Blog für IT- | Medien- | Datenschutz- und Arbeitsrecht
Blog für IT- | Medien- | Datenschutz- und Arbeitsrecht

Category

EU-DSGVO

Liebe Leser:innen,

willkommen zum jüngsten Rechtsüberblick. Auch heute wollen wir wieder einen Blick auf spannende Themen des Datenschutzrechts werfen, die die unternehmerische Praxis zur Zeit und in naher Zukunft beschäftigen (werden). Sie wissen bereits, dass das Datenschutzrecht nicht zur Ruhe kommt und eines der lebendigsten Rechtsgebiete im Bereich Compliance bleibt. Deshalb wollen wir auch heute wieder einen kleinen Ausblick auf aktuelle Themen geben, nämlich:

  • LG Bonn: Die verspätete Auskunftserteilung an den Betroffenen ist kein Grund für Schadensersatz oder Schmerzensgeld
  • EuGH: Nicht nur die Datenschutzbehörde am Hauptsitz eines Unternehmens darf tätig werden
  • Schrems III am Horizont? – Die Rechtmäßigkeit der Datenverarbeitung durch Facebook auf dem Prüfstand
  • Die Ausübung datenschutzrechtlicher Betroffenenrechte wird in das Vertragsrecht eingebettet; ein Ausblick auf § 327q BGB

Spannende Themen, viel zu tun. Deshalb wollen wir direkt beginnen. Viel Spaß bei der Lektüre!

LG Bonn: Die verspätete Auskunft – kein Grund für Schmerzensgeld

Als erstes wollen wir ein aktuelles Urteil des LG Bonn besprechen, es geht um den Anspruch auf Auskunft. Das Auskunftsrecht ist Schlüssel und Anker der Betroffenenrechte der DSGVO. Geregelt ist er in Art. 15 DSGVO. Hiernach hat jede betroffene Person das Recht, vom Verantwortlichen zu erfahren, ob und ggf. welche personenbezogenen Daten über sie verarbeitet werden.

Zu den Informationen, die der Verantwortliche der betroffenen Person mitteilen muss, gehören:

  • Zwecke der Verarbeitung
  • Betroffene Kategorien personenbezogener Daten
  • Empfänger der Daten, insb. in Drittstaaten
  • sofern möglich: Dauer der Speicherung
  • Betroffenenrechte (Löschung, Berichtigung usw.)
  • Beschwerderecht bei der Datenschutzbehörde
  • Herkunft der Daten
  • Informationen über Profiling

Das kann eine sehr umfangreiche und mühselig zusammengestellte Antwort bedeuten. Stellen Sie sich nur eine:n langjährige:n Geschäftspartner:in vor, die Auskunft von Ihnen verlangt. Was da in Ihrer geschäftlichen Beziehung alles an Daten angefallen sind.

Praxistipp: Zur effizienten Erfüllung dieses Anspruchs lohnt sich deshalb ein gut geführtes Verzeichnis von Verarbeitungstätigkeiten. Warum, wieso, weshalb – das haben wir Ihnen hier aufgeschlüsselt: 8 Schritte zur DSGVO-Compliance

Um die begehrte Auskunft zu erteilen, hat das Unternehmen nicht unendlich viel Zeit. Art. 12 Abs. 3 sieht vor, dass die Informationen unverzüglich, spätestens jedoch innerhalb eines Monats nach Antragseingang zur Verfügung gestellt wird. Diese Monatsfrist kann schnell überschritten werden, entweder aus Versehen (es ist gerade Urlaubssaison, Weihnachten oder Ähnliches) oder schlicht, weil die Auskunft so umfangreich und komplex ist, dass der Monat einfach nicht reicht. Im letzteren Fall kann das Unternehmen die Frist zur Beantwortung um zwei Monate verlängern, was allerdings gegenüber der betroffenen Person begründet werden muss.

Was passiert aber, wenn auch diese Frist ohne Antwort des Unternehmens verstreicht, wenn der Betroffene also nach vier, fünf oder gar nach acht Monaten Verzug noch keine Auskunft hat. Nun, genau so einen Fall hatte das Landgericht (LG) Bonn im Urteil zum Az. 15 O 375/20 (der Link zur frei zugänglichen Entscheidung wird nachgereicht, sobald diese verfügbar ist; vgl. bisher Pressemitteilung des Kollegen RA Dr. Bahr) zu entscheiden. Acht Monate zu spät kam die Auskunft, die die Klägerin begehrt hatte. Wegen dieser Verzögerung wollte die Klägerin Schadensersatz vom Unternehmen haben.

Geht das? Kann die betroffene Person schon deshalb Schadensersatz verlangen, weil die Auskunft durch das Unternehmen zu spät kam? Schauen wir uns das mal an:

Schadensersatz nach Art. 82 DSGVO bekommt die betroffene Person dann, wenn aus einem Datenschutzverstoß ein materieller oder immaterieller Schaden entsteht. Unter einem immateriellen Schaden wird landläufig das Schmerzensgeld verstanden.

Schmerzensgeld muss unter den Voraussetzungen von Art. 82 Abs. 2 DSGVO gezahlt werden, dazu heißt es im Wortlaut der Norm:

„die Verantwortlichen [haften] für den Schaden, der durch eine nicht dieser [DSGVO] entsprechende Verarbeitung entstanden ist“ (Hervorhebungen durch uns)

Voraussetzung des Schadensersatzes nach der DSGVO ist also, dass es eine Datenverarbeitung gab, die nicht mit der DSGVO in Einklang stand. Was wir unter einer solchen Verarbeitung verstehen, dass verrät uns Art. 4 Nr. 2 DSGVO:

„jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang […] im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen und die Vernichtung“

Und da hat das LG Bonn nun sehr genau mit dem Wortlaut gearbeitet: Nur wenn eine Verarbeitung in diesem Sinne vorliegt, die gegen die DSGVO verstößt, kann der Betroffene dafür Schadensersatz verlangen. Verstößt das Unternehmen zwar gegen die DSGVO, aber ohne dabei Daten im obigen Sinne zu verarbeiten, werde hierfür kein Schmerzensgeld geschuldet. Und da liegt für das LG Bonn der Grund, warum es keinen Schadensersatz in diesem Fall gab: Die Pünktlichkeit der Auskunftserteilung fällt gar nicht unter den Verarbeitungsbegriff. Wenn die verspätete Auskunftserteilung nun keine rechtswidrige Verarbeitung ist, dann kann die betroffene Person nach Ansicht des LG Bonn auch keinen Schadensersatz verlangen.

Darüber hinaus, so das LG, sei durch die verspätete Auskunft kein spürbarer immaterieller Schaden eingetreten. Damit kratzt das LG an der Oberfläche eines hoch strittigen Themas: Gibt es nur Schmerzensgeld, wenn die Verletzung des Datenschutzes für die betroffene Person spürbar ist? Oder auch, wenn es zu keiner merklichen Beeinträchtigung kam? Mit dieser Frage haben wir uns bereits im März hier beschäftigt. Auch wenn das LG diese Frage letztlich offen ließ, eine gewisse Tendenz dazu, dass nicht spürbare Verstöße nicht ausreichen, kann dem Urteil aber entnommen werden.

Das Urteil des LG Bonn ist deshalb sehr interessant: Denn es schließt Schmerzensgeld bei verspäteter Auskunft quasi kategorisch ausschließt. Wenn das Schule macht, wäre ein erhebliches Haftungsrisiko im Unternehmen  quasi eliminiert. Deshalb ist die spannende Frage: Wird sich die Linie des LG Bonn fortsetzen? Hat das LG Bonn Recht mit seiner Entscheidung?

Gestützt hatte es sich auf den Wortlaut von Art. 82 Abs. 2, also darauf, dass Schadensersatz nur bei rechtswidriger Verarbeitung möglich sei. Gegen diese Argumentation des LG könnte man nun auf Art. 82 Abs. 1 verweisen. Denn Abs. 1 ist offener und weiter formuliert, denn dort heißt es:

„Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist […]“ (Hervorhebungen durch den Autoren)

Absatz 1 ordnet an, dass es Schadensersatz bereits bei Verstoß gegen „diese Verordnung“ gibt, nicht erst bei einer „rechtswidrigen Verarbeitung“, wie es Absatz 2 sagt. Wenn Absatz 1 viel weiter gefasst ist als Absatz 2, dann stellt sich die Frage, was denn nun gilt. Jeder Verordnungsverstoß oder doch nur jede rechtswidrige Verarbeitung? Anhaltspunkte für die Antwort geben die Erwägungsgründe zur DSGVO, vor allem Nr. 146:

 „[…] Schäden, die einer Person aufgrund einer Verarbeitung entstehen, die mit dieser Verordnung nicht im Einklang steht […]“ (Hervorhebungen durch den Autoren)

Erwägungsgrund 146 stellt also auch auf die Verarbeitung ab, die DSGVO-widrig sein muss. Die Begründung scheint eher ebenfalls vom engen Verständnis des Art. 82 Abs. 2 geprägt. Spricht also dafür, dem LG Bonn zuzustimmen und bei verspäteter Auskunft keinen Schadensersatz zu gewähren?

Andererseits unterliegt das Schadensersatzrecht der DSGVO dem Gebot, einen möglichst effektiven Datenschutz durchzusetzen. Dabei gilt bei Behörden und in der Rechtsprechung die Faustformel: „Je schneller und je höher der Schadensersatz für die betroffene Person, desto eher wird sich das Unternehmen an die DSGVO halten.“ Auch der Gesetzgeber hat sich diesen Gedanken gemacht, was sich ebenfalls in Erwägungsgrund 146 zeigt:

„Der Begriff des Schadens sollte im Lichte der Rechtsprechung des [EuGH] weit auf eine Art und Weise ausgelegt werden, die den Zielen dieser Verordnung in vollem Umfang entspricht.“ (Hervorhebungen durch den Autoren)

Das könnte dafür sprechen, doch dem weiten Wortlaut von Absatz 1 zu folgen und Schadensersatz auch für die verspätete Auskunft zu gewähren. Aber Moment! Lesen wir den Erwägungsgrund genau, dann fällt uns folgendes auf: „Der Begriff des Schadens sollte […] weit […] ausgelegt werden“. Das Gebot einer weiten Auslegung, dass uns Erwägungsgrund 146 aufgibt, gilt also nur für den Schaden selbst, nicht für die Umstände, wann es überhaupt zu einer Schadensersatzpflicht kommt.

Diese Trennung klingt erstmal kompliziert, aber wir trennen juristisch zwischen Schadensersatzgrund und Schadensersatzumfang. Um das am folgenden Beispiel deutlich zu machen: A fährt angetrunken mit seinem Pkw dem B in seinen Pkw. Das Hineinfahren in den Pkw des B ist der Grund, weshalb A sich schadensersatzpflichtig gemacht hat. Was A nun dem B alles bezahlen muss, also zum Beispiel die Ausbeulung, die Neulackierung, mitgeführte Gegenstände etc., das ist dann eine Frage des Schadensersatzumfangs.

Grob: Bei dem Grund geht es um die Frage „wann?“ bzw. „ob?“, bei dem Umfang hingegen um die Frage „wie viel?“.

Wenn Erwägungsgrund 146 nun von „dem Schaden“ spricht, dann bezieht er sich auf die zweite Frage, auf das „wie viel?“, das dann weit ausgelegt werden muss. Über die erste Frage, das „ob“, trifft er dann keine Aussage.

Ganz klar ist die DSGVO in dieser Frage also nicht.

Es ist keineswegs klar, ob das LG Bonn mit seiner Entscheidung richtig lag. Es gibt gute (vielleicht sogar die besseren) Gründe dafür, der Entscheidung zuzustimmen. Aber gesichert und allseits akzeptiert ist dieses Ergebnis noch keineswegs. Das Landesarbeitsgericht (LAG) Hamm hat in seinem Urteil zum Az. 6 Sa 1260/20 zum Beispiel genau anders entschieden und für eine verspätete und unvollständige Auskunft Schmerzensgeld gewährt. Das Urteil des LG Bonn liegt gerade zur Revision beim BGH. Und eventuell wird auch der EuGH in dieser Sache eingeschaltet.

Ist das Urteil des LG Bonn deshalb eine Einladung dazu, nun die Beine hochzulegen und bei der Beantwortung von Auskunftsansprüchen zu trödeln? Nein, definitiv nicht! Denn zum einen kann es gut sein, dass der BGH das Urteil noch kippt, oder das andere Gerichte zu einem anderen Schluss kommen. Und dann gibt es immer noch die Datenschutzbehörden, die bei Nichtbefolgung des Auskunftsanspruchs mit Bußgeldern nach Art. 83 vorgehen können.

Wir halten Sie aber auf jedem Fall auf dem Laufenden.

EuGH: Nicht nur die Datenschutzbehörde am Hauptsitz darf bei Datenschutzverstößen tätig werden

Bleiben wir direkt bei den Datenschutzbehörden und wenden uns einem anderen Problem zu, in dem durch den EuGH nun ein wenig mehr Klarheit geschaffen wurde. Es geht um das Problem forum shopping. Das war eines der Probleme, dass die EU mit der DSGVO angehen wollte. Unternehmen sollten unabhängig davon, wo sie ihre Hauptniederlassung in der EU hatten, dem gleichen Datenschutzrecht unterworfen sein. Die Datenschutzgesetzgebung der Mitgliedsstaaten sollte nicht Spielball der Wettbewerbspolitik sein, Staaten sollten sich nicht durch laxe Vorschriften einen Standortvorteil verschaffen. Um das zu erreichen, wurde das Datenschutzrecht vereinheitlicht und in einer zentralen Verordnung geregelt, der DSGVO.

Nicht vereinheitlicht wurde allerdings die behördliche Aufsicht. Die Einrichtung der Datenschutzbehörden und damit die Durchsetzung der DSGVO bleibt Sache der Mitgliedsstaaten.

Deutschland hat aufgrund seiner föderalen Struktur insgesamt 18 Behörden für Datenschutz. Eine Behörde pro Bundesland (bzw. zwei Behörden in Bayern), dazu die Bundesbehörde. Für Unternehmen ist die Datenschutzbehörde des jeweiligen Bundeslandes zuständig.

Die roßen Player des Internets, Google und Facebook, aber auch viele andere Unternehmen, haben ihren EU-Hauptsitz in Irland. Erstmal zuständig ist deshalb die irische Datenschutzaufsicht, der Data Protection Commissioner (DPC). Wenn Unternehmen allerdings grenzüberschreitende, europaweite Datenverarbeitungen durchführen, darf die zuständige Behörde bei der Hauptniederlassung nicht einfach schalten und walten, wie sie will, sondern sie muss sich mit den anderen Aufsichtsbehörden abstimmen.

Das Verfahren zur Abstimmung zwischen den Aufsichtsbehörden ist kompliziert und langatmig aufzugliedern. Deswegen wollen wir es hier stark abkürzen. Für den Fall grenzüberschreitender Verarbeitungen ist die Aufsichtsbehörde der Hauptniederlassung die „zuständige federführende Aufsichtsbehörde“ (Art. 56 Abs. 1 DSGVO) und damit erstmal Ansprechpartner für europaweit agierende Unternehmen. Diese sollen sich grundsätzlich darauf verlassen können, dass nur die federführende Aufsichtsbehörde entscheidet; sie sollen sich nicht auf eine unendliche Vielzahl von potentiell zuständigen Aufsichtsbehörden einstellen müssen.

Bei grenzüberschreitenden Verarbeitungen findet deshalb ein internes und komplexes Abstimmungsverfahren nach Art. 60 DSGVO statt. Die Datenschutzbehörden sind untereinander zu einer loyalen und unterstützenden Zusammenarbeit verpflichtet (Art. 61 DSGVO). Geht etwas schief und funktioniert diese Zusammenarbeit nicht, darf die lokale Aufsichtsbehörde allerdings einstweilige Maßnahmen ergreifen, um gegen Datenschutzverletzungen vorzugehen (Art. 61 Abs. 8 DSGVO).

Der EuGH hat zu diesem Verfahren in seinem Urteil zum Az. C-645/19 nun konkretere Vorgaben gemacht. Dem lag dieser Fall zugrunde: Die belgische Datenschutzbehörde (Gegevenbeschermingsautoriteit, GBA) klagt vor einem belgischen Gericht gegen Facebook Ireland, Facebook Inc. und Facebook Belgium. Ziel der Klage war es, Facebook zu verpflichten, die Nutzung von Cookies, Social Plugins oder Pixeln zur Sammlung personenbezogener Daten einzustellen. Das Gericht erster Instanz folgte der Begründung der GBA und untersagte Facebook die Implementierung dieser Technologien gegenüber belgischen Nutzer:innen. Gegen dieses Urteil wehrte sich Facebook in der nächsten Instanz. Das nun zuständige Gericht fragte sich, ob die GBA überhaupt gegen Facebook Ireland und Facebook Inc. klagen dürfte – immerhin haben diese juristischen Personen ihre Hauptniederlassung gar nicht in Belgien und damit nicht im Zuständigkeitsbereich der GBA. Der irische DPC wäre am Ort der Hauptniederlassung zuständig gewesen. Ergo hätte auch der DPC das Datenschutzrecht gegenüber diesen Akteuren durchsetzen müssen, nicht die GBA. Diese verwies deshalb darauf, dass sie versucht habe, mit dem DPC zusammenzuarbeiten. Da der DPC aber nicht reagiert habe, habe man schließlich selbst das Verfahren in die Hand nehmen und direkt in Belgien klagen müssen.

Es stellte sich also die Frage: Darf eine andere Aufsichtsbehörde tätig werden, um gegen Datenschutzverstöße vorzugehen, wenn die federführende Aufsichtsbehörde nichts macht?

Diese Frage beantwortet der EuGH nun mit „Ja, wenn …“. Unter bestimmten Umständen kann nicht nur die zuständige federführende Aufsichtsbehörde (also der DPC Ireland), sondern auch eine andere Aufsichtsbehörde (also hier die GBA Belgium) gerichtliche Schritte einleiten. Andernfalls könnte der Datenschutzverstoß nicht wirksam abgestellt werden. Es könne nicht sein, so der EuGH, dass sich das Problem des forum shoppings einfach von der Rechtsgestaltung auf die Rechtsdurchsetzung verlagert. Ein vereinheitlichtes Datenschutzrecht bringt eben nichts, wenn die Behördenstruktur in der Union immer noch zum forum shopping animiert. Eine bestimmte Datenschutzbehörde soll nicht neuer Standortvorteil eines Mitgliedstaates sein. Könnte nur die federführende Aufsichtsbehörde tätig werden und würde diese nichts unternehmen, wäre das eine Einladung an Unternehmen, ihre DSGVO-Pflichten zu umgehen. Letztlich wäre das dann eine Umgehung des Grundrechts auf Datenschutz.

Die Entscheidung des EuGH war also: Wenn das Koordinierungsverfahren der Aufsichtsbehörden eingehalten wurde, die federführende Behörde aber nicht mitwirken kann oder möchte, dann dürfen auch andere Aufsichtsbehörden gerichtlich (nach Art. 58 Abs. 5) gegen die rechtswidrige grenzüberschreitende Verarbeitung vorgehen.

Für Unternehmen bedeutet das, dass sie sich nur begrenzt darauf verlassen können, wegen einer untätigen Aufsichtsbehörde an ihrer Hauptniederlassung von datenschutzrechtlichen Pflichten frei zu bleiben. Das forum shopping, die Umgehung der datenschutzrechtlichen Pflichten durch eine strategische Standortwahl, wurde so erschwert.

Schrems III am Horizont?

Bleiben wir direkt bei Facebook. Denn die Verarbeitung durch diesen Internetgiganten dürfte sehr bald Thema vor dem EuGH sein – und das Urteil eventuell große Wellen schlagen. Die Rede ist von einem möglichen Urteil „Schrems III“, dass auf die Wirtschaft zukommen und einiges auf den Kopf stellen könnte.

Während über die Umsetzung und Bedeutung des EuGH-Urteils „Schrems II“ (C-311/18) (s. hierzu auch unsere Blogreihe) noch reichlich gestritten wird und auch einzelne Aspekte der Rechtsprechung noch nicht zu allen Akteuren durchgedrungen sind, zieht ein neues Urteil am Horizont auf. Der österreichische Jurist und Datenschutzaktivist Max Schrems klagt nämlich erneut gegen Facebook.

Diesmal im Fokus der Klage: Die Rechtsgrundlage, auf deren Grundlage Facebook personenbezogene Daten zum Zwecke der Schaltung personalisierter Werbung verarbeitet. Als treue Leser:innen dieses Blogs wissen Sie, dass jede Datenverarbeitung eine Rechtsgrundlage braucht, das steht auch in Art. 5 I a), 6 DSGVO. Von diesen Rechtsgrundlagen gibt es sechs an der Zahl, und zwei sind hier ganz relevant. Nämlich einerseits die Rechtfertigung wegen Einwilligung, andererseits die Rechtfertigung wegen Vertragserfüllung.

Facebook stellt sich auf den Standpunkt, dass die Schaltung personalisierter Werbung die Gegenleistung für die kostenlose Nutzung des Sozialen Mediums ist (s. https://de-de.facebook.com/terms). Facebook stellt sich also die vertragliche Beziehung zu seinen Nutzer:innen als ein Austauschverhältnis zwischen personenbezogenen Daten und Nutzung der Dienste vor. Wenn das zutrifft, dann ist die Verarbeitung personenbezogener Daten eine Gegenleistung für die Inanspruchnahme der Dienste. Das wäre ein Fall von Art. 6 I b) DSGVO. Danach ist die Datenverarbeitung erlaubt, wenn sie der Erfüllung eines Vertrages dient. Bis zum Inkrafttreten der DSGVO war das noch anders, da sprach Facebook von einer expliziten Einwilligung, die die Nutzer:innen für die Verwendung ihrer Daten für Werbung erteilen.

Was gilt nun? Verarbeitet Facebook die Daten zur Vertragserfüllung? Oder doch aufgrund einer Einwilligung? Diese Frage, ist dabei nicht bloß eine akademische. Denn wenn die Daten aufgrund einer Einwilligung verarbeitet werden, unterliegt das Unternehmen gewissen rechtlichen Pflichten gegenüber der betroffenen Person verbunden, die bei der Vertragserfüllung nicht gelten würden.

Dafür werfen wir einen Blick in Art. 7. Diese Norm schreibt besondere Bedingungen für die Erteilung der Einwilligung vor: Sie muss in verständlicher und leicht zugänglicher Form und in einer klaren und einfachen Sprache eingeholt werden (Abs. 2). Die Einwilligung zwischen anderen Aspekten oder gar in den AGB verstecken, das geht also nicht. Besonders „lästig“ ist eine Einwilligung aber auch, weil sie jederzeit und ohne Angabe von Gründen vom Betroffenen widerrufen werden kann (Abs. 3). Sobald ein solcher Widerruf erfolgt ist, muss der Verantwortliche seine Verarbeitung beenden, sonst wird sie rechtswidrig. Die Einwilligung ist also vergleichsweise schwer einzuholen und eine wackelige Angelegenheit für das Unternehmen, da der Betroffene jederzeit die Datenverarbeitung eigenmächtig beenden kann. Eine wirkliche Planungssicherheit gibt’s da nicht.

Und nicht zu vernachlässigen: Die Einwilligung muss freiwillig abgegeben werden – das verrät uns Art. 4 Nr. 11 DSGVO. Was erstmal halb so wild klingt, erweist sich in der Praxis schnell als schwierig.

Denn an diese Freiwilligkeit werden hohe Anforderungen angelegt. Nach Erwägungsgrund 43 ist eine Einwilligung beispielsweise nicht freiwillig, wenn ein klares Ungleichgewicht zwischen den Beteiligten besteht oder die Einwilligung vom Betroffenen „abgepresst“ wurde. Das Unternehmen darf nicht von der betroffenen Person die Einwilligung für eine Datenverarbeitung als Gegenleistung für einen Vertragsschluss verlangen, wenn dies in der Gesamtschau als unbillig anzusehen ist, etwa weil sie nicht erforderlich für die Vertragserfüllung ist. Das ist auch unter dem Begriff „Koppelungsverbot“ bekannt, über die Details kann man sich jedoch trefflich streiten, denn „Daten gegen Leistung“ ist grundsätzlich möglich.

Die Einwilligung nach Art. 6 I a) ist also eine eher unsichere und sehr schwierig erfüllbare Voraussetzung, um Datenverarbeitungen zu ermöglichen. Die Einwilligung ist deshalb für Unternehmen eine vergleichsweise unattraktive Möglichkeit, ihre Datenverarbeitungen zu rechtfertigen.

Als alte Hasen dieses Blogs wissen Sie natürlich, dass nicht jede Datenverarbeitung eine Einwilligung braucht, auch wenn sich dieser Irrglaube bei einigen immer noch hartnäckig hält. Die Einwilligung ist lediglich einer von sechs Gründen, warum personenbezogene Daten verarbeitet werden dürfen, wie uns Art. 6 DSGVO zeigt.

Stellt sich also die Frage, ob das Unternehmen, also in diesem Fall Facebook, zwischen der – vergleichsweise lästigen – Einwilligung und der – vergleichsweise angenehmen – Vertragserfüllung als Rechtsgrundlage für die Verarbeitung frei wählen kann. Facebook hat sich bekanntlich dafür entschieden, die Erfüllung eines Vertrages als Rechtsgrundlage zu wählen.

Hiergegen klagt Max Schrems nun in Österreich; er sieht in dieser Wahl eine missbräuchliche Umgehung der Regelungen der DSGVO zur Einwilligung (s. Pressemitteilung). Facebook habe bewusst die angenehmere Vertragserfüllung gewählt, um den Stress der Einwilligung nicht zu haben. Auch der oberste Gerichtshof Österreichs ist sich nicht so sicher, ob Facebook hier die DSGVO-Bedingungen für die Einwilligung umgehen durfte. Deshalb hat er hat die Verhandlung über diese Frage ausgesetzt und dem EuGH folgende Frage vorgelegt (Beschl. 6 Ob 57/21k):

„Sind die Bestimmungen der Art 6 Abs 1 lit a und b DSGVO dahingehend auszulegen, dass die Rechtmäßigkeit von Vertragsbestimmungen in allgemeinen Nutzungsbedingungen über Plattformverträge wie jenem im Ausgangsverfahren […], die die Verarbeitung von personenbezogenen Daten für Aggregation und Analyse von Daten zum Zwecke der personalisierten Werbung beinhalten, nach den Anforderungen des Art 6 Abs 1 lit a iVm Art 7 DSGVO zu beurteilen sind, die nicht durch die Berufung auf Art 6 Abs 1 lit b DSGVO ersetzt werden können?“

Jetzt ist es also Sache des EuGH, die Frage zu klären, ob die Datenverarbeitung, wie Facebook sie betreibt, auf Art. 6 Abs. 1 lit b DSGVO gestützt werden durfte oder ob es sich um einen unwirksamen Umgehungsversuch der DSGVO-Vorschriften handelt. Mit der Antwort auf diese Frage könnte der EUGH das Verhältnis zwischen diesen Fragen neu definieren und der Rechtfertigungsmöglichkeiten zur Vertragserfüllung engere Grenzen setzen. Konsequenz wäre, dass sich Unternehmen zukünftig für mehr Datenverarbeitungen eine Einwilligung holen müssten, um diese fortzusetzen.

Und dort, wo keine Einwilligung eingeholt wurde? Da fand eine Verarbeitung ohne (ausreichende) Rechtsgrundlage statt, was bedeutet, dass diese Datenverarbeitung gegen die DSGVO verstieß. Was das bedeutet, kann man sich vorstellen: Schadensersatzpflichten gegenüber den Betroffenen und eventuelle Aufsichtsmaßnahmen der Datenschutzbehörden. Dazu kommt, dass die Datenverarbeitungen plötzlich frei widerrufbar wären.

Die Entscheidung des EuGH in dieser Sache könnte damit weitreichende Folgen für die Vertragsgestaltung bei kostenlosen Internetangeboten haben. Bezüglich Facebook hieße dies, dass das Unternehmen millionenfach Daten von EU-Bürger:innen ohne Rechtsgrundlage verarbeitet, was diese Angelegenheit wohl zu einem der größten DSGVO-Verstöße seit dem Inkrafttreten der Verordnung 2016 machen würde.

Folgen der Wahrnehmung von Datenschutzrechten für das Vertragsverhältnis werden im BGB geregelt

Bereits im vorherigen Abschnitt haben wir gesehen, dass eine Einwilligung jederzeit durch die betroffene Person widerrufen werden kann. Wenn die Einwilligung widerrufen wird, dann muss der Verantwortliche diejenige Verarbeitung beenden, die sich auf diese Einwilligung gestützt hatte. Für den Fall des Widerrufs stellt sich dann die Frage: Was passiert eigentlich mit dem zivilrechtlichen Vertrag?

Zwischen Vertrag und Datenverarbeitung müssen wir unterscheiden. Stellen Sie sich zur Verdeutlichung folgendes vor: Das Unternehmen B schließt mit der Nutzerin C, einer Privatperson, einen Vertrag, der B zur Bereitstellung einer Software gegen ein monatliches Entgelt verpflichtet. Darüber hinaus holt sich B eine Einwilligung von C ein, dass Nutzungsdaten erhoben, ausgewertet und zur Zusendung personalisierter Werbung genutzt werden dürfen.

Nun widerruft C diese Einwilligung. Das bedeutet zunächst, dass B die Daten von C nicht mehr für die Zusendung von Werbung verwenden darf. Was ist aber mit dem Software-Vertrag von B und C? Was passiert mit dem?

Die Frage, welches Schicksal dieser Vertrag nimmt, soll durch die Mitgliedsstaaten geregelt werden, so sieht es Erwägungsgrund 40 der RL 2019/770 vor. Deshalb soll nun § 327q in das Bürgerliche Gesetzbuch eingefügt werden (vgl. Referentenentwurf, S. 14).

§ 327q BGB sieht in Abs. 1 vor: „Die Ausübung von datenschutzrechtlichen Betroffenenrechten und die Abgabe datenschutzrechtlicher Erklärungen des Verbrauchers nach Vertragsschluss lassen die Wirksamkeit des Vertrags unberührt.“ Das gilt allerdings nicht nur für den Widerruf im Verhältnis von B und C, sondern auch falls der Verarbeitung nach Art. 21 DSGVO widersprochen wird. Auch wenn die betroffene Person die Löschung seiner personenbezogenen Daten verlangt (Art. 17), bleibt der Vertrag wirksam.

Während dies eher der Klarstellung dient, kann Absatz 2 des § 327q schon echte Konsequenzen für Unternehmen haben. Denn die Möglichkeit, sich durch Kündigung von diesen Verträgen zu lösen, wird durch diese Vorschrift eingeschränkt:

„Widerruft der Verbraucher eine von ihm erteilte datenschutzrechtliche Einwilligung oder widerspricht er einer weiteren Verarbeitung seiner personenbezogenen Daten, so kann der Unternehmer einen Vertrag, der ihn zu einer Reihe einzelner Bereitstellungen digitaler Produkte oder zur dauerhaften Bereitstellung eines digitalen Produkts verpflichtet, ohne Einhaltung einer Kündigungsfrist kündigen, wenn ihm unter Abwägung des weiterhin zulässigen Umfangs der Datenverarbeitung und unter Abwägung der beiderseitigen Interessen die Fortsetzung des Vertragsverhältnisses bis zum vereinbarten Vertragsende oder bis zum Ablauf einer gesetzlichen oder vertraglichen Kündigungsfrist nicht zugemutet werden kann.“

Unser Unternehmen B könnte also nicht einfach der C kündigen, wenn diese ihre Einwilligung in die Verarbeitung ihrer Daten für Werbezwecke widerruft. Den Softwarevertrag müssten B und C fortsetzen. Falls B die Einnahmen aus der Verwertung von C’s Daten für Werbung bereits eingeplant hat, hat B schlicht Pech gehabt. Das sieht S. 84 des Entwurfs explizit vor: Da Unternehmen die Möglichkeit haben, das Risiko der Ausübung datenschutzrechtlicher Befugnisse zu kalkulieren, sind sie nicht so schutzwürdig.

Nur, wenn es absolut unbillig wäre, den Vertrag fortzusetzen, besteht dann ein Sonderkündigungsrecht von B. Das ist eine Ausnahme, die die Gerichte wohl verbraucherfreundlich und damit eng anwenden würden. Die betroffene Person wird also weiter in ihrer Position gestärkt, das Koppelungsverbot, das wir oben bereits kennen gelernt haben, wird auch nachträglich abgesichert.

Aber Obacht: § 327q BGB hat nur einen eingeschränkten Anwendungsbereich. Denn er gilt nicht für jede betroffene Person, sondern nur dann, wenn die betroffene Person auch „Verbraucher“ ist. Wer Verbraucher ist, das verrät uns § 13 BGB:

„Verbraucher ist jede natürliche Person, die ein Rechtsgeschäft zu Zwecken abschließt, die überwiegend weder ihrer gewerblichen noch ihrer selbstständigen beruflichen Tätigkeit zugerechnet werden können.“

Das bedeutet, dass § 327q BGB nur im B2C-Bereich relevant werden wird. Das dürften natürlich dennoch die allermeisten Fälle der Datenverarbeitung sein, auf die die DSGVO anwendbar ist. Denn juristische Personen haben überhaupt keine Datenschutzrechte, die sie wahrnehmen könnten. Diese Einschränkung wird also zum Beispiel relevant, wenn ein Kaufmann (als natürliche Person) im Rahmen seiner geschäftlichen Tätigkeit eine Einwilligung widerruft. Im B2B-Bereich bleibt es nämlich dabei, dass die Parteien selbst regeln können (und sollten), wie ihre vertraglichen Beziehungen im Falle eines Widerrufs weiter geht.

§ 327q Abs. 3 schreibt schließlich, dass Ersatzansprüche des Unternehmers gegen den Verbraucher aufgrund eines Widerrufs ausgeschlossen sind. Unser Unternehmen B könnte sich also von C nicht den Betrag wiederholen, den es bezüglich der Schaltung von Werbung bereits einkalkuliert hatte. Sonst würde C eventuell ihre Datenschutzrechte nur deshalb nicht wahrnehmen, weil sie finanzielle Folgen für sich befürchten müsste. Genau das will der Gesetzgeber aber vermeiden.

§ 327q BGB wird im B2C-Bereich Auswirkungen auf die Vertragspraxis der Unternehmen haben. Wir werden das Gesetzgebungsverfahren im Blick behalten.

Wieder einmal geht ein Blog-Artikel zu Ende…

Liebe Leser:innen, wieder haben wie viele Themen behandelt, die die Relevanz des Datenschutzrechts für die moderne Wirtschaft einmal mehr unterstreichen. Wir hoffen, Ihnen erneut einen guten Einblick in die aktuellen Entwicklungen gegeben zu haben und entlassen Sie nun in einen verdienten Feierabend (außer Sie lesen dies morgens, dann viel Freude bei der Arbeit). Wir lesen uns wieder, bis bald!

Mitautoren: Tobias Hinderks*, Nina Diercks **

Ein herzliches Moin liebe Leserinnen und Leser,

willkommen zum dritten Teil der Blog-Reihe rund um den transatlantischen Datenverkehr und der Frage, was eigentlich nach dem weitreichenden Urteil des EuGH Schrems II Sache ist. Bereits in zwei Blog-Artikeln haben wir uns mit der Frage befasst, was nun gilt, da der Privacy Shield nicht mehr gilt.

Zur Erinnerung: Der Privacy Shield zwischen der EU und den USA war der Grund, weshalb recht einfach und legal personenbezogene Daten über den Atlantik ausgetauscht werden durften. Diesen Privacy Shield wollte der EuGH mit seiner Entscheidung Schrems II jedoch nicht als ausreichend akzeptieren; die europäischen Datenschutzvorstellungen würden in Angesicht der weitreichenden Befugnisse der Sicherheitsbehörden, auf Daten zuzugreifen, nicht erfüllt.Den ganzen Artikel lesen.

Liebe Leser*innen,

herzlich willkommen zum ersten richtigen Rechtsüberblick des Jahres 2021. Im März zwar, aber untätig geblieben sind wir bis dahin nicht. Denn wenn auch die Entwurfsfassung unserer Blogreihe zum transatlantischen Datenverkehr einige Zeit in Anspruch genommen hat, so haben wir die anderen Datenschutzthemen der vergangenen Wochen nicht aus den Augen verloren.

Deshalb laden wir Sie ein, sich heute mit uns diese Themenbereiche anzuschauen und zu diskutieren:

  • Betriebsrat als Verantwortlicher? Kommt eine gesetzliche Klarstellung?
  • Wann darf ich eine fremde Person fotografieren? Aus dem Tätigkeitsbericht des HmbBfDI
  • Datenschutzverstoß bei der HPI-Schulcloud – was man daraus mitnehmen kann
  • Datenschutzaufsicht Rheinland-Pfalz: Nutzung von US-Videokonferenzsystemen in Schulen vertretbar
  • US Bundesstaaten nehmen sich die DSGVO zum Vorbild
  • Google will auf individuelles Tracking zukünftig verzichten – Das Ende einer Ära?
  • Irische Datenschutzbehörde steht in der Kritik des Eu-Parlaments
  • App „Clubhouse“ auf dem Prüfstand

Wir wünschen viel Freude beim Lesen und wollen Sie nicht länger auf die Folter spannen. Legen wir los!

Den ganzen Artikel lesen.

Die Berliner Aufsichtsbehörde ist vom Landgericht Berlin für ihren Bußgeldbescheid gegen die Deutsche Wohnen SE deutlich abgewatscht worden und die inhaltlichen Fragen zur Datenverarbeitung der Deutsche Wohnen sind ungeklärt, der Bußgeldbescheid perdu. Was ist passiert?

Im November 2019 war die Aufregung groß, als die Berliner Beauftragte für Datenschutz und Informationsfreiheit mitteilte, ein Bußgeld über 14,5 Mio gegen die Deutsche Wohnen SE verhängt zu haben. Auch wir hier im Blog haben uns mit dem Thema auf Basis dessen befasst, was sich dieser Pressemitteilung entnehmen ließ. Dabei ging es um die Frage, ob die Behörde die Datenverarbeitung der Deutsche Wohnen SE zu recht beanstandet hat oder nicht. Da das Unternehmen Einspruch gegen den Bußgeldbescheid eingelegt hat, musste eine Strafkammer des LG Berlins entscheiden.

Mit Beschluss vom 18.02.2021 hat das Gericht das Verfahren nun einfach eingestellt, die behaupteten Rechtsverstöße gar nicht erst gesprüft und die juristische Welt nahm an, dass das Landgericht der Ansicht sei, ein Bußgeldbescheid wegen Verstößen gegen die DSGVO sei gegenüber einem Unternehmen so nicht möglich. Dann könnten Bußgeldbescheide nur gegen Organe der Unternehmen verhängt werden. (Aber halt, Bußgelder gegen Unternehmen sind trotzdem möglich, bitte nicht zu früh freuen).

Heute wurde – zunächst nur in kostenpflichtigen juristischen Datenbanken – der Beschluss des Landgerichts Berlin (Az. 526 OWi LG) 212 Js-OWi 1/20 (1/20))  nun veröffentlicht und brachte eine große Überraschung mit sich. Ja, das LG Berlin ist in der Tat der Auffassung, dass ein Bußgeldbescheid nicht gegen eine juristsche Person verhängt werden könne, aber das war nicht die Überraschung.

Überraschend war, dass das Landgericht ganz deutlich ausführte, dass der Bußgeldbescheid unter derart gravierenden Mängeln leidet, dass er nicht Grundlage eines Verfahrens sein kann. Das ist peinlich für die Behörde, die die – lange bekannte – Thematik von Bußgeldern gegenüber juristischen Personen offenbar übersehen hat und beleidigt mit einer Pressemitteilung reagiert hat. Ausführlich und schön hat sich der Kollege Stephan Hansen-Oest auf seiner Seite über die Berliner Aufsichtsbehörde und ihr Verhalten nach der Entscheidung geärgert.

Ob die datenschutzrechtlichen Vorwürfe gegen die Deutsche Wohnen, die wir seinerzeit besprochen haben, zutreffend waren, wird vielleicht nie geklärt werden. Allerdings hat die hierfür zuständige Staatsanwaltschaft Berlin gegen den Beschluss des LG Berlin sofortige Beschwerde eingelegt. Nun wird sich das Kammergericht Berlin zumindest mit der Frage befassen, ob eine juristische Person Betroffene in einem Bußgeldverfahren sein kann. In Österreich hat der Verwaltungsgerichtshof, vergleichbar mit dem deutschen Bundesverwaltungsgericht, im Sommer 2020 zu Voraussetzungen der Bußgeldverhängung gegen juristische Personen, insbesondere also Unternehmen, Stellung bezogen, was im Rechtsüberblick 02/20 hier besprochen wurde. Auch der österreichische Verwaltungsgerichtshoft war, wie das LG Berlin, der Ansicht, dass keine direkte Zurechnung von Verstößen gegen die DSGVO gegenüber einer juristischen Person möglich sei, sondern man andere Wege gehen müsse. Demgegenüber hat das LG Bonn im November 2020 bestätigt, dass gegen 1&1 ein Bußgeld direkt aus Art. 83 DSGVO verhängt werden durfte.

Bevor aber nun die Sektkorken knallen noch einmal der Hinweis: Doch, es ist durchaus möglich, ein Bußgeld gegen ein Unternehmen zu verhängen und ja, auch nach Ansicht des LG Berlin. Die Frage ist: wie.

Der juristische Streit geht darum, ob § 30 OWiG, das Bußgelder für Unternehmen nur unter engen Voraussetzungen vorsieht, anzuwenden ist oder ob aus Art. 83 DSGVO direkt unter Anwendung der supranationalen Kartellrechtsgrundsätze gegen Unternehmen Bußgelder verhängt werden können. Klingt kompliziert, ist es auch – aber auch unglaublich spannend. Vielleicht legt das Kammergericht Berlin die Frage dem EuGH zur Entscheidung vor und wir werden bald mehr wissen.

Liebe Leserinnen und Leser,

herzlich willkommen zu einem weiteren Ausflug in die aktuellen und spannenden Fragen des Datenschutzrechts.

Heute befassen wir uns mit einer Entscheidung des Bundesverfassungsgerichts (BVerfG), welches ein Urteil des Amtsgerichts (AG) Goslar aufgehoben hat. Warum soll das relevant sein?

Es geht um die – auch praktisch hochrelevante – Frage, ob die Schadensersatzpflicht bei Datenschutzverstößen von einer Erheblichkeit der Verletzung abhängt oder nicht. Ganz praktisch also darum, ob die betroffene Person bei jedem Datenschutzverstoß sofort Schadensersatz verlangen darf oder erst, wenn der Datenschutzverstoß eine gewisse Erheblichkeit erreicht hat.

Wieso ist diese Frage streitig? Was bedeutet überhaupt Erheblichkeit? Und was ist überhaupt dieser Schadensersatz aus der DSGVO? Gute Fragen, mit denen wir uns nun beschäftigen wollen. Viel Spaß beim Lesen.

Den ganzen Artikel lesen.

1 2 3 12

Diercks Digital Recht

 

Nina Diercks (M.Litt, University of Aberdeen) arbeitet seit 2010 als Rechtsanwältin. Sie führt die Anwaltskanzlei Diercks in Hamburg. Die Anwältin berät und vertritt Unternehmen bundesweit, ist jedoch ausschließlich im IT-| Medien-| Datenschutz und Arbeitsrecht tätig. Daneben steht die Nina Diercks gern und oft als Referentin auf der Bühne sowie als Interviewpartnerin und Gastautorin zur Verfügung. Dazu hat sie im Jahr 2010 diesen Blog (früher: Social Media Recht Blog) ins Leben gerufen. Mehr

Anmeldung zum Blog-Newsletter

Twitter

Wenn Sie ausschließlich an juristischen Informationen zum IT-| Medien-| Datenschutz-| und Arbeitsrecht interessiert sind, dann folgen Sie dem Kanzlei-Account @kanzleidiercks.

Sehr gerne können Sie auch meinem persönlichen Account unter @RAinDiercks folgen. Hier finden Sie neben dem Recht persönliche Meinung zu den Themen Politik, HR und Vereinbarkeit. Und dann oder wann den einen oder anderen Nonsense.

Social

Follow me on: