Stand: 23.01.2023

Seit dem Inkrafttreten der DS-GVO sind bereits mehrere Jahre vergangen, weshalb es mittlerweile zu einigen Fragestellungen des Datenschutzes gerichtliche Urteile gibt. Dieser Artikel gibt einen Überblick über aktuelle datenschutzrechtliche Gerichtsentscheidungen zu Themen wie der Reichweite des Auskunftsanspruchs, Anforderungen an Cookiebanner und der Abmahnfähigkeit von Datenschutzverstößen, sowie über aktuell verhängte interessante Bußgelder aus Irland, Deutschland, Spanien und Italien. Der Strauß der sanktionierten Pflichtverletzungen ist bunt und reicht von unzulässiger Datenerhebung über Verstöße auf Websites bei der Cookienutzung und rechtswidriger Videoüberwachung bis hin zu mangelhaften TOMs.

Urteile

EuGH: Konkrete Identität des Empfängers muss offengelegt werden

Hintergrund war die Klage eines Betroffenen gegen die Österreichische Post, der die Mitteilung der Identität der Empfänger seiner personenbezogenen Daten forderte. Die Österreichische Post teilte dem Betroffenen lediglich die Empfängerkategorien, nicht aber die konkrete Identität. Im Rahmen des Verfahrens kamen dem österreichischen Obersten Gerichtshof (OGH) Zweifel daran, inwieweit es die Entscheidung des Verantwortlichen sei, die konkrete Identität oder nur die Kategorie von Empfängern mitzuteilen. Deshalb legte er diese Auslegungsfrage beim Europäischen Gerichtshof (EuGH) vor. Der EuGH kam zu dem Ergebnis, dass betroffenen Personen grundsätzlich die konkrete Identität des Empfängers offenzulegen ist. Das Gericht führte in seiner Begründung an, dass sich zwar aus dem Wortlaut zunächst kein Vorrang der Offenlegung der konkreten Identität ergebe, für die praktische Wirksamkeit vieler Betroffenenrechte nach der DS-GVO sei diese allerdings erforderlich.

(EuGH, Urteil v. 12.01.2023, Az.: C-154/21)

BGH legt EuGH Frage bzgl. der Klagebefugnis von Wettbewerbern vor

Der Bundesgerichtshof (BGH) verhandelt aktuell zwei Verfahren, bei denen ein Apotheker Klage gegen einen Mitbewerber eingereicht hat. Ausgangspunkt ist in beiden Fällen, dass ein Apotheker seine Produkte über die Internet-Verkaufsplattform „Amazon“ vertreibt. Nach Ansicht des klagenden Mitbewerbers verstößt dieses Vorgehen gegen verschiedene nationale Vorschriften wie das Arzneimittelgesetz (AMG) und die Berufsordnung für Apotheker sowie gegen das Datenschutzrecht. Im zweiten Verfahren geht der Kläger gegen die seiner Meinung nach unzulässige Erhebung und Verarbeitung von Gesundheitsdaten im Rahmen des Bestellprozesses vor. Nach mehreren Revisionen landeten beide Verfahren vor dem BGH, der dem EuGH zwei Fragen vorlegte: Der EuGH soll klären, ob Mitbewerber bei Datenschutzverstößen überhaupt klagebefugt sind und, ob es sich bei den Daten, die im Rahmen des Bestellprozesses verarbeitet werden, um Gesundheitsdaten i. S. v. Art. 9 DS-GVO handelt.

(BGH, Beschlüsse v. 12.01.2023, Az.: I ZR 222/19 und I ZR 223/19)

LG München: Keine wirksame Einwilligung bei Nutzung von Dark Patterns

Die erste von insgesamt fünf Klagen des Verbraucherzentrale Bundesverbandes (VZBV) gegen die Cookiebanner auf Verlagswebsites hatte teilweise Erfolg. Der VZBV rügte die Nutzung von sog. Dark Patterns auf der Seite Focus.de, wonach im Banner auf der ersten Ebene nur die Zustimmung zum Nutzertracking möglich, die Ablehnung allerdings erst unauffällig auf der zweiten Ebene. Da dieses Vorgehen eine aufwendigere Interaktion des Users mit der Consent Managment Platform (CMP) erfordert, fehlt es nach Ansicht des Landgerichts (LG) München I an der erforderlichen Freiwilligkeit. Die Einwilligung zum Nutzertracking sei damit unwirksam.

(LG München I, Urteil v. 29.11.2022, Az.: 33 O14776/19)

OLG Karlsruhe: Vergabe von Aufträgen an europäische Töchter von US-Dienstleistern möglich

Der Anbieter eines digitalen Entlass-Managements für Patienten muss nicht allein deswegen aus einem Vergabeverfahren zweier kommunaler Krankenhausgesellschaften ausgeschlossen werden, weil eine luxemburgische Tochtergesellschaft eines US-amerikanischen Unternehmens als Hosting-Dienstleisterin eingebunden werden soll. Die öffentlichen Auftraggeber dürfen sich vielmehr auf die bindenden Zusagen des Anbieters verlassen, dass die Daten ausschließlich von ihm in Deutschland verarbeitet und nicht in die USA übermittelt werden. Außerdem muss beachtet werden, dass durch die eingesetzte Verschlüsselungstechnik der Tochtergesellschaft gar keine Möglichkeit der Übermittlung personenbezogener Daten in die USA bestanden hat.

(OLG Karlsruhe, Beschluss v. 07.09.2022, Az.: 15 Verg 8/22)

Bußgelder

Irland: 60.000 Euro wegen unzureichender Schutzmaßnahmen und verspäteter Meldung

In Irland wurde gegen einen Lehrerrat ein Bußgeld in Höhe von 60.000 Euro, nachdem es bei dem Rat in Folge eines Phishing-Angriffs zu einem Datenleck kam. Nach Ansicht der irischen Aufsichtsbehörde hatte die Organisation dem Risiko angemessenes Schutzniveau der Daten sichergestellt. Hinzu kam, dass der Rat den Vorfall erst nach drei Wochen und damit nicht fristgerecht an die Aufsichtsbehörde gemeldet hatte.

Österreich: 8.000.000 Euro wegen Datenschutzverstoß im Kundenbindungsprogramm

Die österreichische Aufsichtsbehörde verhängte gegen den Rewe-Konzern ein Bußgeld in Höhe von 8 Millionen Euro. Dem Lebensmittelhändler werden nach einem Bericht in den Salzburger Nachrichten Datenschutzverstöße beim gemeinsamen Kundenbindungsprogramm von Rewe, OMV und weiteren Partnern vorgeworfen. Die Muttergesellschaft Rewe International AG, gegen die das Bußgeld verhängt wurde, legte allerdings Rechtsmittel gegen den Bescheid ein, da die Datenschutzverletzungen von einem rechtlich selbstständigen Tochterunternehmen begangen wurden. Die Muttergesellschaft trage keinerlei Verantwortung für die rechtswidrige Datenverarbeitung. Weitere Informationen zu den konkreten Verstößen und dem Fall sind aktuell nicht bekannt.

Bayern: 7.000 Euro wegen Verweigerung des Zutritts gegenüber der Aufsichtsbehörde

Ein Unternehmen in Bayern verweigerte der zuständigen Aufsichtsbehörde bei einer unangekündigten Vorortkontrolle den Zutritt zu seinen Geschäftsräumen und den Datenverarbeitungsanlagen. Zu solchen Kontrollen ist die Aufsichtsbehörde gem. Art. 58 Abs. 1 lit. f) DS-GVO allerdings befugt. Daraufhin verhängte das Bayerische Landesamt für Datenschutzaufsicht ein Bußgeld in Höhe von 20.000 Euro gegen die verantwortliche Stelle. Das Unternehmen legte gegen den Bescheid Rechtsmittel ein, woraufhin das Bußgeld auf 7.000 Euro reduziert wurde.