Schlagwort: Art. 17 DSGVO
24. Juli 2023
Mitte Mai setzt sich der Bundesgerichtshof (BGH), in einer jetzt veröffentlichten Entscheidung (Az. VI ZR 476/18) mit der Frage auseinander, wann ein Anspruch auf Löschung von Sucherergebnisse bei einer Suchmaschine bestehen. Insbesondere wenn eine entsprechenden Suche negative Ergebnisse anzeigt, kann die betroffene Person ein Interesse auf Löschung der Ergebnisse haben.
Die Hintergründe
Der Kläger ist als Leitungsorgan verschiedener Unternehmen tätig, die zusammen eine Gesellschaftsgruppe bilden. Über die in Anspruch genommene Suchmaschine ließen sich verschiedene Berichte über die einzelnen Gesellschaften der Gruppe sowie über den Kläger in seinen unternehmensinternen Funktionen selbst, finden. Zu großen Teilen handelte es sich dabei um Artikel, die negativ über die Geschäftspraktiken der Gesellschaften berichteten.
Der Kläger wandte sich daraufhin an die Suchmaschine, um Unterlassungsansprüche durchzusetzen. Sein Ziel war es, bei einer Suche nach seinem Namen die oben genannten Artikel nicht mehr zu finden sein würden.
Entscheidungsgründe des BGH
Aus Sicht des BGH sei für einen Teil der Suchergebnisse die Datenschutz-Grundverordnung (DSGVO) bereits sachlich nicht anwendbar. Grund hierfür sei, dass die Suchergebnisse gerade nicht bei der Suche nach dem Namen des Klägers vorgeschlagen würden. Viel mehr müsse ein interessierter Nutzer nach den Namen der Gesellschaften suchen, damit eine Suche die kritischen Artikel zeige. Demnach fehle es an einem Personenbezug.
Ein anderes gelte aber für einen anderen Teil der Suchergebnisse. Diese ließen den Bezug zum Kläger als natürliche Person zu, sodass die DSGVO grundsätzlich anwendbar sei. Dennoch habe der Kläger keinen Anspruch auf eine sog. Auslistung. Demnach könne nach Art. 17 Abs. 1 DSGVO (Recht auf Vergessen) eine betroffene Person einen Anspruch auf Löschen der Entsprechenden Artikel bei einer Suche geltend machen.
Dieser Anspruch bestehe allerdings nur insofern, dass die im angezeigten Artikel enthaltenen Informationen tatsächlich unwahr seien. Hinsichtlich des konkreten Inhalts der entsprechenden Artikel müsse die betroffene Person nachzuweisen, dass „(…) die in diesem Inhalt enthaltenen Informationen offensichtlich unrichtig sind oder zumindest ein für diesen gesamten Inhalt nicht unbedeutender Teil diese Informationen offensichtlich unrichtig ist“ (BGH, Urteil vom 23.5.23, VI ZR 476/18, Rn. 33). Nur dann könne sie eine Auslistung von der Suchmaschine verlangen.
Für den erforderlichen Nachweis seien insbesondere zwei Umstände von Bedeutung. Einerseits seien keine zu strengen Anforderungen diesen zu stellen. Die konkret erforderlichen Voraussetzungen richteten sich nach den Umständen des Einzelfalls. Andererseits sei kein Mitwirken der Suchmaschine bei dem Nachweis erforderlich.
Fazit
Hie habe der Kläger die Unwahrheit gerade nicht nachweisen können. Demnach müsse Art. 17 Abs. 1 DSGVO hinter der Meinungs- und Informationsfreiheit zurücktreten. Das Urteil zeigt vor allem, dass auch bei unerwünschter Berichterstattung die DSGVO möglicherweise Abhilfe schaffen kann.
8. Mai 2023
Wenn man sich mit dem Thema Datenschutz auseinandersetzt, kommt man irgendwann auf die Frage, wann bestimmte Daten gelöscht werden müssen. Es ist allgemein bekannt, dass die langfristige Aufbewahrung von personenbezogenen Daten Konsequenzen haben kann. Aber ist es auch möglich, dass eine vorzeitige Löschung die Rechte der betroffenen Person verletzt?
Alte Dokumenten vor Nachfrage gelöscht
Ein Bankkunde wandte sich an die Aufsichtsbehörde, nachdem er von der Bank keinen Nachweis über eine vorübergehende Kontovollmacht erhalten hatte. Die Bank hatte die entsprechenden Unterlagen aufgrund von Aufbewahrungsfristen gelöscht. Der Kunde beschwerte sich darüber, dass die Bank ihre Aufbewahrungspflichten verletzt hatte, indem sie den Vollmachtsnachweis gelöscht hatte. Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg beschäftigte sich mit diesem Fall und berichtet darüber in seinem Tätigkeitsbericht aus dem Jahr 2022 (S. 95).
Rechtsgrundlagen für vorzeitiges Löschen?
Gemäß Artikel 17 der Datenschutz-Grundverordnung (DSGVO) kann auch eine Bank dazu verpflichtet sein, personenbezogene Daten zu löschen, wenn dies von der betroffenen Person verlangt wird. Das Recht auf Löschung muss jedoch auch unter Berücksichtigung von Art. 17 Abs. 3 DSGVO betrachtet werden, der besagt, dass das Recht auf Löschung nicht besteht, wenn die Verarbeitung der Daten aus anderen, wichtigeren Gründen erforderlich ist, wie z. B.
• zur Ausübung des Rechts auf freie Meinungsäußerung und Information
• zur Erfüllung einer rechtlichen Verpflichtung
• aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit
• für im öffentlichen Interesse liegende Archivzwecke
• zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.
Banken sind gesetzlich verpflichtet, bestimmte Daten für einen bestimmten Zeitraum gemäß § 257 des Handelsgesetzbuchs und § 147 der Abgabenordnung aufzubewahren. Solange diese Aufbewahrungsfristen noch nicht abgelaufen sind, darf die Bank die Daten nicht freiwillig löschen.
Berechtigtes Interesse des Verantwortlichen
Falls die Bank nicht gemäß Art. 17 DSGVO verpflichtet ist, personenbezogene Daten zu löschen, kann sie möglicherweise gemäß Artikel 6 Abs. 1 lit. f DSGVO eine (freiwillige) Löschung in Betracht ziehen. Gemäß dieser Bestimmung ist die Verarbeitung von personenbezogenen Daten nur dann rechtmäßig, wenn sie erforderlich ist, um die berechtigten Interessen des Verantwortlichen oder eines Dritten zu wahren und die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person nicht überwiegen.
Um die Daten vorzeitig löschen zu können, müsste die Bank ein berechtigtes Interesse an der Löschung haben. Allerdings besteht ein solches Interesse nicht, wenn die Unterlagen aufbewahrungspflichtig sind und die Aufbewahrungsfristen noch nicht abgelaufen sind.
Im konkreten Fall kam der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg zu dem Schluss, dass sowohl die Über- als auch die Unterschreitung der gesetzlichen Aufbewahrungsfristen gegen die DSGVO verstoßen hat. Er überlegte daraufhin, ob dieser Verstoß im Rahmen einer Betroffenenbeschwerde gemäß Art. 77 Abs. 1 DSGVO angegriffen werden kann. Denn der Anwendungsbereich dieser Bestimmung wird durch EG 141 Satz 1 Var. 1 dahingehend eingeschränkt, dass der Betroffene in seinen Rechten aus der DSGVO verletzt sein muss.
Kann zu frühes Löschen eine Rechtsverletzung sein?
Um beurteilen zu können, ob eine vorzeitige Löschung von Daten eine Verletzung der Rechte des Betroffenen darstellt, muss man zunächst den Schutzzweck der gesetzlichen Aufbewahrungsfristen betrachten. Diese Bestimmungen dienen in erster Linie dem Schutz der ordnungsgemäßen Buchführung, die als grundlegende Voraussetzung für eine ordnungsgemäße Wirtschaftsführung gilt. Die Buchführungspflicht gemäß § 238 Abs. 1 S. 1 HGB verpflichtet die Bank als Kaufmann im handelsrechtlichen Sinn dazu, Bücher zu führen und ihre Handelsgeschäfte sowie die Lage ihres Vermögens nach den Grundsätzen ordnungsmäßiger Buchführung darzustellen. Ziel ist dabei der Schutz des Wirtschaftsverkehrs. Darüber hinaus soll die Aufbewahrung von Unterlagen nach der Abgabenordnung eine ordnungsgemäße Besteuerung sicherstellen. Die Aufbewahrungspflichten dienen jedoch nicht den möglichen Beweisführungsinteressen der Bankkunden. Daher ist eine vorzeitige Löschung von Daten in diesem Zusammenhang keine Verletzung der Datenschutzrechte der betroffenen Person.
Nach Ablauf der Aufbewahrungspflichten
Der Datenschutz-Beauftragte von Baden-Württemberg stellt fest, dass eine betroffene Person nur bei einer Überschreitung von handels- und steuerrechtlichen Aufbewahrungspflichten eine Beschwerdebefugnis hat, nicht jedoch bei deren Unterschreitung. Obwohl dies für die betroffene Person unzufriedenstellend ist, zeigt der Fall, dass Verantwortliche für die Datenverarbeitung sich über den Sinn und Zweck von geltenden Pflichten und Fristen Gedanken machen sollten. Es stellt sich die Frage, wie im Unternehmen verfahren werden soll, wenn Aufbewahrungsfristen abgelaufen sind oder eine betroffene Person die Löschung ihrer Unterlagen verlangt. Dazu müssen Fragen wie der Löschprozess, die Art der Datenlöschung (Vernichtung oder Anonymisierung), und die Überwachung und Verantwortung geklärt werden. Eine mögliche Lösung ist die Dokumentation in einem Löschkonzept, das als Leitfaden für die Umsetzung im Unternehmen dient.
13. März 2023
In der Entscheidung C-460/20 vom 8.12.2022 hat der Europäische Gerichtshof (EuGH) darüber entschieden, wer die Beweislast trägt, wenn eine Person die Entfernung von Links zu Webseite-Beiträgen aus der Liste der Suchergebnisse im Internet beantragt. Mit anderen Worten, die Entscheidung klärt, wer beweisen muss, ob ein solcher Antrag gerechtfertigt ist oder nicht.
Die Entscheidung des EuGH
Die Argumente des EuGH zur Beweislast in Bezug auf Artikel 17 der Datenschutz-Grundverordnung (DSGVO) sind von großer Bedeutung für die Praxis. Insbesondere ging es darum, wer die Beweislast im Rahmen der Ausnahmevorschrift des Artikels 17 Absatz 3 Buchstabe a DSGVO trägt, wenn eine betroffene Person die Löschung von bestimmten Daten beantragt und behauptet, dass diese unrichtig seien.
Der EuGH stellte fest, dass die betroffene Person den Nachweis erbringen muss, dass die Informationen offensichtlich unrichtig sind oder zumindest ein nicht unbedeutender Teil davon offensichtlich unrichtig ist, um den Löschungsantrag zu rechtfertigen. Jedoch darf die Beweislast nicht zu einer übermäßigen Belastung führen, die das Recht auf Löschung beeinträchtigt. Die betroffene Person kann daher nicht gezwungen werden, eine gerichtliche Entscheidung gegen den Betreiber der Website zu erlangen.
Auf der anderen Seite kann der Verantwortliche für die Datenverarbeitung nicht dazu verpflichtet werden, den Sachverhalt zu ermitteln und eine kontradiktorische Debatte mit dem Anbieter der Inhalte zu führen. Der EuGH ist der Meinung, dass der Verantwortliche nicht aktiv an der Suche nach Tatsachen mitwirken muss, die den Löschungsantrag nicht unterstützen, um zu prüfen, ob der Antrag gerechtfertigt ist.
Auf Art. 16 DSGVO übertragbar?
Die Entscheidung des Bundesverwaltungsgerichts (BVerwG) im März 2022 betraf einen Fall, in dem eine betroffene Person die Berichtigung von Daten nach Artikel 16 DSGVO beantragt hatte. Das Gericht betonte, dass die objektive Wirklichkeit der Maßstab für die Qualifizierung eines Datums als “richtig” oder “unrichtig” im Sinne von Artikel 16 Satz 1 DSGVO ist. Es wurde auch festgestellt, dass Artikel 5 Absatz 2 DSGVO eine spezifische Bestimmung enthält, wer die Beweislast für die Richtigkeit des neu einzutragenden Datums trägt, wenn die Einhaltung der Grundsätze des Artikels 5 Absatz 1 DSGVO in einem Rechtsstreit zwischen dem Verantwortlichen und der betroffenen Person im Streit steht.
Das Gericht entschied, dass im Falle eines Berichtigungsanspruchs, bei dem die Richtigkeit des Datums umstritten ist, die Nichterweislichkeit der Richtigkeit des Datums zu Lasten der betroffenen Person geht. Wenn die Beweislast für die Richtigkeit des Datums beim Verantwortlichen liegt, muss er zukünftig nachweisen, dass ein von ihm verarbeitetes Datum richtig ist. Wenn jedoch die betroffene Person nicht nachweisen kann, dass das Datum unrichtig ist, kann der Verantwortliche nicht verpflichtet werden, das von der betroffenen Person genannte Datum einzutragen und weiterzuverarbeiten.
Fazit
Beide Entscheidungen enthalten relevante Klarstellungen zur Beweislast in der Praxis, wenn es um die Bearbeitung von Betroffenenansprüchen geht. Unternehmen, die häufig mit solchen Anfragen konfrontiert sind, können sich bei der Beurteilung der Frage, ob sie die Daten berichtigen oder löschen müssen, an den Gründen dieser Entscheidungen orientieren.
6. September 2022
Dieser Frage widmete sich das LG Hamburg in einer Entscheidung (324 O 30/20) vom 11. Dezember 2021. In dem Sachverhalt nahmen Kläger die Beklagte wegen Verletzung von Datenschutzpflichten auf Löschung und hilfsweise Sperrung in Anspruch.
Beteiligte
Die Klägerinnen betreiben ein Nachhilfeinstitut. Einer der Klägerinnen ist Geschäftsführer und Anteilseigner dieses Instituts.
Die Beklagte betreibt eine private Website auf der Wirtschaftsinformationen über die Kläger veröffentlicht wurden. Bei den strittigen Informationen handle es sich um gesetzliche Pflichtveröffentlichungen zu Unternehmen aus allgemein zugänglichen Registern, wie dem Handelsregister, Insolvenzbekanntmachungen und dem elektronischen Bundesanzeiger. Bei der Weiterverwendung der Daten seien keine eigenen Daten aufgenommen worden. Es handle sich lediglich um bereits verfügbare Daten aus den öffentlichen Registern, so die Beklagte.
Streitgegenstand
Die Beklagte veröffentlichte auf Ihrer Seite den Namen, die Anschrift sowie den Gewinn des Nachhilfeinstituts. Zudem wurde die Bilanzsumme als auch die namentliche Nennung des Geschäftsführers angezeigt. Beide Kläger seien dem Gericht nach der Auffassung gewesen, dass dies nicht ohne deren Einwilligung erfolgen hätte dürfen. Am 25.04.2019 erfolgte sodann der Widerspruch mit Löschaufforderung nach Art. 17 Abs. 1 DSGVO.
Entscheidungsgründe des LG Hamburg
Das Gericht entschied, dass den Klägern keine Ansprüche auf Löschung und Sperrung gegen die Beklagte wegen der Verarbeitung von personenbezogenen Daten zustünden. Es bezog sich in diesem Kontext auf den Erwägungsgrund 14 der Verordnung. Dieser legt ausdrücklich fest dass die Verordnung nicht für juristische Personen anwendbar sei.
Ausnahme
Das Gericht ist der Auffassung, dass der Anwendungsbereich der DSGVO bei der Verarbeitung von Informationen von juristischen Personen eröffnet sei, wenn die Informationen der juristischen Person sich auch auf die hinter dieser stehenden natürlichen Person beziehen. Dies sei dem Gericht nach der Fall wenn Informationen über juristische Personen gleichzeitig auch Aussagen über die für sie handelnden natürlichen Personen treffen oder die Verarbeitung der Informationen sich unmittelbar auf die natürlichen Personen auswirken und gleichsam auf diese durchschlagen.
Fazit
Im vorliegend Sachverhalt träfe diese Ausnahme laut dem LG Hamburg auf die Klägerinnen zu. Der Firmenname und der Geschäftssitz bezögen sich auf ihre Geschäftsführer. Zudem sei ihr Geschäftssitz mit der Wohnanschrift der Geschäftsführer identisch.
Als Anspruchsgrundlagen kämen lediglich Art. 17 Abs. 1 lit. d und lit. c DSGVO in Betracht, so das LG Hamburg. Im Ergebnis des Gerichts fällt die jeweils vorzunehmende Interessenabwägung jedoch zugunsten der Beklagten aus.
1. März 2021
Übersieht ein Arbeitgeber bei der Beendigung des Beschäftigungsverhältnisses, dass das Profil eines ehemaligen Arbeitnehmers weiterhin im Internet abrufbar ist, so liegt darin eine Persönlichkeitsrechtsverletzung, die einen Schmerzensgeldanspruch des Arbeitnehmers rechtfertigt.
Das hat das Landesarbeitsgericht Köln mit Urteil vom 14.09.2020 (Az.: 2 Sa 358/20) entschieden, als es der Klägerin, die bei der Beklagten bis August 2018 als Professorin beschäftigt war, ein Schmerzensgeld von 300 Euro zusprach.
Die Beklagte speicherte im Rahmen des Beschäftigungsverhältnisses das Profil der Klägerin als PDF auf ihrer Homepage. 2015 stellte die Beklagte ihre Homepage auf HTML um. Dabei übersah sie, dass die isolierte PDF-Datei weiterhin im Internet abrufbar blieb. Mit der Folge, dass auch bei Beendigung des Beschäftigungsverhältnisses, als die Beklagte die Löschung des Profils der Klägerin nebst Foto vornahm, diese das PDF ebenfalls übersah.
Nach Beendigung des Arbeitsverhältnisses im Februar 2019 entdeckte die Klägerin dies, als sie ihren Namen googelte und das PDF unter den ersten zehn Treffern abrufbar war. Daraufhin verlangte sie von der Beklagten die Löschung des Profils sowie von Artikeln über ihre Forschungsvorhaben. Dem kam die Beklagte unverzüglich nach. Dennoch erhob die Klägerin Klage vor dem Arbeitsgericht Köln und verlangte von der Beklagten unter anderem ein Schmerzensgeld in Höhe von 1.000 Euro aus Art. 82 DSGVO wegen der unberechtigten Vorhaltung des PDF auf dem Server der Beklagten.
Erstinstanzlich hat das Arbeitsgericht Köln der Klägerin Schadensersatz nach Art. 82 DSGVO in Höhe von 300 Euro zugesprochen, da es in der Vorhaltung des PDF eine Persönlichkeitsrechtsverletzung der Klägerin – und mithin einen immateriellen Schaden – sah. Dagegen legte die Klägerin Berufung ein. Das Landesarbeitsgericht Köln lehnte die Berufung der Klägerin ab. Dazu bestätigte es die Ausführungen der ersten Instanz nochmals:
Die Beklagte habe gegen Art. 17 DSGVO, das Recht auf Löschung, verstoßen. Danach hat die betroffene Person das Recht, von einem Verantwortlichen zu verlangen, dass die betreffenden personenbezogenen Daten unverzüglich gelöscht werden, sofern diese nicht mehr notwendig sind. Die Beklagte hätte daher nach Beendigung des Arbeitsverhältnisses das Profil der Klägerin vollständig löschen müssen. Eine vollumfängliche Löschung nahm sie, wenn auch aus einem Versehen heraus, vorliegend aber nicht vor. Darin sah das Gericht einen Verstoß. Bei diesem handelte es sich laut Gericht auch nicht um ein Bagatelldelikt, da es für Dritte ohne Weiteres möglich war, durch Eingabe der entsprechenden Suchbegriffe die zu Unrecht nicht gelöschte Seite aufzurufen.
Der Höhe nach gaben beide Instanzen der Klage jedoch nicht vollumfänglich statt. Zwar soll die Verhängung eines Schadensersatzes abschreckende Wirkung haben, um zukünftige Verstöße zu vermeiden – zu berücksichtigen sei aber ebenfalls die Schwere der Beeinträchtigung. Eine solche Schwere, die ein Schmerzensgeld von 1.000 Euro rechtfertigt, konnten beide Instanzen nicht erkennen. Insbesondere verneinten sie eine Reputationsschädigung der Klägerin. Vielmehr waren die veröffentlichten Tatsachen über die Klägerein inhaltlich richtig. Zudem sei auch nicht erkennbar, dass für die Beklagte irgendein Mehrwert mit der kurzzeitigen Aufrechterhaltung der Sichtbarkeit des PDF verbunden war. Daher – und unter Berücksichtigung, dass es sich nur um ein Versehen der Beklagten handelte – sei im vorliegenden Fall ein Schmerzensgeld von 300 Euro angemessen.
Beim Ausscheiden von Mitarbeitern sollte unter Berücksichtigung des Art. 17 Abs. 1 DSGVO daher immer geprüft werden, ob die Voraussetzung für einen Löschanspruch bzw. für eine Löschpflicht durch den Arbeitgeber vorliegt. Dies dürfte bei der Beendigung eines Arbeitsverhältnisses fast immer der Fall sein, da der primäre Zweck der Datenspeicherung bzw. -verarbeitung in Form des Beschäftigtenverhältnisses in diesem Fall nicht mehr besteht.
9. März 2020
Das Verwaltungsgericht Berlin (VG Berlin) hat in einem Beschluss (vom 28.02.2020 – VG 3 L 1028.19) entschieden, dass Daten aus der Akte eines Schülers (13 Jahre) im Rahmen eines Löschbegehrens nach der DSGVO nicht gelöscht werden dürfen.
Dem Beschluss liegt ein Fall zugrunde, bei dem ein Schüler ein Berliner Gymnasiums im Schuljahr 2017/2018 wegen eines Gewaltvorfalls verlassen musste. Auch an seiner neuen Schule kam es zu Gewaltvorfällen. Alle Ereignisse sind in seiner Schülerakte dokumentiert worden. Nun strebt der Schüler an, an eine Privatschule zu wechseln.
Seine Eltern und er sind der Ansicht, dass die Angaben in der Schülerakte die Aufnahme auf einer Privatschule gefährden können. Im Wege des vorläufigen Rechtschutzes begehrten die Eltern und der Schüler deshalb die Entfernung bestimmter Einträge aus der Akte, da sie fehlerhaft und diskriminierend seien. Das Löschbegehren in Art. 17 DSGVO schreibt vor, dass der Verantwortliche einer Datenverarbeitung personenbezogene Daten, die unrechtmäßig verarbeitet werden oder für die Zweckerfüllung nicht mehr notwendig sind, löschen muss.
Nach dem Berliner Schulgesetz dürfen Schulen die personenbezogenen Daten der Eltern und der Schüler verarbeiten, soweit dies zur Erfüllung ihrer schulbezogenen Aufgaben dient. Das Gericht begründet die Datenverarbeitung damit, dass es Aufgabe der Schule ist bei der Auswahl der pädagogischen Maßnahme auch das vorherige Verhalten des Schülers zu berücksichtigen. Danach bewertet das Gericht die Weitergabe der vollständigen Schülerakte an die Privatschule als zulässig.
Das VG Berlin betont darüber hinaus, dass eine Schülerakte dazu
dient, die Persönlichkeitsentwicklung und das Verhalten des Schülers über seine
Schullaufbahn hinweg sowie die Zusammenarbeit mit den Erziehungsberechtigten
über einen längeren Zeitraum nachvollziehbar zu machen und schließt aus der Berliner
Schuldatenverordnung, dass dieser Zweck nach einem Schulwechsel gerade nicht
wegfällt.
Aus den oben genannten Gründen hat das VG Berlin den Antrag der Eltern und des Schülers zurückgewiesen.
