Schlagwort: Art. 9 DSGVO

Veröffentlichung von Gerichtsschriftsätzen:  Grund für außerordentliche Kündigung

2. Juni 2022

Das LAG Baden- Württemberg entschied am 25.03.2022 (Az. 7 Sa 63/21), dass eine außerordentliche Kündigung durch die unrechtmäßige Weitergabe besonderer Kategorien personenbezogener Daten begründet sein kann.

Der Sachverhalt

Hintergrund der außerordentlichen Kündigung war eine vom Kläger verschickte E-Mail, die personenbezogene Daten besonderer Kategorien enthielt. Konkret handelte es sich um Gesundheitsdaten. Diese sind personenbezogene Daten besonderer Kategorien i.S.d. Art. 9 Abs. 1 DSGVO.

Über einen Link in der E-Mail gelangte man auf Schriftsätze eines noch laufenden Verfahrens. Der Kläger wollte sich durch die Vorgehensweise gegen nicht gerechtfertigte Vorwürfe einer sexuellen Belästigung wehren. Zusätzlich forderte er dazu auf, die Schriftsätze weiter zu verbreiten und aus diesen ggf. zu zitieren.  

Die Entscheidung

Das LAG Baden- Württemberg entschied, dass der Kläger die namentlich in den Schriftsätzen genannte Person in ihren Persönlichkeitsrechten verletzte. Die Schriftsätze waren weder für die Allgemeinheit noch für eine betriebsinterne Veröffentlichung bestimmt. Alleiniger Zweck der Dokumente war die prozessuale Verwendung. Demnach handelte der Kläger bei Weiterleitung der Schriftsätze bewusst und gewollt.  

Außerdem stellte das Gericht die Rechtswidrigkeit der Verletzungshandlung fest. Aus Sicht des Gerichts könne sich der Kläger auf kein berechtigtes Interesse berufen. Das Gerichtsverfahren, aus welchem die Schriftsätze stammten, war noch nicht rechtskräftig abgeschlossen. Folglich waren die Entscheidungsgründe des Gerichts grundsätzlich unbekannt und etwaige Rechtsbehelfe gegen die noch ausstehende Entscheidung denkbar.

Der Kläger handelte darüber hinaus auch schuldhaft. Insbesondere könne er sich nicht auf einen möglichen Rechtsirrtum berufen. Er war Mitglied des Betriebsrates und des Personalausschusses. In dieser Funktion oblag ihm die Pflicht, an datenschutzrechtlichen Schulungen teilzunehmen. Demzufolge kannte der Kläger die datenschutzrechtlichen Vorschriften. Er sei geschult darin, rechtmäßig mit personenbezogenen Daten umzugehen, auch solche besonderer Kategorie.

Folglich konnte das Verhalten des Klägers, mit dem die betroffene Person in ihren Persönlichkeitsrechten verletzt wurde, seine außerordentliche Kündigung begründen.

Datenschutzaufsichtsbehörde verhängt ein Millionenbußgeld gegen eine Wohnungsbaugesellschaft

8. März 2022

Wegen umfangreicher Verstöße gegen die DSGVO hat Bremens Landesbeauftragte für Datenschutz und Informationsfreiheit (LfDI) Anfang März ein Bußgeld von rund 1,9 Millionen Euro gegen eine Bremer Wohnungsbaugesellschaft verhängt.

Hintergrund des Bußgeldverfahrens war, dass die Wohnungsbaugesellschaft Daten von über 9.500 Mietinteressenten erhob, ohne dafür eine Rechtsgrundlage zu haben. Nach Angaben der LfDI Bremen wurden dabei Daten über die ethnische Herkunft, Hautfarbe, Religionszugehörigkeit, die sexuelle Orientierung und den Gesundheitszustand der potentiellen Mieter unzulässig verarbeitet. Auch Daten über das persönliche Auftreten der Interessenten wie z.B. die Frisur o.ä. wurden in großem Umfang gesammelt, ohne für den Abschluss eines Mietvertrags erforderlich zu sein. Besonders problematisch an der Erhebung der Daten war, dass es sich bei einem Großteil der gesammelten Daten um besonders sensible und damit von der DSGVO besonders schützenswerte Daten handelte. Diese dürfen nur in Ausnahmefällen und mit einer entsprechenden rechtlichen Grundlage (Art. 9 DSGVO) verarbeitet werden. Eine solche lag nicht vor.

Bei Verstößen gegen die Grundsätze der datenschutzrechtlichen Verarbeitung sieht die DSGVO in Art. 83 DSGVO Geldbußen von bis zu 20 Millionen Euro oder bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes vor.

Obwohl die LfDI aufgrund der „außerordentliche Tiefe“ der Verletzung des Datenschutzes ein höheres Bußgeld für angemessen hielt, reduzierte sie das Bußgeld auf rund 1,9 Millionen Euro. Grund dafür war, dass die Wohnungsbaugesellschaft im datenschutzrechtlichen Aufsichtsverfahren mit der Behörde umfangreich zusammenarbeitete und sich um Schadensminderung und Sachverhaltsermittlung bemühte.

Immobilien- und Hausverwaltungen sollten diesen aber auch vergangene Bußgeldbescheide beispielsweise gegen die Deutsche Wohnen nun unbedingt zum Anlass nehmen, ihre Unterlagen wie z.B. Mieterselbstauskünfte auf Datenschutzkonformität zu überprüfen.

Datenpanne in Corona-Testzentren

26. März 2021

Aufgrund der Eilbedürftigkeit vieler Maßnahmen, die in Zeiten von Corona von Nöten sind, schleichen sich leider auch immer wieder Fehler in verschiedene Prozesse ein. So auch vor Kurzem, als eine Sicherheitslücke in einer von vielen Corona-Testzentren verwendeten Software bekannt wurde.

Was ist passiert?

Das Wiener Startup medicus.ai bietet die hauseigene Software „SafePlay“ als Komplettlösung für Testzentren an. Mittels dieser Software ist es möglich sich für Tests zu registrieren und hinterher auch die Ergebnisse aufzurufen. Den Fachleuten von Zerforschung – einem Kollektiv von IT-Experten- und dem dem Chaos Computer Club (CCC) sind dabei allerdings Unregelmäßigkeiten aufgefallen, die es ermöglichten, dass ca. 136.000 Testergebnisse wochenlang ungeschützt im Internet verfügbar waren. Ihre Ergbnisse veröffentlichten die Fachleute in einem eigenen Bericht.

Dabei wurde bekannt, dass die eingesetzte Software erhebliche Sicherheitslücken aufwies und es keines großen Know-Hows bedurfte um auf sensible PDFs zugreifen zu können. Um das eigene Testergebnis einsehen zu können, erhielt man eine URL. Das Problem dabei war allerdings, dass diese URL eine fortlaufende Nummer enthielt. Es war also möglich die Nummer beliebig zu verändern, etwa durch eine Addition oder Subtraktion, und dadurch zu den Testergebnissen von Dritten zu gelangen. Besonders brisant macht den Fund, dass neben des Testergebnisses auch der Name, die Anschrift, Staatsbürgerschaft und die Ausweisnummer der Betroffenen zu sehen war.

Das Problem ist behoben

Das Unternehmen medicus.ai hat sich nach Bekanntwerden der Sicherheitslücke in Zusammenarbeit mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) dem Fehler gewidmet und die Schwachstelle behoben. In einem eigenen Statement führt medicus.ai aus, dass es lediglich zu 6 Zugriffen auf Datensätzen von Nutzern gekommen sei.

Dating-App Grindr erwartet Millionenbußgeld

8. Februar 2021

Die norwegische Datenschutzbehörde „Datatilsynet“ hat die Dating-App Grindr frühzeitig über ein Bußgeld in Höhe von 100.000.000 NOK (ca. 9,6 Millionen Euro) informiert.

Vorangegangen war eine Beschwerde des Norwegischen Verbraucherrats „Forbrukerrådet“ und dem Europäischen Zentrum für digitale Rechte (noyb). Die Beschwerde richtete sich gegen Grindr sowie fünf weitere Handelspartner der Dating-App.

Die Norwegische Datenschutzbehörde ist der Ansicht, dass Grindr ohne rechtliche Grundlage personenbezogene Daten mit zahlreichen Werbepartnern geteilt hat. Besonders schwerwiegend sei dabei die Tatsache, dass bereits die Nutzung von Grindr einen Einblick in die sexuelle Orientierung des Nutzers gewährleistet. Damit ergibt sich der Anwendungsbereich des Art. 9 DSGVO, welcher einen besonderen Schutz der sensiblen Daten durch den Verantwortlichen voraussetzt.

Den Usern wurde eine effektive Nutzung der App nur unter Zustimmung der Datenschutzbestimmungen gestattet. Auch hatten die Nutzer keine Möglichkeit eine Einwilligung bezüglich der Weitergabe der Daten an Dritte abzugeben. Dies verstößt gegen die Bestimmungen der Datenschutzgrundverordung. Zwar ist Norwegen als Nicht-EU-Mitglied nicht direkt von der DSGVO betroffen, als Mitglied des Europäischen Wirtschaftsraums (EWR) führte es die DSGVO aber trotzdem ein.

Das Bußgeld könnte das höchste in der Geschichte des norwegischen Datenschutzes werden. Zuvor hat Grindr jedoch die Möglichkeit sich zu den erhobenen Vorwürfen zu äußern.

Datenschutz-Lehrstunde für die AfD

9. Dezember 2020

Das AfD-Meldeportal „Neutrale Schule“ bleibt weiterhin ohne Anwendung. Nach einer Verbotsverfügung und einem gescheiterten Eilantrag des Landesverbandes Mecklenburg-Vorpommern wies das VG Schwerin in der Hauptsache die Klage gegen das Verbot der Platform ab.

Die Alternative für Deutschland hatte bereits im letzten Jahr in Mecklenburg-Vorpommern ein Portal ins Leben gerufen, in welchem Schüler ihre Lehrer melden konnten, wenn diese durch politische Aussagen gegen das Neutralitätsgebot verstoßen. Laut AfD soll dies „die Indoktrinierung unserer Kinder verhindern und damit eine unbeeinflusste politische Meinungsbildung ermöglichen“.

Das VG Schwerin bestätigte nun die Entscheidung des Landesdatenschutzbeauftragten des Landes Mecklenburg-Vorpommern. Das Online-Portal „Neutrale Schule“ verstoße gegen Art. 9 Abs. 1 DS-GVO. Nach dieser Vorschrift ist unter anderem die Verarbeitung personenbezogener Daten untersagt, aus denen politische Meinungen oder weltanschauliche Überzeugungen hervorgehen. Mangels einer ausdrücklichen Einwilligungen seitens der betroffenen Personen oder eines offensichtlichen Öffentlichmachens dieser Daten sei eine Ausnahme gemäß Art. 9 Abs. 2 DS-GVO unbegründet. Auch sei die Verarbeitung nicht zur Geltendmachung von Rechtsansprüchen oder aus Gründen eines erheblichen öffentlichen Interesses erforderlich.

Gegen das Urteil vom 26. November 2020 (Az. 1 A 1598/19 SN) kann die AfD vor der Oberverwaltungsgericht Mecklenburg-Vorpommern in Berufung gehen.

Anders als im Falle der „Neutralen Schule“ wurde im Bezug auf die App „Lernsieg“ entschieden. Diese bietet die Möglichkeit eine generelle Evaluation von Lehrern abzugeben. Im wesentliche Unterschied zur „Neutralen Schule“ bestätigte die zuständige Datenschutzbehörde hier ein legitimes Informationsinteresse der Öffentlichkeit an der Bewertung.

Apps übermitteln Gesundheitsdaten an Facebook

26. Februar 2019

Das Wall Street Journal hat herausgefunden, dass Apps wie Menstruationskalender und Herzfrequenzmesser sensible Daten an Facebook weitergeben. Davon wissen die meisten Nutzer jedoch nichts. Facebook sieht sich nicht in der Verantwortung, da die App-Entwickler selbst entscheiden, welche Angaben über bereitgestellte Tools übermittelt werden. Zweck dieser Datenübermittlung ist es, personalisierte Facebook-Werbung zu ermöglichen.

Mithilfe einer Software haben die Journalisten untersucht, welche Daten 70 populäre Apps aus dem Apple Store weitergeben. Elf davon übermitteln sensible Daten, ohne dass der Nutzer darüber gemäß Art. 13 DSGVO informiert wurde. Laut Experten verstößt diese Praxis gegen die DSGVO.

Die App Flo, mit der Frauen ihre Menstruationszyklen festhalten können, sendet die gesammelten Daten, wie etwa zum Eisprung, welche die Nutzerin eingibt.

Facebook reagiert auf die Recherchen und teilt mit, dass diese Apps gegen die Vorgaben von Facebook verstoßen und fordert die Betreiber auf, die Daten nicht mehr an Facebook zu übermitteln.