Urteile zu Rechten und Pflichten der Aufsichtsbehörden und Datenschutzbeauftragten

Die Hauptaufgabe der Datenschutz-Aufsichtsbehörde liegt darin, die Einhaltung der datenschutzrechtlichen Vorgaben zu überwachen und zu kontrollieren. Verstoßen datenverarbeitende Stellen gegen die Datenschutzvorschriften, kann die Aufsichtsbehörde entsprechende Sanktionen verhängen, beispielsweise in Form von Anordnungen zur Einschränkung oder Unterlassung von Verarbeitungen sowie dem Verhängen von Bußgeldern. Zu den umfangreichen Aufgaben der Datenschutzaufsicht gem. Art. 57 DS-GVO gehört zudem die Untersuchung von Beschwerden betroffener Personen, wenn diese sich aufgrund (vermeintlicher) Datenschutzverstöße an die Behörde wenden.

Welche Rechten und Pflichten die Behörde genau hat und inwieweit Betroffene und Datenverarbeiter mit der Datenschutzaufsicht zusammenarbeiten müssen, ist an manchen Stellen nicht ganz eindeutig und musste bereits mehrfach gerichtlich geklärt werden.

Fallbeschreibung

Im Oktober 2020 erließ die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI) ein Bußgeld in Höhe von 14,5 Millionen Euro gegen die Wohnungsgesellschaft Deutsche Wohnen SE. Hintergrund des Bescheides war unter anderem die unzulässige Speicherung von Mieterdaten in einem Archivsystem ohne ausreichende Löschmöglichkeiten (Mehr Informationen in der Bußgeldübersicht). Dieser Verstoß wurde von der Aufsichtsbehörde zum ersten Mal bereits 2017 gerügt.

Das Unternehmen ging gegen das Bußgeld gerichtlich vor. In der ersten Instanz entscheid das Landgericht (LG) Berlin zu Gunsten der Deutsche Wohnen und erklärte den Bußgeldbescheid für unwirksam, da er keine Angaben zu konkreten Tathandlungen eines Organs des Unternehmens enthalte (LG Berlin, Beschluss v. 18.02.2021, Az.: 526 AR). Gegen diesen Beschluss reichte die Staatsanwaltschaft Beschwerde ein, sodass der Fall vom Kammergericht (KG) Berlin geprüft werden musste. Zur Klärung des Falls legte das KG dem Europäischen Gerichtshof (EuGH) im Dezember 2021 die Grundsatzfrage vor, ob eine juristische Person in Deutschland, die ein Unternehmen betreibt, nach den Grundsätzen des EU-Rechts unmittelbar für DSGVO-Verstöße sanktioniert werden kann, ohne dass eine Ordnungswidrigkeit einer natürlichen und identifizierten Leitungsperson festgestellt werden muss. Bis zur Klärung der Frage wurde das Verfahren (Az.: 3 Ws 250/21) ausgesetzt.

Entscheidung des EuGH

Der EuGH teilte die Ansicht der BlnBDI und des Generalstaatsanwaltes: Behörden können bei Verstößen von Mitarbeitern direkt DSGVO-Bußgelder gegen ein Unternehmen verhängen, wenn jenen ein vorsätzliches oder fahrlässiges Handeln nachgewiesen werden kann. Die abschließende Entscheidung des Falls auf Grundlage des obliegt nun dem KG Berlin.

(EuGH, Urteil v. 05.12.2023, Az.: C-807/21)

Fallbeschreibung

Ein Unternehmen kündigte einer Mitarbeiterin, die bisher als interne Datenschutzbeauftragte tätig war, ordentlich aus betriebsbedingten Gründen. Aufgrund einer Umstrukturierungsmaßnahme wurde die gesamte Datenschutzabteilung und die interne Rechtsberatungstätigkeit ausgelagert. Folglich sollte die Funktion des Datenschutzbeauftragten zukünftig von einer externen Person besetzt werden. Daraufhin erhob die Angestellte Kündigungsschutzklage. Sie berief sich dabei insbesondere auf den Sonderkündigungsschutz nach § 38 Abs. 2 Bundesdatenschutzgesetz (BDSG) i. V. m. § 6 Abs. 4 BDSG aufgrund ihrer Funktion als Datenschutzbeauftragte. Schon aus diesen Gründen sei die Kündigung unwirksam. Sie hatte mit ihrer Klage sowohl vor dem Arbeitsgericht (ArbG) als auch vor dem Landesarbeitsgericht (LAG) Erfolg (ArbG Nürnberg, Urteil v. 22.07.2019, Az.: 3 Ca 4080/18 und LAG Nürnberg, Urteil v. 19.02.2020, Az.: 2 Sa 274/19). Das Bundesarbeitsgericht (BAG) hatte allerdings Zweifel, ob die Regelung in § 38 Abs. 2 BDSG i. V. m § 6 Abs. 4 S. 2 BDSG, wonach das Arbeitsverhältnis eines zugleich verpflichtend benannten Datenschutzbeauftragten nur aus wichtigem Grund außerordentlich gekündigt werden kann, mit Art. 38 Abs. 3 S. 2 DS-GVO vereinbar ist, der keinen derartigen Sonderkündigungsschutz vorsieht. Daher wurde der Fall dem EuGH zur Klärung vorgelegt.

Entscheidung des EuGH

Der Europäische Gerichtshof (EuGH) entschied, dass Art. 38 Abs. 3 S. 2 DS-GVO dahingehend auszulegen ist, dass er einer strengeren nationalen Regelung nicht entgegensteht, nach der einem internen Datenschutzbeauftragten nur aus wichtigem Grund gekündigt werden darf, auch wenn die Kündigung nicht mit der Erfüllung seiner Aufgaben zusammenhängt. Zweck dieser Regelung ist es, die Unabhängigkeit der Datenschutzbeauftragten zu gewährleisten und diesen eine neutrale Ausübung ihrer Tätigkeit und Erfüllung ihrer Pflichten zu ermöglichen.

Ein strengerer Schutz eines Datenschutzbeauftragten durch nationale Regelungen sei nicht als europarechtswidrig zu beanstanden und beeinträchtige die Verwirklichung der Ziele der DS-GVO nicht. Dies wäre der Fall, wenn damit beispielsweise eine Beendigung des Arbeitsverhältnisses aufgrund fachlicher Unfähigkeit oder groben Datenschutzverstößen ausgeschlossen wäre. Da gem. § 38 Abs. 2 BDSG i. V. m. § 6 Abs. 4 BDSG die Kündigung des Datenschutzbeauftragten aus wichtigem Grund möglich bleibt – hierzu gehört grundsätzlich auch die fehlende Eignung oder Datenschutzverstöße – sah der EuGH eine Beeinträchtigung der Ziele der DS-GVO als nicht gegeben an. Somit wurde der Fall zur endgültigen Entscheidung – dass die Kündigung rechtswidrig war – an das BAG zurückverwiesen.

(EuGH, Urteil v. 22.06.2022, Az. C-534/20)

Bei grenzüberschreitenden Datenverarbeitungen, die sich auf betroffene Personen in mehreren Mitgliedsstaaten auswirken, ist grundsätzlich die federführende Aufsichtsbehörde dafür zuständig, gegen etwaige Datenschutzverstöße vorzugehen. Federführend ist die zuständige Behörde des Mitgliedsstaates, in dem die betreffende verantwortliche Stelle (Unternehmen) ihren Hauptsitz hat. Soweit die Vorgaben der Art. 56 Abs. 2, 66 DS-GVO erfüllt sind, können allerdings auch andere Aufsichtsbehörden zuständig sein und dementsprechend Gerichtsverfahren einleiten. Im zugrundeliegenden Fall wollte die belgische Aufsichtsbehörde gegen Facebook vorgehen, wobei die federführende Behörde in Irland gewesen wäre.

(Az.: C-645/19)

Fallbeschreibung

Die Klägerin betrieb ein Einkaufszentrum. Auf dem zugehörigen Parkplatz waren mehrere Videokameras installiert, da es in der Vergangenheit zu erheblichen Sachbeschädigungen und anderen Straftaten auf dem Gelände gekommen war. Die zuständige Datenschutzbehörde ordnete die teilweise Abschaltung der Geräte und den Abbau der tatsächlich deaktivierten Kameras an.

Entscheidung des OVG Koblenz

Das OVG Koblenz lehnte das Verlangen nach dem Abbau der deaktivierten Kameras ab, da eine ausgeschaltete Videokamera bereits nicht mehr dem Anwendungsbereich der DS- GVO unterfällt und es für die Aufforderung bezüglich des Abbaus der deaktivierten Kameras keine ausreichende datenschutzrechtliche Ermächtigungslage gibt.

(OVG Koblenz, Urteil v. 25.06.2021, Az.: 10 A 10302/21)

Beim Beschwerderecht gegenüber der Aufsichtsbehörde handelt es sich um ein petitionsähnliches Recht, weshalb vor Gericht lediglich der ordnungsgemäße Ablauf des Ermittlungsverfahrens geprüft werden kann, nicht aber das Ergebnis. Beschwerdeführer haben keinen Anspruch auf ein bestimmtes Ergebnis oder eine bestimmte Handlung der Aufsichtsbehörde.

(Az.: 10 A 10613/20.OVG)

Bei einer unzulässigen Videoüberwachung darf die Aufsichtsbehörde lediglich das Abschalten der betreffenden Kamera verlangen, nicht aber das Abhängen. Sie ist befugt, Datenverarbeitungen über eine Anordnung einzuschränken oder gänzlich zu untersagen, wobei der Betreiber der Anlage dies bereits mit dem Abschalten erfüllt hätte. Bei einer abgeschalteten Kamera werden keine personenbezogenen Daten mehr verarbeitet, weshalb der Anwendungsbereich der DS-GVO nicht eröffnet ist.

(Az.: 1 K 548/19.MZ)

Beschwert sich ein Betroffener bei der Datenschutzaufsicht wegen eines vermeintlichen Datenschutzverstoßes, muss für die Aufsichtsbehörde zumindest ansatzweise erkennbar sein, was für ein Verstoß gegen die DS-GVO vorliegen soll. Es müssen sich Anhaltspunkte für weitere Untersuchungen ergeben. Liefert der Beschwerdeführer trotz Nachfrage keine ausreichenden Informationen, kann die Behörde das Ermittlungsverfahren einstellen.

(Az.: 1 K 473/19.MZ)

Der Kläger wollte das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) gerichtlich verpflichten lassen, ein Bußgeld zu verhängen, nachdem die Behörde ein ihn betreffendes Beschwerdeverfahren ohne Sanktionen abgeschlossen hatte. Nach Ansicht des Gerichts haben Betroffene grundsätzlich das Recht, gerichtlich prüfen zu lassen, ob ein Extremfall besteht und ein Bußgeld die einzig angemessene Reaktion gewesen wäre. Die Richter können also prüfen, ob die Behörde ihr Ermessen beim Gebrauch ihrer Befugnisse korrekt ausgeübt hat und sie in Sonderfällen verpflichten, ein Bußgeld zu verhängen. Im vorliegenden Fall teilte das Gericht allerdings die Ansicht des BayLDA, dass die Verarbeitung rechtmäßig war.

(Az.: AN 14 K 19.00464)