Rechtsprechung

Beschlüsse, Urteile & Teilurteile – alles aus der Rechtsprechung

BGH zu Cookies und dem Erfordernis von Einwilligungen – („Planet 49“)

Heute hat der BGH sein Urteil im sog. „Planet 49“-Verfahren gesprochen. Zuvor hatte der BGH bzgl. einiger Fragen zu Cookies dem EuGH Fragen vorgelegt. Hieraus resultierte das sog. „Planet 49“-Urteil des EuGH (Urteil vom 01.10.2019, Az.: C-673/17).

Durch dieses Urteil des EuGH war – in Verbindung mit den Vorlagefragen des BGH – die heutige Entscheidung schon ein wenig im Voraus zu erahnen.

Bislang gibt es nur die Pressemitteilung des BGH zu dem Urteil. Die lässt noch einiges an Interpretationsspielraum im Detail offen. Das Urteil mit Entscheidungsgründen wird dann später hier abrufbar sein.

Aus der Pressemitteilung lässt sich im Hinblick auf ein Erfordernis für eine Einwilligung zum Setzen von Cookies Folgendes entnehmen:

Die Einholung der Einwilligung mittels eines voreingestellten Ankreuzkästchens war nach der bis zum 24. Mai 2018 geltenden Rechtslage – also vor Geltung der Verordnung (EU) 2016/679 – im Sinne von § 307 Abs. 2 Nr. 1 BGB mit wesentlichen Grundgedanken des § 15 Abs. 3 Satz 1 TMG unvereinbar.

Der BGH stellt hier zunächst fest, dass eine Einwilligung schon vor Anwendung der DSGVO nicht durch eine vorangekreuzte Checkbox erteilt werden konnte. Dies war schon mit den wesentlichen Grundgedanken von § 15 Abs. 3 TMG unvereinbar.

Bei der im Streitfall in den Cookies gespeicherten zufallsgenerierten Nummer (ID), die den Registrierungsdaten des Nutzers zugeordnet ist, handelt es sich um ein Pseudonym im Sinne dieser Vorschrift. § 15 Abs. 3 Satz 1 TMG ist mit Blick auf Art. 5 Abs. 3 Satz 1 der Richtlinie 2002/58/EG in der durch Art. 2 Nr. 5 der Richtlinie 2009/136/EG geänderten Fassung dahin richtlinienkonform auszulegen, dass für den Einsatz von Cookies zur Erstellung von Nutzerprofilen für Zwecke der Werbung oder Marktforschung die Einwilligung des Nutzers erforderlich ist.

Interessant ist hier zunächst, dass der BGH bei einer zufallsgenerierten ID in einem Cookie von einem „Pseudonym“ i.S.d. § 15 Abs. 3 TMG ausgeht. Dies könnte übrigens im Gegensatz zur der Ansicht der deutschen Aufsichtsbehörden (s. DSK, Orientierungshilfe der Aufsichtsbehörden für Anbieter von Telemedien, März 2019, S. 15) gehen, die bei IDs, die der Wiedererkennung von Nutzern dienen, nicht von einer wirksamen Pseudonymisierung i.S.d. DSGVO ausgehen.

Aus den Ausführungen der Pressemitteilung des BGH lässt sich hier zunächst nur entnehmen, dass für Cookies, die zur „Erstellung von Nutzerprofilen für Zwecke der Werbung oder Marktforschung“ eine Einwilligung des Nutzers erforderlich ist. Das lässt durchaus etwas Spielraum für Interpretationen offen. Hier sollten wir aber die Urteilsbegründung abwarten.

In den weiteren Ausführungen der Pressmitteilung nimmt der BGH dann kurz Stellung zur ePrivacy-Richtlinie und dem TMG. Wir können das auch als Ausführungen des BGH zu seinem „Kreativ-Spagat“ der richtlinienkonformen Auslegung des TMG nennen:

Der richtlinienkonformen Auslegung des § 15 Abs. 3 Satz 1 TMG steht nicht entgegen, dass der deutsche Gesetzgeber bisher keinen Umsetzungsakt vorgenommen hat. Denn es ist anzunehmen, dass der Gesetzgeber die bestehende Rechtslage in Deutschland für richtlinienkonform erachtete. Mit dem Wortlaut des § 15 Abs. 3 Satz 1 TMG ist eine entsprechende richtlinienkonforme Auslegung noch vereinbar. Im Fehlen einer (wirksamen) Einwilligung kann im Blick darauf, dass der Gesetzgeber mit § 15 Abs. 3 Satz 1 TMG das unionsrechtliche Einwilligungserfordernis umgesetzt sah, der nach dieser Vorschrift der Zulässigkeit der Erstellung von Nutzungsprofilen entgegenstehende Widerspruch gesehen werden.

Das muss man sich einmal auf der Zunge zergehen lassen. Also der BGH meint, dass § 15 Abs. 3 Satz 1 TMG (noch) richtlinienkonform dahingehend ausgelegt werden kann, dass die nach Art. 5 Abs. 3 ePrivacy-Richtlinie erforderliche Einwilligung in nicht unbedingt erforderliche Cookies in Art. 15 Abs. 3 Satz 1 TMG „hineingelesen“ werden kann. Und zwar so, dass bei Fehlen einer Einwilligung automatisch ein Widerspruch vorliegt. Wow…das ist in der Tat ein Spagat. Aber das war ja zu erwarten.

Jedenfalls führt das im Ergebnis dazu, dass § 15 Abs. 3 TMG wegen der möglichen richtlinienkonformen Auslegung und der insoweit bewussten Entscheidung des deutschen Gesetzgebers wegen Art. 95 DSGVO von der DSGVO unberührt bleibt.

Schließlich macht der BGH dann noch Ausführungen dazu, dass die Definition der Einwilligung in der DSGVO im Vergleich zur vorherigen Regelung zur Einwilligung in der EG-Datenschutzrichtlinie zu demselben Ergebnis führen, so dass sich auch nach der neuen Rechtslage immer noch eine vorangehakte Checkbox keine wirksame Einwilligung darstellen könne.

Wer jetzt denkt, dass der BGH mit seinem „Kreativ-Spagat“ zu weit gegangen ist, dem möchte ich einmal die Aufzeichnung der Urteilsbegründung nahelegen. Den Start des Videos an der entsprechenden Stelle habe ich hier voreingestellt:

Die Urteilsbegründung in der gesamten Länge kannst du dir hier ansehen:

Landesarbeitsgericht Mecklenburg-Vorpommern zum erforderlichen Fachwissen bei DSB

Ein Urteil des Landesarbeitsgerichts Mecklenburg-Vorpommern (LAG M-V) befasst sich mit dem erforderlichen Fachwissen, das ein Datenschutzbeauftragter (DSB) aufzuweisen hat, um die Tätigkeit des DSB auszuüben (Urteil vom 25.02.2020, Az.: 5 Sa 108/19).

Gestritten haben im vorliegenden Fall ein Konzerndatenschutzbeauftragter und eine Körperschaft des öffentlichen Rechts, deren behördlicher DSB der Kläger war. Die Beklagte betreibt ein Universitätsklinikum.

Aus mehreren Gründen gab es „Ärger“ zwischen den Parteien. Unter anderem auch deswegen, weil der DSB zudem Mitglied des Gesamtpersonalrats war. Nicht ganz unbedeutend ist in diesem Fallszenario auch, dass der DSB Volljurist war.

Letztlich wurde der DSB „abberufen“. Und zwar mehrfach – mit jeweils unterschiedlicher Begründung.

In dem Urteil musste sich das Gericht mit vielen „Querelen“ der Parteien beschäftigen. Der Punkt, der mich an dem Urteil interessiert hat, ist, dass das Gericht Ausführungen zu dem nach Art. 37 DSGVO erforderlichen Fachwissen des DSB macht. Allerdings macht das Gericht das nicht direkt, verweist aber auf die grundsätzliche Anwendbarkeit der Ausführungen des Gerichts in denselben Urteil zu den Voraussetzungen an die Fachkunde, die nach dem alten Landesdatenschutzgesetz in Mecklenburg-Vorpommern diesbezüglich anzusetzen seien.

Wenn wir die Ausführungen des LAG M-V heranziehen, ergibt sich für das Fachwissen, das nach Art. 37 Abs. 5 DSGVO bei einem DSB vorliegen muss, Folgendes:

  • Der Datenschutzbeauftragte muss über die Fähigkeit verfügen, seine in Artikel 39 DSGVO genannten Aufgaben zu erfüllen.
  • Die Tätigkeit des Datenschutzbeauftragten ist nicht an eine bestimmte Ausbildung oder näher bezeichnete Fachkenntnisse geknüpft.
  • Welche Sachkunde erforderlich ist, richtet sich insbesondere nach der Größe der Organisation, dem Umfang der anfallenden Datenverarbeitungsvorgänge, den eingesetzten IT-Verfahren und dem Typus der anfallenden Daten.
  • Wenn der DSB nur in einem Teilbereich über eine eigene Qualifikation verfügt, genügt es, wenn er im Übrigen auf fachkundige Mitarbeiter zurückgreifen kann.
  • Fortbildungen des DSB zu neuen technischen Entwicklungen und Gesetzesänderungen bzw. Entwicklungen in der Rechtsprechung sind unerlässlich.
  • Der Datenschutzbeauftragte muss nicht nur die nötigen Fachkenntnisse besitzen, sondern auch die Gewähr bieten, dass er seinen Aufgaben gewissenhaft nachkommt und nicht gegen seine Pflichten als Datenschutzbeauftragter, z. B. gegen seine Verschwiegenheitspflicht, verstößt.
  • Der DSB muss – über die Sachkunde hinaus – eine wirksame Selbstkontrolle der Organisation gewährleisten können.

Ich denke, das ist eine recht gute Zusammenfassung der wesentlichen Vorgaben, die an einen DSB zu stellen sind.

Arbeitsgericht Berlin: Zeiterfassung per Fingerabdruck ohne Einwilligung der Beschäftigten nicht zulässig

Das Arbeitsgericht Berlin (ArbG Berlin) hat in einem Urteil vom 16.10.2019 entschieden, dass eine Zeiterfassung über ein Zeiterfassungssystem, das über einen Fingerabdruck der Beschäftigten, die Arbeitszeiten erfasst, nicht ohne Einwilligung der Beschäftigten erfolgen darf. Das Urteil ist im Volltext hier zu finden: ArbG Berlin, Urteil vom 16.10.2019, Az.: 29 Ca 5451/19

Dem Urteil lag folgender Sachverhalt zugrunde:

Sachverhalt

Bis zur Einführung des neuen, auf einem Fingerabdruck basierenden Zeiterfassungssystems, trugen die Beschäftigten in dem betreffenden Unternehmen auf einem ausgedruckten und ausliegenden Dienstplan per Hand ihre geleisteten Arbeitszeiten ein. Dabei wiesen die eingetragenen Arbeitszeiten auch geleistete Mehrarbeitsstunden aus. Gelegentlich wurden abweichende Dienstzeiten mündlich nachgeliefert. Eine Kontrolle der eingetragenen Zeiten fanden nicht statt.

Der Arbeitgeber hat dann per Rundmail an die Beschäftigten über das neu eingeführte Zeiterfassungssystem informiert und mitgeteilt, dass wenige Tage später nur noch die Arbeitszeiten anerkannt würden, die mit dem neuen Zeiterfassungssystem erfasst worden sind.

Dagegen hat sich ein Beschäftigter gewehrt und letztlich auch (neben anderer Streitpunkte) Klage beim ArbG Berlin erhoben.

Wie hat das Gericht entschieden?

Das ArbG Berlin hat den Einsatz des Zeiterfassungssystem datenschutzrechtlich für unzulässig erklärt, wenn keine Einwilligung des betroffenen Beschäftigten vorliege.

Das ArbG Berlin führt dazu zunächst zum Sachverhalt wörtlich aus:

Bei der Zeiterfassung mittels Fingerprint meldet sich der Mitarbeiter durch Abgleich seines Fingerabdrucks mit den im Zeiterfassungsterminal gespeicherten Daten im Zeiterfassungsprogramm an und ab. Hierfür werden aus dem Fingerabdruck des Mitarbeiters zunächst sogenannte Minutien (individuelle, nicht vererbbare Fingerlinienverzweigungen) mittels eines speziellen Algorithmus extrahiert. Der Minutiendatensatz wird sodann im Zeiterfassungsterminal gespeichert und zum Abgleich des Fingerabdrucks des Mitarbeiters bei der An- und Abmeldung verwendet. Nicht gespeichert wird grundsätzlich der Fingerabdruck des Mitarbeiters. Aus dem gespeicherten Minutiendatensatz kann der Fingerabdruck des Mitarbeiters auch nicht wieder generiert werden.

Dann kommt das ArbG Berlin richtigerweise zu dem Ergebnis, dass es sich bei dem Minutiendatensatz um biometrische Daten i.S.d. Art. 9 Abs. 1 DSGVO handelt und zudem auch um besondere Arten personenbezogener Daten nach § 26 Abs. 3 BDSG.

Da eine Einwilligung des Betroffenen nicht vorlag, musste das ArbG Berlin sodann eine Prüfung auf Basis von § 26 Abs. 1 BDSG und § 26 Abs. 3 BDSG vornehmen.

Die Prüfung der beiden Tatbestände nimmt das ArbG Berlin hier im Ergebnis nicht getrennt vor. Das Gericht kommt unter Berücksichtigung der Vorgaben von § 26 Abs. 1 und 3 BDSG zu dem Schluss, dass Voraussetzung für eine Zulässigkeit der Verarbeitung von Daten mittels des neuen Zeiterfassungssystems zulässig wäre, wenn dies für die Begründung, Durchführung oder Beendigung des Beschäftigungsverhältnisses erforderlich ist.

Ferner müsse die Erhebung und Verwendung von biometrischen Merkmalen im Rahmen der dreistufigen Prüfung folgende Voraussetzungen erfüllen:

  1. Das biometrische Verfahren muss für die Zwecke des Beschäftigungsverhältnisses geeignet sein, das heißt, der jeweils auf das Beschäftigungsverhältnis bezogene Zweck muss tatsächlich gefördert werden können.
  2. Es darf kein anderes, gleich wirksames, das Persönlichkeitsrecht weniger beeinträchtigendes Mittel existieren.
  3. Als Ergebnis einer umfassenden Abwägung der schutzwürdigen Interessen und Grundrechte des Arbeitnehmers und des Arbeitgebers muss die Beeinträchtigung des Persönlichkeitsrechts des Beschäftigten durch das biometrische Verfahren in einem angemessenen Verhältnis zu dem angestrebten Zweck der Datenverwendung stehen.

Dabei gelte nach der Auffassung des ArbG Berlin folgende Regel:

Je intensiver in das Persönlichkeitsrecht eingegriffen werden soll, desto schwerer muss der vom Arbeitgeber mit dem Verfahren verfolgte konkrete Zweck wiegen. So wird das Interesse des Arbeitgebers an einer biometrischen Zugangskontrolle zu Bereichen mit sensiblen Geschäfts-, Produktions- und Entwicklungsgeheimissen eher überwiegen als bei einer angestrebten Zugangssicherung zu normalen Bürobereichen. So können biometrische Daten zwar zur Kontrolle beim Eintritt in Sicherheitsbereiche, nicht jedoch im Rahmen der Arbeitszeiterfassung verwendet werden.

Diese Prüfungen führt das ArbG dann in seinem Urteil durch und stellt zunächst die „Erforderlichkeit“ in Frage:

Vorliegend stellt sich die Frage, ob die Arbeitszeiterfassung durch Fingerprint wirklich erforderlich ist. Dabei ist zu berücksichtigen, dass dadurch die Grundrechte und Grundfreiheiten der betroffenen Personen erheblich beeinträchtigt werden. Wenn auch vereinzelt Missbrauch von Zeiterfassungssystemen durch Falscheintragungen oder im Falle einer Stempelkarte durch „mitstempeln“ durch Kollegen auftreten mögen, so ist dennoch in der Regel davon auszugehen, dass sich die weit überwiegende Mehrheit der Arbeitnehmer rechtstreu verhält, also für eine solche Art von Kontrollen keinerlei Anlass gegeben ist, es sei denn, dass konkrete Umstände im Einzelfall (Nachweise über Missbräuche in nicht unerheblichem Umfang) die Erforderlichkeit einer solchen Maßnahme begründen können.

Da der Arbeitgeber in dem Verfahren aber nicht dazu vorgetragen hat, dass es in der Vergangenheit zu Missbrauch gekommen ist und zudem nicht dargelegt habe, dass bei Einführung eines anderen neuen (nicht biometrischen) Zeiterfassungssystems ein Missbrauch zu befürchten sei, würden insgesamt die Interessen des Arbeitgebers das schutzwürdige Interesse des Arbeitnehmers an dem Ausschluss der Verarbeitung nicht überwiegen.

Daher sei die Datenverarbeitung mittels des neuen Zeiterfassungssystems unter Verwendung biometrischer Daten datenschutzrechtlich nicht zulässig.

Meine Meinung zu dem Urteil

Ich halte das Urteil im Ergebnis für richtig. Im Hinblick auf die Anwendung der Rechtsgrundlagen gibt es m.E. kleine handwerkliche Fehler, die jedoch nicht von Belang sind. Insbesondere sind diese für das Ergebnis nicht von Belang.

Ich habe Unternehmen schon vor Anwendung der DSGVO stets geraten, bei der Einführung von Verarbeitungen, die auf biometrischen Daten basieren besondere Vorsicht walten zu lassen.

Nach meinem Dafürhalten sind bei der Verarbeitung von biometrischen Daten zudem Datenschutz-Folgenabschätzungen i.S.d. Art. 35 DSGVO durchzuführen. Dies gilt jedenfalls dann, wenn das jeweilige System biometrische Daten in Rohfassung speichert. Bei einem Fingerabdruck wären das z.B. konkrete Messdaten, die ggf. dazu genutzt werden könnten, die Daten z.B. durch Reproduktion zu missbrauchen. Das Risiko für die Betroffenen bei der Verarbeitung von biometrischen Rohdaten ist regelmäßig als sehr hoch einzustufen.

Wir müssen nicht weit in die Zukunft denken, um uns vorzustellen, was ich mit einem „nachgedruckten“ Fingerabdruck alles an Missbrauch anstellen könnte. Ein falscher Fingerabdruck an einem „Tatort“ z.B. ist „nicht lustig“.

Es sind sicher auch unter Verwendung von biometrischen Daten Systeme denkbar, die ohne eine Einwilligung in zulässiger Weise einsetzbar wären. Dann müssten diese Systeme aber zumindest schon einmal konstruiert sein, dass biometrische Rohdaten allenfalls flüchtig im System erfasst und z.B. sofort nach Erfassung durch einen Hashwert ersetzt werden, der nicht rückrechenbar wäre, damit ein Risiko für einen Missbrauch der Daten minimiert werden kann.

Bei der vorgenommenen Interessenabwägung hätte das Gericht also sogar mutiger sein können. Zunächst kommt es schon nicht darauf an, dass die Interessen des Arbeitgebers überwiegen müssen, sondern – und das kann in „Pattsituationen“ mal entscheidend werden – dass das Interesse des Betroffenen gegen die Verarbeitung überwiegen muss.

Und das Interesse des Betroffenen gegen die Verarbeitung seiner biometrischen Daten überwiegt im vorliegenden Fall, zumal weniger „invasive“ Zeiterfassungssysteme marktgängig sind, das Interesse des Arbeitgebers an der Einführung des Systems in erheblicher Weise. Und zwar offensichtlich.

Ich würde im vorliegenden Fall sogar – auch wenn dies nicht vom Gericht zu entscheiden war – so weit gehen, dass eine Verarbeitung von biometrischen Daten „in Rohfassung“ für eine reine Zeiterfassung auf Basis einer Einwilligung als rechtswidrig eingestuft werden könnte, weil ich erhebliche Zweifel an der Freiwilligkeit der Beschäftigten haben würde. Das ist jedoch immer Einzelfallfrage.

Was bedeutet das „Planet49“-Urteil des EuGH für deine Cookies? Nicht jedes Cookie braucht ‘nen „Daumen hoch“

Am 01.10.2019 ist eine kleine Keksbombe geplatzt. Am morgen hat der EuGH sein Urteil in der Rechtssache „Planet49“ verkündet.

Und im Ergebnis hat das für ein bisschen mehr Klarheit im Bereich der Verwendung von Cookies gesorgt. Natürlich haben jetzt viele über das Urteil geschrieben. Beispielhaft nenne ich hier mal die Beiträge von Nina Diercks, Thomas Schwenke und Stefan Hanloser.

Vorwort

Ich will mich hier gar nicht so sehr mit den Details des Urteils beschäftigen. Ehrlich gesagt lohnt sich das auch gar nicht wirklich. Wirklich überraschend war die Entscheidung nämlich nicht. Mir kam es eher so vor, dass die „Cookie-Setzenden“ sowie ihre Beratenden wie z.B. wir Anwältinnen und Anwälte die Hoffnung hatte, dass die frühere „Cookie-Praxis“ doch noch vom EuGH gerettet wird. Eine Hoffnung, die mir von vornherein so vorkam, wie die Hoffnung, dass ein Klimawandel nicht stattfindet.

Die Vorlagefragen

Aber zu Sache:

Der EuGH hatte vom BGH einige Fragen gestellt bekommen. Und die hat er beantwortet.

Es handelte sich um diese Fragen, die ich von „Jura“ zu „Deutsch“ übersetzt habe, es sind also nicht die Originalfragen:

  1. Handelt es sich um eine wirksame Einwilligung im Sinne von Art. 5 Abs. 3 der „ePrivacy-Richtlinie“ (ePrivacy-RL), wenn die Speicherung von Informationen (durch z.B. Cookies) oder der Zugriff auf Informationen, die bereits im Endgerät des Nutzers gespeichert sind, durch ein voreingestelltes Ankreuzkästchen erlaubt wird, das der Nutzer zur Verweigerung seiner Einwilligung abwählen muss?
  2. Macht es dabei einen Unterschied, ob es sich bei den gespeicherten oder abgerufenen Informationen um personenbezogene Daten handelt?
  3. Liegt eine wirksame Einwilligung im Sinn der Datenschutz-Grundverordnung (DSGVO) vor, wenn – wie in Frage 1 beschrieben – mit einer vorangehakten Checkbox gearbeitet wird?
  4. Welche Informationen hat ein Anbieter einer Internetseite nach Art. 5 Abs. 3 ePrivacy-RL dem Nutzer zu erteilen? Zählen hierzu auch die Funktionsdauer der Cookies und die Frage, ob Dritte auf die Cookies Zugriff erhalten?

Um es vorwegzunehmen ist hier aber auch wichtig zu erkennen, dass der BGH nicht danach gefragt hat, wann ein Cookie „unbedingt erforderlich“ i.S.d. Art. 5 Abs. 3 ePrivacy-RL ist. Gefragt wurde auch nicht danach, inwieweit ich für das Setzen des Cookies verantwortlich bin, wenn ein Dritter („3rd-Party“ das Cookie setzt. Und schließlich hat der BGH auch nicht danach gefragt, ob das Setzen von Cookies bei nicht vorhandener Umsetzung der ePrivacy-RL in Deutschland ggf. auf anderen Rechtsgrundlagen der DSGVO als Art. 6 Abs. 1 lit. a) DSGVO basieren kann.

Die Antworten des EuGH

Keine Einwilligung bei vorangekreuzter „Checkbox“

Die Antworten des EuGH fielen deutlich aus. Und glücklicherweise müssen uns noch nicht einmal alle Ausführungen zu interessieren. Denn viele Ausführungen des Urteils beziehen sich auf die alte EG-Datenschutzrichtlinie, die seit Anwendung der DSGVO nicht mehr in Kraft ist. Die Antwort auf die Frage ein bzgl. der EG-Datenschutzrichtlinie möchte ich daher hier gar nicht weiter thematisieren.

Da die Vorgaben der DSGVO zur Einwilligung insbesondere ein aktives Verhalten voraussetzen und eine „Nichthandlung“ keine Einwilligung darstellen kann, war klar, dass der EuGH in einer vorangekreuzten Checkbox keine wirksame Einwilligung erkennen kann.

Hier war nichts anderes zu erwarten, zumal Erwägungsgrund 32 der DSGVO dieses Szenario von „bereits angekreuzte“ Kästchen konkret adressiert.

Damit war die o.g. erste Frage denn auch schon klar beantwortet.

Gilt das auch, wenn die Informationen in den Cookies nicht personenbezogen sind?

Bei dieser Frage war das Ergebnis mal nicht ganz klar und insoweit spannend. Jetzt könnte man sagen, dass das doch eigentlich egal wäre, da Art. 5 Abs. 3 ePrivacy-RL ja nicht von personenbezogenen Daten spricht, sondern es hier nur darum geht, das in das Recht auf Privatheit i.S.d. Art. 7 GRCh eingegriffen wird.

Das könnte man allerdings mit Blick auf die unklaren Schutzgüter und die Wechselwirkung mit der DSGVO und dem Recht auf den Schutz personenbezogener Daten i.S.d. Art. 8 GRCh ggf. auch anders sehen.

Der EuGH spricht sich hier aber mit Blick auf die Erwägungsgründer der ePrivacy-RL klar dafür aus, dass das Einwilligungserfordernis auch dann gelte, wenn die Informationen im Endgeräte des Nutzers (wie z.B. in Cookies) nicht personenbezogen sind.

Wenn der EuGH das hier anders gesehen hätte, dann hätten viele größere Internetseiten mehr Spielraum gehabt. Denn die Cookies werden in der Regel nicht von ihnen selbst, sondern von den Werbepartnern gesetzt, die wiederum für die Datenverarbeitung für Werbezwecke selbst Verantwortliche sind. Nur für die Phase der Erhebung könnte man ggf. eine gemeinsame Verantwortlichkeit annehmen. Nur dann wäre die Frage für den Internetseitenanbieter gewesen, ob er denn nun die Einwilligung einholen muss oder ob diese Phase der Datenverarbeitung insoweit vielleicht unbedingt erforderlich wäre. Egal…das wären jedenfalls tiefergehende juristische Probleme gewesen, die wir jetzt einfach nicht haben, weil der EuGH hier klare Worte gefunden hat.

Welche Cookie-Infos sind dem Nutzer zu erteilen?

Auch hier muss sich der EuGH zunächst mit der alten EG-Datenschutzrichtlinie befassen, die uns nicht mehr interessiert. Hier führt er aber zunächst grundlegend aus, dass folgende Informationen zum „Verantwortlichen“ für eine Verarbeitung nach Treu und Glauben (vgl. Art. 5 Abs. 1 lit. a) DSGVO) erforderlich sind:

  • Identität des Verantwortlichen
  • Zweckbestimmungen der Verarbeitung, für die die Daten bestimmt sind,
  • weitere Informationen beispielsweise zu Empfängern oder Kategorien der Empfänger der Daten, sofern sie unter Berücksichtigung der spezifischen Umstände, unter denen die Daten erhoben werden, notwendig sind, um gegenüber der betroffenen Person eine Verarbeitung nach Treu und Glauben zu gewährleisten.

Dann biegt der EuGH zur DSGVO ab und bestätigt nur kurz, dass sich das nach Art. 13 DSGVO auch ergebe.

Im Ergebnis sind daher Angaben zur Funktionsdauer der Cookies und dazu, ob Dritte Zugriff auf die Cookies erhalten können, erforderliche Informationen, die dem Betroffenen im Kontext mit der Verwendung von Cookies zu erteilen sind.

Soweit so gut oder schlecht. Nur…

Was passiert als Nächstes?

Nun der Ball liegt jetzt wieder im Spielfeld des BGH. Der BGH muss nun entscheiden, wie das Ganze im deutschen Recht zu bewerten ist.

Problem ist, dass der BGH wohl vorhatte, den noch geltenden § 15 Abs. 3 TMG richtlinienkonform, d.h. europarechtskonform auszulegen. Nur…wenn wir uns den Wortlaut ansehen, wird das kaum gehen. Er ist schlichtweg nicht europarechtskonform.

Da die ePrivacy-RL nach der Rechtsprechung des EuGH zur unmittelbaren Wirkung von nicht umgesetzten EU-Richtlinien nicht unmittelbar für nicht-staatliche Internetseitenanbieter gilt, liegt nicht zwingend ein Rechtsverstoß vor. Der BGH wird hier wohl am ehesten § 15 TMG für nicht anwendbar erklären und dann zu Art. 6 DSGVO herüberspringen.

Nach den Ausführungen des EuGH würde ich meinen, dass der BGH dann nur Art. 6 Abs. 1 lit. a) DSGVO – also eine Einwilligung – als einschlägige Rechtsgrundlage für nicht unbedingt erforderliche Cookies in Deutschland halten wird.

Letztlich müssen wir aber noch abwarten.

Wie geht es weiter? Wird es neue Gesetze geben?

Das Bundeswirtschaftsministerium hat schon vor einigen Wochen angekündigt, dass sie eine Änderung des TMG vornehmen wollen, wenn der EuGH in der Rechtssache „Planet49“ entschieden hat.

Ich gehe davon aus, dass dann in Deutschland eine Umsetzung von „Cookie Law“ in Deutschland durch das TMG erfolgen wird. Das wird aber noch ein wenig dauern.

Wegen der Entscheidung des EuGH kann es gut sein, dass nun wieder Dynamik des stockenden Gesetzgebungsprozesses um die ePrivacy-Verordnung kommen wird. Deswegen, weil das eine Chance wäre, die nun in der EU schon länger bestehenden „Cookie-Klickorgien“ mal zu beenden und durch vernünftige (technische) Verfahren zu ersetzen. Aber das wird ebenfalls noch dauern.

Was solltest du jetzt tun, wenn du eine Internetseite hast?

Hier die Handlungsempfehlungen in Kürze:

  1. Don’t panic! Es bringt jetzt nicht, hastig zu reagieren. Lieber das Gehirn noch einmal mit Sauerstoff belüften, durchatmen und dann überlegen, was sinnvoll ist. Hilfreich können die nachfolgenden Schritte sein.
  2. Analysiere, ob und welche Cookies (und für welchen Zweck) beim Aufruf deiner Website im Browser gesetzt werden.
  3. Unterscheide die Cookies zwischen Session-Cookies und sog. Persistent-Cookies also Cookies, die eine gewisse Laufzeit haben.
  4. Bei den Session-Cookies schaust du dir an, ob du die wirklich benötigst. Viele Spracheinstellungs-Session-Cookies sind z.B. sehr „90er“ – also altmodisch – und werden heute meist nicht mehr benötigt.
    Es gilt immer, wenn du das nicht wirklich brauchst: Schmeiß’ weg!

    Session-Cookies, die du z.B. für die Warenkorb-Steuerung brauchst, können als unbedingt erforderlich gelten. Für die brauchst du keine Einwilligung.

    Auch sog. „Remember-Me“-Cookies, die ermöglichen, dass der Nutzer sich nicht immer wieder neu einloggen muss, können i.d.R. als „vom Nutzer verlangt“ gelten und daher ohne Einwilligung verwendet werden.

  5. Bei den Persistent-Cookies wird es dann schwieriger. Hier solltest du genau schauen, was du davon brauchst und ob es unbedingt erforderlich ist. Hier ist die Rechtslage extrem unklar.

    Grundsätzlich gilt: Wenn die Seite für den Nutzer ohne das jeweilige Cookie fehlerfrei angezeigt wird, dann ist das ein Indiz dafür, dass das jeweilige Cookie nicht unbedingt erforderlich ist und du daher eine Einwilligung benötigst.

    Der Gegensatz gilt aber auch: Wenn ohne das „Persistent-Cookie“ die Seite nicht fehlerfrei aufgerufen werden kann, Dinge z.B. nicht funktionieren oder Fehler auftreten, dann ist das ein Indiz dafür, dass das jeweilige Cookie unbedingt erforderlich ist und damit keine Einwilligung vom Nutzer eingeholt werden muss.

  6. Wenn du eine Einwilligung als Rechtsgrundlage für Cookies benötigst, musst du sicherstellen, dass das jeweilige Cookie gesetzt wird, nachdem der Nutzer eine wirksame Einwilligung erteilt hat.
  7. Vor einer Einwilligung müssen Nutzer über Zweck des Cookies und Empfänger von Daten informiert werden.

    Außerdem muss die Dauer der Speicherung dargelegt sein. Und es muss Angaben dazu geben, wer „Verantwortlicher“ für die Verarbeitung der Cookie-Daten ist.
    ACHTUNG: Das bist du häufig nicht alleine, sondern z.B. das Werbeunternehmen ist für die Phase der Erhebung der Daten des Nutzers und für das Setzen des Cookies gemeinsam mit dir verantwortlich. Hier ist auch noch vieles unklar.

    Empfehlen würde ich aber, mit den jeweiligen Anbietern jetzt dringend über ein sog. „Joint-Control-Agreement“ nach Art. 26 DSGVO zu sprechen. Ich gehe davon aus, dass das noch wichtig werden wird.

  8. Es ist derzeit unklar, ob z.B. Cookies, die dafür eingesetzt werden, um die Seite per Werbung zu finanzieren, als „unbedingt erforderlich“ gelten können. Dafür spricht, dass es Seiten gibt, für die Werbeeinnahmen „conditio sine qua non“. D.h., dass es die Websites nicht mehr geben würde, wenn keine Cookies für Werbezwecke gesetzt werde würden. Dagegen sprechen aber natürlich auch Argumente.
    Das Ganze ist also extrem „wackelig“. Ich würde hier aktuell raten, mit einer Einwilligung zu arbeiten. Problem ist auch hier wieder die Frage der gemeinsamen Verantwortlichkeit.

OVG Saarland: Speicherung öffentlich zugänglicher Kontaktdaten für unzulässige Werbeanrufe unzulässig

Das OVG Saarland (Beschluss vom 10.9.2019, 2 A 174/18) hatte über eine Zulassung der Berufung gegen eine Entscheidung des VG Saarlouis (Urteil vom 09. März 2018, Az.: 1 K 257/17) zu entscheiden.

Leitsatz des VG Saarlouis in der betreffenden Entscheidung war:

Die für den Zweck einer telefonischen Werbeansprache erfolgende Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten von Inhabern von Zahnarztpraxen verstößt gegen das BDSG, sofern keine Einwilligung des Betroffenen vorliegt oder bereits ein Geschäftsverhältnis zu dem Betroffenen besteht.

Hintergrund war, dass eine Aufsichtsbehörde einem Unternehmen diese Datenverarbeitung untersagt hatte. Das VG Saarlouis hatte zudem keine Berufung gegen das Urteil zugelassen.

Gegen die Entscheidung des VG Saarlouis bzgl. der Nichtzulassung der Berufung hatte die Klägerin beim OVG Saarland einen Antrag auf Zulassung der Berufung gestellt.

Diesen Antrag hat das OVG Saarland nun abgelehnt. Dabei hat das OVG Saarland die interessante Frage, ob die Rechtslage zum Zeitpunkt der Entscheidung der Aufsichtsbehörde maßgeblich ist oder ob die aktuelle Rechtslage, d.h. die DSGVO, anzuwenden ist, unter Rückgriff auf die jüngste Entscheidung des BVerwG (Urteil vom 27.3.2019 – 6 C 2/18) zur Entscheidung von Aufsichtsbehörden beantworten können. Tenor dazu:

Nach der Rechtsprechung des Bundesverwaltungsgerichts (…) ist die Rechtmäßigkeit von Anordnungen zur Beseitigung datenschutzrechtlicher Verstöße nach § 38 Abs. 5 Satz 1 BDSG a.F. nach der Rechtslage zu beurteilen, die zum Zeitpunkt der letzten behördlichen Entscheidung gilt und nachträgliche Rechtsänderungen sind nicht zu berücksichtigen.

Viel spannender war dann aber, ob das OVG Saarland sich zu der Frage äußern würde, ob für die Speicherung von Daten aus öffentlich zugänglichen Quellen/Verzeichnissen, nach der DSGVO eine Zulässigkeit bestehen kann, wenn die Daten für Zwecke der Durchführung von Werbeanrufen ohne Einwilligung verarbeitet werden.

Den Ball hat das OVG Saarland jedoch nicht aufgenommen. Denn es führt aus, dass die Aufsichtsbehörde zum Zeitpunkt ihrer Entscheidung die DSGVO nicht berücksichtigen musste:

Es hätte deutlicher Hinweise in der Datenschutz-Grundverordnung für die Annahme bedurft, dass der Normgeber der Europäischen Union nicht nur ein einheitliches unionsrechtliches Datenschutzrecht für die Zukunft geschaffen, sondern darüber hinaus bestimmt habe, dass datenschutzrechtliche Entscheidungen, die die Aufsichtsbehörden noch nach dem nationalen Datenschutzrecht getroffen hätten, rückwirkend an den anderen Strukturen der Datenschutz-Grundverordnung zu messen seien. Derartige Hinweise enthielten weder der Text der Datenschutz-Grundverordnung noch die Erwägungsgründe.

Weiter führt das OVG Saarland dann aus, dass es an der grundsätzlichen Bedeutung der Angelegenheit fehle und die Berufung auch daher nicht zugelassen werden können.

Fazit: Insgesamt sollte das Urteil im Hinblick auf die Frage, ob die Speicherung öffentlich-zugänglicher Daten auf Basis von Art. 6 Abs. 1 lit. f) DSGVO („FETT“) nicht überbewertet werden. Das OVG hat die Frage eher aus formalen Gründen nicht „angepackt“.

Die Rechtsprechung des EuGH zum Datenschutzrecht besser verstehen

Wenn du ein ernsthaftes Interesse daran hast, die Rechtsprechung des EuGH zum Datenschutzrecht ein wenig besser zu verstehen, dann kann ich dir dieses Video von einer Rede, die der derzeitige Präsident des EuGH – Koen Lenaerts – im Jahr 2018 vor dem Europäischen Parlament gehalten hat.

Er geht auf die wesentlichen Entscheidungen des EuGH zum Datenschutzrecht einzeln ein. Und das ist wirklich hilfreich, um die Leitlinien nachzuvollziehen, die der EuGH bei diesen Entscheidungen verfolgt hat.

Es sind wirklich lohnende 63 Minuten:

OLG Frankfurt a.M. – niedrige Latte bei Kopplungsverbot bzgl. Einwilligungen

Diese Woche ist eine bemerkenswerte Entscheidung des OLG Frankfurt (Urteil vom 27.06.2019, Az.: 6 U 6/19) in einer kostenpflichtigen juristischen Datenbank („juris“) veröffentlicht worden.

In der Entscheidung ging es u.a. darum, ob die Teilnahme an einem Gewinnspiel davon abhängig gemacht werden kann, dass die Teilnehmerin eine Werbeeinwilligung für E-Mail bzw. Telefon abgibt. Das ist eines der Fallszenarien, in der wir datenschutzrechtlich sofort an das Nichtkopplungsgebot des Art. 7 Abs. 4 DSGVO denken, das einige ja „fälschlicherweise“ (😉) auch „Kopplungsverbot“ bezeichnen.

Dem OLG Frankfurt war dieses Kopplungsverbot nicht einmal eine Erwähnung wird, wie sich aus dem Urteil ergibt. Hier aber erst einmal der Leitsatz der Entscheidung:
Ist die Teilnahme an einem Gewinnspiel von der Einwilligung in den Erhalt künftiger E-Mail-Werbung abhängig gemacht worden, bestehen gegen die Wirksamkeit dieser Einwilligung jedenfalls dann keine Bedenken, wenn der Verbraucher der Werbung durch nicht mehr als acht konkret bezeichnete Unternehmen zugestimmt hat und der Geschäftsbereich des werbenden Unternehmens hinreichend klar beschrieben worden ist (im Streitfall: „Strom & Gas“). Die Einwilligung in die Werbung dieses Unternehmens ist auch unabhängig davon wirksam, ob der Geschäftsbereich der anderen bezeichneten Unternehmen ausreichend klar beschrieben worden ist.

Warum es in dem Urteil ab und an ein bisschen durcheinander geht, kannst du der Podcast-Episode entnehmen. Hier aber zunächst noch ein paar bemerkenswerte Zitate aus der Entscheidung (Hervorhebungen von mir):

Zum Merkmal der Freiwilligkeit der Einwilligung führt das Gericht wie folgt aus:
„Freiwillig“ ist gleichbedeutend mit „ohne Zwang“ iSd des Art. 2 lit. h RL 95/46/ EG (engl. beide Male „freely“). Der Betroffene muss also eine echte oder freie Wahl haben und somit in der Lage sein, die Einwilligung zu verweigern oder zurückzuziehen, ohne Nachteile zu erleiden (Erwägungsgrund 42 DS-GVO). Insbesondere darf auf den Betroffenen kein Druck ausgeübt werden. Ein bloßes Anlocken durch Versprechen einer Vergünstigung, etwa – wie hier – einer Teilnahme an einem Gewinnspiel, reicht dafür aber nicht aus (Köhler/Bornkamm/Feddersen/Köhler, 37. Aufl. 2019, UWG § 7 Rn. 149f). Einer Freiwilligkeit steht nach der Rechtsprechung des Senats (vgl. GRUR-RR 2016, 421 – Überschaubare Partner- liste, juris-Rn. 18; GRUR-RR 2016, 252 – Partnerliste, juris-Rn. 24) nicht entgegen, dass die Einwilligungserklärung mit der Teilnahme an einem Gewinnspiel verknüpft ist. Der Verbraucher kann und muss selbst entscheiden, ob ihm die Teilnahme die Preisgabe seiner Daten „wert“ ist.
Und hier zu der Anforderung, dass eine Einwilligung für einen bestimmten Fall erteilt werden muss:
Eine Einwilligung erfüllt diese Voraussetzung, wenn sich aus ihr klar ergibt, welche einzelnen Werbemaßnahmen welcher Unternehmen davon erfasst werden, dh auf welche Waren oder Dienstleistungen welcher Unternehmen sie sich bezieht (BGH GRUR 2013, 531 Rn. 24 – Einwilligung in Werbeanrufe II; BGH WRP 2017, 700 Rn. 25). Unabhängig von einer etwaigen AGB-Kontrolle ist eine Einwilligungserklärung unwirksam, wenn sie nicht klar erkennen lässt, auf welche Werbemaßnahmen welcher Unternehmen sich die Einwilligung erstrecken soll (Köhler/Bornkamm/Feddersen/Köhler, 37. Aufl. 2019, UWG § 7 Rnr. 149g). An der erforderlichen Klarheit kann es fehlen, wenn bereits die Anzahl der Unternehmen, zu deren Gunsten eine Werbeeinwilligung erteilt werden soll, so groß ist, dass sich der Verbraucher realistischer Weise nicht mit all diesen Unternehmen und deren Geschäftsfeldern befassen wird (vgl. Senat – Partnerliste a.a.O., Rn. 26: 59 Unternehmen). Davon kann hier jedoch angesichts der acht in der Einwilligungserklärung aufgeführten Unternehmen noch nicht die Rede sein.
Schließlich führt das Gericht bzgl. der Konkretheit des Produktbezuges ein Hinweis in der Einwilligung auf „Finanzdienstleistungen aller Art“ nicht ausreichend sei. Die Bezeichnung „Strom & Gas“ hingegen hielt das Gericht im konkreten Fall für konkret genug.
Viel Spaß bei dieser Podcast-Episode!

AG Diez: Kein Schadenersatz nach DSGVO für unerlaubte E-Mail-Werbung?

Hat der Empfänger einer E-Mail mit unverlangter Werbung einen Schadenersatzanspruch aus Art. 82 DSGVO? Mit dieser Frage hatte sich jüngst das AG Diez zu befassen (AG Diez, Urteil vom 07.11.2018, Az.: 8 C 130/18).

Die Entscheidung ist jetzt nicht wirklich extrem relevant. Da das Thema aber an sich interessant und bedeutend ist, berichte ich hier gerne über die Entscheidung. Kleine Notiz am Rande: Anlass für den Streit war offenbar eine E-Mail, die anlässlich der bevorstehenden Geltung der DSGVO versendet wurde. Ein schönes Beispiel dafür, warum auch diese „Re-Opt-In-Kampagnen“ o.Ä. keine gute Idee waren. Nun aber zu der Entscheidung:

In dem streitgegenständlichen (schönes Juristendeutsch, gell?) Fall hatte der Versender der E-Mail bereits einen Betrag i.H.v. 50,00 € an den Empfänger gezahlt. Damit war der Empfänger der E-Mail jedoch nicht zufrieden und verlangte mehr, genau genommen mindestens 500,00 €. Dazu meinte nun das AG Diez u.a. Folgendes:

Zwar sei ein Schadensersatzanspruch eines Betroffenen wegen einer Verletzung einer datenschutzrechtlichen Vorschrift (hier laut AG Diez, Art. 6 DSGVO (sic!)) nach Art. 82 DSGVO grundsätzlich möglich. Allerdings setze dies einen Schaden voraus. Zwar sei – so das AG Diez – im Vergleich zur alten Rechtslage nicht mehr eine schwere Verletzung des Persönlichkeitsrechts für einen Schadensersatzanspruch erforderlich. Dann äußert das Gericht jedoch (Hervorhebungen von mir):

Andererseits ist auch weiterhin nicht für einen Bagatellverstoß ohne ernsthafte Beeinträchtigung bzw. für jede bloß individuell empfundene Unannehmlichkeit ein Schmerzensgeld zu gewähren; vielmehr muss dem Betroffenen ein spürbarer Nachteil entstanden sein und es muss um eine objektiv nachvollziehbare, mit gewissem Gewicht erfolgte Beeinträchtigung von persönlichkeitsbezogenen Belangen gehen (Plath, Art. 82 DSGVO Rn. 4 c, d).

Das Gericht für sodann im Hinblick auf die bereits vom E-Mail-Versender gezahlten 50,00 € aus:

Von diesen Grundsätzen ausgehend teilt das Gericht vorliegend die Auffassung der Beklagten, dass ein Schmerzensgeldanspruch, so er bestand, mit dem anerkannten Betrag als abgegolten anzusehen ist (so auch bereits der Hinweis des zunächst angerufenen Landgerichts Koblenz vom 31.07.2018). Dasjenige, was der Kläger hier moniert, beschränkte sich auf eine einzige E-Mail der Beklagten, mit welcher sie am 25.05.2018, als die DSGVO Gültigkeit erlangte, eben aus diesem Grund und unter Bezugnahme hierauf nach einer Einwilligung zum Newsletterbezug anfragte, weshalb im Ergebnis vorliegend ein weitergehendes Schmerzensgeld nicht mehr der Angemessenheit entsprochen hätte.

Die Frage, ob überhaupt ein Schadenersatzanspruch aus Art. 82 DSGVO bestanden hast, lässt das AG Diez ausdrücklich offen. Wenn dieser bestanden hätte, wäre er aber eben durch die Zahlung der 50,00 € abgegolten gewesen, da dies für eine einzige E-Mail dieser Art eine angemessene Entschädigung gewesen wäre.

Was das AG Diez in diesem Fall ggf. noch übersehen hat (oder nicht entscheiden wollte): Vielleicht kommen wir gar nicht zu einer Anwendung von Art. 82 DSGVO. Denn Art. 82 DSGVO sieht nur einen Schadensersatzanspruch bei Verstößen gegen die DSGVO vor. Im vorliegenden Fall ging es aber um den Versand einer E-Mail. Einschlägige Rechtsnorm für den unverlangten Versand von E-Mail-Werbung ist aber § 7 UWG, der insoweit die Vorgaben der ePrivacy-Richtlinie umsetzt. Tja…und die Regelungen der ePrivacy-Richtlinie bleiben wegen Art. 95 DSGVO i.V.m. Erwägungsgrund 173 der DSGVO wohl unberührt. Das dürfte den Weg zum einem Schadensersatzanspruch aus Art. 82 DSGVO noch einmal erschweren. Damit wird sich sicher aber auch in absehbarer Zeit wohl ein Gericht einmal beschäftigten müssen.

BGH zu Anwälten als Datenschutzbeauftragten – Freiberuflich oder gewerblich

Es ist derzeit noch umstritten, ob die Tätigkeit als Datenschutzbeauftragte/r eine gewerbliche Tätigkeit ist oder ob diese – wenn sie durch Rechtsanwälte durchgeführt wird – auch eine freiberufliche Tätigkeit ist.

Warum ist das wichtig? Das kann steuerliche Konsequenzen für Freiberufler wie Rechtsanwälte haben, weil dann für diese Tätigkeit Gewerbesteuer gezahlt werden müsste. Und noch schlimmer: Es könnte sogar sein, dass diese Tätigkeit dann u.U. die anderen Kanzleiumsätze „infiziert“ und für alle Kanzleiumsätze Gewerbesteuer anfallen kann. Das ist sicher vereinfacht formuliert, reicht aber zum Aufzeigen der Problematik.

Es hat zu dieser Thematik schon mehrere Gerichtsentscheidungen gegeben. Eine alte Entscheidung eines Finanzgerichts, die aber nicht mehr zu den heutigen Tätigkeiten eines Datenschutzbeauftragten passen dürfte. Und dann gab es Entscheidung von Anwaltsgerichtshöfen, die auch eher in die Richtung gingen, dass die Tätigkeit von Datenschutzbeauftragten eine gewerbliche Tätigkeit sei.1 Eine dieser Entscheidungen ist vom BGH bestätigt worden, allerdings musste die Frage der gewerblichen Tätigkeit nicht vom BGH entschieden werden.2 Daher blieb diese Frage „unentschieden“.

Aktuell ist jetzt noch ein Verfahren eines Rechtsanwaltskollegen aus Süddeutschland beim Bundesfinanzhof anhängig, in dem es darum geht, ob seine Tätigkeit als Datenschutzbeauftragter ein Gewerbe darstellt.3

Nun hat aber im Oktober der Bundesgerichtshof (BGH) ein interessantes Urteil gesprochen, das hier abrufbar ist:

Es gibt viele Rechtsanwältinnen und Rechtsanwälte, die als Datenschutzbeauftragte tätig sind. Das ist per se nicht ungewöhnlich. Denn gerade die Aufgaben von Datenschutzbeauftragten sind durch die DSGVO mehr und mehr in den Bereich der Beratung im Hinblick auf die Einhaltung von Datenschutzvorschriften hineingerutscht.

So sieht Art. 39 Abs. 1 lit. a) DSGVO es als Aufgabe von Datenschutzbeauftragten ausdrücklich vor, diese das Unternehmen (oder die öffentliche Stelle) und die Beschäftigten, die Verarbeitungen durchführen, hinsichtlich ihrer Pflichten nach der DSGVO sowie nach sonstigen, jeweils geltenden Datenschutzvorschriften beraten.

Das klingt schon sehr nach klassischer Anwaltstätigkeit, ist es doch – vereinfacht formuliert – Beratung im Recht, also Rechtsberatung. Und genau darauf hat nun auch der BGH in der o.g. Entscheidung abgestellt.

Worum ging es in dem Verfahren?
In dem Verfahren wollte eine Mitarbeiterin des öffentlichen Rundfunks, die dort als Datenschutzbeauftragte tätig ist, ihre Zulassung als Syndikusanwältin bei der örtlichen Anwaltskammer durchsetzen. Die Rechtsanwaltskammer hat die Zulassung als Syndikusanwältin u.a. damit abgelehnt, dass die Tätigkeit im öffentlichen Dienst (hier: Rundfunk) nicht mit dem Beruf des Rechtsanwalts, insbesondere seiner Stellung als unabhängigem Organ der Rechtspflege, vereinbar sei oder das Vertrauen in seine Unabhängigkeit gefährden kann. So hat es denn auch der Anwaltsgerichtshof in dem Urteil, mit dem sich nun der BGH hier beschäftigt hat, gesehen.4

Aber der BGH nimmt nun – und zwar insbesondere auch wegen der Tätigkeit als Datenschutzbeauftragte – sehr wohl an, dass die Tätigkeit als Datenschutzbeauftragte nach den Umständen des Einzelfalles eine Anwaltstätigkeit sein kann. Und damit eben auch kein Gewerbe.

Interessanter- und richtigerweise begründet der BGH dies insbesondere auch durch die Änderungen an den Aufgaben von Datenschutzbeauftragte durch Einführung der DSGVO. So sei die Komplexität der mit der DSGVO verbundenen rechtlichen Fragen gestiegen. Und auch dass eine Datenschutzbeauftragte andere als rechtliche Kenntnisse vorweisen müsse, spreche nicht gegen die Annahme einer Anwaltstätigkeit. Und dann führt der BGH wörtlich aus:

Denn der Kern und der Schwerpunkt der Tätigkeit eines Datenschutzbeauftragten liegen, wie der Anwaltsgerichtshof richtig gesehen hat, grundsätzlich in der Auslegung und Anwendung der datenschutzrechtlichen Vorgaben sowie in der Überwachung der Einhaltung dieser Vorgaben. Dies ergibt sich bereits aus dem Inhalt der Vorschriften nationalen Rechts und des Unionsrechts über die Aufgaben des Datenschutzbeauftragten.

Boom! Viele Anwälte wird das sehr freuen, wenn sie als Datenschutzbeauftragte tätig sind. Wenn jetzt noch der Bundesfinanzhof im o.g. Verfahren entsprechend entscheidet, besteht kein Bedürfnis für Anwälte und Anwaltskanzleien mehr, die DSB-Tätigkeit in gesonderte Gesellschaften auszulagern.

Aber: Es ändert nichts an dem Problem, dass ein Anwalt eines Unternehmens, der dieses in vielen Bereichen berät, eine Interessenkollision haben kann, wenn er zugleich Datenschutzbeauftragter des Unternehmens ist. Zu dieser Problematik hat sich Kollege Niko Härting aber schon entsprechend ausgelassen:

  • Härting, Alles aus einer Hand – gibt es Grenzen?, Anwaltsblatt 2018, 76 ff – das Heft ist hier als PDF abrufbar.
  1. Vgl. AGH Hamburg, Urt. v. 22.6.2017 – AGH I ZU(SYN) 11/2016 (I-6)
  2. BGH, Urteil vom 15.10.2018 , Az: AnwZ (Brfg) 20/18
  3. Das Verfahren hat beim BFH das Aktenzeichen VIII R 27/17.
  4. AGH Nordrhein-Westfalen, Urteil vom 13.02.2017, Az.: 1 AGH 32/16