Sehr geehrte Damen und Herren,

am 12.05.2023 findet unser BRANDI-Datenschutzrechtstag statt und wir freuen uns auf spannende Diskussionen zum Thema „Datenschutz in der Cloud und Cybersicherheit“. Noch besteht die Möglichkeit, sich für die Veranstaltung anzumelden; die Informationen bezüglich der Anmeldemöglichkeit haben wir in diesem Newsletter noch einmal für Sie zusammengefasst.

Wie gewohnt berichten wir außerdem über aktuelle Ereignisse im Datenschutzrecht, unter anderem diesmal über die aktuelle Entscheidung des LG München I zur Nutzung von Google Fonts, den Beschluss der österreichischen Aufsichtsbehörde zum Scoring durch die Auskunftei CRIF, die Leitlinien des EDSA zum Auskunftsanspruch sowie das von Verbot von ChatGPT in Italien.

Bei Rückmeldungen zu diesem Newsletter oder Fragen im Zusammenhang mit den Themen des Newsletters bitten wir Sie, uns eine E-Mail an datenschutz@brandi.net zu senden. Die weiteren Kontaktdaten finden Sie auch auf unserer Homepage.

Dr. Sebastian Meyer und das Datenschutzteam von BRANDI

Thema des Monats: Nutzer-Tracking, Cookie-Banner und Pur-Abo-Modelle

Viele Unternehmen binden in ihr Online-Angebot Tools zum Nutzer-Tracking ein. Mittels dieser Softwareanwendungen, die vor allem auch von (amerikanischen) Drittanbietern zur Verfügung gestellt werden, werden Unternehmen unter anderem in die Lage versetzt, die „Einkaufsreise“ sowie das Verhalten des Kunden zu analysieren, Auswertungen zur Kundenstruktur, zu den Interessen der Kunden und zum Kaufverhalten zu erstellen und den Nutzern auf sie zugeschnittene Informationen, Angebote und Werbung zu präsentieren. Unternehmen haben häufig ein großes Interesse an diesem Tracking, da es ihnen hilft, ihre Kunden besser zu verstehen und ihre Angebote an die Interessen der Kunden anzupassen und zu verbessern. Demgegenüber haben Nutzer des Online-Angebots ein Interesse am Schutz ihrer Daten und ihrer Privatsphäre. Zu berücksichtigen ist in diesem Kontext das den Nutzern zustehende und verfassungsrechtlich verankerte Recht auf informationelle Selbstbestimmung. Dieses besagt, dass Betroffene grundsätzlich selbst darüber entscheiden können, welche personenbezogenen Daten von ihnen von welchen Stellen zu welchem Zweck verarbeitet werden dürfen. Hieraus sind insbesondere von Seiten der Rechtsprechung verschiedene Anforderungen entwickelt worden, die bei der Durchführung des Nutzer-Trackings einzuhalten sind.

Zum vollständigen Schwerpunktthema

In eigener Sache: BRANDI-Datenschutzrechtstag

In unseren Datenschutz-Newslettern der vergangenen Monate haben Sie von uns bereits eine Einladung sowie Informationen zu unserem Datenschutzrechtstag am 12.05.2023 sowie den Anmeldemöglichkeiten erhalten. Gemeinsamen mit Ihnen und externen Experten möchten wir im Rahmen der Veranstaltung über das Thema „Datenschutz in der Cloud und Cybersicherheit“ diskutieren.

Die Veranstaltung findet Ende nächster Woche statt. Aktuell besteht weiterhin noch die Möglichkeit, sich unter dem folgenden Link zu der Veranstaltung anzumelden: https://www.brandi.net/news/detail/4-brandi-datenschutzrechtstag-praesenzveranstaltung-am-12052023/.

Falls es bestimmte inhaltliche Fragen gibt, über die Sie in der Veranstaltung gerne sprechen möchten, können Sie uns diese bereits vorab an die folgende E-Mail-Adresse schicken: WissMit-DatenschutzBI@brandi.net. Zusätzlich besteht die Möglichkeit, während der Veranstaltung Fragen zu stellen und sich aktiv an der Diskussion zu beteiligen. Für organisatorische Fragen im Vorfeld zu der Veranstaltung stehen wir Ihnen natürlich ebenfalls gerne zur Verfügung.

Wir freuen uns auf eine zahlreiche Teilnahme an der Veranstaltung!

(Christina Prowald)

OLG Dresden: Unterlassungsanspruch kann nicht durch juristische Personen geltend gemacht werden

Am 14.03.2023 hat das OLG Dresden entschieden, dass juristische Personen keine Unterlassungsansprüche auf datenschutzrechtlicher Grundlage geltend machen können (OLG Dresden, Urt. v. 14.03.2023 - Az. 4 U 1377/22, BeckRS 2023, 6302). Begründend führte das OLG Dresden an, dass die DSGVO das Vorliegen von personenbezogenen Daten voraussetze. Außerdem stellte das Gericht fest, dass Urlaubslisten eines Unternehmens keine Geschäftsgeheimnisse darstellen.

In dem zugrundeliegenden Fall begehrte die Klägerin, eine juristische Person, Unterlassung der Verwendung von Daten aus ihrer Lohnbuchhaltung sowie Auskunft über den Besitz und Herausgabe von weiteren Unterlagen mit vertraulichen Informationen aus ihrem Unternehmen. Konkret ging es um zwei E-Mails mit urlaubs- und krankheitsbedingten Fehlzeiten, die von einer ehemaligen Mitarbeiterin der Klägerin, die nunmehr für den beklagten Verein tätig ist, versendet wurden. Die Klägerin hat den Beklagten wegen dieser E-Mails auf Unterlassung und Herausgabe in Anspruch genommen und dabei auch datenschutzrechtliche Verstöße gerügt.

Das Gericht stellte fest, dass sich juristische Personen nach dem eindeutigen Wortlaut von Art. 4 Nr. 1 DSGVO nicht auf die in der DSGVO enthaltenen Ansprüche berufen können. Hieraus sowie aus EWG 14 S. 2 DSGVO ergebe sich, dass sich der Schutz der DSGVO nicht auf juristische Personen, sondern ausschließlich auf natürliche Personen beziehe. Auch die sich aus dem BDSG ergebende Pflicht der Klägerin, die von ihr erhobenen Daten ihrer Arbeitnehmer zu schützen, führe nicht zu einem Anspruch der Klägerin als juristische Person gegen einen Dritten. Das BDSG enthalte auch im Übrigen keine Grundlage, aus der sich Ansprüche privater Arbeitgeber gegen private Dritte herleiten ließen. Ansprüche aus dem Geschäftsgeheimnisgesetz verneinte das Gericht, da es sich bei den in Rede stehenden Informationen nicht um ein Geschäftsgeheimnis handele.

(Christina Prowald)       

LG München I: Nutzung von Google Fonts

Das LG München I hat am 30.03.2023 entschieden, dass die massenhafte Geltendmachung von Unterlassungs- und Schadensersatzansprüchen wegen der Einbindung von Google Fonts auf Websites rechtsmissbräuchlich und das jeweilige Begehren damit unbegründet ist (LG München I, Urt. v. 30.03.2023 - Az. 4 O 13063/22).

Der Beklagte machte Ende 2022 massenhaft Ansprüche gegen Betreiber von Websites, die Google Fonts in ihren Online-Auftritt eingebunden hatten, geltend. In der Folge kam es in diesem Kontext in Berlin zu Hausdurchsuchungen und Kontobeschlagnahmungen bei dem beklagten Abmahner und seinem Anwalt. Gegen die beiden Beschuldigten bestand der Verdacht des (versuchten) Abmahnbetruges und der (versuchten) Erpressung in mindestens 2.418 Fällen (wir berichteten in unserem Datenschutz-Newsletter Januar 2023).

Das Gericht stellte nunmehr fest, dass das dynamische Einbinden von Google Fonts sowie die Übermittlung der IP-Adresse ohne zwingende technische Gründe und ohne Einwilligung in die USA zwar prinzipiell eine Verletzung des Rechts auf informationelle Selbstbestimmung darstellen könne. Eine solche Verletzung setze aber voraus, dass eine persönliche Betroffenheit gegeben ist. An einer solchen fehle es im vorliegenden Fall. Es sei nicht davon auszugehen, dass der Abmahner die Webseite des Klägers aufgesucht habe; vielmehr sei hierfür ein automatisiertes Programm verwendet worden. Zudem scheide ein Unterlassungsanspruch auch unter dem Gesichtspunkt der Tatprovokation aus. Die Software sei gerade dazu verwendet worden, Webseiten, auf denen Google Fonts dynamisch eingebunden waren, zu finden. Wer sich bewusst in eine Situation begibt, in der ihm eine Persönlichkeitsrechtsverletzung droht, um gerade diese zu erfahren, sei nicht schutzbedürftig.

Einen Schadensersatzanspruch des Abmahners nach Art. 82 DSGVO verneinte das Gericht ebenfalls. Art. 82 DSGVO setze in jedem Fall einen Schaden voraus, der im vorliegenden Fall jedoch offensichtlich nicht vorliege. Aufgrund der Nutzung eines automatisierten Programmes könne der Beklagte schon gar keine Gefühle wie Angst oder Verunsicherung gehabt haben. Im Übrigen seien Schadensersatzansprüche zudem wegen Rechtsmissbrauchs ausgeschlossen.

(Christina Prowald)

Bundespresseamt erhebt Klage gegen Facebook-Verbot

Der Bundesdatenschutzbeauftragte hatte mit Bescheid vom 17.02.2023 gegenüber dem Bundespresseamt förmlich den Betrieb der Facebook-Fanpage für die Bundesregierung untersagt (vgl. unser Newsletter für März 2023).  Diese Entscheidung wollte das Bundespresseamt nicht akzeptieren und hat daher fristgerecht Klage zum Verwaltungsgericht Köln erhoben. Das Bundespresseamt möchte nach eigenen Angaben im Rahmen einer Art Musterverfahren Rechtsklarheit für den Betrieb von Facebook-Seiten schaffen. Das Bundespresseamt erklärt dazu, dass „allein Facebook für seine Datenverarbeitung datenschutzrechtlich verantwortlich ist und insoweit datenschutzrechtliche Fragen allein im Verhältnis zu Facebook zu klären sind.“ Bis zur gerichtlichen Entscheidung will die Bundesregierung die Fanpage in der bisherigen Form weiter betreiben.

(Dr. Sebastian Meyer)

Österreich: Scoring durch Auskunftei CRIF datenschutzwidrig

Mit Beschluss vom 24.03.2023 stellte die österreichische Datenschutzbehörde fest, dass das durch die Auskunftei CRIF erfolgte Scoring datenschutzwidrig ist, da die zugrundeliegenden Daten von Millionen Österreichern nicht für eben jene Zwecke hätten verwendet werden dürfen (Beschl. v. 24.03.2023). Gegen die Entscheidung der Aufsichtsbehörde können innerhalb von vier Wochen Rechtsmittel eingelegt werden.

Die Auskunftei CRIF führte Bonitätsprüfungen auf Basis von Daten, die sie vom österreichischen Adressverlag AZ Direct Österreich erhalten hatte, durch. Die in Rede stehenden Daten durften seitens der AZ Direct Österreich allerdings nur zu Marketingzwecken genutzt und weitergegeben werden. Gleichwohl erhielt die Auskunftei CRIF die Daten, um auf dieser Basis Bonitätsdaten für die österreichische Bevölkerung zu errechnen.

Beschwerdegegenstand in dem zugrundeliegenden Fall war die Frage, ob das von der CRIF durchgeführte Scoring gegen den Grundsatz der Rechtmäßigkeit sowie den Grundsatz der Zweckbindung verstößt. Die österreichische Datenschutzbehörde stufte die in Rede stehende Datenweitergabe und -verarbeitung mangels belastbarer Rechtsgrundlage als rechtswidrig ein. Sie führte aus, dass die Datenschutzbehörde im gegen die AZ Direct Österreich gerichteten Parallelverfahren bereits einen Verstoß gegen die Rechtmäßigkeit der Datenverarbeitung festgestellt habe. Im Rahmen der Interessenabwägung zu Art. 6 Abs. 1 S. 1 lit. f) DSGVO sei deshalb zugunsten des Beschwerdeführers zu berücksichtigen, dass die AZ Direct Österreich nicht befugt war, die Daten gegenüber der Beschwerdegegnerin zum Zweck der Bonitätsbeurteilung offenzulegen. Die Unrechtmäßigkeit der ursprünglichen Datenermittlung ziehe in der Regel auch die Unzulässigkeit der weiteren Datenverarbeitung nach sich. Eine andere Situation könne sich ergeben, wenn Daten ursprünglich durch einen Verantwortlichen unrechtmäßig erhoben, jedoch seitens eines weiteren Verantwortlichen rechtmäßig verarbeitet werden. Zwingende schutzwürdige Interessen der Beschwerdegegnerin CRIF seien insoweit allerdings nicht ersichtlich. Die Auskunftei habe zudem nicht nachweisen können, dass sie ihren Vertragspartner (AZ Direct Österreich) sorgfältig ausgewählt habe. Die Datenschutzbehörde stellte deshalb fest, dass die Datenverarbeitung mangels belastbarer Rechtsgrundlage unrechtmäßig war. Weiter führte sie aus, dass der Verstoß der AZ Direct Österreich gegen den Zweckbindungsgrundsatz der CRIF hingegen nicht zugerechnet werden könne, was jedoch an der Zulässigkeit der Datenverarbeitung nichts ändere, da alle datenschutzrechtlichen Grundsätze des Art. 5 DSGVO bei einer zulässigen Datenverarbeitung eingehalten werden müssen.

(Christina Prowald)

Italien: Verbot von ChatGPT

Ende März hat die italienische Datenschutzaufsichtsbehörde (GPDP) der OpenAI, L.L.C., der Betreiberin von ChatGPT, die Verarbeitung personenbezogener Daten von italienischen Bürgerinnen und Bürgern im Rahmen der Anwendung ChatGPT untersagt (Mitteilung v. 30.03.2023). Die Aufsichtsbehörde stützte sich unter anderem darauf, dass weder den Benutzern noch den betroffenen Personen, deren Daten von Open AI gesammelt und über ChatGPT verarbeitet wurden, ausreichende und transparente datenschutzrechtliche Informationen zur Verfügung gestellt werden. Außerdem liege keine belastbare Rechtsgrundlage für die in Rede stehenden Datenverarbeitungsprozesse vor und es fehle an Schutzmechanismen für Minderjährige.

Am 12.04.2023 kündigte die italienische Aufsichtsbehörde sodann an, die Beschränkungen aufzuheben, sofern OpenAI bis zum 30.04.2023 verschiedene Maßnahmen umsetzt. So forderte die Behörde etwa die Bereitstellung eines Informationsvermerks auf der Webseite des Unternehmens, in dem die Modalitäten und die Logik der für den Betrieb von ChatGPT erforderlichen Datenverarbeitungsprozesse sowie die Rechte aller betroffenen Personen beschrieben werden. Der Informationshinweis müsse so platziert werden, dass er vor Anmeldung zu dem Dienst wahrgenommen und gelesen werden könne. Außerdem soll OpenAI in Abstimmung mit der Datenschutzbehörde bis zum 15.05.2023 eine Informationskampagne in Radio, Fernsehen, Zeitungen und im Internet durchführen. Zudem sollen Nutzer eine Alterskontrolle zu durchlaufen haben. Hinsichtlich der Rechtsgrundlage wies die GPDP OpenAI an, alle Verweise auf vertragliche Leistungen zu streichen. Die Datenverarbeitungsprozesse seien vielmehr auf die Einwilligung des Nutzers oder das überwiegende berechtigte Interesse des Unternehmens zu stützen. Außerdem müsse OpenAI leicht zugängliche Instrumente zur Verfügung stellen, die es Betroffenen ermöglichen, die Berichtigung oder Löschung ihrer Daten zu erwirken und ihr Recht auf Widerspruch gegen die Verarbeitung ihrer personenbezogenen Daten geltend zu machen.

In Deutschland ist die Anwendung ChatGPT nach Angaben des LDI NRW derzeit ebenfalls Gegenstand einer in der DSK koordinierten datenschutzrechtlichen Prüfung. Hierbei sollen in einem ersten Schritt die für eine Prüfung nötigen Informationen bei OpenAI eingeholt und gemeinsam ausgewertet werden.

(Christina Prowald)

EU-Parlament: Angemessenheitsbeschluss für die USA abgelehnt

Auf Basis des Transatlantic Data Privacy Framework, der Nachfolgeregelung zum EU-US Privacy Shield, möchte die Europäische Kommission über einen Angemessenheitsbeschluss feststellen, dass auch für die USA bei Anwendung des Frameworks von einem angemessenen Datenschutzniveau ausgegangen werden kann. Hierzu liegt bereits der Entwurf des Angemessenheitsbeschlusses der Kommission vor, zu dem sich bereits der Europäische Datenschutzausschuss (EDSA) und auch die deutsche Datenschutzkonferenz teilweise kritisch geäußert hatten (vgl. unser Newsletter für April 2023). Der zuständige Ausschuss des EU-Parlaments (Civil Liberties Committee – LIBE) hat sich jetzt – wie aus der Pressemitteilung vom 13.04.2023 ersichtlich – noch deutlicher positioniert und dafür ausgesprochen, dem Angemessenheitsbeschluss nicht zuzustimmen, sondern noch einmal den Versuch von Nachverhandlungen mit den USA zu unternehmen. Die Entscheidung des Ausschusses, die ohne Gegenstimmen erfolgt ist, entfaltet allerdings keine bindende Wirkung. 

(Dr. Sebastian Meyer)

EDSA: Leitlinien zum Auskunftsanspruch

Am 28.03.2023 hat der Europäische Datenschutzausschuss (EDSA) Leitlinien zum Auskunftsrecht nach Art. 15 DSGVO veröffentlicht (Leitlinien des EDSA v. 28.03.2023). Mittels der Leitlinien soll eine einheitliche Verwirklichung des Auskunftsrechts innerhalb der EU erreicht werden. Die nunmehr veröffentlichte Endfassung der Leitlinien bezieht auch die Ergebnisse der öffentlichen Konsultation, im Rahmen derer etwa auch das LDI NRW mitgewirkt hat, mit ein (Mitteilung des LDI NRW).

Der EDSA beschreibt in den Leitlinien zunächst, dass das allgemeine Ziel des Auskunftsrechts darin bestehe, Betroffenen umfassende und transparente Informationen über die Verarbeitung ihrer personenbezogenen Daten zur Verfügung zu stellen und die Betroffenen insoweit in die Lage zu versetzen, die Rechtmäßigkeit der Verarbeitung prüfen und ggf. weitere Rechte geltend machen zu können. Die Leitlinien geben sodann im ersten Teil zunächst einen Überblick über die Struktur der Regelung sowie die wesentlichen Prinzipien, die im Rahmen des Auskunftsrechts zu beachten sind. Anschließend werden verschiedene inhaltliche Fragen zum Auskunftsanspruch vertieft aufbereitet. So etwa:

• Wann liegt ein Auskunftsbegehren i.S.d. DSGVO vor? Wie ist dieses vom Verantwortlichen zu interpretieren? Wem darf Auskunft erteilt werden?
• Welche Daten müssen im Rahmen der Beantwortung des Auskunftsbegehrens bereitgestellt werden?
• Welche Maßnahmen müssen ergriffen werden, um die Daten des Betroffenen in den Systemen des Verantwortlichen aufzuspüren?
• In welcher Art und Weise sind die Informationen bereitzustellen? Was konkret ist unter den Begrifflichkeiten „Kopie der Daten“ sowie „gängiges elektronisches Format“ zu verstehen?
• Bei Vorliegen welcher Voraussetzungen muss von einer Beantwortung des Auskunftsbegehrens abgesehen werden?

Die Leitlinien enthalten zudem ein Flussdiagramm, mittels dessen von verantwortlichen Stellen nachvollzogen werden kann, wie vorzugehen ist, wenn ein Betroffener seinen Auskunftsanspruch nach Art. 15 DSGVO geltend macht.

(Christina Prowald)

DSK: Stellungnahme zum Europäischen Gesundheitsdatenraum

Die EU-Kommission hat auf Grundlage der im Jahr 2020 ausgearbeiteten Datenstrategie, durch die betroffene Personen auf die Wahrung der DSGVO sowie der Artikel 7 und 8 der Charta der Grundrechte der Europäischen Union vertrauen dürfen, bereits mehrere spezielle Datengesetze ausgearbeitet. Zu einem ersten sektorspezifischem Datenraum wurde im Mai 2022 ein Verordnungsentwurf zur Schaffung und Regulierung eines Gesundheitsdatenraums (European Health Data Space - EHDS) vorgestellt. Die Datenschutzkonferenz sieht den Verordnungsentwurf in ihrer veröffentlichten Stellungnahme vom 27. März 2023 in seiner jetzigen Form und Ausarbeitung kritisch.

In dem Verordnungsentwurf ist bestimmt, dass durch den EHDS die Nutzung von Gesundheitsdaten zu Behandlungszwecken (Primärzweck) in elektronischer Weise europaweit ermöglicht und vereinheitlicht werden soll. Auch sekundäre Nutzungszwecke, wie Zwecke der Forschung oder das Trainieren von Künstlicher Intelligenz, sind im Verordnungsentwurf geregelt. Die DSK begrüßt grundsätzlich das Vorhaben, eine einheitliche Regelung im Europäischen Raum zu schaffen, solange dabei die datenschutzrechtlichen Anforderungen und Rechte nicht ausgehöhlt werden. Für die Schaffung des einheitlichen Europäischen Gesundheitsdatenraums ist das Grundrecht auf Datenschutz bzw. informationelle Selbstbestimmung insbesondere mit dem öffentlichen Interesse an wissenschaftlicher Forschung in einen angemessenen Ausgleich zu bringen. Laut DSK greife der Verordnungsentwurf hier deutlich zu kurz. Die DSK fordert insbesondere Verbesserungen in Bezug auf Betroffenenrechte, die Rechtsklarheit und Regelungen zu technischen und organisatorischen Maßnahmen. Besonders bei der Sekundärnutzung von elektronischen Gesundheitsdaten kritisiert die DSK, dass nicht erkennbar sei, ob und wenn ja, inwieweit den betroffenen Personen überhaupt Rechte eingeräumt werden. Die Datenschutzkonferenz fordert zudem die Streichung der vorgesehenen Regelung zur Bereitstellung von persönlichen Genomdaten, da dies in den intimsten Bereich der betroffenen Personen und ihrer Angehörigen eingreife. Auch die technische Umsetzung zur Gewährleistung eines hohen Sicherheitsniveaus muss aus Sicht der Datenschutzkonferenz erheblich besser geregelt werden. Die elektronischen Systeme, also Geräte oder Software, die dazu bestimmt sind, die elektronischen Patientendaten zu verarbeiten, sollten von einer unabhängigen Stelle zugelassen werden müssen. Wichtig ist dabei die Gewährleistung einer Ende-zu-Ende Verschlüsselung sowie die Möglichkeit der Anonymisierung und Pseudonymisierung.

Bei Gesundheitsdaten handelt es sich um besonders sensible Daten, die einen hohen Schutzbedarf aufweisen. Je persönlicher Daten sind, desto strenger müssen auch die Anforderungen an deren Verarbeitung sein. Die Auswirkungen eines Missbrauchs oder einer Datenpanne können im Einzelfall drastische Auswirkungen für die betroffene Person haben. Betroffene Personen müssen ein Recht auf sichere und vertrauliche Verarbeitung ihrer Gesundheitsdaten haben und diese effektiv kontrollieren können.

(Eva Ritterswürden)