Kategorie: EU-Datenschutzgrundverordnung
20. Juli 2022
Die Verbraucherzentrale Bundesverband (vzbz) hat in einer Pressemitteilung bekannt geben, dass sie beim Landgericht Berlin Klage gegen Tesla erhoben habe. Die vzbz wirft dem Automobilhersteller vor, durch die Nutzung des sog. Wächter-Modus der Tesla-Fahrzeuge gegen die DSGVO zu verstoßen.
Der Wächter-Modus
Laut Angaben des Herstellers seien alle Tesla-Fahrzeuge mit dem Wächter-Modus ausgestattet. Im geparkten und abgeschlossenen Zustand erfassen am Fahrzeug angebrachte Kameras permanent die Umgebung. Sobald sie eine erhebliche Bedrohung erkennen, beginnen die Kameras mit der Aufzeichnung. Zusätzlich wird die Alarmanlage aktiviert und die Fahrezeughalter/innen benachrichtigt. Dabei käme es natürlich auch zur Aufzeichnung von unbeteiligten Passanten/innen, die zufällig den Erfassungsbereich der Kameras betreten. Die vzbz wirft Tesla vor, dass diese anlasslose Aufzeichnung unzulässig sei und Fahrzeughalter/innen durch die Nutzung des Wächter-Modus unwissentlich ein hohes Bußgeld für den DSGVO-Verstoß riskieren würden.
Videoüberwachung unter der DSGVO
Die Videoüberwachung ist eine Form der ganz oder teilweise automatisierten Verarbeitung personenbezogener Daten und folglich nach der DSGVO zu bewerten. Selbst für die Videobeobachtung in Echtzeit, bei der keine Daten gespeichert werden, ist die DSGVO einschlägig. Die Anforderungen an eine DSGVO-konforme Videoüberwachung wurden von der Datenschutzkonferenz (DSK) in einem Kurzpapier zusammengefasst. Demnach bedarf es zuerst einmal einer gültigen Rechtsgrundlage nach Art. 6 DSGVO. Bei einer Videoüberwachung durch nicht öffentliche Stellen, bei der unbeteiligte Passanten aufgenommen werden, käme hier Art. 6 Abs. 1 lit. f DSGVO in Betracht. Demnach ist eine Verarbeitung rechtmäßig, soweit sie zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist. Jedoch dürfen dabei nicht die Interessen oder Grundrechte der betroffenen Personen, die den Schutz personenbezogener Daten erfordern, überwiegen. Andernfalls müssen, mangels einer anderen, einschlägigen Rechtsgrundlage, die Einwilligung der betroffenen Personen erhoben werden. Die Videoüberwachung muss zudem für das Erreichen eines bestimmten Zwecks erforderlich sein und der Verantwortliche den Transparenzanforderungen aus Art. 12 ff. nachkommen. Sofern die Überwachung ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen darstellt, bedarf es zudem einer Datenschutz-Folgeabschätzung.
Der Wächter-Modus unter der DSGVO
In Bezug auf den Wächter-Modus wäre es schwer vorstellbar, dass das Interesse der Fahrzeughalter/innen an dem Schutz ihres Fahrzeugs vor Diebstahl und Beschädigung gegenüber dem Interesse der betroffenen Personen am Schutz ihrer personenbezogenen Daten überwiegen würde. Hierfür müsste der Schutz eines einzelnen Fahrzeugs vor möglichen Gefahren die weitreichende Aufzeichnung von unbeteiligten Passanten/innen rechtfertigen. Sofern dies nicht der Fall wäre, fehlte der Verarbeitung bereits eine geeignete Rechtsgrundlage. Um dann den Wächter-Modus DSGVO-konform zu verwenden, benötigten Fahrzeughalter:innen bereits im Vorfeld die Einwilligung jeder aufgezeichneten Person. Das schiere Betreten eines gekennzeichneten Erfassungsbereichs einer Kamera entspräche jedoch nicht den Anforderungen einer eindeutigen und informierten Einwilligung. Stattdessen müssten Passanten/innen vor der Aufzeichnung über die Details der Videoüberwachung aufgeklärt werden. Es bleibt abzuwarten, wie das LG Berlin den Sachverhalt bewerten wird.
14. Juli 2022
Nach dem historischen Urteil des US Surpreme Courts vom 24.06.2022, in dem das in den USA ca. 50 Jahre lang bestehende Recht auf Abtreibung gekippt wurde, sind Debatten über sogenannte „Perioden-Tracker-Apps“ in aller Munde. Befürchtet wird, dass die in diesen Apps gespeicherten Gesundheitsdaten direkt an staatliche Institutionen in den USA oder an Datenhändler gelangen könnten. Woraus diese Befürchtungen resultieren, werden wir im Folgenden in zwei Teilen beantworten.
Im ersten Teil beschäftigen wir uns mit Perioden-Tracker-Apps und der Rechtslage in den USA und in Europa.
Welche Daten erheben solche Apps?
Die Perioden-Tracker-Apps sind dazu gedacht, dass Menstruierende dort Informationen zu ihrem Zyklus speichern können. So kann u.a. angegeben werden, wann eine Blutung und der Eisprung stattfinden. Auch Daten wie Körpergröße, Gewicht, Temperatur und Sexualkontakte können dort gespeichert werden. Dies soll den Nutzerinnen einen besseren Überblick über ihren Zyklus verschaffen. Solche Apps können auch die fruchtbaren Tage anzeigen, sodass sie bei der Familienplanung hilfreich sein können.
Welche datenschutzrechtlichen Bedenken gibt es?
Aus den gespeicherten Daten kann sich u.a. ergeben, dass eine Schwangerschaft nicht länger besteht. Es wird befürchtet, dass diese Daten von Perioden-Tracker-Apps unzureichend vor der Weitergabe an Dritte oder sonstigen Zugriffen geschützt sind. In der Vergangenheit standen solche Apps schon häufiger in der Kritik, ihre Daten nicht ausreichend zu schützen. So hatte eine Perioden-Tracker-App in der Vergangenheit bereits intime Daten an Facebook und Google weitergegeben.
Künftig könnten Frauen, die eine Abtreibung vornehmen lassen über die, in solchen Apps verarbeiteten Daten, identifiziert werden. Da Abtreibungen zukünftig in einigen Staaten der USA strafbar sein werden, könnte dies zu Repressalien gegenüber der betroffenen Frau führen. Aber auch Fehlgeburten oder schlicht falsche Daten könnten Frauen zukünftig in Erklärungsnot bringen. Konkret wird befürchtet, dass die Polizei oder behördliche Einrichtungen diese Daten anfordern.
Wie ist die Rechtslage im Datenschutz?
In Europa sichert die europäische Datenschutzgrundverordnung (DSGVO) ein bestimmtes Datenschutzniveau. So gibt es beispielsweise Betroffenenrechte, die u.a. ein Recht auf Löschung von Daten gewähren. Die USA haben bisher kein bundeseinheitliches Datenschutzgesetz, ein Entwurf liegt aber mittlerweile vor. Momentan gibt es nur einzelne Regeln für bestimmte Bereiche, z.B. für Verbraucher. Spezielle Datenschutzgesetze gibt es z.B. in den Staaten Kalifornien und Virginia. In Kalifornien gibt es den Privacy Act (CCPA), der Betroffenenrechte gewährt, die der DSGVO ähnlich sind. Die meisten Bundesstaaten aber haben keinen speziellen Datenschutz. Dementsprechend haben die meisten US-Amerikaner vergleichsweise wenig Rechte über ihre Daten.
Der zweite Teil dieses Beitrags erscheint nächste Woche und thematisiert das Problem des Datenhandels sowie die Frage, welche Konsequenzen sich für europäische Nutzerinnen von Perioden-Tracking-Apps ergeben.
Gerade in den Sommermonaten greifen viele Unternehmen auf (digitale) Urlaubskalender zurück, um Mitarbeiterurlaube zu planen. Doch was sollte beachtet werden, damit die Urlaubsverwaltung und entsprechende Kalender datenschutzkonform verwendet werden?
Der Europäische Datenschutzbeauftragte zu der Urlaubsverwaltung
Der Europäische Datenschutzbeauftragte (EDSB) weist darauf hin, auch bzgl. der Urlaubsverwaltung innerhalb der eigenen Organe und Einrichtungen, dass die Verwaltung von Mitarbeiterurlauben häufig die Verarbeitung gesundheitsbezogener Daten erfordert. Ärztliche Bescheinigungen und andere Belege, die für die Genehmigung von Sonderurlauben benötigt werden, gehören der Kategorie sensibler Daten gem. der DSGVO an und unterliegen daher einem erhöhten Schutzniveau. Folglich sei es besonders wichtig, die Qualität und Sicherheit der Daten sowie die Betroffenenrechte und andere Pflichten unter der DSGVO zu gewährleisten.
Die Anforderungen der DSGVO an Urlaubskalender
Für die rechtskonforme Verarbeitung personenbezogener Daten wird zunächst eine der Rechtsgrundlagen aus Art. 6 DSGVO benötigt. Das Anlegen eines Urlaubskalenders ermöglicht es dem Arbeitgeber, seiner Pflicht zur Erfüllung von Urlaubsansprüchen gegenüber seinen Arbeitnehmern gemäß § 1 BUrlG nachzukommen. Damit ist die Verarbeitung erforderlich für die Erfüllung einer rechtlichen Verpflichtung und somit nach Art. 6 Abs. 1 lit. c DSGVO rechtmäßig. Zudem darf die Verarbeitung nur zweckgebunden stattfinden. Die betriebliche Urlaubsplanung stellt hier einen hinreichend bestimmten Zweck dar. Darüber hinaus fordert der Grundsatz der Datenminimierung, dass nur Daten verarbeitet werden, die für die Urlaubsplanung absolut erforderlich sind. Dem Prinzip der Vertraulichkeit zu Folge, muss ebenfalls eine angemessene Sicherheit der Daten durch geeignete technische und organisatorische Maßnahmen gewährleistet werden. Hier empfiehlt der EDSB, ärztliche Bescheinigungen und andere medizinische Daten, wenn möglich, vom ärztlichen Dienst oder Betriebsarzt bearbeiten zu lassen und nicht von der Personalabteilung. Personalmitarbeiter, die Urlaubsantragsverfahren bearbeiten, sollten zudem diesbezüglich zur Vertraulichkeit verpflichtet werden. Zudem müssen Mitarbeiter ausreichend über die Verarbeitung und Ihre Betroffenenrechte informiert werden. Daten sollten nicht länger als erforderlich gespeichert werden.
Urlaubskalender, zugänglich für alle?
Problematisch wird es, wenn die Urlaubskalender für alle Mitarbeiter einsehbar sind. Die Urlaubsverwaltung erfordert normalerweise nicht, dass Mitarbeiter die Urlaubstage ihrer Kollegen einsehen können. Ein solcher Zugriff, sofern nicht zwingend erforderlich, verstößt gegen den Grundsatz der Vertraulichkeit der Daten und ist somit nicht mehr auf die ursprüngliche Rechtsgrundlage der Verarbeitung zu stützen. Denkbar wäre es, einzelne Einwilligungen der Mitarbeiter in die Veröffentlichung ihrer Urlaubstage einzuholen. Jedoch muss eine solche Einwilligung die Ansprüche an die Freiwilligkeit gemäß Art. 4 Abs. 11 DSGVO i.V.m. § 26 Abs. 2 S. 2 BDSG erfüllen. Demnach ist eine Einwilligung eines Mitarbeiters insbesondere dann freiwillig, wenn dadurch für ihn ein Vorteil erreicht wird oder Arbeitnehmer und Arbeitgeber gleichgelagerte Interessen verfolgen. Hier merkt der ESDA an, dass aufgrund des Ungleichgewichts der Macht zwischen Arbeitnehmer und Arbeitgeber eine solche Freiwilligkeit im Arbeitsverhältnis zumeist nicht erfüllt ist. Folglich sollte, wenn möglich, davon abgesehen werden, Urlaubskalender allen Mitarbeitern zugänglich zu machen.
5. Juli 2022
Mit Urteil vom 22.06.2022 (C‑534/20) hat der Europäische Gerichtshof (EuGH) entschieden, dass der deutsche Sonderkündigungsschutz von Datenschutzbeauftragten aus § 38 Abs. 1 und 2 in Verbindung mit § 6 Abs. 4 Satz 2 Bundesdatenschutzgesetz (BDSG) europarechtskonform ist.
Der Sachverhalt
Eine Gesellschaft hatte ihrer internen Datenschutzbeauftragten ordentlich und aus betriebsbedingten Gründen gekündigt. Die Position der Datenschutzbeauftragten sollte zukünftig extern besetzt werden. Die Datenschutzbeauftragte wehrte sich gegen ihre Kündigung. Nach § 38 Abs. 2 in Verbindung mit § 6 Abs. 4 Satz 2 BDSG könne sie als Datenschutzbeauftragte nur außerordentlich aus wichtigem Grund gekündigt werden. Eine ordentliche, betriebsbedingte Kündigung sei ausgeschlossen. Die deutschen Arbeitsgerichte gaben ihr Recht, die Kündigung sei nach § 134 BGB nichtig. Da die Gesellschaft stets Rechtsmittel einlegte, wurde die Streitigkeit letztlich dem Bundesarbeitsgericht (BAG) zur Entscheidung vorgelegt.
Das BAG war sich mit der Europarechtskonformität der in Frage stehenden Normen unsicher, konkret bezüglich der Vereinbarkeit mit Art. 38 DSGVO. Denn nach nationalem Recht in § 38 Abs. 2 in Verbindung mit § 6 Abs. 4 Satz 2 BDSG ist die Kündigung einer Datenschutzbeauftragten unzulässig, es sei denn Tatsachen lägen vor, die zur Kündigung aus wichtigem Grund ohne Einhaltung einer Kündigungsfrist, also zur außerordentlichen Kündigung, berechtigten. Eine ordentliche Kündigung ist damit ausgeschlossen. Im europäischen Recht in Art. 38 DSGVO hingegen, ist kein besonderer Kündigungsschutz für Datenschutzbeauftragte vorgesehen. Dort ist nur geregelt, dass die Datenschutzbeauftragte nicht wegen der Erfüllung ihrer Aufgaben abberufen werden kann. Somit gewähren die deutschen Normen des BDSG einen höheren Kündigungsschutz als die europäische DSGVO.
Deshalb legte das BAG das Verfahren dem EuGH vor, u.a. mit der Frage, ob das europäische Recht den strengeren deutschen Normen entgegensteht.
Die Entscheidung
Der EuGH entschied, dass die strengeren, deutschen Normen zum Kündigungsschutz mit dem europäischen Recht vereinbar sind. Art. 38 DSGVO steht den Regelungen des BDSG nicht entgegen.
Für seine Begründung verwies der EuGH auf den Wortlaut von Art. 38 DSGVO, das mit Art. 38 DSGVO verfolgte Ziel, eine Unabhängigkeit der Datenschutzbeauftragten zu gewährleisten, sowie den Zweck der DSGVO selbst. Diese solle nämlich nicht den Kündigungsschutz generell regeln.
Der EuGH führt dazu aus, dass: “es jedem Mitgliedstaat freisteht, in Ausübung seiner vorbehaltenen Zuständigkeit besondere, strengere Vorschriften für die arbeitgeberseitige Kündigung eines Datenschutzbeauftragten vorzusehen, sofern diese mit dem Unionsrecht und insbesondere mit den Bestimmungen der DSGVO, vor allem Art. 38 Abs. 3 Satz 2 DSGVO, vereinbar sind.” Insbesondere dürfe “ein strengerer Schutz die Verwirklichung der Ziele der DSGVO nicht beeinträchtigen. Dies wäre aber der Fall, wenn dieser Schutz jede durch einen Verantwortlichen oder einen Auftragsverarbeiter ausgesprochene Kündigung eines Datenschutzbeauftragten verböte, der nicht mehr die für die Erfüllung seiner Aufgaben erforderlichen beruflichen Eigenschaften besitzt oder seine Aufgaben nicht im Einklang mit der DSGVO erfüllt.” Die Verwirklichung der Ziele der DSGVO sah der EuGH hier nicht gefährdet, denn eine Kündigung der Datenschutzbeauftragten ist im deutschen Recht grundsätzlich möglich.
29. Juni 2022
Seit einiger Zeit ist immer wieder die Rede von dem US-Konzern Palantir. Spätestens seitdem das Bayerische Landeskriminalamt (BLKA) im März entschieden hatte, zukünftig eine Analyse-Software des Konzerns zu nutzen, ist der Name wieder vermehrt zu hören gewesen. Dies liegt u.a. daran, dass der Konzern nicht ganz unumstritten ist. Alle wichtigen Informationen rund um den Palantir-Konzern und die fragliche Software präsentieren wir Ihnen hier im Überblick:
Um was für eine Software handelt es sich und wozu wird sie eingesetzt?
Das Analyse-Tool von Palantir beruht auf der Software Gotham. Damit sollen neben polizeilichen, auch andere behördliche Datenbanken abgefragt werden können, z. B. das Waffenregister, Einwohnermeldedaten oder das Ausländerzentralregister. Informationen aus verschiedenen Datenbanken sollen so schneller und effizienter miteinander verknüpft werden.
Wie weit ist die Software verbreitet?
In Hessen („Hessendata“) und Nordrhein-Westfalen („DAR“) ist die Palantir-Software bereits im Einsatz. In Bayern soll sie unter dem Begriff „VeRA“ (Verfahrensübergreifende Recherche und Analyse) starten. Da Bayern einen sogenannten „Rahmenvertrag“ abgeschlossen hat, können weitere Polizeien von Bund und Ländern ohne zusätzliche Vergabeverfahren in den Vertrag miteinsteigen.
Baden-Württemberg, Bremen und Hamburg haben bereits Interesse bekundet. Auch der Bund will sich einen Einsatz überlegen. Dies hätte zur Folge, dass die Bundespolizei und der Zoll mit der Software arbeiten könnten.
Palantir selbst ist international gut aufgestellt und bewirbt sich in Großbritannien gerade für einen fünf-Jahres-Vertrag mit der NHS, dem staatlichen Gesundheitssystem. Für diese soll dann eine Datenbank angelegt werden, in der Gesundheitsdaten gespeichert werden. Teilweise arbeitet Palantir jetzt schon für die NHS. Auch hier äußern sich Kritiker besorgt.
Was ist die Kritik an der Software?
Kritisiert wird zum einen, dass Palantir durch die Software eine bedeutende Stellung im deutschen Markt einnehmen könnte mit der Folge, dass dadurch ein Abhängigkeitsverhältnis des Staates entstehen könnte.
Die meiste Kritik kommt jedoch von der Seite der Datenschützer. Dort wird vor allem kritisiert, dass über die Software enorme Mengen an Datensätzen miteinander verbunden werden, was einen Grundrechtseingriff darstelle. Auch besteht die Befürchtung, dass die durch Palantir erhobenen, sensiblen Daten, in die USA gelangen und dort von den Geheimdiensten abgegriffen werden könnten.
Das Unternehmen Palantir hat in seinem Heimatland, den USA, bereits für Geheimdienste und das Pentagon gearbeitet. Auch dort ist das Unternehmen umstritten. Mitgründer Peter Thiel ist Trump-Supporter, unterstützt rechte Politiker und hat in der Vergangenheit seinen Unmut über Demokratien geäußert. Palantir hat bereits Verträge mit der United States Immigration and Customs Enforcement (ICE), einer Polizei- und Zollbehörde des Ministeriums für Innere Sicherheit, abgeschlossen. In diesem Zusammenhang wurde Palantir vorgeworfen, die ICE habe mithilfe der Software Daten über illegale Einwanderer gesammelt und diese später festgenommen und abgeschoben.
Die jüngste Kritik an der Palantir-Software kommt von der NRW-Datenschutzbeauftragten Bettina Gayk im neuen Jahresbericht. Darin kritisiert sie, dass es für den Einsatz der Software bisher keine gesetzliche Grundlage gebe. Der Gesetzgeber müsse entscheiden, welche Straftaten schwer genug seien, um die Zweckbindung der einzelnen Datenbanken aufzuheben. Denn durch die Software würden auch Daten nicht straffällig gewordener Personen verarbeitet, z.B. die Daten von Anrufern bei der Notrufnummer 110 und von Zeugen.
22. Juni 2022
Diese Woche, am 21.06.2022 entschied der EuGH (Rs. C-817/19), dass Flugunternehmen die personenbezogenen Daten ihrer Reisegäste nicht mehr anlasslos und so umfangreich wie bisher verarbeiten dürfen. Aus Sicht des Gerichtshofs darf sich die Verarbeitung der Fluggastdaten nur noch auf ein absolut notwendiges Maß beschränken.
Der Sachverhalt
Hintergrund der Entscheidung waren rund zehn Vorlagefragen des belgischen Verfassungsgerichtshofs. Diese Fragen legte der Verfassungsgerichtshof dem EuGH im Rahmen eines Verfahrens, dass der gemeinnützige Verein „Ligue des droits humaines“ (Liga für Menschenrechte, LDH) angestrengt hatte, vor. Gegenstand des Vorabentscheidungsverfahrens war ein belgisches Gesetz vom 25.12.2016. Mit diesem Gesetz setzte der belgische Gesetzgeber unter anderem die Richtlinien (EU) 2016/681, die Passanger Name Record-Richtlinie (PNR-Richtlinie) und die Richtlinie 2004/82/EG, die Advance Passanger Information-Richtline (API-Richtlinie) um.
Insbesondere die Bestimmungen der PNR-Richtlinie standen in Frage. Diese verleihen Fluggesellschaften die Befugnis systematisch eine große Anzahl von personenbezogenen Daten ihrer Gäste zu verarbeiten. Zu den überprüfbaren Daten zählen beispielsweise Name, Kontaktdaten, Reiseroute und Zahlungs- sowie Abrechnungsinformationen. Die Befugnis bezieht sich einerseits auf Flüge zwischen Mitgliedstaaten der EU und Drittstaaten bei Ein- und Ausreise und andrerseits auf Flüge zwischen EU-Mitgliedstaaten. Folglich musste der EuGH unter anderem die Frage beantworten, ob das belgische Gesetz Art. 7 und 8 der EU-Grundrechtecharta, die Achtung des Privat- und Familienlebens und das Recht personenbezogener Daten, verletzte.
Ein schwerwiegender Eingriff
Der EuGH stellte zunächst fest, dass ein schwerwiegender Eingriff der PNR-Richtlinie in Art. 7 und 8 EU-Grundrechtecharta existiere.
Allerdings musste der EuGH anschließend bestimmen, ob eine Rechtfertigung für die schwerwiegenden Eingriffe in Art. 7 und 8 EU-Grundrechte bestand. Der Gerichtshof entschied, dass eine Rechtfertigung für die Eingriffe bestehe, wenn die PNR-Richtlinie so ausgelegt werde, dass sie das absolut Notwendige noch erlaube.
Die Grenze ist das absolut Notwendige
Demnach müssen die Mitgliedstaaten Sorge dafür tragen, dass sie die verarbeiteten Fluggastdaten tatsächlich nur für die Bekämpfung schwerer Straftaten und nicht für die Bekämpfung gewöhnlicher Straftaten einsetzten.
Der Gerichtshof äußerte sich ebenfalls dazu, dass aufgrund der PNR-Richtlinie die Flugunternehmen grundsätzlich die personenbezogenen Daten jeglicher Fluggäste verarbeiten können. Für eine rechtskonforme Anwendung der PNR- Richtlinie sei erforderlich, dass es „(…) hinreichend konkrete Umstände für die Annahme gibt, dass [der Mitgliedstaat] mit einer als real und aktuell oder vorhersehbar einzustufenden terroristischen Bedrohung konfrontiert ist.“ (EuGH, Urteil vom 21.06.2022, C-817/19 Rn.171) In diesem Fall wahre der Mitgliedstaat die Grenzen der EU-Grundrechte, wenn er die PNR-Richtlinie zeitlich begrenzt auf Flüge aus oder nach dem betroffenen Staat anwende.
Problematisch sei außerdem, dass eine eigens hierfür eingerichtete nationale Behörde die gesammelten Fluggastdaten anhand einer Vielzahl von Datenbänken überprüfen kann. Es sei sicherzustellen, dass die herangezogenen Datenbänke „(…) Personen, nach denen gefahndet wird oder die Gegenstand einer Ausschreibung sind (…)“ (EuGH, Urteil vom 21.06.2022, C- 817/19, Rn.190) betreffen. Zusätzliche dürfen diese Datenbänke nicht diskriminierend sein und müssen im „(…) objektiven Zusammenhang mit der Beförderung von Fluggästen betrieben werden.“ (EuGH, Urteil vom 21.06.2022, C-817/19, Rn.191)
Weitere Einschränkungen für die PNR-Richtlinie
Der EuGH äußerte sich auch dazu, dass „(…) die automatisierten Analysen der PNR-Daten (…) zwangsläufig mit einer gewissen Fehlerquote behaftet sind (…)“ (EuGH, Urteil vom 21.06.2022, C- 817/19, Rn.106), sodass ein anhand der Daten ermittelter Terrorverdacht in 5 von 6 Fällen nicht bestätigt werden könne. Zur Verringerung müssen die Mitgliedstaaten klare und präzise Kriterien für eine objektive Überprüfung aufstellen. Die zuständigen Stellen der Mitgliedstaaten sollen diese Kriterien befolgen.
Bei einer nachträglichen Überprüfung der Fluggastdaten, d.h. nach Abflug oder Ankunft des Fluggastes könne die Datenverarbeitung nur bei Vorliegen bestimmter objektiver Kriterien erfolgen. Es sei sicherzustellen, dass ein begründeter Verdacht bestehe, dass die betroffene Person an schwerer Kriminalität beteiligt sei. Der kriminelle Akt müsse außerdem einen mittelbaren Zusammenhang mit der Flugreise aufweisen.
Abschließend behandelte der EuGH die lange Speicherdauer der Fluggastdaten von fünf Jahren. Obwohl die Daten nach sechs Monaten unkenntlich zu machen seien, könne der Verwender sie anschließend wieder offenlegen. Er stellte fest, dass die Speicherung von Fluggastdaten, die über sechs Monate hinausgehe das absolut Notwendige überschreite.
13. Juni 2022
Das Landgericht (LG) Essen lehnte mit Urteil vom 23.02.2022 (AZ: 18 O 204/21) einen Auskunftsanspruch aus Art. 15 DSGVO unter anderem wegen Rechtsmissbrauchs ab.
Vorausgegangen war ein Rechtsstreit zwischen einem privatversicherten Mann und seiner Versicherung. Die Versicherung passte den monatlich zu zahlenden Betrag mehrmals einseitig an. Dabei sandte sie jeweils Mitteilungs- und Informationsschreiben an den Mann. Dieser ging davon aus, dass die Anpassungen unwirksam waren und forderte sein Geld zurück. Er gab allerdings an, die Versicherungsunterlagen zur Bezifferung der Ansprüche nicht mehr zu haben. Er erhob Klage und machte sowohl Auskunft bezüglich der Unterlagen, als auch Rückzahlungsansprüche geltend.
Das LG Essen wies die Klage jedoch ab. Auskunftsansprüche seien keine ersichtlich. Der Anspruch aus Art. 15 DSGVO scheitere bereits daran, dass es sich bei dem standardisierten Begründungsschreiben, mit dem der Beitrag erhöht wurde, nicht um personenbezogene Daten handle. Außerdem habe die Beklagte ein Weigerungsrecht aus Art. 12 Abs. 5 Satz 2 lit. b) DSGVO, hier stünde dem Antrag des Klägers der Einwand des Rechtsmissbrauchs entgegen. Der Kläger habe hier kein schützenswertes Eigeninteresse. Denn Sinn und Zweck des in Art. 15 DSGVO normierten Auskunftsrechts sei es, der betroffenen Person problemlos und in angemessenen Abständen zu ermöglichen, sich der Verarbeitung der sie betreffenden personenbezogenen Daten bewusst zu werden und die Rechtmäßigkeit dieser Verarbeitung überprüfen zu können. Dies liegt in diesem Fall nicht vor: “Um ein solches Bewusstwerden zum Zweck einer Überprüfung der datenschutzrechtlichen Zulässigkeit der Verarbeitung personenbezogener Daten geht es dem Kläger nach seinem eigenen Klagevorbringen hingegen nicht. Der Kläger macht keines der vorgenannten Interessen geltend. […] Es geht ihm mithin einzig allein um die Überprüfung etwaiger geldwerter Ansprüche gegen die Beklagte. Eine solche Vorgehensweise ist vom Schutzzweck der DSGVO aber nicht umfasst.”
In einer sehr ähnlichen Sache hatte das Landgericht (LG) Paderborn am 15.12.2021 (AZ: 4 O 275/21) ebenfalls einen Anspruch nach Art. 15 DSGVO verneint. Auch hier verlangte ein Versicherungsnehmer von seiner privaten Krankenversicherung Auskünfte, um nach Beitragserhöhungen eine Rückzahlungsforderung geltend machen zu können. In diesem Fall wertete das Gericht die Beitragsanpassungsschreiben allerdings als personenbezogene Daten. Trotzdem griff Art. 15 DSGVO nicht, denn der Versicherung stand auch hier der Eingriff des Rechtsmissbrauches zu. Das Gericht führte dazu aus, dem Kläger ginge es “ausschließlich darum, sich auf möglichst einfache und bequeme Art gebündelt die Informationen zu beschaffen, die er benötigt, um eine bezifferte Leistungsklage auf Rückzahlung möglicherweise rechtsgrundlos gezahlter Beiträge vorbereiten zu können”.
Auch das Oberlandesgericht (OLG) Nürnberg hatte vor kurzem sein Urteil zu rechtsmissbräuchlichen Auskunftsansprüchen ähnlich begründet.
10. Juni 2022
E-Mail-Dienste wie T-Online dürfen Nutzern kostenfreier Basisversionen nicht mehr ohne Einwilligung Werbung in der Inbox anzeigen. Dies hat der Bundesgerichtshof (BGH) in seinem nun veröffentlichten Urteil vom 13. Januar diesen Jahres entschieden (Az.: I ZR 25/19).
In dem Streit ging es um eine Werbemaßnahme des Stromlieferanten Eprimo aus der Eon-Gruppe. Dieser hatte in Zusammenarbeit mit einer Agentur Werbenachrichten in E-Mail-Postfächer von Nutzern des E-Mail-Dienstes T-Online geschaltet.
Vergleichbar mit Spam-E-Mails
Kennzeichnend für Inbox-Werbung sei, dass sie in der Inbox – also im für private Nachrichten gedachten Bereich – angezeigt wird. Der Zugang zu den eigentlichen E-Mails sei so ähnlich versperrt wie durch Spam-E-Mails. Inbox-Werbung sei bei vielen webbasierten E-Mail-Diensten gängige Praxis.
Der Bundesgerichtshof entschied über den Streit, nachdem er dem Europäischen Gerichtshof (EuGH) einige Fragen zur Interpretation vorgelegt hatte. Der EuGH entschied auf die Vorlage hin im November, dass Zweck der E-Privacy-Richtlinie sei, Nutzer gegen die Verletzung ihrer Privatsphäre durch unerbetene Nachrichten für Zwecke der Direktwerbung zu schützen. Inbox-Werbung behindere den Zugang zu den eigentlichen E-Mails, ähnlich wie Spam. Das Versenden von Werbenachrichten in dieser Form stelle zwar keine E-Mail dar, aus Sicht des Empfängers sei die Werbenachricht von Spam-E-Mails aber kaum zu unterscheiden. Daher solle ein Opt-in zwingend erforderlich sein.
Allgemeine Einwilligung nicht wirksam
Inbox-Werbung ist deshalb künftig nur dann rechtmäßig, wenn der Nutzer zuvor informiert wurde und ausdrücklich in sie eingewilligt hat. Dafür stellen die Karlsruher Richter hohe Anforderungen auf. Es reiche nicht aus, dass der Nutzer eine allgemeine Einwilligung in Werbung erteilt hat, um den Dienst kostenlos nutzen zu können. Der Nutzer müsse vor der Einwilligung vielmehr über die Umstände derartiger Werbung aufgeklärt werden. Insbesondere müsse der Dienst darauf hinweisen, dass Werbenachrichten in der Liste der empfangenen privaten E-Mails angezeigt werden.
Einige E-Mail-Anbieter wie GMX und web.de reagierten unmittelbar auf das Urteil und passten ihre Einwilligungserklärungen an. Hier kann der Nutzer nun auch in Inbox-Werbung einwilligen – oder dies verweigern.
Am 04. Juni letzten Jahres hat die EU-Kommission neue Standardvertragsklauseln für Drittlands-Übermittlungen und zur Auftragsverarbeitung beschlossen. Durch die Neuerungen sollte das Datenschutzniveau des Schrems-II-Urteils und der Europäischen Datenschutzgrundverordnung (DSGVO) sichergestellt werden.
Nun, knapp ein Jahr später, hat die EU-Kommission einen Frage-Antwort-Katalog zu diesen Standardvertragsklauseln veröffentlicht. Dieser wurde auf Basis von Rückmeldungen erstellt und soll die praktische Anwendung der Klauseln erleichtern.
Der Katalog enthält insgesamt 44 Fragen und Antworten zu verschiedenen Unterkategorien, wie z.B. Betroffenenrechte und Änderungen der involvierten Parteien. Der Katalog beantwortet dabei auch grundsätzliche Fragen wie: “Welche Vorteile haben die Standardvertragsklauseln?” und “Kann der Text der Standardvertragsklauseln geändert werden?”. Für einige Fragen werden auch Beispiele angeführt, sodass Sachverhalte anschaulicher werden. Insgesamt ist der Katalog nicht nur für Datenschutzexperten, sondern auch für interessierte Laien gedacht.
Zum jetzigen Zeitpunkt ist der Katalog nur auf Englisch einsehbar. Der Katalog soll dynamisch bleiben und stets um Fragen und Antworten ergänzt werden.
7. Juni 2022
Das Landgericht (LG) Berlin hat am 27.01.2022 (AZ 26 O 177/21) entschieden, dass die bloße Adresse ohne Bezugnahme auf eine Person keinen hinreichenden Personenbezug darstellt.
Die Klägerin machte zuvor Trennungs- und Kindesunterhalt gegen ihren Mann vor dem Amtsgericht (AG) Pankow/Weißensee geltend. Im Rahmen dieses Verfahrens ‚googelte‘ die Richterin die Adresse der Klägerin, um sich einen Überblick über die Wohnverhältnisse zu verschaffen. In einem Beschluss des AG heißt es dann: „[…] bei einer bei Google Maps ersichtlichen Grundfläche des Doppelhauses […]“.
Die Klägerin hatte in die Recherche mittels Google Maps nicht eingewilligt und sah darin eine Rechtsverletzung. Bei ihrer Wohnadresse handele es sich um personenbezogene Daten. Durch die Nutzung des Suchdienstes habe eine Datenübermittlung in die USA und somit in ein Drittland stattgefunden. Sie begehrt Schadensersatz i.H.v. 2.000 EUR und beruft sich auf Art. 82 DSGVO.
Diesen Anspruch wies das LG Berlin nun ab. Einen Verstoß gegen die DSGVO sah das Gericht nicht, sodass ein Schadensersatzanspruch nicht in Betracht käme. Im Ergebnis läge weder eine rechtswidrige Verarbeitung von personenbezogenen Daten nach Art. 5 DSGVO vor, noch eine Übermittlung in ein Drittland nach Art. 44 DSGVO. Dem Gericht fehlte es vor allem an einem Personenbezug i.S.d. Art. 4 DSGVO:
„Personenbezogene Daten“ sind gemäß Art. 4 Nr. 1 DSGVO alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann. In der bloßen Eingabe einer (puren) Adresse ist noch kein personenbezogenes Datum zu erblicken. Denn die bloße Adresse ohne Bezugnahme auf eine Person – sei es durch namentliche Nennung, sei es durch die Bezugnahme auf ein diese Adresse betreffendes Eigentums-, Besitz- oder Mietverhältnis o.ä. – stellt keinen hinreichenden Personenbezug dar.“
Auch sei kein Bezug zwischen Verfahrensbeteiligung/-stellung einer Person und der eingegebenen Adresse hergestellt worden. Vorschriften aus der DSGVO seien also nicht betroffen.
Weiterhin konnte das LG Berlin eine Amtspflichtverletzung der Richterin nicht erkennen. Die Klage wurde vollumfänglich abgewiesen.
Pages: 1 2 3 4 5 6 7 ... 34 35 
