Kategorie: EU-Datenschutzgrundverordnung

Höchstes Bußgeld in der Geschichte der Datenschutzgrundverordnung geht an Amazon

24. August 2021

Medienberichten zufolge sieht sich der Digitalkonzern Amazon mit dem höchsten Bußgeld in der Geschichte der Datenschutzgrundverordnung konfrontiert. Wie die Nachrichtenagentur Bloomberg berichtete, hat die Luxemburger Datenschutzbehörde Commission nationale pour la protection des données (CNPD) dem Konzern ein Bußgeld in Höhe von 746 Millionen Euro auferlegt. Dies geht auch aus dem Quartalsbericht des Unternehmens hervor.

Dem Beschluss vorangegangen war eine Beschwerde der französischen Bürgerrechtsorganisation La Quadrature du Net und mehr als zehntausend Unterstützerinnen und Unterstützern aus Mai 2018. In dieser beanstandet die Organisation, dass Nutzerinnen und Nutzer den Einsatz personalisierter Werbung auf der Webseite des Online-Marktplatzes nicht ablehnen könnten. Dabei sähe die Datenschutzgrundverordnung eine freie Wahl diesbezüglich vor. Auch die Luxemburger Datenschutzbehörde sah den freien Willen der Nutzerinnen und Nutzer und damit das Recht auf informationelle Selbstbestimmung derer verletzt. Durch das von der Einverständniserklärung der Nutzerinnen und Nutzer losgelöste Werbe-Targeting durch den Konzern könnten Grundprinzipien der Datenschutzgrundverordnung verletzt worden sein.

Amazon hingegen wies den Vorwurf zurück und kündigte Berufung an. Laut einem Sprecher des Unternehmens gab es „keine Verletzung des Schutzes personenbezogener Daten, und es wurden keine Kundendaten an Dritte preisgegeben“. Weiterhin führte er aus, dass es im Hinblick darauf, wie Amazon Kundinnen und Kunden relevante Werbung anzeige, die Entscheidung der CNDP auf subjektiven und ungeprüften Auslegungen des europäischen Datenschutzes beruhe und die beabsichtigte Geldbuße selbst bei dieser Auslegung in keinem Verhältnis stünde. Als Reaktion auf diese Stellungnahme konterte La Quadrature de Net in seinem Beitrag über den Beschluss, dass Amazon insofern Recht habe, als dass die Entscheidung nicht Datenpannen zum Gegenstand hatte. Vielmehr ginge es um das Target-Advertising selbst und damit um ein Herzstück der Big-Tech-Unternehmen.

Nach der angekündigten Berufung werden die Gerichte entscheiden. Diese hatten in der Vergangenheit bei hohen Bußgeldern zumeist zugunsten der angeklagten Unternehmen mildere Strafen erlassen, als die Datenschutzbehörden. So musste die Fluggesellschaft British Airways wegen einer Datenschutzpanne 22 Millionen Euro Bußgeld bezahlen – statt zunächst verhängten 204 Millionen Euro. Diese Herabsetzung war jedoch insbesondere mit den wirtschaftlichen Einbußen des Unternehmens in der Corona-Pandemie begründet. Eine ähnliche Begründung würde aufgrund des enormen Zuwachses des Online-Händlers, insbesondere zu Beginn der Corona-Pandemie, jedoch nicht zu erwarten sein.

Kein Schadensersatz für verspätete Auskunftserteilung

6. August 2021

Auskunftsanspruch

In Kapitel 3 der Datenschutz-Grundverordnung (DSGVO) werden die Rechte von Betroffenen, deren Daten verarbeitet werden umfassend normiert. So regelt Art. 15 Abs. 1 DSGVO beispielsweise das Auskunftsrecht von betroffenen Personen gegenüber dem Verantwortlichen. Danach hat jede Person, deren Daten von einem Verantwortlichen, beispielsweise einem Unternehmen oder einer Behörde verarbeitet werden, einen Anspruch darauf zu erfahren, ob und wenn ja, welche sie betreffenden personenbezogene Daten von diesem Verantwortlichen verarbeitet, z.B. gespeichert werden. Macht die betroffene Person ein solches Auskunftsverlangen geltend, hat der Verantwortliche dem Betroffenen gem. Art. 12 Abs. 3 DSGVO die verlangte Auskunft unverzüglich, spätestens aber innerhalb eines Monats nach Eingang des Antrags zur Verfügung zu stellen. Der Betroffene kann über diese Daten gem. Art. 15 Abs. 3 DSGVO auch eine Kopie verlangen. Die Auskunftserteilung muss zudem kostenlos erfolgen, so dass der Verantwortliche nach Art. 12 Abs. 5 DSGVO nur bei offenkundig unbegründeten oder – insbesondere im Fall von häufiger Wiederholung – exzessiven Anträgen einer betroffenen Person ein angemessenes Entgelt verlangen oder die Auskunft verweigern darf.

Welche Daten und Informationen von diesem Auskunftsanspruch aus Art. 15 Abs. 3 DSGVO umfasst sind und damit wie umfassend eine solche Datenauskunft zur erfolgen hat, ist umstritten. Wir berichteten.

Sachverhalt

In einem dem Landgericht Bonn (LG Bonn) zugrundeliegenden Fall hat die Klägerin einen Anspruch auf Datenauskunft gem. Art. 15 Abs. 1 DSGVO i.V.m. Art. 12 DSGVO gegenüber ihrem ehemaligen Anwalt, dem Beklagten geltend gemacht. Sie verlangte von diesem eine vollständige Datenauskunft zu den bei ihm über die Klägerin vorhandenen personenbezogenen Daten nebst Zurverfügungstellung einer Datenkopie. Da der Beklagte diesem Begehren länger als acht Monate nicht nachkam, erhob die Klägerin Klage vor dem LG Bonn und verlangte u.a. neben der vollständigen Datenauskunft auch Schmerzensgeld für die verzögerliche Erteilung der Datenauskunft.

Entscheidung

Das LG Bonn, dass das Auskunftsbegehren nach Art. 15 DSGVO zwar bejahte, verneinte eine Entschädigung für die verspätete Datenauskunft gem. Art. 82 Abs. 1 DSGVO.

Nach Art. 82 Abs. 1 DSGVO hat jede Person, der wegen eines Verstoßes gegen die DSGVO ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadenersatz gegen den Verantwortlichen.

Das LG Bonn verneinte das Vorliegen eines Verstoßes gegen die DSGVO wegen der um mehr als einen Monat verspäteten Auskunftserteilung. Art. 82 DSGVO umfasse nur die Fälle, in denen ein Schaden durch eine nicht der DSGVO entsprechenden Verarbeitung entstanden sei. D.h. um einen Schadensersatzanspruch auszulösen, komme – so das Gericht – nur ein verordnungswidriger Verstoß durch die Verarbeitung selbst in Betracht. Eine bloße Verletzung der Informationsrechte der betroffenen Person aus Art. 12-15 DSGVO führe aber nicht schon dazu, dass eine Datenverarbeitung, infolge derer das Informationsrecht entstanden ist, selbst verordnungswidrig ist. Dementsprechend löse auch die um mehr als acht Monate verzögerte Auskunftserteilung grundsätzlich keinen Schadensersatzanspruch aus.

Außerdem habe die Klägerin auch nicht dargelegt, dass ihr ein Schaden entstanden sei. Das bloße „warten“ auf eine Auskunftserteilung genügt nach Ansicht des Gerichts jedenfalls nicht, um einen solchen Anspruch zu begründen.

Telefónica: O2-Shops sollen Kunden beim Datenschutz ausgetrickst haben

30. Juli 2021

Wer einen Mobilfunkvertrag in einem O2-Shop abschließt, dem wird scheinbar eine Einwilligung untergejubelt. Einige Verkäufer und Shop-Inhaber bestätigen nun die Vorwürfe, die jüngst durch Recherchen von Netzpolitik ans Licht kamen. Mehrere Shop-Betreiber sollen ungefragt für die Kunden eingewilligt haben, um Boni zu kassieren. 

Telefónica sammle personenbezogene Daten seiner Kunden, um daraus Nutzungsprofile zu erstellen. Die Daten dienen dem internen Marketing, beispielsweise um den Betroffenen weitere Produkte anzubieten. Kommunikationsinhalte sollen dabei nicht gespeichert werden.

Grundsätzlich gilt: Wer einen Vertrag beim Unternehmen Telefónica, zu dem O2 gehört, abschließt oder verlängert, kann der Datenverarbeitung zustimmen oder sie ablehnen. Laut Bericht, geben jedoch mehrere Betreiber von Telefonicá-Ladengeschäften zu, ihren Kunden Pseudo-Einwilligungen unterzujubeln. „Der Verkäufer setzt am Computer einfach alle Einwilligungshäkchen und dreht dem Kunden dann nur noch das Signpad zur Unterschrift rüber“, erklärt ein anonymer Betreiber eines O2-Partnershops gegenüber Netzpolitik.

Das Unternehmen weise alle Vorwürfe ab und behauptet: „In unseren Betreiberinformationen, Prozessdokumentationen sowie Arbeitsanweisungen weisen wir unsere Vertriebspartner stets auf diese datenschutzrechtlichen Vorgaben hin.“

Wie bei einem Franchise-System werden zahlreiche O2-Geschäfte als Partnershops betrieben. Die Betreiber arbeiten nicht direkt für Telefónica, sondern führen ihre Geschäfte unabhängig. Doch scheinbar fühlen sich einige von ihnen von dem Unternehmen dazu gedrängt, möglichst viele Einwilligungen von ihren Kunden einzuholen. Nur wenn sie eine Quote von mehr als 75 Prozent Einwilligungen erreichen, würden sie von Telefónica einen sogenannten Qualitätsbonus erhalten.

Der Fall hat inzwischen auch den Bundesdatenschutzbeauftragten erreicht. „Wir kennen die Vorwürfe gegen den Mobilfunkanbieter und prüfen den Fall derzeit“, erklärte eine Sprecherin. Zu den Vorwürfen könne man sich aufgrund des laufenden Verfahrens aktuell nicht weiter äußern.

Anspruch auf Auskunft und unentgeltiche Kopie der eigenen Prüfungsklausuren

23. Juli 2021

Ein Examensabsolvent hat Anspruch auf zur Verfügung Stellung einer kostenfreien Kopie der eigenen Examensklausuren mitsamt Prüfergutachten. Das hat das Oberverwaltungsgericht Münster (OVG Münster) mit Urteil vom 08.06.2021, 16 A 1582/20 entschieden und folgt damit einer extensiven Auslegung des Auskunftsanspruchs aus Art. 15 Abs. 3 DSGVO.

Das Verfahren

Dem Rechtsstreit vorausgegangen war ein Antrag des Klägers aus dem Jahr 2018 auf kostenlose Übersendung von Kopien seiner angefertigten Examensklausuren. Da das Prüfungsamt dem Examensabsolventen die Kopien seiner Examensklausuren nur gegen Zahlung eines Vorschusses zur Verfügung stellen wollte, zu dessen Zahlung der Kläger unter Berufung auf die Datenschutz-Grundverordnung nicht bereit war, erhob der Kläger Klage vor dem Verwaltungsgericht Gelsenkirchen. Das VG Gelsenkirchen verurteilte das Land NRW dazu, dem Kläger unentgeltlich Kopien seiner Examensklausuren nebst Prüfergutachten zur Verfügung zu stellen.

Die dagegen eingelegte Berufung des Landesjustizprüfungsamts (LJPA) hat das OVG Münster zurückgewiesen und bestätigte damit das Urteil der Vorinstanz.

Zur Begründung führte es aus, dass der Kläger gem. Art. 15 Abs. 3 DSGVO i.V.m. Art. 12 Abs. 5 DSGVO einen Anspruch auf unentgeltliche zur Verfügung Stellung einer Kopie seiner Examensklausuren nebst Prüfergutachten habe.

Der Auskunftsanspruch

Art. 15 DSGVO gewährt betroffenen Personen das Recht von einem Verantwortlichen z.B. einem Unternehmen oder einer Behörde Auskunft über ihre dort gespeicherten personenbezogenen Daten zu verlangen und verpflichtet dabei zugleich den Verantwortlichen, der betroffenen Person bestimmte Informationen auf Antrag zur Verfügung zu stellen. Nach Art. 15 Abs. 3 DSGVO stellt der Verantwortliche eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, der betroffenen Person zur Verfügung. Welche Daten und Informationen von diesem Auskunftsanspruch aus Art. 15 Abs. 3 DSGVO umfasst sind, ist umstritten. Insbesondere über die Frage, ob Prüfungsklausuren nebst Prüfergutachten von diesem Anspruch umfasste Informationen darstellen können, besteht Uneinigkeit.

Während eine Auffassung davon ausgeht, der Auskunftsanspruch müsse auf solche Informationen beschränkt werden, die Art. 15 Abs. 1 DSGVO ausdrücklich nennt, so dass betroffene Personen nur eine Kopie der Informationen darüber verlangen können, ob ihre personenbezogenen Daten gespeichert werden und um welche es sich dabei ggf. handelt (sog. enge/restriktive Auslegung). Geht eine andere Meinung – so auch das OVG Münster – von einer weiten Auslegung des Auskunftsanspruchs aus.

Die Entscheidung

Im vorliegenden Fall entschied das OVG daher, dass es sich bei den angefertigten Klausuren und den dazugehörigen Prüfergutachten um personenbezogene Daten i.S.v. Art. 4 Nr. 1 DSGVO handle, die durch das LJPA i.S.v. Art. 4 Nr. 2 DSGVO verarbeitet wurden und daher vom Auskunftsanspruch aus Art. 15 Abs. 3 DSGVO umfasst seien. Diese Auffasung, so das OVG Münster, würde auch durch die Rechtsprechung des Europäischen Gerichtshofs (EuGH) bestätigt. So hat der EuGH u.a. in einem Urteil vom 20. Dezember 2017 entschieden, dass die schriftlichen Antworten eines Prüflings in einer berufsbezogenen Prüfung und etwaige Anmerkungen des Prüfers dazu Informationen über den Prüfling und damit personenbezogene Daten darstellen.

Offengelassen hat das OVG, ob der Ausnahmetatbestand des Art. 12 Abs. 5 S. 2 DSGVO auch Fälle umfasst, in denen betroffene Personen mit der Ausübung des Auskunftsanspruchs allein oder ganz überwiegend datenschutzfremde Zwecke verfolgt.

Auswirkungen auf die Praxis:

Ob andere Gerichte dieser extensiven Auslegung des Auskunftsanspruchs folgen werden, bleibt abzuwarten. Wegen der grundsätzlichen Bedeutung der Rechtssache hat das OVG die Revision zugelassen. Das Urteil dürfte aber auch für die Praxis und Unternehmen, die Prüfungen abseits von juristischen Staatsexamensklausuren anbieten, von Bedeutung sein. Inbesondere dann, wenn die zur Verfügung Stellung von Prüfungsunterlagen auch Auswirkungen auf das Geschäftsmodell und interne Prüfungsabläufe hat, kann dieses Urteil Verantwortliche bei der Erfüllung des Auskunftsbegehrens vor neue Herausforderungen – nicht nur finanziell – stellen. Auch der Nachweis, ob datenschutzfremde Zwecke verfolgt werden, dürfte in der Praxis nur schwer zu erbringen sein.

Eilanordnung der Hamburgischen Datenschutzaufsichtsbehörde gegen WhatsApp

16. Juli 2021

Der Europäische Datenschutzausschuss erließ seine erste verbindliche Eilentscheidung gemäß Art.66 Abs. 2 DSGVO auf Antrag der HmbBfDI (Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit), nachdem diese die vorläufige Maßnahme gegen Facebook erlassen hatte. Die Maßnahme, die auf der Grundlage von Art. 66 Abs. 1 DSGVO angeordnet wurde, hatte das Verbot der Verarbeitung von WhatsApp-Nutzerdaten durch Facebook zum Gegenstand. Nach Ansicht der HmbBfDI wurde dies mit der diesjährigen von WhatsApp in die Wege geleiteten Änderung der Nutzungsbedingungen und Datenschutzbestimmungen für europäische Nutzer begründet.

Hintergrund ist folgender: Im Januar hatte WhatsApp neue Datenschutzbestimmungen angekündgt. Nachdem diese bei den Nutzern auf große Kritik stießen, wurde das von WhatsApp angekündigte Ultimatum bis Mai verlängert und WhatsApp versuchte, die angestrebten Änderungen zu erklären. Letztendlich blieb die Erklärung aus und WhatsApp zog auch im Mai noch keine der angekündigten Konsequenzen. Diese umfassten unter anderem, dass alle, die bis Mai den Bedingungen nicht zugestimmt hätten, WhatsApp nicht mehr hätten nutzen können.

Nun entschied der EDPB im Rahmen des Eilverfahrens, dass die Voraussetzungen für den Nachweis des Vorliegens eines Verstoßes und einer Dringlichkeit nicht erfüllt seien.
Auf der Grundlage der vorgelegten Beweise kam der Europäische Datenschutzausschuss zwar zu dem Schluss, dass eine hohe Wahrscheinlichkeit besteht, dass Facebook bereits Nutzerdaten von WhatsApp als (gemeinsamer) Verantwortlicher für den gemeinsamen Zweck der Sicherheit und Integrität von WhatsApp und den anderen Facebook-Unternehmen verarbeitet. Angesichts der verschiedenen Widersprüche, Unklarheiten und Unsicherheiten, die in den nutzerorientierten Informationen von WhatsApp, in einigen schriftlichen Verpflichtungserklärungen von Facebook und in den schriftlichen Stellungnahmen von WhatsApp festgestellt wurden, entschied sich der Europäische Datenschutzausschuss jedoch dazu, dass er nicht in der Lage ist, mit Sicherheit feststellen zu können, welche Verarbeitungen tatsächlich durchgeführt werden.

Zum Vorliegen der Dringlichkeit vertrat der Europäische Datenschutzausschuss die Auffassung, dass Art.61 Abs. 8 DSGVO nicht anwendbar war. Denn der HmbBfDI konnte nicht nachweisen, dass die irische Datenschutzbehörde es versäumt hat, Informationen im Rahmen eines förmlichen Amtshilfeersuchens gemäß Art. 61 DSGVO bereitzustellen; da Facebook (wie auch WhatsApp) seinen europäischen Sitz in Irland hat, ist die dortige Datenschutzbehörde für das Unternehmen zuständig.

Der Europäische Datenschutzausschuss meldete zudem erhebliche Zweifel an der Rechtsgrundlage an, auf die sich Facebook bei der Nutzung der WhatsApp-Daten für eigene oder gemeinsame Verarbeitungen stützen möchte. Er greift damit wesentliche Teile der Argumentation des HmbBfDI auf.  In Anbetracht der hohen Wahrscheinlichkeit diverser Verstöße, insbesondere im Hinblick auf die Sicherheit und Integrität von WhatsApp und der anderen Facebook-Unternehmen, war der Europäische Datenschutzausschuss der Ansicht, dass diese Angelegenheit zügig weiter untersucht werden muss.

EU Kommission nimmt Angemessenheitsbeschluss zum Vereinigten Königreich an

5. Juli 2021

Die Europäische Kommission hat am 28. Juni 2021 den Angemessenheitsbeschluss im Rahmen der Datenschutzgrundverordnung angenommen. Das Datenschutzniveau in Großbritannien wurde damit von der Kommission als angemessen für europäische Standards anerkannt und personenbezogene Daten können nun trotz Brexit ungehindert aus der Europäischen Union in das Vereinigte Königreich übermittelt werden.

Zur Begründung führte die Kommission aus, dass das Vereinigte Königkreich weiterhin auf den selben Regeln basiert, die galten als es noch Mitglied der EU war. Auch die Grundsätze, Rechte und Pflichten der DSGVO seien vollständig in das seit dem Brexit geltende Rechtssystem übernommen worden.

Im Vorfeld war der Angemessenheitsbeschluss häufig wegen des ungehinderten und unkontrollierten Zugriffs britischer Geheimdienste auf personenbezogene Daten in Kritik geraten. Zudem hatte der Europäische Gerichtshof für Menschenrechte (EGMR) im Mai erst ein Urteil erlassen, indem es die Massenüberwachung durch britische Geheimdienste als Verstoß gegen die Menschenrechte gewertet hatte. Auch dieser Kritik begegnete der Beschluss, indem er dem Vereinigten Königreich in Bezug auf den Zugriff auf personenbezogene Daten starke Garantien zusprach. Ein wichtiges Element des Beschlusses ist daher, dass insbesondere die Geheimdienste bei Datenerhebungen der vorherigen Genehmigung durch ein unabhängiges Rechtsorgan unterliegen. Ebenso, dass alle ergriffenen Maßnahmen notwendig und verhältnismäßig sein müssen.

Neu an dem Angemessenheitsbeschluss ist auch, dass dieser erstmals eine sog. Verfallsklausel („sunset clause“) enthält, durch den die Geltungsdauer des Beschlusses auf vier Jahre begrenzt wird. Während dieser Zeit hat die Kommission angekündigt, dass Datenschutzniveau im Vereinigten Königreich ständig im Blick zu behalten und im Falle von Abweichungen entsprechend einzugreifen. Sollte nach Ablauf der vier Jahre weiterhin ein angemessenes Datenschutzniveu vorliegen, kann der Beschluss auch verlängert werden.

Durch den Angemessenheitsbeschluss hat die Europäische Kommission eine Rechtsgrundlage für Datenübermittlungen in das Vereinigte Königreich für die nächsten vier Jahre geschaffen. Sollte der Beschluss nicht zufrieden stimmen, sind Klagen gegen diesen – ähnlich wie dies mit dem Privacy-Shield im Schrems-II-Urteil geschah – möglich.

Schmerzensgeld aufgrund Weitergabe von Gesundheitsdaten

22. Juni 2021

Die unzulässige Weitergabe von Gesundheitsdaten rechtfertigt ein Schmerzensgeld in Höhe von 10.000 Euro, das entschied das Landgericht Meiningen mit Urteil vom 23.12.2020 (Az. (122) 3 O 363/20.

Sachverhalt

Zwischen den Parteien bestand ein Unfallversicherungsvertrag. Nachdem der Kläger einen Verkerhrsunfall erlitt und dabei schwer verletzt wurde, führten die Parteien ein Verfahren vor dem Landgericht Meiningen, in dem es um die Ansprüche aus dem Unfallversicherungsvertrag ging. Gleichzeitig führte der Kläger auch ein Verfahren gegen die Haftpflichtversicherung des anderen Unfallbeteiligten vor dem Landgericht Erfurt, in welchem es um die Geltendmachung weiterer Schadensersatzansprüche ging. Die Beklagten aus beiden Verfahren wurden dabei durch dieselbe Anwaltskanzlei vertreten.

Im Rahmen des Verfahrens vor dem Landgericht Meiningen holte der Unfallversicherer ein Gutachten zum Gesundheitszustand des Klägers ein. Mit Einverständnis der beklagten Unfallversicherung, aber ohne Einwilligung des Klägers, zitierte die für beide Verfahren zuständige Kanzlei auch im Erfurter Verfahren wörtlich aus dem Gutachten, das den Gesundheitszustand des Klägers bewertete und im Auftrag der Unfallversicherung erstellt wurde.

Darin sah der Kläger einen Vertoß gegen die vertraglichen Pflichten der Unfallversicherung, insbesondere seine Gesundheitsdaten seien besonders schützenswert, auch datenschutzrechtlich. Außerdem könne ein negativer Einfluss auf den Ausgang des Erfurter Prozesses durch das Bekanntwerden des Gutachtens nicht ausgeschlossen werden. Die Beklagte hingegen sah keinen Verstoß gegen datenschutzrechtliche Bestimmungen. Sie war der Auffassung, sie müsse sich eine etwaige Pflichverletzung Dritter, d.h. der Kanzlei, nicht zurechnen lassen. Diese sei eine eigenständige datenverarbeitende Stelle im Sinne der DSGVO.

Entscheidung

Das Gericht gab der Klage teilweise statt und sprach dem Kläger ein Schmerzensgeld in Höhe von 10.000 Euro aufgrund einer Nebenpflichtverletzung aus dem Versicherungsvertrag zu.

Dazu stellte es fest, dass die Beklagte dem Kläger gegenüber gem. § 241 Abs. 2 BGB zur Verschwiegenheit verpflichtet war. Es führte aus, dass sensible Daten des anderen Teils Dritten nicht ohne Weiteres offenbart werden dürften, und zwar auch dann nicht, wenn die Vertraulichkeit nicht spezialgesetzlich oder in Vertragsbedingungen ausdrücklich geregelt sei. Aus dem Versicherungsvertrag ergebe sich die Nebenpflicht, die aus diesem Vertragsverhältnis erlangten Daten nicht an Dritte weiterzugeben. Bei den Gesundheitsdaten handle es sich um sensible Daten, die besonders geschützt seien. Auch eine Rechtfertigung für die Weitergabe der Daten aus Art. 6 Abs. 1 lit. f DSGVO, einem berechtigten Interesse, verneinte das Gericht. Danach, so das Gericht, sei die Verarbeitung, zu der auch die Weitergabe von Daten an Dritte gehört, rechtmäßig, wenn die Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist, sofern nicht die Interessen und Grundrechte der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen.

Das Gericht sah das Recht des Klägers auf Schutz seines Allgemeinen Persönlichkeitsrechts gem. Art. 2 Grundgesetz gegenüber dem Recht der Versicherung, die in Erfurt verklagt worden war, sich im Prozess zu verteidigen, als überwiegend an. Es erkannte keinen zwingenden Grund für die Verwertung des Gutachtens in dem Verfahren in Erfurt. Zudem hätten in dem Erfurter Verfahren auch noch gerichtliche Gutachten eingeholt werden können.

Die Verletzung des Allgemeinen Persönlichkeitsrechts stufte das Gericht auch als besonders schwerwiegend ein, da es sich bei den Gesundheitsdaten um höchstpersönliche Daten der Intimssphäre handelte.

Kopien von Examensklausuren müssen kostenfrei zur Verfügung gestellt werden

10. Juni 2021

Das Oberverwaltungsgericht für das Land Nordrhein-Westfalen hat auf der Grundlage der Datenschutz-Grundverordnung entschieden, dass die Kopien von Examensklausuren den Kandidaten kostenfrei zur Verfügung gestellt werden müssen. Damit bestätigte es das erstinstanzliche Urteil des Verwaltungsgerichts Gelsenkirchen.

Im Jahr 2018 hatte der Kläger erfolgreich an der zweiten juristischen Staatsprüfung teilgenommen und anschließend beim Landesjustizprüfungsamt die Zusendung seiner Klausurunterlagen nebst Prüfergutachten beantragt. Diesem Antrag wollte das LJPA nur gegen Zahlung eines Vorschusses von 69,70 € für die Kopie von 348 Seiten nachkommen. Der Absolvent verweigerte die Zahlung, das LJPA anschließend die Zusendung. Das VG Gelsenkirchen verurteilte das Land NRW nach der Klage des Absolventen dazu, die Kopien kostenfrei zur Verfügung zu stellen. Das OVG NRW hat die Berufung des Landes NRW nun zurückgewiesen.

Aus Art. 15 Abs. 3 DSGVO folgt der Anspruch auf unentgeltliche Zurverfügungstellung einer Kopie von allen den Klägern betreffenden personenbezogenen Daten, auf postalischem oder elektronischem Weg. Davon seien auch die Klausuren und Prüfergutachten umfasst. Das OVG konnte weder Ausnahmen noch Anhaltspunkte dafür erkennen, dass sich der Kläger rechtsmissbräuchlich verhalte oder dem LJPA ein unverhältnismäßig großer Aufwand entstehe. Wegen der grundsätzlichen Bedeutung wurde die Revision zum Bundesverwaltungsgericht zugelassen.

EU-Kommission veröffentlicht neue Standardvertragsklauseln (SCC) für den internationalen Datentransfer

7. Juni 2021

Die EU-Kommission hat am 04.06.2021 neue Standardvertragsklauseln für den internationalen Datentransfer (auch „Standard Contractual Clauses“ – kurz ‚SCC’) angenommen und veröffentlicht. Bei den SCC handelt es sich um Musterverträge, die eine geeignete Garantie nach Art. 46 DSGVO für den Transfer von personenbezogenen Daten in Drittstaaten darstellen können. Als Drittstaaten gelten solche, die sich außerhalb der EU/des europäischen Wirtschaftsraumes (EWR) befinden, z.B. die USA.

Hintergrund

Die neuen Klauseln wurden lange erwartet, da die jetzigen Standardvertragsklauseln über 10 Jahre alt sind und somit weder die Voraussetzungen hinsichtlich Drittstaatentransfers der DSGVO noch das bedeutende Schrems II-Urteil vom 16.07.2020 berücksichtigen konnten. So war der Drittstaatentransfer problematisch geworden und nicht erst in letzter Zeit von den Aufsichtsbehörden, auch in Deutschland, ins Visier von Untersuchungen genommen worden (wir berichteten).

Was hat sich geändert?

Neu an den jetzt präsentierten SCC ist vor allem der Aufbau. So sind die verschiedenen Varianten der Datentransfers nicht länger auf zwei verschiedene SCC-Muster verteilt, sondern sie finden sich in einem Dokument wieder. Insofern werden sie in vier verschiedene „Module“ gegliedert. Dies soll eine flexible Vertragsgestaltung ermöglichen. Dafür soll das entsprechende Modul gemäß dem Verhältnis der Parteien ausgewählt werden. Folgende Module sind in den neuen SCC enthalten:

Modul 1: Übermittlung von personenbezogenen Daten zwischen zwei Verantwortlichen

Modul 2: Übermittlung von personenbezogenen Daten vom Verantwortlichen an den Auftragsverarbeiter

Modul 3: Übermittlung von personenbezogenen Daten zwischen zwei Auftragsverarbeitern

Modul 4: Übermittlung von personenbezogenen Daten vom Auftragsverarbeiter an den Verantwortlichen

Inhaltlich neu ist darüber hinaus insbesondere eine Pflicht zur Datentransfer-Folgenabschätzung. Dabei handelt es sich um die Pflicht, sich davon zu überzeugen, dass der entsprechende Vertragspartner aus dem Drittstaat in der Lage ist, seinen Pflichten aus den aktuellen SCC nachzukommen.

Ebenfalls neu enthalten sind die Pflicht zur Abwehr von Regierungsanfragen, die den Anforderungen der Standardschutzklauseln widersprechen und das Informieren der zuständigen Aufsichtsbehörden über die Anfragen. Die Datentransfer-Folgenabschätzung muss dokumentiert und den Aufsichtsbehörden auf Verlangen vorgelegt werden.

Ausblick

Die veröffentlichten Dokumente sind die finalen Arbeitsdokumente. Mit der offiziellen Veröffentlichung der SCC wird in den nächsten Tagen im Amtsblatt der Europäischen Union zu rechnen sein. Ab diesem Zeitpunkt und innerhalb einer Frist von 18 Monaten müssen die bestehenden Verträge mit Partnern aus Drittstaaten, insbesondere bspw. Microsoft oder Amazon, um die neuen SCC ergänzt werden.

Aber auch bei Verwenden der neuen SCC bleibt eine Einzelfallprüfung des Datenschutzniveaus unumgänglich, denn die neuen Klauseln allein werden in der Regel nicht ausreichen, um den Anforderungen des EuGH aus dem oben genannten Urteil gerecht zu werden. Bei einer solchen Einzelfallprüfung müssen vor allem der Vertragstext und das tatsächliche Datenschutzniveau überprüft werden. Letzteres sollte durch einen Fragenkatalog an den Verarbeiter im Drittstaat geschehen.

Es ist demnach nicht damit getan, die neuen SCC einfach zu unterschreiben, sondern der Verantwortliche muss weitergehend tätig werden, um einen sicheren Datentransfer in Drittländer zu ermöglichen.

Bei der Umsetzung der Einzelfallprüfung oder bei anderen Rückfragen bieten wir Ihnen jederzeit gerne unsere Unterstützung an.

UPDATE vom 09.06.2021: Mittlerweile wurden die neuen SCC im Amtsblatt der Europäischen Union veröffentlicht und sind hier zu finden.

NOYB geht gegen rechtswidrige Cookie-Banner vor

1. Juni 2021

Die Nichtregierungs-Organisation Non-OF-Your-Business (NOYB) – vor allem bekannt durch ihren Mitgründer Max Schrems – hat über 500 Beschwerden gegen verschiedene Unternehmen aus der EU und den USA eingereicht. NOYB wirft diesen Unternehmen vor, durch rechtswidrige Cookie-Banner Einwilligungen in das Datentracking eingeholt zu haben, die ohne diese unzulässigen Cookie-Banner nicht erteilt worden wären. Um nach Ansicht von NOYB rechtswidrige Cookie-Banner identifizieren zu können, nutze die Organisation eine selbst entwickelte Software. Diese spüre nicht nur die fraglichen Cookie-Banner auf, sondern generiere auch automatisch entsprechende Beschwerden, welche an die Unternehmen versendet werden.

„Beschwerdewelle“ erst der Anfang

Eigenen Angaben zufolge hat NOYB die größten Webseiten aus 33 verschiedenen Staaten kontrolliert, aber bereits angekündigt, bis zu 10.000 der meistbesuchten Seiten in Europa überprüfen zu wollen. Ziel der Überprüfug sei anders als bei deutschen Abmahnanwälten aber nicht der Bezug von Gebühren, sondern die Einhaltung der gesetzlichen Vorschriften. Unternehmen würden laut NOYB die DS-GVO als Sündenbock für komplizierte Cookie-Banner vorschieben, obwohl diese Regelungen klar seien. Aus diesem Grund werde NOYB zunächst auch auf formelle Beschwerden verzichten und stattdessen die Möglichkeit bieten, die Cookie-Banner anzupassen; nur wennn dies nicht innerhalb eines Monats erfolge, würden behördliche Maßnahmen eingeleitet.

Cookie-Banner oft irreführend

NOYB erachtet verschiedene Gestaltungen des Cookie-Banners als rechtswidrig, kritistiert aber insbesondere fehlende Möglichkeiten, bereits auf der erste Ebene der Website funktionelle Cookies abzulehnen. Auch sei es leider üblich, Nutzer durch eine irreführende Farbgebung zum Klick auf den Button zur Zulassung sämtlicher Cookies zu bewegen. NOYB betont diesbezüglich, dass die Ablehnung von Cookies ebenso leicht sein müsse wie die Zustimmmung in die Nutzung.

Bei der durchgeführten Überprüfung habe NOYB auf dem Großteil der geprüften Webseiten Mängel hinsichtlich der Cookie-Banner festgestellt. Für die Unternehmen wird die Nutzung von Cookie-Bannern jedoch auch dadurch erschwert, dass die entsprechenden Anforderungen in den Mitgliedsstaaten der EU teilweise variieren, außerdem sind diese noch nicht abschließend gerichtlich festgestellt. Gleichwohl drohen diesbezüglich empfindliche Bußgelder: Diese bewegen sich regelmäßig im Bereich zwischen wenigen Tausend und einigen Zehntausend Euro, gegen Google wurden wegen der rechtswidrigen Nutzung von Cookies aber auch schon Bußgelder von 35-60 Millionen Euro verhängt.

1 2 3 4 27