Ein neuer Trend unter den Datenschutzbehörden der Länder lässt sich beobachten: Zunehmend wird öffentlich vor dem Einsatz von Produkten mit der Begründung gewarnt, der Einsatz verstoße gegen Datenschutzrecht. Jüngste Opfer solcher Produktwarnungen sind Anbieter von Videokonferenzdiensten, mit denen sich der Berliner Datenschutzbeauftragte in einem Papier auseinandersetzt.
In einem Ampelsystem hat der Berliner Datenschutzbeauftragte diverse Anbieter ins Blickfeld genommen, und zwar in den Bereichen Recht und Technik. Grün markiert sind Anbieter, bei denen im Rahmen einer „Kurzprüfung“ keine Mängel gefunden wurden (Spoiler Alert: es gibt keinen einzigen). Gelb markiert sind die Anbieter, bei denen Mängel gefunden worden seien, die eine rechtskonforme Nutzung des Dienstes zwar ausschließen, deren Beseitigung allerdings „vermutlich“ ohne wesentliche Anpassungen der Geschäftsabläufe und der Technik möglich sei. Rot markiert sind die Anbieter, die nicht einmal in den Genuss einer solchen behördlichen Vermutung kommen. Auch für grün markierte Anbieter bestünde übrigens kein Grund zum Aufatmen, denn in dem Papier heißt es: „Auch wenn unsere rechtliche Analyse keine Mängel aufgedeckt hat, bedeutet dies nicht, dass diese nicht vorliegen und entbindet Verantwortliche nicht von ihren gesetzlichen Pflichten.“ Mit anderen Worten also ein klassischer Fall von „Steine statt Brot“.
Güte der Bewertung zweifelhaft
Wie ist es nun um die Güte der Bewertungen bestellt? Zunächst fällt die außerordentliche Zurückhaltung der Behörde auf, sich auf eine Einschätzung festzulegen. Dies wird nicht nur durch den zitierten „Disclaimer“ und die Verwendung von Vokabeln wie „vermutlich“ deutlich. Der Anspruch des Papiers wird besonders deutlich, wenn der Berliner Datenschutzbeauftragte davon spricht, es könne dem Verantwortlichen die Prüfung der Verantwortlichkeit „erleichtern“.
Die Selbsteinschätzung kommt nicht von ungefähr, denn die Beurteilung insbesondere der rechtlichen Rahmenbedingungen kommt stellenweise recht dürftig daher. So führt beispielsweise schon der bei der Bewertung von „Microsoft Teams“ von der Behörde angegebene Link nicht zu dem Dokument, auf das sich die Behörde bezieht. Zudem wirft die Behörde Microsoft vor, das öffentlich im Internet abrufbare Dokument „stillschweigend“ aktualisiert zu haben. Das ist zwar ein bei Softwareherstellern häufig anzutreffendes Problem, aber schwerlich ein Rechtsverstoß, hat der Vertragspartner doch zweifellos die Obliegenheit, die von ihm abgeschlossenen Verträge in der für ihn maßgeblichen Fassung zu sichern, um den Inhalt des geschlossenen Vertrages nachvollziehen zu können. Microsoft selbst wehrt sich erwartungsgemäß in einer Stellungnahme gegen die erhobenen Vorwürfe. Ebenfalls juristisch wenig vertrauenerweckend wirkt das folgende Zitat aus dem Berliner Papier:
„Fraglich – und im Hinblick auf Art. 5 Abs. 2 DS-GVO problematisch – ist bereits, ob die allgemeine Vorrangklausel in der Einleitung des DPA überhaupt anwendbar ist, wenn die in Rede stehende konkrete Einschränkung der Standardvertragsklauseln selbst von sich behauptet, keine Einschränkung darzustellen, sodass unter dieser Annahme die Vorrangklausel denklogisch nicht zur Anwendung kommen kann.“
Macht sich die Behörde angreifbar?
Ob die Bewertung der Behörde im Falle Microsoft nun in jedem Punkt zutrifft, mag dahinstehen. Doch macht sich die Datenschutzbehörde bei einer solchen Vorgehensweise nicht selbst angreifbar? Dazu lohnt es sich, einen Blick in die Rechtsprechung zu staatlichen Produktwarnungen zu werfen. Wie das Bundesverfassungsgericht festgehalten hat, beeinträchtigen marktbezogene Informationen des Staates die Grundrechte der betroffenen Unternehmen nicht, sofern die Einflussnahme „ohne Verzerrung der Marktverhältnisse nach Maßgabe der rechtlichen Vorgaben für staatliches Informationshandeln“ erfolgt. Dabei kommt es zum einen auf das Vorliegen einer staatlichen Aufgabe und die Einhaltung der Zuständigkeitsordnung sowie die Beachtung der Anforderungen an die Richtigkeit und Sachlichkeit von Informationen an.
Staatliche Aufgabe und Zuständigkeit
Zweifellos ist der Datenschutz eine staatliche Aufgabe, die grundsätzlich den Datenschutzbehörden zugewiesen ist. Zweifel lassen sich indes an der Zuständigkeit anmelden, denn die geprüften Produkte werden nicht ausschließlich in Berlin angeboten und/oder nur von Berliner Unternehmen eingesetzt. Die Auswirkungen einer solchen, im Internet publizierten Warnung wirken zweifellos räumlich über das Bundesland Berlin hinaus. Noch weiter gedacht stellt sich die Frage, inwieweit überhaupt deutsche Behörden für die Beurteilung des Angebotes zuständig sind.
Dabei ließe sich zum einen auf den Verarbeitungsort tatsächlicher oder potentieller Nutzer von Videokonferenzdiensten verweisen. Zweifellos darf man annehmen, dass solche auch in Berlin anzutreffen sind. Gemäß Art. 58 Abs. 3 lit. b besitzt jede Aufsichtsbehörde über die beratende Befugnis, „zu allen Fragen, die im Zusammenhang mit dem Schutz personenbezogener Daten stehen, […] Stellungnahmen […] im Einklang mit dem Recht des Mitgliedstaats an die Öffentlichkeit zu richten.“ Gemäß Art. 55 Abs. 1 DSGVO ist jede Aufsichtsbehörde für die Erfüllung der Aufgaben und die Ausübung der Befugnisse im Hoheitsgebiet ihres eigenen Mitgliedstaats zuständig; § 40 Abs. 1 BDSG schreibt dieses Konzept im nationalen Recht fort.
Indes sieht das Gesetz für länderübergreifende Verarbeitung eine Anknüpfung an den Ort der Hauptniederlassung vor. Dieses One-Stop-Shop-Prinzip würde konterkariert, wenn sich alle Datenschutzbehörden zum Produkt eines Anbieters äußern, das potentiell von Verantwortlichen in unterschiedlichen Territorien genutzt werden könnten. Es widerspräche auch dem Ziel der europaweit einheitlichen Anwendung der DSGVO (Art. 63 ff. DSGVO), zumal andere Behörden für das gleiche Produkt zu anderen Einschätzung kommen könnten (und bisweilen auch tatsächlich kommen).
Insofern lassen sich durchaus Zweifel an der Zuständigkeit der Berliner Behörde anbringen; jedenfalls insoweit, wie es nicht um eine konkrete Verarbeitung eines in Berlin ansässigen Verantwortlichen, sondern um eine abstrakte Produktwarnung geht.
Richtigkeit und Sachlichkeit von Informationen
Staatliche Informationen müssen richtig und sachlich sein. Dieses Gebot setzt zwar nicht voraus, dass Informationen unter allen Umständen abschließend geklärt sind. Der Staat ist allerdings zur Verbreitung von Informationen, deren Richtigkeit noch nicht abschließend geklärt ist, nur unter besonderen Voraussetzungen berechtigt. Der Staat muss den Sachverhalt zumindest im Rahmen des Möglichen sorgsam und unter Nutzung verfügbarer Informationsquellen, gegebenenfalls auch unter Anhörung Betroffener, sowie in dem Bemühen um die nach den Umständen erreichbare Verlässlichkeit aufklären. Danach ggf. noch verbleibende Unsicherheiten sind hinzunehmen, wenn die Information im öffentlichen Interesse liegt, wobei auch dann auf die Unsicherheit der Information hingewiesen werden muss.
Ob – wie hier – eine auf Vermutungen gestützte Einschätzung diesen Anforderungen genügt, erscheint zweifelhaft. Angesichts der massiven negativen Auswirkungen einer solchen Produktwarnung wäre von der Berliner Behörde mehr Sorgfalt und Gewissenhaftigkeit zu erwarten gewesen. Zudem müsste sich die Behörde mit den inhaltlichen Einwendungen von Microsoft auseinandersetzen, wenn sie – so scheint es zumindest – die Anbieter schon vor Veröffentlichung nicht angehört hat.
Schadensersatzforderungen denkbar
Würde sich die Information des Berliner Datenschutzbeauftragten als in der konkreten Form unverhältnismäßig erweisen, so drohen hier durchaus Schadensersatzansprüche aus § 839 BGB. Es bleibt abzuwarten, ob eines der betroffenen Unternehmen insoweit die Konfrontation mit der Behörde suchen wird.