Kategorie: DSGVO

VG Köln zum Berichtigungsanspruch aus Art. 16 S. 1 DSGVO

15. Juni 2022

Das Verwaltungsgericht (VG) Köln lehnte mit Urteil vom 25.03.2022 (Az.: 25 K 2138/19) einen Berichtigungsanspruch aus Art. 16 S. 1 DSGVO ab, da die Richtigkeit eines personenbezogenen Datums nicht nachgewiesen werden konnte.

Sachverhalt

Der Kläger erhob vor dem Verwaltungsgericht Klage gegen einen Ablehnungsbescheid der Beklagten aus dem Jahr 2019, nachdem diese ihm dadurch die Berichtigung seines Melderegisters verwehrt hatte. Der Kläger begehrte zuvor die Änderung seiner Wohnanschrift für den Zeitraum von Januar bis Oktober 1988. Dies lehnte die Beklagte mit der Begründung ab, dass anderweitige Daten nicht vorlägen, die Daten bereits archiviert seien und eine nachträgliche Änderung nicht mehr möglich sei.

Anwendung der DSGVO

Das Verwaltungsgericht stützt sich unter Bezugnahme auf ein Urteil des Bundesverwaltungsgerichts auf die Annahme, dass für die Frage des Bestehens eines materiellen Anspruchs gegen einen Rechtsträger der Behörde auf die Vornahme einer Handlung grundsätzlich die Sach- und Rechtslage zum Zeitpunkt der gerichtlichen Entscheidung maßgeblich sei. Somit sei § 12 Bundesmeldegesetz (BMG) in der Fassung vom 20. November 2019, welcher auf den § 6 Abs. 1 S. 2 BMG verweist, maßgeblich. Mit dieser Neufassung habe der Gesetzgeber klarstellen wollen, dass sich im Bereich des Melderechts der Berichtigungsanspruch unmittelbar aus Art. 16 DSGVO ergebe.

Entscheidung des Gerichts

Das Verwaltungsgericht Köln wies die Klage jedoch ab. Das Gericht war nicht ausreichend davon überzeugt, dass der Kläger die Anspruchsvoraussetzungen für die Berichtigung seiner Meldedaten gem. Art. 16 S. 1 DSGVO erfüllt. Zwar handle es sich bei der Anschrift des Klägers um ein personenbezogenes Datum, jedoch sei nicht erweislich, dass das Begehren der Änderung der Anschriften auch auf die „Berichtigung“ eines „unrichtigen“ Datums im Sinne des Artikels 16 DSGVO gerichtet sei. Das Tatbestandsmerkmal der „Unrichtigkeit“ sei ein objektives Kriterium, das nur auf Tatsachenangaben anwendbar ist. Die Berichtigung eines unrichtigen Datums „kann (…) nur dadurch erfolgen, dass das unrichtige Datum mit der Wirklichkeit in Übereinstimmung gebracht wird. Ein Berichtigungsanspruch kann sich deshalb nur dann aus Art. 16 S. 1 DSGVO ergeben, wenn feststeht, dass das von dem Verantwortlichen gespeicherte oder sonst verarbeitete Datum objektiv nicht mit der Realität übereinstimmt, und wenn zugleich feststeht, dass das von dem Betroffenen als richtig benannte Datum tatsächlich mit der Wirklichkeit übereinstimmt.“ (VG Köln, Urteil v. 25.03.2022, Az: 25 K 2138/19, Rn. 90). Das Gericht hielt es zwar für möglich, dass die eingetragenen Anschriften für den Zeitraum des Jahres 1988 unrichtig sind, jedoch war es nicht davon überzeugt, dass die Anschriften, welche eingetragen werden sollten, objektiv mit der Realität übereinstimmen und richtig sind.

Das Verwaltungsgericht verdeutlicht mit seinem Urteil, dass es für die gerichtliche Geltendmachung des Berichtigungsanspruchs aus Art. 16 S. 1 DSGVO nicht ausreicht nachzuweisen, dass Daten unrichtig sind oder unrichtige Daten verarbeitet werden. Zusätzlich ist es unerlässlich nachzuweisen, dass auch das als richtig benannte Datum, welches das Unrichtige ersetzen soll, objektiv mit der Realität übereinstimmt und der Wahrheit entspricht.

LG Essen und LG Paderborn urteilen zu Auskunftsrecht aus Art. 15 DSGVO

13. Juni 2022

Das Landgericht (LG) Essen lehnte mit Urteil vom 23.02.2022 (AZ: 18 O 204/21) einen Auskunftsanspruch aus Art. 15 DSGVO unter anderem wegen Rechtsmissbrauchs ab.

Vorausgegangen war ein Rechtsstreit zwischen einem privatversicherten Mann und seiner Versicherung. Die Versicherung passte den monatlich zu zahlenden Betrag mehrmals einseitig an. Dabei sandte sie jeweils Mitteilungs- und Informationsschreiben an den Mann. Dieser ging davon aus, dass die Anpassungen unwirksam waren und forderte sein Geld zurück. Er gab allerdings an, die Versicherungsunterlagen zur Bezifferung der Ansprüche nicht mehr zu haben. Er erhob Klage und machte sowohl Auskunft bezüglich der Unterlagen, als auch Rückzahlungsansprüche geltend.

Das LG Essen wies die Klage jedoch ab. Auskunftsansprüche seien keine ersichtlich. Der Anspruch aus Art. 15 DSGVO scheitere bereits daran, dass es sich bei dem standardisierten Begründungsschreiben, mit dem der Beitrag erhöht wurde, nicht um personenbezogene Daten handle. Außerdem habe die Beklagte ein Weigerungsrecht aus Art. 12 Abs. 5 Satz 2 lit. b) DSGVO, hier stünde dem Antrag des Klägers der Einwand des Rechtsmissbrauchs entgegen. Der Kläger habe hier kein schützenswertes Eigeninteresse. Denn Sinn und Zweck des in Art. 15 DSGVO normierten Auskunftsrechts sei es, der betroffenen Person problemlos und in angemessenen Abständen zu ermöglichen, sich der Verarbeitung der sie betreffenden personenbezogenen Daten bewusst zu werden und die Rechtmäßigkeit dieser Verarbeitung überprüfen zu können. Dies liegt in diesem Fall nicht vor: „Um ein solches Bewusstwerden zum Zweck einer Überprüfung der datenschutzrechtlichen Zulässigkeit der Verarbeitung personenbezogener Daten geht es dem Kläger nach seinem eigenen Klagevorbringen hingegen nicht. Der Kläger macht keines der vorgenannten Interessen geltend. […] Es geht ihm mithin einzig allein um die Überprüfung etwaiger geldwerter Ansprüche gegen die Beklagte. Eine solche Vorgehensweise ist vom Schutzzweck der DSGVO aber nicht umfasst.“

In einer sehr ähnlichen Sache hatte das Landgericht (LG) Paderborn am 15.12.2021 (AZ: 4 O 275/21) ebenfalls einen Anspruch nach Art. 15 DSGVO verneint. Auch hier verlangte ein Versicherungsnehmer von seiner privaten Krankenversicherung Auskünfte, um nach Beitragserhöhungen eine Rückzahlungsforderung geltend machen zu können. In diesem Fall wertete das Gericht die Beitragsanpassungsschreiben allerdings als personenbezogene Daten. Trotzdem griff Art. 15 DSGVO nicht, denn der Versicherung stand auch hier der Eingriff des Rechtsmissbrauches zu. Das Gericht führte dazu aus, dem Kläger ginge es „ausschließlich darum, sich auf möglichst einfache und bequeme Art gebündelt die Informationen zu beschaffen, die er benötigt, um eine bezifferte Leistungsklage auf Rückzahlung möglicherweise rechtsgrundlos gezahlter Beiträge vorbereiten zu können“.

Auch das Oberlandesgericht (OLG) Nürnberg hatte vor kurzem sein Urteil zu rechtsmissbräuchlichen Auskunftsansprüchen ähnlich begründet.

Bundesgerichtshof: Unerwünschte Inbox-Werbung ist rechtswidrig

10. Juni 2022

E-Mail-Dienste wie T-Online dürfen Nutzern kostenfreier Basisversionen nicht mehr ohne Einwilligung Werbung in der Inbox anzeigen. Dies hat der Bundesgerichtshof (BGH) in seinem nun veröffentlichten Urteil vom 13. Januar diesen Jahres entschieden (Az.: I ZR 25/19). 

In dem Streit ging es um eine Werbemaßnahme des Stromlieferanten Eprimo aus der Eon-Gruppe. Dieser hatte in Zusammenarbeit mit einer Agentur Werbenachrichten in E-Mail-Postfächer von Nutzern des E-Mail-Dienstes T-Online geschaltet. 

Vergleichbar mit Spam-E-Mails 

Kennzeichnend für Inbox-Werbung sei, dass sie in der Inbox – also im für private Nachrichten gedachten Bereich – angezeigt wird. Der Zugang zu den eigentlichen E-Mails sei so ähnlich versperrt wie durch Spam-E-Mails. Inbox-Werbung sei bei vielen webbasierten E-Mail-Diensten gängige Praxis. 

Der Bundesgerichtshof entschied über den Streit, nachdem er dem Europäischen Gerichtshof (EuGH) einige Fragen zur Interpretation vorgelegt hatte. Der EuGH entschied auf die Vorlage hin im November, dass Zweck der E-Privacy-Richtlinie sei, Nutzer gegen die Verletzung ihrer Privatsphäre durch unerbetene Nachrichten für Zwecke der Direktwerbung zu schützen. Inbox-Werbung behindere den Zugang zu den eigentlichen E-Mails, ähnlich wie Spam. Das Versenden von Werbenachrichten in dieser Form stelle zwar keine E-Mail dar, aus Sicht des Empfängers sei die Werbenachricht von Spam-E-Mails aber kaum zu unterscheiden. Daher solle ein Opt-in zwingend erforderlich sein. 

Allgemeine Einwilligung nicht wirksam 

Inbox-Werbung ist deshalb künftig nur dann rechtmäßig, wenn der Nutzer zuvor informiert wurde und ausdrücklich in sie eingewilligt hat. Dafür stellen die Karlsruher Richter hohe Anforderungen auf. Es reiche nicht aus, dass der Nutzer eine allgemeine Einwilligung in Werbung erteilt hat, um den Dienst kostenlos nutzen zu können. Der Nutzer müsse vor der Einwilligung vielmehr über die Umstände derartiger Werbung aufgeklärt werden. Insbesondere müsse der Dienst darauf hinweisen, dass Werbenachrichten in der Liste der empfangenen privaten E-Mails angezeigt werden. 

Einige E-Mail-Anbieter wie GMX und web.de reagierten unmittelbar auf das Urteil und passten ihre Einwilligungserklärungen an. Hier kann der Nutzer nun auch in Inbox-Werbung einwilligen – oder dies verweigern.

EU-Kommission veröffentlicht Frage-Antwort-Katalog zu Standardvertragsklauseln

Am 04. Juni letzten Jahres hat die EU-Kommission neue Standardvertragsklauseln für Drittlands-Übermittlungen und zur Auftragsverarbeitung beschlossen. Durch die Neuerungen sollte das Datenschutzniveau des Schrems-II-Urteils und der Europäischen Datenschutzgrundverordnung (DSGVO) sichergestellt werden.

Nun, knapp ein Jahr später, hat die EU-Kommission einen Frage-Antwort-Katalog zu diesen Standardvertragsklauseln veröffentlicht. Dieser wurde auf Basis von Rückmeldungen erstellt und soll die praktische Anwendung der Klauseln erleichtern.

Der Katalog enthält insgesamt 44 Fragen und Antworten zu verschiedenen Unterkategorien, wie z.B. Betroffenenrechte und Änderungen der involvierten Parteien. Der Katalog beantwortet dabei auch grundsätzliche Fragen wie: „Welche Vorteile haben die Standardvertragsklauseln?“ und „Kann der Text der Standardvertragsklauseln geändert werden?“. Für einige Fragen werden auch Beispiele angeführt, sodass Sachverhalte anschaulicher werden. Insgesamt ist der Katalog nicht nur für Datenschutzexperten, sondern auch für interessierte Laien gedacht.

Zum jetzigen Zeitpunkt ist der Katalog nur auf Englisch einsehbar. Der Katalog soll dynamisch bleiben und stets um Fragen und Antworten ergänzt werden.

LG Berlin: Bloße Adresse stellt keinen hinreichenden Personenbezug i.S.d DSGVO dar

7. Juni 2022

Das Landgericht (LG) Berlin hat am 27.01.2022 (AZ 26 O 177/21) entschieden, dass die bloße Adresse ohne Bezugnahme auf eine Person keinen hinreichenden Personenbezug darstellt.

Die Klägerin machte zuvor Trennungs- und Kindesunterhalt gegen ihren Mann vor dem Amtsgericht (AG) Pankow/Weißensee geltend. Im Rahmen dieses Verfahrens ‚googelte‘ die Richterin die Adresse der Klägerin, um sich einen Überblick über die Wohnverhältnisse zu verschaffen. In einem Beschluss des AG heißt es dann: „[…] bei einer bei Google Maps ersichtlichen Grundfläche des Doppelhauses […]“.

Die Klägerin hatte in die Recherche mittels Google Maps nicht eingewilligt und sah darin eine Rechtsverletzung. Bei ihrer Wohnadresse handele es sich um personenbezogene Daten. Durch die Nutzung des Suchdienstes habe eine Datenübermittlung in die USA und somit in ein Drittland stattgefunden. Sie begehrt Schadensersatz i.H.v. 2.000 EUR und beruft sich auf Art. 82 DSGVO.

Diesen Anspruch wies das LG Berlin nun ab. Einen Verstoß gegen die DSGVO sah das Gericht nicht, sodass ein Schadensersatzanspruch nicht in Betracht käme. Im Ergebnis läge weder eine rechtswidrige Verarbeitung von personenbezogenen Daten nach Art. 5 DSGVO vor, noch eine Übermittlung in ein Drittland nach Art. 44 DSGVO. Dem Gericht fehlte es vor allem an einem Personenbezug i.S.d. Art. 4 DSGVO:

„Personenbezogene Daten“ sind gemäß Art. 4 Nr. 1 DSGVO alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann. In der bloßen Eingabe einer (puren) Adresse ist noch kein personenbezogenes Datum zu erblicken. Denn die bloße Adresse ohne Bezugnahme auf eine Person – sei es durch namentliche Nennung, sei es durch die Bezugnahme auf ein diese Adresse betreffendes Eigentums-, Besitz- oder Mietverhältnis o.ä. – stellt keinen hinreichenden Personenbezug dar.“

Auch sei kein Bezug zwischen Verfahrensbeteiligung/-stellung einer Person und der eingegebenen Adresse hergestellt worden. Vorschriften aus der DSGVO seien also nicht betroffen.

Weiterhin konnte das LG Berlin eine Amtspflichtverletzung der Richterin nicht erkennen. Die Klage wurde vollumfänglich abgewiesen.

Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt vor ‚Spoofing‘

3. Juni 2022

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt mit einer Meldung vom 02.06.2022 vor ‚Spoofing‘-Angriffen, die mit der Rufnummer des BSI erfolgen sollen. Verwendet werden dabei zum Beispiel die Nummern +49 228 9582 44 oder 0228 9582. Das BSI warnt eindringlich davor, Anrufenden persönliche Daten mitzuteilen oder Aufforderungen nachzukommen.

Das ‚Spoofing‘ ist, ähnlich wie das ‚Smishing‘ ein bekanntes Betrugskonzept. Der Begriff (auf deutsch übersetzt etwa: Manipulation, Verschleierung, Vortäuschung) umfasst Handlungen, bei denen sich Kriminelle am Telefon oder per E-Mail als jemand anders ausgeben, um so direkt oder indirekt an Daten der Angerufenen zu gelangen. Meist treten die Anrufer dabei als Vertreter oder Mitarbeiter einer Behörde, eines Unternehmens oder anderer seriöser Institutionen (z.B. Banken oder Vereine) auf. Die Angerufenen werden dann entweder im Gespräch selbst gebeten, gewisse Daten herauszugeben oder werden auf eine entsprechende Website verwiesen. Bei Mails sind häufig Trojaner und Viren im Anhang in Dokumenten versteckt. Meist sind die Angreifer auf die Herausgabe von Kontodaten oder Bargeld aus.

Perfide an der Betrugsmasche ist, dass bei solchen Anrufen meist eine falsche Rufnummer übermittelt und angezeigt wird (sog. Call-ID-Spoofing). So kann dann z.B. die Nummer einer Behörde den Angerufenen angezeigt werden, obwohl diese mit dem Anruf nichts zu tun hat. Dadurch soll zum einen der Eindruck von Seriösität und Vertrauen erweckt werden, zum anderen soll so die Identität der Anrufer verschleiert werden. Vorgekommen ist in der Vergangenheit z.B. schon, dass die 110 als Anrufer angezeigt wurde, obwohl dies eine reine Einwahlnummer ist und die Polizei von dieser Nummer aus niemanden anrufen kann. Bei Mails wird der Absender manipuliert, sodass es dem Empfänger scheint, als habe eine offizielle Stelle oder ein Bekannter ihn kontaktiert. Weitere Informationen zur Manipulation von Rufnummern sind auf der Website der Bundesnetzagentur zu finden.

Verhaltenstipps: Sollten Sie einen Anruf oder eine Mail bekommen, bei denen Sie sich nicht sicher sind, ob ein ‚Spoofing‘-Angriff vorliegt, sollten sie zunächst die Kommunikation einstellen, d.h. auflegen oder nicht mehr antworten, den Kontakt ggf. blockieren. Unbekannte Links oder Anhänge sollten sie niemals öffnen. Danach sollten Sie die Behörde, das Unternehmen oder die Institution, von der der Anruf/ die Mail angeblich ausging über einen offiziellen Weg kontaktieren und sich nach der Authentizität der Anfrage erkundigen. Geben Sie niemals persönliche Daten raus, bevor Sie bestätigt haben, dass es sich nicht um eine kriminelle Anfrage handelt!
Falls Sie in diesem konkreten Fall einen Anruf des angeblichen BSI bereits engegengenommen haben, sollten Sie das Service-Center des BSI mit der Rufnummer 0800 274 1000 kontaktieren.

Twitter: Strafe in Millionenhöhe, wegen Nutzertäuschung

2. Juni 2022

Twitter hatte jahrelang verschwiegen, dass aus Sicherheitsgründen hinterlegte Handynummern und E-Mail-Adressen auch zu Werbezwecken verwendet worden waren. Das Unternehmen sprach von einem „Versehen“.

In der veröffentlichten Klageschrift von letzter Woche verwiesen die Handelsbehörde FTC und das Justizministerium darauf, dass Twitter die Nutzer um ihre Telefonnummern und E-Mail-Adressen mit der Begründung gebeten hatte, man könne damit ihre Accounts besser absichern. Online-Dienste greifen auf E-Mails oder Nachrichten an Handy-Nummern zum Beispiel zum Zwecke der Anmeldung auf neuen Geräten zurück sowie bei vergessenen Passwörtern oder um gesperrte Profile wieder freizuschalten.

Twitter habe die Daten aber auch verwendet, um den Nutzern personalisierte Werbung anzuzeigen, hieß es in der Klage. Damit seien die für andere Zwecke erhobenen Kontaktinformationen missbraucht worden. Twitter habe verschwiegen, dass es für eine Zwei-Faktor-Authentifizierung hinterlegte Handynummern und E-Mail-Adressen dazu verwendet habe, Unternehmen dabei zu helfen, personalisierte Werbung zu schalten. Zwischen Mai 2013 und September 2019 hätten mehr als 140 Millionen Nutzer ihre Telefonnummern oder E-Mail-Adressen mit Twitter geteilt, betonte die US-Regierung. Sie sah in der Vorgehensweise des Dienstes einen Verstoß gegen eine Einigung aus dem Jahr 2011, in welcher sich Twitter auch zu Transparenz beim Datenschutz verpflichtet hatte.

Twitter räumte die Vorwürfe in einer Stellungnahme ein. „Einige der zu Sicherheitszwecken bereitgestellten E-Mail-Adressen und Telefonnummern konnten versehentlich für Werbezwecke verwendet werden“, erklärte der Leiter der Datenschutzabteilung, Damien Kieran.

Mit 150 Millionen Dollar (140 Millionen Euro) kommt Twitter allerdings deutlich günstiger davon als Facebook im Jahr 2019. Damals warfen US-Behörden dem weltgrößten Online-Netzwerk ebenfalls vor, frühere Datenschutz-Verpflichtungen verletzt zu haben. Facebook zahlte fünf Milliarden Dollar und stimmte einer strikteren Datenschutz-Aufsicht zu. Auch Twitter muss nun unter anderem den Datenschutz von durch die FTC benannten Experten prüfen lassen und der Behörde Zwischenfälle binnen 30 Tagen melden. Außerdem soll Twitter ein Verfahren zur sicheren Anmeldung anbieten, das ohne eine Telefonnummer funktioniert.

OLG Nürnberg: rechtsmissbräuchlicher Auskunftsanspruch

Das OLG Nürnberg entschied in seinem Urteil vom 14.03.2022 (Az. 8 U 2907/21), dass der durch die DSGVO garantierte Auskunftsanspruch nach Art. 15 DSGVO nicht verwendet werden dürfe, um die Begründetheit von Rechtsansprüchen zu überprüfen. Dies stelle eine dem Sinn und Zweck der DSGVO widersprechende rechtsmissbräuchliche Anwendung des Auskunftsanspruchs dar.

Der Rechtsstreit

Hintergrund der Entscheidung war ein Rechtsstreit zwischen einem Versicherungsnehmer und seiner privaten Krankenversicherung. Es war fraglich, ob die erfolgten Beitragserhöhungen wirksam waren. Zusätzlich wollte der Versicherungsnehmer Auskunft darüber erhalten, ob und wann in den Jahren 2013 bis 2016 Beitragsanpassungen erfolgt waren. Neben der Auskunft verlangte der Versicherungsnehmer zusätzlich, Dokumente zu den Beitragsanpassungen zu erhalten.  

Kein Auskunftsanspruch nach Art. 15 DSGVO

Um seinen Anspruch auf Informationsverschaffung durchzusetzen, strengte der Kläger u.a. Art. 15 DSGVO an. Nach Art. 15 Abs. 1 DSGVO kann eine betroffene Person grundsätzlich Auskunft darüber verlangen, ob und welche sie betreffende personenbezogenen Daten ein Verantwortlicher verarbeitet.  

Allerdings gilt dieser Auskunftsanspruch nicht uneingeschränkt. Nach Art. 12 Abs. 5 S. 2 lit. b DSGVO kann der Verantwortliche die Auskunft verweigern, wenn der Anspruch offensichtlich unbegründet ist oder exzessiv ausgeübt wird.

Das OLG Nürnberg entschied nun, dass neben der exzessiven Ausübung weitere Missbrauchstatbestände denkbar sind. Die Begründung dafür war aus Sicht des OLG Nürnberg der Wortlaut der Norm. Mit dem Wort „insbesondere“ werde impliziert, dass die häufige Antragstellung nur einer von mehreren Verweigerungsgründen sei. Denkbar seien demnach weitere rechtsmissbräuchliche Fälle der Anspruchsausübung.  

Im vorliegenden Fall sei rechtsmissbräuchlich gehandelt worden, weil der Antrag nicht vom Schutzzweck der DSGVO umfasst sei. Laut Gericht könne eine betroffene Person ihr Auskunftsrecht ausüben, um „(…) sich der Verarbeitung der sie betreffenden personenbezogenen Daten bewusst zu werden und die Rechtmäßigkeit dieser Verarbeitung überprüfen zu können.“ (OLG Nürnberg, Urteil vom 14.03 2022, 8 U 2907/21, Rn. 28). Dies mache auch der Erwägungsgrund 63 DSGVO deutlich. Hier gehe es dem Kläger jedoch gerade nicht darum die Rechtmäßigkeit der Datenverarbeitung zu überprüfen. Vielmehr sei es „Sinn und Zweck der (…) begehrten Auskunftserteilung (…) ausschließlich die Überprüfung etwaiger von der Beklagten vorgenommener Prämienanpassungen wegen möglicher formeller Mängel (…)“ vornehmen zu können. (OLG Nürnberg, Urteil vom 14.03 2022, 8 U 2907/21, Rn. 28)

Bundesbeauftragter für den Datenschutz und die Informationsfreiheit (BfDI) äußert sich zu Online-Fragebogen des Zensus 2022

27. Mai 2022

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), Prof. Ulrich Kelber, hat sich vergangene Woche zum Zensus 2022 geäußert. Grund dafür war, dass der BfDI Mitte Mai Kenntnis von der Möglichkeit einer Verletzung des Schutzes personenbezogener Daten durch den Online-Fragebogen zum Zensus 2022 erhalten hatte. Konkret geht es dabei um den Online-Fragebogen zur Gebäude- und Wohnungszählung des Zensus 2022. Für die Erhebung dieser Daten wird teilweise Technik des US-amerikanischen IT-Dienstleisters Cloudflare verwendet. Es wurde befürchtet, dass die in die Fragebögen eingetragenen Daten an Cloudflare übermittelt würden. Hierzu gab der BfDI jetzt Entwarnung und bestätigte, dass „zu keinem Zeitpunkt eine Gefahr für die in dem Fragebogen eingegebenen personenbezogenen Daten bestanden hat“. An Cloudflare übertragen wurden allerdings Metadaten (z. B. Datum und Uhrzeit des Abrufs, übertragene Datenmenge, Herkunftsverweise und IP-Adresse). Ob dies rechtmäßig war, wird momentan noch überprüft. Vorsichtshalber wird Cloudflare für die Fragebögen erstmal nicht mehr eingesetzt, sodass auch keine Metadaten übertragen werden.

Im Zusammenhang mit dem derzeit stattfinden Zensus ergeben sich einige weitere Fragen:

Was genau ist der Zensus 2022?

Beim Zensus handelt es sich um eine Volkszählung. Dabei wird nicht nur die Menge der Bevölkerung erfasst, sondern auch stichprobenartig weitere Daten von den Befragten gesammelt. Der Zensus 2022 findet von Mitte Mai bis Mitte August statt und bildet dann für die nächsten zehn Jahre die Grundlage für amtliche Statistiken und darauf aufbauende Planungen, wie u.a. Bauprojekte. Auch z.B. Wahlkreise werden so eingeteilt. Die Befragten werden per Zufall ausgesucht. Wird man als Befragter ausgewählt, ist die Teilnahme am Zensus verpflichtend. Rechtliche Grundlage ist das Zensusgesetzes 2022 (ZensG 2022).

Welche Daten werden wie beim Zensus erhoben?

Befragt werden ca. 10 % der Bevölkerung in Deutschland zu Fragen wie u.a. Alter, Geschlecht, Staatsangehörigkeit, Wohnsituation, Beruf und Einkommen. Die Befragten werden persönlich durch InterviewerInnen bei ihnen zu Hause befragt und sollen zusätzlich für die Gebäude- und Wohnungszählung Online-Fragebögen nutzen.

Wie wird der Datenschutz gewährleistet?

Verwendet werden nur die Daten, die für den Zensus relevant sind. Diese werden anonym ausgewertet. Alle anderen personenbezogenen Daten (z.B. der Name des Befragten) werden gelöscht. Es werden keine Daten an andere staatliche Stellen wie Meldeämter, Finanzämter oder die Polizei weitergegeben. Die InterviewerInnen werden außerdem zur Geheimhaltung verpflichtet. Bei der Übermittlung von Daten über die Online-Fragebögen werden diese Daten verschlüsselt.

Weitere Fragen rund um den Datenschutz und die Informationsfreiheit werden umfangreich auf einer extra eingerichteten Website des Zensus beantwortet.

Falls Sie als Befragter ausgewählt wurden: Bitte achten Sie darauf, dass InterviewerInnen ihre Befragung immer ankündigen und nicht ohne eine Vorankündigung bei Ihnen zu Hause erscheinen werden. Sie können ihr Amt außerdem mit einem speziellen Ausweis nachweisen. Achten Sie darauf, dass Sie Ihre Daten nicht falschen InterviewerInnen mitteilen.

AG Pankow: Auskunftsanspruch aus Art. 15 DSGVO kann wegen Unzumutbarkeit verweigert werden

Das AG Pankow hat sich mit Urteil vom 28.03.2022 (AZ 4 C 199/21) zur Unzumutbarkeit des Auskunftsanspruches aus Art. 15 DSGVO geäußert. Art. 15 DSGVO gewährt den Betroffenen einen Anspruch, von dem Verantwortlichen zu erfahren, ob und welche Daten dieser über ihn verarbeitet.

Im vorliegenden Sachverhalt war die Beklagte ein Beförderungsunternehmen, das u.a. S-Bahnen betreibt. In einigen S-Bahnen des Unternehmens findet eine Videoaufzeichnung der Zuginnenräume bei Fahrbetrieb statt. Diese Aufzeichnungen werden für 48 Stunden gespeichert und danach gelöscht.

Der spätere Kläger fuhr im April 2021 mit einer dieser S-Bahnen. Im Anschluss bat er das Beförderungsunternehmen um Herausgabe der ihn betreffenden Videoinformationen und forderte die Beklagte zugleich auf, die ihn betreffenden Daten nicht innerhalb der 48 Stunden zu löschen. Sein Auskunftsanspruch stütze er auf Art. 15 DSGVO. Das Beförderungsunternehmen löschte die Aufzeichnungen aber alle wie gehabt und teilte dies dem Kläger mit. Eine Auskunft wurde gegenüber dem Kläger abgelehnt. Der Kläger sah dies als Datenschutzverstoß an und erhob Klage, mit der er nach Art. 82 DSGVO Schmerzensgeld in Höhe von 350,00 EUR begehrte.

Diese Klage hat das AG Pankow nun abgelehnt. Das Gericht erklärte, der Kläger habe keinerlei Ansprüche auf eine Zahlung von Schmerzensgeld nach Art. 82 Abs. 1 DSGVO. Dies setze einen Verstoß gegen die DSGVO voraus und ein solcher sei hier nicht ersichtlich. Insbesondere habe die Beklagte mit der Verweigerung der Auskunft nicht gegen Art. 15 DSGVO verstoßen. Unabhängig davon, ob der Kläger überhaupt von einer der Kameras erfasst wurde, bestehe hier eine Unzumutbarkeit nach § 275 Abs. 2 BGB bezüglich der Auskunft. Danach kann der Schuldner eine Leistung verweigern, wenn sie einen solchen Aufwand erfordert, der unter Beachtung des Schuldverhältnisses und dem Gebot von Treu und Glauben, in einem groben Missverhältnis zu dem Leistungsinteresse des Klägers steht. Ein solch grobes Missverhältnis sah das Gericht als gegeben an. Dies insbesondere deshalb, da der Kläger sich bereits des „ob, wie und was der Datenverarbeitung bewusst“ war und er genau Kenntnis davon hatte, „dass und in welchem Umfang personenbezogene Daten“ von ihm erhoben werden. Damit sei der Normzweck des Art. 15 DSGVO zu großen Teilen schon erfüllt gewesen. Denn dieser diene u.a. dazu, einen Überblick über verarbeitete personenbezogene Daten zu erhalten, die länger in der Vergangenheit zurückliegen oder bei den Daten zu unterschiedlichen Anlässen verarbeitet wurden. Über Verarbeitungszweck, Dauer der Verarbeitung und sein Beschwerderecht wurde der Kläger aber bereits informiert. Deshalb fasst das Gericht zusammen: „Welches darüber hinausgehende Interesse der Kläger an der konkreten Gestalt der Videoaufzeichnung hat, hat er nicht hinreichend dargelegt und erschließt sich nicht. Denn für die Überprüfung der Rechtmäßigkeit der Videoaufzeichnung als einen wesentlichen Zweck von Art. 15 DSGVO bedarf der Kläger der konkreten Gestalt der Videoaufzeichnung nicht.“.

Berücksichtigt wurde hier auch, dass die Verhinderung der automatischen Löschung und der anschließenden Auskunft für die Beklagte einen erheblichen Aufwand an Zeit, Kosten und Arbeitskraft bedeutet hätte. Dass ein solch hoher Aufwand einem Auskunftsbegehren entgegenstehen kann, ist europarechtlich anerkannt (EuGH, Urteil v. 19.10.2016, C 582/14). Die Beklagte hätte in diesem Fall sogar den Kläger zunächst persönlich auf dem Video identifizieren müssen, da sie keine Software zur Gesichtserkennung hat. Auch das Vorliegen eines Schadens beim Kläger sah das Gericht nicht.

1 2 3 26