Probleme bei der Darstellung des Newsletters? Dann klicken Sie hier für die Webansicht

Newsletter zum Datenschutz

Sehr geehrte Damen und Herren,

Ein weiterer Sieg für Max Schrems im Streit mit Facebook. Der über die Kreise von Datenschützern hinaus bekannte Österreicher zog erneut vor den Europäischen Gerichtshof und klagte gegen Meta Platforms Ireland. Zuvor erlangte Schrems bereits internationale Aufmerksamkeit durch die sogenannten Schrems-I- und Schrems-II-Urteile des Europäischen Gerichtshofs, bei denen er ebenfalls als Kläger auftrat und die dazu führten, dass zwei Angemessenheitsbeschlüsse zwischen der Europäischen Union und den Vereinigten Staaten gekippt wurden. Als Gründer der NGO NOYB („None of Your Business“) setzt sich Schrems gezielt für die Einhaltung der DSGVO ein und klagt regelmäßig gegen Verstöße großer Unternehmen. Der Europäische Gerichtshof hat in dem Urteil die Verwendung von personenbezogenen Daten für personalisierte Werbung eingeschränkt (EuGH, Urt. v. 4.10.2024 - C-446/21). Die Entscheidung ist sowohl für die Betreiber sozialer Netzwerke als auch für Werbetreibende von Bedeutung. Welche Fragen der Europäische Gerichtshof in diesem Fall zu beantworten hatte, erfahren Sie in dieser Ausgabe unseres Newsletters.

Bei Rückmeldungen zu diesem Newsletter oder Fragen im Zusammenhang mit den Themen des Newsletters bitten wir Sie, uns eine E-Mail an datenschutz@brandi.net zu senden. Die weiteren Kontaktdaten finden Sie auch auf unserer Homepage.

Dr. Sebastian Meyer und das Datenschutzteam von BRANDI

 

Thema des Monats: Datenschutz beim betrieblichen Eingliederungsmanagement

Fallen Mitarbeiter für einen Zeitraum von mehr als sechs Wochen innerhalb eines Jahres krankheitsbedingt aus, sind Arbeitgeber nach § 167 Abs. 2 S. 1 SGB IX verpflichtet, gemeinsam mit der zuständigen Interessenvertretung sowie ggf. der Schwerbehindertenvertretung und unter Beteiligung der betroffenen Person zu klären, welche Möglichkeiten bestehen, die Arbeitsunfähigkeit zu überwinden, neuer Arbeitsunfähigkeit vorzubeugen und den Arbeitsplatz zu erhalten. Hierzu hat der Arbeitgeber dem Arbeitnehmer ein Angebot über die Durchführung eines betrieblichen Eingliederungsmanagement-Verfahrens (BEM) zu unterbreiten. Die Einleitung des Verfahrens sowie die Durchführung aller weiteren Einzelmaßnahmen setzt sodann die Einwilligung des betroffenen Mitarbeiters voraus. Wird die Zustimmung verweigert oder widerrufen, entfällt der Klärungsprozess in Form des BEM.

Da im Rahmen des BEM-Verfahrens auch eine Vielzahl von personenbezogenen Daten, darunter auch Gesundheitsdaten, verarbeitet werden, sind neben den arbeitsrechtlichen Regelungen auch die datenschutzrechtlichen Vorgaben der Datenschutz-Grundverordnung (DSGVO) und des Bundesdatenschutzgesetzes (BDSG) zu beachten. Hierbei ist zu berücksichtigen, dass im Zuge des BEM-Verfahrens auch Gesundheitsdaten verarbeitet werden, hinsichtlich deren Verarbeitung besondere Vorgaben gelten.

Zum vollständigen Schwerpunktthema

 

EDSA wählt Thema für die Koordinierte Aktion 2025 aus

Im Rahmen seiner Plenarsitzung im Oktober wählte der EDSA als Thema für die vierte Koordinierte Aktion in 2025 die Umsetzung des Rechts auf Löschung („Recht auf Vergessenwerden“) aus (Mitteilung vom 10.10.2024). Bei einer solchen koordinierten Durchsetzungsaktion sollen die nationalen Datenschutzbehörden priorisiert an dem vom EDSA festgelegten Thema arbeiten. Ziel der Aktion ist es, unter anderem durch Evaluation der Umsetzung die wichtigsten Punkte bei der Einhaltung des Rechts zu identifizieren sowie einen Überblick über bewährte Praktiken zu erhalten. Bei dem Recht auf Löschung handelt es sich um eines der meistausgeübten Betroffenenrechte, wozu die Datenschutzbehörden auch fortlaufend Beschwerden erhalten.

(Gesche Kracht)

 

EuGH: Verwendung von öffentlichen personenbezogenen Daten für zielgerichtete Werbung

In dem Streit zwischen Max Schrems und Facebook entschied der EuGH über die Berechtigung von sozialen Online-Netzwerken Daten, die für Werbezwecke gesammelt wurden, aufzubewahren und zu benutzen (EuGH, Urt. v. 4.10.2024 - C-446/21).

Inhaltlich ging es um die Frage, wie lange soziale Online-Dienste wie Facebook solche Daten, die sie gezielt zur Werbung erhalten haben, speichern dürfen und zusätzlich darum, ob solche Dienste berücksichtigen müssen, um welche Art von Daten es sich handelt.  Die Datenschutz-Grundverordnung differenziert selbst schon zwischen verschiedenen Arten von Daten, wenn dort beispielsweise in Art. 9 DSGVO gesteigerte Anforderungen an die Verarbeitung von besonders sensiblen Daten gestellt werden.

Genau auf ein solches besonderes Datum bezog sich auch der Rechtsstreit. Herr Schrems machte bei einer Podiumsdiskussion seine sexuelle Orientierung öffentlich. Diese Information wurde bei Facebook gespeichert und er erhielt infolgedessen darauf zugeschnittene, also personalisierte Werbung. Dagegen wendete Herr Schrems sich in seinem Heimatland an die zuständigen Gerichte, welche dem EuGH Auslegungsfragen rund um die Verarbeitung dieser besonderen Kategorien von Daten.

Der EuGH antwortete darauf, dass der in Art. 5 Abs. 1 lit.) c DSGVO angelegte Grundsatz der Datenminimierung einer unbegrenzten und hinsichtlich der Art von Daten unterschiedslosen Verarbeitung entgegensteht. Zudem machte der EuGH klar, dass die Veröffentlichung eines bestimmten Datums, wie hier das der sexuellen Orientierung, soziale Online-Dienste wie Facebook nicht dazu berechtigt thematisch damit verbundene Daten, die nicht auf dem gleichen Wege veröffentlicht wurden damit zu verknüpfen und diese Verknüpfungen dann zu Werbezwecken zu benutzen.

 (Lukas Ingold)

 

EuGH zur Pflicht der Datenschutzbehörde zum Tätigwerden

Der EuGH hat am 26.09.2024 entschieden, dass eine Aufsichtsbehörde nicht in jedem Fall verpflichtet ist, bei Datenschutzverstößen Abhilfemaßnahmen zu ergreifen und insbesondere eine Geldbuße zu verhängen (EuGH, 26.09.2024 - C-768/21).

In dem zugrundeliegenden Fall ging es darum, dass eine Mitarbeiterin eines Unternehmens mehrmals unbefugt auf personenbezogene Daten eines Kunden zugegriffen hatte. Das Unternehmen hatte dies zwar der zuständigen Aufsichtsbehörde mitgeteilt, nicht aber dem betroffenen Kunden. Das Unternehmen hat gegen die Mitarbeiterin Disziplinarmaßnahmen ergriffen und die Mitarbeitern hat schriftlich bestätigt, dass sie die Daten weder kopiert oder gespeichert noch an Dritte übermittelt habe und dies auch zukünftig nicht machen werde.

Nachdem ein Kunde sich aufgrund des Zugriffs bei der zuständigen Aufsichtsbehörde beschwert hat und diese erklärt hat, es nicht erforderlich zu halten, Abhilfemaßnahmen zu ergreifen, erhob der Kunde Klage beim VG Wiesbaden und beantragte, die Behörde auf Einschreiten zu verpflichten insbesondere dazu, gegen die verantwortliche Stelle ein Bußgeld zu erheben.

Das deutsche Gericht hat den EuGH ersucht, die DSGVO im Hinblick auf diese Fragestellung auszulegen. Nach dem EuGH kann die zuständige Datenschutzbehörde von Abhilfemaßnahmen absehen, wenn dies nicht erforderlich ist, um den festgestellten Unzulänglichkeiten abzuhelfen und die umfassende Einhaltung der DSGVO zu gewährleisten. Von einem Tätigwerden kann somit abgesehen werden, wenn die verantwortliche Stelle bereits von sich aus die erforderlichen Maßnahmen ergriffen hat.

(Hendrik Verst)

 

EuGH zum Recht auf Schadensersatz

Neben dem oben angesprochenen Urteil des EuGH vom 4. Oktober 2024 hat der EuGH am selben Tag auch noch ein Urteil zum Thema ersatzfähiger Schaden gefällt (EuGH Urt. v. 4.10.2024 - C-200/23). Inhaltlich ging es um die Frage, ab wann ein solcher ersatzfähiger Schaden, der dann entsprechend den Regelungen des Art. 82 DSGVO einen Anspruch auf Schadensersatz begründen kann, vorliegt.

Konkret ging es um die Frage, ob ein solcher Schaden bereits dann angenommen werden kann, wenn personenbezogene Daten durch ein Datenleck bei der verantwortlichen Person, die die Daten verarbeitet, in die Hände Dritter geraten bzw. geraten können oder ob es weiterer Umstände wie der illegalen Weitergabe oder eines Missbrauchs bedarf. Der EuGH verdeutlichte, die in seinen bisherigen Urteilen zu diesem Themenbereich angedeutete Tendenz noch einmal und formulierte explizit, dass bereits der Kontrollverlust der Daten als immaterieller und damit ersatzfähiger Schaden anzusehen ist. Eine zusätzliche Begründung etwaiger Ängste und Sorgen um einen Missbrauch bedarf es nicht, wenngleich dies stets vorgebracht werden kann. Begründet hat der EuGH diese Entscheidung mit dem genetischen Argument, dass der europäische Gesetzgeber im Erwägungsgrund 85 den Verlust der Kontrolle explizit als Fall eines Schadens vorgesehen hat.

 (Lukas Ingold)

 

EuGH/Schlussanträge zur Rechtsmissbräuchlichkeit von datenschutzrechtlichen Anfragen

Dem EuGH liegen derzeit zwei Vorabersuchen hinsichtlich der Frage vor, wann eine DSGVO-Anfrage als rechtsmissbräuchlich einzusortieren ist. Grundsätzlich steht jeder Person nach Art. 15 Abs. 1 DSGVO ein Auskunftsrecht zu. Diese niedrigschwellige Hürde birgt die Gefahr, dass das Schutzmittel der Auskunft zu anderen Zwecken verwendet werden kann. Dabei sind zwei Fälle Gegenstand des Verfahrens. Bei einem Fall aus Deutschland geht es um die potentiell manipulative Nutzung des Rechts auf Auskunftsersuchen in einem „exzessiven“ Ausmaß (AG Arnsberg, Beschl. vom 31.07.2024 – 42 C 434/23). Dies könnte dann anzunehmen sein, wenn die Auskunftsanfragen allein auf die Belastung eines Unternehmens abzielen. Ob dies bereits beim ersten Stellen eines Antrages vorliegt und ob Anfragen offensichtlich nur dem Präjudizinteresse, also zur Vorbereitung einer Schadensersatzklage dienen, soll der EuGH beurteilen. Bei einem anderen Fall aus Österreich geht es um das quantitative Ausmaß von Auskunftsanfragen, die aufgrund ihrer Quantität rechtsmissbräuchlich sein könnten (Rechtssache C-416/23). Ob dies der Fall ist, hat der EuGH nun zu entscheiden.

(Lukas Ingold)

 

BAG zum Anspruch auf immateriellen Schadensersatz

Das Bundesarbeitsgericht („BAG“) hat über die Voraussetzungen eines Schadensersatzanspruches nach der DSGVO geurteilt (BAG, Urt. v. 20.06.2024 – 8 AZR 124/23).

Die Klägerin machte 2020 einen Auskunftsanspruch nach Art. 15 DSGVO gegenüber ihrem Arbeitgeber geltend. Diesem Begehren kam der Arbeitgeber zunächst nicht nach, so dass die Klägerin schließlich Auskunft und Schadensersatz in Höhe von 5.000.- € geltend machte. Den Schadensersatzanspruch begründete die Klägerin mit der Sorge, ihre Arbeitgeberin könnte ihre Daten missbräuchlich verwendet haben.

Das BAG hat schließlich entschieden, dass eine bloße Äußerung der Sorge vor einem Datenmissbrauch für einen Schadensersatzanspruch nach Art. 82 Abs. 1 DSGVO nicht ausreiche. Das Gericht urteilte dabei in Einklang mit der Rechtsprechung des EuGH, wonach ein solcher grundsätzlich erstattungsfähiger Gefühlsschaden im Einzelfall dargelegt werden muss. Zur Begründung führte das Gericht aus, dass die von der Klägerin geltend gemachten Befürchtungen bei einer nicht oder nur unvollständig erteilten Auskunft in der Natur der Sache lägen. Wäre eine Berufung auf solche Sorgen bereits für einen Schadensersatzanspruch ausreichend, würde jeder Verstoß gegen Art. 15 DSGVO praktisch in jedem Fall zu einem immateriellen Schaden führen. Die eigenständige Voraussetzung des Schadens würde damit stets erfüllt und damit bedeutungslos. Dies sei mit dem Normverständnis des Art. 82 Abs. 1 DSGVO nicht zu vereinbaren.

(Hendrik Verst)

 

OLG Hamm zur Abtretbarkeit eines datenschutzrechtlichen Schadensersatzanspruchs

In seinem Urteil vom 24.07.2024 hat sich das OLG Hamm mit der Abtretung von datenschutzrechtlichen Schadensersatzansprüchen auseinandergesetzt (OLG Hamm, Urt. v. 24.07.2024 - 11 U 69/23).

Die Beklagte war Betreiberin eines Impfzentrums. Hier kam es zum einer Datenschutzvorfall beim Versand einer Informations-E-Mail, infolgedessen über eine fälschlicherweise angehängte Excel-Datei personenbezogene Daten von rund 13.000 Personen, die einen Termin in dem Impfzentrum gebucht hatten, offengelegt wurden. Der Vorfall wurde der zuständigen Aufsichtsbehörde gemeldet und die Betroffenen informiert. Die Klägerin ließ sich nun nach eigenen Angaben die datenschutzrechtlichen Schadensersatzansprüche von insgesamt 532 Betroffenen abtreten und machte diese gesammelt mit einem Betrag in Höhe von 800 Euro je Betroffenen geltend.

Das OLG sprach der Klägerin lediglich für zwei abgetretene Ansprüche Schadensersatz in Höhe von insgesamt 600 Euro zu. Die wirksame Abtretung von datenschutzrechtlichen Schadensersatzansprüchen nach Art. 82 DSGVO sei grundsätzlich möglich. Es handele sich um einen eigenständigen deliktischen Anspruch, der dem allgemeinen nationalen Haftungsregime des BGB unterliege und somit auch nach nationalem Recht übertragbar sei. Auch handele es sich nicht um einen höchstpersönlichen Anspruch, da eine Persönlichkeitsverletzung gerade keine Voraussetzung des Art. 82 DSGVO sei. Vor dem Hintergrund der Ziele der DSGVO stünde eine tatsächliche Durchsetzbarkeit des Anspruchs im Vordergrund, sodass die Übertragung möglich sein müsse. Allerdings sah das Gericht nur in zwei Fällen den Abschluss der Abtretungsverträge als bewiesen an. Hinsichtlich weiterer Betroffener wäre auch ein Schaden nicht hinreichend dargelegt worden.

(Gesche Kracht)

 

LG Lübeck: 350 Euro Schadensersatz für Deezer-Datenleck

Das LG Lübeck sprach in seinem Urteil vom 04.10.2024 betreffend eines Datenlecks beim Musik-Streaming-Anbieter Deezer (wir berichteten zu einem ähnlichen Fall im Oktober 2024) dem Kläger Schadensersatz in Höhe von 350 Euro zu (LG Lübeck, Urt. v. 04.10.2024 - 15 O 216/23).

Infolge eines unbefugten Datenzugriffs Dritter bei einem Auftragsverarbeiter des Anbieters wurden Daten von Nutzern des Streaming-Anbieters im Darknet veröffentlicht. Der Kläger machte daraufhin einen Schadensersatzanspruch nach Art. 82 DSGVO geltend mit der Begründung, durch die Veröffentlichung der Daten verschiedenen Risiken wie dem Identitätsdiebstahl oder Phishing ausgesetzt zu sein sowie einen emotionalen Nachteil erlitten zu haben und unter Sorgen über einen möglichen Datenmissbrauch zu leiden. Das LG stellt einen rechtswidrigen Datenverarbeitungsvorgang durch die nicht gem. Art. 28 DSGVO hinreichend abgesicherte Übertragung an den Auftragsverarbeiter fest, welcher der Beklagten zuzurechnen sei. Seitens des Klägers liege ein immaterieller Schaden in Form der geltend gemachten Ängste und Sorgen vor, wobei das Gericht sich auf die entsprechende Rechtsprechung des EuGH zum immateriellen Schadensersatz stützt. Hinsichtlich der konkreten Schadenshöhe wäre neben den Verstößen der Beklagten gegen die DSGVO auch heranzuziehen, dass das dem Kläger zugehörige Datenpaket nur einen Spitznamen enthielt und nur die E-Mail-Adresse und das Geschlecht einen Schluss auf den Kläger zulassen.

(Gesche Kracht)

 

LG Paderborn zur Übermittlung von Positivdaten an die SCHUFA

In seiner Entscheidung vom 02.09.2024 hat das LG Paderborn entschieden, dass eine automatische Übermittlung von Positivdaten an die Wirtschaftsauskunftei SCHUFA auf Grundlage berechtigter Interessen möglich sei (LG Paderborn, Urt. v. 02.09.2024 - Az.: 3 O 96/24). Das Gericht entschied dabei abweichend zur Rechtsprechung des Landgerichts München, welches in einem anderen Fall die Übermittlung von Positivdaten an die SCHUFA mangels überwiegender berechtigter Interessen untersagte (LG München I, Urt. vom 25.4.2023 – 33 O 5976/22).

In der zugrundeliegenden Sache verlangte der Kläger eine Entschädigung nach Art. 82 DSGVO von einem Telekommunikationsunternehmen, mit welchem er einen Mobilfunkvertrag abgeschlossen hatte. Das Telekommunikationsunternehmen hatte ohne seine Zustimmung Positivdaten an die SCHUFA weitergeleitet. Hierin sah der Kläger eine Datenschutzverletzung. Das LG Paderborn wies die Klage jedoch ab.

Nach Ansicht des Gerichts dient die Übermittlung der Positivdaten der Wahrung berechtigter Interessen nach Art. 6 Abs. 1 lit. f) DSGVO. Die berechtigten Interessen liegen vor allem in der Beurteilung der Zahlungsbereitschaft und in diesem Zusammenhang der Betrugsprävention. Auch aus Sicht der Betroffenen dient die Übermittlung der Daten letztlich der höheren Genauigkeit seines Scorings, einer abgewogeneren Beurteilung von Negativdaten und dem Schutz vor Überschuldung. Im Sinne einer Erforderlichkeitsprüfung hat das Gericht beurteilt, dass dem Telekommunikationsunternehmen in seinem hochautomatisierten Massengeschäft auch keine milderen Mittel zur Verfügung gestanden hätten.

(Hendrik Verst)

 

LG Traunstein: Kein Anspruch auf Datenhosting in Europa

In seinem Urteil vom 08.07.2024 hat das LG Traunstein einen Anspruch auf Datenverarbeitung und Datenspeicherung allein in Europa gegenüber dem Betreiber eines sozialen Netzwerks verneint (LG Traunstein, Urt. v. 08.07.2024 - 9 O 173/24).

Der Kläger ist Nutzer des von der Beklagten betriebenen sozialen Netzwerks und machte im Verfahren mehrere Ansprüche auf Schadensersatz, Unterlassung, Löschung und Auskunft wegen Verstößen gegen die DSGVO insbesondere im Zusammenhang mit der Überwachung, Verarbeitung von Offline-Daten und der Datenübermittlung in die USA geltend. Unter anderem verlangte der Kläger zukünftig die Übermittlung von personenbezogenen Daten in die USA zu unterlassen. Das LG konnte keine rechtswidrige Datenübermittlung in die USA erkennen. Das soziale Netzwerk sei als globale Plattform konzipiert und ein internationaler Datenaustausch deswegen zwangsläufig erforderlich. Auch stamme das hinter der Plattform stehende Unternehmen aus den USA, eine Datenübermittlung sei dementsprechend naheliegend und von den – freiwilligen - Nutzern als unternehmerische Entscheidung hinzunehmen. Die Übermittlung sei zur Vertragserfüllung erforderlich, Art. 6 Abs. 1 lit. b) DSGVO und auch die Voraussetzungen an die Datenübermittlung in Drittstaaten vorliegend. Der Kläger habe keinen Anspruch auf die Speicherung und Verarbeitung von Daten nur in Europa.

(Gesche Kracht)

 

DSK zu den Anforderungen an die Übertragung von Kundendaten bei einem Asset Deal

Die Datenschutzkonferenz (DSK) hat sich in ihrem Beschluss aus dem September zur Übermittlung personenbezogener Daten an die Erwerberin oder den Erwerber im Rahmen eines Asset-Deals geäußert (Beschluss vom 11.09.2024).

Im Rahmen des sog. Due Diligence Verfahrens sei die Übermittlung personenbezogener Daten grundsätzlich unzulässig, nur im Einzelfall könne bei fortgeschrittenen Verhandlungen ein berechtigtes Interesse bestehen. Betreffend Kundendaten müsse zwischen der Vertragsanbahnung, einer laufenden und einer beendeten vertraglichen Beziehung zwischen Veräußerer und Kunden unterschieden werden. Wenn Vertragsverhandlungen mit Kunden geführt werden, sei die Übermittlung entweder zulässig, wenn der Kunde die Verhandlung mit dem Erwerber von sich aus fortführt oder keine berechtigen Interessen des Kunden der Übermittlung entgegenstehen. Bei einer laufenden vertraglichen Beziehung komme es auf die zivilrechtliche Behandlung dieser Verträge an, bei einer Vertragsübernahme könne die Übermittlung auf die Vertragserfüllung nach Art. 6 Abs. 1 lit. b) DSGVO gestützt werden, bei einer Erfüllungsübernahme hingegen sei ein der Übermittlung entgegenstehendes Interesse des Kunden zu prüfen, was regelmäßig hinsichtlich der ausstehenden Erfüllung nicht der Fall sein dürfte. Die Übermittlung von Kundendaten aus beendeten Verträgen zur Erfüllung von Aufbewahrungsfristen sei über eine Vereinbarung zur Auftragsverarbeitung gem. Art. 28 Abs. 3 DSGVO abzusichern. Daten von Lieferanten dürften regelmäßig nach Art. 6 Abs. 1 lit. f) DSGVO übermittelt werden, sofern es kein entgegenstehendes Interesse gebe. Zuletzt könne eine Übermittlung von Beschäftigtendaten, wenn es sich um einen Betriebs- oder Betriebsteilübergang handele jedenfalls auf Art. 6 Abs. 1 lit. b) DSGVO - die Vertragserfüllung - gestützt werden. In ihrem Beschluss behandelt die DSK auch noch weitere spezielle Fallgruppen wie Werbung oder besondere Kategorien von Daten. Allgemein sei zu beachten, dass die datenschutzrechtliche Verantwortlichkeit der Übermittlung an den Erwerber den Veräußerer trifft, welcher ein angemessenes Schutzniveau zu gewährleisten habe.

(Gesche Kracht)

 

Irland: Bußgeld i.H.v. 91 Mio. Euro gegen Meta verhängt

Aufgrund der teilweise unverschlüsselten Speicherung von Nutzer-Passwörtern hat die irische Datenschutzbehörde (DPC) ein Bußgeld in Höhe von 91 Millionen Euro gegen die Meta Platforms Ireland Limited verhängt (Mitteilung vom 27.09.2024).

Im Jahr 2019 hatte Meta der Datenschutzbehörde gemeldet, dass versehentlich Passwörter von einigen Nutzern unverschlüsselt in den internen Systemen gespeichert wurden. Die nachfolgende Untersuchung der CPC betraf die Einhaltung von DSGVO-Vorschriften durch Meta und ob das Unternehmen angemessene Sicherheitsmaßnahmen für die mit der Verarbeitung von Passwörtern verbundenen Risiken implementiert hatte sowie den pflichtgemäßen Umgang mit dem Datenschutzverstoß. Die Aufsichtsbehörde stellt nun abschließend fest, dass Meta in mehreren Aspekten gegen die DSGVO verstoßen habe: gegen die Melde- und Dokumentationsverpflichtungen im Zusammenhang mit Datenschutzverstößen (Art. 33 Abs. 1 und 5 DSGVO) sowie gegen Art. 5 Abs. 1 lit. f) DSGVO und Art. 32 Abs. 1 DSGVO wegen unzureichender technischer und organisatorischer Maßnahmen um ein dem Risiko angemessenes Sicherheitsniveau zu gewährleisten.

(Gesche Kracht)

 

Frankreich: Bußgeld i.H.v. 800.000 Euro gegen CEGEDIM SANTÉ

Wegen eines Verstoßes gegen das nationales Datenschutzrecht und Art. 5 Abs. 1 lit. a) DSGVO verhängt die französische Datenschutzaufsichtsbehörde (SA) ein Bußgeld in Höhe von 800.000 Euro gegen CEGEDIM SANTÉ (Mitteilung vom 17.09.2024).

Infolge von Untersuchungen stellte sich heraus, dass CEGEDIM SANTÉ unbefugt nicht-anonymisierte Gesundheitsdaten verarbeitet hatte, die an Kunden zur Erstellung von Statistiken und Durchführung von Studien im Gesundheitsbereich übermittelt wurden. Das Unternehmen bietet ein Softwareprodukt an, wobei den dieses Produkt nutzenden Ärzten auch die Möglichkeit geboten wird einem „Observatorium“ beizutreten. Die dabei erhobenen Gesundheitsdaten wurden dann von den Kunden der CEGEDIM SANTÉ zu Forschungszwecken genutzt. Den dem „Observatorium“ angehörenden Ärzten war es auch möglich über einen vom Unternehmen verwendeten Dienstes Krankenkassenerstattungen eines Patienten abzufragen, was allerdings zu einem automatischen Download der Daten führte. Die Aufsichtsbehörde fand heraus, dass die vom Unternehmen verarbeiteten Daten lediglich pseudonymisiert wurden – der Personenbezug also weiterhin bestand – und das Unternehmen die nach französischem Recht erforderliche Genehmigung für die Verwendung der Gesundheitsdaten nicht eingeholt hatte. Außerdem liege ein Verstoß gegen die Pflicht der Rechtmäßigkeit der Datenverarbeitung nach Art. 5 Abs. 1 lit. a) DSGVO vor, da keine Möglichkeit der einfachen Datenabfrage ohne automatisierte Erfassung vorgesehen war.

(Gesche Kracht)

 

Norwegen: Bußgeld für frei zugängliche Teams-Ordner

Gegen die Universität Agder wurde von der norwegischen Aufsichtsbehörde ein Bußgeld in Höhe von 150.000 NOK verhängt, da sie keine angemessenen Maßnahmen zum Schutz personenbezogener Daten bei der Nutzung von Microsoft Teams ergriffen hatte. (Mitteilung vom 11.09.2024).

Anfang des Jahres hatte ein Mitarbeiter der Universität entdeckt, dass Dokumente mit personenbezogenen Daten in einem für Mitarbeiter frei zugänglichen Teams-Ordner gespeichert waren. Diese Situation dauerte allerdings schon seit Beginn der Nutzung von Microsoft Teams durch die Universität im Jahr 2018 an. Die Datenschutzverletzung betrifft etwa 16.000 Mitarbeiter, Studierende und externe Betroffene. Zu den im Ordner gespeicherten Informationen gehörten Namen, nationale Identitätsnummern, Informationen über Prüfungen und Sonderregelungen sowie eine Übersicht von Flüchtlingen aus der Ukraine, mit deren Kontaktinformationen, Ausbildungs- und Aufenthaltsstatus.

(Gesche Kracht)

 

Spanien: Bußgeld wegen nicht leicht zugänglicher Datenschutzerklärung

Die spanische Aufsichtsbehörde (AEPD) hat am 12. August 2024 ein Bußgeld in Höhe von 10.000 Euro gegen die LOCAL VERTICALS, S.L. erlassen, aufgrund eines Verstoßes gegen die Informationspflichten nach Art. 13 DSGVO (Bescheid der AEPD).

Infolge einer Beschwerde bei der Aufsichtsbehörde, hatte diese die Webseite des Unternehmens überprüft und festgestellt, dass die Datenschutzerklärung nur unzureichend eingebunden war. Diese war nicht direkt über die Hauptseite, sondern nur über ein Untermenü erreichbar. Weiterhin mussten im Rahmen eines Registrierungsformulars auf der Webseite die Datenbestimmungen bestätigt werden, die auch verlinkt war. Allerdings führte der Link zu einer Datenschutzerklärung auf einer anderen Webseite, die nicht zum eigentlichen Betreiber der Webseite gehörte. In dem Formular waren weder weitere Informationen über den tatsächlichen Verantwortlichen der Verarbeitung personenbezogener Daten noch ein anderer Link zu der eigentlichen Datenschutzerklärung enthalten.

Gem. Art. 12 DSGVO hat der Verantwortliche die Pflichtinformationen nach Art. 13 DSGVO in präziser, transparenter, verständlicher und leicht zugänglicher Form zu übermitteln. Dies sah die AEPD als nicht erfüllt an.

(Gesche Kracht)