Hinweisgeberschutzgesetz verkündet: Ein Meilenstein für Whistleblower!
📣 BREAKING NEWS 📣 Verabschiedet war es schon, doch nach der nunmehr erfolgten Verkündung des Hinweisgeberschutzgesetz wird es ernst. Ab dem 2. Juli 2023 tritt das Gesetz in Kraft und Unternehmen müssen Vorsorge treffen, um dem vom Gesetzgeber geforderten besonderen Schutz von Whistleblower zu entsprechen. Das neue Gesetz stärkt die Rechte von Hinweisgebern und bietet eine Chance für viele Unternehmen, eine Kultur des Vertrauens im Rahmen einer funktionierenden Compliance Struktur aufzubauen. Als Beratungsunternehmen im Bereich Compliance und Unternehmensintegrität sagen wir Ihnen, was Sie nun beachten und umsetzen müssen. Sprechen Sie uns gerne an!
Gesetzgebungsverfahren für das Hinweisgeberschutzgesetz geht in die zweite Runde: Neue Gesetzesentwürfe vorgelegt!
Die Koalitionsfraktionen legten am 17. März 2023 die geänderten Gesetzesentwürfe vor. Das primäre Ziel bleibt dabei unverändert! Der erste Gesetzesentwurf nimmt Beamte aus dem Anwendungsbereich des Gesetzes heraus, sodass nach deren Auffassung eine Zustimmung der Ländervertreter nicht mehr notwendig sei. Ergänzende Regelungen hierzu im zweiten Gesetzesentwurf. Dieser soll die Meldungen von Beamten insbesondere mittels Anpassung der beamtenrechtlichen Verschwiegenheitspflicht ermöglichen. Die Beratung erfolgt am 27. März 2023 im Rechtsausschuss, sodass das Inkrafttreten bereits Ende April möglich ist. Wir hoffen, dass das Gesetz zum Schutz der Hinweisgeber bald verabschiedet wird und damit ein starkes Signal in die richtige Richtung gesetzt wird! [...]
EDSA (engl. EDPB) veröffentlicht Arbeitsbericht zu Cookie-Beschwerden
Der europäische Datenschutzausschuss (EDSA) hat einen Arbeitsstand zu den eingegangenen Beschwerden des Datenschutzaktivisten Max Schrems hinsichtlich verschiedener Cookie-Banner-Praktiken veröffentlicht. Die Feststellungen sind für die deutschen Anwender im Kern nicht neu. So wird festgestellt, dass Cookie-Banner u.a. dann unzulässig sind, wenn die Einwilligungsboxen vorangekreuzt sind oder eine Ablehnung der Einstellungen, analog der Annahme, nicht auf der ersten Seite des Cookie-Banners möglich ist. Die Aufmerksamkeit für Cookie-Banner steigt und damit auch das Bußgeldrisiko für unzulässige Gestaltungen. Nutzen Sie die Chance und gestalten Sie Ihren Cookie-Banner rechtskonform, schließlich ist dies das Erste, was ein Besucher Ihrer Website sieht. Gerne beraten wir Sie [...]
Kritische Sicherheitslücken bei Microsoft365
Durch einen Hackerangriff haben Angreifer kritische Sicherheitslücken bei verschiedenen Microsoft-Anwendungen offengelegt. Unter Ausnutzung der Sicherheitslücken kann es Angreifern unter anderem ermöglicht werden, Schadcodes auszuführen und Ihre IT-Infrastruktur zu kompromittieren. Beispielsweise kann ein erfolgreicher Angriff dazu genutzt werden, höhere Nutzungsrechte innerhalb Ihrer IT-Systeme zu vergeben und Sie somit auszuschließen. Microsoft hat hierauf bereits reagiert und entsprechende Sicherheitspatches zur Verfügung gestellt. Wir empfehlen, diese dringen zu installieren/installieren zu lassen. Wenn Sie weitere Fragen zu dem Thema haben, sprechen Sie uns gerne an!
Bundesrat stoppt Inkrafttreten des Hinweisgeberschutzgesetzes
Am 10.02.2023 fand sich der Bundesrat zusammen, um unter anderem über das zuvor vom Bundestag im Dezember beschlossene Hinweisgeberschutzgesetz abzustimmen. Das Gesetz erhielt von den Ländervertretern nicht die notwendige Mehrheit - das Gesetz wurde erst einmal gestoppt! In der Begründung hieß es, gerade kleine Unternehmen würden übermäßig strapaziert. Zudem ginge der Entwurf in der aktuellen Fassung weit über die EU Whistleblowing Richtlinie hinaus. Es hieß, dass gerade in diesen wirtschaftlich schwierigen Zeiten mit mehr Augenmaß gehandelt werden müsse. Der Gesetzesentwurf wird nunmehr in den Vermittlungsausschuss zwischen Bundestag und Bundesrat gehen, um dort einen Kompromiss zu finden! [...]
EuGH bestätigt Geldbuße! 340.000 € Bußgeld gegen Mobilfunkanbieter wegen unzureichender TOMs!
Die polnische Datenschutzaufsicht hat aufgrund einer Datenschutzverletzung aus 2019 eine empfindliche Geldstrafe gegen den Verantwortlichen (Mobilfunkanbieter “Virgin-Mobile”) ausgesprochen. Durch das Fehlen von angemessenen technischen und organisatorischen Maßnahmen (TOM) war es möglich, dass Daten von Abonnenten inklusive der Registrierungsbestätigungen durch unberechtigte Personen eingesehen werden konnten. Im ersten Schritt konnte sich der Verantwortliche im Rahmen eines Verwaltungsrechtsstreits noch gegen das Bußgeld wehren. Der EuGH hat diese Entscheidung revidiert. Die polnische Datenschutzaufsicht hat im Ergebnis die Geldbuße um ca. 100.000€ auf 340.000€ gesenkt. Die Entscheidung zeigt wieder einmal, wie wichtig angemessene technische Schutzmaßnahmen sind. Gerne beraten wir Sie hinsichtlich der Wirksamkeit Ihrer [...]
Vorlagenbeschluss des BGH an den EuGH – Dürfen Wettbewerber datenschutzrechtliche Verstöße abmahnen?
Dürfen neben Betroffenen auch Wettbewerber datenschutzrechtliche Verstöße abmahnen? Die bereits aus dem UWG bekannte Praxis der Wettbewerberabmahnung hat der BGH nun auch zu datenschutzrechtlichen Fragestellungen dem EuGH zur Klärung vorgelegt. Für Verbraucherverbände wurde diese Möglichkeit bereits bestätigt. Zusätzlich soll der EuGH entscheiden, ob die bei einer Bestellung rezeptpflichtiger Medikamente im Internet anfallenden Daten als Gesundheitsdaten iSd. DSGVO gelten. Die Frage ergibt sich deshalb, da Gesundheitsdaten zu den besonders schützenswerten Daten zählen und nur unter strengen Voraussetzungen -idR. muss eine Einwilligung vorliegen- verarbeitet werden dürfen. Über das Ergebnis der Entscheidung und mögliche Konsequenzen halten wir Sie gerne hier auf dem [...]
EDSA schafft weitere Klarheit hinsichtlich der Betroffenenrechte
Der europäische Datenschutzausschuss (EDSA = European Data Protection Board), ein Zusammenschluss u.a. der nationalen Datenschutzaufsichtsbehörden, hat zum 19.1.2023 Leitlinien zu den Betroffenenrechten angenommen. Hiermit werden allgemeine Fragen rund um die Ausgestaltung und Beantwortung der Betroffenenrechte beantwortet und über die einzelnen Ländergrenzen hinweg ein einheitlicher Rechtsrahmen für die Bearbeitung von Betroffenenanfragen geschaffen. Im Mittelpunkt der noch nicht veröffentlichten Leitlinie steht das Recht auf Auskunft. Neben dieser Leitlinie hat der EDSA auch seine Leitlinie zu Einwilligung überarbeitet. Diese wird für Sie hauptsächlich im Rahmen des Cookie-Consent interessant. Sobald die beiden Leitlinien veröffentlicht wurden erfahren Sie in unseren Blogbeiträgen mehr! [...]
Microsoft veröffentlich seinen neuen AV-Vertrag im Rahmen des EU-Boundary-Rollouts
Microsoft hat zum neuen Jahr einen Vorsatz umgesetzt und einen neuen AV-Vertrag (DPA Stand 01.01.23) veröffentlicht. So werden außereuropäische Datenübermittlungen weiter begrenzt und mehr Transparenz für die Datenverantwortlichen geschaffen. Hierdurch erhöht Microsoft im ersten von drei angekündigten Schritten die DSGVO-Konformität hinsichtlich der viel kritisierten Drittstaatenübermittlungen von Daten. Durch das veröffentlichte DPA verspricht Microsoft u.a Unterstützung bei der Erfüllung der datenschutzrechtlichen Rechenschaftspflicht sowie Datenverarbeitung- und Speicherung von Kundendaten in Europa entsprechend der festgelegten Produktbedingungen. Tauschen Sie das neue DPA gegen das alte zeitnah aus, um von den Verbesserungen zu profitieren. Für weitere Informationen sprechen Sie uns gerne an. [...]
5,06 Mio. € Bußgeld wegen unzureichender technischer und organisatorischer Maßnahmen
Die Datenschutzbehörde ICO hat gegen ein britisches Bauunternehmen wegen einer Datenpanne ein Bußgeld in Millionenhöhe verhangen. Nachdem ein Mitarbeiter eine Phishing-Mail geöffnet hat, konnten Hacker Zugriff auf sensible Daten von 113.000 Beschäftigen erhalten. Das Virenschutzprogramm hatte zwar den Angriff erkannt, es wurden jedoch keine weitergehenden Untersuchungen eingeleitet. Aus diesem Grund erhielten die Hacker unbemerkt weiter Zugriff auf die Daten. Die schließlich eingeleiteten Untersuchungen stellten heraus, dass das Unternehmen keine ausreichenden TOM implementiert hatte, sondern vielmehr ein unsicheres Betriebssystem nebst einem veralteten Virenschutz nutzte. Der Vorfall zeigt, wie wichtig die Implementierung der angemessenen TOM und eine regelmäßige Schulung der Mitarbeiter [...]
Microsoft veröffentlicht aktualisierten AV-Vertrag
Der US-Konzern Microsoft hat seinen überarbeiteten Auftragsverarbeitungsvertrag "Microsoft Products and Services Data Protection Addendum" (DPA) (Stand 15. September 2022) seinen Kunden zum Download zur Verfügung gestellt zu haben. Zur Einhaltung der Dokumentationspflichten ist es wichtig, diesen zeitnah herunterzuladen und seinem AV-Verzeichnis beizufügen. Erfreulicherweise folgt Microsoft mit der Anpassung seines AV-Vertrages den mehrfach von den Aufsichtsbehörden geäußerten Kritikpunkten und nähert sich somit den Vorgaben der DSGVO an. Es wurde unter anderem genauer dargestellt, welche Daten zu eigenen Zwecken genutzt werden und ein Verweis auf die neuen Standardvertragsklauseln genommen. Die datenschutzkonforme Nutzung von Microsoft bleibt weiterhin eine Herausforderung, ist aber möglich!
Datenschutzbehörde verhängt Millionen-Bußgeld gegen Instagram
Instagram wurde als Teil des Meta-Konzerns ein Bußgeld in Höhe von 405 Mio. Euro auferlegt. Grund dafür sei der unzureichende Schutz von personenbezogenen Daten Minderjähriger. Diesen war es erlaubt, Geschäftskonten zu eröffnen, auf welchen die Kontaktdaten wie Telefonnummer und E-Mail-Adresse veröffentlich werden konnten. Bereits 2020 wurde festgestellt, dass Instagram-Profile Minderjähriger standardmäßig öffentlich sichtbar sind. Diese beiden Verstöße veranlassten die irische Datenschutzbehörde jetzt zur Verhängung einer derartigen Strafe. Der Meta-Konzern hat bereits jetzt angekündigt, gegen die Entscheidung vorzugehen.
Bundesarbeitsgericht: Arbeitgeber müssen Arbeitszeit erfassen
Nach einer Entscheidung des BAG (Beschluss vom 13.9.2022, Az.: 1 ABR 22/21) müssen Arbeitgeber ein System einführen, mit dem die von den Arbeitnehmern geleistete Arbeitszeit erfasst werden kann. Das Gericht beruft sich dabei auf eine allgemeine Norm des Arbeitsschutzgesetzes und legt diese im Sinne des sog. „Stechuhren-Urteils“ des Europäischen Gerichtshofs von 2019 aus. Die Vorgabe des EuGH zur Einführung einer objektiven, verlässlichen Arbeitszeiterfassung hat der deutsche Gesetzgeber bisher nicht umgesetzt. Bei Fragen zu den Auswirkungen der Gerichtsentscheidung auf Ihr Unternehmen setzen Sie sich gern mit unserem Team in Verbindung!
Versand von E-Rezept QR-Codes via E-Mail oder SMS ist nicht datenschutzkonform
Nach Einführung der Möglichkeit der neuen E-Rezepte mittels QR-Code hat die Datenschutzbehörde in Schleswig-Holstein nun zum Versand via E-Mail und SMS Stellung genommen. Zusammen mit dem QR-Code werden Name der versicherten Person, Geburtsdatum, Kontaktdaten des Arztes, Ausstellungdatum und das verschreibungspflichtige Arzneimittel übermittelt. Die unverschlüsselte Übermittlung dieser Daten erhöhe das Risiko, missbräuchlich mit diesen umzugehen. Nach Auffassung der Datenschutzbehörde verstößt ein solcher Versand gegen Art. 32 DSGVO. Es sind einzelfallabhängig geeignete technische und organisatorische Maßnahmen zu ergreifen, die ein angemessenes Schutzniveau gewährleisten. Eine Einwilligung zum Versand ist nicht ausreichend, da es sich um eine objektive Rechtspflicht handelt. [...]
Bundeskabinett beschließt Hinweisgeberschutzgesetz
Nachdem im Januar ein entsprechendes Vertragsverletzungsverfahren eingeleitet worden ist, hat das Bundeskabinett am 27.07.2022 den Entwurf des Hinweisgeberschutzgesetzes beschlossen. Kernstück des Gesetzes ist die Einrichtung der interne und externe Meldestelle von Verstößen. Das Gesetz tangiert sowohl die Privatwirtschaft als auch den gesamtöffentlichen Sektor mit mindestens 50 Beschäftigen. Unternehmen mit mehr als 250 Beschäftigten müssen diese Regelung sofort ab Inkrafttreten des Gesetzes umsetzen. Bis zum 17.12.2023 muss die Beschwerdestelle in Unternehmen mit 50 bis 249 Mitarbeitern eingerichtet, bzw. die Vorgaben des Gesetzes umgesetzt, werden. Das Gesetz tritt drei Monate nach Verkündung (geplant noch 2022) im Bundesgesetzblatt in Kraft. [...]
Geschäftsführer sind verpflichtet Compliance Management System einzurichten
Geschäftsführer sind zur Einrichtung eines Compliance Management Systems verpflichtet, also zu organisatorischen Vorkehrungen, die die Begehung von Rechtsverstößen durch die Gesellschaft oder deren Mitarbeiter verhindern. Dies hat das OLG Nürnberg in seiner Entscheidung vom 30.03.2022 ausdrücklich bestätigt (Az. 12 U 1520/19). Nach dem Gericht liegt eine Pflichtverletzung schon dann vor, wenn durch unzureichende Organisation, Anleitung bzw. Kontrolle Mitarbeitern der Gesellschaft Straftaten oder sonstige Fehlhandlungen ermöglicht oder auch nur erleichtert werden. Dabei haftet der Geschäftsführer nicht nur gegenüber seiner eigenen GmbH, sondern kann im Falle einer GmbH und Co. KG u.U. auch unmittelbar von der Kommanditgesellschaft in Anspruch genommen werden.
Kein Auskunftsanspruch zur Verbesserung der Beweislage
Das LG Frankenthal hat in einem aktuellen Urteil die Grenzen des Auskunftsanspruchs gem. Art. 15 DSGVO aufgezeigt. Im vorliegenden Fall (1 HK O 4/19) stellte ein ehemaliges Vorstandsmitglied Widerklage und beantragte einen Auskunftsanspruch gegen die klägerische Aktiengesellschaft. Das Gericht ging allerdings davon aus, dass dieser nicht dem eigentlichen Zweck des Auskunftsanspruchs – die Überprüfung der Verarbeitung seiner personenbezogenen Daten – verfolge, sondern lediglich seine Verteidigungsposition durch den Erhalt etwaiger Informationen verbessern wolle. Das Gericht lehnte den Anspruch ab.
OLG Dresden: Recht auf informationelle Selbstbestimmung geht gesetzlichen Aufbewahrungspflichten vor
In seiner Entscheidung vom 14.12.2021 stellt das OLG Dresden nun klar, dass, auch wenn gesetzliche Aufbewahrungspflichten vorliegen, trotzdem eine berechtigte DSGVO-Löschung der Daten Vorrang habe. Gegenstand der Klage war ein außergerichtliches Aufforderungsschreiben eines Inkassounternehmens gegen einen vermeintlichen Schuldner, der den gleichen Namen wie der eigentliche Schuldner trägt. Dieser forderte, nachdem das Versehen aufgedeckt worden war, die Löschung seiner Daten. Das beklagte Inkassounternehmen lehnte dies mit Verweis auf die Aufbewahrungspflichten gem. § 148 AO ab. Das OLG Dresden gab nun dem Kläger in diesem Punkt Recht und verurteilte die Beklagte zur Löschung und Unterlassung der Verarbeitung der Daten des Klägers.
EuGH macht Weg für Verbandsklagen wegen Datenschutzverstößen frei
Der EuGH hat am 28.04.2022 entschieden, dass Klagen von Verbänden gegen Datenschutzverstöße auch dann zulässig sind, wenn eine Verletzung von Rechten konkreter Personen nicht festgestellt wurde und auch kein Auftrag zur Klageerhebung vorliegt. Es reicht demnach also aus, dass lediglich abstrakt gegen geltende Datenschutzregelungen verstoßen wird, ohne dass eine Person individuell in ihren Rechten verletzt ist. Der BGH hatte daran Zweifel und hielt eine ausschließliche Zuständigkeit der Aufsichtsbehörden für möglich. Der EuGH hat nun ausdrücklich klargestellt, dass die Klagebefugnis von Verbänden keine konkrete Verletzung eines Betroffenen voraussetzt und insoweit bereits das öffentliche Interesse an einer Ahndung von Datenschutzverstößen genügt.
Erste Maßnahme zur Umsetzung der “Schrems II”-Entscheidung wegen Datenschutzverstößen gegen das Europäische Parlament
Der Europäische Datenschutzbeauftragte (EDSB) hat eine Unterlassungsanordnung gegen das Europäische Parlament wegen des Betreibens einer COVID-Testseite erlassen. Im Januar 2021 wurde von 6 Mitgliedern des Europäischen Parlaments Beschwerde gegen die o.g. Seite wegen diverser Datenschutzverstöße, wie etwa einem irreführendem Cookie-Banner und illegaler Datenübermittlung in die USA, erhoben. Die Datenübermittlung aus der EU in die USA ist nach der Schrems II-Entscheidung des EuGH an strenge Schutzmaßnahmen geknüpft. Im vorliegenden Fall waren diese nicht gegeben. Der EDSB sprach deshalb eine Verwarnung und eine Unterlassungsanordnung gegen die Nutzung der Website mit einer Frist von einem Monat aus.
8 Mio. € Bußgeld wegen diverser Verstöße gegen die DSGVO
Der REWE International AG werden diverse Verstöße nach der DSGVO vorgeworfen. Aus diesem Grund verhängte nun die österreichische Datenschutzbehörde ein Bußgeld in Höhe von 8 Mio. € gegen den Konzern. Grund sind von der Behörde festgestellte Datenschutzverstöße bei Jö-Bonus Club, dem gemeinsamen Kundenbindungsprogramm von REWE und weiteren Partnern. Zentrale Frage ist, wer im vorliegenden Fall Verantwortlicher i.S.d. Art. 83 DSGVO ist. Einzelheiten des Bußgeldbescheides sind bislang noch nicht bekannt. Es bleibt abzuwarten, ob REWE – wie angekündigt - gegen den Bescheid Rechtsmittel einlegen wird.
Schadensersatz nach dynamischer Nutzung von Google Fonts ohne Einwilligung
Bei der dynamischen Nutzung von Google Fonts (Auswahl an Schriftarten bereitgestellt von Google) wird bei jedem Aufruf der Website eine Verbindung zum Google-Server aufgebaut, um die ausgewählte Schriftart zu laden. Dabei wird mindestens die IP-Adresse des Webseitenbesuchers an Google gesendet. Fehlt es an einer Einwilligung zur Übersendung der IP-Adresse des Webseitenbesuchers (z.B. über einen Consent-Banner), liegt eine Verletzung des allgemeinen Persönlichkeitsrechts in Form des informationellen Selbstbestimmungsrechts vor. Dies führte in einem aktuellen Fall vor dem Landgericht München I zu einem Unterlassungsanspruch nebst Schadensersatz. Eine Berufung auf das berechtigte Interesse des Webseitenbesitzers blieb erfolglos.
Unsichere Datenverarbeitung führt zu 400.000,00 € DSGVO-Bußgeld
Eine niederländische Fluggesellschaft ist Opfer eines Hackerangriffs geworden, bei dem personenbezogene Daten von rund 83.000 Fluggästen heruntergeladen worden. Die Fluggesellschaft machte es den Hackern leicht, da sie lediglich ein Passwort für ihr System verwendete, welches dazu noch einfach zu knacken war. Die niederländische Datenschutzbehörde verhängte aus diesem Grund gegen die Fluggesellschaft ein Bußgeld in Höhe von 400.000,00 € und stützt sich dabei auf Art. 32 DSGVO. Jedes Unternehmen ist verpflichtet, unter Berücksichtigung des Stands der Technik geeignete technische und organisatorische Maßnahmen zu ergreifen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.
Grenze des DSGVO-Auskunftsbegehrens bei Rechtsmissbrauch
Das LG Krefeld setzte in seiner Entscheidung vom 06. Oktober 2021 klare Grenzen für den Auskunftsanspruch gem. Art. 15 DSGVO. Der Auskunftsanspruch dient dem Anspruch auf Berichtigung (Art. 16 DSGVO), Löschung und Einschränkung der Verarbeitung gem. Art. 17 DSGVO. Im vorliegenden Fall stellte der Kläger das Auskunftsersuchen, um die Rechtmäßigkeit der Beitragserhöhungen seiner Versicherung zu überprüfen. Dies stellt allerdings keinen Zweck nach dem Erwägungsgrund Nr. 63 dar, welcher das Auskunftsersuchen zum Zwecke des Ermittelns von Art und Umfang der über ihn gespeicherten Daten, beschreibt. Das Auskunftsbegehren, um Beitragserhöhungen zu überprüfen, ist nach Ansicht des Gerichts rechtsmissbräuchlich. Die Klage wurde abgewiesen.
DSK lehnt ausdrücklichen Verzicht der Anwendung von technischen und organisatorischen Maßnahmen weitestgehend ab
Mit Beschluss vom 24.11.2021 hat die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) einen möglichen Verzicht auf die Anwendung technischer und organisatorischer Maßnahmen nach Art. 32 DSGVO der betroffenen Person selbst weitestgehend abgelehnt. Es handelt sich dabei um objektive Rechtspflichten, die nicht zur Disposition stehen. Eine Absenkung der gesetzlichen Standards nach Art. 6 Abs. 1 UAbs. 1 lit. a DSGVO ist nicht zulässig. Eine Ausnahme kann in dokumentierten Einzelfällen nur auf ausdrücklichen, eigeninitiativen Wunsch der betroffenen Person aufgrund des Selbstbestimmungsrechts möglich sein. Kapitel V der DSGVO bleibt hiervon unberührt.
Überschreiten einer Erheblichkeitsschwelle nicht erforderlich für Begründung eines Schadensersatzes
Ein Arbeitnehmer klagte wegen einer verspäteten bzw. unvollständigen Auskunft nach Art 15 DSGVO gegen seinen ehemaligen Arbeitgeber auf Schadensersatz nach Art. 82 DSGVO. Das LAG Hannover bejahte den Anspruch in seiner Entscheidung am 22.10.2021 (16 Sa 761/20). Zur Begründung des Schadensersatzes bedürfe es keines Überschreitens einer Erheblichkeitsschwelle. Nach dem Erwägungsgrund 146 Satz 3 sei gerade eine weite Auslegung geboten. Sollte nur bei erhebliche Rechtsverstößen ein Schadenersatzanspruch bejaht werden, würden viele Betroffene trotz Verstößen keine Kompensation erhalten.
Verarbeitung von Anrede und Geburtstagsdatum nicht in jedem Fall beim Bestellvorgang ohne Registrierung erlaubt
Eine Online-Versandapotheke klagte gegen eine datenschutzrechtliche Anordnung hinsichtlich der Unterlassung der Erhebung und Verarbeitung bestimmter Daten im Bestellprozess auf der Website ohne vorherige Registrierung. Zwingend erforderlich waren die Angaben des Geschlechts sowie des Geburtsdatums. Eine Verbraucherin hatte sich beim BayLDA beschwert, diese Datenerhebung verstoße gegen das Prinzip der Rechtmäßigkeit und Datensparsamkeit. Eine Altersangabe sei nur bei Medikamenten mit altersspezifischer Dosierung und die Anrede nur bei geschlechtsspezifischen Medikamenten erforderlich. Das VG Hannover folgte den Ausführungen der Beklagten in seiner Entscheidung am 09.11.2021 (10 A 502/19). Es dürfen nur Angaben erhoben werden, die relevant für die Dosierung der Medikamente seien.
Finnische Aufsichtsbehörde – Protokoll- und Logdaten nicht von einem Auskunftsanspruch umfasst
Die finnische Aufsichtsbehörde hatte sich mit der Frage zu befassen, ob Protokoll- bzw. Logdaten von einem Auskunftsanspruch gem. Art. 15 DSGVO erfasst sind und dies abgelehnt. Dieses Ergebnis wurde damit begründet, dass diese Daten nicht die betroffene Person selbst betreffen, sondern im Zusammenhang mit der Zugriffsverwaltung auf die personenbezogenen Daten der betroffenen Person stehen. Vielmehr könnten sich die Protokolldaten auf die Mitarbeiter beziehen, die die Daten der betroffenen Person verarbeitet haben. Der Auskunftsanspruch gem. Art. 15 DSGVO besteht aber nur hinsichtlich der personenbezogenen Daten, die den Auskunftssuchenden betreffen.
OLG Düsseldorf: Ersatzanspruch nur bei konkretem Schaden
Das OLG Düsseldorf hat in einem Beschluss vom 16.02.2021 entschieden, dass ein Schadensersatz für einen Datenschutzverstoß nur dann in Betracht kommt, wenn dem Geschädigten dadurch auch ein konkreter Schaden entstanden ist und verweist dazu auf den Wortlaut des Art. 82 Abs. 1 DSGVO. Es bedürfe eines materiellen oder immateriellen Schadens. Der Schadensersatzanspruch besteht nur, wenn der geltend gemachte Schaden unter den Schutzzweck der Norm fällt. Dies sei bei Art. 82 DSGVO das Recht auf informationelle Selbstbestimmung. Im zu entscheidenden Fall erkannte das Gericht aber primär einen Verstoß gegen das Allgemeine Persönlichkeitsrecht und lehnte einen Ersatzanspruch nach Art. 82 DSGVO ab.
Dänische Aufsichtsbehörde zur Frage, ab wann ein Antrag gem. Art. 15 DSGVO auf vollständige Auskunft vorliegt.
Ein Newsletter-Empfänger stellte die Anfrage beim Versender, wie dieser an seine E-Mailadresse gekommen sei, ohne einen Newsletter abonniert zu haben. Als das Unternehmen erst auf erneute Nachfrage antwortete, es sehe alles nach einer manuellen Registrierung des Empfängers aus, behauptete dieser weiterhin, keinen Newsletter abonniert zu haben. Er rügte bei der Datenschutzbehörde zwei DSGVO-Verstöße: wie sind die Daten zum Versender gekommen / Verletzung seines Auskunftsrechts nach Art. 15 DSGVO. Die Behörde entschied, dass die Anfrage des Betroffenen nur einen begrenzten Auskunftsanspruch beinhalte (laut Wortlaut der Frage). Durch Verweis auf den eigenen Kenntnisstand sei die Auskunftspflicht bereits erfüllt.
Betroffenenanfragen via Tweets auf Twitter?
Auch wenn die DSGVO keinen formellen Weg für Betroffenenanfragen vorsieht, zeigt nun ein aktuelles Verfahren der schwedischen Datenschutzbehörde im Rahmen eines Kohärenzverfahrens, dass die Tendenz dahin geht, dass solche Anfragen nicht als Betroffenenanfragen i.S.d. DSGVO zu verstehen sind. Die Behörde ging in ihrer Entscheidung davon aus, dass andere -formellere- Wege (z.B. die Anfrage via E-Mail) für den Betroffenen möglich gewesen wären.
LG Essen: Keine Einwände gegen den einfachen Postversand eines USB-Sticks mit sensiblen Daten
Das LG Essen hat mit Urteil vom 23.09.2021 (6 O 190/21) klargestellt, dass ein USB-Stick mit sensiblen Daten mit einfachem Postversand versandt werden kann. Das Gericht wies darauf hin, dass auch diverse unverschlüsselte Dokumente – wie in etwa Steuerunterlagen – ebenfalls mit der Post versandt würden. Das Gericht folgte zudem den Ausführungen des Klägers und stellte fest, dass der immaterielle Schadenersatzanspruch aus Art. 82 Abs. 1 DSGVO gem. § 398 BGB abgetreten werde könne, soweit kein Abtretungsverbot gem. §§ 399, 400 BGB bestehe.
OLG-München: Auskunftsanspruch nach Art. 15 Abs. 3 DSGVO umfasst nicht nur sensible oder private Informationen
Mit Urteil des OLG München vom 04. Oktober 2021 (3 U 2906/20) stellt das Gericht klar: nicht nur sensible oder private Informationen sind vom Auskunftsanspruch nach Art. 15 Abs. 3 DSGVO umfasst. Sobald in einem Dokument Informationen enthalten sind, die als personenbezogene Daten einzuordnen sind oder lediglich ersichtlich ist, dass sich ein Betroffener entsprechend geäußert hat, gilt dieses Dokument als personenbezogene Information und ist vom Auskunftsanspruch umfasst. Somit fallen laut des Gerichts auch Aktenvermerke, Telefonnotizen und Ähnliches unter das Betroffenenrecht.