Schlagwort: Personenbezogene Daten

Bewertungsportale: datenschutzrechtliche Risiken

28. Juli 2022

Ob für den Besuch beim Arzt oder im Restaurant: häufig nutzen Kunden Bewertungsportale, um sich beispielsweise vorab über eine Dienstleistung zu informieren oder um ihre Meinung über die Dienstleistung öffentlich kundzutun. Die Landesbeauftragte für Datenschutz und Informationsfreiheit NRW (LDI NRW) veröffentlichte diese Woche eine Stellungnahme zu den Nutzen und Risiken von online abrufbaren Bewertungsportalen.

Die Grenzen einer Bewertung

Sie betonte dabei, dass bei dem Verfassen einer Bewertung die Grenzen der Meinungsfreiheit, sowie die Grenzen des Datenschutzes zu berücksichtigen seien. Hinsichtlich der Meinungsfreiheit stellte sie fest, dass die öffentlich kundgegebene Äußerung mit dem allgemeinen Persönlichkeitsrecht der sie betreffenden Person abzuwägen sei. Die Grenze dessen, was geäußert werden darf, seien dabei Beleidigungen oder Schmähungen.

Hilfe bei Veröffentlichung von personenbezogenen Daten

Hinsichtlich des Datenschutzes stellte die LDI NRW fest, dass niemand die Veröffentlichung personenbezogener Daten in einem Bewertungsportal hinnehmen müsse. Insbesondere bei Bekanntgabe der privaten Adresse oder Telefonnummer eines Dienstleisters könne ein Verstoß gegen das Datenschutzrecht vorliegen. So könne der Dienstleister sich zur Wehr setzen, wenn ein Kunde diese Daten veröffentliche.

Als betroffene Person stellt sich die Frage, wie man gegen die Veröffentlichung der personenbezogenen Daten vorgehen kann. Die LDI NRW betonte, das insbesondere zu beachten sei, dass sich die Bewertungsportale an Datenschutzregelungen halten müssen. Insbesondere seien Kommentare in Bewertungsportalen häufig anonym. Demnach könne es schwierig sein direkt gegen den Verfasser vorzugehen. Die betroffene Person könne sich zwar an das Bewertungsportal wenden, um die Daten des Verfassers zu erfahren. Allerdings könne, bzw. müsse das Portal die Anfrage aufgrund der datenschutzrechtlichen Bestimmungen ablehnen.

Wenn der Kommentar jedoch eine falsche Tatsachenbehauptung oder Beleidigung beinhalte, könne die betroffene Person ggf. zivilrechtliche Ansprüche geltend machen. Dieser Weg sei aber oft langwierig. Ein leichterer Weg sei die Beschwerde bei dem Bewertungsportal mit der Bitte auf Löschung des Kommentars.

Eine Alternative biete die Beschwerde bei einer Datenschutzaufsichtsbehörde. Auf diese Weise könne die betroffene Person gegen eine unrechtmäßige Verarbeitung personenbezogener Daten vorgehen. Allerdings verlangen Aufsichtsbehörden häufig, dass die betroffene Person zuvor schon andere Schritte eingeleitet hat. 

VG Köln zum Berichtigungsanspruch aus Art. 16 S. 1 DSGVO

15. Juni 2022

Das Verwaltungsgericht (VG) Köln lehnte mit Urteil vom 25.03.2022 (Az.: 25 K 2138/19) einen Berichtigungsanspruch aus Art. 16 S. 1 DSGVO ab, da die Richtigkeit eines personenbezogenen Datums nicht nachgewiesen werden konnte.

Sachverhalt

Der Kläger erhob vor dem Verwaltungsgericht Klage gegen einen Ablehnungsbescheid der Beklagten aus dem Jahr 2019, nachdem diese ihm dadurch die Berichtigung seines Melderegisters verwehrt hatte. Der Kläger begehrte zuvor die Änderung seiner Wohnanschrift für den Zeitraum von Januar bis Oktober 1988. Dies lehnte die Beklagte mit der Begründung ab, dass anderweitige Daten nicht vorlägen, die Daten bereits archiviert seien und eine nachträgliche Änderung nicht mehr möglich sei.

Anwendung der DSGVO

Das Verwaltungsgericht stützt sich unter Bezugnahme auf ein Urteil des Bundesverwaltungsgerichts auf die Annahme, dass für die Frage des Bestehens eines materiellen Anspruchs gegen einen Rechtsträger der Behörde auf die Vornahme einer Handlung grundsätzlich die Sach- und Rechtslage zum Zeitpunkt der gerichtlichen Entscheidung maßgeblich sei. Somit sei § 12 Bundesmeldegesetz (BMG) in der Fassung vom 20. November 2019, welcher auf den § 6 Abs. 1 S. 2 BMG verweist, maßgeblich. Mit dieser Neufassung habe der Gesetzgeber klarstellen wollen, dass sich im Bereich des Melderechts der Berichtigungsanspruch unmittelbar aus Art. 16 DSGVO ergebe.

Entscheidung des Gerichts

Das Verwaltungsgericht Köln wies die Klage jedoch ab. Das Gericht war nicht ausreichend davon überzeugt, dass der Kläger die Anspruchsvoraussetzungen für die Berichtigung seiner Meldedaten gem. Art. 16 S. 1 DSGVO erfüllt. Zwar handle es sich bei der Anschrift des Klägers um ein personenbezogenes Datum, jedoch sei nicht erweislich, dass das Begehren der Änderung der Anschriften auch auf die „Berichtigung“ eines „unrichtigen“ Datums im Sinne des Artikels 16 DSGVO gerichtet sei. Das Tatbestandsmerkmal der „Unrichtigkeit“ sei ein objektives Kriterium, das nur auf Tatsachenangaben anwendbar ist. Die Berichtigung eines unrichtigen Datums „kann (…) nur dadurch erfolgen, dass das unrichtige Datum mit der Wirklichkeit in Übereinstimmung gebracht wird. Ein Berichtigungsanspruch kann sich deshalb nur dann aus Art. 16 S. 1 DSGVO ergeben, wenn feststeht, dass das von dem Verantwortlichen gespeicherte oder sonst verarbeitete Datum objektiv nicht mit der Realität übereinstimmt, und wenn zugleich feststeht, dass das von dem Betroffenen als richtig benannte Datum tatsächlich mit der Wirklichkeit übereinstimmt.“ (VG Köln, Urteil v. 25.03.2022, Az: 25 K 2138/19, Rn. 90). Das Gericht hielt es zwar für möglich, dass die eingetragenen Anschriften für den Zeitraum des Jahres 1988 unrichtig sind, jedoch war es nicht davon überzeugt, dass die Anschriften, welche eingetragen werden sollten, objektiv mit der Realität übereinstimmen und richtig sind.

Das Verwaltungsgericht verdeutlicht mit seinem Urteil, dass es für die gerichtliche Geltendmachung des Berichtigungsanspruchs aus Art. 16 S. 1 DSGVO nicht ausreicht nachzuweisen, dass Daten unrichtig sind oder unrichtige Daten verarbeitet werden. Zusätzlich ist es unerlässlich nachzuweisen, dass auch das als richtig benannte Datum, welches das Unrichtige ersetzen soll, objektiv mit der Realität übereinstimmt und der Wahrheit entspricht.

LG Berlin: Bloße Adresse stellt keinen hinreichenden Personenbezug i.S.d DSGVO dar

7. Juni 2022

Das Landgericht (LG) Berlin hat am 27.01.2022 (AZ 26 O 177/21) entschieden, dass die bloße Adresse ohne Bezugnahme auf eine Person keinen hinreichenden Personenbezug darstellt.

Die Klägerin machte zuvor Trennungs- und Kindesunterhalt gegen ihren Mann vor dem Amtsgericht (AG) Pankow/Weißensee geltend. Im Rahmen dieses Verfahrens ‚googelte‘ die Richterin die Adresse der Klägerin, um sich einen Überblick über die Wohnverhältnisse zu verschaffen. In einem Beschluss des AG heißt es dann: „[…] bei einer bei Google Maps ersichtlichen Grundfläche des Doppelhauses […]“.

Die Klägerin hatte in die Recherche mittels Google Maps nicht eingewilligt und sah darin eine Rechtsverletzung. Bei ihrer Wohnadresse handele es sich um personenbezogene Daten. Durch die Nutzung des Suchdienstes habe eine Datenübermittlung in die USA und somit in ein Drittland stattgefunden. Sie begehrt Schadensersatz i.H.v. 2.000 EUR und beruft sich auf Art. 82 DSGVO.

Diesen Anspruch wies das LG Berlin nun ab. Einen Verstoß gegen die DSGVO sah das Gericht nicht, sodass ein Schadensersatzanspruch nicht in Betracht käme. Im Ergebnis läge weder eine rechtswidrige Verarbeitung von personenbezogenen Daten nach Art. 5 DSGVO vor, noch eine Übermittlung in ein Drittland nach Art. 44 DSGVO. Dem Gericht fehlte es vor allem an einem Personenbezug i.S.d. Art. 4 DSGVO:

„Personenbezogene Daten“ sind gemäß Art. 4 Nr. 1 DSGVO alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann. In der bloßen Eingabe einer (puren) Adresse ist noch kein personenbezogenes Datum zu erblicken. Denn die bloße Adresse ohne Bezugnahme auf eine Person – sei es durch namentliche Nennung, sei es durch die Bezugnahme auf ein diese Adresse betreffendes Eigentums-, Besitz- oder Mietverhältnis o.ä. – stellt keinen hinreichenden Personenbezug dar.“

Auch sei kein Bezug zwischen Verfahrensbeteiligung/-stellung einer Person und der eingegebenen Adresse hergestellt worden. Vorschriften aus der DSGVO seien also nicht betroffen.

Weiterhin konnte das LG Berlin eine Amtspflichtverletzung der Richterin nicht erkennen. Die Klage wurde vollumfänglich abgewiesen.

Stellt das Versenden eines unverschlüsselten USB-Sticks mit sensiblen personenbezogenen Daten durch einfachen Brief einen Verstoß gegen die DSGVO dar?

16. November 2021

Der Kläger machte gegen die Beklagte immaterielle Schadensersatzansprüche im Zusammenhang mit dem vermeintlichen Verlust eines USB-Sticks, auf dem sich personenbezogene Daten des Klägers und seiner Ehefrau befanden, geltend. Das Landgericht Essen hatte darüber zu entscheiden (Urteil vom 23.9.‌2021 – 6 O 190/21).  

1. Sachverhalt

Der Kläger und seine Ehefrau fragten bei der Beklagten eine Immobilienfinanzierung an. Um der Anfrage nachzukommen, warfen sie einen nicht verschlüsselten USB-Stick in den Briefkasten der Beklagten ein. Der Datenträger enthielt neben Kopien von Ausweisdokumenten auch Steuerunterlagen und Daten zu Bestandsimmobilien. Zu einem Vertragsschluss kam es zwischen dem Kläger und der Beklagten letzten Endes nicht. Die Beklagte schickte sodann den USB-Stick mit einfacher Post an den Kläger und seine Ehefrau zurück. Dieser Brief kam nach Aussagen des Klägers nicht bei ihm oder seiner Ehefrau an. Der Kläger sah in dem Verlust des Datenträgers einen Verlust über die Kontrolle seiner personenbezogenen Daten. In der Folgezeit forderte der Kläger in seiner Klage vor dem LG Essen immateriellen Schadensersatz in Höhe von insgesamt 30.000,- EUR an.

Der Kläger trug vor, die Beklagte habe gegen die in Art. 24, 25 Abs. 1, 32 DSGVO genannten Verpflichtungen verstoßen. Der Briefversand des USB-Sticks mit sensiblen personenbezogenen Kundendaten ohne weitere Sicherheitsmaßnahmen habe nicht den gesetzlichen Anforderungen an die Sicherheit und Vertraulichkeit der Datenverarbeitung entsprochen. Es komme hinzu, dass  die Beklagte gegen Informationspflichten nach Art. 34 Abs. 2, 33 Abs. 3 lit. b-d) DSGVO verstoßen habe. Daher habe der Kläger gegen die Beklagte einen Anspruch auf den Ersatz immaterieller Schadensersatzansprüche nach Art. 82 Abs. 1 DSGVO. (Ansprüche, die nicht aus der DSGVO herrühren bleiben in diesem Beitrag außen vor.)

2. Entscheidung

a) Kein Verstoß gegen Art. 24, 25 Abs. 1, 32 DSGVO

Ein Verstoß gegen Art. 24, 25 Abs. 1, 32 DSGVO lag nach Auffassung des Gerichts nicht vor. Hiernach hat der Verantwortliche unter Berücksichtigung des Stands der Technik, der Implementierungskosten, der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen zu treffen und umzusetzen, um sicherzustellen, dass die Verarbeitung gemäß der DSGVO erfolgt und dadurch die Rechte der betroffenen Personen geschützt werden.

Die Beklagte habe jedoch, mit dem Untergang des USB-Sticks auf dem Postweg, nicht gegen die besagten Vorschriften verstoßen. Es gibt keinen Grund, weshalb die Beklagte den USB-Stick nicht mit einfachem Brief an den Kläger und seine Ehefrau hätte versenden dürfen. Auch andere wichtige Dokumente werden regelmäßig mit der Post verschickt. Dem Gericht erschließe sich nicht, weshalb zwischen ausgedruckten Dokumenten, die naturgemäß unverschlüsselt übersandt werden, und digitalen Dokumenten auf einem unverschlüsselten USB-Stick unterschieden werden soll.

b) Verstoß gegen Art. 33, 34 Abs. 2 DSGVO

Unterstellt, der USB-Stick sei tatsächlich verloren gegangen, wäre nach Ansicht des Gerichts ein Verstoß gegen die Pflicht zur Meldung von festgestellten Datenschutzverletzungen nach Art. 33 DSGVO gegeben. Weiterhin bejahte das LG Essen für diesen Fall einen Verstoß gegen Art. 34 Abs. 2 DSGVO, da die erforderlichen Informationen von der Beklagten dem Kläger nicht mitgeteilt wurden.

c) Abtretbarkeit von Art. 82 Abs. 1 DSGVO

Zunächst befasste sich das Gericht mit der Frage, ob immaterielle Schadensersatzansprüche gem. Art. 82 Abs. 1 DSGVO nach § 398 BGB wirksam abgetreten werden können. Das AG Hannover hatte in einer vorausgehenden Entscheidung die Zulässigkeit einer solchen Abtretung verneint. In der Begründung hieß es, dass ein solcher Anspruch als höchstpersönlich und damit als nicht abtretbar bewertet werde (ZD 2021, 176). Das LG Essen war jedoch der Meinung, dass grundsätzlich jede Forderung abtretbar sei. Ein Abtretungsverbot nach §§ 399, 400 BGB bestehe im vorliegenden Fall nicht. Zudem sei die Abtretung nicht durch eine Vereinbarung ausgeschlossen. Die Abtretung erfordere auch keine inhaltliche Änderung der Leistung i. S. v. § 399 BGB. Das Gericht hatte hinsichtlich der Wirksamkeit der Abtretung auch in Bezug auf die Bestimmtheit keine Bedenken.

Es reiche aus, wenn im Zeitpunkt des Entstehens der Forderung bestimmbar sei, ob sie von der Abtretung erfasst werde. In dem Abtretungsvertrag hieß es, dass dem Zedenten aus einer datenschutzrechtlichen Verletzung Schadensersatzansprüche gegen die Beklagte – in einer noch durch ein Gericht festzulegenden Höhe – zustehen. Zudem wurde der Grund des Schadensersatzanspruchs näher beschrieben.

d) Substanziierte Darlegung des immateriellen Schadens

Trotz eines möglichen Verstoßes gegen Art. 33, 34 Abs. 2 DSGVO verneinte das Gericht jedoch einen Anspruch nach Art. 82 Abs. 1 DSGVO. Denn der Kläger konnte nach Auffassung des LG Essen nicht hinreichend substanziiert darlegen, dass ihm oder seiner Ehefrau ein erheblicher Schaden entstanden sei. Nach Ansicht des Gerichts gelten für den immateriellen Schadensersatz nach Art. 82 DSGVO die im Rahmen von § 253 BGB entwickelten Grundsätze. Für die Bemessung einer Schadenshöhe könnten die Kriterien des Art. 83 Abs. 2 DSGVO herangezogen werden.

Allein die Verletzung des Datenschutzrechts als solche begründe aber noch keinen Schadensersatzanspruch. Die Verletzungshandlung müsse nach Ansicht des Gerichts zu einer konkreten, nicht nur unbedeutenden oder empfundenen Verletzung von Persönlichkeitsrechten führen. Es müsse um eine objektiv nachvollziehbare, mit gewissem Gewicht erfolgte Beeinträchtigung von persönlichkeitsbezogenen Belangen gehen.

Corona-Daten gelangen ins Netz

12. November 2021

In mehreren Berliner Corona-Testzentren hatten die Betreiber eine unsichere Software-Lösung benutzt. Dies hat dazu geführt hat, dass hunderttausende Nutzerdaten von Getesteten im Internet aufgetaucht sind. Betroffen sind diejenigen Kunden, die sich bei Testzentren „Schnelltest Berlin“ haben testen lassen. Das IT-Kollektiv „Zerforschung“ fand heraus, dass aufgrund einer nicht geschützten Schnittstelle verschiedener Testanbieter die Daten ins Netz gelangen konnten und somit für Dritte einsehbar waren.

Neben sensiblen, personenbezogenen Daten wie Name, Anschrift oder Telefonnummer befanden sich darunter offenbar auch Testergebnisse und Zertifikate des Robert-Koch-Instituts (RKI). Weiter fand Zerforschung heraus, dass sich auch Testzertifikate für PCR-Tests erstellen ließen. So konnten die Programmierer ein Zertifikat über ein negatives Corona-Testergebnis für einen von ihnen frei gewählten Namen ausstellen. In einem Versuch generierten sie einen PCR-Test, der mit negativem Ergebnis für einen fiktiven 177 Jahre alten Mann ausgestellt werden konnte. Hinzu kommt, dass das manipulierte Testzertifikat selbst den sogenannten BärCODE enthielt. Dieser markiert Zertifikate im Normalfall als offiziell und gilt als Sicherheitsmerkmal.

Nach Aufdeckung der Sicherheitslücken informierte Zerforschung die zuständigen Stellen. Der Betreiber der in Rede stehenden IT-Datenbank „WeCare Services“ hat auf Nachfrage gegenüber dem rbb die Datenpanne zugegeben und versichert, die Lücken seien inzwischen geschlossen. Kunden wurden bisher nicht über die Datenlücke informiert.

Der Zusammenschluss „Schnelltest Berlin“ ist nicht der einzige Anbieter, der Sicherheitsmängel aufweist. Auch andere Teststellen gehen unverantwortlich mit Daten um. Dementsprechend sind diese Fehler weitverbreitet, so Zerforschung gegenüber rbb24.

Reform des Berliner Schulgesetzes: Stärkung des Datenschutzes

19. Oktober 2021

Insbesondere die letzten zwei Jahre haben deutlich gezeigt, dass digitale Plattformen auch im Schulbereich für den Fortlauf der Wissensvermittlung unerlässlich sind. Allerdings werden hierbei personenbezogene Daten von Kindern verarbeitet, was viele Unsicherheiten zwischen den beteiligten Parteien hervorruft.

Eltern, Lehrer*innen und Schüler*innen wurden aus verschiedenen Perspektiven vor eine Herausforderungen gestellt. So fehlt regelmäßig die Rechtsgrundlage für die Verarbeitung personenbezogener Daten bei der Nutzung von digitalen Lernmitteln im Unterricht. Datenschutzrechtlich ist demnach die Einholung von Einwilligungen gemäß Artikel 6 Absatz 1 lit. a) DSGVO für die Nutzung von digitalen Lernräumen notwendig.

In Berlin wurde durch die Reform des Berliner Schulgesetzes am 16. September 2021, durch weitreichende Änderungen der datenschutzgerechte digitale Unterricht neu geregelt. Durch die Neuerungen wurden weitreichende inhaltliche Regelungen vorgenommen. Demnach ist unter anderem die Einholung der Einwilligung nicht mehr notwendig. Das neue Gesetz verpflichtet darüber hinaus die Berliner Senatsverwaltung für Bildung, regelmäßig datenschutzkonforme Lehrmittel festzulegen.

Die Beauftragte für Datenschutz und Informationsfreiheit in Berlin, Maja Smoltczyk, nennt die vorgenommenen Änderungen des Berliner Schulgesetzes „richtungsweisend für andere Bundesländer“. Digitale Lernmittel haben in ihrem Einsatz in Berliner Schulen durch das Berliner Schulgesetz sicheren Boden gefunden, betont Smoltczyk und sieht durch die Neuerung „die Berliner Schulen für das digitale Zeitalter gewappnet.

Durch die Reform wurde nicht nur Rechtssicherheit bei der Verwendung von digitalen Lehrmitteln erzielt, sondern auch Kapazitäten für die pädagogischen Aspekte des Schulwesens wieder frei.

Anspruch auf Auskunft und unentgeltiche Kopie der eigenen Prüfungsklausuren

23. Juli 2021

Ein Examensabsolvent hat Anspruch auf zur Verfügung Stellung einer kostenfreien Kopie der eigenen Examensklausuren mitsamt Prüfergutachten. Das hat das Oberverwaltungsgericht Münster (OVG Münster) mit Urteil vom 08.06.2021, 16 A 1582/20 entschieden und folgt damit einer extensiven Auslegung des Auskunftsanspruchs aus Art. 15 Abs. 3 DSGVO.

Das Verfahren

Dem Rechtsstreit vorausgegangen war ein Antrag des Klägers aus dem Jahr 2018 auf kostenlose Übersendung von Kopien seiner angefertigten Examensklausuren. Da das Prüfungsamt dem Examensabsolventen die Kopien seiner Examensklausuren nur gegen Zahlung eines Vorschusses zur Verfügung stellen wollte, zu dessen Zahlung der Kläger unter Berufung auf die Datenschutz-Grundverordnung nicht bereit war, erhob der Kläger Klage vor dem Verwaltungsgericht Gelsenkirchen. Das VG Gelsenkirchen verurteilte das Land NRW dazu, dem Kläger unentgeltlich Kopien seiner Examensklausuren nebst Prüfergutachten zur Verfügung zu stellen.

Die dagegen eingelegte Berufung des Landesjustizprüfungsamts (LJPA) hat das OVG Münster zurückgewiesen und bestätigte damit das Urteil der Vorinstanz.

Zur Begründung führte es aus, dass der Kläger gem. Art. 15 Abs. 3 DSGVO i.V.m. Art. 12 Abs. 5 DSGVO einen Anspruch auf unentgeltliche zur Verfügung Stellung einer Kopie seiner Examensklausuren nebst Prüfergutachten habe.

Der Auskunftsanspruch

Art. 15 DSGVO gewährt betroffenen Personen das Recht von einem Verantwortlichen z.B. einem Unternehmen oder einer Behörde Auskunft über ihre dort gespeicherten personenbezogenen Daten zu verlangen und verpflichtet dabei zugleich den Verantwortlichen, der betroffenen Person bestimmte Informationen auf Antrag zur Verfügung zu stellen. Nach Art. 15 Abs. 3 DSGVO stellt der Verantwortliche eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, der betroffenen Person zur Verfügung. Welche Daten und Informationen von diesem Auskunftsanspruch aus Art. 15 Abs. 3 DSGVO umfasst sind, ist umstritten. Insbesondere über die Frage, ob Prüfungsklausuren nebst Prüfergutachten von diesem Anspruch umfasste Informationen darstellen können, besteht Uneinigkeit.

Während eine Auffassung davon ausgeht, der Auskunftsanspruch müsse auf solche Informationen beschränkt werden, die Art. 15 Abs. 1 DSGVO ausdrücklich nennt, so dass betroffene Personen nur eine Kopie der Informationen darüber verlangen können, ob ihre personenbezogenen Daten gespeichert werden und um welche es sich dabei ggf. handelt (sog. enge/restriktive Auslegung). Geht eine andere Meinung – so auch das OVG Münster – von einer weiten Auslegung des Auskunftsanspruchs aus.

Die Entscheidung

Im vorliegenden Fall entschied das OVG daher, dass es sich bei den angefertigten Klausuren und den dazugehörigen Prüfergutachten um personenbezogene Daten i.S.v. Art. 4 Nr. 1 DSGVO handle, die durch das LJPA i.S.v. Art. 4 Nr. 2 DSGVO verarbeitet wurden und daher vom Auskunftsanspruch aus Art. 15 Abs. 3 DSGVO umfasst seien. Diese Auffasung, so das OVG Münster, würde auch durch die Rechtsprechung des Europäischen Gerichtshofs (EuGH) bestätigt. So hat der EuGH u.a. in einem Urteil vom 20. Dezember 2017 entschieden, dass die schriftlichen Antworten eines Prüflings in einer berufsbezogenen Prüfung und etwaige Anmerkungen des Prüfers dazu Informationen über den Prüfling und damit personenbezogene Daten darstellen.

Offengelassen hat das OVG, ob der Ausnahmetatbestand des Art. 12 Abs. 5 S. 2 DSGVO auch Fälle umfasst, in denen betroffene Personen mit der Ausübung des Auskunftsanspruchs allein oder ganz überwiegend datenschutzfremde Zwecke verfolgt.

Auswirkungen auf die Praxis:

Ob andere Gerichte dieser extensiven Auslegung des Auskunftsanspruchs folgen werden, bleibt abzuwarten. Wegen der grundsätzlichen Bedeutung der Rechtssache hat das OVG die Revision zugelassen. Das Urteil dürfte aber auch für die Praxis und Unternehmen, die Prüfungen abseits von juristischen Staatsexamensklausuren anbieten, von Bedeutung sein. Inbesondere dann, wenn die zur Verfügung Stellung von Prüfungsunterlagen auch Auswirkungen auf das Geschäftsmodell und interne Prüfungsabläufe hat, kann dieses Urteil Verantwortliche bei der Erfüllung des Auskunftsbegehrens vor neue Herausforderungen – nicht nur finanziell – stellen. Auch der Nachweis, ob datenschutzfremde Zwecke verfolgt werden, dürfte in der Praxis nur schwer zu erbringen sein.

Kündigung wegen exzessiver Privatnutzung des Dienst-PC

16. April 2021

Nutzt ein Arbeitnehmer trotz Verbots der Privatnutzung seinen Dienst-PC während der Arbeitszeit, um damit umfangreich im Internet zu surfen oder private E-Mails zu verfassen, so kann dies eine fristlose Kündigung rechtfertigen. Das hat das Landesarbeitsgericht Köln (LAG Köln) im Falle eines Arbeitnehmers entschieden, der an mehreren Tagen durchgehend und über Monate hinweg regelmäßig Website-Aufrufe und E-Mails zu privaten Zwecken tätigte.

Sachverhalt

Im vorliegenden Fall stellte der Arbeitgeber, ein IT-Dienstleistungsunternehmen, dem Arbeitnehmer als Arbeitsmittel ein Laptop zur Verfügung. Im Hinblick auf die Nutzung dieses dienstlichen Laptops vereinbarten die Parteien als Anlage zum Arbeitsvertrag unter anderem, das Verbot der Nutzung für private Zwecke, insbesondere des Besuchs von Internetseiten zu privaten Zwecken. Weiter vereinbarten Sie, dass der Arbeitgeber die auf den Arbeitsmitteln befindlichen Daten aus Zwecken der Zuordnung zu geschäftlichen oder privaten Vorgängen überprüft und auswertet.

Trotz dieses Verbots nutzte der Arbeitnehmer das Laptop in ehrheblichem zeitlichen Umfang für private Angelegenheiten während seiner Arbeitszeit. So schrieb er diverse private E-Mails, surfte innerhalb eines Arbeitstages auf 205 Websites zu privaten Zwecken oder rief das E-Mail-Konto seiner privaten Firma insgesamt 559 Mal während seiner Arbeitszeit auf. Nachdem der Arbeitgeber dies bemerkte, kündigte er dem Arbeitnehmer fristlos aus wichtigtem Grund gem. § 626 Abs. 1 BGB, da er darin einen Arbeitszeitbetrug sah. Der Arbeitnehmer erhob dagegen Kündigungsschutzklage vor dem Arbeitsgericht, das die Klage abwies. Auch die Berufung des Arbeitsnehmers vor dem LAG Köln hatte keinen Erfolg.

Das LAG Köln sah in dem Verhalten des Arbeitnehmers ebenfalls eine Pflichtverletzung und mithin einen Arbeitszeitbetrug des Arbeitnehmers, der eine fristlose Kündigung des Arbeitgebers rechtfertigte. Insbesondere war für das Gericht offensichtlich, dass der Arbeitnehmer, entgegen seiner Behauptung, zwischen den einzelnen Website-Aufrufen innerhalb eines Zeitraums von weniger als ein bis zwei Minuten, keine Arbeitsleistung erbringen konnte.

Verstoß gegen Datenschutzvorschriften

Auch einen Verstoß gegen Datenschutzvorschriften verneinte das Gericht. Der Arbeitnehmer hatte „massive Verstoße gegen den Datenschutz“ gerügt.

Der Arbeitgeber konnte die Internetaktivität des Arbeitnehmers durch eine Auswertung der Browser-Verläufe sowie des Browser-Caches nachweisen. Vor diesem Hintergrund musste das Gericht prüfen, ob die Inhalte der E-Mails auf dem dienstlichen Laptop sowie die Einträge in den Log-Dateien des Internet-Browsers einem prozessualen Verwertungsverbot unterliegen, da sie z.B. rechtswidrig erlangt worden sind.

Dies verneinte das Gericht. Dazu stellte es fest, dass es sich bei den in den Log-Dateien der Internet-Browser auf dem Laptop des Arbeitnehmers erfolgenden Protokollierungen sowie bei denen im E-Mail-Programm gespeicherten E-Mails zwar um personenbezogene Daten i.S.d. Art. 4 Nr. 1 DSGVO handelt, die ohne eine rechtswirksame Einwilligung des Arbeitnehmers im Rahmen der Protokollierung der Internetzugriffsdaten verarbeitet wurden gem. Art. 4 Nr. 2 DSGVO. Eine Rechtsgrundlage für eine wirksame Verarbeitung der personenbezogenen Daten des Arbeitnehmers sah das Gericht aber in § 26 Abs. 1 BDSG. Danach dürfen Beschäftigtendaten für Zwecke des Beschäftigungsverhältnisses verarbeitet werden, wenn dies für die Durchführung des Beschäftigungsverhältnisses erforderlich ist. Dieses Erfordernis bejahte das Gericht. Seine Begründung stützte es darauf, dass die Protokollierung der Verlaufsdaten sowie die Speicherung der E-Mails im Rahmen der Durchführung des Arbeitsverhältnisses erforderlich waren, um die Einhaltung des Verbots der privaten Nutzung des Internets und der E-Mails überprüfen zu können, d.h. zu Zwecken der Missbrauchskontrolle.

Zusammenfassung

Bei einem Verstoß gegen das Verbot der privaten Internetnutzung können Log-Dateien des Arbeitnehmers zum Nachweis des Missbrauchs verarbeitet werden. Voraussetzung dafür ist aber, dass die datenschutzrechtlichen Vorgaben von dem Arbeitgeber berücksichtigt werden und eine solche Verarbeitung nicht heimlich erfolgen sollte. Bei einem solchen Vorgang sollte daher zwingend eine entsprechende arbeits- sowie datenschutzrechtliche Expertise eingeholt werden.

Hessische Aufsichtsbehörde prüft Fiebermessung im Apple Store

16. Juni 2020

Seit der coronabedingten Zwangsschließung des Einzelhandels, hat der Großteil der Geschäfte seinen Betrieb wieder aufgenommen. Mit der Öffnung gingen die Einführung präventiver Maßnahmen, wie der obligatorischen Gesichtsmaske und der Limitierung der gleichzeitigen Ladenbesucher, einher. Apple geht in seinen Apple-Stores noch einen Schritt weiter und hat die in anderen Ländern bereits praktizierte Maßnahme der Fiebermessung bei Kunden eingeführt.

Diese Fiebermessung wird nun durch den Landesdatenschutzbeauftragten Hessens auf Konformität mit den bestehenden Datenschutzregeln geprüft.

Personenbezogene Daten

Vorab stellt sich die Frage, ob die Körpertemperatur überhaupt ein personenbezogenes Datum ist. Personenbezogene Daten sind gemäß Art. 4 Nr. 1 DS-GVO alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Zwar ist die gemessene Körpertemperatur eine individuelle Eigenschaft einer Person, aber das macht diese Eigenschaft nicht automatisch personenbezogen. Für so einen Bezug muss zumindest der Name der gemessenen Person bekannt sein.

Dem Apple-Mitarbeiter ist diese Person jedoch nicht bekannt. Damit ist eine nachträgliche Zuordnung von einer Person und der Körpertemperatur nicht möglich, so dass ein Personenbezug nicht gegeben ist. Eine Zuordnung von Körpertemperatur und personenbezogenen Daten erfolgt auch nicht beim Kauf eines Produktes. Egal, ob mit Kreditkarte, durch Barzahlung oder Apple-ID. Der Kaufvorgang steht in keinem Zusammenhang mit dem Fiebermessen. Dies ist jedoch nur solange gewährleistet, wie der Mitarbeiter beim Fiebermessen keine Verkaufstätigkeiten im Laden vornimmt.

Problematisch könnte jedoch eine Videoüberwachung im Laden sein. Die Videoüberwachung erfasst die gesamte Ladenfläche und eventuell auch den Eingangsbereich des Ladens, wo die Fiebermessung vorgenommen wird. Im ungünstigsten Fall könnte die Kamera die Anzeige der Körpertemperatur aufzeichnen.

Verhältnismäßigkeit

Viel mehr Gewicht kommt hingegen dem Argument der Verhältnismäßigkeit zuteil. Natürlich kann Apple sich auf die Privatautonomie berufen und die Fiebermessung als Bedingung zum Ladenbesuch machen. Auch steht der Datenschutz einer Person nicht über der Gesundheit der Allgemeinheit, so dass die Gesundheit aller Kunden Vorrang genießt. Allerdings stellt die Fiebermessung einen großen Eingriff in die Privatsphäre dar.

Unter dem Aspekt der Gesundheit stellt die Fiebermessung keine besonders wirksame Maßnahme dar. Die lange Inkubationszeit des Covid-19-Virus hat zur Folge, dass Infizierte das Virus vielfach weitergeben können, bis überhaupt erste Fiebersymptome auftreten. Oder sie weisen gar keine Symptome auf. Auch ist eine erhöhte Körpertemperatur nicht immer ein Indiz für eine Covid-19-Infektion, sondern kann auch „nur“ eine normale Erkältung sein. Mithilfe von fiebersenkenden Mitteln können Kunden außerdem mutwillig ihre Erkrankung verschleiern. Damit birgt die Fiebermessung nur eine Scheinsicherheit.

Fazit

Wenn der hessische Datenschutzbeauftrage an dem Argument der Scheinsicherheit festhält und die Fiebermessung als unverhältnismäßig erklärt, könnte er ein Verbot der Fiebermessung aussprechen. Dann müsste Apple diese einstellen oder bei Zuwiderhandlung mit Bußgeldern rechnen.

Welche Maßnahmen zum Schutz vor einer Corona-Infektion zulässig sind, können Sie hier nachlesen.

Personenbezug von Daten – relativ oder absolut?

6. November 2018

Entscheidend für die Anwendbarkeit des Datenschutzrechts ist der Personenbezug von Daten. Nach dem Wortlaut der DSGVO liegen personenbezogene Daten vor, wenn Informationen einer identifizierten oder identifizierbaren natürlichen Person zugeordnet werden können (Art. 4 Nr. 1 DSGVO). Die Qualifikation als personenbezogenes Datum ist manchmal jedoch schwieriger als es die Definition auf den ersten Blick verspricht. In der Rechtsprechung haben sich daher insbesondere zwei Theorien entwickelt, um die Bestimmung zu vereinfachen. So kann es einerseits bei der Herstellung des Personenbezugs auf das Wissen und die Mittel irgendeiner beliebigen Person ankommen (absolute Theorie) oder andererseits auf das Wissen und die Mittel der datenverarbeitenden Stelle (relative Theorie).

Zu unterscheiden sind personenbezogene Daten jedoch zunächst von Sachdaten und aggregierten Daten. Anders als personenbezogene Daten beziehen sich Sachdaten – wie bereits der Wortlaut vermuten lässt – nicht auf Personen sondern ausschließlich auf eine Sache. Demgegenüber beziehen sich aggregierte Daten auf eine Personengruppe und lassen daher keinen Rückschluss auf eine individuelle Person zu. Der Anwendungsbereich der DSGVO ist nicht eröffnet, wenn kein Personenbezug besteht. Zu tragen kommt diese Abgrenzungsfrage z.B. bei Informationen, die im Rahmen der Nutzung eines Kfz erhoben werden können. Informationen wie z.B. der Bremsweg, der Tachostand oder der Benzinverbrauch geben zunächst nur Informationen über das Fahrzeug. Lassen sich diese Informationen aber einen Fahrer oder Fahrzeughalter zuordnen, geben diese Daten Informationen über die Fahrweise oder den Wert des KFZ. In diesen Fällen sind es keine Sachdaten, sondern personenbezogene Daten. Daher ist in Einzelfällen der Personenbezug erst mit weiterem Wissen eines Dritten herzustellen.

Die Frage nach der Anwendung der absoluten oder relativen Theorie ist umstritten. Um den – meist rechtstheoretisch geführten Streit – zu entscheiden bzw. um Argumente für die eine oder die andere Theorie zu finden können unter Anderem die gesetzgeberischen Erwägungsgründe, die der DSGVO zu Grunde liegen, herangezogen werden.

Erwägungsgrund 26 lautet hierzu wie folgt:

„(…) Um festzustellen, ob eine natürliche Person identifizierbar ist, sollten alle Mittel berücksichtigt werden, die von dem Verantwortlichen oder einer anderen Person nach allgemeinem Ermessen wahrscheinlich genutzt werden, um die natürliche Person direkt oder indirekt zu identifizieren, wie beispielsweise das Aussondern. Bei der Feststellung, ob Mittel nach allgemeinem Ermessen wahrscheinlich zur Identifizierung der natürlichen Person genutzt werden, sollten alle objektiven Faktoren, wie die Kosten der Identifizierung und der dafür erforderliche Zeitaufwand, herangezogen werden, wobei die zum Zeitpunkt der Verarbeitung verfügbare Technologie und technologische Entwicklungen zu berücksichtigen sind (…).“

Erwägungsgrund 26 stellt zwar neben dem Verantwortlichen auch auf das Wissen Dritter ab. Dieser zunächst absolut klingende Ansatz wird dann aber wieder relativiert. Die Identifizierung der natürlichen Person durch den Verantwortlichen über das Zusatzwissen eines Dritten muss demnach auch nach objektiven Kriterien wahrscheinlich sein.

In dem Verfahren Breyer / Deutschland (Urt. v. 18.10.2016) geht auch der EuGH davon aus, dass der Verantwortliche auch auf Wissen und Mittel Dritter zurückgreifen kann, um den Personenbezug herzustellen. Es kommt dabei jedoch nicht auf das Wissen jedes beliebigen Dritten an. Vielmehr muss die Identifizierung der Person nach objektiven Kriterien wie Kosten, Arbeitsaufwand und bestehender gesetzliche Erlaubnis zur Identifizierung der Person wahrscheinlich sein.

Als Folge des umstrittenen und nicht klar entschiedenen Theorienstreits sollte in der Praxis stets aufgrund des vorliegenden und relevanten Sachverhaltes eine Einzelfallprüfung erfolgen, ob Daten personenbezogen sind oder es sich vielmehr um Sach- oder aggregierte Daten handelt.

 

 

1 2