Schlagwort: Datenschutzhinweise

Betroffenenrechte im Meldeverfahren

Betroffenenrechte im Meldeverfahren

Hinweisgeberschutz versus Datenschutz: Einschränkungen der Betroffenenrechte im Meldeverfahren

Kernidee des neuen Hinweisgeberverfahrens in der internen Meldestelle ist die Wahrung der Vertraulichkeit. Die Identität der hinweisgebenden Person und der Person, über die eine Meldung gemacht wird, sollen nur der Meldestelle bekannt werden. Dieses Prinzip kollidiert an einigen Stellen mit den Leitlinien des Datenschutzes. Denn grundsätzlich ist die Erhebung und Speicherung von personenbezogenen Daten ohne Wissen des Betroffenen nur unter hohen Anforderungen rechtmäßig. Deshalb müssen die Prozesse in der internen Meldestelle datenschutzrechtlich genau geprüft werden.

 

Datenschutzfolgeabschätzung bei Einrichtung der internen Meldestelle

In der internen Meldestelle kommen zahlreiche personenbezogene Daten zusammen, beispielsweise über den Hinweisgeber, aber auch über Personen im Unternehmen und entsprechende Sachverhalte. Im Sinne der Vertraulichkeit müssen diese Daten besonders geschützt werden. Die Verarbeitung beruht auf der Rechtsgrundlage des § 10 HinSchG. Hier wird ausdrücklich erlaubt, dass auch besondere Kategorien personenbezogener Daten verarbeitet werden, also solche, die Auskunft geben etwa über Geschlecht, Religionszugehörigkeit, Gesundheit oder politischer Gesinnung. Allerdings sind dann spezifische und angemessene Maßnahmen zur Wahrung der Interessen der betroffenen Person vorzunehmen. Der Verweis auf § 22 Abs. 2 S. 2 BDSG bedeutet, dass entsprechende technische und organisatorische Maßnahmen den Schutz der personenbezogenen Daten gewährleisten müssen. Die hohen Risiken für die Betroffenen, deren personenbezogene Daten verarbeitet werden, müssen also entsprechend berücksichtigt werden bei der Gestaltung des Meldeprozesses. Die Risiken sollten erkannt, bewertet und bestenfalls eingedämmt werden.

Hierfür ist eine Datenschutzfolgeabschätzung im Vorfeld ratsam, um spätere Bußgelder zu vermeiden. Um die Betroffenenrechte im Meldeverfahren sicherzustellen, raten die Aufsichtsbehörden ebenfalls dazu, bei der Einrichtung einer internen Meldestelle eine DSFA nach Art. 35 DSGVO durchzuführen.

 

Betroffenenrechte: Informationspflicht, Auskunftsanspruch, Anspruch auf Löschung

Grundsätzlich gewährt die DSGVO dem Betroffenen Ansprüche auf Information darüber, dass seine personenbezogenen Daten verarbeitet werden (Art. 14 Abs. 1 DSGVO), eine Auskunft über die Herkunft der Daten (Art. 15 I lit g) DSGVO) und einen Anspruch auf die Löschung der Daten (Art. 17 Abs. 1 DSGVO). Diese Ansprüche werden im Meldeverfahren teilweise zugunsten des Hinweisgeberschutzes ausgehebelt.

 

Informationspflicht Art. 14 Abs. 1 DSGVO

Geht bei der internen Meldestelle ein Hinweis ein, in dem personenbezogene Daten eines Beschäftigten an die Meldestelle weitergegeben werden, müsste der Betreiber der Meldestelle dies an den betroffenen Beschäftigten melden, gem. Art. 14 Abs. 1 DSGVO. Das würde aber dem Vertraulichkeitsgebot des § 8 HinSchG widersprechen. Zudem könnte es auch unmöglich machen, dass die Meldung ordentlich bearbeitet werden kann, da der Betroffene womöglich Beweise vernichtet oder auf andere Weise die Aufklärung des Vorfalles verhindert.  Deshalb erlaubt Art. 14 Abs. 5 lit b) DSGVO eine Ausnahme: Die Information, dass seine personenbezogenen Daten verarbeitet werden, kann dem Beschäftigten vorenthalten werden, wenn sie „voraussichtlich die Verwirklichung der Ziele dieser Verarbeitung unmöglich macht oder ernsthaft beeinträchtigt“. Solange also zu befürchten ist, dass die Meldung nicht zielführend bearbeiten werden könnte, muss der Betroffene nicht informiert werden. Wenn dieser Grund aber wegfällt, greift wieder die Aufklärungspflicht aus der DSGVO. Beispielsweise, weil der Beschäftigungsgeber mit dem Betroffenen über die Vorwürfe gesprochen hat.

 

Auskunftsanspruch aus Art. 15 Abs. 1 lit g) DSGVO

Werden personenbezogene Daten verarbeitet, die nicht beim Betroffenen erhoben wurden, so kann der Betroffene Auskunft über die Herkunft der Daten verlangen. Er hat grundsätzlich das Recht, zu wissen, woher die Daten über ihn stammen. Die Offenlegung würde aber den Hinweisgeber entlarven und damit dem Prinzip der Vertraulichkeit im Hinweisgeberschutzgesetz zuwiderlaufen. Dieser Interessenskonflikt wird über § 29 Abs. 1 S.2 BDSG aufgelöst, der die Auskunftspflicht ausnahmsweise ablehnt, wenn eine Rechtsvorschrift dem entgegensteht wegen überwiegenden Interessen Dritter. Eine solche Rechtsvorschrift findet sich in § 8 HinSchG, der die Vertraulichkeit der hinweisgebenden Person höher gewichtet als den Auskunftsanspruch des Betroffenen. Andernfalls wäre der Hinweisgeber immer in Gefahr, dass seine Identität preisgegeben wird, wenn er eine Meldung macht, bei denen Personen eines Betriebes benannt werden.

 

Anspruch auf die Löschung der Daten Art. 17 Abs. 1 DSGVO

Der Betroffene kann seinen Anspruch auf Löschung seiner personenbezogenen Daten in der Meldestelle nicht durchsetzen, solange eine Verarbeitung seiner Daten noch stattfindet. Dies ergibt sich aus Art. 17 Abs. 1 a) DSGVO. Alle Informationen über das Meldeverfahren, und damit auch die von der Meldung betroffenen personenbezogenen Daten, müssen darüber hinaus 3 Jahre aufbewahrt werden (vgl. § 11 Ab. 5 HinSchG). Solange läuft der Anspruch des Betroffenen auf Löschung ins Leere.

 

Rechtsanwalt Robert Harzewski

Benennung der Empfänger

Benennung der Empfänger

Bei der Information Betroffener sind nach Art. 13 Abs. 1 lit. e DSGVO die Empfänger der personenbezogenen Daten anzugeben. Die gleiche Verpflichtung trifft Verantwortliche im Rahmen der Beantwortung einer Auskunft, Art. 15 Abs. 1 lit. c DSGVO. Stattdessen soll nach dem Wortlaut der Verordnung auch die Möglichkeit bestehen, nur die Kategorien von Empfängern anzugeben.

So viel zur Theorie. Was aber sind denn nun Empfänger? In welchen Fällen müssen diese konkret bezeichnet werden? Wann reicht die Angabe der Kategorie aus? Diese Fragen möchte ich im Folgenden beantworten:

 

Wer ist Empfänger?

Empfänger sind nach Art. 4 Nr. 9 S. 1 DSGVO alle Stellen, denen personenbezogene Daten offengelegt werden. Hierunter können Dienstleister, Auftragsverarbeiter, Kooperationspartner, und ggfs. auch gemeinsam für die Datenverarbeitung Verantwortliche gehören.

Wenn Sie also zum Beispiel Daten Ihrer Mitarbeiter auch gegenüber ihrem Steuerberater offenlegen, dann ist dieser in den Datenschutzhinweisen und bei einer entsprechenden Auskunft auch mitzuteilen.

Nach bisher überwiegender Auffassung sind interne Übermittlungen an Stellen innerhalb eines Verantwortlichen (wie Personalstelle oder Rechtsabteilung) nicht als Empfänger mitzuteilen.

 

Reicht die Angabe einer Kategorie?

Ein in der Praxis häufig anzutreffender Wunsch ist, den konkreten Dienstleister nicht nach außen mitzuteilen. Statt Steuerberater Müller könnte in den Hinweisen dann nur stehen: Wir haben einen Steuerberater beauftragt.

Der Wortlaut „oder“ im Text der Verordnung suggeriert ein Wahlrecht, dessen Existenz jedoch umstritten ist.

 

Benennung der Empfänger

Einer vorwiegend in der Literatur vertretene Auffassung nach, sind die konkreten Empfänger zu benennen, wenn sie bei der Datenerhebung absehbar sind.

Das Amtsgericht Wertheim sieht einen Verstoß gegen das Transparenzgebot in der beispielhaften Nennung von Empfängern („z.B.“). Hier sei nicht klar, ob eine Übermittlung an den so bezeichneten Empfänger stattgefunden habe oder nicht. Erforderlich sei auch die konkrete Benennung des Datums, nicht lediglich die der Datenart (AG Wertheim, Beschluss vom 12.12.2019, Aktenzeichen: 1 C 66/19).

Der Landesbeauftragte für den Datenschutz Baden-Württemberg fordert, Empfänger von Daten konkret zu bezeichnen. Das bloße Nennen von Kategorien ( z.B. Autohäuser, Wirtschaftsauskunfteien, Online-Händler) helfe dem Betroffenen nicht weiter (Datenschutz-Tätigkeitsbericht des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Baden-Württemberg 2019, abrufbar unter S. 26).

 

Angabe nur der Kategorie

Anderer Auffassung nach, soll die Angabe nur der Kategorie bei der Benennung der Empfänger ausreichen.

Als eines der ersten Gerichte hat sich das Amtsgericht Seligenstadt nun mit der Frage beschäftigt. Das Gericht sieht keine Pflicht, die konkreten Personen oder Stellen mitzuteilen, denen gegenüber Daten weitergeleitet wurden. Konkret ging es um die Informationen, welche Art der Datenträger und etwaige Cloudspeicher genutzt wurden. Nach Auffassung des Gerichts besteht gerade keine Verpflichtung, auch die Verarbeitungsmittel darzulegen. Insoweit ist es ausreichend, Kategorien von Drittempfängern zu nennen. Dabei argumentiert es mit dem Wortlaut. Nach Art. 15 Abs. 1 lit. c DSGVO hat der Verantwortliche gerade die Wahl zwischen der Nennung von Kategorien oder konkreten Empfängern (AG Seligenstadt, Urteil vom 23.06.2020 , Aktenzeichen 1 C 7/19 (3).

 

Fazit

Auch wenn der Wortlaut ein Wahlrecht suggeriert, sollte die weitere Rechtsprechung zu diesem Thema abgewartet werden. Datenschutzhinweise und Auskünfte sind Ausfluss des Transparenz-Grundsatzes aus Art. 5 DSGVO. Ich empfehle daher, auch künftig die konkreten Empfänger zu benennen, wenn sie für eine gewisse Zeit feststehen.

Rechtsanwalt Robert Harzewski

scales icon with long shadow

Abmahnung wegen fehlender Datenschutzerklärung

Leitsatz:

Die Informationspflichten aus Artikel 13 Absatz 1 DSGVO stellen Marktverhaltensregelungen dar. Wettbewerbsverbände sind daher befugt, solche Verstöße gegen Bestimmungen der Datenschutz-Grundverordnung geltend zu machen. Eine Abmahnung wegen fehlender Datenschutzerklärung ist demnach möglich.

Gericht: Oberlandesgericht Stuttgart, Urteil vom 27.02.2020
Aktenzeichen: 2 U 257/19

 

Was war passiert?

Ein gewerblicher Ebay-Verkäufer bot auf der Plattform Reifen zum Sofortkauf an. Neben seiner Firma gab er seine Postanschrift, Telefonnummer, Faxnummer und E-Mail-Adresse an. Eine Erklärung zum Datenschutz hielt er jedoch nicht vor. Damit informierte er insbesondere nicht über Art, Umfang und Zweck der Erhebung und Verwendung personenbezogener Daten. Daraufhin erhielt er von einem Wirtschaftsverband eine Abmahnung wegen fehlender Datenschutzerklärung.

 

Entscheidung:

Mit dem Inserat auf der Internethandelsplattform hat der Händler gegen Artikel 13 DSGVO verstoßen. Hierin sah das Gericht auch eine unzulässige geschäftliche Handlung im Sinne von § 3 a UWG, die vom Wirtschaftsverband abgemahnt werden kann.

Voraussetzung für eine Abmahnung wegen fehlender Datenschutzerklärung ist,

• dass die entsprechende Norm auch dazu bestimmt ist, im Interesse der Marktteilnehmer das Marktverhalten zu regeln
• dass dieser geeignet ist, die Interessen von Verbrauchern, sonstigen Marktteilnehmern oder Mitbewerbern spürbar zu beeinträchtigen.

Nach Auffassung des Gerichts habe Art. 13 DSGVO insoweit eine verbraucherschützende Funktion und weise den erforderlichen wettbewerblichen Bezug auf.

Das Gericht ging davon aus, dass durch die DSGVO die Rechtsbehelfe nicht abschließend geregelt werden. Daher bleiben die nationalen Bestimmungen der § 8 Absatz 1 und Absatz 3 Nr. 2 i.V.m. § 3a UWG anwendbar.

Mitgliedstaaten können nationale Normen auch dann anwenden, wenn diese die unmittelbare Anwendbarkeit der Verordnung nicht vereiteln, deren gemeinschaftliche Natur nicht verbergen und die Ausübung des durch die betreffende Verordnung verliehenen Ermessens innerhalb der Grenzen dieser Vorschriften konkretisieren.

Der Normgeber hat die Verantwortung für die Ausgestaltung der Rechtsdurchsetzung und des Prozessrechts an die Mitgliedsstaaten übertragen. Daher müsse vom Grundsatz her jede nationale Maßnahme, die geeignet ist, die Rechtsdurchsetzung zu erleichtern, als zulässig angesehen werden.

Aus der DSGVO ergäbe sich zudem nicht, dass es den Mitgliedstaaten verwehrt sein soll, Wettbewerbsverbänden eine Klagebefugnis einzuräumen. Die Rechtsdurchsetzung auf dem zivilen Rechtsweg wird durch die Verordnung in keiner Weise eingeschränkt, noch stellt Artikel 80 DSGVO eine abschließende Regelung dar.

Die Verfolgung von Wettbewerbsverstößen durch Wettbewerbsverbände habe sich als schlagkräftiges Instrument bewährt. Da die Ressourcen der Behörden begrenzt sind, können Wettbewerbsverbände auch bei der Überwachung der Datenschutzregeln einen wesentlichen Beitrag leisten.

 

Hintergrund zur Abmahnung wegen fehlender Datenschutzerklärung

Ob DSGVO-Verstöße abgemahnt werden können bleibt weiterhin unklar. Die Frage, ob das Datenschutzrecht auch das Marktverhalten regelt, wird von den Gerichten unterschiedlich beantwortet.

 

Entscheidung am Gericht Sachverhalt Verstoß gegen das Wettbewerbsrecht
27.02.2020Oberlandesgericht Stuttgart

Aktenzeichen: 2 U 257/19

gewerblicher Ebay-Verkäufer mit Inserat ohne Datenschutzhinweiseja
07.11..2019Oberlandesgericht des Landes Sachsen-Anhalt

Aktenzeichen: 9 U 6/19

fehlende ausdrückliche Einwilligungja
07.02.2019Oberlandesgericht München

Aktenzeichen: 6 U 2404/18

Telefonanrufen zu Werbezwecken (Cold Calls)ja
05.11.2018Landgericht Wiesbaden

Aktenzeichen:. 5 O 214/18

wegen unvollständigen Auskünfte nach Art. 15 DSGVOnein
25. 10. 2018Oberlandesgericht Hamburg

Aktenzeichen: 3 U 66/17

fehlende EinwilligungDie jeweilige Norm der DSGVO muss im Einzelfall konkret darauf überprüft werden, ob sie eine Regelung des Marktverhaltens zum Gegenstand hat.
13.09.2018Landgericht Würzburg

Aktenzeichen: 11O1741/18

fehlerhafte Datenschutzerklärung (keine Angabe zum Verantwortlichen, zur Datenverarbeitung, Belehrung über Betroffenenrechte)  und keine Verschlüsselung für das Kontaktformular auf Websiteja
07.08.2018Landgericht Bochum, Aktenzeichen: 12 O 85/18fehlende Datenschutzerklärung auf einer WebsiteVerstoß gegen die DSGVO ist nicht zugleich eine Wettbewerbsverletzung nach § 3 a UWG

 

Eine höchstrichterliche Entscheidung steht noch aus. Um vor allem einer Abmahnung wegen fehlender Datenschutzerklärung vorzubeugen, sollten Unternehmen ihre Hinweise auf Vollständigkeit prüfen.

Rechtsanwalt Robert Harzewski

Richter mit Hammer

Fehlende Datenschutzerklärung nicht abmahnbar

Leitsatz: Eine fehlende Datenschutzerklärung rechtfertigt nicht immer eine Abmahnung nach dem Wettbewerbsrecht.

Gericht: Landgericht Bochum, Urteil vom 7.8.2018
Aktenzeichen: 12 O 85/18

Entscheidung: Das Gericht entschied, dass ein Verstoß gegen die DSGVO nicht zugleich eine Wettbewerbsverletzung nach § 3 a UWG darstellen muss. Eine solche Verletzung liegt nur vor, wenn eine gesetzliche Vorschrift über das Marktverhalten missachtet wurde, die zudem geeignet ist, die Interessen von Verbrauchern, sonstigen Marktteilnehmern oder Mitbewerbern spürbar zu beeinträchtigen.

Nach Auffassung des Gerichts stellt eine fehlende Datenschutzerklärung auf einer Website keinen derartigen Verstoß dar, da die DSGVO in den Art. 77 – 84 insofern eine abschließende Regelung enthält. Speziell in Art. 80 DSGVO ist geregelt, dass betroffene Personen nur bestimmte Einrichtungen, Organisationen oder Vereinigungen ohne Gewinnerzielungsabsicht beauftragen können, um ihre Rechte, wie die Geltendmachung von Schadensersatz, wahrzunehmen. Daraus ergibt sich, dass der Unionsgesetzgeber eine Ausweitung auf Mitbewerber des Verletzers nicht zulassen wollte.

Hintergrund: Das Verhältnis zwischen DSGVO und dem Wettbewerbsrecht bleibt umstritten. In einem Fall vor dem Landgericht Würzburg (Beschluss vom 13.9.2018 – Az.: 11O1741/18) nahm das Gericht eine Wettbewerbsverletzung an, da eine Anwältin neben einer fehlerhaften Datenschutzerklärung auch keine Verschlüsselung für das Kontaktformular auf ihrer Website vorhielt.