DatenschutzWoche vom 19. Februar 2024

EDSA: Stellungnahme zur „Hauptniederlassung“

Auf Betreiben der französischen Datenschutzaufsichtsbehörde CNIL hat sich der EDSA in einer Stellungnahme vom 13. Februar 2023 mit dem Begriff der „Hauptniederlassung“ des Verantwortlichen nach Art. 4 Nr. 16 lit. a DSGVO auseinandergesetzt. Demnach muss in einer Hauptniederlassung im Sinne von Art. 4 Nr. 16 lit. a DSGVO die Entscheidung über die Zwecke und Mittel der Verarbeitung personenbezogener Daten getroffen werden und die Niederlassung muss befugt sein, diese Entscheidung auch umzusetzen. Die Beweislast dafür sieht der EDSA beim Verantwortlichen.

Nach Auffassung des EDSA handelt es sich nicht um eine Hauptniederlassung im Sinne des Art. 4 Nr. 16 lit. a DSGVO, wenn die Entscheidung über die Zwecke und Mittel außerhalb der Europäischen Union getroffen wird. Dann soll der One-Stop-Shop-Mechanismus nicht anwendbar sein.

OLG Thüringen: Private E-Mail-Nutzung unterliegt dem Fernmeldegeheimnis

In einem erst kürzlich veröffentlichten Urteil vom 14.09.2021 (Az. 7 U 521/21) beschäftigt sich das OLG Thüringen intensiv mit der Frage, ob Arbeitgeber als Telekommunikationsdienstleister anzusehen sind, wenn sie die Privatnutzung von dienstlichen E-Mails gestatten bzw. dulden. Dann müssten sie das Fernmeldegeheimnis beachten. Obwohl das Urteil zur Rechtslage vor dem TTDSG ergangen ist, liefert die Entscheidung einen guten Überblick über den Streitstand zu diesem Punkt und hat daher eine hohe Praxisrelevanz.

Im Ergebnis stuft das OLG Thüringen den Arbeitgeber im konkreten Fall als Diensteanbieter nach §§ 88 Abs. 2, 3 Nr. 6 TKG (a.F.) ein. Zur Begründung führt das OLG an, dass der Arbeitgeber durch die eigene Einordnung als Diensteanbieter im Rahmen einer unternehmensinternen Richtlinie zur Nutzung von Internet und E-Mail eine Selbstbindung herbeigeführt habe:

„Unabhängig von der Frage der Geltung der Richtlinien zwischen den Parteien hat die Verfügungsbeklagte mit ihrer Richtlinie zum Ausdruck gebracht, sich an die Vorgaben des TKG gebunden und zur Einhaltung des Fernmeldegeheimnisses für die auch zur privaten Nutzung gestatteten dienstlichen E-Mail-Accounts verpflichtet zu sehen. Sie hat damit einen Vertrauenstatbestand für ihre Mitarbeiter geschaffen, wonach auch der Verfügungskläger davon ausgehen konnte, dass ohne seine ausdrückliche Zustimmung die Verfügungsbeklagte keinen Zugriff auf sein dienstliches E-Mail-Postfach nehmen wird. Denn als Konsequenz einer fehlenden Zustimmung des Mitarbeiters zur Geltung der Richtlinie sieht diese lediglich dessen Ausschluss von der privaten E-Mail- bzw. Internetnutzung des dienstlichen Accounts vor. An der gegenüber allen Mitarbeitern - so auch gegenüber dem Verfügungskläger - dargestellten eigenen Einordnung der Verfügungsbeklagten als Diensteanbieter mit Bindung an das Fernmeldegeheimnis ändert eine fehlende Zustimmung des Mitarbeiters zu der Richtlinie jedoch nichts.“

Bei der Anwendbarkeit des Fernmeldegeheimnisses ist ein Zugriff auf die Kommunikation nur im Ausnahmefall möglich. Ein solcher lag nach Auffassung des OLG hier nicht vor. Daher billigte das Gericht dem Arbeitnehmer einen Unterlassungsanspruch zu.

Internationale Nachrichten

• Frankreich: Die französische Datenschutzaufsichtsbehörde CNIL hat ihre Bilanz für das Jahr 2023 veröffentlicht. Daraus ergibt sich unter anderem, dass die Behörde 42 Bußgelder mit einer Gesamthöhe von über 89 Millionen Euro verhängt hat.
• Europa: Der EDSA hat eine Erklärung zu den legislativen Entwicklungen bezüglich des EU-Verordnungsentwurf zur Bekämpfung der Darstellung sexueller Gewalt an Kindern online veröffentlicht.
• Europa: Am 13. Februar 2023 hat der EDSA seine Stellungnahme 04/2024 zum Begriff der Hauptniederlassung des Verantwortlichen nach Art. 4 Nr. 16 lit. a DSGVO veröffentlicht.

Aktuelle Gerichtsentscheidungen

• OLG Thüringen, Urteil vom 14.09.2021, Az. 7 U 521/21 (Volltext): Ist eine Privatnutzung erlaubt, unterliegt die E-Mail-Kommunikation der Beschäftigen dem Fernmeldegeheimnis. Ein Zugriff durch den Arbeitgeber ist nur ausnahmsweise möglich.
• OLG Hamm, Beschluss vom 27.09.2023, Az. 20 U 67/23 (juris): Allein der Umstand, dass der vom Versicherer berechnete auslösende Faktor auch für den Kläger bestimmte, dass seine Prämie neu zu kalkulieren war, macht ihn noch nicht zu einem personenbezogenen Datum.
• OLG Braunschweig, Beschluss vom 12.01.2024, Az. 2 U 106/22 (BeckRS 2024, 1437): Kein Anspruch auf Auskunft über nicht personenbezogene Daten, da kein Vortrag dazu, dass die Kontextualisierung der verarbeiteten Daten erforderlich ist, um die Verständlichkeit zu gewährleisten.
• AG Lörrach, Urteil vom 05.02.2024, Az. 3 C 661/23 (GRUR-RS 2024, 1801): "Die Beklagte wird verurteilt, dem Kläger vollständige Auskunft über die Verarbeitung seiner personenbezogenen Daten nach Art. 15 DSGVO [...] zu erteilen."

Neuigkeiten aus den Aufsichtsbehörden

• Datenschutzaufsicht Berlin: „Herausgabe von Mitgliederlisten: Was Vereine und Parteien beachten müssen“ – Pressemitteilung vom 13.02.2024
• Bundesdatenschutzbeauftragter: „BfDI fordert Einhaltung der Grundrechte bei Chatkontrolle“ – Pressemitteilung vom 14.02.2024