Schlagwort: Urteil
17. Januar 2023
Mit Urteil vom 12. Januar 2023 hat der Europäische Gerichtshof (EuGH) entschieden, dass die in der Datenschutz-Grundverordnung (DSGVO) vorgesehenen verwaltungs- und zivilrechtlichen Rechtsbehelfe nebeneinander und unabhängig voneinander eingelegt werden können (C-132/21).
Hintergrund
Grundlage der Entscheidung war die Vorlage des Hauptstädtischen Stuhlgerichts Budapests. Die betroffene Person „BE“ hatte zum einen gegen eine Entscheidung der Datenschutzaufsichtsbehörde vor dem vorlegenden Gericht geklagt, welches der Verwaltungsgerichtsbarkeit angehört. Zum anderen hatte er vor dem Zivilgericht Klage gegen den datenschutzrechtlichen Verantwortlichen erhoben, über dessen Verarbeitung er sich bei der Aufsichtsbehörde beschwert hatte.
Beide Rechtswege sind in der DSGVO vorgesehen. Gegen den Verantwortlichen können betroffene Personen nach Art. 79 DSGVO vorgehen. Gegen Entscheidungen der Aufsichtsbehörde gewährt ihnen Art. 78 DSGVO den Rechtsweg.
Das vorlegende Gericht störte sich daran, dass es „denselben Sachverhalt und dieselbe Behauptung eines Verstoßes gegen die Verordnung 2016/679 prüfen müsse, über die das Fővárosi Ítélőtábla (Hauptstädtisches Tafelgericht, Ungarn) bereits rechtskräftig entschieden habe.“ Daher wollte es wissen, „in welchem Verhältnis die von einem Zivilgericht vorgenommene Beurteilung der Rechtmäßigkeit einer Entscheidung des Verantwortlichen für die Verarbeitung personenbezogener Daten zu dem Verwaltungsverfahren steht“. Es sei nämlich möglich, dass widersprüchliche Entscheidungen erlassen würden.
Entscheidung des EuGH
Der EuGH betonte, dass die von der DSGVO vorgesehenen Rechtsbehelfe gleichwertig nebeneinander stehen. Die DSGVO sehe weder „weder eine vorrangige oder ausschließliche Zuständigkeit vor[sieht] noch einen Vorrang der Beurteilung der genannten Behörde oder des genannten Gerichts zum Vorliegen einer Verletzung der durch diese Verordnung verliehenen Rechte.“ Aus diesem Grund könnten die Rechtsbehelfe „nebeneinander und unabhängig voneinander eingelegt werden.“
Es obliege „den Mitgliedstaaten, im Einklang mit dem Grundsatz der Verfahrensautonomie die Modalitäten des Zusammenspiels dieser Rechtsbehelfe zu regeln“. Dabei sei die effektive Umsetzung der DSGVO zu berücksichtigen, um die Rechte betroffener Personen effektiv zu schützen und die DSGVO einheitlich anzuwenden.
18. Juni 2021
In der Frage, ob auch eine nicht federführende Aufsichtsbehörde gegen Facebook bei DSGVO Verstößen vorgehen kann, hat der EuGH nun ein Urteil gefällt. Damit legt er einen lang anhaltenden Streit zwischen der irischen Datenschutzbehörde und anderen Ländern bei.
Der Sachverhalt
Zu urteilen hatte der EuGH in einem Rechtsstreit zwischen der belgischen Datenschutzbehörde und mehreren Unternehmen des Facebook-Konzerns, konkret Facebook Ireland Ltd., Facebook Inc. und Facebook Belgium BVBA. Begonnen hat das Verfahren bereits im Jahre 2015 und damit vor in Kraft treten der DSGVO im Mai 2018, jedoch zog sich der Sprung durch die einzelnen Instanzen lange hin.
Das Verfahren selbst zielte darauf ab, Facebook mittels Unterlassungsklage zu verpflichten, auf den Einsatz von Cookies ohne Einwilligung der belgischen Benutzer zu verzichten und die Datenerhebung auf Webseiten von Dritten zu unterlassen. Zudem sollte Facebook Abstand von der Praxis nehmen übermäßig Daten durch Social-Plugins zu erheben und die dadurch gewonnen personenbezogenen Daten zu löschen.
Facebook ist jedoch der Ansicht, dass in diesem Fall die belgische Datenschutzbehörde gar nicht zuständig ist. Damit beruft sich der Konzern auf die 2018 in Kraft getretenen Regeln der DSGVO, wonach nur die Datenschutzbehörde gerichtliche Schritte einleiten können soll, in deren Mitgliedsland Facebook seine Hauptniederlassung hat. Im konkreten Fall, müsste demnach die irische Datenschutzbehörde tätig werden.
Die Richterinnen und Richter des EuGH gelangten hier allerdings zu einer anderen Rechtsauffassung und entschieden, dass zwar grundsätzlich tatsächlich die federführende Datenschutzbehörde (Irland) tätig werden müsse, wenn es sich um DSGVO-Verstöße handele. Allerdings verweist der EuGH zusätzlich auf die Artikel 56 Abs 2, und Artikel 66 DSGVO, nach denen unter bestimmten Voraussetzungen auch andere Behörden bei grenzüberschreitenden Datenverarbeitungen zuständig sein könnten.
Fazit
Letzten Endes folgt der EuGH mit seinem Urteil damit den Ausführungen des Generalanwalts Michael Bobek, der in seinen Schlussanträgen eine Zuständigkeit für andere Datenschutzbehörden in Ausnahmefällen annahm. Das Urteil sollte in seiner Tragweite nicht unterschätzt werden, denn wie Bayerns Justizminister Georg Eisenreich zutreffend urteilte könntenes Unternehmen „künftig schwerer haben, sich durch eine geschickte Standortwahl einer effektiven Kontrolle zu entziehen“.
11. Februar 2021
Jeden Tag arbeiten Gerichte mit einer regelrechten Flut an Daten. Urteile und Beschlüsse werden der Öffentlichkeit regelmäßig durch die zuständigen Gerichte in entsprechenden Datenbanken zugänglich gemacht. Grundsätzlich werden solch sensible Dokumente vor einer Veröffentlichung anonymisiert und neutralisiert, was in der Praxis bedeutet, dass die Verfahrensbeteiligten und deren Adressen nicht mehr auf dem veröffentlichten Dokument zu sehen sind.
Allerdings ist dem LG Lüneburg bei genau diesem Vorgang ein Fehler unterlaufen. Das Gericht veröffentlichte ein Urteil, das nur auf den ersten Blick geschwärzt wurde. Tatsächlich wurden entsprechende Stellen aber nur schwarz markiert, sodass es möglich war den Text zu kopieren und in einem Textverarbeitungsprogramm einzufügen, um so eine ungeschwärzte Version des Urteils zu erhalten. Durch diese Methode wurden die vollen Namen der Prozessbeteiligten, sowie deren Adressen, für Jedermann sichtbar.
Das besonders pikante an dem Vorfall ist, dass das Urteil ausgerechnet einen DSGVO-Verstoß behandelte. Für eine Stellungnahme gegenüber LTO verwies das LG Lüneburg auf seinen Datenschutzbeauftragten.
4. Februar 2021
Im Rahmen eines Beschwerdeverfahrens lag dem OVG Hamburg (Az. 4 Bs 84/20) vor kurzem die Frage vor, ob die mit der Fahrtenbuchauflage (§ 31a StVZO) verfolgten Zwecke der Gefahrenprävention im öffentlichen Interesse im Sinne von Art. 6 Abs. 1 lit. d DSGVO liegen.
Der Sachverhalt
Die Antragsstellerin betreibt eine gewerbliche Autovermietung und verfügt dementsprechend über eine Vielzahl an Autos, die auf sie zugelassen sind. Mit einem dieser Autos wurde in der Vergangenheit die zulässige Höchstgeschwindigkeit von 30 km/h um 25 km/h überschritten. Als Folge dieses Geschwindigkeitsverstoßes erhielt die Antragsstellerin einen Zeugenfragebogen und ein, bei der automatischen Geschwindigkeitsmessung aufgenommenes, Frontfoto der Fahrerin. Hierzu gab die Antragsstellerin an, das Fahrzeug zum Tatzeitpunkt nicht vermietet zu haben und die Fahrerin auch nicht zu erkennen. Die zuständige Ordnungsbehörde ordnete der Antragsstellerin darauhin an, ein Fahrtenbuch für das verwendete Auto über einen Zeitraum von 6 Monaten zu führen.
Die Zulässigkeit der Fahrtenbuchauflage
Nach Auffassung der Antragstellerin ist die Auflage ein Fahrtenbuch zu führen unverhältnismäßig und rechtswidrig. Das Erheben von Nutzungsdaten über die Fahrzeuge stelle einen Verstoß gegen die DSGVO dar.
Anderer Ansicht ist jedoch das OVG Hamburg. Bei einem Sacherverhalt wie im vorliegenden Fall, kann eine Datenerhebung durch Art. 6 Abs. 1 lit. e) DSGVO legitimiert sein. Danach kann eine Datenverarbeitung rechtmäßig sein, wenn die Verarbeitung für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt.
Die Voraussetzung des öffentlichen Interesses sieht das OVG Hamburg als erfüllt an, “weil die Fahrtenbuchauflage eine Maßnahme zur vorbeugenden Abwehr von Gefahren für die Sicherheit und Ordnung des Straßenverkehrs ist. Mit ihr soll dafür Sorge getragen werden, dass künftig die Feststellung des Fahrzeugführers nach einer Zuwiderhandlung gegen Verkehrsvorschriften ohne Schwierigkeiten möglich ist.”
19. Dezember 2019
Versendet ein Arzt eine Rechnung über die Behandlung mit Botox-Spritzen über den Arbeitgeber der Behandelten, rechtfertigt dieser Verstoß gegen die ärztliche Schweigepflicht ein Schmerzensgeld. So entschied kürzlich das Oberlandesgericht Frankfurt am Main (OLG, Beschl. v. 5.12.2019, Az. 8 U 164/19).
Die Klägerin hat ein Kosmetikstudio, in der ihr Mann als Arzt arbeitet und die Beklagte mit zwei Botoxspritzen behandelte. Die Beklagte bezahlte jedoch nicht die Rechnungen, da die Behandlung keinen anhaltenden Effekt aufzeigte. Daraufhin erhielt die Beklagte zwei Mahnungen. Die dritte Mahnung sandte die Klägerin schließlich an die Arbeitgeberin der Beklagte. Sodann klagte die Kosmetikstudioinhaberin auf Zahlung. Die Beklagte verlangte widerklagend Schmerzensgeld i.H.v. 15.000 Euro.
Das Landgericht Wiesbaden (Urt. v. 11.7.2019, Az. O 247/18) hatte der Frau Schmerzensgeld in Höhe von 1.200 Euro zugesprochen. Der Patientin stehe Schmerzensgeld für die Versendung der Mahnung an ihre Arbeitgeberin zu für die dadurch geschaffene “abstrakte Gefährlichkeit, dass die zu schützenden Daten einem weiteren Personenkreis zugänglich waren”. Weitere Aspekte seien dagegen nicht in die Bemessung des Schmerzensgeldes zu berücksichtigen. Das OLG schloss sich dieser Auffassung an.
13. November 2019
Mit dieser Thematik beschäftigt sich heute das niedersächsische Oberverwaltungsgericht (OVG).
Die “Section Control” ist die Pilotanlage an der B6 bei Laatzen und das erste Streckenradar bundesweit. Nachdem das Verwaltungsgericht Hannover im März entschieden hat, dass es an einer gesetzlichen Grundlage für die Art der Überwachung fehle, wurde die Anlage ausgeschaltet (wir berichteten über den Verfahrensverlauf).
Bedenken bei dem Einsatz eines Streckenradars zur Geschwindigkeitskontrolle bestehen deshalb, weil die Durchschnittsgeschwindigkeit auf einer rund zwei Kilometer langen Strecke – nicht nur an einer Stelle – gemessen wird und daher kurzfristig die Kennzeichen aller Autos erfasst.
Das OVG hat nunmehr zu klären, ob sich eine gesetzliche Grundlage für diese Art der Überwachung im neuen niedersächsische Polizeigesetz finden lässt, welches im Mai in Kraft getreten ist.
Bereits im Juli befanden die Richter des OVG, dass das neue Polizeigesetz nachträglich die notwendige Eingriffsermächtigung geschaffen habe. Es bleibt abzuwarten, wie die endgültige Entscheidung des OVG ausfällt.
25. September 2019
Der EuGH hatte sich erneut mit der Thematik der Löschung von Informationen aus Ergebnislisten einer Suchmaschine befasst. Bereits im Jahr 2014 stärkte der EuGH das Recht auf Vergessenwerden. Es blieb jedoch die umstrittene Frage über die geographische Reichweite des vom Gericht eingeräumten Recht auf Vergessenwerden über die EU-Grenzen hinaus offen. Deshalb hatte der französische Staatsrat den EuGH zur genaueren Auslegung dieser Verpflichtung angerufen.
In seinen jetzigen Urteilen (Urteile vom 24.09.2019, Rechtssache C-136/17 und C-507/17) machte der EuGH deutlich, dass die Suchmaschinenbetreiber nicht dazu verpflichtet werden können, Links weltweit zu löschen und sich damit das Recht auf Vergessenwerden lediglich auf die EU-Staaten beziehe. Jedoch stellt er klar, dass die angezeigten Links weltweit aus allen Versionen des Dienstes zu entfernen sind. Die Suchmaschinenbetreiber müssen durch entsprechende Maßnahmen dafür Sorge tragen, dass Internetnutzer nicht auf Links außerhalb der EU zugreifen können.
Darüber hinaus wurde in einem weiteren Urteil festgestellt, dass das Verbot der Verarbeitung von bestimmten personenbezogenen Informationen auch auf die Suchmaschinenbetreiber übertragbar ist. Ein wirksamer Schutz müsse für die betroffenen Bürgerinnen und Bürger eingehalten werden, damit das Privatleben jedes einzelnen geachtet werden kann.
6. Mai 2019
In einem Teilurteil vom 19.03.2019 (Az.: 4 A 12/19) erklärte das Verwaltungsgericht Lüneburg den Einsatz des GPS Ortungssystems bei Firmenfahrzeugen für unzulässig. Jedoch komme es dabei im Einzelfall immer auf den konkreten Zweck und Umfang der Überwachung an.
In dem Verfahren klagte ein Gebäudereinigungsunternehmen nachdem es einen Bescheid einer Landesaufsichtsbehörde erhalten hatte. Darin wurde der Klägerin die weitere Nutzung der Ortungssysteme während der ordnungsgemäßen betrieblichen Nutzung der Fahrzeuge untersagt.
Das GPS-System speichert jegliche gefahrene Strecke mit Start- und Zielpunkten einschließlich der gefahrenen Zeit für einen Zeitraum von 150 Tagen. Durch einen Tastendruck lässt sich das Ortungssystems nicht ein- oder ausschalten. Lediglich zwischen dem Ende eines Arbeitstages und dem Beginn der Arbeitszeit des Folgetages ist eine Deaktivierung unter erheblichem Aufwand möglich. Das Ortungssystem erfasst die Kennzeichen der betroffenen Fahrzeuge. Die Fahrzeuge selbst sind den jeweiligen betrieblichen Nutzern zugeordnet. Laut der Klägerin sei eine private Nutzung der Firmenfahrzeuge nicht vereinbart. Dabei räumte sie aber ein, dass eine private Nutzung durch die Objektleiter geduldet werde.
Als Zweck dieser Ortung gab die Klägerin eine betriebliche Notwendigkeit an, um Touren zu planen, Mitarbeiter und Fahrzeuge zu koordinieren, Nachweise gegenüber den Auftraggebern zu erbringen, Diebstahlsschutz zu gewährleisten, eventuell gestohlene Fahrzeuge aufzufinden und um schließlich das Wochenendfahrverbot und das Verbot von Privatfahrten zu überprüfen.
Das VG wies die Anfechtungsklage als unbegründet ab. Die Verarbeitung von Positionsdaten der Beschäftigten stehe nicht im Einklang mit dem nach § 26 BDSG zu gewährleistenden Beschäftigtendatenschutz, der über die Öffnungsklausel nach Art. 88 Abs. 1 DSGVO zu beachten ist. Ebenfalls ließe sich die Datenverarbeitung nicht auf die Erlaubnistatbestände aus Art. 6 Abs. 1 c) und f) DSGVO stützen. Zudem scheiterte die Einwilligung aufgrund der fehlenden Transparenz und dem erforderlichen Hinweis auf das Widerrufsrecht.
Die Verarbeitung der Positionsdaten der Beschäftigten sei nicht für die Durchführung des Beschäftigungsverhältnisses erforderlich. Bei den Privatfahrten bestehe kein pauschales Überwachungsbedürfnis des Arbeitgebers. Der Eingriff in das Recht auf informationelle Selbstbestimmung kann in diesem Fall nicht durch ein berechtigtes unternehmerisches Interesse des Arbeitgebers gerechtfertig werden.
Soweit während der Arbeitszeiten anfallende Daten über das Ortungssystem zu dem Zweck erhoben und gespeichert werden, um Touren zu planen, Mitarbeiter- und Fahrzeugeinsatz zu koordinieren, sei dies ebenfalls nicht erforderlich.
Zudem sei eine ständige Erfassung der Fahrzeugposition und die Speicherung über 150 Tage für präventiven Diebstahlsschutz ungeeignet.
26. April 2019
Der Bundesverband der Verbraucherzentralen (vzbv) hat beim Berliner Kammergericht ein Urteil gegen die Datenschutz-Richtlinien von Google erreicht.
Die von Google im Jahr 2012 verwendete Datenschutzerklärung ist zum großen Teil rechtswidrig. Nach Auffassung des Gerichts sind außerdem zahlreiche Klauseln in den Nutzungsbedingungen des Konzerns unwirksam. Einige dieser Klauseln verwendet Google noch heute.
Insgesamt erklärte das Gericht 13 Klauseln in der Datenschutzerklärung und 12 Klauseln in den Nutzungsbedingungen für unwirksam.
Google räumte sich umfangreiche Rechte zur Erhebung und Nutzung von Kundendaten ein. Unter anderem sollten personenbezogene Daten aus den verschiedenen Diensten miteinander verknüpft oder in bestimmten Fällen an Dritte weitergegeben werden.
Laut dem Gericht erwecke die Datenschutzerklärung den Eindruck, dass die Datenverarbeitung ohne Zustimmung der Kunden erlaubt sei. Jedoch ist dafür die informierte und freiwillige Einwilligung des Nutzers erforderlich.
Weitere Teile der Datenschutzerläuterungen wurden als unwirksam angesehen, da sie dermaßen verschachtelt und redundant ausgestaltet seien, dass sie die Nutzer kaum hätten durchschauen können.
In den Nutzungsbedingungen behielt sich Google beispielsweise vor, einzelne Dienste nach eigenem Ermessen einzustellen oder zu ändern. Dies ist allerdings ein gesetzlich nicht zulässiger Änderungsvorbehalt.
4. April 2019
Mit Urteil vom 20.12.2018 (Az. 17 Sa 11/18) hat sich das Landesarbeitsgericht (LAG) Baden-Württemberg als erstes deutsches Gericht unter Anderem mit der Frage beschäftigt, wie weit das in der DSGVO in Art. 15 Abs. 3 Satz 1 verankerte Recht auf Erteilung einer datenschutzrechtlichen Kopie reicht. In dem zu entscheidenden Kündigungsschutzverfahren hatte ein gekündigter Arbeitnehmer einen Auskunftsanspruch nach Art. 15 DSGVO geltend gemacht sowie beantragt, dass die beklagte Arbeitgeberin ihm eine Kopie seiner personenbezogenen Leistungs- und Verhaltensdaten zur Verfügung stellt. Zudem forderte er das Unternehmen auf, ihm Einsicht in das Whistleblowingsystems zu ermöglichen, dass die Beklagte zum Zwecke der Untersuchung von etwaigen Compliance-Verstößen und möglichen sonstigen Regelverletzungen betreibt.
Hinsichtlich des Antrags auf Auskunftserteilung urteilte das Gericht, dem Kläger die geforderten Auskünfte umfassend zu erteilen. Das Mindestmaß müsse folgende Informationen umfassen:
- Zwecke der Datenverarbeitung,
- Empfänger gegenüber denen personenbezogene Daten des Klägers/Anspruchstellers offengelegt werden,
- Speicherdauer oder Kriterien zur Festlegung der Dauer,
- Herkunft der personenbezogenen Daten, soweit diese nicht bei dem Kläger selbst erhoben wurden,
- automatisierte Entscheidungsfindung (inkl. Profiling) sowie aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer Verarbeitung.
Im Grundsatz entsprechen die Informationen dem Wortlaut des Art. 15 Abs. 1 DSGVO. Konträr zu bisherigen Ansichten der Landesdatenschutzbehörden, die es im Rahmen der Auskunft über Empfänger personenbezogener Daten ausreichen lassen, dass die verantwortliche Stelle Empfänger-Kategorien mitteilt sowie dem Gesetzeswortlaut der DSGVO, verurteilte das LAG Baden-Württemberg die Beklagte allerdings auch darauf, dem Kläger Auskunft über jeden einzelnen Empfänger zu geben.
Diese weite Auslegung dürfte für Unternehmen in der Praxis nur mit sehr hohem Aufwand umzusetzen sein und ist insbesondere auch im Hinblick auf den insofern anders lautenden Wortlaut des Art. 15 Abs. 1 DSGVO kritisch zu sehen.
Das LAG Baden-Württemberg verurteilte die Beklagte auch dazu, dem Kläger eine Kopie seiner sämtlichen personenbezogenen Leistungs- und Verhaltensdaten, die Gegenstand der von ihr vorgenommenen Verarbeitung sind, zur Verfügung zu stellen. Offen ließ das Gericht dabei allerdings, aus welchen Systemen und in welchem Umfang Kopien zu erstellen sind. So ist fraglich, ob damit neben Informationen aus den im Unternehmen eingesetzten Systemen dem Anspruchsteller auch z.B. Kopien aller Mails zur Verfügung gestellt werden müssen, die personenbezogene Daten des Betroffenen beinhalten. Im Ergebnis ist der entsprechend weit formulierte Urteilstenor unter dem Gesichtspunkt der Bestimmbarkeit sowie den zu erwartenden Schwierigkeiten bei einer möglichen Vollstreckung daher eher zweifelhaft.
Da das Gericht hinsichtlich dieser Frage die Revision zum Bundesarbeitsgericht (BAG) zugelassen hat, bleibt abzuwarten, ob eine solche eingelegt wird und der Urteilstenor auch nach einer bundesarbeitsgerichtlichen Entscheidung Bestand haben wird.
Letztlich entschied das LAG Baden-Württemberg, dass dem Kläger auch Einsicht in das Hinweisgebersystem der Beklagten zur gewähren ist und stützte den Anspruch auf § 83 Abs. 1 S. 1 BetrVG. Danach habe der Arbeitnehmer im bestehenden Arbeitsverhältnis das Recht, in die über ihn geführten Personalakten Einsicht zu nehmen. Unter “Personalakte” sei nach herrschender Meinung jede Sammlung von Unterlagen zu verstehen, die mit dem Arbeitnehmer in einem inneren Zusammenhang stehe, und zwar unabhängig von Form, Material, Stelle und Ort, an dem sie geführt werde. Daher seien auch die Informationen im Rahmen eines Hinweisgebersystems als Bestandteil der Personalakte zu verstehen und dem Arbeitnehmer Einsicht zu gewähren.
Dies gelte auch dann, wenn der Arbeitgeber es den jeweiligen Hinweisgebern ermögliche, Hinweise anonym zu berichten, da der Arbeitgeber dann dafür Sorge zu tragen habe, dass die herausverlangten Informationen keine Rückschlüsse auf Dritte zulassen.
Neben Fragen der Anwendbarkeit des § 83 Abs. 1 S. 1 BetrVG neben Art. 15 DSGVO ergeben sich aus dem Urteil auch Fragen hinsichtlich der technischen Machbarkeit solcher umfassenden Einsichtsrechte, gerade in Bezug auf die Wahrung der Anonymität Dritter.
Im Ergebnis ist abzuwarten, ob die Datenschutzaufsichtsbehörden zu den getroffenen Aussagen im Rahmen des Urteils Stellung beziehen. Stand jetzt sollte jede Auskunftsanfrage gewissenhaft und einzelfallbezogen geprüft und bewertet werden. Auch eine Nachfrage bei der jeweils zuständigen Datenschutzaufsichtsbehörde sollte stets in Betracht gezogen werden.
