1. März 2021
Übersieht ein Arbeitgeber bei der Beendigung des Beschäftigungsverhältnisses, dass das Profil eines ehemaligen Arbeitnehmers weiterhin im Internet abrufbar ist, so liegt darin eine Persönlichkeitsrechtsverletzung, die einen Schmerzensgeldanspruch des Arbeitnehmers rechtfertigt.
Das hat das Landesarbeitsgericht Köln mit Urteil vom 14.09.2020 (Az.: 2 Sa 358/20) entschieden, als es der Klägerin, die bei der Beklagten bis August 2018 als Professorin beschäftigt war, ein Schmerzensgeld von 300 Euro zusprach.
Die Beklagte speicherte im Rahmen des Beschäftigungsverhältnisses das Profil der Klägerin als PDF auf ihrer Homepage. 2015 stellte die Beklagte ihre Homepage auf HTML um. Dabei übersah sie, dass die isolierte PDF-Datei weiterhin im Internet abrufbar blieb. Mit der Folge, dass auch bei Beendigung des Beschäftigungsverhältnisses, als die Beklagte die Löschung des Profils der Klägerin nebst Foto vornahm, diese das PDF ebenfalls übersah.
Nach Beendigung des Arbeitsverhältnisses im Februar 2019 entdeckte die Klägerin dies, als sie ihren Namen googelte und das PDF unter den ersten zehn Treffern abrufbar war. Daraufhin verlangte sie von der Beklagten die Löschung des Profils sowie von Artikeln über ihre Forschungsvorhaben. Dem kam die Beklagte unverzüglich nach. Dennoch erhob die Klägerin Klage vor dem Arbeitsgericht Köln und verlangte von der Beklagten unter anderem ein Schmerzensgeld in Höhe von 1.000 Euro aus Art. 82 DSGVO wegen der unberechtigten Vorhaltung des PDF auf dem Server der Beklagten.
Erstinstanzlich hat das Arbeitsgericht Köln der Klägerin Schadensersatz nach Art. 82 DSGVO in Höhe von 300 Euro zugesprochen, da es in der Vorhaltung des PDF eine Persönlichkeitsrechtsverletzung der Klägerin – und mithin einen immateriellen Schaden – sah. Dagegen legte die Klägerin Berufung ein. Das Landesarbeitsgericht Köln lehnte die Berufung der Klägerin ab. Dazu bestätigte es die Ausführungen der ersten Instanz nochmals:
Die Beklagte habe gegen Art. 17 DSGVO, das Recht auf Löschung, verstoßen. Danach hat die betroffene Person das Recht, von einem Verantwortlichen zu verlangen, dass die betreffenden personenbezogenen Daten unverzüglich gelöscht werden, sofern diese nicht mehr notwendig sind. Die Beklagte hätte daher nach Beendigung des Arbeitsverhältnisses das Profil der Klägerin vollständig löschen müssen. Eine vollumfängliche Löschung nahm sie, wenn auch aus einem Versehen heraus, vorliegend aber nicht vor. Darin sah das Gericht einen Verstoß. Bei diesem handelte es sich laut Gericht auch nicht um ein Bagatelldelikt, da es für Dritte ohne Weiteres möglich war, durch Eingabe der entsprechenden Suchbegriffe die zu Unrecht nicht gelöschte Seite aufzurufen.
Der Höhe nach gaben beide Instanzen der Klage jedoch nicht vollumfänglich statt. Zwar soll die Verhängung eines Schadensersatzes abschreckende Wirkung haben, um zukünftige Verstöße zu vermeiden – zu berücksichtigen sei aber ebenfalls die Schwere der Beeinträchtigung. Eine solche Schwere, die ein Schmerzensgeld von 1.000 Euro rechtfertigt, konnten beide Instanzen nicht erkennen. Insbesondere verneinten sie eine Reputationsschädigung der Klägerin. Vielmehr waren die veröffentlichten Tatsachen über die Klägerein inhaltlich richtig. Zudem sei auch nicht erkennbar, dass für die Beklagte irgendein Mehrwert mit der kurzzeitigen Aufrechterhaltung der Sichtbarkeit des PDF verbunden war. Daher – und unter Berücksichtigung, dass es sich nur um ein Versehen der Beklagten handelte – sei im vorliegenden Fall ein Schmerzensgeld von 300 Euro angemessen.
Beim Ausscheiden von Mitarbeitern sollte unter Berücksichtigung des Art. 17 Abs. 1 DSGVO daher immer geprüft werden, ob die Voraussetzung für einen Löschanspruch bzw. für eine Löschpflicht durch den Arbeitgeber vorliegt. Dies dürfte bei der Beendigung eines Arbeitsverhältnisses fast immer der Fall sein, da der primäre Zweck der Datenspeicherung bzw. -verarbeitung in Form des Beschäftigtenverhältnisses in diesem Fall nicht mehr besteht.
28. Februar 2021
Nach einer großangelegten Umfrage durch den Thüringer Landesbeauftragten für den Datenschutz und die Informationsfreiheit (TLfDI), Herrn Dr. Lutz Hasse bei Thüringer Unternehmen sowie einer anschließenden Frageaktion der Kammern, ist in Kooperation mit den IHKs und HWKs ein umfangreicher FAQ– Katalog für Unternehmen fertiggestellt worden.
Die FAQs enthalten Antworten auf viele Fragestellungen, die dem TLfDI nach Auswertung der Unternehmensumfrage relevant erschienen. Darüber hinaus wurden auch Problemstellungen berücksichtigt, die von den Kammern an den TLfDI herangetragen wurden. Die FAQs sollen nun der Information und Unterstützung der Unternehmen bei Fragen zum Datenschutz dienen.
Inhaltlich werden viele Themen des Datenschutzes abgedeckt. So bietet der Katalog beispielsweise Antworten bei der Benennung des betrieblichen Datenschutzbeauftragten (bDSB), bei den rechtlichen Grundlagen für die Datenverarbeitung, den Beschäftigtendatenschutz, Werbung, technische und organisatorische Anforderungen, Auftragsverarbeitung und vieles mehr.
Entgegen einiger Kritik hat der Deutsche Bundestag am 28. Januar 2021 das Registermodernisierungsgesetz verabschiedet. Die Bundesregierung will damit den Austausch von Daten zwischen verschiedenen Behörden erleichtern. Dafür soll die Steueridentifikationsnummer (Steuer-ID) zu einer bundesweit einheitlichen Personenkennzahl ausgeweitet werden. Diese soll es Mitarbeitern der öffentlichen Verwaltung erleichtern, auf Daten zu einer Person bei einer anderen Behörde zuzugreifen – und damit bestenfalls Behördengänge beschleunigen. Das Gesetz wurde trotz Bedenken von Datenschützern und Opposition verabschiedet.
Stimmt der Bundesrat zu, wird künftig an rund 50 Stellen zusätzlich die Steuer-ID der Betroffenen gespeichert – etwa im Melderegister, im Führerscheinregister und im Waffenregister sowie bei der Rentenversicherung und den Krankenkassen.
Deutliche Kritik äußerte unter anderem der baden-württembergische Datenschutzbeauftragte Stefan Brink. Er sehe die Probleme vor allem im Verfassungs- und Datenschutzrecht. Bereits in den 80er-Jahren habe sich das Bundesverfassungsgericht in Karlsruhe mit der Thematik befasst und erklärt, dass das Vorhaben verfassungswidrig sei. Durch die Verknüpfung der Daten, entstehe ein umfassendes Personenprofil. Es bestehe dadurch auch die Gefahr, dass nicht nur staatliche Stellen diese nutzen könnten, sondern auch private Marktteilnehmer Interesse daran bekommen könnten, so Brink.
Man erhoffe sich, durch das Gesetz Verwaltungsvorgänge vereinfachen zu können. Erlaubt sei die gegenseitige Datenabfrage jedoch nur in den Fällen, in denen die betroffene Person vorab zustimme. Des Weiteren könne jeder Bürger über einen sicheren Zugang – das sog. “Datencockpit” – selber einsehen, welche Behörden welche Daten zu ihm austauschen.
Doch neben der Kritik von Datenschutzexperten stellte sich auch die Opposition gegen das Gesetz. Wenn das Verfahren in einigen Jahren vor dem Bundesverfassungsgericht scheitern sollte, habe man ein Kosten- und Zeitproblem biblischen Ausmaßes, so der Grünen-Fraktionsvize Konstantin von Notz. Die Zustimmung des Bundesrates gilt als ungewiss.
Am 10. Februar 2021 einigten sich die EU-Mitgliedsstaaten auf ein Verhandlungsmandat für die überarbeiteten Vorschriften zum Schutz der Privatsphäre und der Vertraulichkeit bei der Nutzung elektronischer Kommunikationsdienste. Durch diese aktualisierte Version soll festgelegt werden, in welchen Fällen Anbieter elektronische Kommunikationsdaten verarbeiten oder Zugang zu Daten erhalten dürfen, die auf den Geräten der Endnutzer gespeichert werden.
Der ursprüngliche Text wurde von der Kommission erstmals im Januar 2017 vorgelegt, Monate nachdem Europas Flaggschiff der Datenschutzreform, die Datenschutzgrundverordnung, fertiggestellt worden war. Der neue Text wurde unter der portugiesischen Ratspräsidentschaft ausgearbeitet und wird die Grundlage für die Verhandlungen des Rates mit dem Europäischen Parlament über die endgültigen Bedingungen der Datenschutzverordnung für elektronische Kommunikation bilden. Der portugiesische Vorsitz wird nun Gespräche mit dem Europäischen Parlament über den endgültigen Wortlaut einleiten.
Die bestehende Datenschutzrichtlinie für elektronische Kommunikation aus dem Jahr 2002 muss aktualisiert werden, um neuen technologischen Entwicklungen und Marktentwicklungen – wie der derzeit weit verbreiteten Nutzung der Internet-Sprachtelefonie (Voice-over-IP/VoIP), den webgestützten E‑Mail- und Nachrichtenübermittlungsdiensten sowie neuen Techniken zur Verfolgung des Online-Verhaltens der Nutzer – Rechnung zu tragen, so der Rat.
Als spezielleres Gesetz („lex specialis“) zur Datenschutz-Grundverordnung wird sie die bisherige Verordnung konkretisieren und ergänzen. So gelten im Gegensatz zur DSGVO viele Bestimmungen über die Privatsphäre und elektronische Kommunikation sowohl für natürliche als auch juristische Personen.
Es sei das erklärte Ziel, die digitale Transformation in Europa voranzutreiben. Insbesondere vor dem Hintergrund der COVID-19-Pandemie arbeitet die EU daran, den technologischen Wandel zu beschleunigen. Die Digitalisierung ist für das Wachstum und die Widerstandsfähigkeit der EU von großer Bedeutung. Die EU arbeitet aktuell an mehreren politischen Maßnahmen, die dazu beitragen sollen, das Ziel des digitalen Übergangs zu erreichen. Dabei sind die wichtigsten Politikbereiche digitale Dienste, Datenwirtschaft, künstliche Intelligenz, Basistechnologien, Konnektivität und Cybersicherheit. Ein Schlüsselelement des digitalen Übergangs ist der Schutz der Werte der EU sowie der Grundrechte und der Sicherheit der Bürger.
Die Umsetzung der ePrivacy-Richtlinie war längst überfällig. Es ist aber wahrscheinlich, dass der aktuelle Vorschlag im Laufe der Verhandlungen mit dem Europäischen Parlament noch einige Änderungen erfahren wird. Die Verordnung würde dann zwei Jahre nach ihrer Veröffentlichung im EU-Amtsblatt in Kraft treten.
26. Februar 2021
Im Jahre 2015 wurde das erste Sicherheitsgesetz verabschiedet (wir berichteten). Dieses soll reformiert werden, wozu schon seit 1,5 Jahren ein Gesetzgebungsverfahren läuft. Der aktuelle Gesetzesentwurf ist vom 25. Januar 2021. Damit soll Bedrohungen für die Cybersicherheit, die sich für Staat, Wirtschaft und Gesellschaft gleichermaßen ergeben, entgegengewirkt werden.
Änderungen betreffen das Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG), das Telekommunikationsgesetz (TKG), das Telemediengesetz (TMG), das Gesetz über die Elektrizitäts- und Gasversorgung (EnWG), die Außenwirtschaftsverordnung sowie das Zehnte Buch Sozialgesetzbuch (SGB X).
Im Mittelunkt steht die Stärkung der Rolle des Bundesamts für Sicherheit in der Informationstechnik (BSI). Es soll zukünftig als nationale Cybersicherheitszertifizierungsbehörde im Sinne des EU Cybersecurity Acts (Verordnung EU/2019/881) fungieren sowie als allgemeine Stelle für Sicherheit in der Informationstechnik.
Der Aufgabenbereich soll insbesondere folgende Punkte umfassen:
- Das BSI soll Befugnisse bekommen, Sicherheitslücken an den Schnittstellen informationstechnischer Systeme zu öffentlichen Telekommunikations-Netzen mit Hilfe von Port-Scans aufzudecken sowie Systeme und Verfahren zur Analyse von Schadprogrammen und Angriffsmethoden einzusetzen (Honeypots).
- Das BSI soll zum Zwecke der Abwehr von Gefahren für die Kommunikationstechnik des Bundes zwölf Monate lang Protokolldaten speichern. Protokollierungsdaten werden neu in das BSI-Gesetz aufgenommen und das BSI wird befugt, diese Daten zur Abwehr von Gefahren für die Kommunikationstechnik des Bundes zu verarbeiten.
- Betreiber kritischer Netzwerkkomponenten müssen vor Inbetriebnahme ein komplexes Zulassungsverfahren durchlaufen und vom BSI zertifiziert werden. Netzbetreiber müssen garantieren, dass technische Komponenten vertrauenswürdig sind. Das BSI kann von Betreibern kritischer Infrastrukturen oder Unternehmen im besonderen öffentlichen Interesse die Herausgabe der zur Bewältigung der Störung notwendigen Informationen einschließlich personenbezogener Daten verlangen.
- Das BSI führt Produkt- oder Leistungszertifizierungen für die Bundesverwaltung durch. Im Rahmen der Zertifizierung haben betroffene Ministerien ein Mitspracherecht.
- Der Verbraucherschutz soll mit einem „IT-Sicherheitskennzeichen“ für die IT-Sicherheit von Produkten verbessert werden. Es beinhaltet eine Erklärung des Herstellers, in welcher dieser das Vorliegen bestimmter IT-Sicherheitseigenschaften des Produkts zusichert und eine Information des BSI über sicherheitsrelevante IT-Eigenschaften. Die Einhaltung dieser Vorgaben wird vom BSI in regelmäßigen Abständen überprüft.
- Das BSI spricht Empfehlungen für Identifizierungs- und Authentisierungsverfahren aus und legt den Stand der Technik bei sicherheitstechnischen Anforderungen an IT-Produkte fest.
Der aktuelle Entwurf ist noch nicht von Bundestag verabschiedet worden, so dass sich noch weitere Änderungen ergeben können. Wir halten Sie auf dem Laufenden!
Noch im Herbst 2019 hatte die Berliner Datenschutzbeauftragte Maja Smoltczyk einen Bußgeldbescheid in Höhe von 14,5 Millionen Euro gegen die Deutsche Wohnen SE erlassen (wir berichteten) – das bis dahin höchste Bußgeld in Deutschland auf Grundlage der DSGVO. Nun hat das LG Berlin den Bußgeldbescheid für unwirksam erklärt.
Die Ausgangslange
Bereits 2017 ist die Deutsche Wohnen der Berliner Datenschutzbehörde aufgefallen. Die Datenschützer warfen dem Immobilienunternehmen vor, Daten in einem Archivsystem zu speichern, das es nicht ermögliche, nicht mehr erforderliche Daten zu löschen. Auf diese Weise entstanden über Zeit “Datenfriedhöfe”, auf denen Daten von Personen lagen, die schon gar keine Mieter mehr waren. Dieser Zustand ermöglichte es, dass teils Jahre alte Daten von Mieterinnen und Mietern, etwa Sozial- und Krankenversicherungsdaten, Arbeitsverträge oder sonstige Informationen über die eigenen finanziellen Verhältnisse, noch immer eingesehen und verarbeitet werden konnten.
An diesem Zustand änderte sich auch bis zur nächsten Kontrolle im März 2019 nichts, woraufhin die Behörde das Rekordbußgeld in Höhe von 14,5 Millionen Euro verhängte. Die Deutsche Wohnen hatte bereits nach Erhalt des Bußgeldbescheides angekündigt, diesen gerichtlich überprüfen zu lassen.
Die Entscheidung des LG Berlin
Die 26. Große Strafkammer des LG Berlin hat das Verfahren eingestellt. Das Gericht kam zu der Überzeugung, dass der Bußgeldbescheid “gravierende Mängel” aufweist und damit “unwirksam war”. Die Kammer begründete ihren Beschluss laut Sprecherin damit, dass entgegen der Rechtsauffassung der Aufsichtsbehörde eine juristische Person nicht Betroffene in einem Bußgeldverfahren sein könne. Nur eine natürliche Person sei imstande, eine Ordnungswidrigkeit vorwerfbar zu begehen. Der Bußgeldbescheid enthalte keine Angaben zu konkreten Tathandlungen eines Organs des Unternehmens und könne in der konkreten Form nicht Grundlage des Verfahrens sein.
Die Entscheidung überrascht, denn damit vertritt das LG Berlin eine andere Ansicht als das LG Bonn in einem ähnlich gelagerten Fall. Im November des vergangenen Jahres reduzierte das LG Bonn zwar den Bußgeldbescheid gegen 1&1 auf 900.000€, bestätigte aber gleichzeitig einen Verstoß gegen die DSGVO (wir berichteten). Das LG Bonn bejahte die Geltung des Europäischen Unternehmensbegriffes, wonach Bußgelder auch jenseits des Ordnungswidrigkeitengesetzes (OWiG) möglich sind.
Damit dürfte allerdings nur vorerst das letzte Wort gesprochen sein. Die Berliner Datenschutzbehörde hat nun eine Woche Zeit, um sofortige Beschwerde beim Kammergericht einzulegen. Smoltczyk kündigte bereits an, die Staatsanwaltschaft zu bitten, von diesem Recht gebrauch zu machen. Man darf also gespannt sein, wie es weitergeht.
24. Februar 2021
CDs und Kassetten gehören der Vergangenheit an, heute streamt man seine Musik. Die populärste Musik-Streaming-Plattform ist Spotify mit 320 Millionen Nutzerinnen und Nutzern weltweit.
Der beliebte Musik-Streamingdienst Spotify liefert uns jeden Tag und überall unsere Lieblingsmusik. Doch in Zukunft will Spotify nicht nur Musik zur Verfügung stellen, sondern auch zuhören. Anhand mitgehörter Worte und Hintergrundgespräche soll sodann entschieden werden, welche Playlist uns vorgeschlagen wird.
Um den Nutzern das ultimative Hörerlebnis bieten zu können, entschied sich der schwedische Musik-Streamingdienst für eine neue Strategie: Wir suchen uns nicht mehr aktiv selbst aus, was wir hören. Diese Entscheidung wird uns von Spotify abgenommen – anhand unserer Emotionen. Je nachdem, welche Gefühle uns gerade umgeben, erhalten wir von Spotify passende Songvorschläge.
Hierfür hat Spotify eine Technologie entwickelt, die unter anderem die Stimme, die Umgebung, das Alter, das Geschlecht sowie den Akzent analysiert und uns so für jede Gefühlslage den passenden Track vorschlägt. Um diese Geräusche wahrnehmen und in der Folge auswerten zu können, plant Spotify den Einsatz einer Spacherkennungssoftware. Diese soll unter anderem erkennen, in welcher Laune wir gerade sind und wo wir uns gerade befinden. Dabei wird aber nicht nur die Nutzer selbst belauscht. Auch andere Personen, die sich zufällig in der Nähe befinden, werden mit abgehört.
Auf welche DSGVO-Rechtsgrundlage Spotify diese Überwachungsmaßnahme stützen möchte, ist noch unklar. Feststeht, dass ein heimliches Aufzeichnen nach § 201 StGB strafbar wäre. Die Wirksamkeit einer Einwilligung des Nutzers nach Art. 6 Abs. 1 S. 1 lit. a) DSGVO ist fraglich. Schließlich haben zufällig mitaufgezeichnete Personen nicht eingewilligt.
Die Fragwürdigkeit dieser Maßnahme überrascht nicht, hat es Spotify schon in der Vergangenheit mit den datenschutzrechtlichen Vorgaben der DSGVO nicht so genau genommen.
Das Ergebnis eines Tests der Datenschutzorganisation noyb, die acht Online-Streamingdienste wie Amazon Prime, Apple Music, DAZN, Netflix und Spotify untersuchte, ergab, dass Spotify zwar auf Auskunftsanfragen der Nutzer nach Art. 15 DSGVO geantwortet hat – die unverständliche und zum Teil codierte Auskunft jedoch sehr zu wünschen übrig ließ. Viele Informationen, so beispielsweise zu den Verarbeitungszwecken, zu den Empfängern, zu geeigneten Garantien bei Datenübermittlungen an Drittländer, zur Datenherkunft sowie zu den weiteren Betroffenenrechten haben laut der nyob Recherche gefehlt.
Außerdem ist auf Spotify’s Cookie-Banner die Weitergabe der Daten an Ad-Netzwerke sowie sonstige Drittunternehmen vorangekreuzt und lässt sich nicht entkreuzen. Für eine wirksame Einwilligung nach Art. 6 Abs. 1 S. 1 lit. a DSGVO wäre aber ein aktiver Mitwirkungsakt des Nutzers notwendig.
Zwar handelt es sich bei der geplanten Lauschmaßnahme (aktuell) lediglich um ein US-Patent, aber das bisherige Verhalten von Spotify lässt deutlich werden, dass das Unternehmen die datenschutzrechtlichen Vorgaben gerne umgeht bzw. zu seinen Gunsten auslegt.
Clinch im Silicon Valley – Apples Tracking-Transparenz führt zu großer Unzufriedenheit bei Facebook
Der iPhone-Hersteller wird ein Update für sein iOS 14-Betriebssystem veröffentlichen, mit welchem Nutzer aufgefordert werden, Apps die Berechtigung zu erteilen, ihre Aktivitäten in anderen Apps und im Internet zu verfolgen (sogenanntes „Tracking“). Viele Apps verfolgen die Aktivität der Nutzer, vor allem zu Werbezwecken und in Zusammenarbeit mit Werbenden. Das wird derzeit bei vielen App-Providern aufgrund der Standardeinstellungen, die durch die Installation automatisch akzeptiert werden, ermöglicht. Eine manuelle Verwaltung der Einstellungen ist auch jetzt bereits bei vielen Apps möglich, was aber aufwändiger ist, als die Nutzungspräferenzen direkt zu Beginn der Nutzung festzulegen.
Durch das Update sollen Nutzer von Apple-Geräten leichter verhindern können, dass Apps und Werbedienste Informationen über ihr Verhalten anhand einzelner Anwendungen und Websites sammeln können. Apples Plan ist es, dass jede einzelne App die Nutzer vor dem Zugriff um Erlaubnis fragen muss.
„Nie zuvor wurde das Recht auf Privatsphäre – das Recht, personenbezogene Daten unter Ihrer eigenen Kontrolle zu halten – so angegriffen wie heute. Da sich die externen Bedrohungen für die Privatsphäre weiterentwickeln, müssen wir auch daran arbeiten, ihnen entgegenzuwirken“, sagte Apple-Software Chef Craig Federighi in seiner Rede vor der Europäischen Datenschutzkonferenz.
Darüber hinaus betont Apple, dass die neuen Funktionen zur Tracking-Steuerung für alle Entwickler gleichermaßen gelten, einschließlich Apple selbst. Das Unternehmen weist außerdem darauf hin, dass Werbung auch mit der neuen Funktion zur Transparenz der App-Verfolgung noch möglich ist. Ziel sei es jedoch, den Nutzern durch ausdrückliche Einwilligung mehr Kontrolle über ihre Daten zu geben.
Der Vorstandsvorsitzende des Unternehmens Facebook Inc, Mark Zuckerberg, bemängelt das Vorgehen Apples; in der momentanen Corona-Krise seien gerade kleine und mittlere Unternehmen auf Werbung im Netz angewiesen, dies würde jedoch durch die neuen Anpassungen seitens Apple konterkariert werden.
Facebook startete daraufhin eine Printkampagne, in der Unternehmen, die durch Apples Tracking-Transparenz eine Belastung und Existenzbedrohung sehen, ihre Geschichten teilen konnten. Die Seite enthält Videos von Kleinunternehmern, die personalisierte Anzeigen unterstützen und andere dazu ermutigen, über ihre Erfahrung mithilfe von #SpeakUpforSmall zu berichten. Viele dieser kleinen Unternehmen geben an, dass sie sich auf Social-Media-Anzeigen verlassen, um mehr Kunden anzulocken. Die Argumente von Facebook spiegeln auch das eigene Interesse an den Auswirkungen der Änderung wider, was sicherlich die Einnahmen belasten wird.
Aufgrund der schlechten Bilanz, die Facebook in Bezug auf die Privatsphäre der Nutzer vorzuweisen hat, ist es eher unwahrscheinlich, dass Nutzer des iOS 14 -Betriebssystem Facebook die Erlaubnis erteilen, ihre Nutzer-Aktivitäten zu verfolgen. Der Ruf des Unternehmens, die Privatsphäre zu schützen, wurde unter anderem durch einen Skandal aus 2018 getrübt. An diesem war Cambridge Analytical, ein politisches Beratungsunternehmen aus Großbritannien, beteiligt, das die Daten von bis zu 87 Millionen Benutzern ohne deren Erlaubnis sammelte.
Apple wird die neuen Möglichkeiten für Nutzer, die Datensammlung durch Apps einzuschränken, trotz Gegenwinds großer Online-Player wie Facebook wie geplant umsetzen.
23. Februar 2021
Ein Unternehmen begeht einen Verstoß gegen datenschutzrechtliche Bestimmungen, der betroffenen Person entstehen durch den Datenschutzverstoß aber keine materiellen Schäden. Sind nun immaterielle Schäden zu ersetzen? Wie ist dieser zu bemessen? Oder muss der Schaden eine gewisse Erheblichkeit aufweisen? Letztere Frage sieht das BVerfG als nicht geklärt an, sodass mit Beschluss vom 14.01.2021 (Az. 1 BvR 2853/19) ein Urteil des Amtsgericht Goslar aufgehoben wurde. Die Frage soll dem EuGH im Wege des Vorabentscheidungsverfahrens vorgelegt werden. Dieser soll entscheiden, wie die Regelung des Art. 82 Abs. 1 DS-GVO zum Schadensersatz auszulegen ist.
Hintergrund
Das BVerfG hatte über eine Verfassungsbeschwerde wegen der Verletzung des Rechts auf den gesetzlichen Richter (Art. 101 Abs. 1 S. 2 GG) zu entscheiden. Anstoß für die Verfassungsbeschwerde war ein Urteil des AG Goslar vom 27. September 2019 (Az. 28 C 7/19). Das Amtsgericht hatte u.a. entschieden, dass dem Kläger kein Schadensersatzanspruch nach Art. 82 DS-GVO wegen einer widerrechtlich verschickten Werbe-E-Mail zustehe, weil mangels Erheblichkeit des Vorgangs kein Schaden vorliege. Diese Frage hätte – so das BVerfG – jedoch nach Art. 267 Abs. 3 AEUV dem EuGH vorgelegt werden müssen, da es sich um eine ungeklärte Frage des europäischen Rechts handelt. Indem das Amtsgericht auf diese Vorlage verzichtet hat, habe es die Grundrechte des Klägers verletzt. Somit sei das Urteil aufzuheben. Es wird nun dem AG Goslar obliegen, die offene Frage der Auslegung des Art. 82 Abs. 1 DS-GVO dem EuGH zur Entscheidung vorzulegen.
Bedeutung der Entscheidung
Die Relevanz der Vorlage an den EuGH ist aus praktischer Sicht immens. Art. 82 Abs. 1 DS-GVO gewährt von Datenschutzverstößen betroffenen Personen einen Schadensersatzanspruch, wenn diesen ein materieller oder immaterieller Schaden entstanden ist. Materielle Schäden sind vergleichsweise leicht zu beziffern, bleiben in der Praxis jedoch die Ausnahme. Immaterielle Schäden – also kein Vermögensschaden, sondern z.B. bei Verletzung der Ehre oder der Freiheit – sind wegen des Datenschutzverstoßes gewissermaßen immanent: Jeder Verstoß gegen das Datenschutzrecht verletzt die Freiheit des Betroffenen, darüber entscheiden zu können, wie mit den eigenen Daten verfahren wird. Wie jedoch der dadurch entstandene immaterielle Schaden zu bemessen ist, bleibt Gegenstand zahlreicher Entscheidungen und Diskussionen, sodass hier noch keine Gewissheit besteht. Das AG Goslar schien diese Frage offenbar umgehen zu wollen, indem durch die Bezugnahme auf ein Erheblichkeitskriterium bereits das Bestehen eines Schadens verneint wird.
Ausblick
Eine Erheblichkeitsschwelle ist jedoch weder in der DS-GVO selbst noch in ihren Erwägungsgründen vorgesehen. Im Falle eines Vorabentscheidungsverfahrens wird der EuGH dazu Stellung nehmen müssen, ob ein solches Kriterium herangezogen werden kann und diese Frage vermutlich verneinen. Spannend wird jedoch sein, ob sich der Gerichtshof darüber hinaus zur Auslegung des Art. 82 Abs. 1 DS-GVO äußert und somit die Bemessung des immateriellen Schadensersatzes erleichtert. Auszuschließen ist dies nicht, allzu große Hoffnungen auf eine Klärung dieser Frage sollte sich sowohl die Praxis als auch die Rechtswissenschaft aber wohl nicht machen.
17. Februar 2021
Immer wieder verlagern europäische Firmen ihre Daten auf die Server von US Konzernen und das obwohl der Europäische Gerichtshof im Juli letzten Jahres in dem sogenannten Schrems-II-Urteil das Datenschutzabkommen Privacy Shield und damit die rechtliche Grundlage für den Transfer personenbezogener Daten zwischen der EU und den USA wegen ungenügenden Datenschutzes gekippt hat.
Problematisch an diesem Datentransfer und einer Zusammenarbeit mit US-Cloud-Diensten ist insbesondere, dass US-Geheimdienste einen umfangreichen Zugriff auf die bei den amerikanischen Unternehmen gespeicherten Daten haben – und dass auch dann, wenn die Daten in Europa gespeichert werden.
Derzeit ist ein Datentransfer daher nur dann datenschutzrechtlich unbedenklich, solange die beteiligten Unternehmen alternative Lösungen zur Aufrechterhaltung eines angemessenen Datenschutzniveaus verwenden, wie zum Beispiel EU-Standardvertragsklauseln nebst zusätzlicher Garantien. Diese müssen jedoch – im Gegensatz zu einem Transferabkommen – für jeden Verarbeitungsvertrag separat ausgehandelt werden. Dies ist nicht nur aufwendig, sondern in der Praxis auch nur schwer umsetzbar, da in den meisten Fällen mit Amazon, Microsoft oder Google kein individueller Verarbeitungsvertrag geschlossen wird. Aus diesem Grund wünschen sich sowohl Datenschützer als auch die Industrie ein neues Abkommen.
Ein solches ist bislang noch nicht in Sicht. Daher setzen zahlreiche deutsche Unternehmen weiter auf die Lösungen von US-Cloud-Anbietern oder steigen gerade erst auf diese um, statt sich von ihnen zu lösen.
Die deutschen Aufsichtsbehörden wollen nun härter durchgreifen und die Einhaltung der Bestimmungen der Datenschutzgrundverordnung stärker kontrollieren.
Wie das Handelsblatt berichtete, haben die Aufsichtsbehörden zur Cloud-Problematik eine spezielle Task Force eingerichtet. Dabei wollen sie stichprobenartig bundesweit Unternehmen auswählen, bei denen die Vermutung besteht, dass sie Dienstleister aus Drittstaaten verwenden. Die Task Force soll mit deutschen Unternehmen den Einsatz von US-Cloud-Diensten besprechen und gegebenenfalls Alternativen vorschlagen wie z.B. einen Wechsel des Anbieters oder eine Aussetzung der Datenübermittlung. Aber auch die Verhängung von Bußgeldern ist laut den Datenschutzbehörden dann angezeigt, wenn keine zufriedenstellende Lösung gefunden werden kann. Diese können bis zu 20 Mio. Euro betragen oder bis zu 4% des gesamten weltweit erzielten Jahresumsatzes.
Es bleibt daher abzuwarten, wie die Datenschutzbehörden im Rahmen ihrer Task Force vorgehen werden, welche Bußgelder verhängt werden und ab wann eine europäische Lösung für die Frage der Drittsaatenübermittlung gefunden wird.
