Kategorie: EU-Datenschutzgrundverordnung

LDI Nordrhein-Westfalen genehmigt EU-weit erste Datenschutz-Zertifizierung durch Privatunternehmen

19. Oktober 2022

Die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW) genehmigte am 7. Oktober 2022 erstmalig die Kriterien eines Unternehmens für die Zertifizierung von Auftragsverarbeitern. Mit dem Zertifikat „European Privacy Seal“ („EuroPriSe“) sollen Unternehmen zukünftig ihre DSGVO-konformen Auftragsverarbeitungen nachweisen können.

Bedeutung

Die EuroPriSe GmbH ist europaweit das erste Unternehmen, das eine Genehmigung für seinen Kriterienkatalog erhalten hat. Im Genehmigungsverfahren hat die LDI NRW „gemäß dem europäischen Datenschutzrecht geprüft, ob die Kriterien, nach denen die Zertifikate an Auftragsverarbeiter erteilt werden sollen, tatsächlich die Einhaltung der DSGVO bei der Verarbeitung personenbezogener Daten sicherstellen – und damit die Persönlichkeitsrechte wahren.“

Allerdings befreit ein Zertifikat weder die Verantwortlichen und Auftragsverarbeiter noch die Aufsichtsbehörden von ihren Pflichten aus der DSGVO. Die Zertifizierung bleibt ein freiwilliges Instrument (vgl. Art. 42 Abs. 3 DSGVO), welches lediglich für einen Zeitraum von drei Jahren mit Aussicht auf Verlängerung erteilt werden kann (vgl. Art. 42 Abs. 3 S. 1 DSGVO).

Zertifizierungsverfahren nach Art. 42 DSGVO

Das Zertifizierungsverfahren nach Art. 42 DSGVO ist aufwendig und erfordert die Zusammenarbeit der Deutschen Akkreditierungsstelle GmbH (DAkkS) und der zuständigen Aufsichtsbehörde. Für eine Zertifizierung muss zudem die Empfehlung des Europäischen Datenschutzausschusses (EDSA) eingeholt und umgesetzt werden, damit eine einheitliche Anwendung der DSGVO in der EU gewährleistet werden kann.

Bewertung und Ausblick

Die Vorteile eines solchen Zertifikats sind vielfältig und beschränken sich nicht nur auf Marketing-Zwecke. Anwendungsbereiche werden von der DSGVO an verschiedenen Stellen explizit erwähnt. So kann ein Zertifikat für den Nachweis der DSGVO-Anforderungen beispielsweise bei der Beurteilung der Erfüllung der Pflichten des Verantwortlichen, Garantien des Auftragsverarbeiters, Datenübertragungen an ein Drittland oder auch bei der Datenschutz-Folgenabschätzung als Faktor herangezogen werden. Eine Zertifizierung kann Verantwortlichen und Auftragsverarbeitern also in vielen Bereichen den Nachweis der Pflichterfüllung erleichtern. Laut LDI NRW sei ein zentrales Ziel Transparenz, da Zertifikate als bewährtes Instrument den Markteilnehmenden einen „raschen Überblick über das Datenschutzniveau einschlägiger Produkte und Dienstleistungen“ lieferten.

Es bleibt abzuwarten, wie die Aufsichtsbehörden solche Zertifikate in Zukunft bei ihren Bewertungen von Verarbeitungsvorgängen einfließen lassen werden und ob sich die erhoffte Vereinfachung des Nachweises für Datenverarbeiter auch tatsächlich einstellt. Für den Markt bedeutet diese erste Genehmigung jedenfalls einen Meilenstein, der voraussichtlich den Weg für weitere Zertifizierungen nach Art. 42 DSGVO ebnen wird.

EuGH kippt anlasslose Vorratsdatenspeicherung

12. Oktober 2022

Der Europäische Gerichtshof (EuGH) hält die anlasslose Vorratsdatenspeicherung in Deutschland für rechtswidrig – und für einen Verstoß gegen die Grundrechte. So ist das allgemeinen Persönlichkeitsrechts nach Art. 2 Abs. 1 GG iVm. Art. 1 Abs. 1 GG betroffen, und darüber die informationelle Selbstbestimmung.

Dies entschied der EuGH in seiner Entscheidung vom 20. September 2022. Sie stellt eine äußerst bedeutende Entscheidung für den zukünftigen Kurs der Bundesregierung dar. Somit wird im Kontext der digitalen Strafverfolgung, anhand spezifischer Kommunikationsdaten verdächtigter Bürger, wohl ein anderes Vorgehen unvermeidlich sein.

Bundesjustizminister stellt sogenanntes „Quick-Freeze-Verfahren” vor

Mit diesem Verfahren soll eine anlasslose Speicherung von Kontaktdaten durch Unternehmen vermieden- und stattdessen ein sinnbildliches Einfrieren von Verkehrsdaten ermöglicht werden. Es handelt sich dabei um einen Zugriff auf noch im Unternehmen vorhandene Daten.
Klärend muss an dieser Stelle erläutert werden, dass es sich bei den nun einzufrierenden Telekommunikationsdaten („Verkehrsdaten“) nicht um anlasslos gespeicherte Daten handelt. Die betroffenen Daten liegen aufgrund unternehmenseigener Agenden schlichtweg noch vor.

Das „Quick-Freeze-Verfahren“ in zwei Schritten

Im ersten Schritt soll Ermittlungsbehörden, bei Verdacht auf eine Straftrat mit erheblicher Bedeutung hin, ein agiles Einfrieren möglicher relevanter Verkehrsdaten beim Unternehmen möglich gemacht werden. Provider dürften sodann vorhandene korrelierende- sowie neu anfallende Daten nicht mehr löschen.
Im zweiten Schritt erst würde eine Übermittlung der Daten an die Ermittler erfolgen. Auch hierfür wäre wieder ein Gerichtsbeschluss unter der Voraussetzung, dass die eingefrorenen Daten auch wirklich ermittlungsrelevant wären, notwendig.

Fazit

Mit der Entscheidung des EuGH geht der Kurs der Bundesregierung unweigerlich in eine Richtung die zugunsten der Grundrechte ausfällt. Ein stetiges Gefühl von Überwachung hat in einer demokratischen Gesellschaft schlichtweg keinen Platz. Auch die Ermittlungsbehörden haben durch diese Entscheidung keine Nachteile. Das „Quick-Freeze-Verfahren“ könnte sich möglicherweise als ein agiles Instrument zur zuverlässigen Bekämpfung von Kriminalität erweisen.

Vorratsdatenspeicherung: Neue Debatte nach anstehendem EuGH-Urteil?

20. September 2022

20. September 2022: Der Europäische Gerichtshof (EuGH) urteilt erneut über das Thema Vorratsdatenspeicherung. Diesmal geht es um das diesbezüglich schon länger auf Eis liegende deutsche Gesetz zur Vorratsdatenspeicherung. Wird die Entscheidung des EuGHs frischen Wind in die Diskussion bringen?

Was soll gespeichert werden?

Grundsätzlich meint Vorratsdatenspeicherung das Speichern von Verbindungsdaten. Es handelt sich nicht um explizite Inhalte einzelner Kommunikationen, sondern um die abstrakte Speicherung von Kommunikationseckdaten. So ist also lediglich die Aufklärung und Speicherung im Kontext der folgenden Fragestellungen berührt:

– Wer hat wann mit wem wie lange telefoniert, und von welchem Ort aus?
– Wer hat an wen eine E-Mail geschrieben?
– Mit welcher IP-Adresse war ich wie lange im Internet unterwegs?

Adressaten der Vorratsdatenspeicherung

Speicherverpflichtete wären Kommunikationsunternehmen. Durch eine vorrätige Speicherung soll staatlichen Behörden ein Zugang zu Verbindungsdetails ermöglicht werden. Ein Zugang zu derartigen Informationen soll für zehn Wochen gewährleistet werden. Daneben sei auch ein Zugriff auf Standortdaten für einen Zeitraum von vier Wochen angedacht.

Wird der EuGH seine bisherige Linie beibehalten?

In einem Urteil im Jahr 2016 zu einem schwedischen Gesetz entschied und beanstandete der EuGH, „Eine allgemeine und unterschiedslose Speicherung aller Vorratsdaten ohne konkreten Anlass sei nicht mit den EU-Grundrechten vereinbar”. Dieser strengen Linie blieb der EuGH in seinem Urteil im Jahr 2020 grundsätzlich treu, legte jedoch Ausnahmen für eine Speicherung fest. Staatlichen Behörden solle demnach ein Zugriff unter bestimmten Voraussetzungen ermöglicht werden. Dies solle auf Daten mit Verbindung zu Kriminalitätshotspots, zum nationalen Schutz vor akuter Terrorgefahr sowie der anlasslosen Speicherung von IP-Adressen anzuwenden sein.


Ob der EuGH einen Trend zur Lockerung der Vorratsdatenspeicherung setzt wird sich mit dem ersehnten Urteil zum deutschen Gesetz zeigen.

B2B-Datenschutz: DSGVO auf juristische Personen in Sonderfällen anwendbar?

6. September 2022

Dieser Frage widmete sich das LG Hamburg in einer Entscheidung (324 O 30/20) vom 11. Dezember 2021. In dem Sachverhalt nahmen Kläger die Beklagte wegen Verletzung von Datenschutzpflichten auf Löschung und hilfsweise Sperrung in Anspruch.

Beteiligte

Die Klägerinnen betreiben ein Nachhilfeinstitut. Einer der Klägerinnen ist Geschäftsführer und Anteilseigner dieses Instituts.
Die Beklagte betreibt eine private Website auf der Wirtschaftsinformationen über die Kläger veröffentlicht wurden. Bei den strittigen Informationen handle es sich um gesetzliche Pflichtveröffentlichungen zu Unternehmen aus allgemein zugänglichen Registern, wie dem Handelsregister, Insolvenzbekanntmachungen und dem elektronischen Bundesanzeiger. Bei der Weiterverwendung der Daten seien keine eigenen Daten aufgenommen worden. Es handle sich lediglich um bereits verfügbare Daten aus den öffentlichen Registern, so die Beklagte.

Streitgegenstand

Die Beklagte veröffentlichte auf Ihrer Seite den Namen, die Anschrift sowie den Gewinn des Nachhilfeinstituts. Zudem wurde die Bilanzsumme als auch die namentliche Nennung des Geschäftsführers angezeigt. Beide Kläger seien dem Gericht nach der Auffassung gewesen, dass dies nicht ohne deren Einwilligung erfolgen hätte dürfen. Am 25.04.2019 erfolgte sodann der Widerspruch mit Löschaufforderung nach Art. 17 Abs. 1 DSGVO.

Entscheidungsgründe des LG Hamburg

Das Gericht entschied, dass den Klägern keine Ansprüche auf Löschung und Sperrung gegen die Beklagte wegen der Verarbeitung von personenbezogenen Daten zustünden. Es bezog sich in diesem Kontext auf den Erwägungsgrund 14 der Verordnung. Dieser legt ausdrücklich fest dass die Verordnung nicht für juristische Personen anwendbar sei.

Ausnahme

Das Gericht ist der Auffassung, dass der Anwendungsbereich der DSGVO bei der Verarbeitung von Informationen von juristischen Personen eröffnet sei, wenn die Informationen der juristischen Person sich auch auf die hinter dieser stehenden natürlichen Person beziehen. Dies sei dem Gericht nach der Fall wenn Informationen über juristische Personen gleichzeitig auch Aussagen über die für sie handelnden natürlichen Personen treffen oder die Verarbeitung der Informationen sich unmittelbar auf die natürlichen Personen auswirken und gleichsam auf diese durchschlagen.

Fazit

Im vorliegend Sachverhalt träfe diese Ausnahme laut dem LG Hamburg auf die Klägerinnen zu. Der Firmenname und der Geschäftssitz bezögen sich auf ihre Geschäftsführer. Zudem sei ihr Geschäftssitz mit der Wohnanschrift der Geschäftsführer identisch.
Als Anspruchsgrundlagen kämen lediglich Art. 17 Abs. 1 lit. d und lit. c DSGVO in Betracht, so das LG Hamburg. Im Ergebnis des Gerichts fällt die jeweils vorzunehmende Interessenabwägung jedoch zugunsten der Beklagten aus.

Warum Google Fonts eine datenschutzrechtliche Abmahnwelle verursacht?

23. August 2022

Am 18. August 2022 informierte der Thüringer Landesbeauftragte für den Datenschutz und die Informationsfreiheit (TLfDI), Dr. Lutz Hasse, in einer Pressemitteilung über eine drohende Abmahnwelle. Tausende von Websites-Betreiber seien nach dem TLfDI bereits von Abmahnungen betroffen.

I. Hintergrund der Abmahnungen

Google Fonts ist ein kostenloser Dienst des US-Anbieters Google. Dieser stellt kostenlose Schriftarten zur freien Verfügung bereit. Problematisch wird es an der Stelle, an der Google Fonts dynamisch auf Websites eingebettet werden. Durch die dynamische Einbindung des Dienstes werden Schriftarten von Servern aus den USA in den Browser der Besucher(innen) geladen. Dabei werden personenbezogene Daten wie die IP-Adresse der Besucher in die Vereinigten Staaten übermittelt. Eine Einbettung der Fonts kann auch durch andere Google Dienste, z.B. Google Maps, erfolgen.

II. Warum ist die Übermittlung problematisch?

Nach dem TLfDI müsste einer solchen Übermittlung der Daten, nach der DSGVO, mindestens eine Einwilligung der Nutzer vorangehen. Dies soll in den Sachverhalten überwiegend nicht der Fall gewesen sein. Zudem handle es sich bei der Übermittlung von Daten in die USA um einen Transfer von Daten in einen Drittstaat, der kein ausreichendes Datenschutzniveau im Sinne der DSGVO bietet. Dazu komme nicht minder die Tatsache, dass eine solche zustimmungslose und automatische Weiterleitung der IP-Adressen an Google eine Verletzung des Rechts auf informationelle Selbstbestimmung und des Persönlichkeitsrechts darstelle. So das Landgericht München I im Endurteil vom 20. 01. 2022.

III. Was könnte ein Lösungsansatz sein?

Das TLfDI gibt Empfehlungen zur Nutzung von Google Fonts. In „Empfehlungen des TLfDI zu Google Fonts zur Vermeidung von Abmahnungen“ wird das lokale Speichern von Schriftarten und sodann die Einbindung in den eigenen Internetauftritt geraten.
Für viele Websites-Betreiber war diese Thematik bisher ein blinder Fleck im Kontext des Datenschutzrechts und dem technischen Verständnis von Google Fonts. Es ist also ratsam die eigene Website bezüglich der Einbindung von Google Fonts zu überprüfen.

Einführung des elektronischen Rezeptes in Schleswig-Holstein gestoppt

Das elektronische Rezept, welches ab dem 01. September 2022 bundesweit eingeführt werden soll, wurde in Schleswig-Holstein aufgrund datenschutzrechtlicher Bedenken, gestoppt. 

Was ist das elektronische Rezept? 

Das elektronische Rezept (auch „E-Rezept“) ist ein Rezept, dass ausschließlich digital erstellt und signiert wird. Es soll laut Bundesgesundheitsministerium das Gesundheitswesen digitalisieren und Abläufe vereinfachen. Auch wer als Patient eine Videosprechstunde in Anspruch nimmt, soll sich danach den Weg in die Praxis für das Rezept-Abholen sparen können. Gleichzeitig soll das E-Rezept Behandlungen auch sicherer machen. Das E-Rezept soll auch weitere Anwendungen ermöglichen, z.B. eine Medikationserinnerung und einen Medikationsplan mit eingebautem Wechselwirkungscheck. Patienten können das Rezept über eine E-Rezepte-App verwalten und digital an die gewünschte Apotheke ihrer Wahl senden. Wer die App nicht nutzen möchte, kann sich die für die Einlösung des Rezeptes erforderlichen Zugangsdaten als Papierausdruck in der Arztpraxis aushändigen lassen. Das E-Rezept enthält einen Rezeptcode und ist ohne händische Unterschrift gültig (hier können Sie so einen Ausdruck sehen). Eingelöst werden können die E-Rezepte dann in jeder Apotheke oder Online-Apotheke. E-Rezepte sollen 100 Tagen nach der Einlösung automatisch gelöscht werden (weitere Fragen zur App werden hier beantwortet). 

Warum wurde es in Schleswig-Holstein gestoppt? 

In Schleswig-Holstein und Westfalen-Lippe wurden in einer Testphase Pilotprojekte des E-Rezeptes in ausgewählten Praxen und Krankenhäusern betrieben. Ab dem 01. September 2022 soll die „Rollout-phase“ beginnen und nach einem regional und zeitlich gestuften Verfahren nach und nach bundesweit das E-Rezept eingeführt werden.  

Nun hat sich die Kassenärztliche Vereinigung Schleswig-Holstein (KVSH) vorerst aus der Einführung des E-Rezeptes zurückgezogen. Grund dafür ist laut einer Pressemitteilung des Datenschutzbeauftragten Schleswig-Holstein (ULD), dass die KVSH vorgeschlagen hatte, die E-Rezepte per SMS oder E-Mail an Menschen ohne E-Rezepte-App zu versenden. Dies lehnte der ULD ab und verwies darauf, dass es sich bei dem E-Rezept um sensible Gesundheitsdaten handle. Diese per E-Mail zu versenden, stelle eine Übermittlung dieser Daten dar. Das Verfahren sei dafür zu unsicher. Die KVSH sieht durch diese Untersagung eine Alltagstauglichkeit des E-Rezeptes nicht mehr gegeben.  

Die Rezepte-App selbst wurde vom ULD nicht geprüft. Ob der Rückzug der KVSH einen Einfluss auf die Einführung des E-Rezeptes haben wird, bleibt abzuwarten.  

Können hypothetische Zugriffsmöglichkeiten bereits einen Datentransfer in ein Drittland i.S.v. Art. 44 DSGVO darstellen?

17. August 2022

Die Vergabekammer Baden-Württemberg hat mit einem nicht rechtskräftigen Beschluss vom 13. Juli 2022 (Az. 1 VK 23/22) für Diskussionen gesorgt. Sie ist der Auffassung, dass unzulässige Datenexporte auch dann vorliegen, wenn die entsprechende Infrastruktur durch eine europäische Tochtergesellschaft betrieben wird, welche zu einem amerikanischen Konzern gehört.

1. Sachverhalt

In einem Ausschreibungsverfahren streiten sich zwei Konkurrentinnen um einen Auftrag.  Eine Konkurrentin fordert hierin den Ausschluss der anderen aus dem Vergabeverfahren, da diese durch den Einsatz eines Rechenzentrumsbetreibers, dessen Konzernunternehmen in Drittstaaten ansässig ist, gegen die Bedingungen im Lastenheft im Kontext „Anforderungen an IT-Sicherheit und Datenschutz“ verstoße. Die Bedingungen lauten u.a. wie folgt:

“(…)

– Erfüllung der Anforderungen aus der DS-GVO und dem BDSG (…)

– Daten werden ausschließlich in einem EU-EWR Rechenzentrum verarbeitet bei dem keine Subdienstleister / Konzernunternehmen in Drittstaaten ansässig sind

(…)”

2. Vergabekammer Baden-Württemberg sieht unzulässige Übermittlung

Unter Drittländern versteht man Länder, die weder Mitglied der Europäischen Union noch des Europäischen Wirtschaftsraums (EWR) sind, z.B. die USA, Israel und die Schweiz. Durch die Ansässigkeit des Rechenzentrumsbetreibers in den USA sieht die Vergabekammer eine unzulässige Übermittlung in die USA. So genügt nach ihrer Auffassung schon die lediglich vorhandene Möglichkeit, auf personenbezogene Daten zugreifen zu können, unabhängig davon, ob ein solcher Zugriff am Ende erfolgt oder nicht.

3. Ausblick

Die Ansicht der Vergabekammer könnte möglicherweise eine richtungsweisende Entscheidung im Kontext einer bisher noch ungeklärten Frage darstellen. Können US-Tech-Anbieter weiterhin über eine europäische Tochtergesellschaft Dienstleistungen erbringen oder könnte dies trotz der Verwendung von Standardvertragsklauseln (Standarddatenschutzklauseln) zukünftig unzulässig sein? Es bleibt demnach spannend.

Die LDI NRW veröffentlicht Handreichung zu Online-Prüfungen an Hochschulen

2. August 2022

Seit der Covid-19 Pandemie legen Studierende ihre Prüfungsleistungen vermehrt online ab. Dabei werden personenbezogene Daten der Prüflinge verarbeitet. Die Landesbeauftragte für Datenschutz und Informationsfreiheit (LDI NRW) veröffentlichte am 28. Juli 2022 eine Handreichung für eine DSGVO-konforme Durchführung solcher Prüfungen unter videobasierter Aufsicht.

Eine geeignete Rechtsgrundlage

Das Erfassen der Ausweisdaten und die Videoüberwachung der Prüflinge während einer Online-Klausur erfordert eine adäquate Rechtsgrundlage. Laut der LDI könne diese in Art. 6 Absatz 1 lit. c) oder e) DSGVO gefunden werden. Demnach müssten Maßnahmen erforderlich sein, um einer rechtlichen Verpflichtung oder einer Aufgabe im öffentlichen Interesse nachzukommen. Voraussetzung sei eine solche Rechtsgrundlage im materiellen Recht (Art. 6 Absatz 3 DSGVO). Diese sei mit § 64 Abs. 2 Satz 2 Hochschulgesetz NRW (HG NRW) gegeben. Hier ist festgelegt, dass Hochschulen in ihren Prüfungsordnungen entscheiden können, dass Prüfungen im elektronischen Format abgelegt werden. Dafür müssten ausreichende datenschutzrechtliche Regelungen hinsichtlich der Durchführung der Prüfung erlassen worden und die Durchführung auch im Einzelfall angemessen und erforderlich sein.

Bewertung einzelner Aufsichtsmaßnahmen der Hochschulen

Obwohl es immer einer Einzelfall-Überprüfung bedürfe, hat die LDI einige, von Hochschulen häufig zur videobasierten Aufsicht verwendeten Maßnahmen, bewertet. Maßnahmen seien immer mit der Eingriffsintensität ähnlicher Regelungen in Präsenzklausuren zu vergleichen. So sollten Prüflinge, wenn möglich, entscheiden dürfen, ob sie die Online-Prüfung in den Räumlichkeiten der Hochschule oder zu Hause absolvieren. Zudem seien Prüfungsformate ohne Aufsicht zu bevorzugen. Sofern notwendig, sei es jedoch zulässig, Prüflinge durch einen Abgleich von Lichtbildausweis und Gesicht zu authentifizieren. Die Aufzeichnung des Ausweises oder das Einsetzen von automatischen Gesichtserkennungssoftware sei jedoch unzulässig. Prüflingen dürfe die Nutzung von spezifischen Funktionen, die Betrugsversuche begünstigen, untersagt werden. Auch die ständige visuelle und akustische Sichtbarkeit des Gesichts, Oberkörpers und des Arbeitsplatzes könne gefordert werden. Die dauerhafte Aufzeichnung und Speicherung von Bild- und Tondateien sei jedoch unzulässig und könne nur ausnahmsweise durch einen konkreten Verdacht auf einen Täuschungsversuch gerechtfertigt werden. In jedem Fall unzulässig sei der Einsatz von mehreren Kameras in verschiedenen Winkeln oder die Sichtbarkeit der Aufnahmen für die Prüflinge untereinander.

Hinweise zur Verwendung von Videokonferenzanbietern

Die LDI weist darauf hin, dass sie seit den neuen Regelungen des Telekommunikationsgesetztes (TKG) und des Telekommunikations-Telemedien-Datenschutz-Gesetzes (TTDSG) Videokonferenzdienste als Telekommunikationsdienste einordne und diese somit unter Aufsicht des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) stehen. Die Anbieter seien selbst für die Datenverarbeitung im Rahmen ihrer Dienste verantwortlich. Die Hochschulen seien jedoch verpflichtet, solche Anbieter auszuwählen, die ein ausreichendes Datenschutzniveau gewährleisten können. Sofern die Anbieter weitere Dienste anbieten, z.B. zur Dokumenten-Bearbeitung, seien die Hochschulen für die Verarbeitung der Inhaltsdaten verantwortlich. Hier müssten dann geeignete Auftragsverarbeitungsverträge mit den Anbietern abgeschlossen werden.

Die Handreichung der LDI fügt sich in die generelle Diskussion zur Datenschutzkonformität vieler Videokonferenzanbieter ein. Auch der BfDi wies darauf hin, dass die Nutzung solcher Systeme mit Risiken für personenbezogene Daten einhergehe und dass angemessene Schutzmaßnahmen benötigt seien. In einer Untersuchung hatte die Berliner Beauftragte für Datenschutz und Informationsfreiheit einige datenschutzrechtliche Mängel bei gängigen Anbietern festgestellt.

LG Ravensburg legt Frage zum Schadensbegriff in Art. 82 DSGVO dem EuGH vor

29. Juli 2022

Das Landgericht Ravensburg hat mit Beschluss vom 30.06.2022 dem Europäischen Gerichtshof (EuGH) die Frage vorgelegt, ob für einen Schadensersatzanspruch aus Art. 82 DSGVO ein spürbarer Nachteil und eine objektiv nachvollziehbare Beeinträchtigung erforderlich ist. 

Der Sachverhalt 

Die Beklagte hatte auf ihrer Website ohne das Einverständnis der Kläger eine Tagesordnung für eine Gemeinderatssitzung veröffentlicht, in der mehrfach die Namen der Kläger genannt wurden. Ebenfalls auf ihrer Webseite veröffentlichte sie ein verwaltungsgerichtliches Urteil, in dem die Kläger ungeschwärzt mit Vor- und Nachnamen sowie Anschrift aufgeführt waren. Die Kläger sehen darin ihre Rechte aus der DSGVO verletzt und begehren Schadensersatz von der Beklagten. 

Die Frage 

Das LG Ravensburg hatte bereits zuvor die Auffassung vertreten, nicht jeder Verstoß gegen die DSGVO, insbesondere nicht jede unzulässige Verarbeitung personenbezogener Daten, führe automatisch zu einem Anspruch auf immateriellen Schadensersatz. Insbesondere bei Bagatellverstößen ohne ernsthafte Beeinträchtigung bzw. lediglich individuell empfundene Unannehmlichkeiten käme ein Schadensersatzanspruch nicht in Betracht. Für das Zusprechen von Schadensersatz nach Art. 82 DSGVO setzt das LG Ravensburg einen spürbaren Nachteil und eine objektiv nachvollziehbare Beeinträchtigung persönlichkeitsbezogener Belange bei den betroffenen Personen voraus. 

Dies sieht das Gericht im vorliegenden Sachverhalt als nicht gegeben an, es läge nur ein Verlust der Datenhoheit vor. Danach wäre die Klage abzuweisen. Die Auslegung des Schadensbegriffes steht aber letztlich nur dem EuGH zu. Diesem liegt nun folgende Frage vor: „Ist der Begriff des immateriellen Schadens in Artikel 82 Abs. 1 DSGVO dahin auszulegen, dass die Annahme eines immateriellen Schadens einen spürbaren Nachteil und eine objektiv nachvollziehbare Beeinträchtigung persönlichkeitsbezogener Belange erfordert oder genügt hierfür der bloße kurzfristige Verlust des Betroffenen über die Hoheit seiner Daten wegen der Veröffentlichung personenbezogener Daten im Internet für einen Zeitraum von wenigen Tagen, der ohne jedwede spürbare bzw. nachteilige Konsequenzen für den Betroffenen blieb?“ 

Das Verfahren wird erst nach einer Entscheidung des EuGH fortgesetzt. 

Die Debatte um Perioden-Tracker-Apps und einen möglichen Datenhandel – Teil 2

22. Juli 2022

Im ersten Teil unseres Beitrags haben wir uns letzte Woche mit Perioden-Tracker-Apps und der diesbezüglichen Rechtslage in den USA und in Europa beschäftigt.

Im zweiten Teil thematisieren wir heute das Problem des Datenhandels sowie die Frage, welche Konsequenzen sich für europäische Nutzerinnen von Perioden-Tracking-Apps ergeben.

Was ist Datenhandel und wie weit ist er verbreitet?  

Datenhandel ist ein weitverbreitetes Geschäft. Dabei sammeln Datenhändler alle möglichen Daten, die öffentlich einsehbar sind. Teilweise erwerben sie aber auch Daten von Unternehmen, die bereit sind, diese zu verkaufen. Dann verkaufen Datenhändler gewisse Daten weiter an Interessierte. Zweck dahinter ist meist zielgerichtete Werbung. Datenhandel kann aber auch für politische Kampagnen genutzt werden.   

In Europa wird Datenhandel durch die Vorgaben der DSGVO begrenzt. Ein Beispiel dafür sind die Anforderungen an eine Einwilligung. Eine solche können betroffene Personen abgeben, sodass ihre Daten dann auf Grundlage dieser Einwilligung weiter verarbeitet und gespeichert werden. In Europa ist durch die DSGVO genau vorgegeben, wie eine solche Einwilligung zu erfolgen hat. So muss die betroffene Person u.a. umfassend informiert werden. In den USA gibt es solche Voraussetzungen kaum, dort sind an eine Einwilligung viel geringere Anforderungen gesetzt. Deshalb bietet es sich für Datenhändler an, dort ihren Sitz zu haben. In den USA können Gesundheitsdaten teilweise ab § 79 von Privatpersonen erworben werden. 

  

Was hat Datenhandel mit dieser Debatte zu tun?  

Unzureichend geschützte Menstruations-Daten können von Datenhändlern gesammelt oder sogar bei den Unternehmen, die solche Daten erheben und verarbeiten selbst erworben werden. Wenn Dritte an diese Daten gelangen, kann das für die betroffenen Personen ernsthafte Konsequenzen haben. So könnten z.B. radikale Abtreibungsgegner diese Daten von Datenhändlern erwerben, um Betroffene anzuzeigen und so der strafrechtlichen Verfolgung auszusetzen.  

Beispielhaft für die persönlichen Konsequenzen, die sich durch einen solchen Datenhandel ergeben können, ist der Fall eines US-amerikanischen Priesters. Ein katholischer Newsletter erhielt von einem Datenhändler Daten der App „Grindr“, einer LGBTQ-Dating App. Beim Auswerten dieser Daten, zu denen u.a. Standortdaten der Nutzer gehörten, konnten sie ein Profil dem Priester zuordnen und aufgrund seiner Standorte nachweisen, wann er sich in welchen LGBTQ-Bars aufgehalten hatte. Der Mann wurde zwangsweise geoutet und musste zurücktreten.    

  

Fazit: Was bedeutet dies für Nutzerinnen von solchen Apps in Europa?  

Zwar besteht in Europa dank der DSGVO ein anderes Datenschutzniveau als in den USA. In Deutschland sind Schwangerschaftsabbrüche außerdem unter bestimmten Voraussetzungen bis zur 12. Woche straffrei, sodass diesbezüglich keine vergleichbare Lage herrscht. Jedoch gibt es auch in Europa Länder, in denen Frauen gut beraten sind, ihre Menstruations-Daten besonders zu schützen. So sind z.B. in Polen Abtreibungen praktisch verboten. Die Regierung möchte zudem ein landesweites „Schwangerschafts-Register“ einführen. Auch hier befürchten Kritiker eine geplante Kontrolle von Schwangerschaften und deren Länge.   

Insgesamt sind auch deutsche Nutzerinnen gut damit beraten, eine App zu verwenden, die aus der EU kommt und sich damit an die Grundsätze der DSGVO halten muss. Bei Apps aus dem EU-Ausland kann nicht ausgeschlossen werden, dass mit den dort gespeicherten Daten Handel betrieben wird.  

  

1 3 4 5 6 7 35