Im Rahmen der Blog-Reihe „Ein Spaziergang durch die DS-GVO“ betrachten wir die einzelnen Artikel der Datenschutz-Grundverordnung aus einem etwas anderen Blickwinkel. Ziel ist kein x-ter Kommentar, es soll eher ein Datenschutz-Feuilleton entstehen, mit Anmerkungen und Überlegungen auch zu Artikeln, die Sie im Datenschutz-Alltag vielleicht noch nie gelesen haben. Wer den Artikel 21 liest – und dafür ist der Spaziergang ja gedacht – fragt sich vielleicht: „Habe ich mich verlaufen? Sind wir hier nicht schon vorbeigekommen?“ Tatsächlich ist die Landschaft dem Artikel 18 zum Verwechseln ähnlich. Es wäre möglich – und sinnvoll? – beide Vorschriften zu verbinden. Laufen wir das Widerspruchsrecht nach Artikel 21 ab:

Was beinhaltet Artikel 21?

Absatz 1 gibt das Recht zum Widerspruch für Datenverarbeitungen im öffentlichen Interesse oder in Ausübung öffentlicher Gewalt sowie aufgrund eines berechtigten Interesses, Art. 6 Abs. 1 Satz 1 lit. e) und f) DS-GVO. Voraussetzung sind Gründe der Betroffenen, die sich aus ihrer besonderen Situation ergeben, also einfach Umstände des Einzelfalls. Weiter verarbeitet werden dürfen die Daten dann nur noch, wenn der Verantwortliche zwingende schutzwürdige Gründe nachweisen kann oder die Verarbeitung der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen dient.

Absätze 2 und 3 klären, dass bei Datenverarbeitung für Direktwerbung die Betroffenen jederzeit widersprechen können – also auch ohne besondere Einzelfall-Umstände – und dieser Widerspruch die Direktwerbung in jedem Fall verbietet – also ohne weitere Interessenabwägung. Absatz 4 verlangt entsprechende Hinweise an die Betroffenen – seltsamerweise zusätzlich zu Artikel 13 Abs. 2 lit. b) und Artikel 14 Abs. 2 lit. c) DS-GVO in einer verständlichen und von anderen Informationen getrennten Form. Warum und wie von anderen Informationen getrennt? Absatz 5 provoziert die Rätselfrage: Gibt es automatisierte Verfahren, bei denen keine technischen Spezifikationen verwendet werden? Ich kenne keine.

Und Absatz 6 erlaubt – auch außerhalb von Einwilligung und Vertrag, also weitergehend als Absatz 1 – bei der Datenverarbeitung zu statistischen Zwecken und Forschungszwecken den Widerspruch, „es sei denn, die Verarbeitung ist zur Erfüllung einer im öffentlichen Interesse liegenden Aufgabe erforderlich“. Wie so oft ist die DS-GVO auch hier wieder wunderbar unpräzise, umständlich und rätselhaft:

• Was ist Folge des Widerspruchs nach Absatz 6? Wahrscheinlich ein Verarbeitungsverbot, genau wie in Absatz 1 Satz 2. Das wird nur nicht gesagt.

• Darf dann trotzdem für andere Zwecke weiter verarbeitet werden, wenn die Anforderungen aus Absatz 1 Satz 2 erfüllt sind? Wahrscheinlich ja, es wird nur nicht gesagt.

• Artikel 89 DS-GVO regelt ja insgesamt nur Verarbeitungen, die im öffentlichen Interesse liegen. Wann soll dann ein Widerspruch nach Absatz 6 überhaupt wirksam sein? Wenn er doch bei öffentlichem Interesse nicht gilt? Hier wäre der Wanderleiter dankbar für Hinweise aus der Gruppe.

In der Praxis ist das Widerspruchsrecht nach Artikel 21 DS-GVO fast bedeutungslos. Wie andere Betroffenenrechte auch, wurde es sehr kompliziert konstruiert. Vielleicht wollte der Gesetzgeber den Betroffenen möglichst viele Rechte geben. Aber wie das Sprichwort weiß: Manchmal ist weniger mehr. Mit den Ansprüchen auf Auskunft und Löschung nach Art. 15 und 17 DS-GVO dürfte alles Wesentliche erreichbar sein.

Zur Verständlichkeit

„Fun-Fact“ zum Abschluss der heutigen Etappe: Die DS-GVO betont und verlangt immer wieder einfache, klare, präzise und leicht verständliche Sprache. Es gibt inzwischen wissenschaftlich etablierte Tools, mit denen Lesbarkeit bzw. Verständlichkeit recht gut beurteilt werden können. Und natürlich lassen sich diese Tools auch auf die DS-GVO anwenden.

Das funktioniert zum Beispiel beim sogenannten „Flesch-Index“ (nicht „Flash“). Er bewertet in der üblichen Skalierung Texte mit 0 bis 100 Punkten, wobei hohe Punktzahlen eine leichte Verständlichkeit bedeuten. 0 bis 30 Punkte stehen für sehr schwer verständliche Texte. Die DS-GVO erreicht bei meinen Versuchen – egal in welcher Sprache und auch in kleineren Abschnitten – keine Werte oberhalb von 25. Die ersten 99 Paragrafen des Bürgerliche Gesetzbuch (BGB) schaffen immerhin einen Flesch-Wert von 41 . Das deutsche Einkommensteuergesetz liegt mit §§ 1 bis 10 (das sind deutlich mehr als 10 Paragrafen) bei 27. Datenschutzgesetze sind also fast so klar und leicht verständlich wie das Steuerrecht…

Über den Autor: Prof. Dr. Ralph Wagner ist Vorstand des DID Dresdner Institut für Datenschutz sowie Vorsitzender des ERFA-Kreis Sachsen der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD). Als Honorarprofessor an der Technischen Universität Dresden hält er regelmäßig Vorlesungen und Seminare zum Thema Datenschutzrecht. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Neben den Transparenzanforderungen nach der KI-Verordnung kann auch die Datenschutz-Grundverordnung spezifische Regelungen zur Transparenz im Zusammenhang mit einem Einsatz Künstlicher Intelligenz bereithalten. Art. 13 Abs. 2 lit. f) DS-GVO normiert die Bereitstellung von aussagekräftigen Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer automatisierten Entscheidungsfindung. Eine solche kann grundsätzlich im Zusammenhang mit einem Einsatz von Künstlicher Intelligenz stattfinden. Doch was bedeutet das konkret? Ein Überblick.

Zum Begriff der automatisierten Entscheidungsfindung

Der Begriff der automatisierten Entscheidungsfindung ist innerhalb der DS-GVO nicht näher definiert. Im Rahmen von Art. 22 Abs. 1 DS-GVO wird lediglich ausgeführt, dass die betroffene Person „das Recht [hat], nicht einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt.“

Aus der Regelung kann entnommen werden, dass es sich bei einem Profiling um eine Sonderform einer automatisierten Entscheidungsfindung handelt, wobei Profiling gemäß Art. 4 Nr. 4 DS-GVO als automatisierten Verarbeitung personenbezogener Daten zu verstehen ist, „die darin besteht, bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten […].“

Hieraus folgend kann eine „allgemeine“ automatisierte Entscheidungsfindung als eine ohne die Beteiligung einer Person vorgenommene Entscheidung verstanden werden, deren Ziel nicht in der Bewertung persönlicher Aspekte, sondern in der Vornahme einer konkreten Auswahl zwischen verschiedenen Möglichkeiten liegt. Entsprechend können die einschlägigen Regelungen im Kontext Künstlicher Intelligenz neue Relevanz entfalten. Das gilt insbesondere dann, wenn mithilfe von KI-Anwendungen Auswahlentscheidungen, beispielsweise im Rahmen des Bewerbungs- oder Personalmanagements, getroffen werden – auch unabhängig von der Bewertung des Risikos nach der KI-Verordnung.

Transparenzanforderungen nach DS-GVO

Liegt eine solche automatisierte Entscheidungsfindung bzw. Profiling gemäß Art. 22 Abs. 1 und 4 DS-GVO vor, greifen neben den allgemein bekannten und üblichen Anforderungen des Artikels 13 DS-GVO, zum Beispiel Angaben zum Zweck, zur Rechtsgrundlage und zur Speicherdauer, auch die spezifischen Anforderungen gemäß Art. 13 Abs. 2 lit. f) DS-GVO. In diesen Fällen hat der Verantwortliche ergänzend „aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person“ bereitzustellen.

In der Praxis werden diese Anforderungen oftmals falsch hinsichtlich einer Darlegung konkreter Algorithmen missverstanden und damit einer Offenlegung von Geschäftsgeheimnissen gleichgesetzt. Dieser Ansicht erteilt der Europäische Gerichtshof (EuGH) im Rahmen eines in diesem Jahr ergangenen Urteils (EuGH, Urt. v. 27. Februar 2025, Rs. C-203/22) jedoch eine deutliche Absage.

In dem betreffenden Urteil heißt es zu den bestehenden Transparentanforderungen: „Weder die bloße Übermittlung einer komplexen mathematischen Formel […], noch die detaillierte Beschreibung jedes Schrittseiner automatisierten Entscheidungsfindung genügen diesen Anforderungen, da beides keine ausreichend präzise und verständliche Erläuterung darstellt.“ Konkret: „Die „aussagekräftigen Informationen über die involvierte Logik“ […] müssen also das Verfahren und die Grundsätze, die konkret zur Anwendung kommen, so beschreiben, dass die betroffene Person nachvollziehen kann, welche ihrer personenbezogenen Daten im Rahmen der in Rede stehenden automatisierten Entscheidungsfindung auf welche Art verwendet wurden, ohne dass die Komplexität […] den Verantwortlichen von seiner Erläuterungspflicht entbinden könnte.“ Dazu gehört nach Ansicht des EuGH auch eine Darstellung, „in welchem Maße eine Abweichung bei den berücksichtigten personenbezogenen Daten zu einem anderen Ergebnisgeführt hätte.“

Letztgenannter Punkt ist auch in Bezug auf „die Tragweite und die angestrebten Auswirkungen“ im Sinne des Art. 13 Abs. 2 lit. f) DS-GVO essenziell. Hiernach dürfte es ebenfalls erforderlich sein, der betroffenen Person transparent darzustellen, welche Entscheidungsmöglichkeiten grundsätzlich bestehen und welche Ergebnisse der Verarbeitung personenbezogener Daten zu welchen Entscheidungen führen oder potenziell führen können.

Fazit

Das aktuelle Urteil des EuGH macht deutlich, dass Transparenzpflichten und Geheimhaltungsinteressen einander nicht ausschließen müssen.Die Offenlegung konkreter Algorithmen ist nach Ansicht des Gerichts durch Artikel 13 DS-GVO nicht gefordert, das vollständige Verwehren jeglicher Darstellungen aufgrund von Geschäftsgeheimnissen jedoch ebenso nicht zulässig.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Im Silicon Saxony e.V. nimmt er die Funktion als Leiter des Arbeitskreises Security & Privacy wahr. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Im Rahmen der Blog-Reihe „Ein Spaziergang durch die DS-GVO“ betrachten wir die einzelnen Artikel der Datenschutz-Grundverordnung aus einem etwas anderen Blickwinkel. Ziel ist kein x-ter Kommentar, es soll eher ein Datenschutz-Feuilleton entstehen, mit Anmerkungen und Überlegungen auch zu Artikeln, die Sie im Datenschutz-Alltag vielleicht noch nie gelesen haben. Das letzte Wegstück sind wir im vergangenen Dezember gegangen. Höchste Zeit also für die nächste Etappe, sonst wird der Spaziergang gar zu gemächlich – und wir benötigen für die verbliebenen Artikel etwa ein viertel Jahrhundert – wer weiß, ob die DS-GVO dann vielleicht nur noch rechtshistorisch interessiert. An Ihnen hat es nicht gelegen, also muss der Wanderleiter das Tempo erhöhen. Sind gute Vorsätze im Mai noch erlaubt?

Nachtrag

Zur Sache, zur DS-GVO und zu den noch nicht aufgelösten Weihnachtsrätseln:

• Der Unterschied zwischen den Absätzen 1 von Art. 13 und Art.  14 findet sich natürlich im jeweiligen Buchstaben d). Art. 13 Abs. 1 Buchstabe d) bildet bei Art. 14 im Abs. 2 als Buchstabe b). Warum das so ist – warum also die Interessenabwägung in den Fällen der Direkterhebung immer mitgeteilt werden muss und in den Fällen der Dritterhebung nur gelegentlich – weiß wohl niemand. Oder gibt es Vermutungen in der Wandergruppe? Noch rätselhafter wird es in der Gegenrichtung: Art. 14 Abs. 1 Buchstabe d) verlangt die Information, welche Kategorien personenbezogener Daten überhaupt verarbeitet werden. In Artikel 13 fehlt dies. Muss bei der Direkterhebung also gar nicht informiert werden, auf welche Daten sich die Information bezieht? Wohl ein Versehen des Gesetzgebers…?

• Die zweite Rätselfrage zum Unterschied zwischen Art. 13 Abs. 3 und 14 Abs. 4 betrifft ein einziges Wort: In Art. 13 werden die Daten erhoben und in Art. 14 erlangt.

Ansonsten ist der Absatz wortgleich – Respekt für die präzise Übersetzungsarbeit in Brüssel (trotz des üblichen hohen Zeitdrucks). Und selbst das eine abweichende Wort ist keine Unachtsamkeit der Übersetzer: Auch die englische Sprachfassung bietet mit collected und obtained an derselben Stelle Wortvarianten. Inhaltliche Bedeutung hat das nicht; der EU-Gesetzgeber wollte offenbar seine Übersetzer testen. Und die haben bravourös bestanden.

Absatz 1

Zu einigen Pflichtangaben in Absatz 1 – sowohl bei Art. 13, also auch bei Art. 14:

• Buchstabe a) verlangt den Namen und die Kontaktdaten des Verantwortlichen. Ausreichend sind aber schlicht Kontaktdaten, auf denen der Verantwortliche zuverlässig erreichbar ist, z. B. Postanschrift oder E-Mail-Adresse. Es müssen nicht alle Kontaktdaten sein.

• Beim in Buchstaben a) genannten Vertreter handelt es sich – anders, als in der Praxis manchmal missverstanden – nicht um den gesetzlichen Vertreter des Verantwortlichen, z. B. Geschäftsführer einer GmbH, sondern um den Vertreter nach Art. 27 DS-GVO, sofern es ihn gibt. Für die GmbH muss der aktuelle Geschäftsführer also nicht benannt werden. Das spart Aktualisierungen bei Personalwechsel.

• Buchstabe b) verlangt nur Kontaktdaten des Datenschutzbeauftragten – anders als Buchstabe a) also nicht den Namen. Dementsprechend muss eine Datenschutzinformation auch nicht den Namen des jeweiligen Datenschutzbeauftragten nennen – sie darf es natürlich, dann entsteht allerdings wieder Aktualisierungsbedarf bei Personalwechsel.

• Bei Buchstaben e) ist das EuGH-Urteil vom 12.01.2023 (Rs. C-154/21) zu Art. 15 Abs. 1 lit. c) DS-GVO wohl übertragbar: Der Verantwortliche muss konkrete Empfänger nennen, soweit ihm dies möglich ist – darf sich also nicht auf die Nennung von Empfängerkategorien zurückziehen. Nach dem Gesetzeswortlaut scheint das nicht ganz zwingend, aber Luxemburg locuta, causa finita.

• In Buchstaben f) scheint bemerkenswert, dass die Information ausdrücklich nicht nur das Vorhandensein, sondern auch das Fehlen eines Angemessenheitsbeschlusses der Kommission bei Drittstaatsübermittlungen inkludiert. Heißt: Bei beabsichtigten Datenübermittlungen nach Brasilien genügt es nicht, in der Datenschutzinformation die getroffenen (Schutz-)Maßnahmen zu nennen, sondern es muss zusätzlich verlautbart werden, dass derzeit kein Angemessenheitsbeschluss der Kommission für Brasilien existiert.

Absätze 2, 3 und 4

Absatz 2 können wir beim Wandern getrost überspringen. Er könnte insgesamt ersetzt werden durch einen Hinweis auf das Auskunftsrecht – für diejenigen Betroffenen, die wirklich weitergehende Informationen wünschen. Absatz 3 klärt den Zeitpunkt der Informationserteilung. Erwähnenswert ist insoweit eigentlich nur, dass in der Variante des Buchstaben a) nicht immer die Monatsfrist gilt, sondern – je nach Einzelfall – die angemessene Frist auch zuvor schon ablaufen kann. In Absatz 4 – Sie erinnern sich: fast wortgleich mit Art. 13 Abs. 3 – befiehlt der Gesetzgeber für den Fall einer Zweckänderung der Datenverarbeitung eine neue Information.

Absatz 5

Und Absatz 5 ist wieder – wie Art. 13 Abs. 4 – etwas für Mutige: Wer die dortigen Ausnahmefälle beweisen kann, braucht keine oder nur eine teilweise Datenschutzinformation zu erteilen.

Die Ausnahmefälle in Buchstaben b), c) und d) sind nur hier – und nicht bei Artikel 13 – geregelt. Das Rätselraten der Juristen, ob dies etwas zu bedeuten hat – und gegebenenfalls was – ist noch nicht ganz abgeschlossen. Zum Beispiel: In Art. 14 Abs. 5 Buchstabe b) verzichtet der Gesetzgeber gnädig auf Informationen, wenn sich deren „Erteilung […] als unmöglich erweist“. Art. 13 bietet diese Ausnahme nicht – müssen dort also auch unmögliche Informationen erteilt werden? Wahrscheinlich – einmal mehr – ein Fehler in der Gesetzgebung. Das scheint noch relativ eindeutig.

Aber schon gleich danach entbrennt heißer Streit: In Art. 14 findet sich an derselben Stelle auch eine Ausnahme für Informationen, deren Erteilung „einen unverhältnismäßigen Aufwand erfordern würde“. Gilt das auch bei Artikel 13 oder hat der Gesetzgeber dort bewusst geschwiegen? Und Folgefrage für Knobelfreunde: Wird aus unverhältnismäßig irgendwann unmöglich? Falls ja: Wann genau? Disclaimer vorab: Für diese Rätselfragen gibt es leider auch in der nächsten Folge keine Auflösung. – Wenn Sie eine Meinung haben möchten: Unverhältnismäßig ist bei Artikel 13 genauso wenig geschuldet, wie bei Artikel 14. Das Problem besteht im Nachweis der Unverhältnismäßigkeit – also in der Einigung, was unverhältnismäßig ist.

Damit kehren wir Artikel 14 den Rücken. Ihnen allen schöne Spaziergänge im Mai und bis bald!

Über den Autor: Prof. Dr. Ralph Wagner ist Vorstand des DID Dresdner Institut für Datenschutz sowie Vorsitzender des ERFA-Kreis Sachsen der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD). Als Honorarprofessor an der Technischen Universität Dresden hält er regelmäßig Vorlesungen und Seminare zum Thema Datenschutzrecht. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Die letzten Tage und Wochen sind – mal wieder möchte man meinen – von einigen Highlights in der datenschutzrechtlichen Rechtsprechung geprägt wurden. Bereits in unserem Jahresrückblick haben wir das Urteil des Europäischen Gerichtshof (EuGH) vom 19. Dezember 2024 (Rs. C-65/23) zu Art. 88 DS-GVO und Betriebsvereinbarungen erwähnt. In den letzten Tagen sorgte zudem ein Urteil des Gericht der Europäischen Union (EuG) vom 8. Januar 2025 (Rs. T-354/22) für Aufsehen, in dem die Europäische Kommission aufgrund einer rechtswidrigen Datenübermittlung in die USA (konkret an Amazon Web Services – AWS) zu einem Schadenersatz in Höhe von 400€ verurteilt wird.

In unserem heutigen Beitrag wollen wir uns jedoch dem Urteil des EuGH vom 9. Januar 2025 (Rs. C-394/23) näher zuwenden, zumindest ausschnittsweise. Im Kern adressiert das Urteil die Frage nach der Zulässigkeit der Rechtmäßigkeit der Verarbeitung hinsichtlich Anrede und Geschlechtsidentität. Wir wollen uns jedoch lediglich den Ausführungen des EuGH zum Thema des berechtigten Interesses widmen. Doch lest selbst.

Das berechtigte Interesse

… nach Abwägung müsste der Tatbestand in Art. 6 Abs. 1 UAbs. 1 lit. f) DS-GVO richtigerweise genannt werden. In der Praxis hat sich jedoch weit überwiegend die Bezeichnung „berechtigtes Interesse“ durchgesetzt, wenn nicht sogar beiläufig die Bezeichnung „Auffangtatbestand“ genutzt wird. Mit den Voraussetzungen des Tatbestandes inklusiv Verweisen auf die Rechtsprechung des EuGH haben wir uns hier in der Vergangenheit bereits auseinandergesetzt. Hierbei betont der EuGH stets, dass grundsätzlich ein breites Spektrum von Interessen als berechtigt gelte, wobei derartige Interessen weder gesetzlich verankert noch bestimmt, jedoch in jedem Falle rechtmäßig sein müssen.

Gleichgültig auf welches berechtigte Interesse im Rahmen der Abwägung der Verantwortliche zurückgreift, allein mit der Festlegung ist es nicht getan. Vielmehr bedarf es auch der Information der Betroffenen über das jeweils gegenständliche Interesse. Es bedarf der Information? Genau, steht zwar nicht direkt im Tatbestand, macht aber nichts. Wie so häufig schadet es nicht, einen Blick ins Gesetz zu riskieren. In Art. 13 DS-GVO (Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person) wird in Abs. 1 lit. d) Folgendes normiert:

„Werden personenbezogene Daten bei der betroffenen Person erhoben, so teilt der Verantwortliche der betroffenen Person zum Zeitpunkt der Erhebung dieser Daten Folgendes mit: […], wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe f beruht, die berechtigten Interessen, die von dem Verantwortlichen oder einem Dritten verfolgt werden […].“

Spiegelbildlich wird in Art. 14 DS-GVO (Informationspflicht, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurden) in Abs. 2 lit. b) folgendes geregelt:

„Zusätzlich zu den Informationen gemäß Absatz 1 stellt der Verantwortliche der betroffenen Person die folgenden Informationen zur Verfügung, die erforderlich sind, um der betroffenen Person gegenüber eine faire und transparente Verarbeitung zu gewährleisten: […] wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe f beruht, die berechtigten Interessen, die von dem Verantwortlichen oder einem Dritten verfolgt werden […]“

So weit, so gut. Doch was bedeutet diese Informationspflicht für den Tatbestand und damit letztendlich auch für Anwendung des berechtigten Interesses in der Praxis?

Zurück zum Urteil

Die Frage nach der Auswirkung bei fehlender oder mangelhafter Informationspflicht in der Praxis beantwortet der EuGH nun in seinem Urteil (Rn. 46): „Was erstens die Voraussetzung der Wahrnehmung eines berechtigten Interesses betrifft, ist darauf hinzuweisen, dass es nach Art. 13 Abs. 1 Buchst. d DSGVO dem Verantwortlichen obliegt, einer betroffenen Person zu dem Zeitpunkt, zu dem personenbezogene Daten bei ihr erhoben werden, die verfolgten berechtigten Interessen mitzuteilen, wenn diese Verarbeitung auf Art. 6 Abs. 1 Unterabs. 1 Buchst. f DSGVO beruht.“

Und weiter in Rn. 52: „Wie der Generalanwalt in Nr. 58 seiner Schlussanträge ausgeführt hat, verlangt diese Bestimmung, dass den betroffenen Personen zum Zeitpunkt der Erhebung der Daten unmittelbar das verfolgte berechtigte Interesse mitgeteilt wird, da andernfalls diese Erhebung nicht auf der Grundlage von Art. 6 Abs. 1 Unterabs. 1 Buchst. f dieser Verordnung gerechtfertigt werden kann.“

Im konkreten Verfahren lässt der EuGH eine weitere Beurteilung der Frage offen, da sich dies nicht aus den vorliegenden Akten ableiten lässt.

Fazit

Für die Praxis lassen sich diese Ausführungen des EuGH dahingehend zusammenfassen, dass die Erfüllung des Tatbestand des Art. 6 Abs. 1 UAbs. 1 lit. f) DS-GVO den Verantwortlichen bei der Datenverarbeitung auf Grundlage des berechtigten Interesses nach Abwägung noch nicht in Sicherheit wiegen darf. Vielmehr müssen auch die Informationspflichten aus Art. 13 DS-GVO (und sofern anwendbar vermutlich auch Art. 14 DS-GVO) erfüllt sein, damit die gegenständliche Datenverarbeitung als rechtmäßig betrachtet werden kann. Verantwortliche sollten daher insbesondere bei der Erfüllung der Datenschutzinformationen darauf achten, dass nicht nur gebetsmühlenartig auf den Tatbestand verweisen wird, sondern das eine tatsächliche Auseinandersetzung erfolgt.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Im Rahmen der Blog-Reihe „Ein Spaziergang durch die DS-GVO“ betrachten wir die einzelnen Artikel der Datenschutz-Grundverordnung aus einem etwas anderen Blickwinkel. Ziel ist kein x-ter Kommentar, es soll eher ein Datenschutz-Feuilleton entstehen, mit Anmerkungen und Überlegungen auch zu Artikeln, die Sie im Datenschutz-Alltag vielleicht noch nie gelesen haben. Das erste Betroffenenrecht in Kapitel III der DS-GVO ist aus der Perspektive der Verantwortlichen benannt, nämlich als Informationspflicht.

Während es im alten Datenschutzrecht vor der DS-GVO – sieben Jahre vergangen, also völlig vergessen – nur ein Auskunftsrecht gab, verlangt die DS-GVO, die Betroffenen ungefragt – oder aufgedrängt? – über Datenverarbeitungen zu informieren. Die Regeln dazu wandern wir in den Artikeln 13 und 14 ab. Dazu folgende Knobelaufgabe für lange Weihnachtsabende: Finden Sie den Unterschied zwischen Art. 13 Abs. 1 und Art. 14 Abs. 1 DS-GVO? Zusatzaufgabe: Wer findet die Abweichung zwischen Art. 13 Abs. 3 und Art. 14 Abs. 4 DS-GVO?

Zu viel des guten?

An beiden Artikel ist vor allem erstaunlich, dass sie maßgeblich durch einen „grünen“ Politiker kreiert wurden – sie verdienen die Goldene Himbeere für die ressourcen-vergeudendste Datenschutznorm. Etliche Bäume, die wir bei unserem Spaziergang nicht (mehr) sehen konnten, wurden dem Papier für Datenschutz-Informationen geopfert und etliche Windräder, die sich da am Horizont drehen, liefern Energie für elektronische Datenschutz-Informationen im Internet. Gelesen wird weder die Print-, noch die Online-Form.

Liest man sie ausnahmsweise doch, erweisen sie sich meist als falsch oder inhaltsarm – dritte Variante: Kombination aus beidem. Das liegt gar nicht immer an der Nachlässigkeit der Verantwortlichen – natürlich: manchmal auch daran. Bei den Datenschutz-Aufsichtsbehörden betreibt man sicher besonderen Aufwand für die Datenschutz-Informationen. Trotzdem sind die Ergebnisse dürftig und lohnen die Mühe wohl nicht. Beispiel gefällig?

Die Datenschutz-Information der Bundesbeauftragten für Datenschutz und Informationsfreiheit findet sich hier. Für den nicht uninteressanten Punkt der Speicherdauer wird in Ziff. 5 verwiesen auf die Richtlinie für das Bearbeiten und Verwalten von Schriftgut in Bundesministerien. Und hat man diese Richtlinie im Internet recherchiert, findet man dort zum Beispiel in Anlage 5 Aufbewahrungsfristen unter II. Gesichtspunkte für die Fristbemessung, Ziffer 2 Buchstabe b): „Werden Rechtsvorschriften vorbereitet und fortgeschrieben, reichen im Regelfall 20 Jahre aus. Bei Verwaltungsvorschriften kann die Frist noch verkürzt werden. Besteht nur ein Verwaltungsvollzug, genügen oft 10 Jahre.“ Und III. 2.: „[…] Dem zuständigen Bearbeiter sind die auszusondernden Akten vorzulegen, der dann die Frist schriftlich festsetzt.“ Damit alles klar?

Es wäre sicher überlegenswert, die ungefragte Information Betroffener auf solche Fälle zu begrenzen, in denen entweder die Datenverarbeitung selbst oder der zuständige Ansprechpartner (Verantwortliche) sonst nicht erkennbar sind. Für alle anderen Fälle genügt – mit Blick auf das Kosten-Nutzen-Verhältnis – wohl der Auskunftsanspruch: Interessierte Betroffene können nachfragen.

Die Norm in der Praxis

Aber zurück vom wie es sein könnte zum was derzeit ist: Soweit die Daten direkt bei den Betroffenen erhoben werden, muss der Verantwortliche nach Art. 13 Abs. 1 diverse Informationen über die Datenverarbeitung geben. Absatz 2 verlangt dann – hauptsächlich – eine Darstellung der Betroffenenrechte. Nach Absatz 3 gilt: Bei Änderung des Verarbeitungszwecks zurück auf Start, also erneute Information, sobald sich Angaben ändern – entgegen des Wortlautes von Absatz 3 nicht nur „gemäß Absatz 2“, sondern auch hinsichtlich Abatz 1. Und Absatz 4 streicht alle Pflichten aus den Absätzen 1 bis 3, „[…] soweit die betroffene Person bereits über die Informationen verfügt“. Letzteres muss der Verantwortliche im Zweifelsfall nachweisen können. Absatz 4 ist also etwas für mutige Verantwortliche.

Jahreszeitliches Praxisbeispiel – geeignet als Beipackzettel bei der Bescherung, sofern der Weihnachtsmann den Wunschzettel direkt vom Geschenke-Empfänger bekommt – sonst Artikel 14:

„Als Weihnachtsmann möchte ich im Folgenden über die Verarbeitung Ihrer personenbezogenen Daten und Ihre Betroffenenrechte informieren:

Verantwortlich für die Datenverarbeitung: Santa Claus Weihnachtsmann, Schneestraße 1 in 08289 Schneeberg. Mein Datenschutzbeauftragter ist erreichbar unter derselben Post-Anschrift, Zusatz: zu Händen des Datenschutzbeauftragten sowie außerdem per E-Mail: dsb@weihnachtsmann.de. Ihre personenbezogenen Daten werden zur Auswahl, Beschaffung und Zustellung der Weihnachtsgeschenke verarbeitet auf Grundlage von Art. 6 Abs. 1 lit. a) (Einwilligung) und lit. b) (Vorbereitung und Durchführung des Schenkungsvertrags). Eine Weitergabe der Daten an Dritte oder Drittländer oder internationale Organisationen erfolgt nicht. Die Daten werden nur bis zum Schenkungsvorgang gespeichert und anschließend gelöscht. Ausnahmsweise können längerfristige Speicherungen bis zu einem Jahr mit Ihrer Einwilligung erfolgen, insbesondere wenn Sie gute Vorsätze äußern oder Versprechen abgeben, die beim nächsten Weihnachtsfest berücksichtigt werden sollen.

Zu Ihren Gunsten besteht ein Recht auf Auskunft meinerseits über Sie betreffende personenbezogene Daten sowie gegebenenfalls auf Berichtigung, Löschung, Einschränkung der Verarbeitung, Widerspruch gegen die Verarbeitung sowie Datenübertragbarkeit. Soweit die Datenverarbeitung auf Ihrer Einwilligung beruht, sind Sie berechtigt, die Einwilligung jederzeit zu widerrufen, ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird. Sie besitzen ein Beschwerderecht bei einer Aufsichtsbehörde und können sich mit Fragen und Anliegen zum Datenschutz auch jederzeit an meinen Datenschutzbeauftragten unter oben genannter Adresse wenden.

Die Bereitstellung Ihrer Daten ist nicht gesetzlich oder vertraglich vorgeschrieben, jedoch für Abschluss und Durchführung des Schenkungsvertrages notwendig. Ohne Ihre personenbezogenen Daten kann die Bescherung nicht erfolgen. Derzeit setze ich (noch) keine Verfahren zur automatisierten Entscheidungsfindung einschließlich Profiling ein.“

Sollte Ihr Weihnachtsmann jedoch zur Familie gehören, braucht es die Datenschutz-Information natürlich nicht, Art. 2 Abs. 2 lit. c) DS-GVO. Ihnen Allen frohe und friedliche Weihnachten sowie die besten Wünsche für das neue Jahr 2025!

Über den Autor: Prof. Dr. Ralph Wagner ist Vorstand des DID Dresdner Institut für Datenschutz sowie Vorsitzender des ERFA-Kreis Sachsen der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD). Als Honorarprofessor an der Technischen Universität Dresden hält er regelmäßig Vorlesungen und Seminare zum Thema Datenschutzrecht. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Im Rahmen der Blog-Reihe „Ein Spaziergang durch die DS-GVO“ betrachten wir die einzelnen Artikel der Datenschutz-Grundverordnung aus einem etwas anderen Blickwinkel. Ziel ist kein x-ter Kommentar, es soll eher ein Datenschutz-Feuilleton entstehen, mit Anmerkungen und Überlegungen auch zu Artikeln, die Sie im Datenschutz-Alltag vielleicht noch nie gelesen haben. Wie versprochen und angedroht, marschieren wir nun deutlich bergauf – etwas anstrengender, aber bestenfalls auch lohnend – soll heißen: Artikel 12 ist nicht nur schwieriger, sondern auch wichtiger als Artikel 11.

Gibt es nicht vielleicht eine Abkürzung?

Mit acht Absätzen begleitet uns der Artikel eine ziemlich lange Wegstrecke – und wie wir gleich sehen werden, hat der Gesetzgeber selbst zwar gleich im ersten Satz vorgeschrieben, dass man immer den kürzesten und besten Weg nehmen soll, kurvt aber selbst ziemlich holprig den einen und den anderen Umweg. Aber der Reihe nach: Der ganze Artikel ist eine Gebrauchsanweisung für Kapitel III der DS-GVO. Er enthält allgemeine Vorschriften – vor die Klammer gezogen, wie Juristen gerne sagen – darüber, wie sich der Verantwortliche zu verhalten hat, wenn Betroffene Rechte nach Artikel 13 bis 22 und 34 geltend machen. Die einzelnen Rechte können Sie jetzt noch nicht kennen – da kommen wir erst später vorbei. Freuen Sie sich drauf.

In Kürze wäre Artikel 12 ungefähr:

1. Der Verantwortliche erleichtert den Betroffenen die Wahrnehmung ihrer Rechte. Insbesondere führt er die Kommunikation mit ihnen klar, präzise und leicht zugänglich.
2. Tätigkeiten des Verantwortlichen nach den Artikeln 13 bis 22 und 34 erfolgen für die Betroffenen unentgeltlich und unverzüglich, spätestens jedoch innerhalb eines Monats. Bei offensichtlich unbegründeten Anträgen Betroffener darf der Verantwortliche ein angemessenes Entgelt verlangen oder nach Absatz IV verfahren.
3. Kann die Frist nach Absatz 2 nicht eingehalten werden, informiert der Verantwortliche unverzüglich über die Gründe und die voraussichtliche Bearbeitungsdauer. Diese darf insgesamt drei Monate nicht überschreiten.
4. Sind dem Verantwortlichen geforderte Maßnahmen nach den Artikeln 13 bis 22 und 34 unmöglich, informiert er die Betroffenen unverzüglich, auch über die jeweiligen Gründe sowie über das Recht, Beschwerde bei einer Aufsichtsbehörde zu führen oder einen gerichtlichen Rechtsbehelf einzulegen.

So wäre ungefähr die Abkürzung. Aber wir gehen natürlich den offiziellen Weg:

Absatz 1

Zuerst – gleich in Absatz 1 Satz 1 – wird geregelt, wie die Verantwortlichen mit den Betroffenen zu kommunizieren haben: Präzise, transparent, verständlich, in leicht zugänglicher Form und klarer, einfacher Sprache. Witzig: Sogar in diesem Satz selbst verstößt der Gesetzgeber gleich gegen seine eigene Regel. Er sagt nicht zum Beispiel nicht kommunizieren, sondern „geeignete Maßnahmen treffen, um Informationen und Mitteilungen, die sich auf die Verarbeitung beziehen, zu übermitteln“. Gleich im nächsten Satz wird es noch witziger – oder ärgerlicher (?): „Die Übermittlung […] erfolgt schriftlich oder in anderer Form […]“. Ja – äh – wie denn sonst? Frage an Sie alle: Findet irgendjemand einen Sinn in diesem Satz?

Absatz 2

Ähnlich geht’s weiter bei Absatz 2 in Satz 2: Er regelt dasselbe wie Artikel 11 Absatz 2 – leider etwas anders. Wenn Verantwortliche Betroffene nicht identifizieren können, müssen nach Art. 11 Abs. 2 die Rechte aus Artikel 15 bis 20 nicht bedient werden. Gemäß Artikel 12 Abs. 2 Satz 2 entfallen auch noch die Artikel 21 und 22. Wie denn nun?

Absatz 3

Schnell vorbei und zu Absatz 3. Achtung hier: Man liest oft, die Verantwortlichen müssten Betroffenenrechte innerhalb eines Monats erfüllen. Das ist falsch. Wer sich so lange Zeit lässt, kann Bußgeld und Schadenersatz riskieren: Erfüllt werden muss unverzüglich – und das heißt: So schnell es geht. Man kann sich also nicht einen Monat Zeit lassen, sondern muss sich 1. beeilen und 2. in einem Monat fertig werden. Wenn das überhaupt nicht geht, darf verlängert werden; aber nicht einfach so „um weitere zwei Monate“ – das hat der Gesetzgeber ganz unpräzise, intransparent und unverständlich nur so hingeschrieben – sondern nur um die Zeit, die es wirklich braucht.

Absätze 4 und 5

Absatz 4 ist selbsterklärend und bei Absatz 5 wird uns demnächst vom EuGH erklärt, wann Betroffene sich exzessiv verhalten – zwei Verfahren sind dazu bei ihm anhängig. In der Rechtssache C-416/23 hat der Generalanwalt sich bereits geäußert – der EuGH folgt in seinen Entscheidungen häufig den Auffassungen der Generalanwaltschaft: Allein die Häufigkeit von Anfragen führt noch nicht zum Exzess. Dazu kommen muss eine missbräuchliche Absicht, also ein datenschutzfremdes Ziel. In diese Richtung gehen auch Entscheidungen der Oberlandesgerichte Brandenburg (Urt. v. 14.04.2023, Az.: 11 U 233/22) und Nürnberg (Urt. v. 14.03.2021, Az.: 8 U 2907/21).

Absatz 6

Absatz 6 ist wieder ein Verstoß gegen das Gebot der Klarheit und Kürze: Steht alles schon in Artikel 11 und außerdem kann der Verantwortliche bei „begründeten Zweifeln an der Identität“ nicht nachfragen, sondern er muss.

Absätze 7 und 8

Die Absätze 7 und 8 gehören zusammen… gestrichen. Bildsymbole darf man sowieso verwenden und bitte nicht „[…] Rechtsakte zur Bestimmung […] der Verfahren für die Bereitstellung standardisierter Bildsymbole […] erlassen“! Sonst prüfen die Datenschutzbeauftragten demnächst, ob das Kamerasymbol die richtige Farbe hat.

Fazit zum Spazierweg bei Artikel 12: Sehr schöne Ziele. Aber der Weg ist unnötig anstrengend.

Über den Autor: Prof. Dr. Ralph Wagner ist Vorstand des DID Dresdner Institut für Datenschutz sowie Vorsitzender des ERFA-Kreis Sachsen der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD). Als Honorarprofessor an der Technischen Universität Dresden hält er regelmäßig Vorlesungen und Seminare zum Thema Datenschutzrecht. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

In meinem letzten Beitrag habe ich gezeigt, dass der Gesetzgeber von uns in den absurdesten Verarbeitungssituationen umfangreichste Datenschutzinformationen verlangt. Der heutige Beitrag widmet sich der Frage, wie die betriebliche Praxis damit umgehen kann. Denn inner- und außerbetrieblich werden diverse Datenmengen verarbeitet. Beispielsweise werden Kontaktinformationen auf Internetseiten bereitgestellt, elektronische Signaturen erstellt, Kalender, Allergielisten und Fahrtenbücher geführt und wir bestellen neue Büroklammern bei Amazon. Aufgrund der Vielzahl von Verarbeitungstätigkeiten bilden Betriebe, die den vollständigen Überblick über all ihre Tätigkeiten haben, die absolute Ausnahme. Dementsprechend groß ist die Herausforderung, über alle Datenverarbeitungen transparent und nachvollziehbar zu informieren.

Eine allgemeine Datenschutzinformation

Einen guten Lösungsansatz bildet eine allgemeine Datenschutzinformation, die über die alltäglichen Verarbeitungen informiert, aber schnell in dem Transparenzgrundsatz ihre Grenzen finden kann. Schließlich werden nicht alle Beschäftigten mit denselben Verarbeitungssituationen konfrontiert, sodass es kaum möglich sein wird, alle Beschäftigten gemeinsam und umfassend über alle Verarbeitungssituationen zu informieren. Dennoch empfiehlt sich eine allgemeine Information beispielsweise bezüglich alltäglicher Büroanwendungen und Rechnungsdaten zu erteilen.

Dabei wird die Herausforderung zum einen darin liegen, ausreichend transparente Informationen zur Verfügung zu stellen, die aber zum anderen so generell gehalten sind, dass ausreichend Verarbeitungsvorgänge abgebildet werden. Darüber hinaus gilt es einen Prozess zu gestalten, der alle Beschäftigten – auch jene die bereits seit 30 Jahren im Betrieb arbeiten – erreicht und Veränderungen der Information zulässt. Beispielsweise könnten die allgemeinen Informationen im Rahmen einer jährlichen Datenschutzschulung besprochen werden.

Die spezielle Datenschutzinformation

Neben der allgemeinen Information wird man es nicht vermeiden können, über einige Prozesse einzeln zu informieren. Wenn beispielweise eine Beschäftigte auf der Internetseite abgebildet werden soll, wäre es wohl stets intransparent auf diese Information zu verzichten. In diesen Fällen sollte man sich von Verarbeitungstätigkeit zu Verarbeitungstätigkeit überlegen, wie eine transparente und sinnvolle Information gestaltet werden kann. Die Überlegungen könnten sich dabei gut entlang des Verzeichnisses für Verarbeitungstätigkeiten orientieren.

Die Ausnahme des Art. 13 Abs. 4 DS-GVO

Grundsätzlich kann auch überlegt werden, ob von einer Information gänzlich abgesehen werden kann. Die Rechtsgrundlage hierfür bildet Art. 13 Abs. 4 DS-GVO, welche besagt, dass wer bereits Kenntnis vom Informationsinhalt hat, hierüber nicht informiert werden muss. Exemplarisch soll das Fahrtenbuch in einer Steuerkanzlei herhalten, um zu zeigen, auf wie viele Informationen verzichtet werden könnten. Denn in einer Steuerkanzlei wissen die Beschäftigen, dass das Führen eines Fahrtenbuchs steuerliche Gründe hat, kennen somit sowohl den Verarbeitungszweck, als auch das Finanzamt als Datenempfänger. Außerdem kann man einem Steuerberater zumuten, dass er weiß, dass sein Arbeitsvertrag (und die Pflicht gegenüber dem Finanzamt) die Rechtsgrundlage für die Verarbeitung bildet. Somit ließe sich wohl durchaus vertreten, von einer Information nach Art. 13 Abs. 1 DS-GVO abzusehen.

Allerdings müsste wohl dennoch nach Art. 13 Abs. 2 über die Löschfristen und die Betroffenenrechte (dazu gleich) informiert werden. Hier liegt ein Problem, welches auch im Rahmen der allgemeinen Datenschutzinformation schnell auftreten kann. Wer also den rechtssicheren Weg gehen will, wird wohl nie gänzlich auf eine Information verzichten können.

Betroffenenrechte

An dieser Stelle sei wieder einmal die Absurdität der Informationspflicht über Betroffenenrechte aufgezeigt, Art. 13 Abs. 2 lit. b), d) DS-GVO. Sollte keine allgemeine Datenschutzinformation bestehen und über jede Verarbeitungstätigkeit einzeln informiert werden, könnte man sich fragen, wann der Zeitpunkt eintritt, ab dem die Beschäftigen ihre Betroffenenrechte kennen und dementsprechend auf die Information verzichtet werden kann. Wer vertritt, es gebe diesen Zeitpunkt, könnte allerdings mit ähnlichem Argument vertreten, dass ein Beschäftigter seine Betroffenenrechte kenne, weil er sich bei Facebook angemeldet hat (und hierbei nachweislich informiert worden ist). Die allgemeine Datenschutzinformation vermag die Frage, ob in spezielleren Datenschutzinformationen auf die Informationen über Betroffenenrechte verzichtet werden kann, auch nicht abschließend beantworten, da hiergegen dieselben Argumente wie oben anzuführen wären.

Das Problem lässt sich am sinnvollsten lösen, indem man die Betroffenenrechte bei Beschäftigtenschulungen bespricht. Denn gut geschulte Beschäftigte kennen die Betroffenenrechte und müssen hierüber nicht mehr darüber informiert werden. Dasselbe gilt für Vertiefungswissen zur allgemeinen Information.

Praktische Empfehlungen

Wie genau eine allgemeine Information aussehen sollte, unterscheidet sich bezüglich der betrieblichen Anforderungen und der Adressaten. Allerdings ist zu empfehlen, diese zu erstellen und regelmäßig zu überprüfen. Zudem sollte sie allen Beschäftigen bereits bei Dienstantritt vorgelegt werden und ein Prozess eingeführt werden, der die Information aktuell hält. Außerdem sollte gewährleistet werden, dass stets alle Beschäftigten korrekt informiert sind. Hierfür können sich Schulungen gut anbieten.

Daneben sollte die Informationspflicht beim Führen des Verzeichnisses für Verarbeitungstätigkeiten direkt mitgedacht werden. Gemäß Art. 24 Abs. 1 DS-GVO gilt es hierbei (auch) bezüglich des Nachweises über die Information einen risikobasierten Ansatz zu fahren. Dementsprechend gilt es, sich mehr Gedanken über die Informationspflicht (und dessen Nachweis) zu machen, je größer die Risiken für die Rechte und Freiheiten der Beschäftigen sind.

Über den Autor: Felix Lückert ist Volljurist (Ass. Jur.) und beim Dresdener Institut für Datenschutz als externer Datenschutzbeauftragter tätig. Der Fokus seiner Tätigkeiten liegt in der Beratung von Hochschulen und Gemeinden. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Jüngst hatte sich das Landesarbeitsgericht (LAG) Düsseldorf mit der Frage auseinanderzusetzen, ob die Durchführung einer Google-Recherche zur Überprüfung der Eignung des Bewerbers datenschutzrechtlich zulässig ist. Hierbei stellte das Gericht klar, dass unter bestimmten Voraussetzungen eine Hintergrundrecherche zur Person des Bewerbers möglich sein kann, sprach dem erfolglosen Bewerber dennoch einen immateriellen Schadenersatz in Höhe von 1.000 Euro zu. Der nachfolgende Beitrag stellt die Hintergründe des Urteils dar.

Zum Sachverhalt

Im vorliegenden Fall handelte es sich um eine Bewerbung auf die ausgeschriebene Stelle für eine:n Volljurist:in im öffentlichen Dienst. Gegen den Bewerber lag eine nicht-rechtskräftige Verurteilung wegen gewerbsmäßigen Betrugs zu einer Freiheitsstrafe von einem Jahr und vier Monaten auf Bewährung vor. Der Vorwurf lautete, der Bewerber habe vielfach fingierte Bewerbungen eingereicht, um potenzielle Arbeitgeber anschließend wegen angeblicher Diskriminierung zur Zahlung von Entschädigungen zu veranlassen.

Auf Grundlage eines konkreten Verdachts – der zuständige Personaldezernent konnte sich an ein Urteil im Zusammenhang mit dem Namen des Bewerbers erinnern – führte die öffentliche Stelle eine Google-Recherche zum Bewerber durch und stieß hierbei auf einen Wikipedia-Artikel zur Person des Bewerbers, welcher ebenfalls Darstellungen zur nicht-rechtskräftigen Verurteilung enthielt. Die öffentliche Stelle bezog die über die Google-Recherche erlangten Informationen in das Auswahlverfahren ein und lehnte den Bewerber letztendlich ab.

Der erfolglose Bewerber legte hiergegen mit der Begründung Klage ein, die Google-Recherche sowie die Verarbeitung der hieraus gewonnenen personenbezogenen Daten sei datenschutzrechtlich unzulässig gewesen und zudem sei er nicht über diese Verarbeitung seiner personenbezogenen Daten informiert worden.

Zum Urteil

Auf Grundlage des vorliegenden Sachverhaltes führte das LAG Düsseldorf in seinem Urteil vom 10. April 2024 (Az. 12 Sa 1007/23) zunächst aus, dass die Durchführung einer Google-Recherche im Rahmen eines Bewerbungsverfahrens unter bestimmten Voraussetzungen datenschutzrechtlich zulässig sein kann. Als Rechtsgrundlage komme hierfür Art. 6 Abs. 1 Satz 1 lit. b) DS-GVO in Betracht, wonach eine Verarbeitung personenbezogener Daten rechtmäßig ist, wenn diese zur Durchführung vorvertraglicher Maßnahmen erforderlich ist, die auf Anfrage der betroffenen Person erfolgen. Ein Bewerbungsverfahren kann grundsätzlich eine vorvertragliche Maßnahme darstellen, wobei in der Bewerbung die Anfrage der betroffenen Person zu sehen ist.

Das Gericht stellte zudem fest, dass eine bestehende Vorstrafe einer Eignung im Sinne des Art. 33 Abs. 2 Grundgesetz (Eignung zum öffentlichen Amt) für die betreffende Stelle entgegenstehen kann. Aufgrund des Zusammenhangs zwischen der nicht-rechtskräftigen Verurteilung des Bewerbers und der konkreten Stellenausschreibung, sah das Gericht die fehlende Geeignetheit des Bewerbers als gegeben an. Dementsprechend war auch die Durchführung der Google-Recherche nach Ansicht des Gerichts zulässig: Die öffentliche Stelle ging einem konkreten Verdacht nach, der an der Eignung des Bewerbers zweifeln ließ. Die Recherche diente demnach dem Zweck, die Eignung des Bewerbers zu beurteilen.

Inwieweit die Durchführung einer Google-Recherche ohne konkreten Verdacht zulässig gewesen wäre, ließ das Gericht offen. Aufgrund der in diesem Fall wohl zu verneinenden Erforderlichkeit der Datenverarbeitung, wäre die Zulässigkeit in derartigen Fällen wohl eher anzuzweifeln.

Weiterhin stellte das LAG Düsseldorf jedoch fest, dass die öffentliche Stelle versäumt hatte, den Bewerber ausreichend über die Verarbeitung seiner personenbezogenen Daten gemäß Art. 14 DS-GVO zu informieren. Zwar wurde dem Bewerber im Rahmen des Bewerbungsgespräches offengelegt, dass der betreffende Wikipedia-Artikel gesichtet worden sei, es fehlte jedoch an einer Darstellung, welche konkreten personenbezogenen Daten aus diesem Artikel im Rahmen des Bewerbungsverfahrens verarbeitet wurden. Hierin sah das Gericht einen erheblichen Kontrollverlust seitens des Bewerbers, der gemäß Art. 82 Abs. 1 DS-GVO einen Anspruch auf Schadenersatz, in diesem konkreten Fall in Höhe von 1.000 Euro auslöste.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Im Silicon Saxony e.V. nimmt er die Funktion als Leiter des Arbeitskreises Privacy & Security wahr. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Am 14. Mai 2024 ist in Deutschland das Digitale-Dienste-Gesetz (DDG) in Kraft getreten, welches die Anforderungen des europäischen Digital Services Act (DSA) in nationales Recht umsetzt. Eine wesentliche Änderung: Die bisher als Telemediendienste bezeichneten Dienste werden nunmehr unter dem Begriff der digitalen Dienste beschrieben. Aus dem bisherigen Telemediengesetz (TMG) wird so das Digitale-Dienste-Gesetz und aus dem Telekommunikation-Telemedien-Datenschutzgesetz (TTDSG) das Telekommunikation-Digitale-Dienste-Datenschutzgesetz (TDDDG).

Aus TMG wird DDG…

Betreiber von Internetseiten sollten im Zusammenhang mit der Pflicht zur Bereitstellung eines Impressums die dortigen Formulierungen überprüfen. Wurde im Rahmen der Anbieterkennzeichnungen bislang auf § 5 TMG verwiesen, ist dieser Verweis nun auf § 5 DDG anzupassen. Inhaltliche Änderungen sind hingegen nicht notwendig. Jedoch kann zugleich hinterfragt werden, ob ein spezifischer Normenverweis überhaupt erforderlich ist. Weder § 5 TMG, noch § 5 DDG setz(t)en dies voraus – eine gut aufzufindende Bezeichnung als Impressum oder Anbieterkennzeichnung ist ausreichend. Ein künftiger Aktualisierungsaufwand aufgrund von Änderungen an Gesetzesbezeichnungen kann so vermieden werden.

…TTDSG zu TDDDG…

Auch hinsichtlich des bisherigen TTDSG sind die Änderungen wenig aufregend: Es ändert sich ausschließlich der Name des Gesetzes – und somit wird aus einer sperrigen Abkürzung nur eine noch schrecklichere. Relevant ist dies hinsichtlich der weit überwiegenden Mehrheit an Datenschutzinformationen und Cookie-Banner. Für das Setzen von Cookies und der daraus resultierenden Verarbeitung personenbezogener Daten, bedarf es neben einer Rechtsgrundlage aus Art. 6 Abs. 1 DS-GVO auch einer nach § 25 TTDSG, nun § 25 TDDDG. Wird im Rahmen der Datenschutzinformation oder des Cookie-Banners über die jeweilige Rechtsgrundlage informiert (Art. 13 Abs. 1 lit. c) DS-GVO), sind auch hier die entsprechenden Verweise anzupassen.

MfG der DSB, ojemine?

Auch wenn die Namensänderungen für den juristischen Laien unnötig erscheinen, waren sie für eine zutreffende Beschreibung der jeweiligen Dienste erforderlich. Betreiber von Internetseiten sollten nun zeitnah die betreffenden Texte prüfen und erforderlichenfalls Anpassungen vornehmen. Auch wenn – entgegen einigen panischen Meldungen – aufgrund einer fehlerhaften Bezeichnung von Gesetzestexten keine flächenmäßigen Abmahnungen zu befürchten sind, lassen aktualisierte Pflichtinformationen die Betreiber von Internetseiten in einem besseren Licht dastehen. Zudem kann die Gelegenheit genutzt und beispielsweise die Datenschutzinformation grundsätzlich auf Aktualität geprüft werden. Im Ergebnis also alles nur halb so schlimm!

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Im Silicon Saxony e.V. nimmt er die Funktion als Leiter des Arbeitskreises Privacy & Security wahr. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Im Zivilrechtsrepetitorium meines Jurastudiums lernte ich den „Oma-Test“ kennen. Dabei fragt man sich am Ende einer juristischen Prüfung: Was würde meine Oma von diesem Ergebnis halten? Geprüft wird, ob das Ergebnis allgemeinverständlich und nachvollziehbar ist. Insbesondere für unkomplizierte Sachverhalte bietet der Test grundsätzlich sehr gute Ergebnisse, was in einer Demokratie ja auch erwartbar sein sollte. In diesem Artikel widmen wir uns der Informationspflicht im Rahmen der Betroffenenrechte, die wir zum einen Anhand des Gesetzes und den herrschenden (Literatur-)Meinungen, aber auch nach Maßgabe des „Oma-Tests“ prüfen. Konkret soll es um die Informationspflicht über das Beschwerderecht bei der Aufsichtsbehörde nach Art. 13 Abs. 2 lit. d) DS-GVO gehen.

Die Informationspflicht nach Art. 13 und 14 DS-GVO

Artikel 13 DS-GVO kodifiziert die Informationspflicht für den Fall, dass personenbezogene Daten beim Betroffenen erhoben werden, während Artikel 14 DS-GVO die Situation regelt, in der die Daten nicht bei der betroffenen Person (selbst) erhoben werden. Als betroffene Person einer Datenverarbeitung hat man das Recht sich bei der zuständigen Aufsichtsbehörde zu beschweren, worüber sie von dem Verantwortlichen in Kenntnis gesetzt werden muss, Art. 13 Abs. 2 lit. d), bzw. Art. 14 Abs. 2 lit. e) DS-GVO.

Der Hauptunterschied zwischen den Informationspflichten von Art. 13 und 14 DS-GVO liegt darin, dass (nur) nach Art. 14 Abs. 5 DS-GVO die Aufklärung unterbleiben kann, wenn sie einen unverhältnismäßigen Aufwand erfordert, oder wenn sie durch Rechtsvorschriften abbedungen wird. Diese Ausnahmen lässt Art. 13 DS-GVO nicht zu. Nach Art. 13 Abs. 4 DS-GVO darf die Aufklärung nur dann unterbleien, wenn die betroffene Person bereits Kenntnis von dem Aufklärungsinhalt hat. Der Ausnahmetatbestand (der in beiden Normen existiert) wirft für die Praxis zweierlei Fragen auf:

Welcher Betroffene hat tatsächlich Kenntnis über sein Beschwerderecht bei der zuständigen (!) Aufsichtsbehörde und welcher Verantwortliche weiß dann auch noch, dass der Betroffene diese Kenntnis hat? Aus Gründen der Rechtssicherheit bleibt dem Verantwortlichen daher stets nur die Möglichkeit eine Datenschutzinformation in alle Unternehmensprozesse zu implementieren, bei denen beim Betroffenen Daten verarbeitet werden.

Nur holzschnittartig soll aufgezeigt werden, was eine umfassende Information erfasst: Gemäß Art. 13 DS-GVO ist unter anderem (!) aufzuklären über  

• die Rechtsgrundlage der Verarbeitung,
• die Speicherdauer, oder dessen Kriterien,
• ob die Bereitstellung der Daten gesetzlich oder vertraglich vorgeschrieben ist.

Da beispielsweise die Rechtsgrundlage und der Speicherdauer bei ähnlichen Verarbeitungsvorgängen variieren können, ergibt sich schnell das Problem, dass Standardlösungen fehleranfällig werden.

Die Praxis

Braucht meine Oma einen Friseurtermin, ruft sie (initiativ) vorher beim Friseur an. Dieser notiert ihren Namen, ihre Telefonnummer und den Termin. Hierbei handelt es sich um eine Datenverarbeitung beim Betroffenen, da der Friseur ihre Daten gemäß Art. 4 Nr. 2 DS-GVO sowohl erfasst als auch im Kalender speichert. Dementsprechend löst die Datenverarbeitung Informationspflichten aus. Man kann weder davon ausgehen, dass meine Oma schon mal von der (zuständigen) Aufsichtsbehörde gehört hat, noch dass sie Kenntnis darüber hat, wie lange ihr Friseur seinen Kalender aufbewahrt. Das bizarre daran ist, dass der Friseur beides wohl auch nicht weiß. Dennoch muss er informieren.

Hierzu sei noch gesagt, dass sich dieses Problem nicht über einen Websitehinweis lösen lässt. Denn gemäß Art. 13 Abs. 1 DS-GVO muss die Information zum Zeitpunkt der Datenerhebung erfolgen und aus Sinn und Zweck der Vorschrift ergibt sich, dass die Information bereits vor der Datenverarbeitung und ohne Medienbruch erfolgen muss (Taeger/Gabel/Mester, 4. Aufl. 2022, DS-GVO Art. 13 Rn. 34-36).

In einem letzten Rettungsversuch könnte man daran denken, Art. 14 Abs. 5 lit. b) DS-DVO analog auf Art. 13 DS-GVO anzuwenden, um zu sagen, dass an dieser Stelle die Informationspflichten einen unverhältnismäßig hohen Aufwand bedeuteten. Dieser Rettungsversuch ist aber aus mehren Gründen zum Scheitern verurteilt: Zum einen besteht schon keine Regelunglücke, da man wohl davon ausgehen muss, dass der Gesetzgeber zwei unterschiedliche Informationspflichten für zwei unterschiedliche Situationen schaffen wollte. Aufgrund der systematischen und sprachlichen Ähnlichkeiten spricht daher alles für eine bewusste Andersformulierung und somit gegen eine Regelungslücke.

Ferner ergibt sich aus Art. 14 Abs. 5 lit. b) DS-DVO, sowie aus Erwägungsgrund 62, dass ein unverhältnismäßig hoher Aufwand vorliege, wenn „im öffentlichen Interesse liegende Archivzwecke, wissenschaftliche oder historische Forschungszwecke, oder zu statistische Zwecke“, dies erforderten. Diese Gründe sind für unseren Fall allesamt nicht subsumtionsfähig und regeln deutlich abweichende Konstellationen. Folglich wäre ein Unterlassen der Information selbst dann nicht unverhältnismäßig, wenn man (zu Unrecht) eine Analogie bejahen würde.

Zuletzt sei nicht nur darauf hingewiesen, dass der Friseur hinsichtlich der erfolgten Aufklärung rechenschaftspflichtig (also nachweispflichtig) ist (Art. 5 Abs. 2 DS-GVO), sondern auch auf die Konsequenzen, welche die DS-GVO für das Unterbleiben der Aufklärung vorsieht. Nach Art. 83 Abs. 5 lit. b) DS-GVO können Unternehmen mit einer Geldbuße in Höhe von bis zu vier Prozent des weltweit erzielten Umsatzes des vorangegangenen Geschäftsjahres bestraft werden, wenn sie nicht – oder nicht richtig – informieren. Für Nicht-Unternehmen ist die Strafe auf 20 Millionen Euro gedeckelt.

Fazit

Der Alltagstest macht deutlich, dass die DS-GVO für die großen Player geschrieben wurde, aber schnell an ihre Grenzen stößt, wenn sie (beispielsweise) von kleinen Unternehmen angewendet werden soll. Das Ergebnis ist in zweierlei Hinsicht widersprüchlich: Der Datenschutz begegnet uns der ständig im Alltag –etwa auf Hinweisschildern von Überwachungskameras, oder wenn wir Softwareupdates erhalten. Somit werden wir auch über das Beschwerderecht bei der Aufsichtsbehörde alltäglich aufgeklärt – und trotzdem kennen es die wenigsten Betroffenen. 

Man kann daher wohl mir Recht sagen, dass es den Googles und Metas dieser Welt nicht gelingt die Betroffenen – und schon gar nicht meine Oma – adäquat zu informieren. Mit dieser Aufgabe faktisch überfordert, wird nun der Friseurbetrieb von nebenan vor dieselbe Aufgabe gestellt – und scheitert (selbstverständlich) ebenfalls. Dabei sei gesagt, dass es sich hier nicht um ein exklusives „Friseurproblem“ handelt. Auch das Abspeichern von Handynummern im Berufshandy, stellt Datenverarbeitung dar – und das ganz abgesehen von jeder Problematik um eine datenschutzkonforme WhatsApp-Nutzung. Wer einen Kontakt via Mail weiterleitet, oder eine Anrufnotiz erstellt, muss den Anrufer ebenfalls DS-GVO konform informieren. Ein Ergebnis, das wohl nicht nur für meine Oma schwer nachzuvollziehen wäre.

Ausblick

Kern des Problems ist, dass die durch die DS-GVO verpflichteten Akteure zu unterschiedlich sind, um gleich behandelt zu werden. Lösung kann nur sein, dass ein Friseursalon hinsichtlich der Informationspflicht anders als ein millionenschweres Unternehmen reguliert werden muss. Eine denkbare Lösung wäre eine Erweiterung des Art. 23 Abs. 1 DS-GVO. Dieser lässt gesetzliche Beschränkungen der Betroffenenrechte zu, wenn es beispielsweise durch Belange der öffentlichen Sicherheit erforderlich ist. Eine Öffnung der Norm für Alltagsprobleme könnte Abhilfe schaffen, um individuell auf die Bedürfnisse der Betroffenen eingehen zu können. Die aktuelle Lösung führt jedenfalls zu erheblichen Rechtsunsicherheiten – sowohl in der Praxis, als auch bei meiner Großmutter.

Über den Autor: Felix Lückert ist Volljurist (Ass. Jur.) und beim Dresdener Institut für Datenschutz als externer Datenschutzbeauftragter tätig. Der Fokus seiner Tätigkeiten liegt in der Beratung von Hochschulen und Gemeinden. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.