Probleme bei der Darstellung des Newsletters? Dann klicken Sie hier für die Webansicht

Newsletter zum Datenschutz

Sehr geehrte Damen und Herren,

unser BRANDI-Datenschutzrechtstag am 24.05.2024 rückt näher und wir freuen uns auf interessante Diskussionen zu dem Thema „Sicherheit beginnt mit Datenschutz“. Noch besteht die Möglichkeit, sich für die Veranstaltung anzumelden; die Informationen bezüglich der Anmeldemöglichkeit haben wir in diesem Newsletter noch einmal für Sie zusammengefasst.

Wie gewohnt berichten wir außerdem über aktuelle Ereignisse im Datenschutzrecht, unter anderem eine Entscheidung des EuGH zum Schadensersatzanspruch nach Art. 82 DSGVO, eine Entscheidung des BGH zur Löschung der Daten eines GmbH-Geschäftsführers und eines Kommanditisten aus dem Handelsregister, eine Entscheidung des LG Düsseldorf zu den Folgen einer verspäteten Auskunftserteilung und eine Bußgeldentscheidung der französischen Aufsichtsbehörde.

Bei Rückmeldungen zu diesem Newsletter oder Fragen im Zusammenhang mit den Themen des Newsletters bitten wir Sie, uns eine E-Mail an datenschutz@brandi.net zu senden. Die weiteren Kontaktdaten finden Sie auch auf unserer Homepage.

Dr. Sebastian Meyer und das Datenschutzteam von BRANDI

Thema des Monats: Messenger-Dienste im Unternehmen

Die Nutzung von Messenger-Diensten ist aus dem Unternehmensalltag kaum noch wegzudenken. Dies betrifft zum einen die unternehmensinterne Kommunikation sowie zum anderen auch die Kommunikation mit Kunden. Vorteile aus Unternehmenssicht sind vor allem die leichtere Erreichbarkeit von Mitarbeitern ohne festen PC-Arbeitsplatz sowie die persönlichere Kommunikation mit Kunden und die zielgruppengerechte Erreichbarkeit. Problematisch ist demgegenüber häufig, dass die Messenger-Dienste umfassend auf die auf den Mobilgeräten der Nutzer gespeicherten Daten sowie Metadaten zugreifen und diese auswerten.

Kommen WhatsApp & Co. im Unternehmen zum Einsatz, gilt es deshalb, die insoweit bestehenden datenschutzrechtlichen Anforderungen einzuhalten.

Zum vollständigen Schwerpunktthema

In eigener Sache: BRANDI-Datenschutzrechtstag

In unseren Datenschutz-Newslettern der vergangenen Monate haben Sie von uns bereits eine Einladung sowie Informationen zu unserem Datenschutzrechtstag am 24.05.2024 sowie den Anmeldemöglichkeiten erhalten. Gemeinsam mit Ihnen und externen Experten möchten wir im Rahmen der Veranstaltung über das Thema „Sicherheit beginnt mit Datenschutz“ diskutieren.

Aktuell besteht weiterhin noch die Möglichkeit, sich unter dem folgenden Link zu der Veranstaltung anzumelden: https://www.brandi.net/news/detail/5-brandi-datenschutzrechtstag-praesenzveranstaltung-am-24052024/.

Falls es bestimmte inhaltliche Fragen gibt, über die Sie in der Veranstaltung gerne sprechen möchten, können Sie uns diese bereits vorab an die folgende E-Mail-Adresse schicken: WissMit-DatenschutzBI@brandi.net. Zusätzlich besteht die Möglichkeit, während der Veranstaltung Fragen zu stellen und sich aktiv an der Diskussion zu beteiligen. Für organisatorische Fragen im Vorfeld der Veranstaltung stehen wir Ihnen natürlich ebenfalls gerne zur Verfügung.

Wir freuen uns auf eine zahlreiche Teilnahme an der Veranstaltung!

(Christina Prowald)

Neue Datenschutzregeln für China

Die Cyberspace Administration of China (CAC) hat am 22. März 2024 neue Regelungen erlassen, die den grenzüberschreitenden Datenverkehr erleichtern sollen (Mitteilung v. 22.03.2024). Die Bestimmung sind am Tag der Veröffentlichung in Kraft getreten.

Die neuen Regelungen entbinden Datenexporteure in bestimmten Fällen von den strengen Vorgaben, die im Übrigen für internationale Datenübertragungen gelten. Bislang müssen Datenexporte aus China mittels einer Sicherheitsüberprüfung, einer Zertifizierung oder den Abschluss der durch die CAC zur Verfügung gestellten Standardvertragsklauseln abgesichert werden. Unter Geltung der neuen Vorschriften bedarf es in verschiedenen Ausnahmefällen einer solchen Absicherung nicht, solange keine sensiblen Informationen übermittelt werden. Vor allem multinationale Konzerne können von den Erleichterungen profitieren. Die Bestimmungen normieren unter anderem Ausnahmetatbestände für die grenzüberschreitenden Personalverwaltung, den grenzüberschreitenden Vertragsschluss mit Individuen, die Übertragung von Daten in Notsituationen zum Schutz von Leben, Gesundheit und Sicherheit natürlicher Personen sowie die Übertragung von Daten in geringem Umfang.

(Christina Prowald)

EuGH: Amazon muss Werbearchiv für Online-Werbung bereitstellen

Mit Beschluss vom 27.03.2024 hat der EuGH den Antrag von Amazon auf Aussetzung der Pflicht, ein Werbearchiv öffentlich zugänglich zu machen, zurückgewiesen (EuGH. Beschl. v. 27.03.2024 - Az. C-639/23 P(R)). Die Interessen der Europäischen Kommission würden denjenigen von Amazon vorgehen, weswegen der Aussetzungsantrag im einstweiligen Rechtsschutzverfahren versagt wurde.

Hintergrund war der Beschluss der Europäischen Kommission vom 23.04.2022 nach der Amazon entsprechend der Verordnung (EU) 2022/2065 über einen Binnenmarkt für digitale Dienste (Digital Services Act) als sehr große Online-Plattform eingestuft wurde. Daraus resultiert u.a. die Pflicht von Amazon ein Werbearchiv mit detaillierten Informationen für Online-Werbung öffentlich zugänglich zu machen. Gegen diese Entscheidung hat Amazon einstweiligen Rechtsschutz angestrebt und zugleich die Nichtigerklärung beim EuGH beantragt. Mit Beschluss vom 27.03.2023 wurde zunächst die Aussetzung des Beschlusses angeordnet (EuGH, Beschl. v. 13.12.2023 - Az. C-639/23 P(R)), wogegen die Kommission ein Rechtmittel einlegt hat.

Der EuGH ist zwar der Auffassung, eine rechtswidrige Einschränkung des Rechtes von Amazon auf Achtung des Privatlebens, welches auch Unternehmen gewährt wird und unternehmerische Freiheit durch die eingeführte Pflicht zur öffentlichen Zugänglichmachung von Werbearchiven sei nicht von vornhinein ausgeschlossen. Es sei auch nicht ausgeschlossen, dass Amazon ohne die Aussetzung bis zum abschließenden Urteil in der Hauptsache, mit dem der Beschluss der Kommission gegebenenfalls für nichtig erklärt wird, einen schwerwiegenden, nicht wiedergutzumachenden Schaden erleidet. Im Rahmen der maßgeblichen Interessenabwägung sei jedoch das Interesse des Unionsgesetzgebers an einem Erreichen der Ziele des Digital Services Act, die eine Bedrohung für die Grundrechte im Online-Umfeld verhindern sollen, einzubeziehen. Dieses gehe den materiellen Interessen von Amazon vor, weshalb der Antrag auf Aussetzung des Beschlusses der Kommission letztlich zurückgewiesen wurde. Das abschließende Urteil in der Sache wird zu einem späteren Zeitpunkt ergehen.

(Gesche Kracht)

EuGH zum Schadensersatzanspruch nach Art. 82 DSGVO

In seinem Urteil vom 11. April 2024 hat der EuGH die bestehende Rechtsprechung zum Schadensersatzanspruch nach Art. 82 DSGVO weiter ausdifferenziert (EuGH, Urt. v. 11.04.2024 - Az. C-741/21). Im Ausgangsverfahren hatte der Kläger aufgrund des wiederholten Erhalts von Werbeschreiben nach Widerspruch zur Nutzung seiner personenbezogenen Daten Klage auf Schadensersatz nach Art. 82 Abs. 1 DSGVO erhoben. Das Prozessgericht legte dem EuGH daraufhin verschiedene Fragen, insb. zum Begriff des immateriellen Schadens und der Bemessung des Schadensersatzanspruchs, vor.

Der EuGH stellt in Anknüpfung an die bisherige Rechtsprechung fest, dass der Verstoß gegen Bestimmungen der DSGVO, die der betroffenen Person Rechte verleihen, für sich genommen nicht ausreiche, um einen Schadensersatzanspruch zu begründen. Unter Verweis auf Erwägungsgrund 85 stellt der EuGH klar, dass der vom Kläger geltend gemachte „Verlust der Kontrolle“ grundsätzlich dem Schadensbegriff unterfällt. Für die Bemessung des Schadenersatzanspruchs weist das Gericht darauf hin, dass es Sache der Mitgliedstaaten sei, unter Wahrung der unionsrechtlichen Grundsätze der Effektivität und Äquivalenz Kriterien zur Bestimmung des Betrages der Entschädigung festzulegen. Die in Art. 83 DSGVO genannten Kriterien seien aufgrund der unterschiedlichen Zielrichtung nicht übertragbar. Während Art. 83 DSGVO die Bedingungen für die Verhängung von Geldbußen regelt und somit einen Strafzweck verfolgt, habe Art. 82 DSGVO vielmehr eine Ausgleichsfunktion. Aus diesen Gründen dürfe die Höhe des Schadensersatzes nicht von der Schwere des Verstoßes beeinflusst sein und auch ein mehrmaliger Verstoß gegenüber demselben Betroffenen stelle kein relevantes Kriterium dar.

Außerdem stellte der EuGH fest, dass eine Haftungsbefreiung des Verantwortlichen durch einen pauschalen Verweis auf das Fehlverhalten Untergebener nicht möglich ist. Die Haftung nach Art. 82 Abs. 3 DSGVO würde zu leicht umgangen werden können, wodurch die Wirkkraft des Schadensersatzanspruchs deutlich geschmälert werden würde. Berücksichtigt man das Ziel des hohen Schutzniveaus für personenbezogene Daten, das mit der DSGVO gesichert werden soll, liefe der Verlust dieser Wirkkraft dem Ziel zuwider. Die Haftungsbefreiung nach Art. 82 Abs. 3 DSGVO soll daher strikt auf Fälle beschränkt sein, in denen der Verantwortliche nachweisen kann, dass kein Kausalzusammenhang zwischen seinem Verhalten und dem Schaden besteht. Der Nachweis des Verantwortlichen, er habe einer ihm iSv Art. 29 DSGVO unterstellten Person Weisungen erteilt, denen nicht nachgekommen sei, sei nicht ausreichend.

(Gesche Kracht)

BGH zur Löschung der Daten eines GmbH-Geschäftsführers und eines Kommanditisten aus dem Handelsregister

Der BGH hat am 23. Januar 2024 entschieden, dass sich aus Art. 17 Abs. 1 DSGVO kein Anspruch des Geschäftsführers einer GmbH auf Löschung seiner Daten aus dem Handelsregister ergibt (BGH, Beschl. v. 23.01.2024 - Az. II ZB 7/23).

Der Antragsteller ist Geschäftsführer einer GmbH und als solcher im Handelsregister eingetragen. Mit der Begründung, aufgrund seines beruflichen Umgangs mit Sprengstoff bestünde die Gefahr einer gegen ihn gerichteten Straftat, beantragte er beim zuständigen Registergericht die Entfernung seines Geburtsdatums und seines Wohnorts aus dem Handelsregister. Das Registergericht hat dies zurückgewiesen, woraufhin der Antragsteller zunächst Beschwerde und schließlich Rechtsbeschwerde beim BGH einlegte.

In seiner Entscheidung führt der BGH aus, ein Anspruch auf Entfernung der Angaben im Handelsregister ergebe sich weder aus der DSGVO noch aus nationalem Recht. Das Begehren des Antragstellers auf Entfernung der Daten aus dem Handelsregister sei grundsätzlich von Art. 17 DSGVO umfasst. Selbst wenn einer der in Art. 17 Abs. 1 DSGVO genannten Gründe für Löschung der personenbezogenen Daten eines Betroffenen vorläge, sei der Anspruch jedoch nach Art. 17 Abs. 3 lit. b) Fall 1 DSGVO ausgeschlossen. Bei der Eintragung des Geburtsdatums und des Wohnortes eines GmbH-Geschäftsführers im Handelsregister handele es sich um eine sich aus § 10 Abs. 1 S. 1 GmbHG, § 387 Abs. 2 FamFG, § 43 Nr. 4 S. 1 lit. b) HRV ergebende rechtliche Verpflichtung des Registergerichts. Schließlich besteht auch nach § 9 Abs. 1 HGB eine Pflicht zur Offenlegung der eingetragenen Daten zu Informationszwecken. Die Verarbeitung genüge auch dem Rechtsmäßigkeitserfordernis des Art. 6 Abs. 1 DSGVO, da mit der rechtliche Verpflichtung des Registergerichts ein im öffentlichen Interesse liegendes Ziel iSv Art. 6 Abs. 3 S. 2 und 4 DSGVO folgt werde. Anhaltspunkte für eine konkrete Gefährdung des Antragstellers seien nicht erkennbar.

Der hilfsweise gestellte Antrag auf eine Beschränkung der Offenlegung der Daten dahingehend, dass eine Übermittlung an Dritte erst nach einer Interessenabwägung erfolgt, wurde ebenfalls abgelehnt. Der BGH stellt hierzu fest, dass keiner der in Art. 18 Abs. 1 lit. a) bis d) DSGVO aufgeführten Gründe zur Einschränkung der Datenverarbeitung vorliege. Näheres hierzu erfahren Sie auch in unserem ausführlichen Blog-Beitrag zu diesem Thema.

(Gesche Kracht)

OLG Celle lehnt Berufung in Massenverfahren ab

Das OLG Celle hat die Berufung in einem Klageverfahren zum sog. Datenscraping mit der Begründung, die Berufungsbegründung genüge nicht den Anforderungen von § 520 Abs. 3 Nr. 2 und 3 ZPO und wäre insbesondere nicht auf den konkreten Streitfall zugeschnitten, zurückgewiesen (OLG Celle, Urt. v. 04.04.2024 - Az. 5 U 77/23).

In erster Instanz hatte das LG Hildesheim eine Schadensersatz- und Unterlassungsklage gegen Facebook abgewiesen. Hintergrund des Verfahrens war das Auftauchen von Facebook-Nutzerdaten im Internet (sog. Datenscraping-Vorfall), mit dem sich in der Vergangenheit bereits zahlreiche Gerichte in ähnlich gelagerten Sachverhalten zu befassten hatte. Der Kläger verfolgte mit seiner Berufung die erstinstanzlichen Klageanträge weiter.

Nach Ansicht des OLG Celle genüge die Berufungsbegründung nicht den insoweit geltenden Anforderungen. Die Begründung sei insbesondere nicht auf das landgerichtliche Urteil zugeschnitten, vielmehr handele es sich um ein aus Textbausteinen zusammengesetztes Dokument, dass ersichtlich zu dem Zweck erstellt wurde, dieses mehr oder weniger inhaltlich unverändert für eine Vielzahl von Berufungsverfahren zu verwenden. Das Vorbringen der Klägerseite, es handele sich um ein sog. Masseverfahren, weswegen die rechtlichen Ausführungen aufgrund der identischen DSGVO-Verstöße in allen Parallelfällen denknotwendig gleich seien und somit nicht prozessordnungswidrig, greife nicht durch. Die im Ansatz identischen Rechtsfragen entbinden nicht von dem Erfordernis, dass jede einzelne Berufungsbegründung auf das jeweils erstinstanzliche Urteil zugeschnitten sein muss, zumal diese in ihrer Argumentation auch voneinander abweichen könnten. Eine Auseinandersetzung mit der konkreten Argumentation des Landesgerichts sei hier gerade nicht erfolgt.

Mit seiner Entscheidung hat das OLG Celle die Anforderung an die Rechtsmittelbegründung in Masseverfahren mit Verweis auf die gesetzlichen Vorschriften nochmal verschärft.

(Gesche Kracht)

OLG Oldenburg: Kontrollverlust begründet keinen Schadensersatzanspruch nach Art. 82 DSGVO

Das OLG Oldenburg hatte sich ebenfalls mit einem Datenscraping-Vorfall in einem Beschwerdeverfahren zu beschäftigen. Konkret ging es darum, dass sich Unbekannte über ein komplexes technisches Verfahren Zugang zu zahlreichen Telefonnummern von Nutzern der Plattform Facebook verschafften und diese Informationen dann veröffentlicht haben. Das Gericht stellte fest, dass ein Kontrollverlust über die personenbezogenen Daten an sich keinen Schaden darstelle (OLG Oldenburg, Beschl. v. 20.02.2024 - Az. 13 U 43/23; GRUR-RS 2024, 2789). 

Der Kläger hatte im erstinstanzlichen Verfahren auf Schadensersatz nach Art. 82 Abs. 1 DSGVO geklagt. Den Anspruch hat er damit begründet, dass er durch die Offenlegung seiner Daten im Rahmen des Scraping-Vorfalls einen erheblichen Kontrollverlust über seine Daten erlitten habe und seither unter großem Unwohlsein und Sorge hinsichtlich eines möglichen Missbrauchs seiner Daten leide.

Das OLG Oldenburg hat die gegen das erstinstanzliche Urteil, dass einen Schadensersatzanspruch abgelehnt hat, gerichtete Berufung abgewiesen. Der erlittene Kontrollverlust stelle für sich genommen keinen Schaden dar. In Bezug auf die EuGH-Rechtsprechung führt das OLG aus, dass der Verlust der Kontrolle über die eigenen Daten zwar grundsätzlich einen Ersatzanspruch begründen könne, der Kläger darüber hinaus aber einen konkreten materiellen oder immateriellen Schaden darlegen muss. Ein folgenloser Kontrollverlust stelle keinen immateriellen Schaden dar. Sorgen, Befürchtungen und Ängste vor einem möglichen künftigen Missbrauch in der Weise, dass diese einen immateriellen Schaden begründen würden, konnten auch nach der Anhörung des Klägers nicht festgestellt werden.

(Gesche Kracht)

OLG Brandenburg: Ärger, Unwohlsein und Stress begründen keinen Schadensersatzanspruch

Das OLG Brandenburg hat einen Schadensersatzanspruch des Klägers gegen die Beklagte aus Art. 82 DSGVO wegen der verspäteten Beantwortung eines Auskunftsbegehrens nach Art. 15 DSGVO abgelehnt (OLG Brandenburg, Beschl. v. 05.03.2024 - 12 U 132/23; GRUR-RS 2024, 4611). Der Ersatz eines immateriellen Schadens sei zwar nicht davon abhängig, dass dieser eine bestimmte Erheblichkeitsschwelle überschritten habe. Dies bedeute jedoch nicht, dass der Betroffene von einem Nachweis der für ihn negativen Folgen und des konkreten Schadens befreit sei. Ein pauschal behaupteter Kontrollverlust könne grundsätzlich keinen Schaden darstellen. Mache der Kläger Ärger, Unwohlsein und Stress geltend, müsse er konkrete Indizien vortragen, auf die seine psychische Beeinträchtigung gestützt werden können. Ein Schaden könne auch dann vorliegen, wenn ein Betroffener infolge eines Verstoßes gegen die DSGVO befürchtet, dass seine Daten durch Dritte missbräuchlich verwendet werden. Insoweit müsse geprüft werden, ob die Befürchtung als begründet angesehen werden könne. Im in Rede stehenden Fall habe der Kläger weder das eine noch das andere vorgetragen. Ein Schaden müsse aber von der betroffenen Person nachgewiesen werden, weshalb der Anspruch abzulehnen sei.

(Christina Prowald)

LG Düsseldorf: Verspätete Auskunft nach Art. 15 DSGVO ist Wettbewerbsverletzung

Nach Auffassung des LG Düsseldorf kann die verspätete Beantwortung eines Auskunftsersuchens nach Art. 15 DSGVO gleichzeitig einen Wettbewerbsverstoß darstellen, der von der Verbraucherzentrale verfolgt werden kann (LG Düsseldorf, Urt. v. 15.03.2024 - Az. 34 O 41/23).

In dem der Entscheidung zugrunde liegenden Fall hat die Betreiberin des Online-Shops von Peek & Cloppenburg einen Kunden angeschrieben und offenstehende Forderungen angemahnt. Dieser teilte mit, dass er keine Ware bestellt habe, sondern Opfer eines Identitätsdiebstahls geworden sei und machte seinen Anspruch nach Art. 15 DSGVO geltend. Diesem Anspruch kam die Beklagte erst zwei Monate später und damit verspätet nach. Die Verbraucherzentrale erhob in der Folge Klage gegen das Unternehmen und forderte die künftige Unterlassung verspäteter Auskunft.

Das LG Düsseldorf stellte nunmehr fest, dass die Beklagte die Frist des Art. 15 DSGVO unstreitig nicht eingehalten habe. In dem Verstoß gegen die DSGVO sei gleichzeitig auch ein Wettbewerbsverstoß zu sehen, da es sich bei Art. 12 Abs. 3, 15 DSGVO um Marktverhaltensvorschriften i.S.v. § 3a UWG handele. Der Verstoß sei auch geeignet, die Interessen von Verbrauchern, sonstigen Marktteilnehmern oder Mitbewerbern spürbar zu beeinträchtigen.

(Christina Prowald)

LG Stuttgart und LG Freiburg zum Anspruch auf Schadensersatz wegen API-Bug bei X

Das LG Stuttgart und das LG Freiburg haben sich zu datenschutzrechtlichen Ansprüchen im Zusammenhang mit einem API-Bug bei X (ehemals Twitter) geäußert. Ein API-Bug ist eine offene Schnittstelle zwischen zwei Softwarekomponenten und ermöglicht Dritten die systemseitige Identifikationsnummer des jeweiligen Nutzers (von X vergeben) durch das Eingeben von zufälligen E-Mail-Adressen oder Telefonnummern zu erlangen. Durch Zufallstreffer können Hacker dann weitere personenbezogene Daten der Nutzer abgreifen.

Das LG Stuttgart entschied am 24. Januar 2024, dass der Klägerin kein Schadensersatzanspruch nach Art. 82 DSGVO gegen das Unternehmen X zusteht (LG Stuttgart, Urt. v. 24.01.2024 - Az. 27 O 92/23). Das Gericht führte aus, dass der Anspruch auf Schadensersatz voraussetze, dass der Account der Klägerin von dem API-Bug betroffen war. Dies habe die Klägerin aber nicht vollumfänglich nachweisen können. Der Verweis auf die Interplattform https:///haveibeenpwned.com, mittels derer geprüft werden können soll, ob ein Account von dem Bug betroffen ist, sei insoweit nicht ausreichend. Die Seite weise zwar eine Betroffenheit der Klägerin aus, es sei jedoch unklar, wie die Seite die Betroffenheit individueller Nutzer ermittele. Woher die Seite verlässliche Kenntnis davon haben soll, welche Accounts von dem Bug betroffenen sind, bleibe insoweit offen. Der Vortrag eines erhöhten Spamaufkommens durch die Klägerin sei ebenfalls kein ausreichender Nachweis.

Das LG Freiburg hat einem Betroffenen demgegenüber am 8. Februar 2024 einen Anspruch auf Schadensersatz in Höhe von 100 Euro wegen des API-Bugs bei X zugesprochen (LG Freiburg, Urt. v. 08.02.2024 - Az. 8 O 212/23). Es ist der Auffassung, dass der Kläger durch den Verweis auf die Webseite https:///haveibeenpwned.com hinreichende Anhaltspunkte für eine eigene Betroffenheit dargelegt habe. Diese habe die Beklagte auch nicht entkräftet. Weiter führte das Gericht aus, dass die Beklagte gegen Art. 24, 32, 5 Abs. 1 lit. f) DSGVO verstoßen habe, indem sie keine ausreichend geeigneten technischen und organisatorischen Maßnahmen getroffen hat. Darüber hinaus stellte das Gericht einen Verstoß gegen Art. 33 Abs. 1 DSGVO fest. Nach Auffassung des Gerichts ist dem Kläger durch die Verstöße der Beklagten auch ein kausaler Schaden entstanden. Der Schaden liege zwar nicht in dem vom Kläger angeführten vermehrten Aufkommen an Spam-E-Mails, aber in der glaubhaft geschilderten Angst vor einer missbräuchlichen Verwendung seiner E-Mail-Adresse durch Dritte.

(Christina Prowald)

LG Mannheim zum Daten-Scraping auf Facebook

Am 15. März 2024 hat das LG Mannheim einer Klägerin gegenüber Facebook einen Anspruch auf Schadensersatz in Höhe von 50 Euro wegen unerlaubten Daten-Scrapings auf Facebook zugesprochen (LG Mannheim, Urt. v. 15.03.2024 - Az. 1 O 99/23).

Das Gericht stellte zunächst fest, dass Facebook gegen Art. 25 und 32 DSGVO verstoßen habe. Es sei außerdem davon überzeugt, dass der Kläger von dem Scraping-Vorfall betroffen sei. Bei einer Suche auf www.haveibeenpwnd.com werde die Nummer des Klägers als vom Scraping erfasst angegeben. Die Seite könne allgemein als verlässliche Quelle angesehen werden. Durch den Scraping-Vorfall sei dem Kläger auch ein immaterieller Schaden entstanden. Allein der Verlust der Kontrolle über personenbezogene Daten begründe zwar noch keinen immateriellen Schaden. Der Kläger habe darüber hinaus aber angegeben, dass er in Sorge um seine Daten sei. Für ihn sei es so, als habe er seinen Haustürschlüssel verloren. Die Ausführungen des Klägers seien differenziert gewesen, weshalb ihm für den erlittenen Schaden ein Betrag in Höhe von 50 Euro zustehe.

(Christina Prowald)

Stellungnahme der DSK zum neuen Entwurf des BDSG

Im Februar 2024 hat die Bundesregierung einen Gesetzentwurf zur Änderung des Bundesdatenschutzgesetztes (BDSG) vorgelegt. Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat zu diesem nunmehr Stellung genommen (Stellungnahme v. 12.04.2024).

Der Gesetzesentwurf sieht unter anderem eine gesetzliche Verankerung und Institutionalisierung der DSK vor. Die DSK hat insoweit darauf hingewiesen, dass die diesbezügliche Regelung noch ausgebaut und die Ziele der DSK in die Vorschrift aufgenommen werden sollten. Außerdem betont die DSK die Notwendigkeit einer Ständigen Geschäftsstelle. Die DSK äußert außerdem Bedenken bezüglich der Vereinbarkeit der neuen Regelungen zum Schutz von Betriebs- und Geschäftsgeheimnissen und zum Scoring mit den Vorschriften der DSGVO. Sie weist insoweit auch auf verschiedene Unklarheiten und Nachbesserungserfordernisse hin. Außerdem kritisiert die DSK eine neue Regelung, nach der Behörden oder sonstigen öffentlichen Stellen keine Bußgelder auferlegt werden können. Ein Bedarf für Bußgelder bestehe auch im öffentlichen Bereich, um die Schwere eines Verstoßes deutlich zu machen und Datenschutzverstößen vorzubeugen. Die neu vorgesehene Regelung sei deshalb zu streichen.

(Christina Prowald)

Frankreich: Bußgeld i.H.v. 525.000 Euro gegen HUBSIDE.STORE

Die französische Aufsichtsbehörde (CNIL) hat am 4. April 2024 ein Bußgeld in Höhe von 525.000 Euro gegen HUBSIDE.STORE verhängt. Das Unternehmen hatte sich Daten von Datenmaklern beschafft und für kommerzielle Zwecke verwendet, ohne sich vorab zu vergewissern, dass die betroffenen Personen ihre Einwilligung erteilten hatten (Mitteilung v. 09.04.2024).

HUBSIDE.STORE führte verschiedene Werbekampagnen per Telefon und SMS durch. Die Daten der Werbeadressaten kaufte das Unternehmen von verschiedenen Datenmaklern. Letztere verwendeten aus Sicht der CNIL allerdings irreführende Formulare, mittels derer keine wirksame Einwilligung der Nutzer in die Datenverarbeitung eingeholt werden konnte, um die Informationen der Betroffenen zu sammeln. HUBSIDE.STORE verstieß mit seinen Werbeaktionen in der Folge gegen die DSGVO und die französischen Gesetze, da es aufgrund der mangelhaften Einwilligungserklärungen an einer wirksamen Rechtsgrundlage für die Datenverarbeitung fehlte. CNIL wies darauf hin, dass Unternehmen, die Daten zu Werbezwecken erwerben, sich vergewissern müssen, dass die betroffenen Personen eine gültige Einwilligung abgegeben haben, und stellte fest, dass dies seitens HUBSIDE.STORE nicht wirksam kontrolliert wurde. Darüber hinaus rügte die Aufsichtsbehörde, dass das Unternehmen seinen Informationspflichten nach Art. 14 DSGVO nicht in ausreichendem Maß nachkam, da es den Betroffenen die für die Ausübung ihrer Rechte erforderlichen Informationen nicht zur Verfügung stellte.

(Christina Prowald)