Kategorie: DSGVO
30. Dezember 2021
Seit Anbeginn der Coronapandemie wurde vielfach darüber diskutiert, ob und wie vonseiten der Arbeitgeber Gesundheitsdaten verarbeitet werden dürfen. Seit der nun bestehenden Präventionsmöglichkeit durch einen Impfschutz, konkretisiert sich die Diskussion hin zur Abfrage des Impfstatus durch den Arbeitgeber im Betrieb.
1. Verarbeitung von Gesundheitsdaten im Betrieb
Die Verarbeitung von Gesundheitsdaten im Beschäftigtenverhältnis kann mit Blick auf die arbeitgeberseitige Fürsorgepflicht gemäß §§ 611 a, 241 II BGB und nach § 167 II SGB IX geboten und erforderlich sein. Ferner ist für Beschäftigte eine Verpflichtung vorgesehen, welche besagt, dass diese bei „begründeter Veranlassung“ zu einer ärztlichen Untersuchung der Arbeitsfähigkeit verpflichtet werden können.
2. Besondere Kategorien personenbezogener Daten nach der DSGVO
Art. 9 Abs. 1 DSGVO stuft Gesundheitsdaten als besondere Kategorie personenbezogener Daten und damit als besonders schützenswert ein. Art. 9 Abs. 1 DSGVO normiert für diese sensiblen Daten ein restriktives Verarbeitungsverbot, wonach diese nur in den abschließend geregelten Ausnahmefällen des Art. 9 Abs. 2 DSGVO verarbeitet werden dürfen. Bei der Verarbeitung von Gesundheitsdaten im Betrieb ist stets eine besondere Vorsicht geboten, da diese oftmals das Risiko mit sich bringt, dass einmal zugänglich gemachte Informationen zur Begründung einer negativen Gesundheitsprognose im Rahmen einer krankheitsbedingten Kündigung zweckentfremdend genutzt werden können.
3. Präventionsmaßnahmen während der Pandemie
Den Arbeitgebern standen mehrere optionale Präventionsmaßnahmen zur Verfügung. So hatten zu Beginn der Pandemie Arbeitgeber gegenüber den Beschäftigten ein Fragerecht bei Rückkehr aus dem Urlaub hinsichtlich des Aufenthaltorts und, ob es sich bei diesem um ein Risikogebiet handelte. Außerdem stand dem Arbeitgeber auch zu, von dem Beschäftigten die Information zu erlangen, ob dieser in einer ebenfalls näher durch das RKI beschriebenen Weise, in direktem und ansteckungsrelevanten Kontakt mit einer infizierten Person stand. Ferner wurde auch über die Anwendung von Wärmebildkameras diskutiert, mit Hilfe derer man die Körpertemperatur eines Beschäftigten ermitteln wollte. Jedoch hielt die DSK den Einsatz vor dem Hintergrund des Erforderlichkeitsvorbehalts überwiegend für ungeeignet, da „eine erhöhte Körpertemperatur nicht zwangsläufig als symptomatisch für eine SARS-CoV-2-Infektion angesehen werden kann“.
4. Verarbeitung des Impfstatus im Betrieb
Grundrechte wurden in der Krisenzeit eingeschränkt und auch vorbehaltslos gewährleistete Grundrechte fanden im kollidierenden Verfassungsrecht eine Schranke. Diese Beschränkungen finden ihre Grundlage aber nicht in betrieblichen Regelungen oder Weisungen der Arbeitgeberseite, sondern bedürfen einer normklaren gesetzlichen Rechtsgrundlage, etwa durch den Bundesgesetzgeber im IfSG.
a. Rechtsgrundlage für Datenverarbeitung
Im Zuge der Entwicklung von Impfstoffen wurde die Debatte darüber, inwiefern der Impfstatus im Beschäftigtenkontext erhoben und verarbeitet, insbesondere gespeichert werden darf, immer lauter. Letztendlich hat sich ein gewisser Konsens dahingehend gebildet, dass eine Verarbeitung des Impfstatus an sich ausgeschlossen ist und nur in besonders vulnerablen Branchen, namentlich bei Heil-/Pflegeberufen erforderlich ist. Hintergrund ist auch, dass zumindest nach dem Leitbild des Gesetzgebers in §§ 23, 23 a des Infektionsschutzgesetzes eine Befugnisnorm für dort näher bezeichnete Arbeitgeber der Heil- und Pflegebranche normiert ist, den Impfstatus der Beschäftigten zu verarbeiten. Darüber hinaus bestehen in den deutschen Ländern Sonderregelungen, in Baden-Württemberg etwa die „CoronaVO Krankenhäuser und Pflegeeinrichtungen“, welche ebenfalls nähere Regelungen zur Abfrage des Immunisierungsstatus enthalten. Eine generelle Verarbeitungsgrundlage für die Abfrage des Impfstatus durch den Arbeitgeber ist bisher gesetzlich jedenfalls nicht normiert.
b. Lohnfortzahlung nach § 56 I IfSG
Auf Grund des jüngsten Beschlusses der Gesundheitsministerkonferenz vom 22.9.2021 wird zunehmend diskutiert, ob zumindest in den Fällen, in denen Beschäftigte gegenüber ihrem Arbeitgeber einen Anspruch auf Geldentschädigung nach § 56 I IfSG geltend machen, eine Abfrage des Impfstatus zulässig erfolgen kann. Kommt es zu einer so genannten Absonderungsverpflichtung eines Beschäftigten und zahlt der Arbeitgeber den Lohn des Beschäftigten weiter, so kann er sich den für die Dauer dieser Absonderung ansonsten entstandenen Verdienstausfall bei der zuständigen Behörde erstatten lassen. Der Arbeitgeber geht insoweit in Vorleistung und übernimmt die Auszahlung zunächst „stellvertretend als Zahlstelle für die zuständige Behörde“. Zu einer derartigen Erstattung kommt es jedoch nicht in Fällen, in denen die Quarantäne durch „Inanspruchnahme einer Schutzimpfung“ hätte vermieden werden können. Hierzu wird nun vertreten, dass in diesen Konstellationen die Abfrage und Nutzung des Impfstatus in Einklang mit 26 III BDSG, Art. 9 II Buchst. b DS-GVO erfolgt.
c. Keine Auskunftspflicht des Beschäftigten
Der Arbeitgeber darf den Impfstatus des Beschäftigten zwar durchaus erfragen, wenn er „stellvertretend“ die Entschädigung nach § 56 I IfSG für die zuständige Behörde ausbezahlt. Allerdings trifft den Beschäftigten insoweit keine Verpflichtung, dem Arbeitgeber den Impfstatus oder andere Gesundheitsdaten, etwa chronische Vorerkrankungen oder Umstände wie eine Schwangerschaft, zu offenbaren. Eine solche Verpflichtung ergibt sich weder aus dem IfSG noch aus dem BDSG, als grundrechtsrelevante und damit wesentliche Pflicht des Beschäftigten hätte insoweit eine normenklare, eindeutige Gesetzesgrundlage geschaffen werden müssen. Auch lässt sich eine vertragliche Pflicht des Beschäftigten, den Arbeitgeber im Rahmen seiner Bemühungen um eine Erstattung der verauslagten Lohnkosten zu unterstützen schon deswegen nicht begründen, weil mit Blick auf die Sensibilität der hierzu benötigten Daten eine solche Verpflichtung ihm nicht zumutbar wäre. Somit ist vielmehr von einer bloßen Obliegenheit des Beschäftigten auszugehen, wonach dieser ohne Auskunftserteilung zwar keine Rechtspflicht verletzt, aber möglicherweise tatsächliche Nachteile (wie eine Beendigung der Lohnweiterzahlung) zu erwarten hätte.
Fazit
Hinzuweisen ist hierbei noch auf den § 28b Abs. 1 IfSG. Nach dem § 28b Abs.1 IfSG dürfen Arbeitgeber und Beschäftigte in Arbeitsstätten, in denen physische Kontakte von Arbeitgebern und Beschäftigten untereinander oder zu Dritten nicht ausgeschlossen werden können, nur betreten, wenn sie geimpfte, genesene oder getestete Personen sind und einen Impf-, Genesenen- oder Testnachweis mit sich führen, zur Kontrolle verfügbar halten oder bei dem Arbeitgeber hinterlegt haben.
Die Debatte um die Geltendmachung der Entschädigungsansprüche nach § 56 IfSG zeigt offensichtlich, warum die Verarbeitung von sensiblen Gesundheitsdaten außerhalb der betrieblichen Sphäre liegen sollte. Auch in der Praxis der Aufsichtsbehörde wird deutlich: Viele Beschäftigte und Betriebe sind verunsichert, die Rechtslage ist unklar und umstritten. Von Seiten der Aufsichtsbehörden werden ebenfalls unterschiedliche Ansichten vertreten, eine einheitlich Linie gemeinsam mit dem Bundesgesundheitsministerium, wäre wünschenswert. Es liegt nun also am Gesetzgeber, in diesem sensiblen Feld für Klarheit und Rechtsfrieden zu sorgen.
23. Dezember 2021
Neue Entwicklung in Sachen des kontroversen Dienstes Clearview: Wie berichtet, hatte die Gesichtserkennungsfirma Clearview bereits erhebliche Kritik für ihre Unvereinbarkeit mit datenschutzrechtlichen Grundsätzen insbesondere der DSGVO geerntet. Bereits im letzten Jahr wurde beim Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit (HmbBfDI) Johannes Casper eine Beschwerde gegen Clearview eingereicht; das Erstellen von biometrischen Profilen von EU-Bürgern wure vorläufig als rechtswidrig eingestuft und Clearview AI angewiesen, das Profil des Beschwerdeführers zu löschen. Auch in Kanada, Australien und dem Vereinigten Königreich (das die europäische DSGVO vorerst im nationalen Recht beibehält) wurde gegen Clearview vorgegangen.
Nun wird mit der französischen Datenschutzbehörde CNIL die erste europäische Behörde tätig und verlangt von dem Unternehmen, “die Sammlung und Nutzung von Daten von Personen einzustellen, die sich auf französischem Hoheitsgebiet befinden”.
Das umstrittene US-amerikanische Unternehmen Clearview trägt Fotos aus aus einer Vielzahl von sozialen Netzwerken, Webseiten und Videos zusammen, um auf diese Weise eine Datenbank mit Gesichtern mit weltweit über zehn Milliarden Bilder aufzubauen. Die Datenbank ist vor allem für Strafverfolger interessant, da in der App eine Person mithilfe eines Fotos gesucht werden kann. Währenddessen ahnt keiner der Betroffenen davon, dass das Bild vom letzten Urlaub potenziell “für polizeiliche Zwecke genutzt werden kann”.
In der Mitteilung über die Feststellung des Verstoßes fordert die CNIL Clearview auf, die unrechtmäßige Verarbeitung einzustellen und die Nutzerdaten innerhalb von zwei Monaten zu löschen. Die französische CNIL stellte fest, dass Clearview zwei Verstöße gegen die Datenschutz-Grundverordnung begangen hat: Die französische Datenschutzbehörde sieht für die kontroverse Praxis des Fotoabgleichs keine Rechtsgrundlage, insbesondere werde keine Einwilligung der Betroffenen eingeholt. Darin liege ein Verstoß gegen Artikel 6 (Rechtmäßigkeit der Verarbeitung). Zudem verstoße Clearview gegen eine Reihe von Datenzugangsrechten gemäß Artikel 12, 15 und 17.
Das US-Unternehmen hat keinen Sitz in der EU, was bedeutet, dass seine Geschäfte in der gesamten EU von allen Datenschutzbehörden der EU überwacht werden können. Die Anordnung der CNIL gilt zunächst nur für Daten, die das Unternehmen über Personen aus dem französischen Hoheitsgebiet besitzt. Weitere derartige Anordnungen anderer EU-Behörden werden jedoch folgen und sind nur eine Frage der Zeit.
Es ist allerdings auch möglich, selbst tätig zu werden: Clearview hat hierzu auf seiner Website zwei Formulare für EU-Bürger eingerichtet. Mit der “Data Access Form” kann man feststellen, ob Clearview Daten über die eigene Person gespeichert hat. Mit dem “Data Processing Objection Form” kann man das Unternehmen daran hindern, Fotos der eigenen Person zu verarbeiten.
Am 1. Dezember 2021 ist das Telemedien- und Telekommunikationsgesetz (TTDSG), und somit auch das neue “Cookie-Gesetz”, in Kraft getreten.
Datenverarbeitung innerhalb des TTDSG
Der Begriff der Datenverarbeitung im Sinne der DSGVO geht weit und umfasst die Speicherung, das Ordnen, das Erfassen, die Anpassung oder Veränderung, die Einschränkung, das Löschen oder die Vernichtung personenbezogener Daten.
Datenverarbeitung findet ferner auch statt, indem Unternehmen per Software oder Betriebssystem Daten auf elektronischen Geräten erheben. Erfolgt der Zugriff des Anbieters einer Website oder App auf das Gerät von dem aus die Seite aufgerufen wird nicht, können die Geräte nicht mit den Servern der Anbieter kommunizieren. Damit eine Datenübertragung stattfinden kann, muss eine Kommunikation zwischen den Geräten jedoch vorliegen. Diese zuletzt genannte Art der Datenverarbeitung regelt nicht die DSGVO, sondern eine EU-Richtlinie von 2002, die nun in Deutschland durch das TTDSG umgesetzt wurde. Mit dem TTDSG wurde das unübersichtliche Geflecht von Regelungen, die im Telemedien- und Telekommunikationsgesetz verstreut waren, in einem einheitlichen Gesetzestext zusammengefasst. Das TTDSG ist nicht wie die DSGVO auf personenbezogene Daten begrenzt, sondern erfasst sämtliche im Wege der Nutzung von Telemediendiensten erhobenen Informationen.
Wer muss den Verpflichtungen aus dem TTDSG nachkommen?
Alle Anbieter von Telemedien und Telekommunikationsdiensten sind an das Gesetz gebunden. Unter Anbieter von Telemedien fallen z.B. alle Unternehmen, die eine Webseite betreiben oder bei dem Betrieb einer Webseite mitwirken. Telekommunikationsdienste sind solche, die ganz oder überwiegend Signale über Telekommunikationsnetze übertragen, einschließlich Übertragungsdienste in Rundfunknetzen. Klassischerweise fällt die Telefonie, oder die SMS darunter.
Was bedeutet das TTDSG für die Nutzung von Cookies?
Nutzer sind mit den Anforderungen des Online-Datenschutzes jedes Mal konfrontiert, wenn ein Cookie-Banner auf dem Bildschirm erscheint. Anbieter von Websites und Apps müssen eine Einwilligung vom Nutzer einholen, wenn sie per Cookies Daten zum Zuspielen von Werbung erheben. Dabei sollte so detailliert wie möglich aufgelistet werden, um welche Daten es sich handelt, wozu diese genutzt werden oder auch an wen diese Daten weitergegeben werden. Ob für eine Datenanalyse zur Betrugsprävention, zur bedarfsgerechten Gestaltung oder statistischen Analyse des Seitenaufrufs auch eine Einwilligung erforderlich ist, sagt das Gesetz nichts und muss deshalb noch ausgelegt werden. Für das Setzen von Cookies oder anderen vergleichbaren Technologien (z.B. Pixel oder Browser Fingerprinting) ist die Grundlage der § 25 TTDSG, welcher den Schutz der Privatsphäre bei Endeinrichtungen regelt. Demnach dürfen Informationen auf Endgeräten nur gespeichert oder auf bereits vorhandene Informationen zugegriffen werden, wenn eine Einwilligung, die den Grundsätzen der DSGVO gerecht wird, vorliegt oder eine gesetzlich geregelte Ausnahme von der Einwilligungspflicht gegeben ist. Diese Regelung betrifft typischerweise Cookies, gilt jedoch in gleichem Maße für alle endgerätebasierten Speicherungen von Daten.
Lösung durch Einwilligungsmanagement
Die Anforderungen an die Einwilligung werden im Gesetz beschrieben. Demnach muss die Einwilligung des Endnutzenden auf der Grundlage von klaren und umfassenden Informationen ergehen. Die Information des Endnutzers und die Einwilligung haben gemäß der DSGVO zu erfolgen. Die Einwilligung muss freiwillig, für einen bestimmten Fall, in informierter Weise, durch eine unmissverständliche Willensbekundung und als eindeutige bestätigende Handlung, mit Hinweis auf eine Widerrufsmöglichkeit ausgestaltet sein. Wichtig ist hier, die eindeutige bestätigende Handlung, also die proaktive Zustimmung als “Opt-In“. Unternehmen sollten auf ihrer Webseite daher genau beachten, dass Internetnutzer konkret u.a. die Zwecke der Verarbeitung der personenbezogenen Daten kennt und in diese aktiv durch eine eigene Handlung, wie z. B. durch das Klicken auf einen “Zustimmen”-Button, einwilligen kann. Voreingestellt gesetzte Häkchen sind unzulässig.
Ausnahmen der Einwilligung
Von der Einwilligungspflicht gibt es Ausnahmen, die sich in § 25 Abs. 2 TTDSG finden. Eine Einwilligung ist dann nicht notwendig, wenn die Cookies ausschließlich zur Übertragung einer Nachricht über ein öffentliches Kommunikationsnetz dienen oder wenn Cookies unbedingt erforderlich sind.
Unklarheiten, wann Cookies unbedingt erforderlich sind, bleiben jedoch auch weiterhin bestehen und werden durch das TTDSG nicht gelöst. Notwendige Cookies sind für den Betrieb der Webseite unbedingt (technisch) erforderlich und ermöglichen die Grundfunktionen der Webseite. Andere Cookies sollten in den meisten Fällen als optional betrachtet werden. Beispiele für solche unbedingt erforderlichen Cookies sind Login-, Authentifizierungs- oder Warenkorb-Cookies.
9. Dezember 2021
Am 19.11.2021 hat der Europäische Datenschutzausschuss (EDSA) neue Leitlinien zum Zusammenspiel zwischen der Anwendung von Art. 3 DSGVO und den Bestimmungen über internationale Datenübermittlungen im Kapitel V (Art. 44 – 50 DSGVO) veröffentlicht. Die Leitlinien sollen den für die Verarbeitung Verantwortlichen und den Auftragsverarbeitern in der EU in Zukunft dabei helfen, festzustellen, ob eine Verarbeitung einen internationalen Datentransfer darstellt und somit besondere Pflichten auslöst. Vor allem seit dem Urteil des EuGH vom 16.7.2020 zum EU-US-Privacy-Shield in der Rechtssache Schrems II ist das Schaffen von Rechtsklarheit in diesem Bereich besonders bedeutsam.
Allgemeine Grundsätze der Datenübermittlung gemäß Art. 44 ff. DSGVO
Nach Art. 44 DSGVO ist eine Übermittlung personenbezogener Daten für deren Verarbeitung nur zulässig, wenn Verantwortliche und Auftragsverarbeiter die Bedingungen aus Art. 44 bis 50 DSGVO einhalten. Datentransfers in Länder, für die kein Angemessenheitsbeschluss nach Art. 45 DSGVO vorliegt, können dazu führen, dass Verantwortliche oder Auftragsverarbeiter zusätzliche Schutzmaßnahmen ergreifen müssen. Fraglich ist, wann von einer Übermittlung personenbezogener Daten auszugehen ist, denn hierzu enthält die DSGVO keine Konkretisierungen. Vor diesem Hintergrund widmen sich die Leitlinien dem Zusammenspiel von Art. 3 DSGVO und Kapitel V der DSGVO.
Die Leitlinien stellen für die Ermittlung, ob ein solcher Transfer personenbezogener Daten an ein Drittland oder eine internationale Organisation vorliegt, drei Kriterien auf:
1. Der Datenexporteur unterliegt den Vorschriften der DSGVO. Dies ergibt sich aus Art. 3 DSGVO. Der EDSA verweist hierbei konkretisierend auf die Leitlinien 3/2018 zum territorialen Anwendungsbereich der DSGVO hin.
2. Der Datenexporteur übermittelt die personenbezogenen Daten an den Datenimporteur oder stellt sie ihm zur Verfügung. Relevant ist dabei, dass der EDSA bei diesem Kriterium betont, dass, wenn die Erhebung von Daten direkt bei betroffenen Personen in der EU auf deren eigene Initiative hin erfolgt, nicht von einem Datentransfer im Sinne der Art. 44 bis 50 DSGVO auszugehen ist. Denn hierbei gebe es keinen veranlassenden „Exporteur“.
3. Der Datenimporteur befindet sich (geografisch) in einem Drittland oder ist eine internationale Organisation.
Der EDSA macht deutlich, dass der Exporteur nicht in der EU oder dem EWR ansässig sein muss. Wichtig ist lediglich, dass der Empfänger der Daten (der Importeur) zwingend in einem Drittland ansässig sein muss. Für eine Anwendung der Vorschriften in Kapitel V der Datenschutz Grundverordnung ist es gerade keine Voraussetzung, dass der Exporteur unbedingt in der EU ansässig sein muss.
Liegen die Kriterien sodann gemeinsam vor, haben sich Verantwortliche und Auftragsverarbeiter an die besonderen Pflichten für Datentransfers in Art. 44 bis 50 DSGVO zu halten. Ferner nennt der EDSA bespielhaft weitere Sicherungsinstrumente wie den Rückgriff auf Standardvertragsklauseln und Zertifizierungsmechanismen. Die Leitlinien sollen insbesondere mehr Normenklarheit für Anwender und mehr Kohärenz innerhalb der Auslegung durch die verschiedenen nationalen Datenschutzbehörden in der EU schaffen. Die öffentliche Konsultation läuft bis Ende Januar 2022.
7. Dezember 2021
Verbraucherschutzverbände sind bei Datenschutzverstößen im Internet dazu berechtigt, Klage zu erheben, sofern das nationale Recht diese Klagebefugnis regelt. Dies geht aus einer Empfehlung des Generalanwalts Richard de la Tour hervor. Nach dessen Ansicht sind Verbraucherschutzverbände auch dann klagebefugt, wenn ein konkreter Auftrag der Betroffenen nicht existiere.
Vorausgegangen war ein Fall vor dem Bundesgerichtshof, in welchem der Bundesverband der Verbraucherzentralen gegen Facebook (jetzt Meta) klagte. Aufgrund der Unsicherheiten der Vereinbarkeit von nationalen Regelungen der Klagebefugnis mit EU-Recht setzte der BGH das Verfahren aus und stellte eine Vorabentscheidungsanfrage an den EuGH. Insbesondere war fraglich, ob Verbraucherschutzverbände ohne Auftrag von betroffenen Personen beziehungsweise unabhängig von der Verletzung konkreter Rechte Einzelner klagebefugt sind.
In seiner Empfehlung schlägt der Generalanwalt nun vor, die Datenschutz-Grundverordnung so auszulegen, dass diese den nationalen Regelungen nicht entgegensteht, sofern die betreffende Verbandsklage auf die Wahrung der aus der DSGVO erwachsenen Rechte der Betroffenen gerichtet ist. Grundlage der Ansicht des Generalanwalts des EuGH war ein ähnlich gelagertes Urteil des EuGH im Hinblick auf die Richtlinie 95/464/EG, dem Vorgängermodell zur DSGVO. Auch diese stand nationalen Regelungen, welche die Klagebefugnis von Verbänden regelten, nicht entgegen. Laut de la Tour komme die Wahrung der Kollektivinteressen der Verbraucher durch Verbände dem Ziel der Datenschutz-Grundverordnung, ein hohes Schutzniveau für personenbezogene Daten zu schaffen, besonders entgegen.
Der Facebook-Konzern Meta kündigte an, das Unternehmen würde die Stellungnahme des Generalanwalts analysieren.
3. Dezember 2021
Nach einer gemeinsamen Recherche vom NDR und “Süddeutscher Zeitung” sollen Auskunfteien, wie beispielsweise die Schufa, Handyvertragsdaten von Millionen von Menschen gesammelt haben. Betroffen können damit Verbraucherinnen und Verbraucher sein, die in den vergangen vier Jahren einen Mobilfunkvertrag abgeschlossen haben. Dadurch, dass das Sammeln der Daten ohne Einwilligung geschehen ist, sehen Datenschutzbehörden und Verbraucherschützer diese Praxis als nicht rechtens an. Am 22. September 2021 hatte die Datenschutzkonferenz (DSK) der Aufsichtsbehörde der Bundesländer in einem Beschluss beteuert, dass Auskunfteien Positivdaten also solche Informationen, die keine negativen Zahlungserfahrungen oder sonstiges nicht vertragsgemäßes Verhalten zum Inhalt haben, nicht unter Berufung auf die in der Europäischen Datenschutzverordnung (DSGVO) vorgesehenen Ausnahmen speichern dürfen.
Branchenverband lehnt die Einschätzung vom DSK ab
Der Branchenverband der Wirtschaftsauskunfteien lehnt diese Einschätzung des DSK ab. In einer Stellungnahme vom 19. November 2021 heißt es: “Die Erfahrungen unserer Mitglieder zeigen, dass insbesondere finanzschwächere Menschen von der Verarbeitung von Daten profitieren, die ein vertragsgemäßes Verhalten in einer Geschäftsbeziehung dokumentieren. Gerade Verbraucher und Verbraucherinnen, die bisher keine positive Kredithistorie haben, wie zum Beispiel junge Konsumenten, Migranten und häufig auch Seniorinnen, sind auf die Verarbeitung solcher Informationen angewiesen.”
Scoring-Verfahren
Die Handyvertragsdaten werden wohl auch für das Scoring benutzt. Beim Scoring werden aus verschiedenen Daten über Vertragsabschlüsse, Vertragsdauer und Vertragswechsel Werte berechnet, die Rückschlüsse auf die Bonität der Verbraucher geben sollen. Verbraucherschützer kritisieren das Scoring schon seit langer Zeit. Dieses Verfahren ist nicht nur intransparent, sondern es besteht außerdem ein hohes Risiko, dass durch dieses Verfahren die Daten zulasten von Verbrauchern genutzt werden, die sich nichts haben zu Schulden kommen lassen.
Derzeit befasst sich auch der Europäische Gerichtshof (EuGH) mit der Frage, ob und wie die Verarbeitung von Scoring-Daten und deren Weitergabe mit der DSGVO vereinbar ist. Das Verwaltungsgericht Wiesbaden hatte dem Europäischen Gerichtshof zwei Fragen zu den sogenannten Score-Werten der Auskunftei Schufa vorgelegt.
Zum einen sei zu klären, ob diese Tätigkeit von Wirtschaftsauskunfteien dem Anwendungsbereich des Art. 22 Abs. 1 DSGVO unterfällt. Fraglich ist hierbei, ob Score-Werte über betroffene Personen erstellt und diese ohne weitergehende Empfehlung oder Bemerkung an Dritte (beispielsweise Banken) übermittelt werden können, sodass diese dann unter maßgeblicher Einbeziehung dieses Score-Wertes mit der betroffenen Person vertragliche Beziehungen eingehen oder davon absehen können. Zum anderen sollte der EuGH in einem weiteren Schritt prüfen, ob die DSGVO der Regelung des § 31 BDSG entgegenstehe.
Forderung von Datenlöschung
Die Verbraucherschützer sind der Meinung, dass die gespeicherten Daten bei den Auskunfteien gelöscht werden müssen. Falls die Auskunfteien dies nicht freiwillig umsetzen, könnten die Datenschutzbehörden dies in einem Bescheid verlangen. Dieser Bescheid könnte sodann vor Gericht angefochten werden. Gleichzeitig sollte auch die Weiterleitungspraxis der Mobilfunkbetreiber geprüft werden, vor allem hinsichtlich der Frage, ob und wie Unternehmen eine Einwilligung bei ihren Nutzern einholen können.
30. November 2021
Der Verein des österreichischen Juristen und Datenschützers Maximilian Schrems noyb (none of your business) hat die irische Datenschutzkommission (DPC) bei der österreichischen Wirtschafts- und Korruptionsstaatsanwaltschaft angezeigt. Dabei wirft man der Behörde intransparentes Verhalten vor. In dem Verfahren bei der irischen Behörde geht es um die Einhaltung der europäischen Datenschutz-Grundverordnung (DSGVO) durch Facebook.
Non-Disclosure-Agreement vorgelegt
Zuvor hatte die Behörde noyb aufgefordert, innerhalb eines Arbeitstages eine Verschwiegenheitsvereinbarung (Non-Disclosure-Agreement, NDA) zu unterzeichnen. Ohne eine solche Geheimhaltungsvereinbarung zugunsten der DPC und Facebook würde die DPC die Rechte der Beschwerdeführerin noyb in einem laufenden Verfahren aussetzen.
Hintergrund
Maximilian Schrems führte in der Vergangenheit schon einige erfolgreiche Verfahren gegen den Social-Media Konzern. In dem eigentlichen Rechtsstreit (wir berichteten) geht es unter anderem um die Frage, ob Nutzer:innen tatsächlich eine Einwilligung oder einen Vertrag mit Facebook schließen, da Facebook als angebliche „Leistung“ Werbung anbiete. Laut Schrems wären damit die Vorschriften, die vorgeben, wie eine eindeutige Zustimmung aussehen müsse (und auch jederzeit widerrufen werden könne), hinfällig. Dies sei eine rechtswidrige Umgehung der DSGVO.
Fehlende Rechtsgrundlage und Verzögerungen
Die DPC lässt sich mit diesem und anderen Verfahren gegen Techkonzerne nach Einschätzung von Schrems zu viel Zeit. Auch der deutsche Bundesdatenschutzbeauftragte Ulrich Kelber hatte seiner irischen Kollegin Helen Dixon vorgeworfen, die Verfahren zu verschleppen und ihr Zögern mit „falschen Aussagen“ zu verschleiern.
Aufgrund Facebooks Hauptsitz in Irland wurde die Beschwerde an die irische Datenschutzkommission weitergeleitet. Nach über drei Jahren erließ sie schließlich einen Entscheidungsentwurf. Nachdem noyb diese Entscheidung veröffentlicht hatte, forderte die DPC noyb auf, die Entscheidung der Datenschutzbehörde sowie noyb’s eigene Stellungnahmen zu löschen. Dies geschah ohne die Nennung einer Rechtsgrundlage, so der Datenschutzverein. Darüber hinaus sei die DPC außerhalb Irlands nicht zuständig. Aufgrund des Kooperationsmechanismus der DSGVO müssten die Dokumente über die österreichische Datenschutzbehörde zugestellt werden und unterlägen somit dem geltenden österreichischen Recht (§ 17 AVG). Wie die österreichische Datenschutzbehörde bestätigte, unterliegen derartige Verfahrensdokumente nicht der Geheimhaltung. Zum anderen gebe es auch nach irischem Recht keine gesetzliche Verpflichtung für die Parteien, Dokumente vertraulich zu behandeln, so noyb.
Maximilian Schrems: “Die irische Behörde hat die Verpflichtung uns zu hören, aber sie hat uns nun praktisch erpresst: Prozessrechte wurden davon abhängig gemacht, dass wir eine Verschwiegenheitsvereinbarung zu Gunsten der Behörde und Facebook unterzeichnen.”
Zeichen stehen auf Konfrontation
Für die Adventszeit hatte Schrems öffentliche Lesungen aus Dokumenten von Facebook und der irischen Datenschutzbehörde angekündigt. Inzwischen meldete sich auch der Datenschützer Johnny Ryan vom Irish Council for Civil Liberties zu Wort. Auch er habe in seiner Beschwerde gegen Google eine Verschwiegenheitserklärung von der irischen Behörde vorgelegt bekommen.
Die irische Behörde reagierte bisher nicht öffentlich auf die Vorwürfe.
Werbungen, die im Posteingang des E-Mail-Anbieters derart angezeigt werden, dass sie tatsächlichen E-Mails ähnlich sehen, dürfen ohne Einwilligung des Adressaten nicht geschaltet werden.
Der EuGH urteilte, dass sogenanntes “Inbox Advertising” als “Nachricht zur Direktwerbung” einzustufen sei. Der Entscheidung vorausgegangen war ein Vorabentscheidungsersuchen des BGH. Dieser hatte in einem Streitfall zweier Stromlieferanten zu entscheiden, ob die “Inbox Werbung” des Anbieters eprimo GmbH gegen geltendes Recht verstößt.
In seinem Urteil stellte der EuGH fest, dass die als “Nachricht zur Direktwerbung” einzustufende Vorgehensweise der eprimo GmbH eine zu kommerziellen Zwecken vorgenommene Kommunikation darstellt. Diese bedürfen grundsätzlich der Einwilligung der Beworbenen.
Ob diese Einwilligung im Rahmen der Nutzung des betroffenen unentgeltlichen E-Mail-Dienstes von den einzelnen Usern abgegeben wurde muss nun seitens des BGH ergründet werden.
17. November 2021
Nach der bisherigen Annahme der deutschen Aufsichtsbehörden wird von der Geltung des funktionalen Unternehmensbegriffs auch im Datenschutz ausgegangen. Danach können Bußgelder unabhängig von der Feststellung des Fehlverhaltens einer konkreten Person verhängt werden. Diese Annahme bestätigte das LG Bonn im letzten Jahr und erklärte damit das Gesetz über Ordnungswidrigkeiten (OWiG) in diesem Anwendungsbereich für nicht europarechtskonform. Das Gericht korrigierte lediglich die Höhe des Bußgeldes, stellte aber nicht den Adressaten des Bußgeldes in Frage.
Das LG Berlin vertrat gegenüber dem Bonner Gericht jedoch eine konträre Ansicht. Zu Beginn dieses Jahres entschied die 26. Strafkammer, dass entgegen der Rechtsauffassung der Aufsichtsbehörde eine juristische Person nicht Betroffene in einem Bußgeldverfahren sein könne. Nur eine natürliche Person sei imstande, eine Ordnungswidrigkeit vorwerfbar zu begehen. Mit der Annahme, dass ein beweisbares Fehlverhalten einer konkreten Person eine Voraussetzung für die Rechtmäßigkeit eines Bußgeldes darstellt, folgt das LG Berlin insbesondere rechtsstaatlichen Grundprinzipien, wie dem Schuldprinzip.
Auch das Bundesministerium des Innern, für Bau und Heimat bestätigt diese Auffassung in seinem Bericht zur Evaluierung des BDSG. Dabei geht das Ministerium davon aus, dass die Neufassung des § 41 BDSG absichtlich darauf verzichtet, die Anwendbarkeit der §§ 130, 30 OWiG auszunehmen, auch wenn andere Regelungen des OWiG ausdrücklich ausgenommen werden. Das Innenministerium schließt daraus, dass eine von der konkreten Person des Verursachers unabhängige Unternehmenshaftung nicht dem Willen des deutschen Gesetzgebers entspricht.
Unternehmen sollten zum jetzigen Zeitpunkt jedoch keinesfalls davon ausgehen, dass Behörden nach der Stellungnahme des Bundesinnenministeriums zurückhaltender agieren oder auf Bußgelder verzichten. Vielmehr ist davon auszugehen, dass den bisherigen Auffassungen der Datenschutzbehörden gefolgt wird. Eine höchstrichterliche Klärung der Thematik bleibt also abzuwarten.
16. November 2021
Der Kläger machte gegen die Beklagte immaterielle Schadensersatzansprüche im Zusammenhang mit dem vermeintlichen Verlust eines USB-Sticks, auf dem sich personenbezogene Daten des Klägers und seiner Ehefrau befanden, geltend. Das Landgericht Essen hatte darüber zu entscheiden (Urteil vom 23.9.2021 – 6 O 190/21).
1. Sachverhalt
Der Kläger und seine Ehefrau fragten bei der Beklagten eine Immobilienfinanzierung an. Um der Anfrage nachzukommen, warfen sie einen nicht verschlüsselten USB-Stick in den Briefkasten der Beklagten ein. Der Datenträger enthielt neben Kopien von Ausweisdokumenten auch Steuerunterlagen und Daten zu Bestandsimmobilien. Zu einem Vertragsschluss kam es zwischen dem Kläger und der Beklagten letzten Endes nicht. Die Beklagte schickte sodann den USB-Stick mit einfacher Post an den Kläger und seine Ehefrau zurück. Dieser Brief kam nach Aussagen des Klägers nicht bei ihm oder seiner Ehefrau an. Der Kläger sah in dem Verlust des Datenträgers einen Verlust über die Kontrolle seiner personenbezogenen Daten. In der Folgezeit forderte der Kläger in seiner Klage vor dem LG Essen immateriellen Schadensersatz in Höhe von insgesamt 30.000,- EUR an.
Der Kläger trug vor, die Beklagte habe gegen die in Art. 24, 25 Abs. 1, 32 DSGVO genannten Verpflichtungen verstoßen. Der Briefversand des USB-Sticks mit sensiblen personenbezogenen Kundendaten ohne weitere Sicherheitsmaßnahmen habe nicht den gesetzlichen Anforderungen an die Sicherheit und Vertraulichkeit der Datenverarbeitung entsprochen. Es komme hinzu, dass die Beklagte gegen Informationspflichten nach Art. 34 Abs. 2, 33 Abs. 3 lit. b-d) DSGVO verstoßen habe. Daher habe der Kläger gegen die Beklagte einen Anspruch auf den Ersatz immaterieller Schadensersatzansprüche nach Art. 82 Abs. 1 DSGVO. (Ansprüche, die nicht aus der DSGVO herrühren bleiben in diesem Beitrag außen vor.)
2. Entscheidung
a) Kein Verstoß gegen Art. 24, 25 Abs. 1, 32 DSGVO
Ein Verstoß gegen Art. 24, 25 Abs. 1, 32 DSGVO lag nach Auffassung des Gerichts nicht vor. Hiernach hat der Verantwortliche unter Berücksichtigung des Stands der Technik, der Implementierungskosten, der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen zu treffen und umzusetzen, um sicherzustellen, dass die Verarbeitung gemäß der DSGVO erfolgt und dadurch die Rechte der betroffenen Personen geschützt werden.
Die Beklagte habe jedoch, mit dem Untergang des USB-Sticks auf dem Postweg, nicht gegen die besagten Vorschriften verstoßen. Es gibt keinen Grund, weshalb die Beklagte den USB-Stick nicht mit einfachem Brief an den Kläger und seine Ehefrau hätte versenden dürfen. Auch andere wichtige Dokumente werden regelmäßig mit der Post verschickt. Dem Gericht erschließe sich nicht, weshalb zwischen ausgedruckten Dokumenten, die naturgemäß unverschlüsselt übersandt werden, und digitalen Dokumenten auf einem unverschlüsselten USB-Stick unterschieden werden soll.
b) Verstoß gegen Art. 33, 34 Abs. 2 DSGVO
Unterstellt, der USB-Stick sei tatsächlich verloren gegangen, wäre nach Ansicht des Gerichts ein Verstoß gegen die Pflicht zur Meldung von festgestellten Datenschutzverletzungen nach Art. 33 DSGVO gegeben. Weiterhin bejahte das LG Essen für diesen Fall einen Verstoß gegen Art. 34 Abs. 2 DSGVO, da die erforderlichen Informationen von der Beklagten dem Kläger nicht mitgeteilt wurden.
c) Abtretbarkeit von Art. 82 Abs. 1 DSGVO
Zunächst befasste sich das Gericht mit der Frage, ob immaterielle Schadensersatzansprüche gem. Art. 82 Abs. 1 DSGVO nach § 398 BGB wirksam abgetreten werden können. Das AG Hannover hatte in einer vorausgehenden Entscheidung die Zulässigkeit einer solchen Abtretung verneint. In der Begründung hieß es, dass ein solcher Anspruch als höchstpersönlich und damit als nicht abtretbar bewertet werde (ZD 2021, 176). Das LG Essen war jedoch der Meinung, dass grundsätzlich jede Forderung abtretbar sei. Ein Abtretungsverbot nach §§ 399, 400 BGB bestehe im vorliegenden Fall nicht. Zudem sei die Abtretung nicht durch eine Vereinbarung ausgeschlossen. Die Abtretung erfordere auch keine inhaltliche Änderung der Leistung i. S. v. § 399 BGB. Das Gericht hatte hinsichtlich der Wirksamkeit der Abtretung auch in Bezug auf die Bestimmtheit keine Bedenken.
Es reiche aus, wenn im Zeitpunkt des Entstehens der Forderung bestimmbar sei, ob sie von der Abtretung erfasst werde. In dem Abtretungsvertrag hieß es, dass dem Zedenten aus einer datenschutzrechtlichen Verletzung Schadensersatzansprüche gegen die Beklagte – in einer noch durch ein Gericht festzulegenden Höhe – zustehen. Zudem wurde der Grund des Schadensersatzanspruchs näher beschrieben.
d) Substanziierte Darlegung des immateriellen Schadens
Trotz eines möglichen Verstoßes gegen Art. 33, 34 Abs. 2 DSGVO verneinte das Gericht jedoch einen Anspruch nach Art. 82 Abs. 1 DSGVO. Denn der Kläger konnte nach Auffassung des LG Essen nicht hinreichend substanziiert darlegen, dass ihm oder seiner Ehefrau ein erheblicher Schaden entstanden sei. Nach Ansicht des Gerichts gelten für den immateriellen Schadensersatz nach Art. 82 DSGVO die im Rahmen von § 253 BGB entwickelten Grundsätze. Für die Bemessung einer Schadenshöhe könnten die Kriterien des Art. 83 Abs. 2 DSGVO herangezogen werden.
Allein die Verletzung des Datenschutzrechts als solche begründe aber noch keinen Schadensersatzanspruch. Die Verletzungshandlung müsse nach Ansicht des Gerichts zu einer konkreten, nicht nur unbedeutenden oder empfundenen Verletzung von Persönlichkeitsrechten führen. Es müsse um eine objektiv nachvollziehbare, mit gewissem Gewicht erfolgte Beeinträchtigung von persönlichkeitsbezogenen Belangen gehen.
Pages: 1 2 ... 16 17 18 19 20 ... 39 40 
