DIE KRUX BEI DER BUßGELDSANKTIONIERUNG

„Landgericht Berlin stellt das Bußgeldverfahren gegen Deutsche Wohnen ein“. Unter diesem Titel veröffentlichte die Deutsche Wohnen SE am 23.02.2021 auf ihrer Webseite eine Pressemitteilung, welche für einige Aufmerksamkeit gesorgt hat. Die Hintergründe:


WAS IST PASSIERT?

Am 30.09.2019 hatte die Berliner Beauftragte für den Datenschutz und die Informationsfreiheit gegen die Deutsche Wohnen SE einen Bußgeldbescheid in Höhe von rund 14,5 Millionen Euro verhängt. Dies stellte zum Zeitpunkt der Verhängung das höchste Bußgeld in Deutschland auf Grundlage der Datenschutz-Grundverordnung (DS-GVO) dar. Mittlerweile erging gegen die H&M Hennes & Mauritz Online Shop A.B. & Co. KG durch den Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit (HmbBfDI) ein Bußgeld in Höhe von rund 35,3 Millionen Euro.

Die Deutsche Wohnen ist eines der größten deutschen Immobilienunternehmen. Sie hält nach eigenen Angaben rund 165.700 Einheiten, darunter befinden sich sowohl Wohn- als auch Gewerbeeinheiten. Gegenstand des Bescheides waren Vorwürfe seitens der Behörde, dass die Immobiliengesellschaft im Zeitraum zwischen Mai 2018 und März 2019 keine Maßnahmen zur Ermöglichung einer regelmäßigen Löschung von Mieterdaten in ausreichendem Umfang umgesetzt habe. Zum Teil sollen personenbezogene Daten von Mietern (u.a. Gehaltsbescheinigungen, Selbstauskunftsformulare, Auszüge aus Arbeitsverträgen, Kontoauszüge sowie Steuer-, Sozial- und Krankenversicherungsdaten) gespeichert worden sein. Hiergegen wurde seitens des Unternehmens Einspruch eingelegt. Das zuständige Landgericht hat das Verfahren nunmehr eingestellt.


ENTWICKELT SICH EINE RECHTSPRECHUNGSPRAXIS ZUR BUßGELDSANKTIONIERUNG?

Ähnliche mediale Aufmerksamkeit hatte das Leuchtturmverfahren des Bundesbeauftragten für Datenschutz und Informationsfreiheit gegen die „1&1 Telecom GmbH“ erlangt (LG Bonn, Urt. V. 11.11.2020, Az.: 29 OWi 1/20). In diesem Fall hatte das Landgericht Bonn das ursprünglich verhängte Bußgeld in der Höhe von 9,55 Millionen Euro auf 900.000€ eingedampft. Im Unterschied zum (bisherigen) Verfahren vor dem LG Berlin wurde das Bußgeld des Bundesbeauftragten jedoch dem Grunde nach bestätigt. In der Begründung wurde u.a. das Bußgeldberechnungsmodell der Aufsichtsbehörden als unverhältnismäßig eingestuft, was letztlich zu der Reduzierung des ursprünglich verhängten Bußgeldes führte. Bejaht wurde durch das Gericht zudem die Frage, ob gegen ein Unternehmen als juristische Person ein Bußgeld erhoben werden kann. Mithin wurde der Anwendungsvorrang der DS-GVO vor den nationalen Regelungen des Ordnungswidrigkeitenrechtes dargelegt. Das Urteil des LG Bonn ist mittlerweile rechtskräftig. Unternehmen haften demnach für das Fehlverhalten ihrer Beschäftigten, ohne dass eine Kenntnis oder gar eine Anweisung erforderlich ist. Ausnahme wiederrum bildet der sogenannte Mitarbeiter-Exzess, also Handlungen, die aufgrund vorsätzlichen Fehlverhaltens nicht dem Kreis der jeweiligen unternehmerischen Tätigkeit zuzurechnen sind.


WAS IST DAS BUßGELDBERECHNUNGSMODELL DER AUFSICHTSBEHÖRDEN?

Über die Sanktionierungsmöglichkeit der Datenschutz-Aufsichtsbehörden durch die Verhängung von Bußgeldern haben wir bereits berichtet. In diesem Beitrag richten wir den Blick ebenfalls auf das Bußgeldkonzept der Aufsichtsbehörden. Im Kern stellt das „Berechnungsmodell“ eine Hilfe bei der Zumessung der Höhe eines Bußgeldes dar. Dies erfolgt grundlegend durch das Bilden eines sogenannten „Tagessatzes“, welcher sich am Vorjahresumsatz orientiert. Anschließend erfolgt je nach Schwere des Verstoßes eine Multiplikation mit einem entsprechenden Faktor.


WACKELT NUN DIE BUßGELDPRAXIS DER AUFSICHTSBEHÖRDEN?

Mitteilungen des LG Berlin gegenüber den Medien zufolge leidet der Bescheid unter gravierenden Mängeln. Laut Angaben einer Gerichtssprecherin am 24.02.2021 erklärte das Landgericht Berlin den Bescheid für unwirksam, weil ein Verfahrenshindernis vorliegt, genauer gesagt, weil Angaben zu konkreten Tathandlungen fehlten. Es fehlen Angaben, dass eine konkrete Person im Unternehmen für den Verstoß verantwortlich war. Eine Begründung liegt bislang nicht vor. Gegen den Beschluss des Landgerichts Berlin kann die Berliner Aufsichtsbehörde binnen einer Woche sofortige Beschwerde beim Kammergericht einlegen. „Das Recht, Rechtsmittel gegen den Beschluss einzulegen, steht der Berliner Staatsanwaltschaft zu“, erläuterte ein Sprecher. Weiter heißt es, die Berliner Datenschutzbeauftragte werde die Staatsanwaltschaft bitten, von dieser Option Gebrauch zu machen. Der Entscheidung liege die Rechtsauffassung zugrunde, dass Bußgelder gegen Unternehmen nur bei Verschulden von Leitungspersonen verhängt werden könnten. Das Landgericht setze sich damit in Widerspruch zu den Datenschutzaufsichtsbehörden und auch zum Landgericht Bonn, „das die Regeln des deutschen Ordnungswidrigkeitengesetzes europarechtskonform ausgelegt hatte“. Über den Streit hatten wir bereits früher berichtet.

Die Kammer begründete ihren Beschluss laut der Sprecherin damit, dass entgegen der Rechtsauffassung der Aufsichtsbehörde eine juristische Person nicht Betroffene in einem Bußgeldverfahren sein könne, sondern nur eine natürliche Person eine Ordnungswidrigkeit „vorwerfbar“ begehen kann. Eine natürliche Person ist im Vergleich zu einer juristischen Person wie sie die Deutsche Wohnen in der Form der Aktiengesellschaft ist, selbst handlungsfähig. Sollten diese Informationen zutreffend sein, so konterkariert die Entscheidung des LG Berlin eben jene des LG Bonn. Letzteres hatte in der o.g. Entscheidung die Haftung seitens der Unternehmen wie dargestellt, angenommen. Unwahrscheinlich erscheint es nicht, dass nun das LG Berlin einer gegenteiligen Ansicht folgt, zumal die Thematik rechtlich nicht unstreitig ist. Es bleibt demnach abzuwarten, ob und wie die Aufsichtsbehörde hierauf reagiert. Kommt es tatsächlich so widerstreitenden Rechtsansichten der Gerichte müssen die gegenständlichen Rechtsfragen im Zweifel höchstrichterlich entschieden werden. Eine Abkehr von der Möglichkeit der Bußgeldsanktionierung stellt dies aber (zunächst) nicht dar.

Aufmerksamkeit erlangte zudem der Bußgeldbescheid der Landesbeauftragten für den Datenschutz (LfD) Niedersachsen gegenüber notebooksbilliger.de AG über 10,4 Millionen Euro. Nach Auffassung der LfD überwachte das Unternehmen unter anderem Arbeitsplätze, Verkaufsräume, Lager und Aufenthaltsbereiche, ohne dass dafür eine Rechtsgrundlage vorlag. Das gegen notebooksbilliger.de ausgesprochene Bußgeld ist noch nicht rechtskräftig.

In Sachen H&M ging das Unternehmen nicht gegen den Bescheid des HmbBfDI vor und „akzeptierte“ das verhängte Bußgeld in seiner Höhe. Dies lässt selbstverständlich Raum für Spekulationen.


FAZIT

Es wäre deutlich verfrüht von einem Wanken oder sogar einem Scheitern der aufsichtsbehördlichen Bußgeldpraxis zu sprechen. Allerdings lässt sich aus den Leuchtturmverfahren immer häufiger die Tendenz ableiten, dass die Einspruchsverfahren durchaus von Erfolg gekrönt sein können. Sei es aufgrund des fragwürdigen Konzeptes der Bußgeldberechnung oder aber aufgrund umstrittener Rechtsfragen beim Vorliegen der Tatbestandvoraussetzungen des Art. 83 DS-GVO.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

    Tags:
  • Bußgeld
  • Bußgeldmodell
  • Deutsche Wohnen SE
  • Löschung
  • Technische-organisatorische Maßnahmen
Lesen

EINSATZ VON VIDEOKONFERENZSYSTEMEN

Im Zuge der Corona-Pandemie wurde durch Veränderungen im beruflichen Alltag – insbesondere bei der Durchführung von Meetings und Besprechungen – und einer damit gleichlaufenden Verlagerung von Tätigkeiten ins Homeoffice der Bedarf an Videokonferenzen merklich gesteigert. Mit dem Einsatz und der Verwendung von sogenannten Videokonferenzsystemen gehen eine Vielzahl von datenschutzrechtlichen Fragestellungen einher, welche im folgenden Beitrag näher beleuchtet werden sollen.


WELCHE ARTEN VON VIDEOKONFERENZSYSTEMEN SIND ZU UNTERSCHEIDEN?

Für Verantwortliche bieten sich bei dem Einsatz von Videokonferenzsystem grundsätzlich drei Möglichkeiten:

(1) Betrieb der ausgewählten Software auf eigenen Servern. Diese Lösung wird als sogenannte „on-permise-Lösung“ bezeichnet, also ein Nutzungsmodell auf eigenen IT-Ressourcen. Der Veranstalter der Konferenz ist für die jeweilige Videokonferenz demnach auch der Verantwortliche i.S.d Art. 4 Nr. 7 Datenschutz-Grundverordnung (DS-GVO).

(2) In Abwandlung zur ersten Alternative kann sich der Verantwortliche bei dem Betrieb der Software der Serverleistung eines externen IT-Dienstleisters bedienen. Der auf diesem Wege eingesetzte Dienstleister ist ein Auftragsverarbeiter i.S.d. Art. 4 Nr. 8 DS-GVO.

(3) Schließlich besteht die Möglichkeit, dass Verantwortliche Videokonferenzsysteme über einen cloudbasierten Online-Dienst („Software-as-a-Service“) nutzen. Der Anbieter einer solchen Softwarelösung ist regelmäßig nicht als Verantwortlicher der konkreten Konferenz, sondern als Auftragsverarbeiter zu qualifizieren. Verarbeitet der Anbieter, die im Rahmen der Konferenz übermittelten Daten jedoch zu eigenen Zwecken, ist er für diese Datenverarbeitung insoweit als Verantwortlicher einzustufen.

Je nach Ausgestaltung des Einsatzes der Anwendung müssen Verantwortliche unterschiedlichen Anforderungen nach den Bestimmungen der DS-GVO nachkommen. Dies betrifft allen voran die Rechenschaftspflicht gemäß Art. 5 Abs. 2 DS-GVO, wonach der Verantwortliche die Einhaltung der Datenschutzgrundsätze jederzeit nachweisen können muss. Erforderlich ist mithin die Anlage eines Verzeichnisses von Verarbeitungstätigkeiten gemäß Art. 30 Abs. 1 DS-GVO. Unter Umständen kann die Durchführung einer Datenschutz-Folgenabschätzung gemäß Art. 35 DS-GVO geboten sein. Darüber hinaus ist insbesondere bei dem Einsatz eines Auftragsverarbeiters ein Auftragsverarbeitungsvertrag gemäß Art. 28 Abs. 3 DS-GVO mit dem betroffenen Dienstleister abzuschließen.


AUF WELCHE RECHTSGRUNDLAGE KANN DIE DURCHFÜHRUNG EINER VIDEOKONFERENZ GESTÜTZT WERDEN?

Bei der Durchführung einer Videokonferenz handelt es sich unstreitig um eine Verarbeitung personenbezogener Daten. Zur rechtmäßigen Verarbeitung bedarf es gemäß Art. 5 Abs. 1 lit. a), Art. 6 DS-GVO einer belastbaren Rechtsgrundlage. Die konkrete Erlaubnisnorm ist in Kontext der jeweiligen Verarbeitungssituation zu bestimmen. Erfolgt die Videokonferenz über einen cloudbasierten Dienst, um beispielsweise einen Online-Kurs oder ein Seminar durchzuführen, wird die Verarbeitung regelmäßig zur Erfüllung eines Vertrages gemäß Art. 6 Abs. 1 S. 1 lit. b) DS-GVO erforderlich sein. Ebenso kommt Art. 6 Abs. 1 lit. f) DS-GVO in Betracht. Abhängig vom Einzelfall wird die Teilnehme von Mitarbeitern in vielen Fällen gemäß Art. 88 Abs. 1 DS-GVO i.V.m. § 26 Abs. 1 S. 1 BDSG zur Durchführung des Beschäftigungsverhältnisses erforderlich sein. Daneben kann ebenfalls die Einwilligung der Teilnehmer gemäß Art. 6 Abs. 1 S. 1 lit. a) DS-GVO herangezogen werden.

Außerdem sind weitere Rechtsgrundlagen zu überprüfen, wenn neben der eigentlichen Durchführung der Videokonferenz andere Verarbeitungstätigkeiten durchgeführt werden, beispielsweise die Aufzeichnung der Konferenz oder die Übermittlung personenbezogener Daten in Drittländer.


WER MUSS DIE DATENSCHUTZINFORMATION ERFÜLLEN?

Der Veranstalter einer Videokonferenz muss die Informationspflichten gemäß Art. 13 DS-GVO gegenüber allen Betroffenen erfüllen. Nicht ausreichend ist hierbei auf die Datenschutzinformationen des Diensteanbieters zu verweisen. Diese Hinweise können nicht die Informationspflichten des Verantwortlichen ersetzen. Dieser muss gegenüber den Betroffenen für seinen Verantwortungsbereich den Informationspflichten nachkommen und unter Umständen Betroffenenrechte umsetzen. Von der Informationsverpflichtung werden unter anderem Hinweise zum Verantwortlichen und gegebenenfalls zum Datenschutzbeauftragten, zu den Verarbeitungszwecken sowie zur Rechtsgrundlage für die Verarbeitung, und den berechtigten Interessen, die bei einer Verarbeitung gemäß Art. 6 Abs. 1 S. 1 lit. f) DS-GVO umfasst werden sowie der Speicherdauer. Ferner muss über die Betroffenenrechte und das Beschwerderecht bei der Aufsichtsbehörde informiert werden.

Im Rahmen der Informationspflichten ist insbesondere zu beachten, dass gemäß Art. 13 Abs. 1 lit. f) DS-GVO anzugeben ist, wenn eine Übermittlung personenbezogener Daten in ein Drittland erfolgt und ob diese Übermittlung auf einen Angemessenheitsbeschluss der EU-Kommission oder andere Garantien gestützt wird.

Möglich ist es bspw. den Teilnehmenden einer Videokonferenz im Vorfeld per E-Mail die Informationen zur Verfügung zu stellen. In Betracht gezogen werden kann auch, dass der Text auf der Organisationswebseite zur Verfügung gestellt wird und in der Konferenzeinladung eine entsprechende Verlinkung erfolgt.


WELCHE TECHNISCHEN UND ORGANISATORISCHEN MAßNAHMEN MÜSSEN VERANTWORTLICHE TREFFEN?

Der Verantwortliche muss dafür Sorge tragen, dass nach den Grundsätzen der Art. 5 Abs. 1 lit. f) DS-GVO, Art. 24, Art. 25 und Art. 32 DS-GVO geeignete technische und organisatorische Maßnahmen getroffen werden, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Mittlerweile haben sich folgende generische technische und organisatorische Maßnahmen herausgebildet (Auflistung nicht abschließend):
– Wird keine on-permise-Lösung genutzt, müssen Serverstandorte überprüft werden,
– Verschlüsselte Übertragung (Transportverschlüsselung oder ggf. Ende-zu-Ende-Verschlüsselung),
– Aufzeichnungsfunktion der Konferenz deaktivieren,
– Verhaltensüberwachung beziehungsweise Aufmerksamkeitstracking ausschalten,
– Zugangsbeschränkungen durch Login,
– Zutritt zur Konferenz regeln (beispielsweise über Warteraumfunktionen),
– Möglichkeiten zu Hintergründen und Weichzeichnern (»background blur«) aufzeigen,
– Privacy by Default (Kamera und Mikrofon deaktivieren, Freigabe durch Teilnehmer selbst ermöglichen),
– Löschung von Protokollen und Aufzeichnungen, sobald sie nicht mehr erforderlich sind,
– Datensparsame Zugangsmöglichkeiten (beispielsweise über den Browser oder per Telefon).


WELCHE HERAUSFORDERUNGEN ERGEBEN SICH BEI DEM EINSATZ VON DIENSTLEISTERN IN SOGENANNTEN DRITTSTAATEN?

Herausforderungen ergeben sich außerdem bei einer mit dem Einsatz von Konferenzsystemen verbundenen Übermittlung von personenbezogenen Daten in sogenannte Drittländer, insbesondere die USA, durch beispielsweise den Einsatz eines entsprechenden Dienstleisters. Hierbei rücken – durch die Unzulässigkeitserklärung des sog. Privacy-Shields durch den Europäischen Gerichtshof – die sogenannten Standarddatenschutzklauseln als Legitimationsgrundlage in das Blickfeld der Verantwortlichen. Diese sind jedoch zur Sicherstellung geeigneter Garantien nicht ausreichend. Vielmehr bedarf es der Sicherstellung weiterer technische und organisatorischer sowie rechtlicher Maßnahmen.


FAZIT

Vor der Inbetriebnahme eines entsprechenden Videokonferenzsystems müssen Verantwortliche einzelfallbezogen eine Reihe von datenschutzrechtlichen Anforderungen umsetzen. Nur so kann der rechtkonforme Einsatz gewährleistet werden.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und IT-Sicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine.

    Tags:
  • Auftragsverarbeitung
  • Datenschutzinformation
  • Drittstaaten
  • Technische-organisatorische Maßnahmen
  • Videokonferenzen
Lesen