Auf der Suche nach Antworten …

Dr. Carlo Piltz Chefredakteur Datenschutz-Berater

Die Besonderheit im Datenschutzrecht ist ja, dass im Grunde jede Woche neue Entwicklungen zu beobachten sind und dieses Rechtsgebiet daher eigentlich nie „still steht“. Die Rechtsprechung in diesem Bereich nimmt stetig zu, Aufsichtsbehörden treffen Entscheidungen zu Bußgeldern oder anderen Sanktionen und der EDSA veröffentlicht neue oder überarbeitete Leitlinien. Gleichzeitig stellt eine solche, sich im stetigen Fluss befindende Regelungsmaterie natürlich uns alle vor enorme Herausforderungen in der Praxis.

Manchmal wünscht man sich als Rechtsanwender, Berater oder Datenschutzbeauftragter, auf wichtige Fragen, schnelle Antworten. Tatsächlich haben die Aufsichtsbehörden schon länger diesen Bedarf erkannt und kommen vermehrt über Webseiten mit Antworten auf häufig gestellte Fragen, ihrem Beratungsauftrag nach. In diesem Editorial möchte ich Ihnen beispielhaft die Rubrik „Häufig gestellte Fragen – HGF“ auf der Webseite der hessischen Aufsichtsbehörde (HBDI) ans Herz legen. Dort gibt die Datenschutzbehörde ihre Ansichten zu vielen praxisrelevanten Fragestellungen wieder – mit zum Teil sicher überraschenden Ergebnissen.

So geht der HBDI etwa auf die Frage ein, wann denn eigentlich eine Auftragsverarbeitung vorliegt? Der HBDI scheint sich bei seiner Antwort an Ansichten anderer Behörden zu orientieren, die vermehrt auf den Schwerpunkt der beauftragten Tätigkeit abstellen. Nach Ansicht des HBDI liegt in der Regel kein Auftragsverarbeitungsverhältnis vor, wenn Sie andere Dienstleistungen Dritter in Anspruch nehmen, bei denen die Weitergabe von Daten zwar erforderlich aber nicht Inhalt der Dienstleistung selbst ist (z.B. handwerkliche Tätigkeiten). Merke: wenn der Handwerker für den Einbau einer Tür die postalische Adresse erhält, wo die Tür einzubauen ist, handelt er noch nicht als Auftragsverarbeiter.

Interessant ist zudem die Ansicht des HBDI zu der Frage, ob eine Einwilligung nach der DSGVO zulässig eingeholt werden kann, wenn schon eine gesetzliche Grundlage für die Datenverarbeitung einschlägig ist. Zum Teil wird ja in diesen Situationen durchaus vertreten, dass eine so „zur Sicherheit“ eingeholte Einwilligung keine gültige Rechtsgrundlage darstellt. Überaschenderweise ist der HBDI bei dieser Frage nicht so streng. Zwar weist die Aufsichtsbehörde darauf hin, dass, wenn eine gesetzliche Grundlage die Datenverarbeitung eindeutig legitimiert, eine Einwilligung nicht notwendig ist. Jedoch, so der HBDI, kann es zum Teil schwierig sein, die gesetzliche Grundlage für die Datenverarbeitung zweifelsfrei zu bestimmen oder deren Grenzen klar zu erfassen. In diesen Fällen ist es vor allem auf Grund der Sicherheit und Transparenz sowohl für verantwortliche Stellen als auch für betroffene Personen nach Auffassung der Aufsichtsbehörde nicht schädlich, wenn vorsorglich eine Einwilligung eingeholt wird. Die Begründung: sollte sich im Nachhinein ergeben, dass die vermeintliche gesetzliche Grundlage nicht einschlägig war oder bei der Verarbeitung über die gesetzlichen Ermächtigungsgrenzen hinausgegangen wurde, ist diese Verarbeitung durch die Einwilligung jedenfalls gedeckt.

Bekanntlich sieht die DSGVO, Bußgelder für Verstöße vor. Im Rahmen einer Risikobewertung in der Praxis stellt sich daher oft die Frage, wie wahrscheinlich denn die Verhängung eines Bußgeldes im konkreten Fall tatsächlich ist. Ist etwa eine Datenschutzbehörde stets verpflichtet, bei einem festgestellten Verstoß ein Bußgeld auszusprechen? Der HBDI stellt auf seiner Webseite hierzu die Frage, ob jede Zuwiderhandlung gegen datenschutzrechtliche Vorschriften mit einer Geldbuße geahndet wird. Die Aufsichtsbehörde erläutert, dass sie jedem Verstoß gegen datenschutzrechtliche Vorschriften nachgeht und den in Rede stehenden Sachverhalt nach pflichtgemäßem Ermessen unter anderem dahingehend prüft, ob ein Ordnungswidrigkeitenverfahren einzuleiten ist. Jedoch weist der HBDI auch darauf hin, dass im Ordnungswidrigkeitenrecht das Opportunitätsprinzip gilt. „Das bedeutet, dass meine Behörde – im Gegensatz zu der Staatsanwaltschaft bei der Verfolgung von Straftaten (Legalitätsprinzip) – nicht in jedem Fall zur Verfolgung und Ahndung von Zuwiderhandlungen verpflichtet ist. Hieraus folgt jedoch auch, dass bereits ein Erstverstoß gegen eine datenschutzrechtliche Bußgeldvorschrift mit einer Geldbuße geahndet werden kann“.

Ich hoffe, dass Sie auch in diesem Heft Antworten und Anregungen auf Ihre Fragen rund um das Datenschutzrecht erhalten. In diesem Sinne wünsche ich Ihnen eine anregende und erhellende Lektüre.

Mit freundlichen Grüßen

Ihr

Dr. Carlo Piltz