Arbeitgeber sind für die Datenverarbeitung des Betriebsrats verantwortlich

13. Juli 2021

Am 18.06.2021 ist das Betriebsrätemodernisierungsgesetz in Kraft getreten (BGBl. 2021 I S. 1762). In dem neuen § 79a Betriebsverfassungsgesetz (BetrVG) wird das datenschutzrechtliche Verhältnis zwischen Betriebsrat und Arbeitgeber geregelt. Damit endet der lange Streit um die datenschutzrechtliche Frage, ob der Betriebsrat dem Arbeitgeber als datenschutzrechtlich Verantwortlicher zuzuordnen oder als datenschutzrechtlich eigene verantwortliche Stelle einzuordnen ist. § 79a Satz 2 BetrVG stellt nun klar:

„Soweit der Betriebsrat zur Erfüllung der in seiner Zuständigkeit liegenden Aufgaben personenbezogene Daten verarbeitet, ist der Arbeitgeber der für die Verarbeitung Verantwortliche im Sinne der datenschutzrechtlichen Vorschriften.“

Die in § 78a Satz 3 BetrVG normierte, gegenseitige Unterstützungspflicht bei der Einhaltung der datenschutzrechtlichen Vorschriften beruht laut der Gesetzesbegründung auf der datenschutzrechtlichen Verantwortlichkeit des Arbeitgebers einerseits und der innerorganisatorischen Selbständigkeit und Weisungsfreiheit des Betriebsrats andererseits. Der Betriebsrat ist danach zum Beispiel nicht verpflichtet, ein eigenes Verzeichnis von Verarbeitungstätigkeiten (Art. 30 DSGVO) zu führen, allerdings muss das Verarbeitungsverzeichnis des Arbeitgebers auch die Verarbeitungstätigkeiten des Betriebsrats enthalten. Hierfür ist der Arbeitgeber zwingend auf die Unterstützung des Betriebsrats angewiesen. Auch bei der Erfüllung etwaiger Auskunftsansprüche (Art. 15 DSGVO) die sich auf die durch den Betriebsrat verarbeiteten Daten beziehen, ist der Arbeitgeber auf die Unterstützung des Betriebsrats angewiesen.

Gemäß der Gesetzesbegründung muss der Betriebsrat innerhalb seines Zuständigkeitsbereichs auch eigenverantwortlich die Umsetzung technischer und organisatorischer Maßnahmen zur Gewährleistung der Datensicherheit im Sinne der Art. 24 und 32 DSGVO sicherstellen. Hierfür hat der Arbeitgeber den Betriebsrat mit den erforderlichen Sachmitteln, wie etwa geeigneten Sicherungseinrichtungen für Unterlagen mit personenbezogenen Daten, auszustatten.

Auch wenn der neue § 78 BetrVG Unklarheiten bzgl. der Zuständigkeit für die einzuhaltenden Datenschutzmaßnahmen klärt, stehen Unternehmen und Betriebsräte weiterhin vor der Herausforderung diese innerhalb des gesetzlich abgesteckten Rahmens einvernehmlich umzusetzen. Die Festlegung und Umsetzung von entsprechenden Prozessen sind hierfür notwendig. Die Gesetzesbegründung hebt in diesem Zusammenhang auch die mögliche Inanspruchnahme der Beratung des betrieblichen Datenschutzbeauftragten durch den Betriebsrat hervor.

EuGH: Einblick Dritter in das Strafpunkteregister steht DSGVO entgegen

9. Juli 2021

In der Vergangenheit war es in Lettland nicht abwegig, dass Jedermann Einsicht in das Strafpunkteregister über Verstöße im Straßenverkehr nehmen konnte. Die Besonderheit liegt darin, dass der Einblick in das Register nicht nur auf eigene Verstöße beschränkt war. In seinem Urteil vom 22.6.2021, Rechtssache C-439/19 stellt der Europäische Gerichtshof (EuGH) nunmehr den Verstoß gegen die DSGVO durch die hierfür erlassene Erlaubnisnorm fest.

Der vorliegende Fall wurde dem EuGH vom Verfassungsgericht Lettland zur Vorabentscheidung vorgelegt, nachdem sich ein Betroffener gegen das unbeschränkte Einsichtsrecht Dritter vor dem lettischen Verfassungsgericht gewehrt hatte. Das Ziel der Klarstellung war zweckmäßig, da die DSGVO der lettischen Regelung inhaltlich entgegensteht. Nach dem lettischen Straßenverkehrsgesetz war es demnach möglich, Informationen über eingetragene Strafpunkte anderer Personen ohne besonderes Interesse zu einzusehen.

Bei Strafpunkten, die wegen Verkehrsverstößen verhängt werden, handelt es sich um personenbezogene Daten im Sinne der DSGVO. Diese werden ferner als besonders sensible Daten deklariert, da es sich um personenbezogene Daten über strafrechtliche Verurteilungen handelt. Der Zweck die Straßenverkehrssicherheit mit dieser Möglichkeit zu verbessern, sei in diesem Zusammenhang nicht nachgewiesen und damit nicht erforderlich. Strafpunkte der Öffentlichkeit zugänglich zu machen, stelle einen Eingriff in die Achtung des Privatlebens dar.

In Deutschland kann dem Betroffenen nach Art. 15 DSGVO Auskunft über die eigenen Punkte im Fahreignungsregister erteilt werden. Das Urteil des EuGH lässt auf weitere Auswirkungen auf die Veröffentlichung von Informationen über Straftaten oder Ordnungswidrigkeiten schließen.

Kategorien: Allgemein · DSGVO
Schlagwörter: , ,

Public Cloud: Daten aus der Schweiz sollen nach China ausgelagert werden

Die Regierung in Bern vergibt einen Großauftrag für Cloud-Dienste an fünf Unternehmen. Unter anderem an einen chinesischen Anbieter. Der finanzielle Rahmen des gesamten Auftrags beläuft sich auf 110 Millionen Franken.

Cloud-Dienste haben eine wichtige Bedeutung für Privatpersonen, Unternehmen, aber eben auch für staatliche Stellen. Unter Cloud-Computing ist das Auslagern von Daten und Datenverarbeitung an eine externe IT-Infrastruktur zu verstehen. Vor allem aus Kostengründen spricht vieles dafür, in die Cloud zu gehen. Dadurch kann bei den Ausgaben für Hard- und Software gespart werden. Zudem werden die Rechen- und Speicherkapazität nach Bedarf bezahlt.

Kostengründe gaben wohl den Ausschlag

Doch das Auslagern staatlicher Daten an große ausländische Konzerne birgt auch Risiken, weshalb der Großauftrag an vier US-Firmen und einen chinesischen Konzern in der Schweiz auf Kritik stößt. Maßgeblicher Ausschlag war wohl der Preis. Die öffentlich einsehbare Meldung über die Vertragsvergabe gibt Hinweise: Erstens lautete eine der Bedingungen für die Bewerber, dass sie Rechenzentren auf mindestens drei Kontinenten haben und ihre Dienstleistungen einer internationalen Kundschaft zur Verfügung stellen müssen. Und zweitens hatten unter den Zuschlagskriterien die Faktoren Qualität und Preis das größte Gewicht. Kleinere Anbieter aus der Schweiz oder Europa hatten entsprechend wenig Chancen bei dieser Ausschreibung. Der Auftrag unterstreicht die derzeitige Dominanz weniger Cloud-Provider.

Jens Klessmann, der Leiter des Bereichs Digital Public Services am Fraunhofer-Institut für Offene Kommunikationssysteme, hält die Schweizer Entscheidung diesbezüglich für bemerkenswert und aus deutscher Sicht für „etwas Neues“. Jedoch bezeichnet er die US-Anbieter ebenfalls als schwierig, wenn es um Datenschutz geht. Wie sicher Schweizer Daten bei diesen Anbietern letztlich sind, hänge von der Art der Daten und ihrer Form ab, so Jens Klessmann. „Man kann beispielsweise Daten an ein chinesisches Unternehmen weitergeben, die ohnehin öffentlich sind. Und sensiblere Informationen können vorab verschlüsselt werden.“

Die Schweizer Bundesverwaltung hat gleichwohl im vergangenen Dezember ihre Cloud-Strategie veröffentlicht. Darin steht unter anderem, dass „in einem ersten Schritt“ nur solche Informationen in Clouds landen sollen, die nicht als „vertraulich“ oder „geheim“ klassifiziert sind. Laut Strategiepapier liegt es grundsätzlich in der Verantwortung der Schweizer Bundesministerien zu entscheiden, an welchen Stellen sie Cloud-Dienste in Anspruch nehmen wollen. Diese Entscheidung müssen sie „basierend auf einer Risikobeurteilung und Prüfung der Rechtkonformität“ treffen.

Datenschutz-Ausnahme zum Wohl von Kindern

7. Juli 2021

Im Internet kursieren immer mehr Bilder von sexuellem Missbrauch von Kindern. Bis zum 21.12.2020 konnten Online-Anbieter Nachrichten nach Hinweisen auf Kindesmissbrauch filtern, die in Mail- oder Messengerdiensten verschickt wurden. Dies wurde dann an nationale Behörden gemeldet und die entsprechenden Inhalte aus dem Netz entfernt.

Dann trat jedoch ein neuer EU-Kodex für elektronische Kommunikation in Kraft, der dieses Filtern verbietet. Seitdem haben die Online-Anbieter darauf verzichtet, um nicht Gefahr zu laufen, dagegen zu verstoßen. Nun hat das Europaparlament jedoch einer Vereinbarung zugestimmt, die Anbietern das Scannen wieder ermöglicht. Es ist bislang eine Übergangslösung mit einer Frist von drei Jahren.

Einige Datenschützer sind der Ansicht, der Kompromiss greife zu weit in die Vertraulichkeit der Kommunikation ein. Gleichwohl wird diese gefundene Lösung überwiegend als Kompromiss zwischen Datenschutz und Kindeswohl betrachtet. EU-Innenkommissarin Johansson betont die Schutzmechanismen wie menschliche Aufsicht und Überprüfbarkeit. Zudem sei nur das erlaubt worden, was unbedingt nötig sei. Kinderrechtsorganisationen sehen ein Gleichgewicht zwischen Kinderschutz und Datenschutz.

Bundesbehörden sollen ihre Facebook-Seiten löschen

Mit einem Rundschreiben vom 16.06.21 hat der Bundesdatenschutzbeauftragte (BfDI) Ulrich Kelber die obersten Bundesbehörden und die Bundesregierung aufgefordert, ihre Facebook-Fanpages zu löschen.

Das Schreiben knüpft an ein ähnliches, im Mai 2019 verschicktes, Schreiben an. Bereits in diesem wies Kelber darauf hin, dass ein datenschutzkonformer Auftritt bei Facebook nicht möglich sei. Dafür müsste nämlich eine Vereinbarung zur gemeinsamen Verantwortlichkeit der öffentlichen Stellen mit Facebook vorliegen, die den Anforderungen von Art. 26 DSGVO entspräche. Diesbezüglich habe das Presse- und Informationsamt der Bundesregierung (BPA) Facebook kontaktiert. Facebook habe aber vor kurzem nur das öffentlich bekannte „Page Controller Addendum“ zurückgesendet. Dieses regelt die gemeinsame Verantwortung für Daten, die auf den Fanpages erhoben werden.

Dieses Addendum hält Kelber aber für nicht genügend, damit die öffentlichen Stellen ihrer Rechenschaftspflicht aus Art. 5 Abs. 2 DSGVO nachkommen können. Die Rechenschaftspflicht sieht vor, dass die Einhaltung der Grundsätze der DSGVO nachgewiesen werden kann. Insbesondere ein pauschales Verweisen der Nutzer an Facebook, wenn es um die Verarbeitung ihrer Daten im Rahmen einer Fanpage geht, sei dafür nicht ausreichend.

Als Konsequenz verlangt Kelber nun, Facebook-Fanpages von Behörden und der Regierung sollten bis Ende des Jahres gelöscht werden. Sollte dies nicht geschehen, so wolle er die in Art. 58 DSGVO zur Verfügung stehenden Abhilfemaßnahmen gebrauchen. Dies könnten z.B. Verbote oder Löschungsanordnungen sein. Auch weist er die Behörden auf die Vorbildfunktion hin, die sie in Sachen Datenschutz hätten.

Die Bundesregierung teilte mit, sie habe die Einschätzung des Bundesdatenschutzbeauftragten zur Kenntnis genommen und werde diese prüfen. Würde Sie sich dazu entscheiden dem Rat zu folgen, würde sie eine enorme Reichweite einbüßen. Die zentrale Fanpage der Bundesregierung hat auf Facebook 870.000 Fans und über eine Million Abonnenten.

EU Kommission nimmt Angemessenheitsbeschluss zum Vereinigten Königreich an

5. Juli 2021

Die Europäische Kommission hat am 28. Juni 2021 den Angemessenheitsbeschluss im Rahmen der Datenschutzgrundverordnung angenommen. Das Datenschutzniveau in Großbritannien wurde damit von der Kommission als angemessen für europäische Standards anerkannt und personenbezogene Daten können nun trotz Brexit ungehindert aus der Europäischen Union in das Vereinigte Königreich übermittelt werden.

Zur Begründung führte die Kommission aus, dass das Vereinigte Königkreich weiterhin auf den selben Regeln basiert, die galten als es noch Mitglied der EU war. Auch die Grundsätze, Rechte und Pflichten der DSGVO seien vollständig in das seit dem Brexit geltende Rechtssystem übernommen worden.

Im Vorfeld war der Angemessenheitsbeschluss häufig wegen des ungehinderten und unkontrollierten Zugriffs britischer Geheimdienste auf personenbezogene Daten in Kritik geraten. Zudem hatte der Europäische Gerichtshof für Menschenrechte (EGMR) im Mai erst ein Urteil erlassen, indem es die Massenüberwachung durch britische Geheimdienste als Verstoß gegen die Menschenrechte gewertet hatte. Auch dieser Kritik begegnete der Beschluss, indem er dem Vereinigten Königreich in Bezug auf den Zugriff auf personenbezogene Daten starke Garantien zusprach. Ein wichtiges Element des Beschlusses ist daher, dass insbesondere die Geheimdienste bei Datenerhebungen der vorherigen Genehmigung durch ein unabhängiges Rechtsorgan unterliegen. Ebenso, dass alle ergriffenen Maßnahmen notwendig und verhältnismäßig sein müssen.

Neu an dem Angemessenheitsbeschluss ist auch, dass dieser erstmals eine sog. Verfallsklausel („sunset clause“) enthält, durch den die Geltungsdauer des Beschlusses auf vier Jahre begrenzt wird. Während dieser Zeit hat die Kommission angekündigt, dass Datenschutzniveau im Vereinigten Königreich ständig im Blick zu behalten und im Falle von Abweichungen entsprechend einzugreifen. Sollte nach Ablauf der vier Jahre weiterhin ein angemessenes Datenschutzniveu vorliegen, kann der Beschluss auch verlängert werden.

Durch den Angemessenheitsbeschluss hat die Europäische Kommission eine Rechtsgrundlage für Datenübermittlungen in das Vereinigte Königreich für die nächsten vier Jahre geschaffen. Sollte der Beschluss nicht zufrieden stimmen, sind Klagen gegen diesen – ähnlich wie dies mit dem Privacy-Shield im Schrems-II-Urteil geschah – möglich.

Bei Anfangsverdacht einer Zweckentfremdung: Airbnb muss Daten von Vermietern herausgeben

2. Juli 2021

In einer vor kurzem ergangenen Entscheidung des VG Berlins (Urteil vom 23.06.2021, Az. 6 K 90/20) wurde das bekannte Online-Portal Airbnb dazu verurteilt, Behörden Daten von Vermietern herauszugeben, bei denen der Verdacht auf einen Verstoß gegen das Zweckentrfremdungverbot besteht. Ferner entschied das VG Berlin, dass Airbnb sich nicht auf das irische Datenschutzrecht berufen kann.

Der Sachverhalt

Angefangen hatte es mit einem Bescheid des Berliner Bezirksamts Tempelhof-Schöneberg, das Airbnb dazu verpflichten wollte, Namen und Anschriften zahlreicher Anbieter, deren Inserate in online veröffentlichten Listen aufgezählt waren, sowie die genaue Lage der von ihnen angebotenen „Ferienwohnung“ zu übermitteln. Hintergrund des Bescheids ist das Gesetz über das Verbot der Zweckentfremdung von Wohnraum bzw. Zweckentfremdungsverbot-Gesetz (ZwVbG). Aufgrund der ohnehin schon knappen Wohnraumsituation, soll damit verhindert werden, dass vorhandener Wohnraum zu Ferienwohnungen umfunktioniert wird. Das Bezirksamt sah in vielen Fällen einen Verstoß gegen das Zweckentfremdungsverbot und forderte daraus resultierend die entsprechenden Daten von Airbnb an. Das Unternehmen kam dem aber nicht nach, sondern hielt die Norm, auf die sich die Behörde stütze, für verfassungswidrig. Ferner werde von dem in Dublin ansässigen Unternehmen verlangt, gegen irisches Datenschutzrecht zu verstoßen. Dementsprechend wollte Airbnb der Auskunftspflicht der Behörden nicht nachkommen und erhob Klage vor dem VG Berlin.

Die Entscheidung des VG Berlin

Das VG Berlin hat die Klage von Airbnb überwiegend abgewiesen. Die vom Bezirksamt damals geltende Rechtsgrundlage in Form von § 5 Absatz 2 Satz 2 und 3 ZwVbG a.F. hielt das Gericht nicht für verfassungsrechtlich bedenklich. Die Vorschrift greife zwar in das Grundrecht auf informationelle Selbstbestimmung ein, sei jedoch insbesondere verhältnismäßig, hinreichend bestimmt und normenklar. Auch sei die Vorschrift mit dem Unionsrecht vereinbar.

Aus datenschutzrechtlicher Sicht besonders interessant ist aber, dass die zuständige Kammer des VG Berlin entschied, Airbnb könne sich nicht auf irisches Datenschutzrecht berufen. Als Begründung legte die Kammer dar, dass das sogenannte Herkunftslandprinzip hier keine Anwendung finde.

Allerdings ist sich das VG Berlin der grundsätzlichen Bedeutung des Urteils bewusst und hat deshalb die Berufung zum Oberverwaltungsgericht Berlin-Brandenburg zugelassen. Über den weiteren Verfahrensverlauf werden wir Sie natürlich hier im Datenschutzticker informieren.

Beschwerden beim Datenschutzbeauftragten versehentlich gelöscht

29. Juni 2021

Datenschutz-Beschwerden, die zwischen dem 9. und 18. Juni abgegeben wurden, haben den BfDI größtenteils nicht erreicht.

Aufgrund eines technischen Fehlers sind bestimmte Beschwerden beim Bundesdatenschutzbeauftragten unwiderruflich gelöscht worden. Das teilte die Behörde am Montag in Berlin mit. Der Auslöser der Panne war eine Neugestaltung des Internetauftritts des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI).

Meldungen über die Formularseite wurden aufgrund von falschen Server-Einstellungen von den Sicherheitsvorkehrungen der Netze des Bundes als gefährliches Spoofing eingestuft. Beim „Spoofing“ versuchen Angreifer, die eigene Identität zu verschleiern und sich als vertrauenswürdig darzustellen. Anders als bei unerwünschten Werbe-Mails – die in einem herkömmlichen Spam-Ordner landen – werden „Spoofing“-Mails im Netz des Bundes sofort gelöscht.

Laut Mitteilung haben „Eingaben und Beschwerden, die zwischen dem 9. und 18. Juni 2021 über diese Formulare abgegeben wurden, die Behörde größtenteils nicht erreicht und konnten somit auch nicht bearbeitet werden. Betroffene Bürgerinnen und Bürger werden daher gebeten, ihre in diesem Zeitraum abgegebenen Eingaben und Beschwerden noch einmal einzureichen.“ Allerdings hatten „zu keinem Zeitpunkt unberechtigte Dritte Zugriff auf die über die Formulare versandten Informationen. Der BfDI wird den Vorfall auch dafür nutzen, die Prozesse bei der Abnahme von Softwareprojekten zu verbessern“, heißt es in der Mitteilung. Mittlerweile funktionieren die Formulare und wurden wieder online gestellt.

Neue Orientierungshilfe der DSK zur Sicherheit bei der E-Mail-Übermittlung

28. Juni 2021

Die Datenschutzkonferenz (DSK) – das Gremium der unabhängigen deutschen Datenschutzaufsichtsbehörden des Bundes und der Länder – hat kürzlich eine Orientierungshilfe veröffentlicht, welche Maßnahmen zum Schutz personenbezogener Daten bei der Übermittlung per E-Mail vorstellt. Diese richtet sich nicht nur an öffentliche E-Mail-Dienstanbieter, sondern an sämtliche datenschutzrechtlich Verantwortliche sowie Auftragsverarbeiter, die personenbezogene Daten per E-Mail übermitteln. Die Orientierungshilfe behandelt dabei lediglich Risiken in Bezug auf die Vertraulichkeit und Integrität der Daten, also solche Risiken, die sich auf dem Transportweg ergeben. Gegenstand der vorgestellten Maßnahmen sind daher vor allem Verschlüsselungstechniken. Diese sollten jedoch durch Maßnahmen zum Schutz der beteiligten Systeme sowie zur Minimierung, Speicherbegrenzung und Zweckbindung der Verkehrsdaten ergänzt werden.

Inanspruchnahme öffentlicher E-Mail-Dienstanbieter

Nehmen Unternehmen die Dienste öffentlicher E-Mail-Dienstanbieter in Anspruch, sollten diese darauf achten, dass die Dienstanbieter hinreichende Garantien für die Einhaltung der datenschutzrechtlichen Anforderungen bieten können. Dazu gehört auch, dass die Dienstanbieter die Anforderungen der TR 03108-1 des Bundesamtes für Sicherheit und Informationstechnik (BSI) einhalten; dies ist für die Dienstanbieter verpflichtend. Daneben müssen die unternehmenseigenen Systeme und Endgeräte sicher an jene der Dienstanbieter angebunden sein. Sollten sich für die Verarbeitung nach Einschätzung des Verantwortlichen oder Auftragsverarbeiters gesteigerte Risiken ergeben, sind ggf. die zusätzlichen, in der Orientierungshilfe dargestellten Anforderungen einzuhalten.

Gezielter Empfang personenbezogener Daten

Die DSK stellt anschließend zwei Fallgruppen vor, für welche sich zusätzliche Verpflichtungen ergeben können: Einerseits die gezielte Entgegennahme personenbezogener Daten durch E-Mails, andererseits der Versand von E-Mail-Nachrichten. Werden gezielt personenbezogene Daten per E-Mail entgegengenommen, muss der Empfänger einen verschlüsselten Kanal zur Verfügung stellen, mindestens per TLS-Verbindung. Außerdem sollte ein möglichst breites Spektrum an qualifizierten Algorithmen für die Verschlüsselung und Authentifizierung zur Verfügung gestellt und DKIM-Signaturen überprüft werden, um die Authentizität und Integrität der empfangenen Nachrichten sicherzustellen. Bestünde durch den Bruch der Vertraulichkeit ein hohes Risiko für die Betroffenen, muss schließlich sowohl eine qualifizierte Transportverschlüsselung als auch der Empfang von Ende-zu-Ende-verschlüsselten Nachrichten ermöglicht werden. Auch die Signaturen müssen dann qualifiziert überprüft werden.

Versand von E-Mail-Nachrichten

Werden personenbezogene Daten per E-Mail versandt, sollten sich die Verantwortlichen oder Auftragsverarbeiter an der TR 03108-1 des BSI (s.o.) orientieren und eine obligatorische Transportverschlüsselung sicherstellen. Würde der Bruch der Vertraulichkeit ein hohes Risiko für die Betroffenen darstellen, ist grundsätzlich sogar eine Ende-zu-Ende-Verschlüsselung sowie eine qualifizierte Transportverschlüsselung erforderlich. Für Berufsgeheimnisträger können sich zudem besondere Anforderungen ergeben, da bei diesen ein hohes Risiko für die Betroffenen anzunehmen ist. Schließlich muss durch geeignete technische und organisatorische Maßnahmen sichergestellt werden, dass beim Empfänger nur jene Personen von der Nachricht Kenntnis nehmen können, für welche die Nachricht bestimmt ist. Bei hohem Risiko kann etwa eine Ende-zu-Ende-Verschlüsselung mit individueller Adressierung in Betracht kommen.

Anforderungen müssen eingehalten werden

Die Orientierungshilfe enthält außerdem umfangreiche technische Anforderungen an die dargestellten Verschlüsselungs- und Signaturverfahren. Für betroffene Unternehmen gilt es also zu prüfen, ob diese erforderlich sind, und wenn ja, ob die Anforderungen korrekt umgesetzt werden. Wichtig ist die Feststellung, dass die DSK lediglich typische Verarbeitungssituationen berücksichtigen konnte. Ergeben sich bei einem Verantwortlichen oder Auftragsverarbeiter Besonderheiten für die Verarbeitung, etwa aus dem Umfang, den Umständen oder den Zwecken der Übermittlung, muss dies berücksichtigt werden und kann ggf. abweichende Anforderungen notwendig machen. Zudem betont die DSK, dass andere Kommunikationskanäle ausgewählt werden müssen, wenn die dargestellten Anforderungen nicht erfüllt werden können.

Schmerzensgeld aufgrund Weitergabe von Gesundheitsdaten

22. Juni 2021

Die unzulässige Weitergabe von Gesundheitsdaten rechtfertigt ein Schmerzensgeld in Höhe von 10.000 Euro, das entschied das Landgericht Meiningen mit Urteil vom 23.12.2020 (Az. (122) 3 O 363/20.

Sachverhalt

Zwischen den Parteien bestand ein Unfallversicherungsvertrag. Nachdem der Kläger einen Verkerhrsunfall erlitt und dabei schwer verletzt wurde, führten die Parteien ein Verfahren vor dem Landgericht Meiningen, in dem es um die Ansprüche aus dem Unfallversicherungsvertrag ging. Gleichzeitig führte der Kläger auch ein Verfahren gegen die Haftpflichtversicherung des anderen Unfallbeteiligten vor dem Landgericht Erfurt, in welchem es um die Geltendmachung weiterer Schadensersatzansprüche ging. Die Beklagten aus beiden Verfahren wurden dabei durch dieselbe Anwaltskanzlei vertreten.

Im Rahmen des Verfahrens vor dem Landgericht Meiningen holte der Unfallversicherer ein Gutachten zum Gesundheitszustand des Klägers ein. Mit Einverständnis der beklagten Unfallversicherung, aber ohne Einwilligung des Klägers, zitierte die für beide Verfahren zuständige Kanzlei auch im Erfurter Verfahren wörtlich aus dem Gutachten, das den Gesundheitszustand des Klägers bewertete und im Auftrag der Unfallversicherung erstellt wurde.

Darin sah der Kläger einen Vertoß gegen die vertraglichen Pflichten der Unfallversicherung, insbesondere seine Gesundheitsdaten seien besonders schützenswert, auch datenschutzrechtlich. Außerdem könne ein negativer Einfluss auf den Ausgang des Erfurter Prozesses durch das Bekanntwerden des Gutachtens nicht ausgeschlossen werden. Die Beklagte hingegen sah keinen Verstoß gegen datenschutzrechtliche Bestimmungen. Sie war der Auffassung, sie müsse sich eine etwaige Pflichverletzung Dritter, d.h. der Kanzlei, nicht zurechnen lassen. Diese sei eine eigenständige datenverarbeitende Stelle im Sinne der DSGVO.

Entscheidung

Das Gericht gab der Klage teilweise statt und sprach dem Kläger ein Schmerzensgeld in Höhe von 10.000 Euro aufgrund einer Nebenpflichtverletzung aus dem Versicherungsvertrag zu.

Dazu stellte es fest, dass die Beklagte dem Kläger gegenüber gem. § 241 Abs. 2 BGB zur Verschwiegenheit verpflichtet war. Es führte aus, dass sensible Daten des anderen Teils Dritten nicht ohne Weiteres offenbart werden dürften, und zwar auch dann nicht, wenn die Vertraulichkeit nicht spezialgesetzlich oder in Vertragsbedingungen ausdrücklich geregelt sei. Aus dem Versicherungsvertrag ergebe sich die Nebenpflicht, die aus diesem Vertragsverhältnis erlangten Daten nicht an Dritte weiterzugeben. Bei den Gesundheitsdaten handle es sich um sensible Daten, die besonders geschützt seien. Auch eine Rechtfertigung für die Weitergabe der Daten aus Art. 6 Abs. 1 lit. f DSGVO, einem berechtigten Interesse, verneinte das Gericht. Danach, so das Gericht, sei die Verarbeitung, zu der auch die Weitergabe von Daten an Dritte gehört, rechtmäßig, wenn die Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist, sofern nicht die Interessen und Grundrechte der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen.

Das Gericht sah das Recht des Klägers auf Schutz seines Allgemeinen Persönlichkeitsrechts gem. Art. 2 Grundgesetz gegenüber dem Recht der Versicherung, die in Erfurt verklagt worden war, sich im Prozess zu verteidigen, als überwiegend an. Es erkannte keinen zwingenden Grund für die Verwertung des Gutachtens in dem Verfahren in Erfurt. Zudem hätten in dem Erfurter Verfahren auch noch gerichtliche Gutachten eingeholt werden können.

Die Verletzung des Allgemeinen Persönlichkeitsrechts stufte das Gericht auch als besonders schwerwiegend ein, da es sich bei den Gesundheitsdaten um höchstpersönliche Daten der Intimssphäre handelte.

1 3 4 5 6 7 235