Mehr Infos

 

 

 
 
 

 

 

 

Microsoft 365 gehört sowohl im unternehmerischen als auch im öffentlichen Bereich zu den meistgenutzten cloudbasierten Office-Anwendungen. Jedoch bestehen seit längerer Zeit Zweifel an der Datenschutzkonformität der Nutzung der Software-Produkte, die sich spätestens seit dem Schrems II-Urteil des EuGH verstärkt haben (Urteil vom 16. Juli 2020, Rs. C-311/18). Seit Jahren sprechen sich die deutschen Datenschutzbehörden gegen die Nutzung der Online-Tools aus. So kommt das Gremium der unabhängigen Datenschutzbehörden des Bundes und der Länder, der sogenannten Datenschutzkonferenz (DSK) auch in seiner diesjährigen Zwischenkonferenz vom 22. September 2022 wieder zu dem Ergebnis, dass ein rechtskonformer Einsatz des Office-Pakets Microsoft 365, das von Unternehmen, Behörden und Schulen eingesetzt wird, ohne zusätzliche technische Maßnahmen nicht in möglich ist.

 

Das Wichtigste in Kürze

  • Die DSK kommt im Rahmen ihrer Untersuchung von Microsoft 365 zu dem Ergebnis, dass ein datenschutzkonformer Einsatz nicht möglich sei.
  • Die überarbeitete Fassung des Auftragsverarbeitungsvertrages liefere weiterhin nicht die notwendige Transparenz.
  • Es sei nicht erkennbar, welche Daten von dem US-Unternehmen für eigene Zwecke verarbeitet werden bzw. verarbeitet werden können.
  • Das Ergebnis der Untersuchung der DSK stellt kein formales Verbot des Einsatzes von Microsoft 365 dar, da es sich um einen unverbindlichen Beschluss handelt.

 

Das Problem beim Einsatz von Microsoft 365

Das Problem beim Einsatz von Microsoft 365 ist seit jeher, dass im Rahmen der Nutzung eine große Menge an personenbezogenen Daten für verschiedene Zwecke verarbeitet werden und oft nicht überschaubar ist, ob und welche Datendirekt an den Softwareanbieter in den USA übermittelt werden. Seitdem der EuGH in seiner Schrems II-Entscheidung das EU-US-Privacy Shield für ungültig erklärt hat, ist eine Datenübermittlung in die USA mit dem europäischen Datenschutzrecht zudem nur noch schwer vereinbar.

 

Untersuchung der Microsoft-Onlinedienste im Jahr 2020

Die DSK hat bereits im Jahr 2020 einen Bericht veröffentlicht, in dem sie auf Basis der Ergebnisse einer von ihr durchgeführten Untersuchung der Lizenz- und Datenschutzbestimmungen der Microsoft-Onlinedienste zu dem Ergebnis kam, dass ein datenschutzkonformer Einsatz der Softwareprodukte nicht möglich ist. Bei der Untersuchung nahmen die Behörden insbesondere die Einhaltung der Anforderungen von Art. 28 DSGVO ins Visier. Art. 28 DSGVO regelt die Verarbeitung personenbezogener Daten durch einen Auftragsverarbeiter. Darunter sind z.B. Unternehmen zu verstehen, die personenbezogene Daten vom Verantwortlichen zum Zwecke der auftragsgebundenen und weisungsabhängigen Datenverarbeitung erhalten. Die DSGVO stellt an dieses Vorgehen hohe Anforderungen. Als Softwaredienstleister ist Microsoft auch ausweislich der Lizenzbedingungen Auftragsverarbeiter i.S.d. Art. 28 DSGVO. Auftraggeber ist dabei jeweils das die Dienste nutzende Unternehmen.

 

Nachprüfung aufgrund einer neuen Fassung des Auftragsverarbeitungsvertrages

Der Softwaredienstleister hat im September eine neue Version des „Microsoft Products and Services Date Protektion Addendum“, in dem unter anderem die neuen Standardvertragsklauseln der EU-Kommission übernommen wurden, veröffentlicht. Dies nahmen die Behörden zum Anlass, eine neue Bewertung von Microsoft 365 vorzunehmen.

Insbesondere hat Microsoft nähere Angaben dazu gemacht, welche Daten zu eigenen Zwecken genutzt werden. So werden beispielsweise statistische Daten, die keinen Personenbezug aufweisen, aus pseudonymisierten Daten aggregiert, um daraus anschließend Statistiken zu erstellen. Auf Inhalte von Kundendaten erfolge kein Zugriff. Zwecke, die bisher aufgezählt wurden, wie der Kampf gegen Betrug oder Cyberkriminalität, werden nicht mehr aufgeführt.

 

DSGVO-konformer Einsatz aufgrund fehlender Transparenz nicht möglich

Auch wenn Microsoft zwischenzeitlich Besserungen des Produkts im Hinblick auf den Datenschutz vorgenommen hat, sei es dem Unternehmen nicht gelungen, die DSGVO-Konformität des Produkts sicherzustellen, so die Datenschützer.

Von zentraler Bedeutung war unter anderem die Frage der Behörden, in welchen Fällen Microsoft als Auftragsverarbeiter tätig ist und wann eine eigene Verantwortlichkeit im Sinne der DSGVO vorliegt. Dies konnte im Rahmen der Zusammenarbeit mit Microsoft nicht abschließend geklärt werden.

Problematisch ist dies auch deshalb, weil Verantwortliche i.S.d. Art. 5 Abs. 2 DSGVO zur Rechenschaft verpflichtet sind. Beim Einsatz von Microsoft 365 gestaltet sich der Nachweis der Einhaltung der DSGVO-Vorgaben auch auf Grundlage des „Datenschutznachtrags“ weiterhin schwierig, da der Dienstleister nicht vollumfänglich offenlegt, welche Verarbeitungen im Einzelnen stattfinden. Die überarbeitete Fassung des Auftragsverarbeitungsvertrages liefert nach Auffassung der Datenschutzbehörden immer noch nicht die notwendige Transparenz, da nicht erkennbar ist, welche Daten von dem US-Unternehmen für eigene Zwecke verwendet werden können, sodass sich nicht prüfen lässt, ob alle Verarbeitungsschritte rechtmäßig sind.

 

Zusätzliche Maßnahmen erforderlich

Der Bundesdatenschutzbeauftragte kündigte an, dass die Datenschutzbehörden in Einzelfällen prüfen müssen, ob nicht doch ein datenschutzkonformer Einsatz möglich ist. Dies betrifft den Umgang mit Biometrie-, Diagnose und Telemetriedaten. Zudem wäre es denkbar, eine Mikrovirtualisierung oder einen Proxyserver einzusetzen, um verhindern zu können, dass die genannten Daten zu Microsoft abfließen. Jedenfalls sollte das Softwarepaket nicht ohne zusätzliche Schutzmaßnahmen auf dem Rechner genutzt werden.

 

Verantwortliche müssen ausreichende Datenschutz-Garantien prüfen

Nach der DSGVO dürfen Verantwortliche grundsätzlich nur solche Dienstleister beauftragen, die ausreichende Garantien für den Datenschutz bieten. Daher liegt es im Verantwortungsbereich des Unternehmens, dies vor dem Einsatz von Microsoft-Produkten zu prüfen. Für den Einsatz der Dienste ist zu empfehlen, die Programmeinstellungen zur Verbesserung der Benutzerfreundlichkeit zu deaktivieren und Diagnosedaten in den Einstellungen auf die Mindestmenge zu beschränken. Selbstverständlich sollten Auftragsverarbeitungsverträge unter Beachtung der neuen Standardvertragsklauseln abgeschlossen und eine Datenschutzfolgenabschätzung durchgeführt werden. Letztlich sollten sämtliche Maßnahmen umfassend dokumentiert werden, um im Falle einer behördlichen Prüfung nachweisen zu können, dass man als Verantwortlicher sämtliche Maßnahmen getroffen hat, die im Rahmen der Nutzung von Microsoft 365 möglich sind.

 

Kein formelles Verbot des Einsatzes von Microsoft 365

Der Beschluss der DSK stellt kein formales Verbot des Einsatzes von Microsoft 365 dar, da die Beschlüsse der DSK nicht rechtsverbindlich sind. Zudem handelt es sich bei er aktuellen Veröffentlichung der DSK nicht um eine vollständige Datenschutzbewertung des Cloud-Dienstes Microsoft 365, sondern lediglich um eine Bewertung der Datenschutzbestimmungen als Teil der Nutzungsverträge für Microsoft 365. Dennoch können und werden einzelne Aufsichtsbehörden der Bundesländer die Bewertung zum Anlass nehmen, um den Einsatz der Dienste intensiver zu überprüfen.

 

Ausblick

An der datenschutzrechtlichen Bewertung der Softwareprodukte durch die DSK hat sich nichts geändert. Der Einsatz von Microsoft 365 ist und bleibt damit grundsätzlich ein Risiko für Unternehmen und muss genau geprüft werden. Insoweit besteht nicht nur das Risiko einer Prüfung durch die Datenschutzbehörden, die im gravierendsten Fall mit einem empfindlichen Bußgeld enden kann. Vielmehr könnten auch Kunden des Unternehmens, das Microsoft 365-Dienste einsetzt, Betroffenenrechte geltend machen. Es ist zu erwarten, dass Bund und Länder unterschiedlich mit dem Beschluss umgehen werden. Konkrete Maßnahmen, insbesondere Sanktionen sind in nächster Zeit noch nicht zu erwarten. Vielmehr werden die Behörde zunächst in den Dialog mit den Unternehmen gehen, um gemeinsam Lösungsmöglichkeiten oder Alternativen zu erörtern. Dennoch sollten sich Verantwortliche jetzt schon mit der Thematik auseinandersetzen und auf eine datenschutzkonforme Lösung hinarbeiten, die je nach Nutzungsumfang durchaus möglich sein kann.

 

 
 
 

 

 

 

GPS-Überwachung kann im Arbeitsleben äußerst hilfreich sein, insbesondere wenn es darum geht, die Verwendung von Firmenfahrzeugen oder anderen Betriebsmitteln zu überwachen oder die Gewinne des eigenen Unternehmens zu maximieren. Jedoch sorgt der Einsatz von Ortungssystemen im Arbeitsverhältnis im Hinblick auf die datenschutzrechtliche Zulässigkeit für Bedenken. Nicht selten kommt die Besorgnis auf, dass Arbeitgeber Bewegungsdaten zu einer umfassenden Überwachung ihrer Beschäftigten einsetzen, indem beispielsweise die Fahrt- und Standortdaten von Firmenfahrzeuge sowie Daten zu den jeweiligen Aufenthaltszeiten an bestimmten Orten unbegrenzt erhoben und ausgewertet werden. Gestützt auf eine Betriebsvereinbarung, eine Einwilligung des Arbeitnehmers oder betriebliche Erfordernisse und unter Beachtung der Datenverarbeitungsgrundsätze der Datenschutzgrundverordnung (DSGVO), ist die Verarbeitung von GPS-Daten dennoch möglich.

 

Das Wichtigste in Kürze

  • Als rechtliche Grundlage für das GPS-Tracking kommt grundsätzlich eine Einwilligung, ein berechtigtes Interesse des Arbeitgebers oder die Erforderlichkeit zur Durchführung des Arbeitsverhältnisses in Betracht.
  • Dem Betriebsrat steht im Hinblick auf die Einführung von GPS-Überwachungsmaßnahmen nach § 87 Abs. 1 Nr. 6 BetrVG ein Mitbestimmungsrecht zu.
  • Eine heimliche GPS-Überwachung ist grundsätzlich unzulässig.
  • Auch bei der Verarbeitung von GPS-Daten sind die Grundsätze der Zweckbindung, Transparenz und der Datensparsamkeit ebenso wie die Informations- und Löschpflichten der DSGVO zu beachten.

 

GPS-Daten sind personenbezogene Daten im Sinne der DSGVO

GPS steht für Global Positioning System und beschreibt die globale Bestimmung der Position einer Person oder eines Gegenstandes mithilfe von Satelliten. Demnach sind unter GPS-Daten solche Daten zu verstehen, die Aufschluss über den Aufenthaltsort eines Geräts oder einer Person ermöglichen. So werden GPS-Daten spätestens dann zu personenbezogenen Daten, wenn das Gerät, dessen geografische Position lokalisiert wird, einer Person zugeordnet werden kann. Da der Aufenthaltsort generell Rückschlüsse auf das Verhalten eines Menschen ermöglicht, ist der Anwendungsbereich der DSGVO eröffnet. Selbst wenn die Zuordnung eines Geräts zu einer Person nur für einen kurzen Zeitraum möglich ist, liegt durch die Geolokalisierung und die Möglichkeit der Zuordnung ein personenbezogenes Datum vor.

 

Rechtsgrundlagen beim GPS-Tracking

Wie jede Datenverarbeitung, erfordert auch das GPS-Tracking eine Rechtsgrundlage. Diese kann in der Einwilligung der betroffenen Person, dem berechtigten Interesse des Arbeitgebers oder aufgrund der Erforderlichkeit zur Durchführung des Arbeitsverhältnisses liegen.

Auch wenn eine Einwilligung nach Art. 6 Abs. 1 S. 1 lit. a) DSGVO generell dazu geeignet ist, jede denkbare Datenverarbeitung zu legitimieren, bestehen im Arbeitsverhältnis hohe Anforderungen an ihre Abgabe. Denn aufgrund des arbeitgeberseitigen Weisungsrechts hält der Gesetzgeber es für naheliegend, dass es bei einer Einwilligung durch die Mitarbeiter an der Freiwilligkeit fehlen könnte.

Neben der Einwilligung kommt grundsätzlich auch Art. 6 Abs. 1 S. 1 lit. f) DSGVO als Grundlage in Betracht. Danach ist eine Verarbeitung personenbezogener Daten dann zulässig, wenn sie zur Wahrung der berechtigten Interessen des Arbeitgebers erforderlich ist und keine überwiegenden Interessen oder Grundrechte und Grundfreiheiten des Arbeitnehmers, die dem Schutz personenbezogener Daten dienen, entgegenstehen. Ein berechtigtes Interesse des Arbeitgebers kann etwa beim Schutz vor Diebstahl oder zum Zwecke der Optimierung von Abläufen angenommen werden. So konnten Unternehmen bisher in zulässigerweise GPS-Tracking beispielsweise dazu einsetzen, um Aufträge nach Standortnähe zu vergeben. Als unzulässig wurde demgegenüber bisher das Tracking der Fahrtrouten von Beschäftigten angesehen, das überwiegend zum Zweck der Leistungs- und Verhaltenskontrolle erfolgt.

Darüber hinaus kann eine Verarbeitung der GPS-Daten von Beschäftigten auch auf § 26 BDSG gestützt werden, wonach die Verarbeitung von Bewegungsdaten, die mithilfe von Ortungssystemen gewonnen wurden, zulässig ist, wenn dies zum Zwecke der Durchführung des Arbeitsverhältnisses erforderlich ist und eine Interessenabwägung nicht zulasten des Arbeitnehmers geht.

 

Mitbestimmungsrecht des Betriebsrats und Abschluss einer Betriebsvereinbarung

In diesem Zusammenhang sollte auch der Betriebsrat nicht außen vor gelassen werden. Diesem steht im Hinblick auf die Einführung von GPS-Überwachungsmaßnahmen nach § 87 Abs. 1 Nr. 6 BetrVG ein Mitbestimmungsrecht zu. Zudem können Betriebsrat und Arbeitgeber eine Betriebsvereinbarung zum GPS-Monitoring treffen, die als rechtliche Grundlage dient und die Umstände einer zulässigen Erhebung und Verarbeitung von Bewegungsdaten festlegt. Für den Fall, dass kein Betriebsrat vorhanden ist, kommt eine schriftliche Selbstbindungserklärung des Arbeitgebers oder ein Zusatz zum individuellen Arbeitsvertrag in Betracht.

 

Keine heimliche GPS-Überwachung

Eine heimliche GPS-Überwachung ist demgegenüber grundsätzlich unzulässig. Eine solche könnte ausnahmsweise nur dann in Betracht kommen, wenn bereits konkrete Anhaltspunkte dafür vorliegen, dass ein Beschäftigter im Rahmen des Arbeitsverhältnisses strafbare Handlungen vornimmt.

 

Art und Weise der Zeiterfassung bleibt jedoch offen

Da seitens des BAG noch keine Begründung der Entscheidung vorliegt, bleibt offen, in welcher Art und Weise die Zeiterfassung zu erfolgen hat. Diesbezüglich gab es weder in dem damaligen EuGH-Urteil noch in dem derzeitigen Beschluss des BAG Konkrete Vorgaben.

 

Beachtung der Grundsätze der Datenverarbeitung und Informationspflichten

Letztlich müssen auch im Hinblick auf die Verarbeitung von Bewegungsdaten die Datenverarbeitungsgrundsätze der DSGVO eingehalten werden. Demnach sollte die Datenverarbeitung immer zweckgebunden und nicht anlasslos erfolgen. Entsprechend dem Grundsatz der Datenminimierung sollten so wenig Daten wie möglich erhoben, verarbeitet und gespeichert werden. Schließlich sind die Informations- und Löschpflichten der DSGVO zu beachten.

 

 

Fazit

Der Erhebung und Verwertung von GPS-Daten sind sowohl durch das Arbeitsrecht als auch durch die DSGVO enge Grenzen gesetzt. Gestützt auf eine Betriebsvereinbarung, eine Einwilligung des Arbeitnehmers oder betriebliche Erfordernisse und unter Beachtung der Datenverarbeitungsgrundsätze der DSGVO, ist die Verarbeitung von GPS-Daten dennoch möglich. Sofern GPS-Tracking zur Erhebung und Verarbeitung von Bewegungsdaten der Beschäftigten eingesetzt werden soll, sind dabei zwingend die Rechte der Beschäftigten zu berücksichtigen. Diese sind im Zweifel schutzwürdiger als das Interesse des Arbeitgebers. Ansonsten könnten Arbeitgebern neben arbeitsrechtlichen Konsequenzen Sanktionen seitens der Datenschutzaufsichtsbehörden drohen.

 

 
 
 

 

 

 

Aktuell werden tausende Webseiten-Betreiber aufgrund der dynamischen Einbindung von Google Fonts auf ihren Websites abgemahnt und zur Zahlung einer Geldentschädigung in Höhe von 100 bis zu 500 Euro aufgefordert. Dabei handelt es sich bereits um die zweite Abmahnwelle in diesem Jahr. Auch diesmal sind die Abmahnungen auf das Urteil des Münchner Landgerichts vom 20. Januar 2022 (LG München I, Urteil v. 20.01.2022 – 3 O 17493/20) zurückzuführen. Demnach stünde einem Webseiten-Besucher, dessen personenbezogene Daten beim Aufrufen einer Webseite mit dynamischer Einbindung von Google Fonts, durch die ohne Einwilligung die IP-Adresse an den Google-Standort in den USA weitergeleitet wird, ein Anspruch auf Schadensersatz zu.

 

Das Wichtigste in Kürze

  • Durch eine dynamischen Einbindung von Google Fonts wird eine automatische Verbindung mit den Google-Servern hergestellt und die IP-Adresse der Webseiten-Besucher übermittelt.
  • Für die Erfassung und Übermittlung der IP-Adresse ist grundsätzlich eine Rechtsgrundlage i.S.d. DSGVO erforderlich.
  • Die Übermittlung der dynamischen IP-Adresse eines Website-Besuchers an Googles US-Standort ohne eine Einwilligung im Sinne des Art. 6 Abs. 1 lit. a) DSGVO ist unzulässig.
  • Betroffenen könnte ein Anspruch auf immateriellen Schadensersatz gem. Art. 82 DSGVO zustehen.

 

Unrechtmäßige Weitergabe personenbezogener Daten beim Einsatz von Google Fonts

Bei Google Fonts handelt es sich um ein interaktives Verzeichnis des US-amerikanischen Konzerns Google, das mittlerweile über 1.400 Schriftarten enthält, die Website-Betreibern lizenzfrei zur Verfügung gestellt werden. Betreiber binden das Verzeichnis auf ihrer Website ein, um den Besuchern den Zugriff auf die verschiedenen Schriftarten zu ermöglichen. Dabei haben sie zum einen die Möglichkeit, die Schriftarten herunterzuladen, lokal zu speichern und vom lokalen Server in den Internetauftritt einzubinden, wobei keine Verbindung zu Google-Servern aufgebaut wird. Zum anderen können die Schriften aber auch dynamisch in den Webauftritt eingebunden werden. Problematisch hierbei ist, dass der Aufruf einer Webseite im Falle einer dynamischen Einbindung von Google Fonts mit der Übermittlung personenbezogener Nutzerdaten in die USA einhergeht. Denn in der Praxis werden die Schriftarten regelmäßig auf der Webseite über einen Link eingebunden. Beim Aufruf der Webseite wird eine Verbindung zum Google-Server in den USA hergestellt und die benötigte Schriftart geladen. Mit dem Verbindungsaufbau erfolgt jedoch auch die Übermittlung der IP-Adresse des Webseiten-Besuchers an Google.

 

IP-Adressen sind personenbezogene Daten

Bereits vor einigen Jahren hat der Bundesgerichtshof bestätigt, dass es sich bei IP-Adressen um personenbezogene Daten i.S.d. DSGVO handelt. Begründet wird dies damit, dass Website-Betreiber mithilfe der IP-Adresse die abstrakte Möglichkeit haben, die dahinterstehende Person identifizieren zu lassen. Daher ist für ihre Erfassung und Übermittlung grundsätzlich eine Rechtsgrundlage erforderlich.

 

LG München: Dynamische Einbindung von Google Fonts verstößt gegen die DSGVO

Als Rechtsgrundlage kommt in diesem Fall alleine eine vorherige Einwilligung des Webseiten-Besuchers in Frage. In den meisten Fällen liegt eine Einwilligung bei der Einbindung von Google Fonts jedoch nicht vor, sodass mangels einer rechtlichen Grundlage für die Erhebung und Weitergabe der IP-Adresse ein DSGVO-Verstoß vorliegt. Dies hat auch das LG München im Januar dieses Jahres mit einem Urteil bestätigt. Ein „berechtigtes Interesse“ des Website-Betreibers im Sinne des Art. 6 Abs. 1 lit. f) DSGVO als alternative Rechtsgrundlage schloss das Landgericht in diesem Fall richtigerweise aus. Schließlich kann Google Fonts vom Webseiten-Betreiber auch lokal eingesetzt werden, wodurch eine automatische Verbindung zum Google-Server und die Übermittlung der IP-Adresse verhindert wird. Diese deutlich datensparsamere Variante ist ohne wesentlich größeren Aufwand umsetzbar.

 

Nutzer war nicht zu Verschlüsselung seiner IP-Adresse verpflichtet

Ein Mitverschulden des klagenden Website-Besuchers hat das Gericht verneint. Dieser sei nicht zur Verschlüsselung seiner IP-Adresse im Vorfeld des Website-Besuchs verpflichtet gewesen. Begründet hat das Landgericht diese Entscheidung damit, dass ein solches Verlangen dem Zweck des Datenschutzrechts natürliche Personen bei der Verarbeitung ihrer Daten vor Beeinträchtigungen zu schützen zuwiderlaufen würde.

 

100 Euro DSGVO-Schadensersatz wegen „Unwohlsein“

Neben einem Unterlassungsanspruch sprach das Gericht dem Betroffenen auch einen Anspruch auf Schadensersatz gem. Art. 82 DSGVO in Höhe von 100 Euro zu. Den Anspruch begründete das Gericht mit dem Eingriff in das allgemeine Persönlichkeitsrecht des Betroffenen, das auf dem Kontrollverlust über sein an Google übermitteltes personenbezogenes Datum beruht. Zudem rechtfertige das damit verbundene Unwohlsein des Betroffenen einen Anspruch auf Schadensersatz. Dies gelte insbesondere unter Berücksichtigung der Tatsache, dass es sich bei Google um ein Unternehmen handele, das bekanntermaßen massenweise Daten seiner Nutzer sammelt, und dass in dem konkreten Fall eine mehrmalige Übermittlung der IP-Adresse stattfand und diese unstreitig an Google-Server in den USA übermittelt wurde, obwohl dort nach aktueller Rechtslage kein angemessenes Datenschutzniveau gewährleistet ist. Auf die Frage, ob das Erreichen bzw. Überschreiten einer Erheblichkeitsschwelle notwendige Voraussetzung eines Anspruchs auf immateriellen Schadensersatz ist, kam es im hiesigen Fall nach Auffassung des Gerichts nicht an, da diese jedenfalls durch die mehrmalige Weitergabe der IP-Adresse an Google überschritten wurde.

 

Abmahnwelle wegen angeblicher DSGVO-Verstößen

Viele Unternehmen erhalten aktuell Abmahnschreiben, die unter Berufung auf die Argumentation des Münchner Landgerichts Schadensersatzforderungen enthalten. Dabei geben die Aussteller an, die Website des Empfängers besucht zu haben, wobei ihre IP-Adresse aufgrund der Einbindung von Google Fonts an Google übermittelt worden sei.

Angesichts der derzeit dem EuGH vorliegenden Vorlagefragen in Sachen UI gegen Österreichische Post AG (Rechtssache C‑300/21) und des zugehörigen Schlussantrags des Generalanwalts, der einen Schadensersatz wegen „Unwohlseins“ ablehnt, ist es völlig unklar, ob andere Gerichte der Argumentation des Münchner Landgerichts zum Geldentschädigungsanspruch zukünftig folgen werden. Zumindest anwaltliche Abmahnschreiben sollten jedoch sicherheitshalber einer juristischen Prüfung unterzogen werden. Die Ausführungen der Schreiben sind jedoch, oft lückenhaft und nicht stichhaltig, da beispielsweise u.a. die Übermittlung der IP-Adresse nachgewiesen werden müsste. Außerdem könnte es sich gegebenenfalls um rechtsmissbräuchliche Schreiben handeln, wenn diese alleine darauf zurückzuführen sind, dass die angeblich Betroffenen(eventuell sogar automatisiert mittels Web-Crawler) die Website absichtlich und ausschließlich dazu aufgerufen haben, um anschließend etwaige Zahlungsansprüche geltend zu machen..

 

 

Fazit

Das Urteil des LG München macht deutlich, dass bei einer dynamischen Einbindung von Google Fonts das Risiko einer datenschutzrechtlichen Abmahnung besteht, die in der Regel mit einer Schadensersatzforderung einhergeht. Inzwischen sehen sich viele Webseiten-Betreiber mit Abmahnungen und Schadensersatzforderungen aufgrund dieses Urteils konfrontiert. Auch wenn die zugesprochene Summe von 100 Euro auf den ersten Blick nicht empfindlich zu sein scheint, ist zu bedenken, dass grundsätzlich jedem Webseiten-Besucher ein Schadensersatzanspruch zustehen könnte. Bei einer Vielzahl von Webseitenaufrufen dürfte regelmäßig ein hoher Betrag zusammenkommen, wenn alle Betroffenen einen Schadensersatzanspruch geltend machen würden. Darüber hinaus sollte nicht außer Acht gelassen werden, dass die vom Münchner Gericht aufgestellten Grundsätze auch auf andere Schriftartendienste übertragbar sind. Aus diesem Grund ist für Unternehmen – gleich welcher Größe – nun höchste Zeit, die Einbindung von Google Fonts sowie anderen US-Webdienste auf der eigenen Website zu überprüfen, um Abmahnungen und Entschädigungsansprüche der Webseiten-Nutzer zu vermeiden. Sofern US-Webdienste wie Google Fonts eingesetzt werden sollen, muss die statische Variante des Services, bei der die Schriftarten lokal abgespeichert werden, genutzt werden. Die Alternative der Nutzereinwilligung ist bei Schriftarten regelmäßig nicht praktizierbar. Schlussendlich sollte auf eine Abmahnung in diesem Bereich jedoch keinesfalls ohne Weiteres gezahlt werden, sondern immer zunächst anwaltlicher Rat eingeholt werden.

 

 
 
 

 

 

 

Nachdem die EU-Kommission am 13. Dezember 2022 den Grundstein für einen Angemessenheitsbeschluss gelegt hat, veröffentlichte das Europäische Zentrum für digitale Rechte „None of your business“ (kurz: Noyb) noch am selben Tag ein Statement zum Entwurf des Angemessenheitsbeschlusses. Der aktuelle Beschlussentwurf, in dem die EU-Kommission den USA ein angemessenes Datenschutzniveau bescheinigt, stellt bereits den dritten Versuch dar, den transatlantischen Datentransfer rechtssicher zu gestalten.

 

Das Wichtigste in Kürze

  • Laut Noyb würde ein Angemessenheitsbeschluss nach derzeitigen Entwurf einer Überprüfung durch den EuGH nicht standhalten, da dieser sich auf die US-Executive Order vom Oktober 2022 stütze.
  • Diese Executive Order werde den Anforderungen des EuGH nicht gerecht, da sie keine wesentlichen Änderungen zur bisherigen Rechtslage vorsehe und die Massenüberwachung durch die US-Geheimdienste nicht unterbinde.
  • Der Datenschutzaktivist und Gründer von „Noyb“ Maximilian Schrems hat eine detaillierte Prüfung des Entwurfs angekündigt. Schrems brachte durch seine Klagen bereits die beiden vorhergehenden Versuche zur Regelung des transatlantischen Datenverkehrs mit den USA vor dem EuGH zu Fall.

 

Beachtung des Verhältnismäßigkeitsgrundsatzes und Möglichkeit eines wirksamen Rechtsbehelfs

Die neue Angemessenheitsentscheidung soll den Privacy Shield ersetzen, der vor zweieinhalb Jahren vom EuGH für ungültig erklärt wurde. In seinem „Schrems II“-Urteil kritisierte der EuGH, dass die Überwachungsmaßnahmen der US-Geheimdienste entsprechend Art. 52 Charta der Grundrechte (GrCh) auf ein verhältnismäßiges Maß reduziert werden müsse und entsprechend Art. 47 GrCh ein Rechtsbehelfsmechanismus geschaffen werden müsse, bevor den USA ein angemessenes Datenschutzniveau attestiert werden könne.

 

„Noyb“ schließt „Schrems III“ nicht aus

Maximilian Schrems äußerte bereits unmittelbar nach Veröffentlichung der US-Executive Order im Oktober 2022 Bedenken im Hinblick auf eine Nachfolgelösung. Und auch unmittelbar nach Veröffentlichung des Entwurfs eines Angemessenheitsbeschlusses der EU-Kommission reagiert Schrems skeptisch. Nach Auffassung des Datenschützers sei das Ergebnis der Verhandlungen über einen multilateralen Vertrag zur Gewährleistung eines einheitlichen Datenschutzniveaus noch nicht zufriedenstellend. Schrems hat angekündigt, den Entwurf einer detaillierten Prüfung zu unterziehen, jedoch zeige bereits eine oberflächliche Betrachtung, dass ein Angemessenheitsbeschluss nach derzeitigen Entwurf einer Überprüfung des EuGH nicht standhalten werde, da dieser sich auf die bereits begutachtete Executive Order stütze. Sollte der Angemessenheitsbeschluss nach dem Entwurf entlassen werden, könnte es bereits das dritte EU-US-Abkommen sein, das vor dem EuGH scheitert.

 

Vorgesehene Maßnahmen sind nicht ausreichend

Der im Oktober veröffentlichte Präsidialerlass, der die Grundlage des aktuellen Entwurfs bildet, wird nach Auffassung des Datenschützers den Anforderungen des EuGH nicht gerecht, da er keine wesentlichen Änderungen zur bisherigen Rechtslage vorsehe und die Massenüberwachung durch die US-Geheimdienste nicht unterbinde. Kritisch sei auch, dass der Beschlussentwurf auf einer Executive Order des US-Präsidenten gründet. Dabei handele es sich zwar um eine für die Exekutive bindende Verwaltungsanordnung. Allerdings könne diese jederzeit vom US-Präsidenten geändert werden.

 

Problem der Massenüberwachung besteht weiterhin

Trotz Zusicherung seitens der US-Regierung, die Überwachungsmaßnahmen unter Beachtung des Verhältnismäßigkeitsgrundsatzes auf ein notwendiges Maß zu beschränken, so wie es den Grundprinzipien des EU-Rechts entspricht, seien kaum Anzeichen dafür vorhanden, dass die Überwachungspraxis rechtlich und faktisch eingeschränkt werde. Im Detail moniert „Noyb“, dass die US-Regierung in der Durchführungsverordnung von Oktober sogar klargestellt habe, dass Daten aus der EU, die an US-Dienstleister übermittelt werden, weiterhin durch US-Überwachungsprogramme wie PRISM oder Upstream laufen werden, obwohl das Vorgehen bereits in zwei Urteilen (Schrems I, Schrems II) für unrechtmäßig erklärt wurde. Zwar haben sich die Regierungen darauf geeinigt, dass die Überwachungspraxis in Zukunft auf ein „verhältnismäßiges“ Maß beschränkt werde. Jedoch hätten sie es versäumt, das europäische Verständnis über die rechtliche Bedeutung dieses Begriffs zugrunde zu legen. Nur dann könne man davon ausgehen, dass die USA auch tatsächlich die Massenüberwachung grundlegend einschränken würde.

 

Effektivität der Rechtsbehelfe nicht gewährleistet

Im Hinblick auf den Grundsatz des Rechtsbehelfs, der von der EU-Grundrechtecharta (GrCh) in Art. 47 gefordert wird, sei in der Executive Order zwar ein sog. US Data Protection Review Court vorgesehen. Jedoch sei laut „Noyb“ überaus fraglich, ob diese als Gericht bezeichnete Stelle den Anforderungen des Art. 47 GrCh gerecht werde. Trotz der Bezeichnung als Gericht handele es sich im rechtlichen Sinne lediglich um eine Stelle der Exekutive, womit das System mehr ein Äquivalent zur früheren Ombudsstelle darstelle als ein echtes Gericht.

 

 

Ausblick

Der Entscheidungsentwurf befindet sich nun im Annahmeverfahren. Zunächst wird der Europäische Datenschutzausschuss (EDSA) den Entwurf überprüfen und Stellung nehmen. Sollte der EDSA zu einem ähnlichen Ergebnis wie die Datenschutzorganisation kommen, ist dies jedoch unerheblich, da negative Stellungnahmen des EDSA und der EU-Mitgliedstaaten für die EU-Kommission nicht bindend sind. Obgleich es durchaus einige nachvollziehbare Kritikpunkte gibt, stellt der Entwurf angesichts der seit Jahren herrschenden Rechtsunsicherheit für eine Vielzahl von EU- und US-Unternehmen eine begrüßenswerte Entwicklung in Richtung einer verlässlichen Lösung dar. Nun bleibt zunächst abzuwarten, ob der Entwurf in den nächsten Monaten in seiner jetzigen Fassung verabschiedet wird.

 

 
 
 

 

 

 

Immer mehr Gerichte müssen sich mit DSGVO-Schadensersatzansprüchen auseinandersetzen. Vor allem solchen, die aufgrund von immateriellen Schäden geltend gemacht werden. So hatte sich auch das Landgericht Köln (Urteil vom 28.09.2022, Az. O 21/22) kürzlich mit einer Klage auf Zahlung eines Schmerzensgeldes wegen eines DSGVO-Verstoßes zu befassen. Im zu entscheidenden Fall wurden im Rahmen einer Vertragsabwicklung personenbezogene Daten des Betroffenen an dessen Arbeitgeber weitergeleitet. Das Gericht sprach dem Betroffenen eine Entschädigung von 4.000 EUR zu..

 

Das Wichtigste in Kürze

  • Die Übersendung einer E-Mail mit Vertragsdaten an den unbeteiligten Vorgesetzten des Betroffenen stellt einen gravierenden Datenschutzverstoß dar.
  • Der Schmerzensgeldanspruch folgt aus einem Verstoß gegen Art. 6 Abs. 1 DSGVO.
  • Durch die unberechtigte Weitergabe der Vertragsdaten liegt im konkreten Fall sowohl ein gravierender DSGVO-Verstoß als auch ein erheblicher und damit ersatzpflichtiger Schaden vor.
  • Das beklagte Unternehmen muss sich als Verantwortlicher den Datenschutzverstoß des handelnden Verkäufers zurechnen lassen.

 

PKW-Kauf bei einem Konkurrenten des Arbeitgebers

Der Betroffene erwarb vom beklagten Unternehmen, das u.a. im Verkauf von PKW- und Bankprodukten tätig ist, einen Pkw für den Privatgebrauch. Dabei handelte es sich um ein Konkurrenzunternehmen des Arbeitgebers des Betroffenen. Die Kommunikationsabwicklung lief auf Wunsch des Betroffenen über sein geschäftliches E-Mail-Postfach. Nachdem es Probleme mit der Finanzierung des PKW gab, weil Unterlagen zu Nebeneinkünften des Betroffenen fehlten, wurde er schriftlich zur Vervollständigung aufgefordert. Der Betroffene reagierte hierauf jedoch erst nach seiner Urlaubsrückkehr. In der Zwischenzeit kontaktierte der Verkaufsberater bereits den Vorgesetzten des Betroffenen per E-Mail, um diesen dazu zu bringen, auf die Vertragserfüllung durch seinen Arbeitnehmer einzuwirken. Dies war mit erheblichen Unannehmlichkeiten für den Kläger verbunden, insbesondere weil er das Auto bei einem Konkurrenzunternehmen seines Arbeitgebers erwarb. Der Betroffene machte daraufhin gerichtlich ein Schmerzensgeld in Höhe von mind. 100.000 EUR geltend.

 

Datenschutzverstoß durch die Weitergabe personenbezogener Daten eines Vertragspartners an dessen Vorgesetzten

Das LG Köln teilte die Ansicht des Klägers, wonach die Übersendung der E-Mail an den Vorgesetzten des Käufers einen gravierenden Datenschutzverstoß darstellt, sodass dem Betroffenen gegen die Beklagte als Verantwortliche i.S.d. DSGVO, ein Anspruch auf Zahlung eines immateriellen Schadensersatzes aus Art. 82 DSGVO zusteht. Der Schmerzensgeldanspruch folgt aus einem Verstoß des Angestellten der Verantwortlichen gegen Art. 6 Abs. 1 DSGVO. Dadurch, dass der Verkäufer die streitgegenständliche E-Mail an den Arbeitgeber des Betroffenen versendete, lag eine Verarbeitung personenbezogener Daten des Betroffenen vor.

Eine Verarbeitung im Sinne der DSGVO kann grundsätzlich durch jede Verwendung, daher auch die Offenlegung durch Übermittlung, Verbreitung oder jede andere Form der Bereitstellung vorliegen. Da es für die Offenlegung des Vertragsverhältnisses zwischen der Verantwortlichen und dem Betroffenen gegenüber dem Vorgesetzten des Betroffenen keinen Grund gab und somit keine Rechtsgrundlage i.S.d. Art. 6 Abs. 1 DSGVO, war die Datenverarbeitung unrechtmäßig.

Insbesondere war die Offenlegung nicht für die Erfüllung des Vertrages mit dem Betroffenen erforderlich (Art. 6 Abs. 1 lit. b) DSGVO). Dies hätte einen unmittelbaren Zusammenhang zwischen der Verarbeitung und dem konkreten Zweck des Vertragsverhältnisses vorausgesetzt, der in diesem Fall nicht gegeben war. Der Betroffene schloss den Vertrag zu privaten Zwecken ab, ohne jegliche Miteinbeziehung seines Vorgesetzten, der im Übrigen auch nicht für die private Lebensführung des Betroffenen verantwortlich ist. Vielmehr hätte dem Handelnden klar sein müssen, dass die Offenlegung der Geschäftsbeziehung zu einem Konkurrenzunternehmen für den Betroffenen mit Unannehmlichkeiten verbunden sein könnte, die sich auf die Vertragsdurchführung negativ auswirken dürfte. Zu erwähnen ist weiterhin, dass es sich bei den offengelegten Vertragsinformationen zwar um keine sensiblen und höchstpersönlichen Daten des Betroffenen handelte, das Gericht allerdings aufgrund der Umstände ein Geheimhaltungsinteresse des Betroffenen annahm.

 

Datenschutzverstoß stellt entschädigungspflichtigen Schaden dar

Den Anspruch begründete das Gericht zum einen bereits mit dem schwerwiegenden Datenschutzverstoß. Zum anderen mit der dadurch bedingten Persönlichkeitsrechtsverletzung des Klägers sowie dem Kontrollverlust im Hinblick auf seine Daten. Die Weitergabe seiner Daten an seinen Arbeitgeber sei für diesen peinlich gewesen und mit erheblichen Unannehmlichkeiten verbunden. Der Betroffene sah sich infolgedessen genötigt, sich bei seinem Arbeitgeber für den Autokauf beim Konkurrenten rechtfertigen zu müssen.

 

Schadensersatz in Höhe von 4.000 EUR angemessen und erforderlich

Die unberechtigte Datenweitergabe rechtfertigt nach Auffassung des Gerichts ein Schmerzensgeld in Höhe von 4.000 EUR. Das Urteil bleibt damit hinter der beantragten Summer von mindestens 100.000 EUR deutlich zurück. Der Betroffene konnte die von ihm behaupteten Folgen des Datenschutzverstoßes nicht in vollem Umfang zur vollen Überzeugung des Gerichts darlegen. Insbesondere im Hinblick auf die behauptete Zerrüttung des Arbeitsverhältnisses sowie die Behauptung einer erlittenen Depression. Bei der Bemessung der Schmerzensgeldhöhe wurden darüber hinaus folgende Punkte berücksichtigt:

  • Der Autohändler unterschrieb eine strafbewehrte Unterlassungserklärung und entschuldigte sich beim Betroffenen.
  • Das Erreichen einer abschreckenden Wirkung entsprechend dem Sinn und Zweck des Art. 82 DSGVO, der in erster Linie der Kompensation des tatsächlich entstandenen Schadens dient, und nicht der Pönalisierung.
  • Die finanzielle Situation des beklagten Unternehmens, da der Betroffene nur Ansprüche gegen das Unternehmen geltend machte und nicht gegen den Verkäufer.
  • Da keine Angaben zu der finanziellen Situation des beklagten Unternehmens gemacht wurden, konnte sich das Gericht bei der Bestimmung der Höhe nicht an einem potenziellen Bußgeld orientieren, das von der Aufsichtsbehörde noch verhängt werden könnte.

 

Haftung des Autohauses für den Datenschutzverstoß des Mitarbeiters

Das beklagte Unternehmen muss sich als Verantwortlicher den Datenschutzverstoß des handelnden Verkäufers zurechnen lassen. Eine Exkulpationsmöglichkeit nach Art. 82 Abs. 3 DSGVO war nicht ersichtlich. Auch die Tatsache, dass sich das Unternehmen darauf beruft, der Angestellte habe bei der Datenweitergabe keine Schädigungsabsicht gehabt, war in dem zu entscheidenden Fall unerheblich, da das Verschulden keine Voraussetzung des Anspruchs aus Art. 82 DSGVO ist.

 

 

Fazit

Es herrscht weiterhin Uneinigkeit darüber, ob bereits jeder DSGVO-Verstoß einen ersatzfähigen Schaden darstellt bzw. wie erheblich ein Schaden infolge eines DSGVO-Verstoßes sein muss, um einen Schmerzensgeldanspruch aus Art. 82 DSGVO begründen zu können. Daher wurde diese Frage bereits vor einiger Zeit dem EuGH zur Vorabentscheidung vorgelegt. Der zuständige EuGH-Generalanwalt hat kürzlich seine Schlussanträge in der Sache (Rs. C-300/21) vorgestellt, die für weitere Diskussionen gesorgt haben. Darin vertritt er die Auffassung, dass nicht bereits der bloße Unmut über einen DSGVO-Verstoß einen Schadensersatzanspruch nach Art. 82 DSGVO auslöse. Der EuGH muss diese Einschätzung zwar nicht teilen, allerdings folgen die Richter in über 80 Prozent der Fälle den Schlussanträgen der Generalanwälte. Daher kann eine entsprechende Entscheidung nicht ausgeschlossen werden. Doch selbst unter Berücksichtigung der in vielen Punkten konturlosen Ausführungen des Generalanwalts war im vorliegenden Fall offenkundig sowohl ein erheblicher Datenschutzverstoß als auch ein Schaden, der über bloßen Ärger hinausgeht, und damit eine Bagatellgrenze überschreitet, gegeben. Auch die zugesprochene Höhe von 4.000 EUR zeigt, welche Auswirkungen Datenschutzverletzungen haben können. Das Urteil unterstreicht die zunehmende Bedeutung von DSGVO-Schadensersatzansprüchen in der Praxis.

 

 
 
 

 

 

 

Bereits im Juni des vergangenen Jahres veröffentlichte die EU-Kommission neue Standarddatenschutzklauseln (Standard Contractual Clauses, kurz: SCC) für internationale Datentransfers, die spätestens bis zum 27. Dezember 2022 auch bei Bestandsübermittlungen übernommen werden müssen. Daraus ergeben sich einige Konsequenzen für europäische Unternehmen, vor allem diejenigen, die auf US-Dienste zugreifen. Nicht nur, dass die Altverträge unwirksam werden. Vielmehr müssen Unternehmen in naher Zukunft mit behördlichen Prüfungen der internationalen Datentransfers rechnen. In diesem Zusammenhang weisen die deutschen Datenschutzbehörden kurz vor Ablauf der Altverträge darauf hin, dass Übermittlungen personenbezogener Daten an Unternehmen in Drittstaaten oder internationale Organisationen ohne geeignete Garantien durch behördliche Anordnungen unterbunden werden können und Sanktionen nicht ausgeschlossen sind.

 

Das Wichtigste in Kürze

  • Die Übermittlung personenbezogener Daten ins EU-Ausland, wie insbesondere der USA, wird in der Praxis häufig auf Standarddatenschutzklauseln gem. Art. 46 Abs. 2 lit. c) DSGVO gestützt.
  • Die EU-Kommission hat am 04. Juni 2021 neue Standarddatenschutzklauseln verabschiedet.
  • Die Verwendung alter Standardvertragsklauseln ist seit dem 27. September 2021 unzulässig.
  • Altverträge müssen bis zum 27. Dezember 2022 angepasst bzw. erneuert werden.

 

Datentransfer in Drittländer ohne Angemessenheitsbeschluss

Da sich Unternehmen im EU-Ausland außerhalb des Geltungsbereichs der DSGVO befinden, sind sie grundsätzlich nur an ihr nationales Recht gebunden. Da dieses in den meisten Fällen das europäische Datenschutzniveau unterschreitet, können für den Datentransfer europäischer Unternehmen in Drittstaaten, für die kein Angemessenheitsbeschluss vorliegt, sogenannte Standarddatenschutzklauseln gem. Art. 46 Abs. 2 lit. c) DSGVO verwendet werden. Bei den Standarddatenschutzklauseln handelt es sich um Vertragsmuster, die von der Europäischen Kommission verabschiedet wurden. Diese ermöglichen eine vertragliche Vereinbarung über die Einhaltung des europäischen Datenschutzstandards zwischen Datenexporteuren und -importeuren. Werden SCC verwendet, so bedarf die Übermittlung personenbezogener Daten in Drittstaaten oder an internationale Organisationen keiner weiteren aufsichtsbehördlichen Genehmigung.

 

Erfordernis neuer Standarddatenschutzklauseln

In seiner bahnbrechenden Schrems II-Entscheidung hat der EuGH (Rechtssache C‑311/18) nicht nur das EU-US-Privacy Shield für ungültig erklärt. Vielmehr hat er auch im Hinblick auf die Verwendung von Standarddatenschutzklauseln die Anforderungen an den Drittlandsdatentransfer unter Berücksichtigung der Art. 44 ff. DSGVO verschärft. Die neuen SCC der EU-Kommission werden den Vorgaben des Urteils insoweit gerecht als sie einen strengeren Maßstab angemessene und geeignete Garantien sowie erforderliche Rechtsbehelfe vorsehen, um sicherzustellen, dass Datenempfänger einen ausreichenden Schutz europäischer Daten im Drittland gewährleisten.

 

Ablauf der alten Standardvertragsklauseln am 27. Dezember 2022

Mit der Verabschiedung der neuen Standarddatenschutzklauseln durch die EU-Kommission am 04. Juni 2021 wurde die alte Fassung der Standardvertragsklauseln für Verantwortliche aus dem Jahr 2001 und der Standardvertragsklauseln für Auftragsverarbeiter aus dem Jahr 2010 ersetzt. Aufgrund des hohen Organisationsaufwandes, der mit der Umstellung der alten Verträge einhergeht, sah der Durchführungsbeschluss der Kommission eine stufenweise Ablösung der alten Klauseln vor. Zunächst wurde festgelegt, dass die Verwendung alter Standardvertragsklauseln spätestens ab dem 27. September 2021 unzulässig ist. Seit diesem Zeitpunkt dürfen Verträge nur noch auf Grundlage der neuen Muster der Standardvertragsklauseln abgeschlossen werden. Für Verträge, die noch vor dem 27. September 2022 auf Grundlage der alten Muster geschlossen wurden, hat die Kommission einen angemessenen Übergangszeitraum zur Umstellung auf die neuen SCC vorgesehen. Dieser endet am 27. Dezember 2022. Bis zu diesem Zeitpunkt müssen sämtliche Altverträge umgestellt werden.

 

Modularer Aufbau der neuen SCC

Die neuen SCC sind modular aufgebaut. Verantwortliche und Auftragsverarbeiter können zusätzlich zu den allgemeinen Klauseln das für ihre Situation passende Modul auswählen. Die Module können für folgende Datentransferkonstellationen verwendet werden:

  • Modul 1: Verantwortlicher an Verantwortlicher
  • Modul 2: Verantwortlicher an Auftragsverarbeiter
  • Modul 3: Auftragsverarbeiter an (Unter-)Auftragsverarbeiter
  • Modul 4: Rückübermittlung des in der EU-ansässigen Auftragsverarbeiters an einen Verantwortlichen im Drittland

Die SCC werden grundsätzlich zwischen dem jeweiligen Datenexporteur und dem Datenimporteur abgeschlossen. Zudem besteht die Möglichkeit, den Vertrag als Mehrparteienvertrag zu gestalten. In diesem Fall ist darauf zu achten, dass sämtliche Datenflüsse zwischen den Vertragsparteien genau und transparent beschrieben sind.

Daneben enthalten die neuen SCC zusätzliche Verpflichtungen für Unternehmen im Hinblick auf den Umgang mit behördlichen Anfragen (Klausel 15 der neuen SCC), umfassende Haftungsregelungen und Dokumentationspflichten (Klauseln 14.d, 15.1.d und 15.2.b) sowie die Pflicht zur Durchführung einer Risikobewertung für den Datentransfer.

Die in den neuen SCC verankerte Prüfung der Rechtsvorschriften und -praktiken im Drittland muss beachtet werden, sodass der Datenexporteur im Vorfeld die Rechtslage und -praxis des Drittlands prüfen muss.

Gegebenenfalls ist er zur Ergreifung zusätzlicher Schutzmaßnahmen verpflichtet. Mit den Empfehlungen 01/2020 veröffentlichte der Europäische Datenschutzausschuss eine Hilfestellung mit praktischen Beispielen für zusätzliche Schutzmaßnahmen.

Im ungünstigsten Fall könnte er verpflichtet sein, von der Übermittlung ganz Abstand zu nehmen.

 

Überprüfung und Erneuerung der Verträge ist erforderlich

Auch wenn grundsätzlich die Möglichkeit der Anpassung alter Verträge besteht, ist es ratsam, neue Verträge mit den neuen Standarddatenschutzklauseln abzuschließen. Die Prüfung und Anpassung der Altverträge ist in den meisten Fällen mit größerem Aufwand verbunden und die alten und neuen Verträge unterscheiden sich auch in ihrem Aufbau.

Um bösen Überraschungen im Falle einer aufsichtsbehördlichen Kontrolle vorzubeugen, sollten spätestens jetzt einige Maßnahmen ergriffen werden:

  • Neue SCC, die bereits abgeschlossen wurden, sollten in das Verarbeitungsverzeichnis aufgenommen werden.
  • Altverträge sollten daraufhin untersucht werden, ob bzw. welche Datenübermittlungen in Drittländer ohne gültigen Angemessenheitsbeschluss stattfinden.
  • Anhand bestehender Verträge ist zu ermitteln, welche Konstellationen von Datenübermittlungen gegeben sind und welche Module der neuen Standardvertragsklauseln anzuwenden sind.
  • Ansonsten sollten Vertragspartner schnellstmöglich zwecks Abschluss neuer Verträge kontaktiert werden.
  • Schließlich muss überprüft werden, ob der Datenempfänger im Drittland durch nationales Recht gezwungen sein könnte, gegen die Standardvertragsklauseln zu verstoßen (sog. Transfer Impact Assessment, kurz: TIA).

 

Europäischen Unternehmen stehen aufsichtsbehördliche Prüfungen bevor

Es ist zu erwarten, dass die deutschen Behörden in den nächsten Monaten länderübergreifend koordinierte Prüfungen internationaler Datentransfers starten werden, wie sie es auch schon in der Vergangenheit im Nachgang der Schrems-II-Entscheidung des EuGH taten. Dabei wurden zahlreiche Unternehmen mithilfe eines Fragenkatalogs zur Auskunftserteilung aufgefordert.

In diesem Zusammenhang haben bereits einige deutsche Datenschutzbehörden angedeutet, dass die Aufsichtsbehörden die Aussetzung solcher Datentransfers anordnen werden, die eine Übermittlung personenbezogener Daten in Drittländer zum Gegenstand haben, ohne dass dafür geeignete Datenschutzgarantien vorliegen. In einem solchen Fall ist auch die Verhängung eines Bußgeldes nicht ausgeschlossen.

Darüber hinaus sind weiterhin die vom EuGH im Schrems II-Urteil entwickelten zusätzlichen Anforderungen an die Verwendung von Standardvertragsklauseln zu beachten. Insofern hat der Datenexporteur auch bei der Verwendung der neuen Klauseln die Rechtslage des Drittlands zu prüfen und zu entscheiden, ob nicht zusätzliche Maßnahmen des Datenschutzes ergriffen werden müssen oder die Übermittlung nicht sogar eingestellt werden muss.

 

 

Fazit

Die neuen SCC haben das Ziel europäischen Unternehmen eine rechtskonforme und ungehinderte Übermittlung personenbezogener Daten in Drittländer ermöglichen. Völlige Rechtssicherheit kann jedoch auch mit ihnen regelmäßig nicht erlangt werden. Mit Blick auf das bevorstehende Fristende ist Verantwortlichen und Auftragsverarbeitern, die personenbezogene Daten in das außereuropäische Ausland übermitteln, dringend zu raten, bestehende Verträge zu überprüfen, ggf. anzupassen oder durch neue zu ersetzen, soweit dies noch nicht erfolgt ist.

 

„>

 
 
 

 

 

 

Im vergangenen Jahr erhielten viele Webseitenbetreiber Abmahnschreiben aufgrund der dynamischen Einbindung von Google Fonts. Auslöser der Abmahnwelle war ein Urteil des LG München I (Urteil v. 20.01.2022, Az. 3 O 17493/20), in dem einem Webseitenbesucher ein Anspruch auf DSGVO-Schadensersatz in Höhe von 100 Euro zugesprochen wurde (Mehr dazu lesen Sie hier.). Sowohl eine Vielzahl an Privatpersonen als auch Abmahnkanzleien haben sich die Argumentation des Urteils zu eigen gemacht, um Schadensersatz einzufordern. Einer der Hauptabmahner war Medienberichten zufolge der Rechtsanwalt Kilian Lenard, der im Auftrag eines Mandanten massenhaft Abmahnungen an Webseitenbetreiber versendete und diese zur Kasse bat – und zwar mit großem Erfolg. Ein recht unscheinbares Urteil, das noch im vergangenen Jahr ergangen ist, könnte der Abmahnwelle nun ein Ende bereitet haben. Das Amtsgericht Charlottenburg hat den Schadensersatzanspruch eines betroffenen Webseiten-Besuchers wegen der Verwendung von Google Fonts auf einer von ihm besuchten Webseite verneint (Urteil v. 20.12.2022, Az. 217 C 64/22).

 

Das Wichtigste in Kürze

  • Bei der dynamischen Einbindung von Google Fonts auf einer Website erfolgt eine Übermittlung der IP-Adresse der Webseitenbesucher an Google-Server in den USA.
  • Dies verstößt regelmäßig gegen die DSGVO.
  • Betroffenen steht daher generell ein Anspruch auf Schadensersatz zu.
  • Das AG Charlottenburg hat den Schadensersatzanspruch eines Massenabmahners als unbegründet abgelehnt und damit möglicherweise das Ende einer Abmahnwelle eingeläutet.
  • Das AG hielt auch den Einwand des Rechtsmissbrauchs nicht für ausgeschlossen. Auf diesen kam es aber letztlich nicht an.

 

Hintergrund

Das Landgericht München hat im vergangenen Jahr mit Urteil die Betreiberin einer Webseite für die dynamische Einbindung von Google Fonts auf ihrer Webseite neben Unterlassung zu einem Schadensersatz in Höhe von 100 Euro verurteilt.

 

Problem der dynamischen Einbindung von Google Fonts

Bei der dynamischen Einbindung von Google Fonts erfolgt eine Übertragung der IP-Adresse des jeweiligen Webseitenbesuchers an Google-Server in den USA. Dies geschieht regelmäßig ohne das Wissen des Webseitenbesuchers. Darin liegt ein Verstoß gegen die DSGVO. Da es sich bei der IP-Adresse um ein personenbezogenes Datum im Sinne der DSGVO handelt, ist für die Rechtmäßigkeit ihrer Verarbeitung grundsätzlich eine Rechtsgrundlage erforderlich. In der Praxis liegt regelmäßig weder eine datenschutzkonforme Einwilligung des Webseitenbesuchers vor, noch kann sich der Webseitenbetreiber auf ein berechtigtes Interesse i.S.d. Art. 6 Abs. 1 S. 1 lit. f) DSGVO berufen, da es an der Erforderlichkeit der Datenverarbeitung fehlt. Denn schließlich kann die Datenverarbeitung durch eine lokale Einbindung der Schriften unterbunden werden.

 

AG Charlottenburg: Kein Anspruch auf Schadensersatz

Auch im Fall, den das Amtsgericht Charlottenburg zu entscheiden hatte, ging es um ein Abmahnschreiben des Rechtsanwalts Lenard im Auftrag von Martin Ismail. Darin wurde ein Webseitenbetreiber unter Androhung eines Gerichtsverfahrens zur Zahlung von 170,00 Euro aufgefordert. Konkret ging es um einen DSGVO-Schadensersatzanspruch wegen der vermeintlichen Verletzung des Persönlichkeitsrechts des Abmahnenden aufgrund einer fehlerhaften Einbindung von Google Fonts auf einer Webseite, die er zuvor besucht haben soll. Nachdem die Webseitenbetreiber das Forderungsschreiben der Kanzlei Lenard erhalten hatten, wollten sie gerichtlich festgestellt haben, dass der behauptete Anspruch nicht besteht. Das AG Charlottenburg bestätigte in einem recht kurzen Urteil, dass dem Abmahner kein Anspruch auf Zahlung von 170,00 Euro zusteht. Und zwar weder aus der DSGVO noch aus einer anderen Anspruchsgrundlage.

 

Betroffenen steht grundsätzlich ein Recht auf Schadensersatz zu

Da die DSGVO dem Schutz natürlicher Personen bei der Verarbeitung ihrer personenbezogenen Daten dient, sind Betroffene nach Art. 82 DSGVO generell berechtigt Schadensersatzansprüche geltend zu machen, wenn es zu Datenschutzverstößen bei der Verarbeitung ihrer personenbezogenen Daten kommt. Dies gilt allerdings nicht, wenn der Zweck des Anspruchs allein darin besteht, sich eine Einnahmequelle zu verschaffen, wie es vorliegend durch den Versand unzähliger Forderungsschreiben praktiziert wurde. So schloss auch das Amtsgericht Charlottenburg im zu entscheidenden Fall ein rechtsmissbräuchliches Vorgehen der Abmahner nicht aus.

 

Anspruch wurde nicht hinreichend begründet

Vor allem die Bedürfnisse von kleinen und mittleren Unternehmen werden berücksichtigt, indem durch die Verhaltensregel Prozesse und Vertragsinhalte vorgegeben werden. Dies schafft zugleich mehr Transparenz, da für Auftraggeber bereits im Vorfeld auf einen Blick ersichtlich ist, was sie erwartet.

 

Reduzierung des Verwaltungsaufwands

Schließlich lag es auf der Hand, dass das streitgegenständliche Forderungsschreiben Teil der Google-Fonts-Abmahnwelle ist, bei der die Abmahnungen im Wesentlichen von zwei Anwaltskanzleien an eine Vielzahl von Webseitenbetreibern versandt wurden. Es drängte sich der fachkundigen Öffentlichkeit schnell auf, dass für die Akteure nicht die Kompensation für die Verletzung des Persönlichkeitsrechts, sondern vielmehr die Erzielung von Gewinnen, im Vordergrund stand. Auf den wohl rechtsmissbräuchlichen Charakter der Forderung kam es im zu entscheidenden Fall allerdings schon gar nicht an, da es nach Auffassung des Gerichts bereits an einem nachvollziehbaren Vortrag des Beklagten sowohl hinsichtlich der schädigenden Handlung als auch der Höhe des begehrten Schadensersatzes mangelte. Welche Anforderungen das Gericht an einen solchen Vortrag stellt, hat es in seinem Urteil nicht ausgeführt. Insoweit hätte der Abmahner jedenfalls näher darlegen müssen, dass er die betreffende Webseite tatsächlich selbst aufgesucht hat und konkrete Tatsachen zur Begründung der Schadensersatzhöhe vorlegen müssen. Dieser war interessanterweise höher beziffert als der vom LG München zugesprochene Schadensersatz im oben angesprochenen Verfahren.

 

Ermittlungen der Generalstaatsanwaltschaft Berlin gegen Massenabmahner

Mittlerweile hat die Berliner Generalstaatsanwaltschaft Ermittlungen gegen Rechtsanwalt Lenard und seinen Mandanten Ismail aufgenommen. Den beiden wird gewerbsmäßiger Betrug und Erpressung in über 2000 Fällen vorgeworfen. Im Zuge der Durchsuchung konnte die Staatsanwaltschaft eine Gesamtsumme von 346.000 Euro beschlagnahmen.

 

Gezielter und automatisierter Aufruf von Webseiten, die Google Fonts verwenden

Die Generalstaatsanwaltschaft sah sich zu den Ermittlungen veranlasst, weil die betreffenden Webseiten entgegen der Behauptung des Anwalts nicht von seinem Mandanten besucht worden sein sollen. Die Beschuldigten sollen mithilfe eines eigens dafür programmierten Webcrawlers zunächst Webseiten, die Google-Fonts dynamisch einbinden, identifiziert und diese anschließend automatisiert aufgerufen haben. Da es sich bei einem solchen Webcrawler um keine reale Person handelt, ist der Anwendungsbereich der DSGVO bereits nicht eröffnet. Mangels einer Verletzung des Persönlichkeitsrechts lagen daher die Voraussetzungen der geltend gemachten Schmerzensgeldforderungen nicht vor, was den Beschuldigten bewusst gewesen sein soll.

 

 

Ausblick

Auch wenn der Schadensersatzanspruch im vorliegenden Fall versagt wurde, kommt ein solcher im Falle einer dynamischen Einbindung von Google Fonts generell in Betracht. Das Risiko einer datenschutzrechtlichen Abmahnung wird durch das Urteil somit nicht beseitigt. Dennoch ist die Entscheidung des AG Charlottenburg von gewisser Praxisrelevanz, da es das Ende der Abmahnwelle einläuten könnte. Webseitenbetreiber sollten nichtsdestotrotz zur lokalen Einbindung von Google Fonts wechseln, um Datenschutzverstöße und eine r damit zusammenhängenden Inanspruchnahme zu vermeiden. Alternativ wäre die Einholung einer Einwilligung der Webseitenbesucher erforderlich. Dies ist bei der Verwendung von Schriftarten jedoch regelmäßig nicht praktizierbar. Im Falle des Erhalts einer Abmahnung kann schließlich nur dazu geraten werden, diese anwaltlich überprüfen zu lassen, um weitere Risiken vermeiden zu können.

 

„>

 
 
 

 

 

 

Auch im datenschutzrechtlichen Bereich zeigt sich die immense wirtschaftliche Bedeutung des Outsourcings. Auftragsverarbeitungen nach Art. 28 DSGVO sind für viele Unternehmen bei einer Vielzahl von Dienstleistungen der Standard. Nur in seltenen Fällen übernehmen Unternehmen die gesamten Prozesse rund um die Verarbeitung personenbezogener Daten, die im Rahmen der Unternehmungsführung anfallen, vollständig alleine. Die DSGVO enthält viele komplexe Regelungen und Verpflichtungen für die Verarbeitung personenbezogener Daten durch externe Dienstleister, sodass es den Beteiligten in der Praxis oftmals schwerfällt, die Vorgaben ordnungsgemäß zu erfüllen. Erfreulicherweise hat der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg noch im letzten Jahr, kurz vor Ende seiner Amtszeit, die nationale Verhaltensregel „Trusted Data Processor“ genehmigt. Diese bietet Unternehmen fortan Unterstützung bei der Anwendung der Datenschutz-Grundverordnung im Rahmen der Auftragsverarbeitung und sorgt für mehr Transparenz.

 

Das Wichtigste in Kürze

  • Der LfDI BW genehmigte die Verhaltensregel „Trusted Data Processor“.
  • Die Verhaltensregel schafft Rechtssicherheit und vereinfacht die Umsetzung der Anforderungen der DSGVO in der Praxis.
  • Unternehmen haben die Möglichkeit, sich durch eine Selbstverpflichtung auf die Verhaltensregel zertifizieren zu lassen.

 

Auftragsverarbeitung für viele Unternehmen unverzichtbar

Unternehmen greifen regelmäßig auf Dienstleister zurück, die in ihrem Auftrag weisungsgebunden personenbezogene Daten verarbeiten – sogenannte Auftragsverarbeiter im Sinne des Art. 4 Nr. 8 DSGVO. Findet eine solche Auftragsverarbeitung statt, sieht die DSGVO in Art. 28 sowohl für den Auftraggeber als auch für den Auftragnehmer einige Anforderungen vor, die zwingend eingehalten werden müssen (Mehr dazu finden Sie hier.). Hierdurch soll gewährleistet werden, dass die Datenverarbeitung auch unter Einsatz eines Auftragsverarbeiters den Vorgaben der DSGVO genügt. Grundlage einer Auftragsverarbeitung ist grundsätzlich der Abschluss eines Auftragsverarbeitungsvertrages, der den Anforderungen der DSGVO entspricht.

Jedoch ist es für Auftraggeber trotz Abschluss eines entsprechenden Vertrages oftmals nicht immer nachvollziehbar, ob und inwiefern die Auftragsverarbeiter der vertraglichen Vereinbarung Folge leisten und ihren Pflichten aus der DSGVO nachkommen.

 

Neue Verhaltensregel „Trusted Data Professor“

Nun soll die vom Landesbeauftragten für Datenschutz und Informationsfreiheit Baden-Württemberg (LfDI BW) genehmigte Verhaltensregel „Anforderungen an die Auftragsverarbeiter nach Artikel 28 DSGVO – Trusted Data Processor“ für mehr Transparenz und Rechtssicherheit sorgen. Dabei liegt der Schwerpunkt insbesondere auf der Ausgestaltung von Geschäftsprozessen. Die eigentlichen Leistungsprozesse der Auftragsverarbeiter bleiben dabei unberührt. Ausgehend von praktischen Erfahrungen beschreibt diese Verhaltensregel, wie die Zusammenarbeit zwischen Auftraggeber und Auftragnehmer konkret organisiert und vor allem vereinfacht werden soll. Die Tatsache, dass die Verhaltensregel auf einer langjährigen fachlichen Vorarbeit des Berufsverbands der Datenschutzbeauftragten Deutschlands e.V. (BvD) und der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD) basiert, spiegelt die Komplexität der Anforderungen, die an eine solche Verhaltensregel gestellt werden, wider.

 

Genehmigte Regel bringt viele Vorteile für alle Beteiligten

Bei der neuen Verhaltensregel handelt es sich im Grunde um eine Konkretisierung der Anforderungen aus der DSGVO, die es den Beteiligten leichter machen sollen, die Vorgaben der DSGVO umzusetzen und diese Umsetzung zu überwachen. Durch Standardisierung von Prozessen ermöglicht sie zudem, die Zusammenarbeit zwischen Auftraggeber und Auftragnehmer kosteneffizienter zu gestalten. Darüber hinaus schafft die aufsichtsbehördliche Genehmigung in der Regel mehr Rechtssicherheit.

 

Zertifizierungsmöglichkeit für Auftragsverarbeiter

Auftragsverarbeiter haben fortan die Möglichkeit, einen Antrag auf Selbstverpflichtung zu stellen und sich entsprechend zertifizieren zu lassen. Dies ist über die Internetseite der Datenschutz Zertifizierungsgesellschaft mbH (kurz: DSZ) möglich. Diese wurde im Zuge der Anerkennung der Verhaltensregel als offizielle Überwachungsstelle akkreditiert. Die DSZ übernimmt die Kontrolle der Einhaltung der Verhaltensregel durch die verpflichteten Auftragsverarbeiter sowie die Bearbeitung von Beschwerden. Der Auftragsverarbeiter erhält im Rahmen der Zertifizierung ein entsprechendes Zeichen, mit dem er nach außen hin kommunizieren kann, dass er nach den Vorgaben der Verhaltensregel „Trusted Data Processor“ arbeitet (sog. TDA-Zeichen).

Der vollständige Wortlaut der Verhaltensregel findet sich auf der Webseite des DSZ unter: https://www.verhaltensregel.eu/wp-content/uploads/2022/11/Verhaltensregel_Trusted_Data_Processor_V1.pdf.

 

Mehr Transparenz für Auftraggeber

Vor allem die Bedürfnisse von kleinen und mittleren Unternehmen werden berücksichtigt, indem durch die Verhaltensregel Prozesse und Vertragsinhalte vorgegeben werden. Dies schafft zugleich mehr Transparenz, da für Auftraggeber bereits im Vorfeld auf einen Blick ersichtlich ist, was sie erwartet.

 

Reduzierung des Verwaltungsaufwands

Ein weiterer wesentlicher Vorteil aus Sicht eines Auftraggebers ist die Reduzierung des Verwaltungsaufwandes, der mit dem Einsatz eines Auftragsverarbeiters verbunden ist. Denn grundsätzlich ist der Auftraggeber als Verantwortlicher i.S.d. DSGVO verpflichtet zu überprüfen, dass der Auftragsverarbeiter den Pflichten aus der DSGVO vollumfänglich nachkommt. Dies hat er gegebenenfalls durch regelmäßige Kontrollen sicherzustellen. Kommt der Auftraggeber seinen Kontrollpflichten nicht nach, können ihm sowohl behördliche Bußgelder als auch Schadensersatzansprüche seiner eigenen Kunden oder Geschäftspartner drohen, da er den Schutz ihrer personenbezogenen Daten vernachlässigt hat.

 

Entlastungsmöglichkeit im Falle aufsichtsbehördlicher Kontrollen und Überwachung der Auftragsverarbeiter durch unabhängige Überwachungsstelle

Durch die Selbstverpflichtung des Auftragsverarbeiters können Auftraggeber nun zukünftig sicherstellen, dass ihre Auftragnehmer den datenschutzrechtlichen Pflichten vollumfänglich nachkommen und sich im Falle einer aufsichtsbehördlichen Kontrolle entlasten. Die Einhaltung der Selbstverpflichtung wird durch die DSZ als unabhängige Überwachungsstelle sichergestellt. Zwar entbindet eine solche Verhaltensregel den Auftraggeber nicht von seinen Pflichten als Verantwortlicher, jedoch kann er bis zu einem gewissen Grad darauf vertrauen, dass der Auftragsverarbeiter sich auch tatsächlich den Verhaltensregeln unterwirft, auf die er sich verpflichtet hat.

Besonders hervorzuheben ist ferner, dass durch die Selbstverpflichtung des Auftragsverarbeiters auch die Einhaltung der gesetzlichen Vorgaben beim Drittlanddatentransfer durch die Überwachungsstelle überprüft wird.

Kommt es im Rahmen der Auftragsverarbeitung zu einer Datenpanne (bspw. durch einen Hackerangriff), wirkt sich die Selbstverpflichtung zudem positiv auf potenzielle aufsichtsbehördliche Sanktionsmaßnahmen aus.

 

Kostensenkung und Zeitersparnis durch standardisierte Prozesse

Letztlich hat die Selbstverpflichtung ein Kostensenkungspotenzial, da die Beauftragung eines Dienstleisters zum Zwecke der Datenverarbeitung stets den Abschluss eines Auftragsverarbeitungsvertrages erfordert, der im Laufe der Geschäftsbeziehung oft angepasst werden muss und dessen Einhaltung einer regelmäßigen Prüfung bedarf. Werden von einem Unternehmen zeitlich mehrere Auftragsverarbeiter beauftragt, müssen jeweils gesonderte Auftragsverarbeitungsverträge abgeschlossen werden. Dies ist nicht nur zeit-, sondern auch kostenintensiv. Durch den Rückgriff auf Auftragsverarbeiter, die sich auf die Einhaltung der Verhaltensregel verpflichtet haben, kann eine erhebliche Kostensenkung und Zeitersparnis erreicht werden, da sämtliche Prozesse standardisiert vorgegeben sind und eine eigene Überwachungsstelle vorhanden ist.

 

 

Fazit

Nicht wenigen Unternehmen haben Schwierigkeiten mit der praktischen Umsetzung der Vielzahl an Regeln und Verpflichtungen, die die DSGVO an den Umgang mit personenbezogenen Daten stellt. Insoweit bildet die Verhaltensregel „Trusted Data Processor“ eine willkommene Hilfestellung für die Umsetzung der gesetzlichen Vorgaben im Bereich der Auftragsverarbeitung, da mit ihrer Hilfe die teilweise sehr abstrakten Regelungen der DSGVO bereichsspezifisch präzisiert und konkretisiert werden können. Dies erleichtert nicht nur die Anwendbarkeit der DSGVO in der Praxis, sondern sorgt auch für mehr Rechtssicherheit für alle Beteiligten. Zwar ist auch die Umsetzung der neuen Regel komplex und mit einem nicht unerheblichen Zeitaufwand verbunden. Langfristig gesehen können jedoch alle an der Auftragsverarbeitung Beteiligten von einer Selbstverpflichtung des Auftragsverarbeiters profitieren, da sie nicht nur viel Zeit, sondern auch Kosten einsparen. Auftragsverarbeiter ihrerseits können sich durch eine entsprechende Selbstverpflichtung von Wettbewerbern abheben und bei wachsender Sensibilisierung für den Datenschutz neue Kunden gewinnen.

 

„>

 
 
 

 

 

 

Nach fast eineinhalb Jahren Verhandlung hat die EU-Kommission am 13. Dezember 2022 den Entwurf eines Angemessenheitsbeschlusses für den EU-US-Datenschutzrahmen veröffentlicht. Dieser zielt darauf ab, einen sicheren Datenverkehr zwischen der EU und den USA zu fördern und die datenschutzrechtlichen Bedenken auszuräumen, die seit dem Schrems II-Urteil des EuGH bestehen. Wenn der Beschluss in den kommenden Monaten in dieser Form verabschiedet werden sollte, könnten Unternehmen auf Grundlage dieses EU-US-Privacy Framework einfacher und rechtssicher personenbezogene Daten aus der EU in den USA verarbeiten.

 

Das Wichtigste in Kürze

  • Die EU-Kommission kommt zu dem Ergebnis, dass in den USA ein angemessenes Datenschutzniveau nach Art. 45 DSGVO gewährleistet ist.
  • US-Unternehmen, die personenbezogene Daten aus der EU verarbeiten wollen, müssen sich künftig bei der US-Handelsaufsicht registrieren lassen und sich detaillierten Datenschutzpflichten unterwerfen.
  • EU-Bürgern werden verschiedene Rechtsbehelfsmöglichkeiten zur Verfügung gestellt.
  • Nach Abschluss des Annahmeverfahrens kann die EU-Kommission den Angemessenheitsbeschluss endgültig annehmen. Mit einer Verabschiedung dürfte jedoch frühestens im ersten Quartal 2023 zu rechnen sein.

 

Hintergrund

Jede Verarbeitung personenbezogener Daten in der EU unterliegt der Datenschutzgrundverordnung (DSGVO). Sollen personenbezogene Daten aus der EU anschließend im EU-Ausland verarbeitet werden, müssen dort zunächst geeignete Garantien zum Schutz personenbezogener Daten vorhanden sein. Stellt die EU-Kommission im Rahmen einer Prüfung fest, dass im Zielland ein der EU vergleichbares Datenschutzniveau herrscht, kann sie einen Angemessenheitsbeschluss erlassen, auf den sich Unternehmen und andere Organisationen beim Datentransfer stützen können. Im Hinblick auf den EU-US Datentransfer herrschte bisher Rechtsunsicherheit, da es umstritten war, ob in den USA ein der EU-vergleichbares Datenschutzniveau eingehalten werden kann. So erklärte der EuGH bereits die beiden Vorgänger des neuen Angemessenheitsbeschlusses „Safe Harbor“ und „EU-US Privacy Shield“ für ungültig.

 

Langer Weg bis zum aktuellen Entwurf

Nachdem EU und USA seit dem Schrems II-Urteil des EuGH an einer Nachfolgelösung gearbeitet haben, kündigte die EU-Kommission im Frühjahr 2022 den Erlass eines neuen Angemessenheitsbeschlusses bis Ende des Jahres an (Wir berichteten hier.). Schließlich erließ der US-Präsident im Oktober eine Executive Order und ebnete damit der EU-Kommission den Weg für die Verabschiedung eines neuen Angemessenheitsbeschlusses für den EU-US-Datenaustausch.

 

US-Unternehmen müssen sich zur Einhaltung des Schutzniveaus der EU verpflichten

Nun hat die EU-Kommission endlich den Entwurf eines Angemessenheitsbeschlusses veröffentlicht. In seinem Entwurf, der insgesamt 134 Seiten umfasst, berücksichtigt die Kommission die durchgeführte Bewertung des US-Rechtsrahmens und kommt letztlich zu dem Ergebnis, dass dieser ein angemessenes Datenschutzniveau nach Art. 45 DSGVO biete. Im neuen Entwurf ist vorgesehen, dass US-Unternehmen, die personenbezogene Daten aus der EU auf Grundlage des EU-US Privacy Frameworks verarbeiten wollen, sich bei der Handelsaufsicht FTC (Federal Trade Commission) registrieren lassen und detaillierten Datenschutzpflichten unterwerfen müssen. Dazu gehört etwa die Pflicht zur Löschung personenbezogener Daten, nach Wegfall des relevanten Zwecks, für den sie erhoben wurden. Im Falle von Verstößen gegen die Selbstverpflichtung wäre die FTC als Aufsichtsbehörde berechtigt, diese zu sanktionieren. Die Kommission stellte im Entwurf insbesondere fest, dass die neuen Beschränkungen der Executive Order für US-Überwachungsprogramme den EU-Standards entsprechen, indem bei der Datenverarbeitung darauf geachtet wird, dass sie notwendig und verhältnismäßig sein muss. Darüber hinaus verweist die EU-Kommission auf zahlreiche Schreiben von diversen US-Stellen, wie unter anderem der Chefin der US-Handelsaufsicht, des Justizministeriums und des Nachrichtendienstes, aus denen die Zusicherung zur Einhaltung des europäischen Datenschutzniveaus hervorgeht. Weiterhin sollen EU-Bürgern im Falle der Verletzung ihrer Datenschutzrechte verschiedene Rechtsbehelfsmöglichkeiten (u. a. ein unentgeltliches Streitbeilegungsverfahren und eine unabhängige Schiedsstelle) offen stehen.

 

Das Annahmeverfahren – der weitere Weg bis zum Angemessenheitsbeschluss

Der Entwurf befindet sich nun im ersten Schritt des Annahmeverfahrens. Zunächst hat der Europäische Datenschutzausschuss die Möglichkeit zur Abgabe einer Stellungnahme. Zudem müssen die Mitgliedstaaten und die europäischen Datenschutzaufsichtsbehörden zum Entwurf Stellung nehmen. Ein Einspruchsrecht steht den europäischen Datenschutzbehörden jedoch nicht zu. Anders sieht es beim Europaparlament aus. Dieses hat ein Mitberatungsrecht und kann im Rahmen eines Einspruchsverfahren gegen den Entwurf vorgehen. Dies ist allerdings nicht zu erwarten. Nach Abschluss des Verfahrens kann die EU-Kommission den Angemessenheitsbeschluss endgültig annehmen. Mit einer Verabschiedung dürfte frühestens in einigen Monaten zu rechnen sein.

 

 

Ausblick

Insbesondere im Hinblick auf die aktuell vorherrschende Problematik bei der Inanspruchnahme von US-amerikanischen Dienstleistern durch deutsche Unternehmen könnte der neue Angemessenheitsbeschluss Rechtssicherheit schaffen. Aus diesem Grund sind europäische Unternehmen über die Entwicklungen sehr erfreut und hoffen auf eine zeitnahe Verabschiedung des Angemessenheitsbeschlusses. Doch auch US-Unternehmen, die ihre Dienste in der EU anbieten, haben Grund zur Freude. Würde der Angemessenheitsbeschluss nach diesem Entwurf verabschiedet, würde er diesen den Markt in der EU eröffnen. Datenschützer betrachten jedoch auch diesen Entwurf teilweise eher kritisch. Allen voran Datenschutzaktivist Max Schrems und seine NGO „noyb“, die bereits die Vorgängervereinbarungen (Safe Harbor und Privacy Shield) vor dem Europäischen Gerichtshof zu Fall brachten und noch vor Veröffentlichung angekündigt haben, den neuen Entwurf des Angemessenheitsbeschlusses zu prüfen und gegebenenfalls auch gegen diesen vorgehen zu wollen. Schrems vertritt die Ansicht, dass der Entwurf einer Anfechtung vor Gericht nicht standhalten wird, wenn er sich auf die Executive Order stützt. Wie lange ein neuer Angemessenheitsbeschluss folglich in Kraft bleiben wird und ob die Gerichte ihn stützen, bleibt abzuwarten. Zunächst werden Unternehmen ihre EU-US-Datentransfers jedenfalls auf den neuen Angemessenheitsbeschluss stützen können, sofern er tatsächlich verabschiedet wird. Bis zur endgültigen Verabschiedung gilt jedoch auch weiterhin, dass im Falle des transatlantischen Datentransfers geeignete alternative Maßnahmen getroffen werden müssen, wie zum Beispiel der Abschluss von Verträgen unter Berücksichtigung der neuen Standardvertragsklauseln (Wir berichteten hier.).

 

„>

 
 
 

 

 

 

Der Einsatz von Smartphones und Messengerdiensten, wie beispielsweise Whatsapp, ist im beruflichen Umfeld häufig nicht mehr wegzudenken. In einigen Branchen wird ein internetfähiges Mobiltelefon als Teil der Grundausstattung angesehen, das Arbeitnehmern oftmals vom Unternehmen zur Verfügung gestellt wird. Unter Umständen kann dieses auch privat genutzt werden. Doch auch wenn ein Diensthandy mit der Option einer privaten Nutzung sowohl für Unternehmen als auch für die Beschäftigten einige Vorteile bietet, müssen zuvor die rechtlichen Rahmenbedingungen dafür geschaffen werden. Dabei sind insbesondere verschiedene Aspekte des Datenschutzes und der Datensicherheit zu berücksichtigen. Dies wird jedoch häufig vernachlässigt oder nur unzureichend umgesetzt. Erst im vergangenen Jahr hat das Mannheimer Arbeitsgericht einen Arbeitgeber zur Zahlung eines DSGVO-Schadensersatzes in Höhe von 7.500 EUR verurteilt, weil der Arbeitgeber die Whatsapp-Kommunikation eines Beschäftigten auf einem sowohl dienstlich als auch privat genutzten Geschäftshandy ausgewertet hat (ArbG Mannheim Urt. v. 20.5.2021 – 14 Ca 135/20).

 

Das Wichtigste in Kürze

  • Die Auswertung von Whatsapp-Nachrichten auf einem Diensthandy durch den Arbeitgeber kann einen Verstoß gegen § 26 BDSG darstellen.
  • Gemäß § 26 BDSG dürfen personenbezogene Daten Beschäftigter nur verarbeitet werden, wenn dies zum Zwecke des Beschäftigungsverhältnisses erforderlich ist.
  • Fehlt es an einer organisatorischen Anordnung des Arbeitgebers hinsichtlich einer Trennung von privater und beruflicher Kommunikation, darf der Arbeitnehmer berechtigterweise ein Mindestmaß an Privatsphäre erwarten.
  • Im Hinblick auf die Auswertung und Verwertung von (auch) privaten Whatsapp-Nachrichten steht dem Arbeitnehmer ein Anspruch auf Schadensersatz nach Art. 82 DSGVO zu.

 

Hintergrund

In dem zu entscheidenden Rechtsstreit ging es um eine außerordentliche und vorsorgliche ordentliche Arbeitgeberkündigung eines Arbeitnehmers, der unternehmensinterne Informationen und Betriebsgeheimnisse über E-Mail und Whatsapp-Nachrichten an Dritte weitergab. Der Arbeitgeber trug vor, dass der Beschäftigte sich dadurch pflicht- und vertragswidrig verhalten habe und zog zur Untermauerung der ausgesprochenen Kündigung die sich auf dem Diensthandy befindliche private Whatsapp-Korrespondenz des Beschäftigten heran.

 

Verstoß gegen § 26 BDSG mangels Regelung der privaten Nutzung des Diensthandys

Das Gericht stellte fest, dass der Arbeitgeber in die Whatsapp-Kommunikation des Arbeitnehmers auf einem sowohl dienstlich als auch privat genutzten Smartphone unter Verstoß gegen geltendes Datenschutzrecht Einsicht genommen und die Kommunikation ausgewertet hat. Dieses Vorgehen ist nicht durch Art. 6 DSGVO i.V.m. § 26 BDSG zu rechtfertigen.

Gemäß § 26 BDSG dürfen personenbezogene Daten Beschäftigter verarbeitet werden, wenn dies zum Zwecke des Beschäftigungsverhältnisses erforderlich ist. Dies gilt auch für die Beendigung des Beschäftigungsverhältnisses. Jedoch stellt die Auswertung der Whatsapp-Kommunikation eines Arbeitnehmers durch den Arbeitgeber auf einem sowohl dienstlich als auch privat genutzten Dienstgerät einen Verstoß gegen § 26 BDSG dar, wenn sie nicht zur Wahrung legitimer Interessen des Arbeitgebers, insbesondere zur Aufklärung des Verdachts einer schwerwiegenden Pflichtverletzung, erforderlich und verhältnismäßig ist.

Das Gericht führte im vorliegenden Fall aus, dass es im konkreten Fall andere Möglichkeiten gab, die geringer in das Persönlichkeitsrecht des Arbeitnehmers eingegriffen hätten, sodass der Eingriff in die Privatsphäre des Arbeitnehmers durch den Arbeitgeber in Ergebnis unverhältnismäßig war. Alternativ und als milderes Mittel hätte dem Arbeitnehmer etwa die Auswertung des Handys vorab bekannt gegeben werden können, sodass er die Möglichkeit gehabt hätte, zuvor einen Rechtsanwalt zur Vertretung seiner Interessen heranzuziehen.

 

Verwertungsverbot bezüglich der gesamten Auswertung sowohl dienstlicher als auch privater Nachrichten

Ein solcher Eingriff in die Privatsphäre des Arbeitnehmers zieht nach Auffassung des Gerichts ein Sachvortragsverwertungsverbot bezüglich sämtlicher im Prozess vorgetragener Ergebnisse der Auswertung sowohl dienstlicher als auch privater Nachrichten nach sich. Trotz dienstlichen Bezugs der Kommunikation handelte es sich bei den Äußerungen im Großen und Ganzen um einen Gedankenaustausch im privaten Rahmen. Da es an einer organisatorischen Anordnung des Arbeitgebers hinsichtlich einer Trennung von privater und beruflicher Kommunikation fehlte, durfte der Arbeitnehmer berechtigterweise ein Mindestmaß an Privatsphäre erwarten. Daher wäre auch eine Auswertung der Kommunikation mithilfe von Schlüsselbegriffen unzulässig gewesen.

 

Ungutes Gefühl des Arbeitnehmers als immaterieller Schaden i.S.d. Art. 82 DSGVO

Im Hinblick auf die Auswertung der Whatsapp-Kommunikation des Arbeitnehmers und der Verwertung der (unter anderem auch) privaten Whatsapp-Nachrichten im Verfahren steht dem Arbeitnehmer ein Anspruch auf Ersatz des immateriellen Schadens nach Art. 82 DSGVO zu. Den Schaden begründet das Gericht im Wesentlichen mit einem unguten Gefühl des Arbeitnehmers, das aus dem Vertrauensverlust zu seinem Arbeitgeber resultiere.

Für einen Anspruch nach Art. 82 DSGVO sei es gerade nicht erforderlich, dass es sich um eine schwerwiegende Persönlichkeitsrechtsverletzung handelt, so das Gericht. Aus diesem Grund könne ein immaterieller Schaden bereits in dem unguten Gefühl liegen, dass Unbefugte Kenntnis von den personenbezogenen Daten erlangt haben und nicht ausgeschlossen werden kann, dass die Daten unerlaubt weiterverwendet werden.

 

Schadensersatz in Höhe eines Bruttomonatsentgelts

Bei der Berechnung der Höhe des Schadensersatzes hat das Gericht einerseits die Persönlichkeitsrechtsverletzung zulasten des Arbeitnehmers durch die Auswertung und Verwertung der (auch) privaten Nachrichten berücksichtigt. Andererseits, dass der Arbeitgeber nur solche Whatsapp-Korrespondenz in den Prozess eingeführt hat, die einen Bezug zum Arbeitsverhältnis aufweist. Jedoch wurde auch die Tatsache, dass der Arbeitnehmer Informationen über seinen Arbeitgeber in nicht berechtigterweise an Dritte weitergegeben hat, nicht außer Acht gelassen. Angesichts dessen erschien dem Gericht ein Schadensersatz in Höhe eines Bruttomonatsgehalts als angemessen.

 

Reichweite des DSGVO-Schadensersatzes ist umstritten

Ob ein „ungutes Gefühl“ bzw. ein Kontrollverlust zur Begründung eines immateriellen Schadensersatzes ausreichend ist, bleibt insgesamt abzuwarten. Die Rechtsprechung zum immateriellen Schadensersatz nach Art. 82 DSGVO ist bislang noch uneinheitlich und unklar. In dem derzeit beim EuGH anhängigen Vorabentscheidungsverfahren wegen Schadensersatzansprüchen aus DSGVO-Verstößen der österreichischen Post AG ist die Frage, ob bereits der bloß abstrakte Verstoß gegen die DSGVO einen immateriellen Schaden des Betroffenen darstellt, wesentliches Thema. Der EuGH-Generalanwalt vertritt dabei in seinem Schlussantrag die Auffassung, dass ein Anspruch auf Schadensersatz nach Art. 82 DSGVO einen tatsächlich erlittenen materiellen oder immateriellen Schaden voraussetzt. Die bloße Verärgerung über eine Pflichtverletzung des Verantwortlichen oder der Kontrollverlust des Betroffenen über seine Daten wäre demnach nicht ausreichend, um einen Schadensersatzanspruch zu begründen.

Der hier geschilderte Fall dürfte aufgrund der Bedeutung von privater Kommunikation und der Tatsache, dass die Kenntnis des Arbeitgebers einen direkten Bezug zum Arbeitnehmer darstellt zwar möglicherweise anders liegen, als in dem beim EuGH liegenden Fall. Nichtsdestotrotz stellt auch hier das Arbeitsgericht primär auf ein ungutes Gefühl des Arbeitnehmers und der DSGVO-widrigen Verarbeitung an sich ab. Aufgrund der grundsätzlichen Bedeutung dieser Frage wurde die Berufung zum Landesarbeitsgericht im Hinblick auf den Schadensersatzanspruch auch gesondert zugelassen.

 

 

Ausblick

Das Urteil macht deutlich, dass die Option einer privaten Nutzung von Smartphones, die vom Unternehmen zur Verfügung gestellt werden, nicht nur Vorteile mit sich bringt und klare Regeln und technische Vorkehrungen erfordert. Sofern man den eigenen Arbeitnehmern dennoch die Möglichkeit eröffnen möchte, dienstliche Geräte auch privat zu nutzen, sollte man hierfür zunächst besonders unter Beachtung datenschutzrechtlicher Aspekte die Rahmenbedingungen schaffen. In Betracht kommt etwa eine technische Trennung der privaten Daten mittels einer Containerlösung. Der Organisationsaufwand, der in diesem Zusammenhang zur Gewährleistung von Datenschutz und Datensicherheit erforderlich ist, sollte nicht unterschätzt werden und reduziert die vermeintlichen Vorteile gegebenenfalls wieder deutlich. Im Zweifel sollte daher auf eine gemischte Nutzung von Dienstgeräten verzichtet werden.

 

Call Now ButtonKontakt aufnehmen