Kategorie: DSGVO

Eilanordnung der Hamburgischen Datenschutzaufsichtsbehörde gegen WhatsApp

16. Juli 2021

Der Europäische Datenschutzausschuss erließ seine erste verbindliche Eilentscheidung gemäß Art.66 Abs. 2 DSGVO auf Antrag der HmbBfDI (Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit), nachdem diese die vorläufige Maßnahme gegen Facebook erlassen hatte. Die Maßnahme, die auf der Grundlage von Art. 66 Abs. 1 DSGVO angeordnet wurde, hatte das Verbot der Verarbeitung von WhatsApp-Nutzerdaten durch Facebook zum Gegenstand. Nach Ansicht der HmbBfDI wurde dies mit der diesjährigen von WhatsApp in die Wege geleiteten Änderung der Nutzungsbedingungen und Datenschutzbestimmungen für europäische Nutzer begründet.

Hintergrund ist folgender: Im Januar hatte WhatsApp neue Datenschutzbestimmungen angekündgt. Nachdem diese bei den Nutzern auf große Kritik stießen, wurde das von WhatsApp angekündigte Ultimatum bis Mai verlängert und WhatsApp versuchte, die angestrebten Änderungen zu erklären. Letztendlich blieb die Erklärung aus und WhatsApp zog auch im Mai noch keine der angekündigten Konsequenzen. Diese umfassten unter anderem, dass alle, die bis Mai den Bedingungen nicht zugestimmt hätten, WhatsApp nicht mehr hätten nutzen können.

Nun entschied der EDPB im Rahmen des Eilverfahrens, dass die Voraussetzungen für den Nachweis des Vorliegens eines Verstoßes und einer Dringlichkeit nicht erfüllt seien.
Auf der Grundlage der vorgelegten Beweise kam der Europäische Datenschutzausschuss zwar zu dem Schluss, dass eine hohe Wahrscheinlichkeit besteht, dass Facebook bereits Nutzerdaten von WhatsApp als (gemeinsamer) Verantwortlicher für den gemeinsamen Zweck der Sicherheit und Integrität von WhatsApp und den anderen Facebook-Unternehmen verarbeitet. Angesichts der verschiedenen Widersprüche, Unklarheiten und Unsicherheiten, die in den nutzerorientierten Informationen von WhatsApp, in einigen schriftlichen Verpflichtungserklärungen von Facebook und in den schriftlichen Stellungnahmen von WhatsApp festgestellt wurden, entschied sich der Europäische Datenschutzausschuss jedoch dazu, dass er nicht in der Lage ist, mit Sicherheit feststellen zu können, welche Verarbeitungen tatsächlich durchgeführt werden.

Zum Vorliegen der Dringlichkeit vertrat der Europäische Datenschutzausschuss die Auffassung, dass Art.61 Abs. 8 DSGVO nicht anwendbar war. Denn der HmbBfDI konnte nicht nachweisen, dass die irische Datenschutzbehörde es versäumt hat, Informationen im Rahmen eines förmlichen Amtshilfeersuchens gemäß Art. 61 DSGVO bereitzustellen; da Facebook (wie auch WhatsApp) seinen europäischen Sitz in Irland hat, ist die dortige Datenschutzbehörde für das Unternehmen zuständig.

Der Europäische Datenschutzausschuss meldete zudem erhebliche Zweifel an der Rechtsgrundlage an, auf die sich Facebook bei der Nutzung der WhatsApp-Daten für eigene oder gemeinsame Verarbeitungen stützen möchte. Er greift damit wesentliche Teile der Argumentation des HmbBfDI auf.  In Anbetracht der hohen Wahrscheinlichkeit diverser Verstöße, insbesondere im Hinblick auf die Sicherheit und Integrität von WhatsApp und der anderen Facebook-Unternehmen, war der Europäische Datenschutzausschuss der Ansicht, dass diese Angelegenheit zügig weiter untersucht werden muss.

Arbeitgeber sind für die Datenverarbeitung des Betriebsrats verantwortlich

13. Juli 2021

Am 18.06.2021 ist das Betriebsrätemodernisierungsgesetz in Kraft getreten (BGBl. 2021 I S. 1762). In dem neuen § 79a Betriebsverfassungsgesetz (BetrVG) wird das datenschutzrechtliche Verhältnis zwischen Betriebsrat und Arbeitgeber geregelt. Damit endet der lange Streit um die datenschutzrechtliche Frage, ob der Betriebsrat dem Arbeitgeber als datenschutzrechtlich Verantwortlicher zuzuordnen oder als datenschutzrechtlich eigene verantwortliche Stelle einzuordnen ist. § 79a Satz 2 BetrVG stellt nun klar:

„Soweit der Betriebsrat zur Erfüllung der in seiner Zuständigkeit liegenden Aufgaben personenbezogene Daten verarbeitet, ist der Arbeitgeber der für die Verarbeitung Verantwortliche im Sinne der datenschutzrechtlichen Vorschriften.“

Die in § 78a Satz 3 BetrVG normierte, gegenseitige Unterstützungspflicht bei der Einhaltung der datenschutzrechtlichen Vorschriften beruht laut der Gesetzesbegründung auf der datenschutzrechtlichen Verantwortlichkeit des Arbeitgebers einerseits und der innerorganisatorischen Selbständigkeit und Weisungsfreiheit des Betriebsrats andererseits. Der Betriebsrat ist danach zum Beispiel nicht verpflichtet, ein eigenes Verzeichnis von Verarbeitungstätigkeiten (Art. 30 DSGVO) zu führen, allerdings muss das Verarbeitungsverzeichnis des Arbeitgebers auch die Verarbeitungstätigkeiten des Betriebsrats enthalten. Hierfür ist der Arbeitgeber zwingend auf die Unterstützung des Betriebsrats angewiesen. Auch bei der Erfüllung etwaiger Auskunftsansprüche (Art. 15 DSGVO) die sich auf die durch den Betriebsrat verarbeiteten Daten beziehen, ist der Arbeitgeber auf die Unterstützung des Betriebsrats angewiesen.

Gemäß der Gesetzesbegründung muss der Betriebsrat innerhalb seines Zuständigkeitsbereichs auch eigenverantwortlich die Umsetzung technischer und organisatorischer Maßnahmen zur Gewährleistung der Datensicherheit im Sinne der Art. 24 und 32 DSGVO sicherstellen. Hierfür hat der Arbeitgeber den Betriebsrat mit den erforderlichen Sachmitteln, wie etwa geeigneten Sicherungseinrichtungen für Unterlagen mit personenbezogenen Daten, auszustatten.

Auch wenn der neue § 78 BetrVG Unklarheiten bzgl. der Zuständigkeit für die einzuhaltenden Datenschutzmaßnahmen klärt, stehen Unternehmen und Betriebsräte weiterhin vor der Herausforderung diese innerhalb des gesetzlich abgesteckten Rahmens einvernehmlich umzusetzen. Die Festlegung und Umsetzung von entsprechenden Prozessen sind hierfür notwendig. Die Gesetzesbegründung hebt in diesem Zusammenhang auch die mögliche Inanspruchnahme der Beratung des betrieblichen Datenschutzbeauftragten durch den Betriebsrat hervor.

EuGH: Einblick Dritter in das Strafpunkteregister steht DSGVO entgegen

9. Juli 2021

In der Vergangenheit war es in Lettland nicht abwegig, dass Jedermann Einsicht in das Strafpunkteregister über Verstöße im Straßenverkehr nehmen konnte. Die Besonderheit liegt darin, dass der Einblick in das Register nicht nur auf eigene Verstöße beschränkt war. In seinem Urteil vom 22.6.2021, Rechtssache C-439/19 stellt der Europäische Gerichtshof (EuGH) nunmehr den Verstoß gegen die DSGVO durch die hierfür erlassene Erlaubnisnorm fest.

Der vorliegende Fall wurde dem EuGH vom Verfassungsgericht Lettland zur Vorabentscheidung vorgelegt, nachdem sich ein Betroffener gegen das unbeschränkte Einsichtsrecht Dritter vor dem lettischen Verfassungsgericht gewehrt hatte. Das Ziel der Klarstellung war zweckmäßig, da die DSGVO der lettischen Regelung inhaltlich entgegensteht. Nach dem lettischen Straßenverkehrsgesetz war es demnach möglich, Informationen über eingetragene Strafpunkte anderer Personen ohne besonderes Interesse zu einzusehen.

Bei Strafpunkten, die wegen Verkehrsverstößen verhängt werden, handelt es sich um personenbezogene Daten im Sinne der DSGVO. Diese werden ferner als besonders sensible Daten deklariert, da es sich um personenbezogene Daten über strafrechtliche Verurteilungen handelt. Der Zweck die Straßenverkehrssicherheit mit dieser Möglichkeit zu verbessern, sei in diesem Zusammenhang nicht nachgewiesen und damit nicht erforderlich. Strafpunkte der Öffentlichkeit zugänglich zu machen, stelle einen Eingriff in die Achtung des Privatlebens dar.

In Deutschland kann dem Betroffenen nach Art. 15 DSGVO Auskunft über die eigenen Punkte im Fahreignungsregister erteilt werden. Das Urteil des EuGH lässt auf weitere Auswirkungen auf die Veröffentlichung von Informationen über Straftaten oder Ordnungswidrigkeiten schließen.

Kategorien: Allgemein · DSGVO
Schlagwörter: , ,

Public Cloud: Daten aus der Schweiz sollen nach China ausgelagert werden

Die Regierung in Bern vergibt einen Großauftrag für Cloud-Dienste an fünf Unternehmen. Unter anderem an einen chinesischen Anbieter. Der finanzielle Rahmen des gesamten Auftrags beläuft sich auf 110 Millionen Franken.

Cloud-Dienste haben eine wichtige Bedeutung für Privatpersonen, Unternehmen, aber eben auch für staatliche Stellen. Unter Cloud-Computing ist das Auslagern von Daten und Datenverarbeitung an eine externe IT-Infrastruktur zu verstehen. Vor allem aus Kostengründen spricht vieles dafür, in die Cloud zu gehen. Dadurch kann bei den Ausgaben für Hard- und Software gespart werden. Zudem werden die Rechen- und Speicherkapazität nach Bedarf bezahlt.

Kostengründe gaben wohl den Ausschlag

Doch das Auslagern staatlicher Daten an große ausländische Konzerne birgt auch Risiken, weshalb der Großauftrag an vier US-Firmen und einen chinesischen Konzern in der Schweiz auf Kritik stößt. Maßgeblicher Ausschlag war wohl der Preis. Die öffentlich einsehbare Meldung über die Vertragsvergabe gibt Hinweise: Erstens lautete eine der Bedingungen für die Bewerber, dass sie Rechenzentren auf mindestens drei Kontinenten haben und ihre Dienstleistungen einer internationalen Kundschaft zur Verfügung stellen müssen. Und zweitens hatten unter den Zuschlagskriterien die Faktoren Qualität und Preis das größte Gewicht. Kleinere Anbieter aus der Schweiz oder Europa hatten entsprechend wenig Chancen bei dieser Ausschreibung. Der Auftrag unterstreicht die derzeitige Dominanz weniger Cloud-Provider.

Jens Klessmann, der Leiter des Bereichs Digital Public Services am Fraunhofer-Institut für Offene Kommunikationssysteme, hält die Schweizer Entscheidung diesbezüglich für bemerkenswert und aus deutscher Sicht für “etwas Neues”. Jedoch bezeichnet er die US-Anbieter ebenfalls als schwierig, wenn es um Datenschutz geht. Wie sicher Schweizer Daten bei diesen Anbietern letztlich sind, hänge von der Art der Daten und ihrer Form ab, so Jens Klessmann. „Man kann beispielsweise Daten an ein chinesisches Unternehmen weitergeben, die ohnehin öffentlich sind. Und sensiblere Informationen können vorab verschlüsselt werden.“

Die Schweizer Bundesverwaltung hat gleichwohl im vergangenen Dezember ihre Cloud-Strategie veröffentlicht. Darin steht unter anderem, dass „in einem ersten Schritt“ nur solche Informationen in Clouds landen sollen, die nicht als „vertraulich“ oder „geheim“ klassifiziert sind. Laut Strategiepapier liegt es grundsätzlich in der Verantwortung der Schweizer Bundesministerien zu entscheiden, an welchen Stellen sie Cloud-Dienste in Anspruch nehmen wollen. Diese Entscheidung müssen sie „basierend auf einer Risikobeurteilung und Prüfung der Rechtkonformität“ treffen.

Bundesbehörden sollen ihre Facebook-Seiten löschen

7. Juli 2021

Mit einem Rundschreiben vom 16.06.21 hat der Bundesdatenschutzbeauftragte (BfDI) Ulrich Kelber die obersten Bundesbehörden und die Bundesregierung aufgefordert, ihre Facebook-Fanpages zu löschen.

Das Schreiben knüpft an ein ähnliches, im Mai 2019 verschicktes, Schreiben an. Bereits in diesem wies Kelber darauf hin, dass ein datenschutzkonformer Auftritt bei Facebook nicht möglich sei. Dafür müsste nämlich eine Vereinbarung zur gemeinsamen Verantwortlichkeit der öffentlichen Stellen mit Facebook vorliegen, die den Anforderungen von Art. 26 DSGVO entspräche. Diesbezüglich habe das Presse- und Informationsamt der Bundesregierung (BPA) Facebook kontaktiert. Facebook habe aber vor kurzem nur das öffentlich bekannte “Page Controller Addendum” zurückgesendet. Dieses regelt die gemeinsame Verantwortung für Daten, die auf den Fanpages erhoben werden.

Dieses Addendum hält Kelber aber für nicht genügend, damit die öffentlichen Stellen ihrer Rechenschaftspflicht aus Art. 5 Abs. 2 DSGVO nachkommen können. Die Rechenschaftspflicht sieht vor, dass die Einhaltung der Grundsätze der DSGVO nachgewiesen werden kann. Insbesondere ein pauschales Verweisen der Nutzer an Facebook, wenn es um die Verarbeitung ihrer Daten im Rahmen einer Fanpage geht, sei dafür nicht ausreichend.

Als Konsequenz verlangt Kelber nun, Facebook-Fanpages von Behörden und der Regierung sollten bis Ende des Jahres gelöscht werden. Sollte dies nicht geschehen, so wolle er die in Art. 58 DSGVO zur Verfügung stehenden Abhilfemaßnahmen gebrauchen. Dies könnten z.B. Verbote oder Löschungsanordnungen sein. Auch weist er die Behörden auf die Vorbildfunktion hin, die sie in Sachen Datenschutz hätten.

Die Bundesregierung teilte mit, sie habe die Einschätzung des Bundesdatenschutzbeauftragten zur Kenntnis genommen und werde diese prüfen. Würde Sie sich dazu entscheiden dem Rat zu folgen, würde sie eine enorme Reichweite einbüßen. Die zentrale Fanpage der Bundesregierung hat auf Facebook 870.000 Fans und über eine Million Abonnenten.

EU Kommission nimmt Angemessenheitsbeschluss zum Vereinigten Königreich an

5. Juli 2021

Die Europäische Kommission hat am 28. Juni 2021 den Angemessenheitsbeschluss im Rahmen der Datenschutzgrundverordnung angenommen. Das Datenschutzniveau in Großbritannien wurde damit von der Kommission als angemessen für europäische Standards anerkannt und personenbezogene Daten können nun trotz Brexit ungehindert aus der Europäischen Union in das Vereinigte Königreich übermittelt werden.

Zur Begründung führte die Kommission aus, dass das Vereinigte Königkreich weiterhin auf den selben Regeln basiert, die galten als es noch Mitglied der EU war. Auch die Grundsätze, Rechte und Pflichten der DSGVO seien vollständig in das seit dem Brexit geltende Rechtssystem übernommen worden.

Im Vorfeld war der Angemessenheitsbeschluss häufig wegen des ungehinderten und unkontrollierten Zugriffs britischer Geheimdienste auf personenbezogene Daten in Kritik geraten. Zudem hatte der Europäische Gerichtshof für Menschenrechte (EGMR) im Mai erst ein Urteil erlassen, indem es die Massenüberwachung durch britische Geheimdienste als Verstoß gegen die Menschenrechte gewertet hatte. Auch dieser Kritik begegnete der Beschluss, indem er dem Vereinigten Königreich in Bezug auf den Zugriff auf personenbezogene Daten starke Garantien zusprach. Ein wichtiges Element des Beschlusses ist daher, dass insbesondere die Geheimdienste bei Datenerhebungen der vorherigen Genehmigung durch ein unabhängiges Rechtsorgan unterliegen. Ebenso, dass alle ergriffenen Maßnahmen notwendig und verhältnismäßig sein müssen.

Neu an dem Angemessenheitsbeschluss ist auch, dass dieser erstmals eine sog. Verfallsklausel (“sunset clause”) enthält, durch den die Geltungsdauer des Beschlusses auf vier Jahre begrenzt wird. Während dieser Zeit hat die Kommission angekündigt, dass Datenschutzniveau im Vereinigten Königreich ständig im Blick zu behalten und im Falle von Abweichungen entsprechend einzugreifen. Sollte nach Ablauf der vier Jahre weiterhin ein angemessenes Datenschutzniveu vorliegen, kann der Beschluss auch verlängert werden.

Durch den Angemessenheitsbeschluss hat die Europäische Kommission eine Rechtsgrundlage für Datenübermittlungen in das Vereinigte Königreich für die nächsten vier Jahre geschaffen. Sollte der Beschluss nicht zufrieden stimmen, sind Klagen gegen diesen – ähnlich wie dies mit dem Privacy-Shield im Schrems-II-Urteil geschah – möglich.

Bei Anfangsverdacht einer Zweckentfremdung: Airbnb muss Daten von Vermietern herausgeben

2. Juli 2021

In einer vor kurzem ergangenen Entscheidung des VG Berlins (Urteil vom 23.06.2021, Az. 6 K 90/20) wurde das bekannte Online-Portal Airbnb dazu verurteilt, Behörden Daten von Vermietern herauszugeben, bei denen der Verdacht auf einen Verstoß gegen das Zweckentrfremdungverbot besteht. Ferner entschied das VG Berlin, dass Airbnb sich nicht auf das irische Datenschutzrecht berufen kann.

Der Sachverhalt

Angefangen hatte es mit einem Bescheid des Berliner Bezirksamts Tempelhof-Schöneberg, das Airbnb dazu verpflichten wollte, Namen und Anschriften zahlreicher Anbieter, deren Inserate in online veröffentlichten Listen aufgezählt waren, sowie die genaue Lage der von ihnen angebotenen “Ferienwohnung” zu übermitteln. Hintergrund des Bescheids ist das Gesetz über das Verbot der Zweckentfremdung von Wohnraum bzw. Zweckentfremdungsverbot-Gesetz (ZwVbG). Aufgrund der ohnehin schon knappen Wohnraumsituation, soll damit verhindert werden, dass vorhandener Wohnraum zu Ferienwohnungen umfunktioniert wird. Das Bezirksamt sah in vielen Fällen einen Verstoß gegen das Zweckentfremdungsverbot und forderte daraus resultierend die entsprechenden Daten von Airbnb an. Das Unternehmen kam dem aber nicht nach, sondern hielt die Norm, auf die sich die Behörde stütze, für verfassungswidrig. Ferner werde von dem in Dublin ansässigen Unternehmen verlangt, gegen irisches Datenschutzrecht zu verstoßen. Dementsprechend wollte Airbnb der Auskunftspflicht der Behörden nicht nachkommen und erhob Klage vor dem VG Berlin.

Die Entscheidung des VG Berlin

Das VG Berlin hat die Klage von Airbnb überwiegend abgewiesen. Die vom Bezirksamt damals geltende Rechtsgrundlage in Form von § 5 Absatz 2 Satz 2 und 3 ZwVbG a.F. hielt das Gericht nicht für verfassungsrechtlich bedenklich. Die Vorschrift greife zwar in das Grundrecht auf informationelle Selbstbestimmung ein, sei jedoch insbesondere verhältnismäßig, hinreichend bestimmt und normenklar. Auch sei die Vorschrift mit dem Unionsrecht vereinbar.

Aus datenschutzrechtlicher Sicht besonders interessant ist aber, dass die zuständige Kammer des VG Berlin entschied, Airbnb könne sich nicht auf irisches Datenschutzrecht berufen. Als Begründung legte die Kammer dar, dass das sogenannte Herkunftslandprinzip hier keine Anwendung finde.

Allerdings ist sich das VG Berlin der grundsätzlichen Bedeutung des Urteils bewusst und hat deshalb die Berufung zum Oberverwaltungsgericht Berlin-Brandenburg zugelassen. Über den weiteren Verfahrensverlauf werden wir Sie natürlich hier im Datenschutzticker informieren.

Beschwerden beim Datenschutzbeauftragten versehentlich gelöscht

29. Juni 2021

Datenschutz-Beschwerden, die zwischen dem 9. und 18. Juni abgegeben wurden, haben den BfDI größtenteils nicht erreicht.

Aufgrund eines technischen Fehlers sind bestimmte Beschwerden beim Bundesdatenschutzbeauftragten unwiderruflich gelöscht worden. Das teilte die Behörde am Montag in Berlin mit. Der Auslöser der Panne war eine Neugestaltung des Internetauftritts des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI).

Meldungen über die Formularseite wurden aufgrund von falschen Server-Einstellungen von den Sicherheitsvorkehrungen der Netze des Bundes als gefährliches Spoofing eingestuft. Beim „Spoofing“ versuchen Angreifer, die eigene Identität zu verschleiern und sich als vertrauenswürdig darzustellen. Anders als bei unerwünschten Werbe-Mails – die in einem herkömmlichen Spam-Ordner landen – werden „Spoofing“-Mails im Netz des Bundes sofort gelöscht.

Laut Mitteilung haben „Eingaben und Beschwerden, die zwischen dem 9. und 18. Juni 2021 über diese Formulare abgegeben wurden, die Behörde größtenteils nicht erreicht und konnten somit auch nicht bearbeitet werden. Betroffene Bürgerinnen und Bürger werden daher gebeten, ihre in diesem Zeitraum abgegebenen Eingaben und Beschwerden noch einmal einzureichen.“ Allerdings hatten „zu keinem Zeitpunkt unberechtigte Dritte Zugriff auf die über die Formulare versandten Informationen. Der BfDI wird den Vorfall auch dafür nutzen, die Prozesse bei der Abnahme von Softwareprojekten zu verbessern“, heißt es in der Mitteilung. Mittlerweile funktionieren die Formulare und wurden wieder online gestellt.

Schmerzensgeld aufgrund Weitergabe von Gesundheitsdaten

22. Juni 2021

Die unzulässige Weitergabe von Gesundheitsdaten rechtfertigt ein Schmerzensgeld in Höhe von 10.000 Euro, das entschied das Landgericht Meiningen mit Urteil vom 23.12.2020 (Az. (122) 3 O 363/20.

Sachverhalt

Zwischen den Parteien bestand ein Unfallversicherungsvertrag. Nachdem der Kläger einen Verkerhrsunfall erlitt und dabei schwer verletzt wurde, führten die Parteien ein Verfahren vor dem Landgericht Meiningen, in dem es um die Ansprüche aus dem Unfallversicherungsvertrag ging. Gleichzeitig führte der Kläger auch ein Verfahren gegen die Haftpflichtversicherung des anderen Unfallbeteiligten vor dem Landgericht Erfurt, in welchem es um die Geltendmachung weiterer Schadensersatzansprüche ging. Die Beklagten aus beiden Verfahren wurden dabei durch dieselbe Anwaltskanzlei vertreten.

Im Rahmen des Verfahrens vor dem Landgericht Meiningen holte der Unfallversicherer ein Gutachten zum Gesundheitszustand des Klägers ein. Mit Einverständnis der beklagten Unfallversicherung, aber ohne Einwilligung des Klägers, zitierte die für beide Verfahren zuständige Kanzlei auch im Erfurter Verfahren wörtlich aus dem Gutachten, das den Gesundheitszustand des Klägers bewertete und im Auftrag der Unfallversicherung erstellt wurde.

Darin sah der Kläger einen Vertoß gegen die vertraglichen Pflichten der Unfallversicherung, insbesondere seine Gesundheitsdaten seien besonders schützenswert, auch datenschutzrechtlich. Außerdem könne ein negativer Einfluss auf den Ausgang des Erfurter Prozesses durch das Bekanntwerden des Gutachtens nicht ausgeschlossen werden. Die Beklagte hingegen sah keinen Verstoß gegen datenschutzrechtliche Bestimmungen. Sie war der Auffassung, sie müsse sich eine etwaige Pflichverletzung Dritter, d.h. der Kanzlei, nicht zurechnen lassen. Diese sei eine eigenständige datenverarbeitende Stelle im Sinne der DSGVO.

Entscheidung

Das Gericht gab der Klage teilweise statt und sprach dem Kläger ein Schmerzensgeld in Höhe von 10.000 Euro aufgrund einer Nebenpflichtverletzung aus dem Versicherungsvertrag zu.

Dazu stellte es fest, dass die Beklagte dem Kläger gegenüber gem. § 241 Abs. 2 BGB zur Verschwiegenheit verpflichtet war. Es führte aus, dass sensible Daten des anderen Teils Dritten nicht ohne Weiteres offenbart werden dürften, und zwar auch dann nicht, wenn die Vertraulichkeit nicht spezialgesetzlich oder in Vertragsbedingungen ausdrücklich geregelt sei. Aus dem Versicherungsvertrag ergebe sich die Nebenpflicht, die aus diesem Vertragsverhältnis erlangten Daten nicht an Dritte weiterzugeben. Bei den Gesundheitsdaten handle es sich um sensible Daten, die besonders geschützt seien. Auch eine Rechtfertigung für die Weitergabe der Daten aus Art. 6 Abs. 1 lit. f DSGVO, einem berechtigten Interesse, verneinte das Gericht. Danach, so das Gericht, sei die Verarbeitung, zu der auch die Weitergabe von Daten an Dritte gehört, rechtmäßig, wenn die Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist, sofern nicht die Interessen und Grundrechte der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen.

Das Gericht sah das Recht des Klägers auf Schutz seines Allgemeinen Persönlichkeitsrechts gem. Art. 2 Grundgesetz gegenüber dem Recht der Versicherung, die in Erfurt verklagt worden war, sich im Prozess zu verteidigen, als überwiegend an. Es erkannte keinen zwingenden Grund für die Verwertung des Gutachtens in dem Verfahren in Erfurt. Zudem hätten in dem Erfurter Verfahren auch noch gerichtliche Gutachten eingeholt werden können.

Die Verletzung des Allgemeinen Persönlichkeitsrechts stufte das Gericht auch als besonders schwerwiegend ein, da es sich bei den Gesundheitsdaten um höchstpersönliche Daten der Intimssphäre handelte.

Datenschutz-Negativpreis für Doctolib

21. Juni 2021

Der Negativpreis “Big Brother Award” in der Kategorie Gesundheit geht 2021 an das Berliner Unternehmen Doctolib. Laut Jury missachtet der Vermittler von Arztterminen auf seiner Internetplattform die Vertraulichkeitspflicht. Zudem soll er die Daten der Nutzer und jene aus Arztpraxen für kommerzielle Marketingzwecke verarbeiten.

Weiteres Datenschutz-Debakel

Der Terminvergabe-Dienstleister Doctolib hat zudem die Suchanfragen von Patienten per URL-Weitergabe mit Facebook und Outbrain geteilt. Über Doctolib können auch Termine bei Ärzten verschiedener Fachrichtungen gebucht werden. Dabei ist es auch möglich, direkt nach dem gewünschten Arzt zu suchen. Wer nicht sicher ist, welcher Arzt am ehesten angesprochen werden soll, kann beliebige Suchbegriffe nutzen. Auf diese Weise kann die Zielgruppe eingegrenzt werden. Für Patienten war jedoch nicht ersichtlich, dass Doctolib die Daten aus der Anfrage in einem Cookie speichert und per Get-URL an seine Marketingpartner Facebook und Outbrain versendet.

Doctolib hat allerdings mittlerweile die Datenübertragung und die schlecht erklärte Einwilligung eingeräumt und am vergangenen Wochenende nachweislich abgeschaltet, berichtet Mobilsicher.de, die sich Doctolib näher angesehen hatten. Zudem habe Doctolib nach eigenen Angaben bei Facebook und bei Outbrain veranlasst, dass alle über die Cookies erfassten Daten aus der Vergangenheit gelöscht werden.

1 22 23 24 25 26 41