Probleme bei der Darstellung des Newsletters? Dann klicken Sie hier für die Webansicht |
Newsletter zum DatenschutzSehr geehrte Damen und Herren, im Rahmen der 108. Datenschutzkonferenz wurden am 14. und 15. November 2024 zahlreiche datenschutzrechtliche Themen behandelt. Der Vorsitzende der Datenschutzkonferenz (DSK), Prof. Dr. Alexander Roßnagel, fasste die Ergebnisse wie folgt zusammen: „Entsprechend ihrem Selbstverständnis haben die Datenschutzaufsichtsbehörden ihre Zusammenarbeit koordiniert und in wichtigen praktischen Fragen des Datenschutzes Beschlüsse gefasst, um ihre Rechtsauffassungen abzustimmen und ihre Aufsichtspraxis zu harmonisieren. Neben den Datenschutzanforderungen an die Herstellung und Anwendung von Systemen Künstlicher Intelligenz ging es um die Bewertung polizeilicher Überwachungsmaßnahmen, die Fortentwicklung der elektronischen Verwaltung und das Angebot von digitalen Diensten im Internet. Mit ihren einstimmigen Beschlüssen trägt die DSK zu mehr Rechtssicherheit im Datenschutzrecht bei. Im Rahmen der Erörterung der aktuellen bundespolitischen Entwicklung wurde außerdem die besondere Bedeutung der Verabschiedung der Novelle des Bundesdatenschutzgesetzes noch in dieser Wahlperiode betont.“ Nähere Informationen zu der Frage, welche Anforderungen Anbieter digitaler Dienste bei der Nutzung von Tracking-Diensten und der Gestaltung ihres Cookie-Banners einhalten müssen, sowie den Bestrebungen des deutschen Gesetzgebers, ein Beschäftigtendatengesetz zu erlassen, finden Sie auch in dieser Ausgabe unseres Newsletters. Bei Rückmeldungen zu diesem Newsletter oder Fragen im Zusammenhang mit den Themen des Newsletters bitten wir Sie, uns eine E-Mail an datenschutz@brandi.net zu senden. Die weiteren Kontaktdaten finden Sie auch auf unserer Homepage. Dr. Sebastian Meyer und das Datenschutzteam von BRANDI
Thema des Monats: Datenschutz beim Dienstrad-Leasing Arbeitgeber bieten ihren Arbeitnehmern inzwischen zunehmend die Möglichkeit des Dienstrad-Leasings an. Das Konzept des Dienstrad-Leasings sieht vor, dass der Arbeitgeber mit dem Dienstrad-Anbieter einen Leasing-Rahmenvertrag schließt, in dem die allgemeinen Leasing-Bedingungen festgelegt werden. Zusätzlich schließen die beiden Leasingparteien Einzel-Leasingverträge über die vom Arbeitgeber bezogenen Fahrräder, in denen regelmäßig auch Daten des künftigen Nutzers, also des Mitarbeiters, anzugeben sind. Parallel hierzu wird zwischen Arbeitgeber und Arbeitnehmer ein Überlassungsvertrag über das jeweilige Fahrrad geschlossen, in dem die Nutzungsbedingungen festgehalten werden. Die Verträge werden dabei in der Regel vom Dienstrad-Anbieter zur Verfügung gestellt. Hinzu kommen üblicherweise noch seitens des Arbeitgebers abgeschlossene Versicherungsverträge, im Rahmen derer in bestimmten Fällen ebenfalls Daten des jeweiligen Mitarbeiters gegenüber der Versicherung angegeben werden müssen. Da im Zuge der Durchführung des Dienstrad-Leasings Mitarbeiterdaten auf unterschiedliche Weise verarbeitet und dabei insbesondere auch an verschiedene Stellen transferiert werden, sind neben den steuerrechtlichen und arbeitsrechtlichen Vorgaben auch die Regelungen des Datenschutzrechts zu beachten. Die jeweiligen Prozesse müssen insoweit den datenschutzrechtlichen Anforderungen der Datenschutz-Grundverordnung (DSGVO) und des Bundesdatenschutzgesetzes (BDSG) gerecht werden. Zum vollständigen Schwerpunktthema
Save the Date: BRANDI-Datenschutzrechtstag 2025 Am Freitag, den 16. Mai 2025, findet unser 6. BRANDI-Datenschutzrechtstag statt. In mittlerweile bewährter Tradition laden wir Sie hierzu bereits jetzt herzlich ein! Über die weiteren Details und näheren Inhalte der Veranstaltung halten wir Sie in unserem Datenschutzrechts-Newsletter sowie auf unserer Homepage auf dem Laufenden. Freuen Sie sich auf interessante Vorträge und spannende Diskussionen.
Referentenentwurf zum Beschäftigtendatengesetz Anfang Oktober 2024 haben das Bundesministerium für Arbeit und Soziales (BMAS) und das Bundesministerium des Innern und für Heimat (BMI) ihren Referentenentwurf eines „Gesetzes zur Stärkung eines fairen Umgangs mit Beschäftigtendaten und für mehr Rechtssicherheit für Arbeitgeber und Beschäftigte in der digitalen Arbeitswelt (Beschäftigtendatengesetz - BeschDG)“ vorgelegt. Ein eigenes Beschäftigtendatenschutzrecht war in der Vergangenheit bereits mehrfach von verschiedener Seite gefordert worden. Zuletzt hat der EuGH mit Urteil vom 30. März 2023 die Europarechtskonformität der bisherigen Regelung zum Beschäftigtendatenschutz in § 26 BDSG in Frage gestellt. Ziel des Gesetzes ist es, einen Ausgleich zwischen den Interessen der Betriebe und der Beschäftigten zu schaffen und die Beschäftigten in der digitalen Arbeitswelt zu schützen. Der Referentenentwurf sieht unter anderem umfassende Regelungen zur Erforderlichkeitsprüfung sowie der Einwilligungserteilung im Arbeitsverhältnis vor. Darüber hinaus setzt sich der Entwurf ausführlich mit einer möglichen Zweckänderung sowie den zum Schutz der Beschäftigtendaten zu ergreifenden Maßnahmen auseinander. Daneben werden spezifische Themen wie das Fragerecht des Arbeitgebers, Gesundheitsuntersuchungen und die Mitarbeiterüberwachung behandelt. Wann und mit welchen Änderungen der Entwurf des Beschäftigtendatengesetzes verabschiedet wird, bleibt abzuwarten.
EuGH: Übermittlung von Adressdaten zu Marketingzwecken In seiner Entscheidung vom 4. Oktober 2024 hat der EuGH konkretisiert, unter welchen Voraussetzungen die Übermittlung von personenbezogenen Daten zu Marketingzwecken auf die Rechtsgrundlage der berechtigten Interessen i.S.v. Art. 6 Abs. 1 S. 1 lit. f) DSGVO gestützt werden kann (EuGH, Urt. v. 04.10.2024 - Az. C-621/22). In dem der Entscheidung zugrundeliegenden Fall hatte ein Sportverband die Daten seiner Mitglieder gegenüber zwei Sponsoren zur Versendung eines Werbebriefes und zur Durchführung von Telefonwerbemaßnahmen offengelegt und hierfür ein Entgelt erhalten. Aufgrund der Beschwerde eines Mitgliedes führte die niederländische Aufsichtsbehörde eine Untersuchung durch und verhängte ein Bußgeld i.H.v. 525.000 Euro, wogegen sich der Sportverband gerichtlich wehrte. Unstreitig ist, dass der Sportverband nicht über Einwilligungserklärungen der Mitglieder in die in Rede stehende Datenübermittlung verfügte. Der Sportverband war aber der Auffassung, dass die Datenübermittlung auf Art. 6 Abs. 1 S. 1 lit. f) DSGVO gestützt werden kann, während die Datenschutzbehörde dies verneinte. Das vorlegende Gericht wollte wissen, ob die Offenlegung von personenbezogenen Daten der Mitglieder eines Sportverbands aus wirtschaftlichen Interessen gegen Entgelt als im Sinne des Art. 6 Abs. 1 S. 1 lit. f) DSGVO zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich angesehen werden kann und ob die Regelung es verlangt, dass ein solches Interesse gesetzlich bestimmt wird. Der EuGH führt hierzu aus, dass eine Datenverarbeitung auf Grundlage von Art. 6 Abs. 1 S. 1 lit. f) DSGVO unter drei kumulativen Voraussetzungen rechtmäßig ist: Von dem Verantwortlichen oder einem Dritten muss ein berechtigtes Interesse wahrgenommen werden, die Verarbeitung muss zur Verwirklichung des berechtigten Interesses erforderlich sein und die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person dürfen nicht überwiegen. Das erforderliche berechtigte Interesse müsse nicht gesetzlich geregelt, sondern lediglich rechtmäßig sein. Der Aspekt der Erforderlichkeit setze voraus, dass es kein milderes, ebenso wirksames Mittel zur Verwirklichung des Interesses gebe. Hinsichtlich der letzten Voraussetzung sei eine Interessenabwägung im konkreten Einzelfall erforderlich. Der EuGH stellt sodann fest, dass ein wirtschaftliches Interesse, wie das des Sportverbands, vom Grundsatz her ein berechtigtes Interesse i.S.d. Art. 6 Abs. 1 S. 1 lit. f) DSGVO darstellen kann. Als milderes Mittel komme allerdings die Information der Mitglieder einschließlich der Abfrage, ob sie möchten, dass ihre Daten gegenüber Dritten zu Werbezwecken offengelegt werden, in Betracht. Im Rahmen der Interessenabwägung seien das Recht der Mitglieder auf Privatsphäre, die Erwartungen der Mitglieder hinsichtlich der Verarbeitung ihrer Daten sowie die aufgrund der Datenübermittlung zu erwartenden Konsequenzen von Relevanz. Insgesamt antwortete der EuGH auf die Vorlagefrage, dass eine Verarbeitung personenbezogener Daten, die darin besteht, personenbezogene Daten der Mitglieder eines Sportverbands in Verfolgung des wirtschaftlichen Interesses des Verantwortlichen gegen Entgelt offenzulegen, nur dann als erforderlich im Sinne der Vorschrift angesehen werden kann, wenn die Verarbeitung zur Verwirklichung des in Rede stehenden berechtigten Interesses absolut notwendig ist und sofern in Anbetracht aller relevanten Umstände die Interessen oder Grundrechte und Grundfreiheiten dieser Mitglieder gegenüber dem berechtigten Interesse nicht überwiegen. Demgegenüber sei nicht verlangt, dass ein solches Interesse gesetzlich bestimmt wird. Das geltend gemachte berechtigte Interesse müsse aber rechtmäßig sein.
BGH: Leitentscheidung zum Schadensersatz bei Datenschutzvorfällen Der Bundesgerichtshof (BGH) hat über Schadenersatzansprüche im Zusammenhang mit einem Datenschutzvorfall bei dem sozialen Netzwerk Facebook entschieden (vgl. die Pressemitteilung des BGH zum Urt. v. 18.11.2024 – VI ZR 10/24). In dem der Entscheidung zugrundeliegenden Fall wurden Anfang April 2021 Daten von ca. 553 Millionen Nutzerinnen und Nutzern Facebooks aus 106 Ländern im Internet veröffentlicht. Unbekannte hatten eine Funktion von Facebook, bei der Nutzerprofile mithilfe von Telefonnummern gefunden werden können, verwendet, um zufällig generierte Telefonnummern den jeweiligen Nutzerkonten zuzuordnen und die vorhandenen öffentlichen Nutzerdaten abzugreifen. Der Kläger des vorliegenden Verfahrens war von dem Vorfall betroffen und machte unter anderem Schadenersatz wegen des erlittenen Ärgers und des Kontrollverlusts über seine Daten geltend. Die Revision des Klägers war vor dem BGH nun teilweise erfolgreich. Der BGH verweist hinsichtlich des Anspruchs des Klägers auf Ersatz immateriellen Schadens auf die für die Auslegung des Art. 82 Abs. 1 DSGVO maßgebliche Rechtsprechung des Europäischen Gerichtshofs (EuGH), nach der auch der bloße und kurzzeitige Verlust der Kontrolle über eigene personenbezogene Daten infolge eines Verstoßes gegen die DSGVO ein immaterieller Schaden im Sinne der Norm sein kann. Insoweit müsse weder eine konkrete missbräuchliche Verwendung dieser Daten zum Nachteil des Betroffenen erfolgt sein noch bedürfe es sonstiger zusätzlicher spürbarer negativer Folgen. Erfolg hatte die Revision auch hinsichtlich der Anträge des Klägers auf Feststellung einer Ersatzpflicht für zukünftige Schäden, auf Unterlassung der Verwendung seiner Telefonnummer, soweit diese nicht von seiner Einwilligung gedeckt ist, und auf Ersatz seiner vorgerichtlichen Rechtsanwaltskosten. Hinsichtlich eines weiteren Unterlassungsantrags und eines Auskunftsantrags blieb die Revision ohne Erfolg. Im Umfang des Erfolges der Revision hat der BGH die Sache zur neuen Verhandlung und Entscheidung an das Berufungsgericht zurückverwiesen. Die Entscheidung ist bedeutsam für viele ähnlich gelagerte Klagen, die gerade in Deutschland anhängig sind und bei denen sich womöglich die Instanzgerichte an der Leitentscheidung des BGH orientieren werden. Es bleibt abzuwarten, ob es in der Folge zu einem Anstieg derartiger Schadenersatzklagen bei Datenschutzverstößen kommen wird. Dafür spricht zwar, dass der BGH in dem Urteil die Rechte von Betroffenen eines Datenschutzvorfalls dahingehend gestärkt hat, dass der bloße und kurzzeitige Verlust der Kontrolle über eigene personenbezogene Daten infolge eines Verstoßes gegen die DSGVO ein immaterieller Schaden sein und somit einen Schadenersatzanspruch begründen kann. Die Formulierung des BGH zeigt jedoch, dass ein Schadenersatzanspruch im Falle des Kontrollverlusts nicht per se besteht. Vielmehr „kann“ ein solcher vorliegen; hierfür müssen Anspruchsteller jedoch weiterhin nachweisen, dass sie Betroffene des Vorfalls sind und dass ihnen wegen eines Verstoßes gegen die DSGVO ein Schaden entstanden ist. Das Urteil ist damit kein „Freifahrtschein“ für die Geltendmachung von Schadenersatzansprüchen bei Datenschutzvorfällen. Zudem dürfte der Schadenersatz bei einem Kontrollverlust in der Regel nicht allzu hoch ausfallen – der BGH nennt in dem konkreten Fall eine Größenordnung von 100 Euro als Ausgleich für den bloßen Kontrollverlust. Weitere Informationen zu den Auswirkungen des Urteils und zu möglichen Maßnahmen in Unternehmen zum Schutz vor der Geltendmachung derartiger Schadenersatzansprüche und zur Verteidigung gegen diese finden Sie auch in unserem aktuellen Blogbeitrag.
BVerwG Österreich: Cookie-Banner ohne einfache Ablehnmöglichkeit verstößt gegen DSGVO Das Bundesverwaltungsgericht Österreich hat am 31. Juli 2024 entschieden, dass ein Cookie-Banner ohne einfache Ablehnmöglichkeit nicht datenschutzkonform ist (BVerwG Österreich, Urt. v. 31.07.2024 - Az. W108 2284491-1/15E). Ein Nutzer beschwerte sich bei der Datenschutzaufsichtsbehörde darüber, dass die Ablehnmöglichkeit innerhalb des Cookie-Banners auf der Webseite eines Medienunternehmens absichtlich versteckt sei. Man müsse mehrere Klicks tätigen, um die Cookiesetzung abzulehnen, während nur ein Klick benötigt werde, die Cookies zu akzeptieren. In der Folge wies die Datenschutzbehörde das Unternehmen an, den Nutzern eine gleichwertige Ablehnmöglichkeit anzubieten und den Cookie-Banner entsprechend anzupassen, woraufhin das Unternehmen sodann Beschwerde an das Bundesverwaltungsgericht erhob. Das BVerwG bestätigte in seiner Entscheidung, dass der Cookie-Banner eine der Zustimmungsoption gleichwertige und leicht zugängliche Ablehnungsoption enthalten muss und der Cookie-Banner des Medienunternehmens diesen Anforderungen nicht gerecht wurde. Maßstab für die Bewertung sei die Figur eines durchschnittlich informierten, aufmerksamen und verständigen Verbrauchers. Grundsätzlich müsse der Widerruf der Einwilligung nach Art. 7 Abs. 3 DSGVO so einfach wie die Erteilung der Einwilligung sein. Aus diesem Grundsatz ergebe sich zudem, dass auch die Nichtabgabe einer Einwilligung als Pendant zum Widerruf für den Betroffenen ebenso einfach wie die Abgabe sein müsse. In der Folge dürfe die Nichtabgabe der Einwilligung nicht mehr Klicks erfordern als die Abgabe der Einwilligung. Dies sei vorliegend jedoch gerade nicht der Fall gewesen. Eine sachliche Rechtfertigung für diese Ungleichbehandlung sei ebenfalls nicht vorgebracht worden. Des Weiteren führte das Gericht aus, dass auch eine unterschiedliche optische Gestaltung dazu führe, dass die Wahlmöglichkeiten nicht als gleichwertig anzusehen seien. Gleiches gelte für nachgelagerte Ablehnoptionen. Die Auffassung des BVerwG Österreich stimmt mit der Rechtsprechung in Deutschland überein und stellt die bei der Gestaltung eines Cookie-Banners zu beachtenden Anforderungen noch einmal heraus.
OLG Wien zum Auskunftsanspruch nach Art. 15 DSGVO Nach Auffassung des OLG Wien ist ein sehr umfangreiches Auskunftsverlangen i.S.v. Art. 15 DSGVO, welches in regelmäßigen Abständen wiederholt wird, nicht grundsätzlich rechtsmissbräuchlich (OLG Wien, Urt. v. 10.06.2024 - Az. 14 R 48/24t). Der Kläger verlangte von dem beklagten Anbieter von Online-Glückspielen in den Jahren 2021 und 2024 eine vollständige Aufstellung sämtlicher ihn betreffender Gewinne und Verluste, da er nach Schließung seines Spielerkontos keinen Zugriff mehr auf diese Daten hatte. Die Beklagte übermittelte auf seine Anfrage hin lediglich die Transaktionsdaten eines Tages, wogegen sich der Kläger gerichtlich wehrte. Das Gericht stellt zunächst fest, dass ein wiederholtes Auskunftsverlangen im Abstand von drei Jahren nicht als exzessiv anzusehen sei und eine Verweigerung der Auskunft nach Art. 12 Abs. 5 lit. b) DSGVO deshalb nicht in Betracht komme. Es sei zwar zu berücksichtigen, dass sich der Datenbestand zwischen der ersten und der zweiten Auskunftsanfrage nicht verändert habe. Dies rechtfertige es jedoch nicht, das Auskunftsersuchen als exzessiv anzusehen. Die Wiederholung der Anfrage scheine unter Berücksichtigung der gegebenen Umstände vielmehr als zeitlich angemessen. Darüber hinaus sei das Auskunftsverlangen auch nicht deshalb rechtsmissbräuchlich, weil der Kläger die Auskunft aufgrund eines angestrebten Gerichtsverfahrens, also eines anderen als in Erwägungsgrund 63 DSGVO genannten Zwecks, begehre. Zum einen schließe dieser Zweck nicht aus, dass der Kläger ebenso die Rechtmäßigkeit der Datenverarbeitung überprüfen wolle. Zum anderen habe der EuGH entschieden, dass die Auskunftsverpflichtung auch dann besteht, wenn ein anderer Zweck verfolgt wird. Dies folge schon daraus, dass der Antrag nicht begründet werden müsse. Sonstige Anhaltspunkte für einen Rechtsmissbrauch seien nicht erkennbar. Nach Auffassung des EuGH sei ein Rechtsmissbrauch nur dann gegeben, wenn der Antrag offenkundig unbegründet oder exzessiv ist, was vorliegend aber gerade nicht der Fall sei.
OLG Dresden zur Haftung für Auftragsverarbeiter In seinem Urteil vom 15. Oktober 2024 hat sich das OLG Dresden mit der Frage auseinandergesetzt, ob ein Verantwortlicher für datenschutzrechtliche Verstöße eines von ihm eingesetzten Auftragsverarbeiters haftbar ist (OLG Dresden, Urt. v. 15.10.2024 - Az. 4 U 940/24; abrufbar unter https://www.justiz.sachsen.de/esamosplus/pages/index.aspx). Der Kläger verlangte von dem beklagten Unternehmen Schadensersatz infolge eines Hacker-Angriffs auf Kundendaten der Beklagten. Er machte geltend, dass die Daten aufgrund nicht ausreichender technischer und organisatorischer Maßnahmen bei der Beklagten oder deren Auftragsverarbeiter abhandengekommen seien. Bei ausreichendem Schutzniveau und einer ordnungsgemäßen Überwachung des Dienstleisters hätte der Datenverlust aus seiner Sicht verhindert werden können. Außerdem sei die Beklagte ihren Meldepflichten nicht rechtzeitig nachgekommen. Das Gericht führte zunächst aus, dass ein Verantwortlicher nach Art. 82 DSGVO für das Handeln seiner Auftragsverarbeiter haftet, wenn diesen erst durch die übertragene Tätigkeit die Gelegenheit gegeben wurde, auf die Rechtsgüter des Betroffenen einzuwirken. Außerdem hafte der Verantwortliche zum einen für Schäden, die durch die Befolgung seiner Weisungen entstanden sind, sowie zum anderen dann, wenn der Auftragsverarbeiter rechtmäßige Weisungen missachtet. Weiter stellte das Gericht fest, dass der Verantwortliche nach Art. 28, 32 DSGVO verpflichtet ist, die von ihm eingesetzten Auftragsverarbeiter sorgfältig zu überwachen, und dass die Beklagte dieser Pflicht nicht nachgekommen ist. Die Kontrollpflicht umfasse auch die Überprüfung der ordnungsgemäßen Datenlöschung nach Auslaufen der Zusammenarbeit. Wähle ein Verantwortlicher einen als zuverlässig bekannten IT-Dienstleister, dürfe er zwar grundsätzlich auf dessen Fachwissen und Zuverlässigkeit vertrauen. Gesteigerte Anforderungen ergäben sich allerdings bei großen Datenmengen oder der Verarbeitung sensibler Daten. Liege ein solcher Fall vor, müsse der Verantwortliche nach Vertragsbeendigung überprüfen, ob der Auftragsverarbeiter die Daten tatsächlich gelöscht hat und sich zeitnah eine aussagekräftige hierüber ausstellen lassen, was die Beklagte im vorliegenden Fall versäumt habe. Weitergehend könne eine Kausalität zwischen der Kontrollpflichtverletzung und dem späteren Datenverlust infolge des Hacker-Angriffs nicht verneint werden. Das versehentliche Nichtlöschen der Daten, dass durch die mangelnde Kontrolltätigkeit erleichtert wurde, begründe auch keinen Auftragsverarbeiterexzess i.S.v. Art. 82 Abs.3 DSGVO durch den sich der Beklagte entlasten könnte. Angesichts des bereits vorliegenden Verstoßes komme es nicht darauf an, ob ausreichende technische und organisatorische Maßnahmen ergriffen worden seien. Offenbleiben könne ebenso, ob die Beklagte ihren Meldepflichten nachgekommen sei. Trotz der festgestellten Pflichtenverletzung verneinte das Gericht den Anspruch auf Schadensersatz letztlich mangels eines kausalen Schadens. Einen solchen habe der Kläger nicht nachgewiesen.
LG Koblenz: Löschung von negativen SCHUFA-Einträgen nach 3 Jahren Das LG Koblenz hat am 22. Oktober 2024 entschieden, dass die SCHUFA Negativeinträge für einen Zeitraum von mindestens drei Jahren speichern darf (LG Koblenz, Urt. v. 22.10.2024 - Az. 9 O 118/24; BeckRS 2024, 29186). Der Kläger verlangte von der SCHUFA (Beklagte) Löschung der bei ihr gespeicherten Informationen über eine Zahlungsstörung, Berichtigung des Score-Werts sowie Unterlassung der erneuten Speicherung dieses Eintrags. Der Eintrag betraf eine Forderung aus einem Kreditverhältnis, die der Kläger erst nach Einleitung eines Mahnverfahrens und Ergehen eines Vollstreckungsbescheides beglich. Er war der Auffassung, dass ihm ein Löschanspruch aus Art. 17 Abs. 1 DSGVO, ein Unterlassungsanspruch aus § 1004 Abs. 1 S. 2 BGB sowie ein Berichtigungsanspruch aus Art. 16 DSGVO zustehe. Der Kläger trug vor, dass er durch den Eintrag gehindert sei, seine wirtschaftlichen Verhältnisse zu verbessern und infolge seines Score-Wertes keinen Kredit erhalte. Er sorge sich wegen einer Rufschädigung und werde aufgrund seines Score-Wertes diskriminiert. Die Beklagte führte hingegen aus, dass das Risiko erneuter Zahlungsstörungen für einen Zeitraum von drei Jahren nach Erledigung der Zahlungsstörung erheblich erhöht sei und die wirtschaftlichen Folgen für den Kläger nicht auf seinen Score-Wert zurückzuführen seien. Das Gericht stellte fest, dass dem Kläger kein Löschanspruch nach Art. 17 DSGVO zusteht. Zwar seien die Informationen über die Zahlungsstörung personenbezogen. Ihre Verarbeitung könne aber auf Art. 6 Abs. 1 lit. f) DSGVO gestützt werden und sei insoweit rechtmäßig. Bei Daten zu einem Vollstreckungstitel handele es sich um Informationen von besonderer Bedeutung für Vertragspartner und das Kreditsicherungssystem, da sie Rückschlüsse auf die frühere Zahlungsfähigkeit und Zahlungswilligkeit des Schuldners geben. Insoweit sei die Speicherung auch erforderlich gewesen. Die Unrechtmäßigkeit der Verarbeitung folge auch nicht aus einer überlangen Speicherdauer. Die vorgesehene Speicherdauer entspreche dem von der zuständigen Datenschutzbehörde NRW genehmigtem „Code of Conduct“. Dieser lege eine dreijährige Löschfrist nach Ausgleich der Forderung fest. Im Übrigen habe der Kläger nicht konkret vorgetragen, inwieweit ihm durch die Eintragung und seinen Score-Wert tatsächlich Nachteile entstanden sind und der Score des Klägers sich auf seine psychische Gesundheit ausgewirkt hat. Der Antrag auf Berichtigung des Score-Wertes sei insoweit auch unbegründet, da die angegriffenen Daten rechtmäßig gespeichert wurden. Aus gleichem Grund scheide auch ein Unterlassungsanspruch aus.
LG Wiesbaden: Kein Anspruch auf Korrektur eines Score-Wertes Bei den sog. Score-Werten handelt es sich nach Auffassung des LG Wiesbaden nicht um falsche oder richtige personenbezogenen Daten, sondern um eine Meinungsäußerung, sodass ein Berichtigungsanspruch nach Art. 16 DSGVO insoweit ausscheidet (LG Wiesbaden, Beschl. v. 15.08.2024 - Az. 14 O 118/24). Die Antragstellerin verlangte von der SCHUFA (Antragsgegnerin) Anpassung ihres Score-Wertes, da dieser aus ihrer Sicht falsch berechnet worden sei. Sie trug vor, dass der Wert auf Zahlungsstörungen beruhen müsse, die bereits gelöscht worden seien. Die Antragsgegnerin erwiderte, dass Score-Werte taggenau berechnet würden und gelöschte Zahlungsstörungen generell nicht berücksichtigt würden. Das Gericht führte aus, dass ein Anspruch nach Art. 16 DSGVO nur in Betracht komme, wenn hierdurch unrichtige personenbezogene Daten berichtigt werden. Bei Score-Werten handele es sich nicht um richtige oder falsche personenbezogene Daten, sondern um Meinungsäußerungen. Die Antragstellerin verlange insoweit die Abgabe einer den Vorstellungen der Antragstellerin entsprechenden Meinungsäußerung. Hierfür gebe es keine Rechtsgrundlage.
SDTB: Verbesserung des Datenschutzes nach Überprüfungsaktion Die sächsische Datenschutz- und Transparenzbeauftragte (SDTB) hat im Mai eine umfassende Untersuchung der Webseiten von etwa 30.000 Unternehmen durchgeführt (wir berichteten im Juli 2024). Im Rahmen ihrer Überprüfung stellte die SDTB fest, dass der Dienst Google Analytics bei 2.300 der 30.000 Internetauftritten nicht ordnungsgemäß eingebunden war. Inzwischen haben 1.500 Webseiten-Betreiber beim Datenschutz auf ihren Internetseiten nachgebessert (Mitteilung v. 27.10.2024). Die SDTB erhielt im Nachgang der Prüfungsaktion 300 schriftliche Rückmeldungen und 250 Anrufe. In den in diesem Zuge geführten Gesprächen, stellte sich insbesondere auch heraus, dass vielen Unternehmen nicht bewusst war, dass ihre Cookie-Banner technisch nicht ordnungsgemäß funktionieren. Weiterer Schwerpunkt der Anfragen waren auch die Einbindung von Zahlungsdienstleistern sowie die Einbettung von Videos aus sozialen Netzwerken. SDTB Dr. Juliane Hundert äußerte sich wie folgt zu der Überprüfungsaktion: „Bei der Nutzung des Internets nicht ungefragt getrackt zu werden, ist vielen Bürgerinnen und Bürgern wichtig. Durch die automatisierten Webseiten-Scans meiner Behörde konnte nicht nur eine Vielzahl an Datenschutzverstößen ermittelt, sondern inzwischen auch zum überwiegenden Teil beseitigt werden. Auf zwei Dritteln der identifizierten Websites wird nunmehr auf den Einsatz von Google Analytics zur Nachverfolgung des Nutzerverhaltens verzichtet, oder es wird vorher um eine eindeutige Einwilligung gebeten. Die Kontrolle bewirkte zudem, dass Verantwortliche auch bei anderen Diensten das Datenschutzniveau verbesserten. Dadurch sank beispielsweise die Anzahl der Cookies auf den geprüften Websites um die Hälfte. Für den Datenschutz im Internet ist das eine gute Nachricht. Weitere automatisierte Website-Prüfungen sind bereits in Planung.“ Unternehmen, die Tracking-Dienste wie Google Analytics trotz der Aufforderung der SDTB weiterhin nicht datenschutzkonform einbinden, müssen nach Angaben der Datenschutzbeauftragten nun mit Sanktionen rechnen.
EDSA: Bericht zum EU-US Data Privacy Framework Am 4. November 2024 hat der Europäische Datenschutzausschuss (EDSA) seinen Bericht über die erste Überprüfung des EU-US-Data Privacy Framework veröffentlicht (Mitteilung v. 05.11.2024). Der EDSA begrüßt die Bemühungen zur Umsetzung des Datenschutzrahmens und nimmt verschiedene Entwicklungen positiv zur Kenntnis. Unter anderem stellt er fest, dass das amerikanische Handelsministerium alle relevanten Schritte zur Umsetzung des Zertifizierungsprozesses ergriffen hat und ein Rechtsbehelfsmechanismus für EU-Bürger mit leicht zugänglichen Beschwerdemöglichkeiten eingeführt sowie umfassende Leitlinien zur Bearbeitung von Beschwerden veröffentlich wurden. Insoweit sei aber zu beachten, dass bislang nur in geringem Umfang von den Beschwerdemöglichkeiten Gebrauch gemacht wurde und es deshalb wichtig sei, die Einhaltung der Vorgaben des Datenschutzabkommens durch die zertifizierten Unternehmen von Seiten der amerikanischen Behörden proaktiv zu kontrollieren. Darüber hinaus würde der EDSA die Ausarbeitung von Leitlinien, aus denen sich ergibt, welchen Anforderungen zertifizierte Unternehmen konkret nachkommen müssen, wenn sie Daten von EU-Exporteuren an andere Drittstaaten weitergeben, begrüßen. Zugleich weist er darauf hin, dass zusätzlich Leitlinien zum Umgang mit Personaldaten erarbeitet werden sollten. Hinsichtlich des Zugriffs von US-Behörden auf aus der EU stammende Daten geht der EDSA auf die Umsetzung der zum Schutz der Daten eingeführten Garantien sowie neue Entwicklungen zum Datenzugriff für Zwecke der nationalen Sicherheit ein. Dabei stellt er zunächst fest, dass die Umsetzung der Grundsätze der Notwendigkeit und Verhältnismäßigkeit von Zugriffen nicht vollständig überprüft werden kann und unterstreicht die Notwendigkeit einer sorgfältigen Überwachung. Darüber hinaus geht der EDSA in seinem Bericht darauf ein, dass die Elemente des Rechtsbehelfsmechanismus bereits vorhanden sind und erhebliche Verbesserungen hinsichtlich der Befugnisse des Gerichts zur Überprüfung der datenschutzrechtlichen Vorgaben erzielt werden konnten. Gleichzeitig fordert der Ausschuss die Europäische Kommission auf, das praktische Funktionieren der Schutzmaßnahmen zu überwachen. Der stellvertretende Vorsitzende des EDSA, Zdravko Vukic, äußerte: „Wir freuen uns, dass seit der Annahme des Angemessenheitsbeschlusses dank der fruchtbaren Zusammenarbeit zwischen den US-Behörden, der EU-Kommission und dem EDSA Fortschritte erzielt worden sind. Gleichzeitig gibt es immer noch Raum für Verbesserungen, und wir sollten weiter zusammenarbeiten, um ein hohes Datenschutzniveau aufrechtzuerhalten und die Rechte und Freiheiten der Menschen in der EU zu schützen.“ Die nächste Überprüfung des Abkommens und des Angemessenheitsbeschlusses soll innerhalb der nächsten vier Jahre erfolgen.
EDSB: Factsheet zum Schutz vor Ransomware Als Teil des „European Cybersecurity Month“, einer europaweiten Informationskampagne zum Thema Cyber-Sicherheit, hat der Europäische Datenschutzbeauftragte (EDSB) am 18. Oktober 2024 ein Informationsblatt zum Thema „Ransomware“ veröffentlicht. Das Informationsblatt stellt zunächst den typischen Ablauf eines Ransomware-Angriffs dar. Das PC-System wird durch das versehentliche Herunterladen einer Schadsoftware oder die Ausnutzung von Schwachstellen des IT-Systems mit dem Ziel kompromittiert, die Dateien oder Systeme des Unternehmens zu verschlüsseln und anschließend Lösegeld für die Entschlüsselung oder Nichtveröffentlichung der Daten zu verlangen. Anschließend geht der EDSB darauf ein, wie man sich vor Ransoware-Angriffen schützen kann und was zu tun ist, wenn man Opfer eines entsprechenden Angriffs geworden ist. Zur Absicherung sei es zunächst wichtig, seine Systeme, Anwendungen und die eingesetzte Anti-Viren-Software aktuell zu halten, keine verdächtigen Links oder E-Mail-Anhänge zu öffnen oder unbekannte Software zu installieren und regelmäßige Backups durchzuführen. Im Falle eines Angriffs sollte der Vorfall den zuständigen Behörden gemeldet und das Lösegeld nicht gezahlt werden. Darüber hinaus sollten Beweise für den Vorfall aufbewahrt und Kennwörter umgehend geändert werden.
Irland: Bußgeld i.H.v. 310 Millionen Euro gegen LinkedIn verhängt Die irische Datenschutzaufsichtsbehörde (DPC) hat am 22. Oktober 2024 ein Bußgeld in Höhe von 310 Millionen Euro gegen die LinkedIn Ireland Unlimited Company verhängt (Mitteilung der DPC v. 24.10.2024). Inhaltlich ging es um die Verarbeitung der personenbezogenen Daten von LinkedIn-Nutzern zum Zwecke der Verhaltensanalyse und der gezielten Werbung sowie die Rechtmäßigkeit, Fairness und Transparenz dieser Prozesse. Neben der Verhängung der Geldbuße und einer Verwarnung wurde das Unternehmen angewiesen, seine Verarbeitungsprozesse an die datenschutzrechtlichen Vorgaben anzupassen. Die Untersuchung wurde von der DPC als federführende Aufsichtsbehörde eingeleitet und durchgeführt, nachdem eine Beschwerde bei der französischen Datenschutzbehörde eingegangen war. Nach Abstimmung mit den anderen betroffenen Aufsichtsbehörden stellte die DPC nunmehr fest, dass es an einer Rechtsgrundlage für die in Rede stehenden Datenverarbeitungsprozesse fehlte, da die insoweit eingeholten Nutzereinwilligungen nicht den Wirksamkeitsanforderungen der DSGVO entsprachen. Die Einwilligungen seien weder eindeutig gewesen noch freiwillig und hinreichend informiert erteilt worden. Die berechtigten Interessen des Unternehmens an der Datenverarbeitung kämen als Rechtsgrundlage nicht in Betracht, da die Interessen und Grundrechte der Nutzer stärker zu gewichten seien. Zudem habe man sich nicht rechtsgültig auf die Vertragserfüllung berufen, um die Nutzerdaten zu verarbeiten. Zudem liege ein Verstoß gegen die Informationspflichten der Art. 13 und 14 DSGVO sowie den Grundsatz der Fairness aus Art. 5 Abs. 1 lit. a) DSGVO vor. LinkedIn habe den Nutzern keine ausreichenden Informationen über die verschiedenen Rechtsgrundlagen zukommen lassen. Graham Doyle, stellvertretender Datenschutzbeauftragter, äußerte sich wie folgt zu der Entscheidung: „Die Rechtmäßigkeit der Verarbeitung ist ein grundlegender Aspekt des Datenschutzrechts und die Verarbeitung personenbezogener Daten ohne angemessene Rechtsgrundlage ist ein klarer und schwerwiegender Verstoß gegen das Grundrecht der betroffenen Personen auf Datenschutz.“
In eigener Sache: Vorstellung von Marc-Levin Joppek |
Seit Juni 2024 unterstützt Herr Marc-Levin Joppek das BRANDI-Team in Bielefeld als Wissenschaftlicher Mitarbeiter. Herr Joppek studierte an der Universität Bielefeld und hat im Mai 2023 sein erstes Staatsexamen erfolgreich abgeschlossen. Er belegte das Schwerpunktstudium „Unternehmens- und Wirtschaftsrecht“. Zusätzlich ist Herr Joppek als Wissenschaftlicher Mitarbeiter an der Universität Bielefeld tätig und arbeitet dort an einem Projekt mit datenschutzrechtlichem Bezug. Herr Joppek verstärkt das Dezernat IT & Datenschutz in Bielefeld insbesondere bei der Durchführung von Datenschutzaudits. |
Wenn Sie den Newsletter nicht mehr erhalten möchten, klicken Sie bitte hier Sie können sich hier für den Newsletter anmelden. BRANDI Rechtsanwälte Partnerschaft mbB BRANDI Rechtsanwälte ist eine Partnerschaft mit beschränkter Berufshaftung. |