Sehr geehrte Damen und Herren,

anlässlich des Europäischen Datenschutztages am 28. Januar 2020 hat die Europäische Kommission für das neue Jahr angekündigt, die Umsetzung der Datenschutzvorschriften in der EU weiter voranzutreiben. Nach einer inoffiziellen Erhebung wurden seit Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) im Mai 2018 in den EU-Mitgliedsstaaten sowie in Norwegen, Island und Liechtenstein bisher 160.000 Verstöße gegen die DSGVO gemeldet und Geldbußen im Gesamtwert von 114 Mio. Euro verhängt. Diese aktuellen Geschehnisse zeigen, dass Datenschutzthemen unter der DSGVO an Bedeutung gewonnen haben und auch im Jahr 2020 weiterhin eine große Bedeutung haben werden.

In unserem Newsletter möchten wir Sie diesen Monat deshalb wieder über aktuelle Geschehnisse aus dem Datenschutzrecht informieren, etwa über die momentan beim Europäischen Gerichtshof (EuGH) anhängigen Verfahren zur Vorratsdatenspeicherung und ein Urteil des KG Berlin zur Datenschutzrechtswidrigkeit von Voreinstellungen bei Facebook. In unserem Schwerpunktthema berichten wir über die besonderen Anforderungen an den Gesundheitsdatenschutz.

Bei Rückmeldungen zu diesem Newsletter oder Fragen im Zusammenhang mit den Themen des Newsletters können Sie sich an die E-Mail-Adresse datenschutz@brandi.net wenden. Die weiteren Kontaktdaten finden Sie auch auf unserer Homepage.

Dr. Sebastian Meyer und das Datenschutzteam von BRANDI

Thema des Monats: Schutz von Gesundheitsdaten

Personenbezogene Daten, die ihrem Wesen nach besonders sensibel sind, verdienen einen besonderen Schutz und dürfen nur auf Basis spezieller Rechtsgrundlagen verarbeitet werden. In der Datenschutz-Grundverordnung (DSGVO) finden sich Ausführungen zur besonderen Schutzbedürftigkeit unter anderem in den Erwägungsgründen 51 bis 54. Zu diesen sensiblen Daten gehören unter anderem Gesundheitsdaten, die in Art. 9 Abs. 1 DSGVO explizit genannt werden. Für einen Verstoß gegen die Vorgaben zur Verarbeitung von Gesundheitsdaten sieht Art. 83 Abs. 5 DSGVO einen Bußgeldrahmen bis zu 20 Mio. Euro oder 4 % des weltweit erzielten Jahresumsatzes eines Unternehmens vor.

Aufgrund der besonders strengen Anforderungen an die Verarbeitung von Gesundheitsdaten und der drohenden Bußgelder bei einer fehlenden Beachtung dieser Vorgaben ist es ratsam, alle Datenverarbeitungsvorgänge intensiv zu prüfen, wenn sich Berührungspunkte zu Gesundheitsdaten ergeben können.

Nachfolgend ist zunächst erläutert, wie Gesundheitsdaten überhaupt definiert sind, unter welchen Voraussetzungen ihre Verarbeitung erlaubt ist und welche weiteren Beschränkungen besonders zu beachten sind. Zur Veranschaulichung haben wir außerdem an geeigneter Stelle Beispiele und Hinweise für die praktische Umsetzung der Vorgaben aufgeführt.

Zum vollständigen Schwerpunktthema

BGH-Entscheidung zu Cookies steht noch aus

Aktuell befasst sich der Bundesgerichtshof (BGH) mit dem Thema Cookies (BGH I ZR 7/16). Es geht in dem Fall um Planet49, einen Anbieter von Online-Gewinnspielen, der auf seiner Internetseite die Zustimmung der Nutzer in das Setzen von Cookies voreingestellt hatte, indem das entsprechende Häkchen in den Einstellungen vorab angekreuzt war. Der Haken konnte von den Nutzern, die dem Setzen von Cookies nicht zustimmen wollten, wieder entfernt werden. Der Bundesverband der Verbraucherzentralen (vzbv) hatte gegen Planet49 geklagt. Das Oberlandesgericht Frankfurt am Main als Vorinstanz sah in der Voreinstellung keinen Rechtsverstoß (Urt. v. 17.12.2015, Az. 6 U 30/15).

Cookies sind kleine Textdateien, die auf den Endgeräten von Homepagebesuchern gespeichert werden und eine einzigartige Cookie-ID beinhalten. Sie können bestimme Informationen enthalten, zum Beispiel zur vom Nutzer bevorzugten Sprache, dem verwendeten Browser oder auch Informationen, die zu einer Profilbildung geeignet sind, wie beispielsweise Alter, Standort oder Interessen der Nutzer. Cookies werden von Unternehmen vornehmlich zu Marketingzwecken verwendet, um Nutzern personalisierte Werbung einblenden zu können.

Die Problematik bei Cookies besteht darin, dass bezüglich ihrer Zulässigkeit unterschiedliche rechtliche Vorgaben zu beachten sind, insbesondere die ePrivacy-Richtlinie aus dem Jahr 2009 (RL 2009/136/EG). Diese gilt jedoch nicht unmittelbar, sondern muss zunächst in nationales Recht umgesetzt werden. In Deutschland wurde die ePrivacy-Richtlinie nie gesondert umgesetzt. Die Bundesregierung stand auf dem Standpunkt, die Regelungen im Telemediengesetz (TMG) seien ausreichend, um die Anforderungen der ePrivacy-Richtlinie zu erfüllen.

In dem Verfahren vor dem BGH wies das Gericht darauf hin, dass im Gegensatz zu der ePrivacy-Richtlinie das TMG keine Einwilligung bezüglich der Nutzung von Cookies vorsieht, sondern dass danach der Widerspruch des Nutzers ausreichend ist. Der Senat hält es aber für möglich, das deutsche Recht richtlinienkonform auszulegen und fortzubilden.

Der BGH hatte dem EuGH in dem Verfahren vorab einige Fragen vorgelegt. In einer Sonderausgabe unseres Datenschutz-Newsletters hatten wir im Oktober des vergangenen Jahres ausführlich über das Urteil des EuGH dazu berichtet. Der EuGH hatte in seinem Urteil entschieden, dass eine aktive Einwilligung der Nutzer in die Speicherung von Cookies erforderlich ist.

Die mündliche Verhandlung in dem Verfahren vor dem BGH fand am 30.01.2020 statt, die Entscheidung des BGH steht allerdings noch aus. Es bleibt abzuwarten, ob der BGH die Wertungen des EuGH uneingeschränkt übernimmt oder ob Ergänzungen vorgenommen werden.

Erste Abmahnungen wegen der Nutzung von Cookies

Als Reaktion auf die Entscheidung des EuGH gibt es aktuell erste Abmahnungen, bei denen Privatpersonen und ihre Rechtsanwälte versuchen, gegen Unternehmen vorzugehen, die bisher noch nicht auf eine echte Einwilligungslösung umgestellt haben. In den Abmahnungen wird unter Verweis auf die Vorgaben des EuGH argumentiert, dass die in der Vergangenheit genutzte Widerspruchslösung nicht mehr ausreichend wäre und die fehlende Umstellung Schadensersatzansprüche der einzelnen Betroffenen auslöst. Gefordert wird daher im Rahmen der Abmahnungen die Zahlung eines Schadensersatzbetrages, die Abgabe einer Unterlassungserklärung für die Zukunft und die Übernahme der Rechtsanwaltskosten. Die uns vorliegenden Abmahnungen, bei denen ein Rechtsanwalt aus der Rechtsanwaltskanzlei GSP Dr. Glaser & Scheidt die Privatperson Herrn Paul Reichelt vertritt, sind alle in mehrfacher Hinsicht fragwürdig, zumal offensichtlich mit den massenhaft versandten Abmahnungen primär finanzielle Interessen verfolgt werden. Empfänger der Abmahnung sollten jedenfalls nicht vorschnell Zahlungen leisten oder die geforderten Erklärungen abgeben. Unabhängig hiervon bleibt es natürlich dabei, dass überlegt werden sollte, ob es nicht angezeigt ist, von einer Widerspruchslösung auf eine Einwilligungslösung umzustellen.

Vorratsdatenspeicherung vor dem EuGH

Der EuGH hat sich erneut mit dem Thema Vorratsdatenspeicherung zu befassen. Für mehrere Verfahren wurden nun die Schlussanträge des Generalanwalts veröffentlicht.

Im Jahr 2014 hatte der EuGH die Richtlinie 2006/24/EG, nach der bestimmte Daten der Telefon- und Internetkommunikation auf Vorrat gespeichert werden durften, damit die Polizei bei Bedarf darauf zugreifen kann, für nichtig erklärt (Urt. v. 08.04.2014, Az. C-293/12). 2016 hatte der EuGH auch nationale Gesetze von Großbritannien und Schweden, die auf der Richtlinie beruhten, für nichtig erklärt (Urt. v. 21.12.2016, Az. C-203/15).

Das englische Investigatory Powers Tribunal, der französische Conseil d’Etat und der belgische Verfassungsgerichtshof haben nun in drei Verfahren Fragen an den EuGH zu der Zulässigkeit ihrer jeweiligen nationalen Gesetze gestellt. Der zuständige Generalanwalt hat am 15.01.2020 seine drei Schlussanträge (Az. C-623/17, C-511/18, C-520/18) veröffentlicht.

Der Generalanwalt stellt dabei fest, dass die Vorlagen teilweise die gleichen Fragen betreffen, die schon 2016 von dem EuGH geklärt wurden. Er sehe aber keinen Grund, die Zulässigkeit einer allgemeinen und unterschiedslosen Vorratsdatenspeicherung heute anders zu beurteilen. Eine allgemeine und unterschiedslose Speicherung von Daten auf Vorrat sei zwar praktisch und effizient, die Frage nach der Zulässigkeit müsse aber nicht anhand der tatsächlichen Effizienz, sondern anhand der rechtlichen Effizienz im Rahmen eines Rechtsstaats entschieden werden. Dabei bestehe eine „unüberwindliche Barriere“ in Form der Grundrechte, die nur unter besonderen Voraussetzungen eingeschränkt werden dürfen.

Auch eine gezielte Vorratsdatenspeicherung sei nur rechtmäßig, wenn sie auf das absolut notwendige Maß beschränkt ist. In einer Begrenzung der Datenspeicherung auf ein bestimmtes geografisches Gebiet oder eine bestimmte Personengruppe sieht der Generalanwalt die Gefahr einer Diskriminierung und Stigmatisierung von Personengruppen und Regionen. Es sei allerdings nicht ausgeschlossen, in nationalen Rechtsvorschriften ausnahmsweise für einen begrenzten Zeitraum eine Vorratsdatenspeicherung vorzusehen, wenn diese bei einer unmittelbar bevorstehenden Bedrohung oder einer außergewöhnlichen Gefahr erforderlich wird.

Die Schlussanträge des Generalanwalts sind für den Gerichtshof nicht bindend. Aufgabe des Generalanwalts ist es, dem Gerichtshof in „völliger Unabhängigkeit“ einen Entscheidungsvorschlag für die betreffende Rechtssache zu unterbreiten. Ob der EuGH der Argumentation des Generalanwalts folgt, bleibt deshalb abzuwarten.

Auch aus Deutschland ist ein Verfahren zur Vorratsdatenspeicherung vor dem EuGH anhängig. Das Bundesverwaltungsgericht hat dem EuGH die Frage vorgelegt, ob die deutsche Vorratsdatenspeicherung aus § 113a Abs. 1 Satz 1 i.V.m. § 113b TKG gegen EU-Recht verstößt (Beschl. vom 25.09.2019, Az. 6 C 12.18). Die Pflicht zur Vorratsdatenspeicherung in Deutschland hat die Bundesnetzagentur derzeit bis zur Klärung des Themas ausgesetzt.

Kammergericht Berlin zur Datenschutzrechtswidrigkeit von Voreinstellungen bei Facebook

Das Kammergericht Berlin hat sich unter datenschutzrechtlichen Gesichtspunkten mit den Voreinstellungen in dem sozialen Netzwerk Facebook beschäftigt (Urt. v. 20.12.2019, Az. 5 U 9/18). Dabei hat es mehrere Verstöße der Voreinstellungen gegen deutsches Datenschutzrecht festgestellt.

Beanstandet wurde von dem Kläger, dem Bundesverband der Verbraucherzentralen (vzbv), unter anderem die Verpflichtung der Nutzer, nur wahre Daten in dem sozialen Netzwerk zu verwenden. Das KG Berlin bestätigte nun die Auffassung der Vorinstanz, die dem Bundesverband der Verbraucherzentralen weitgehend Recht gegeben hatte. Es bejahte dabei ausdrücklich die Befugnis des Bundesverbandes der Verbraucherzentralen zur Anspruchsverfolgung wegen Verletzungen des Datenschutzrechts.

Einige Voreinstellungen von Facebook ermöglichen nach Auffassung des Gerichts eine Datenerhebung, für die keine Rechtsgrundlage bestehe, da insbesondere keine wirksamen Einwilligungen der Nutzer eingeholt würden und die Daten auch nicht für die Durchführung eines rechtsgeschäftlichen Schuldverhältnisses erforderlich seien.

Auch die Klarnamenpflicht hielt der Überprüfung des Gerichts nicht stand. Für die Verpflichtung zur Angabe von korrekten persönlichen Informationen sei in dem konkreten Fall die Einholung von Einwilligungen erforderlich. Die Ausgestaltung der entsprechenden Klausel auf Facebook erfülle die Anforderungen an eine datenschutzrechtliche Einwilligung jedoch nicht. Das Unternehmen führe dem Nutzer die Tragweite seiner Einwilligungserklärung nicht ausreichend vor Augen, sondern suggeriere, dass die Klarnamenpflicht üblich und alternativlos sei.

Amtsgericht Wertheim: 15.000 Euro Zwangsgeld wegen unterbliebener Auskunft nach Art. 15 DSGVO

Das Amtsgericht Wertheim hat ein Zwangsgeld in Höhe von 15.000 Euro gegen ein Unternehmen verhängt, das trotz eines rechtskräftigen Gerichtsurteils eine Auskunft nach Art. 15 DSGVO nicht in ausreichender Weise erteilt hat (Beschl. v. 12.12.2019, Az. 1 C 66/19).

Dem betroffenen Unternehmen wurde in einem Urteil im Mai 2019 auferlegt, dem Kläger eine datenschutzrechtliche Auskunft nach Art. 15 DSGVO zu erteilen. Trotz des rechtskräftigen Urteils kam das Unternehmen seiner Pflicht nach Ansicht des Gerichts nicht in ausreichender Weise nach. So sei die Auskunft bezüglich der Herkunft der Daten nicht in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache erteilt worden. In diesem Zusammenhang sei in der Auskunft ein Unternehmen lediglich in Klammern und mit dem Zusatz „z.B.“ genannt. Der Leser des Schriftstücks könne daraus die Schlussfolgerung ziehen, dass die Daten des Beklagten von dem Unternehmen übermittelt wurden, müsse dies jedoch nicht. Eine Auskunft über personenbezogene Daten umfasse grundsätzlich auch die Auskunft darüber, „welche konkreten personenbezogenen Daten (also nicht nur die Auskunft, dass ein Name und dass ein Geburtsdatum gespeichert wurde, sondern auch welcher Name, welches Geburtsdatum, etc.)“ verarbeitet werden. Die vollständige Mitteilung aller verfügbaren Informationen über die Herkunft der Daten umfasse also nicht nur die Mitteilung, von wem die Daten übermittelt wurden, sondern auch wann und mit welchem Inhalt die Übermittlung geschah.

Der Fall verdeutlicht, dass an die Erfüllung von Betroffenenansprüchen tendenziell erhöhte Anforderungen gestellt werden. Unternehmen sollten diese deshalb ernst nehmen und besonders viel Wert auf eine vollständige, richtige und verständliche Erfüllung von Betroffenenansprüchen legen.

Datenschutzbehörde Österreich: Identifizierung eines Betroffenen bei Ausübung eines Löschungsanspruchs

Die Datenschutzbehörde Österreich hat sich in einem Beschluss (Beschl. v. 08.11.2019, Az. DSB-D122.970/0004-DSB/2019) zu den Möglichkeiten eines Unternehmens geäußert, einen Betroffenen, der die Löschung seiner Daten wünscht, zu identifizieren.

In dem Fall hatte sich der Nutzer eines Online-Portals unter Angabe des Vornamens „Roland“ und einer E-Mail-Adresse in dem Portal registriert und verlangte nun per E-Mail die Löschung seiner Daten. Weitere Daten wurden bei der Registrierung nicht abgefragt. Da die die E-Mail-Adresse einem anderen Vornamen zugeordnet war, verlangte das Unternehmen, das das Online-Portal betreibt, einen umfangreichen Identitätsnachweis durch Ausfüllen eines Formulars.

Dies war nach den Feststellungen der Datenschutzbehörde unberechtigt; das Unternehmen hätte stattdessen dem Löschungsbegehren stattgeben müssen. Sie führte dazu aus, dass das Unternehmen selbst den Nutzern durch die Registrierung unter Angabe lediglich eines Vornamens und einer E-Mail-Adresse ermöglicht habe, von Beginn an pseudonyme Nutzerprofile anzulegen, ohne ihre Identität nachzuweisen. Nach Art. 12 Abs. 2 S. 1 DSGVO hat der Verantwortliche die Pflicht, der betroffenen Person die Ausübung ihrer Rechte aus den Artikeln 15 bis 22 DSGVO zu erleichtern. Eine Identifizierung des Betroffenen dürfe nach Auffassung der Behörde nur insoweit stattfinden, als sie notwendig ist, um die Berechtigung zur Ausübung des Löschungsrechts zu überprüfen. Dafür seien in dem vorliegenden Fall die gespeicherten Profildaten heranzuziehen. Durch Kenntnis der Profil- oder Login-Daten oder Nachweis des Zugangs zu dem Postfach der angegebenen E-Mail-Adresse könne sich ein pseudonymer Nutzer identifizieren, ohne dass dabei neue Daten erhoben werden müssten. Dies sei für eine Identitätsprüfung ohnehin nicht geeignet, da bei dem Verantwortlichen in dem Fall keine Vergleichsdaten zur Überprüfung der Übereinstimmung gespeichert seien.

Die Auffassung der Behörde lässt sich auch auf die anderen Betroffenenrechte aus der DSGVO übertragen. Sie zeigt, dass bei der Erfüllung von Betroffenenrechten besondere Vorsicht geboten ist: Einerseits sollten Unternehmen die Berechtigung zur Ausübung eines entsprechenden Anspruchs überprüfen, insbesondere wenn es um eine Auskunftserteilung geht, bei der personenbezogene Daten an den Betroffenen übermittelt werden. Andererseits sollte die Überprüfung nicht dazu führen, dass dabei umfangreich neue Daten erhoben werden.

160.000 Verstöße gegen die DSGVO gemeldet

Wie viele Verstöße gegen die DSGVO bisher gemeldet wurden und wie hoch die Summe der verhängten Geldbußen ist, hat die Rechtsanwaltskanzlei DLA Piper ausgerechnet und im Januar 2020 in einem Bericht veröffentlicht. Sie kommt zu dem Ergebnis, dass seit Inkrafttreten der DSGVO im Mai 2018 in den EU-Mitgliedsstaaten und Norwegen, Island und Liechtenstein 160.000 Verstöße gegen die DSGVO gemeldet wurden. Europäische Datenschutzbeauftragte hätten seitdem Geldbußen im Gesamtwert von 114 Mio. Euro verhängt.

Frankreich führt danach mit 51,1 Mio. Euro die Rangliste der Staaten mit den höchsten Gesamtsummen an Geldbußen an. Diese Summe gründet sich vor allem auf ein Bußgeld in Höhe von 50 Mio. Euro, das die französische Datenschutzbehörde CNIL hat gegen das US-Unternehmen Google verhängt hat und über das wir auch in unserem Newsletter berichtet haben. Nach Frankreich folgen Deutschland mit einer Summe von gerundet 24,6 Mio. Euro, Österreich mit rund 18,1 Mio. Euro und Italien mit rund 11,6 Mio. Euro. Die Rangliste der meisten gemeldeten Verstöße gegen die DSGVO führen mit 40.647 die Niederlande an. Deutschland ist mit 37.636 Meldungen auf dem zweiten Platz.

Studie zum postmortalen Datenschutz

Nach dem Tod eines Menschen stellt sich die Frage, was mit seinen personenbezogenen Daten passiert. Die Regelung des digitalen Nachlasses kann etwa eine Rolle spielen, wenn sich auf einem Nutzerkonto private Daten wie Bilder oder Nachrichten befinden, die einer bestimmten Person zukommen sollen oder die die Erben gerade nicht einsehen sollen. Auch Vermögenswerte sind unter Umständen damit verbunden, wenn zum Beispiel ein restliches Guthaben in Online-Konten besteht.

In der Studie „Der Digitale Nachlass“ haben sich Mitarbeiter des Fraunhofer-Instituts für Sichere Informationstechnologie (SIT) und Rechtswissenschaftler der Universitäten Bremen und Regensburg mit dem Schutz von digitalen Daten nach dem Tod eines Menschen befasst. Die Studie wurde von dem Bundesjustizministerium gefördert. Ziel war es, das Thema des digitalen Nachlasses in Bezug auf erbrechtliche, datenschutzrechtliche, verbraucherschutzrechtliche und technische Fragestellungen aufzuarbeiten und Empfehlungen für den Umgang mit dem digitalen Nachlass zu geben.

Die Wissenschaftler kamen zu dem Ergebnis, dass das geltende deutsche Recht grundsätzlich geeignet ist, die Fragen des digitalen Nachlasses zu klären. Bei der exemplarischen Untersuchung der Allgemeinen Geschäftsbedingungen von PayPal, Microsoft, Apple, Amazon, Sony und Facebook haben sie festgestellt, dass bisher nur wenige Diensteanbieter Regelungen zum digitalen Nachlass treffen. Insofern bestünden auch aufgrund der teilweise unübersichtlichen Gestaltung der Regelungen praktische Hürden für Erben, beispielsweise weil für Nachlassfragen kein Ansprechpartner genannt werde oder nicht erkennbar sei, wie die Erben ihre Rechtsstellung nachweisen können. Bei Google und Facebook etwa gebe es diesbezüglich zwar Konfigurationsmöglichkeiten, auch hier müsse aber eindeutiger über die bestehenden Möglichkeiten aufgeklärt werden. Insgesamt müsse die Regelung des digitalen Nachlasses verbraucherfreundlicher werden.

Empfohlen wird zudem, Regelungen des digitalen Nachlasses bereits zu Lebzeiten zu treffen, etwa durch ein Testament. Vorlagen für entsprechende letztwillige Verfügungen sind der Studie beigefügt.