Kategorie: DSGVO

LAG Berlin-Brandenburg – Zeiterfassung per Fingerabdruck nur mit Einwilligung

26. August 2020

In einer radiologischen Praxis führte der Arbeitgeber ein neues Zeiterfassungssystem ein. Dabei sollten die Mitarbeiter ihren Fingerabdruck auf einem Scanner abgeben und so den Beginn und das Ende der Arbeitszeit erfassen. Ein medizinisch-technischer Assistent weigerte sich, seine Arbeitszeit auf diesem Wege erfassen zu lassen und erhielt dafür eine Abmahnung. Gegen die Abmahnung seines Arbeitgebers zog er vor Gericht.

Das Landesarbeitsgericht (LAG) Berlin-Brandenburg bestätigte die Auffassung des Angestellten. Auch wenn das System nur Fingerlinienverzweigungen verarbeite, handelt es sich laut Gericht um biometrische Daten. Weil durch eine solche Zeiterfassung biometrische Daten verarbeitet würden, sei die Einwilligung der Angestellten erforderlich, hieß es in der am Dienstag veröffentlichten Entscheidung (Urt. v. 04.06.2020, AZ. 10 Sa 2130/19).

Bei biometrischen Daten ist Art. 9 Abs. 2 DSGVO einschlägig, wonach diese Daten nur ausnahmsweise verarbeitet werden dürfen. Für die Arbeitszeiterfassung sei die Verarbeitung biometrische Daten nicht unbedingt erforderlich. Daher könne der Arbeitgeber die Daten nicht ohne die Einwilligung des Arbeitnehmers erfassen. Die Weigerung des Arbeitnehmers sei keine Pflichtverletzung. Er könne nun verlangen, dass die Abmahnung aus seiner Personalakte entfernt wird.

Schrems und noyb gehen weiter gegen Datentransfers in die USA vor

21. August 2020

Max Schrems, Jurist und Datenschutz-Aktivist aus Österreich, der insbesondere durch sein langjähriges juristisches Vorgehen gegen Facebook bekannt geworden ist, geht auch nach der sog. “Schrems-II-Entscheidung” des EuGH (wir berichteten) weiter gegen Datentransfers in die USA vor. Mit seinem Projekt noyb hat Schrems nun 101 Beschwerden bei Aufsichtsbehörden in 30 verschiedenen Staaten der EU und EEA eingelegt.

Hintergrund der eingelgeten Beschwerden sei die fortgesetzte Nutzung insbesondere von Google Analytics und Facebook Connect durch die betroffenen Unternehmen, obwohl diese Dienste von den US-amerikanischen Überwachungsgesetzen erfasst seien und beide Unternehmen die Datentransfers scheinbar ohne rechtliche Grundlage durchführten. Zwar würden beide Unternehmen behaupten, dass die Transfers zulässig seien – Facebook verweise auf die verwendeten Standard-Vertragsklauseln (SCC), Google sogar immer noch auf den EU-US-Privacy-Shield – dieser Ansicht widerspricht noyb jedoch vehement. Insbesondere habe der EuGH in seiner Entscheidung ausdrücklich festgestellt, dass es nicht möglich sei Datentransfers in die USA auf die SCCs der EU zu stützen, wenn der Empfänger der Daten unter die US-amerikanischen Überwachungsgesetze fällt. Genau dies sei aber bei Google und Facebook der Fall. Dabei wird den amerikanischen Unternehmen sogar vorgeworfen, ihre Kunden über diese Tatsache hinwegzutäuschen, obwohl sie diesbezüglich zur Aufklärung verpflichtet seien und sich andernfalls schadensersatzpflichtig machten.

Um zu überprüfen, ob ein Datentransfer an Google und Facebook trotz der Schrems-II-Entscheidung weiterhin stattfindet, hatte noyb nach eigener Aussage “auf den wichtigsten Webseiten in jedem EU-Mitgliedsstaat eine schnelle Suche nach Code von Facebook und Google durchgeführt”, und wurde dabei wiederholt fündig. Gegen 101 Unternehmen, die weiterhin solche Transfers durchführen, hat noyb daher Beschwerde bei den zuständigen Aufsichtsbehörden erhoben und fordert die Behörden dazu auf, die europäischen Regeln auch durchzusetzen. Gleichzeit wurde auch gegen Google und Facebook selbst wegen Verstößen gegen die DS-GVO in den USA Beschwerde erhoben.

noyb ist eine NGO mit Sitz in Wien, die 2017 unter anderem von Max Schrems gegründet wurde und sich für die Durchsetzung des Datenschutzes innerhalb der EU und EEA einsetzt. Dabei wird mit rechtlichen Mitteln insbesondere gegen große datenverarbeitende Unternehmen – wie z.B. Facebook oder Google – vorgegangen. Durch noyb eingelegte Beschwerden waren bereits Grundlage einiger verhängter Bußgelder, wie das äußerst empfindliche Bußgeld in Höhe von 50 Millionen Euro gegen Google.

HmbBfDI erlässt Bescheid gegen Clearview

20. August 2020

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) Johannes Casper hat einen sogenannten “Auskunftsheranziehungsbescheid” gegen Clearview AI erlassen.

Weil das Unternehmen die bisher größte bekannte Gesichtsdatenbank mit Milliarden Fotos aus sozialen Netzwerken aufgebaut hat, die unter anderem von Privatpersonen aber auch bis zu 600 Behörden genutzt wurde, ist das US-Unternehmen seit Monaten in der Kritik.

Bereits im Februar wurde beim HmbBfDI eine Beschwerde gegen Clearview eingereicht. Der HmbBfDI hat daraufhin mehrfach Kontakt mit Clearview aufgenommen und versucht Informationen zum Geschäftsmodell sowie zu den Umständen, die der Beschwerde zugrunde liegen, zu erhalten. Diese Fragen wurden ausweislich der Pressemitteilung des HmbBfDI nicht zufriedenstellend beantwortet.

Clearview stellte sich auf den Standpunkt, dass die DSGVO auf die von Clearview betriebene Datenverarbeitung keine Anwendung finde, weshalb auch keine Pflicht zur Beantwortung der Fragen des HmbBfDI bestehe.

Dem widerspricht der HmbBfDI. Der Anwendungsbereich der DSGVO sei sehr wohl eröffnet und Clearview somit zur Auskunft verpflichtet. Aufgrund des nunmehr erlassenen Bescheids ist das US-Unternehmen verpflichtet bis Mitte September Auskunft zu erteilen. Für den Fall der Weigerung wurde ein Zwangsgeld in Höhe von je 10.000€ für jeden Einzelfall der insgesamt siebzehn Fragekomplexe angeordnet.

Casper führt dazu aus:

„Geschäftsmodelle, die darin bestehen, massenhaft und anlasslos Bilder im Netz zu sammeln und die Gesichter von Personen durch biometrische Analyse identifizierbar zu machen, gefährden die Privatsphäre im globalen Maßstab. Zum Schutz Betroffener unter der EU-Grundrechtecharta müssen sie anhand der Datenschutzgrundverordnung kontrolliert, reguliert und nötigenfalls gestoppt werden. In Europa darf es keinen Raum für düstere digitale Dystopien geben, in denen der Einsatz von Gesichtserkennungssoftware und biometrische Datenbanken staatlichen, aber auch privaten Stellen eine neue, kaum mehr kontrollierbare Form der Herrschaft über Menschen verschafft. Die Datenschutzaufsichtsbehörden haben den Auftrag, hierüber zu wachen. Das gilt auch gegenüber Unternehmen, die entsprechende Geschäftszwecke von außerhalb der EU verfolgen und damit die Privatsphäre und die informationelle Selbstbestimmung von Menschen in der EU in Frage stellen. Um eine datenschutzrechtliche Kontrolle zu ermöglichen, gehe ich davon aus, dass Clearview die dem Unternehmen gestellten Fragen beantworten oder zumindest gegen den Heranziehungsbescheid Rechtsmittel einlegen wird, um so eine rechtliche Entscheidung zu ermöglichen.“

Großer Datenzugriff bei der Bundesagentur für Arbeit – Ermittlungen bereits eingestellt

14. August 2020

Bei der online-Jobbörse der Bundeagentur für Arbeit (BA) haben Datenhändler durch falsche Inserate auf Datensätze zehntausender Bewerber zugegriffen und diese vermutlich auch weiterverkauft.

Aufgefallen war dies 2019 durch Recherchen des SWR. Die BA in Nürnberg konnte hierrauf nach eigenen Feststellungen über 120.000, frei erfundene Inserate ermitteln. Dabei sollen Betroffene auch von Drittfirmen kontatkiert worden sein und Jobangebote erhalten haben, für die sie sich nie beworben hatten.

Das BDSG stellt das Erschleichen von Betroffenendaten durch unrichtige Angaben mit bis zu 2 Jahren unter Strafe. Wie die Süddeutsche Zeitung berichtet, hat die Berliner Staatsanwaltschaft das Ermittlungsverfahren nun jedoch eingestellt. Laut Behörde konnte man gegen den mutmaßlichen Verantwortlichen, ein Berliner Unternehmen, keinen hinreichenden Tatverdacht nach § 170 Abs. 2 Strafprozessordnung feststellen.

Begründet wird die Entscheidung in erster Linie damit, dass keine geschädigten Personen ausfindig gemacht werden konnten. Es sei daher schwer, eine Strafbarkeit zu begründen. Verwundwerlich ist jedoch, dass zumindest eine mutmaßlich betroffene Person im Fernsehn aufgetreten ist. Gleichzeitig beschuldigen die Ermittlungdsbehörden auch den SWR, keine ausreichenden Informationen mit der Staatsanwaltschaft geteilt zu haben.

Datenschützer und Politikker kritiseieren das Vorgehen der Staatsanwaltschaft. Es sei Aufgabe der Behörden selbständig zu ermitteln. Die Entscheidung die Ermittlungen einzustellen stößt dabei auf Unverständnis.

Seit dem Vorfall hat die BA die online Job-Börse umstrukturiert. Nach Bekanntwerden des Datenmissbrauchs wurden die ermittelten, falschen Inserate zunächst gelöscht. Mittlerweile lässt sich erkennen, ob es sich bei dem Inserat um ein betreutes oder ein unbetreutes Angebot der BA handelt.

Kategorien: Allgemein · DSGVO
Schlagwörter: , ,

Keine Übermittlung sensibler Daten per Telefax?

12. August 2020

Eine Behörde darf einen Bescheid, der sensible personenbezogener Daten enthält, nicht per Telefax übermitteln, wenn der Bescheid stattdessen auf sicherem Weg zum Empfänger gelangen kann. Das entschied jedenfalls das OVG Lüneburg in seinem Beschluss vom 22.07.2020.

Wie es zu der Entscheidung kam

Der Kläger vertrieb explosionsgefährliche Stoffe an nationale Sicherheitsbehörden. Für den Transport der Stoffe nutzte er Fahrzeuge, für die er regelmäßig Übermittlungssperren bei der zuständigen Behörde beantragte. Eine Übermittlungssperre begrenzt die sonst nach dem Straßenverkehrsgesetz vorgesehenen Übermittlungen personenbezogener Daten aus den Fahrzeugregistern an Behörden, Institutionen und Privatpersonen, wenn für eine Sperre erhebliche öffentliche Interessen sprechen.

Der Kläger widersprach Ende 2015 gegenüber der für die Erteilung der Genehmigung der Übermittlungssperren zuständigen Behörde der Übersendung von Faxen mit unverschlüsselten Daten. Er wies auf die Gefahren hin, wenn Kriminelle von den Sprengstofflieferungen erführen. Die Behörde bestätigte Anfang 2016, dass sie beim Umgang mit personenbezogenen Daten die Vorgaben des Datenschutzrechts einhalte und keine personenbezogenen Daten unverschlüsselt übermittle.

Trotz dessen erhielt der Anwalt des Klägers 2017 einen Bescheid der Behörde per Fax. Das Fax enthielt unter anderem Name und Anschrift des Klägers sowie die Fahrzeugidentifikationsnummer und das amtliche Kennzeichen des Fahrzeuges.

Die Entscheidung des OVG Lüneburg

Auf Antrag des Klägers hin stellt das VG Osnabrück fest, dass die unverschlüsselte Kommunikation dieser Daten rechtswidrig war. Der Antrag der Behörde auf Zulassung der Berufung vor dem OVG Lüneburg blieb erfolglos.

Zur Begründung führte das OVG Lüneburg aus, die Behörde habe angesichts der besonderen Schutzbedürftigkeit des Klägers und seiner personenbezogenen Daten bei der Übermittlung dieser Daten ein erhöhtes Schutzniveau einzuhalten. Die unverschlüsselte Übermittlung per Telefax genüge den Anforderungen an ein angemessenes Schutzniveau nicht. In seinem Urteil verweist das OVG Lüneburg auf eine Äußerung des Landesbeauftragten für Datenschutz und Informationssicherheit Nordrhein-Westfalen auf seiner Internetseite, wonach der Versand per Telefax mit dem einer Postkarte vergleichbar sei. Bei der unverschlüsselten Übermittlung könnten unberechtigte Dritte jederzeit zugreifen. Zudem sei die Gefahr eines Irrläufers durch falsche Eingaben hoch.

Die Beklagte hätte nach Ansicht des OVG Lüneburg eine andere verfügbare und zumutbare Übermittlungsart nutzen müssen, wie etwa den Versand per Post oder per Bote an die nur 150 m von der Behörde entfernte Kanzlei. Die Nutzung eines Faxgeräts könne in Ausnahmefällen zulässig sein, wenn Verschlüsselungsgeräte verwendet würden. Entscheidungserheblich sei nicht, ob die Benutzung von Faxgeräten dem Stand der Technik entspricht, sondern ob Sicherungsmaßnahmen verfügbar sind und dem Stand der Technik entsprechen.

Folgen der Entscheidung

Die Entscheidung wurde zwar nach altem Datenschutzrecht und nicht nach der Datenschutz-Grundverordnung entschieden, die Rechtslage hat sich diesbezüglich aber nicht wesentlich geändert. Die Entscheidung kann sicherlich im Hinblick auf die Sicherheit von Faxservern kritisiert werden und auch die Übersendung per Post oder Bote bürgt gewisse Risiken. Trotz dessen kann die Entscheidung nicht nur für Behörden, sondern etwa auch für Anwälte oder Ärzte relevant sein. Es muss in jedem Einzelfall abgewogen werden, ob eine unverschlüsselte Übermittlung personenbezogener Daten unter Abwägung der Interessen der betroffenen Person zulässig ist.

Weitere Stellungnahmen der Aufsichtsbehörden zum Privacy-Shield-Aus

31. Juli 2020

Zeitnah nach Verkündung des EuGH-Urteils zur Wirksamkeit des EU-US-Privacy-Shields (Urteil v. 16.07.2020, C-311/18) hatten bereits die ersten deutschen Aufsichtsbehörden zu dieser Entscheidung Stellung bezogen (wir berichteten). Nunmehr haben sich mit der Datenschutzkonferenz (DSK, Gremium der unabhängigen deutschen Datenschutzaufsichtsbehörden des Bundes und der Länder) und dem Europäischen Datenschutzausschuss (EDSA) weitere “Big Player” unter den Aufsichtsbehörden zu Wort gemeldet.

Stellungnahme und FAQ des EDSA

Der EDSA hat diesbezüglich gleich zwei Dokumente (in englischer Sprache) veröffentlicht, eine Stellungnahme sowie ein FAQ zum Urteil des Gerichts mit Sitz in Luxemburg. Zunächst einmal wird das Urteil durch den EDSA begrüßt, verdeutliche es doch den Stellenwert des “right to privacy” auch im Hinblick auf den Datentransfer in Drittstaaten. Im Hinblick auf die Unwirksamkeit des Privacy Shields stellt der EDSA heraus, dass einige der nunmehr aufgegriffenen Kritikpunkte auch bereits durch den EDSA aufgeworfen worden waren, und dass ein neues Abkommen zwischen der EU und den USA erforderlich sei, welches sämtliche Rechte der Betroffenen schützt.

Hinsichtlich der Standardvertragsklauseln – welche durch den EuGH grundsätzlich als wirksam anerkannt wurden – obliege es im Wesentlichen den Verantwortlichen selbst, auf ein geeignetes Schutzniveau im betreffenden Drittstaat zu achten. Werde ein solches Schutzniveau nach Ansicht des verantwortlichen Datenexporteurs nicht erreicht, müsse in Betracht gezogen werden, über die in den Standardvertragsklauseln genannten Schutzmaßnahmen hinaus zusätzliche Maßnahmen zum Schutz der personenbezogenen Daten zu ergreifen. Wenn die vertraglichen Pflichten (aus den Standardvertragsklauseln) nicht eingehalten werden können – ausdrücklich werden hier die Informationspflichten hinsichtlich Rechtsänderungen in dem Drittstaat genannt – dann müsse in Betracht gezogen werden, den Datentransfer zu stoppen, die Standardvertragsklauseln zu kündigen oder die zuständige Aufsichtsbehörde zu informieren.

In seinen FAQs stellt der EDSA dann noch einmal klar, dass es hinsichtlich der Reaktion auf das Urteil und somit für die Anpassung der Datentransfers in Drittstaaten keine “Gnadenfrist” gebe und sich auf alle Übermittlungen in die USA beziehe. Des Weiteren ist interessant, dass der EDSA die im Urteil nicht erwähnten Binding Corporate Rules (BCRs) ebenfalls anspricht. Auch diese sollten nach Ansicht des EDSA – genauso wie die Standardvertragsklauseln – im Einzelfall daraufhin überprüft werden, ob sie einen hinreichenden Schutz bieten. Ist dies nicht der Fall, sollte hier genauso vorgegangen werden wie bei den Standardvertragsklauseln.

Presseerklärung der DSK

Die Presseerklärung der DSK stimmt mit den Äußerungen des EDSA im Wesentlichen überein. Die DSK stellt jedoch ausdrücklich fest, dass die bisher genutzten Standardvertragsklauseln bei einer Übermittlung in die USA ohne zusätzliche Maßnahmen grundsätzlich nicht ausreichend seien. Dies gelte auch für die weiteren Garantien nach Art. 46 DS-GVO – also auch für die Binding Corporate Rules. Eine Übermittlung nach Art. 49 DS-GVO sei hingegen weiterhin uneingeschränkt zulässig.

Schließlich weist die DSK noch einmal darauf hin, dass eine Schonfrist für laufende Übermittlungen in die USA nicht besteht. Sämtliche datenverarbeitende Akteure, die Übermittlungen in die USA vornehmen, sollten die datenschutzrechtliche Zulässigkeit ihrer Verarbeitungen also umgehend überprüfen.

Bußgeld in Höhe von 17 Millionen gegen Wind verhängt

30. Juli 2020

Die italienische Datenschutzbehörde hat eine Geldbuße in Höhe von 17 Millionen gegen das Telekommunikationsunternehmen Wind Tre verhängt. Wind Tre verstieß mehrfach gegen geltende Datenschutzbestimmungen insbesondere durch seine Werbeaktivitäten.

Wind Tre kontaktierte Kunden, die in eine Kontaktaufnahme nicht eingewilligt hatten, mehrfach über SMS, E-Mail, Fax und automatisierte Anrufe. In mehreren Fällen hatten die Kunden erklärt, dass es nicht möglich war, ihr Recht auf Widerruf der Einwilligung oder Widerspruch gegen die Verarbeitung ihrer Daten zu Marketingzwecken geltend zu machen. In anderen Fällen sind die persönlichen Daten der Benutzer trotz der Widersprüche der Kunden in öffentlichen Telefonbüchern aufgenommen worden. Bei den Apps MyWind und My3 mussten die Kunden einwilligen, dass Wind Tre ihre Daten für Marketing, Profilerstellung, Kommunikation mit Dritten und Geolokalisierung verarbeitet. Ein Widerruf dieser Einwilligung war nach 24 Stunden möglich.

Darüber hinaus beleuchten die Untersuchungen der italienischen Datenschutzbehörde vielfältige Verstöße, die die Handelspartner von Wind Tre betreffen. Einer dieser Handelspartner erhielt von der italienischen Datenschutzbehörde eine Geldbuße in Höhe von 200.000 EUR, da er Kundendaten unrechtmäßig gesammelt hatte.

Die italienische Datenschutzbehörde ordnete an, dass Wind Tre keine Daten verarbeiten darf, wenn es nicht über eine nachweisbare und datenschutzkonforme Einwilligung der Kunden verfügt. Sie wies das Unternehmen außerdem an, technische und organisatorische Maßnahmen zu ergreifen, um eine wirksame Aufsicht über ihre Handelspartner zu gewährleisten.

50 Strafverfahren wegen Verdachts auf Datenschutzverstoß durch Berliner Polizei

Mutmaßliche Rechtsextremisten versuchen, mit Drohbriefen Politiker oder Personen des öffentlichen Lebens einzuschüchtern. Über Polizeirechner in Hessen konnten die Täter unberechtigt Adressen, E-Mail-Adressen und Telefonnummern abfragen. Auch in Brandenburg und Berlin wurden solche unberechtigten Abfragen in den vergangenen zwei Jahren bekannt.

Wie die Senatsverwaltung für Inneres auf Anfrage am 27. Juli 2020 mitteilte, wurden gegen die Berliner Polizei deswegen in den letzten zwei Jahren rund 50 Strafverfahren wegen eines Verdachts des Verstoßes gegen das Landesdatenschutzgesetz aufgrund unberechtigter Datenabfragen eingeleitet.

Der Großteil dieser Verfahren wurde allerdings wegen mangelnden Tatverdachts eingestellt:
2018 wurden 24 Verfahren eingeleitet, von denen 23 wieder eingestellt wurden. In lediglich einem Verfahren wurde ein Strafbefehl erlassen.
Im Jahr 2019 wurden von 25 Strafverfahren gegen Bedienstete der Polizei Berlin 16 wegen mangelnden Tatverdachts und eines wegen geringer Schuld eingestellt. Die acht weiteren Strafverfahren sind bisher noch nicht abgeschlossen.

Nach Angaben der Innenverwaltung könnte es weitere Verdachtsfälle gegeben haben, bei denen sich aber unmittelbar herausgestellt haben könnte, dass der Zugriff auf die Daten rechtmäßig war. Das Berliner Datenschutzgesetz wurde Mitte 2018 reformiert. Dadurch können einige Verstöße als Ordnungswidrigkeit einzustufen sein, die bei der Polizei Berlin allerdings statistisch nicht erfasst werden.

Seit 2018 wurden deutschlandweit insgesamt mehr als 400 Ordnungswidrigkeits-, Straf- oder Disziplinarverfahren wegen solcher unberechtigten Datenabfragen eingeleitet. Eine zweistellige Zahl dieser Verfahren wurde allerdings bereits eingestellt oder werden derzeit noch überprüft.

Kategorien: Allgemein · DSGVO
Schlagwörter: , , ,

Schadensersatz in Höhe von 5000 Euro für Verstoß gegen das Auskunftsrecht

Das Arbeitsgericht Düsseldorf hat in seinem Urteil (v. 05.03.2020 – 9 Ca 6557/18) dem Kläger eine Entschädigung wegen Verstoßes seines Arbeitgebers gegen das Auskunftsrecht aus Art. 15 Abs. 1 DSGVO zugesprochen. In dem Urteil hat das Gericht unter anderem Stellung zu den Voraussetzungen und zur Bemessung eines Anspruchs auf Ersatz eines immateriellen Schadens aus Art. 82 Abs. 1 DSGVO genommen.

Die Parteien stritten über datenschutzrechtliche Auskunft und Information, die Erteilung von Kopien sowie eine Entschädigung. Zwischen der Beklagten, einem Unternehmen in Düsseldorf und dem Kläger bestand bis Anfang 2018 ein Arbeitsverhältnis. Der Kläger begehrte Auskunft über und Kopie von den über ihn verarbeiteten personenbezogenen Daten bei der Beklagten. Die daraufhin erteile Auskunft war seines Erachtens lückenhaft und verspätet. Nach einer erfolglosen Güteverhandlung verlangte der Kläger vollständige Vorlage der fehlenden Informationen und Schadensersatz nach Art. 82 Abs. 1 DSGVO.

Neben dem Umfang der Auskunftspflicht musste das Gericht entscheiden, ob allein durch den Verstoß gegen das Auskunftsrecht ein (immaterieller) Schaden entstanden ist und in welcher Höhe dieser bemessen wird.  

Dazu führt das Gericht aus: „Ein immaterieller Schaden entsteht nicht nur in den “auf der Hand liegenden Fällen”, wenn die datenschutzwidrige Verarbeitung zu einer Diskriminierung, einem Verlust der Vertraulichkeit, einer Rufschädigung oder anderen gesellschaftlichen Nachteilen führt, sondern auch, wenn die betroffene Person um ihre Rechte und Freiheiten gebracht oder daran gehindert wird, die sie betreffenden personenbezogenen Daten zu kontrollieren. […] Durch die monatelang verspätete, dann unzureichende Auskunft war der Kläger im Ungewissen und ihm die Prüfung verwehrt, dann nur eingeschränkt möglich, ob und wie die Beklagte seine personenbezogenen Daten verarbeitet. Die Schwere des immateriellen Schadens ist für die Begründung der Haftung nach Art. 82 Abs. 1 [DSGVO] irrelevant und wirkt sich nur noch bei der Höhe des Anspruchs aus. […] Verstöße müssen effektiv sanktioniert werden, damit die [DSGVO] wirken kann, was vor allem durch Schadensersatz in abschreckender Höhe erreicht wird. […] Gerichte können sich bei der Bemessung des immateriellen Schadensersatzes auch an Art. 83 Abs. 2 [DSGVO] orientieren, sodass als Zumessungskriterien unter anderem Art, Schwere, Dauer des Verstoßes, Grad des Verschuldens, Maßnahmen zur Minderung des den betroffenen Personen entstandenen Schadens, frühere einschlägige Verstöße sowie die Kategorien der betroffenen personenbezogenen Daten betrachtet werden können“

Der Beklagte habe das Auskunftsrecht – das zentrale Betroffenenrecht – beeinträchtigt und zugleich das europäisches Grundrecht des Klägers aus Art. 8 Abs. 2 S. 2 GRCh verletzt, weshalb dem Kläger ein immaterieller Schaden entstanden sei. Als Ersatz dieses Schaden hielt die Kammer einen Betrag in Höhe von 5000 Euro für geboten.  

Das Recht auf Vergessen – Eine Frage des Einzelfalls

29. Juli 2020

Erstmals nach Inkrafttreten der Datenschutz-Grundverordnung befasste sich der BGH mit dem in Art. 17 DSGVO niedergelegten Recht auf Löschung, allgemein als Recht auf Vergessen bekannt.

Eine wichtige erste Erkenntnis des Urteils ist, dass die Frage nach einem Recht auf Vergessen nicht pauschal beantwortet werden kann. Man wird wohl mit der nicht immer beliebten Standardantwort von Juristen auf komplexe Frage antworten können: „Es kommt darauf an“. In einem der gemeinsam verhandelten Verfahren führte der BGH aus, das Recht auf Vergessen unterliege einer umfassenden Abwägung der Interessen aller Involvierten. Eine weitere Frage zum Recht auf Vergessen legte der BGH dem EuGH zur Entscheidung vor.

Die im Verfahren vor dem BGH aufgeworfenen Fragen sind spannend für die Zukunft von Suchmaschinen und der Internetkommunikation insgesamt: Gibt es im Internet einen unbedingten Anspruch auf ein „Vergessenwerden“, ggf. nach einem gewissen Zeitablauf? Müssen Suchmaschinen erst dann tätig werden, wenn sie von einer offensichtlichen und auf den ersten Blick klar erkennbaren Rechtsverletzung des Betroffenen Kenntnis erlangen? Erstreckt sich das Recht auf Vergessen bereits auf für die betroffene Person unbequeme oder reputationsschädigende Berichte?

Verfahren VI ZR 405/18 – Der defizitäre Wohlfahrtsverband und sein Geschäftsführer

Der Kläger im ersten Verfahren war Geschäftsführer eines Regionalverbandes einer Wohlfahrtsorganisation. Er begehrte von Google, einen Presseartikel aus dem Jahr 2011 bei der gezielten Suche nach seinem Namen auszulisten. In dem Artikel wurde darüber berichtet, dass der Verband im Jahr 2011 ein finanzielles Defizit von knapp einer Million Euro aufwies und sich der Kläger kurz zuvor krank gemeldet hatte.

Der Kläger scheiterte mit seinem Begehren in allen Instanzen. Der BGH betont, dass das Recht auf Vergessen eine umfassende Grundrechtsabwägung auf Grundlage aller relevanten Umstände des Einzelfalls und unter Berücksichtigung der Schwere des Eingriffs in die Grundrechte der betroffenen Person einerseits und der Grundrechte des Suchmaschinenbetreibers, des Anbieters des beanstandeten Ergebnislinks, der Nutzer und der Öffentlichkeit andererseits bedürfe. Das hatte bereits das Bundesverfassungsgericht Ende 2019 betont.

Interessant ist , dass der BGH damit von seiner früheren Rechtsprechung abkehrt. Der Suchmaschinenbetreiber muss nach dem nun veröffentlichten Urteil nicht erst dann tätig werden, wenn er von einer offensichtlichen und auf den ersten Blick klar erkennbaren Rechtsverletzung des Betroffenen Kenntnis erlangt. Anders als der EuGH im Verfahren Google-Spain geht der BGH nicht von einem pauschalen Vorrangverhältnis der Interesse des Betroffenen aus.

Im Verfahren um den Geschäftsführer des Wohlfahrtverbands entschied der BGH, dass die Rechte der Nutzer, der Öffentlichkeit und der verlinkten Presseorgane Vorrang haben und ein Anspruch auf Auslistung damit nicht besteht, auch unter Berücksichtigung des Zeitablaufs.

Verfahren VI ZR 476/18 – Das Geschäftsmodell eines Ehepaars aus der Finanzdienstleistungsbranche

In dem zweiten Verfahren begehrte ein in der Finanzdienstleistungsbranche tätiges Ehepaar, kritische Presseartikel und Fotos auszulisten, in denen das Geschäftsmodell der Kläger kritisiert wurde. Die Artikel enthielten u.a. Vorwürfe, die Kläger hätten Unternehmen mit negativer Berichterstattung erpresst. Der Wahrheitsgehalt der Berichte ist – anders als im ersten Verfahren – unklar und konnte auch von Google nicht beurteilt werden.

Dieses Verfahren setzte der BGH aus und legte dem EuGH zwei Fragen zur Vorabentscheidung vor:

Einerseits soll der EuGH klären, wie mit Konstellationen zu verfahren ist, bei denen der Link der Suchmaschine zu einem Inhalt führt, der Tatsachenbehauptungen und auf Tatsachenbehauptungen beruhende Werturteile enthält, deren Wahrheit der Betroffene in Abrede stellt. Kann der Betroffene, etwa durch vorläufigen Rechtsschutz, die Frage der Wahrheit der verlinkten Berichte zumindest vorläufig gerichtlich klären lassen?

Außerdem möchte der BGH vom EuGH wissen, wie mit Vorschaubildern in der Trefferleiste umzugehen ist, wenn der Kontext von der Suchmaschine nicht mit angezeigt wird. Besteht ein Recht auf Vergessen auch dann, wenn die Webseite des Dritten in der Suchmaschine zwar verlinkt, aber noch nicht konkret benannt ist?

Ausblick

Es bleibt abzuwarten wie der EuGH auf die Vorabfragen antworten wird. Die Antworten sind für Presseorgane, Suchmaschinenbetreiber und die Öffentlichkeit gleichsam interessant. Schon jetzt zeichnet sich aber immer deutlicher ab, dass das Recht auf Vergessen keinem Automatismus unterliegt, sondern immer eine Frage der Abwägung im Einzelfall ist. In die Abwägung müssen die Interessen aller Beteiligten einfließen und es kann kein pauschaler Vorrang der Interessen der einen oder anderen Seite angenommen werden. Fazit: “Es komm darauf an”, ob eine betroffen Person ein Recht auf Vergessen hat.

1 22 23 24 25 26 32