Kategorie: DSGVO

Bundesnetzagentur: Auslegungshinweise zur Dokumentationspflicht für Telefonwerbung

14. Juli 2022

Die Bundesnetzagentur (BNetzA) veröffentlichte letzte Woche Auslegungshinweise bezüglich der nach § 7 a UWG bestehenden Dokumentations- und Aufbewahrungspflicht für Einwilligungen in die Telefonwerbung.

§ 7 a Abs. 1 UWG regelt, dass die Werbung per Telefon nur erlaubt ist, wenn die betroffene Person vorher in die Telefonwerbung eingewilligt hat. Diese Einwilligung muss der Werbende dokumentieren und die Dokumentation gem. § 7 a Abs. 2 S.1 UWG fünf Jahre lang aufbewahren.

Adressat der Dokumentations- und Aufbewahrungspflicht

Zunächst geht die BNetzA darauf ein, an wen sich die Dokumentations- und Aufbewahrungspflicht richtet. Vom Tatbestand des § 7 a UWG sind alle werbenden Unternehmen umfasst. Die BNetzA stellt klar, dass darunter Unternehmen und Personen fallen, „(…) die Werbeanrufe gegenüber Verbrauchern ausführen (…)“, d.h. Callcenter, sowie Unternehmen, die Callcenter mit diesen Werbeanrufen beauftragen. Beauftragt ein Unternehmen also einen externen Dienstleister mit Werbeanrufen, dann sind beide Akteure für die Dokumentations- und Aufbewahrungspflicht verantwortlich.

Die Dokumentationspflicht

Die BNetzA äußerte sich ferner zum Umfang der Dokumentationspflicht. Der Werbende müsse für eine wirksame Einwilligung nachweisen können, wer an der Einwilligung beteiligt war, wann und wie sie abgegeben wurde und welche Reichweite sie habe. Grundsätzlich könne der Werbende die Form der Einwilligung frei wählen. Das Gesetzt sehe keine bestimmte Form vor. Die gewählte Form habe aber Auswirkungen auf die Dokumentation der Einwilligung.

Für eine per E-Mail, SMS oder per Anklicken eines entsprechenden Feldes eingeholte Einwilligung wies die BNetzA auf die Anfälligkeit für eine Manipulation hin. Es müsse sichergestellt werden, dass die beworbenen Personen keine falschen Angaben zu personenbezogenen Daten tätigen. Diese Gefahr bestünde insbesondere, wenn der Werbende einen Verbraucher per E-Mail kontaktiere und dieser falsche Angaben zu seiner Telefonnummer mache. Um dem vorzubeugen, müsse der Werbende einen geeigneten Verifizierungsmechanismus ergreifen.

Für die fernmündlich erteilte Einwilligung könne der Werbende das entsprechende Gespräch aufzeichnen. Hinsichtlich einer schriftlich erteilten Einwilligung müsse der Werbende beachten, dass sich diese nicht innerhalb eines sonstigen Vertragstextes „verstecke“.

Die Aufbewahrungspflicht

Die Aufbewahrungspflicht beginne erstmalig, laut BNetzA mit Erteilung der Einwilligung. Anschließend beginne mit jeder Verwendung der Einwilligung die fünfjährige Aufbwahrungsfrist von neuem zu laufen. Eine Verwendung liege vor, wenn auf Grundlage der Einwilligung die beworbene Person kontaktiert werde und ein Werbegespräch erfolge.

Außerdem konkretisierte die BNetzA die Dokumentations- und Aufbewahrungspflicht dahingehend, dass sie im Lichte der Rechenschaftsplicht nach Art. 7 Abs. 1 DSGVO zu betrachten seien. Jegliche Zweifel an der Abgabe einer Einwilligung gehen demnach zu Lasten des Werbenden.

Die Debatte um Perioden-Tracker-Apps und einen möglichen Datenhandel – Teil 1 

Nach dem historischen Urteil des US Surpreme Courts vom 24.06.2022, in dem das in den USA ca. 50 Jahre lang bestehende Recht auf Abtreibung gekippt wurde, sind Debatten über sogenannte „Perioden-Tracker-Apps“ in aller Munde. Befürchtet wird, dass die in diesen Apps gespeicherten Gesundheitsdaten direkt an staatliche Institutionen in den USA oder an Datenhändler gelangen könnten. Woraus diese Befürchtungen resultieren, werden wir im Folgenden in zwei Teilen beantworten. 

Im ersten Teil beschäftigen wir uns mit Perioden-Tracker-Apps und der Rechtslage in den USA und in Europa.

Welche Daten erheben solche Apps? 

Die Perioden-Tracker-Apps sind dazu gedacht, dass Menstruierende dort Informationen zu ihrem Zyklus speichern können. So kann u.a. angegeben werden, wann eine Blutung und der Eisprung stattfinden. Auch Daten wie Körpergröße, Gewicht, Temperatur und Sexualkontakte können dort gespeichert werden. Dies soll den Nutzerinnen einen besseren Überblick über ihren Zyklus verschaffen. Solche Apps können auch die fruchtbaren Tage anzeigen, sodass sie bei der Familienplanung hilfreich sein können. 

Welche datenschutzrechtlichen Bedenken gibt es? 

Aus den gespeicherten Daten kann sich u.a. ergeben, dass eine Schwangerschaft nicht länger besteht. Es wird befürchtet, dass diese Daten von Perioden-Tracker-Apps unzureichend vor der Weitergabe an Dritte oder sonstigen Zugriffen geschützt sind. In der Vergangenheit standen solche Apps schon häufiger in der Kritik, ihre Daten nicht ausreichend zu schützen. So hatte eine Perioden-Tracker-App in der Vergangenheit bereits intime Daten an Facebook und Google weitergegeben

Künftig könnten Frauen, die eine Abtreibung vornehmen lassen über die, in solchen Apps verarbeiteten Daten, identifiziert werden. Da Abtreibungen zukünftig in einigen Staaten der USA strafbar sein werden, könnte dies zu Repressalien gegenüber der betroffenen Frau führen. Aber auch Fehlgeburten oder schlicht falsche Daten könnten Frauen zukünftig in Erklärungsnot bringen. Konkret wird befürchtet, dass die Polizei oder behördliche Einrichtungen diese Daten anfordern.  

Wie ist die Rechtslage im Datenschutz? 

In Europa sichert die europäische Datenschutzgrundverordnung (DSGVO) ein bestimmtes Datenschutzniveau. So gibt es beispielsweise Betroffenenrechte, die u.a. ein Recht auf Löschung von Daten gewähren. Die USA haben bisher kein bundeseinheitliches Datenschutzgesetz, ein Entwurf liegt aber mittlerweile vor. Momentan gibt es nur einzelne Regeln für bestimmte Bereiche, z.B. für Verbraucher. Spezielle Datenschutzgesetze gibt es z.B. in den Staaten Kalifornien und Virginia. In Kalifornien gibt es den Privacy Act (CCPA), der Betroffenenrechte gewährt, die der DSGVO ähnlich sind. Die meisten Bundesstaaten aber haben keinen speziellen Datenschutz. Dementsprechend haben die meisten US-Amerikaner vergleichsweise wenig Rechte über ihre Daten. 

Der zweite Teil dieses Beitrags erscheint nächste Woche und thematisiert das Problem des Datenhandels sowie die Frage, welche Konsequenzen sich für europäische Nutzerinnen von Perioden-Tracking-Apps ergeben.

Die Urlaubsverwaltung im Unternehmen datenschutzkonform gestalten

Gerade in den Sommermonaten greifen viele Unternehmen auf (digitale) Urlaubskalender zurück, um Mitarbeiterurlaube zu planen. Doch was sollte beachtet werden, damit die Urlaubsverwaltung und entsprechende Kalender datenschutzkonform verwendet werden?

Der Europäische Datenschutzbeauftragte zu der Urlaubsverwaltung

Der Europäische Datenschutzbeauftragte (EDSB) weist darauf hin, auch bzgl. der Urlaubsverwaltung innerhalb der eigenen Organe und Einrichtungen, dass die Verwaltung von Mitarbeiterurlauben häufig die Verarbeitung gesundheitsbezogener Daten erfordert. Ärztliche Bescheinigungen und andere Belege, die für die Genehmigung von Sonderurlauben benötigt werden, gehören der Kategorie sensibler Daten gem. der DSGVO an und unterliegen daher einem erhöhten Schutzniveau. Folglich sei es besonders wichtig, die Qualität und Sicherheit der Daten sowie die Betroffenenrechte und andere Pflichten unter der DSGVO zu gewährleisten.

Die Anforderungen der DSGVO an Urlaubskalender

Für die rechtskonforme Verarbeitung personenbezogener Daten wird zunächst eine der Rechtsgrundlagen aus Art. 6 DSGVO benötigt. Das Anlegen eines Urlaubskalenders ermöglicht es dem Arbeitgeber, seiner Pflicht zur Erfüllung von Urlaubsansprüchen gegenüber seinen Arbeitnehmern gemäß § 1 BUrlG nachzukommen. Damit ist die Verarbeitung erforderlich für die Erfüllung einer rechtlichen Verpflichtung und somit nach Art. 6 Abs. 1 lit. c DSGVO rechtmäßig.  Zudem darf die Verarbeitung nur zweckgebunden stattfinden. Die betriebliche Urlaubsplanung stellt hier einen hinreichend bestimmten Zweck dar. Darüber hinaus fordert der Grundsatz der Datenminimierung, dass nur Daten verarbeitet werden, die für die Urlaubsplanung absolut erforderlich sind. Dem Prinzip der Vertraulichkeit zu Folge, muss ebenfalls eine angemessene Sicherheit der Daten durch geeignete technische und organisatorische Maßnahmen gewährleistet werden. Hier empfiehlt der EDSB, ärztliche Bescheinigungen und andere medizinische Daten, wenn möglich, vom ärztlichen Dienst oder Betriebsarzt bearbeiten zu lassen und nicht von der Personalabteilung. Personalmitarbeiter, die Urlaubsantragsverfahren bearbeiten, sollten zudem diesbezüglich zur Vertraulichkeit verpflichtet werden. Zudem müssen Mitarbeiter ausreichend über die Verarbeitung und Ihre Betroffenenrechte informiert werden. Daten sollten nicht länger als erforderlich gespeichert werden.

Urlaubskalender, zugänglich für alle?

Problematisch wird es, wenn die Urlaubskalender für alle Mitarbeiter einsehbar sind. Die Urlaubsverwaltung erfordert normalerweise nicht, dass Mitarbeiter die Urlaubstage ihrer Kollegen einsehen können. Ein solcher Zugriff, sofern nicht zwingend erforderlich, verstößt gegen den Grundsatz der Vertraulichkeit der Daten und ist somit nicht mehr auf die ursprüngliche Rechtsgrundlage der Verarbeitung zu stützen. Denkbar wäre es, einzelne Einwilligungen der Mitarbeiter in die Veröffentlichung ihrer Urlaubstage einzuholen. Jedoch muss eine solche Einwilligung die Ansprüche an die Freiwilligkeit gemäß Art. 4 Abs. 11 DSGVO i.V.m. § 26 Abs. 2 S. 2 BDSG erfüllen. Demnach ist eine Einwilligung eines Mitarbeiters insbesondere dann freiwillig, wenn dadurch für ihn ein Vorteil erreicht wird oder Arbeitnehmer und Arbeitgeber gleichgelagerte Interessen verfolgen. Hier merkt der ESDA an, dass aufgrund des Ungleichgewichts der Macht zwischen Arbeitnehmer und Arbeitgeber eine solche Freiwilligkeit im Arbeitsverhältnis zumeist nicht erfüllt ist. Folglich sollte, wenn möglich, davon abgesehen werden, Urlaubskalender allen Mitarbeitern zugänglich zu machen.

EuGH urteilt zum Kündigungsschutz der Datenschutzbeauftragten

5. Juli 2022

Mit Urteil vom 22.06.2022 (C‑534/20) hat der Europäische Gerichtshof (EuGH) entschieden, dass der deutsche Sonderkündigungsschutz von Datenschutzbeauftragten aus § 38 Abs. 1 und 2 in Verbindung mit § 6 Abs. 4 Satz 2 Bundesdatenschutzgesetz (BDSG) europarechtskonform ist.

Der Sachverhalt

Eine Gesellschaft hatte ihrer internen Datenschutzbeauftragten ordentlich und aus betriebsbedingten Gründen gekündigt. Die Position der Datenschutzbeauftragten sollte zukünftig extern besetzt werden. Die Datenschutzbeauftragte wehrte sich gegen ihre Kündigung. Nach § 38 Abs. 2 in Verbindung mit § 6 Abs. 4 Satz 2 BDSG könne sie als Datenschutzbeauftragte nur außerordentlich aus wichtigem Grund gekündigt werden. Eine ordentliche, betriebsbedingte Kündigung sei ausgeschlossen. Die deutschen Arbeitsgerichte gaben ihr Recht, die Kündigung sei nach § 134 BGB nichtig. Da die Gesellschaft stets Rechtsmittel einlegte, wurde die Streitigkeit letztlich dem Bundesarbeitsgericht (BAG) zur Entscheidung vorgelegt.

Das BAG war sich mit der Europarechtskonformität der in Frage stehenden Normen unsicher, konkret bezüglich der Vereinbarkeit mit Art. 38 DSGVO. Denn nach nationalem Recht in § 38 Abs. 2 in Verbindung mit § 6 Abs. 4 Satz 2 BDSG ist die Kündigung einer Datenschutzbeauftragten unzulässig, es sei denn Tatsachen lägen vor, die zur Kündigung aus wichtigem Grund ohne Einhaltung einer Kündigungsfrist, also zur außerordentlichen Kündigung, berechtigten. Eine ordentliche Kündigung ist damit ausgeschlossen. Im europäischen Recht in Art. 38 DSGVO hingegen, ist kein besonderer Kündigungsschutz für Datenschutzbeauftragte vorgesehen. Dort ist nur geregelt, dass die Datenschutzbeauftragte nicht wegen der Erfüllung ihrer Aufgaben abberufen werden kann. Somit gewähren die deutschen Normen des BDSG einen höheren Kündigungsschutz als die europäische DSGVO.

Deshalb legte das BAG das Verfahren dem EuGH vor, u.a. mit der Frage, ob das europäische Recht den strengeren deutschen Normen entgegensteht.

Die Entscheidung

Der EuGH entschied, dass die strengeren, deutschen Normen zum Kündigungsschutz mit dem europäischen Recht vereinbar sind. Art. 38 DSGVO steht den Regelungen des BDSG nicht entgegen.

Für seine Begründung verwies der EuGH auf den Wortlaut von Art. 38 DSGVO, das mit Art. 38 DSGVO verfolgte Ziel, eine Unabhängigkeit der Datenschutzbeauftragten zu gewährleisten, sowie den Zweck der DSGVO selbst. Diese solle nämlich nicht den Kündigungsschutz generell regeln.

Der EuGH führt dazu aus, dass: „es jedem Mitgliedstaat freisteht, in Ausübung seiner vorbehaltenen Zuständigkeit besondere, strengere Vorschriften für die arbeitgeberseitige Kündigung eines Datenschutzbeauftragten vorzusehen, sofern diese mit dem Unionsrecht und insbesondere mit den Bestimmungen der DSGVO, vor allem Art. 38 Abs. 3 Satz 2 DSGVO, vereinbar sind.“ Insbesondere dürfe „ein strengerer Schutz die Verwirklichung der Ziele der DSGVO nicht beeinträchtigen. Dies wäre aber der Fall, wenn dieser Schutz jede durch einen Verantwortlichen oder einen Auftragsverarbeiter ausgesprochene Kündigung eines Datenschutzbeauftragten verböte, der nicht mehr die für die Erfüllung seiner Aufgaben erforderlichen beruflichen Eigenschaften besitzt oder seine Aufgaben nicht im Einklang mit der DSGVO erfüllt.“ Die Verwirklichung der Ziele der DSGVO sah der EuGH hier nicht gefährdet, denn eine Kündigung der Datenschutzbeauftragten ist im deutschen Recht grundsätzlich möglich.

Lassen sich künstliche Intelligenz (KI) und die DSGVO miteinander vereinbaren?

30. Juni 2022

Was ist KI im rechtlichen Sinne ?

Bisher gibt es keine allgemeine anerkannte Definition für KI. Die Bundesregierung versteht unter KI „ein Teilgebiet der Informatik, welches sich mit der Erforschung von Mechanismen des intelligenten menschlichen Verhaltens befasst. Dabei geht es darum, technische Systeme so zu konzipieren, dass sie Probleme eigenständig bearbeiten und sich dabei selbst auf veränderte Bedingungen einstellen können“ (BT-Drs. 19/1982, S. 2). Ähnlich wird dies von der EU-Kommission gesehen. Danach bezeichnet KI „Systeme mit einem ,intelligenten‘ Verhalten, die ihre Umgebung analysieren und mit einem gewissen Grad an Autonomie handeln, um bestimmte Ziele zu erreichen“ (COM(2018) 237, S. 1). 

Die DSGVO spricht an keiner Stelle ausdrücklich von KI,  jedoch ist Erwägungsgrund 15 DSGVO zu entnehmen, dass der Schutz natürlicher Personen technologieneutral und unabhängig von einer verwendeten Technologie sein soll. KI-Systeme als Technologie sind für deren Funktionieren auf die zugeführten Daten angewiesen. Die DSGVO ist einschlägig, sobald diese Daten personenbezogen sind. Von datenschutzrechtlicher Bedeutung ist demnach die Verarbeitung personenbezogener Daten zum Zweck des Trainings und der Erzeugung einer KI-Anwendung. Daneben ist die Anwendung einer bereits trainierten KI auf einen gewissen Sachverhalt relevant. Die KI könne dabei helfen, einige der größten Herausforderungen besser zu bewältigen, dabei müsse aber immer sichergestellt sein, dass Persönlichkeitsrechte, das Recht auf informationelle Selbstbestimmung und andere Grundrechte nicht verletzt würden.

Verarbeitungen personenbezogener Daten durch die KI müssen auf jeden Fall den in Art. 5 Abs. 1 DSGVO entsprechenden Datenschutzgrundprinzipien entsprechen, und somit insbesondere einen legitimen Zweck verfolgen, außerdem auf einer Rechtsgrundlage beruhen und zudem transparent ausgestaltet sein.

Ist bei der Anwendung von künstlicher Intelligenz eine Datenschutz-Folgenabschätzung notwendig?

Die Datenschutz-Folgenabschätzung (DSFA) gem. Art. 35 DSGVO ist die Prüfung einer oder mehrerer Verarbeitungstätigkeiten, die einer Risikoanalyse unterzogen werden. Die DSFA ist also ein zentrales Instrument, welches seinen Zweck darin hat, zu prüfen, ob der Einsatz von KI für eine Verarbeitungstätigkeit auch geeignet ist.

Vorab muss jedoch eine Erforderlichkeitsprüfung gem. Art. 35 Abs. 1 S. 1 DSGVO durchgeführt werden. Es geht darum, ob eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, auf Grund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für Rechte und Freiheiten natürlicher Personen zur Folge hat. Weitere Anhaltspunkte ergeben sich zudem aus Erwägungsgrund 91 S. 1 DSGVO, wonach bei Verarbeitungsvorgängen von großen Mengen personenbezogener Daten ein Bedürfnis nach einer DSFA besteht.

Wird KI auf Grundlage personenbezogener Daten angewendet, ist damit in der Regel eine DSFA durchzuführen. Dafür spricht auch das Regelbeispiel in Art. 35 Abs. 3 lit. a DSGVO, das u.a. Profiling, welches häufig mit KI-bedienten Tools ausgeführt wird, nennt. Ist kein Regelbeispiel einschlägig, ist die Liste der Verarbeitungstätigkeiten, für die eine DSFA durchzuführen ist (vgl. Art. 35 Abs. 4 S. 1 DSGVO), der Aufsichtsbehörden vom 18.7.2018 zu berücksichtigen. In Nr. 11 und Nr. 13 der Liste wird der Einsatz von KI und Algorithmen genannt. Außerdem können die in den Leitlinien der Art. 29-Datenschutzgruppe aufgestellten Kriterien zur Erforderlichkeit der DSFA führen. Im Falle einer KI-Anwendung werden wohl nicht selten alle Kriterien erfüllt sein. Bleibt die Frage nach einer verpflichtenden DSFA offen, sollte eine Durchführung dennoch in Erwägung gezogen werden, da Verantwortliche von einer begleitenden DSFA immer profitieren.

Mit einer sorgfältig durchgeführten DSFA können KI-Anwendungen aus ganz unterschiedlichen Einsatzfeldern über den gesamten Entwicklungsprozess datenschutzrechtlich sicher ausgestaltet werden.

LAG Schleswig-Holstein zur Auslegung und Höhe des Schadensersatzanspruchs nach Art. 82 Abs. 1 DSGVO

Das Landesarbeitsgericht Schleswig-Holstein wies in seinem Beschluss vom 01.06.2022 (6 Ta 49/22) eine Beschwerde gegen die teilweise Versagung von Prozesskostenhilfe zurück, da es der Auffassung war, das Arbeitsgericht habe im vorangegangenen Verfahren das Schmerzensgeld in angemessener Höhe festgesetzt und der Fall sei nicht vergleichbar mit anderen Fällen, in denen ein wesentlich höheres Schmerzensgeld festgesetzt worden war.

Sachverhalt

In der Hauptsache verlangte die Klägerin nach Beendigung ihres Arbeitsverhältnisses mit der Beklagten von dieser unter anderem Zahlung von 6.000 Euro Schmerzensgeld sowie das Unterlassen der Nutzung eines Werbevideos. Während ihrer Beschäftigung bei der Beklagten hatte die Klägerin der Teilnahme an dem Video mündlich zugestimmt. Die Beklagte hatte die Klägerin dabei vorab jedoch nicht über den Zweck der Datenverarbeitung und auch nicht über ihr Widerrufsrecht bezüglich der Einwilligung in Textform informiert. Anschließend hatte die Beklagte das Video im Internet auf der Plattform „YouTube“ veröffentlicht.

Noch vor der Güteverhandlung nahm die Beklagte das Video von der Plattform und die Parteien schlossen dahingehend einen verfahrensbeendenden Vergleich. Der Prozesskostenhilfeantrag der Klägerin wurde bewilligt, jedoch für ihren Antrag auf Zahlung von Schmerzensgeld nur bis zu einer Höhe von 2.000 Euro. Hiergegen wendete sich die Klägerin mit sofortiger Beschwerde und rügte, das Arbeitsgericht habe nicht ausreichend berücksichtigt, dass das Arbeitsgericht Münster in seinem Urteil vom 25.03.2021 (3 Ca 391/20) in einem vergleichbaren Fall ein wesentlich höheres Schmerzensgeld festgesetzt habe.

Entscheidung des Gerichts

Unter Bezugnahme auf eine Entscheidung des BAG vom 26.08.2021 (8 AZR 253/20, Rn. 33) nahm das LAG Schleswig-Holstein einen Schadensersatzanspruch der Klägerin gem. Art. 82 Abs. 1 DSGVO wegen eines immateriellen Schadens allein aufgrund der Verletzung der DSGVO an. „Der Rechtsanspruch auf immateriellen Schadensersatz nach Art. 82 Abs. 1 DSGVO erfordert über die Verletzung der DSGVO hinaus nicht zusätzlich, dass die verletzte Person einen (weiteren) von ihr erlittenen immateriellen Schaden darlegt. Bereits die Verletzung der DSGVO selbst führt zu einem auszugleichenden immateriellen Schaden.“ (LAG Schleswig-Holstein, Beschluss vom 01.06.2022, 6 Ta 49/22, Rn. 14). Einhergehend mit der Rechtsprechung des Europäischen Gerichtshofs (EuGH) wurde der Begriff des Schadens weit und auf eine Weise ausgelegt, die den Zielen der Verordnung in vollem Umfang entspricht. „Angesichts dessen geht die Beschwerdekammer davon aus, dass Art. 82 Abs. 1 DSGVO neben seiner Ausgleichsfunktion auch spezial- bzw. generalpräventiven Charakter hat und dies bei der Bemessung der Höhe des zu ersetzenden immateriellen Schadens zu Lasten des Verantwortlichen zu berücksichtigen ist. Verstöße müssen nämlich effektiv sanktioniert werden. Der Schadensersatz bei Datenschutzverstößen soll eine abschreckende Wirkung haben, um der Datenschutzgrundverordnung zum Durchbruch zu verhelfen (effet utile).“ (LAG Schleswig-Holstein, Beschluss vom 01.06.2022, 6 Ta 49/22, Rn. 15).

Das LAG hielt die Obergrenze in diesem Fall in Höhe von 2.000 Euro für einen Schadensersatz unter Berücksichtigung und Abwägung aller Umstände für angemessen. Die Beeinträchtigung des Rechts der Klägerin am eigenen Bild sei nicht schwerwiegend gewesen. Die Aufnahmen hätten auch nicht erkennbar die Intimsphäre der Klägerin berührt oder sie diskriminiert. Zudem habe die Beklagte das Video nach der Aufforderung umgehend aus dem Netz genommen. Ein höheres Schmerzensgeld zur Erstattung des immateriellen Schadens aufgrund des Verstoßes der Beklagten gegen die Vorschriften der DSGVO sei nicht zu rechtfertigen.

Auch der Vergleich mit anderen Urteilen zeige die Angemessenheit auf. Richtig sei, dass bei der Festlegung der Höhe eines zuzuerkennenden Schmerzensgeldes auf eine angemessene Relation der Anspruchshöhe zu in anderen vergleichbaren Fällen ausgeurteilten Entschädigungsbeträgen zu achten sei. Bei vergleichbaren Verstößen gegen das Persönlichkeitsrecht des Arbeitnehmers hätten andere Arbeitsgerichte sogar niedrigere Summen für angemessen gehalten. Das Urteil des Arbeitsgerichts Münster sei jedoch nicht vergleichbar und läge in wesentlichen Punkten anders. Insbesondere sei die dortige Verwendung der Aufnahmen nach Ansicht des Arbeitsgerichts diskriminierend gewesen.

Mit der Annahme eines weiten Schadensbegriffs zeigt dieser Beschluss erneut auf, dass die Gerichte hinsichtlich der Auslegung des Art. 82 Abs. 1 DSGVO eine weitestgehend einheitliche und arbeitnehmerfreundliche Auffassung vertreten. Allein aufgrund des Verstoßes gegen eine Pflicht aus der DSGVO entstehen den Betroffenen immaterielle Schäden, welche einen Schadensersatzanspruch auslösen können. Bezüglich der Höhe ist auf den Einzelfall abzustellen.

Überblick zur umstrittenen Palantir-Software

29. Juni 2022

Seit einiger Zeit ist immer wieder die Rede von dem US-Konzern Palantir. Spätestens seitdem das Bayerische Landeskriminalamt (BLKA) im März entschieden hatte, zukünftig eine Analyse-Software des Konzerns zu nutzen, ist der Name wieder vermehrt zu hören gewesen. Dies liegt u.a. daran, dass der Konzern nicht ganz unumstritten ist. Alle wichtigen Informationen rund um den Palantir-Konzern und die fragliche Software präsentieren wir Ihnen hier im Überblick: 

Um was für eine Software handelt es sich und wozu wird sie eingesetzt? 

Das Analyse-Tool von Palantir beruht auf der Software Gotham. Damit sollen neben polizeilichen, auch andere behördliche Datenbanken abgefragt werden können, z. B. das Waffenregister, Einwohnermeldedaten oder das Ausländerzentralregister. Informationen aus verschiedenen Datenbanken sollen so schneller und effizienter miteinander verknüpft werden. 

Wie weit ist die Software verbreitet? 

In Hessen („Hessendata“) und Nordrhein-Westfalen („DAR“) ist die Palantir-Software bereits im Einsatz. In Bayern soll sie unter dem Begriff „VeRA“ (Verfahrensübergreifende Recherche und Analyse) starten. Da Bayern einen sogenannten „Rahmenvertrag“ abgeschlossen hat, können weitere Polizeien von Bund und Ländern ohne zusätzliche Vergabeverfahren in den Vertrag miteinsteigen. 

Baden-Württemberg, Bremen und Hamburg haben bereits Interesse bekundet. Auch der Bund will sich einen Einsatz überlegen. Dies hätte zur Folge, dass die Bundespolizei und der Zoll mit der Software arbeiten könnten. 

Palantir selbst ist international gut aufgestellt und bewirbt sich in Großbritannien gerade für einen fünf-Jahres-Vertrag mit der NHS, dem staatlichen Gesundheitssystem. Für diese soll dann eine Datenbank angelegt werden, in der Gesundheitsdaten gespeichert werden. Teilweise arbeitet Palantir jetzt schon für die NHS. Auch hier äußern sich Kritiker besorgt. 

Was ist die Kritik an der Software? 

Kritisiert wird zum einen, dass Palantir durch die Software eine bedeutende Stellung im deutschen Markt einnehmen könnte mit der Folge, dass dadurch ein Abhängigkeitsverhältnis des Staates entstehen könnte. 

Die meiste Kritik kommt jedoch von der Seite der Datenschützer. Dort wird vor allem kritisiert, dass über die Software enorme Mengen an Datensätzen miteinander verbunden werden, was einen Grundrechtseingriff darstelle. Auch besteht die Befürchtung, dass die durch Palantir erhobenen, sensiblen Daten, in die USA gelangen und dort von den Geheimdiensten abgegriffen werden könnten. 

Das Unternehmen Palantir hat in seinem Heimatland, den USA, bereits für Geheimdienste und das Pentagon gearbeitet. Auch dort ist das Unternehmen umstritten. Mitgründer Peter Thiel ist Trump-Supporter, unterstützt rechte Politiker und hat in der Vergangenheit seinen Unmut über Demokratien geäußert. Palantir hat bereits Verträge mit der United States Immigration and Customs Enforcement (ICE), einer Polizei- und Zollbehörde des Ministeriums für Innere Sicherheit, abgeschlossen. In diesem Zusammenhang wurde Palantir vorgeworfen, die ICE habe mithilfe der Software Daten über illegale Einwanderer gesammelt und diese später festgenommen und abgeschoben. 

Die jüngste Kritik an der Palantir-Software kommt von der NRW-Datenschutzbeauftragten Bettina Gayk im neuen Jahresbericht. Darin kritisiert sie, dass es für den Einsatz der Software bisher keine gesetzliche Grundlage gebe. Der Gesetzgeber müsse entscheiden, welche Straftaten schwer genug seien, um die Zweckbindung der einzelnen Datenbanken aufzuheben. Denn durch die Software würden auch Daten nicht straffällig gewordener Personen verarbeitet, z.B. die Daten von Anrufern bei der Notrufnummer 110 und von Zeugen. 

VG Köln zum Berichtigungsanspruch aus Art. 16 S. 1 DSGVO

15. Juni 2022

Das Verwaltungsgericht (VG) Köln lehnte mit Urteil vom 25.03.2022 (Az.: 25 K 2138/19) einen Berichtigungsanspruch aus Art. 16 S. 1 DSGVO ab, da die Richtigkeit eines personenbezogenen Datums nicht nachgewiesen werden konnte.

Sachverhalt

Der Kläger erhob vor dem Verwaltungsgericht Klage gegen einen Ablehnungsbescheid der Beklagten aus dem Jahr 2019, nachdem diese ihm dadurch die Berichtigung seines Melderegisters verwehrt hatte. Der Kläger begehrte zuvor die Änderung seiner Wohnanschrift für den Zeitraum von Januar bis Oktober 1988. Dies lehnte die Beklagte mit der Begründung ab, dass anderweitige Daten nicht vorlägen, die Daten bereits archiviert seien und eine nachträgliche Änderung nicht mehr möglich sei.

Anwendung der DSGVO

Das Verwaltungsgericht stützt sich unter Bezugnahme auf ein Urteil des Bundesverwaltungsgerichts auf die Annahme, dass für die Frage des Bestehens eines materiellen Anspruchs gegen einen Rechtsträger der Behörde auf die Vornahme einer Handlung grundsätzlich die Sach- und Rechtslage zum Zeitpunkt der gerichtlichen Entscheidung maßgeblich sei. Somit sei § 12 Bundesmeldegesetz (BMG) in der Fassung vom 20. November 2019, welcher auf den § 6 Abs. 1 S. 2 BMG verweist, maßgeblich. Mit dieser Neufassung habe der Gesetzgeber klarstellen wollen, dass sich im Bereich des Melderechts der Berichtigungsanspruch unmittelbar aus Art. 16 DSGVO ergebe.

Entscheidung des Gerichts

Das Verwaltungsgericht Köln wies die Klage jedoch ab. Das Gericht war nicht ausreichend davon überzeugt, dass der Kläger die Anspruchsvoraussetzungen für die Berichtigung seiner Meldedaten gem. Art. 16 S. 1 DSGVO erfüllt. Zwar handle es sich bei der Anschrift des Klägers um ein personenbezogenes Datum, jedoch sei nicht erweislich, dass das Begehren der Änderung der Anschriften auch auf die „Berichtigung“ eines „unrichtigen“ Datums im Sinne des Artikels 16 DSGVO gerichtet sei. Das Tatbestandsmerkmal der „Unrichtigkeit“ sei ein objektives Kriterium, das nur auf Tatsachenangaben anwendbar ist. Die Berichtigung eines unrichtigen Datums „kann (…) nur dadurch erfolgen, dass das unrichtige Datum mit der Wirklichkeit in Übereinstimmung gebracht wird. Ein Berichtigungsanspruch kann sich deshalb nur dann aus Art. 16 S. 1 DSGVO ergeben, wenn feststeht, dass das von dem Verantwortlichen gespeicherte oder sonst verarbeitete Datum objektiv nicht mit der Realität übereinstimmt, und wenn zugleich feststeht, dass das von dem Betroffenen als richtig benannte Datum tatsächlich mit der Wirklichkeit übereinstimmt.“ (VG Köln, Urteil v. 25.03.2022, Az: 25 K 2138/19, Rn. 90). Das Gericht hielt es zwar für möglich, dass die eingetragenen Anschriften für den Zeitraum des Jahres 1988 unrichtig sind, jedoch war es nicht davon überzeugt, dass die Anschriften, welche eingetragen werden sollten, objektiv mit der Realität übereinstimmen und richtig sind.

Das Verwaltungsgericht verdeutlicht mit seinem Urteil, dass es für die gerichtliche Geltendmachung des Berichtigungsanspruchs aus Art. 16 S. 1 DSGVO nicht ausreicht nachzuweisen, dass Daten unrichtig sind oder unrichtige Daten verarbeitet werden. Zusätzlich ist es unerlässlich nachzuweisen, dass auch das als richtig benannte Datum, welches das Unrichtige ersetzen soll, objektiv mit der Realität übereinstimmt und der Wahrheit entspricht.

LG Essen und LG Paderborn urteilen zu Auskunftsrecht aus Art. 15 DSGVO

13. Juni 2022

Das Landgericht (LG) Essen lehnte mit Urteil vom 23.02.2022 (AZ: 18 O 204/21) einen Auskunftsanspruch aus Art. 15 DSGVO unter anderem wegen Rechtsmissbrauchs ab.

Vorausgegangen war ein Rechtsstreit zwischen einem privatversicherten Mann und seiner Versicherung. Die Versicherung passte den monatlich zu zahlenden Betrag mehrmals einseitig an. Dabei sandte sie jeweils Mitteilungs- und Informationsschreiben an den Mann. Dieser ging davon aus, dass die Anpassungen unwirksam waren und forderte sein Geld zurück. Er gab allerdings an, die Versicherungsunterlagen zur Bezifferung der Ansprüche nicht mehr zu haben. Er erhob Klage und machte sowohl Auskunft bezüglich der Unterlagen, als auch Rückzahlungsansprüche geltend.

Das LG Essen wies die Klage jedoch ab. Auskunftsansprüche seien keine ersichtlich. Der Anspruch aus Art. 15 DSGVO scheitere bereits daran, dass es sich bei dem standardisierten Begründungsschreiben, mit dem der Beitrag erhöht wurde, nicht um personenbezogene Daten handle. Außerdem habe die Beklagte ein Weigerungsrecht aus Art. 12 Abs. 5 Satz 2 lit. b) DSGVO, hier stünde dem Antrag des Klägers der Einwand des Rechtsmissbrauchs entgegen. Der Kläger habe hier kein schützenswertes Eigeninteresse. Denn Sinn und Zweck des in Art. 15 DSGVO normierten Auskunftsrechts sei es, der betroffenen Person problemlos und in angemessenen Abständen zu ermöglichen, sich der Verarbeitung der sie betreffenden personenbezogenen Daten bewusst zu werden und die Rechtmäßigkeit dieser Verarbeitung überprüfen zu können. Dies liegt in diesem Fall nicht vor: „Um ein solches Bewusstwerden zum Zweck einer Überprüfung der datenschutzrechtlichen Zulässigkeit der Verarbeitung personenbezogener Daten geht es dem Kläger nach seinem eigenen Klagevorbringen hingegen nicht. Der Kläger macht keines der vorgenannten Interessen geltend. […] Es geht ihm mithin einzig allein um die Überprüfung etwaiger geldwerter Ansprüche gegen die Beklagte. Eine solche Vorgehensweise ist vom Schutzzweck der DSGVO aber nicht umfasst.“

In einer sehr ähnlichen Sache hatte das Landgericht (LG) Paderborn am 15.12.2021 (AZ: 4 O 275/21) ebenfalls einen Anspruch nach Art. 15 DSGVO verneint. Auch hier verlangte ein Versicherungsnehmer von seiner privaten Krankenversicherung Auskünfte, um nach Beitragserhöhungen eine Rückzahlungsforderung geltend machen zu können. In diesem Fall wertete das Gericht die Beitragsanpassungsschreiben allerdings als personenbezogene Daten. Trotzdem griff Art. 15 DSGVO nicht, denn der Versicherung stand auch hier der Eingriff des Rechtsmissbrauches zu. Das Gericht führte dazu aus, dem Kläger ginge es „ausschließlich darum, sich auf möglichst einfache und bequeme Art gebündelt die Informationen zu beschaffen, die er benötigt, um eine bezifferte Leistungsklage auf Rückzahlung möglicherweise rechtsgrundlos gezahlter Beiträge vorbereiten zu können“.

Auch das Oberlandesgericht (OLG) Nürnberg hatte vor kurzem sein Urteil zu rechtsmissbräuchlichen Auskunftsansprüchen ähnlich begründet.

Bundesgerichtshof: Unerwünschte Inbox-Werbung ist rechtswidrig

10. Juni 2022

E-Mail-Dienste wie T-Online dürfen Nutzern kostenfreier Basisversionen nicht mehr ohne Einwilligung Werbung in der Inbox anzeigen. Dies hat der Bundesgerichtshof (BGH) in seinem nun veröffentlichten Urteil vom 13. Januar diesen Jahres entschieden (Az.: I ZR 25/19). 

In dem Streit ging es um eine Werbemaßnahme des Stromlieferanten Eprimo aus der Eon-Gruppe. Dieser hatte in Zusammenarbeit mit einer Agentur Werbenachrichten in E-Mail-Postfächer von Nutzern des E-Mail-Dienstes T-Online geschaltet. 

Vergleichbar mit Spam-E-Mails 

Kennzeichnend für Inbox-Werbung sei, dass sie in der Inbox – also im für private Nachrichten gedachten Bereich – angezeigt wird. Der Zugang zu den eigentlichen E-Mails sei so ähnlich versperrt wie durch Spam-E-Mails. Inbox-Werbung sei bei vielen webbasierten E-Mail-Diensten gängige Praxis. 

Der Bundesgerichtshof entschied über den Streit, nachdem er dem Europäischen Gerichtshof (EuGH) einige Fragen zur Interpretation vorgelegt hatte. Der EuGH entschied auf die Vorlage hin im November, dass Zweck der E-Privacy-Richtlinie sei, Nutzer gegen die Verletzung ihrer Privatsphäre durch unerbetene Nachrichten für Zwecke der Direktwerbung zu schützen. Inbox-Werbung behindere den Zugang zu den eigentlichen E-Mails, ähnlich wie Spam. Das Versenden von Werbenachrichten in dieser Form stelle zwar keine E-Mail dar, aus Sicht des Empfängers sei die Werbenachricht von Spam-E-Mails aber kaum zu unterscheiden. Daher solle ein Opt-in zwingend erforderlich sein. 

Allgemeine Einwilligung nicht wirksam 

Inbox-Werbung ist deshalb künftig nur dann rechtmäßig, wenn der Nutzer zuvor informiert wurde und ausdrücklich in sie eingewilligt hat. Dafür stellen die Karlsruher Richter hohe Anforderungen auf. Es reiche nicht aus, dass der Nutzer eine allgemeine Einwilligung in Werbung erteilt hat, um den Dienst kostenlos nutzen zu können. Der Nutzer müsse vor der Einwilligung vielmehr über die Umstände derartiger Werbung aufgeklärt werden. Insbesondere müsse der Dienst darauf hinweisen, dass Werbenachrichten in der Liste der empfangenen privaten E-Mails angezeigt werden. 

Einige E-Mail-Anbieter wie GMX und web.de reagierten unmittelbar auf das Urteil und passten ihre Einwilligungserklärungen an. Hier kann der Nutzer nun auch in Inbox-Werbung einwilligen – oder dies verweigern.

1 2 3 4 5 29