Kategorie: DSGVO

EuGH urteilt zum Kündigungsschutz der Datenschutzbeauftragten

5. Juli 2022

Mit Urteil vom 22.06.2022 (C‑534/20) hat der Europäische Gerichtshof (EuGH) entschieden, dass der deutsche Sonderkündigungsschutz von Datenschutzbeauftragten aus § 38 Abs. 1 und 2 in Verbindung mit § 6 Abs. 4 Satz 2 Bundesdatenschutzgesetz (BDSG) europarechtskonform ist.

Der Sachverhalt

Eine Gesellschaft hatte ihrer internen Datenschutzbeauftragten ordentlich und aus betriebsbedingten Gründen gekündigt. Die Position der Datenschutzbeauftragten sollte zukünftig extern besetzt werden. Die Datenschutzbeauftragte wehrte sich gegen ihre Kündigung. Nach § 38 Abs. 2 in Verbindung mit § 6 Abs. 4 Satz 2 BDSG könne sie als Datenschutzbeauftragte nur außerordentlich aus wichtigem Grund gekündigt werden. Eine ordentliche, betriebsbedingte Kündigung sei ausgeschlossen. Die deutschen Arbeitsgerichte gaben ihr Recht, die Kündigung sei nach § 134 BGB nichtig. Da die Gesellschaft stets Rechtsmittel einlegte, wurde die Streitigkeit letztlich dem Bundesarbeitsgericht (BAG) zur Entscheidung vorgelegt.

Das BAG war sich mit der Europarechtskonformität der in Frage stehenden Normen unsicher, konkret bezüglich der Vereinbarkeit mit Art. 38 DSGVO. Denn nach nationalem Recht in § 38 Abs. 2 in Verbindung mit § 6 Abs. 4 Satz 2 BDSG ist die Kündigung einer Datenschutzbeauftragten unzulässig, es sei denn Tatsachen lägen vor, die zur Kündigung aus wichtigem Grund ohne Einhaltung einer Kündigungsfrist, also zur außerordentlichen Kündigung, berechtigten. Eine ordentliche Kündigung ist damit ausgeschlossen. Im europäischen Recht in Art. 38 DSGVO hingegen, ist kein besonderer Kündigungsschutz für Datenschutzbeauftragte vorgesehen. Dort ist nur geregelt, dass die Datenschutzbeauftragte nicht wegen der Erfüllung ihrer Aufgaben abberufen werden kann. Somit gewähren die deutschen Normen des BDSG einen höheren Kündigungsschutz als die europäische DSGVO.

Deshalb legte das BAG das Verfahren dem EuGH vor, u.a. mit der Frage, ob das europäische Recht den strengeren deutschen Normen entgegensteht.

Die Entscheidung

Der EuGH entschied, dass die strengeren, deutschen Normen zum Kündigungsschutz mit dem europäischen Recht vereinbar sind. Art. 38 DSGVO steht den Regelungen des BDSG nicht entgegen.

Für seine Begründung verwies der EuGH auf den Wortlaut von Art. 38 DSGVO, das mit Art. 38 DSGVO verfolgte Ziel, eine Unabhängigkeit der Datenschutzbeauftragten zu gewährleisten, sowie den Zweck der DSGVO selbst. Diese solle nämlich nicht den Kündigungsschutz generell regeln.

Der EuGH führt dazu aus, dass: „es jedem Mitgliedstaat freisteht, in Ausübung seiner vorbehaltenen Zuständigkeit besondere, strengere Vorschriften für die arbeitgeberseitige Kündigung eines Datenschutzbeauftragten vorzusehen, sofern diese mit dem Unionsrecht und insbesondere mit den Bestimmungen der DSGVO, vor allem Art. 38 Abs. 3 Satz 2 DSGVO, vereinbar sind.“ Insbesondere dürfe „ein strengerer Schutz die Verwirklichung der Ziele der DSGVO nicht beeinträchtigen. Dies wäre aber der Fall, wenn dieser Schutz jede durch einen Verantwortlichen oder einen Auftragsverarbeiter ausgesprochene Kündigung eines Datenschutzbeauftragten verböte, der nicht mehr die für die Erfüllung seiner Aufgaben erforderlichen beruflichen Eigenschaften besitzt oder seine Aufgaben nicht im Einklang mit der DSGVO erfüllt.“ Die Verwirklichung der Ziele der DSGVO sah der EuGH hier nicht gefährdet, denn eine Kündigung der Datenschutzbeauftragten ist im deutschen Recht grundsätzlich möglich.

Lassen sich künstliche Intelligenz (KI) und die DSGVO miteinander vereinbaren?

30. Juni 2022

Was ist KI im rechtlichen Sinne ?

Bisher gibt es keine allgemeine anerkannte Definition für KI. Die Bundesregierung versteht unter KI „ein Teilgebiet der Informatik, welches sich mit der Erforschung von Mechanismen des intelligenten menschlichen Verhaltens befasst. Dabei geht es darum, technische Systeme so zu konzipieren, dass sie Probleme eigenständig bearbeiten und sich dabei selbst auf veränderte Bedingungen einstellen können“ (BT-Drs. 19/1982, S. 2). Ähnlich wird dies von der EU-Kommission gesehen. Danach bezeichnet KI „Systeme mit einem ,intelligenten‘ Verhalten, die ihre Umgebung analysieren und mit einem gewissen Grad an Autonomie handeln, um bestimmte Ziele zu erreichen“ (COM(2018) 237, S. 1). 

Die DSGVO spricht an keiner Stelle ausdrücklich von KI,  jedoch ist Erwägungsgrund 15 DSGVO zu entnehmen, dass der Schutz natürlicher Personen technologieneutral und unabhängig von einer verwendeten Technologie sein soll. KI-Systeme als Technologie sind für deren Funktionieren auf die zugeführten Daten angewiesen. Die DSGVO ist einschlägig, sobald diese Daten personenbezogen sind. Von datenschutzrechtlicher Bedeutung ist demnach die Verarbeitung personenbezogener Daten zum Zweck des Trainings und der Erzeugung einer KI-Anwendung. Daneben ist die Anwendung einer bereits trainierten KI auf einen gewissen Sachverhalt relevant. Die KI könne dabei helfen, einige der größten Herausforderungen besser zu bewältigen, dabei müsse aber immer sichergestellt sein, dass Persönlichkeitsrechte, das Recht auf informationelle Selbstbestimmung und andere Grundrechte nicht verletzt würden.

Verarbeitungen personenbezogener Daten durch die KI müssen auf jeden Fall den in Art. 5 Abs. 1 DSGVO entsprechenden Datenschutzgrundprinzipien entsprechen, und somit insbesondere einen legitimen Zweck verfolgen, außerdem auf einer Rechtsgrundlage beruhen und zudem transparent ausgestaltet sein.

Ist bei der Anwendung von künstlicher Intelligenz eine Datenschutz-Folgenabschätzung notwendig?

Die Datenschutz-Folgenabschätzung (DSFA) gem. Art. 35 DSGVO ist die Prüfung einer oder mehrerer Verarbeitungstätigkeiten, die einer Risikoanalyse unterzogen werden. Die DSFA ist also ein zentrales Instrument, welches seinen Zweck darin hat, zu prüfen, ob der Einsatz von KI für eine Verarbeitungstätigkeit auch geeignet ist.

Vorab muss jedoch eine Erforderlichkeitsprüfung gem. Art. 35 Abs. 1 S. 1 DSGVO durchgeführt werden. Es geht darum, ob eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, auf Grund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für Rechte und Freiheiten natürlicher Personen zur Folge hat. Weitere Anhaltspunkte ergeben sich zudem aus Erwägungsgrund 91 S. 1 DSGVO, wonach bei Verarbeitungsvorgängen von großen Mengen personenbezogener Daten ein Bedürfnis nach einer DSFA besteht.

Wird KI auf Grundlage personenbezogener Daten angewendet, ist damit in der Regel eine DSFA durchzuführen. Dafür spricht auch das Regelbeispiel in Art. 35 Abs. 3 lit. a DSGVO, das u.a. Profiling, welches häufig mit KI-bedienten Tools ausgeführt wird, nennt. Ist kein Regelbeispiel einschlägig, ist die Liste der Verarbeitungstätigkeiten, für die eine DSFA durchzuführen ist (vgl. Art. 35 Abs. 4 S. 1 DSGVO), der Aufsichtsbehörden vom 18.7.2018 zu berücksichtigen. In Nr. 11 und Nr. 13 der Liste wird der Einsatz von KI und Algorithmen genannt. Außerdem können die in den Leitlinien der Art. 29-Datenschutzgruppe aufgestellten Kriterien zur Erforderlichkeit der DSFA führen. Im Falle einer KI-Anwendung werden wohl nicht selten alle Kriterien erfüllt sein. Bleibt die Frage nach einer verpflichtenden DSFA offen, sollte eine Durchführung dennoch in Erwägung gezogen werden, da Verantwortliche von einer begleitenden DSFA immer profitieren.

Mit einer sorgfältig durchgeführten DSFA können KI-Anwendungen aus ganz unterschiedlichen Einsatzfeldern über den gesamten Entwicklungsprozess datenschutzrechtlich sicher ausgestaltet werden.

LAG Schleswig-Holstein zur Auslegung und Höhe des Schadensersatzanspruchs nach Art. 82 Abs. 1 DSGVO

Das Landesarbeitsgericht Schleswig-Holstein wies in seinem Beschluss vom 01.06.2022 (6 Ta 49/22) eine Beschwerde gegen die teilweise Versagung von Prozesskostenhilfe zurück, da es der Auffassung war, das Arbeitsgericht habe im vorangegangenen Verfahren das Schmerzensgeld in angemessener Höhe festgesetzt und der Fall sei nicht vergleichbar mit anderen Fällen, in denen ein wesentlich höheres Schmerzensgeld festgesetzt worden war.

Sachverhalt

In der Hauptsache verlangte die Klägerin nach Beendigung ihres Arbeitsverhältnisses mit der Beklagten von dieser unter anderem Zahlung von 6.000 Euro Schmerzensgeld sowie das Unterlassen der Nutzung eines Werbevideos. Während ihrer Beschäftigung bei der Beklagten hatte die Klägerin der Teilnahme an dem Video mündlich zugestimmt. Die Beklagte hatte die Klägerin dabei vorab jedoch nicht über den Zweck der Datenverarbeitung und auch nicht über ihr Widerrufsrecht bezüglich der Einwilligung in Textform informiert. Anschließend hatte die Beklagte das Video im Internet auf der Plattform „YouTube“ veröffentlicht.

Noch vor der Güteverhandlung nahm die Beklagte das Video von der Plattform und die Parteien schlossen dahingehend einen verfahrensbeendenden Vergleich. Der Prozesskostenhilfeantrag der Klägerin wurde bewilligt, jedoch für ihren Antrag auf Zahlung von Schmerzensgeld nur bis zu einer Höhe von 2.000 Euro. Hiergegen wendete sich die Klägerin mit sofortiger Beschwerde und rügte, das Arbeitsgericht habe nicht ausreichend berücksichtigt, dass das Arbeitsgericht Münster in seinem Urteil vom 25.03.2021 (3 Ca 391/20) in einem vergleichbaren Fall ein wesentlich höheres Schmerzensgeld festgesetzt habe.

Entscheidung des Gerichts

Unter Bezugnahme auf eine Entscheidung des BAG vom 26.08.2021 (8 AZR 253/20, Rn. 33) nahm das LAG Schleswig-Holstein einen Schadensersatzanspruch der Klägerin gem. Art. 82 Abs. 1 DSGVO wegen eines immateriellen Schadens allein aufgrund der Verletzung der DSGVO an. „Der Rechtsanspruch auf immateriellen Schadensersatz nach Art. 82 Abs. 1 DSGVO erfordert über die Verletzung der DSGVO hinaus nicht zusätzlich, dass die verletzte Person einen (weiteren) von ihr erlittenen immateriellen Schaden darlegt. Bereits die Verletzung der DSGVO selbst führt zu einem auszugleichenden immateriellen Schaden.“ (LAG Schleswig-Holstein, Beschluss vom 01.06.2022, 6 Ta 49/22, Rn. 14). Einhergehend mit der Rechtsprechung des Europäischen Gerichtshofs (EuGH) wurde der Begriff des Schadens weit und auf eine Weise ausgelegt, die den Zielen der Verordnung in vollem Umfang entspricht. „Angesichts dessen geht die Beschwerdekammer davon aus, dass Art. 82 Abs. 1 DSGVO neben seiner Ausgleichsfunktion auch spezial- bzw. generalpräventiven Charakter hat und dies bei der Bemessung der Höhe des zu ersetzenden immateriellen Schadens zu Lasten des Verantwortlichen zu berücksichtigen ist. Verstöße müssen nämlich effektiv sanktioniert werden. Der Schadensersatz bei Datenschutzverstößen soll eine abschreckende Wirkung haben, um der Datenschutzgrundverordnung zum Durchbruch zu verhelfen (effet utile).“ (LAG Schleswig-Holstein, Beschluss vom 01.06.2022, 6 Ta 49/22, Rn. 15).

Das LAG hielt die Obergrenze in diesem Fall in Höhe von 2.000 Euro für einen Schadensersatz unter Berücksichtigung und Abwägung aller Umstände für angemessen. Die Beeinträchtigung des Rechts der Klägerin am eigenen Bild sei nicht schwerwiegend gewesen. Die Aufnahmen hätten auch nicht erkennbar die Intimsphäre der Klägerin berührt oder sie diskriminiert. Zudem habe die Beklagte das Video nach der Aufforderung umgehend aus dem Netz genommen. Ein höheres Schmerzensgeld zur Erstattung des immateriellen Schadens aufgrund des Verstoßes der Beklagten gegen die Vorschriften der DSGVO sei nicht zu rechtfertigen.

Auch der Vergleich mit anderen Urteilen zeige die Angemessenheit auf. Richtig sei, dass bei der Festlegung der Höhe eines zuzuerkennenden Schmerzensgeldes auf eine angemessene Relation der Anspruchshöhe zu in anderen vergleichbaren Fällen ausgeurteilten Entschädigungsbeträgen zu achten sei. Bei vergleichbaren Verstößen gegen das Persönlichkeitsrecht des Arbeitnehmers hätten andere Arbeitsgerichte sogar niedrigere Summen für angemessen gehalten. Das Urteil des Arbeitsgerichts Münster sei jedoch nicht vergleichbar und läge in wesentlichen Punkten anders. Insbesondere sei die dortige Verwendung der Aufnahmen nach Ansicht des Arbeitsgerichts diskriminierend gewesen.

Mit der Annahme eines weiten Schadensbegriffs zeigt dieser Beschluss erneut auf, dass die Gerichte hinsichtlich der Auslegung des Art. 82 Abs. 1 DSGVO eine weitestgehend einheitliche und arbeitnehmerfreundliche Auffassung vertreten. Allein aufgrund des Verstoßes gegen eine Pflicht aus der DSGVO entstehen den Betroffenen immaterielle Schäden, welche einen Schadensersatzanspruch auslösen können. Bezüglich der Höhe ist auf den Einzelfall abzustellen.

Überblick zur umstrittenen Palantir-Software

29. Juni 2022

Seit einiger Zeit ist immer wieder die Rede von dem US-Konzern Palantir. Spätestens seitdem das Bayerische Landeskriminalamt (BLKA) im März entschieden hatte, zukünftig eine Analyse-Software des Konzerns zu nutzen, ist der Name wieder vermehrt zu hören gewesen. Dies liegt u.a. daran, dass der Konzern nicht ganz unumstritten ist. Alle wichtigen Informationen rund um den Palantir-Konzern und die fragliche Software präsentieren wir Ihnen hier im Überblick: 

Um was für eine Software handelt es sich und wozu wird sie eingesetzt? 

Das Analyse-Tool von Palantir beruht auf der Software Gotham. Damit sollen neben polizeilichen, auch andere behördliche Datenbanken abgefragt werden können, z. B. das Waffenregister, Einwohnermeldedaten oder das Ausländerzentralregister. Informationen aus verschiedenen Datenbanken sollen so schneller und effizienter miteinander verknüpft werden. 

Wie weit ist die Software verbreitet? 

In Hessen („Hessendata“) und Nordrhein-Westfalen („DAR“) ist die Palantir-Software bereits im Einsatz. In Bayern soll sie unter dem Begriff „VeRA“ (Verfahrensübergreifende Recherche und Analyse) starten. Da Bayern einen sogenannten „Rahmenvertrag“ abgeschlossen hat, können weitere Polizeien von Bund und Ländern ohne zusätzliche Vergabeverfahren in den Vertrag miteinsteigen. 

Baden-Württemberg, Bremen und Hamburg haben bereits Interesse bekundet. Auch der Bund will sich einen Einsatz überlegen. Dies hätte zur Folge, dass die Bundespolizei und der Zoll mit der Software arbeiten könnten. 

Palantir selbst ist international gut aufgestellt und bewirbt sich in Großbritannien gerade für einen fünf-Jahres-Vertrag mit der NHS, dem staatlichen Gesundheitssystem. Für diese soll dann eine Datenbank angelegt werden, in der Gesundheitsdaten gespeichert werden. Teilweise arbeitet Palantir jetzt schon für die NHS. Auch hier äußern sich Kritiker besorgt. 

Was ist die Kritik an der Software? 

Kritisiert wird zum einen, dass Palantir durch die Software eine bedeutende Stellung im deutschen Markt einnehmen könnte mit der Folge, dass dadurch ein Abhängigkeitsverhältnis des Staates entstehen könnte. 

Die meiste Kritik kommt jedoch von der Seite der Datenschützer. Dort wird vor allem kritisiert, dass über die Software enorme Mengen an Datensätzen miteinander verbunden werden, was einen Grundrechtseingriff darstelle. Auch besteht die Befürchtung, dass die durch Palantir erhobenen, sensiblen Daten, in die USA gelangen und dort von den Geheimdiensten abgegriffen werden könnten. 

Das Unternehmen Palantir hat in seinem Heimatland, den USA, bereits für Geheimdienste und das Pentagon gearbeitet. Auch dort ist das Unternehmen umstritten. Mitgründer Peter Thiel ist Trump-Supporter, unterstützt rechte Politiker und hat in der Vergangenheit seinen Unmut über Demokratien geäußert. Palantir hat bereits Verträge mit der United States Immigration and Customs Enforcement (ICE), einer Polizei- und Zollbehörde des Ministeriums für Innere Sicherheit, abgeschlossen. In diesem Zusammenhang wurde Palantir vorgeworfen, die ICE habe mithilfe der Software Daten über illegale Einwanderer gesammelt und diese später festgenommen und abgeschoben. 

Die jüngste Kritik an der Palantir-Software kommt von der NRW-Datenschutzbeauftragten Bettina Gayk im neuen Jahresbericht. Darin kritisiert sie, dass es für den Einsatz der Software bisher keine gesetzliche Grundlage gebe. Der Gesetzgeber müsse entscheiden, welche Straftaten schwer genug seien, um die Zweckbindung der einzelnen Datenbanken aufzuheben. Denn durch die Software würden auch Daten nicht straffällig gewordener Personen verarbeitet, z.B. die Daten von Anrufern bei der Notrufnummer 110 und von Zeugen. 

VG Köln zum Berichtigungsanspruch aus Art. 16 S. 1 DSGVO

15. Juni 2022

Das Verwaltungsgericht (VG) Köln lehnte mit Urteil vom 25.03.2022 (Az.: 25 K 2138/19) einen Berichtigungsanspruch aus Art. 16 S. 1 DSGVO ab, da die Richtigkeit eines personenbezogenen Datums nicht nachgewiesen werden konnte.

Sachverhalt

Der Kläger erhob vor dem Verwaltungsgericht Klage gegen einen Ablehnungsbescheid der Beklagten aus dem Jahr 2019, nachdem diese ihm dadurch die Berichtigung seines Melderegisters verwehrt hatte. Der Kläger begehrte zuvor die Änderung seiner Wohnanschrift für den Zeitraum von Januar bis Oktober 1988. Dies lehnte die Beklagte mit der Begründung ab, dass anderweitige Daten nicht vorlägen, die Daten bereits archiviert seien und eine nachträgliche Änderung nicht mehr möglich sei.

Anwendung der DSGVO

Das Verwaltungsgericht stützt sich unter Bezugnahme auf ein Urteil des Bundesverwaltungsgerichts auf die Annahme, dass für die Frage des Bestehens eines materiellen Anspruchs gegen einen Rechtsträger der Behörde auf die Vornahme einer Handlung grundsätzlich die Sach- und Rechtslage zum Zeitpunkt der gerichtlichen Entscheidung maßgeblich sei. Somit sei § 12 Bundesmeldegesetz (BMG) in der Fassung vom 20. November 2019, welcher auf den § 6 Abs. 1 S. 2 BMG verweist, maßgeblich. Mit dieser Neufassung habe der Gesetzgeber klarstellen wollen, dass sich im Bereich des Melderechts der Berichtigungsanspruch unmittelbar aus Art. 16 DSGVO ergebe.

Entscheidung des Gerichts

Das Verwaltungsgericht Köln wies die Klage jedoch ab. Das Gericht war nicht ausreichend davon überzeugt, dass der Kläger die Anspruchsvoraussetzungen für die Berichtigung seiner Meldedaten gem. Art. 16 S. 1 DSGVO erfüllt. Zwar handle es sich bei der Anschrift des Klägers um ein personenbezogenes Datum, jedoch sei nicht erweislich, dass das Begehren der Änderung der Anschriften auch auf die „Berichtigung“ eines „unrichtigen“ Datums im Sinne des Artikels 16 DSGVO gerichtet sei. Das Tatbestandsmerkmal der „Unrichtigkeit“ sei ein objektives Kriterium, das nur auf Tatsachenangaben anwendbar ist. Die Berichtigung eines unrichtigen Datums „kann (…) nur dadurch erfolgen, dass das unrichtige Datum mit der Wirklichkeit in Übereinstimmung gebracht wird. Ein Berichtigungsanspruch kann sich deshalb nur dann aus Art. 16 S. 1 DSGVO ergeben, wenn feststeht, dass das von dem Verantwortlichen gespeicherte oder sonst verarbeitete Datum objektiv nicht mit der Realität übereinstimmt, und wenn zugleich feststeht, dass das von dem Betroffenen als richtig benannte Datum tatsächlich mit der Wirklichkeit übereinstimmt.“ (VG Köln, Urteil v. 25.03.2022, Az: 25 K 2138/19, Rn. 90). Das Gericht hielt es zwar für möglich, dass die eingetragenen Anschriften für den Zeitraum des Jahres 1988 unrichtig sind, jedoch war es nicht davon überzeugt, dass die Anschriften, welche eingetragen werden sollten, objektiv mit der Realität übereinstimmen und richtig sind.

Das Verwaltungsgericht verdeutlicht mit seinem Urteil, dass es für die gerichtliche Geltendmachung des Berichtigungsanspruchs aus Art. 16 S. 1 DSGVO nicht ausreicht nachzuweisen, dass Daten unrichtig sind oder unrichtige Daten verarbeitet werden. Zusätzlich ist es unerlässlich nachzuweisen, dass auch das als richtig benannte Datum, welches das Unrichtige ersetzen soll, objektiv mit der Realität übereinstimmt und der Wahrheit entspricht.

LG Essen und LG Paderborn urteilen zu Auskunftsrecht aus Art. 15 DSGVO

13. Juni 2022

Das Landgericht (LG) Essen lehnte mit Urteil vom 23.02.2022 (AZ: 18 O 204/21) einen Auskunftsanspruch aus Art. 15 DSGVO unter anderem wegen Rechtsmissbrauchs ab.

Vorausgegangen war ein Rechtsstreit zwischen einem privatversicherten Mann und seiner Versicherung. Die Versicherung passte den monatlich zu zahlenden Betrag mehrmals einseitig an. Dabei sandte sie jeweils Mitteilungs- und Informationsschreiben an den Mann. Dieser ging davon aus, dass die Anpassungen unwirksam waren und forderte sein Geld zurück. Er gab allerdings an, die Versicherungsunterlagen zur Bezifferung der Ansprüche nicht mehr zu haben. Er erhob Klage und machte sowohl Auskunft bezüglich der Unterlagen, als auch Rückzahlungsansprüche geltend.

Das LG Essen wies die Klage jedoch ab. Auskunftsansprüche seien keine ersichtlich. Der Anspruch aus Art. 15 DSGVO scheitere bereits daran, dass es sich bei dem standardisierten Begründungsschreiben, mit dem der Beitrag erhöht wurde, nicht um personenbezogene Daten handle. Außerdem habe die Beklagte ein Weigerungsrecht aus Art. 12 Abs. 5 Satz 2 lit. b) DSGVO, hier stünde dem Antrag des Klägers der Einwand des Rechtsmissbrauchs entgegen. Der Kläger habe hier kein schützenswertes Eigeninteresse. Denn Sinn und Zweck des in Art. 15 DSGVO normierten Auskunftsrechts sei es, der betroffenen Person problemlos und in angemessenen Abständen zu ermöglichen, sich der Verarbeitung der sie betreffenden personenbezogenen Daten bewusst zu werden und die Rechtmäßigkeit dieser Verarbeitung überprüfen zu können. Dies liegt in diesem Fall nicht vor: „Um ein solches Bewusstwerden zum Zweck einer Überprüfung der datenschutzrechtlichen Zulässigkeit der Verarbeitung personenbezogener Daten geht es dem Kläger nach seinem eigenen Klagevorbringen hingegen nicht. Der Kläger macht keines der vorgenannten Interessen geltend. […] Es geht ihm mithin einzig allein um die Überprüfung etwaiger geldwerter Ansprüche gegen die Beklagte. Eine solche Vorgehensweise ist vom Schutzzweck der DSGVO aber nicht umfasst.“

In einer sehr ähnlichen Sache hatte das Landgericht (LG) Paderborn am 15.12.2021 (AZ: 4 O 275/21) ebenfalls einen Anspruch nach Art. 15 DSGVO verneint. Auch hier verlangte ein Versicherungsnehmer von seiner privaten Krankenversicherung Auskünfte, um nach Beitragserhöhungen eine Rückzahlungsforderung geltend machen zu können. In diesem Fall wertete das Gericht die Beitragsanpassungsschreiben allerdings als personenbezogene Daten. Trotzdem griff Art. 15 DSGVO nicht, denn der Versicherung stand auch hier der Eingriff des Rechtsmissbrauches zu. Das Gericht führte dazu aus, dem Kläger ginge es „ausschließlich darum, sich auf möglichst einfache und bequeme Art gebündelt die Informationen zu beschaffen, die er benötigt, um eine bezifferte Leistungsklage auf Rückzahlung möglicherweise rechtsgrundlos gezahlter Beiträge vorbereiten zu können“.

Auch das Oberlandesgericht (OLG) Nürnberg hatte vor kurzem sein Urteil zu rechtsmissbräuchlichen Auskunftsansprüchen ähnlich begründet.

Bundesgerichtshof: Unerwünschte Inbox-Werbung ist rechtswidrig

10. Juni 2022

E-Mail-Dienste wie T-Online dürfen Nutzern kostenfreier Basisversionen nicht mehr ohne Einwilligung Werbung in der Inbox anzeigen. Dies hat der Bundesgerichtshof (BGH) in seinem nun veröffentlichten Urteil vom 13. Januar diesen Jahres entschieden (Az.: I ZR 25/19). 

In dem Streit ging es um eine Werbemaßnahme des Stromlieferanten Eprimo aus der Eon-Gruppe. Dieser hatte in Zusammenarbeit mit einer Agentur Werbenachrichten in E-Mail-Postfächer von Nutzern des E-Mail-Dienstes T-Online geschaltet. 

Vergleichbar mit Spam-E-Mails 

Kennzeichnend für Inbox-Werbung sei, dass sie in der Inbox – also im für private Nachrichten gedachten Bereich – angezeigt wird. Der Zugang zu den eigentlichen E-Mails sei so ähnlich versperrt wie durch Spam-E-Mails. Inbox-Werbung sei bei vielen webbasierten E-Mail-Diensten gängige Praxis. 

Der Bundesgerichtshof entschied über den Streit, nachdem er dem Europäischen Gerichtshof (EuGH) einige Fragen zur Interpretation vorgelegt hatte. Der EuGH entschied auf die Vorlage hin im November, dass Zweck der E-Privacy-Richtlinie sei, Nutzer gegen die Verletzung ihrer Privatsphäre durch unerbetene Nachrichten für Zwecke der Direktwerbung zu schützen. Inbox-Werbung behindere den Zugang zu den eigentlichen E-Mails, ähnlich wie Spam. Das Versenden von Werbenachrichten in dieser Form stelle zwar keine E-Mail dar, aus Sicht des Empfängers sei die Werbenachricht von Spam-E-Mails aber kaum zu unterscheiden. Daher solle ein Opt-in zwingend erforderlich sein. 

Allgemeine Einwilligung nicht wirksam 

Inbox-Werbung ist deshalb künftig nur dann rechtmäßig, wenn der Nutzer zuvor informiert wurde und ausdrücklich in sie eingewilligt hat. Dafür stellen die Karlsruher Richter hohe Anforderungen auf. Es reiche nicht aus, dass der Nutzer eine allgemeine Einwilligung in Werbung erteilt hat, um den Dienst kostenlos nutzen zu können. Der Nutzer müsse vor der Einwilligung vielmehr über die Umstände derartiger Werbung aufgeklärt werden. Insbesondere müsse der Dienst darauf hinweisen, dass Werbenachrichten in der Liste der empfangenen privaten E-Mails angezeigt werden. 

Einige E-Mail-Anbieter wie GMX und web.de reagierten unmittelbar auf das Urteil und passten ihre Einwilligungserklärungen an. Hier kann der Nutzer nun auch in Inbox-Werbung einwilligen – oder dies verweigern.

EU-Kommission veröffentlicht Frage-Antwort-Katalog zu Standardvertragsklauseln

Am 04. Juni letzten Jahres hat die EU-Kommission neue Standardvertragsklauseln für Drittlands-Übermittlungen und zur Auftragsverarbeitung beschlossen. Durch die Neuerungen sollte das Datenschutzniveau des Schrems-II-Urteils und der Europäischen Datenschutzgrundverordnung (DSGVO) sichergestellt werden.

Nun, knapp ein Jahr später, hat die EU-Kommission einen Frage-Antwort-Katalog zu diesen Standardvertragsklauseln veröffentlicht. Dieser wurde auf Basis von Rückmeldungen erstellt und soll die praktische Anwendung der Klauseln erleichtern.

Der Katalog enthält insgesamt 44 Fragen und Antworten zu verschiedenen Unterkategorien, wie z.B. Betroffenenrechte und Änderungen der involvierten Parteien. Der Katalog beantwortet dabei auch grundsätzliche Fragen wie: „Welche Vorteile haben die Standardvertragsklauseln?“ und „Kann der Text der Standardvertragsklauseln geändert werden?“. Für einige Fragen werden auch Beispiele angeführt, sodass Sachverhalte anschaulicher werden. Insgesamt ist der Katalog nicht nur für Datenschutzexperten, sondern auch für interessierte Laien gedacht.

Zum jetzigen Zeitpunkt ist der Katalog nur auf Englisch einsehbar. Der Katalog soll dynamisch bleiben und stets um Fragen und Antworten ergänzt werden.

LG Berlin: Bloße Adresse stellt keinen hinreichenden Personenbezug i.S.d DSGVO dar

7. Juni 2022

Das Landgericht (LG) Berlin hat am 27.01.2022 (AZ 26 O 177/21) entschieden, dass die bloße Adresse ohne Bezugnahme auf eine Person keinen hinreichenden Personenbezug darstellt.

Die Klägerin machte zuvor Trennungs- und Kindesunterhalt gegen ihren Mann vor dem Amtsgericht (AG) Pankow/Weißensee geltend. Im Rahmen dieses Verfahrens ‚googelte‘ die Richterin die Adresse der Klägerin, um sich einen Überblick über die Wohnverhältnisse zu verschaffen. In einem Beschluss des AG heißt es dann: „[…] bei einer bei Google Maps ersichtlichen Grundfläche des Doppelhauses […]“.

Die Klägerin hatte in die Recherche mittels Google Maps nicht eingewilligt und sah darin eine Rechtsverletzung. Bei ihrer Wohnadresse handele es sich um personenbezogene Daten. Durch die Nutzung des Suchdienstes habe eine Datenübermittlung in die USA und somit in ein Drittland stattgefunden. Sie begehrt Schadensersatz i.H.v. 2.000 EUR und beruft sich auf Art. 82 DSGVO.

Diesen Anspruch wies das LG Berlin nun ab. Einen Verstoß gegen die DSGVO sah das Gericht nicht, sodass ein Schadensersatzanspruch nicht in Betracht käme. Im Ergebnis läge weder eine rechtswidrige Verarbeitung von personenbezogenen Daten nach Art. 5 DSGVO vor, noch eine Übermittlung in ein Drittland nach Art. 44 DSGVO. Dem Gericht fehlte es vor allem an einem Personenbezug i.S.d. Art. 4 DSGVO:

„Personenbezogene Daten“ sind gemäß Art. 4 Nr. 1 DSGVO alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann. In der bloßen Eingabe einer (puren) Adresse ist noch kein personenbezogenes Datum zu erblicken. Denn die bloße Adresse ohne Bezugnahme auf eine Person – sei es durch namentliche Nennung, sei es durch die Bezugnahme auf ein diese Adresse betreffendes Eigentums-, Besitz- oder Mietverhältnis o.ä. – stellt keinen hinreichenden Personenbezug dar.“

Auch sei kein Bezug zwischen Verfahrensbeteiligung/-stellung einer Person und der eingegebenen Adresse hergestellt worden. Vorschriften aus der DSGVO seien also nicht betroffen.

Weiterhin konnte das LG Berlin eine Amtspflichtverletzung der Richterin nicht erkennen. Die Klage wurde vollumfänglich abgewiesen.

Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt vor ‚Spoofing‘

3. Juni 2022

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt mit einer Meldung vom 02.06.2022 vor ‚Spoofing‘-Angriffen, die mit der Rufnummer des BSI erfolgen sollen. Verwendet werden dabei zum Beispiel die Nummern +49 228 9582 44 oder 0228 9582. Das BSI warnt eindringlich davor, Anrufenden persönliche Daten mitzuteilen oder Aufforderungen nachzukommen.

Das ‚Spoofing‘ ist, ähnlich wie das ‚Smishing‘ ein bekanntes Betrugskonzept. Der Begriff (auf deutsch übersetzt etwa: Manipulation, Verschleierung, Vortäuschung) umfasst Handlungen, bei denen sich Kriminelle am Telefon oder per E-Mail als jemand anders ausgeben, um so direkt oder indirekt an Daten der Angerufenen zu gelangen. Meist treten die Anrufer dabei als Vertreter oder Mitarbeiter einer Behörde, eines Unternehmens oder anderer seriöser Institutionen (z.B. Banken oder Vereine) auf. Die Angerufenen werden dann entweder im Gespräch selbst gebeten, gewisse Daten herauszugeben oder werden auf eine entsprechende Website verwiesen. Bei Mails sind häufig Trojaner und Viren im Anhang in Dokumenten versteckt. Meist sind die Angreifer auf die Herausgabe von Kontodaten oder Bargeld aus.

Perfide an der Betrugsmasche ist, dass bei solchen Anrufen meist eine falsche Rufnummer übermittelt und angezeigt wird (sog. Call-ID-Spoofing). So kann dann z.B. die Nummer einer Behörde den Angerufenen angezeigt werden, obwohl diese mit dem Anruf nichts zu tun hat. Dadurch soll zum einen der Eindruck von Seriösität und Vertrauen erweckt werden, zum anderen soll so die Identität der Anrufer verschleiert werden. Vorgekommen ist in der Vergangenheit z.B. schon, dass die 110 als Anrufer angezeigt wurde, obwohl dies eine reine Einwahlnummer ist und die Polizei von dieser Nummer aus niemanden anrufen kann. Bei Mails wird der Absender manipuliert, sodass es dem Empfänger scheint, als habe eine offizielle Stelle oder ein Bekannter ihn kontaktiert. Weitere Informationen zur Manipulation von Rufnummern sind auf der Website der Bundesnetzagentur zu finden.

Verhaltenstipps: Sollten Sie einen Anruf oder eine Mail bekommen, bei denen Sie sich nicht sicher sind, ob ein ‚Spoofing‘-Angriff vorliegt, sollten sie zunächst die Kommunikation einstellen, d.h. auflegen oder nicht mehr antworten, den Kontakt ggf. blockieren. Unbekannte Links oder Anhänge sollten sie niemals öffnen. Danach sollten Sie die Behörde, das Unternehmen oder die Institution, von der der Anruf/ die Mail angeblich ausging über einen offiziellen Weg kontaktieren und sich nach der Authentizität der Anfrage erkundigen. Geben Sie niemals persönliche Daten raus, bevor Sie bestätigt haben, dass es sich nicht um eine kriminelle Anfrage handelt!
Falls Sie in diesem konkreten Fall einen Anruf des angeblichen BSI bereits engegengenommen haben, sollten Sie das Service-Center des BSI mit der Rufnummer 0800 274 1000 kontaktieren.

1 3 4 5 6 7 31