Probleme bei der Darstellung des Newsletters? Dann klicken Sie hier für die Webansicht |
Newsletter zum DatenschutzSehr geehrte Damen und Herren, der Digitalverband Bitkom hat am 5. Oktober 2023 die Ergebnisse einer neuen Umfrage zum Thema Datenschutz veröffentlicht. Befragt wurden 502 Unternehmen. 45 % der Unternehmen gehen nach aktuellem Stand davon aus, dass sie die Vorgaben der Datenschutz-Grundverordnung (DSGVO) bereits größtenteils umgesetzt haben. 20 % der befragten Unternehmen waren sogar der Auffassung, die Regelungen der DSGVO bereits vollständig umgesetzt zu haben, während nur 1 % angab, gerade erst mit der Umsetzung begonnen zu haben. Von den befragten Unternehmen wurde insbesondere positiv bewertet, dass die DSGVO die Datensicherheit im Unternehmen verbessert habe, weltweite Maßstäbe setze und das Vertrauen in digitale Prozesse stärke. Kritisiert wurde demgegenüber, dass die DSGVO Geschäftsprozesse komplizierter mache und die Entwicklung neuer Produkte und Dienstleistungen verzögere. 86 % der Befragten gaben außerdem an, dass es ihnen schwerfalle, allen aktuellen Entwicklungen beim Datenschutz in der Rechtsprechung zu folgen. Beim Thema KI gehen die Meinungen der befragten Unternehmen auseinander. Während 50 % der Auffassung sind, dass der Datenschutz dafür sorge, dass die Anwendung von KI in der EU eingeschränkt wird, vertreten 44 % die Meinung, dass der Datenschutz Rechtssicherheit bei der Entwicklung von KI-Anwendungen schaffe. Wie auch bereits im Vorjahr, machten die Unternehmen zudem die Bedeutung von Datenübermittlungen in Drittstaaten, insbesondere in die USA, deutlich. Mit 94 % und 83 % waren die Nutzung von Cloud-Diensten sowie von Videokonferenz-Tools die beiden wichtigsten Gründe für einen internationalen Datentransfer. Über zwei Drittel der Unternehmen gaben außerdem an, dass der Verzicht auf Drittstaatenübermittlungen für sie Wettbewerbsnachteile gegenüber Unternehmen aus Nicht-EU-Ländern bedeute. Bei Rückmeldungen zu diesem Newsletter oder Fragen im Zusammenhang mit den Themen des Newsletters bitten wir Sie, uns eine E-Mail an datenschutz@brandi.net zu senden. Die weiteren Kontaktdaten finden Sie auch auf unserer Homepage. Dr. Sebastian Meyer und das Datenschutzteam von BRANDI Thema des Monats: VideoüberwachungMit Hilfe von Videoüberwachungsmaßnahmen lassen sich Straftaten oder andere Rechtsverstöße wie Vandalismus oder Hausfriedensbruch aufklären. Das Hausrecht kann durchgesetzt und das allgemeine Sicherheitsgefühl gesteigert werden. Außerdem kann durch den Einsatz von sichtbaren Videokameras eine Abschreckungswirkung erzielt werden, die mögliche Täter von der Begehung von Straftaten abhalten und Mitarbeiter und Kunden vor Übergriffen schützen soll. Insbesondere aufgrund der zuvor genannten positiven Effekte erfreuen sich Maßnahmen zur Videoüberwachung bei Unternehmen großer Beliebtheit. Gleichzeitig ist eine Videoüberwachung regelmäßig mit einem erheblichen Eingriff in das Persönlichkeitsrecht der Betroffenen verbunden, da deren Verhalten – jedenfalls bei Speicherung der Aufnahmen – dauerhaft erfasst wird und auch rückwirkend genau analysiert und ausgewertet werden kann. Die Eingriffsintensität ist dabei umso höher, je länger die Daten aufbewahrt werden und je umfangreichere Aufzeichnungen existieren. In diesem Kontext ist auch der von der Überwachung betroffene Personenkreis zu berücksichtigen. Eine Videoüberwachung gegenüber Kunden kann regelmäßig eher umgesetzt werden als gegenüber Mitarbeitern, da die Kunden üblicherweise frei entscheiden können, ob sie die Räumlichkeiten trotz des Umstands der Überwachung betreten möchten, während Mitarbeitern meist keine echte Wahlmöglichkeit zukommt. Videoüberwachungsmaßnahmen sind nach den datenschutzrechtlichen Bestimmungen deshalb nur zulässig, soweit die insoweit vorgesehenen Beschränkungen zum Schutz der Betroffenen eingehalten werden. Zum vollständigen SchwerpunktthemaEuG: Amazon muss Verpflichtungen für „sehr große Online-Plattformen“ i.S.d. DSA vorläufig nur eingeschränkt nachkommenNach aktuellem Beschluss des EuG vom 27.09.2023 muss Amazon den Verpflichtungen, die von „sehr großen Online-Plattformen“ im Sinne des Digital Services Act (DSA) eingehalten werden müssen, zunächst nur eingeschränkt nachkommen. Der DSA tritt als Verordnung ab dem 24.02.2024 für alle Anbieter digitaler Dienste im Binnenmarkt der Europäischen Union – unabhängig von ihrer Größe – in Kraft. Der DSA soll dazu dienen, digitale Dienstleister, vor allem Online-Plattformen, zu mehr Schutz und Transparenz für Verbraucher zu verpflichten. Bereits seit August 2023 sind nach dem DSA „sehr große Online-Plattformen“ vorzeitig verpflichtet, erste Vorgaben des DSA vor dem Wirksamwerden für alle Unternehmen umzusetzen. Die EU-Kommission hatte dazu 19 Unternehmen benannt, die unter diese vorzeitigen Regelungen fielen. Benannt war hier unter anderem auch die Online-Plattform Amazon. Amazon wehrte sich gegen die Entscheidung im einstweiligen Rechtsschutz und bekam vorläufig vor dem EuG Recht. Das Gericht entschied, dass Amazon bis zur Klärung im Hauptsacheverfahren die Pflichten für „sehr große Plattformen“ nur eingeschränkt wahrnehmen müsse. Insbesondere die Transparenzpflicht aus Art. 39 DSA, eine erweiterte Informationspflicht bei Online-Werbung zum Schutz der Verbraucher, entfiele zumindest teilweise. Das Gericht stellte fest, dass nicht ausgeschlossen werden könne, dass die Rechte Amazons durch die Pflicht zur Offenlegung des Anzeigenverzeichnisses gemäß Art. 39 DSA unverhältnismäßig beschränkt würden. Im Hauptsacheverfahren sei insoweit zu prüfen, ob die von Amazon angefochtene Entscheidung für nichtig zu erklären sei, da sie die Klägerin verpflichten wird, gemäß Art. 39 DSA ein Verzeichnis der Anzeigen zu erstellen und öffentlich zu machen. BGH legt EuGH Fragen zum Unterlassungs- und Schadensersatzanspruch vorMit Beschluss vom 26. September 2023 hat der Bundesgerichtshof (BGH) dem Europäischen Gerichtshof (EuGH) Fragen zum Bestehen eines unionsrechtlichen Unterlassungsanspruchs von betroffenen Personen, deren Daten von einem Verantwortlichen unrechtmäßig durch Weiterleitung offengelegt wurden, und zum Begriff des immateriellen Schadens i.S.v. Art. 82 DSGVO zur Vorabentscheidung vorgelegt (BGH, Beschl. v. 26.09.2023 - Az. VI ZR 97/22; Pressemitteilung v. 26.09.2023). Der Kläger befand sich im Bewerbungsprozess bei der beklagten Privatbank, der über ein Online-Portal abgewickelt wurde. In diesem Kontext versandte eine Mitarbeiterin der Beklagten über das Portal eine ausschließlich für den Kläger bestimmte Nachricht auch an eine nicht am Bewerbungsprozess beteiligte Person, die in der Vergangenheit mit dem Kläger zusammenarbeitete und ihn deshalb kannte. In der Nachricht wurde unter anderem mitgeteilt, dass die Beklagte die Gehaltsvorstellungen des Klägers nicht erfüllen könne. Der Kläger machte geltend, dass einer Person, die ihn sowie ehemalige und potentielle Arbeitgeber kenne, nunmehr sensible Informationen über ihn bekannt seien. Er befürchte, dass dieser die Daten weitergeben oder sich durch ihre Kenntnis einen Vorteil verschaffen könnte. Außerdem sei das Unterliegen in den Gehaltsverhandlungen für ihn demütigend, weshalb er selbst die Daten nicht an Dritte weitergegeben hätte. Das Landgericht Darmstadt hat dem Kläger in erster Instanz zunächst einen immateriellen Schadensersatzanspruch in Höhe von 1.000 Euro zugesprochen. Das Urteil des Landgerichts wurde sodann vom Oberlandesgericht Frankfurt mit Blick auf den Schadensersatz abgeändert und die Klage insoweit abgewiesen. Der BGH hat das Verfahren nunmehr ausgesetzt und dem EuGH verschiedene Fragen zur Vorabentscheidung vorgelegt. Er möchte unter anderem wissen, ob aus Art. 17 DSGVO oder alternativ aus Art. 18 DSGVO ein Anspruch auf Unterlassung einer erneuten unrechtmäßigen Weiterleitung von Daten hergeleitet werden kann. Sofern dies der Fall sein sollte, stellt sich für den BGH weiter die Frage, ob der Anspruch nur bei einer Wiederholungsgefahr besteht und ob diese bei einem bereits vorliegenden Verstoß gegen die DSGVO vermutet wird. Falls sich aus den Art. 17 und 18 DSGVO kein Anspruch ergibt, möchte der BGH weiter wissen, ob sich ein solcher sodann aus Art. 84 i.V.m. Art. 79 DSGVO ergeben kann. Zum Thema Schadensersatz legte der BGH außerdem die Frage vor, ob ein immaterieller Schaden durch bloße negative Gefühle begründet werden kann. Außerdem möchte der BGH in Erfahrung bringen, ob zum einen der Grad des Verschuldens und zum anderen die Tatsache, dass dem Betroffenen ein Unterlassungsanspruch zusteht, bei der Bemessung der Höhe des immateriellen Schadens zu berücksichtigen sind. Wie sich der EuGH zu den Fragen des BGH positionieren wird, bleibt abzuwarten. Zum immateriellen Schadensersatz hat der EuGH allerdings bereits im Mai 2023 entschieden, dass ein bloßer Verstoß gegen die DSGVO keinen Schadensersatzanspruch begründet (wir berichteten im Juni 2023). In seinem Urteil machte das Gericht darüber hinaus bereits deutlich, dass der Schadensersatzanspruch nicht auf immaterielle Schäden, die eine Erheblichkeitsschwelle überschritten hätten, beschränkt ist. Die Höhe des jeweiligen Schadensersatzes sei unter Berücksichtigung der jeweiligen Umstände des Einzelfalls zu bestimmen, wobei der Äquivalenz- sowie der Effektivitätsgrundsatz zu beachten seien. BGH lehnt Auskunftsanspruch nach Art. 15 DSGVO bei sachfremdem Motiv abDer Bundesgerichtshof (BGH) hat am 27. September 2023 entschieden, dass einem Versicherungsnehmer nach Art. 15 DSGVO grundsätzlich kein Anspruch auf Zurverfügungstellung von Abschriften der Begründungsschreiben zu den Prämienanpassungen gegen seine private Krankenversicherung zusteht (BGH, Urt. v. 27.09.2023 - Az. IV ZR 177/22; Pressemitteilung v. 27.09.2023). Dem Versicherungsnehmer komme aber ein Auskunftsanspruch aus Treu und Glauben zu, soweit er in entschuldbarer Weise über Bestehen und Umfang seines Rechts im Ungewissen ist. Der Kläger wendete sich gegen die Wirksamkeit von Prämienanpassungen seiner privaten Krankenversicherung und hatte in diesem Kontext zuvor unter anderem Auskunft über alle Beitragserhöhungen durch Bereitstellung zahlreicher Unterlagen verlangt. Das Landgericht Gießen wies die Klage zunächst ab. Das Oberlandesgericht Frankfurt hat die Beklagte sodann zur Auskunftserteilung verurteilt. Der BGH hat jetzt entschieden, dass dem Kläger zwar ein Auskunftsanspruch zusteht, dieser aber nicht auf Art. 15 DSGVO gestützt werden kann. Er führt insoweit aus, dass der Anspruch des Klägers sich nicht aus Art. 15 Abs. 1 DSGVO herleiten lässt, da es sich bei den angeforderten Anschreiben und Unterlagen nicht um personenbezogene Daten des Versicherungsnehmers handelt. Ein Anspruch auf eine Kopie der Daten i.S.v. Art. 15 Abs. 3 DSGVO bestehe nur in Bezug auf Daten, zu denen nach Art. 15 Abs. 1 DSGVO Auskunft zu erteilen sei. Die Herausgabe von Kopien bestimmter Dokumente sei demgegenüber nicht Gegenstand des Anspruchs. Unter Berufung auf den EuGH verweist der BGH außerdem darauf, dass Art. 15 DSGVO nicht so ausgelegt werden kann, dass er in Abs. 3 ein anderes Recht als das in Abs. 1 vorgesehene gewährt. Ein Auskunftsanspruch könne sich demgegenüber aber aus Treu und Glauben ergeben. Dieser setze sodann voraus, dass dem Versicherungsnehmer Rückzahlungsansprüche aufgrund früherer, unwirksamer Prämienanpassungen als Grund für das Auskunftsbegehren zustehen, der Versicherungsnehmer nicht über die maßgeblichen Unterlagen verfügt und die Informationen nicht anderweitig auf zumutbare Weise beschaffen kann. OLG Brandenburg zum Schadensersatzanspruch gegen AuskunfteiDas OLG Brandenburg hat am 17. März 2023 entschieden, dass eine Auskunftei wegen der Eintragung fehlerhafter Schuldnerdaten in ihr Auskunftssystem nicht auf Schadensersatz in Anspruch genommen werden kann, wenn die falschen Daten auf einer unzutreffenden Meldung einer Vertragspartnerin beruhen (OLG Brandenburg, Urt. v. 26.05.2023 - Az. 7 U 166/22; BeckRS 2023, 11534). Habe kein Anlass bestanden, eine inhaltliche Prüfung der Daten vorzunehmen, sei die Auskunftei für die unzulässige Datenverarbeitung nicht verantwortlich gem. Art. 82 Abs. 3 DSGVO. Eine gemeinsame Verantwortlichkeit zwischen der Auskunftei und der Vertragspartnerin sei ebenfalls nicht anzunehmen, da die Parteien die Daten jeweils in eigener Verantwortung verarbeiten. Der Kläger verlangte von der beklagten Auskunftei Schadensersatz, da diese fehlerhaft Daten zu ihm gespeichert hatte. Der Negativeintrag beruhte auf einer falschen Meldung einer Vertragspartnerin. Das Gericht führte insoweit aus, dass es für die Speicherung der Daten des Klägers in dem Auskunftssystem zwar an einer Rechtsgrundlage fehle, da die in Rede stehende Datenverarbeitung mangels Richtigkeit der Angaben insbesondere nicht auf das berechtigte Interesse der Beklagten gestützt werden könne. Es machte aber gleichzeitig deutlich, dass die Beklagte für die Verarbeitung der unrichtigen Daten nicht verantwortlich sei, Art. 82 Abs. 3 DSGVO, da sie von ihrer Vertragspartnerin unrichtige Informationen erhalten habe. Es sei nicht festzustellen, dass der Beklagten bei Anmeldung der Forderung andere Erkenntnisse vorgelegen haben oder dass sie Anlass hatte, eine inhaltliche Prüfung der Anmeldung vorzunehmen. Es liege außerdem keine gemeinsame Verantwortlichkeit zwischen der Beklagten und der Vertragspartnerin i.S.v. Art. 26 DSGVO vor. Die einliefernde Stelle treffe allein die Entscheidung, welche Daten sie der Beklagten mitteilt. Ebenso entscheide die Beklagte in eigener Verantwortung, ob und in welchem Umfang sie die ihr gemeldeten Daten in die Datenbank aufnimmt. OLG Dresden: 1.500 Euro Schadensersatz bei unberechtigtem SCHUFA-EintragNach Auffassung des OLG Dresden kann der Betroffene für eine rechtswidrige Schufa-Eintragung eine immaterielle Entschädigung von 1.500 Euro verlangen. Für die Bemessung des immateriellen Schadensersatzanspruchs wegen einer Datenschutzverletzung sei auf die in Erwägungsgrund 146 DSGVO genannten Faktoren abzustellen (OLG Dresden, Urt. v. 29.08.2023 - Az. 4 U 1078/23). Dem Kläger war in der Vorinstanz vom Landgericht Leipzig wegen der unbegründeten Schufa-Eintragung ein Schadensersatzanspruch nach Art. 82 DSGVO in Höhe von 1.500 Euro zugesprochen worden. Er beanstandete sodann die Feststellungen des Landgerichts, insbesondere mit Blick auf die ausgeurteilte Höhe des Schadensersatzes. Er führte an, dass die von ihm erlittenen Unannehmlichkeiten bis hin zu Existenzängsten nicht ausreichend berücksichtigt worden seien. Das OLG Dresden schloss sich nunmehr der Entscheidung der Vorinstanz an. Es führte aus, dass das Landgericht die Grundsätze der Bemessung des Schadensersatzes unter Verweis auf Erwägungsgrund 146 DSGVO dargelegt habe. Es habe insbesondere auch in Einklang mit der neueren Rechtsprechung des EuGH zum Thema Schadensersatz entschieden und die relevanten Faktoren als Auslegungsgrundsätze herangezogen. Das Gericht urteilte, dass die mit der Berufung seitens des Klägers aufgeführten Umstände keinen höheren immateriellen Schadensersatz rechtfertigen könnten. Der Kläger habe unter anderem ausreichend Zeit gehabt, der Reduzierung seines Dispositionsrahmens entgegenzutreten. Gleiches gelte mit Blick auf die Kündigung seines Giro-Kontos. Hinsichtlich der mit der Führung des Geschäftsbetriebs verbundenen Unannehmlichkeiten sei zu berücksichtigen, dass der Kläger das Unternehmen lediglich im Nebengewerbe betreibe. Die Summe werde angesichts der konkreten Umstände außerdem auch der generalpräventiven Funktion des immateriellen Schadensersatzes gerecht. Das OLG Dresden hat unter Berücksichtigung seiner vorherigen Ausführungen zu einer Berufungsrücknahme geraten. OVG Lüneburg: Neuer niedersächsischer Landesdatenschutzbeauftragter kann ernannt werdenDer 5. Senat des Niedersächsischen OVG hat mit Beschluss vom 14.09.2023 eine Beschwerde gegen die Entscheidung des VG Hannover zurückgewiesen. In der Entscheidung des VG Hannover hat das Gericht den Antrag der ehemaligen Landesbeauftragten für Datenschutz auf Erlass einer einstweiligen Anordnung abgelehnt, die Ernennung ihres vom Niedersächsischen Landtag gewählten Nachfolgers zu verhindern. Laut Entscheidung des VG Hannover seien die Rechte der ehemaligen Landesbeauftragten nicht verletzt. Das Auswahlverfahren des Nachfolgers habe nicht gegen das sich aus der DSGVO ergebende Transparenzgebot verstoßen. Weiterhin seien die Einwendungen der ehemaligen Landesbeauftragten zur fehlenden fachlichen Eignung des gewählten Nachfolgers unbegründet. Das OVG Lüneburg schloss sich dem an und wies die eingelegte Beschwerde der ehemaligen Landesbeauftragten zurück. Nach Einschätzung des Senats kann sie sich nicht auf ihre Rechte aus Art. 33 Abs. 2 GG berufen, nach dem grundsätzlich ein Recht auf ermessens- und beurteilungsfehlerfreie Einbeziehung in die Bewerberauswahl um ein öffentliches Amt besteht. Nach Rechtsprechung des Bundesverfassungsgerichts gelte diese Vorschrift nicht für Ämter auf staatlicher und kommunaler Ebene, die durch demokratische Wahlen besetzt werden, wozu auch die Wahl des niedersächsischen Landesbeauftragten für Datenschutz zählt. Insoweit habe das Demokratieprinzip Vorrang. Ebenso wenig könnten aus den Regelungen der DSGVO subjektive Rechte der ehemaligen Landesbeauftragten abgeleitet werden. Die Vorschriften über die Transparenz des Ernennungsverfahrens (Art. 53 Abs. 1 DSGVO) und die erforderliche Qualifikation, Erfahrung und Sachkunde des Bewerbers (Art. 53 Abs. 2 DSGVO) dienen allein dem öffentlichen Interesse an einem transparenten Verfahren zur ordnungsgemäßen Besetzung der datenschutzrechtlichen Aufsichtsbehörden. AG Düsseldorf: 500 Euro Schadensersatz für nicht erteilte AuskunftDie Nichtbeantwortung eines Auskunftsersuchens nach Art. 15 DSGVO durch den Betreiber eines Onlineshops führt nach Auffassung des AG Düsseldorf zu einem Schadensersatzanspruch in Höhe von 500 Euro für den Betroffenen (AG Düsseldorf, Urt. v. 24.08.2023 - Az. 51 C 206/23). Der Beklagte erwarb im Online-Shop der Klägerin Ware im Wert von etwa 80 Euro, zahlte diese jedoch nicht, woraufhin die Klägerin nunmehr ihren Zahlungsanspruch klageweise geltend machte. Der Beklagte wehrte sich gegen den Anspruch und machte seinerseits einen Schadensersatzanspruch gegen die Klägerin geltend, weil diese seinem zuvor gestellten Auskunftsersuchen nach Art. 15 DSGVO nicht nachgekommen ist. Das AG Düsseldorf führte aus, dass dem Beklagten ein Anspruch auf Herausgabe einer Kopie sämtlicher Daten, die die Betreiberin des Online-Shops über ihn verarbeitet sowie auf Auskunftserteilung, an welche anderen Unternehmen die Daten übermittelt wurden, zusteht. Die Klägerin habe diesen jedoch nicht fristgerecht erfüllt. Das Gericht entschied in der Folge, dass der Beklagte gem. Art. 82 DSGVO einen Anspruch auf immateriellen Schadensersatz in Höhe von 500 Euro gegen die Klägerin hat. Der Umstand, dass der Beklagte systematisch Verstöße gegen die DSGVO in Bezug auf seine Person verfolge, sei zwar bei der Höhe des Schadensersatzes zu berücksichtigen, führe aber nicht dazu, dass dies seinen Anspruch wegen rechtsmissbräuchlichen Handelns ausschließe. Ein immaterieller Schadensersatz diene der Genugtuung, solle aber keine Einnahmequelle darstellen. Rheinland-Pfalz: Landesdatenschutzbeauftragter startet in zweite AmtszeitDer Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI), Prof. Dr. Dieter Kugelmann, ist am 1. Oktober 2023 in seine zweite Amtszeit gestartet. Zu diesem Anlass hat er zugleich einen eigenen Account für seine Behörde auf dem datenschutzfreundlichen Kurznachrichtendienst Mastodon eingerichtet. Dieser ist unter der Adresse social.bund.de/@lfdi_rlp zu erreichen. Er kündigte an, dass seine Arbeit in den nächsten Jahren insbesondere von den Themen Biotechnologie, Verwaltungsdigitalisierung und Künstliche Intelligenz geprägt sein wird. Kugelmann leitet die Datenschutzbehörde seit dem 1. Oktober 2015 und wurde Anfang 2023 vom rheinland-pfälzischen Landtag wiedergewählt. Mit Blick auf seine erste Amtszeit äußerte sich Kugelmann wie folgt: „Meine erste Amtszeit war von der Einführung der europäischen Datenschutz-Grundverordnung geprägt. Das war ein hartes Stück Arbeit, das mein Team und ich in Rheinland-Pfalz erfolgreich bewältigt haben. Ich habe mich besonders dafür eingesetzt, Verständnis für die Datenschutz-Grundverordnung zu schaffen und zur konsequenten und verlässlichen Rechtsauslegung beizutragen.“ Zu der kommenden Amtszeit erklärte er: „In meiner zweiten Amtszeit wird es mehr Möglichkeiten für Gestaltung geben. Diese Möglichkeiten will und muss ich nutzen: Mit den Entwicklungen der Künstlichen Intelligenz, der Biotechnologie und der Verwaltungsdigitalisierung stehen Themen auf der Agenda, die sehr viele und auch sehr sensible persönliche Daten berühren. Diese Themen erfordern datenschutzrechtliche Begleitung, ganz besonders im Land Rheinland-Pfalz, das sich als Biotechnologie-Standort etablieren wird. Wir werden kreative und vorausschauende Verfahren brauchen, um Innovation zu fördern, ohne die Rechte und Freiheiten der Bürgerinnen und Bürger zu gefährden.“ LDI NRW: Handreichung zum Abschluss einer Vereinbarung zur Auftragsverarbeitung mit MicrosoftDie Landesbeauftragte für Datenschutz und Informationsfreiheit NRW (LDI NRW) hat eine Handreichung für Verantwortliche zum Abschluss einer Vereinbarung zur Auftragsverarbeitung mit Microsoft für den Einsatz von „Microsoft 365“ erlassen (Mitteilung v. 02.10.2023). Die Datenschutzkonferenz, der Zusammenschluss der unabhängigen Datenschutz-Aufsichtsbehörden des Bundes und der Länder, hat zuletzt im November 2022 erklärt, dass die von Microsoft in Bezug auf den Einsatz von „Microsoft 365“ bereitgestellte Standard-Auftragsverarbeitungsvereinbarung nicht den datenschutzrechtlichen Anforderungen der DSGVO entspricht. Die LDI NRW hat in der Folge nunmehr gemeinsam mit verschiedenen anderen Aufsichtsbehörden eine Handreichung erstellt, um Unternehmen dabei zu unterstützen, gegenüber Microsoft auf datenschutzgerechte vertragliche Änderungen hinzuwirken. Die wesentlichen Empfehlungen sind in dem Dokument als „To-Do’s“ farblich hervorgehoben. Die Problematik der Drittstaatenübermittlungen wurde bei der Erstellung der Handreichung ausgeklammert. Die LDI NRW weist zunächst darauf hin, dass sich verantwortliche Unternehmen über die reine Vertragsgestaltung der Vereinbarung zur Auftragsverarbeitung hinaus auch mit allen weiteren datenschutzrechtlichen Aspekten, die im konkreten Fall eine Rolle spielen (z.B. Prüfung der Angemessenheit technischer und organisatorischer Maßnahmen), auseinandersetzen müssen. Soweit Unternehmen Zusatzvereinbarungen mit Microsoft abschlössen, müsse zudem klargestellt werden, dass diese gegenüber sämtlichen entgegenstehenden Vertragstexten im Kollisionsfall Vorrang haben. Die weiteren Hinweise, Maßnahmen und Empfehlungen befassen sich umfassend mit den nachfolgenden Aspekten: 1. Festlegung von Art und Zweck der Verarbeitung, Art der personenbezogenen Daten 2. Eigene Verantwortlichkeit Microsofts im Rahmen der Verarbeitung für Geschäftstätigkeiten, die durch Bereitstellung der Produkte und Services an den Kunden veranlasst sind (Microsofts Geschäftszwecke) 3. Weisungsbindung, Offenlegung verarbeiteter Daten, Erfüllung rechtlicher Verpflichtungen 4. Umsetzung technischer und organisatorischer Maßnahmen nach Art. 32 DSGVO 5. Löschen personenbezogener Daten 6. Information über Unterauftragsverarbeiter 7. Weitere Hinweise Inwieweit die Anpassungsvorschläge gegenüber Microsoft tatsächlich durchsetzbar sind, bleibt allerdings fraglich und insoweit abzuwarten. Indien: Datenschutzgesetz verabschiedetIndien verfügt jetzt auch über ein eigenes Datenschutzgesetz, den Digital Personal Data Protection Act (DPDP Act). Ein erster Entwurf ist im letzten Jahr noch zurückgezogen worden, der aktuelle Entwurf wurde jetzt von der Staatspräsidentin bestätigt. Auf dieser Grundlage ist davon auszugehen, dass das neue Gesetz demnächst in Kraft treten wird. Anders als die DSGVO soll der DPDP Act nur Daten in digitaler Form oder nachträglich digitalisierte Daten erfassen. Ähnlich wie in der DSGVO wird ansonsten jede Art der Datenverarbeitung erfasst, gegebenenfalls auch eine Verarbeitung außerhalb von Indien. Geregelt werden die Pflichten und Verantwortung der verantwortlichen Stelle, die im indischen Konzept als Datentreuhänder (Data Fiduciaries) bezeichnet werden. Diese dürfen Daten etwa nur mit Einwilligung der Betroffenen oder bei Vorliegen anderer legitimer Nutzungszwecke verarbeiten. Neu eingerichtet wird auch eine Aufsichtsbehörde, das Data Protection Board of India (DPBI), das zukünftig die Einhaltung der neuen Vorgaben kontrollieren wird. Bei Verstößen sind Bußgelder vorgesehen, die von der Behörde verhängt werden können. Kroatien: Bußgeld gegen EOS Matrix i.H.v. fast 5,5 Millionen EuroAm 5. Oktober 2023 verhängte die kroatische Datenschutz-Aufsichtsbehörde (AZOP) ein Bußgeld in Höhe von 5,47 Millionen Euro gegen das Inkassobüro EOS Matrix, weil dieses nach Auffassung der AZOP gegen Art. 5, 6, 9, 12, 13 und 32 DSGVO verstoßen hat (Mitteilung v. 5.10.23). Im März 2023 ging bei der AZOP eine anonyme Petition ein, in der behauptet wurde, dass die Inkassofirma eine große Anzahl an Daten von Schuldnern unbefugt verarbeitet. Außerdem wurde angegeben, dass die Datenbank von EOS Matrix Einträge von Personen enthalte, die zum Zeitpunkt der Erstellung der Einträge minderjährig waren. Der Petition war ein USB-Stick mit 181.641 Datensätzen beigefügt. Die Aufsichtsbehörde stellte im Rahmen ihrer Überprüfung fest, dass das Inkassobüro keine ausreichenden technischen und organisatorischen Maßnahmen (Art. 32 DSGVO) ergriff, mit denen von der üblichen Vorgehensweise abweichende Aktivitäten (z.B. unberechtigte Zugriffe und Datenübertragungen) erkannt werden konnten. Außerdem seien Daten von Personen, die weder Schuldner noch gesetzliche Vertreter von Erben in Schuldner-Gläubiger-Beziehungen waren, ohne Rechtsgrundlage nach Art. 6 DSGVO verarbeitet worden. Zudem habe das Inkassobüro auch Kommentare zum Gesundheitszustand der Schuldner aufgezeichnet, ohne dass die Vorgaben von Art. 9 DSGVO eingehalten wurden. Die seitens EOS Matrix verwendeten Datenschutzerklärungen seien diesbezüglich zudem nicht vollständig und ausreichend gewesen (Art. 12, 13 DSGVO). Darüber hinaus seien Telefongespräche seitens des Inkassobüros ohne Rechtsgrundlage und Information der Betroffenen aufgezeichnet worden, was zusätzlich zu einem Verstoß gegen Art. 5 Abs. 2 DSGVO (Rechenschaftspflicht) führte. Schweden: Bußgeld gegen H&M i.H.v. 350.000 Schwedische KronenDie schwedische Aufsichtsbehörde (IMY) hat am 17. Oktober 2023 ein Bußgeld in Höhe von 350.000 Schwedische Kronen gegen H&M erlassen, weil das Unternehmen es Betroffenen erschwert hat, sich gegen Marketingmaßnahmen zu entscheiden (Mitteilung v. 19.10.2023). Im Rahmen ihrer Überprüfung stellte IMY fest, dass das Unternehmen Anfragen von Personen, die keine Werbung des Unternehmens erhalten wollten, nicht ordnungsgemäß bearbeitet hat. Die Überprüfung erfolgte auf Grundlage der Beschwerden von sechs Personen aus Polen, Italien und Großbritannien. Obwohl sich die Betroffenen gegen Direktwerbung ausgesprochen hatten, stellte das Unternehmen die Verarbeitung ihrer Daten zu Marketingzwecken nicht unverzüglich ein. IMY führte in ihrer Entscheidung aus, dass das Unternehmen nicht über ausreichende Systeme und Routinen verfüge, um es Betroffenen zu ermöglichen, ihr Recht auf Widerspruch gegen Maßnahmen des Direktmarketings auszuüben. Albin Brunskog, Abteilungsleiter bei IMY, äußerte: „Es sollte einfach sein, Werbung und Angebote zu vermeiden, an denen man nicht interessiert ist.“ Die IMY verhängte in der Folge ein Bußgeld in Höhe von 350.000 Schwedische Kronen (ca. 28.500 Euro) gegen das Unternehmen. Frankreich: Bußgeld gegen SAF LOGISTICS i.H.v. 200.000 EuroAm 18. September 2023 hat die französische Datenschutz-Aufsichtsbehörde (CNIL) ein Bußgeld in Höhe von 200.000 Euro gegen das Unternehmen SAF LOGISTICS wegen der übermäßigen Erhebung und Sammlung von Beschäftigtendaten und einer mangelnden Kooperation mit den Dienststellen der CNIL verhängt (Mitteilung v. 18.09.2023). Die gegen das Unternehmen eingeleitete Untersuchung basierte auf der Beschwerde eines Mitarbeiters des Luftfrachttransportunternehmens. Der Beschwerdeführer gab an, dass das Unternehmen im Rahmen eines Bewerbungsverfahrens Daten über das Privatleben seiner Mitarbeiter verarbeitet habe. Die CNIL stellte bei der Überprüfung des insoweit seitens des Unternehmens verwendeten Formulars und im Rahmen ihrer Untersuchungen verschiedene Verstöße fest. Kritisiert wurden insbesondere die übermäßige Datenerhebung, die Nichteinhaltung der Vorgaben zur Verarbeitung von sensiblen Daten sowie von Daten, die sich auf Straftaten beziehen, und die mangelnde Zusammenarbeit mit der Aufsichtsbehörde bei der Übersetzung der maßgeblichen Unterlagen. CNIL stellte insoweit Verstöße gegen den Grundsatz der Datenminimierung (Art. 5 Abs. 1 lit. c) DSGVO), das Verbot der Verarbeitung sensibler Daten (Art. 9 DSGVO), das Verbot der Erhebung oder Verarbeitung von Daten über Straftaten (Art. 10 DSGVO) sowie die Verpflichtung, mit der CNIL zusammenzuarbeiten (Art. 31 DSGVO), fest. In der Folge verhängte CNIL ein Bußgeld in Höhe von 200.000 Euro. Bei der Höhe des Bußgelds wurde insbesondere berücksichtigt, dass das Unternehmen gegen mehrere Schlüsselprinzipien der DSGVO verstoßen hat. Frankreich: Bußgeld i.H.v. 600.000 Euro gegen GROUPE CANAL+Die französische Datenschutz-Aufsichtsbehörde (CNIL) verhängte am 12. Oktober 2023 ein weiteres Bußgeld in Höhe von 600.000 Euro gegen GROUPE CANAL+ (Mitteilung v. 12.10.2023). Bei der CNIL gingen zahlreiche Beschwerden von Einzelpersonen ein, die angaben, dass es Schwierigkeiten bei der Berücksichtigung der ihnen gegenüber dem Unternehmen zustehenden Rechte gebe. Die Aufsichtsbehörde kam in der Folge zu dem Schluss, dass das Unternehmen gegen mehrere Verpflichtungen aus der DSGVO sowie dem französischen Gesetzbuch über Post und elektronische Kommunikation verstoßen hat. Sie stellte zunächst einen Verstoß gegen die Verpflichtung, vor der Zusendung von Werbung auf elektronischem Wege eine Einwilligung der Betroffenen einzuholen (Art. 7 DSGVO), fest. Das Unternehmen konnte insoweit das Vorliegen entsprechender wirksamer Einwilligungserklärungen nicht nachweisen. Außerdem rügte die CNIL, dass Betroffene bei der Einrichtung eines MyCanal-Kontos und bei der Telefonakquise nicht ausreichend informiert wurden (Art. 13 DSGVO). Das Unternehmen habe es zudem versäumt, verschiedenen Beschwerdeführern innerhalb eines Monats auf die von ihnen eingereichten Anfragen zu Antworten (Art. 12 DSGVO). Darüber hinaus seien Auskunftsersuchen nicht beantwortet worden (Art. 15 DSGVO). Die Aufsichtsbehörde stellte darüber hinaus fest, dass es an Vereinbarungen zur Auftragsverarbeitung mit eingesetzten Dienstleistern fehlte (Art. 28 DSGVO), keine ausreichenden technischen und organisatorischen Maßnahmen ergriffen wurden (Art. 32 DSGVO) und die CNIL nicht über einen Datenschutzvorfall, bei dem Teilnehmerdaten für andere Teilnehmer zugänglich waren, informiert wurde (Art. 33 DSGVO), weshalb sie schließlich ein Bußgeld in Höhe von 600.000 Euro verhängte. |
Wenn Sie den Newsletter nicht mehr erhalten möchten, klicken Sie bitte hier Sie können sich hier für den Newsletter anmelden. BRANDI Rechtsanwälte Partnerschaft mbB BRANDI Rechtsanwälte ist eine Partnerschaft mit beschränkter Berufshaftung. |