Datenschutzrechtliche Fehlvorstellungen

Mit unserem heutigen Blog-Beitrag feiern wir ein kleines Jubiläum: Der 100. Blog-Beitrag des Dresdner Institut für Datenschutz. Nachdem die ersten Beiträge im Jahr 2020 noch anfänglich unregelmäßig erschienen, veröffentlichen wir bereits seit über anderthalb Jahren einmal wöchentlich interessante Beiträge aus den Bereichen des Datenschutzes und der Informationssicherheit und geben Einblicke in die aktuelle Beratungspraxis. So auch in dieser Woche: Der Jubiläums-Beitrag umreißt typische datenschutzrechtliche Fehlvorstellungen, mit denen wir uns im Rahmen unserer täglichen Arbeit mehr oder weniger regelmäßig konfrontiert sehen und soll Ihnen einen Überblick über die tatsächliche Rechtslage ermöglichen.


DER DATENSCHUTZBEAUFTRAGTE ALS VERANTWORTLICHER?

Wir beginnen unseren kleinen thematischen Ausflug mit der Datenschutzorganisation der verantwortlichen Stellen: Auch wenn die Begrifflichkeiten und Pflichten des Verantwortlichen und des Datenschutzbeauftragten klar voneinander zu trennen sind, herrscht in der Praxis oftmals die Fehlvorstellung, dass mit der Benennung eines Datenschutzbeauftragten alle datenschutzrechtlichen Pflichten erfüllt seien. Mit einem Blick in die Datenschutz-Grundverordnung (DS-GVO) wird jedoch schnell klar, dass diese Annahme falsch ist: Die datenschutzrechtlichen Verpflichtungen, insbesondere die vielfältigen Dokumentationspflichten in Form von Datenschutzinformationen, Verträgen zur Auftragsverarbeitung und Verzeichnissen von Verarbeitungstätigkeiten, richten sich ausnahmslos an den Verantwortlichen, das heißt an das Unternehmen oder die Behörde, welche die jeweilige Datenverarbeitung durchführen.

Dem Datenschutzbeauftragten obliegen hingegen insbesondere Beratungs- und Überwachungsaufgaben gemäß Art. 39 DS-GVO. Selbstverständlich kann er in diesem Zusammenhang den Verantwortlichen und die jeweiligen Fachbereiche bei der Erstellung der jeweiligen Dokumentationen unterstützen, die Pflicht zur Ausführung und im Zweifelsfall zur Vorlage bei der jeweiligen Datenschutz-Aufsichtsbehörde treffen ausnahmslos die verantwortliche Stelle. In diesem Zusammenhang kann auch auf das Gerichtsurteil des OLG München (Urt. v. 27.10.2021 – AZ.: 20 U 7051/20) verwiesen werden, welches im zu beurteilenden Fall die Haftung des externen Datenschutzbeauftragten im Rahmen eines Datenschutzverstoßes der verantwortlichen Stelle ausschloss: Verantwortlich ist und bleibt die verantwortliche Stelle. Der Datenschutzbeauftragte sollte jedoch stets eingebunden werden, um seinen Beratungs- und Überwachungsaufgaben nachkommen und damit die verantwortliche Stelle vor etwaigen Haftungsrisiken schützen zu können.


DIE EINWILLIGUNG ALS ULTIMATIVE RECHTSGRUNDLAGE?

Wie bereits im Rahmen unseres Blog-Beitrages „Einwilligungen – Wie ? Wann? Wofür nicht?“ thematisiert, werden Einwilligungen der betroffenen Personen oftmals als „die ultimative Rechtsgrundlage“ verstanden: Datenverarbeitung im Bewerbungsverfahren? Einwilligung. Datenverarbeitung zur Vertragsdurchführung? Einwilligung. Dabei bestehen für die beispielhaft aufgeführten Anwendungsbeispiele jeweils eigenständige Rechtsgrundlagen:

§ 26 Abs. 1 BDSG (Bundesdatenschutzgesetz) lautet beispielsweise: „Personenbezogene Daten von Beschäftigten [gemäß § 26 Abs. 8 Satz 2 BDSG zählen hierzu auch Bewerber:innen] dürfen für Zwecke des Beschäftigungsverhältnisses verarbeitet werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses […] erforderlich ist.“ Art. 6 Abs. 1 Satz 1 lit. b) DS-GVO führt aus: „Die Verarbeitung ist […] rechtmäßig, wenn […] die Verarbeitung […] für die Erfüllung eines Vertrages, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich [ist], die auf Anfrage der betroffenen Person erfolgen […].

Weiterhin sind an Einwilligungserklärungen hohe Anforderungen zu setzen, sodass solche bereits aus diesem Grund nur in Ausnahmefällen als Rechtsgrundlage herangezogen werden sollten. Die DS-GVO setzt voraus, dass Einwilligungen stets nachweisbar sind (Art. 7 Abs. 1 DS-GVO), die Abgabe einer Einwilligungserklärung stets freiwillig erfolgt (Erwägungsgrund 42 Satz 5 zur DS-GVO, § 26 Abs. 2 Satz 1 und 2 BDSG), sowie sich die Einwilligung auf eine bestimmte Datenverarbeitung bezieht, welche der betroffenen Personen klar und verständlich erläutert wurde (Art. 7 Abs. 2 DS-GVO, Erwägungsgrund 42 Satz 3 und 4 zur DS-GVO). Sofern bereits einzelne der benannten Anforderungen nicht vollumfänglich umgesetzt wurden, kann die Einwilligung der betroffenen Person als unwirksam angesehen werden. Die Datenverarbeitung erfolgte durch die verantwortliche im Umkehrschluss ohne einschlägige Rechtsgrundlage – ein bußgeldbewehrter Datenschutzverstoß.

Ergänzend sei zu erwähnen, dass die Freiwilligkeit der Einwilligung beispielsweise bereits dann nicht mehr gegeben ist, wenn einzelne Auswahlfelder vorangekreuzt sind oder der betroffenen Person Nachteile, beispielsweise bezugnehmend auf ein bereits bestehendes Vertragsverhältnis, angedroht werden.


EINE EINWILLIGUNG IM NAMEN DRITTER?

In der Beratungs-Praxis begegnen uns jedoch auch häufig Fälle in denen Datenverarbeitungen von Vertragspartnern für eine Vielzahl von Personen auf die Einwilligung eines Einzelnen gestützt werden sollen. Oft treten diese Fälle im Zusammenhang mit der betrieblichen Altersvorsorge in Unternehmen auf. Die Versicherungsgesellschaften beabsichtigen Datenverarbeitungen von Beschäftigten des Versicherungsnehmers auf die alleinige Einwilligung des Geschäftsführers zu stützen. Aus datenschutzrechtlicher Sicht ist dies gar nicht möglich: Eine Einwilligung gemäß Art. 6 Abs. 1 Satz 1 lit. a) DS-GVO muss durch die betroffene Person persönlich vorgenommen werden. Die Abgabe der Einwilligung durch einen Stellvertreter ist nicht ohne Weiteres möglich und dürfte insbesondere in der benannten Konstellation grundsätzlich zu verneinen sein. Die Folge: Eine Verarbeitung personenbezogener Daten ohne einschlägige Rechtsgrundlage. Verantwortliche Stellen sollten sich auf derartige Datenschutzpraktiken nicht einlassen.


DIE DATENSCHUTZINFORMATIONEN VERSTANDEN UND AKZEPTIERT?

Wer kennt es nicht? Das Kontaktformular einer Internetseite wird genutzt und am Ende muss eben noch kurz bestätigt werden, dass die Datenschutzinformationen gelesen, verstanden und akzeptiert werden. Doch ist diese Vorgehensweise unter Berücksichtigung der datenschutzrechtlichen Anforderungen notwendig? Nein. Die einschlägigen Artikel zur Bereitstellung von Datenschutzinformationen (Artt. 13, 14 DS-GVO) verlangen ausschließlich, dass der Verantwortliche den betroffenen Personen zum frühestmöglichen Zeitpunkt Informationen zu der jeweiligen Datenverarbeitung mitteilt. Es muss demnach der betroffenen Person ohne Hindernisse möglich sein, auf die Datenschutzinformation zuzugreifen und sich über die Verarbeitung personenbezogener Daten zu informieren. Die betroffene Person ist jedoch nicht verpflichtet, die Datenschutzinformationen auch tatsächlich zur Kenntnis zu nehmen. Auch eine Akzeptanz der Datenschutzinformationen ist aufgrund des rein informativen Charakters nicht erforderlich und entfaltet darüber hinaus auch keinerlei rechtliche Wirkung.


KEINE MELDUNG DER DATENSCHUTZVERLETZUNG MIT EINVERSTÄNDNIS DER BETROFFENEN?

Kommt es zu einer Verletzung des Schutzes personenbezogener Daten, wobei ein Risiko für die Rechte und Freiheiten natürlicher Personen nicht auszuschließen ist, so obliegt dem Verantwortlichen die Meldung dieser Datenschutzverletzung an die jeweils zuständige Datenschutz-Aufsichtsbehörde. Die Meldung hat dabei insbesondere den Anforderungen des Art. 33 Abs. 3 DS-GVO zu genügen. Erwächst den betroffenen Personen aufgrund der Datenschutzverletzung ein hohes Risiko, sind diese ebenfalls über das Vorliegen einer Datenschutzverletzung in Kenntnis zu setzen.

Die DS-GVO regelt im Falle von Datenschutzverletzungen klar die Meldeverpflichtung verantwortlicher Stellen: Kein Risiko – keine Meldung, Risiko – Meldung an die Aufsichtsbehörde, hohes Risiko – Meldung an Aufsichtsbehörde und Information der betroffenen Personen. Nichtsdestotrotz begegnen uns auch in diesem Bereich unterschiedlichste Fehlinterpretationen der einschlägigen Normen. In einem Fall führte dies dazu, dass der Verantwortliche trotz eines bestehenden Risikos keine Meldung an die Aufsichtsbehörde vornahm. Zur Begründung hieß es, dass das Einverständnis der betroffenen Person vorläge, auf eine Meldung an die Aufsichtsbehörde zu verzichten. Eine derartige Möglichkeit sehen die Regelungen der DS-GVO nicht einmal ansatzweise vor. Im Falle einer fehlversendeten E-Mail unterblieb trotz eines anzunehmenden Risikos ebenfalls die Meldung an die Aufsichtsbehörde, da die Angabe fehlerhaften Zeichenfolgen innerhalb des Empfänger-Feldes doch keine Datenschutzverletzung darstellen könne.

Kommen Ihnen diese Beschreibungen bekannt vor oder sind Sie sich in der praxisnahen Anwendung der datenschutzrechtlichen Anforderungen unsicher? In diesen Fällen können wir Ihnen unsere Datenschutzsprechstunde empfehlen. Da wir uns insbesondere im Rahmen der datenschutzrechtlichen Beratung oft mit Irrtümern und Fehlvorstellungen konfrontiert sehen, wollen wir in unserem neuen Format, der Datenschutzsprechstunde, regelmäßig für alle Interessierten eine Möglichkeit zum Austausch und zur Diskussion bieten. Die nächste Sprechstunde findet am 13. September 2022 in der Zeit von 11:00 Uhr bis 12:00 Uhr statt. Zur Anmeldung.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Mitgliedschaften des Dresdner Instituts für Datenschutz