Die Debatte um Perioden-Tracker-Apps und einen möglichen Datenhandel – Teil 1 

14. Juli 2022

Nach dem historischen Urteil des US Surpreme Courts vom 24.06.2022, in dem das in den USA ca. 50 Jahre lang bestehende Recht auf Abtreibung gekippt wurde, sind Debatten über sogenannte „Perioden-Tracker-Apps“ in aller Munde. Befürchtet wird, dass die in diesen Apps gespeicherten Gesundheitsdaten direkt an staatliche Institutionen in den USA oder an Datenhändler gelangen könnten. Woraus diese Befürchtungen resultieren, werden wir im Folgenden in zwei Teilen beantworten. 

Im ersten Teil beschäftigen wir uns mit Perioden-Tracker-Apps und der Rechtslage in den USA und in Europa.

Welche Daten erheben solche Apps? 

Die Perioden-Tracker-Apps sind dazu gedacht, dass Menstruierende dort Informationen zu ihrem Zyklus speichern können. So kann u.a. angegeben werden, wann eine Blutung und der Eisprung stattfinden. Auch Daten wie Körpergröße, Gewicht, Temperatur und Sexualkontakte können dort gespeichert werden. Dies soll den Nutzerinnen einen besseren Überblick über ihren Zyklus verschaffen. Solche Apps können auch die fruchtbaren Tage anzeigen, sodass sie bei der Familienplanung hilfreich sein können. 

Welche datenschutzrechtlichen Bedenken gibt es? 

Aus den gespeicherten Daten kann sich u.a. ergeben, dass eine Schwangerschaft nicht länger besteht. Es wird befürchtet, dass diese Daten von Perioden-Tracker-Apps unzureichend vor der Weitergabe an Dritte oder sonstigen Zugriffen geschützt sind. In der Vergangenheit standen solche Apps schon häufiger in der Kritik, ihre Daten nicht ausreichend zu schützen. So hatte eine Perioden-Tracker-App in der Vergangenheit bereits intime Daten an Facebook und Google weitergegeben

Künftig könnten Frauen, die eine Abtreibung vornehmen lassen über die, in solchen Apps verarbeiteten Daten, identifiziert werden. Da Abtreibungen zukünftig in einigen Staaten der USA strafbar sein werden, könnte dies zu Repressalien gegenüber der betroffenen Frau führen. Aber auch Fehlgeburten oder schlicht falsche Daten könnten Frauen zukünftig in Erklärungsnot bringen. Konkret wird befürchtet, dass die Polizei oder behördliche Einrichtungen diese Daten anfordern.  

Wie ist die Rechtslage im Datenschutz? 

In Europa sichert die europäische Datenschutzgrundverordnung (DSGVO) ein bestimmtes Datenschutzniveau. So gibt es beispielsweise Betroffenenrechte, die u.a. ein Recht auf Löschung von Daten gewähren. Die USA haben bisher kein bundeseinheitliches Datenschutzgesetz, ein Entwurf liegt aber mittlerweile vor. Momentan gibt es nur einzelne Regeln für bestimmte Bereiche, z.B. für Verbraucher. Spezielle Datenschutzgesetze gibt es z.B. in den Staaten Kalifornien und Virginia. In Kalifornien gibt es den Privacy Act (CCPA), der Betroffenenrechte gewährt, die der DSGVO ähnlich sind. Die meisten Bundesstaaten aber haben keinen speziellen Datenschutz. Dementsprechend haben die meisten US-Amerikaner vergleichsweise wenig Rechte über ihre Daten. 

Der zweite Teil dieses Beitrags erscheint nächste Woche und thematisiert das Problem des Datenhandels sowie die Frage, welche Konsequenzen sich für europäische Nutzerinnen von Perioden-Tracking-Apps ergeben.

Die Urlaubsverwaltung im Unternehmen datenschutzkonform gestalten

Gerade in den Sommermonaten greifen viele Unternehmen auf (digitale) Urlaubskalender zurück, um Mitarbeiterurlaube zu planen. Doch was sollte beachtet werden, damit die Urlaubsverwaltung und entsprechende Kalender datenschutzkonform verwendet werden?

Der Europäische Datenschutzbeauftragte zu der Urlaubsverwaltung

Der Europäische Datenschutzbeauftragte (EDSB) weist darauf hin, auch bzgl. der Urlaubsverwaltung innerhalb der eigenen Organe und Einrichtungen, dass die Verwaltung von Mitarbeiterurlauben häufig die Verarbeitung gesundheitsbezogener Daten erfordert. Ärztliche Bescheinigungen und andere Belege, die für die Genehmigung von Sonderurlauben benötigt werden, gehören der Kategorie sensibler Daten gem. der DSGVO an und unterliegen daher einem erhöhten Schutzniveau. Folglich sei es besonders wichtig, die Qualität und Sicherheit der Daten sowie die Betroffenenrechte und andere Pflichten unter der DSGVO zu gewährleisten.

Die Anforderungen der DSGVO an Urlaubskalender

Für die rechtskonforme Verarbeitung personenbezogener Daten wird zunächst eine der Rechtsgrundlagen aus Art. 6 DSGVO benötigt. Das Anlegen eines Urlaubskalenders ermöglicht es dem Arbeitgeber, seiner Pflicht zur Erfüllung von Urlaubsansprüchen gegenüber seinen Arbeitnehmern gemäß § 1 BUrlG nachzukommen. Damit ist die Verarbeitung erforderlich für die Erfüllung einer rechtlichen Verpflichtung und somit nach Art. 6 Abs. 1 lit. c DSGVO rechtmäßig.  Zudem darf die Verarbeitung nur zweckgebunden stattfinden. Die betriebliche Urlaubsplanung stellt hier einen hinreichend bestimmten Zweck dar. Darüber hinaus fordert der Grundsatz der Datenminimierung, dass nur Daten verarbeitet werden, die für die Urlaubsplanung absolut erforderlich sind. Dem Prinzip der Vertraulichkeit zu Folge, muss ebenfalls eine angemessene Sicherheit der Daten durch geeignete technische und organisatorische Maßnahmen gewährleistet werden. Hier empfiehlt der EDSB, ärztliche Bescheinigungen und andere medizinische Daten, wenn möglich, vom ärztlichen Dienst oder Betriebsarzt bearbeiten zu lassen und nicht von der Personalabteilung. Personalmitarbeiter, die Urlaubsantragsverfahren bearbeiten, sollten zudem diesbezüglich zur Vertraulichkeit verpflichtet werden. Zudem müssen Mitarbeiter ausreichend über die Verarbeitung und Ihre Betroffenenrechte informiert werden. Daten sollten nicht länger als erforderlich gespeichert werden.

Urlaubskalender, zugänglich für alle?

Problematisch wird es, wenn die Urlaubskalender für alle Mitarbeiter einsehbar sind. Die Urlaubsverwaltung erfordert normalerweise nicht, dass Mitarbeiter die Urlaubstage ihrer Kollegen einsehen können. Ein solcher Zugriff, sofern nicht zwingend erforderlich, verstößt gegen den Grundsatz der Vertraulichkeit der Daten und ist somit nicht mehr auf die ursprüngliche Rechtsgrundlage der Verarbeitung zu stützen. Denkbar wäre es, einzelne Einwilligungen der Mitarbeiter in die Veröffentlichung ihrer Urlaubstage einzuholen. Jedoch muss eine solche Einwilligung die Ansprüche an die Freiwilligkeit gemäß Art. 4 Abs. 11 DSGVO i.V.m. § 26 Abs. 2 S. 2 BDSG erfüllen. Demnach ist eine Einwilligung eines Mitarbeiters insbesondere dann freiwillig, wenn dadurch für ihn ein Vorteil erreicht wird oder Arbeitnehmer und Arbeitgeber gleichgelagerte Interessen verfolgen. Hier merkt der ESDA an, dass aufgrund des Ungleichgewichts der Macht zwischen Arbeitnehmer und Arbeitgeber eine solche Freiwilligkeit im Arbeitsverhältnis zumeist nicht erfüllt ist. Folglich sollte, wenn möglich, davon abgesehen werden, Urlaubskalender allen Mitarbeitern zugänglich zu machen.

Italienische Datenschutzbehörde zum Einsatz von Google Analytics

7. Juli 2022

Die italienische Datenschutzbehörde Garante stellte in einer Entscheidung fest, dass die Verwendung des Analysetools Google Analytics nur möglich sei, wenn weitere Maßnahmen zur Einhaltung des Schutzniveaus bei einer Datenübermittlung ergriffen werden.

Bereits zuvor hatten andere europäische Datenschutzbehörden, so die französische Datenschutzbehörde (CNIL) – wir berichteten – und die österreichische Datenschutzbehörde (DSB) den Einsatz von Google Analytics auf Webseiten untersagt.

Der Sachverhalt

Hintergrund der Entscheidung durch Garante war eine Beschwerde gegen ein italienisches Unternehmen, dass auf seiner Webseite Google Analytics zur Erstellung von Nutzerstatistiken einsetzte. Konkret wehrte die betroffene Person sich dagegen, dass mit Verwendung von Google Analytics ihre personenbezogenen Daten in die USA übermittelt werden, ohne dass, aus Sicht des Betroffenen der Webseitenbetreiber geeignete Garantien im Sinne des Kapitel V DSGVO vorsah.

IP-Adresse: personenbezogenes Datum

Garante wies zunächst darauf hin, dass die IP-Adresse des benutzten Gerätes ein personenbezogenes Datum sei. Insbesondere sei zu beachten, dass Google beim Besuch der Webseite das Google-Konto des Nutzers mit der IP-Adresse verknüpfe. Dies führe dazu, dass weitere personenbezogenen Daten, wie beispielsweise der Name oder die E-Mail-Adresse mit der IP-Adresse in Verbindung gebracht werden. Demnach ist die betroffene Person als Nutzer identifizierbar.

Allerdings stelle Google Analytics den Webseiten-Betreibern eine „IP-Anonymisierung“ zur Verfügung. Vor Übermittlung in die USA verkürze der Service von Google Analytics die IP-Adresse der Nutzer. Problematisch daran sei, so Garante, dass lediglich eine Pseudonymisierung stattfinde. Trotz Verkürzung der IP-Adresse sei der Nutzer aufgrund der weiteren Daten identifizierbar.

Weitere Maßnahmen erforderlich

Es stellte sich die Frage, ob Google als Datenimporteur bei Übermittlung personenbezogener Daten seinen Verpflichtungen nach den Standardvertragsklauseln nachkommen könne. Aus Sicht von Garante hindern die US-amerikanischen Rechtsvorschriften Google bei Erfüllung dieser Verpflichtungen. Google Analytics müsse grundsätzlich weitere technische und organisatorische Maßnahmen ergreifen. Bereits vorgesehene Verschlüsselungsmechanismen reichten nicht aus. Die Verwendung Google Analytics sei nur bei Ergreifen weiterer Maßnahmen rechtmäßig. Eine Stellungnahme der deutschen Datenschutzbehörde zur Verwendung von Google Analytics bleibt abzuwarten.

OVG Münster: Postanschrift für einen Auskunftsantrag nach dem IFG nicht benötigt

6. Juli 2022

Das Oberverwaltungsgericht (OVG) Münster entschied in seinem Urteil vom 15 Juni 2022 (16 A 857/21), dass das Bundesministerium des Innern und für Heimat (BMI) nicht die Postanschrift des Antragstellers, der einen Auskunftsantrag nach dem Informationsschutzgesetz (IFG) stellt, erheben dürfe. Das Urteil wurde noch nicht veröffentlicht, aber das OVG gab eine entsprechende Pressemitteilung ab.

Der Rechtsstreit

Über die Internetplattform fragdenstaat.de stellte ein Bürger einen Auskunftsantrag an das BMI. Die Plattform ermöglicht es Bürgern, Anträge auf Zugang zu amtlichen Informationen zu stellen. Antworten der Behörden sind öffentlich für jeden online einsehbar und Antragssteller werden über deren Eingang per E-Mail benachrichtigt. Das Ministerium forderte die Postadresse des Antragstellers an, um die Entscheidung zu übermitteln. Die Erforderlichkeit dafür ergebe sich aus §41 Abs. 1 Satz 1 VwVfG. Demnach ist ein Verwaltungsakt demjenigen gegenüber bekannt zu geben, für den er bestimmt ist. Der Antragsteller sah in der Erhebung seiner Postanschrift jedoch eine rechtswidrige Verarbeitung personenbezogener Daten. Es fehle eine einschlägige Rechtsgrundlage nach Art. 6 DSGVO.

Vorerst verwarnte der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) das BMI. Zwar stelle die zu übermittelnde Entscheidung des BMIs einen Verwaltungsakt dar, jedoch könne dieser auch unmissverständlich an den Antragsteller über fragdenstaat.de bekannt gegeben werden.

VG Köln: Erhebung der Postanschrift zulässig

Im Anschluss erhob das BMI Klage gegen den BfDI. In seinem Urteil vom 18.03.2021 (13 K 1190/20) entschied das Verwaltungsgericht Köln die Verwarnung aufzuheben. Die Verarbeitung der Postanschrift sei nach Art. 6 Abs. 1 lit e) DSGVO i.V.m. §3 BDSG gerechtfertigt. Demnach muss die Verarbeitung erforderlich für die Wahrnehmung einer Aufgabe im öffentlichen Interesse oder in Ausübung öffentlicher Gewalt sein. Solch eine Aufgabe fand das Gericht in der o.g. Pflicht, einen Verwaltungsakt direkt an den betroffenen Adressaten zu übermitteln. Die Erhebung der Postadresse sei geeignet, um diese Bekanntgabe sicherzustellen. Des Weiteren sei eine Bekanntgabe über die Internetplattform nicht ausreichend, da diese lediglich über den Eingang des Schreibens informiere, dieses aber nicht an die hinterlegte E-Mail-Adresse weiterleite. Zudem könne der Antragssteller seinen Nutzeraccount jederzeit deaktivieren.

Aufhebung des Urteils des VG Köln

Der BfDI legte Berufung ein, welche vor dem OVG Münster Erfolg hatte. Dieses entschied, dass die Erhebung der Postanschrift nicht erforderlich sei: „Weder aus den maßgeblichen Vorschriften des IFG noch aus den Grundsätzen des Allgemeinen Verwaltungsrecht geht hervor, dass ein Antrag nach dem IFG stets die Angabe einer Postanschrift erfordert. Anhaltspunkte dafür, dass eine Datenerhebung im vorliegenden Einzelfall erforderlich war, liegen ebenfalls nicht vor.“ Hiermit verteidigt das Gericht den Grundsatz der Datenminimierung. Bürger können weiterhin die komplette Bearbeitung eines Auskunftsantrags über fragdenstaat.de fordern. Das OVG hat die Revision zum Bundesverwaltungsgericht zugelassen.

EuGH urteilt zum Kündigungsschutz der Datenschutzbeauftragten

5. Juli 2022

Mit Urteil vom 22.06.2022 (C‑534/20) hat der Europäische Gerichtshof (EuGH) entschieden, dass der deutsche Sonderkündigungsschutz von Datenschutzbeauftragten aus § 38 Abs. 1 und 2 in Verbindung mit § 6 Abs. 4 Satz 2 Bundesdatenschutzgesetz (BDSG) europarechtskonform ist.

Der Sachverhalt

Eine Gesellschaft hatte ihrer internen Datenschutzbeauftragten ordentlich und aus betriebsbedingten Gründen gekündigt. Die Position der Datenschutzbeauftragten sollte zukünftig extern besetzt werden. Die Datenschutzbeauftragte wehrte sich gegen ihre Kündigung. Nach § 38 Abs. 2 in Verbindung mit § 6 Abs. 4 Satz 2 BDSG könne sie als Datenschutzbeauftragte nur außerordentlich aus wichtigem Grund gekündigt werden. Eine ordentliche, betriebsbedingte Kündigung sei ausgeschlossen. Die deutschen Arbeitsgerichte gaben ihr Recht, die Kündigung sei nach § 134 BGB nichtig. Da die Gesellschaft stets Rechtsmittel einlegte, wurde die Streitigkeit letztlich dem Bundesarbeitsgericht (BAG) zur Entscheidung vorgelegt.

Das BAG war sich mit der Europarechtskonformität der in Frage stehenden Normen unsicher, konkret bezüglich der Vereinbarkeit mit Art. 38 DSGVO. Denn nach nationalem Recht in § 38 Abs. 2 in Verbindung mit § 6 Abs. 4 Satz 2 BDSG ist die Kündigung einer Datenschutzbeauftragten unzulässig, es sei denn Tatsachen lägen vor, die zur Kündigung aus wichtigem Grund ohne Einhaltung einer Kündigungsfrist, also zur außerordentlichen Kündigung, berechtigten. Eine ordentliche Kündigung ist damit ausgeschlossen. Im europäischen Recht in Art. 38 DSGVO hingegen, ist kein besonderer Kündigungsschutz für Datenschutzbeauftragte vorgesehen. Dort ist nur geregelt, dass die Datenschutzbeauftragte nicht wegen der Erfüllung ihrer Aufgaben abberufen werden kann. Somit gewähren die deutschen Normen des BDSG einen höheren Kündigungsschutz als die europäische DSGVO.

Deshalb legte das BAG das Verfahren dem EuGH vor, u.a. mit der Frage, ob das europäische Recht den strengeren deutschen Normen entgegensteht.

Die Entscheidung

Der EuGH entschied, dass die strengeren, deutschen Normen zum Kündigungsschutz mit dem europäischen Recht vereinbar sind. Art. 38 DSGVO steht den Regelungen des BDSG nicht entgegen.

Für seine Begründung verwies der EuGH auf den Wortlaut von Art. 38 DSGVO, das mit Art. 38 DSGVO verfolgte Ziel, eine Unabhängigkeit der Datenschutzbeauftragten zu gewährleisten, sowie den Zweck der DSGVO selbst. Diese solle nämlich nicht den Kündigungsschutz generell regeln.

Der EuGH führt dazu aus, dass: „es jedem Mitgliedstaat freisteht, in Ausübung seiner vorbehaltenen Zuständigkeit besondere, strengere Vorschriften für die arbeitgeberseitige Kündigung eines Datenschutzbeauftragten vorzusehen, sofern diese mit dem Unionsrecht und insbesondere mit den Bestimmungen der DSGVO, vor allem Art. 38 Abs. 3 Satz 2 DSGVO, vereinbar sind.“ Insbesondere dürfe „ein strengerer Schutz die Verwirklichung der Ziele der DSGVO nicht beeinträchtigen. Dies wäre aber der Fall, wenn dieser Schutz jede durch einen Verantwortlichen oder einen Auftragsverarbeiter ausgesprochene Kündigung eines Datenschutzbeauftragten verböte, der nicht mehr die für die Erfüllung seiner Aufgaben erforderlichen beruflichen Eigenschaften besitzt oder seine Aufgaben nicht im Einklang mit der DSGVO erfüllt.“ Die Verwirklichung der Ziele der DSGVO sah der EuGH hier nicht gefährdet, denn eine Kündigung der Datenschutzbeauftragten ist im deutschen Recht grundsätzlich möglich.

Lassen sich künstliche Intelligenz (KI) und die DSGVO miteinander vereinbaren?

30. Juni 2022

Was ist KI im rechtlichen Sinne ?

Bisher gibt es keine allgemeine anerkannte Definition für KI. Die Bundesregierung versteht unter KI „ein Teilgebiet der Informatik, welches sich mit der Erforschung von Mechanismen des intelligenten menschlichen Verhaltens befasst. Dabei geht es darum, technische Systeme so zu konzipieren, dass sie Probleme eigenständig bearbeiten und sich dabei selbst auf veränderte Bedingungen einstellen können“ (BT-Drs. 19/1982, S. 2). Ähnlich wird dies von der EU-Kommission gesehen. Danach bezeichnet KI „Systeme mit einem ,intelligenten‘ Verhalten, die ihre Umgebung analysieren und mit einem gewissen Grad an Autonomie handeln, um bestimmte Ziele zu erreichen“ (COM(2018) 237, S. 1). 

Die DSGVO spricht an keiner Stelle ausdrücklich von KI,  jedoch ist Erwägungsgrund 15 DSGVO zu entnehmen, dass der Schutz natürlicher Personen technologieneutral und unabhängig von einer verwendeten Technologie sein soll. KI-Systeme als Technologie sind für deren Funktionieren auf die zugeführten Daten angewiesen. Die DSGVO ist einschlägig, sobald diese Daten personenbezogen sind. Von datenschutzrechtlicher Bedeutung ist demnach die Verarbeitung personenbezogener Daten zum Zweck des Trainings und der Erzeugung einer KI-Anwendung. Daneben ist die Anwendung einer bereits trainierten KI auf einen gewissen Sachverhalt relevant. Die KI könne dabei helfen, einige der größten Herausforderungen besser zu bewältigen, dabei müsse aber immer sichergestellt sein, dass Persönlichkeitsrechte, das Recht auf informationelle Selbstbestimmung und andere Grundrechte nicht verletzt würden.

Verarbeitungen personenbezogener Daten durch die KI müssen auf jeden Fall den in Art. 5 Abs. 1 DSGVO entsprechenden Datenschutzgrundprinzipien entsprechen, und somit insbesondere einen legitimen Zweck verfolgen, außerdem auf einer Rechtsgrundlage beruhen und zudem transparent ausgestaltet sein.

Ist bei der Anwendung von künstlicher Intelligenz eine Datenschutz-Folgenabschätzung notwendig?

Die Datenschutz-Folgenabschätzung (DSFA) gem. Art. 35 DSGVO ist die Prüfung einer oder mehrerer Verarbeitungstätigkeiten, die einer Risikoanalyse unterzogen werden. Die DSFA ist also ein zentrales Instrument, welches seinen Zweck darin hat, zu prüfen, ob der Einsatz von KI für eine Verarbeitungstätigkeit auch geeignet ist.

Vorab muss jedoch eine Erforderlichkeitsprüfung gem. Art. 35 Abs. 1 S. 1 DSGVO durchgeführt werden. Es geht darum, ob eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, auf Grund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für Rechte und Freiheiten natürlicher Personen zur Folge hat. Weitere Anhaltspunkte ergeben sich zudem aus Erwägungsgrund 91 S. 1 DSGVO, wonach bei Verarbeitungsvorgängen von großen Mengen personenbezogener Daten ein Bedürfnis nach einer DSFA besteht.

Wird KI auf Grundlage personenbezogener Daten angewendet, ist damit in der Regel eine DSFA durchzuführen. Dafür spricht auch das Regelbeispiel in Art. 35 Abs. 3 lit. a DSGVO, das u.a. Profiling, welches häufig mit KI-bedienten Tools ausgeführt wird, nennt. Ist kein Regelbeispiel einschlägig, ist die Liste der Verarbeitungstätigkeiten, für die eine DSFA durchzuführen ist (vgl. Art. 35 Abs. 4 S. 1 DSGVO), der Aufsichtsbehörden vom 18.7.2018 zu berücksichtigen. In Nr. 11 und Nr. 13 der Liste wird der Einsatz von KI und Algorithmen genannt. Außerdem können die in den Leitlinien der Art. 29-Datenschutzgruppe aufgestellten Kriterien zur Erforderlichkeit der DSFA führen. Im Falle einer KI-Anwendung werden wohl nicht selten alle Kriterien erfüllt sein. Bleibt die Frage nach einer verpflichtenden DSFA offen, sollte eine Durchführung dennoch in Erwägung gezogen werden, da Verantwortliche von einer begleitenden DSFA immer profitieren.

Mit einer sorgfältig durchgeführten DSFA können KI-Anwendungen aus ganz unterschiedlichen Einsatzfeldern über den gesamten Entwicklungsprozess datenschutzrechtlich sicher ausgestaltet werden.

LAG Schleswig-Holstein zur Auslegung und Höhe des Schadensersatzanspruchs nach Art. 82 Abs. 1 DSGVO

Das Landesarbeitsgericht Schleswig-Holstein wies in seinem Beschluss vom 01.06.2022 (6 Ta 49/22) eine Beschwerde gegen die teilweise Versagung von Prozesskostenhilfe zurück, da es der Auffassung war, das Arbeitsgericht habe im vorangegangenen Verfahren das Schmerzensgeld in angemessener Höhe festgesetzt und der Fall sei nicht vergleichbar mit anderen Fällen, in denen ein wesentlich höheres Schmerzensgeld festgesetzt worden war.

Sachverhalt

In der Hauptsache verlangte die Klägerin nach Beendigung ihres Arbeitsverhältnisses mit der Beklagten von dieser unter anderem Zahlung von 6.000 Euro Schmerzensgeld sowie das Unterlassen der Nutzung eines Werbevideos. Während ihrer Beschäftigung bei der Beklagten hatte die Klägerin der Teilnahme an dem Video mündlich zugestimmt. Die Beklagte hatte die Klägerin dabei vorab jedoch nicht über den Zweck der Datenverarbeitung und auch nicht über ihr Widerrufsrecht bezüglich der Einwilligung in Textform informiert. Anschließend hatte die Beklagte das Video im Internet auf der Plattform „YouTube“ veröffentlicht.

Noch vor der Güteverhandlung nahm die Beklagte das Video von der Plattform und die Parteien schlossen dahingehend einen verfahrensbeendenden Vergleich. Der Prozesskostenhilfeantrag der Klägerin wurde bewilligt, jedoch für ihren Antrag auf Zahlung von Schmerzensgeld nur bis zu einer Höhe von 2.000 Euro. Hiergegen wendete sich die Klägerin mit sofortiger Beschwerde und rügte, das Arbeitsgericht habe nicht ausreichend berücksichtigt, dass das Arbeitsgericht Münster in seinem Urteil vom 25.03.2021 (3 Ca 391/20) in einem vergleichbaren Fall ein wesentlich höheres Schmerzensgeld festgesetzt habe.

Entscheidung des Gerichts

Unter Bezugnahme auf eine Entscheidung des BAG vom 26.08.2021 (8 AZR 253/20, Rn. 33) nahm das LAG Schleswig-Holstein einen Schadensersatzanspruch der Klägerin gem. Art. 82 Abs. 1 DSGVO wegen eines immateriellen Schadens allein aufgrund der Verletzung der DSGVO an. „Der Rechtsanspruch auf immateriellen Schadensersatz nach Art. 82 Abs. 1 DSGVO erfordert über die Verletzung der DSGVO hinaus nicht zusätzlich, dass die verletzte Person einen (weiteren) von ihr erlittenen immateriellen Schaden darlegt. Bereits die Verletzung der DSGVO selbst führt zu einem auszugleichenden immateriellen Schaden.“ (LAG Schleswig-Holstein, Beschluss vom 01.06.2022, 6 Ta 49/22, Rn. 14). Einhergehend mit der Rechtsprechung des Europäischen Gerichtshofs (EuGH) wurde der Begriff des Schadens weit und auf eine Weise ausgelegt, die den Zielen der Verordnung in vollem Umfang entspricht. „Angesichts dessen geht die Beschwerdekammer davon aus, dass Art. 82 Abs. 1 DSGVO neben seiner Ausgleichsfunktion auch spezial- bzw. generalpräventiven Charakter hat und dies bei der Bemessung der Höhe des zu ersetzenden immateriellen Schadens zu Lasten des Verantwortlichen zu berücksichtigen ist. Verstöße müssen nämlich effektiv sanktioniert werden. Der Schadensersatz bei Datenschutzverstößen soll eine abschreckende Wirkung haben, um der Datenschutzgrundverordnung zum Durchbruch zu verhelfen (effet utile).“ (LAG Schleswig-Holstein, Beschluss vom 01.06.2022, 6 Ta 49/22, Rn. 15).

Das LAG hielt die Obergrenze in diesem Fall in Höhe von 2.000 Euro für einen Schadensersatz unter Berücksichtigung und Abwägung aller Umstände für angemessen. Die Beeinträchtigung des Rechts der Klägerin am eigenen Bild sei nicht schwerwiegend gewesen. Die Aufnahmen hätten auch nicht erkennbar die Intimsphäre der Klägerin berührt oder sie diskriminiert. Zudem habe die Beklagte das Video nach der Aufforderung umgehend aus dem Netz genommen. Ein höheres Schmerzensgeld zur Erstattung des immateriellen Schadens aufgrund des Verstoßes der Beklagten gegen die Vorschriften der DSGVO sei nicht zu rechtfertigen.

Auch der Vergleich mit anderen Urteilen zeige die Angemessenheit auf. Richtig sei, dass bei der Festlegung der Höhe eines zuzuerkennenden Schmerzensgeldes auf eine angemessene Relation der Anspruchshöhe zu in anderen vergleichbaren Fällen ausgeurteilten Entschädigungsbeträgen zu achten sei. Bei vergleichbaren Verstößen gegen das Persönlichkeitsrecht des Arbeitnehmers hätten andere Arbeitsgerichte sogar niedrigere Summen für angemessen gehalten. Das Urteil des Arbeitsgerichts Münster sei jedoch nicht vergleichbar und läge in wesentlichen Punkten anders. Insbesondere sei die dortige Verwendung der Aufnahmen nach Ansicht des Arbeitsgerichts diskriminierend gewesen.

Mit der Annahme eines weiten Schadensbegriffs zeigt dieser Beschluss erneut auf, dass die Gerichte hinsichtlich der Auslegung des Art. 82 Abs. 1 DSGVO eine weitestgehend einheitliche und arbeitnehmerfreundliche Auffassung vertreten. Allein aufgrund des Verstoßes gegen eine Pflicht aus der DSGVO entstehen den Betroffenen immaterielle Schäden, welche einen Schadensersatzanspruch auslösen können. Bezüglich der Höhe ist auf den Einzelfall abzustellen.

Europol: neue Verordnung sorgt für Kritik

29. Juni 2022

Am Montag dieser Woche wurde die neue Europol-Verordnung 2022/991 im Amtsblatt der Europäischen Union bekannt gegeben. Damit ändern die Europäische Kommission, der Rat und das Europäisches Parlament nach rund sechs Jahren die bisherige Europol-Verordnung 2016/794 ab.  

Reaktionen auf die Neuerungen folgten prompt. Der europäische Datenschutzbeauftragte Wojciech Wiewiórowski kritisierte in einer offiziellen Erklärung die Änderungen scharf. Insbesondere wies er darauf hin, dass die neue Verordnung das Grundrecht auf Privatsphäre schwäche.

Gesetzliche Änderungen

Mit der neuen Verordnungen erhält Europol mehr Befugnisse hinsichtlich der Verarbeitung personenbezogener Daten. Gem. ErwG 22 Verordnung 2022/991 sollen die nationalen Ermittlungsbehörden Europol „umfangreiche und komplexe Datensätze“ zur Verfügung stellen, sodass Europol diese analysieren kann. Auf diese Weise soll Europol grenzüberschreitende Verbindungen zwischen Straftaten in Mitgliedstaaten und außerhalb der Union aufdecken können. Daran kritisiert der Europäische Datenschutzbeauftragte die gleiche Behandlung der Daten von Personen, bei denen keine Verbindung zu kriminellen Aktivitäten bestehen mit Daten von Personen, die eine Verbindung zu kriminellen Tätigkeit haben.

Außerdem regelt die neue Europol-Verordnung, dass der Verwaltungsrat der Strafverfolgungsbehörde einen Grundrechtsbeauftragten bestimmt. Es ist aber fraglich, ob die Person, die dieses Amt künftig ausüben wird, die Befugnisse Europols, die hinsichtlich der Verarbeitung personenbezogener Daten bestehen, effektiv kontrollieren kann. Dies ist fraglich, da Europol nicht an die Weisungen des Grundrechtsbeauftragten gebunden ist. Aus Sicht des Europäischen Datenschutzbeauftragten fehle es demnach an der „(…) wirksame[n] Überwachung der neuen Befugnisse (…)“ der Europol.

Zusätzlich hinterfragte der Europäische Datenschutzbeauftragte kritisch, dass Europol es unterlassen hatte mehrere Petabyte an Datensätzen zu löschen (wir berichteten). Dazu hatte der Europäische Datenschutzbeauftragte die Strafverfolgungsbehörde bereits Anfang diesen Jahres erfolglos aufgefordert. Mit der neuen Verordnungen können die Mitgliedstaaten Europol rückwirkend dazu ermächtigen Datensätze zu verarbeiten, die sie hätten bereits löschen müssen.

Wiewiórowski fordert abschließend in seiner Erklärung, dass Europol spezifische Garantien zum Schutz personenbezogener Daten vorlegen solle. Mit diesen sollen die Auswirkungen von Eingriffen in die Privatsphäre der betroffenen Personen begrenzt werden.

Überblick zur umstrittenen Palantir-Software

Seit einiger Zeit ist immer wieder die Rede von dem US-Konzern Palantir. Spätestens seitdem das Bayerische Landeskriminalamt (BLKA) im März entschieden hatte, zukünftig eine Analyse-Software des Konzerns zu nutzen, ist der Name wieder vermehrt zu hören gewesen. Dies liegt u.a. daran, dass der Konzern nicht ganz unumstritten ist. Alle wichtigen Informationen rund um den Palantir-Konzern und die fragliche Software präsentieren wir Ihnen hier im Überblick: 

Um was für eine Software handelt es sich und wozu wird sie eingesetzt? 

Das Analyse-Tool von Palantir beruht auf der Software Gotham. Damit sollen neben polizeilichen, auch andere behördliche Datenbanken abgefragt werden können, z. B. das Waffenregister, Einwohnermeldedaten oder das Ausländerzentralregister. Informationen aus verschiedenen Datenbanken sollen so schneller und effizienter miteinander verknüpft werden. 

Wie weit ist die Software verbreitet? 

In Hessen („Hessendata“) und Nordrhein-Westfalen („DAR“) ist die Palantir-Software bereits im Einsatz. In Bayern soll sie unter dem Begriff „VeRA“ (Verfahrensübergreifende Recherche und Analyse) starten. Da Bayern einen sogenannten „Rahmenvertrag“ abgeschlossen hat, können weitere Polizeien von Bund und Ländern ohne zusätzliche Vergabeverfahren in den Vertrag miteinsteigen. 

Baden-Württemberg, Bremen und Hamburg haben bereits Interesse bekundet. Auch der Bund will sich einen Einsatz überlegen. Dies hätte zur Folge, dass die Bundespolizei und der Zoll mit der Software arbeiten könnten. 

Palantir selbst ist international gut aufgestellt und bewirbt sich in Großbritannien gerade für einen fünf-Jahres-Vertrag mit der NHS, dem staatlichen Gesundheitssystem. Für diese soll dann eine Datenbank angelegt werden, in der Gesundheitsdaten gespeichert werden. Teilweise arbeitet Palantir jetzt schon für die NHS. Auch hier äußern sich Kritiker besorgt. 

Was ist die Kritik an der Software? 

Kritisiert wird zum einen, dass Palantir durch die Software eine bedeutende Stellung im deutschen Markt einnehmen könnte mit der Folge, dass dadurch ein Abhängigkeitsverhältnis des Staates entstehen könnte. 

Die meiste Kritik kommt jedoch von der Seite der Datenschützer. Dort wird vor allem kritisiert, dass über die Software enorme Mengen an Datensätzen miteinander verbunden werden, was einen Grundrechtseingriff darstelle. Auch besteht die Befürchtung, dass die durch Palantir erhobenen, sensiblen Daten, in die USA gelangen und dort von den Geheimdiensten abgegriffen werden könnten. 

Das Unternehmen Palantir hat in seinem Heimatland, den USA, bereits für Geheimdienste und das Pentagon gearbeitet. Auch dort ist das Unternehmen umstritten. Mitgründer Peter Thiel ist Trump-Supporter, unterstützt rechte Politiker und hat in der Vergangenheit seinen Unmut über Demokratien geäußert. Palantir hat bereits Verträge mit der United States Immigration and Customs Enforcement (ICE), einer Polizei- und Zollbehörde des Ministeriums für Innere Sicherheit, abgeschlossen. In diesem Zusammenhang wurde Palantir vorgeworfen, die ICE habe mithilfe der Software Daten über illegale Einwanderer gesammelt und diese später festgenommen und abgeschoben. 

Die jüngste Kritik an der Palantir-Software kommt von der NRW-Datenschutzbeauftragten Bettina Gayk im neuen Jahresbericht. Darin kritisiert sie, dass es für den Einsatz der Software bisher keine gesetzliche Grundlage gebe. Der Gesetzgeber müsse entscheiden, welche Straftaten schwer genug seien, um die Zweckbindung der einzelnen Datenbanken aufzuheben. Denn durch die Software würden auch Daten nicht straffällig gewordener Personen verarbeitet, z.B. die Daten von Anrufern bei der Notrufnummer 110 und von Zeugen. 

US-Repräsentantenhaus und Senat veröffentlichen überparteilichen Gesetzesentwurf zum Datenschutz

24. Juni 2022

Anfang Juni legten drei der vier Vorsitzenden der für den Datenschutz zuständigen US-Kongressausschüsse den Entwurf eines Datenschutzgesetzes (American Data Privacy and Protection Act, kurz ADPPA) zur Beratung vor. Im Falle einer Verabschiedung würde es bestimmte kürzlich verabschiedete Datenschutzgesetze einiger US-Bundesstaaten außer Kraft setzen.

Der Entwurf weist Merkmale des kalifornischen Datenschutzgesetzes (California Consumer Privacy Act) sowie der europäischen Datenschutz-Grundverordnung auf.

Bundesstaaten legten vor

Bisher stand der Datenschutz in den Vereinigten Staaten vornehmlich auf bundesstaatlicher Ebene oben auf der Agenda. In Kalifornien, Colorado, Connecticut, Virginia und Utah wurden kürzlich umfassende Datenschutzgesetze erlassen.  Allein in diesem Jahr wurden schon mehr als 100 Gesetzesentwürfe zum Datenschutz in den Bundesstaaten eingebracht.  Auch wenn diese nicht alle verabschiedet wurden, hat die Vielzahl von einzelstaatlichen Gesetzen und ihre unterschiedlichen regulatorischen Anforderungen dazu geführt, dass immer häufiger die Verabschiedung eines bundesweiten Datenschutzgesetzes gefordert wird. Ein einheitliches Bundesgesetz würde, wenn es verabschiedet wird, den Einrichtungen und Unternehmen die dringend benötigte Klarheit verschaffen und im Idealfall auch die Flut von Sammelklagen und anderen Datenschutzklagen eindämmen, die im Rahmen verschiedener einzelstaatlicher Gesetze erhoben werden.

Betroffene Einrichtungen

Das ADPPA gilt (mit Ausnahmen) im Großen und Ganzen für Organisationen, die in den Vereinigten Staaten tätig sind, die personenbezogene Daten sammeln, verarbeiten oder übertragen und in eine der folgenden Kategorien fallen:

  • Sie unterliegen dem Federal Trade Commission Act
  • Gemeinnützige Organisationen
  • Sog. Common Carrier, die dem Titel II des Communications Act von 1934 unterliegen

Vorgaben des ADPPA (nicht abschließend)

  • Beschränkung der Datenerhebung und -verarbeitung auf das vernünftigerweise notwendige Maß
  • Einhaltung öffentlicher und interner Datenschutzrichtlinien
  • Gewährung von Verbraucherrechten wie Zugang, Berichtigung und Löschung
  • Einspruchsmöglichkeiten
  • Einholung der Zustimmung vor der Erhebung oder Verarbeitung sensibler Daten, z. B. Geolokalisierung, genetische und biometrische Informationen und Browserverläufe
  • Bestellung eines Datenschutzbeauftragten
  • Erbringung eines Nachweises, dass angemessene Kontrollen durchgeführt werden
  • Registrierung der Datenhändler bei der Federal Trade Commission (FTC)
  • Die FTC wird ein durchsuchbares, zentrales öffentliches Online-Register aller registrierten Datenhändler sowie ein „Do Not Collect“-Register einrichten und pflegen, dass es Einzelpersonen ermöglicht, alle Datenhändler aufzufordern, ihre Daten innerhalb von 30 Tagen zu löschen
  • Einrichtungen dürfen die erfassten Daten nicht in einer Weise erheben, verarbeiten oder übertragen, die eine Diskriminierung aufgrund von Rasse, Hautfarbe, Religion, nationaler Herkunft, Geschlecht, sexueller Orientierung oder Behinderung darstellt
  • Einführung angemessener administrativer, technischer und physischer Datensicherheitspraktiken und -verfahren, um die betroffenen Daten vor unbefugtem Zugriff und unbefugter Kenntnisnahme zu schützen

Ausgang noch ungewiss

Kurz nachdem ein Entwurf des ADPPA veröffentlicht worden war, meldeten sich Datenschutzorganisationen, Bürgerrechtsgruppen und Unternehmen zu Wort und ergriffen Partei für und gegen das Gesetz.

Da sich die Legislaturperiode rasch dem Ende zuneigt, sind die Aussichten für die Verabschiedung des ADPPA weiterhin unklar. Zwischen den wichtigsten Interessengruppen herrscht nach wie vor große Uneinigkeit über wichtige Aspekte der vorgeschlagenen Gesetzgebung. Es herrscht jedoch Konsens darüber, dass die Vereinigten Staaten ein Bundesgesetz zum Datenschutz dringend benötigen. Somit ist die Verabschiedung eines entsprechenden Gesetztes in absehbarer Zeit recht wahrscheinlich.

1 5 6 7 8 9 250