Sehr geehrte Damen und Herren,

wir laden Sie herzlich zu unserem Datenschutzrechtstag am 24.05.2024 ein!

Seit dem Inkrafttreten der DSGVO konnten einige datenschutzrechtliche Fragestellungen im Zusammenhang mit der Anwendung der DSGVO ganz oder zumindest teilweise geklärt werden. Andere Fragen und Probleme stellen sich nach wie vor oder sogar gänzlich neu.

Wir möchten den 5. BRANDI Datenschutzrechtstag dazu nutzen, um mit Ihnen und externen Experten gemeinsam zu Fragestellungen aus den Bereichen Betroffenenrechte, Konsequenzen bei Datenschutzverstößen sowie Datenschutz und neue Technologien zu diskutieren. Unsere Veranstaltung findet in diesem Jahr in Präsenz im Heinz Nixdorf Museumsforum in den Räumlichkeiten der Fachhochschule der Wirtschaft statt. Über eine persönliche Begegnung in Paderborn würden wir uns sehr freuen. Daneben gibt es auch wieder die Möglichkeit passiv online an unserem Datenschutzrechtstag teilzunehmen.

Für die Veranstaltung konnten wir erneut renommierte Experten gewinnen. In diesem Jahr werden Dr. Thilo Weichert, ehemaliger Leiter der Datenschutzaufsichtsbehörde in Schleswig-Holstein (ULD) und Prof. Dr. Eckhard Koch, Experte für Cybersicherheit, bei uns zu Gast sein und unseren Datenschutzrechtstag mitgestalten.

Auf zwei Impulsreferate folgt jeweils eine moderierte Diskussionsrunde zur Vertiefung der verschiedenen Fragestellungen und Themen. Bei unserem Datenschutzrechtstag befassen wir uns unter anderem mit folgenden Aspekten:

• Betroffenenrechte: Umfang des Auskunftsanspruchs, „Kopie“ personenbezogener Daten, Geltendmachung des Auskunftsanspruchs aus datenschutzfremden Gründen und wann ist der Auskunftsanspruch erfüllt?
• Schadensersatz: Voraussetzungen eines Schadensersatzanspruchs, Auslegung des Begriffs „immaterieller Schaden“
• Bußgelder: Anforderungen an den Verstoß - Verstöße von juristischen Personen, Vorsatz und Fahrlässigkeit
• Datenschutzkonforme Gestaltung von Cookie-Bannern und Zulässigkeit von Pur-Abo-Modellen
• Technische und organisatorische Maßnahmen im Datenschutzrecht und Richtlinien zum IT-Einsatz
• Meldung und Vorgehen bei Datenschutzvorfällen
• Künstliche Intelligenz und Datenschutzrecht

Weitere Informationen zum Ablauf der Veranstaltung sowie eine Möglichkeit zur Anmeldung finden Sie auf unserer Homepage.

Bei Rückmeldungen zu diesem Newsletter oder Fragen im Zusammenhang mit den Themen des Newsletters bitten wir Sie, uns eine E-Mail an datenschutz@brandi.net zu senden. Die weiteren Kontaktdaten finden Sie auch auf unserer Homepage.

Dr. Sebastian Meyer und das Datenschutzteam von BRANDI

Thema des Monats: Datenlöschung - Online und Offline

Im Zusammenhang mit der Speicherung oder sonstigen Aufbewahrung von Daten und deren Löschung heißt es häufig, dass gelöschte Daten die sichersten Daten seien. Die Aussage bezieht sich insbesondere auf den Grundsatz der Speicherbegrenzung nach Art. 5 Abs. 1 lit. e) DSGVO, eines der wesentlichen Prinzipien des Datenschutzrechts. Personenbezogene Daten dürfen hiernach nur so lange gespeichert bzw. in sonstiger Weise aufbewahrt werden, wie dies für die verfolgten Zwecke erforderlich ist. Sobald die Daten nicht länger benötigt werden, sind sie nach Art. 17 Abs. 1 DSGVO zu löschen. Durch die Vorgaben zur Löschung soll unter anderem verhindert werden, dass personenbezogene Daten in die Hände unberechtigter Dritter gelangen oder anderweitig missbraucht werden können.

Die Pflicht zur Löschung von Daten bzw. deren Vernichtung und das weitere Aufbewahrungsinteresse des Unternehmens stehen häufig in einem Spannungsverhältnis zueinander. In diesem Kontext stellen sich verschiedene Fragen: Wie lange dürfen personenbezogene Daten aufbewahrt werden? Was ist unter den Begriffen „Löschen“ und „Vernichten“ zu verstehen? Was ist bei der Löschung von Daten aus Online-System zu beachten? Und was gilt mit Blick auf die Vernichtung von Datenträgern und Papierunterlagen?

Zum vollständigen Schwerpunktthema

Europäisches Parlament stimmt KI-Verordnung zu

Am 13. März 2024 hat das Europäische Parlament dem Gesetz über künstliche Intelligenz zugestimmt, nachdem Parlament und Rat sich im Dezember 2023 auf die finale Textfassung geeinigt hatten. Die KI-Verordnung wurde von den Abgeordneten mit großer Mehrheit angenommen (Pressemitteilung v. 13.03.2024).

Die neuen Regelungen der KI-Verordnungen sollen Grundrechte, Demokratie und Rechtsstaatlichkeit sowie Gesundheit, Sicherheit und Umwelt vor Hochrisiko-KI-Systemen schützen, aber gleichzeitig auch Innovationen fördern und dafür sorgen, dass die EU im Bereich der Künstlichen Intelligenz eine Führungsrolle einnimmt. Hierzu sieht die Verordnung verschiedene Verpflichtungen für KI-Systeme vor, die von den jeweiligen Risiken und Auswirkungen abhängig sind. Als hochriskant werden unter anderem Systeme eingestuft, die in den Bereichen kritische Infrastruktur, allgemeine und berufliche Bildung oder Beschäftigung eingesetzt werden und die für private und öffentliche Dienstleistungen, in bestimmten Bereichen der Strafverfolgung sowie im Zusammenhang mit Migration und Grenzmanagement, Justiz und demokratischen Prozess genutzt werden. Entsprechende Systeme müssen Risiken bewerten und verringern, Nutzungsprotokolle führen, transparent und genau sein und von Menschen beaufsichtigt werden.

Brando Benifei, Ko-Berichterstatter des Binnenmarktausschusses, äußerte: „Endlich haben wir das weltweit erste verbindliche Gesetz zur künstlichen Intelligenz, um Risiken zu reduzieren, Chancen zu schaffen, Diskriminierung zu bekämpfen und Transparenz zu gewährleisten. Dank des Parlaments werden inakzeptable KI-Praktiken in Europa verboten und die Rechte von Arbeitnehmern und Bürgern geschützt werden. Das Europäische Amt für künstliche Intelligenz wird nun eingerichtet, um Unternehmen bei der Einhaltung der Vorschriften zu unterstützen, bevor diese in Kraft treten. Wir haben durchgesetzt, dass bei der Entwicklung künstlicher Intelligenz der Mensch sowie die europäischen Werte im Vordergrund stehen.“

Die Verordnung wird nunmehr noch einmal abschließend von Rechts- und Sprachsachverständigen überprüft und muss anschließend noch förmlich vom Rat angenommen werden. Die Regelungen treten sodann 20 Tage nach Veröffentlichung im Amtsblatt der EU in Kraft und sind - bis auf verschiedene Ausnahmen - 24 Monate nach Inkrafttreten anwendbar.

(Christina Prowald)

EuGH: 2.000 Euro Schadensersatz bei unzulässiger Verarbeitung intimer Gespräche

Mit Urteil vom 5. März 2024 hat der Europäische Gerichtshof (EuGH) einem Kläger einen Schadensersatzanspruch i.H.v. 2.000,00 Euro wegen einer widerrechtlichen Datenverarbeitung, die in der Weitergabe von intimen Gesprächen zwischen dem Kläger und seiner Freundin an Unbefugte zum Ausdruck kam, gegen Europol zugesprochen (EuGH, Urt. v. 05.03.2024 - Az. C-755/21 P). Die unzulässige Datenverarbeitung habe das Recht des Klägers auf Achtung seines Privat- und Familienlebens sowie seiner Kommunikation verletzt und seine Ehre und sein Ansehen beeinträchtigt, wodurch ihm ein immaterieller Schaden entstanden sei.

Im Rahmen von Ermittlungen zu der Ermordung eines Journalisten und dessen Verlobten ersuchten die slowakischen Behörden Europol hinsichtlich der Extrahierung von Daten, die auf mutmaßlich dem Kläger gehörenden Telefonen gespeichert waren. Nachdem Europol den slowakischen Behörden ihre Berichte und eine Festplatte mit den extrahierten verschlüsselten Daten zukommen lassen hatte, veröffentlichte die slowakische Presse Informationen, die aus den Telefonen stammten, darunter auch intime Gespräche des Klägers. Der Kläger forderte daraufhin eine Entschädigung i.H.v. 100.000,00 Euro von Europol. Europol hingegen machte geltend, dass ihr das schädigende Ereignis nicht zugerechnet werden könne, da sie die Informationen ordnungsgemäß an die slowakischen Behörden übergeben habe. Die Klage wurde vom Gericht der Europäischen Union (EuG) abgewiesen, wogegen sich der Kläger wehrte.

Der EuGH stellte nun fest, dass das Unionsrecht eine gesamtschuldnerische Haftung Europols und des Mitgliedstaats, in dem der Schaden infolge der widerrechtlichen Datenverarbeitung eintrat, vorsieht. Zur Geltendmachung dieser Haftung müsse die betroffene Person lediglich nachweisen, dass es anlässlich der Zusammenarbeit zwischen Europol und dem Mitgliedstaat zu einer widerrechtlichen Datenverarbeitung gekommen ist, die zu einem Schaden geführt hat. Es sei entgegen der Auffassung der EuGH nicht erforderlich, dass die betroffene Person darüber hinaus nachweise, welcher der beiden Stellen die in Rede stehende Datenverarbeitung zuzurechnen ist. Der EuGH sprach dem Kläger in der Folge Schadensersatz i.H.v. 2.000,00 Euro zu. Die Entscheidung ist unter anderem deshalb interessant, weil der EuGH ansonsten selten über die konkrete Schadensersatzhöhe zu entscheiden hat und zumeist nur abstrakte Vorlagefragen beantworten muss. Der vom EuGH zugesprochene Betrag ist unter Berücksichtigung der offengelegten Inhalte relativ gering, vor allem im Vergleich zur Spruchpraxis mancher Gerichte bezogen auf geringfügigere Datenschutzverletzungen.

(Christina Prowald)

EuGH: TC-String ist personenbezogenes Datum

Der EuGH stellte mit Urteil vom 7. März 2024 fest, dass der „Transparency and Consent String“ (TC-String) Informationen über einen identifizierbaren Nutzer enthält und deshalb ein personenbezogenes Datum im Sinne der DSGVO ist (EuGH, Urt. v. 07.03.2024 - Az. C-604/22).

Ruft ein Nutzer ein Online-Angebot mit einem Werbeplatz auf, können Unternehmen anonym in Echtzeit Gebote abgeben, um diesen Werbeplatz zu erhalten und auf den Nutzer abgestimmte Werbung anzuzeigen. Für die hiermit im Zusammenhang stehenden Datenverarbeitungsprozesse ist grundsätzlich eine Einwilligung des Nutzers erforderlich. IAB Europe hat eine Lösung entwickelt, die das Versteigerungssystem in Einklang mit den Vorgaben der DSGVO bringen soll. Die über die Consent Management Platform erfassten Nutzerpräferenzen werden hierbei kodiert und in einem TC-String gespeichert. Dieser wird mit den werbenden Unternehmen geteilt, damit diese wissen, zu welchen Datenverarbeitungsprozessen der Nutzer seine Einwilligung erteilt hat. Zusätzlich wird auf dem Gerät des Nutzers ein Cookie gespeichert. In Kombination können der TC-String und der Cookie der IP-Adresse des Nutzers zugeordnet werden.

Die belgische Aufsichtsbehörde stellte im Jahr 2022 in Folge verschiedener Beschwerden fest, dass es sich beim TC-String um ein personenbezogenes Datum handelt. Der EuGH schloss sich nunmehr dieser Auffassung an, da anhand der in einem TC-String enthaltenen Informationen, wenn sie einer Kennung wie etwa einer IP-Adresse des Nutzers zugeordnet werden, ein Nutzerprofil erstellt und der Betroffene identifiziert werden könne. Auch wenn der TC-String als Kombination von Zahlen und Buchstaben keine Elemente beinhalte, die eine direkte Identifizierung des Betroffenen ermöglichen, ändere dies nichts daran, dass er gleichzeitig auch die Nutzerpräferenzen, die sich auf eine natürliche Person beziehen, enthalte und die Person, auf die sich diese Informationen beziehen, mittels Kombination mit weiteren Daten ermittelt werden könne.

(Christina Prowald)

EuGH zur Löschung rechtswidrig erlangter Daten

Die Aufsichtsbehörde eines Mitgliedstaats kann von Amts wegen die Löschung unrechtmäßig verarbeiteter Daten anordnen, falls dies zur Erfüllung ihrer Aufgabe, über die Einhaltung der DSGVO zu wachen, erforderlich ist (EuGH, Urt. v. 14.03.2024 - Az. C-46/23). Ein vorheriger Antrag einer betroffenen Person i.S.v. Art. 17 DSGVO sei insoweit nicht erforderlich, so der EuGH in seinem Urteil vom 14. März 2024.

Um Personen, die zu einer von der Covid-19-Pandemie gefährdeten Gruppe gehörten, finanziell zu unterstützen, forderte die Kommunalverwaltung Ujpest die ungarische Staatskasse und die zuständigen Behörden auf, ihr die zur Prüfung der Anspruchsvoraussetzungen erforderlichen personenbezogenen Daten zu übermitteln. Die ungarische Staatskasse und die zuständigen Behörden kamen dieser Aufforderung nach. Die ungarische Aufsichtsbehörde stellte sodann fest, dass die Beteiligten gegen die DSGVO verstoßen haben, da die Betroffenen nicht über die Datenübermittlung und die weiteren Datenverarbeitungen informiert wurden. Sie verhängte in der Folge Geldbußen und forderte die Verwaltung Ujpest zur Datenlöschung auf. Die Verwaltung Ujpest wehrte sich gegen die Entscheidung, da sie der Auffassung war, dass die Aufsichtsbehörde eine Datenlöschung nur anordnen könne, wenn die betroffenen Personen zuvor einen entsprechenden Antrag nach Art. 17 DSGVO gestellt haben.

Der EuGH entschied, dass eine Aufsichtsbehörde, die feststellt, dass eine Datenverarbeitung nicht der DSGVO entspricht, dem Verstoß abhelfen muss. Dies gelte unabhängig davon, ob betroffene Personen zuvor einen Antrag gestellt hätten, da das Erfordernis eines Antrags dazu führen würde, dass der Verantwortliche personenbezogene Daten weiterhin speichern und unrechtmäßig verarbeiten dürfte. Diese Sichtweise werde auch von dem mit der DSGVO verfolgten Ziel eines hohen Schutzniveaus für das Grundrecht natürlicher Personen auf Schutz der sie betreffenden personenbezogenen Daten gestützt.

(Christina Prowald)

BGH zum Umfang des Auskunftsanspruchs nach Art. 15 DSGVO

Der BGH hat am 6. Februar 2024 entschieden, dass aus Art. 15 Abs. 1 und 3 DSGVO kein grundsätzlicher Anspruch auf Herausgabe von Abschriften der Begründungsschreiben samt Anlagen zu Prämienanpassungen in der privaten Krankenversicherung folgt (BGH, Urt. v. 06.02.2024 - Az. VI ZR 15/23).

Weil der Kläger die Beitragserhöhungen seiner Krankenkasse für unrechtmäßig hielt, verlangte er von der Beklagten Auskunft über in der Vergangenheit erfolgte Beitragserhöhungen sowie die zugehörigen Unterlagen. Er machte geltend, dass ihm die betreffenden Dokumente nicht vorlägen. Nachdem das LG Verden der Klage stattgab und das OLG Celle die Berufung zurückwies, wendete sich die Beklagte an den BGH.

In seiner Entscheidung führt der BGH unter Verweis auf sein Urteil aus September 2023 (wir berichteten im November 2023) erneut aus, dass sich der geltend gemachte Anspruch nicht auf Art. 15 Abs. 1 und 3 DSGVO stützen lässt. Der Begriff der personenbezogenen Daten sei zwar unter Berücksichtigung der Rechtsprechung des EuGH weit zu verstehen. Schreiben eines Verantwortlichen an eine betroffene Person seien aber nur insoweit als personenbezogene Daten einzustufen, als sie auch Informationen über die betroffene Person enthielten. Einzelne Teile der angeforderten Unterlagen seien insoweit zwar als personenbezogene Daten des Klägers einzuordnen, bei den Dokumenten in ihrer Gesamtheit handele es sich demgegenüber aber nicht um personenbezogene Daten, sodass der Anspruch nicht aus Art. 15 Abs. 1 DSGVO hergeleitet werden könne. Aus Art. 15 Abs. 3 DSGVO lasse sich ebenfalls kein weitergehendender Anspruch herleiten, da die Regelung nur die Modalitäten für die Erfüllung des Anspruchs aus Art. 15 Abs. 1 DSGVO festlege. Der in Art. 15 Abs. 3 DSGVO enthaltene Begriff „Kopie“ beziehe sich zudem nicht auf ein Dokument als solches, sondern die darin enthaltenen personenbezogenen Daten. Eine Reproduktion von Dokumenten oder ganze Dokumente müssten nur zur Verfügung gestellt werden, wenn die Kontextualisierung erforderlich sei, um ihre Verständlichkeit zu gewährleisten. Dies habe der Kläger aber weder vorgetragen, noch sei es in anderer Weise ersichtlich.

Dem Kläger komme aber ein Auskunftsanspruch aus Treu und Glauben zu, soweit er in entschuldbarer Weise über Bestehen und Umfang seines Rechts im Ungewissen ist.

(Christina Prowald)

BFH: Juristische Person kann Auskunftsanspruch nach Art. 15 DSGVO nicht geltend machen

Nach Auffassung des BFH kann eine juristische Person unmittelbar aus Art. 15 DSGVO keine Rechte ableiten (BFH, Urt. v. 08.02.2024 - Az. IX B 113/22). Im Rahmen einer Auseinandersetzung vor dem Finanzgericht forderte die klagende GmbH von dem beklagten Finanzamt Auskunft über personenbezogene Daten in Form der Überlassung vollständiger Kopien aus den Gerichtsakten, den Verwaltungs- und Rechtsbehelfakten des Finanzamts und gegebenenfalls vorliegender weiterer Beiakten nach Art. 15 DSGVO. Das Finanzgericht wies den Antrag zurück.

Der BFH hat sich dieser Auffassung nunmehr angeschlossen und festgestellt, dass Art. 15 Abs. 1 DSGVO als Anspruchsgrundlage nicht in Betracht kommt. Die DSGVO enthalte nach Art. 1 Abs. 1 und 2 DSGVO ausschließlich Vorschriften zum Schutz natürlicher Personen. Die Verordnung erfasse und schütze nicht die Daten juristischer Personen. Im in Rede stehenden Fall habe der Gesellschafter-Geschäftsführer der Klägerin den Anspruch aber nicht als möglicherweise betroffene natürliche Person im eigenen Namen, sondern im Namen der Klägerin, also einer juristischen Person, geltend gemacht, weshalb ein Anspruch aus Art. 15 Abs. 1 DSGVO ausscheide. Die Vorschrift des § 2a Abs. 5 AO könne ebenfalls keine Anwendung des Art. 15 DSGVO begründen, da die dortige Anwendungserweiterung der DSGVO nicht für Verfahren vor Finanzgerichten gelte.

(Christina Prowald)

KG Berlin: Neues zum Bußgeldverfahren gegen Deutsche Wohnen

Das Kammergericht (KG) in Berlin hat am 22. Januar 2024 entschieden, dass das Bußgeldverfahren gegen die Deutsche Wohnen in erster Instanz neu verhandelt werden muss (KG, Beschl. v. 22.01.2024 - Az. 3 Ws 250/21, 3 Ws 250/21 - 161 AR 84/21).

Die Berliner Aufsichtsbehörde hatte im September 2019 ein Bußgeld i.H.v. 14,5 Mio. Euro gegen das Immobilienunternehmen festgesetzt, weil Mieterdaten nicht datenschutzkonform gespeichert wurden und insbesondere keine rechtzeitige Löschung von Altdaten erfolgte. Das Landgericht Berlin hat in erster Instanz den Bußgeldbescheid sodann im Februar 2021 aus formalen Gründen für unwirksam erklärt (wir berichteten im März 2021). Nach Auffassung des Gerichts kam eine Sanktionierung nicht in Betracht, soweit dem Unternehmen kein Verschulden nach Leitungspersonen nachgewiesen werden kann. Das mit der in der Folge von der Staatsanwaltschaft erhobenen Beschwerde befasste KG Berlin legte die in Rede stehende Fragestellung sodann dem EuGH vor. Dieser entschied im Dezember 2023, dass es keine Voraussetzung für die Verhängung eines Bußgeldes ist, zuvor festzustellen, dass der Verstoß von einer identifizierbaren natürlichen Person begangen wurde (wir berichteten im Januar 2024). Eine Zusammenschau von Art. 4 Nr. 7, Art. 83 und Art. 58 Abs. 2 lit. i) DSGVO ergebe, dass ein Bußgeld auch gegen eine juristische Person verhängt werden kann, sofern sie die Eigenschaft des Verantwortlichen habe. Der das Bußgeld begründende Verstoß müsse weder von einem Leitungsorgan begangen werden, noch müsse das Leitungsorgan Kenntnis von dem Verstoß haben. Die juristische Person hafte nicht nur für Verstöße von ihren Vertretern, Leitungspersonen oder Geschäftsführern, sondern auch für Verstöße von sonstigen Personen, die im Rahmen ihrer unternehmerischen Tätigkeit in ihrem Namen handelten. Die Verhängung eines Bußgeldes setze aber einen schuldhaften Verstoß gegen die DSGVO voraus.

Das KG führte nunmehr aus, dass der Bußgeldbescheid unter Berücksichtigung der Entscheidung des EuGH die Voraussetzungen des § 66 OWiG erfüllt. Innerhalb des Bescheids müsse insbesondere nicht näher konkretisiert werden, welchem Repräsentanten oder welchem Organ welche konkrete Handlung oder welches konkrete Unterlassen zur Last fällt. Der Bescheid beschreibe die vorgeworfenen Handlungen ausreichend nachvollziehbar und deutlich. Das KG hat die Sache deshalb an das Landgericht zur weiteren Entscheidung über den Bußgeldbescheid zurückverwiesen.

(Christina Prowald)

LG Passau äußert sich zu Drittstaatenübermittlungen

Das Landgericht Passau setzt sich in seiner Entscheidung vom 16. Februar 2024 mit einem Scraping-Vorfall in einem sozialen Netzwerk auseinander und äußert sich darüber hinaus zur Zulässigkeit von Drittstaatenübermittlungen (LG Passau, Urt. v. 16.02.2024 - Az. 1 O 616/23).

Hinsichtlich des Scraping-Vorfalls, im Rahmen dessen auch Daten des Klägers abgegriffen und veröffentlicht wurden, verneinte das LG Passau die vom Kläger geltend gemachten Ansprüche, da es aus Sicht des Gerichts an einem relevanten Verstoß gegen die DSGVO fehlt. Mit Ausnahme der Telefonnummer handele es sich bei den abgeflossenen Informationen um Daten, die der Kläger selbst zu Veröffentlichung bestimmt habe. Die Auffindbarkeit seiner Telefonnummer könne der Kläger selbst einschränken. Dem Kläger sei außerdem kein kausaler Schaden entstanden. Soweit der Kläger anlässlich des Vorfalls ein Gefühl des Unwohlseins und des Kontrollverlusts behauptet habe, könne hieraus kein Schaden abgeleitet werden.

Zu dem Vorwurf des Klägers, dass die Plattform sämtliche personenbezogenen Daten in die USA und an die National Security Agency (NSA) zur anlasslosen Überprüfung und Untersuchung weiterleite, führte das Gericht aus, dass es keine rechtswidrige Datenübermittlung erkennen könne. Die Plattform stamme aus den USA und sei global konzipiert, weshalb die Daten zur Unterhaltung des Netzwerks zwangsläufig international ausgetauscht und die USA übermittelt werden müssten. Die Datenübermittlung sei deshalb zur Vertragserfüllung nach Art. 6 Abs. 1 lit. b) DSGVO erforderlich. Dass die Plattform der NSA alle Daten voraussetzungslos zur Verfügung stelle, sei nicht erkennbar. Die Beklagte habe die Drittstaatenübermittlungen auch ausreichend abgesichert. Die von ihr verwendeten Standardvertragsklauseln stellten eine ausreichende Rechtsgrundlage dar. Auch wenn der amerikanische Rechtsbehelfsmechanismus auf einer Verordnung der Regierung und nicht auf formellem Gesetz beruhe, handele es sich bei der Verordnung um ein Gesetz im materiellen Sinne. Wieso hierdurch kein gleichwertiger Rechtsschutz zur Verfügung gestellt werden könne, sei nicht zu erkennen. Da die Datenübermittlung zur Vertragserfüllung erforderlich gewesen sei, sei sie auch nach Art. 49 Abs. 1 S. 1 lit. b) DSGVO zulässig. Hiervon abweichende Auffassungen der Datenschutzaufsichtsbehörden seien für das Gericht grundsätzlich nicht bindend. Zu dem Auskunftsrecht von US-Behörden äußerte das Gericht weiter, dass dies Folge der rechtmäßigen Datenübermittlung in den Herrschaftsbereich der Vereinigten Staaten von Amerika seien. Diese Möglichkeit stehe der Gewährleistung eines im Wesentlichen gleichen Schutzniveaus nicht entgegen, da sie auch nach Art. 6 Abs. 1 lit. c) DSGVO zulässig wäre.

Die sehr deutliche Argumentation des Gerichts gegen einen Datenschutzverstoß durch die Drittlandübermittlung dürfte vor dem Hintergrund zu sehen sein, dass das Gericht den geltend gemachten Schadensersatz als ungerechtfertigt angesehen hat und auf jeden Fall eine Klageabweisung erfolgen sollte. Ob allerdings Standardvertragsklauseln als Absicherung alleine ausgereicht haben, erscheint unter Berücksichtigung der Rechtsprechung des EuGH durchaus fragwürdig. Der Hinweis, dass das theoretische Risiko staatlicher Zugriffe in den USA nicht automatisch zu einer Rechtswidrigkeit führt, ist aber auch durchaus korrekt; gleiches gilt auch für die Anmerkung, dass Meinungsäußerungen der Aufsichtsbehörden keine verbindliche Vorgabe für Unternehmen darstellen müssen – auch wenn Unternehmen in der Regel gut beraten sind, nicht ohne Not die Verbindlichkeit von Vorgaben der Aufsichtsbehörden anzuzweifeln.

(Christina Prowald / Dr. Sebastian Meyer)

VG Bremen: Umfassender Auskunftsanspruch der Aufsichtsbehörde gegen Unternehmen

Die zuständige Aufsichtsbehörde kann die Vorlage sämtlicher Werbeeinwilligungen für die letzten 6 Monate verlangen, wenn der Verdacht besteht, dass ein Unternehmen unerlaubt Werbung per E-Mail versendet hat (VG Bremen, Beschl. v. 16.02.2024 - Az. 4 V 2968/23; BeckRS 2024, 2203).

In dem vorliegenden Fall hatte die Aufsichtsbehörde mehrere Hinweise erhalten, dass das Unternehmen Werbung per E-Mail ohne die dafür erforderliche Einwilligung versendet hat. In der Folge verpflichtete die Behörde das Unternehmen zur Auskunft darüber, welche Personen in den letzten sechs Monaten wie oft zu Werbezwecken kontaktiert wurde, sowie zur Vorlage der zugehörigen Einwilligungserklärungen.

Das Gericht führte nunmehr aus, dass die Aufsichtsbehörde zum Erlass von Auskunftsanordnungen nach Art. 58 Abs. 1 lit. a) DSGVO berechtigt sei und der datenschutzrechtlich Verantwortliche diesen nachkommen müsse. Hinsichtlich der Wahl der konkreten Maßnahmen stehe der Behörde ein Ermessen zu. Die Aufsichtsbehörde habe die Aufgabe, sich mit Beschwerden von Betroffenen auseinanderzusetzen und den Beschwerdegegenstand zu untersuchen, weshalb die Aufsichtsbehörde im vorliegenden Fall habe tätig werden dürfen. Die Aufforderung sei auch nicht unverhältnismäßig gewesen. Das Interesse an der Verfolgung datenschutzrechtlicher Verstöße überwiege das Interesse an einer unkontrollierten Datenverarbeitung. Zu berücksichtigen sei auch, dass sich bereits mehrere Betroffene über das Unternehmen beschwert haben, und davon auszugehen sei, dass es eine unbestimmte Anzahl weiterer Betroffener gebe.

(Christina Prowald)

VG Berlin zur Verhältnismäßigkeit des Auskunftsanspruchs

Das VG Berlin hat am 06. Februar 2024 entschieden, dass die Pflicht zur Erfüllung eines Auskunftsanspruchs nach Art. 15 DSGVO nicht dadurch entfällt, dass dem Auskunftspflichtigen durch die Erfüllung des Anspruchs ein großer Aufwand (konkret: Sichtung von weit mehr als 5.000 Seiten Akten) entsteht (VG Berlin, Urt. v. 06.02.2024 - Az. 1 K 187/21).

In dem in Rede stehenden Fall verlangte der Kläger von der Beklagten Auskunft zu den über ihn gespeicherten Daten und Übersendung der Kopien von sämtlichen Vorgängen, in denen seine Daten enthalten sind. Die Beklagte erteilte ihm daraufhin zunächst Auskunft über die in den IT-System gespeicherten Daten. Hinsichtlich der Übermittlung der Kopien bat die Beklagte den Kläger, sein Auskunftsbegehren zu konkretisieren und zu beschreiben, um welche Unterlagen bzw. Vorgänge es konkret gehe. Der Kläger rügte daraufhin, dass die Auskunft unvollständig sei, da ihm nur seine Stammdaten übermittelt wurden und machte gleichzeitig einen umfassenden Löschanspruch geltend. Die Beklagte teilte ihm zu letzterem mit, dass die Daten des Klägers zum Aktenbestand gehören und erst nach Ablauf der insoweit geltenden Aufbewahrungsfristen gelöscht werden können. Hinsichtlich des Auskunftsanspruchs verwies die Beklagte nochmals auf ihre vorherige Aufforderung, woraufhin der Kläger Klage erhob.

Das Gericht führte aus, dass der Auskunftsanspruch des Art. 15 DSGVO unter anderem dazu diene, die Richtigkeit der Daten und die Zulässigkeit der Verarbeitung zu überprüfen. Für eine Rechtmäßigkeitskontrolle reiche eine abstrakte Übersicht der verarbeiteten Daten nicht aus. Vielmehr bedürfe es der konkreten Mitteilung, in welchem Kontext die Daten verarbeitet wurden, um die Rechtmäßigkeit im jeweiligen Einzelfall überprüfen zu können. Dies lasse sich durch die Zurverfügungstellung von Kopien i.S.v. originalgetreuen Reproduktionen erreichen. Dem Anspruch des Klägers könne die Beklagte nicht den Einwand der Unverhältnismäßigkeit oder des Rechtsmissbrauchs entgegenhalten. Der Beklagten entstehe durch die Sichtung und Prüfung der Unterlagen zwar ein erheblicher Aufwand. Eine Weigerung des Verantwortlichen komme allerdings nur bei einem offenkundig groben Missverhältnis zwischen den erforderlichen Anstrengungen und des Informationsinteresses in Betracht. Ein solches sei im vorliegenden Fall allerdings nicht gegeben. Der Kläger habe plausibel dargelegt, dass er insbesondere die Weitergabe an Dritte nachvollziehen wolle, um diesen gegenüber weitergehende Rechte geltend machen zu können.

(Christina Prowald)

AG Lörrach: Erfüllung des Auskunftsanspruchs muss durch Beklagte nachgewiesen werden

Nach Auffassung des AG Lörrach bezieht sich der Auskunftsanspruch nach Art. 15 DSGVO auch auf Audio-Aufnahmen, die ein Unternehmen im Rahmen von Werbeanrufen angefertigt hat (AG Lörrach, Urt. v. 05.02.2024 - Az. 3 C 661/23).

Die Beklagte rief den Kläger Ende 2022 unaufgefordert und ohne Einwilligung an und bot ihm eines Gas- und Stromliefervertrag an. Der Kläger erklärte anschließend den Widerruf. Gleichwohl wurde er daraufhin mehrere Monate mit Gas beliefert, wofür die Beklagte Zahlung verlangte. Der Kläger forderte die Beklagte in der Folge auf, anzuerkennen, dass die Verträge nicht entstanden seien und die Ansprüche nicht bestehen. Außerdem machte der Kläger seinen Auskunftsanspruch nach Art. 15 DSGVO gegen die Beklagte geltend.

Nachdem der Kläger vortrug, dass der Auskunftsanspruch noch nicht in Gänze erfüllt sei, weil ihm der Audiomitschnitt über das in Rede stehende Telefonat noch nicht von der Beklagten übermittelt wurde, die Beklagte demgegenüber der Auffassung war, dass der Anspruch bereits erfüllt wurde, nahm das Gericht Stellung zu dem Sachverhalt. Es stellte fest, dass der Kläger unstreitig einen Anspruch nach Art. 15 DSGVO auf die Übermittlung der Audio-Aufnahmen habe. Die Beklagte sei insoweit in der Pflicht, nachzuweisen, ob sie die Aufnahmen bereits übermittelt und den Anspruch des Klägers insoweit erfüllt habe. Einen entsprechenden Beweis habe die Beklagte nicht vorgelegt, weshalb das Gericht die Beklagte dazu verurteilte, dem Kläger vollständige Auskunft zu erteilen und insbesondere die Daten über das aufgenommene Telefonat zu übermitteln. Das Gericht stellte außerdem fest, dass der Kläger gegen die Beklagte einen Anspruch auf Ersatz der durch die Aufforderung zur Datenauskunft nach Art. 15 DSGVO entstandenen Anwaltskosten aus Art. 82 DSGVO hat.

(Christina Prowald)

EU-Datenschutzbeauftragter: Einsatz von Microsoft 365 verstößt gegen DSGVO

Der Europäische Datenschutzbeauftragte (EDSB) hat in Folge einer Untersuchung festgestellt, dass die Europäische Kommission durch die Nutzung von Microsoft 365 gegen mehrere Vorschriften der DSGVO verstößt und der Kommission verschiedene Abhilfemaßnahmen auferlegt (Mitteilung v. 11.03.2024). Die Kommission habe es insbesondere versäumt, angemessene Maßnahmen zu ergreifen, um sicherzustellen, dass für personenbezogene Daten, die an Orte außerhalb des EWR übermittelt werden, ein gleichwertiges Schutzniveau gewährleistet wird. Die Kommission habe in ihrem Vertrag mit Microsoft außerdem nicht hinreichend festgelegt, welche Daten zu welchen Zwecken verarbeitet werden.

Der EDSB hat die Kommission deshalb angewiesen, bis zum 9. Dezember 2024 alle Datenübermittlungen an Microsoft, die nicht durch einen Angemessenheitsbeschluss abgedeckt sind, auszusetzen. Außerdem habe die Kommission die Verarbeitungen, die sich aus der Nutzung von Microsoft 365 ergeben, datenschutzkonform zu gestalten. Die Kommission muss die Einhaltung der Vorgaben bis zum 9. Dezember 2024 nachweisen.

In der Stellungnahme von Wojciech Wiewiorowski als EDSB heißt es dazu: „Es liegt in der Verantwortung der Organe, Einrichtungen, Ämter und Agenturen der EU (EUI), sicherzustellen, dass jede Verarbeitung personenbezogener Daten außerhalb und innerhalb der EU bzw. des EWR, einschließlich im Zusammenhang mit Cloud-basierten Diensten, von robusten Datenschutzgarantien und -maßnahmen begleitet werden. Dies ist zwingend erforderlich, um sicherzustellen, dass die Daten natürlicher Personen gemäß der Verordnung (EU) 2018, 1725 geschützt werden, wenn ihre Daten von oder im Namen einer EUI verarbeitet werden.“

(Christina Prowald)

Deutsche Datenschutzaufsichtsbehörden beteiligen sich an CEF 2024

Der Europäische Datenschutzausschuss (EDSA) hat seine europaweite Aktion „Coordinated Enforcement Framework (CEF)“ für 2024 gestartet (Mitteilung v. 28.02.2024). Auf Vorschlag des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) hat der EDSA die Umsetzung des Auskunftsrechts als Thema für seine dritte koordinierte Aktion ausgewählt. 31 Datenschutzbehörden im EWR, darunter auch 7 deutsche Aufsichtsbehörde, nehmen an der Initiative teil.

Das Auskunftsrecht ermögliche es Betroffenen, zu überprüfen, ob ihre Daten von verantwortlichen Stellen ordnungsgemäß verarbeitet werden. Es sei eines der wichtigsten und am häufigsten ausgeübten Betroffenenrechte und fungiere häufig als Türöffner für die Geltendmachung weiterer Datenschutzrechte. Die im Jahr 2023 veröffentlichten Leitlinien des EDSA zum Auskunftsrecht sollten Unternehmen helfen, die sich aus der DSGVO ergebenden Anforderungen zu erfüllen und einheitliche Standards bei der Beauskunftung entsprechender Anfragen zu gewährleisten. Nunmehr solle mittels der Aktion „CEF“ die Umsetzung des Themas in der Praxis überprüft und ein weiterer Sensibilisierungsbedarf aufgedeckt werden.

Hierzu werden die teilnehmenden Aufsichtsbehörden Fragebögen zur Umsetzung des Rechts auf Auskunft versenden, Untersuchungen einleiten und gegebenenfalls Folgemaßnahmen ergreifen. Die Ergebnisse werden anschließend in einem Bericht des EDSA veröffentlicht.

(Christina Prowald)