Schlagwort: Berechtigtes Interesse

LfD Niedersachsen: Keine Profilbildung zu Werbezwecken

29. September 2022

Die Landesbeauftragte für den Datenschutz Niedersachsen (LfD Niedersachsen) warnte eine große Anzahl genossenschaftlicher Banken davor, mit Hilfe von Kundendaten Profile für Werbezwecke zu bilden. Bereits vor einigen Monaten hatte die LfD Niedersachsen in einem ähnlichen Fall gegen die Volksbank ein Bußgeld in Höhe von 900.000€ verhängt.

Kein Smart-Data Verfahren

Konkret riet die LfD Niedersachsen davon ab, sog. Smart-Data Verfahren anzuwenden. Durch dieses Vorgehen können Banken für jeden Kunden passende Werbemaßnahmen auswählen. Dafür analysieren sie in einem großen Umfang die Zahlungsverkehrsdaten ihrer Kunden. Auf diese Weise verfügen Banken über Information, wie u.a. die Höhe des Gehalts, Ausgaben für Lebensmittel oder Bezüge von Sozialleistungen. Außerdem kaufen Banken regelmäßig personenbezogene Daten ihrer Kunden bei externen Dienstleistern ein. Demnach können die Banken beispielsweise Information über Schulabschlüsse, Anzahl der Kinder pro Haushalt oder Anteil geschiedener Personen in der Bevölkerung sammeln.

Die Datenanalyse zeige, wie hoch die Wahrscheinlichkeit sei, dass ein Kunde Interesse an einem bestimmten Produkt habe. Wenn der Analyse zufolge ein Kunde Interesse an einem Kredit oder einer Hausfinanzierung habe, könne die Bank konkret für ein solches Produkt werben.

Keine rechtmäßige Datenverarbeitung

In der Pressemitteilung verwies die LfD Niedersachsen auf das Mitte diesen Jahres an die Volksbank verhängte Bußgeld in Höhe von 900.000 Euro. Diesbezüglich führte die BfD aus, dass die fehlende Rechtsgrundlage das Problematische an der Datenverarbeitung im Rahmen des Smart-Data-Verfahrens sei.

Die Volksbank hatte sich auf ihr berechtigtes Interesse nach Art. 6 Abs. 1 lit. f DSGVO berufen. Die LfD Niedersachsen stellte fest, dass Banken grundsätzlich ein berechtigtes Interesse an der „werblichen Ansprache“ ihrer Kunden haben können. Allerdings überwiege bei diesen Werbemethoden das Interesse der Kunden. 

Außerdem könne die Datenverarbeitung nicht auf Grundlage einer Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO erfolgen. Zwar wurden Einwilligungen der Kunden zur Datenverarbeitung eingeholt, diese seien aber zu unbestimmt. Der Kunde wisse nicht, in welchem Umfang die Bank seine personenbezogene Daten verarbeite. 

Fazit

Die LfD Niedersachsen betonte, dass sie zunächst lediglich Warnung ausgesprochen habe. Sie wollte sich Vor-Ort darüber informieren, ob Banken diese schwerwiegenden Verstöße gegen das Datenschutzrecht fortführen.

LAG Rheinland-Pfalz: Datenweitergabe zwischen Arbeitgebern

31. August 2022

Das LAG Rheinland-Pfalz hat am 05.07.2022 (Az. Az. 6 Sa 54/22) entschieden, dass ein Arbeitgeber ein berechtigtes Interesse an der Weitergabe von Informationen über seine ehemalige Arbeitnehmerin an ihren neuen Arbeitgeber haben könne.

Der Sachverhalt

Hintergrund der Entscheidung waren verschiedene Äußerungen, die der ehemalige Arbeitgeber der Klägerin gegenüber deren neuen Arbeitgeber getätigt habe. Unter anderem behauptete der beklagte Arbeitgeber, dass die Klägerin verschiedene Pflichtverletzungen während der Anstellungen verübt habe.

Das Ziel des beklagten Arbeitgebers sei es gewesen, den neuen Arbeitgeber und dessen Kunden vor einem möglichen Schaden zu schützen. Gegen die getätigten Äußerungen wollte die Arbeitnehmerin einen Unterlassungsanspruch geltend machen.

Die Entscheidung

Das LAG stellte fest, dass ein Arbeitnehmer vor der Offenlegung von personenbezogenen Daten durch das allgemeine Persönlichkeitsrecht geschützt sei. Dieser Schutz erstrecke sich auch auf Daten, die der Arbeitgeber in zulässiger Weise erlangt habe. Grundsätzlich habe jedermann das Recht selbst darüber zu entscheiden, „(…) wann und innerhalb welcher Grenzen persönliche Lebenssachverhalte offenbart werden.“ (LAG Rheinland-Pfalz, Urteil vom 05.07.2022, Az. 6 Sa 54/22, Rn. 43)

Außerdem, so das Gericht, müsse der Arbeitgeber vor Weitergabe der Informationen eine Abwägung zwischen seinem Interesse an der Weitergabe und dem allgemeinem Persönlichkeitsrecht des Arbeitnehmers vornehmen. Nach Beendigung des Arbeitsverhältnisses treffe den Arbeitgeber einerseits eine Fürsorgepflicht. Andererseits könne der Arbeitgeber aber ein Interesse daran haben, „(…) andere Arbeitgeber bei der Wahrung ihrer Belange zu unterstützen.“ (LAG Rheinland-Pfalz, Urteil vom 05.07.2022, Az. 6 Sa 54/22, Rn. 43)

Das Fazit

In seiner Argumentation folgte das LAG einer älteren Entscheidung des BAG (BAG, Urteil vom 18.12.1984, Az. 3 AZR839/83). Dieses hatte bereits über das berechtigte Interesse des Arbeitgebers an einer Informationsweitergabe entschieden. Das LAG lies es offen, ob die zwischenzeitlich eingetretenen Entwicklungen auf dem Gebiet des Datenschutzrechtes möglicherweise das Auskunftsrecht des Arbeitgebers, dass nach Durchführung der Interessenabwägung bestehen könne, tangieren. Jedenfalls habe der ehemalige Arbeitgeber in diesem Fall kein Interesse an der Weitergabe der Informationen. Demnach bestehe der Unterlassungsanspruch der Klägerin.

Gutachten zu Facebook- Fanpages: es gibt keine wirksame Rechtsgrundlage

7. April 2022

Während der 103. Sitzung der Datenschutzkonferenz (DSK) stellte eine eigens eingerichtete Taskforce ihr Gutachten zur datenschutzrechtlichen Konformität des Betriebs von Facebook– Fanpages vor. Die DSK hatte diese Taskforce anlässlich eines Urteils des EuGH vom 05. Juni 2018 (C-210/16 „Wirtschaftsakademie“) eingerichtet. Der EuGH hatte festgestellt, dass der Betreiber einer Fanpage auf Facebook und Facebook gemeinsam Verantwortliche iSd Art. 26 DSGVO sind. Ausreichend für die gemeinsame Verantwortlichkeit war es, dass der Betreiber der Fanpage Kriterien festlegen kann, nach denen Facebook eine anonymisierte Statistik erstellt und somit „(…) an der Entscheidung über die Zwecke und Mittel der Verarbeitung der personenbezogenen Daten der Besucher seiner Fanpage beteiligt ist.“ (EuGH, Urteil v. 05.06.2018, C-210/16, Rn. 39)

Die Taskforce untersuchte in ihrem Gutachten, ob die Verwendung der sog. Insights durch die Betreiber von Fanpages vor dem Hintergrund der gemeinsamen Verantwortlichkeit nach Art. 26 DSGVO rechtmäßig ist. Insights sind von Facebook gesammelte Statistiken, mit denen das Nutzerverhalten auf Fanpages dokumentiert werden kann.

Es wurde festgestellt, dass Facebook keine ausreichenden Informationen zur Verfügung stelle, um bewerten zu können, ob die Datenverarbeitung im Zusammenhang mit Insights datenschutzkonform erfolge. Der Betreiber einer Fanpage müsse als gemeinsam mit Facebook Verantwortlicher eine für die Datenverarbeitung erforderliche Rechtsgrundlage nachweisen können.

Als Rechtsgrundlage komme weder die Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO noch ein berechtigtes Interesse nach Art. 6 Abs. 1 lit. f DSGVO in Betracht.  Aufgrund der unzureichenden Informationslage stünden den Betreibern nicht die Informationen zur Verfügung, derer es für eine wirksame Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO bedarf. Aus dem gleichen Grund könne ebenfalls keine Interessenabwägung erfolgen, die für die Begründung eines berechtigten Interesses nach Art. 6 Abs. 1 lit. f DSGVO erforderlich sei. Außerdem sei es den Betreibern einer Fanpage demnach auch nicht möglich ihren Informationspflichten nach Art. 13 DSGVO nachzukommen.

Reaktion auf das Kurzgutachten

Als Reaktion auf dieses Gutachten hat die DSK beschlossen, dass alle den Datenschutzbeauftragten des Bundes und der Länder unterstehende Bundes- und Landesbehörden ihre Facebook-Fanpages auf datenschutzrechtliche Konformität überprüfen und ggf. abstellen sollten. Aufgrund ihrer Vorbildfunktion sollten zunächst die Facebook – Fanpages öffentlicher Stellen kontrolliert werden. 

Daraufhin informierten u.a. die Datenschutzbeauftragten der Länder Bremen und Brandenburg die ihnen unterstehenden öffentlichen Behörden über die nun zu ergreifende Maßnahmen.


Schmerzensgeld aufgrund Weitergabe von Gesundheitsdaten

22. Juni 2021

Die unzulässige Weitergabe von Gesundheitsdaten rechtfertigt ein Schmerzensgeld in Höhe von 10.000 Euro, das entschied das Landgericht Meiningen mit Urteil vom 23.12.2020 (Az. (122) 3 O 363/20.

Sachverhalt

Zwischen den Parteien bestand ein Unfallversicherungsvertrag. Nachdem der Kläger einen Verkerhrsunfall erlitt und dabei schwer verletzt wurde, führten die Parteien ein Verfahren vor dem Landgericht Meiningen, in dem es um die Ansprüche aus dem Unfallversicherungsvertrag ging. Gleichzeitig führte der Kläger auch ein Verfahren gegen die Haftpflichtversicherung des anderen Unfallbeteiligten vor dem Landgericht Erfurt, in welchem es um die Geltendmachung weiterer Schadensersatzansprüche ging. Die Beklagten aus beiden Verfahren wurden dabei durch dieselbe Anwaltskanzlei vertreten.

Im Rahmen des Verfahrens vor dem Landgericht Meiningen holte der Unfallversicherer ein Gutachten zum Gesundheitszustand des Klägers ein. Mit Einverständnis der beklagten Unfallversicherung, aber ohne Einwilligung des Klägers, zitierte die für beide Verfahren zuständige Kanzlei auch im Erfurter Verfahren wörtlich aus dem Gutachten, das den Gesundheitszustand des Klägers bewertete und im Auftrag der Unfallversicherung erstellt wurde.

Darin sah der Kläger einen Vertoß gegen die vertraglichen Pflichten der Unfallversicherung, insbesondere seine Gesundheitsdaten seien besonders schützenswert, auch datenschutzrechtlich. Außerdem könne ein negativer Einfluss auf den Ausgang des Erfurter Prozesses durch das Bekanntwerden des Gutachtens nicht ausgeschlossen werden. Die Beklagte hingegen sah keinen Verstoß gegen datenschutzrechtliche Bestimmungen. Sie war der Auffassung, sie müsse sich eine etwaige Pflichverletzung Dritter, d.h. der Kanzlei, nicht zurechnen lassen. Diese sei eine eigenständige datenverarbeitende Stelle im Sinne der DSGVO.

Entscheidung

Das Gericht gab der Klage teilweise statt und sprach dem Kläger ein Schmerzensgeld in Höhe von 10.000 Euro aufgrund einer Nebenpflichtverletzung aus dem Versicherungsvertrag zu.

Dazu stellte es fest, dass die Beklagte dem Kläger gegenüber gem. § 241 Abs. 2 BGB zur Verschwiegenheit verpflichtet war. Es führte aus, dass sensible Daten des anderen Teils Dritten nicht ohne Weiteres offenbart werden dürften, und zwar auch dann nicht, wenn die Vertraulichkeit nicht spezialgesetzlich oder in Vertragsbedingungen ausdrücklich geregelt sei. Aus dem Versicherungsvertrag ergebe sich die Nebenpflicht, die aus diesem Vertragsverhältnis erlangten Daten nicht an Dritte weiterzugeben. Bei den Gesundheitsdaten handle es sich um sensible Daten, die besonders geschützt seien. Auch eine Rechtfertigung für die Weitergabe der Daten aus Art. 6 Abs. 1 lit. f DSGVO, einem berechtigten Interesse, verneinte das Gericht. Danach, so das Gericht, sei die Verarbeitung, zu der auch die Weitergabe von Daten an Dritte gehört, rechtmäßig, wenn die Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist, sofern nicht die Interessen und Grundrechte der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen.

Das Gericht sah das Recht des Klägers auf Schutz seines Allgemeinen Persönlichkeitsrechts gem. Art. 2 Grundgesetz gegenüber dem Recht der Versicherung, die in Erfurt verklagt worden war, sich im Prozess zu verteidigen, als überwiegend an. Es erkannte keinen zwingenden Grund für die Verwertung des Gutachtens in dem Verfahren in Erfurt. Zudem hätten in dem Erfurter Verfahren auch noch gerichtliche Gutachten eingeholt werden können.

Die Verletzung des Allgemeinen Persönlichkeitsrechts stufte das Gericht auch als besonders schwerwiegend ein, da es sich bei den Gesundheitsdaten um höchstpersönliche Daten der Intimssphäre handelte.

OVG Saarlouis: Daten aus E-Mail-Angaben dürfen Unternehmen nicht für Telefonwerbung verwenden

19. März 2021

Personenbezogene Daten, die Verbraucher in E-Mails angeben, dürfen von Unternehmen nicht für andere Werbezwecke genutzt werden. Das entschied das Oberverwaltungsgericht Saarlouis durch Beschluss vom 16.02.2021 (Az. 2 A 355/19) und bestätigte damit ein Urteil des Verwaltungsgerichts Saarlouis vom 29.10.2019 (Az. 1 K 732/19). Durch die Angabe einer Telefonnummer in einer E-Mail, willigt der Verbraucher nicht automatisch in Werbeanrufe ein. Nutzen Unternehmen die Telefonnummer für Werbeanrufe, liegt darin ein Verstoß gegen die DSGVO.

Hintergrund der Entscheidung:

Die Klägerin, ein Unternehmen, ist im Bereich der Versicherungsvermittlung, der Vermögensanlage sowie der Finanzierung tätig. Im Rahmen dieser Tätigkeit betrieb sie auch telefonische Werbetelefonate. Zwei Betroffene, die ebenfalls zu Werbezwecken von der Klägerin kontaktiert worden waren, beschwerten sich bei der zuständigen Datenschutzbehörde (Beklagten) darüber und gaben an, niemals eine Einwilligung in eine solche Werbeansprache erteilt zu haben. Die Datenschutzbehörde erließ nach Anhördung der Klägerin daraufhin eine Anordnung, in der sie die Klägerin zur Einstellung der Verarbeitung personenbezogener Daten für Werbezwecke nach Art. 58 Abs. 2 lit. f DSGVO sowie zur Löschung der Daten der betroffenen Personen nach Art. 58 Abs. 2 lit. g DSGVO aufforderte. Zur Begründung führte sie an, vorliegend seien Name, Adresse und Telefonnummer der Betroffenen als personenbezogene Daten gem. Art. 4 Nr. 1 DSGVO erhoben und letztere zu Zwecken des telefonischen Direktmarketings ohne Einwilligung der Betroffenen durch das Unternehmen verwendet worden.

Dagegen erhob das Unternehmen Klage und gab an, eine wirksame Einwilligung sei durch ein vollständig durchlaufendes Double-Opt-In-Verfahren eingeholt worden.

Double-Opt-In

Bei diesem Verfahren erklärt der Nutzer in einem ersten Schritt seine Zustimmung zur Aufnahme in eine Verteilerliste durch die einmalige Eingabe seiner E-Mail-Adresse (sog. Single/Einfaches-Opt-In). In einem zweiten Schritt erhält er eine sich anschließende Bestätigungs-E-Mail mit der Möglichkeit, die Anmeldung zu bestätigen. Erst mit dieser Bestätigung wird die Registrierung wirksam und das Double-Opt-In abgeschlossen.

Im konkreten Fall hätten die Betroffenen sich für ein Gewinnspiel eingetragen, woraufhin sie eine Bestätigungs-E-Mail erhielten, die diese auch bestätigten, so die Klägerin. Zum Beweis dafür wies sie eine entsprechende Online-Registrierung aus, in der eine E-Mail-Adresse und der Eingang einer Bestätigungsmail vermekt waren.

Die Betroffenen verneinten die Eintragung in einen solchen Verteiler und eine entsprechende Bestätigung.

Die Entscheidung der Gerichte

Das Verwaltungsgericht wies die Klage des Unternehmens ab, mit der Begründung, dass über das Double-Opt-In-Verfahren nur eine Einwilligung per E-Mail-Werbung generierbar sei, nicht aber auch für Telefonwerbung. Dies bestätigte das Oberverwaltungsgericht nun. Das Double-Opt-In Verfahren per E-Mail sei nicht zum Nachweis der Einwilligung in Telefonwerbung geeignet. Die Anforderungen an eine rechtmäßige Verarbeitung gem. Art. 6 Abs. 1 DSGVO erfüllte die Klägerin nicht. Nach Art. 6 Abs. 1 lit. a DSGVO ist eine Verarbeitung nur dann rechtmäßig, wenn die betroffene Person ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben hat. Beruht die Verarbeitung auf einer Einwilligung, muss der Verantwortliche gem. Art. 7 Abs. 1 DSGVO nachweisen können, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat. Diese konkreten Nachweise konnte die Klägerin im vorliegenden Fall nicht erbringen. Auch ein Rückgriff auf das in Art. 6 Abs. 1 lit. f DSGVO bezeichnete „berechtigte Interesse“, sei der Klägerin, so das OVG, verwehrt. Dies begründete es damit, dass die Bewertungsmaßstäbe des § 7 Abs. 2 Nr. 2 des Gesetzes gegen den unlauteren Wettbewerb (UWG), auch im Rahmen des Art. 6 Abs. 1 lit. f DSGVO berücksichtigt werden müssen. Nach § 7 Abs. 2 Nr. 2 UWG ist eine unzumutbare Belästigung stets anzunehmen bei Werbung mit einem Telefonanruf gegenüber dem Verbraucher, ohne dessen vorherige ausdrückliche Enwilligung. Eine Berücksichtigung etwaiger „berechtigter Interessen“ des Werbenden sei in § 7 Abs. 2 Nr. 2 UWG aber nicht vorgesehen.

Fazit

Unternehmen dürfen Telefonnummern, die sie durch das Double-Opt-In-Verfahren per E-Mail erlangt haben, nicht für Werbeanrufe nutzen. Bei einem Verstoß gegen das UWG und der DSGVO drohen hohe Bußgelder.

LG Lüneburg: Bank muss wegen Schufa-Eintrag Schadensersatz von 1.000 Euro zahlen

3. Februar 2021

Wie nun bekannt wurde, hat das Landgericht Lüneburg mit Urteil vom 14.07.2020, Az. 9 O 145/19 eine Bank zur Zahlung von Schadensersatz in Höhe von 1.000 EUR verurteilt. Für die Richter lag ein Verstoß gegen die Datenschutzgrundverordnung (DSGVO) vor, weil die Bank eine Kontoüberziehung ihres Bankkunden in Höhe von 20 Euro zu Unrecht einer Kredit-Auskunftei, der Schufa Holding AG (nachfolgend Schufa) meldete.

Sachverhalt:

Der Kläger unterhielt bei der Beklagten, einer größeren Bank, ein Girokonto. Auf dem Konto wurde dem Kläger auch ein Dispositionskredit über 1.000 Euro zur Verfügung gestellt. Dieser Dispositionskredit wurde von der Bank unter Berufung auf die Allgemeinen Geschäftsbedingungen (AGB) aus wichtigem Grund gekündigt. Zu diesem Zeitpunkt überschritt der Kläger den ihm eingeräumten Dispokredit um 20 Euro, der Sollsaldo betrug mithin 1.020 Euro. Nach Erhalt der Kündigung glich der Kläger die überzogenen 20 Euro aus, so dass das Konto des Klägers einen Sollsaldo von 999,99 Euro auswies. Weitere Verfügungen über das Konto wurden nicht mehr zugelassen. Nachdem es in der Folge mehrere Lastschriftrückgaben gab, kündigte die Beklagte sodann auch die Kontoverbindung des Klägers aus wichtigem Grund und stütze sich dabei auf einen Kündigungsgrund innerhalb ihrer AGB. Dabei setzte sie dem Kläger eine Frist zur Rückzahlung des bestehenden Schuldsaldos inklusive Zinsen. Dieser Fristsetzung kam der Kläger nach und beglich den noch offenen Sollsaldo, vor Ablauf der Frist hatte die Bank aber bereits bei der Schufa eine Negativ-Einmeldung i.H.v. 1.020 Euro veranlasst.

Dagegen erhob der Kläger Klage vor dem Landgericht Lüneburg und beantrage unter anderem den Widerruf dieser Einmeldung sowie die Zahlung eines Schmerzensgeldes.

Entscheidung:

Das Gericht gab dem Kläger teilweise Recht und verurteilte die Beklagte zum Widerruf der von ihr veranlassten Datenübermittlung an die Schufa sowie zur Zahlung eines Schadensersatzes.

Dabei hielt es einen Anspruch auf Ersatz eines immateriellen Schadens in Gestalt eines Schmerzensgeldes nach Art. 82 Abs. 1 DSGVO in Höhe von 1.000 Euro für angemessen. Den immateriellen Schaden begründete es vorliegend mit dem Kontrollverlust des Klägers über seine personenbezogenen Daten. Durch die Übermittlung der Daten an die Schufa habe die Beklagte, so das Gericht, personenbezogene Daten an einen unbeteiligten und unberechtigten Dritten weitergegeben. Dadurch sei der Kläger bloß gestellt worden und es drohe zudem mittelbar eine potenzielle Stigmatisierung, die durch einen Eintrag bei der Schufa entstehen könne. Das Gericht führte weiter aus, dass es sich bei den an die Schufa übermittelten Daten um schützenswerte und sensible Daten des Klägers handle, die maßgeblichen negativen Einfluss auf seine Teilnahme am wirtschaftlichen Verkehr haben können, indem ihm Kredite oder Verträge aufgrund der Eintragung versagt werden können. Auch Grundrechte wie die Berufsfreiheit und die allgemeine Handlungsfreiheit können durch eine solche Eintragung beeinträchtigt werden.

Vorliegend sah das Gericht daher das Interesse des Klägers, dass seine Daten nicht an die Schufa gemeldet werden und gegebenenfalls durch unbekannte Dritte eingesehen werden können, als besonders schützenswert an. Ein berechtigtes Interesse der Beklagten an der Datenübermittlung an die Schufa, verneinte das Gericht. Im Rahmen der Interessenabwägung, stütze es seine Abwägungskriterien auf § 31 Abs. 2 Nr. 4 Bundesdatenschutzgesetz (BDSG). Die Voraussetzungen des § 31 Abs. 2 Nr. 4 BDSG, wonach der Schuldner nach Eintritt der Fälligkeit der Forderung mindestens zweimal schriftlich gemahnt worden sein; die erste Mahnung mindestens vier Wochen zurückliegen; der Schuldner zuvor, jedoch frühestens bei der ersten Mahnung, über eine mögliche Berücksichtigung durch eine Auskunftei unterrichten worden sein muss und der Schuldner die Forderung nicht bestritten haben darf, lagen nach Ansicht des Gerichts nicht vor. Damit lag für das Gericht ein Indiz für die Rechtswidrigkeit der Datenübermittlung an die Schufa vor.

Ausblick:

Die Besonderheit dieses Falles liegt wohl darin, dass obwohl das Landgericht die Beeinträchtigung des Klägers als eher gering einschätzte und die Negativeintragung nur 14 Tage bestand, es dem Kläger einen Schadensersatz in Höhe von 1.000 Euro zusprach. Zudem hielt das Gericht vorliegend – anders als viele andere Gerichte – auch eine Erheblichkeitsschwelle bei einem immateriellen Schaden im Sinne des Art. 82 Abs. 1 DSGVO für nicht geboten, sondern wollte auch einen Bagatellschäden entschädigt sehen.

Es bleibt daher abzuwarten, welche Signalwirkung dieses Urteil auf andere Gerichte hat und wie die Gerichte bei einem länger andauernden Datenschutzverstoß entscheiden werden.

Polizei sammelt Covid-19 Patientenlisten

15. April 2020

In verschiedenen Bundesländern wurden Covid-19 Patientenlisten von den Gesundheitsämtern an die Polizeibehörden weitergeleitet. Derzeit bekannt ist eine Weitergabe in Niedersachsen, Bremen, Mecklenburg-Vorpommern und Baden-Württemberg. In Bayern erhielt der Landesbeauftragte für Datenschutz mehrere Anfragen, die er ablehnte. Die Covid-19 Patientenlisten enthalten personenbezogene Daten über die Personen, die sich in Quarantäne befinden. Dazu zählen sowohl sensible Gesundheitsdaten, als auch Informationen zu Quarantänebestimmungen und Kontaktpersonen.

Kritik:

Die Datenschutzbeauftragten sprechen sich überwiegend gegen eine Datenweitergabe an die Polizei aus. Der Datenschutzbeauftragte des Landes Baden-Württemberg Stefan Brink kritisierte, dass den Polizeibehörden die Rechtsgrundlage für das Handeln fehle und die Weitergabe rechtswidrig sei. Das Gesetz über den Gesundheitsdienst käme als Rechtsgrundlage nicht in Betracht, da es eine konkrete Gefahr voraussetze. Vor einem polizeilichen Einsatz bestünde für die Beamten lediglich eine potentielle Gefahr, die nicht ausreiche. Zusätzlich warnte er davor, dass auf der Grundlage weitere Behörden die Listen anfordern könnten und so eine klare Grenzziehung erschwert werden könnte. Der Präsident der Ärztekammer Mecklenburg-Vorpommern, Andreas Crusius, stellte die Erforderlichkeit der Listenweitergabe in Frage. Bei Bedarf könnte sich die Polizei alternativ jederzeit an die Amtsärzte wenden, die im Einzelfall eine Auskunft zum Gesundheitszustand der Person erteilen könnten. Außerdem bezweifelte er, dass die Listen zum Zeitpunkt der Ankunft überhaupt noch aktuell sind. Die niedersächsische Datenschutzbehörde äußerte sich ebenfalls kritisch und untersagte die Datenweitergabe. Der Datentransfer verstoße gegen den Datenschutz, die ärztliche Schweigepflicht und die Verhältnismäßigkeit. Die Polizei hatte die Datenverarbeitung auf die Gefahrenabwehr gemäß § 41 NPOG, auf das Infektionsschutzgesetz sowie den rechtfertigenden Notstand nach§ 34 StGB gestützt. Dem widersprach die niedersächsische Datenschutzbeauftrage Barbara Thiel, da der rechtfertigende Notstand gemäß § 34 StGB nicht pauschal für alle Personen gelten könne, die auf der Liste stehen.

Der Datenschutzbeauftragte von Mecklenburg-Vorpommern Heinz Müller stuft die Weitergabe der Covid-19 Liste als vertretbar ein. Die Polizei könnte ihr Vorgehen auf ihr berechtigtes Interesse, dem Infektionsschutz von Polizeibeamten, stützen. Beispielsweise müssten die Beamten vor dem Einsatz in einer häuslichen Umgebung wissen, ob in der Wohnung Covid-19 Infizierte leben. Diesbezüglich könnte jedoch erneut die fehlende Erforderlichkeit der Maßnahme und die Pauschalität kritisiert werden.

Lösungsansatz:

Das Innenministerium von Baden-Württemberg liefert einen möglichen Lösungsvorschlag für die Problematik. Es wurde eine Rechtsverordnung erarbeitet, die der Polizei, nur in Einzelfällen, den Zugriff auf eine passwortgeschützte Datenbank mit den Covid-19 Infizierten erlaubt. Die kursierenden Patientenlisten sollen vernichtet und die Betroffenen darüber informiert werden.

Berechtigtes Interesse ist weit zu interpretieren

20. November 2018

In einem Teilurteil des OLG München vom 24.10.2018 erklärt das Gericht die rechtmäßige Weitergabe von Kundendaten im Rahmen eines geltend gemachten Auskunftsanspruch aus § 242 BGB.

Zwischen der Klägerin und der Beklagten lag ein Vertragshändlervertrag vor, aus dem die Beklagte eine Vertragsverletzung im Rahmen einer Widerklage geltend machen wollte.

Hierzu machte die Beklagte einen Anspruch auf Auskunft über abgewickelte Lieferungsverträge der Klägerin geltend, die möglicherweise die Vereinbarungen aus dem gemeinsamen Vertragshändlervertrag verletzten. Sie verlangte demzufolge also eine Auskunft, welche auch eine Weitergabe der Daten von Kunden der Klägerin beinhaltete.

Nach ständiger BGH-Rechtsprechung ergibt sich ein solcher Auskunftsanspruch aus § 242 BGB (Treu und Glauben), wenn sich der Anspruchsberechtigte im Unklaren über den Umfang seines Rechts befindet und der Verpflichtete unschwer dazu in der Lage ist, die Auskunft zu erteilen.

 

In der Vorinstanz hatte das Landgericht Traunstein den Auskunftsanspruch abgelehnt. Im Gegensatz dazu sah das OLG München den Auskunftsanspruch als gegeben an und verneinte ein Entgegenstehen der Vorschriften der DSGVO.

Rechtsgrundlage bilde in diesem Fall Art. 6 Abs. 1 lit. f) DSGVO.

So habe die Beklagte bzw. Widerklägerin ein berechtigtes Interesse. Hierbei sind laut Erwägungsgrund 47 Satz 1 Halbsatz 2

 

„(…) die vernünftigen Erwartungen der betroffenen Personen, die auf ihrer Beziehung zu dem Verantwortlichen beruhen, zu berücksichtigen. Ein berechtigtes Interesse könnte beispielsweise vorliegen, wenn eine maßgebliche und angemessene Beziehung zwischen der betroffenen Person und dem Verantwortlichen besteht, z. B. wenn die betroffene Person ein Kunde des Verantwortlichen ist (…)“

 

Nach dem OLG München sei bei der vorzunehmenden Abwägung eine möglichst weite Auslegung des berechtigten Interesses als (unions-)grundrechtlich geboten. Dabei seien nicht nur rechtliche Interessen zu berücksichtigen, sondern auch wirtschaftliche oder ideelle.

Bei der Abwägung der Interessen berücksichtigte das Gericht, dass auf Seiten der Betroffenen keine höchstpersönlichen Daten oder ein besonderes Know-how der betroffenen Branche weitergegeben wurden, sondern ausschließlich wirtschaftliche Daten über mehrere Kaufabwicklungen. Diese waren zudem im konkreten Fall noch nach außen überprüfbar. Letztlich überwiege das Interesse der Beklagten an einer Durchsetzung möglicher Schadensersatzansprüche, so das OLG München.