Stellt das „Übermittelterhalten“ von personenbezogenen Daten ein „Erheben“ dar?
PSP Case Study zur DSGVO: Praxisfall 1

DSGVO: Praktischer Fall

Herr Müller, Einkäufer der Huber AG, übergibt einem Vertriebsmitarbeiter der Maier GmbH, Herrn Schulze, eine Visitenkarte von sich mit den Worten „Wenn Sie mal das Produkt X in Richtung Y weiterentwickeln, dann rufen Sie mich an“.

Unternehmensbezogene Kontaktdaten von Mitarbeitern (Name, betriebliche Telefon- und Mobilfunknummer, betriebliche E-Mail-Adresse etc.) sind zwar mutmaßlich „Niedrigrisikodaten“, aber diese Erkenntnis kann allenfalls das Maß der notwendigen technisch-organisatorischen Maßnahmen bei deren Verarbeitung reduzieren. Ansonsten – etwa bei den Fragen der Pflichthinweise, der Legitimationsgrundlage oder der Löschfristen – sieht die DSGVO keinerlei Ausnahmen oder Erleichterungen für diese Datenkategorien vor.

Erhebung von Daten

Man kann diesen Fall nun so interpretieren, dass die Maier GmbH als Verantwortliche im Sinne der DSGVO durch ihren Repräsentanten, Herrn Schulze, personenbezogene Daten von Herrn Müller „erhebt“. Dass die DSGVO anwendbar ist, kann kaum bezweifelt werden. Zwar ist die Visitenkarte zunächst noch nicht Gegenstand einer „ganz oder teilweise automatisierten Verarbeitung personenbezogener Daten“. Das wird erst der Fall sein, wenn die Daten in ein CRM- oder sonstiges EDV-System eingegeben werden. Aber üblicherweise stellen Visitenkarten auf Empfängerseite zumindest erst einmal „für die nichtautomatisierte Verarbeitung personenbezogene Daten, die in einem Dateisystem [...] gespeichert werden sollen“ dar. Kaum jemand wird Visitenkarten, denen er irgendeinen Wert beimisst und die er bei Gelegenheit wiederfinden will, einfach nur irgendwo hinwerfen.

Die Maier GmbH, vertreten durch Herrn Schulze, müsste Herrn Müller also Pflichthinweise nach Art. 13 DSGVO erteilen, dass sie die Maier GmbH ist, wie ihr Datenschutzbeauftragter erreicht werden kann, zu welchem Zweck die Daten erhoben werden, wann sie gelöscht werden, ob diese gegebenenfalls in einem CRM-System in der Cloud auf US-Servern gespeichert werden und einiges mehr. Herr Schulze müsste Herrn Maier also umgehend Pflichthinweise in die Hand drücken, die eigentlich auch auf den Einzelfall der konkret erhobenen Daten zugeschnitten sein müssten. Ob diese Hinweise auch nur aus einem Link auf eine Website bestehen können, ist eine Frage des dann vorliegenden „Medienbruchs“, die in Fall 29 noch behandelt wird. Den Empfang dieser Pflichthinweise müsste sich Herr Schulze quittieren lassen, sonst kann er später seiner datenschutzrechtlichen „Rechenschaftspflicht“ nicht nachkommen, nach der er nachweisen können muss, zu jeder Zeit die DSGVO eingehalten zu haben. Herr Maier könnte ja später behaupten, die Pflichthinweise nie erhalten zu haben.

Zugang der Pflichtinformationen

Schon an dieser Stelle würden Datenschutzbehörden natürlich einhaken, dass kein Betroffener verpflichtet ist, den Empfang von Pflichthinweisen zu bestätigen. Der Thüringer Landesbeauftragte für Datenschutz schreibt hierzu in seinem Tätigkeitsbericht 2018:

„Art. 5 Abs. 2 DS-GVO schreibt nicht vor, in welcher Form der Nachweis erfüllt werden muss. Eine Gegenzeichnung ist somit nicht zwingend. Es sollte jedoch zumindest eine (schriftliche) Dokumentation erfolgen, aus der zu Nachweiszwecken hervorgeht, dass die Informationspflichten erfüllt wurden.“

Und an anderer Stelle:

„Das Gesetz sieht nicht vor, dass die Erteilung der Information von betroffenen Personen bestätigt werden müsste. Die betroffene Person muss die Möglichkeit haben, diese Informationen zur Kenntnis zu nehmen und danach umfassend ihre Betroffenenrechte ausüben zu können. Es ist daher ausreichend, wenn Unternehmen oder sonstige nicht-öffentliche Stellen ein Verfahren in ihren Geschäftsablauf integriert haben, das sicherstellt, dass die betroffenen Personen zu den in der DS-GVO geforderten Zeitpunkten diese Informationen erhalten. Sofern beispielsweise beim ersten Betreten des Geschäfts die Informationen an die Kunden ausgehändigt werden (mittels Flyer, Informationsbroschüre oder Informationsblatt) oder auf den entsprechenden Aushang verwiesen wird, reicht diese Vorgehensweise als Nachweis für die Erfüllung der Informationspflicht gegenüber den betroffenen Personen aus.“

Auch der Hessische Beauftragte für Datenschutz sieht dies in seinem Tätigkeitsbericht 2018 ähnlich, zählt aber die Erfüllung der Informationspflichten von vornherein nicht zu den nachzuweisenden Pflichten des Verantwortlichen:

„Die Pflicht des Verantwortlichen, den Betroffenen über die Datenverarbeitung zu informieren, führt nicht zu einer Verpflichtung des Betroffenen, den Erhalt der Information durch Unterschrift zu quittieren. [...] M.E. fällt die Informationspflicht nach Art. 13/Art. 14 DS-GVO nicht unter die nach Art. 5 Abs. 1 DS-GVO nachzuweisenden Pflichten des Verantwortlichen.“

Reicht es also, wenn Herr Maier später (etwa gegenüber einer Datenschutzaufsichtsbehörde oder vor Gericht) behauptet, die Pflichthinweise nie erhalten zu haben, die Vorlage einer schriftlichen Anweisung an Herrn Schulze aus, dass dieser jedem, dem er seine Visitenkarte überlässt, auch die Pflichthinweise übergeben muss? Wenn dies ausreichend wäre, müsste es Herr Schulze ja mit dieser unternehmensinternen Vorgabe einfach nur „nicht so genau nehmen“. Oder muss die Einhaltung kontrolliert werden? Und wenn ja, wie?

Wer sich übrigens fragt, ob es ausreicht, auf einer Pflichtinformation, die auf ein Erheben von Visitenkartendaten abstellt, keine Bezeichnung der erhobenen Daten zu nennen (das sieht Art. 13 DGSVO nämlich auch gar nicht explizit vor) oder einfach „Visitenkarteninhalte“ aufzuführen, wird ebenso im Tätigkeitsbericht 2018 des Thüringer Landesbeauftragten für Datenschutz fündig:

„Dabei ist zu berücksichtigen, dass für jeden Verarbeitungszweck die entsprechend verarbeiteten Daten detailliert und exakt genannt werden (z. B. Telefonnummer, Geburtsdatum, EMail-Adresse usw.). Allein die Angabe von Datenkategorien zum Zweck der Verarbeitung ist zu allgemein gehalten und entspricht nicht den Vorgaben der DS-GVO.“

In den Pflichtinformationen des Erhebenden sind also die auf der Visitenkarte angegebenen (erhobenen) Daten eigentlich genau zu bezeichnen.

Übermittlung von Daten

Man kann den Ausgangsfall aber auch so interpretieren, dass die Huber AG, vertreten durch Herrn Müller, der Maier GmbH, vertreten durch Herrn Schulze, die Kontaktdaten ihres zuständigen Ansprechpartners, Herrn Müller, „übermittelt“. Bei dieser Mitteilung könnte ja alternativ auch Frau Schmidt von der Huber AG die Kontaktdaten ihres Kollegen Herrn Müller „übermitteln“ – dann fallen die Person des (für die Huber AG) Übermittelnden und der eigentlich benannte Ansprechpartner auseinander und der Fall wird noch deutlicher.

Bei dieser Interpretation stellt sich nun die entscheidende Frage, ob das „Übermittelterhalten“ dieser personenbezogenen Daten dem „Erheben“ gleichgestellt ist, ob also der Übermittlungsempfänger ebenso verfahren muss wie oben dargestellt. Wenn das so wäre, gäbe es viel zu tun: Pausenlos übermitteln Unternehmen und Behörden personenbezogene Daten untereinander. Alleine für jeden Arbeitnehmer sind vom Arbeitgeber regelmäßig und anlassbezogen Meldungen abzusetzen an Finanzämter, Versicherungsträger und andere Institutionen. Ständig benennen Unternehmen ihre Mitarbeiter gegenüber anderen Unternehmen oder Institutionen als Ansprechpartner für dieses und jenes. Regelmäßig wird in solchen Fällen die betroffene Person nicht vom Übermittlungsempfänger separat informiert, obwohl dies in jedem Fall spätestens einen Monat nach der Erhebung geschehen müsste (Art. 14 Abs. 3 lit. a DSGVO).

Sollen all diese Informationsaustausche im Rahmen dieses ständigen Datenverkehrs, weil ständig auf der Empfängerseite Daten „erhoben“ werden, künftig zu einer Benachrichtigungsflut beim Betroffenen anschwellen? Der Gesetzgeber würde wohl auf andere Fallkonstellationen bei der Übermittlung verweisen, beispielsweise, wenn Facebook die Daten eines Kunden an Cambridge Analytica „übermittelt“ und es dann doch besser wäre, wenn der Betroffene davon erfahren würde, oder auf den Fall des stillen Factorings und der Datenübermittlung an den Forderungskäufer (s. dazu Fall 14).

Inhalt der Pflichtinformation

In diesem Zusammenhang muss sich der Verantwortliche beim Design der Pflichtinformationen entscheiden, ob er nun von einem Fall des Art. 13 oder des Art. 14 ausgeht, wenn man einen Bescheid der österreichischen Datenschutzbehörde vom November 2018 liest:

„In der erteilten Information wird strukturell nicht unterschieden, ob diese nach Art. 13 oder Art. 14 DSGVO erteilt wird. Diese Unterscheidung ist jedoch insofern von Bedeutung, als nach Art. 14 DSGVO auch Informationen zu erteilen sind, die Art. 13 DSGVO nicht abdeckt. So ist etwa nach Art. 14 Abs. 1 lit. d die Information zu erteilen, welche Kategorien personenbezogener Daten verarbeitet werden; ebenso ist – anders als in Art. 13 – auch die Information über die Herkunft der Daten zu erteilen (Art. 14 Abs. 2 lit. f DSGVO). [...] Indem in den Informationspflichten nicht klar zwischen den Informationspflichten nach Art. 13 und Art. 14 DSGVO unterschieden wird, hat die Verantwortliche gegen diese Pflichten sowie Art. 12 Abs. 1 DSGVO verstoßen.“

Damit nicht genug: Eine weitere Entscheidung der österreichischen Datenschutzbehörde vom November 2018 zu einer unterlassenen Pflichtinformation nach Art. 14 DSGVO sowie zu inhaltlich unrichtigen Daten könnte nahelegen, dass – zumindest in Bezug auf die Legitimationsgrundlage der Interessenabwägung, die im Falle der Erhebung im Sinne von Art. 14 DSGVO aber den Regelfall darstellt – ohne Pflichtinformation das legitimierende Interesse des Verantwortlichen „nicht mehr gerechtfertigt“ ist und damit die Verarbeitung rechtswidrig ist bzw. wird. Es geht also nicht nur um den Verstoß gegen die Informationspflichten, sondern im Grunde auch um „toxische“ Daten an sich, die nicht mehr weiter verarbeitet werden dürfen. Diese Frage stellte sich schon Europäische Gerichtshof in einem Urteil vom Oktober 2015 zur damaligen EU-Datenschutzrichtlinie, als er – vereinfacht ausgedrückt – feststellte, dass Daten nicht (durch staatliche Stellen an andere staatliche Stellen) übermittelt werden dürfen, wenn dem Betroffenen die Pflichtinformationen nicht erteilt wurden. Seither wird über die Reichweite dieser Entscheidung gerätselt (s. dazu auch noch Fall 26).

Pflichten des Übermittelnden und des Übermittlungsempfängers

Selbst wenn ein „Übermittelterhalten“ von personenbezogenen Daten aber nun gar keine Pflichthinweise notwendig machen würde, weil es kein „Erheben“ ist, bleibt dennoch die Frage, welche Pflichten der Übermittelnde in Bezug auf die weitere Verwendung und der Übermittlungsempfänger in Bezug auf die Herkunft der Daten hat. Müsste die Huber AG der Maier GmbH zusätzlich zu den personenbezogenen Daten von Herrn Müller selbst nicht auch die Informationen über die Bedingungen der weiteren Verarbeitung mit auf den Weg geben? Schließlich betreffen die Daten nicht die Huber AG, sondern Herrn Müller. Und müsste die Maier GmbH sich nicht von der Huber AG zusichern lassen, dass die Huber AG die Daten rechtmäßig bei Herrn Müller erhoben hat? Schließlich kann die Maier GmbH nicht sicher wissen, ob dies der Fall ist, also beispielsweise, ob eine von Herrn Müller gegebene Einwilligung in den Druck „seiner“ Visitenkarten im datenschutzrechtlich-arbeitsrechtlichen Sinne „freiwillig“ war. Dieses Thema wird in Fall 12 noch weiter erörtert.

Doch damit nicht genug. Die Huber AG müsste sich zusätzlich überlegen, ob sie Herrn Müller die Übermittlung vorab mitteilen muss. Der Thüringer Landesbeauftragte für Datenschutz schreibt in seinem Tätigkeitsbericht 2018 unter Anspielung auf die (erneuten) Pflichtinformationen bei einer Zweckänderung:

„Eine Übermittlung an einen Dritten ist häufig auch eine Zweckänderung, sodass schon aus diesem Grund vor der Übermittlung die betroffene Person erneut zu informieren ist.“

Diese Passage wirft im vorliegenden Fall – ungeachtet der Pflichtinformationen – die Frage auf, ob die Übermittlung von unternehmensbezogenen Kontaktdaten eines Mitarbeiters an einen Dritten eine Zweckänderung sein kann. Die unternehmensbezogenen Kontaktdaten werden vom Verantwortlichen (Arbeitgeber) zu Zwecken der Durchführung des Beschäftigungsverhältnisses – also zu vertraglichen Zwecken – generiert. Umfasst dieser (anstellungs-)vertragliche Zweck auch die Übermittlung der unternehmensbezogenen Kontaktdaten an Dritte? Diese Frage (s. im Hinblick auf die „Personalaktendaten“ des Beschäftigten auch Fall 7 sowie zu den „Bewegungsdaten“ des Beschäftigten Fall 4) ist nicht so akademisch, wie es scheint.

Stützt sich die Übermittlung auf das Anstellungsverhältnis als datenschutzrechtliche Legitimationsgrundlage, könnte sich vielleicht auch der Empfänger – die Maier GmbH – darauf berufen: Die Verarbeitung bei der Maier GmbH ist „für die Erfüllung eines Vertrages, dessen Vertragspartei die betroffene Person ist, erforderlich“. Dass dieser Vertrag mit der Huber AG besteht, schließt ja nicht aus, dass die Verarbeitung der unternehmensbezogenen Kontaktdaten durch die Maier GmbH erforderlich ist, wenn und solange Herr Müller Einkäufer der Huber AG mit Außenwirkung ist und die Maier GmbH mit diesem „Exponenten“ der Huber AG unternehmensbezogen kommuniziert. Geht man nicht hiervon aus, kann sich die Maier GmbH nur auf eine Einwilligung (dazu Fall 8) oder auf eine Interessenabwägung stützen. Wenn Herr Müller zu einem Zeitpunkt, zu dem er noch Mitarbeiter der Huber AG ist, von der Maier GmbH die Löschung seiner Visitenkartendaten verlangt, ist die Frage, ob er widerrufs- oder widerspruchsberechtigt ist oder nicht, aber ganz wesentlich.

Erheben oder Übermitteln?

Art. 13 und 14 DSGVO sprechen vom „Erheben“, nicht vom „Empfang“. Nach Art. 4 Nr. 9 DSGVO ist „Empfänger“ eine Stelle, „der personenbezogene Daten offengelegt werden“. Ist „Erheben“ nun etwas anderes als „offengelegt-bekommen“? Und warum wird punktgenau nur in Art. 14 Abs. 4 DSGVO statt dem Begriff „übermittelt“ der allgemeinere Begriff „erlangt“ verwendet, der in der DSGVO nicht definiert wird, während in der englischen Sprachfassung der DSGVO die Begriffe „collect“ und „obtain“ in Art. 13 Abs. 1 und 14 Abs. 1 und 4 wild durcheinander verwendet werden? Diese Thematik wird in der juristischen Kommentarliteratur nicht vertieft behandelt. Teils wird in Bezug auf Beispielsfälle kurz festgestellt, dass Daten übermittelt und damit gerade nicht „erhoben“ wurden (sodass der Empfänger auch keine Pflichthinweise erteilen musste, vgl. auch den Fall der Übermittlung einer Traueranzeige in Fall 14). Teils wird ohne weitere Begründung behauptet, dass „der Empfänger übermittelter Daten diese Daten erhebt, indem er sie zielgerichtet entgegennimmt, um sie weiterzuverarbeiten“. Das bereits oben erwähnte EuGH-Urteil vom Oktober 2015 postuliert in der Tat, es sei sogar „Voraussetzung“ für die Verarbeitung „übermittelter“ Daten, dass der Übermittlungsempfänger dem Betroffenen die Pflichthinweise mitteilt. Auch die Berliner Datenschutzbeauftragte ist explizit der Ansicht, dass der Käufer einer Forderung, der die Daten des Schuldners erhält, diesem Pflichtinformationen nach Art. 14 DSGVO zu erteilen hat (s. dazu noch Fall 14). Nimmt man die oben erwähnte Auffassung des Thüringer Datenschutzbeauftragten hinzu, müssten also die meisten Betroffenen zwei Pflichtinformationen erhalten, eine vom Absender (Zweckänderung) und eine vom Empfänger (Erheben).

Es wäre in jedem Fall wünschenswert gewesen, dies im Gesetz klarzustellen, denn die „Breitenwirkung“ dieses Postulats (das kaum jemand in der Praxis befolgt) ist enorm und die spezifische Aussage des EuGH wurde in der Zwischenzeit kaum rezipiert. Der Begriff der Übermittlung wird zwar in der DSGVO genannt, aber nicht definiert: In Art. 4 Nr. 2 DSGVO wird die Übermittlung als ein Fall der Offenlegung bezeichnet und danach wird der Begriff – abgesehen von der Verwendung im Zusammenhang mit dem Recht des Betroffenen auf Datenübertragbarkeit (Art. 20 DSGVO) – ausschließlich im Kapitel über die Übermittlung personenbezogener Daten an Drittländer (Art. 44 bis 50 DSGVO) verwendet. Es hätte daher nahegelegen, das Pendant der Übermittlung auf Empfängerseite, das „Übermittelterhalten“, zu definieren und dann klar in Art. 14 DSGVO zu regeln, ob dem Betroffenen die Pflichthinweise (vorbehaltlich der ausdrücklich geregelten Ausnahmen) bei jedem „Übermittelterhalten“ aufseiten eines Übermittlungsempfängers mitzuteilen sind.

Im Zusammenhang mit der Auftragsverarbeitung schreibt der Thüringer Landesbeauftragte für Datenschutz in seinem Tätigkeitsbericht 2018:

„Zudem sind Auftragsverarbeiter Empfänger im Sinne des Art. 4 Nr. 9 der DS-GVO von personenbezogenen Daten. Das führt dazu, dass der Verantwortliche im Rahmen seiner Informationspflichten nach Art. 13 und 14 der DS-GVO den Auftragsverarbeiter als Empfänger zu benennen hat.“

Bedeutet dies dann, dass der Auftragsverarbeiter als Übermittlungsempfänger auch „erhebt“ und dann dem Betroffenen Pflichtinformationen über die zur Auftragsverarbeitung empfangenen Daten zukommen lassen muss?

Auch die „Orientierungshilfe“ der Datenschutzkonferenz zum Thema Direktwerbung vom November 2018 beschäftigt sich nicht mit der Differenzierung zwischen „Erheben“ und „Übermittelterhalten“. Zwar wird dort der Fall der Übergabe einer Visitenkarte durch eine betroffene Person mit dem Ziel der „weiteren geschäftlichen Kontaktaufnahme“ behandelt, dabei aber nicht berücksichtigt, dass der Betroffene in dieser Konstellation durchaus (bzw. sogar im Regelfall) als Emissär eines Unternehmens mit Wirkung für dieses Unternehmen auftritt und die Visitenkarteninhalte auch für dieses Unternehmen (im datenschutzrechtlichen Sinne) „übermitteln“ könnte. Wie oben angedeutet, könnte die Person ja auch die Visitenkarte bzw. Kontaktdaten eines Kollegen desselben Unternehmens übergeben, der z. B. für das in Rede stehende Thema der bessere Ansprechpartner ist (oder eine entsprechende E-Mail schicken). Allerdings enthält die „Orientierungshilfe“ den lapidaren Satz:

„Sollen personenbezogene Daten der betroffenen Person für Zwecke der Direktwerbung verarbeitet werden, die nicht von dieser Person selbst erhoben wurden, sind die Informationspflichten nach Art. 14 Abs. 1 und 2 DSGVO zu beachten“.

Man kann dies so lesen, dass nur der Gesetzestext des Art. 14 DSGVO (wenn auch etwas undeutlich) wiedergegeben wird: Werden die Daten des Betroffenen erhoben, aber nicht „bei der betroffenen Person“, wie es in Art. 14 DSGVO heißt, dann gilt natürlich Art. 14 DSGVO. Man könnte es aber auch so lesen, dass – ohne weitere Begründung – die Datenschutzbehörden nun jedes Übermittelterhalten als „Erhebung“ ansehen. Deutlich wird dies nicht. Man darf gespannt sein, wie in einigen Jahren die Würfel fallen, die die DSGVO in die Höhe geworfen hat.

Parallelfall: Webseite

Viele Sachverhalte im Umgang mit digitalen Daten machen das Problem im Umgang mit dem Begriff des „Erhebens“ deutlich. Schreibt eine Privatperson an ein Unternehmen, es möge ihr dessen aktuellen Katalog an die angegebene Adresse der Privatperson schicken, wird jeder Datenschutzrechtler davon ausgehen, dass die Adresse „erhoben“ wurde. Dabei ist irrelevant, wie lange diese Adresse vom Unternehmen „gespeichert“ wird. Wie sieht es aber mit dem einfachsten möglichen digitalen Pendant aus – also bei „granularer Sichtweise“ (dazu Fall 14)? Der Browser einer surfenden Privatperson sendet eine HTTP-Anfrage an den Server des Unternehmens, es möge ihm dessen aktuelle Webseite an die angegebene Ziel-IP des Rechners, vor dem die surfende Privatperson gerade sitzt, schicken. Ist das nicht ebenso eine Erhebung, gleich, wie lange diese IP-Adresse vom Server des Unternehmens gespeichert wird? Typologisch gibt es eigentlich keinen Unterschied, den müsste man mühsam konstruieren. Muss dies nun dazu führen, dass eine Datenschutzerklärung des Inhalts „Wir erheben auf dieser Webseite keine personenbezogenen Daten“ falsch ist, und dass eine Datenschutzerklärung, die hinsichtlich der Speicherung von IP-Adressen nur auf Server-Logfiles und die „mittelfristige“ Speicherung der IPs zu Zwecken der Aufrechterhaltung des Webseiten-Dienstes Bezug nimmt, unvollständig ist? Man weiß es nicht.

Parallelfall: Paketdienst

Ein anderes Beispiel: Auf der Website eines Paketdienstes – als selbstständig Verantwortlichem – werden (vom Absender) die Daten des Empfängers eines Pakets eingegeben und daraus das Sendungsetikett erzeugt, das auf das Paket geklebt wird. Werden die Empfängerdaten dem Paketdienst „übermittelt“ oder „erhebt“ der Paketdienst die Daten des Empfängers? Wenn man hier von einer „Erhebung“ ausgehen würde, wäre Art. 14 DSGVO einschlägig – dem Empfänger müssten die Pflichtinformationen vom Paketdienst mitgeteilt werden. Dies geschieht aber gewöhnlich weder bei der Eingabe der Empfängerdaten noch bei der Inempfangnahme des Pakets noch bei dessen Auslieferung. Dabei muss man noch gar nicht an die (tatsächliche) Erhebung der Daten der dritten Person denken, bei der ersatzweise zugestellt wird (Nachbar, Mitbewohner) und die dem Mitarbeiter des Paketdienstes Name und Unterschrift hinterlässt. Dass die polnische Datenschutzbehörde in einem Fall, der – um es vorsichtig auszudrücken – möglicherweise strukturell vergleichbar ist, die Versendung von E-Mails und Briefen mit Pflichtinformationen an die Betroffenen für verhältnismäßig bzw. zumutbar gehalten hat, wird in Fall 22 aufgezeigt.

Das Gleiche gilt für die (vielen) Fälle, in denen Einzelhändler für mit Endkunden vereinbarte Direktlieferungen die Endkundenadressen an Hersteller oder Großhändler weitergeben (beauftragte Warenzusendung) – übrigens auch hier nach der „Auslegungshilfe“ des Bayerischen Landesamts für Datenschutzaufsicht zur Frage „Was ist Auftragsverarbeitung und was nicht?“ kein Fall der Auftragsverarbeitung, sondern ein Fall zweier selbstständiger Verantwortlicher (weil bei der Dienstleistung Kommissionierung und Versand nicht die Datenverarbeitung im Vordergrund steht, s. Fall 7).

Drittländer

Es geht aber noch weiter: Wenn Klaus Schmidt in Google den Suchbegriff „Franz Lehmann“ eingibt, dann „weiß“ Google (USA) von Klaus Schmidt – identifiziert anhand von dessen Google-Konto, zumindest aber von dessen IP-Adresse –, dass er Informationen zu Franz Lehmann sucht und (durch Klicken auf Links bzw. Suchergebnisse) erhebt. Die Erhebung personenbezogener Daten von Franz Lehmann durch Klaus Schmidt stellt also gleichzeitig auch eine Übermittlung personenbezogener Daten von Klaus Schmidt sowie von Franz Lehmann (nämlich, dass Klaus Schmidt bestimmte Informationen über Franz Lehmann sucht) an Google (USA) dar. Unabhängig von der Frage, ob und wann Klaus Schmidt als erhebender und übermittelnder Verantwortlicher Franz Lehmann hierüber Pflichthinweise zur Verfügung stellen muss – Klaus Schmidt ist schließlich auch als Privatperson insoweit „Verantwortlicher“ (s. dazu Fall 18) –, müsste Google (USA) als Übermittlungsempfänger Franz Lehmann über diese Übermittlung mit Pflichthinweisen informieren. Das setzt lediglich voraus, dass Franz Lehmann eine für Google (USA) mit zumutbaren Mitteln identifizierbare Person ist. Wir erinnern uns (s. Einleitung), dass Erwägungsgrund 26 der DSGVO vorgibt, dass dabei „alle Mittel berücksichtigt werden, die von dem Verantwortlichen oder einer anderen Person nach allgemeinem Ermessen wahrscheinlich genutzt werden, um die natürliche Person direkt oder indirekt zu identifizieren“. Und wer hat nicht schon mal jemanden „gegoogelt“?

Erheben oder Hergeben?

In einer Entscheidung des Bundesgerichtshofs zum Thema „Zugriff der Erben auf den Facebook-Account des Erblassers“ vom Juli 2018 findet sich übrigens ein interessanter Satz zu dem Thema, zu dem nun wieder gerätselt werden darf, ob er „nur so dahingesagt“ wurde oder ein ganz anderes Begriffsverständnis des BGH zeigt. Bei Nachrichten, die A an B über Facebook schreibt – sowohl A als auch B sind Facebook-Teilnehmer und damit Vertragspartner von Facebook –, handele es sich nicht um von Facebook „erhobene, sondern um von den Kommunikationspartnern im Rahmen des bestehenden Vertrags (EG 47 Satz 2) freiwillig und selbstbestimmt sowie inhaltlich kontrollierbar übersandte Daten“. Die Kommentarstelle, auf die der BGH verweist, beschäftigt sich allerdings mit den in eine Interessenabwägung einzustellenden Interessen, nicht mit dem Thema Erhebung. Wenn man den BGH wörtlich nehmen würde, dann wäre (zumindest) überall dort nicht von einem „Erheben“ im datenschutzrechtlichen Sinne auszugehen, wo jemand „einfach so“ Daten hergibt, ohne dass er das muss – bei Bewerbungen, Visitenkartenübergaben, E-Mail-Korrespondenz? Das gilt aber nur, wenn der BGH das Wort „Erheben“ hier im strikten Sinne der DSGVO gemeint hat, was niemand weiß. Es gilt also wie so oft: Fröhlich judizierende Richter und Millionen fragender Gesichter.

Löschen unternehmensbezogener Kontaktdaten

Wenn man Beschäftigtendaten grob in die Kategorien Personalaktendaten (für die Administration des Beschäftigungsverhältnisses), unternehmensbezogene Kontaktdaten (im Ausgangsfall oben behandelt) und laufend generierte „Bewegungsdaten“ (s. Fall 4) unterscheidet, stellt sich neben der Frage der Erhebung natürlich auch immer die Frage, wann diese zu löschen sind und wer davon ggf. benachrichtigt werden muss (zur Benachrichtigungspflicht s. Fall 22, dort auch zu Mitarbeiterfotos).

Unternehmensbezogene Kontaktdaten, die der Arbeitgeber für seine Arbeitnehmer bei deren Einstellung generiert, sind mit Beendigung des Anstellungsverhältnisses obsolet. Der Zweck des Beschäftigungsverhältnisses kann ihre weitere Verarbeitung nicht rechtfertigen. Diese vermeintlich klare und verständliche Botschaft wirft allerdings Folgefragen größerer Komplexität auf – man muss sich nur vor Augen führen, wo überall unternehmensbezogene Kontaktdaten dieses Mitarbeiters gespeichert sind –, die sich auch bei Bewegungsdaten stellen. Auf diese Thematik wird in Fall 33 weiter eingegangen.

Das gute Ende

Wer bis hierher gelesen hat, wird mutmaßlich zustimmen, dass die DSGVO es bei genauer Betrachtung mit der „juristischen Lupe“ schwierig macht, einen einfachen Fall wie die Übergabe einer Visitenkarte einer eindeutigen, mit dem Gesetzestext klar zu vereinbarenden Lösung zuzuführen. Man kann es sich aber auch wesentlich einfacher machen, die DSGVO „einen guten Mann sein lassen“ und mit dem gesunden Menschenverstand argumentieren. So findet sich in der FAQ-Sektion des Bayerischen Landesamts für Datenschutzaufsicht auf die Frage „Welche Informationspflicht bestehen bei Übergabe einer Visitenkarte?“ die verblüffend einfache Antwort: „In den meisten Fällen keine, da die Kontaktdaten der Verantwortlichen und der Zweck (Zusendung von Infomaterial) klar sind. Nur wenn ein abweichender Zweck beabsichtigt ist, bestehen weitergehende Informationspflicht.“

Dieses Verständnis beruht auf einem weiten Verständnis von Art. 13 Abs. 4 bzw. Art. 14 Abs. 5 lit. a DSGVO, wonach es keiner Pflichtinformationen bedarf, wenn die betroffene Person „bereits über die Informationen verfügt“. Ob dies nach allem, was sich oben an Problemen im Detail auftürmt, so einfach behauptet werden kann, und ob der Zweck der Übergabe einer Visitenkarte in den meisten Fällen die „Zusendung von Infomaterial“ ist, ist eine andere Frage. In der juristischen Kommentarliteratur wird zu Art. 13 Abs. 4 DSGVO Folgendes ausgeführt:

„Abs. 4 schränkt die dargestellten Informationspflichten auf die Fälle ein, in denen die betroffene Person nicht bereits über die Informationen verfügt. [...] Der Informationsgehalt muss demnach aber in Ausmaß, Genauigkeit und Klarheit denen aus den vorherigen Absätzen entsprechen. Zudem reicht es nicht aus, dass die betroffene Person auf irgendeine Art und Weise Kenntnis über die Informationen erhalten hat bzw. erhalten kann, sondern sie müssen ihr nachweislich zur Verfügung stehen. Das beinhaltet auch, dass diese Informationen im Herrschaftsbereich der betroffenen Person sicher vorhanden sind, weshalb die bloße Möglichkeit, sich diese Informationen zu beschaffen, gerade nicht ausreicht (bspw. bestehende Rechtsvorschriften im Netz). Die Informationspflichten können daher nur dann im Sinne des Abs. 4 ausnahmsweise entfallen, wenn der Verantwortliche und die betroffene Person zum Beispiel in ständigem oder wiederkehrenden geschäftlichen Kontakt stehen.“

Der letzte Satz würde gerade bei einem Erstkontakt mit Übergabe einer Visitenkarte die Anwendbarkeit von Art. 13 Abs. 4 DSGVO ausschließen. Wir werden irgendwann sehen, ob der Europäische Gerichtshof dennoch der „progressiven“ Sichtweise folgt.

Diese News könnten Sie auch interessieren
Alle News
Mehr laden
Diese Vorträge & Veröffentlichungen könnten Sie interessieren
Alle Vorträge & Veröffentlichungen
Mehr laden