I. Neues aus den Datenschutzbehörden
|
1. EDPB: Leitlinien zum Auskunftsrecht gemäß Art. 15 DSGVO
Der Europäische Datenschutzausschuss (EDPB) hat im April 2023 die finalen Leitlinien zum Auskunftsrecht gemäß Art. 15 DSGVO vorgelegt. Mit den Leitlinien möchte das EDPB zu Themen wie dem Umfang des Auskunftsrechts und dessen Umsetzung Klarheit schaffen. Unternehmen sollten die neuen Leitlinien im Rahmen ihrer datenschutzrechtlichen Compliance beachten. |
2. EDPB: Datenschutz-Guide für KMU
Das EDPB hat Ende April 2023 einen Datenschutz-Guide für kleine und mittelständische Unternehmen (KMU) veröffentlicht. Der Leitfaden soll das datenschutzrechtliche Bewusstsein fördern und praktische Informationen für den Datenschutz im Unternehmen geben. Mit dem Leitfaden setzt das EDPB einen wichtigen Schritt der Datenschutz-Strategie 2021-2023 um. |
3. Vom EDPB bis Hessen: Neue Tätigkeitsberichte 2022
Das EDPB hat am 17. April 2023 den Bericht für das Jahr 2022 veröffentlicht. In dem Bericht fasst das EDPB die Tätigkeiten aus dem vergangenen Jahr zusammen und gibt einen Ausblick auf die Schwerpunkte im Jahr 2023. Hier möchte das EDPB insb. die im Februar dieses Jahres festgelegten Säulen des EDPB Work Programme 2023/2024 im Blick behalten.
Auch einige deutsche Datenschutzbehörden haben in diesem Frühjahr seit der Versendung der letzten Ausgabe unseres Datenschutz-Updates ihre Tätigkeitsberichte für das vergangene Jahre vorgelegt. So hat die Landesbeauftragte für den Datenschutz und für das Recht auf Akteneinsicht aus Brandenburg den Tätigkeitsbericht für das Jahr 2022 veröffentlicht. Die Behörde setzt in dem Bericht u.a. den Schwerpunkt auf Themen wie den Betrieb von Facebook-Fanpages durch öffentliche Stellen, Cookies und Tracking sowie Videoüberwachung. Eine Zusammenfassung finden Sie in der dazugehörigen Pressemitteilung vom 17. April 2023. Auch der Hessische Beauftragte für Datenschutz und Informationsfreiheit hat im April dieses Jahres seinen Tätigkeitsbericht für das Jahr 2022 vorgestellt und beschäftigt sich darin u.a. mit Videokonferenzsystemen und dem Beschäftigtendatenschutz. Weitere Informationen erhalten Sie in der Pressemitteilung vom 18. April 2023. Am 22. Mai 2023 veröffentlichte zudem die Berliner Beauftragte für Datenschutz und Informationsfreiheit den Jahresbericht 2022. Maßgebliche Themen für die Berliner Behörde sind u.a. die Corona-Pandemie und die Digitalisierung der Verwaltung. Eine Zusammenfassung gibt die Pressemitteilung vom 22. Mai 2023. Den Jahresbericht 2022 der Landesbeauftragten für Datenschutz und Informationsfreiheit aus Bremen finden Sie hier. Den Tätigkeitsbericht 2022 der Sächsischen Datenschutz- und Transparenzbeauftragten finden Sie hier. |
4. DSK: 105. Tagung fand im Mai statt
Am 10. und 11. Mai 2023 fand die 105. Tagung der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) statt. Die Vertreter unterstrichen die Notwendigkeit eines Beschäftigtendatenschutzgesetzes (Entschließung der DSK vom 11. Mai 2023) und widmeten sich zudem Themen wie Smart Meter (Stellungnahme der DSK vom 11. Mai 2023) und Kriterien für Souveräne Clouds (Positionspapier der DSK vom 11. Mai 2023). Die DSK gibt in ihrer Pressemitteilung vom 11. Mai 2023 eine Zusammenfassung der Tagung. |
5. Bayern: Orientierungshilfe „Internationale Datentransfers“
Der Bayerische Landesbeauftragte für den Datenschutz stellt eine Orientierungshilfe „Internationale Datentransfers“ zur Verfügung. Mit der Orientierungshilfe möchte die Behörde mit Praxistipps und Beispielen die rechtlichen Rahmenbedingungen der Voraussetzungen für die Übermittlung personenbezogener Daten in Drittländer erläutern, die wesentlichen Übermittlungsinstrumente vorstellen und auf die Rechenschaftspflicht des Datenexporteurs eingehen. Zudem stellt die Orientierungshilfe ein Prüfungsschema für internationale Datentransfers bereit. |
6. Hamburg: Handreichung zum Thema Cookies
Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) hat im April dieses Jahres eine Handreichung zum Thema Cookiesveröffentlicht. Die Handreichung des HmbBfDI soll Unternehmen bei dem Aufbau sowie der Überprüfung ihrer Web-Präsenz unterstützen und gibt z.B. Informationen zur Einwilligung und der Einbindung von Inhalten Dritter auf einer Homepage. |
7. Fünfjähriges Bestehen der DSGVO am 25. Mai 2023
Anlässlich der fünfjährigen Geltung der DSGVO blicken einige der Datenschutzbehörden auf die Zeit seit dem 25. Mai 2018 zurück und ziehen Bilanz, so etwa die DSK, der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) sowie die Landesbeauftragten aus Baden-Württemberg, Hessen, Rheinland-Pfalz und Nordrhein-Westfalen. |
1. CMS: Vierte Ausgabe des Enforcement Tracker Reports erschienen
Rechtzeitig zum fünften Geburtstag der DSGVO hat CMS die vierte Ausgabe des CMS Enforcement Tracker Reports veröffentlicht. Im Analysezeitraum des diesjährigen Reports zwischen März 2022 und März 2023 kamen rund 540 neue Fälle mit einer Gesamtsumme von ca. EUR 1,19 Mrd. hinzu. Einen Überblick über den neuen Enforcement Tracker Report erhalten Sie mit der Executive Summary. Die ständig aktualisierte Datenbank der öffentlich bekannten DSGVO-Bußgelder finden Sie hier: CMS Enforcement Tracker. |
| 2. Irland: Rekord-Bußgeld in Höhe von EUR 1,2 Mrd.
Die irische Datenschutzbehörde verhängte ein Bußgeld in Höhe von EUR 1,2 Mrd. gegen Meta Platforms Ireland Limited aufgrund der Übertragung von personenbezogenen Daten europäischer Nutzer in die USA und den potentiellen Zugriffsmöglichkeiten für US-Geheimdienste. Die dazugehörige Pressemitteilung der irischen Datenschutzbehörde vom 22. Mai 2023 finden Sie hier (s. dazu auch die Entscheidung des EDPB vom 13. April 2023). Der Volltext der Entscheidung der irischen Datenschutzbehörde beläuft sich auf über 200 Seiten. Meta hat in einer Pressemitteilung vom 22. Mai 2023 bereits angekündigt, gegen das Bußgeld vorgehen zu wollen. Erst im Januar dieses Jahres hatte die irische Datenschutzbehörde gegen Meta in einer anderen Angelegenheit ein DSGVO-Bußgeld in Höhe von EUR 390 Mio. verhängt. |
| 3. Frankreich: Bußgeld in Höhe von EUR 5,2 Mio.
Die französische Datenschutzbehörde hat im Mai 2023 ein Bußgeld in Höhe von EUR 5,2 Mio. gegen das Unternehmen Clearview AI verhängt. Die Datenschutzbehörde hatte dem Unternehmen im Jahr 2022 ein Bußgeld in Höhe von EUR 20 Mio. wegen unrechtmäßiger Erhebung personenbezogener Daten auferlegt. Zusätzlich zu der Geldbuße wies die Datenschutzbehörde das Unternehmen an, die Verarbeitung personenbezogener Daten innerhalb von zwei Monaten datenschutzkonform zu gestalten. Innerhalb dieser Frist habe das Unternehmen jedoch keine Nachweise über die Einhaltung der Vorschriften vorgelegt. |
III. Aktuelle Gerichtsentscheidungen
|
1. EuGH: Zum Begriff der „Kopie“ i.S.d. Art. 15 DSGVO
Mit Urteil vom 4. Mai 2023 (C-487/21) hat sich der Europäische Gerichtshof (EuGH) zum Begriff der „Kopie“ i.S.d. Art. 15 DSGVO geäußert. Dem Gericht zufolge bedeute das Recht, eine Kopie der personenbezogenen Daten nach Art. 15 DSGVO zu erhalten, dass dem Betroffenen eine originalgetreue und verständliche Reproduktion der Daten ausgefolgt werden müsse. Zur umfangreichen Geltendmachung der weiteren Betroffenenrechte der DSGVO impliziere das Auskunftsrecht nach Art. 15 DSGVO das Recht, eine Kopie von Auszügen aus Dokumenten, von ganzen Dokumenten oder von Auszügen aus Datenbanken zu erlangen. Zu berücksichtigen seien dabei aber auch die Rechte und Freiheiten anderer Personen. |
2. EuGH: Grundsatzurteil zum Schadensersatz nach Art. 82 DSGVO
Am 4. Mai 2023 hat der EuGH in einem Grundsatzurteil (C‑300/21) zur Auslegung der datenschutzrechtlichen Schadensersatznorm des Art. 82 DSGVO die Vorlagefragen des Obersten Gerichtshofs (Österreich) beantwortet. Der EuGH stellte einerseits fest, dass der bloße Verstoß gegen die DSGVO keinen Schadensersatzanspruch begründe und lehnte andererseits die Annahme einer sog. Erheblichkeitsschwelle als Voraussetzung für einen Schadensersatzanspruch ab. Außerdem wies das Gericht darauf hin, dass die DSGVO keine Bestimmungen für die Bemessung der Höhe des Schadensersatzes enthalte; das sei unter Beachtung des Äquivalenz- und des Effektivitätsgrundsatzes Aufgabe des Rechts der einzelnen Mitgliedstaaten. Einen laufend aktualisierten Überblick über Urteile zum DSGVO-Schadensersatz finden Sie hier in unserem Blog. |
3. EuGH: Schlussanträge des Generalanwalts zum Schadensersatz und zur Haftungsbefreiung nach einem Hackerangriff
In der vor dem EuGH anhängigen Rechtssache C-340/21 liegen seit dem 27. April 2023 die Schlussanträge des Generalanwalts vor. Dieser äußerte sich dahingehend, dass der Verantwortliche bei einem Hackerangriff, bei dem Dritte unbefugten Zugang zu personenbezogenen Daten erlangt haben, für mutmaßliches Verschulden hafte und dass immaterieller Schadensersatz grundsätzlich in Betracht komme, wobei die Befürchtung eines künftigen Missbrauchs personenbezogener Daten nur ersatzfähig sei, wenn diese über ein Ärgernis oder eine Unannehmlichkeit hinausginge. Eine Haftungsbefreiung des Verantwortlichen hänge dem Generalanwalt zufolge von dem Nachweis ab, dass der Verantwortliche für den eingetretenen Schaden in keinerlei Hinsicht verantwortlich sei. |
4. EuGH: Schlussanträge des Generalanwalts zu DSGVO-Bußgeldern gegen eine juristische Person
Ebenfalls am 27. April 2023 hat der Generalanwalt vor dem EuGH in der Rechtssache C‑807/21 seine Schlussanträge veröffentlicht. In dem Verfahren geht es u.a. um die Fragen, ob eine Sanktion gegen eine juristische Person wegen eines DSGVO-Verstoßes verhängt werden kann, ohne dass dieser Verstoß zuvor einer natürlichen Person zugerechnet wird, und ob für eine Bebußung eines Unternehmens grundsätzlich bereits ein dem Unternehmen zuzuordnender objektiver Pflichtenverstoß ausreiche. Der Generalanwalt empfiehlt dem EuGH, die DSGVO dahingehend auszulegen, dass „die Verhängung einer Geldbuße gegen eine juristische Person, die für die Verarbeitung personenbezogener Daten verantwortlich ist, nicht von der vorherigen Feststellung eines Verstoßes durch eine oder mehrere individualisierte natürliche Person(en), die im Dienst dieser juristischen Person stehen, abhängt". Allerdings setzen die nach der DSGVO zu verhängenden Bußgelder dem Generalanwalt zufolge die Feststellung von Vorsatz oder Fahrlässigkeit hinsichtlich des den geahndeten Verstoß begründenden Verhaltens voraus. Das Urteil des EuGH in diesem Verfahren wird von hoher praktischer Relevanz sein und könnte die Bebußung von juristischen Personen nach der DSGVO erleichtern, falls der EuGH den Schlussanträgen des Generalanwalts folgen sollte. Zu einem weiteren Vorlageverfahren, das sich u.a. mit DSGVO-Bußgeldern befasst, siehe Rechtssache C-683/21. |
5. EuGH: Schlussanträge des Generalanwalts zur Auskunft nach Art. 15 DSGVO bei datenschutzfremden Motiven
Auf Vorlage des Bundesgerichtshofs (BGH) ist derzeit vor dem EuGH unter dem Az. C‑307/22 ein Verfahren zu der umstrittenen Frage der Auskunft nach Art. 15 DSGVO bei datenschutzfremden Zwecken anhängig, in dem der Generalanwalt am 20. April 2023 seine Schlussanträge veröffentlicht hat. Ein Patient fordert unentgeltliche Auskunft nach Art. 15 DSGVO, weil er einen Behandlungsfehler einer zahnärztlichen Behandlung vermutet. Der Generalanwalt legt in seinen Schlussanträgen dar, dass das Auskunftsrecht der DSGVO nicht von der Absicht abhänge, die betreffenden Informationen für datenschutzrechtliche Belange zu verwenden. Damit zusammenhängend geht es in dem Verfahren zudem um § 630g des Bürgerlichen Gesetzbuchs (BGB), der in seinem Abs. 2 S. 2 bestimmt, dass der Patient dem Behandelnden die Kosten für elektronische Abschriften von seiner Patientenakte zu erstatten habe. Dies sei nach Einschätzung des Generalanwalts gemäß Art. 23 Abs. 1 DSGVO zulässig, sofern die Beschränkung des Auskunftsrechts unter Berücksichtigung aller relevanten Umstände im Hinblick auf die Ziele des Schutzes der öffentlichen Gesundheit und der unternehmerischen Freiheit der Ärzte erforderlich und verhältnismäßig sei; insb. müsse der Betrag strikt auf die tatsächlich anfallenden Kosten beschränkt werden. |
6. EuG: Zum Personenbezug pseudonymisierter Daten
Das Gericht der Europäischen Union (EuG) hatte sich in einem Verfahren, das gegen den Europäischen Datenschutzbeauftragten (European Data Protection Supervisor, EDPS) geführt wurde, mit dem Personenbezug pseudonymisierter Daten zu beschäftigen. Mit Urteil vom 26. April 2023 (T-557/20) entschied das EuG, dass pseudonymisierte Daten dann keine personenbezogenen Daten darstellen, wenn für den Empfänger eine Rückidentifizierung der Betroffenen nicht möglich sei. |
7. BGH: Auslistungsbegehren gegen den Internet-Suchdienst von Google
Am 23. Mai 2023 (VI ZR 476/18) hat der BGH ein lang erwartetes Urteil zu einem Auslistungsbegehren gegen den Internet-Suchdienst Google gefällt. Nachdem der BGH dem EuGH bereits vorab Fragen zur Auslegung von Art. 17 DSGVO vorgelegt hatte (wir berichteten im Jahr 2020 in unserem Blog), bestätigte der BGH bezüglich der beanstandeten Verweise die klagabweisenden Entscheidungen der Vorinstanzen mangels Personenbezugs bzw. mangels Nachweises der offensichtlichen Unrichtigkeit. Bezüglich der in Frage stehenden Vorschaubilder in den Suchergebnissen hatte die Revision hingegen Erfolg. Die Beklagte sei dem BGH zufolge zur Auslistung der Vorschaubilder in der beanstandeten Form verpflichtet. Mit dem Urteil ist klar: Derjenige, der die Löschung von Inhalten der Suchmaschine begehrt, muss deren offensichtliche Unrichtigkeit nachweisen können. |
8. OLG Frankfurt a.M.: Unterlassungsansprüche bei Verstößen gegen die DSGVO
Das OLG Frankfurt a.M. urteilte am 30. März 2023 (16 U 22/22), dass Unterlassungsansprüche nach nationalem Recht (insb. aus §§ 1004 Abs. 1 S. 2, 823 Abs. 2 BGB i.V.m. der jeweils verletzten DSGVO-Vorschrift) wegen der durch die DSGVO unionsweit abschließend vereinheitlichten Regelung des Datenschutzrechts ausgeschlossen seien und dass dem von einer unzulässigen Datenübermittlung an Dritte Betroffenen in dem durch das OLG zu entscheidenden Fall kein Anspruch auf Unterlassung aus Art. 17 DSGVO zustehe. Ein auf Art. 82 DSGVO zu stützender Unterlassungsanspruch könne dem OLG Frankfurt a.M. zufolge nur dann bejaht werden, wenn der Betroffene einen Schaden erlitten habe und die Verletzungshandlung oder der pflichtwidrig geschaffene Zustand andauere. |
9. OLG Frankfurt a.M.: Verknüpfung eines Namens mit Begriff „bankrott“ über Autocomplete-Funktion
Das OLG Frankfurt a.M. verneinte mit Urteil vom 20. April 2023 (16 U 10/22) den Anspruch eines Unternehmers, der von einem Suchmaschinenbetreiber die Unterlassung der Verknüpfung des Namens des Unternehmers mit dem Begriff „bankrott“ über die Autocomplete-Funktion der Suchmaschine verlangte. Das Gericht stufte die Interessen des Klägers an einer Löschung als hinter den Interessen der Nutzer und der Öffentlichkeit nachrangig ein. Der geltend gemachte Anspruch ergebe sich dem OLG zufolge insb. nicht aus Art. 17 DSGVO. |
10. LG Köln: Unzulässige Übermittlung personenbezogener Daten an Google-Server in die USA
Das LG Köln hat mit Urteil vom 23. März 2023 (33 O 376/22) entschieden, dass es rechtswidrig sei, personenbezogene Daten (konkret IP-Adresse, Informationen über den genutzten Browser und das genutzte Endgerät) an Google LLC in die USA zu übermitteln, um deren Analyse- und Marketingdienste Google Ad Services zu nutzen. Nach Auffassung des Gerichts besteht in den USA kein ausreichendes Datenschutzniveau. Auch die bloße Zustimmung im Cookie-Banner über den Button „Alle akzeptieren“ reiche für eine ausdrückliche Einwilligung in die Übermittlung in Drittländer wie die USA nicht aus. |
11. OVG des Saarlandes: Datenverarbeitung zum Zweck der Telefonwerbung
Das OVG des Saarlandes hat mit Urteil vom 20. April 2023 (2 A 111/22) klargestellt, dass die Verarbeitung von personenbezogenen Daten im Rahmen von telefonischer Werbung nicht auf die Rechtsgrundlage des Art. 6 Abs. 1 S. 1 lit. f) DSGVO gestützt werden kann. Eine Unterscheidung zwischen Direkt- und Nachfragewerbung sei der DSGVO fremd. Vielmehr sind die Bewertungsmaßstäbe des § 7 Abs. 2 Nr. 1 UWG auch im Rahmen des Art. 6 Abs. 1 S. 1 lit. f) DSGVO zu berücksichtigen. |
|
