DatenschutzWoche vom 22. Januar 2024

Koordinierte Durchsetzungsmaßnahme zu Datenschutzbeauftragten abgeschlossen

Der Europäische Datenschutzausschuss hat die Ergebnisse seiner koordinierten Durchsetzungsmaßnahme zur Rolle von Datenschutzbeauftragten veröffentlicht. Die teilnehmenden Datenschutzaufsichtsbehörden hatten Herausforderungen und Schwachstellen bei der Aufgabenerfüllung in den einzelnen Mitgliedstaaten untersucht.

Wenig überraschend kritisieren die Aufsichtsbehörden die unzureichende Ressourcenausstattung der Datenschutzbeauftragten. Grundsätzlich verpflichtet Art. 38 Abs. 2 DSGVO zur Bereitstellung der erforderlichen Ressourcen. Datenschutzbeauftragte seien jedoch häufig mit anderen Aufgaben wie z. B. IT-Sicherheit betraut und könnten sich nicht hauptberuflich oder mit Unterstützung eines Teams ihren Aufgaben als Datenschutzbeauftragte widmen.

Die Aufsichtsbehörden empfehlen außerdem, den Datenschutzbeauftragten mehr Zeit und Möglichkeiten für die Aus- und Fortbildung zur Verfügung zu stellen.

Sowohl die Aufgabenzuweisung als auch die zugewiesene Rolle im Unternehmen entsprächen häufig nicht den Vorgaben der DSGVO. So käme es zu Interessenkonflikten, wenn Datenschutzbeauftragte beispielsweise Managementaufgaben wahrnehmen oder externe Datenschutzbeauftragte sowohl den Verantwortlichen als auch den Auftragsverarbeiter vertreten.

Die Datenschutzbeauftragten verfügen typischerweise über umfangreiches Fachwissen, werden für die Bearbeitung von Betroffenenanfragen herangezogen und können in Unternehmen und öffentlichen Stellen großen Einfluss ausüben.

Aufgrund der Ergebnisse haben bereits zehn Datenschutzaufsichtsbehörden angekündigt, die Rolle der Datenschutzbeauftragten weiter zu untersuchen, darunter auch das Bayerische Landesamt für Datenschutzaufsicht (BayLDA).

EuGH: DSGVO gilt auch für parlamentarische Untersuchungsausschüsse

Mit Urteil vom 16. Januar 2024 (Rs. C-33/22) hat der EuGH entschieden, dass ein parlamentarischer Untersuchungsausschuss grundsätzlich die DSGVO einhalten muss. Eine Ausnahme gilt, wenn der Untersuchungsausschuss Tätigkeiten ausübt, welche die nationale Sicherheit betreffen.

Der österreichische Nationalrat hatte einen Untersuchungsausschuss eingesetzt, um eine mögliche politische Einflussnahme auf das Bundesamt für Verfassungsschutz und Terrorismusbekämpfung aufzuklären. Im Rahmen seiner Tätigkeit befragte der Untersuchungsausschuss medienöffentlich eine Auskunftsperson. Im Anschluss an die Befragung wurde auf der Website des österreichischen Parlaments ein Protokoll veröffentlicht, das den vollständigen Namen der Auskunftsperson enthielt, obwohl diese die Anonymisierung beantragt hatte. Eine hiergegen bei der Datenschutzbehörde eingelegte Beschwerde wies die Behörde unter Hinweis auf den Gewaltenteilungsgrundsatz zurück. Der Betroffene erhob daraufhin Beschwerde zum österreichischen Bundesverwaltungsgericht. Letztlich landete der Fall beim österreichischen Verwaltungsgerichtshof, der sich im Wege der Vorabentscheidung an den EuGH gewandt hatte.

Der EuGH kommt in seiner Entscheidung zu folgenden Ergebnissen.

1. Eine Tätigkeit liegt nicht allein deshalb außerhalb des Unionsrechts, weil sie von einem vom Parlament eines Mitgliedstaats in Ausübung seines Kontrollrechts der Exekutive eingesetzten Untersuchungsausschuss ausgeübt wird.
2. Die Tätigkeiten eines Untersuchungsausschusses, die der Untersuchung der Tätigkeiten einer polizeilichen Staatsschutzbehörde aufgrund des Verdachts politischer Einflussnahme auf diese Behörde dienen, sind als solche nicht als die nationale Sicherheit betreffende Tätigkeiten anzusehen.
3. Wenn ein Mitgliedstaat eine einzige Aufsichtsbehörde eingerichtet, sie aber nicht mit der Zuständigkeit für die Überwachung der Anwendung der DSGVO durch einen Untersuchungsausschuss ausgestattet hat, übertragen Art. 77 Abs. 1 und Art. 55 Abs. 1 DSGVO dieser Behörde unmittelbar die Zuständigkeit, über Beschwerden zu befinden, die von Untersuchungsausschüssen durchgeführte Verarbeitungen personenbezogener Daten betreffen.

Internationale Nachrichten

• Island: Wegen unzulässiger Videoüberwachung hat die Datenschutzaufsicht Island gegen ein Sportzentrum ein Bußgeld in Höhe von umgerechnet 23.820 EUR (3.500.000 ISK) verhängt.
• Ungarn: Wegen Verstößen bei der Bearbeitung von Löschersuchen und unzureichender Transparenz hat die ungarische Datenschutzaufsichtsbehörde ein Bußgeld in Höhe von umgerechnet etwa 13.000 Euro (5.000.000 Forint) gegen eine Fluggesellschaft verhängt.
• Frankreich: Die französische Datenschutzaufsicht CNIL hat wegen Verstößen gegen die ePrivacy-Richtlinie beim Einsatz von Cookies ein Bußgeld von 10 Millionen Euro verhängt.

Aktuelle Gerichtsentscheidungen

• ArbG Mannheim, Urteil vom 01.08.2023, Az. 5 Ca 101/23 (Volltext): Die datenschutzwidrige Weiterleitung einer Wählerliste für den Betriebsrat durch den Wahlvorstand an eine private E-Mailadresse rechtfertigt eine außerordentliche Kündigung.
• OVG Hamburg, Beschluss vom 29.11.2023, Az. 3 Bs 146/23 (Volltext): Die Pflicht zum Vermerk des Geburtsdatums auf dem Kandidaturbogen zum Studierendenparlament verstößt gegen den in Art. 5 Abs. 1 Buchst. c) DSGVO verankerten Grundsatz der Datenminimierung.
• LG Bonn, Urteil vom 19.12.2023, Az. 5 S 34/23 (GRUR-RS 2023, 39325): Auskunft gegenüber einer Anwaltskanzlei - Dem Kläger steht ein Anspruch auf Überlassung einer kostenlosen Kopie der Handakte sowie der sonstigen im Zusammenhang mit seiner Person gespeicherte Daten zu.
• OLG Dresden, Beschluss vom 23.11.2023, Az. 4 W 745/23 (Volltext): Der Streitwert für einen Anspruch auf Unterlassung der Zusendung anwaltlicher Werbeschreiben, der mit einer Datenschutzverletzung begründet wird, entspricht regelmäßig 5.000 Euro.
• EuGH, Urteil vom 16.01.2024, Rs. C-33/22 (Volltext): Ein parlamentarischer Untersuchungsausschuss muss grundsätzlich die DSGVO einhalten, es sei denn, er übt eine die nationale Sicherheit betreffende Tätigkeit aus.

Neuigkeiten aus den Aufsichtsbehörden

• Bundesdatenschutzbeauftragter: „BfDI veröffentlicht FAQ zum E-Rezept“ – Pressemitteilung vom 19.01.2024
• Datenschutzkonferenz: „Digitale Transformation – die Datenschutz-Zukunft gestalten“ – Pressemitteilung zum Europäischen Datenschutztag am 29.01.2024