Stand: 28.09.2023
Seit dem Inkrafttreten der DS-GVO sind bereits mehrere Jahre vergangen, weshalb es mittlerweile zu einigen Fragestellungen des Datenschutzes gerichtliche Urteile gibt. Dieser Artikel gibt einen Überblick über aktuelle datenschutzrechtliche Gerichtsentscheidungen zu Themen wie den Voraussetzungen für einen Anspruch auf Schadensersatz nach Art. 82 DS-GVO, den Begriff der Datenkopie oder die Abberufung interner Datenschutzbeauftragter sowie über aktuell verhängte interessante Bußgelder aus Deutschland, Ungarn, Schweden, Irland, Italien und Italien. Der Strauß der sanktionierten Pflichtverletzungen ist bunt und reicht von unzulässiger Datenerhebung über unzureichende Schutzmaßnahmen und unzulässiger Videoüberwachung bis hin zur Entsorgung sensibler Gesundheitsdaten über das Altpapier.
Urteile
Arbeitsgericht Duisburg: 10.000 Euro Schadensersatz wegen verspäteter Datenauskunft
Ein Arbeitnehmer hatte von seinem Recht auf Auskunft nach Art. 15 DS-GVO Gebrauch gemacht. Während der Arbeitgeber die Datenauskunft im Jahr 2020 prompt und vollständig lieferte, reagierte er im Jahr 2022 zwei Wochen gar nicht auf die Auskunftsanfrage und legte erst kurz vor Ablauf der Monatsfrist eine unvollständige Kopie der Daten vor. Nachdem der Arbeitnehmer die noch fehlenden Angaben ein nicht vollständig erhalten hatte, klagte der Betroffene auf Vervollständigung der Datenauskunft sowie Zahlung eines Schmerzensgeldes.
Das Arbeitsgericht (ArbG) prüfte den Sachverhalt und stellte fest, dass der Arbeitgeber dem Auskunftsersuchenden die konkrete Speicherdauer seiner Daten hätte mitteilen können. Zusätzlich müssen in einer Datenauskunft die konkreten Empfänger benannt werden. Dies führte schließlich dazu, dass das ArbG den Arbeitgeber zur Zahlung von insgesamt 10.000 Euro Schadensersatz verurteile. Dieser setzt sich aus 5000 Euro Schadensersatz wegen einer vorsätzlich verspäteten Auskunft und aus weiteren 5000 Euro Schadensersatz wegen des unkooperativen sowie intransparenten Verhaltens des Chefs zusammen.
(ArbG Duisburg, Urteil v. 23.03.2023, Az.: 3 Ca 44/23)
Landgericht Berlin: 7000 Euro Schadensersatz und Schmerzensgeld wegen unzulässiger Videoüberwachung
Eine Kita errichtete eine Videoüberwachung, die auch auf den Innenhof des Gebäudes gerichtet war, der auch von den Mietern des Gebäudes genutzt werden durfte und in dem sich ein Spielplatz befand. Da der Mieter die Videoüberwachung für rechtswidrig erachtete, kam zu einem Rechtsstreit.
Das zuständige Amtsgericht (AG) stimmte dem Kläger zu und auch der Berliner Datenschutzbeauftragte hat die Kita im Zuge dieses Vorfalls bestandskräftig mit einem Bußgeld verwarnt. Das Landgericht (LG) Berlin sah für die Datenverarbeitung der Kita ebenfalls keine Rechtsgrundlage. Da der Mieter sowohl einen materiellen als auch einen immateriellen Schaden erlitten hatte, erhielt der Kläger einen Schadensersatz in Höhe von 2.011,52 Euro und ein Schmerzensgeld in Höhe von 5.000 Euro für einen Zeitraum von 18 Monaten (jeweils zzgl. Zinsen).
(LG Berlin, Urteil v. 15.07.2022, Az.: 63 O 213/20)
Landgericht Paderborn: 500 Euro Schadensersatz für Betroffene eines Datenlecks
Im Jahr 2021 kam es bei Facebook, das zum Meta-Konzern gehört, zu einer Datenpanne. Hacker hatten eine Sicherheitslücke ausgenutzt und sich Zugang zu Facebook-Nutzerdaten verschafft, die in einem Hacker-Forum veröffentlicht wurden und frei zugänglich waren. Betroffen waren auch sensible Daten wie E-Mail-Adressen und Passwörter sowie Informationen wie Geburtstage, Arbeitgeber, Beziehungsstatus, geographische Standorte, Namen und Telefonnummern. Einige betroffene Facebook-Kunden verlangten daraufhin immateriellen Schadensersatz in Höhe von 1000 Euro.
Das Landgericht (LG) Paderborn gab den Klägern in fünf Fällen überwiegend Recht und sprach den Betroffenen jeweils einen Schadensersatz in Höhe von 500 Euro zu, da Facebook unter anderem keine ausreichenden Sicherheitsmaßnahmen getroffen hatte, um den Datenabfluss zu verhindern und so mitverantwortlich für die entstandenen Schaden war. Da das Gericht keine besondere persönliche Betroffenheit feststellen konnte, wurde der Schadensersatz von 1000 Euro auf 500 Euro reduziert. Allerding wurde Facebook zugleich verpflichtet, künftige Schäden, die durch den unbefugten Zugriff Dritter auf das Facebook-Datenarchiv erfolgten oder noch erfolgen werden, zu ersetzen.
(LG Paderborn, Urteile v. 19.12.2022, (Az.: 2 O 212/22; 2 O 185/22; 2 O 236/22; 3 O 99/22; 3 O 193/22)
Oberlandesgericht Köln: 500 Euro Schadensersatz wegen verspäteter Auskunft nach DS-GVO
Eine Frau hatte einen Rechtsanwalt mit der Verfolgung ihrer Ansprüche in einem Verkehrsunfall beauftragt. Nach Kündigung des Anwaltsvertrags verlangte sie Datenauskunft zum Mandatskonto und der E-Mail- bzw. WhatsApp-Kommunikation. Diese Auskunft erhielt sie jedoch erst nach 8 Monaten. Das Landgericht (LG) Bonn stellte einen Verstoß gegen die Auskunftspflicht nach Art. 15 DS-GVO fest, verneinte aber einen Anspruch auf Schadenersatz. Das Oberlandesgericht (OLG) Köln sprach der Frau schließlich einen Schadensersatz in Höhe von 500 Euro zu, da eine verspätete Datenauskunft dazu geeignet sei, einen Schadenersatzanspruch wegen eines immateriellen Schadens nach Art. 82 DS-GVO auszulösen.
(OLG Köln, Urteil v. 14.07.2022, Az.: 15 U 137/21)
Bußgelder
Berlin: 215.000 Euro wegen unzulässiger Verarbeitung von Beschäftigtendaten in der Probezeit
Die Erhebung, Speicherung und Verwendung von Beschäftigtendaten müssen stets im zulässigen Zusammenhang mit dem Beschäftigungsverhältnis erfolgen. Außerdem dürfen Arbeitgeber von Beschäftigten selbst mitgeteilte Informationen, z. B. gesundheitliche Gründe, die gegen eine Schichtarbeit sprechen, nicht einfach weiterverarbeiten. Sie müssen prüfen, ob die Verarbeitung erforderlich und angemessen ist. Nach einer Beschwerde eines Betroffenen erfolgte die Prüfung des Unternehmens durch die Berliner Beauftragte für den Datenschutz und Informationsfreiheit (BInBDI), welche schließlich Bußgelder mit einer Gesamtsumme von 215.000 Euro verhängt hat.
USA: 86.672.879 Euro wegen rechtswidriger Standortverfolgung
Der Generalstaatsanwalt sieht es in diesem Fall als bestätigt an, dass die in Kalifornien ansässige Suchmaschine Google LLC ihre Benutzer täuscht, da personenbezogene Daten ohne Einwilligung zu Profiling-Zwecken gesammelt und verwendet wurden. Google analysiert die Bewegungsmuster von Nutzern, um Werbung zu personalisieren. Der Verstoß des Unternehmens gegen die kalifornischen Verbraucherschutzgesetze erfolgte somit aus kommerziellem Interesse. Ein Fehlverhalten gab Google nicht zu, willigte aber in eine Reihe von Auflagen ein, unter anderem eine größere Transparenz bezüglich der Standortverfolgung und generellen personenbezogenen Datenverarbeitung.
Irland: 345 Millionen Euro wegen Verstößen im Umgang mit Daten Minderjähriger
Während einer großangelegten Ermittlung gegen TikTok Technology Limited stellte die irische Datenschutzbehörde diverse Verstöße im Umgang mit den Daten Minderjähriger fest. Unter anderem waren Profile minderjähriger Nutzer standardmäßig auf öffentlich gestellt, was es ermöglichte, dass jeder die Inhalte der Nutzer anschauen konnte. Zusätzlich waren die Transparenzinformationen für minderjährige Nutzer unzureichend. Außerdem konnte Mithilfe des „Family Pairings“ der Account eines Erwachsenen mit dem eines minderjährigen Nutzers verbunden und die Direktnachrichtenfunktion aktiviert werden. Allerdings waren in einigen Fällen die erwachsenen Nutzer kein Elternteil des Minderjährigen. Zuletzt wurde festgestellt, dass Tiktok sogenannte „dark patterns“ implementiert hatte, um im Anmeldeprozess möglichst viele Optionen zu aktivieren.
Irland: 1.2 Milliarden Euro wegen rechtswidriger Übermittlung personenbezogener Daten in die USA
Mit der Verhängung eines Rekordbußgelds in Höhe von 1.2 Milliarden Euro schloss die irische Datenschutzkommission ihre Untersuchungen zu Meta Platforms Ireland Ltd. am 12. Mai 2023 ab. Meta Ireland übermittelt im Rahmen der Bereitstellung der Plattform Facebook personenbezogene Daten aus der EU/dem EWR in die USA. Dabei wird kein ausreichender Schutz gegen die damit verbundenen Risiken für die Grundrechte und -freiheiten der Betroffenen gewährleistet. Dass sehr wohl Risiken bei der Datenübermittlung in die USA bestehen, wurde vom EuGH in einem vorherigen Urteil gegen Facebook Ireland Limited bekräftigt.
Mit dieser Entscheidung wurde angeordnet, dass Meta Ireland jede künftige Übermittlung personenbezogener Daten an die Vereinigten Staaten unterlassen und die Verarbeitung, einschließlich der Speicherung, der bereits in die USA übermittelten Daten innerhalb von sechs Monaten einstellen muss. Allerdings müssen die weiteren Entwicklungen nach dem Angemessenheitsbeschluss für die USA vom 10.07.2023 abgewartet werden.
Irland: 390.000.000 Euro wegen fehlerhafter Rechtsgrundlage der Datenerhebung
Die Verhängung des Bußgeldes stellt den Abschluss einer Untersuchung der irischen Aufsichtsbehörde gegen Meta Platforms Ireland Ltd. dar, die nach zwei Beschwerden betroffener Personen am 25.05.2018 eingeleitet wurde. Die irische Datenschutzbehörde kam bei ihren Untersuchungen zu dem Schluss, dass Meta Ireland die Datenverarbeitung zur Bereitstellung personalisierter Dienste und verhaltensbezogener Werbung nicht auf die Vertragserfüllung als Rechtsgrundlage stützen kann. Die bisherige Datenverarbeitung auf Basis dieser Rechtsgrundlage stellt daher einen Verstoß gegen Art. 6 Abs. 1 DS-GVO dar. Die Aufsichtsbehörde verhängte deshalb ein Bußgeld i. H. v. 210 Mio. Euro für Datenschutzverstöße in Bezug auf den Dienst Facebook und 180 Mio. Euro für den Dienst Instagram.