Probleme bei der Darstellung des Newsletters? Dann klicken Sie hier für die Webansicht

Newsletter zum Datenschutz

Sehr geehrte Damen und Herren,

im Juni 2021 hat die Europäische Kommission die neuen Standardvertragsklauseln verabschiedet, die nunmehr als geeignete Garantien zur Einhaltung europäischer Datenschutzstandards dienen und zur Absicherung internationaler Datentransfers herangezogen werden sollen. Wir berichteten hierüber bereits umfassend im Schwerpunktthema unseres Datenschutz-Newsletters im Juli diesen Jahres. Die in Art. 4 Abs. 4 des Durchführungsbeschlusses vorgesehene Übergangsfrist für den Abschluss der bisherigen Standardvertragsklauseln ist nunmehr am 27.09.2021 abgelaufen. Lediglich vor diesem Datum abgeschlossene alte Regelungen können noch bis zum 27.12.2022 für Datenübermittlungen herangezogen werden. Im Übrigen dürfen ab jetzt nur noch die neuen Klauseln zwischen den Vertragsparteien vereinbart werden.

Die „Tech-Giganten“ Google, Microsoft und Amazon haben ihre Vereinbarungen zum Datenschutz laut eigener Angaben bereits aktualisiert, so dass möglich sein sollte, Neuverträge unter Einbeziehung der überarbeiteten Standardvertragsklauseln abzuschließen.

In unserem Datenschutz-Newsletter informieren wir Sie außerdem über weitere aktuelle datenschutzrechtliche Entwicklungen. In gewohnter Weise finden Sie auch in dieser Ausgabe Beiträge zu Aktivitäten der Aufsichtsbehörden und gerichtlichen Entscheidungen. Wir berichten etwa über ein gegen den Energieversorger Vattenfall verhängtes Bußgeld, die Geltendmachung von Auskunftsansprüchen nach Art. 15 DSGVO und aktuelle Entwicklungen in Bezug auf den Brexit. In unserem Schwerpunktthema befassen wir uns mit datenschutzrechtlichen Aspekten bei der Durchführung von Gewinnspielen.

Bei Rückmeldungen zu diesem Newsletter oder Fragen im Zusammenhang mit den Themen des Newsletters bitten wir Sie, uns eine E-Mail an datenschutz@brandi.net zu senden. Die weiteren Kontaktdaten finden Sie auch auf unserer Homepage.

Dr. Sebastian Meyer und das Datenschutzteam von BRANDI

Thema des Monats: Datenschutzrechtliche Aspekte bei der Durchführung von Gewinnspielen

Unternehmen haben bei der Durchführung von Gewinnspielen unter anderem auch die datenschutzrechtlichen Vorgaben der DSGVO im Blick zu behalten. Dies gilt nicht nur dann, wenn die Gewinnspiele online auf der Webseite des Unternehmens oder über eine Social Media Präsenz durchgeführt werden, sondern beispielsweise auch bei Preisausschreiben, die auf analogen Coupons oder Teilnahmekarten basieren.

Welche datenschutzrechtlichen Aspekte Unternehmen bei der Durchführung von Gewinnspielen vor allem zu beachten haben, möchten wir in unserem aktuellen Beitrag beleuchten. Dabei soll auf die Bewerbung, die eigentliche Durchführung sowie die Abwicklung des Gewinnspiels eingegangen werden.

Zum vollständigen Schwerpunktthema

LG Wuppertal: Auskunftsanspruch nach Art. 15 DSGVO kann bei Verfolgung zweckfremder Ziele rechtsmissbräuchlich sein

Das Landgericht Wuppertal entschied mit Urteil vom 29.07.2021 (Az.: 4 O 409/20), dass ein Auskunftsanspruch nach der DSGVO rechtsmissbräuchlich sein kann, wenn damit ein Ziel verfolgt werden soll, welches sich außerhalb des Datenschutzes befindet und somit zweckfremd ist. Der Entscheidung lag eine Klage zugrunde, bei der sich der Kläger gegen Prämienerhöhungen seitens der beklagten Versicherung wehrte. Der Kläger verlangte im Verfahren von der Beklagten Auskunft über Prämienanpassungen in den Jahren zuvor und berief sich hierfür auf den datenschutzrechtlichen Auskunftsanspruch nach Art. 15 DSGVO, um weitere etwaige (Geld-)Ansprüche gegen die Beklagte beziffern zu können. Das Gericht stellte klar, dass eine solche Vorgehensweise ein zweckwidriges Ziel verfolge und daher rechtsmissbräuchlich sei. Der Rechtsmissbrauch ergebe sich aus dem Grundsatz von Treu und Glauben nach § 242 BGB, der auch hinsichtlich des Art. 15 DSGVO zur Anwendung gelange, da es sich dabei um einen für das gesamte Rechtssystem geltenden Grundsatz handele.

Die Zweckwidrigkeit ergebe sich daraus, dass ausweislich des Begehrens des Klägers die Auskünfte ausschließlich der Verfolgung von Leistungsansprüchen dienen sollen, was ein vollkommen verordnungsfremden Zweck darstelle. Das Gericht wies klarstellend auf den Erwägungsgrund 63 DSGVO hin, wonach das Auskunftsrecht nach Art. 15 DSGVO vielmehr dazu dient, dass der Betroffene sich der Verarbeitung seiner personenbezogenen Daten bewusstmachen sowie deren Rechtmäßigkeit überprüfen kann. Auch dienen die Auskünfte dazu, dem Betroffenen die Wahrnehmung seiner weiteren Rechte gem. Art. 16 ff. DSGVO zu ermöglichen. Mit seinem Begehren verfolge der Kläger indes keines dieser Interessen, es erschöpfe sich vielmehr darin, etwaige geldwerte Ansprüche gegen die Beklagte zu prüfen, um diese anschließend geltend zu machen; der Datenschutz sei hiervon nicht betroffen. Ein derart weit von dem Regelungsinhalt einer Rechtsgrundlage entferntes Begehren sei nicht schützenswert.

Gerade für Unternehmen ist die Frage, wann ein Auskunftsverlangen als rechtsmissbräuchlich eingestuft werden kann, von besonderer Bedeutung. Die mit dem Urteil getroffenen Feststellungen sind zu begrüßen und ihnen kann auch zugestimmt werden. In der Praxis bleibt das Problem der Beweislast jedoch bestehen, da der Verantwortliche ein solches rechtsmissbräuchliches Verhalten gem. Art. 12 DSGVO nachzuweisen hat. Dies dürfte jedoch nicht immer so klar wie im hiesigen Fall möglich sein, denn der Antragsteller muss keinerlei Gründe für den Anspruch nennen.

(Félix Paul)

Auskunftsansprüche gegen Rechtsanwälte

Für Verarbeitung von personenbezogenen Daten durch Rechtsanwälte finden grundsätzlich auch die Vorgaben der DSGVO Anwendung, gleichzeitig ist aber die Besonderheit der anwaltlichen Berufsausübung zu beachten, vor allem im Hinblick auf das berufsrechtlich verankerte Mandatsgeheimnis (§ 43a Abs. 2 BRAO). Damit der Rechtsanwalt nicht Gefahr läuft, gegen seine Verschwiegenheitspflicht zu verstoßen, müssen Gegner und andere Beteiligte grundsätzlich weder über die Datenverarbeitung gem. Art. 14 DSGVO informiert werden noch steht ihnen ein Auskunftsanspruch zu. Gegenüber dem eigenen Mandanten besteht dagegen eine Pflicht zur Auskunft gem. Art. 15 DSGVO, zumal der Mandant ohnehin Anspruch auf Herausgabe der Handakte hat.

Das LG Bonn musste in diesem Kontext jetzt über einen Fall entscheiden, bei dem sich der Mandant über eine unvollständige Auskunft beschwerte und wegen der nicht ordnungsgemäßen Auskunft einen immateriellen Schadensersatz geltend machen wollte (LG Bonn, Urt. v. 20.05.2021, Az. 15 = 372/20, AnwBl. Online 2021, 813). In dem gerichtlichen Verfahren wurde dabei klargestellt, dass im Rahmen der Auskunftserteilung nicht nur die Unterlagen aus der Handakte herauszugeben sind, sondern außerdem auch die gesamte Kommunikation per E-Mail und Whatsapp erfasst wird. Richtigerweise hätte der Rechtsanwalt die Kommunikation im Übrigen ohnehin zur Handakte nehmen müssen. Einen Schadensersatzanspruch hat das Landgericht dem Mandanten aber nicht zugesprochen und in der Begründung darauf verwiesen, dass die verzögerte Übermittlung der gewünschten Daten ohnehin nur ein Formalverstoß sei, der nicht sanktioniert werden könne, und außerdem auch bei einem immateriellen Schadenersatzanspruch grundsätzlich das Bestehen eines Schadens belegt werden müsse.

(Dr. Sebastian Meyer)

HmbBfDI: Bußgeld i. H. v. 900.000 EUR gegen Vattenfall

Der Energieversorger Vattenfall Europe Sales GmbH veröffentlichte am 24.09.2021 eine Pressemitteilung, wonach gegen das Unternehmen ein Bußgeld in Höhe von 900.000 EUR vom zuständigen Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit (HmbBfDI) verhängt worden sei. Zwischen August 2018 und Dezember 2019 glich das Unternehmen anhand seiner Kundendatei Daten potenzieller Neukunden mit bereits beim Unternehmen vorhandenen älteren Kundendaten ab, um preisbewusste Verbraucher auszusortieren und abzulehnen. Vattenfall sortierte auf diese Weise systematisch Verbraucher aus, die häufiger ihren Energieversorger wechselten, um etwaige Boni zu erhalten, sog. „Bonushopper“ und lehnte die jeweiligen Anträge ab. Hiervon betroffen waren rund 500.000 Kunden. Von der Aufsichtsbehörde wurde gerügt, dass der Energieversorger es versäumt hatte, den Betroffenen in einer entsprechenden Datenschutzinformation bzw. -belehrung nach Art. 12 und 13 DSGVO über den internen Datenabgleich im Zusammenhang mit Vertragsanfragen für Sonderangebote zu informieren. Durch diese fehlende Information seien die Betroffenen nicht den Anforderungen der Art. 13 und 14 DSGVO entsprechend ausreichend und hinreichend transparent informiert worden.

Vattenfall gibt in seiner Pressemitteilung an, die Hamburger Datenschutzaufsichtsbehörde habe final bestätigt, dass die Verarbeitung im Rahmen des internen Abgleichs der Kundendaten selbst nicht beanstandet worden und somit rechtmäßig gewesen sei. Der Energieversorger akzeptierte jedenfalls das Bußgeld, das der Höhe nach unter Berücksichtigung der Rahmenbedingungen gem. Art. 83 DSGVO sicherlich hätte höher ausfallen können. Ein Zeichen dafür, dass auch die Missachtung von Betroffenenrechte genügt, um ein abschreckendes Bußgeld zu verhängen, wird dennoch damit gesetzt. Die künftige Praxis dürfte so aussehen, dass Verbraucher, die einen Bonus erhalten möchten, einem Datenabgleich zustimmen werden müssen; bei einer Ablehnung eines solchen Abgleichs dürfte der Bonus entfallen.

(Félix Paul)

Frankreich: Nutzung von Cookies

Der Präsident der französischen Datenschutzbehörde CNIL versandte am 19. Juli 2021 Mahnungen an etwa vierzig Unternehmen, weil diese den Nutzern ihrer Online-Auftritte bislang keine ebenso einfache Möglichkeit die Setzung von Cookies abzulehnen, wie diese zu akzeptieren zur Verfügung stellten. Den betroffenen Unternehmen wurde bis zum 6. September 2021 Zeit gegeben, die Anweisungen der Datenschutzbehörde umzusetzen.

Darüber hinaus verhängte die französische Datenschutzbehörde am 27. Juli 2021 ein Bußgeld in Höhe von 50.000 EUR gegen das Unternehmen SOCIÉTÉ DU FIGARO wegen der Nutzung von Werbe-Cookies ohne die vorherige Einholung einer Einwilligung der Nutzer. Die Datenschutzbehörde führte aus, dass das Unternehmen dafür hätte sorgen müssen, dass auch die vom Unternehmen eingesetzten Dienstleister erst dann Werbe-Cookies setzen, wenn die Nutzer der Verwendung der Cookies zugestimmt haben. Die Tatsache, dass die Cookies nicht durch das Unternehmen selbst, sondern durch dessen Partner gesetzt worden seien, entbinde den Verantwortlichen für den Online-Auftritt nicht von seiner Verantwortung, da er die Kontrolle über seinen Online-Auftritt und seine Server habe.

Die Situation in Deutschland ist insoweit vergleichbar. Die deutschen Aufsichtsbehörden haben ebenfalls bereits angekündigt, die Online-Auftritte von Unternehmen künftig auch proaktiv im Hinblick auf den rechtskonformen Umgang mit Cookies zu überprüfen.

(Christina Prowald)

Großbritannien: Neue Ansätze zum Datenschutz

Seit dem 1. Januar 2021 ist der Brexit vollzogen und Großbritannien kein Teil der EU mehr. Am 30.06.2021 endete auch die Übergangsphase, bis zu der die in das nationale Recht umgesetzte DSGVO für Großbritannien noch galt. Um den sicheren Datentransfer mit der EU weiterhin zu gewährleisten, wurde noch am 28 Juni 2021 ein Angemessenheitsbeschluss mit einer Geltungsdauer von 4 Jahren verabschiedet. Dies könnte sich in Zukunft allerdings ändern. Die britische Regierung kündigte nämlich Ende August 2021 in einer Pressemitteilung ein Maßnahmenpaket zur Änderung des Datenschutzrechts an und stieß damit der EU-Kommission vor dem Kopf, die bereits nicht ohne Bedenken den oben genannten Angemessenheitsbeschluss noch kurze Zeit zuvor verabschiedete. Großbritannien verfolgt damit das Ziel, sich endgültig von der DSGVO zu lösen und eine freiere Datenpolitik zu etablieren. Der Staatssekretär für Digitales, Oliver Dowden erklärte hierzu: „Das bedeutet, dass wir unsere eigenen Datengesetze so reformieren müssen, dass sie auf gesundem Menschenverstand beruhen und nicht auf dem Abhaken von Kästchen.“ Angestrebt werden die Etablierung einer „führenden Datenpolitik“, freie internationale Datenflüsse und weniger Cookie-Banner. Dabei sollen aber weiterhin sichere und vertrauenswürdige Datenschutzstandards gewährleistet werden. Im Ergebnis erhofft sich die Regierung einen Wettbewerbsvorteil auf dem internationalen Datenmarkt. Konkret sollen „unnötige“ Cookie-Banner abgeschafft werden und ein Hinweis auf etwaiges Tracking soll nur noch in den Fällen verpflichtend sein, in denen ein „hohes Risiko“ für die Privatsphäre des Betroffenen besteht. Darüber hinaus ist zur Erlangung eines Wettbewerbsvorteils vorgesehen, auf mehr freie internationale Datenflüsse zu setzen. Auf diese Weise soll es möglich werden, "rasch und kreativ globale Partnerschaften zu entwickeln, die es britischen Organisationen erleichtern, Daten mit wichtigen Märkten und schnell wachsenden Volkswirtschaften" auszutauschen. Priorisiert werden sollen diesbezüglich vor allem Datentransfers in Länder wie Indien, Brasilien oder Kenia, in denen geringere rechtliche Anforderungen gestellt werden und dadurch weniger Hemmnis beim Datentransfer verursacht werden.

Die dort angekündigten Maßnahmen könnten zu einem Herabsenken des Schutzniveaus führen mit der Folge, dass der verabschiedete Angemessenheitsbeschluss von der EU-Kommission wieder aufgehoben werden könnte. Dies hätte zur Konsequenz, dass Großbritannien künftig kein sicheres Drittland mehr darstellen würde. Die britische Regierung will zur Gewährleistung eines angemessenen Datenschutzniveaus bei den internationalen Datenflüssen neben Angemessenheitsbeschlüssen stärker auf weichere Instrumente wie Standardvertragsklauseln, verbindliche Unternehmensregeln, Selbstregulierungskodizes und Zertifizierungsmechanismen bauen. Ob dies bei den angestrebten Maßnahmen ausreichen wird, um hinreichend den datenschutzrechtlichen Standards der EU zu entsprechen, bleibt abzuwarten.

(Félix Paul)

OLG Brandenburg: Schadensersatzanspruch setzt konkrete Schädigung voraus

Das OLG Brandenburg stellte in seinem Beschluss vom 11.08.2021 (Az.: 1 U 69/20) klar, dass ein Schadensersatzanspruch nach Art. 82 DSGVO eine konkrete Schädigung voraussetze und es nicht ausreiche, wenn der Betroffene lediglich pauschal und unsubstantiiert geltend macht, durch das unerlaubte Verwenden seines Fotos und seines Namens auf einer Webseite beeinträchtig worden zu sein. Der Betroffene müsse vielmehr die spezifische Beeinträchtigung sowie den konkreten Schaden der daraus resultiert darlegen. Das Gericht führte aus, dass sich keine Beweislastumkehr für das Vorliegen eines Schadens aus Art. 82 Abs. 3 DSGVO i.V.m. Erwägungsgrund Nr. 146 S. 2 DSGVO ergebe. Die dortigen Ausführungen zur Nachweisobliegenheit beziehen sich ausweislich des klaren Wortlauts allein auf die Verantwortlichkeit der Umstände, die den Schaden herbeigeführt haben, nicht aber auf den Schaden selbst. Dieser bedürfe weiterhin der konkreten Darlegung des Beklagten hinsichtlich der dadurch spezifisch erlittenen Nachteile. Ein bloßer Verstoß gegen eine Bestimmung der DSGVO reiche erst recht nicht für die Entstehung eines Anspruchs aus. Der Vortrag des Beklagten reichte insoweit nicht aus, da er lediglich pauschal behauptete, ihm seien in Bezug auf seine Tätigkeit durch das Verhalten der Klägerin Nachteile entstanden. Eine substantiierte Darlegung erfolgte durch den Beklagten hierzu jedoch nicht, sodass mangels konkreten Schadens ein Anspruch nach Art. 82 Abs. 1 DSGVO nicht anzunehmen sei. Das Gericht lehnte in der Sache zudem auch die Vorlage an den EuGH gem. Art. 267 Abs. 3 AEUV ab. Die Berufung scheitere bereits daran, dass es an jeglichem Vorbringen des Beklagten zu einem entstandenen Schaden mangele.

(Félix Paul)

OLG Hamm: Namentliche Nennung eines Mitarbeiters in Online-Bewertung ist kein Datenschutzverstoß

Mit Urteil vom 29.06.2021 entschied das OLG Hamm (Az.: I-4 U 189/20), dass ein Firmen-Mitarbeiter namentlich im Rahmen einer Online-Bewertung bei Google genannt werden kann, ohne dass sich hieraus ein Verstoß gegen die DSGVO ergibt. Das Urteil ist noch nicht rechtskräftig.

Ein Kunde hatte die Klägerin mit Nachnamen bei einer Online-Bewertung auf Google genannt und schrieb, er sei von der betroffenen Frau (…) unfreundlich bedient worden; das Team sei im Übrigen sehr nett. Die Klägerin war die einzige Mitarbeiterin im Betrieb, die den genannten Nachnamen führte. Sie forderte Google zunächst außergerichtlich zur Löschung des Namens auf und verwies dabei auf die DSGVO. Mangels Reaktion durch Google erhob sie erstinstanzlich Klage beim LG Essen und verlangte die Löschung des Eintrages sowie die Zahlung eines auf Art. 82 DSGVO gestützten Schmerzensgeld in Höhe von 500 EUR. Das LG wies die Klage mit der Begründung ab, die Namensnennung sei durch das Recht auf freie Meinungsäußerung gem. Art. 17 Abs. 3 lit. a) DSGVO gerechtfertigt (Urt. v. 29.10.2020 - Az.: 4 O 9/20).

Das OLG Hamm bestätigte nun im Rahmen der Berufung die Entscheidung der Ausgangsinstanz. Das Berufungsgericht führte aus, dass im Rahmen einer umfassenden Abwägung zu ermitteln sei, welches Grundrecht überwiegt und sich nicht bereits allein aus dem Umstand, dass personenbezogene Daten berührt sind, ein Anspruch auf Löschung ergibt. Die Meinungsfreiheit sei als unmittelbar betroffenes Grundrecht gleichberechtigt in die Abwägung einzubeziehen und stelle nicht nur ein zu berücksichtigendes Interesse dar. Weiter führte das Gericht aus, dass Einzelne keine Bestimmungsmacht darüber haben, welche Informationen im Rahmen der öffentlichen Kommunikation über sie verbreitet werden, sei es gegenüber den Medien oder gegenüber den Suchmaschinenbetreibern; nichts Anderes gelte auch in Bezug auf den Betreiber einer Hosting-Plattform. Die Interessen der Beklagten würden vorliegend überwiegen, da es nach Art. 11 GRCh der Rezensentin zustehe, die Klägerin als „unfreundlich“ zu bewerten. Zumal erhob die Klägerin keine Einwendungen dahingehend, dass die Ausführungen unzutreffend sind, sodass davon auszugehen sei, dass das tatsächliche Verhalten der Klägerin als „unfreundlich“ empfunden werden konnte. Die Bewertung war auch deswegen inhaltlich zulässig, weil die Rezensentin das Verhalten der Klägerin im Rahmen ihrer öffentlichen ausgeübten beruflichen Tätigkeit in Relation zu dem Verhalten der anderen Mitarbeiter setzte. Ein sachlicher Grund für die Namensnennung bestand darin, das einmalige unfreundliche Verhalten der Klägerin gegenüber dem sonst freundlichen Verhalten des anderen Personals hervorzuheben.

(Félix Paul)

BRANDI im Gespräch mit Dr. Stefan Brink

Am 30.09.2021 war Herr Dr. Stefan Brink, der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg, zu Gast am Standort Bielefeld. Der renommierte Datenschutz-Experte und unsere Kompetenzgruppe IT & Datenschutz haben spannende Gespräche über aktuelle Probleme, Erfahrungen sowie offene Themen beim täglichen Umgang mit der DSGVO geführt. Diskutiert wurde unter anderem über die Absicherung von internationalen Datentransfers auch unter Berücksichtigung der neuen Standardvertragsklauseln, aktuelle Entwicklungen mit Blick auf den Brexit, die Einholung von Einwilligungen in die Setzung von Cookies und vergleichbarer Technologien sowie die Ausgestaltung von Cookie-Bannern und weitergehender datenschutzrechtlicher Informationen. Darüber hinaus konnten wir einen Einblick in das Vorgehen und die Arbeitsweise einer Datenschutzaufsichtsbehörde gewinnen. Mitschnitte aus der Veranstaltung sind zeitnah auf unserem YouTube Kanal sowie auf unserer Homepage verfügbar.

(Christina Prowald)