Kategorie: DSGVO
30. Juli 2020
Mutmaßliche Rechtsextremisten versuchen, mit Drohbriefen Politiker oder Personen des öffentlichen Lebens einzuschüchtern. Über Polizeirechner in Hessen konnten die Täter unberechtigt Adressen, E-Mail-Adressen und Telefonnummern abfragen. Auch in Brandenburg und Berlin wurden solche unberechtigten Abfragen in den vergangenen zwei Jahren bekannt.
Wie die Senatsverwaltung für Inneres auf Anfrage am 27. Juli 2020 mitteilte, wurden gegen die Berliner Polizei deswegen in den letzten zwei Jahren rund 50 Strafverfahren wegen eines Verdachts des Verstoßes gegen das Landesdatenschutzgesetz aufgrund unberechtigter Datenabfragen eingeleitet.
Der Großteil dieser Verfahren wurde allerdings wegen mangelnden Tatverdachts eingestellt:
2018 wurden 24 Verfahren eingeleitet, von denen 23 wieder eingestellt wurden. In lediglich einem Verfahren wurde ein Strafbefehl erlassen.
Im Jahr 2019 wurden von 25 Strafverfahren gegen Bedienstete der Polizei Berlin 16 wegen mangelnden Tatverdachts und eines wegen geringer Schuld eingestellt. Die acht weiteren Strafverfahren sind bisher noch nicht abgeschlossen.
Nach Angaben der Innenverwaltung könnte es weitere Verdachtsfälle gegeben haben, bei denen sich aber unmittelbar herausgestellt haben könnte, dass der Zugriff auf die Daten rechtmäßig war. Das Berliner Datenschutzgesetz wurde Mitte 2018 reformiert. Dadurch können einige Verstöße als Ordnungswidrigkeit einzustufen sein, die bei der Polizei Berlin allerdings statistisch nicht erfasst werden.
Seit 2018 wurden deutschlandweit insgesamt mehr als 400 Ordnungswidrigkeits-, Straf- oder Disziplinarverfahren wegen solcher unberechtigten Datenabfragen eingeleitet. Eine zweistellige Zahl dieser Verfahren wurde allerdings bereits eingestellt oder werden derzeit noch überprüft.
Das Arbeitsgericht Düsseldorf hat in seinem Urteil (v. 05.03.2020 – 9 Ca 6557/18) dem Kläger eine Entschädigung wegen Verstoßes seines Arbeitgebers gegen das Auskunftsrecht aus Art. 15 Abs. 1 DSGVO zugesprochen. In dem Urteil hat das Gericht unter anderem Stellung zu den Voraussetzungen und zur Bemessung eines Anspruchs auf Ersatz eines immateriellen Schadens aus Art. 82 Abs. 1 DSGVO genommen.
Die Parteien stritten über datenschutzrechtliche Auskunft und Information, die Erteilung von Kopien sowie eine Entschädigung. Zwischen der Beklagten, einem Unternehmen in Düsseldorf und dem Kläger bestand bis Anfang 2018 ein Arbeitsverhältnis. Der Kläger begehrte Auskunft über und Kopie von den über ihn verarbeiteten personenbezogenen Daten bei der Beklagten. Die daraufhin erteile Auskunft war seines Erachtens lückenhaft und verspätet. Nach einer erfolglosen Güteverhandlung verlangte der Kläger vollständige Vorlage der fehlenden Informationen und Schadensersatz nach Art. 82 Abs. 1 DSGVO.
Neben dem Umfang der Auskunftspflicht musste das Gericht entscheiden, ob allein durch den Verstoß gegen das Auskunftsrecht ein (immaterieller) Schaden entstanden ist und in welcher Höhe dieser bemessen wird.
Dazu führt das Gericht aus: „Ein immaterieller Schaden entsteht nicht nur in den “auf der Hand liegenden Fällen”, wenn die datenschutzwidrige Verarbeitung zu einer Diskriminierung, einem Verlust der Vertraulichkeit, einer Rufschädigung oder anderen gesellschaftlichen Nachteilen führt, sondern auch, wenn die betroffene Person um ihre Rechte und Freiheiten gebracht oder daran gehindert wird, die sie betreffenden personenbezogenen Daten zu kontrollieren. […] Durch die monatelang verspätete, dann unzureichende Auskunft war der Kläger im Ungewissen und ihm die Prüfung verwehrt, dann nur eingeschränkt möglich, ob und wie die Beklagte seine personenbezogenen Daten verarbeitet. Die Schwere des immateriellen Schadens ist für die Begründung der Haftung nach Art. 82 Abs. 1 [DSGVO] irrelevant und wirkt sich nur noch bei der Höhe des Anspruchs aus. […] Verstöße müssen effektiv sanktioniert werden, damit die [DSGVO] wirken kann, was vor allem durch Schadensersatz in abschreckender Höhe erreicht wird. […] Gerichte können sich bei der Bemessung des immateriellen Schadensersatzes auch an Art. 83 Abs. 2 [DSGVO] orientieren, sodass als Zumessungskriterien unter anderem Art, Schwere, Dauer des Verstoßes, Grad des Verschuldens, Maßnahmen zur Minderung des den betroffenen Personen entstandenen Schadens, frühere einschlägige Verstöße sowie die Kategorien der betroffenen personenbezogenen Daten betrachtet werden können“
Der Beklagte habe das Auskunftsrecht – das zentrale Betroffenenrecht – beeinträchtigt und zugleich das europäisches Grundrecht des Klägers aus Art. 8 Abs. 2 S. 2 GRCh verletzt, weshalb dem Kläger ein immaterieller Schaden entstanden sei. Als Ersatz dieses Schaden hielt die Kammer einen Betrag in Höhe von 5000 Euro für geboten.
29. Juli 2020
Erstmals nach Inkrafttreten der Datenschutz-Grundverordnung befasste sich der BGH mit dem in Art. 17 DSGVO niedergelegten Recht auf Löschung, allgemein als Recht auf Vergessen bekannt.
Eine wichtige erste Erkenntnis des Urteils ist, dass die Frage nach einem Recht auf Vergessen nicht pauschal beantwortet werden kann. Man wird wohl mit der nicht immer beliebten Standardantwort von Juristen auf komplexe Frage antworten können: „Es kommt darauf an“. In einem der gemeinsam verhandelten Verfahren führte der BGH aus, das Recht auf Vergessen unterliege einer umfassenden Abwägung der Interessen aller Involvierten. Eine weitere Frage zum Recht auf Vergessen legte der BGH dem EuGH zur Entscheidung vor.
Die im Verfahren vor dem BGH aufgeworfenen Fragen sind spannend für die Zukunft von Suchmaschinen und der Internetkommunikation insgesamt: Gibt es im Internet einen unbedingten Anspruch auf ein „Vergessenwerden“, ggf. nach einem gewissen Zeitablauf? Müssen Suchmaschinen erst dann tätig werden, wenn sie von einer offensichtlichen und auf den ersten Blick klar erkennbaren Rechtsverletzung des Betroffenen Kenntnis erlangen? Erstreckt sich das Recht auf Vergessen bereits auf für die betroffene Person unbequeme oder reputationsschädigende Berichte?
Verfahren VI ZR 405/18 – Der defizitäre Wohlfahrtsverband und sein Geschäftsführer
Der Kläger im ersten Verfahren war Geschäftsführer eines Regionalverbandes einer Wohlfahrtsorganisation. Er begehrte von Google, einen Presseartikel aus dem Jahr 2011 bei der gezielten Suche nach seinem Namen auszulisten. In dem Artikel wurde darüber berichtet, dass der Verband im Jahr 2011 ein finanzielles Defizit von knapp einer Million Euro aufwies und sich der Kläger kurz zuvor krank gemeldet hatte.
Der Kläger scheiterte mit seinem Begehren in allen Instanzen. Der BGH betont, dass das Recht auf Vergessen eine umfassende Grundrechtsabwägung auf Grundlage aller relevanten Umstände des Einzelfalls und unter Berücksichtigung der Schwere des Eingriffs in die Grundrechte der betroffenen Person einerseits und der Grundrechte des Suchmaschinenbetreibers, des Anbieters des beanstandeten Ergebnislinks, der Nutzer und der Öffentlichkeit andererseits bedürfe. Das hatte bereits das Bundesverfassungsgericht Ende 2019 betont.
Interessant ist , dass der BGH damit von seiner früheren Rechtsprechung abkehrt. Der Suchmaschinenbetreiber muss nach dem nun veröffentlichten Urteil nicht erst dann tätig werden, wenn er von einer offensichtlichen und auf den ersten Blick klar erkennbaren Rechtsverletzung des Betroffenen Kenntnis erlangt. Anders als der EuGH im Verfahren Google-Spain geht der BGH nicht von einem pauschalen Vorrangverhältnis der Interesse des Betroffenen aus.
Im Verfahren um den Geschäftsführer des Wohlfahrtverbands entschied der BGH, dass die Rechte der Nutzer, der Öffentlichkeit und der verlinkten Presseorgane Vorrang haben und ein Anspruch auf Auslistung damit nicht besteht, auch unter Berücksichtigung des Zeitablaufs.
Verfahren VI ZR 476/18 – Das Geschäftsmodell eines Ehepaars aus der Finanzdienstleistungsbranche
In dem zweiten Verfahren begehrte ein in der Finanzdienstleistungsbranche tätiges Ehepaar, kritische Presseartikel und Fotos auszulisten, in denen das Geschäftsmodell der Kläger kritisiert wurde. Die Artikel enthielten u.a. Vorwürfe, die Kläger hätten Unternehmen mit negativer Berichterstattung erpresst. Der Wahrheitsgehalt der Berichte ist – anders als im ersten Verfahren – unklar und konnte auch von Google nicht beurteilt werden.
Dieses Verfahren setzte der BGH aus und legte dem EuGH zwei Fragen zur Vorabentscheidung vor:
Einerseits soll der EuGH klären, wie mit Konstellationen zu verfahren ist, bei denen der Link der Suchmaschine zu einem Inhalt führt, der Tatsachenbehauptungen und auf Tatsachenbehauptungen beruhende Werturteile enthält, deren Wahrheit der Betroffene in Abrede stellt. Kann der Betroffene, etwa durch vorläufigen Rechtsschutz, die Frage der Wahrheit der verlinkten Berichte zumindest vorläufig gerichtlich klären lassen?
Außerdem möchte der BGH vom EuGH wissen, wie mit Vorschaubildern in der Trefferleiste umzugehen ist, wenn der Kontext von der Suchmaschine nicht mit angezeigt wird. Besteht ein Recht auf Vergessen auch dann, wenn die Webseite des Dritten in der Suchmaschine zwar verlinkt, aber noch nicht konkret benannt ist?
Ausblick
Es bleibt abzuwarten wie der EuGH auf die Vorabfragen antworten wird. Die Antworten sind für Presseorgane, Suchmaschinenbetreiber und die Öffentlichkeit gleichsam interessant. Schon jetzt zeichnet sich aber immer deutlicher ab, dass das Recht auf Vergessen keinem Automatismus unterliegt, sondern immer eine Frage der Abwägung im Einzelfall ist. In die Abwägung müssen die Interessen aller Beteiligten einfließen und es kann kein pauschaler Vorrang der Interessen der einen oder anderen Seite angenommen werden. Fazit: “Es komm darauf an”, ob eine betroffen Person ein Recht auf Vergessen hat.
24. Juli 2020
Die belgische Datenschutzbehörde hat eine Geldbuße in Höhe von 600.000 Euro gegen den Suchmaschinen-Anbieter Google wegen Verstoßes gegen das Recht auf Vergessenwerden verhängt. Google hatte den Antrag eines belgischen Bürgers auf Löschung von veralteten Artikeln, die als ernsthaft rufschädigend angesehen wurden, abgelehnt.
Die belgische Datenschutzbehörde stellte fest, dass einige Artikel, die sich auf die Beziehung der Person zu bestimmter politischer Partei beziehen, angesichts ihrer Position im öffentlichen Leben von öffentlichem Interesse seien und online bleiben könnten. Die Datenschutzbehörde stellte jedoch fest, dass die Beibehaltung des Artikels, welche sich auf unbegründete Belästigungsbeschwerden beziehen, ernsthafte Auswirkungen auf die Person haben könnten. Die Behörde sah in Googles Weigerung in letzterem Fall ein „schwerwiegendes Versäumnis“ von Google.
Darüber hinaus wiesen das Google Formular sowie die Antwort an die betroffene Person Transparenzmängel auf. Aus diesen Gründen beschloss die belgische Datenschutzbehörde, eine Geldstrafe von 600.000 Euro zu verhängen. Dies ist die höchste Geldbuße, die je von der belgischen Datenschutzbehörde verhängt wurde.
17. Juli 2020
In Kalifornien wurde durch die US-amerikanische Anwaltskanzlei Boies Schiller Flexner eine Klage gegen Google eingereicht.
Google wird vorgeworfen, Smartphone-Nutzer ohne deren Einwilligung getrackt zu haben. Über Google-Firebase, eine Entwicklungs-Plattform für Apps und Webanwendungen, sollen Daten gesammelt worden sein. Die Anwendung von Google-Firebase in einer App ist üblicherweise für die App-Nutzer nicht ersichtlich.
Wie es in der Klage weiterhin heißt, fängt Google insbesondere Daten über die Nutzung der App, sowie persönliche Daten des App-Nutzers und dessen Kommunikation ab. Android-Nutzer willigen üblicherweise bei einer Neu-Registrierung für ein Google-Konto darin ein, dass ihre Smartphone-Aktivitäten zur Verbesserung des Angebots an Google gesendet werden dürfen. In den Google-Einstellungen besteht die Möglichkeit, diese Einwilligung später zu widerrufen. Hierzu kann der Smartphone-Nutzer unter dem Menüpunkt “Web & App Activity” (“Nutzung & Diagnose”) das Tracking ausschalten. Entgegen der Angaben von Google hierzu, sollen trotz Ausschaltens des Trackings über Firebase Daten gesammelt und an Server von Google gesendet werden.
Google soll die gesammelten Daten verwenden, um Produkte zu verbessern und Anzeigen und andere Inhalte für die Verbraucher zu personalisieren.
Im Rahmen der eingereichten Klage fordert die Kanzlei Boies Schiller Flexner hierfür eine Summe in Höhe von fünf Milliarden Dollar.
Google selbst hat hinsichtlich der Vorwürfe bisher kein offizielles Statement veröffentlicht. Eine Entscheidung durch das Gericht wird innerhalb der nächsten Monate erwartet.
8. Juli 2020
Am morgigen Donnerstag – den 09.07.2020 – entscheidet der EuGH in Luxemburg über ein Vorabentscheidungsersuchen des VG Wiesbaden (Rechtssache C-272/19). Dabei hat der EuGH zwei Vorlagefragen zu beantworten. Die erste Frage befasst sich mit dem Anwendungsbereich der DSGVO, konkret auf Petitionsausschüsse eines Landtags. Die zweite Vorlagefrage hat keinen expliziten datenschutzrechtlichen Hintergrund, ist aber auch für die Belange des Datenschutzes nicht ohne Belang. Das VG Wiesbaden stellt nämlich in Frage, ob es überhaupt als ein “Gericht” im europarechtlichen Sinne angesehen werden kann. Dabei geht es vor allem um die Frage, ob die deuschen Gerichte bzw. Richterinnen und Richter unabhängig genug sind, oder ob eine insitutionelle Abhängigkeit gegeben ist. Diese Entscheidung könnte für sämtliche Gerichte Deutschlands enorme Bedeutung haben.
Erste Vorlagefrage: Anwendbarkeit der DSGVO
Die erste Frage betrifft die Anwendbarkeit der DSGVO auf den Petitionsausschuss als Teil des Hessischen Landtags, und ob dieser als Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO zu qualifizieren ist. Dabei ist der Hessische Landtag – vertreten durch seinen Präsidenten – der Auffassung, es handle sich beim Petitionsverfahren um eine parlamentarische Aufgabe, sodass der Ausschuss nicht in den (sachlichen) Geltungsbereich der DSGVO falle (Rn. 3). Dieser Ansicht folgend enthalten das Hessische Datenschutz- und Informationsfreiheitsgesetz (HDSIG, § 30 Abs. 1), die Geschäftsordnung des Hessischen Landtags (§ 112 Abs. 6) sowie deren Datenschutzordnung und weitere Richtlinien entsprechende Regelungen, welche die Anwendbarkeit der DSGVO unter anderem für den Petitionsausschuss verneinen bzw. wegen eines erforderlichen Geheimnisschutzes Auskunftsansprüchen wie Art. 15 DSGVO entgegenstehen. Diese Regelungen seien anzuwenden, wenn der Petitionsausschuss nicht unter die DSGVO fällt (Rn. 13).
Die erste Vorlagefrage bezieht sich daher darauf, ob die DSGVO auf Petitionsausschüsse als Teil des Parlaments eines Gliedstaates (Hessen) eines Mitgliedsstaats (Deutschland) Anwendung findet und insoweit als eine Behörde im Sinne des Art. 4 Nr. 7 DSGVO zu behandeln ist. Der Petitionsausschuss sei zwar eine Behörde im organisationsrechtlichen Sinne, fraglich sei aber ob ihre Aufgaben dem Bereich der öffentlichen Verwaltung unterliegen. Jedenfalls sei der Ausschuss weder der Judikative noch der Legislative zuzuordnen (Rn. 42ff). Für die Definition der “Behörde” im Sinne des Art. 4 Nr. 7 DSGVO sei von einem weiten Verständnis der Verwaltung und somit einem umfassenden Behördenbegriff auszugehen (Rn. 48). Auch erschließe sich nicht, warum Behörden – gegenüber denen nach hessischem Recht ebenfalls eine Petition eingereicht werden kann – der DSGVO unterliegen, diese auf den Petitionsausschuss hingegen keine Anwendung finden sollte; das VG Wiesbaden geht deshalb davon aus, dass der Petitionsausschuss unter Art. 4 Nr. 7 DSGVO zu subsumieren ist (Rn. 51).
Zweite Vorlagefrage: Unabhängikeit deutscher Gerichte
Die zweite Vorlagefrage des VG Wiesbaden befasst sich ebenfalls mit europarechtlichen Vorschriften, konkret mit Art. 267 Abs. 2 AEUV und der Frage, ob das VG Wiesbaden – und mittelbar sämtliche deutsche Gerichte – überhaupt als ein “Gericht” im Sinne dieser Norm zu qualifizieren und somit vorlagebefugt sind. Im Fokus steht hier insbesondere die institutionelle Unabhängigkeit der Gerichte.
In dem Vorabentscheidungsersuchen setzt sich das Gericht diesbezüglich zunächst ausführlicher mit den rechtlichen Grundlagen der richterlichen und gerichtlichen Unabhängigkeit auseinander (Rn. 17ff.). Das VG Wiesbaden kommt dabei zu dem Schluss, dass die deutsche Verfassungslage nur die funktionale richterliche Unabhängigkeit, aber keine institutionelle Unabhängigkeit der Gerichte gewährleiste (Rn. 59). Grund dafür sei, dass die Richterinnen und Richter durch den jeweiligen Justizminister der Länder ernannt, beurteilt und befördert werden und das Beamtenrecht auf die Richterinnen und Richter Anwendung findet. Erforderlich sei jedoch eine “völlige Unabhängigkeit”, wonach keinerlei Einflussnahme irgendeiner Art – mit Ausnahme von Kontrollstellen -, weder unmittelbar noch mittelbar, bestehen dürfe (Rn. 64). Es sei nun aber fraglich, ob Richterinnen und Richter von einer solchen Einflussnahme ausgenommen sind, jedenfalls in solchen Streitigkeiten, in denen das jeweilige Justizministerium beteiligt ist (Rn. 65). Aber auch grundsätzlich sieht das VG Wiesbaden eine äußere Einflussnahme durch das Justizministerium gegeben, indem es über Planstellen, Anzahl des nichtrichterlichen Personals und Ausstattung der Gerichte – und somit letztlich auch über die Verarbeitung personenbezogener Daten durch entsprechende EDV – entscheidet (Rn. 67). Auch durch die bloße Gefahr einer politischer Einflussnahme werde die institutionelle Unabhängigkeit beeinträchtigt (Rn. 73). Demgemäß sieht das VG Wiesbaden sich selbst nicht als unabhängig und unparteiisch im Sinne des Art. 47 Abs. GrCH (Rn. 74).
Einschätzung
Es wird spannend sein zu sehen, wie der EuGH mit den beiden Vorlagefragen umgehen wird. Die Frage der Auslegung des Art. 4 Nr. 7 DSGVO, konkret in Bezug auf “Behörde, Einrichtung oder andere Stelle”, dürfte für einige Insitutionen relevant sein, die sich nicht eindeutig der öffentlichen Verwaltung zuordnen lassen und somit davon ausgehen, nicht den Regelungen der DSGVO zu unterliegen.
Weitreichendere Bedeutung könnte aber die Vorlagefrage zur Unabhängigkeit deutscher Gerichte haben. Geht der EuGH hier ebenfalls davon aus, dass die institutionelle Unabhänigkeit deutscher Gerichte und ihrer Richterinnen und Richter nicht gegeben ist, wird sich die Frage stellen müssen, wie diese Unabhängigkeit künftig sichergestellt werden kann. Jedenfalls dürfte die Entscheidung des EuGH dazu dienen, der durch die Richtervereinigungen geführten Diskussion zur Selbstverwaltung der Justiz neue Aufmerksamkeit zu verschaffen.
3. Juli 2020
Das Bundeskartellamt hat schwere Verstöße beim Datenschutz und der IT-Sicherheit bei Smart-TVs festgestellt und fordert von den Herstellern umfangreiche Nachbesserungen. Zu diesem Schluss kommt das Bundeskartellamt im Abschlussbericht seiner Sektoruntersuchung zu Smart-TVs.
Smart-TVs gehören zu den am weitesten verbreiteten Geräten des Internet der Dinge (Internet of Things, IoT). Mutmaßliche Verbraucherschutzverstöße betreffen daher viele Menschen aller Bevölkerungsgruppen. Vor diesem Hintergrund hat das Bundeskartellamt auf der Basis seiner verbraucherrechtlichen Kompetenzen im Dezember 2017 eine Sektoruntersuchung zu Smart-TVs eingeleitet und veröffentlichte nun seinen Abschlussbericht mit Stand vom Juli 2020.
Schwerwiegende Transparenzmängel bei der Privatsphäre der Verbraucher
Das Bundeskartelamt rügte gleich eine Vielzahl von Mängeln. Insbesondere ergab die Untersuchung, dass die Hersteller intime Nutzungsdaten der Verbraucher sammeln. Dazu gehören etwa das generelle Sehverhalten eines Verbrauchers, die App-Nutzung, das Surf- und Klickverhalten oder auch biometrische Daten wie Stimme oder Cursorbewegungen sowie die im Einzelnen über den Fernseher abgespielten Inhalte. Diese Daten würden dann für personalisierte Werbung verwendet werden.
Das kann der Verbraucher allerdings erst dann stoppen, wenn er die betreffenden Einstellungen an seinem Fernsehgerät ändert und sich dazu durch vielschichtige Menüs klickt. Sich über die Datenschutzbestimmungen bereits vor dem Kauf zu informieren, sei oft nicht oder nur mit großem Aufwand möglich. Bei der Ersteinrichtung – dies kann wahrscheinlich jeder Leser aus eigener Erfahrung bestätigen – willigten die meisten Verbraucher in die angezeigten Bedingungen ein, da dies alternativlos sei.
Selbst wenn sich der Verbraucher die Datenschutzbestimmungen aufmerksam durchlesen würde, wäre er danach in den meisten Fällen kein Deut schlauer als vorher. Denn diese enthielten in vielen Fällen keine Angaben, mit denen der Verbraucher in der Praxis etwas anfangen kann. Insbesondere Pauschalierungen würden dazu führen, dass die Datenschutzbestimmungen erheblich an Informationsgehalt einbüßen. “Dies führt sehr häufig zu Verstößen gegen die DSGVO”, teilte das Bundeskartellamt mit.
Mangelnde IT-Sicherheit
Zahlreiche Hersteller gewährleisten zudem nicht, dass der Standard der Fernsehgeräte für IT-Sicherheit auch in den Jahren nach des Erwerbs durch Software-Updates aufrechterhalten wird. Verbindliche Angaben der Unternehmen hierzu existieren nicht. Für die Verbraucher sei diese Information aber unerlässlich, “um einschätzen zu können, wie lange sie das Gerät uneingeschränkt gefahrlos verwenden können”.
Methodik
Für die nun veröffentlichte Sektoruntersuchung zu Smart-TVs befragte das Bundeskartellamt im vergangenen Jahr 32 Unternehmen sowie mehrere Marktteilnehmer und Experten. Die Ermittlungen betrafen rund 20 Anbieter, die in Deutschland internetfähige Fernsehgeräte unter eigenen Marken absetzen. Der komplette Bericht ist unter diesem Link abrufbar.
In dem Rechtsstreit Max Schrems gegen die Facebook Ireland Limited ist am 30.06.2020 – Aktenzeichen 3 Cg 52/14k-91 – ein Urteil ergangen. Hier hat das “Landesgericht für ZRS Wien” entschieden, dass
1. die Beklagte dem Kläger binnen vierzehn Tagen schriftlich und kostenlos vollständig Auskunft über alle von ihr verarbeiteten personenbezogenen Daten des Klägers unter Angabe der genauen Herkunft und gegebenenfalls der genauen Empfänger der Daten zu erteilen.
2. Dem Kläger binnen vierzehn Tagen einen Betrag von 500 € zu zahlen. (Redaktionelle Leitsätze)
Sachverhalt
Der Kläger stellte in den Jahren 2011, 2012, 2013, 2015 und zuletzt 2019 Auskunftsbegehren nach Maßgabe des Art. 15 DSGVO. Diese beantwortete die Beklagte zunächst mit einer 18-Seitigen Pdf-Datei vom 09.06.2011 und einer CD-Rom mit weiteren PDF im Umfang von 1.222 A4-Seiten. Der Kläger sah sich trotz erteilter Auskunft in seinen durch die DSGVO normierten Rechten verletzt. Die bereitgestellten Informationen waren aus seiner Perspektive weder inhaltlich ausreichend, noch genügte ihm die Anzahl der Antworten im Verhältnis zur Anzahl der gestellten Begehren.
Ferner störte sich der Kläger an der Datenverarbeitung durch Drittunternehmen. Hierzu führte aus, er sei “Verantwortlicher” im Sinne der DSGVO. Die daraus resultierenden Anforderungen habe die Beklagte nicht erfüllt. Abschließend habe die Beklagte gegen Art. 9 DSGVO verstoßen, indem sie eine Einwilligung in Bezug auf seine Interessen nicht eingeholt habe.
Das Urteil reiht sich in eine Vielzahl von Klagen Herrn Schrems gegen Facebook ein. So hatte dieser bereits im August 2014 in Wien eine Sammelklage gegen Facebook eingereicht. Ziel der Klage war unter anderem, von Facebook einen symbolischen Schadenersatz von 500 Euro für jeden Beteiligten der Klage erstreiten. Hierzu beschied der Europäische Gerichtshof (EuGH) im Januar 2018, dass derartige Sammelklagen unzulässig seien.
Entscheidung
Das Wiener Gericht gibt dem Kläger teilweise Recht. So habe die Beklagte die ihre Auskunftspflicht dadurch verletzt, dass sie trotz neuerlich begehrter Auskunft sämtliche personenbezogenen Daten mitgeteilt hätte, die Gegenstand der Verarbeitung seien. Der konkrete Umfang sei sowohl durch das Gesetz auch auch in den Erwägungsgründen (hier: EG 63) niedergelegt.
Auch begründe die Regelmäßigkeit der Anfragen keine Möglichkeit der Verweigerung, da ein Jahresabstand der Anfragen angemessenen im Sinne der DSGVO sei.
Entgegen der Ansicht des Klägers sei er jedoch kein „Verantwortlicher“ im Sinne der DSGVO. Diese sei auf den Kläger in seiner Funktion als privater Nutzer des Dienstes nicht anwendbar. Überdies greife die Haushaltsausnahme aus Art. 2 Abs. 2 lit. c) DSGVO mangels Anwendbarkeit nicht.
Die abschließend gerügte Verletzung aus Art. 9 DSGVO sei jedenfalls im konkreten Fall nicht tatsächlich feststellbar gewesen. So habe der Kläger die für die Informationen selbst veröffentlicht, weshalb eine Einwilligung gemäß Art. 9 DSGVO nicht erforderlich gewesen sei.
Praktische Relevanz
Die praktische Relevanz scheint aus aktueller Perspektive überschaubar. So ist weder abschließend zu beurteilen, wie sich das Verhalten auf die künftige Unternehmensführung auswirkt noch steht fest, ob das Urteil überhaupt rechtskräftig wird. So kündigte der Kläger auf der Homepage des Unternehmens NOYB bereits die Einhegung einer Berufung an.
1. Juli 2020
Wie der Landesbeauftragte für Datenschutz und Informationsfreiheit (LfDI) Baden-Württemberg mit einer Pressemitteilung vom 30.06.2020 mitteilte, wurde gegen die AOK Baden-Württemberg wegen Datenschutzverstößen ein Bußgeld in Höhe von 1.240.000 Euro verhängt. Grund für das verhängte Bußgeld sei ein Verstoß gegen die Pflichten zur sicheren Datenverarbeitung nach Art. 32 DS-GVO.
Der Sachverhalt
Die AOK Baden-Württemberg hatte im Zeitraum von 2015 bis 2019 verschiedene Gewinnspiele durchgeführt, und die dabei erhobenen personenbezogenen Daten auch zu Werbezwecken verwendet. Diese Weiterverarbeitung sollte jedoch nur dann erfolgen, wenn die Teilnehmer in diese ausdrücklich eingewilligt haben. Die AOK Baden-Württemberg versuchte mittels technischer und organisatorischer Maßnahmen (sog. TOMs) nach Maßgabe des Art. 32 DS-GVO sicherzustellen, dass nur die Daten derjenigen Teilnehmer zu Werbezwecken verwendet werden, die tatsächlich eine entsprechende Einwilligung abgegeben hatten. Zu diesen Maßnahmen gehörten u.a. Datenschutzschulungen und interne Richtlinien. Diese TOMs seien jedoch nicht ausreichend gewesen, sodass mehr als 500 Gewinnspielteilnehmer Werbung erhielten, obwohl sie keine Einwilligung abgegeben hatten.
Begründung der Bußgeldhöhe
Die Höhe des Bußgeldes sei insbesondere durch die Größe und Bedeutung der AOK Baden-Württemberg gerechtfertigt. Positiv sei jedoch zu berücksichtigen gewesen, dass die TOMs intern überprüft worden seien, wodurch der Datenschutzverstoß überhaupt erst aufgefallen sei. Bei Bekanntwerden des Vorganges habe die AOK Baden-Württemberg alle vertrieblichen Maßnahmen eingestellt, eine Task Force für Datenschutz im Vertrieb gegründet, interne Prozesse und Kontrollstrukturen angepasst und erweitert sowie umfassend und konstruktiv mit dem LfDI zusammengerarbeitet. Dadurch sei kurzfristig eine Steigerung des Schutzniveaus für die Daten der Betroffenen ermöglicht worden.
Weiterhin sei bei der Bemessung der Bußgeldhöhe der gesetzliche Auftrag der AOK Baden-Württemberg innerhalb des Gesundheitssystems zu berücksichtigen gewesen. Um dieser Aufgabe – Sicherstellung der Gesundheitsversorgung – weiterhin effektiv nachkommen zu können, müsse das Bußgeld verhältnismäßig ausfallen. Zudem seien die Auswirkugen der Corona-Pandemie, welche auch die gesetzlichen Krankenkassen treffen, mit in die Erwägungen mit einzubeziehen gewesen.
Fazit
Dr. Stefan Brink, Landesbeauftragter für Datenschutz und Informationsfreiheit in Baden-Württemberg, betonte noch einmal die Bedeutung der technischen und organisatorischen Maßnahmen für die Sicherstellung eines angemessenen Schutzniveaus. Dieses könne jedoch nur dann erreicht werden, wenn alle implementierten TOMs regelmäßig überprüft und ggf. angepasst werden. Datensicherheit sei eine “Daueraufgabe”, und nicht mit der einmaligen Implementierung der TOMs erledigt.
Neben diesem Punkt macht der vorliegende Fall aber auch noch einmal deutlich, dass durch interne Kontrollen, einer zügigen Reaktion auf Datenschutzverstöße und vertrauensvoller Zusammenarbeit mit den zuständigen Aufsichtsbehörden die Höhe eines fälligen Bußgeldes erheblich reduziert werden kann. Das Bußgeld für die AOK Baden-Württemberg wäre sicherlich auch trotz Corona-Pandemie erheblich höher ausgefallen, wäre nicht angemessen auf den aufgedeckten Datenschutzverstoß reagiert worden.
30. Juni 2020
Gegen einen Anspruch auf Datenkopie des Art. 15 Abs. 3 DSGVO eines Arbeitnehmers kann sich der Arbeitgeber wehren, wenn der dafür erforderliche Aufwand in groben Missverhältnis zum Leistungsinteresse steht. Das hat jedenfalls das AG Düsseldorf entschieden (noch nicht rechtskräftig).
Das Gericht gestand dem Arbeitnehmer einen Auskunftsanspruch im Grundsatz zu. Dazu führt es aus, dass die Auskunft vollständig und so konkret und detailliert sein muss, dass sich der Betroffene ein Bild davon machen kann welche Datenverarbeitungen zu welchen Zwecken erfolgen.
Der Arbeitgeber hat in der erteilten Auskunft pauschal erklärt, dass die Datenverarbeitung zum Zwecke des Beschäftigungsverhältnisses, namentlich zu dessen Abwicklung und Beendigung, zur Erfüllung bestehender rechtlicher Verpflichtungen und zur Wahrnehmung berechtigter Interessen nach § 26 BDSG bzw. Art. 6 Abs. 1 lit. b, c und f DSGVO erfolge. Diese Auskunft stelle keine konkrete und detaillierte Zwecksetzungen dar, so das Gericht. Verstärkt werde dies dadurch, dass der Arbeitgeber auf einen Anhang verwiesen hatte. Die Bezugnahme auf einen Anhang, erst recht wenn er Hunderte Seiten umfasst, ersetze keine Mitteilung in Form und Sprache gemäß Art. 12 Abs. 1 S. 1 DSGVO.
Besonders interessant sind die Ausführungen zum weiteren Klagebegehren des Arbeitnehmers – der Herausgabe einer Datenkopie. Das AG Düsseldorf folgert aus dem Grundsatz von Treu und Glauben nach Art. 8 Abs. 2 S. 1 GRCh und Art. 5 Abs. 1 lit. a DSGVO, der für die gesamte Datenverarbeitung gelte, dass dem Verantwortlichen per se kein unverhältnismäßiger Aufwand abverlangt werden könne. Der Aufwand, nach personenbezogenen Daten des Klägers in sämtlichen Servern, Datenbanken, Web-Anwendungen, E-Mail-Postfächern, Verzeichnisstrukturen, Speichermedien, Smartphones, Notebooks und diversen anderen Endgeräten der Beklagten nebst aller Vorgesetzten und Kollegen des Klägers zu suchen, um sie in Kopie herausgeben zu können, stehe in grobem Missverhältnis zum Leistungsinteresse des Arbeitnehmers.
Immer öfter beschäftigen sich Gerichte mit der Frage, wie weit der Auskunftsanspruch des Art. 15 DSGVO geht. Wir berichteten bereits über ein Urteil des LG Heidelberg. Hier wies das Gericht ein Auskunftsbegehren mit der Begründung ab, dass die Wiederherstellung und Aufbereitung der Daten aus einem Backup in dem konkreten Fall einen unverhältnismäßigen Aufwand darstellten. Es bleibt abzuwarten, ob zukünftige Rechtsprechung auf dieser Linie bleibt.
Pages: 1 2 ... 30 31 32 33 34 ... 38 39 
