Datenschutz-Update (10/2023)
|
I. Neues aus den Datenschutzbehörden und Aktuelles
|
1. EDPB und EDSA: Stellungnahme zum Vorschlag der EU-Kommission für eine Verordnung über zusätzliche Verfahrensvorschriften für die Durchsetzung der DSGVO
Der Europäische Datenschutzausschuss (das European Data Protection Board, EDPB) und der Europäische Datenschutzbeauftragte (der European Data Protection Supervisor, EDPS) haben im September 2023 eine gemeinsame Stellungnahme zum Vorschlag der EU-Kommission für eine Verordnung über zusätzliche Verfahrensvorschriften für die Durchsetzung der europäischen Datenschutz-Grundverordnung (DSGVO) veröffentlicht. Auch der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) hat an der Stellungnahme mitgewirkt und eine Pressemitteilung herausgegeben. Die zusätzlichen Verfahrensvorschriften sollen die behördlichen Abläufe und Zusammenarbeit bei grenzüberschreitenden Sachverhalten harmonisieren. EDPB und EDSA begrüßen den Vorschlag in ihrer Stellungnahme, sehen aber an einigen Stellen wie z.B. zur Vorlage von behördlichen Untersuchungsergebnissen Nachbesserungsbedarf. Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat ebenfalls eine Stellungnahme zu dem Entwurf vorgelegt und Nachbesserungen gefordert.
|
2. EDPB: FAQ für KMU
Das EDPB stellt ein umfangreiches Frequently Asked Questions (FAQ) für Kleine und Mittlere Unternehmen (KMU) zur Verfügung. Hier wird u.a. zur Einwilligung, zur Weitergabe von Daten an Dritte und/oder ins Ausland, zu Homepages und Cookies sowie zum Beschäftigtendatenschutz informiert.
|
3. DSK: Anwendungshinweise bzgl. des Angemessenheitsbeschlusses zum EU-US Data Privacy Framework
Die DSK hat am 4. September 2023 Anwendungshinweise zur Übermittlung personenbezogener Daten aus Europa in die USA und zum Angemessenheitsbeschluss der EU-Kommission zum Datenschutzrahmen EU‐US Data Privacy Framework (DPF) vom 10. Juli 2023 veröffentlicht. Die DSK gibt in den Anwendungshinweisen u.a. einen Überblick über das Zertifizierungsverfahren nach dem DPF und die Auswirkungen des DPF auf Standardvertragsklauseln (SCC). Bereits im Vorfeld hatten die Datenschutzbehörden einiger Länder Hinweise zu dem Thema veröffentlicht, wie z.B. Bayern und Berlin. Auch die EU-Kommission hält ein Q&A zu dem Thema bereit. Der Thüringer Landesbeauftragte für den Datenschutz und die Informationsfreiheit (TLfDI) weicht von dem Votum der DSK ab und stuft die Wahrscheinlichkeit, dass der Angemessenheitsbeschluss für die USA durch den Europäischen Gerichtshof (EuGH) wieder aufgehoben wird, in einer Pressemitteilung vom 4. September 2023 als "recht hoch" ein. Auch wir berichteten zum DPF bereits in unserem Blog.
|
4. DSK: Stellungnahme zum Referentenentwurf des Gesundheitsdatennutzungsgesetzes
Zu dem Referentenentwurf des Gesetzes zur verbesserten Nutzung von Gesundheitsdaten vom 3. Juli 2023 (Gesundheitsdatennutzungsgesetz, GDNG) hat die DSK am 14. August 2023 ihre Stellungnahme veröffentlicht, in der sie aus datenschutzrechtlicher Sicht zu Korrekturen aufruft. Dies betraf u.a. die Einhaltung der Grundsätze des Datenschutzes, Informationspflichten und Betroffenenrechte, die der DSK zufolge durch den Entwurf des GDNG verwässert würden. Insbesondere sah die DSK Nachbesserungsbedarf an den Entwürfen der Art. 1 §§ 2-4, Art. 3 Nr. 3, 5ff., 11 GDNG. Zudem forderte die DSK mit vorangegangener Stellungnahme vom 10. August 2023 Korrekturen an der vorgesehenen Regelung zur Zuständigkeit. Das GDNG, von dem mittlerweile ein weiterer Entwurf vorliegt, soll Gesundheitsdaten für die Forschung erschließen und ihre Nutzung für gemeinwohlorientierte Zwecke erleichtern. Mit Stand 8. August 2023 hält das Bundesministerium für Gesundheit ein Q&A zum GDNG bereit.
|
5. DSK: Stellungnahme zum Ersten Gesetz zur Änderung des BDSG
Das Bundesministerium des Inneren und für Heimat hat am 9. August 2023 einen Entwurf für das Erste Gesetz zur Änderung des Bundesdatenschutzgesetzes (BDSG) veröffentlicht. Damit sollen Vorhaben aus dem Koalitionsvertrag umgesetzt werden. Auch hierzu hat die DSK bereits Stellung genommen und sieht Nachbesserungsbedarf, u.a. zu länderübergreifenden Datenverarbeitungsvorhaben nach §§ 27 Abs. 5, 40a BDSG-E und der deutschen Vertretung auf EU-Ebene. Zu der mit dem Entwurf des BDSG geplanten Institutionalisierung der DSK schlägt diese in einer weiteren Stellungnahme vom 9. August 2023 ebenfalls Änderungen vor. In einer Pressemitteilung vom 7. September 2023 äußert sich zudem der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz zu dem Entwurf und fasst die DSK-Stellungnahmen zusammen.
|
6. Bayern, Hessen, Niedersachsen, NRW:
Die Datenschutzbehörden aus u.a. Bayern (Landesbeauftragter), Hessen, Niedersachsen und Nordrhein-Westfalen äußern sich in einer Handreichung für Verantwortliche zum Abschluss einer Auftragsverarbeitungsvereinbarung (AVV) mit Microsoft zum Einsatz von Microsoft 365. Die Handreichung soll Verantwortliche bei dem Abschluss vertraglicher Änderungen unterstützen nachdem die DSK mit Festlegung aus November 2022 die Standard-AVV für unzureichend und nicht den Anforderungen des Art. 28 Abs. 2 DSGVO entsprechend eingeordnet hatte. Die neue Handreichung gibt Verantwortlichen auf 21 Seiten Tipps und To Dos an die Hand – z.B. zu den Kategorien betroffener personenbezogener Daten, der Offenlegung verarbeiteter Daten und technisch-organisatorischer Maßnahmen (TOMs).
Hierzu lesenswert: Eine praxisferne Handreichung zur rechtssicheren Cloud-Nutzung (faz.net) [€].
|
7. Baden-Württemberg: Rechtsgrundlagen bei Beschäftigtendaten
Der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg (LfDI) hat im Spätsommer 2023 ein FAQ zu Rechtsgrundlagen bei Beschäftigtendaten und zu dem Urteil des EuGH vom 30. März 2023 (C-34/21) veröffentlicht. In dem Verfahren ging es um die Verpflichtung von hessischen Lehrkräften zum Abhalten des Unterrichts per Videokonferenzsystem. Der EuGH hatte entschieden, dass Generalklauseln wie § 23 Abs. 1 Satz 1 HDSIG nicht den Anforderungen des Art. 88 DSGVO genügen. Der LfDI beantwortet in seinen FAQ u.a. Fragen zur Bedeutung der Entscheidung für andere Bundesländer und für Unternehmen.
|
8. Hamburg und Nordrhein-Westfalen: Hilfestellung zur Reaktion auf Cyberangriffe
Die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW) hat am 5. September 2023 eine Hilfestellung zur Reaktion auf Cyberangriffe veröffentlicht. Hierin gibt die LDI NRW einen Überblick zu dem Thema und eine "To Do-Liste" mit fünf Schritten u.a. zur Untersuchung der Auswirkungen auf personenbezogene Daten für den Fall eines Cyberangriffs. Zudem verweist die Behörde auf die Top 12 Maßnahmen bei Cyberangriffen, die auf der Homepage des Bundesamts für Sicherheit in der Informationstechnik (BSI) abrufbar sind. Auch der der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) hat einen Leitfaden zu dem Thema "Data Breach Notifications – Was ist zu tun?" veröffentlicht. In der 2. Ausgabe des zehnseitigen Dokuments "Umgang mit Data-Breach-Meldungen nach Art. 33 DSGVO" mit Stand September 2023 gibt der HmbBfDI u.a. einen Überblick zu Fragen, wann eine Meldepflicht besteht und wie diese zu erfolgen hat.
|
9. Nordrhein-Westfalen: Interview zu Künstlicher Intelligenz
Die LDI NRW veröffentlichte im August 2023 auf ihrer Homepage ein Interview zu dem derzeitigen Top-Thema Künstliche Intelligenz (KI), in dem Fragen zur Bedeutung von KI und maschinellem Lernen für den Datenschutz beantwortet werden und zur Selbstverantwortung und Beachtung des Datenschutzes bei der Entwicklung von KI-Systemen aufgerufen wird. Zudem wird das Spannungsverhältnis des Grundsatzes der Datensparsamkeit und die Notwendigkeit der Auswertung großer Datenmengen für das Funktionieren von KI sowie die Bedeutung der Richtigkeit von Daten aufgezeigt. Als Chance von KI für den Datenschutz wird z.B. der Einsatz zur effizienten Erledigung von Auskunftsanfragen nach Art. 15 DSGVO genannt. Mehr Aktuelles zum Thema KI erfahren Sie auch in unserer gleichnamigen CMS Blog-Serie.
|
10. Rheinland-Pfalz: Tätigkeitsbericht für das Jahr 2022
Am 27. September 2023 hat der Landesbeauftragte für den Datenschutz und die Informationssicherheit Rheinland-Pfalz seinen Tätigkeitsbericht für das Jahr 2022 vorgelegt. Neben datenschutzrechtlichen Fragen rund um die Corona-Pandemie benennt der Bericht Digitalisierung, KI und die europäische Gesetzgebung wie den Digital Markets Act (DMA), Digital Services Act (DSA) und den Data Governance Act (DGA) als Schwerpunkte und kommende Herausforderungen.
|
1. Irland: Bußgeld in Höhe von EUR 345 Mio. wegen Nichteinhaltung der allgemeinen Grundsätze der Datenverarbeitung
Die Datenschutzbehörde in Irland hat Anfang September 2023 ein DSGVO-Bußgeld in Höhe von EUR 345 Mio. gegen TikTok Ltd. verhängt. Die Behörde warf der Plattform nach einer Untersuchung im Spätsommer 2020 die Nichteinhaltung der allgemeinen Grundsätze der Datenverarbeitung vor, weil das Ergreifen von TOMs zur Sicherstellung der Verarbeitung lediglich notwendiger personenbezogener Maßnahmen versäumt worden sei und personenbezogene Daten minderjähriger User der Plattform nicht ausreichend geschützt worden seien. Zudem warf die Behörde der Plattform den Einsatz sog. "Dark Patterns" vor, die dazu führten, dass sich User für weniger datenschutzfreundliche Optionen entschieden. In einer Pressemitteilung vom 15. September 2020 hat das Soziale Netzwerk hierzu bereits Stellung bezogen und eine Prüfung der nächsten Schritte angekündigt.
|
2. Schweden: Bußgeld in Höhe von EUR 3 Mio. wegen schwerwiegender Sicherheitsverstöße
Die schwedische Datenschutzbehörde hat ein Bußgeld in Höhe von EUR 3 Mio. gegen ein Versicherungsunternehmen wegen schwerwiegender Sicherheitsverstöße verhängt, aufgrund derer es durch bloßes Verändern eines Weblinks ohne weitere Authentifizierung möglich gewesen sein soll, auf sensible personenbezogene Daten von 650.000 Personen zuzugreifen wie beispielsweise Gesundheits-, Finanz- und Kontaktinformationen. Die Sicherheitslücke soll für die Dauer von zwei Jahren bestanden haben.
|
3. Deutschland: Bußgelder in Höhe von EUR 215.000 wegen unzureichender Rechtsgrundlage für die Datenverarbeitung
In Deutschland hat die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI) im August 2023 insgesamt Bußgelder in Höhe von EUR 215.000 nach der DSGVO gegen ein Unternehmen ausgesprochen. Das Unternehmen hatte sensible Informationen über Mitarbeitende während der Probezeit (u.a. zu persönlichen Äußerungen, gesundheitlichen Bedenken, Interesse an der Gründung eines Betriebsrats) ohne rechtliche Grundlage unsachgemäß dokumentiert und deren Weiterbeschäftigung anhand dieser Informationen bewertet.
|
4. Island: Bußgeld in Höhe von EUR 10.300 wegen unzureichender Erfüllung von Informationspflichten
Die Universität von Island ist die Adressatin eines Bußgeldes in Höhe von EUR 10.300, das die isländische Datenschutzbehörde im September 2023 wegen unzureichender Erfüllung der Informationspflichten über das Vorhandensein von Kameras zur Videoüberwachung auf dem Gelände der Universität ausgesprochen hat. Die Universität habe nicht ausreichend über Zweck, Art und Umfang der Verarbeitung personenbezogener Daten informiert.
|
5. Rumänien: Bußgeld in Höhe von EUR 1.000 wegen des Versands von Werbenachrichten
In Rumänien hat die Datenschutzbehörde ein Bußgeld in Höhe von EUR 1.000 wegen des Versands von Werbenachrichten trotz erfolgtem Widerspruch gegen den Erhalt von Werbebotschaften verhängt. Die Behörde bejahte hier einen Verstoß gegen Art. 21 Abs. 3 DSGVO. Der nicht von einer Einwilligung gedeckte Versand von E-Mails mit werbendem Inhalt führt immer wieder zu Bußgeldern, aber auch zu Schadensersatzansprüchen. Mit dem CMS GDPR Enforcement Tracker und in unserem Blog erhalten Sie einen Überblick.
|
III. Aktuelle Gerichtsentscheidungen
|
1. BGH: Vorlagefragen an den EuGH zum Unterlassungsanspruch und immateriellen Schaden nach der DSGVO
Der EuGH muss sich erneut mit Vorlagefragen nationaler Gerichte zur DSGVO beschäftigen. Am 26. September 2023 hat der Bundesgerichtshof (BGH) beschlossen (VI ZR 97/22), dem EuGH weitere Fragen zum Bestehen des Unterlassungsanspruchs nach der DSGVO und zum Begriff des immateriellen Schadens im Sinne von Art. 82 DSGVO vorzulegen. In dem zu entscheidenden Fall geht es um die irrtümliche Weiterleitung von Bewerberdaten an einen unbeteiligten Dritten durch eine Bank im Rahmen eines Bewerbungsprozesses, wobei insb. zunächst keine unverzügliche Mitteilung an den Bewerber über die fehlerhafte Weiterleitung erfolgte. Die Vorinstanzen urteilten unterschiedlich: Das Oberlandesgericht (OLG) Frankfurt a.M. hatte den Schadensersatzanspruch nach Art. 82 DSGVO mangels Darlegung eines kausal auf dem DSGVO-Verstoß beruhenden Schadens abgelehnt (Urteil vom 2. März 2022 – 13 U 206/20), während das Landgericht (LG) Darmstadt der betroffenen Person einen Schadensersatzanspruch in Höhe von EUR 1.000 zugesprochen und einen Kontrollverlust über die Bewerberdaten hatte ausreichen lassen (Urteil vom 26. Mai 2020 – 13 O 244/19).
Der Pressemitteilung des BGH vom 26. September 2023 zufolge möchte dieser nun vom EuGH u.a. wissen, ob sich aus Art. 17f. DSGVO oder einer anderen Norm der DSGVO ein Anspruch des Betroffenen gegen den Verantwortlichen auf Unterlassung einer erneuten unrechtmäßigen Weiterleitung dieser Daten ergibt, wenn der Betroffene keine Löschung der Daten vom Verantwortlichen verlangt hatte. Zu der maßgeblichen datenschutzrechtlichen Schadensersatznorm des Art. 82 DSGVO hat der BGH dem EuGH u.a. die Frage vorgelegt, ob Art. 82 Abs. 1 DSGVO dahingehend auszulegen sei, dass für die Annahme eines immateriellen Schadens bloße negative Gefühle (z.B. Ärger, Unmut, Unzufriedenheit, Sorge, Angst) genügen, obwohl diese Teil des allgemeinen Lebensrisikos und des täglichen Erlebens seien, oder ob ein über diese Gefühle hinausgehender Nachteil erforderlich ist.
Dem EuGH liegt das Thema nicht zum ersten Mal vor – allerdings hat der EuGH zuletzt in einer Entscheidung aus Mai 2023 auf Vorlage des Obersten Gerichtshof Österreichs (OGH) nicht abschließend erläutert, unter welchen Umständen ein immaterieller Schaden zu bejahen ist.
|
2. BGH: Auskunftsanspruch über frühere Prämienanpassungen in der privaten Krankenversicherung
Der Auskunftsanspruch nach Art. 15 DSGVO wird immer wieder in Verfahren herangezogen, in denen es um die Wirksamkeit von Prämienanpassungen und Beitragserhöhungen in privaten Krankenversicherungen geht. Nun war eines dieser Verfahren vor dem BGH gelandet und dieser hat am 27. September 2023 laut der dazugehörigen Pressemitteilung geurteilt (IV ZR 177/22), dass aus Art. 15 Abs. 1 und Abs. 3 DSGVO grundsätzlich kein Anspruch auf Abschriften der Begründungsschreiben zu den Prämienanpassungen samt Anlagen folge, da es sich bei den Informationen nicht um personenbezogene Daten handele. Allerdings könne sich ein Auskunftsanspruch des Versicherungsnehmers aus Treu und Glauben über zurückliegende Anpassungen in der privaten Krankenversicherung ergeben, wenn der Versicherungsnehmer in entschuldbarer Weise über das Bestehen und den Umfang seines Rechts im Ungewissen sei.
|
3. LArbG Baden-Württemberg: Zwei neue Urteile zur DSGVO
Das Landesarbeitsgericht (LArbG) Baden-Württemberg hat am 27. Juli 2023 (3 Sa 33/22) entschieden, dass eine verspätete Auskunftserteilung gemäß Art. 15 Abs. 1 DSGVO keinen nach Art. 82 Abs. 1 DSGVO zu ersetzenden immateriellen Schaden darstelle. Die 3. Kammer des Gerichts stellte klar, dass ein bloßer Verstoß gegen die Vorgaben der DSGVO nicht ausreiche, um den Schadensersatzanspruch zu begründen, und dass die DSGVO keine Vermutung enthalte, dass ein mit einem DSGVO-Verstoß einhergehender Kontrollverlust zu einem ersatzfähigen Schaden führe. In dem arbeitsgerichtlichen Verfahren ging es um die Verwendung von Video- und Fotoaufnahmen mit Abbildungen des Arbeitnehmers nach der Beendigung des Arbeitsverhältnisses. Für eine verspätet erteilte sich darauf beziehende Auskunft nach Art. 15 DSGVO wollte das Gericht mangels Schadens keinen Schadensersatz gewähren. Allerdings sprach das LArbG dem Kläger Schadensersatz nach Art. 82 DSGVO in Höhe von EUR 10.000 zu, weil der ehemalige Arbeitgeber die Aufnahmen, die den Kläger und ehemaligen Arbeitnehmer zeigten, auch nach Beendigung des Arbeitsverhältnisses gegen dessen Willen weiter verwendete und so gegen Art. 17 Abs. 3 S. 1 DSGVO verstoßen habe.
Nur einen Tag danach hatte die 9. Kammer des LArbG Baden-Württemberg in einem weiteren Fall über Ansprüche aus Art. 15 und Art. 82 DSGVO zu entscheiden (9 Sa 73/21). In dem Verfahren ging es um eine unzureichend erfüllte Auskunftserteilung nach dem Ende eines Arbeitsverhältnisses u.a. hinsichtlich einer Wegnahme ("Sicherung") eines privaten USB-Sticks mit persönlichen Daten des Arbeitnehmers durch den Arbeitgeber. Das Gericht sprach dem Betroffenen einen Schadensersatz in Höhe von EUR 2.500 zu.
|
4. OLG Hamm: Kein Schadensersatz nach Scraping-Vorfall ohne Darlegung eines konkreten Schadens
Aufgrund der Scraping-Vorfälle auf einer Social Media Plattform sind derzeit vor deutschen Gerichten eine Vielzahl von Verfahren anhängig, in denen die Betroffenen Schadensersatz nach Art. 82 Abs. 1 DSGVO fordern. Bei diesen Scraping-Fällen kam es zu einem Datenabfluss aufgrund eines Datenlecks auf einer Social-Media-Plattform (u.a. waren personenbezogene Daten wie Namen und Telefonnummern betroffen). Während einige Gerichte bereits Ansprüche bejahten (z.B. LG Ravensburg, Urteil vom 13. Juni 2023 – 2 O 228/22 (EUR 1.000); LG Bonn, Urteil vom 7. Juni 2023 – 13 O 126/22 (EUR 250); LG Lübeck, Urteil vom 25. Mai 2023 – 15 O 74/22 (EUR 500)), lehnte die Mehrheit der angerufenen Gerichte einen Schadensersatzanspruch ab (statt vieler: LG Duisburg, Urteil vom 14. Juni 2023 – 10 O 126/22; LG München I, Urteil vom 5. Juni 2023 – 15 O 4501/22; LG Köln, Urteil vom 31. Mai 2023 – 28 O 138/22).
Nun wurde der geforderte Schadensersatz in einem solchen Scraping-Fall in einem Verfahren erstmals durch ein OLG mit Urteil vom 15. August 2023 (7 U 19/23) in einer Leitsatzentscheidung verneint. Zwar liegen dem OLG Hamm zufolge Verstöße gegen Art. 5 Abs. 1 lit. a), lit. b), lit. f), Art. 6 Abs. 1 Unterabs. 1, Art. 25 Abs. 1, Abs. 2 und Art. 32 DSGVO durch die Plattform vor, allerdings habe die Klägerin in dem konkreten Verfahren keinen (immateriellen) Schaden schlüssig dargelegt. Das Berufen auf einen "völligen Kontrollverlust" ließ das Gericht dabei nicht ausreichen. Eine Übersicht über die Rechtsprechung zu den Scraping-Fällen und weitere Urteile zum DSGVO-Schadensersatz finden Sie in der laufend aktualisierten Übersicht hier in unserem Blog.
|
5. OLG München: Urheberrechtlicher Schutz einer Datenschutzerklärung
Eine spannende Entscheidung an der Schnittstelle von Datenschutz- und Urheberrecht hat das OLG München mit Beschluss vom 3. März 2023 (6 W 1491/22) gefällt. Das Gericht entschied, dass es sich nach summarischer Prüfung bei Datenschutzerklärungen gemäß Art. 12 DSGVO nach den jeweiligen Umständen des Einzelfalls um ein nach dem Urheberrecht geschütztes Werk im Sinne von § 2 Abs. 1 Nr. 1, Abs. 2 UrhG handeln könne. Dafür sei bei einem Gebrauchswerk dienenden Schriftwerken nicht erforderlich, dass diese ein deutliches Überragen des Alltäglichen und Handwerklichen als der mechanisch-technischen Aneinanderreihung aufweisen.
|
6. Ausblick: Anstehendes EuGH-Urteil
Auch der EuGH wird bald eine für das Datenschutz- und Urheberrecht relevante Entscheidung treffen: In dem Verfahren (C-470/21), in dem es um die Vorratsspeicherung und den Zugriff auf mit einer für Urheberrechtsverletzungen im Internet verwendeten IP-Adresse verknüpften Identitätsdaten geht, hat der zuständige Generalanwalt am 28. September 2023 seine Schlussanträge vorgelegt. Der Generalanwalt kommt zu dem Ergebnis, dass dies erlaubt sein solle, sofern die Identitätsdaten der einzige Anhaltspunkt für die Ermittlung der bürgerlichen Identität desjenigen seien, der unter dem Internetanschluss die Urheberrechtsverletzung begangen hat.
|
Verband der Anbieter von Telekommunikations- und Mehrwertdiensten e. V.
Frankenwerft 35 • 50667 Köln • Tel.: +49 (0) 221 / 37677-25 • Fax: +49 (0) 221 / 37677-26
|
|