Unser Datenschutz-Update im Mai 2023

In dieser Rubrik liefern wir Ihnen jeden Monat aktuelle Informationen aus der Datenschutz-Welt: Urteile, Entscheidungen und sonstige Entwicklungen in diesem Rechtsgebiet. Hier unser Datenschutz-Update für den Mai 2023.

1. Nachrichten aus der Welt des Datenschutzes

Mit Verspätung: Deutschland setzt die Whistleblowing-Richtlinie um

Zugegeben, Deutschland ist nicht das einzige europäische Land, das mit der Umsetzung der EU-Whistleblowing-Richtlinie (EU-Richtlinie 2019/ 1937) in Verzug geraten ist. Doch nun hat der Bundesrat das Hinweisgeberschutzgesetz (HinSchG) verabredet, so dass es voraussichtlich Mitte Juni in Kraft treten wird.

Müssen Unternehmen nun ein Hinweisgeberschutzsystem, d.h. eine interne Meldestelle, einrichten? Diese Verpflichtung hängt von der Beschäftigtenzahl der Unternehmen ab. Bei 50 bis 249 Beschäftigten muss aufgrund der Übergangsregelung eine interne Meldestelle für Hinweisgebende bis zum 17.12.2023 implementiert werden. Bei 250 Beschäftigten und mehr muss die Verpflichtung unmittelbar nach Inkrafttreten des Gesetzes, also voraussichtlich ab Mitte Juni, umgesetzt werden. Konzerne und Unternehmensgruppen dürfen eine gemeinsame Meldestelle einrichten.

Achtung: vorbehaltlich landesrechtlicher Regelungen sind auch Gemeinden mit mehr als 10.000 Einwohnerinnen und Einwohnern zur Einrichtung einer Meldestelle verpflichtet.

Mit der Planung und Umsetzung sollten Unternehmen frühzeitig beginnen, denn wird der Verpflichtung nicht fristgemäß nachgekommen, können Bußgelder von bis zu 20.000 Euro verhängt werden.

Mehr dazu finden Sie hier: Schutz von hinweisgebenden Personen | Bundesregierung

2. Entscheidungen des Monats

EuGH-Entscheidung zu den Voraussetzungen der Anonymisierung

Immer wieder bereitet es Unternehmen Kopfzerbrechen, ab wann Daten als anonymisiert angesehen werden können. Nachdem sehr strenge Ansichten vertreten wurden, brachte der EuGH in seinem Urteil (Az: C-582/14) etwas mehr Klarheit, indem er entschied, dass für die Annahme der Anonymität nicht Voraussetzung ist, dass die Re-Identifizierung für absolut jedermann ausgeschlossen ist.

In einer aktuellen Entscheidung (Urteil vom 26.04. 2023 – T-557/20) ist der EuGH noch einen Schritt weiter gegangen. Ob eine Anonymisierung vorliegt sei aus der Sicht der Datenempfänger:innen zu beurteilen und zwar danach, ob ihnen die Mittel zur Re-Identifizierung zur Verfügung stünden. Könnten diese nicht auf Informationen zugreifen, die eine Re-Identifizierung der Personen ermöglichen, könne eine Anonymisierung angenommen werden.

In dem Streit, den der EuGH zu beurteilen hatte, ging es um die Auswertung eines Fragebogen. Der Ausgeber des Fragebogens beauftragte das Beratungsunternehmen Deloitte damit, die Stellungnahmen auszuwerten und in einem unabhängigen Gutachten zu bewerten. Die Stellungnahmen wurden mit alphanumerischen Codes versehen, so dass sie keine direkten Identifikatoren mehr enthielten. Das Beratungsunternehmen hatte dabei keinen Zugriff auf die Datenbank des Auftraggebers und damit keinen Zugriff auf Daten, die die Identifizierung der Verfasser:innen ermöglicht hätten. Auch war Deloitte kein rechtlicher Anspruch eingeräumt, die erforderlichen Informationen zur Re-Identifizierung anzufordern. Mit den zur Verfügung stehenden Mitteln waren Rückschlüsse auf die Personen hinter den Stellungnahmen unwahrscheinlich.

Aus diesem Grund verzichtete der Auftraggeber darauf, Deloitte als Empfänger der Daten in seinen Datenschutzhinweisen anzugeben. Darin sah der Europäische Datenschutzbeauftragte (EDSB) einen Verstoß gegen Artikel 15 der Datenschutz-Grundverordnung (DSGVO). Seiner Meinung nach handelte es sich um pseudonymisierte und nicht anonymisierten Daten, da Rückschlüsse auf die Personen hinter den Stellungnahmen mit Zugriff auf die beim Auftraggeber liegenden Daten möglich wäre. Die an Deloitte übermittelten Daten fielen danach in den Anwendungsbereich der DSGVO und der Auftraggeber hätte über die Empfänger:innen dieser Daten informieren müssen.

Der EuGH betonte in seiner aktuellen Entscheidung noch einmal, dass nach der gesetzlichen Regelung keine absolute Anonymität gefordert ist. Im vorliegenden Fall hatte nur der Auftraggeber und Datenübermittler die Mittel zur Re-Identifikation, nicht aber die Datenempfänger:innen. Somit sei zu unterscheiden: Für Auftraggeber:innen handelt es sich um pseudonymisierte Daten, während sie für den Datenempfänger:innen (hier: Deloitte) anonymisierte Daten darstellen. Entscheidend sei, ob eine Re-Identifizierung hinreichend wahrscheinlich sei. Bei der Beurteilung müssen Kosten, Arbeits- und Zeitaufwand und gesetzlichen Hindernisse berücksichtigt werden. Allerdings müssen ebenfalls alle Möglichkeiten berücksichtigt werden, durch die die Datenempfänger:innen an Informationen zur Re-Identifizierung kommen könnten, zum Beispiel auf anderen Wegen als über die Datenübermittlerin oder den Datenübermittler. 

Mehr dazu hier: EU-Gericht: Wann gelten pseudonymisierte Daten als personenbezogene Daten?

Auskunftsanspruch umfasst auch Kopien von Auszügen und Dokumenten

Und noch einmal der EuGH. Dem EuGH waren Fragen zum Umfang und Inhalt des Auskunftsanspruchs gem. Art. 15 DSGVO zur Vorabentscheidung vorgelegt worden (Urteil vom 4. Mai 2023 – C‑487/21).

Vorausgegangen war eine Beschwerde bei der Österreichischen Datenschutzbehörde: Dem Betroffenen war vom Verantwortlichen in aggregierter Form eine Liste seiner personenbezogenen Daten zugekommen, die Gegenstand der Verarbeitung waren. Da der Betroffene der Ansicht war, dass ihm eine Kopie sämtlicher seine Daten enthaltender Dokumente wie E-Mails und Auszüge aus Datenbanken hätte übermittelt werden müssen, brachte er bei der Österreichischen Datenschutzbehörde eine Beschwerde ein. Diese lehnte seine Beschwerde ab. Darauf reichte der Betroffene Klage beim österreichischen Bundesverwaltungsgericht ein. Dieses legte die Fragen zum Umfang des Auskunftsanspruch nach Art. 15 DSGVO dem EuGH vor. 

Zusammenfassend stellt der EuGH in seinem Urteil fest, dass das Recht, eine „Kopie“ der personenbezogenen Daten zu erhalten, bedeutet, dass der betroffenen Person eine originalgetreue und verständliche Reproduktion aller dieser Daten ausgefolgt wird.

Der BGH hat bereits in einem Urteil vom 15.06.2021 (Az. VI ZR 576/19) festgestellt: „Das Auskunftsrecht bezieht sich nicht nur auf Datenkategorien und sogenannte Stammdaten wie etwa Name, Adresse und Geburtsdatum, sondern beispielsweise auch auf die mit dem Betroffenen geführte Kommunikation und interne Vermerke des Unternehmens, soweit diese personenbezogene Daten des Betroffenen enthalten“. (Beispiel: auch die Korrespondenz zwischen Verantwortlicher und betroffener Person über den Support, soweit hier personenbezogene Daten verarbeitet werden). Es ist also nicht ausreichend, nur die Datenkategorien aufzulisten, vielmehr haben Betroffene ein Recht, soweit für den Anspruch erforderlich, die Inhalte direkt zu sehen.

Für Verantwortliche in dem Urteil auch interessant: Erfüllung des Anspruchs tritt ein, wenn die Angaben nach dem erklärten Willen der Auskunftsschuldner:innen die Auskunft im geschuldeten Gesamtumfang darstellen, eine Unrichtigkeit steht der Erfüllung nicht entgegen. Wesentlich ist dagegen die Erklärung des Auskunftsschuldners, dass die Auskunft vollständig ist.

In seinem Urteil stellte der EuGH nun klar, dass man als Verantwortliche:r bei berechtigtem Auskunftsanspruch nicht einfach nur die gespeicherten Daten auflisten darf, sondern tatsächlich Kopien bereitstellen muss, soweit dies erforderlich für die Betroffenen ist, um die Verarbeitung erkennen und nachvollziehen zu kennen.

„…das Recht, vom für die Verarbeitung Verantwortlichen eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zu erhalten, bedeutet, dass der betroffenen Person eine originalgetreue und verständliche Reproduktion aller dieser Daten ausgefolgt wird. Dieses Recht setzt das Recht voraus, eine Kopie von Auszügen aus Dokumenten oder gar von ganzen Dokumenten oder auch von Auszügen aus Datenbanken, die u. a. diese Daten enthalten, zu erlangen, wenn die Zurverfügungstellung einer solchen Kopie unerlässlich ist, um der betroffenen Person die wirksame Ausübung der ihr durch diese Verordnung verliehenen Rechte zu ermöglichen, wobei insoweit die Rechte und Freiheiten anderer zu berücksichtigen sind.“

Wie ist es mit personenbezognen Daten Dritter und Geschäftsgeheimnissen?

Diese Frage stellen sich Verantwortliche häufig, denn die Dokumente oder entsprechende Kommunikation können auch personenbezogene Daten Dritter enthalten oder Informationen zu Geschäftsgeheimnissen. Stehen diese hinter dem Auskunftsanspruch zurück?

Bereits aus den Erwägungsgründen zu Art. 15 DSGVO ergibt sich hier eine Antwort: „Dieses Recht (Auskunftsrecht) sollte die Rechte und Freiheiten anderer Personen, etwa Geschäftsgeheimnisse oder Rechte des geistigen Eigentums und insbesondere das Urheberrecht an Software, nicht beeinträchtigen. …“

Auch der EuGH nahm in seinem Urteil Bezug auf diese Frage und verwies auf die Stellungnahme des Generalanwalts.

„Nach Möglichkeit sind Modalitäten der Übermittlung der personenbezogenen Daten zu wählen, die die Rechte oder Freiheiten anderer Personen nicht verletzen, wobei diese Erwägungen „nicht dazu führen [dürfen], dass der betroffenen Person jegliche Auskunft verweigert wird“, wie sich aus dem 63. Erwägungsgrund DSGVO ergibt.“

Fazit: Zum Auskunftsanspruch gehören auch Kopien von Inhalten von Dokumenten oder ganze Dokumentkopien, soweit dies für die Betroffenen erforderlich ist, um die Zusammenhänge der Verarbeitung seiner Daten nachzuvollziehen. 

Mehr dazu finden Sie hier: CURIA – Documents

Medienprivileg vs Schadensersatz nach DSGVO

„Werden personenbezogene Daten in einem Blog-Beitrag online veröffentlicht , greift das Medienprivileg, sodass kein Anspruch auf Schadensersatz besteht“, so entschied das Kammergericht Berlin (KG Berlin, Beschl. v. 17.03.2023 – Az.: 10 O 146/22). 

Der Kläger verlangte Schadensersatz nach Art. 82 DSGVO, weil der Beklagte, ein Rechtsanwalt, auf seinem Blog in einem Artikel Namen und Geburtsdatum des Klägers veröffentlicht hatte. Das Landgericht Berlin hatte bereits die Klage abgelehnt mit folgender Argumentation unter Berufung auf mehrere vorangegangene Urteile:

„Der Beklagte kann sich auf das Medienprivileg berufen, da seine streitgegenständlichen Beiträge zu journalistischen Zwecken veröffentlicht wurden.

„Aufgrund der Öffnungsklausel des Art. 85 II DS-GVO sind Datenverarbeitungen zu journalistischen Zwecken von den die Rechtmäßigkeit der Datenverarbeitung betreffenden Vorschriften in Art. 6 und Art. 7 DS-GVO durch Regelungen der Länder ausgenommen worden (vgl. BGH, Urt v. 22.2.2022 -VI ZR 1175/20, 022, 735, Rn. 18). Für den Bereich der Telemedien, der die streitgegenständliche Internetberichterstattung umfasst, galt zur Zeit der Berichterstattung § 57 I RStV (jetzt gleichlautend § 23 I MStV). Es liegt auf der Hand, dass ein Schadensersatzanspruch gem. Art. 82 I DS-GVO nicht auf die Verletzung datenschutzrechtlicher Bestimmungen durch eine journalistische Tätigkeit gestützt werden kann, wenn die Bestimmungen für die Tätigkeit gar nicht gelten (BGH, Urt. v. 22.2.2022 – VI ZR 1175/20, 022, 735, Rn. 18). (…)„

Es gelte eine weite Auslegung der journalistischen Zweckrichtung bei der Datenverarbeitung. Bei den streitgegenständlichen Beiträge des Beklagten handele es sich um solche zu journalistischen Zwecken, so das LG Berlin. 

„Aufgrund der Vielzahl der Veröffentlichungen des Beklagten auf seinem Blog und dem damit verbundenen öffentlichen Informationsinteresse geht die Kammer von einer freien journalistischen Tätigkeit des Beklagten aus.„… und weiter: „An den von dem Beklagten behandelten Themen besteht ein öffentliches Interesse einer nicht unerheblichen Lesergruppe wie Betroffene, Patienten, Angehörigen von Gesundheitsberufen und Rechtsanwälten, die sich durch die Veröffentlichungen des Beklagten hinsichtlich aktueller rechtlicher Entwicklungen und Entscheidungen informieren können. Der Beklagte überarbeitet seine Website regelmäßig, die Beiträge sind aktuell.„

Dieser Begründung des Gerichts schloss sich in nächster Instanz nun auch das Kammergericht Berlin an und erklärte Art. 82 DSGVO in diesem Zusammenhang für nicht anwendbar. „Der Beklagte hat das Geburtsdatum des Klägers sowie dessen angebliche Adressen (…) zu „journalistischen Zwecken“ im Sinne von § 57 Absatz 1 Satz 4 RStV i…)  verarbeitet.“

Mehr dazu finden Sie hier: KG, 17.03.2022 – 22 W 10/22 – dejure.org

3. Das schreiben die Anderen zum Datenschutz

• App-Tracking: Mein Handy hört doch mit oder nicht?
• BGH: Google muss Links nur bei Nachweis von Falschangaben löschen
• Verbot von TikTok – Montana schlägt Alarm
• EuGH klärt auf: Datenschutzverstoß berechtigt nicht zum Schadensersatz

Haben Sie Fragen oder Anmerkungen? Nehmen Sie gerne Kontakt mit uns auf.