Kurzbeitrag : Aus den aktuellen Berichten der Aufsichtsbehörden (58): TLfDI, 3. TB (2020) nach der DS-GVO: Vier Fälle einwilligungsbedürftiger Verarbeitungen : Zusammengestellt und erläutert von Prof. Peter Gola*
Die Verwendung personenbezogener Daten zur Wahlwerbung ist ohne Einwilligung und Information zur Zweckänderung unzulässig (Art. 13 Abs. 2 DS-GVO). Der TLfDI verwarf die Rechtmäßigkeit der Nutzung von Kundendaten eines Immobilienmaklers zur Eigenwerbung. Da keine berechtigte Erwartung an die Wahlwerbung bestand und der Zweck nicht vereinbar war, wurde ein Verstoß gegen Art. 5 Abs. 1 DS-GVO festgestellt.
I. Unzulässige Wahlwerbung eines Versicherungsmaklers (TLfDI; 3. TB, 2020, S. 133 ff.)
Die personenbezogenen Daten einer betroffenen Person, die im Rahmen privater oder geschäftlicher Beziehungen erhoben wurden, sind ohne eine Einwilligung und eine Information über die beabsichtigte Zweckänderung nach Art. 13 Abs. 2 DS-GVO nicht für die Versendung von Wahlwerbung des Verantwortlichen nutzbar.
Der TLfDI hat einen Immobilienmakler, der Namen und Adressen von Kunden für die Übersendung von Wahlwerbung für seine Kommunalwahlkandidatur genutzt hatte, gemäß Art. 58 Abs. 2 lit. b DS-GVO verwarnt.
Dabei ging der LfDI zunächst davon aus, dass die Werbung im Rahmen einer Kommunalwahl nicht zur Ausübung ausschließlich rein persönlicher oder familiärer Tätigkeiten zählt (§ 2 Abs. 2 lit. c DS-GVO). In der Verwendung der Daten zur Wahlwerbung erkannte der LfDI zunächst einen Verstoß gegen Art. 5 Abs. 1 lit. a und b DS-GVO: Daten müssen für festgelegte Zwecke erhoben werden und dürfen nicht für andere mit diesen Zwecken nicht vereinbare Zwecke weiterverarbeitet werden. Gemäß Art. 6 Abs. 1 DS-GVO ist eine Verarbeitung nur dann rechtmäßig, wenn ein Erlaubnistatbestand nach Art. 6 Abs. 1 DS-GVO vorliege, was sodann verneint wurde. Das gelte auch für den allein in Betracht zu ziehenden Erlaubnistatbestand des Art. 6 Abs. 1 S. 1 lit. f DS-GVO. Dies ergab sich aus folgender Abwägung: Der Betroffene musste nicht damit rechnen, dass er mit Wahlwerbung von Personen angesprochen wird, mit denen er geschäftlichen bzw. geschäftlich privaten Umgang pflegt. Die Verwendung der Daten für die Übersendung von Wahlwerbung sei daher keine mit dem Erhebungszweck zu vereinbarende Art und Weise.
Zudem hätte der Makler nach dem Transparenzgebot des Art. 5 Abs. 1 lit. a DS-GVO gemäß Art. 13 Abs. 3 DS-GVO die betroffenen Personen von der Absicht, ihre Adressen für einen anderen Zweck weiterzuverarbeiten, nach Art. 13 Abs. 2 DS-GVO informieren müssen.
II. Aufforderungs-E-Mails zur Bewertung eines Online-Shops bedürfen der Einwilligung des Betroffenen (TLfDI, 3. TB, 2020, S. 137)
Die Versendung einer E-Mail zum Zwecke der Aufforderung um Bewertung des vorher durch den Betroffenen genutzten Online-Shops stellt einen Verstoß gegen Art. 5 Abs. 1 Buchstabe a) DS-GVO dar, solange dafür keine Einwilligung nach Art. 6 Abs. 1 Satz 1 Buchstabe a) DS-GVO vorliegt.
Ein Thüringer Unternehmen, welches auch einen Online-Shop betreibt, hat einem Kunden nach Abschluss eines Onlinekaufes eine E-Mail mit der Aufforderung zur Bewertung des Online-Shops zugesandt. Als Zweck dieser E-Mail wurden die Analyse und Verbesserung des Online-Shops angegeben. Der Kunde hat im Rahmen seines Kaufgeschäftes dazu keinerlei Einwilligungen abgegeben. Der TLfDI stellt dazu fest: „Bei der Aufforderung zur Bewertung eines Shops handelt es sich um eine Werbemaßnahme. Werbung wird definiert als „jede Äußerung bei der Ausübung eines Handels, Gewerbes, Handwerks oder freien Berufs mit dem Ziel, den Absatz von Waren oder die Erbringung von Dienstleistungen, einschließlich unbeweglicher Sachen, Rechte und Verpflichtungen, zu fördern“ (Art. 2 Buchstabe a) der EU-Richtlinie 2006/114/EG über irreführende und vergleichende Werbung vom 12. Dezember 2006). Eine Rechtsgrundlage für die Beurteilung der Zulässigkeit einer Verarbeitung personenbezogener Daten für Zwecke der Direktwerbung findet sich in der Datenschutz-Grundverordnung (DS-GVO), abgesehen von einer Einwilligung der betroffenen Person nach Art. 6 Abs. 1 Satz 1 lit a DS-GVO, nur in Art. 6 Abs. 1 Satz 1 lit f DS-GVO. Danach muss die Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen erforderlich sein, sofern nicht die Interessen der betroffenen Person überwiegen. Anhaltspunkte für die zu treffende Abwägungsentscheidung enthält Erwägungsgrund 47 DS-GVO, der unter anderem ausführt: „Die Verarbeitung personenbezogener Daten zum Zwecke der Direktwerbung kann als eine einem berechtigten Interesse dienende Verarbeitung betrachtet werden.“ In diesem Fall wäre eine Datenverarbeitung aufgrund eines berechtigten Interesses des Verantwortlichen möglicherweise gerechtfertigt, wenn sie erforderlich wäre, um ein berechtigtes wirtschaftliches Interesse des Verantwortlichen zu wahren und keine schutzwürdigen Interessen der Betroffenen höher gewichtet werden müssten. Zur Förderung des Produktabsatzes ist es grundsätzlich ein legitimes wirtschaftliches Interesse des Verantwortlichen, Werbemaßnahmen durchzuführen. Vorliegend handelte es sich aber aufgrund des Kontaktweges per E-Mail um eine im Rahmen der Bewertung der Zulässigkeit zu berücksichtigende Besonderheit. Hierzu regelt das Wettbewerbsrecht in § 7 UWG, in welchen Fällen von einer unzumutbaren Belästigung der Beworbenen auszugehen und eine Werbung dieser Art unzulässig ist. Weil Art. 6 Abs. 1 Satz 1 lit f DS-GVO eine Verarbeitung personenbezogener Daten nur für zulässig erklärt, soweit die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person nicht überwiegen, sind auch bei der datenschutzrechtlichen Beurteilung einer Verarbeitung personenbezogener Daten für Zwecke der Direktwerbung die Wertungen in den Schutzvorschriften des UWG für die jeweilige Werbeform mit zu berücksichtigen. Wenn für den werbenden Verantwortlichen ein bestimmter Kontaktweg zu einer betroffenen Person danach nicht erlaubt ist, kann die Interessenabwägung nach Art. 6 Abs. 1 Satz 1 lit f DS-GVO auch nicht zugunsten der Zulässigkeit einer Verarbeitung dieser Kontaktdaten für Zwecke der Direktwerbung ausfallen (siehe dazu auch Orientierungshilfe Direktwerbung der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder: https://www.datenschutzkonferenz-online.de/media/oh/20181107_oh_werbung.pdf). Die Werbung per E-Mail stellt eine unzumutbare Belästigung im Sinne des § 7 Abs. 1 UWG dar, da nach § 7 Abs. 2 Nr. 3 UWG eine Werbung unter Verwendung elektronischer Post ohne vorherige ausdrückliche Einwilligung des Adressaten vorliegt. Es greift auch nicht die Privilegierung des § 7 Abs. 3 UWG, der hiervon abweichend regelt, dass bei Vorliegen der dort genannten Voraussetzungen keine unzumutbare Belästigung vorliegt, da die Werbung auch nicht für eigene ähnliche Waren oder Dienstleistungen des Verantwortlichen erfolgte.
Eine Zufriedenheitsabfrage per E-Mail nach einem Onlineverkauf dient nur der Verbesserung des Online Shops und ist für das weitere Bewerben von Produkten nicht erforderlich. Demzufolge ist die Zusendung einer solchen Bewertungs-E Mail nur über den Tatbestand der Einwilligung gemäß Art. 6 Abs. 1 Satz 1 lit a DS-GVO zu rechtfertigen. Eine solche wurde allerdings vom Unternehmen im Rahmen des Kaufvorgangs nicht abgefordert.“
Der TLfDI hat nach Anhörung des verantwortlichen Unternehmens diesem gegenüber eine Verwarnung im Verwaltungsverfahren ausgesprochen. Gleichzeitig hat das verantwortliche Unternehmen eine technische Umstellung vorgenommen.
III. Beschäftigtendatenweitergabe wegen betrieblicher Zusatzkrankenversicherung nur mit Einwilligung (3. TB, S. 169)
Beabsichtigt ein Arbeitgeber im Rahmen des betrieblichen Gesundheitsmanagements eine betriebliche Zusatzkrankenversicherung zu Gunsten seiner Beschäftigten abzuschließen, hat er vor der Weiterleitung der personenbezogenen Daten der Beschäftigten an eine private Krankenversicherung eine Einwilligung der Beschäftigten in diese Datenweitergabe einzuholen. Hieran ändert nichts, dass der Arbeitgeber zuvor eine Betriebsvereinbarung über das Anbieten einer solchen Zusatzversicherung abgeschlossen hatte.
Vorliegend hatte der Arbeitgeber zwecks Durchführung einer Betriebsvereinbarung über die Einführung einer privaten Zusatzversicherung mit einer Versicherung einen Gruppenversicherungsvertrag abgeschlossen.
Nach Ansicht des TLfDI wäre dies eine gute Sache gewesen, wenn der Arbeitgeber dabei nicht vorschnell die personenbezogenen Daten der Beschäftigten weitergeleitet hätte, ohne diese zu fragen, ob sie die angebotene Versicherung überhaupt wünschten. Der Arbeitgeber ging vielmehr davon aus, dass die Betriebsvereinbarung die Datenverarbeitung rechtfertigen würde. Dies sah der TLfDI anders.
Die Betriebsvereinbarung enthielt zwar eine Klausel, nach der Beschäftigte berechtigt waren, der Datenweitergabe zu widersprechen. Dies reichte jedoch zum einen für die Übermittlungsbefugnis nicht aus. Vielmehr habe es an der Erforderlichkeit der Übermittlung (Art. 88 Abs. 1 DS-GVO i.V.m. § 26 Abs. 1 S. 1 BDSG) gefehlt. Dies begründet der TLfDI wie folgt: „Ist eine betriebliche Zusatzversicherung zugunsten der Beschäftigten erforderlich zur Begründung, Durchführung oder Beendigung eines Beschäftigungsverhältnisses? Klare Antwort: Nein.“ Auch wenn das Angebot der Zusatzversicherung gut gemeint und für die meisten eine solche Versicherung auch sinnvoll sei, begründet das nicht die Erforderlichkeit der angefragten Datenweitergabe. Daran ändere nichts, dass der Arbeitgeber die Beiträge für die betriebliche Krankenversicherung im vollen Umfang zu übernehmen bereit war. Zwar sehe § 26 Abs. 1 Halb. 2 BDSG vor, dass Beschäftigtendaten auch dann verarbeitet werden dürfen, wenn dies zur Ausübung oder Erfüllung der sich aus einer Betriebsvereinbarung ergebenden Rechte und Pflichten der Interessenvertretung erforderlich ist, wobei nach § 26 Abs. 4 BDSG die Betriebsvereinbarung selbst Erlaubnistatbestand sein kann, jedoch seien Arbeitgeber und Betriebsrat dabei nicht von den Vorgaben der DS-GVO frei. Die in der Betriebsvereinbarung getroffene Widerspruchslösung rechtfertige keine Interessenabwägung zu Gunsten des Arbeitgebers. Nur eine Einwilligung der Beschäftigten hätte die Weitergabe rechtfertigen können.
Der LfDI ahndete den Verstoß mit einer Verwarnung nach Art. 58 Abs. 2 lit. b DS-GVO.
IV. Keine wirksame Einwilligung in die Weitergabe von detaillierten Angaben des Arbeitgebers an Auftraggeber über die Beschäftigtenvergütung zum Nachweis der Einhaltung des gesetzlichen Mindestlohns (TLfDI, 3. TB, 2020, S. 177)
Weder § 13 Mindestlohngesetz noch § 14 AEntG oder Art. 6 DS-GVO in Verbindung mit § 26 BDSG bieten dem Arbeitgeber eine Rechtsgrundlage für die Weitergabe detaillierter Beschäftigtendaten zum Gehalt an einen Auftraggeber.
Ein Bauunternehmen wurde vor einer Auftragsvergabe vom potenziellen Auftraggeber gebeten, schriftliche Bestätigungen der Beschäftigten über den Erhalt des Mindestlohns vorzulegen. Diese Musterbestätigung beinhaltete eine Einwilligungserklärung der Beschäftigten zur Weitergabe der Bestätigung an den Auftraggeber.
Der TLfDI sah keine Rechtsgrundlage für die gewünschte umfassende Datenweitergabe. Das galt auch für die Wirksamkeit der Einwilligung, die abgesehen von Formulierungsfragen und der nicht aufgezeigten Ermöglichung des Widerrufs daran scheitere, dass den Beschäftigten keinerlei rechtlicher oder wirtschaftlicher Vorteil durch die ausführliche Datenweitergabe entstehe. Dass ggf. der auch im Interesse der Beschäftigten liegende Auftrag ohne die gewünschte Datenübermittlung nicht erteilt würde, ließ der TLfDI nicht als Rechtfertigungsargument gelten.
Schließlich verneinte der TLfDI die Erforderlichkeit der Übermittlung der gewünschten Daten, da es für den Auftraggeber andere Möglichkeiten gebe, sich die Einhaltung der Zahlung des staatlichen Mindestlohns nachweisen zu lassen und damit seiner Haftung nach § 14 AEngt zu begegnen, ohne detaillierte Informationen zu erheben. Hierzu zählen nicht vollständige Namenslisten mit Wohnanschriften, Passnummern etc. Vielmehr würden z.B. von einem Wirtschaftsprüfer bestätigte Lohn-und Arbeitszeitlisten genügen, in denen Beschäftigte teilweise anonymisiert (Anfangsbuchstaben mit Vor- und Nachname, ggf. Geburtsdatum) benannt würden.
* Der Autor ist Ehrenvorsitzender der Gesellschaft für Datenschutz und Datensicherheit e.V., Bonn.