Unser Datenschutz-Update im Januar 2024

In dieser Rubrik liefern wir Ihnen jeden Monat aktuelle Informationen aus der Datenschutz-Welt: Urteile, Entscheidungen und sonstige Entwicklungen in diesem Rechtsgebiet. Hier unser Datenschutz-Update für den Januar 2024.

1. Nachrichten aus der Welt des Datenschutzes

Der Data Act gilt seit Januar: Worum geht es?

Am 11.01.2024 trat der Data Act in Kraft. Geltung hat der Data Act innerhalb der EU. Der Act regelt, wann auf Daten zugegriffen werden darf, die von so genannten vernetzten Geräten erzeugt werden. Dies sind zum Beispiel Smart Home Geräte, vernetzte Autos. Anbieter:innen dieser Produkte und Dienste müssen für ihre Nutzer:innen sicherstellen, dass diese auf die generierten Daten in nutzerfreundlichem Format zugreifen können und die Daten Dritten bereit gestellt werden.

Das Recht zur Weitergabe besteht auch nach der DSGVO, doch steht hier das Recht nur natürlichen Personen (nicht Unternehmen) zu und bezieht sich ausschließlich auf personenbezogene Daten.

Beim Data Act geht es darüber hinaus auch um nicht personenbezogene Daten, die von technischen Geräten erzeugt worden sind. Das Recht zur Weitergabe gilt auch für Unternehmen. Sie können Daten, die mit smarten Geräten generiert werden, von den Dateninhaber:innen herausverlangen und sind zur Weitergabe berechtigt. Gem. Art. 28 Abs. 1 DA-E sind daher die Dateninhaber:innen zur Einrichtung entsprechender Schnittstellen verpflichtet, um den Zugriff und die Weitergabe zu erleichtern.

Die Anbieterinnen/Dateninhaber sind also nicht nur zur Herausgabe an die jeweiligen Nutzer:innen verpflichtet, sondern darüber hinaus dazu, die Daten mit Dritten zu teilen bzw. die Weitergabe zu ermöglichen.

Wen betrifft das Gesetz?

Zuletzt ist anzumerken, dass man aus der DSGVO gelernt hat und nicht allen Unternehmen die Verpflichtungen auferlegt. So sieht der Art. 7 Abs. 1 DA-E vor, dass die Pflichten zur Herausgabe für Kleinst- oder Kleinunternehmen nach der Definition aus Art. 2 2003/361/EG (weniger als 50 Personen, weniger als 10 Mio. Euro Jahresumsatz) nicht gelten, sofern diese keine Partnerunternehmen oder verbundene Unternehmen haben, die nicht als Kleinst- oder Kleinunternehmen gelten.

Welche Risiken bestehen?

Unternehmen sorgen sich, dass durch die Pflicht zur Weitergabe auch Daten an Dritte gelangen können, die Geschäftsgeheimnisse betreffen und an die Konkurrenz gelangen können. 

Allerdings regelt Art. 8 Abs. 5 DA-E, dass keine Pflicht besteht, Daten bereitzustellen, die zur Offenlegung von Geschäftsgeheimnissen führen. 

Drohende DSGVO-Verstöße und – noch – keine konkreten Lösungen

Das DA-E bezieht sich sowohl auf personenbezogene wie nicht personenbezogene Daten. Für jede Weitergabe von personenbezogenen Daten aus smarten Geräten bedarf es einer Rechtsgrundlage aus Art. 6 oder 9 DSGVO. Auch pseudonymisierte Daten fallen gem. Art. 4 DSGVO unter personenbezogene Daten.

Werden im Zuge der Weitergabepflicht auch personenbezogene Daten weitergegeben, bedarf es also einer Rechtsgrundlage. Der Data Act selbst besagt, dass er keine Rechtsgrundlage für die Datenverarbeitung darstellt.

Woher nimmt man also die Rechtsgrundlage? Werden Daten der Dateninhaber:innen weitergegeben, für die keine Einwilligung vorliegt, kann hier ein Datenschutzverstoß vorliegen, was ein Bußgeld nach sich ziehen kann. 

Andererseits droht ebenfalls ein Bußgeld, wenn ein ein Unternehmen der Herausgabepflicht aus Art. 5 DA-E nicht nachkommt (Art. 33 DA-E). 

Diskutiert wird, ob Art. 5 DA-E eine gesetzliche Verpflichtung darstellt. In dem Fall könnte man Art. 6 Abs. 1 lit. c DA-E als Rechtsgrundlage für die Verarbeitung heranziehen. Ansonsten müsste man personenbezogene Daten vor Übermittlung anonymisieren – nicht nur ein technischer Aufwand, sondern auch für diese „Verarbeitung“ bedarf es einer eigenen Rechtsgrundlage, die erst einmal hergeleitet werden muss. 

Fazit

Wie diese Widersprüche gelöst werden, bleibt abzuwarten. Anbieter:innen smarter Lösungen müssen sich jedenfalls mit der Einrichtung von Schnittstellen auseinandersetzen, um ihrer Verpflichtung nachzukommen.

Mehr dazu finden Sie hier: 

– Data Act in Kraft getreten – was gilt es zu beachten?

– Datengesetz: Kommission begrüßt politische Einigung über Vorschriften für eine faire und innovative Datenwirtschaft

Drop-Shipping: Kund:innen müssen über Lieferant:innen in den Datenschutzhinweisen informiert werden

Im Online-Handel wird Drop-Shipping immer beliebter. Die Händler:innen müssen selbst keine Waren vorhalten und lagern, sondern geben die Bestellung der Kund:innen direkt an die Hersteller:innen weiter. Die Lieferung geht dann auch nicht den Umweg über die Händlerinnen zum Kunden, sondern wird direkt vom Hersteller an die Kundinnen ausgeliefert. Für die Händler:innen bedeutet das deutlich weniger Aufwand und Risiko.

Dabei stellen sich immer wieder datenschutzrechtliche Fragen, zum Beispiel, ob Händlerinnen und Hersteller einen Auftragsverarbeitungsvertrag (AVV) abschließen müssen. Denn schließlich werden Daten des Kunden bei Bestellung von der Händlerin an den Hersteller weitergeleitet. Wichtig für eine Auftragsverarbeitung ist jedoch, dass die Daten ausschließlich für die Zwecke der Auftraggeber:innen und auf deren Weisung verarbeitet werden. 

Im Fall des Drop-Shipping jedoch haben Hersteller:innen ein eigenes Interesse an den Daten und ihrer Verarbeitung. Sie hat einen Vertrag mit den Händler:innen, der sie verpflichtet, die Waren an die jeweils konkreten Kund:innen zu liefern. Sie haben damit ein eigenes Interesse an den individuellen Daten bzw. dem Datensatz. Die Händler:innen selbst fungieren zwar praktisch als Vermittler:innen, doch haben sie natürlich ebenfalls ein eigenes Interesse an der Datenverarbeitung, da sie den Kaufvertrag mit den Kund:innen abschließen. Damit ist ein Auftragsverarbeitungsvertrag in diesem Fall nicht nötig.

Eine weitere Frage von Onlilne-Händler:innen ist immer wieder, ob sie eine Einwilligung der Kund:innen einholen müssen, um die Daten der Kund:innen an die Hersteller:innen weiterzugeben. Zum Beispiel innerhalb des Bestellprozesses. Auch dies ist nicht notwendig. Zur Durchführung des Vertrags ist es erforderlich, dass die Händler:innen die Kundendaten an die/den Hersteller:in weitergibt, damit diese:r den richtigen Artikel an die richtigen Kund:innen ausliefern kann. Rechtsgrundlage ist damit Art. 6 Abs. 1 lit b. DSGVO. Einer Einwilligung bedarf es nicht, selbst dann, wenn für die Kund:innen auf den ersten Blick nicht erkennbar ist, dass es sich um Drop-Shipping handelt, die Händler:innen die Ware also nicht selbst lagern und versenden. Achtung: Hier gilt natürlich Datenminimierung. Nur die Daten der Kund:innen dürfen an die Hersteller:innen weitergeleitet werden, die für die Vertragserfüllung und Belieferung erforderlich sind. 

Die letzte wichtige Frage bezieht sich darauf, ob die Händler:innen die Kund:innen über die Drop-Shipping Partner:innen informieren muss. Diese Angaben zählen zu den Informationspflichten gem. DSGVO, die die Händler:innen erfüllen müssen. Gem. Art. 13 DSGVO muss über die Empfängerkategorien informiert werden. Diese Angaben gehören also in die Datenschutzhinweise. Nach aktueller Rechtsprechung ist außerdem davon auszugehen, dass nicht nur die Angabe einer Kategorie ausreicht, z.B. „Externe Lieferanten/Herstellerinnen“, sondern konkrete Angaben zu den einzelnen Empfänger:innen der Kundendaten gegeben werden müssen. 

2. Entscheidungen des Monats

Fahrzeugidentifikationsnummer (FIN) im Einzelfall personenbezogenes Datum

Immer wieder kommt es bezüglich der FIN zur Frage, ob diese ein personenbezogenes Datum darstellt oder nicht. In einem Streitfall wurde ein Autohersteller verklagt, der Reparatur- und Wartungsinformationen auf seiner Webseite zugänglich machte, gemäß Art. 61 Abs. 1 der EU-Verordnung 2018/858 f, in dem es heißt:

Die Hersteller gewähren unabhängigen Wirtschaftsakteuren uneingeschränkten, standardisierten und diskriminierungsfreien Zugang zu Fahrzeug-OBD-Informationen, Diagnose- und anderen Geräten und Instrumenten einschließlich der vollständigen Referenzinformationen und verfügbaren Downloads für die zu verwendende Software sowie zu Fahrzeugreparatur- und -wartungsinformationen. Die Angaben sind leicht zugänglich in Form von maschinenlesbaren und elektronisch verarbeitbaren Datensätzen darzubieten. Unabhängige Marktteilnehmer erhalten Zugang zu den Ferndiagnosediensten, die von Herstellern sowie Vertragshändlern und -werkstätten genutzt werden (Art. 61 Abs. 1 EU-Verordnung 2018/858 f).

Bei der Angabe der Daten fehlte jedoch die FIN. Der Hersteller verweigerte die Angabe, da die FIN ein personenbezogenes Datum darstelle. Art. 61 Abs. 1 der EU-Verordnung 2018/858 f sei keine Rechtsgrundlage für die Herausgabe dieser Daten. Die Kläger sahen hingegen in dem Verhalten einen Pflichtverstoß.

Diese Fragen wurden u.a. dem EuGH vorgelegt. 

Die FIN ist grundsätzlich nur numerischer Code zur Identifizierung eines Fahrzeuges. Für sich genommen ist sie also kein personenbezogenes Datum. Jedoch wird sie in die Zulassungsbescheinigung eingetragen. In Verknüpfung mit Namen und Anschrift der Fahrzeughalterin bzw. des Fahrzeughalters ist ein Personenbezug jetzt zu bejahen. Es könnte sich also um ein personenbezogenes Datum handeln, auf das die DSGVO anzuwenden wäre.

Der EuGH wandte die Definition gem. Art. 4 DSGVO an, wonach personenbezogene Daten alle Informationen sind, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Für die Identifizierbarkeit müssen alle Mittel berücksichtigt werden, die  „vernünftigerweise entweder von dem Verantwortlichen im Sinne von Art. 4 Nr. 7 DSGVO oder von einem Dritten eingesetzt werden könnten, um die betreffende Person zu bestimmen, ohne dass es jedoch erforderlich ist, dass sich alle zur Identifizierung dieser Person erforderlichen Informationen in den Händen einer einzigen Einrichtung befinden.“ (EuGH, Az. C-319/22, Rn. 45).

Ausschlaggebend wäre damit für den Streitfall, ob die Ersatzteilhändler:innen über Mittel verfügen, um in Verknüpfung mit der FIN einen Personenbezug herzustellen. Ist dies nicht möglich, so ist auch die FIN nicht als personenbezogenes Datum zu sehen. 

Weiter entschied der EuGH, dass Art. 61 Abs. 1 der EU-Verordnung 2018/858 f die Pflicht zur Angabe der FIN umfasse. Damit ist auch die Streitfrage geklärt, ob Art. 61 Abs. 1 der EU-Verordnung 2018/858 f eine gesetzliche Verpflichtung darstellt und somit für die Herausgabe der FIN eine Rechtsgrundlage gem. Art. 6 Abs. 1 lit. c DSGVO besteht. 

Fazit: Ohne weitere Mittel und/oder Zusatzinformationen, mit deren Hilfe ein Personenbezug über die FIN hergestellt werden kann, stellt die FIN allein kein personenbezogenes Datum dar.

3. Unser Tipp: Löschen eigener Daten bei Google

Die meisten von uns wissen, dass wir unsere Daten bei Google verwalten und auch löschen können. Doch viele von uns wissen nicht, wie sie es machen müssen. Google selbst gibt Anleitungen dazu, doch eine kompakte Zusammenstellung, was zu tun ist, gibt es hier und wir können sie nur empfehlen: 

Google: Anleitung zum Löschen und Verwalten Ihrer Daten

Wir selber haben etwas zum Löschen von Google-Bewertungen geschrieben. Schauen sie gerne rein: Google-Löschungsanfragen – so werden Sie schlechte Bewertungen los!

4. Das schreiben die Anderen zum Datenschutz

• Sensible Daten nach der DSGVO: Definition & Beispiele
• Datenschutzrechtliche Regelungen im Digital Services Act – was ist zu beachten?

Haben Sie Fragen oder Anmerkungen? Nehmen Sie gerne Kontakt mit uns auf.