Sehr geehrte Damen und Herren,

die Berliner Datenschutzaufsichtsbehörde hat im August 2019 ein Bußgeld in Höhe von fast 200.000 Euro gegen die Delivery Hero Germany GmbH („Delivery Hero“) verhängt. Die Entscheidung ist rechtskräftig. Anlass für das Bußgeld waren mehrere Datenschutzverstöße des Lieferdienstes. Delivery Hero hatte in zehn Fällen Konten ehemaliger Kundinnen und Kunden nicht gelöscht, obwohl die Betroffenen jahrelang – in einem Fall seit dem Jahr 2008 – nicht mehr auf der Lieferdienst-Plattform des Unternehmens aktiv waren. Zudem wurde an mindestens acht Kunden unerwünschte E-Mail-Werbung versandt, wobei ein Betroffener nach seinem ausdrücklichen Widerspruch gegen den Erhalt von elektronischer Werbung weitere 15 Werbe-E-Mails erhielt. In fünf Fällen hatte das Unternehmen zudem auf Auskunftsansprüche von Betroffenen entweder gar nicht oder erst nach Einschaltung der Berliner Aufsichtsbehörde geantwortet.

Ein weiteres Bußgeld in Höhe von 50.000 Euro erging gegen die Online-Bank N26 . Das Unternehmen hatte zu Zwecken der Geldwäscheprävention die Namen ehemaliger Kundinnen und Kunden auf eine „schwarze Liste“ gesetzt, unabhängig davon, ob diese tatsächlich der Geldwäsche verdächtig waren.

Unterdessen hat die Datenschutzkonferenz (DSK), der Zusammenschluss der Datenschutzbehörden des Länder und des Bundes, ein Konzept zur Bußgeldbemessung erarbeitet. Das Konzept wurde bisher zwar noch nicht veröffentlicht, allerdings ist dazu bereits ein Pressebericht mit näheren Details erschienen.

Auf dem deutschen EDV-Gerichtstag in Saarbrücken hat der Bundesdatenschutzbeauftragte Ulrich Kelber im Hinblick auf die ungesicherte Speicherung von Millionen Patientendaten im Internet angekündigt, dass die Aufsichtsbehörden zukünftig verschärft die Einhaltung von technischen und organisatorischen Maßnahmen überprüfen würden. Soweit Maßnahmen nicht dem aktuellen Stand der Technik entsprächen, würden zukünftig auch schneller Bußgelder verhängt.

Wir greifen diese Ankündigung des Bundesdatenschutzbeauftragten in unserem Schwerpunktthema in diesem Monat auf und informieren Sie zum Thema „Verschlüsselungen unter der DGSVO“. Daneben berichten wir über Urteile des Europäischen Gerichtshofs (EuGH) und des Oberverwaltungsgerichts (OVG) Saarland sowie über eine Vorlage des Bundesverwaltungsgerichts (BVerwG) an den EuGH.

Bei Rückmeldungen zu diesem Newsletter oder Fragen im Zusammenhang mit den Themen des Newsletters können Sie sich an die E-Mail-Adresse datenschutz@brandi.net wenden. Die weiteren Kontaktdaten finden Sie auch auf unserer Homepage.

Viel Freude mit der Lektüre unseres Newsletters wünschen Ihnen

Dr. Sebastian Meyer, Dr. Christoph Rempe und das Datenschutzteam von BRANDI

Thema des Monats: Verschlüsselungen unter der DSGVO

Unter Verschlüsselung versteht man die Umwandlung eines Klartextes durch einen Schlüssel in einen Geheimtext, sodass die Ausgangsinformationen nur unter Verwendung des passenden Schlüssels wieder lesbar werden. Durch Verschlüsselungen kann die Vertraulichkeit, Integrität und Authentizität von Daten sichergestellt werden. Anknüpfungspunkt für die Pflicht zur Verschlüsselung bestimmter Informationen im Datenschutzrecht ist insbesondere Art. 32 DGSVO. Gemäß Art. 32 DSGVO müssen die für die Verarbeitung Verantwortlichen unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der Schwere des Risikos für die Rechte der Betroffenen geeignete technische und organisatorische Maßnahmen ergreifen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. In Art. 32 Abs. 1 lit. a) DSGVO wird die Verschlüsselung personenbezogener Daten ausdrücklich als eine der möglichen Schutzmaßnahmen benannt.

Festplattenverschlüsselungen sind insbesondere für Mobilgeräte wie Handys, Tablets und Laptops empfehlenswert. Grund hierfür ist der durch die Verschlüsselung verbesserte Schutz der Daten in Fällen von Diebstahl oder bei einem Verlust des Endgeräts. Geraten die Geräte in die Hände unberechtigter Dritter, können diese bei ausreichender Verschlüsselung wenigstens nicht ohne Weiteres auf die darauf gespeicherten Daten zugreifen.

Zum vollständigen Schwerpunktthema

EuGH: „Recht auf Vergessenwerden“ gilt nicht weltweit

Der EuGH hat entschieden, dass der Betreiber einer Suchmaschine das „Recht auf Vergessenwerden“ grundsätzlich nur in allen EU-Versionen seiner Suchmaschine erfüllen muss (Urteil vom 24.09.2019, Az.: C-507/17).

Im konkreten Fall hatte Google gegen ein Bußgeld der französischen Datenschutzaufsichtsbehörde in Höhe von 100.000 Euro geklagt. Das Bußgeld war dafür verhängt worden, dass Google bei sog. Auslistungsanträgen betroffener Personen die Austragung aus den Suchergebnissen nicht auf allen Domains umgesetzt hatte. Google vertrat in seiner Klage die Auffassung, dass sich aus dem „Recht auf Vergessenwerden“ nicht zwangsläufig ergebe, dass die streitigen Links ohne geografische Beschränkung aus sämtlichen Domains der Suchmaschine entfernt werden müssten.

Der EuGH schloss sich der Auffassung von Google an. Zwar sei es zur Erreichung der mit der DSGVO verfolgten Datenschutzziele durchaus förderlich, wenn die Suchergebnisse weltweit ausgelistet würden. Der Unionsgesetzgeber habe aber in den Art. 12 der Datenschutzrichtlinie (Richtlinie 95/46) und Art. 17 DSGVO keine über das Hoheitsgebiet der EU-Mitgliedsstaaten hinausgehende Anwendung des Rechts auf Vergessenwerden festgelegt. Insoweit könne von Google lediglich eine Löschung in den Domains innerhalb der EU verlangt werden.

BVerwG legt EuGH Fragen zur Vorratsdatenspeicherung vor

Das BVerwG hat dem EuGH eine Frage zur Auslegung der Datenschutzrichtlinie für elektronische Kommunikation vorgelegt (Beschlüsse vom 25.09.2019, Az.: 6 C 12.18 und 6 C 13.18). Von der Klärung der Frage hängt die Anwendbarkeit der im deutschen Telekommunikationsgesetz (TKG) enthaltenen Regelungen zur sog. Vorratsdatenspeicherung ab. Die Vorratsdatenspeicherung erlaubt es Strafverfolgungsbehörden, auf Internet- und Telefondaten zuzugreifen, die private Telekommunikationsanbieter zu diesem Zweck „auf Vorrat“ speichern müssen. Zuletzt war die Speicherfrist allerdings von der Bundesnetzagentur ausgesetzt worden, da der EuGH im Jahr 2016 in einem Urteil für die britische und schwedische Vorratsdatenspeicherung eine allgemeine und unterschiedslose Speicherung von Daten auch unverdächtiger Bürger für unzulässig hielt (Urt. v. 21.12.2016, Az.: C-203/15; C-698/15).

In dem Verfahren vor dem BVerwG klagt nunmehr ein deutscher Telekommunikationsdienstleister gegen die deutschen Regelungen. Dabei vertritt er die Auffassung, dass die deutsche Vorratsdatenspeicherung mit der britischen und schwedischen Vorratsdatenspeicherung vergleichbar und deswegen ebenfalls europarechtswidrig sei.

Das BVerwG ist aber offenbar nicht von der Vergleichbarkeit der Regelungen überzeugt. So führt das Gericht aus, dass der „Kreis der von der Speicherpflicht erfassten Kommunikationsmittel und die Speicherdauer gegenüber den schwedischen und britischen Regelungen, über die der EuGH zu entscheiden hatte, reduziert“ sei.

Bis zur Entscheidung des EuGH hat das Bundesverwaltungsgericht die Revisionsverfahren ausgesetzt.

OVG Saarland: Speicherung öffentlich zugänglicher Daten für Werbeanrufe unzulässig

Das OVG Saarland hat entschieden, dass die Speicherung von öffentlich zugänglichen Daten für Werbeanrufe unzulässig sein kann (Beschluss v. 10.09.2019, Az.: 2 A 174/18). Im konkreten Fall war der Kläger gegen einen Bescheid der Datenschutzaufsichtsbehörde vorgegangen, der ihm die Nutzung von öffentlich zugänglichen Telefonnummern für Werbeanrufe ohne vorherigen Geschäftskontakt („Cold Calls“) untersagte. Der Kläger argumentierte, als Ankäufer von Edelmettallresten seien die von ihm über die Cold Calls angesprochenen Zahnärzte und Dentallabore durchaus an seinen Leistungen interessiert. Zudem könne es keinen Unterschied machen, ob Einzelzahnärzte oder Gemeinschaftspraxen per Anruf kontaktiert würden.

Das OVG Saarland folgte der Auffassung des Klägers nicht.

Nach § 7 Abs. 2 Nr. 2 UWG sei eine unzumutbare Belästigung bei Werbung mit einem Telefonanruf gegenüber einem Verbraucher ohne dessen vorherige ausdrückliche Einwilligung oder gegenüber einem sonstigen Marktteilnehmer ohne dessen zumindest mutmaßliche Einwilligung stets anzunehmen. Da es sich hier um Werbung im „B2B“-Bereich handele und eine ausdrückliche Einwilligung der Betroffenen nicht vorliege, sei für die Zulässigkeit der Cold Calls entscheidend, ob zumindest von einer mutmaßlichen Einwilligung der betroffenen Zahnärzte in die telefonische Werbeansprachen durch die Klägerin ausgegangen werden könne. Dies sei zu verneinen. Maßgebend sei, ob der Werbende bei verständiger Würdigung der Umstände davon ausgehen könne, der Anzurufende erwarte einen solchen Anruf oder werde ihm jedenfalls positiv gegenüberstehen. Dabei müsse sich die mutmaßliche Einwilligung des anzurufenden Gewerbetreibenden nicht nur auf den Inhalt, sondern auch auf die Art der Werbung erstrecken. Der anzurufende Gewerbetreibende müsse dementsprechend mutmaßlich (gerade) auch mit einer telefonischen Werbung einverstanden sein. Ein (bloß) allgemeiner Sachbezug zu den Dienstleistungen des Anzurufenden reiche zur Annahme einer mutmaßlichen Einwilligung nicht aus.

Maßgeblich sei vielmehr eine Bewertung der Erwartungshaltung des Werbeadressaten unter Berücksichtigung der Gesamtumstände. Zwar möge es sein, dass es durchaus Zahnärzte gibt, die die telefonischen Werbeansprachen der Klägerin als willkommene Gelegenheit sähen, Edelmetallreste gewinnbringend zu veräußern. Auch sei der Klägerin zuzugestehen, dass eine telefonische Kontaktaufnahme durchaus Vorteile bieten könne, etwa der Gestalt, dass in einem Telefonat Einzelheiten zum organisatorischen Ablauf geklärt, ein konkreter Termin für die Anfahrt eines Technikers vereinbart oder auch Nachfragen beantwortet werden könnten. Daraus könne aber noch nicht generell auf eine mutmaßliche Einwilligung betroffener Zahnärzte in telefonische Werbeansprachen geschlossen werden. Vielmehr sei andererseits zu berücksichtigen, dass der Verkauf von Edelmetallresten nicht zum eigentlichen Tätigkeitsbereich eines Zahnarztes gehöre, sondern sich Zahnärzten hier allenfalls die Möglichkeit einer zusätzlichen Einnahmequelle biete.

Der angefochtene Bescheid sei auch in sich stimmig; insbesondere sei kein Verstoß gegen Art. 3 Abs. 1 GG erkennbar. Dass sich der Bescheid lediglich auf inhabergeführte Einzelzahnarztpraxen erstrecke, nicht jedoch auf als juristische Person organisierte Praxen bzw. sonstige Praxisgemeinschaften, habe seinen Grund darin, dass bei den letztgenannten Praxen keine Nutzung personenbezogener Daten im Sinne des Datenschutzrechts in Rede stehe und von daher der Anwendungsbereich des Datenschutzrechts nicht eröffnet sei.

Die Entscheidung erging noch zum alten Datenschutzrecht. Ob sich diese Wertung auch auf das Datenschutzrecht unter der DSGVO übertragen lässt, ließ das Gericht ausdrücklich offen.

Der Beschluss ist unanfechtbar.

Unternehmen, die öffentlich zugängliche Telefonnummern für Werbeanrufe ohne vorherigen Geschäftskontakt nutzen möchten, sollten vor den Anrufen überprüfen, inwieweit tatsächlich von einer mutmaßlichen Einwilligung des Angerufenen ausgegangen werden kann. Hierbei dürfte es nach der Argumentation des OVG Saarbrücken auch erheblich sein, ob die angebotenen Leistungen im Zusammenhang mit dem Kerngeschäft der kontaktierten Person stehen.