Seit dem Inkrafttreten der DS-GVO sind bereits mehrere Jahre vergangen, weshalb es mittlerweile zu einigen Fragestellungen des Datenschutzes gerichtliche Urteile gibt. Dieser Artikel gibt einen Überblick über aktuelle datenschutzrechtliche Gerichtsentscheidungen zu Themen wie der Bewertung eines Auskunftsanspruchs, die Zulässigkeit der Videoaufsicht bei Prüfungen oder den Anforderungen an eine Einwilligung für Telefonwerbung sowie über aktuell verhängte interessante Bußgelder aus Deutschland, den Niederlanden, Spanien, Frankreich und Italien. Der Strauß der sanktionierten Pflichtverletzungen ist bunt und reicht von unzulässiger Werbung über Verstöße auf Websites bei der Cookienutzung und rechtswidriger Videoüberwachung bis hin zu mangelhaften TOMs.

OLG Schleswig-Holstein: Löschanspruch bei Schufa sechs Monate nach Restschuldbefreiung

Fallbeschreibung

Über das Vermögen eines Schuldners wurde ein Insolvenzverfahren eröffnet und dies gemäß der Verordnung zu öffentlichen Bekanntmachungen in Insolvenzverfahren im Internet (InsoBekVO) auf dem amtlichen Internetportal veröffentlicht. Im weiteren Verlauf wurde eine Restschuldbefreiung erteilt. Die Wirtschaftsauskunftei Schufa übernahm die Informationen in ihren Datenbestand, um sie bei Auskunftsersuchen zu dem Schuldner berücksichtigen zu können. Da der Schufa-Eintrag für die betroffene Person erhebliche wirtschaftliche und finanzielle Nachteile mit sich brachte (unter anderem konnte kein Bankkonto eröffnet werden), beantragte er bei der Schufa die Löschung der Daten. Die Auskunftei lehnte dies ab und verwies auf die Verhaltensregeln des Verbandes „Die Wirtschaftsauskunfteien e.V.“, die eine Löschfrist von drei Jahren nach Speicherung vorsahen. Daraufhin reichte der Schuldner erfolgreich Klage ein.

Entscheidung des OLG Schleswig-Holstein

Nachdem das Landgericht (LG) Kiel im ersten Verfahren der beklagten Auskunftei Recht gab (Urteil v. 17.09.2020, Az.: 11 O 21/20) und den Einspruch des Klägers abwies (Urteil v. 12.02.2021, Az.: 2 O 10/21), legte dieser Berufung vor dem Oberlandesgericht (OLG) Schleswig-Holstein ein. Das OLG hob das Versäumnisurteil des LG auf und entscheid, dass der Kläger sechs Monate, nachdem die Entscheidung des Amtsgerichts (AG) über die Restschuldbefreiung rechtskräftig geworden ist, die Löschung seiner Daten verlangen kann. Diese Frist ist in der InsoBekVO vorgesehen, eine längere Speicherung und Verarbeitung seitens der Schufa ist nach Ansicht des Gerichts unzulässig. Die Begründung der Schufa, dass diese Informationen bonitätsrelevant und von berechtigtem Interesse für Vertragspartner seien, erkannte das OLG nicht an.

(OLG Schleswig-Holstein, Urteil v. 02.07.2021, Az.: 17 U 15/21)

Urteil des LG Bonn: Kein Schadensersatz bei verspäteter Auskunftserteilung

Fallbeschreibung

Eine Mandantin machte gegenüber ihrem ehemaligen Anwalt das Auskunftsrecht nach Art. 15 DS-GVO geltend. Dieser erteilte die Auskunft gegenüber der Betroffenen allerdings erst nach acht Monaten, obwohl Art. 12 Abs. 3 S. 1 DS-GVO eine grundsätzliche Frist von maximal einem Monat nach Eingang des Antrags vorsieht. Daraufhin verlangte die betroffene Mandantin immateriellen Schadensersatz („Schmerzensgeld“) nach Art. 82 DS-GVO.

Entscheidung des LG Bonn

Das Landgericht (LG) Bonn lehnte den Schadensersatzanspruch der betroffenen Mandantin ab, da sie keinen nachvollziehbaren Schaden darlegen konnte. Nach Ansicht des Gerichts stellt das Warten auf eine Auskunft allein noch keinen (immateriellen) Schaden dar. Vielmehr muss zumindest eine spürbare Beeinträchtigung nachweisbar sein und das unabhängig davon, ob eine Erblichkeitsschwelle zugrunde gelegt wird oder nicht. Interessant ist außerdem die Entscheidung zum Streitwert: Das LG Bonn vertritt die Meinung, dass bei einer Datenauskunft kein verallgemeinerter, pauschaler Streitwert festgesetzt werden kann. Das Auskunftsverlangen kann verschiedenen Zwecken dienen, aus denen sich unterschiedliche Wertinteressen ergeben, die bei der Streitwertfeststellung zu berücksichtigen sind. Sind keine Besonderheiten erkennbar, hält das Gericht einen Streitwert von 500 Euro für angemessen.

(LG Bonn, Urteil v. 01.07.2021, Az.: 15 O 372/20)

Urteil des BGH: Auskunftsanspruch umfasst auch interne Vermerke

Fallbeschreibung

Ein Mann schloss 1997 einen Vertrag über eine Lebensversicherung ab und machte dann im Jahr 2016 geltend, dass der Vertrag nie zustande gekommen wäre. Dementsprechend verlangte er von dem Versicherungsunternehmen, die gezahlten Prämien zurückzuerstatten. Nachdem die Versicherung dies ablehnte, forderte er zunächst eine Datenauskunft nach § 34 BDSG. Das Unternehmen erteilte daraufhin mehrfach Auskunft – nach Inkrafttreten der DS-GVO auf gem. Art. 15 DS-GVO – der Mann empfand diese allerdings stets als unvollständig. Daraufhin reichte er mehrfach Klage ein, die sowohl vom Amtsgericht (AG) Brühl (Urteil v. 02.05.2018, Az.: 24 C 407/17) als auch vom Landgericht (LG) Köln (Urteil v. 19.06.2019, Az.: 26 S 13/18) abgewiesen wurde.

Entscheidung des BGH

Im Revisionsverfahren vor dem Bundesgerichtshof (BGH) hatte der klagende Mann allerdings Erfolg: Die Auskunft wurde unvollständig erteilt, da die Korrespondenz mit dem Kläger sowie interne (Telefon-)Vermerke nicht enthalten waren. Nach Ansicht des BGH ist der Begriff „personenbezogene Daten“ weit auszulegen und nicht auf sensible oder private Informationen beschränkt. Umfasst sind sowohl objektive als auch subjektive Informationen (z. B. in Stellungnahmen oder Beurteilungen), wenn sie sich auf eine bestimmte Person beziehen. Das Auskunftsrecht ist entsprechend ebenfalls weitreichend und umfasst auch den Inhalt von Schreiben, die der Betroffene bereits kennt, da die Kenntnis dem Recht auf Auskunft nicht schadet. Unternehmensinterne Vermerke und Kommunikation sind ebenfalls zu beauskunften, sofern Informationen zum Betroffenen enthalten sind. Eine abschließende Entscheidung steht allerdings noch aus, da die beklagte Versicherung anführte, dass der Zweck hinter dem Auskunftsverlangen nichts mit Datenschutz zu tun hat. Die Beweiserhebung zur Klärung der Frage muss bei der Vorinstanz erfolgen, da der BGH ausschließlich Rechtsfragen klärt.

(BGH, Urteil v. 15.06.2021, Az. VI ZR 576/19)

Urteil des OVG NRW: Recht auf kostenlose Kopie von Examensklausuren

Fallbeschreibung

Ein Absolvent des Staatsexamens beantragte beim Landesjustizprüfungsamt (LJPA) NRW Einsicht in seine Aufsichtsarbeiten sowie die Prüfergutachten und bat gleichzeitig um eine Kopie der Unterlagen. Nachdem er die Kopierkosten in Höhe von rund 70 Euro nicht übernehmen wollte, verweigerte das LJPA NRW die Übersendung der Dokumente. Daraufhin klagte der Betroffene auf eine kostenlose Bereitstellung der Kopie gem. Art. 15 Abs. 3 DS-GVO. Das Verwaltungsgericht (VG) Gelsenkirchen gab dem Kläger recht und bestätigte den Anspruch (Urteil v. 27.04.2020, Az.: 20 K 6392/18).

Entscheidung des OVG NRW

Das Oberverwaltungsgericht (OVG) Nordrhein-Westfalen (NRW) teilte die Ansicht der Vorgängerinstanz und wies die Berufung zurück. Nach Ansicht des Gerichts fallen sowohl die Aufsichtsarbeiten als auch die Prüfergutachten unter Art. 15 Abs. 3 DS-GVO. Das LJPA NRW muss dem Betroffenen dementsprechend kostenlos eine Kopie der Unterlagen zur Verfügung stellen.

(OVG NRW, Urteil v. 08.06.2021, Az.: 16 A 1582/20)

Urteil des BAG: Verlangen einer Kopie aller E-Mails ist zu unbestimmt

Fallbeschreibung

Ein Arbeitnehmer machte gegenüber seinem ehemaligen Arbeitgeber sein Auskunftsrecht nach Art. 15 Abs. 1 DS-GVO geltend und verlangte eine Kopie seiner personenbezogenen Daten gem. Art. 15 Abs. 3 DS-GVO. Er verlangte insbesondere auch eine Kopie seines E-Mail-Verkehrs sowie der E-Mails, in denen er namentlich erwähnt wurde. Das Arbeitsgericht Hameln wies die Klage ab (Urteil v. 26.06.2019, Az.: 3 Ca 24/19), die Revision vor dem Landesarbeitsgericht Niedersachsen (Urteil v. 09.06.2020, Az.: 9 Sa 608/19) hatte im Hinblick auf die Kopie der E-Mails ebenfalls keinen Erfolg. Daraufhin legte der Kläger erneut Revision ein und der Fall landete vor dem Bundesarbeitsgericht.

Entscheidung des Bundesarbeitsgerichts

Das Bundesarbeitsgericht (BAG) wies die Klage ebenfalls ab, lies die Frage nach dem Recht auf Kopie der E-Mails allerdings offen. Der zweite Senat entschied, dass ein unterstellter Anspruch gegenüber dem Unternehmen hinreichend bestimmt sein muss oder, falls dies nicht möglich ist, im Rahmen einer Stufenklage geltend gemacht werden kann. Bei einer Verurteilung zur Bereitstellung der Kopien durch das Unternehmen bleibe unklar, welche E-Mails herauszugeben wären.

(BAG, Urteil v. 27.04.2021, Az.: 2 AZR 342/20)

BAG legt Frage zur Abberufung des Datenschutzbeauftragten dem EuGH vor

Fallbeschreibung

In einem Unternehmen war der Vorsitzende des Betriebsrats zeitgleich als interner Datenschutzbeauftragter (DSB) für das betreffende Unternehmen sowie drei weitere Konzernmitglieder benannt. Mit Inkrafttreten der DS-GVO im Mai 2018 wurde der Betreffende abberufen, da das verantwortliche Unternehmen einen Interessenskonflikt aufgrund seiner Doppelfunktion befürchtete. Hiergegen reichte der abberufene DSB Klage ein, der von den Vorinstanzen stattgegeben wurde.

Entscheidung des BAG

Das Bundesarbeitsgericht (BAG) stand nun vor der Frage, ob für die Abberufung eines DSB, wie es das deutsche Recht vorsieht, ein wichtiger Grund wie beispielsweise ein Interessenskonflikt erforderlich ist oder nicht. Nach der Regelung in der DS-GVO darf ein DSB nur dann nicht abbestellt werden, wenn dies wegen der Aufgabenerfüllung als DSB geschehen soll. Damit geht die Frage einher, ob eine Norm auf Länderebene strenger sein darf als eine Unionsnorm und die Abberufung weiter einschränken kann. Diese Fragestellung wurde nun zum EuGH vorgelegt, zusammen mit der Frage, ob im Falle der Zulässigkeit ein Interessenskonflikt bei der Doppelfunktion als DSB und Betriebsratsvorsitzender besteht.

(BAG, Beschluss v. 27.04.2021, Az.: 9 AZR 383/19 (A))

OLG Stuttgart: Revision zum BGH für Schadensersatzklage nach Datenleck zugelassen

Bereits im Sommer 2019 kam es bei Mastercard zu einer Datenpanne, bei der persönliche Daten von den rund 90.000 Teilnehmern am Bonusprogramm „Priceless Specials“ abgegriffen wurden. Neben Anschriften, Telefonnummern und E-Mail-Adressen waren unter anderem auch Kontonummern und Geburtsdaten im Internet abrufbar. Das Unternehmen stritt jegliche Schuld an dem Datenleck ab und gab an, dass Drittanbieter, insbesondere Banken für die Panne verantwortlich wären. Infolge der Datenschutzverletzung reichten mehrere tausend betroffene Personen Klage gegen Mastercard ein und forderten gem. Art. 82 DS-GVO Schadensersatz von dem Unternehmen.

Eines dieser Verfahren wurde vor dem Oberlandesgericht (OLG) Stuttgart verhandelt, das die Schadensersatzklage zwar abwies, die Revision zum Bundesgerichtshof (BGH) allerdings zuließ. Damit wird sich nun das höchste deutsche Zivilgericht mit den Voraussetzungen des Schadensersatzanspruchs von Betroffenen nach Art. 82 DS-GVO beschäftigen und hoffentlich einige Grundsatzfragen klären.

(OLG Stuttgart, Urteil v. 31.03.2021, Az.: 9 U 34/21)

Urteil des AG Hamburg-Bergedorf: Kein DSGVO-Schadensersatz bei unzulässiger Werbe-E-Mail

Fallbeschreibung

Ein Arbeitnehmer erhielt unter seiner beruflichen E-Mail-Adresse eine Werbe-E-Mail von einem Unternehmen, das telefonische Rechtsberatung durch Rechtsanwälte anbietet. Die E-Mail-Adresse hatte das beklagte Unternehmen von der Internetseite der Kanzlei des Klägers, wobei neben den Kontaktdaten ein ausdrücklicher Hinweis zu finden war, dass der Betroffene der Verwendung seiner Daten zu Werbezwecken auf jeglichem Kommunikationsweg widerspricht. Nach Erhalt der Werbenachricht forderte der Kläger die Abgabe einer strafbewährten Unterlassungserklärung sowie Schadensersatz in Höhe von 500 Euro. Beides verweigerte das werbende Unternehmen, woraufhin der Betroffene Klage einreichte.

Entscheidung des AG Hamburg-Bergedorf

Das Amtsgericht (AG) Hamburg Bergedorf gab dem Unterlassungsanspruch des Klägers statt, lehnte allerdings einen Schadensersatzanspruch nach Art. 82 Abs. 1 DS-GVO ab. Zwar war die Datenverarbeitung aufgrund einer fehlenden Einwilligung unzulässig, da diese mit dem Hinweis auf der Website auch nicht vermutet werden konnte. Eine bloße Verletzung der Datenschutzvorgaben reicht allerdings nicht, um einen Schadensersatzanspruch zu begründen. Vielmehr muss dem Betroffenen tatsächlich ein Schaden entstanden sein. Immaterielle Schäden sind hiervon zwar umfasst, es ist jedoch eine objektiv benennbare Beeinträchtigung erforderlich, die über die bloße Rechtsverletzung hinausgeht. Dies ist bei einer einmaligen Nutzung personenbezogener Daten für E-Mail-Werbung nicht der Fall.

(AG Hamburg-Bergedorf, Urteil v. 07.12.2020, Az.: 410d C 197/20)

Bayern: 7.000 Euro wegen Verweigerung des Zutritts gegenüber der Aufsichtsbehörde

Ein Unternehmen in Bayern verweigerte der zuständigen Aufsichtsbehörde bei einer unangekündigten Vorortkontrolle den Zutritt zu seinen Geschäftsräumen und den Datenverarbeitungsanlagen. Zu solchen Kontrollen ist die Aufsichtsbehörde gem. Art. 58 Abs. 1 lit. f) DS-GVO allerdings befugt. Daraufhin verhängte das Bayerische Landesamt für Datenschutzaufsicht ein Bußgeld in Höhe von 20.000 Euro gegen die verantwortliche Stelle. Das Unternehmen legte gegen den Bescheid Rechtsmittel ein, woraufhin das Bußgeld auf 7.000 Euro reduziert wurde.

Niedersachen: 65.500 Euro wegen Sicherheitsrisiken durch veraltete Webshop-Anwendung

Bei den Ermittlungen in Folge einer Datenpannenmeldung gem. Art. 33 DS-GVO gegen einen Webshop-Betreiber, stellte die niedersächsische Aufsichtsbehörde fest, dass im Webshop eine veraltete Version einer Webshop-Anwendung verwendet wurde. Diese wurde vom Softwarehersteller seit 2014 nicht mehr mit Sicherheitsupdates beliefert, was erhebliche Sicherheitsrisiken mit sich brachte. Veraltete und nicht dem Stand der Technik entsprechende Sicherheitsmaßnahmen ermöglichten es unter anderem, mit geringem Aufwand die Passwörter der Shop-Kunden im Klartext zu erhalten. Damit verletzte der Seitenbetreiber nach Ansicht der Aufsichtsbehörde seine Pflicht, durch technische und organisatorische Maßnahmen ein angemessenes Schutzniveau für personenbezogene Daten zu gewährleisten. Diesen Verstoß ahndete die niedersächsische Datenschutzaufsicht mit einem Bußgeld in Höhe von 65.500 Euro.

Österreich: 2 Millionen Euro wegen Profiling ohne wirksame Einwilligung

Der Betreiber eines Kundenbindungsprogramms erstellte individuelle Kundenprofile, um möglichst zielgenaues Marketing betreiben und Kaufentscheidungen beeinflussen zu können (sog. Profiling). Hierfür ist allerdings die Einwilligung der betroffenen Personen erforderlich, anderenfalls ist die Verarbeitung personenbezogener Daten unzulässig. Das Unternehmen holte zwar die benötigten Zustimmungen ein, allerdings waren die Erklärungen versteckt und damit unwirksam. Die Informationen über die Datenverarbeitung waren so positioniert und formuliert, dass die Einwilligung zum Profiling effektiv verschleiert wurde, da sie für die betroffenen nicht erkennbar war. Dieses Vorgehen entspricht nicht den Anforderungen an eine wirksame Einwilligung, weshalb das Profiling der rund 2,3 Millionen betroffenen Nutzer unrechtmäßig erfolgte.

Nach einem ersten Verfahren bei der Aufsichtsbehörde stellte das Unternehmen den Prozess um, sodass die Einwilligungen ab dann ordnungsgemäß eingeholt wurden. Allerdings wurde die Verarbeitung der bereits erhobenen Daten, für die keine wirksame Zustimmung vorlag, nicht eingestellt. Aufgrund der andauernden unrechtmäßigen Verarbeitung verhängte die österreichische Datenschutzaufsicht ein Bußgeld in Höhe von 2 Millionen Euro gegen das Unternehmen. Dabei wurde die eher schlechte wirtschaftliche Situation aufgrund der COVID-19-Pandemie mildernd berücksichtigt.

Italien: 2,5 Millionen Euro wegen zahlreicher Verstöße im System zur Fahrerverwaltung

Ein italienischer Essenlieferdienst verwendete für die Verwaltung von rund 8.000 Fahrern ein zentralisiertes System, das von der Muttergesellschaft verwaltet wurde. Über eine App, die auf den Smartphones der Fahrer installiert und mit deren Telefonnummer und E-Mail-Adresse verknüpft war, wurden Arbeitsschichten verwaltet. Bei den hinter der Auswertung stehenden Algorithmen gab es allerdings einige Missstände, unter anderem gab es kein System zur Gewährleistung der Genauigkeit und Korrektheit der Ergebnisse und die betreffenden Fahrer wurden nicht ausreichend über die Funktionsweise informiert. Darüber hinaus stellte die Aufsichtsbehörde Verstöße gegen die Grundsätze der Datenminimierung und der Speicherbegrenzung fest. Über das System wurden mehr Daten erhoben und verwertet als erforderlich (z. B. Kommunikation mit dem Kundendienst, detaillierte Standortbestimmung) und die Aufbewahrungsfrist betrug pauschal sechs Jahre.

Hinzu kamen weitere Verstöße wegen unzureichender Schutzmaßnahmen, dem Fehlen einer Datenschutzfolgenabschätzung trotz der großen Menge an verarbeiteten Daten, der Verletzung der Prinzipien von Datenschutz durch Technikgestaltung und datenschutzfreundlicher Voreinstellungen. Das Verzeichnis der Verarbeitungstätigkeiten entsprach ebenfalls nicht den gesetzlichen Anforderungen, insbesondere fehlte eine detaillierte Beschreibung der technischen und organisatorischen Maßnahmen. Darüber hinaus wurden die Kontaktdaten des betrieblichen Datenschutzbeauftragten der Aufsichtsbehörde erst verspätet mitgeteilt.

Spanien: 1.000 Euro wegen fehlender Kontaktdaten des Verantwortlichen auf Plakat zur Videoüberwachung

Ein Unternehmen hatte es unterlassen, auf einem Plakat, das über die Videoüberwachung informieren sollte, die Kontaktdaten der verantwortlichen Stelle anzugeben. Da dies einen Pflichtinhalt nach Art. 13 Abs. 1 lit. a) DS-GVO darstellt, sah die spanische Aufsichtsbehörde darin einen Verstoß gegen Informationspflichten und verhängte ein Bußgeld in Höhe von 1.000 Euro gegen den Betreiber der Videoüberwachung.

Niederlande: 15.000 Euro wegen unzulässiger Erhebung von Gesundheitsdaten von Beschäftigten

Ein niederländisches Unternehmen erfragte und speicherte nicht nur Krankheitstagen, sondern auch Krankheitsursachen, spezifische Beschwerden sowie Schmerzen der betroffenen Beschäftigten. Wie die Aufsichtsbehörde betonte, ist bereits die Frage nach Gründen und Ursachen unzulässig. Ausnahmen gibt es nur, wenn die Informationen für das Beschäftigungsverhältnis bzw. für Gefahrensituationen relevant ist (z. B. Epilepsie). Eine solch umfangreiche Dokumentation sei nicht erforderlich. Hinzu kam, dass bei dem Online-Formular, über das Beschäftigte Krankheitstage melden konnten, nur unzureichende Sicherheitsmaßnehmen getroffen wurden, da der Zugriff mittels einfachen Logins (Benutzername und Passwort) erfolgte. Dies sei gerade bei Gesundheitsdaten nicht ausreichend.

Niederlande: 12.000 Euro wegen unverschlüsselter Übermittlung personenbezogener Daten

Die niederländische Aufsichtsbehörde verhängte gegen eine orthopädische Praxis ein Bußgeld wegen unzureichender Sicherheitsmaßnahmen nach Art. 32 DS-GVO. Die Praxis stellte auf ihrer Website ein Formular zur Verfügung, um sich als Patient zu registrieren. Neben einigen Pflichtfeldern mit Angaben zur Person des Patienten konnten in dem zugehörigen Formular auch Informationen zu Eltern, Haus- und Zahnärzten sowie der Krankenkasse angegeben werden. Die Ermittlungen der Aufsichtsbehörde ergaben allerdings, dass die Übermittlung an die Praxis ungeschützt über eine unverschlüsselte Verbindung erfolgte. Damit war kein angemessenes Schutzniveau für die Daten gewährleistet.

Italien: 40.000 Euro wegen unzulässiger Datenverarbeitung im Produktivitätsmanagementsystem

Ein Unternehmen verwendete ein Produktivitätsmanagementsystem (PPMS) und dokumentierte dort Performance-Daten von Beschäftigten. Die gesammelten Daten sollten für die Bewertung von Arbeitsfortschritten sowie für die Identifikation etwaiger Sicherheits-, Qualitäts- oder Logistikprobleme verwendet werden. Die Informationen wurden auf unbestimmte Zeit gespeichert. Durch die Zusammenführung mit anderen Verzeichnissen und Protokollen war es allerdings möglich, Rückschlüsse auf die Beschäftigten zu ziehen. Über diese Verarbeitung wurden die Beschäftigten bei der Datenerhebung auch nicht ordnungsgemäß informiert. Die Aufsichtsbehörde ahndete die Verstöße gegen die Prinzipien der Rechtmäßigkeit, Transparenz und Speicherbegrenzung mit einem Bußgeld in Höhe von 40.000 Euro.