Probleme bei der Darstellung des Newsletters? Dann klicken Sie hier für die Webansicht

Newsletter zum Datenschutz

Sehr geehrte Damen und Herren,

am 29.04.2022 wurden in Bielefeld die Big Brother Awards verliehen. Der Datenschutz-Negativpreis prämiert Datensünder aus Wirtschaft und Politik. Die Jury aus Datenschützern, der in diesem Jahr unter anderem der ehemalige Datenschutzbeauftragte des Landes Schleswig-Holstein Thilo Weichert sowie Frank Rosengart vom „Chaos Computer Club“ angehörten, verlieh die Preise in den verschiedenen Kategorien an Lieferando, das Bundeskriminalamt, die irische Datenschutzbehörde, die Bundesdruckerei sowie Klarna. Kritisiert wurden unter anderem die unzulässige Kontrolle von Mitarbeitern, die datenschutzwidrige Speicherung von Daten sowie die intransparente Bündelung und Auswertung von Daten.

In unserem Datenschutz-Newsletter informieren wir Sie regelmäßig über aktuelle datenschutzrechtliche Entwicklungen. Wie gewohnt finden Sie auch in dieser Ausgabe Beiträge zu Geschehnissen aus dem Datenschutzrecht, unter anderem Hinweise der DSK zum datenschutzkonformen Online-Handel mittels Gastzugang, Entscheidungen des BGH und des FG Berlin-Brandenburg zum Auskunftsanspruch nach Art. 15 DSGVO sowie aktuelle Entwicklungen auf europäischer Ebene zur Thematik der künstlichen Intelligenz. In unserem Schwerpunktthema informieren wir Sie über Datenübermittlungen im Konzern.

Bei Rückmeldungen zu diesem Newsletter oder Fragen im Zusammenhang mit den Themen des Newsletters bitten wir Sie, uns eine E-Mail an datenschutz@brandi.net zu senden. Die weiteren Kontaktdaten finden Sie auch auf unserer Homepage.

Dr. Sebastian Meyer und das Datenschutzteam von BRANDI

Thema des Monats: Datenübermittlungen im Konzern

Für Datenverarbeitungsprozesse innerhalb eines Konzerns und insbesondere auch die Übermittlung von personenbezogenen Daten an andere Konzerngesellschaften ist grundsätzlich das Vorliegen einer Rechtsgrundlage erforderlich. Auch die konzerninterne Datenverarbeitung unterliegt insoweit dem in der Datenschutz-Grundverordnung (DSGVO) statuierten „Verbot mit Erlaubnisvorbehalt“, dem entsprechend jede Verarbeitung personenbezogener Daten das Vorliegen einer datenschutzrechtlichen Ermächtigung erfordert.

Konzerne bzw. die konzernangehörigen Unternehmen unterfallen dem datenschutzrechtlichen Begriff der „Unternehmensgruppe“, den die DSGVO in Art. 4 Nr. 19 DSGVO als Gruppe, die aus einem herrschenden Unternehmen und den von diesem abhängigen Unternehmen besteht, definiert. Auch bei Unternehmen einer solchen Unternehmensgruppe handelt es sich aus datenschutzrechtlicher Sicht vom Grundsatz her um jeweils eigenständige Stellen. Nicht nur die klassische Datenweitergabe im Sinne einer direkten Übermittlung, sondern bereits der bloße Abruf oder Zugriff einer Konzerngesellschaft auf Daten, die einer anderen Konzerngesellschaft als verantwortliche Stelle zugeordnet sind – etwa im Falle von gemeinsamen Datenbanken oder konzernweiten Verzeichnissen –, sind dementsprechend als Übermittlung von Daten an ein anderes Unternehmen und damit als rechtfertigungsbedürftige Datenverarbeitung zu qualifizieren.

Eine besondere Rechtsgrundlage für Datenübermittlungen innerhalb eines Konzerns (sog. „Konzernprivileg“) kennt die DSGVO nicht. Lediglich in Erwägungsgrund 48 finden sich Ausführungen zur Datenweitergabe innerhalb einer Unternehmensgruppe auf Basis einer Interessenabwägung. Auch im Bundesdatenschutzgesetz (BDSG) fehlt es an einer entsprechenden privilegierenden Regelung, sodass für den Datenaustausch zwischen konzernangehörigen Unternehmen insoweit auf die allgemeinen Erlaubnistatbestände insbesondere des Art. 6 DSGVO zurückzugreifen ist.

Die zusätzlichen Vorgaben, die sich aus der DSGVO etwa für die Verarbeitung besonderer Kategorien personenbezogener Daten aus Art. 9 DSGVO oder für die Übermittlung von Daten in Drittstaaten aus den Art. 44 ff. DSGVO ergeben, sind auch bei der Datenverarbeitung im Konzern grundsätzlich zu beachten.

Zum vollständigen Schwerpunktthema

LAG Köln: Zugriff auf private Daten kann einen Kündigungsgrund darstellen

Das Landesarbeitsgericht Köln hat in einer Entscheidung festgestellt, dass der Arbeitgeber zu einer fristlosen Kündigung eines Beschäftigungsverhältnisses berechtigt sein kann, wenn ein Mitarbeiter ersichtlich auf private Daten eines Arbeitskollegen zugreift, die dieser auf den betrieblichen IT-Systemen gespeichert hat (LAG Köln, Urteil vom 02.11.2021, Az. 4 Sa 290/21).

Hintergrund des arbeitsgerichtlichen Verfahrens war eine arbeitgeberseitig ausgesprochene Kündigung gegen eine Mitarbeiterin, die – angeblich zur Beweissicherung – ersichtlich private Kommunikationsdaten eines Arbeitskollegen durchgesehen und separat abgespeichert hat. Nach der Argumentation der Mitarbeiterin war es möglich, dass sich aus den erkennbar privaten Daten Anhaltspunkte für ein strafrechtlich relevantes Fehlverhalten hätten ergeben können. In erster Instanz war die Kündigungsschutzklage der Mitarbeiterin vor dem Arbeitsgericht noch erfolgreich (ArbG Aachen, Urteil vom 22.04.2021, Az. 8 Ca 3432/20). Das Arbeitsgericht hatte argumentiert, dass angesichts der fehlenden Schädigungsabsicht eine Abmahnung im konkreten Fall genügt hätte und daher die sofort ausgesprochene außerordentliche Kündigung unverhältnismäßig gewesen sei. Diese Entscheidung ist durch das Landesarbeitsgericht zurecht aufgehoben worden. Zur Begründung führt das Gericht aus, der Mitarbeiterin hätte bewusst sein müssen, dass sie ohne ausreichende Befugnis solche Daten sichtet und speichert, die nicht für sie bestimmt waren. Selbst wenn die Mitarbeiterin geglaubt hat, die Daten hätten zur Beweissicherung gesichert werden müssen, wäre es nicht ihre Aufgabe gewesen, dies eigenmächtig vorzunehmen. Es kommt dann auch nicht darauf an, ob der Arbeitskollege die privaten Daten überhaupt auf den Systemen hätte speichern dürfen.

Die Entscheidung zeigt noch einmal die Bedeutung der Vertraulichkeit von personenbezogenen Daten, selbst wenn diese technisch abrufbar sind, aber nicht abgerufen werden dürfen. Üblicherweise werden Mitarbeiter von ihren Arbeitgebern auch genau für diesen Fall auf die Vertraulichkeit personenbezogener Daten verpflichtet oder zumindest hierüber informiert. Problematisch kann die Vorgabe allenfalls für Mitarbeiter aus der IT-Abteilung sein, wenn diese im Rahmen ihrer Tätigkeit prüfen und bewerten müssen, ob andere Mitarbeiter die IT-Systeme ordnungsgemäß nutzen. In diesem Verhältnis müssen möglicherweise andere Maßstäbe angelegt werden als bei sonstigen Mitarbeitern, die ersichtlich nicht Zugriff auf private Daten von Arbeitskollegen nehmen dürfen.

(Sebastian Meyer)

BGH: Missbrauch des Auskunftsanspruchs nach der DSGVO

Der Bundesgerichtshof (BGH) hat dem Europäischen Gerichtshof (EuGH) mit Beschluss vom 29.03.2022 mehrere Fragen zum Auskunftsanspruch nach Art. 15 DSGVO zur Vorabentscheidung vorgelegt (BGH, Beschluss vom 29.03.2022, Az. VI ZR 1352/20).

In dem der Entscheidung zugrunde liegenden Fall begehrte der Kläger von der beklagten Zahnärztin die unentgeltliche Herausgabe einer Kopie sämtlicher bei der Beklagten existierenden, ihn betreffenden Krankenunterlagen. Grund für das Herausgabeverlangen war eine nach Ansicht des Klägers fehlerhafte Behandlung der Beklagten. Die Beklagte war hingegen der Auffassung, eine Kopie der Patientenakte müsse nur gegen Kostenerstattung herausgegeben werden. Gemäß § 630g Abs. 2 BGB kann ein Patient eine Kopie seiner Patientenakte verlangen, muss die dem Behandelnden entstandenen Kosten jedoch erstatten. Nach Art. 15 Abs. 3 S. 1 i. V. m. Art. 12 Abs. 5 DSGVO kann ein Betroffener unter Berücksichtigung der sonstigen Vorgaben der Art. 12 und 15 DSGVO hingegen die unentgeltliche Herausgabe einer ersten Kopie der über ihn gespeicherten personenbezogenen Daten verlangen. Fraglich war vor allem, ob der datenschutzrechtliche Auskunftsanspruch des Klägers auch dann besteht, wenn dessen einziges Ziel in der Informationsgewinnung zur Geltendmachung arzthaftungsrechtlicher Ansprüche liegt, darüber hinaus aber keinerlei datenschutzrechtliche Zwecke i. S. v. Erwägungsgrund 63 verfolgt werden. Der BGH war insoweit der Auffassung, dass diese Frage weder von vornherein noch auf Grundlage der bisherigen Rechtsprechung des Gerichtshofs eindeutig beantwortet werden könne und legte dem EuGH aus diesem Grund verschiedene Fragen zur Vorabentscheidung vor.

Der EuGH soll nun insbesondere klären, ob das Recht auf Herausgabe einer Kopie der über den Betroffenen gespeicherten personenbezogenen Daten auch dann besteht, wenn der Betroffene die Unterlagen zur Verfolgung legitimer, aber datenschutzfremder Zwecke begehrt. Konkret fragte der BGH, ob Art. 15 Abs. 3 S. 1 i. V. m. Art. 12 Abs. 5 DSGVO dahingehend auszulegen ist, dass der Verantwortliche nicht verpflichtet ist, dem Betroffenen eine erste Kopie seiner vom Verantwortlichen verarbeiteten personenbezogenen Daten unentgeltlich zur Verfügung zu stellen, wenn der Betroffene die Kopie nicht zur Verfolgung der in Erwägungsgrund 63 S. 1 zur DSGVO genannten Zwecke begehrt, sich der Verarbeitung seiner personenbezogenen Daten bewusst zu werden und deren Rechtmäßigkeit überprüfen zu können, sondern einen anderen – datenschutzfremden, aber legitimen – Zweck verfolgt. Sofern diese Frage mit Nein zu beantworten ist, möchte der BGH nachgelagert wissen, ob und inwieweit der sich aus Art. 15 i. V. m. Art. 12 DSGVO ergebende Anspruch durch anderweitige nationale Regelungen, etwa eine solche wie die des § 630g Abs. 2 BGB, beschränkt werden kann und welcher Umfang dem datenschutzrechtlichen Anspruch zukommt.

(Christina Prowald)

FG Berlin-Brandenburg: Auskunftsanspruch gegenüber dem Finanzamt

Das Finanzgericht Berlin-Brandenburg entschied mit Urteil vom 26.01.2022, dass der datenschutzrechtliche Auskunftsanspruch des Art. 15 DSGVO prinzipiell bei direkten Steuern auch gegenüber dem Finanzamt besteht (FG Berlin-Brandenburg, Urteil vom 26.01.2022, Az. 16 K 2059/21). Im Hinblick auf Auskunftsverpflichtete, die große Mengen an Daten verarbeiten, besteht der Anspruch aber nicht voraussetzungslos und ohne Begründungszwang. Ein entsprechendes Auskunftsverlangen muss vielmehr hinreichend spezifiziert sein und kann verweigert werden, wenn das Begehren exzessiv ist.

In dem zugrunde liegenden Fall verlangte der Kläger von seinem Finanzamt Auskunft über die in den letzten 50 Jahren zu seiner Person gespeicherten Daten, unter anderem über Daten aus Außenprüfungen bei Dritten, sämtliche interne Notizen und jeglichen Schriftverkehr, sämtliche Transaktionsdaten, Daten, die von Dritten und zu Dritten zur Verfügung gestellt wurden sowie Verträge und sonstigen Unterlagen. Anlass für das Begehren war eine bei der Ehefrau des Klägers durchgeführte Betriebsprüfung im Zusammenhang mit Einkünften aus selbstständiger Arbeit, im Rahmen derer die Mobilfunknummer des Klägers ohne dessen Einverständnis von der Betriebsprüferin mittels einer unverschlüsselten E-Mail zwecks Abstimmung eines Termins an die berufliche E-Mail-Adresse seiner Ehefrau gesendet wurde.

Das Gericht führte aus, dass der Anspruch zwar dem Grunde nach bestehe, das Begehren des Klägers aber sowohl in inhaltlich-materieller als auch in zeitlicher Hinsicht als exzessiv i. S. v. Art. 12 Abs. 5 DSGVO zu bewerten sei und deshalb zu Recht von der Beklagten verweigert wurde. Nach Auffassung des FG diene das Begehren des Klägers im Übrigen nicht dem Zweck, den Schutz der Privatsphäre des Klägers bei der Verarbeitung von ihn betreffenden Daten zu gewährleisten. Vielmehr versuche der Kläger, den Anspruch aus Art. 15 DSGVO zu missbrauchen, um Zugang zu ganzen Beständen ihn betreffender Verwaltungsdokumente zu erlangen.

(Christina Prowald)

LG Köln: Kein Anspruch auf Löschung eines Eintrags aus Schufa-Kartei

Das Landgericht Köln entschied mit Urteil vom 16.02.2022, dass die Schufa einen Eintrag über eine Restschuldbefreiung für einen Zeitraum von drei Jahren auf Grund überwiegender berechtigter Interessen speichern darf (LG Köln, Urteil vom 16.02.2022, Az. 28 O 221/21).

In dem zu entscheidenden Fall begehrte der Kläger von der Schufa die Löschung eines Eintrags über eine Restschuldbefreiung nach einem Insolvenzverfahren aus der Schuldnerkartei. Der Eintrag verhindere nach Angaben des Klägers die Anmietung einer Wohnung sowie die Gewährung eines Immobilienkredits und bringe Nachteile in Bezug auf den Abschluss von verschiedenen Verträgen mit sich. Die Beklagte entgegnete, die Restschuldbefreiung solle potentielle Kreditgeber auffordern, die Bonität des Klägers besonders zu prüfen. Die zuvor vorliegende massive Verschuldung sei weiterhin erklärungsbedürftig gegenüber einem Kreditgeber, sodass die Speicherung des Eintrags erforderlich sei. Eine Speicherdauer von drei Jahren sei insoweit angemessen.

Das Gericht stellte fest, dass kein Anspruch des Klägers gegen die Beklagte auf Löschung der Eintragung nach Art. 17 Abs. 1 DSGVO besteht und führte aus, dass die Datenverarbeitung weder von Anfang an unrechtmäßig gewesen sei, noch für die Zwecke, für die die Daten erhoben wurden, nicht mehr notwendig sei. Die Beklagte habe ein berechtigtes Interesse i. S. v. Art. 6 Abs. 1 S. 1 lit. f) DSGVO an der Speicherung des Eintrags, das die Interessen des Klägers überwiege. Die Erteilung von Auskünften bei kreditrelevanten Geschäften sei erforderlich, um die Informationsdisparität zwischen Kreditgeber und Kreditnehmer auszugleichen. Die Datenverarbeitung durch die Beklagte diene dazu, Kreditgebern eine zutreffende und objektive Einschätzung der Bonität des potentiellen Vertragspartners zu ermöglichen. Eine Restschuldbefreiung stelle insofern ein für jede Bonitätsbewertung relevantes Datum dar und sei für die Bewertung der Kreditwürdigkeit von Interesse. Eine Speicherfrist von drei Jahren widerspreche auch nicht den Grundsätzen der DSGVO. Die Entscheidung des LG Köln ist noch nicht rechtskräftig.

(Christina Prowald)

DSK: Datenschutzkonformer Online-Handel mittels Gastzugang

Die Datenschutzkonferenz (DSK), der Zusammenschluss der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder, hat am 24.03.2022 Hinweise zum datenschutzkonformen Online-Handel mittels Gastzugang veröffentlicht.

Der Grundsatz der Datenminimierung aus Art. 5 Abs. 1 lit. c) DSGVO, dem entsprechend nur solche Daten erhoben werden dürfen, die für die Abwicklung eines konkreten Geschäfts auch erforderlich sind, gilt auch im Onlinehandel. Vor diesem Hintergrund müssen „Verantwortliche, die Waren oder Dienstleistungen im Onlinehandel anbieten, […] ihren Kund*innen [nach Auffassung der DSK] unabhängig davon, ob sie ihnen daneben einen registrierten Nutzungszugang (fortlaufendes Kund*innenkonto) zur Verfügung stellen, grundsätzlich einen Gastzugang (Online-Geschäft ohne Anlegen eines fortlaufenden Kund*innenkontos) für die Bestellung bereitstellen“.

Die DSK äußerte sich dahingehend, dass nicht grundsätzlich davon ausgegangen werden könne, dass Kundendaten auch für mögliche, aber ungewisse künftige Geschäfte vorgehalten werden dürfen. Für die Einrichtung eines Kundenkontos sowie die längerfristige Speicherung der Daten ist nach Auffassung der DSK vielmehr eine aktive Einwilligung der Kunden erforderlich. Im Hinblick auf Kunden, die gerade keine dauerhafte Geschäftsbeziehung eingehen bzw. über die zur Abwicklung des Geschäfts erforderlichen Daten hinaus keine weiteren Daten angeben möchten, müsse eine Bestellmöglichkeit per Gastzugang vorgehalten werden. Der Gastzugang müsse den Kunden einen Zugriff auf die gleichen Angebote ermöglichen und auch im Übrigen gleichwertig sein. Die erforderliche Gleichwertigkeit soll dann gegeben sein, wenn dem Kunden keinerlei Nachteile gegenüber einer Bestellung per Kundenkonto entstehen.

Die DSK weist darüber hinaus allgemein darauf hin, dass auch für eine Auswertung von Daten, die im Rahmen der Erstellung eines Kundenkontos erfasst werden, eine explizite Einwilligung der betroffenen Kunden einzuholen sei und die zugehörigen Verarbeitungsvorgänge nicht bereits durch die allgemeine Einwilligung zur Erstellung des Kundenkontos gedeckt seien. Zudem seien Kunden sowohl bei Bestellungen per Gastzugang als auch bei der Erstellung des Kundenkontos umfassend datenschutzrechtlich zu informieren.

(Christina Prowald)

Europäisches Parlament: Künstliche Intelligenz

Das Europäische Parlament hat die endgültigen Empfehlungen des Sonderausschusses zu künstlicher Intelligenz im digitalen Zeitalter (AIDA) angenommen (Pressemitteilung vom 03.05.2022). Der Abschlussbericht des Ausschusses, in den auch die Ergebnisse zahlreicher Anhörungen und Debatten einflossen, enthält einen „Fahrplan“ sowie Handlungsempfehlungen für den Umgang mit künstlicher Intelligenz (KI) bis 2030.

Der Bericht thematisiert das Potential künstlicher Intelligenz, die Tätigkeiten der Menschen zu ergänzen und verweist darauf, dass die EU im Bereich der KI-Standards weltweit eine Führungsrolle einnehmen muss. Insbesondere die Bereiche Gesundheit, Umwelt und Klimawandel werden dabei in den Blick genommen. Künstliche Intelligenz habe in Kombination mit der erforderlichen Infrastruktur und zugehörigen Bildung das Potential, die Kapital- und Arbeitsproduktivität, das nachhaltige Wachstum sowie die Innovation zu steigern und Arbeitsplätze zu schaffen. Das Parlament betont aber gleichzeitig, dass die Einführung künstlicher Intelligenz auch äußerst relevante ethische und rechtliche Fragen aufwerfe und bestimmte Technologien das Risiko unrechtmäßiger Eingriffe erhöhen und eine Bedrohung der Grundrechte darstellen können. Insoweit seien wirksame Mechanismen für einen effektiven Grundrechtsschutz zu erarbeiten. Der Berichterstatter Axel Voss führte hierzu aus: „Die EU hat jetzt die einmalige Chance, einen menschenzentrierten und vertrauenswürdigen Ansatz für KI zu fördern, der mit den Grundrechten im Einklang steht, die Risiken beherrscht und gleichzeitig die Vorteile, die KI für die gesamte Gesellschaft bringen kann, voll ausschöpft. Wir brauchen einen Rechtsrahmen, der Raum für Innovationen lässt, und einen harmonisierten digitalen Binnenmarkt mit klaren Standards. Wir brauchen maximale Investitionen und eine robuste und nachhaltige digitale Infrastruktur, zu der alle Bürgerinnen und Bürger Zugang haben.“

Die Empfehlungen sollen unter anderem als Grundlage für die weitere parlamentarische Arbeit zur KI-Thematik sowie insbesondere das KI-Gesetz, das zurzeit im Ausschuss für Binnenmarkt und Verbraucherschutz sowie im Ausschuss für bürgerliche Freiheiten, Justiz und Inneres diskutiert wird und Ende September diesen Jahres verabschiedet werden soll, dienen.

Der AIDA-Ausschuss wurde im Jahr 2020 damit beauftragt, die Auswirkungen künstlicher Intelligenz auf die Wirtschaft in der EU zu untersuchen, zu analysieren, wie andere Staaten mit künstlicher Intelligenz umgehen und Optionen für die Zukunft aufzuzeigen.

(Christina Prowald)

Pangea Net: Newsletter der Praxisgruppe DICL

Anlässlich des vierten Geburtstags der Datenschutz-Grundverordnung am 25.05.2022 hat die Praxisgruppe „Data, Information & Cyber Law“ (DICL) unseres internationalen Partnernetzwerks Pangea Net einen Newsletter veröffentlicht.

Pangea Net ist ein Zusammenschluss unabhängiger Rechtsanwaltskanzleien aus über 25 Ländern zu einem internationalen Kanzlei-Netzwerk. Die Praxisgruppe für Datenschutz- und IT-Recht besteht aus Experten des IT- und Datenschutzrechts der verschiedenen Kanzleien.

In der aktuellen Ausgabe finden Sie Beiträge aus zehn Ländern zu den wichtigsten datenschutzrechtlichen Trends der vergangenen vier Jahre. Im Fokus stehen dabei vor allem Themen wie Cookies, Cloud-Dienste, Videoüberwachung und Dienste zur Gesichtserkennung. Den deutschen Beitrag haben Dr. Sebastian Meyer und Johanna Schmale aus dem Datenschutz-Team von BRANDI verfasst.

Der Newsletter mit den jeweiligen Länderberichten und weiteren Informationen steht auf der Homepage von Pangea Net kostenfrei zum Download zur Verfügung.

(Christina Prowald)