Probleme bei der Darstellung des Newsletters? Dann klicken Sie hier für die Webansicht

Newsletter zum Datenschutz

Sehr geehrte Damen und Herren,

unser BRANDI-Datenschutzrechtstag am 15.09.2022 rückt immer näher und wir freuen uns auf spannende Diskussionen zu dem Thema „Datenschutzvorfälle – Beteiligte, Konsequenzen und Absicherung“. Noch besteht die Möglichkeit, sich für die Veranstaltung anzumelden; die Informationen bezüglich der Anmeldemöglichkeit haben wir in diesem Newsletter noch einmal für Sie zusammengefasst.

Passend zu dem Thema unserer Veranstaltung informieren wir in diesem Monat in dem Schwerpunktthema unseres Datenschutz-Newsletters über die neuen Leitlinien des Europäischen Datenschutzausschusses zur Berechnung von Bußgeldern nach der Datenschutzgrundverordnung (DSGVO). Außerdem berichten wir wie gewohnt über aktuelle Ereignisse im Datenschutzrecht, unter anderem über zwei DSGVO-Bußgelder, die kürzlich von Datenschutzaufsichtsbehörden verhängt wurden.

Bei Rückmeldungen zu diesem Newsletter oder Fragen im Zusammenhang mit den Themen des Newsletters bitten wir Sie, uns eine E-Mail an datenschutz@brandi.net zu senden. Die weiteren Kontaktdaten finden Sie auch auf unserer Homepage.

Dr. Sebastian Meyer und das Datenschutzteam von BRANDI

Thema des Monats: Neue Leitlinien zur Bußgeldbemessung

Bei Verstößen von Unternehmen gegen das Datenschutzrecht können empfindliche Konsequenzen drohen. Die Datenschutzgrundverordnung (DSGVO) kennt verschiedene Möglichkeiten zur Sanktionierung von Datenschutzverstößen, neben dem konkreten Schadensersatzanspruch des Betroffenen vor allem die Verhängung von Bußgeldern. Die Zuständigkeit für Bußgelder liegt dabei bei den jeweiligen datenschutzrechtlichen Aufsichtsbehörden der Länder, in Nordrhein-Westfalen beispielsweise bei der Landesbeauftragten für Datenschutz und Informationsfreiheit.

Zuletzt sind durch zahlreiche Gerichtsentscheidungen die Schadensersatzansprüche der Betroffenen immer mehr in den Fokus der Aufmerksamkeit gerückt, dennoch stellt aus der Perspektive von Unternehmen die Verhängung von Bußgeldern nach Art. 83 DSGVO das größere Risiko dar, weil ohne weitere Differenzierung für Datenschutzverstöße generell ein Bußgeld bis zu 10 Mio. Euro bzw. bis zu 20 Mio. Euro droht.

Um die Transparenz bei der Bemessung von Bußgeldern zu erhöhen und ein einheitliches Vorgehen der verschiedenen Aufsichtsbehörden sicherzustellen, hat die Datenschutzkonferenz (DSK), das Gremium der unabhängigen deutschen Datenschutzaufsichtsbehörden des Bundes und der Länder, bereits im Oktober 2019 ein Konzept zur Bußgeldbemessung in Verfahren gegen Unternehmen veröffentlicht, das bislang als Grundlage für die Berechnung und Festsetzung von Bußgeldern gegen Unternehmen diente. Das Konzept der DSK sollte dabei bis zur Festlegung einheitlicher europäischer Vorgaben zur Anwendung kommen.

Nunmehr hat der Europäische Datenschutzausschuss (EDSA), ein Zusammenschluss aus Vertretern der nationalen Datenschutzbehörden und dem Europäischen Datenschutzbeauftragten, am 12. Mai 2022 eigene Leitlinien zur Berechnung von Bußgeldern unter der DSGVO veröffentlicht. Durch die neuen Leitlinien sollen die bestehenden Verfahrensweisen der einzelnen Datenschutzaufsichtsbehörden der Länder harmonisiert und auch eine wirksamere Zusammenarbeit unter den Datenschutzaufsichtsbehörden in grenzüberschreitenden Fällen ermöglicht werden.

Zum vollständigen Schwerpunktthema

LfD Niedersachsen: 900.000 Euro Bußgeld gegen Kreditinstitut

Die Landesbeauftragte für den Datenschutz Niedersachsen (LfD) hat gegen ein Kreditinstitut ein Bußgeld in Höhe von 900.000 Euro wegen der Erstellung umfangreicher Kundenprofile festgesetzt (vgl. die Pressemitteilung der LfD vom 28.07.2022).

Dem Kreditinstitut wird von der LfD vorgeworfen, Daten aktiver sowie ehemaliger Kundinnen und Kunden ohne deren Einwilligung ausgewertet zu haben. Unter Hinzuziehung eines Dienstleisters hat das Unternehmen das digitale Nutzungsverhalten analysiert und unter anderem das Gesamtvolumen von Einkäufen in App-Stores, die Häufigkeit der Nutzung von Kontoauszugsdruckern sowie die Gesamthöhe von Überweisungen im Online-Banking im Vergleich zur Nutzung des Filialangebots ausgewertet. Die Ergebnisse der Analyse wurden mit einer Wirtschaftsauskunftei abgeglichen und von dort aus angereichert. Die Maßnahme diente dem Ziel, Kundinnen und Kunden adressatengerecht für vertragsrelevante oder werbliche Zwecke verstärkt auf elektronischen Kommunikationswegen anzusprechen.

Den meisten Kundinnen und Kunden wurden von dem Kreditinstitut zwar vorab zusammen mit anderen Unterlagen Informationen über die Datenverarbeitung zugeschickt. Nach Ansicht der Aufsichtsbehörde ersetzen diese jedoch nicht die notwendigen Einwilligungen. Eine Interessenabwägung gem. Art. 6 Abs. 1 S. 1 lit. f) DSGVO komme als Rechtsgrundlage vorliegend nicht in Betracht. Allgemein erlaube diese Rechtsgrundlage es nicht, Profile für Werbezwecke zu bilden, indem große Datenbestände ausgewertet werden. Der Grund dafür sei, dass die betroffenen Kundinnen und Kunden es in der Regel nicht erwarten, dass Verantwortliche in großem Umfang Datenbestände nutzen, um ihre Neigung zu bestimmten Produktkategorien oder Kommunikationswegen zu identifizieren.

Bei der Festsetzung des Bußgeldes hat die Behörde berücksichtigt, dass das Unternehmen die Ergebnisse seiner Auswertungen nicht weiterverwendet hat und dass es sich im gesamten Verfahren kooperativ gezeigt hat. Der Bußgeldbescheid ist noch nicht rechtskräftig.

(Johanna Schmale)

Italienische Datenschutzbehörde: 70.000 Euro Bußgeld gegen die Unicredit S.p.A.

Die italienische Datenschutzbehörde (Garante per la protezione dei dati personali, GPDP) hat gegen die Unicredit S.p.A. ein Bußgeld in Höhe von 70.000 Euro verhängt (vgl. die Pressemitteilung der GPDP vom 16.06.2022). Dem Kreditinstitut wird vorgeworfen, die Ausübung des Rechts auf Auskunft für Betroffene erschwert zu haben.

In dem zugrunde liegenden Fall wurde ein Beschäftigter des Kreditinstituts, der einen Auskunftsantrag gem. Art. 15 DSGVO stellte, von dem Unternehmen aufgefordert, diesen Antrag über ein vorgefertigtes Formular zu stellen. Nachdem der Beschäftigte der Aufforderung nicht nachkam, ging das Unternehmen davon aus, dass dieser an der Ausübung seines Rechts nicht mehr interessiert sei. In der Folge wurde das Auskunftsersuchen zunächst nicht beantwortet und somit die Beantwortungsfrist aus der DSGVO von einem Monat nicht eingehalten. Darin sah die Datenschutzbehörde einen Verstoß gegen Art. 12 Abs. 2 S. 1 DSGVO, wonach der Verantwortliche dem Betroffenen die Ausübung seiner Rechte zu erleichtern hat.

Bei der verspäteten Beantwortung des Auskunftsersuchens übermittelte das Unternehmen Unterlagen mit den personenbezogenen Daten und verwies hinsichtlich der Informationen über die Verarbeitung und die Rechte des Betroffenen auf die allgemeinen Datenschutzhinweise für die Beschäftigten des Unternehmens. Da in den Datenschutzhinweisen keine auf den einzelnen Betroffenen zugeschnittenen Informationen enthalten waren, genügte die Antwort des Unternehmens nach Ansicht der Behörde nicht, um den Anforderungen des Art. 15 DSGVO zu entsprechen.

(Johanna Schmale)

LG Erfurt: Vorlage an den EuGH bezüglich des Auskunftsanspruchs bei Verfolgung sachfremder Ziele

Das Landgericht Erfurt beabsichtigt eine Vorlage an den Europäischen Gerichtshof (EuGH) zu der Frage, ob der Auskunftsanspruch gem. Art. 15 DSGVO ausgeschlossen ist, wenn datenschutzfremde Ziele verfolgt werden (LG Erfurt, Beschl. v. 07.07.2022 – Az.: 8 O 1280/21).

In dem zugrunde liegenden Fall hat der Kläger gegen seine Versicherung einen datenschutzrechtlichen Auskunftsanspruch geltend gemacht, wobei er aber keine datenschutzrechtlichen Ziele verfolgt hat, sondern sein primäres Ziel die Rückforderung von Tarifbeiträgen gewesen ist.

Im Frühjahr 2022 hat bereits der Bundesgerichtshof dem EuGH Fragen zu einer vergleichbaren Problematik zur Vorabentscheidung gestellt (BGH, Beschl. v. 29.03.2022 – VI ZR 1352/20, wir berichteten hierüber in unserem Datenschutz-Newsletter im Juni 2022). In dem Verfahren ging es um die Reichweite des Anspruchs eines Patienten gegen den behandelnden Arzt auf kostenfreie Zurverfügungstellung einer ersten Kopie seiner in der Patientenakte verarbeiteten personenbezogenen Daten sowie die Möglichkeit der Beschränkung dieses Anspruchs durch § 630g Abs. 2 S. 2 BGB.

Die Klärung der Frage, ob der Auskunftsanspruch des Art. 15 DSGVO nur für datenschutzrechtliche oder auch für andere legitime Zwecke besteht, ist bisher umstritten. Für die Beschränkung auf datenschutzrechtliche Zwecke wird zum Beispiel angeführt, dass Art. 15 DSGVO es dem Betroffenen lediglich ermöglichen solle, sich der Datenverarbeitung bewusst zu sein und die Rechtmäßigkeit der Verarbeitung seiner Daten zu überprüfen. Dagegen wird argumentiert, dass der Auskunftsanspruch dem Betroffenen auch ermöglichen solle, ein Informationsungleichgewicht abzubauen und seine Rechte durchzusetzen.

Der Beschluss des LG Erfurt enthält zunächst die Ankündigung der Aussetzung des Verfahrens und der beabsichtigten Vorlage an den EuGH sowie Hinweise hierzu. Das Gericht gibt hierdurch den Parteien des Rechtsstreits die Gelegenheit, zu dem Beschluss Stellung zu nehmen und gegebenenfalls Vorschläge für Fragen an den EuGH zu unterbreiten.

(Johanna Schmale)

In eigener Sache: Erinnerung an den BRANDI-Datenschutzrechtstag

In unseren Datenschutz-Newslettern der vergangenen zwei Monate haben Sie von uns bereits eine Einladung sowie Informationen zu unserem Datenschutzrechtstag am 15.09.2022 erhalten. Gemeinsam mit Ihnen und externen Experten möchten wir auf der Veranstaltung über das Thema „Datenschutzvorfälle – Beteiligte, Konsequenzen und Absicherung“ diskutieren.

Der Termin der Veranstaltung rückt immer näher und noch haben Sie die Möglichkeit, sich unter dem folgenden Link zu der Veranstaltung anzumelden:

https://www.brandi.net/news/detail/3-brandi-datenschutzrechtstag-live-event-am-15092022/.

Falls es bestimmte inhaltliche Fragen gibt, über die Sie in der Veranstaltung gerne sprechen möchten, können Sie uns diese bereits vorab an die folgende E-Mail-Adresse schicken: WissMit-DatenschutzBI@brandi.net. Zusätzlich besteht die Möglichkeit, während der Veranstaltung online Fragen zu stellen und sich dadurch aktiv an der Diskussion zu beteiligen. Für organisatorische Fragen im Vorfeld zu der Veranstaltung stehen wir Ihnen natürlich ebenfalls gerne zur Verfügung.

Wir freuen uns auf eine zahlreiche Teilnahme an der Veranstaltung!

(Johanna Schmale)