Kategorie: EU-Datenschutzgrundverordnung

Wirtschaftsauskunfteien sammeln Handydaten ohne Einwilligung

3. Dezember 2021

Nach einer gemeinsamen Recherche vom NDR und „Süddeutscher Zeitung“ sollen Auskunfteien, wie beispielsweise die Schufa, Handyvertragsdaten von Millionen von Menschen gesammelt haben. Betroffen können damit Verbraucherinnen und Verbraucher sein, die in den vergangen vier Jahren einen Mobilfunkvertrag abgeschlossen haben. Dadurch, dass das Sammeln der Daten ohne Einwilligung geschehen ist, sehen Datenschutzbehörden und Verbraucherschützer diese Praxis als nicht rechtens an. Am 22. September 2021 hatte die Datenschutzkonferenz (DSK) der Aufsichtsbehörde der Bundesländer in einem Beschluss beteuert, dass Auskunfteien Positivdaten also solche Informationen, die keine negativen Zahlungserfahrungen oder sonstiges nicht vertragsgemäßes Verhalten zum Inhalt haben, nicht unter Berufung auf die in der Europäischen Datenschutzverordnung (DSGVO) vorgesehenen Ausnahmen speichern dürfen.

Branchenverband lehnt die Einschätzung vom DSK ab

Der Branchenverband der Wirtschaftsauskunfteien lehnt diese Einschätzung des DSK ab. In einer Stellungnahme vom 19. November 2021 heißt es: „Die Erfahrungen unserer Mitglieder zeigen, dass insbesondere finanzschwächere Menschen von der Verarbeitung von Daten profitieren, die ein vertragsgemäßes Verhalten in einer Geschäftsbeziehung dokumentieren. Gerade Verbraucher und Verbraucherinnen, die bisher keine positive Kredithistorie haben, wie zum Beispiel junge Konsumenten, Migranten und häufig auch Seniorinnen, sind auf die Verarbeitung solcher Informationen angewiesen.“

Scoring-Verfahren

Die Handyvertragsdaten werden wohl auch für das Scoring benutzt. Beim Scoring werden aus verschiedenen Daten über Vertragsabschlüsse, Vertragsdauer und Vertragswechsel Werte berechnet, die Rückschlüsse auf die Bonität der Verbraucher geben sollen. Verbraucherschützer kritisieren das Scoring schon seit langer Zeit. Dieses Verfahren ist nicht nur intransparent, sondern es besteht außerdem ein hohes Risiko, dass durch dieses Verfahren die Daten zulasten von Verbrauchern genutzt werden, die sich nichts haben zu Schulden kommen lassen.

Derzeit befasst sich auch der Europäische Gerichtshof (EuGH) mit der Frage, ob und wie die Verarbeitung von Scoring-Daten und deren Weitergabe mit der DSGVO vereinbar ist. Das Verwaltungsgericht Wiesbaden hatte dem Europäischen Gerichtshof zwei Fragen zu den sogenannten Score-Werten der Auskunftei Schufa vorgelegt.

Zum einen sei zu klären, ob diese Tätigkeit von Wirtschaftsauskunfteien dem Anwendungsbereich des Art. 22 Abs. 1 DSGVO unterfällt. Fraglich ist hierbei, ob Score-Werte über betroffene Personen erstellt und diese ohne weitergehende Empfehlung oder Bemerkung an Dritte (beispielsweise Banken) übermittelt werden können, sodass diese dann unter maßgeblicher Einbeziehung dieses Score-Wertes mit der betroffenen Person vertragliche Beziehungen eingehen oder davon absehen können. Zum anderen sollte der EuGH in einem weiteren Schritt prüfen, ob die DSGVO der Regelung des § 31 BDSG entgegenstehe.

Forderung von Datenlöschung

Die Verbraucherschützer sind der Meinung, dass die gespeicherten Daten bei den Auskunfteien gelöscht werden müssen. Falls die Auskunfteien dies nicht freiwillig umsetzen, könnten die Datenschutzbehörden dies in einem Bescheid verlangen. Dieser Bescheid könnte sodann vor Gericht angefochten werden. Gleichzeitig sollte auch die Weiterleitungspraxis der Mobilfunkbetreiber geprüft werden, vor allem hinsichtlich der Frage, ob und wie Unternehmen eine Einwilligung bei ihren Nutzern einholen können.

noyb zeigt irische Datenschutzkommission an

30. November 2021

Der Verein des österreichischen Juristen und Datenschützers Maximilian Schrems noyb (none of your business) hat die irische Datenschutzkommission (DPC) bei der österreichischen Wirtschafts- und Korruptionsstaatsanwaltschaft angezeigt. Dabei wirft man der Behörde intransparentes Verhalten vor. In dem Verfahren bei der irischen Behörde geht es um die Einhaltung der europäischen Datenschutz-Grundverordnung (DSGVO) durch Facebook.

Non-Disclosure-Agreement vorgelegt

Zuvor hatte die Behörde noyb aufgefordert, innerhalb eines Arbeitstages eine Verschwiegenheitsvereinbarung (Non-Disclosure-Agreement, NDA) zu unterzeichnen. Ohne eine solche Geheimhaltungsvereinbarung zugunsten der DPC und Facebook würde die DPC die Rechte der Beschwerdeführerin noyb in einem laufenden Verfahren aussetzen.

Hintergrund

Maximilian Schrems führte in der Vergangenheit schon einige erfolgreiche Verfahren gegen den Social-Media Konzern. In dem eigentlichen Rechtsstreit (wir berichteten) geht es unter anderem um die Frage, ob Nutzer:innen tatsächlich eine Einwilligung oder einen Vertrag mit Facebook schließen, da Facebook als angebliche „Leistung“ Werbung anbiete. Laut Schrems wären damit die Vorschriften, die vorgeben, wie eine eindeutige Zustimmung aussehen müsse (und auch jederzeit widerrufen werden könne), hinfällig. Dies sei eine rechtswidrige Umgehung der DSGVO.

Fehlende Rechtsgrundlage und Verzögerungen

Die DPC lässt sich mit diesem und anderen Verfahren gegen Techkonzerne nach Einschätzung von Schrems zu viel Zeit. Auch der deutsche Bundesdatenschutzbeauftragte Ulrich Kelber hatte seiner irischen Kollegin Helen Dixon vorgeworfen, die Verfahren zu verschleppen und ihr Zögern mit „falschen Aussagen“ zu verschleiern.

Aufgrund Facebooks Hauptsitz in Irland wurde die Beschwerde an die irische Datenschutzkommission weitergeleitet. Nach über drei Jahren erließ sie schließlich einen Entscheidungsentwurf. Nachdem noyb diese Entscheidung veröffentlicht hatte, forderte die DPC noyb auf, die Entscheidung der Datenschutzbehörde sowie noyb’s eigene Stellungnahmen zu löschen. Dies geschah ohne die Nennung einer Rechtsgrundlage, so der Datenschutzverein. Darüber hinaus sei die DPC außerhalb Irlands nicht zuständig. Aufgrund des Kooperationsmechanismus der DSGVO müssten die Dokumente über die österreichische Datenschutzbehörde zugestellt werden und unterlägen somit dem geltenden österreichischen Recht (§ 17 AVG). Wie die österreichische Datenschutzbehörde bestätigte, unterliegen derartige Verfahrensdokumente nicht der Geheimhaltung. Zum anderen gebe es auch nach irischem Recht keine gesetzliche Verpflichtung für die Parteien, Dokumente vertraulich zu behandeln, so noyb.

Maximilian Schrems: „Die irische Behörde hat die Verpflichtung uns zu hören, aber sie hat uns nun praktisch erpresst: Prozessrechte wurden davon abhängig gemacht, dass wir eine Verschwiegenheitsvereinbarung zu Gunsten der Behörde und Facebook unterzeichnen.“

Zeichen stehen auf Konfrontation

Für die Adventszeit hatte Schrems öffentliche Lesungen aus Dokumenten von Facebook und der irischen Datenschutzbehörde angekündigt. Inzwischen meldete sich auch der Datenschützer Johnny Ryan vom Irish Council for Civil Liberties zu Wort. Auch er habe in seiner Beschwerde gegen Google eine Verschwiegenheitserklärung von der irischen Behörde vorgelegt bekommen.

Die irische Behörde reagierte bisher nicht öffentlich auf die Vorwürfe.

„Inbox Werbung“ im Posteingang nur mit Einwilligung

Werbungen, die im Posteingang des E-Mail-Anbieters derart angezeigt werden, dass sie tatsächlichen E-Mails ähnlich sehen, dürfen ohne Einwilligung des Adressaten nicht geschaltet werden.

Der EuGH urteilte, dass sogenanntes „Inbox Advertising“ als „Nachricht zur Direktwerbung“ einzustufen sei. Der Entscheidung vorausgegangen war ein Vorabentscheidungsersuchen des BGH. Dieser hatte in einem Streitfall zweier Stromlieferanten zu entscheiden, ob die „Inbox Werbung“ des Anbieters eprimo GmbH gegen geltendes Recht verstößt.

In seinem Urteil stellte der EuGH fest, dass die als „Nachricht zur Direktwerbung“ einzustufende Vorgehensweise der eprimo GmbH eine zu kommerziellen Zwecken vorgenommene Kommunikation darstellt. Diese bedürfen grundsätzlich der Einwilligung der Beworbenen.

Ob diese Einwilligung im Rahmen der Nutzung des betroffenen unentgeltlichen E-Mail-Dienstes von den einzelnen Usern abgegeben wurde muss nun seitens des BGH ergründet werden.

Versandapotheke darf das Geburtsdatum nicht immer abfragen

11. November 2021

Das Verwaltungsgericht Hannover hat sich mit der Frage befasst, welche Daten eine Versandapotheke im Rahmen des Bestellvorgangs erheben darf (Verwaltungsgericht Hannover, Urteil vom 09. November 2021, Az.: 10 A 502/19). Den Stein ins Rollen gebracht hat die Landesbeauftragte für den Datenschutz in Niedersachsen. Sie war der Meinung, die Versandapotheke erhebe zu viele Daten im Bestellvorgang und untersagte ihr im Januar 2019, unabhängig vom bestellten Medikament das Geburtsdatum abzufragen. Auch die Angabe einer Anrede sei, jedenfalls bei nicht geschlechtsspezifisch zu dosierenden Medikamenten, nicht erforderlich.

Die Betreiberin der Versandapotheke berief sich auf ihre Beratungspflicht, die aus der Apothekenbetriebsordnung folge. Dies umfasse die geschlechtsspezifische und altersgerechte Beratung. Zudem müsse sie wissen, ob die Bestellerinnen und Besteller volljährig seien. Sie klagte gegen den behördlichen Bescheid, die Klage wurde gestern nach mündlicher Verhandlung vor dem VG Hannover abgewiesen.

Vor dem Verhandlungstermin hat die Versandapotheke die Option hinzugefügt, bei der Anrede keine Angaben zu machen, sodass darüber nicht verhandelt wurde. Die Verarbeitung des Geburtsdatums beim Erwerb rezeptfreier Produkte ist nach Ansicht des Gerichts für solche Produkte unzulässig, die keine altersgerechte Beratung erfordern. Dies gilt u.a. für Drogerieartikel. Um die Geschäftsfähigkeit der Kunden zu prüfen, reicht es, abzufragen, ob die bestellende Person volljährig ist oder nicht. Dies folgt aus dem Grundsatz der Datenminimierung nach Art. 5 Abs. 1 lit. c) DSGVO.

Die Versandapotheke hat die Möglichkeit, die Zulassung der Berufung zum OVG Lüneburg zu beantragen.

OLG München urteilt, dass externer Datenschutzbeauftragter nicht als Verantwortlicher haftet

8. November 2021

Mit Urteil vom 27.10.2021 hat das Oberlandesgericht München (20 U 7051/20) u.a. entschieden, dass ein externer Datenschutzbeauftragter nicht als Verantwortlicher für DSGVO-Verstöße haftet.

Sachverhalt

Die Hausverwaltung einer Wohnanlage hatte an alle 97 Wohnungseigentümer Einladungen zur Eigentümerversammlung geschickt. Grund für die Versammlung war ein Legionellen-Befall im Trinkwasser. In der Tagesordnung für die Versammlung wurden die Eigentümer, in deren Wohnungen Legionellen-Befunde vorlagen, namentlich genannt. Einer dieser Eigentümer forderte die Hausverwaltung zunächst auf, seinen Namen zu schwärzen bzw. zu entfernen. Als dies nicht geschah, verklagte er die Hausverwaltung, sowie deren externen Datenschutzbeauftragten (DSB). Der Kläger sah seinen Ruf geschädigt und führte an, ein potentieller Käufer der Wohnung habe aufgrund der Informationen über den Legionellen-Befall den Kauf abgesagt. Der Kläger verlangt aufgrund der namentlichen Nennung in der Tagesordnung Schadensersatz nach Art. 82 Abs. 1 DSGVO von der Hauverwaltung und dem externen Datenschutzbeauftragten. Der Kläger führt an, der Datenschutzbeauftragte habe den Verstoß gegen die DSGVO auch in einer E-Mail eingeräumt.

Entscheidung

Das OLG München schloss sich der Vorinstanz, dem LG Landshut, an und verneinte einen DSGVO-Verstoß. So sei die namentliche Nennung im konkreten Fall rechtmäßig nach Art. 6 Abs. 1 lit c), lit f) DSGVO gewesen. Sie sei erforderlich gewesen, um die übrigen Eigentümer mit allen notwendigen Informationen zu versorgen. Sie sollten bei der Versammlung selbst in der Lage sein, u.a. gezielt Rückfragen an die Betroffenen zu stellen und Redebeiträge einordnen zu können. Eine Wohnungseigentümergemeinschaft sei außerdem keine anonyme Gemeinschaft.

Gegen den externen Datenschutzbeauftragten könne der Anspruch außerdem schon deswegen nicht greifen, weil dieser nicht Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO sei. In der vom Kläger benannten E-Mail, in der der Datenschutzbeauftragte einen DSGVO-Verstoß eingeräumt haben sollte, konnte das OLG keinen Rechtsbindungswillen entdecken, sodass auch kein Schuldanerkenntnis vorliege.

Grundsätzliches

Datenschutzbeauftragte beraten und unterstützen zwar den Verantwortlichen, sie sind aber selbst keiner. Deswegen können gegen sie keine Schadensersatzansprüche aus Art. 82 DSGVO geltend gemacht werden. Diese richten sich nämlich dem Wortlaut der Norm nach nur gegen den Verantwortlichen oder den Auftragsverarbeiter.

EDSA Cookie Banner Task Force

7. Oktober 2021

Am 27. September 2021 gab der Europäische Datenschutzausschuss (EDSA) bekannt, dass er eine „Cookie-Banner“ Task Force eingerichtet hat. Ziel und Aufgabe dieser Task Force ist, die Beschwerden, die die Organisation None of Your Business (NOYB) im Zusammenhang mit Cookie-Bannern auf Webseiten bei mehreren EU-Datenschutzbehörden eingereicht hat und daraus resultierenden Antworten, zu koordinieren,.


Im Mai 2021 hatte NOYB über 500 Beschwerdeentwürfe und formelle Beschwerden an Unternehmen in der EU bezüglich der Verwendung ihrer Cookie-Banner geschickt. Die Beschwerden scheinen sich bei den meisten Webseiten auf das Fehlen einer Schaltfläche „Alle ablehnen“ zu konzentrieren sowie auf die Art und Weise, wie Cookie-Banner ein trügerisches Design verwenden, um die Betroffenen dazu zu bringen, der Verwendung von nicht notwendigen Cookies zuzustimmen. Ein weiterer häufig genannter Beschwerdegrund ist die Schwierigkeit, Cookies abzulehnen, im Gegensatz zu der einfachen Möglichkeit, ihnen zuzustimmen.


Der EDPB erklärte, dass die Task Force in Übereinstimmung mit Art. 70 (1) (u) DSGVO eingerichtet wurde und das Ziel verfolgt, die Zusammenarbeit, den Informationsaustausch und die besten Praktiken zwischen den Datenschutzbehörden zu fördern. Die Einsatzgruppe soll sich über rechtliche Analysen und mögliche Verstöße austauschen, die Aktivitäten auf nationaler Ebene unterstützen und die Kommunikation vereinfachen.

Weiterleitungen von Gerichtsentscheidung dürfen nur anonymisiert erfolgen

1. Oktober 2021

Gerichtsentscheidungen dürfen nur anonymisiert – d.h. ohne namentliche Nennung der betroffenen Personen – an andere Behörden weitergeleitet werden. Das entschied das Landgericht Köln unter Verweis auf die DSGVO mit Urteil vom 03.08.2021 (Az. 5 O 84/21). Einen Anspruch auf Schmerzensgeld für die unberechtigte Weiterleitung verneinte das Gericht.

Sachverhalt

Im Ursprungsfall wandte sich der Kläger gegen eine Allgemeinverfügung der Stadt Bergisch Gladbach, die ihm aufgrund der Corona-Pandemie die Schließung seines Geschäftslokals auferlegte. Nachdem das Verwaltungsgericht Köln zugunsten der Stadt entschieden hatte, leitete diese den Beschluss an andere Behörden zu deren Information weiter. Dabei unterließ sie jede Form der Anonymisierung, d.h. Unkenntlichmachung des Klägers.

In dem Verfahren vor dem LG Köln begehrte der Kläger deswegen von der Stadt Schmerzensgeld gem. Art. 82 DSGVO. Dazu behauptete er, durch die öffentliche Bekanntmachung des Beschlusses sei er Anfeindungen als Corona-Leugner ausgesetzt gewesen und seine Reputation habe gelitten. Die Stadt hingegen verwies darauf, dass der Fall bereits durch die Berichterstattung in einer Tageszeitung der Öffentlichkeit bekannt gewesen sei und dass es sich bei den personenbezogenen Daten des Klägers nicht um geheime Daten gehandelt habe.

Die Entscheidung

Nach Art. 82 DSGVO steht jeder Person, der wegen eines Verstoßes gegen die DSGVO ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadenersatz zu. Das LG Köln sah in der Weiterleitung des Beschlusses an andere Behörden auch einen Verstoß gegen die DSGVO. Die Stadt hätte jedenfalls den Beschluss anonymisieren und die Identität des Klägers unkenntlich machen müssen.

Es verneinte jedoch einen Anspruch auf Schmerzensgeld gem. Art. 82 DSGVO. Als Begründung dafür führte es an, dass die vom Kläger beschriebenen Beeinträchtigungen nicht notwendigerweise auf die Offenlegung des Berichts zurückzuführen seien. Zu dem Zeitpunkt hätten sich auch andere Geschäftsinhaber gegen die Schließung gewehrt, so dass auch diese an den Beschluss hätten gelangen können. Zudem seien die Mitarbeiter der Verwaltung zur Verschwiegenheit verpflichtet.

Google reagiert auf den Wegfall des Privacy Shield

30. September 2021

Seit Jahren steht Google in puncto Datenschutz in vielfacher Hinsicht unter Kritik. Nun sollen auch bei dem Tech-Riesen für die eigenen Cloud-Dienste die überarbeiteten Standarvertragsklauseln gelten. Im Zuge einer Aktualisierung der Datenschutzbedingungen habe man auch die neuen SCCs aufgenommen, teilte Google mit. Laut Google soll dies eine transparente Unterstützung der Cloud-Kunden bei der Einhaltung der geltenden europäischen Datenschutzgesetze und eine Vereinfachung der Prozesse gewährleisten.

Seitdem das sog. Privacy – Shield – Abkommen durch den Europäischen Gerichtshof mit seinem Urteil vom 16. Juli 2020 in der Rechtssache „Schrems II“ aufgehoben wurde, steht fest, dass bei einer Datenübertragung in die USA aktuell keine ausreichende Sicherung und Rechtewahrung für EU-Bürger vorhanden ist. Das Gericht zeigte wiederholt auf, dass US-Gesetze wie der Foreign Intelligence Surveillance Act (FISA) oder der Cloud Act einen massenhaften Zugriff durch Sicherheitsbehörden wie die NSA oder das FBI erlauben. Der Clarifying Lawful Overseas Use of Data Act (CLOUD Act) enthält bei Vorliegen gewisser Voraussetzungen eine Verpflichtung zur Übermittlung auch außerhalb der USA gespeicherter Daten an US-Behörden. So können auch Daten europäischer Bürger ohne Weiteres in die Hände der US-Behörden gelangen, wenn diese sie bei einer amerikanischen Muttergesellschaft zB. einem Cloudanbieter herausverlangt. Dies steht allerdings im Widerspruch mit Art. 48 DSGVO und stellt europäische Unternehmen vor die Frage, ob sie Unternehmen mit Muttergesellschaft in den USA zur Auftragsverarbeitung überhaupt rechtskonform einsetzen können oder nicht zu europäischen Anbietern wechseln sollten.

Verbliebenes Instrument zum Schutz des europäischen Datenschutzniveaus sind die Standardvertragsklauseln (SCCs), die die Europäische Kommission am 04.06.2021 in neuer Version und angepasst an die erhöhten Anforderungen des „Schrems II- Urteils“ veröffentlichte. Diese werden die aktuell noch gültigen SCCs, die unter der vorherigen Datenschutzrichtlinie 95/46 verabschiedet wurden, ersetzen. Die neuen SCCs legen sowohl Datenexporteuren als auch Datenimporteuren erweiterte Pflichten auf. Google ist nach Amazon Web Services und Azure von Microsoft der nächste große Cloudanbieter, der die neuen SCCs implementiert.

Bei ihrer Umsetzung könnten allerdings einige Punkte spannend werden. So ist nach Klausel 14 der Datenimporteur verpflichtet, umfangreiche Informationen bereitzustellen, durch die eine Bewertung des Risikos der Datenübermittlung im Einzelfall möglich wird. Insbesondere ist entscheidend, dass nicht nur das allgemeine Datenschutzniveau im Empfängerland bewertet wird, sondern das konkrete Schutzniveau für die konkret übertragenen Daten eingeschätzt werden muss. Das könnte bedeuten, dass – anders als bisher – Google im großen Umfang datenschutzrechtlich tätig werden und interne Prozesse offenlegen müsste.

BGH zur Reichweite des Auskunftanspruchs gem. Art. 15 DSGVO

23. September 2021

Mit Urteil vom 15. Juni 2021 hat der BGH erstmals umfassend Stellung zur Reichweite des Auskunftsanspruchs gemäß Art. 15 DSGVO genommen und damit restriktiven Stimmen einen Riegel vorgeschoben.

Die Vorinstanz hatte festgestellt, dass sich der Auskunftsanspruch im konkreten Fall nicht auf sämtliche interne Vorgänge der beklagten Versicherung beziehe, wie z.B. Vermerke, oder darauf, dass die betreffende Person sämtlichen gewechselten Schriftverkehr, der dem Betroffenen bereits bekannt ist, erneut ausgedruckt und übersendet erhalten kann. Zurückliegende Korrespondenz mit den Parteien unterfalle laut dem LG Köln ebenfalls nicht dem Auskunftsanspruch.

Art. 15 DSGVO enthält insgesamt drei Ansprüche: Der Betroffene kann verlangen, dass der Verantwortliche bestätigt, ob ihn betreffende, personenbezogene Daten verarbeitet werden. Ist dies der Fall, hat der Betroffene ein Recht auf Auskunft über diese Daten. Zusätzlich kann er den Erhalt einer Kopie der verarbeiteten Daten fordern.

In seinem Urteil stellte der BGH zunächst fest, dass der Begriff der personenbezogenen Daten gem. Art. 4 Nr. 1 DSGVO unter Berücksichtigung der Rechtsprechung des EuGH weit auszulegen und damit nicht auf bestimmte „signifikante“ Informationen beschränkt sei, sondern potenziell alle Arten von Informationen sowohl objektiver als auch subjektiver Natur in Form von persönlichen Schreiben, Stellungnahmen oder Beurteilungen umfasse, vorausgesetzt, dass es sich um Informationen handele, die mit der in Rede stehende Person verknüpft sind. Wie auch der EuGH vertritt der BGH damit die Meinung, der in Art. 15 DSGVO verwendete Begriff des Personenbezugs sei im Rahmen der DSGVO einheitlich und damit weit auszulegen.

Bezüglich der Reichweite des Auskunftsanspruches stellte der BGH sodann fest, dass die betroffene Person im Rahmen der Überprüfung der Rechtmäßigkeit der Verarbeitung sowohl Auskunft über die vollständige vergangene Korrespondenz der Parteien, Informationen zum „Prämienkonto“ des Klägers, Daten des Versicherungsscheins als auch über die internen Vermerke und die interne Kommunikation des Verantwortlichen grundsätzlich nach Art. 15 DSGVO verlangen kann. Insbesondere im Hinblick auf die Vollständigkeit der Korrespondenz setzte der BGH einen Riegel vor die restriktive Ansicht, eine Auskunft müsse nicht erteilt werden, wenn der Betroffene bereits über die Informationen verfüge. Auch eine Einschränkung, dass wiederholte Auskunftsbegehren nicht von Art. 15 DSGVO gedeckt seien, sah der BGH in seinem Urteil nicht.

Weiterhin entschied der BGH, dass auch Informationen aus internen Vorgängen des Verantwortlichen ebenfalls dem Auskunftsrecht unterfallen. Eine Ausnahme kommt jedoch bei internen Bewertungen in Betracht. So könnten beispielsweise rechtliche Analysen zwar personenbezogene Daten enthalten, die rechtliche Beurteilung selbst enthalte allerdings keine Informationen über Betroffene und ist mithin nicht von Art. 15 DSGVO umfasst. Auch hier orientiert sich der BGH an der Rechtsprechung des EuGH.

TikTok im Fokus der irischen Datenschutzbehörde

16. September 2021

Die umstrittene chinesische App steht schon lange wegen ihrer datenschutzrechtlichen Praktiken in der Kritik. In den USA erhielt TikTok bereits Millionenstrafen für die Datenschutzrechtsverletzungen von Kindern und Jugendlichen. Nun hat auch die irische Datenschutzbehörde DPC Ermittlungen in zwei Fällen aufgenommen. Zum einen gehe es um die Verarbeitung von persönlichen Daten von Kindern und Jugendlichen und zum anderen um die Weitergabe von Daten nach China, ließ die DPC verlautbaren.

Gegenstand der Untersuchungen

Im Fokus der Untersuchungen steht, ob TikTok die Privatsphäre seine jugendlichen Nutzer:innen ausreichend schützt. Datenschützer:innen kritisieren unter Anderem, dass TikTok seine Nutzer nicht eindeutig und vor allem nicht in einer für Kinder und Jugendliche verständlichen Weise darüber informiere, welche personenbezogenen Daten zu welchem Zweck und aus welchem Rechtsgrund erhoben werden. Außerdem untersuchen die Behörden mögliche Datenabflüsse aus Europa in Drittstaaten wie China. Denn TikTok gehört zum chinesischen Konzern ByteDance mit Sitz in Peking- und in China müsse man mit einem unbeschränktem und anlasslosen Zugriff der Behörden auf die Daten rechnen, so Datenschutzrechtler.

Streit um die Zuständigkeit

Dass die irische Datenschutzbehörde nun ermittelt, ist keinesfalls selbstverständlich, hatte sie doch noch im letzten Jahr vehement ihre Zuständigkeit abgestritten. Im letzten Jahr hatten Dänemark, die Niederlande und Frankreich Untersuchungen gegen TikTok wegen möglicher Datenschutzverletzungen eingeleitet. Gibt es keinen zentralen EU-Sitz, können schließlich Datenschutzbehörden in jedem EU-Land eigenständig ermitteln. Dann hatte TikTok jedoch einen zentralen europäischen Sitz in Datenschutzangelegenheiten in Irland angekündigt. Gegen die Niederlassung von TikTok in Irland hatte sich die DPC lange Zeit gewehrt und bezweifelt, dass sich TikTok wirklich dauerhaft in Dublin niederlassen würde- während TikTok andere Datenschutzbehörden bereits auf die Hauptniederlassung in Irland verwiesen hatte. Für TikTok war dies zweifelsohne eine begrüßenswerte Situation.

Nun besteht Klarheit bezüglich der Zuständigkeit der irischen Datenschutzbehörde. Sie hat damit ein weiteres Verfahren von immenser Tragweite und Bedeutung neben denen gegen Facebook, Google und Twitter zu bewältigen. Viele befürchten aufgrund mangelnder Ressourcen und Personal, dass auch im Verfahren gegen TikTok die Untersuchung und Ahndung von etwaigen Datenschutzverletzungen nur schleppend vorangehen wird.

1 2 3 27