Kategorie: DSGVO
8. Mai 2023
Vergangene Woche traf der Gerichtshof der Europäischen Union (EuGH) mehrere Entscheidungen im Rahmen eines Vorabentscheidungsverfahrens, die die Auslegung der Datenschutz-Grundverordnung (DSGVO) betrafen (Urteil immaterieller Schadensersatz bei DSGVO-Verstößen- wir berichteten -).
Unter anderem entschied der EuGH (Rs. Az. C-60/22) über die Frage, ob ein unrechtmäßige Datenverarbeitung iSd Art. 17 Abs. 1 lit. d und Art. 18 Abs. 1 lit. b DSGVO vorliege, soweit ein Verantwortlicher seiner Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO nicht nachkomme. Dabei sei der Rechenschaftspflicht unzureichend nachgekommen worden, aufgrund einer fehlenden Vereinbarung über die gemeinsame Verantwortlichkeit (Art. 26 DSGVO) und einem unvollständigen Verzeichnis für Verarbeitungstätigkeiten (Art. 30 DSGVO).
Die Hintergründe
Dem Ausgangsverfahren lag der Antrag des Klägers auf internationalen Schutz beim zuständigen Bundesamt zu Grunde. Seine Entscheidung traf das Bundesamt unter Verwendung einer elektronischen Akten. Anschließend klagte der Betroffene vor dem Verwaltungsgericht gegen die Ablehnung auf internationalen Schutz. Im Rahmen des Prozesse übermittelte das Bundesamt dem Verwaltungsgericht die elektronische Akte des betroffenen Klägers, sodass Bundesamt und Verwaltungsgericht gemeinsam verantwortlich nach Art. 26 DSGVO waren. Aus Sicht des Klägers verstieß das Verwaltungsgericht gegen seine Rechenschaftspflicht aus der DSGVO, indem es weder einen Vertrag über die gemeinsame Verantwortlichkeit vorlegen konnte noch die Übermittlung in das Verzeichnis für Verarbeitungstätigkeiten aufgenommen hatte.
Keine unrechtmäßige Verarbeitung
Der EuGH äußerte sich dazu, ob die fehlende Vereinbarung über eine gemeinsame Verantwortlichkeit und das lückenhaft Verzeichnis für Verarbeitungstätigkeiten eine unrechtmäßige Verarbeitung iSd DSGVO sei. Danach richte sich, ob die betroffene Person ein Recht auf Löschung der verarbeiteten personenbezogenen Daten nach Art. 17 Abs. 1 lit. d und ein Recht auf Einschränkung der Verarbeitung nach Art. 18 Abs. 1 lit. b DSGVO habe.
Dazu führte der Gerichtshof erstens aus, dass ein Verantwortlicher nach Art. 5 Abs. 1 und 2 DSGVO sicherstellen müsse, dass die Datenverarbeitung rechtmäßig sei. Die Rechtmäßigkeit der Datenverarbeitung regele die DSGVO nach Art. 6. Demnach müsse eine der nach Abs. 1 lit. a bis f DSGVO alternativ aufgeführten Bedingungen erfüllt sein. Die nach Art. 26 und 30 DSGVO vorgesehenen Pflichten seien aber „(…) nicht zu den in nach Art. 6 Abs. 1 Unterabs. 1 genannten Gründen für die Rechtmäßigkeit der Verarbeitung [zu] zählen.“ (EuGH, Urteil vom 4.5.2023, C-60/22 Rn. 59) Die Pflichten nach Art. 26 und 30 DSGVO seien nicht dafür gedacht die Anforderungen an eine rechtmäßige Verarbeitung iSd nach Art. 6 Abs. 1 DSGVO genauer zu bestimmen.
Zweitens führte das Gerichts aus, dass die Rechtmäßigkeit zu den Grundsätzen der Datenverarbeitung zähle. Stattdessen seien die Vereinbarung über die gemeinsame Verantwortlichkeit und das Verzeichnis über Verarbeitungstätigkeiten allgemeine Pflichten des Verantwortlichen.
Außerdem führte der Gerichtshof drittens aus, dass bei einem Verstoß gegen Art. 26 und 30 DSGVO noch keine Verletzung des Grundrechts auf den Schutz personenbezogener Daten vorliege.
Fazit
Abschließend stellte der Gerichtshof fest, dass der Verstoß gegen Art. 26 und 30 DSGVO keine unrechtmäßige Verarbeitung nach Art. 17 Abs. I lit. d und Art. 18 Abs. 1 lit. b DSGVO sei. Da das Urteil erst vor kurzem erschienen ist, bleiben Reaktionen der Aufsichtsbehörden noch abzuwarten.
Wenn man sich mit dem Thema Datenschutz auseinandersetzt, kommt man irgendwann auf die Frage, wann bestimmte Daten gelöscht werden müssen. Es ist allgemein bekannt, dass die langfristige Aufbewahrung von personenbezogenen Daten Konsequenzen haben kann. Aber ist es auch möglich, dass eine vorzeitige Löschung die Rechte der betroffenen Person verletzt?
Alte Dokumenten vor Nachfrage gelöscht
Ein Bankkunde wandte sich an die Aufsichtsbehörde, nachdem er von der Bank keinen Nachweis über eine vorübergehende Kontovollmacht erhalten hatte. Die Bank hatte die entsprechenden Unterlagen aufgrund von Aufbewahrungsfristen gelöscht. Der Kunde beschwerte sich darüber, dass die Bank ihre Aufbewahrungspflichten verletzt hatte, indem sie den Vollmachtsnachweis gelöscht hatte. Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg beschäftigte sich mit diesem Fall und berichtet darüber in seinem Tätigkeitsbericht aus dem Jahr 2022 (S. 95).
Rechtsgrundlagen für vorzeitiges Löschen?
Gemäß Artikel 17 der Datenschutz-Grundverordnung (DSGVO) kann auch eine Bank dazu verpflichtet sein, personenbezogene Daten zu löschen, wenn dies von der betroffenen Person verlangt wird. Das Recht auf Löschung muss jedoch auch unter Berücksichtigung von Art. 17 Abs. 3 DSGVO betrachtet werden, der besagt, dass das Recht auf Löschung nicht besteht, wenn die Verarbeitung der Daten aus anderen, wichtigeren Gründen erforderlich ist, wie z. B.
• zur Ausübung des Rechts auf freie Meinungsäußerung und Information
• zur Erfüllung einer rechtlichen Verpflichtung
• aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit
• für im öffentlichen Interesse liegende Archivzwecke
• zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.
Banken sind gesetzlich verpflichtet, bestimmte Daten für einen bestimmten Zeitraum gemäß § 257 des Handelsgesetzbuchs und § 147 der Abgabenordnung aufzubewahren. Solange diese Aufbewahrungsfristen noch nicht abgelaufen sind, darf die Bank die Daten nicht freiwillig löschen.
Berechtigtes Interesse des Verantwortlichen
Falls die Bank nicht gemäß Art. 17 DSGVO verpflichtet ist, personenbezogene Daten zu löschen, kann sie möglicherweise gemäß Artikel 6 Abs. 1 lit. f DSGVO eine (freiwillige) Löschung in Betracht ziehen. Gemäß dieser Bestimmung ist die Verarbeitung von personenbezogenen Daten nur dann rechtmäßig, wenn sie erforderlich ist, um die berechtigten Interessen des Verantwortlichen oder eines Dritten zu wahren und die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person nicht überwiegen.
Um die Daten vorzeitig löschen zu können, müsste die Bank ein berechtigtes Interesse an der Löschung haben. Allerdings besteht ein solches Interesse nicht, wenn die Unterlagen aufbewahrungspflichtig sind und die Aufbewahrungsfristen noch nicht abgelaufen sind.
Im konkreten Fall kam der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg zu dem Schluss, dass sowohl die Über- als auch die Unterschreitung der gesetzlichen Aufbewahrungsfristen gegen die DSGVO verstoßen hat. Er überlegte daraufhin, ob dieser Verstoß im Rahmen einer Betroffenenbeschwerde gemäß Art. 77 Abs. 1 DSGVO angegriffen werden kann. Denn der Anwendungsbereich dieser Bestimmung wird durch EG 141 Satz 1 Var. 1 dahingehend eingeschränkt, dass der Betroffene in seinen Rechten aus der DSGVO verletzt sein muss.
Kann zu frühes Löschen eine Rechtsverletzung sein?
Um beurteilen zu können, ob eine vorzeitige Löschung von Daten eine Verletzung der Rechte des Betroffenen darstellt, muss man zunächst den Schutzzweck der gesetzlichen Aufbewahrungsfristen betrachten. Diese Bestimmungen dienen in erster Linie dem Schutz der ordnungsgemäßen Buchführung, die als grundlegende Voraussetzung für eine ordnungsgemäße Wirtschaftsführung gilt. Die Buchführungspflicht gemäß § 238 Abs. 1 S. 1 HGB verpflichtet die Bank als Kaufmann im handelsrechtlichen Sinn dazu, Bücher zu führen und ihre Handelsgeschäfte sowie die Lage ihres Vermögens nach den Grundsätzen ordnungsmäßiger Buchführung darzustellen. Ziel ist dabei der Schutz des Wirtschaftsverkehrs. Darüber hinaus soll die Aufbewahrung von Unterlagen nach der Abgabenordnung eine ordnungsgemäße Besteuerung sicherstellen. Die Aufbewahrungspflichten dienen jedoch nicht den möglichen Beweisführungsinteressen der Bankkunden. Daher ist eine vorzeitige Löschung von Daten in diesem Zusammenhang keine Verletzung der Datenschutzrechte der betroffenen Person.
Nach Ablauf der Aufbewahrungspflichten
Der Datenschutz-Beauftragte von Baden-Württemberg stellt fest, dass eine betroffene Person nur bei einer Überschreitung von handels- und steuerrechtlichen Aufbewahrungspflichten eine Beschwerdebefugnis hat, nicht jedoch bei deren Unterschreitung. Obwohl dies für die betroffene Person unzufriedenstellend ist, zeigt der Fall, dass Verantwortliche für die Datenverarbeitung sich über den Sinn und Zweck von geltenden Pflichten und Fristen Gedanken machen sollten. Es stellt sich die Frage, wie im Unternehmen verfahren werden soll, wenn Aufbewahrungsfristen abgelaufen sind oder eine betroffene Person die Löschung ihrer Unterlagen verlangt. Dazu müssen Fragen wie der Löschprozess, die Art der Datenlöschung (Vernichtung oder Anonymisierung), und die Überwachung und Verantwortung geklärt werden. Eine mögliche Lösung ist die Dokumentation in einem Löschkonzept, das als Leitfaden für die Umsetzung im Unternehmen dient.
4. Mai 2023
Der Europäische Gerichtshof (EuGH) urteilte am 04.05.2023 über eine wichtige Grundsatzfrage zum Schadensersatzanspruch (Rechtssache C-300/21). Dabei ging es insbesondere um die Frage, unter welchen Umständen es bei Verstößen gegen den Datenschutz zu Schadensersatzforderungen kommen kann.
Vorgeschichte
Im Jahr 2017 hatte die Österreichische Post begonnen, Informationen über die politischen Präferenzen der österreichischen Bevölkerung zu sammeln. Mithilfe eines Algorithmus wurden aus verschiedenen sozialen und demografischen Merkmalen “Zielgruppenadressen” definiert, die dann an verschiedene Organisationen verkauft wurden, um ihnen gezielte Werbung zu ermöglichen. Dabei wurden Kundendaten wie Name, Geschlecht und Alter mit verschiedenen Wahl-Statistiken kombiniert, um herauszufinden, welcher politischen Partei ihre Kunden nahestanden. Mehr als zwei Millionen Österreicher waren von diesem Vorfall betroffen.
Der Kläger, der nicht der Verarbeitung seiner personenbezogenen Daten zugestimmt hatte, fühlte sich beleidigt, als die Österreichische Post aufgrund ihrer Datenverarbeitung eine hohe Affinität zu einer bestimmten politischen Partei bei ihm feststellte. Er reichte Klage gegen die Österreichische Post ein, um die Verarbeitung seiner Daten zu stoppen und eine Entschädigung für den immateriellen Schaden zu erhalten, den er erlitten hatte. Das Landesgericht für Zivilrechtssachen Wien gab ihm in Bezug auf die Verarbeitung seiner Daten Recht, lehnte jedoch sein Schadenersatzbegehren ab.
Das Oberlandesgericht Wien bestätigte das erstinstanzliche Urteil und verwies auf die Vorschriften der DSGVO in Bezug auf die zivilrechtliche Haftung. Es stellte fest, dass ein Verstoß gegen die Vorschriften zum Schutz personenbezogener Daten nicht automatisch zu einem immateriellen Schaden führe und nur dann einen Schadenersatzanspruch begründete, wenn ein solcher Schaden eine “Erheblichkeitsschwelle” erreiche. In diesem Fall sah das Gericht keine Erheblichkeitsschwelle überschritten.
Vorlage an den EuGH
Der Oberste Gerichtshof Österreichs bestätigte die Entscheidung des Landesgerichts in Bezug auf die Unterlassungsverpflichtung der Österreichischen Post, gab jedoch dem Schadenersatzbegehren des Klägers vorerst nicht statt. Das Verfahren wurde ausgesetzt und der Gerichtshof bat nun den EuGH um Klärung der folgenden Fragen:
- Erfordert der Zuspruch von Schadenersatz nach Art. 82 DSGVO neben einer Verletzung von Bestimmungen der DSGVO auch, dass der Kläger einen Schaden erlitten hat oder reicht bereits die Verletzung von Bestimmungen der DSGVO als solche für die Zuerkennung von Schadenersatz aus?
- Bestehen für die Bemessung des Schadenersatzes neben den Grundsätzen der Effektivität und Äquivalenz weitere Vorgaben des Unionsrechts?
- Ist die Auffassung mit dem Unionsrecht vereinbar, dass Voraussetzung für den Zuspruch immateriellen Schadens ist, dass eine Konsequenz oder Folge der Rechtsverletzung von zumindest einigem Gewicht vorliegt, die über den durch die Rechtsverletzung hervorgerufenen Ärger hinausgeht?
Schadenersatzanspruch setzt Verstoß, Schaden und Kausalzusammenhang voraus
Der EuGH stellte klar, dass die Begriffe der DSGVO für die Anwendung der Verordnung als autonome Begriffe des Unionsrechts anzusehen seien, die in allen Mitgliedstaaten einheitlich auszulegen sind. Der Wortlaut von Art. 82 Abs. 1 DSGVO zeige, dass das Vorliegen eines Schadens eine der Voraussetzungen für den Schadenersatzanspruch sei, zusammen mit einem Verstoß gegen die DSGVO und einem Kausalzusammenhang zwischen dem Schaden und dem Verstoß. Eine Auslegung, dass jeder Verstoß gegen die DSGVO automatisch den Schadenersatzanspruch eröffnet, würde dem Wortlaut von Art. 82 Abs. 1 DSGVO widersprechen. Dies werde auch durch den Zusammenhang bestätigt, in den sich diese Bestimmung einfüge, sowie durch die Erläuterungen in den Erwägungsgründen 75, 85 und 146 der DSGVO.
Modalitäten müssen Äquivalenz- und Effektivitätsgrundsatz entsprechen
Das Urteil kommt zu dem Ergebnis, dass es mangels einschlägiger Unionsregeln nach dem Grundsatz der Verfahrensautonomie Sache der innerstaatlichen Rechtsordnung jedes Mitgliedstaats sei, die verfahrensrechtlichen Modalitäten der Rechtsbehelfe, die zum Schutz der Rechte der Bürger bestimmt sind, festzulegen. Dies setze allerdings voraus, dass diese Modalitäten bei unter das Unionsrecht fallenden Sachverhalten nicht ungünstiger sind als diejenigen, die gleichartige Sachverhalte regeln, die dem innerstaatlichen Recht unterliegen (Äquivalenzgrundsatz). Darüber hinaus dürften sie die Ausübung der durch das Unionsrecht verliehenen Rechte nicht praktisch unmöglich machen oder übermäßig erschweren (Effektivitätsgrundsatz). Es sei somit Sache des vorlegenden Gerichts, festzustellen, ob die im österreichischen Recht vorgesehenen Modalitäten für die gerichtliche Festsetzung des Schadenersatzes, der aufgrund des in Art. 82 DSGVO verankerten Schadenersatzanspruchs geschuldet werde, die Ausübung der durch das Unionsrecht und insbesondere durch diese Verordnung verliehenen Rechte nicht praktisch unmöglich machen oder übermäßig erschweren. Im Übrigen sei eine auf Artikel DSGVO gestützte finanzielle Entschädigung als „vollständig und wirksam“ anzusehen, wenn sie es ermögliche, den aufgrund des Verstoßes gegen diese Verordnung konkret erlittenen Schaden in vollem Umfang auszugleichen.
Keine Erheblichkeitsschwelle für immaterielle Schäden
Das Gericht bejaht die Frage, ob nationale Regelungen oder Praktiken, die den Ersatz eines immateriellen Schadens von einer bestimmten Erheblichkeit abhängig machen, mit Art. 82 Abs. 1 DSGVO unvereinbar sind. Die DSGVO definiere den Begriff “Schaden” nicht und lege keine Erheblichkeitsschwelle fest. Die Definition des Begriffs “Schaden” sollte den Zielen der DSGVO in vollem Umfang entsprechen. Eine Erheblichkeitsschwelle würde die Kohärenz der DSGVO beeinträchtigen, da sie je nach Beurteilung durch die Gerichte unterschiedlich hoch ausfallen könnte. Allerdings sei eine betroffene Person weiterhin verpflichtet, nachzuweisen, dass sie einen immateriellen Schaden erlitten habe.
Fazit
Das Urteil aus Luxemburg hat mehrere wichtige Aspekte der Datenschutz-Grundverordnung (DSGVO) beleuchtet. Zunächst betont das Gericht, dass das Recht auf Entschädigung gemäß der DSGVO drei kumulative Bedingungen unterliegt: Verstoß gegen die DSGVO, materieller oder immaterieller Schaden infolge dieses Verstoßes und ein kausaler Zusammenhang zwischen dem Schaden und dem Verstoß. Daher führt ein bloßer Verstoß gegen die DSGVO nicht automatisch zu einem Entschädigungsanspruch. Diese Interpretation entspricht der Formulierung und den Erwägungsgründen der DSGVO.
Zweitens hat das Gericht klargestellt, dass keine Anforderung besteht, dass der erlittene immaterielle Schaden einen bestimmten Schweregrad erreichen muss, um ein Recht auf Entschädigung zu begründen. Dies bedeutet, dass jeder Art von immateriellem Schaden, unabhängig von seiner Schwere, potenziell zu einer Entschädigung führen kann, wenn die anderen beiden Bedingungen erfüllt sind.
Die Entscheidung des Gerichts ist bedeutend, da sie bestätigt, dass das Recht auf Entschädigung für immaterielle Schäden infolge rechtswidriger Datenverarbeitung eine wichtige Sicherung der Datenschutzrechte von Einzelpersonen darstellt. Es erkennt auch die breite Auffassung zum “Schaden” an, die von der EU-Gesetzgebung übernommen wurde, zu der jegliche Art von Schaden gehört, den eine Person erleidet. Das Gericht betonte jedoch auch, dass die DSGVO keine spezifischen Regeln zur Bewertung von Schäden enthält und es den Rechtsordnungen der einzelnen Mitgliedstaaten überlassen bleibt, den Umfang der in diesem Zusammenhang zu leistenden Entschädigung festzulegen. Solange die Grundsätze der Gleichwertigkeit und Wirksamkeit eingehalten werden, sind die Mitgliedstaaten frei, die detaillierten Regeln für Maßnahmen zur Sicherung der Rechte festzulegen, die Einzelpersonen aus der DSGVO ableiten, und insbesondere die Kriterien zur Bestimmung des Umfangs der in diesem Zusammenhang zu zahlenden Entschädigung.
Insgesamt unterstreicht dieser Gerichtsbeschluss die Bedeutung des Schutzes der Datenschutzrechte von Einzelpersonen und der Gewährleistung wirksamer Abhilfemaßnahmen für jeglichen Schaden, der als Folge rechtswidriger Verarbeitung personenbezogener Daten erlitten wurde. Er hebt auch die Notwendigkeit hervor, dass die Mitgliedstaaten klare und wirksame Mechanismen zur Bestimmung von Entschädigungen in Fällen von immateriellen Schäden infolge von DSGVO-Verstößen schaffen.
19. April 2023
Ein Bürger hat eine gesetzliche Krankenkasse verklagt, da er der Meinung ist, dass ihm eine Datenauskunft nach Artikel 15 der Datenschutzgrundverordnung (DSGVO) zu spät erteilt wurde. Er verlangt eine Schadensersatzsumme von 2.000 EUR und reichte im Juni 2021 eine Klage beim Sozialgericht Frankfurt/Main ein. Das Sozialgericht wies die Klage jedoch zurück, da es sich nicht zuständig fühlte. Das Hessische Landessozialgericht bestätigte diese Entscheidung. Schließlich wurde der Fall beim Bundessozialgericht (BSG) landete, welches entschied, dass die Sozialgerichte für Schadensersatzklagen nach Artikel 82 DSGVO zuständig sein können. Das BSG begründete dies damit, dass es sich bei den gespeicherten Daten um Sozialversicherungsdaten handelte und somit um eine öffentlich-rechtliche Streitigkeit handelt. Es wurde klargestellt, dass nicht jede Schadensersatzklage gegen eine Krankenkasse als öffentlich-rechtliche Streitigkeit betrachtet wird. Im Falle eines Datenschutzverstoßes in Bezug auf eine Personalakte eines Mitarbeiters der Krankenkasse müssten beispielsweise Arbeitsgerichte entscheiden.
Regelung über Datenschutzverstößen in § 81b SGB X
Dass die Sozialgerichte zuständig sind, über die Folgen von Datenschutzverstößen zu entscheiden, ist in § 81b SGB X ausdrücklich geregelt:
„Für Klagen der betroffenen Person gegen einen Verantwortlichen oder einen Auftragsverarbeiter wegen eines Verstoßes gegen datenschutzrechtliche Bestimmungen im Anwendungsbereich der Verordnung (EU) 2016/679 oder der darin enthaltenen Rechte der betroffenen Person bei der Verarbeitung von Sozialdaten im Zusammenhang mit einer Angelegenheit nach § 51 Absatz 1 und 2 des Sozialgerichtsgesetzes ist der Rechtsweg zu den Gerichten der Sozialgerichtsbarkeit eröffnet.“
Bei dem Schadensersatzanspruch nach Art. 82 DSGVO handelt es sich – so das BSG – um ein „Recht der betroffenen Person“ gemäß § 81b SGB X. Dieses Recht stehe den Rechten gleich, die in den Art. 12 ff. DSGVO ausdrücklich als „Rechte der betroffenen Person“ bezeichnet werden.
Bis hierhin ist der Argumentationsgang überzeugend. Es bleibt jedoch die Frage offen, ob Art. 82 DSGVO in Fällen, in denen es um Ansprüche aus öffentlich-rechtlichen Rechtsverhältnissen geht, als Amtshaftungsanspruch betrachtet werden kann. Gemäß Art. 34 Satz 3 GG sind für solche Ansprüche die ordentlichen Gerichte, also die Zivilgerichte, zuständig. Ein Amtshaftungsanspruch bezieht sich darauf, dass der Staat für einen Schaden haftbar gemacht wird, der einem Bürger durch das Handeln eines Amtsträgers zugefügt wurde. Es scheint auf den ersten Blick durchaus wahrscheinlich zu sein, dass Art. 82 DSGVO einen solchen Schaden abdeckt, da die Haftung gemäß Art. 82 Abs. 3 DSGVO eine “Verantwortlichkeit” erfordert und somit ein Verschulden voraussetzt.
Begründung des BSG
Das BSG meint dennoch (anders als die Vorinstanzen), es handele sich bei Art. 82 DSGVO auch im Bereich des öffentlichen Rechts nicht um einen Amtshaftungsanspruch, sodass Art. 34 Satz 3 GG nicht anwendbar ist. Die Begründung fällt kurz aus (Rn. 24 des Beschlusses):
„Der Schadenersatzanspruch aus Art 82 Abs 1 DSGVO ist schon deshalb kein Amtshaftungsanspruch iS des Art 34 Satz 1 und 3 GG, weil er sich nicht gegen einen Amtswalter richtet und sodann auf den Staat übergeleitet wird, sondern unmittelbar gegen den Verantwortlichen (ausführlich dazu auch BFH vom 28.6.2022 – II B 92/21 – BFHE 275, 571 = BStBl II 2022, 535, RdNr 18, 21). Dies ist hier die beklagte KK. Auf ein etwaiges Fehlverhalten der Amtswalter, die im Dienst des Verantwortlichen stehen, kommt es nicht an. Diese sind prinzipiell keine Verantwortlichen im Sinne der DSGVO (Bieresborn, ZFSH/SGB 2020, 436, 438; Leopold in BeckOGK, § 67 SGB X RdNr 54, Stand: 1.8.2022; Gola in Gola/Heckmann, DS-GVO/BDSG, 3. Aufl 2022, Art 4 DS-GVO RdNr 63).“
Fazit
Insgesamt dürfte die Entscheidung des BSG somit richtig sein. In Zukunft werden sich nicht nur Zivil-, Arbeits- und Finanzgerichte (siehe auch die Entscheidung des BFH vom 28.6.2022 – Az. II BB 92/21), sondern auch Sozialgerichte mit Schadensersatzansprüchen der Bürger gemäß Art. 82 DSGVO auseinandersetzen müssen.
18. April 2023
Nachdem vor kurzem die italienische Aufsichtsbehörde ankündigte, dass das Chat-Tool „ChatGPT“, künftig verboten werden würde, kommt nun auch die Diskussion in Deutschland langsam in Fahrt.
Hessischer Beauftragte für Datenschutz und Informationsfreiheit teilt italienische Ansicht
Aus Hessen kommt Zustimmung zur Auffassung der italienischen Aufsichtsbehörde. Alexander Roßnagel ist der Ansicht, dass ChatGPT möglicherweise gegen Datenschutzgrundsätze aus der Verordnung verstoßen könnte. So sollen die Grundsätze der Zweckbindung und Datenminimierung betroffen sein. Um weitere Entscheidungen treffen zu können müssten dennoch zunächst erst noch weitere Informationen gesammelt werden.
Zukunft des Dienstes ungewiss
Ein großer Abstimmungsbedarf, aufgrund der hohen Relevanz von Anwendungen wie ChatGPT für die Zukunft von Gesellschaften, soll nun auf europäischer Ebene erreicht werden. Demnach soll ChatGPT möglicherweise sogar einer durch den Europäischen Datenschutzausschuss koordinierten datenschutzrechtlichen Prüfung unterzogen werden. Es bleibt also spannend.
17. April 2023
Am 4. April 2023 hat der Europäische Datenschutzausschuss (EDSA) die überarbeiteten Richtlinien zur Meldung von Datenschutzverletzungen veröffentlicht. Die Aktualisierung betrifft Unternehmen, die zwar nicht in der EU ansässig sind, aber dennoch gemäß der Datenschutz-Grundverordnung (DSGVO) in deren Anwendungsbereich fallen. Dieser Beitrag gibt einen Überblick über die Updates des EDSA und beleuchtet die rechtlichen Aussagen.
Die ehemaligen WP29 Leitlinien
Vor dem Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) hatte die damalige Artikel-29-Datenschutzgruppe (WP29) am 3. Oktober 2017 allgemeine Richtlinien zur Meldung von Datenschutzverletzungen verabschiedet, in denen die relevanten Abschnitte der DSGVO analysiert wurden. WP29 empfahl darin, dass Datenschutzverletzungen der Aufsichtsbehörde im Mitgliedstaat gemeldet werden sollten, in dem der Vertreter des Verantwortlichen in der EU niedergelassen ist. Als Nachfolger der WP29 bestätigte der EDSA diese Richtlinien am 25. Mai 2018 formell.
EDSA: Aktualisierung zu Meldepflichten
Der Europäische Datenschutzausschuss (EDSA) hat seine Leitlinien zur Meldung von Datenschutzverletzungen für nicht in der EU niedergelassene Unternehmen aktualisiert. Das Feedback für diese Aktualisierung wurde im Rahmen einer öffentlichen Konsultation bis zum 29. November 2022 eingeholt. Der EDSA hat klargestellt, dass die bloße Anwesenheit eines Vertreters in der EU nicht das “One-Stop-Shop”-Prinzip auslöst, sondern nicht in der EU niedergelassene Unternehmen sich bei Datenschutzverletzungen, die Personen in mehreren Mitgliedsstaaten betreffen, an alle zuständigen Aufsichtsbehörden der jeweiligen Mitgliedsstaaten wenden müssen. Nach der öffentlichen Konsultation wurde dieser Abschnitt nun angenommen. Es sollten jedoch auch einige Klarstellungen des EDSA berücksichtigt werden, die zwar nicht direkt mit dieser Aktualisierung zusammenhängen, aber dennoch relevant sind.
Meldung an Aufsichtsbehörde
Nach Artikel 33 Absatz 1 DSGVO ist der Verantwortliche verpflichtet, im Falle einer Datenschutzverletzung unverzüglich und möglichst innerhalb von 72 Stunden nach Kenntnis der Verletzung diese der zuständigen Aufsichtsbehörde gemäß Artikel 55 DSGVO zu melden, es sei denn, dass die Verletzung voraussichtlich kein Risiko für die Rechte und Freiheiten natürlicher Personen darstellt.
Meldepflicht beim Verantwortlichen
Der Verantwortliche ist für die Meldepflicht bei Datenschutzverletzungen verantwortlich. Bei gemeinsam Verantwortlichen sollten die vertraglichen Vereinbarungen gemäß Artikel 26 der DSGVO klarstellen, welcher Verantwortliche die führende Rolle bei der Meldung von Datenschutzverletzungen übernimmt. Auftragsverarbeiter müssen Datenschutzverletzungen unverzüglich dem Verantwortlichen melden, jedoch nicht direkt bei der Aufsichtsbehörde.
Risikobewertung
Bei einer Datenschutzverletzung ist eine Risikobewertung wichtig. Gemäß EDSA-Leitlinien sollten dabei verschiedene Faktoren berücksichtigt werden, wie die Art der Verletzung, die Art und Sensibilität der betroffenen Daten, Identifizierbarkeit der betroffenen Personen, Schwere der Folgen, besondere Eigenschaften von betroffenen Personen und dem Verantwortlichen, sowie die Anzahl der betroffenen Personen und allgemeine Aspekte wie Empfehlungen von ENISA. In den Leitlinien 9/2022 werden auch Beispiele für Risikobewertungen genannt, z.B. könnte eine Verletzung als Risiko betrachtet werden, wenn sensible personenbezogene Daten betroffen sind, während eine Verletzung als kein Risiko betrachtet werden könnte, wenn die Daten verschlüsselt waren und Datensicherungen existieren.
Meldung an Aufsichtsbehörde
Gemäß Artikel 33 Absatz 1 DSGVO ist der Verantwortliche verpflichtet, im Falle einer Verletzung des Schutzes personenbezogener Daten die Meldung unverzüglich und möglichst innerhalb von 72 Stunden nach Kenntnis der Verletzung an die gemäß Artikel 55 zuständige Aufsichtsbehörde zu erstatten. Es sei denn, es ist wahrscheinlich, dass die Verletzung des Schutzes personenbezogener Daten keine Risiken für die Rechte und Freiheiten natürlicher Personen mit sich bringt.
Wann wird eine Datenpanne “bekannt”?
Gemäß Leitlinie 9/2022 gilt eine Datenschutzverletzung einem Verantwortlichen als “bekannt”, wenn er ausreichend sicher ist, dass ein Sicherheitsvorfall eingetreten ist, der zu einer Beeinträchtigung des Schutzes personenbezogener Daten geführt hat. Es ist nicht erforderlich, dass die Datenschutzverletzung tatsächlich stattgefunden hat. Zum Beispiel wird einem Verantwortlichen der Verlust eines unverschlüsselten USB-Sticks, auf dem personenbezogene Daten gespeichert sind, bekannt, wenn er den Verlust bemerkt. Wenn ein Dritter dem Verantwortlichen mitteilt, dass er versehentlich personenbezogene Daten erhalten hat und Belege für die unbefugte Offenlegung vorliegen, ist der Vorfall zweifelsfrei bekannt.
Empfehlung: Interne Richtlinien
Es wird empfohlen, dass nicht in der EU ansässige Unternehmen, die unter den Anwendungsbereich der DSGVO fallen, interne Richtlinien und Prozesse zur Meldung von Datenschutzverletzungen gemäß den Vorgaben des EDSA beachten. Die Meldung von Datenschutzverletzungen an mehrere Behörden kann zeitaufwändig sein. Interne Richtlinien und Prozesse zur Handhabung von Datenschutzvorfällen sind daher ratsam, um den Melde- und Benachrichtigungspflichten rechtzeitig nachzukommen. Effektive und regelmäßig überprüfte Prozesse zur Bewältigung von Datenschutzvorfällen sind entscheidend für eine schnelle Meldung von Datenschutzverletzungen und die Einhaltung von Fristen.
12. April 2023
Vor knapp einem Monat startete die europaweite Prüfaktion der europäischen Datenschutzaufsichtsbehörden, in welcher die zahlreichen Datenschutzbeauftragten inspiziert werden sollen. Mehr als 500.000 Organisationen in ganz Europa haben laut IAPP Datenschutzbeauftragte im Rahmen der Datenschutz-Grundverordnung registriert. Koordiniert durch den Europäischen Datenschutzausschuss widmet sich die Prüfaktion der Stellung und den Aufgaben der Datenschutzbeauftragten. Diese stellen einen der Eckpfeiler des Datenschutzes in Unternehmen und Behörden dar, der sich als zentrale Neuerung mit der Datenschutz-Grundverordnung nun auch in den übrigen Mitgliedstaaten etabliert hat.
Der europäische Datenschutzbeauftragte erklärte, dass 26 Datenschutzbehörden an der koordinierten Aktion teilnehmen werden. Es soll sich primär auf die Benennung und Stellung von Datenschutzbeauftragten konzentriert werden. Grundsätzlich wird beurteilt, ob die behördlichen Datenschutzbeauftragten über die in den Artikeln 37-39 der EU-Datenschutzgrundverordnung geforderte organisatorische Stellung und die für ihre Arbeit erforderlichen Ressourcen verfügen.
Die Prüfung soll mit Hilfe von Fragebögen der teilnehmenden Behörden erfolgen. In diesen sollen unter anderem Fragen zur Benennung, zum Wissen und zur Erfahrung der Datenschutzbeauftragten, zu ihren Aufgaben und Ressourcen oder zu ihrer Rolle sowie der Position in ihrer jeweiligen Organisation enthalten sein.
Es bleibt abzuwarten zu welchen Ergebnissen die Überprüfungen führen werden. In Einzelfällen könnten gegebenenfalls auch Sanktionen zu erwarten sein. Hauptziel dieser Aktion soll jedoch stets ein Mehrwert für die Stellung von Datenschutzbeauftragten sein.
11. April 2023
Der Gerichtshof der Europäischen Union (EuGH) entschied (Rs. C-34/21) vor rund 2 Wochen, dass der § 23 Abs. 1 S. 1 HDSIG nicht die Anforderungen einer spezifischeren Vorschrift iSd Art. 88 DSGVO erfülle. Die Entscheidung über diese landesrechtliche Norm wirft für die Anwendung des gleichlautenden § 26 Abs. 1 S. 1 BDSG einige Fragen auf.
Hintergründe
Grundlage des Verfahrens vor dem EuGH war eine Klage des Hauptpersonalrates der Lehrerinnen und Lehrer beim Hessischen Kultusministerium beim Verwaltungsgericht Wiesbaden. Dabei war fraglich, ob im Rahmen des Unterrichtes per Videokonferenz eine Einwilligung der Lehrkräfte erforderlich sei. Zwecks Unterricht per Videokonferenz habe das Hessische Kultusministerium für die erfolgende Datenverarbeitung die Einwilligung aller betroffenen Schülerinnen und Schülern eingeholt. Für die betroffenen Lehrkräfte habe das Einwilligungserfordernis nicht gegolten. Stattdessen sei die Verarbeitung ihrer personenbezogenen Daten auf Grundlage des § 23 HDSIG erfolgt.
Was ist eine “Spezifischere Norm”?
Im Rahmen des Vorabentscheidungsverfahrens vor dem EuGH stand nun in Frage, welche Voraussetzungen eine spezifischere Vorschrift iSd Art. 88 DSGVO erfüllen müsse.
Art. 88 DSGVO enthält eine sog. Öffnungsklausel. Die DSGVO erlaubt den Mitgliedstaaten der europäischen Union demnach eine nationale Vorschrift zu erlassen, die der Verarbeitung personenbezogener Beschäftigtendaten im Beschäftigungskontext dient. § 23 HDSIG und § 26 BDSG sollen eine solche nationale, spezifische Regelung sein.
Aus Sicht des Gerichtshof sei bei der Umsetzung der Öffnungsklausel in nationales Recht Art. 88 Abs. 2 DSGVO zu beachten. Demnach setzte die DSGVO der nationalen Norm eine Grenze. Sie müsse geeignete und besondere Maßnahmen zur Wahrung der menschlichen Würde, der berechtigten Interessen und der Grundrechte der betroffenen Person umfassen. Außerdem sei es erforderlich, dass der Regelungsgehalt der nationalen Norm auf „(…) den Schutz der Rechte und Freiheiten von Beschäftigten bei der Verarbeitung ihrer personenbezogene Daten im Beschäftigtenkontext abziele (…)“ (EuGH, Urteil vom 30.03.2023, C-23/21, Rn. 65).
Zusätzlich könne die spezifischere Norm nicht lediglich die Vorgaben der DSGVO wiederholen. Sie müsse eine Regelung aufstellen, die eine Konkretisierung im vorgesehenen Bereich darstelle.
Anwendbarkeit des § 23 HDSIG
Darüber hinaus war es fraglich, welcher Folge eintrete, wenn eine nationale Norm die Anforderungen der DSGVO nicht erfülle. Aus Sicht des Gerichtshof sei dies insbesondere im Hinblick auf § 23 HDSIG fraglich. Dieser setzte voraus, dass ein Verantwortlicher personenbezogene Daten zum Zwecke des Beschäftigtenverhältnisses verarbeite. Dies entspräche der Verarbeitung zur Erfüllung eines Vertrages nach Art. 6 Abs. 1 lit. b DSGVO.
Demnach sei eine Norm, die die Voraussetzungen des Art. 88 Abs. 1 und 2 DSGVO nicht erfülle nicht anzuwenden. Alternativ könne die nationale Norm lediglich eine Rechtsgrundlage nach Art. 6 Abs. 3 DSGVO darstellen. Ob dies der Fall ist, prüfte der EuGH nicht.
Fazit
Nach der Entscheidung des EuGH muss nun das VG Wiesbaden die Vorgaben des EuGH umsetzen. Für die Entscheidung ist § 26 Abs. 1 S. 1 BDSG grundsätzlich nicht relevant. Ob die Rechtsmäßigkeit dieser Norm künftig aber tangiert wird, bleibt abzuwarten.
27. März 2023
Die Europäische Kommission plant im zweiten Quartal 2023 eine Gesetzesinitiative zur Änderung der Datenschutz-Grundverordnung (DSGVO) vorzulegen. Dabei handelt es sich jedoch nicht um eine umfassende Reform der DSGVO, sondern um gezielte Änderungen, um die Zusammenarbeit und Konfliktlösung zwischen den nationalen Datenschutzbehörden der EU-Mitgliedstaaten zu verbessern, insbesondere in Fällen, die grenzüberschreitend sind.
Die geplanten Änderungen sollen insbesondere die Zusammenarbeit und den Informationsaustausch zwischen den nationalen Datenschutzbehörden der EU-Mitgliedstaaten verbessern, um grenzüberschreitende Fälle von Datenschutzverstößen effektiver zu lösen. Bisher gab es einige Schwierigkeiten bei der Koordination und Zusammenarbeit zwischen den nationalen Datenschutzbehörden, insbesondere bei komplexen grenzüberschreitenden Fällen.
Grund der Reform
Die DSGVO sieht vor, dass bei grenzüberschreitenden Datenverarbeitungen die federführende Aufsichtsbehörde alleiniger Ansprechpartner des Verantwortlichen bzw. des Auftragsverarbeiters ist. Dies bedeutet, dass Unternehmen, die personenbezogene Daten in verschiedenen EU-Ländern verarbeiten, nur einen behördlichen Ansprechpartner haben. Die federführende Aufsichtsbehörde hat das Recht, verbindliche Beschlüsse über Maßnahmen nach der DSGVO zu erlassen und muss dabei mit anderen betroffenen Aufsichtsbehörden zusammenarbeiten.
Die Zusammenarbeit zwischen den Aufsichtsbehörden ist wichtig, um sicherzustellen, dass die Durchsetzung der DSGVO grenzüberschreitend und kohärent erfolgt. Die federführende Aufsichtsbehörde muss den anderen betroffenen Aufsichtsbehörden einen Beschlussentwurf zur Stellungnahme übermitteln. Wenn eine betroffene Aufsichtsbehörde Einwände gegen den Beschlussentwurf hat, kann sie Einspruch erheben. Wenn sich die federführende Aufsichtsbehörde dem Einspruch nicht anschließt, muss der Europäische Datenschutzausschuss (EDSA) einen verbindlichen Beschluss zur Sache fassen.
In Bezug auf große Technologieunternehmen wie Meta, Google, Apple, Twitter und Microsoft, haben diese Unternehmen ihren Sitz häufig in einem Land und verarbeiten personenbezogene Daten von Nutzern in vielen verschiedenen Ländern. Die irische Datenschutzbehörde (DPC) ist in vielen Fällen federführend zuständig, da viele dieser Unternehmen ihren europäischen Hauptsitz in Irland haben. Dies hat zu Kritik geführt, dass die DPC nicht schnell genug handelt und Beschwerden zu langsam bearbeitet.
Die Reform-Pläne
Die geplanten Veränderungen der DSGVO, die von der Europäischen Kommission angestrebt werden, haben hauptsächlich Auswirkungen auf die Zusammenarbeit bei grenzüberschreitenden Angelegenheiten, insbesondere auf die Artikel 60 bis 65 der DSGVO. Die Kommission reagiert damit auf Forderungen, die der Europäische Datenschutzausschuss (EDSA) im Oktober des vergangenen Jahres an sie gerichtet hatte. Basierend auf dieser Forderungsliste könnten die folgenden Änderungen möglich sein:
Fristenregelung
Die Einführung verbindlicher Fristen soll ein wichtiges Mittel zur Verfahrensbeschleunigung sein, insbesondere im Hinblick auf die grenzüberschreitende Zusammenarbeit und Art. 60 ff. der DSGVO. Obwohl einige Fristen in der DSGVO bereits vorgesehen sind, sind für viele weitere Prozesse im Rahmen der europäischen Zusammenarbeit von Aufsichtsbehörden keine Fristen festgelegt. Der EDSA schlägt daher vor, Fristen für die Weiterleitung von Beschwerden an die federführende Aufsichtsbehörde vorzusehen und eine generelle Bearbeitungsfrist für grenzüberschreitende Fälle einzuführen, die die federführende Aufsichtsbehörde einzuhalten hätte. Es wird auch vorgeschlagen, Art. 60 Abs. 3 DSGVO anzupassen, um den Begriff “unverzüglich” zu präzisieren und die Modalitäten der Zusammenarbeit zu verbessern. Die federführende Aufsichtsbehörde soll die anderen betroffenen Aufsichtsbehörden zukünftig über den Stand des Verfahrens informieren und es soll eindeutig geregelt werden, welche Dokumente standardmäßig zwischen den Aufsichtsbehörden auszutauschen sind.
Beschwerdeverfahren
Der ESDA bemängelt außerdem Verbesserungsbedarf im Hinblick auf das Beschwerdeverfahren. Eine Harmonisierung der formalen Anforderungen für Beschwerden soll stattfinden, da in einigen Mitgliedstaaten eine Beschwerde per E-Mail möglich ist, während in anderen Mitgliedstaaten eine eigenhändige Unterschrift erforderlich ist. Wenn in einem Mitgliedstaat die formalen Anforderungen an eine Beschwerde erfüllt sind, soll die federführende Aufsichtsbehörde des anderen Mitgliedstaats die Zulässigkeit der Beschwerde nicht erneut prüfen müssen. Obwohl dies bereits den internen Richtlinien des EDSA entspricht, könnte die DSGVO dies ausdrücklich gesetzlich regeln.
Ermittlungsbefugnisse
Der ESDA schlägt Verbesserungen im Zusammenhang mit der Zuständigkeit der Datenschutzbehörden vor. Die Hauptniederlassung des Verantwortlichen bestimmt, welche Datenschutzbehörde innerhalb der EU federführend ist. Die Bestimmung der Hauptniederlassung kann jedoch kompliziert sein, da geprüft werden muss, in welchem Mitgliedstaat der Verantwortliche die Entscheidungen über die Zwecke und Mittel der Datenverarbeitung trifft. Um den Prozess der Vorprüfung zu standardisieren, schlägt der ESDA vor, die Vorprüfung und die Ermittlungsbefugnisse der Aufsichtsbehörden in der DSGVO festzulegen.
Unabhängig davon müssen sich alle Datenschutzbehörden mit Beschwerden befassen, die in ihrem Hoheitsgebiet erhoben werden. Die Untersuchung des Beschwerdegegenstands soll in angemessenem Umfang erfolgen, was jedoch unterschiedlich interpretiert werden kann. Der ESDA schlägt vor, gesetzlich geregelte Beispiele zu verwenden, um den Umfang der Untersuchung zu spezifizieren, anstatt starre Vorgaben zu Untersuchungstiefe und Dauer zu machen.
Beteiligtenrechte
Falls das Beschwerdeverfahren in Deutschland durchgeführt wird, hat der Beschwerdeführer bestimmte Rechte gemäß dem Verwaltungsverfahrensgesetz des Bundes oder der Länder. Dies beinhaltet das Recht auf Akteneinsicht und rechtliches Gehör, da er als Beteiligter des Verfahrens angesehen wird. Des Weiteren sind die Behörden laut den Verwaltungsverfahrensgesetzen dazu verpflichtet, insbesondere Betriebs- und Geschäftsgeheimnisse geheimzuhalten. Zudem müssen sie ihre schriftlichen Entscheidungen begründen.
Im Gegensatz dazu hat der Beschwerdeführer in anderen Mitgliedstaaten lediglich ein Beschwerderecht und ist nicht am weiteren Verfahren beteiligt. Daher schlägt der ESDA vor, einheitliche Beteiligtenrechte zu schaffen und auf EU-Ebene zu klären, welche Geheimhaltungspflichten gelten und welche Dokumente davon betroffen sind.
24. März 2023
Das Arbeitsgericht Oldenburg hat kürzlich ein Unternehmen dazu verurteilt, einem ehemaligen Mitarbeiter immateriellen Schadensersatz in Höhe von 10.000 Euro zu zahlen, weil es einem Auskunftsanspruch nach Art. 15 Abs. 1 DSGVO nicht nachgekommen sei (Urteil vom 09.02.2023, Az. 3 Ca 150/21). Der Fall zeigt, dass die Datenschutz-Grundverordnung (DSGVO) auch im Bereich der Arbeitsverhältnisse ein wichtiger Faktor ist.
Sachverhalt
In einem Arbeitsrechtsstreit forderte ein ehemaliger Geschäftsführer und Vertriebsleiter einer Firma für Feuerwerkskörper von seiner ehemaligen Arbeitgeberin Auskunft über seine personenbezogenen Daten. Die Arbeitgeberin verweigerte jedoch die Auskunftserteilung und legte erst im Prozess einzelne Unterlagen vor. Der Kläger machte neben dem Auskunftsersuchen auch einen Anspruch auf immateriellen Schadensersatz geltend.
Reichweite des Auskunftsanspruchs gem. Art. 15 DSGVO
Bis heute ist die Reichweite des Auskunftsanspruchs gem. Art. 15 DSGVO umstritten. Dabei stellt sich immer wieder die Frage, wie präzise die erteilten Auskünfte sein müssen.
Artikel 15 DSGVO gewährt betroffenen Personen das Recht, von einem Unternehmen oder einer Organisation Auskunft darüber zu erhalten, ob personenbezogene Daten von ihnen verarbeitet werden und wenn ja, welche Daten dies sind. Der Auskunftsanspruch gemäß Art. 15 DSGVO ist ein wichtiges Instrument, das es den Betroffenen ermöglicht, mehr Kontrolle über ihre personenbezogenen Daten zu erlangen und sicherzustellen, dass diese ordnungsgemäß verarbeitet werden. Die Reichweite des Auskunftsanspruchs gemäß Art. 15 DSGVO ist weitreichend und umfasst sowohl die Daten, die von dem Unternehmen oder der Organisation verarbeitet werden, als auch eine Reihe von anderen Informationen. Insbesondere hat die betroffene Person das Recht, Informationen über die Zwecke der Verarbeitung, die Kategorien der verarbeiteten personenbezogenen Daten, die Empfänger oder Kategorien von Empfängern, denen die personenbezogenen Daten offengelegt wurden oder werden, sowie die voraussichtliche Dauer, für die die personenbezogenen Daten gespeichert werden, zu erhalten.
Darüber hinaus hat die betroffene Person das Recht, eine Kopie der personenbezogenen Daten, die verarbeitet werden, zu erhalten. Diese Kopie muss in einem strukturierten, gängigen und maschinenlesbaren Format bereitgestellt werden. Wenn die betroffene Person dies wünscht, kann sie auch verlangen, dass die personenbezogenen Daten direkt an einen anderen Verantwortlichen übermittelt werden.
Es ist wichtig zu beachten, dass das Recht auf Auskunft nicht uneingeschränkt ist. In bestimmten Situationen kann es gerechtfertigt sein, den Auskunftsanspruch gemäß Art. 15 DSGVO einzuschränken oder auszusetzen. Beispielsweise kann dies der Fall sein, wenn die Verarbeitung personenbezogener Daten die öffentliche Sicherheit gefährdet oder das Recht auf Meinungsfreiheit und Informationsfreiheit anderer Personen beeinträchtigt.
Die Beklagte hat das Auskunftsersuchen des Klägers zurückgewiesen, da sie der Meinung war, dass der Anspruch nicht bestehe. Das Arbeitsgericht Oldenburg entschied jedoch, dass die Beklagte verpflichtet gewesen sei, das Auskunftsbegehren zu erfüllen. Der Kläger hätte das Recht auf Auskunft über sämtliche seiner bei der Beklagten verarbeiteten personenbezogenen Daten sowie zu den sich aus Artikel 15 Abs. 1 Hs. 2, Abs. 2 DSGVO ergebenden Informationen. Das Gericht ging jedoch nicht auf die Frage ein, ob der Verantwortliche auch Auskunft über Informationen erteilen müsse, die dem Betroffenen bereits bekannt sind.
Art. 82 Abs. 1 DSGVO mit präventivem Charakter
Artikel 82 DSGVO regelt das Recht auf Schadensersatz bei Verstößen gegen die DSGVO. Dieser Artikel stellt sicher, dass Betroffene bei Verletzung ihrer Datenschutzrechte einen Anspruch auf finanziellen Ausgleich haben.
Wenn ein Verantwortlicher oder ein Auftragsverarbeiter gegen die DSGVO verstößt, kann dies zu einem Schaden für den Betroffenen führen. In diesem Fall kann der Betroffene gemäß Artikel 82 DSGVO eine angemessene Entschädigung verlangen, die den erlittenen materiellen oder immateriellen Schaden ausgleicht. Dabei müssen die Umstände des Einzelfalls berücksichtigt werden, einschließlich der Art, Schwere und Dauer des Verstoßes sowie des Umfangs des erlittenen Schadens.
Das Arbeitsgericht stellte fest, dass die Beklagte gegen ihre Auskunftspflicht gemäß Art. 12 Abs. 3 DSGVO verstoßen habe, indem sie das Auskunftsbegehren des Klägers nicht innerhalb eines Monats erfüllte. Die Nichterfüllung der DSGVO-Verpflichtungen führe bereits zu einem auszugleichenden immateriellen Schaden, weshalb der Kläger nicht weiter spezifizieren müsse, welcher Schaden ihm entstanden sei. Der präventive Charakter des Schadenersatzanspruchs nach Art. 82 Abs. 1 DSGVO solle dazu beitragen, die Einhaltung der Datenschutzbestimmungen sicherzustellen.
„Das Bundesarbeitsgericht hat sich im Nachgang zu dem genannten Vorabentscheidungsersuchen in seiner Entscheidung vom 05.05.2022 (2 AZR 363/21) dahingehend geäußert, dass zugunsten der Klägerin unterstellt werden kann, dass dem Anspruch nach Art. 82 Abs. 1 DSGVO Präventionscharakter und eine Abschreckungsfunktion zukomme (BAG, Urt. v. 05.05.2022 – 2 AZR 363/21 Rn. 23).“
So hielt das ArbG in diesem Fall einen Schadensersatz von 10.000 Euro für gerechtfertigt. Anders als das Bundesarbeitsgericht (BAG), das im dortigen Fall einen Schadensersatz von 1.000 Euro für ausreichend hielt, sah das ArbG hier aufgrund des höheren Auskunftsinteresses des Klägers und des langen Zeitraums der Nichterfüllung der Auskunftspflicht einen höheren Schadensersatz als gerechtfertigt an.
Fazit
Unternehmen sollten sicherstellen, dass sie über angemessene Mechanismen verfügen, um Anfragen von Mitarbeitern nach Art. 15 DSGVO zu erfüllen, und sicherstellen, dass sie innerhalb der gesetzlich vorgeschriebenen Frist antworten.
Pages: 1 2 3 4 5 6 7 ... 33 34 
