Potsdam, 24. Mai 2023
mit Ablauf des heutigen Tages sind nunmehr fünf Jahre vergangen, in denen die EU-Datenschutz-Grundverordnung (DSGVO) anzuwenden ist. Wenn ich anläßlich dieses Jahrestages an die Monate vor dem Gültigwerden der DSGVO denke, muss ich immer wieder an die erstaunten Gesichter denken, in die ich blickte, nachdem ich die Frage nach der Übergangszeit so beantwortet habe: "Die gute Nachricht ist: Die Übergangszeit beträgt zwei Jahre. Die schlechte Nachricht ist: Die Übergangszeit begann bereits am 25. Mai 2016." Offensichtlich hatten viele Verantwortliche die Meldungen in der ersten Jahreshälfte 2016 über die neue Datenschutzgesetzgebung der EU entweder nicht ernst genommen oder verdrängt (das sind ja noch zwei Jahre, bis wie die DSGVO anwenden müssen, da müssen wir uns jetzt noch nicht drum kümmern. Und dann kam der 25. Mai 2018 so plötzlich wie jedes Jahr der 24. Dezember.
Da kommt die Meldung der irischen Datenschutzaufsichtsbehörde gerade recht: Sie hat das bisher höchste Bußgeld verhängt, dass bislang wegen einem Verstoß gegen die DSGVO jemals verhängt wurde. Dazu weiter unten aber mehr.
Im Großen und Ganzen lässt sich sagen, dass zum Einen die Umsetzung der DSGVO für die Unternehmen, die bereits das schon lange vorher gültige Bundesdatenschutzgesetz (BDSG) beachtet und umgesetzt hatten, mit einem überschaubaren Aufwand zu meistern war und zum Anderen viele Unternehmen, die den Datenschutz - auch wegen der geringen Bußgelder vor Mai 2018 - bisher nicht ernst genommen hatten, einiges - um nicht zu sagen: sehr viel - nachzuholen hatten. Die Datenschutz-Organisation NOYB ist der Auffassung, dass die nationalen Datenschutz-Aufsichtsbehörden den europäischen Gesetzgeber hängen lassen: https://noyb.eu/de/5-years-gdpr-national-authorities-let-down-european-legislator. Der BfDI überschreibt seine Pressemitteilung zum Thema mit "5 Jahre DSGVO - Datenschutz-Grundverordnung als Maßstab in der digitalen Landschaft":
https://www.bfdi.bund.de/SharedDocs/Pressemitteilungen/DE/2023/09_Veranstaltung-5-Jahre-DSGVO.html?nn=251944
Nun aber zu den heutigen Themen:
Ich denke das reicht für heute und wünsche Ihnen nun eine anregende Lektüre.
Viele Grüße,
Werner Hülsmann
P.S.: Wenn Sie diesen Newsletter weiterempfehlen wollen, reichen Sie bitte diesen Link weiter: https://dsgvo.expert/NEWSL
Der Autor dieses Newsletters ist Werner Hülsmann, Jahrgang 1961 und Diplom-Informatiker mit Nebenfach Datenschutz. Er beschäftigt sich seit April 1983 und damit bereits seit über 40 Jahren mit dem Datenschutz. Im 2. Semester seines Informatik-Studiums hat er an der TU Darmstadt schon an einer Datenschutzvorlesung von Professor Adalbert Podlech teilgenommen. "Gemeinsam mit Wilhelm Steinmüller begründete Podlech die Verfassungsbeschwerde gegen das Volkszählungsgesetz beim Bundesverfassungsgericht. Das Gericht folgte der Begründung teilweise bis in die wörtlichen Formulierungen." (Quelle: https://de.wikipedia.org/wiki/Adalbert_Podlech). Werner Hülsmann ist seit 1999 selbständiger Datenschutzberater und seit 2004 anerkannter Datenschutzsachverständiger sowie seit 2010 als „EuroPriSe Certified European Privacy Expert – Technical and Legal“ (EuroPriSe, https://www.euprivacyseal.com/) akkreditiert. Bereits seit 2013 (ja, Sie haben richtig gelesen: bereits seit dem EU-Gesetzgebungsverfahren) beschäftigt sich Werner Hülsmann mit der EU-Datenschutz-Grundverordnung (DSGVO). Auch mit dem Schweizer Datenschutzrecht beschäftigt sich Werner Hülsmann schon seit vielen Jahren.
Eine ausführlichere Vita finden Sie unter https://daschuwi-gmbh.de/wp-content/uploads/2023/03/Vita-Werner_Huelsmann-2023-03.pdf
Am 22. Mai veröffentlichten der Europäische Datenschutz-Ausschuss (EDSA) und die irische Datenschutz-Aufsichtsbehörde (DPC-IE) Mitteilungen, dass die DPC-IE gegen Meta Platforms Ireland Limited (Meta Ireland, vormals Facebook Ireland) ein Bußgeld in Höhe von 1,2 Milliarden Euro (im Englischen: 1.2 billion Euro) verhängt hat und die Übermittlung der Nutzer:innen-Daten in die USA - als an den US-Amerikanischen Mutterkonzern Meta - untersagt hat (oder wie es offiziell heißt: Meta wurde angewiesen, seine Datenübermittlungen in Einklang mit der DSGVO zu bringen, was aber de facto einer Übermittlungsuntersagung gleich kommt). Dieses Bußgeld - das höchste seit dem Gültigwerden der DSGVO - wurde für die unzulässigen Datenübermittlungen in die USA auf Basis der Standardvertragsklauseln für den Zeitraum ab den 16. Juli 2020 verhängt.
Zu dieser Entscheidung musste die irische Datenschutz-Aufsicht aber erst "getragen" werden. Erst nach einer verbindlichen Entscheidung des EDSA hat die DPC-IE dieses Bußgeld verhängt. Das Verfahren läuft nun bereits seit 10 Jahren. Damals hat Edward Snowden die Unterstützung des NSA-Massenüberwachungsapparats durch US-Großunternehmen wie z.B. Facebook enthüllt. Max Schrems legte daraufhin Beschwerde bei der irischen Datenschutz-Aufsichtsbehörde ein, die allerdings erst einmal untätig blieb. Die Folgen waren die Urteile Schrems I und Schrems II des Europäischen Gerichtshofes (EuGH) sowie die Nichtigkeit des Safe-Habor-Abkommens als Grundlage für einen Angemessenheitsbeschlusses als auch dessen Nachfolgers, des EU-US-Privacy-Shields. Bei der Gelegenheit: Inwieweit das EU-U.S. Data Privacy Framework Bestand haben oder ob es durch ein Schrems III-Urteil für nichtig erklärt werden wird, wird sich noch zeigen.
Meta hat bereits angekündigt, gegen dieses Bußgeld klagen zu wollen. Es wird also voraussichtlich noch Jahre dauern, bis der Bußgeldbescheid rechtskräftig wird.
Rechtzeitig zum fünften Geburtstag des Gültigwerderns der DSGVO hat die CMS Hasche Sigle Partnerschaft von Rechtsanwälten und Steuerberatern mbB die vierte Auflage des GDPR Enforcement Tracker Reports veröffentlicht, in dem sie einmal pro Jahr die Informationen zu öffentlich bekannten Datenschutz-Bußgeldern analysieren. Dieser Report ist nur online und nur in Englisch verfügbar: https://cms.law/en/deu/publication/gdpr-enforcement-tracker-report. Eine Executive Summary des Reports gibt es auch als PDF-Datei: https://cms.law/en/media/international/files/publications/publications/gdpr-enforcement-tracker-report-may-2023?v=3. Der GDPR Enforcement Tracker selbst ist hier zu finden: https://www.enforcementtracker.com/. Selbstverständlich ist die 1,2-Milliarden-Geldbuße für Meta-Irland dort auch schon zu finden. Die einzelnen Geldbußen lassen sich nach Datum, Land der verhängenden Datenschutz-Aufsichtsbehörde und Datum der Entscheidung sortieren sowie nach dem Verantwortlichen und den Typ des Verstoßes filtern.
Bei der Sortierung nach Geldbuße fällt auf, dass von den 10 höchsten Geldbußen sechs gegen Meta bzw. Facebook und Whatsapp, drei gegen Google und eine gegen Amazon verhängt wurde. Deutsche Unternehmen "schaffen" es mit 35.258.708 € und € 10,4 Millionen Euro erst auf den 11. und 22. Platz. Die Geldbuße gegen die Deutsche Wohnen S.E. ist dabei (noch) nicht enthalten, da das Landgericht Berlin den Bußgeldbescheid aufgehoben hatte und über die Berufung der Staatsanwaltschaft Berlin noch verhandelt wird (inkl. Vorlagefragen an den EuGH - s.u. Ziffer 6).
Die Ersteller:innen des GDPR Enforcement Tracker Reports haben in Ihrem Newsletter zur Veröffentlichtung der vierten Auflage u.a. geschrieben.
"Seit dem 25. Mai 2018 haben die europäischen Datenschutzbehörden in mehr als 1.500 bekannten Fällen Bußgelder mit einer Gesamtsumme von 2,77 Mrd. EUR verhängt. Im Analysezeitraum des diesjährigen Reports zwischen März 2022 und März 2023 kamen rund 540 neue Fälle mit einer Gesamtsumme von rund 1,19 Mrd. EUR hinzu – die Datenschutzbehörden machen also auch weiterhin von den Sanktionsmöglichkeiten der Datenschutz-Grundverordnung (DSGVO) Gebrauch."
Hier hat handelt es sich um ein Vorabentscheidungsverfahren. In diesem hat der EuGH folgendes "für Recht erkannt:
Oder anders gesagt: Es reicht für einen Anspruch auf Schadensersatz nicht aus, dass die Person, die diesen erhalten möchte, von einer datenschutzrechtlich unzulässigen Datenverarbeitung betroffen ist. Vielmehr muss ein konkreter - wenn auch nur immaterieller - Schaden, den die betroffene Person erlitten hat, dargelegt werden. Wie erheblich der Schaden ist, ist dabei für die Fragestellung, ob ein Schadensersatz zu leisten ist, unerheblich. Die nationalen Gerichte dürfen und müssen bei der Bemessung des Schadensersatzes die nationalen Vorschriften zum Schadensersatz anwenden. Dabei müssen sie aber "die unionsrechtlichen Grundsätze der Äquivalenz und der Effektivität" beachten.
Da dieses Urteil in der PDF-Version - https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:62021CJ0300 - nur 13 Seiten hat, kann ich die Lektüre nur empfehlen.
Link zum Verfahren und den Dokumenten inklusive Schlussanträge und Urteil:
https://curia.europa.eu/juris/liste.jsf?nat=or&mat=or&pcs=Oor&jur=C%2CT%2CF&num=C-300%252F21&for=&jge=&dates=&language=de&pro=&cit=none%252CC%252CCJ%252CR%252C2008E%252C%252C%252C%252C%252C%252C%252C%252C%252C%252Ctrue%252Cfalse%252Cfalse&oqp=&td=%3BALL&avg=&lgrec=de&lg=&page=1&cid=14211229
Auch hierier hat handelt es sich um ein Vorabentscheidungsverfahren. In diesem hat der EuGH folgendes "für Recht erkannt:
Bei dem Verfahren geht es um ein Auskunftsersuchen einer betroffenen Person (der Kläger des Ausgangsverfhren) die CRIF. Die "CRIF ist eine Kreditauskunftei, die auf Verlangen ihrer Kunden Informationen über die Zahlungsfähigkeit Dritter liefert. Zu diesem Zweck verarbeitete sie die persönlichen Daten des Klägers des Ausgangsverfahrens." (RdNr. 9 des Urteils)
"Da der Kläger des Ausgangsverfahrens der Ansicht war, dass CRIF ihm eine Kopie sämtlicher Dokumente, die seine Daten enthalten, wie etwa E‑Mails und Auszüge aus Datenbanken, hätte übermitteln müssen, brachte er bei der Datenschutzbehörde eine Beschwerde ein. Mit Bescheid vom 11. September 2019 wies die Datenschutzbehörde die Beschwerde mit der Begründung ab, dass CRIF das Recht des Klägers des Ausgangsverfahrens auf Auskunft über die personenbezogenen Daten nicht verletzt habe. Das vorlegende Gericht, das mit der Klage des Klägers des Ausgangsverfahrens gegen diesen Bescheid befasst ist, stellt sich die Frage der Tragweite von Art. 15 Abs. 3 Satz 1 DSGVO. Es fragt sich insbesondere, ob die in dieser Bestimmung vorgesehene Verpflichtung, eine „Kopie“ der personenbezogenen Daten zur Verfügung zu stellen, erfüllt ist, wenn der für die Verarbeitung Verantwortliche die personenbezogenen Daten als Tabelle in aggregierter Form übermittelt, oder ob diese Verpflichtung auch die Übermittlung von Auszügen aus Dokumenten oder gar von ganzen Dokumenten sowie von Auszügen aus Datenbanken umfasst, in denen diese Daten wiedergegeben werden." (RdNrn. 12 - 14 des Urteils).
Dieses Urteil hat in der PDF-Version - https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:62021CJ0487 - zwar schon 14 Seiten, aber ich kann die Lektüre trotzdem empfehlen.
Insbesondere sind aus meiner Sicht folgende Ausführungen des Gerichts wichtig:
"Nach alledem [das sind die vorherigen Ausführungen des Gerichts] ist auf die erste bis dritte Vorlagefrage zu antworten, dass Art. 15 Abs. 3 Satz 1 DSGVO dahin auszulegen ist, dass das Recht, vom für die Verarbeitung Verantwortlichen eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zu erhalten, bedeutet, dass der betroffenen Person eine originalgetreue und verständliche Reproduktion aller dieser Daten ausgefolgt wird. Dieses Recht setzt das Recht voraus, eine Kopie von Auszügen aus Dokumenten oder gar von ganzen Dokumenten oder auch von Auszügen aus Datenbanken, die u. a. diese Daten enthalten, zu erlangen, wenn die Zurverfügungstellung einer solchen Kopie unerlässlich ist, um der betroffenen Person die wirksame Ausübung der ihr durch diese Verordnung verliehenen Rechte zu ermöglichen, wobei insoweit die Rechte und Freiheiten anderer zu berücksichtigen sind." (RdNr. 45 des Urteils)
Konkret bedeutet dies, dass der Auskunftsanspruch und der Anspruch auf Erhalt einer Kopie sehr weit gefasst sind, so dass eine Kopie nach Art. 15 Abs. 3 DSGVO sehr umfangreich werden kann. Auch E-Mails und im CRM-System abgelegte Notizen, die sich auf die betreffende Person beziehen, sind zu beauskunften und in die Kopie mit aufzunehmen, dabei können - und müssen meist - personenbezogene Daten Dritter (wie z.b. der:des Beschäftigten, der die E-Mail oder Notiz Verfasst hat) zu schwärzen.
"Nach alledem ist auf die vierte Vorlagefrage zu antworten, dass Art. 15 Abs. 3 Satz 3 DSGVO dahin auszulegen ist, dass sich der im Sinne dieser Bestimmung verwendete Begriff „Informationen“ ausschließlich auf personenbezogene Daten bezieht, von denen der für die Verarbeitung Verantwortliche gemäß Satz 1 dieses Absatzes eine Kopie zur Verfügung stellen muss." (RdNr. 53 des Urteils).
D. h. die Angaben aus Art. 15 Abs. 1 Zweiter Halbsatz Buchstaben a) bis h) (Angaben zu Verarbeitungszwecken, Datenkategoieren, Empfängern oder Empfängerkategorien, etc.) müssen zwar in der Auskunft enthalten sein, nicht aber in die Kopie der personenbezogenen Daten mit aufgenommen werden
Link zum Verfahren und den Dokumenten inklusive Schlussanträge und Urteil:
https://curia.europa.eu/juris/documents.jsf?nat=or&mat=or&pcs=Oor&jur=C%2CT%2CF&num=C-487%252F21&for=&jge=&dates=&language=de&pro=&cit=none%252CC%252CCJ%252CR%252C2008E%252C%252C%252C%252C%252C%252C%252C%252C%252C%252Ctrue%252Cfalse%252Cfalse&oqp=&td=%3BALL&avg=&lgrec=de&page=1&lg=&cid=14644017
Auch hier handelt es sich um ein Vorabentscheidungsverfahren. Bei diesem geht es um das 14,5-Millionen-Euro-Bußgeld, dass die Berliner Datenschutzbeauftragte gegen die Deutsche Wohnen verhängt hat (vgl. https://netzpolitik.org/2022/datensammelwut-14-millionen-bussgeld-gegen-deutsche-wohnen-landet-vor-eu-gericht/ ) In seinen Sschlussangträgen schreibt der Generalanwalt Maneuel Campos Sánchez-Bordona:
Er schlägt vor, dem vorlegendem Gericht (Kammergericht Berlin) zu antworten:
"Art. 58 Abs. 2 Buchst. i der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) in Verbindung mit Art. 4 Nr. 7 und Art. 83 dieser Verordnung ist dahin auszulegen,
dass die Verhängung einer Geldbuße gegen eine juristische Person, die für die Verarbeitung personenbezogener Daten verantwortlich ist, nicht von der vorherigen Feststellung eines Verstoßes durch eine oder mehrere individualisierte natürliche Person(en), die im Dienst dieser juristischen Person stehen, abhängt.
Die Verwaltungsgeldbußen, die gemäß der Verordnung 2016/679 verhängt werden können, setzen voraus, dass festgestellt wird, dass das den geahndeten Verstoß begründende Verhalten vorsätzlich oder fahrlässig war.“
Folgt der EuGH den Schlußanträgen (was zwar nicht zwingend aber häufig der Fall ist), so würde dies bedeuten, dass Geldbußen auch dann gegen juristische Personen (wie z.B. Unternehmen) als solches möglich sind, auch wenn keine für das Unternehmen tätige (natürliche) Person benannt wird, die einen Datenschutzverstoß begangen hat. Allerdings muss es sich um eine vorsätzliche oder zumindest fahrlässige Tat handeln. D.h. dass schon ein schuldhaftes Unterlassen - wenn auch nur aus leicher Fahrlässigkeit begannen - bereits zu einer Geldbuße für das Unternehmen führen kann. In Rdnr. 76, Satz 2 schreibt der Generalanwalt: "Unter den Begriff des Verschuldens (in der Variante der Fahrlässigkeit) können Fälle der bloßen Nichtbeachtung einer Rechtsvorschrift fallen, wenn der Handelnde wissen musste, welches Handeln von ihm verlangt wird."
Es bleibt bis zur Urteilsverkündung also spannend.
Link zum Verfahren und den Dokumenten inklusive Schlussanträge (später finden Sie hier auch das Urteil):
https://curia.europa.eu/juris/documents.jsf?nat=or&mat=or&pcs=Oor&jur=C%2CT%2CF&num=C-807%252F21&for=&jge=&dates=&language=de&pro=&cit=none%252CC%252CCJ%252CR%252C2008E%252C%252C%252C%252C%252C%252C%252C%252C%252C%252Ctrue%252Cfalse%252Cfalse&oqp=&td=%3BALL&avg=&lgrec=de&page=1&lg=&cid=14206135
_________________________________________________
Um Ihre Newsletter-Einstellungen zu ändern oder Ihre Daten zu berichtigen, bitte hier klicken. - Um Ihre Daten zu Auskunftszwecken gemäß Art. 15 der EU-Datenschutz-Grundverordnung (DSGVO) oder zum Zwecke der Datenübertragbarkeit gemäß Art. 20 DSGVO herunterzuladen, bitte hier klicken - Sollten Sie Ihre Einwilligung widerrufen und sich wieder abmelden wollen, dann bitte hier klicken - Die Datenschutzerklärung finden Sie hier
-----------------------------------------------
Meine Infoseite zur Europäischen Datenschutz- grundverordnung (DSGVO): <https://dsgvo.expert> ----------------------------------------------- -- Datenschutzwissen.de - Dipl. Inform. Werner Hülsmann - Datenschutzgutachter - Datenschutzexperte - * Münchener Str. 101 - Gebäude 1 / 1. OG - D-85737 Ismaning FAX.: 089 / 51 30 569-8 * Pappelhof 12 - D-14478 Potsdam Mobil: 0177 / 28 28 681 E-Mail: wh@datenschutzwissen.de - http://www.datenschutzwissen.de