Schlagwort: Recht auf Löschung

Schadensersatz für vergessenes Online-Profil nach Beendigung des Arbeitsverhältnisses

1. März 2021

Übersieht ein Arbeitgeber bei der Beendigung des Beschäftigungsverhältnisses, dass das Profil eines ehemaligen Arbeitnehmers weiterhin im Internet abrufbar ist, so liegt darin eine Persönlichkeitsrechtsverletzung, die einen Schmerzensgeldanspruch des Arbeitnehmers rechtfertigt.

Das hat das Landesarbeitsgericht Köln mit Urteil vom 14.09.2020 (Az.: 2 Sa 358/20) entschieden, als es der Klägerin, die bei der Beklagten bis August 2018 als Professorin beschäftigt war, ein Schmerzensgeld von 300 Euro zusprach.

Die Beklagte speicherte im Rahmen des Beschäftigungsverhältnisses das Profil der Klägerin als PDF auf ihrer Homepage. 2015 stellte die Beklagte ihre Homepage auf HTML um. Dabei übersah sie, dass die isolierte PDF-Datei weiterhin im Internet abrufbar blieb. Mit der Folge, dass auch bei Beendigung des Beschäftigungsverhältnisses, als die Beklagte die Löschung des Profils der Klägerin nebst Foto vornahm, diese das PDF ebenfalls übersah.

Nach Beendigung des Arbeitsverhältnisses im Februar 2019 entdeckte die Klägerin dies, als sie ihren Namen googelte und das PDF unter den ersten zehn Treffern abrufbar war. Daraufhin verlangte sie von der Beklagten die Löschung des Profils sowie von Artikeln über ihre Forschungsvorhaben. Dem kam die Beklagte unverzüglich nach. Dennoch erhob die Klägerin Klage vor dem Arbeitsgericht Köln und verlangte von der Beklagten unter anderem ein Schmerzensgeld in Höhe von 1.000 Euro aus Art. 82 DSGVO wegen der unberechtigten Vorhaltung des PDF auf dem Server der Beklagten.

Erstinstanzlich hat das Arbeitsgericht Köln der Klägerin Schadensersatz nach Art. 82 DSGVO in Höhe von 300 Euro zugesprochen, da es in der Vorhaltung des PDF eine Persönlichkeitsrechtsverletzung der Klägerin – und mithin einen immateriellen Schaden – sah. Dagegen legte die Klägerin Berufung ein. Das Landesarbeitsgericht Köln lehnte die Berufung der Klägerin ab. Dazu bestätigte es die Ausführungen der ersten Instanz nochmals:

Die Beklagte habe gegen Art. 17 DSGVO, das Recht auf Löschung, verstoßen. Danach hat die betroffene Person das Recht, von einem Verantwortlichen zu verlangen, dass die betreffenden personenbezogenen Daten unverzüglich gelöscht werden, sofern diese nicht mehr notwendig sind. Die Beklagte hätte daher nach Beendigung des Arbeitsverhältnisses das Profil der Klägerin vollständig löschen müssen. Eine vollumfängliche Löschung nahm sie, wenn auch aus einem Versehen heraus, vorliegend aber nicht vor. Darin sah das Gericht einen Verstoß. Bei diesem handelte es sich laut Gericht auch nicht um ein Bagatelldelikt, da es für Dritte ohne Weiteres möglich war, durch Eingabe der entsprechenden Suchbegriffe die zu Unrecht nicht gelöschte Seite aufzurufen.

Der Höhe nach gaben beide Instanzen der Klage jedoch nicht vollumfänglich statt. Zwar soll die Verhängung eines Schadensersatzes abschreckende Wirkung haben, um zukünftige Verstöße zu vermeiden – zu berücksichtigen sei aber ebenfalls die Schwere der Beeinträchtigung. Eine solche Schwere, die ein Schmerzensgeld von 1.000 Euro rechtfertigt, konnten beide Instanzen nicht erkennen. Insbesondere verneinten sie eine Reputationsschädigung der Klägerin. Vielmehr waren die veröffentlichten Tatsachen über die Klägerein inhaltlich richtig. Zudem sei auch nicht erkennbar, dass für die Beklagte irgendein Mehrwert mit der kurzzeitigen Aufrechterhaltung der Sichtbarkeit des PDF verbunden war. Daher – und unter Berücksichtigung, dass es sich nur um ein Versehen der Beklagten handelte – sei im vorliegenden Fall ein Schmerzensgeld von 300 Euro angemessen.

Beim Ausscheiden von Mitarbeitern sollte unter Berücksichtigung des Art. 17 Abs. 1 DSGVO daher immer geprüft werden, ob die Voraussetzung für einen Löschanspruch bzw. für eine Löschpflicht durch den Arbeitgeber vorliegt. Dies dürfte bei der Beendigung eines Arbeitsverhältnisses fast immer der Fall sein, da der primäre Zweck der Datenspeicherung bzw. -verarbeitung in Form des Beschäftigtenverhältnisses in diesem Fall nicht mehr besteht.

Zulässigkeit der Nennung von Klarnamen in Bewertungsportalen

19. Januar 2021

Mit der Frage, ob eine Kundin ihre persönliche Bewertung einer Bäckereimitarbeiterin in einer Online-Rezension teilen durfte, musste sich vor kurzem das LG Essen (Az.: 4 O 9/20) beschäftigen.

Der Sachverhalt

Auf dem Bewertungsportal einer großen Suchmaschinenbetreiberin hinterließ die Kundin einer Bäckerei nach ihrem Besuch die folgende Bewertung:
“Ich bin hier immer zum Frühstücken und sonst auch immer zufrieden und finde das Team sehr sehr nett aber wurde heute so unfreundlich “bedient” von Frau (T…?)! Nicht schön in einer Bäckerei zu arbeiten aber Menschen derart unfreundlich zu behandeln.”
Die Bäckereiangestellte Frau T. verlangte daraufhin von der Suchmaschinenbetreiberin die Löschung der Rezension, mit Verweis auf das in der DSGVO bestehende Recht auf Löschung – in diesem Fall konkret Art. 17 Abs. 1 lit. d DSGVO.

Meinungsfreiheit und Betroffenrechte in Einklang bringen

Damit Frau T. tatsächlich ein Recht zur Löschung zusteht, müssen ihre personenbezogenen Daten unrechtmäßig verarbeitet worden sein. Entscheidend ist dabei eine Abwägung zwischen dem Recht der Freien Meinungsäußerung der Kundin und den Betroffenrechten von Frau T. Für eine solche Abwägung muss immer eine Abwägung im konkreten Einzelfall vorgenommen werden. Mit Art. 17 Abs. 3 bietet die DSGVO jedoch bereits selbst Anknüpfungspunkte dafür, wann Betroffenen kein Recht auf Löschung zusteht. Im vorliegenden Fall hat das LG Essen für seine Entscheidung Art. 17 Abs. 3 lit. a DSGVO herangezogen, wonach personenbezogene Daten nicht gelöscht werden müssen, wenn sie “zur Ausübung des Rechts auf freie Meinungsäußerung und Information” verarbeitet werden.

Ergebnis

Das LG Essen verneint damit ein Löschrecht von Frau T. Im Ergebnis muss die Suchmaschinenbetreiberin damit die in Frage stehene Rezension nicht löschen. Um sich nicht in die Gefahr eines Datenschutzverstoßes zu begeben, sollten Nutzer nichtsdestotrotz Vorsicht walten lassen. Im besten Fall sollte auf die Veröffentlichung von personenbezogenen Daten verzichtet werden.

Das Recht auf Vergessen – Eine Frage des Einzelfalls

29. Juli 2020

Erstmals nach Inkrafttreten der Datenschutz-Grundverordnung befasste sich der BGH mit dem in Art. 17 DSGVO niedergelegten Recht auf Löschung, allgemein als Recht auf Vergessen bekannt.

Eine wichtige erste Erkenntnis des Urteils ist, dass die Frage nach einem Recht auf Vergessen nicht pauschal beantwortet werden kann. Man wird wohl mit der nicht immer beliebten Standardantwort von Juristen auf komplexe Frage antworten können: „Es kommt darauf an“. In einem der gemeinsam verhandelten Verfahren führte der BGH aus, das Recht auf Vergessen unterliege einer umfassenden Abwägung der Interessen aller Involvierten. Eine weitere Frage zum Recht auf Vergessen legte der BGH dem EuGH zur Entscheidung vor.

Die im Verfahren vor dem BGH aufgeworfenen Fragen sind spannend für die Zukunft von Suchmaschinen und der Internetkommunikation insgesamt: Gibt es im Internet einen unbedingten Anspruch auf ein „Vergessenwerden“, ggf. nach einem gewissen Zeitablauf? Müssen Suchmaschinen erst dann tätig werden, wenn sie von einer offensichtlichen und auf den ersten Blick klar erkennbaren Rechtsverletzung des Betroffenen Kenntnis erlangen? Erstreckt sich das Recht auf Vergessen bereits auf für die betroffene Person unbequeme oder reputationsschädigende Berichte?

Verfahren VI ZR 405/18 – Der defizitäre Wohlfahrtsverband und sein Geschäftsführer

Der Kläger im ersten Verfahren war Geschäftsführer eines Regionalverbandes einer Wohlfahrtsorganisation. Er begehrte von Google, einen Presseartikel aus dem Jahr 2011 bei der gezielten Suche nach seinem Namen auszulisten. In dem Artikel wurde darüber berichtet, dass der Verband im Jahr 2011 ein finanzielles Defizit von knapp einer Million Euro aufwies und sich der Kläger kurz zuvor krank gemeldet hatte.

Der Kläger scheiterte mit seinem Begehren in allen Instanzen. Der BGH betont, dass das Recht auf Vergessen eine umfassende Grundrechtsabwägung auf Grundlage aller relevanten Umstände des Einzelfalls und unter Berücksichtigung der Schwere des Eingriffs in die Grundrechte der betroffenen Person einerseits und der Grundrechte des Suchmaschinenbetreibers, des Anbieters des beanstandeten Ergebnislinks, der Nutzer und der Öffentlichkeit andererseits bedürfe. Das hatte bereits das Bundesverfassungsgericht Ende 2019 betont.

Interessant ist , dass der BGH damit von seiner früheren Rechtsprechung abkehrt. Der Suchmaschinenbetreiber muss nach dem nun veröffentlichten Urteil nicht erst dann tätig werden, wenn er von einer offensichtlichen und auf den ersten Blick klar erkennbaren Rechtsverletzung des Betroffenen Kenntnis erlangt. Anders als der EuGH im Verfahren Google-Spain geht der BGH nicht von einem pauschalen Vorrangverhältnis der Interesse des Betroffenen aus.

Im Verfahren um den Geschäftsführer des Wohlfahrtverbands entschied der BGH, dass die Rechte der Nutzer, der Öffentlichkeit und der verlinkten Presseorgane Vorrang haben und ein Anspruch auf Auslistung damit nicht besteht, auch unter Berücksichtigung des Zeitablaufs.

Verfahren VI ZR 476/18 – Das Geschäftsmodell eines Ehepaars aus der Finanzdienstleistungsbranche

In dem zweiten Verfahren begehrte ein in der Finanzdienstleistungsbranche tätiges Ehepaar, kritische Presseartikel und Fotos auszulisten, in denen das Geschäftsmodell der Kläger kritisiert wurde. Die Artikel enthielten u.a. Vorwürfe, die Kläger hätten Unternehmen mit negativer Berichterstattung erpresst. Der Wahrheitsgehalt der Berichte ist – anders als im ersten Verfahren – unklar und konnte auch von Google nicht beurteilt werden.

Dieses Verfahren setzte der BGH aus und legte dem EuGH zwei Fragen zur Vorabentscheidung vor:

Einerseits soll der EuGH klären, wie mit Konstellationen zu verfahren ist, bei denen der Link der Suchmaschine zu einem Inhalt führt, der Tatsachenbehauptungen und auf Tatsachenbehauptungen beruhende Werturteile enthält, deren Wahrheit der Betroffene in Abrede stellt. Kann der Betroffene, etwa durch vorläufigen Rechtsschutz, die Frage der Wahrheit der verlinkten Berichte zumindest vorläufig gerichtlich klären lassen?

Außerdem möchte der BGH vom EuGH wissen, wie mit Vorschaubildern in der Trefferleiste umzugehen ist, wenn der Kontext von der Suchmaschine nicht mit angezeigt wird. Besteht ein Recht auf Vergessen auch dann, wenn die Webseite des Dritten in der Suchmaschine zwar verlinkt, aber noch nicht konkret benannt ist?

Ausblick

Es bleibt abzuwarten wie der EuGH auf die Vorabfragen antworten wird. Die Antworten sind für Presseorgane, Suchmaschinenbetreiber und die Öffentlichkeit gleichsam interessant. Schon jetzt zeichnet sich aber immer deutlicher ab, dass das Recht auf Vergessen keinem Automatismus unterliegt, sondern immer eine Frage der Abwägung im Einzelfall ist. In die Abwägung müssen die Interessen aller Beteiligten einfließen und es kann kein pauschaler Vorrang der Interessen der einen oder anderen Seite angenommen werden. Fazit: “Es komm darauf an”, ob eine betroffen Person ein Recht auf Vergessen hat.

Datenpanne bei Handwerksunternehmen: Bewerbungsmappen in der Gelben Tonne

14. August 2019

Anwohner fanden in Neukirchen-Vluyn sechs Bewerbungen im Recyclingmüll. Wie jede Bewerbungsmappe sind sie gefüllt mit Fotos und dem kompletten Lebenslauf, dessen Stationen durch Zeugnisse belegt werden. Experten zu folge ist ein Identitätsdiebstahl anhand solcher Daten durchaus möglich. Die Anwohner sandten die Mappen dem Landesbeauftragten für Datenschutz in NRW zu.

Datenschutzrechtlich sind Unterlagen der erfolglosen Bewerber zurückzusenden, zu vernichten und/oder zu löschen. Da der ursprüngliche Zweck der Datenverarbeitung, die Auswahl eines geeigneten Bewerbers, nun weggefallen ist, hat die Löschung der Daten bzw. Vernichtung oder Rücksendung der Unterlagen grundsätzlich unverzüglich nach Abschluss des Bewerberverfahrens (also Einstellung des neuen Mitarbeiters) zu erfolgen. Etwas anderes gilt nur, sofern eine gesetzliche Grundlage, die Einwilligung des Bewerbers oder ein berechtigtes Interesse für eine weitere Aufbewahrung oder Speicherung der Unterlage vorliegt.

Die papiergebundenen Unterlagen sind, soweit sie nicht an den Bewerber zurück gesendet werden, mit Hilfe eines Aktenvernichters entsprechend der Sicherheitsstufe P4 der DIN-Norm 66399 zu vernichten. Das bedeutet, dass die Unterlagen mittels eines Papier-Schredders mit Partikelschnitt von max. 160mm² mit einer Streifenbreite von max. 6mm zu zerkleinern sind.

Dieser Pflicht ist das Handwerksunternehmen in Vluyn nicht nachgekommen. Es bleibt abzuwarten, welche Konsequenzen darauf folgen.

Österreichische Datenschutzbehörde: Löschung nicht gleich Vernichtung

13. Februar 2019

Die Datenschutz-Grundverordnung (DSGVO) räumt den Betroffenen in Art. 17 Abs. 1 ein Recht auf die Löschung ihrer Daten ein. Das bedeutet aber nicht, dass die Daten tatsächlich vernichtet werden müssen. Laut einer aktuellen Entscheidung kann es hinreichen, den Personenbezug durch Anonymisierung zu entfernen.

Die österreichische Datenschutzbehörde entschied im Dezember 2018, dass das sogenannte Recht auf Löschung personenbezogener Daten den Verantwortlichen nicht zu einer sofortigen Vernichtung der Daten in ihren Systemen verpflichte. Auf Grundlage der DSGVO reiche eine Anonymisierung der Daten aus, nach der eine Rekonstruktion des Personenbezugs „ohne unverhältnismäßigen Aufwand“ nicht mehr möglich ist. Allerdings verlangt die Behörde nicht, dass die Anonymisierung niemals rückgängig gemacht werden kann. Eine Löschung liege dann vor, wenn die Verarbeitung und Nutzung der personenbezogenen Daten nicht mehr möglich ist. Dass sich zu irgendeinem Zeitpunkt eine Rekonstruktion (etwa unter Verwendung neuer technischer Hilfsmittel) als möglich erweise, mache die „Löschung durch Unkenntlichmachung“ nicht unzureichend. Eine völlige Irreversibilität sei daher nicht notwendig.

Hintergrund des Streits war eine Anfrage eines österreichischen Betroffenen bei einer Versicherung. Unter Verweis auf Art. 17 DSGVO hatte dieser die unverzügliche Löschung seiner personenbezogenen Daten verlangt, da sie für den Zweck, für den sie erhoben worden waren, nicht mehr benötigt würden. Die Versicherung löschte E-Mail-Adresse, Telefonnummer sowie Angaben über ein einst erbetenes Versicherungsangebot und stoppte alle Werbezusendungen. Name und Adresse wurden allerdings durch „Max Mustermann“ mit einer Musteradresse ersetzt und Informationen über zwei frühere Versicherungsverträge blieben offenbar erhalten.

Die Versicherung setzte den Betroffenen in Kenntnis, dass sie die Daten „DSGVO-konform anonymisiert“ habe. Eine Rückführbarkeit auf seine Person sei unwiderruflich ausgeschlossen. Die anonymisierten Daten würden beim nächsten automatischen Löschlauf im März 2019 endgültig aus den Systemen gelöscht. Auch aus den Logdaten könne die ursprüngliche Anfrage nicht mehr mit dem Betroffenen verknüpft werden.

Das reichte dem Betroffenen jedoch nicht aus, sodass er sich bei der Datenschutzbehörde beschwerte. Diese hielt jedoch das Anonymisierungsverfahren der Versicherung für ausreichend. Denn nach Ansicht der Behörde macht die DSGVO keine konkreten Angaben darüber, wie eine Löschung von personenbezogenen Daten umgesetzt werden muss. In Art. 4 Nr. 2 DSGVO würden zudem Löschung und Vernichtung von Daten „als alternative Formen der Verarbeitung aufgeführt“, die nicht zwingend deckungsgleich seien. „Daraus erhellt, dass eine Löschung nicht zwingend eine endgültige Vernichtung voraussetzt“, schreibt die Behörde in ihrer Entscheidung.

Vielmehr stehe dem Verantwortlichen hinsichtlich der vorgenommenen Art und Weise der Löschung ein Auswahlermessen zu. Hinsichtlich des konkreten Mittels der Löschung bestehe somit „kein Wahlanspruch der betroffenen Person“.

Delivery Hero – Keine Heldentaten beim Datenschutz

31. August 2017

In immer mehr Städten etablieren sich Lieferdienste, die einem aus dem bevorzugten Restaurant schnell und bequem das Lieblingsessen nach Hause auf die Couch liefern. Für die Inanspruchnahme eines solchen Essenslieferdienstes muss sich der Kunde lediglich ein Benutzerkonto bei dem Anbieter seiner Wahl zulegen und sich hierzu mit seinen persönlichen Daten registrieren. Selbstverständlich sichern die Lieferdienste den Schutz der personenbezogenen Daten und die Achtung des Datenschutzrechts zu.

Bei der Berliner Beauftragten für den Datenschutz häufen sich nun aber Beschwerden gegen solche Lieferdienste. Alleine gegen Delivery Hero (u.a. Foodora, Lieferheld, Pizza.de) liegen bei der Berliner Beauftragten für den Datenschutz 14 Beschwerden vor. Bei diesen Beschwerden geht es darum, dass es den Kunden vielfach nur unter erschwerten Bedingungen ermöglicht wurde das angelegte Kundenkonto wieder zu löschen. So sollten die Kunden als Bedingung für die Löschung etwa einen Identitätsnachweis in Form eines kopierten Personalausweises darbringen. Teilweise wurde sogar gerügt, dass das Löschen des Kundenkontos überhaupt nicht ermöglicht wurde. Dabei ist ein Anspruch auf Löschung der personenbezogenen Daten sogar in § 35 Bundesdatenschutzgesetz normiert. Mittlerweile hat Delivery Hero zumindest bei Lieferheld und Pizza.de den Zwang zur Vorlage des Personalausweises wieder aufgehoben. Auch die komplette Löschung personenbezogener Daten soll nun wieder komplett möglich sein.

Ihre Erfahrungen mit den Essenslieferdiensten brachte die Berliner Beauftragten für den Datenschutz nun auch in den Düsseldorfer Kreis ein und schlug dort vor, bundesweit koordinierte Prüfaktionen bei den Essenslieferdiensten durchzuführen. Damit solle die Sensibilität der Essenslieferdienste für das Thema Datenschutz erhöht werden.