Lukas Wagner

Der Mitarbeiter eines Kreditinstituts wurde 2023 vom HmbBfDI mit einer Geldbuße belegt, weil er während eines Twitch-Streams die persönlichen Daten eines Gegenspielers in einem Videospiel abfragte und androhte, diesen aufzusuchen.

Der Streamer spielte das Spiel Valorant und ärgerte sich zunehmend über einen Spieler der gegnerischen Gruppe. Dies endete schließlich damit, dass der Streamer dann seinen Entschluss verkündete, den Wohnort des Gegners ausfindig zu machen und ihn am nächsten Tag unter Androhung körperlicher Gewalt aufzusuchen. Den Klarnamen seines Gegners erhielt er von anderen Zuschauern.

Der Streamer nutzte seine Position im Kreditinstitut, um über die Kundendatenbank den Wohnort des Gegners zu ermitteln. Der Hausbesuch fand am darauffolgenden Tag auch statt, jedoch ohne die angekündigte körperliche Gewalt.
Der Missbrauch der Zugriffsrechte beim Kreditinstitut führte zu einer mittleren vierstelligen Geldbuße. Diese bemaß sich u. a. an der durch ihn selbst auf Twitch betonten guten wirtschaftlichen Situation des Streamers sowie an der Vorsätzlichkeit des Verstoßes.

Wer Daten über eine Person verarbeitet, ist dieser Person gegenüber zur Auskunft nach der DSGVO verpflichtet. Ob und welche Daten mit Personenbezug verarbeiten werden, ist mitzuteilen. Die Details gibt Art. 15 DSGVO vor. In der Praxis verursachen die Auskünfte immense Aufwände.

In einem Streit vor dem Verwaltungsgericht Berlin (1 K73/22) erwirkte nun der Kläger die Kopie eines unstreitig vollständigen Verwaltungsvorgangs einschließlich aller bei der Beklagten gespeicherten personenbezogenen Daten des Klägers. Das war ihm nicht genug. Der Kläger wollte sich die Informationen nicht „zusammensuchen“ müssen. Das Gericht hatte dafür kein Verständnis. Das PDF könne man schließlich durchsuchen. Sic!

Ein Anspruch auf Meta-Daten wurde als rechtsmissbräuchlich zurückgewiesen, da sich dem Kläger die verlangten Informationen aus den Auskünften erschließen müssten. Zack. Wichtig auch: das Gericht hat es zugelassen, für die Angabe der Speicherdauer abstrakt auf die Registraturrichtlinie des BMI zu verweisen. Gut!

In der Praxis begegnet einem bis heute viel zu oft die Rechtsauffassung, es gäbe in Art. 15 DSGVO zwei (Auskunfts-)Ansprüche: einen Anspruch auf Auskunft im Sinne einer bloßen Information über die verarbeiteten Daten, und einen weiteren Anspruch auf Kopie und damit um eine Reproduktion der Daten im Verarbeitungskontext. Gegen diese Auffassung spricht bereits der Wortlaut der Vorschrift („Der Verantwortliche stellt eine Kopie […] zur Verfügung“) sowie die systematische Einordnung in Abs. 3 hinter dem eigentlichen Auskunftsanspruch in Abs. 1.

Der BGH (VI ZR 223/21) hat nun nochmal klargestellt, dass der Hinweis auf die Kopie in Absatz 2 lediglich eine Regelung im Hinblick auf das „Wie“ der Auskunft darstellt

…und das Telekommunikation-Telemedien-Datenschutzgesetz (TTDSG) heißt jetzt Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG). Für Betreiber von Webseiten und anderen digitalen Diensten, auf denen Cookies und andere ähnliche Technologien zum Einsatz kommen, bedeutet das, dass nun die Verweise auf das TTDSG in Datenschutzerklärungen und Cookie-Bannern auf das TDDDG umgestellt werden müssen.

Sonst ändert sich nix.

Die relevante Norm ist weiterhin der § 25 (jetzt TDDDG statt TTDSG). Der besagt, dass die Speicherung von Informationen in der Endeinrichtung des Endnutzers (Cookies) oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind (z. B. über Javascript-Code), nur mit der Einwilligung des Endnutzers auf Grundlage von klaren und umfassenden Informationen zulässig ist. Ausnahme bilden die Technologien, die für den vom Nutzer ausdrücklich gewünschten digitalen Dienst unbedingt erforderlich sind.

Wer also jetzt ohnehin das Cookie-Banner anfasst, schaut am besten nochmal nach, ob die Einwilligung für alle betroffenen Dienst wirksam eingeholt wird – gerne gemeinsam mit uns.

Das Gesundheitsdatennutzungsgesetz (GDNG) ist am 25.03.2024 in Kraft getreten. Es zielt darauf ab, den Zugang und die Verknüpfung von Gesundheitsdaten aus verschiedenen Quellen zu Forschungszwecken zu erleichtern. Eine zentrale Datenzugangs- und Koordinierungsstelle wird eingerichtet, um bürokratische Hürden zu minimieren und als Anlaufpunkt für Forschende zu dienen. Die Datenverarbeitung erfolgt dezentral, d. h., die Daten werden am ursprünglichen Speicherort belassen und nur auf spezifischen Antrag in einer sicheren Umgebung bereitgestellt. 

Es wird ein Forschungsgeheimnis eingeführt, das die Vertraulichkeit der Daten sichert und bei Missachtung strafrechtliche Konsequenzen nach sich zieht.
Die Daten aus der elektronischen Patientenakte (ePA) können nun mittels eines Opt-Out-Verfahrens für die Forschung freigegeben werden, wobei eine einfache digitale Verwaltung für Widersprüche etabliert wird. Zusätzlich dürfen Kranken- und Pflegekassen auf Basis von Abrechnungsdaten personalisierte Gesundheitshinweise geben, was dem Schutz und der Früherkennung von Krankheiten dienen soll. Hierbei müssen sie besondere Transparenzpflichten einhalten.

Die Aufsichtsbehörde darf auch ohne Antrag der betroffenen Person die Löschung rechtswidrig verarbeiteter personenbezogener Daten anordnen; Das gilt sowohl für bei der betroffenen Person erhobene Daten als auch Daten aus anderer Quelle (EuGH, C-46/23).

In der Begründung stützt der EuGH sich unter anderem darauf, dass „manche der Fallgruppen in Art. 17 Abs. 1 DSGVO [Recht auf Löschung] Situationen erfassen, in denen die betroffene Person nicht notwendigerweise über die Verarbeitung von sie betreffenden personenbezogenen Daten informiert wurde“. Wer von der Verarbeitung nichts wisse, dürfe nicht schutzlos gestellt werden.

Warum aber ein Löschungsantrag auch dann entbehrlich sein soll, wenn die betroffene Person über die Verarbeitung informiert wurde, erklärt das Gericht nicht.

Die Datenschutzkonferenz (DSK) hat eine Orientierungshilfe für Vermieter für den Umgang mit Mieterselbstauskünften veröffentlicht. Die Orientierungshilfe zielt darauf ab, das Spannungsverhältnis zwischen den Interessen der Vermieter und den Datenschutzrechten potenzieller Mieter auszugleichen, insbesondere im Kontext der DSGVO.
Zu berücksichtigen waren sowohl die Interessen des Mieters an der Geheimhaltung persönlicher Daten als auch das Interesse des Vermieters an einer informierten Entscheidung an wen er seine Wohnung vermietet.

Die DSK bietet ein Muster zum kostenfreien Download an, mit dem die Einholung einer Selbstauskunft datenschutzkonform umsetzbar ist.

Der EDSA hat seine europaweite Aktion „Coordinated Enforcement Framework (CEF)“ für 2024 gestartet. Mehrere deutsche Datenschutzaufsichtsbehörden werden sich an dieser Initiative zum Auskunftsrecht beteiligen. Thema ist die Umsetzung des Auskunftsrechts gem. Art. 15 DSGVO.

Ziel der koordinierten Aktion in diesem Jahr ist es, zu beurteilen, wie Organisationen das Auskunftsrecht in der Praxis umsetzen. Kerninstrument der gemeinsamen Initiative ist ein strukturierter Fragebogen zur Umsetzung des Auskunftsrechts durch Verantwortliche. In Deutschland nehmen die Landesdatenschutzaufsichtsbehörden aus Bayern (LDA), Brandenburg, Mecklenburg-Vorpommern, Niedersachsen, Rheinland-Pfalz, dem Saarland und Schleswig-Holstein sowie der BfDI teil. Die Ergebnisse der Aktion werden in einem Bericht des EDSA veröffentlicht.

Wer Unterstützung bei der Beantwortung des Fragebogens braucht oder – noch wichtiger – bei der konkreten Umsetzung des Auskunftsrechts, melde sich gern bei uns.

Das Arbeitsgericht Suhl (6 Ca 704/23) hat im Rahmen einer Schadensersatzklage nach Art. 82 DSGVO entschieden, dass die Auskunftserteilung per unverschlüsselter E-Mail entgegen dem Wunsch des Klägers nach schriftlicher Auskunft einen Datenschutzverstoß darstellt. Das Gericht hat seine Entscheidung nicht näher begründet.

Nach Art. 12 DSGVO können elektronisch gestellte Auskunftsanträge auch elektronisch beantwortet werden, sofern der Antragsteller nichts anderes angibt. Dies hatte der Kläger im vorliegenden Fall jedoch getan. Letztlich bleibt aber unklar, ob sich der Verstoß aus der Nichtbefolgung des schriftlichen Auskunftsverlangens oder aus der fehlenden Verschlüsselung und der vermeintlichen Verletzung der Vertraulichkeit ergibt. Die Datenschutzwelt staunt.

Immerhin: Der Schadenersatzforderung in Höhe von 10.000 Euro wurde nicht stattgegeben, da der Kläger nicht nachweisen konnte, dass ihm ein immaterieller Schaden entstanden ist.

Datenschützer in Bayern fordern vehement den sofortigen Stopp des Trainings der Palantir-Software „VeRA“ durch die Polizei. Bei der Software handelt es sich um eine verfahrensübergreifende Recherche- und Analyseplattform, die Ermittler unterstützen soll. Die Software befindet sich derzeit in Bayern in einem Testbetrieb.

Nunmehr wurde bekannt, dass bereits echte Personendaten für das Training der Software eingesetzt werden. Nach Auffassung des Landesbeauftragten für Datenschutz in Bayern, Petri, liegt dafür aber keine Rechtsgrundlage vor. Das Bayerische Innenministerium ist demgegenüber der Auffassung, dass eine spezielle Rechtsgrundlage für die Nutzung der Software im Testbetrieb nicht notwendig sei. Die Schaffung einer Rechtsgrundlage im Bayerischen Polizeigesetz steht noch aus, ist aber geplant. Kommt sie, könnte sie die Argumentation der bayerischen Datenschutzaufsicht zu Fall bringen.

Der vom französischen Europaabgeordneten Philippe Latombe gestellte Antrag auf einstweilige Anordnung gegen das US-EU Privacy Framework ist vom EuG zurückgewiesen worden. Das EuG entschied, dass die Eilbedürftigkeit für eine solche Anordnung nicht gegeben sei (T-553/23 R).

Das Gericht musste daher nicht über die Erfolgsaussichten der Klage entscheiden. Latombe habe weder eine persönliche Betroffenheit, noch einen drohenden Schaden nachweisen können. Das Gericht wies seine allgemeinen Argumente bezüglich der negativen Auswirkungen der Entscheidung zurück und stellte fest, dass er keinen persönlichen Schaden geltend gemacht hatte. Die Entscheidung lässt daher keine Rückschlüsse auf die Rechtsauffassung des Gerichts bzgl. der Rechtmäßigkeit des Frameworks zu.

Nach deutschem Ordnungswidrigkeitenrecht durfte ein Bußgeld gegen ein Unternehmen nach verbreiteter Auffassung bisher nur dann verhängt werden, wenn die Ordnungswidrigkeit einer natürlichen Person (zumindest einem leitenden Angestellten des verantwortlichen Unternehmens) zugerechnet werden konnte. Der EuGH hat nun klargestellt, dass diese nationale Regelung im Datenschutzrecht nicht anwendbar ist.

Vielmehr gelten die Bußgeldvorschriften der Datenschutz-Grundverordnung abschließend, nach der es gerade nicht erforderlich ist, dass der Verstoß eines verantwortlichen Unternehmens einer natürlichen Person zugerechnet werden kann. Gleichzeitig hat der EuGH klargestellt, dass für die Verhängung eines Bußgeldes ein Schuldvorwurf (Vorsatz oder Fahrlässigkeit) zwingend erforderlich ist. Dieser dürfte aber bereits bei der Nichtumsetzung von Datenschutzvorgaben im eigenen Unternehmen vorliegen.

Unternehmen ist daher dringend anzuraten, die eigene Datenschutz-Compliance und alle insoweit relevanten Prozesse im Unternehmen auf den Prüfstand zu stellen, um künftig Bußgelder und sonstige Anordnungen der zuständigen Aufsichtsbehörde zu vermeiden.

Für einen Unternehmer im Nebengewerbe war von der Beklagten grob fahrlässig ein rechtswidriger Schufa-Eintrag bewirkt worden. Dieser führte zu ca. sechsmonatigen rechtswidrigen Störungen, etwa beim Dispo-Rahmen oder der Kündigung eines Girokontos.

Für die Unannehmlichkeiten des Betroffenen hält das OLG Dresden (4 U 1078/23) eine Kompensation von 1.500,00 EUR für angemessen und ausreichend. Das entspräche vergleichbaren Sachverhalten und sichere die betroffenen Rechte effektiv.

Sehr wirkungsvoll finde ich das nicht. In anders gelagerten Fällen können Beträge von 500,00 EUR oder 5.000,00 EUR angezeigt sein.

Die gesellschaftsrechtliche Verschmelzung von Unternehmen wirft insbesondere die Frage auf, inwieweit datenschutzrechtliche Vorgaben, z. B. wegen einer Datenübermittlung an Dritte, zu berücksichtigen sind.

Bei der Verschmelzung handelt es sich jedoch um einen Fall der Gesamtrechtsnachfolge (§ 20 Abs. 1 Nr. 1 UmwG). Damit bleibt der ursprüngliche Dateninhaber (rechtlich) unverändert, so dass es gar nicht zu einer Datenübermittlung an einen Dritten kommt.

Daten, die vor der Verschmelzung rechtmäßig erhoben wurden, können daher regelmäßig auch nach der Verschmelzung vom Rechtsnachfolger datenschutzrechtlich in gleicher Weise (und unter den gleichen Voraussetzungen) genutzt werden (W137 2251172).

Der EuGH bestätigt Betroffenenrechte nach DSGVO: Laut Urteil vom 26.10.2023 (C-307/22) hat ein Patient das Recht, unentgeltlich eine erste Kopie seiner Patientenakte zu erhalten.

Der Arzt kann ein solches Entgelt nur dann verlangen, wenn der Patient eine erste Kopie seiner Daten bereits unentgeltlich erhalten hat und erneut einen Antrag auf diese stellt.

Steht so eigentlich schon in Art. 15 DSGVO. Musste das wirklich vor den EuGH?

Nach einer Entscheidung des Europäischen Datenschutzausschusses (EDSA) darf Meta nun im gesamten EWR keine personenbezogenen Daten mehr für verhaltensbezogene Werbung auf der Grundlage von Verträgen und berechtigten Interessen verarbeiten.

Der EDSA folgte damit einem Antrag der norwegischen Datenschutzbehörde, endgültige Maßnahmen gegen Meta zu ergreifen, die im gesamten EWR wirksam sind. Im Gegenzug schlug Meta eine einwilligungsbasierte Verarbeitung vor, die nun von der irischen und anderen Aufsichtsbehörden geprüft wird.

Die Entscheidung folgt der Linie des EuGH (C-252/21), der bereits im Juli entschieden hatte, dass ein Nutzer eines kostenlosen sozialen Netzwerks nicht erwarten kann, dass das Netzwerk seine personenbezogenen Daten ohne seine Einwilligung für personalisierte Werbung verarbeitet.

Spätestens jetzt muss Meta seine Einwilligungserklärungen überarbeiten

Eine unzureichende Information gemäß Art. 14 DSGVO kann während eines laufenden Verfahrens vor einer Datenschutzbehörde korrigiert werden. Es besteht zudem keine Berechtigung zur Feststellung einer vergangenen Verletzung des Informationsrechts, wenn dieser Mangel bis zur behördlichen Entscheidung behoben wurde.

Gleiches soll auch für das Auskunftsrecht einer betroffenen Person gelten. Dies dürfte aber nur dann Bestand haben, wenn zumindest die gesetzlichen Fristen nach Art. 12 Abs. 4 DSGVO eingehalten werden können. In beiden Fällen stehe das Informationsbedürfnis der Betroffenen im Mittelpunkt. Dieses soll unabhängig von der Rechtskonformität der zugrunde liegenden Datenverarbeitung zu bewerten sein (W137 2251172-1). 

Man kann sich sicherlich darüber freuen, dass die Aufsichtsbehörden zur Abwechslung mal ihrem Sensibilisierungs- bzw. Beratungsauftrag nachkommen, statt IT-Anwendungen zu „verbieten“:

Gemeinsam mit sechs weiteren Datenschutzaufsichtsbehörden hat der Landesbeauftragte für den Datenschutz Niedersachsen im September eine Handreichung für den Einsatz von Microsoft 365 veröffentlicht. Empfohlen wird der Abschluss einer Zusatzvereinbarung zum Standardvertrag zur Auftragsdatenverarbeitung (DPA) von Microsoft. Dabei geht es insbesondere um Regelungen zu Löschfristen, zu Änderungen von Unterauftragsverarbeitern sowie zur Datenverarbeitung durch Microsoft für eigene Zwecke.

Ob die Handreichung in der Praxis ihre Umsetzung findet, darf bezweifelt werden. Microsoft wird sich kaum auf den Abschluss tausender individueller Zusatzvereinbarungen mit deutschen KMU einlassen. Vielleicht berücksichtigt Microsoft aber die Handreichung bei einer Neuauflage seiner Verträge. Wer es doch mal mit der Zusatzvereinbarungen probieren möchte, darf sich gerne bei mir melden.

Die Verarbeitung personenbezogener Daten im Beschäftigungsverhältnis ist bisher mehr oder weniger umfassend in § 26 des Bundesdatenschutzgesetzes geregelt. Um den schnelllebigen Entwicklungen – auch technischer Natur – der Arbeitswelt (und nebenbei dem europäischen Rechtsrahmen) gerecht zu werden, soll in Q4 2023 ein neues Beschäftigtendatenschutzgesetz kommen.

Das hat die Bundesregierung Ende August in ihrer Datenstrategie „Fortschritt durch Datennutzung“ angekündigt: Man werde von den Öffnungsklauseln der DSGVO Gebrauch machen, „um mit einem modernen, handhabbaren Beschäftigtendatenschutzgesetz Rechtsklarheit für Arbeitgeber sowie Beschäftigte zu schaffen und die Persönlichkeitsrechte der Beschäftigten effektiv zu schützen.“  

Inhaltlich ist bisher nur wenig bekannt, aber dem Vernehmen nach soll es Regelungen u. a. zu solo-selbstständigen Plattformtätigen, Bewerbungsverfahren, Überwachung von Beschäftigten, dem Einsatz künstlicher Intelligenz, der Verarbeitung biometrischer Daten, der Einwilligung von Beschäftigten und Datenübermittlung innerhalb eines Konzerns geben – mit Sicherheit ein Gesetz mit hoher praktischer Relevanz. Wir sind gespannt und halten Sie auf dem Laufenden.

Ist eine Einwilligung des Betroffenen in die Absenkung des Sicherheitsniveaus bei der E-Mail-Übersendung zulässig? – „Ja“, so das Sozialgericht Hamburg (S 39 AS 517/23). Das Gericht verpflichtete eine Behörde, E-Mails unverschlüsselt zu versenden, nachdem ein Blinder ausdrücklich darum gebeten hatte, seine Daten auf diese Weise zu übermitteln. Nach Auffassung des Sozialgerichts Hamburg besteht daher zumindest im Einzelfall eine gewisse Dispositionsbefugnis des Betroffenen über die Angemessenheit der organisatorischen und technischen Maßnahmen.

Zudem seien pauschale datenschutzrechtliche Einwände nicht geeignet, das Recht auf informationelle Selbstbestimmung des Betroffenen zu überwiegen. Zumal der Betroffene mit seiner Einwilligung gerade von dem Freiheitsrecht Gebrauch macht, das die DSGVO schützen will.

Der Anspruch eines Vereinsmitglieds auf Übersendung der Mitgliederliste (inkl. E-Mail-Adressen) eines Vereins ist mit dem Datenschutzrecht vereinbar, soweit das Auskunft verlangende Mitglied ein berechtigtes Interesse daran hat. Das ist z. B. dann der Fall, wenn der Anspruchsinhaber mit den übrigen Mitgliedern Kontakt aufnehmen möchte, um eine Opposition gegen den Vorstand zu organisieren.

Im Rahmen der Interessenabwägung kann davon ausgegangen werden, dass die Mitglieder bereits durch den Vereinsbeitritt zum Ausdruck gebracht haben, dass sie zu einer Kommunikation per E-Mail in Vereinsangelegenheiten bereit sind. Der Anspruchsteller muss sich vom Verein auch nicht auf andere – nicht gleichwertige – Kommunikationsformen (z. B. ein Vereinsforum) verweisen lassen. (8 U94/22)

Dass die DSGVO nicht auf anonymisierte Daten anwendbar ist, dürfte allgemein bekannt sein. Aber wie sieht es mit pseudonymisierten Daten aus? In dem Fall gibt es noch immer irgendwo zusätzliche Informationen, anhand derer der Bezug auf eine identifizierte oder identifizierbare natürliche Person wiederherstellt werden kann. Folglich gilt der Datenschutz auch für pseudonymisierte Daten. Eigentlich.

Denn wenn ein Empfänger pseudonymisierter Daten nicht über die Mittel verfügt, die betroffenen Personen zu re-identifizieren, gelten diese Daten für ihn nicht als personenbezogen. Das gilt selbst dann, wenn der Versender weiterhin über diese zusätzlichen Informationen verfügt, aber ein Zugriff auf diese Informationen durch den Empfänger ausgeschlossen ist.

Das hat der EuGH (T 557/20) im April klargestellt. Eine Aufsichtsbehörde muss demnach nicht nur prüfen, ob der Versender die Personen rückidentifizieren kann, sondern auch, ob diese auch aus Perspektive des Empfängers möglich ist

Der EuGH hat (C-300/21) entschieden, dass ein Verstoß gegen die DSGVO allein noch keinen Schadensersatzanspruch begründet. Es muss nachgewiesen werden, dass tatsächlich ein Schaden entstanden ist. Die Höhe des Schadensersatzes richtet sich nach dem nationalen Recht der Mitgliedstaaten.

Nach Auffassung des EuGH ist der Schadensersatzanspruch in der DSGVO an drei Voraussetzungen geknüpft: Verstoß gegen die DSGVO, materieller oder immaterieller Schaden und Kausalität zwischen Verstoß und Schaden (haftungsausfüllende Kausalität). Der EuGH hat zudem klargestellt, dass eine Erheblichkeitsschwelle für immaterielle Schäden nicht erforderlich ist. Es kommt allein auf das Vorliegen der oben genannten Voraussetzungen an.

Der EuGH hat Anfang Mai dem Gespenst der Rechenschaftspflicht ein wenig seinen Schrecken genommen (C‑60/22): Schließt der Verantwortliche trotz Erforderlichkeit keine Vereinbarung über die gemeinsame Verantwortung (Art. 26 DSGVO) ab oder führt er kein Verarbeitungsverzeichnis (Art. 30 DSGVO), führt dies nicht zur Rechtswidrigkeit der Verarbeitung. Die betroffene Person hat daher keinen Anspruch auf Löschung oder Einschränkung der Verarbeitung.

Der EuGH begründet dies u. a. damit, dass sich die Rechtmäßigkeit einer Verarbeitung von Daten mit „normalem“ Schutzbedarf nur an den Anforderungen des Art. 6 DSGVO (Überschrift: „Rechtmäßigkeit der Verarbeitung“) bemisst. Heißt: Die Datenverarbeitung braucht eine Rechtsgrundlage, um rechtmäßig zu sein. Ob für eine Verarbeitung besondere Datenschutzvereinbarungen zwischen den beteiligten Akteuren erforderlich ist oder ein Verarbeitungsverzeichnis vorliegt, ist hierbei unerheblich. Gibt es eine gültige Rechtsgrundlage, dürfen die Daten auch weiterhin verarbeitet werden.

Viele finden die DSGVO unpraktisch, etwa die umfassenden Ansprüche auf Auskunft und Datenkopie, die viel Aufwand auslösen bei häufig zweifelhaften Motiven auf Seiten des Betroffenen. Und dann erst die Sanktionen. So kann etwa jede Person, der wegen eines Verstoßes gegen die DSGVO ein immaterieller Schaden entstanden ist, Schadenersatz verlangen. Das zieht Glücksritter an, und wer mag die schon.

Es mehren sich daher die Gerichtsentscheidungen, zuletzt aus Nürnberg (4 Sa 201/2) und Memmingen (35 O 1036/22), die Schadensersatz nur bei Verursachung durch die Datenverarbeitung zusprechen. Kein Geld soll es dagegen geben, wenn jemand nichts tut, also etwa die geschuldete Datenauskunft nicht erteilt. Juristisch kann man das unter anderem mit einem Erwägungsgrund und der Entstehungsgeschichte nachvollziehbar begründen. Sinn macht das aber natürlich nicht.

Die DSK hat Ende März ihren Beschluss zu Prüfmaßstäben für „Pur-Abo-Modelle“ veröffentlicht. Bei einem „Pur-Abo-Modell“ haben Websitebesucher meist zwei Möglichkeiten, um die Inhalte der Website lesen zu können: Entweder schließen sie ein kostenpflichtiges Abo ohne Werbung und Tracking (sog. Pur-Abo) ab, oder sie willigen – ohne „Pur-Abo“ – ein, dass ihre Daten für profilbasierte und individualisierte Werbung genutzt werden dürfen.

Mit dem Beschluss stellt die DSK fest, dass das Tracking grundsätzlich auf eine Einwilligung gestützt werden kann, wenn alternativ ein trackingfreies – auch kostenpflichtiges – Modell angeboten wird. Bei mehreren Verarbeitungszwecken muss die Einwilligung granular erteilt werden können.

Der Blog netzpolitik.org stellt hier die in der DSGVO geforderte Freiwilligkeit in Frage und kritisiert, dass die vermeintliche trackingfreie Alternative nur für die gilt, die es sich leisten können. Andererseits wird hier der Gestaltungsspielraum für Webseitenbetreiber gestärkt.

Nach Auffassung des BGH (VI ZR 60/21) darf die Online-Plattform Jameda.de allgemein zugängliche Arzt-Daten ohne Zustimmung des betroffenen Arztes speichern. Es liege insoweit ein berechtigtes Interesse nach Art. 6 Abs. 1 f) DSGVO vor.

Der Kläger, ein Arzt, hatte der Veröffentlichung seiner beruflichen Daten auf dem Portal nicht zugestimmt und verlangte die Löschung. Der BGH urteilte, dass Jameda berechtigte Interessen verfolge, indem es eine Übersicht über Ärzte und deren Leistungen bietet und Patientenbewertungen abrufbar macht. Die Funktion der Veröffentlichung von Patientenbewertungen auf dem Portal falle unter den Schutzbereich von Art. 11 Abs. 1 der Charta der Grundrechte der Europäischen Union und sei zudem gesellschaftlich erwünscht. Das Interesse des Klägers überwiege die berechtigten Interessen von Jameda nicht, sodass die Verarbeitung personenbezogener Daten des Klägers auf der Plattform zulässig sei.

Das VG Hannover (10 A 6199/20) hat entschieden, dass die ununterbrochene und minutengenaue Erhebung von Leistungsdaten der Beschäftigten bei Amazon mittels Handscannern rechtmäßig sei. Das Gericht bestätigte, dass die Datenverarbeitung für die Steuerung der Logistikprozesse, Steuerung der Qualifizierung und Schaffung von Bewertungsgrundlagen für individuelles Feedback und Personalentscheidungen erforderlich ist.

Wer sich mit Verhaltens- und Leistungskontrolle im Beschäftigungsverhältnis näher beschäftigt hat, käme intuitiv evtl. zu einem anderen Ergebnis. Die beklagte Landesbeauftragte für den Datenschutz Niedersachsen ist weiterhin der Auffassung, dass der durch die minutengenaue Leistungsdatenerhebung und Auswertung entstehende Anpassungs- und Leistungsdruck für die Beschäftigten höher zu gewichten sei als das wirtschaftliche Interesse des Unternehmens. Das letzte Wort scheint hier noch nicht gesprochen zu sein.

Die Datenschutzkonferenz (DSK) hat mit einem Beschluss vom 31. Januar 2023 die eigene Rechtsmeinung zu bestimmten Aspekten des Drittlandtransfers klargestellt. Nach Auffassung der DSK ist die bloße Gefahr, dass eine Drittlandsmuttergesellschaft (oder eine Behörde) eines EWR-Unternehmens dieses anweisen könnte, personenbezogene Daten in ein Drittland zu übermitteln, nicht ausreichend, um eine Übermittlung im Sinne von Art. 44 ff. DSGVO anzunehmen.

Allerdings hält die DSK darüber hinaus fest, dass die vorstehend beschrieben „Gefahr“ dazu führen könnte, dass der solcher Weisungsgebundenheit unterliegende Auftragsverarbeiter als nicht hinreichend zuverlässig im Sinne von Art. 28 Abs. 1 DSGVO zu bewerten sein dürfte. Die könne nur durch Vornahme einer Einzelfallprüfung und in der Konsequenz durch die Implementation geeigneter technischer und organisatorischer Maßnahmen, die sicherstellen, dass der Auftragsverarbeiter seinen regulatorischen und vertraglichen Pflichten nachkommt, wiederhergestellt werden.

Dabei hat die DSK offenbar nicht berücksichtigt, dass gem. Art. 28 Abs. 10 DSGVO ein Auftragsverarbeiter, der datenschutzwidrig die Zwecke und Mittel der Verarbeitung bestimmt, in Bezug auf diese Verarbeitung als Verantwortlicher gilt.

Einen aus Datenschutzsicht interessanten Deal hat ein Kläger vor dem LG Köln (28 O 21/22) ausgehandelt: Nachdem er beim Konkurrenzunternehmen in ein „einfach gutes“ Angebot für einen Audi Q3 eingeschlagen hatte, konnte er obendrauf auch noch EUR 4.000,00 DSGVO-Schadensersatz lockermachen. Und das kam so:

Der Kläger ist Autoverkäufer bei Firma A und hat sich sein neues Auto aber bei der Konkurrenzfirma B gekauft. Firma B wandte sich nun per E-Mail an Firma A und bat diese, zwecks Klärung der Finanzierung des Privatkaufs „mit Ihrem Mitarbeiter ein klärendes Gespräch zu führen“.

Hierin sah das LG Köln eine unerlaubte Offenbarung personenbezogener Daten des Klägers gegenüber dessen Arbeitgeber und damit eine Datenschutzverletzung, die den genannten Schadensersatz auslöst. Der mögliche Rechtfertigungsdruck gegenüber seinem Arbeitgeber sei mit einem erheblichen Schamgefühl verbunden, wodurch ein offensichtliches Geheimhaltungsinteresse des Klägers bestand.

Der Auskunftsanspruch nach Art. 15 DSGVO ist nicht allein deswegen als rechtsmissbräuchlich einzustufen, weil mit ihm datenschutzfremde Ziele verfolgt werden. Nach Ansicht des OLG Celle (8 U 165/22) ist die Motivationslage des Klägers nicht maßgeblich bei der Bewertung der Begründetheit des Auskunftsantrags. Die DSGVO mache den Auskunftsanspruch gerade nicht von einer bestimmten Zielsetzung des Anspruchsinhabers abhängig. Entsprechend muss der Anspruch auch nicht begründet werden. Im vom OLG Celle zu entscheidendem Fall hatte der Anspruchsinhaber Auskunft über die Prämienerhöhung bei seiner privaten Krankenversicherung verlangt. Der Versicherer hatte den Anspruch zurückgewiesen, da der Antragssteller keinen datenschutzrechtlichen Grund verfolge.

Durch das Urteil wird es für Unternehmen in Zukunft deutlich schwerer Auskunftsansprüche mit dem Verweis auf Rechtsmissbräuchlichkeit zurückzuweisen. Unternehmen sollten daher den Umgang mit Betroffenenansprüchen prüfen und ggf. vorhandene Richtlinien entsprechend überarbeiten.

Die EU-Kommission hat kurz vor Weihnachten noch einen Beschlussentwurf vorgelegt, der das angemessene Schutzniveau für personenbezogene Daten gewährleisten soll, wenn diese aus der EU in die USA übermittelt werden. Damit soll den Bedenken des EuGH aus dem Schrems-II-Verfahren Rechnung getragen werden.

Bevor die Kommission allerdings eine Angemessenheitsentscheidung erlassen kann, wird sich erst einmal der Europäische Datenschutzausschuss (EDSB) und das Europäische Parlament damit befassen. Dann steigt die – bis auf Weiteres – die Rechtssicherheit bei der Nutzung notwendiger und alltäglicher Datenverarbeitung mit US-Unternehmen.

Wer als Auftragsverarbeiter personenbezogene Daten für Partner und Kunden verarbeitet, kann nun dank der neuen Verhaltensregel gem. Art. 40 DSGVO „Trusted Data Processor“ des LfDI Baden-Württemberg für mehr Rechtssicherheit sorgen.

Auftragsverarbeiter können mit einer Selbstverpflichtung auf die Verhaltensregel „Trusted Data Processor“ demonstrieren, dass sie den in der Verhaltensregel festgelegten Vorgaben folgen und sie sich deren Überwachung durch eine Überwachungsstelle haben wird. Die Vorgaben der Verhaltenregeln sehen z. B. bestimmte Mindeststandards für die Einbindung und Kontrolle von Unterauftragsverarbeitern, den Umgang mit Betroffenenrechten, die Meldung von Datenschutzvorfällen, die Verpflichtung auf Vertraulichkeit von Beschäftigten und Eigenkontrolle vor.

Mehr Informationen gibt es auf der Webseite www.verhaltensregel.eu.

Der Eigentümer eines Mehrparteienhauses in Berlin ließ den Innenhof des Gebäudes per Video überwachen. Einem Mieter des Hauses hat das Landgericht Berlin (63 O 213/20) nun ein Schmerzensgeld nach Art. 82 DSGVO zugesprochen.

Der Mieter hatte u. a. vorgetragen, dass der Innenhof für ihn wegen des Überwachungsdrucks praktisch nicht nutzbar war. Das Gericht sah eine Videoüberwachung zu präventiven Zwecken (Diebstahlsvermeidung etc.) als nicht gerechtfertigt an und verneinte auch das Vorliegen sonstiger Anhaltspunkte für ein Überwiegen der Interessen des Eigentümers gegenüber den schutzwürdigen Interessen des Betroffenen. Das Gericht gewichtete insbesondere, dass der Innenhof von den Bewohnern des Hauses und deren Kindern als Rückzugsort genutzt wurde. Darüber hinaus erfolgte die Videoüberwachung rund um die Uhr und die Speicherung des Bildmaterials fand ohne zeitliche Limitierung statt

Die Bremer Datenschutzaufsicht hat einen rechten Hetzer mit einem fragwürdigen Verständnis von Meinungsfreiheit in seine Schranken gewiesen; das Verwaltungsgericht Bremen (4 K 1338/21) hat dieses Vorgehen nun bestätigt. Demnach darf die Aufsichtsbehörde anordnen, Videos und Screenshots von Videokonferenzen eines öffentlichen Gremiums vollständig von einer Webseite zu entfernen, und deren künftige Veröffentlichung untersagen, soweit sie Teilnehmer Videokonferenz zeigen und/oder deren Stimmaufnahmen beinhalten.

Die besagte Veröffentlichung zielte laut VG Bremen darauf ab, die an der Videokonferenz beteiligten Personen zu diffamieren, und stellte keine berechtigte Mehrinformation gegenüber den öffentlichen Protokollen der Videokonferenz dar; es fehlte offenbar an einer journalistischen Aufarbeitung der bereitgestellten Informationen. Die Interessensabwägung fällt also gegen den Webseitenbetreiber aus.

Das Urteil zeigt, dass der Datenschutz zum Erhalt der Grundrechte und der freiheitlich-demokratischen Rechtsordnung beiträgt. Die Aufsichtsbehörden können hier eine wichtige und effektive Rolle einnehmen.

Hacker gelangten im vergangenen Jahr rechtswidrig an Datensätze von einer Vielzahl von Facebook-Nutzern. Wie genau die Angreifer an die Daten gelangen konnten, ist unklar. Es ist jedoch davon auszugehen, dass es gelang, sich unrechtmäßig von außen Zugriff auf IT-Systeme von Facebook zu verschaffen. Unabhängig vom konkreten Ablauf ist das unrechtmäßige Abfließen der Daten ein sog. Data-breach-Vorfall im Sinne von Art. 33 DSGVO. In einem Verfahren vor dem Landgericht Zwickau ist nun ein Versäumnisurteil (LG Zwickau,  7 O 334/22) ergangen, in dem einem von der Datenpanne betroffenen Facebook-Nutzer ein Schadenersatzanspruch in Höhe von EUR 1000 zugesprochen. Nach Auffassung des LG hatte Facebook keine ausreichenden Sicherheitsmaßnahmen getroffen, um das Abfließen der Daten zu verhindern.

Unternehmen sollten das Urteil als Anlass nehmen, die eigene IT-Sicherheit einmal mehr auf den Prüfstand zu stellen. Kommt es tatsächlich zu einem Data-breach-Vorfall sollten Unternehmen in der Lage sein zu belegen, dass die eigene IT im konkreten Fall in angemessenem Maß abgesichert war. Nur so können Schadenersatzansprüche im Nachgang abgewehrt werden.

Am 7. Oktober 2022 hat US-Präsident Joe Biden die Executive Order on Enhancing Safeguards for United States Signals Intelligence Activities unterzeichnet. Diese soll der Europäischen Kommission als Grundlage für einen neuen Angemessenheitsbeschluss für den Datentransfer in die USA dienen, nachdem der EuGH das Privacy Shield in seinem Schrems II-Urteil 2020 gekippt hatte (C-311/18). Die neue Executive Order sieht offenbar strengere Regeln für den Umgang mit personenbezogenen Daten durch US-Geheimdienste vor. Betroffene aus der EU sollen zudem ein mehrstufiges Redress-Verfahren nutzen können, für den Fall, dass US-Geheimdienste ihre Daten rechtswidrig verarbeitet haben. Wenn die Europäische Kommission mitmacht, können Verantwortliche in der EU auf Rechtsicherheit für ihre US-Datentransfers im ersten Halbjahr 2023 hoffen; andere sehen schon die Bühne für ein Schrems III-Urteil bereitet. Hat sich Disney schon die Filmrechte gesichert?

Ein verspäteter Auskunftsanspruch kann nach Auffassung des Bundesarbeitsgerichts einen Schadenersatzanspruch nach Art. 82 Abs. 1 DSGVO in Höhe von EUR 1.000,00 begründen. Darüber hinaus führt das BAG aus, dass auch im Zusammenhang mit Art. 82 DSGVO § 287 Abs. 1 Satz 1 ZPO zur Anwendung kommt. Das Gericht kann also die Schadensschätzung unter Würdigung aller Umstände nach freier Überzeugung vornehmen. Tatsächlich konnte das BAG daher auch nicht die Höhe des in der Vorinstanz vom Landgericht zugesprochenen Schadenersatzanspruchs prüfen, sondern die Entscheidung lediglich auf Ermessensfehler durchleuchten.

Unternehmen sollten ihre eigenen Prozesse rund um den Umgang mit Betroffenenrechten regelmäßig prüfen und überarbeiten, um nicht einer Vielzahl solcher Forderungen ausgesetzt zu werden.

Das Finanzgericht München (15 K 2067/18) hat geurteilt, dass Steuerakten nicht dem Anwendungsbereich der DSGVO unterfallen. Demnach kann ein Betroffener sich für ein Begehren auf Akteneinsicht bzw. Überlassung von Kopien der Steuerakten nicht mit Erfolg auf Art. 15 DSGVO stützen. Während strukturierte Einzelangaben dem Auskunftsanspruch unterliegen, fallen noch nicht „gehobene“ Einzelangaben in Steuerakten – Volltexte, die ggf. die Quelle der noch nicht strukturierten/gehobenen Daten darstellen – vor allem wegen ihrer fehlenden Strukturiertheit (noch) nicht in den Anwendungsbereich der DSGVO. Insbesondere gewährleistet der Auskunftsanspruch somit keinen Anspruch auf Überlassung von Kopien der in der Steuerakte enthaltenen Schriftstücke. Es wird sich zeigen, ob diese doch sehr pragmatische Herangehensweise des Finanzgerichts Bestand haben wird; andere Gerichte sind beim Umfang des Auskunftsanspruchs deutlich strenger.

Nachdem sich in einem Mehrparteienhaus ein Mieter beim Vermieter über einen anderen Mieter beschwert hatte, verlangte der „verpfiffene“ Mieter vom Vermieter Auskunft darüber, welcher Mitbewohner sich über ihn beschwert hatte. Den Auskunftsanspruch stützte der Mieter auf Art. 15 Abs. 1 DSGVO. Das Auskunftsrecht wird nicht schrankenlos gewährt. Vielmehr sind die Rechte und Freiheiten des Hinweisgebers zu berücksichtigen. Im Rahmen der notwendigen Interessenabwägung ist nach Auffassung des BGH (VI ZR 14/21) insb. zu berücksichtigen, ob der Hinweisgeber wider besseren Wissens oder leichtfertig unrichtige Angaben getätigt hat. Ist das der Fall, soll das Interesse an der Geheimhaltung des Hinweisgebers gegenüber dem Auskunftsinteresse regelmäßig zurücktreten

Was hat das eine mit dem anderen zu tun? Ein nach dem Kriegswaffenkontrollgesetz Verpflichteter wollte seine E-Mail-Meldungen an das elektronische Kriegswaffenregister des Bundesamts für Wirtschaft und Ausfuhrkontrolle nur noch Ende-zu-Ende-verschlüsseln; er befürchtete, Opfer einer Entführung oder eines Raubes zu werden, um an die gelagerten Produkte zu gelangen. Das VG Frankfurt (5 L 1281/22.F) entschied aber, dass das Bundesamt mit der vorhandenen Transportverschlüsselung die erforderlichen Vorkehrungen zur Wahrung der Integrität und Vertraulichkeit bereits getroffen hätte. Diejenigen, die nicht täglich mit Kriegswaffen handeln, müssen sich nur merken: Die Transportverschlüsselung von E-Mails reicht nach Stand der Technik für die Einhaltung der DSGVO aus, jedenfalls sofern keine Kategoriedaten oder besonderes Schutzbedürfnis vorliegen.

Das LAG Schleswig-Holstein (6 Ta 49/22) hat im Rahmen einer sofortigen Beschwerde gegen die (teilweise) Versagung von Prozesskostenhilfe festgehalten, dass ein immaterieller Schaden in Höhe von bis zu 2000 € für einen Arbeitnehmer angemessen sind, der scheinbar freiwillig an einem Werbevideodreh teilgenommen hat, eine wirksame datenschutzrechtliche Einwilligung aber nicht vorlag. Nach Ansicht des Gerichts stellt bereits die Verletzung der DSGVO selbst einen zu kompensierenden immateriellen Schaden dar. Art. 82 Abs. 1 DSGVO erfordere über die Verletzung der DSGVO hinaus gerade nicht, dass die verletzte Person einen weiteren erlittenen Schaden darlegt. Das Gericht stützte sich dabei im Wesentlichen auf Erwägungsgrund 146 Satz 3 DSGVO und die entsprechende Rechtsprechung des EuGH, wonach der Begriff des Schadens extensiv auszulegen sei.

Mit Urteil vom 14. Dezember 2021 hat das ArbG Neuruppin (2 Ca 554/21) einer Arbeitnehmerin einen Schadenersatzanspruch in Höhe von 1000 Euro gegen ihren ehemaligen Arbeitgeber zugesprochen. Der Anspruch bestehe, da der Arbeitgeber, nach Beendigung des Arbeitsverhältnisses, mit der Klägerin als bei ihm angestellte Biologin geworben hatte. Auch nach entsprechender außergerichtlicher Aufforderung stellte der Arbeitgeber die Nennung auf seiner Webseite nicht ein. Nach Auffassung des Gerichts stellte diese Nennung eine schuldhaft unrichtige Verwendung von personenbezogenen Daten dar, die kausal für die Verletzung des allgemeinen Persönlichkeitsrechts der Klägerin war. Den dadurch entstandenen immateriellen Schaden legte das Gericht in Höhe von 1000 Euro fest.

Trotz der geringen Summe zeigt das Urteil abermals deutlich, dass Unternehmen nicht nur beim Onboarding neuer Mitarbeiter professionell und strukturiert aufgestellt sein müssen, sondern auch das Offboarding von Mitarbeitern den ein oder anderen Fallstrick mit sich bringen kann.

Die EU-Kommission hat auf Ihrer Webseite FAQ zu den erneuerten Standard Contractual Clauses (SCC) veröffentlicht. SCC stellen eine geeignete Möglichkeit dar, einen Datentransfer in ein Drittland rechtmäßig auszugestalten. Der dazu in Form der SCC von der Kommission bereitgestellte Mustervertrag berücksichtigt dabei alle denkbaren Situationen: sowohl die Datenübertragung von Verantwortlichen zu Auftragsverarbeitern (und umgekehrt) sowie auch zwischen Auftragsverarbeitern oder Verantwortlichen. Ferner stellen die SCC im Rahmen einzelner Klauseln standardisierte Varianten (Optionen) zur Verfügung, mit denen der Vertrag den individuelle Bedürfnisse angepasst werden kann. Die Anpassungsmöglichkeiten der SCC sind dabei Fluch und Segen zugleich. Bereits die falsche Modulauswahl kann dazu führen, dass der Datentransfer rechtswidrig und damit bußgeldbewehrt ist. Die FAQ bieten zwar eine erste gute Anlaufstelle, um einen grundlegenden Eindruck von den Möglichkeiten der SCC zu erlangen. Als Ausfüllhilfe für Laien sind sie aber kaum geeignet. Die Gestaltung von Drittstaatentransfers unter Verwendung von SCC sollte nicht ohne anwaltliche Beratung erfolgen.

Der Verantwortliche ist verpflichtet, seine Auftragsverarbeiter zu überprüfen, um sicherzustellen, dass sie personenbezogene Daten im Einklang mit der DSGVO verarbeiten (Art. 28 DSGVO). Dementsprechend hat die dänische Datenschutzbehörde kürzlich (2022) die Frage erläutert, wie oft Auftragsverarbeiter überprüft werden sollten.

Die Anforderungen an die Prüfung von Auftragsverarbeitern steigen, wenn der Verarbeiter mehr personenbezogene Daten verarbeitet, die Daten vertraulicher oder sensibler werden oder die Verarbeitung eingreifender wird. Je kritischer daher die Verarbeitung für die betroffenen Personen ist, desto intensiver müssen die Kontrollen des Datenverarbeiters sein.

Wenn die Risiken für die betroffenen Personen hoch sind, ist ein jährliches Audit (vor Ort oder remote) erforderlich. Faktoren, die auf eine höhere Häufigkeit hindeuten, sind:

• Schwierigkeiten des Auftragsverarbeiters in der Vergangenheit bei der Einhaltung der AV-Vereinbarung,
• gehäuftes Auftreten schwerwiegender Datenpannen,
• Subprozessoren werden häufig ersetzt,
• häufige Übernahmen, Eigentümerwechsel, Fusionen oder erhebliche Änderungen in der Geschäftsstrategie des Auftragsverarbeiters.

Die italienische Datenschutzbehörde hat gegen das US-amerikanische Unternehmen Clearview AI eine Geldstrafe in Höhe von 20 Millionen Euro verhängt, weil es gegen die Bestimmungen der DSGVO verstoßen hat.

Erstens verarbeitete das Unternehmen personenbezogene Daten – die über öffentliche Webquellen und Web Scraping gesammelt wurden und über 10 Milliarden Gesichtsbilder enthielten – ohne Rechtsgrundlage (kein berechtigtes Interesse von Clearview).

Zweitens verstieß das Unternehmen gegen mehrere Grundprinzipien der DSGVO, darunter Transparenz – da es die betroffenen Personen nicht angemessen informierte -, Zweckbindung – da es Daten zu anderen Zwecken verarbeitete als denen, für die sie online zur Verfügung gestellt worden waren – und Speicherbegrenzung – da es keinen Zeitraum für die Datenspeicherung angab.

Das Unternehmen wurde angewiesen, die Daten zu löschen und einen Vertreter gem. § 27 DSGVO in der EU zu benennen.
(Übrigens hat die Ukraine berichtet, dass sie die Gesichtserkennungstechnologie von Clearview einsetzt, um Fehlinformationen zu bekämpfen und die Opfer zu identifizieren.)

Das OLG Dresden (4 U 1278/21) hat sich mit der juristisch durchaus anspruchsvollen Frage auseinandergesetzt, wie mit Daten umzugehen ist, die ursprünglich unberechtigt gespeichert wurden, für die aber eine gesetzliche Aufbewahrungspflicht besteht.
Nach Ansicht des OLG kann die ursprünglich rechtswidrige Verarbeitung der Daten nicht durch ein gesetzliches Aufbewahrungsrecht „geheilt“ werden. Die personenbezogenen Daten müssten daher geschwärzt oder gelöscht werden bzw. sei der Zugang geeignet einzuschränken.

Solche Fragen im Spannungsfeld zwischen Löschpflicht bzw. Löschanspruch und gesetzlichen Aufbewahrungspflichten sind immer nur nach Einzelfallabwägung zu entscheiden. In dem zu entscheidenden Fall ging es um Buchhaltungsunterlagen nach § 147 AO, für die bei digitaler Aufbewahrung eigentlich Veränderungsschutz gilt. Nach Ansicht des OLG seien die Unterlagen daher nicht in ihrer Gesamtheit zu löschen, sondern nur die personenbezogenen Daten des Klägers durch „digitales Schwärzen“.

Lieblingsthema Auskunft! Der Europäische Datenschutzausschuss hat Ende Januar seine Leitlinien zum Auskunftsrecht gem. Art. 15 DSGVO zur öffentlichen Konsultation herausgegeben. Die Hilfestellung von höchster europäischer aufsichtsbehördlicher Ebene ist herzlich willkommen; dass damit aber das Thema Auskunft für Verantwortliche einfacher wird, darf man nicht erwarten. Immerhin spiegeln die Leitlinien im Wesentlichen die Anforderungen, die wir in verschiedenen Urteilsbesprechungen früherer DRF-Ausgaben beleuchteten, wider: Inhalt der Auskunft muss alles sein, was beim Verantwortlichen vorliegt, auch interne Vermerke und Kommunikation. Erfreulich praxisnah ist jedoch dabei, dass auch der EDSA ein mehrstufiges Auskunftsverfahren („layered approach“) als gangbaren Weg für das Beauskunften großer Datenmengen aufzeigt, um den Konflikt zwischen Vollständigkeit einerseits und Präzision und Zugänglichkeit andererseits zu lösen. Das Konsultationsverfahren läuft noch bis zum 11. März 2022.

Die Auskunft gem. Art. 15 DSGVO ist hier schon öfter vorgekommen (möchte mal jemand nachzählen?); und auch der Beitrag von Bernhard und mir an anderer Stelle hat das Thema nicht abschließend behandelt. Die Rechtsmissbräuchlichkeit eines Auskunftsantrags hat nun das OLG Hamm festgestellt (20 U 269/21): In einem Streit mit einer Versicherung beantragte der Kläger, ihm Auskunft über die Beitragsanpassungen vergangener Jahre zu erteilen und hierzu geeignete Unterlagen zur Verfügung zu stellen. Dieser Auskunftsanspruch ließe sich hier jedoch nicht auf Art. 15 DSGVO stützen, da er gem. § 242 BGB rechtsmissbräuchlich sei. Die begehrte Auskunft diene ausschließlich der Verfolgung von Leistungsansprüchen, was nichts mit dem Zweck der DSGVO zu tun habe, nämlich dem Datenschutz. Demnach dürfe sich die Versicherung gem. Art. 12 Abs. 2 lit. b) DSGVO weigern, die Auskunft zu erteilen (vgl. LG Wuppertal, 4 O 409/20).

Gibt es bei Datenschutzverletzungen immer auch Schadensersatz, oder ist ein konkreter Schaden darzulegen? Diese ungeklärte Frage war Gegenstand einer Entscheidung des OLG Düsseldorf vom 16.02.21 (16 U 269/20). Nach Ansicht des OLG gibt Art. 82 DSGVO einen pauschalierten Anspruch – wie z. B. in der Fluggastrechte-VO – nicht her. Eine Schadensersatzpflicht sei nur in der Höhe eines konkret geltend gemachten Schadens denkbar, der nach Art und Entstehungsweise unter den Schutzzweck der verletzten Norm fällt.

Das Urteil ist damit zwar nachvollziehbar, solange man es durch die deutsche Schadensersatzrechtsbrille sieht. Es verkennt allerdings, dass das europäische Schadensersatzrecht einen viel stärkeren Fokus auf den Aspekt der Abschreckungswirkung hat und weniger den Ansatz der sog. Naturalrestitution verfolgt.

Auch ErwGr 146 unterstreicht den Willen des Gesetzgebers nach einer weiten Auslegung des Schadensbegriffs. Letztlich bedarf es hier dringend einer Klärung durch den EuGH.