. 2) . . . . . . . . . . . . . . . . IV. Gesamtgeldbuße (Abs. 3) . . . V. Verstoßtatbestände und Adressaten (Abs. 4–6) . . . . .

.

1

.

4

. 7 . 21

VI. Bußgelder gegen Behörden (Abs. 7) . . . . . . . . . . . . . . . . . 24 VII. Rechtsschutz gegenüber Geldbußen (Abs. 8) . . . . . . . . . . . . 25 VIII. Besonderheiten in einzelnen Mitgliedstaaten (Abs. 9) . . . . . 26

. 22

I. Einführung Die Verhängung von wirksamen Bußgeldern in einer Höhe, die abschreckend 1 wirkt, war eine Kernforderung der Datenschutzreform, die schließlich zur Regelung in Art. 83 geführt hat. Die sehr detailreiche Regelung des Art. 83 wirft hinsichtlich ihrer Auslegung und insbesondere in Bezug auf die Festlegung einer angemessenen Geldbuße vielerlei Fragen auf. Es ist abzusehen, dass sich die Mitgliedstaaten an die Anwendung des Art. 83 erst langsam herantasten werden. Die Regelung trifft auf sehr unterschiedliche Rechtstraditionen der MitgliedstaaBecker

|

1319

Art. 83 DSGVO | Rechtsbehelfe, Haftung und Sanktionen ten im Hinblick auf die Verhängung von Geldbußen und deren prozessuale Absicherung. Als gemeinsamer Ausgangspunkt für die weitere rechtliche Entwicklung wird daher vermutlich zunächst die vergleichbare Praxis der Kartellbehörden zur Verhängung von Geldbußen herangezogen werden. Art. 83 knüpft hinsichtlich seiner Ausgestaltung und vor allem in Bezug auf die Höhe der Geldbuße an die Erfahrungen des Kartellrechts an, wie sie sich auf der Grundlage von Art. 5, 23 ff. der Kartellverordnung 1/2003 bzw. den Vorgängernormen entwickelt haben. 2 Die Aufsichtsbehörde kann bei der Verhängung von Geldbußen in weitem Um-

fang Ermessen walten lassen. Sie kann insbesondere auch trotz eines festgestellten Verstoßes von einer Geldbuße absehen und es bei einer Verwarnung (Art. 58 Abs. 2 Buchst. b) belassen. Die Erwägungsgründe sehen ausdrücklich vor, dass im Falle eines geringfügigeren Verstoßes oder falls voraussichtlich die zu verhängende Geldbuße eine unverhältnismäßige Belastung für eine natürliche Person bewirken würde, anstelle einer Geldbuße eine Verwarnung erteilt werden kann1. Im Übrigen kann die Aufsichtsbehörde neben der Geldbuße ihre übrigen Befugnisse ausüben (Art. 58 Abs. 2 Buchst. i). Die Geldbuße steht als Sanktionsmittel neben den sonstigen Befugnissen der Aufsichtsbehörde.

3 Einige grundlegende Aspekte der Verhängung von Geldbußen werden von der

Verordnung nicht geregelt. Das betrifft etwa so wichtige Punkte, wie die Frage der Verjährung der Befugnisse zur Verhängung einer Geldbuße (Verfolgungsund Vollstreckungsverjährung). Eine gewisse Sicherheit wird sich hier künftig aus Leitlinien des Europäischen Datenschutzausschusses ergeben. Der Ausschuss soll insbesondere auch Leitlinien für die Aufsichtsbehörden in Bezug auf die Festsetzung von Geldbußen ausarbeiten (Art. 70 Abs. 1 Buchst. k i.V.m. Art. 58 Abs. 2 Buchst. i, 83). Ähnliche Leitlinien gibt es bspw. im Kartellrecht von der Kommission2. Einige wesentliche Punkte, wie etwa die angesprochene Frage der Verjährung, sollten jedoch verbindlich durch den europäischen Gesetzgeber in Verordnungsform vorgegeben werden3. Andernfalls verbleiben sie bis zum Erlass gemeinschaftlicher Vorschriften in der Regelungskompetenz der Mitgliedstaaten. Die Leitlinien des Europäischen Datenausschusses werden sich demgegenüber vor allem auf eine einheitliche – die Bestimmungen der Verordnung konkretisierende – Festlegung der Höhe von Geldbußen konzentrieren. Bis auf weiteres ist jedenfalls für das Ausfüllen der Lücken auf die allgemeinen gesetzlichen Bestimmungen des jeweiligen Mitgliedstaats abzustellen, von dessen Aufsichtsbehörde die Geldbuße verhängt wird.

1 Erwägungsgrund 148 Satz 2. 2 Vgl. Leitlinien der Kommission für das Verfahren zur Festsetzung von Geldbußen gemäß Artikel 23 Absatz 2 Buchstabe a) der Verordnung (EG) Nr. 1/2003 (2006/C 210/ 02) v. 1.9.2006, ABl. C 210/2. 3 Vgl. etwa die Verjährungsregelungen in Art. 25 der Verordnung 1/2013.

1320

|

Becker

Allgemeine Bedingungen für die Verhängung von Geldbußen | Art. 83 DSGVO

II. Verhängung von Geldbußen (Abs. 1) Abs. 1 regelt den Grundsatz der Verhängung von Geldbußen bei Verstößen ge- 4 gen die Verordnung. Anders als in der Schadensersatzregelung in Art. 82 (vgl. Komm. zu Art. 82 DSGVO Rz. 3) ergibt sich dabei weder aus Art. 83 selbst noch aus den Erwägungsgründen, dass auch wegen eines Verstoß gegen delegierte Rechtsakte (Art. 92 ff.) oder Durchführungsakte und Rechtsvorschriften der Mitgliedstaaten zur Präzisierung der Verordnung eine Geldbuße verhängt werden kann. Vielmehr ist die Geldbuße nach der Verordnung auf die in Art. 83 Abs. 4–6 genannten Fälle beschränkt. Dies entspricht den Grundsätzen der Rechtsstaatlichkeit und der notwendigen Vorhersehbarkeit staatlichen Strafens. Für den nationalen Gesetzgeber stellt sich damit die Frage, ob er Verstöße gegen materielles Datenschutzrecht, die möglicherweise nicht in den genannten Vorschriften berücksichtigt werden, ggf. selbst mit Geldbußen belegen kann. Es lässt sich allerdings auch argumentieren, dass von Art. 83 insoweit eine Sperrwirkung ausgeht und der nationale Gesetzgeber lediglich berechtigt ist, andere Sanktionen als Geldbußen im nationalen Recht zu regeln (vgl. Art. 84 Abs. 1). Im Übrigen ist zu bemerken, dass die Kataloge in Abs. 4–6 sich zwar auf Verstöße gegen die Verordnung beziehen, aber sich insbesondere die Konkretisierung von Sorgfaltsanforderungen und Pflichten der Verantwortlichen Stelle und des Auftragsverarbeiters auch aus Rechtssätzen, Regeln und Richtlinien unterhalb des Verordnungsrangs ergeben kann. Mittelbar wird daher auch die Nichteinhaltung solcher Anforderungen sanktioniert, sofern sich daraus ein Verstoß gegen die Bestimmungen der Verordnung ableiten lässt. In Abs. 1 wird nicht erwähnt, wer Adressat der Geldbuße ist. Dies ergibt sich 5 vielmehr erst mit der Antwort auf die Frage, um welche spezifischen Pflichten es geht und wer für deren Einhaltung zuständig und daher verantwortlich ist. In diesem Zusammenhang sind noch viele Fragen unbeantwortet, insbesondere im Hinblick darauf, wie die Verantwortung im Konzern aussieht und was dies für die individuelle Verantwortung der einzelnen konzernangehörigen Unternehmen bedeutet. Die Entwicklung einheitlicher Grundsätze für den Umgang mit diesen Fragen wird ebenfalls eine wichtige Aufgabe des Europäischen Datenschutzausschusses sein. Abs. 1 verlangt, dass die Verhängung der Geldbuße in jedem Einzelfall wirk- 6 sam, verhältnismäßig und abschreckend sein muss. Dies bedeutet, dass sich die konkrete Praxis der Aufsichtsbehörde hieran messen lassen muss und die Erfüllung dieser Kriterien in jedem Fall auch der gerichtlichen Prüfung unterliegt. Die Verpflichtung bezieht sich auf alle Geldbußen nach den Absätzen 4, 5 und 6. Dass die deutsche Fassung lediglich auf die Absätze 5 und 6 Bezug nimmt, ist ein offensichtlicher Übersetzungs- oder Redaktionsfehler. Die englische Sprachfassung z.B. erwähnt alle drei Absätze.

Becker

|

1321

Art. 83 DSGVO | Rechtsbehelfe, Haftung und Sanktionen III. Bestimmung der Geldbuße (Abs. 2) 7 Die Bestimmung der Geldbuße ihrer Höhe nach ist von zentraler Bedeutung.

Die in den Abs. 4–6 vorgesehenen Obergrenzen geben einen weiten Spielraum und stellen damit vor allem für Unternehmen, die als Verantwortliche oder Auftragsverarbeiter tätig sind, künftig einen erheblichen Anreiz dar, Fehlverhalten zu vermeiden. Vier Prozent des gesamten weltweiten Jahresumsatzes im Maximum können für ein Unternehmen, die verantwortlichen Mitarbeiter und die Gesellschafter schwerwiegende Folgen haben. Zudem ist damit zu rechnen, dass bei der rechtmäßigen Verhängung von Geldbußen zugleich die Voraussetzungen für die Gewährung von Schadensersatzansprüchen vorliegen werden und deren tatsächliche Durchsetzung durch die Betroffenen wahrscheinlicher wird.

8 In Abs. 1 listet die Verordnung sämtliche Umstände auf, die bei der Verhängung

der Geldbuße in jedem Einzelfall gebührend zu berücksichtigen sind. Die Betonung liegt dabei zum einen auf dem Einzelfall, d.h. maßgeblich sind jeweils die konkreten Umstände und die Verarbeitungssituation, in der es zu einem Verstoß gekommen ist. Dies schließt jedoch nicht aus, dass die Aufsichtsbehörden im Sinne einer Gleichbehandlung für ähnliche Verstöße zumindest im Ausgangspunkt auch eine ähnliche Geldbuße vorsehen. Abzuwägen sind bei der konkreten Bestimmung der Geldbuße einerseits die Vergleichbarkeit mit Verfehlungen Dritter und andererseits die Besonderheiten des Einzelfalls und die notwendige Einzelfallgerechtigkeit sowohl gegenüber dem verstoßenden Unternehmen als auch den Betroffenen. Die Betonung liegt außerdem auf der gebührenden Berücksichtigung der einzelnen Merkmale. Diese Merkmale sind keineswegs gleichartig oder mit gleichem Gewicht zu berücksichtigen, sondern sind entsprechend ihres inneren sachlichen Gehalts zu prüfen und ins Verhältnis zu setzen. Ihnen kommt tatsächlich bei der Bemessung der Geldbuße eine sehr unterschiedliche Bedeutung zu. Die Liste der Umstände ist dabei keineswegs abschließend, wie sich ausdrücklich aus Abs. 2 Buchst. k ergibt, der die Berücksichtigung jeglicher anderer erschwerender oder mildernder Umstände verlangt und hierfür als Beispiel die durch einen Verstoß erlangten Vorteile bzw. vermiedenen Verluste hervorhebt. Andererseits stellt die vorhandene Liste von Abwägungspunkten den wesentlichen Kern der zu berücksichtigenden Punkte dar und kann im Sinne der Rechtssicherheit und Gleichbehandlung nicht beliebig durch weitere Umstände abgewandelt werden. Andere als die ausdrücklich genannten Umstände können daher insgesamt nur in geringem Umfang zur Herstellung der Einzelfallgerechtigkeit herangezogen werden. Ihre Berücksichtigung darf insbesondere nicht die Wirksamkeit oder den abschreckender Charakter der zu verhängenden Geldbuße konterkarieren. Generell nicht zu berücksichtigen sind – in den Grenzen des Willkürverbots – daher etwa die vermeintliche oder tatsächliche Üblichkeit des Verstoßes allgemein oder in einer Branche. Umgekehrt sollten aber auch generalpräventive Erwägungen nicht zu einer Erhöhung einer Geldbuße im Einzelfall führen. Ebenfalls keine Berücksichtigung 1322

|

Becker

Allgemeine Bedingungen für die Verhängung von Geldbußen | Art. 83 DSGVO

finden kann die finanzielle Leistungsfähigkeit des Unternehmens. Hier müssen ähnliche Grundsätze gelten wie bei der Verhängung von Geldbußen im Kartellrecht. Die Kommission hat in den betreffenden Leitlinien zur Verhängung von Kartellbußen1 ausgeführt, dass die Kommission nur unter außergewöhnlichen Umständen auf Antrag die Leistungsfähigkeit eines Unternehmens in einem gegebenen sozialen und ökonomischen Umfeld berücksichtigen kann. Insbesondere wird die Kommission jedoch keine Ermäßigung wegen der bloßen Tatsache einer nachteiligen oder defizitären Finanzlage des betroffenen Unternehmens gewähren. Eine Ermäßigung ist nur möglich, wenn eindeutig nachgewiesen wird, dass die Verhängung einer Geldbuße gemäß den Leitlinien die wirtschaftliche Überlebensfähigkeit des Unternehmens unwiderruflich gefährden und ihre Aktiva jeglichen Wertes berauben würde. Diese Prinzipien lassen sich ohne weiteres auch auf die Verhängung von Geldbußen unter der DSGVO übertragen. Hinsichtlich der einzelnen Kriterien ergeben sich einige Anmerkungen zu ihren 9 Besonderheiten und zu Abweichungen von der bisherigen Rechtslage nach deutschem Recht: Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Um- 10 fangs oder des Zwecks der betreffenden Verarbeitung sowie der Zahl der von der Verarbeitung betroffenen Personen und des Ausmaßes des von ihnen erlittenen Schadens (Buchst. a): Art, Schwere und Dauer sowie die Zahl der Betroffenen des Verstoßes sind natürlicherweise die wichtigsten Parameter für die Beurteilung der Schwere eines Verstoßes und die Höhe der zu verhängenden Geldbuße. Außerdem kann über diese Parameter auch ein Verhältnis zum Gesamtumsatz eines Unternehmens hergestellt werden, um sich dem richtigen „Strafrahmen“ anzunähern. Auswirkungen mit nur lokalem Bezug und einigen wenigen lokalen Betroffenen können selbstredend nicht eine Geldbuße rechtfertigen, die den (am gesamten weltweit erzielten Jahresumsatz orientieren) Höchstbetrag ausschöpft. Dieser Rahmen ist zwar nicht erst eröffnet, wenn es zum größtmöglichen Schaden bei der größtmöglichen Anzahl von Betroffenen gekommen ist, aber persönliche, inhaltliche und geographische Betroffenheit durch einen Verstoß müssen im Verhältnis zu dem jeweils eröffneten Bußgeldrahmen stehen. Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes (Buchst. b): Generell ist davon 11 auszugehen, dass eine Geldbuße überhaupt nur verhängt werden kann, wenn der Verstoß wenigstens fahrlässig begangen wurde. Die Nennung des Gegensatzpaares „Vorsätzlichkeit oder Fahrlässigkeit“ als Zumessungsmerkmal des Verstoßes bedeutet nicht etwa, dass eine Geldbuße auch ohne mindestens fahrlässige Begehung verhängt werden könnte. Vielmehr ist damit nur gesagt, dass die vorsätzliche oder nur fahrlässige Begehung einen erheblichen Unterschied 1 Vgl. Leitlinien der Kommission für das Verfahren zur Festsetzung von Geldbußen gemäß Artikel 23 Absatz 2 Buchstabe a) der Verordnung (EG) Nr. 1/2003 (2006/C 210/ 02) v. 1.9.2006, ABl. C 210/2, Ziffer 35.

Becker

|

1323

Art. 83 DSGVO | Rechtsbehelfe, Haftung und Sanktionen bei der Zumessung der Geldbuße macht. Es handelt sich dabei nur um einen Zumessungsgesichtspunkt unter mehreren ohne eine feste Regel zur Höhe des ggf. vorzunehmenden Auf- oder Abschlags. Darin liegt ein deutlicher Unterschied zum deutschen Recht, das bei Ordnungswidrigkeiten als generelle Regelung vorsieht, dass bei fahrlässiger Begehung die im Gesetz festgelegt Höchstgrenze für eine Geldbuße automatisch zu halbieren ist (§ 17 Abs. 2 OWiG). Diese starre Regelung kann auf Art. 83 keine Anwendung finden, weil damit der in Art. 83 Abs. 4–6 vorgegebene Rahmen unzulässig eingeschränkt würde. Auch für eine entsprechende Anwendung dieses Gedankens bietet die Verordnung keine Grundlage. 12 Jegliche von dem Verantwortlichen oder dem Auftragsverarbeiter getroffenen

Maßnahmen zur Minderung des den betroffenen Personen entstandenen Schadens (Buchst. c): Der Regelungszweck dieses Punktes dürfte darin zu sehen sein, für Unternehmen einen wichtigen Anreiz dafür zu schaffen, dass sie zum einen keine Kosten scheuen, Maßnahmen zu treffen, mit denen ein Schaden vermindert, ausgeglichen oder klein gehalten wird und zum anderen den Betroffenen schnellstmöglich und großzügig den entstandenen Schaden ersetzen. Der Begriff des Schadens ist hierbei weit zu verstehen und umfasst den materiellen wie den immateriellen Schaden i.S.d. Art. 82 Abs. 1 (vgl. Komm. zu Art. 82 DSGVO Rz. 4). Die gebührende Berücksichtigung der Maßnahmen zur Schadensminderung verlangt dabei keineswegs eine vollständige „Anrechnung“ auf die Geldbuße. Denn die Beseitigung des verursachten Schadens ist zunächst nur eine unabhängige rechtliche Verpflichtung und Selbstverständlichkeit. Sie führt nicht generell zu einer Herabsetzung einer an sich angemessenen Geldbuße. Die Maßnahmen zur Schadensminderung bei den Betroffenen sind nur dann relevant, wenn sie auch aufgrund der übrigen Umstände die Tat als weniger gravierend erscheinen lassen. Insbesondere bei vorsätzlichen Verstößen, bei denen möglicherweise eine Schädigung der Betroffenen sogar in Kauf genommen wurde, kann die anschließende bloße Schadensminderung oder -beseitigung nicht zur Herabsetzung der Geldbuße herangezogen werden. Auch der bloße Ausgleich von entstandenem Schaden genügt z.B. nicht, wenn das Unternehmen nur unter dem Zwang gerichtlicher Verfahren im Einzelfall einer Ersatzpflicht nachkommt. Insoweit handelt es sich nicht um besondere, aktiv verfolgte „Maßnahmen“ (engl. any action taken), sondern um die bloße Erfüllung einer rechtlichen Pflicht. Andererseits können die flächendeckende, freiwillige oder besonders unbürokratische Beseitigung von Schäden einerseits und Maßnahmen, die sicherstellen, dass Verstöße in Zukunft nicht erneut zu befürchten sind, positiv berücksichtigt werden. Dies gilt auch dann, wenn zum Zeitpunkt der Verhängung der Geldbuße noch nicht alle Maßnahmen umgesetzt sind, aber alles Notwendige hierfür in die Wege geleitet wurde.

13 Grad der Verantwortung des Verantwortlichen oder des Auftragsverarbeiters un-

ter Berücksichtigung der von ihnen gemäß den Artikeln 25 und 32 getroffenen technischen und organisatorischen Maßnahmen (Buchst. d): Mit diesem Abwä1324

|

Becker

Allgemeine Bedingungen für die Verhängung von Geldbußen | Art. 83 DSGVO

gungspunkt wird betont, dass die jeweilige Verantwortlichkeit der Beteiligten von großer Bedeutung ist. Insbesondere bei Eingriffen durch Dritte (z.B. Hacker) kommt es darauf an, ob die an der Verarbeitung beteiligten Unternehmen angemessene Sicherheitsvorkehrungen getroffen hatten oder etwa besonders nachlässig vorgegangen sind. Etwaige einschlägige frühere Verstöße des Verantwortlichen oder des Auftragsver- 14 arbeiters (Buchst. e): Es liegt auf der Hand, dass Aufsichtsbehörden bei einem erstmaligen Verstoß Milde lassen walten können, während bei wiederholten oder gar systematischen Verstößen eines Unternehmens die Geldbußen von Mal zu Mal höher werden müssen. Dabei verlangt die Regelung ausdrücklich nicht Identität der verschiedenen Verstöße, sondern es genügt, dass es sich um einschlägige (engl. relevant) frühere Verstöße handelt. Es muss also eine gewisse Ähnlichkeit oder Gleichartigkeit der Verstöße gegeben sein. Umfang der Zusammenarbeit mit der Aufsichtsbehörde, um dem Verstoß ab- 15 zuhelfen und seine möglichen nachteiligen Auswirkungen zu mindern (Buchst. f): Die Verordnung verlangt grundsätzlich, dass sich Unternehmen im Fall von Verstößen kooperationsbereit zeigen. Unternehmen, die Hinweisen schnell nachkommen, den Verstoß möglichst umfassend und nachhaltig beseitigen und nachteilige Folgen vermeiden helfen, können mit einer Herabsetzung der Geldbuße rechnen. Kategorien personenbezogener Daten, die von dem Verstoß betroffen sind 16 (Buchst. g): Die Schwere des Verstoßes hängt auch davon ab, welche Bedeutung die Daten für die Betroffenen und Dritte haben können. Je einschneidender die Bedeutung der Daten für die persönlichkeitsrechtlichen oder sonstigen Belange der Betroffenen sind, desto höher sind die Sorgfaltsanforderungen bei ihrer Verarbeitung anzusetzen (vgl. Art. 32) und desto schwerwiegender erscheinen fahrlässige oder gar vorsätzliche Verstöße gegen die Verpflichtungen aus der Verordnung zum Schutz solcher Daten. Dabei geht die Verordnung davon aus, dass selbstverständlich auch „einfache“ Daten angemessen zu schützen sind. Bei besonderen Kategorien personenbezogener Daten ist jedoch ein besonders strenger Maßstab anzulegen und fallen Geldbußen daher ggf. besonders hoch aus. Dies gilt zum einen bei den besonderen Kategorien i.S.d. Art. 9 Abs. 1. Aber auch Verstöße in Bezug auf Daten, von deren Verarbeitung eine besondere Gefährdung ausgeht, wie z.B. Zahlungsdaten, Kommunikationsdaten (vor allem Inhaltsdaten) oder Bewegungsdaten können eine besonders hohe Geldbuße rechtfertigen. Art und Weise, wie der Verstoß der Aufsichtsbehörde bekannt wurde, insbeson- 17 dere ob und gegebenenfalls in welchem Umfang der Verantwortliche oder der Auftragsverarbeiter den Verstoß mitgeteilt hat (Buchst. h): Ähnlich wie bei Buchst. f kann es sich zugunsten des Unternehmens auswirken, wenn es auf einen Verstoß selbst aufmerksam gemacht hat und sich an die Aufsichtsbehörde gewandt hat, um mit dieser zusammenzuarbeiten. Werden Verstöße erst über BeschwerBecker

|

1325

Art. 83 DSGVO | Rechtsbehelfe, Haftung und Sanktionen den z.B. von einer Vielzahl von Verbrauchern bekannt, ist dies ggf. nachteilig zu berücksichtigen. 18 Einhaltung der nach Artikel 58 Absatz 2 früher gegen den für den betreffenden

Verantwortlichen oder Auftragsverarbeiter in Bezug auf denselben Gegenstand angeordneten Maßnahmen, wenn solche Maßnahmen angeordnet wurden (Buchst. i): Wiederholte Verstöße sind nach Buchst. e zum Nachteil des Unternehmens zu berücksichtigen. Dies gilt erst recht, wenn sich bei erneuten Verstößen herausstellt, dass zusätzlich noch frühere Warnungen der Aufsichtsbehörde missachtet oder gegen konkrete Abhilfeanordnungen der Aufsichtsbehörde verstoßen wurde.

19 Einhaltung von genehmigten Verhaltensregeln nach Artikel 40 oder genehmigten

Zertifizierungsverfahren nach Artikel 42 (Buchst. j): Hat ein Unternehmen sich an besondere Verhaltensregeln oder sonstige von der Aufsichtsbehörde vorgegebene oder autorisierte Regeln gehalten, ist dies grundsätzlich zugunsten des Unternehmens zu berücksichtigen. Hierdurch ergibt sich für die Unternehmen ein gewisser Vertrauensschutz bei der Befolgung solcher Regeln.

20 Jegliche anderen erschwerenden oder mildernden Umstände im jeweiligen Fall,

wie unmittelbar oder mittelbar durch den Verstoß erlangte finanzielle Vorteile oder vermiedene Verluste (Buchst. k): Zur Berücksichtigung weiterer Aspekte im Allgemeinen s. Rz. 10. Hinsichtlich der Berücksichtigung erlangter Vorteile oder vermiedener Verluste ist anzumerken, dass dies dem Gedanken der Gewinnabschöpfung entspricht. Die hier getroffene Regelung unterscheidet sich hinsichtlich des Vorgehens vom deutschen Recht, weil im deutschen Recht der grundsätzlich vorgegebene Bußgeldrahmen zum Zwecke der Gewinnabschöpfung überschritten werden darf (§§ 130, 30 OWiG i.V.m. § 17 Abs. 4 OWiG). Demgegenüber geht hier die Berücksichtigung von Vorteilen oder ersparten Nachteilen in die allgemeine Bestimmung der Geldbuße innerhalb des durch die Abs. 4–6 gesteckten Rahmens ein. D.h. auch bei Berücksichtigung der Gewinnabschöpfung bleibt es bei den vorgegebenen Höchstgrenzen. Die Gewinnabschöpfung kann damit im Extremfall auf die Höchstgrenzen der Abs. 4–6 beschränkt sein, obwohl das Unternehmen möglicherweise einen höheren Vorteil aufgrund seiner Verstöße erlangt hat.

IV. Gesamtgeldbuße (Abs. 3) 21 Die Regelung zur Gesamtgeldbuße lässt sich systematisch schwer erklären, sie

erscheint vor allem als ein Lobbyerfolg. Sie bezweckt offenbar die Festlegung einer Gesamtgeldbuße, wenn gegen verschiedene Bestimmungen der Verordnung im gleichen sachlichen Zusammenhang verstoßen wurde. Dabei soll der Gesamtbetrag der Geldbuße den Betrag für den schwerwiegendsten Verstoß nicht überschreiten. Dies erscheint in sich widersprüchlich. Der Begriff des Gesamt1326

|

Becker

Allgemeine Bedingungen für die Verhängung von Geldbußen | Art. 83 DSGVO

betrags scheint zunächst zu verlangen, dass verschiedene Geldbußen addiert werden. Wenn jedoch verschiedene Geldbußen addiert werden, überschreitet die Summe denknotwendig immer die höchste Einzelgeldbuße. Die Regelung führt bei wörtlichem Verständnis mithin dazu, dass auch bei einer Vielzahl von Verstößen sich die endgültige Geldbuße nach dem schwersten Einzelverstoß richtet, während alle anderen Einzelverstöße sich nicht mehr erhöhend auswirken. Dies erscheint gerade bei einer Vielzahl von Einzelverstößen in höchstem Maße unangemessen. Andererseits hindert die Regelung nicht daran, bei der Festlegung der Geldbuße für einzelne Verstöße jeweils schon zu berücksichtigen, dass der Verstoß im Kontext einer Vielzahl von Verstößen begangen wurde. Damit käme auch schon in der höchsten Einzelgeldbuße die Vielzahl von Verstößen zum Tragen. Im Ergebnis scheint es daher richtig, die Regelung des Abs. 3 so zu verstehen, dass bei einem einheitlichen Lebenssachverhalt die (theoretisch) ermittelten Einzelgeldbußen jedenfalls nicht einfach nur zusammengezählt werden, sondern mit Blick auf den schwerwiegendsten Verstoß eine Gesamtgeldbuße zu bestimmen ist, die innerhalb der in Abs. 4–6 gesteckten Grenzen bleibt.

V. Verstoßtatbestände und Adressaten (Abs. 4–6) Die Verstoßtatbestände knüpfen an die verschiedenen Regelungsbereiche der 22 Verordnung an und schützen insbesondere die Einhaltung des materiellen Datenschutzes, den technischen und organisatorischen Schutz von Daten sowie Durchsetzungsbefugnisse der Aufsichtsbehörden. Der Verstoß ist dabei jeweils anhand der Kriterien der einzelnen Regelungen zu prüfen, wobei gerade bei solchen Anforderungen, die auf einer Abwägung von Interessen beruhen oder an wertende Merkmale anknüpfen („angemessen“, „Treu und Glauben“, „nachvollziehbar“) besonders sorgfältig darzulegen ist, inwieweit ein vorsätzlicher oder fahrlässiger Verstoß vorliegt. Die Adressaten der Verstoßtatbestände und damit die Adressaten der Geldbuße 23 ergeben sich aus den jeweils in den Abs. 4–6 in Bezug genommenen Regelungen der Verordnung. Diese beziehen sich nicht nur auf Verantwortliche und Auftragsverarbeiter, sondern auch auf Zertifizierungsstellen (Abs. 4 Buchst. b) und Überwachungsstellen (Abs. 4 Buchst. c). Soweit die Geldbuße gegenüber einem Unternehmen zu verhängen ist, soll der Begriff „Unternehmen“ nach den Erwägungsgründen im Sinne der Art. 101 und 102 AEUV verstanden werden, d.h. es gilt der weite, kartellrechtliche Unternehmensbegriff1. Werden Geldbußen Personen auferlegt, bei denen es sich nicht um Unternehmen handelt, so sollte die Aufsichtsbehörde nach den Erwägungsründen bei der Erwägung des angemessenen Betrags für die Geldbuße dem allgemeinen Einkommensniveau in dem be-

1 Erwägungsgrund 150 Satz 1.

Becker

|

1327

Art. 83 DSGVO | Rechtsbehelfe, Haftung und Sanktionen treffenden Mitgliedstaat und der wirtschaftlichen Lage der Personen Rechnung tragen1.

VI. Bußgelder gegen Behörden (Abs. 7) 24 In Abs. 7 eröffnet die Verordnung dem nationalen Gesetzgeber die Möglichkeit

selbst zu bestimmen, ob und inwieweit auch gegen Behörden oder öffentliche Stellen als solche Geldbußen verhängt werden können. Es ist zu erwarten, dass der deutsche Gesetzgeber hiervon keinen Gebrauch machen wird. Davon unabhängig ist die Frage, ob gegen die Mitarbeiter von Behörden oder öffentlichen Stellen, die gegen die Verordnung verstoßen, Geldbußen verhängt werden können. Diese Möglichkeit besteht nach deutschen Recht auch bereits heute, auch wenn entsprechende Fälle in der Praxis selten sind2.

VII. Rechtsschutz gegenüber Geldbußen (Abs. 8) 25 Die Verhängung von Geldbußen muss den allgemeinen rechtsstaatlichen Ver-

fahrensgarantien unterliegen. Für das deutsche Recht besteht hier kein besonderer Anpassungsbedarf. Für das Bußgeldverfahren gelten die Vorschriften der allgemeinen Gesetze über das Strafverfahren, einschließlich der Strafprozessordnung (vgl. § 46 Abs. 1 OWiG). Dies ist entsprechend für die Anwendung des Art. 83 zu übernehmen.

VIII. Besonderheiten in einzelnen Mitgliedstaaten (Abs. 9) 26 Abs. 9 enthält eine Sonderregelung, die den besonderen Gegebenheiten in Däne-

mark und Estland Rechnung trägt. In beiden Ländern ist die Verhängung von Geldbußen durch die Verwaltung nicht vorgesehen3. Die Vorschriften über die Geldbußen können daher dort so angewandt werden, dass die Geldbuße in Dänemark durch die zuständigen nationalen Gerichte als Strafe und in Estland durch die Aufsichtsbehörde im Rahmen eines Verfahrens bei Vergehen verhängt wird, sofern eine solche Anwendung der Vorschriften in diesen Mitgliedstaaten die gleiche Wirkung wie die von den Aufsichtsbehörden verhängten Geldbußen hat. Ferner sollen die zuständigen nationalen Gerichte die Empfehlung der Aufsichtsbehörde, die die Geldbuße in die Wege geleitet hat, berücksichtigen. In jeden Fall sollen die verhängten Geldbußen auch in diesen Ländern wirksam, verhältnismäßig und abschreckend sein. 1 Erwägungsgrund 150 Satz 2. 2 Vgl. z.B. BGH v. 22.6.2000 – 5 StR 268/99, RDV 2001, 99 (Polizist gibt Halterdaten an Anwalt weiter). 3 Erwägungsgrund 151.

1328

|

Becker

Sanktionen | Art. 84 DSGVO

Artikel 84 Sanktionen (1) Die Mitgliedstaaten legen die Vorschriften über andere Sanktionen für Verstöße gegen diese Verordnung – insbesondere für Verstöße, die keiner Geldbuße gemäß Artikel 83 unterliegen – fest und treffen alle zu deren Anwendung erforderlichen Maßnahmen. Diese Sanktionen müssen wirksam, verhältnismäßig und abschreckend sein. (2) Jeder Mitgliedstaat teilt der Kommission bis zum 25.5.2018 die Rechtsvorschriften, die er aufgrund von Absatz 1 erlässt, sowie unverzüglich alle späteren Änderungen dieser Vorschriften mit. Das Sanktionssystem der Verordnung ist nicht abschließend. Insbesondere re- 1 gelt die Verordnung nicht die möglichen strafrechtlichen Konsequenzen, sondern überlässt diese entsprechend der allgemeinen Kompetenzverteilung den Mitgliedstaaten, die insoweit souverän handeln. Die Erwägungsgründe1 führen hierzu im Einzelnen aus, dass die Mitgliedstaaten die strafrechtlichen Sanktionen für Verstöße gegen die Verordnung, auch für Verstöße gegen auf der Grundlage und in den Grenzen der Verordnung erlassene nationale Vorschriften, festlegen können. Die strafrechtlichen Sanktionen können dabei auch die Einziehung der durch die Verstöße gegen diese Verordnung erzielten Gewinne ermöglichen. Die Verhängung von strafrechtlichen Sanktionen für Verstöße gegen solche nationalen Vorschriften und von verwaltungsrechtlichen Sanktionen sollte jedoch nicht zu einer Verletzung des Grundsatzes „ne bis in idem“, wie er vom Gerichtshof ausgelegt worden ist, führen. Ferner heißt es in den Erwägungsgründen2, dass soweit die Verordnung verwaltungsrechtliche Sanktionen nicht harmonisiert oder wenn es in anderen Fällen – bspw. bei schweren Verstößen gegen diese Verordnung – erforderlich ist, die Mitgliedstaaten eine Regelung anwenden sollten, die wirksame, verhältnismäßige und abschreckende Sanktionen vorsieht. Es sollte im Recht der Mitgliedstaaten geregelt werden, ob diese Sanktionen strafrechtlicher oder verwaltungsrechtlicher Art sind. Der deutsche Gesetzgeber wird in diesem Sinne zur Umsetzung der DSGVO auch das Sanktionssystem der §§ 43, 44 BDSG anpassen müssen. Grundsätzlich erscheint es dabei denkbar die Abstufung und Abgrenzung zwischen ordnungswidrigem und strafrechtlich relevanten Verstößen, wie sie heute in den Vorschriften zum Ausdruck kommt, in seinen Grundzügen beizubehalten. Über entsprechende gesetzliche Regelungen ist der Kommission spätestens bis 2 zum Tag des Wirksamwerdens der DSGVO, also bis zum 25.5.2018 zu berichten.

1 Erwägungsgrund 149. 2 Erwägungsgrund 152.

Becker

|

1329

Art. 85 DSGVO | Vorschriften für besondere Verarbeitungssituationen

Kapitel IX Vorschriften für besondere Verarbeitungssituationen

Artikel 85 Verarbeitung und Freiheit der Meinungsäußerung und Informationsfreiheit (1) Die Mitgliedstaaten bringen durch Rechtsvorschriften das Recht auf den Schutz personenbezogener Daten gemäß dieser Verordnung mit dem Recht auf freie Meinungsäußerung und Informationsfreiheit, einschließlich der Verarbeitung zu journalistischen Zwecken und zu wissenschaftlichen, künstlerischen oder literarischen Zwecken, in Einklang. (2) Für die Verarbeitung, die zu journalistischen Zwecken oder zu wissenschaftlichen, künstlerischen oder literarischen Zwecken erfolgt, sehen die Mitgliedstaaten Abweichungen oder Ausnahmen von Kapitel II (Grundsätze), Kapitel III (Rechte der betroffenen Person), Kapitel IV (Verantwortlicher und Auftragsverarbeiter), Kapitel V (Übermittlung personenbezogener Daten an Drittländer oder an internationale Organisationen), Kapitel VI (Unabhängige Aufsichtsbehörden), Kapitel VII (Zusammenarbeit und Kohärenz) und Kapitel IX (Vorschriften für besondere Verarbeitungssituationen) vor, wenn dies erforderlich ist, um das Recht auf Schutz der personenbezogenen Daten mit der Freiheit der Meinungsäußerung und der Informationsfreiheit in Einklang zu bringen. (3) Jeder Mitgliedstaat teilt der Kommission die Rechtsvorschriften, die er aufgrund von Absatz 2 erlassen hat, sowie unverzüglich alle späteren Änderungsgesetze oder Änderungen dieser Vorschriften mit. I. Verpflichtung der Mitgliedstaaten zum „in Einklang bringen“ (Abs. 1) . . . . . . . . . .

1

II. Einzelne Abweichungen und Bestimmungen (Abs. 2) . . . . . . 7 III. Mitteilung an die Kommission (Abs. 3) . . . . . . . . . . . . . . . . . . 10

Schrifttum: Albrecht, Das neue EU-Datenschutzrecht – von der Richtlinie zur Verordnung, CR 2016, 88.

I. Verpflichtung der Mitgliedstaaten zum „in Einklang bringen“ (Abs. 1) 1 Anknüpfend an Art. 9 der EG-Datenschutzrichtlinie1 enthält Abs. 1 eine Ver-

pflichtung der Mitgliedstaaten, Normen zu erlassen bzw. Gewährleistungen vor-

1 Nunmehr aufgehoben gemäß Art. 94 Abs. 1.

1330

|

Grages

Verarbeitung/Freiheit der Meinungsäußerung | Art. 85 DSGVO

zuhalten, die die datenschutzrechtlichen Aspekte der DSGVO mit dem Recht auf freie Meinungsäußerung sowie der Informations-, Presse-, Wissenschaftsund Kunstfreiheit „in Einklang bringen“. Insbesondere die Pressegesetze und die Regelungen für den Rundfunk als nationale Gewährleistungen der Medienfreiheit müssen also mit den Vorgaben der DSGVO abgeglichen werden. Der aus der Formulierung der Norm folgende Gestaltungsspielraum für die 2 nationalen Gesetzgeber ist bislang noch nicht ganz eindeutig geklärt1. Es bleibt insbesondere unklar, ob z.B. Überschreitungen des datenschutzrechtlichen Schutzstandards denkbar sind, obwohl sie dem Konzept der Harmonisierung zuwider laufen. Unterschreitungen des Standards der DSGVO sind dagegen wohl nur gestattet, wenn die Ermächtigung für „Abweichungen“ oder „Ausnahmen“ erteilt wird, vgl. Abs. 2. Im Zweifel sollen nationale Regelungen, die „in Einklang stehen“, bei objektiver Auslegung den Wertungen der DSGVO entsprechen. Hieraus ergibt sich durchaus ein gewisser Korridor zulässiger Lösungen mit leicht differenzierten Gewichtungen. Nicht zuletzt deshalb möchte die Kommission die nationalen Umsetzungen vergleichen und evaluieren, um ggf. eingreifen zu können, vgl. Abs. 3. Es soll jedenfalls eine Konkordanz mit den hochrangigen Freiheiten und 3 Rechten aus Art. 11 und 13 GRCh (Freiheit der Meinungsäußerung und Informationsfreiheit, Freiheit der Kunst und Wissenschaft) bzw. Art. 10 EMRK (Freiheit der Meinungsäußerung) hergestellt werden. Bisher dient zu diesem Zweck insbesondere die Regelung in § 41 BDSG mit dem darin enthaltenen „Medienprivileg“; in Bezug auf die Wissenschaft sieht § 40 BDSG ergänzende Regelungen zu den allgemeinen Erlaubnisnormen vor, vgl. jeweils die Komm. zum BDSG. Der europäische Gesetzgeber macht mit der weiten Öffnungsklausel in Art. 85 4 deutlich, dass die DSGVO keine abschließende Regelung zum Interessenausgleich zwischen informationeller Selbstbestimmung und anderen Grundrechten bereithält. Die Gewichtung der Belange und der Erlass darauf basierender Ausnahmeregelungen sollen vielmehr den Mitgliedstaaten in eigener Verantwortung obliegen. Mit dem hierdurch geschaffenen Spielraum an zentraler Stelle wird der Anspruch, ein einheitliches Rechtsregime für den Datenschutz in Europa zu schaffen, deutlich relativiert. So kann allerdings den kulturellen oder verfassungsrechtlichen Besonderheiten des jeweiligen Mitgliedstaates Rechnung getragen werden. Nicht zuletzt die „Google Spain“-Entscheidung des EuGH hat gezeigt, dass das 5 Spannungsverhältnis von Datenschutz und Medienfreiheiten ein zentrales Problemfeld der heutigen Gesellschaft darstellt2. Erwägungsgrund 153 betont die „Bedeutung des Rechts auf freie Meinungsäußerung in einer demokratischen Gesellschaft“ und leitet daraus die Vorgabe ab, dass entsprechende Ansprüche 1 Albrecht, CR 2016, 88 (97) spricht vom „Raum für mitgliedstaatliche Sonderwege“. 2 Vgl. EuGH v. 13.5.2014 – C-131/12.

Grages

|

1331

Art. 85 DSGVO | Vorschriften für besondere Verarbeitungssituationen großzügig gewährt bzw. „Begriffe weit ausgelegt“ werden sollen. Dass die im Kommissionsentwurf noch enthaltene Einschränkung, die Verarbeitung müsse sich „allein“ auf die begünstigten Zwecke beziehen, nicht mehr in der finalen Fassung enthalten ist, deutet in diese Richtung. Die nationalen Regelungen sollen die privilegierten Institutionen so weit entlasten, dass diese ihren Aufgaben wirksam nachgehen können, soweit die Ausübung der angesprochenen Rechte berührt ist. Gleichwohl kann kein generelles Sonderrecht für Medienunternehmen oder Forschungseinrichtungen erlassen werden, soweit nicht die besonderen Zwecke funktional betroffen sind. Eine Einschränkung des datenschutzrechtlichen Schutzniveaus ist nur dann legitim, wenn dies für die Wahrung der Grundfreiheiten und -rechte erforderlich ist. 6 In Erwägungsgrund 153 wird klargestellt, dass in internationalen Anwendungs-

fällen das Recht, dem der Verantwortliche (nicht der Betroffene) unterliegt, zur Anwendung kommen soll. Es ist zu beachten, dass gemäß Art. 83 Abs. 5 Buchst. d Verstöße gegen die unter Art. 85 erlassenen nationalen Regelungen mit einem hohen Bußgeld geahndet werden können.

II. Einzelne Abweichungen und Bestimmungen (Abs. 2) 7 Nähere Bestimmungen für denkbare nationale Regelungen zugunsten der Ver-

arbeitung personenbezogener Daten für journalistische, wissenschaftliche oder künstlerische Zwecke enthält Abs. 2. Der Wortlaut nimmt die übergeordnete Freiheit der Meinungsäußerung bzw. die Informationsfreiheit nur mittelbar – nämlich bei der Bestimmung des Gesetzeszweckes – in Bezug; gleichwohl muss man Abs. 2 wohl als umfassende Konkretisierung des Abs. 1 verstehen. In Bezug auf Forschungsinstitutionen normiert Art. 89 weitere detaillierte Vorgaben.

8 Die Mitgliedstaaten dürfen Abweichungen oder Ausnahmen in Bezug auf

praktisch alle zentralen Bereiche der DSGVO vorsehen, um die angesprochenen Freiheiten mit dem Schutz personenbezogener Daten in Einklang zu bringen. In Bezug auf das „Recht auf Vergessenwerden“ ist bereits in Art. 17 Abs. 3 Buchst. a klargestellt, dass das Recht auf freie Meinungsäußerung im Einzelfall dem Betroffenenrecht vorgehen kann. Unangetastet müssen lediglich die „allgemeinen Bestimmungen“ nach Kapitel I, „Rechtsbehelfe, Haftung und Sanktionen“ gemäß Kapitel VIII sowie die Durchführungsregelungen in Kapitel X und XI bleiben. Mit Blick auf Kapitel VIII ist allerdings zu beachten, dass die Vorgaben für die Verarbeitung entscheidende Rückwirkungen auf die relevanten Haftungsszenarien und Rechtsschutzmöglichkeiten haben, da durch weitergehende Befugnisse die Abwehrrechte relativiert werden.

9 Die nationalen Gesetze können nicht nur Ausnahmen von allgemeinen Grund-

sätzen und Rechten der Betroffenen normieren, sondern auch spezifische Aufsichtsmechanismen und besondere Rechtfertigungsnormen beinhalten. Es wird in Erwägungsgrund 153 klargestellt, dass dies auch im Interesse der Ge1332

|

Grages

Verarbeitung und Zugang der Öffentlichkeit | Art. 86 DSGVO

währleistung von Nachrichten- und Pressearchiven der Fall sein kann. Die DSGVO erkennt also Archivzwecke ausdrücklich als denkbare Einschränkung datenschutzrechtlicher Positionen an, s. insofern auch Art. 89. Vgl. zu allgemeinen Anforderungen an die Gestaltung spezifischer Ermächtigungsnormen zudem Art. 6 Abs. 3 und die Komm. zu Art. 6 DSGVO Rz. 28 f.

III. Mitteilung an die Kommission (Abs. 3) Die Mitgliedstaaten sind verpflichtet, Bestimmungen zur Verarbeitung zu jour- 10 nalistischen, wissenschaftlichen oder künstlerischen Zwecken gemäß Abs. 2 oder deren Änderungen der Kommission zu melden. Dort kann dann ausgewertet werden, ob sich ein adäquates Schutzniveau in der Union entwickelt (hat) und bei Bedarf auf die Mitgliedstaaten eingewirkt werden, ggf. nach Art. 258 AEUV im Vertragsverletzungsverfahren. An die Pflicht zur Mitteilung schließt sich die wesentliche Frage an, ob Art. 85 11 eine Neuregelung unter der DSGVO verlangt oder ob bestehende Regelungen weiter gelten dürfen, solange sie mit deren Wertungen in Einklang gebracht werden können. Die aktive Formulierung in Abs. 3 deutet fast in Richtung eines verpflichtenden Neuerlasses, auch Erwägungsgrund 153 spricht davon, dass die Mitgliedstaaten im Bereich der freien Meinungsäußerung „Gesetzgebungsmaßnahmen erlassen sollten“. Gleichwohl spricht mehr dafür, dass auch Altregelungen beibehalten werden können (und mitgeteilt werden müssen). Dies gilt natürlich nur, wenn die Bestandsnormen den aktuellen Anforderungen entsprechen. Alles andere wäre unnötiger Formalismus und nicht im Sinne des Datenschutzes und seiner Anerkennung. Hierfür spricht systematisch auch die Klarstellung in Art. 6 Abs. 2, der zufolge nationale Regelungen für besondere Verarbeitungssituationen gemäß Kapitel IX „beibehalten oder eingeführt“ werden können.

Artikel 86 Verarbeitung und Zugang der Öffentlichkeit zu amtlichen Dokumenten Personenbezogene Daten in amtlichen Dokumenten, die sich im Besitz einer Behörde oder einer öffentlichen Einrichtung oder einer privaten Einrichtung zur Erfüllung einer im öffentlichen Interesse liegenden Aufgabe befinden, können von der Behörde oder der Einrichtung gemäß dem Unionsrecht oder dem Recht des Mitgliedstaats, dem die Behörde oder Einrichtung unterliegt, offengelegt werden, um den Zugang der Öffentlichkeit zu amtlichen Dokumenten mit dem Recht auf Schutz personenbezogener Daten gemäß dieser Verordnung in Einklang zu bringen. Grages

|

1333

Verarbeitung und Zugang der Öffentlichkeit | Art. 86 DSGVO

währleistung von Nachrichten- und Pressearchiven der Fall sein kann. Die DSGVO erkennt also Archivzwecke ausdrücklich als denkbare Einschränkung datenschutzrechtlicher Positionen an, s. insofern auch Art. 89. Vgl. zu allgemeinen Anforderungen an die Gestaltung spezifischer Ermächtigungsnormen zudem Art. 6 Abs. 3 und die Komm. zu Art. 6 DSGVO Rz. 28 f.

III. Mitteilung an die Kommission (Abs. 3) Die Mitgliedstaaten sind verpflichtet, Bestimmungen zur Verarbeitung zu jour- 10 nalistischen, wissenschaftlichen oder künstlerischen Zwecken gemäß Abs. 2 oder deren Änderungen der Kommission zu melden. Dort kann dann ausgewertet werden, ob sich ein adäquates Schutzniveau in der Union entwickelt (hat) und bei Bedarf auf die Mitgliedstaaten eingewirkt werden, ggf. nach Art. 258 AEUV im Vertragsverletzungsverfahren. An die Pflicht zur Mitteilung schließt sich die wesentliche Frage an, ob Art. 85 11 eine Neuregelung unter der DSGVO verlangt oder ob bestehende Regelungen weiter gelten dürfen, solange sie mit deren Wertungen in Einklang gebracht werden können. Die aktive Formulierung in Abs. 3 deutet fast in Richtung eines verpflichtenden Neuerlasses, auch Erwägungsgrund 153 spricht davon, dass die Mitgliedstaaten im Bereich der freien Meinungsäußerung „Gesetzgebungsmaßnahmen erlassen sollten“. Gleichwohl spricht mehr dafür, dass auch Altregelungen beibehalten werden können (und mitgeteilt werden müssen). Dies gilt natürlich nur, wenn die Bestandsnormen den aktuellen Anforderungen entsprechen. Alles andere wäre unnötiger Formalismus und nicht im Sinne des Datenschutzes und seiner Anerkennung. Hierfür spricht systematisch auch die Klarstellung in Art. 6 Abs. 2, der zufolge nationale Regelungen für besondere Verarbeitungssituationen gemäß Kapitel IX „beibehalten oder eingeführt“ werden können.

Artikel 86 Verarbeitung und Zugang der Öffentlichkeit zu amtlichen Dokumenten Personenbezogene Daten in amtlichen Dokumenten, die sich im Besitz einer Behörde oder einer öffentlichen Einrichtung oder einer privaten Einrichtung zur Erfüllung einer im öffentlichen Interesse liegenden Aufgabe befinden, können von der Behörde oder der Einrichtung gemäß dem Unionsrecht oder dem Recht des Mitgliedstaats, dem die Behörde oder Einrichtung unterliegt, offengelegt werden, um den Zugang der Öffentlichkeit zu amtlichen Dokumenten mit dem Recht auf Schutz personenbezogener Daten gemäß dieser Verordnung in Einklang zu bringen. Grages

|

1333

Art. 86 DSGVO | Vorschriften für besondere Verarbeitungssituationen 1 I.S.v. Art. 42 GRCh (Recht auf Zugang zu Dokumenten) betrifft die Regelung die

Gewährung von Zugang zu amtlichen Dokumenten für interessierte Mitglieder der Öffentlichkeit, soweit diese personenbezogene Daten i.S.d. Art. 4 Nr. 1 beinhalten. Die Regelung erfasst dabei nur die personenbezogenen Daten Lebender, da die DSGVO nicht den Umgang mit den personenbezogenen Daten Verstorbener regeln soll. Die Mitgliedstaaten können insofern aber eigene, ggf. entsprechende Regelungen, erlassen, vgl. Erwägungsgrund 27.

2 Bereits in der EG-Datenschutzrichtlinie1 waren entsprechende Zugangsrechte in

Erwägungsgrund 72 angesprochen worden, ohne aber eine konkrete Regelung hiervon abzuleiten. In Erwägungsgrund 154 der DSGVO wird der Zugang nun wiederum als zu wahrendes „öffentliches Interesse“ anerkannt. Auch eine proaktive (also nicht auf einem Antrag beruhende) Offenlegung kommt vor diesem Hintergrund in Betracht, wenn die besitzende Stelle damit das öffentliche Interesse berücksichtigen möchte. Angesichts der allgemeinen Bestrebungen im Bereich von Open Data bzw. Open Access zeigt sich die DSGVO hier zukunftsoffen2.

3 Art. 86 nimmt nicht nur amtliche Dokumente im Besitz von Behörden im enge-

ren Sinne in Bezug, sondern auch jene bei privaten Einrichtungen, soweit diese Aufgaben im öffentlichen Interesse ausführen. Die DSGVO berücksichtigt damit auch Konstellationen wie Beleihungen etc., um sicherzustellen, dass der Informationsanspruch der Öffentlichkeit umfassend berücksichtigt werden kann.

4 Die Union oder die Mitgliedstaaten sind berechtigt, Transparenz in öffentlichen

Angelegenheiten zu gewährleisten, auch wenn damit die Weitergabe oder Offenlegung personenbezogener Daten verbunden ist. Die Norm ist nicht eindeutig als Ermächtigung für die Mitgliedstaaten formuliert, entsprechende Gesetze zu erlassen. Man wird sie aber als Öffnungsklausel verstehen müssen, die nationale Gesetze zum angesprochenen Zweck anerkennt, solange diese mit den Wertungen der DSGVO vereinbar sind (s. zur Auslegung des Tatbestandsmerkmals „in Einklang bringen“ die Komm. zu Art. 85 DSGVO Rz. 2). Soweit die Adressaten der Norm ihrerseits personenbezogene Daten zugänglich machen, erscheint dies darüber hinaus auch unter der allgemeinen Erlaubnisnorm des Art. 6 Abs. 1 Buchst. e (Verarbeitung zur Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt) möglich. Aus Art. 6 Abs. 2 und 3 folgt insofern, dass spezifische Ermächtigungsnormen im Regelungsbereich von Kapitel XI erlassen (oder beibehalten) werden können. Es besteht also jedenfalls die Möglichkeit, nationale Regelungen zur Konkretisierung des Zugangsrechts zu erlassen.

1 Nunmehr aufgehoben gemäß Art. 94 Abs. 1. 2 Für Dokumente, die sich beim Europäischen Datenschutzausschuss befinden, gilt die Verordnung 1049/2001 über den Zugang der Öffentlichkeit zu Dokumenten des Europäischen Parlaments, des Rates und der Kommission.

1334

|

Grages

Verarbeitung der nationalen Kennziffer | Art. 87 DSGVO

Im Ergebnis ist immer eine sorgfältige Abwägung von Zugangs- und Schutz- 5 interessen erforderlich. Im Zweifel können nationale Zugangsrechte dieser Anforderung besser genügen, wenn sie ihrerseits eine Abwägungsebene beinhalten, also nicht ohne Ansehung des Einzelfalls eine Offenlegung vorsehen. Zudem erscheint es im Wertungszusammenhang regelmäßig geboten, personenbezogene Daten zu anonymisieren oder zu pseudonymisieren, wenn hierdurch der berechtigte Informationsbedarf nicht beeinträchtigt wird. Es ist zu beachten, dass gemäß Art. 83 Abs. 5 Buchst. d Verstöße gegen die unter Art. 86 erlassenen nationalen Regelungen mit einem hohen Bußgeld geahndet werden können. In Deutschland sind als nationale Umsetzung des Gestaltungsspielraums das be- 6 reits vorhandene Informationsfreiheitsgesetz (IFG) und die entsprechenden Regelungen auf Landesebene zu beachten. Angesichts der Vorbehalte zum Schutz personenbezogener Daten in § 5 IFG erscheint das deutsche Bundesrecht in der Sache derzeit nicht im Widerspruch zu den Vorgaben der DSGVO. Die DSGVO erkennt schließlich an, dass die offengelegten Informationen 7 grundsätzlich legitim weiterverwendet werden können. Es wird in Erwägungsgrund 154 indes auch klargestellt, dass die Richtlinie 2003/98/EG (Richtlinie über die Weiterverwendung von Informationen des öffentlichen Sektors, sog. PSI-Richtlinie; in Deutschland umgesetzt durch das Informationsweiterverwendungsgesetz, IWG) nicht geeignet ist, durch ihre Vorgaben das Schutzniveau der DSGVO zum Nachteil der Betroffenen zu relativieren. Im Gegenteil wird deutlich gemacht, dass die Mitgliedstaaten berechtigt und verpflichtet sind, die PSIRichtlinie so umzusetzen, dass die Vorgaben des Datenschutzrechts eingehalten werden.

Artikel 87 Verarbeitung der nationalen Kennziffer Die Mitgliedstaaten können näher bestimmen, unter welchen spezifischen Bedingungen eine nationale Kennziffer oder andere Kennzeichen von allgemeiner Bedeutung Gegenstand einer Verarbeitung sein dürfen. In diesem Fall darf die nationale Kennziffer oder das andere Kennzeichen von allgemeiner Bedeutung nur unter Wahrung geeigneter Garantien für die Rechte und Freiheiten der betroffenen Person gemäß dieser Verordnung verwendet werden. Die DSGVO erkennt in Anknüpfung an Art. 8 Abs. 7 der EG-Datenschutzricht- 1 linie1 grundsätzlich an, dass nationale Kennziffern eingesetzt werden dürfen. Solche individuellen Kennungen sind etwa Sozialversicherungs- oder Steuernummern, die einem Bürger oder Einwohner individuell zugeteilt werden. 1 Nunmehr aufgehoben gemäß Art. 94 Abs. 1.

Grages

|

1335

Verarbeitung der nationalen Kennziffer | Art. 87 DSGVO

Im Ergebnis ist immer eine sorgfältige Abwägung von Zugangs- und Schutz- 5 interessen erforderlich. Im Zweifel können nationale Zugangsrechte dieser Anforderung besser genügen, wenn sie ihrerseits eine Abwägungsebene beinhalten, also nicht ohne Ansehung des Einzelfalls eine Offenlegung vorsehen. Zudem erscheint es im Wertungszusammenhang regelmäßig geboten, personenbezogene Daten zu anonymisieren oder zu pseudonymisieren, wenn hierdurch der berechtigte Informationsbedarf nicht beeinträchtigt wird. Es ist zu beachten, dass gemäß Art. 83 Abs. 5 Buchst. d Verstöße gegen die unter Art. 86 erlassenen nationalen Regelungen mit einem hohen Bußgeld geahndet werden können. In Deutschland sind als nationale Umsetzung des Gestaltungsspielraums das be- 6 reits vorhandene Informationsfreiheitsgesetz (IFG) und die entsprechenden Regelungen auf Landesebene zu beachten. Angesichts der Vorbehalte zum Schutz personenbezogener Daten in § 5 IFG erscheint das deutsche Bundesrecht in der Sache derzeit nicht im Widerspruch zu den Vorgaben der DSGVO. Die DSGVO erkennt schließlich an, dass die offengelegten Informationen 7 grundsätzlich legitim weiterverwendet werden können. Es wird in Erwägungsgrund 154 indes auch klargestellt, dass die Richtlinie 2003/98/EG (Richtlinie über die Weiterverwendung von Informationen des öffentlichen Sektors, sog. PSI-Richtlinie; in Deutschland umgesetzt durch das Informationsweiterverwendungsgesetz, IWG) nicht geeignet ist, durch ihre Vorgaben das Schutzniveau der DSGVO zum Nachteil der Betroffenen zu relativieren. Im Gegenteil wird deutlich gemacht, dass die Mitgliedstaaten berechtigt und verpflichtet sind, die PSIRichtlinie so umzusetzen, dass die Vorgaben des Datenschutzrechts eingehalten werden.

Artikel 87 Verarbeitung der nationalen Kennziffer Die Mitgliedstaaten können näher bestimmen, unter welchen spezifischen Bedingungen eine nationale Kennziffer oder andere Kennzeichen von allgemeiner Bedeutung Gegenstand einer Verarbeitung sein dürfen. In diesem Fall darf die nationale Kennziffer oder das andere Kennzeichen von allgemeiner Bedeutung nur unter Wahrung geeigneter Garantien für die Rechte und Freiheiten der betroffenen Person gemäß dieser Verordnung verwendet werden. Die DSGVO erkennt in Anknüpfung an Art. 8 Abs. 7 der EG-Datenschutzricht- 1 linie1 grundsätzlich an, dass nationale Kennziffern eingesetzt werden dürfen. Solche individuellen Kennungen sind etwa Sozialversicherungs- oder Steuernummern, die einem Bürger oder Einwohner individuell zugeteilt werden. 1 Nunmehr aufgehoben gemäß Art. 94 Abs. 1.

Grages

|

1335

Art. 88 DSGVO | Vorschriften für besondere Datenverarbeitungssituationen Auch andere „Kennzeichen von allgemeiner Bedeutung“ sollen zulässig sein. Erwägungsgrund 35 nennt insofern „Kennzeichen, die einer natürlichen Person zugeteilt wurden, um diese natürliche Person für gesundheitliche Zwecke eindeutig zu identifizieren“, hiermit sind im Zweifel Krankenversicherungsnummern gemeint. 2 Angesichts der unspezifischen Weite der Ermächtigung kommt der Norm eher

eine allgemein klarstellende Funktion zu. Die DSGVO erlaubt es in diesem Sinne, dass Kennungen, die einen Betroffenen eindeutig und ggf. lebenslang identifizieren, grundsätzlich vergeben werden dürfen. Aus datenschutzrechtlicher Sicht sind solche Kennungen insbesondere problematisch, wenn auf dieser Grundlage umfassende Profile gebildet werden bzw. Verknüpfungen mit anderen Informationen erfolgen. Die Mitgliedstaaten können und müssen deshalb unter Beachtung der Maximen der DSGVO näher bestimmen, in welchen Zusammenhängen und in welchem Umfang eine Verarbeitung stattfinden darf, soweit Kennziffern verwendet werden. Es ist zu beachten, dass gemäß Art. 83 Abs. 5 Buchst. d Verstöße gegen die unter Art. 87 erlassenen nationalen Regelungen mit einem hohen Bußgeld geahndet werden können.

Artikel 88 Datenverarbeitung im Beschäftigungskontext (1) Die Mitgliedstaaten können durch Rechtsvorschriften oder durch Kollektivvereinbarungen spezifischere Vorschriften zur Gewährleistung des Schutzes der Rechte und Freiheiten hinsichtlich der Verarbeitung personenbezogener Beschäftigtendaten im Beschäftigungskontext, insbesondere für Zwecke der Einstellung, der Erfüllung des Arbeitsvertrags einschließlich der Erfüllung von durch Rechtsvorschriften oder durch Kollektivvereinbarungen festgelegten Pflichten, des Managements, der Planung und der Organisation der Arbeit, der Gleichheit und Diversität am Arbeitsplatz, der Gesundheit und Sicherheit am Arbeitsplatz, des Schutzes des Eigentums der Arbeitgeber oder der Kunden sowie für Zwecke der Inanspruchnahme der mit der Beschäftigung zusammenhängenden individuellen oder kollektiven Rechte und Leistungen und für Zwecke der Beendigung des Beschäftigungsverhältnisses vorsehen. (2) Diese Vorschriften umfassen angemessene und besondere Maßnahmen zur Wahrung der menschlichen Würde, der berechtigten Interessen und Grundrechte der betroffenen Person, insbesondere im Hinblick auf die Transparenz der Verarbeitung, die Übermittlung personenbezogener Daten innerhalb einer Unternehmensgruppe oder einer Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben, und die Überwachungssysteme am Arbeitsplatz. 1336

|

Grages/Stamer/Kuhnke

Art. 88 DSGVO | Vorschriften für besondere Datenverarbeitungssituationen Auch andere „Kennzeichen von allgemeiner Bedeutung“ sollen zulässig sein. Erwägungsgrund 35 nennt insofern „Kennzeichen, die einer natürlichen Person zugeteilt wurden, um diese natürliche Person für gesundheitliche Zwecke eindeutig zu identifizieren“, hiermit sind im Zweifel Krankenversicherungsnummern gemeint. 2 Angesichts der unspezifischen Weite der Ermächtigung kommt der Norm eher

eine allgemein klarstellende Funktion zu. Die DSGVO erlaubt es in diesem Sinne, dass Kennungen, die einen Betroffenen eindeutig und ggf. lebenslang identifizieren, grundsätzlich vergeben werden dürfen. Aus datenschutzrechtlicher Sicht sind solche Kennungen insbesondere problematisch, wenn auf dieser Grundlage umfassende Profile gebildet werden bzw. Verknüpfungen mit anderen Informationen erfolgen. Die Mitgliedstaaten können und müssen deshalb unter Beachtung der Maximen der DSGVO näher bestimmen, in welchen Zusammenhängen und in welchem Umfang eine Verarbeitung stattfinden darf, soweit Kennziffern verwendet werden. Es ist zu beachten, dass gemäß Art. 83 Abs. 5 Buchst. d Verstöße gegen die unter Art. 87 erlassenen nationalen Regelungen mit einem hohen Bußgeld geahndet werden können.

Artikel 88 Datenverarbeitung im Beschäftigungskontext (1) Die Mitgliedstaaten können durch Rechtsvorschriften oder durch Kollektivvereinbarungen spezifischere Vorschriften zur Gewährleistung des Schutzes der Rechte und Freiheiten hinsichtlich der Verarbeitung personenbezogener Beschäftigtendaten im Beschäftigungskontext, insbesondere für Zwecke der Einstellung, der Erfüllung des Arbeitsvertrags einschließlich der Erfüllung von durch Rechtsvorschriften oder durch Kollektivvereinbarungen festgelegten Pflichten, des Managements, der Planung und der Organisation der Arbeit, der Gleichheit und Diversität am Arbeitsplatz, der Gesundheit und Sicherheit am Arbeitsplatz, des Schutzes des Eigentums der Arbeitgeber oder der Kunden sowie für Zwecke der Inanspruchnahme der mit der Beschäftigung zusammenhängenden individuellen oder kollektiven Rechte und Leistungen und für Zwecke der Beendigung des Beschäftigungsverhältnisses vorsehen. (2) Diese Vorschriften umfassen angemessene und besondere Maßnahmen zur Wahrung der menschlichen Würde, der berechtigten Interessen und Grundrechte der betroffenen Person, insbesondere im Hinblick auf die Transparenz der Verarbeitung, die Übermittlung personenbezogener Daten innerhalb einer Unternehmensgruppe oder einer Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben, und die Überwachungssysteme am Arbeitsplatz. 1336

|

Grages/Stamer/Kuhnke

Datenverarbeitung im Beschäftigungskontext | Art. 88 DSGVO

(3) Jeder Mitgliedstaat teilt der Kommission bis zum 25. Mai 2018 die Rechtsvorschriften, die er aufgrund von Absatz 1 erlässt, sowie unverzüglich alle späteren Änderungen dieser Vorschriften mit. I. Einführung . . . . . . . . . . . . . . 1 II. Verhältnis zu § 32 BDSG . . . . 5 III. Tarifverträge, Dienst- und Betriebsvereinbarungen . . . . . 8 IV. Einwilligung . . . . . . . . . . . . . 12 V. Grundsätze der Datenverarbeitung im Beschäftigungskontext 14 VI. Besondere Kategorien personenbezogener Daten . . . 19

VII. Datenverarbeitung im Konzern . . . . . . . . . . . . . . . . 20 VIII. Datenverarbeitung bei der Begründung, Durchführung und Beendigung des Beschäftigungsverhältnisses, insbesondere bei Überwachungsmaßnahmen . . . . . . . . . . . . . . . . . 21

Schrifttum: Albrecht, Das neue EU-Datenschutzrecht – von der Richtlinie zur Verordnung, CR 2016, 88; Buchner, Grundsätze und Rechtmäßigkeit der Datenverarbeitung unter der DSGVO, DuD 2016, 155; Callies/Ruffert, EUV/AEUV, 4. Aufl. 2011; Däubler/ Hjort/Schubert/Wolmerath, Arbeitsrecht, 3. Aufl. 2013; Düwell/Brink, Die EU-Datenschutzgrundverordnung und der Beschäftigtendatenschutz, NZA 2016, 665; Faust/Spittka/ Wybitul, Milliardenbußen nach der DSGVO? ZD 2016, 120; Franzen, Der Vorschlag für eine EU-Datenschutz-Grundverordnung und der Arbeitnehmerdatenschutz, DuD 2012, 322; Franzen, Beschäftigtendatenschutz: Was wäre besser als der Status quo?, RDV 2014, 200; Gierschmann, Was „bringt“ deutschen Unternehmen die DSGVO? Mehr Pflichten, aber die Rechtsunsicherheit bleibt, ZD 2016, 51; Gola/Pötters/Thüsing, Art. 82 DSGVO: Öffnungsklausel für nationale Regelungen zum Beschäftigtendatenschutz – Warum der deutsche Gesetzgeber jetzt handeln muss, RDV 2016, 57; Grabitz/Hilf/Nettesheim, Das Recht der EU, Loseblatt, Stand: 56. Ergänzungslieferung 2015; Kort, Arbeitnehmerdatenschutz gemäß der EU-Datenschutz-Grundverordnung, DB 2016, 711; Sörup, Gestaltungsvorschläge zur Umsetzung der Informationspflichten der DS-GVO im Beschäftigungskontext, ArbRAktuell 2016, 207; Sörup/Marquardt, Auswirkungen der EU-Datenschutzgrundverordnung auf die Datenverarbeitung im Beschäftigungskontext, ArbRAktuell 2016, 103; Will, Schlussrunde bei der Datenschutz-Grundverordnung? ZD 2015, 345; Wybitul, Was ändert sich mit dem neuen EU-Datenschutzrecht für Arbeitgeber und Betriebsräte? Anpassungsbedarf bei Beschäftigtendatenschutz und Betriebsvereinbarungen, ZD 2016, 203; Wybitul, EU-Datenschutz-Grundverordnung in der Praxis – Was ändert sich durch das neue Datenschutzrecht?, BB 2016, 1077; Wybitul/Pötters, Der neue Datenschutz am Arbeitsplatz, RDV 2016, 10; Wybitul/Sörup/Pötters, Betriebsvereinbarungen und § 32 BDSG: Wie geht es nach der DSGVO weiter?, ZD 2015, 559.

I. Einführung Art. 88 regelt die Datenverarbeitung im „Beschäftigungskontext“. Die diesbezüg- 1 lichen Erwägungen enthält der Erwägungsgrund 155. Hinsichtlich der Auswirkungen von Art. 88 auf den deutschen Beschäftigtendatenschutz ist zu beachten, dass nach Art. 288 Abs. 2 AEUV Verordnungen allgemeine Geltung haben, in allen Stamer/Kuhnke

|

1337

Art. 88 DSGVO | Vorschriften für besondere Datenverarbeitungssituationen ihren Teilen verbindlich sind und in jedem Mitgliedstaat unmittelbar gelten. Einer Umsetzung in nationales Recht bedarf es also nicht. Die unmittelbare Geltung führt im Gegenteil dazu, dass die Mitgliedstaaten Rechtsakte, die die Tragweite der Verordnung berühren1 oder die unmittelbare Geltung der Verordnung verbergen können2, nicht länger erlassen dürfen. Selbst inhaltsgleiche Regelungen sind nur in besonderen Ausnahmefällen zulässig3. Folglich ist das Unionsrecht auch dann anzuwenden, wenn dem eine Vorschrift des nationalen Rechts entgegenstehen sollte. Das nationale Recht wird aber nicht etwa „inexistent“, das nationale Gericht ist vielmehr verpflichtet, die fragliche Vorschrift „unangewendet“ zu lassen4. 2 Die EU besitzt unterdessen keine „Kompetenz-Kompetenz“, kann also nicht aus

eigener Macht heraus Kompetenzen für sich schaffen. Mithin bedarf jeder Gesetzgebungsakt und folglich auch die DSGVO einer entsprechenden Kompetenzgrundlage. Als solche waren im Kommissionsentwurf Art. 16 Abs. 2 und Art. 114 Abs. 1 AEUV genannt5. Dabei war fraglich, inwieweit diese Bestimmungen gerade auch eine Kompetenz für die Schaffung beschäftigtendatenschutzrechtlicher Bestimmungen zu begründen vermochten6. So regelt Art. 16 Abs. 2 AEUV einerseits die Schaffung datenschutzrechtlicher Bestimmungen hinsichtlich der Datenverarbeitung durch die Organe der Union und durch die Mitgliedstaaten, also nicht der Datenverarbeitung durch Privatrechtssubjekte, andererseits den Erlass von Rechtsvorschriften über den freien Datenverkehr7. Der freie Datenverkehr ist im Bereich des Beschäftigtendatenschutzes aber regelmäßig nicht berührt. Art. 114 Abs. 1 AEUV ist wiederum eine allgemeine Kompetenzgrundlage für die Verwirklichung des Binnenmarkts. Diese Rechtsgrundlage gilt nach Art. 114 Abs. 2 AEUV indessen nicht für „die Bestimmungen über die Rechte und Interessen der Arbeitnehmer“, und Art. 88 enthält gerade solche Bestimmungen. Art. 153 AEUV enthält wiederum deutlich beschränkte Regelungskompetenzen. Möglich ist demnach nur der Erlass von Richtlinien mit mindestharmonisierenden Regelungen (vgl. Art. 153 Abs. 2 AEUV). Auf Grundlage einer vollständig

1 EuGH v. 18.2.1970 – 40/69, Slg. 1970, 69 (80) – Hauptzollamt Hamburg/Bollmann; EuGH v. 18.6.1970 – 74/69, Slg. 1970, 451 (459) – Hauptzollamt Bremen/Krohn; Grabitz/Hilf/Nettesheim, Art. 288 AEUV Rz. 101; vgl. dazu auch Wybitul/Sörup/Pötters, ZD 2015, 559 (561). 2 EuGH v. 7.11.1972 – 20/72, Slg. 1972, 1055 (1061) – Belgien/NV Cobelex; EuGH v. 10.10. 1973 – 34/73, Slg. 1973, 981 (990) – Variola/Amministrazione italiana delle finanze; EuGH v. 31.1.1978 – 94/77, Slg. 1978, 99 (115) – Zerbone/Amministrazione italiana delle finanze; Callies/Ruffert/Callies, Art. 288 AEUV Rz. 20. 3 EuGH v. 28.3.1985 – 272/83, Slg. 1985, 1057 (1074) – Kommission/Italien; vgl. dazu auch Callies/Ruffert/Callies, Art. 288 AEUV Rz. 20. 4 EuGH v. 22.10.1998 – Rs. C-10/97 bis C-22/97, Slg. 1998, S. I-6307 – Ministero delle Finanze vs. IN.CO.GE, 90 et. al. unter Rz. 23. 5 Kommission (2012) 11 endgültig. 6 Vgl. dazu nur Franzen, RDV 2014, 200 (201); Franzen, DuD 2012, 322 (324). 7 Vgl. dazu nur Franzen, RDV 2014, 200 (201); Franzen, DuD 2012, 322 (325).

1338

|

Stamer/Kuhnke

Datenverarbeitung im Beschäftigungskontext | Art. 88 DSGVO

harmonisierenden Verordnung wären Regelungen zum Beschäftigtendatenschutz auf EU-Ebene also möglicherweise kompetenzwidrig gewesen1. Dem Prinzip der vollständigen Harmonisierung folgt die DSGVO denn auch 3 nicht uneingeschränkt. Vielmehr enthält sie zahlreiche Öffnungsklauseln für mitgliedstaatliche Regelungen2. Dies gilt insbesondere für den Beschäftigtendatenschutz. So gestattet Art. 88 Abs. 1 den Mitgliedstaaten die Schaffung spezifischerer Vorschriften hinsichtlich der Verarbeitung personenbezogener Beschäftigtendaten durch Rechtsvorschriften oder Kollektivvereinbarungen für dort nicht abschließend genannte Zwecke3. In dieser Hinsicht gibt Art. 88 Abs. 2 den Schutzzweck solcher nationalen Vorschriften im Kontext des Beschäftigtendatenschutzes vor; konkrete inhaltliche Vorgaben enthält Art. 88 dagegen nicht4. Wie bereits die Richtlinie 95/46/EG5 basiert auch die DSGVO hinsichtlich der 4 Verarbeitung personenbezogener Daten auf dem Prinzip eines Verbots mit Erlaubnisvorbehalt, vgl. Art. 66. Nach Art. 6 Abs. 1 ist die Verarbeitung personenbezogener Daten nur dann rechtmäßig, wenn mindestens eine der Bedingungen nach Art. 6 Abs. 1 Buchst. a–f vorliegt. Neben der Einwilligung (Buchst. a) (vgl. dazu Rz. 12) kommen als weitere gesetzliche Rechtmäßigkeitsgründe vertragliche (Buchst. b) und rechtliche Verpflichtungen (Buchst. c) in Betracht (s. im Einzelnen Komm. zu Art. 6 DSGVO Rz. 8 ff., 13). Flankierend hierzu bestimmt Art. 6 Abs. 2, dass die Mitgliedstaaten spezifischere Bestimmungen zur Anpassung der Anwendung der Vorschriften der DSGVO in Bezug auf die Verarbeitung personenbezogener Daten zur Erfüllung von Art. 6 Abs. 1 Buchst. c (und Buchst. e) beibehalten oder einführen können, indem sie spezifische Anforderungen für die Verarbeitung sowie sonstige Maßnahmen präziser bestimmen, um eine rechtmäßig und nach Treu und Glauben erfolgende Verarbeitung zu gewährleisten, einschließlich für andere besondere Verarbeitungssituationen gemäß Kapitel IX. Erfasst von der Ermächtigung sind damit gerade auch die in Kapitel IX u.a. geregelten „besonderen Verarbeitungssituationen“ im Beschäftigungskontext.

II. Verhältnis zu § 32 BDSG Damit schließt sich die Frage an, ob § 32 BDSG nach Inkrafttreten der DSGVO 5 weiterhin Geltung beanspruchen kann. Unbeachtlich ist zunächst, dass § 32 BDSG deutlich vor der DSGVO in Kraft getreten ist. Für Richtlinien, die nach 1 2 3 4 5 6

S. dazu Franzen, RDV 2014, 200 (201); Franzen, DuD 2012, 322 (325). S. dazu die Auflistung bei Buchner, DuD 2016, 155 (160). Vgl. dazu auch Düwell/Brink, NZA 2016, 665 (666). Vgl. dazu auch Sörup/Marquardt, ArbRAktuell 2016, 103 (105). Vgl. Art. 7 RL 95/46/EG; vgl. dazu Buchner, DuD 2016, 155 (157). Zu den nach Art. 83 (seinerzeit noch Art. 79) drohenden massiven Bußgeldern bei Verstößen gegen die DSGVO vgl. Faust/Spittka/Wybitul, ZD 2016, 120; vgl. dazu auch Wybitul, BB 2016, 1077.

Stamer/Kuhnke

|

1339

Art. 88 DSGVO | Vorschriften für besondere Datenverarbeitungssituationen Art. 288 Abs. 3 AEUV für die Mitgliedstaaten, an die sie gerichtet sind, verbindlich sind, den innerstaatlichen Stellen allerdings die Wahl der Form und Mittel überlassen, ist anerkannt, dass es keines Umsetzungsaktes des formellen Gesetzgebers in Gestalt der wörtlichen Übernahme der Bestimmungen der Richtlinie in eine ausdrückliche, besondere Gesetzesvorschrift bedarf, sondern es ggf. ausreicht, wenn ein allgemeiner rechtlicher Rahmen bestehender verfassungs- und verwaltungsrechtlicher Grundsätze die innerstaatliche Anwendung der Richtlinie sicherstellt1. Wenn aber selbst eine Richtlinie keiner ausdrücklichen Umsetzung bedarf, kann für eine Öffnungsklausel im Rahmen einer unmittelbar geltenden Verordnung ebenfalls angenommen werden, dass bestehendes innerstaatliches Recht nicht neu geschaffen werden muss. Zudem bestimmt Art. 88 Abs. 1, dass die Mitgliedstaaten spezifischere Vorschriften „vorsehen können“. Auf Grundlage dieser Formulierung wie auch der Formulierung in Art. 6 Abs. 2, wonach eine „Beibehaltung“ bei Inkrafttreten der DSGVO bereits bestehender nationaler Vorschriften insbesondere auch für besondere Verarbeitungssituationen im Beschäftigungskontext zulässig sein kann (s. im Einzelnen Komm. zu Art. 6 DSGVO Rz. 24 f.), ist davon auszugehen, dass nicht erst nach Inkrafttreten des Art. 88 Abs. 1 neues nationales Recht geschaffen werden muss2. 6 Fraglich ist allerdings, ob Art. 88 hinsichtlich mitgliedstaatlicher Regelungen le-

diglich Mindeststandards aufgibt, strengere Regelungen mithin zulässig wären, oder die spezifischeren Vorschriften in den Mitgliedstaaten sich nach dem Prinzip einer vollständigen Harmonisierung in den Mitgliedstaaten in jedem Fall im Rahmen der DSGVO zu halten haben. Hinsichtlich § 32 BDSG wird diese Frage insbesondere bei dem dort normierten Verhältnismäßigkeitsgrundsatz virulent, der sich jedenfalls in dieser Form nicht in der DSGVO wiederfinden lässt. Weiter ist das Dateierfordernis des § 27 Abs. 1 Satz 2 BDSG für den Beschäftigtendatenschutz aufgehoben, vgl. § 32 Abs. 2 BDSG, während der Anwendungsbereich der DSGVO im Falle einer Datenverarbeitung „off-line“ oder „manuell“ nur eröffnet ist, wenn ein Dateibezug vorliegt (s. Komm. zu Art. 2 DSGVO Rz. 6 und nachfolgend Rz. 16). Für die Ermächtigungsgrundlage in Art. 6 Abs. 2 wird angenommen, dass die nationalen Vorschriften nicht über die DSGVO hinausgehen dürfen (vgl. Komm. zu Art. 6 DSGVO Rz. 25). Um das Ausmaß der Öffnungsklausel in Art. 88 Abs. 1 zu erfassen, ist ein Blick auf die Entwurfsfas1 Callies/Ruffert/Callies, Art. 288 AEUV Rz. 32. 2 Kort, DB 2016, 711 (714) sieht „keine Anhaltspunkte“ dafür, dass mit „‚spezifischeren Vorschriften‘ nur neu konzipierte und verabschiedete nationale Normen von Mitgliedstaaten gemeint sind“; Wybitul/Sörup/Pötters, ZD 2015, 559 (561) sprechen insoweit von einer „weder von Wortlaut noch Systematik der Norm gedeckten Förmelei“; vgl. dazu auch Gola/Pötters/Thüsing, RDV 2016, 57 (59); Düwell/Brink, NZA 2016, 665 (667 f.); a.A. offenbar Schuler/Weichert, die § 32 BDSG nach Inkrafttreten der DSGVO dagegen als „obsolet“ ansehen („Die EU-DSGVO und die Zukunft des Beschäftigtendatenschutzes“, Gutachten S. 9, verfügbar unter: http://www.netzwerk-datenschutzexpertise.de/do kument/besch%C3%A4ftigtendatenschutz zuletzt abgerufen Juli 2016).

1340

|

Stamer/Kuhnke

Datenverarbeitung im Beschäftigungskontext | Art. 88 DSGVO

sungen zu werfen. So beinhaltete der Kommissionsvorschlag lediglich eine Öffnungsklausel für gesetzliche Regelungen „in den Grenzen“ der DSGVO1. Bereits im Beschluss des Parlaments war es zu erheblichen Änderungen gekommen. Hier waren Rechtsvorschriften der Mitgliedstaaten „im Einklang mit den Regelungen“ der DSGVO „und unter Berücksichtigung der Verhältnismäßigkeit“ sowie Kollektivverträge für die weitere Konkretisierung von – seinerzeit noch – Art. 82 der Entwurfsfassung vorgesehen2. Die nunmehr beschlossene Vorschrift gestattet die Schaffung „spezifischerer“3 Vorschriften4, verzichtet also auf eine „Begrenzung nach oben“5. Hieraus ist zu folgern, dass Art. 88 Abs. 1 in Bezug auf spezifischeres nationales Recht lediglich Mindeststandards aufgeben will und darüber hinausgehendes nationales Recht zulässig bleibt6. Steht damit fest, dass Art. 88 den Mitgliedstaaten lediglich Mindeststandards auf- 7 gibt, schließt sich die Frage an, ob § 32 BDSG diese uneingeschränkt einhält. Eine Gesamtschau der Regelung mit dem Ergebnis, dass diese die Mindeststandards in vielerlei Hinsicht überschreitet und damit insgesamt „günstiger“ als Art. 88 ist, ist mit den Grundsätzen der unmittelbaren Wirkung einer Verordnung nicht vereinbar. Mithin stellt sich insbesondere die Frage, ob § 32 BDSG hinreichende Schutzmaßnahmen nach Art. 88 Abs. 2 zur Wahrung der menschlichen Würde, der berechtigten Interessen und der Grundrechte der betroffenen Person, insbesondere im Hinblick auf die Transparenz der Verarbeitung, die Datenübermittlung innerhalb einer Unternehmensgruppe oder einer Gruppe von Unternehmen und die Überwachung am Arbeitsplatz umfasst. Nach der Gesetzesbegründung enthält § 32 BDSG „eine allgemeine Regelung zum Schutz personenbezogener Daten von Beschäftigten, die die von der Rechtsprechung erarbeiteten Grundsätze des Datenschutzes nicht ändern, sondern lediglich zusammenfassen und ein Arbeitnehmerdatenschutzgesetz weder entbehrlich machen noch inhaltlich präjudizieren soll.“7 Gerade im Kontext der Rechtsprechung vor Inkrafttreten von § 32 BDSG kann aber angenommen werden, dass § 32 BDSG den Mindeststandards von Art. 88 genügt8. Damit steht fest, dass § 32 BDSG auch nach Inkrafttreten der DSGVO eine geltende gesetzliche Vorschrift darstellt, die gemäß Art. 6 die Verarbeitung personenbezogener Daten im Beschäftigungskontext rechtfertigen kann. 1 2 3 4 5

6 7 8

Kommission (2012) 11 endgültig. 7427/1/14, REV 1. In der Originalfassung ist die Rede von „more specific rules“. An sich ist das Adjektiv „spezifisch“ allerdings nicht steigerungsfähig; ähnlich Düwell/ Brink, NZA 2016, 665 (666). Albrecht spricht insoweit von einem Regelungsspielraum „im Rahmen der Bestimmungen der DSGVO, den die Mitgliedstaaten nun ausfüllen können bzw. teilweise auch müssen“, CR 2016, 88 (97). Damit bleibt allerdings offen, welchen Rahmen Art. 88 Abs. 1 insoweit steckt. So auch Gola/Pötters/Thüsing, RDV 2016, 57 (59); Wybitul/Pötters, RDV 2016, 10 (14). BT-Drucks. 16/13657, S. 20. Düwell/Brink, NZA 2016, 665 (666); Wybitul/Pötters, RDV 2016, 10 (14).

Stamer/Kuhnke

|

1341

Art. 88 DSGVO | Vorschriften für besondere Datenverarbeitungssituationen III. Tarifverträge, Dienst- und Betriebsvereinbarungen 8 Nach Inkrafttreten der DSGVO stellt sich ferner die Frage, ob Tarifverträge,

Dienst- oder Betriebsvereinbarungen weiterhin Erlaubnisgrundlage für die Verarbeitung personenbezogener Beschäftigtendaten sein können. Anerkannt ist, dass Tarifverträge1, Dienst- und Betriebsvereinbarungen Rechtsvorschriften i.S.v. § 4 Abs. 1 BDSG sind, die als Erlaubnisvorschrift für eine Datenerhebung, -verarbeitung und -nutzung in Betracht kommen2. Allerdings muss die jeweilige Rechtsvorschrift einer Rechtskontrolle standhalten, eine Betriebsvereinbarung folglich insbesondere § 75 Abs. 2 BetrVG3. Art. 88 Abs. 1 gestattet spezifischere Vorschriften auch durch „Kollektivvereinbarungen“. Unterdessen obliegt die Schaffung solcher „Kollektivvereinbarungen“ jedenfalls in Deutschland nicht dem Gesetzgeber, sondern den „Kollektivparteien“, also insbesondere Arbeitgebern, Arbeitgeberverbänden, Betriebsräten und Gewerkschaften. Gleichwohl wurde für die Entwurfsfassungen u.a. angesichts der normativen Wirkung von Betriebsvereinbarungen nach § 77 Abs. 4 BetrVG angenommen, dass damit auch Betriebsvereinbarungen taugliche Erlaubnisnorm nach Art. 6 Abs. 1 Buchst. c für die Verarbeitung personenbezogener Daten sein können4. Auf dieser Argumentationsgrundlage ist das allerdings zweifelhaft. Immerhin muss nach Art. 6 Abs. 1 Buchst. c die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung, der der für die Verarbeitung Verantwortliche unterliegt, erforderlich sein5. Meist wird eine Betriebsvereinbarung die Datenverarbeitung aber gerade erst notwendig machen, bspw. im Rahmen der Einführung von SAP oder eines Zeiterfassungs- oder Beurteilungssystems. Insoweit besteht zunächst keine Verpflichtung des Arbeitgebers, die eine Verarbeitung i.S.d. Art. 6 Abs. 1 Buchst. c erfordert; diese entsteht vielmehr erst durch die Entscheidung des Arbeitgebers, ein bestimmtes System zu implementieren mit der Folge, dass gemäß § 87 Abs. 1 Nr. 6 BetrVG der Abschluss einer Betriebsvereinbarung notwendig wird. Die Betriebsvereinbarung beinhaltet dann aber keine rechtliche Verpflichtung, die die Datenverarbeitung erfordert, sondern soll gerade als Ermächtigungsgrundlage für die aufgrund des Entschlusses des Arbeitgebers erforderlich gewordene Datenverarbeitung fungieren. Eine allein am Wortlaut des Art. 6 Abs. 1 Buchst. c orientierte Auslegung führt folglich nicht weiter. 1 BAG v. 25.6.2002 – 9 AZR 405/00, NZA 2003, 275. 2 Vgl. für den Fall von Torkontrollen, die sich auf die Durchsicht mitgeführter Behältnisse, Jacken und Manteltaschen bezogen, BAG v. 15.4.2014 – 1 ABR 2/13, NZA 2014, 551, Rz. 49; vgl. dazu auch BAG v. 25.9.2013 – 10 AZR 270/12, NZA 2014, 41 sowie die Komm. zu § 32 BDSG Rz. 14 und 153. 3 BAG v. 15.4.2014 – 1 ABR 2/13, NZA 2014, 551, Rz. 49. 4 Wybitul/Sörup/Pötters, ZD 2015, 559 (561). 5 Sörup/Marquardt, ArbRAktuell 2016, 103 (104) nennen beispielhaft Datenverarbeitungen zur Abführung von Sozialversicherungsabgaben, Steuern oder zur Erteilung von Auskünften an Finanzämter etc.

1342

|

Stamer/Kuhnke

Datenverarbeitung im Beschäftigungskontext | Art. 88 DSGVO

Für die Frage der Tauglichkeit einer kollektivrechtlichen Regelung als Erlaubnis- 9 grundlage für eine Verarbeitung personenbezogener Beschäftigtendaten ist daher erneut die Entwicklung der Bestimmungen des Art. 88 sowie des diesbezüglichen Erwägungsgrundes heranzuziehen. Der Kommissionsvorschlag hatte den Mitgliedstaaten lediglich die Schaffung gesetzlicher Vorschriften gestattet, wobei auch der damalige Erwägungsgrund 124 Kollektivvereinbarungen noch nicht erwähnt hatte1. Im Beschluss des Parlaments waren dann neben Rechtsvorschriften Kollektivverträge für die „weitere Konkretisierung“ von damals noch Art. 82 vorgesehen und im Erwägungsgrund 124 ebenfalls angesprochen2. Bereits die Fassung des Rats3 sowie nun auch die endgültige Fassung von Art. 88 sehen ein Nebeneinander gesetzlicher Regelungen und Kollektivvereinbarungen vor, wobei im jetzigen Erwägungsgrund 155 Betriebsvereinbarungen ausdrücklich erwähnt sind4. Dies spricht eindeutig dafür, dass Kollektivvereinbarungen, und hier insbesondere auch Betriebsvereinbarungen, als Ermächtigungsgrundlage zur Verarbeitung personenbezogener Daten i.S.d. Art. 6 dienen können. Soweit Tarifverträge, Dienst- oder Betriebsvereinbarungen auch nach Inkrafttre- 10 ten der DSGVO als Ermächtigungsgrundlage fungieren sollen, müssen sie künftig sowohl den Mindeststandards von Art. 885 genügen wie einer nationalen Rechtskontrolle standhalten6. Nach Art. 88 Abs. 3 teilt jeder Mitgliedstaat der Kommission bis zum 25.5.2018 11 die Rechtsvorschriften, die er nach Abs. 1 erlässt, sowie unverzüglich alle späteren Änderungen dieser Vorschrift mit. Die Mitteilungspflicht ist an den Mitgliedstaat adressiert und spricht lediglich „Rechtsvorschriften“ an, soll also offenkundig nicht auch für Kollektivvereinbarungen wie insbesondere Tarifverträge und Betriebsvereinbarungen gelten7. Andererseits sind bereits vorhandene Rechtsvorschriften ebenfalls von der Meldepflicht umfasst, so dass auch § 32 BDSG der Kommission zu melden ist8. 1 Kommission (2012) 11 endgültig. 2 7427/1/14, REV 1; vgl. dazu auch Kort, DB 2016, 711 (714); Wybitul/Sörup/Pötters, ZD 2015, 559 (561). 3 9565/15. 4 Wybitul/Sörup/Pötters, ZD 2015, 559 (561); vgl. dazu auch Wybitul/Pötters, RDV 2016, 10 (15). 5 Kort, DB 2016, 711 (715). 6 Zu Anpassungspflichten bei bestehenden Betriebsvereinbarungen vgl. Wybitul, ZD 2016, 203 (206) und Wybitul/Sörup/Pötters, ZD 2015, 559 (561, 564); vgl. dazu auch Will, ZD 2015, 345. 7 So auch Gola/Pötters/Thüsing, RDV 2016, 57 (58). 8 Vgl. dazu auch Kort, DB 2016, 711 (714); zur Frage, ob im Falle eines Meldeversäumnisses die nationale Rechtsetzungskompetenz verloren geht, sowie zu weiteren ggf. zu meldenden Rechtsvorschriften vgl. Gola/Pötters/Thüsing, RDV 2016, 57 (59, 60).

Stamer/Kuhnke

|

1343

Art. 88 DSGVO | Vorschriften für besondere Datenverarbeitungssituationen IV. Einwilligung 12 Bereits nach Art. 7 Buchst. a der Richtlinie 85/46/EG kam eine Datenverarbei-

tung auf Grundlage einer Einwilligung in Betracht. Nach Art. 6 Abs. 1 Buchst. a kann die Verarbeitung personenbezogener Daten zulässig sein, wenn die betroffene Person ihre Einwilligung zu deren Verarbeitung für einen oder mehrere festgelegte Zwecke erteilt hat1. Oberstes Gebot ist dabei, dass die Einwilligung freiwillig erfolgt ist, wobei für die Beurteilung dieser Frage nach Art. 7 Abs. 4 insbesondere maßgeblich ist, ob u.a. die Erfüllung eines Vertrages, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung zur Verarbeitung von Daten abhängig ist, die für die Vertragserfüllung nicht erforderlich ist. Für § 4a BDSG wird zuweilen angezweifelt, ob das darin enthaltene Freiwilligkeitspostulat angesichts der besonderen Interessenlagen und Kräfteverhältnisse im Arbeitsverhältnis überhaupt erfüllbar ist (vgl. Komm. zu § 32 BDSG Rz. 12 und Rz. 87). Das BAG hat allerdings unlängst explizit ausgeführt, die Einwilligung bedürfe „gerade im Arbeitsverhältnis“ der Schriftform2, und damit die Möglichkeit der Einwilligung im Bereich des Beschäftigtendatenschutzes gerade nicht generell ausgeschlossen. Die endgültige Fassung von Art. 88 verhält sich – anders als die Entwurfsfassung des Parlaments3 – nicht gesondert zur Einwilligung im Beschäftigungskontext. Art. 82 Abs. 1b der Parlamentsfassung sah ausdrücklich vor, dass die Einwilligung eines Arbeitnehmers keine Rechtsgrundlage für die Datenverarbeitung bietet, wenn diese nicht freiwillig erteilt wurde. Damit war zwar deutlich geworden, dass die Einwilligung als Erlaubnisgrundlage im Beschäftigungskontext nicht per se ausgeschlossen sein sollte. Allerdings bestimmte die Entwurfsfassung des Parlaments in Art. 7 Abs. 4 kein Freiwilligkeitserfordernis, sondern lediglich, dass die Erfüllung eines Vertrages oder die Erbringung einer Dienstleistung nicht von der Einwilligung in eine Verarbeitung von Daten abhängig gemacht werden darf, die für die Erfüllung des Vertrages oder die Erbringung der Dienstleistung nicht erforderlich ist. Der Umstand, dass die endgültige Fassung von Art. 88 keine Sonderregelungen für die Einwilligung beinhaltet, sondern insoweit in den Mitgliedstaaten allenfalls die Öffnungsklausel zum Tragen kommen könnte, zeigt damit, dass erstens die Einwilligung im Beschäftigungskontext taugliche Rechtsgrundlage einer Datenverarbeitung sein kann und zweitens insoweit jedenfalls auf EU-Ebene keine weitergehenden Anforderungen als die des Art. 7 gelten4. Der diesbezügliche Erwägungsgrund 43 spricht zwar ein „klares Ungleichgewicht“ an, wenn es „in Anbetracht aller Umstände in 1 2 3 4

Vgl. dazu auch Albrecht, CR 2016, 88 (91). BAG v. 11.12.2014 – 8 AZR 1010/13, NZA 2015, 604, Rz. 26. 7427/1/14, REV 1. Zu weitgehend Schuler/Weichert, wonach für den Fall, dass „eine Verarbeitung für die Abwicklung des Beschäftigungsverhältnisses nicht erforderlich ist und für den Betroffenen Nachteile damit verbunden wären“, eine Freiwilligkeit nicht angenommen werden kann („Die EU-DSGVO und die Zukunft des Beschäftigtendatenschutzes“, Gutachten

1344

|

Stamer/Kuhnke

Datenverarbeitung im Beschäftigungskontext | Art. 88 DSGVO

dem speziellen Fall unwahrscheinlich ist, dass die Einwilligung freiwillig gegeben wurde“, wobei dann die Einwilligung „keine gültige Rechtsgrundlage liefern“ soll. Beispielhaft nennt der Erwägungsgrund allerdings eine Behörde als verantwortliche Stelle, während im Kommissionsentwurf des damaligen Erwägungsgrunds 34 auch das Abhängigkeitsverhältnis zwischen Arbeitgeber und Arbeitnehmer angesprochen war1. Im Erwägungsgrund 155 ist nunmehr explizit festgehalten, dass die spezifischeren Vorschriften im Recht der Mitgliedstaaten oder in Kollektivvereinbarungen auch Vorschriften über die Bedingungen, unter denen personenbezogene Daten im Beschäftigungskontext auf der Grundlage der Einwilligung des Beschäftigten verarbeitet werden dürfen, vorsehen können2. Der im Vorschlag des Rates noch enthaltene Art. 88 Abs. 3, wonach die Mitgliedstaaten die Bedingungen festlegen können, „unter denen personenbezogene Daten im Beschäftigungskontext auf der Grundlage der Einwilligung des Arbeitnehmers verarbeitet werden dürfen“, ist im endgültigen Art. 88 nicht mehr vorgesehen. Mithin gilt insoweit ebenfalls die allgemeine Öffnungsklausel nach Art. 88 Abs. 13. Die Mindestbedingungen für die Einwilligung zur Beschäftigtendatenverarbei- 13 tung legt damit ebenfalls Art. 7 fest (vgl. im Einzelnen die Komm. zu Art. 7 DSGVO Rz. 1 ff.). Zunächst muss der Verantwortliche nachweisen können, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat, Art. 7 Abs. 1. Dadurch wird zwar keine schriftliche Form angeordnet4. Gerade im Bereich der Verarbeitung personenbezogener Beschäftigtendaten wäre es dem Arbeitgeber aber ggf. kaum möglich, den Nachweis zu erbringen, wenn die Einwilligung nicht schriftlich erfolgt ist. Auf Grundlage der Öffnungsklausel in Art. 88 für spezifischere Regelungen kommt im Beschäftigungskontext weiterhin die Aussage des BAG zum Tragen, wonach die Einwilligung „gerade im Arbeitsverhältnis“ der Schriftform bedarf5. Insoweit ist Art. 7 Abs. 2 zu beachten, wonach im Falle einer Einwilligung durch eine schriftliche Erklärung, die noch andere Sachverhalte betrifft, das Ersuchen um Einwilligung in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache so zu erfolgen hat, dass es von den anderen Sachverhalten klar zu unterscheiden ist. Zudem kann die Einwilligung jederzeit widerrufen werden, Art. 7

1 2 3 4

5

S. 7, verfügbar unter: http://www.netzwerk-datenschutzexpertise.de/dokument/besch% C3%A4ftigtendatenschutz zuletzt abgerufen Juli 2016). Kommission (2012) 11, endgültig; vgl. dazu auch Buchner, DuD 2016, 155 (158). Kort, DB 2016, 711 (715). Vgl. dazu auch Wybitul/Pötters, RDV 2016, 10 (13). Der Erwägungsgrund 32 sieht grundsätzlich auch die Möglichkeit einer mündlichen Erklärung vor. Lediglich „Stillschweigen, bereits angekreuzte Kästchen oder Untätigkeit der betroffenen Person“ sollten keine Einwilligung darstellen; zu den weiteren Voraussetzungen der Einwilligung im Beschäftigungskontext vgl. auch Wybitul/Pötters, RDV 2016, 10 (13). BAG v. 11.12.2014 – 8 AZR 1010/13, NZA 2015, 604, Rz. 26.

Stamer/Kuhnke

|

1345

Art. 88 DSGVO | Vorschriften für besondere Datenverarbeitungssituationen Abs. 31. Für die Beurteilung der Frage, ob die Einwilligung freiwillig erfolgt ist, bestimmt Art. 7 Abs. 4, ob unter anderem die Erfüllung eines Vertrages von der Einwilligung zur Verarbeitung von personenbezogenen Daten abhängig ist, die für die Vertragserfüllung nicht erforderlich ist. Insoweit ist im Bereich des § 4a BDSG wiederum anerkannt, dass der Arbeitgeber seine Stellung nicht bspw. dadurch ausnutzen darf, dass er die Gewährung bestimmter Leistungen von der Einwilligung in Kontrollen abhängig macht, ohne dass die Einwilligung für die Leistungsgewährung erforderlich wäre, sog. Kopplungsverbot2 (vgl. auch Komm. zu § 32 BDSG Rz. 87).

V. Grundsätze der Datenverarbeitung im Beschäftigungskontext 14 Steht damit fest, welche tauglichen Rechtsgrundlagen im Beschäftigungskontext

in Betracht kommen, sind die weiteren Anforderungen der DSGVO hinsichtlich der Beschäftigtendatenverarbeitung kurz zu beleuchten3. Diese bilden nach Inkrafttreten den Mindeststandard für eine Verarbeitung personenbezogener Beschäftigtendaten auf Grundlage von § 32 BDSG, eines Tarifvertrags oder einer Dienst- oder Betriebsvereinbarung.

15 Klärungsbedürftig ist dabei zunächst der persönliche Anwendungsbereich.

Art. 88 Abs. 1 spricht von „Beschäftigtendaten“ und „Beschäftigungskontext“. Während allerdings der Beschäftigtenbegriff in § 3 Abs. 11 BDSG definiert ist (vgl. Komm. zu § 3 BDSG Rz. 87 ff.), enthält Art. 4, der die wesentlichen Begriffsbestimmungen enthält, keine entsprechende Definition. Ganz allgemein fehlt im europäischen Primär- und Sekundärrecht eine Legaldefinition des Arbeitnehmerbegriffs4. In der englischen Fassung der DSGVO ist die Rede von „employees’ personal data“ und „employment context“. In der englischen Fassung des Vertrags über die Arbeitsweise der Europäischen Union wird in Art. 45 und Art. 153 AEUV unterdessen der Begriff „workers“ verwendet, in der deutschen Fassung „Arbeitnehmer“. Hieraus ist zu schließen, dass Art. 88 nicht lediglich die Verarbeitung personenbezogener Arbeitnehmerdaten anspricht, sondern ebenfalls einen weitergehenden Begriff zugrunde legt und insbesondere auch Bewerber einbezogen sind. Hierfür spricht neben der in Art. 88 Abs. 1 genannten Einstellung als Zweck der Datenverarbeitung auch die Formulierung in

1 Kort, DB 2016, 711 (715). 2 Vgl. hierzu Albrecht, CR 2016, 88 (91); Kort, DB 2016, 711 (715); Wybitul, BB 2016, 1077 (1081). 3 Zu den Grundsätzen der Datenverarbeitung unter der DSGVO allgemein vgl. Buchner, DuD 2016, 155; zu den Informationspflichten des Arbeitgebers nach Art. 12 ff. sowie den Betroffenenrechten der Beschäftigten nach Art. 15 ff. vgl. Sörup/Marquardt, ArbRAktuell 2016, 103 (105) und Sörup, ArbRAktuell 2016, 207, sowie die Kommentierung bei Art. 12–21. 4 Vgl. dazu Schubert in Däubler/Hjort/Schubert/Wolmerath, AEUV Art. 267 Rz. 54.

1346

|

Stamer/Kuhnke

Datenverarbeitung im Beschäftigungskontext | Art. 88 DSGVO

Art. 88 Abs. 2. Dort ist ganz allgemein die Rede von der „betroffenen Person“ bzw. dem „data subject“. In diesem Kontext ist auch die Verarbeitung personenbezogener Daten von Fremdgeschäftsführern einer GmbH, die anders als Vorstände einer Aktiengesellschaft weisungsgebunden sind, zu sehen. Im nationalen Recht richtet sich diese bislang nach § 28 BDSG. Allerdings können Geschäftsführer durchaus Arbeitnehmer im europäischen Sinne sein1. Gerade vor dem Hintergrund des verwendeten Begriffs des Beschäftigten ist jedenfalls nicht auszuschließen, dass für eine Verarbeitung personenbezogener Daten von Fremdgeschäftsführern zukünftig die Mindeststandards von Art. 88 zu beachten sind, weil für das nationale Recht ebenfalls diese Mindeststandards Anwendung finden. In sachlicher Hinsicht erfasst Art. 2 Abs. 1 die automatisierte Verarbeitung per- 16 sonenbezogener Daten sowie die Verarbeitung personenbezogener Daten zur Speicherung in einem Dateisystem. Die Vorschrift ist nahezu wortgleich mit dem bisherigen Art. 3 Abs. 1 RL 95/46/EG. Dabei umfasst die „Verarbeitung“ nach Art. 4 Abs. 2 auch die „Erhebung“ und „sonstige Nutzung“ personenbezogener Daten (vgl. Komm. zu Art. 4 DSGVO Rz. 12). Im Falle einer Datenverarbeitung „off-line“ oder „manuell“ ist der Anwendungsbereich der DSGVO damit nur eröffnet, wenn ein Dateibezug vorliegt (s. Komm. zu Art. 2 DSGVO Rz. 6). Für den Beschäftigtendatenschutz nach § 32 BDSG ist das Dateierfordernis des § 27 Abs. 1 Satz 2 BDSG unterdessen aufgehoben, vgl. § 32 Abs. 2 BDSG2. Damit erfasst der sachliche Anwendungsbereich von § 32 BDSG u.a. bereits Befragungen oder handschriftliche Notizen für Zwecke des Beschäftigungsverhältnisses, bspw. also Bewerbungsgespräche oder Personalgespräche und dazu erfolgte handschriftliche Aufzeichnungen3, oder tatsächliche Vorgänge wie Schrankkontrollen4. § 32 BDSG geht folglich auch insoweit über die Mindeststandards des Art. 88 hinaus. Weitere Grundsätze in Bezug auf die Verarbeitung personenbezogener Daten 17 enthält Art. 5. Die Daten müssen demnach „auf rechtmäßige Weise, nach dem Grundsatz von Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden („Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“)“, vgl. Art. 5 Abs. 1 Buchst. a. Hinsichtlich weiterer Grundsätze, insbesondere auch der Datensparsamkeit, -richtigkeit, -sicherheit und der Speicherdauer in Art. 5 sei auf die dortige Kommentierung verwiesen5 (Art. 5 DSGVO Rz. 10 ff.). Die Zweckbindung als Erfordernis der Ver1 EuGH v. 11.11.2010 – C-232/09 – Danosa. 2 Vgl. dazu auch Düwell/Brink, NZA 2016, 665 (667); s. zudem § 27 Abs. 3 BDSG-E 2010, der für den sachlichen Anwendungsbereich des Beschäftigtendatenschutzes ebenfalls auf das Dateierfordernis verzichtet. 3 Zur Datenerhebung im Rahmen von Assessment Centern s. Carpenter, NZA 2015, 466. 4 Vgl. dazu BAG v. 20.3.2013 – 2 AZR 546/12, NZA 2014, 143, Rz. 24. 5 Für die Auswirkungen auf Betriebsvereinbarungen vgl. Wybitul/Sörup/Pötters, ZD 2015, 559 (562); vgl. dazu auch Wybitul/Pötters, RDV 2016, 10 (11).

Stamer/Kuhnke

|

1347

Art. 88 DSGVO | Vorschriften für besondere Datenverarbeitungssituationen arbeitung personenbezogener Daten war bereits in Art. 6 Abs. 1 Buchst. a RL 95/46/EG vorgesehen und ist in Art. 5 Abs. 1 Buchst. b festgelegt1. Art. 88 spezifiziert diese Zwecke für die Verarbeitung personenbezogener Beschäftigtendaten im Beschäftigungskontext und die Öffnungsklauseln für innerstaatliches Recht, und zwar insbesondere, also nicht abschließend, für Zwecke der Einstellung, der Erfüllung des Arbeitsvertrags einschließlich der Erfüllung gesetzlich oder tarifvertraglich festgelegter Pflichten, des Management, der Planung und der Organisation der Arbeit, der Gleichheit und Diversität am Arbeitsplatz, der Gesundheit und Sicherheit am Arbeitsplatz, des Schutzes des Eigentums der Arbeitgeber oder der Kunden sowie für Zwecke der Inanspruchnahme der mit der Beschäftigung zusammenhängenden individuellen oder kollektiven Rechte und Leistungen und für Zwecke der Beendigung des Beschäftigungsverhältnisses. Im Erwägungsgrund 155 sind diese Zwecke ebenfalls angesprochen. 18 Entsprechend § 32 BDSG (vgl. Komm. zu § 32 BDSG Rz. 16) muss auch die

Verarbeitung personenbezogener Beschäftigtendaten unter der DSGVO einer Erforderlichkeitsprüfung standhalten, vgl. Art. 6 Abs. 1 Buchst. b–f (vgl. Komm. zu Art. 6 DSGVO Rz. 8 ff.).

VI. Besondere Kategorien personenbezogener Daten 19 Nach Art. 9 Abs. 1 ist die Verarbeitung personenbezogener Daten, aus denen

die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer Person oder Daten über Gesundheit oder sexuelle Ausrichtung untersagt. Eine Ausnahme enthält Art. 9 Abs. 2 Buchst. b, wenn die Verarbeitung erforderlich ist, damit der Verantwortliche oder die betroffene Person die ihm bzw. ihr aus dem Arbeits- oder Sozialrecht erwachsenden Rechte ausüben bzw. diesbezüglichen Pflichten nachkommen kann, soweit dies nach Unionsrecht, nationalem Recht oder einer Kollektivvereinbarung nach nationalem Recht, das geeignete Garantien für die Grundrechte und die Interessen der betroffenen Person vorsieht, zulässig ist2. Insoweit weicht Art. 9 Abs. 2 Buchst. b von § 28 Abs. 6 BDSG ab. Auf dieser Grundlage kann daher insbesondere nach Begründung eines Beschäftigungsverhältnisses auch unter Geltung der DSGVO u.a. eine Frage nach der Gewerkschaftszugehörigkeit eines Arbeitnehmers weiterhin zulässig sein (vgl. näher Komm. zu § 32 BDSG Rz. 36).

1 Vgl. dazu Albrecht, CR 2016, 88 (91); zur Datenverarbeitung für andere Zwecke als die, für die die Daten ursprünglich erhoben wurden, vgl. den Erwägungsgrund 50. 2 Vgl. dazu auch den Erwägungsgrund 52.

1348

|

Stamer/Kuhnke

Datenverarbeitung im Beschäftigungskontext | Art. 88 DSGVO

VII. Datenverarbeitung im Konzern Wie das BDSG kennt auch die DSGVO kein „Konzernprivileg“, das einen freien 20 Datenaustausch zwischen Konzernunternehmen per se zuließe. Art. 88 Abs. 2 schreibt gerade vor, dass nationales Recht auf Grundlage der Öffnungsklausel nach Art. 88 Abs. 1 angemessene und besondere Maßnahmen zur Wahrung der Rechte der betroffenen Person insbesondere auch im Hinblick auf die „Übermittlung personenbezogener Daten innerhalb einer Unternehmensgruppe oder einer Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben“ umfassen. Auch die DSGVO sieht damit Konzerne und andere Unternehmensgruppen1 nicht als eine datenschutzrechtliche Einheit an. Im Erwägungsgrund 48 ist insoweit immerhin anerkannt, dass verantwortliche Stellen, die Teil einer Unternehmensgruppe sind, ein berechtigtes Interesse2 an einer Übermittlung personenbezogener Beschäftigtendaten haben können, wobei die Grundprinzipien für die Übermittlung personenbezogener Daten innerhalb von Unternehmensgruppen an ein Unternehmen in einem Drittland unberührt bleiben3.

VIII. Datenverarbeitung bei der Begründung, Durchführung und Beendigung des Beschäftigungsverhältnisses, insbesondere bei Überwachungsmaßnahmen Auch nach Inkrafttreten der DSGVO bleibt es dabei, dass die Verarbeitung per- 21 sonenbezogener Daten im Zusammenhang mit der Begründung, der Durchführung und der Beendigung des Beschäftigungsverhältnisses, insbesondere also auch bei der Durchführung von Überwachungsmaßnahmen, einer Rechtfertigung bedarf. Diese kann wie dargestellt durch eine Einwilligung, eine besondere gesetzliche Grundlage oder eine Kollektivvereinbarung, sprich insbesondere durch eine Betriebsvereinbarung, vermittelt werden. Kommen diese Rechtfertigungstatbestände nicht in Betracht, ist auch wie vor Inkrafttreten der DSGVO auf § 32 BDSG als Erlaubnistatbestand abzustellen, solange der deutsche Gesetzgeber nicht auf der Grundlage des Art. 88 den Beschäftigtendatenschutz neu regelt (vgl. Rz. 5). Dabei kann auch unverändert auf die zu § 32 BDSG entwickelte Rechtsprechung abgestellt werden. Vor diesem Hintergrund ist inhaltlich vollumfänglich auf die Kommentierung zu § 32 BDSG zu verweisen, die nach wie vor maßgeblich ist. 1 Vgl. dazu auch den Erwägungsgrund 37; zu diesbezüglichen Auswirkungen auf Bußgelder nach der DSGVO vgl. Faust/Spittka/Wybitul, ZD 2016, 120 (124). 2 Dazu auch Kort, DB 2016, 711 (715); Wybitul, ZD 2016, 203 (206); Wybitul, BB 2016, 1055 (1081). 3 Härting, Datenschutz-Grundverordnung, Rz. 488, meint, der konzerninterne Datenaustausch auf gesetzlicher Grundlage werde durch die DSGVO erheblich vereinfacht und erleichtert. Dies bleibt abzuwarten.

Stamer/Kuhnke

|

1349

Art. 89 DSGVO | Vorschriften für besondere Verarbeitungssituationen

Artikel 89 Garantien und Ausnahmen in Bezug auf die Verarbeitung zu im öffentlichen Interesse liegenden Archivzwecken, zu wissenschaftlichen oder historischen Forschungszwecken und zu statistischen Zwecken (1) Die Verarbeitung zu im öffentlichen Interesse liegenden Archivzwecken, zu wissenschaftlichen oder historischen Forschungszwecken oder zu statistischen Zwecken unterliegt geeigneten Garantien für die Rechte und Freiheiten der betroffenen Person gemäß dieser Verordnung. Mit diesen Garantien wird sichergestellt, dass technische und organisatorische Maßnahmen bestehen, mit denen insbesondere die Achtung des Grundsatzes der Datenminimierung gewährleistet wird. Zu diesen Maßnahmen kann die Pseudonymisierung gehören, sofern es möglich ist, diese Zwecke auf diese Weise zu erfüllen. In allen Fällen, in denen diese Zwecke durch die Weiterverarbeitung, bei der die Identifizierung von betroffenen Personen nicht oder nicht mehr möglich ist, erfüllt werden können, werden diese Zwecke auf diese Weise erfüllt. (2) Werden personenbezogene Daten zu wissenschaftlichen oder historischen Forschungszwecken oder zu statistischen Zwecken verarbeitet, können vorbehaltlich der Bedingungen und Garantien gemäß Absatz 1 des vorliegenden Artikels im Unionsrecht oder im Recht der Mitgliedstaaten insoweit Ausnahmen von den Rechten gemäß der Artikel 15, 16, 18 und 21 vorgesehen werden, als diese Rechte voraussichtlich die Verwirklichung der spezifischen Zwecke unmöglich machen oder ernsthaft beeinträchtigen und solche Ausnahmen für die Erfüllung dieser Zwecke notwendig sind. (3) Werden personenbezogene Daten für im öffentlichen Interesse liegende Archivzwecke verarbeitet, können vorbehaltlich der Bedingungen und Garantien gemäß Absatz 1 des vorliegenden Artikels im Unionsrecht oder im Recht der Mitgliedstaaten insoweit Ausnahmen von den Rechten gemäß der Artikel 15, 16, 18, 19, 20 und 21 vorgesehen werden, als diese Rechte voraussichtlich die Verwirklichung der spezifischen Zwecke unmöglich machen oder ernsthaft beeinträchtigen und solche Ausnahmen für die Erfüllung dieser Zwecke notwendig sind. (4) Dient die in den Absätzen 2 und 3 genannte Verarbeitung gleichzeitig einem anderen Zweck, gelten die Ausnahmen nur für die Verarbeitung zu den in diesen Absätzen genannten Zwecken. I. Vorgaben bei Archiv-, Forschungsund Statistikzwecken (Abs. 1) . . 1 II. Ausnahmen zugunsten von Forschungs- und Statistikzwecken (Abs. 2) . . . . . . . . . . . . . . . . . . . 5

1350

|

Grages

III. Ausnahmen zugunsten von Archivzwecken (Abs. 3) . . . . . . 9 IV. Keine Geltung der Ausnahmen bei Nebenzwecken (Abs. 4) . . . 12

Archiv- und Forschungszwecke | Art. 89 DSGVO Schrifttum: von Hardenberg, Genetische Gesundheitsdaten in der individualisierten Medizin – Hinreichender Persönlichkeitsschutz oder rechtlicher Regelungsbedarf?, ZD 2014, 117; Schaar, DS-GVO: Geänderte Vorgaben für die Wissenschaft – Was sind die neuen Rahmenbedingungen und welche Fragen bleiben offen?, ZD 2016, 224.

I. Vorgaben bei Archiv-, Forschungs- und Statistikzwecken (Abs. 1) Die DSGVO erkennt an, dass Forschung eine zentrale Rolle in der Europäi- 1 schen Union spielt und spielen soll, vgl. Art. 179 Abs. 1 AEUV (Schaffung eines „europäischen Raums der Forschung“). Entsprechendes gilt für die Informationsbestände in öffentlich zugänglichen Archiven und Statistiken als Grundlagen der Forschung. Gleichwohl sollen solche Aktivitäten im Sinne des Datenschutzes ausgestaltet werden. Abs. 1 stellt klar, dass dies insbesondere durch geeignete technische und organisatorische Maßnahmen im konkreten Fall erfolgen soll, vgl. die allgemeinen Vorgaben in Art. 25 und 32. In diesem Sinne ist – soweit möglich – der Grundsatz der Datenminimierung zu beachten. Zudem soll nach Möglichkeit anonymisiert oder wenigstens pseudonymisiert werden1. Während der Verzicht auf Daten zur Individualisierung der Betroffenen grund- 2 sätzlich sinnvoll erscheint, wirkt die Vorgabe der Datensparsamkeit (vgl. die Komm. zu § 3a BDSG) in Bezug auf Archive und Statistiken auf den ersten Blick kaum vereinbar mit den verfolgten Zwecken. Man wird die Norm so verstehen müssen, dass thematisch irrelevante personenbezogene Daten nicht angehäuft werden sollen. Gleichwohl ergibt sich ein Spannungsverhältnis, wenn nicht endgültig absehbar ist, welche einstweilen nicht relevanten Daten noch Erkenntnisse in der Zukunft bringen können. Erwägungsgrund 157 spricht ausdrücklich an, dass die Verknüpfung von Informationen (also auch Big Data-Anwendungen) großen Nutzen für die Wissenschaft und damit mittelbar auch für die Betroffenen bringen kann, etwa in den Bereichen Medizin und Soziales. Es ergibt sich also das aktuelle Dilemma des Datenschutzes, der einerseits Schutz gewähren, andererseits aber auch nicht entwicklungshemmend wirken sollte. Als Gegengewicht zur Vorgabe der datenschutzgerechten Ausgestaltung der 3 Maßnahmen sind Möglichkeiten zur Einschränkung der Betroffenenrechte zugunsten der Aktivitäten im Bereich der Archive, Forschung und Statistik vorgesehen. Neben den Öffnungsmöglichkeiten gemäß Abs. 2 und 3 sind solche Einschränkungen in Bezug auf die Informationspflicht gegenüber dem Betroffenen in Art. 14 Abs. 5 Buchst. b, in Bezug auf das „Recht auf Vergessenwerden“ in Art. 17 Abs. 3 Buchst. d und in Bezug auf das Widerspruchsrecht in Art. 21 Abs. 6 vorgesehen. Daneben besteht gemäß Art. 6 Abs. 2 und 3 die Möglichkeit, die Anforderungen an Verarbeitungen im öffentlichen Interesse (also auch zu 1 Zur Problematik der Anonymisierung und Pseudonymisierung im Spannungsverhältnis zu wissenschaftlichen Methoden s. Schaar, ZD 2016, 224 (225).

Grages

|

1351

Art. 89 DSGVO | Vorschriften für besondere Verarbeitungssituationen Forschungs- und Statistik- bzw. Archivzwecken) im Rahmen spezifischer Erlaubnisnormen zu regeln1. Mit Blick auf die Ausnahmen nach Abs. 2 und 3 spricht viel dafür, auch Bestandsregeln anzuerkennen, soweit diese den Anforderungen der DSGVO genügen. Dies gilt trotz der Formulierung „können erlassen werden“, die den Fokus auf zukünftige Rechtsetzungsakte legt, vgl. insofern die Komm. zu Art. 85 DSGVO Rz. 11. 4 Eine wesentliche Privilegierung folgt im Regelungszusammenhang zudem aus

Art. 9 Abs. 2 Buchst. j, der deutlich macht, dass im Bereich des Art. 89 Abs.1 besondere Kategorien personenbezogener Daten verarbeitet werden dürfen, also z.B. genetische und biometrische Daten2. Gemäß Art. 5 Abs. 1 Buchst. b und e ist zugunsten der unter Art. 89 Abs. 1 begünstigen Nutzungen zudem eine Zweckänderung und eine fortwährende Speicherung unter Aufhebung der allgemeinen „Speicherbegrenzung“ grundsätzlich zulässig. Erwägungsgrund 156 stellt klar, dass die Mitgliedstaaten gehalten sind, nationale Regelungen zu erlassen, die diese Vorgaben unterstützen und konkretisieren.

II. Ausnahmen zugunsten von Forschungs- und Statistikzwecken (Abs. 2) 5 Wenn personenbezogene Daten zu Forschungs- oder Statistikzwecken verarbei-

tet werden, sind die angesprochenen Vorgaben des Abs. 1 zu Datenminimierung und Anonymisierung bzw. Pseudonymisierung zu beachten, vgl. die Regelungen in § 40 BDSG und die Komm. hierzu. Die Union oder die Mitgliedstaaten sind allerdings berechtigt, Ausnahmeregelungen zu erlassen, um die Zwecke zu fördern und dabei Rechte auf Auskunft (Art. 15), Berichtigung oder Einschränkung (Art. 16 und 18) sowie zum Widerspruch (Art. 21) abzubedingen oder zu beschränken. Voraussetzung für die Begrenzung der Betroffenenrechte ist, dass die Wahrnehmung dieser Rechte die Forschungs- bzw. Statistikzwecke voraussichtlich vereiteln oder „ernsthaft beeinträchtigen“ würde. Die entsprechende Prognose müssen die Mitgliedstaaten (bzw. die Union) anstellen. Es ist zu beachten, dass gemäß Art. 83 Abs. 5 Buchst. d Verstöße gegen die unter Art. 89 erlassenen nationalen Regelungen mit einem hohen Bußgeld geahndet werden können.

1 Der Kommissionsentwurf sah im Rahmen der Vorfassung des Art. 89 noch selbst spezifische Vorgaben an die zulässige Reichweite der Datenverarbeitung auf gesetzlicher Grundlage im Bereich der Forschung vor. 2 Vgl. Schaar, ZD 2016, 224 (225) und von Hardenberg, ZD 2014, 117 zu den datenschutzrechtlichen Herausforderungen angesichts der „personalisierten Medizin“. Erwägungsgrund 53 spricht einen Spielraum der Mitgliedstaaten bei der Regelung des Umgangs mit genetischen und Gesundheitsdaten an. Die insofern spezifischere Öffnungsklausel in Art. 81 des Kommissionsentwurfs ist indes nicht mehr in der finalen Version der DSGVO enthalten.

1352

|

Grages

Archiv- und Forschungszwecke | Art. 89 DSGVO

Die Formulierung, dass die Ausnahmen „notwendig“ sein müssen, um die privi- 6 legierten Zwecke zu erreichen, zeigt, dass die Öffnungsklausel eigentlich eng verstanden werden soll. Insofern erscheint nicht zuletzt ein Abgleich erforderlich, ob die aktuellen Statistikgesetze dieser Anforderung entsprechen. Aus Erwägungsgrund 159 ergibt sich allerdings wiederum, dass Forschungszwecke wegen des gesellschaftlichen Nutzens weit auslegt werden sollen. Insbesondere sollen auch private Aktivitäten hierzu zählen. Die kommerzielle Forschung, auch im Bereich der Marktforschung, ist also nicht per se vom Anwendungsbereich ausgeschlossen. Es kommt insofern auf eine Abwägung in der konkreten Konstellation an. Im Hinblick auf statistische Zwecke setzt Erwägungsgrund 162 voraus, dass die 7 Ergebnisse keine personenbezogenen Daten mehr enthalten, sondern aggregierte Daten darstellen. Dies könnte zwar eine reine Klarstellung sein; es lässt sich daraus aber auch die Forderung ableiten, dass Statistikergebnisse (nach Möglichkeit) nicht mehr personenbeziehbar sein sollen1. Schließlich sollen Statistiken nach Erwägungsgrund 162 nicht verwendet werden, um Maßnahmen oder Entscheidungen gegenüber einzelnen natürlichen Personen zu steuern, vgl. insofern auch Art. 22 (Profiling). Mit Blick auf Einwilligungserklärungen der Teilnehmer an klinischen Studien 8 sind die Regelungen in der EU-Verordnung 536/2014 über klinische Prüfungen mit Humanarzneimitteln zu beachten. Gemäß Erwägungsgrund 161 sollten diese Spezialregeln den allgemeinen datenschutzrechtlichen Regelungen vorgehen.

III. Ausnahmen zugunsten von Archivzwecken (Abs. 3) Werden personenbezogene Daten zu Archivzwecken verarbeitet, gelten die für 9 Abs. 2 dargestellten Vorgaben entsprechend. Im Gegensatz zu Forschungs- und Statistikzwecken sind die einschränkbaren Rechte angesichts der besonderen Verarbeitungssituation leicht ergänzt, um Archivbetreiber zu entlasten, vgl. derzeit die Regelung in § 20 Abs. 9 BDSG mit Verweis auf § 2 Abs. 1–6, 8 und 9 des Bundesarchivgesetzes (BArchG). Es können gemäß Abs. 3 auch die Mitteilungspflichten (Art. 19) und das Recht auf Datenübertragbarkeit (Art. 20) beschränkt werden. Insbesondere mit Blick auf Archivzwecke ist noch einmal darauf hinzuweisen, 10 dass die DSGVO keinen Schutz verstorbener Personen bezweckt, vgl. Erwägungsgrund 158. Historische Archive sind daher in weiten Teilen nicht von den Vorgaben betroffen. Die Mitgliedstaaten können indes Regelungen zum Um1 Im Unionskontext sind insofern auch Art. 338 Abs. 2 AEUV (Erstellung der Unionsstatistiken) und EU-Verordnung 223/2009 über europäische Statistiken zu beachten.

Grages

|

1353

Art. 90 DSGVO | Vorschriften für besondere Verarbeitungssituationen gang mit den personenbezogenen Daten Verstorbener vorsehen, da dieser Bereich nicht der DSGVO unterfällt, vgl. Erwägungsgrund 27. In Erwägungsgrund 158 wird zudem die Bedeutung solcher Archive betont, die „Informationen im Zusammenhang mit dem politischen Verhalten unter ehemaligen totalitären Regimen, Völkermord, Verbrechen gegen die Menschlichkeit, insbesondere dem Holocaust, und Kriegsverbrechen“ bereitstellen. Die Verwendung auch personenbezogener Daten in solchen Archiven – ggf. ohne wirksame Gegenrechte der Betroffenen – wird dementsprechend hoch bewertet und ist daher weitgehend zulässig. 11 In Bezug auf Archive ist schließlich zu berücksichtigen, dass die DSGVO aus-

drücklich „im öffentlichen Interesse liegende Archivzwecke“ fordert und damit etwa Unternehmensarchive im Zweifel nicht privilegiert werden sollen.

IV. Keine Geltung der Ausnahmen bei Nebenzwecken (Abs. 4) 12 Soweit die Verarbeitung zu Forschungs- und Statistikzwecken bzw. zu Archiv-

zwecken im öffentlichen Interesse daneben auch einem anderen Zweck dient, gelten die Ausnahmen nicht für diesen Nebenzweck. Das bedeutet, dass sich insbesondere bei gemischt-finanzierten bzw. teilkommerziellen Projekten Abgrenzungsfragen stellen können. Berücksichtigt man, dass der Gesetzgeber die privilegierten Zwecke besonders fördern will, so setzt sich im Zweifel der Forschungs-, Statistik- oder Archivzweck durch, soweit er funktional betroffen ist.

13 Andererseits sind in Bezug auf die kommerzielle Verwertung unter privilegier-

ten Zwecken verarbeiteter Daten die allgemeinen Regelungen der DSGVO anzuwenden. Wenn z.B. ein Wirtschaftsunternehmen eine soziologische Studie vornimmt und die Ergebnisse im Interesse der Allgemeinheit publiziert, fällt dies unter den Regelungsbereich des Art. 89 Abs. 2. Die anschließende Nutzung der Daten für die Optimierung eigener oder fremder Produkte unterliegt indes nicht mehr der Privilegierung, sondern muss über andere Rechtfertigungsinstrumente wie Einwilligungen oder spezifische Erlaubnisnormen legitimiert werden.

Artikel 90 Geheimhaltungspflichten (1) Die Mitgliedstaaten können die Befugnisse der Aufsichtsbehörden im Sinne des Artikels 58 Absatz 1 Buchstaben e und f gegenüber den Verantwortlichen oder den Auftragsverarbeitern, die nach Unionsrecht oder dem Recht der Mitgliedstaaten oder nach einer von den zuständigen nationalen Stellen erlassenen Verpflichtung dem Berufsgeheimnis oder einer gleichwer1354

|

Grages

Art. 90 DSGVO | Vorschriften für besondere Verarbeitungssituationen gang mit den personenbezogenen Daten Verstorbener vorsehen, da dieser Bereich nicht der DSGVO unterfällt, vgl. Erwägungsgrund 27. In Erwägungsgrund 158 wird zudem die Bedeutung solcher Archive betont, die „Informationen im Zusammenhang mit dem politischen Verhalten unter ehemaligen totalitären Regimen, Völkermord, Verbrechen gegen die Menschlichkeit, insbesondere dem Holocaust, und Kriegsverbrechen“ bereitstellen. Die Verwendung auch personenbezogener Daten in solchen Archiven – ggf. ohne wirksame Gegenrechte der Betroffenen – wird dementsprechend hoch bewertet und ist daher weitgehend zulässig. 11 In Bezug auf Archive ist schließlich zu berücksichtigen, dass die DSGVO aus-

drücklich „im öffentlichen Interesse liegende Archivzwecke“ fordert und damit etwa Unternehmensarchive im Zweifel nicht privilegiert werden sollen.

IV. Keine Geltung der Ausnahmen bei Nebenzwecken (Abs. 4) 12 Soweit die Verarbeitung zu Forschungs- und Statistikzwecken bzw. zu Archiv-

zwecken im öffentlichen Interesse daneben auch einem anderen Zweck dient, gelten die Ausnahmen nicht für diesen Nebenzweck. Das bedeutet, dass sich insbesondere bei gemischt-finanzierten bzw. teilkommerziellen Projekten Abgrenzungsfragen stellen können. Berücksichtigt man, dass der Gesetzgeber die privilegierten Zwecke besonders fördern will, so setzt sich im Zweifel der Forschungs-, Statistik- oder Archivzweck durch, soweit er funktional betroffen ist.

13 Andererseits sind in Bezug auf die kommerzielle Verwertung unter privilegier-

ten Zwecken verarbeiteter Daten die allgemeinen Regelungen der DSGVO anzuwenden. Wenn z.B. ein Wirtschaftsunternehmen eine soziologische Studie vornimmt und die Ergebnisse im Interesse der Allgemeinheit publiziert, fällt dies unter den Regelungsbereich des Art. 89 Abs. 2. Die anschließende Nutzung der Daten für die Optimierung eigener oder fremder Produkte unterliegt indes nicht mehr der Privilegierung, sondern muss über andere Rechtfertigungsinstrumente wie Einwilligungen oder spezifische Erlaubnisnormen legitimiert werden.

Artikel 90 Geheimhaltungspflichten (1) Die Mitgliedstaaten können die Befugnisse der Aufsichtsbehörden im Sinne des Artikels 58 Absatz 1 Buchstaben e und f gegenüber den Verantwortlichen oder den Auftragsverarbeitern, die nach Unionsrecht oder dem Recht der Mitgliedstaaten oder nach einer von den zuständigen nationalen Stellen erlassenen Verpflichtung dem Berufsgeheimnis oder einer gleichwer1354

|

Grages

Geheimhaltungspflichten | Art. 90 DSGVO

tigen Geheimhaltungspflicht unterliegen, regeln, soweit dies notwendig und verhältnismäßig ist, um das Recht auf Schutz der personenbezogenen Daten mit der Pflicht zur Geheimhaltung in Einklang zu bringen. Diese Vorschriften gelten nur in Bezug auf personenbezogene Daten, die der Verantwortliche oder der Auftragsverarbeiter bei einer Tätigkeit erlangt oder erhoben hat, die einer solchen Geheimhaltungspflicht unterliegt. (2) Jeder Mitgliedstaat teilt der Kommission bis zum 25. Mai 2018 die Vorschriften mit, die er aufgrund von Absatz 1 erlässt, und setzt sie unverzüglich von allen weiteren Änderungen dieser Vorschriften in Kenntnis. I. Aufsichtsbefugnisse bei Geheimhaltungspflichten (Abs. 1)

1

II. Mitteilung an die Kommission (Abs. 2) . . . . . . . . . . . . . . . . . .

7

Literatur: Conrad/Fechtner, IT-Outsourcing durch Anwaltskanzleien nach der InkassoEntscheidung des EuGH und dem BGH, Urteil vom 7.2.2013, CR 2013, 137; Zikesch/Kramer, Die DS-GVO und das Berufsrecht der Rechtsanwälte, Steuerberater und Wirtschaftsprüfer – Datenschutz bei freien Berufen, ZD 2015, 565.

I. Aufsichtsbefugnisse bei Geheimhaltungspflichten (Abs. 1) Abs. 1 betrifft das Recht der Mitgliedstaaten, Regelungen zu schaffen, die die 1 Untersuchungsbefugnisse der Aufsichtsbehörden beim Zugang zu personenbezogenen Daten (Art. 58 Abs. 1 Buchst. e) sowie zu Geschäftsräumen und Anlagen von Verantwortlichen bzw. Auftragsverarbeitern (Art. 58 Abs. 1 Buchst. f) einschränken. Dies ist zulässig, um Berufsgeheimnisse oder gleichwertige Geheimhaltungspflichten nach Unions- oder nationalem Recht zu wahren, vgl. zur Auslegung des Tatbestandsmerkmals „in Einklang bringen“ die Komm. zu Art. 85 DSGVO Rz. 2. Insbesondere können die Befugnisse der Aufsichtsbehörden also gegenüber Be- 2 rufsgeheimnisträgern wie Rechtsanwälten und Ärzten beschränkt werden. Mit Blick auf das aktuelle nationale Recht ist in § 1 Abs. 3 BDSG bereits vorgesehen, dass die Verpflichtung zur Wahrung gesetzlicher Geheimhaltungspflichten oder von Berufsgeheimnissen durch die datenschutzrechtlichen Vorgaben „unberührt“ bleibt. Eine entsprechende Beschränkung erscheint unter Berücksichtigung von Art. 23 Abs. 3 Buchst. e auch weiter möglich, da der Schutz solcher Geheimnisse im Sinne des öffentlichen Interesses ist. Erwägungsgrund 164 macht zudem deutlich, dass Unionsrecht die Gewährleistung bestimmter Vorgaben zu Berufspflichten erforderlich machen kann, die nicht durch das Datenschutzrecht relativiert werden sollen. Art. 90 knüpft hieran an, indem sichergestellt werden kann, dass die Aufsichtsbehörden dies berücksichtigen müssen. Eine umfassende Regelung zum Umgang mit personenbezogenen Daten durch Berufsgeheimnisträger (vgl. § 39 BDSG) ist in der DSGVO indes nicht vorgeseGrages

|

1355

Art. 90 DSGVO | Vorschriften für besondere Verarbeitungssituationen hen; es gelten hier also im Grundsatz die allgemeinen Regeln1. Art. 23 Abs. 1 Buchst. g eröffnet allerdings die Möglichkeit zur Schaffung von Regelungen zur Berücksichtigung der Erfordernisse berufsständischer Regeln. Art. 6 Abs. 2 und 3 ermöglichen zudem die Konkretisierung der Anforderungen an die Verarbeitung personenbezogener Daten auch in diesem Kontext. 3 Die Beschränkungen der Aufsichtsbefugnisse können konsequenterweise auch

auf (entsprechend verpflichtete) Auftragsdatenverarbeiter erstreckt werden. Nach deutschem Verständnis unter Geltung des BDSG ist eine Verarbeitung im Auftrag von Berufsgeheimnisträgern indes nur bei Vorliegen einer (mutmaßlichen) Einwilligung des Betroffenen zulässig2. Zur Rechtslage unter der DSGVO vgl. die Komm. zu Art. 24 und 28 DSGVO.

4 Mit Blick auf die häufig praktizierte Selbstverwaltung der angesprochenen Be-

rufszweige erkennt die Norm an, dass entsprechende Geheimhaltungspflichten nicht auf nationalen Gesetzen basieren müssen, sondern auch „von zuständigen nationalen Stellen“ wie berufsständischen Kammern erlassen werden können. Eine eigene Datenschutzaufsicht durch die Kammern wird indes nicht gewährleistet3.

5 Neben den Berufsgeheimnissen können auch gleichwertige Geheimhaltungs-

pflichten eine Beschränkung der Aufsichtsbefugnisse rechtfertigen. Welche Pflichten insofern „gleichwertig“ sein können, obliegt dem Einschätzungsspielraum der Mitgliedstaaten. Im Zweifel ist hier zu fordern, dass deren Bruch im gleichen Maße strafbewehrt sein muss. Mit Blick auf Deutschland erscheint daher eine Orientierung an den Bestimmungen in § 203 StGB naheliegend4. Vertragliche Geheimhaltungspflichten sind dagegen grundsätzlich nicht gleichwertig mit Berufsgeheimnissen.

6 Grundlegende Voraussetzung für Regelungen zur Beschränkung der Aufsichts-

rechte ist, dass sie im Einzelnen notwendig und verhältnismäßig sind, also einen angemessenen Ausgleich zwischen dem Schutz personenbezogener Daten und der Wahrung der Geheimnisse herstellen. Abs. 1 Satz 2 macht deutlich, dass die Beschränkungen zulasten der Aufsichtsbehörden nur so weit zulässig sind, wie 1 S. Zikesch/Kramer, ZD 2015, 565 (566) mit der Forderung nach einer Sonderregelung im Gesetzgebungsprozess, insbesondere mit Blick auf Informationspflichten in Anknüpfung an § 33 Abs. 2 Nr. 3 und § 34 Abs. 7 BDSG. Vgl. insofern allerdings die Ausnahmen in Art. 14 Abs. 5 Buchst. c und d. In Bezug auf das Auskunftsrecht der betroffenen Person gemäß Art. 15 können sich dagegen in der Tat Konfliktkonstellationen ergeben, deren Auflösungsmöglichkeiten noch entwickelt werden müssen. 2 Vgl. hierzu Conrad/Fechtner, CR 2016, 137 sowie die Komm. zu § 11 BDSG. 3 Kritisch wiederum Zikesch/Kramer, ZD 2015, 565 (567). Die Sonderregelung für Religionsgemeinschaften in Art. 91 zeigt, dass eine selbstregulierte Datenschutzaufsicht in besonderen Bereichen durchaus denkbar ist. 4 Vgl. die Komm. zu § 13 Abs. 2 Nr. 7 BDSG bzw. § 28 Abs. 7 BDSG und der dort jeweils angesprochenen „entsprechenden Geheimhaltungsverpflichtung“.

1356

|

Grages

Kirchen und religiöse Vereinigungen | Art. 91 DSGVO

auch die Wahrung relevanter Geheimhaltungspflichten betroffen ist. Die geschützten Daten müssen in diesem Sinne unter der bindenden Pflicht zur Geheimhaltung erlangt oder erhoben worden sein. Das bedeutet, dass rein betriebsbezogene personenbezogene Daten einer Anwaltskanzlei oder Arztpraxis ohne Mandats- oder Patientenbezug den vollen Zugriffsrechten der Aufsichtsbehörde unterliegen.

II. Mitteilung an die Kommission (Abs. 2) Nach Abs. 2 hat jeder Mitgliedstaat der Kommission spätestens bis zum Inkraft- 7 treten der DSGVO gemäß Art. 99 Abs. 2 mitzuteilen, welche Vorschriften i.S.d. Abs. 1 erlassen worden sind. Auch zukünftige Änderungen sind der Kommission mitzuteilen. In Bezug auf die potentielle Streitfrage, ob ggf. auch Altregelungen beibehalten werden können, wenn diese bereits geeignet erscheinen, einen Einklang mit der DSGVO herzustellen spricht viel dafür, auch solche bestehenden Regelungen anzuerkennen, vgl. Komm. zu Art. 85 DSGVO Rz. 11.

Artikel 91 Bestehende Datenschutzvorschriften von Kirchen und religiösen Vereinigungen oder Gemeinschaften (1) Wendet eine Kirche oder eine religiöse Vereinigung oder Gemeinschaft in einem Mitgliedstaat zum Zeitpunkt des Inkrafttretens dieser Verordnung umfassende Regeln zum Schutz natürlicher Personen bei der Verarbeitung an, so dürfen diese Regeln weiter angewandt werden, sofern sie mit dieser Verordnung in Einklang gebracht werden. (2) Kirchen und religiöse Vereinigungen oder Gemeinschaften, die gemäß Absatz 1 umfassende Datenschutzregeln anwenden, unterliegen der Aufsicht durch eine unabhängige Aufsichtsbehörde, die spezifischer Art sein kann, sofern sie die in Kapitel VI niedergelegten Bedingungen erfüllt. I. Weitergeltung bisheriger Regeln der Religionsgemeinschaften (Abs. 1) . . . . .

1

II. Unabhängige Aufsichtsbehörde (Nr. 2) . . . . . . . . . . . . . . . . . .

5

Schrifttum: Preuß, Das Datenschutzrecht der Religionsgesellschaften. Eine Untersuchung de lege lata und de lege ferenda nach Inkrafttreten der DSGVO, ZD 2015, 217.

Grages

|

1357

Kirchen und religiöse Vereinigungen | Art. 91 DSGVO

auch die Wahrung relevanter Geheimhaltungspflichten betroffen ist. Die geschützten Daten müssen in diesem Sinne unter der bindenden Pflicht zur Geheimhaltung erlangt oder erhoben worden sein. Das bedeutet, dass rein betriebsbezogene personenbezogene Daten einer Anwaltskanzlei oder Arztpraxis ohne Mandats- oder Patientenbezug den vollen Zugriffsrechten der Aufsichtsbehörde unterliegen.

II. Mitteilung an die Kommission (Abs. 2) Nach Abs. 2 hat jeder Mitgliedstaat der Kommission spätestens bis zum Inkraft- 7 treten der DSGVO gemäß Art. 99 Abs. 2 mitzuteilen, welche Vorschriften i.S.d. Abs. 1 erlassen worden sind. Auch zukünftige Änderungen sind der Kommission mitzuteilen. In Bezug auf die potentielle Streitfrage, ob ggf. auch Altregelungen beibehalten werden können, wenn diese bereits geeignet erscheinen, einen Einklang mit der DSGVO herzustellen spricht viel dafür, auch solche bestehenden Regelungen anzuerkennen, vgl. Komm. zu Art. 85 DSGVO Rz. 11.

Artikel 91 Bestehende Datenschutzvorschriften von Kirchen und religiösen Vereinigungen oder Gemeinschaften (1) Wendet eine Kirche oder eine religiöse Vereinigung oder Gemeinschaft in einem Mitgliedstaat zum Zeitpunkt des Inkrafttretens dieser Verordnung umfassende Regeln zum Schutz natürlicher Personen bei der Verarbeitung an, so dürfen diese Regeln weiter angewandt werden, sofern sie mit dieser Verordnung in Einklang gebracht werden. (2) Kirchen und religiöse Vereinigungen oder Gemeinschaften, die gemäß Absatz 1 umfassende Datenschutzregeln anwenden, unterliegen der Aufsicht durch eine unabhängige Aufsichtsbehörde, die spezifischer Art sein kann, sofern sie die in Kapitel VI niedergelegten Bedingungen erfüllt. I. Weitergeltung bisheriger Regeln der Religionsgemeinschaften (Abs. 1) . . . . .

1

II. Unabhängige Aufsichtsbehörde (Nr. 2) . . . . . . . . . . . . . . . . . .

5

Schrifttum: Preuß, Das Datenschutzrecht der Religionsgesellschaften. Eine Untersuchung de lege lata und de lege ferenda nach Inkrafttreten der DSGVO, ZD 2015, 217.

Grages

|

1357

Art. 91 DSGVO | Vorschriften für besondere Verarbeitungssituationen I. Weitergeltung bisheriger Regeln der Religionsgemeinschaften (Abs. 1) 1 Nach Abs. 1 dürfen Kirchen und Religionsgemeinschaften ihre eigenen Daten-

schutzregelungen nach Inkrafttreten der DSGVO weiter anwenden. In Erwägungsgrund 165 wird i.S.v. Art. 17 AEUV der Status der Kirchen und religiösen Vereinigungen in den Mitgliedstaaten anerkannt und klargestellt, dass die DSGVO diese Rolle nicht beeinträchtigt. Art. 91 Abs. 1 fordert gleichwohl, dass die kirchlichen Regelungen mit den neuen EU-Vorgaben zum Datenschutz in Einklang gebracht werden müssen; das Recht der jeweiligen Religionsgemeinschaft muss also den Wertungen der DSGVO entsprechen (vgl. zur Auslegung des Tatbestandsmerkmals „in Einklang bringen“ die Komm. zu Art. 85 DSGVO Rz. 2).

2 Die Kirchen und Religionsgemeinschaften müssen nach dem Wortlaut des Abs. 1

über „umfassende“ Datenschutzregelungen verfügen, soweit sie diese vorrangig anwenden möchten. Die Formulierung in Abs. 1 weist also darauf hin, dass Einzel- oder Ausnahmeregelungen nicht ausreichen sollen, um die DSGVO zu verdrängen. Vielmehr ist eine kohärente Systematik erforderlich. Die Regelungen in der Anordnung über den kirchlichen Datenschutz (KDO) und im Kirchengesetz über den Datenschutz der Evangelischen Kirche in Deutschland (DSG-EKD) erheben durchaus einen solchen Anspruch, sehen allerdings auch Verweise auf staatliches Recht vor. Die Erfahrungen unter Geltung des BDSG zeigen, dass das Zusammenspiel staatlicher Gesetze mit kirchenrechtlichen Vorgaben im Bereich des Datenschutzes häufig im Detail ungeklärt ist1.

3 Abs. 1 nimmt ausdrücklich solche Konstellationen in Bezug, in denen die kir-

cheneigenen Regelungen zum Zeitpunkt des Inkrafttretens der DSGVO bereits bestehen und angewendet werden. Dies deutet auf einen reinen Bestandsschutz, ggf. mit den erforderlichen Ergänzungen zur Harmonisierung mit der DSGVO. Unter Berücksichtigung der in den Erwägungsgründen ausdrücklich anerkannten Eigenständigkeit und Unabhängigkeit der Kirchen und Religionsgemeinschaften spricht trotzdem viel dafür, dass auch später noch eigene Datenschutzregelungen implementiert werden können. Diese müssen natürlich wiederum mit den Wertungen der DSGVO in Einklang stehen. Es erscheint nicht sachlich gerechtfertigt, dass zwar ein eigenes Datenschutzregime der Kirchen und Religionsgemeinschaften potentiell anerkannt wird, dann aber diese Wertung in die Zukunft gerichtet wieder relativiert wird. Da diese Auslegung indes dem klaren Wortlaut widerspricht, könnte dieser Aspekt ein Streitpunkt werden.

4 Da die Regelung keine Klausel beinhaltet, die eine „religionsbezogene“ Daten-

verwendung zur Voraussetzung für die Anwendung der kirchlichen Datenschutzregeln macht, können die privilegierten Institutionen ihr eigenes Regime 1 Preuß, ZD 2015, 217 (218 ff.); vgl. insofern auch § 15 Abs. 4 BDSG.

1358

|

Grages

Ausübung der Befugnisübertragung | Art. 92 DSGVO

im Zweifel auch auf Personalangelegenheiten und andere Verwaltungszwecke erstrecken.

II. Unabhängige Aufsichtsbehörde (Nr. 2) Nach Abs. 2 sind solche Religionsgemeinschaften, die nach Abs. 1 umfassende 5 Datenschutzregelungen außerhalb der DSGVO anwenden, verpflichtet, sich in Bezug auf diese Regelungen und deren Anwendung der Überprüfung einer unabhängigen Aufsichtsbehörde zu unterwerfen. So soll sichergestellt werden, dass die kirchlichen Regelungen in diesem zentralen Aspekt den Garantien der DSGVO entsprechen. Im Gegensatz zur Rechtslage unter dem BDSG, wo insbesondere die Aufsicht über den kirchlichen Datenschutz nicht spezifisch adressiert wurde, erscheint dies als wesentliche Neuerung. Abs. 2 gestattet auch eine Aufsichtsbehörde „spezifischer Art“, ohne diesen Be- 6 griff weiter zu definieren. Streng nach dem Wortlaut „Behörde“ müsste es sich um eine öffentlich-rechtliche Einrichtung im engeren Sinne handeln. Im Normzusammenhang ergibt sich indes, dass selbstverwaltete Aufsichtsinstitutionen der Kirchen und Religionsgemeinschaften zulässig sein sollen. Allerdings müssen diese den Anforderungen an unabhängige Aufsichtsbehörden i.S.d. Art. 51 ff. entsprechen, um eine alternative öffentliche Aufsicht zu verdrängen. In Deutschland haben die beiden großen Kirchen derzeit eine Aufsicht durch Datenschutzbeauftragte vorgesehen, die von der Kirchenleitung unabhängig sind, vgl. §§ 16 ff. KDO bzw. §§ 18 ff. DSG-EKD. Die Durchsetzungsmöglichkeiten sind indes im Wesentlichen auf Beanstandungen beschränkt, was dem Leitbild in Kapitel VI nur bedingt entspricht, vgl. Art. 58 Abs. 2.

Kapitel X Delegierte Rechtsakte und Durchführungsrechtsakte

Artikel 92 Ausübung der Befugnisübertragung (1) Die Befugnis zum Erlass delegierter Rechtsakte wird der Kommission unter den in diesem Artikel festgelegten Bedingungen übertragen. (2) Die Befugnis zum Erlass delegierter Rechtsakte gemäß Artikel 12 Absatz 8 und Artikel 43 Absatz 8 wird der Kommission auf unbestimmte Zeit ab dem 24.5.2016 übertragen. (3) Die Befugnisübertragung gemäß Artikel 12 Absatz 8 und Artikel 43 Absatz 8 kann vom Europäischen Parlament oder vom Rat jederzeit widerrufen Grages/Jenny

|

1359

Ausübung der Befugnisübertragung | Art. 92 DSGVO

im Zweifel auch auf Personalangelegenheiten und andere Verwaltungszwecke erstrecken.

II. Unabhängige Aufsichtsbehörde (Nr. 2) Nach Abs. 2 sind solche Religionsgemeinschaften, die nach Abs. 1 umfassende 5 Datenschutzregelungen außerhalb der DSGVO anwenden, verpflichtet, sich in Bezug auf diese Regelungen und deren Anwendung der Überprüfung einer unabhängigen Aufsichtsbehörde zu unterwerfen. So soll sichergestellt werden, dass die kirchlichen Regelungen in diesem zentralen Aspekt den Garantien der DSGVO entsprechen. Im Gegensatz zur Rechtslage unter dem BDSG, wo insbesondere die Aufsicht über den kirchlichen Datenschutz nicht spezifisch adressiert wurde, erscheint dies als wesentliche Neuerung. Abs. 2 gestattet auch eine Aufsichtsbehörde „spezifischer Art“, ohne diesen Be- 6 griff weiter zu definieren. Streng nach dem Wortlaut „Behörde“ müsste es sich um eine öffentlich-rechtliche Einrichtung im engeren Sinne handeln. Im Normzusammenhang ergibt sich indes, dass selbstverwaltete Aufsichtsinstitutionen der Kirchen und Religionsgemeinschaften zulässig sein sollen. Allerdings müssen diese den Anforderungen an unabhängige Aufsichtsbehörden i.S.d. Art. 51 ff. entsprechen, um eine alternative öffentliche Aufsicht zu verdrängen. In Deutschland haben die beiden großen Kirchen derzeit eine Aufsicht durch Datenschutzbeauftragte vorgesehen, die von der Kirchenleitung unabhängig sind, vgl. §§ 16 ff. KDO bzw. §§ 18 ff. DSG-EKD. Die Durchsetzungsmöglichkeiten sind indes im Wesentlichen auf Beanstandungen beschränkt, was dem Leitbild in Kapitel VI nur bedingt entspricht, vgl. Art. 58 Abs. 2.

Kapitel X Delegierte Rechtsakte und Durchführungsrechtsakte

Artikel 92 Ausübung der Befugnisübertragung (1) Die Befugnis zum Erlass delegierter Rechtsakte wird der Kommission unter den in diesem Artikel festgelegten Bedingungen übertragen. (2) Die Befugnis zum Erlass delegierter Rechtsakte gemäß Artikel 12 Absatz 8 und Artikel 43 Absatz 8 wird der Kommission auf unbestimmte Zeit ab dem 24.5.2016 übertragen. (3) Die Befugnisübertragung gemäß Artikel 12 Absatz 8 und Artikel 43 Absatz 8 kann vom Europäischen Parlament oder vom Rat jederzeit widerrufen Grages/Jenny

|

1359

Art. 92 DSGVO | Delegierte Rechtsakte und Durchführungsrechtsakte werden. Der Beschluss über den Widerruf beendet die Übertragung der in diesem Beschluss angegebenen Befugnis. Er wird am Tag nach seiner Veröffentlichung im Amtsblatt der Europäischen Union oder zu einem im Beschluss über den Widerruf angegebenen späteren Zeitpunkt wirksam. Die Gültigkeit von delegierten Rechtsakten, die bereits in Kraft sind, wird von dem Beschluss über den Widerruf nicht berührt. (4) Sobald die Kommission einen delegierten Rechtsakt erlässt, übermittelt sie ihn gleichzeitig dem Europäischen Parlament und dem Rat. (5) Ein delegierter Rechtsakt, der gemäß Artikel 12 Absatz 8 und Artikel 43 Absatz 8 erlassen wurde, tritt nur in Kraft, wenn weder das Europäische Parlament noch der Rat innerhalb einer Frist von drei Monaten nach Übermittlung dieses Rechtsakts an das Europäische Parlament und den Rat Einwände erhoben haben oder wenn vor Ablauf dieser Frist das Europäische Parlament und der Rat beide der Kommission mitgeteilt haben, dass sie keine Einwände erheben werden. Auf Veranlassung des Europäischen Parlaments oder des Rates wird diese Frist um drei Monate verlängert. I. Einführung . . . . . . . . . . . . . . . II. Anwendungsbereich . . . . . . . .

1 3

III. Verfahren . . . . . . . . . . . . . . . .

5

Schrifttum: Albrecht, Das neue EU-Datenschutzrecht – von der Richtlinie zur Verordnung, CR 2016, 88; von der Groeben/Schwarze/Hatje, Europäisches Unionsrecht, 7. Aufl. 2015.

I. Einführung 1 Die Vorschrift enthält Vorgaben für den Erlass delegierter Rechtsakte durch die

Kommission. Hierbei handelt es sich gemäß Art. 290 AEUV um allgemeingültige Rechtsakte ohne Gesetzescharakter, welche die Kommission zur Ergänzung oder Änderung bestimmter nicht wesentlicher Vorschriften eines Gesetzgebungsaktes erlassen kann, in welchem sie dazu ermächtigt wird. Das Instrument der delegierten Rechtsakte wurde mit dem Vertrag von Lissabon eingeführt1, ist also noch jung und war demzufolge in der EG-Datenschutzrichtlinie nicht vorgesehen. Art. 290 Abs. 1 Unterabs. 2 AEUV verlangt dabei, dass Ziele, Inhalt, Geltungsbereich und Dauer der Befugnisübertragung ausdrücklich festgelegt werden. Wesentliche Aspekte sind dem ermächtigenden Gesetzesakt selbst vorbehalten. Delegierte Rechtsakte sind in den Erwägungsgründen 146 und 166 angesprochen.

2 Der Unterschied zwischen delegierten Rechtsakten und Durchführungs-

rechtsakten (Art. 291 AEUV sowie Art. 93) besteht in der Tendenz darin, dass delegierte Rechtsakte eher dem Bereich der Legislative bzw. Normsetzung, Durchführungsrechtsakte eher dem der Exekutive bzw. Einzelfallentscheidung 1 S. von der Groeben/Schwarze/Hatje, Art. 290 AEUV Rz. 2.

1360

|

Jenny

Ausübung der Befugnisübertragung | Art. 92 DSGVO

zuzuordnen sind, wobei diese Abgrenzung jedoch nicht vollständig klar ist1. Wenn man die in der DSGVO delegierten Rechtsakte einerseits (s. Rz. 3) mit den vorgesehenen Durchführungsrechtsakten andererseits (s. Komm. zu Art. 93 DSGVO Rz. 4) vergleicht, dann sind viele der Durchführungsakte der Einzelfallentscheidung näher als der Normsetzung, aber nicht alle. Die in Art. 43 Abs. 9 (Festlegung von technischen Standards für Zertifizierungsverfahren und Datenschutzsiegel und -prüfzeichen sowie Mechanismen zur Förderung und Anerkennung dieser Zertifizierungsverfahren und Datenschutzsiegel und -prüfzeichen), Art. 47 Abs. 3 (Festlegung von Format und Verfahren für den Informationsaustausch über verbindliche interne Datenschutzvorschriften zwischen Verantwortlichen, Auftragsverarbeitern und Aufsichtsbehörden) und Art. 61 Abs. 9 (Festlegung von Form und Verfahren der Amtshilfe sowie der Ausgestaltung des elektronischen Informationsaustauschs zwischen den Aufsichtsbehörden untereinander sowie mit dem europäischen Datenschutzausschuss) vorgesehenen Durchführungsrechtsakte scheinen der Normsetzung näher zu sein, als der Einzelfallentscheidung. Die Unterscheidung hat wesentliche Auswirkungen auf das Normsetzungs- bzw. Erlassverfahren (s. Rz. 5 sowie Komm. zu. Art. 93 DSGVO Rz. 5 ff.). Bei delegierten Rechtsakten sind Parlament und Rat zu beteiligen, bei Durchführungsrechtsakten hingegen ein von den Exekutiven der Mitgliedstaaten zu besetzender Ausschuss (s. Komm. zu Art. 93 DSGVO Rz. 5 ff.).

II. Anwendungsbereich In der DSGVO sind delegierte Rechtsakte in Art. 12 Abs. 8 sowie Art. 43 Abs. 8 3 vorgesehen. Dies betrifft zum einen die Bestimmung von durch Bildsymbole darzustellenden Informationen sowie Verfahren für die Bereitstellung standardisierter Bildsymbole für die Information betroffener Personen (Art. 12 Abs. 8), zum anderen die Festlegung von Anforderungen für Zertifizierungsverfahren nach Art. 42 (Art. 43 Abs. 8). Für Einzelheiten sei auf die Kommentierung der genannten Vorschriften verwiesen. Bemerkenswert ist, dass der erste Kommissionsentwurf der DSGVO2 mehr als 20 Ermächtigungen für delegierte Rechtsakte enthielt, von denen die meisten im Gesetzgebungsverfahren von Rat und Parlament gestrichen wurden3. Art. 92 Abs. 2 und 3 regeln die Geltungsdauer der Befugnisübertragung. Die 4 Möglichkeit zum Widerruf ist in Art. 290 Abs. 2 Buchst. a AEUV angelegt. Das Widerrufsrecht steht sowohl dem Rat als auch dem Parlament zu, ist in deren 1 S. von der Groeben/Schwarze/Hatje, Art. 290 AEUV Rz. 2 ff. sowie Art. 291 AEUV Rz. 2, jeweils m.w.N. 2 S. Vorschlag für Verordnung des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutz-Grundverordnung)/*KOM/2012/011 endgültig. 3 S. Albrecht, CR 2016, 88 (97).

Jenny

|

1361

Art. 93 DSGVO | Delegierte Rechtsakte und Durchführungsrechtsakte politisches Ermessen gestellt, und lediglich von den in Art. 290 Abs. 2 AEUV genannten Mehrheitserfordernissen abhängig1, also entweder die Mehrheit der Mitglieder des Parlaments oder eine qualifizierte Mehrheit des Rates. Letzteres erfordert eine Entscheidung von mindestens 72 % der Mitglieder des Rates, wobei die von diesen Mitgliedern vertretenen Mitgliedstaaten zusammen mindestens 65 % der Bevölkerung der Union ausmachen müssen (vgl. Art. 238 Abs. 2 AEUV, der hier statt Art. 16 EUV Anwendung finden dürfte, da die Befugnisübertragung in aller Regel nicht auf Vorschlag der Kommission dieser entzogen werden wird.).

III. Verfahren 5 Art. 92 Abs. 4 und Abs. 5 enthalten Vorgaben für das Verfahren zum Erlass

von delegierten Rechtsakten. Das Verfahren ist im Vergleich zu Durchführungsrechtsakten (dazu Komm. zu Art. 93 DSGVO) recht einfach ausgestaltet. Von der Kommission beschlossene delegierte Rechtsakte treten danach in Kraft, wenn nicht Parlament oder Rat binnen der in Abs. 5 genannten Fristen Einwände erheben. Gemäß Erwägungsgrund 166 soll die Kommission bei der Vorbereitung delegierter Rechtsakte auf Konsultationen und Sachverständige zurückgreifen. Sie soll die relevanten Dokumente dem Parlament und dem Rat zeitgleich und mit angemessenem Vorlauf zur Verfügung stellen. Die Kommission hat nach Abs. 4 beschlossene delegierte Rechtsakte dem Rat und dem Parlament zu übermitteln. Der in Abs. 5 enthaltene Vorbehalt für Einwände ist in Art. 290 Abs. 2 Buchst. b AEUV vorgesehen. Für die Erhebung von Einwänden gelten dieselben Mehrheitserfordernisse wie für einen Widerruf der Befugnisübertragung, s. Art. 290 Abs. 2 Satz 2 AEUV, wobei die qualifizierte Mehrheit im Rat sich hier nach Art. 16 Abs. 4 EUV bestimmt, da über einen Kommissionsvorschlag abgestimmt wird.

Artikel 93 Ausschussverfahren (1) Die Kommission wird von einem Ausschuss unterstützt. Dieser Ausschuss ist ein Ausschuss im Sinne der Verordnung (EU) Nr. 182/2011. (2) Wird auf diesen Absatz Bezug genommen, so gilt Artikel 5 der Verordnung (EU) Nr. 182/2011. (3) Wird auf diesen Absatz Bezug genommen, so gilt Artikel 8 der Verordnung (EU) Nr. 182/2011 in Verbindung mit deren Artikel 5. 1 S. von der Groeben/Schwarze/Hatje, Art. 290 AEUV Rz. 35.

1362

|

Jenny

Art. 93 DSGVO | Delegierte Rechtsakte und Durchführungsrechtsakte politisches Ermessen gestellt, und lediglich von den in Art. 290 Abs. 2 AEUV genannten Mehrheitserfordernissen abhängig1, also entweder die Mehrheit der Mitglieder des Parlaments oder eine qualifizierte Mehrheit des Rates. Letzteres erfordert eine Entscheidung von mindestens 72 % der Mitglieder des Rates, wobei die von diesen Mitgliedern vertretenen Mitgliedstaaten zusammen mindestens 65 % der Bevölkerung der Union ausmachen müssen (vgl. Art. 238 Abs. 2 AEUV, der hier statt Art. 16 EUV Anwendung finden dürfte, da die Befugnisübertragung in aller Regel nicht auf Vorschlag der Kommission dieser entzogen werden wird.).

III. Verfahren 5 Art. 92 Abs. 4 und Abs. 5 enthalten Vorgaben für das Verfahren zum Erlass

von delegierten Rechtsakten. Das Verfahren ist im Vergleich zu Durchführungsrechtsakten (dazu Komm. zu Art. 93 DSGVO) recht einfach ausgestaltet. Von der Kommission beschlossene delegierte Rechtsakte treten danach in Kraft, wenn nicht Parlament oder Rat binnen der in Abs. 5 genannten Fristen Einwände erheben. Gemäß Erwägungsgrund 166 soll die Kommission bei der Vorbereitung delegierter Rechtsakte auf Konsultationen und Sachverständige zurückgreifen. Sie soll die relevanten Dokumente dem Parlament und dem Rat zeitgleich und mit angemessenem Vorlauf zur Verfügung stellen. Die Kommission hat nach Abs. 4 beschlossene delegierte Rechtsakte dem Rat und dem Parlament zu übermitteln. Der in Abs. 5 enthaltene Vorbehalt für Einwände ist in Art. 290 Abs. 2 Buchst. b AEUV vorgesehen. Für die Erhebung von Einwänden gelten dieselben Mehrheitserfordernisse wie für einen Widerruf der Befugnisübertragung, s. Art. 290 Abs. 2 Satz 2 AEUV, wobei die qualifizierte Mehrheit im Rat sich hier nach Art. 16 Abs. 4 EUV bestimmt, da über einen Kommissionsvorschlag abgestimmt wird.

Artikel 93 Ausschussverfahren (1) Die Kommission wird von einem Ausschuss unterstützt. Dieser Ausschuss ist ein Ausschuss im Sinne der Verordnung (EU) Nr. 182/2011. (2) Wird auf diesen Absatz Bezug genommen, so gilt Artikel 5 der Verordnung (EU) Nr. 182/2011. (3) Wird auf diesen Absatz Bezug genommen, so gilt Artikel 8 der Verordnung (EU) Nr. 182/2011 in Verbindung mit deren Artikel 5. 1 S. von der Groeben/Schwarze/Hatje, Art. 290 AEUV Rz. 35.

1362

|

Jenny

Ausschussverfahren | Art. 93 DSGVO I. Einführung . . . . . . . . . . . . . . . II. In der DSGVO vorgesehene Durchführungsrechtsakte . . . .

1

III. Verfahren für den Erlass von Durchführungsrechtsakten . . .

6

4

Schrifttum: Daiber, EU-Durchführungsrechtsetzung nach Inkrafttreten der neuen Komitologie-Verordnung, EuR 2012, 240; von der Groeben/Schwarze/Hatje, Europäisches Unionsrecht, 7. Aufl. 2015.

I. Einführung Die Vorschrift regelt als Nachfolgevorschrift zu Art. 31 der EG-Datenschutz- 1 richtlinie Verfahrensaspekte für den Erlass von Durchführungsrechtsakten (zur Abgrenzung von der delegierten Rechtssetzung s. Komm. zu Art. 92 DSGVO Rz. 2). Sie ist allerdings aus sich heraus kaum verständlich und muss zusammen mit Art. 291 AEUV sowie der dazu erlassenen Verordnung (EU) Nr. 182/20111 gelesen werden. In den Erwägungsgründen der DSGVO werden Durchführungsrechtsakte in Erwägungsgrund 146, 168 und 169 angesprochen. Der in Abs. 1 genannte Ausschuss darf nicht mit dem europäischen Daten- 2 schutzausschuss verwechselt werden, obwohl in der deutschen Sprachfassung beide als „Ausschuss“ bezeichnet werden. Die englische Sprachfassung der DSGVO macht dies transparent, indem sie den europäischen Datenschutzausschuss als „Board“, den Ausschuss nach Art. 93 demgegenüber als „Committee“ bezeichnet, während die französische Fassung am gleichen Mangel wie die deutsche leidet und in beiden Fällen von „Comité“ spricht. Deutlich wird der Unterschied zwischen den beiden Gremien in Art. 70 Abs. 3, wonach der europäische Datenschutzausschuss Stellungnahmen usw. an den in Art. 93 genannten Ausschuss weiterzuleiten hat. Der Ausschuss nach Art. 93 ist ein Gremium der Mitgliedstaaten, mit dem sie am Erlass von Durchführungsakten mitwirken (s. Rz. 5 ff.) und mit Vertretern der Mitgliedstaaten sowie einem nicht stimmberechtigten Vertreter der Kommission besetzt, vgl. Art. 3 der Verordnung Nr. 182/2011. In der Praxis entsenden Kommission und Mitgliedstaaten jeweils Fachbeamte in den Ausschuss2. Dieses Ausschussverfahren wird im EU-Jargon auch „Komitologie“ genannt und der Ausschuss nach Art. 93 demnach „Kommitologieausschuss“. Gemäß Art. 291 Abs. 1 AEUV ist es in der Regel Sache der Mitgliedstaaten, die 3 zur Durchführung von Unionsrechtsakten erforderlichen Maßnahmen zu ergreifen. Nach Art. 291 Abs. 2 AEUV kann in Unionsrechtsakten der Kommis1 Verordnung (EU) Nr. 182/2011 des Europäischen Parlaments und des Rates vom 16.2. 2011 zur Festlegung der allgemeinen Regeln und Grundsätze, nach denen die Mitgliedstaaten die Wahrnehmung der Durchführungsbefugnisse durch die Kommission kontrollieren, ABl. EU Nr. L 55 S. 13. 2 von der Groeben/Schwarze/Hatje, Art. 291 AEUV Rz. 21, 38.

Jenny

|

1363

Art. 93 DSGVO | Delegierte Rechtsakte und Durchführungsrechtsakte sion die Befugnis zum Erlass von Durchführungsrechtsakten übertragen werden. Dies soll geschehen, wenn es einheitlicher Bedingungen für die Durchführung von Unionsrechtsakten bedarf. In einigen Sonderfällen kann auch der Europäische Rat mit dem Erlass von Durchführungsrechtsakten betraut werden (vgl. Art. 291 Abs. 3 AEUV); dies ist aber in der DSGVO nicht vorgesehen.

II. In der DSGVO vorgesehene Durchführungsrechtsakte 4 Die DSGVO ermächtigt die Kommission zu folgenden Durchführungsrechts-

akten:

– Art. 28 Abs. 7: Festlegung von Standardvertragsklauseln für die Auftragsdatenverarbeitung. Der Verweis auf Art. 87 in der deutschen Sprachfassung der DSGVO ist ein Redaktionsversehen, wie sich aus der englischen Fassung ergibt, die auf Art. 93 verweist. Der jetzige Art. 93 hatte im Entwurfsstadium die Nummer 87. Der jetzige Art. 87 hat nur einen Absatz. In Art. 28 Abs. 7 wird zwar nicht von Durchführungsrechtsakten gesprochen, doch ergibt sich aus Erwägungsgrund 168 sowie aus dem Verweis auf Art. 93 Abs. 2, dass hier eine Befugnis zum Erlass von Durchführungsrechtsakten erteilt wird. – Art. 40 Abs. 9: Allgemeingültigerklärung von Verhaltensregeln. – Art. 43 Abs. 9: Festlegung von technischen Standards für Zertifizierungsverfahren und Datenschutzsiegel und -prüfzeichen sowie Mechanismen zur Förderung und Anerkennung dieser Zertifizierungsverfahren und Datenschutzsiegel und -prüfzeichen. – Art. 45 Abs. 3 und 5: Feststellung der Angemessenheit des Schutzniveaus in Drittländern, Gebieten, Sektoren in Drittländern und internationalen Organisationen bzw. Widerruf entsprechender Feststellungen. – Art. 46 Abs. 2 Buchst. c und d: Standardvertragsklauseln für den Datenexport in Drittländer oder internationale Organisationen. – Art. 47 Abs. 3: Festlegung von Format und Verfahren für den Informationsaustausch über verbindliche interne Datenschutzvorschriften zwischen Verantwortlichen, Auftragsverarbeitern und Aufsichtsbehörden. – Art. 61 Abs. 9: Festlegung von Form und Verfahren der Amtshilfe sowie der Ausgestaltung des elektronischen Informationsaustauschs zwischen den Aufsichtsbehörden untereinander sowie mit dem europäischen Datenschutzausschuss. – Art. 67: Ausgestaltung des elektronischen Informationsaustauschs zwischen Aufsichtsbehörden untereinander sowie mit dem europäischen Datenschutzausschuss. 1364

|

Jenny

Ausschussverfahren | Art. 93 DSGVO

Ähnlich wie bei den delegierten Rechtsakten (s. Komm. zu Art. 92 DSGVO 5 Rz. 3) ist im Gesetzgebungsverfahren die Anzahl an Ermächtigungen der Kommission zum Erlass von Durchführungsrechtsakten deutlich beschnitten worden1. In der EG-Datenschutzrichtlinie waren Durchführungsmaßnahmen der Kommission lediglich im Zusammenhang mit dem Export von Daten in Drittländer vorgesehen. Sie konnte insoweit verbindlich feststellen, ob und ggf. unter welchen Voraussetzungen Drittländer ein angemessenes Schutzniveau bieten (Art. 25 Abs. 4–6 EG-Datenschutzrichtlinie). Außerdem war die Kommission ermächtigt, Standardvertragsklauseln für den Datenexport festzulegen (Art. 26 Abs. 4 EG-Datenschutzrichtlinie).

III. Verfahren für den Erlass von Durchführungsrechtsakten Nach der Verordnung Nr. 182/2011 gibt es zwei Verfahren für den Erlass von 6 Durchführungsrechtsakten, das Beratungsverfahren (Art. 4 der Verordnung Nr. 182/2011) sowie das Prüfverfahren (Art. 5 der Verordnung 182/2011)2. Im Beratungsverfahren hat der Kommitologieausschuss lediglich eine beratende Funktion, während im Prüfverfahren Durchführungsrechtsakte grundsätzlich die Zustimmung (dort „befürwortende Stellungnahme“ genannt) des Ausschusses erforderlich ist. Für die Durchführungsrechtsakte auf Grundlage der DSGVO ist stets das Prüfverfahren vorgesehen, was sich aus den Verweisen auf Art. 5 der Verordnung Nr. 182/2011 ergibt. Laut Art. 5 der Verordnung Nr. 182/2011 kann der Kommitologieausschuss den 7 Vorschlag eines Durchführungsrechtsakts entweder mit qualifizierter Mehrheit befürworten, mit qualifizierter Mehrheit ablehnen oder keine Stellungnahme abgeben. Da der Ausschuss hier über einen Kommissionsvorschlag entscheidet, bestimmt sich die qualifizierte Mehrheit nach Art. 16 Abs. 4 EUV. Danach gilt als qualifizierte Mehrheit eine Mehrheit von mindestens 55 % der Mitglieder des Ausschusses, gebildet aus mindestens 15 Mitgliedern, sofern die von diesen vertretenen Mitgliedstaaten zusammen mindestens 65 % der Bevölkerung der Union ausmachen. Für eine Sperrminorität sind mindestens vier Mitglieder erforderlich, andernfalls ist die qualifizierte Mehrheit erreicht. Damit können drei bevölkerungsstarke Mitgliedstaaten überstimmt werden. Von der Stellungnahme des Kommitologieausschusses hängt das weitere Schick- 8 sal des Vorschlags ab. Bei positiver Stellungnahme erlässt die Kommission den Durchführungsrechtsakt gemäß Art. 5 Abs. 2 der Verordnung Nr. 182/2011. 1 S. den Vorschlag für Verordnung des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutz-Grundverordnung)/*KOM/2012/011 endgültig, der mehr als 20 Ermächtigungen für Durchführungsrechtsakte enthält. 2 S. zum Ganzen näher Daiber, EuR 2012, 240.

Jenny

|

1365

Art. 94 DSGVO | Schlussbestimmungen Ausnahmsweise kann die Kommission aber davon auch absehen, wenn sich die Umstände zwischenzeitlich geändert haben1. Bei einer negativen Stellungnahme des Kommitologieausschusses wird der Durchführungsrechtsakt zunächst nicht erlassen. Die Kommission kann dann einen geänderten Vorschlag vorlegen oder aber einen hochrangig besetzten sog. Berufungsausschuss anrufen, s. Art. 5 Abs. 3 i.V.m. Art. 3 Abs. 7 und Art. 6 der Verordnung Nr. 182/2011. Gibt der Kommitologieausschuss keine Stellungnahme ab, weil der Vorschlag von einer qualifizierten Mehrheit weder befürwortet noch abgelehnt wird, hat die Kommission die Möglichkeit, den Durchführungsrechtsakt gleichwohl zu erlassen, es sei denn, eine einfache Mehrheit des Ausschusses lehnt ihn ab (s. Art. 5 Abs. 3 der Verordnung Nr. 182/2011). Dann besteht wieder die Option, den Berufungsausschuss anzurufen. 9 Nach Art. 8 der Verordnung Nr. 182/2011 kann für eilbedürftige Maßnahmen

vorgesehen werden, dass Durchführungsrechtsakte bereits vor Befassung des Kommitologieausschusses erlassen werden. Falls der Ausschuss nachträglich widersprechen sollte, wäre der Eilrechtsakt wieder aufzuheben. Dieses Verfahren ist in der DSGVO nur für den Widerruf der Feststellung eines angemessenen Schutzniveaus in Drittstaaten usw. vorgesehen, s. Art. 45 Abs. 5.

Kapitel XI Schlussbestimmungen

Artikel 94 Aufhebung der Richtlinie 95/46/EG (1) Die Richtlinie 95/46/EG wird mit Wirkung vom 25.5.2018 aufgehoben. (2) Verweise auf die aufgehobene Richtlinie gelten als Verweise auf die vorliegende Verordnung. Verweise auf die durch Artikel 29 der Richtlinie 95/46/ EG eingesetzte Gruppe für den Schutz von Personen bei der Verarbeitung personenbezogener Daten gelten als Verweise auf den kraft dieser Verordnung errichteten Europäischen Datenschutzausschuss. 1 Die Regelung in Abs. 1 ist im Zusammenhang mit Art. 99 zum Anwendungszeit-

punkt zu lesen. Die EG-Datenschutzrichtlinie gilt nach Inkrafttreten der DSGVO noch zwei Jahre weiter und ist dabei einstweilen Rechtmäßigkeitsmaßstab für laufende Datenverarbeitungen (s. auch Erwägungsgrund 171). Damit erhalten die für Datenverarbeitungsvorgänge Verantwortlichen einen Übergangs- und Anpassungszeitraum, den sie in der Praxis auch dringend benötigen. 1 S. Daiber, EuR 2012, 240 (244) unter Verweis auf eine dahingehende, der Verordnung Nr. 182/2011 beigefügte Erklärung von Rat, Parlament und Kommission.

1366

|

Jenny

Art. 94 DSGVO | Schlussbestimmungen Ausnahmsweise kann die Kommission aber davon auch absehen, wenn sich die Umstände zwischenzeitlich geändert haben1. Bei einer negativen Stellungnahme des Kommitologieausschusses wird der Durchführungsrechtsakt zunächst nicht erlassen. Die Kommission kann dann einen geänderten Vorschlag vorlegen oder aber einen hochrangig besetzten sog. Berufungsausschuss anrufen, s. Art. 5 Abs. 3 i.V.m. Art. 3 Abs. 7 und Art. 6 der Verordnung Nr. 182/2011. Gibt der Kommitologieausschuss keine Stellungnahme ab, weil der Vorschlag von einer qualifizierten Mehrheit weder befürwortet noch abgelehnt wird, hat die Kommission die Möglichkeit, den Durchführungsrechtsakt gleichwohl zu erlassen, es sei denn, eine einfache Mehrheit des Ausschusses lehnt ihn ab (s. Art. 5 Abs. 3 der Verordnung Nr. 182/2011). Dann besteht wieder die Option, den Berufungsausschuss anzurufen. 9 Nach Art. 8 der Verordnung Nr. 182/2011 kann für eilbedürftige Maßnahmen

vorgesehen werden, dass Durchführungsrechtsakte bereits vor Befassung des Kommitologieausschusses erlassen werden. Falls der Ausschuss nachträglich widersprechen sollte, wäre der Eilrechtsakt wieder aufzuheben. Dieses Verfahren ist in der DSGVO nur für den Widerruf der Feststellung eines angemessenen Schutzniveaus in Drittstaaten usw. vorgesehen, s. Art. 45 Abs. 5.

Kapitel XI Schlussbestimmungen

Artikel 94 Aufhebung der Richtlinie 95/46/EG (1) Die Richtlinie 95/46/EG wird mit Wirkung vom 25.5.2018 aufgehoben. (2) Verweise auf die aufgehobene Richtlinie gelten als Verweise auf die vorliegende Verordnung. Verweise auf die durch Artikel 29 der Richtlinie 95/46/ EG eingesetzte Gruppe für den Schutz von Personen bei der Verarbeitung personenbezogener Daten gelten als Verweise auf den kraft dieser Verordnung errichteten Europäischen Datenschutzausschuss. 1 Die Regelung in Abs. 1 ist im Zusammenhang mit Art. 99 zum Anwendungszeit-

punkt zu lesen. Die EG-Datenschutzrichtlinie gilt nach Inkrafttreten der DSGVO noch zwei Jahre weiter und ist dabei einstweilen Rechtmäßigkeitsmaßstab für laufende Datenverarbeitungen (s. auch Erwägungsgrund 171). Damit erhalten die für Datenverarbeitungsvorgänge Verantwortlichen einen Übergangs- und Anpassungszeitraum, den sie in der Praxis auch dringend benötigen. 1 S. Daiber, EuR 2012, 240 (244) unter Verweis auf eine dahingehende, der Verordnung Nr. 182/2011 beigefügte Erklärung von Rat, Parlament und Kommission.

1366

|

Jenny

Verhältnis zur Richtlinie 2002/58/EG | Art. 95 DSGVO

Abs. 2 enthält Übergangsregelungen zu Verweisen auf die EG-Datenschutz- 2 richtlinie bzw. die Artikel-29-Datenschutzgruppe. Diese gelten fortan als Verweise auf die DSGVO bzw. den Europäischen Datenschutzausschuss. Dies ist Konsequenz der Ablösung der EG-Datenschutzrichtlinie durch die DSGVO sowie des Umstands, dass der Europäische Datenschutzausschuss die Artikel-29Datenschutzgruppe ersetzt (vgl. Erwägungsgrund 139). Weitere Übergangsregelungen zum Export von Daten in Drittstaaten enthal- 3 ten Art. 45 Abs. 9 und Art. 46 Abs. 5. Danach bleiben auf der EG-Datenschutzrichtlinie beruhende Maßnahmen der Kommission und Genehmigungen der nationalen Aufsichtsbehörden hierzu einstweilen anwendbar.

Artikel 95 Verhältnis zur Richtlinie 2002/58/EG Diese Verordnung erlegt natürlichen oder juristischen Personen in Bezug auf die Verarbeitung in Verbindung mit der Bereitstellung öffentlich zugänglicher elektronischer Kommunikationsdienste in öffentlichen Kommunikationsnetzen in der Union keine zusätzlichen Pflichten auf, soweit sie besonderen in der Richtlinie 2002/58/EG festgelegten Pflichten unterliegen, die dasselbe Ziel verfolgen. Schrifttum: Albrecht, Das neue EU-Datenschutzrecht – von der Richtlinie zur Verordnung, CR 2016, 88; Keppeler, Was bleibt vom TMG-Datenschutz nach der DS-GVO? – Lösung und Schaffung von Abgrenzungsproblemen im Multimedia-Datenschutz, MMR 2015, 779

Aus dieser Vorschrift ergibt sich, dass die Datenschutzrichtlinie für elektro- 1 nische Kommunikation1 und auf ihr beruhende nationale Umsetzungsvorschriften von der DSGVO nicht außer Kraft gesetzt werden, sondern dieser vorgehen. Diese Richtlinie betrifft überwiegend den bereichsspezifischen Datenschutz bei der Bereitstellung öffentlich zugänglicher elektronischer Kommunikationsdienste in öffentlichen Kommunikationsnetzen (s. Art. 3 RL 2002/58/EG), also nach deutschem Sprachgebrauch beim Erbringen öffentlich zugänglicher Telekommunikationsdienste bzw. beim Betrieb öffentlicher Telekommunikationsnetze (s. § 3 Nr. 16a und 17a TKG). Die Richtlinie ist überwiegend in den §§ 91 ff. TKG in deutsches Recht umgesetzt worden; Art. 13 der Richtlinie, der 1 Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom 12.7.2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation), (ABl. Nr. L 201 S. 37), Celex-Nr. 3 2002 L 0058, zuletzt geändert durch Art. 2 ÄndRL 2009/136/EG vom 25.11.2009 (ABl. Nr. L 337 S. 11, ber. 2013 ABl. Nr. L 241 S. 9).

Jenny

|

1367

Verhältnis zur Richtlinie 2002/58/EG | Art. 95 DSGVO

Abs. 2 enthält Übergangsregelungen zu Verweisen auf die EG-Datenschutz- 2 richtlinie bzw. die Artikel-29-Datenschutzgruppe. Diese gelten fortan als Verweise auf die DSGVO bzw. den Europäischen Datenschutzausschuss. Dies ist Konsequenz der Ablösung der EG-Datenschutzrichtlinie durch die DSGVO sowie des Umstands, dass der Europäische Datenschutzausschuss die Artikel-29Datenschutzgruppe ersetzt (vgl. Erwägungsgrund 139). Weitere Übergangsregelungen zum Export von Daten in Drittstaaten enthal- 3 ten Art. 45 Abs. 9 und Art. 46 Abs. 5. Danach bleiben auf der EG-Datenschutzrichtlinie beruhende Maßnahmen der Kommission und Genehmigungen der nationalen Aufsichtsbehörden hierzu einstweilen anwendbar.

Artikel 95 Verhältnis zur Richtlinie 2002/58/EG Diese Verordnung erlegt natürlichen oder juristischen Personen in Bezug auf die Verarbeitung in Verbindung mit der Bereitstellung öffentlich zugänglicher elektronischer Kommunikationsdienste in öffentlichen Kommunikationsnetzen in der Union keine zusätzlichen Pflichten auf, soweit sie besonderen in der Richtlinie 2002/58/EG festgelegten Pflichten unterliegen, die dasselbe Ziel verfolgen. Schrifttum: Albrecht, Das neue EU-Datenschutzrecht – von der Richtlinie zur Verordnung, CR 2016, 88; Keppeler, Was bleibt vom TMG-Datenschutz nach der DS-GVO? – Lösung und Schaffung von Abgrenzungsproblemen im Multimedia-Datenschutz, MMR 2015, 779

Aus dieser Vorschrift ergibt sich, dass die Datenschutzrichtlinie für elektro- 1 nische Kommunikation1 und auf ihr beruhende nationale Umsetzungsvorschriften von der DSGVO nicht außer Kraft gesetzt werden, sondern dieser vorgehen. Diese Richtlinie betrifft überwiegend den bereichsspezifischen Datenschutz bei der Bereitstellung öffentlich zugänglicher elektronischer Kommunikationsdienste in öffentlichen Kommunikationsnetzen (s. Art. 3 RL 2002/58/EG), also nach deutschem Sprachgebrauch beim Erbringen öffentlich zugänglicher Telekommunikationsdienste bzw. beim Betrieb öffentlicher Telekommunikationsnetze (s. § 3 Nr. 16a und 17a TKG). Die Richtlinie ist überwiegend in den §§ 91 ff. TKG in deutsches Recht umgesetzt worden; Art. 13 der Richtlinie, der 1 Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom 12.7.2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation), (ABl. Nr. L 201 S. 37), Celex-Nr. 3 2002 L 0058, zuletzt geändert durch Art. 2 ÄndRL 2009/136/EG vom 25.11.2009 (ABl. Nr. L 337 S. 11, ber. 2013 ABl. Nr. L 241 S. 9).

Jenny

|

1367

Art. 96 DSGVO | Schlussbestimmungen die Direktwerbung mittels Fernkommunikation regelt, wurde durch § 7 UWG umgesetzt. 2 Der Vorrang der Datenschutzrichtlinie für elektronische Kommunikation wird

teils kritisch gewürdigt1. Der Vorrang gilt allerdings nur so weit, wie der Anwendungsbereich der Richtlinie nach ihrem Art. 3 reicht2. Insoweit ist zu beachten, dass zahlreiche Umsetzungsregelungen des TKG im persönlichen Anwendungsbereich für sog. „Diensteanbieter“ (s. zum Begriff Komm. zu § 88 TKG Rz. 13–18 sowie zu § 91 TKG Rz. 4) gelten und damit nicht nur für Erbringer öffentlich zugänglicher Telekommunikationsdienste bzw. Betreiber öffentlicher Netze, auf welche sich die Richtlinie bezieht. Das dürfte bedeuten, dass mit Beginn der Anwendbarkeit der DSGVO am 25.5.2018 die Anwendung der Regelungen von §§ 91 ff. TKG auf von der Richtlinie erfasste Unternehmen einzuschränken sein wird.

3 Eine Ausnahme vom Vorrang der Datenschutzrichtlinie für elektronische

Kommunikation enthält Art. 21 Abs. 5. Danach kann ein Widerspruch gegen eine Datenverarbeitung ungeachtet der Richtlinie mittels automatisierter Verfahren erklärt werden, bei denen technische Spezifikationen verwendet werden. Hier geht es offenbar um Browsereinstellungen und -signale wie etwa ein „Do-notTrack“-Signal3, wobei nicht recht ersichtlich ist, inwieweit die Datenschutzrichtlinie für elektronische Kommunikation dem entgegenstehen könnte.

4 Gemäß Erwägungsgrund 173 soll die Datenschutzrichtlinie für elektronische

Kommunikation nach Annahme der DSGVO darauf überprüft werden, inwieweit sich aus der DSGVO ein Änderungsbedarf ergibt. Dazu hat die Kommission bereits eine öffentliche Konsultation in die Wege geleitet, die vom 12.4. bis 5.7.2016 lief4.

Artikel 96 Verhältnis zu bereits geschlossenen Übereinkünften Internationale Übereinkünfte, die die Übermittlung personenbezogener Daten an Drittländer oder internationale Organisationen mit sich bringen, die von den Mitgliedstaaten vor dem 24.5.2016 abgeschlossen wurden und die im Einklang mit dem vor diesem Tag geltenden Unionsrecht stehen, bleiben in Kraft, bis sie geändert, ersetzt oder gekündigt werden. 1 So anscheinend Albrecht, CR 2016, 88 (90) mit der Aussage, die Kommission habe sich nicht durchringen können, den Datenschutz in der elektronischen Kommunikation in die DSGVO einzubeziehen. 2 S. Keppeler, MMR 2015, 779 (780). 3 So Albrecht, CR 2016, 88 (93). 4 Nach Ablauf der Konsultationsfrist dürfte die Konsultation einstweilen noch auf der Website der DG Connect in der Rubrik „Consultations“ auffindbar sein.

1368

|

Jenny

Art. 96 DSGVO | Schlussbestimmungen die Direktwerbung mittels Fernkommunikation regelt, wurde durch § 7 UWG umgesetzt. 2 Der Vorrang der Datenschutzrichtlinie für elektronische Kommunikation wird

teils kritisch gewürdigt1. Der Vorrang gilt allerdings nur so weit, wie der Anwendungsbereich der Richtlinie nach ihrem Art. 3 reicht2. Insoweit ist zu beachten, dass zahlreiche Umsetzungsregelungen des TKG im persönlichen Anwendungsbereich für sog. „Diensteanbieter“ (s. zum Begriff Komm. zu § 88 TKG Rz. 13–18 sowie zu § 91 TKG Rz. 4) gelten und damit nicht nur für Erbringer öffentlich zugänglicher Telekommunikationsdienste bzw. Betreiber öffentlicher Netze, auf welche sich die Richtlinie bezieht. Das dürfte bedeuten, dass mit Beginn der Anwendbarkeit der DSGVO am 25.5.2018 die Anwendung der Regelungen von §§ 91 ff. TKG auf von der Richtlinie erfasste Unternehmen einzuschränken sein wird.

3 Eine Ausnahme vom Vorrang der Datenschutzrichtlinie für elektronische

Kommunikation enthält Art. 21 Abs. 5. Danach kann ein Widerspruch gegen eine Datenverarbeitung ungeachtet der Richtlinie mittels automatisierter Verfahren erklärt werden, bei denen technische Spezifikationen verwendet werden. Hier geht es offenbar um Browsereinstellungen und -signale wie etwa ein „Do-notTrack“-Signal3, wobei nicht recht ersichtlich ist, inwieweit die Datenschutzrichtlinie für elektronische Kommunikation dem entgegenstehen könnte.

4 Gemäß Erwägungsgrund 173 soll die Datenschutzrichtlinie für elektronische

Kommunikation nach Annahme der DSGVO darauf überprüft werden, inwieweit sich aus der DSGVO ein Änderungsbedarf ergibt. Dazu hat die Kommission bereits eine öffentliche Konsultation in die Wege geleitet, die vom 12.4. bis 5.7.2016 lief4.

Artikel 96 Verhältnis zu bereits geschlossenen Übereinkünften Internationale Übereinkünfte, die die Übermittlung personenbezogener Daten an Drittländer oder internationale Organisationen mit sich bringen, die von den Mitgliedstaaten vor dem 24.5.2016 abgeschlossen wurden und die im Einklang mit dem vor diesem Tag geltenden Unionsrecht stehen, bleiben in Kraft, bis sie geändert, ersetzt oder gekündigt werden. 1 So anscheinend Albrecht, CR 2016, 88 (90) mit der Aussage, die Kommission habe sich nicht durchringen können, den Datenschutz in der elektronischen Kommunikation in die DSGVO einzubeziehen. 2 S. Keppeler, MMR 2015, 779 (780). 3 So Albrecht, CR 2016, 88 (93). 4 Nach Ablauf der Konsultationsfrist dürfte die Konsultation einstweilen noch auf der Website der DG Connect in der Rubrik „Consultations“ auffindbar sein.

1368

|

Jenny

Berichte der Kommission | Art. 97 DSGVO

Die Vorschrift trifft eine Übergangsregelung für internationale Übereinkünfte, 1 die von Mitgliedstaaten vor Inkrafttreten der DSGVO abgeschlossen wurden. Nach der Vorschrift bleiben solche Übereinkünfte in Kraft, wenn sie dem vor dem 24.5.2016 geltenden Unionsrecht entsprechen. Wie sich aus Erwägungsgrund 102 ergibt, sind die Mitgliedstaaten auch nach Inkrafttreten der Verordnung befugt, international Übereinkünfte mit Drittländern zu treffen, die eine Übermittlung von personenbezogenen Daten vorsehen. Sie haben dabei aber ab Inkrafttreten der Verordnung deren Vorgaben zu beachten und vor allem ein angemessenes Schutzniveau vorzusehen. Aus Erwägungsgrund 115 und Art. 48 kann abgeleitet werden, dass hier unter anderem an Rechtshilfeabkommen gedacht ist.

Artikel 97 Berichte der Kommission (1) Bis zum 25.5.2020 und danach alle vier Jahre legt die Kommission dem Europäischen Parlament und dem Rat einen Bericht über die Bewertung und Überprüfung dieser Verordnung vor. Die Berichte werden öffentlich gemacht. (2) Im Rahmen der Bewertungen und Überprüfungen nach Absatz 1 prüft die Kommission insbesondere die Anwendung und die Wirkungsweise a) des Kapitels V über die Übermittlung personenbezogener Daten an Drittländer oder an internationale Organisationen insbesondere im Hinblick auf die gemäß Artikel 45 Absatz 3 der vorliegenden Verordnung erlassenen Beschlüsse sowie die gemäß Artikel 25 Absatz 6 der Richtlinie 95/46/ EG erlassenen Feststellungen, b) des Kapitels VII über Zusammenarbeit und Kohärenz (3) Für den in Absatz 1 genannten Zweck kann die Kommission Informationen von den Mitgliedstaaten und den Aufsichtsbehörden anfordern. (4) Bei den in den Absätzen 1 und 2 genannten Bewertungen und Überprüfungen berücksichtigt die Kommission die Standpunkte und Feststellungen des Europäischen Parlaments, des Rates und anderer einschlägiger Stellen oder Quellen. (5) Die Kommission legt erforderlichenfalls geeignete Vorschläge zur Änderung dieser Verordnung vor und berücksichtigt dabei insbesondere die Entwicklungen in der Informationstechnologie und die Fortschritte in der Informationsgesellschaft. Die Vorschrift ist die Nachfolgeregelung zu Art. 33 EG-Datenschutzrichtlinie, 1 im Vergleich zu dieser aber deutlich ausführlicher und detaillierter. Die VorläuJenny

|

1369

Berichte der Kommission | Art. 97 DSGVO

Die Vorschrift trifft eine Übergangsregelung für internationale Übereinkünfte, 1 die von Mitgliedstaaten vor Inkrafttreten der DSGVO abgeschlossen wurden. Nach der Vorschrift bleiben solche Übereinkünfte in Kraft, wenn sie dem vor dem 24.5.2016 geltenden Unionsrecht entsprechen. Wie sich aus Erwägungsgrund 102 ergibt, sind die Mitgliedstaaten auch nach Inkrafttreten der Verordnung befugt, international Übereinkünfte mit Drittländern zu treffen, die eine Übermittlung von personenbezogenen Daten vorsehen. Sie haben dabei aber ab Inkrafttreten der Verordnung deren Vorgaben zu beachten und vor allem ein angemessenes Schutzniveau vorzusehen. Aus Erwägungsgrund 115 und Art. 48 kann abgeleitet werden, dass hier unter anderem an Rechtshilfeabkommen gedacht ist.

Artikel 97 Berichte der Kommission (1) Bis zum 25.5.2020 und danach alle vier Jahre legt die Kommission dem Europäischen Parlament und dem Rat einen Bericht über die Bewertung und Überprüfung dieser Verordnung vor. Die Berichte werden öffentlich gemacht. (2) Im Rahmen der Bewertungen und Überprüfungen nach Absatz 1 prüft die Kommission insbesondere die Anwendung und die Wirkungsweise a) des Kapitels V über die Übermittlung personenbezogener Daten an Drittländer oder an internationale Organisationen insbesondere im Hinblick auf die gemäß Artikel 45 Absatz 3 der vorliegenden Verordnung erlassenen Beschlüsse sowie die gemäß Artikel 25 Absatz 6 der Richtlinie 95/46/ EG erlassenen Feststellungen, b) des Kapitels VII über Zusammenarbeit und Kohärenz (3) Für den in Absatz 1 genannten Zweck kann die Kommission Informationen von den Mitgliedstaaten und den Aufsichtsbehörden anfordern. (4) Bei den in den Absätzen 1 und 2 genannten Bewertungen und Überprüfungen berücksichtigt die Kommission die Standpunkte und Feststellungen des Europäischen Parlaments, des Rates und anderer einschlägiger Stellen oder Quellen. (5) Die Kommission legt erforderlichenfalls geeignete Vorschläge zur Änderung dieser Verordnung vor und berücksichtigt dabei insbesondere die Entwicklungen in der Informationstechnologie und die Fortschritte in der Informationsgesellschaft. Die Vorschrift ist die Nachfolgeregelung zu Art. 33 EG-Datenschutzrichtlinie, 1 im Vergleich zu dieser aber deutlich ausführlicher und detaillierter. Die VorläuJenny

|

1369

Art. 98 DSGVO | Schlussbestimmungen fervorschrift hatte lediglich vorgesehen, dass die Kommission regelmäßig über die Anwendung der Richtlinie berichten sollte, und zwar erstmals drei Jahre nach Ablauf der Umsetzungsfrist. Dieser erste Bericht der Kommission zur Durchführung der EG-Datenschutzrichtlinie erschien mit etwa 18 Monaten Verspätung im Mai 20031. Weitere Berichte nach Art. 33 EG-Datenschutzrichtlinie hat die Kommission soweit ersichtlich nicht vorgelegt. Die konkrete Vorgabe an die Kommission, Berichte zur DSGVO im Vier-Jahres-Turnus statt lediglich „regelmäßig“ vorzulegen, kann man wohl als Reaktion darauf verstehen. In den Erwägungsgründen sind die Berichte nach Art. 97 nicht angesprochen.

Artikel 98 Überprüfung anderer Rechtsakte der Union zum Datenschutz Die Kommission legt gegebenenfalls Gesetzgebungsvorschläge zur Änderung anderer Rechtsakte der Union zum Schutz personenbezogener Daten vor, damit ein einheitlicher und kohärenter Schutz natürlicher Personen bei der Verarbeitung sichergestellt wird. Dies betrifft insbesondere die Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung solcher Daten durch die Organe, Einrichtungen, Ämter und Agenturen der Union und zum freien Verkehr solcher Daten. Schrifttum: Albrecht, Das neue EU-Datenschutzrecht – von der Richtlinie zur Verordnung, CR 2016, 88.

1 Auch wenn die DSGVO im Grunde eine Vollharmonisierung des unionsweit

anzuwendenden Datenschutzrechts anstrebt, bleiben einige Bereiche anderen Regelungen vorbehalten2. Der vorliegende Art. 98 enthält einen Arbeitsauftrag an die Kommission, diese Vorschriften zu überprüfen und nötigenfalls erforderliche Änderungsvorschläge zu unterbreiten. Zeitgleich mit der DSGVO erlassen wurden die Richtlinien 2016/6803 zur Datenverarbeitung durch Strafverfol-

1 Bericht der Kommission – Erster Bericht über die Durchführung der Datenschutzrichtlinie (EG 95/46), KOM/2003/0265 endg. vom 15.5.2003. 2 Kritisch zur Nichteinbeziehung der Verordnung (EG) 45/2001 sowie der Richtlinie 2002/ 58/EG Albrecht, CR 2016, 88, 90. 3 Richtlinie (EU) 2016/680 des Europäischen Parlaments und des Rates vom 27.4.2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates, ABl. EU Nr. L 119/89.

1370

|

Jenny

Art. 98 DSGVO | Schlussbestimmungen fervorschrift hatte lediglich vorgesehen, dass die Kommission regelmäßig über die Anwendung der Richtlinie berichten sollte, und zwar erstmals drei Jahre nach Ablauf der Umsetzungsfrist. Dieser erste Bericht der Kommission zur Durchführung der EG-Datenschutzrichtlinie erschien mit etwa 18 Monaten Verspätung im Mai 20031. Weitere Berichte nach Art. 33 EG-Datenschutzrichtlinie hat die Kommission soweit ersichtlich nicht vorgelegt. Die konkrete Vorgabe an die Kommission, Berichte zur DSGVO im Vier-Jahres-Turnus statt lediglich „regelmäßig“ vorzulegen, kann man wohl als Reaktion darauf verstehen. In den Erwägungsgründen sind die Berichte nach Art. 97 nicht angesprochen.

Artikel 98 Überprüfung anderer Rechtsakte der Union zum Datenschutz Die Kommission legt gegebenenfalls Gesetzgebungsvorschläge zur Änderung anderer Rechtsakte der Union zum Schutz personenbezogener Daten vor, damit ein einheitlicher und kohärenter Schutz natürlicher Personen bei der Verarbeitung sichergestellt wird. Dies betrifft insbesondere die Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung solcher Daten durch die Organe, Einrichtungen, Ämter und Agenturen der Union und zum freien Verkehr solcher Daten. Schrifttum: Albrecht, Das neue EU-Datenschutzrecht – von der Richtlinie zur Verordnung, CR 2016, 88.

1 Auch wenn die DSGVO im Grunde eine Vollharmonisierung des unionsweit

anzuwendenden Datenschutzrechts anstrebt, bleiben einige Bereiche anderen Regelungen vorbehalten2. Der vorliegende Art. 98 enthält einen Arbeitsauftrag an die Kommission, diese Vorschriften zu überprüfen und nötigenfalls erforderliche Änderungsvorschläge zu unterbreiten. Zeitgleich mit der DSGVO erlassen wurden die Richtlinien 2016/6803 zur Datenverarbeitung durch Strafverfol-

1 Bericht der Kommission – Erster Bericht über die Durchführung der Datenschutzrichtlinie (EG 95/46), KOM/2003/0265 endg. vom 15.5.2003. 2 Kritisch zur Nichteinbeziehung der Verordnung (EG) 45/2001 sowie der Richtlinie 2002/ 58/EG Albrecht, CR 2016, 88, 90. 3 Richtlinie (EU) 2016/680 des Europäischen Parlaments und des Rates vom 27.4.2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates, ABl. EU Nr. L 119/89.

1370

|

Jenny

Überprüfung anderer Rechtsakte der Union zum Datenschutz | Art. 98 DSGVO

gungsbehörden sowie 2016/681 zum Umgang mit Fluggastdaten1. Da sie zeitgleich mit der DSGVO erlassen wurden, dürfte hier ein Aktualisierungsbedarf nicht bestehen. Ebenfalls gemäß Art. 2 Abs. 3 vom Anwendungsbereich ausgenommen ist der Umgang mit personenbezogenen Daten durch die Organe, Einrichtungen, Ämter und Agenturen der Union, der in der Verordnung (EG) 45/2001 geregelt wird2. Weiter geht nach Art. 95 die Richtlinie 2002/58/EG in ihrem Anwendungsbereich der DSGVO vor (vgl. Komm. zu Art. 95 DSGVO). Aus Erwägungsgrund 17 bzw. 173 sowie Art. 2 Abs. 3 Satz 2 folgt ebenfalls der Auftrag an die Kommission, diese Vorschriften auf Änderungsbedarf zu überprüfen und ggf. Gesetzgebungsvorschläge dazu vorzulegen. Die DSGVO erwähnt weitere Vorschriften des Unionsrechts, die Regelungen zum 2 Umgang mit personenbezogenen Daten enthalten, und bei denen damit eine Überprüfung nach Art. 98 anstehen könnte. Dies sind: – Richtlinie 2000/31/EG über den elektronischen Geschäftsverkehr3, erwähnt in Erwägungsgrund 21 sowie Art. 2 Abs. 4, jeweils mit der Aussage, dass die Vorschriften zur Verantwortlichkeit der Vermittler in Art. 12–15 der Richtlinie unberührt bleiben, woraus sich folgern lässt, dass solche Vermittler keine Verantwortlichen Stellen oder Auftragsverarbeiter im Sinne der DSGVO sein sollen. – Richtlinie 2011/24/EU über die Ausübung der Patientenrechte in der grenzüberschreitenden Gesundheitsversorgung4, erwähnt in Erwägungsgrund 35 der DSGVO, der ausführt, dass im Zuge der Erbringung von Gesundheitsdienstleistungen erhobene Informationen über natürliche Personen als Gesundheitsdaten im Sinne der DSGVO anzusehen sind. Diese Richtlinie sieht in ihren Art. 4 Abs. 1 Buchst. f sowie Art. 5 Buchst. d Zugangsrechte der Patienten zu ihren Krankenakten vor. Ein Änderungsbedarf ergibt sich hier auf den ersten Blick nicht. 1 Richtlinie (EU) 2016/681 des Europäischen Parlaments und des Rates vom 27.4.2016 über die Verwendung von Fluggastdatensätzen (PNR-Daten) zur Verhütung, Aufdeckung, Ermittlung und Verfolgung von terroristischen Straftaten und schwerer Kriminalität, ABl. EU Nr. L 119/132. 2 Verordnung (EG) Nr. 45/2001 des Europäischen Parlaments und des Rates vom 18.12. 2000 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe und Einrichtungen der Gemeinschaft und zum freien Datenverkehr, ABl. EG Nr. L 8/1. 3 Richtlinie 2000/31/EG des Europäischen Parlaments und des Rates vom 8.6.2000 über bestimmte rechtliche Aspekte der Dienste der Informationsgesellschaft, insbesondere des elektronischen Geschäftsverkehrs, im Binnenmarkt („Richtlinie über den elektronischen Geschäftsverkehr“), ABl. EG Nr. L 178/1. 4 Richtlinie 2011/24/EU des Europäischen Parlaments und des Rates vom 9.3.2011 über die Ausübung der Patientenrechte in der grenzüberschreitenden Gesundheitsversorgung, ABl. Nr. L 88/45.

Jenny

|

1371

Art. 98 DSGVO | Schlussbestimmungen – Verordnung (EG) Nr. 1338/2008 zu Gemeinschaftsstatistiken über öffentliche Gesundheit und über Gesundheitsschutz und Sicherheit am Arbeitsplatz1, die laut Erwägungsgrund 54 der DSGVO für die Auslegung des Begriffs der „öffentlichen Gesundheit“ maßgeblich ist, wobei die Definition aus Art. 3 Buchst. c der Verordnung Nr. 1338/2008 im genannten Erwägungsgrund wiedergegeben ist. Zum Umgang mit personenbezogenen Daten enthält die Verordnung Nr. 1338/2008 in Art. 7 Abs. 1 den Auftrag an die Mitgliedstaaten, diese im Einklang mit den Grundsätzen der Richtlinie 95/46/EG zu schützen. – Richtlinie 2003/98/EG über die Weiterverwendung von Informationen des öffentlichen Sektors2, geändert durch Richtlinie 2013/37/EU3. Wie in Erwägungsgrund 154 erwähnt sind Dokumente, die aus Gründen des Datenschutzes nicht oder nur eingeschränkt zugänglich sind, von der Anwendung dieser Richtlinie ausgenommen. – Verordnung (EU) Nr. 536/2014 über klinische Prüfungen mit Humanarzneimitteln4, deren Bestimmungen gemäß Erwägungsgrund 161 der DSGVO für die Einwilligung in die Teilnahme an klinischen Prüfungen gelten sollen. Die Verordnung Nr. 536/2014 enthält dazu detaillierte Vorgaben. Vorgaben für den Umgang mit personenbezogenen Daten enthält die Verordnung Nr. 536/2014 in ihren Art. 56, 81 und 93. – Verordnung (EG) Nr. 223/2009 über europäische Statistiken5, die, wie in Erwägungsgrund 163 der DSGVO erwähnt, Regelungen zum Statistikgeheimnis enthält. Im Deutschen Recht ist die Regelung des Statistikgeheimnisses in § 16 Bundesstatistikgesetz sowie entsprechenden Landesgesetzen zu finden. 1 Verordnung (EG) Nr. 1338/2008 des Europäischen Parlaments und des Rates vom 16.12. 2008 zu Gemeinschaftsstatistiken über öffentliche Gesundheit und über Gesundheitsschutz und Sicherheit am Arbeitsplatz, ABl. EU Nr. L 119/1. 2 Richtlinie 2003/98/EG des Europäischen Parlaments und des Rates vom 17.11.2003 über die Weiterverwendung von Informationen des öffentlichen Sektors, ABl. Nr. L 345/90. 3 Richtlinie 2013/37/EU des Europäischen Parlaments und des Rates vom 26.6.2013 zur Änderung der Richtlinie 2003/98/EG über die Weiterverwendung von Informationen des öffentlichen Sektors, ABl. EU Nr. L 175/1. 4 Verordnung (EU) Nr. 536/2014 des Europäischen Parlaments und des Rates vom 16.4. 2014 über klinische Prüfungen mit Humanarzneimitteln und zur Aufhebung der Richtlinie 2001/20/EG, ABl. EU Nr. L 158/1. 5 Verordnung (EG) Nr. 223/2009 des Europäischen Parlaments und des Rates vom 11.3. 2009 über europäische Statistiken und zur Aufhebung der Verordnung (EG, Euratom) Nr. 1101/2008 des Europäischen Parlaments und des Rates über die Übermittlung von unter die Geheimhaltungspflicht fallenden Informationen an das Statistische Amt der Europäischen Gemeinschaften, der Verordnung (EG) Nr. 322/97 des Rates über die Gemeinschaftsstatistiken und des Beschlusses 89/382/EWG, Euratom des Rates zur Einsetzung eines Ausschusses für das Statistische Programm der Europäischen Gemeinschaften, ABl. EU Nr. L 87/164.

1372

|

Jenny

Inkrafttreten und Anwendung | Art. 99 DSGVO

Daneben wird das Recht der Europäischen Union noch an zahlreichen weiteren 3 Stellen Vorschriften zum Umgang mit personenbezogenen Daten enthalten. Eine Suche in der EUR-Lex-Datenbank zu Stichworten wie „Datenschutz“ oder auch „Richtlinie 95/46/EG“ liefert hunderte von Treffern. Angesichts dieses Umfangs ist in dieser Kommentierung eine Auswertung danach, ob und inwieweit in diesen Rechtsakten aufgrund der DSGVO ein Änderungsbedarf besteht, nicht leistbar.

Artikel 99 Inkrafttreten und Anwendung (1) Diese Verordnung tritt am zwanzigsten Tag nach ihrer Veröffentlichung im Amtsblatt der Europäischen Union in Kraft. (2) Sie gilt ab dem 25.5.2018. Die Vorschrift regelt das Inkrafttreten und den Beginn der Geltung der 1 DSGVO. Die Verordnung wurde am 4.5.2016 im Amtsblatt der EU veröffentlicht (ABl. Nr. L 119 vom 4.5.2016 S. 1), so dass sie am 24.5.2016 in Kraft getreten ist. Gelten soll die Verordnung jedoch erst zwei Jahre später, ab dem 25.5. 2018. Damit wird für Datenverarbeitungsmaßnahmen, die bereits andauern, ein zweijähriger Übergangszeitraum geschaffen (s. Erwägungsgrund 171), der in der Praxis auch dringend erforderlich ist. Bemerkenswerterweise sah die EG-Datenschutzrichtlinie seinerzeit für die Umsetzung längere Zeiträume vor, nämlich drei Jahre bzw. für manuelle Datenverarbeitungen sogar zwölf Jahre (s. Art. 32 Abs. 1 und Abs. 2 EG-Datenschutzrichtlinie). Die Unterscheidung zwischen Inkrafttreten einerseits und Geltung der 2 DSGVO andererseits lässt sich auf den Übergangszeitraum zurückführen. Die Verordnung verweist an mehreren Stellen auf den 24.5.2016 als Weichenstellung. Nach Art. 54 Abs. 1 Buchst. d kann die erste Amtszeit von Mitgliedern von Aufsichtsbehörden kürzer als die sonst vorgesehenen mindestens vier Jahre sein, „wenn eine zeitlich versetzte Ernennung zur Wahrung der Unabhängigkeit der Aufsichtsbehörde notwendig ist“. Gemäß Art. 92 Abs. 2 ist die Kommission ab dem 24.5.2016 zum Erlass von delegierten Rechtssetzungsakten ermächtigt (siehe näher dort). Nach Art. 96 ist der 24.5.2016 Stichtag für die Beurteilung von durch Mitgliedstaaten getroffenen internationalen Übereinkünften und darin vorgesehenen Datenübermittlungen (vgl. näher Komm. zu Art. 96 DSGVO). Statt der DSGVO gilt bis dahin noch die EG-Datenschutzrichtlinie und ist Maßstab für die Rechtmäßigkeit von Datenverarbeitungsvorgängen (vgl. auch Art. 94, wonach die EG-Datenschutzrichtlinie erst zum 25.5.2018 aufgehoben wird). In der Zusammenschau zeigt sich, dass die organisatorischen Regelungen der Verordnung sowie die in ihr enthaltenen Vorgaben für die Mitgliedstaaten ab dem Inkrafttreten verbindlich sein sollen. Für die Datenverarbeitung selbst gilt sie jedoch erst nach Ablauf des Übergangszeitraums. Jenny

|

1373

Inkrafttreten und Anwendung | Art. 99 DSGVO

Daneben wird das Recht der Europäischen Union noch an zahlreichen weiteren 3 Stellen Vorschriften zum Umgang mit personenbezogenen Daten enthalten. Eine Suche in der EUR-Lex-Datenbank zu Stichworten wie „Datenschutz“ oder auch „Richtlinie 95/46/EG“ liefert hunderte von Treffern. Angesichts dieses Umfangs ist in dieser Kommentierung eine Auswertung danach, ob und inwieweit in diesen Rechtsakten aufgrund der DSGVO ein Änderungsbedarf besteht, nicht leistbar.

Artikel 99 Inkrafttreten und Anwendung (1) Diese Verordnung tritt am zwanzigsten Tag nach ihrer Veröffentlichung im Amtsblatt der Europäischen Union in Kraft. (2) Sie gilt ab dem 25.5.2018. Die Vorschrift regelt das Inkrafttreten und den Beginn der Geltung der 1 DSGVO. Die Verordnung wurde am 4.5.2016 im Amtsblatt der EU veröffentlicht (ABl. Nr. L 119 vom 4.5.2016 S. 1), so dass sie am 24.5.2016 in Kraft getreten ist. Gelten soll die Verordnung jedoch erst zwei Jahre später, ab dem 25.5. 2018. Damit wird für Datenverarbeitungsmaßnahmen, die bereits andauern, ein zweijähriger Übergangszeitraum geschaffen (s. Erwägungsgrund 171), der in der Praxis auch dringend erforderlich ist. Bemerkenswerterweise sah die EG-Datenschutzrichtlinie seinerzeit für die Umsetzung längere Zeiträume vor, nämlich drei Jahre bzw. für manuelle Datenverarbeitungen sogar zwölf Jahre (s. Art. 32 Abs. 1 und Abs. 2 EG-Datenschutzrichtlinie). Die Unterscheidung zwischen Inkrafttreten einerseits und Geltung der 2 DSGVO andererseits lässt sich auf den Übergangszeitraum zurückführen. Die Verordnung verweist an mehreren Stellen auf den 24.5.2016 als Weichenstellung. Nach Art. 54 Abs. 1 Buchst. d kann die erste Amtszeit von Mitgliedern von Aufsichtsbehörden kürzer als die sonst vorgesehenen mindestens vier Jahre sein, „wenn eine zeitlich versetzte Ernennung zur Wahrung der Unabhängigkeit der Aufsichtsbehörde notwendig ist“. Gemäß Art. 92 Abs. 2 ist die Kommission ab dem 24.5.2016 zum Erlass von delegierten Rechtssetzungsakten ermächtigt (siehe näher dort). Nach Art. 96 ist der 24.5.2016 Stichtag für die Beurteilung von durch Mitgliedstaaten getroffenen internationalen Übereinkünften und darin vorgesehenen Datenübermittlungen (vgl. näher Komm. zu Art. 96 DSGVO). Statt der DSGVO gilt bis dahin noch die EG-Datenschutzrichtlinie und ist Maßstab für die Rechtmäßigkeit von Datenverarbeitungsvorgängen (vgl. auch Art. 94, wonach die EG-Datenschutzrichtlinie erst zum 25.5.2018 aufgehoben wird). In der Zusammenschau zeigt sich, dass die organisatorischen Regelungen der Verordnung sowie die in ihr enthaltenen Vorgaben für die Mitgliedstaaten ab dem Inkrafttreten verbindlich sein sollen. Für die Datenverarbeitung selbst gilt sie jedoch erst nach Ablauf des Übergangszeitraums. Jenny

|

1373

Telemediengesetz (TMG) vom 26. Februar 2007 (BGBl. I, S. 179), zuletzt geändert durch Artikel 4 des Gesetzes vom 17. Juli 2015 (BGBl. I, S. 1324) (Auszug)

Einleitung I. Das Telemediendatenschutzrecht als Teil des Telemediengesetzes . . . . . . . . . . . . . . . . . . II. Ausgewählte praktische Problemstellungen . . . . . . . . . 1. Datenschutznormen als Marktverhaltensregelung . . . . . . . . . .

2 5

2. Das Konzept des Verbots mit Erlaubnisvorbehalt . . . . . . . . . . 8 3. Datenschutz und Meinungsfreiheit . . . . . . . . . . . . . . . . . . 11 III. Ausblick auf die DSGVO . . . . . 12

6

Der Umgang mit personenbezogenen Daten im Bereich der Telemedien, d.h. ins- 1 besondere dem World Wide Web, steht in der Praxis unter dem Eindruck zweier medienspezifischer Phänomene. Zum einen ist bereits seit einiger Zeit eine außerordentliche „Mitteilungsfreudigkeit“ natürlicher Personen im Netz zu verzeichnen. So teilten im Jahr 2015 zwei Drittel aller Smartphone-Nutzer (63 %) ab 14 Jahren Fotos über soziale Netzwerke1. Zum anderen ist die Sensibilität gegenüber (vermeintlich) datenschutzrechtlich relevanten Handlungen stark gestiegen. Themen wie die Neuregelung der Vorratsdatenspeicherung, Anwendungen und Datenschutzbedingungen sozialer Netzwerke, NSA-Affäre, aber auch Datenschutzpannen bei Unternehmen sind inzwischen „tagesschautauglich“. So verzichten zwei Drittel (67 %) der Internetnutzer in Deutschland bewusst auf bestimmte Online-Dienste, wenn dort persönliche Daten angegeben werden müssen. Dabei geben lediglich 14 % der Internetnutzer an, Datenschutzerklärungen „aufmerksam und vollständig“ zu lesen. Knapp 80% willigen in eine Datennutzung ein, ohne die Datenschutzerklärung wirklich verstanden zu haben2.

I. Das Telemediendatenschutzrecht als Teil des Telemediengesetzes Die Zulässigkeit und Grenzen der „internetbezogenen“ Datenverarbeitung rich- 2 ten sich de lege lata nur teilweise nach dem BDSG. Im vierten Abschnitt des Telemediengesetzes (TMG)3 finden sich bereichsspezifische Regelungen für die 1 Quelle: BITKOM Research 2015, s. Presseinformation v. 5.10.2015. 2 Quelle: BITKOM Research 2015, s. Presseinformation v. 22.9.2015. 3 Gesetz v. 26.2.2007, BGBl. I 2007, S. 179.

Hullen/Roggenkamp

|

1375

TMG | Einleitung sog. Interaktionsebene zwischen den Anbietern von Telemedien und Nutzern (zum Anwendungsbereich näher Komm. zu § 11 TMG Rz. 2 ff.), die den allgemeinen Regeln des BDSG vorgehen: das Telemediendatenschutzrecht. Das Telemediengesetz selbst regelt neben dem telemedienspezifischen Datenschutz (§§ 11–15a) die Zulassungsfreiheit und Informationspflichten von Anbietern von Telemedien (§§ 4–6) und die „Verantwortlichkeit“ der Diensteanbieter (§§ 7–10)1. Außerdem enthält es Bestimmungen zum Anwendungsbereich, Begriffsbestimmungen und Bußgeldregelungen. 3 Das TMG ist eine nur teilweise modernisierte Melange aus verschiedenen Geset-

zen, insbesondere aus dem früheren Teledienstegesetz (TDG) und dem Teledienstedatenschutzgesetz (TDDSG). Letzteres galt lange Zeit als fortschrittliche Regelung, da es einen schlanken, knappen Rechtsrahmen bot und durch wegweisende Regelungen zum Systemdatenschutz eine fruchtbare Grundlage für die Entwicklung des „kommerziellen Internets“ darstellte2. Im Wesentlichen wurden die Regelungen des TDDSG aus dem Jahr 1997 in das TMG aus dem Jahr 2007 übernommen. Gleichzeitig wurde die Chance für eine bereits zu jenem Zeitpunkt fällige grundsätzliche Reform des Internet-Datenschutzes vertan3.

4 Das Telemediendatenschutzrecht vermag – wie auch das BDSG – längst nicht

mehr das notwendige Fundament der Rechtssicherheit für die aktuellen Entwicklungen der Praxis zu bilden. Insbesondere für die immer schneller fortschreitende Digitalisierung und Vernetzung des alltäglichen Lebens (bspw. in Hinblick auf Wearables, E-Health, Smart Home oder intelligente Mobilität) sowie des alltäglichen (internationalen) Datenaustauschs zwischen den Diensteanbietern hält das deutsche und europäische Datenschutzrecht kaum passende Lösungsansätze bereit. Die Folge ist eine hohe Rechtsunsicherheit sowohl auf Seiten des Bürgers, der nicht mehr weiß, was mit „seinen“ Daten geschieht, als auch auf Seiten der Diensteanbieter, die den Datenschutz zunehmend als Hemmschuh bei der Entwicklung neuer Geschäftsmodelle begreifen, weil regelmäßig nicht eindeutig erkennbar ist, welcher Umgang mit personenbezogenen Daten (noch) zulässig ist. Die Datenschutzdebatte lässt zeitweise an Sachlichkeit vermissen. Befindlichkeiten der jeweiligen Beteiligten (Datenschutzbehörden, Wirtschaft, Gesetzgeber) scheinen dabei z.T. einer interessengerechten Problemlösung übergeordnet zu werden. Vielversprechende Ansätze zur Regelung einzelner Problemfelder (z.B. durch „Privacy by default“) sind auf nationaler Ebene zwischen den Fronten der verschiedenen Interessenvertreter zerrieben worden4.

1 Hierzu ausführlich Heckmann/Roggenkamp/Stadler, Kap. 10. 2 Vgl. Roßnagel, NVwZ 2007, 743 (743). 3 So z.B. Hoeren, NJW 2007, 801 (804); im Einzelnen zu den wenigen Neuerungen Schöttler, jurisPR-ITR 7/2007 Anm. 4. 4 Vgl. zur BR-Drucks. 156/11 z.B. Roggenkamp, jurisPR-ITR 13/2011 Anm. 2.

1376

|

Hullen/Roggenkamp

Einleitung | TMG

II. Ausgewählte praktische Problemstellungen In der Praxis stellen sich, neben den in der Einzelkommentierung angesproche- 5 nen Sachverhalten, insbesondere die folgenden Fragen: 1. Datenschutznormen als Marktverhaltensregelung Ob Datenschutzregelungen ein marktverhaltensregelnder Charakter zukommt, 6 ist hoch umstritten. Bejahte man pauschal einen Marktbezug datenschutzrechtlicher Normen, wären Verstöße regelmäßig als unlauteres Handeln i.S.v. § 4 Nr. 11 UWG einzuordnen und könnten durch das Instrumentarium des § 8 Abs. 1 UWG sanktioniert werden. Insbesondere könnten Diensteanbieter, die in einem Wettbewerbsverhältnis zueinander stehen, Datenschutzverstöße durch Abmahnungen und einstweilige Verfügungen regulieren. Zahlreiche bis heute ungeklärte Rechtsfragen (bspw. nach dem Personenbezug von IP-Adressen) könnten auf diesem Wege schneller und effizienter geklärt werden, als es bislang der Fall ist. Diese Möglichkeit der effizienten Unterbindung von unlauteren Wettbewerbs- 7 vorteilen durch Missachtung des Datenschutzrechts1, die gleichzeitig auch einen Beitrag zur Verringerung des allseits beklagten Vollzugsdefizits im Bereich des Datenschutzrechts2 leisten könnte, ist indes nicht gegeben. Ob einer Datenschutzregelung marktverhaltensregelnder Charakter zukommt, ist vielmehr im Einzelfall zu ermitteln. Die Rechtsprechung der Instanzgerichte ist widersprüchlich (s.a. Komm. zu § 13 TMG Rz. 12)3. Grundsätzlich wohnt den datenschutzrechtlichen Regelungen des TMG ein Marktbezug inne, da die meisten in den Anwendungsbereich des TMG fallenden Internetseiten zu unmittelbar oder mittelbar wirtschaftlichen Zwecken eingerichtet wurden4. Oftmals wird ein Marktbezug in der Praxis aber pauschal und ohne nähere Begründung mit dem Hinweis darauf, dass das Recht auf informationelle Selbstbestimmung alleiniges Schutzziel des Datenschutzes sei, abgelehnt5. Dem kann zumindest bei der Verletzung von Normen wie dem § 15 Abs. 3, der ausdrücklich eine Verwendung von Daten zu Werbezwecken legitimiert, nicht gefolgt werden. Der Nutzer soll gerade in seiner Eigenschaft als Markteilnehmer vor Eingriffen in sein Recht auf informationelle Selbstbestimmung durch Diensteanbieter, die kommerzielle Internetseiten betreiben, geschützt werden. Obwohl einzelne Regelungen des TMG einen marktverhaltensregelnden Charakter aufweisen, ist insgesamt kaum 1 S. hierzu auch Huppertz/Ohrmann, CR 2011, 449. 2 Z.B. Härting, BB 2010, 839 (842). 3 S. z.B. LG Frankfurt v. 16.10.2014 – 2/3 O 27/14, K&R 2015, 142; OLG Hamburg v. 27.6. 2013 – 3 U 26/12, WRP 2013, 1203. 4 So auch Taeger/Gabel/Moos, Einleitung TMG Rz. 1. 5 Kritisch hierzu Hullen, AnwZert ITR 2/2011, Anm. 2; s.a. Schröder, ZD 2012, 193.

Hullen/Roggenkamp

|

1377

TMG | Einleitung mit einer Selbstregulierung des Marktes durch die Geltendmachung lauterkeitsrechtlicher Ansprüche zu rechnen. 7a Die Möglichkeit der Verfolgung von Datenschutzverstößen im Wege der Ab-

mahnung bzw. einstweiligen Verfügung wird jedoch durch das in Deutschland neu geschaffene Verbandsklagerecht im Bereich des Datenschutzes erheblich erweitert1. Dies ist u.a. im Hinblick auf die neuen Regelungen der DSGVO (s. Rz. 12), die z.T. für erhebliche Rechtsunsicherheit sorgen, problematisch. 2. Das Konzept des Verbots mit Erlaubnisvorbehalt

8 Das Konzept des Verbotsprinzips mit Erlaubnisvorbehalt ist, zumindest im

nicht-öffentlichen Bereich, zunehmender Kritik ausgesetzt2. Das BVerfG hat bereits im Volkszählungsurteil festgestellt, dass es einen absoluten Datenschutz nicht geben kann: „Der Einzelne hat nicht ein Recht im Sinne einer absoluten, uneinschränkbaren Herrschaft über ‚seine‘ Daten; er ist vielmehr eine sich innerhalb der sozialen Gemeinschaft entfaltende, auf Kommunikation angewiesene Persönlichkeit. Information, auch soweit sie personenbezogen ist, stellt ein Abbild sozialer Realität dar, das nicht ausschließlich dem Betroffenen allein zugeordnet werden kann. […] Grundsätzlich muß daher der Einzelne Einschränkungen seines Rechts auf informationelle Selbstbestimmung im überwiegenden Allgemeininteresse hinnehmen“3.

9 Das Verbotsprinzip bringt die sich im nicht-öffentlichen Bereich gegenüberste-

henden Schutzgüter, das allgemeine Persönlichkeitsrecht in der Ausgestaltung des Rechts auf informationelle Selbstbestimmung auf der einen, sowie Meinungsäußerungs- und Informationsfreiheit auf der anderen Seite, nur unzureichend in Einklang4. Dies zeigt sich u.a. in einer stetigen Nachbesserung von Ausnahmetatbeständen. Diese haben das Datenschutzrecht zu einem unübersichtlichen Regelwerk5 anwachsen lassen, welches die gesellschaftliche Realität im Internetzeitalter nur durch ein hohes Maß an Normenunklarheit zu beschreiben weiß.

10 Ein sich rapide wandelndes gesellschaftliches Informations- und Kommunikati-

onsverhalten ist durch ein starres Verbotsprinzip nur schwer zu regulieren. Dies zeigt sich deutlich in den kontroversen politischen und rechtlichen Diskussionen, u.a. über Plattformen im Internet, eine zunehmende Vernetzung von Menschen und Gegenständen (Internet der Dinge) oder über die Analyse von großen Datenbeständen (Big Data).

1 Durch das „Gesetz zur Verbesserung der zivilrechtlichen Durchsetzung von verbraucherschützenden Vorschriften des Datenschutzrechts“ v. 17.2.2016, BGBl. I, S. 233. 2 Schneider, AnwBl 2011, 233. 3 BVerfG v. 15.12.1983 – 1 BvR 209/83, 1 BvR 269/83, 1 BvR 362/83, 1 BvR 420/83, 1 BvR 440/83, NJW 1984, 419 (422) – Volkszählung. 4 Forgó, MMR 2010, 218. 5 Roßnagel, MMR 2005, 73.

1378

|

Hullen/Roggenkamp

Einleitung | TMG

3. Datenschutz und Meinungsfreiheit Das Internet dient – das wird aus den vorgenannten Beispielen deutlich – nicht 11 mehr nur vornehmlich der Information des Einzelnen. Vielmehr wird kommuniziert, interagiert und in großem Umfang Meinungsbildung „betrieben“. Bevor eine Kaufentscheidung getroffen wird, konsultieren viele Deutsche einschlägige Plattformen. Produkte, Dienstleistungen oder Geschäfte werden bewertet und die entsprechenden Erfahrungen über soziale Medien geteilt1. Nicht selten sind von diesen Meinungsäußerungen Dritte (z.B. Ärzte2, Lehrer3, Dienstleister jeglicher Art) betroffen, über die im Netz berichtet wird und die auf entsprechenden Portalen bewertet werden4. Aus datenschutzrechtlicher Perspektive werden unentwegt personenbezogene Daten erhoben, gespeichert und übermittelt. Dass dieser Dauerkonflikt zwischen informationeller Selbstbestimmung und Meinungsäußerungsfreiheit, die sowohl dem Äußernden als auch der Plattform zukommt, durch das geltende Recht nicht hinreichend abgebildet wird, zeigt sowohl der Fall der Lehrerbewertungsplattform spickmich.de5 als auch der Ärztebewertungsplattform jameda.de6. Bei dieser konnten die aus §§ 29 Abs. 2 Satz 4, 4d und 33 BDSG resultierenden Pflichten des Betreibers, die faktisch zu einer „Verunmöglichung“ des Geschäftsmodells geführt hätten, nur durch verfassungskonforme Auslegung7 reduziert werden.

III. Ausblick auf die DSGVO Im Januar 2012 hat die EU-Kommission Vorschläge für eine Reform der EG- 12 Datenschutzrichtlinie (Richtlinie 95/46/EG) aus dem Jahr 1995 vorgelegt8. Nach langen Verhandlungen ist die DSGVO am 24.5.2016 in Kraft getreten9. Sie gilt

1 Zu den mit gefälschten Bewertungen zusammenhängenden Problemen Krieg/Roggenkamp, K&R 2010, 689. 2 BGH v. 1.7.2014 – VI ZR 345/13, CR 2014, 597 – Ärztebewertung; BGH v. 23.9.2014 – VI ZR 358/13, CR 2014, CR 2015, 116 – Ärztebewertung II. 3 BGH v. 23.6.2009 – VI ZR 196/08, CR 2009, 593 – spickmich.de. 4 Hierzu Kühling, NJW 2015, 447; Ballhausen/Roggenkamp, K&R 2008, 403. 5 BGH v. 23.6.2009 – VI ZR 196/08, CR 2009, 593 – spickmich.de. 6 BGH v. 23.9.2014 – VI ZR 358/13, CR 2015, 116 – Ärztebewertung II. 7 Im Detail dazu Ballhausen/Roggenkamp, K&R 2008, 403 (408 f.). 8 KOM(2012) 11, Vorschlag für Verordnung des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutz-Grundverordnung). 9 Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (DatenschutzGrundverordnung), ABl. L 119 vom 4.5.2016, S. 1–88.

Hullen/Roggenkamp

|

1379

TMG | Einleitung ab dem 25.5.2018. Ziel der DSGVO1 ist die vollständige Harmonisierung des europäischen Datenschutzrechts2. Nach Auffassung der bis Mitte 2014 zuständigen Vizepräsidentin der EU-Kommission, Viviane Reding3, soll die DSGVO einen „modernen, stabilen, kohärenten und umfassenden Datenschutz-Rechtsrahmen für die Europäische Union“ bereitstellen. Das rechtliche Umfeld für Unternehmen und den öffentlichen Sektor soll „wesentlich vereinfacht“ werden4. 13 Da es sich bei der DSGVO um eine Verordnung i.S.d. Art. 288 Abs. 2 AEUV

handelt, hat diese unmittelbare Geltung in allen Mitgliedstaaten. Das Telemediendatenschutzrecht wird durch die Regelungen der Verordnung vollständig verdrängt. Das hat zur Folge, dass für „Telemediensachverhalte“ unabhängig von der Art der Daten (zur bisherigen Differenzierung s. Kommentierung zu § 11 TMG – insbesondere Komm. zu § 11 TMG Rz. 12) einheitlich die telemedienunspezifischen Regelungen der DSGVO gelten. Die Freude über diese vermeintliche Vereinfachung dürfte durch eine Reihe von Neuerungen getrübt werden5. Bspw. findet das anachronistische Schriftformerfordernis des § 4a BDSG in der DSGVO keine Entsprechung. Es ist jedoch vollkommen unklar, unter welchen Umständen künftig eine Einwilligung Bestand haben wird. So sorgen z.B. ein allgemeines Kopplungsverbot (Art. 7 Abs. 4 DSGVO), die Einführung eines „klaren Ungleichgewichts“ zwischen Betroffenen und Datenverarbeitern als Nichtigkeitsgrund für die Einwilligung (Erwägungsgrund 43 der DSGVO) oder die Möglichkeit des Widerrufs der Einwilligung (Art. 7 Abs. 3 DSGVO) für erhebliche Rechtsunsicherheit. Zwar ist ein Auskunftsanspruch zur Sicherung allgemeiner zivilrechtlicher Ansprüche nunmehr denkbar (vgl. zur Rechtslage de lege lata Komm. zu § 14 TMG Rz. 16 ff.), allerdings muss hier (weiterhin) zunächst der nationale Gesetzgeber tätig werden (vgl. Art. 21 Nr. 1 Buchst. g DSGVO). Die durch § 15 Abs. 3 geschaffene Möglichkeit der Nutzerprofilbildung zu Werbezwecken – bislang eine Widerspruchs- bzw. „Opt-Out“-Lösung (vgl. Komm. zu § 15 TMG Rz. 18 ff.) – entfällt. Ohne Einwilligung des Nutzers wird eine Profilbildung nur noch in dem Umfang möglich sein, in dem ein „legitimes Interesse“ des Diensteanbieters zu bejahen ist6. Wann dieses gegeben ist, wird erst die Zeit (und Rechtsprechung) zeigen.

1 Hierzu Hornung, ZD 2012, 99; Schneider/Härting, ZD 2012, 199; Kühling, EuZW 2012, 281. 2 Angesichts der Entscheidung EuGH v. 24.11.2011 – C-468/10 und C-469/10 – ASNEF (hierzu Schüßler, jurisPR-ITR 2/2012 Anm. 3) wird die Notwendigkeit einer Verordnung zu diesem Zweck hinterfragt. Die Regelungskompetenz der EU hinterfragt Giesen, CR 2012, 550. 3 Reding, ZD 2012, 195. 4 Eingehend zur Thematik Hullen, AnwZert ITR 13/2012, Anm. 2. 5 Exemplarisch nennt Keppeler die Abgrenzung zu den §§ 91 ff. TKG – Keppeler, MMR 2015, 779 (781). 6 Keppeler, MMR 2015, 779 (782).

1380

|

Hullen/Roggenkamp

Anbieter-Nutzer-Verhältnis | § 11 TMG

Abschnitt 4 Datenschutz

§ 11 Anbieter-Nutzer-Verhältnis (1) Die Vorschriften dieses Abschnitts gelten nicht für die Erhebung und Verwendung personenbezogener Daten der Nutzer von Telemedien, soweit die Bereitstellung solcher Dienste 1. im Dienst- und Arbeitsverhältnis zu ausschließlich beruflichen oder dienstlichen Zwecken oder 2. innerhalb von oder zwischen nicht öffentlichen Stellen oder öffentlichen Stellen ausschließlich zur Steuerung von Arbeits- oder Geschäftsprozessen erfolgt. (2) Nutzer im Sinne dieses Abschnitts ist jede natürliche Person, die Telemedien nutzt, insbesondere um Informationen zu erlangen oder zugänglich zu machen. (3) Bei Telemedien, die überwiegend in der Übertragung von Signalen über Telekommunikationsnetze bestehen, gelten für die Erhebung und Verwendung personenbezogener Daten der Nutzer nur § 15 Absatz 8 und § 16 Absatz 2 Nummer 4. I. II. 1. 2. 3.

Allgemeines . . . . . . . . . . . . . . Anwendungsbereich Telemedien . . . . . . . . . . . . . . . Anbieter-Nutzer-Verhältnis . . . Personenbezogene Daten (Abs. 1) . . . . . . . . . . . . . . . . . . 4. Nutzer (Abs. 1 i.V.m. Abs. 2) . . . 5. Ausgenommene Dienste (Abs. 1)

1 2 10 13 14 16

a) Zur Tätigkeitsausübung notwendige Dienste (Abs. 1 Nr. 1) b) Steuerung von Arbeitsoder Geschäftsprozessen (Abs. 1 Nr. 2) . . . . . . . . . . . 6. TK-Dienste (Abs. 3) . . . . . . . . . III. Grenzüberschreitende Sachverhalte . . . . . . . . . . . . . .

17 18 19 20

Schrifttum: Bender/Kahlen, Neues Telemediengesetz verbessert den Rechtsrahmen für Neue Dienste und Schutz vor Spam-Mails, MMR 2006, 590; Brosch/Hennrich, Der Personenbezug von IP-Adressen bei IPv6, AnwZert ITR 21/2011, Anm. 2; Ernst, Social Plugins: Der „Like-Button“ als datenschutzrechtliches Problem, NJOZ 2010, 1917; Freialdenhoven/Heinzke, Vergiss mich: Das Recht auf Löschung von Suchergebnissen, GRUR-Prax 2015, 119; Heidrich/Wegener, Sichere Datenwolken – Cloud Computing und Datenschutz, MMR 2010, 803; Hoeren, Anonymität im Web – Grundfragen und aktuelle Entwicklungen, ZRP 2010, 251; Jotzo, Gilt deutsches Datenschutzrecht auch für Google, Facebook & Co. Bei grenzüberschreitendem Datenverkehr?, MMR 2009, 232; Keppeler, Was bleibt vom TMG-Datenschutz nach der DSGVO? – Lösung und Schaffung von Abgrenzungsproblemen im Multimedia-Datenschutz, MMR 2015, 779; Krieg, Twitter und Recht, K&R

Hullen/Roggenkamp

|

1381

§ 11 TMG | Datenschutz 2010, 73; Krüger/Maucher, Ist die IP-Adresse wirklich ein personenbezogenes Datum? Ein falscher Trend mit großen Auswirkungen auf die Praxis, MMR 2011, 433; Kühling/Schall, WhatsApp, Skype & Co. – OTT-Kommunikationsdienste im Spiegel des geltenden Telekommunikationsrechts, CR 2015, 641; Kühling, Rückkehr des Rechts: Verpflichtung von „Google & Co.“ zu Datenschutz, EuZW 2014, 527; Maier/Ossoinig, Rechtsfragen und praktische Tipps bei der Ortung durch Smartphone-Apps, VuR 2015, 330; Martini/Fritzsche, Mitverantwortung in sozialen Netzwerken, NVwZ 2015, 1497; Petri, Datenschutzrechtliche Verantwortlichkeit im Internet, ZD 2015, 103; Roßnagel/Jandt, Rechtskonformes Direktmarketing – Gestaltungsanforderungen und neue Strategien für Unternehmen, MMR 2011, 86; Sachs, Datenschutzrechtliche Bestimmbarkeit von IP-Adressen, CR 2010, 547; Schleipfer, Das 3-Schichten-Modell des Multimediadatenschutzrechts, DuD 2004, 727; Schmidtmann/Schwiering, Datenschutzrechtliche Rahmenbedingungen bei SmartTV, ZD 2014, 448; Schmitz, Übersicht über die Neuregelung des TMG und des RStV, K&R 2007, 135; Schneider, WhatsApp & CO. – Dilemma um anwendbare Datenschutzregeln, ZD 2014, 231; Schöttler, Das neue Telemediengesetz (Teil 4) – Datenschutz, jurisPR-ITR 7/2007 Anm. 4; Schüßler, Facebook und der Wilde Westen – soziale Netzwerke und Datenschutz, in: Taeger (Hrsg.), Digitale Evolution, 2010, S. 233; Stadler, Verstoßen Facebook und Google Plus gegen deutsches Recht?, ZD 2011, 57; Steinrötter, Kollisionsrechtliche Bewertung der Datenschutzrichtlinie von IT-Dienstleistern – Uneinheitliche Spruchpraxis oder bloßes Scheingefecht?, MMR 2013, 691; von Lewinski, Staat als Zensurhelfer – Staatliche Flanierung der Löschpflichten Privater nach dem Google-Urteil des EuGH, AfP 2015, 1; Wendler/Günther, Europäischer Gerichtshof: Anwendungsbereich des nationalen Datenschutzrechts in Europa, PinG 2016, 115.

I. Allgemeines 1 Im vierten Abschnitt des Telemediengesetzes (TMG) finden sich spezifische Re-

gelungen zum Datenschutzrecht für den Bereich der sog. Telemedien. § 11 legt den Anwendungsbereich dieses Telemediendatenschutzrechts fest.

II. Anwendungsbereich 1. Telemedien 2 Das TMG, und somit auch der Abschnitt zum Datenschutz, adressiert grund-

sätzlich (zu Einschränkungen s. sogleich) alle Anbieter von Telemedien (zu grenzüberschreitenden Sachverhalten s. Rz. 20).

3 Ausweislich § 1 Abs. 1 Satz 2 ist das TMG nicht auf private Stellen beschränkt,

sondern gilt für alle Anbieter einschließlich der öffentlichen Stellen. Ein spezifischer, auf öffentliche Stellen zugeschnittener Datenschutzteil wie im BDSG existiert nicht.

4 Telemedien sind in § 1 Abs. 1 Satz 1 legaldefiniert als „alle elektronischen Infor-

mations- und Kommunikationsdienste, soweit sie nicht Telekommunikationsdienste nach § 3 Nr. 24 des Telekommunikationsgesetzes, die ganz in der Über-

1382

|

Hullen/Roggenkamp

Anbieter-Nutzer-Verhältnis | § 11 TMG

tragung von Signalen über Telekommunikationsnetze bestehen, telekommunikationsgestützte Dienste nach § 3 Nr. 25 des Telekommunikationsgesetzes oder Rundfunk nach § 2 des Rundfunkstaatsvertrages sind“. Der Begriff der elektronischen Informations- und Kommunikations-Dienste 5 (IuK-Dienste) steht als Oberbegriff über den Telekommunikationsdiensten (TKDienste), dem Rundfunk und den Telemediendiensten1. IuK-Dienste, die nicht ausschließlich TK-Dienste oder Rundfunk (vgl. § 2 RStV) 6 umfassen, sind als Telemedien einzustufen. Das sind in der Praxis alle Dienste, die die elektronische Bereitstellung von Inhalten zum Gegenstand haben, also vor allem Webseiten und andere im Internet erhältliche Inhaltsangebote2. Die Gesetzesbegründung nennt beispielhaft E-Commerce-Angebote wie OnlineShops, Video on Demand (soweit nicht als Fernsehdienst einzustufen), „Instrumente zur Datensuche, zum Zugang zu Daten oder zur Datenabfrage“ und Werbe-E-Mails3. Daneben sind Angebote wie Meinungsforen, Bewertungsplattformen, elektronische Anzeigenmärkte, Soziale Netzwerke, Internetbanking-Portale, Auktionsplattformen, Weblogs, Chatrooms, Online-Gewinnspiele, OnlineGlücksspiel, Online-Meinungsumfragen, Sharehoster, Newsgroups oder E-Government-Plattformen unproblematisch als Telemediendienste zu klassifizieren. Eine Interaktionsmöglichkeit des Nutzers ist nicht notwendig. Auch Dienste, die nur einseitig Informationen verbreiten (z.B. Werbeseiten) sind Telemediendienste4. Wie der Diensteanbieter sein Angebot technisch umsetzt, ist unerheblich. Ins- 7 besondere müssen keine eigenen Server betrieben werden. Ausreichend ist es, wenn der Diensteanbieter über den Inhalt und das Bereithalten des Angebots bestimmen kann5. Daher sind Angebote, die auf bereits bestehenden Plattformen errichtet werden, ebenfalls als eigenständige Telemedien einzustufen. So ist z.B. ein Auktionsangebot auf einer Auktionsplattform6, der Betrieb eines Unterangebots auf einer Verkaufsplattform (z.B. Amazon Marketplace, eBay Shops), eine Unternehmensseite in einem sozialen Netzwerk (z.B. eine sog. Fanpage7 bei Facebook8, ein Twitteraccount9 oder ein eigener YouTube-Kanal) als eigen1 2 3 4 5 6 7 8 9

BT-Drucks. 16/3078, S. 13. Spindler/Schuster/Ricke, § 1 TMG Rz. 5. BT-Drucks. 16/3078, S. 13 f. OLG Düsseldorf v. 18.12.2007 – I-20 U 17/07, MMR 2008, 682 (683). OLG Düsseldorf v. 18.12.2007 – I-20 U 17/07, MMR 2008, 682 (683); Heidrich/Wegener, MMR 2010, 803 (805). Z.B. OLG Frankfurt a.M. v. 6.3.2007 – 6 U 115/06, MMR 2007, 379. Vgl. LG Aschaffenburg v. 19.8.2011 – 2 HK O 54/11, juris m. Anm. Schüßler, jurisPR-ITR 23/2011, Anm. 4. Zur Frage, ob und bezüglich welcher Daten der Betreiber der sog. Fanpage verantwortliche Stelle i.S.d. § 3 Abs. 7 BDSG ist, Martini/Fritzsche, NVwZ 2015, 1497 (1498 ff.). Krieg, K&R 2010, 73 (74 f.); Krieg, AnwZert ITR 10/2009, Anm. 3.

Hullen/Roggenkamp

|

1383

§ 11 TMG | Datenschutz ständiger Telemediendienst einzustufen. Welches Endgerät zum Abruf der oben genannten Dienste genutzt wird, ist für die Beurteilung der Frage, ob ein Telemediendienst vorliegt, unerheblich. So sind neben auf dem Desktop- oder Laptop-PC auch auf Smartphones, Smart-TV1 und ähnlichen internetfähigen Geräten abrufbare Dienste als Telemedienste einzustufen. Ob der Abruf über einen Browser oder eine spezielle „App“ erfolgt, ist ebenfalls nicht entscheidend. 8 Reine Individualkommunikationsdienste (§ 3 Nr. 25 TKG – z.B. Sprachmehr-

wertdienste) sind hingegen mit dem TMG ausdrücklich aus dem Bereich der Telemedien herausgenommen worden. Die bis dahin bestehende Unklarheit, ob diese den TK-Diensten und zugleich den Tele- bzw. Mediendiensten zuzurechnen sind, sollte hierdurch beseitigt werden2. Gleiches gilt für TK-Dienste, die sich in der Übertragung von Signalen über Telekommunikationsnetze erschöpfen. Diese beurteilen sich ausschließlich nach dem TKG. TK-Dienste, die lediglich überwiegend in der Übertragung von Signalen über Telekommunikationsnetze bestehen, also neben der Übertragungsdienstleistung noch eine inhaltliche Dienstleistung anbieten, wie der Internet-Zugang und die E-Mail-Übertragung, sollen zugleich als Telemediendienste i.S.d. TMG eingeordnet werden. Die Datenschutzregelungen des TMG gelten für sie jedoch nicht (vgl. unten zu § 11 Abs. 3). Reine Internet-Telefonie (Voice over Internet Protocol – VoIP) ist nicht als Telemediendienst einzuordnen, solange kein äußerlich erkennbarer Unterschied zur herkömmlichen leitungsgebundenen Telefonie besteht3. Gleiches gilt nach hier vertretener Auffassung für sog. Messenger-Dienste (z.B. WhatsApp, Threema, SIMSme, etc.), die, ähnlich der SMS-Kommunikation, dem Austausch von Nachrichten zwischen Nutzern dienen4.

9 Cloud Computing Dienste können grundsätzlich den Regelungen des TMG

unterfallen5, da die Übertragung von Signalen, so sie überhaupt durch den Diensteanbieter selbst vorgenommen wird, regelmäßig nur eine Nebenleistung zu den bereitgestellten Inhalten oder Speicherkapazitäten ist6. Erst wenn die überwiegende Dienstleistung in der Übertragung von Signalen über TK-Netze besteht, was z.B. im Falle von Infrastructure-as-a-Service (IaaS) denkbar ist, fin-

1 Gemeinsame Position des Düsseldorfer Kreises und der Datenschutzbeauftragten der öffentlich-rechtlichen Rundfunkanstalten „Smartes Fernsehen nur mit smarten Datenschutz“ v. Mai 2014, Ziffer 2. 2 BT-Drucks. 16/3078, S. 13. 3 BT-Drucks. 16/3078, S. 13. 4 Für die Einordnung als TK-Dienst de lege lata Kühling/Schall, CR 2015, 641 (654); zurückhaltender Schneider, ZD 2014, 231. 5 So der Anwendungsbereich des TMG eröffnet ist, hat zur datenschutzrechtlichen Einordnung die Abgrenzung nach dem sog. Schichtenmodell zu erfolgen. Hierzu näher Rz. 12. 6 Heidrich/Wegener, MMR 2010, 803 (805); a.A. Spindler/Schuster/Spindler/Nink, § 14 TMG Rz. 4.

1384

|

Hullen/Roggenkamp

Anbieter-Nutzer-Verhältnis | § 11 TMG

det das TMG bzw. die TMG-Datenschutzregelungen keine bzw. nur eingeschränkte Anwendung. 2. Anbieter-Nutzer-Verhältnis Der Anwendungsbereich des Telemediendatenschutzes ist auf das Verhältnis 10 zwischen Telemediendiensteanbieter und Nutzer beschränkt. Ist der Betroffene nicht Nutzer (zum Begriff s. Rz. 14) des jeweiligen Telemediendienstes, greift das subsidiäre BDSG (vgl. § 1 Abs. 3 BDSG)1. Für die Frage ob die §§ 11 ff. Anwendung finden, ist es irrelevant, von wem bzw. 11 aus welcher Quelle der Diensteanbieter die Daten des Betroffenen erhalten hat. Ebenso wenig ist ausschlaggebend, ob der Diensteanbieter bereits über den Betroffenen vorliegende Daten (z.B. aus einem anderen Nutzungsverhältnis) verwendet. Ob der konkrete Umgang mit diesen Daten zulässig ist, bestimmt sich nach den Regelungen des TMG (vgl. z.B. zur Zusammenführung von Nutzungsdaten über die Inanspruchnahme verschiedener Telemedien § 15 Abs. 2). Im Übrigen erfolgt die Abgrenzung der Anwendungsbereiche der unter- 12 schiedlichen datenschutzrechtlichen Regelungen, in Betracht kommen BDSG, TMG und TKG, am sinnvollsten nach dem sog. Schichtenmodell2. Bei diesem wird der Umgang mit Daten im Internet auf drei Ebenen unterschieden: der Telekommunikationsebene bzw. Transportebene, der Interaktionsebene und der Inhaltsebene. Die Telekommunikationsebene umfasst den gesamten technischen „Unterbau“ der Kommunikation im Internet, d.h. z.B. die Leitungen, Netzknoten, aber auch E-Mail-Dienste3. Die einschlägigen datenschutzrechtlichen Regelungen für diese technische Ebene finden sich in den §§ 91 ff. TKG. Die dem vierten Abschnitt des TMG zuzuordnende Interaktionsebene bezeichnet die Ebene auf der Nutzer und Diensteanbieter interagieren, z.B. im Rahmen des Webauftritts eines Diensteanbieters. Sie umfasst alle mit der Nutzung des Dienstes unmittelbar in Zusammenhang stehenden personenbezogenen Daten. Die Inhaltsebene schließlich umfasst alle Daten, die im Rahmen des Dienstes anfallen bzw. letztlich nur mittels des Dienstes ausgetauscht werden. Dabei handelt es sich bspw. um die Bestellung bestimmter Waren, die Lieferadresse oder die Kreditkartendaten des Kunden die im Kontext des Einkaufs bei einem Online-Shop erhoben werden. Der Umgang mit diesen Daten unterliegt dem Regime des BDSG4. Können personenbezogene Daten sowohl der Interaktions- als auch der Inhaltsebene zugerechnet werden, ist auch die datenschutzrechtliche 1 Jandt, MMR 2006, 652 (656). 2 Ernst, NJOZ 2010, 1917 (1918); Schaar, Datenschutz im Internet, 2002, Rz. 247 ff.; Ballhausen/Roggenkamp, K&R 2008, 403 (407); Heckmann/Heckmann, Kap. 9 Rz. 44 f. (Stand: 30.6.2015); ausführlich Schleipfer, DuD 2004, 727 ff. 3 Schaar, Datenschutz im Internet, 2002, Rz. 249. 4 Ballhausen/Roggenkamp, K&R 2008, 403 (407).

Hullen/Roggenkamp

|

1385

§ 11 TMG | Datenschutz Behandlung geteilt. Das vorherrschende Rechtsregime zur Beurteilung der Zulässigkeit des Umgangs mit den Daten folgt aus dessen Zweckrichtung. Wird also bspw. der Name des Nutzers für Zwecke der Interaktion erhoben (z.B. als Benutzername) und genutzt, findet das TMG Anwendung. Wird der Name (auch) für den Zweck der Lieferung von Waren benötigt, bestimmt sich die datenschutzrechtliche Zulässigkeit der Erhebung und Verwendung nach dem BDSG, da der Zweck der Inhaltsebene zuzurechnen ist. 3. Personenbezogene Daten (Abs. 1) 13 Auch das Telemediendatenschutzrecht regelt – wie das BDSG – nur den Um-

gang mit personenbezogenen Daten. Es findet keine Anwendung auf sonstige, z.B. anonymisierte Daten. Im Bereich des TMG kommen die gleichen datenschutzrechtlichen Grundsätze wie im BDSG zur Anwendung. Daher meint der Begriff personenbezogene Daten entsprechend § 3 Abs. 1 BDSG auch im TMG „Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person“ (s. hierzu auch die Komm. zu § 3 BDSG Rz. 4 ff.). Einzelangaben sind Informationen, die sich auf eine bestimmte natürliche Person beziehen, oder geeignet sind, einen Bezug zu ihr herzustellen1. Es muss sich bei der Information um eine Information über den Betroffenen selbst oder über einen auf ihn beziehbaren Sachverhalt handeln, wobei „Mischinformationen“ möglich sind2. Wesentliches Element ist die Personenbeziehbarkeit des jeweiligen Datums. Diese ist nur dann gegeben, wenn sich das Datum auf eine bestimmte oder zumindest bestimmbare Person beziehen lässt. Wann dies der Fall ist, ist umstritten (vgl. zum Streitstand ausführlich die Komm. zu § 12 TMG Rz. 5 ff. sowie § 3 BDSG Rz. 14 ff.). 4. Nutzer (Abs. 1 i.V.m. Abs. 2)

14 Das Telemediendatenschutzrecht soll den einzelnen Nutzer eines Telemedien-

dienstes vor den Gefahren schützen, die eine Verarbeitung seiner personenbezogenen Daten im Internet mit sich bringen kann. Im Rahmen der Gesetzgebung wurde es für erforderlich gehalten, in § 11 Abs. 2 eine „für den Bereich des Datenschutzes notwendige Klarstellung“ zum Nutzerbegriff vorzunehmen, indem er festlegt, dass Nutzer i.S.d. Telemediendatenschutzrechts nur natürliche Personen sein können3. Damit wird gleichzeitig der Nutzerkreis enger gezogen als durch § 2 Nr. 3, der auch juristische Personen umfasst, sofern sie Telemedien nutzen um insbesondere Informationen zu erlangen oder zugänglich zu machen.

1 Gola/Schomerus/Gola/Klug/Körffer, § 3 BDSG Rz. 3. 2 Gola/Schomerus/Gola/Klug/Körffer, § 3 BDSG Rz. 5. 3 BT-Drucks. 16/3078, S. 15.

1386

|

Hullen/Roggenkamp

Anbieter-Nutzer-Verhältnis | § 11 TMG

Für die Einstufung als Nutzer ist es unerheblich, ob ein Vertragsverhältnis zwi- 15 schen Nutzendem und Diensteanbieter vorliegt oder ob die Inanspruchnahme bewusst oder gewissermaßen „im Verborgenem“ erfolgt1. Maßgeblich ist, ob eine natürliche Person ein Telemedium tatsächlich in Anspruch nimmt2. 5. Ausgenommene Dienste (Abs. 1) Nach Abs. 1 gelten die telemedienrechtlichen Datenschutzbestimmungen nicht 16 für die Erhebung und Verwendung personenbezogener Daten der Nutzer von Telemedien, soweit die Bereitstellung solcher Dienste im Dienst- und Arbeitsverhältnis zu ausschließlich beruflichen oder dienstlichen Zwecken erfolgt. Gleiches gilt, wenn die Bereitstellung der Telemediendienste innerhalb von oder zwischen nicht öffentlichen Stellen oder öffentlichen Stellen ausschließlich zur Steuerung von Arbeits- oder Geschäftsprozessen erfolgt. a) Zur Tätigkeitsausübung notwendige Dienste (Abs. 1 Nr. 1) Im Dienst- und Arbeitsverhältnis zu beruflichen Zwecken bereitgestellte Tele- 17 mediendienste sind alle vom abhängig Beschäftigten genutzten Dienste, die für die Ausübung seiner Tätigkeit notwendig sind3. Hierunter fallen z.B. Produktund Kundendatenbanken, Kalender, elektronische Akten und E-Learning-Plattformen. Die Bereitstellung muss ausschließlich für berufliche oder dienstliche Zwecke erfolgen und zulässig sein. Wird bspw. ein Mitarbeiterforum angeboten, welches auch privat genutzt werden darf, findet Telemediendatenschutzrecht Anwendung4. Ausschlaggebend ist die Festlegung des Arbeitgebers bzw. Dienstherren. Wenn die Nutzung der bereitgehaltenen Dienste für private Zwecke verboten wurde5, kommt das TMG auch dann nicht zur Anwendung, wenn Beschäftigte diese zu privaten Zwecken nutzen6. b) Steuerung von Arbeits- oder Geschäftsprozessen (Abs. 1 Nr. 2) Zur Steuerung von Arbeits- und Geschäftsprozessen verwendete Telemedien 18 unterliegen mit Blick auf die Erhebung und Verwendung personenbezogener Nutzerdaten ebenfalls nicht dem Telemediendatenschutz. Als Arbeits- und Ge1 Heckmann/Heckmann, Kap. 9 Rz. 113 (Stand: 30.6.2015). 2 Spindler/Schuster/Spindler/Nink, § 11 TMG Rz. 27. 3 Aufgrund der vergleichbaren Interessenlage sollen auch freie Mitarbeiter und Leiharbeiter unter diese Regelung fallen, s. Auernhammer/Schreibauer, § 11 TMG Rz. 17; Taeger/ Gabel/Moos, § 11 TMG Rz. 11. 4 Heckmann/Heckmann, Kap. 9 Rz. 103 (Stand: 30.6.2015). 5 Zu Regelungsmöglichkeiten der privaten Nutzung von E-Mail, Internet und TK und ihrer Durchsetzung instruktiv Braun/Spiegl, AiB 2008, 393. 6 Hoeren/Sieber/Schmitz, Teil 16.2 Rz. 120.

Hullen/Roggenkamp

|

1387

§ 11 TMG | Datenschutz schäftsprozesse werden alle Abläufe innerhalb einer Organisation oder zwischen Organisationen verstanden, die mit Hilfe einer Informationsinfrastruktur kontrolliert werden und dazu beitragen sollen, ein Arbeits- oder Geschäftsziel zu erreichen1. Abs. 1 Nr. 2 umfasst somit unterschiedlichste Abrechnungs- und Planungssysteme, die in Unternehmen zum Einsatz kommen2. Auch Telemediendienste, die im Umfeld von Industrie 4.0 angeboten werden, dienen in der Regel der Steuerung von Arbeits- oder Geschäftsprozessen. Die Nutzung derartiger Dienste, z.B. durch Mitarbeiter eines fremden Unternehmens, richtet sich nach dem BDSG3. 6. TK-Dienste (Abs. 3) 19 In § 11 Abs. 3 hat der Gesetzgeber mit dem TMG eine Ergänzung zum Gel-

tungsbereich der Datenschutzbestimmungen bei Telemediendiensten, die zugleich dem TK-Datenschutz unterliegen, geschaffen4. Um Rechtsklarheit und eine bessere Handhabung der Datenschutzvorschriften für diese Anbieter zu ermöglichen5, sind bis auf die Möglichkeit der Datenverarbeitung zur Bekämpfung von missbräuchlichen Nutzungen (§ 15 Abs. 8) und die dazugehörigen Sanktionen (§ 16 Abs. 2 Nr. 4) datenschutzrechtliche Regelungen des TMG nicht anwendbar. Für diese Mischangebote, exemplarisch genannt werden Internet-Access-Provider6 sowie Anbieter von E-Mail-Diensten7, gelten im Übrigen die Datenschutzvorschriften des TKG.

III. Grenzüberschreitende Sachverhalte 20 In § 3 Abs. 1 und 2 ist das sog. Herkunftslandprinzip festgeschrieben. Hiernach

müssen niedergelassene Diensteanbieter (§ 2a) nur die rechtlichen Anforderungen des Niederlassungsstaates erfüllen, auch wenn sie ihre Dienste in anderen Staaten innerhalb des Geltungsbereichs der ECRL (also die EU-Mitgliedstaaten und die EWR-Staaten8) anbieten9. Ausdrücklich vom Herkunftslandprinzip

1 2 3 4 5 6

Heckmann/Heckmann, Kap. 9 Rz. 107 (Stand: 30.6.2015). Ausführlich Taeger/Gabel/Moos, § 11 TMG Rz. 21. Spindler/Schuster/Spindler/Nink, § 11 TMG Rz. 26. BT-Drucks. 16/3078, S. 15. BT-Drucks. 16/3078, S. 15 f. Die reine Zugangsermöglichung fällt zutreffend jedoch nicht unter Abs. 3, da es hier nur um die technische Signalübermittlung geht, s. Taeger/Gabel/Moos, § 11 TMG Rz. 34. 7 BT-Drucks. 16/3078, S. 15. 8 Vgl. Beschl. des Gemeinsamen EWR-Ausschusses Nr. 91/2000 v. 27.10.2000 zur Änderung des Anhangs XI (Telekommunikationsdienste) des EWR-Abkommens, ABl. Nr. L 007 v. 11.1.2001, S. 13–14. 9 Heckmann/Heckmann, Kap. 1 Rz. 144 ff. (Stand 30.5.2015); MüKo-BGB/Martiny, § 3 TMG Rz. 7.

1388

|

Hullen/Roggenkamp

Anbieter-Nutzer-Verhältnis | § 11 TMG

nicht erfasst ist aber nach § 3 Abs. 3 Nr. 4 TMG das „für den Schutz personenbezogener Daten geltende Recht“. Daraus folgt, dass sich die Anwendung der Datenschutzvorschriften des vierten Abschnitts des TMG im internationalen Kontext nach den Regelungen der EG-Datenschutzrichtlinie und den allgemeinen Kollisionsvorschriften des BDSG richtet1. Art. 4 EG-Datenschutzrichtlinie und § 1 Abs. 5 BDSG regeln somit die internationale Anwendbarkeit der §§ 11 ff. TMG2. Daher ist auch im Bereich des Telemediendatenschutzrechts zunächst zu diffe- 21 renzieren, ob die verantwortliche Stelle ihren Sitz in einem EU/EWR-Mitgliedstaat hat oder in einem sog. Drittstaat (s. Komm. zu § 1 BDSG Rz. 49 ff.). Hat der Diensteanbieter seinen Sitz in einem EU/EWR-Staat, gilt das Daten- 22 schutzrecht des Sitzstaates (Sitzprinzip). Hat die verantwortliche Stelle ihren Sitz in einem anderen Mitgliedstaat, existiert jedoch eine Niederlassung in der Bundesrepublik Deutschland, ist auch in diesem Fall das deutsche Datenschutzrecht anwendbar, § 1 Abs. 5 Satz 1 BDSG3. Eine Niederlassung setzt nach Erwägungsgrund 19 der EG-Datenschutzrichtlinie 22a die effektive und tatsächliche Ausübung einer Tätigkeit mittels einer festen Einrichtung voraus, wobei es auf die Rechtsform der Niederlassung nicht ankommt. Der EuGH legt den Begriff der Niederlassung (Art. 4 Abs. 1 Buchst. a EG-Datenschutzrichtlinie und Erwägungsgrund 19 hierzu) weit aus4. Er folgt einer flexiblen Konzeption des Begriffs der Niederlassung und lehnt eine formalistische Betrachtungsweise (die z.B. auf eine Eintragung in ein Unternehmensregister abstellt) ab5. Bei der Beurteilung, ob von einer Niederlassung (und damit von der Anwend- 22b barkeit des Datenschutzrechts eines anderen Mitgliedstaates) auszugehen ist, ist der Grad der Beständigkeit der Einrichtung und die effektive Ausübung einer wirtschaftlichen Tätigkeit in einem anderen Mitgliedstaat zu betrachten. Dies gilt insbesondere für Unternehmen, die Leistungen ausschließlich über das Internet anbieten6. Das Vorhandensein eines einzigen Vertreters kann dabei u.U. schon ausreichend sein, um eine feste Einrichtung anzunehmen7. Jede tatsächliche und effektive Tätigkeit, auch wenn diese nur geringfügig ist, reicht aus, um die Annahme einer Niederlassung zu begründen. Bei der Beurteilung können 1 2 3 4

Taeger/Gabel/Moos, TMG Einführung Rz. 11. Jotzo, MMR 2009, 232 (234). S.a. OLG Schleswig v. 22.4.2014 – 4 MB 11/13, NJW 2013, 1977 (1977), Rz. 14. S. EuGH v. 13.5.2014 – C-131/12 – Google Spain und Google, Rz. 53 f; Wendler/Günther, PinG 2016, 115 (115). 5 EuGH v. 1.10.2015 – C-230/14 – Weltimmo, Rz. 29; s. hierzu auch Wendler/Günther, PinG 2016, 115 f. 6 EuGH v. 1.10.2015 – C-230/14 – Weltimmo, Rz. 29. 7 EuGH v. 1.10.2015 – C-230/14 – Weltimmo, Rz. 30.

Hullen/Roggenkamp

|

1389

§ 11 TMG | Datenschutz auch Umstände wie die Sprache einer Webseite und die (ausschließliche) Ausrichtung des Online-Angebots auf das Hoheitsgebiet eines Mitgliedstaates eine Rolle spielen1. Allein das Vorhalten technischer Einrichtungen (z.B. die Anmietung von Servern) reicht für die Annahme einer Niederlassung jedoch nicht aus, ebenso wenig die bloße Möglichkeit eine Webseite abzurufen2. Auch die Nutzung dieser Einrichtungen zum Umgang mit personenbezogenen Daten (z.B. Zwischenspeicherung von Nutzungsdaten) ist für die Annahme einer tatsächlichen Ausübung einer wirtschaftlichen Tätigkeit noch nicht ausreichend3. Das Unternehmen gilt in diesem Fällen als an dem Ort niedergelassen, an dem es seine Wirtschaftstätigkeit tatsächlich ausübt4. 22c Zudem müssen personenbezogene Daten im Rahmen der Tätigkeit der Nieder-

lassung in dem Mitgliedstaat verarbeitet werden, damit dessen Datenschutzvorschriften zur Anwendung kommen, Art. 4 Abs. 1 Buchst. a EG-Datenschutzrichtline. Die Daten müssen also nicht von der Niederlassung selbst verarbeitet werden. Ausreichend ist in diesem Zusammenhang bspw., dass sich die Niederlassung um die Vermarktung und den Verkauf von Online-Anzeigen für ein Online-Angebot kümmert, während die zugrundeliegende Datenverarbeitung von einem Mutterunternehmen betrieben wird, welches ihren Sitz in einem Drittland außerhalb der EU hat5.

23 Befindet sich der Sitz des Diensteanbieters in einem Drittstaat außerhalb der

EU bzw. des EWR kommt es für die Anwendbarkeit des TMG-Datenschutzrechts auf den Ort der Datenverarbeitung an (sog. Territorialitätsprinzip)6. In diesem Fall kann es ausreichen, wenn auf einem in der Bundesrepublik Deutschland bereitgehaltenen Server Daten erhoben, verarbeitet oder genutzt werden7. Die reine Durchleitung von Daten genügt hingegen nicht, vgl. § 1 Abs. 5 Satz 4 BDSG. 1 EuGH v. 1.10.2015 – C-230/14 – Weltimmo, Rz. 41; s.a. LG Berlin v. 30.4.2013 – 15 O 92/ 12 und LG Berlin v. 19.11.2013 – 15 O 402/12. 2 S. Erwägungsgrund 19 Richtlinie 2000/31/EG; s.a. Taeger/Gabel/Moos, TMG Einführung Rz. 14; Artikel-29-Datenschutzgruppe, Arbeitspapier 56 v. 30.5.2002, S. 9. 3 Vgl. Beispiel der Artikel-29-Datenschutzgruppe, Arbeitspapier 56 v. 30.5.2002, S. 9; a.A. Jotzo, MMR 2009, 232 (234). 4 Erwägungsgrund 19 Richtlinie 2000/31/EG. 5 EuGH v. 13.5.2014 – C-131/12 – Google Spain und Google, Rz. 55 f. In diesem Sinne auch OLG Schleswig v. 22.4.2014 – 4 MB 11/13, NJW 2013, 1977 (1977), Rz. 14. Ausführlich hierzu Auernhammer/von Lewinski, Vor. zu § 11 TMG, Rz. 27. 6 Taeger/Gabel/Moos, TMG Einführung Rz. 15; Gola/Schomerus/Gola/Klug/Körffer, § 1 BDSG Rz. 29. 7 Däubler/Klebe/Wedde/Weichert/Weichert, § 1 BDSG Rz. 17a. Dies kann u.U. anders zu beurteilen sein, wenn die Kontrolle über die Datenverarbeitung beim Nutzer liegt, s. Taeger/Gabel/Moos, TMG Einführung Rz. 15.

1390

|

Hullen/Roggenkamp

Grundsätze | § 12 TMG

Auch der Einsatz von Cookies und Java-Skripten, die jeweils auf dem Rechner 24 des Nutzers gespeichert bzw. ausgeführt werden, soll nach einer Ansicht eine Datenverarbeitung im Inland darstellen1. Dies würde jedoch dazu führen, dass auch Diensteanbieter deutsches Datenschutzrecht beachten müssten, die gar nicht die Intention haben, den deutschen Markt zu bedienen, weil es nur darauf ankäme, dass ein deutscher Nutzer auf ihr Angebot zugreift. Dafür gibt es keinen sachlichen Grund. Nur wenn sich das Telemedienangebot aus objektiver Sicht auch an Nutzer in Deutschland richtet, ist eine Unterwerfung unter das TMG-Datenschutzrecht gerechtfertigt. Als Indizien hierfür können z.B. ein deutschsprachiges Angebot oder eine deutsche Top-Level-Domain (.de) dienen2. Die bestimmungsgemäße Abrufbarkeit von personenbezogenen Daten eines Betroffenen in Deutschland reicht jedoch allein nicht aus, um die Anwendbarkeit deutschen Datenschutzrechts zu begründen3.

§ 12 Grundsätze (1) Der Diensteanbieter darf personenbezogene Daten zur Bereitstellung von Telemedien nur erheben und verwenden, soweit dieses Gesetz oder eine andere Rechtsvorschrift, die sich ausdrücklich auf Telemedien bezieht, es erlaubt oder der Nutzer eingewilligt hat. (2) Der Diensteanbieter darf für die Bereitstellung von Telemedien erhobene personenbezogene Daten für andere Zwecke nur verwenden, soweit dieses Gesetz oder eine andere Rechtsvorschrift, die sich ausdrücklich auf Telemedien bezieht, es erlaubt oder der Nutzer eingewilligt hat. (3) Soweit nichts anderes bestimmt ist, sind die jeweils geltenden Vorschriften für den Schutz personenbezogener Daten anzuwenden, auch wenn die Daten nicht automatisiert verarbeitet werden. I. Einführung . . . . . . . . . . . . . . . 1 II. Rechtmäßigkeit der Datenerhebung und -verwendung (Abs. 1) 2 1. Verbotsprinzip . . . . . . . . . . . . . 4 2. Personenbezogene Daten a) Allgemeines . . . . . . . . . . . . . 5 b) Personenbezug von IP-Adressen . . . . . . . . . . . . 10

3. 4. 5. III.

Bereitstellung von Telemedien Erlaubnistatbestände . . . . . . Einwilligung . . . . . . . . . . . . Zweckbindungsgrundsatz (Abs. 2) . . . . . . . . . . . . . . . . IV. Nicht-automatisierte Datenverarbeitung (Abs. 3) . . . . . .

. . 18 . . 19 . . 21 . . 24 . . 32

1 Taeger/Gabel/Moos, TMG Einführung Rz. 15. 2 Vgl. Däubler/Klebe/Wedde/Weichert/Weichert, § 1 BDSG Rz. 19. 3 So jedoch OLG Hamburg v. 2.8.2011 – 7 U 134/10, NJW-RR 2011, 1611 f.; zu Recht ablehnend Taeger/Gabel/Moos, TMG Einführung Rz. 15.

Hullen/Roggenkamp

|

1391

§ 12 TMG | Datenschutz Schrifttum: Bull, Persönlichkeitsschutz im Internet: Reformeifer mit neuen Ansätzen, NVwZ 2011, 257; Eckhardt, IP-Adressen als personenbezogenes Datum – neues Öl ins Feuer, CR 2011, 339; Härting, Datenschutz zwischen Transparenz und Einwilligung, CR 2011, 169; Hellmich/Hufen, Datenschutz bei mobilen Bezahlsystemen, K&R 2015, 688; Hinzpeter, Datenschutzrechtliche Anforderungen im Zusammenhang mit Apps, PinG 2015, 76; Hoeren, Google Analytics – datenschutzrechtlich unbedenklich?, ZD 2011, 3; Karg, Die Rechtsfigur des personenbezogenen Datums – Ein Anachronismus des Datenschutzes?, ZD 2012, 255; Krüger/Maucher, Ist die IP-Adresse wirklich ein personenbezogenes Datum? Ein falscher Trend mit großen Auswirkungen auf die Praxis, MMR 2011, 433; Lober/Falker, Datenschutz bei mobilen Endgeräten – Roadmap für App-Anbieter, K&R 2013, 357; Lorenz, Datenschutzrechtliche Einordnung der IP-Adresse, jurisPR-ITR 15/ 2011 Anm. 2; Meyerdierks, Sind IP-Adressen personenbezogene Daten?, MMR 2009, 8; Piltz, Der Like-Button von Facebook, CR 2011, 657; Piltz, Personenbeziehbarkeit statischer IP-Adressen – Datenschutzrechtliche Einordnung der Verarbeitung durch Betreiber von Webseiten, MMR 2013, 705; Nink/Pohle, Die Bestimmbarkeit des Personenbezugs – Von der IP-Adresse zum Anwendungsbereich der Datenschutzgesetze, MMR 2015, 563; Plath/Frey, Online-Marketing nach der BDSG-Novelle, CR 2009, 613; Schneider, WhatsApp & Co – Dilemma um anwendbare Datenschutzvorschriften, ZD 2014, 231; Schneider/ Härting, Warum wir ein neues BDSG brauchen, ZD 2011, 63; Stiemerling/Lachenmann, Erhebung personenbezogener Daten beim Aufruf von Webseiten – Notwendige Informationen in Datenschutzerklärungen, ZD 2014, 133; Voigt, Datenschutz bei Google, MMR 2009, 377; Voigt/Alich, Facebook-Like-Button und Co. – Datenschutzrechtliche Verantwortlichkeit der Webseitenbetreiber, NJW 2011, 3541; Wegener/Heidrich, Neuer Standard – Neue Herausforderungen: IPv6 und Datenschutz, CR 2011, 479; Wieczorek, Informationsbasiertes Persönlichkeitsrecht, DuD 2011, 476; Wieczorek, Wirksame Anonymisierung im Kontext von Big Data, PinG 2013, 65.

I. Einführung 1 Die Norm legt die Voraussetzungen für die rechtmäßige Erhebung und Verwen-

dung von personenbezogenen Daten zur Bereitstellung von Telemedien fest. Abs. 1 statuiert dabei ein Verbot mit Erlaubnisvorbehalt. Die Erhebung und Verwendung der Daten bedarf zu ihrer Zulässigkeit entweder der Legitimation durch einen gesetzlichen Erlaubnistatbestand oder der Einwilligung des Nutzers. Darüber hinaus bestimmt § 12, dass Daten, die für die Bereitstellung von Telemedien erhoben wurden, nur für diese Zwecke verwendet werden dürfen, soweit keine gesetzliche Ausnahme von diesem Zweckbindungsgrundsatz eingreift oder der Nutzer in die Zweckänderung eingewilligt hat (Abs. 2). Abs. 3 stellt klar, dass allgemeine Datenschutzvorschriften, insbesondere die des BDSG, gelten, soweit das TMG keine spezielleren Regelungen enthält1. Die Norm setzt Art. 7 (Zulässigkeit der Datenverarbeitung) und 6 Abs. 1 (Zweckbindung) der EG-Datenschutzrichtlinie in nationales Recht um.

1 Spindler/Schuster/Nink/Spindler, § 12 TMG Rz. 1.

1392

|

Hullen/Roggenkamp

Grundsätze | § 12 TMG

II. Rechtmäßigkeit der Datenerhebung und -verwendung (Abs. 1) Abs. 1 enthält die wesentlichen Grundregeln des telemedienbezogenen Daten- 2 schutzes, insbesondere das Verbot, Daten ohne Einwilligung des Nutzers oder einschlägigen Erlaubnistatbestand zu erheben und zu verwenden sowie die Begrenzung des Anwendungsbereichs auf Daten, die einen Personenbezug aufweisen. „Erheben“ meint gemäß § 3 Abs. 3 BDSG „das Beschaffen von Daten über den 3 Betroffenen“, d.h. im Bereich des Telemediendatenschutzes über den Nutzer (s. Komm. zu § 3 BDSG Rz. 30). Während im TDDSG noch von einer Verarbeitung (§ 3 Abs. 4 BDSG, s. Komm. zu § 3 BDSG Rz. 34) und Nutzung (§ 3 Abs. 5 BDSG, s. Komm. zu § 3 BDSG Rz. 53) der Daten gesprochen wurde, wurden im TMG aus Gründen der Vereinfachung beide Handlungen unter dem Begriff der Verwendung zusammengefasst. Eine inhaltliche Änderung ergab sich hierdurch jedoch nicht1. 1. Verbotsprinzip Abs. 1 enthält den datenschutzrechtlichen Grundsatz, dass die Erhebung bzw. 4 Verwendung von Daten mit Personenbezug (vgl. auch § 3 BDSG Rz. 4 ff.) verboten ist, soweit keine gesetzliche Legitimation in Form eines Erlaubnistatbestands greift oder eine Einwilligung des Nutzers vorliegt. Die Regelung entspricht somit den allgemeinrechtlichen Vorgaben des § 4 Abs. 1 BDSG (s. Komm. zu § 4 BDSG Rz. 2 ff.). 2. Personenbezogene Daten a) Allgemeines Das Datenverarbeitungsverbot mit Erlaubnisvorbehalt erstreckt sich nur auf 5 personenbezogene Daten i.S.v. § 3 Abs. 1 BDSG (s. Komm. zu § 3 BDSG Rz. 4 ff.). Hiernach fallen Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person in den Anwendungsbereich des § 12 Abs. 1. Ein Personenbezug liegt vor, wenn die jeweiligen Daten, gleich welcher Art oder Qualität, einem Individuum zugeordnet werden können. Umstritten ist dabei, unter welchen Voraussetzungen von einer Bestimmbarkeit der Person, auf die sich die jeweiligen Daten beziehen, auszugehen ist (zum Streitstand s. Komm. zu § 3 BDSG Rz. 4). Legt man einen subjektiven oder relativen Maßstab an, ist eine Bestimmbarkeit 6 nur dann gegeben, wenn der Diensteanbieter in der Lage ist, mit den ihm normalerweise zur Verfügung stehenden Hilfsmitteln unter vernünftigem Aufwand die Daten einem bestimmten Individuum zuordnen zu können. Kann er diese 1 BT-Drucks. 16/3078, S. 16.

Hullen/Roggenkamp

|

1393

§ 12 TMG | Datenschutz Zuordnung unter den genannten Bedingungen nicht selbst vornehmen, ist ein Personenbezug mangels Bestimmbarkeit durch den Diensteanbieter zu verneinen. Irrelevant ist es nach dieser Auffassung, dass ein Dritter die Person bestimmen könnte, weil sie über zusätzliches Wissen verfügt, die ihr diese Zuordnung ermöglicht. Das führt dazu, dass dasselbe Datum (z.B. eine IP-Adresse) für einen Diensteanbieter (z.B. einen Webseitenbetreiber) mangels Möglichkeit, den Individualbezug selbst herzustellen keinen, für einen anderen Diensteanbieter (z.B. den die IP-Adresse vergebenden Access-Provider) aber sehr wohl einen Personenbezug aufweisen kann (s.a. Rz. 10 ff.)1. 7 Einem objektiven oder absoluten Verständnis der Bestimmbarkeit nach ist für

die Beurteilung, ob ein Datum personenbezogen ist oder nicht, entscheidend, ob dieses durch einen beliebigen Dritten einem Individuum zugeordnet werden könnte2. Personenbezogen ist ein Datum nach dieser Auffassung immer dann, wenn es durch irgendjemanden einer bestimmten Person zugeordnet werden kann. Ob auch derjenige, der die Daten verarbeitet, die Möglichkeit hat, die Zuordnung zum jeweiligen Individuum nachvollziehen zu können, ist irrelevant.

8 Die absolute Auffassung kann mit Blick auf den Zweck des Datenschutzes

nicht überzeugen. Nur wenn derjenige, der die Daten erhebt und verwendet, einen Personenbezug herstellen kann, ist das allgemeine Persönlichkeitsrecht des Nutzers gefährdet. Die absolute Auffassung führt zu einer Erstreckung des Datenschutzrechts auf Lebenssachverhalte, die mangels realer Möglichkeit der Zuordnung von Daten zu Individuen keine Gefährdung des allgemeinen Persönlichkeitsrechts darstellen. Ein pauschales Verbot der Datenverarbeitung ist in diesen Fällen nicht zu rechtfertigen. Die Anhänger der absoluten Auffassung folgen selbiger häufig aus Gründen eines wohlwollend weit verstandenen Datenschutzes3. Die Erstreckung des Schutzbereichs der Datenschutzregelungen auf jegliche Daten, die in irgendeiner Weise einer natürlichen Person zugeordnet werden könnten, ist jedoch kein haltbarer Ansatz, da ein generelles Verbot die Möglichkeit eines gerechten Interessenausgleichs erheblich erschwert. Vielmehr obliegt es dem Gesetzgeber zu definieren, welche Bereiche aus Gründen des Persönlichkeitsschutzes zu reglementieren ist, wobei in Einzelfällen auch der Schutz nicht-personenbezogener Daten angezeigt sein kann4.

9 Häufig wird Erwägungsgrund 26 der EG-Datenschutzrichtlinie als Argumentati-

onsgrundlage für die absolute Auffassung herangezogen. Danach sind bei der Entscheidung, ob eine Person bestimmbar ist, auch Mittel eines Dritten, die ver1 Z.B. Auernhammer/Eßer, § 3 BDSG Rz. 29; Gola/Schomerus, § 3 BDSG Rz. 10; Roßnagel/ Scholz, MMR 2000, 721 (722); Meyerdierks, MMR 2009, 8 (12); Nink/Pohle, MMR 2015, 563 (564 f.); Voigt/Alich, NJW 2011, 3541 (3542 m.w.N.). 2 Däubler/Klebe/Wedde/Weichert/Weichert, § 3 BDSG Rz. 13. 3 Vgl. auch Voigt, MMR 2009, 377 (379). 4 So auch Krüger/Maucher, MMR 2011, 433 (437).

1394

|

Hullen/Roggenkamp

Grundsätze | § 12 TMG

nünftigerweise zur Individualisierung der Person verwendet werden könnten, zu berücksichtigen. Hieraus lässt sich jedoch nicht zwangsläufig folgern, dass das bloße Vorhandensein solcher Mittel eines Dritten zur Bejahung eines Personenbezugs ausreicht, wenn derjenige, der die Daten verarbeitet, nicht tatsächlich in der Lage ist, das Individuum, auf das sich die zu verarbeitenden Daten beziehen, mit Hilfe des Dritten zu identifizieren1. Der BGH hält Art. 2 Buchst. a EG-Datenschutzrichtlinie, der den Begriff der 9a personenbezogenen Daten auf unionsrechtlicher Ebene definiert, sowie den diesbezüglichen Erwägungsgrund 26 für nicht eindeutig2. Die Frage, ob der Personenbezug nach objektivem oder subjektivem Maßstab zu beurteilen ist, wurde daher dem EuGH zur Beantwortung vorgelegt3. In dem Schlussantrag geht der Generalanwalt von einem absoluten Personenbezug aus aus: „Daher komme ich zu einem ersten Ergebnis, dem zufolge Art. 2 Buchst. a der Richtlinie 95/46 dahin auszulegen ist, dass eine IP-Adresse, die ein Diensteanbieter im Zusammenhang mit einem Zugriff auf seine Internetseite speichert, für diesen ein personenbezogenes Datum darstellt, soweit ein Internetzugangsanbieter über das zur Identifizierung der betroffenen Person erforderliche Zusatzwissen verfügt“4. b) Personenbezug von IP-Adressen Weder die eine, noch die andere Meinung kann momentan als vorherrschend 10 bezeichnet werden. Im Bereich des Telemediendatenschutzes ist die Klärung der Frage nach dem Personenbezug insbesondere bei IP-Adressen praktisch relevant, da vor allem Betreiber von Webseiten diese aus unterschiedlichsten Gründen (z.B. zu Zwecken des Webtrackings5 bzw. zur Nutzungsanalyse) über den Nutzungsvorgang hinaus samt Zugriffszeit in sog. Logfiles speichern bzw. „loggen“. Eine IP-Adresse wird dem Anschluss eines Internetnutzers in der Regel bei jedem Verbindungsaufbau durch den Access-Provider zugewiesen, weshalb auch von einer „dynamischen“ IP-Adresse gesprochen wird6. Daneben existie1 S.a. Nink/Pohle, MMR 2015, 563 (564); im Ergebnis auch Taeger/Gabel/Buchner, § 3 BDSG Rz. 12; Meyerdierks, MMR 2009, 8 (12); Krüger/Maucher, MMR 2011, 433 (437). 2 BGH v. 28.10.2014 – VI 135/13, MMR 2015, 131 (131 f.), Rz. 28 ff. 3 BGH v. 28.10.2014 – VI 135/13, MMR 2015, 131 (131). 4 EuGH, C-582/14, Schlussanträge des Generalanwalts v. 12.5.2016, Rz. 78. 5 Zu Google Analytics vgl. die Komm. zu § 15 TMG Rz. 10. 6 Dies ist insbesondere dadurch bedingt, dass „nur“ knapp 4,3 Milliarden IP-Adressen der aktuellen Version IPv4 vorhanden sind. Den einzelnen Providern wird ein bestimmter Adressenblock zugewiesen, mit welchem sie „haushalten“ müssen. Im Rahmen der neuen Version IPv6 wird dieses Problem nicht mehr bestehen, weil dann 340 Sextillionen IPv6-Adressen zur Verfügung stehen. Es wird also theoretisch möglich sein, jedem mit dem Internet verbundenem Gerät dauerhaft eine IP-Adresse zuzuteilen. Hierzu näher Freund/Schnabel, MMR 2011, 495 ff.; Heckmann/Heckmann, Kap. 9 Rz. 150 (Stand 26.9.2015).

Hullen/Roggenkamp

|

1395

§ 12 TMG | Datenschutz ren auch „statische“ IP-Adressen, die dauerhaft einem bestimmten Anschluss (meist von juristischen Personen1) zugewiesen sind2. 11 Über die IP-Adresse ist der Anschluss bzw. der dahinterstehende Computer ein-

deutig durch Telemediendienste addressier- und erreichbar, da jede IP-Adresse zu jedem Zeitpunkt jeweils nur einem Computer zugeteilt wird3. Mit Hilfe der Informationen IP-Adresse, Uhrzeit und Kalenderdatum, also Informationen, die in den oben erwähnten Logfiles vorhanden sind, kann theoretisch herausgefunden werden, über wessen Anschluss zu einem bestimmten Zeitpunkt ein bestimmtes Telemedienangebot (bis hin zu einer bestimmten Webseite) aufgerufen wurde.

12 De facto ist dies dem Betreiber eines Telemediendienstes bei dynamischen IP-

Adressen jedoch nur möglich, wenn er die entsprechenden Informationen vom Access-Provider, der die IP-Adresse einem bestimmten Anschluss zugeteilt hat, erhält. An diesem Punkt setzen die Vertreter der relativen Auffassung an, die einer IP-Adresse dann den Personenbezug absprechen wollen, wenn sie durch einen Diensteanbieter erhoben und verwendet wird, der nicht mit dem die IP-Adresse vergebenden Access-Provider in Verbindung steht4. Der Diensteanbieter ist regelmäßig nicht in der Lage, den hinter der IP-Adresse stehenden Anschlussinhaber zu bestimmen, weshalb die Voraussetzung der „Bestimmbarkeit“ einer natürlichen Person i.S.d. § 3 Abs. 1 BDSG nicht gegeben wäre.

13 Die Sichtweise derjenigen, die einen Personenbezug von IP-Adressen relativ,

also abhängig von den Möglichkeiten des Diensteanbieters betrachten wollen, ist angesichts der mitunter bestehenden praktischen Notwendigkeit einer weitergehenden Nutzung der IP-Adresse, z.B. im Rahmen der Bannerwerbung5, auch in ihrer Motivation verständlich und nachvollziehbar. Dies gilt insbesondere vor dem Hintergrund, dass die in der Realität nur theoretische Gefährdung des Rechts auf informationelle Selbstbestimmung des Betroffenen gering erscheint.

14 In der Praxis ist zu beachten, dass eine gewichtige Gegenmeinung IP-Adressen als

personenbezogenes Datum einordnet und dementsprechend die Zulässigkeit ihrer Erhebung und Verwendung stets dem Regime des Datenschutzrechts unterordnet6. 1 2 3 4

Spindler/Schuster/Spindler/Nink, § 11 TMG Rz. 11. Ausführlich Meyerdierks, MMR 2013, 705 (705 ff.). Vgl. Meyerdierks, MMR 2009, 8 (8 f.). Krüger/Maucher, MMR 2011, 433 (436); Meyerdierks, MMR 2009, 8 (9 f.); Köcher, MMR 2007, 800 (801); Eckhardt, K&R 2007, 602 (602 f.); LG Berlin v. 31.1.2013 – 57 S 87/08, ZD 2013, 618; OLG Hamburg v. 3.11.2010 – 5 W 126/10, CR 2011, 126; AG München v. 30.9.2008 – 133 C 5677/08, MMR 2008, 860. 5 Krüger/Maucher, MMR 2011, 433 (439). 6 AG Berlin-Mitte v. 27.3.2007 – 5 C 314/06, CR 2008, 194 m. zust. Anm. Krieg, jurisPR-ITR 14/2007, Anm. 2; VG Wiesbaden v. 27.2.2009 – 6 K 1045/08.Wi, K&R 2009, 354; Karg, MMR 2011, 345 (346); Maaßen, GRUR-Prax 2010, 536 (536); Kitz, GRUR 2003, 1014 (1018); Nordemann/Dustmann, CR 2004, 380 (386); Spindler/Dorschel, CR 2005, 38 (44).

1396

|

Hullen/Roggenkamp

Grundsätze | § 12 TMG

Insbesondere vertritt sowohl das Bundesministerium der Justiz1, der Düsseldorfer Kreis2, der Arbeitskreis Medien der Datenschutzbeauftragten von Bund und Ländern3 und die Artikel-29-Datenschutzgruppe4 diese Auffassung. Mit Blick auf Erwägungsgrund 26 der EG-Datenschutzrichtlinie5 wird argumentiert, dass es für die Beurteilung der Bestimmbarkeit nicht nur auf die individuellen Möglichkeiten der speichernden Stelle ankommen soll (s. bereits Rz. 9). Der BGH hat sich bei der Frage, ob IP-Adressen personenbezogene Daten sind, 15 nicht positioniert6. Er hat vielmehr dem EuGH die Frage, ob in einem Log-File einer Webseite gespeicherte IP-Adressen personenbezogene Daten sind, zur Vorabentscheidung vorgelegt (s. Rz. 9a)7. Der 1. Senat lehnte zuvor in der Entscheidung „Sommer unseres Lebens“ einen Personenbezug ab, da die IP-Adresse einem Internet-Anschluss zugeordnet werden könne, nicht jedoch auf die Person schließen lasse, die diesen Anschluss auch tatsächlich nutzt8. Auch der 3. Senat hat diese Frage nicht entschieden, als er zu beurteilen hatte, wie lange IP-Adressen vom TK-Dienstleiter zu Abrechnungs- und Wartungszwecken gespeichert werden dürfen9. Der Personenbezug von (dynamischen) IP-Adressen stand hier außer Frage, da der (TK-)Diensteanbieter, der die IP-Adressen vergab, die Zuordnung zu einer bestimmten, ihm namentlich bekannten Anschlussinhaber selbst vornehmen konnte. Der EuGH ließ in seiner Entscheidung „Scarlet Extended SA“ die Frage unbeantwortet, ob IP-Adressen generell als personenbezogenes Datum eingeordnet werden müssen. In dem zugrunde liegenden Fall handelte es sich um IP-Adressen, deren Personenbezug problemlos vom Access-Provider selbst hergestellt werden konnte10. Eine entgültige Ent1 Schreiben an die Landesjustizverwaltungen v. 2.2.2009 – R B 3 – zu 4104/8 – 1 – R5 39/ 2008. 2 Vgl. Beschluss der obersten Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich am 26./27.11.2009 in Stralsund. 3 Arbeitskreis Medien, Orientierungshilfe zum Umgang mit personenbezogenen Daten bei Internetdiensten, Punkt 3.1 (Zugangs-Anbieter). 4 Artikel-29-Datenschutzgruppe, Stellungnahme 1/2008 zu Datenschutzfragen im Zusammenhang mit Suchmaschinen, WP 148, S. 9. 5 Dieser lautet „Bei der Entscheidung, ob eine Person bestimmbar ist, sollten alle Mittel berücksichtigt werden, die vernünftigerweise entweder von dem Verantwortlichen für die Verarbeitung oder von einem Dritten eingesetzt werden könnten, um die betreffende Person zu bestimmen. Die Schutzprinzipien finden keine Anwendung auf Daten, die derart anonymisiert sind, daß die betroffene Person nicht mehr identifizierbar ist.“ (Hervorhebung nur hier). 6 Unzutreffend Karg, MMR 2011, 345 (345). 7 BGH v. 28.10.2014 – VI 135/13, MMR 2015, 131 (131 ff). 8 BGH v. 12.5.2010 – I ZR 121/08, NJW 2010, 2061 (2062) – Sommer unseres Lebens. 9 BGH v. 13.1.2011 – III ZR 146/10, MMR 2011, 341–345 – Speicherung dynamischer IPAdressen. 10 EuGH v. 24.11.2011 – C-70/10, Scarlet Extended SA; ähnlich gelagert auch der Fall in EuGH v. 16.2.2012 – C-360/10, MMR 2012, 334 – Netlog.

Hullen/Roggenkamp

|

1397

§ 12 TMG | Datenschutz scheidung durch den EuGH steht bevor. Der Generalanwalt äußerte sich in dem vom BGH vorgelegten Fall eindeutig und befürwortet ein absolutes Verständnis des Personenbezugs (s. Rz. 9a). 16 Eine nicht von einer Einwilligung oder Rechtsnorm gedeckte Erhebung und

Verwendung von IP-Adressen ist somit in der Praxis aufgrund bislang noch fehlender höchstrichterlicher Entscheidung risikobehaftet (s. Rz. 9a)1. Zu befriedigen vermag dieses Ergebnis, welches einmal mehr zeigt, dass das „tradierte“ Datenschutzrecht den Anforderungen der Interaktion und Kommunikation im Zeitalter von Social Media und Web 2.0 nicht gerecht wird, nicht.

17 Auch IP-Adressen der Version IPv6 können statisch oder dynamisch vergeben

werden. Im Ergebnis sind IPv6-Adressen datenschutzrechtlich wie (statische oder dynamische) IPv4-Adressen zu behandeln2.

17a Auch SIM-Karten und Endgeräten zugewiesene Identifizierungscodes (wie

IMEI, UDID, DeviceID, IMSI oder MAC-Adresse)3 stellen nach der sog. relativen Auffassung des Personenbezugs allein, d.h. ohne weiteres Zusatzwissen, keine personenbezogene Daten dar4.

3. Bereitstellung von Telemedien 18 Das Datenverarbeitungsverbot mit Erlaubnisvorbehalt des § 12 Abs. 1 gilt nur

für personenbezogene Daten, die zur Bereitstellung von Telemedien erhoben und verwendet werden. Telemedien sind gemäß § 1 Abs. 1 Satz 1 alle „elektronischen Informations- und Kommunikationsdienste, soweit sie nicht Telekommunikationsdienste nach § 3 Nr. 24 des Telekommunikationsgesetzes, die ganz in der Übertragung von Signalen über Telekommunikationsnetze bestehen, telekommunikationsgestützte Dienste nach § 3 Nr. 25 des Telekommunikationsgesetzes oder Rundfunk nach § 2 des Rundfunkstaatsvertrages sind“ (s. hierzu auch Komm. zu § 11 TMG Rz. 2 ff.). Durch die Verwendung des Begriffs der Bereitstellung wollte der Gesetzgeber klarstellen, dass § 12 Abs. 1 auch zur Anwendung kommt, wenn das jeweilige Telemedium, bspw. nach entsprechender vertraglicher Bindung, vom Nutzer gar nicht in Anspruch genommen wird. Die noch in § 3 TDDSG verwendete Formulierung „zur Durchführung von Telediensten“ war insofern missverständlich5.

1 Vgl. aber auch die jüngeren Tendenz in der Rechtsprechung: OLG Hamburg v. 3.11.2010 – 5 W 126/10, CR 2011, 126–127. 2 Heckmann/Heckmann, Kap. 9 Rz. 150 (Stand 26.9.2015). 3 Eine Übersicht zu den gebräuchlichen Geräte- und Kartenkennungen findet sich bei Hellmich/Hufen, K&R 2015, 688 (693), Fn. 36. 4 Spindler/Schuster/Spindler/Nink, § 3 TMG Rz. 11. 5 BT-Drucks. 16/3078, S. 16.

1398

|

Hullen/Roggenkamp

Grundsätze | § 12 TMG

4. Erlaubnistatbestände Im TMG finden sich verschiedene Normen, die die Erhebung und Verwendung 19 von personenbezogenen Daten zur Bereitstellung von Telemediendiensten erlauben, ohne dass es hierfür auf eine Einwilligung des Nutzers ankommt. Die wichtigsten Erlaubnistatbestände finden sich in § 14 Abs. 1 zur Erhebung und Verwendung von Bestandsdaten sowie in § 15 Abs. 1 zur Erhebung und Verwendung von Nutzungs- und Abrechnungsdaten. Andere Rechtsvorschriften, also solche außerhalb des TMG, können ebenfalls 20 eine Erlaubnis i.S.d. Abs. 1 enthalten. Diese Rechtsvorschriften müssen sich jedoch ausdrücklich auf Telemedien beziehen (sog. Zitiergebot). Hierdurch wollte der Gesetzgeber das Verhältnis zwischen bereichsspezifischen Telemedien-Datenschutzregeln und denen des allgemeinen Datenschutzes im BDSG deutlicher herausstellen1. Wenn und soweit die bereichspezifischen Normbereiche des TMG eröffnet sind, handelt es sich um abschließende Regelungen. Die Anwendbarkeit von Erlaubnisnormen des BDSG, die sich nicht ausdrücklich auf Telemedien beziehen, ist somit ausgeschlossen. Dies gilt jedoch nicht für personenbezogene Daten wie Inhaltsdaten, die nicht „zur Bereitstellung von Telemedien“ erhoben oder verwendet werden, da die Subsidiaritätswirkung nur bei echter Tatbestandskonkurrenz eingreift2. 5. Einwilligung Als gleichwertige Alternative zu den dargestellten Erlaubnistatbeständen kann 21 die rechtmäßige Erhebung und Verwendung personenbezogener Daten auch aufgrund der Einwilligung des Nutzers erfolgen. Hierdurch wird es dem Diensteanbieter u.a. ermöglicht, Bestands- und Nutzungsdaten zu anderen als den in §§ 14 und 15 festgelegten Zwecken zu verwenden. Die Einwilligung des Nutzers muss den Vorgaben des § 4a BDSG (s.a. die 22 Komm. zu § 4a BDSG Rz. 23 ff.) entsprechen. Dieser bestimmt, dass die Einwilligung nur wirksam ist, wenn sie auf der freien Entscheidung des Betroffenen beruht. Der Betroffene ist auf den vorgesehenen Zweck der Erhebung, Verarbeitung oder Nutzung sowie ggf. auf die Folgen der Verweigerung der Einwilligung hinzuweisen. § 13 Abs. 2 (s. Komm. zu § 13 TMG Rz. 17) eröffnet abweichend zu § 4a Abs. 1 Satz 2 BDSG ausdrücklich die Möglichkeit, die Einwilligung unter den dort genannten Voraussetzungen elektronisch zu erklären, wovon im Rahmen der Nutzung von Telemedien regelmäßig Gebrauch gemacht wird3. Teilweise wird die Auffassung vertreten, dass die Einholung einer Einwilligung 23 zur Erhebung und Verwendung personenbezogener Daten ausscheide, falls die 1 Spindler/Schuster/Nink/Spindler, § 12 TMG Rz. 5. 2 Taeger/Gabel/Moos, § 12 TMG Rz. 20 m.w.N. 3 Spindler/Schuster/Nink/Spindler, § 12 TMG Rz. 3.

Hullen/Roggenkamp

|

1399

§ 12 TMG | Datenschutz Datenverarbeitung schon durch einen Erlaubnistatbestand legitimiert ist1. Durch die Möglichkeit der flankierenden Einwilligung werde dem Nutzer die Fehlvorstellung vermittelt, dass er über die Zulässigkeit der Erhebung und Verwendung seiner Daten frei entscheiden könne, obwohl die Datenverarbeitung bereits durch einen gesetzlichen Erlaubnistatbestand legitimiert sei2. Oftmals ist der Diensteanbieter jedoch auf die Einholung einer zusätzlichen, absichernden Einwilligung angewiesen, um sich überhaupt datenschutzrechtlich einwandfrei verhalten zu können. Dies gilt insbesondere in den vielfältigen Konstellationen, in denen (gerichtlich) ungeklärt ist, ob eine Datenerhebung bzw. -verwendung ohne Einwilligung überhaupt datenschutzrechtlich gestattet ist oder nicht. Fehlvorstellungen der Nutzer über die Möglichkeit der freien Entscheidung über die Datenverarbeitung trotz einschlägigem Erlaubnistatbestands lassen sich durch einen entsprechenden Hinweis, dass die Datenverarbeitung auch bei versagter Einwilligung aufgrund gesetzlicher Regelungen legitimiert sein kann, ausräumen (vgl. auch Komm. zu § 28 BDSG Rz. 9).

III. Zweckbindungsgrundsatz (Abs. 2) 24 Abs. 2 enthält den Grundsatz der Zweckbindung der (rechtmäßig) erhobenen

Daten. Hiernach dürfen personenbezogene Daten grundsätzlich nur zu dem Zweck verwendet werden, zu dem sie auch erhoben wurden.

25 Personenbezogene Daten, die für die Bereitstellung von Telemedien erhoben

wurden, dürfen demnach nicht zu einem unbestimmten Zweck und somit „auf Vorrat“ gespeichert werden. Gleiches gilt für die Verwendung zu einem Zweck, der nicht dem des jeweils einschlägigen Erlaubnistatbestands (s. Rz. 19 f.) bzw. dem Zweck, in den der Nutzer eingewilligt hat (s. Rz. 21 ff.), entspricht3.

26 Das enge Zweckbindungsgebot rechtfertigt sich dadurch, dass die Verwendung

bestimmter personenbezogener Daten in einem anderen Kontext einen ungleich stärkeren Eingriff in das allgemeine Persönlichkeitsrecht des Nutzers darstellen kann4. Die kurzzeitige Verwendung von Standortdaten zur Einblendung standortbezogener Werbung5 auf Smartphones weist bspw. eine andere Qualität auf, als die weitere Verwendung dieser Daten zur Erstellung eines langfristigen Bewegungsprofils des Nutzers.

1 S. Schneider/Härting, ZD 2011, 63 (65). 2 Simitis/Scholz/Sokol, § 4 BDSG Rz. 6. 3 Hoeren/Sieber/Schmitz, Multimedia-Recht, Teil 16.2 Rz. 162; BGH v. 1.7.2014 – VI ZR 345/13, NJW 2014, 2651 (2652) – Ärztebewertungsportal, Rz. 10. 4 So auch BVerfG v. 27.2.2008 – 1 BvR 370/07, 1 BvR 595/07, MMR 2008, 315 (317 f.) – Online-Durchsuchung. 5 Hierzu ausführlich Rammos, K&R 2011, 692 (695).

1400

|

Hullen/Roggenkamp

Grundsätze | § 12 TMG

Der Zweckbindungsgrundsatz ist für die Sicherung des Rechts auf informatio- 27 nelle Selbstbestimmung von grundlegender Bedeutung. Nur derjenige, der den Verwendungszweck seiner Daten kennt, kann selbst entscheiden, wann und innerhalb welcher Grenzen persönliche Lebenssachverhalte offenbart werden1. Zudem steigert die strenge Zweckbindung das Vertrauen in die Datenverarbeitung mittels informationstechnischer Systeme, die allgegenwärtig und in ihrer Bedeutung für die Persönlichkeitsentfaltung nicht zu unterschätzen sind2. Nutzer müssen sich darauf verlassen können, dass die personenbezogenen Daten, die sie Diensteanbietern zur Bereitstellung von Telemedien anvertrauen (müssen), nur zu den vorgegebenen Zwecken verwendet werden. Da im Rahmen der Nutzung hochkomplexer vernetzter Systeme einmal preisgegebene Daten vom Nutzer allein nicht mehr zu kontrollieren oder zu löschen sind, hat der Zweckbindungsgrundsatz einen hohen Stellenwert. Personenbezogene Daten, die für die Bereitstellung von Telemedien erhoben 28 wurden, d.h. insbesondere Bestands- sowie Nutzungs- und Abrechnungsdaten, dürfen für andere Zwecke nur verwendet werden, soweit dies durch das TMG, ein anderes Gesetz oder den Nutzer gestattet wird. Gesetzliche Regelungen, die eine Änderung des Verwendungszwecks der per- 29 sonenbezogenen Daten, die für die Bereitstellung von Telemedien erhoben wurden, erlauben, finden sich lediglich im TMG. Hierbei handelt es sich zum einen um § 14 Abs. 2 und § 15 Abs. 5 Satz 4, die die Verwendung von Bestands- bzw. Nutzungs- und Abrechnungsdaten zu Zwecken der Auskunftserteilung gestatten (vgl. Komm. zu § 14 TMG Rz. 16 ff.). Auch § 15 Abs. 8, der die Verwendung der Nutzungs- und Abrechnungsdaten zu Zwecken der Rechtsverfolgung regelt, stellt eine gesetzliche Erlaubnis zur zweckfremden Datenverwendung dar. Schließlich wird § 15 Abs. 4 Satz 2, der die Sperrung von Abrechnungsdaten bei Erfüllung von Aufbewahrungspflichten regelt, als ein entsprechender Erlaubnistatbestand zur Zweckänderung angesehen3. Vorschriften außerhalb des TMG, die eine Zweckänderung legitimieren, sind 30 bislang nicht ersichtlich. Solche Regelungen müssten sich aufgrund des nun in Abs. 1 festgeschriebenen Zitiergebots ausdrücklich auf Telemedien beziehen4. Ob zivilrechtliche Auskunftsansprüche, die z.B. aus dem Grundsatz von Treu und Glauben abgeleitet werden und sich nicht ausdrücklich auf Telemedien beziehen, trotzdem zu erfüllen sind, ist umstritten, im Ergebnis aber zu bejahen (hierzu näher Komm. zu § 14 TMG Rz. 20 ff.). Auf Zweckänderungsvorschriften 1 Vgl. BVerfG v. 15.12.1983 – 1 BvR 209/83, 1 BvR 269/83, 1 BvR 362/83, 1 BvR 420/83, 1 BvR 440/83, NJW 1984, 419 (421) – Volkszählung. 2 So auch BVerfG v. 27.2.2008 – 1 BvR 370/07, 1 BvR 595/07, juris Rz. 156 – Online-Durchsuchung. 3 Auernhammer/Schreibauer, § 12 TMG Rz. 12; Taeger/Gabel/Moos, § 12 TMG Rz. 26. 4 S. BGH v. 1.7.2014 – VI ZR 345/13, NJW 2014, 2651 (2652) – Ärztebewertungsportal, Rz. 10; anders noch § 3 Abs. 2 TDDSG.

Hullen/Roggenkamp

|

1401

§ 13 TMG | Datenschutz im eigentlichen Sinne, insbesondere auf die des BDSG, kann mangels Bezugs auf Telemedien nicht zurückgegriffen werden1. 31 Neben der gesetzlich legitimierten Zweckänderung steht es dem Nutzer frei, in

eine solche einzuwilligen. Insofern gelten die Grundsätze der Einwilligung i.S.d. Abs. 1 (s. Rz. 21).

IV. Nicht-automatisierte Datenverarbeitung (Abs. 3) 32 Abs. 3 stellt klar, dass allgemeine Datenschutzregeln, also insb. die des BDSG,

gelten, soweit das TMG keine telemedienspezifischen Regelungen trifft2. Dies gilt jedoch nur, „soweit nichts anderes bestimmt ist“. Da eine andere Bestimmung bislang nicht existiert, besitzt diese Ausnahmeregelung keine Relevanz3.

33 Die Bestimmungen des TMG sollen dabei auch im Falle einer nicht-automati-

sierten Datenverarbeitung (siehe hierzu § 3 Abs. 2 Satz 1 BDSG) zur Anwendung kommen4. Die Fälle, in denen telemedienbezogene Daten papiergestützt verarbeitet werden, dürften jedoch höchst selten sein. Die praktische Relevanz dieser Regelung ist daher gering5.

§ 13 Pflichten des Diensteanbieters (1) 1Der Diensteanbieter hat den Nutzer zu Beginn des Nutzungsvorgangs über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten sowie über die Verarbeitung seiner Daten in Staaten außerhalb des Anwendungsbereichs der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24.10.1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (ABl. EG Nr. L 281 S. 31) in allgemein verständlicher Form zu unterrichten, sofern eine solche Unterrichtung nicht bereits erfolgt ist. 2Bei einem automatisierten Verfahren, das eine spätere Identifizierung des Nutzers ermöglicht und eine Erhebung oder Verwendung personenbezogener Daten vorbereitet, ist der Nutzer zu Beginn dieses Verfahrens zu unterrichten. 3Der Inhalt der Unterrichtung muss für den Nutzer jederzeit abrufbar sein. 1 2 3 4 5

Heckmann/Heckmann, § 12 TMG Rz. 184. So die Begründung zum nahezu identischen § 1 Abs. 2 TDDSG, BT-Drucks. 13/7385. Taeger/Gabel/Moos, § 13 TMG Rz. 30. Heckmann/Heckmann, § 12 TMG Rz. 189. Taeger/Gabel/Moos, § 13 TMG Rz. 29.

1402

|

Hullen/Roggenkamp

Pflichten des Diensteanbieters | § 13 TMG

(2) Die Einwilligung kann elektronisch erklärt werden, wenn der Diensteanbieter sicherstellt, dass 1. der Nutzer seine Einwilligung bewusst und eindeutig erteilt hat, 2. die Einwilligung protokolliert wird, 3. der Nutzer den Inhalt der Einwilligung jederzeit abrufen kann und 4. der Nutzer die Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen kann. (3) 1Der Diensteanbieter hat den Nutzer vor Erklärung der Einwilligung auf das Recht nach Absatz 2 Nr. 4 hinzuweisen. 2Absatz 1 Satz 3 gilt entsprechend. (4) 1Der Diensteanbieter hat durch technische und organisatorische Vorkehrungen sicherzustellen, dass 1. der Nutzer die Nutzung des Dienstes jederzeit beenden kann, 2. die anfallenden personenbezogenen Daten über den Ablauf des Zugriffs oder der sonstigen Nutzung unmittelbar nach deren Beendigung gelöscht oder in den Fällen des Satzes 2 gesperrt werden, 3. der Nutzer Telemedien gegen Kenntnisnahme Dritter geschützt in Anspruch nehmen kann, 4. die personenbezogenen Daten über die Nutzung verschiedener Telemedien durch denselben Nutzer getrennt verwendet werden können, 5. Daten nach § 15 Abs. 2 nur für Abrechnungszwecke zusammengeführt werden können und 6. Nutzungsprofile nach § 15 Abs. 3 nicht mit Angaben zur Identifikation des Trägers des Pseudonyms zusammengeführt werden können. 2An die Stelle der Löschung nach Satz 1 Nr. 2 tritt eine Sperrung, soweit einer Löschung gesetzliche, satzungsmäßige oder vertragliche Aufbewahrungsfristen entgegenstehen. (5) Die Weitervermittlung zu einem anderen Diensteanbieter ist dem Nutzer anzuzeigen. (6) 1Der Diensteanbieter hat die Nutzung von Telemedien und ihre Bezahlung anonym oder unter Pseudonym zu ermöglichen, soweit dies technisch möglich und zumutbar ist. 2Der Nutzer ist über diese Möglichkeit zu informieren. (7) 1Diensteanbieter haben, soweit dies technisch möglich und wirtschaftlich zumutbar ist, im Rahmen ihrer jeweiligen Verantwortlichkeit für geschäftsmäßig angebotene Telemedien durch technische und organisatorische Vorkehrungen sicherzustellen, dass 1. kein unerlaubter Zugriff auf die für ihre Telemedienangebote genutzten technischen Einrichtungen möglich ist und Hullen/Roggenkamp

|

1403

§ 13 TMG | Datenschutz 2. diese a) gegen Verletzungen des Schutzes personenbezogener Daten und b) gegen Störungen, auch soweit sie durch äußere Angriffe bedingt sind, gesichert sind. 2Vorkehrungen nach Satz 1 müssen den Stand der Technik berücksichtigen. 3Eine Maßnahme nach Satz 1 ist insbesondere die Anwendung eines als sicher anerkannten Verschlüsselungsverfahrens. (8) 1Der Diensteanbieter hat dem Nutzer nach Maßgabe von § 34 des Bundesdatenschutzgesetzes auf Verlangen Auskunft über die zu seiner Person oder zu seinem Pseudonym gespeicherten Daten zu erteilen. 2Die Auskunft kann auf Verlangen des Nutzers auch elektronisch erteilt werden. I. Einführung . . . . . . . . . . . . . . II. Pflicht zur Unterrichtung (Abs. 1) . . . . . . . . . . . . . . . . . 1. Allgemeine Informationspflicht (Satz 1) . . . . . . . . . . . . . . . . . 2. Unterrichtung bei Möglichkeit nachträglicher Nutzeridentifizierung (Satz 2) . . . . . . III. Einwilligung (Abs. 2) . . . . . . . 1. Eindeutige und bewusste Einwilligung (Abs. 2 Nr. 1) . . . 2. Protokollierung der Einwilligung (Abs. 2 Nr. 2) . . . . . . . . 3. Jederzeitige Abrufmöglichkeit (Abs. 2 Nr. 3) . . . . . . . . . . . . . 4. Widerrufsmöglichkeit (Abs. 2 Nr. 4) . . . . . . . . . . . . . 5. Beweislast/Double-Opt-in . . . . IV. Hinweis auf Möglichkeit des Widerrufs (Abs. 3) . . . . . . . . . V. Technische und organisatorische Vorkehrungen durch den Diensteanbieter (Abs. 4)

1 3 4 13 17 18 25 26 27 28 30

1. Jederzeitiger Nutzungsabbruch (Nr. 1) . . . . . . . . . . . . . . . . . . 2. Löschungspflicht (Nr. 2) . . . . . 3. Vertraulichkeitsschutz (Nr. 3) 4. Getrennte Datenverwendung (Nr. 4) . . . . . . . . . . . . . . . . . . 5. Zusammenführung von Abrechnungsdaten (Nr. 5) . . . . 6. Re-Identifizierung bei Nutzerprofilen (Nr. 6) . . . . . . . . . . . . VI. Weitervermittlung an andere Diensteanbieter (Abs. 5) . . . . VII. Anonyme und pseudonyme Nutzungsmöglichkeit (Abs. 6) VIII. IT-Sicherheit (Abs. 7) . . . . . . 1. Anwendbarkeit . . . . . . . . . . . . 2. Sicherheitsvorkehrungen . . . . . IX. Auskunftspflicht (Abs. 8) . . . . X. Sanktionen . . . . . . . . . . . . . .

33 34 35 36 37 38 39 40 43a 43b 43d 44 47

31

Schrifttum: Albrecht, Anonyme oder pseudonyme Nutzung sozialer Netzwerke? – Ein Beitrag zu § 13 Abs. 6 Satz 1 TMG, AnwZert ITR 1/2011, Anm. 2; Brosch, Die Umsetzung der Cookie-Richtlinie, AnwZert ITR 16/2011, Anm. 2; Caspar, Klarnamenpflicht versus Recht auf pseudonyme Nutzung, ZRP 2015, 233; Düsseldorfer Kreis, Orientierungshilfe zu den Datenschutzanforderungen an App-Entwickler und App-Anbieter v. 16.6.2014; Djeffal, Neue Sicherungspflicht für Telemediendiensteanbieter – Webseitensicherheit jetzt Pflicht nach dem IT-Sicherheitsgesetz, MMR 2015, 716; Eckhardt, Datenschutzerklärungen und Hinweise auf Cookies, ITRB 2005, 46; Fischl, Ein neues Rezept für Kekse?, K&R 2011, Heft 6, Editorial; Gennen/Kremer, Social Networks und der Datenschutz, ITRB 2011,

1404

|

Hullen/Roggenkamp

Pflichten des Diensteanbieters | § 13 TMG 59; Gerlach, Sicherheitsanforderungen für Telemediendienste – der neue § 13 VII TMG, CR 2015, 581; Härting, Datenschutz zwischen Transparenz und Einwilligung, CR 2011, 169; Härting, Anonymität und Pseudonymität im Datenschutzrecht, NJW 2013, 2065; Habermalz, Die datenschutzrechtliche Einwilligung des Beschäftigten, JurPC Web-Dok. 132/ 2011; Heckmann, Smart Life – Smart Privacy Management, K&R 2011, 1; Hinzpeter, Datenschutzrechtliche Anforderungen im Zusammenhang mit Apps, PinG 2015, 76; Hornung, Neue Pflichten für Betreiber kritischer Infrastrukturen: Das IT-Sicherheitsgesetz des Bundes, NJW 2015, 3334; Iraschko-Luscher/Kiekenbeck, Datenschutz im Internet – Widerspruch oder Herausforderung?, RDV 2010, 261; Karthäuser/Klar, Wirksamkeitskontrolle von Einwilligungen auf Webseiten, ZD 2014, 500; Krieg, „Like-Button“ nicht wettbewerbswidrig, K&R 2011, 356; Lienemann, What’s the Way the Cookie Crumbles? Umsetzung der E-Privacy Richtlinie in der Europäischen Union, K&R 2011, 609; Krüger/Maucher, Ist die IP-Adresse wirklich ein personenbezogenes Datum?, MMR 2011, 433; Lorenz, Anonymität im Internet? – Zur Abgrenzung von Diensteanbietern und Nutzern, VuR 2014, 83; Moser, ID Tracking or How Privacy strengthens Monopolies, PinG 2014, 57; Raabe/Lorenz, Die datenschutzrechtliche Einwilligung im Internet der Dienste, DuD 2011, 279; Richter, Ein anonymes Impressum? – Profile in sozialen Netzwerken zwischen Anbieterkennzeichnung und Datenschutz, MMR 2014, 517; Roggenkamp, Elektronische Einwilligung in Datenverarbeitung, AnwZert ITR 22/2011, Anm. 2; Roggenkamp, Neue datenschutzrechtliche Pflichten für User Generated Content Plattformen? – Der Gesetzentwurf des Bundesrates zur Änderung des TMG vom 17.6.2011 (BR-Drucks. 156/11), jurisPR ITRecht 13/2011, Anm. 2; Roßnagel/Scholz, Datenschutz durch Anonymität und Pseudonymität – Rechtsfolgen der Verwendung anonymer und pseudonymer Daten, MMR 2000, 721; Schneider, Europäische Kommission bestätigt Umsetzung der ePrivacy-Richtlinie in Deutschland, PinG 2014, 115; Schröder, Datenschutzrechtliche Fragen beim Einsatz von Flash-Cookies – Ist ein rechtssicherer Einsatz von Cookies vor dem Hintergrund der EUPrivacy-Richtlinie möglich?, ZD 2011, 59; Schütze, Bundestag beschließt IT-Sicherheitsgesetz: Änderungen des TMG betrifft Webseitenbetreiber, ZD-Aktuell 2015, 04755; Schulz, Privacy by Design, CR 2012, 204; Solove, Privacy by Design: 4 Key Points, PinG 2015, 191; Stadler, Verstoßen Facebook und Google Plus gegen deutsches Recht?, ZD 2011, 57; Steinhoff, „Recht auf anonymes Fernsehen“ – datenschutzrechtliche Forderung in den Grenzen der technischen Möglichkeiten, jurisPR-DSR 1/2015 Anm. 3; Stiemerling/ Lachenmann, Erhebung personenbezogener Daten beim Aufruf von Webseiten – Notwendige Informationen in Datenschutzerklärungen, ZD 2014, 133; Wieczorek, Informationsbasiertes Persönlichkeitsrecht, DuD 2011, 476; Zscherpe, Anforderungen an die datenschutzrechtliche Einwilligung im Internet, MMR 2004, 723.

I. Einführung § 13 enthält die grundlegenden datenschutzrechtlichen Handlungspflichten 1 des Diensteanbieters. Im Einzelnen handelt es sich um die Verpflichtung zur umfassenden Unterrichtung der Nutzer über die Erhebung und Verwendung ihrer personenbezogen Daten (sog. Datenschutzerklärung – Abs. 1), die Voraussetzungen für elektronische Einwilligungserklärungen einschließlich flankierender Hinweispflichten (Abs. 2 und 3), zwingend zu treffende technische und organisatorische Maßnahmen (Abs. 4), die Anzeigepflicht bei Weitervermittlung Hullen/Roggenkamp

|

1405

§ 13 TMG | Datenschutz zu einem anderen Diensteanbieter (Abs. 5), die Ermöglichung der anonymen oder pseudonymen Nutzung und Bezahlung des Dienstes (Abs. 6), Maßnahmen der IT-Sicherheit (Abs. 7) sowie die Auskunftspflicht (Abs. 8). 2 § 13 setzt verschiedene Regelungen der EG-Datenschutzrichtlinie um, ins-

besondere Art. 10 (Informationspflicht), Art. 7 (Einwilligung), Art. 17 (technisch-organisatorischen Maßnahmen) und Art. 12 (Auskunftsrecht).

2a Durch das IT-Sicherheitsgesetz vom 17.7.20151 wurde ein neuer Abs. 7 ein-

gefügt, der zum 25.7.2015 in Kraft getreten ist. Er statuiert technische und organisatorische Sicherheitsmaßnahmen für geschäftsmäßig angebotene Telemedien und bezweckt die Eindämmung von Schadsoftware (s. Rz. 43a)2. Die Auskunftspflicht (Abs. 7 a.F.) ist nun in Abs. 8 geregelt.

II. Pflicht zur Unterrichtung (Abs. 1) 3 Abs. 1 regelt die Unterrichtungspflicht des Diensteanbieters und soll dem Nut-

zer einen umfassenden Überblick über die Datenerhebung und -verwendung ermöglichen. Zeitpunkt, Umfang und Form der Information durch den Diensteanbieter sollen den „besonderen Risiken der Datenverarbeitung im Netz“ Rechnung tragen3. Die Unterrichtungspflicht soll für Transparenz4 sorgen und den Nutzer in die Lage versetzen, sein Recht auf informationelle Selbstbestimmung auszuüben und dessen Wahrung durch den Diensteanbieter kontrollieren zu können5. Bestrebungen, zusätzliche Informationspflichten, wie die Benennung Dritter, an die personenbezogene Daten (zulässigerweise) übermittelt werden dürfen, über die zuständige Aufsichtsbehörde und besondere Hinweise bei der Nutzung von Sozialen Netzwerken, konnten nicht im TMG verankert werden6.

1. Allgemeine Informationspflicht (Satz 1) 4 Durch Abs. 1 Satz 1 wird der Diensteanbieter verpflichtet, den Nutzer zu Beginn

des Nutzungsvorgangs über Art, Umfang und Zweck der Erhebung sowie über

1 Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) v. 17.7.2015, BGBl. I S. 1324. 2 BT-Drucks. 18/4096, S. 34. 3 BT-Drucks. 13/7385, S. 22. 4 BT-Drucks. 14/6098, S. 28, zur zentralen Bedeutung der Transparenz im Datenschutz vgl. auch Wieczorek, DuD 2011, 476 (480). 5 So auch Spindler/Schuster/Nink/Spindler, § 13 TMG Rz. 3. 6 Ein entsprechender Gesetzesantrag des Landes Hessen wurde auf Bundesebene abgelehnt. Zu den überwiegend begrüßenswerten Änderungsvorschlägen s. BR-Drucks. 156/11, ausführlich hierzu Roggenkamp, jurisPR-ITR 13/2011, Anm. 2.

1406

|

Hullen/Roggenkamp

Pflichten des Diensteanbieters | § 13 TMG

die Verwendung seiner personenbezogen Daten zu informieren. Zusammen mit der Angabe, ob solche Daten in Staaten, die nicht dem Anwendungsbereichs der EG-Datenschutzrichtlinie unterfallen, verarbeitet werden, stellt die Unterrichtung nach Abs. 1 Satz 1 die sog. Datenschutzerklärung dar. Wird dieser Pflicht nicht nachgekommen, handelt der Dienstanbieter ordnungswidrig (vgl. § 16 Abs. 2 Nr. 2) und die Datenverarbeitung ist unzulässig. Der Inhalt der Datenschutzerklärung muss wahr und vollständig sein, d.h. er- 5 schöpfend über Art, Umfang und Zweck der Erhebung und Verarbeitung informieren1. Sinnvollerweise kann dabei auf die in § 3 Abs. 3–6a BDSG normierten Schritte der Datenerhebung- und -verwendung zurückgegriffen werden. Insbesondere im Rahmen von sog. Social Plugins („Like-Button“) kann dies problematisch sein2. In welchem Detaillierungsgrad die Datenarten anzugeben sind, ist nicht nor- 6 miert. Jedoch empfiehlt es sich aus Gründen der Transparenz, die zu erhebenden Daten möglichst einzeln aufzuzählen. Weniger detaillierte Begriffe zur Beschreibung der Datenarten können jedoch gewählt werden, wenn dies der Beibehaltung der Übersichtlichkeit und Verständlichkeit der Datenschutzerklärung dient und das Recht auf informationelle Selbstbestimmung des Nutzers hierdurch nicht beeinträchtigt wird. Der in der Praxis noch immer zu findende pauschale Verweis auf die Einhaltung der rechtlichen Regelungen zum Datenschutz genügt der Informationspflicht aus Abs. 1 Satz 1 in keinem Fall3. Weiterhin verpflichtet Satz 1 den Diensteanbieter, die Nutzer darüber zu infor- 7 mieren, wenn deren personenbezogene Daten in Staaten, die nicht dem Anwendungsbereich der EG-Datenschutzrichtlinie unterfallen, verarbeitet werden. Insofern besteht ein besonderes Informationsbedürfnis, da bei Staaten, die nicht der EG-Datenschutzrichtlinie unterfallen – dies sind alle Staaten außerhalb des EWR – nicht automatisch von einem annehmbar hohen Datenschutzniveau ausgegangen werden kann4. Ausreichend ist dabei die Benennung des Staates (bzw. der Staaten), in dem die Verarbeitung erfolgt. Informationen über die jeweils geltenden Regelungen zum Datenschutz sind nicht verpflichtend5. Insbesondere im Rahmen der Nutzung von Angeboten im Rahmen des Cloud Computing kann dies jedoch problematisch sein, da der jeweilige Speicherort unter Umständen wechseln kann6. Die Information des Nutzers nach Abs. 1 Satz 1 hat „in allgemein verständlicher 8 Form“ zu erfolgen. Über die konkrete Form und Gestalt sowie die Auffindbar1 2 3 4 5 6

S. Taeger/Gabel/Moos, § 13 TMG Rz. 5. Taeger/Gabel/Moos, § 13 TMG Rz. 6. Heckmann/Heckmann, Kap. 9 Rz. 201. BT-Drucks. 14/6098, S. 28. Taeger/Gabel/Moos, § 13 TMG Rz. 7. Auernhammer/Schreibauer, § 13 TMG Rz. 13.

Hullen/Roggenkamp

|

1407

§ 13 TMG | Datenschutz keit, z.B. auf einer Webseite, trifft das Gesetz keine Aussage. Die Gestaltung liegt im Ermessen des Diensteanbieters1. Eine Orientierung bietet insofern § 5 Abs. 1, der bestimmt, dass das Impressum eines Diensteanbieters leicht erkennbar und unmittelbar erreichbar sein soll2. Leicht erkennbar sind die nach Abs. 1 Satz 1 zur Verfügung zu stellenden Informationen (bzw. der Link, der auf selbige verweist), wenn diese z.B. mit „Datenschutzerklärung“, „Datenschutzhinweise“ oder bei englischsprachigen Nutzern zusätzlich mit „Privacy Policy“ überschrieben sind3. Als unmittelbar erreichbar gilt eine Information in der Regel, wenn sie durch spätestens zwei Klicks auf die entsprechenden Links auffindbar ist4. Eine Verpflichtung zur Vorhaltung eines direkten Links auf die Datenschutzerklärung besteht jedoch nicht5. Insbesondere bei Apps und der Gestaltung von Telemedien für den Abruf über mobile Endgeräte kann eine lesbare Form zur Herausforderung werden. Hier empfiehlt sich ein modularer, ggf. durch grafische Elemente wie Icons unterstützter Aufbau6. 9 Die Datenschutzerklärung muss sprachlich so gestaltet sein, dass sie dem „ob-

jektiven Empfänger“ die vorgeschriebenen Informationen tatsächlich verständlich macht. Unnötige juristische oder technische Fachbegriffe sind zu vermeiden7 oder so zu erläutern, dass sie auch für Laien verständlich sind.

10 Die Informationen des Abs. 1 Satz 1 müssen zeitlich „zu Beginn des Nutzungs-

vorgangs“ zur Verfügung gestellt werden. Vor Inkrafttreten des EEG8 waren Nutzer lediglich „vor der Erhebung“ personenbezogener Daten zu belehren. Durch die Vorverlagerung des Zeitpunkts der Information auf den Beginn des Nutzungsvorgangs wollte der Gesetzgeber sicherstellen, dass im Falle einer „automatischen Erhebung von Nutzerdaten“, die bereits bei Abruf des Telemediums vor einer für den Nutzer erkennbaren Datenerhebung stattfindet, eine Unterrichtung gewährleistet ist9.

11 Gemäß Abs. 1 Satz 3 ist müssen die Informationen für den Nutzer jederzeit ab-

rufbar sein. „Jederzeit“ bedeutet, dass die Informationen während der Dauer des Nutzungs- bzw. Vertragsverhältnisses bereitgehalten werden müssen. Eine

1 2 3 4 5 6 7 8 9

Scholz, S. 325; Heckmann/Heckmann, Kap. 9 Rz. 211. Vgl. hierzu auch § 13 Abs. 1 TMG-E, BR-Drucks. 156/11, S. 7. S. Taeger/Gabel/Moos, § 13 TMG Rz. 9. BGH v. 20.3.2006 – I ZR 228/03, WRP 2006, 1507, 1510 – Anbieterkennzeichnung im Internet. LG Essen v. 4.6.2003 – 44 O 18/03, DuD 2004, 312 (313). Hinzpeter, PinG 2015, 76 (78); hierzu auch die Orientierungshilfe zu den Datenschutzanforderungen an App-Entwickler und App-Anbieter des Düsseldorfer Kreises v. 16.6. 2014, S. 19. Heckmann/Heckmann, § 13 TMG Rz. 210. Gesetz über rechtliche Rahmenbedingungen für den elektronischen Geschäftsverkehr, s. BT-Drucks. 14/6098. BT-Drucks. 14/6098, S. 28.

1408

|

Hullen/Roggenkamp

Pflichten des Diensteanbieters | § 13 TMG

zeitlich darüber hinaus gehende, dauerhafte Protokollierung ist nicht erforderlich1. § 13 Abs. 1 ist nach zutreffender Ansicht keine Marktverhaltensvorschrift i.S.d. 12 § 4 Nr. 11 UWG, sondern eine wertneutrale Ordnungsvorschrift2. Eine fehlende oder unvollständige Unterrichtung wirkt sich regelmäßig nicht auf das kommerzielle Verhalten des Besuchers der Website aus3. 2. Unterrichtung bei Möglichkeit nachträglicher Nutzeridentifizierung (Satz 2) Abs. 1 Satz 2 verpflichtet den Diensteanbieter, den Nutzer bei Verwendung eines 13 automatisierten Verfahrens darüber zu informieren, ob durch ein solches Daten erhoben und verwendet werden. Dies gilt bereits dann, wenn zu diesem Zeitpunkt noch kein Personenbezug vorliegt, eine spätere Identifizierung des Nutzers, also die nachträgliche Herstellung des Personenbezugs, jedoch möglich ist. Die Regelung findet hauptsächlich bei der Verwendung sog. Cookies Anwendung. Dabei handelt es sich um kleine Dateien, die auf dem Endgerät des Nutzers lokal gespeichert werden und beliebige Informationen enthalten können, die in bestimmten Intervallen an den Diensteanbieter zurückübermittelt werden4. Cookies werden in großem Ausmaß im Rahmen der Nutzung von Telemedien 14 verwendet und sind grundsätzlich als datenschutzrechtlich neutral zu bewerten5. In einem Cookie lassen sich z.B. die vom Nutzer aufgerufenen Seiten, ausgeführten Aktionen und Nutzungszeiten speichern. Werden diese Daten dauerhaft (persistent) und nicht nur vorübergehend (temporär) vorgehalten, können sukzessiv umfangreiche Profile über das Surf-Verhalten des Nutzers erstellt werden. Identifiziert sich der Nutzer zu einem späteren Zeitpunkt gegenüber dem Diensteanbieter, bspw. durch die Erstellung eines Nutzerkontos unter Angabe seines Klarnamens, weisen auch die anonymen erhobenen Profilinformationen einen Personenbezug auf. Unabhängig von der Frage der rechtlichen Zulässigkeit der Profilbildung (s. hierzu auch Komm. zu § 15 TMG Rz. 18) schreibt 1 Ausführlich hierzu Spindler/Schuster/Nink/Spindler, § 13 TMG Rz. 8. 2 Spindler/Schuster/Nink/Spindler, § 13 TMG Rz. 2; KG v. 29.4.2011 – 5 W 88/11, CR 2011, 468; Schüßler, jurisPR-ITR 12/2011 Anm. 2; vgl. zum TDDSG bereits LG München v. 23.7.2003 – 1 HK O 1755/03, DuD 2004, 53; LG Essen, v. 4.6.2003 – 44 O 18/03; DuD 2004, 312; a.A. OLG Hamburg v. 27.6.2013 – 3 U 26/12, K&R 2013, 601; LG Frankfurt a.M. v. 18.2.2014 – 3/10 O 86/12, CR 2014, 266. Insgesamt zum Problemkreis Datenschutz und Marktverhaltensregelung Hullen, MMR 2011, 387 (388) sowie Einleitung TMG Rz. 6. 3 Schüßler, jurisPR-ITR 12/2011 Anm. 2. 4 Zu den technischen Spezifikationen s. IETF, HTTP State Management Mechanism, RFC 6265. 5 So z.B. auch Schröder, ZD 2011, 59 (60).

Hullen/Roggenkamp

|

1409

§ 13 TMG | Datenschutz Abs. 1 Satz 2 vor, dass Nutzer über jeden im Hintergrund ablaufenden Datenverarbeitungsvorgang und die Möglichkeit der späteren Identifizierung zu informieren sind. Aufgrund der mangelnden Erkennbarkeit der Abläufe automatisierter Verfahren besteht ein besonderes Bedürfnis nach Transparenz, dem so nachgekommen werden soll. 15 Auch die Information über die Möglichkeit der nachträglichen Nutzeridentifi-

zierung muss für den Nutzer jederzeit abrufbar sein (s. hierzu Rz. 11).

16 Art. 5 Abs. 3 der Datenschutzrichtlinie für die elektronische Kommunikation

(E-Privacy-RL)1 fordert eine Opt-in-Lösung für die Verwendung von Cookies. Hiernach muss bei der Speicherung von oder dem Zugriff auf Informationen, die im Endgerät eines Nutzers gespeichert sind, regelmäßig eine Einwilligung des Nutzers vorliegen. Wie eine solche Einwilligung eingeholt werden kann ist im Einzelnen streitig. Mit Blick auf Erwägungsgrund 66 der E-Privacy-RL2 kann es theoretisch als ausreichend angesehen werden, wenn der Nutzer die Möglichkeit hat, die Verwendung von Cookies durch entsprechende Browsereinstellungen zu unterbinden3. Praktische Hinweise zur Umsetzung gibt die Artikel-29Datenschutzgruppe in unterschiedlichen Stellungnahmen und Arbeitsunterlagen4. Der Gesetzgeber hat sich 2011 im Rahmen der Änderungen des TKG ausdrücklich gegen eine Umsetzung der europarechtlichen Vorgaben ausgesprochen und beschränkte sich auf die Beobachtung entsprechender Selbstregulierungsaktivitäten der Internetwirtschaft5. Vereinzelt wird daher auch von einer unmittelbaren Wirkung der E-Privacy-RL ausgegangen, wonach die dort festgeschriebenen Grundsätze unmittelbar zur Anwendung kommen sollen. Die Europäische Kommission kam – basierend auf einer Stellungnahme der Bundesregierung – jedoch 2014 zu der eher überraschenden Erkenntnis, dass Cookies pauschal als personenbezogene Daten zu qualifizieren seien, aber die bestehenden Regelungen des TMG (d.h. § 13 Abs. 1 und 2 sowie § 15 Abs. 3) die Anforderungen der E-Privacy-RL bereits erfüllen würden. Eine weitere Umsetzung der Richtlinie sei daher entbehrlich6.

1 Geändert durch Art. 2 Nr. 5 RL 2009/136/EG vom 25.11.2009. Hierzu näher Lienemann, K&R 2011, 609. 2 Dort heißt es u.a. „Wenn es technisch durchführbar und wirksam ist, kann die Einwilligung des Nutzers zur Verarbeitung im Einklang mit den entsprechenden Bestimmungen der Richtlinie 95/46/EG über die Handhabung der entsprechenden Einstellungen eines Browsers oder einer anderen Anwendung ausgedrückt werden.“ 3 Problematisch ist die (konkludente) Einwilligung im Falle der Verwendung sog. FlashCookies, vgl. Schröder, ZD 2011, 59 (61). 4 U.a. Artikel-29-Datenschutzgruppe, Arbeitsunterlage 02/2013, WP 208, v. 2.10.2013; s.a. Auernhammer/Schreibauer, § 12 TMG Rz. 20 m.w.N. 5 S. BT-Drucks. 17/5707, S. 44. 6 Zu Recht kritisch Schneider, PinG 2014, 115 (115).

1410

|

Hullen/Roggenkamp

Pflichten des Diensteanbieters | § 13 TMG

III. Einwilligung (Abs. 2) Auch im Telemediendatenschutzrecht gilt der allgemeine Grundsatz, dass die 17 Erhebung, Verarbeitung und Nutzung personenbezogener Daten nur zulässig ist, soweit ein Gesetz dies erlaubt oder anordnet oder der Betroffene (hier der Nutzer) zuvor eingewilligt hat (vgl. hierzu Komm. zu § 12 TMG Rz. 21 und § 4 BDSG Rz. 1) Während jedoch die Einwilligung nach § 4a Abs. 1 Satz 2 BDSG grundsätzlich schriftlich erteilt werden muss, soweit nicht wegen besonderer Umstände eine andere Form angemessen ist, gestattet der gegenüber § 4a BDSG speziellere § 13 Abs. 2 ausdrücklich die elektronische Erklärung der Einwilligung. Die elektronische Einwilligung setzt voraus, dass der Diensteanbieter sicherstellt, dass der Nutzer eine eindeutige und bewusste Einwilligung erteilt (Abs. 2 Nr. 1), dass die Einwilligung protokolliert wird (Abs. 2 Nr. 2), dass der Nutzer die Einwilligung jederzeit abrufen (Abs. 2 Nr. 3) und dass er sie jederzeit mit ex-nunc Wirkung widerrufen kann (Abs. 2 Nr. 4). Wird eine der Voraussetzungen nicht erfüllt, liegt keine wirksame elektronische Einwilligung vor1. Eine elektronische Erklärung ist auch dann möglich, wenn Informationen zugleich Nutzungsdaten i.S.d. TMG und Inhaltsdaten sind, die dem BDSG unterfallen2. 1. Eindeutige und bewusste Einwilligung (Abs. 2 Nr. 1) Das Erfordernis der eindeutigen und bewussten Erteilung ist zentrales Element 18 der elektronischen Einwilligung. Es soll, wie es § 4 Abs. 2 TDDSG noch ausdrücklich verlangte, eine eindeutige und bewusste Handlung des Nutzers zur Erteilung notwendig sein3. Eine solche muss zunächst nach außen objektiv als Erklärungshandlung erkennbar sein. Des Weiteren müssen sowohl Handlungsbewusstsein, Erklärungswille und Geschäftswille als subjektive Elemente der Erklärungshandlung vorliegen4. Um diesen Willen entwickeln zu können, muss der Nutzer über die geplante Verwendung hinreichend informiert werden (sog. „informierte Einwilligung“5). Der Nutzer muss erkennen können, worauf sich seine Einwilligung genau be- 19 zieht. Dazu ist es erforderlich, dass er weiß, dass er eine Erklärung bezüglich der Verwendung seiner personenbezogenen Daten abgibt und welche seiner Daten zu welchem Zweck verwendet werden sollen. Ausreichend ist ein Verfahren, bei welchem der Nutzer zur Einwilligung eine Schaltfläche anklicken muss, welche 1 Vgl. LG Hamburg v. 7.8.2009 – 324 O 650/08, VuR 2009, 433; Spindler/Schuster/Spindler/Nink, § 13 Rz. 13. 2 S. hierzu Taeger/Gabel/Moos, § 13 TMG Rz. 18. 3 Taeger/Gabel/Moos, § 13 TMG Rz. 20; Heckmann/Heckmann, Kap. 9 Rz. 225; Spindler/ Schuster/Spindler/Nink, § 13 TMG Rz. 13; jeweils m.w.N. 4 LG Potsdam v. 10.3.2005 – 12 O 287/04, juris Rz. 32. 5 LG Potsdam v. 10.3.2005 – 12 O 287/04, juris Rz. 33.

Hullen/Roggenkamp

|

1411

§ 13 TMG | Datenschutz ihm verdeutlicht, dass er eine datenschutzrechtlich relevante Erklärung über die Verwendung seiner Daten abgibt. Dies kann z.B. im Rahmen eines Anklickfeldes und der Bezeichnung „Hiermit willige ich in die in der Datenschutzerklärung näher beschriebene Verwendung meiner Daten ein“ geschehen (sog. „Opt-in“). Insofern besteht auf Seiten des Diensteanbieters ein gewisser Umsetzungsspielraum1. Die in Bezug genommene Datenschutzerklärung, aus welcher sich konkret ergeben muss, zu welchen Handlungen die Zustimmung erteilt wird, ist hierbei im Kontext (z.B. durch Verlinkung) verfügbar zu machen2. 20 Die Einwilligungserklärung kann vom Diensteanbieter formularmäßig vorgege-

ben werden. In diesem Fall handelt es sich nach Auffassung des BGH um AGB, die sich an den entsprechenden Regelungen der §§ 305 ff. BGB messen lassen müssen3. Dies gilt dann nicht, wenn die Einwilligungserklärung nicht im Zusammenhang mit einem Vertragsverhältnis steht und auch kein entsprechender Anschein gesetzt wird. Wird z.B. bei einem Gewinnspiel zumindest der Eindruck erweckt, dass eine Einwilligung Voraussetzung für die Teilnahme ist, handelt es sich um AGB. Ist hingegen erkennbar, dass eine Einwilligung freiwillig und unabhängig von der Gewinnmöglichkeit ist, finden die §§ 305 ff. BGB keine Anwendung4.

21 Wenn die vom Diensteanbieter vorformulierte Einwilligungserklärung – in wel-

cher die beabsichtigte Datenverwendung beschrieben wird – in die AGB des Diensteanbieters integriert werden soll, ist der Nutzer deutlich darauf hinzuweisen, dass er durch Akzeptieren der AGB auch eine Einwilligung in die in der Datenschutzerklärung beschriebene Erhebung und Verwendung personenbezogener Daten erklärt. Dies kann durch eine grafische Hervorhebung (Fettdruck, Umrandung der relevanten Textstellen) geschehen. Der Abschnitt der AGB welche die entsprechenden Ausführungen enthält, ist zudem separat zu verlinken5.

22 Eine bisweilen geforderte „bestätigende Wiederholung des Übermittlungs-

befehls“6 ist nicht notwendig, um sicherzustellen, dass der Nutzer das für eine Erklärung ausreichende Erklärungsbewusstsein entwickelt. Der einmalige Klick

1 2 3 4 5

Heckmann/Heckmann, Kap. 9 Rz. 229. S.a. KG v. 24.1.2014 – 5 U 42/12, CR 2014, 319. BGH v. 16.7.2008 – VIII ZR 348/06, BB 2008, 2426 (2427) – Payback. KG v. 26.8.2010 – 23 U 34/10, K&R 2011, 269 m. Anm. Voigt. Taeger/Gabel/Moos, § 13 TMG Rz. 23; vgl. auch § 28 Abs. 3a BDSG, Komm. zu § 28 BDSG Rz. 166 ff. 6 Zscherpe, MMR 2004, 723 (726); Rasmussen, DuD 2002, 406 (408); OLG Brandenburg v. 10.1.2006 – 7 U 52/05, MMR 2006, 405. Danach musste der Nutzer zunächst z.B. ein Häkchen neben den Text „Ich willige in die Verarbeitung und Nutzung meiner personenbezogenen Daten gemäß der vorstehenden Datenschutzerklärung ein“ setzen und sodann noch einmal eine Schaltfläche anklicken, die mit dem Text „Ich akzeptiere und willige ein“ beschriftet war, vgl. Darstellung bei Heckmann/Heckmann, Kap. 9 Rz. 228.

1412

|

Hullen/Roggenkamp

Pflichten des Diensteanbieters | § 13 TMG

genügt. Ein durchschnittlich verständiger Nutzer muss nicht zwei Mal auf die Relevanz seiner Handlung hingewiesen werden. Das Erklärungsbewusstsein wird hierdurch weder erhöht noch erst hervorgerufen. Es empfiehlt sich jedoch aus Gründen der Beweisführungssicherung, eine Bestätigung der Erklärung im Rahmen eines „Double-Opt-in“-Verfahrens anzufordern (hierzu Komm. zu § 4a BDSG Rz. 56 und sogleich unter Rz. 28). Ob die vom BGH1 im Rahmen der Einwilligung nach § 4a BDSG für rechtmäßig 23 erachtete Möglichkeit des Opt-outs („hier klicken, falls die Einwilligung nicht erteilt wird“) auch im Rahmen der elektronisch erklärten Einwilligung unter dem TMG gilt, ist umstritten2. Moniert wird bei dieser Variante das Fehlen einer eindeutigen Handlung3. Mit Blick auf den gegenüber dem TDDSG geänderten Text der Einwilligungserfordernisse im TMG, der eine Handlung gerade nicht mehr explizit fordert, sowie den Wortlaut von Art. 2 Buchst. h der EG-Datenschutzrichtlinie kommt nach hier vertretener Auffassung eine Opt-out-Lösung auch im Bereich des TMG-Datenschutzes in Betracht. In Art. 2 Buchst. h der EG-Datenschutzrichtlinie wird als „Einwilligung der betroffenen Person“ jede Willensbekundung genannt. In seiner Payback-Entscheidung hat der BGH dementsprechend für § 4a BDSG zutreffend festgehalten, dass die Einwilligung gerade nicht „aktiv“ erklärt werden müsse. Es muss nur verhindert werden, dass der durchschnittliche (nicht der „sorglose“) Verbraucher die Einwilligung übersieht4. Wieso eine „einfache und deutlich gestaltete Abwahlmöglichkeit“ im Online-Bereich abweichend vom „Offline-Bereich“ nicht ausreichen soll, ist nicht ersichtlich. Dies gilt umso mehr als § 13 Abs. 2 dazu dient, Telemedienanbietern eine erleichterte Form der Einholung der Einwilligung zu ermöglichen5. In der Praxis ist freilich mit Blick auf die bislang fehlende richterliche Klärung der Übertragbarkeit zu einem Opt-in-Verfahren zu raten. Für den Bereich der unzumutbaren Belästigung durch E-Mail-Werbung scheidet 24 eine Opt-out-Lösung jedoch aus, da es insofern an einer im Rahmen von § 7 Abs. 2 Nr. 3 UWG notwendigen ausdrücklichen Einwilligung mangelt6. 2. Protokollierung der Einwilligung (Abs. 2 Nr. 2) Die abgegebene Einwilligung ist zu protokollieren. Das bedeutet, dass Zeitpunkt 25 der Einwilligung, Inhalt und Identität des Erklärenden festzuhalten sind. Die 1 BGH v. 16.7.2008 – VIII ZR 348/06, BB 2008, 2426 – Payback. Näher dazu s. die Komm. zu § 4a BDSG Rz. 56. 2 Als zulässig erachtet von Hanloser, CR 2008, 715; Spindler/Schuster/Spindler/Nink, § 13 TMG Rz. 13; ablehnend Taeger/Gabel/Moos, § 13 TMG Rz. 21. 3 Taeger/Gabel/Moos, § 13 TMG Rz. 21. 4 BGH v. 16.7.2008 – VIII ZR 348/06, BB 2008, 2426 (2428) – Payback. 5 Spindler/Schuster/Spindler/Nink, § 13 TMG Rz. 13. 6 BGH v. 16.7.2008 – VIII ZR 348/06, BB 2008, 2426 (2428 f.) – Payback.

Hullen/Roggenkamp

|

1413

§ 13 TMG | Datenschutz Anforderung ist als Zielvorgabe formuliert, daher sind Art und Weise der Protokollierung (z.B. konkrete technische Vorgaben) nicht vorgegeben worden. In der Praxis ist es im Rahmen des regelmäßig verwendeten Double-Opt-in-Verfahrens ausreichend, wenn die Bestätigungsnachricht des Nutzers gespeichert oder anderweitig (z.B. durch Ausdruck) festgehalten wird, da sich aus ihr Zeitpunkt und Erklärender ergibt. 3. Jederzeitige Abrufmöglichkeit (Abs. 2 Nr. 3) 26 Dem Nutzer soll es jederzeit möglich sein, den Inhalt seiner Erklärung abzuru-

fen. Die Möglichkeit des Online-Abrufs (z.B. im Kontext der sowieso vorzuhaltenden Datenschutzerklärung) wird zwar regelmäßig die praktikabelste sein, ist aber nicht zwingend notwendig. Ausreichend ist die „Abforderbarkeit“, der auch durch eine Übersendung einer E-Mail auf entsprechende Aufforderung des Nutzers hin nachgekommen werden kann1. Bereitzuhalten ist der Text, der Gegenstand der konkreten Einwilligung im jeweiligen Einzelfall gewesen ist. 4. Widerrufsmöglichkeit (Abs. 2 Nr. 4)

27 Mit Wirkung für die Zukunft darf der Nutzer seine Einwilligung jederzeit wider-

rufen. Der Diensteanbieter hat technisch und organisatorisch sicherzustellen, dass dies jederzeit möglich ist. Eine bestimmte Form ist für den Widerruf nicht vorgegeben. Der Diensteanbieter darf die Möglichkeiten des Widerrufs nicht auf eine bestimmte Form (z.B. ausschließlich per Fax) beschränken. Ein elektronisch erklärter Widerruf, bspw. durch eine einfache E-Mail, ist dementsprechend auch dann ausreichend, wenn die Einwilligung ursprünglich in einer anderen Form erteilt wurde2.

5. Beweislast/Double-Opt-in 28 Da der Diensteanbieter aus der Einwilligung ein Recht zur Nutzung der Daten

herleiten möchte, trägt er für das Vorliegen die Darlegungs- und Beweislast3. Um dem Einwand begegnen zu können, dass ein unbekannter Dritter statt des vermeintlichen Nutzers die Einwilligung erteilt hat4, bietet sich regelmäßig das sog. „Double-Opt-in“-Verfahren zur „Beweissicherung“ an. Im Gegensatz zum einfachen „Opt-in“-Verfahren, bei welchem sich die Einwilligungsprozedur regelmäßig im Klicken des entsprechenden Buttons erschöpft, erhält der Einwil1 Taeger/Gabel/Moos, § 13 TMG Rz. 27; vgl. auch bereits BT-Drucks. 12/6098, S. 28. 2 Spindler/Schuster/Spindler/Nink, § 13 TMG Rz. 13. 3 Auernhammer/Schreibauer, § 13 TMG Rz. 39; Heckmann/Heckmann, Kap. 9 Rz. 224; Taeger/Gabel/Moos, § 13 TMG Rz. 31; OLG Bamberg v. 12.5.2005 – 1 U 143/04, MMR 2006, 481 (482). 4 Vgl. z.B. OLG Bamberg v. 12.5.2005 – 1 U 143/04, MMR 2006, 481.

1414

|

Hullen/Roggenkamp

Pflichten des Diensteanbieters | § 13 TMG

ligende beim „Double-Opt-in“-Verfahren nach dem Klick eine Nachricht1 mit der Aufforderung, einen Bestätigungs-Link anzuklicken. Erst durch diese zweite Bestätigungshandlung wird der Einwilligungsprozess abgeschlossen. Auf diese Weise wird insbesondere verhindert, dass Dritte die E-Mail-Adresse des Nutzers ohne dessen Einverständnis verwenden. Reagiert der Empfänger nicht auf die Nachricht, ist das als Versagung der Einwilligungserteilung anzusehen2. Nach Auffassung des BGH3 kann ein elektronisch durchgeführtes Double-opt- 29 in-Verfahren ein tatsächlich fehlendes Einverständnis von Verbrauchern mit Werbeanrufen nicht ersetzen4. Gehe ein Teilnahmeantrag elektronisch ein, so könne dessen Absender durch eine E-Mail um Bestätigung seines Teilnahmewunsches gebeten werden. Nach Eingang der erbetenen Bestätigung könne angenommen werden, dass der Antrag tatsächlich von der angegebenen E-MailAdresse stamme. Habe der Verbraucher durch Setzen eines Häkchens in dem Teilnahmeformular bestätigt, dass er mit der Übersendung von Werbung einverstanden sei, sei grundsätzlich hinreichend dokumentiert, dass er in E-MailWerbung an diese E-Mail-Adresse ausdrücklich eingewilligt habe5. Der Werbende habe mit einem solchen Verfahren ausreichend sichergestellt, dass es nicht aufgrund von Falscheingaben zu einer Versendung von E-Mail-Werbung komme6. Das schließe es aber nicht aus, dass sich der Verbraucher auch nach Bestätigung seiner E-Mail-Adresse im Double-opt-in-Verfahren noch darauf berufen könne, dass er die unter dieser Adresse abgesandte Einwilligung in EMail-Werbung nicht abgegeben habe. Dafür trage er allerdings die Darlegungslast. Könne der Verbraucher darlegen, dass die Bestätigung nicht von ihm stamme, sei die Werbezusendung auch dann wettbewerbswidrig, wenn die E-MailAdresse im Double-opt-in-Verfahren gewonnen wurde7.

IV. Hinweis auf Möglichkeit des Widerrufs (Abs. 3) Die Möglichkeit des Widerrufs muss dem Nutzer nicht nur de facto gewährt 30 werden (hierzu Rz. 27), er muss auch ausdrücklich vor Abgabe der Erklärung nach Abs. 2 auf diese Möglichkeit hingewiesen werden. Der Hinweis muss entsprechend Abs. 2 Nr. 3 jederzeit für den Nutzer abrufbar sein. 1 Die Zusendung sog. Bestätigungsmails kann nach zutreffender Auffassung nicht als Spam eingestuft werden, AG München v. 16.11.2006 – 161 C 29330/06, NJW-RR 2007, 547; AG Berlin-Mitte v. 11.6.2008 – 21 C 43/08, MMR 2009, 144. 2 Vgl. AG Berlin-Mitte v. 11.6.2008 – 21 C 43/08, MMR 2009, 144. 3 BGH v. 10.2.2011 – I ZR 164/09, CR 2011, 581 m. abl. Anm. Sassenberg. 4 BGH v. 10.2.2011 – I ZR 164/09, juris Rz. 36. 5 BGH v. 10.2.2011 – I ZR 164/09, juris Rz. 37 m.w.N. 6 BGH v. 10.2.2011 – I ZR 164/09, juris Rz. 37. 7 BGH v. 10.2.2011 – I ZR 164/09, juris Rz. 38.

Hullen/Roggenkamp

|

1415

§ 13 TMG | Datenschutz V. Technische und organisatorische Vorkehrungen durch den Diensteanbieter (Abs. 4) 31 Abs. 4 regelt die technischen und organisatorischen Datenschutzmaßnahmen,

die vom Diensteanbieter im Rahmen der Bereitstellung von Telemedien zu treffen sind. Dem Nutzer muss ermöglicht werden, die Nutzung des Telemediums jederzeit zu beenden (Nr. 1). Weiterhin wird dem Diensteanbieter aufgegeben, Nutzungsdaten unmittelbar nach Nutzungsende zu löschen bzw. zu sperren (Nr. 2). Darüber hinaus muss dem Nutzer ermöglicht werden, Telemedien in Anspruch zu nehmen, ohne dass Dritte hiervon Kenntnis nehmen können (Nr. 3). Werden verschiedene Telemedien durch die gleiche Person genutzt, müssen deren personenbezogene Daten getrennt verwendet werden können (Nr. 4). Daneben hat der Diensteanbieter sicherzustellen, dass personenbezogene Daten über die Nutzung verschiedener Telemedien nur für Abrechnungszwecke zusammengeführt werden können (Nr. 5). Schließlich muss gewährleistet sein, dass im Falle der Verwendung pseudonymisierter Nutzungsprofile eine Re-Identifizierung des Nutzers ausgeschlossen ist (Nr. 6).

32 Abs. 4 ist eine Ausprägung des Prinzips des Systemdatenschutzes, der ebenfalls

in § 3a BDSG verankert ist. Hiernach sind Datenverarbeitungsanlagen wie Computersysteme und Software möglichst schon so zu konzipieren, dass sie nur diejenigen Datenverarbeitungsfunktionen ausführen können, die rechtlich zum jeweiligen Zweck zulässig sind. Dieser Ansatz erfährt unter der Bezeichnung Privacy by Design zunehmende Beachtung1.

1. Jederzeitiger Nutzungsabbruch (Nr. 1) 33 Gemäß Satz 1 Nr. 1 muss der Diensteanbieter sicherstellen, dass der Nutzer die

Inanspruchnahme des Dienstes jederzeit beenden kann. Das ist z.B. dann gewährleistet, wenn mit dem Schließen des Browsers der Nutzungsvorgang tatsächlich beendet und nicht im Hintergrund weiter ausgeführt wird2. Regelmäßig bedarf es bei der Telemediennutzung im Internet keiner besonderen technischen Vorkehrungen, da die Kommunikation zwischen Anbieter und Nutzer von beiden Seiten jederzeit beendet werden kann, falls keine besondere (Schad-)Software eingesetzt wi