Wenn ein Unternehmen feststellt, dass die ökonomischen Kosten für Nutzung eines datenschutzkonformen Tools höher sind als die Sanktionen, die von der Aufsichtsbehörde zu erwarten sind: was soll man dann tun?

Rechtsgrundlage

Evtl. Art. 6 Abs. 1 S. 1 lit. f DSGVO, wenn die wirtschaftliche Belastung hoch und die Rechtsverletzung gering ist.

Insbesondere Erwägungsgrund 47:

Die Rechtmäßigkeit der Verarbeitung kann durch die berechtigten Interessen eines Verantwortlichen, auch eines Verantwortlichen, dem die personenbezogenen Daten offengelegt werden dürfen, oder eines Dritten begründet sein, sofern die Interessen oder die Grundrechte und Grundfreiheiten der betroffenen Person nicht überwiegen; dabei sind die vernünftigen Erwartungen der betroffenen Personen, die auf ihrer Beziehung zu dem Verantwortlichen beruhen, zu berücksichtigen.

Aus unternehmerischer Perspektive sollten die Risiken eines bewussten Verstoßes gegen datenschutzrechtliche Vorschriften sehr genau abgewogen werden. Es handelt sich im Kern um einen Verstoß gegen das informationelle Selbstbestimmungsrecht der betroffenen Personen, also um ein Grundrecht.

Die Höhe eines zu erwartenden Bußgeldes kann im Voraus nicht bestimmt werden, da Art. 83 DSGVO der Behörde einen sehr weiten Spielraum einräumt. Die Behörde ist auch nicht an frühere, ähnliche Entscheidungen gegen andere Unternehmen gebunden. Zu berücksichtigen ist insbesondere, dass die Vorsätzlichkeit des Verstoßes nach Art. 83 Abs. 2 DSGVO strafschärfend wirkt. Außerdem kann die Behörde die Einstellung des Verstoßes nach Art. 58 Abs. 2 lit. d DSGVO anordnen und diese Anordnung mittels Verhängung eines Zwangsgeldes durchsetzen. Von einer dauerhaften oder wiederholenden Verletzung der DSGVO ist abzuraten, da dies ebenfalls zu einem erhöhten Bußgeld führen kann (Art. 83 Abs. 2 S. 2 lit. e DSGVO).

Fazit: 

Das Unternehmen sollte nochmals genau prüfen, ob der Einsatz einer datenschutzkonformen Lösung betriebswirtschaftlich doch sinnvoll sein könnte.

Stand: 12.10.2022

Welcher Aufsichtsbehörde unterliegen die Kirchen?

Sachverhalt:

Die Kläger wenden sich gegen die Beendigung eines Beschwerdeverfahrens durch die Berliner Beauftrage für Datenschutz und Informationsfreiheit.

Mit Schreiben vom Nov. 2019 forderte die Kirchensteuerstelle beim Finanzamt die Kläger auf, Angaben zur Religionszugehörigkeit ihrer beiden minderjährigen Kinder zu machen und übersandte hierzu jeweils einen Fragebogen. Die inhaltlich identisch aufgebauten Fragebögen enthielten Fragen zur Religionszugehörigkeit der Kinder.

Mit Schreiben vom 22. Dezember 2019 forderten die Kläger die Kirchensteuerstelle beim Finanzamt auf, die die Kinder betreffende Datenabfrage zukünftig zu unterlassen. Die Kirchensteuerstelle forderte die Kläger mit Schreiben vom 2. Januar 2020 ihrerseits zur Ausfüllung der Formulare auf.

Daraufhin erhoben die Kläger am 3. August 2020 Beschwerde bei der B. Beauftragten für Datenschutz und Informationsfreiheit. Zur Begründung trugen die Kläger vor, der Inhalt des Fragebogens sei datenschutzrechtlich unzulässig. Es handele sich um eine „anlasslose Rasterfahndung“ nach potentiellen Kirchenmitgliedern.

Mit Bescheid vom 16. September 2020 teilte die Berliner Beauftragte für Datenschutz und Informationsfreiheit mit, dass sie für die Überprüfung der Handlungen der Kirchensteuerstelle nicht zuständig sei. Sie begründete die Unzuständigkeit damit, dass die Verwaltung der Kirchensteuer der steuerberechtigten Religionsgemeinschaft obliege. Die Kirchen seien dabei durch sog. Kirchensteuerstellen bei den Finanzämtern beteiligt. Die Kirchensteuerstellen kümmerten sich um die Feststellung der subjektiven Kirchensteuerpflicht. Aufgrund von Art. EWG_DSGVO Artikel 91 Abs. EWG_DSGVO Artikel 91 Absatz 2 Datenschutz-Grundverordnung - DS-GVO - verfügten die Kirchen über spezifische Aufsichtsbehörden, an die die Beschwerde zu richten sei.

Mit Bescheid vom 5. Oktober 2020 wies die Berliner Beauftragte für Datenschutz und Informationsfreiheit die Beschwerde auch im Übrigen zurück. Zur Begründung führte sie aus, sie habe das Finanzamt ... um Stellungnahme gebeten. Das Finanzamt habe mitgeteilt, dass der von den Klägern dargestellte Sachverhalt unzutreffend sei und es keine Daten an die Kirchensteuerstelle weitergeleitet habe. Es könne mithin kein Verstoß gegen datenschutzrechtliche Bestimmungen festgestellt werden.

Mit ihrer Klage vom 12. November 2020 verfolgen die Kläger ihr Begehren weiter.

Aus den Entscheidungsgründen:

Der Bescheid der B. Beauftragten für Datenschutz und Informationsfreiheit vom 16. September 2020, nach dem die Berliner Beauftragte für Datenschutz und Informationsfreiheit gegenüber der Kirchensteuerstelle keine aufsichtsrechtlichen Befugnisse habe, ist nicht zu beanstanden. Die Annahme der eigenen Unzuständigkeit erfolgte ermessensfehlerfrei. Der kirchliche Datenschutz unterliegt insoweit der kirchlichen und nicht einer besonderen staatlichen Aufsicht (1), vor allem ist das kirchliche Datenschutzrecht als umfassende Datenschutzregel im Sinne der DS-GVO zu verstehen (2). Die Kirchensteuerstelle unterliegt der Aufsicht der kirchlichen Aufsichtsbehörden (3) und die Aufsicht betrifft nicht nur Mitglieder der jeweiligen Religionsgemeinschaft (4).

Stand: 11.05.2022

Ein Verein ist in NRW beim Registergericht gemeldet, die Geschäftsstelle des Vereins ist in Bayern. Welches Landesamt für Datenschutzaufsicht ist die zuständige Behörde?

Ein Verein, dessen Zweck nicht auf einen wirtschaftlichen Geschäftsbetrieb gerichtet ist, erlangt Rechtsfähigkeit durch Eintragung in das Vereinsregister des zuständigen Amtsgerichts, vgl. § 21 BGB.

Damit eine Geschäftsstelle eingerichtet werden kann, muss dies in der Vereinssatzung geregelt sein.
Es ist deshalb ratsam, schon bei Vereinsgründung eine Regelung aufzunehmen, die grundsätzlich die Einrichtung einer Geschäftsstelle ermöglicht. Ob, wann und wo diese dann tatsächlich eingerichtet wird, bleibt der Beschlussfassung in der Mitgliederversammlung vorbehalten. Es sollte in der Satzung auch geregelt werden, welche Aufgaben die Geschäftsstelle hat (z.B. Bearbeitung von Anträgen für die Aufnahme neuer Mitglieder, Postbearbeitung, Aktualisierungen der Mitgliederkartei, Einkauf von Büroartikeln, …).

In der Praxis sind Verwaltungssitz und Vereinssitz meist identisch. Es ist jedoch möglich, dass Vereins- und Verwaltungssitz auseinanderfallen.

Das heißt im vorliegenden Fall wäre das Vorliegen von zwei Zuständigkeiten (Bayern und NRW) grundsätzlich möglich.

Konkret zur Zuständigkeit:  Art. 55 DSGVO

  1. Jede Aufsichtsbehörde ist für die Erfüllung der Aufgaben und die Ausübung der Befugnisse, die ihr mit dieser Verordnung übertragen wurden, im Hoheitsgebiet ihres eigenen Mitgliedstaats zuständig.
  2. Erfolgt die Verarbeitung durch Behörden oder private Stellen auf der Grundlage von Artikel 6 Absatz 1 Buchstabe c oder e, so ist die Aufsichtsbehörde des betroffenen Mitgliedstaats zuständig. In diesem Fall findet Artikel 56 keine Anwendung.
  3. Die Aufsichtsbehörden sind nicht zuständig für die Aufsicht über die von Gerichten im Rahmen ihrer justiziellen Tätigkeit vorgenommenen Verarbeitungen.

Art. 56 Zuständigkeit der federführenden Aufsichtsbehörde

  1. Unbeschadet des Artikels 55 ist die Aufsichtsbehörde der Hauptniederlassung oder der einzigen Niederlassung des Verantwortlichen oder des Auftragsverarbeiters gemäß dem Verfahren nach Artikel 60 die zuständige federführende Aufsichtsbehörde für die von diesem Verantwortlichen oder diesem Auftragsverarbeiter durchgeführte grenzüberschreitende Verarbeitung. (One-Stop-Shop)
  2. Abweichend von Absatz 1 ist jede Aufsichtsbehörde dafür zuständig, sich mit einer bei ihr eingereichten Beschwerde oder einem etwaigen Verstoß gegen diese Verordnung zu befassen, wenn der Gegenstand nur mit einer Niederlassung in ihrem Mitgliedstaat zusammenhängt oder betroffene Personen nur ihres Mitgliedstaats erheblich beeinträchtigt. (= Lokale Fälle)
  3. …. https://dsgvo-gesetz.de/art-56-dsgvo/

Unabhängig von Zuständigkeitsfragen können sich betroffene Personen mit Beschwerden an jede Datenschutzaufsichtsbehörde wenden!

Ergebnis:

Hier ist die Hauptniederlassung der Vereinssitz in NRW. Es kann aber nach Art. 56 Abs. 2 DSGVO jede Aufsichtsbehörde zuständig sein, wenn in ihrem Gebiet eine Datenschutzverletzung begangen  wurde.

Das Verfahren zum Ablauf regelt Art. 60 DSGVO.

Stand: 23.03.2022