Kategorie: EU-Datenschutzgrundverordnung

Die Urlaubsverwaltung im Unternehmen datenschutzkonform gestalten

14. Juli 2022

Gerade in den Sommermonaten greifen viele Unternehmen auf (digitale) Urlaubskalender zurück, um Mitarbeiterurlaube zu planen. Doch was sollte beachtet werden, damit die Urlaubsverwaltung und entsprechende Kalender datenschutzkonform verwendet werden?

Der Europäische Datenschutzbeauftragte zu der Urlaubsverwaltung

Der Europäische Datenschutzbeauftragte (EDSB) weist darauf hin, auch bzgl. der Urlaubsverwaltung innerhalb der eigenen Organe und Einrichtungen, dass die Verwaltung von Mitarbeiterurlauben häufig die Verarbeitung gesundheitsbezogener Daten erfordert. Ärztliche Bescheinigungen und andere Belege, die für die Genehmigung von Sonderurlauben benötigt werden, gehören der Kategorie sensibler Daten gem. der DSGVO an und unterliegen daher einem erhöhten Schutzniveau. Folglich sei es besonders wichtig, die Qualität und Sicherheit der Daten sowie die Betroffenenrechte und andere Pflichten unter der DSGVO zu gewährleisten.

Die Anforderungen der DSGVO an Urlaubskalender

Für die rechtskonforme Verarbeitung personenbezogener Daten wird zunächst eine der Rechtsgrundlagen aus Art. 6 DSGVO benötigt. Das Anlegen eines Urlaubskalenders ermöglicht es dem Arbeitgeber, seiner Pflicht zur Erfüllung von Urlaubsansprüchen gegenüber seinen Arbeitnehmern gemäß § 1 BUrlG nachzukommen. Damit ist die Verarbeitung erforderlich für die Erfüllung einer rechtlichen Verpflichtung und somit nach Art. 6 Abs. 1 lit. c DSGVO rechtmäßig.  Zudem darf die Verarbeitung nur zweckgebunden stattfinden. Die betriebliche Urlaubsplanung stellt hier einen hinreichend bestimmten Zweck dar. Darüber hinaus fordert der Grundsatz der Datenminimierung, dass nur Daten verarbeitet werden, die für die Urlaubsplanung absolut erforderlich sind. Dem Prinzip der Vertraulichkeit zu Folge, muss ebenfalls eine angemessene Sicherheit der Daten durch geeignete technische und organisatorische Maßnahmen gewährleistet werden. Hier empfiehlt der EDSB, ärztliche Bescheinigungen und andere medizinische Daten, wenn möglich, vom ärztlichen Dienst oder Betriebsarzt bearbeiten zu lassen und nicht von der Personalabteilung. Personalmitarbeiter, die Urlaubsantragsverfahren bearbeiten, sollten zudem diesbezüglich zur Vertraulichkeit verpflichtet werden. Zudem müssen Mitarbeiter ausreichend über die Verarbeitung und Ihre Betroffenenrechte informiert werden. Daten sollten nicht länger als erforderlich gespeichert werden.

Urlaubskalender, zugänglich für alle?

Problematisch wird es, wenn die Urlaubskalender für alle Mitarbeiter einsehbar sind. Die Urlaubsverwaltung erfordert normalerweise nicht, dass Mitarbeiter die Urlaubstage ihrer Kollegen einsehen können. Ein solcher Zugriff, sofern nicht zwingend erforderlich, verstößt gegen den Grundsatz der Vertraulichkeit der Daten und ist somit nicht mehr auf die ursprüngliche Rechtsgrundlage der Verarbeitung zu stützen. Denkbar wäre es, einzelne Einwilligungen der Mitarbeiter in die Veröffentlichung ihrer Urlaubstage einzuholen. Jedoch muss eine solche Einwilligung die Ansprüche an die Freiwilligkeit gemäß Art. 4 Abs. 11 DSGVO i.V.m. § 26 Abs. 2 S. 2 BDSG erfüllen. Demnach ist eine Einwilligung eines Mitarbeiters insbesondere dann freiwillig, wenn dadurch für ihn ein Vorteil erreicht wird oder Arbeitnehmer und Arbeitgeber gleichgelagerte Interessen verfolgen. Hier merkt der ESDA an, dass aufgrund des Ungleichgewichts der Macht zwischen Arbeitnehmer und Arbeitgeber eine solche Freiwilligkeit im Arbeitsverhältnis zumeist nicht erfüllt ist. Folglich sollte, wenn möglich, davon abgesehen werden, Urlaubskalender allen Mitarbeitern zugänglich zu machen.

EuGH urteilt zum Kündigungsschutz der Datenschutzbeauftragten

5. Juli 2022

Mit Urteil vom 22.06.2022 (C‑534/20) hat der Europäische Gerichtshof (EuGH) entschieden, dass der deutsche Sonderkündigungsschutz von Datenschutzbeauftragten aus § 38 Abs. 1 und 2 in Verbindung mit § 6 Abs. 4 Satz 2 Bundesdatenschutzgesetz (BDSG) europarechtskonform ist.

Der Sachverhalt

Eine Gesellschaft hatte ihrer internen Datenschutzbeauftragten ordentlich und aus betriebsbedingten Gründen gekündigt. Die Position der Datenschutzbeauftragten sollte zukünftig extern besetzt werden. Die Datenschutzbeauftragte wehrte sich gegen ihre Kündigung. Nach § 38 Abs. 2 in Verbindung mit § 6 Abs. 4 Satz 2 BDSG könne sie als Datenschutzbeauftragte nur außerordentlich aus wichtigem Grund gekündigt werden. Eine ordentliche, betriebsbedingte Kündigung sei ausgeschlossen. Die deutschen Arbeitsgerichte gaben ihr Recht, die Kündigung sei nach § 134 BGB nichtig. Da die Gesellschaft stets Rechtsmittel einlegte, wurde die Streitigkeit letztlich dem Bundesarbeitsgericht (BAG) zur Entscheidung vorgelegt.

Das BAG war sich mit der Europarechtskonformität der in Frage stehenden Normen unsicher, konkret bezüglich der Vereinbarkeit mit Art. 38 DSGVO. Denn nach nationalem Recht in § 38 Abs. 2 in Verbindung mit § 6 Abs. 4 Satz 2 BDSG ist die Kündigung einer Datenschutzbeauftragten unzulässig, es sei denn Tatsachen lägen vor, die zur Kündigung aus wichtigem Grund ohne Einhaltung einer Kündigungsfrist, also zur außerordentlichen Kündigung, berechtigten. Eine ordentliche Kündigung ist damit ausgeschlossen. Im europäischen Recht in Art. 38 DSGVO hingegen, ist kein besonderer Kündigungsschutz für Datenschutzbeauftragte vorgesehen. Dort ist nur geregelt, dass die Datenschutzbeauftragte nicht wegen der Erfüllung ihrer Aufgaben abberufen werden kann. Somit gewähren die deutschen Normen des BDSG einen höheren Kündigungsschutz als die europäische DSGVO.

Deshalb legte das BAG das Verfahren dem EuGH vor, u.a. mit der Frage, ob das europäische Recht den strengeren deutschen Normen entgegensteht.

Die Entscheidung

Der EuGH entschied, dass die strengeren, deutschen Normen zum Kündigungsschutz mit dem europäischen Recht vereinbar sind. Art. 38 DSGVO steht den Regelungen des BDSG nicht entgegen.

Für seine Begründung verwies der EuGH auf den Wortlaut von Art. 38 DSGVO, das mit Art. 38 DSGVO verfolgte Ziel, eine Unabhängigkeit der Datenschutzbeauftragten zu gewährleisten, sowie den Zweck der DSGVO selbst. Diese solle nämlich nicht den Kündigungsschutz generell regeln.

Der EuGH führt dazu aus, dass: „es jedem Mitgliedstaat freisteht, in Ausübung seiner vorbehaltenen Zuständigkeit besondere, strengere Vorschriften für die arbeitgeberseitige Kündigung eines Datenschutzbeauftragten vorzusehen, sofern diese mit dem Unionsrecht und insbesondere mit den Bestimmungen der DSGVO, vor allem Art. 38 Abs. 3 Satz 2 DSGVO, vereinbar sind.“ Insbesondere dürfe „ein strengerer Schutz die Verwirklichung der Ziele der DSGVO nicht beeinträchtigen. Dies wäre aber der Fall, wenn dieser Schutz jede durch einen Verantwortlichen oder einen Auftragsverarbeiter ausgesprochene Kündigung eines Datenschutzbeauftragten verböte, der nicht mehr die für die Erfüllung seiner Aufgaben erforderlichen beruflichen Eigenschaften besitzt oder seine Aufgaben nicht im Einklang mit der DSGVO erfüllt.“ Die Verwirklichung der Ziele der DSGVO sah der EuGH hier nicht gefährdet, denn eine Kündigung der Datenschutzbeauftragten ist im deutschen Recht grundsätzlich möglich.

Überblick zur umstrittenen Palantir-Software

29. Juni 2022

Seit einiger Zeit ist immer wieder die Rede von dem US-Konzern Palantir. Spätestens seitdem das Bayerische Landeskriminalamt (BLKA) im März entschieden hatte, zukünftig eine Analyse-Software des Konzerns zu nutzen, ist der Name wieder vermehrt zu hören gewesen. Dies liegt u.a. daran, dass der Konzern nicht ganz unumstritten ist. Alle wichtigen Informationen rund um den Palantir-Konzern und die fragliche Software präsentieren wir Ihnen hier im Überblick: 

Um was für eine Software handelt es sich und wozu wird sie eingesetzt? 

Das Analyse-Tool von Palantir beruht auf der Software Gotham. Damit sollen neben polizeilichen, auch andere behördliche Datenbanken abgefragt werden können, z. B. das Waffenregister, Einwohnermeldedaten oder das Ausländerzentralregister. Informationen aus verschiedenen Datenbanken sollen so schneller und effizienter miteinander verknüpft werden. 

Wie weit ist die Software verbreitet? 

In Hessen („Hessendata“) und Nordrhein-Westfalen („DAR“) ist die Palantir-Software bereits im Einsatz. In Bayern soll sie unter dem Begriff „VeRA“ (Verfahrensübergreifende Recherche und Analyse) starten. Da Bayern einen sogenannten „Rahmenvertrag“ abgeschlossen hat, können weitere Polizeien von Bund und Ländern ohne zusätzliche Vergabeverfahren in den Vertrag miteinsteigen. 

Baden-Württemberg, Bremen und Hamburg haben bereits Interesse bekundet. Auch der Bund will sich einen Einsatz überlegen. Dies hätte zur Folge, dass die Bundespolizei und der Zoll mit der Software arbeiten könnten. 

Palantir selbst ist international gut aufgestellt und bewirbt sich in Großbritannien gerade für einen fünf-Jahres-Vertrag mit der NHS, dem staatlichen Gesundheitssystem. Für diese soll dann eine Datenbank angelegt werden, in der Gesundheitsdaten gespeichert werden. Teilweise arbeitet Palantir jetzt schon für die NHS. Auch hier äußern sich Kritiker besorgt. 

Was ist die Kritik an der Software? 

Kritisiert wird zum einen, dass Palantir durch die Software eine bedeutende Stellung im deutschen Markt einnehmen könnte mit der Folge, dass dadurch ein Abhängigkeitsverhältnis des Staates entstehen könnte. 

Die meiste Kritik kommt jedoch von der Seite der Datenschützer. Dort wird vor allem kritisiert, dass über die Software enorme Mengen an Datensätzen miteinander verbunden werden, was einen Grundrechtseingriff darstelle. Auch besteht die Befürchtung, dass die durch Palantir erhobenen, sensiblen Daten, in die USA gelangen und dort von den Geheimdiensten abgegriffen werden könnten. 

Das Unternehmen Palantir hat in seinem Heimatland, den USA, bereits für Geheimdienste und das Pentagon gearbeitet. Auch dort ist das Unternehmen umstritten. Mitgründer Peter Thiel ist Trump-Supporter, unterstützt rechte Politiker und hat in der Vergangenheit seinen Unmut über Demokratien geäußert. Palantir hat bereits Verträge mit der United States Immigration and Customs Enforcement (ICE), einer Polizei- und Zollbehörde des Ministeriums für Innere Sicherheit, abgeschlossen. In diesem Zusammenhang wurde Palantir vorgeworfen, die ICE habe mithilfe der Software Daten über illegale Einwanderer gesammelt und diese später festgenommen und abgeschoben. 

Die jüngste Kritik an der Palantir-Software kommt von der NRW-Datenschutzbeauftragten Bettina Gayk im neuen Jahresbericht. Darin kritisiert sie, dass es für den Einsatz der Software bisher keine gesetzliche Grundlage gebe. Der Gesetzgeber müsse entscheiden, welche Straftaten schwer genug seien, um die Zweckbindung der einzelnen Datenbanken aufzuheben. Denn durch die Software würden auch Daten nicht straffällig gewordener Personen verarbeitet, z.B. die Daten von Anrufern bei der Notrufnummer 110 und von Zeugen. 

EuGH: Verarbeitung von Fluggastdaten nur im Rahmen des absolut Notwendigen

22. Juni 2022

Diese Woche, am 21.06.2022 entschied der EuGH (Rs. C-817/19), dass Flugunternehmen die personenbezogenen Daten ihrer Reisegäste nicht mehr anlasslos und so umfangreich wie bisher verarbeiten dürfen. Aus Sicht des Gerichtshofs darf sich die Verarbeitung der Fluggastdaten nur noch auf ein absolut notwendiges Maß beschränken.

Der Sachverhalt

Hintergrund der Entscheidung waren rund zehn Vorlagefragen des belgischen Verfassungsgerichtshofs. Diese Fragen legte der Verfassungsgerichtshof dem EuGH im Rahmen eines Verfahrens, dass der gemeinnützige Verein „Ligue des droits humaines“ (Liga für Menschenrechte, LDH) angestrengt hatte, vor. Gegenstand des Vorabentscheidungsverfahrens war ein belgisches Gesetz vom 25.12.2016. Mit diesem Gesetz setzte der belgische Gesetzgeber unter anderem die Richtlinien (EU) 2016/681, die Passanger Name Record-Richtlinie (PNR-Richtlinie) und die Richtlinie 2004/82/EG, die Advance Passanger Information-Richtline (API-Richtlinie) um.

Insbesondere die Bestimmungen der PNR-Richtlinie standen in Frage. Diese verleihen Fluggesellschaften die Befugnis systematisch eine große Anzahl von personenbezogenen Daten ihrer Gäste zu verarbeiten. Zu den überprüfbaren Daten zählen beispielsweise Name, Kontaktdaten, Reiseroute und Zahlungs- sowie Abrechnungsinformationen. Die Befugnis bezieht sich einerseits auf Flüge zwischen Mitgliedstaaten der EU und Drittstaaten bei Ein- und Ausreise und andrerseits auf Flüge zwischen EU-Mitgliedstaaten. Folglich musste der EuGH unter anderem die Frage beantworten, ob das belgische Gesetz Art. 7 und 8 der EU-Grundrechtecharta, die Achtung des Privat- und Familienlebens und das Recht personenbezogener Daten, verletzte.

Ein schwerwiegender Eingriff

Der EuGH stellte zunächst fest, dass ein schwerwiegender Eingriff der PNR-Richtlinie in Art. 7 und 8 EU-Grundrechtecharta existiere.  

Allerdings musste der EuGH anschließend bestimmen, ob eine Rechtfertigung für die schwerwiegenden Eingriffe in Art. 7 und 8 EU-Grundrechte bestand. Der Gerichtshof entschied, dass eine Rechtfertigung für die Eingriffe bestehe, wenn die PNR-Richtlinie so ausgelegt werde, dass sie das absolut Notwendige noch erlaube.

Die Grenze ist das absolut Notwendige

Demnach müssen die Mitgliedstaaten Sorge dafür tragen, dass sie die verarbeiteten Fluggastdaten tatsächlich nur für die Bekämpfung schwerer Straftaten und nicht für die Bekämpfung gewöhnlicher Straftaten einsetzten.

Der Gerichtshof äußerte sich ebenfalls dazu, dass aufgrund der PNR-Richtlinie die Flugunternehmen grundsätzlich die personenbezogenen Daten jeglicher Fluggäste verarbeiten können. Für eine rechtskonforme Anwendung der PNR- Richtlinie sei erforderlich, dass es „(…) hinreichend konkrete Umstände für die Annahme gibt, dass [der Mitgliedstaat] mit einer als real und aktuell oder vorhersehbar einzustufenden terroristischen Bedrohung konfrontiert ist.“ (EuGH, Urteil vom 21.06.2022, C-817/19 Rn.171) In diesem Fall wahre der Mitgliedstaat die Grenzen der EU-Grundrechte, wenn er die PNR-Richtlinie zeitlich begrenzt auf Flüge aus oder nach dem betroffenen Staat anwende.

Problematisch sei außerdem, dass eine eigens hierfür eingerichtete nationale Behörde die gesammelten Fluggastdaten anhand einer Vielzahl von Datenbänken überprüfen kann. Es sei sicherzustellen, dass die herangezogenen Datenbänke „(…) Personen, nach denen gefahndet wird oder die Gegenstand einer Ausschreibung sind (…)“ (EuGH, Urteil vom 21.06.2022, C- 817/19, Rn.190) betreffen.  Zusätzliche dürfen diese Datenbänke nicht diskriminierend sein und müssen im „(…) objektiven Zusammenhang mit der Beförderung von Fluggästen betrieben werden.“ (EuGH, Urteil vom 21.06.2022, C-817/19, Rn.191)

Weitere Einschränkungen für die PNR-Richtlinie

Der EuGH äußerte sich auch dazu, dass „(…) die automatisierten Analysen der PNR-Daten (…) zwangsläufig mit einer gewissen Fehlerquote behaftet sind (…)“ (EuGH, Urteil vom 21.06.2022, C- 817/19, Rn.106), sodass ein anhand der Daten ermittelter Terrorverdacht in 5 von 6 Fällen nicht bestätigt werden könne.  Zur Verringerung müssen die Mitgliedstaaten klare und präzise Kriterien für eine objektive Überprüfung aufstellen. Die zuständigen Stellen der Mitgliedstaaten sollen diese Kriterien befolgen.

Bei einer nachträglichen Überprüfung der Fluggastdaten, d.h. nach Abflug oder Ankunft des Fluggastes könne die Datenverarbeitung nur bei Vorliegen bestimmter objektiver Kriterien erfolgen. Es sei sicherzustellen, dass ein begründeter Verdacht bestehe, dass die betroffene Person an schwerer Kriminalität beteiligt sei. Der kriminelle Akt müsse außerdem einen mittelbaren Zusammenhang mit der Flugreise aufweisen.

Abschließend behandelte der EuGH die lange Speicherdauer der Fluggastdaten von fünf Jahren. Obwohl die Daten nach sechs Monaten unkenntlich zu machen seien, könne der Verwender sie anschließend wieder offenlegen. Er stellte fest, dass die Speicherung von Fluggastdaten, die über sechs Monate hinausgehe das absolut Notwendige überschreite. 

LG Essen und LG Paderborn urteilen zu Auskunftsrecht aus Art. 15 DSGVO

13. Juni 2022

Das Landgericht (LG) Essen lehnte mit Urteil vom 23.02.2022 (AZ: 18 O 204/21) einen Auskunftsanspruch aus Art. 15 DSGVO unter anderem wegen Rechtsmissbrauchs ab.

Vorausgegangen war ein Rechtsstreit zwischen einem privatversicherten Mann und seiner Versicherung. Die Versicherung passte den monatlich zu zahlenden Betrag mehrmals einseitig an. Dabei sandte sie jeweils Mitteilungs- und Informationsschreiben an den Mann. Dieser ging davon aus, dass die Anpassungen unwirksam waren und forderte sein Geld zurück. Er gab allerdings an, die Versicherungsunterlagen zur Bezifferung der Ansprüche nicht mehr zu haben. Er erhob Klage und machte sowohl Auskunft bezüglich der Unterlagen, als auch Rückzahlungsansprüche geltend.

Das LG Essen wies die Klage jedoch ab. Auskunftsansprüche seien keine ersichtlich. Der Anspruch aus Art. 15 DSGVO scheitere bereits daran, dass es sich bei dem standardisierten Begründungsschreiben, mit dem der Beitrag erhöht wurde, nicht um personenbezogene Daten handle. Außerdem habe die Beklagte ein Weigerungsrecht aus Art. 12 Abs. 5 Satz 2 lit. b) DSGVO, hier stünde dem Antrag des Klägers der Einwand des Rechtsmissbrauchs entgegen. Der Kläger habe hier kein schützenswertes Eigeninteresse. Denn Sinn und Zweck des in Art. 15 DSGVO normierten Auskunftsrechts sei es, der betroffenen Person problemlos und in angemessenen Abständen zu ermöglichen, sich der Verarbeitung der sie betreffenden personenbezogenen Daten bewusst zu werden und die Rechtmäßigkeit dieser Verarbeitung überprüfen zu können. Dies liegt in diesem Fall nicht vor: „Um ein solches Bewusstwerden zum Zweck einer Überprüfung der datenschutzrechtlichen Zulässigkeit der Verarbeitung personenbezogener Daten geht es dem Kläger nach seinem eigenen Klagevorbringen hingegen nicht. Der Kläger macht keines der vorgenannten Interessen geltend. […] Es geht ihm mithin einzig allein um die Überprüfung etwaiger geldwerter Ansprüche gegen die Beklagte. Eine solche Vorgehensweise ist vom Schutzzweck der DSGVO aber nicht umfasst.“

In einer sehr ähnlichen Sache hatte das Landgericht (LG) Paderborn am 15.12.2021 (AZ: 4 O 275/21) ebenfalls einen Anspruch nach Art. 15 DSGVO verneint. Auch hier verlangte ein Versicherungsnehmer von seiner privaten Krankenversicherung Auskünfte, um nach Beitragserhöhungen eine Rückzahlungsforderung geltend machen zu können. In diesem Fall wertete das Gericht die Beitragsanpassungsschreiben allerdings als personenbezogene Daten. Trotzdem griff Art. 15 DSGVO nicht, denn der Versicherung stand auch hier der Eingriff des Rechtsmissbrauches zu. Das Gericht führte dazu aus, dem Kläger ginge es „ausschließlich darum, sich auf möglichst einfache und bequeme Art gebündelt die Informationen zu beschaffen, die er benötigt, um eine bezifferte Leistungsklage auf Rückzahlung möglicherweise rechtsgrundlos gezahlter Beiträge vorbereiten zu können“.

Auch das Oberlandesgericht (OLG) Nürnberg hatte vor kurzem sein Urteil zu rechtsmissbräuchlichen Auskunftsansprüchen ähnlich begründet.

Bundesgerichtshof: Unerwünschte Inbox-Werbung ist rechtswidrig

10. Juni 2022

E-Mail-Dienste wie T-Online dürfen Nutzern kostenfreier Basisversionen nicht mehr ohne Einwilligung Werbung in der Inbox anzeigen. Dies hat der Bundesgerichtshof (BGH) in seinem nun veröffentlichten Urteil vom 13. Januar diesen Jahres entschieden (Az.: I ZR 25/19). 

In dem Streit ging es um eine Werbemaßnahme des Stromlieferanten Eprimo aus der Eon-Gruppe. Dieser hatte in Zusammenarbeit mit einer Agentur Werbenachrichten in E-Mail-Postfächer von Nutzern des E-Mail-Dienstes T-Online geschaltet. 

Vergleichbar mit Spam-E-Mails 

Kennzeichnend für Inbox-Werbung sei, dass sie in der Inbox – also im für private Nachrichten gedachten Bereich – angezeigt wird. Der Zugang zu den eigentlichen E-Mails sei so ähnlich versperrt wie durch Spam-E-Mails. Inbox-Werbung sei bei vielen webbasierten E-Mail-Diensten gängige Praxis. 

Der Bundesgerichtshof entschied über den Streit, nachdem er dem Europäischen Gerichtshof (EuGH) einige Fragen zur Interpretation vorgelegt hatte. Der EuGH entschied auf die Vorlage hin im November, dass Zweck der E-Privacy-Richtlinie sei, Nutzer gegen die Verletzung ihrer Privatsphäre durch unerbetene Nachrichten für Zwecke der Direktwerbung zu schützen. Inbox-Werbung behindere den Zugang zu den eigentlichen E-Mails, ähnlich wie Spam. Das Versenden von Werbenachrichten in dieser Form stelle zwar keine E-Mail dar, aus Sicht des Empfängers sei die Werbenachricht von Spam-E-Mails aber kaum zu unterscheiden. Daher solle ein Opt-in zwingend erforderlich sein. 

Allgemeine Einwilligung nicht wirksam 

Inbox-Werbung ist deshalb künftig nur dann rechtmäßig, wenn der Nutzer zuvor informiert wurde und ausdrücklich in sie eingewilligt hat. Dafür stellen die Karlsruher Richter hohe Anforderungen auf. Es reiche nicht aus, dass der Nutzer eine allgemeine Einwilligung in Werbung erteilt hat, um den Dienst kostenlos nutzen zu können. Der Nutzer müsse vor der Einwilligung vielmehr über die Umstände derartiger Werbung aufgeklärt werden. Insbesondere müsse der Dienst darauf hinweisen, dass Werbenachrichten in der Liste der empfangenen privaten E-Mails angezeigt werden. 

Einige E-Mail-Anbieter wie GMX und web.de reagierten unmittelbar auf das Urteil und passten ihre Einwilligungserklärungen an. Hier kann der Nutzer nun auch in Inbox-Werbung einwilligen – oder dies verweigern.

EU-Kommission veröffentlicht Frage-Antwort-Katalog zu Standardvertragsklauseln

Am 04. Juni letzten Jahres hat die EU-Kommission neue Standardvertragsklauseln für Drittlands-Übermittlungen und zur Auftragsverarbeitung beschlossen. Durch die Neuerungen sollte das Datenschutzniveau des Schrems-II-Urteils und der Europäischen Datenschutzgrundverordnung (DSGVO) sichergestellt werden.

Nun, knapp ein Jahr später, hat die EU-Kommission einen Frage-Antwort-Katalog zu diesen Standardvertragsklauseln veröffentlicht. Dieser wurde auf Basis von Rückmeldungen erstellt und soll die praktische Anwendung der Klauseln erleichtern.

Der Katalog enthält insgesamt 44 Fragen und Antworten zu verschiedenen Unterkategorien, wie z.B. Betroffenenrechte und Änderungen der involvierten Parteien. Der Katalog beantwortet dabei auch grundsätzliche Fragen wie: „Welche Vorteile haben die Standardvertragsklauseln?“ und „Kann der Text der Standardvertragsklauseln geändert werden?“. Für einige Fragen werden auch Beispiele angeführt, sodass Sachverhalte anschaulicher werden. Insgesamt ist der Katalog nicht nur für Datenschutzexperten, sondern auch für interessierte Laien gedacht.

Zum jetzigen Zeitpunkt ist der Katalog nur auf Englisch einsehbar. Der Katalog soll dynamisch bleiben und stets um Fragen und Antworten ergänzt werden.

LG Berlin: Bloße Adresse stellt keinen hinreichenden Personenbezug i.S.d DSGVO dar

7. Juni 2022

Das Landgericht (LG) Berlin hat am 27.01.2022 (AZ 26 O 177/21) entschieden, dass die bloße Adresse ohne Bezugnahme auf eine Person keinen hinreichenden Personenbezug darstellt.

Die Klägerin machte zuvor Trennungs- und Kindesunterhalt gegen ihren Mann vor dem Amtsgericht (AG) Pankow/Weißensee geltend. Im Rahmen dieses Verfahrens ‚googelte‘ die Richterin die Adresse der Klägerin, um sich einen Überblick über die Wohnverhältnisse zu verschaffen. In einem Beschluss des AG heißt es dann: „[…] bei einer bei Google Maps ersichtlichen Grundfläche des Doppelhauses […]“.

Die Klägerin hatte in die Recherche mittels Google Maps nicht eingewilligt und sah darin eine Rechtsverletzung. Bei ihrer Wohnadresse handele es sich um personenbezogene Daten. Durch die Nutzung des Suchdienstes habe eine Datenübermittlung in die USA und somit in ein Drittland stattgefunden. Sie begehrt Schadensersatz i.H.v. 2.000 EUR und beruft sich auf Art. 82 DSGVO.

Diesen Anspruch wies das LG Berlin nun ab. Einen Verstoß gegen die DSGVO sah das Gericht nicht, sodass ein Schadensersatzanspruch nicht in Betracht käme. Im Ergebnis läge weder eine rechtswidrige Verarbeitung von personenbezogenen Daten nach Art. 5 DSGVO vor, noch eine Übermittlung in ein Drittland nach Art. 44 DSGVO. Dem Gericht fehlte es vor allem an einem Personenbezug i.S.d. Art. 4 DSGVO:

„Personenbezogene Daten“ sind gemäß Art. 4 Nr. 1 DSGVO alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann. In der bloßen Eingabe einer (puren) Adresse ist noch kein personenbezogenes Datum zu erblicken. Denn die bloße Adresse ohne Bezugnahme auf eine Person – sei es durch namentliche Nennung, sei es durch die Bezugnahme auf ein diese Adresse betreffendes Eigentums-, Besitz- oder Mietverhältnis o.ä. – stellt keinen hinreichenden Personenbezug dar.“

Auch sei kein Bezug zwischen Verfahrensbeteiligung/-stellung einer Person und der eingegebenen Adresse hergestellt worden. Vorschriften aus der DSGVO seien also nicht betroffen.

Weiterhin konnte das LG Berlin eine Amtspflichtverletzung der Richterin nicht erkennen. Die Klage wurde vollumfänglich abgewiesen.

AG Pankow: Auskunftsanspruch aus Art. 15 DSGVO kann wegen Unzumutbarkeit verweigert werden

27. Mai 2022

Das AG Pankow hat sich mit Urteil vom 28.03.2022 (AZ 4 C 199/21) zur Unzumutbarkeit des Auskunftsanspruches aus Art. 15 DSGVO geäußert. Art. 15 DSGVO gewährt den Betroffenen einen Anspruch, von dem Verantwortlichen zu erfahren, ob und welche Daten dieser über ihn verarbeitet.

Im vorliegenden Sachverhalt war die Beklagte ein Beförderungsunternehmen, das u.a. S-Bahnen betreibt. In einigen S-Bahnen des Unternehmens findet eine Videoaufzeichnung der Zuginnenräume bei Fahrbetrieb statt. Diese Aufzeichnungen werden für 48 Stunden gespeichert und danach gelöscht.

Der spätere Kläger fuhr im April 2021 mit einer dieser S-Bahnen. Im Anschluss bat er das Beförderungsunternehmen um Herausgabe der ihn betreffenden Videoinformationen und forderte die Beklagte zugleich auf, die ihn betreffenden Daten nicht innerhalb der 48 Stunden zu löschen. Sein Auskunftsanspruch stütze er auf Art. 15 DSGVO. Das Beförderungsunternehmen löschte die Aufzeichnungen aber alle wie gehabt und teilte dies dem Kläger mit. Eine Auskunft wurde gegenüber dem Kläger abgelehnt. Der Kläger sah dies als Datenschutzverstoß an und erhob Klage, mit der er nach Art. 82 DSGVO Schmerzensgeld in Höhe von 350,00 EUR begehrte.

Diese Klage hat das AG Pankow nun abgelehnt. Das Gericht erklärte, der Kläger habe keinerlei Ansprüche auf eine Zahlung von Schmerzensgeld nach Art. 82 Abs. 1 DSGVO. Dies setze einen Verstoß gegen die DSGVO voraus und ein solcher sei hier nicht ersichtlich. Insbesondere habe die Beklagte mit der Verweigerung der Auskunft nicht gegen Art. 15 DSGVO verstoßen. Unabhängig davon, ob der Kläger überhaupt von einer der Kameras erfasst wurde, bestehe hier eine Unzumutbarkeit nach § 275 Abs. 2 BGB bezüglich der Auskunft. Danach kann der Schuldner eine Leistung verweigern, wenn sie einen solchen Aufwand erfordert, der unter Beachtung des Schuldverhältnisses und dem Gebot von Treu und Glauben, in einem groben Missverhältnis zu dem Leistungsinteresse des Klägers steht. Ein solch grobes Missverhältnis sah das Gericht als gegeben an. Dies insbesondere deshalb, da der Kläger sich bereits des „ob, wie und was der Datenverarbeitung bewusst“ war und er genau Kenntnis davon hatte, „dass und in welchem Umfang personenbezogene Daten“ von ihm erhoben werden. Damit sei der Normzweck des Art. 15 DSGVO zu großen Teilen schon erfüllt gewesen. Denn dieser diene u.a. dazu, einen Überblick über verarbeitete personenbezogene Daten zu erhalten, die länger in der Vergangenheit zurückliegen oder bei den Daten zu unterschiedlichen Anlässen verarbeitet wurden. Über Verarbeitungszweck, Dauer der Verarbeitung und sein Beschwerderecht wurde der Kläger aber bereits informiert. Deshalb fasst das Gericht zusammen: „Welches darüber hinausgehende Interesse der Kläger an der konkreten Gestalt der Videoaufzeichnung hat, hat er nicht hinreichend dargelegt und erschließt sich nicht. Denn für die Überprüfung der Rechtmäßigkeit der Videoaufzeichnung als einen wesentlichen Zweck von Art. 15 DSGVO bedarf der Kläger der konkreten Gestalt der Videoaufzeichnung nicht.“.

Berücksichtigt wurde hier auch, dass die Verhinderung der automatischen Löschung und der anschließenden Auskunft für die Beklagte einen erheblichen Aufwand an Zeit, Kosten und Arbeitskraft bedeutet hätte. Dass ein solch hoher Aufwand einem Auskunftsbegehren entgegenstehen kann, ist europarechtlich anerkannt (EuGH, Urteil v. 19.10.2016, C 582/14). Die Beklagte hätte in diesem Fall sogar den Kläger zunächst persönlich auf dem Video identifizieren müssen, da sie keine Software zur Gesichtserkennung hat. Auch das Vorliegen eines Schadens beim Kläger sah das Gericht nicht.

Guidelines des EDSA zur Berechnung von Bußgeldern

20. Mai 2022

Der Europäische Datenschutzausschuss (EDSA) hat neue Leitlinien zur Berechnung von Bußgeldern veröffentlicht. Aktuell befinden sich diese noch in der „Public Consultation“-Phase. Ziel sei es, die Methodik bei der Berechnung der Bußgelder zu vereinheitlichen.

Die Leitlinien richten sich an die Aufsichtsbehörden. Diese sollen demnach die Bußgelder künftig über eine standardisierte, fünfstufige Methodik berechnen. Sie ergänzen somit die Leitlinien für die Anwendung und Festsetzung von Bußgeldern (2016/679 (WP253)), die sich auf die Umstände konzentrieren, unter denen eine Geldbuße überhaupt verhängt werden kann.

Grundsätzlich liegt die Berechnung der Höhe der Geldbuße im Ermessen der Aufsichtsbehörde, vorbehaltlich der Vorschriften der Datenschutz-Grundverordnung (DSGVO). In diesem Zusammenhang schreibt die DSGVO vor, dass die Höhe der Geldbuße wirksam, verhältnismäßig und abschreckend sein muss (Art. 83 Abs. 1 DSGVO). Zusätzlich müssen die Aufsichtsbehörden bei der Festsetzung der Höhe der Geldbuße eine Liste von Umständen berücksichtigen, die sich auf bestimmte Merkmale des Verstoßes (die Schwere) oder des Verursachers bezieht (Art. 83 Abs. 2 DSGVO).

Einstufung der Schwere des Verstoßes

Der EDSA erstellte eine aus fünf Schritten bestehende Methodik für die Berechnung von Bußgeldern für Verstöße gegen die DSGVO. Grundlage für die Höhe der Strafen ist laut der Verordnung der Umsatz des betroffenen Unternehmens.

  • Zunächst müssten die relevanten Verarbeitungsprozesse ermittelt und die Schwere des Verstoßes bewertet werden (Kapitel 3).
  • Anschließend müsste der Ausgangspunkt für die weitere Berechnung der Höhe der Geldbuße festgelegt werden (Kapitel 4). Dies erfolge durch die Einstufung des Verstoßes, gemessen an den vorliegenden DSGVO-Verstößen, der Schwere des Verstoßes im Lichte der Umstände des Falles sowie an der Bewertung des Umsatzes des Unternehmens.
  • Der dritte Schritt beschreibt die Bewertung der belastenden und mildernden Umstände, die sich auf das frühere oder gegenwärtige Verhalten des für die Verarbeitung Verantwortlichen/Auftragsverarbeiters beziehen sowie die Erhöhung oder Herabsetzung der Geldbuße (Kapitel 5).
  • Schritt vier erläutert dann die Ermittlung der einschlägigen gesetzlichen Höchstbeträge für die verschiedenen Verstöße. Die in den vorhergehenden oder nachfolgenden Schritten angewandten Erhöhungen dürfen diesen Höchstbetrag nicht überschreiten (Kapitel 6).
  • Im letzten Schritt sei zu prüfen, ob der berechnete Endbetrag die Anforderungen an die Wirksamkeit, Abschreckung und Verhältnismäßigkeit erfüllt. Die Geldbuße könne dann noch entsprechend angepasst werden (Kapitel 7), jedoch ohne den jeweiligen gesetzlichen Höchstbetrag zu überschreiten.

Hohe Geldbußen möglich

Ausschlaggebend ist somit der Ausgangsbetrag. Dieser bildet den Maßstab für die Berechnung. Die Verstöße lassen sich demnach in drei Kategorien einordnen.

  • Verstöße von geringer Schwere:  Ausgangsbetrag zwischen 0 und 10 Prozent des geltenden gesetzlichen Höchstbetrags
  • Verstöße mittlerer Schwere: Ausgangsbetrag zwischen 10 und 20 Prozent des geltenden gesetzlichen Höchstbetrags
  • Schwerwiegende Verstöße: Ausgangsbetrag zwischen 20 und 100 Prozent des geltenden gesetzlichen Höchstbetrags

So könnte ein mittelschwerer Verstoß theoretisch schon früh zu sehr empfindlichen Geldbußen führen. Bei allen vorgenannten Schritten sei jedoch zu berücksichtigen, dass die Berechnung einer Geldbuße keine rein mathematische Angelegenheit darstelle. Vielmehr seien die Umstände des konkreten Falles ausschlaggebend für die endgültige Höhe. In den Guidelines befinden sich auch einige Beispiele mit Fällen zur Bußgeldbemessung.

Darüber hinaus werde man die Leitlinien und die darin vorgeschlagene Methodik fortlaufend überprüfen.

1 2 3 4 31