Schlagwort: DSGVO

Der neue § 7a UWG und die Einwilligung in Telefonwerbung

4. Januar 2022

Am 1. Oktober 2021 ist der neue § 7a UWG (Gesetz gegen den unlauteren Wettbewerb) zur erforderlichen Einwilligung in Telefonwerbung gegenüber Verbrauchern in Kraft getreten. Der neue § 7a UWG dient mit seinen Dokumentations- und Aufbewahrungspflichten der effizienteren Gestaltung der Sanktionierung von unerlaubter Telefonwerbung. Die praktischen Auswirkungen des neuen § 7a UWG dürften in der Praxis für die meisten werbetreibenden Unternehmen eher gering sein. Schon vor den Neuerungen bestand aufgrund der DSGVO und des UWG die (faktische) Pflicht, eine Einwilligung nachzuweisen. So musste bereits nach Art. 7 Abs. 1 DSGVO der Unternehmer die Einwilligung des Verbrauchers in die Telefonwerbung aufzeigen.

Einwilligung dokumentieren

Der Unternehmer hat die Einwilligung des Verbrauchers zunächst einzuholen, eine Formvorschrift gibt es hierfür nicht, jedoch muss der Unternehmer diese „in angemessener Form“ dokumentieren. Aus der Dokumentation muss zwingend hervorgehen, dass die personenbezogenen Daten und die entsprechende Einwilligung zur werblichen Verwendung über den behaupteten Weg eingeholt wurden und die Person, deren personenbezogene Daten in der Einwilligung genannt werden, diese auch abgegeben hat. Als Beispiel für eine zulässige Form nennt die Gesetzesbegründung die Dokumentation der mündlichen Einwilligung im Wege der Tonaufzeichnung. Zur Notwendigkeit der Einwilligung des Betroffenen in die Tonaufzeichnung selbst sagt die Gesetzesbegründung an dieser Stelle jedoch nichts. Ohne Einwilligung ist die Aufzeichnung von Tonaufnahmen grundsätzlich strafbar und ein Datenschutzverstoß. Folglich müsste der Betroffene praktisch gesehen zweifach einwilligen: zum einen in die Aufzeichnung seiner Einwilligung und des Weiteren darin, dass er mit Werbeanrufen einverstanden ist.

Die Aufbewahrungspflicht der Einwilligung

Sodann ist der Unternehmer zur Aufbewahrung der Einwilligung für fünf Jahre ab deren Erteilung sowie nach jeder Verwendung der Einwilligung verpflichtet. Diese Verpflichtung, die Einwilligungserklärungen 5 Jahre aufzubewahren, gab es bislang so nicht. Der Unternehmer muss auf Verlangen der Bundesnetzagentur als zuständige Behörde die Einwilligung unverzüglich vorlegen. Die Löschfrist ist sehr gewissenhaft einzuhalten und gleichzeitig ist Art. 5 DSGVO hinsichtlich der Datenminimierung und Datensparsamkeit zu berücksichtigen.

Ein Verstoß gegen die Dokumentations- oder Aufbewahrungspflicht kann mit einer Geldbuße bis zu 50.000 Euro geahndet werden. Ein Werbeanruf gänzlich ohne Einwilligung des Verbrauchers kann hingegen bis zu 300.000 Euro kosten.

Kategorien: Allgemein · DSGVO
Schlagwörter: , ,

Stellt das Versenden eines unverschlüsselten USB-Sticks mit sensiblen personenbezogenen Daten durch einfachen Brief einen Verstoß gegen die DSGVO dar?

16. November 2021

Der Kläger machte gegen die Beklagte immaterielle Schadensersatzansprüche im Zusammenhang mit dem vermeintlichen Verlust eines USB-Sticks, auf dem sich personenbezogene Daten des Klägers und seiner Ehefrau befanden, geltend. Das Landgericht Essen hatte darüber zu entscheiden (Urteil vom 23.9.‌2021 – 6 O 190/21).  

1. Sachverhalt

Der Kläger und seine Ehefrau fragten bei der Beklagten eine Immobilienfinanzierung an. Um der Anfrage nachzukommen, warfen sie einen nicht verschlüsselten USB-Stick in den Briefkasten der Beklagten ein. Der Datenträger enthielt neben Kopien von Ausweisdokumenten auch Steuerunterlagen und Daten zu Bestandsimmobilien. Zu einem Vertragsschluss kam es zwischen dem Kläger und der Beklagten letzten Endes nicht. Die Beklagte schickte sodann den USB-Stick mit einfacher Post an den Kläger und seine Ehefrau zurück. Dieser Brief kam nach Aussagen des Klägers nicht bei ihm oder seiner Ehefrau an. Der Kläger sah in dem Verlust des Datenträgers einen Verlust über die Kontrolle seiner personenbezogenen Daten. In der Folgezeit forderte der Kläger in seiner Klage vor dem LG Essen immateriellen Schadensersatz in Höhe von insgesamt 30.000,- EUR an.

Der Kläger trug vor, die Beklagte habe gegen die in Art. 24, 25 Abs. 1, 32 DSGVO genannten Verpflichtungen verstoßen. Der Briefversand des USB-Sticks mit sensiblen personenbezogenen Kundendaten ohne weitere Sicherheitsmaßnahmen habe nicht den gesetzlichen Anforderungen an die Sicherheit und Vertraulichkeit der Datenverarbeitung entsprochen. Es komme hinzu, dass  die Beklagte gegen Informationspflichten nach Art. 34 Abs. 2, 33 Abs. 3 lit. b-d) DSGVO verstoßen habe. Daher habe der Kläger gegen die Beklagte einen Anspruch auf den Ersatz immaterieller Schadensersatzansprüche nach Art. 82 Abs. 1 DSGVO. (Ansprüche, die nicht aus der DSGVO herrühren bleiben in diesem Beitrag außen vor.)

2. Entscheidung

a) Kein Verstoß gegen Art. 24, 25 Abs. 1, 32 DSGVO

Ein Verstoß gegen Art. 24, 25 Abs. 1, 32 DSGVO lag nach Auffassung des Gerichts nicht vor. Hiernach hat der Verantwortliche unter Berücksichtigung des Stands der Technik, der Implementierungskosten, der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen zu treffen und umzusetzen, um sicherzustellen, dass die Verarbeitung gemäß der DSGVO erfolgt und dadurch die Rechte der betroffenen Personen geschützt werden.

Die Beklagte habe jedoch, mit dem Untergang des USB-Sticks auf dem Postweg, nicht gegen die besagten Vorschriften verstoßen. Es gibt keinen Grund, weshalb die Beklagte den USB-Stick nicht mit einfachem Brief an den Kläger und seine Ehefrau hätte versenden dürfen. Auch andere wichtige Dokumente werden regelmäßig mit der Post verschickt. Dem Gericht erschließe sich nicht, weshalb zwischen ausgedruckten Dokumenten, die naturgemäß unverschlüsselt übersandt werden, und digitalen Dokumenten auf einem unverschlüsselten USB-Stick unterschieden werden soll.

b) Verstoß gegen Art. 33, 34 Abs. 2 DSGVO

Unterstellt, der USB-Stick sei tatsächlich verloren gegangen, wäre nach Ansicht des Gerichts ein Verstoß gegen die Pflicht zur Meldung von festgestellten Datenschutzverletzungen nach Art. 33 DSGVO gegeben. Weiterhin bejahte das LG Essen für diesen Fall einen Verstoß gegen Art. 34 Abs. 2 DSGVO, da die erforderlichen Informationen von der Beklagten dem Kläger nicht mitgeteilt wurden.

c) Abtretbarkeit von Art. 82 Abs. 1 DSGVO

Zunächst befasste sich das Gericht mit der Frage, ob immaterielle Schadensersatzansprüche gem. Art. 82 Abs. 1 DSGVO nach § 398 BGB wirksam abgetreten werden können. Das AG Hannover hatte in einer vorausgehenden Entscheidung die Zulässigkeit einer solchen Abtretung verneint. In der Begründung hieß es, dass ein solcher Anspruch als höchstpersönlich und damit als nicht abtretbar bewertet werde (ZD 2021, 176). Das LG Essen war jedoch der Meinung, dass grundsätzlich jede Forderung abtretbar sei. Ein Abtretungsverbot nach §§ 399, 400 BGB bestehe im vorliegenden Fall nicht. Zudem sei die Abtretung nicht durch eine Vereinbarung ausgeschlossen. Die Abtretung erfordere auch keine inhaltliche Änderung der Leistung i. S. v. § 399 BGB. Das Gericht hatte hinsichtlich der Wirksamkeit der Abtretung auch in Bezug auf die Bestimmtheit keine Bedenken.

Es reiche aus, wenn im Zeitpunkt des Entstehens der Forderung bestimmbar sei, ob sie von der Abtretung erfasst werde. In dem Abtretungsvertrag hieß es, dass dem Zedenten aus einer datenschutzrechtlichen Verletzung Schadensersatzansprüche gegen die Beklagte – in einer noch durch ein Gericht festzulegenden Höhe – zustehen. Zudem wurde der Grund des Schadensersatzanspruchs näher beschrieben.

d) Substanziierte Darlegung des immateriellen Schadens

Trotz eines möglichen Verstoßes gegen Art. 33, 34 Abs. 2 DSGVO verneinte das Gericht jedoch einen Anspruch nach Art. 82 Abs. 1 DSGVO. Denn der Kläger konnte nach Auffassung des LG Essen nicht hinreichend substanziiert darlegen, dass ihm oder seiner Ehefrau ein erheblicher Schaden entstanden sei. Nach Ansicht des Gerichts gelten für den immateriellen Schadensersatz nach Art. 82 DSGVO die im Rahmen von § 253 BGB entwickelten Grundsätze. Für die Bemessung einer Schadenshöhe könnten die Kriterien des Art. 83 Abs. 2 DSGVO herangezogen werden.

Allein die Verletzung des Datenschutzrechts als solche begründe aber noch keinen Schadensersatzanspruch. Die Verletzungshandlung müsse nach Ansicht des Gerichts zu einer konkreten, nicht nur unbedeutenden oder empfundenen Verletzung von Persönlichkeitsrechten führen. Es müsse um eine objektiv nachvollziehbare, mit gewissem Gewicht erfolgte Beeinträchtigung von persönlichkeitsbezogenen Belangen gehen.

Die irische Datenschutzbehörde befürwortet das Umgehen der DSGVO seitens Facebook

22. Oktober 2021

Hintergrund

Mit Einführung der DSGVO am 25.Mai 2018 erhielten Verbraucher besondere Rechte. Unter anderem sollte sichergestellt werden, dass große Konzerne die (sensiblen) personenbezogenen Daten ihrer Nutzer nicht gegen deren Willen sammeln und verarbeiten.

Von der Verarbeitung personenbezogener Daten lebt jedoch das Geschäftsmodell von Social Media Anbietern wie Facebook, denn durch die Auswertung des Nutzerverhaltens kann Werbung auf die jeweiligen Nutzer- Interessen genau zugeschnitten werden.

Facebook wendet bislang folgenden Trick an, um die personenbezogenen Nutzerdaten zu eigenen Zwecken verarbeiten zu können und damit die Voraussetzungen der DSGVO zu umgehen: Die Einwilligung wurde vollständig in die AGB verschoben, denen potenzielle Nutzer zustimmen müssen, um Facebook überhaupt benutzen zu können. Auf eine separate Einwilligung verzichtete Facebook. So werden strenge Anforderungen der DSGVO, wie die freiwillige Einwilligung in die Verarbeitung personenbezogener Daten und das jederzeitige Widerspruchsrecht hinsichtlich dessen, umgangen. Die Betroffenenrechte der DSGVO sind so praktisch ausgehebelt. Facebooks rechtliche Argumentation ist simpel: Wird die Vereinbarung als “Vertrag” gemäß Art. 6 Abs.1 lit.b DSGVO statt als “Einwilligung” gemäß Art.6 Abs.1 lit.a DSGVO ausgelegt, sollen die strengen Vorschriften der DSGVO für den Konzern nicht mehr gelten.

Dem österreichischen Juristen und Datenschutz-Aktivisten Max Schrems entgingen Facebooks Änderungen nicht. Er reichte damals Beschwerde bei der zuständigen Aufsichtsbehörde in Irland ein. Die hat nun, mehr als drei Jahre später, eine vorläufige Entscheidung getroffen. Es ist ein Bußgeld in Höhe von 28 bis 36 Millionen Euro für Facebook vorgesehen. Allerdings soll Facebook weiterhin an seiner Art und Weise der Zustimmungspraxis festhalten dürfen. Kritisch wurde lediglich die Herangehensweise von Facebook angemerkt. So habe Facebook auf die Verschiebung der Einwilligung zur Datennutzung in die AGB nicht transparent hingewiesen. Dies ist sodann auch der Grund für das Bußgeld in Höhe von 28 bis 36 Millionen.

Aktuell

Letzte Woche schickte die irische Datenschutzbehörde ein Schreiben an NOYB, dessen Vorsitzender Max Schrems ist.  In diesem Schreiben wird NOYB dazu aufgefordert, einen Entscheidungsentwurf unverzüglich von ihrer Website zu entfernen und von jeder weiteren oder sonstigen Veröffentlichung oder Weitergabe desselben abzusehen. Zuvor legte die irische Datenschutzbehörde den anderen europäischen Datenschutzbehörden einen “Entscheidungsentwurf“ bezüglich des juristischen Tricks, mit dem Facebook die DSGVO umgeht, vor. Diesen Entscheidungsentwurf hat NOYB sodann veröffentlicht. NOYB weist jede Aufforderung seitens der irischen Datenschutzbehörde ab, den Entwurf zu entfernen; gemäß Art. 80 DSGVO sieht sich NOYB in der Pflicht, mit den Behörden zusammenzuarbeiten und die Entwicklung der DSGVO zu verfolgen. Hierunter fallen auch Veröffentlichungen von Entscheidungen, die für die Öffentlichkeit von Bedeutung sind.

Eingabe von falscher E-Mail-Adresse stellt keinen Datenschutzverstoß dar

13. Oktober 2021

Die norwegische Datenschutzbehörde äußerte sich vor kurzem, dass ein Unternehmen, das eine Email mit persönlichen Daten an eine falsche Email Adresse geschickt hatte, keinen Datenschutzverstoß begangen hatte.

Was war passiert?

Der Betroffene hatte sich bei der norwegischen Behörde gemeldet, nachdem seine Kaufbestätigung und Rechnung an eine andere Email-Adresse als die seine versandt wurden. Die Email-Adresse des tatsächlichen Empfängers gehörte einem anderen Kunden des Unternehmens und war bis zum “@” identisch mit der des Betroffenen. Der Betroffene ging deshalb von einer unternehmensinternen Verwechslung aus und machte diese als Verstoß gegen die DSGVO geltend. Weiterhin kontaktierte er wiederholt das Unternehmen, um die Verwechslung anzuzeigen und seine Daten korrigieren zu lassen.

Wie äußerte sich die Datenschutzbehörde?

Die Datenschutzbehörde geht davon aus, dass in dem ursprünglichen Versand der Email kein Verstoß gegen die DSGVO zu sehen ist. Vielmehr schien der Betroffene selbst seine Email-Adresse falsch eingegeben zu haben. Jedoch kritisierte die Behörde, dass das Unternehmen auf die wiederholten Versuche zur Kontaktaufnahme durch den Betroffenen nicht reagierte. So dauerte es mehr als 6 Monate, bis eine Korrektur der Email-Adresse vorgenommen wurde. Dies kritisierte die Behörde vor allem mit Blick auf die einmonatige Frist, die sich aus Art. 12 Abs. 3 DSGVO ergibt und sah hierin einen Verstoß gegen die DSGVO. Maßnahmen ergreift die Behörde keine, sie weist aber auf ihre Protokollierung solcher Fälle hin.

Neues Datenschutzgesetz in China verabschiedet

1. September 2021

Am 01.09.2021 tritt das neue Datensicherheitsgesetz in China in Kraft. Doch daneben gibt es auch ein neues Datenschutzgesetz, das am 01.11.2021 in Kraft treten soll. Damit reagiert die Zentralregierung der Kommunistischen Partei auf die Sorgen der chinesischen Bevölkerung über Datenmissbrauch, insbesondere durch große Technologie- und Internetkonzerne. Auf den ersten Blick gibt es Ähnlichkeiten zur europäischen Datenschutz-Grundverordnung, es lohnt sich jedoch, einen zweiten Blick auf das Gesetz zu werfen.

Zu den Ähnlichkeiten zählt zunächst der recht weite Anwendungsbereich des neuen chinesischen Datenschutzgesetzes. Der Umgang mit personenbezogenen Daten muss einen angemessenen Zweck verfolgen und auf den minimalen Umfang beschränkt werden. Außerdem gibt es Einschränkungen für Profiling und die Information und Zustimmung der Betroffenen wird wichtiger. Richtlinien zur Übermittlung der Daten ins Ausland sind ebenso vorhanden wie die Pflicht ausländischer Unternehmen, einen Verantwortlichen als Ansprechpartner für chinesische Behörden zu benennen.

Neben diesen Aspekten, die so oder ähnlich in der DSGVO zu finden sind, fehlen jedoch wesentliche Prinzipien derselben. Zwar können einzelne Personen in Zukunft Rechtsmittel bei Datenpannen einlegen, den Strauß an Betroffenenrechten der DSGVO sucht man jedoch vergebens. Ein Pendant zur Datenschutzrichtlinie für Polizei und Justiz gibt es ebenfalls nicht. Der größte Unterschied ist jedoch, dass staatliche Akteure größtenteils nicht unter die neuen Regelungen fallen.

Der chinesische Staat sammelt selbst große Mengen an Daten über seine Einwohner, inklusive eines großen Sozialkreditsystems. Dies wird auch durch das neue Gesetz nicht unterbunden werden, es geht eher darum, große Technologiekonzerne zu regulieren. Unternehmen wie Alipay oder Wechat wurden in den letzten Jahren kaum reguliert und haben dadurch eine Vormachtstellung eingenommen. Das Gesetz könnte daher in Zukunft auch dazu eingesetzt werden, diese Vormachtstellung der Technologiekonzerne einzudämmen, in der Vergangenheit wurde dafür beispielsweise auch das Kartellrecht genutzt.

Großbritannien will sich von DSGVO lösen

30. August 2021

Letzten Donnerstag kündigte die britische Regierung an, sich zukünftig von den wesentlichen Inhalten der DSGVO trennen und ein neues Gesetz einführen zu wollen. Der Datenschutz solle weniger bürokratisch sein und einige Vorschriften sollen abgeschafft werden. Konkret als Beispiele wurden dabei die Cookie-Banner genannt, die von Minister Oliver Dowden in vielen Fällen als ‚sinnlos‘ angesehen werden. Diese Banner, die vom Webseiten-Besucher eine Einwilligung in das Speichern seiner Daten durch Cookies verlangen, sollen nach dem Willen der britischen Regierung zukünftig nur noch erforderlich sein, wenn ein hohes Risiko für die Privatsphäre der Besucher besteht. Dabei sollen vor allem kleine Unternehmen und Wohltätigkeitsorganisationen entlastet werden. Nach der Aussage von Oliver Dowden soll von diesen nicht dasselbe verlangt werden, wie von riesigen Social-Media-Unternehmen.

Auch freiere internationale Datenflüsse sind geplant. Dazu will Großbritannien Datenschutzvereinbarungen mit weiteren Staaten abschließen, u.a. den USA und Dubai. Die Abkommen sollen dabei z.B. Online-Banking und die Strafverfolgung regeln.

Eingerichtet werden soll auch ein ExpertInnen-Rat, der “International Data Transfers Expert Council”. Dieser Rat soll Vereinbarungen treffen und gleichzeitig auf die Einhaltung des Datenschutzes achten.

Der Vorschlag für das neue Gesetz soll im Laufe des Septembers veröffentlich werden. Die EU-Kommission plant dann eine sofortige Überprüfung, ob das geplante Gesetz dem Datenschutzniveau der EU entspricht. Sollte dies nicht der Fall sein, hätte dies Folgen für den erst seit zwei Monaten bestehenden Angemessenheitsbeschluss. Dieser kann jederzeit ausgesetzt und beendet werden, bekräftigte ein Kommissionsprecher. Dann würde die Datenübertragung zwischen Großbritannien und der EU wieder wesentlich komplizierter. Da Datentransfers sodann einer erneuten Überprüfung unterliegen und zum Beispiel Standardvertragsklauseln geschlossen werden müssen. Großbritanniens Minister Dowden versichert hingegen, das Datenschutzniveau der EU würde beibehalten.

Es ist das erste Mal seit dem Austritt Großbritanniens aus der EU, dass die britische Regierung europäische Regeln verwerfen will. Die weitere Entwicklung bliebt abzuwarten und wird maßgeblich von dem Inhalt des Gesetzesentwurfes abhängen.

Kein Schadensersatz für verspätete Auskunftserteilung

6. August 2021

Auskunftsanspruch

In Kapitel 3 der Datenschutz-Grundverordnung (DSGVO) werden die Rechte von Betroffenen, deren Daten verarbeitet werden umfassend normiert. So regelt Art. 15 Abs. 1 DSGVO beispielsweise das Auskunftsrecht von betroffenen Personen gegenüber dem Verantwortlichen. Danach hat jede Person, deren Daten von einem Verantwortlichen, beispielsweise einem Unternehmen oder einer Behörde verarbeitet werden, einen Anspruch darauf zu erfahren, ob und wenn ja, welche sie betreffenden personenbezogene Daten von diesem Verantwortlichen verarbeitet, z.B. gespeichert werden. Macht die betroffene Person ein solches Auskunftsverlangen geltend, hat der Verantwortliche dem Betroffenen gem. Art. 12 Abs. 3 DSGVO die verlangte Auskunft unverzüglich, spätestens aber innerhalb eines Monats nach Eingang des Antrags zur Verfügung zu stellen. Der Betroffene kann über diese Daten gem. Art. 15 Abs. 3 DSGVO auch eine Kopie verlangen. Die Auskunftserteilung muss zudem kostenlos erfolgen, so dass der Verantwortliche nach Art. 12 Abs. 5 DSGVO nur bei offenkundig unbegründeten oder – insbesondere im Fall von häufiger Wiederholung – exzessiven Anträgen einer betroffenen Person ein angemessenes Entgelt verlangen oder die Auskunft verweigern darf.

Welche Daten und Informationen von diesem Auskunftsanspruch aus Art. 15 Abs. 3 DSGVO umfasst sind und damit wie umfassend eine solche Datenauskunft zur erfolgen hat, ist umstritten. Wir berichteten.

Sachverhalt

In einem dem Landgericht Bonn (LG Bonn) zugrundeliegenden Fall hat die Klägerin einen Anspruch auf Datenauskunft gem. Art. 15 Abs. 1 DSGVO i.V.m. Art. 12 DSGVO gegenüber ihrem ehemaligen Anwalt, dem Beklagten geltend gemacht. Sie verlangte von diesem eine vollständige Datenauskunft zu den bei ihm über die Klägerin vorhandenen personenbezogenen Daten nebst Zurverfügungstellung einer Datenkopie. Da der Beklagte diesem Begehren länger als acht Monate nicht nachkam, erhob die Klägerin Klage vor dem LG Bonn und verlangte u.a. neben der vollständigen Datenauskunft auch Schmerzensgeld für die verzögerliche Erteilung der Datenauskunft.

Entscheidung

Das LG Bonn, dass das Auskunftsbegehren nach Art. 15 DSGVO zwar bejahte, verneinte eine Entschädigung für die verspätete Datenauskunft gem. Art. 82 Abs. 1 DSGVO.

Nach Art. 82 Abs. 1 DSGVO hat jede Person, der wegen eines Verstoßes gegen die DSGVO ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadenersatz gegen den Verantwortlichen.

Das LG Bonn verneinte das Vorliegen eines Verstoßes gegen die DSGVO wegen der um mehr als einen Monat verspäteten Auskunftserteilung. Art. 82 DSGVO umfasse nur die Fälle, in denen ein Schaden durch eine nicht der DSGVO entsprechenden Verarbeitung entstanden sei. D.h. um einen Schadensersatzanspruch auszulösen, komme – so das Gericht – nur ein verordnungswidriger Verstoß durch die Verarbeitung selbst in Betracht. Eine bloße Verletzung der Informationsrechte der betroffenen Person aus Art. 12-15 DSGVO führe aber nicht schon dazu, dass eine Datenverarbeitung, infolge derer das Informationsrecht entstanden ist, selbst verordnungswidrig ist. Dementsprechend löse auch die um mehr als acht Monate verzögerte Auskunftserteilung grundsätzlich keinen Schadensersatzanspruch aus.

Außerdem habe die Klägerin auch nicht dargelegt, dass ihr ein Schaden entstanden sei. Das bloße “warten” auf eine Auskunftserteilung genügt nach Ansicht des Gerichts jedenfalls nicht, um einen solchen Anspruch zu begründen.

Schmerzensgeld aufgrund Weitergabe von Gesundheitsdaten

22. Juni 2021

Die unzulässige Weitergabe von Gesundheitsdaten rechtfertigt ein Schmerzensgeld in Höhe von 10.000 Euro, das entschied das Landgericht Meiningen mit Urteil vom 23.12.2020 (Az. (122) 3 O 363/20.

Sachverhalt

Zwischen den Parteien bestand ein Unfallversicherungsvertrag. Nachdem der Kläger einen Verkerhrsunfall erlitt und dabei schwer verletzt wurde, führten die Parteien ein Verfahren vor dem Landgericht Meiningen, in dem es um die Ansprüche aus dem Unfallversicherungsvertrag ging. Gleichzeitig führte der Kläger auch ein Verfahren gegen die Haftpflichtversicherung des anderen Unfallbeteiligten vor dem Landgericht Erfurt, in welchem es um die Geltendmachung weiterer Schadensersatzansprüche ging. Die Beklagten aus beiden Verfahren wurden dabei durch dieselbe Anwaltskanzlei vertreten.

Im Rahmen des Verfahrens vor dem Landgericht Meiningen holte der Unfallversicherer ein Gutachten zum Gesundheitszustand des Klägers ein. Mit Einverständnis der beklagten Unfallversicherung, aber ohne Einwilligung des Klägers, zitierte die für beide Verfahren zuständige Kanzlei auch im Erfurter Verfahren wörtlich aus dem Gutachten, das den Gesundheitszustand des Klägers bewertete und im Auftrag der Unfallversicherung erstellt wurde.

Darin sah der Kläger einen Vertoß gegen die vertraglichen Pflichten der Unfallversicherung, insbesondere seine Gesundheitsdaten seien besonders schützenswert, auch datenschutzrechtlich. Außerdem könne ein negativer Einfluss auf den Ausgang des Erfurter Prozesses durch das Bekanntwerden des Gutachtens nicht ausgeschlossen werden. Die Beklagte hingegen sah keinen Verstoß gegen datenschutzrechtliche Bestimmungen. Sie war der Auffassung, sie müsse sich eine etwaige Pflichverletzung Dritter, d.h. der Kanzlei, nicht zurechnen lassen. Diese sei eine eigenständige datenverarbeitende Stelle im Sinne der DSGVO.

Entscheidung

Das Gericht gab der Klage teilweise statt und sprach dem Kläger ein Schmerzensgeld in Höhe von 10.000 Euro aufgrund einer Nebenpflichtverletzung aus dem Versicherungsvertrag zu.

Dazu stellte es fest, dass die Beklagte dem Kläger gegenüber gem. § 241 Abs. 2 BGB zur Verschwiegenheit verpflichtet war. Es führte aus, dass sensible Daten des anderen Teils Dritten nicht ohne Weiteres offenbart werden dürften, und zwar auch dann nicht, wenn die Vertraulichkeit nicht spezialgesetzlich oder in Vertragsbedingungen ausdrücklich geregelt sei. Aus dem Versicherungsvertrag ergebe sich die Nebenpflicht, die aus diesem Vertragsverhältnis erlangten Daten nicht an Dritte weiterzugeben. Bei den Gesundheitsdaten handle es sich um sensible Daten, die besonders geschützt seien. Auch eine Rechtfertigung für die Weitergabe der Daten aus Art. 6 Abs. 1 lit. f DSGVO, einem berechtigten Interesse, verneinte das Gericht. Danach, so das Gericht, sei die Verarbeitung, zu der auch die Weitergabe von Daten an Dritte gehört, rechtmäßig, wenn die Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist, sofern nicht die Interessen und Grundrechte der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen.

Das Gericht sah das Recht des Klägers auf Schutz seines Allgemeinen Persönlichkeitsrechts gem. Art. 2 Grundgesetz gegenüber dem Recht der Versicherung, die in Erfurt verklagt worden war, sich im Prozess zu verteidigen, als überwiegend an. Es erkannte keinen zwingenden Grund für die Verwertung des Gutachtens in dem Verfahren in Erfurt. Zudem hätten in dem Erfurter Verfahren auch noch gerichtliche Gutachten eingeholt werden können.

Die Verletzung des Allgemeinen Persönlichkeitsrechts stufte das Gericht auch als besonders schwerwiegend ein, da es sich bei den Gesundheitsdaten um höchstpersönliche Daten der Intimssphäre handelte.

Kopien von Examensklausuren müssen kostenfrei zur Verfügung gestellt werden

10. Juni 2021

Das Oberverwaltungsgericht für das Land Nordrhein-Westfalen hat auf der Grundlage der Datenschutz-Grundverordnung entschieden, dass die Kopien von Examensklausuren den Kandidaten kostenfrei zur Verfügung gestellt werden müssen. Damit bestätigte es das erstinstanzliche Urteil des Verwaltungsgerichts Gelsenkirchen.

Im Jahr 2018 hatte der Kläger erfolgreich an der zweiten juristischen Staatsprüfung teilgenommen und anschließend beim Landesjustizprüfungsamt die Zusendung seiner Klausurunterlagen nebst Prüfergutachten beantragt. Diesem Antrag wollte das LJPA nur gegen Zahlung eines Vorschusses von 69,70 € für die Kopie von 348 Seiten nachkommen. Der Absolvent verweigerte die Zahlung, das LJPA anschließend die Zusendung. Das VG Gelsenkirchen verurteilte das Land NRW nach der Klage des Absolventen dazu, die Kopien kostenfrei zur Verfügung zu stellen. Das OVG NRW hat die Berufung des Landes NRW nun zurückgewiesen.

Aus Art. 15 Abs. 3 DSGVO folgt der Anspruch auf unentgeltliche Zurverfügungstellung einer Kopie von allen den Klägern betreffenden personenbezogenen Daten, auf postalischem oder elektronischem Weg. Davon seien auch die Klausuren und Prüfergutachten umfasst. Das OVG konnte weder Ausnahmen noch Anhaltspunkte dafür erkennen, dass sich der Kläger rechtsmissbräuchlich verhalte oder dem LJPA ein unverhältnismäßig großer Aufwand entstehe. Wegen der grundsätzlichen Bedeutung wurde die Revision zum Bundesverwaltungsgericht zugelassen.

Europäischer Datenschutzbeauftragter leitet nach dem “Schrems II-Urteil” Untersuchungen bei EU-Institutionen ein

27. Mai 2021

Der Europäische Datenschutzbeauftragte (EDSB) hat in einer Pressemitteilung erklärt, dass er zwei Untersuchungen im Hinblick auf das im vergangenen Jahr erlassene Schrems-II-Urteil eingeleitet hat. Eine zur Nutzung von Cloud-Diensten, die von Amazon Web Services (AWS) und Microsoft bereitgestellt und im Rahmen von sog. Cloud II-Verträgen von Institutionen, Einrichtungen und Agenturen der Europäischen Union genutzt werden, und eine zur Nutzung von Microsoft 365 durch die Europäische Kommission.

Hintergrund der Untersuchung ist, dass der EDSB im Oktober vegangenen Jahres die EU-Instiutionen dazu aufforderte, über ihre Übermittlung personenbezogener Daten an Drittländer Bericht zu erstatten. Das Ergebnis der Umfrage machte deutlich, dass auch EU-Institutionen die Tools und Dienste von internationalen Dienstleistern nutzen und damit personenbezogene Daten außerhalb der EU und insbesondere in die USA übertragen werden.

Der EDSB, Wojciech Wiewiórowski, sagte: “Nach dem Ergebnis der Berichterstattung durch die EU-Institutionen und -Einrichtungen haben wir bestimmte Arten von Verträgen ermittelt, die besondere Aufmerksamkeit erfordern, und aus diesem Grund haben wir beschlossen, diese beiden Untersuchungen einzuleiten. Mir ist bekannt, dass die „Cloud II-Verträge“ Anfang 2020 vor dem Urteil „Schrems II“ unterzeichnet wurden und dass sowohl Amazon als auch Microsoft neue Maßnahmen angekündigt haben, um sich dem Urteil anzupassen. Dennoch reichen diese angekündigten Maßnahmen möglicherweise nicht aus, um die vollständige Einhaltung des EU-Datenschutzrechts und damit die Notwendigkeit einer ordnungsgemäßen Untersuchung sicherzustellen.“

Nun will der EDSB sicherstellen, dass auch von EU-Institutionen die europäische Datenschutzgrundverordnung (DSGVO) eingehalten wird und EU-Institutionen in Bezug auf Privatssphäre und Datenschutz mit gutem Beispiel vorangehen.

Ziel der Untersuchungen ist es, die Einhaltung des Urteils bei den EU-Institutionen zu bewerten und die Empfehlungen bei der Nutzung von Produkten von US-Anbietern umzusetzen.

Die Tatsache, dass auch der EDSB Untersuchungen aufgenommen hat, zeigt einmal mehr, dass der Datentransfer in Drittländer und Sofortmaßnahmen dagegen dringend erforderlich sind. Gleichzeitig dürfte das Ergebnis dieser Untersuchungen auch wegweisend für einen weiteren Umgang mit den genannten Dienstleistern sein.