Skip to content

Mit Inkrafttreten des TTDSG soll auch eine zentrale Einwilligungsverwaltung geschaffen werden. Ist dies das Aus der lästigen Cookie Banner?

Ende der Cookie Banner durch Inkrafttreten des TTDSG?  

Einführung 

Ab dem 01. Dezember 2021 gilt das Telekommunikations-Telemedien-Datenschutzgesetz (TTDSG) in Deutschland. Wie bereits berichtet, sollen darin die jeweiligen Datenschutzregelungen aus dem Telemediengesetz (TMG) und dem Telekommunikationsgesetz (TKG) zentral in einem neuen Gesetz zusammengeführt werden. 

Eine Neuerung in Bezug auf die umstrittene Rechtslage zu Cookies gibt es im TTDSG jedoch nicht. Allerdings sieht das neue Gesetz in § 26 TTDSG eine zentrale Einwilligungsverwaltung vor, welche die sog. Cookie-Banner in Zukunft ersetzen könnte. 

Dieser Beitrag geht im Folgenden darauf ein, was Cookie-Banner und eine zentrale Einwilligungsverwaltung sind und welcher Kritik die neue Regelung bereits ausgesetzt ist.  

Was sind Cookie Banner? 

Ein Cookie Banner ist ein kleines Popup-Fenster, welches erscheint, sofern eine Nutzerin oder ein Nutzer eine neue Website aufruft. Durch den Cookie Banner werden die Besucherinnen und Besucher der jeweiligen Website über Cookies der Website informiert und sodann aufgefordert, selbstständig anzuklicken, mit welchen zum Abruf einer Website nicht unbedingt erforderlichen Cookies oder sonstigen einwilligungsbedürftigen Verarbeitungen ihrer personenbezogenen Daten sie einverstanden sind und mit welchen nicht. Dadurch sollen die Vorgaben der Datenschutz-Grundverordnung (DS-GVO) und des ab Dezember geltenden TTDSG erfüllt werden. Die jeweiligen Datenverarbeitungsvorgänge beim Nutzen der Seite sollen bzw. dürfen erst dann erfolgen, wenn die Nutzerinnen und Nutzer aktiv eingewilligt haben. 

Einführung der zentralen Einwilligungsverwaltung durch das TTDSG 

Der bisherige Umgang mit Cookies wird von vielen Nutzerinnen und Nutzern als lästig und gegebenenfalls auch etwas umständlich empfunden. Oftmals werden die Informationen in den Cookie Bannern deshalb auch nicht richtig gelesen, sondern es wird nur schnell etwas angeklickt, damit das Fester verschwindet und weitergesurft werden kann. Das TTDSG führt nun eine weitere Möglichkeit ein, wie Datenschutz im Internet nutzerfreundlicher umgesetzt werden kann. In § 26 TTDSG wird normiert, dass eine Einwilligungsverwaltung eingeführt werden soll. Ein solches Personal Information Management System (PIMS) erlaubt es jeder Person, ihre Datenschutzeinstellungen zu speichern und vorab festzulegen. Immer wenn eine Website besucht wird, soll die jeweilige Website bei der Zentralstelle nachschauen, welche Wünsche die Nutzerin oder der Nutzer in Bezug auf Datenschutz und Cookies hat. Cookie Banner wären dann theoretisch nicht mehr nötig. 

Gem. § 26 Abs. 2 TTDSG muss die Bundesregierung mit Zustimmung von Bundestag und Bundesrat durch Rechtsverordnung noch die Anforderungen an ein nutzerfreundliches und wettbewerbskonformes Verfahren, das Anerkennungsverfahren sowie Details zur Umsetzung von technischen und organisatorischen Maßnahmen bestimmen. Dies ist bisher noch nicht geschehen. 

Kritik an der zentralen Einwilligungsverwaltung 

Den Neuerungen gegenüber wurde aber auch bereits einiges an Kritik geäußert. Kernproblem der PIMS sei, dass sie in der Praxis vermutlich nicht zufriedenstellend funktionieren würden. Eine Parallele werde dazu aufgezeigt, dass bereits Voreinstellungen in Browsern gemacht werden können, welche ein Tracking verbieten (do not track-Funktion). Hieran hielten sich die meisten Betreiberinnen und Betreiber von Websites jedoch nicht; es würden dennoch Cookie Banner geschaltet, welche auch nach der Einwilligung zu Tracking Cookies fragen, obwohl die Ablehnung vorher schon ausdrücklich erteilt wurde. Durchschnittlichen Leserinnen und Lesern falle dies meist nicht auf und sie stimmten sodann in der Regel zu. Dies führe dann dazu, dass Tracking Cookies verwendet werden, obwohl die Nutzerinnen und Nutzer in ihren Voreinstellungen angegeben haben, dass sie diesen Cookies eben nicht zustimmen.  

Zudem wird kritisiert, dass die Informationspflichten aus Art. 13 DS-GVO von vielen Websites sehr unterschiedlich erfüllt werden. Eine generelle Einwilligungsabfrage über die Nutzung von einer zentralen Einwilligungsverwaltung sei aber nur dann möglich, wenn ausreichend Details über die Datenverarbeitung und die Nutzung der Cookies auf den jeweiligen Websites veröffentlicht werden. Häufig stünden die nötigen Informationen aber nicht in den Datenschutzerklärungen oder sie seien für denselben Dienst auf verschiedenen Websites unterschiedlich ausgestaltet. Dies würde die Nutzung von PIMS in datenschutzkonformer Weise erheblich erschweren. 

Es wird darüber hinaus gefordert, dass bei der Ausgestaltung der Rechtsverordnung zur Ausgestaltung der Einwilligungsverwaltung nicht nur auf Nutzerfreundlichkeit, sondern vor allem auch auf einen ausreichenden Datenschutz geachtet wird. 

Fazit 

In der Theorie klingt es sehr gut: zentrale Einwilligungsverwaltungen sollen die lästigen Cookie Banner ersetzen. Jedoch fehlt bisher noch die ausgestaltende Verordnung im Sinne des § 26 Abs. 2 TTDSG, welche mehr Informationen dazu enthalten wird, wann und wie PIMS in Zukunft eingesetzt werden können. Ein Inkrafttreten dieser ausgestaltenden Verordnung wird nicht vor Ende 2022 erwartet.  

Außerdem unterliegt das Konzept der zentralen Einwilligung bereits einiger Kritik – teilweise wird vertreten, dass eine datenschutzkonforme Umsetzung in der Praxis kaum funktionieren könne.  

Es bleibt also abzuwarten, wie sich die Rechtslage rund um Cookie Banner ab Inkrafttreten der TTDSG und durch die erforderliche Rechtsverordnung durch die Bundesregierung verändern wird. Vorerst lässt sich also nur sagen, dass durch die Einführung der zentralen Einwilligungsverwaltung bisher grundsätzlich nur eine weitere Möglichkeit zum Einholen einer Einwilligung zur Datenverarbeitung auf Websites geschaffen wurde. Ein völliges Ende der Cookie Banner ist derzeit nicht in Sicht.  

https://ec.europa.eu/info/law/better-regulation/have-your-say/initiatives/12741-Commission-Implementing-Decision-on-standard-contractual-clauses-for-the-transfer-of-personal-data-to-third-countrie

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!

Wir informieren Sie über das Gesetz zum Schutz der Privatsphäre im digitalen Raum.

TTDSG-Entwurf wurde beschlossen 

Einführung 

Lange war er im Gespräch und nun wurde er endlich beschlossen, der Entwurf eines Gesetzes über den Datenschutz und den Schutz der Privatsphäre in der Telekommunikation und bei Telemedien (Telekommunikation-Telemedien-Datenschutzgesetz, TTDSG). Den Gesetzestext finden Sie hier. Am 01.12.2021 wird das Gesetz in Kraft treten. 

Das Gesetz hat praktische Relevanz. Das durch das TTDSG neu geregelte Telemediendatenschutzrecht betrifft fast sämtliche Angebote im Web: Meinungsforen, Weblogs, Newsgroups und elektronische Bestell-, Buchungs- und Maklerdienste, das Telefon- und Internetbanking, mobile Bezahlsysteme, Handelsplattformen, Internet-Suchmaschinen und manches mehr. 

Für Onlinediensteanbieter werden die neuen Regelungen bereits deshalb relevant sein, weil der Einsatz von Cookies und anderen Tracking-Mechanismen neu geregelt wird. 

Die Neufassung des nationalen Telekommunikationsdatenschutzrechts bleibt in diesem Beitrag außer Betracht.  

Ziel des TTDSG 

Ein wesentliches Ziel der Verfasser des TTDSG ist es, die Rechtsunsicherheit zu beseitigen, die durch die Koexistenz verschiedener Rechtsvorschriften auf europäischer und nationaler Ebene und ihren unklaren Vorrangverhältnissen zueinander entstanden sind. Auf europäischer Ebene sind dies die in den Mitgliedsstaaten der EU unmittelbar geltende DSGVO und die ePrivacy-Richtlinie.  Letztere gilt, weil es sich um eine Richtlinie und nicht um eine Verordnung handelt, nicht unmittelbar in den EU-Mitgliedstaaten. Vielmehr sind die Inhalte von EU-Richtlinien erst in nationale Gesetze zu transformieren, bevor sie gegenüber den juristischen und natürlichen Personen Wirkung entfalten. Das hatte der deutsche Gesetzgeber durch das Telekommunikationsgesetz (TKG) und das Telemediengesetz (TMG) erledigt. Das TKG (dort die §§ 91 ff.) und das TMG (dort die §§ 11 ff.) enthalten Datenschutznormen, die – nicht nur, aber unter anderem – Rechtsvorschriften der ePrivacy-RL umsetzen (für das TMG ist das umstritten. Allerdings vertritt der BGH diese Auffassung. Für das TKG lässt sich etwas verkürzt sagen, dass Regelungen zu den sogenannten Verkehrsdaten aus dem EU-Recht abgeleitet sind). Teilweise schießen sie über die Mindestanforderung der ePrivacy-RL hinaus, teilweise bleiben sie dahinter zurück – was das Rangverhältnis der Rechtsvorschriften DSGVO, TKG und TMG zueinander erschwert. Und: Soweit nationale Gesetze die ePrivacy-RL umsetzen, gehen sie der DSGVO vor, weil die ePrivacy-RL als das speziellere Gesetz wiederum der DSGVO vorgeht, was aus Art. 95 DSGVO abzuleiten ist. Der Gesetzgeber will Unsicherheiten in der Anwendung der vorgenannten Rechtsvorschriften bereinigen, indem er die Datenschutzgesetze (aus dem 5. Abschnitt) des TMG und die Datenschutzgesetze (aus den Abschnitten 1 und 2 des 7. Teils) des TKG in einem Gesetz, dem TTDSG, konsolidiert und teilweise modifiziert (Bsp.: die Anforderungen an Tracking-Mechanismen, etwa dem Einsatz von Cookies). Für die nähere Zukunft stehen also die DSGVO und das TTDSG nebeneinander – und zur Auslegung der Rechtsnormen des TTDSG ist die ePrivacy-RL heranzuziehen, soweit einzelne Rechtsnormen des TTDSG Rechtsvorschriften der ePrivacy-RL in innerstaatliches deutsches Recht umgesetzt haben. Vorschriften des TTDSG, die Rechtsvorschriften der ePrivacy-RL in innerstaatliches deutsches Recht umgesetzt haben, gehen wiederum Rechtsvorschriften der DSGVO vor.  

Neuregelungen 

Im Folgenden werden ausgewählte Neureglungen vorgestellt. 

Over-The-Top-Dienste (OTT-Dienste) 

OTT-Dienste ermöglichen interpersonelle Fern-Kommunikation über (fremde) Telekommunikationsnetze, wobei der Sender, der den Kommunikationsvorgang anstößt, den oder die Empfänger bestimmt (genauer: § 2 Abs. (1) TTDSG iVm § 3 Nr. 24 des TKG in der Fassung vom 23. Juni 2021 ). Gemeint sind damit E-Mail- und Instant-Messenger-Dienste sowie die Internet-Telefonie. Bisher war umstritten, ob diese Dienste Telekommunikationsdienste sind und damit dem Regulierungsregime des TKG und ebenfalls dem Telekommunikationsdatenschutz unterfallen. Für den E-Mail-Service von Gmail hatte der EuGH noch entschieden, dass es sich entgegen der Rechtsauffassung z.B. der Bundesnetzagentur nicht um einen Telekommunikationsdienst handele. Das TKG in seiner Fassung vom 23. Juni 2021 stellt durch Übernahme der OTT in seine Gesetze klar, dass sie als interpersonelle Telekommunikationsdienste, § 3 Nr. 24 TKG, also Telekommunikationsdienste, § 3 Nr. 61 TKG, diversen Regelungen des TKG unterworfen sind. Der deutsche Gesetzgeber setzt damit den Europäischen Kodex für Elektronische Kommunikation (EKEK – Richtlinie 2018/1972) um, der bereits die Aufnahme der interpersonellen Kommunikationsdienste in die Welt der elektronischen Kommunikation vorsieht (der europäische Begriff der elektronischen Kommunikation entspricht im Wesentlichen dem deutschen Begriff der Telekommunikation). Damit steht fest, dass OTT-Dienste nicht länger als Telemediendienst der DSGVO sondern als Telekommunikationsdienst dem TKG und dem TTDSG unterliegen.  

Cookies – Schutz der Privatsphäre von Endeinrichtungen (§ 25 TTDSG) 

§ 15 Abs.(3) des TMG in seiner bis Ende November 2021 geltenden Fassung erlaubt die Erstellung von Nutzungsprofilen für Zwecke der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien, sofern der Nutzer dem nicht widerspricht. Eine Opt-out-Regelung also. Anbieter von Telemedien haben in der Vergangenheit häufig in Anwendung dieser Rechtsnorm Cookies auf Endgeräten von Nutzern zu vorgenannten Zwecken abgelegt – ohne die Einwilligung des jeweiligen Nutzers einzuholen. Die Speicherung von Cookies auf Endgeräten gestattet Art. 5 Abs. (3) der höherrangigen europäischen ePrivacy-RL demgegenüber nur nach Einwilligung. Eine Opt-in-Regelung also. EuGH und BGH haben in Urteilen zuletzt der Cookie-Praxis ohne Einwilligung ein Ende bereitet, indem sie Art. 5 Abs. (3) der ePrivacy-RL bestätigten, ein aktives Einwilligungs-Handeln des jeweiligen Nutzers für den Cookie-Einsatz einfordern und § 15 Abs. (3) TMG gegen seinen Wortlaut in eine Opt-in-Regelung umdeuteten. Das TTDSG bereinigt die Diskrepanz zwischen dem Wortlaut des § 15 Abs. (3) TMG auf der einen Seite und dem des Art. 15 Abs. (3) der ePrivacy-RL und der Rechtsprechung auf der anderen, indem es in § 25 TTDSG fast wortgleich Art. 5 Abs. (3) der ePrivacy-RL übernimmt. Der noch geltende § 15 TMG wird mit der Aufhebung des TMG-Datenschutzes zum 01. Dezember 2021 abgeschafft. Eine Opt-out-Lösung beim Einsatz von Cookies zu Marketing-Zwecken wird dann auch der Wortlaut des Gesetzes nicht mehr vorsehen. An die Einwilligung (Opt-in) sind die hohen Anforderungen der DSGVO zu stellen, auf die § 25 Abs. (1) TTDSG verweist.  

Keine Einwilligung zum Einsatz von Tracking-Maßnahmen, etwa bei dem Einsatz von Cookies, ist gemäß § 25 Abs. (2) TTDSG dann erforderlich, wenn „1. der alleinige Zweck der Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der alleinige Zweck des Zugriffs auf bereits in der Endeinrichtung des Endnutzers gespeicherte Informationen die Durchführung der Übertragung einer Nachricht über ein öffentliches Kommunikationsnetz ist oder 2. wenn die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriffs auf bereits in der Endeinrichtung des Endnutzers gespeicherte Informationen unbedingt erforderlich ist, damit der Anbieter eines Telemediendienstes einen vom Nutzer ausdrücklich gewünschten Telemediendienst stellen kann“. Ziffer 1 soll nicht weiter betrachtet werden. In der Anwendung ist dagegen die Regelung aus Ziffer 2, die Art. 5 Abs. (3) S. 2 Fall 2 der ePrivacy-RL fast wortgleich übernimmt, unsicher: Welche Maßnahme ist „zwingend erforderlich“, damit der Anbieter seinen Dienst erbringen kann? Üblicherweise werden z.B. Warenkorb-Cookies als zwingend qualifiziert. Cookies anderer als die des Anbieters sind nicht zwingend erforderlich. Was aber für Tracking-Mechanismen zur Webanalyse- und Reichweitenmessung des Anbieters selbst gilt, bleibt unklar.   

Personal Information Management System – PIMS 

Mit § 26 TTDSG ermöglicht der Gesetzgeber die Einführung von PIMS – Personal Information Management Systemen. Durch diese Systeme sollen u.a. die lästigen Cookie-Banner abgeschafft werden. Nutzer erhalten die Möglichkeit, bei einem zentralen Dienst ihre Cookie-Präferenzen zu hinterlegen. Dieser Dienstleister registriert, ob und unter welchen Voraussetzungen der jeweilige Nutzer seine Zustimmung zum Einsatz von Cookies erteilt. Ruft der Nutzer eine Webseite auf, liest der Betreiber dieser Seite die Präferenz des Nutzers bei dem zentralen Dienst aus und setzt diese um. Anbieter solcher PIMS-Dienste gibt es bislang aber nicht. Vielmehr sieht § 26 TTDSG vor, dass erst eine Rechtsverordnung zu schaffen ist, die wiederum die Akkreditierung solcher Dienstleister durch eine „unabhängige Stelle“ regeln soll. Bis dahin wird es auch weiterhin Cookie-Banner geben müssen.  

Bußgeldvorschriften 

Den Katalog der Ordnungswidrigkeiten enthält § 28 Abs. (1) TTDSG. Gemäß Abs. (2) können die Ordnungswidrigkeiten mit Bußgeldern – gestaffelt je nach Ordnungswidrigkeit – von bis zu zehn-, fünfzig-, hundert- oder dreihunderttausend Euro beschieden werden. Das TTDSG bleibt damit weit unter den Obergrenzen der DSGVO zurück.  

Wer unerlaubt Cookies verwendet, muss immerhin ein Bußgeld von bis zu 300.000 Euro befürchten, §§ 25 Abs. (1) S. 1, 28 Abs. (1) Nr. 13, Abs. (2) TTDSG.  

Fazit und Ausblick 

Auf europäischer Ebene hätte die ePrivacy-Verordnung (ePrivacy-VO) zur Regelung des Datenschutzes in der elektronischen Kommunikation gleichzeitig mit der DSGVO beschlossen werden sollen. Dazu ist es bis heute nicht gekommen. Die Verabschiedung einer ePrivacy-VO ist aktuell nicht abzusehen. Mit der ePrivacy-VO werden die alte ePrivacy-RL und einige nationale Gesetze aufgehoben oder durch vorrangiges EU-Recht unanwendbar, was nicht nur zur Harmonisierung des EU-Datenschutzrechts führen, sondern auch zur Vereinfachung der Datenschutzrechtslage beitragen wird. Für die Zeit bis zur Verabschiedung der ePrivacy-VO, die ebenso wie die DSGVO unmittelbar in der EU anwendbares Recht sein wird, hat der deutsche Gesetzgeber u.a. zur Übersichtlichkeit beigetragen und den Einsatz von Tracking-Mechanismen an die EU-Rechtslage angepasst.  

Abzuwarten bleibt die Entwicklung einer ePrivacy-VO. Ihr Anwendungsbereich wird sich weitgehend mit dem des TTDSG decken – mit dem Ergebnis, dass die als EU-Recht Vorrang genießende ePrivacy-VO weitgehend zur Unanwendbarkeit des TTDSG führen wird.  

Wir werden Sie über die künftigen Entwicklungen informieren.

https://ec.europa.eu/info/law/better-regulation/have-your-say/initiatives/12741-Commission-Implementing-Decision-on-standard-contractual-clauses-for-the-transfer-of-personal-data-to-third-countrie

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!

Bisher konnten sich die europäischen Organe nicht auf eine Fassung der geplanten ePrivacy-Verordnung einigen. Steht diese nun vor dem Aus?

ENTWICKLUNGEN DER EPRIVACY-VERORDNUNG

Einführung 

Seit 2016 gibt es Verhandlungen über eine ePrivacy-Verordnung in der EU, welche die bisherige ePrivacy-Richtlinie (2002/58/EG) aus dem Jahr 2002 ablösen soll, da diese als veraltet angesehen wird und den Fortschritten in Technik und Wirtschaft nicht mehr gerecht wird, bzw. die neuen Belange teils unzulänglich regelt. Die Umsetzung der Richtlinie erfolgte in Deutschland im Telemediengesetz (TMG) und dem Telekommunikationsgesetz (TKG).  

Die ePrivacy-Verordnung soll die Richtlinie schließlich aktualisieren und ergänzend neben die Datenschutz-Grundverordnung (DS-GVO) treten. Ursprünglich war geplant, dass die DS-GVO und die ePrivacy-Verordnung gemeinsam am 25. Mai 2018 in Kraft treten sollten. Die ePrivacy-Verordnung bekam in der Vergangenheit jedoch viel Gegenwind, sodass ein mögliches Inkrafttreten derzeit nicht in Sicht ist. 

Im Folgenden geben wir einen kurzen Überblick über das Thema ePrivacy und beleuchten die Entwicklungen bezüglich der geplanten Verordnung.  

Was ist die ePrivacy-Verordnung? Was soll geregelt werden?  

Die geplante ePrivacy-Verordnung geht auf eine Gesetzesinitiative der Europäischen Kommission aus Januar 2017 zurück und soll die Privatsphäre von Bürgern im Onlinebereich stärken. Sie beschäftigt sich in erster Linie mit elektronischen Kommunikationsdaten, welche als personenbezogene Daten einzustufen sind. Ziel ist es, dass Privatsphäre zur Standardeinstellung in Browsern wird. 

Die ePrivacy-Verordnung präzisiert die DS-GVO also im Hinblick auf elektronische Kommunikationsdaten und schließt damit ein paar Regelungslücken. Im Großen und Ganzen soll durch die Verordnung die Sicherheit elektronischer Kommunikationsdaten geregelt und schließlich festgelegt werden, unter welchen Voraussetzungen und Bedingungen diese Daten von Betreibern elektronischer Kommunikationsnetze und -dienste verarbeitet werden dürfen. Es werden auch Betroffenenrechte aufgegriffen: es soll Regelungen zur Speicherung und Löschung der elektronischen Kommunikationsdaten geben, sowie weitere Vorgaben zum Schutz der gespeicherten Daten der Endnutzer. Zudem soll die Verordnung die bisherigen Regeln zur Einwilligung in die Datenverarbeitung präzisieren und Vorgaben bezüglich bereitzustellender Informationen und Privatsphäreeinstellungen bei elektronischer Kommunikation enthalten. Des Weiteren soll eine Ende-zu-Ende-Verschlüsselung obligatorisch werden, sodass auch ein Eingreifen seitens staatlicher Stellen stärker reguliert wird. 

Ebenso soll es Regelungen für den Telekommunikationssektor geben. Darunter fallen bspw. Vorgaben für die Anzeige von Rufnummern, deren Unterdrückung, die Sperrung eingehender Anrufe, sowie für unerbetene Kommunikation, Direktwerbung über elektronische Kommunikationsdienste an Endnutzer und Informationspflichten über erkannte Sicherheitsrisiken.  

Letztlich beinhaltet die ePrivacy-Verordnung auch Sanktionen für mögliche Verstöße und beschreibt die Aufgaben der Aufsichtsbehörden.   

Wen wird die ePrivacy-Verordnung betreffen? 

Sobald die ePrivacy-Verordnung in Kraft tritt, sind vor allem Unternehmen mit dem Sitz innerhalb der EU betroffen. Daneben ist die Verordnung aber nach dem sog. Marktortprinzip auch auf solche Unternehmen anwendbar, die ihre elektronischen Kommunikationsdienste innerhalb der EU anbieten. Nicht-EU-Unternehmen benötigen dann einen EU-Vertreter.  

Zu den betroffenen Unternehmen zählen neben den konventionellen Telekommunikationsdiensten auch OTT-I-Dienste (Over-the-top-Dienste der ersten Kategorie), insbesondere Messenger- und E-Mail-Dienste, sowie Anbieter von Internettelefonie. In den Anwendungsbereich der Verordnung fallen zudem nur elektronische Kommunikationsdienste, die öffentlich zugänglich sind, also von einem Anbieter für den Endnutzer bereitgestellt werden.  

Entwicklungen der ePrivacy-Verordnung 

Bisher bekamen die jeweiligen Ausarbeitungen der ePrivacy-Verordnung viel Gegenwind – sowohl seitens zahlreicher Wirtschaftsverbände als auch der EU-Mitgliedstaaten. Bereits 2017 hat die Europäische Kommission einen Gesetzesentwurf für die ePrivacy-Verordnung erlassen, woraufhin das Europäische Parlament noch im selben Jahr einen Änderungsvorschlag abgegeben hat. Lange konnte sich nur der Europäische Rat nicht auf eine einheitliche Linie festlegen. Nachdem etliche Vorschläge innerhalb des Rates von den EU-Mitgliedstaaten abgelehnt wurden, kam es am 10. Februar 2021 schließlich zu einem Konsens.  

Seitdem stehen Trilogverhandlungen zwischen dem Rat, der Kommission und dem Parlament an – bisher jedoch ohne Ergebnis. Die jeweiligen Entwürfe bezüglich der geplanten Verordnung unterscheiden sich in vielerlei Hinsicht, insbesondere in Bezug auf eine Einwilligung in die Datenverarbeitung bzw. deren Ausnahmetatbestände. 

Zunächst sind sich alle drei Organe einig, dass eine Einwilligung nach den Vorgaben der DS-GVO für die Nutzung vorliegen muss, es sei denn, einer der gelisteten Ausnahmetatbestände greift ein. Die in der Privacy-RL genannten Erlaubnistatbestände für eine Datenverarbeitung ohne Einwilligung des Betroffenen werden auch in allen drei Entwürfen größtenteils übernommen, zum Beispiel, wenn die Verarbeitung der Durchführung von Kommunikationsvorgängen dient oder für die Bereitstellung eines Dienstes erforderlich ist.  

Bezüglich weitergehender Erlaubnistatbestände herrscht derzeit Uneinigkeit bei der Kommission, dem Parlament und dem Rat. Zwar halten alle drei Entwürfe der Verordnung eine Ausnahme zur Reichweitenmessung für zulässig, der Umfang dieser Ausnahme ist jedoch umstritten. Während die Kommission und das Parlament diese nur im Namen des Diensteanbieters ohne Einwilligung gestatten, bedarf es nach Ansicht des Rates auch keiner Einwilligung bei der gemeinsamen Verarbeitung durch den betreibenden Diensteanbieter und einem externen Dienstleister (sofern die Voraussetzungen der gemeinsamen Verantwortlichkeit i.S.d. Art. 26 DS-GVO gewahrt sind). Darüber hinaus sehen die Entwürfe des Parlaments und des Rates eines Erlaubnistatbestand vor, sofern die Verarbeitung einer Aktualisierung zum Zwecke der Sicherheit, Vertraulichkeit, Integrität, Verfügbarkeit oder Authentizität dient. Zudem sieht der Europäische Rat eine Ausnahme vom Einwilligungsprinzip darin, wenn die Verarbeitung eine Aufrechterhaltung oder Wiederherstellung der Sicherheit darstellt oder die Verarbeitung mit dem ursprünglichen Zweck der Verarbeitung vereinbar ist, sofern diese vorher nicht aufgrund einer ausdrücklichen Einwilligung des Betroffenen oder zum Schutz des öffentlichen Interesses erfolgte.  

Obwohl die oben genannten, nicht abschließenden Unterschiede zunächst nicht sonderlich schwerwiegend oder ausschlaggebend wirken, sind sie dies in der Praxis jedoch schon. Jeder kleinste Unterschied sorgt dafür, dass die Rechtslage sich beispielsweise in Bezug auf die Nutzung von Cookies erheblich verändert. In einigen Punkten, insbesondere bei Unterschieden in sprachlichen Feinheiten, dürften sich die europäischen Organe relativ zeitnah einigen können, wohingegen andere deutlich auseinander gehen und die Parteien grundverschiedenen Ansichten haben. Es bleibt also abzuwarten, wie sich die Trilogverhandlungen entwickeln und ob letztlich ein Kompromiss gefunden werden kann.  

 “Übergangsregelungen” im TTDSG 

Die Bundesregierung hat im Mai 2021 zudem das Telekommunikation-Telemedien-Datenschutzgesetz (TTDSG) verabschiedet, welches am 01. Dezember 2021 in Kraft treten soll und bestätigt damit erstmals die in Deutschland geltende Regelung zu aktuellen Themen wie Webtracking oder Cookies. Durch das TTDSG werden jedoch auch keine neuen Regelungen aufgestellt, sondern nur die bereits bestehenden Vorschriften, welche sich bisher im TKG und TMG befanden, zusammengetragen und somit der status quo nochmal klargestellt. Änderungen und eine klare europäische Linie bezüglich der Thematik sollen dann durch die ePrivacy-Verordnung eintreten.  

Fazit  

Aufgrund der anhaltenden Verhandlungen innerhalb der EU, erscheint es erstmal unwahrscheinlich, dass sich der Rat, die Kommission und das Parlament in Kürze auf eine Fassung der ePrivacy-Verordnung einigen können. 

Demnach wird es voraussichtlich noch einige Zeit dauern, bis die ePrivacy-Verordnung, namentlich ein Kompromiss, von allen drei europäischen Organen abgesegnet und dann auch verabschiedet wird. Bisher ist es noch sehr unklar, ob und wie die Ansichten der jeweiligen Akteure bezüglich ePrivacy auf einen Nenner gebracht werden können. Die ePrivacy-Verordnung wird daher (mit hoher Wahrscheinlichkeit) nicht mehr vor 2022 erwartet werden können. 

Deshalb herrschen weiterhin Rechtsunsicherheiten für Unternehmen, vor allem im Bereich von Nutzer-Tracking und Cookies. Solange noch keine Verordnung erlassen und in Kraft getreten ist, muss sich also weiter an den Vorschriften der DS-GVO, sowie dem TMG und dem TKG, bzw. ab Dezember 2021 an dem TTDSG orientiert werden. 

https://ec.europa.eu/info/law/better-regulation/have-your-say/initiatives/12741-Commission-Implementing-Decision-on-standard-contractual-clauses-for-the-transfer-of-personal-data-to-third-countrie

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!

Wir informieren sie über die Reichweite des Auskunftsanspruchs nach Art. 15 DS-GVO.

Der BGH äußerte sich erstmals zur Reichweite des Auskunftsanspruchs nach Art.15 DS-GVO

Einführung 

Der Bundesgerichtshof („BGH“) setzte sich in seinem Urteil vom 15. Juni 2021 (Az. VI ZR 576/19) mit der Reichweite des Auskunftsanspruchs nach Art. 15 DS-GVO auseinander. Dabei geht der BGH grundsätzlich von einer weiten Reichweite des Auskunftsbegehrens aus. 

Im vorliegenden Urteil ging es um einen Versicherungsnehmer (Kläger), der bei seinem Versicherungsunternehmen (Beklagte) eine kapitalbildende Lebensversicherung abgeschlossen hat. Der Versicherungsnehmer verklagte das Versicherungsunternehmen unter anderem wegen ausstehender Rückzahlung der Versicherungsprämien. Im Rahmen seines Klagebegehrens verfolgte er auch einen umfassenden Auskunftsanspruch, da ihm seines Erachtens kein vollständiger Auskunftsanspruch hinsichtlich seiner Daten gewährt wurde. Zu Beginn der Klage stützte sich der Auskunftsanspruch noch auf § 34 BDSG und wurde im Verlauf durch Art. 15 DS-GVO ersetzt. Der Kläger verlangte Auskunft über die gesamte Korrespondenz der Parteien, einschließlich der Daten des vollständigen Prämienkontos, Zweitschriften und Nachträge zum Versicherungsschein, sowie Telefon-, Gesprächs- und Bewertungsvermerke der Beklagten zum Versicherungsverhältnis. Die Beklagte weigerte sich so weitreichende Auskünfte zu erteilen, da diese ihres Erachtens nicht von Art. 15 DS-GVO erfasst seien. 

Das Amtsgericht Brühl wies die Klage mit der Begründung ab, dass weder ein Rückzahlungsanspruch noch ein weitreichender Auskunftsanspruch im Sinne des damals noch geltenden § 34 BDSG bestünde. Wenn überhaupt bestünde lediglich ein “Basisanspruch” und diesem sei die Beklagte nach Auffassung des Amtsgerichts Brühl ausreichend nachgekommen. Das Landgericht Köln wies die Berufung als unzulässig ab, sodass die Klage auf Auskunft letztlich vom BGH zu entscheiden war. 

Voraussetzungen von Art. 15 DS-GVO 

Die Norm ermöglicht jedem Betroffenen das Recht einen Auskunftsanspruch über seine personenbezogenen Daten, die von dem Verantwortlichen verarbeitet werden, zu verlangen. Art. 15 DS-GVO bezieht sich allerdings nicht nur auf personenbezogene Daten, sondern auch auf weitere Auskünfte hinsichtlich: 

  • des Verarbeitungszwecks,  
  • der Kategorien personenbezogener Daten, die verarbeitet werden; 
  • die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, insbesondere bei Empfängern in Drittländern oder bei internationalen Organisationen; 
  • falls möglich die geplante Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer; 
  • das Bestehen eines Rechts auf Berichtigung oder Löschung der sie betreffenden personenbezogenen Daten oder auf Einschränkung der Verarbeitung durch den Verantwortlichen oder eines Widerspruchsrechts gegen diese Verarbeitung; 
  • das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde; 
  • wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden, alle verfügbaren Informationen über die Herkunft der Daten; 
  • das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Artikel 22 Absätze 1 und 4 und – zumindest in diesen Fällen – aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person. 

Die in Art. 15 Abs.1 DS-GVO genannten Auskunftsmöglichkeiten eröffnen somit einen umfassenden Bereich, den man beim Auskunftsanspruch eines Betroffenen berücksichtigen muss.  

Grundsätzlich unterliegt die Ausübung dieses Auskunftsanspruches keinen besonderen Formerfordernissen. Die Auskunft kann schriftlich, persönlich, telefonisch oder auch per E-Mail beantragt werden.  

Bei der Beantragung muss zudem kein Grund für die gewünschten Auskünfte genannt werden.  

BGH bestätigt weiten Umfang des Auskunftsanspruchs 

Bereits 2007 hatte sich der EuGH im Rahmen eines Urteils für einen weiten Umfang des Auskunftsanspruches ausgesprochen. Damals bezog sich der EuGH noch auf die Richtlinie 95/46/EG (Datenschutzrichtlinie) zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, die schließlich von der DS-GVO abgelöst wurde. Dennoch wurde bereits damals ein umfangreicher Auskunftsanspruch anerkannt, der die Betroffenen berechtigt ihre Datenverarbeitung einzusehen, über sie informiert zu werden und Berichtigung oder ggf. Löschung zu verlangen. Dieser Linie folgt nun auch der BGH und hat erstmals zum weiten Umfang des Auskunftsanspruch nach Art.15 DS-GVO Stellung bezogen. Im vorliegenden Urteil hat der BGH folgende Feststellungen getroffen, an die man sich zukünftig bei der Bearbeitung eines Auskunftsanspruches orientieren kann: 

Demnach sind alle personenbezogenen Daten i.S.d. Art. 4 Nr.1 DS-GVO von Art. 15 DS-GVO erfasst. Gemäß des BGH ist diese Norm auch nicht dahingehend teleologisch zu reduzieren, dass nur „signifikante biografische Informationen“ erfasst werden. Das ergibt sich bereits aus dem Erwägungsgrund Nr. 63 S.1 der DS-GVO. Danach soll der Betroffene in angemessenen Abständen sein Auskunftsrecht bezüglich seiner personenbezogenen Daten ausüben können, um zu erfahren welche Daten und zu welchen Zwecken die Daten verarbeitet werden. Der Betroffene soll sich durch die Auskunft der Bearbeitung seiner Daten bewusstwerden und die Möglichkeit haben die Rechtmäßigkeit der Datenverarbeitung zu überprüfen.  

Der BGH entschied weiter, dass selbst Dokumente, die der Betroffene bereits kennt, vom Auskunftsbegehren erfasst werden können.  

Der Auskunftsberechtigte kann sogar wiederholt Auskunft verlangen. 

Auch die Korrespondenz mit Dritten wird erfasst. Selbst interne Vermerke fallen unter Art. 15 DS-GVO, da die Norm nicht voraussetzt, dass die fraglichen Daten extern zugänglich sind. 

Anhand der Feststellungen des BGH zeigt sich, dass im Rahmen eines Auskunftsanspruches eine umfassende Sammlung an personenbezogenen Daten herauszugeben ist. Der Verantwortliche kann keine „Rosinenpickerei“ vornehmen und nur die Daten rausgeben, die seines Erachtens ausreichend sind, um dem Auskunftsanspruch zu entsprechen. 

Einschränkungen des Auskunftsanspruchs nach Art. 15 DS-GVO  

So viele Daten der Auskunftsanspruch auch umfasst, so ergeben sich gleichwohl Einschränkungen des Auskunftsumfangs. Hierzu zählen unter anderem Daten, die im Rahmen einer internen rechtlichen Analyse über die betroffene Person zusammengefasst wurden. Grundsätzlich können diese Analysen personenbezogene Daten enthalten, die Beurteilung der Rechtslage stellt aber keine Information über den Betroffenen dar. Zum anderen werden keine Daten über Provisionszahlungen oder Ähnliches erfasst. 

Auswirkungen von Ausschlussnormen  

Im zugrundeliegenden BGH-Urteilbleiben die Auswirkungen von Ausschlussnormen wie beispielsweise Art. 12 Abs. 5 S. 2 und Art. 15 Abs. 4 DS-GVO hingegen unberücksichtigt. Dennoch sollten diese im Rahmen des Auskunftsanspruchs Beachtung finden. 

Art. 12 Abs. 5 S.2 DS-GVO schließt z.B. einen Auskunftsanspruch gem. Art. 15 DS-GVO dann aus, wenn dieser offenkundig unbegründet ist. Bei exzessiven Anträgen kann der Verantwortliche zudem ein angemessenes Entgelt für die entstehenden Verwaltungskosten verlangen oder sich sogar gänzlich weigern tätig zu werden. Exzessives Verhalten wird angenommen, wenn es sich um häufige Wiederholungen von Anträgen handelt oder Anträge ohne stichhaltigen Grund in kurz hintereinander geschalteten Zeitintervallen gestellt werden. Die Zeitintervalle sind zu kurz, wenn es offensichtlich unmöglich ist, dass sich die Umstände seit Antragsstellung geändert haben können. 

Schließlich beschränkt Art. 15 Abs. 4 DS-GVO die Herausgabe von Kopien darauf, dass keine Rechte und Freiheiten anderer Personen beeinträchtigt werden dürfen. 

Fazit 

Die gerichtliche Auseinandersetzung mit dem gesetzlichen Auskunftsanspruch gem. Art. 15 DS-GVO ist für den Rechtsanwender durchaus zu begrüßen, da er zukünftig für mehr Rechtssicherheit im Umgang mit dem Auskunftsanspruch nach Art. 15 DS-GVO sorgen wird. 

Allerdings kann die weitgehende Auslegung für die Verantwortlichen zu einem hohen Arbeitsaufwand führen. Ferner können sie sich Schadensersatzansprüchen gem. Art. 82 DS-GVO aussetzen, wenn sie dem Auskunftsanspruch nicht wie geschuldet entsprechen. 

Zu beachten ist jedoch schließlich, dass mögliche Ausschlussnormen gerichtlich noch gar nicht behandelt wurden, sodass es abzuwarten bleibt, ob die beschlossene weite Auslegung im Rahmen von rechtlichen (weiteren) Auseinandersetzungen doch noch begrenzt wird. 

Für weitere Fragen stehen wir Ihnen gerne zur Verfügung.   

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!

Neue Entwicklungen bezüglich der Datenübermittlungen in Drittländer.

Die neuen Standardvertragsklauseln

Einführung 

Die Europäische Kommission hat am 4.6.2021 zwei neue Pakete
von Standardvertragsklauseln (SVK), häufig auch SCCs (Standard Contractual
Clauses) genannt, veröffentlicht (Standardvertragsklauseln-EU und Standardvertragsklauseln-Drittländer). Die SCCs sind nun auf die DS-GVO aktualisiert und sollen helfen, das Vakuum zu schließen, das seit dem Schrems II-Urteil des Europäischen Gerichtshofs vom 16.07.2020 (Schrems II-Urteil) insbesondere beim transatlantischen Datenaustausch herrscht.

Die Wahrscheinlichkeit, dass die neuen SCCs für Ihr Unternehmen relevant sind, ist groß, so dass Sie diesem Thema Aufmerksamkeit schenken sollten.

Hintergrund

Wann immer personenbezogene Daten in ein Drittland übertragen werden, sind die Vorgaben der Art. 44 ff. DS-GVO zu beachten, damit das durch die DS-GVO gewährleistete Schutzniveau nicht untergraben wird.

Eines der Werkzeuge, mit denen Drittlandtransfers rechtlich abgesichert werden können, sind SCCs. Die Bedeutung der SCCs wurde größer, nachdem der Europäische Gerichtshof zunächst in einer ersten Entscheidung (Safe Harbour-Urteildas Safe Harbour Regime für nichtig erklärte, mit dem Datentransfers zwischen den USA und der EU legitimiert werden konnten. Maßgeblich für diese Entscheidung war unter anderem das Fehlen hinreichender Rechtsschutzmöglichkeiten für Europäer in den USA, wenn diese gegen Datenverarbeitungen vorgehen wollten.

Wenige Monate nach der Entscheidung wurde das politisch und wirtschaftlich
gewünschte, rechtlich aber umstrittene EU-U.S.-Privacy Shield als Nachfolger
für Safe Harbour verkündet. Umstritten war das Privacy Shield insbesondere deshalb, weil es das Problem des mangelnden Rechtsschutzes nicht löste. In seiner viel beachteten Entscheidung erklärte der Europäische Gerichtshof
(Schrems II) sodann das Privacy Shield für unwirksam. 

Das Gericht stellte zudem fest, dass die bisherigen SCCs bei Datentransfers in
Länder ohne Angemessenheitsbeschluss durchaus weiterverwendet werden können, allerdings zusätzliche Garantien verabredet werden müssen, um hinreichenden Schutz zu gewährleisten. Dies stellte Unternehmen vor eine kaum lösbare Aufgabe. 

Warum ist dies für Sie relevant? 

Wissen Sie im Einzelfall, wann Sie oder die von Ihnen genutzten Softwareprodukte oder Systeme personenbezogenen Daten übermitteln? Wissen Sie auch, wohin die Daten von dort gegebenenfalls übermittelt werden? Unter Umständen finden in Ihrem Unternehmen Datenexporte statt, von denen Sie bislang nichts wussten und die, sofern möglich, neben den Ihnen bekannten Datentransfers auf eine rechtlich solide Basis gebracht werden müssen. 

Die neuen SCCs

Datenexporteure können je nach Vertragsverhältnis mit den
neuen SCCs aus vier Modulen für unterschiedliche Szenarien wählen:

  1. Übermittlung
    von Verantwortlichen an Verantwortliche (C2C)
  2. Übermittlung
    von Verantwortlichen an Auftragsverarbeiter (C2P)
  3. Übermittlung
    von Auftragsverarbeitern an Auftragsverarbeiter (P2P)
  4. Datentransfer
    von Auftragsverarbeitern an Verantwortliche (P2C)

Die Regelungen zwischen zwei Auftragsverarbeitern und von Auftragsverarbeitern an Verantwortliche stellen eine sinnvolle Ergänzung zu den bislang angebotenen SCCs dar. 

Die SCCs enthalten verschiedene Anhänge, mit denen die konkret vorliegende Situation transparent erfasst werden kann. Besonders interessant ist auch, dass die Klauseln regeln, wie mit Ersuchen von Behörden im Drittland nach einer Weitergabe der übermittelten personenbezogenen Daten umzugehen ist.

So wie in der DS-GVO werden auch die Betroffenenrechte in
den modernisierten SCCs
besonders gestärkt. Beispielsweise muss der Datenimporteur Betroffene benachrichtigen, wenn ein rechtsverbindlicher Antrag der Behörde auf Herausgabe seiner personenbezogenen Daten vorliegt. Wird dem Datenimporteur eine Benachrichtigung behördlich untersagt, soll er sich bestmöglich um eine Aufhebung der Untersagung bemühen.

Durch die Standardvertragsklauseln werden die Voraussetzungen des Art. 28 Abs. 3 und 4 DS-GVO erfüllt, sodass die Ansicht einzelner deutscher Datenschutzbehörden, dass gegebenenfalls zusätzliche Klauseln im Falle von Übermittlungen an Auftragsverarbeiter benötigt werden, keinen Bestand mehr hat.

In den neuen SCCs sind nunmehr Haftungsregelungen enthalten für den Fall, dass eine unberechtigte Herausgabe von Daten vorgenommen wird. Diese waren zuvor optional.

Chance und Risiko gleichzeitig ist die Flexibilität der SCCs. Sie basieren wie die DS-GVO auf einem risikobasierten Ansatz. Das bedeutet aber auch, dass es den Parteien obliegt, die Risiken für etwaige Betroffene abzuschätzen. Sie müssen mit Ihrem Vertragspartner prüfen und abwägen, ob die Rechtslage und der Umgang mit Herausgabeansprüchen vor Ort einen angemessenen Schutz der personenbezogenen Daten gewährleistet. Ist dies nicht der Fall, dürfen keine Daten transferiert werden oder es sind zusätzliche Schutzmaßnahmen zu ergreifen. Dies können technische und organisatorische Maßnahmen zur Gewährleistung der Sicherheit der Daten wie Pseudonymisierung oder Verschlüsselung sind.  

Drei wichtige Daten

Folgende Zeitpunkte sind für Ihre Planungen relevant:

  • 27.06.2021: Die neuen SCCs treten in Kraft.

  • 27.09.2021: Die alten SCCs werden aufgehoben.
  • 27.12.2022: Ab dem 27.09.2021 gilt eine 15-monatige Umsetzungsfrist: Mit Ablauf des 27.12.2022 müssen alle alten Verträge, die vor dem 27.09.2021 geschlossen wurden, die neuen SCCs einbeziehen, d.h. bis dahin dürfen bestehende Verträge die alten SCCs noch verwenden. Danach dürfen die alten SCCs nicht mehr verwendet werden.
  • Neuverträge: Ab dem 27.09.2021 können nur noch die neuen SCCs verwendet werden.

Was ist zu tun? 

Im Rahmen der zeitlichen Vorgaben sind Ihre Vertragsbeziehungen gegebenenfalls anzupassen. Exportieren Sie personenbezogene Daten oder arbeiten Sie mit Datenexporteuren zusammen? Sind die bisherigen Regelungen ausreichend? Sind Sie überhaupt schon auf „Schrems II“ hin aktiv geworden? Liegen bei Ihnen die bisher nicht geregelten Situationen 3 oder 4 vor? Beachten Sie, dass im Hinblick auf Bestandsverträge zu prüfen ist, ob zusätzliche Garantien vereinbart wurden und diese ausreichend sind. Rechtzeitig vor Ablauf der Übergangsfrist sind neue Verträge zu verhandeln.

Bei Neuverträgen ist wichtig, dass Sie mit der Auswahl der zur Verfügung stehenden Handlungsoptionen für ein ausreichendes Schutzniveau sorgen und aktiv werden, wenn Anlass zu Zweifeln daran besteht, dass (weiterhin) ein ausreichendes Schutzniveau gewährleistet ist.

Als spezialisierte Datenschutz- und IT-Kanzlei stehen wir Ihnen in allen diesen Fragen gerne zur Verfügung. Wir begleiten und unterstützen Sie in der Lösungsfindung für einen rechtssicheren Umgang mit personenbezogenen Daten!

https://ec.europa.eu/info/law/better-regulation/have-your-say/initiatives/12741-Commission-Implementing-Decision-on-standard-contractual-clauses-for-the-transfer-of-personal-data-to-third-countrie

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!

Wir informieren Sie über den Entwicklungsstand der E-Evidence-Verordnung.

E-Evidence-Verordnung –
Ein Mittel Zur Kriminalitätsbekämpfung?

Einführung 

Seit 2017 wird über eine e-Evidence Verordnung diskutiert. Diese Verordnung, im vollen Namen „Verordnung über Europäische Herausgabeanordnungen und Sicherungsanordnungen für elektronische Beweismittel in Strafsachen“, wurde 2017 von der EU-Kommission vorgeschlagen. Ziel ist es den Behörden den Zugriff auf private Daten von Bürgerinnen und Bürgern im Rahmen eines Ermittlungsverfahrens zu vereinfachen. 

Ausschlagegebend für die Diskussion und den Vorschlag der EU-Kommission war der Anstieg von länderübergreifenden Anfragen durch Strafverfolgungsbehörden zur Herausgabe von elektronischen Beweismitteln. Da die meisten Daten auf Servern im Ausland gespeichert sind, stellt die Anforderung und Herausgabe von Daten einen enormen bürokratischen Prozess dar. Bereits vor einigen Jahren wurde für diese Fälle eine Zusammenarbeit zwischen den Ländern entwickelt, wie beispielsweise die Richtlinie zur Europäische Ermittlungsanordnung (2014/41/EU) oder das Budapester ÜbereinkommenDiese Übereinkommen ermöglichen den Mitgliedsstaaten derzeit Rechtshilfe in Strafverfahren und Verwaltungsverfahren, die auch strafrechtlich verfolgt werden können.  Um entsprechende Auskünfte zu erhalten, muss der Mitgliedsstaat die jeweiligen Formalitäten und Verfahrensvoraussetzungen des ersuchenden Mitgliedsstaats befolgen. Die Europäische Ermittlungsanordnung enthält grundsätzlich umfassende Regelungen zu jeder erforderlichen Ermittlungsmaßnahme und umfasst auch den Zugang zu elektronischen Beweismitteln.  Aufgrund des steigenden Bedarfs und schnellerem Zugang zu elektronischen Beweismittelngenügt diese Form der Zusammenarbeit nicht mehrDenn laut der EU-Kommission dauert es im Durchschnitt zehn Monate, bis eine Herausgabeanforderung erfolgreich beantwortet wird. Daher soll dieser Herausgabeprozess nun durch die e-Evidence-Verordnung vereinfacht werden. Die Verordnung soll die Europäische Ermittlungsanordnung nicht ersetzen, sondern insbesondere im Bereich der elektronischen Beweismittel ergänzen. 

Was beinhaltet der Vorschlang? 

Ziel ist zunächst die effizientere und sichere Gestaltung der Rechtshilfe, um die Zusammenarbeit zwischen den Behörden und Diensteanbietern zu verbessern und Lösungen im Zusammenhang mit der Ermittlungsarbeit im Cyberspace zu gewährleisten. 

Der Vorschlag gibt dazu den Behörden zwei Instrumente zur Hand, zum Einen die Herausgabeanordnung und zum Anderen die Sicherungsanordnung. Bei der Sicherungsanordnung müssen bestimmte Daten zunächst gespeichert werden, um für eine eventuelle spätere Herausgabe zur Verfügung zu stehen. Kommt der Dienstanbieter der Aufforderung nicht innerhalb der zehntägigen Frist nach (im Notfall innerhalb von 6 Stunden), dann wird ihm gegenüber ein Bußgeld verhängt in Höhe von 2 % des weltweiten Jahresumsatzes. 

Um diese Instrumente zu nutzen, muss zwingend die Verfolgung einer Straftat vorausgehen. Anordnungen müssen demnach von einer Justizbehörde oder von einem Gericht erlassen oder validiert werden. 

Eine weitere Maßnahme soll die Ernennung eines Vertreters durch einen Diensteanbieter sein, der auf die Anfragen der Behörden schnell und kompetent reagieren kann. Der Vertreter soll dann im Rahmen seiner  Tätigkeit auch über die Rechtmäßigkeit der Anordnung entscheiden. 

Grundsätzlich soll der Vollstreckungsstaat nicht in den Anordnungsprozess eingebunden werden, doch ist dafür ein Ausnahmefall vorgesehen. Immer dann, wenn der Diensteanbieter sich weigert der Anordnung nachzukommen, wird der Vollstreckungsstaat mit einbezogen.  

Die Maßnahmen zielen insbesondere auf die Herausgabe von Transaktions-, Inhalts-, Teilnehmer- und Zugangsdaten ab. Laut des Vorschlags sind jedoch nur die Transaktions- und Inhaltsdaten besonders schutzbedürftig, obwohl es sich bei allen Daten um personenbezogene Auskünfte handelt. Jedoch stehen nur diese beiden Daten unter einem Richtervorbehalt und die anderen Daten können von einem Staatsanwalt angeordnet werden. 

Kritik am Vorschlag 

Der Vorschlang erfährt seit der Vorlage im Jahr 2017 immer wieder zahlreiche Kritik. Erst kürzlich wieder hat sich öffentlich ein Bündnis aus Medienverbänden und –unternehmen an die Abgeordneten des EU-Parlaments gewandt, um dem Entwurf der e-Evidence-VO nicht zuzustimmen. Mit dieser Bitte stehen sie nicht allein, auch zahlreiche Anwaltsverbände und Datenschutzkritiker haben stets ihre Bedenken zum Vorschlag geäußert. 

Die schnellere und grenzüberschreitende Bearbeitung sowie der erleichterte Zugang zu elektronischen Beweismitteln sind durchaus nachvollziehbar. Doch bestehen hinsichtlich der praktischen Anwendung Bedenken, insbesondere mit Blick auf die Erforderlichkeit einer neuen Verordnung und die mangelnde Berücksichtigung der Eingriffsintensität in die Schutzrechte von betroffenen Personengruppen, beispielsweise bleiben der Schutz von Berufsgeheimnisträgern oder Immunitäten unbeachtet. 

Gibt man die justizielle Überprüfung einfach an Privatpersonen ab, führt dies unweigerlich zu einem Einschnitt der notwendigen Rechtsstaatlichkeit. Zudem drohen bei Nichtbefolgung der Privatperson hohe Sanktionen, sodass dieser eher gewillt ist Daten im Rahmen einer Anordnung herauszugeben unabhängig davon wessen Schutzrechte ggf. dadurch betroffen sind. Staatliche Institutionen haben im Gegensatz dazu ganz andere Möglichkeiten sich gegen die Anordnung zu wehren oder zumindest eine ordentliche Überprüfung vorzunehmen. 

Des Weiteren führt die mangelnde Mitwirkung des Vollstreckungslandes dazu, dass dieser den Grundrechtsschutz der betroffenen Person sowie des Diensteanbieters nicht überprüfen oder überhaupt gewährleisten kann. Da gerade in Deutschland der Grundrechtsschutz und der Datenschutz sehr hohe Hürden haben, ist zu erwarten, dass diese Schutzmechanismen ausgehöhlt werden. Kritisiert wird in diesem Zusammenhang auch der schwierig auszuübende Rechtsbehelf. Ein Rechtsbehelf kann nur in dem Anordnungsstaat eingelegt werden und dieser Vorgang führt beim Betroffenen zu praktischen Schwierigkeiten (Distanz, Sprache, finanzielle Aufwendungen). 

Einer einfachen Umsetzung stehen ebenfalls die verschiedenen Strafgesetze der einzelnen Mitgliedstaaten entgegen. Für die unterschiedlichen Straftaten gibt es jeweils unterschiedliche Strafrahmen. Dementsprechend ist es schwierig einheitliche Regelungen festzulegen. Das ist auch für das Verfahren der Herausgabeanordnung problematisch. Denn für die Ermittlung wird zwar die Verfolgung einer Straftat gefordert, diese muss aber nur im Anordnungsstaat vorliegen und nicht im Herausgabeland selbst. Werden beispielweise in einem Mitgliedsstaat bestimmte Taten überhaupt bestraft anders als in Deutschland (bspw.: politische Meinungsäußerung, Abtreibung), dann kann der entsprechende Mitgliedstaat dementsprechend unter niedrigeren Voraussetzungen Daten in Deutschland herausverlangen als deutsche Behörden selbst. Selbst der vorgeschlagene Mindeststrafrahmen von drei Jahren kann dabei keine Abhilfe schaffen. Denn dadurch können die entstehenden intensiven Grundrechtseingriffe nicht gerechtfertigt werden. 

Bisher ist auch noch nicht abschließend geklärt, ob es tatsächlich als Verordnung oder als Richtlinie verabschiedet wird. Ursprünglich wollte die EU-Kommission den Vorschlag als Richtlinie umsetzen. Das EU-Parlament fordert hingegen die Festlegung als Verordnung. 

Schließlich könnte man noch kritisieren, dass dieser Vorschlag erfolgt ist, ohne vorher die Vorgängerregelung, die europäische Ermittlungsordnung, zu evaluieren.  

Verhandlungen zwischen der EU mit den USA über ein Abkommen zum Austausch elektronischer Beweismittel 

Parallel zu den Diskussionen über eine e-Evidence-Verordnung hat die EU-Kommission Verhandlungen mit den USA über den Datenzugriff von USBehörden aufgenommen. Als Grundlage für die Verhandlungen will die USA ein Abkommen zum Austausch elektronischer Beweismittel nehmen, das sie bereits im Oktober 2019 mit Großbritannien abgeschlossen haben. Auch der CLOUD Act soll als Verhandlungsgrundlage dienen. 

Doch insbesondere mit dem CLOUD Act als Grundlage geraten die Verhandlungen in die Kritik der Datenschützer, weil der CLOUD Act nicht mit der DSG-VO vereinbar ist. Der Cloud Act ermächtigt US-Unternehmen ihre Daten an Drittstaaten weiterzugeben, sofern ein zwischen den USA und dem Drittstaat entsprechendes Abkommen besteht. Ein derartiges Abkommen kann aus Sicht der USA aber nur Zustandekommen, wenn der Drittstaat im Gegenzug den direkten Zugriff für US-Behörden ermöglicht. Aufgrund der datenschutzrechtlichen Unterschiede, wäre ein Abkommen zum jetzigen Zeitpunkt so nicht möglich. Beispielsweise sieht ein Datenzugriff durch die USA unter anderem eine Echtzeitdatenerfassung vor. Dieser und weitere Aspekte erschweren die Einigung über ein Abkommen mit den USA. Dennoch versucht die EU-Kommission Regelungen der e-Evidence-VO auf die USA zu erweitern, um den Strafverfolgungsbehörden die Ermittlung zu erleichtern. Wie die Verhandlungen mit den USA ausgehen, bleibt schließlich abzuwarten und hängt von den Trilog-Verhandlungen der EU-Institutionen zur e-Evidence-VO ab. 

Fazit 

Liest man den Vorschlag der EU-Kommission zu der geplanten e-EvidenceVerordnung sind die Vorhaben durchaus plausibel und nachvollziehbar. Dennoch bleiben noch einige Fragen ungeklärt und in der praktischen Anwendung wird kein ausreichender Schutz für mehrere betroffene Personengruppen erreicht. Zudem wird der Diensteanbieter in die Position einer Justizbehörde gedrängt, er allein muss entscheiden, ob Daten herausgegeben werden oder nicht ohne eine qualifizierte Überprüfung, die sonst durch Einschaltung einer Justizbehörde erfolgt. Ein Mittel zur Kriminalitätsbekämpfung kann diese Verordnung zwar sein, doch missachtet sie in der jetzigen Form wesentliche Schutzrechte und weist rechtsstaatliche Nachteile auf, die es unbedingt zu beseitigen gilt.  

Im Rahmen eines Kompromissvorschlages hat das EU-Parlament im Dezember 2020 beschlossen interinstitutionelle Verhandlungen über die e-Evidence-Verordnung aufzunehmen. Am 10. Februar 2021 begann der Trilog zwischen den EU-Institutionen unter Führung der portugiesischen Präsidentschaft und am 20. Mai 2021 startet der nächste Trilog-Termin. 

Wir werden Sie über die kommenden Entwicklungen informieren. 

https://ec.europa.eu/info/law/better-regulation/have-your-say/initiatives/12741-Commission-Implementing-Decision-on-standard-contractual-clauses-for-the-transfer-of-personal-data-to-third-countrie

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!

Grundsätzlich gilt, dass ausschließlich die sogenannte “federführende Behörde” für Datenschutzverstöße zuständig sei, so der Generalanwalt des EuGH.

Grenzüberschreitende Zuständigkeit von Datenschutzbehörden  

Einführung 

Der Europäische Gerichtshof (EuGH) befasst sich derzeit in einem Vorabentscheidungsverfahren mit der Frage der grenzüberschreitenden Zuständigkeit von Datenschutzbehörden. Hintergrund der Rechtssache C-645/19 ist ein 2015 entstandener Rechtsstreit zwischen der belgischen Datenschutzbehörde (Gegevensbeschermingsautoriteit) und Facebook Belgium. Die belgische Datenschutzbehörde leitete ein Verfahren gegen Facebook ein und rügte dabei mehrere Datenschutzverstöße, insbesondere die Nutzung von Cookies ohne explizite Einwilligung der Nutzer oder die Datenerhebung auf Webseiten Dritter durch Social Plugins oder Pixel. Facebook ist dabei der Ansicht, dass die belgische Datenschutzbehörde für die Führung des Verfahrens nach Inkrafttreten der Datenschutz-Grundverordnung (DS-GVO) gar nicht mehr zuständig sei. Zuständig sei nun lediglich die irische Datenschutzbehörde (Irish Data Protection Commission), da Facebook seinen europäischen Hauptsitz in Irland hat.  

Das Berufungsgericht in Brüssel hat sich schließlich an den EuGH gewandt, um die Frage der grenzüberschreitenden Zuständigkeit von Datenschutzbehörden zu klären. Ein Urteil des EuGH steht derzeit noch aus, der zuständige Generalanwalt Michal Bobek hat in seinen Schlussanträgen aber bereits Stellung genommen. 

Erwägungen des Generalstaatsanwalts 

Zur Beantwortung der Zuständigkeitsfrage bezieht sich der Generalanwalt vor allem auf den Wortlaut des Art. 56 Abs. 1 und Abs. 6 DS-GVO und ist somit der Auffassung, dass für eine grenzüberschreitende Datenverarbeitung ausschließlich die federführende Datenschutzbehörde zuständig sei. Die federführende Datenschutzbehörde ist diejenige, in dessen Hoheitsgebiet sich der Hauptsitz des Unternehmens oder dessen einziger Sitz in der EU befindet. Im vorliegenden Fall wäre das somit die irische Datenschutzbehörde. 

Von der Zuständigkeit der federführenden Datenschutzbehörde sei dann vor allem auch die Einleitung und Führung eines gerichtlichen Verfahrens umfasst. Zwar dürften nationale Datenschutzbehörden bei Verstößen auf ihrem Hoheitsgebiet grundsätzlich tätig werden (Art. 55 Abs. 1 i.V.m. Art. 57 Abs. 1 lit. A DS-GVO), ihre Zuständigkeit sei jedoch ausdrücklich auf nationale Datenverarbeitungsvorgänge beschränkt. Für eine grenzüberschreitende Datenverarbeitung seien die nationalen Datenschutzbehörden gerade nicht zuständig, sofern sie nicht gleichzeitig die federführenden Datenschutzbehörden sind 

Die Zuständigkeitsregelung der DS-GVO bezwecke vor allem die besondere Stellung der federführenden Behörde, um frühere Kooperationsschwierigkeiten und Unsicherheiten bezüglich fremder nationaler Regelwerke endgültig zu beseitigen, so Bobek. Trotz alleiniger Zuständigkeit der federführenden Datenschutzbehörde sei diese aber dennoch dazu angehalten mit den betroffenen nationalen Datenschutzbehörden eng zusammenzuarbeiten.  

Nichtsdestotrotz hält der Generalanwalt es für möglich, dass die nationalen Datenschutzbehörden unter engen Voraussetzungen auch bei grenzüberschreitender Datenverarbeitung tätig werden können. Das ist seiner Ansicht nach der Fall, wenn: 

  1. die nationale Datenschutzbehörde außerhalb des sachlichen Anwendungsbereichs der DS-GVO agiert oder 
  2. die nationale Datenschutzbehörde Untersuchungen zu grenzüberschreitenden Datenverarbeitungen anstellt, die durch Behörden in Ausübung eines öffentlichen Interesses oder öffentlicher Gewalt oder durch Verantwortliche erfolge, die keine Niederlassung in der EU haben oder 
  3. es sich um eine dringliche Mnahme handelt oder 
  4. die federführende Datenschutzbehörde beschlossen habe, selbst nicht tätig zu werden.  

 Fazit  

Es ist festzuhalten, dass nach Ansicht des Generalanwalts Bobek bei einer grenzüberschreitenden Datenverarbeitung lediglich die federführende Datenschutzbehörde zuständig sei. Nur unter engen Voraussetzungen sei es den nationalen Datenschutzbehörden gestattet, selbst ein gerichtliches Verfahren einzuleiten. 

Die Erwägungen des Generalanwalts sind für die Richter am EuGH nicht bindend, es bleibt also abzuwarten, wie das Luxemburger Gericht in der Sache entscheiden wird. Häufig wird jedoch der Auffassung der Generalanwälte gefolgt.  

Ein Urteil des EuGH bezüglich der Zuständigkeit wird nun in den kommenden Monaten erwartet. In der konkreten Rechtssache muss dann im Anschluss noch das belgische Gericht entscheiden.  

https://ec.europa.eu/info/law/better-regulation/have-your-say/initiatives/12741-Commission-Implementing-Decision-on-standard-contractual-clauses-for-the-transfer-of-personal-data-to-third-countrie

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!

EU-Kommission veröffentlicht ersten Entwurf für einen Angemessenheitsbeschluss für das Vereinigte Königreich

Neues zur Datenübermittlung ins Vereinigte Königreich nach dem Brexit

Aktueller Stand

Nachdem wir zuletzt noch berichtet hatten, dass ein Angemessenheitsbeschluss für die Übermittlung personenbezogener Daten aus der EU in das Vereinigte Königreich derzeit auf sich warten lässt, kommt jetzt endlich Bewegung in die Diskussion.

So hat die Europäische Kommission nun mehr am 19.02.2021 mitgeteilt, dass sie das Verfahren zur Annahme von zwei Angemessenheitsbeschlüssen (1. Allgemeine Datenschutzverordnung und 2. Strafverfolgungsrichtlinie) für die Übermittlung personenbezogener Daten in das Vereinigte Königreich eingeleitet hat.

Vor dem Hintergrund der aktuellen Rechtsunsicherheiten im Zusammenhang mit der Übermittlung persönlicher Daten zwischen Unternehmen auf beiden Seiten des Ärmelkanals sind dies in jedem Fall gute Nachrichten. Zwar wird der Datenverkehr zwischen der EU und dem Vereinigten Königreich aufgrund einer bedingten, im Handels- und Kooperationsabkommen zwischen der EU und dem Vereinigten Königreich vereinbarten Übergangsregelung sichergestellt. Datenübermittlungen personenbezogener Daten aus der EU in das Vereinigte Königreich sollten somit vorübergehend nicht als Übermittlung an einen Drittstaat gelten und sind daher ohne weitere Garantien wie z.B. Standardvertragsklauseln oder Corporate Binding Rules möglich.

Allerdings gilt diese nur bis zu einem etwaigen Angemessenheitsbeschluss durch die Europäische Kommission, längstens jedoch für vier Monate und ist um zwei Monate verlängerbar und läuft insofern spätestens am 30. Juni 2021 aus, so dass die entsprechenden Rechtsfragen wieder neu verhandelt werden müssten.

Derzeit existieren Angemessenheitsbeschlüsse für die Übermittlung personenbezogener Daten in folgende Drittländer:

  • Andorra
  • Argentinien
  • Kanada
  • Färöer-Inseln
  • Guernsey
  • Israel
  • Isle of Man
  • Japan
  • Jersey
  • Neuseeland
  • Schweiz
  • Uruguay

Aussicht und nächsten Schritte

Als nächster Schritt ist die Einholung einer Stellungnahme des Europäischen Datenschutzausschusses (EDPB) vorgesehen, der sich wiederum aus Vertretern der EU-Mitgliedstaaten zusammensetzt. Sobald dieses Verfahren im Weiteren abgeschlossen ist, könnte die Kommission die beiden Angemessenheitsbeschlüsse schließlich erlassen.

Wir werden Sie über die weiteren aktuellen Geschehnisse informieren und verweisen darauf, dass unabhängig der Frage zur Datenübermittlung auch die Benennung eines UK-Vertreters („UK-GDPR Representative“) erforderlich sein könnte, wenn Sie nicht in UK ansässig sind und als Verantwortlicher oder Auftragsverarbeiter personenbezogene Daten von Individuen in UK verarbeiten. Umgekehrt kann es sein, dass Sie einen EU-GDPR Vertreter benötigen, wenn Sie as als Verantwortlicher oder Auftragsverarbeiter personenbezogene Daten von Individuen in der EU verarbeiten. Wir bieten beide Dienste an. Sprechen Sie uns an!

 
 
 

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!

Einen Elektronikhändler aus Niedersachsen erreichte ein Bußgeldbescheid in Millionenhöhe wegen unzulässiger Videoüberwachung von Mitarbeitern.

Bußgeldbescheid in Höhe von 10,4 Millionen € wegen DS-GVO-Verstoß

Einleitung

Im Dezember 2020 erreichte ein Elektronikunternehmen aus Sarstedt ein Bußgeldbescheid der Landesbeauftragten für Datenschutz (LfD) des Landes Niedersachsen. Gerügt wurde ein Verstoß gegen die Datenschutz-Grundverordnung (DS-GVO), namentlich eine unzulässige Videoüberwachung der Mitarbeiter. Das verhängte Bußgeld betrug 10,4 Millionen € und ist somit das bisher höchste Bußgeld, dass die LfD Niedersachen bisher verhängt hat. Im Folgenden beleuchten wir die Grundsätze für eine Videoüberwachung unter der DS-GVO und gehen genauer auf die Begründung der Datenschutzbehörde und die Reaktion des Elektronikhändlers ein.

Wann ist eine Videoüberwachung am Arbeitsplatz zulässig?

Die Videoüberwachung am Arbeitsplatz ist ein heikles Thema und wird deshalb häufig diskutiert. Aus datenschutzrechtlicher Sicht stellt sie einen erheblichen Eingriff in das Persönlichkeitsrecht der Arbeitnehmer dar. Aus diesem Grund darf eine Videoüberwachung nur erfolgen, wenn sie im konkreten Fall gerechtfertigt ist. Eine Rechtfertigung läge bspw. nach Art. 6 Abs. 1 DS-GVO vor, wenn berechtigte Interessen für eine Videoüberwachung bestünden. Hierfür müsste also zunächst ein berechtigtes Interesse des Arbeitsgebers für eine Videoüberwachung gegeben sein. Dieses Interesse, bspw. ein Eigentumsrecht aus Art. 14 GG oder ein Hausrecht, müsste dann das allgemeine Persönlichkeitsrecht der Arbeitnehmer aus Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG überwiegen.

Es gibt keine starren Höchstfristen für die Speicherung des Videomaterials. Grundsätzlich gilt jedoch, dass die Speicherung der Daten so lange zulässig ist, wie sie zur Zweckerreichung der Videoüberwachung erforderlich ist und keine schutzwürdigen Interessen der Betroffenen entgegenstehen.

Eine Videoüberwachung ist demnach unter den oben genannten strengen Voraussetzungen zulässig. Sofern die Videoüberwachung unzulässig ist, stellt sie einen Verstoß gegen die DS-GVO dar. In einem solchen Fall steht es den Datenschutzbehörden frei, neben oder zusätzlich zu den Maßnahmen aus Art. 58 Abs. 2 DS-GVO, Bußgelder gem. Art. 83 DS-GVO von bis zu 20 Millionen € oder 4 % des Jahresumsatzes (je nachdem was höher ist) zu verhängen.

Begründung der LfD und Reaktion des Elektronikhändlers

Die LfD rügte eine ihrer Ansicht nach unzulässige Videoüberwachung von Mitarbeitern und Kunden, welche über zwei Jahre stattfand. Von den installierten Kameras wurden die Arbeitsplätze, Verkaufsräume, Lager und Aufenthaltsbereiche erfasst.

Das Unternehmen rechtfertigte die Videoüberwachung zunächst damit, dass Straftaten so schneller ausgeklärt werden können und sie die Kameras vor allem installiert hatten, um den Warenfluss zu verfolgen. Mitarbeiter sollten zu keinem Zeitpunkt kontrolliert oder deren Verhalten analysiert werden.

Aus Sicht der LfD sei die konstante Überwachung jedoch nicht verhältnismäßig und würde einen zu schwerwiegenden Eingriff in die Persönlichkeitsrechte der Betroffenen darstellen. Insb. stünden andere Mittel zur allgemeinen Diebstahlprävention zur Verfügung, namentlich stichprobenartige Taschenkontrollen der Mitarbeiter. Eine wie hier dauerhafte Videoüberwachung der Arbeitnehmer komme einem Generalverdacht sehr nah. Die langfristige Videoüberwachung zur Diebstahlprävention verlange jedoch gerade einen konkreten Verdacht gegen eine bestimmte Person, um ein berechtigtes Interesse des Arbeitgebers zu begründen, welches gegenüber den Persönlichkeitsrechten der Mitarbeiter überwiegt.

Die LfD kritisierte zudem, dass das Videomaterial im vorliegenden Fall 60 Tage lang gespeichert wurde, was ihrer Ansicht nach deutlich zu lange und unverhältnismäßig sei.

Aus Sicht des Elektronikhändlers ist der Bußgeldbescheid unzulässig. Das Unternehmen rügte vor allem, dass der Sachverhalt seitens der LfD nicht ausreichend ermittelt wurde. Sie hätten Mitarbeiter der Behörde innerhalb der zwei Jahre häufiger eingeladen und dazu aufgerufen, sich die Überwachungssituation vor Ort genauer anzusehen. Dem sei die Behörde jedoch nicht nachgekommen.  Zudem sei die Höhe des Bußgeldes unverhältnismäßig und stünde nach Angaben des Geschäftsführers „in keiner Relation zur Größe und Finanzkraft des Unternehmens sowie zur Schwere des angeblichen Verstoßes“.

Fazit

Es ist festzuhalten, dass die Videoüberwachung am Arbeitsplatz nur unter strengen Voraussetzungen erlaubt ist, um die Persönlichkeitsrechte der Mitarbeiter zu wahren. Ein Verstoß gegen die Voraussetzungen der DS-GVO berechtigt die Datenschutzbehörden dann im Ergebnis dazu, hohe Bußgelder gegen die Unternehmen zu verhängen. Die LfD Niedersachsen und das Elektronikunternehmen sind bezüglich der Zulässigkeit des Bescheides und der Höhe des Bußgeldes unterschiedlicher Auffassungen. Aus diesem Grund ist der Bußgeldbescheid auch noch nicht rechtskräftig. Das Unternehmen hat Einspruch gegen ihn eingelegt, sodass im weiteren Verlauf ein Gericht über den Fall zu entscheiden hat. Es ist demnach abzuwarten, wie das zuständige Gericht den Sachverhalt beurteilen wird. Es bleibt also spannend, ob das horrende Bußgeld seitens der Justiz als angemessen und gerechtfertigt angesehen wird.

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!

Wir erklären die arbeitsrechtlichen Maßnahmen bei unterlassener Meldepflicht hinsichtlich Datenschutzvorfällen.

Fehlerkultur im Zusammenhang mit Datenpannen

Spannungsfeld zwischen Meldepflicht und arbeitsrechtlichen Sanktionen

Die Zahl bei den Landesaufsichtsbehörden für den Datenschutz gemeldeten Datenvorfällen ist seit Einführung der DS-GVO gestiegen. Allein in  NRW wurden im Jahr 2019 12.500 Fälle gemeldet. Davon waren 2.235 Meldungen sog. Datenpannen gem. Art. 33 DS-GVO. Die  Datenpannen werden häufig durch die eigenen Mitarbeiter verursacht. Dies geschieht unter anderem durch das Öffnen von Phishing-Emails, Datenweitergabe an Unbefugte, etwa in Form von fehladressierten E-Mails, oder das Unterlassen von Updates. Die Folgen für das Unternehmen können verheerend sein. Neben den datenschutzrechtlichen Sanktionen, insbesondere hoher Geldbußen, erwartet das Unternehmen auch einen Imageschaden. Die Meldung eines solchen Vorfalls dient daher als zentrale organisatorische Maßnahme im Unternehmen und sorgt für den Schutz der IT-Infrastruktur und somit auch des Datenschutzes. Dennoch kommen viele Arbeitnehmer ihrer Meldepflicht aus Furcht vor den arbeitsrechtlichen Konsequenzen nicht nach. 

Was sind die Voraussetzungen für die Meldepflicht? 

Die Meldepflicht des Arbeitgebers an die entsprechenden Aufsichtsbehörden bei Datenpannen ergibt sich aus Art. 33 DS-GVO. Die DS-GVO sieht jedoch kein standardisiertes Vorgehen für die Meldung durch den Arbeitnehmer vor.  Die Meldepflicht von Arbeitnehmern für IT-Sicherheits- und Datenschutzvorfälle ergibt sich zum einen aus dem Arbeitsverhältnis und zum anderen aus den vom Arbeitgeber eingeführten Security Policies ergibt.   

Voraussetzung für die Meldepflicht ist das Wissen des Mitarbeiters über IT- oder Datenschutzvorfälle. Zudem dient die Meldepflicht dazu, dass der Mitarbeiter seiner Schadensminderungspflicht gegenüber seinem Arbeitgeber nachkommt. 

Bei Verletzung der Meldepflicht sind die arbeitsrechtlichen Konsequenzen meist abhängig vom Schweregrad des Sicherheitsfehlers. Bei schweren Pflichtverletzungen ist eine ordentliche oder fristlose Kündigung möglich, wie es beim aktuellen Datenschutzvorfall des VfB Stuttgarts zu sehen ist Bei weniger schweren Pflichtverletzungen kommt vielleicht nur eine Abmahnung in Betracht. Letztlich entscheidet der Einzelfall. Da man aber nicht direkt die Schwere des Schadens abschätzen kann, könnte sich aus einem Bagatellschaden noch ein größerer Sicherheitsschaden entstehen und schließlich doch zu härteren arbeitsrechtlichen Konsequenzen führen. Die Beweislast trifft  in der Regel den Arbeitgeber. 

Die angedrohten Sanktionen und die darin enthaltene Selbstbelastung können dazu führen, dass die Mitarbeiter die Sicherheitsvorfälle nicht anzeigen und es kommt zu einem Unterlassen der Meldepflicht.  

Verzicht auf arbeitsrechtliche Sanktionen?  

Die arbeitsrechtlichen Grundsätze zum innerbetrieblichen Schadenausgleich besagen, dass der Arbeitnehmer nur haftet bei Vorsatz und grober Fahrlässigkeit, sowie bei mittlerer Fahrlässigkeit nur anteilig haftet. Bei Vorfällen, die auf fahrlässiges oder leicht fahrlässiges Verhalten des Arbeitnehmers basieren, könnte demnach auf eine arbeitsrechtliche Sanktion verzichtet werden.  

Auf diese Weise können die Mitarbeiter motiviert werden ihre Meldepflicht einzuhalten, selbst wenn ein Fehlverhalten ihrerseits vorliegt. Dem Arbeitgeber ist diese Überlegung zu empfehlen, da er auf die zeitnahe Meldung des Arbeitsnehmers angewiesen ist, um größere Schäden am Unternehmen zu vermeiden. Ein gänzlicher Verzicht ist in der Praxis nicht möglich, da sich die Arbeitnehmer sonst nicht mehr verpflichtet fühlen würden die arbeitsrechtlichen Regelungen einzuhalten. Ferner muss der Arbeitgeber in der Lage sein der eigenen gesetzlichen Meldepflicht nachzukommen, die im Fall von Art. 33 DS-GVO innerhalb von 72 Stunden nach Kenntniserlangung erfolgen muss. Die Frist wird auch dann ausgelöst, wenn ein Wissensvertreter Kenntnis über die Datenpanne erlangt hat.  

Zusätzliche Maßnahmen zur Einhaltung der Meldepflicht? 

Der Arbeitgeber sollte interne Prozesse festlegen, um Verletzungen des Schutzes personenbezogener Daten aufdecken und abstellen zu können. Dazu kann ein “incident response plan” eingeführt werden, der eine umgehende Weiterleitung an die Führungsebene ermöglicht. Diesbezüglich helfen interne Richtlinien weiter, welche u.a die Definition von Datenpannen umfasst und die Verantwortlichen sowie weitere Ansprechpartner nennt. 

Im Allgemeinen empfiehlt es sich, die Mitarbeiter für das Thema Meldepflicht und die damit einhergehenden Schäden besser zu sensibilisieren. Denn um den Mitarbeiter überhaupt in die Haftung miteinzubeziehen, muss dieser auch fähig sein IT-Sicherheits- und Datenschutzvorfälle zu erkennen. Sensibilisierungsmaßnahmen können in Form von IT-Security-Schulungen oder Awareness Trainings erfolgen.  

In Anlehnung an die Whistle-Blower-Fälle könnte man ein anonymisiertes und/oder pseudonymisiertes Meldesystem einrichten, welches eine „sichere“ Meldung von Vorfällen ermöglicht. Der Nachteil an einem Meldesystem ist jedoch meist die gänzliche Pflichtentbindung des Arbeitnehmers bei Verursachung eines Sicherheitsfehlers. 

LAG Kiel nimmt eine andere Betrachtung vor 

Das LAG Kiel hat in einem Urteil vom 06.08.2019 entschieden, dass die Meldung einer Datenpanne keine arbeitsvertragliche Pflicht des Arbeitnehmers darstellt. Im betreffenden Fall hat der Arbeitgeber ein standardisiertes Meldeverfahren in Form einer Arbeitsanweisung festgelegt. Die inhaltlichen Vorgaben der Arbeitsanweisung stellten laut LAG Kiel ein Ordnungsverhalten dar, welches der zwingenden Mitbestimmung des Betriebsrates gem. § 87 Abs.1 Nr.1 BetrVG unterliegt. 

Dabei verkennt das Gericht allerdings die ständige Rechtsprechung des Bundesarbeitsgerichts, wonach positiv festgestellt werden muss, ob eine Maßnahme die betriebliche Ordnung betrifft. Eine derartige Feststellung ist der Entscheidung des LAG Kiel nicht zu entnehmen.  

Diese Entscheidung des LAG Kiel ist insbesondere auch in eiligen Datenschutzfällen fragwürdig. Denn liegt eine mitbestimmungswidrige Anweisung des Arbeitgebers vor, ist diese nicht verbindlich für den Arbeitnehmer. Der Arbeitnehmer ist somit nicht verpflichtet eine Datenpanne zu melden. Gerade im Hinblick auf die Meldefrist für den Arbeitgeber durch die DS-GVO erscheint diese Vorgehensweise nicht praktikabel. 

Abzuwarten bleibt, ob und wie das BAG sich zu dieser Betrachtung äußert. 

Fazit 

Unter Berücksichtigung dieser Erkenntnisse lohnt es sich also für den Arbeitgeber auf Sanktionen wie Abmahnung oder Kündigung in gewissen Fällen zu verzichten. Statt übermäßiger Sanktionierung sollte im Unternehmen eine umfassende Aufklärung über die Meldepflicht und die Konsequenzen bei Unterlassung erfolgen, damit die Arbeitnehmer bei Erkennen eines Datenschutzvorfalls schneller agieren. Ferner sollte eine Abstimmung mit den Sozialpartnern erfolgen, damit keine Komplikationen bei Einführung von Meldesystemen entstehen. 

https://ec.europa.eu/info/law/better-regulation/have-your-say/initiatives/12741-Commission-Implementing-Decision-on-standard-contractual-clauses-for-the-transfer-of-personal-data-to-third-countrie

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!