News

Anforderungen an Datenübermittlungen durch Unternehmen an Behörden

I. Schlussantrag des Generalanwalts

Der Generalanwalt beim EuGH äußerte sich in einem kürzlich veröffentlichten Schlussantrag zu den Anforderungen an Datenübermittlungen durch Unternehmen an Behörden
(Schlussanträge des Generalanwalts beim EuGH vom 2.9.2021, Az. C-175/20).

Dem Vorabentscheidungsverfahren ging ein Streit zwischen einem Unternehmen, das als Plattform das Inserieren u. a. von PKW anbietet (= Klägerin im Rahmen des Vorabentscheidungsverfahrens vor dem EuGH), sowie einer Steuerverwaltungsbehörde (= Beklagte im Rahmen des Vorabentscheidungsverfahrens vor dem EuGH) in Lettland voraus. Die Steuerverwaltungsbehörde verlangte von dem Unternehmen auf Grundlage von Art. 15 Abs. 6 lettisches Steuer- und Abgabengesetz, Angaben zu PKW-Inseraten (d. h. Link zum Inserat, Text des Inserats, Marke des Fahrzeugs, Modell, Fahrgestellnummer, Preis, Telefonnummern des Verkäufers) in einem elektronischen Format zu übermitteln. Das Begehren der Behörde führte schließlich zu einer gerichtlichen Auseinandersetzung. Das befasste lettische Gericht legte dem EuGH daraufhin verschiedene Fragen zu dem vorstehenden Fall vor, die zusammengefasst die Fragestellung verfolgten, ob das von der lettischen Steuerbehörde verfolgte Auskunftsbegehren nach Art. 15 Abs. 6 Steuer- und Abgabengesetz datenschutzrechtlich zulässig ist und wenn ja, unter welchen Bedingungen, also wie.

Bemerkenswert ist, dass sich der Generalanwalt dabei grundlegend dazu äußerte, welche Anforderungen sich für die Datenübermittlung durch das Unternehmen an die Steuerbehörde aus Art. 6 DSGVO ergeben:

 

1. Zweck der Datenverarbeitung

Nach Ansicht des Generalanwalts sind beide von der Steuerbehörde verfolgten Zwecke, also die Suche nach Informationen bestimmter Art (zur Aufdeckung von Gesetzesverstößen) sowie außerdem die Überprüfung, ob bestimmte Verstöße stattgefunden haben, grundsätzlich von Art. 6 DSGVO gedeckt. Entscheidend ist nach Ansicht des Generalanwalts insoweit, wie klar eine solche Datenverarbeitung (hier: Suche nach Informationen bestimmter Art (zur Aufdeckung von Gesetzesverstößen) sowie die Überprüfung, ob bestimmte Verstöße stattgefunden haben, durch die jeweilige Rechtsgrundlage (hier: Art. 15 Abs. 6 lettisches Steuer- und Abgabengesetz) gemäß den Anforderungen aus Art. 6 Abs. 3 DSGVO die von der Behörde verlangte Datenverarbeitung tatsächlich zulässt. Im streitgegenständlichen Fall lässt der Generalanwalt offen, ob das Ausmaß der von der Steuerbehörde geforderten Datenübermittlung tatsächlich von Art. 15 Abs. 6 lettisches Steuer- und Abgabengesetz gedeckt ist. Allerdings hält er es zumindest nach dem Anforderungsmaßstab der DSGVO für zulässig, dass Steuerbehörden Daten für einen unbegrenzten Zeitraum anfordern dürfen.

 

2. Umfang und Dauer der Datenverarbeitung

Außerdem sind nach Ansicht des Generalanwalts der Umfang und die Dauer der Datenverarbeitung für eine Datenübermittlung von einem Unternehmen an eine Behörde von Relevanz. Der Generalanwalt zeigt sich hinsichtlich dieser beiden Aspekte eher offen:

Solange eine „angemessene“ Rechtsgrundlage im Unions- oder nationalen Recht existiere, dürfe eine nationale Behörde grundsätzlich sämtliche notwendigen Daten anfordern, die sie für ihre gebotenen Ermittlungen benötigt, ohne dass eine zeitliche Befristung bestehe. Die einzige Beschränkung, die sich durch die DSGVO ergebe, sei die Verhältnismäßigkeit der angeforderten Daten. Das prüfende Gericht habe daher in Bezug auf alle mit der Datenverarbeitung verfolgten Zwecke im Lichte der tatsächlichen und rechtlichen Umstände des Einzelfalls eine Verhältnismäßigkeitsprüfung vorzunehmen. M. a. W. muss es prüfen, ob die Art der angeforderten Daten geeignet ist, damit die Beklagte (hier: Steuerbehörde) die für ihr erklärtes Ziel notwendigen Informationen erlangt.

 

3. Rechtsgrundlage der Datenübermittlung

Schließlich geht der Generalanwalt noch der Frage nach, welche Anforderungen eine Rechtsgrundlage aus dem Unionsrecht oder dem Recht der Mitgliedstaaten gemäß Art. 6 Abs. 3 DSGVO für die Datenübermittlung eines Unternehmens an eine Behörde erfüllen muss. Der Generalanwalt beantwortet diese Frage zunächst abstrakt wie folgt: „Je allgemeiner, größer und dauerhafter die Datenübermittlungen sind, desto solider, ausdifferenzierter und ausdrücklicher muss die gesetzliche Grundlage sein, da solche Datenübermittlungen einen größeren Eingriff in den Datenschutz darstellen. Demgegenüber kann, je geringfügiger und begrenzter die Anträge auf Offenlegung sind – üblicherweise in Bezug auf eine betroffene Person oder einige wenige oder auch auf eine begrenzte Datenmenge – diesen Anfragen umso eher auf Einzelfallebene als behördliche Anfragen auf einer eher weiten und allgemeinen Ermächtigungsgrundlage stattgegeben werden“. Der Generalanwalt hält die Anforderung der beklagten Steuerbehörde im zugrunde liegenden Rechtsstreit unter Beachtung des vorstehend dargestellten Maßstabs jedenfalls datenschutzrechtlich gemäß Art. 6 Abs. 1 lit. c), Abs. 3 DSGVO für zulässig. Allerdings müsse das vorlegende nationale Gericht in Kenntnis aller einschlägigen nationalen Vorschriften, also insbesondere ggf. vorhandener nationaler datenschutzrechtlicher Durchführungsbestimmungen prüfen, ob die streitgegenständliche Datenverarbeitung erlaubt ist.

 

II. Praktische Folgen für Unternehmen

Zunächst muss betont werden, dass es sich noch um eine Einschätzung des Generalanwalts und nicht um ein abschließendes Urteil des EuGH handelt. Gleichwohl folgt der EuGH regelmäßig den Einschätzungen des Generalanwalts, sodass es überwiegend wahrscheinlich ist, dass die vorstehenden Ausführungen des Generalanwalts Bestand haben werden.

Unternehmen sollten daher bei behördlichen Anfragen immer folgende Fragen beachten:

 

  1. Welche Zwecke verfolgt die Behörde mit ihrer Anfrage gegenüber dem Unternehmen?
  2. Sind die von der Behörde verfolgten Zwecke durch eine nationale Rechtsgrundlage gedeckt, die den Anforderungen insbesondere gemäß Art. 6 Abs. 3 DSGVO entspricht? (in Deutschland existiert diesbezüglich z. B. § 24 Abs. 1 BDSG)?
  3. Sind Art und Umfang der von der Behörde angeforderten Daten so umfangreich, dass sie als verhältnismäßig i. S. d. von der Behörde angegebenen Rechtsgrundlage zu bewerten sind Es gilt der Grundsatz: (je umfangreicher Art und Umfang der angeforderten Daten sind, desto höhere Anforderungen sind im Rahmen der Verhältnismäßigkeitsprüfung an die zugrunde gelegte Rechtsgrundlage zu stellen)?
  4. Existieren im Übrigen möglicherweise nationale datenschutzrechtliche Regelungen, die dem Begehren der Behörde entgegenstehen?

 

Zumindest im Rahmen des hiesigen Vorabentscheidungsverfahrens vor dem EuGH hatte die Steuerbehörde gegenüber dem klagenden Unternehmen gefordert, „die Informationen elektronisch in einem Format zu übermitteln, in dem es möglich ist, die Daten zu filtern und auszuwählen“. Unternehmen, die mit behördlichen Anfragen konfrontiert werden, sollten daher darauf achten, ob die Anfragen die oben benannten Kriterien erfüllen. Im Zweifel sollten Unternehmen die anfragende Behörde um Präzisierungen bitten. Hilfreich kann insoweit auch die Vorgabe in ErwG 31 DSGVO sein: „Anträge auf Offenlegung, die von Behörden ausgehen, sollten immer schriftlich erfolgen, mit Gründen versehen sein und gelegentlichen Charakter haben“.

Rechtsanwalt, Senior Associate
Johannes Zwerschke, LL.M.
Rechtsanwalt, Senior Associate
Johannes Zwerschke, LL.M.

Zurück

News

The Legal 500 Deutschland: Dr. Carlo Piltz als führender Name im Praxisbereich Datenschutz

Wir freuen uns sehr, dass Dr. Carlo Piltz in der neuesten Ausgabe des Handbuchs Legal 500 Deutschland unter den führenden Namen im Bereich Datenschutz vertreten ist.

Belgische Aufsichtsbehörde verhängt Bußgeld gegen IAB Europe wegen Transparency and Consent Framework (TCF)

Die belgische Datenschutzaufsichtsbehörde (APD-GBA) hat heute am 2.2.2022 ein Bußgeld in Höhe von 250.000 Euro gegen IAB Europe (IAB) verhängt. Zudem ordnete die Behörde Maßnahmen an, die zu einer umfassenden Anpassung des Transparency and Consent Framework (TCF) führen sollen.

Hervorzuheben ist dabei, dass die APD-GBA davon ausgeht, dass IAB zusammen mit den Publishern u.a. im Hinblick auf die Einholung der Einwilligung als Joint Controller agiert. Grundsätzlich könnten daher die angenommenen Verstöße auch App- und Webseitenbetreibern zu Last gelegt werden, die aktuell das TCF nutzen.

 

EDSA veröffentlicht Leitlinien zum Auskunftsrecht nach Art. 15 DSGVO

Der Europäische Datenschutzausschuss (EDSA), das Gremium der europäischen Datenschutzaufsichtsbehörden, hat in seiner Sitzung vom 18. Januar 2022 einen ersten Leitlinienentwurf zu einem der bedeutendsten Betroffenenrechte nach der DSGVO herausgegeben: dem Auskunftsrecht nach Art. 15.

Dieses Recht sorgt in der Praxis oft für Anwendungsunsicherheiten und lässt viel Raum für Interpretationen. Aus diesem Grund erschien es notwendig, dieses 60-seitige Dokument zu veröffentlichen, um für mehr Klarheit und Kohärenz zu sorgen. In dem Dokument widmet sich der EDSA einer Reihe von Themen, von denen einige in der Praxis äußerst umstritten sind.

Zusätzliche Schutzmaßnahmen für EU-Standardvertragsklauseln in der Praxis - Österreichische Datenschutzbehörde gibt eine erste Orientierung

Der Einsatz von Google Analytics steht nicht im Einklang mit der DSGVO. Zu diesem Schluss kam die österreichische Datenschutzbehörde (DSB) aufgrund einer Musterbeschwerde, die der Datenschutzverein "Noyb" (none of your business bzw. Europäisches Zentrum für digitale Rechte) eingereicht hatte. In ihrem Bescheid setzt sich die DSB (leider nicht vertieft) mit den zusätzlichen Schutzmaßnahmen von Google auseinander, die das Unternehmen für Datentransfers in die USA vorsieht. In diesem Beitrag finden Sie eine kurze Übersicht der technischen und organisatorischen Maßnahmen, die die österreichische DSB in ihrem Teilbescheid berücksichtigt, jedoch als ungenügend eingestuft hat.

Rechtswidrige Datenübermittlung zwischen EU und USA und weitere Verstöße: Der EDSB erlässt Unterlassungsanordnung gegen das Europäische Parlament

Anfang Januar veröffentlichte der Europäische Datenschutzbeauftragte (EDSB) eine Entscheidung, nachdem die Vereinigung noyb (none of your business bzw. European Centre for Digital Rights) bereits vor einem Jahr im Namen von sechs Mitgliedern des Europäischen Parlaments eine Beschwerde bzgl. einer Webseite des Europäischen Parlaments eingereicht hatte. In seiner Entscheidung geht der EDSB davon aus, dass die COVID-Testseite des Europäischen Parlaments gegen mehrere Datenschutzvorschriften verstößt. Kritisiert wurden in der Beschwerde von noyb insbesondere irreführende Cookie-Banner, vage und unklare Datenschutzinformationen und die illegale Übermittlung von personenbezogenen Daten in die USA. Der EDSB überprüfte den Fall und stellte einen Verstoß gegen die Verordnung (EU) 2018/1725 (nachfolgend „Verordnung)“, die zwar nur für EU-Institutionen gilt, der DSGVO jedoch sehr ähnelt, fest. Eine detaillierte Auflistung der einzelnen Verstöße sowie ihrer korrespondierenden Vorschriften in der Verordnung (EU) 2016/679 „EU-DSGVO“ finden Sie unter Nummer 4.

Musterverträge für internationale Geschäfte

Bei dem Münchner Verlag C.H.Beck ist die erste, von unserem Partner Prof. Dr. Burghard Piltz herausgegebene Edition zu Musterverträgen für das internationale Handels- und Vertriebsrecht erschienen.