Kategorie: DSGVO

Twitter: Strafe in Millionenhöhe, wegen Nutzertäuschung

2. Juni 2022

Twitter hatte jahrelang verschwiegen, dass aus Sicherheitsgründen hinterlegte Handynummern und E-Mail-Adressen auch zu Werbezwecken verwendet worden waren. Das Unternehmen sprach von einem „Versehen“.

In der veröffentlichten Klageschrift von letzter Woche verwiesen die Handelsbehörde FTC und das Justizministerium darauf, dass Twitter die Nutzer um ihre Telefonnummern und E-Mail-Adressen mit der Begründung gebeten hatte, man könne damit ihre Accounts besser absichern. Online-Dienste greifen auf E-Mails oder Nachrichten an Handy-Nummern zum Beispiel zum Zwecke der Anmeldung auf neuen Geräten zurück sowie bei vergessenen Passwörtern oder um gesperrte Profile wieder freizuschalten.

Twitter habe die Daten aber auch verwendet, um den Nutzern personalisierte Werbung anzuzeigen, hieß es in der Klage. Damit seien die für andere Zwecke erhobenen Kontaktinformationen missbraucht worden. Twitter habe verschwiegen, dass es für eine Zwei-Faktor-Authentifizierung hinterlegte Handynummern und E-Mail-Adressen dazu verwendet habe, Unternehmen dabei zu helfen, personalisierte Werbung zu schalten. Zwischen Mai 2013 und September 2019 hätten mehr als 140 Millionen Nutzer ihre Telefonnummern oder E-Mail-Adressen mit Twitter geteilt, betonte die US-Regierung. Sie sah in der Vorgehensweise des Dienstes einen Verstoß gegen eine Einigung aus dem Jahr 2011, in welcher sich Twitter auch zu Transparenz beim Datenschutz verpflichtet hatte.

Twitter räumte die Vorwürfe in einer Stellungnahme ein. „Einige der zu Sicherheitszwecken bereitgestellten E-Mail-Adressen und Telefonnummern konnten versehentlich für Werbezwecke verwendet werden“, erklärte der Leiter der Datenschutzabteilung, Damien Kieran.

Mit 150 Millionen Dollar (140 Millionen Euro) kommt Twitter allerdings deutlich günstiger davon als Facebook im Jahr 2019. Damals warfen US-Behörden dem weltgrößten Online-Netzwerk ebenfalls vor, frühere Datenschutz-Verpflichtungen verletzt zu haben. Facebook zahlte fünf Milliarden Dollar und stimmte einer strikteren Datenschutz-Aufsicht zu. Auch Twitter muss nun unter anderem den Datenschutz von durch die FTC benannten Experten prüfen lassen und der Behörde Zwischenfälle binnen 30 Tagen melden. Außerdem soll Twitter ein Verfahren zur sicheren Anmeldung anbieten, das ohne eine Telefonnummer funktioniert.

OLG Nürnberg: rechtsmissbräuchlicher Auskunftsanspruch

Das OLG Nürnberg entschied in seinem Urteil vom 14.03.2022 (Az. 8 U 2907/21), dass der durch die DSGVO garantierte Auskunftsanspruch nach Art. 15 DSGVO nicht verwendet werden dürfe, um die Begründetheit von Rechtsansprüchen zu überprüfen. Dies stelle eine dem Sinn und Zweck der DSGVO widersprechende rechtsmissbräuchliche Anwendung des Auskunftsanspruchs dar.

Der Rechtsstreit

Hintergrund der Entscheidung war ein Rechtsstreit zwischen einem Versicherungsnehmer und seiner privaten Krankenversicherung. Es war fraglich, ob die erfolgten Beitragserhöhungen wirksam waren. Zusätzlich wollte der Versicherungsnehmer Auskunft darüber erhalten, ob und wann in den Jahren 2013 bis 2016 Beitragsanpassungen erfolgt waren. Neben der Auskunft verlangte der Versicherungsnehmer zusätzlich, Dokumente zu den Beitragsanpassungen zu erhalten.  

Kein Auskunftsanspruch nach Art. 15 DSGVO

Um seinen Anspruch auf Informationsverschaffung durchzusetzen, strengte der Kläger u.a. Art. 15 DSGVO an. Nach Art. 15 Abs. 1 DSGVO kann eine betroffene Person grundsätzlich Auskunft darüber verlangen, ob und welche sie betreffende personenbezogenen Daten ein Verantwortlicher verarbeitet.  

Allerdings gilt dieser Auskunftsanspruch nicht uneingeschränkt. Nach Art. 12 Abs. 5 S. 2 lit. b DSGVO kann der Verantwortliche die Auskunft verweigern, wenn der Anspruch offensichtlich unbegründet ist oder exzessiv ausgeübt wird.

Das OLG Nürnberg entschied nun, dass neben der exzessiven Ausübung weitere Missbrauchstatbestände denkbar sind. Die Begründung dafür war aus Sicht des OLG Nürnberg der Wortlaut der Norm. Mit dem Wort „insbesondere“ werde impliziert, dass die häufige Antragstellung nur einer von mehreren Verweigerungsgründen sei. Denkbar seien demnach weitere rechtsmissbräuchliche Fälle der Anspruchsausübung.  

Im vorliegenden Fall sei rechtsmissbräuchlich gehandelt worden, weil der Antrag nicht vom Schutzzweck der DSGVO umfasst sei. Laut Gericht könne eine betroffene Person ihr Auskunftsrecht ausüben, um „(…) sich der Verarbeitung der sie betreffenden personenbezogenen Daten bewusst zu werden und die Rechtmäßigkeit dieser Verarbeitung überprüfen zu können.“ (OLG Nürnberg, Urteil vom 14.03 2022, 8 U 2907/21, Rn. 28). Dies mache auch der Erwägungsgrund 63 DSGVO deutlich. Hier gehe es dem Kläger jedoch gerade nicht darum die Rechtmäßigkeit der Datenverarbeitung zu überprüfen. Vielmehr sei es „Sinn und Zweck der (…) begehrten Auskunftserteilung (…) ausschließlich die Überprüfung etwaiger von der Beklagten vorgenommener Prämienanpassungen wegen möglicher formeller Mängel (…)“ vornehmen zu können. (OLG Nürnberg, Urteil vom 14.03 2022, 8 U 2907/21, Rn. 28)

Bundesbeauftragter für den Datenschutz und die Informationsfreiheit (BfDI) äußert sich zu Online-Fragebogen des Zensus 2022

27. Mai 2022

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), Prof. Ulrich Kelber, hat sich vergangene Woche zum Zensus 2022 geäußert. Grund dafür war, dass der BfDI Mitte Mai Kenntnis von der Möglichkeit einer Verletzung des Schutzes personenbezogener Daten durch den Online-Fragebogen zum Zensus 2022 erhalten hatte. Konkret geht es dabei um den Online-Fragebogen zur Gebäude- und Wohnungszählung des Zensus 2022. Für die Erhebung dieser Daten wird teilweise Technik des US-amerikanischen IT-Dienstleisters Cloudflare verwendet. Es wurde befürchtet, dass die in die Fragebögen eingetragenen Daten an Cloudflare übermittelt würden. Hierzu gab der BfDI jetzt Entwarnung und bestätigte, dass „zu keinem Zeitpunkt eine Gefahr für die in dem Fragebogen eingegebenen personenbezogenen Daten bestanden hat“. An Cloudflare übertragen wurden allerdings Metadaten (z. B. Datum und Uhrzeit des Abrufs, übertragene Datenmenge, Herkunftsverweise und IP-Adresse). Ob dies rechtmäßig war, wird momentan noch überprüft. Vorsichtshalber wird Cloudflare für die Fragebögen erstmal nicht mehr eingesetzt, sodass auch keine Metadaten übertragen werden.

Im Zusammenhang mit dem derzeit stattfinden Zensus ergeben sich einige weitere Fragen:

Was genau ist der Zensus 2022?

Beim Zensus handelt es sich um eine Volkszählung. Dabei wird nicht nur die Menge der Bevölkerung erfasst, sondern auch stichprobenartig weitere Daten von den Befragten gesammelt. Der Zensus 2022 findet von Mitte Mai bis Mitte August statt und bildet dann für die nächsten zehn Jahre die Grundlage für amtliche Statistiken und darauf aufbauende Planungen, wie u.a. Bauprojekte. Auch z.B. Wahlkreise werden so eingeteilt. Die Befragten werden per Zufall ausgesucht. Wird man als Befragter ausgewählt, ist die Teilnahme am Zensus verpflichtend. Rechtliche Grundlage ist das Zensusgesetzes 2022 (ZensG 2022).

Welche Daten werden wie beim Zensus erhoben?

Befragt werden ca. 10 % der Bevölkerung in Deutschland zu Fragen wie u.a. Alter, Geschlecht, Staatsangehörigkeit, Wohnsituation, Beruf und Einkommen. Die Befragten werden persönlich durch InterviewerInnen bei ihnen zu Hause befragt und sollen zusätzlich für die Gebäude- und Wohnungszählung Online-Fragebögen nutzen.

Wie wird der Datenschutz gewährleistet?

Verwendet werden nur die Daten, die für den Zensus relevant sind. Diese werden anonym ausgewertet. Alle anderen personenbezogenen Daten (z.B. der Name des Befragten) werden gelöscht. Es werden keine Daten an andere staatliche Stellen wie Meldeämter, Finanzämter oder die Polizei weitergegeben. Die InterviewerInnen werden außerdem zur Geheimhaltung verpflichtet. Bei der Übermittlung von Daten über die Online-Fragebögen werden diese Daten verschlüsselt.

Weitere Fragen rund um den Datenschutz und die Informationsfreiheit werden umfangreich auf einer extra eingerichteten Website des Zensus beantwortet.

Falls Sie als Befragter ausgewählt wurden: Bitte achten Sie darauf, dass InterviewerInnen ihre Befragung immer ankündigen und nicht ohne eine Vorankündigung bei Ihnen zu Hause erscheinen werden. Sie können ihr Amt außerdem mit einem speziellen Ausweis nachweisen. Achten Sie darauf, dass Sie Ihre Daten nicht falschen InterviewerInnen mitteilen.

AG Pankow: Auskunftsanspruch aus Art. 15 DSGVO kann wegen Unzumutbarkeit verweigert werden

Das AG Pankow hat sich mit Urteil vom 28.03.2022 (AZ 4 C 199/21) zur Unzumutbarkeit des Auskunftsanspruches aus Art. 15 DSGVO geäußert. Art. 15 DSGVO gewährt den Betroffenen einen Anspruch, von dem Verantwortlichen zu erfahren, ob und welche Daten dieser über ihn verarbeitet.

Im vorliegenden Sachverhalt war die Beklagte ein Beförderungsunternehmen, das u.a. S-Bahnen betreibt. In einigen S-Bahnen des Unternehmens findet eine Videoaufzeichnung der Zuginnenräume bei Fahrbetrieb statt. Diese Aufzeichnungen werden für 48 Stunden gespeichert und danach gelöscht.

Der spätere Kläger fuhr im April 2021 mit einer dieser S-Bahnen. Im Anschluss bat er das Beförderungsunternehmen um Herausgabe der ihn betreffenden Videoinformationen und forderte die Beklagte zugleich auf, die ihn betreffenden Daten nicht innerhalb der 48 Stunden zu löschen. Sein Auskunftsanspruch stütze er auf Art. 15 DSGVO. Das Beförderungsunternehmen löschte die Aufzeichnungen aber alle wie gehabt und teilte dies dem Kläger mit. Eine Auskunft wurde gegenüber dem Kläger abgelehnt. Der Kläger sah dies als Datenschutzverstoß an und erhob Klage, mit der er nach Art. 82 DSGVO Schmerzensgeld in Höhe von 350,00 EUR begehrte.

Diese Klage hat das AG Pankow nun abgelehnt. Das Gericht erklärte, der Kläger habe keinerlei Ansprüche auf eine Zahlung von Schmerzensgeld nach Art. 82 Abs. 1 DSGVO. Dies setze einen Verstoß gegen die DSGVO voraus und ein solcher sei hier nicht ersichtlich. Insbesondere habe die Beklagte mit der Verweigerung der Auskunft nicht gegen Art. 15 DSGVO verstoßen. Unabhängig davon, ob der Kläger überhaupt von einer der Kameras erfasst wurde, bestehe hier eine Unzumutbarkeit nach § 275 Abs. 2 BGB bezüglich der Auskunft. Danach kann der Schuldner eine Leistung verweigern, wenn sie einen solchen Aufwand erfordert, der unter Beachtung des Schuldverhältnisses und dem Gebot von Treu und Glauben, in einem groben Missverhältnis zu dem Leistungsinteresse des Klägers steht. Ein solch grobes Missverhältnis sah das Gericht als gegeben an. Dies insbesondere deshalb, da der Kläger sich bereits des „ob, wie und was der Datenverarbeitung bewusst“ war und er genau Kenntnis davon hatte, „dass und in welchem Umfang personenbezogene Daten“ von ihm erhoben werden. Damit sei der Normzweck des Art. 15 DSGVO zu großen Teilen schon erfüllt gewesen. Denn dieser diene u.a. dazu, einen Überblick über verarbeitete personenbezogene Daten zu erhalten, die länger in der Vergangenheit zurückliegen oder bei den Daten zu unterschiedlichen Anlässen verarbeitet wurden. Über Verarbeitungszweck, Dauer der Verarbeitung und sein Beschwerderecht wurde der Kläger aber bereits informiert. Deshalb fasst das Gericht zusammen: „Welches darüber hinausgehende Interesse der Kläger an der konkreten Gestalt der Videoaufzeichnung hat, hat er nicht hinreichend dargelegt und erschließt sich nicht. Denn für die Überprüfung der Rechtmäßigkeit der Videoaufzeichnung als einen wesentlichen Zweck von Art. 15 DSGVO bedarf der Kläger der konkreten Gestalt der Videoaufzeichnung nicht.“.

Berücksichtigt wurde hier auch, dass die Verhinderung der automatischen Löschung und der anschließenden Auskunft für die Beklagte einen erheblichen Aufwand an Zeit, Kosten und Arbeitskraft bedeutet hätte. Dass ein solch hoher Aufwand einem Auskunftsbegehren entgegenstehen kann, ist europarechtlich anerkannt (EuGH, Urteil v. 19.10.2016, C 582/14). Die Beklagte hätte in diesem Fall sogar den Kläger zunächst persönlich auf dem Video identifizieren müssen, da sie keine Software zur Gesichtserkennung hat. Auch das Vorliegen eines Schadens beim Kläger sah das Gericht nicht.

Guidelines des EDSA zur Berechnung von Bußgeldern

20. Mai 2022

Der Europäische Datenschutzausschuss (EDSA) hat neue Leitlinien zur Berechnung von Bußgeldern veröffentlicht. Aktuell befinden sich diese noch in der „Public Consultation“-Phase. Ziel sei es, die Methodik bei der Berechnung der Bußgelder zu vereinheitlichen.

Die Leitlinien richten sich an die Aufsichtsbehörden. Diese sollen demnach die Bußgelder künftig über eine standardisierte, fünfstufige Methodik berechnen. Sie ergänzen somit die Leitlinien für die Anwendung und Festsetzung von Bußgeldern (2016/679 (WP253)), die sich auf die Umstände konzentrieren, unter denen eine Geldbuße überhaupt verhängt werden kann.

Grundsätzlich liegt die Berechnung der Höhe der Geldbuße im Ermessen der Aufsichtsbehörde, vorbehaltlich der Vorschriften der Datenschutz-Grundverordnung (DSGVO). In diesem Zusammenhang schreibt die DSGVO vor, dass die Höhe der Geldbuße wirksam, verhältnismäßig und abschreckend sein muss (Art. 83 Abs. 1 DSGVO). Zusätzlich müssen die Aufsichtsbehörden bei der Festsetzung der Höhe der Geldbuße eine Liste von Umständen berücksichtigen, die sich auf bestimmte Merkmale des Verstoßes (die Schwere) oder des Verursachers bezieht (Art. 83 Abs. 2 DSGVO).

Einstufung der Schwere des Verstoßes

Der EDSA erstellte eine aus fünf Schritten bestehende Methodik für die Berechnung von Bußgeldern für Verstöße gegen die DSGVO. Grundlage für die Höhe der Strafen ist laut der Verordnung der Umsatz des betroffenen Unternehmens.

  • Zunächst müssten die relevanten Verarbeitungsprozesse ermittelt und die Schwere des Verstoßes bewertet werden (Kapitel 3).
  • Anschließend müsste der Ausgangspunkt für die weitere Berechnung der Höhe der Geldbuße festgelegt werden (Kapitel 4). Dies erfolge durch die Einstufung des Verstoßes, gemessen an den vorliegenden DSGVO-Verstößen, der Schwere des Verstoßes im Lichte der Umstände des Falles sowie an der Bewertung des Umsatzes des Unternehmens.
  • Der dritte Schritt beschreibt die Bewertung der belastenden und mildernden Umstände, die sich auf das frühere oder gegenwärtige Verhalten des für die Verarbeitung Verantwortlichen/Auftragsverarbeiters beziehen sowie die Erhöhung oder Herabsetzung der Geldbuße (Kapitel 5).
  • Schritt vier erläutert dann die Ermittlung der einschlägigen gesetzlichen Höchstbeträge für die verschiedenen Verstöße. Die in den vorhergehenden oder nachfolgenden Schritten angewandten Erhöhungen dürfen diesen Höchstbetrag nicht überschreiten (Kapitel 6).
  • Im letzten Schritt sei zu prüfen, ob der berechnete Endbetrag die Anforderungen an die Wirksamkeit, Abschreckung und Verhältnismäßigkeit erfüllt. Die Geldbuße könne dann noch entsprechend angepasst werden (Kapitel 7), jedoch ohne den jeweiligen gesetzlichen Höchstbetrag zu überschreiten.

Hohe Geldbußen möglich

Ausschlaggebend ist somit der Ausgangsbetrag. Dieser bildet den Maßstab für die Berechnung. Die Verstöße lassen sich demnach in drei Kategorien einordnen.

  • Verstöße von geringer Schwere:  Ausgangsbetrag zwischen 0 und 10 Prozent des geltenden gesetzlichen Höchstbetrags
  • Verstöße mittlerer Schwere: Ausgangsbetrag zwischen 10 und 20 Prozent des geltenden gesetzlichen Höchstbetrags
  • Schwerwiegende Verstöße: Ausgangsbetrag zwischen 20 und 100 Prozent des geltenden gesetzlichen Höchstbetrags

So könnte ein mittelschwerer Verstoß theoretisch schon früh zu sehr empfindlichen Geldbußen führen. Bei allen vorgenannten Schritten sei jedoch zu berücksichtigen, dass die Berechnung einer Geldbuße keine rein mathematische Angelegenheit darstelle. Vielmehr seien die Umstände des konkreten Falles ausschlaggebend für die endgültige Höhe. In den Guidelines befinden sich auch einige Beispiele mit Fällen zur Bußgeldbemessung.

Darüber hinaus werde man die Leitlinien und die darin vorgeschlagene Methodik fortlaufend überprüfen.

EU-Kommission sorgt mit neuer Verordnung gegen Kindesmissbrauch für Kritik bei Datenschützern

13. Mai 2022

Die EU-Kommission hat am vergangenen Mittwoch einen Entwurf für eine neue Verordnung veröffentlicht. Die Verordnung soll die Verbreitung von Kindesmissbrauchsdarstellungen im Netz bekämpfen. Der Entwurf trifft jedoch vor allem bei Datenschützern auf große Kritik.

Um was für eine Verordnung handelt es sich?

Die Verordnung soll den steigenden Zahlen an Kindesmissbrauchsdarstellungen und „Grooming“- Attacken (bei dem Kinder im Internet zu Missbrauchszwecken kontaktiert werden) im Internet entgegen wirken. Vor allem im Zuge der COVID-19-Pandemie haben diese deutlich zugenommen. Zwar gibt es einige Dienstanbieter, wie z.B. Google, die auf ihren Plattformen gezielt nach solchen Inhalten suchen und diese bei den Behörden melden. Dies erfolgt aber auf freiwilliger Basis und zu größten Teilen von US-Anbietern. Die EU-Kommission sieht dies als nicht ausreichend an und will EU-weit einen gesetzlichen Rahmen und somit Pflichten zum Aufspüren und Melden von solchen Inhalten schaffen. Warum neue Regelungen notwendig sind, hat sie zudem in einem Q&A begründet.

Was genau sieht die Verordnung vor?

Die Verordnung sieht vor, dass Internetdienstanbieter zunächst analysieren, wie groß das Risiko ist, dass ihr Dienst für solche Missbrauchs-Zwecke genutzt wird. Dann soll der Anbieter dementsprechend notwendige Maßnahmen ergreifen. Sollte dies den zuständigen Behörden nicht ausreichen, können diese die Anbieter dazu verpflichten, ihre Dienste mit Hilfe von Softwares zu durchsuchen. Dabei soll entsprechendes Missbrauchs-Bildmaterial entdeckt und gemeldet werden.

Auch das „Grooming“ soll dadurch aufgespürt werden. Dazu sollen die Internetdienstanbieter auch Textnachrichten scannen dürfen. Durch welche Technik genau dies geschehen soll, ist noch unklar.

Sollten sich die Anbieter nicht daran halten, sieht der Verordnungs-Entwurf empfindliche Geldstrafen von bis zu 6 Prozent ihres weltweiten Jahresumsatzes vor. Für die Meldungen zuständig soll eine neu einzurichtende EU-Zentralstelle sein, die bei der EU-Polizeibehörde in Den Haag angesiedelt werden soll.

Was genau wird an der Verordnung kritisiert?

Kritiker richten sich selbstverständlich nicht gegen die Zielsetzung der Verordnung, verstärkt gegen Kindesmissbrauchsdarstellungen im Internet vorzugehen. Die Verordnung wird jedoch als unverhältnismäßig kritisiert und bereits jetzt als „Chatkontrolle“ betitelt. Kritiker befürchten, dass es durch diese Verordnung zur anlasslosen Massenüberwachung kommt und die Sicherheit der Nutzer nicht mehr gewährleistet werden kann. Privatsphäre und vertrauliche Kommunikation würden unmöglich gemacht. Von der Verordnung betroffen wären auch Dienste wie WhatsApp und Signal, die ihren Nutzern eine verschlüsselte Kommunikation anbieten.

Problematisch sei vor allem, dass durch das grundsätzliche Ermöglichen von Durchsuchungen der Dienste leicht Missbrauch stattfinden könne. Sollten solche Systeme gehackt oder anderweitig missbraucht werden, könne theoretisch jeglicher Inhalt gefunden werden. Auch Inhalte wie z.B. die Kommunikation von Journalisten, Whistleblowern, Ärztinnen und anwaltliche Kommunikation wären davon betroffen.

Weiterhin wird kritisiert, dass die Verbreitung von Kindesmissbrauchsdarstellungen häufig auf einschlägigen Foren stattfinde und die Verordnung dementsprechend nicht zielführend sei.

Wie geht es weiter?

Die EU-Kommission wies die Kritik zurück und verwies darauf, dass die Internetdienstanbieter in der Verordnung angehalten werden, Methoden anzuwenden, die einen möglichst geringen Eingriff in die Privatsphäre der Nutzer darstellen. Als nächstes müssen das EU-Parlament und der Ministerrat über den Verordnungs-Entwurf beraten und die Verordnung dann gemeinsam erlassen. Hierbei kann es durchaus noch zu inhaltlichen Änderungen kommen, ob die Verordnung in ihrer jetzigen Form verabschiedet wird, dürfte also abzuwarten sein. Wenn sie verabschiedet wird, gilt sie als EU-Verordnung in jedem Mitgliedsstaat unmittelbar.

Adresshandel kurz vor dem Aus

11. Mai 2022

Ob Wahlwerbung oder Rabattcodes – die eigenen Adressdaten und Daten zu Vorlieben haben die werbenden Unternehmen mit großer Wahrscheinlichkeit von Adresshändlern. Sie tragen Daten zusammen, verkaufen sie an ihre Werbekunden und nehmen so eine integrale Rolle im Direktmarketing ein. Mehr als tausend Adresshändler soll es allein in Deutschland geben, sagt der Deutsche Dialogmarketing-Verband (DDV). Deren Praxis wird nun gefährdet von einem Vorhaben der Datenschutzbeauftragten des Bundes und der Länder, die darin einen Verstoß gegen die DSGVO sehen.

Kritik aus datenschutzrechtlicher Sicht

Bislang konnte sich die Praxis auf ein „berechtigtes Interesse“ gemäß Art. 6 Abs. 1 lit. f DSGVO als Rechtsgrundlage stützen, was nun laut einigen Datenschutzbeauftragten nicht mehr ausreichen soll. Dieser Gedanke ist nicht neu (wir berichteten ausführlich hier). Stattdessen brauche es eine Einwilligung, die informiert und freiwillig abgegeben worden sein muss. Der Verbraucher müsste also im Vorhinein darüber informiert werden, was mit seinen Daten passiert, wer der Empfänger welcher Daten ist und was wiederum beim Empfänger mit seinen Daten geschieht. Diese unaufgeforderte Aufklärung vorab ist für den Adresshändler de facto kaum umsetzbar. Die Aufklärungspflicht könnte damit eine echte Hürde für die gesamte Branche werden.

Ausblick

Diese Ansicht vertreten auf Anfrage der Süddeutschen Zeitung aktuell die Datenschutzbeauftragten von zehn Bundesländern. Man arbeite an einem Beschluss, um hier bundesweit einheitlich aufzutreten. Quer stellt sich allerdings vor allem die Landesbeauftragte für Datenschutz und Informationsfreiheit des Landes Nordrhein-Westfalen, Bettina Gayk, die das Stützen auf ein berechtigtes Interesse der Adresshändler an den Daten weiterhin für zulässig hält. Hierbei ist allerdings zu beachten, dass in Nordrhein-Westfalen mit Bertelsmann und der Deutschen Post immerhin zwei der größten Branchenvertreter ihren Sitz haben.

Ein Beschluss der Datenschutzkonferenz wird wohl noch etwas auf sich warten lassen. Aufgrund der großen Mehrheit der Datenschutzbehörden, die diese Ansicht vertreten, ist es jedoch wahrscheinlich, dass sich die Rechtslage für Adresshändler und damit für die gesamte Branche schon bald empfindlich spürbar verändert.

Datenschutzkonferenz (DSK) fordert ein Beschäftigtendatenschutzgesetz

6. Mai 2022

Die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) hat am 04.05.2022 ihre Forderung nach einem Beschäftigtendatenschutzgesetz veröffentlicht. In ihrer Ende April gefassten Entschließung begründen sie ihre Forderung nach einem Beschäftigtendatenschutzgesetz damit, dass die sich „dynamisch entwickelnde Digitalisierung zu tiefgreifenden Veränderungen der Arbeitswelt führt, die neue Möglichkeiten von Verhaltens- und Leistungskontrollen“ ermögliche. Geregelt werden müsse u.a. der Einsatz von algorithmischen Systemen einschließlich Künstlicher Intelligenz (KI).

Der Vorsitzende der DSK, Professor Ulrich Kelber, Bundesbeauftragter für den Datenschutz und die Informationsfreiheit (BfDI) äußerte sich dazu: „Die gegenwärtigen Regelungen zum Beschäftigtendatenschutz reichen bei Weitem nicht aus. Der Gesetzgeber muss ein eigenständiges Beschäftigtendatenschutzgesetz schaffen.“

Ein Beispiel für Sachverhalte, die Regelungsgegenstand eines Beschäftigtendatenschutzgesetz werden können, ist die GPS-Überwachung von Firmenfahrzeugen. Dies ist bisher gesetzlich nicht reguliert und führt daher regelmäßig zu Gerichtsverfahren. Aber auch Regelungen über die Datenverarbeitung auf Grundlage von Kollektivvereinbarungen oder die Grenzen der Verhaltens- und Leistungskontrolle bedürfen gesetzlicher Klarstellungen.

Videoüberwachung im Fitnessstudio unzulässig

Das Verwaltungsgericht (VG) Ansbach hat mit Urteil vom 23.02.2022 entschieden, dass die Videoüberwachung eines Fitnessstudios unzulässig ist.

Die Klägerin betreibt ein Fitnessstudio, welches drei Trainingsräume hat. Alle Trainingsräume wurden auf der gesamten Fläche durchgehend während der Öffnungszeiten videoüberwacht (ohne Tonaufzeichnung). Die Aufzeichnungen wurden 48 Stunden lang gespeichert und anschließend gelöscht. Hinweisschilder zur Videoüberwachung befanden sich auf Innen- und Außenseite der Eingangstür.

Ein Kunde des Fitnessstudios wandte sich an die zuständige Datenschutzbehörde, das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) und schilderte die Videoüberwachung. Daraufhin sandte das BayLDA einen Fragebogen an das Fitnessstudio. Der Betreiber des Fitnessstudios erklärte die Überwachung damit, dass sie der Prävention und Aufklärung von Diebstählen und Sachbeschädigungen, welche es in der Vergangenheit mehrfach gegeben habe, diene. Das BayLDA sah jedoch keine Notwendigkeit, dafür die gesamte Trainingsfläche zu überwachen. Vielmehr würde bei einer Interessenabwägung der Eingriff in das Grundrecht auf informationelle Selbstbestimmung (Art. 1 Abs. 1 i.V.m. Art. 2 Abs. 1 GG) der Trainierenden, das Interesse des Betreibers überwiegen. Kernpunkt der Streitigkeit ist die Frage, ob die umfassende Videoüberwachung auf eine Rechtsgrundlage der DSGVO gestützt werden kann. Das BayLDA geht nicht davon aus und ordnete deswegen an, die Videoüberwachung auf die konkret gefährdeten Bereiche zu beschränken, z.B. die Spiegelwände. Gegen diese Anordnung erhob der Fitnessstudiobetreiber Klage.

Dieser Klage hat das VG Ansbach aber nicht stattgegeben. Das Gericht geht davon aus, dass die Anordnung des BayLDA rechtmäßig war und die Videoüberwachung beschränkt werden muss. Es schließt sich der Ansicht des BayLDA an, dass keine Rechtsgrundlage für die Überwachung vorliege. So lag insbesondere keine Einwilligung der Betroffenen (Art. 6 Abs. 1 a) DSGVO) vor, die Videoüberwachung war nicht für die Erfüllung des Vertrages notwendig (Art. 6 Abs. 1 b) Alt. 1 DSGVO) und der Betreiber kann sich auch nicht auf ein überwiegendes, berechtigtes Interesse (Art. 6 Abs. 1 f) Alt. 1 DSGVO) stützen. Um Straftaten zu verhindern, muss der Betreiber zunächst auf mildere Mittel zurückgreifen, z.B. auf eine Aufstockung des Personals.

Verbraucherschützer dürfen gegen Meta klagen

29. April 2022

Verbraucherschutzverbände können gegen Verletzungen des Schutzes personenbezogener Daten stellvertretend für einzelne Nutzer klagen.  Demnach müssen sich Facebook und perspektivisch auch andere Digitalkonzerne nun in der Zukunft Verbandsklagen stellen. Nach Ansicht der Richter ist eine solche Klageunabhängig von einer Verletzung eines subjektiven Rechts einer bestimmten Person und ohne entsprechenden Auftrag zulässig. Dies hat der Europäische Gerichtshof (EuGH) am 28.04.2022 entschieden.

Der EuGH entscheidet auf Vorlage des deutschen Bundesgerichtshofes (BGH) hin. In dem Verfahren zwischen dem Bundesverband der Verbraucherzentralen (vzbv) und dem Konzern Meta geht es darum, ob ein potenzieller Datenschutzverstoß des Betreibers eines sozialen Netzwerks auch wettbewerbsrechtliche Unterlassungsansprüche begründet und dementsprechend von Verbraucherschutzverbänden durch eine Klage vor den Zivilgerichten verfolgt werden kann.

Der Rechtsstreit dreht sich um das von Facebook betriebene App-Zentrum, über das kostenlos Online-Spiele von Drittanbietern von Facebook bereitgestellt werden. Der Nutzer erteilt hier mit dem Button „Sofort spielen“ den Anbietern der Spiele seine Einwilligung, viele persönliche Daten zu verarbeiten und auszuwerten. Nach Ansicht des Verbraucherverbands werde diese Einwilligung nicht auf Grundlage einer verständlichen und präzisen Information über die Datenverarbeitungen eingeholt. Der Verbraucherverband sieht deshalb keine wirksame Einwilligung in die Datenverarbeitung. Er sieht in diesem Vorgehen zudem einen wettbewerblichen Verstoß.

Der BGH hatte grundsätzlich keine Zweifel daran, dass ein Vorgehen mittels wettbewerbsrechtlicher Unterlassungsansprüche begründet sein könnte. Zweifel meldete der BGH an der Zulässigkeit der Geltendmachung durch den Verband an. Schließlich seien die Aufsichtsbehörden dafür zuständig, die Einhaltung der Europäischen Datenschutz-Grundverordnung (DGSVO) zu überprüfen.

Inhalt der Entscheidung

Der EuGH stellt nun fest, dass die DSGVO einer nationalen Regelung nicht entgegensteht, nach der ein Verband zur Wahrung von Verbraucherinteressen gegen den mutmaßlichen Datenschutzverletzer eine Art Sammelklage erheben kann. Er urteilte, dass ein Verband zur Wahrung von Verbraucher:inneninteressen wie der vzbv unter den Begriff einer im Sinne der DSGVO klagebefugten Einrichtung falle, da er ein im öffentlichen Interesse liegendes Ziel verfolge. Ein Auftrag betroffener Nutzerinnen oder Nutzer sei hierfür nicht erforderlich. Es reiche aus, wenn die Rechte „identifizierbarer natürlicher Personen“ betroffen und nach Überzeugung des Verbands verletzt sind. Nach dem Urteil des EuGH kann nun der BGH entscheiden und wird der Klage sehr wahrscheinlich in gewissem Umfang stattgeben.

Jedenfalls öffnet das Urteil des EuGH nun weiteren Verbandsklagen Tür und Tor, denen sich die Digitalkonzerne werden stellen müssen. Das bietet eine Chance für eine effektivere Durchsetzung der DSGVO.

1 4 5 6 7 8 31