Stand: 20.02.2024

Seit dem Inkrafttreten der DS-GVO sind bereits mehrere Jahre vergangen, weshalb es mittlerweile zu einigen Fragestellungen des Datenschutzes gerichtliche Urteile gibt. Dieser Artikel gibt einen Überblick über aktuelle datenschutzrechtliche Gerichtsentscheidungen zu Themen wie die Rechtmäßigkeit der Datenübermittlung in die USA, der Grundsatzfrage der Rechtsgrundlage für die Verarbeitung besonderer Kategorien von Daten und Schadensersatz sowie über aktuell verhängte interessante Bußgelder aus Spanien und Italien. Der Strauß der sanktionierten Pflichtverletzungen ist bunt und reicht von unzureichenden TOMs über unzureichende Information über eine Videoüberwachung bis hin zur fehlenden Meldung von Datenschutzbeauftragten an die Behörde.

EuGH: Hypothetisches Risiko genügt nicht für Schadensersatzanspruch

Bei der Warenausgabe eines Elektronikfachhändlers kam es zu einer Personenverwechslung, sodass einem falschen Kunden die Ware inkl. Kauf- und Kreditvertragsunterlagen des Betroffenen ausgehändigt wurden. Der Irrtum wurde zwar schnell bemerkt und der Betroffene erhielt die Ware inkl. der Vertragsunterlagen nach circa 30 Minuten zurück. Dennoch verlangte er von dem Elektronikfachhändler immateriellen Schadensersatz nach Art. 82 DS-GVO. Das angerufene Amtsgericht (AG) Hagen legte dem Europäischen Gerichtshof (EuGH) im Laufe des Verfahrens mit einigen Fragen zur Auslegung der DS-GVO vor. Der EuGH stellte in seinem Urteil fest, dass ein ungutes Gefühl oder ein hypothetisches Risiko allein nicht ausreichend sind, um einen immateriellen Schaden zu begründen, wenn ein Datenmissbrauch nachweislich ausgeschlossen werden kann.

(EuGH, Urteil v. 15.01.2024, Az. C-687/21)

EuGH: Rechtsgrundlage für die Verarbeitung besonderer Datenkategorien

Der Medizinische Dienst der Krankenkassen Nordrhein (MDK Nordrhein) sollte im Auftrag einer Krankenkasse ein Gutachten zur Arbeitsunfähigkeit eines seiner eigenen Mitarbeiter erstellen. Die zuständige Ärztin des MDK Nordrhein forderte hierfür u. a. Auskünfte vom behandelnden Arzt des Mitarbeiters an, der den Betroffenen wiederum über das Gutachten informierte. Der Mitarbeiter sah die Verarbeitung seiner Gesundheitsdaten i. S. d. Art. 9 DS-GVO als rechtswidrig an und forderte vom MDK Nordrhein deshalb Schadensersatz in Höhe von 20.000 Euro, was dieser ablehnte. Im darauffolgenden Rechtsstreit kamen beim Bundesarbeitsgericht (BAG) mehrere Fragen auf, darunter auch zur Rechtsgrundlage für die Verarbeitung von Gesundheitsdaten. Der Europäische Gerichtshof (EuGH) entschied, dass für eine rechtmäßige Datenverarbeitung neben den Voraussetzungen des Art. 9 DS-GVO auch die des Art. 6 DS-GVO erfüllt sein müssen. Nach Ansicht des EuGH führt die Ausnahme nach Art. 9 Abs. 2 lit. h) DS-GVO nicht dazu, dass die allgemeinen Grundsätze für die Verarbeitung personenbezogener Daten außer Kraft gesetzt werden.

(EuGH, Urteil v. 21.12.2023, Az.: C-667/21)

KG Berlin: Auskunftsanspruch nicht abtretbar

Ein Legal-Tech-Unternehmen verlangte nach einem Hackerangriff auf ein Unternehmen im Namen betroffener Personen Auskunft nach Art. 15 DS-GVO und machte gegenüber dem betreffenden Unternehmen von den Betroffenen abgetretene (vermeintliche) Schadensersatzansprüche geltend. Das Landgericht (LG) Berlin wies die Klage in erster Instanz ab (LG Berlin, Urteil v. 24.03.2023, Az. 38 O 221/22). Nach Ansicht des Gerichts umfasst Art. 15 DS-GVO nicht ohne Weiteres Auskunftsersuchen, die sich auf konkret von einem Datenleck betroffene Daten beziehen. Diese Entscheidung bestätigte das Kammergericht (KG) Berlin im Berufungsverfahren. Darüber hinaus betonte das KG Berlin, dass ein Auskunftsanspruch nach Art. 15 DS-GVO nicht abtretbar sei, es müsse stets eindeutig direkt Auskunft an die betroffene Person verlangt werden. Einen Schadensersatzanspruch nach Art. 82 DS-GVO lehnte das KG Berlin ebenfalls ab. Der Betroffene hätte einen konkreten und tatsächlichen immateriellen Schaden, der über einen ohnehin eingetretenen Kontrollverlust hinausgeht, darlegen müssen.

(KG Berlin, Urteil v. 22.11.2023, Az. 28 U 5/23)

OLG Köln: Datenübermittlung an Google LLC datenschutzwidrig

Die Verbraucherzentrale NRW e. V. klagte gegen eine Tochtergesellschaft der Deutsche Telekom AG wegen verschiedener Datenschutzverstöße auf der Website des Unternehmens. Kritisiert wurde unter anderem die Gestaltung des Cookiebanners und die Übermittlung von IP-Adresse sowie Browser- und Geräteinformationen aus dem Endgerät eines Website-Besuchers an Google LLC als Betreiberin von Google Analyse- und Marketingdiensten mit Sitz in den USA. Das Landgericht (LG) Köln gab dem Kläger in erster Instanz überwiegend Recht. Die Gestaltung des Cookiebanners entspräche nicht den Anforderungen des § 25 Abs. 1 TTDSG und die Einwilligungserteilung könne nicht als freiwillig i. S. d. Art. 4 Nr. 11 DS-GVO bewertet werden, da der „Ablehnen“-Button erst auf zweiter Ebene vorhanden gewesen sei. Das LG Köln stellte zudem die Unzulässigkeit der Datenübermittlung an Google LLC in die USA fest (LG Köln, Urteil v. 23.03.2023, Az.: 33 O 376/22).

Gegen die Entscheidung legten beide Parteien Berufung ein, die vor dem Oberlandesgericht (OLG) Köln allerdings ohne Erfolg blieb. Das OLG teilte die Ansichten des LG Köln bezüglich der Rechtswidrigkeit der Datenübermittlung zum Zeitpunkt der Abmahnung. Im vorliegenden Fall sei der Datentransfer auch mit dem neuen Angemessenheitsbeschluss aufgrund fehlender Rechtsschutzmöglichkeiten der Betroffenen gegen die Überwachungsmaßnahmen rechtswidrig. Diese müssten bei der konkreten Übermittlung tatsächlich vorliegen.

(OLG Köln, Urteil v. 03.11.2023. Az.: 6 U 58/23)

EDSA: Leitlinien zur Vereinheitlichung der Bußgeldpraxis in Europa verabschiedet

Der Europäische Datenschutzausschuss (EDSA) hat Ende Mai 2023 eine endgültige Fassung der Leitlinien zur Verhängung von DSGVO-Bußgeldern verabschiedet, mit denen die Anwendung von Art. 83 DS-GVO europaweit vereinheitlicht werden soll und mehr Transparenz geschaffen wurde. Für die Ermittlung der Bußgeldhöhe sehen die Leitlinien fünf Schritte vor:

1. Identifikation der Verarbeitung personenbezogener Daten durch den Verantwortlichen und bei mehreren Verstößen Prüfung der Anwendbarkeit von Artikel 83 Abs. 3 DSGVO
2. Festlegung des Ausgangspunkts für die weitere Berechnung der Höhe der Geldbuße durch die genaue Feststellung des Verstoßes, dessen Schwere im Hinblick auf die Umstände des Einzelfalls und des Umsatzes des Unternehmens.
3. Bewertung der erschwerenden und mildernden Umstände, die sich auf das frühere oder gegenwärtige Verhalten des Verantwortlichen beziehen sowie darauf basierend Erhöhung/Herabsetzen der Geldbuße
4. Ermittlung der einschlägigen gesetzlichen Höchstbeiträge für die verschiedenen Verstöße
5. Prüfung, ob der errechnete Endbetrag die Anforderungen an die Wirksamkeit, Abschreckung und Verhältnismäßigkeit aus Art. 83 Abs. 1 DS-GVO erfüllt

Im Unterschied zur Ursprungsfassung ist insbesondere der Ermessensspielraum für die Behörden vergrößert worden. Darüber hinaus wurde eine Beispielberechnung eines Bußgeldes für einen fiktiven Fall in die Leitlinien aufgenommen.

Spanien: 5.000.000 Euro Bußgeld wegen unzureichender TOMs und fehlender Reaktion auf Datenpannenmeldung eines Kunden

Nach der Aktualisierung seiner personenbezogenen Daten fand ein Bankkunde in seinem Bankkonto den Zahlungsnachweis einer unbekannten dritten Person an eine weitere ihm unbekannte Person. Im war es möglich, die Namen des Senders und Empfängers, Wohnadresse, IBAN der Konten sowie Herkunfts- und Zielort der Überweisung einzusehen. Der Kunde kontaktierte daraufhin den Kundendienst der Bank, die allerdings nur mangelhaft reagierte, woraufhin der sich an die zuständige Datenschutzbehörde wendete. Diese stellte fest, dass die Bank keine ausreichenden technischen und organisatorischen Sicherheitsmaßnahmen implementiert hatte, um solche Datenpannen zu verhindern, beispielsweise gab es keine datenschutzfreundlichen Voreinstellungen in der Technik. Bemängelt wurde zudem, dass die Datenschutzbeschwerden nur dem Kundendienst gemeldet werden konnten und somit nicht angemessen bearbeitet wurden. Erschwerend kam hinzu, dass die Bank kein proaktives Verhalten und zuließ, dass der Beschwerdeführer für einen langen Zeitraum Zugriff auf die Daten der Dritten hatte. Die Behörde kritisierte außerdem, dass die Bank die von ihr verursachte Datenpanne herunterspielen wollte. Sie verhängte gegen die Bank ein Bußgeld in Höhe von 5.000.000 Euro.

Italien: 2.000 Euro Bußgeld wegen fehlender Hinweisschilder zur Videoüberwachung

Die Datenschutzbehörde wurde von der örtlichen Polizei darüber informiert, dass eine Fleischerei Videoüberwachungskameras installiert hatte, ohne dass hierauf über Hinweisschilder aufmerksam gemacht wurde. Die Aufsichtsbehörde verhängte gegen die Fleischerei deshalb ein Bußgeld von 2.000 Euro.

Italien: Mehrere Bußgelder wegen fehlender Meldung des Datenschutzbeauftragten

Die italienische Aufsichtsbehörde verhängte gegen mehrere Verwaltungen Bußgelder in Höhe von 2.000 bzw. 5.000 Euro, weil diese ihren Datenschutzbeauftragten nicht ordnungsgemäß an die Datenschutzbehörde gemeldet hatten. Die meisten hatten die Kontaktdaten zwar auf ihrer offiziellen Website veröffentlicht, konnten aber nicht überzeugend darlegen, weshalb die Kontaktdaten der Datenschutzbeauftragten der Behörde nicht mitgeteilt wurde.

Polen: 879.364 Euro Bußgeld wegen unzureichender TOMs

Die Datenschutzbehörde stellte bei einem Unternehmen umfangreiche Untersuchungen an, nachdem dieses Verstöße im Zusammenhang mit dem unbefugten Zugriff auf die interne Datenbank gemeldet hatte. Dabei stellte die Behörde fest, dass es innerhalb eines Jahres zu zwei unbefugten Zugriffen auf das interne Netzwerk kam: Im November 2018 verschaffte sich eine unbekannte Person Zugriff auf das interne Netzwerk und kontaktierte über die Datenbank rund 2,2 Millionen Nutzer mit einer Phishing-SMS. Einen Monat später kam es erneut zu einem Vorfall, bei dem nach einem Zugriff auf das Konto eines Mitarbeiters etwa 600 Kunden kontaktiert worden waren. Nach Einschätzung der Datenschutzbehörde seien die Sicherheitsmaßnahmen des Unternehmens nicht geeignet gewesen, um ein angemessenes Sicherheitsniveau sicherzustellen. Die Maßnahmen waren nicht ausreichend getestet worden, wodurch es zu einem schweren Verstoß gekommen war. Die Datenschutzbehörde verhängte gegen das Unternehmen deshalb ein Bußgeld von umgerechnet 879.364 Euro.

Italien: 10.000 Euro wegen Weiternutzung des E-Mail-Kontos einer ehemaligen Mitarbeiterin

Eine ehemalige Mitarbeiterin reichte bei der Datenschutzbehörde Beschwerde gegen ihre ehemalige Arbeitgeberin ein, da das Unternehmen ihr geschäftliches E-Mail-Konto nach Beendigung des Arbeitsverhältnisses weiter genutzt hatte. Statt das Konto zu deaktivieren, wurde eine automatische Weiterleitung eingerichtet, sodass an das Konto gerichtete Nachrichten weiterhin von Mitarbeitern eingesehen und bearbeitet wurden. Zudem blieb eine Aufforderung der Betroffenen, von dem Unternehmen eine Kopie ihrer gespeicherten personenbezogenen Daten sowie aller an ihr Konto gerichteten E-Mails zu erhalten, erfolglos.
Die Datenschutzbehörde kritisierte die Weiternutzung und aktive Kontrolle des Kontos über den zu langen Zeitraum von einem Jahr, der zufolge hatte, dass Mitarbeiter Zugriff auf persönliche Nachrichten, welche an die ehemalige Angestellte gerichtet waren, hatten. Infolgedessen wurden auch gesundheitsbezogene Informationen ohne Einwilligung der Betroffenen weitergeleitet. Zudem wurden die Daten der Betroffenen durch dieses Vorgehen unverhältnismäßig lange aufbewahrt. Zuletzt wies die Behörde darauf hin, dass das Unternehmen die Betroffene detailliert über diese Verarbeitung ihrer personenbezogenen Daten hätte informieren müssen. Die Behörde verhängte gegen das Unternehmen ein Bußgeld von 10.000 Euro.