Kategorie: DSGVO

Wirtschaftsauskunfteien sammeln Handydaten ohne Einwilligung

3. Dezember 2021

Nach einer gemeinsamen Recherche vom NDR und „Süddeutscher Zeitung“ sollen Auskunfteien, wie beispielsweise die Schufa, Handyvertragsdaten von Millionen von Menschen gesammelt haben. Betroffen können damit Verbraucherinnen und Verbraucher sein, die in den vergangen vier Jahren einen Mobilfunkvertrag abgeschlossen haben. Dadurch, dass das Sammeln der Daten ohne Einwilligung geschehen ist, sehen Datenschutzbehörden und Verbraucherschützer diese Praxis als nicht rechtens an. Am 22. September 2021 hatte die Datenschutzkonferenz (DSK) der Aufsichtsbehörde der Bundesländer in einem Beschluss beteuert, dass Auskunfteien Positivdaten also solche Informationen, die keine negativen Zahlungserfahrungen oder sonstiges nicht vertragsgemäßes Verhalten zum Inhalt haben, nicht unter Berufung auf die in der Europäischen Datenschutzverordnung (DSGVO) vorgesehenen Ausnahmen speichern dürfen.

Branchenverband lehnt die Einschätzung vom DSK ab

Der Branchenverband der Wirtschaftsauskunfteien lehnt diese Einschätzung des DSK ab. In einer Stellungnahme vom 19. November 2021 heißt es: „Die Erfahrungen unserer Mitglieder zeigen, dass insbesondere finanzschwächere Menschen von der Verarbeitung von Daten profitieren, die ein vertragsgemäßes Verhalten in einer Geschäftsbeziehung dokumentieren. Gerade Verbraucher und Verbraucherinnen, die bisher keine positive Kredithistorie haben, wie zum Beispiel junge Konsumenten, Migranten und häufig auch Seniorinnen, sind auf die Verarbeitung solcher Informationen angewiesen.“

Scoring-Verfahren

Die Handyvertragsdaten werden wohl auch für das Scoring benutzt. Beim Scoring werden aus verschiedenen Daten über Vertragsabschlüsse, Vertragsdauer und Vertragswechsel Werte berechnet, die Rückschlüsse auf die Bonität der Verbraucher geben sollen. Verbraucherschützer kritisieren das Scoring schon seit langer Zeit. Dieses Verfahren ist nicht nur intransparent, sondern es besteht außerdem ein hohes Risiko, dass durch dieses Verfahren die Daten zulasten von Verbrauchern genutzt werden, die sich nichts haben zu Schulden kommen lassen.

Derzeit befasst sich auch der Europäische Gerichtshof (EuGH) mit der Frage, ob und wie die Verarbeitung von Scoring-Daten und deren Weitergabe mit der DSGVO vereinbar ist. Das Verwaltungsgericht Wiesbaden hatte dem Europäischen Gerichtshof zwei Fragen zu den sogenannten Score-Werten der Auskunftei Schufa vorgelegt.

Zum einen sei zu klären, ob diese Tätigkeit von Wirtschaftsauskunfteien dem Anwendungsbereich des Art. 22 Abs. 1 DSGVO unterfällt. Fraglich ist hierbei, ob Score-Werte über betroffene Personen erstellt und diese ohne weitergehende Empfehlung oder Bemerkung an Dritte (beispielsweise Banken) übermittelt werden können, sodass diese dann unter maßgeblicher Einbeziehung dieses Score-Wertes mit der betroffenen Person vertragliche Beziehungen eingehen oder davon absehen können. Zum anderen sollte der EuGH in einem weiteren Schritt prüfen, ob die DSGVO der Regelung des § 31 BDSG entgegenstehe.

Forderung von Datenlöschung

Die Verbraucherschützer sind der Meinung, dass die gespeicherten Daten bei den Auskunfteien gelöscht werden müssen. Falls die Auskunfteien dies nicht freiwillig umsetzen, könnten die Datenschutzbehörden dies in einem Bescheid verlangen. Dieser Bescheid könnte sodann vor Gericht angefochten werden. Gleichzeitig sollte auch die Weiterleitungspraxis der Mobilfunkbetreiber geprüft werden, vor allem hinsichtlich der Frage, ob und wie Unternehmen eine Einwilligung bei ihren Nutzern einholen können.

noyb zeigt irische Datenschutzkommission an

30. November 2021

Der Verein des österreichischen Juristen und Datenschützers Maximilian Schrems noyb (none of your business) hat die irische Datenschutzkommission (DPC) bei der österreichischen Wirtschafts- und Korruptionsstaatsanwaltschaft angezeigt. Dabei wirft man der Behörde intransparentes Verhalten vor. In dem Verfahren bei der irischen Behörde geht es um die Einhaltung der europäischen Datenschutz-Grundverordnung (DSGVO) durch Facebook.

Non-Disclosure-Agreement vorgelegt

Zuvor hatte die Behörde noyb aufgefordert, innerhalb eines Arbeitstages eine Verschwiegenheitsvereinbarung (Non-Disclosure-Agreement, NDA) zu unterzeichnen. Ohne eine solche Geheimhaltungsvereinbarung zugunsten der DPC und Facebook würde die DPC die Rechte der Beschwerdeführerin noyb in einem laufenden Verfahren aussetzen.

Hintergrund

Maximilian Schrems führte in der Vergangenheit schon einige erfolgreiche Verfahren gegen den Social-Media Konzern. In dem eigentlichen Rechtsstreit (wir berichteten) geht es unter anderem um die Frage, ob Nutzer:innen tatsächlich eine Einwilligung oder einen Vertrag mit Facebook schließen, da Facebook als angebliche „Leistung“ Werbung anbiete. Laut Schrems wären damit die Vorschriften, die vorgeben, wie eine eindeutige Zustimmung aussehen müsse (und auch jederzeit widerrufen werden könne), hinfällig. Dies sei eine rechtswidrige Umgehung der DSGVO.

Fehlende Rechtsgrundlage und Verzögerungen

Die DPC lässt sich mit diesem und anderen Verfahren gegen Techkonzerne nach Einschätzung von Schrems zu viel Zeit. Auch der deutsche Bundesdatenschutzbeauftragte Ulrich Kelber hatte seiner irischen Kollegin Helen Dixon vorgeworfen, die Verfahren zu verschleppen und ihr Zögern mit „falschen Aussagen“ zu verschleiern.

Aufgrund Facebooks Hauptsitz in Irland wurde die Beschwerde an die irische Datenschutzkommission weitergeleitet. Nach über drei Jahren erließ sie schließlich einen Entscheidungsentwurf. Nachdem noyb diese Entscheidung veröffentlicht hatte, forderte die DPC noyb auf, die Entscheidung der Datenschutzbehörde sowie noyb’s eigene Stellungnahmen zu löschen. Dies geschah ohne die Nennung einer Rechtsgrundlage, so der Datenschutzverein. Darüber hinaus sei die DPC außerhalb Irlands nicht zuständig. Aufgrund des Kooperationsmechanismus der DSGVO müssten die Dokumente über die österreichische Datenschutzbehörde zugestellt werden und unterlägen somit dem geltenden österreichischen Recht (§ 17 AVG). Wie die österreichische Datenschutzbehörde bestätigte, unterliegen derartige Verfahrensdokumente nicht der Geheimhaltung. Zum anderen gebe es auch nach irischem Recht keine gesetzliche Verpflichtung für die Parteien, Dokumente vertraulich zu behandeln, so noyb.

Maximilian Schrems: „Die irische Behörde hat die Verpflichtung uns zu hören, aber sie hat uns nun praktisch erpresst: Prozessrechte wurden davon abhängig gemacht, dass wir eine Verschwiegenheitsvereinbarung zu Gunsten der Behörde und Facebook unterzeichnen.“

Zeichen stehen auf Konfrontation

Für die Adventszeit hatte Schrems öffentliche Lesungen aus Dokumenten von Facebook und der irischen Datenschutzbehörde angekündigt. Inzwischen meldete sich auch der Datenschützer Johnny Ryan vom Irish Council for Civil Liberties zu Wort. Auch er habe in seiner Beschwerde gegen Google eine Verschwiegenheitserklärung von der irischen Behörde vorgelegt bekommen.

Die irische Behörde reagierte bisher nicht öffentlich auf die Vorwürfe.

„Inbox Werbung“ im Posteingang nur mit Einwilligung

Werbungen, die im Posteingang des E-Mail-Anbieters derart angezeigt werden, dass sie tatsächlichen E-Mails ähnlich sehen, dürfen ohne Einwilligung des Adressaten nicht geschaltet werden.

Der EuGH urteilte, dass sogenanntes „Inbox Advertising“ als „Nachricht zur Direktwerbung“ einzustufen sei. Der Entscheidung vorausgegangen war ein Vorabentscheidungsersuchen des BGH. Dieser hatte in einem Streitfall zweier Stromlieferanten zu entscheiden, ob die „Inbox Werbung“ des Anbieters eprimo GmbH gegen geltendes Recht verstößt.

In seinem Urteil stellte der EuGH fest, dass die als „Nachricht zur Direktwerbung“ einzustufende Vorgehensweise der eprimo GmbH eine zu kommerziellen Zwecken vorgenommene Kommunikation darstellt. Diese bedürfen grundsätzlich der Einwilligung der Beworbenen.

Ob diese Einwilligung im Rahmen der Nutzung des betroffenen unentgeltlichen E-Mail-Dienstes von den einzelnen Usern abgegeben wurde muss nun seitens des BGH ergründet werden.

Kein DSGVO-Bußgeld mehr für Unternehmen?

17. November 2021

Nach der bisherigen Annahme der deutschen Aufsichtsbehörden wird von der Geltung des funktionalen Unternehmensbegriffs auch im Datenschutz ausgegangen. Danach können Bußgelder unabhängig von der Feststellung des Fehlverhaltens einer konkreten Person verhängt werden. Diese Annahme bestätigte das LG Bonn im letzten Jahr und erklärte damit das Gesetz über Ordnungswidrigkeiten (OWiG) in diesem Anwendungsbereich für nicht europarechtskonform. Das Gericht korrigierte lediglich die Höhe des Bußgeldes, stellte aber nicht den Adressaten des Bußgeldes in Frage.

Das LG Berlin vertrat gegenüber dem Bonner Gericht jedoch eine konträre Ansicht. Zu Beginn dieses Jahres entschied die 26. Strafkammer, dass entgegen der Rechtsauffassung der Aufsichtsbehörde eine juristische Person nicht Betroffene in einem Bußgeldverfahren sein könne. Nur eine natürliche Person sei imstande, eine Ordnungswidrigkeit vorwerfbar zu begehen. Mit der Annahme, dass ein beweisbares Fehlverhalten einer konkreten Person eine Voraussetzung für die Rechtmäßigkeit eines Bußgeldes darstellt, folgt das LG Berlin insbesondere rechtsstaatlichen Grundprinzipien, wie dem Schuldprinzip.

Auch das Bundesministerium des Innern, für Bau und Heimat bestätigt diese Auffassung in seinem Bericht zur Evaluierung des BDSG. Dabei geht das Ministerium davon aus, dass die Neufassung des § 41 BDSG absichtlich darauf verzichtet, die Anwendbarkeit der §§ 130, 30 OWiG auszunehmen, auch wenn andere Regelungen des OWiG ausdrücklich ausgenommen werden. Das Innenministerium schließt daraus, dass eine von der konkreten Person des Verursachers unabhängige Unternehmenshaftung nicht dem Willen des deutschen Gesetzgebers entspricht.

Unternehmen sollten zum jetzigen Zeitpunkt jedoch keinesfalls davon ausgehen, dass Behörden nach der Stellungnahme des Bundesinnenministeriums zurückhaltender agieren oder auf Bußgelder verzichten. Vielmehr ist davon auszugehen, dass den bisherigen Auffassungen der Datenschutzbehörden gefolgt wird. Eine höchstrichterliche Klärung der Thematik bleibt also abzuwarten.

Kategorien: Allgemein · DSGVO
Schlagwörter: , ,

Stellt das Versenden eines unverschlüsselten USB-Sticks mit sensiblen personenbezogenen Daten durch einfachen Brief einen Verstoß gegen die DSGVO dar?

16. November 2021

Der Kläger machte gegen die Beklagte immaterielle Schadensersatzansprüche im Zusammenhang mit dem vermeintlichen Verlust eines USB-Sticks, auf dem sich personenbezogene Daten des Klägers und seiner Ehefrau befanden, geltend. Das Landgericht Essen hatte darüber zu entscheiden (Urteil vom 23.9.‌2021 – 6 O 190/21).  

1. Sachverhalt

Der Kläger und seine Ehefrau fragten bei der Beklagten eine Immobilienfinanzierung an. Um der Anfrage nachzukommen, warfen sie einen nicht verschlüsselten USB-Stick in den Briefkasten der Beklagten ein. Der Datenträger enthielt neben Kopien von Ausweisdokumenten auch Steuerunterlagen und Daten zu Bestandsimmobilien. Zu einem Vertragsschluss kam es zwischen dem Kläger und der Beklagten letzten Endes nicht. Die Beklagte schickte sodann den USB-Stick mit einfacher Post an den Kläger und seine Ehefrau zurück. Dieser Brief kam nach Aussagen des Klägers nicht bei ihm oder seiner Ehefrau an. Der Kläger sah in dem Verlust des Datenträgers einen Verlust über die Kontrolle seiner personenbezogenen Daten. In der Folgezeit forderte der Kläger in seiner Klage vor dem LG Essen immateriellen Schadensersatz in Höhe von insgesamt 30.000,- EUR an.

Der Kläger trug vor, die Beklagte habe gegen die in Art. 24, 25 Abs. 1, 32 DSGVO genannten Verpflichtungen verstoßen. Der Briefversand des USB-Sticks mit sensiblen personenbezogenen Kundendaten ohne weitere Sicherheitsmaßnahmen habe nicht den gesetzlichen Anforderungen an die Sicherheit und Vertraulichkeit der Datenverarbeitung entsprochen. Es komme hinzu, dass  die Beklagte gegen Informationspflichten nach Art. 34 Abs. 2, 33 Abs. 3 lit. b-d) DSGVO verstoßen habe. Daher habe der Kläger gegen die Beklagte einen Anspruch auf den Ersatz immaterieller Schadensersatzansprüche nach Art. 82 Abs. 1 DSGVO. (Ansprüche, die nicht aus der DSGVO herrühren bleiben in diesem Beitrag außen vor.)

2. Entscheidung

a) Kein Verstoß gegen Art. 24, 25 Abs. 1, 32 DSGVO

Ein Verstoß gegen Art. 24, 25 Abs. 1, 32 DSGVO lag nach Auffassung des Gerichts nicht vor. Hiernach hat der Verantwortliche unter Berücksichtigung des Stands der Technik, der Implementierungskosten, der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen zu treffen und umzusetzen, um sicherzustellen, dass die Verarbeitung gemäß der DSGVO erfolgt und dadurch die Rechte der betroffenen Personen geschützt werden.

Die Beklagte habe jedoch, mit dem Untergang des USB-Sticks auf dem Postweg, nicht gegen die besagten Vorschriften verstoßen. Es gibt keinen Grund, weshalb die Beklagte den USB-Stick nicht mit einfachem Brief an den Kläger und seine Ehefrau hätte versenden dürfen. Auch andere wichtige Dokumente werden regelmäßig mit der Post verschickt. Dem Gericht erschließe sich nicht, weshalb zwischen ausgedruckten Dokumenten, die naturgemäß unverschlüsselt übersandt werden, und digitalen Dokumenten auf einem unverschlüsselten USB-Stick unterschieden werden soll.

b) Verstoß gegen Art. 33, 34 Abs. 2 DSGVO

Unterstellt, der USB-Stick sei tatsächlich verloren gegangen, wäre nach Ansicht des Gerichts ein Verstoß gegen die Pflicht zur Meldung von festgestellten Datenschutzverletzungen nach Art. 33 DSGVO gegeben. Weiterhin bejahte das LG Essen für diesen Fall einen Verstoß gegen Art. 34 Abs. 2 DSGVO, da die erforderlichen Informationen von der Beklagten dem Kläger nicht mitgeteilt wurden.

c) Abtretbarkeit von Art. 82 Abs. 1 DSGVO

Zunächst befasste sich das Gericht mit der Frage, ob immaterielle Schadensersatzansprüche gem. Art. 82 Abs. 1 DSGVO nach § 398 BGB wirksam abgetreten werden können. Das AG Hannover hatte in einer vorausgehenden Entscheidung die Zulässigkeit einer solchen Abtretung verneint. In der Begründung hieß es, dass ein solcher Anspruch als höchstpersönlich und damit als nicht abtretbar bewertet werde (ZD 2021, 176). Das LG Essen war jedoch der Meinung, dass grundsätzlich jede Forderung abtretbar sei. Ein Abtretungsverbot nach §§ 399, 400 BGB bestehe im vorliegenden Fall nicht. Zudem sei die Abtretung nicht durch eine Vereinbarung ausgeschlossen. Die Abtretung erfordere auch keine inhaltliche Änderung der Leistung i. S. v. § 399 BGB. Das Gericht hatte hinsichtlich der Wirksamkeit der Abtretung auch in Bezug auf die Bestimmtheit keine Bedenken.

Es reiche aus, wenn im Zeitpunkt des Entstehens der Forderung bestimmbar sei, ob sie von der Abtretung erfasst werde. In dem Abtretungsvertrag hieß es, dass dem Zedenten aus einer datenschutzrechtlichen Verletzung Schadensersatzansprüche gegen die Beklagte – in einer noch durch ein Gericht festzulegenden Höhe – zustehen. Zudem wurde der Grund des Schadensersatzanspruchs näher beschrieben.

d) Substanziierte Darlegung des immateriellen Schadens

Trotz eines möglichen Verstoßes gegen Art. 33, 34 Abs. 2 DSGVO verneinte das Gericht jedoch einen Anspruch nach Art. 82 Abs. 1 DSGVO. Denn der Kläger konnte nach Auffassung des LG Essen nicht hinreichend substanziiert darlegen, dass ihm oder seiner Ehefrau ein erheblicher Schaden entstanden sei. Nach Ansicht des Gerichts gelten für den immateriellen Schadensersatz nach Art. 82 DSGVO die im Rahmen von § 253 BGB entwickelten Grundsätze. Für die Bemessung einer Schadenshöhe könnten die Kriterien des Art. 83 Abs. 2 DSGVO herangezogen werden.

Allein die Verletzung des Datenschutzrechts als solche begründe aber noch keinen Schadensersatzanspruch. Die Verletzungshandlung müsse nach Ansicht des Gerichts zu einer konkreten, nicht nur unbedeutenden oder empfundenen Verletzung von Persönlichkeitsrechten führen. Es müsse um eine objektiv nachvollziehbare, mit gewissem Gewicht erfolgte Beeinträchtigung von persönlichkeitsbezogenen Belangen gehen.

Versandapotheke darf das Geburtsdatum nicht immer abfragen

11. November 2021

Das Verwaltungsgericht Hannover hat sich mit der Frage befasst, welche Daten eine Versandapotheke im Rahmen des Bestellvorgangs erheben darf (Verwaltungsgericht Hannover, Urteil vom 09. November 2021, Az.: 10 A 502/19). Den Stein ins Rollen gebracht hat die Landesbeauftragte für den Datenschutz in Niedersachsen. Sie war der Meinung, die Versandapotheke erhebe zu viele Daten im Bestellvorgang und untersagte ihr im Januar 2019, unabhängig vom bestellten Medikament das Geburtsdatum abzufragen. Auch die Angabe einer Anrede sei, jedenfalls bei nicht geschlechtsspezifisch zu dosierenden Medikamenten, nicht erforderlich.

Die Betreiberin der Versandapotheke berief sich auf ihre Beratungspflicht, die aus der Apothekenbetriebsordnung folge. Dies umfasse die geschlechtsspezifische und altersgerechte Beratung. Zudem müsse sie wissen, ob die Bestellerinnen und Besteller volljährig seien. Sie klagte gegen den behördlichen Bescheid, die Klage wurde gestern nach mündlicher Verhandlung vor dem VG Hannover abgewiesen.

Vor dem Verhandlungstermin hat die Versandapotheke die Option hinzugefügt, bei der Anrede keine Angaben zu machen, sodass darüber nicht verhandelt wurde. Die Verarbeitung des Geburtsdatums beim Erwerb rezeptfreier Produkte ist nach Ansicht des Gerichts für solche Produkte unzulässig, die keine altersgerechte Beratung erfordern. Dies gilt u.a. für Drogerieartikel. Um die Geschäftsfähigkeit der Kunden zu prüfen, reicht es, abzufragen, ob die bestellende Person volljährig ist oder nicht. Dies folgt aus dem Grundsatz der Datenminimierung nach Art. 5 Abs. 1 lit. c) DSGVO.

Die Versandapotheke hat die Möglichkeit, die Zulassung der Berufung zum OVG Lüneburg zu beantragen.

Auch bei einem privater Vermieter kann der Anwendungsbereich der DSGVO eröffnet sein

9. November 2021

Ein Mieter kann auch gegen einen privaten Vermieter einen Anspruch auf Auskunftserteilung gem. Art. 15 DSGVO haben. Die Haushaltsausnahme aus Art. 2 Abs. 2 lit. c DSGVO greift in diesen Fällen nicht. Dies entschied das Landgericht Wiesbaden mit Urteil vom 30.09.2021, Az. 3 S 50/21 und bestätigte damit die Entscheidung des Amtsgerichts Wiesbaden vom 26.04.2021.

Sachverhalt

Der Kläger war Mieter einer Wohnung, die im Eigentum der Beklagten (Vermieterin) steht. Im Rahmen des Mietverhältnisses kommunizierte der Ehemann der beklagten Vermieterin mit dem Mieter über verschiedene mietrechtliche Angelegenheiten wie z.B. der Anbringung von Rauchwarnmeldern per WhatsApp. Zudem beauftragte die Vermieterin eine GmbH mit der Erstellung einer Betriebskostenabrechnung, die den Mieter schließlich zu einer Nachzahlung von über 700 EUR aufforderte.

Im Verlauf des Mietverhältnisses kam es zu einem Räumungsrechtsstreit. In diesem forderte der hiesige Kläger die Beklagte dazu auf, ihm eine umfassende Auskunft über seine personenbezogenen Daten gem. Art. 15 DSGVO zu erteilen. Seinen Auskunftsanspruch begründete er damit, dass durch die Speicherung seiner Telefonnummer und seines Namens auf dem Mobiltelefon des Ehemanns der Beklagten eine automatisierte Verarbeitung gem. Art. 2 Abs. 1 DSGVO seiner personenbezogener Daten vorliege. Auch die Speicherung seiner Daten für die Erstellung der Betriebskostenabrechnung in dem System der beauftragten GmbH stelle eine Verarbeitungstätigkeit dar, für die die Beklagte als Vermieterin im Sinne der DSGVO verantwortlich sei.

Dies lehnte die Beklagte u.a. mit der Begründung ab, dass es sich bei ihr nicht um eine konstitutionelle Vermieterin handle. Insbesondere speichere sie keine Daten ihrer Mieter ab, sondern hefte die Mietverträge als private Vermieterin lediglich ab. Die DSGVO sei aus diesen Gründen nicht auf sie anwendbar.

Die Entscheidung

Das AG Wiesbaden verurteilte die Vermieterin zur Erteilung einer vollständigen Datenauskunft gegenüber ihrem Mieter gem. Art. 15 DSGVO. Diese Entscheidung wurde durch das LG Wiesbaden bestätigt.

Im Einzelnen führte das Gericht aus, dass der Anwendungsbereich der DSGVO eröffnet sei. Die Speicherung des Namens und der Telefonnummer des Mieters auf dem Mobiltelefon stelle eine Verarbeitung personenbezogener Daten gem. Art. 4 Nr. 2 DSGVO dar. Außerdem, so das Gericht, liege in der Übermittlung an die GmbH zur Betriebskostenerstellung eine Auftragsverarbeitung gem. Art. 28 DSGVO vor, wonach die Vermieterin als Verantwortliche gem. Art. 4 Nr. 7 DSGVO auftrete und somit sie und nicht die GmbH zur Auskunftserteilung verpflichtet sei.

Insbesondere verneinte das Gericht das Vorliegen der sog. Haushaltsausnahme aus Art. 2 Abs. 2 lit. c DSGVO. Danach findet die DSGVO dann keine Anwendung, wenn die Verarbeitung personenbezogener Daten durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten stattfindet. Gerade diese persönliche Tätigkeit verneinte das LG jedoch. Einerseits deshalb, weil die Vermieterin nicht nur eine Wohnung privat vermietete, sondern mehrere. Andererseits aber auch, weil sie mit der Erstellung der Betriebskostenabrechnung eine Firma beauftragte, bei der sodann eine EDV-gestützte Verarbeitung stattfand. Diese Firma sei im Auftrag der Vermieterin und daher als Auftragsverarbeiterin gem. Art. 4 Nr. 8 DSGVO, Art. 28 DSGVO tätig geworden, so dass die Vermieterin als Verantwortliche im datenschutzrechtlichen Sinne handelte. Daraus, so das Gericht, ergebe sich bereits eindeutig, dass die beklagte Vermieterin nicht lediglich Privatdaten verarbeite, sondern diese entsprechend weiter gibt. Schließlich habe die Beklagte die Kontaktdaten des Mieters auch ihrem Ehemann zur Verfügung gestellt, damit dieser mit dem Mieter Kontakt aufnehmen konnte. Darin sah das Gericht ebenfalls eine Datenverarbeitung.

Fazit

Auffällig ist, dass der Auskunftsanspruch aus Art. 15 DSGVO in unterschiedlichen Konstellation immer wieder Gegenstand von Gerichtsentscheidungen ist.

Besonders an diesem Urteil ist zudem die restriktive, aber konsequente Auslegung der Haushaltsausnahme. Auch wenn die DSGVO in den Hauptanwendungsfällen vordergründig Unternehmen bzw. juristische Personen verpflichtet, so macht dieses Urteil noch einmal deutlich, dass auch Privatpersonen Verantwortliche im Sinne der DSGVO sein können. Dies insbesondere dann, wenn sie sich nicht mehr auf die Privilegierung der Haushaltsausnahme aus Art. 2 Abs. 2 lit. c DSGVO berufen können, etwa weil die Verarbeitungstätigkeit zumindest auch dem geschäftlichen Bereich zugeordnet werden kann, so wie vorliegend.

Damit kann das Urteil auch auf viele andere, vermeintlich private Tätigkeiten übertragbar sein, die in tatsächlicher Hinsicht zumindest auch geschäftlicher Natur sind.

OLG München urteilt, dass externer Datenschutzbeauftragter nicht als Verantwortlicher haftet

8. November 2021

Mit Urteil vom 27.10.2021 hat das Oberlandesgericht München (20 U 7051/20) u.a. entschieden, dass ein externer Datenschutzbeauftragter nicht als Verantwortlicher für DSGVO-Verstöße haftet.

Sachverhalt

Die Hausverwaltung einer Wohnanlage hatte an alle 97 Wohnungseigentümer Einladungen zur Eigentümerversammlung geschickt. Grund für die Versammlung war ein Legionellen-Befall im Trinkwasser. In der Tagesordnung für die Versammlung wurden die Eigentümer, in deren Wohnungen Legionellen-Befunde vorlagen, namentlich genannt. Einer dieser Eigentümer forderte die Hausverwaltung zunächst auf, seinen Namen zu schwärzen bzw. zu entfernen. Als dies nicht geschah, verklagte er die Hausverwaltung, sowie deren externen Datenschutzbeauftragten (DSB). Der Kläger sah seinen Ruf geschädigt und führte an, ein potentieller Käufer der Wohnung habe aufgrund der Informationen über den Legionellen-Befall den Kauf abgesagt. Der Kläger verlangt aufgrund der namentlichen Nennung in der Tagesordnung Schadensersatz nach Art. 82 Abs. 1 DSGVO von der Hauverwaltung und dem externen Datenschutzbeauftragten. Der Kläger führt an, der Datenschutzbeauftragte habe den Verstoß gegen die DSGVO auch in einer E-Mail eingeräumt.

Entscheidung

Das OLG München schloss sich der Vorinstanz, dem LG Landshut, an und verneinte einen DSGVO-Verstoß. So sei die namentliche Nennung im konkreten Fall rechtmäßig nach Art. 6 Abs. 1 lit c), lit f) DSGVO gewesen. Sie sei erforderlich gewesen, um die übrigen Eigentümer mit allen notwendigen Informationen zu versorgen. Sie sollten bei der Versammlung selbst in der Lage sein, u.a. gezielt Rückfragen an die Betroffenen zu stellen und Redebeiträge einordnen zu können. Eine Wohnungseigentümergemeinschaft sei außerdem keine anonyme Gemeinschaft.

Gegen den externen Datenschutzbeauftragten könne der Anspruch außerdem schon deswegen nicht greifen, weil dieser nicht Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO sei. In der vom Kläger benannten E-Mail, in der der Datenschutzbeauftragte einen DSGVO-Verstoß eingeräumt haben sollte, konnte das OLG keinen Rechtsbindungswillen entdecken, sodass auch kein Schuldanerkenntnis vorliege.

Grundsätzliches

Datenschutzbeauftragte beraten und unterstützen zwar den Verantwortlichen, sie sind aber selbst keiner. Deswegen können gegen sie keine Schadensersatzansprüche aus Art. 82 DSGVO geltend gemacht werden. Diese richten sich nämlich dem Wortlaut der Norm nach nur gegen den Verantwortlichen oder den Auftragsverarbeiter.

Die irische Datenschutzbehörde befürwortet das Umgehen der DSGVO seitens Facebook

22. Oktober 2021

Hintergrund

Mit Einführung der DSGVO am 25.Mai 2018 erhielten Verbraucher besondere Rechte. Unter anderem sollte sichergestellt werden, dass große Konzerne die (sensiblen) personenbezogenen Daten ihrer Nutzer nicht gegen deren Willen sammeln und verarbeiten.

Von der Verarbeitung personenbezogener Daten lebt jedoch das Geschäftsmodell von Social Media Anbietern wie Facebook, denn durch die Auswertung des Nutzerverhaltens kann Werbung auf die jeweiligen Nutzer- Interessen genau zugeschnitten werden.

Facebook wendet bislang folgenden Trick an, um die personenbezogenen Nutzerdaten zu eigenen Zwecken verarbeiten zu können und damit die Voraussetzungen der DSGVO zu umgehen: Die Einwilligung wurde vollständig in die AGB verschoben, denen potenzielle Nutzer zustimmen müssen, um Facebook überhaupt benutzen zu können. Auf eine separate Einwilligung verzichtete Facebook. So werden strenge Anforderungen der DSGVO, wie die freiwillige Einwilligung in die Verarbeitung personenbezogener Daten und das jederzeitige Widerspruchsrecht hinsichtlich dessen, umgangen. Die Betroffenenrechte der DSGVO sind so praktisch ausgehebelt. Facebooks rechtliche Argumentation ist simpel: Wird die Vereinbarung als „Vertrag“ gemäß Art. 6 Abs.1 lit.b DSGVO statt als „Einwilligung“ gemäß Art.6 Abs.1 lit.a DSGVO ausgelegt, sollen die strengen Vorschriften der DSGVO für den Konzern nicht mehr gelten.

Dem österreichischen Juristen und Datenschutz-Aktivisten Max Schrems entgingen Facebooks Änderungen nicht. Er reichte damals Beschwerde bei der zuständigen Aufsichtsbehörde in Irland ein. Die hat nun, mehr als drei Jahre später, eine vorläufige Entscheidung getroffen. Es ist ein Bußgeld in Höhe von 28 bis 36 Millionen Euro für Facebook vorgesehen. Allerdings soll Facebook weiterhin an seiner Art und Weise der Zustimmungspraxis festhalten dürfen. Kritisch wurde lediglich die Herangehensweise von Facebook angemerkt. So habe Facebook auf die Verschiebung der Einwilligung zur Datennutzung in die AGB nicht transparent hingewiesen. Dies ist sodann auch der Grund für das Bußgeld in Höhe von 28 bis 36 Millionen.

Aktuell

Letzte Woche schickte die irische Datenschutzbehörde ein Schreiben an NOYB, dessen Vorsitzender Max Schrems ist.  In diesem Schreiben wird NOYB dazu aufgefordert, einen Entscheidungsentwurf unverzüglich von ihrer Website zu entfernen und von jeder weiteren oder sonstigen Veröffentlichung oder Weitergabe desselben abzusehen. Zuvor legte die irische Datenschutzbehörde den anderen europäischen Datenschutzbehörden einen „Entscheidungsentwurf“ bezüglich des juristischen Tricks, mit dem Facebook die DSGVO umgeht, vor. Diesen Entscheidungsentwurf hat NOYB sodann veröffentlicht. NOYB weist jede Aufforderung seitens der irischen Datenschutzbehörde ab, den Entwurf zu entfernen; gemäß Art. 80 DSGVO sieht sich NOYB in der Pflicht, mit den Behörden zusammenzuarbeiten und die Entwicklung der DSGVO zu verfolgen. Hierunter fallen auch Veröffentlichungen von Entscheidungen, die für die Öffentlichkeit von Bedeutung sind.

Reform des Berliner Schulgesetzes: Stärkung des Datenschutzes

19. Oktober 2021

Insbesondere die letzten zwei Jahre haben deutlich gezeigt, dass digitale Plattformen auch im Schulbereich für den Fortlauf der Wissensvermittlung unerlässlich sind. Allerdings werden hierbei personenbezogene Daten von Kindern verarbeitet, was viele Unsicherheiten zwischen den beteiligten Parteien hervorruft.

Eltern, Lehrer*innen und Schüler*innen wurden aus verschiedenen Perspektiven vor eine Herausforderungen gestellt. So fehlt regelmäßig die Rechtsgrundlage für die Verarbeitung personenbezogener Daten bei der Nutzung von digitalen Lernmitteln im Unterricht. Datenschutzrechtlich ist demnach die Einholung von Einwilligungen gemäß Artikel 6 Absatz 1 lit. a) DSGVO für die Nutzung von digitalen Lernräumen notwendig.

In Berlin wurde durch die Reform des Berliner Schulgesetzes am 16. September 2021, durch weitreichende Änderungen der datenschutzgerechte digitale Unterricht neu geregelt. Durch die Neuerungen wurden weitreichende inhaltliche Regelungen vorgenommen. Demnach ist unter anderem die Einholung der Einwilligung nicht mehr notwendig. Das neue Gesetz verpflichtet darüber hinaus die Berliner Senatsverwaltung für Bildung, regelmäßig datenschutzkonforme Lehrmittel festzulegen.

Die Beauftragte für Datenschutz und Informationsfreiheit in Berlin, Maja Smoltczyk, nennt die vorgenommenen Änderungen des Berliner Schulgesetzes „richtungsweisend für andere Bundesländer“. Digitale Lernmittel haben in ihrem Einsatz in Berliner Schulen durch das Berliner Schulgesetz sicheren Boden gefunden, betont Smoltczyk und sieht durch die Neuerung „die Berliner Schulen für das digitale Zeitalter gewappnet.

Durch die Reform wurde nicht nur Rechtssicherheit bei der Verwendung von digitalen Lehrmitteln erzielt, sondern auch Kapazitäten für die pädagogischen Aspekte des Schulwesens wieder frei.

1 2 3 22