Im Rahmen der Blog-Reihe „Ein Spaziergang durch die DS-GVO“ betrachten wir die einzelnen Artikel der Datenschutz-Grundverordnung aus einem etwas anderen Blickwinkel. Ziel ist kein x-ter Kommentar, es soll eher ein Datenschutz-Feuilleton entstehen, mit Anmerkungen und Überlegungen auch zu Artikeln, die Sie im Datenschutz-Alltag vielleicht noch nicht gelesen haben. Die heutige Etappe durch den Artikel 27 ist eher unspektakulär und hauptsächlich wichtig als Verbindungsweg zum Artikel 28 – der es in sich hat.

Worum Geht´s?

Die DS-GVO verpflichtet nach Artikel 3 Abs. 2 viele Verantwortliche und Auftragsverarbeiter außerhalb der EU – wenn sie personenbezogene Daten Betroffener verarbeiten,

• um ihr Verhalten in der EU zu beobachten oder
• um ihnen Waren/Dienstleistungen in der EU anzubieten.

Immer wenn Staaten – oder Staatenbünde wie die EU – über ihr eigenes Hoheitsgebiet hinausregieren wollen, haben sie dasselbe Problem: Wie setzt man sich im Ausland durch? (Man kann natürlich auch Regeln aufstellen ohne die Chance einer effektiven Umsetzung. Aber meist sieht das nicht gut aus.)

Artikel 27 klärt nur einen ganz kleinen Teil dieses Problems: Verantwortliche mit Sitz außerhalb der EU müssen Vertreter in der EU benennen und zwar als Ansprechpartner „insbesondere für die Aufsichtsbehörden und betroffene Personen“. Das „insbesondere“ heißt im üblichen juristischen Sprachgebrauch: Dies sind nur (besonders wichtige) Beispiele. Also dürfen auch Andere die Vertreter in DS-GVO-Fragen kontaktieren.

Die Benennung muss schriftlich erfolgen (Abs. 1), aber nicht gegenüber der Aufsichtsbehörde und auch nicht gegenüber den Betroffenen. Die Betroffenen erfahren vom Vertreter und seinen Kontaktdaten durch die Information nach Art. 13 (bzw. 14) Abs.1 lit. a. Die Aufsichtsbehörde liest entweder auch die Datenschutz-Information oder das Verarbeitungs-Verzeichnis; dort wird der Vertreter mit Kontaktdaten auch genannt (Art. 30 Abs. 1 Satz 2 lit. a). Beim Auftragsverarbeiter steckt die Nachricht ebenfalls im VVT (Art. 30 Abs. 2 lit. a).

Der Vertreter kann „zusätzlich … oder an … Stelle“ seiner Auftraggeber (Verantwortlicher/Auftragsverarbeiter) als Anlaufstelle für Datenschutzfragen dienen. Er kann auch die VVTs erstellen und muss sie der Aufsichtsbehörde auf Anforderung bereitstellen (siehe Art. 30 Abs. 1, 2 und 4). Außerdem muss er mit der Aufsichtsbehörde allgemein zusammenarbeiten (Art. 31).

Der Vertreter kann nicht in „irgendeinem“ EU-Staat ansässig sein, sondern nur in einem derjenigen Staaten, in denen sein Auftraggeber aktiv ist (also Betroffene beobachtet und/oder ihnen Waren/Dienstleistungen anbietet).

Was erreicht der Gesetzgeber? Vor allem kürzere Wege für die Aufsichtsbehörden und die Betroffenen. Allerdings: Wenn sich der Verantwortliche/Auftragsverarbeiter – auch – an diese DS-GVO-Vorschrift nicht hält, bleibt doch nur der lange, schwierigere Weg ins Ausland.

Was droht dem Vertreter? Erwägungsgrund 80 meint in Satz 6, bei Verstößen seiner Auftraggeber solle „der bestellte Vertreter Durchsetzungsverfahren unterzogen werden“. Im Normtext der DS-GVO findet sich dazu aber nichts. Artikel 82 gibt Schadenersatzansprüche nur gegen Verantwortliche und Auftragsverarbeiter. Ein Versehen des Gesetzgebers? Vielleicht.

Nach Artikel 58 Abs. 1 lit. a kann die Aufsichtsbehörde den Vertreter anweisen, Informationen bereitzustellen. Aber droht bei Verstößen Bußgeld? Artikel 83 erwähnt zwar in Abs. 5 lit. e die Pflichten zur Info-Bereitstellung, aber nicht den Vertreter. Und derselbe Artikel befasst sich in Abs. 4 lit. a zwar (u. a.) mit Verstößen gegen Artikel 30 und 31 (da sind ja auch Pflichten des Vertreters geregelt, siehe oben), meint aber ausdrücklich nur Fehlverhalten des Verantwortlichen und des Auftragsverarbeiters. Ein Versehen des Gesetzgebers? Höchstwahrscheinlich.

Fazit

Artikel 27 versucht im Rahmen des Möglichen, für die schwer greifbaren DSGVO-Akteure („weit weg“) einen leichter greifbaren Ansprechpartner („nah dran“) aufzubauen. Aber in der Umsetzung (Sanktionen gegen den greifbaren Ansprechpartner) hat der Gesetzgeber gepatzt. Schön wäre: Reparieren.

Etappenziel erreicht – gute Erholung vor dem nächsten Abschnitt!

Über den Autor: Prof. Dr. Ralph Wagner ist Vorstand des DID Dresdner Institut für Datenschutz sowie Vorsitzender des ERFA-Kreis Sachsen der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD). Als Honorarprofessor an der Technischen Universität Dresden hält er regelmäßig Vorlesungen und Seminare zum Thema Datenschutzrecht. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Im Rahmen der Blog-Reihe „Ein Spaziergang durch die DS-GVO“ betrachten wir die einzelnen Artikel der Datenschutz-Grundverordnung aus einem etwas anderen Blickwinkel. Ziel ist kein x-ter Kommentar, es soll eher ein Datenschutz-Feuilleton entstehen, mit Anmerkungen und Überlegungen auch zu Artikeln, die Sie im Datenschutz-Alltag vielleicht noch nie gelesen haben. Die heutige Etappe führt uns bei wunderbarem Frühlings-Wetter zu schönen Aussichten: Datenschutz by design und by default, also durch datenschutzfreundliche Technikgestaltung und Voreinstellungen. Letztere sind ja eigentlich nur ein Teilbereich der Technikgestaltung. Klingt wie „Datenschutz automatisch“.

Ein kurzer Überblick

Anfangs kämpfen wir uns natürlich wieder durch den Dschungel der furchtbar verworrenen Sprache der DS-GVO. Aber so ist sie nun einmal, die DS-GVO: Von uns verlangt sie Klarheit und Prägnanz, selbst liefert sie das Gegenteil. Vielleicht ein besonders raffiniertes Manöver des Gesetzgebers: Das abschreckend schlechte Beispiel?

Absatz 1 besteht aus einem einzigen Satz, der irgendwie – wenn auch nicht literarisch – an Thomas Mann erinnert. Ich habe sieben „und“ gezählt (korrekt?), außerdem „sowie“, „als auch“ und „wie etwa“. Absatz 2 wiederholt den ersten Absatz für einen Teilbereich nochmals mit anderen Worten und Absatz 3 sagt gar nichts aus.

Wie üblich, hier der Versuch einer Übersetzung für schlichte Spaziergänger: Verantwortliche treffen bei der Planung und beim Einsatz ihrer Datenverarbeitung die im Einzelfall angemessenen Maßnahmen für wirksamen Datenschutz. Dazu gehört, dass Datenverarbeitung von Vornherein nur im nötigen Umfang erfolgt, z. B. hinsichtlich der Erhebung und Speicherung von Daten. Dazu gehört außerdem, dass der Personenbezug von Daten angemessen vermieden oder reduziert wird (Anonymisierung oder Pseudonymisierung).

Beim Übersetzen ist Absatz 2 Satz 3 besonders schwierig und rätselhaft. Welche Person ist gemeint? Die betroffene Person? Aber es gibt doch massenhaft Fälle, in denen „ohne Eingreifen der Person“ Daten weltweit veröffentlicht werden. Ist das – auch bei Rechtsgrundlage nach Artikel 6 – verboten? Haben Sie eine Erklärung?

Artikel 25 in der PRaxis

Den Grundsatz finden (fast) alle gut: Persönliche Daten sollen nicht unnütz gefährdet werden. Am besten, der Datenschutz ist eingebaut, also die Systeme minimieren das Risiko. Artikel 25 spricht zwar – wie andere Artikel auch – von technischen und organisatorischen Maßnahmen (unseren „TOM“ im Datenschutz-Slang), aber er wird hauptsächlich mit den technischen Maßnahmen in Verbindung gebracht. Hard- und Software soll datenschutzfreundlich gebaut und konfiguriert sein. Soweit also Einigkeit. Schön.

Herausforderungen gibt es in der Praxis mindestens zwei:

1. Was ist für eine bestimmte Datenverarbeitung angemessen, also welchen Datenschutz-Aufwand muss (!) der Verantwortliche betreiben? Natürlich gibt es einen klaren Bereich: Maßnahmen ohne oder mit ganz geringem Zusatzaufwand sind immer richtig. Aber wann ist die technische Erzwingung eines komplexen Passworts (12 Stellen? 15 Stellen?) oder einer bestimmten Wechsel-Frequenz angemessen? Und wann ist sie unnötige Schikane?
   
2. Wie können kleine Verantwortliche extrem komplexe Systeme datenschutz-optimieren, die von großen Nicht-Verantwortlichen erstellt und permanent verändert werden? Das ist zu verschwurbelt gefragt? Also konkreter: Wie konfigurieren Frau Bäcker und Herr Blumenhändler SOPHOS und Microsoft 365?

Die schlechte Nachricht: Beide Themen sind nicht für die Ewigkeit allgemein lösbar, sondern brauchen die Prüfung bzw. Entscheidung im konkreten Fall. Wir werden uns also immer wieder – und sogar für die selben Datenverarbeitungen immer wieder – mit diesen Fragen befassen müssen. Die gute Nachricht: Das ist sinnvoll investierte Zeit und bringt echten Datenschutz. In diesem Sinn: Viel Spaß beim Frühjahrsputz!

Über den Autor: Prof. Dr. Ralph Wagner ist Vorstand des DID Dresdner Institut für Datenschutz sowie Vorsitzender des ERFA-Kreis Sachsen der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD). Als Honorarprofessor an der Technischen Universität Dresden hält er regelmäßig Vorlesungen und Seminare zum Thema Datenschutzrecht. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Im Rahmen der Blog-Reihe „Ein Spaziergang durch die DS-GVO“ betrachten wir die einzelnen Artikel der Datenschutz-Grundverordnung aus einem etwas anderen Blickwinkel. Ziel ist kein x-ter Kommentar, es soll eher ein Datenschutz-Feuilleton entstehen, mit Anmerkungen und Überlegungen auch zu Artikeln, die Sie im Datenschutz-Alltag vielleicht noch nie gelesen haben. Passend zum Jahreswechsel betreten wir neues Terrain: Kapitel IV der DS-GVO – „Verantwortlicher und Auftragsverarbeiter“ – beginnt mit Abschnitt 1 „Allgemeine Pflichten“ und führt uns durch Artikel, die jede/r Datenschützer/in bestens kennt. Aber vielleicht gibt es auch hier auf den zweiten Blick Neues zu entdecken?

Art. 24 mit der schwurbeligen Überschrift „Verantwortung des für die Verarbeitung Verantwortlichen“ lohnt eine genaue Besichtigung nur in Absatz 1. Die Absätze 2 und 3 gehören in die Rubrik „Streichungspotenzial“. Sie sind inhaltsleer und überflüssig. Vielleicht gerade deshalb zuerst dazu:

Absatz 2

Dieser Absatz verlangt mit großem Ernst, dass der Verantwortliche geeignete Vorkehrungen trifft, wenn sie angemessen sind. Das muss er schon nach Absatz 1. Grund für Absatz 2 ist wahrscheinlich, dass der Gesetzgeber Artikel mit mehreren Absätzen schöner findet.

Absatz 3

Auf den darauffolgenden Absatz trifft dasselbe zu: Nichts würde sich verändern, wenn er in der DS-GVO fehlte. Wer sich Verhaltensregeln oder Zertifizierungsverfahren unterwirft, die nach Art. 40 und 42 der DS-GVO genehmigt werden, außerdem (wichtig!) diese Regeln und Verfahren dann auch einhält, der hat wahrscheinlich einige Pflichten als Verantwortlicher erfüllt. Das ist einerseits selbstverständlich und hilft andererseits in der Praxis nicht weiter, weil: Ob die Verhaltensregeln oder Zertifizierungsverfahren wirklich eingehalten werden, muss man eben doch prüfen. Und selbst wenn sie nachweisbar eingehalten werden, ist damit noch nicht die Erfüllung sämtlicher Pflichten nachgewiesen.

Absatz 1

Absatz 1 ist der Kern von Artikel 24:

• Der Verantwortliche gemäß Art. 4 Nr. 7 DS-GVO muss geeignete technische und organisatorische Maßnahmen umsetzen, damit die Verarbeitung personenbezogener Daten nachweisbar DS-GVO-konform erfolgt. Der Gesetzgeber hat auch gleich noch ein halbes Dutzend Kriterien mitgeliefert für die Beurteilung der Frage, welche Maßnahmen nötig sind. Berücksichtigt werden sollen Art, Umfang, Umstände und Zwecke der Verarbeitung sowie Eintrittswahrscheinlichkeit und Schwere der Risiken.

• Satz 2 stellt klar, dass die Maßnahmen geprüft und aktuell gehalten werden müssen. Berufserfahrene Datenschützer haben dazu immer wieder den PDCA-Zyklus gezeigt bekommen und schlimmstenfalls anderen gezeigt. Wer davon noch nichts gehört hat, benutze die Suchmaschine seiner Wahl.

Mit dem ausdrücklichen Bezug auf „unterschiedliche Eintrittswahrscheinlichkeiten und Schwere der Risiken“ enthält Absatz 1 Satz 1 eine wichtige und sinnvolle Regel: Datenschutzmaßnahmen sollen nicht Ressourcen vergeuden, sondern im angemessenen Rahmen bleiben. Natürlich lässt sich lange und heftig darüber streiten, was im Einzelfall risikoangemessen ist. Aber klar ist jedenfalls, dass nicht jede denkbare Sicherungsmaßnahme erfolgen muss. Auch im Datenschutz gilt die Regel: Nicht so sicher wie möglich, sondern so sicher wie nötig.

In der Praxis werden aus den beiden Faktoren Eintrittswahrscheinlichkeit und Schwere des Risikos dann oft Matrizen gebastelt, z. B.: Eintrittswahrscheinlichkeit niedrig, unbekannt und hoch sowie Schwere geringfügig, merklich und existenziell ergibt ein Feld mit neun Kästchen. Ähnliche Risikobewertungen finden sich in der IT- und Informationssicherheit. Leider ist in den seltensten Fällen eine eindeutige Quantifizierung möglich (z. B. von x E-Mails mit sensiblen Daten werden y E-Mails versehentlich an falsche Empfänger zugestellt, mit erheblichen aber nicht existenziellen Folgen für die Betroffenen). Möglich und ausreichend ist aber fast immer, dass fachkundige Personen (z. B. diejenigen Menschen, die eine Datenverarbeitung durchführen) sich auf eine gemeinsame Risiko-Einschätzung verständigen und diese begründen.

Sinnvoll ist ganz oft auch der in Art. 35 Abs. 9 DS-GVO für die Datenschutzfolgenabschätzung vorgesehene Weg: Betroffene oder deren Interessenvertreter beteiligen. Und oft sind ja auch die datenverarbeitenden Personen selbst von der Bearbeitung betroffen, beispielsweise die Personal- und IT-Abteilung entwickelt ein Verfahren zur digitalen Übermittlung der Gehaltsabrechnungen an die Beschäftigten. Die dabei tätigen Mitarbeiter werden eine realistische Meinung haben, wie sehr es schmerzt, wenn die eigene Gehaltsabrechnung dem Kollegen zugeht.

Immer wieder begegnet man in der Praxis übertriebenen Abstufungen, teils unfreiwillig komisch (z. B.: Eintrittswahrscheinlichkeit ganz klein, klein, eher klein, eher groß, groß und ganz groß). Gute Argumente und Möglichkeiten, mehr als drei Stufen zu trennen, sind mir bisher nicht begegnet.

Die Verantwortlichen sollen Art, Umfang, Umstände und Zwecke der Verarbeitung in den Blick nehmen. Etliches davon fließt in die Risikobewertung ein. Bei sehr umfangreichen Verarbeitungen erhöht sich meist das Fehlerrisiko. Bei „verinselten“ IT-Anwendungen ohne Netzanbindung sind viele Risiken minimiert. Und manches ist wichtig für die Frage, wie viel Rest-Risiko erlaubt ist, z. B. bei gesetzlich zwingend vorgeschriebenen Verarbeitungen.

Dann bleibt noch zu beachten, dass die „geeigneten technischen und organisatorischen Maßnahmen“ nicht nur eine gesetzeskonforme Verarbeitung sicherstellen sollen, sondern überdies den entsprechenden Nachweis. Deshalb gehört z. B. auch ein Zugriffsprotokoll bei Datenbanken mit sensiblen Inhalten zu den technischen und organisatorischen Maßnahmen nach Art. 24 Abs. 1 DS-GVO.

Sind wir bald da?

So weit, so einfach. Art. 24 Abs. 1 Satz 1 DS-GVO enthält aber noch ein sehr schwieriges Grundsatzproblem des Datenschutzes überhaupt. Wir können es nur kurz anschauen und wandern dann weiter – bei einem Spaziergang wird es nicht zu lösen sein:

Wenn der Verantwortliche Risiken abschätzen und geeignete Schutzmaßnahmen treffen soll, muss er die Verarbeitung natürlich kennen und beherrschen. Genau dies ist in der Praxis aber meist nicht der Fall. Ganz oft (fast immer) werden IT-Verfahren eingesetzt, ohne dass der nach der DS-GVO Verantwortliche die Verfahren wirklich kennt und beherrscht. – Bitte nicht die übliche Antwort dann darf er die Verfahren nicht einsetzen. Ein Problem verschwindet nicht, wenn man es verbietet.

Wenn Dachdeckermeister X mit dem Firmen-Lkw durch die Stadt fährt, darf er sich auf die letzte Hauptuntersuchung verlassen und muss den Lkw nicht selbst technisch prüfen. Für das IT-Verfahren seiner Lohnbuchhaltung soll aber geradestehen. Irgendetwas ist da im Datenschutzrecht noch unausgereift. Letztlich geht es vielleicht um die Grenze zwischen der Verantwortung des Softwareanbieters und des Softwarenutzers. Für Gesundheits- und Umweltschäden gibt es Regeln zur Produkthaftung. Wieso nicht auch für Datenschutzverletzungen?

Auch Verantwortliche, die sich tatsächlich Mühe geben sind mit der Verantwortung nach Art. 24 DS-GVO derzeit häufig überfordert. Das hat in den letzten Jahren die Sympathiehürde für den Datenschutz nicht gerade reduziert. Ein besseres Konzept ist noch nicht gefunden.

Vielleicht 2026? Ihnen alles Gute fürs neue Jahr!

Über den Autor: Prof. Dr. Ralph Wagner ist Vorstand des DID Dresdner Institut für Datenschutz sowie Vorsitzender des ERFA-Kreis Sachsen der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD). Als Honorarprofessor an der Technischen Universität Dresden hält er regelmäßig Vorlesungen und Seminare zum Thema Datenschutzrecht. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Die Auslagerung von Leistungen ist im Bereich des Datenschutzrechts kein ungewöhnlicher Prozess. Rein datenschutzrechtlich betrachtet handelt es sich in vielen Fällen um eine sogenannte Auftragsverarbeitung. In der Datenschutzorganisation wird vielfach ein Prozess implementiert, der zumindest den Abschluss von Auftragsverarbeitungsverträgen bei Beauftragung der Dienstleister vorsieht. In vielen Fällen ist an dieser Stelle allerdings „Schluss“, will heißen Unternehmen ruhen sich – aus unterschiedlichen Gründen – auf diesem IST-Stand aus, eine laufende Überprüfung des Dienstleisters erfolgt nicht oder nur äußert selten.

Wie wir in der Vergangenheit gesehen haben, kann in der Auftragsverarbeitung jedoch durchaus die Frage nach Verantwortung auftreten. Unzureichende Prüfungen können außerdem Haftungsfragen aufwerfen, wie kürzlich in einem Urteil des Oberlandesgerichts Dresden (OLG Dresden, Urt. v. 15.10.2024 – Az.: 4 U 940/24) bekannt geworden ist. Das OLG entschied unter anderem, dass dem datenschutzrechtlich Verantwortlichen gegenüber dem Auftragsverarbeiter mit Beendigung des Verarbeitungsvertrages eine Kontrollpflicht über die Löschung der beim Verarbeiter angefallenen personenbezogenen Daten obliegt und, dass sich der Verantwortliche nicht auf einen Exzess des Auftragsverarbeiters (vgl. Art. 28 Abs. 10 DS-GVO) berufen kann, wenn er dieser Kontrollpflicht nicht nachgekommen ist. Die Einzelheiten des Urteils und eine rechtliche Einordnung sollen im heutigen Beitrag näher betrachtet werden.

Verantwortlicher und Auftragsverarbeiter

Das Gesetz grenzt beiden Rollen (Verantwortlicher und Auftragsverarbeiter) in Art. 4 Nr. 7 und 8 DS-GVO voneinander ab und formt in Art. 28 DS-GVO genauer aus, wie das Rechtsverhältnis und auch die zugrunde liegenden Auftragsverarbeitungsverträge ausgestaltet sein müssen. In Art. 28 Abs. 1 DS-GVO wir folgendes normiert: „Erfolgt eine Verarbeitung im Auftrag eines Verantwortlichen, so arbeitet dieser nur mit Auftragsverarbeitern, die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen dieser Verordnung erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet.“

Nach Art. 28 Abs. 3 Satz 2 lit. h) DS-GVO besteht weiter folgende Pflicht: „Dieser Vertrag bzw. dieses andere Rechtsinstrument sieht insbesondere vor, dass der Auftragsverarbeiter dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in diesem Artikel niedergelegten Pflichten zur Verfügung stellt und Überprüfungen – einschließlich Inspektionen –, die vom Verantwortlichen oder einem anderen von diesem beauftragten Prüfer durchgeführt werden, ermöglicht und dazu beiträgt.“

Nun zum Urteil des OLG Dresden

Kurz zum Sachverhalt: Die Beklagte setzte in der Vergangenheit (Vertragsende datierte auf den 1.12.2019) einen Auftragsverarbeiter ein, dessen Hauptsitz in Israel lokalisiert ist. Mit Schreiben vom 30.11.2019 kündigte der Auftragsverarbeiter an, die Daten aus dem vorangegangenen Vertragsverhältnis zu löschen. Eine endgültige Bestätigung der Löschung erfolgt anschließend erst mit Schreiben vom 22.2.2023. Zwischenzeitlich war bekannt geworden, dass unbekannte Cyberkriminelle seit dem 6.11.2022 im sogenannten Darknet Daten von Nutzern der Beklagten zum Verkauf angeboten hatten. Die Beklagte wurde in der Folge von einer betroffenen Person auf Schadenersatz aus Art. 82 DS-GVO in Anspruch genommen.

Zunächst stellt das OLG dar, dass eine Haftung des Verantwortlichen gegeben ist: „Der Verantwortliche haftet auch, wenn der Auftragsverarbeiter die Weisungen des Verantwortlichen ausführt und dadurch ein Schaden entsteht. Missachtet der Auftragsverarbeiter eine rechtmäßige Weisung des Verantwortlichen, haftet der Verantwortliche auch hierfür […]. Zwar besteht in diesem Fall auch eine Haftung des Auftragsdatenverarbeiters. Der Verantwortliche kann den Betroffenen aber nicht auf dessen vorrangige Inanspruchnahme verweisen, weil dies einem „wirksamen Schadensersatz“ im Sinne des Art. 82 Abs. 4 DSGVO (vgl. auch Erwägungsgrund 146 S. 6) entgegenstünde.“

Anschließend befasst sich das Gericht mit der oben zitierten Pflicht aus Art. 28 Abs. 1 DS-GVO: „Dies führt aber nicht nur zu einer Pflicht zur sorgfältigen Auswahl, sondern auch zu einer Pflicht zur sorgfältigen Überwachung des Auftragsverarbeiters durch den Verantwortlichen. Diese Pflicht zur Überwachung des Auftragsverarbeiters – im Anschluss an dessen Auswahl – ist in Art. 28 Abs. 1 DSGVO zwar nicht ausdrücklich geregelt, ergibt sich jedoch aus der Formulierung der Norm („arbeitet […] nur mit“)“ und weiter: „Absatz 3 lit h) setzt eine solche Kontrollpflicht voraus, was auch die ordnungsgemäße Datenlöschung betrifft“ deshalb „[…] ist die Pflicht zur Überwachung daher auch ohne konkrete zeitliche Vorgaben als Dauerpflicht zu verstehen“.

Wie weit reicht nun die Kontrollpflicht?

Das OLG kommt anschließend zu dem Ergebnis, dass Art. 28 DS-GVO eine fortwährende Kontrollpflicht impliziert: „Infolgedessen war die Beklagte auch nach Vertragsbeendigung zu einer Überwachung ihres Auftragsdatenverarbeiters dahingehend angehalten, dass dieser die ihm zur Verfügung gestellten Daten tatsächlich löscht und hierüber eine aussagekräftige Bescheinigung ausstellt.“ Dies gilt allen voran dann, wenn eine große Menge an Daten oder besonders sensible Daten verarbeitet werden: „Gesteigerte Anforderungen ergeben sich indes, soweit z. B. große Datenmengen oder besonders sensible Daten gehostet werden sollen […] Diese gesteigerten Kontrollpflichten gelten auch außerhalb der Verarbeitung personenbezogener Daten nach Art. 9, 10 DSGVO.“

Allerdings holt das OLG das weit gespannte Netz wieder etwas zurück: „Die Anforderungen an Auswahl und Überwachung dürfen dabei in der Praxis zwar nicht überspannt werden. Wählt ein Unternehmen z. B. einen führenden und am Markt als zuverlässig bekannten IT-Dienstleister aus, so darf es grundsätzlich auf dessen Fachwissen und Zuverlässigkeit vertrauen, ohne dass etwa eine – vollkommen praxisfremde – Vor-Ort-Kontrolle erforderlich wäre.“

Im vorliegenden Fall war daher ein Sorgfaltsverstoß des Unternehmens anzunehmen, dass nach Beendigung der Vertragsbeziehung keine Überwachung bzw. Kontrolle des externen Auftragsverarbeiters durchgeführt hatte. Der Verantwortlich darf sich nicht auf die bloße Ankündigung seines Auftragnehmers verlassen die Daten zu löschen. Vielmehr muss eine Kontrolle erfolgen (z. B. durch Einholen einer Bestätigung der Löschung), dass die Maßnahme tatsächlich erfolgt, ist:

„Die bloße Ankündigung einer Maßnahme ist jedoch nicht gleichwertig zu einer Bestätigung über deren Ausführung. Es ist allgemein bekannt, dass gleich ob in kleinen oder großen Unternehmen anstehende Vorgänge aufgeschoben und in der Folge auch vergessen werden können. Indem die Bestätigung der tatsächlichen Durchführung einer vertraglich festgelegten Aufgabe eingefordert wird, minimiert der Verantwortliche das Risiko, dass es beim Auftragsverarbeiter bei der bloßen Ankündigung eines Tätigwerdens bleibt und sorgt zugleich dafür, dass der Auftragsverarbeiter in seiner eigenen Sphäre überprüft, ob die vertraglich übernommene Verpflichtung tatsächlich gewissenhaft erfüllt wurde – auch um das eigene Haftungsrisiko zu minimieren.“

Fazit

Zusammenfassend lässt sich festhalten, dass das OLG Dresden einen recht strengen Maßstab an die Kontrollpflichten nach Art. 28 Abs. 1, Abs. 3 DS-GVO an den Verantwortlichen gegenüber dem eingesetzten Auftragsverarbeiter anlegt. Die Kontrollpflicht besteht gerade nicht nur vor der Beauftragung, sondern wird insbesondere während der laufenden Vertragsbeziehung und nach deren Ende fortgeführt.

P.S. Das OLG lehnte den Schadenersatzanspruch aus Art. 82 DS-GVO letztendlich dennoch ab, da die betroffenen personenbezogenen Daten (E-Mail-Adresse, IP-Adresse, Nutzer-ID) zwar einen Personenbezug aufwiesen, aber nicht als sensible Daten im Sinne der DS-GVO einzustufen seien und darüber hinaus keine konkrete Gefahr, die zu einem Missbrauch der Daten führt, durch die Klägerin dargelegt werden konnte. Insbesondere bei Daten, die den persönlichen Lebensbereich betreffen, besteht die Gefahr einer Rufschädigung oder Diskriminierung. Ebenso geht der Verlust der Kontrolle von Daten über Vermögenswerte, Bankverbindungen und Berufsgeheimnisse mit dem Risiko eines materiellen Schadens einher.  Dies sei vorliegend jedoch gerade nicht der Fall.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Die nationale Regelung des § 38 Abs. 1 Satz 1 Bundesdatenschutzgesetz (BDSG) sieht neben den Regelungen des Art. 37 Abs. 1 DS-GVO vor, dass nicht-öffentliche Stellen einen Datenschutzbeauftragten zu benennen haben, sofern regelmäßig mehr als 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Ein aktuelles Positionspapier der Bundesregierung benennt nun im Zusammenhang mit der Reduktion datenschutzrechtlicher Anforderungen unter anderem die Heraufsetzung dieses Schwellwertes von 20 Beschäftigte auf 50 Beschäftigte. Ein kurzer Überblick.

Anwendung datenschutzrechtlicher Anforderungen reduzieren

„Zur Dynamisierung der deutschen Wirtschaft soll auch der bürokratische Aufwand bei der Anwendung datenschutzrechtlicher Anforderungen reduziert werden und die Anwendung auf europäischer Ebene vereinheitlicht werden“, heißt es unter Ziffer 13 in einem erst jüngst veröffentlichten Papier der Bundesregierung mit dem Titel „Wachstumsinitiative – neue wirtschaftliche Dynamik für Deutschland“.

Als konkrete Maßnahmen werden insgesamt sieben Punkte angeführt, darunter die Konzentration der Zuständigkeit einzelner Aufsichtsbehörden für bestimmte Branchen und Sektoren, eine stärkere bundesweite Vereinheitlichung der Anwendung des Datenschutzrechts durch verbindliche Beschlüsse der Datenschutzkonferenz, die Präzisierung und Konkretisierung im nationalen Recht zur Erhöhung der Rechtssicherheit und zur Erleichterung der Anwendung sowie eben benannte Erhöhung des Schwellenwerts zur verpflichtenden Benennung eines Datenschutzbeauftragten.

Unklar ist zunächst, in welchem zeitlichen Rahmen mit der Umsetzung der angeführten Maßnahmen gerechnet werden kann. Es ist jedoch nicht unwahrscheinlich, dass die beabsichtigten Änderungen früher oder später tatsächlich umgesetzt werden. Schließlich sind einige der angeführten Punkte nicht neu: Bereits mit der sich im Gesetzgebungsprozess befindlichen Änderung des Bundesdatenschutzgesetzes verfolgt der Gesetzgeber eine Institutionalisierung der Datenschutzkonferenz. Eine bereits beabsichtigte Vereinheitlichung der Anwendung des Datenschutzrechts dürfte allein hierdurch aber nicht erreicht werden. Im Zuge selbiger Änderung wurde zudem die Abschaffung der Benennungspflicht eines Datenschutzbeauftragten nach § 38 BDSG diskutiert. Das Argument: Entbürokratisierung. Die Abschaffung der Benennungspflicht nach nationalen Normen scheiterte jedoch.

Heraufsetzung des Schwellwertes

Grundsätzlich ist eine Heraufsetzung des Schwellwertes einer gänzlichen Abschaffung der Benennungspflicht vorzuziehen. Aber auch diese Herangehensweise ist nicht neu: Bereits im November 2019 wurde der damalige Schwellwert des § 38 BDSG von zehn auf 20 Beschäftigte erhöht. Danach wurden immer wieder Stimmen laut, die eine weitere Anhebung des Schwellwertes forderten. Eine mehrheitliche Unterstützung des Vorhabens im Bundestag und Bundesrat scheint indes gewiss. Ist eine solche Gesetzesänderung jedoch auch sinnvoll?

Sicherlich ist Deutschland eines der wenigen Länder – oder sogar das einzige Land – welches in Bezug auf die Benennung des Datenschutzbeauftragten zusätzliche Regelungen getroffen hat. Die EU-weit einheitliche Norm des Art. 37 DS-GVO fordert die Benennung eines Datenschutzbeauftragten ausschließlich im Falle von öffentlichen Stellen, umfangreichen und systematischen Überwachungen betroffener Personen oder einer umfangreichen Verarbeitung besonderer Kategorien personenbezogener Daten gemäß Art. 9 DS-GVO beziehungsweise von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Art. 10 DS-GVO. Diese Regelung scheint in den anderen Mitgliedsstaaten ausreichend. Wieso also nicht auch in Deutschland?

Weniger Datenschutzbeauftragte ≠ weniger Bürokratie

In diesem Zusammenhang wird regelmäßig verkannt, dass die (verpflichtende) Benennung eines Datenschutzbeauftragten auch Erleichterungen mit sich bringen kann. Schließlich ist es gemäß Art. 39 Abs. 1 DS-GVO Aufgabe eines jeden Datenschutzbeauftragten, Verantwortliche und Auftragsverarbeiter hinsichtlich ihrer Pflichten nach der Datenschutz-Grundverordnung zu beraten und zu unterrichten. Weiterhin kann der Datenschutzbeauftragte im Rahmen interner Prüfungen Abweichungen von gesetzlichen Anforderungen feststellen und etwaige Korrekturmaßnahmen empfehlen, noch bevor datenschutzrechtliche Verstöße den betroffenen Personen oder Aufsichtsbehörden zur Kenntnis gelangen und negative Folgen für den Verantwortlichen nach sich ziehen. Der Datenschutzbeauftragte ist Wissensträger und Unterstützer zugleich – kein Bürokratiemonster.

Zudem ist anzumerken, dass die vielschichtigen Verpflichtungen aus den datenschutzrechtlichen Normen stets den Verantwortlichen, also das Unternehmen, den Verein oder die Behörde adressieren und gerade nicht den Datenschutzbeauftragten. Eine Erhöhung des Schwellwertes oder gänzliche Abschaffung der Benennungspflicht führt also gerade nicht zu einer Entbürokratisierung, sondern vielmehr zu einem Schwund an Know-how. Der Verantwortliche muss die datenschutzrechtlichen Anforderungen dann eben ohne Unterstützung des Datenschutzbeauftragten – mehr oder weniger – erfolgreich umsetzen.

Wenn Änderung, dann bitte konsequent!

Sollte es zu einer Änderung des Schwellwertes gemäß § 38 Abs. 1 Satz 1 BDSG kommen, ist nur zu hoffen, dass der Gesetzgeber diese Gelegenheit nutzt und die Regelung des § 38 Abs. 1 Satz 2 ebenfalls korrigiert: Nach dieser Norm ist die Benennung eines Datenschutzbeauftragten unter anderem ebenfalls verpflichtend, sofern der Verantwortliche oder der Auftragsverarbeiter zur Durchführung einer Datenschutz-Folgenabschätzung nach Art. 35 DS-GVO verpflichtet ist – und zwar unabhängig von einer Beschäftigtenzahl. In Zeiten von Hinweisgeberschutz und Künstlicher Intelligenz wären demnach weiterhin viele Unternehmen zur Benennung eines Datenschutzbeauftragten verpflichtet.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Im Silicon Saxony e.V. nimmt er die Funktion als Leiter des Arbeitskreises Privacy & Security wahr. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Eine Thematik welche in der Datenschutzpraxis in Unternehmen und öffentlichen Stellen bei der Verarbeitung von personenbezogenen Daten immer wieder auftritt ist der sogenannte Mitarbeiterexzess. Was hierunter zu verstehen ist und wie die Aufsichtsbehörden zum Teil mit derartigen Fallkonstellationen umgehen haben wir bereits in einem Beitrag näher dargestellt. Nunmehr hat der Europäische Gerichtshof (EuGH) in seinem Urteil vom 11. April 2024 (Rs. C-741/21) sich unter anderem mit der Frage des Exzesses der Beschäftigten im Rahmen des Schadenersatzanspruchs des Art. 82 DS-GVO befasst. Worum es in diesem Urteil geht, welche Entscheidung der EuGH im Detail trifft und welche Auswirkungen diese womöglich für die Praxis mit sich bringen, soll der nachfolgende Beitrag einmal näher beleuchten.

Das Verfahren und die Frage nach der Entlastung

Gegenstand des Ausgangsverfahren vor dem Landgericht Saarbrücken war der Streit zwischen einem Rechtsanwalt und dem juristischen Informationsdienst JURIS (Juristisches Informationssystem für die Bundesrepublik Deutschland), in welchem der Anwalt auf Schadenersatz nach Art. 82 DS-GVO aufgrund des datenschutzwidrigen Umgangs mit seinen personenbezogenen Daten zu Werbezwecken klagt. JURIS brachte unter anderem vor, dass aufgrund eines weisungswidrigen Verhaltens seitens eines Beschäftigten bezüglich des internen Prozesses zum Umgang mit Werbewidersprüchen kein Verschulden zur Begründung eines entsprechenden Schadenersatzanspruches vorläge.

Neben Fragen rund um den Schadensbegriff im Rahmen des Art. 82 DS-GVO befasste sich der EuGH auch mit einer in Betracht kommenden Exkulpationsmöglichkeit seitens des Unternehmens, wenn sich Beschäftigte bei der Verarbeitung personenbezogener Daten weisungswidrig verhalten. Unter Exkulpation wird in der Rechtswissenschaft die Selbstentlastungsfreiheit vom Vorwurf des Verschuldens im Rahmen eines Schadenersatzanspruchs verstanden, also ein Entlastungsbeweis.

Zum besseren Verständnis, Art. 82 Abs. 3 DS-GVO enthält folgende Regelung: „Der Verantwortliche oder der Auftragsverarbeiter wird von der Haftung gemäß Absatz 2 befreit, wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist.“

Ein in Anspruch genommener Beteiligter einer Datenverarbeitung muss für seine Entlastung gemäß Art. 82 Abs. 3 DS-GVO nachweisen, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist. Dies gelingt in der Regel dann, wenn er nachweisen kann, dass er sämtlichen an ihn gestellten Sorgfaltsanforderungen der Datenschutz-Grundverordnung nachgekommen ist. Soweit der Vorrede, nun zum Inhalt des Urteils.

AnforderungEN an die Exkulpation

Konkret bestand unter anderem folgende Vorlagefrage: „[…] das vorlegende Gericht [wollte] im Wesentlichen wissen, ob Art. 82 DS-GVO dahin auszulegen ist, dass es für eine Befreiung des Verantwortlichen von seiner Haftung nach Art. 82 Abs. 3 [DS-GVO] ausreicht, dass er geltend macht, dass der in Rede stehende Schaden durch ein Fehlverhalten einer ihm im Sinne von Art. 29 der [DS-GVO] unterstellten Person verursacht wurde.“

Hierzu führt der EuGH wie folgt aus: „[…] [es] geht zum einen aus diesem Art. 29 [DS-GVO] hervor, dass dem Verantwortlichen unterstellte Personen, wie z. B. seine Mitarbeiter, die Zugang zu personenbezogenen Daten haben, diese Daten grundsätzlich nur auf der Grundlage von Weisungen des Verantwortlichen und im Einklang mit diesen Weisungen verarbeiten dürfen.“ Und weiter: „Zum anderen sieht Art. 32 Abs. 4 DS-GVO über die Sicherheit der Verarbeitung personenbezogener Daten vor, dass der Verantwortliche Schritte unternimmt, um sicherzustellen, dass ihm unterstellte natürliche Personen, die Zugang zu solchen Daten haben, diese nur auf Anweisung des Verantwortlichen verarbeiten, es sei denn, sie sind nach dem Recht der Union oder der Mitgliedstaaten zur Verarbeitung verpflichtet.“

Unter Zugrundelegung dieser Ausführungen kommt er EuGH zum Zwischenfazit: „Bei einem Arbeitnehmer des Verantwortlichen handelt es sich fraglos um eine natürliche Person, die dem Verantwortlichen unterstellt ist. Es ist somit Sache des Verantwortlichen, sich zu vergewissern, dass seine Weisungen von seinen Arbeitnehmern korrekt ausgeführt werden. Daher kann sich der Verantwortliche nicht einfach dadurch nach Art. 82 Abs. 3 DSGVO von seiner Haftung befreien, dass er sich auf Fahrlässigkeit oder Fehlverhalten einer ihm unterstellten Person beruft.“

Außerdem „[…] ist hervorzuheben, dass die Umstände der in Art. 82 Abs. 3 DS-GVO vorgesehenen Befreiung streng auf solche beschränkt werden müssen, unter denen der Verantwortliche nachweisen kann, dass er selbst nicht für den Schaden verantwortlich ist […]. Daher kann dem Verantwortlichen bei einer Verletzung des Schutzes personenbezogener Daten durch eine ihm unterstellte Person diese Befreiung nur zugutekommen, wenn er nachweist, dass es keinen Kausalzusammenhang zwischen der etwaigen Verletzung der ihm gemäß den Art. 5, 24 und 32 dieser Verordnung obliegenden Verpflichtung zum Datenschutz und dem der betroffenen Person entstandenen Schaden gibt.“

Der EuGH kommt deshalb zum Ergebnis: „Für eine mögliche Befreiung des Verantwortlichen – nach Art. 82 Abs. 3 DS-GVO – von seiner Haftung kann es daher nicht ausreichen, dass er nachweist, dass er den ihm im Sinne von Art. 29 dieser Verordnung unterstellten Personen Weisungen erteilt hat und dass eine dieser Personen ihrer Verpflichtung, diese Weisungen zu befolgen, nicht nachgekommen ist und sie damit zum Eintritt des in Rede stehenden Schadens beigetragen hat.“

Was bleibt für die Praxis?

Der EuGH formuliert mit dem Urteil strenge Anforderungen an die Möglichkeit zur Exkulpation für die verantwortlichen Stellen im Rahmen des Art. 82 Abs. 3 DS-GVO, insofern es sich um eine Konstellation eines Mitarbeiterexzesses handelt. Ein bloßer Verweis auf die gegenüber den Beschäftigten erteilten Weisungen bzw. die Weisungswidrigkeit der Handlung der betroffenen Beschäftigten genügt nicht. Dies gilt gleichwohl für einen Verweis auf bestehende Datenschutzbestimmungen innerhalb der verantwortlichen Stelle, z.B. in Form einer Policy bzw. Richtlinie zum Datenschutz. Es bedarf vielmehr des konkreten Nachweises, dass zwischen dem bestehenden Verstoß gegen die Datenschutz-Grundverordnung und dem Handeln des Mitarbeiters kein Kausalzusammenhang besteht.

Fazit

Festzuhalten bleibt, dass das Urteil des EuGH im Lichte der Datenschutz-Grundverordnung und den darin verankerten Grundsätzen zu begrüßen ist. Wie der EuGH final noch herausstellt, stände es nicht im Einklang mit der Datenschutz-Grundverordnung, wenn sich datenschutzrechtlich Verantwortliche von ihrer Haftung befreien könnten, indem sie sich lediglich auf das Fehlverhalten der ihnen unterstellten Personen berufen. Dies würde zu einer Beeinträchtigung des in Art. 82 DS-GVO verankerten Schadenersatzanspruches führen. Mithin führt das Urteil des EuGH auch zu einer Stärkung der Rechte der betroffenen Personen. Mit Blick auf die Umsetzungspflichten für die Praxis bedeutet dies gleichzeitig, dass es mit einer bloßen Erteilung von Weisungen nicht getan ist.

Von den Fragen der Haftung nach Art. 82 DS-GVO gegenüber der betroffenen Person unberührt bleiben im Innenverhältnis zwischen verantwortlicher Stelle und Beschäftigten natürlich arbeits- bzw. dienstrechtliche Ausgestaltungen sowie etwaige Maßnahmen der jeweils zuständigen Datenschutzaufsichtsbehörde.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Die gemeinsame Verantwortlichkeit nach Art. 26 DS-GVO scheint neben der wesentlich bekannteren Auftragsverarbeitung (Art. 28 DS-GVO) ein Schattendasein zu fristen. Dabei ergeben sich in der Praxis einige Konstellationen, die regelmäßig für eine gemeinsame Verantwortlichkeit anstatt einer Auftragsverarbeitung sprechen. Der nachfolgende Beitrag beleuchtet den Inhalt sowie die Abgrenzung dieser datenschutzrechtlichen Konstellation, zeigt Praxisbeispiele auf und weist auf aktuelle Rechtsprechung hin.

Verantwortlicher, Auftragsverarbeiter, gemeinsam VErantwortliche

Zur Klärung der Frage, in welchen konkreten Fällen eine gemeinsame Verantwortlichkeit vorliegt, sind zunächst die Begrifflichkeiten des Verantwortlichen, des Auftragsverarbeiters sowie der gemeinsam Verantwortlichen anhand der Definitionen in der Datenschutz-Grundverordnung aufzugreifen. Eine saubere Unterscheidung dieser Begrifflichkeiten hat in der Praxis eine große Bedeutung, da je nach Konstellation unterschiedliche Vertragswerke zugrunde zu legen sind und sich auch die Haftungsregelungen unterscheiden können.

Bei einem Verantwortlichen handelt es sich gemäß Art. 4 Nr. 7 DS-GVO um jede „natürliche oder juristische Person, Behörde, Einrichtung, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet […].“ In Abgrenzung hierzu, handelt es sich gemäß Art. 4 Nr. 8 DS-GVO bei einem Auftragsverarbeiter um jede „natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.“ Der Verantwortliche definiert sich somit insbesondere dadurch, dass dieser stets die Zwecke und Mittel der Datenverarbeitung festlegt, also über das „ob“ und „wie“ der Datenverarbeitung entscheidet, wohingegen der Auftragsverarbeiter eben diese Datenverarbeitung lediglich auf Weisung umsetzt.

Legt ein Verantwortlicher mit einem oder mehreren weiteren Verantwortlichen gemeinsam die Zwecke und Mittel der Datenverarbeitung fest, handelt es sich gemäß Art. 26 Abs. 1 Satz 1 DS-GVO um gemeinsam Verantwortliche.

Gemeinsames Festlegen von Zwecken und Mittel

Wann ein gemeinsames Festlegen der Zwecke und Mittel einer Datenverarbeitung konkret vorliegt, wird durch die DS-GVO nicht näher definiert. Jedoch ergeben sich durch die bisherige Rechtsprechung des Europäischen Gerichtshofes (EuGH, z.B. C-210/16, C-25/17, C-40/17 sowie anhand der Leitlinien 07/2020 des Europäischen Datenschutzausschusses einige Anhaltspunkte.

So ist zunächst festzuhalten, dass nach der Rechtsprechung des EuGH von einem weiten Verständnis für eine gemeinsame Verantwortlichkeit auszugehen ist. Begründet wird dies mit einem möglichst umfassenden Schutz für die Rechte und Freiheiten betroffener Personen. Dementsprechend ist es nach Ansicht des EuGH auch nicht erforderlich, dass die Verantwortlichen in einem gleichen Maß die Zwecke und Mittel der Datenverarbeitung festlegen, vielmehr wird ein geringes Maß an Mitbestimmung einer weiteren Partei als ausreichend anzusehen sein. Auch bedarf es keiner vertraglichen Fixierung, dass gemeinsame Zwecke verfolgt werden.

Weiterhin kann ein gemeinsames Festlegen von Zwecken auch dann vorliegen, wenn die beteiligten Verantwortlichen eigene Verarbeitungszwecke verfolgen, dies von den weiteren Beteiligten jedoch zumindest akzeptiert wird. Ausschlaggebend ist ausschließlich, dass die gemeinsamen Verantwortlichen durch die Datenverarbeitung in ihrer Gesamtheit einen beiderseitigen Nutzen erzielen und die jeweiligen Verarbeitungsvorgänge miteinander untrennbar verbunden sind. Auch ein tatsächlicher Zugriff auf sämtliche der zu verarbeitenden personenbezogenen Daten muss nicht durch sämtliche Verantwortliche gegeben sein. Ausreichen kann hierbei beispielsweise die gemeinsame Nutzung der IT-Infrastruktur eines an der Verarbeitung Beteiligten.

Zudem genügt es auch, dass ausschließlich einer der an der Verarbeitung Beteiligten die Mittel der Datenverarbeitung bereitstellt, welche durch die weiteren Beteiligten genutzt werden. Denn bereits die Entscheidung, ausschließlich die Mittel einer anderen Partei zu nutzen, kann eine Festlegung der Mittel einer Datenverarbeitung darstellen. Dieser Aspekt kann insbesondere im Rahmen einer cloudbasierten Nutzung standardisierter Anwendungen zu beachten sein, sofern der Diensteanbieter ebenfalls Verarbeitungen personenbezogener Daten (auch) zu eigenen Zwecken durchführt.

Hervorzuheben ist jedoch auch, dass nicht jeder der angeführten Aspekte bereits für sich eine gemeinsame Verantwortlichkeit begründet. Ausschlaggebend ist stets die Zusammenschau der dargestellten Aspekte im Rahmen der konkret durchgeführten Datenverarbeitungen. Wie so oft bedarf es damit einer Entscheidung im Einzelfall, wobei unter Berücksichtigung der Rechenschaftspflicht gemäß Art. 5 Abs. 2 DS-GVO die Argumentation für oder gegen die Annahme einer gemeinsamen Verantwortlichkeit stets nachvollziehbar dokumentiert werden sollte.

Aktuelle Rechtsprechung

Im Rahmen eines aktuellen Urteils des EuGH (Urt. v. 5.12.2023 – Az.: C-683/21) wurden die zuvor dargestellten Aspekte noch einmal bekräftigt. Der EuGH führt dabei beispielsweise an, dass

• „eine Einrichtung, die ein Unternehmen mit der Entwicklung einer mobilen IT‑Anwendung beauftragt und in diesem Zusammenhang an der Entscheidung über die Zwecke und Mittel der über die Anwendung vorgenommenen Verarbeitung personenbezogener Daten mitgewirkt hat, als Verantwortlicher im Sinne dieser Bestimmung angesehen werden kann, auch wenn sie selbst keine personenbezogene Daten betreffenden Verarbeitungsvorgänge durchgeführt, keine ausdrückliche Einwilligung zur Durchführung der konkreten Verarbeitungsvorgänge oder zur Bereitstellung dieser mobilen Anwendung für die Öffentlichkeit gegeben und die mobile Anwendung nicht erworben hat, es sei denn, sie hat, bevor die Anwendung der Öffentlichkeit bereitgestellt wurde, dieser Bereitstellung und der sich daraus ergebenden Verarbeitung personenbezogener Daten ausdrücklich widersprochen.“

• „die Einstufung von zwei Einrichtungen als gemeinsam Verantwortliche nicht voraussetzt, dass zwischen diesen Einrichtungen eine Vereinbarung über die Festlegung der Zwecke und Mittel der fraglichen Verarbeitung personenbezogener Daten oder eine Vereinbarung besteht, in der die Bedingungen der gemeinsamen Verantwortlichkeit für die Verarbeitung festgelegt sind.“

Praxisbeispiele

Im Rahmen der benannten Leitlinien des Europäischen Datenschutzausschusses werden eine Reihe von Praxisbeispielen benannt, in denen regelmäßig eine gemeinsame Verantwortlichkeit anzunehmen ist:

• Durchführung eines gemeinsamen Forschungsprojektes durch mehrere Forschungsinstitute, wobei jedes Forschungsinstitut in seinem Besitz befindliche personenbezogene Daten in die bestehende Plattform eines der Forschungsinstitute eingibt.

• Gemeinsame Veranstaltung zweier Unternehmen unter gemeinschaftlicher Nutzung der jeweiligen Kundendatenbanken. Die Modalitäten für die Versendung der Einladungen, die Umsetzung der Rückmeldungen sowie anschließende Vermarktungsmaßnahmen werden ebenfalls gemeinsam festgelegt.

• Unterstützung eines Unternehmens bezüglich der Einstellung von Beschäftigten, wobei das unterstützende Unternehmen personenbezogene Daten aus einer eigenen Datenbank sowie aus den vom anderen Unternehmen bereitgestellten Lebensläufen nutzt.

Auch das Führen einer gemeinsamen Kundendatenbank durch mehrere, rechtlich selbständige Unternehmen begründet eine gemeinsame Verantwortlichkeit (Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit, Tätigkeitsbericht 2020, S. 119). Das Fehlen einer Vereinbarung zur gemeinsamen Verantwortlichkeit hat im vorliegenden Fall zu einem Bußgeld in Höhe von 13.000 Euro geführt.

Regelmäßig liegt beispielsweise keine gemeinsame Verantwortlichkeit vor, sofern Unternehmen Arbeitnehmerdaten an die Steuerbehörden übermitteln, mehrere Unternehmen einer Unternehmensgruppe eine gemeinsame Datenbank nutzen, wobei jedes Unternehmen ausschließlich Daten des eigenen Unternehmens einsehen kann sowie in Fällen, in denen mehrere Behörden gesetzlich dazu verpflichtet sind, ein bestimmtes System einer anderen Behörde zur Dateneingabe zu nutzen.

Vertrag und Informationspflichten

Liegt eine gemeinsame Verantwortlichkeit vor, ist gemäß Art. 26 Abs. 1 Satz 2 DS-GVO zwischen den Beteiligten eine Vereinbarung abzuschließen, die in transparenter Form die jeweiligen Pflichten der Vertragsparteien festlegt. Dies betrifft insbesondere die Gewährleistung der Rechte betroffener Personen, die Bereitstellung von Informationspflichten sowie gegebenenfalls Kontaktpersonen. Weiterhin muss die Vereinbarung die jeweiligen tatsächlichen Funktionen und Beziehungen der Beteiligten widerspiegeln. Ergänzend zu den Angaben aus Art. 13 und Art. 14 DS-GVO, sind den betroffenen Personen gemäß Art. 26 Abs. 2 Satz 2 DS-GVO die wesentlichen Inhalte der Vereinbarung zur Verfügung zu stellen.

Fazit

In der Praxis sind eigene Verantwortlichkeit, Auftragsverarbeitung und gemeinsame Verantwortlichkeit klar voneinander zu trennen. Hierbei können sich in der Praxis jedoch Schwierigkeiten ergeben, da die Zusammenschau unterschiedlicher Aspekte teilweise einen gewissen Interpretationsspielraum ermöglicht. Unter Berücksichtigung der Rechenschaftspflicht sollten Verantwortliche in jedem Fall die Entscheidung für oder gegen die Annahme einer gemeinsamen Verantwortlichkeit dokumentieren. Wir das Vorliegen einer gemeinsamen Verantwortlichkeit angenommen, ist ein entsprechender Vertrag gemäß den Anforderungen des Art. 26 DS-GVO abzuschließen.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Im Silicon Saxony e.V. nimmt er die Funktion als Leiter des Arbeitskreises Privacy & Security wahr. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Im Rahmen der Blog-Reihe „Ein Spaziergang durch die DS-GVO“ betrachten wir die einzelnen Artikel der Datenschutz-Grundverordnung aus einem etwas anderen Blickwinkel. Ziel ist kein x-ter Kommentar, es soll eher ein Datenschutz-Feuilleton entstehen, mit Anmerkungen und Überlegungen auch zu Artikeln, die Sie im Datenschutz-Alltag vielleicht noch nie gelesen haben. Im Weitergehen noch zwei Blicke zurück auf Artikel 3:

(1) Ein Beispiel zum kleinen Anwendungsbereich von Absatz 3 erhielt ich noch zugeschickt (Dank an artikel91.eu): Mitarbeiterexzess in einer EU/EWR-Botschaft. Fiktiver Fall: Das Botschafts-Einlasspersonal nimmt die Liste der Tagesbesucher und nutzt sie, um Werbeprospekte zu verschicken.

(2) Und auf meine Schlussfrage zu Artikel 3 Absatz 1 (Wo gilt die DS-GVO schon am längsten?) war die Antwort nicht korrekt. Sie haben es alle bemerkt, aber taktvoll geschwiegen? Richtig ist wohl: Diejenige Botschaft eines EU/EWR-Staates, die in östlicher Richtung der Datumsgrenze am nächsten liegt. Ziemlich wahrscheinlich in Neuseeland. Oder gibt es solche Botschaften auch in Kiribati? Samoa?

Beim Spazieren sieht man ihn langsam näher rücken: Artikel 4 liegt lang gestreckt mit 26 einzelnen Nummern vor uns. Die Begriffsdefinitionen für Zwecke dieser Verordnung habe ich – Entschuldigung – erstmals für diesen Blogbeitrag komplett gelesen. Natürlich gibt es alte Bekannte:

Nummer 1

Art. 4 Nr. 1 klärt die personenbezogenen Daten, also vielleicht den absoluten Grundbegriff des Datenschutzrechts überhaupt. Die Schweizer sprechen übrigens von Personendaten. Schön ist dieser Begriff auch nicht, aber vielleicht etwas kürzer und weniger sperrig?

Wer bis hierhin mitspaziert ist, hat bemerkt, dass die DS-GVO durchaus ein beachtliches, oft unterschätztes Erholungs- und Heiterkeitspotenzial besitzt, auf das wir uns konzentrieren. Schließlich gehen wir spazieren und arbeiten nicht. In diesem Sinne: Art. 4 Nr. 1 ist ein wunderschönes Beispiel für die klare und einfache Sprache, in der wir Datenschutzrechtler uns bemühen, Informationen „in präziser, transparenter, verständlicher und leicht zugänglicher Form […] zu übermitteln„: Beraubt man den zweiten Halbsatz seiner Füllung ergibt sich die Aussage: „Als identifizierbar wird eine natürliche Person angesehen, die […] identifiziert werden kann.“ Das ist … naja. Logisch richtig und einwandfrei.

Die Informationen aus der soeben weggelassenen Satz-Füllung bei Nr. 1 sind wenig hilfreich: Wenn direkte oder indirekte Identifikation genügt, dann heißt das: Es genügt jede Identifizierung. Auch die beispielhafte Aufzählung der Identifizierungsmöglichkeiten schafft eher Verwirrung – warum wird physisch und physiologisch unterschieden?

Die wichtige Information, dass nur lebende Menschen als Betroffene geschützt werden sollen (Erwägungsgrund 27) fehlt, ebenso die noch wichtigere Abgrenzung, wann von einer Identifizierbarkeit auszugehen ist. Dazu äußert sich Erwägungsgrund 26, vor allem in Sätzen 3 und 4: „Um festzustellen, ob eine [natürliche Person identifizierbar ist, sollten alle Mittel berücksichtigt werden, die […] wahrscheinlich genutzt werden […]. Bei der Feststellung, ob Mittel nach allgemeinem Ermessen wahrscheinlich […] genutzt werden, sollten alle objektiven Faktoren, wie die Kosten der Identifizierung und der dafür erforderliche Zeitaufwand, herangezogen werden, wobei die zum Zeitpunkt der Verarbeitung verfügbare Technologie und technologische Entwicklungen zu berücksichtigen sind.“ Wäre das nicht schön in Nr. 1?

Stattdessen bringt Nr. 1 in der deutschen Sprache noch einen Übersetzungsfehler mit. Bei „im Folgenden ,betroffene Person´“ fehlt in anderen Sprachen das im Folgenden – und zwar zu Recht, weil der Begriff betroffene Person ja schon in Artikel 3 benutzt wird.

Nummer 2

Aber schlimmer geht immer, bemerkt man bei der Definition für den Begriff Verarbeitung: Streicht man alles Überflüssige und Inhaltslose, dann bezeichnet „Verarbeitung jeden […] Vorgang oder jede […] Vorgangsreihe im Zusammenhang mit personenbezogenen Daten“. Das ist wenig Inhalt in einem verwirrenden, langen Satz. So dürfen wir bitte keine Datenschutzinformationen schreiben.

Nummer 3

Sogar eindeutig falsch ist dann die Begriffsdefinition in Nr. 3: Eine Einschränkung der Verarbeitung ist natürlich nicht die Markierung von Daten mit dem Ziel, ihre künftige Verarbeitung einzuschränken. Wer in einer Karteikiste die Karteikarten zu ausgeschiedenen Mitarbeitern mit roten Klebezetteln versieht, hat die Verarbeitung der entsprechenden Daten noch nicht eingeschränkt. Merke: Man hat Ziele noch nicht erreicht, wenn man sie sich setzt.

Nummer 4

Auch bei Nr. 4 ist die Definition schiefgegangen. Profiling kann sinnvoll verwendet werden für die „Verarbeitung personenbezogener Daten mit dem Ziel, künftiges Verhalten vorherzusagen“. Der zweite Satzteil in Nr. 4 ist also korrekt. Der erste jedoch nicht: Profiling ist nicht schon die „Datenverarbeitung zur Bewertung persönlicher Aspekte“: Person A misst 1,95 m; das finde ich groß.

Nummer 7

Beim Verantwortlichen ist momentan der zweite Teil der Definition noch nicht abschließend sicher: Könnten die Europäische Union oder der Mitgliedstaat wirklich Verantwortliche nach Belieben festlegen? Kann zum Beispiel die Bundesrepublik gesetzlich bestimmen, dass für alle Datenverarbeitungen deutscher Zollbehörden das Hauptzollamt Dresden verantwortliche Stelle ist?

Nummer 12

Die Verletzung des Schutzes personenbezogener Daten hat bei den Artikeln 33 und 34 Bedeutung. Nach der Definition in Nr. 12 liegt eine solche Verletzung nur vor, wenn es tatsächlich „zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von bzw. zum unbefugten Zugang zu personenbezogenen Daten“ kommt. Verdachtsfälle sind nach dieser Definition keine Verletzung, also auch nicht meldepflichtig.

Mit einem kurzen Überblick über wesentliche Formulierungen aus Artikel 4 ist das kurze erste Kapitel der DS-GVO schon abgewandert. Auf zu Kapitel 2!

Über den Autor: Prof. Dr. Ralph Wagner ist Vorstand des DID Dresdner Institut für Datenschutz sowie Vorsitzender des ERFA-Kreis Sachsen der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD). Als Honorarprofessor an der Technischen Universität Dresden hält er regelmäßig Vorlesungen und Seminare zum Thema Datenschutzrecht. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.