Sehr geehrte Damen und Herren,

mit Herrn Dr. Stefan Brink, dem Landesbeauftragten für Datenschutz und Informationsfreiheit in Baden-Württemberg, konnten wir für den IT- und Datenschutztag am 30.09.2021 bei BRANDI in Bielefeld einen Experten des Datenschutzrechts gewinnen. Auf der Veranstaltung, an der auch einige unserer Mandantinnen und Mandanten teilnahmen, fand mit Herrn Dr. Brink ein reger Austausch zu verschiedenen datenschutzrechtlichen Themen statt. Die wesentlichen Aspekte aus den Gesprächen haben wir diesen Monat in dem Schwerpunktthema unseres Datenschutz-Newsletters für Sie zusammengefasst.

Außerdem berichten wir wie gewohnt über aktuelle Geschehnisse aus dem Datenschutzrecht, unter anderem über die Stellungnahme des Landesdatenschutzbeauftragten Hessen zu der Vereinbarkeit der Telefax-Nutzung mit der DSGVO.

Bei Rückmeldungen zu diesem Newsletter oder Fragen im Zusammenhang mit den Themen des Newsletters bitten wir Sie, uns eine E-Mail an datenschutz@brandi.net zu senden. Die weiteren Kontaktdaten finden Sie auch auf unserer Homepage.

Dr. Sebastian Meyer und das Datenschutzteam von BRANDI

Thema des Monats: BRANDI im Gespräch mit Herrn Dr. Stefan Brink, dem Landesdatenschutzbeauftragten Baden-Württemberg

Ein Interesse für den Datenschutz und die Informationsfreiheit zu wecken und die Bürgerinnen und Bürger mit diesen Themen zu erreichen, sind zentrale Anliegen von Herrn Dr. Stefan Brink, dem Landesbeauftragten für Datenschutz und Informationsfreiheit Baden-Württemberg. Herr Dr. Stefan Brink übt das Amt, in das er von dem Landtag in Baden-Württemberg für die Dauer von sechs Jahren gewählt wurde, seit dem 01.01.2017 aus. In zahlreichen Veröffentlichungen, Tagungsbeiträgen und Vorträgen trägt er zu dem Fachdiskurs bei, macht seine Anliegen von Datenschutz und Informationsfreiheit durch Veranstaltungen, Interviews und andere Formate mit Bürgerinnen und Bürgern aber auch der breiten Öffentlichkeit verfügbar.

Auf dem IT- und Datenschutztag am 30.09.2021 war Herr Dr. Stefan Brink zu Gast bei BRANDI in Bielefeld. In Gesprächen sowohl mit Rechtsanwältinnen und Rechtsanwälten von BRANDI als auch mit einigen unserer Mandantinnen und Mandanten gab er einen spannenden Einblick in verschiedene datenschutzrechtliche Themen und die tägliche Arbeit einer Datenschutzaufsichtsbehörde.

Zum vollständigen Schwerpunktthema

OLG München: Umfang des datenschutzrechtlichen Auskunftsanspruches

Das Oberlandesgericht München hat entschieden, dass der Auskunftsanspruch nach Art. 15 Abs. 3 DSGVO auch Telefonnotizen, Aktenvermerke, Gesprächsprotokolle, E-Mails und Briefe umfasst (OLG München, Urt. v. 04.10.2021 – Az. 3 U 2906/20).

In dem der Entscheidung zugrundeliegenden Fall begehrte die Klägerin von den Beklagten Schadenersatz im Zusammenhang mit dem Erwerb von Containern. Im Rahmen der vorgerichtlichen Auseinandersetzung machte sie auch einen Auskunftsanspruch nach Art. 15 Abs. 3 DSGVO geltend und verlangte die Kopien aller über sie bei den Beklagten vorhandenen personenbezogenen Daten. Die Klägerin erhielt daraufhin eine Aufstellung der über sie gespeicherten Daten, jedoch keine Kopien. Die Beklagten waren zwar im Besitz zahlreicher Telefonnotizen und Schreiben mit Bezug zu der Klägerin, lehnten die Übersendung von Kopien dieser Dokumente aber ab.

Nach Ansicht des OLG München stehe dem Auskunftsberechtigten neben dem Anspruch auf Auskunft gem. Art. 15 Abs. 1 DSGVO auch ein eigenständiger Anspruch auf Überlassung von Kopien gem. Art. 15 Abs. 3 DSGVO zu. Es handele sich um zwei unterschiedliche Ansprüche, die zwar denselben Gegenstand hätten, sich jedoch auf der Rechtsfolgenseite unterscheiden würden. Dies ergebe sich aus dem Wortlaut und der Systematik der Vorschrift.

Der Begriff der personenbezogenen Daten nach Art. 4 Nr. 1 DSGVO sei weit zu verstehen. Er sei nicht auf sensible oder private Informationen beschränkt, sondern umfasse potenziell alle Arten von Informationen sowohl objektiver als auch subjektiver Natur in Form von Stellungnahmen oder Beurteilungen, unter der Voraussetzung, dass es sich um Informationen über die in Rede stehende Person handele. Letzteres sei der Fall, wenn die Information aufgrund ihres Inhalts, ihres Zwecks oder ihrer Auswirkungen mit einer bestimmten Person verknüpft sei.

In dem konkreten Fall lasse sich in den bei den Beklagten befindlichen Daten jeweils aus dem Betreff beziehungsweise dem Gesprächspartner eine Verbindung zu der Klägerin ziehen. Schreiben und E-Mails der Klägerin an die Beklagten seien grundsätzlich ihrem gesamten Inhalt nach als personenbezogene Daten gem. Art. 4 Nr. 1 DSGVO anzusehen. Telefonnotizen, Aktenvermerke und Protokolle als interne Vermerke bei den Beklagten, die Informationen über die Klägerin enthalten, seien ebenfalls als personenbezogene Daten einzuordnen. Die personenbezogene Information bestehe in dem Inhalt der Äußerungen der Klägerin beziehungsweise in dem Festhalten ihrer Äußerungen durch die Beklagten.

Die Revision wurde von dem OLG München zugelassen; die Entscheidung ist noch nicht rechtskräftig.

(Johanna Schmale)

LG Essen zur Abtretung des datenschutzrechtlichen Schadenersatzanspruchs und zur Versendung eines USB-Sticks mit personenbezogenen Daten

Das Landgericht Essen hat entschieden, dass der Schadenersatzanspruch nach Art. 82 DSGVO abtretbar ist und dass es mit der DSGVO vereinbar ist, wenn eingereichte unverschlüsselte USB-Sticks mit personenbezogenen Daten per Briefpost an die Absender zurückgeschickt werden (LG Essen, Urt. v. 23.09.2021 – Az. 6 O 190/21).

Der Kläger und seine Ehefrau hatten in dem Fall bei der Beklagten eine Immobilienfinanzierung angefragt und hierfür private Unterlagen zur Verfügung gestellt. Unter anderem warfen sie einen unverschlüsselten USB-Stick in den Briefkasten der Beklagten. Zu einem Vertragsschluss kam es nicht. Die Beklagte schickte den USB-Stick daraufhin per einfacher Briefpost an den Kläger zurück. Der USB-Stick kam jedoch nicht bei dem Kläger an. Der Kläger ließ sich daraufhin den vermeintlichen DSGVO-Schadenersatzanspruch von seiner Ehefrau abtreten und machte diesen geltend.

Nach Ansicht des Gerichts ist die Abtretung des Anspruchs der Ehefrau an den Kläger zulässig gewesen. Grundsätzlich sei jede Forderung abtretbar und es bestehe in dem vorliegenden Fall kein Abtretungsverbot. Die Abtretung sei auch hinreichend bestimmt, wobei es genüge, wenn im Zeitpunkt des Entstehens der Forderung bestimmbar sei, ob sie von der Abtretung erfasst werde.

Unterstellt, der USB-Stick sei tatsächlich verloren gegangen, sei der Beklagten nach Ansicht des LG Essen zwar ein Verstoß gegen Art. 33 DSGVO vorzuwerfen, da sie die Datenschutzverletzung nicht bei der zuständigen Aufsichtsbehörde gemeldet habe. Ein Verstoß gegen Art. 24, 25 Abs. 1, 32 DSGVO liege dagegen nicht vor. Zur Begründung führte das Gericht aus, die Rücksendung des unverschlüsselten USB-Sticks entspreche dem aktuellen Stand der Datensicherheit nach Art. 32 DSGVO. Es sei zu berücksichtigen, dass der USB-Stick nicht im Haus der Beklagten, sondern auf dem Postversand verloren gegangen sei. Die Tatsache, dass auf dem USB-Stick Dokumente mit sensiblen persönlichen und wirtschaftlichen Informationen enthalten waren, sei jedoch kein Grund, nicht den Service der Deutschen Post nutzen zu dürfen. Ausgedruckte Dokumente mit sensiblen Informationen würden von verschiedenen Stellen, zum Beispiel von Rechtsanwälten und Steuerberatern, auf dem einfachen Postweg versandt. Es sei für das Gericht nicht ersichtlich, weshalb insofern zwischen ausgedruckten Dokumenten, die naturgemäß unverschlüsselt übersandt werden, und digitalen Dokumenten auf einem unverschlüsselten USB-Stick im Zuge der postalischen Übermittlung unterschieden werden solle. Die Beklagte sei zudem auch nicht gehalten gewesen, den USB-Stick in einem gepolsterten Umschlag zu versenden oder ihn persönlich zu übergeben.

Der Kläger habe außerdem lediglich vorgetragen, dass er und seine Ehefrau infolge des vermeintlichen Verlustes des USB-Sticks einen Kontrollverlust erlitten hätten, jedoch nicht, inwiefern sich für ihn beziehungsweise seine Ehefrau eine ernsthafte Beeinträchtigung ergeben habe. Negative Auswirkungen des vermeintlichen Verlustes, etwa, dass der USB-Stick in die Hände eines Dritten gelangt sei, hätten sich nicht gezeigt. Da allein die theoretisch mögliche Gefahr eines Datenmissbrauchs nicht ausreichend sei, fehle es an einem konkreten Schaden. Das Gericht lehnte den Schadenersatzanspruch daher ab.

(Johanna Schmale)

VG Wiesbaden: Vorlage an den EuGH bezüglich des Score-Wertes der SCHUFA

Das Verwaltungsgericht Wiesbaden hat dem Europäischen Gerichtshof (EuGH) Fragen bezüglich des Score-Wertes der privaten Wirtschaftsauskunftei SCHUFA vorgelegt (VG Wiesbaden, Beschl. v. 01.10.2021 – Az. 6 K 788/20.WI, vgl. hierzu die Pressemitteilung des VG Wiesbaden vom 25.10.2021).

Dem Verfahren vor dem VG Wiesbaden liegt das Begehren einer Klägerin zugrunde, ihrer Auffassung nach falsche Eintragungen bei der SCHUFA zu löschen und ihr Auskunft über die dort über sie gespeicherten Daten zu erteilen. Hierfür wandte sich die Klägerin zunächst an den Hessischen Beauftragten für Datenschutz und Informationsfreiheit, der das Begehren jedoch ablehnte, da die SCHUFA bei der Berechnung des Bonitätswertes den im Bundesdatenschutzgesetz (BDSG) detailliert geregelten Anforderungen in der Regel genüge und in dem vorliegenden Fall keine Anhaltspunkte für die Nichteinhaltung der Vorgaben vorlägen.

Das VG Wiesbaden hat dem EuGH zwei Fragen zur Klärung vorgelegt. Das Gericht fragte, ob die Tätigkeit von Wirtschaftsauskunfteien, Score-Werte zu erstellen und diese ohne weitergehende Empfehlung oder Bemerkung an Dritte zu übermitteln, die dann aufgrund dieses Score-Wertes mit der betroffenen Person vertragliche Beziehungen eingehen oder davon absehen, dem Anwendungsbereich des Art. 22 Abs. 1 DSGVO unterfällt. In diesem Fall sei diese für Wirtschaftsauskunfteien maßgebliche Tätigkeit von dem Verbot der automatisierten Einzelfallentscheidung erfasst, sodass sie nur nach den Ausnahmetatbeständen des Art. 22 Abs. 2 DSGVO zulässig sei. Da die durch Wirtschaftsauskunfteien vorgenommene automatisierte Erstellung eines Score-Wertes die Entscheidung eines dritten Verantwortlichen über das Ob und Wie eines Vertragsschlusses maßgeblich beeinflusse, sprächen gewichtige Argumente dafür, dass es sich bei der Erstellung eines Score-Wertes um eine eigenständige, auf einer automatisierten Verarbeitung beruhende Entscheidung im Sinne des Art. 22 Abs. 1 DSGVO handele. Zwar könnten jedenfalls hypothetisch die dritten Verantwortlichen eine eigene Entscheidung über das Ob und Wie eines Vertragsschlusses mit der betroffenen Person treffen, weil zu diesem Stadium des Entscheidungsprozesses eine menschlich gesteuerte Einzelfallentscheidung grundsätzlich noch möglich sei. Diese Entscheidung werde praktisch aber in erheblichem Maße durch den von Wirtschaftsauskunfteien übermittelten Score-Wert bestimmt. Vor den Gefahren dieser rein auf Automation gründenden Entscheidungsform solle Art. 22 Abs. 1 DSGVO die betroffene Person aber gerade schützen.

Für den Fall, dass die erste Vorlagefrage verneint wird, fragte das VG Wiesbaden den EuGH, ob die DSGVO der Regelung des § 31 BDSG entgegensteht. Zur Begründung für diese Frage führte es aus, dass die allgemeine Vorschrift des Art. 6 DSGVO anzuwenden sei, falls das Scoring nicht unter Art. 22 Abs. 1 DSGVO falle. Indem der deutsche Gesetzgeber in § 31 BDSG weitergehende inhaltliche Zulässigkeitsvoraussetzungen an das Scoring knüpfe, spezifiziere er die Regelungsmaterie über die Vorgaben der DSGVO hinaus. Dafür fehle ihm jedoch die Regelungsbefugnis.

Der Vorlagebeschluss ist unanfechtbar. Die Beantwortung der Vorlagefragen durch den EuGH bleibt abzuwarten, wobei mit einer Klärung jedenfalls in diesem Jahr nicht mehr zu rechnen ist.

(Johanna Schmale)

Landesdatenschutzbeauftragter Hessen: Telefax-Nutzung kann gegen die DSGVO verstoßen

Der Hessische Beauftragte für Datenschutz und Informationsfreiheit hat sich in einer Stellungnahme vom 14.09.2021 zu der Vereinbarkeit der Telefax-Nutzung mit der DSGVO geäußert. Seiner Ansicht nach könne die Übermittlung von personenbezogenen Daten per Telefax insbesondere dann gegen die DSGVO verstoßen, wenn es sich um besonders schutzbedürftige Daten handele.

Der Faxversand weise vergleichbare Risiken auf, wie diese auch bei dem unverschlüsselten Versand von E-Mail-Nachrichten gegeben seien. Risiken seien insbesondere, dass personenbezogenen Daten wegen einer nicht korrekten Eingabe der Zielfaxnummer Dritten unbefugt offenbart werden könnten, dass der Absender in der Regel keine Informationen zu der Empfängerseite habe und dass bei der Übertragungsmethode „Fax over IP“ über das Internet oder der Nutzung von Diensten, die eingehende Telefaxnachrichten automatisiert in E-Mails umwandeln, die Daten in der Regel unverschlüsselt übertragen würden. Durch die Übertragung über mehrere verteilte Zwischenstellen bestehe dabei grundsätzlich eine Zugriffsmöglichkeit für unbefugte Dritte. Die Übermittlung von personenbezogenen Daten per Telefax sei daher mit dem Risiko des Verlustes der Vertraulichkeit der übermittelten Daten behaftet.

Der hessische Landesdatenschutzbeauftragte empfiehlt daher, besonders schutzwürdige personenbezogene Daten grundsätzlich nicht per Telefax zu übertragen, wenn keine zusätzlichen Schutzmaßnahmen bei den Versendern und Empfängern, etwa Verschlüsselungstechnologien, implementiert seien. Es sei hierbei darauf zu achten, dass von einer sicheren Voice-over-IP-Verbindung (VoIP) nicht automatisch auf eine sichere Faxübertragung geschlossen werden könne, da für die beiden Anwendungsszenarien verschiedene technische Protokolle mit unterschiedlichen Voraussetzungen für eine Verschlüsselung zum Einsatz kämen. Vielmehr müsse die korrekte Auswahl und Kompatibilität der verwendeten Protokolle für die Faxübertragung geprüft werden.

Lediglich in Ausnahmefällen, zum Beispiel bei besonderer Eilbedürftigkeit und mangelnder alternativer Kommunikationsmittel bei gleichzeitiger Sicherstellung des Zugangs bei dem richtigen Empfänger oder mit entsprechenden Einwilligungen der betroffenen Personen, könne jedoch auch die Versendung besonders schutzbedürftiger personenbezogener Daten mittels Fax rechtmäßig sein.

In ähnlicher Weise hat sich am 14.05.2021 die Landesdatenschutzbeauftragte in Bremen in einer Stellungnahme, über die wir in unserem Datenschutz-Newsletter im Juni 2021 berichtet haben, geäußert. Insbesondere für die Übertragung besonderer Kategorien personenbezogener Daten gem. Art. 9 Abs. 1 DSGVO sei ihrer Ansicht nach die Nutzung von Fax-Diensten unzulässig.

Zu beachten ist allerdings, dass die eigentliche Faxübermittlung durch das Telekommunikationsgeheimnis analog dem Austausch von Informationen per Telefon geschützt ist. Es erscheint daher fragwürdig, ob dem Versender das Risiko zugerechnet werden kann, dass der Empfänger möglicherweise keine ausreichenden Vorkehrungen trifft, um nach Eingang der Nachricht deren datenschutzkonforme Weiterverarbeitung sicherzustellen.

(Johanna Schmale)