Das neue digitale Vertragsrecht setzt künftig die Überlassung von Daten bei vermeintlich „kostenlosen“ Online-Diensten der Geldzahlung zumindest im Verbraucherschutzrecht gleich und eröffnet so dessen Anwendungsbereich. Damit setzt der deutsche Gesetzgeber die europäische Digitalen-Inhalte-Richtlinie (Nr. 2019/770) um.

Viele Online-Dienste, wie zum Beispiel soziale Medien oder Streamingdienste können „umsonst“ oder „kostenlos“ genutzt werden. Dies ist in der Hinsicht richtig, dass Nutzer kein Geld als Gegenleistung zahlen müssen. Den Unternehmen geht es jedoch vielmehr um den Zugriff auf die Daten des Nutzers beziehungsweise deren Verwertung. Aufgrund der preisgegebenen Daten ist es möglich, Informationen über die Interessen sowie Lebens- und Verhaltensweisen des Nutzers zu erlangen – oftmals aus sensiblen Lebensbereichen. Diese gängige Praxis war bislang gesetzlich nicht ausdrücklich geregelt und vor dem Hintergrund des Art. 7 Abs. 4 DS-GVO erschien die Freiwilligkeit einer im Rahmen eines solchen Geschäftsmodells erteilten Einwilligung durchaus zweifelhaft.

Am Ende der Legislaturperiode wurde der Gesetzgeber im Bereich des Verbraucherschutzrechtes schließlich tätig und fügte § 312 Abs. 1a und in § 327 Abs. 3 ins BGB ein. Durch die Neuregelungen werden die Zahlung eines Geldbetrages und das Zurverfügungstellen von personenbezogenen Daten im Rahmen des Verbraucherschutzrechts gleichgestellt, womit – als wesentliche Rechtsfolge der Gleichstellung – das Verbraucherschutzrecht und insbesondere die damit verbundenen Transparenz- und Belehrungspflichten sowie die Regelungen zum Widerrufsrecht nunmehr ausdrücklich Anwendung finden.

Dies gilt allerdings nur dann, wenn tatsächlich ein Vertrag durch zwei übereinstimmende Willenserklärungen mit Rechtsbindungswillen zustande gekommen ist. Liegt ein Vertrag vor, sind sowohl das aktive Bereitstellen der Daten durch den Verbraucher als auch das passive Dulden der Datenerhebung umfasst. Ausgenommen sind jedoch solche Daten, die der Anbieter zur Abwicklung der Leistung benötigt, z.B. eine E-Mail-Adresse oder Rechnungsdaten.

Im Ergebnis sorgt die Gleichstellung für einen besseren Schutz der Verbraucher und der Durchsetzbarkeit ihrer Rechte. Aufgrund der Neuregelung ist der Anbieter verpflichtet, die Hauptleistungspflichten des Vertrags klar darzulegen, d.h. welche Daten werden für welche Leistung und für welchen Zweck zur Verfügung gestellt. Auch für die Unternehmen ergeben sich Vorteile durch die Gesetzesänderung. So wird insbesondere ein rechtssicheres Anbieten der Produkte und Leistungen möglich. Zudem wird ein Kündigungsrecht für die Anbieter eingeführt für den Fall, dass der Verbraucher seine datenschutzrechtliche Einwilligung widerruft und eine Fortsetzung des Vertragsverhältnisses dem Anbieter nicht zumutbar ist,vgl. § 327q Abs. 2 BGB nF.

Die Neuregelung löst allerdings nicht die Frage um die datenschutzrechtliche Rechtsgrundlage und ob eine erteilte Einwilligung freiwillig ist oder an Art. 7 Abs. 4 DS-GVO scheitert. Die Streitfrage wird also weiter bestehen bleiben, ob die Datenverarbeitung im Geschäftsmodell Daten gegen kostenlose Services auf Basis einer Einwilligung zulässig ist oder ggf. bereits zur Vertragsdurchführung erforderlich sein kann, weil der Nutzer sich vertraglich zur Bereitstellung der Daten verpflichtet. Gegen letztere Annahme spricht, dass sich der Erforderlichkeitsmaßstab auf die Erbringung der vertraglichen Leistung nicht einseitig durch den Anbieter im Rahmen seines Geschäftsmodells vorgegeben werden kann. Art. 6 Abs. 1 lit. b DS-GVO zielt von seinem Zweck her gedacht auf Datenverarbeitungen, die erforderlich sind, um überhaupt erst die Erfüllung des Vertrages zu ermöglichen und nicht auf die Bereitstellungen der Daten als vertragliche Hauptleistungspflicht (vgl. Schantz in: Simitis/Hornung/Spiecker gen. Dömann, Datenschutzrecht, Art. 6 DS-GVO Rn. 33). Diese Unterscheidung scheint auch in § 312 Abs. 1a S. 2 BGB nF zum Ausdruck zu kommen, wenn der Gesetzgeber Daten, die der Anbieter ausschließlich zur Erbringung seiner Leistungspflicht oder an ihn gestellten rechtlichen Anforderung gesondert erwähnt und für diesen Fall die Anwendung des Verbraucherschutzrechts ausschließt. Somit differenziert auch der Gesetzgeber zwischen den insofern „erforderlichen“ personenbezogenen Daten und den darüber hinausgehenden, z.B. für die Profilbildung zu Werbezwecken erhobenen Daten. Insofern ist auch weiterhin eine Einwilligung in die beabsichtigte Verarbeitung personenbezogener Daten der Nutzer erforderlich ist, soweit diese nicht zur Erfüllung der Leistungspflicht oder rechtlicher Anforderungen, die an den Unternehmer gestellt werden, erfolgt. Zudem geht auch der Gesetzgeber sowohl in der Gesetzbegründung als auch durch die Statuierung eines Kündigungsrechts für den Fall des Widerrufs der datenschutzrechtlichen Einwilligung, davon aus, dass eine solche regelmäßig erforderlich ist.

Der Gesetzgeber anerkennt mit der Neuregelung, dass das Geschäftsmodell Daten gegen Leistung grundsätzlich im Rahmen der Vertragsfreiheit zulässig ist – flankiert durch die nun geltende Anwendbarkeit der verbraucherschutzrechtlichen Vorschriften. Vor dem Hintergrund dürfte nunmehr viel dafür sprechen, dass erteilte Einwilligungen regelmäßig nicht wegen Art. 7 Abs. 4 DS-GVO an der fehlenden Freiwilligkeit scheitern. Ob im Einzelfall doch eine Kopplung der Preisgabe personenbezogener Daten mit der kostenlosen Zurfügungstellung einer Leistung zum Entfallen der Freiwilligkeit einer erteilten Einwilligung nach Art. 7 Abs. 4 DS-GVO führen kann, wenn der Verbraucher auf die Leistung faktisch angewiesen ist und der Anbieter eine Monopolstellung innehat, wird die Rechtsprechung zu klären haben.

 

Schadensersatzansprüche betroffener Personen wegen Datenschutzverstößen spielen in der Praxis eine immer größere Rolle - Dabei stellen sich unterschiedlichste Streitfragen. In meinem neuen Youtube-Video gebe ich einen kurzen Überblick zum Schadensbegriff und zur Beweislastverteilung. 

Mit einem Paukenschlag hat der europäische Gerichtshof (EuGH) in seinem Urteil vom 16.07.2020 die Regelung des Privacy Shield für nicht mehr anwendbar erklärt. Der Privacy Shield biete kein angemessenes Schutzniveau mehr bei Datenübermittlungen in die USA.

Der Privacy Shield war aus Unternehmenssicht eine Art Register, in dass sich US-Unternehmen selbst eintragen konnten und damit rechtlich an die Vorgaben des Privacy Shield („privacy shield principles“) gebunden waren. Aufwendige individuelle Anpassungen an die konkrete Situation des jeweiligen Unternehmens waren im Hinblick auf Datenübertragungen damit nicht mehr erforderlich. Man konnte davon ausgehen, dass das Schutzniveau für Datenübermittlungen aus der EU an jedes US-Unternehmen gewährleistet war. Auch die übermittelden Unternehmen in der EU mussten bei ihrer Datenübermittlung keine weiteren Schutzvorkehrungen mehr treffen. Hunderttausende Unternehmen in der EU haben von den Vorteilen des Privacy Shield profitiert. Ganze Wirtschaftsbranchen dürften die Übermittlung von personenbezogenen Daten in die USA weitgehend auf der Basis des Privacy Shield durchgeführt haben. Personen, die von dieser Datenübermittlung betroffen waren, mussten bei der Nutzung des Privacy Shield nicht gesondert eingebunden werden. Insbesondere war keine diesbezügliche Einwilligung erforderlich. Das ersparte den Unternehmen letztlich erheblichen bürokratischen Aufwand. Der EuGH hat nun mit seinem Urteil entschieden, das alle Datenübermittlungen aus der EU in die USA, die ausschließlich auf der Basis des Privacy Shield erfolgten, gegen die Datenschutz-Grundverordnung (DSGVO) verstoßen und damit rechtswidrig sind. Davon umfasst sind Datenübermittlungen zwischen rechtlich selbstständigen Unternehmen innerhalb eines Konzerns sowie auch Datenübermittlungen an externe Geschäftspartner in den USA.

Die Ungültigkeit des privacy shield begründete der EuGH im Wesentlichen mit zwei Argumenten:

1. Die von den USA durchgeführten Überwachungsprogramme für das Internet (z.B. PRISM) kennen keine Schranken, die den Grundsatz der Verhältnismäßigkeit im Einzelfall berücksichtigen.
2. Betroffene Personen, die nicht US-Bürger sind, haben keinerlei Rechtsschutz Möglichkeiten, um gegen eine Überwachung aus Gründen der nationalen Sicherheit der USA vorzugehen.

Da es keine Übergangsfrist gibt, ist das Urteil des EuGH sofort rechtskräftig, somit sind sämtliche Datenübermittlungen aus der EU in die USA, gestützt auf das Privacy Shield Abkommen, rechtswidrig.
Als Alternative zum Privacy Shield bietet sich der Rückgriff auf die nach wie vor gültigen EU-Standardvertragsklauseln an. Ihre Verwendung bei Datenübermittlungen in die USA kann bewirken, dass ein angemessenes Datenschutzniveau besteht. Allerdings besteht eine Prüfpflicht auf Seiten des Verantwortlichen (Datenexporteur) sowie des Datenimporteurs. Diese Prüfpflicht bezieht sich darauf, ob die Standardvertragsklauseln für die Übermittlung bereits hinreichende Garantien bieten oder ob zusätzliche Garantien geschaffen bzw. individuell vereinbart werden müssen. Dies erfordert in der Praxis eine Neubewertung bereits im Einsatz befindlicher internationaler Datenflüsse durch eine Bestandsaufnahme und Untersuchung der Umstände der einzelnen Datenübermittlungen. Dabei ist insbesondere auf den Schutzbedarf der jeweils durch den Datenimporteur zu verarbeitenden Daten abzustellen. Es kann dann geprüft werden, inwieweit die übermittelten Daten überhaupt dem landesspezifischen Risiko bspw. eines Zugriffs durch Sicherheitsbehörden ohne adäquate Rechtsschutzmöglichkeit ausgesetzt sind.

Bei Beschwerden im Hinblick auf die Übermittlung von personenbezogenen Daten in die USA auf der Basis der EU-Standardvertragsklausel kann die jeweilige Aufsichtsbehörde nämlich jederzeit überprüfen, ob diese Vorgaben eingehalten werden. Kommt eine Aufsichtsbehörde zu dem Ergebnis, dass die Vorgaben der Standardvertragsklausel im Zielland des Datenexports, also etwa auch in die USA, nicht eingehalten werden oder das sie wegen dessen Rechtsordnung gar nicht eingehalten werden können, ist die Aufsichtsbehörde verpflichtet, die Übermittlung der personenbezogenen Daten in dieses Zielland auszusetzen oder Unternehmen die Übermittlung gar zu verbieten.
Es empfiehlt sich daher für Unternehmen noch zusätzliche Maßnahmen zu ergreifen, die dann zusammen mit den Standardvertragsklausel im Ergebnis ein angemessenes Schutzniveau für die Datenübertragung gewährleisten können. Solche Maßnahmen können z.B. die Anonymisierung von personenbezogenen Daten oder die Pseudonymisierung (z.B: Einsatz eines Pseudonymisierungs-Gateways oder Beauftragung eines Daten-Treuhänders) oder Neu-Analyse der in das Drittland übermittelten personenbezogenen Daten hinsichtlich ihrer Art des Umfangs, des Zwecks, des Kontextes der Verarbeitung sowie der vorgesehenen Empfänger.

Angesichts der unklaren rechtlichen Situation muss man feststellen, dass es im Moment keinen absolut sicheren Weg gibt, um ein datenschutzkonformes Niveau bei der Übermittlung von personenbezogenen Daten in die USA zu gewährleisten. Dies gilt umso mehr als sich selbst die Datenschutzaufsichtsbehörde selbst in ihrer Bewertung uneins sind. Die aktuellen Gespräche zwischen der EU und USA darüber, wie der transatlantische Datenfluss künftig geregelt werden kann, gestalten sich wegen der sehr unterschiedlichen Datenschutzniveaus als schwierig. Da die wenigsten Unternehmen die Datenübermittlungen in die USA einfach einstellen können erscheint es im Moment einstweilen als vertretbar, mithilfe der vorhandenen Standardvertragsklauseln und zusätzlichen Maßnahmen als in der Zwischenzeit geringeren Übel zu arbeiten.

 

Neue Entscheidung des VG Berlin zu Löschverlangen wegen Schulwechsels

Im Hinblick auf einen Schulwechsel begehrten die Eltern eines minderjährigen Schülers gegenüber einer weiterführenden Schule die Löschung von mehreren Einträgen in der Schülerakte ihres Kindes. Die Einträge betrafen sowohl den Schüler als auch die Eltern als Erziehungsberechtigte. Das Verwaltungsgericht Berlin lehnte mit seinem Beschluss vom 28.02.2020 – 3 L 1028/19 einen Löschungsanspruch der Eltern nach Art. 17 Abs. 1 DSGVO ab. Es begründete seine Entscheidung damit, dass die Verarbeitung von personenbezogenen Daten betreffend den Schüler und dessen Eltern rechtmäßig sei, da dies von einer Rechtsgrundlage im Schulgesetz gedeckt sei. Ein Löschungsanspruch der Eltern bestehe auch nicht, weil die personenbezogenen Daten für die Zwecke, für die sie erhoben oder verarbeitet worden waren, noch notwendig seien. Der Zweck für die Sammlung der Daten war also nicht entfallen, was eine Löschungspflicht der Daten hätte bedeuten können. Denn die Schülerakte diene dem Zweck ein vollständiges Bild der Entwicklung eines Schülers wiederzugeben. Dies gelte auch bei einem Schulwechsel auf eine anerkannte Privatschule. Eine gesetzliche Aufbewahrungspflicht der Schülerakte ergebe sich außerdem auch aus der Schuldaten Verordnung bis zum Ende der Schulpflicht eines Schülers.

Grundsätzlich sollten sowohl Behörden als auch Unternehmen unabhängig von einem individuell geltend gemachten Löschungsanspruch darauf achten, dass der Grundsatz der Speicherbegrenzung aus Art. 5 Abs. 1 lit. e DSGVO beachten werden sollte. Personenbezogene Daten können nicht ewig gespeichert werden. Für betroffene Personen gilt es zu beachten, dass sofern kein Anspruch auf Löschung von personenbezogenen Daten besteht, eine Verbesserung der Datenlage jedoch über den Berechtigungsanspruch aus Art. 16 DSGVO erzielt werden könnte.

 

Zum Datenschutzbeauftragten darf nur bestellt werden, wer die erforderliche Fachkunde besitzt. Art. 37 Abs. 5 DS-GVO gibt insofern vor, dass der Datenschutzbeauftragte auf Grundlage seiner beruflichen Qualifikation und insbesondere seines Fachwissens, über welches er auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis verfügt, bestellt wird. Er benötigt die Kenntnisse und Qualifikationen, die ihm die Erfüllung der in Art. 39 DS-GVO genannten Aufgaben befähigen. Das erforderliche Niveau des Fachwissens ist insbesondere an den durchgeführten Verarbeitungsvorgängen und dem erforderlichen Schutz für die von dem Verantwortlichen verarbeiteten personenbezogenen Daten zu messen (Erwägungsgrund 97) (vgl. Gola/Heckmann, BDSG, 3. Auflage 2019, § 5 Rn. 10).

Der interne Datenschutzbeauftragte ist nicht nur berechtigt, sondern auch verpflichtet an Schulungen und Fortbildungen teilzunehmen, um die Erhaltung und Erweiterung seines Fachwissens zu fördern. Die verantwortliche Stelle muss dem Datenschutzbeauftragten die dafür erforderlichen Ressourcen nach Art. 38 Abs. 2 DSGVO zur Verfügung stellen. Die Teilnahme an einer Datenschutzfortbildung stellt eine solche Ressource dar (Bergt in: Kühling/Buchner, DS-GVO BDSG, 2. Auflage 2018, Art. 38 DS-GVO, Rn. 23; Drewes in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, Art. 38 DS-GVO Rn. 29; Gola/Heckmann, BDSG, § 6 Rn. 5 und 9). Insofern hat die verantwortliche Stelle dem internen Datenschutzbeauftragten gem. Art. 38 Abs. 2 DS-GVO die Teilnahme an entsprechenden Fortbildungsveranstaltungen zu ermöglichen und die Kosten hierfür zu übernehmen (vgl. Gola, Handbuch Beschäftigtendatenschutz, Rn. 354). Dies bedeutet, dass der interne Datenschutzbeauftragte ohne Minderung der Vergütung für die Teilnahme an Fortbildungsveranstaltungen von der Erbringung seiner Arbeitsleistung freizustellen ist.

Die Rechtslage ist erscheint vergleichbar mit derjenigen zum Schulungsanspruch von Betriebsratsmitgliedern nach § 37 Abs. 6 BetrVG. Auch hier besteht der Schulungsanspruch im Rahmen der Erforderlichkeit. Im Ergebnis werden jedenfalls Fortbildungen erforderlich sein, die der Datenschutzbeauftragte zur Aufrechterhaltung seiner Fachkunde benötigt. Darüber hinausgehend Fortbildung dürften, ebenfalls in Anlehnung an die gefestigte Rechtsprechung des BAG zu Betriebsratsschulungen jedenfalls bei einem entsprechend betrieblichen Anlass erforderlich sein.

Beispiel:

Will das Unternehmen als verantwortliche Stelle eine Videoüberwachungsanlage installieren, dürfte eine diesbezügliche Fortbildung des Datenschutzbeauftragten bei fehlenden Vorkenntnissen erforderlich sein. Gleiches gilt bei geplanter Einführung einer cloudbasierten CRM-Lösung für eine Fortbildung zum Thema Datenschutz beim Einsatz von Cloud-Technologien.

Der Schulungsanspruch kann, jedenfalls soweit die Freistellung von der Arbeitsleistung begehrt und vom Unternehmen verweigert wird, im Wege des einstweiligen Rechtsschutzes durchgesetzt werden. Die Eilbedürftigkeit ergibt sich bereits daraus, dass die gewünschte Schulung unmittelbar bevorsteht und eine Entscheidung im Hauptsacheverfahren bis dahin nicht zu erwarten ist (LAG Hessen, Beschl. v. 04.11.2013 - 16 TaBVGa 179/13).

Dem kann auch nicht entgegengehalten werden, dass von anderen oder demselben Veranstalter mehrmals jährlich an verschiedenen Orten inhaltsgleiche Schulungsveranstaltung angeboten werden. Wenn bereits damit die Eilbedürftigkeit verneint werden könnte, ließe sich bei jeder Schulungsveranstaltung einwenden, der Teilnehmer möge doch an der nächsten Veranstaltung teilnehmen. So würde der Schulungsanspruch letztlich vereitelt (LAG Hessen, Beschl. v. 04.11.2013 - 16 TaBVGa 179/13).

Die Datenschutz-Grundverordnung (DS-GVO) und das neue BDSG beschäftigen weiterhin die Unternehmen. Nicht nur die Datenschutzbeauftragten, sondern auch Arbeitsrechtler stehen noch immer vor zahlreichen - höchstrichterlich noch unbeantworteten Fragen. Auch die Arbeitnehmervertreter im Aufsichtsrat werden sich zukünftig intensiver mit dem Thema Datenschutz auseinandersetzen müssen. Zum einen stellt sich die Frage, ob und wieweit der Aufsichtsrat die Einhaltung des Datenschutzes im Unternehmen zu überprüfen hat, zum anderen muss auch im Blick behalten werden, dass auch im Rahmen der Tätigkeit im Aufsichtsrat, das einzelne Aufsichtsmitglied ebenfalls personenbezogene Daten verarbeitet. Heißt das nun, dass das Aufsichtsratsmitglied im Rahmen seiner selbstständigen Tätigkeit verantwortliche Stelle für die Datenverarbeitung ist und folglich vor allem den hohen Geldbußen für Datenschutzverstöße ausgesetzt ist?

Kontrolle des Datenschutz-Managements durch den Aufsichtsrat?

Die neuen Vorgaben der DS-GVO zwingen die Unternehmen dazu, weitergehende Maßnahmen im Hinblick auf die Einhaltung des Datenschutzes zu treffen. Verstöße gegen Datenschutzbestimmungen und insbesondere auch die Datenschutzprinzipien aus Art. 5 DS-GVO, wie Rechtmäßigkeit, Transparenz, Datenminimierung oder die Begrenzung der Speicherung von personenbezogenen Daten sind nach neuem Recht mit deutlichen höheren Bußgeldandrohungen versehen, als dies bisher nach dem alten BDSG der Fall gewesen ist. Der neue Bußgeldrahmen reicht bis zu 20 Millionen Euro bzw. 4% des weltweiten Jahresumsatzes. Natürlich werden die Aufsichtsbehörden diesen Rahmen nicht bei jedem Verstoß ausschöpfen. Es wird aber zukünftig deutlich empfindlichere Bußgelder geben, als dies bisher der Fall gewesen ist. Damit steigen die finanziellen Risiken im Unternehmen bei Datenschutzverstößen immens. Daneben darf auch nicht übersehen werden, dass die Meldepflichten für Datenpannen ebenfalls deutlich ausgeweitet wurden und somit Datenpannen und auch Datenschutzverstöße eine gestiegene öffentliche Aufmerksamkeit erfahren. Imageschäden durch Berichte über Datenpannen im Unternehmen müssen daher tunlichst vermieden werden.

Dies alles legt nahe, dass auch der Aufsichtsrat das Thema Datenschutz nicht mehr ausblenden darf. Zwar obliegt dem Aufsichtsrat nicht die Leitung des Unternehmens. Allerdings soll der Aufsichtsrat die Geschäftsleitung, also je nach Unternehmensform zumeist Vorstand oder Geschäftsführung überwachen (§ 111 Abs. 1 AktG). Daneben hat der Aufsichtsrat in vielen Fällen heute auch eine beratende Stellung inne.

Im Rahmen der Kontrollaufgabe erstreckt sich auf die Verhinderung bzw. Aufdeckung von Fehlern (Lutter/Krieger/Verse, Rechte und Pflichten des Aufsichtsrats, Rn. 63, 6. Auflage, Köln 2014). Die Überwachungsaufgabe bezieht sich dabei auf die Rechtmäßigkeit, Ordnungsmäßigkeit, Zweckmäßigkeit und Wirtschaftlichkeit des Handelns der Geschäftsleitung.

Compliance-Systeme

Bzgl. des Datenschutzes ist insofern von Bedeutung, dass die Geschäftsleitung verpflichtet ist, für die Einhaltung des geltenden Rechts und damit auch der DS-GVO im Unternehmen zu sorgen. Dies wird heute zumeist mit dem englischen Begriff "compliance" umschrieben. Wie die Gesetzmäßigkeit des unternehmerischen Handelns sichergestellt wird, unterliegt zunächst dem Einschätzungsspielraum der Geschäftsleitung. Aufgabe des Aufsichtsrats ist es in diesem Zusammenhang sich von der Einrichtung eines Überwachungssystems, mit dem die Einhaltung der gesetzlichen Vorgaben sichergestellt werden kann, zu überzeugen und dieses auf Plausibilität zu überprüfen. Außerdem muss er sich in regelmäßigen Abständen über Compliance-Maßnahmen und eine Evaluation des Systems durch die Geschäftsleitung ein Bild machen. Letztlich haftet im Rahmen dieser Aufgabendefinition nicht nur die Geschäftsleitung, sondern auch der Aufsichtsrat für Gesetzesverstöße.

Informationspflicht

Auf den Datenschutz und die DS-GVO übertragen bedeutet dies, dass der Aufsichtsrat verpflichtet ist, sich über die Maßnahmen, die die Geschäftsführung im Bereich des Datenschutzes getroffen hat, zu informieren und diese Maßnahmen im Rahmen einer Plausibilitätskontrolle insbesondere auf ihre Funktionsfähigkeit hin zu kontrollieren. Der Aufsichtsrats sollte also zum Beispiel gezielt Berichte zum Stand des Datenschutz-Managements im Unternehmen anfordern. Es bietet sich zudem an, sich aktuelle Audit-Berichte des Datenschutzbeauftragten vorlegen zu lassen und nach Datenpanne im Berichtszeitraum zu fragen. Sollten Datenpannen vorgekommen sein, so muss sich zwingend die Frage nach den getroffenen Gegenmaßnahmen anschließen.

Kontrolltiefe

Natürlich kann der Aufsichtsrat auch beim Thema Datenschutz nicht jegliche Maßnahmen der Geschäftsleitung bis ins Detail überprüfen. Auch insofern gilt folgender Maßstab: Die Aufsichtsratsmitglieder sind verpflichtet, sich über den Umgang mit den Vorgaben der DS-GVO im Unternehmen, ggf. anhand von Unterlagen oder Berichten des Datenschutzbeauftragten, zu informieren und diese auf Geeignetheit und Plausibilität zu überprüfen. Danach ist regelmäßig zu kontrollieren, ob die Geschäftsführung die Funktionsfähigkeit des Datenschutz-Managements evaluiert. Also die implementierten Prozesse auf ihre Umsetzung und Geeignetheit überprüft. Natürlich sollte der Aufsichtsrat sich auch über Beschwerden bei den Aufsichtsbehörden über das Unternehmen oder Datenschutzverstöße bzw. Datenpannen informieren lassen und die Gegenmaßnahmen überprüfen.

Achtung Haftung: Dies bedeutet, dass für die Arbeitnehmervertreter im Aufsichtsrat Kenntnisse über die Grundstruktur eines Datenschutz-Managements unerlässlich sind! Erkennen sie hier Schwachstellen im Unternehmen nicht oder reagieren sie nicht auf Datenschutzverstöße, indem sie die Gegenmaßnahmen des Unternehmens überwachen, können auch sie für verhängte Bußgelder unter Umständen haften.

Die eigene Tätigkeit als Aufsichtsratsmitglieder unter der DS-GVO

Die Arbeitnehmervertreter im Aufsichtsrat üben ihr Amt - jedenfalls steuerrechtlich - im Rahmen einer selbstständigen Tätigkeit aus. Das Aufsichtsratsmandat selbst wird mehrheitlich als korporationsrechtliches Rechtsverhältnis angesehen (Habersack/Henssler, Mitbestimmungsrecht, 4. Auflage, München 2018, § 25 Rn. 82 m.w.N.). Aufsichtsratsmandat und Arbeitsverhältnis sind strikt voneinander zu trennen. Anders als beim Betriebsrat, handelt es sich bei der Aufsichtsratstätigkeit nicht kraft Gesetzes um ein Ehrenamt. In den allermeisten Fällen erhalten die Arbeitnehmervertreter im Aufsichtsrat auch eine - wenn auch überschaubare Vergütung - für ihre Arbeit als Aufsichtsratsmitglied. Zumindest wird ein Aufwendungsersatz in Form eines Sitzungsgeldes bezahlt.

Damit lässt sich zunächst festhalten, dass die Tätigkeit im Aufsichtsrat nicht Inhalt des zumeist mit dem Unternehmen bestehenden Arbeitsverhältnisses ist, sondern ein davon zu trennendes gesellschaftsrechtliches Rechtsverhältnis.

Im Rahmen dieser rechtlichen Beziehung erhält das einzelne Aufsichtsratsmitglied auch Zugang zu personenbezogenen Daten, die es für die Amtsausübung benötigt. Praktisch jedes Aufsichtsratsprotokoll enthält allein eine Vielzahl von personenbezogenen Daten und seien es auch nur die Äußerungen einzelner Mitglieder im Rahmen der Aufsichtsratssitzung.

Das Aufsichtsratsmitglied als Verantwortlicher im Sinne von Art. 4 Nr.7 DS-GVO?

Die Aufsichtsratsmitglieder müssen sich also zwangsläufig auch die Frage stellen, wie sie mit diesen Daten umzugehen haben. Vor allem geht es um die Frage, ob die selbstständige Tätigkeit dazu führt, dass ein Aufsichtsratsmitglied selbst Verantwortlicher im Sinne des Art. 4 Nr. 7 DS-GVO für die Datenverarbeitung wird - mit der Konsequenz, dass jedes einzelne Aufsichtsratsmitglied für die Einhaltung der DS-GVO im Rahmen seiner Verarbeitung von personenbezogenen Daten als Aufsichtsrat verpflichtet wäre und bei Verstößen persönlich den entsprechenden Haftungs- und Bußgeldrisiken ausgesetzt wäre.

Verantwortlich im Sinne der DS-GVO ist jede natürlich oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Damit knüpft auch die DS-GVO an die Entscheidungshoheit über die Zweckdefinition und die Mittel der Verarbeitung an. Grundsätzlich ist der Begriff des Verantwortlichen nach Auffassung des EuGH weit zu verstehen (EuGH, Urt. v. 10.07.2018 - C-25/17). Ziel der Bestimmung sei es, einen umfassenden und wirksamen Schutz der betroffenen Person sicherzustellen. Der EuGH geht davon aus, dass es bereits für Verantwortlichkeit ausreichen kann, wenn eine natürliche Person aus Eigeninteresse auf Zweck und Mittel der Datenverarbeitung Einfluss nimmt.

Ein Eigeninteresse der Aufsichtsratsmitglieder liegt zumindest bei einer Speicherung von Protokollen der Aufsichtsratssitzungen, etwa auf dem eigenen Laptop oder PC vor. Schließlich benötigt es die Protokolle ggf. um sich gegen Schadensersatzforderungen des Unternehmens zur Wehr setzen zu können. Nutzt das Aufsichtsratsmitglied auch eigene Mittel für die Datenverarbeitung, entscheidet es also selbst über die Anschaffung z.B. von Laptop oder Festplatten für Sicherungskopien, spricht viel für eine Verantwortlichkeit des Aufsichtsratsmitgliedes.

Werden dem Aufsichtsratsmitglied die Mittel für die Datenverarbeitung vom Unternehmen zur Verfügung gestellt, etwa ein Dienstlaptop oder auch ein sog. Board Room, d.h. ein Art Cloudsystem für Aufsichtsratsdokumente, entscheidet das Aufsichtsratsmitglied dagegen nicht über die Mittel der Datenverarbeitung. Allerdings besteht auch in diesen Fällen trotzdem ein Eigeninteresse des Aufsichtsratsmitgliedes an der Verarbeitung, was wie dargestellt nach der Auffassung des EuGH bereits ausreichen kann, selbst wenn die Person gar nicht selbst die Datenverarbeitung vornimmt. Zudem ist das Aufsichtsratsmitglied dem Unternehmen gegenüber dem Unternehmen bei der Wahrnehmung seines Mandates nicht weisungsgebunden.

Aus letzterem Gesichtspunkt heraus scheidet meines Erachtens auch die Annahme der Konstellation der Auftragsverarbeitung zwischen Aufsichtsratsmitglied und Unternehmen aus.

Auf der anderen Seite darf nicht verkannt werden, dass die Tätigkeit im Aufsichtsrat natürlich auch und primär im Interesse des Unternehmens erfolgt. Der Zweck der Datenverarbeitung ist durch die Ausrichtung auf das sog. Unternehmensinteresse vorbestimmt. Das Unternehmensinteresse ist aber gerade nicht gleichzusetzen mit dem Interesse der Gesellschafter, sondern es definiert sich nach mittlerweile überwiegender Auffassung gerade dadurch, dass auch Interessen z.B. der Arbeitnehmer, der Öffentlichkeit und das Interesse an der Rentabilität und am Fortbestand des Unternehmens berücksichtigt werden können - und müssen. Auch hier steht am Ende eine weisungsfreie Entscheidung des einzelnen Aufsichtsratsmitgliedes

Vorgegeben ist natürlich, dass die Datenverarbeitung nur im Rahmen des Aufsichtsratsmandats erfolgen darf. Nur hierfür übermittelt das Unternehmen die Daten an das einzelne Aufsichtsratsmitglied. Dies ändert aber wohl nichts daran, dass das Aufsichtsratsmitglied innerhalb des gesetzlichen Rahmens (Aufsichtsratstätigkeit) den Zweck der Datenverarbeitung selbst bestimmen kann. Insbesondere ist es auf Grund der weitgefassten Regelung des § 90 Abs. 3 AktG jedem Aufsichtsratsmitglied möglich, Berichte an den Aufsichtsrat zu verlangen, die in vielen Fällen auch personenbezogene Daten beinhalten dürften. Durch diesen Hebel nimmt das Aufsichtsratsmitglied durchaus Einfluss auf die Datenverarbeitung, also z.B. welche Inhalte der Bericht durch die Geschäftsleitung aufweisen soll.

Eine entsprechende Einordnung - zumindest des Gremiums - nimmt der Landesdatenschutzbeauftragte Baden-Württemberg für den Betriebsrat vor (siehe Tätigkeitsbericht 2018, S. 38).

Um eine Verantwortlichkeit des Aufsichtsratsmitgliedes zu verneinen bliebe letztlich noch die Argumentation, die letztlich von der herrschenden Meinung für den Betriebsrat herangezogen wird, nämlich, dass es sich bei den Aufsichtsratsmitgliedern um einen unselbstständigen Teil der verantwortlichen Stelle Unternehmen handelt. Dagegen spricht jedoch, dass die Aufsichtsratsmitglieder dem Unternehmen gegenüber weder weisungsgebunden sind, noch keinerlei eigene Interesse bei der Datenverarbeitung verfolgt.

Mag man bei der Frage, ob der Betriebsrat eigenverantwortliche Stelle im Sinne der DS-GVO ist noch auf die Vermögenslosigkeit des Betriebsrats, den Ehrenamtscharakter und die Unbekanntheit des Gremiums Betriebsrat in den anderen Mitgliedsstaaten der EU verweisen, ist die Stellung des Aufsichtsratsmitgliedes doch eine andere. Jedes Aufsichtsratsmitglied ist gehalten im Gremium verpflichtet, bei der Entscheidungsfindung sämtliche vorliegende Daten selbstständig und eigenverantwortlich zu prüfen und eine selbstbestimmte Entscheidung zu treffen. Dies bezieht sich auch auf die Frage, welche Daten ggf. noch erhoben werden müssen.

Gemeinsame Verantwortlichkeit - zusammen mit dem Unternehmen?

Somit spricht im Ergebnis viel dafür, dass es sich auch bei der Zusammenarbeit von Aufsichtsratsmitglied und Unternehmen im Rahmen der Aufsichtsratstätigkeit um eine gemeinsame Verantwortlichkeit handelt, da beide gemeinsam die Zecke und Mittel der Verarbeitung festlegen. Eine Regelung zur gemeinsamen Verantwortlichkeit enthält Art. 26 DS-GVO. Für die Praxis würde dies vor allem bedeuten, dass eine Vereinbarung über die Ausgestaltung der Datenverarbeitung geschlossen werden müsste, in der unter anderem festgelegt ist, wer für die Einhaltung der Vorgaben der DS-GVO, z.B. der Betroffenenrechte verantwortlich ist.

Konsequenzen für die Praxis

Damit muss sich jedes Aufsichtsratsmitglied ebenfalls Gedanken machen, wie es die Vorgaben des Datenschutzrechtes einhält. Es muss u.a. die Datenschutzgrundsätze nach Art. 5 DS-GVO einhalten, ein Verarbeitungsverzeichnis führen, ggf. eine Datenschutz-Folgeabschätzung durchführen.

Wer sich als Arbeitnehmervertreter näher über das Thema informieren möchte, dem sei die Fachtagung für Arbeitnehmervertreter im Aufsichtsrats des IFB vom 20. bis 22.05.2019 empfohlen. Dort werde ich mich in einem Workshop intensiv mit dem Datenschutz im Aufsichtsrat beschäftigen.