Sehr geehrte Damen und Herren,

jedes Jahr bringt verschiedene datenschutzrechtliche Entwicklungen und Herausforderungen mit sich. Traditionell fassen wir in der Januar-Ausgabe unseres Newsletters die datenschutzrechtlichen Geschehnisse des vergangenen Jahres zusammen. In dem Schwerpunktthema der ersten Ausgabe in diesem Jahr blicken wir deshalb noch einmal zurück auf das datenschutzrechtliche Jahr 2023 und wagen einen Ausblick auf das neue Jahr 2024.

Auch im Jahr 2024 wird das Datenschutzteam von BRANDI Sie in gewohnter Weise über die aktuellen datenschutzrechtlichen Entwicklungen und Geschehnisse auf dem Laufenden halten. In der aktuellen Ausgabe berichten wir etwa über die Entscheidungen des EuGH zum Anspruch auf immateriellen Schadensersatz sowie den Anforderungen an die Verhängung eines Bußgeldes, die Entscheidung des OLG Köln zu Datenübermittlungen an Google und die Entscheidung des VG Bremen zum Umfang der Auskunftspflicht gegenüber der Aufsichtsbehörde.

Bei Rückmeldungen zu diesem Newsletter oder Fragen im Zusammenhang mit den Themen des Newsletters bitten wir Sie, uns eine E-Mail an datenschutz@brandi.net zu senden. Die weiteren Kontaktdaten finden Sie auch auf unserer Homepage.

Dr. Sebastian Meyer und das Datenschutzteam von BRANDI

Thema des Monats: Jahresrückblick 2023 und Ausblick 2024

Im Jahr 2023 war das Datenschutzrecht geprägt von verschiedenen Entscheidungen der Behörden und Gerichte. Insbesondere Fragestellungen zum Auskunftsanspruch nach Art. 15 DSGVO und zum Schadensersatzanspruch nach Art. 82 DSGVO wurden im vergangenen Jahr diskutiert. Daneben waren auch Themen wie die Nutzung von Tracking-Tools und der Einsatz von Cookie-Bannern sowie die Übermittlung von Daten in Drittstaaten nach wie vor von Relevanz. Für Datenübermittlungen in die USA hat die Europäische Kommission einen neuen Angemessenheitsbeschluss für das EU-US Data Privacy Framework angenommen. Im Juli 2023 ist zudem das Hinweisgeberschutzgesetz (HinSchG) in Kraft getreten. Hiernach sind Unternehmen, die in der Regel mindestens 50 Mitarbeiter beschäftigen oder bestimmte Tätigkeiten erbringen, verpflichtet, seit dem 17. Dezember 2023 eine interne Meldestelle einzurichten, über die Beschäftigte Rechtsverstöße melden können. Da mit der Umsetzung der Vorgaben die Verarbeitung von personenbezogenen Daten einhergeht, müssen in diesem Kontext auch die datenschutzrechtlichen Vorgaben eingehalten und dokumentiert werden.

Am 12. Mai 2023 hat nunmehr schon zum vierten Mal unser BRANDI-Datenschutzrechtstag stattgefunden. Zu Gast bei BRANDI in Bielefeld war Herr Prof. Dr. Alexander Roßnagel, hessischer Beauftragter für Datenschutz und Informationsfreiheit (HBDI). Wir haben uns mit Herrn Prof. Dr. Roßnagel zu verschiedenen Fragestellungen zum Thema „Datenschutz in der Cloud und Cybersicherheit“ ausgetauscht. Im Gespräch mit Rechtsanwältinnen und Rechtsanwälten von BRANDI gab er dabei einen spannenden Einblick in verschiedene datenschutzrechtliche Themen, aktuelle Verfahren und die tägliche Arbeit der Hessischen Datenschutzaufsichtsbehörde sowie der Datenschutzkonferenz (DSK).

Den Jahreswechsel haben wir zum Anlass genommen, in unserem traditionellen Jahresrückblick die im vergangenen Jahr schwerpunktmäßig behandelten Themen und besonders relevanten Entwicklungen und Geschehnisse noch einmal Revue passieren zu lassen. Zudem wagen wir einen Ausblick auf das neue Jahr 2024.

Zum vollständigen Schwerpunktthema

In eigener Sache: BRANDI-Datenschutzrechtstag 2024

Wir laden Sie bereits jetzt herzlich zu unserem 4. BRANDI-Datenschutzrechtstag am 24 Mai 2024 ein. Die Veranstaltung wird in diesem Jahr in Paderborn stattfinden. Daneben wird es auch die Möglichkeit geben, passiv online an unserem Datenschutzrechtstag teilzunehmen.

Seit dem Inkrafttreten der DSGVO konnten einige datenschutzrechtliche Fragestellungen im Zusammenhang mit der Anwendung der DSGVO ganz oder zumindest teilweise geklärt werden. Andere Fragen und Probleme stellen sich nach wie vor oder sogar gänzlich neu.

Für die Veranstaltung konnten wir erneut einen renommierten Experten gewinnen. In diesem Jahr werden wir unter anderem mit Thilo Weichert, der als langjähriges Jurymitglied über die Verleihung der jährlichen Big-Brother-Awards mitentscheidet, diskutieren. Herr Dr. Weichert ist einer der bekanntesten deutschen Datenschutzexperten und ehemaliger Leiter der Datenschutzaufsichtsbehörde in Schleswig-Holstein (ULD).

Freuen Sie sich schon jetzt auf interessante Vorträge und spannende Diskussionen. Über die näheren Inhalte der Veranstaltung sowie die Anmeldemöglichkeiten zu der Veranstaltung werden wir Sie zeitnah auf unserer Homepage sowie in unserem Datenschutz-Newsletter informieren.

(Christina Prowald)

Hinweisgeberschutzgesetz

Am 2. Juli 2023 ist das Hinweisgeberschutzgesetz (HinSchG) in Kraft getreten. Hiernach sind Unternehmen, die in der Regel mindestens 50 Mitarbeiter beschäftigen oder bestimmte Tätigkeiten erbringen, seit dem 17. Dezember 2023 verpflichtet, eine interne Meldestelle - ein Hinweisgebersystem - einzurichten, über die Beschäftigte Rechtsverstöße melden können. Da mit der Umsetzung der Vorgaben des HinSchG die Verarbeitung von personenbezogenen Daten einhergeht, müssen in diesem Kontext auch die datenschutzrechtlichen Vorgaben eingehalten und dokumentiert werden.

Insbesondere sind Hinweisgeber nach Art. 13 DSGVO darüber zu informieren, inwieweit ihre personenbezogenen Daten im Zusammenhang mit der Nutzung der Meldestelle verarbeitet werden. Es ist daher erforderlich, eine Datenschutzerklärung zu erstellen, die den Hinweisgebern zur Verfügung gestellt wird. Die konkrete Gestaltung der Datenschutzerklärung ist dabei abhängig von der Gestaltung der Meldestelle. Von der Meldung betroffene Personen sind nach Art. 14 DSGVO ebenfalls datenschutzrechtlich zu informieren, soweit die Information nicht aufgrund rechtlicher Vorgaben ausgeschlossen ist.

Wie jeder andere Prozess, bei dem personenbezogene Daten verarbeitet werden, sind auch Datenverarbeitungsprozesse, die mit der Bearbeitung von Meldungen nach dem HinSchG einhergehen, in das nach Art. 30 DSGVO verpflichtend zu führende Verzeichnis der Verarbeitungstätigkeiten aufzunehmen. Aufgrund der potentiell sensiblen Inhalte und Datenkategorien ist in jedem Fall eine umfassende und detaillierte Dokumentation empfehlenswert.

Hat eine Datenverarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, muss die für die Datenverarbeitung verantwortliche Stelle nach Art. 35 Abs. 1 DSGVO zudem vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durchführen (Datenschutz-Folgenabschätzung). Aufgrund der potentiell sensiblen Inhalte der Meldungen von Verstößen, die gegebenenfalls auch strafrechtliche Relevanz haben und empfindliche Folgen für die Betroffenen nach sich ziehen können, wird von vielen Aufsichtsbehörden die Auffassung vertreten, dass die mit der Meldung einhergehende Datenverarbeitung regelmäßig mit einem hohen Risiko für die Rechte und Freiheiten natürlicher Personen verbunden und insoweit auch eine Datenschutz-Folgenabschätzung erforderlich ist. Datenverarbeitungsprozesse im Zusammenhang mit den Pflichten des HinSchG wurden zwar bislang formal noch nicht in die Positivliste der deutschen Aufsichtsbehörden für die Fälle, in denen zwingend eine Datenschutz-Folgenabschätzung durchgeführt werden muss aufgenommen. Es sollte gleichwohl eine entsprechende Risikobewertung und Dokumentation vorgenommen werden.

Weitere Informationen zum Thema Datenschutz und Hinweisgeberschutzgesetz finden Sie auch in der Ausgabe Juli 2023 unseres Datenschutz-Newsletters.

(Christina Prowald)

EuGH zum Anspruch auf immateriellen Schadensersatz nach Art. 82 DSGVO

Am 14.12.2023 hat der EuGH in zwei Entscheidungen unter anderem die Voraussetzungen für den Anspruch auf immateriellen Schadensersatz nach Art. 82 DSGVO konkretisiert (EuGH, Urt. v. 14.12.2023 - Az. C-340/21 und EuGH, Urt. v. 14.12.2023 - Az. C-456/22).

In seiner ersten Entscheidung stellt der EuGH zunächst fest, dass der für die Datenverarbeitung Verantwortliche sich bei einer Verletzung des Schutzes personenbezogener Daten durch einen Dritten nach Art. 82 Abs. 3 DSGVO von seiner Haftung befreien kann, indem er nachweist, dass kein Kausalzusammenhang zwischen der etwaigen Verletzung seiner Verpflichtung zum Datenschutz und dem beim Betroffenen entstandenen Schaden besteht. Er könne aber nicht allein deshalb befreit werden, weil der Schaden die Folge eines unbefugten Zugangs durch einen Dritten ist. Der Verantwortliche müsse vielmehr nachweisen, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist.

Hinsichtlich der Frage, ob allein der Umstand, dass ein Betroffener infolge eines Verstoßes gegen die DSGVO befürchtet, dass seine Daten durch Dritte missbräuchlich verwendet werden könnten, einen immateriellen Schaden darstellt, verweist der EuGH auf seine Entscheidung aus Mai 2023 (wir berichteten im Juni 2023). Weiter führt er aus, dass allein der Umstand, dass eine betroffene Person infolge eines Verstoßes gegen die DSGVO befürchtet, dass ihre personenbezogenen Daten durch Dritte missbräuchlich verwendet werden könnten, einen immateriellen Schaden i.S.v. Art. 82 DSGVO darstellen kann. Eine andere Auslegung ist aus Sicht des Gerichts nicht mit der Gewährleistung eines hohen Schutzniveaus bei der Verarbeitung personenbezogener Daten vereinbar. Der Betroffene müsse allerdings die für ihn negativen Folgen sowie den immateriellen Schaden nachweisen. Außerdem müsse das nationale Gericht prüfen, ob die Befürchtungen des Betroffenen als begründet angesehen werden könnten.

In seiner zweiten Entscheidung stellt der EuGH fest, dass eine nationale Regelung oder Praxis, die in Bezug auf immaterielle Schäden eine Bagatellgrenze vorsieht, nicht mit Art. 82 DSGVO vereinbar ist. Eine andere Auslegung sei auch insoweit mit dem Ziel der Gewährleistung eines gleichmäßigen und hohen Schutzniveaus nicht zu vereinbaren. Der Betroffene müsse aber auch in diesem Fall nachweisen, dass die Folgen des Verstoßes, die er erlitten zu haben behauptet, ursächlich für einen Schaden waren, der sich von der bloßen Verletzung unterscheidet. Der EuGH verweist insoweit wiederum auf seine Entscheidung aus Mai 2023.

(Christina Prowald)

EuGH: Verhängung eines Bußgelds setzt schuldhaften Verstoß gegen die DSGVO voraus

Am 5. Dezember 2023 hat der Europäische Gerichtshof (EuGH) in zwei Entscheidungen die Voraussetzungen, unter denen die nationale Aufsichtsbehörde ein Bußgeld verhängen kann, konkretisiert (EuGH, Urt. v. 05.12.2023 - Az. C-683/21 und EuGH, Urt. v. 05.12.2023 - Az. C-807/21). Ein litauisches sowie ein deutsches Gericht hatten sich zuvor hinsichtlich der Möglichkeit der nationalen Aufsichtsbehörden, Verstöße gegen die DSGVO mittels eines Bußgeldes zu ahnden, an den EuGH gewandt.

Das Gericht hat in seinen Urteilen entschieden, dass die Verhängung eines Bußgeldes einen schuldhaften, also vorsätzlichen oder fahrlässigen, Verstoß gegen die DSGVO voraussetzt. Dies sei der Fall, wenn der für die Datenverarbeitung Verantwortliche über die Rechtswidrigkeit seines Verhaltens nicht im Unklaren gewesen sein konnte. Der EuGH stützt sich hierbei unter anderem auf den Wortlaut des Art. 83 DSGVO.

Das Gericht führte in seiner ersten Entscheidung weiter aus, dass gegen einen Verantwortlichen zudem auch Bußgelder verhängt werden könnten, die sich auf Verarbeitungsvorgänge bezögen, die von einem Auftragsverarbeiter durchgeführt werden, soweit diese dem Verantwortlichen zugerechnet werden können. Weiter wies es darauf hin, dass sich eine gemeinsame Verantwortlichkeit zudem allein daraus ergebe, dass die Parteien an der Entscheidung über die Zwecke und Mittel der Verarbeitung mitgewirkt haben. Die Einordnung setze demgegenüber keine förmliche Vereinbarung voraus, gemeinsame oder übereinstimmende Entscheidungen seien ausreichend. Gleichwohl müssten die Pflichten der Parteien in einer Vereinbarung festgelegt werden.

In seiner zweiten Entscheidung macht der EuGH deutlich, dass es keine Voraussetzung für die Verhängung eines Bußgeldes sei, dass zuvor festgestellt wurde, dass der Verstoß von einer identifizierbaren natürlichen Person begangen wurde. Eine Zusammenschau von Art. 4 Nr. 7, Art. 83 und Art. 58 Abs. 2 lit. i) DSGVO ergebe, dass ein Bußgeld auch gegen eine juristische Person verhängt werden kann, sofern sie die Eigenschaft des Verantwortlichen habe. Die DSGVO kenne hingegen keine Bestimmung, die die Verhängung eines Bußgeldes davon abhängig macht, dass dieser Verstoß von einer identifizierbaren natürlichen Person begangen wurde. Eine solche Anforderung könnte zudem die Wirksamkeit und abschreckende Wirkung von Bußgeldern schwächen. Der EuGH führt darüber hinaus aus, dass der das Bußgeld begründende Verstoß nicht von einem Leitungsorgan begangen werden oder dieses Kenntnis von dem Verstoß haben muss, soweit es sich bei dem Verantwortlichen um eine juristische Person handelt. Die juristische Person hafte nicht nur für Verstöße von ihren Vertretern, Leitungspersonen oder Geschäftsführern, sondern auch für Verstöße von sonstigen Personen, die im Rahmen ihrer unternehmerischen Tätigkeit in ihrem Namen handelten. Diese ergebe sich aus Wortlaut, Systematik und Zweck des Art. 83 DSGVO.

(Christina Prowald)

EuGH zu SCHUFA-Scoring und Speicherfristen

Der EuGH hat nach Vorlage des Verwaltungsgerichts Wiesbaden zu zwei Praktiken der SCHUFA entschieden (EuGH, Urt. v. 07.12.2023 - Az. C-634/21; C-26/22; C-64/22). Einerseits sei das durch die SCHUFA stattfindende Scoring nur unter bestimmten Voraussetzungen zulässig, andererseits seien die Speicherpraktiken des Unternehmens betreffend der Informationen zur Restschuldbefreiung datenschutzwidrig.

Das sog. Scoring ist ein mathematisch-statistisches Verfahren um die Wahrscheinlichkeit eines künftigen Verhaltens, etwa die Rückzahlung eines Kredits, zu bestimmen. Bei dem Scoring handele es sich um eine von der DSGVO grundsätzlich verbotene „automatisierte Entscheidung im Einzelfall“, sofern die Kunden der SCHUFA dem Scoring eine maßgebliche Rolle im Rahmen der Kreditgewährung beimessen. Dieses Vorgehen wäre nur dann zulässig, wenn nach dem Unionsrecht oder dem Recht des Mitgliedsstaats, dem der für die Verarbeitung Verantwortliche unterliegt, eine Ausnahme von diesem Verbot vorliegt. Da nach Ansicht des vorlegenden Verwaltungsgerichts dem Scoring eine maßgebliche Rolle im Rahmen der Kreditvergabe zugesprochen wird, muss dieses nun prüfen, inwieweit eine gültige Ausnahme vom Verbot der automatisierten Entscheidung im Einzelfall vorliege und die in der DSGVO vorgesehenen allgemeinen Voraussetzungen für die Datenverarbeitung erfüllt seien.

Hinsichtlich der Speicherung der Informationen über die Erteilung einer Restschuldbefreiung sind die Praktiken der SCHUFA nach Ansicht des EuGH in jedem Fall datenschutzwidrig. Die SCHUFA speichert die Informationen über die Erteilung einer Restschuldbefreiung für drei Jahre. Private Auskunfteien dürften die Daten jedoch nicht länger speichern als ein öffentliches Insolvenzregister. Die Insolvenzregister speichern die Informationen für sechs Monate. Würden die Daten länger als sechs Monate gespeichert, haben Betroffene das Recht auf unverzügliche Löschung. Betreffend der Speicherung der Informationen durch die SCHUFA während der sechs Monate, ist es Sache des vorlegenden Gerichts, die widerstreitenden Interessen miteinander abzuwägen und die Rechtmäßigkeit der Speicherung zu bewerten.

(Hendrik Verst)

BGH zum Auskunftsbegehren auf Nennung der Mitgesellschafter

Der BGH hat am 24. Oktober 2023 entschieden, dass das Auskunftsersuchen eines Gesellschafters, das auch dem Ziel dient, die Namen, Anschriften und Beteiligungshöhe der Mitgesellschafter dazu zu verwenden, diesen Kaufangebote für ihre Anteile zu unterbreiten, keine unzulässige Rechtsausübung und keinen Missbrauch des Auskunftsrechts darstellt und mit den Vorschriften der DSGVO vereinbar ist (BGH, Beschl. v. 24.10.2023 - Az. II ZB 3/23).

Die Klägerin war Mitgesellschafterin an einer Publikum-Fondsgesellschaft. Die Beklagte führte im Auftrag der Fondsgesellschaft ein Register mit den personenbezogenen Daten sowie der Beteiligungshöhe sämtlicher Treugeber. Die Klägerin verlangte von der Beklagten Auskunft über die Namen, Anschriften und die Beteiligungshöhe der Mitgesellschafter und verwies insoweit auf die Zwecke der Vorbereitung einer Gesellschaftsversammlung und der Kontaktaufnahme. Sie merkte an, dass nicht ausgeschlossen sei, dass die Informationen auch zur Unterbreitung von Kaufangeboten verwenden würden. Die Beklagte lehnte das Auskunftsbegehren unter Hinweis auf die DSGVO ab.

Der BGH führte aus, dass wer sich an einer Personen- bzw. Personenhandelsgesellschaft beteilige, damit rechnen müsse, dass neben seinen Daten auch seine Beteiligungshöhe an seine Mitgesellschafter bzw. diesen gleichgestellten Mittreugebern mitgeteilt werde. Bisherigen Entscheidungen hätten sich zwar lediglich auf Namen und Anschrift bezogen, aus der Begründung des Auskunftsrechts durch den Bundesgerichtshof ergebe sich aber mit hinreichender Klarheit, dass auch die Mitteilung der Beteiligungshöhe datenschutzrechtlich zulässig sei.

(Christina Prowald)

Kein Schadensersatz wegen Daten-Scraping bei Facebook

Das OLG Hamm hat sich in zwei weiteren Entscheidungen zum Daten-Scraping bei Facebook geäußert und seine bisherige Rechtsauffassung, nach der die Vorfälle keinen Schadensersatz nach Art. 82 DSGVO rechtfertigen, bestätigt (OLG Hamm, Beschl. v. 22.09.2023 - Az. 7 U 77/23 und OLG Hamm, Urt. v. 17.11.2023 - Az. 7 U 71/23).

Das OLG Hamm führte in den Entscheidungen aus, dass ein auf die Verstöße zurückzuführender immaterieller Schaden weder hinreichend dargelegt noch bewiesen werden konnte. Pauschal vorgetragene Beeinträchtigungen oder die Auflistung generell-abstrakter Gefahren ohne konkrete Darlegung persönlicher Beeinträchtigungen seien insoweit nicht ausreichend.

(Christina Prowald)

OLG Köln: Datenübermittlung an Google unzulässig

Nach Auffassung des OLG Köln ist eine Datenübermittlung an Google auch nach dem neuen Angemessenheitsbeschluss für das EU-US Privacy Data Framework datenschutzwidrig, soweit die übrigen allgemeinen Anforderungen nicht eingehalten werden (OLG Köln, Urt. v. 03.11.2023 - Az. 6 U 58/23).

Beklagte war die Deutsche Telekom, deren Einbindung von Google Analytics auf der Website des Unternehmens vom LG Köln bereits im März 2023 als rechtswidrig bewertet wurde, da es zu einer nicht ausreichend abgesicherten Übermittlung von Daten in die USA kam (wir berichteten im Juni 2023). Das OLG Köln bestätigte die Auffassung des LG nunmehr und äußerte sich darüber hinaus auch zu Datenübermittlungen auf Basis des neuen Angemessenheitsbeschlusses. Das OLG stellt zunächst fest, dass Google unter dem neuen Abkommen zertifiziert ist. Dies ändere aus Sicht des Gerichts allerdings nichts an der Unzulässigkeit der Datenübermittlung im konkreten Fall. Auch bei Vorliegen eines Angemessenheitsbeschlusses müssten die übrigen allgemeinen Anforderungen an eine zulässige Datenverarbeitung erfüllt sein. Etwaige Einwilligungen der Betroffenen seien hier aber unwirksam, da es an der insoweit erforderlichen Information der Betroffenen fehle.

Weiter entschied das Gericht, dass die über den Cookie-Banner einbezogenen Datenschutzhinweise zu Analyse- und Marketing-Cookies der AGB-Kontrolle unterliegen. Die seitens des Klägers beanstandeten Klauseln zu Analyse- und Marketing-Cookies sind nach Auffassung des Gerichts als unzulässig zu bewerten, da sie eine unangemessene Benachteiligung für die Nutzer darstellten. Dies ergebe sich daraus, dass in den Datenschutzhinweisen für die Übermittlung von personenbezogenen Daten in Drittländer eine Rechtsgrundlage genannt wurde, die die Verarbeitung nicht legitimierte.

(Christina Prowald)

LAG Düsseldorf: Kein Schadensersatz für verspätete und unvollständige Auskunft

Das LAG Düsseldorf hat am 28. November 2023 eine Klage auf Schadensersatz wegen verspäteter und unvollständiger Auskunftserteilung abgewiesen (LAG Düsseldorf, Urt. v. 28.11.2023 - 3 Sa 285/23, Pressemitteilung v. 28.11.2023).

Der Kläger war im Dezember 2016 bei dem Kundenservice eines Immobilienunternehmens (die Beklagte) beschäftigt und machte im Jahr 2020 gegenüber der Beklagten einen Auskunftsanspruch nach Art. 15 DSGVO geltend, den diese nicht beantwortete. Im Oktober 2022 verlangte der Kläger erneut Auskunft. Die ihm daraufhin erteilte Auskunft rügte der Kläger als verspätet und inhaltlich mangelhaft. Er führte aus, dass konkrete Angaben zur Dauer der Datenspeicherung und zu den Empfängern fehlten und die Datenkopie unvollständig sei. Auf Wunsch des Klägers konkretisierte die Beklagte die Auskunft in der Folge mehrfach. Der Kläger verlangte sodann Schadensersatz nach Art. 82 DSGVO von der Beklagten, weil diese sein Auskunftsrecht mehrfach verletzt habe.

In erster Instanz sprach das AG Duisburg dem Kläger eine Geldentschädigung i.H.v. 10.000 Euro zu. Das LAG Düsseldorf wies die Klage nunmehr vollständig ab. Es führte aus, dass die Beklagte zwar gegen Art. 12 und 15 DSGVO verstoßen habe, weil sie die Auskunft nicht fristgerecht und anfangs unvollständig erteilte. Dies begründe aber keinen Anspruch auf Schadensersatz nach Art. 82 DSGVO. Die Vorschrift setze eine gegen die DSGVO verstoßende Datenverarbeitung voraus. Daran fehle es bei der bloßen Verletzung der Auskunftspflicht aus Art. 15 DSGVO. Zudem erfordere die Vorschrift mehr als einen bloßen Verstoß gegen die Vorschriften der DSGVO. Der vom Kläger angeführte Kontrollverlust genüge insoweit nicht.

(Christina Prowald)

LG Augsburg: Footer in E-Mail ist keine Werbung

Das AG Augsburg hat am 9. Juni 2023 entschieden, dass es sich bei einer E-Mail, die im Footer Links zum eigenen Internetauftritt sowie zu den Social-Media-Kanälen des Unternehmens enthält, nicht um unerlaubte Werbung handelt (wir berichteten im August 2023). Das LG Augsburg hat sich nunmehr mit Beschluss vom 18. Oktober 2023 dieser Auffassung angeschlossen (LG Augsburg, Hinweisbeschluss v. 18.10.2023 - Az. 044 S 2196/23). Das Einblenden eines bloßen Links auf Social-Media-Präsenzen stelle sich nicht als rechtswidrig dar. Die bloße Verlinkung auf Social-Media-Auftritt der Beklagten sei, wenn man sie überhaupt als Werbung ansehe, keine konkrete Beeinträchtigung des Klägers. Mittels des Links werde nicht für konkrete Produkte geworben, der Link habe für sich genommen keinen konkreten Informationsgehalt. Der Kläger habe die Links einfach ignorieren können. Entsprechende Links seien als Teil der Signatur mittlerweile üblich, sodass für den Leser keinerlei Aufwand entstehe, um diese vom informatorischen Teil der E-Mail zu trennen.

(Christina Prowald)

VG Bremen zum Umfang der Auskunftspflicht gegenüber der Aufsichtsbehörde

Das VG Bremen hat am 27.11.2023 entschieden, dass der für die Datenverarbeitung Verantwortliche gegenüber der zuständigen Aufsichtsbehörde grundsätzlich zur Auskunft verpflichtet ist. Ist die Gefahr eines Ordnungswidrigkeitenverfahrens gegeben, besteht jedoch ein Auskunftsverweigerungsrecht (VG, Bremen, Urt. v. 27.11.2023 - Az. 4 K 1160/22, BeckRS 2023, 34504).

Die Klägerin war Inhaberin eines Buchhaltungsbüros und installierte in ihren Büroräumen eine Videoüberwachung, mittels derer nicht nur die Büroräume, sondern auch der davor befindliche öffentliche Raum überwacht wurde. Nachdem die Aufsichtsbehörde hierüber seitens des Ordnungsamtes informiert wurde, ließ diese der Beklagten einen umfangreichen Fragenkatalog im Hinblick auf die Videoüberwachung zukommen. Nachdem die Klägerin trotz mehrfacher Aufforderung keine Auskunft erteilte, wurde seitens der Aufsichtsbehörde ein Zwangsgeld i.H.v. 50 Euro für jede nicht beantwortete Frage angedroht. Die Klägerin erhob daraufhin Klage.

Das Gericht führte aus, dass datenschutzrechtlich Verantwortliche dem der Aufsichtsbehörde zustehenden Auskunftsanspruch nachkommen müssen und stellte fest, dass es sich bei der Klägerin um die für die Videoüberwachung Verantwortliche handelt. Der Fragekatalog der Aufsichtsbehörde ist aus Sicht des Gerichts nicht zu beanstanden, da die Fragen erkennbar dazu dienten, den Sachverhalten bewerten zu können. Dass der Fragekatalog über die reine Beantwortung von Fragen hinausgehe (u.a. Vorlage von Hinweisschildern, des Verfahrensverzeichnisses und der Datenschutz-Folgenabschätzung), sei nicht zu beanstanden. Einzig der Einwand der Klägerin, sie habe keine Auskünfte wegen eines möglicherweise eingeleiteten Ordnungswidrigkeitenverfahrens machen wollen, könne vom Grundsatz her zugunsten der Klägerin berücksichtigt werden. Die Einleitung eines solchen habe die Klägerin aber nicht nachgewiesen. Das Gericht entschied in der Folge, dass die Zwangsgeldandrohung rechtmäßig war.

(Christina Prowald)