OLG Dresden: Recht auf informationelle Selbstbestimmung geht gesetzlichen Aufbewahrungspflichten vor

20. Mai 2022|

In seiner Entscheidung vom 14.12.2021 stellt das OLG Dresden nun klar, dass, auch wenn gesetzliche Aufbewahrungspflichten vorliegen, trotzdem eine berechtigte DSGVO-Löschung der Daten Vorrang habe. Gegenstand der Klage war ein außergerichtliches Aufforderungsschreiben eines Inkassounternehmens gegen einen vermeintlichen Schuldner, der den gleichen Namen wie der eigentliche Schuldner trägt. Dieser forderte, nachdem das Versehen aufgedeckt worden war, die Löschung seiner Daten. Das beklagte Inkassounternehmen lehnte dies mit Verweis auf die Aufbewahrungspflichten gem. § 148 AO ab. Das OLG Dresden gab nun dem Kläger in diesem Punkt Recht und verurteilte die Beklagte zur Löschung und Unterlassung der Verarbeitung der Daten des Klägers. 

EuGH macht Weg für Verbandsklagen wegen Datenschutzverstößen frei

2. Mai 2022|

Der EuGH hat am 28.04.2022 entschieden, dass Klagen von Verbänden gegen Datenschutzverstöße auch dann zulässig sind, wenn eine Verletzung von Rechten konkreter Personen nicht festgestellt wurde und auch kein Auftrag zur Klageerhebung vorliegt. Es reicht demnach also aus, dass lediglich abstrakt gegen geltende Datenschutzregelungen verstoßen wird, ohne dass eine Person individuell in ihren Rechten verletzt ist. Der BGH hatte daran Zweifel und hielt eine ausschließliche Zuständigkeit der Aufsichtsbehörden für möglich. Der EuGH hat nun ausdrücklich klargestellt, dass die Klagebefugnis von Verbänden keine konkrete Verletzung eines Betroffenen voraussetzt und insoweit bereits das öffentliche Interesse an einer Ahndung von Datenschutzverstößen genügt.

Erste Maßnahme zur Umsetzung der “Schrems II”-Entscheidung wegen Datenschutzverstößen gegen das Europäische Parlament

29. März 2022|

Der Europäische Datenschutzbeauftragte (EDSB) hat eine Unterlassungsanordnung gegen das Europäische Parlament wegen des Betreibens einer COVID-Testseite erlassen. Im Januar 2021 wurde von 6 Mitgliedern des Europäischen Parlaments Beschwerde gegen die o.g. Seite wegen diverser Datenschutzverstöße, wie etwa einem irreführendem Cookie-Banner und illegaler Datenübermittlung in die USA, erhoben. Die Datenübermittlung aus der EU in die USA ist nach der Schrems II-Entscheidung des EuGH an strenge Schutzmaßnahmen geknüpft. Im vorliegenden Fall waren diese nicht gegeben. Der EDSB sprach deshalb eine Verwarnung und eine Unterlassungsanordnung gegen die Nutzung der Website mit einer Frist von einem Monat aus. 

8 Mio. € Bußgeld wegen diverser Verstöße gegen die DSGVO

21. März 2022|

Der REWE International AG werden diverse Verstöße nach der DSGVO vorgeworfen. Aus diesem Grund verhängte nun die österreichische Datenschutzbehörde ein Bußgeld in Höhe von 8 Mio. € gegen den Konzern. Grund sind von der Behörde festgestellte Datenschutzverstöße bei Jö-Bonus Club, dem gemeinsamen Kundenbindungsprogramm von REWE und weiteren Partnern. Zentrale Frage ist, wer im vorliegenden Fall Verantwortlicher i.S.d. Art. 83 DSGVO ist. Einzelheiten des Bußgeldbescheides sind bislang noch nicht bekannt. Es bleibt abzuwarten, ob REWE – wie angekündigt - gegen den Bescheid Rechtsmittel einlegen wird. 

Schadensersatz nach dynamischer Nutzung von Google Fonts ohne Einwilligung

1. März 2022|

Bei der dynamischen Nutzung von Google Fonts (Auswahl an Schriftarten bereitgestellt von Google) wird bei jedem Aufruf der Website eine Verbindung zum Google-Server aufgebaut, um die ausgewählte Schriftart zu laden. Dabei wird mindestens die IP-Adresse des Webseitenbesuchers an Google gesendet. Fehlt es an einer Einwilligung zur Übersendung der IP-Adresse des Webseitenbesuchers (z.B. über einen Consent-Banner), liegt eine Verletzung des allgemeinen Persönlichkeitsrechts in Form des informationellen Selbstbestimmungsrechts vor. Dies führte in einem aktuellen Fall vor dem Landgericht München I zu einem Unterlassungsanspruch nebst Schadensersatz. Eine Berufung auf das berechtigte Interesse des Webseitenbesitzers blieb erfolglos.

Unsichere Datenverarbeitung führt zu 400.000,00 € DSGVO-Bußgeld

27. Januar 2022|

Eine niederländische Fluggesellschaft ist Opfer eines Hackerangriffs geworden, bei dem personenbezogene Daten von rund 83.000 Fluggästen heruntergeladen worden. Die Fluggesellschaft machte es den Hackern leicht, da sie lediglich ein Passwort für ihr System verwendete, welches dazu noch einfach zu knacken war. Die niederländische Datenschutzbehörde verhängte aus diesem Grund gegen die Fluggesellschaft ein Bußgeld in Höhe von 400.000,00 € und stützt sich dabei auf Art. 32 DSGVO. Jedes Unternehmen ist verpflichtet, unter Berücksichtigung des Stands der Technik geeignete technische und organisatorische Maßnahmen zu ergreifen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. 

Grenze des DSGVO-Auskunftsbegehrens bei Rechtsmissbrauch

19. Januar 2022|

Das LG Krefeld setzte in seiner Entscheidung vom 06. Oktober 2021 klare Grenzen für den Auskunftsanspruch gem. Art. 15 DSGVO. Der Auskunftsanspruch dient dem Anspruch auf Berichtigung (Art. 16 DSGVO), Löschung und Einschränkung der Verarbeitung gem. Art. 17 DSGVO. Im vorliegenden Fall stellte der Kläger das Auskunftsersuchen, um die Rechtmäßigkeit der Beitragserhöhungen seiner Versicherung zu überprüfen. Dies stellt allerdings keinen Zweck nach dem Erwägungsgrund Nr. 63 dar, welcher das Auskunftsersuchen zum Zwecke des Ermittelns von Art und Umfang der über ihn gespeicherten Daten, beschreibt. Das Auskunftsbegehren, um Beitragserhöhungen zu überprüfen, ist nach Ansicht des Gerichts rechtsmissbräuchlich. Die Klage wurde abgewiesen. 

DSK lehnt ausdrücklichen Verzicht der Anwendung von technischen und organisatorischen Maßnahmen weitestgehend ab

13. Januar 2022|

Mit Beschluss vom 24.11.2021 hat die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) einen möglichen Verzicht auf die Anwendung technischer und organisatorischer Maßnahmen nach Art. 32 DSGVO der betroffenen Person selbst weitestgehend abgelehnt. Es handelt sich dabei um objektive Rechtspflichten, die nicht zur Disposition stehen. Eine Absenkung der gesetzlichen Standards nach Art. 6 Abs. 1 UAbs. 1 lit. a DSGVO ist nicht zulässig. Eine Ausnahme kann in dokumentierten Einzelfällen nur auf ausdrücklichen, eigeninitiativen Wunsch der betroffenen Person aufgrund des Selbstbestimmungsrechts möglich sein. Kapitel V der DSGVO bleibt hiervon unberührt. 

Überschreiten einer Erheblichkeitsschwelle nicht erforderlich für Begründung eines Schadensersatzes

2. Dezember 2021|

Ein Arbeitnehmer klagte wegen einer verspäteten bzw. unvollständigen Auskunft nach Art 15 DSGVO gegen seinen ehemaligen Arbeitgeber auf Schadensersatz nach Art. 82 DSGVO. Das LAG Hannover bejahte den Anspruch in seiner Entscheidung am 22.10.2021 (16 Sa 761/20). Zur Begründung des Schadensersatzes bedürfe es keines Überschreitens einer Erheblichkeitsschwelle. Nach dem Erwägungsgrund 146 Satz 3 sei gerade eine weite Auslegung geboten. Sollte nur bei erhebliche Rechtsverstößen ein Schadenersatzanspruch bejaht werden, würden viele Betroffene trotz Verstößen keine Kompensation erhalten.

Verarbeitung von Anrede und Geburtstagsdatum nicht in jedem Fall beim Bestellvorgang ohne Registrierung erlaubt

30. November 2021|

Eine Online-Versandapotheke klagte gegen eine datenschutzrechtliche Anordnung hinsichtlich der Unterlassung der Erhebung und Verarbeitung bestimmter Daten im Bestellprozess auf der Website ohne vorherige Registrierung. Zwingend erforderlich waren die Angaben des Geschlechts sowie des Geburtsdatums. Eine Verbraucherin hatte sich beim BayLDA beschwert, diese Datenerhebung verstoße gegen das Prinzip der Rechtmäßigkeit und Datensparsamkeit. Eine Altersangabe sei nur bei Medikamenten mit altersspezifischer Dosierung und die Anrede nur bei geschlechtsspezifischen Medikamenten erforderlich. Das VG Hannover folgte den Ausführungen der Beklagten in seiner Entscheidung am 09.11.2021 (10 A 502/19). Es dürfen nur Angaben erhoben werden, die relevant für die Dosierung der Medikamente seien.

Finnische Aufsichtsbehörde – Protokoll- und Logdaten nicht von einem Auskunftsanspruch umfasst

26. November 2021|

Die finnische Aufsichtsbehörde hatte sich mit der Frage zu befassen, ob Protokoll- bzw. Logdaten von einem Auskunftsanspruch gem. Art. 15 DSGVO erfasst sind und dies abgelehnt. Dieses Ergebnis wurde damit begründet, dass diese Daten nicht die betroffene Person selbst betreffen, sondern im Zusammenhang mit der Zugriffsverwaltung auf die personenbezogenen Daten der betroffenen Person stehen. Vielmehr könnten sich die Protokolldaten auf die Mitarbeiter beziehen, die die Daten der betroffenen Person verarbeitet haben. Der Auskunftsanspruch gem. Art. 15 DSGVO besteht aber nur hinsichtlich der personenbezogenen Daten, die den Auskunftssuchenden betreffen.

OLG Düsseldorf: Ersatzanspruch nur bei konkretem Schaden

24. November 2021|

Das OLG Düsseldorf hat in einem Beschluss vom 16.02.2021 entschieden, dass ein Schadensersatz für einen Datenschutzverstoß nur dann in Betracht kommt, wenn dem Geschädigten dadurch auch ein konkreter Schaden entstanden ist und verweist dazu auf den Wortlaut des Art. 82 Abs. 1 DSGVO. Es bedürfe eines materiellen oder immateriellen Schadens. Der Schadensersatzanspruch besteht nur, wenn der geltend gemachte Schaden unter den Schutzzweck der Norm fällt. Dies sei bei Art. 82 DSGVO das Recht auf informationelle Selbstbestimmung. Im zu entscheidenden Fall erkannte das Gericht aber primär einen Verstoß gegen das Allgemeine Persönlichkeitsrecht und lehnte einen Ersatzanspruch nach Art. 82 DSGVO ab.

Dänische Aufsichtsbehörde zur Frage, ab wann ein Antrag gem. Art. 15 DSGVO auf vollständige Auskunft vorliegt.

18. November 2021|

Ein Newsletter-Empfänger stellte die Anfrage beim Versender, wie dieser an seine E-Mailadresse gekommen sei, ohne einen Newsletter abonniert zu haben. Als das Unternehmen erst auf erneute Nachfrage antwortete, es sehe alles nach einer manuellen Registrierung des Empfängers aus, behauptete dieser weiterhin, keinen Newsletter abonniert zu haben. Er rügte bei der Datenschutzbehörde zwei DSGVO-Verstöße: wie sind die Daten zum Versender gekommen / Verletzung seines Auskunftsrechts nach Art. 15 DSGVO. Die Behörde entschied, dass die Anfrage des Betroffenen nur einen begrenzten Auskunftsanspruch beinhalte (laut Wortlaut der Frage). Durch Verweis auf den eigenen Kenntnisstand sei die Auskunftspflicht bereits erfüllt.

Betroffenenanfragen via Tweets auf Twitter?

15. November 2021|

Auch wenn die DSGVO keinen formellen Weg für Betroffenenanfragen vorsieht, zeigt nun ein aktuelles Verfahren der schwedischen Datenschutzbehörde im Rahmen eines Kohärenzverfahrens, dass die Tendenz dahin geht, dass solche Anfragen nicht als Betroffenenanfragen i.S.d. DSGVO zu verstehen sind.   Die Behörde ging in ihrer Entscheidung davon aus, dass andere -formellere- Wege (z.B. die Anfrage via E-Mail) für den Betroffenen möglich gewesen wären.

LG Essen: Keine Einwände gegen den einfachen Postversand eines USB-Sticks mit sensiblen Daten

27. Oktober 2021|

Das LG Essen hat mit Urteil vom 23.09.2021 (6 O 190/21) klargestellt, dass ein USB-Stick mit sensiblen Daten mit einfachem Postversand versandt werden kann. Das Gericht wies darauf hin, dass auch diverse unverschlüsselte Dokumente – wie  in etwa Steuerunterlagen – ebenfalls mit der Post versandt würden. Das Gericht folgte zudem den Ausführungen des Klägers und stellte fest, dass der immaterielle Schadenersatzanspruch aus Art. 82 Abs. 1 DSGVO gem. § 398 BGB abgetreten werde könne, soweit kein Abtretungsverbot gem. §§ 399, 400 BGB bestehe.

OLG-München: Auskunftsanspruch nach Art. 15 Abs. 3 DSGVO umfasst nicht nur sensible oder private Informationen

20. Oktober 2021|

Mit Urteil des OLG München vom 04. Oktober 2021 (3 U 2906/20) stellt das Gericht klar: nicht nur sensible oder private Informationen sind vom Auskunftsanspruch nach Art. 15 Abs. 3 DSGVO umfasst. Sobald in einem Dokument Informationen enthalten sind, die als personenbezogene Daten einzuordnen sind oder lediglich ersichtlich ist, dass sich ein Betroffener entsprechend geäußert hat, gilt dieses Dokument als personenbezogene Information und ist vom Auskunftsanspruch umfasst. Somit fallen laut des Gerichts auch Aktenvermerke, Telefonnotizen und Ähnliches unter das Betroffenenrecht.