Probleme bei der Darstellung des Newsletters? Dann klicken Sie hier für die Webansicht

Newsletter zum Datenschutz

Sehr geehrte Damen und Herren,

am 25.05.2021 hat die Datenschutz-Grundverordnung (DSGVO) ihren dritten Geburtstag gefeiert. Anlässlich dieses Jahrestags haben wir auf dem BRANDI-Datenschutzrechtstag am 07.05.2021 über die bisherigen Erfahrungen im Umgang mit der DSGVO diskutiert. Über die Veranstaltung sowie über aktuelle Geschehnisse aus dem Datenschutzrecht informieren wir in diesem Newsletter.

In unserem letzten Datenschutz-Newsletter haben wir von einem Dringlichkeitsverfahren gegen die Facebook Ireland Ltd. berichtet, das der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) anlässlich der Aktualisierung der Nutzungsbedingungen und der Datenschutzrichtlinie von WhatsApp eröffnet hat. Im Rahmen dieses Verfahrens hat der HmbBfDI am 11.05.2021 eine Dringlichkeitsanordnung erlassen, die der Facebook Ireland Ltd. verbietet, personenbezogene Daten von WhatsApp zu verarbeiten, soweit dies zu eigenen Zwecken erfolgt. Wir haben dies zum Anlass genommen, uns in dem Schwerpunktthema in diesem Monat vertieft mit der Nutzung von WhatsApp in Unternehmen vor dem Hintergrund der Aktualisierung der Nutzungsbedingungen und der Datenschutzrichtlinie auseinanderzusetzen.

In unserem BRANDI Report berichten wir regelmäßig über aktuelle rechtliche Themen und Neuigkeiten aus der Kanzlei. Da die Inhalte des nächsten BRANDI Reports maßgeblich von der BRANDI Kompetenzgruppe für IT und Datenschutz gestaltet wurden, wird dieser auch aktuelle Datenschutzthemen enthalten. Er wird im Juni 2021 erscheinen und kann dann auf unserer Homepage heruntergeladen werden.

Bei Rückmeldungen zu diesem Newsletter oder Fragen im Zusammenhang mit den Themen des Newsletters bitten wir Sie, uns eine E-Mail an datenschutz@brandi.net zu senden. Die weiteren Kontaktdaten finden Sie auch auf unserer Homepage.

Dr. Sebastian Meyer und das Datenschutzteam von BRANDI

Thema des Monats: Geänderte Nutzungsbedingungen des Dienstes WhatsApp

Vor dem Hintergrund der aktuell von Facebook durchgesetzten Änderung der Nutzungsbedingungen für WhatsApp bietet sich eine Neubewertung der Frage an, ob bzw. unter welchen Voraussetzungen der Dienst datenschutzkonform in Unternehmen genutzt werden kann.

Datenschutzrechtliche Aspekte hinsichtlich der Nutzung von WhatsApp in Unternehmen sollen deshalb unter Berücksichtigung der aktuellen Änderungen im Folgenden näher beleuchtet werden.

Zum vollständigen Schwerpunktthema

OGH: Vorlage an EuGH zum Schadenersatz nach Art. 82 DSGVO

Der Österreichische Oberste Gerichtshof (OGH) hat mit Beschluss vom 15.04.2021 (Az. 6 Ob 35/21x) dem Europäischen Gerichtshof (EuGH) Fragen zu der Auslegung von Art. 82 DSGVO zur Vorabentscheidung vorgelegt.

Nach Art. 82 Abs. 1 DSGVO haben Personen, denen wegen eines Verstoßes gegen die DSGVO ein materieller oder immaterieller Schaden entstanden ist, einen Anspruch auf Schadenersatz. Zu dieser Vorschrift hat der OGH dem EuGH im Interesse einer unionseinheitlichen Auslegung die Fragen vorgelegt, ob 1) bereits die Verletzung von Bestimmungen der DSGVO als solche für die Zuerkennung von Schadenersatz ausreicht oder ob daneben erforderlich ist, dass der Kläger einen Schaden erlitten hat, 2) ob neben den Grundsätzen der Effektivität und Äquivalenz weitere Vorgaben des Unionsrechts für die Bemessung des Schadenersatzes bestehen und 3) ob die Auffassung mit dem Unionsrecht vereinbar ist, nach der als Voraussetzung für den Zuspruch immateriellen Schadens die Rechtsverletzung eine Konsequenz oder Folge von zumindest einigem Gewicht haben müsse, die über den durch die Rechtsverletzung hervorgerufenen Ärger hinausgehe.

Die Beklagte war in dem zugrundeliegenden Verfahren zehn Jahre lang als Adresshändlerin mit dem Ziel tätig, ihren Kunden den zielgerichteten Versand von Werbung zu ermöglichen. In diesem Zusammenhang erhob sie Informationen zu den Parteiaffinitäten der österreichischen Bevölkerung, indem sie anonyme Umfragen von Meinungsforschungsinstituten mit Statistiken aus Wahlergebnissen kombinierte, um mit Hilfe eines Algorithmus „Zielgruppenadressen“ nach soziodemografischen Merkmalen zu definieren. Hierfür kaufte die Beklagte auch Adressdaten von anderen Adresshändlern und Unternehmen. Teile der Daten wurden an zwei politische Parteien und eine parteinahe Organisation verkauft. Nach der ersten Medienberichterstattung mit negativer öffentlicher Resonanz zog sich die Beklagte aus dem Geschäftszweig des Adresshandels mit Parteiaffinitäten zurück.

Auf ein Auskunftsersuchen des Klägers hin sendete die Beklagte ihm eine Übersicht über die ihn betreffenden, von ihr verarbeiteten personenbezogenen Daten. In dieser wurde dem Kläger, der keine Einwilligung zu der Datenverarbeitung erteilt hatte, eine „hohe Affinität“ zur FPÖ zugeschrieben. Der Kläger begehrte daraufhin von der Beklagten Unterlassung der Verarbeitung personenbezogener Daten, aus denen seine politische Meinung hervorgeht, insbesondere von Daten zur Parteiaffinität. Ihm stehe außerdem ein Ersatzanspruch von 1.000 Euro für den immateriellen Schaden zu. Da ihm ein Sympathisieren mit Parteien des rechten Rands fernliege, sei die ihm zugeordnete Parteiaffinität eine Beleidigung, beschämend und kreditschädigend. Das Verhalten der Beklagten habe bei ihm großes Ärgernis und einen Vertrauensverlust ausgelöst, aber auch ein Gefühl der Bloßstellung.

In einem Teilurteil hat der OGH die Rechtswidrigkeit des Verhaltens der Beklagten festgestellt und die Revision der Beklagten gegen den Zuspruch des Unterlassungsbegehrens in der Vorinstanz als unberechtigt zurückgewiesen. Über die Revision des Klägers, in der er sich gegen die vorinstanzliche Abweisung seines Zahlungsbegehrens wendet, wird der OGH nach der Klärung der Vorlagefragen durch den EuGH entscheiden. Unter Berücksichtigung der Antworten des EuGH wird der OGH dann darüber zu entscheiden haben, ob der Kläger in dem vorliegenden Fall einen nach Art. 82 DSGVO ersatzfähigen Schaden erlitten hat.

Die Klärung grundsätzlicher Fragen zum datenschutzrechtlichen Schadenersatz kann erhebliche Auswirkungen auch auf entsprechende Gerichtsverfahren in Deutschland haben. Mit einer Entscheidung des EuGH ist in diesem Jahr voraussichtlich jedoch nicht mehr zu rechnen, sodass vorerst weiterhin rechtliche Unsicherheiten hinsichtlich der Voraussetzungen des immateriellen Schadenersatzes für Datenschutzverstöße bestehen werden.

Dass bei ungeklärten Rechtsfragen zu der Reichweite des datenschutzrechtlichen Schadenersatzanspruchs eine Vorlage zum EuGH zu erfolgen hat, hat Anfang 2021 bereits das Bundesverfassungsgericht entschieden (BVerfG, Beschluss v. 14.01.2021, Az. 1 BvR 2853/19). Über die Entscheidung des BVerfG haben wir in unserem Datenschutz-Newsletter im März 2021 berichtet. In dem zugrundeliegenden Fall wurde ursprünglich von dem Amtsgericht Goslar ein Schadenersatzanspruch für eine ohne ausreichende Einwilligung versendete Werbe-E-Mail mit der Begründung abgelehnt, dass in der Versendung einer einzelnen Werbe-E-Mail kein erheblicher Eingriff vorliege (AG Goslar, Urteil v. 27.09.2019, Az. 28 C 7/19). Das BVerfG stellte fest, dass das Verfahren die bisher ungeklärte Frage aufwerfe, unter welchen Voraussetzungen Art. 82 Abs. 1 DSGVO einen immateriellen Schadenersatzanspruch gewähre. Indem das AG seine Entscheidung ohne die vorherige Vorlage an den EuGH getroffen habe, habe es den Kläger in seinem Recht auf den gesetzlichen Richter nach Art. 101 Abs. 1 S. 2 GG verletzt.

(Johanna Schmale)

DPC darf Facebooks Datentransfer untersuchen

Das Oberste Gericht Irlands, der High Court, hat entschieden, dass die irische Datenschutzkommission (DPC) eine Untersuchung zu den Übermittlungen personenbezogener Informationen durch die irische Tochtergesellschaft von Facebook an dessen Mutterkonzern in den USA durchführen kann. Das Gericht wies eine Forderung von Facebook zurück, nach der eine Untersuchung der irischen Datenschutzbehörde zum Transfer von Nutzerdaten aus der EU in die USA blockiert werden sollte.

Der zugrundeliegende Fall geht auf eine gerichtliche Auseinandersetzung aus dem Jahr 2013 zurück, in der der Datenschutzaktivist Max Schrems sich gegen die Weitergabe seiner personenbezogenen Daten durch Facebook gewendet hatte. Angesichts der Vorgaben des EuGH in dem Urteil zum internationalen Datentransfer (EuGH, Urt. v. 16.07.2020, Az. C-311/18 – Schrems II), in dem das EU-US-Privacy-Shield für ungültig erklärt sowie die Anforderungen an den Einsatz von Standardvertragsklauseln konkretisiert wurden, hatte die DPC im August 2020 mit einer Untersuchung des Datentransfers von Facebooks irischer Tochtergesellschaft an die Muttergesellschaft in den USA begonnen. Im September 2020 hatte der High Court dem Ersuchen von Facebook stattgegeben, eine vorläufige Anordnung der DPC zum Stopp der Datentransfers auf Basis der Standardvertragsklauseln gerichtlich überprüfen zu lassen. Facebook hatte damals unter anderem argumentiert, eine Untersuchung und ein darauf basierender Stopp der Transfers von Nutzerdaten aus der EU in die USA könnten massive Schäden an dem Geschäft des Unternehmens anrichten.

Nach der Entscheidung des High Court bleibt nun abzuwarten, wie die DPC ihr Verfahren fortführen wird und ob in der Folge der Datentransfer von Facebook in die USA möglicherweise gestoppt wird.

(Johanna Schmale)

LDI NRW zur Erhebung von Gesundheitsdaten durch den Arbeitgeber

Die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW) hat zu der Erhebung von Gesundheitsdaten durch den Arbeitgeber am 07.05.2021 eine Einschätzung auf ihrer Homepage veröffentlicht. Darin stellt sie unter anderem fest, dass die Erforderlichkeit der Abfrage des Corona-Impfstatus durch den Arbeitgeber nach ihrer Auffassung grundsätzlich zu verneinen sei.

Zur Begründung verweist die LDI NRW zunächst allgemein auf die besondere Schutzwürdigkeit von Gesundheitsdaten, die nur auf der Basis spezieller Rechtsgrundlagen verarbeitet werden dürfen. Die aktuelle Rechtslage sehe derzeit keine Impflicht zum Schutz vor einer COVID-19-Erkrankung vor. Mangels gesicherter Erkenntnisse, unter anderem zu der Dauer des Impfschutzes und zu der Erregerübertragung durch geimpfte Personen, sei es trotz Impfung erforderlich, weitere Schutzmaßnahmen zu treffen, indem die AHA + A + L-Regeln (Abstand halten, Hygiene beachten, Alltag mit Maske, Lüften, App nutzen) beachtet würden. Diese Schutzmaßnahmen und weitere organisatorische Maßnahmen wie die Ermöglichung von Homeoffice würden das mildere Mittel zur Bekämpfung der Infektionsgefahr darstellen. Die Aufsichtsbehörde weist zutreffend darauf hin, dass alleine die Frage nach dem Impfstatus bei einem gleichzeitigen Fehlen von Impfmöglichkeiten für Jedermann aus der Mitarbeiterperspektive die Gefahr mit sich bringen könne, wegen einer fehlenden Impfmöglichkeit benachteiligt zu werden oder sich einem sozialen Druck ausgesetzt zu sehen, sich tatsächlich impfen zu lassen.

Angesichts dieser Einschätzung ist Unternehmen zum jetzigen Zeitpunkt zu empfehlen, auf entsprechende Abfragen mit Personenbezug zu verzichten. Auch wenn Unternehmen ein nachvollziehbares Interesse haben, für eine möglichst hohe Impfquote zu sorgen und hierfür die Mitarbeiter bei Bedarf auch zu unterstützen, sind die datenschutzrechtlichen Vorgaben zu beachten. Der verfolgte Zweck wird in der Regel auch anders zu erreichen sein: Geht es alleine um eine Abfrage, in welchem Umfang in der Belegschaft schon Impfungen stattgefunden haben, wird auch eine anonymisierte Umfrage über ein entsprechendes Tool ausreichen. Geht es darum, Mitarbeiter bei der Impfung zu unterstützen und im Falle der Zugehörigkeit einer Berufsgruppe zu einer Prioritätsgruppe entsprechende Impfbescheinigungen auszugeben, genügt eine Rückmeldung auf freiwilliger Basis, wer diese Unterstützung in Anspruch nehmen möchte; in diesem Fall ist dann natürlich eine Offenlegung des Impfstatus für die sich meldenden Mitarbeiter zwangsläufig zur Aufgabenerfüllung notwendig.

(Dr. Sebastian Meyer / Johanna Schmale)

Landesdatenschutzbeauftragte Bremen: Telefax ist nicht datenschutzkonform

Die Landesbeauftragte für Datenschutz und Informationsfreiheit Bremen hat in einer Mitteilung auf ihrer Homepage darüber informiert, dass ihrer Auffassung nach die Nutzung von Telefax grundsätzlich nicht (mehr) datenschutzkonform sei.

Problematisch sei insofern „die Gegenseite“, da Absender sich nie sicher sein könnten, welche Technik auf der Empfangsseite eingesetzt werde. Fax-Dienste, wie zum Beispiel Cloud-Fax-Services, seien heutzutage in der Lage, Eingangsfaxe in E-Mails umzusetzen und weiterzuleiten. Die sendende Stelle könne nicht feststellen, ob und wie die E-Mails dabei verschlüsselt seien, oder die Verschlüsselung gar technisch erzwingen. Es sei für den Absender ebenfalls nicht feststellbar, ob es sich bei den genutzten Cloud-Diensten um DSGVO-konform betriebene europäische Clouds handele.

Aus diesen Gründen habe ein Fax hinsichtlich der Vertraulichkeit das gleiche Sicherheitsniveau wie eine unverschlüsselte E-Mail. Fax-Dienste seien daher in der Regel nicht für die Übertragung personenbezogener Daten geeignet. Zur Übertragung besonderer Kategorien personenbezogener Daten gem. Art. 9 Abs. 1 DSGVO sei die Nutzung von Fax-Diensten unzulässig. Zu beachten ist allerdings, dass die eigentliche Faxübermittlung durch das Telekommunikationsgeheimnis analog dem Austausch von Informationen per Telefon geschützt ist. Es erscheint daher fragwürdig, ob dem Versender ernsthaft das Risiko zugerechnet werden kann, dass der Empfänger möglicherweise keine ausreichenden Vorkehrungen trifft, um nach Eingang der Nachricht deren datenschutzkonforme Weiterverarbeitung sicherzustellen. Es dürfte daher abzuwarten bleiben, ob sich die Auffassung der Aufsichtsbehörde durchsetzt und einer gerichtlichen Überprüfung standhalten kann.

(Johanna Schmale / Dr. Sebastian Meyer)

Datenschutzorganisation noyb: Beschwerden gegen Cookie-Banner

Die Datenschutzorganisation noyb, die von dem österreichischen Datenschutzaktivisten Max Schrems gegründet wurde, kündigte an, mit einer Beschwerdewelle gegen rechtswidrige Cookie-Banner vorzugehen. Am 31.05.2021 verschickte die Organisation zu diesem Zweck nach eigenen Angaben 560 Beschwerdeschreiben an Unternehmen in Europa und den USA, die nach Ansicht von noyb rechtswidrige Cookie-Banner verwenden. Zu den Unternehmen gehören nach Angaben der Organisation unter anderem Google und Twitter sowie lokale Seiten mit hohen Besucherzahlen.

Die DSGVO gebe nach Ansicht von noyb vor, dass Nutzer von Internetseiten bezüglich des Setzens von Cookies vor eine klare Auswahl zwischen „Ja“ oder „Nein“ gestellt werden müssten. Viele Anbieter würden versuchen, diese Anforderung zu umgehen, indem die Gestaltung der Banner das Ablehnen von Cookies kompliziert mache. Noyb habe eine Software entwickelt, die verschiedene Arten von rechtswidrigen Cookie-Bannern erkennen und automatisch Beschwerden generieren könne. Mit dem Projekt sei die Versendung von bis zu 10.000 Beschwerden im Jahr 2021 möglich.

Bevor die Beschwerden bei den zuständigen Datenschutz-Aufsichtsbehörden eingelegt werden, habe die Organisation den betroffenen Unternehmen in den bisher versendeten Beschwerdeschreiben nach eigenen Angaben jeweils einen Monat Zeit eingeräumt, um ihre Cookie-Banner an die rechtlichen Anforderungen anzupassen. Hierfür sei den Unternehmen jeweils eine Schritt-für-Schritt-Anleitung zugesendet worden, die die Organisation auch auf ihrer Internetseite veröffentlicht hat. Noyb kündigte an, die Beschwerde bei der zuständigen Behörde einzureichen, wenn ein Unternehmen seine Einstellungen nicht innerhalb eines Monats ändere.

(Johanna Schmale)

BRANDI-Datenschutzrechtstag

Anlässlich des dreijährigen Jubiläums der DSGVO hat die BRANDI-Kompetenzgruppe für IT und Datenschutz am 07.05.2021 einen Datenschutzrechtstag veranstaltet.

Nachdem zum Inkrafttreten der DSGVO auf einem Datenschutzrechtstag im Jahr 2018 mit verschiedenen Referenten über datenschutzrechtliche Fragen, Risiken und Aussichten diskutiert wurde, konnte auf der diesjährigen Veranstaltung bereits von den bisherigen Erfahrungen mit der DSGVO berichtet werden. Neu war das Format der Veranstaltung: Angesichts der aktuellen Corona-Lage wurde die Veranstaltung als Live-Ereignis online durchgeführt. Über die hohe Teilnehmerzahl und zahlreiche positive Rückmeldungen aus dem Teilnehmerkreis haben wir uns sehr gefreut.

Mit dem rheinland-pfälzischen Datenschutzbeauftragten, Herrn Prof. Dr. Dieter Kugelmann, konnten wir einen renommierten Experten gewinnen, der auf der Veranstaltung einen Einblick in die tägliche Arbeit einer Datenschutzaufsichtsbehörde gegeben hat. Er und seine Gesprächspartner aus unserem Anwaltsbereich, Frau Dr. Laura Schulte, Herr Dr. Sebastian Meyer, Herr Dr. Daniel Wittig und Herr Björn Mai, haben eine spannende Diskussion über Erfahrungen, Probleme und offene Themen bei der täglichen Anwendung der DSGVO geführt, durch die die Moderatoren Herr Dr. Christoph Rempe und Herr Dr. Christoph Worms führten. Herr Björn Mai konnte dabei als Experte des Arbeitsrechts zu den besprochenen Themen wertvolle Hinweise aus der arbeitsrechtlichen Perspektive beisteuern.

Die Veranstaltung war in zwei Blöcke unterteilt: In dem ersten Teil ging es um aktuelle Fragen zum Jubiläum der DSGVO, in dem zweiten Teil um Datenschutz in Unternehmen. Die Zuschauer hatten die Gelegenheit, während der Veranstaltung ihre Fragen an uns zu schicken, sodass diese direkt von den Moderatoren und Referenten in dem Gespräch berücksichtigt werden konnten.

Ein großes Gesprächsthema waren datenschutzrechtliche Herausforderungen der Corona-Pandemie, insbesondere der Einsatz von Videokonferenzdiensten außereuropäischer Anbieter. Die angeregte Diskussion während der Veranstaltung zeigte, dass aktuell, unter anderem aufgrund der Corona-Pandemie und der Rechtsprechung zu Datenübermittlungen in Drittstaaten, verschiedene datenschutzrechtliche Themen an Bedeutung gewonnen haben und für rechtliche Unsicherheiten sorgen. Mitschnitte aus der Veranstaltung sind auf YouTube unter https://www.youtube.com/watch?v=3BVHFgFDm3Q und https://www.youtube.com/watch?v=U12P-3EsDf8 sowie auf unserer Homepage unter https://www.brandi.net/newsletter/sonderfolge-des-podcast-zum-datenschutzrechtstag-am-07-mai-2021/ verfügbar.

(Johanna Schmale)