Probleme bei der Darstellung des Newsletters? Dann klicken Sie hier für die Webansicht

Newsletter zum Datenschutz

Sehr geehrte Damen und Herren,

am 19. Juni 2024 haben die Mitglieder des Europäischen Datenschutzausschusses (EDSA) den Leiter der kroatischen Aufsichtsbehörde, Zdravko Vukic, zum stellvertretenden Vorsitzenden gewählt. Zdravko Vukic löst Aleid Wolfsen (Niederlande) ab und wird künftig gemeinsam mit der weiteren stellvertretenden Vorsitzenden Irene Loizidou Nikolaidou (Griechenland) und der Vorsitzenden Anu Talus (Finnland) an der einheitlichen Anwendung der europäischen Datenschutzregelungen und der Zusammenarbeit zwischen den europäischen Aufsichtsbehörden mitwirken (Mitteilung v. 19.06.2024).

Der neue stellvertretende Vorsitzende äußerte sich wie folgt: "Ich fühle mich geehrt und bin dankbar, dass ich zum stellvertretenden Vorsitzenden des EDSA gewählt wurde. Der EDSA ist ein prominentes und einflussreiches EU-Entscheidungsgremium, das eine Schlüsselrolle bei der Gestaltung einer digitalen Gesellschaft spielt, die im Einklang mit den gemeinsamen Werten der EU steht. Alle EDSA-Mitglieder arbeiten eng zusammen, um das Bewusstsein für die Datenschutzgrundverordnung auf nationaler und EU-Ebene zu schärfen, Einzelpersonen bei der Ausübung ihrer Rechte zu unterstützen und Unternehmen, einschließlich kleiner Unternehmen, dabei zu helfen, ihre Compliance-Verpflichtungen zu verstehen. In den kommenden Jahren werde ich es mir als stellvertretender Vorsitzender zur Aufgabe machen, diese Ziele weiter zu verfolgen, und ich werde mich dafür einsetzen, die Zusammenarbeit bei der Durchsetzung zu verbessern, um neue Herausforderungen mit innovativen Ansätzen und Instrumenten anzugehen. Um diese Ergebnisse zu erzielen, müssen wir sicherstellen, dass die Datenschutzbehörden und das EDPA-Sekretariat, das als entscheidendes Bindeglied zwischen den Behörden dient, personell angemessen ausgestattet sind. Als stellvertretender Vorsitzender werde ich auch diesem wichtigen Aspekt besondere Aufmerksamkeit und Zeit widmen."

Bei Rückmeldungen zu diesem Newsletter oder Fragen im Zusammenhang mit den Themen des Newsletters bitten wir Sie, uns eine E-Mail an datenschutz@brandi.net zu senden. Die weiteren Kontaktdaten finden Sie auch auf unserer Homepage.

Dr. Sebastian Meyer und das Datenschutzteam von BRANDI
 

Thema des Monats: Verwendung von auf KI-Systemen basierenden Chatbots

Die Einbindung und Nutzung von KI-Tools in den Arbeitsalltag sowie das Angebot eigener KI-Anwendungen, insbesondere Chatbots, gewinnt für Unternehmen zunehmend an Bedeutung. Dies betrifft unter anderem Übersetzungstools oder Anwendungen wie ChatGPT, mittels derer sich Fragen beantworten oder Texte erzeugen lassen. Werden im Rahmen der Nutzung der jeweiligen Anwendung personenbezogene Daten verarbeitet, müssen hierbei neben anderen rechtlichen Anforderungen vor allem auch die datenschutzrechtlichen Vorgaben der Datenschutz-Grundverordnung (DSGVO) und des Bundesdatenschutzgesetzes (BDSG) sowie die Regelungen der neuen KI-Verordnung eingehalten werden. Letztere ist am 12. Juli 2024 im Amtsblatt der EU veröffentlicht worden und am 1. August 2024 in Kraft getreten. Die meisten Regelungen des neuen Rechtsaktes finden ab dem 2. August 2026 Anwendung. Verschiedene Vorgaben sind aber bereits ab dem 2. Februar 2025 bzw. dem 2. August 2025 zu beachten.

Der Begriff „KI-System“ ist in Art. 3 Nr. 1 KI-Verordnung legaldefiniert. Demnach ist ein KI-System ein maschinengestütztes System, das für einen in unterschiedlichem Grade autonomen Betrieb ausgelegt ist und das nach seiner Betriebsaufnahme anpassungsfähig sein kann und das aus den erhaltenen Eingaben für explizite oder implizite Ziele ableitet, wie Ausgaben wie etwa Vorhersagen, Inhalte, Empfehlungen oder Entscheidungen erstellt werden, die physische oder virtuelle Umgebungen beeinflussen können.

Zum vollständigen Schwerpunktthema

 

EU-Kommission: Bericht zur DSGVO-Evaluation

Am 25. Juli 2024 veröffentlichte die Europäische Kommission den Bericht zur Anwendung der Datenschutz-Grundverordnung (DSGVO), der eine umfassende Bewertung der Datenschutz-Grundverordnung (DSGVO) enthält. Der Bericht hebt die Fortschritte hervor, die im Datenschutz seit Inkrafttreten der Verordnung erzielt wurden, und bietet eine tiefgehende Analyse der aktuellen Herausforderungen.

Laut der Europäische Kommission hat die DSGVO den Datenschutz in Europa signifikant gestärkt und diesen als globales Vorbild etabliert. Besonders betont wird die erhöhte Sensibilisierung der Bürger für ihre Rechte in Bezug auf ihre personenbezogenen Daten sowie die verstärkten Rechenschaftspflichten für Unternehmen. Dennoch identifiziert der Bericht auch Problembereiche: So mangelt es in einigen Mitgliedstaaten an einer einheitlichen Umsetzung und an ausreichenden Ressourcen für die Datenschutzbehörden. Zudem wird die grenzüberschreitende Zusammenarbeit der Behörden als verbesserungswürdig beschrieben. Die Europäische Kommission schlägt vor, bestehende Lücken durch gezielte Maßnahmen zu schließen. Dazu zählen unter anderem die Stärkung der finanziellen, technischen und personellen Ressourcen der Aufsichtsbehörden, die Förderung des Datentransfers innerhalb der EU und die Verbesserung der Durchsetzungsmöglichkeiten. Ebenso soll eine einheitlichere Auslegung der DSGVO helfen, bestehende Rechtsunsicherheiten zu beseitigen.

Insgesamt zeigt der Bericht, dass die DSGVO eine solide Grundlage für den Schutz personenbezogener Daten darstellt, aber in ihrer Umsetzung weiterentwickelt werden muss, um den aktuellen und zukünftigen Herausforderungen gerecht zu werden. Die in dem Bericht aufgeworfenen Problembereiche sollen nun von den Mitgliedsstaaten, der Europäischen Kommission, den Datenschutzbehörden und dem Europäischen Datenschutzausschuss angegangen werden. Im Jahr 2028 soll es sodann einen weiteren Evaluationsbericht geben.

(Lukas Ingold)

 

BGH zur namentlichen Nennung des Datenschutzbeauftragten

Der BGH hat am 14. Mai 2024 entschieden, dass der Datenschutzbeauftragte bei Mitteilung von dessen Kontaktdaten nach Art. 13 Abs. 1 DSGVO nicht zwingend namentlich benannt werden muss. Entscheidend und gleichzeitig ausreichend sei die Information, die für die Erreichbarkeit des Datenschutzbeauftragten erforderlich sei. Sofern die Erreichbarkeit auch ohne die Nennung des Namens gewährleistet sei, müsse dieser nicht explizit mitgeteilt werden (BGH, Urt. v. 14.05.2024 - Az. VI ZR 370/22).

In dem zugrundeliegenden Fall machte eine Kundin (Klägerin) gegen ihre Bank (Beklagte) anlässlich von Streitigkeiten ihren Auskunftsanspruch nach Art. 15 DSGVO geltend. Die Beklagte kam dem Begehren der Klägerin in der Folge soweit sie es für zulässig erachtete nach, teilte ihr im Rahmen der erteilten Auskunft allerdings nicht den Namen ihres Datenschutzbeauftragten mit, was die Klägerin rügte. Der Aufforderung der Klägerin zur Ergänzung der Auskunft kam die Beklagte sodann nicht nach und lehnte eine weitere Auskunft ab.

Der BGH hat nunmehr entschieden, dass der Klägerin kein Anspruch auf namentliche Nennung des Datenschutzbeauftragten zusteht und die Klage in der Folge als unbegründet abgewiesen. Zur Begründung verweist das Gericht auf den Wortlaut des Art. 13 Abs. 1 DSGVO, der lediglich die Mitteilung der Kontaktdaten vorsehe. Für seine Auffassung spreche auch die Systematik des Gesetzes, das in anderem Kontext ausdrücklich die Nennung eines Namens verlange und insoweit bewusst differenziere. Letztlich könnten auch Sinn und Zweck der Vorschrift herangezogen werden. Maßgeblich sei nicht die konkrete Person, sondern deren Funktion. Insoweit sei ausreichend, wenn dem Betroffenen mitgeteilt werde, wie er die zuständige Stelle erreichen könne. Aus der Vorschrift des Art. 15 Abs. 1 DSGVO könne sich darüber hinaus kein anderes Ergebnis ergeben.

(Christina Prowald)

 

LG Frankenthal: Wohnraumfotos in Online-Exposé erfordern Einwilligung

Das LG Frankenthal hat am 4. Juni 2024 entschieden, dass ein Makler, der Wohnraumfotos für sein Online-Exposé als Verkaufswerbung nutzen möchte, zuvor die Einwilligung der Bewohner einholen muss. Nutzt der Makler Wohnraumfotos ohne Einwilligung, kann dies zu Schadensersatzansprüchen in Form von Schmerzensgeld führen (LG Frankenthal, Urt. v. 04.06.2024 - Az. 3 O 300/23, GRUR-RS 2024, 18369).

In dem der Entscheidung zugrundeliegenden Fall sollte die durch ein Ehepaar gemietete und bewohnte Immobilie verkauft werden. Für den Verkauf wurde ein Maklerbüro beauftragt, dem die Mieter Zutritt zum Haus gewährten, um aussagekräftige Aufnahmen der Wohnräume für die Präsentation im Internet anzufertigen. Nachdem das Exposé online zu sehen war, wurde das Ehepaar von mehreren Seiten auf die Internetfotos angesprochen und fühlte sich zunehmend unwohl, demaskiert und beobachtet. Der Makler nahm die Fotos in der Folge wieder aus dem Netz. Die Bewohner verlangten sodann Schmerzensgeld, da aus ihrer Sicht ein immaterieller Schaden entstanden und dieser nur durch die Löschung der Bilder nicht wiedergutzumachen sei.

Das LG Frankenthal lehnte den Schadensersatzanspruch ab. Es führte aus, dass das Ehepaar durch sein Verhalten stillschweigend in die Anfertigung und Verwendung der Bilder eingewilligt habe. Die Datenschutzgrundverordnung (DSGVO) verlange weder eine ausdrückliche noch eine schriftliche Einwilligung. Sie könne auch durch eine sonstige eindeutig bestätigende Handlung erfolgen, solange sie für einen bestimmten Fall, zeitlich vor der Datenverarbeitung und durch den Einwilligenden in informierter Weise abgegeben werde. Die durch den Makler nicht erfolgte Belehrung des Ehepaars über die Widerrufsmöglichkeiten sei zwar ein Verstoß gegen die DSGVO, habe allerdings keinen Einfluss auf die Wirksamkeit der Einwilligung.

(Geraldine Paus)

 

VG Stuttgart: 2.500 Euro Schadensersatz wegen Veröffentlichung von Gesundheitsdaten

Weil die Stellenausschreibung einer Behörde unerlaubterweise besonders sensible personenbezogene Daten, im konkreten Fall Gesundheitsdaten, enthielt, hat das VG Stuttgart dem Kläger am 20. Juni 2024 einen Schadensersatzanspruch nach Art. 82 DSGVO in Höhe von 2.500 Euro gegen die zuständige Stadt zugesprochen (VG Stuttgart, Urt. v. 20.06.2024 - Az. 14 K 870/22).

Der Kläger war Beamter und sollte infolge eines Schlaganfalls in den Ruhestand versetzt werden. In der Folge schrieb die Beklagte die Stelle des Klägers innerbetrieblich neu aus, wobei in der Stellenbeschreibung darauf hingewiesen wurde, dass der bisherige Amtsinhaber wegen festgestellter Dienstunfähigkeit in den Ruhestand versetzt wird. Der Kläger forderte von der Beklagten im weiteren Verlauf Schadensersatz in Höhe von 20.000 Euro, weil diese durch die Stellenausschreibung die ihr obliegende Vertraulichkeit und Verschwiegenheit in Bezug auf die gesundheitliche Situation des Klägers verletzt habe. Gleichzeitig rügte der Kläger einen datenschutzrechtlichen Verstoß.

Nachdem der Landesdatenschutzbeauftragte Baden-Württemberg bereits zu dem Sachverhalt Stellung nahm und ausführte, dass die Bezugnahme auf die Dienstunfähigkeit des Klägers in der Stellenausschreibung unzulässig war, hat auch das VG Stuttgart entschieden, dass dem Kläger nach Art. 82 DSGVO wegen Verstoßes gegen Art. 9 Abs. 1 DSGVO ein Schadensersatzanspruch in Höhe von 2.500 Euro zusteht, weil die Beklagte in der Stellenausschreibung Bezug auf das Zurruhesetzungsverfahren und die Dienstunfähigkeit des Klägers genommen hat. Die Offenlegung der Dienstunfähigkeit sei entgegen der Auffassung der Beklagten nicht erforderlich gewesen. Dem Kläger sei hierdurch auch ein Schaden in Form einer psychischen Belastung entstanden. Die Herabwürdigung des Klägers in Verbindung mit der konkreten Gefahr der externen Weiterleitung sensibler Gesundheitsdaten und den diesbezüglichen Befürchtungen des Klägers sei insoweit ausreichend.

(Christina Prowald)

 

VG Wiesbaden: Inkassounternehmen ist i.d.R. kein Auftragsverarbeiter

Das VG Wiesbaden hat sich am 13. Mai 2024 dahingehend geäußert, dass es sich bei einem Inkassounternehmen in der Regel nicht um einen Auftragsverarbeiter im Sinne von Art. 28 DSGVO handelt (VG Wiesbaden, Beschl. v. 13.05.2024 - Az. 6 K 1306/22.WI, BeckRS 2024, 11305). Das Gericht führte aus, dass in Rechtsprechung und Literatur überwiegend die Auffassung vertreten werde, dass Inkassounternehmen eigene Verantwortliche seien, da sie regelmäßig die Zwecke und Mittel der Datenverarbeitung selbst bestimmen und nur ausnahmsweise ein Fall der Auftragsverarbeitung denkbar sei. Das Inkasso sei durch eine weitgehend selbstständige Aufgabenwahrnehmung geprägt, weshalb eine Einordnung als selbständige Verantwortlichkeit naheliege. Dies sei auch dann nicht anders zu bewerten, wenn eine sog. teilweise weisungsabhängige Einziehungsermächtigung vorliege. Auch wenn die Unabhängigkeit des Inkassodienstleisters nicht gesetzlich verpflichtend vorgegeben sei, bestimme er aber faktisch derart autonom über Zwecke und Mittel, dass er als datenschutzrechtlich Verantwortlicher erscheine. Zudem habe ein Inkassounternehmen in der Regel ein erhebliches Eigeninteresse an der Dienstleistung und verfüge über ausreichend Unabhängigkeit bei der Aufgabenausführung.

(Christina Prowald)

 

VG Ansbach zum Anspruch gegen die Datenschutzbehörde auf Einschreiten

Betroffenen steht unter bestimmten Voraussetzungen ein Anspruch gegen die zuständige Aufsichtsbehörde auf das Ergreifen von Maßnahmen gegen Dritte, die gegen die Regelungen der Datenschutz-Grundverordnung (DSGVO) verstoßen, zu (VG Ansbach, Urt. v. 12.06.2024 - Az. AN 14 K 20.00941).

In dem zugrundeliegenden Fall machte die Klägerin gegen einen Seminarveranstalter einen Auskunftsanspruch nach Art. 15 DSGVO geltend. In der Folge beschwerte die Klägerin sich beim Bayerischen Landesamt für Datenschutzaufsicht darüber, dass das Unternehmen ihre Daten missbräuchlich genutzt und auf ihr Auskunftsbegehren nicht reagiert habe, woraufhin die Aufsichtsbehörde das Unternehmen ebenfalls aufforderte, der Klägerin Auskunft zu erteilen. Hierauf teilte das Unternehmen der Aufsichtsbehörde mit, dass es nur noch die E-Mail-Adresse der Klägerin zur Erbringung der geschuldeten Leistungen gespeichert habe, diese aber sofort oder im Anschluss an die Leistungserbringung löschen werde. Die Aufsichtsbehörde informierte die Klägerin daraufhin darüber, dass man das Unternehmen zur Auskunftserteilung aufgefordert habe und im Übrigen von weiteren Maßnahmen absehe. Nachdem die Klägerin wiederum keine aus ihrer Sicht zufriedenstellende Auskunft erhielt, wandte die Klägerin sich erneut an die Aufsichtsbehörde und klagte schließlich gegen diese.

Das VG Ansbach hat in der Folge entschieden, dass der Klägerin ein Anspruch auf aufsichtsrechtliches Einschreiten der Datenschutzbehörde gegen den Seminarveranstalter in Form einer Abhilfemaßnahme nach Art. 58 Abs. 2 DSGVO zusteht. Die Datenschutzbehörde sei verpflichtet, bei datenschutzrechtlichen Verstößen angemessen zu reagieren. Indem die Aufsichtsbehörde keine verbindliche Maßnahme erlassen habe, habe sie ihr Ermessen im vorliegenden Fall fehlerhaft ausgeübt. Das Ermessen der Behörde sei aufgrund des Verhaltens des Seminarveranstalters insoweit auf Null reduziert gewesen. Die konkrete Maßnahme könne dabei von der Aufsichtsbehörde selbst gewählt werden.

(Christina Prowald)

 

Niederlande: Bußgeld gegen Uber verhängt

Am 26. August 2024 hat die niederländische Aufsichtsbehörde ein Bußgeld in Höhe von 290 Mio. Euro gegen Uber verhängt, weil das Unternehmen die Daten von europäischen Fahrern ohne ausreichende Schutzmaßnahmen in die USA übermittelt hat (Mitteilung v. 26.08.2024).

Nachdem sich mehr als 170 französische Fahrer bei einer französischen Menschenrechtsorganisation über Uber beschwert hatten, reichte diese Beschwerde bei der niederländischen Aufsichtsbehörde ein. Im Rahmen einer Untersuchung stellte diese sodann fest, dass das Unternehmen Daten von europäischen Fahrern - darunter auch sensible Daten wie Konto-, Zahlungs- und Standortdaten, Taxilizenzen, Ausweispapiere und teilweise sogar strafrechtliche und medizinische Daten - gesammelt und auf Servern in den USA gespeichert hat. Die Daten wurden für einen Zeitraum von mehr als zwei Jahren ohne ausreichende Absicherungsmaßnahmen an die Uber-Zentrale in den USA übermittelt. Nachdem der EuGH das Data Privacy Shield für unwirksam erklärt habe, sei es grundsätzlich möglich gewesen, zur Absicherung der Datentransfers Standardvertragsklauseln zu nutzen. Da das Unternehmen aber auch solche ab August 2021 nicht mehr verwendete, hielt die Aufsichtsbehörde die Daten der Fahrer für nicht ausreichend geschützt. Seit Inkrafttreten des neuen Data Privacy Framewerk stützt das Unternehmen die Datenübermittlungen nunmehr auf dieses.

Die niederländische Aufsichtsbehörde hat sich bei ihrer Entscheidung mit verschiedenen anderen europäischen Aufsichtsbehörden abgestimmt. Uber hat bereits angekündigt, gegen das Bußgeld vorzugehen.

Aleid Wolfsen, der Vorsitzende der niederländischen Datenschutzbehörde, äußerte sich wie folgt zu dem Fall: „In Europa schützt die Datenschutz-Grundverordnung die Grundrechte der Menschen, indem sie Unternehmen und Regierungen dazu verpflichtet, mit personenbezogenen Daten sorgfältig umzugehen. Aber leider ist das außerhalb Europas nicht selbstverständlich. Denken Sie an Regierungen, die Daten in großem Umfang abgreifen können. Deshalb sind Unternehmen in der Regel verpflichtet, zusätzliche Maßnahmen zu ergreifen, wenn sie personenbezogene Daten von Europäern außerhalb der Europäischen Union speichern. Uber hat die Anforderungen der Datenschutz-Grundverordnung nicht erfüllt, um das Schutzniveau der Daten bei der Übermittlung in die USA zu gewährleisten. Das ist sehr ernst.“

(Christina Prowald)

 

Spanien: Bußgeld wegen unerlaubter Werbeanrufe

Die spanische Aufsichtsbehörde (AEPD) hat ein Bußgeld in Höhe von 200.000 Euro gegen Vodafone Espana, S.A.U. wegen unerlaubter Werbeanrufe erlassen (Bußgeldbescheid der AEPD).

Die Aufsichtsbehörde leitete ein Verfahren gegen das Unternehmen ein, nachdem ein Betroffener sich bei der AEPD darüber beschwerte, dass er wiederholt Werbeanrufe von Vodafone erhalten habe, obwohl er solchen nie zugestimmt habe. Die betreffende Nummer habe sogar auf einer Nichtanrufliste gestanden.

Auf wiederholte Auskunftsanfragen der AEPD bezüglich der getätigten Anrufe und den damit einhergehenden Datenverarbeitungen erhielt die Aufsichtsbehörde keine Rückmeldung seitens des Unternehmens. In der Folge verhängte sie ein Bußgeld in Höhe von 200.000 Euro. Kundendaten dürfen vom Grundsatz her nur dann für Werbeanrufe genutzt werden, wenn diese in die Kontaktierung eingewilligt haben.

(Christina Prowald)

 

Spanien: Bußgeld wegen nicht vorgenommener Datenlöschung

Ein weiteres Bußgeld in Höhe von 180.000 Euro hat die spanische Aufsichtsbehörde (AEPD) gegen das Unternehmen „ID Finance Spain“ erlassen, weil dieses die Daten einer betroffenen Person ohne Rechtsgrundlage speicherte und dem Löschbegehren des Betroffenen nicht nachkam (Bußgeldbescheid der AEPD).

Nachdem sich eine Privatperson bei der AEPD beschwerte, weil sie das Unternehmen mehrfach erfolglos zur Löschung ihrer personenbezogenen Daten aus dem Kreditinformationssystem aufgefordert hatte, leitete die Aufsichtsbehörde ein Verfahren ein. Das Unternehmen gab zur Begründung an, dass es der Betroffenenanfrage nicht nachgekommen sei, weil eine offene Forderung des Betroffenen bestehe. Dieser wandte hiergegen wiederum ein, dass die Schuld aus einem Identitätsdiebstahl entstanden sei und legte im Zuge seiner Löschanfrage auch einen diesbezüglichen Polizeibericht vor.

Im Rahmen ihrer Untersuchung stellte die AEPD sodann fest, dass ID Finanace Spain die Daten des Betroffenen speicherte, obwohl es an einer Rechtsgrundlage fehlte. Die Daten des Betroffenen seien unberechtigterweise in das Kreditinformationssystem aufgenommen worden. Eine Forderung dürfe nicht in das System aufgenommen werden, solange nicht nachgewiesen sei, dass die Forderung zugunsten des Antragstellers bestehe. Außerdem sei das Unternehmen dem Löschbegehren des Betroffenen unberechtigterweise nicht nachgekommen. Der Betroffene habe ausreichend Unterlagen, darunter die Anzeige wegen Identitätsdiebstahls vorgelegt, um zu belegen, dass er die in Rede stehende Forderung nicht anerkenne, sondern bestreite. Darüber hinaus habe man festgestellt, dass das Unternehmen zudem keinen Datenschutzbeauftragten bestellt habe.

Das ursprünglich von der AEPD verhängte Bußgeld betrug insgesamt 225.000 Euro, wobei 100.000 Euro auf den Verstoß gegen Art. 6 DSGVO (Rechtsgrundlage), 100.000 Euro auf den Verstoß gegen Art. 17 DSGVO (Löschbegehren) und 25.000 Euro auf den Verstoß gegen Art. 37 DSGVO (Bestellung eines Datenschutzbeauftragten) entfielen. Der Betrag wurde angesichts der Zahlungsbereitschaft des Unternehmens auf 180.000 Euro reduziert und das Verfahren abgeschlossen.

(Christina Prowald)