Datenschutz-Update (04/2024)
|
I. Neues aus den Datenschutzbehörden und Aktuelles
|
1. EDPB: Beginn der koordinierten Aktion zum Auskunftsrecht
Der Europäische Datenschutzausschuss (European Data Protection Board, EDPB) hat das Auskunftsrecht nach Art. 15 DSGVO als Schwerpunkt der dritten koordinierten Aktion der Datenschutzbehörden ausgewählt (wir berichteten in der vorherigen Ausgabe dieses Newsletters).
Die koordinierte Aktion hat nun begonnen und soll dabei helfen, zu beurteilen, wie das Auskunftsrecht in der Praxis umgesetzt wird und inwieweit Anpassungs- oder Klarstellungsbedarf in den Leitlinien des EDPB zu diesem Thema besteht. Hierzu teilt die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) in einer Pressemitteilung vom 28. Februar 2024 mit, dass in Deutschland die Landesdatenschutzaufsichtsbehörden aus Bayern (Bayerisches Landesamt für Datenschutzaufsicht (BayLDA)), Brandenburg, Mecklenburg-Vorpommern, Niedersachsen, Rheinland-Pfalz, Saarland und Schleswig-Holstein sowie der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) teilnehmen.
Die Ergebnisse der koordinierten Aktion aus dem vergangenen Jahr 2023 zum Thema Datenschutzbeauftragte hat der EDPB ebenfalls veröffentlicht. Das BayLDA gibt hierzu eine Zusammenfassung und nimmt Stellung.
|
2. EDPB: Website Auditing Tool
Der EDPB hat im Januar dieses Jahres ein Tool zur Überprüfung von Webseiten eingeführt, das sowohl Datenschutzbehörden als auch Verantwortliche und Auftragsverarbeiter bei der Prüfung der Gesetzeskonformität unterstützen soll. Das Tool basiert auf einer Open Source Software und erfordere kein technisches Fachwissen. Weitere Informationen finden Sie hier.
Zu dem Thema passt auch eine Pressemitteilung des BayLDA vom 9. Februar 2024: Das BayLDA hatte über 350 Webseiten und 15 Apps von Betreibern mit Sitz in Bayern auf die rechtskonforme Einbindung der datenschutzrechtlichen Einwilligung untersucht. Eine Vielzahl der Angebote erfüllten die rechtlichen Voraussetzungen dem BayLDA zufolge nicht. Hierbei ging es insb. um die Möglichkeit des Ablehnens von Cookies.
|
3. DSK: Neue Orientierungshilfe
Die DSK hat eine neue „Orientierungshilfe zur Einholung von Selbstauskünften bei Mietinteressent:innen“ zur Verfügung gestellt. Diese beschäftigt sich mit den personenbezogenen Daten, auf deren Basis in der Regel über den Abschluss eines Mietvertrags entschieden wird, und den verschiedenen Zeitpunkten der Erhebung vom Besichtigungstermin bis zum Vertragsschluss. Die DSK stellt in ihrer Orientierungshilfe einen Muster-Fragebogen für die Mieterselbstauskunft bereit.
|
4. EU-Parlament: Grünes Licht für KI-Verordnung
Nachdem das Parlament und der Rat der Europäischen Union (EU) im Dezember des vorherigen Jahres bekannt gaben, eine politische Einigung zur Verordnung über Künstliche Intelligenz (KI) erzielt zu haben (wir berichteten in unserem „Update Datenschutz“ aus Januar 2024), hat das Parlament die Verordnung nun im März 2024 verabschiedet. Laut der Pressemitteilung vom 13. März 2024 wurde die KI-Verordnung von den Abgeordneten mit 523 Ja-Stimmen, 46 Nein-Stimmen und 49 Enthaltungen gebilligt und soll noch während der laufenden Legislaturperiode endgültig verabschiedet werden, wozu u.a. die förmliche Annahme durch den Rat erfolgen muss. Wir geben hier einen Ausblick auf die KI-Verordnung: Looking ahead to the EU AI Act (cms.law).
Die ersten deutschen Datenschutzbehörden haben sich bereits zum aktuellen Stand der KI-Verordnung geäußert. So begrüßte der BfDI die Verordnung als Ergänzung zur DSGVO und betonte den Bezug insb. von Hochrisiko-KI-Systemen zum Datenschutz. Zugleich kritisierte der BfDI das Fehlen eines ausdrücklichen Verbots biometrischer Fernerkennung im öffentlichen Raum und fordert die Bundesregierung auf, von den entsprechenden Öffnungsklauseln für strengere Verbote Gebrauch zu machen. Auch in seinem Tätigkeitsbericht für das Jahr 2023 nimmt der BfDI auf S. 20f. Stellung zur KI-Verordnung. Die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW) weist auf die Schwierigkeiten hin, die sich bei der Feststellung ergeben, ob KI-Systeme personenbezogene Daten verwenden, und fordert eine sorgfältige Prüfung von KI-Anwendungen sowohl nach der KI-Verordnung als auch nach der DSGVO.
|
5. BayLDA: Checkliste KI und DSGVO
Das BayLDA hat mit Stand 24. Januar 2024 eine Checkliste zum Thema KI und Datenschutz veröffentlicht, die eine (nicht abschließende) Hilfestellung bei der datenschutzkonformen Entwicklung und beim Einsatz von KI geben soll („Datenschutzkonforme KI – Checkliste mit Prüfkriterien nach DSGVO“). Den Schwerpunkt legt das BayLDA hierbei auf das Training von KI-Modellen und die Risikobewertung vor dem Hintergrund der DSGVO. Mehr zum Thema KI und DSGVO erfahren Sie auch hier in unserer CMS Blog-Serie KI: KI-Nutzung und datenschutzrechtliche Verantwortlichkeit (cmshs-bloggt.de).
|
6. EU-Parlament: eIDAS-Verordnung gebilligt
Mit dem EU Digital Identity Wallet sollen unionsweit sichere digitale Identitätsnachweise möglich sein. Die rechtliche Grundlage hierfür soll die Überarbeitung der eIDAS-Verordnung bieten. Mit Pressemitteilung vom 29. Februar 2024 hat das Europäische Parlament bekannt gegeben, der Verordnung mit 335 zu 190 Stimmen bei 31 Enthaltungen formell zugestimmt zu haben. In einem nächsten Schritt muss noch der EU-Ministerrat grünes Licht geben. In seinem Tätigkeitsbericht für das Jahr 2023 äußert sich der BfDI, der die Bundesregierung bei der Planung des deutschen EU-Wallets berät, auf S. 33f. zur eIDAS-Verordnung und empfiehlt insb. eine an dem Grundsatz der Datenminimierung orientierte Gestaltung.
|
7. EU-Kommission: Bewertung bestehender Angemessenheitsbeschlüsse für Nicht-EU-Länder
Die EU-Kommission überprüft derzeit die Angemessenheitsbeschlüsse gemäß Art. 45 DSGVO für internationale Datentransfers bzgl. elf Ländern und hat hierzu einen ersten Bericht vorgelegt. Eine solche Überprüfung sah schon die Datenschutz-Richtlinie vor. Die Initiative dient der Prüfung, ob die Länder, für die ein Angemessenheitsbeschluss besteht, die Anforderungen weiterhin erfüllen. In diesem ersten Bericht kommt die Kommission zu dem Ergebnis, dass in den Ländern Andorra, Argentinien, Kanada (für kommerzielle Betreiber), Färöer Inseln, Guernsey, Insel Man, Israel, Jersey, Neuseeland, Schweiz und Uruguay weiterhin ein adäquates Datenschutzniveau bestehe.
|
8. LfDI Baden-Württemberg: Handreichung zu Übermittlungen personenbezogener Daten an Drittländer oder an internationale Organisationen
Zum Thema Drittstaatentransfers und Transferinstrumente stellt der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg (LfDI Baden-Württemberg) eine Handreichung für Verantwortliche und Betroffene mit Stand Februar 2024 bereit („Drittstaatentransfer unter der DSGVO – Eine Handreichung zu Kapitel V der DSGVO“). Anlass hierfür ist der Angemessenheitsbeschluss der EU-Kommission für die USA aus dem Juli des vergangenen Jahres, der einen Transfer personenbezogener Daten an selbstzertifizierte US-Unternehmen und -Organisationen erlauben soll (wir berichteten u.a. in unserem Blog). Die Handreichung soll die Transferinstrumente darstellen und als erster Einstieg dienen (vgl. hierzu: Podcast Datenfreiheit, Folge 36 des LfDI Baden-Württemberg).
|
9. BayLfD: Kurz-Information zur Identifizierbarkeit einer natürlichen Person
Der Bayerische Landesbeauftragte für den Datenschutz (BayLfD) veröffentlichte im Januar dieses Jahres eine Kurz-Information zum Thema der Identifizierbarkeit einer natürlichen Person („Aktuelle Kurz-Information 53: Wann ist eine natürliche Person identifizierbar?“). Hierbei handelt es sich um eine der maßgeblichen Fragen des Datenschutzrechts, weil hiervon der Personenbezug eines Datums abhängt. So definiert Art. 4 Nr. 1 DSGVO „personenbezogene Daten“ als „alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen“. Als identifizierbar wird eine natürliche Person der Vorschrift zufolge dann angesehen, wenn deren Identität direkt oder indirekt identifiziert werden kann. Hierbei kommen insbesondere Namen, Kennnummern, Standortdaten, Online-Kennung oder zu besondere Merkmale, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität einer natürlichen Person sind, als Mittel der Identifikation in Frage. Der BayLfD gibt hierzu einen Überblick über die aktuelle Rechtsprechung des Europäischen Gerichtshofs (EuGH).
|
10. BfDI, Baden-Württemberg und Bayern: Tätigkeitsberichte 2023
Am 2. Februar 2024 hat der LfDI Baden-Württemberg seinen Tätigkeitsbericht „Zukunft mit Datenschutz gestalten“ für das Jahr 2023 vorgelegt. In diesem benennt der LfDI u.a. die Digital-Regulierung mit dem Digital Services Act (DSA) und dem Digital Markets Act (DMA) sowie den Datenschutz im Zusammenhang mit KI als eines der Schwerpunktthemen des Jahres. Zudem gibt der LfDI einen Ausblick auf geplante Maßnahmen in diesem Jahr: u.a. sollen digitale Anwendungen auf irreführende Designs sowie der Einsatz von KI im Arbeitsverhältnis geprüft werden. Eine Zusammenfassung des Berichts gibt der LfDI in einer Pressemitteilung.
Daneben hat der BayLDA hat seinen Tätigkeitsbericht 2023 vorlegt und blickt zurück auf Themen wie den Angemessenheitsbeschluss für die USA sowie ebenfalls auf das Topthema KI. Eine Zusammenfassung des Tätigkeitsberichts gibt der BayLDA in einem Podcast und in einer Pressemitteilung vom 28. Februar 2024.
Am 20. März 2024 hat zudem der BfDI seinen Tätigkeitsbericht für das Jahr 2023 vorgestellt und identifiziert KI genauso als eines der Top-Themen neben u.a. der Digitalisierung des Gesundheitswesens mit dem Gesundheitsdatennutzungsgesetz und dem Europäischen Gesundheitsdatenraum. In dem 180-seitigen Dokument gibt der BfDI zahlreiche Einordnungen der wichtigsten datenschutzrechtlichen Themen und fordert den Gesetzgeber an einigen Stellen zum Handeln auf.
|
1. Frankreich: Bußgeld in Höhe von EUR 32 Mio. wegen Nichteinhaltung der allgemeinen Grundsätze der Datenverarbeitung
Das begonnene Jahr 2024 ist erst wenige Monate alt und doch wurden bereits wieder viele Bußgelder nach der DSGVO verhangen. So hat beispielsweise die Datenschutzbehörde aus Frankreich ein Bußgeld in Höhe von EUR 32 Mio. nach der DSGVO gegen die Logistiksparte eines Online-Versandhandels wegen unrechtmäßiger Überwachung von Mitarbeitenden verhängt. Diese wurden mit Scannern ausgestattet, die u.a. Informationen über die Produktivität lieferten und die Informationen 31 Tage lang speicherten. Die Datenschutzbehörde stufte dieses Vorgehen als unverhältnismäßig ein und rügte in diesem Zusammenhang zudem die Nichterfüllung von Informations- und Transparenzpflichten.
Damit ordnet die französische Datenschutzbehörde ein solches Vorgehen ähnlich ein wie die Datenschutzbehörde in Niedersachen (Landesbeauftragte für den Datenschutz (LfD Niedersachsen)), die das vergleichbare Vorgehen in einem deutschen Logistikzentrum untersagte. Dem widersprach allerdings das Verwaltungsgericht (VG) Hannover mit Urteil vom 9. Februar 2023 (10 A 6199/20) und hob den Bescheid der niedersächsischen Datenschutzbehörde wieder auf. Das VG subsumierte mangels eines Beschäftigtendatenschutzgesetzes unter § 26 BDSG und kam zu dem Ergebnis, dass die Datenverarbeitung für die Zwecke Steuerung der Logistikprozesse sowie der Qualifizierung und für die Schaffung von Bewertungsgrundlagen für individuelles Feedback und für Personalentscheidungen erforderlich sei.
|
2. Italien: Bußgeld in Höhe von EUR 2,8 Mio. wegen unzureichender TOM
Zudem hat die italienische Datenschutzbehörde ein Bußgeld in Höhe von EUR 2,8 Mio. gegen eine Bank ausgesprochen, die einen Cyberangriff auf ihr Mobile-Banking-Portal erlebte. Hierbei war es zu Abflüssen von personenbezogenen Daten wie Name, Sozialversicherungsnummer und Identifikationscodes Tausender ehemaliger und aktiver Kunden gekommen. Zudem gelang es den Angreifern, die PIN für den Zugriff auf das Portal von fast 7.000 Kunden zu ermitteln. Die Datenschutzbehörde stellte fest, dass keine geeigneten technischen und organisatorischen Maßnahmen (TOM) ergriffen worden waren, um einem Cyberangriff entgegenzuwirken.
|
3. Niederlande: Bußgeld in Höhe von EUR 150.000 wegen unzureichender TOM
In den Niederlanden hat die Datenschutzbehörde ein Bußgeld in Höhe von EUR 150.000 gegen einen Herausgeber von Kreditkarten wegen unzureichender TOM ausgesprochen, weil das Unternehmen es versäumt habe, vor dem Start einer digitalen Kundenidentifizierung eine Datenschutz-Folgeabschätzung durchzuführen.
|
4. Belgien: Bußgeld in Höhe von EUR 174.640 wegen unzureichend erfüllter Informationspflichten
Die belgische Datenschutzbehörde hat ein Bußgeld in Höhe von EUR 174.640 gegen einen Software-Entwickler verhängt. Dem Bußgeld ging die Beschwerde eines Betroffenen voraus, dessen Auskunftsersuchen nicht ordnungsgemäß erfüllt wurde. Bei einer darauffolgenden Untersuchung stellte die Datenschutzbehörde u.a. weitere Verstöße gegen Informationspflichten und eine nicht erforderlicher Speicherdauer fest.
|
III. Aktuelle Gerichtsentscheidungen
|
1. EuGH: Zum Real Time Bidding
Besondere Relevanz für Werbung und Datenschutz hat das Urteil des EuGH vom 7. März 2024 in der Rechtssache C-604/22 zur Versteigerung von personenbezogenen Daten für Werbezwecke. Hier hatte der EuGH bzgl. des sog. Real Time Bidding zu entscheiden. Beim Real Time Bidding geben Werbeunternehmen, Datenbroker und Werbeplattformen in Echtzeit anonyme Gebote für einen Werbeplatz ab, wenn ein Nutzer eine Webseite o.ä. aufruft, um dort auf das Profil des Nutzers abgestimmte Werbung anzeigen zu können. Dies setzt allerdings die Einwilligung des Nutzers voraus und der Nutzer kann diesem Vorgehen widersprechen. In dem Verfahren legte der belgische Appellationshof mit Sitz in Brüssel dem EuGH Fragen zur Vorabentscheidung vor, da sich ein Verband, der eine technische Lösung zur Verfügung stellte, bei der die Präferenzen des Nutzers in einem sog. TC-String hinterlegt werden, gegen den Bescheid der belgischen Datenschutzbehörde wehrte, die diesen String als personenbezogenes Datum einstufte und dem Verband Maßnahmen auferlegte.
Der EuGH bestätigt die Rechtsauffassung der belgischen Datenschutzbehörde und stuft den TC-String ebenfalls als personenbezogenes Datum ein, da dieser Informationen über den Nutzer enthalte, der über die IP-Adresse identifizierbar sei. Der Verband sei zudem gemeinsamer Verantwortlicher im Sinne der DSGVO für die Datenverarbeitung, soweit dieser Einfluss auf die Festlegung der Zwecke und Modalitäten der Weiterverarbeitungen ausgeübt habe. Letzteres sei durch die nationalen Gerichte festzustellen.
|
2. EuGH: Schadensersatzanspruch nach der Europol-Verordnung
Der EuGH hat mit einem Urteil vom 5. März 2024 (C-755/21 P) einen Schadensersatz wegen unrechtmäßiger Datenweitergabe nach der Europol-Verordnung bejaht nachdem es im Zuge von Ermittlungen slowakischer Behörden und Europol zu einer Übermittlung von intimen Kommunikationsdaten des Betroffenen und einer Veröffentlichung von Mitschriften in der slowakischen Presse kam. Für die Weitergabe der Kommunikationsdaten verlangte der Betroffene zunächst vor dem Gericht der EU (EuG) immateriellen Schadensersatz in Höhe von EUR 50.000. Das EuG wies die Klage bereits mit Urteil vom 29. September 2021 ab (T-528/20).
Der Betroffene legte Rechtsmittel zum EuGH ein und der EuGH sprach dem Betroffenen einen Schadensersatz in Höhe von EUR 2.000 zu und betonte in diesem Zusammenhang, dass der Betroffene zur Geltendmachung einer gesamtschuldnerischen Haftung lediglich nachweisen müsse, dass es anlässlich der Zusammenarbeit zwischen Europol und den Behörden des betreffenden Mitgliedstaats zu einer widerrechtlichen Datenverarbeitung gekommen sei, die den geltend gemachten Schaden verursacht hat. Darüber hinaus müsse der Betroffene aber nicht nachweisen, welcher der Stellen die widerrechtliche Verarbeitung zuzurechnen ist. Verglichen mit anderen Fällen vor nationalen Gerichten erscheint der hier durch den EuGH zugesprochene Betrag angesichts des gravierenden Eingriffs in Telekommunikationsdaten sehr gering.
|
3. EuGH-Generalanwalt: Verbraucherverbänden kommt bei DSGVO-Verstoß Klagebefugnis zu
In der vor dem EuGH anhängigen Rechtssache C-757/22 liegen seit dem 25. Januar 2024 die Schlussanträge des Generalanwalts vor. Hierzu hatte der EuGH bereits im Frühling 2022 (C-319/20) entschieden, dass eine Klage von Verbraucherschutzverbänden auch dann zulässig sei, wenn kein konkreter Auftrag eines Verbrauchers vorliege. Der Bundesgerichtshof (BGH) lege dem EuGH gegen Ende des Jahres 2022 mit Beschluss vom 10. November 2022 (I ZR 186/17) allerdings erneut eine Frage vor, die sich dieses Mal um die Voraussetzung „infolge einer Verarbeitung“ des Art. 80 Abs. 2 DSGVO dreht. Hierzu möchte der BGH wissen, ob eine Rechtsverletzung „infolge einer Verarbeitung“ geltend gemacht wird, wenn ein Verbraucherschutzverband eine Klage darauf stützt, die Rechte einer betroffenen Person seien durch Nicht-Erfüllung der Pflichten aus Art. 12 Abs. 1 S. 1 und Art. 13 Abs. 1 lit. c) und e) DSGVO verletzt. Der EuGH-Generalanwalt kommt in seinen Schlussanträgen zu dem Ergebnis, dass Verbraucherschutzverbände die Verletzung von diesen Informationspflichten klageweise geltend machen können.
|
4. OLG Köln: Cookie-Banner erfordert gleichwertige Optionen zwischen Ablehnen und Akzeptieren
Zu Beginn dieses Jahres hat sich das Oberlandesgericht (OLG) Köln zur Gestaltung vom Cookie-Bannern geäußert. Mit Urteil vom 19. Januar 2024 (6 U 80/23) hat das Gericht darauf verwiesen, dass diese den Verbrauchern eine klare und verständliche Möglichkeit zur Ablehnung von Cookies bieten müssten. Hierbei stellt das Gericht auf die Anforderungen des Art. 4 Nr. 11 DSGVO i.V.m. § 25 Abs. 1 TTDSG ab, denen zufolge die Einwilligung freiwillig und nach hinreichender Aufklärung zu erfolgen habe. In dem vorliegenden Fall sei hiergegen verstoßen worden, weil die beklagte Betreiberin der Webseite diese nicht so ausgestaltete, dass dem Besucher auf dem Cookie-Banner zwei gleichwertige Optionen zum Akzeptieren oder zur Ablehnung von Cookies zur Verfügung standen.
|
5. OVG Niedersachsen: Zur Untersagung des Abfragens des Geburtsdatums als verpflichtende Angabe in Online-Apotheke
Das Oberverwaltungsgericht (OVG) Niedersachsen hat einen Beschluss vom 23. Januar 2024 (14 LA 1/24) veröffentlicht und die Unterlassungsanordnung der niedersächsischen Datenschutzbehörde bestätigt, mit der diese einer Online-Apotheke untersagt hatte, das Geburtsdatum in jedem Bestellprozess unabhängig von der Art des bestellten Produkts als Pflichtfeld abzufragen. Die Verarbeitung des genauen Geburtsdatums sei üblicherweise nicht zur Erfüllung des Vertrags erforderlich, da es ausreiche, allgemein die Volljährigkeit des Bestellenden abzufragen. Daran ändere sich im konkreten Fall auch nichts aufgrund des § 2 Abs. 1 Nr. 3 Arzneimittelverschreibungsverordnung, der auf die Vertriebsprodukte der Online-Apotheken abseits rezeptpflichtiger Medikamente nicht anwendbar sei, oder des § 20 Abs. 1 und 2 Apothekenbetriebsordnung, da bzgl. der Beratungspflichten nicht zwischen bestellender und das Produkt anwendender Person differenziert werden könne.
Der LfD Niedersachsen nimmt in einer Pressemitteilung vom 20. März 2024 Stellung zu der Entscheidung aus Lüneburg und sieht sich in seiner Rechtsauffassung bestätigt. Zugleich rät der LfD Niedersachsen Betreibern von Webshops, ihren Bestellprozess dahingehend zu prüfen, ob sie das Geburtsdatum als zwingende Angabe abfragen, und dieses ggf. in eine freiwillige Angabe zu ändern.
|
6. KG: Das „Deutsche Wohnen“-Bußgeld-Verfahren geht vor dem LG weiter
Nachdem der EuGH mit Urteil vom 5. Dezember 2023 (C-807/21) entscheiden hat, dass die in Art. 83 DSGVO vorgesehenen Geldbußen unmittelbar gegen juristische Personen verhängt werden können, wenn diese als für die Datenverarbeitung Verantwortliche einzustufen seien (wir berichteten in unserem „Update Datenschutz“ im Januar 2024), hat nun der mit der Sache befasste 3. Senat für Bußgeldsachen des Kammergerichts (KG) Berlin das Bußgeld-Verfahren „Deutsche Wohnen“ mit Beschluss vom 22. Januar 2024 (3 Ws 250/21, 3 Ws 250/21 - 161 AR 84/21) an das Landgericht (LG) zurück verwiesen. In dem Verfahren geht es um ein DSGVO-Bußgeld in Höhe von EUR 14,5 Mio. und die Frage, ob die Adressatin des Bescheids das Bußgeld zahlen muss oder nicht.
|
7. ArbG Suhl: Unverschlüsselte E-Mail als DSGVO-Verstoß
Eine interessante Entscheidung erging zudem am Arbeitsgericht (ArbG) Suhl mit Urteil vom 20. Dezember 2023 (6 Ca 704/23). Dieses legte nicht nur in Übereinstimmung mit dem EuGH dar, dass ein DSGVO-Verstoß allein nicht ausreiche, um einen Schadensersatzanspruch nach Art. 82 Abs. 1 DSGVO anzunehmen, welcher vielmehr zudem den Nachweis eines kausalen Schadens voraussetze. Darüber hinaus wies das Gericht darauf hin, dass eine mittels E-Mail erteilte Auskunft im Sinne des Art. 15 DSGVO einen Verstoß gegen Art. 5 DSGVO darstelle, wenn die E-Mail unverschlüsselt bleibt. Der Kläger in dem vorliegenden Fall verlangte aufgrund verschiedener behaupteter DSGVO-Verstöße Schadensersatz in Höhe von mindestens EUR 10.000 von seinem ehemaligen Arbeitgeber, was das Gericht allerdings abwies, da der Kläger keinen immateriellen Schaden nachgewiesen habe.
|
IV. CMS Veranstaltungen, spannende Blog-Beiträge und Weiteres
|
Mit CMS DigitalLaws können Sie online mit den Gesetzestexten und Erwägungsgründen des DSA und DGA arbeiten.
|
Verband der Anbieter von Telekommunikations- und Mehrwertdiensten e. V.
Frankenwerft 35 • 50667 Köln • Tel.: +49 (0) 221 / 37677-25 • Fax: +49 (0) 221 / 37677-26
|
|