Probleme bei der Darstellung des Newsletters? Dann klicken Sie hier für die Webansicht


Newsletter zum Datenschutz

Sehr geehrte Damen und Herren,

ausgerechnet der Datenschutz hätte beinahe für das Aus der Wunschzettel-Aktion auf dem Christkindlmarkt im bayerischen Roth gesorgt. In der Vergangenheit hatte die Stadt die Herzenswünsche von Kindern, z. B. Fahrten mit einem Polizeiauto, mit der Feuerwehr oder Besuche beim Bürgermeister, gesammelt und an einem großen Weihnachtsbaum gemeinsam mit dem Namen und dem Alter der Kinder veröffentlicht. „Wunscherfüller“ konnten dann unter Bezugnahme auf die veröffentlichten Wünsche die Kontaktdaten der Kinder erfragen und die Wünsche in Erfüllung gehen lassen. Wegen der Angst vor Abmahnungen, vermeintlichen DSGVO-Verstößen und zu viel Bürokratie hatte die Stadt Ende November 2018 angekündigt, dieses Jahr auf die beliebte Wunschzettel-Aktion zu verzichten. Nach Rückmeldungen aus ganz Deutschland und entsprechender Unterstützung hat die Stadt dann doch ein angepasstes Wunschformular erarbeitet, um auf diese Weise den datenschutzrechtlichen Anforderungen zu entsprechen. Die Wunschzettel-Aktion kann nun also wie in den Vorjahren stattfinden.

Die Diskussion über die Wunschzettel-Aktion ist ein gutes Beispiel dafür, dass teilweise eine große und häufig übertriebene Angst vor datenschutzrechtlichen Abmahnungen herrscht. In unserem Schwerpunktthema in diesem Monat greifen wir das Thema „Abmahnungen unter der DSGVO“ auf und nehmen dabei insbesondere auch Bezug auf die bisherigen Urteile der vergangenen Monate zu diesem Thema. Daneben berichten wir Ihnen wie gewohnt auch von anderen Urteilen, Bußgeldverfahren der Aufsichtsbehörden und anderen Neuigkeiten aus der Welt des Datenschutzes.

Bei Rückmeldungen zu diesem Newsletter oder Fragen im Zusammenhang mit den Themen des Newsletters können Sie sich an die E-Mail-Adresse datenschutz@brandi.net wenden. Die weiteren Kontaktdaten finden Sie auch auf unserer Homepage; wir freuen uns auf Ihr Feedback.
Aufgrund der Feiertage erhalten Sie den nächsten Datenschutz-Newsletter am Dienstag den 8. Januar 2018. Wir wünschen Ihnen frohe und besinnliche Feiertage sowie viel Vergnügen bei der Lektüre dieser Ausgabe!

Dr. Sebastian Meyer und das Datenschutzteam von BRANDI

Thema des Monats: Abmahnungen unter der DSGVO

Die große Abmahnwelle wegen vermeintlicher Datenschutzverstöße ist bisher ausgeblieben. Vor dem Stichtag zur Anwendung der Bestimmungen der DSGVO, dem 25. Mai 2018, war vor allem in kleinen und mittelständischen Unternehmen befürchtet worden, dass selbst kleinste Fehler bei der Umsetzung des neuen Datenschutzrechts zu Abmahnungen mit den entsprechenden finanziellen Folgen führen würden. Zur Eindämmung bevorstehender missbräuchlicher Abmahnungen legte das Bundesministerium für Justiz und für Verbraucherschutz zwischenzeitlich sogar einen Gesetzentwurf zur Stärkung des fairen Wettbewerbs und gegen unlautere Abmahnungen vor. Die Beschlussfassung zu dem Gesetzentwurf im Bundestag steht aber bisher noch aus.

Tatsächlich war - entgegen vieler Erwartungen - in den vergangenen Sommer- und Herbstmonaten nur wenig von tatsächlich erfolgreichen Abmahnungen auf Grundlage der datenschutzrechtlichen Vorgaben zu hören. Dies dürfte maßgeblich damit zusammenhängen, dass nicht eindeutig geklärt ist, ob Datenschutzverstöße überhaupt abgemahnt werden können. In der DSGVO ist das Rechtsinstrument der Abmahnung nicht geregelt. Vorgesehen ist stattdessen die Geltendmachung von Schadenersatz durch die Betroffenen, die Verhängung von Bußgeldern durch die Aufsichtsbehörden sowie die Klagekompetenz für Verbrauchervereine und Datenschutzorganisationen. In Betracht kommt deswegen allein eine wettbewerbsrechtliche Abmahnung.

Zum vollständigen Schwerpunktthema

Datenschutz-Aufsicht Baden-Württemberg verhängt 20.000 Euro Bußgeld gegen Internet-Portal „Knuddels.de“

Der Landesbeauftragte für Datenschutz und Informationsfreiheit (LfDI) Baden-Württemberg hat wegen eines Verstoßes gegen die nach Art. 32 DSGVO vorgeschriebene Datensicherheit ein Bußgeld in Höhe von 20.000 Euro gegen das Social-Media-Portal „Knuddels.de“ verhängt. Bei einem Hackerangriff im Juli 2018 hatten unbekannte Angreifer sich Zugriff auf personenbezogene Daten von über 330.000 Nutzern verschafft. Die erlangten Nutzerdaten umfassten unter anderem den Namen und die E-Mail-Adressen der Kunden. Knuddels hatte außerdem die Passwörter der Kunden im Klartext gespeichert. Der Vorfall wurde von Knuddels selbst Anfang September 2018 an die zuständige Aufsichtsbehörde gemeldet.

In seiner Pressemitteilung weist die Aufsichtsbehörde ausdrücklich darauf hin, dass aufgrund der sehr guten Kooperation von Knuddels nur ein geringes Bußgeld verhängt worden sei. Bei der Bemessung des Bußgeldes sei zudem die finanzielle Gesamtsituation des Unternehmens berücksichtigt worden. Unter Einbeziehung der von Knuddels zur Aufklärung aufgewendeten Mittel und der weiteren geplanten Maßnahmen zur Stärkung der Datensicherheit habe das Unternehmen einschließlich der Geldbuße einen sechsstelligen Euro-Betrag zu tragen. Durch die transparente Verbesserung des Datenschutzes geht das Unternehmen nach Einschätzung der Aufsichtsbehörde in der Summe „gestärkt“ aus dem Hackerangriff hervor.

Das Beispiel von Knuddels zeigt sehr deutlich, wie problematisch die neuen Vorgaben der DSGVO zu den Meldepflichten bei Datenschutzverstößen sind. Anders als in der Vergangenheit muss zukünftig damit gerechnet werden, dass Unternehmen, die von sich aus entsprechend der datenschutzrechtlichen Pflichten einen Datenverstoß melden und sich insoweit rechtskonform verhalten, dennoch ein Bußgeld erhalten, selbst wenn dies relativ gering ausfällt. Vor allem unter dem Gesichtspunkt, dass eigentlich nach deutschen Rechtsverständnis niemand gezwungen ist, sich selbst zu belasten, erscheint diese Handhabung durchaus fragwürdig.

600.000 Euro Datenschutz-Bußgeld gegen Uber in den Niederlanden

Die niederländische Datenschutzbehörde hat ein Bußgeld in Höhe von 600.000 Euro gegen den Fahrdienstvermittler Uber verhängt. Nach einem im Jahr 2016 vorgefallenen Datendiebstahl von 57 Millionen Nutzerdaten habe das Unternehmen den Vorfall erst mit erheblicher Verspätung gegenüber der Aufsichtsbehörde gemeldet. Der Datenschutz-Vorfall war im Dezember 2017 bekannt geworden, obwohl er sich bereits im Jahr 2016, also über ein Jahr zuvor, ereignet hatte.

Bei entsprechenden Vorfällen hat gem. Art. 33 DSGVO innerhalb von 72 Stunden eine Meldung gegenüber der Aufsichtsbehörde zu erfolgen, außerdem können gem. Art. 34 DSGVO auch die betroffenen Personen zu informieren sein. Unternehmen ist zu empfehlen, alle notwendigen Vorkehrungen zu treffen, damit diese knappe Frist im Ernstfall eingehalten werden kann.

AG Diez: Bei Bagatellverstößen mit unerlaubter E-Mail-Werbung kein DSGVO-Schadenersatzanspruch

Das Amtsgericht Diez hat in einem Urteil zu der Frage Stellung genommen, inwieweit unter Geltung der DSGVO Schadenersatzansprüchen aufgrund unerlaubter Werbe-E-Mails geltend gemacht werden können (Urteil vom 07.11.2018, Az. 8 C 130/18). Der Kläger hatte vom Beklagten am 25.05.2018 eine einzelne, unerlaubte Werbe-E-Mail erhalten, in der die Einwilligung für den Erhalt eines Newsletters per E-Mail erfragt wurde. Im Rahmen der vorgerichtlichen Auseinandersetzung über die Unzulässigkeit der E-Mail-Nachricht hat der Beklagte als Absender der beanstandeten E-Mail dem Kläger ohne Anerkenntnis einer Rechtspflicht einen Betrag von 50 Euro gezahlt. Dem Kläger war dies jedoch nicht genug; er verlangte einen Schmerzensgeldbetrag von mindestens 500 Euro für die einzelne E-Mail.

Das AG Diez führte zunächst aus, dass nicht jede Verletzung einer Vorschrift der DSGVO automatisch einen Schadenersatzanspruch begründet. Vielmehr müsse gemäß Art. 82 DSGVO auch ein tatsächlicher materieller oder immaterieller Schaden beim Betroffenen eingetreten sein. Von einem solchen Schaden ist nach Ansicht des Gerichts nur dann auszugehen, wenn eine mehr als unerhebliche Beeinträchtigung der Interessen des Betroffenen vorliegt. Dies sei im vorliegenden Fall bereits fraglich. Soweit ein etwaiger Schadenersatzanspruch überhaupt bestanden hat, ist er nach Auffassung des Gerichts durch die Zahlung der 50 Euro als abgegolten anzusehen. Ein weiterer, höherer Schadenersatzanspruch steht dem Kläger somit nicht zu.

Der Argumentation des Gerichts, wonach Bagatellverstöße keine immateriellen Schadenersatzansprüche auslösen, ist zu begrüßen. Jedenfalls bei einzelnen, unerlaubten Werbe-E-Mails dürfte sich ein Schadenersatzanspruch trotz der Datenschutzwidrigkeit regelmäßig nicht begründen lassen, da kein immaterieller Schaden vorliegt. Anders sieht es beim mehrmaligen Versand von Werbe-E-Mails oder dem Abhandenkommen von E-Mail-Adressen aus. In diesem Fällen dürfte regelmäßig auch ein immaterieller Schadenersatz in zwei- bis dreistelliger Höhe zu bejahen sein.

OLG München: Herausgabe von gewerblichen Kundendaten datenschutzrechtlich nach Interessenabwägung zulässig

Das OLG München hat entschieden, dass eine Herausgabe von gewerblichen Kundendaten an andere Unternehmen aufgrund eines Auskunftsanspruchs aus einem Vertragshändlervertrag datenschutzrechtlich zulässig sein kann (Teilurteil vom 24.10.2018, Az. 3 U 1551/17). Für die Frage der Zulässigkeit der Weitergabe kommt es nach Auffassung des Gerichts auf eine Abwägung der Interessen im Einzelfall an.

Im konkreten Fall hatten zwei Unternehmen einen Vertragshändlervertrag abgeschlossen. Weil es zu Meinungsverschiedenheiten zwischen den Unternehmen kam, forderte das eine Unternehmen vom Anderen Informationen über gewerbliche Produktabnehmer, insbesondere deren Namen, Anschrift, das Vertragsdatum sowie Angaben zum verkauften Produkt und dem Kaufpreis. Das andere Unternehmen verweigerte die Aussage unter Bezugnahme auf das Datenschutzrecht der Kunden.

Nach Ansicht des OLG München umfassten die angeforderten Daten hier kein geheimes Know-how der Branche und auch keine höchstpersönlichen Daten. Vielmehr seien nur Informationen über nach außen – durch den Einsatz bzw. Aufbau des gekauften Produkts – nicht verborgen gebliebene Kaufverträge betroffen. Im Rahmen der Interessenabwägung nach Art. 6 Abs. 1 S. 1 lit. f) DSGVO sei somit eine Auskunft möglich. Die wirtschaftlichen Interessen des Unternehmens würden die Schutzinteressen der Betroffenen überwiegen.

EU erlässt Verordnung über den freien Verkehr nicht-personenbezogener Daten

Der Europäische Rat und das Europäische Parlament haben am 09.11.2018 die „Verordnung über einen Rahmen für den freien Verkehr nicht-personenbezogener Daten in der Europäischen Union“ genehmigt. Die neuen Vorschriften sollen die Datenwirtschaft und die Entwicklung neuer Technologien fördern, die auf nicht-personenbezogenen Daten basieren. Es werden insbesondere nationale Beschränkungen für die Datenlokalisierung verboten. Unzulässig ist danach eine Pflicht zur lokalen Speicherung nicht-personenbezogener Daten auf dem Gebiet eines einzelnen Mitgliedsstaats, wie dies teilweise im außereuropäischen Ausland wie Russland vorgesehen ist.

Die Verordnung soll zeitnah im Amtsblatt der Europäischen Union veröffentlicht werden und sechs Monate nach ihrer Veröffentlichung in jedem Mitgliedsstaat unmittelbar gelten.

Der vollständige Verordnungstext kann in deutscher Sprache von der Homepage des Europäischen Rates heruntergeladen werden. 

Aufsichtsbehörden veröffentlichen Informationsmaterialien

Verschiedene Aufsichtsbehörden haben Informationsmaterialien zu Einzelfragen der Anwendung der DSGVO veröffentlicht. So hat die Datenschutz-Aufsichtsbehörde in Brandenburg ein siebenseitiges Informationsblatt zum Thema „Wie erfülle ich meine Informationspflichten“ zum Download bereitgestellt. Die Datenschutz-Aufsichtsbehörde in Niedersachsen setzt sich in ihrem vierseitigen Merkblatt mit dem Einsatz von WhatsApp in Unternehmen auseinander. Die Datenschutzkonferenz, der Zusammenschluss der deutschen Datenschutz-Aufsichtsbehörden, hat eine vierzehnseitige Orientierungshilfe zum Thema „Verarbeitung von personenbezogenen Daten für Zwecke der Direktwerbung unter der DSGVO“ zur Verfügung gestellt.