Probleme bei der Darstellung des Newsletters? Dann klicken Sie hier für die Webansicht

Newsletter zum Datenschutz

Sehr geehrte Damen und Herren,

die Landesbeauftragte für Datenschutz und Informationsfreiheit NRW, Bettina Gayk, hat am 22. Juni 2023 den 28. Bericht der Behörde zum Datenschutz und zur Informationsfreiheit vorgelegt. Sie berichtete zunächst, dass sich die Zahl der Beschwerden und die Beratungsersuchen verantwortlicher Stellen nach dem Inkrafttreten der DSGVO verdreifacht hätten. Im vergangenen Jahr habe die Behörde sehr viele Anfragen zum Zensus 2022 sowie zur Veröffentlichung des Handelsregisters im Internet erhalten. Außerdem wies sie auf die verschiedenen Gesetzgebungsverfahren der Europäischen Kommission mit Bezug zum Datenschutz sowie die fortschreitende technische Entwicklung - insbesondere auch im Bereich der Künstlichen Intelligenz - hin. Die Verabschiedung der geplanten KI-Verordnung lasse insoweit leider noch auf sich warten.

Bei Rückmeldungen zu diesem Newsletter oder Fragen im Zusammenhang mit den Themen des Newsletters bitten wir Sie, uns eine E-Mail an datenschutz@brandi.net zu senden. Die weiteren Kontaktdaten finden Sie auch auf unserer Homepage.

Dr. Sebastian Meyer und das Datenschutzteam von BRANDI

Thema des Monats: Datenschutz bei der Umsetzung des Hinweisgeberschutzgesetzes

Am 02.07.2023 ist das Hinweisgeberschutzgesetz (HinSchG) in Kraft getreten. Das HinSchG regelt den Schutz von Personen, die im Zusammenhang mit oder im Vorfeld ihrer beruflichen Tätigkeit Informationen über bestimmte Verstöße erlangt haben und diese an die nach dem Gesetz vorgesehenen Meldestellen melden oder offenlegen (Hinweisgeber), sowie den Schutz von Personen, die Gegenstand einer Meldung oder Offenlegung sind oder anderweitig davon betroffen sind.

Das Gesetz sieht für Arbeitgeber ab einer bestimmten Größe oder mit einer bestimmten Tätigkeit die Pflicht zur Einrichtung interner Meldestellen vor, über die Beschäftigte Rechtsverstöße melden können. Mit der Umsetzung dieser Vorgaben, insbesondere mit der Bearbeitung von Meldungen eines Hinweisgebers, geht die Verarbeitung von personenbezogenen Daten einher, wobei hierbei die datenschutzrechtlichen Vorgaben, insbesondere die Vorgaben der Datenschutz-Grundverordnung (DSGVO) und des Bundesdatenschutzgesetzes (BDSG), einzuhalten sind.

Zum vollständigen Schwerpunktthema

LDI NRW: 28. Bericht zum Datenschutz und zur Informationsfreiheit

Aus dem 28. Bericht der Landesbeauftragten für Datenschutz und Informationsfreiheit Nordrhein-Westfalen, Bettina Gayk, ergibt sich weiter, dass es im Jahr 2022 6.136 Beschwerden nach Art. 77 DSGVO, 522 von Dritten gemeldete Beschwerden, 947 schriftliche Beratungsanfragen von Verantwortlichen, Auftragsverarbeitern und betroffenen Personen sowie 1.829 Meldungen nach Art. 33 DSGVO gegeben habe. Die LDI NRW erließ außerdem 85 Bußgeldbescheide über insgesamt 80.350 Euro sowie 868 Hinweise, 26 Warnungen, 20 Verwarnungen und 45 Anweisungen.

Weitere relevante Themen im Jahr 2022 waren unter anderem die Nutzung von sozialen Medien wie Facebook und von Videokonferenz-Tools, der Einsatz von Microsoft 365, die Verarbeitung von Gesundheitsdaten in unterschiedlichen Kontexten sowie der Beschäftigtendatenschutz.

Hinsichtlich der Nutzung von Facebook-Fanpages berichtet Frau Gayk, dass die deutschen Aufsichtsbehörden festgestellt hätten, dass entsprechende Seiten derzeit nicht datenschutzkonform betrieben werden könnten. Es werde deshalb seitens der Datenschutzbehörden darauf hingewirkt, dass von Landes- bzw. Bundesbehörden betriebene Facebook-Seiten deaktiviert werden, soweit die Datenschutzkonformität nicht nachgewiesen werden könne. Auch Unternehmen, die sich datenschutzkonform verhalten wollen, sei empfohlen, auf die Nutzung von Fanpages zu verzichten und auf ein datenschutzfreundlicheres Kommunikationskonzept umzustellen, da der erforderliche Konformitätsnachweis derzeit kaum erbracht werden könne.

Darüber hinaus weist die Datenschutzbeauftragte auf die Geltung des neuen TKG und des TTDSG im Bereich der Videokonferenz-Dienste hin. Auch wenn die Anbieter von Videokonferenz-Tools nunmehr als Telekommunikations-Dienstanbieter einzuordnen seien und kein Auftragsverarbeitungsvertrag mehr abgeschlossen werden müsse, seien Unternehmen, die entsprechende Tools nutzen, weiterhin für die in ihrem Einflussbereich erfolgende Datenverarbeitung, wie die Übersendung des Einladungslinks, die Speicherung oder sonstige Verarbeitung von Inhalten sowie datenschutzfreundliche Voreinstellungen, verantwortlich.

Außerdem geht sie in ihrem Bericht auf den weiterhin zweifelhaften Einsatz von Microsoft 365 in Schulen ein. Es fehle insoweit insbesondere an der notwendigen Transparenz über die Verarbeitung der personenbezogenen Daten.

In Bezug auf die Verarbeitung von Gesundheitsdaten macht Frau Gayk deutlich, dass besonders sensible persönliche Daten eines besonderen Schutzes bedürfen. Im Bereich der Bedarfsermittlung zur Rehabilitation und Teilhabe von Menschen mit Behinderung werde die Behörde die möglichst datenschutzfreundliche Ausgestaltung der Prozesse unterstützen und überwachen. Mache ein Patient etwa gegen seinen Arzt einen Auskunftsanspruch geltend, umfasse dieser in der Regel nicht die nähere Erläuterung von medizinischen Fachbegriffen. Etwas Anderes könne dann gelten, wenn eine Datenverarbeitung durch einen medizinischen Fachbegriff bedingt sei. Wollen Ärzte auf Online-Bewertung von Patienten reagieren, dürften hierbei keine vertraulichen Gesundheitsdaten der Patienten offengelegt werden.

Im Bereich des Beschäftigtendatenschutzes ging sie außerdem auf die Frage ein, welche Informationen von Beschäftigten - u.a. Krankheitstage, Überstunden und Urlaubstage - den jeweiligen Vorgesetzten bereitgestellt werden dürfen. Dabei machte sie deutlich, dass Beschäftigtendaten innerhalb einer verantwortlichen Stelle nicht frei fließen könnten, sondern immer nur die Stellen oder Personen Daten erhalten dürften, für deren Aufgabenerfüllung die Kenntnis der Daten erforderlich ist.

(Christina Prowald)

Neuer Landesbeauftragter für Datenschutz und Informationsfreiheit in Baden-Württemberg

Am 24. Mai 2023 wurde Herr Prof. Dr. Tobias Keber vom Landtag Baden-Württemberg zum neuen Landesbeauftragten für den Datenschutz und die Informationsfreiheit (LfDI) gewählt (Mitteilung des LfDI v. 15.6.2023). Ende Juni 2023 wird Prof. Keber von der Landtagspräsidentin ernannt und anschließend tritt er zum 1. Juli 2023 sein neues Amt an. Die Stelle war seit Anfang des Jahres unbesetzt, nachdem Dr. Stefan Brink sein Amt Ende Dezember 2022 nach sechs Jahren niedergelegt hatte. Seit 2012 hat Prof. Keber eine Professur für Medienrecht und Medienpolitik an der Hochschule der Medien in Stuttgart inne. Außerdem ist er als Dozent am Mainzer Medieninstitut für internationales Medien- und Datenschutzrecht tätig, Vorsitzender des Wissenschaftlichen Beirats der Gesellschaft für Datenschutz und Datensicherheit (GDD) sowie im Leitungsgremium des Instituts für Digitale Ethik (IDE) an der Hochschule der Medien Stuttgart.

Dr. Jan Wacke, der die Dienststelle seit Anfang des Jahres in Vertretung leitete, heißt Prof. Keber herzlich willkommen: „Wir freuen uns, dass die Landesregierung einen Vorschlag für die Besetzung des Landesbeauftragten formuliert und der Landtag Professor Tobias Keber mit sehr breiter Mehrheit zum neuen Landesbeauftragten gewählt hat. Dies bedeutet eine Stärkung unserer Behörde und unserer Arbeit für den Datenschutz und die Informationsfreiheit. Wir freuen uns auf Tobias Keber und werden ihn nach Kräften unterstützen, um ihm einen guten Einstieg ins Amt zu ermöglichen.“

(Christina Prowald)

EuG: DSGVO nicht anwendbar bei Pseudonym mit relativem Personenbezug

Das Gericht der Europäischen Union hat am 26. April 2023 entschieden, dass es sich bei Pseudonymen mit relativem Personenbezug nicht um ein personenbezogenes Datum handelt und die DSGVO nicht anwendbar ist, wenn dem jeweiligen Datenempfänger keine Mittel zur Re-Identifizierung zur Verfügung stehen (EuG, Urt. v. 26.4.2023 - Az. T-557/20).

In dem zugrundeliegenden Fall ging es um eine Entscheidung des Europäischen Datenschutzbeauftragten (EDSB) mit Blick auf das Vorgehen des Einheitlichen Abwicklungsausschusses (SRB), der insolvenzbedrohte Banken betreut. Dieser hatte im Rahmen eines Abwicklungsverfahrens Stellungnahmen an Deloitte als unabhängige Gutachterin übermittelt. Die Daten wurden vom SRB dabei über einen gesicherten und speziell dafür vorgesehenen virtuellen Server an Deloitte übermittelt. Es wurden lediglich solche Stellungnahmen übermittelt, bei denen die persönlichen Daten der Betroffenen durch einen alphanumerischen Code ersetzt wurden. Deloitte hatte demgegenüber keinen Zugriff auf die persönlichen Daten oder die Identifizierungsdaten. Im weiteren Verlauf kam es zu Beschwerden von Betroffenen, die erklärten, dass sie nicht darüber informiert worden seien, dass ihre Daten an Deloitte weitergegeben werden. Der SRB und der EDSB waren insoweit unterschiedlicher Auffassung, ob es sich bei den übermittelten pseudonymisierten Daten aus Sicht von Deloitte um personenbezogene Daten handelt und die DSGVO anwendbar ist.

Das EuG führte aus, dass die Tatsache, dass nicht Deloitte, sondern der SRB über die zur Identifizierung der Verfasser der Stellungnahmen erforderlichen Informationen verfügte, zwar nicht von vornherein ausschließe, dass es sich bei den übermittelten Informationen für Deloitte um personenbezogene Daten handele. Der EDSB hätte aber überprüfen müssen, ob Deloitte anhand der übermittelten Informationen die Verfasser rückidentifizieren konnte und ob diese Rückidentifizierung hinreichend wahrscheinlich war. Das Gericht verwies hierbei auf eine Entscheidung des EuGH, im Rahmen derer festgestellt wurde, dass geprüft werden müsse, ob die jeweilige Partei über Mittel verfüge, die vernünftigerweise zur Bestimmung der betreffenden Person eingesetzt werden könnten. Dies sei nicht der Fall, wenn die Identifizierung der betreffenden Person gesetzlich verboten oder praktisch nicht durchführbar ist. Im vorliegenden Fall sei allerdings unstreitig gewesen, dass der an Deloitte übermittelte alphanumerische Code als solcher zur Identifizierung nicht ausreichend war und Deloitte auch über keinen Zugang zu den Identifizierungsdaten verfügte, weshalb es sich bei den übermittelten Daten aus Sicht von Deloitte nicht um personenbezogene Daten handelte.

(Christina Prowald)

EuGH: Auskunftsrecht für Jedermann

Der EuGH hat am 22. Juni 2023 in einem Vorlageverfahren aus Finnland entschieden, dass Jedermann ein Recht darauf hat, zu erfahren, zu welchem Zeitpunkt und aus welchen Gründen seine personenbezogenen Daten abgefragt wurden (EuGH, Urt. v. 22.6.2023 - Az. C-579/21).

Der Entscheidung liegt ein Fall zu Grunde, in dem ein Arbeitnehmer, der gleichzeitig auch Kunde der finnischen S-Bank (S Pankki) war, davon erfuhr, dass seine Daten von anderen Mitarbeitern der Bank mehrfach abgefragt wurden. Er zweifelte an der Rechtmäßigkeit der Abfragen und forderte die Bank deshalb auf, ihm nähere Informationen hierzu zur Verfügung zu stellen. Die Bank äußerte sich daraufhin zwar zu den Gründen der Datenabfrage, wollte aber nicht offenlegen, durch welche Mitarbeiter die Abfragen vorgenommen wurden. Der Anfragende wandte sich daraufhin an die Datenschutzaufsichtsbehörde von Finnland. Nachdem diese sein Ersuchen ablehnte, erhob er Klage beim Verwaltungsgericht Ostfinnland, das sich hinsichtlich der Auslegung von Art. 15 DSGVO an den EuGH wandte.

Der EuGH entschied nun, dass es sich bei Informationen, die Abfragen personenbezogener Daten beträfen und die sich auf den Zeitpunkt und die Zwecke dieser Vorgänge bezögen, um Informationen handele, die die betroffene Person von dem Verantwortlichen verlangen dürfe. Ein Recht, zu erfahren, durch welchen Arbeitnehmer entsprechende Abfragen durchgeführt worden seien, sehe die DSGVO hingegen nicht vor, sofern die Information nicht unerlässlich sei, damit der Betroffene von seinen Rechten Gebrauch machen könne und die Rechte und Freiheiten der Arbeitnehmer ausreichend berücksichtigt würden. In seiner Begründung weist der EuGH zunächst darauf hin, dass das Auskunftsrecht durch die große Bandbreite an abfragbaren Informationen gekennzeichnet sei. Gleichzeitig betont er aber auch, dass bei einer Kollision der Rechte und Freiheiten verschiedener Personen eine Abwägung erforderlich sei.

(Christina Prowald)

Generalanwalt EuGH: Geltendmachung des Auskunftsanspruchs aus datenschutzfremden Gründen

Der Generalanwalt des Europäischen Gerichtshofs (EuGH), Nicholas Emiliou, hat sich am 20. April 2023 in seinen Schlussanträgen zur Geltendmachung des Auskunftsanspruchs aus datenschutzfremden Gründen geäußert (Schlussanträge v. 20.4.2023 - Az. C-307/22).

In dem zugrundeliegenden Ausgangsverfahren wurde der Kläger von der Beklagten zahnärztlich behandelt. Da der Kläger einen Behandlungsfehler vermutete, forderte er die Beklagte auf, ihm unentgeltlich eine Kopie aller ihn betreffenden Krankenunterlagen auszuhändigen. Die Beklagte war demgegenüber der Auffassung, sie müsse dem Patienten die Kopie seiner Akte nur gegen Kostenerstattung zur Verfügung stellen. Im Laufe der darauffolgenden gerichtlichen Auseinandersetzung legte der BGH dem EuGH verschiedene Fragen zur Vorabentscheidung vor.

Er wollte zunächst wissen, ob der Verantwortliche dem Betroffenen unentgeltlich eine erste Kopie seiner vom Verantwortlichen verarbeiteten personenbezogenen Daten zur Verfügung stellen muss, wenn der Betroffene die Kopie zu legitimen, aber datenschutzfremden Zwecken beantragt. Der Generalanwalt führt in seinen Schlussanträgen aus, dass Art. 12 Abs. 5 und Art. 15 Abs. 3 DSGVO dahin auszulegen seien, dass der Verantwortliche verpflichtet ist, dem Betroffenen eine Kopie seiner personenbezogenen Daten zur Verfügung zu stellen, und zwar auch dann, wenn der Betroffene die Kopie nicht zu den in EWG 63 DSGVO genannten Zwecken, sondern für andere, datenschutzfremde Zwecke beantragt. Nach seiner Ansicht sei das Auskunftsrecht nicht von der Absicht abhängig, die betreffenden Daten für datenschutzrechtliche Belange zu verwenden. Der Generalanwalt stützt sich insoweit auf den Wortlaut, den Zusammenhang sowie die Systematik der einschlägigen Bestimmungen. Auch die Leitlinien des EDSB zum Auskunftsrecht sprächen für eine solche Auslegung.

Hinsichtlich der zweiten Frage, ob eine nationale Vorschrift, die den Betroffenen verpflichtet, die dem Verantwortlichen für die Anfertigung der Kopie entstehenden Kosten zu tragen, mit Art. 23 Abs. 1 DSGVO vereinbar ist, machte der Generalanwalt zunächst deutlich, dass kein Zweifel daran bestehe, dass Betroffene nach den Vorschriften der DSGVO grundsätzlich das Recht hätten, unentgeltlich eine erste Kopie ihrer verarbeiteten Daten zu erhalten, sofern nicht einer der Ausnahmetatbestände erfüllt sei. Nach Art. 23 Abs. 1 DSGVO sei es den Mitgliedstaaten in bestimmten Fällen grundsätzlich möglich, den Anwendungsbereich des Auskunftsrechts zu beschränken. Insoweit sei es auch möglich, die Auskunft davon abhängig zu machen, dass der Betroffene die dem Verantwortlichen entstehenden Kosten zu tragen hat. Eine solche Beschränkung greife nicht in den Wesensgehalt des Auskunftsrechts ein. Außerdem gehe er davon aus, dass mit einer entsprechenden nationalen Regelung zur Kostentragung Ziele verfolgt würden, die nach Art. 23 Abs. 1 DSGVO zulässig sind. Weiter verweist er jedoch darauf, dass Art. 23 Abs. 1 DSGVO voraussetze, dass es sich bei der Beschränkung um eine notwendige und verhältnismäßige Maßnahme zur Wahrung einer der aufgeführten Interessen handele. Insoweit sei eine Verhältnismäßigkeitsprüfung erforderlich. Dies sei aus seiner Sicht eine Beurteilung, die am besten von den nationalen Gerichten vorgenommen werden könne.

Schließlich ging er noch darauf ein, dass der Begriff „Kopie der Daten“ nicht dahingehend ausgelegt werden könne, dass der Betroffene ein Recht darauf habe, eine vollständige Kopie aller in seiner Patientenakte enthaltenen Dokumente zu erhalten. Eine Kopie des Dokuments müsse aber bereitgestellt werden, wenn diese erforderlich sei, um sicherzustellen, dass die übermittelten Daten verständlich sind und der Betroffene die Vollständigkeit und Richtigkeit der Daten überprüfen kann.

(Christina Prowald)

BAG: Vorsitzender des Betriebsrats kann nicht interner Datenschutzbeauftragter sein

Das Bundesarbeitsgericht hat am 6. Juni 2023 entschieden, dass die Position des Betriebsratsvorsitzenden mit der Wahrnehmung der Aufgaben des Datenschutzbeauftragten in der Regel nicht vereinbar ist und der Arbeitgeber die Bestellung zum internen Datenschutzbeauftragten nach Maßgabe des BDSG regelmäßig widerrufen kann (BAG, Pressemitteilung v. 6.6.2023). Der Volltext der Entscheidung liegt bislang noch nicht vor.

Der bei der Beklagten angestellte Kläger war Vorsitzender des Betriebsrats und wurde gleichzeitig von der Beklagten sowie weiteren Tochtergesellschaften zum internen Datenschutzbeauftragten benannt. Die Benennung wurde sodann auf Veranlassung der Datenschutzaufsichtsbehörde Thüringen widerrufen, da diese der Auffassung war, dass die Ämter inkompatibel seien. Der Kläger war hingegen der Ansicht, dass seine Stellung als interner Datenschutzbeauftragter fortbestehe. Die Beklagte machte demgegenüber geltend, dass sich Interessenkonflikte bei der Wahrnehmung der Aufgaben als Datenschutzbeauftragter und als Vorsitzender des Betriebsrats nicht ausschließen ließen, weshalb ein wichtiger Grund für die Abberufung des Klägers vorläge.

Das Gericht führte aus, dass eine Abberufung nach § 4f Abs. 3 S. 4 BDSG aF i.V.m. § 626 Abs. 1 BGB zulässig sei, soweit der zum internen Datenschutzbeauftragten benannte Arbeitnehmer nicht die erforderliche Fachkunde oder Zuverlässigkeit besitze. An letzterer fehle es, wenn ein Interessenkonflikt drohte. Ein solcher sei anzunehmen, soweit der interne Datenschutzbeauftragte gleichzeitig eine Position innehat, die die Festlegung von Zwecken und Mitteln der Verarbeitung personenbezogener Daten zum Gegenstand hat. Das Gericht bezog sich dabei insbesondere auch auf Wertungen, die bereits vom EuGH zu dieser Thematik vorgenommen wurden. Konkret führte das BAG aus, dass personenbezogene Daten dem Betriebsrat nur zu Zwecken zur Verfügung gestellt werden dürften, die sich aus dem Betriebsverfassungsgesetz ergäben. Der Betriebsrat entscheide darüber, inwieweit er zur Ausübung seiner gesetzlichen Aufgaben personenbezogene Daten vom Arbeitgeber anfordere und wie er diese verarbeite, sodass er insoweit die Zwecke und Mittel der Datenverarbeitung festlege. Die hervorgehobene Funktion des Vorsitzenden des Betriebsrats, der den Betriebsrat bei Beschlüssen vertritt, hebe die erforderliche Zuverlässigkeit i.S.v. § 4f Abs. 2 S. 1 BDSG aF auf.

(Christina Prowald)       

VG Hannover: Videoaufzeichnungen dürfen 72 Stunden gespeichert werden

Das VG Hannover hat am 13. März 2023 entschieden, dass der Betreiber einer Selbstbedienungs-Tankstelle Videoaufzeichnungen für maximal 72 Stunden speichern darf und die Aufnahmen anschließend unter Berücksichtigung der DSGVO zu löschen sind (VG Hannover, Urt. v. 13.3.2023 - Az. 10 A 1443/19).

Das Gericht führte zunächst aus, dass die Videoüberwachung durch nichtöffentliche Stellen nicht auf § 4 BDSG gestützt werden könne, sondern sich nach Art. 6 Abs. 1 S. 1 lit. f) DSGVO richte. Es fehlt insoweit an einer Regelungskompetenz des nationalen Gesetzgebers, da die DSGVO für die Videoüberwachung keine Öffnungsklausel vorsieht und demnach die Zulässigkeit am allgemeinen Maßstab von Art. 6 Abs. 1 S. 1 lit. f) DSGVO zu messen ist.

Durch das Gericht wurde dann als Ausgangspunkt akzeptiert, dass eine Videoüberwachung zur Unterbindung und Nachverfolgung von Straftaten grundsätzlich gerechtfertigt werden könne. Der Schutz gegen unberechtigte zivilrechtliche Ansprüche sowie die Durchsetzung eigener zivilrechtlicher Ansprüche stellten demgegenüber jeweils keine überwiegenden berechtigten Interessen dar, da hierfür im Regelfall keine Videoaufzeichnungen benötigt würden. Unter Berücksichtigung des Grundsatzes der Datenminimierung und des Grundsatzes der Speicherbegrenzung dürften die Aufzeichnungen zudem grundsätzlich nicht länger als 72 Stunden gespeichert werden. Insbesondere seien Daten zu löschen, wenn sie für die Zwecke, für die sie erhoben wurden, nicht mehr notwendig sind. Zur Unterbindung und Nachverfolgung von Straftaten sei es nicht notwendig, die Aufzeichnung für sechs bis acht Wochen vorzuhalten. Es sei ohne weiteres möglich, innerhalb von 72 Stunden festzustellen, ob es zu Vandalismus oder Beschädigungen gekommen sei und das Videomaterial daraufhin zu sichten. Das Gericht folgt damit den Leitlinien zur Videoüberwachung auf europäischer Ebene und hat die ursprüngliche Anordnung der Aufsichtsbehörde zur Begrenzung der Speicherdauer bestätigt.

(Christina Prowald)

VG Berlin: Auskunft kann bei Unklarheiten von weiteren Nachweisen abhängig gemacht werden

Am 24. April 2023 hat das VG Berlin entschieden, dass ein Unternehmen die Beantwortung eines geltend gemachten Auskunftsanspruchs von weiteren Nachweisen abhängig machen kann, soweit Unklarheiten über die Identität des Anfragenden bestehen (VG Berlin, Beschl. v. 24.4.2023 - Az. VG 1 K 27/22). Die Datenschutzaufsichtsbehörde hatte es zuvor mittels entsprechendem Bescheid abgelehnt, gegen ein Unternehmen vorzugehen, das sich geweigert hatte, dem Kläger Auskunft zu erteilen.

Das Gericht stellte fest, dass die Aufsichtsbehörde zu Recht davon ausgegangen sei, dass dem Anfragenden die begehrte Auskunft nach Art. 15 DSGVO zu Recht verweigert wurde, da die Voraussetzungen des Art. 12 Abs. 6 DSGVO vorlagen. Nach dieser Regelung kann der Verantwortliche zusätzliche Informationen anfordern, wenn er begründete Zweifel an der Identität des Anfragenden hat. Im vorliegenden Fall hätten eben solche Zweifel bestanden. Das betroffene Unternehmen habe nachvollziehbar mitgeteilt, dass eine Identifikation nicht zweifelsfrei möglich gewesen sei, da es Überschneidungen zu anderen Datensätzen gegeben habe. Weiter sei die Sensibilität der abgefragten Informationen - Bonitätsdaten - zu berücksichtigen. Habe ein Verantwortlicher begründete Zweifel an der Identität des Anfragenden, solle er alle vertretbaren Mittel nutzen, um die Identität des Betroffenen zu überprüfen. Die Aufforderung des Unternehmens, Geburtsdatum und gegebenenfalls frühere Anschriften zu nennen, sei eine solche vertretbare Maßnahme, die insbesondere unter Berücksichtigung der Sensibilität der Daten nicht außer Verhältnis stehe.

(Christina Prowald)

EDSA: Einheitliche Regeln für Datenschutzbußgelder

Nach einer öffentlichen Konsultation hat der Europäische Datenschutzausschuss (EDSA) in seiner Sitzung vom 24. Mai 2023 die endgültigen Leitlinien zur Bußgeldbemessung angenommen (Pressemitteilung v. 7.6.2023). Die Leitlinien sollen die zur Berechnung von Geldbußen angewandte Methodik harmonisieren und eine effizientere Zusammenarbeit zwischen den Datenschutzbehörden bei grenzüberschreitenden Fällen schaffen. Die Leitlinien enthalten eine fünfstufige Methodik. Bei der Berechnung stehen insbesondere die Kategorisierung der Verstöße nach ihrer Art, die Schwere des Verstoßes sowie der Umsatz des Unternehmens im Vordergrund (wir berichteten im September 2022). Im Anschluss an die öffentliche Konsultation wurden den Leitlinien ein Anhang mit einer Tabelle, die die Methodik zusammenfasst, und zwei Beispiele zur praktischen Anwendung hinzugefügt.

Der EDSA nahm darüber hinaus - ebenfalls nach öffentlicher Konsultation - auch die endgültige Fassung der Leitlinien für die Anwendung des Streitbeilegungsverfahrens nach Art. 65 DSGVO an. Innerhalb der Leitlinien werden die wichtigsten Phasen des Verfahrens sowie die Zuständigkeiten des EDSA beim Erlass einer rechtsverbindlichen Entscheidung beschrieben. Der Mechanismus soll dann zur Anwendung kommen, wenn mehrere beteiligte Aufsichtsbehörden sich nicht auf eine einheitliche Linie verständigen können. Die Leitlinien wurden im Anschluss an die öffentliche Konsultation noch einmal angepasst.

(Christina Prowald)

BMDV: Entwurf einer Einwilligungsverwaltungsverordnung

Am 1. Juni 2023 hat das Bundesministerium für Digitales und Verkehr (BMDV) die Beteiligung von Ländern, kommunalen Spitzenverbänden, Fachkreisen und Verbänden gem. § 47 der Gemeinsamen Geschäftsordnung der Bundesministerien zum Entwurf einer Verordnung über Dienste zur Einwilligungsverwaltung nach dem Telekommunikation-Telemedien-Gesetz (Einwilligungsverwaltungsverordnung - EinwV) eingeleitet (Mitteilung v. 1.6.2023). Die Beteiligten haben nun bis zum 14. Juli 2023 Gelegenheit, zum Entwurf des BMDV Stellung zu nehmen. Der Aufwand der Beteiligten bei der Umsetzung der an sie gerichteten Anforderungen und die Frage, ob unter Berücksichtigung des Aufwands ein Anreiz besteht, entsprechende Dienste anzubieten, sei dabei von besonderem Interesse für das BMDV.

Basis des Entwurfs ist die Regelung des § 26 Abs. 2 TTDSG, die sich mit sog. Diensten zur Einwilligungsverwaltung beschäftigt, die wiederum der Cookie-Banner-Problematik begegnen und die Einwilligungsverwaltung künftig erleichtern sollen. Nach dem Konzept sollen Nutzer zukünftig die Möglichkeit haben, gegenüber einem Dienst zur Einwilligungsverwaltung ihre Präferenzen anzugeben, die dann automatisch auf den verschiedenen Webseiten berücksichtigt werden, ohne dass auf jeder Seite die Zustimmung zu Cookies abgefragt werden muss. Bislang handelt es sich aber um eine nationale Lösung, so dass die Akzeptanz vermutlich anfänglich überschaubar sein dürfe.

(Christina Prowald)

PUEG: Datenschutzkonforme Umsetzung

Am 01. Juli 2023 ist das Pflegeunterstützungs- und -entlastungsgesetz (PUEG) in Kraft getreten, das unter anderem zu einer Anpassung der Beiträge für die Pflegeversicherung geführt hat. Zukünftig berechnet sich der Beitragssatz in Abhängigkeit der Kinderzahl. Soweit die Beiträge zur Pflegeversicherung bei Beschäftigten durch den Arbeitgeber abgeführt werden, muss dieser auch die Prüfung des Nachweises der Kinderzahl übernehmen, wobei die gesetzlichen Vorgaben einen „geeigneten Nachweis“ erfordern. Aus der Arbeitgeberperspektive stellt sich mithin die Frage, welche datenschutzrechtlichen Vorgaben bei der Abfrage der Kinderzahl und der Einholung der Nachweise zu beachten sind.

Die Ausgestaltung für Eltern erfolgt im PUEG nicht als optionale Entlastung, weswegen es weder dem Arbeitgeber noch dem Arbeitnehmer freisteht, auf freiwilliger Basis die Elterneigenschaft abzufragen und zu berücksichtigen. Es ist daher davon auszugehen, dass sowohl die Abfrage selbst als auch die Erfassung der Nachweise als Erfüllung von rechtlichen Verpflichtungen im Sinne von Art. 6 Abs. 1 lit. c) DSGVO anzusehen ist. Der Arbeitgeber muss demnach nicht um Zustimmung zur Erfassung und Speicherung entsprechender Daten bitten, sollte allerdings auf die Grundlage der Erfassung der Daten (§ 55 Abs. 3 SGB XI) hinweisen. Wichtig ist insoweit auch die Klarstellung gegenüber den Arbeitnehmern, dass nicht zwingend eine Geburtsurkunde vorgelegt werden muss, sondern auch alternative Nachweise geeignet sein können.

(Dr. Sebastian Meyer)

BlnBDI: Bußgeld i.H.v. 300.000 Euro gegen DKB verhängt

Die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI) hat ein Bußgeld in Höhe von 300.000 Euro wegen mangelnder Transparenz über eine automatisierte Einzelentscheidung gegen die DKB verhängt (Pressemitteilung v. 31.5.2023). Die Bank weigerte sich, einem Kunden Auskünfte über die automatisierte Ablehnung seines Kreditkartenantrags zu erteilen.

Mittels eines Online-Formulars wurden im Rahmen der Beantragung einer Kreditkarte verschiedene Daten des Antragstellers abgefragt, auf deren Basis sowie anhand von weiteren Informationen aus weiteren Quellen der Bank-Algorithmus den Antrag des Betroffenen ohne nähere Begründung ablehnte. Der Kunde bezweifelte aufgrund eines guten Schufa-Score sowie eines hohen regelmäßigen Einkommens die Entscheidung. Auf Nachfrage äußerte sich die DKB lediglich allgemein zum Scoring-Verfahren, machte jedoch keine Angaben zum konkreten Fall, sodass der Kunde nicht nachvollziehen konnte, anhand welcher Kriterien sein Antrag abgelehnt wurde. Da es ihm ohne Begründung nicht möglich war, die automatisierte Einzelentscheidung anzufechten, meldete der Kunde sich bei der Datenschutzbeauftragten.

Für den Fall automatisierter Entscheidungen (Entscheidungen, die IT-Systeme basierend auf Algorithmen ohne menschliches Eingreifen treffen) sehe die DSGVO spezielle Transparenzpflichten vor. Diesen sei die DKB jedoch nicht nachgekommen. Die Aufsichtsbehörde stellte fest, dass die DKB insoweit gegen Art. 22 Abs. 3, Art. 5 Abs. 1 lit. a) und Art. 15 Abs. 1 lit. h) DSGVO verstoßen habe. Die Berliner Datenschutzbeauftragte Meike Kamp äußerte: „Wenn Unternehmen automatisierte Entscheidungen treffen, sind sie verpflichtet, diese stichhaltig und nachvollziehbar zu begründen. Die Betroffenen müssen in der Lage sein, die automatisierte Entscheidung nachzuvollziehen. Dass die Bank in diesem Fall auch auf Anfrage nicht transparent und nachvollziehbar über die automatisierte Ablehnung informiert hat, hat ein Bußgeld zur Folge. Eine Bank ist verpflichtet, die Kund:innen bei der automatisierten Entscheidung über einen Kreditkartenantrag über die tragenden Gründe einer Ablehnung zu unterrichten. Hierzu zählen konkrete Informationen zur Datenbasis und den Entscheidungsfaktoren sowie die Kriterien für die Ablehnung im Einzelfall.“

Die DKB habe mit der Datenschutzaufsichtsbehörde kooperiert und den Bußgeldbescheid bereits akzeptiert.

(Christina Prowald)

Schweden: Geldbuße i.H.v. 5 Millionen Euro gegen Spotify

Die schwedische Datenschutzbehörde (IMY) hat ein Bußgeld in Höhe von 5 Millionen Euro gegen Spotify verhängt (Pressemitteilung v. 13.6.2023). Die Aufsichtsbehörde hatte zuvor untersucht, wie Spotify mit dem Recht des Einzelnen auf Zugang zu seinen personenbezogenen Daten umgeht.

IMY ist der Auffassung, dass Spotify die unternehmensseitig verarbeiteten personenbezogenen Daten auf Anfrage zwar offenlege, jedoch im Rahmen der Beantwortung von Auskunftsbegehren nicht ausreichend klar darüber informiere, wie diese Daten seitens des Unternehmens verwendet werden. Insbesondere sollten die Informationen darüber, wie und zu welchen Zwecken personenbezogene Daten verarbeitet werden, spezifischer sein. Es müsse einfach zu verstehen sein, wie das Unternehmen die Daten verwendet. Zudem müssten schwer verständliche Informationen - z.B. Daten technischer Art - gegebenenfalls nicht nur auf Englisch, sondern auch in der Sprache des Einzelnen erläutert werden. Karin Ekström, eine der Juristinnen, die die Überprüfung geleitet hat, äußerte: „Wir haben in diesen Bereichen einige Unzulänglichkeiten festgestellt.“

Kunden, die Auskunft über ihre Daten begehrten, konnten wählen, zu welchen persönlichen Daten sie Zugang haben wollten. Spotify teilte die Daten der Kunden in verschiedene Ebenen - darunter Kontakt- und Zahlungsdaten, Künstlerdaten und Hörverlauf - ein. Detailliertere Informationen, wie etwa die technischen Logdateien, konnten in einer separaten Ebene aufgerufen werden. Nach Ansicht der Aufsichtsbehörde ist eine solche Aufteilung grundsätzlich zulässig, soweit das Recht auf Zugang gewahrt bleibt. Es sei aber wichtig, dass der Einzelne verstehe, welche Daten auf den Ebenen gespeichert sind und wie sie angefordert werden können.

Das Auskunftsrecht diene außerdem dazu, Betroffenen die Möglichkeit zu geben, die Rechtmäßigkeit der Datenverarbeitung zu überprüfen. Da die von Spotify bereitgestellten Informationen allerdings unklar waren, sei es für Betroffene schwierig gewesen, zu verstehen, wie ihre personenbezogenen Daten verarbeitet werden, und die Rechtmäßigkeit der Datenverarbeitungsprozesse zu überprüfen. Unter Berücksichtigung der Anzahl an registrierten Personen und des Umsatzes von Spotify verhängte die schwedische Datenschutzbehörde wegen dieses Umstands eine Geldbuße in Höhe von 5 Millionen Euro gegen Spotify. Die Entscheidung wurde in Zusammenarbeit mit anderen EU-Datenschutzbehörden getroffen, da Spotify in vielen Mitgliedstaaten tätig ist.

(Christina Prowald)

Frankreich: Bußgeld i.H.v. 40 Millionen Euro gegen Criteo verhängt

Die französische Aufsichtsbehörde (CNIL) hat am 15. Juni 2023 ein Bußgeld in Höhe von 40 Millionen Euro gegen das auf Online-Werbung spezialisierte Unternehmen Criteo verhängt, vor allem weil es nicht geprüft habe, ob die Personen, deren Daten es verarbeitete, dieser zugestimmt hatten (Pressemitteilung v. 22.6.2023). Die Entscheidung wurde von den Aufsichtsbehörden in den übrigen Mitgliedstaaten gebilligt.

Das Unternehmen analysiert mittels des Criteo-Trackers (einem Cookie, der auf den Endgeräten von Internetnutzern platziert wird) die Surfgewohnheiten, um den Nutzern anschließend besonders relevante personalisierte Werbung anzuzeigen. Aufgrund von mehreren Beschwerden hat die CNIL mehrere Untersuchungen durchgeführt und dabei verschiedene datenschutzrechtliche Verstöße festgestellt, die vor allem den fehlenden Nachweis von Einwilligungen (Art. 7 DSGVO), die unzureichende und nicht ausreichend transparente Information von Betroffenen (Art. 12 und 13 DSGVO) sowie die Nichtachtung der Rechte von Betroffenen betrafen (Art. 15 und 17 DSGVO). Außerdem sei die von Criteo mit seinen Partnern abgeschlossene Vereinbarung zur Gemeinsamen Verantwortlichkeit unvollständig gewesen, da sie keine Angaben zu den jeweiligen Pflichten der Parteien enthielt.

Bei der Festsetzung der Höhe des Bußgelds wurden unter anderem die sehr große Zahl an Betroffenen und die sehr große Menge an Daten berücksichtigt. Durch die Verarbeitung ohne Nachweis über gültige Einwilligungen sei es zudem möglich gewesen, die finanziellen Einnahmen des Unternehmens unangemessen zu erhöhen.

Die CNIL berichtete, dass das Unternehmen seine Datenverarbeitungsprozesse bereits angepasst habe.

(Christina Prowald)

Frankreich: Zwangsgeld i.H.v. 5,2 Millionen Euro gegen Clearview AI

Die Französische Aufsichtsbehörde (CNIL) beschloss am 13. April 2023, das gegen Clearview AI verhängte Zwangsgeld festzusetzen (Pressemitteilung v. 10.5.2023). Die Summe soll gezahlt werden, weil das Unternehmen den Anordnungen aus der Sanktionsentscheidung aus Oktober 2022 nicht nachkam. Konkret wurde das Unternehmen angewiesen, ohne Rechtsgrundlage keine Daten von Personen aus Frankreich zu sammeln und zu verarbeiten sowie die Daten dieser Personen zu löschen, nachdem die Auskunftsanfragen beantwortet wurden. Clearview AI sendete jedoch innerhalb der vorgesehenen Zweimonatsfrist keinen Nachweis über die Umsetzung der Anordnung und die Einhaltung der Vorschriften an die Aufsichtsbehörde, weshalb die CNIL zu dem Schluss kam, dass die Anordnungen nicht umgesetzt wurden, und am 13. April 2023 ein Zwangsgeld in Höhe von 5,2 Millionen Euro gegen Clearview AI verhängte.

(Christina Prowald)

USA: Millionenstrafe für Microsoft

Weil Microsoft unrechtmäßig Daten von Kindern gesammelt hat, soll das Unternehmen nach Angaben der US-Wettbewerbsbehörde Federal Trade Commission (FTC) eine Geldstrafe in Höhe von 20 Millionen Dollar zahlen (Mitteilung der FTC v. 5.6.2023). Die FTC ist der Ansicht, das Unternehmen habe gegen den Children’s Online Privacy Protection Act (COPPA) verstoßen. Die Behörde warf Microsoft vor, dass das Unternehmen im Zusammenhang mit der Anmeldung im Xbox-Spielsystem personenbezogene Daten von Kindern gesammelt und gespeichert habe, ohne die Eltern zu benachrichtigen oder deren Zustimmung einzuholen. Microsoft soll zudem verpflichtet werden, verschiedene Maßnahmen zu ergreifen, um den Datenschutz zu verbessern. So werde unter anderem angeordnet, den COPPA-Schutz auf Drittanbieter von Spielen, mit denen Microsoft die Daten teilt, auszudehnen. Außerdem werde klargestellt, dass Avatare, die aus dem Bild eines Kindes erstellt werden, sowie biometrische und Gesundheitsdaten, die zusammen mit anderen personenbezogenen Daten erhoben werden, unter die COPPA-Regel fallen. Die Anordnungen müssen zunächst von einem Bundesgericht genehmigt werden, bevor sie in Kraft treten.

Microsoft stimmte einem Vergleich bereits zu und kündigte bereits an, das Altersverifikationssystem zu verbessern und sicherstellen zu wollen, dass Eltern der Erstellung von Kinderkonten zustimmen müssten (Mitteilung v. 5.6.2023). Außerdem habe man bereits eine technische Panne behoben, durch die Accounts von Kindern entgegen der offiziellen Microsoft-Richtlinie nicht nach 14 Tagen gelöscht worden seien.

(Christina Prowald)