Kategorie: Datenschutz

Einführung

Im Zeitalter der Digitalisierung lösen internetbasierte Instant-Messenger-Dienste wie WhatsApp die früher so beliebte SMS nahezu vollkommen ab. Momentan nutzen rund 1,5 Milliarden Menschen weltweit WhatsApp. Allein diese Zahl verdeutlicht, wie alltagstauglich internetbasierte Messenger-Dienste geworden sind. Doch Messenger-Dienste spielen nicht nur im Privatleben der Menschen eine Rolle, sondern vermehrt auch im beruflichen Alltag. Mit der Bereitstellung eines beruflichen Smartphones vom Arbeitgeber sind die Kommunikationsplattformen auch dort zu einem festen Bestandteil geworden. Aber Achtung: diese Dienste sind aus datenschutzrechtlicher Sicht mit Vorsicht zu genießen.

Vorteile der Nutzung von WhatsApp auf dem betrieblichen Smartphone

WhatsApp ist ein Instant-Messenger-Dienst und wird zum Austausch von Textnachrichten, Bild-, Video- und Ton-Dateien aber auch Kontaktdaten, Dokumenten und Standortinformationen genutzt. Als deutschlandweit eine der meist genutzten Apps und mehr als 1,5 Milliarden Nutzern weltweit ist der Messenger-Dienst auch in der unternehmerischen Nutzung sehr beliebt. Arbeitgeber koppeln häufig ein betriebliches Smartphone mit einer erlaubten Privatnutzung oder fördern die Verwendung privater Smartphones zu unternehmerischen Zwecken, damit das für den Arbeitnehmer attraktiver ist. Neben WhatsApp zählen auch Outlook oder andere E-Mail-Clients zu den genutzten Diensten auf einem betrieblichen Smartphone.

Probleme, die WhatsApp mit sich bringt

So attraktiv die Nutzung von WhatsApp auf dem betrieblichen Smartphone ist, so viele Probleme bringt sie jedoch auch mit sich. Bereits im Frühjahr 2017 kam das Amtsgericht Bad Hersfeld (Beschl. v. 20.03.2017, Az. F 111/17) zu dem Ergebnis, dass Nutzer von WhatsApp durch die Funktionsweise der fortlaufenden Datenübermittlung von Kontaktdaten aus dem Smartphone-Adressbuch an das US-Unternehmen ohne die Einholung einer Erlaubnis der Kontaktpersonen aus dem Adressbuch gegenüber diesen Personen eine deliktische Handlung begehen.

Zugriff auf das Adressbuch

Datenschutzrechtliche Probleme bringt bereits die Kernfunktionsweise von WhatsApp mit sich. Stimmt der Nutzer den Nutzungsbedingungen von WhatsApp zu, so erstellt WhatsApp eine Liste mit allen Kontakten aus dem Adressbuch des Smartphones. Diese Liste wird mit den bereits auf dem WhatsApp-Server befindlichen Kontakten abgeglichen. Damit gewährt der Nutzer WhatsApp einen Zugriff auf sowohl die Kontakte, die selbst auch die Plattform nutzen, als auch solche, die es nicht tun. Faktisch führt diese Vorgehensweise zu einer Zwangsvernetzung. Zwar hat der Nutzer eingewilligt, dass WhatsApp auf sein Adressbuch zugreift, problematisch ist jedoch, dass die Einwilligung der Personen fehlt, deren Daten sich im Adressbuch befinden, die aber noch nicht mit WhatsApp vernetzt sind.

Nach dem Grundsatz des Verbots mit Erlaubnisvorbehalt bedarf es im betrieblichen Umfeld für die Übermittlung der Kontaktdaten an einen in den Vereinigten Staaten von Amerika befindlichen Server eines Erlaubnistatbestandes nach Art. 6 und 44 ff. DS-GVO. Eine Rechtsgrundlage zur Übermittlung der Kontaktdaten wird aufseiten des WhatsApp Nutzers nur dann nicht benötigt, wenn dieser den Messenger rein im privaten Umfeld nutzt. Denn nach Art. 2 Abs. 2 lit. c) DS-GVO findet die Datenschutz-Grundverordnung dann keine Anwendung, wenn die Verarbeitung durch eine natürliche Person zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten erfolgt (so auch schon § 1 Abs. 1 S. 2 BDSG a. F.).

Soweit die Ausnahme nach Art. 2 DS-GVO nicht einschlägig ist, kommt für die Verarbeitung der Kontaktdaten nach überwiegender Auffassung allein die Einwilligung der Betroffenen in Betracht. Für eine solche wirksame Einwilligung gilt es allerdings, den Betroffenen über die vollständigen Verarbeitungsvorgänge zu informieren sowie die Betroffenenrechte umsetzen zu können. Mangels Kenntnis der Datenübertragung liegt die Einwilligung des Betroffenen jedoch denkbar fern, womit der Zugriff auf das Adressbuch eine rechtswidrige Handlung darstellt, wofür ggf. der Arbeitgeber des Nutzers, welcher WhatsApp den Zugriff gewährt, einzustehen hat.

Das AG Bad Hersfeld lehnte in oben zitiertem Beschluss die Einordnung dieser Zugriffsmöglichkeit als Verletzungshandlung nach dem Bundesdatenschutzgesetz (BDSG a.F) ab, da das BDSG a.F bei rein persönlichen Tätigkeiten nicht eingreift, vgl. § 1 Abs. 1 S. 2 BDSG a. F. Wird ein Smartphone und damit auch WhatsApp jedoch auch betrieblich genutzt, greift diese Ausnahme nicht ein und ein datenschutzrechtlicher Verstoß bleibt möglich. Unabhängig davon kann sich der Nutzer von WhatsApp nach § 823 Abs. 2 BGB in Verbindung mit dem informationellen Selbstbestimmungsrecht aus Art. 1 Abs. 1 iVm. Art. 2 Abs. 1 GG schadensersatzpflichtig machen. Das informationelle Selbstbestimmungsrecht ist eine Ausprägung des verfassungsrechtlich geschützten allgemeinen Persönlichkeitsrechts und umfasst das Recht des Einzelnen, über die Preisgabe und Verwendung seiner persönlichen Daten selbst zu bestimmen. Der deliktische Anspruch aus § 823 Abs. 2 BGB iVm. einem Schutzgesetz ist auch nicht von § 7 BDSG-alt gesperrt (vgl. BT-Drs. 14/4458). Zudem kann der Nutzer keine Ausführungen zu den konkreten Datenverarbeitungen machen und damit nicht die Betroffenenrechte aus der Datenschutz-Grundverordnung (DS-GVO) wie beispielsweise das Auskunftsrecht nach Art. 15 Abs. 1 DS-GVO erfüllen.

Des Weiteren speichert WhatsApp auch alle Metadaten. Das sind Informationen darüber, wer mit wem wann mit welcher Speichergröße und welcher Art kommuniziert hat.

Datenverarbeitungen durch WhatsApp

Zunächst empfängt die WhatsApp Ireland Limited die gespeicherten Daten. Von dort aus werden die Daten zunächst intern mit den Facebook-Unternehmen geteilt, denen WhatsApp seit 2014 unterliegt. Zu guter Letzt verlässt ein Teil der Daten das Unternehmen und nimmt den Weg zu externen Partnern von Facebook auf. Hier kommt es auch zu Datenübermittlungen außerhalb der EU in Drittländer, wo sie wiederum verarbeitet und gespeichert werden.

Verantwortlichkeit bei einem Geschäftshandy

Grundsätzlich liegt die Verantwortlichkeit in datenschutzrechtlicher Hinsicht bei dem Nutzer des Messenger-Dienstes. Danach könnte also der Arbeitnehmer für die Einhaltung des Datenschutzrechts verantwortlich sein. Stellt ein Arbeitgeber seinem Angestellten ein Geschäftshandy zur betrieblichen Verwendung zur Verfügung, so liegt die Verantwortlichkeit jedenfalls diesbezüglich nicht bei dem Nutzer des Smartphones, sondern bei dem Arbeitgeber. Dieser muss diverse datenschutzrechtliche Pflichten erfüllen und haftet im Falle eines Verstoßes gegen geltendes Datenschutzrecht. Aus diesem Grund sollte der Arbeitgeber sich bereits vor der Einführung von betrieblichen Smartphones über die datenschutzkonforme Nutzung der Geräte und der Kommunikationsmöglichkeiten informieren.

Besonderheiten können sich jedoch dann ergeben, wenn der Arbeitgeber dem Arbeitnehmer eine private Nutzung des betrieblichen Smartphones gestattet. Der Arbeitnehmer sollte auf Anweisung des Arbeitgebers die private von der betrieblichen Nutzung strikt trennen und mithilfe technischer Mittel wie beispielsweise einem Mobile Device Management die Trennung von privaten und betrieblichen Daten sicherstellen. Dies dient beispielsweise dem Zweck, dass zu betrieblichen Zwecken verarbeitete Kontaktdaten nicht übermittelt werden.

Dennoch haften primär Arbeitgeber gegenüber dem Betroffenen nach Art. 82 DS-GVO. Der Arbeitnehmer haftet dem Arbeitgeber gegenüber im Innenverhältnis nach den Grundsätzen des innerbetrieblichen Schadensausgleichs, in der Regel vollumfänglich jedoch nur im Falle von grober Fahrlässigkeit oder von Vorsatz.

WhatsApp Business – Die betriebliche Version von WhatsApp

WhatsApp Business ist ein für Unternehmen spezifizierter Kanal zur Kommunikation zwischen Händlern und ihren Kunden. Während es bislang unklar war, ob die Nutzung von WhatsApp nach den Lizenzbestimmungen auch zu geschäftlichen Zwecken gestattet war, bestehen nun im Hinblick darauf keine Unklarheiten mehr.

Im Unterschied zum „normalen“ WhatsApp kann in der Business-Version ein Profil des Unternehmens hinterlegt werden, das Unternehmen kann Chats in Kategorien wie beispielsweise Neukunden etc. sortieren, sowie automatische Antworten einrichten. WhatsApp Business ist lediglich kundenfreundlich gestaltet, hat sich datenschutzrechtlich gesehen aber nicht wirklich verändert. Der Nutzer des Messenger-Dienstes braucht nach wie vor eine rechtliche Grundlage für jede Datenverarbeitung. Diese kann in einer eingeholten DS-GVO-konformen Einwilligung des Kunden liegen, oder aber die Datenverarbeitung wird von einem anderen Rechtfertigungsgrund getragen. Greift kein Rechtsfertigungsgrund ein, handelt auch der Nutzer der Business-Version des Messenger-Dienstes unberechtigt und haftet. 

Handlungsmöglichkeiten

Datenschutzrechtliche Verstöße nach der DS-GVO werden streng geahndet und sollten daher nicht unterschätzt werden. Die drohenden Bußgelder können bis zu 20 Millionen Euro oder bis zu 4 % des weltweit erzielten unternehmerischen Umsatzes betragen. Aus diesem Grund verbieten bereits zahlreiche Unternehmen ihren Arbeitnehmern die Nutzung von Messenger-Diensten auf dem betrieblichen Smartphone. Wer auf WhatsApp und Co trotz der datenschutzrechtlichen Bedenken nicht verzichten kann, kann einen datenschutzrechtlichen Verstoß gegen die DS-GVO nur dann vermeiden, wenn die Kontaktdaten von Kunden nicht im Kontaktbuch eingetragen und gespeichert werden, sondern beispielsweise nur eine Speicherung in einem internen und verschlüsselten Container erfolgt. Eine alternative Handlungsmethode der Zugriffsverweigerung auf das Adressbuch durch WhatsApp hätte eine beeinträchtigende Funktionsweise zur Folge, indem anstelle des Namens der Kontaktperson nur seine Telefonnummer angezeigt wird oder der Nutzer bei Zugriffsverweigerung zum Zeitpunkt der Installation der App überhaupt keine Kontakte angezeigt bekäme und somit auf eine Kontaktaufnahme durch den Chatpartner warten müsste. Für jeden Anruf wäre die Telefonnummer des Kunden händisch einzutippen. Diese Lösung ist allerdings nicht sehr praktikabel, und in der Praxis bei einem großen Unternehmen mit vielen Kunden auch realistisch kaum umzusetzen.

WhatsApp ist aber nicht der einzige Messangerdienst auf dem Markt. Alternative Möglichkeiten stellen beispielsweise die Messanger Threema, Teamwire, Wire, Signal, Hoccer, Siilo, Beekeeper und SIMSme dar. Diese Dienste geben vor, die Kommunikationsdaten zu verschlüsseln  und im Anschluss, ohne sie abzufangen, zu löschen. Die Dienste unterscheiden sich in der konkreten Ausformung, stellen jedoch WhatsApp gegenüber den Nachteil dar, dass die Dienste in der Regel für die Nutzer kostenpflichtig sind, oder aber die Kommunikation nicht über die Telefonnummer des Kunden abläuft, sondern mittels einer eigen für den Dienst entwickelten ID. Im Einzelnen sind die Dienste jeweils auf einen bestimmten speziellen Markt ausgerichtet, wie zum Beispiel Siilo sich speziell an Ärzte, Kliniken und Zahnmediziner richtet und die sensiblen Patientendaten entsprechend behandelt.

Fazit

Zusammenfassend kann man sagen, dass die Benutzung von Messenger-Diensten datenschutzrechtlich nicht unproblematisch ist und daher ein hohes Haftungspotential mit sich bringt. Vorreiter der datenschutzrechtlich kritisiertesten Nachrichtendienste ist WhatsApp, durch welches sich der Nutzer einer hohen Gefahr der Haftung aussetzt. Bei der Bereitstellung eines betrieblichen Smartphones tritt an Stelle des App-Nutzers die Verantwortlichkeit des Arbeitgebers. Neben der ausreichenden Berücksichtigung des Beschäftigtendatenschutzes sollte der Arbeitgeber sich bereits im Vorfeld verschiedene technische Sicherungsmittel der Daten und sichere Kommunikationsmöglichkeiten überlegen. 

Einführung

Die EU-Kommission hat am 19. Dezember 2018 die US-Behörden dazu aufgefordert bis zum 28. Februar 2019 eine ständige Ombudsperson für den Datenschutz zu benennen. Deren Aufgabenbereich soll sich zukünftig auf die Bearbeitung von Beschwerden erstrecken, die sich auf den von US-Behörden vorgenommenen Zugriff auf personenbezogene Daten von EU-Bürgern beziehen. Es handelt sich dabei um solche personenbezogenen Daten, die explizit aufgrund des EU-US-Datenschutzschilds an hieran teilnehmende Unternehmen in den USA übermittelt werden.

Das EU-US-Datenschutzschild und die aktuelle Lage

Am 12. Juli 2016 wurde das EU-US-Datenschutzschild beschlossen, welches am 1. August 2016 in Kraft trat. Das EU-US-Datenschutzschild ist ein vom US-Handelsministerium in Kooperation mit der EU-Kommission eingerichtetes Programm. Primäres Ziel des EU-US-Datenschutzschild ist der Schutz der personenbezogenen Daten von EU-Bürgern und die Sicherstellung von Rechtssicherheit für Unternehmen. Es zeichnet sich durch strenge Datenschutzstandards aus, wodurch einem Missbrauch der Daten von EU-Bürgern vorgebeugt werden soll.

Das Datenschutzschild bildet den Nachfolger des Datenschutzabkommens Safe Harbor, welches  letztlich als rechtlich nicht haltbar eingestuft wurde. Dieses Abkommen war in vielerlei Hinsicht nachteilhaft und somit zukünftig nicht mehr praktikabel. Es galt beispielsweise nur für amerikanische Unternehmen und nicht für Behörden der USA. Einen weiteren, für sein Scheitern letztlich ausschlaggebenden Kritikpunkt bildete die nicht vorhandene Möglichkeit des gerichtlichen Rechtsschutzes europäischer Bürger gegen die Maßnahmen durch die  US-Behörden.

Die zweite Überprüfung des EU-US-Datenschutzschilds

Am 18. Oktober 2018 wurde eine erneute Überprüfung des EU-US-Datenschutzschilds vorgenommen. Beteiligt an den Sitzungen im Rahmen der Überprüfung waren die Vertreter aller US-Ministerien, deren Zuständigkeit im Bereich der Durchführung des Datenschutzschilds liegt. Hierunter fallen die Federal Trade Commission, das Office of the Director of National Intelligence, das Justizministerium und das Außenministerium.

Ergebnisse der Überprüfung

Die Umsetzung der erforderlichen Maßnahmen, namentlich der Ausbau der Zertifizierungsverfahren durch das US-Handelsministerium und die daran anknüpfende Intensivierung der Überwachung des datenschutzrechtlichen Rahmens führen zur Möglichkeit einer schnellen Überprüfung, ob die aus dem Datenschutzschild resultierenden Bedingungen tatsächlich eingehalten werden. Die Einführung einer sogenannten Systemkontrolle soll durch ein Zufallsprinzip prüfen, ob die vom Datenschutzschild vorgegebenen Grundsätze auch umgesetzt wurden. Das Datenschutzschild wird von den Teilnehmern der Sitzung als Erfolg eingestuft. Als Grund hierfür ist eindeutig die Zertifizierung großer Konzerne aus der digitalen Wirtschaft anzuführen. Aktuell wurden insgesamt über 3850 Unternehmen zertifiziert. Bei der Aufnahme eines Unternehmens in die Datenschutzschild-Liste ist von der Einhaltung der entsprechenden Datenschutzstandards auszugehen. Ein dauerhaft gleichbleibender Datenschutzstandard wird dabei durch eine jährlich vorzunehmende erneute Zertifizierung sichergestellt. Die zuständige Kommission sieht hierin einen operativen Rahmen, der geeignet ist eine kontinuierliche Verbesserung vorzunehmen und darauf basierend die Funktionsweise des Datenschutzschilds verbessert.

Notwendigkeit der Ernennung einer Ombudsperson

Zur dauerhaften Aufrechterhaltung eines angemessenen Datenschutzniveaus und Gewährleistung eines irgend gearteten Rechtsbehelfs ist die Ernennung einer Ombudsperson die notwendige Konsequenz. Die Ombudsperson soll sich um Beschwerden über den Zugriff von US-Behörden auf personenbezogene Daten kümmern, die aus der EU im Rahmen des Privacy Shields an teilnehmende Unternehmen in den USA übermittelt werden.

Der Kommissionsvizepräsident formulierte klar und deutlich den Wunsch nach der Benennung einer ständigen Ombudsperson bis spätestens 28.02.2019, damit zwischen EU und USA im Datenschutzbereich ein uneingeschränktes Vertrauen zu Recht vorherrschen darf. Im Falle der stetigen Umsetzung der von der EU-Kommission präsentierten Empfehlungen würde ein höheres Datenschutzniveau gewährleistet. Offen formulierte die Kommission, bei Nichtbenennung einer Ombudsperson geeignete Maßnahmen im Einklang mit der Datenschutz-Grundverordnung zu ergreifen.

Arbeitsweise der US-Wettbewerbsbehörde

Die US-Wettbewerbsbehörde („Federal Trade Commission“) nimmt eine Überwachung der Grundsätze des Datenschutzschilds vor und ist berechtigt im Falle von Unklarheiten die am Datenschutzschild partizipierenden Unternehmen vorzuladen und zu befragen.

Bei der Zertifizierung eines US-Unternehmens unter dem EU-US-Datenschutzschild ist das Unternehmen verpflichtet die betroffene Person vor einer geplanten Datenübermittlung in Kenntnis zu setzen und ihr so die freie Wahl im Hinblick auf eine Zustimmung oder Ablehnung selbst zu überlassen.

Zwingende Voraussetzung für den Beitritt zum EU-US-Datenschutzschild ist die Vornahme einer jährlichen neuen Zertifizierung. Zertifizierungen nach Art. 42 DS-GVO werden für eine Höchstdauer von drei Jahren erstellt und können ggf. verlängert werden.

Fazit

Das EU-US-Datenschutzschild soll das Vertrauen der Europäer in einen funktionierenden Datenschutz durch Gewährleistung von absoluter Datensicherheit wiederherstellen. Eine zentrale Rolle spielt hierbei die Ernennung einer ständigen Ombudsperson. 

Allen am EU-US-Datenschutzschild teilnehmenden Unternehmen wird die Einhaltung der erforderlichen Mindeststandards, die Europa im Bereich des Datenschutzes fordert, belegt. Dies erleichtert den Geschäftsverkehr für alle Beteiligten. Die Einholung zusätzlicher Genehmigungen von Unternehmen in den USA ist folglich entbehrlich.

In Anbetracht der zu beobachtenden Entwicklung der digitalen Wirtschaft sollte das EU-US-Datenschutzschild seinen Ruf als funktionierendem Instrument der Datensicherung durch stetige Weiterentwicklung und Durchführung der entsprechenden Maßnahmen gerecht werden.

Einführung

Art. 26 Abs. 1 S. 1 Datenschutz-Grundverordnung (DS-GVO) kodifiziert das Rechtsinstitut der gemeinsamen Verantwortlichkeit. Dies ist notwendig, da viele Datenverarbeitungen nicht isoliert von einem Verantwortlichen vorgenommen werden, sondern durch Arbeitsteilung mehrere Stellen mit den betroffenen Daten in Berührung kommen. So soll die betroffene Person, deren personenbezogene Daten verarbeitet werden, jedem Verantwortlichen gegenüber ihre Rechte ausüben können. Eine vergleichbare, unmittelbar geltende europäische Norm existierte bislang nicht. Zwar sah die Datenschutzrichtlinie 95/46/EG eine gemeinsame Verantwortlichkeit in Teilen vor, allerdings benannte sie keine rechtlichen Konsequenzen dieser Verantwortlichkeit. Im BDSG a.F. gab es keinerlei Vorschriften zur gemeinsamen Verantwortlichkeit.

Prominentes Beispiel für die Anwendung von Art. 26 DS-GVO ist die Entscheidung des EuGH C-210/16, wonach der Betreiber einer Facebook-Fanpage gemeinsam mit Facebook für die Verarbeitung der personenbezogenen Daten der Besucher seiner Seite verantwortlich ist. Begründet wurde dies damit, dass der Betreiber durch die von ihm vorgegebenen Informationen für sein Zielpublikum an der Entscheidung über die Zwecke und Mittel der Verarbeitung der personenbezogenen Daten der Besucher seiner Fanpage beteiligt ist. Zum Beispiel kann der Betreiber Informationen über das Alter, Geschlecht,  Beziehungsstatus und berufliche Situation, Lebensstil und Interessen seiner Zielgruppe einholen.

Tatbestandsvoraussetzungen

Eine gemeinsame Verantwortlichkeit liegt nach Art. 26 Abs. 1 S. 1 DS-GVO vor, wenn zwei oder mehr Verantwortliche gemeinsam die Zwecke der und die Mittel zur Datenverarbeitung festlegen. Das heißt, sie müssen tatsächlich Einfluss auf die Entscheidung nehmen können. Inhaltlich geht es um die Entscheidung über den Zweck, also das erwartete oder beabsichtigte Ergebnis, und das Mittel, also die Art und Weise der Zielerreichung, so die Art. 29-Datenschutzgruppe.

Dabei ist es notwendig, dass alle Beteiligten der Datenverarbeitung wesentlich an der Entscheidung über das „Warum“ und das „Wie“ der Datenverarbeitung beteiligt sind und die Zusammenarbeit von den Beteiligten gewollt und ihnen bewusst ist. Das bedeutet, dass eine zufällige Zusammenarbeit der Beteiligten für eine gemeinsame Verantwortlichkeit nicht ausreicht. Maßgeblich ist also die kooperative Determinierung des Ziels der Datenverarbeitung und der Instrumente für diese Verarbeitung der Daten. Dabei ist zu berücksichtigen, dass die Beteiligten sich nicht gleichermaßen an der Entscheidung beteiligen müssen, sondern der Tatbeitrag durchaus unterschiedlich gestaltet sein kann. Das bedeutet, dass das Gesetz den Verantwortlichen verschiedene Möglichkeiten der Zusammenarbeit eröffnet. Die Formulierung „gemeinsam“ bedeutet also nicht gleichermaßen, sondern „zusammen mit“ oder „nicht alleine“.

Abgrenzung von der Auftragsverarbeitung

Die gemeinsame Verantwortlichkeit ist von der Auftragsverarbeitung abzugrenzen. Die Auftragsverarbeitung ist in Art. 28 Abs. 1 DS-GVO geregelt und zeichnet sich dadurch aus, dass es nur aufgrund eines Auftrags vom Verantwortlichen zu einer Datenverarbeitung kommt. Im Unterschied zur gemeinsamen Verantwortlichkeit, bei der alle Beteiligten einen Entscheidungsspielraum haben, kann der Auftragnehmer keinen eigenen Einfluss auf die Datenverarbeitung nehmen. Charakteristisch für die Auftragsverarbeitung ist die Weisungsgebundenheit des Auftragnehmers.

Rechtsfolgen einer gemeinsamen Verantwortlichkeit

Art. 26 Abs. 1 S. 2 DS-GVO normiert die Rechtsfolgen einer gemeinsamen Verantwortlichkeit. Danach müssen die an der Datenverarbeitung Beteiligten eine Vereinbarung treffen, in der sie bestimmen, wer von ihnen welche Verpflichtungen aus der DS-GVO erfüllt. Insbesondere haben sie sich über die Wahrung der Rechte von Betroffenen zu einigen und über die Erfüllung ihrer Informationspflichten aus Art. 13 und 14 DS-GVO.

Besonders hervorzuheben ist Art. 26 Abs. 3 DS-GVO. Die von der Datenverarbeitung betroffene Person kann ihre Rechte gegenüber jedem Verantwortlichen geltend machen. In Art. 82 Abs. 4 DS-GVO hat der Gesetzgeber ausdrücklich eine gesamtschuldnerische Haftung der gemeinsam Verantwortlichen normiert, um die Rechte des Betroffenen zu stärken. Damit kann ein nach der DS-GVO Verantwortlicher sich im Außenverhältnis nicht der Haftung entziehen. Wenn der Betroffene mehreren Verantwortlichen ausgesetzt ist, soll er seine Rechte auch gegenüber allen Verantwortlichen geltend machen können. Steht ein Verantwortlicher nach Art. 82 Abs. 4 DS-GVO für den gesamten Schadensersatz ein, kann er die anderen Verantwortlichen nach Art. 82 Abs. 5 DS-GVO in Regress nehmen.

Unterliegen die an der Datenverarbeitung Beteiligten der gemeinsamen Verantwortung, erfüllen ihre Pflichten aus der DS-GVO aber nicht, so drohen ihnen nach Art. 83 Abs. 4 lit. a DS-GVO Bußgelder bis zu 10 Millionen Euro oder bis zu 2 % des gesamten weltweit erzielten unternehmerisch erzielten Jahresumsatzes.

Abgrenzung der gemeinsamen Verantwortlichkeit von der alleinigen Verantwortlichkeit

Während die gemeinsame Verantwortlichkeit von der Auftragsverarbeitung an recht eindeutigen Kriterien abgegrenzt werden kann, ist die Abgrenzung der gemeinsamen Verantwortlichkeit (Joint Controller) von der alleinigen Verantwortlichkeit etwas kniffliger.

Die Art. 29-Datenschutzgruppe gab eine Einschätzung zur Rechtslage unter der Datenschutz-Richtlinie ab, die jedoch heute teilweise weiter vertreten wird. Diese Auffassung basiert auf einem funktionellen Ansatz. Sehr weit gefasst bedarf es keiner gleichwertigen Beteiligung jedes Verantwortlichen, sondern die Einbindung jedes Beteiligten kann unterschiedlich ausfallen. Des Weiteren reicht nach Ansicht der Art. 29-Datenschutzgruppe auch das alternative Vorliegen von entweder einer gemeinsamen Entscheidung über Zweck oder Mittel der Datenverarbeitung von den an der Verarbeitung Beteiligten zum Bejahen einer gemeinsamen Verantwortlichkeit. Diese Ansicht verstößt aber schon gegen den Wortlaut des Art. 26 Abs. 1 S. 1 DS-GVO. Das Gesetz fordert ausdrücklich die kumulative Entscheidung über den Zweck und die Mittel zur Datenverarbeitung und lässt somit wenig Interpretationsspielraum. Aus diesem Grund überzeugt die sehr weit gefasste Ansicht nicht.

Aus diesem Grund fordert die Gegenseite für die Bejahung einer gemeinsamen Verantwortlichkeit sowohl das gemeinsame Bestimmen eines Zweck und der Mittel. Das kann sowohl aus Art. 26 Abs. 1 S. 1 DS-GVO, als auch aus Erwägungsgrund 79 der DS-GVO abgeleitet werden. Diese insgesamt doch engere Auslegung entspricht auch der effektiven Umsetzung der DS-GVO. Für eine eindeutige Rechtsklarheit muss die Grenze zwischen der gemeinsamen und der einzelnen Verantwortlichkeit deutlich sein. Eine recht weite Auslegung würde jedoch dazu führen, dass die Grenze verschwimmt, was wiederum zu einer Rechtsunsicherheit führen würde. Damit müssen die Beteiligten sowohl über Zweck als auch Mittel entschieden haben. Der Telos, der in erster Linie der umfassende Schutz der betroffenen Person ist, wird sowohl bei einer gemeinsamen als auch bei einer alleinigen Verantwortlichkeit durch die DS-GVO umfassend gewahrt und damit nicht ausschlaggebend ist.

Fazit

Damit ist festzuhalten, dass zunächst die Eigenschaft als Verantwortlicher nach Art. 4 Nr. 7 DS-GVO zu prüfen ist. Kann diese bejaht werden, so muss nach Art. 26 Abs. 1 S. 1 DS-GVO die Beziehung der an der Datenverarbeitung Beteiligten und damit die gemeinsame Verantwortlichkeit nachvollzogen und überprüft werden.

Zum Hintergrund 

Mit der fortschreitenden Übermittlung von Daten von einem europäischen Unternehmen an ein in einem Drittland niedergelassenen Unternehmen im Rahmen der Globalisierung steigt auch das Interesse an der Einhaltung eines angemessenen Datenschutzniveaus, angelehnt an den europäischen Datenschutz. Aufgrund der Vermutung, dass Drittländer kein ausreichendes, den europäischen Vorgaben entsprechendes Datenschutzniveau erfüllen, sofern die EU-Kommission für das jeweilige Drittland kein angemessenes Datenschutzniveau anerkannt hat, entwickelte man verschiedene Instrumente, die Vertragsparteien in ihre Vereinbarungen aufnehmen können, um ein angemessenes Datenschutzniveau herzustellen, da die Datentransfers andernfalls unzulässig wären. 

Die Standardvertragsklauseln 

Eins dieser Instrumente sind die Standardvertragsklauseln, die in drei verschiedene Versionen genutzt werden können. Zum einen gibt es zwei verschiedene Standardvertragsklauseln für die Datenübermittlung zwischen für die Verarbeitung Verantwortlichen (Controller-Controller-Transfer), die sich in der Haftung, Bindung an aufsichtsbehördliche Hinweise und die Gestaltungs- bzw. Ergänzungsspielräume unterscheiden, und die Standardvertragsklauseln für die Datenübermittlung zwischen für die Verarbeitung Verantwortlichen und nach deren Weisung handelnden Auftragsdatenverarbeitern (Controller-Prozessor-Transfer). Die Identität der Vertragsparteien ist also für die Auswahl der Standardvertragsklauseln entscheidend. Die Standardvertragsklauseln ersetzen jedoch nicht die vertragliche Vereinbarung zwischen den Parteien, sondern ergänzen sie um eine gesonderte Vereinbarung. 

Set II: Controller-Controller 

Das Modell „Set II“ der Standardvertragsklauseln (2004/915/EG) für das Verhältnis zwischen zwei Controllern, wurde von mehreren Wirtschaftsverbänden als sogenannte „alternative Standardvertragsklauseln“ entworfen und der Europäischen Kommission zur Genehmigung vorgelegt. Im Ergebnis ist auffällig, dass das Set II den Erfordernissen der Wirtschaft deutlich besser Rechnung trägt und somit gegenüber Set I vorzugswürdig ist. 

Ein Controller-to-Controller-Verhältnis liegt vor, wenn es eine Datenübermittlung zwischen zwei verantwortlichen Stellen gibt. Der Datenimporteur hat, im Gegensatz zum Auftragsdatenverarbeiter, eine Entscheidungsbefugnis in Bezug auf den Zweck und die Art der Datenverarbeitung. 

Set II wurde entwickelt, um die Wirtschaftsteilnehmer zur intensiveren Nutzung von Vertragsklauseln zu veranlassen, womit man für den Adressat attraktive Veränderungen schuf. Zu den Unterschieden im Vergleich zu Seit I gehören im Einzelnen flexiblere Prüfungspflichten und eine präzisere Regelung des Auskunftsrechts. Anders als Set I, das eine gesamtschuldnerische Haftung vorsieht, regelt Set II ein anderes Haftungssystem, bei dem auf die Sorgfalt abzustellen ist und nach dem sowohl der Datenexporteur als auch der Datenimporteur für die Verletzung ihrer jeweiligen Vertragspflichten haften. Zudem trifft den Datenexporteur ein Auswahlverschulden: er muss sich nach Klausel 1 lit. b des Standardvertrags (2004/915/EG) im Rahmen des Zumutbaren davon überzeugen, dass der Datenimporteur seine Rechtspflichten aus diesen Klauseln erfüllen kann. Ferner treffen den Datenexporteur weitere Pflichten in Bezug auf die Beschwerdeabhilfe des Drittbegünstigten. Diese Pflichten zeichnen sich in der Kontaktaufnahme zum Datenimporteur und in der Durchsetzung der Einhaltung der Vertragspflichten nach Klausel 1 lit. e nieder. Dem Betroffenen stehen ebenfalls Rechte der Rechtsverfolgung bei Nichteinhaltung der vertraglichen Pflichten durch den Datenexporteur und –importeur zu. 

Zum Ausgleich dieser für die Vertragspartner attraktiven Flexibilität und zur Verhinderung möglichen Missbrauchs regeln das Vertragswerk aber ein leichteres Verbot oder Aussetzung von Datenübermittlungen durch die Datenschutzkontrollen im Falle der Weigerung des Datenexporteurs zur Durchsetzung von Vertragspflichten oder der Weigerung des Datenimporteures zur redlichen Zusammenarbeit mit den Datenschutzkontrollen. 

Werden allerdings Mitarbeiterdaten an eine andere verantwortliche Stelle im Ausland übermittelt, ist die Verwendung des „Set II“ bezüglich der Übermittlung von Personaldaten nicht ausreichend. Begründet wird das damit, dass das datenexportierende Unternehmen nicht für Schäden einsteht, die die datenimportierende Stelle verursacht und zusätzlich besteht für den Datenexporteur die Option, die Beantwortung von Anfragen Betroffener auf den Datenimporteur zu übertragen. Der Arbeitgeber als Datenexporteur kann in dieser Konstellation aber für den Arbeitnehmer als Betroffenen nicht als umfassender Ansprechpartner fungieren, wofür aber letzterer ein schutzwürdiges Bedürfnis hat. Daher empfehlen wir, mit dem Datenimporteur in dieser Konstellation eine Ergänzungsvereinbarung zu treffen, sofern bei der Datenübermittlung an ein Unternehmen im Ausland Personaldaten betroffen sind. Alternativ kann als Lösung auch „Set I“ gewählt werden. 

Set I: Controller-Controller 

Im Gegensatz zu Set II liegt dem Set I eine gesamtschuldnerische Haftung zu Grunde. Gegenüber dem Betroffenen haften Datenexporteur und Datenimporteur für Schäden aufgrund jeglicher Verletzung der Bestimmungen, die der Begünstigtenklausel nach Klausel 3 unterliegen. Der Betroffene kann sowohl gegen den Datenexporteur, den –importeur als auch gegen beide vorgehen und Schadensersatz aufgrund eines Schadens wegen einer vertraglichen Pflichtverletzung verlangen. Der Datenexporteur unterliegt der Pflicht, den Betroffenen über die Datenübermittlug in ein Drittland ohne angemessenen Datenschutz in Kenntnis zu setzen und seine Anfragen diesbezüglich zu beantworten. Diese Beantwortungspflicht trifft auch den Datenimporteur, wenn sich der Betroffene an ihn wendet. 

Controller-Prozessor 

Die Controller-Prozessor-Standardvertragsklauseln sind heranzuziehen, wenn das EU-Unternehmen verantwortliche Stelle ist, der Datenimporteur aber Auftragsdatenverarbeiter. Das ist dann der Fall, wenn der Datenimporteur die Daten nur im Auftrag und nach den Weisungen des Datenexporteurs verarbeitet. Als Beispiele gelten in der Regel Call-Center, Cloud-Computing-Anbieter, externe IT-Admins, Marketingagenturen und externe Personalagenturen. 

Bei der Auftragsdatenverarbeitung findet eine Art „Einverleibung“ des Auftragnehmers in das Datenschutzkonzept des Auftraggebers statt, so dass der Datenimporteur beispielsweise die Daten lediglich mit vorheriger Einholung einer schriftlichen Einwilligung des Datenexporteurs weitergeben kann. Er bleibt an die Weisungen des Datenexporteurs gebunden. Es ist die Pflicht des Datenexporteurs, den Datenimporteur zu einer dem anwendbaren Datenschutzrecht und den Klauseln entsprechenden Datenverarbeitung anzuweisen. Zudem bleibt die Haftung in erster Linie bei dem Auftraggeber. Auch hier trifft den Datenexporteuer eine Informationspflicht des Betroffenen sowie eine Beantwortungspflicht von Datenexporteur und –importeur hinsichtlich Anfragen des Betroffenen. 

Das Werk der Standardvertragsklauseln kann in drei Teile unterteilt werden. Zunächst kommen die eigentlichen Standardvertragsklauseln, dann folgt der erste Anhang mit Angaben zu der konkreten Datenverarbeitung und ein zweiter Anhang mit Beschreibungen der technischen und organisatorischen Maßnahmen des Datenimporteurs schließt die Standardvertragsklauseln. Optional kann ein dritter Anhang über die Erfüllung des nationalen Rechts hinzugefügt werden. 

Die Neuerung der DS-GVO 

Die Datenschutz-Grundverordnung (DS-GVO), die ab dem 25. Mai 2018 gilt, sieht zudem die Möglichkeit neuer, speziell für die Auftragsverarbeitung vorgesehener Standardvertragsklauseln vor. Nach Art. 28 Abs. 7, 8 DS-GVO hat die EU-Kommission dazu die Erlass-Befugnis, sowie auch eine Aufsichtsbehörde im Einklang mit dem Kohärenzverfahren. 

Die von Art. 28 DS-GVO benannten Standardvertragsklauseln sind nicht die bislang existierenden, allgemein bekannten Standardvertragsklauseln, sondern vollkommen neue, jedoch wurden sie noch nicht von der dafür zuständigen Stele erlassen. 

Den Parteien bleibt es künftig überlassen, die Standardvertragsklauseln überhaupt, komplett oder nur teilweise für ihre vertraglichen Vereinbarungen heranzuziehen. Somit sind für die Vertragsparteien auch individualvertragliche Vereinbarungen möglich. Die Verantwortlichen haben sicherzustellen, einen ausreichenden Datenschutz einzuhalten und gegen keine Regelungen der DS-GVO zu verstoßen. 

Die Neuerung in der DS-GVO schafft die Möglichkeit weitergehender standardisierter Prozesse und Verarbeitungen. Beispiele dafür können Cloud-, Hosting- und Infrastrukturdienste oder Software-as-a-Software-Angebote sein. Die Heranziehung von Standardvertragsklauseln als einfache anerkannte Vertragsklauseln schafft einen ausgewogenen und datenschutzfreundlichen Rahmen sowohl für die Verantwortlichen als auch für die Betroffenen. 

Zuständig für den Erlass dieser Standardvertragsklauseln sind gemäß Art. 28 Abs. 8 DS-GVO die Aufsichtsbehörde im Einklang mit dem Kohärenzverfahren nach Art. 63 DS-GVO, und gemäß Art. 28 Abs. 7 DS-GVO die EU-Kommission im Einklang mit dem Prüfverfahren nach Art. 93 Abs. 2 DS-GVO. Die Bindung an das Kohärenz- und Prüfverfahren hat jedoch als Folge, dass es aufwändiger europaweiter Abstimmungen bedarf. Somit wird es wohl noch etwas länger dauern, bis man sich auf endgültig einsatzbare Standardvertragsklauseln einigt. 

Die bislang bekannten Standardvertragsklauseln wird es künftig unter dem Namen „Standarddatenklauseln“ weiter geben. Diese bleiben auch in ihrer konkreten Ausgestaltung so bestehen, sollte der Europäische Gerichtshof, der momentan über das Kriterium der ausreichenden Garantie hinsichtlich des Schutzes der Privatsphäre für Übermittlungen personenbezogener Daten in Drittländer und damit der Tauglichkeit der Standardvertragsklauseln zur Erfüllung ihres Zwecks, nicht die Untauglichkeit feststellt. Eine Kollision neuer Standardvertragsklauseln ist insofern ausgeschlossen, dass die in den Neuerungen erfasste Konstellation nicht von den bislang vorhandenen Standardvertragsklauseln abgedeckt ist wie die neue Möglichkeit von Standarddatenschutzklauseln für die Übermittlung durch Auftragsverarbeiter.