Aktuelles zum Recht der Daten
Die Seite „Aktuelles zum Recht der Daten“ gibt Hinweise auf aktuelle Entscheidungen und sonstige Entwicklungen auf dem Gebiet des Datenschutzrechts. Sie richtet sich insbesondere an Studierende des universitären Schwerpunktbereichs 8.
Für Hinweise per Mail sind wir dankbar.
Viel Vergnügen bei der Lektüre,
Antje von Ungern-Sternberg und das Team des Instituts für Recht und Digitalisierung Trier (IRDT).
EuGH: Arzneimittelverkauf im Netz - Gesundheitsdaten nach Art. 9 I DSGVO?
Oktober 2024
Der EuGH hat am 04.10.2024 in einem Vorabentscheidungsverfahren des BGH festgestellt, dass es sich bei den Daten, die Kunden bei der Online-Bestellung von apothekenpflichtigen Arzneimitteln eingeben, um Gesundheitsdaten im Sinne des Art. 9 Abs. 1 DSGVO handelt.
Hintergrund des Rechtsstreits waren zwei Apotheker, von denen einer seine Arzneimittel auch über Amazon Marketplace vertrieb. Dabei mussten die Kunden im Rahmen des Bestellvorgangs u.a. den Namen und die Lieferanschrift angeben. Laut dem Mitbewerber fehle es insbesondere an der erforderlichen Einholung einer Einwilligung in die Verarbeitung der Gesundheitsdaten.
Nach Auffassung des EuGH ist der Begriff „Gesundheitsdaten“ weit auszulegen, es genüge, wenn „aus diesen Daten mittels gedanklicher Kombination oder Ableitung auf den Gesundheitszustand der betroffenen Person geschlossen werden kann“, was bei einer Bestellung der Fall sei, da diese „eine Verbindung zwischen einem Arzneimittel, seinen therapeutischen Indikationen und Anwendungen und einer identifizierten oder durch Angaben wie den Namen oder die Lieferadresse identifizierbaren natürlichen Person“ herstelle. Dabei sei es unerheblich, ob diese Informationen den Kunden oder jemand anderen beträfen. Es widerspreche auch dem hohen Schutzniveau der DSGVO und dem Zweck von Art. 8 Abs. 1 und Art. 9 Abs. 1 DSGVO, danach zu differenzieren, ob der Verkauf nur auf ärztliche Verordnung erfolgen dürfe.
OLG Frankfurt: Werbedienstleister muss Cookie-Einwilligung Dritter sicherstellen
Juni 2024
Die Klägerin erhob vor dem Landgericht Frankfurt Klage gegen Microsoft. Die Klägerin beanstandete die Speicherung und das Auslesen von Cookies auf ihren Endgeräten zu werblichen Zwecken. Microsoft stellt mit „Microsoft Advertising“ eine Möglichkeit bereit, dass Unternehmen Werbung auf Plattformen des Microsoft-Netzwerks schalten können. Die Erfassung der Onlineaktivitäten und Interessen der Nutzer erfolgt durch Microsoft Advertising mittels Cookies. Webseitenbetreibern wird ein Code bereitgestellt. Bei einem Seitenaufruf erfolgt automatisch die Speicherung von Cookies bzw. deren Auslesen. Microsoft Advertising verpflichtet die Betreiber von Webseiten vertraglich dazu, für eine notwendige Einwilligung zu sorgen.
Die Klägerin gab an, dass einzelne Webseiten von Drittanbietern dieser Pflicht nicht nachgekommen seien, und forderte die Beklagte auf, das Unterlassen zu unterbinden (§ 823 Abs. 2, § 1004 BGB i. V. m. § 25 TDDSG/TDDDS). Im Berufungsverfahren wurde seitens des OLG Frankfurt am Main wie folgt entschieden: Gemäß § 25 Abs. 1 TTDSG sei „jedermann der Zugriff auf vernetzte Endeinrichtungen ohne die Einwilligung des Endnutzers“ untersagt. Diesbezüglich vertritt Microsoft Advertising die Auffassung, dass sich dieses Verbot lediglich auf den „Anbieter“ (hier also den Webseitenbetreiber) beziehe.
Nach der Entscheidung des OLG Frankfurt beziehe sich das Verbot jedoch auf „jedermann“. Es umfasse somit auch Microsoft Advertising. Gemäß § 2 Nr. 1 TTDSG gelte Microsoft Advertising darüber hinaus als „Anbieterin“, da „Anbieter“ jede natürliche oder juristische Person sei, die eigene oder fremde Telemedien erbringt oder an der Erbringung mitwirkt. Dabei umfasse das „Mitwirken“ nach herrschender Meinung jede Art von Hilfeleistung. Microsoft Advertising speichere Cookies auf den Endgeräten der Nutzer durch den bereitgestellten Code und greife auch auf die hinterlegten Informationen zu. Damit habe Microsoft Advertising die Speicherung der Cookies ohne Einwilligung adäquat kausal verwirklicht. Microsoft Advertising müsse sicherstellen, dass die Einwilligung vorliegt. Ein bloßes Vertrauen darauf, dass die Betreiber die Einwilligung einholen, genüge nicht.
EuGH: Immaterieller Schaden bei Datenlecks?
Juni 2024
In der Vorabentscheidung des EuGHs vom 20.06.2024 ging es um die Auslegung von Art. 82 Abs. 1 der DSGVO im Zusammenhang mit dem Ersatz des immateriellen Schadens, der durch die rechtswidrige Verarbeitung personenbezogener Daten entstehen kann. Scalable Capital, ein deutsches Unternehmen, betreibt eine Trading-App, auf der die Kläger Konten eröffneten. Dabei hinterlegten sie personenbezogene Daten wie Name, Geburtsdatum, Postanschrift, E-Mail-Adresse und eine digitale Kopie ihres Personalausweises. Im Jahr 2020 wurden diese Daten von unbekannten Dritten abgegriffen, laut Scalable Capital aber bisher nicht in betrügerischer Weise verwendet. Die Kläger machten geltend, dass ihnen durch den „Diebstahl“ ihrer Daten ein immaterieller Schaden entstanden sei und verlangten Schadensersatz.
Der EuGH entschied nach Vorlage des AG München, dass Art. 82 Abs. 1 DSGVO dahin gehend auszulegen sei, dass der Schadensersatzanspruch ausschließlich eine Ausgleichsfunktion erfülle. Dies bedeute, dass die finanzielle Entschädigung den konkret erlittenen Schaden vollständig ausgleichen solle, ohne eine abschreckende oder strafende Funktion zu haben. Eine Straffunktion erfülle hingegen der Art. 83 und der Art. 84 der DSGVO.
Weiterhin verlange Art. 82 Abs. 1 DSGVO nicht, dass der Grad der Schwere und die etwaige Vorsätzlichkeit des Verstoßes bei der Bemessung des Schadensersatzes berücksichtigt werde. Zu beachten sei außerdem, dass eine Verletzung des Schutzes personenbezogener Daten nicht weniger schwerwiegend sei als eine Körperverletzung. Dies müsse sich auch in der Festlegung der Höhe des Ersatzes widerspiegeln. Ein nationales Gericht könne bei geringfügigen Schäden einen symbolischen Schadensersatz gewähren, solange dieser den Schaden in vollem Umfang ausgleichen könne. Hier sei jedoch zu beachten, dass ein tatsächlicher materieller oder immaterieller Schaden nachgewiesen werden müsse.
Zuletzt stellt das Gericht fest, dass der Begriff „Identitätsdiebstahl“ im Sinne des 75. und 85. Erwägungsgrundes nur dann erfüllt sei, wenn ein Dritter tatsächlich die Identität der betroffenen Person angenommen habe. Der bloße „Diebstahl“ personenbezogener Daten stelle keinen Identitätsdiebstahl dar.
Ergänzend: Aktuelles zum Recht der Daten vom Mai 2023 (EuGH, Urteil vom 04.05.2023, Az.:C-300/21) und vom Januar 2024 (EuGH, Urteil vom 25.01.2024, Az.:C-687/21)
EuGH: Lockerung der Anforderungen an die Vorratsdatenspeicherung
April 2024
Mit Urteil vom 30.04.2024 hat der EuGH die Anforderungen an die Vorratsdatenspeicherung von IP-Adressen i.V.m. Identitätsdaten gelockert. Anlass war das Vorgehen von „Hadopi“, einer Behörde aus Frankreich, deren Aufgabe die Bekämpfung von Urheberrechtsverletzungen ist. Nach dem französischen Modell der „abgestuften Reaktion“ werden in Frankreich Urheberrechtsverletzer zunächst zweimal verwarnt, bevor es zu einer Strafverfolgung kommt. Um an die der IP-Adresse zugeordneten Identitätsdaten des Verletzers zu gelangen, wurde Hadopi per Dekret ermächtigt, personenbezogene Daten bei den jeweiligen Telekommunikationsanbietern abzufragen, die diese Daten gespeichert haben.
Nachdem der Antrag auf Aufhebung des Dekrets erfolglos geblieben war, riefen vier Verbände, die sich insbesondere für den Schutz der Internetfreiheit einsetzen, den französischen Staatsrat an. Dieser legte die allgemeine und unterschiedslose Vorratsspeicherung dem EuGH mit Blick auf mögliche Eingriffe auf das Recht auf Achtung des Privatlebens, den Schutz personenbezogener Daten und der freien Meinungsäußerung vor. Der EuGH entschied wie folgt: Nicht jede allgemeine und unterschiedslose Vorratsspeicherung von IP-Adressen stelle zwingend einen schweren Eingriff in die o.g. Rechte dar, vielmehr könne auch die Bekämpfung von Straftaten im Allgemeinen eine Rechtfertigung darstellen, soweit es eine Regelung gebe, die „gewährleistet, dass keine Kombination von Daten genaue Schlüsse auf das Privatleben […] [zulässt] […] und […] die Dauer der Speicherung nicht über das absolut Notwendige hinausgeht“. In diesem Zusammenhang wies der EuGH auch darauf hin, dass der Zugriff auf die IP-Adressen die einzige Ermittlungsmaßnahme sein könne und daher auch die Vorratsspeicherung erforderlich und verhältnismäßig sei. Zur Vermeidung von Missbrauch seien strenge Voraussetzungen zu beachten. Dazu gehöre insbesondere das Verbot, die besuchten Internetseiten nachzuvollziehen oder die IP-Adresse für andere Zwecke als der Identifizierung ihres Inhabers im Hinblick auf den Erlass etwaigen „gegen [ihn] gerichteter Maßnahmen“ zu verwenden.
Auf die Frage, ob der Zugang zu Identitätsdaten, die einer IP-Adresse zuzuordnen sind, von einer Kontrolle durch ein Gericht oder unabhängigen Stelle abhängig gemacht werden müsse, betont der EuGH, dass ein solches Erfordernis nur bestehe, wenn der Eingriff in die Grundrechte nicht als „schwerwiegend eingestuft werden“ könne. Ein Zugang, der allein dem Zweck diene, den Inhaber einer IP-Adresse zu ermitteln, stelle „in der Regel keinen schwerwiegenden Eingriff dar“.
Mit dieser Entscheidung weicht der EuGH von seinen bisherigen Urteilen ab, in denen er die Vorratsdatenspeicherung grundsätzlich für unzulässig erklärt hat. Eine Ausnahme bestand nur bei einer schwerwiegenden Gefahr für die nationale Sicherheit oder schweren Straftaten (C-793/19, C-794/19, ...).
EuGH: Zur Zulässigkeit der Speicherung von Fingerabdrücken im Personalausweis
März 2024
Seit 2021 muss man als Bürger bei Ausstellung eines neuen Personalausweises seinen linken und rechten Zeigefinger elektronisch speichern lassen, so ordnet es § 5 Abs. 5 und Abs. 9, § 9 Abs. 3 PAuswG (Umsetzung der EU-VO 2019/1157) an. Ein Bürger klagte hingegen vor dem VG Wiesbaden gegen seine Stadt, nachdem diese seinen Antrag auf Ausstellung eines Personalausweises ohne die Speicherung seiner Fingerabdrücke abgelehnt hatte. Dieses wandte sich an den EuGH und wollte insbesondere wissen, ob die Verordnung seinerzeit auf eine falsche Rechtsgrundlage gestützt worden war und ob die Speicherung von Fingerabdrücken im Ausweisdokument mit Art. 7 und 8 der GRCh bzw. mit dem Schutz personenbezogener Daten vereinbar ist. Denn, so das VG, es sei zwar ein - vom Unionsrecht-anerkanntes Ziel, illegale Einreisen zu verhindern, doch werde dieses Ziel durch die Speicherung nicht erreicht, da ein Personalausweis nicht primär der Einreise diene wie ein Reisepass, für den der EuGH die Zulässigkeit der Speicherung biometrischer Daten bereits in einem anderen Urteil bestätigt habe. Außerdem bestünden Zweifel an der Verhältnismäßigkeit des Eingriffes: Die Speicherung umfasse die sensiblen Daten von 370 Millionen Unionsbürgern und stelle damit einen weitreichenden Eingriff dar, der einer hohen Rechtfertigung bedürfe. Dies ergebe sich nicht zuletzt aus Art. 9 Abs. 1 DSGVO, der die Verarbeitung biometrischer Daten grundsätzlich verbiete. Die Speicherung zum Zwecke der Fälschungsprävention könne auch auf anderem Wege erreicht werden. Schließlich widerspreche die Speicherung von zwei vollständigen Fingerabdrücken auch dem Grundsatz der Datenminimierung aus der DSGVO.
Der EuGH urteilte in diesem Vorabentscheidungsverfahren, dass die vorgesehene Speicherung von Fingerabdrücken grundsätzlich rechtmäßig sei. Die Betrugs- und Fälschungsprävention sei ein dem Gemeinwohl dienende Zielsetzung und erfülle das Kriterium der Geeignetheit. Die erleichterte Identifizierung führe auch zu einer einfacheren Ausübung des Rechts auf Freizügigkeit in der EU. Eine Fälschung des Ausweisdokumentes sei durch die Aufnahme von biometrischen Daten erheblich erschwert. Vollständige Fingerabdrücke verbesserten zudem die Interoperabilität der verschiedenen nationalen Überprüfungssysteme. Die zwingende Aufnahme von vollständigen Fingerabdrücken und nicht nur "charakteristischer Punkte" sei letztlich am wirksamsten, um das spezifische Ziel zu erreichen. Somit halte die Maßnahme "die Grenze des absolute Notwendigen" ein. Es seien Garantien eingeführt worden, um das Risiko eines Datenmissbrauchs zu minimieren (z.B. Löschfristen, Speicherung nur auf dem Speichermedium des Ausweises und die Beschränkung der erlaubten Verwendungszwecke der biometrischen Daten). Letztlich sei somit die Verhältnismäßigkeit gewahrt und die Maßnahme rechtmäßig.
Der EuGH betonte jedoch, dass die Verordnung aufgrund der fehlerhaften Wahl der Rechtsgrundlagen und eines damit einhergehenden fehlerhaften Gesetzgebungsverfahrens ungültig sei. Der Gesetzgeber hätte sich auf die lex specialis-Norm des Art. 77 Abs. 3 AEUV stützen müssen. Dennoch gewährt der EuGH eine Übergangsfrist, da eine sofortige Ungültigkeit der Verordnung zu einem Sicherheitsrisiko führen könnte.
EuGH: Zu datenschutzrechtlichen Fragen bei personalisierter Werbung
März 2024
Mit zwei grundlegenden datenschutzrechtlichen Fragen zu personalisierter Werbung im Rahmen des „Real Time Bidding“ (automatisierte Online-Versteigerung von Nutzerprofilen für den Verkauf und Kauf von Online-Werbeplätzen) befasste sich der EuGH vor kurzem auf Vorlage eines belgischen Gerichts. Geklagt hatte IAB Europe, ein Verband, der Werbetreibende auf EU-Ebene vertritt. Der IAB Europe stellt seinen Mitgliedern (gerade im Bereich des „Real Time Bidding“) eine Sammlung an Anweisungen, Spezifikationen und Verpflichtungen bereit („Transparency & Consent Framework“, TCP) sowie eine Datenschutzeinwilligungsplattform mit Cookie-Banner („Consent Management Platform“, CMP). Beides soll dafür sorgen, die nutzerspezifischen Werbeanzeigen möglichst datenschutzkonform zu gestalten.
Die belgische Datenschutzbehörde äußerte an diesem Vorgehen datenschutzrechtliche Bedenken und verhängte Maßnahmen gegen den Verband. Kritisch sei, dass nach Interaktion mit dem Einwilligungsbanner durch den Nutzer eine Zeichenfolge („TC-String“) sowie ein Cookie erstellt würden. Diese Zeichenfolge werde mit den Werbebrokern geteilt, damit diese wüssten, wozu der Nutzer eingewilligt hat oder wogegen er Widerspruch eingelegt habe. Technisch könne die Zeichenfolge zusammen mit dem Cookie der IP-Adresse des Nutzers zugeordnet werden, so dass es sich hier um personenbezogene Daten nach Art. 4 Nr. 1 DSGVO handele, darüber hinaus sei IAB Europe auch „Verantwortlicher“ nach Art. 4 Nr. 7 DSGVO.
Der EuGH schloss sich im Ergebnis weitgehend der Auffassung der Datenschutzbehörde an. Zunächst handele es sich bei der Zeichenfolge um ein personenbezogenes Datum. Es reiche bereits aus, wenn dieses unter Heranziehung zusätzlicher Informationen mit vertretbarem Aufwand einer Person zugeordnet werden könne; diese zusätzlichen Informationen müssten sich nicht „in den Händen einer einzigen Person“ befinden. Darüber hinaus sei das IAB Europe auch „gemeinsamer Verantwortlicher“ im Sinne von Art. 4 Nr. 7 und Art. 26 Abs. 1 DSGVO, da dieser durch das TCP festlege, wie personenbezogene Daten gespeichert und verarbeitet werden müssen und aus Eigeninteresse auf die betreffende Verarbeitung Einfluss nehme. Irrelevant sei, dass der IAB Europe keinen unmittelbaren Zugang auf die personenbezogenen Daten habe; die gemeinsame Verantwortlichkeit setze keine gleichwertige Verantwortlichkeit voraus. Eine Grenze sei jedoch dort erreicht, wo der Verband nach der Speicherung der Einwilligung nachweislich keinen Einfluss mehr auf die weitere Verarbeitung der Daten habe.
EuGH: Zum immateriellen Schadensersatzanspruch aus der DSGVO
Januar 2024
Der Kläger kaufte in einem SATURN-Elektrofachmarkt ein Haushaltsgerät, das an der Warenausgabe zusammen mit dem Kauf- und Kreditvertrag irrtümlich einem anderen Kunden ausgehändigt wurde. Der Irrtum wurde schnell bemerkt und das Gerät samt Unterlagen innerhalb einer halben Stunde an den Kläger zurückgegeben. Seine personenbezogenen Daten wurden durch den Dritten nachweislich nicht zur Kenntnis genommen. Dennoch machte der Kläger vor dem Amtsgericht Hagen einen Anspruch auf Ersatz seines immateriellen Schadens gemäß Artikel 5, 24, 32 und 82 DSGVO geltend. Er begründete dies mit der Gefahr des Kontrollverlustes über seine personenbezogenen Daten und der damit verbundenen Missbrauchsgefahr.
Im Rahmen eines Vorabentscheidungsverfahrens stellte der EuGH zunächst fest, dass die Art. 5, 24, 32 und 82 DSGVO so auszulegen seien, dass die bloße irrtümliche Weitergabe personenbezogener Daten durch einen Mitarbeiter nicht ausreiche, um nachzuweisen, dass die technischen und organisatorischen Maßnahmen des Verantwortlichen (SATURN) nicht allein „geeignet“ im Sinne der Art. 24 und 32 DSGVO seien. Vielmehr müsse das nationale Gericht alle Beweise des Verantwortlichen berücksichtigen, die die „Geeignetheit“ der Maßnahmen belegen könnten.
Der EuGH stellte außerdem fest, dass nach Art. 82 Abs. 1 DSGVO (der im Übrigen keine Sanktionsfunktion erfülle und daher nur den konkreten Schaden aus der Verletzung ausgleichen solle) die betroffene Person nicht nur den bloßen Verstoß gegen die DSGVO nachweisen müsse, sondern auch, dass sie einen (materiellen oder immateriellen) Schaden erlitten habe. Dies wird im Wesentlichen damit begründet, dass der Wortlaut kumulativ voraussetze, dass ein „Schaden“ durch einen „Verstoß“ gegen die DSGVO eingetreten sei.
Der Begriff des „immateriellen“ Schadens sei weit auszulegen, sodass zwar grundsätzlich die Befürchtung ausreichen könne, dass personenbezogene Daten von Dritten missbräuchlich verwendet werden könnten, jedoch sei wiederum zu beachten, dass die bloß hypothetische Gefahr einer missbräuchlichen Verwendung nicht zu einer Entschädigung führen könne. Das nationale Gericht müsse prüfen, ob die Möglichkeit einer Kopie der Daten und einer anschließenden missbräuchlichen Verwendung bestehe.
EuGH: Zur Reichweite der Prüfungskompetenz einer nationalen Wettbewerbsbehörde
Juli 2023
Das Bundeskartellamt untersagte dem Unternehmen „Meta Platform Ireland“ die Nutzung von der Plattform Facebook von der Verarbeitung der sogenannten „Off-Facebook-Daten“ (Daten, die aus Aktivitäten außerhalb der Plattform erhoben werden, wie z.B. dritte Websites und Apps, sowie anderer Online-Dienste des Metakonzerns) abhängig zu machen und diese ohne Einwilligung zu verarbeiten. Angeführt wurde bei der Prüfung vornehmlich, dass dies nicht mit den der DSGVO zugrunde liegenden Wertung im Einklang stehe. Gerechtfertigt werden könne die Verarbeitung insbesondere nicht mit Art. 6 I und Art. 9 II DSGVO. Das Unternehmen klagte dagegen. Im Rahmen eines Vorabentscheidungsverfahrens entschied der EuGH wie folgt: hier weiterlesen.
EuGH: Bloßer Verstoß gegen die DSGVO begründet keinen Schadensersatzanspruch
Mai 2023
Reicht ein bloßer Verstoß gegen die DSGVO für einen Schadensersatzanspruch und muss für den Zuspruch auf immateriellen Ersatz eine Rechtsverletzung von zumindest einigem Gewicht vorliegen? Mit diesen Vorlagenfragen wandte sich der österreichische Oberste Gerichtshof an den EuGH. Ausgangspunkt war das Begehren eines Bürgers auf immateriellen Schadensersatz gegen die Österreichische Post, welche im Jahr 2017 „Informationen über die politischen Affinitäten“ der Bevölkerung sammelte. Aus diesen Daten leitete sie ohne Einwilligung des Betroffenen ab, dass dieser eine hohe Affinität zu einer bestimmten österreichischen politischen Partei habe. Hieraus habe der Betroffene „großes Ärgernis und einen Vertrauensverlust sowie ein Gefühl der Bloßstellung“ verspürt. Die jeweiligen Daten des Betroffenen wurden nicht an Dritte weitergegeben.
Der EuGH stellte fest, dass der Schadensersatzanspruch aus Art. 82 Abs. 1 DSGVO an drei kumulative Voraussetzungen geknüpft sei: einen Verstoß gegen die DSGVO, einen materiellen oder immateriellen Schaden, der aus dem Verstoß resultiere und einen Kausalzusammenhang zwischen Schaden und Verstoß. Die Auslegung, dass jeder Verstoß einen Schadensersatz begründe, liefe dem gegensätzlichen Wortlaut der Absätze 1 und 2 des Artikels 82 sowie den Erwägungsgründen 75, 85 und 146 zuwider. Dies sei somit ein Unterschied zu anderen DSGVO-Rechtsbehelfen, für die ein individueller Schaden nicht nachgewiesen werden müsse, da diese vor allem einen Sanktionszweck verfolgen. Dass eine gewisse Erheblichkeitsschwelle für einen immateriellen Schadensersatz erreicht sein müsse, lehnte der EuGH jedoch ab und begründete dies mit dem Wortlaut und dem weiten Verständnis des Unionsgesetzgebers bezüglich des Schadensbegriffs (Erwägungsgrund 146 S. 3). Zudem würde die Bejahung einer Erheblichkeitsschwelle dazu führen, dass eine solche Schwelle je nach Beurteilung durch die verschiedenen Gerichte unterschiedlich hoch ausfallen könne, was dem Grundsatz des einheitlichen Schutzes der DSGVO innerhalb der Union widerspreche. Letztlich stellt der EuGH fest, dass die Höhe des Schadensersatzes nach den innerstaatlichen Vorschriften des jeweiligen Mitgliedsstaates zu bestimmen sei.
EuGH: Auskunftsanspruch umfasst konkrete Identität von Datenempfängern
Januar 2023
Genügt dem Auskunftsanspruch aus Art. 15 DSGVO eine generische Aufzählung von Datenempfängern? Relevanz fand diese vom EuGH zu beantwortende Frage im Fall eines Betroffenen, der bei der Post Auskunft über die Empfänger seiner personenbezogenen Daten verlangte. Zunächst verwies diese den Betroffenen lediglich auf eine Weitergabe seiner Daten an Geschäftskunden zu Marketingzwecken. Erst im Prozess zwischen dem Betroffenen und der Post fand eine generische Ergänzung statt. Beispielsweise durch die Betitelung als „IT-Unternehmen“ oder „Spendenorganisationen“. Dies genüge nach dem EuGH jedoch nicht den Anforderungen des Art. 15 Abs. 1 lit. c DSGVO. Nach diesem sei dem Betroffenen die konkrete Identität des Datenempfängers mitzuteilen. Zwar sei eine solche Auslegung nach dem Wortlaut nicht zwingend, doch zog der EuGH zur weiteren Begründung neben der praktischen Wirksamkeit des Auskunftsanspruchs den Grundsatz der Transparenz und das Ziel der Erreichung eines möglichst hohen Datenschutzniveaus heran.
EuGH: Zur Weiterverarbeitung personenbezogener Daten zu Testzwecken
Oktober 2022
Dürfen Unternehmen bereits vorhandene Kundendaten zu Testzwecken verwenden? Mit dieser Frage beschäftigte sich der EuGH im Falle eines Unternehmens, dass aufgrund von Serverproblemen einen Teil seiner Kundendaten zur Fehlerbeseitigung auf einen Testserver kopierte. Grundsätzlich, so der EuGH, unterlägen Kundendaten dem Grundsatz der Zweckbindung aus Art. 5 Abs. 1 lit. b DSGVO nach dem diese lediglich für vorher festgesetzte Zwecke verwendet werden dürften. Eine Weiterverarbeitung – wie sie hier bei einer Kopie auf einen Testserver vorläge – sei nur unten den zusätzlichen Voraussetzungen des Art. 6 Abs. 4 DSGVO rechtmäßig. Im vorliegenden Fall wären diese allerdings gegeben, da die Fehlerbehebung insbesondere der Erbringung der vertraglich geschuldeten Dienstleistung diene (konkreter Zusammenhang) und eine solche Verarbeitung auch von den Kunden erwartet werden könnte. Allerdings wurden die Kundendaten im vorliegenden Fall nach der Fehlerbehebung nicht sofort gelöscht, sondern waren für weitere 18 Monate ohne eine konkrete Zweckbindung weiter auf dem Testserver gespeichert. Hierin sah der EuGH eine Verletzung des Grundsatzes der Speicherbegrenzung aus Art. 5 Abs. 1 lit e DSGVO nach dem eine Löschung nach Wegfall des Verarbeitungsgrundes hätte erfolgen müssen.
VG Wiesbaden: Cookiedienst auf Hochschul-Webseite unzulässig
Dezember 2021
Darf eine Hochschule einen Cookie-Dienst verwenden mit dem IP-Adressen von Besuchern der eigenen Webseite an ein Unternehmen weitergeleitet werden? Hintergrund einer solchen Datenübermittlung war im vorliegenden Fall der Zweck, die Einholung von Einwilligungen in eine Cookie-Nutzung zu ermöglichen. Einer solchen Praxis, so das VG Wiesbaden, stünde aber die Erwägung entgegen, dass die Übermittlung von IP-Adressen für den Betrieb der Webseite einer Hochschule an sich nicht erforderlich sei. Weiterhin führe auch der in den USA liegende Unternehmens- bzw. Serverstandort des gegenständlichen Unternehmens zu einer Unzulässigkeit der Verarbeitung. Dies folge aus dem Drittlandbezug unter Heranziehung der Rechtsprechung des EuGHs (Schrems II – Risiken in den USA durch den Cloud Act), zumal Einwilligungen in eine Übermittlung ins Ausland nie eingeholt wurden.
Generalanwalt Campos Sánchez-Bordona: Anlasslose Vorratsdatenspeicherung ist unzulässig
November 2021
Dürfen EU-Mitgliedstaaten Daten auf Vorrat speichern? Grundsätzlich nicht ohne Anlass, so der Generalanwalt Campos Sánchez-Bordona laut Pressemitteilung des EuGHs vom 18.11.2021. Dies gelte nach ihm selbst dann, wenn der Zweck der Vorratsdatenspeicherung auf die Verfolgung schwerer Straftaten gerichtet sei. Eine andere Beurteilung käme nur zum Schutz der nationalen Sicherheit in Betracht. Seine Einordnung, so der Generalanwalt, ergäbe sich dabei bereits aus der bisher ergangenen Rechtsprechung des EuGHs oder sei zumindest unschwer hieraus ableitbar. Insbesondere verweist er auf die bereits mehrfach festgestellte Schwere eines Eingriffs in der Form einer allgemeinen und unterschiedslosen Speicherung von Verkehrs- und Standortdaten über die elektronische Kommunikation. Nicht zuletzt auch wegen der bestehenden Zugangsmöglichkeiten müsste von einer solchen Datenspeicherung abgesehen und auf eine selektive Speicherung verwiesen werden.
OLG Dresden: Zum Bestand und Umfang einer vergangenheitsbezogenen Auskunftspflicht
August 2021
Zwar regelt Art. 15 DSGVO den Auskunftsanspruch von Betroffenen umfassend, doch erstreckt sich dieser auch auf die Vergangenheit? Diese Frage stellte sich im vom OLG Dresden zu entscheidenden Fall vor dem Hintergrund, dass Auskunft über die Daten einer im Rahmen vertraglicher Gewährleistung zur Verfügung gestellten aber bereits zerstörten und ausgetauschten Festplatte begehrt wurde. Nach der Literatur, so das OLG, könne sich ein solcher Auskunftsanspruch nur auf aktuell noch vorhandene und nicht mehr auf gelöschte personenbezogene Daten beziehen. Dies folge zum einen aus dem Wortlaut des Art. 15 DSGVO („verarbeitet werden“) und zum anderen aus den anzugebenen Speicherfristen die sich unter anderem aus Art. 5 I lit. e DSGVO ergäben. Letztlich konnte diese Frage aber vom OLG offengelassen werden, da nach diesem der Antragsgegner mit dem Hinweis auf die Zerstörung der Festplatte und der hierin liegenden negativen Verarbeitungsbestätigung seiner etwaigen Auskunftspflicht bereits nachgekommen wäre. Insbesondere betonte es dabei, dass ein Anspruch nach Art. 15 DSGVO bereits schon dann erfüllt sei, wenn die erteilten Angaben nach Erklärung des Auskunftsgegners die Auskunft im geschuldeten Gesamtumfang darstellen sollen.
OLG Schleswig: Auch Schufa bei Speicherung an rechtliche Wertungen gebunden
Juli 2021
Darf die Schufa Daten über Insolvenzschuldner aus berechtigtem Interesse (vgl. Art. 6 I lit. f DSGVO) länger speichern als ihre Veröffentlichung im Insolvenzbekanntmachungsportal vorgesehen ist? Gesetzlicher Anknüpfungspunkt dieser Frage war § 3 II InsoBekVO nach dem Entscheidungen über Restschuldbefreiungen nur für sechs Monate im amtlichen Insolvenzbekanntmachungsportal veröffentlicht werden dürfen. Im vom OLG zu entscheidenden Fall hatte die Schufa jedoch Daten des Portals übernommen und wollte einem nach Ablauf dieser Zeitspanne gestellten Löschungsantrag aufgrund ihrer eigenen Verhaltensregeln nicht nachkommen. Diese sahen eine Löschung erst nach drei Jahren vor. Zwar berief sich die Schufa auf das Interesse ihrer Vertragspartner an eben jenen bonitätsrelevanten Informationen, doch konnte das OLG im Ergebnis kein berechtigtes Interesse feststellen. Eine über die gesetzliche Regelung hinausgehende öffentliche Zurverfügungstellung der Daten zöge nämlich schwerwiegende wirtschaftliche Nachteile für den Betroffenen mit sich, da ihm aufgrund dessen weder die Aufnahme eines Darlehens, noch der Bezug einer Mietwohnung möglich sei. Entscheidend sei aber vor allem der Umstand, dass ein Interesse niemals berechtigt sein könne, wenn es im Widerspruch zur Rechtsordnung (§ 3 II InsoBekVO) stünde. Da die Verhaltensregeln der Schufa keine Rechtswirkung zulasten des Betroffenen entfalten könnten, ließe sich auch hierrüber kein abweichendes Ergebnis begründen.
EGMR: Recht auf Vergessen werden in Online-Zeitungsarchiven
Juni 2021
Wie lange dürfen Artikel über (tödliche) Autounfälle in Online-Archiven einsehbar sein? Jedenfalls im vorliegendem Fall aus dem Jahre 1994, so der EGMR, müsse der Unfallfahrer ein Recht auf Anonymisierung haben. Der EGMR begründete seine Rechtsprechung damit, dass der Unfallfahrer seine Strafe bereits abgesessen habe und als rehabilitierte Person eine Chance auf die Wiederherstellung seiner Reputation haben müsse. Nicht zuletzt auch deswegen müsse eine Entstehung von elektronischen Strafregistern im Internet vermieden werden. Vor diesem Hintergrund käme nach dem EGMR ein Verstoß gegen die Meinungsfreiheit des Online-Archives nicht in Betracht, da die bloße Unkenntlichmachung des Namens des Unfallfahrers ein verhältnismäßiges Mittel zur Wahrung der Grundrechte beider Parteien sei.
EGMR, Urteil vom 22.06.2021, Az.: 57292/16 (französisch)
BGH: Keine teleologische Einschränkung des Art. 15 DSGVO
Juni 2021
Art. 15 DSGVO gibt Betroffenen einer Datenverarbeitung einen umfassenden Auskunftsanspruch gegen ihren jeweiligen Verarbeiter. Vor diesem Hintergrund wurde zum Beispiel vom BAG mit Urteil vom 27.4.2021 (siehe auch unten) vertreten, dass die eigene Korrespondenz nicht von Art. 15 DSGVO erfasst wäre, da man diese schon selbst kennen würde. Doch ist eine solche teleologische Reduktion mit der DSGVO vereinbar? Nein, so der BGH im Falle des Auskunftsbegehrens eines Versicherungsnehmers gegen seinen Versicherer. Der Begriff der personenbezogenen Daten, wie er auch in den Art. 4 und 15 der DSGVO auftauche, sei weit zu verstehen und erfasste sämtliche Informationen, die den Betroffenen persönlich treffen würden. So seien im Grundsatz weder interne Vermerke noch die Korrespondenz des Versicherers mit dem Versicherungsnehmer oder Dritten vom Auskunftsanspruch des Betroffenen ausgenommen. Eine Auskunft nach Art. 15 DSGVO sei vollständig zu erteilen und könne daher auch nicht auf wichtige biografische Informationen begrenzt werden. Dies ergäbe sich sowohl aus Wortlaut und Zweck des Art. 15 DSGVO als auch aus Erwägungsgrund 63 S. 1 der DSGVO. Betroffene sollen hiernach die Möglichkeit haben sich einer Datenverarbeitung bewusst zu werden und diese auf ihre Richtigkeit überprüfen zu können. Lediglich Informationen, die sich erst durch eine Analyse der personenbezogenen Daten ergäben, seien nicht mehr vom Auskunftsanspruch des Betroffenen erfasst.
EuGH: Zur Veröffentlichung der Verkehrssünderkartei in Lettland
Juni 2021
Ausgangspunkt des Verfahrens war eine lettische Regelung, die die öffentliche Zugänglichmachung der Verkehrssünderdatei Lettlands vorsah. Auch ohne ein besonderes Interesse geltend mach zu müssen, sollte hiernach eine Übermittlung der gegen einen bestimmten Fahrzeugführer verhängten Strafpunkte an jede Person erfolgen, die dies beantragt. Doch ist so eine Norm mit der europäischen Datenschutzgrundverordnung vereinbar? Hinter der Regelung stand die Erwägung, dass die Straßenverkehrssicherheit Lettlands verbessert werden sollte. Zwar sah der EuGH hierin ein legitimes Interesse, doch konnte er im Ergebnis keine Erforderlichkeit der Datenverarbeitung für die Wahrnehmung einer öffentlichen Aufgabe erkennen (vgl. Art. 6 I lit. e DSGVO). Insbesondere aufgrund der Schwere des Eingriffs in das Persönlichkeitsrecht der Betroffenen verwies der EuGH den lettischen Gesetzgeber auf mildere Möglichkeiten, bei denen nicht die Gefahr einer Stigmatisierung oder einer gesellschaftlichen Missbilligung bestünde. Zudem seien die in Rede stehenden Strafpunkte – aufgrund ihres repressiven Charakters – sensible Daten über strafrechtliche Verurteilungen und Straftaten, sodass eine Verarbeitung auch an den Maßstäben des Art. 10 DSGVO zu messen sei. Vor diesem Hintergrund könne das Recht auf Zugang zu amtlichen Dokumenten sowie das Recht auf Informationsfreiheit kein anderes Ergebnis begründen. Da die Verarbeitung durch die Verkehrssicherungsbehörden auch nicht im Rahmen einer Tätigkeit stattfände, die der Wahrung der nationalen Sicherheit dienen würde, käme auch eine vorgelagerte Bereichsausnahme des Art. 2 DSGVO nicht in Betracht.
OVG Münster: Anspruch auf unentgeltliche Kopie der Examensklausuren
Juni 2021
Die eigenen Prüfungsarbeiten geben dem Prüfer einen Einblick in den eigenen Kenntnisstand zum Zeitpunkt der Prüfung. Auch werden sie regelmäßig zu Nachweiszwecken aufbewahrt. Kurzweg: Es handelt sich hierbei um personenbezogene Daten, die demnach auch der DSGVO unterfallen. Doch besteht vor diesem Hintergrund auch ein Anspruch auf unentgeltlicher Kopie der eigenen Examensklausuren und Prüfergutachten aus Art. 15 III DSGVO? Dies hat das OVG Münster im Falle eines Examensabsolventen der zweiten juristischen Staatsprüfung angenommen. Insbesondere sei das Landesprüfungsamt nicht berechtigt das Verlangen nach Kopie der mehreren hundert Seiten von einer Kopierkostenzahlung abhängig zu machen. Auch ließe sich ein entgegenstehendes rechtsmissbräuchliches Handeln auf Seiten des Klägers sowie ein unverhältnismäßig großer Aufwand auf Seiten des Landesprüfungsamts nicht erkennen.
OVG Sachsen: Beibringungspflicht eines negativen Corona-(schnell-)tests für Schüler zulässig?
April 2021
Durfte die Sächsische Corona-Schutz-Verordnung (SächsCoronaSchVO) den Zutritt zu Schulen an die Beibringung eines negativen Corona-(schnell-)tests knüpfen? Im vom OVG zu entscheidenden Fall wandte sich ein betroffener Schüler im Wege des Eilrechtsschutzes gegen eben dieses Zutrittsverbot. Zwar berief sich der Antragssteller unter anderem auch auf einen Verstoß gegen die DSGVO, doch sah das OVG die SächsCoronaSchVO mit der DSGVO für vereinbar an. Die maßgeblichen Vorschriften der SächsCoronaSchVO seien taugliche Rechtsgrundlagen, um eine Verarbeitung über Art. 6 I lit. c und e DSGVO zu rechtfertigen. Insbesondere sei eine Datenverarbeitung für den Nachweis notwendig, dass Tests nicht älter als drei Tage alt wären, sodass auch von einer Erforderlichkeit der Vorschriften der SächsCoronaSchVO im Sinne des Art. 6 III DSGVO auszugehen sei. Sofern daneben sensible Gesundheitsdaten verarbeitet werden würden, wären diese vorliegend für Zwecke der Gesundheitsvorsorge erforderlich und somit über Art. 9 II lit. h DSGVO gerechtfertigt.
BAG: Auskunftsansprüche gekündigter Arbeitnehmer unzulässig
April 2021
Besteht ein Anspruch eines gekündigten Arbeitnehmers gegen seinen ehemaligen Arbeitgeber auf Auskunft über den gesamten E-Mail-Verkehr mit oder über ihn? Ihre Relevanz fand diese Frage vor dem Hintergrund, dass zunehmend Beschäftigte so ihre Position im Kündigungsschutzprozess über die Gewinnung neuer Druckmittel verbessern wollten. Grundsätzlich, so die Vorinstanz, bestünde in solchen Fällen ein Anspruch nach Art. 15 I DSGVO auf Auskunft nur, soweit personenbezogene Daten in den E-Mails verarbeitet würden. Doch wäre hiervon schon der eigene E-Mail-Verkehr ausgenommen, denn diesen würde man selbst schon kennen. In Bezug auf den restlichen E-Mail-Verkehr über den Beschäftigten führte das BAG nun im Einklang mit der Vorinstanz aus, dass ein hierauf gerichteter Klageantrag nicht hinreichend bestimmt wäre. Nach § 253 II Nr. 2 ZPO müsste der Klagegegenstand so genau bezeichnet werden, dass im Vollstreckungsverfahren unzweifelhaft sei, auf welche E-Mails sich eine Verurteilung beziehen würde.
OLG Köln: Auskunftsansprüche auch bei anonymen Bewertungsportal?
April 2021
Arbeitergeber-Bewertungsportale im Internet geben vielen Arbeitnehmern die Möglichkeit anonym ihren aktuellen oder ehemaligen Arbeitgeber zu bewerten. Sollten User diese Möglichkeit allerdings missbräuchlich ausnutzen, so besteht seitens des Arbeitgebers ein Löschungsanspruch gegen den Betreiber des Bewertungsportals. So auch hier im vom OLG Köln zu entscheidenden Sachverhalt. Vor dem Hintergrund, dass solche Bewertungen aber immer wieder auftauchten, ging es hier um Frage, ob ein Arbeitgeber auch einen Auskunftsanspruch aus Art. 15 I DSGVO gegen den Betreiber des Portals auf Bestands- oder Nutzungsdatenauskunft der maßgeblichen User hätte. Dem hat das Gericht aber eine klare Absage erteilt. Art. 15 I DSGVO sei als zentrales Betroffenengrundrecht ausgestaltet und bezöge sich seinem Wortlaut nach nur auf „sie betreffende“ personenbezogene Daten, mithin nicht auf solche der User. Ein anderes Ergebnis ließe sich auch nicht mit Art. 15 I lit. g DSGVO begründen, nach dem im Falle einer Drittauskunft "alle verfügbaren Informationen über die Herkunft der Daten" herausverlangt werden könnten. Insofern würden die §§ 12 II und 14 III-V TMG zulässige Beschränkungen des Auskunftsrechts darstellen, die grundsätzlich die zweckändernde Weiterverarbeitung der von dem Dienstanbieter erhobenen Daten untersagen würden. Auf die – hier fehlende – Zulässigkeit nach Art. 6 IV DSGVO käme es hier daher nicht mehr an.
VfGH Sachen: Datenerhebung mittels einsehbarer Liste unzulässig
April 2021
Auch Gerichte sind aufgrund der Coronavirus-Pandemie zur Kontaktdatenerfassung verpflichtet. So dürfen sie Besuchern nur dann den Zugang zum Gerichtsgebäude gestatten, wenn diese neben Name, Anschrift und Telefonnummer auch Aktenzeichen und Sitzungssaal der Verhandlung angeben. Aber ist es vor diesem Hintergrund auch zulässig die Eintragung in eine für nachfolgende Besucher am Eingang einsehbare Liste zu verlangen? Bei einer solchen Liste, so der VfGH Sachen, läge eine nichtautomatisierte Verarbeitung von in einem Dateisystem gespeicherten Daten vor, sodass diese an der DSGVO zu messen sei. Insbesondere müsse sich eine solche Liste auch am Grundsatz der Vertraulichkeit aus Art. 5 I lit. f DSGVO messen lassen. Vorliegend aber würde offenkundig gegen diesen Grundsatz verstoßen werden, da jeder unbefugte Dritte Zugang zu dieser Liste habe. Auf eine Vereinbarkeit mit Art. 6 DSGVO käme es daher nicht mehr an.
OVG Schleswig-Holstein: Rechtliche Eignung der Videoaufsicht für Prüfungen?
März 2021
Ist es datenschutzrechtlich zulässig bei elektronischen Prüfungen die Prüflinge zur audio-visuellen Übertragung (Videoaufsicht) zu verpflichten? Im vom OVG Schleswig-Holstein zu entscheidendem Fall ergab sich eine solche Verpflichtung aus einer universitären Satzung, die hiermit unter anderem Täuschungsversuche bei solchen Prüfungen verhindern sollte. Generell, so das OVG, käme beim Vorliegen einer Einwilligung seitens der Prüflinge schon eine Rechtfertigung der Verarbeitung über Art. 6 I lit. a DSGVO in Betracht. Obwohl dies hier nicht abschließend bewertet werden konnte, stellte das OVG fest, dass hierfür immer einzelfallabhängig auf das jeweilige Verfahren zur Prüfungsanmeldung abzustellen sei. So käme es im Einklang mit Art. 7 DSGVO zum Beispiel entscheidend auf eine Rücktritts- oder Widerrufsmöglichkeit von Klausur und Einwilligung an. Insbesondere sah das OVG aber im vorhandenen Abhängigkeitsverhältnis der Prüflinge ein Problem bezüglich der Freiwilligkeit der Einwilligungserteilung. Letztendlich würde aber der Rechtskreis der Prüflinge durch die Möglichkeit der elektronischen Prüfung lediglich erweitert, sodass eine freiwillige Einwilligungserteilung regelmäßig vorläge. Im Ergebnis kam hier die Rechtfertigung über Art. 6 I lit. e DSGVO zum Zuge, da die rechtfertigenden Normen der Satzung für die Wahrnehmung einer Aufgabe erforderlich waren, die in Ausübung öffentlicher Gewalt erfolgte. Diese waren hier aufgrund einer Vorgabe zur persönlichkeitsschützenden Einrichtung der Videoaufsicht auch verhältnismäßig.
OVG Schleswig-Holstein, Beschluss vom 03.03.202, Az.: 3 MR 7/21
VG Weimar: Kein datenschutzrechtlicher Anspruch auf Verifizierung
März 2021
Folgt aus dem Recht auf Datenübertragbarkeit (Art. 20 DSGVO) auch ein Anspruch auf Fertigung und Übersendung einer elektronischen Abschrift einer (Approbations-)Urkunde? Dies wäre nur dann der Fall, wenn die vom Antragssteller begehrte Verifizierung (Beglaubigung) der Urkunde auch vom Anspruchsinhalt des Art. 20 DSGVO umfasst wäre. Jedenfalls – so das OVG – scheitere es im vorliegenden Fall aber schon an den Anspruchsvoraussetzungen des Art. 20 DSGVO. Daten im Sinne der Vorschrift wären nur solche, die der Betroffene selbst der Behörde übermittelt hätte wie zum Beispiel den eigenen Namen oder das Geburtsdatum. Hingegen beruhe die erteilte (Approbations-)Urkunde auf einer eigenen Nachprüfung der Behörde und stelle das Ergebnis einer Auswertung ihrerseits dar. Im Übrigen sei ein Recht auf Datenübertragbarkeit bei Datenverarbeitungen in Ausübung öffentlicher Gewalt schon ausdrücklich durch Art. 20 III DSGVO ausgeschlossen. Darüber hinaus ergebe sich ein solcher Anspruch (abgesehen von der Frage der Anwendbarkeit neben der DSGVO) auch nicht aus § 25 II Nr. 2 DSGVO, da die Norm kein Betroffenenrecht darstelle und deswegen auch keine subjektiven Rechte begründen könne.
OLG Karlsruhe: Verdacht auf Straftat kann Schufa-Eintrag rechtfertigen
Februar 2021
Löschungsansprüche bezogen auf einzelne Schufa-Einträge bestehen im Rahmen des Art. 17 DSGVO grundsätzlich bei inhaltlich gegenstandslosen Einträgen. Doch wie ist die Lage zu bewerten, wenn die Einträge auf Auffälligkeiten des Antragsstellers beruhen, die auf eine Straftat hindeuten? Möglicher Ausgangspunkt für einen Löschungsanspruch wäre hier Art. 17 I lit. d DSGVO dessen einzige Voraussetzung eine unrechtmäßige Datenverarbeitung darstellt. Im vorliegenden Fall, so das OLG, käme aber insbesondere eine Rechtfertigung wegen berechtigten Interesses über Art. 6 I lit. f DSGVO in Betracht. Bei der hiernach erforderlichen Interessenabwägung wäre vor allem das Informationsungleichgewicht zwischen Kreditinstituten und Kreditnehmern von Relevanz. Erstere sind auf die Informationen über den Kreditnehmer angewiesen, um insbesondere das Risiko einer Konfrontation mit strafbaren Handlungen vorbeugen zu können. In Hinblick auf die Unschuldsvermutung (Art. 6 II EMRK) und das Vortragen des Klägers war aber auch darüber zu entscheiden, ob eine Verarbeitung nicht sogar an Art. 10 DSGVO zu messen sei. Insofern berief sich der Kläger darauf, dass er besser stünde, wenn es zu einer Verurteilung gekommen wäre, die Norm deshalb erst Recht bei einem Verdacht anzuwenden sei. Doch läge, so das OLG, eine strafrechtliche Verurteilung bzw. eine Straftat im Sinne des Art. 10 DSGVO nicht vor. Schutzzweck des Artikels sei gerade der besondere Schutzbedarf der sich aus einer hoheitlichen Feststellung der Strafbarkeit einer Handlung ergäbe, sodass eine zu weite Auslegung der Norm die Grenzen des Artikel 10 ausufern lassen würde. Im Ergebnis würde das Interesse an einer Datenverarbeitung durch die Schufa überwiegen, sodass diese gerechtfertigt wäre und ein Löschungsanspruch nicht bestehen würde. Aus demselben Grund käme auch ein Löschungsanspruch aufgrund eines Widerrufs (Art. 17 I lit. c i.V.m. Art. 12 DSGVO) nicht in Betracht.
OVG Sachsen: Datenschutzrechtliche Überprüfung der SächsCoronaSchVO
November 2020
Nach welchen Normen beurteilt sich die Datenschutzkonformität der SächsCoronaSchVO? Datenschutzrechtlich relevant ist hier vor allem die Verpflichtung der Unternehmer zur Erhebung von Kundendaten zur Kontaktnachverfolgung. Maßgeblich für deren Beurteilung sind vor allem die Generalklauseln des Art. 6 I lit. c und e DSGVO. Darauf beruhende bereichsspezifische nationale Regelungen des Landesverordnungsgebers – wie die SächsCoronaSchVO – müssen dabei sowohl den spezifischen Bestimmungen des Art. 6 II, III DSGVO als auch nationalen verfassungsrechtlichen Vorgaben für die Rechtssetzung durch Verordnung genügen. Die Regelungen unterliegen demnach insbesondere den Anforderungen des Art. 80 GG und des Grundrechts auf informationelle Selbstbestimmung. Eine Rechtsfertigung der Kontaktdatenverfolgung über Art. 6 Abs. 1 lit. d DSGVO käme nach dem OVG hingegen nicht in Betracht. Dieser sei zwar nach Erwägungsgrund Nr. 46 der DSGVO u.a. auch auf die Überwachung von Pandemien zugeschnitten, greife aber nur nachrangig zu anderen Rechtsgrundlagen ein.
VG Schwerin: Verbot des Lehrer-Meldeportals „Neutrale Schule“ bleibt bestehen
November 2020
Sind Meldeportale in denen Schüler dazu aufgefordert werden vermeintliche Verstöße von Lehrern gegen das Neutralitätsgebot in der Schule zu melden zulässig? Anlass dieser Frage war das Meldeportal „Neutrale Schule“ des AfD-Landesverbandes Mecklenburg-Vorpommern, in dem Schüler insbesondere solche Lehrer melden sollten, die sich abfällig gegenüber der AfD geäußert hätten. Nachdem eine Klage des AfD-Landesverbandes gegen ein vom Landesdatenschutzbeauftragten ausgesprochenes Verbot bereits im Eilverfahren scheiterte, urteilte nun auch das VG Schwerin zulasten des AfD-Landesverbandes. Maßgebliche Erwägung war dabei Art. 9 I DSGVO, nach dem die Verarbeitung personenbezogener Daten aus denen politische Meinungen oder weltanschauliche Überzeugungen hervorgehen grundsätzlich untersagt ist. Eine von diesem Grundsatz abweichende Ausnahme, insbesondere eine ausdrückliche Einwilligung oder eine offensichtliche Veröffentlichung durch die Betroffenen, läge nicht vor.
LG Essen: Löschungsanspruch nicht schon bei Namensnennung begründet
Oktober 2020
Darf man bei der Kundenbewertung eines Unternehmens den Namen von dessen Arbeitnehmern verwenden oder stellt dies schon eine unzulässige Datenverarbeitung dar? Zwar besteht mit Art. 17 I lit. d) DSGVO grundsätzlich die Möglichkeit gegen unrechtmäßige Datenverarbeitungen und damit eventuell auch gegen Namensnennungen vorzugehen, doch besteht diese Möglichkeit nicht ausnahmslos. Eine solche Ausnahme sah das LG Essen im Fall der namentlichen Nennung einer Mitarbeiterin bei der negativen Bewertung einer Bäckerei. Im konkreten Fall überwiege die Meinungsfreiheit des bewertenden Kunden das Recht auf informationelle Selbstbestimmung der Mitarbeiterin, sodass die Namensnennung im Sinne von Art. 17 III lit. a DSGVO zur Ausübung der Meinungsfreiheit des Kunden erforderlich sei.
OVG Hamburg: Zur Anwendbarkeit der DSGVO bei bloßer Datenlagerung
Oktober 2020
Stellt die bloße Aufbewahrung von Akten eine Datenverarbeitung im Sinne der DSGVO dar? Mit dieser Frage beschäftigte sich das OVG Hamburg im Falle eines ehemaligen Krankenhauses. Anlass bot dabei die Tatsache, dass die dort im Keller gelagerten Patientenakten – trotz Einstellung des Krankenhausbetriebs – immer noch dort verweilten und Dritte sich zwischenzeitlich unerlaubt Zugang zu diesem Keller verschafft hatten. Um die sich hier aufdrängende Frage nach einem möglichen Datenschutzverstoß beantworten zu können, musste aber zunächst geklärt werden, ob die DSGVO hier überhaupt Anwendung fände bzw. ob überhaupt eine Datenverarbeitung i.S.d. Art. 4 Nr. 2 DSGVO vorläge. Eine solche erfordere aber, so das OVG, eine Handlung im Sinne einer menschlichen Aktivität. In der bloßen Lagerung der Patientenakten (als Zustand) im Keller des ehemaligen Krankenhauses könne daher keine zurechenbare Datenverarbeitung gesehen werden.
BVerfG: Verfassungswidrigkeit der Vorschriften zur Bestandsdatenauskunft
Juli 2020
Die insbesondere in § 113 TKG geregelte manuelle Bestandsdatenauskunft erlaubte es Sicherheitsbehörden, dass sie von Telekommunikationsunternehmen Auskunft über Bestandsdaten verlangen konnten. Hiervon umfasst waren beispielsweise die Vertragsdaten von Telefon-Anschlussinhabern oder die Nutzer-Identität von zu bestimmten Zeitpunkten zugewiesenen IP-Adressen. Doch waren diese Ermächtigungsgrundlagen überhaupt rechtmäßig? Insbesondere mit Blick auf das Recht auf informationelle Selbstbestimmung der betroffenen Kunden aus Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG sah das BVerfG diese nun als unverhältnismäßig an. Grundsätzlich verfügten Bestandsdaten zwar nur über ein gemäßigtes Eingriffsgewicht, doch müsste auch zur Gefahrabwehr in der Regel eine im Einzelfall vorliegende konkrete Gefahr bzw. ein konkreter Anfangsverdacht vorliegen. Da eine entsprechende Formulierung in den Vorschriften fehlte, sah das BVerfG die Eingriffsschwelle des Auskunftsanspruchs als zu gering an und erklärte die manuelle Bestandsdatenauskunft in Berufung auf ihre Reichweite für verfassungswidrig.
BVerfG, Beschluss vom 27.05.2020, Az.: 1 BvR 1873/13, 1 BvR 2618/13
EuGH: Petitionsausschüsse unterliegen auch der DSGVO
Juli 2020
Besteht ein Anspruch nach Art. 15 I DSGVO auf Auskunft der einen selbst betreffenden personenbezogenen Daten gegen einen Petitionsausschuss, wenn man dort eine Petition eingereicht hat? Ausgangspunkt der Frage war ein dahingehender vom Petitionsausschuss des Hessischen Landtags abgelehnter Antrag, denn dessen Präsident sah in dem Petitionsverfahren eine parlamentarische Aufgabe, die nicht der DSGVO unterläge. Dieser Auffassung erteilte der EuGH aber eine Absage. Zwar seien die Tätigkeiten des Petitionsausschusses behördlicher Art und würden auch mittelbar zur parlamentarischen Tätigkeit beitragen, doch wären sie zugleich auch von politischer sowie von administrativer Natur. Eine Ausnahme vom Anwendungsbereich der DSGVO wäre mithin nicht ersichtlich. Weiterhin bestimme der Petitionsausschuss über die Zwecke und Mittel der Verarbeitung, sodass dieser als Verantwortlicher i.S.d. DSGVO einzustufen sei und somit auch dem Auskunftsanspruch der DSGVO unterläge.
Urteil des Gerichtshofs (Dritte Kammer) 9.7.2020 in der Rechtssache C‑272/19
LAG Berlin-Brandenburg: Keine biometrischen Zeiterfassungssysteme am Arbeitsplatz
Juni 2020
Darf der Arbeitergeber zur Verhinderung von Arbeitszeitenmanipulation ein biometrisches Zeiterfassungssystem einführen? In der Regel nicht, so das LAG Berlin-Brandenburg. Ausgehend von dem grundsätzlichen Verbot der Verarbeitung besonderer Kategorien personenbezogenen Daten des Art. 9 I DSGVO kamen nach dem LAG zwei Ausnahmen in Betracht. Zum einen die arbeitsrechtliche Ausnahme des Art. 9 II lit. b DSGVO und zum anderen der Rechtfertigungstatbestand für Datenverarbeitung in Beschäftigungsverhältnissen in § 26 BDSG. Zentraler Begriff beider Normen wäre dabei die Erforderlichkeit der Datenverarbeitung zur arbeitsrechtlichen Pflichtausübung oder -erfüllung. Zwar sei dies im Allgemeinen bei Zeiterfassungssystem der Fall, doch sei nicht ersichtlich, dass eine manipulationssichere Zeiterfassung zwingend die Verarbeitung biometrischer Daten bedürfe. Da auch die im Rahmen des § 26 BDSG vorzunehmende Interessenabwägung kein anderes Ergebnis ergäbe, so das LAG, bliebe dem Arbeitgeber nur die freiwillige Einwilligung des Arbeitnehmers.
LAG Berlin-Brandenburg, Urteil vom 4.06.2020, Az.: 10 Sa 2130/19
OVG NRW: Kundendatenhebung mit Coronaschutzverordnung vereinbar
Juni 2020
Die Coronaschutzverordnung von NRW schreibt in vielen Bereichen des Wirtschaftslebens eine analoge Speicherung von Kundenkontaktdaten vor, doch ist dies überhaupt mit dem Datenschutz vereinbar? Konkret werden die Adressaten der Verordnung zu einer vierwöchigen Speicherung und anschließenden Löschung der für eine Kontaktnachverfolgung unerlässlichen Daten verpflichtet. Diese müssten erst, wenn eine Kontaktnachverfolgung notwendig wird, an die zuständigen Behörden weitergeben werden. Vor diesem Hintergrund sah das OVG Münster die Verordnung mit Eilbeschluss vom 23.06.2020 als mit der DSGVO vereinbar an. Insbesondere das Gebot der Datenminimierung aus Art. 5 I lit. c DSGVO sei durch eine strenge Zweckbindung der personenbezogenen Daten und eine sachlich sowie zeitlich verankerte Begrenzung derer Erhebung und Speicherung eingehalten.
BayVGH: Kein Auskunftsanspruch nach Zweckentfremdungsrecht
Mai 2020
In Übereinstimmung mit seiner früheren Rechtsprechung vom August 2019 hat der bayrische Verwaltungsgerichtshof der Stadt München erneut einen Auskunftsbescheid gegen den Unterkunftsvermittler Airbnb aufgrund von Zweckentfremdungsrecht als rechtswidrig erachtet. Bei einem Datenaustausch zwischen einer staatlichen Stelle und einem Dienstanbieter, so der VGH, gelte das sogenannte „Doppeltürprinzip“. Nach diesem bedürfe es neben einem Erlaubnistatbestand der staatlichen Stelle für die Abfrage der Daten auch einen korrespondierenden Erlaubnistatbestand des Dienstanbieters für die Übermittlung der Daten. Letzterer wäre in § 14 II TMG zu finden, müsse aber unter anderem aufgrund seiner Tatbestandvoraussetzungen auf den Einzelfall beschränkt bleiben. Entsprechende landesrechtliche Regelungen wären zudem im Wege verfassungskonformer Auslegung um diese Voraussetzung zu erweitern. Ein genereller, flächendeckender und anlassloser Auskunftsbescheid, wie er hier nach dem VGH von der Stadt München erlassen wurde, könne diese Voraussetzung nicht erfüllen. Ohne einen konkreten Anfangsverdacht müsse eine Datenübermittlung unterbleiben und eine „Vorratsdatenspeicherung“ verhindert werden.
BGH: Entscheidung im Cookie-Streit
Mai 2020
Wie müssen Einwilligungsvorgänge in die Setzung von Cookies ausgestaltet sein, damit diese wirksam erfolgen können? Bereits im Oktober 2019 entschied hierzu der EuGH, dass mit einem vom Nutzer abzuwählenden, voreingestellten Ankreuzkästchen nicht wirksam eingewilligt werden könne. Dieser Rechtsprechung schloss sich der BGH in seinem jüngst ergangenem Urteil an. Dabei verwies er insbesondere auf Art. 4 Nr. 11 DSGVO, nach dem eine Einwilligungen immer auf den konkreten Fall bezogen sein müsste. Maßgeblich für ihre Legitimationsreichweite sei insofern die Kenntnis des Verbrauchers vom konkreten Inhalt seiner Einwilligung, also die Kenntnis darüber, von welchen Unternehmen Produkte oder Dienstleistungen erfasst wären. Regelmäßig kämen im Einwilligungsverfahren aber Listen von Partnerunternehmen zum Einsatz, die eine Einwilligung kompliziert und für den Nutzer aufwendig machen würden. In Folge dessen würden Nutzer in der Regel auf eine Kenntnisnahme verzichten und ihr Wahlrecht zugunsten des Webseitenbetreibers nicht ausüben. Unter solchen Umständen, so der BGH, könne grundsätzlich nicht wirksam eingewilligt werden.
BVerfG: Verfassungswidrigkeit der Vorschriften zur Bestandsdatenauskunft
Mai 2020
Die insbesondere in § 113 TKG geregelte manuelle Bestandsdatenauskunft erlaubte es Sicherheitsbehörden, dass sie von Telekommunikationsunternehmen Auskunft über Bestandsdaten verlangen konnten. Vom Auskunftsanspruch umfasst waren beispielsweise die Vertragsdaten von Telefon-Anschlussinhabern oder von Nutzern zugewiesener IP-Adressen, wie der Name oder auch Kundenpasswörter. Doch waren diese Vorschriften überhaupt rechtmäßig? Insbesondere mit Blick auf das Recht auf informationelle Selbstbestimmung der betroffenen Kunden aus Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG sah das BVerfG diese nun als unverhältnismäßig – mithin rechtswidrig – an. Grundsätzlich verfügten Bestandsdaten zwar nur über ein gemäßigtes Eingriffsgewicht, doch müsste auch zur Gefahrabwehr in der Regel eine im Einzelfall vorliegende konkrete Gefahr bzw. ein konkreter Anfangsverdacht vorliegen. Da eine entsprechende Formulierung in den Vorschriften fehlte, sah das BVerfG die Eingriffsschwellen des Auskunftsanspruchs als zu gering an und erklärte die Vorschriften in Berufung auf ihre Reichweite für verfassungswidrig.
BVerfG, Beschluss vom 27.05.2020, Az.: 1 BvR 1873/13, 1 BvR 2618/13
EU-Kommission: Leitlinien für die datenschutzkonforme Entwicklung von Tracking-Apps
April 2020
Welchen Herausforderungen muss sich der Datenschutz aufgrund der aktuellen Corona-Pandemie stellen? Insbesondere die Entwicklung mobiler Apps zur Unterstützung der Bekämpfung des Coronavirus steht dabei im Fokus. Konkret sollen sie zum Beispiel erkrankten Personen mit Fragebögen die Selbstdiagnose erleichtern, korrekte Informationen zur aktuellen Lage liefern oder eine sichere Kommunikation zwischen Patienten und Ärzten ermöglichen. Im Mittelpunkt stehen dabei aber Tracking-Apps zur Kontaktnachverfolgung oder zur Warnung bei Kontakt mit infizierten Personen. Dort würden neben sensiblen Gesundheitsdaten der Bürger auch deren Standortdaten verwendet. Um dabei die Privatsphäre und die Grundrechte der Bürger zu schützen, hat die Europäische Kommission nun Leitlinien veröffentlicht, die den Datenschutz bei der Entwicklung solcher Apps gewährleisten sollen. Im Vordergrund stehen dabei Erwägungen der Transparenz und der Datenminimierung.
OVG Lüneburg: Zur Übermittlung von Adressdaten für Wahlwerbung
April 2020
Besteht ein Anspruch auf Übermittlung der Adressdaten der Wahlberechtigten um Wahlwerbung betreiben zu können? Im Fall der Niedersächsischen Zahnärztekammer lehnte das OVG Lüneburg einen solchen Anspruch eines ihrer Wahlbewerber für die Kammerversammlung ab. Art. 6 I 1. lit. e DSGVO ermögliche als "Scharniernorm" lediglich den Erlass eines Erlaubnistatbestands, könne aber selbst keiner sein. Bezüglich des weiteren vorgebrachten Erlaubnistatbestands stellte das OVG Lüneburg fest, dass datenschutzrechtliche Ermächtigungsnormen immer unter Beachtung ihres Zwecks auszulegen seien und deshalb im vorliegenden Fall kein allgemeiner Übermittlungsanspruch bestünde.
OLG Frankfurt am Main: Kein Löschungsanspruch für Basisdaten bei Ärztebewertungsportal
April 2020
Dem Datenschutzrecht entspringt kein Anspruch auf Löschung eigener Informationen (sog. Basisdaten) aus einem Ärztebewertungsportal. Dies hat das OLG Frankfurt erneut in Berufung auf Art. 6 I1 lit. f DSGVO bekräftigt. Die Datenverarbeitung sei zur Wahrung der berechtigten Interessen der Nutzer des Portals erforderlich, mithin rechtmäßig.
Urteil des, Oberlandesgericht Frankfurt am Main, 9.4.2020, AZ. 16 U 218/18
LG Mosbach: Erteilte Auskünfte müssen vollständig sein
Februar 2020
Wurden personenbezogene Daten nicht direkt bei der betroffenen Person erhoben, sondern erfolgte die Datenerhebung bei Dritten, so müsse bei der Erfüllung eines Auskunftsanspruches nach der DSGVO auch die Quelle der Daten umfassend angeben werden. Nach Beschlusses des LG Mosbach erfordere dies neben den Informationen zum Ursprung der Daten auch alle Informationen bezüglich der Mittel, mit denen die Daten erhoben wurden. Ohne diese Angaben sei eine erteilte Auskunft unvollständig und könne eine bestehende Auskunftspflicht nicht erfüllen.
VG Mainz: Gesundheitsdaten von Tieren sind keine sensiblen Daten
Februar 2020
Dürfen Tierärzte die Daten der Tierhalter zur Forderungseintreibung weitergeben? Grundsätzlich, so das VG Mainz, sei dies zur Vertragserfüllung erforderlich und hilfsweise auch über die berechtigten Interessen des Tierarztes gerechtfertigt. Eine andere Beurteilung käme aber in Betracht, wenn es sich bei den „Gesundheitsdaten“ der Tiere um sensible Daten des Tierhalters handeln würde. Diese fänden sich notwendigerweise in den für die Forderungseintreibung zu übermittelnden Rechnungen der Tierärzte wieder. Zwar bestünde diese Möglichkeit nach dem VG Mainz bei Krankheiten, die vom Menschen auf Tiere übertragbar sind, doch wären „Gesundheitsdaten“ von Tieren in der Regel keine personenbezogenen Daten. Die abstrakte Möglichkeit in besonderen Fällen Rückschlüsse auf die Gesundheit des Tierhalters ziehen zu können, rechtfertige keine gegenteilige Einordnung.
VG Berlin: Kein Recht auf Löschung der Schulakte bei Schulwechsel
Februar 2020
Wann hat ein Schüler das Recht auf Löschung seiner Daten aus der eigenen Schülerakte? Mit dieser Frage und folglich auch mit dem Löschungsanspruch des Art. 17 DSGVO befasste sich das VG Berlin im Fall eines Schulwechslers. Dabei stellte es fest, dass der Zweck der Schulakte unter anderem die Dokumentation der Persönlichkeitsentwicklung der Schüler sei und ein Schulwechsel allein keinen anspruchsbegründenden Zweckwegfall darstelle. Abschließend ging das Verwaltungsgericht noch auf die Richtigkeit der personenbezogenen Daten in der Schulakte ein. Dabei legte es seiner Beurteilung die Annahme zugrunde, dass die Verarbeitung unrichtiger Daten regelmäßig nicht von der einschlägigen Rechtsgrundlage gedeckt wäre und mithin einen Löschungsanspruch begründen würde. Eine sachliche Unrichtigkeit konnte der Anspruchsberechtigte jedoch nicht glaubhaftmachen.
Kammergericht Berlin: Facebook verstößt mit Privatsphäre-Voreinstellungen gegen Datenschutzrecht
Dezember 2019
Das Kammergericht Berlin entschied, dass Privatsphäre-Voreinstellungen, darunter Klauseln zur Nutzung des Profilbilds für kommerzielle Zwecke und Einstellungen zur automatischen Aktivierung von Ortungsdiensten, gegen Datenschutzrecht verstoßen. Hiermit wurde erneut die Dogmatik bestätigt, nach der eine Einwilligung nicht durch Abwahl eines voreingestellten Ankreuzfeldes erfolgen kann und vorformulierte Einwilligungserklärungen nicht zur Datennutzung ermächtigen.
Urteil des Kammergerichts Berlin, 20.12.2019, in der Rechtssache 5 U 9/18
Guidelines für den Datenschutz by Design and by Default
November 2019
Das European Data Protection Board (edpb) hat einen Leitfaden zum Umgang mit Art. 25 DSGVO und den darin verankerten Prinzipien der Privacy by Design and Default erstellt und zur öffentlichen Anhörung veröffentlicht. Unter anderem soll der Leitfaden Systemerstellern Hinweise zu den datenschutzrechtlich erforderlichen Maßnahmen liefern. Noch bis zum 16. Januar 2020 können Interessierte zu den hierin aufgeführten Punkten Feedback geben.
Guidelines 4/2019 on Article 25 Data Protection by Design and by Default, adopted on 13 November 2019 ; Feedback
Gutachten der Datenethikkommission
Oktober 2019
Die Datenethikkommission, die im Juli 2018 von der Bundesregierung eingesetzt wurde, hat nun erste Ergebnisse veröffentlicht. In einem Gutachten geht sie auf die Anforderungen an einen sicheren Umgang mit Daten in Hinblick auf ethische und rechtliche Grundsätze ein und spricht hierzu Empfehlungen aus. Außerdem widmet sie sich den ethischen Ansprüchen an algorithmische Systeme und empfiehlt u.a. einen risikoadaptiven Regulierungsansatz. Geleitet ist das Projekt von dem Gedanken einer menschenzentrierten und wertorientierten Gestaltung von Technologie.
EuGH: Einwilligungen in Cookies müssen aktiv erfolgen
Oktober 2019
Ist eine Einwilligung in die Verwendung von Cookies wirksam, wenn sie über ein schon zu Beginn angekreuztes Kästchen erfolgt? Nach dem Opt-in-Prinzip der DSGVO ist hierfür maßgebend, ob der Betroffene aktiv in deren Verwendung eingewilligt hat oder nicht. Muss ein Betroffener zu deren Ablehnung jedoch erst ein voreingestelltes Häkchen entfernen, so der EuGH, wäre die Einwilligung nicht aktiv erfolgt und mithin unwirksam. Darüber hinaus müssten dem Betroffenen auch Informationen zu den Verwendungsmöglichkeiten und der Speicherdauer der Cookies gegeben werden.
Urteil des Gerichtshofs (Große Kammer) 1.10.2019 in der Rechtssache C‑673/17
EuGH: Räumliche Reichweite des Rechts auf Auslistung beschränkt sich auf EU
September 2019
Durch die Auslistung von Suchergebnissen einer Internetsuchmaschine wird das Recht auf Löschung personenbezogener Daten verwirklicht. Der EuGH entschied nun, dass Suchmaschinenbetreiber diesem Begehren nicht in allen weltweit vorhandenen Versionen der Suchmaschine nachkommen müssen. In der Folge bleibt nach diesem Urteil die Auslistungspflicht damit auf das Hoheitsgebiet der Union beschränkt.
Urteil des Gerichtshofs (Große Kammer) 24.09.2019 in der Rechtssache C-507/17
EuGH: Verarbeitung bestimmter personenbezogener Daten verboten
September 2019
Welche Daten dürfen Betreiber von Suchmaschinen verarbeiten? Besonders sensible Datenkategorien, wie Informationen über Religionszugehörigkeit oder Sexualleben, sind durch die DSGVO grundsätzlich von der Verarbeitung ausgenommen. Dass dies auch für Suchmaschinenbetreiber gilt, stellt der EuGH nun noch einmal fest, und mahnt, dass auch bei allen anderen Verarbeitungen im Falle eines Auslistungsgesuchs eine umfangreiche Abwägung der Interessen und der Erforderlichkeit stattzufinden habe.
Urteil des Gerichtshofs (Große Kammer) 24.09.2019 in der Rechtssache C-136/17
Bundestag und Bundesrat: Anpassung nationaler Gesetze an die DSGVO beschlossen
September 2019
Durch einen nun nach der Zustimmung des Bundestages auch vom Bundesrat bewilligten Gesetzesbeschluss werden weitere Anpassungen nationaler Gesetze an die DSGVO vorgenommen. Ziel der beschlossenen Änderungen bereichsspezifischer Datenschutznormen in 154 Fachgesetzen ist neben der Anpassung an unionsrechtliche Vorgaben, Bürokratie abzubauen und kleineren Unternehmen sowie Vereinen die Datenschutz-Compliance zu vereinfachen.
BayVGH: Zu Auskunftsansprüchen bei Zweckentfremdung von Wohnraum
August 2019
Müssen Plattformen zur Vermittlung von privaten Unterkünften – bei vermuteter Zweckentfremdung von Wohnraum durch ihre Nutzer – Auskünfte bezüglich ihrer Inserate erteilen? Ausgangspunkt dieser Frage war ein Auskunftsbescheid der Stadt München gegen Airbnb auf Grundlage des bayrischen Zweckentfremdungsrechts. Konkret verlange die Stadt Auskunft über alle Unterkünfte in München, die länger als acht Wochen im Jahr vermietet werden würden und somit einer Genehmigung bedürften. Ansatz der rechtlichen Würdigung des Verwaltungsgerichtshofes war dabei zunächst, dass bei Wahrnehmung staatlicher Aufgaben gemäß dem „Doppeltürprinzip“ der Dienstanbieter für die Übermittlung und die staatliche Stelle für die Abfrage der Daten einen korrespondierenden Erlaubnistatbestand benötigen würden. Im Ergebnis würde aber eine Übermittlung der Daten durch den Dienstanbieter nicht im Einklang mit dem Erlaubnistatbestand des Telemediengesetzes oder entsprechenden landesgesetzlichen Regelungen stehen, vgl. § 14 II TMG. Die Auskunftsersuchen müssten hiernach auf den Einzelfall beschränkt bleiben und dürften nicht zu einer unzulässigen Vorratsdatenspeicherung führen. Einen entgegenstehenden konkreten Anfangsverdacht sah der VGH im vorliegenden Fall als nicht gegeben. Infolgedessen erklärte der bayrische Verwaltungsgerichtshof mit Beschluss vom 20.08.2020 den in Rede stehenden Bescheid in Berufung auf seinen Umfang für rechtswidrig.
Beschluss des Bayrischen Verwaltungsgerichtshofs, vom 20.08.2019, Az. 12 ZB 19.333
LfD Niedersachsen: Fragenkatalog zur DSGVO Prüfung
August 2019
Welche Datenschutzmaßnahmen muss ein Verantwortlicher konkret ergreifen? Zur besseren Orientierung in dieser Frage hat die Landesbeauftragte für Datenschutz in Niedersachsen einen 200 Einzelkriterien umfassenden Fragenkatalog veröffentlicht. An dieser Vorlage können Unternehmen ihre Datenschutzbemühungen messen und sich so auf eine Prüfung durch die Aufsichtsbehörde vorbereiten.
USA: Gesichtserkennungstechnologie im Konflikt mit Datenschutz
August 2019
Darf Facebook mit seiner Gesichtserkennungstechnologie Nutzer auf ihren hochgeladenen Bildern identifizieren? Verschärft durch die Problematik, dass der Verwendung einer solchen Technik keine Einwilligung oder Kenntnis der Nutzer zugrunde lag, sah das U.S. Court of Appeals in dieser Praxis nun einen Verstoß gegen den Datenschutz von biometrischen Informationen. Diese seien als Teil der Privatsphäre vor den einzigartigen Gefahren zu schützen, die sich aus der ermöglichten Identifizierung und Überwachung von Personen über Gesichtserkennungstechniken ergäben.
UK: Polizei testet Gesichtserkennungs-App
August 2019
Gesichtserkennungstechnologie wird von der South Wales Police schon seit einiger Zeit zur Identifizierung von Personen und zum Abgleich mit Beobachtungslisten verwendet. Im Rahmen einer dreimonatigen Studie soll dieser Ansatz nun im Einsatz mit Smartphones über eine App unter anderem bei Routinekontrollen erprobt werden. Zur Identifizierung genügt der App dabei ein einziges Foto des Betroffenen, so dass dieser Prozess beschleunigt und präzisiert wird. Eine Aushändigung an 50 Offiziere ist, trotz eines gegen den Einsatz der App laufenden datenschutzrechtlichen Gerichtsverfahrens, vorgesehen.
VerfGH Saarland: Nur transparente Softwaredaten als Beweismittel zulässig
Juli 2019
Wird ein Bußgeld wegen Geschwindigkeitsübertretung auf Grundlage eines automatisch erstellten Blitzer-Fotos verhängt, müssen die Messdaten des Geräts für den Fahrer einsehbar und nachvollziehbar sein, andernfalls besteht nicht die Möglichkeit zu einer effektiven Verteidigung und damit kein hinreichend faires Verfahren. Dies urteilte das Verfassungsgericht des Saarlandes in einer richtungsweisenden Entscheidung. Trotz der eingeschränkten Gültigkeit des Urteils für die saarländische Justiz äußerte sich das Verfassungsgericht auch sehr grundsätzlich zu dem Thema und führte aus: „Staatliches Handeln darf in einem freiheitlichen Rechtsstaat für die Bürgerin und den Bürger nicht undurchschaubar sein.“ Insbesondere bei Massenverfahren stellt eine solche Transparenzpflicht eine neue Dimension im spannungsvollen Verhältnis von Technik und Staat dar.
Verfassungsgericht des Saarlandes, Urteil vom 05.07.2019, Az. Lv7/17
EuGH: Mitverantwortung durch die Einbindung eines Facebook „Gefällt mir“-Buttons
Juli 2019
Sind Websitebetreiber bei Einbindung des „Gefällt mir“-Buttons von Facebook mitverantwortlich für eine durch Facebook stattfindende Datenverarbeitung? Der EuGH beschäftigte sich in einem jüngst ergangenen Urteil mit dem Online-Händler Fashion ID, der eben diesen Button verwendete, was zur Folge hatte, dass die Daten von Websitebesuchern erhoben, an Facebook übermittelt und letztendlich auch dort weiterverarbeitet wurden. Eine Interaktion des Benutzers mit dem Button war dafür nicht erforderlich. Für die Erhebung und Übermittlung der Daten sah der EuGH nun Fashion ID als mitverantwortlich an. Er begründete dies hauptsächlich mit den werbeoptimierenden Vorteilen der Einbindung des Buttons für Fashion ID und schloss daraus auf ein stillschweigendes Einverständnis in die Datenverarbeitung. Hingegen sei der Online-Händler für danach stattfindende Verarbeitungen durch Facebook nicht verantwortlich.
Indien: Aadhaar-Anwendungsbereich vergrößert
Juli 2019
Im September 2018 hat der Supreme Court of India das Aadhaar-Programm der indischen Regierung, eine beispiellose biometrische Datenbank mit ca. 1,2 Mrd. registrierten Personen, gebilligt. Bedingung war unter anderem, dass die Aadhaar-Nummer nicht von privaten Dritten verlangt werden könne und keine notwendige Voraussetzung für wichtige Behördenkommunikation würde. Trotz des Urteils ermöglich ein Zusatz zum Aadhaar Act 2016 nun Unternehmen, ihre Vertragspartner mittels der Aadhaar-Datenbank zu identifizieren. Auch für Behördengänge lässt das Gesetz zu, die Bürger zur Identifizierung per Aadhaar-Nummer zu verpflichten. Der indische Finanzminister schlug daraufhin vor, die Identifikations-Nummer für die Einkommensteuererklärung mit der Aadhaar-Nummer zu ersetzen. Eine Klage gegen die Regelungen wurde beim Indischen Supreme Court bereits eingereicht.
OVG Lüneburg: Kein Auskunftsanspruch des Insolvenzverwalters aus DSGVO
Juni 2019
Im Insolvenzverfahrens kann sich der Insolvenzverwalter wegen benötigter steuerlicher Informationen über den Insolvenzschuldner gegenüber dem Finanzamt nicht auf das Auskunftsrecht aus Art. 15 Absatz 1 DSGVO berufen. Zu diesem Ergebnis kam das OVG Lüneburg in seinem Beschluss vom 26.06.2019. Der Insolvenzverwalter sei nicht unter den Begriff der „betroffenen Person“, welcher durch Art. 4 Nr. 1 DSGVO konkretisiert wird, zu fassen. Gehe es um das Steuerkonto des Insolvenzschuldners, so handle es sich um dessen eigene personenbezogene Daten, nicht um die des Insolvenzverwalters. Das Auskunftsrecht sei auch nicht dahingehend auszulegen, dass möglich Dritte iSd. Art. 4 Nr. 10 DSGVO Informationen über die bei staatlichen Stellen vorhandenen Daten verlangen könnten. Letztlich handle es sich bei dem Auskunftsanspruch um ein höchstpersönliches Recht des Schuldners, welches nicht zur Insolvenzmasse gehöre. Eine Geltendmachung durch den Insolvenzverwalter aufgrund der ihm durch die Insolvenzordnung verliehenen Befugnisse sei damit ausgeschlossen.
BVerwG: Private Videoüberwachung beim Zahnarzt
Juni 2019
Rechtfertigen Sicherheitserwägungen eine private Videoüberwachung beim Zahnarzt? Eine Zahnärztin hatte den – nicht durch Empfangspersonal überwachten – Eingangsbereich der Praxis mittels Videokamera filmen und in den Behandlungsbereich übertragen lassen, wobei die Bilder nicht aufgezeichnet wurden. Das Bundesverwaltungsgericht hielt diese Datenverarbeitung für nicht erforderlich, weil im konkreten Fall eine erheblich über das allgemeine Lebensrisiko hinausgehende Gefahr von Straftaten nicht dargetan war.
Frankreich: Big-Data Analyse richterlicher Entscheidungen verboten
Juni 2019
Wird es bald möglich sein, Gerichtsentscheidungen mittels Daten-Analyse für jeden Richter prognostizieren zu können? Der französische Gesetzgeber schiebt einem solchen Ansatz den Riegel vor: Gerichtliche Entscheidungen dürfen in Verbindung mit den persönlichen Daten der Richter nicht mehr zum Gegenstand statistischer Auswertungen gemacht werden. Mit bis zu fünf Jahren Gefängnis soll nach Art. 33 des Gesetzes zur Reform der Justiz künftig bestraft werden, wer richterliche Entscheidungsmuster öffentlich analysiert, vergleicht oder hierdurch vorherzusagen versucht. Das Gesetz folgt auf eine Entwicklung in der französischen Justiz, alle Urteile der Öffentlichkeit zugänglich zu machen. Betroffen sind vor allem Legal Tech Unternehmen, deren Geschäftsmodel auf der Analyse der Daten basiert.
USA: Angaben zu Social-Media-Profilen nun verpflichtend
Juni 2019
Wie das US-amerikanische Außenministerium (Department of State) mitgeteilt hat, ist bei Visaanträgen für die USA fortan auch die Angabe sämtlicher Social-Media-Profile der letzten fünf Jahre verpflichtend. Schon seit 2017 war die Angabe auf freiwilliger Basis möglich. Eine Ausnahme besteht jedoch weiterhin für Urlaubsreisende, für die die Angabe auch zukünftig freiwillig bleibt.
Frankreich: Interesse der Bürger am Schutz personenbezogener Daten nimmt zu
Mai 2019
Die französische Datenschutzbehörde, die Commission Nationale de l’Informatique et des Libertés (CNIL, deutsch Nationale Kommission für Datenverarbeitung und Freiheitsrechte), verzeichnet eine hohe Anzahl von Beschwerden. In ihrem am 15. April 2019 veröffentlichen Jahresbericht für 2018 offenbart sie das genaue Ausmaß: Nachdem die CNIL bereits im Jahre 2017 eine Rekordzahl verzeichnete, wuchs die Zahl der im Jahre 2018 bei 11.177 eingereichten Beschwerden um weitere 32%. Zurückzuführen ist dieser Anstieg einerseits auf eine verstärkte mediale Präsenz der Vorschriften der Datenschutzgrundverordnung, andererseits darauf, dass Unternehmen neue Auskunftspflichten treffen. Infolgedessen machen Staatsbürger ihre Rechte zunehmend geltend. Gegenstand der eingereichten Beschwerden sind insbesondere der Schutz personenbezogener Daten sowie Fragen zur Videoüberwachung.
Issu de Petites affiches, n °097, page 4, 15.05.2019 – Rédaction Lextenso
OVG Münster: Alter von Richtern unterfällt dem Datenschutz
Mai 2019
Sind Dienst- und Lebensalter sowie Verhinderungszeiten verschiedener Richter eines bestimmten Senats auf Antrag nach dem nordrhein-westfälischen Informationsfreiheitsgesetz (IFG) zu offenbaren? Das OVG Nordrhein-Westfalen hat jüngst entschieden, dass die beantragten Informationen als personenbezogene Daten im Sinne des IFG NRW wie der Datenschutzgrundverordnung geschützt seien, da sich aus ihnen weiterführende Schlüsse über die persönlichen Verhältnisse der Richter ziehen ließen. Daher müssten für eine Offenbarung besondere Rechtfertigungsgründe vorliegen, die ihm konkreten Fall bei summarischer Prüfung nicht gegeben seien. Das Gericht betont, der Begriff der personenbezogenen Daten sei „außerordentlich weit“ zu verstehen.
OVG Nordrhein-Westfalen, Beschluss vom 06.02.2019, Az.: 15 E 1026/18
VGH Mannheim: Aktenherausgabe vs. Datenschutz
Mai 2019
Kann eine Behörde einem gerichtlichen Aktenvorlageverlangen die DSGVO entgegensetzen? Der VGH Baden-Württemberg entschied hierzu, dass die Behörde nicht befugt sei, Akten wegen datenschutzrechtlicher Bedenken zurückzuhalten. Zwar gelte die DSGVO ausweislich der Erwägungsgründe auch für gerichtliche Tätigkeiten. Die in der Verordnung statuierten Rechtfertigungsgründe für die Verarbeitung geschützter Daten seien jedoch erfüllt, wenn ein Gericht zu Zwecken der Rechtspflege Daten von Prozessbeteiligten erhebe und verwende. Entsprechendes gelte für die Übermittlung der Daten durch die Behörde.
VGH Baden-Württemberg, Beschluss vom 15.2.2018, Az.: 1 S 188/19
USA: Automatische Kennzeichenerfassung rechtswidrig
April 2019
Ist die automatisierte Erfassung von Autokennzeichen – hierzulande vom BVerfG teilweise für verfassungswidrig erklärt – in den USA zulässig? Mit mehreren automatisierten Kennzeichenerkennungssystemen hatte das Fairfax County Police Department in Virginia verdachtslos die Kennzeichen vorbeifahrender Autos erfasst und diese über einen Zeitraum von einem Jahr gespeichert, um eine Lokalisierung zu ermöglichen. Auf die Klage eines betroffenen Einwohners hat das zuständige Gericht nun festgestellt, dass diese Praxis nicht mit dem Government Data Collection & Dissemination Practices Act des Bundestaates Virginia vereinbar und zu unterlassen sei.
US Circuit Court, Nineteenth Judicial Circuit of Virginia (Fairfax County), Case No. CL-2015-5902
Kammergericht Berlin: Verbraucherzentrale klagt erfolgreich gegen Google
März 2019
Nutzungsbedingungen und Datenschutzerklärung von Google, die das Unternehmen 2012 von allen Nutzern in Deutschland bestätigen ließ, sind nach einer Entscheidung des Kammergerichts rechtswidrig. Google hatte sich umfangreiche Rechte zur Nutzung und Erhebung personenbezogener Daten vorbehalten, wobei es einige der Klauseln bis heute verwendet. Das Kammergericht unterzog auch die datenschutzrechtlich relevanten Geschäftsbedingungen einer zivilrechtlichen AGB-Kontrolle und stellte fest, dass diese gegen zentrale Normen des Datenschutzrechts verstießen – namentlich gegen das Erfordernis einer Grundlage für die Datenverarbeitung und gegen das Löschungsrecht der Betroffenen. Google hat Nichtzulassungsbeschwerde beim Bundesgerichtshof eingelegt.
Kammergericht Berlin, Urteil vom 21.03.2019, Az. 23 U 268/13
EuGH: Medienprivileg auch für „Bürgerjournalisten“
Februar 2019
Kann sich ein Bürger auf journalistische Privilegierungen im Datenschutzrecht berufen, wenn er in einem Ordnungswidrigkeitenverfahren vernommen wird, er seine Aussage filmt und sie anschließend auf Youtube veröffentlicht? Der EuGH hat dies jüngst bejaht. Er entschied zugunsten eines Letten (und noch auf Grundlage der früheren Datenschutzrichtlinie), dass auch das Verhalten einer nicht im Pressebereich tätigen Privatperson eine journalistische Tätigkeit darstellen kann, wenn sie darauf gerichtet ist, „Informationen, Meinungen und Ideen […] in der Öffentlichkeit zu verbreiten“. Wie die Datenschutzrichtlinie ermöglicht auch die Datenschutzgrundverordnung dem nationalen Gesetzgeber, für diesen Bereich Ausnahmen zu gestalten, um journalistische Tätigkeiten von bestimmten datenschutzrechtlichen Vorgaben freizustellen.
Bundeskartellamt: Datenerhebung durch Facebook beschränkt
Februar 2019
In den Streit um die Erhebung von Daten durch Facebook hat sich nach dem Datenschutz nun auch das Wettbewerbsrecht eingeschaltet. Das Bundeskartellamt sieht Facebook auf dem nationalen Markt für soziale Netzwerke für private Nutzer als marktbeherrschend an. Es stufte die Facebook-Nutzungsbedingungen als Missbrauch dieser Stellung zu Lasten der Verbraucher ein („Ausbeutungsmissbrauch“), wobei das Verfahren in Abstimmung mit den Datenschutzbehörden geführt und das Datenschutzrecht als Maßstab herangezogen worden war. Der Missbrauch bestehe darin, dass sich Facebook den Zugriff auf Drittdaten einräumen lasse, was nicht nur konzerninterne Daten wie WhatsApp-Nutzerdaten umfasse, sondern auch die massenhafte Datensammlung durch Schnittstellen auf fremden Websites, die zB. durch den „Like“-Button mit den Facebook-Datenbanken verknüpft seien. Das Bundeskartellamt hat diese Praxis nun untersagt. Künftig dürfe diese Form der Datensammlung nur noch auf der Grundlage einer freiwilligen Einwilligung erfolgen, was bedeute, dass Facebook die Nutzer bei fehlender Einwilligung nicht von seinen Diensten ausschließen dürfe.
Fallbericht B6-22/16 des Bundeskartellamtes vom 15.2.2019, FAQ der Behörde zum Verfahren
BVerfG: Test-Daten für Zensus 2021 dürfen weiter gesammelt werden
Februar 2019
In Vorbereitung auf die für 2021 geplante europaweite Volkszählung werden derzeit testweise personenbezogene Daten verschiedener Melderegister an das Statistische Bundesamt geschickt. Einige Personen beantragten vor dem Bundesverfassungsgericht, das entsprechende Gesetz einstweilen nicht anzuwenden, und trugen vor, die Nutzung echter, nicht anonymisierter Daten für den Test sei unverhältnismäßig und verletze sie in ihrem Recht auf informationelle Selbstbestimmung. Das Bundesverfassungsgericht lehnte den Antrag auf einstweilige Anordnung ab. Es kommt in seiner Folgenabwägung zum Ergebnis, dass die etwaigen grundrechtlichen Bedenken in Anbetracht der limitierten Verwendungszwecke eine Außerkraftsetzung des Gesetzes hier nicht geböten.
BVerfG: Automatisierte Kennzeichenkontrolle teilweise verfassungswidrig
Februar 2019
Entgegen seiner früheren Rechtsprechung entschied das BVerfG jüngst, dass die automatisierte Erfassung von Nummernschildern und der Abgleich mit Fahndungsdatenbanken auch im Falle einer sofortigen Löschung der personenbezogenen Daten einen Eingriff in das Recht auf informationelle Selbstbestimmung darstelle. Eine Rechtsgrundlage für solche massenhaften Eingriffe müsse daher in besonderem Maße das Erfordernis der Verhältnismäßigkeit wahren. Diese Voraussetzung sah es hinsichtlich der bayerischen, baden-württembergischen und hessischen Regelungen in Teilen nicht erfüllt.
Beschlüsse vom 18.12.2018, Az.: 1 BvR 142/15 (Bayern), Az.: 1 BvR 3187/10 (Baden-Württemberg und Hessen)
BVerfG: Telekommunikationsunternehmen zwischen Datensparsamkeit und Datenvorhaltepflichten
Januar 2019
Kann sich ein privater E-Mail-Dienstleister für ein datensparsames Geschäftsmodell entscheiden und dadurch den Zugriff der Ermittlungsbehörden auf Daten erschweren? Im konkreten Fall hatte ein Anbieter die IP-Adressen seiner Kunden aus Datenschutzgründen nicht protokolliert und konnte sie daher auch den Ermittlungsbehörden im Rahmen einer ordnungsgemäß angeordneten Telekommunikationsüberwachung nicht übermitteln. Dass Staatsanwaltschaft und Fachgerichte hier von einer Pflicht des Unternehmens zum Vorhalten und Übermitteln der entsprechenden IP-Daten gemäß § 100a Strafprozessordnung und § 110 Telekommunikationsgesetz ausgingen, hat auch das Bundesverfassungsgericht gebilligt, da die Daten bei der Telekommunikation anfielen und die Berufsfreiheit hier hinter dem Erfordernis einer funktionstüchtigen Strafrechtspflege zurücktrete.
Frankreich: Geldbuße gegen Google nach der Datenschutzgrundverordnung
Januar 2019
Wegen Verstößen gegen die Datenschutzgrundverordnung hat die französische Datenschutzbehörde CNIL gegen Google eine Geldbuße von 50 Millionen Euro verhängt. Der Internetkonzern erfülle seine Pflicht, die Nutzer über die Verwendung ihrer Daten zu informieren, nicht ausreichend und habe zudem hinsichtlich einiger Werbefunktionen keine wirksame Einwilligung eingeholt. Das Bußgeld wurde einen Tag vor dem Wechsel der Zuständigkeit der Datenschutzbehörden verhängt. Ab dem 22. Januar fällt Google aufgrund konzerninterner Umstrukturierungen in den Zuständigkeitsbereich der irischen Datenschutzbehörde. Noch ist unklar, ob Google gegen die Entscheidung Beschwerde einlegen wird.
VG München: Airbnb muss Gastgeber-Daten herausgeben
Dezember 2018
Das Geschäftsmodell der Plattform Airbnb, Übernachtungsmöglichkeiten zu vermitteln, kann zugleich dem angespannten Wohnmarkt Wohnraum für dauerhaftes Wohnnutzung entziehen. Das Bayerische Zweckentfremdungsgesetz ermöglicht es Kommunen daher, die Vermittlung von Wohnraum auf acht Wochen im Jahr zu beschränken. Die Stadt München hat diese Möglichkeit genutzt und von Airbnb Auskunft über diejenigen Gastgeber verlangt, die ihre Wohnungen für länger als acht Wochen zur Verfügung gestellt hatten. Airbnb weigerte sich jedoch mit der Begründung, seinen Sitz in Irland und nicht in Deutschland zu haben, entsprechende Auskünfte zu erteilen. Das Verwaltungsgericht München bekräftige jedoch das Auskunftsverlangen der Stadt München. Das Zweckentfremdungsrecht verstoße weder gegen höherrangigeres Recht noch gegen Datenschutzrecht und sei auf im Bundesgebiet operierende Unternehmen unabhängig von deren Firmensitz anwendbar.
Bundestag: Überwachung von Fahrverboten durch Kennzeichen-Scanner
Dezember 2018
Können Diesel-Fahrverbote per Kennzeichen-Scanner überwacht werden, wie es ein entsprechender Gesetzesentwurf vorsieht? Der Wissenschaftliche Dienst des Bundestages meldet Zweifel an, ob dieser Eingriff in das Grundrecht auf informationelle Selbstbestimmung verhältnismäßig sei.
Finnland: Scoreformel für Kreditwürdigkeit und Diskriminierungsverbote
Dezember 2018
Darf ein Unternehmen bei seinen Vertragsbeziehungen statistische Aussagen über die Kreditwürdigkeit von Personengruppen mit bestimmten Merkmalen (Geschlecht, Alter, Sprache, Wohnort) zugrunde legen? In Finnland berief sich ein Kreditunternehmen darauf, dass das Kreditausfallrisiko statistisch unter anderem mit diesen Merkmalen korreliere – und dass insbesondere Finnlandschweden einen besseren Scorewert erzielten als die übrigen Finnen. Auf die Beschwerde eines Finnen, dem nach dieser Berechnungsmethode ein Kredit versagt worden war, stellte das finnische Tribunal für Nicht-Diskriminierung und Gleichstellung eine verbotene Diskriminierung fest.
Bundesrat: Kennzeichnungspflicht für Social Bots
November 2018
In einem Ende November ergangenen Beschluss fordert der Bundesrat eine Kennzeichnungspflicht für Social Bots, um es den Nutzerinnen und Nutzern der verschiedenen Social-Media-Plattformen zu ermöglichen, Beiträge von Maschinen zu erkennen. Im Hinblick auf die Datenschutz-Skandale der vergangenen Jahre regt der Beschluss weiter an, die Daten-Politik der marktbeherrschenden Sozialen Netzwerke durch die Daten-Ethikkommission des Bundes auf den Prüfstand zu stellen.
VG Gelsenkirchen: Polizei darf keine Fotos von Demonstranten twittern
Oktober 2018
Wie lässt sich bei Demonstrationen die Öffentlichkeitsarbeit der Polizei mit den Rechten der Versammlungsteilnehmer in Einklang bringen? Diese Frage stellte sich in seinem Verfahren vor dem Verwaltungsgericht Gelsenkirchen. Die Kläger hatten an einer Demonstration teilgenommen und sich dann auf Fotos eines polizeilichen Twitter-Accounts wiedererkannt. Das Verwaltungsgericht qualifizierte bereits das Fotografieren der Demonstranten als ungerechtfertigten Eingriff in die Versammlungsfreiheit, da der Eindruck staatlicher Überwachung erst gar nicht entstehen dürfe.
Innenministerium: Gesichtserkennungssoftware funktioniert
Oktober 2018
Nach einem Jahr der Überwachung des Bahnhofs Berlin-Südkreuz durch Gesichtserkennungssoftware zeigt sich das Innenministerium zufrieden. Überzeugt von dem wesentlichen Mehrwert, den man für die polizeiliche Arbeit erwarten könne, schlägt es die Schaffung einer „klarstellenden Rechtsgrundlage“ zugunsten der Überwachungssysteme im Bundespolizeigesetz vor. Bei der möglichen Umsetzung müssten noch datenschutzrechtliche Belange und das Recht auf informationelle Selbstbestimmung beachten werden, so das Ministerium. Datenschützer stuften die Art und Weise der Überwachung zum Start des Projekts Anfang 2017 als problematisch ein.
Abschlussbericht und Pressemitteilung des BMI, Erklärung der Datenschutzbehörden
Supreme Court of India: Biometrische Datenbank zulässig
September 2018
Darf der Staat eine weitreichende Erfassung biometrischer Daten zur Grundlage staatlicher Leistungen und für die Kommunikation mit den Behörden machen? Unter dem Aadhaar-Programm werden dafür in Indien seit 2009 Iris-Scans, Fingerabdrücke und andere biometrische Daten gespeichert und mit einer Personalausweisnummer verknüpft. Das von der Weltbank als das „anspruchsvollste Ausweisprogramm der Welt“ bezeichnete Aadhaar-Programm wurde nun vom Obersten Gericht Indiens gebilligt. Unter der Bedingung, dass die Aadhaar-Nummer nicht mit dem Bankkonto oder der Handynummer verknüpft wird und die Offenbarung nicht für private Vertragszwecke verlangt werden muss, sah das Gericht das Recht der Betroffenen auf Privatsphäre als nicht verletzt und die dem Programm zugrundeliegenden Regelungen als verfassungskonform an.
EGMR: Britische Internetüberwachung verstößt gegen Menschenrechte
September 2018
Nach einem Urteil des EGMR hat der britische Geheimdienst GCHQ durch sein System der massenhaften Internet-Überwachung das Recht auf Privatleben der Betroffenen verletzt. Denn der Dienst habe nicht sichergestellt, dass nur sicherheitsrelevante Personen überwacht werden. Ferner habe er das erhaltene vertrauliche Material nicht hinreichend geschützt. Die Weitergabe der Daten an US-Geheimdienste wertete der EGMR hingegen nicht als Menschenrechtsverstoß.
EGMR, Urteil vom 13.9.2018, Az.: 58170/13, 62322/14 und 24960/15
OLG München: Grenzen des „virtuellen Hausrechts“
August 2018
Welchen Spielraum haben soziale Netzwerke bei der Löschung unerwünschter Inhalte? Das OLG München hat in einer einstweiligen Verfügung gegen Facebook die Meinungsfreiheit der Nutzer bekräftigt. Die mittelbare Drittwirkung der Grundrechte beeinflusse die privatrechtlichen Nutzungsvereinbarungen, so dass das „virtuelle Hausrecht“ der sozialen Netzwerke mit dem Recht auf freie Meinungsäußerung der Nutzer in Einklang zu bringen sei. Daher dürfe Facebook keine Beträge löschen, welche die Grenzen zulässiger Meinungsäußerung wahrten. Nach Ansicht der Richter würde eine freie Würdigung der fraglichen Inhalte anhand der Richtlinien von Facebook dazu führen, dass für die Frage der Löschung nur das Urteil des Betreibers maßgeblich sei, was den Nutzer unangemessen benachteilige.
EuGH: Datenschutzrecht gilt auch für Missionierende
Juni 2018
Wie zuvor der Generalanwalt hält auch der Europäische Gerichtshof die datenschutzrechtlichen Regeln der EU auf Missionierungsbesuche der Zeugen Jehovas (ungeachtet des Schutzes durch die Religionsfreiheit) für anwendbar. Die Sammlung personenbezogener Daten, die im Rahmen der Verkündigungstätigkeit von Tür zu Tür erhoben werde, sei als „Datei“ zu qualifizieren. Eine Ausnahme für ausschließlich persönliche oder familiäre Tätigkeiten greife nicht. Verantwortlich im datenschutzrechtlichen Sinne sei die Religionsgemeinschaft gemeinsam mit ihren als Verkündigern tätigen Mitgliedern.
BGH: Bei Dashcams trotz Datenschutzverstoß kein Verwertungsverbot
Mai 2018
Der BGH hatte zu entscheiden, ob Aufnahmen von Dashcams in einem Gerichtsprozess verwertet werden dürfen. Nachdem die Vorinstanzen sowohl ein Betriebsverbot für Dashcams als auch ein hieraus folgendes Verwertungsverbot angenommen hatten, bekräftigte der BGH zunächst, dass die permanente und anlasslose Aufzeichnung des Verkehrsgeschehens nicht mit den Bundesdatenschutzgesetz vereinbar sei. Er bejahte sodann aber dennoch die Verwertbarkeit einer Aufzeichnung, die ein Unfallbeteiligter vom Unfallgeschehen gefertigt hatte, als Beweismittel im Unfallhaftpflichtprozess. Dies ergab eine Einzelfallabwägung, die zu Lasten des Persönlichkeitsrechts der aufgenommen Person und zugunsten des Interesses an der Durchsetzung zivilrechtlicher Ansprüche und einer funktionierenden Zivilrechtpflege ausfiel. Ferner finden sich in dem Urteil Ausführungen des BGH dazu, wie Dashcams datenschutzkonform zu betreiben seien.
LG Bonn: ICANN Datensparsamkeit
Juni 2018
In einer der ersten Entscheidungen zur kürzlich in Kraft getretenen EU-Datenschutzgrundverordnung wies das Landgericht Bonn unlängst einen Antrag der zentralen US-amerikanischen Vergabestelle für Internetadressen (ICANN) zurück. Die US-Organisation wollte neben den Betreibern der Websites auch die Daten aller Administratoren sowie aller technischen Verantwortlichen speichern und stieß damit auf Einwände der Domain-Händler. Das Landgericht entsprach den Bedenken der Händler: Es sah eine Verletzung von Art. 5 Abs. 1 lit. b und c der Datenschutzgrundverordnung gegeben, wonach personenbezogene Daten nur im notwendigen Umfang („Datenminimierung“) und nur für festgelegte, eindeutige und legitime Zwecke („Zweckbindung“) erhoben werden dürfen.
EGMR: Massenüberwachung in Schweden rechtmäßig
Juni 2018
Der EGMR hat die Befugnis des schwedischen Geheimdienstes zum massenhaften Abfangen elektronischer Kommunikation nicht als Verstoß gegen das Recht auf Privatleben aus Art. 8 EMRK eingestuft. Insbesondere enthalte die gesetzliche Ermächtigungsgrundlage hinreichend Maßnahmen zur Vorbeugung von Missbrauch und sei daher konventionsrechtlich nicht zu beanstanden.
US Supreme Court: Standortdatenerhebung bedarf richterlicher Anordnung
Juni 2018
Fällt die Erhebung der Handy-Standortdaten Verdächtiger durch die Strafverfolgungsbehörden unter den Vierten Verfassungszusatz der U.S.-Verfassung und bedarf daher einer richterlichen Anordnung? Der höchste Gerichtshof der USA urteilte in der Entscheidung Carpenter jüngst in diesem Sinne. Die immer genauere Ortung der Mobilfunkgeräte, die es ermögliche, sämtliche Bewegungen eines Individuums längere Zeit im Nachhinein noch detailgetreu zu rekonstruieren, könne nicht vorbehaltslos durch Behörden eingesetzt werden.
EU-Innenausschuss: Kritik an Privacy Shield
Juni 2018
Schützt das neue Datentransfer-Abkommen Privacy Shield – der Nachfolger des vom EuGH gekippten Safe Harbor-Abkommens – die Rechte europäischer Bürger in hinreichendem Umfang? Mit knapper Mehrheit meldete unlängst der EU-Innenausschuss Zweifel an und fordert das EU-Parlament auf, die Kommission dazu zu bewegen, das Abkommen zu überarbeiten.
EuGH: Gemeinsame Haftung von Fanpage-Betreiber und Facebook
Juni 2018
Wen trifft die datenschutzrechtliche Verantwortung, wenn ein Unternehmen auf Facebook eine Fanpage betreibt? Der EuGH sieht sowohl Facebook als auch den Betreiber der konkreten Seite in der datenschutzrechtlichen Pflicht – Facebook aufgrund seiner Kontrolle über die Mittel der Datenverarbeitung und den Seitenbetreiber aufgrund der Möglichkeit, die Daten den eigenen Interessen entsprechend mit nicht abdingbaren Tools auszuwerten. Außerdem sieht der Gerichtshof die beteiligte schleswig-holsteinischen Datenschutzbehörde als befugt an, die Datenschutzgrundverordnung auch gegenüber der irischen Facebook-Niederlassung auszuüben, ohne die irischen Kontrollbehörden zu ersuchen.
New York City setzt Task-Force zur Algorithmen-Kontrolle ein
Januar 2018
Die Stadt New York will den Einsatz von Algorithmen bei der automatisierten Entscheidungsfindung durch Behörden überprüfen lassen und hat hierzu per Satzung eine Task-Force mit der Erarbeitung von Vorschlägen beauftragt. Inhaltlich geht es hierbei insbesondere um das Recht der betroffenen Person auf eine Erklärung der Entscheidung, um die Verhinderung diskriminierender Entscheidungen und um die mögliche Offenlegung der Algorithmen.
US District Court N.D. Cal.: Sammelklage gegen Facebook-Gesichtserkennung zulässig
April 2018
Die jüngste Entscheidung eines US-Bundesrichters aus San Francisco könnte den Internetkonzern teuer zu stehen kommen. In einer Sammelklage rügen Facebook-Nutzer des Bundesstaates Illinois eine Verletzung ihrer Privatsphäre durch ein Programm, das aus ihren Bildern auf Facebook biometrische Daten zusammenstellt. Die Voraussetzungen für eine Sammelklage hat der Richter nun bejaht. Falls die Kläger Erfolg haben, könnte dies zu Strafzahlungen in Milliardenhöhe führen. Mit einem ähnlichen Fall hat Google zurzeit vor einem Bundesgericht in Chicago zu kämpfen.
BGH: Jameda
März 2018
Kann ein Arzt verlangen, dass ein gegen seinen Willen geführtes Profil auf einem Internet-Bewertungsportal gelöscht wird? Ein datenschutzrechtlicher Löschungsanspruch setzt voraus, dass das Recht auf informationelle Selbstbestimmung des Arztes gegenüber den Kommunikationsgrundrechten des Portalbetreibers und seiner Nutzer überwiegt. Der Bundesgerichtshof hatte dies für ein einfaches Bewertungsportal 2014 verneint. Vorliegend bejahte der BGH einen Löschungsanspruch jedoch, weil der Portalbetreiber nicht nur Bewertungen aufführt, sondern Ärzten gegen Entgelt eine besondere Werbeplattform einräumt. Durch dieses Geschäftsmodell verliere der Portalbetreiber seine grundrechtlich besonders geschützte Stellung als „neutraler“ Informationsvermittler.
Irish High Court: EuGH soll erneut transatlantischen Datentransfer in die USA prüfen
März 2018
Nachdem der Europäische Gerichtshof 2015 den Datentransfer in die USA auf Grundlage des „Safe-Harbor-Abkommens“ gekippt hat, wird er sich auf die Vorlage des irischen High Court hin nun mit Nachfolgeregelungen – der Vereinbarung zum „Privacy Shield“ sowie mit Standardvertragsklauseln – beschäftigen. Im Ausgangsverfahren argumentiert der Datenschutzaktivist Maximilian Schrems, Facebook dürfe die Daten europäischer Nutzer nicht in die USA weiterleiten, weil dort kein angemessenes Datenschutzniveau gelte.
EU-Datenschutzbeauftragter zu Big Data und Künstlicher Intelligenz
März 2018
Der Europäische Datenschutzbeauftragte Giovanni Buttarelli warnt in einer kürzlich veröffentlichten Stellungnahme vor den Gefahren von Big Data und Künstlicher Intelligenz. Wenige multinationale Unternehmen hätten es in der Hand, etwa durch „Fake News“ auf demokratische Prozesse einzuwirken. Er plädiert daher nicht nur für Transparenzgebote und Inhaltskontrollen, sondern auch für die effektiven Durchsetzung des Datenschutzes und eine verstärkte Zusammenarbeit der Regulierungs-, Wahl- und Medienbehörden.
BGH: Google muss Persönlichkeitsverletzungen nicht im Vorhinein erkennen
Februar 2018
Sind Suchmaschinenbetreiber verpflichtet, Suchergebnisse mit Persönlichkeitsverletzungen vor der Anzeige herauszufiltern? Bei im Internet allgemein zugänglichen Daten ist besteht ein solcher Anspruch nur, wenn die schutzwürdigen Interessen des Betroffenen offensichtlich überwiegen. Der BGH hat nun entschieden, dass man von einem Suchmaschinenanbieter erwarten könne, dass er sich vergewissere, ob die von den Suchprogrammen aufgefundenen Inhalte rechtmäßig ins Internet eingestellt worden seien. Einer proaktiven Prüfungspflicht stünden Aufgabe und Funktionsweise der Suchmaschinen entgegen.
OVG Hamburg: Facebook darf weiterhin keine Daten von WhatsApp-Nutzern erheben
Februar 2018
Darf Facebook nach dem Kauf des Unternehmens WhatsApp 2014 auf dessen Nutzerdaten zugreifen? Der Hamburger Datenschutzbeauftragte hatte dies mit einer Anordnung im September 2016 für die deutschen WhatsApp-Nutzer untersagt. Das Verbot wurde nun vom OVG Hamburg bestätigt. Grund hierfür ist die fehlende Einwilligung der WhatsApp-Nutzer in die Weitergabe ihrer Daten nach dem Bundesdatenschutzgesetz. Die Frage der nationalen Zuständigkeit (irische oder deutsche Datenschutzbehörden) bleibt offen, ist im Verfahren des einstweiligen Rechtsschutzes aber nicht ausschlaggebend.
OVG Hamburg 5. Senat, Beschluss vom 26. Februar 2018 Az.: 5 Bs 93/17
Neueste Entwicklung: seit Mai erhebt Facebook entgegen der genannten Anordnung Daten von WhatsApp-Nutzern. Die Anordnung des Hamburger Datenschutzbeauftragten ist für Facebook nicht mehr maßgeblich, nachdem die Zuständigkeit durch die DS-GVO auf den irischen Datenschutzbeauftragten übergegangen ist.
Nr. 5 der Anschluss-Antworten Facebooks zur Befragung im Europäischen Parlament
Generalanwalt Mengozzi: Missionierung und Datenschutz
Februar 2018
Fallen Notizen, die sich Mitglieder der Zeugen Jehovas bei der Haustürmissionierung machen – etwa zu Gesprächen und zur Religionsangehörigkeit der Angesprochenen – unter das Datenschutzrecht? Generalanwalt Mengozzi folgte nicht der Argumentation, dass die Notizen rein persönlicher Art seien und aus dem Anwendungsbereich fielen, sondern sieht die einzelnen Mitglieder und die Religionsgemeinschaft als solche in der datenschutzrechtlichen Pflicht.
LG Berlin: Facebooks Voreinstellungen sind teilweise unwirksam
Januar 2018
Auf eine Klage des Verbraucherzentrale Bundesverbands hin hatte sich das Landgericht Berlin mit den Vorsteinstellungen und den Nutzungsbedingungen der Internetplattform Facebook auseinanderzusetzen. Das Gericht kam zu dem Ergebnis, dass alle angegriffenen Voreinstellungen unwirksam und die Nutzungsbedingungen wegen fehlerhafter Zustimmung und nach dem Telemediengesetz teilweise ebenfalls unwirksam seien.
OLG Frankfurt: Hürden für Adresshandel
Januar 2018
Das Datenschutzrecht errichtet hohe Hürden für den Adresshandel. Dies gilt auch dann, wenn der Insolvenzverwalter die Adressen einer insolventen Adresshandelsfirma weiterverkauft. Geschieht dies ohne Einwilligung der Betroffenen, so ist der Verkauf nichtig, stellte das OLG Frankfurt klar.
AG Düsseldorf: Auskunftsanspruch bei automatisiertem Inkassoverfahren
Januar 2018
Wenn ein Inkassounternehmen seine Tätigkeit – d.h. die Verarbeitung von Schuldnerdaten und die Einleitung von Mahnverfahren – automatisiert, so haben die Betroffenen einen Anspruch auf Auskunft über den logischen Aufbau dieser automatisierten Datenverarbeitung. Dies hat jüngt das Amtsgericht Düsseldorf bekräftigt.
EuGH (Schrems): Sammelklage gegen Facebook in Österreich?
Januar 2018
Der Datenschutz-Aktivist Max Schrems hatte mit seinem Anliegen nur teilweise Erfolg, eine Sammelklage gegen Facebook in Österreich anzustrengen. Zwar kann Schrems als Verbraucher in Österreich gegen das in Irland ansässige Unternehmen klagen. Doch eine Sammelklage, gestützt auf abgetretene Ansprüche, ist ihm nach bisheriger Rechtslage verwehrt.
BVerwG: Rechtsschutz gegen „Arbeitsdatei szenekundige Beamte“
Dezember 2017
In der Datenbank "Arbeitsdatei Szenekundige Beamte" sind Daten zu Problem-Fussballfans gespeichert. Diese heimliche Speicherung, die in Verbindung dem jeweiligen Fußballspiel sogar eine Profilbildung erlaubt, greift nach Ansicht des Bundesverwaltungsgerichts tief in das informationelle Selbstbestimmungsrecht der Betroffenen ein. Für eine gegen die Speicherung gerichtete Feststellungsklage besteht daher ein Feststellungsinteresse.
OVG Saarlouis: Videoüberwachung in Apotheke
Dezember 2017
Darf ein Apotheker den Verkaufsraum einer Apotheke per Video überwachen lassen, um Diebstählen durch Personal oder Kunden vorzubeugen? Das OVG Saarlouis erkannte die Diebstahlvermeidung als berechtigtes Interesse an und bejahte die Rechtmäßigkeit der Videoüberwachung.
EuGH (Nowak): Datenschutz gewährt Anspruch auf Einsicht in eigene Prüfungsarbeiten
Dezember 2017
Gibt es einen datenschutzrechtlichen Anspruch auf Einsichtnahme in die eigenen Prüfungsarbeiten? Dies hängt davon ab, ob man Prüfungsarbeit und Korrekturen als persönliche Daten ansieht. Der EuGH hat dies im Fall Nowak unlängst bejaht – ein eindrucksvolles Beispiel für die Reichweite des Datenschutzrechts.