News
Österreichisches BVwG: Wechsel der Rechtsgrundlage der Datenverarbeitung ist zulässig
Kann sich ein Verantwortlicher auf eine andere Rechtsgrundlage als Rechtfertigung für die Datenverarbeitung berufen, nachdem die zugrundeliegende Einwilligungserklärung von einer Behörde für ungültig erklärt wurde?
Nach der Entscheidung des Österreichischen Bundesverwaltungsgerichts (BVwG) vom 31. August 2021 (Az.: W256 2227693-1/10E) kann das zumindest nicht pauschal ausgeschlossen werden. Entgegen der Ansicht des Europäischen Datenschutzausschuss (EDSA) ging das Gericht davon aus, dass bei unzulässiger Einholung einer Einwilligung andere Rechtsgrundlagen für die Verarbeitung zumindest in Betracht kommen und geprüft werden müssen.
Hintergrund der Entscheidung war ein Prüfverfahren der österreichischen Datenschutzaufsichtsbehörde gegen ein Unternehmen. Im Rahmen dieser Überprüfung beanstandete die Behörde, dass die vom Unternehmen eingeholte Einwilligung zu Profiling- und Marketingzwecken im Rahmen eines Kundenbindungsprogramms (Sammeln von Treuepunkten) nicht den Anforderungen an eine Einwilligung gemäß Art. 4 Nr. 11 DSGVO und Art 7 DSGVO entspricht und dass infolgedessen die darauf basierende Datenverarbeitung unzulässig sei. Gegen die deshalberlassene Untersagungsverfügung der Behörde hatte das betroffene Unternehmen Beschwerde beim BVwG eingelegt.
In der daraufhin ergangenen Entscheidung des BVwG ging das Gericht davon aus, dass zwar keine gültige Einwilligung durch den Verantwortlichen eingeholt wurde, die Behörde aber zu einer Prüfung möglicher alternativer Rechtsgrundlagen verpflichtet gewesen wäre. Nach Ansicht des Gerichtes sei ein Wechsel der Rechtsgrundlage nicht bereits aufgrund der Datenschutzgrundsätze ausgeschlossen. Auch käme es für die Prüfung der Rechtmäßigkeit nicht darauf an, ob die betroffene Person im Rahmen der Informationen nach Art. 13 DSGVO vollständig über die Rechtsgrundlage informiert wurde. Nach Ansicht des Gerichtes kann, wenn eine Einwilligung auf eine unzulässige Art und Weise eingeholt wurde, die Verarbeitung grundsätzlich weiterhin auf Grundlage berechtigter Interessen (Art. 6 Abs. 1 f) DSGVO) erfolgen, soweit die gesetzlichen Voraussetzungen dafür gegeben sind. Vor allem bei der im Rahmen von Art. 6 Abs. 1 f) DSGVO durchzuführenden Interessenabwägung seien dann aber auch die berechtigten Erwartungen der betroffenen Person zu berücksichtigen. Ein möglicher Verstoß gegen die Informationspflichten aus Art. 13 DSGVO oder die Datenschutzgrundsätze aus Art. 5 DSGVO war nicht Gegenstand des Verfahrens.
Die Entscheidung ist vor allem deshalb interessant, da der EDSA und auch seine Vorgängerinstitution, die Art. 29-Datenschutzgruppe, durchgehend die Ansicht vertreten haben, dass wenn Probleme mit der Gültigkeit der Einwilligung auftreten, keine andere Rechtsgrundlage mehr in Betracht kommen soll (siehe hierzu Rn. 123 der Leitlinie des EDSA zum Thema Einwilligungen). Das Gericht scheint diesbezüglich die Ausführungen des EDSA aber nur unvollständig gelesen zu haben, da es behauptet, dass der EDSA bzw. die Art. 29-Datenschutzgruppe bislang nicht dazu Stellung bezogen hätten, ob im Falle einer ungültigen Einwilligung ein Rückgriff auf sonstige Erlaubnistatbestände möglich ist.
Gerade deswegen stellt das Urteil aber auch eine gute Argumentationshilfe für Verantwortliche im gerichtlichen oder aufsichtsbehördlichen Verfahren dar, wenn im Einzelfall die Einholung einer Einwilligung an den Vorgaben aus Art. 4 Nr. 11 DSGVO und Art. 7 DSGVO scheitern sollte. In diesen Fällen lässt sich unter Berufung auf die Ansicht des Gerichtes gut vertreten, dass eine Verarbeitung auf Grundlage von Art. 6 Abs. 1 f) DSGVO trotz ungültiger Einwilligung rechtmäßig erfolgt sein könnte. Auch wenn dann in der Regel trotzdem ein Verstoß gegen Art. 13 DSGVO anzunehmen sein wird, kann aufgrund des Urteils des BVwG die Verarbeitung des Verantwortlichen im Einzelfall durch eine Aufsichtsbehörde nicht ohne weiteres vollständig untersagt werden.
News
EuGH-Urteil: Haftung des Verantwortlichen für den Auftragsverarbeiter – was gilt es zu beachten?
Mit der Entscheidung zur Rechtssache C-683/21 (Covid-App Litauen) hat der EuGH am 5. Dezember 2023 ein wichtiges Urteil gefällt, in dem es neben der Frage der Verantwortlichkeit auch um die (Bußgeld)Haftung des Verantwortlichen für den Auftragsverarbeiter geht. Letzteren Aspekt möchten wir in diesem Beitrag genauer darstellen.
Entscheidungen des EuGH zum immateriellen Schadensersatzanspruch und der Geeignetheit von technischen und organisatorischen Maßnahmen
Der EuGH hat am 14. Dezember 2023 zwei maßgebliche Entscheidungen getroffen, die zum einen die Anforderungen an die technischen und organisatorischen Maßnahmen (TOMs) im Sinne von Art. 32 DSGVO und zum anderen die Anforderungen zur Geltendmachung von immateriellen Schadenersatzansprüchen gemäß Art. 82 DSGVO betreffen.
FAQ: Entscheidung des Europäischen Gerichtshofs zur Verhängung von Bußgeldern nach der DSGVO (C-807/21)
FAQ: Entscheidung des Europäischen Gerichtshofs zur Verhängung von Bußgeldern nach der DSGVO (C-807/21)
- Worum ging es (Kurzfassung)?
Der Europäische Gerichtshof (EuGH) hat mit Urteil vom 5.12.2023 (C-807/21) die Vorlagefragen des Kammergerichts Berlin (KG) in Bezug auf das im Oktober 2019 durch die Berliner Aufsichtsbehörde verhängte Bußgeld iHv. 14,5 Millionen Euro gegen die Deutsche Wohnen SE beantwortet
Europäischer Datenschutzausschuss: neue (strenge) Leitlinien zum technischen Anwendungsbereich der "Cookie-Vorgaben" (§ 25 TTDSG)
Der Europäische Datenschutzausschuss (EDSA) hat am 15.11.2023 eine Leitlinie zum technischen Anwendungsbereich von Art. 5 (3) der Datenschutzrichtlinie für die elektronische Kommunikation veröffentlicht. Die Leitlinie soll klarstellen, welche Trackingtechnologien von der ePrivacy-Richtlinie (ePrivacyRL) konkret erfasst und damit grundsätzlich einwilligungsbedürftig sind. In Deutschland wurden die Anforderungen der ePrivacyRL in § 25 TTDSG umgesetzt.
Entscheidung des EuGH zur FIN und generellen Aspekten des Personenbezugs
Die Folgen der Entscheidung des EuGH in der Rs. C‑319/22 vom 9. November 2023 werden sicherlich noch lange in der Datenschutz-Szene diskutiert. Es ist in jedem Fall jetzt schon klar, dass das Urteil in der Automobilbranche und daran angrenzende Sektoren aber auch allgemein im Bereich Datenschutz große Wellen schlagen wird. Doch scheint unklar zu sein, ob das auch gerechtfertigt ist oder im Wesentlichen dieselben Aspekte wie vor der Entscheidung bei der Klärung der Frage nach dem Vorliegen eines Personenbezugs zu beachten sind. In dem vom EuGH behandelten Fall wird jedenfalls erst durch das Landgericht Köln entschieden werden, ob für die Fahrzeughersteller und unabhängigen Wirtschaftsakteure die FIN ein personenbezogenes Datum ist. Im EuGH-Urteil selbst findet man die Antwort jedenfalls noch nicht direkt und eindeutig
EU Data Act verabschiedet – worauf müssen sich die Unternehmen einstellen?
Am 9. November 2023 hat das Europäische Parlament den Data Act final verabschiedet. Dieser soll den Zugang und die Nutzung von Daten erleichtern, die durch Nutzer bei Inanspruchnahme von Produkten und Diensten generiert werden und umfasst sämtliche Nutzerdaten - unabhängig vom etwaigen Personenbezug. Die Auswirkungen sind aus diesem Grund weitreichend und den Unternehmen werden viele Pflichten auferlegt, insbesondere was die Einrichtung von Zugangsmöglichkeiten zu Daten für die Kunden sowie deren Möglichkeit zur Weitergabe an Dritte angeht.