Sehr geehrte Damen und Herren,

am 24. Mai 2024 findet unser 4. BRANDI-Datenschutzrechtstag statt. In mittlerweile bewährter Tradition laden wir Sie hierzu bereits jetzt herzlich ein!

Die Veranstaltung wird in diesem Jahr in Paderborn am Heinz-Nixdorf-Museumsforum in den Räumlichkeiten der Fachhochschule der Wirtschaft stattfinden. Daneben wird es auch in diesem Jahr die Möglichkeit geben, passiv online an unserem Datenschutzrechtstag teilzunehmen.

Für die Veranstaltung konnten wir erneut einen renommierten Experten gewinnen. In diesem Jahr werden wir unter anderem mit Thilo Weichert, der als langjähriges Jurymitglied über die Verleihung der jährlichen Big-Brother-Awards mitentscheidet, diskutieren. Herr Dr. Weichert ist einer der bekanntesten deutschen Datenschutzexperten und ehemaliger Leiter der Datenschutzaufsichtsbehörde in Schleswig-Holstein (ULD).

Sie haben bereits jetzt die Möglichkeit, sich über unser Anmeldeformular für die Veranstaltung anzumelden. Die Möglichkeit zur Anmeldung finden Sie unter dem folgenden Link: Anmeldung. Über die weiteren Details und näheren Inhalte der Veranstaltung informieren wir Sie zeitnah.

Bei Rückmeldungen zu diesem Newsletter oder Fragen im Zusammenhang mit den Themen des Newsletters bitten wir Sie, uns eine E-Mail an datenschutz@brandi.net zu senden. Die weiteren Kontaktdaten finden Sie auch auf unserer Homepage.

Dr. Sebastian Meyer und das Datenschutzteam von BRANDI

Thema des Monats: Datenschutzkonforme Gestaltung eines Cookie-Banners

Für den größten Teil der Online-Angebote kommen Tools zum Nutzertracking und weitere Dienste von Drittanbietern zum Einsatz, zum Beispiel für die Einbindung von Kartenmaterial oder Videos. Zum Schutz der Privatsphäre hat die Rechtsprechung unter Berufung auf das Rechts auf informationelle Selbstbestimmung verschiedene Anforderungen formuliert, die bei der Nutzung entsprechender Dienste einzuhalten sind. Die Anforderungen sind vor allem dann zu beachten, wenn technisch nicht notwendiger Cookies eingesetzt werden. In diesen Fällen ist es nach Auffassung von EuGH (EuGH, Urt. v. 01.10.2019, Az. C-673/17) und BGH (BGH, Urt. v. 28.05.2020, Az. I ZR 7/16) erforderlich, eine Einwilligung der Nutzer in die in diesem Zusammenhang erfolgenden Datenverarbeitungsprozesse einzuholen. Zum Einsatz von mit Cookies vergleichbaren Technologien hat sich die höchstrichterliche Rechtsprechung zwar bislang nicht ausdrücklich geäußert. Unter Berücksichtigung von e-Privacy-Richtlinie und Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) sind insoweit wohl allerdings entsprechende Anforderungen zu stellen. Zur Einwilligungsabfrage wird typischerweise ein sogenanntes Cookie-Banner verwendet. Da die Seitenbetreiber in der Regel ein großes Interesse an der Analyse des Verhaltens und der Interessen der Nutzer haben, um ihnen unter anderem auf sie zugeschnittene Angebote und Werbung präsentieren zu können, wird häufig versucht, eine für den Betreiber möglichst optimierte Gestaltung des Cookie-Banners zu verwenden, um auf diese Weise eine möglichst hohe Einwilligungsquote zu erreichen. Entsprechende Gestaltungen sind in gewissen Grenzen auch zulässig; es müssen allerdings die grundlegenden Vorgaben der Datenschutz-Grundverordnung (DSGVO), die zu dieser Thematik ergangenen Rechtsprechung und das Ende 2021 in Kraft getretenen Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) beachtet werden.

Zum vollständigen Schwerpunktthema

Europäischer Datenschutztag 2024 in Berlin

Am 29. Januar hat der 18. Europäische Datenschutztag 2024 zum Thema „Digitale Transformation - die Datenschutz-Zukunft gestalten“ in Berlin stattgefunden. Die Veranstaltung wurde von der Datenschutzbehörde Schleswig-Holstein, die im Jahr 2023 den Vorsitz der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) innehatte, ausgerichtet. Inhaltlich ging es um die Herausforderungen, die sich aus der zunehmenden Digitalisierung ergeben. Im Rahmen der Veranstaltung diskutierten namenhafte nationale und internationale Expertinnen und Experten, darunter Anu Talus (Vorsitzende des Europäischen Datenschutzausschusses) und John J. Borking (ehemaliger Vizepräsident der niederländischen Datenschutzaufsicht), über wichtige Entwicklungen im Bereich Datenschutz. Inhaltlich ging es um die Wechselwirkungen neuer gesetzlicher Regelungen und der Datenschutz-Grundverordnung (DSGVO), den sich verändernden Umgang mit den sich aus der DSGVO ergebenden Anforderungen, das Thema Künstliche Intelligenz sowie die im Entwurf zum neuen Bundesdatenschutzgesetz (BDSG) vorgesehen Institutionalisierung der DSK.

Anlässlich des auf Initiative des Europarats ins Leben gerufenen Aktionstags hat die Gesellschaft für Datenschutz und Datensicherheit (GDD) e.V. eine Checkliste zu Auskunftsersuchen veröffentlicht. Die GDD sieht es aufgrund der formal-rechtlichen Anforderungen, des großen Umfangs der zu beauskunftenden Daten und des engen Zeitfensters als erforderlich an, dass Unternehmen sich frühzeitig mit der Thematik auseinandersetzen und entsprechende Prozesse im Unternehmen etablieren, um Auskunftsansprüche effektiv bearbeiten zu können. Die GDD geht in ihrer Checkliste auf organisatorische, prozessuale und normative Regelungen sowie technische Voraussetzungen ein. Die Empfehlungen basieren dabei nach Angaben der GDD vor allem auf den seitens der Rechtsprechung erarbeiteten Anforderungen.

(Christina Prowald)

EuGH: Kein Schadensersatz bei hypothetischem Risiko der missbräuchlichen Verwendung

Ein theoretisches Risiko der missbräuchlichen Verwendung von Daten rechtfertigt nach Auffassung des EuGH keinen Schadensersatz nach Art. 82 DSGVO (EuGH, Urt. v. 25.01.2024, Az. C-687/21).

In dem der Entscheidung zugrundeliegenden Fall hatte ein Kunde gegen Saturn geklagt, weil ein von ihm erworbenes Gerät inklusive der Kauf- und Finanzierungsunterlagen, die verschiedene personenbezogene Daten enthielten, an einen falschen Kunden ausgehändigt wurde. Der Irrtum wurde rasch bemerkt und die Rückgabe von Gerät und Unterlagen innerhalb einer halben Stunde erwirkt.

Der EuGH vertritt zunächst die Auffassung, dass der Umstand, dass Mitarbeiter des Verantwortlichen irrtümlich ein Dokument mit personenbezogenen Daten an einen unbefugten Dritten weitergegeben haben, nicht ausreicht, um davon auszugehen, dass die technischen und organisatorischen Maßnahmen des Verantwortlichen nicht geeignet i.S.d. Art. 24 und 32 DSGVO waren. Weiter entschied das Gericht, dass der Schadensersatzanspruch des Art. 82 DSGVO lediglich eine Ausgleichsfunktion, aber keine Straffunktion erfüllt. Der EuGH verwies insoweit insbesondere auf den Unterschied zwischen den in Art. 82 DSGVO und den in Art. 83 und 84 enthaltenen Bestimmungen hin. Die Schwere des Verstoßes sei zudem für die Zwecke des Ersatzes eines Schadens sowie die Höhe des Schadensersatzes nicht zu berücksichtigen. Der EuGH entschied weiter, dass die Person, die den Schadensersatz geltend macht, nicht nur den Verstoß, sondern auch den entstandenen Schaden nachweisen muss. Aus dem Wortlaut der Bestimmung ergebe sich, dass ein bloßer Verstoß gegen die DSGVO nicht ausreichend ist, um einen Schadensersatzanspruch zu begründen. Vielmehr müssten neben einem Verstoß auch ein Schaden sowie ein Kausalzusammenhang zwischen Verstoß und Schaden vorliegen. Der Schaden müsse zwar keine Erheblichkeitsschwelle überschreiten. Es sei aber erforderlich, nachzuweisen, dass die Folgen der Verletzung einen immateriellen Schaden darstellen. Wurden personenbezogene Daten irrtümlich an einen unbefugten Dritten weitergegeben, der diese Daten erwiesenermaßen nicht zur Kenntnis genommen hat, resultiert hieraus nicht schon deshalb ein immaterieller Schaden, weil die betroffene Person befürchtet, dass im Nachgang der Weitergabe eine Weiterverbreitung oder ein Missbrauch der Daten stattfinden könnte. Das Gericht führte insoweit aus, dass der Begriff des immateriellen Schadens zwar weit zu verstehen sei und die Befürchtung des Datenmissbrauchs vom Grundsatz her einen immateriellen Schaden darstellen könne. Das Vorliegen eines entsprechenden Schadens müsse aber nachgewiesen werden. Ein rein hypothetisches Risiko der missbräuchlichen Verwendung durch einen unbefugten Dritten könne nicht zu einer Entschädigung führen.

(Christina Prowald)

EuGH: Keine lebenslange Speicherung der Biometrie-Daten Verurteilter

Am 30. Januar 2024 hat der EuGH entschieden, dass es unzulässig ist, personenbezogene, insbesondere biometrische und genetische Daten verurteilter Personen bis zum Tod der betroffenen Person und auch im Fall ihrer Rehabilitierung ohne regelmäßige Prüfung der Erforderlichkeit einer weiteren Aufbewahrung und ohne der betroffenen Person ein Recht auf Löschung der Daten oder Einschränkung der Datenverarbeitung bei Zweckfortfall zuzuerkennen, zu speichern (EuGH, Urt. v. 30.01.2024, Az. C-118/22).

Der EuGH stellt dabei auf eine Verhältnismäßigkeitsentscheidung sowie die Einhaltung des Grundsatzes der Datenminimierung ab. Auch wenn die Speicherung sensibler Daten wie Fingerabdrücke und DNA von verurteilten Personen durch Polizeibehörden zur Verfolgung und Prävention von Straftaten oder die Vollstreckung strafrechtlicher Sanktionen grundsätzlich gerechtfertigt ist, ist regelmäßig zu überprüfen, ob der mit der Speicherung verbundene Grundrechtseingriff noch erforderlich ist. Zur Sicherstellung der Einhaltung der insoweit bestehenden Fristen seien verfahrensrechtliche Vorkehrungen zu etablieren. Die gespeicherten Daten könnten zwar unerlässlich sein, um zu überprüfen, ob die betroffene Person in weitere Straftaten verwickelt ist. Insoweit müsse aber berücksichtigt werden, dass das Risiko nicht bei allen Verurteilten gleich hoch sei. Eine lebenslange Speicherung sei nur unter besonderen Umständen, die die Speicherung gebührend rechtfertigen, angemessen. Dies sei insbesondere nicht der Fall, wenn die insoweit maßgebliche Regelung allgemein und unterschiedslos für jede rechtskräftig verurteilte Person gelte.

Der Entscheidung liegt ein Fall zugrunde, im Rahmen dessen eine Person in Bulgarien im Rahmen eines Ermittlungsverfahrens wegen falscher Zeugen polizeilich registriert wurde. Nach der Verbüßung ihrer Bewährungsstrafe galt die Person grundsätzlich als rehabilitiert, weshalb sie die Löschung ihrer Daten aus dem Polizeiregister verlangte. Nach bulgarischem Recht dürfen Fingerabdrücke und DNA-Profile aber bislang bis zum Tod der betroffenen Person gespeichert und für Abgleiche genutzt werden.

(Christina Prowald)

OLG Hamburg: Schadensersatz wegen unerlaubter Meldung an SCHUFA

Die pflichtwidrige Meldung von Forderungen durch eine Bank an die SCHUFA rechtfertigt nach Auffassung des OLG Hamburg einen Schadensersatzanspruch des Betroffenen nach Art. 82 DSGVO i.H.v. 4.000 Euro (OLG Hamburg, Urt. v. 10.01.2024, Az. 13 U 70/23). Die beklagte Bank hatte zweimal ihre Forderungen gegen den Kläger an die SCHUFA gemeldet, obwohl es an den hierfür erforderlichen Voraussetzungen fehlte.

Das Gericht führte aus, dass dem Kläger ein ersatzfähiger immaterieller Schaden entstanden sei, da der Kläger durch die unberechtigten Meldungen eine Beeinträchtigung seines sozialen Ansehens durch die Darstellung als unzuverlässiger Schuldner hinnehmen musste. Der Kläger konnte insoweit auch nachweisen, dass ihm durch die Meldungen und der daraus resultierenden verschlechterten Einschätzung seines Bonitätsrisikos Nachteile in Bezug auf die Gewährung eines Kredits entstanden sind und seine Kreditkarte gesperrt wurde.

Bei der Bemessung des Schadensersatzes ist nach Auffassung des Gerichts insbesondere zu berücksichtigen, dass die Beklagte bedingt vorsätzlich gehandelt hat. Es müsse außerdem beachtet werden, dass die Beklagte trotz Aufforderung durch den Kläger und Darlegung der Rechtswidrigkeit der Meldungen keinen Widerruf eben jener vorgenommen hat.

(Christina Prowald)

OLG Hamm: Weiterhin kein Schadensersatz wegen Daten-Scraping auf Facebook

Das OLG Hamm ist auch nach den neuen EuGH-Entscheidungen zum Anspruch auf immateriellen Schadensersatz nach Art. 82 DSGVO (wir berichteten im Januar 2024) weiter der Auffassung, dass die Daten-Scraping-Vorfälle bei Facebook keinen Schadensersatz nach Art. 82 DSGVO rechtfertigen und hat insoweit seine bisherige Rechtsauffassung bestätigt (OLG Hamm, Beschl. v. 21.12.2023, Az. 7 U 137/23).

Das Gericht führte in seiner Entscheidung vom 21. Dezember 2023 erneut aus, dass der Kläger, der von einem Verstoß gegen die DSGVO betroffen ist und insoweit negative Folgen geltend macht, nachweisen muss, dass diese Folgen einen immateriellen Schaden i.S.v. Art. 82 DSGVO darstellen. Es wies außerdem darauf hin, dass das Gericht durch die Würdigung der vom Kläger hierzu dargelegten Indizien die Vorgaben des EuGH umsetze. Hiernach müsse das angerufene nationale Gericht, wenn sich eine Person auf die Befürchtung beruft, dass ihre personenbezogenen Daten in Zukunft aufgrund eines solchen Verstoßes missbräuchlich verwendet werden, prüfen, ob diese Befürchtung unter den gegebenen Umständen und mit Blick auf die betroffene Person als begründet anzusehen sei. Im vorliegenden Fall fehle es aber an einem kausalen immateriellen Schaden. Die streitgegenständliche Frage zur fehlenden Qualität der negativen Folge eines bloßen Kontrollverlusts als immaterieller Schaden sei durch die aktuellen Entscheidungen des EuGH bereits geklärt.

(Christina Prowald)

OLG Dresden äußert sich zu Daten-Scraping auf Facebook

Das OLG Dresden hat am 5. 12. 2023 ebenfalls entschieden, dass die Daten-Scraping-Vorfälle auf Facebook keinen Schadensersatz nach Art. 82 DSGVO gegen das Unternehmen begründen (OLG Dresden, Urt. v. 05.12.2023, Az. 4 U 709/23, abrufbar über https://www.justiz.sachsen.de/esamosplus/pages/index.aspx).

Das Gericht stellte fest, dass zwar grundsätzlich Verstöße gegen die DSGVO vorliegen, diese aber nicht zu einem kausalen immateriellen Schaden des Klägers und dementsprechend auch nicht zu einem Anspruch auf Schadensersatz geführt haben. Das OLG Dresden führte weiter aus, dass die Beweislast für das Vorliegen eines Schadens beim Kläger liege. Einen Beweis für den Schaden und den Kausalzusammenhang habe der Kläger aber nicht erbracht. Der bloße Kontrollverlust sei für die Begründung eines immateriellen Schadens allein nicht ausreichend. Der Kontrollverlust müsse bestimmte Folgen für die betroffene Person gehabt haben, um einen immateriellen Schaden rechtfertigen zu können. Der Kläger müsse insoweit eine über den Kontrollverlust hinausgehende Beeinträchtigung, einen immateriellen Schaden im konkreten Einzelfall nachweisen. Ansonsten würde nach Auffassung des Gerichts praktisch jeder Datenschutzverstoß zu einem Schaden führen. Die Behauptung, der Kontrollverlust habe ein großes Unwohlsein sowie Sorge über einen möglichen Missbrauch ausgelöst, sei insoweit ebenfalls nicht ausreichend.

(Christina Prowald)

ArbG Suhl: Beantwortung Auskunftsersuchen per unverschlüsselter E-Mail unzulässig

Am 20. Dezember 2023 hat das ArbG Suhl entschieden, dass die Beantwortung eines Auskunftsbegehrens nach Art. 15 DSGVO mittels einer unverschlüsselten E-Mail nicht zulässig ist (ArbG Suhl, Urt. v. 20.12.2023, Az. 6 Ca 704/23).

Der Kläger begehrte von der Beklagten Auskunft über alle über ihn gespeicherten Daten in schriftlicher Form. Die Beklagte übersandte die angefragten Informationen in der Folge mittels einer unverschlüsselten E-Mail, woraufhin der Kläger wiederum Beschwerde gegen die Beklagte bei der Datenschutzaufsichtsbehörde Thüringen (TLfDI) erhob. Der TLfDI teilte die Auffassung des Klägers, dass eine Auskunftserteilung mittels unverschlüsselter E-Mail gegen Art. 5 Abs. 1 lit. f) DSGVO verstoße. Der Kläger wandte sich im weiteren Verlauf auch wegen weiterer Datenschutzverletzungen der Beklagten an den TLfDI und verlangte schließlich Schadensersatz i.H.v. 10.000 Euro.

Das Gericht entschied nunmehr, dass dem Kläger kein Anspruch auf Schadensersatz nach Art. 82 DSGVO zusteht. Zur Begründung führte das ArbG Suhl an, dass es an der Darlegung des Eintritts eines Schadens beim Kläger fehle. Es liege zwar, wie auch bereits vom TLfDI bestätigt, ein Verstoß gegen Art. 5 DSGVO wegen der Versendung der unverschlüsselten E-Mail vor. Einen Schaden habe der Kläger aber nicht dargelegt. Ein solcher ergebe sich nicht bereits aus dem Verstoß gegen die DSGVO. Es sei unter Berücksichtigung der Rechtsprechung des EuGH vielmehr auch ein Schaden sowie ein Kausalzusammenhang zwischen Verstoß und Schaden erforderlich. Einen solchen müsse der Kläger nachweisen. Dies sei aber nicht erfolgt, sodass ein Schadensersatzanspruch nach Art. 82 DSGVO ausscheide.

(Christina Prowald)

BfDI fordert Abschluss von WhatsApp-Verfahren

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) fordert die irische Datenschutzbehörde (DPC) auf, einen Beschluss im immer noch offenen Verfahren gegen WhatsApp zu erlassen und die verbliebenen Fragen abschließend zu klären (Pressemitteilung v. 12.01.2024).

In dem Verfahren geht es um die im Zuge der DSGVO-Einführung abgeänderten Nutzungsbedingungen sowie die damit verbundene Datenschutzrichtlinie, die von Nutzern akzeptiert werden musste, um den Messenger-Dienst weiterhin nutzen zu können. Das Unternehmen vertrat insoweit die Auffassung, dass durch die Zustimmung zu den Nutzungsbedingungen ein Vertrag zwischen WhatsApp und dem Nutzer zustande komme und die Datenverarbeitungen durch WhatsApp zur Erfüllung dieses Vertrages erforderlich seien. Der Beschwerdeführer führte demgegenüber an, dass WhatsApp sich eigentlich auf eine Einwilligung stützen wolle und die Nutzer faktisch dazu zwinge, der Datenverarbeitung zuzustimmen. Nachdem keine Einigung zwischen den beteiligten Aufsichtsbehörden erzielt werden konnte, stellte der EDSA fest, dass die Datenverarbeitungen nicht auf die Vertragserfüllung gestützt werden können. Die DPC entschied in der Folge, dass WhatsApp nicht berechtigt ist, sich auf Art. 6 Abs. 1 lit. b) DSGVO zu beziehen (wir berichteten im Februar 2023).

Eine abschließende Bewertung, ob die Maßnahmen, die WhatsApp anlässlich des Beschlusses der DPC getroffen hat, ausreichen, um den Beschluss umzusetzen und den Dienst datenschutzkonform nutzen zu können, blieb bislang allerdings aus. Es wurde bislang ebenfalls seitens der DPC nicht untersucht, ob WhatsApp personenbezogene Daten für Zwecke der verhaltensbezogenen Werbung, für Marketingzwecke sowie für die Bereitstellung von Statistiken an Dritte und den Austausch von Daten mit verbundenen Unternehmen verarbeitet und ob dies datenschutzkonform geschieht, obwohl eine solche Untersuchung seitens des EDSA verlangt wurde. Der BfDI will sich nunmehr für eine Klärung der noch offenen Fragen und einen schnellen Abschluss des Verfahrens einsetzen.

(Christina Prowald)

LfDI: Diskussionspapier zum Einsatz von KI veröffentlicht

Der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg (LfDI) hat am 7. November 2023 ein Diskussionspapier mit dem Titel „Rechtsgrundlagen im Datenschutz beim Einsatz von Künstlicher Intelligenz“ veröffentlicht. Darin geht es um die Frage, wann und wie personenbezogene Daten für das Training und die Anwendung von Künstlicher Intelligenz verarbeitet werden dürfen.

Ziel des Dokuments ist es, Verantwortliche bei dem datenschutzkonformen Einsatz von KI-Systemen zu unterstützen. Dabei soll insbesondere eine Auseinandersetzung mit den insoweit maßgeblichen Rechtsgrundlagen erfolgen. Zunächst wird darauf aufmerksam gemacht, wie vielfältig Datenverarbeitungsprozesse im Kontext von KI-Systemen sein können. Dazu werden beispielhaft fünf Verarbeitungsphasen dargestellt. Anschließend geht es um die datenschutzrechtliche Verantwortlichkeit für die Datenverarbeitungsprozesse sowie die Konzepte der Gemeinsamen Verantwortlichkeit und der Auftragsverarbeitung. Im weiteren erfolgt eine vertiefte Auseinandersetzung mit den verschiedenen Rechtsgrundlagen, die im Kontext der Nutzung von KI-Systemen eine Rolle spielen können. Das Diskussionspapier enthält außerdem eine Kurz-Checkliste sowie weiterführende Hinweise zur einschlägigen Rechtsprechung und Literatur.

(Christina Prowald)

SDTB: Neue Broschüre „Achtung Kamera“

Die Sächsische Datenschutz- und Transparenzbeauftragte (SDTB) verzeichnet vermehrt Anfragen zum Thema Videoüberwachung. Nach 130 Eingaben im Jahr 2021 folgten 200 Eingaben im Jahr 2023. Der Anstieg ist dabei ausschließlich auf nicht-öffentliche Stellen zurückzuführen. Unter dem Titel „Achtung Kamera!“ hat die SDTB deshalb am 9. November 2023 Hinweise zur Videoüberwachung für Bürgerinnen und Bürger, Wirtschaft und Behörden veröffentlicht.

Die Broschüre befasst sich im ersten Kapitel mit der Videoüberwachung durch nicht-öffentliche Stellen. Dabei wird zunächst darauf eingegangen, welche Maßnahmen unter den Begriff der Videoüberwachung fallen. Anschließend werden unter anderem Themen wie die Speicherdauer, die Dokumentation der Videoüberwachung, mögliche Rechtsgrundlagen sowie die Konsequenzen unrechtmäßiger Videoüberwachungsmaßnahmen behandelt. Außerdem beschäftigt sich die Broschüre mit den Hinweispflichten, verschiedenen Fragestellungen zur Überwachung von Beschäftigten und der Überwachung von unterschiedlichen Bereichen, wie Baustellen, Tankstellen und dem Einzelhandel. Auch Verarbeitungssituationen außerhalb der klassischen Videoüberwachung, wie etwa Klingelkameras, Webcams und die Parkraumüberwachung, werden aufgegriffen.

Die SDTB, Dr. Juliane Hundert, äußerte sich zum Thema Videoüberwachung wie folgt: „Nur bei jeder dritten Videoüberwachung, die ich aufgrund einer Beschwerde prüfe, ist datenschutzrechtlich nichts zu beanstanden. Besonders bei Privatpersonen erfolgt der Kameraeinsatz überwiegend rechtswidrig. Sie nutzen die im Handel angebotenen Produkte oftmals zu sorglos und in unzulässiger Weise. Zu oft gerät außer Acht, dass Videoüberwachung grundsätzlich einen enormen Eingriff in die Privatsphäre darstellt. Deshalb ist Videoüberwachung nicht permanent und flächendeckend, sondern nur unter bestimmten Voraussetzungen oder überhaupt nicht zulässig.“

(Christina Prowald)

Frankreich: Bußgeld i.H.v. 32 Mio. Euro gegen Amazon France Logisitique

Die französische Datenschutzbehörde (CNIL) hat am 27. Dezember 2023 ein Bußgeld i.H.v. von 32 Mio. Euro gegen Amazon France Logistique verhängt (Mitteilung v. 23.01.2024).

Jeder Lagermitarbeiter von Amazon France Logistique erhält im Rahmen seiner Tätigkeit einen Scanner, um die Ausführung der ihm zugewiesenen Aufgaben in Echtzeit zu dokumentieren. Jeder Scan des Mitarbeiters führt dabei zur Aufzeichnung von Daten, die gespeichert und zur Berechnung von Indikatoren verwendet werden, die Aufschluss über die Qualität, die Produktivität und die Inaktivitätszeiten der einzelnen Mitarbeiter geben. Nach verschiedenen Presseartikeln führte die CNIL Untersuchungen in dieser Sache durch und ging mehreren Beschwerden von Betroffenen nach.

Die Aufsichtsbehörde stellte nunmehr verschiedene Verstöße gegen die DSGVO fest. So liege in mehrfacher Hinsicht ein Verstoß gegen den Grundsatz der Datenminimierung (Art. 5 Abs. 1 lit. c) DSGVO) vor und die Erfassung verschiedener Indikatoren könne aufgrund der übermäßigen Überwachung der Mitarbeiter nicht auf ein berechtigtes Interesse gem. Art. 6 Abs. 1 lit. f) DSGVO gestützt werden. Darüber hinaus stellte die CNIL verschiedene Verstöße gegen die Pflicht zur Information und Transparenz (Art. 12 und 13 DSGVO) sowie gegen die Pflicht, ausreichende technische und organisatorische Maßnahmen zu ergreifen (Art. 32 DSGVO), fest. Inhaltlich bezogen sich die gerügten Verstöße auf die Themen Videoüberwachung, Arbeitspläne und Mitarbeiterbeurteilungen sowie die Lagerverwaltung.

(Christina Prowald)