Aus der Praxis
Kündigung des Datenschutzbeauftragten
Abberufung des Datenschutzbeauftragten BAG EuGH
Mit Urteil vom 06.06.2023 hat das Bundesarbeitsgericht (BAG) festgestellt, dass die strenge Regelung des § 6 Abs. 4 S. 1 BDSG (Bundesdatenschutzgesetz) mit der DSGVO im Einklang steht. Aus diesem Grund sei auch bei der Kündigung oder Abberufung eines Datenschutzbeauftragten ein wichtiger Grund nach § 626 Abs. 1 BGB erforderlich.
Zuvor bestanden bei einer Minderheit in der Rechtsprechung noch Zweifel, ob der Schutz des Datenschutzbeauftragten vor Kündigung nach BDSG aufgrund der tendenziell strengeren Regelung mit dem vorrangigen europäischen Recht der DSGVO vereinbar sei. Die Vorinstanzen hatten die Klage des Arbeitnehmers abgewiesen. Das BAG hat daher den EuGH um eine Vorentscheidung in der Frage gebeten.
Mit Urteil vom 09.02.2023 (C-560/21) hat der EuGH schließlich die Vereinbarkeit des Kündigungsschutzes für Datenschutzbeauftragte nach § 6 Abs. 4 S. 1 BDSG mit Art. 38 Abs. 3 S. 2 DSGVO bestätigt – wenn im speziellen Fall nicht andere Regelungen der DSGVO damit beeinträchtigt würden. Denn diese seien immer vorrangig. Nationale Regelungen, die einzelne Aspekte der DSGVO strenger regeln seien zulässig, wenn diese die Ziele der DSGVO verwirklichen.
Die DSGVO zielt darauf ab, innerhalb der Union ein hohes Schutzniveau für natürliche Personen bei der Verarbeitung ihrer personenbezogenen Daten zu gewährleisten. Auch diese Feststellung des EuGH ist bemerkenswert, stellt der Gerichtshof doch zum wiederholten Male klar, dass der Zweck der DSGVO nicht der Schutz des freien Datenverkehrs ist, sondern das hohe Schutzniveau der Personen hinter den Daten. Der Gedanke dahinter: Nur dadurch könne auch ein freier Datenverkehr gewährleistet werden.
Das BAG hat infolge der Entscheidung des EuGH die Entscheidungen der Vorinstanzen abgewiesen und zur erneuten Entscheidung zurückverwiesen. Dabei wird nun zu klären sein, ob die Abberufung / Kündigung des Datenschutzbeauftragten auch in diesem konkreten Fall die Ziele der DSGVO verwirklicht. Vorstellbar wäre etwa eine Abberufung, wenn der Datenschutzbeauftragte nicht (mehr) über die Qualifikation verfügt, das Amt auszuüben, weil er Fortbildungen oder seine Tätigkeit verweigert.
Aus dem Urteil des EuGH C-560/21:
Tenor
Art. 38 Abs. 3 Satz 2 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) ist dahin auszulegen, dass er einer nationalen Regelung nicht entgegensteht, nach der ein bei einem Verantwortlichen oder einem Auftragsverarbeiter beschäftigter Datenschutzbeauftragter nur aus wichtigem Grund abberufen werden kann, auch wenn die Abberufung nicht mit der Erfüllung seiner Aufgaben zusammenhängt, sofern diese Regelung die Verwirklichung der Ziele dieser Verordnung nicht beeinträchtigt.
… aus den Entscheidungsgründen:
27 Insbesondere darf ein strengerer Schutz die Verwirklichung der Ziele der DSGVO nicht beeinträchtigen. Dies wäre aber der Fall, wenn dieser Schutz jede durch einen Verantwortlichen oder einen Auftragsverarbeiter ausgesprochene Abberufung eines Datenschutzbeauftragten verböte, der nicht mehr die für die Erfüllung seiner Aufgaben gemäß Art. 37 Abs. 5 DSGVO erforderliche berufliche Qualifikation besitzt oder seine Aufgaben nicht im Einklang mit der DSGVO erfüllt (vgl. in diesem Sinne Urteil vom 22. Juni 2022, Leistritz, C‑534/20, EU:C:2022:495, Rn. 35).
28 Insoweit ist daran zu erinnern, dass die DSGVO, wie in Rn. 20 des vorliegenden Urteils ausgeführt worden ist, darauf abzielt, innerhalb der Union ein hohes Schutzniveau für natürliche Personen bei der Verarbeitung ihrer personenbezogenen Daten zu gewährleisten, und dass der Datenschutzbeauftragte zur Verwirklichung dieses Ziels seine Pflichten und Aufgaben in vollständiger Unabhängigkeit ausüben können muss.
Aus der Praxis
Datenschutz im Wohnungseigentum ist ein vernachlässigtes Thema. Das wird zunehmend deutlich: Wie ist mit Gesundheitsdaten (Corona!) umzugehen? Wie mit Auskunftsansprüchen über gespeicherte Daten? Wie mit Unterlassungsansprüchen, wenn ein Eigentümer sich gegen Mitteilung seines Namens im Zusammenhang mit einem Schaden wehrt.
So wird also geklagt, ob Auskunftsansprüche der Wohnungseigentümer auch personenbezogenen Daten andere Wohnungseigentümer beinhalten dürfen oder Klage geführt, damit der Verwalter Informationen nicht bestimmten Wohnungseigentumseinheiten zuordnen soll (Legionellenbefall, ausstehende Hausgelder).
Oft sind jedoch noch nicht einmal die Basics, die Grundlagen des Datenschutzes in einer Wohnungseigentümergemeinschaft geklärt. Diese sollte sich jedoch jede WG vor Augen führen. Denn es ist zunächst die Gemeinschaft der Wohnungseigentümer selbst, die für die Einhaltung des Datenschutzes verantwortlich ist.
Geregelt ist der Datenschutz in der Datenschutzgrundverordnung (DSGVO), dem Bundesdatenschutzgesetz und den Landesdatenschutzgesetze.
Verantwortlicher im Sinne der DSGVO ist nach Art. 4 Nummer 7 DSGVO „die natürliche oder juristische Person … die alleine oder gemeinsam mit Anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.“
Zur Organisation der Wohnungseigentümergemeinschaft ist jedenfalls die Verarbeitung von personenbezogenen Daten der Eigentümer, gegebenenfalls auch der Mieter, nötig. Darunter fallen nicht nur die herkömmlichen Daten, Name, Adresse etc., sondern können unter Umständen auch besondere Kategorien personenbezogener Daten fallen, die einem besonderen Schutz nach Art. 9 DSGVO unterliegen. Das sind etwa sensitive Daten wie ethnische Herkunft, politische Meinungen, religiöse und weltanschauliche Überzeugungen, Gesundheitsdaten oder Daten über die sexuelle Ausrichtung der Eigentümer oder Mieter.
Da in der Regel mit der Verwaltung des Wohnungseigentums ein Verwalter beauftragt ist, wird diesem auch die Verwaltung der personenbezogenen Daten übertragen. Der Verwalter ist daher in jedem Fall Mitverantwortlicher und regelmäßig Auftragsverarbeiter im Dienste der DSGVO.
Sowohl für die Gemeinschaft, als auch für den Verwalter entstehen daher eine Reihe von Pflichten. Diese Pflichten ergeben sich vor allem aus der Datenschutzgrundverordnung, wie etwa die Rechtmäßigkeit, Zweckbindung, Datenminimierung, Richtigkeit und Rechenschaftspflicht.
Aufgrund dieser Pflichten erscheint es notwendig, dass zwischen der Gemeinschaft der Wohnungseigentümer und dem Verwalter eine Vereinbarung über das fortlaufende Datenschutzmanagement getroffen wird, die gegebenenfalls auch eine weitere Auftragsdatenverarbeitung beinhaltet.
Noch weitergehend wäre zu berücksichtigen, wenn der Verwalter eine Software benutzt, die, wie heutzutage üblich, die Daten nicht in den Räumen des Verwalters, sondern außerhalb in der Cloud oder als SaaS verarbeitet.
Das Amtsgericht Mannheim hat hierzu wegen der Vergütung des Verwalters für diese Tätigkeit entschieden, dass eine Vereinbarung zwischen der Gemeinschaft der Wohnungseigentümer und dem Verwalter mit Festlegung einer Sondervergütung nicht zu beanstanden ist.
Auch wenn die Speicherung und Verarbeitung personenbezogener Daten durch den Verwalter nicht ausdrücklich gesetzlich geregelt ist, hat er dies im Rahmen der ordnungsgemäßen Verwaltung zu erledigen. Übt der Verwalter das Datenschutzmanagement und die Sorge um eine datenschutzrechtskonforme Verwaltung der personenbezogenen Daten der Eigentümer (und der Mieter) für die Gemeinschaft aus, hat er daher keinen Anspruch auf Sondervergütung. Die Wohnungseigentümer haben jedoch die Kompetenz, durch Mehrheitsbeschluss eine Sondervergütung für diesen besonderen Verwaltungsaufwand zu vereinbaren. Denn die Beachtung des Datenschutzes übt der Verwalter für die Gemeinschaft aus, wodurch ihm zusätzlicher Aufwand entsteht, der mit dem Grundhonorar nicht abgedeckt ist.
Aus der Praxis
Die Wohnungseigentumsgemeinschaften bestehen nicht selten aus mehreren Gebäuden, die mal mehr, mal weniger unterschieden werden können. Entweder handelt es sich um einzelne freistehende Baukörper oder eine geschlossene Bebauung, die jedoch inb sich geschlossen sind. Wenn die Gebäude dann noch getrennt versorgt werden, etwa mit Wasser oder Heizung liegt es nahe, dass immer wieder Rechtsfragen zu der Abgrenzung z.B. der laufenden Kosten, Baumängel oder der Instandhaltung aufkommen.
Dazu entschied etwa das AG Nürnberg: Grundsätzlich hat die Umlage nach der kleinstmöglichen Einheit zu erfolgen, um eine möglichst gerechte und verbrauchsnahe Abrechnung zu gewährleisten. In der Regel werden die Betriebskosten daher auf die Wohnungen eines Gebäudes umzulegen sein. Der Vermieter kann unter bestimmten Voraussetzungen auch mehrere von ihm verwaltete Gebäude zu einer Abrechnungseinheit zusammenfassen nach §§ 556 Abs. 3, 315 BGB, wenn dies dem Wirtschaftlichkeitsprinzip entspricht und die Abrechnungsweise nach billigem Ermessen erfolgt.
Voraussetzung für die Bildung von Wirtschaftseinheiten ist nach der Rechtsprechung, dass
– die Gebäude in unmittelbarem örtlichen Zusammenhang stehen,
– im Wesentlichen gleiche Wohnwertmerkmale aufweisen,
– die Errichtung nach demselben bautechnischen Stand erfolgt ist,
– sie die gleiche Bauweise und Ausstattung aufweisen,
– eine gleichartige Nutzung der Gebäude vorliegt und
– eine einheitliche Verwaltung gegeben ist
Das entspricht auch der ständigen Rechtsprechung zur Abrechnung von Betriebskosten im Mietrecht.
Allerdings kann daraus nicht ohne Weiteres geschlossen werden, dass eine strikte Trennung aller Verwaltungsmaßnahmen gefordert werden kann oder auch nur möglich ist. Häufig entspricht es auch in diesen Fällen durch gemeinsame Verträge Kosten zu sparen oder somit das Wirtschaftlichkeitsprinzip zu wahren. Dann liegt es auch nahe, die Kosten der Gebäude entsprechend zusammen abzurechnen. Es bleibt aber auch dann dabei, dass die Kosten, die nur auf ein Gebäude entfallen ausgewiesen sein müssen. Das muss sich aus der Abrechnung auch für den Laien ergeben.
Im Einzelfall kann es noch komplizierter werden. So etwa hat das AG Solingen entschieden:
Auch wenn die Teilungserklärung vorsieht, Wirtschaftseinheiten zu bilden, und diese dazu ermächtigt werden, jeweils alleine und unter Ausschluss der übrigen Miteigentümer über diejenigen Maßnahmen der Instandhaltung und Instandsetzung wie auch über bauliche Veränderungen zu entscheiden, die sich auf die jeweilige Wirtschaftseinheiten beziehen, fehlt der gesamten Wohnungseigentümergemeinschaft nicht die Beschlusskompetenz.
Schließlich sind noch die Fälle zu berücksichtigen, in denen die Teilungserklärung eine gemeinsame Abrechnung der Wirtschaftseinheiten vorschreibt. Das wäre dann nur unter den oben genannten Voraussetzungen unproblematisch möglich.
Entscheidend ist demnach wie so oft: Es kommt auf die Umstände des Einzelfalls an.
Aus der Praxis
Im Gastgewerbe-Magazin habe ich zur Rechtsprechung wegen Minderung von Miete wegen der aktuellen öffentlich-rechtlichen Einschränkungen veröffentlicht.
Aus der Praxis
Kurz nach Beginn der Corona-Pandemie stellten etliche Einzelhändler die Zahlung der Ladenmiete auf den Prüfstand. Die Frage war, wer den Schaden trug, wenn durch eine öffentlich-rechtliche Maßnahme wie dem „lockdown“ Verkaufsstätten, Restaurants, allgemein Gewerbeflächen mit Publikumsverkehr geschlossen werden mussten. Die öffentlich-rechtlichen Maßnahmen richteten sich weder gegen Mieter noch Vermieter, sondern verboten im Rahmen von Hygienemaßnahmen schlicht die Ansammlung von vielen Menschen, um das Infektionsrisiko niedrig zu halten. Die Maßnahmen waren aufgrund der Pandemie erlassen und dienten der Aufgabe der öffentlichen Hand, die Bevölkerung zu schützen. Aus diesem Grund waren die Maßnahmen während der ersten Kontaktbeschränkungen gerichtlich nicht erfolgreich angegriffen worden. (Dies, hier nur am Rande, ist jetzt während der zweiten Welle der Maßnahmen, etwas anders.)
Besonders das Beispiel Adidas sorgte für Empörung in der Öffentlichkeit. Es wurde als unangemessen empfunden, dass Adidas wegen der Zwangsschließung der Verkaufsläden mit den Vermietern in Verhandlungen über eine Minderung des Mietzinses ging.
Entsprechend fielen auch die ersten Urteile vor den Landgerichten aus: Das Landgericht Zweibrücken und das Landgericht Frankfurt/Main lehnten eine Minderung der Miete im Einzelhandel ab. Es läge weder ein Mangel der Mietsache, noch ein Fall der Unmöglichkeit vor. Die Begründungen waren im Einzelnen umfangreich und führten dazu, dass der Mieter von Gewerbeflächen die zeitweise Schließung allein tragen mussten.
Eine andere Ansicht vertritt jetzt aktuell das Landgericht München I: Kann das Mietobjekt corona-bedingt aufgrund staatlicher Anordnungen nicht oder nur eingeschränkt genutzt werden, liegt ein Mangel der Mietsache vor.
Im Gegensatz zu den bisherigen Urteilen sieht das Urteil des LG München I die öffentlich-rechtlichen Maßnahmen nicht einseitig in der Risikosphäre des Mieters. Der Mieter dürfe daher die Miete mindern. Soweit die Verkaufsflächen aufgrund der Maßnahmen nur beschränkt zugänglich sind, wäre die Miete entsprechend quotal herabzusetzen.
Es bleibt abzuwarten, wie die Berufungsinstanzen in solchen Fällen entscheiden und ein wenig Rechtssicherheit herstellen. Womöglich wird es zu einem salomonischen Urteil kommen, wonach die Last der öffentlich-rechtlichen Maßnahmen auf beide Schultern, Vermieter und Mieter, verteilt werden?
Aus der Praxis
Bei netzpolitik.org ist mein Beitrag über Verletzungen datenschutzrechtlicher Vorschriften bei der Nutzung von Office 365 an einer bayerischen Schule erschienen.
Im Wesentlichen geht es im Beispielsfall darum, dass die Schule als Verantwortliche ihren Informationspflichten nicht nachkommt und das Vertragsmodell von Microsoft eine klare Trennung von ihrem bisherigen Geschäftsmodell, auch durch Datenverarbeitung Wertschöpfung zu betreiben, nicht erkennen lässt. In den hier untersuchten Vertragsmodellen war für einen Teil der Anwendungen (Word, Excell etc.) die Schule verantwortlich, für andere (Teams, Outlook u.a.) Microsoft selbst. Daher erfolgt die Verarbeitung personenbezogener Daten auch durch Microsoft. Bereits diese Trennung der Verantwortungssphären ist den meisten Beteiligten nicht klar, es wird nicht darüber informiert. Die Vertragsunterlagen von Microsoft tragen eher zur Unklarheit bei.
Datenschutz ist der Schutz der Menschen hinter den Daten. Wenn diese verarbeitet wurden ist es meist bereits zu spät.
Microsoft bestreitet zwar, Daten für Werbung oder anderweitig zu monetarisieren. Den untersuchten Unterlagen, den Datenschutzerklärungen von Microsoft oder den MicrosoftOnlineServicesTerms etc. lassen sich voreingestellte Zustimmungen zur Verwendung der Daten zu Werbezwecken entnehmen, zudem umfangreiche Datenverarbeitung zu einer nicht genauer bestimmten Modellierung der Software. Ebenso behält sich Microsoft weiter die Speicherung der personenbezogenen Daten in den USA vor, was zuletzt wieder durch den EUGH durch das Urteil Schrems II für rechtswidrig erklärt wurde. Hinter der Datenverarbeitung von Microsoft (wie der anderen BigData Unternehmen) stecken also im Wesentlichen folgende Problemlagen:
– Die Daten werden mit Klarnamen oder pseudonymisiert verkauft für Werbung, Versicherungsleistungen etc.
– Die Daten werden zur Modellierung neuer Software verwendet, vor allem zur Bildung von LockInn-Geschäftsmodellen. Besonders im Bildungssektor ein fragwürdiges Modell.
– Die Datenverarbeitung in den USA widerspricht im Besonderen noch einmal den datenschutzrechtlichen Grundlagen, da in den USA eine EU-rechtskonforme Nutzung durch die Geheimdienste nicht gewährleistet wird.
Datenschutz ist nicht Datensicherheit. Der Datenschutz geht im Kern auf das Problem ein, dass Informationen über Menschen die Grundlage für die Ausübung von Macht sind. Es geht dabei nicht nur um den Einzelnen, sondern auch um die Organisation der Individuen in Gruppen, Interssenverbänden, also um die Möglichkeit der Ausübung von Freiheit und ungehinderte Teilnahme am gesellschaftlichen Prozessen: Bildung, Politik, Arbeit. Aus diesem Grund kann ein Einzelner auf sein Grundrecht auf Datenschutz nur in besonderen Fällen verzichten. Er kann etwa nicht sein Telefonbuch „freiwillig“ an WhatsApp freigeben, ohne die dort gespeicherten Personen um ihre Zustimmung gefragt zu haben.
Richtig ist daher, dass jede Datenverarbeitung einen Grundrechtseingriff darstellt, für den es einen Rechtfertigungsgrund geben muss. Das gilt selbstverständlich für öffentliche Stellen, wie Schulen, mehr als für Wirtschaftsunternehmen.
In den Schulen, wie anderswo, wird über die Notwendigkeit und die Grundlagen des Datenschutzes wenig bis nicht informiert. Da keine Sanktionen erfolgen, hält man den Datenschutz bestenfalls für ein Kavaliersdelikt.
Es gehen nach dem Artikel viele Nachfragen ein, wie sich die behandelten Verstöße gegen den Datenschutz mit der Integrität der öffentlichen Verwaltung vereinbaren lassen. Die Frage ist berechtigt, sollte jedoch an die Schulverwaltungen und die Kultusministerien gestellt werden, die sich für Verträge mit Microsoft entschieden haben und seit langem offenbar erfolglos im Hintergrund daran arbeiten, die Verträge datenschutzkonform zu gestalten. Dieses Bevorzugen einer im Kern kritischen Lösung ist zuletzt nicht nur datenschutzrechtlich bedenklich, sondern auch wirtschaftspolitisch. Bedeutet es doch, dass heimische Anbieter, die geltende Gesetze beachten, nicht gleichberechtigt berücksichtigt werden. In Bayern etwa ist nicht bekannt, dass vor der Entscheidung für Microsoft eine Ausschreibung erfolgt wäre.
