Grenze des DSGVO-Auskunftsbegehrens bei Rechtsmissbrauch

19. Januar 2022|

Das LG Krefeld setzte in seiner Entscheidung vom 06. Oktober 2021 klare Grenzen für den Auskunftsanspruch gem. Art. 15 DSGVO. Der Auskunftsanspruch dient dem Anspruch auf Berichtigung (Art. 16 DSGVO), Löschung und Einschränkung der Verarbeitung gem. Art. 17 DSGVO. Im vorliegenden Fall stellte der Kläger das Auskunftsersuchen, um die Rechtmäßigkeit der Beitragserhöhungen seiner Versicherung zu überprüfen. Dies stellt allerdings keinen Zweck nach dem Erwägungsgrund Nr. 63 dar, welcher das Auskunftsersuchen zum Zwecke des Ermittelns von Art und Umfang der über ihn gespeicherten Daten, beschreibt. Das Auskunftsbegehren, um Beitragserhöhungen zu überprüfen, ist nach Ansicht des Gerichts rechtsmissbräuchlich. Die Klage wurde abgewiesen. 

DSK lehnt ausdrücklichen Verzicht der Anwendung von technischen und organisatorischen Maßnahmen weitestgehend ab

13. Januar 2022|

Mit Beschluss vom 24.11.2021 hat die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) einen möglichen Verzicht auf die Anwendung technischer und organisatorischer Maßnahmen nach Art. 32 DSGVO der betroffenen Person selbst weitestgehend abgelehnt. Es handelt sich dabei um objektive Rechtspflichten, die nicht zur Disposition stehen. Eine Absenkung der gesetzlichen Standards nach Art. 6 Abs. 1 UAbs. 1 lit. a DSGVO ist nicht zulässig. Eine Ausnahme kann in dokumentierten Einzelfällen nur auf ausdrücklichen, eigeninitiativen Wunsch der betroffenen Person aufgrund des Selbstbestimmungsrechts möglich sein. Kapitel V der DSGVO bleibt hiervon unberührt. 

Überschreiten einer Erheblichkeitsschwelle nicht erforderlich für Begründung eines Schadensersatzes

2. Dezember 2021|

Ein Arbeitnehmer klagte wegen einer verspäteten bzw. unvollständigen Auskunft nach Art 15 DSGVO gegen seinen ehemaligen Arbeitgeber auf Schadensersatz nach Art. 82 DSGVO. Das LAG Hannover bejahte den Anspruch in seiner Entscheidung am 22.10.2021 (16 Sa 761/20). Zur Begründung des Schadensersatzes bedürfe es keines Überschreitens einer Erheblichkeitsschwelle. Nach dem Erwägungsgrund 146 Satz 3 sei gerade eine weite Auslegung geboten. Sollte nur bei erhebliche Rechtsverstößen ein Schadenersatzanspruch bejaht werden, würden viele Betroffene trotz Verstößen keine Kompensation erhalten.

Verarbeitung von Anrede und Geburtstagsdatum nicht in jedem Fall beim Bestellvorgang ohne Registrierung erlaubt

30. November 2021|

Eine Online-Versandapotheke klagte gegen eine datenschutzrechtliche Anordnung hinsichtlich der Unterlassung der Erhebung und Verarbeitung bestimmter Daten im Bestellprozess auf der Website ohne vorherige Registrierung. Zwingend erforderlich waren die Angaben des Geschlechts sowie des Geburtsdatums. Eine Verbraucherin hatte sich beim BayLDA beschwert, diese Datenerhebung verstoße gegen das Prinzip der Rechtmäßigkeit und Datensparsamkeit. Eine Altersangabe sei nur bei Medikamenten mit altersspezifischer Dosierung und die Anrede nur bei geschlechtsspezifischen Medikamenten erforderlich. Das VG Hannover folgte den Ausführungen der Beklagten in seiner Entscheidung am 09.11.2021 (10 A 502/19). Es dürfen nur Angaben erhoben werden, die relevant für die Dosierung der Medikamente seien.

Finnische Aufsichtsbehörde – Protokoll- und Logdaten nicht von einem Auskunftsanspruch umfasst

26. November 2021|

Die finnische Aufsichtsbehörde hatte sich mit der Frage zu befassen, ob Protokoll- bzw. Logdaten von einem Auskunftsanspruch gem. Art. 15 DSGVO erfasst sind und dies abgelehnt. Dieses Ergebnis wurde damit begründet, dass diese Daten nicht die betroffene Person selbst betreffen, sondern im Zusammenhang mit der Zugriffsverwaltung auf die personenbezogenen Daten der betroffenen Person stehen. Vielmehr könnten sich die Protokolldaten auf die Mitarbeiter beziehen, die die Daten der betroffenen Person verarbeitet haben. Der Auskunftsanspruch gem. Art. 15 DSGVO besteht aber nur hinsichtlich der personenbezogenen Daten, die den Auskunftssuchenden betreffen.

OLG Düsseldorf: Ersatzanspruch nur bei konkretem Schaden

24. November 2021|

Das OLG Düsseldorf hat in einem Beschluss vom 16.02.2021 entschieden, dass ein Schadensersatz für einen Datenschutzverstoß nur dann in Betracht kommt, wenn dem Geschädigten dadurch auch ein konkreter Schaden entstanden ist und verweist dazu auf den Wortlaut des Art. 82 Abs. 1 DSGVO. Es bedürfe eines materiellen oder immateriellen Schadens. Der Schadensersatzanspruch besteht nur, wenn der geltend gemachte Schaden unter den Schutzzweck der Norm fällt. Dies sei bei Art. 82 DSGVO das Recht auf informationelle Selbstbestimmung. Im zu entscheidenden Fall erkannte das Gericht aber primär einen Verstoß gegen das Allgemeine Persönlichkeitsrecht und lehnte einen Ersatzanspruch nach Art. 82 DSGVO ab.

Dänische Aufsichtsbehörde zur Frage, ab wann ein Antrag gem. Art. 15 DSGVO auf vollständige Auskunft vorliegt.

18. November 2021|

Ein Newsletter-Empfänger stellte die Anfrage beim Versender, wie dieser an seine E-Mailadresse gekommen sei, ohne einen Newsletter abonniert zu haben. Als das Unternehmen erst auf erneute Nachfrage antwortete, es sehe alles nach einer manuellen Registrierung des Empfängers aus, behauptete dieser weiterhin, keinen Newsletter abonniert zu haben. Er rügte bei der Datenschutzbehörde zwei DSGVO-Verstöße: wie sind die Daten zum Versender gekommen / Verletzung seines Auskunftsrechts nach Art. 15 DSGVO. Die Behörde entschied, dass die Anfrage des Betroffenen nur einen begrenzten Auskunftsanspruch beinhalte (laut Wortlaut der Frage). Durch Verweis auf den eigenen Kenntnisstand sei die Auskunftspflicht bereits erfüllt.

Betroffenenanfragen via Tweets auf Twitter?

15. November 2021|

Auch wenn die DSGVO keinen formellen Weg für Betroffenenanfragen vorsieht, zeigt nun ein aktuelles Verfahren der schwedischen Datenschutzbehörde im Rahmen eines Kohärenzverfahrens, dass die Tendenz dahin geht, dass solche Anfragen nicht als Betroffenenanfragen i.S.d. DSGVO zu verstehen sind.   Die Behörde ging in ihrer Entscheidung davon aus, dass andere -formellere- Wege (z.B. die Anfrage via E-Mail) für den Betroffenen möglich gewesen wären.

LG Essen: Keine Einwände gegen den einfachen Postversand eines USB-Sticks mit sensiblen Daten

27. Oktober 2021|

Das LG Essen hat mit Urteil vom 23.09.2021 (6 O 190/21) klargestellt, dass ein USB-Stick mit sensiblen Daten mit einfachem Postversand versandt werden kann. Das Gericht wies darauf hin, dass auch diverse unverschlüsselte Dokumente – wie  in etwa Steuerunterlagen – ebenfalls mit der Post versandt würden. Das Gericht folgte zudem den Ausführungen des Klägers und stellte fest, dass der immaterielle Schadenersatzanspruch aus Art. 82 Abs. 1 DSGVO gem. § 398 BGB abgetreten werde könne, soweit kein Abtretungsverbot gem. §§ 399, 400 BGB bestehe.

OLG-München: Auskunftsanspruch nach Art. 15 Abs. 3 DSGVO umfasst nicht nur sensible oder private Informationen

20. Oktober 2021|

Mit Urteil des OLG München vom 04. Oktober 2021 (3 U 2906/20) stellt das Gericht klar: nicht nur sensible oder private Informationen sind vom Auskunftsanspruch nach Art. 15 Abs. 3 DSGVO umfasst. Sobald in einem Dokument Informationen enthalten sind, die als personenbezogene Daten einzuordnen sind oder lediglich ersichtlich ist, dass sich ein Betroffener entsprechend geäußert hat, gilt dieses Dokument als personenbezogene Information und ist vom Auskunftsanspruch umfasst. Somit fallen laut des Gerichts auch Aktenvermerke, Telefonnotizen und Ähnliches unter das Betroffenenrecht.