Sehr geehrte Damen und Herren,

nachdem es infolge eines Urteils des LG München I zum datenschutzkonformen Einsatz von Google Fonts aus Januar 2022 zu einer regelrechten „Abmahnwelle“ kam, im Rahmen derer gezielt nach Verstößen bei der Einbindung von Google Fonts gesucht und Schadensersatzansprüche gegen Unternehmen geltend gemacht wurden, kam es in diesem Kontext in Berlin nunmehr zu Hausdurchsuchungen und Kontobeschlagnahmungen (Pressemitteilung v. 21.12.2022). Laut Polizeimeldung besteht gegen den beschuldigten Rechtsanwalt und seinen Mandanten der Verdacht des (versuchten) Abmahnbetruges und der (versuchten) Erpressung in mindestens 2.418 Fällen. Den beiden Beschuldigten wird dabei vorgeworfen, bundesweit vornehmlich Privatpersonen und Kleingewerbetreibende, die auf ihren Webseiten Google Fonts eingebunden hatten, abgemahnt und angeboten zu haben, dass ein Zivilverfahren gegen Zahlung einer Vergleichssumme in Höhe von 170 Euro vermieden werden könne. Dabei sei ihnen bekannt gewesen, dass die behaupteten Schmerzensgeldforderungen gar nicht bestanden und es auch keinen Anlass für einen Vergleich gegeben habe. Weiter hätten die Beschuldigten eine eigens dafür programmierte Software eingesetzt, um Webseiten zu identifizieren, auf denen Google Fonts eingebunden waren. Die ebenfalls mittels einer Software fingierten und protokollierten Besuche dieser Webseiten seien sodann als Basis für die Abmahnungen genutzt worden. Bei der Staatsanwaltschaft waren in dieser Sache zuvor 420 Anzeigen eingegangen. Darüber hinaus hat eine Auswertung der sichergestellten Kontounterlagen ergeben, dass etwa weitere 2.000 Personen aus Sorge vor weiteren Konsequenzen an die Beschuldigten gezahlt haben. Wir hatten uns zuletzt in der Dezember-Ausgabe der Zeitschrift „Recht der Datenverarbeitung“ (RDV 2022, 300) ausführlicher in einem Aufsatz mit dem Thema befasst und schon auf die strafrechtliche Dimension der Abmahnwelle hingewiesen.

Traditionell fassen wir in der Januar-Ausgabe unseres Newsletters die datenschutzrechtlichen Entwicklungen, Geschehnisse und Herausforderungen des vergangenen Jahres zusammen. In dem Schwerpunktthema der ersten Ausgabe in diesem Jahr blicken wir deshalb noch einmal zurück auf das datenschutzrechtliche Jahr 2022 und wagen einen Ausblick auf das neue Jahr 2023. Auch im Jahr 2023 wird Sie das Datenschutzteam von BRANDI in gewohnter Weise über die aktuellen datenschutzrechtlichen Entwicklungen und Geschehnisse auf dem Laufenden halten. In der aktuellen Ausgabe berichten wir etwa über die neue Verhaltensregel „Trusted Data Processors“, die aktuellen Bußgelder gegen Microsoft und Clubhouse sowie die Entscheidung des EUGH zum Recht auf Löschung von Falschinformationen.

Bei Rückmeldungen zu diesem Newsletter oder Fragen im Zusammenhang mit den Themen des Newsletters bitten wir Sie, uns eine E-Mail an datenschutz@brandi.net zu senden. Die weiteren Kontaktdaten finden Sie auch auf unserer Homepage.

Dr. Sebastian Meyer und das Datenschutzteam von BRANDI

Thema des Monats: Jahresrückblick 2022 und Ausblick 2023

Das Datenschutzrecht war auch im Jahr 2022 geprägt von verschiedenen Entscheidungen der Behörden und Gerichte zum Datenschutz, der offizielle Rechtsrahmen ist dagegen weiterhin unverändert. Viele Entscheidungen beziehen sich auf die zunehmende Verarbeitung personenbezogener Daten im Zuge des digitalen Wandels. Die Corona-Lage hat sich im vergangenen Jahr zuletzt entspannt, dennoch waren durch die Pandemie bedingte Entwicklungen, wie beispielsweise die Tätigkeit im Homeoffice und die vermehrte Nutzung von Online-Tools, etwa zur Durchführung von Videokonferenzen oder zur gemeinsamen Bearbeitung von Dokumenten und Projekten, nach wie vor von großer Relevanz für Unternehmen.

Am 15.09.2022 hat bereits zum dritten Mal unser BRANDI-Datenschutzrechtstag stattgefunden. In diesem Jahr war Herr Carl Christoph Möller, Syndikusanwalt und Referent für Datenschutz & Datensicherheit bei der Verbraucherzentrale NRW, zu Gast bei BRANDI in Bielefeld. Wir haben uns mit Herrn Möller zu dem Thema „Datenschutzvorfälle – Beteiligte, Konsequenzen und Absicherung“ ausgetauscht. Dabei haben wir spannende Einblicke in verschiedene datenschutzrechtliche Themen, aktuelle Verfahren und die tägliche Arbeit der Verbraucherzentrale erhalten. Seit Februar 2022 stellen wir unseren Datenschutz-Newsletter zudem auch in englischer Sprache zur Verfügung.

Den Jahreswechsel haben wir zum Anlass genommen, in unserem traditionellen Jahresrückblick die im vergangenen Jahr schwerpunktmäßig behandelten Themen und besonders relevanten Entwicklungen und Geschehnisse noch einmal Revue passieren zu lassen. Zudem wagen wir einen Ausblick auf das neue Jahr 2023.

Zum vollständigen Schwerpunktthema

EuG: Direktklagemöglichkeit gegen Beschlüsse des Europäischen Datenschutzausschusses

Der Gerichtshof der Europäischen Union (EuG) hat am 07.12.2022 direkte Klagen gegen Beschlüsse des Europäischen Datenschutzausschusses (EDSA) für unzulässig erklärt (EuG, Beschl. v. 07.12.2022 – Az. T-709/21; s. auch Pressemitteilung v. 07.12.2022).

Die irische Aufsichtsbehörde DPC verhängte im August 2021 ein Bußgeld in Höhe von insgesamt 225 Mio. Euro gegen WhatsApp, weil WhatsApp die Betroffenen nicht transparent genug über die Datenverarbeitung durch WhatsApp informierte (wir berichteten im August 2021). Die DPC hatte bereits 2018 das Verfahren gegen WhatsApp eingeleitet und wollte eigentlich ein moderates Bußgeld verhängen. Mehrere andere Aufsichtsbehörden hatten infolgedessen aber Bedenken gegen das Vorgehen der irischen Aufsichtsbehörde geäußert, weil die DPC eine Bewertung der gesamten Tätigkeit von WhatsApp in Europa vornehmen sollte. Nachdem keine Einigung erzielt werden konnte, gab der EDSA für alle Aufsichtsbehörden verbindlich vor, dass von einem deutlich größeren Umfang an Datenschutzverletzungen auszugehen sei und die Sanktionen deutlich strenger ausfallen müssten, was letztlich in dem verhängten Bußgeld resultierte. WhatsApp wehrte sich gegen die beiden Entscheidungen und beantragte insbesondere, die verbindliche Entscheidung des EDSA für nichtig zu erklären.

Der EuG wies die Klage von WhatsApp mit der Begründung, dass sich die Klage nicht gegen einen nach Art. 263 AEUV anfechtbaren Rechtsakt richte und WhatsApp mangels unmittelbarer Betroffenheit nicht klagebefugt sei, als unzulässig ab. Es obliege vielmehr den nationalen Gerichten, die seitens WhatsApp angegriffene Entscheidung des EDSA zu überprüfen. In den Verfahren vor den nationalen Gerichten ist dann gegebenenfalls zu klären, ob im Wege eines Vorabentscheidungsverfahrens die Frage der Rechtmäßigkeit des Rechtsaktes vom EuGH überprüft werden soll.

(Christina Prowald)

EuGH: Recht auf Löschung von Falschinformationen

Der Europäische Gerichtshof (EuGH) hat mit Urteil vom 08.12.2022 entschieden, dass Suchmaschinenbetreiber Links zu Falschinformationen auch ohne entsprechendes Urteil löschen müssen (EuGH, Urt. v. 08.12.2022 – Az. C-460/20). Wer einen Eintrag auf Google entfernen lassen möchte, müsse lediglich nachweisen, dass die jeweiligen Informationen unrichtig sind. Zur Erbringung dieses Nachweises sei nicht zwingend eine gerichtliche Entscheidung erforderlich.

Hintergrund der Entscheidung ist ein Fall, in dem sich zwei Personen aus der Finanzdienstleistungsbranche durch verschiedene Online-Artikel in Misskredit gebracht sahen, weil in den Berichten angeblich unrichtige Behauptungen zu ihrem Anlagemodell aufgestellt wurden. Die beiden Betroffenen forderten Google auf, die Links zu den Artikeln zu entfernen, was Google jedoch ablehnte. Der mit dem Rechtsstreit befasste Bundesgerichtshof (BGH) wandte sich schließlich hinsichtlich der Auslegung des Rechts auf Löschung an den EuGH.

Im Rahmen des Urteils führte der EuGH aus, dass der Schutz personenbezogener Daten kein uneingeschränktes Recht sei. Das Persönlichkeitsrechts und das Recht auf informationelle Selbstbestimmung müssen vielmehr im Kontext der gesellschaftlichen Funktionen gesehen und gegen andere Grundrechte abgewogen werden. Die DSGVO sehe ausdrücklich vor, dass es kein Recht auf Löschung gebe, wenn die verarbeiteten Daten zur Ausübung des Rechts auf freie Information erforderlich seien. Das Recht auf freie Meinungsäußerung und Information sei allerdings nicht zu berücksichtigen, wenn es um Falschinformationen gehe. Hinsichtlich des seitens des Betroffenen zu erbringenden Nachweises verweist der EuGH darauf, dass Betroffene lediglich solche Beweise zu erbringen hätten, die von ihnen vernünftigerweise auch verlangt werden können. Dies treffe auf das zwingende vorherige Einholen einer gerichtlichen Entscheidung gerade nicht zu. Könne die betroffene Person andere relevante und hinreichende Nachweise vorlegen, sei der Suchmaschinenbetreiber verpflichtet, dem Antrag auf Löschung nachzukommen. Ergebe sich die Unrichtigkeit der in Rede stehenden Informationen aus den vorgelegten Nachweisen hingegen nicht eindeutig, müsse der Suchmaschinenbetreiber dem Antrag ohne weitergehende Informationen, wie etwa eine gerichtliche Entscheidung, nicht stattgeben.

(Christina Prowald)

LG Gießen: Kein Schadensersatz wegen Daten-Scraping

Am 03.11.2022 hat das LG Gießen entschieden, dass Facebook-Nutzer keinen Schadensersatzanspruch gegen Facebook haben, wenn deren im Rahmen der Registrierung angegebenen und auf der jeweiligen Facebook-Seite öffentlich zugänglichen Daten von Dritten unter Nutzung automatisierter Verfahren gesammelt werden (sog. Scraping) (LG Gießen, Urt. v. 03.11.2022 – Az. 5 O 195/22).

Das Gericht verwies darauf, dass der Kläger den nach Art. 82 Abs. 1 DSGVO erforderlichen Schaden nicht nachgewiesen habe. Zwar sei der Schadensbegriff des Art. 82 DSGVO weit auszulegen und umfasse grundsätzlich auch immaterielle Schäden. Dies bedeute jedoch nicht, dass ein bloßer Verstoß gegen die Vorschriften der DSGVO ausreiche, sondern vielmehr auch die Darlegung eines konkreten (immateriellen) Schadens erforderlich sei. Einen solchen habe der Kläger aber gerade nicht nachgewiesen. Gegen einen Schaden spreche auch der Umstand, dass es sich bei den gesammelten Daten größtenteils um Daten handelte, die immer öffentlich zugänglich sind.

(Christina Prowald)

LG Nürnberg-Fürth: Ausnahmeregelung des § 7 Abs. 3 UWG setzt wirksame Bestellung voraus

Das LG Nürnberg-Fürth hat mit Urteil vom 21.09.2022 entschieden, dass die Ausnahmeregelung des § 7 Abs. 3 UWG, die die Zusendung von E-Mail-Werbung bei Vorliegen bestimmter Voraussetzungen erlaubt, nur einschlägig ist, wenn es infolge einer Bestellung auch zu einem tatsächlichen Verkauf der Ware gekommen ist (LG Nürnberg-Fürth, Urt. v. 21.09.2022 – Az. 4 HK O 655/21).

Der Kläger tätigte bei der Beklagten eine Bestellung, die jedoch seitens der Beklagten wieder storniert wurde. In der Folge sendete die Beklagte Werbe-E-Mails an den Kläger, ohne dass dieser eine ausdrückliche Einwilligung hierzu erteilte. Die Beklagte stützte sich insoweit auf § 7 Abs. 3 UWG und war der Auffassung, die Werbung würde im Vergleich zu der seitens des Klägers getätigten Bestellung ähnliche Waren betreffen.

Das Gericht führte aus, dass § 7 Abs. 3 UWG zunächst einen wirksamen Vertrag voraussetze, der infolge der Stornierung der Bestellung gerade nicht zustande gekommen sei. Das Merkmal der Bewerbung ähnlicher Waren sei zudem nicht erfüllt, wenn neben ähnlichen Waren oder zugehörigen Waren, wie Zubehör oder Ergänzungen, zusätzlich auch andere Produkte oder gar das gesamte Produktsortiment des Unternehmens beworben würde, was vorliegend der Fall gewesen sei. Da weder die Voraussetzungen des § 7 Abs. 3 UWG noch eine ausdrückliche Einwilligung des Klägers vorlagen, sei die Versendung der Werbe-E-Mails dementsprechend nicht rechtmäßig gewesen.

(Christina Prowald)

LAG Hamm: Kündigungsschutz gilt gem. §§ 38 Abs. 2, 6 Abs. 4 BDSG nicht für freiwillig bestellten Datenschutzbeauftragten

Das LAG Hamm hat am 06.10.2022 entschieden, dass ein interner Datenschutzbeauftragter, der von einem Unternehmen freiwillig bestellt wurde, nicht den besonderen Kündigungsschutz des § 6 Abs. 4 BDSG genießt (LAG Hamm, Urt. v. 06.10.2022 – Az. 18 Sa 271/22). Ein Unternehmen, das im Rahmen einer Unternehmensgruppe die Entgeltabrechnung und Personalverwaltung für rund 80 Mitarbeiter übernehme, sei nicht zur Benennung eines Datenschutzbeauftragten verpflichtet.

In dem relevanten Fall wandte der Kläger gegen seine Kündigung ein, dass er als betrieblicher Datenschutzbeauftragter benannt sei und deshalb dem besonderen Kündigungsschutz des §§ 38, 6 Abs. 4 BDSG unterliege. Das Unternehmen war demgegenüber der Auffassung, dass der besondere Kündigungsschutz in Fällen, in denen das BDSG keine Benennung eines Datenschutzbeauftragten verlange, nicht anwendbar sei.

Das LAG wies die Berufung des Klägers ab und bestätigte die Abweisung der Kündigungsschutzklage durch die Vorinstanz. Begründend führte es aus, dass § 6 Abs. 4 S. 2 BDSG auf nicht öffentliche Stellen nach § 38 Abs. 2 BDSG nur dann anwendbar sei, wenn die Benennung eines Datenschutzbeauftragten verpflichtend ist. Eine solche Pflicht habe für die Beklagte im konkreten Fall aber weder nach der DSGVO noch nach dem BDSG bestanden.

(Christina Prowald)

LfDI: Verhaltensregel „Trusted Data Processors“

Um mehr Übersichtlichkeit und Rechtssicherheit beim Einsatz von Auftragsverarbeitern zu schaffen, hat der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg, Dr. Stefan Brink, die neue nationale Verhaltensregel „Anforderungen an die Auftragsverarbeiter nach Artikel 28 DSGVO – Trusted Data Processors“ genehmigt (Pressemitteilung v. 18.11.2022). Mit der Anerkennung der Verhaltensregel wurde gleichzeitig auch die DSZ Datenschutz Zertifizierungsgesellschaft mbH als neue Überwachungsstelle i.S.v. Art. 41 DSGVO akkreditiert.

Verhaltensregeln i.S.v. Art. 40 DSGVO sind verbindliche Vorgaben eines Verbands oder einer anderen Vereinigung, die datenschutzrechtliche Verhaltensweisen der jeweiligen Mitglieder festlegen, dabei die Besonderheiten der einzelnen Verarbeitungsbereiche berücksichtigen und zur ordnungsgemäßen Einhaltung der DSGVO beitragen sollen. Durch die Selbstverpflichtung auf die Verhaltensregel „Trusted Data Processor“ können Auftragsverarbeiter laut des LfDI nach außen sichtbar machen, dass sie den in der Verhaltensregel festgelegten Standard folgen und sich der Überwachung durch eine vom LfDI akkreditierte Überwachungsstelle unterwerfen. An der Entwicklung der Verhaltensregel waren Experten des „Berufsverband der Datenschutzbeauftragten Deutschlands e.V.“ (BvD) und der „Gesellschaft für Datenschutz und Datensicherheit e.V.“ (GDD) beteiligt.

(Christina Prowald)

Frankreich: Millionenstrafe für Microsoft

Weil es bei der Suche mit Bing keine einfache Möglichkeit zum Ablehnen von technisch nicht notwendigen Cookies gab, verhängte die französische Datenschutz-Aufsichtsbehörde ein Bußgeld in Höhe von 60 Mio. Euro gegen Microsoft und ordnete die Anpassung der Prozesse innerhalb von drei Monaten an (Pressemitteilung v. 22.12.2022). Die Aufsichtsbehörde begründete die Höhe des Bußgeldes vor allem mit dem Umfang der erfolgten Datenverarbeitungen, der Anzahl der betroffenen Personen sowie den Gewinnen, die das Unternehmen aus den Werbeeinnahmen erzielte, die indirekt aus den mithilfe von Cookies gesammelten Daten generiert wurden.

Bereits im September 2020 und im Mai 2021 führte die CNIL Kontrollen auf Bing durch. Dabei stellte sie fest, dass Marketing-Cookies gesetzt wurden, ohne dass Nutzer der Setzung vorab zugestimmt hatten. Zudem habe es keine Schaltfläche gegeben, mittels derer die Nutzung von Cookies ebenso einfach abgelehnt, wie akzeptiert werden konnte. Für die Ablehnung seien mehrere Klicks des Nutzers erforderlich gewesen, während für das Akzeptieren der Cookies nur ein Klick getätigt werden musste.

Die CNIL verhängte die Geldbuße nicht auf Grundlage von Art. 83 DSGVO, sondern stützte sich auf Art. 82 des nationalen Gesetzes über Informatik und Freiheiten, durch das die e-Privacy-Richtlinie in Frankreich umgesetzt wurde. Vergleichbare Strafen verhängte die CNIL bereits gegen Google und Facebook (wir berichteten im Februar 2022).

(Christina Prowald)

Italien: Bußgeld gegen Clubhouse wegen mehrerer Datenschutzverstöße

Die italienische Aufsichtsbehörde (Garante per la protezione dei dati personali, GPDP) verhängte am 05.12.2022 ein Bußgeld in Höhe von 2 Mio. Euro gegen Alpha Exploration, den Betreiber der Social-Media-App Clubhouse (Pressemitteilung v. 05.12.2022).

Die Social-Media-App Clubhouse basiert auf Sprachinteraktionen, die in Chatrooms stattfinden. Nutzer können einen solchen Chatroom eröffnen oder auch als Zuhörer auf den Chatroom eines anderen Nutzers zugreifen. Zudem können Gespräche aufgezeichnet, auf der Plattform gespeichert und geteilt werden.

Die Aufsichtsbehörde stellte im Rahmen ihrer Untersuchung gleich mehrere datenschutzrechtliche Verstöße seitens Clubhouse fest. Zum einen kritisierte die Aufsichtsbehörde die mangelnde Transparenz bei der Datenverarbeitung sowie die unklaren und unbefristeten Speicherzeiträume. Zum anderen wurde die Möglichkeit, Audio-Aufnahmen ohne die Zustimmung anderer betroffener Personen zu speichern und zu teilen, sowie die Profilerstellung und Weitergabe von Kontoinformationen ohne entsprechende Rechtsgrundlage bemängelt. Zudem untersagte die GPDP dem Unternehmen jede weitere Datenverarbeitung zu Marketing- und Profilingzwecken ohne ausdrücklich Einwilligung.

Neben dem Bußgeld verhängte die italienische Aufsichtsbehörde auch verschiedene Abhilfemaßnahmen gegen Clubhouse. Insbesondere müsse das Unternehmen eine Funktion einführen, die es Nutzern ermöglicht, vor dem Betreten eines Chatrooms zu erfahren, ob der Chat aufgezeichnet wird. Zudem müssten von der Datenverarbeitung betroffene Personen über die jeweils einschlägige Rechtsgrundlage sowie die geltenden Aufbewahrungsfristen informiert werden. Auch sei eine Datenschutz-Folgenabschätzung für die im Kontext mit der Clubhouse-Plattform durchgeführten Verarbeitungsprozesse erforderlich.

(Christina Prowald)