Probleme bei der Darstellung des Newsletters? Dann klicken Sie hier für die Webansicht

Newsletter zum Datenschutz

Sehr geehrte Damen und Herren,

der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI) hat unter dem Titel „Best of Datenschutz“ neun lebensnahe Datenschutzfälle, mit denen sich die Aufsichtsbehörde in den vergangenen 12 Monaten beschäftigt hat, zusammengefasst und veröffentlicht. Die ausgewählten Fälle sollen den Bürgerinnen und Bürgern in Rheinland-Pfalz die praktische Bedeutung des Datenschutzes anhand alltäglicher Situationen aufzeigen. Häufig wird Datenschutz als komplex und aufwändig wahrgenommen und dabei die wichtige Bedeutung - das Recht auf informationelle Selbstbestimmung der Bürger und Bürgerinnen sicherzustellen - vergessen. „Das Datenschutzrecht wird manches Mal als abstrakt und mühsam wahrgenommen. Für die Bürgerinnen und Bürger ändert sich diese Wahrnehmung aber schlagartig, wenn die Überwachungskamera des Nachbarn plötzlich auf den eigenen Garten ausgerichtet ist oder wenn die halbe Ortsgemeinde aufgrund einer Indiskretion am Bankschalter über die eigenen Finanzverhältnisse Bescheid weiß. Dann wird die Bedeutung des Schutzes von Privatheit für jede und jeden Einzelnen deutlich. Gemeinsam mit meinem Team gehe ich jährlich mehr als 1.500 Beschwerden und Datenpannenmeldungen nach. Meine Aufgabe ist es, das Recht der Bürgerinnen und Bürger auf informationelle Selbstbestimmung sicherzustellen. Und das betrifft alle Lebenslagen, denn Datenschutz ist gerade auch im Alltag von praktischer Bedeutung“, erklärte LfDI Prof. Dr. Dieter Kugelmann.

Bei Rückmeldungen zu diesem Newsletter oder Fragen im Zusammenhang mit den Themen des Newsletters bitten wir Sie, uns eine E-Mail an datenschutz@brandi.net zu senden. Die weiteren Kontaktdaten finden Sie auch auf unserer Homepage.

Dr. Sebastian Meyer und das Datenschutzteam von BRANDI
 

Thema des Monats: Führerscheinkontrollen durch den Arbeitgeber

Viele Unternehmen stellen ihren Mitarbeitern eigene Dienstwagen oder Poolfahrzeuge zur Verfügung, um ihnen die Anreise zu Kunden oder sonstigen dienstlichen Terminen zu ermöglichen. Insbesondere bei Außendienstmitarbeitern gehört die Nutzung eines Dienstfahrzeugs teils sogar zum Berufsbild und dient unter anderem auch Marketingzwecken. In diesem Kontext stellt sich häufig die Frage, inwieweit der Arbeitgeber verpflichtet ist, Führerscheinkontrollen durchzuführen und welche Vorgaben er hierbei zu beachten hat.

Eine allgemeine gesetzliche Kontrollpflicht besteht nicht. Ist der Arbeitgeber allerdings Halter des genutzten Fahrzeugs, hat er dafür Sorge zu tragen, dass nur Personen, die über die entsprechende Fahrerlaubnis verfügen, die Fahrzeuge führen. Tut er dies nicht und ordnet an oder lässt zu, dass jemand das Fahrzeug führt, der die dazu erforderliche Fahrerlaubnis nicht hat oder dem das Führen des Fahrzeugs nach § 44 StGB oder nach § 25 StVG verboten ist, kann er nach § 21 Abs. 1 Nr. 2 StVG hierfür strafrechtlich mit Freiheitsstrafe oder Geldstrafe belangt werden. Um seiner Kontrollpflicht nachzukommen und sich nicht strafbar zu machen, hat der Arbeitgeber insoweit zu prüfen, ob alle Mitarbeiter, die Dienstfahrzeuge nutzen, über einen gültigen Führerschein verfügen. Eine Führerscheinkontrolle ist häufig außerdem aus versicherungstechnischen Gründen erforderlich. Nutzt ein Mitarbeiter demgegenüber sein privates Fahrzeug zu dienstlichen Zwecken, besteht keine unmittelbare Kontrollpflicht.

Zum vollständigen Schwerpunktthema

Amtsantritt der neuen Bundesdatenschutzbeauftragten

Bundespräsident Frank-Walter Steinmeier hat Prof. Dr. Louisa Specht-Riemenschneider am 3. September 2024 zur neuen Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) ernannt (Mitteilung vom 03.09.2024). Sie war bereits im Mai zur neuen BfDI gewählt worden und äußerte sich wie folgt zum Amtsantritt: „Ich werbe insgesamt für einen Datenschutz, der rote Linien klar aufzeigt, aber unterhalb dieser roten Linien konstruktive Lösungen, einen Korridor des Möglichen, anbietet. Ich will noch früher und intensiver in den Dialog mit Gesellschaft, Gesetzgeber, Forschung und Wirtschaft kommen, um eine grundrechtssensible Digitalisierung zu ermöglichen. Ich will wissen, wo die Beteiligten Herausforderungen sehen, um frühzeitig Lösungen anbieten zu können, die das Datenschutzrecht einhalten. In meiner Amtszeit werde ich mich insbesondere um die Bereiche Gesundheit, Künstliche Intelligenz und Sicherheit kümmern. Digitale Lösungen sind entscheidend für eine bessere Gesundheitsversorgung für uns alle. Dabei müssen die Grundrechte der Betroffenen umfassend geschützt werden, gleichzeitig darf ein hohes Maß an Funktionalität der Systeme nicht verhindert werden. Ähnliches gilt für die Künstliche Intelligenz. Ich werde alles tun, um eine vertrauenswürdige und grundrechtsorientierte KI-Landschaft zu ermöglichen. Gleichzeitig werde ich mich mit Vehemenz gegen rechtswidrige Datenverarbeitungen einsetzen. Es ist meine feste Überzeugung, dass die KI-Aufsicht in die Hände der Datenschutzaufsichtsbehörden gehört. Denn wir sind als einzige Behörden völlig unabhängig und haben bereits heute die notwendigen KI-Expertinnen und Experten. Über KI-Reallabore möchte ich Innovation aktiv begleiten.“

(Christina Prowald)

Bundesregierung verabschiedet Einwilligungsverwaltungsverordnung

Die Bundesregierung hat am 4. September 2024 in Umsetzung von § 26 TDDDG die Verordnung über Dienste zur Einwilligungsverwaltung nach dem Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (Einwilligungsverwaltungsverordnung (EinwV)) verabschiedet. Nach § 26 Abs. 2 TDDDG bestimmt die Bundesregierung durch Rechtsverordnung die Anforderungen an anerkannte Dienste zur Einwilligungsverwaltung, das Verfahren der Anerkennung sowie die in diesem Kontext erforderlichen technischen und organisatorischen Maßnahmen. Die neue Verordnung sieht unter anderem vor, dass der Dienst zur Einwilligungsverwaltung bei der erstmaligen Inanspruchnahme eines digitalen Dienstes durch den Endnutzer dessen Einstellungen speichert, und gibt vor, welche Einwilligungen mittels des Dienstes verwaltet werden können. Außerdem ist geregelt, welche Voraussetzungen ein Verwaltungsdienst erfüllen muss, um nutzerfreundlich zu sein. Zu nennen sind insoweit insbesondere verschiedene Transparenzanforderungen. Als zuständige Stelle für die Anerkennung der Verwaltungsdienste wird der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit benannt. Bundestag und Bundesrat müssen der neuen Verordnung noch zustimmen.

(Christina Prowald)
 

LfDI Rheinland-Pfalz: Informationskampagne zur Notwendigkeit eines Gastzugangs

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz hat im August 2024 eine Informationskampagne zur datenschutzrechtlichen Notwendigkeit eines Gastzugangs für rheinland-pfälzische Online-Shops durchgeführt (Mitteilung vom 28.08.2024). Ziel der Kampagne ist es, Unternehmen für das Thema zu sensibilisieren und datenschutzrechtliche Verstöße in diesem Bereich zu verringern.

Die Aufsichtsbehörde hatte zuvor über 100 Unternehmen dahingehend überprüft, ob es in ihren Online-Shops möglich ist, per Gastzugang zu bestellen. Die 13 Unternehmen, bei denen die Aufsichtsbehörde Mängel feststellte, wurden mittels eines Informationsschreibens auf den Korrekturbedarf hingewiesen. Die Pflicht zur Bereitstellung von Gastzugängen ergibt sich aus Art. 5 DSGVO, insbesondere dem Grundsatz der Datenminimierung, und Art. 6 DSGVO, dem Erfordernis einer Rechtsgrundlage. LfDI Prof. Dr. Dieter Kugelmann erläutert hierzu: „Kundinnen und Kunden müssen frei entscheiden können, ob sie ihre Daten beim Online-Shop hinterlegen möchten oder nicht. Die Möglichkeit der sogenannten Gastbestellung muss beim Einkauf im Internet deshalb immer eine gleichwertige Alternative sein. Erfreulich ist, dass nur rund jeder zehnte der in unserer Stichprobe überprüften Online-Shops hier Mängel aufwies. Es zeigt, dass die Unternehmen in Rheinland-Pfalz das Prinzip der Datensparsamkeit grundsätzlich befolgen. Mit unserer Kampagne wollen wir nun das Erfordernis der Einrichtung von Gastzugängen auch für die weiteren Anbieter von Online-Shops in unserem Bundesland klarstellen. Im Kern geht es um die Sicherung der Entscheidungsfreiheit in der digitalen Welt.“
Weiterführende Informationen zu diesem Thema stellt der LfDI über seine Homepage bereit.

(Christina Prowald)
 

EuGH: Anfrage der Datenweitergabe zur Kontaktaufnahme von Gesellschaftern eines Investmentfonds untereinander

In seinem Urteil vom 12. September 2024 entschied der EuGH über zwei verbundene Vorlageverfahren zu Fragen der Weitergabe von Gesellschafterdaten an andere Gesellschafter  (EuGH, Urt. v. 12.09.2024 - C-17/22 und C-18/22).

Bei den Klägerinnen der Ausgangsverfahren handelt es sich um Investmentgesellschaften, die jeweils über eine Treuhandgesellschaft mittelbar an als Personengesellschaften organisierten Investmentfonds beteiligt sind. Diese fordern von den Beklagten, bei denen es sich um treuhänderische Beteiligungsgesellschaften handelt, die Weitergabe der Namen und Adressen aller ihrer mittelbar beteiligten Mitgesellschafter der Investmentfonds und begründen dies unter anderem mit der Verhandlung über den Ankauf der Anteile von Mitgesellschaftern und der Abstimmung im Rahmen von Gesellschafterbeschlüssen.

Das Prozessgericht hat hierzu verschiedene Fragen vorgelegt, insbesondere hinsichtlich der möglichen Rechtsgrundlage einer solchen Datenweitergabe nach Art. 6 Abs. 1 lit. b) und f) DSGVO. Der EuGH urteilt zur Auslegung: Auf die Vertragserfüllung nach Art. 6 Abs. 1 lit. b) DSGVO könne eine Verarbeitung nur gestützt werden, wenn diese für die Erfüllung wesentlich sei, nicht jedoch, wenn wie vorliegend der fragliche Beteiligungs- und Treuhandvertrag die Weitergabe der Daten an Mitanteilseigner ausdrücklich ausschließe. Eine Verarbeitung könne auf ein berechtigtes Interesse gestützt werden, wenn sie zur Verwirklichung des Interesses notwendig sei und unter den konkreten Umständen des Einzelfalls Interessen und Grundfreiheiten der betreffenden Gesellschafter nicht überwiegen. Das Interesse eines Gesellschafters, der an einem als Personengesellschaft organisierten Investmentfonds mittelbar beteiligt ist, Daten anderer mittelbarer Gesellschafter zur Kontaktaufnahme zu erhalten, um mit ihnen über die Übernahme der Gesellschaftsanteile zu verhandeln oder sich zur gemeinsamen Willensbildung abzustimmen, könne zumindest grundsätzlich ein berechtigtes Interesse i.S.v. Art. 6 Abs. 1 lit. f) DSGVO darstellen. Das Gericht sieht ein Überwiegen des berechtigen Interesses in Anbetracht der vorgenannten Vertragsgestaltung jedoch als zweifelhaft an. Eine gesetzliche Verpflichtung als Rechtsgrundlage nach Art. 6 Abs. 1 lit. c) DSGVO könne auch in Betracht kommen, wenn sie sich aus der nationalen Rechtsprechung ergebe. Diese muss jedoch klar, präzise und für den Rechtsunterworfenen vorhersehbar sein sowie ein im öffentlichen Interesse liegendes Ziel verfolgen. Betreffend des zugrundeliegenden Falls gibt es etwa BGH Rechtsprechung, nach der es zum Kernbereich des Gesellschaftsrechts gehöre, in einer Personengesellschaft Namen und Anschrift der Mitgesellschafter zu erfahren. Der EuGH verweist insoweit auf die Aufgabe des nationalen Gerichts, diese Transparenzanforderung mit dem Schutz der personenbezogenen Daten in Einklang zu bringen, durch eine möglicherweise weniger beeinträchtigende Pflicht, als die Datenweitergabe an jeden anfragenden Gesellschafter.

(Gesche Kracht)
 

OLG München: Außerordentliche Kündigung wegen Weiterleitung sensibler Informationen an private E-Mail-Adresse

Das OLG München hat am 31. Juli 2024 entschieden, dass die Weiterleitung dienstlicher E-Mails mit sensiblem Inhalt an die private E-Mail-Adresse eine außerordentliche Kündigung rechtfertigen kann (OLG München, Urt. v. 31.07.2024 - Az. 7 U 351/23e).

Der Kläger war Vorstandsmitglied einer Aktiengesellschaft und leitete mehrfache dienstliche E-Mails mit sensiblen Informationen an seine private E-Mail-Adresse weiter, indem er letztere bei von ihm über seinen dienstlichen Account versendeten E-Mails in CC setzte. Dies geschah, ohne dass die betroffenen Personen der Weiterleitung zugestimmt hatten oder eine Genehmigung des Aufsichtsrates vorlag, weshalb ihm das Unternehmen fristlos kündigte. Der Kläger verteidigte sich damit, dass die Weiterleitung erforderlich gewesen sei, um sich selbst gegen Vorwürfe abzusichern und die Informationen nicht an Dritte weitergegeben worden seien. Das Unternehmen führte demgegenüber an, dass der Kläger seine Pflicht zur Einhaltung der Verpflichtungen nach dem Geheimnisschutzgesetz und der DSGVO verletzt habe.

Das Gericht führte aus, dass der Kläger entsprechend seines Dienstvertrags verpflichtet war, alle betrieblichen Angelegenheiten und Geschäftsgeheimnisse vertraulich zu behandeln. Außerdem habe er vertrauliche Informationen nicht verbreiten, kommunizieren oder verwerten dürfen. Das Gericht stellte fest, dass es sich bei den weitergeleiteten Informationen um solche als vertraulich zu behandelnden Angelegenheiten und Informationen handelte. Dass der Kläger insoweit gegen seine Pflicht aus dem Dienstvertrag verstoßen habe, sei allerdings unbeachtlich, da kein Verstoß gegen die Verschwiegenheitsverpflichtung des § 93 Abs. 1 S. 3 AktG vorliege. Der Kläger habe aber gegen seine sich aus § 91 Abs. 1 S. 1 AktG ergebende Sorgfaltspflicht verstoßen. Bei der Weiterleitung der Daten handelte es sich um eine Datenverarbeitung i.S.v. Art. 4 Nr. 2 DSGVO, für die es an einer Rechtsgrundlage fehlte. Eine Verletzung der datenschutzrechtlichen Vorschrift sei zwar nicht in jedem Fall ein wichtiger Grund i.S.v. § 626 Abs. 1 BGB. Eine unter Missachtung der datenschutzrechtlichen Regelungen erfolgte Weiterleitung sei aber dann relevant, wenn sensible Informationen betroffen sind, was vorliegend der Fall war.

(Christina Prowald)


OLG Frankfurt zu Ansprüchen im Zusammenhang mit Deezer-Datenleck

Das OLG Frankfurt hat sich in seinem Beschluss vom 11. Juli 2024 zu dem Streitwert im datenschutzrechtlichen Verfahren gegen den Musik-Streaming-Anbieter Deezer geäußert (OLG Frankfurt, Beschl. v. 11.07.2024 - 6 W 46/24). Infolge eines Datenlecks wurden Daten von Nutzern des Anbieters im Darknet angeboten, darunter auch Daten des Klägers. Der Kläger machte im Ausgangsverfahren vor dem LG Gießen erfolglos Ansprüche auf Schadenersatz i.H.v. mindestens 1.000 €, Schadenersatzfeststellung, Unterlassung und Auskunft auf Grundlage der DSGVO geltend und legte gegen den vom Landgericht festgesetzten Streitwert von 3.000 € Beschwerde ein. Das OLG hält im Ergebnis einen Streitwert von insgesamt 3.000 € ebenfalls für angemessen, davon 1.000 € für den Anspruch auf Schadenersatz, 500 € für den Anspruch auf Schadenersatzfeststellung, 1.000 € für den Anspruch auf Unterlassung und 500 € für den Auskunftsanspruch. Hinsichtlich des Anspruchs auf Unterlassung sei zu beachten, dass nur eine nicht vollstreckbare Vorgabe der DSGVO aufgegriffen werde und die Daten in Form von lediglich der E-Mail-Adresse des Klägers ohnehin schon veröffentlicht worden seien, weswegen 1.000 € ausreichend seien. Abschließend äußerte das OLG, dass die Festsetzung des Gesamtstreitwerts nicht nur individuell gelte, sondern auch für alle weiteren vergleichbaren Verfahren betreffend des Deezer-Datenlecks, sofern nicht im Einzelfall konkrete Umstände eine Abweichung begründen.

 (Gesche Kracht)
 

OVG Bautzen: Kein Anspruch auf Akteneinsicht in digitaler Form

Ein Antrag auf Bewilligung von Prozesskostenhilfe und Beiordnung eines Rechtsanwalts für ein noch durchzuführendes Beschwerdeverfahren gegen die Ablehnung der Akteneinsicht in digitaler Form wurde vom OVG Bautzen abgelehnt, da die beabsichtigte Rechtsverfolgung keine hinreichenden Erfolgsaussichten habe (OVG Bautzen, Beschl. v. 20.03.2024 - 5 E 14/24).

Die Beschwerde gegen die Ablehnung der Akteneinsicht durch Bereitstellung des Inhalts der Akten zum Abruf wäre zunächst unstatthaft und damit unzulässig. Selbst wenn von einer Zulässigkeit ausgegangen würde, bestünde kein Anspruch auf Akteneinsicht in digitaler Form aus Art. 15 Abs. 3 DSGVO. Ebenso wenig bestehe eine Pflicht des Gerichts zur Digitalisierung der in Papierform geführten Prozessakten. Die Form der Einsichtsgewährung könne durch die aktenführende Stelle gewählt werden. Insoweit sei die Ablehnung der Akteneinsicht mit der Begründung, die Digitalisierung würde einen unverhältnismäßigen Aufwand darstellen, sachgerecht.

(Gesche Kracht)


AG Arnsberg zur Rechtsmissbräuchlichkeit einer Auskunftsanfrage

Das Amtsgericht Arnsberg hat entschieden, dass für die Beurteilung der Rechtsmissbräuchlichkeit eines Auskunftsersuchens nach Art. 15 DSGVO die Auslegung der Art. 4 Nr. 2, 15 Abs. 1, 82 Abs. 2 DSGVO entscheidend sei und hat dem EuGH acht Fragen zur Beantwortung vorgelegt (AG Arnsberg, Beschl. v. 31.07.2024 - Az. 42 C 434/23, GRUR-RS 2024, 22223).

In dem zugrundeliegenden Fall stritten die Parteien darüber, ob der Beklagte Datenschutzansprüche in rechtsmissbräuchlicher Weise geltend gemacht hatte. Der Beklagte hatte sich auf der Website der Klägerin zu deren Newsletter angemeldet. Nachdem der Beklagte eine Auskunftsanfrage nach Art. 15 DSGVO stellte, verweigerte die Klägerin diese mit Verweis darauf, dass es sich um ein rechtsmissbräuchliches Auskunftsbegehren im Sinne von Art. 12 Abs. 5 S. 2 lit. b) DSGVO handle. Zusätzlich forderte sie den Beklagten auf, endgültig von diesem Anspruch abzusehen. Daraufhin forderte der Beklagte Schadensersatz aus Art. 82 DSGVO in Höhe von 1.000 €. Zu dem Schluss der Rechtsmissbräuchlichkeit kam die Klägerin, da sie durch Berichte verschiedener Onlinemedien herausgefunden habe, dass der Beklagte datenschutzrechtliche Auskunftsanfragen systematisch und rechtsmissbräuchlich ausnutze, um anschließend Schadensersatzforderungen zu stellen. Mehreren Blogbeiträgen und Berichten von Rechtsanwälten sei zu entnehmen, dass der Beklagte immer wieder nach demselben Prinzip verfahre, sich zum Newsletter anmelde, Auskunftsansprüche geltend mache und schließlich Schadensersatz fordere.

Das AG Arnsberg setzte das Verfahren bis zur Beantwortung der vorgelegten Fragen durch den EuGH aus. Dabei geht es insbesondere um die Frage, unter welchen Voraussetzungen ein Auskunftsanspruch als rechtsmissbräuchlich abgelehnt werden kann und ob das auch dann möglich ist, wenn der Anfragende beabsichtigt, Schadensersatzansprüche mit dem Auskunftsanspruch zu provozieren. Des Weiteren ist auch die Frage zu klären, ob öffentlich zugängliche Informationen ausreichen, um diese Rechtsmissbräuchlichkeit zu belegen.

(Carolina Vortkamp)
 

Niederlande: Bußgeld gegen Clearview verhängt

Die niederländische Aufsichtsbehörde verhängte ein Bußgeld in Höhe von 30,5 Millionen Euro und ein Ordnungsgeld in Höhe von mehr als 5 Millionen Euro gegen Clearview AI wegen unzulässiger Datenerfassungen im Bereich der Gesichtserkennung (Mitteilung vom 03.09.2024).

Das Unternehmen Clearview bietet Dienste im Bereich der Gesichtserkennung an und verfügt zu diesem Zweck über eine Datenbank mit mehr als 30 Milliarden Fotos. Clearview zieht diese Bilder aus dem Internet und wandelt sie in einen eindeutigen biometrischen Code pro Gesicht um, ohne dass die betroffenen Personen dies wissen und ohne dass sie ihre Einwilligung hierzu erteilt haben. Die Aufsichtsbehörde stellte fest, dass Clearview seine Datenbank nicht hätte erstellen dürfen. Dies gelte insbesondere für die biometrischen Codes. Biometrische Daten dürften nur in Ausnahmefällen verarbeitet werden. Auf diese könne sich Clearview aber nicht berufen. Darüber hinaus informiere Clearview in der Datenbank erfasste Personen nur unzureichend über die Datenverarbeitung. Im Übrigen komme das Unternehmen Auskunftsanfragen nicht nach.

Da das Unternehmen die Verstöße nach der Untersuchung der niederländischen Aufsichtsbehörde nicht abstellte, wies die Aufsichtsbehörde Clearview zur Einhaltung der datenschutzrechtlichen Vorgaben an und verhängte zusätzlich zu der Geldbuße ein Ordnungsgeld in Höhe von maximal 5,1 Millionen Euro für den Fall der Nichteinhaltung. Aleid Wolfsen, Vorsitzender der niederländischen Aufsichtsbehörde, warnte auch niederländische Organisationen vor der Nutzung von Clearview. Sie müssten ebenfalls mit hohen Geldstrafen rechnen.

Zum weiteren Vorgehen gegen das Unternehmen sagte Wolfsen: „Ein solches Unternehmen kann nicht weiterhin die Rechte der Europäer verletzen und damit davonkommen. Schon gar nicht in dieser gravierenden Art und Weise und in diesem Ausmaß. Wir werden nun prüfen, ob wir die Geschäftsführung des Unternehmens persönlich haftbar machen und mit einer Geldstrafe belegen können, weil sie diese Verstöße veranlasst hat. Diese Haftung besteht bereits, wenn die Geschäftsführer wissen, dass gegen die Datenschutz-Grundverordnung verstoßen wird, die Befugnis haben, dies zu unterbinden, es aber unterlassen und auf diese Weise Verstöße bewusst in Kauf nehmen.“

Allgemein äußerte sich Wolfsen wie folgt zum Thema Gesichtserkennung: „Die Gesichtserkennung ist eine Technologie, die in hohem Maße in die Privatsphäre eingreift und die man nicht einfach auf jeden Menschen in der Welt loslassen kann. Wenn es ein Foto von Ihnen im Internet gibt - und trifft das nicht auf jeden von uns zu? - dann können Sie in der Datenbank von Clearview landen und verfolgt werden. Das ist kein Untergangsszenario aus einem Gruselfilm. Und es ist auch nichts, was nur in China passieren kann.“ Er erkennt zwar an, dass die Gesichtserkennung grundsätzlich einen Beitrag zur Sicherheit und zur Aufdeckung von Straftaten leisten könne, ist jedoch gleichzeitig der Auffassung, dass Gesichtserkennung nicht durch ein kommerzielles Unternehmen erfolgen sollte, sondern in Ausnahmefällen durch die zuständigen Behörden und unter strengen Voraussetzungen.

(Christina Prowald)
 

Belgien: Bußgeld wegen verspäteter Auskunft

Weil er eine Auskunftsanfrage erst nach 14 Monaten beantwortete, verhängte die belgische Aufsichtsbehörde am 23. August 2024 ein Bußgeld in Höhe von 100.000 Euro gegen einen Telekommunikationsbetreiber (Mitteilung vom 02.09.2024).

Der Beschwerdeführer war Kunde des Telekommunikationsanbieters. Im Zuge eines Schlichtungsverfahrens wegen eines vertraglichen Vorfalls machte er seinen Auskunftsanspruch gegen das Unternehmen geltend. Er verlangte unter anderem Auskunft über den Mitarbeiter, der seine Daten verarbeitet, sowie die Zwecke der Verarbeitung. Seine Auskunftsanfrage stellte er über den Messenger-Kanal des Telekommunikationsanbieters. Er bat aber darum, dass die Anfrage an den Datenschutzbeauftragten weitergegeben wird. Obwohl zwei Mitarbeiter die Anfrage unternehmensintern bearbeiteten, wurde sie weder an den Datenschutzbeauftragten weitergeleitet, noch erhielt der Kunde eine Antwort, woraufhin er Beschwerde bei der belgischen Aufsichtsbehörde einreichte. Der Telekommunikationsanbieter antworte dem Beschwerdeführer schließlich 14 Monate nach Zugang seines Antrags.

Die Aufsichtsbehörde stellte Verstöße gegen Artikel 12 Abs. 2 und 3 DSGVO sowie Art. 15 DSGVO fest, da das Unternehmen die Auskunftsanfrage nicht an seinen Datenschutzbeauftragten weiterleitete und erst nach 14 Monaten beantwortete, und verhängte in der Folge ein Bußgeld in Höhe von 100.000 Euro. Das Unternehmen hat 30 Tage Zeit, gegen die Entscheidung vorzugehen.

(Christina Prowald)
 

Spanien: Bußgeld im Zusammenhang mit einer Auskunft

Die spanische Aufsichtsbehörde (AEPD) hat am 12. August 2024 ein Bußgeld in Höhe von 270.000 Euro gegen die Uniqlo Europe, Ltd. erlassen, weil diese gegen Artikel 5 DSGVO (Grundsätze der Datenverarbeitung) und Artikel 32 DSGVO (Sicherheit der Verarbeitung) verstoßen hat (Mitteilung vom 02.09.2024).

In dem der Entscheidung zugrundeliegenden Fall hatte ein Mitarbeiter des Unternehmens, dessen Arbeitsvertrag gekündigt worden war, Zugang zu seiner Gehaltsabrechnung für Juli 2022 verlangt. Er erhielt daraufhin eine E-Mail mit einer angehängten PDF-Datei, die neben seiner eigenen Gehaltsabrechnung auch die von 446 anderen Mitarbeitern enthielt.

Die Aufsichtsbehörde stellte fest, dass das Unternehmen den Grundsatz der Vertraulichkeit und Integrität personenbezogener Daten der Mitarbeiter nicht gewahrt hat. Dieser habe auch den Zweck, Datenlecks zu verhindern. Gleichzeitig liege ein Verstoß gegen Art. 32 DSGVO vor, da das Unternehmen keine geeigneten technischen und organisatorischen Maßnahmen getroffen habe. Das Unternehmen verteidigte sich damit, dass es sehr wohl verschiedene Maßnahmen zur Absicherung der Informationssysteme ergriffen habe. Die Aufsichtsbehörde war allerdings der Auffassung, dass diese nicht geeignet waren, um den in Rede stehenden Vorfall zu verhindern, weshalb diese nicht zu berücksichtigen seien. Das Unternehmen müsse für das fahrlässige Handeln des Mitarbeiters, der die Datei versendet hat, haften. In der Folge verhängte die AEPD zunächst ein Bußgeld in Höhe von 450.000 Euro, das jedoch auf 270.000 Euro reduziert wurde, weil das Unternehmen den Verstoß anerkannt und die Geldbuße freiwillig gezahlt hat.

(Christina Prowald)