Vorwort:

Datenschutz war lange Zeit ein unterschätzes Problem. Viele Personen waren und sind immer noch der Meinung, dass sie „nichts zu verbergen“ haben und gehen daher freigiebig mit ihren Daten um. Wohin dies ohne Beachtung des Datenschutzes führen kann, zeigt jetzt die VR China mit ihrem Citizen-Score über Pflicht-App, mit dem individuelles Verhalten per Punktesystem bewertet werden soll (s.u.a. www.faz.net, Bericht vom 10.10.2015). Diese Idee hat auch Eingang in den Bestseller von Marc Elsberg „Zero – Sie wissen, was du tust“ gefunden. Wenn George Orwell beim Schreiben von „1984“ diese Möglichkeiten damals geahnt hätte…

Die neue Datenschutz-Grundverordnung (VERORDNUNG (EU) 2016/679 DES EUROPÄISCHEN PARLAMENTS UND DES RATES vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG) tritt am 25. Mai 2018 in Kraft. Ist dies ein grundlegender Schritt in Richtung Datenschutz der Person? Inwieweit sind Interessen von Landwirten betroffen?

I. Veröffentlichung der Höhe der Direktzahlungen im Internet

Im Rahmen der Europäischen Transparenz-Initiative sind die EU-Mitgliedstaaten gemeinschaftlich verpflichtet, Informationen über die Empfänger der Gemeinschaftsmittel aus den EU-Agrarfonds spätestens zum 31. Mai jeden Jahres nachträglich für das vergangene EU-Haushaltsjahr im Internet zu veröffentlichen.

Dürfen auch nach der neuen Datenschutz-Grundverordnung die Höhe der Direktzahlungen veröffentlicht werden?

Bisherige Rechtslage:

In Deutschland findet die Veröffentlichung unter der Internetadresse https://www.agrar-fischerei-zahlungen.de/Suche statt. Dort sind die geleisteten EGFL und ELER Zahlungen unter dem Namen und/oder der Adresse des landwirtschaftlichen Betriebes für jedermann abrufbar. Seit Ende Mai 2015 gilt dies auch für Betriebe, die nicht als juristische Personen eingetragen sind. Dadurch lassen sich für die Allgemeinheit Rückschlüsse auf das durch natürliche Personen erzielte Einkommen ziehen.

Dies ist in jedem Fall unter datenschutzrechtlichen Aspekten problematisch.

Rechtsgrundlage für die Veröffentlichung sind die Verordnung (EU, EURATOM) Nr. 966/2012, die Verordnung (EU) Nr. 1306/2013, die Durchführungsverordnung (EU) Nr. 908/2014, Gesetz zur Veröffentlichung von Informationen über die Zahlung von Mitteln aus den Europäischen Fonds für Landwirtschaft und Fischerei (Agrar- und Fischereifonds-Informationen-Gesetz – AFIG) vom 26.11.2008 (BGBl. 2008, 2330) und der dazu erlassenen Verordnung über die Veröffentlichung von Informationen über die Zahlung von Mitteln aus den Europäischen Fonds für Landwirtschaft und für Fischerei (Agrar- und Fischereifonds-Informationen Verordnung – AFIV) vom 10.12.2008 (eBAnz. 2008, AT147 V1)

Gegen die Veröffentlichung wurde daher in der Vergangenheit bis zum Europäischen Gerichtshof geklagt:

Urteil des Europäischen Gerichtshofs vom 09.11.2010 in den verbundenen Rechtssachen C-92/09 und C-93/09

Die Klage gegen die Veröffentlichung war zunächst für die Klägerseite erfolgreich.

„Die Art. 42 Nr. 8b und 44a der Verordnung (EG) Nr. 1290/2005 des Rates vom 21. Juni 2005 über die Finanzierung der Gemeinsamen Agrarpolitik in der durch die Verordnung (EG) Nr. 1437/2007 des Rates vom 26.November 2007 geänderten Fassung und die Verordnung (EG) Nr. 259/2008 der Kommission vom 18. März 2008 mit Durchführungsbestimmungen zur Verordnung Nr. 1290/2005 hinsichtlich der Veröffentlichung von Informationen über die Empfänger von Mitteln aus dem Europäischen Garantiefonds für die Landwirtschaft (EGFL) und dem Europäischen Landwirtschaftsfonds für die Entwicklung des ländlichen Raums (ELER) sind ungültig, soweit diese Bestimmungen bei natürlichen Personen, die Empfänger von EGFL- und ELER-Mitteln sind, die Veröffentlichung personenbezogener Daten hinsichtlich aller Empfänger vorschreiben, ohne nach einschlägigen Kriterien wie den Zeiträumen, während deren sie solche Beihilfen erhalten haben, der Häufigkeit oder auch Art und Umfang dieser Beihilfen zu unterscheiden.„

Dieses Urteil war ein klassischer Phyrrussieg der Klägerseite, da zwar vorübergehend die Rechtsgrundlage der Veröffentlichungspflicht als unwirksam erkannt wurde, im nächsten Schritt aber die Veröffentlichung viel umfassenderer personenbezogener Daten der Empfänger der Direktzahlungen als notwendig erachtet worden ist. So wurden die Art. 42 Nr. 8b und 44a der Verordnung (EG) Nr. 1290/2005 durch die Verordnung (EU) Nr. 1306/2013 des Europäischen Parlaments und des Rates vom 17. Dezember 2013 ersetzt.

Kleiner Trost: Die Nutzung der auf dieser Internetseite veröffentlichten Informationen unterliegt datenschutzrechtlichen Beschränkungen, die in § 2a und §3a des Agrar- und Fischereifonds-Informationen- Gesetzes geregelt sind. Insbesondere dürfen die Daten nicht zur Werbung und Adresshandel verwendet werden. Zuwiderhandlungen können mit einer Geldbuße bis zu dreihunderttausend EURO geahndet werden.

Ergibt sich aus der DSGVO eine neue Basis für ein gerichtliches Vorgehen gegen die Veröffentlichung der Höhe der Direktzahlungen?

Erwägungsgrund Nr. 154 der DSGVO gibt darauf eine ablehnende Antwort: „Personenbezogene Daten in Dokumenten, die sich im Besitz einer Behörde oder einer öffentlichen Stelle befinden, sollten von dieser Behörde oder Stelle öffentlich offengelegt werden können, sofern dies im Unionsrecht oder im Recht der Mitgliedstaaten, denen sie unterliegt, vorgesehen ist.“

Im Ergebnis dürfte sich an der Beurteilung der Zulässigkeit der Veröffentlichung durch die neue DSGVO nichts geändert haben.

II. Ist das Ankreuzen der Lizenzvereinbarung bei Software eines außereuropäischen Anbieters, die auch das Weiterleiten von Daten beinhaltet, durch den Kunden mit „ja“ eine Einwilligung im Sinne der DSGVO, bzw. ist diese auf diesen Fall anwendbar?

1. Gilt also die DSGVO auch für außereuropäische Anbieter?

Dazu der 23. Erwägungsgrund zur DSGVO: „Damit einer natürlichen Person der gemäß dieser Verordnung gewährleistete Schutz nicht vorenthalten wird, sollte die Verarbeitung personenbezogener Daten von betroffenen Personen, die sich in der Union befinden, durch einen nicht in der Union niedergelassenen Verantwortlichen oder Auftragsverarbeiter dieser Verordnung unterliegen, wenn die Verarbeitung dazu dient, diesen betroffenen Personen gegen Entgelt oder unentgeltlich Waren oder Dienstleistungen anzubieten“ …

Natürlichen Personen werden unter Umständen Online-Kennungen wie IP-Adressen und Cookie-Kennungen, die sein Gerät oder Software-Anwendungen und -Tools oder Protokolle liefern, oder sonstige Kennungen wie Funkfrequenzkennungen zugeordnet. Dies kann Spuren hinterlassen, die insbesondere in Kombination mit eindeutigen Kennungen und anderen bei Server eingehenden Informationen dazu benutzt werden können, um Profile der natürlichen Personen zu erstellen und sie zu identifizieren. das Sammeln von verhaltensbezogenen persönlichen Daten durch außereuropäische Dienstleister (Bspw. Google, Microsoft und Apple) dürfte ein Hauptanwendungsgebiet der neuen DSGVO sein.

2. Reicht das Kreuz hinter „ja“ als Einwilligung aus?

Dazu regelt Artikel 7 Abs. 4 DSGVO:

„Bei der Beurteilung, ob die Einwilligung freiwillig erteilt wurde, muss dem Umstand in größtmöglichen Umfang Rechnung getragen werden, ob unter anderem die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung zu einer Verarbeitung von personenbezogenen Daten abhängig ist, die für die Erfüllung des Vertrags nicht erforderlich sind.“

Erwägungsgrund Nr. 32 ….Stillschweigen, bereits angekreuzte Kästchen oder Untätigkeit der betroffenen Person sollen keine Einwilligung darstellen….

III. Beschäftigungsverhältnisse

§ 26 BDSG (neu)Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses

1. Personenbezogene Daten von Beschäftigten dürfen für Zwecke des Beschäftigungsverhältnisses verarbeitet werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung oder zur Ausübung oder Erfüllung der sich aus einem Gesetz oder einem Tarifvertrag, einer Betriebs- oder Dienstvereinbarung (Kollektivvereinbarung) ergebenden Rechte und Pflichten der Interessenvertretung der Beschäftigten erforderlich ist.

…. Bewerberinnen und Bewerber für ein Beschäftigungsverhältnis sowie Personen, deren Beschäftigungsverhältnis beendet ist, gelten als Beschäftigte.

IV. Warum dann die ganze Aufregung? Weil die Rechtmäßigkeit der Datenverarbeitung nicht mehr genügt.

Wenn eine Einwilligung in die Datenverarbeitung vorliegt oder die Datenverarbeitung zur Erfüllung einer rechtlichen Verpflichtung erfolgt, ist die Datenverarbeitung rechtmäßig.

Zusätzlich müssen aber noch die Grundsätze des Artikel 5 DSGVO eingehalten werden. Jede Verarbeitung muss rechtmäßig, die Verarbeitung muß nach Treu und Glauben erfolgen und das Transparenzgebot muss eingehalten sein. Die Daten dürfen nur für dem Zweck angemessene und erheblich sein und auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein („Datenminimierung“)

Die Daten müssen sachlich richtig und auf dem neuesten Stand sein. Sie sind unverzüglich zu löschen und zu berichtigen, wenn sie falsch sind.

Insbesondere die Einhaltung des Transparenzgebots ist außerordentlich aufwändig:

Die an den Betroffenen zu erteilenden Informationen sind in § 13/§14 DSGVO niedergelegt.

Werden personenbezogene Daten bei der betroffenen Person oder über Dritte erhoben (insbes. Bonitätsprüfung), so teilt der Verantwortliche der betroffenen Person zum Zeitpunkt der Erhebung dieser Daten Folgendes mit:

1. den Namen und die Kontaktdaten des Verantwortlichen sowie gegebenenfalls seines Vertreters;
2. gegebenenfalls die Kontaktdaten des Datenschutzbeauftragten;
3. die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung;
4. wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe f beruht, die berechtigten Interessen, die von dem Verantwortlichen oder einem Dritten verfolgt werden;
5. gegebenenfalls die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten und
6. gegebenenfalls die Absicht des Verantwortlichen, die personenbezogenen Daten an ein Drittland oder eine internationale Organisation zu übermitteln, sowie das Vorhandensein oder das Fehlen eines Angemessenheitsbeschlusses der Kommission oder im Falle von Übermittlungen gemäß Artikel 46 oder Artikel 47 oder Artikel 49 Absatz 1 Unterabsatz 2 einen Verweis auf die geeigneten oder angemessenen Garantien und die Möglichkeit, wie eine Kopie von ihnen zu erhalten ist, oder wo sie verfügbar sind.

• Zusätzlich zu den Informationen gemäß Absatz 1 stellt der Verantwortliche der betroffenen Person zum Zeitpunkt der Erhebung dieser Daten folgende weitere Informationen zur Verfügung, die notwendig sind, um eine faire und transparente Verarbeitung zu gewährleisten:

1. die Dauer, für die die personenbezogenen Daten gespeichert werden oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;
2. das Bestehen eines Rechts auf Auskunft seitens des Verantwortlichen über die betreffenden personenbezogenen Daten sowie auf Berichtigung oder Löschung oder auf Einschränkung der Verarbeitung oder eines Widerspruchsrechts gegen die Verarbeitung sowie des Rechts auf Datenübertragbarkeit;
3. wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe a oder Artikel 9 Absatz 2 Buchstabe a beruht, das Bestehen eines Rechts, die Einwilligung jederzeit zu widerrufen, ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird;
4. das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;
5. ob die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist, ob die betroffene Person verpflichtet ist, die personenbezogenen Daten bereitzustellen, und welche mögliche Folgen die Nichtbereitstellung hätte und
6. das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Artikel 22 Absätze 1 und 4 und – zumindest in diesen Fällen – aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.

• Beabsichtigt der Verantwortliche, die personenbezogenen Daten für einen anderen Zweck weiterzuverarbeiten als den, für den die personenbezogenen Daten erhoben wurden, so stellt er der betroffenen Person vor dieser Weiterverarbeitung Informationen über diesen anderen Zweck und alle anderen maßgeblichen Informationen gemäß Absatz 2 zur Verfügung.

• Die Absätze 1, 2 und 3 finden allerdings keine Anwendung, wenn und soweit die betroffene Person bereits über die Informationen verfügt. Das Transparenzgebot muss von allen Firmen unabhängig von ihrer Größe eingehalten werden, sobald personenbezogene Daten gespeichert und/oder verarbeitet werden. Das ist außerordentlich aufwändig.

Es drohen im Falles des Verstoßes Geldbußen von bis zu 10.000.000 € oder im Fall eines Unternehmens von bis zu 2 % seines gesamten weltweit erzielten Jahresumsatzes.

V. Verpflichtung zur Bestellung eines Datenschutzbeauftragten

Gem. § 38 BDSG ist ein Datenschutzbeauftragter durch Unternehmen zu benennen, soweit sie in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen.

Ergebnis: Der durchschnittliche landwirtschaftliche Betrieb ist in den meisten Fällen nur mittelbar betroffen. Allerdings sollten in die Arbeitsverträge Informationen zu der Verarbeitung der personenbezogenen Daten der Mitarbeiter aufgenommen werden. Besondere Vorsicht im Hinblick auf Datenschutz ist bei der Direktvermarktung an Privatkunden angezeigt, wenn die Kundendaten digitalisiert sind. Für natürliche Personen werden weitreichende Informations- Widerspruchs- und Löschungsrechte in Bezug auf die über sie gespeicherten personenbezogenen Daten geschaffen. Zusätzlich erhalten Sie einen Anspruch auf Ersatz der eventuell entstandenen Schäden. Die EDV sollte über einen aktuellen Virenschutz verfügen.