Seit dem Inkrafttreten der DS-GVO sind bereits mehrere Jahre vergangen, weshalb es mittlerweile zu einigen Fragestellungen des Datenschutzes gerichtliche Urteile gibt. Dieser Artikel gibt einen Überblick über aktuelle datenschutzrechtliche Gerichtsentscheidungen zu Themen wie den Anforderungen an Authentifizierungsverfahren, datenschutzrechtlichen Unterlassungsansprüchen, der Gültigkeit des EU-US-Privacy-Shields oder der Reichweite des Auskunftsanspruchs sowie über aktuell verhängte interessante Bußgelder aus Deutschland, Spanien, Frankreich und Italien. Der Strauß der sanktionierten Pflichtverletzungen ist bunt und reicht von unzulässiger Werbung über Verstöße gegen den Beschäftigtendatenschutz und rechtswidriger Videoüberwachung bis hin zu mangelhaften TOMs. Besonders hoch fiel mit 12,25 Millionen Euro in Italien ein Bußgeld wegen unzulässiger Telefonwerbung aus.

Beschluss des OVG Rheinland-Pfalz: Auskunftsanspruch über Infektionszahlen in Ortsgemeinden

Fallbeschreibung

Die Herausgeberin einer Regionalzeitung verlangte beim Landkreis Südwestpfalz Auskunft über die Corona-Infektionszahlen aufgeschlüsselt nach den einzelnen Ortsgemeinden des Landkreises. Dieser folgte allerdings der Empfehlung des rheinland-pfälzischen Landesdatenschutzbeauftragten, keine Infektionszahlen auf Ortsgemeindeebene bekanntzugeben, und lehnte den Antrag ab. Daraufhin reichte die Herausgeberin Klage ein und berief sich dabei auf das Informationsbedürfnis der Bürger in Bezug auf das Infektionsgeschehen sowie auf das Selbstbestimmungsrecht der Presse. Ihrer Ansicht nach seien selbst in kleinen Gemeinden auch durch die Aufschlüsselung keine Zuordnung zu bestimmten Personen oder Rückschlüsse auf diese möglich.

Entscheidung des VG Neustadt (erste Instanz)

Das Verwaltungsgericht (VG) Neustadt lehnte den presserechtlichen Auskunftsanspruch der Klägerin zunächst ab. Nach Ansicht des Gerichts besteht zwar ein hohes öffentliches Interesse daran, gebietsbezogene Informationen zum Infektionsgeschehen zu erhalten und die Presse muss selbst entscheiden können, welche Datengrundlage sie heranzieht. Allerdings besteht insbesondere aufgrund der kleinteiligen Gemeindestruktur in dem betreffenden Landkreis ein erhebliches Risiko, dass infizierte Personen durch die Aufschlüsselung auf Ortsgemeindeebene identifiziert werden können. Damit überwiege in diesem Fall der Schutzanspruch der Betroffenen.

(VG Neustadt, Beschluss v. 29.10.2020, Az.: 5 L 930/20.NW)

Entscheidung des OVG Rheinland-Pfalz (zweite Instanz)

Das Oberverwaltungsgericht (OVG) Rheinland-Pfalz revidierte in zweiter Instanz die Entscheidung des VG Neustadt und gab dem Eilantrag der Klägerin doch statt. Nach Ansicht der Richter des OVG sei eben keine Identifikation infizierter Personen möglich, weshalb auch keine schutzwürdigen privaten Interessen verletzt würden. Da die betreffenden Ortsgemeinden bei der Einwohnerzahl große Unterschiede ausweisen, kann diese kein geeignetes Kriterium sein, um den Auskunftsanspruch abzulehnen. Zudem besteht nach Ansicht des Gerichts auch bei kleine Ortsgemeinden kaum die Gefahr, dass infizierte Personen über die abgefragten Informationen eindeutig identifiziert werden können. Dies geschehe vielmehr durch örtlich umgesetzte Maßnahmen, die für die Einwohner spürbar sind, wie die Schließung bestimmter Einrichtungen.

(OVG Rheinland-Pfalz, Beschluss v. 23.11.2020, Az.: 2 B 11397/20.OVG)

Urteil des EuGH: Vertrag in der Regel nicht als Nachweis für Einwilligungen geeignet

Fallbeschreibung

Hintergrund des Urteils war ein Bußgeld in Verbindung mit einer Löschanordnung der rumänischen Datenschutzaufsicht. Ein ansässiger Mobilfunkanbieter hatte beim Vertragsabschluss die Ausweise der Kunden kopiert und zusammen mit dem Mobilfunkvertrag aufbewahrt. Als Rechtsgrundlage für die Ausweiskopie nannte das Unternehmen die Einwilligung der Neukunden. Da der Verantwortliche allerdings nicht nachweisen konnte, dass eine Einwilligung vorliegt, verhängte die Aufsichtsbehörde ein Bußgeld und forderte das Unternehmen auf, die Ausweiskopien zu vernichten. Der Mobilfunkanbieter reichte daraufhin Klage beim Landgericht Budapest ein, dass sich im Rahmen einer Vorabentscheidung an den Europäischen Gerichtshof (EuGH) wendete. Dieser sollte die Frage klären, wann eine Einwilligung ordnungsgemäß nachgewiesen ist.

Im speziellen Fall enthielt der Mobilfunkvertrag eine Passage mit ankreuzbarem Kästchen, dass der Vertragspartner sein Einverständnis zur Aufbewahrung der Ausweiskopien sowie den Erhalt der Datenschutzinformationen bestätigt. Das Kästchen wurde je nach mündlicher Absprache mit dem Kunden von einem Mitarbeiter des Unternehmens angekreuzt oder freigelassen. Ein Prozess, wie ohne diese Einwilligung sichergestellt wird, dass die Kopien nicht aufbewahrt werden, wurde ebenfalls wirksam implementiert und von den Mitarbeitern umgesetzt.

Entscheidung des EuGH

Die Richter des EuGH teilten die Ansicht der rumänischen Datenschutzaufsicht und kamen zu dem Ergebnis, dass die Einwilligungen unwirksam sind. Zum einen setzt eine wirksame Einwilligung ein aktives Handeln des Betroffenen voraus. Dass die Mitarbeiter die Kästchen vorankreuzen, ist nicht ausreichend, auch wenn der Neukunde den Vertrag unterschreibt. Es kann nicht sichergestellt werden, dass der Vertragspartner die entsprechende Passage wirklich gelesen hat und sich bewusst ist, dass er damit sein Einverständnis erklären soll. Dementsprechend fehlt es an einem Nachweis für die Einwilligung, die Beweislast liegt einzig und allein bei dem Unternehmen.

Zudem zweifelt der Gerichtshof an der Freiwilligkeit der Einwilligung, da Kunden, die keine Zustimmung geben wollen, die Ablehnung schriftlich bestätigen müssen. Hierfür legt das Unternehmen ihnen ein eigenes Formular vor. Nach der Unterschrift des Dokuments erhält der Neukunde zwar dennoch einen Vertrag, das Gericht sieht hierin allerdings eine Einschränkung der Entscheidungsfreiheit des Betroffenen. Den Kunden ist nicht eindeutig klar, dass ein Vertragsabschluss auch ohne Einwilligung möglich ist.

(Urteil des EuGH v. 11.11.2020, Az.: C-61/19)

Urteil des LG Bonn: Unzureichendes Authentifizierungsverfahren ist Verstoß gegen Art. 32 DS-GVO

Fallbeschreibung

Hintergrund der Klage war ein Bußgeld in Höhe von 9,55 Millionen Euro, das der Bundesbeauftragte für Datenschutz und Informationssicherheit (BfDI) gegen den Telekommunikationsdienstleister 1&1 Telekom GmbH Anfang Dezember 2019 verhängte. Nach Ansicht des BfDI sei das Authentifizierungsverfahren des telefonischen Kundenservices unzureichend. Die eingesetzten technischen und organisatorischen Maßnahmen würden den Ansprüchen des Art. 32 DS-GVO nicht genügen, was einen bußgeldbewährten Verstoß darstellt. Die 1&1 Telecom GmbH empfand die Höhe der Geldbuße als unangemessen hoch und legte Einspruch ein. Dabei wurde neben der Angemessenheit von Bußgeldern eine weitere Grundsatzfrage aufgeworfen, ob Unternehmen überhaupt haftbar gemacht werden können.

Entscheidung des LG Bonn

Das Landgericht Bonn teilte die Auffassung, dass ein unzureichendes Authentifizierungsverfahren einen Verstoß gegen Art. 32 DS-GVO darstellt. Zudem bestätigte es, dass Unternehmen für Datenschutzverstöße, die von natürlichen Personen verursacht wurden, haftbar gemacht werden können. Die Höhe des verhängten Bußgelds stufte das Gericht allerdings als unangemessen hoch ein und reduzierte die Geldbuße daher deutlich auf 900.000 Euro.

(LG Bonn, Urteil v. 11.11.2020, Az.: 29 OWi 1/20 LG)

Urteil des OVG Koblenz: Kein Anspruch auf bestimmte Handlungen der Aufsichtsbehörden

Fallbeschreibung

Ein Betroffener hatte bei dem Landesbeauftragten für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI) Beschwerde wegen unzulässiger Speicherung seiner Daten durch einen Dritten eingereicht. Die Aufsichtsbehörde prüfte die Angaben des Beschwerdeführers und kam zu dem Ergebnis, dass kein Verstoß gegen die Datenschutzvorschriften vorliegt. Dementsprechend stellte die Behörde das Verfahren ein und informierte den Betroffenen hierüber. Der Beschwerdeführer wollte, dass der Sachverhalt vom LfDI erneut geprüft wird und reichte deshalb Klage beim Verwaltungsgericht (VG) Koblenz ein. Nachdem die Richter des VG zugunsten des LfDI entschieden, legte er Berufung ein und der Fall landete vor dem Oberverwaltungsgericht (OVG) Koblenz.

Entscheidung des OVG Koblenz

Das OVG teilte die Ansicht der ersten Instanz und wies die Klage ab. Der LfDI habe die Beschwerde ordnungsgemäß geprüft und damit seine Pflichten nach der DS-GVO erfüllt. Einen Anspruch darauf, dass ein Gericht die Richtigkeit des Beschlusses überprüft, bestehe nach der DS-GVO allerdings nicht. Da es sich bei dem Beschwerderecht um ein petitionsähnliches Recht handelt, kann vor Gericht lediglich der ordnungsgemäße Ablauf des Ermittlungsverfahrens geprüft werden, nicht aber die Richtigkeit der Bearbeitung oder das Ergebnis. Aufsichtsbehörden sind verpflichtet, Beschwerden entgegen zu nehmen, die Sachverhalte zu untersuchen und den Beschwerdeführer zu informieren, ein Anspruch auf ein bestimmtes Ergebnis oder eine bestimmte Handlung bestehe nicht.

(OVG Koblenz, Urteil v. 26.10.2020, Az.: 10 A 10613/20.OVG)

Beschluss des LG Frankfurt: Bei rechtswidriger Datenverarbeitung besteht Unterlassungsanspruch

Fallbeschreibung

Ein Vermieter in Frankfurt am Main hängte im Rahmen einer Vereinssitzung den Mietvertrag einer Mieterin öffentlich in einer Straße aus. Nachdem die Mieterin hiervon erfahren hatte, forderte sie den Vermieter im Wege einer einstweiligen Verfügung dazu auf, dies zu unterlassen. Ob ein solcher Unterlassungsanspruch besteht oder durch Art. 79 DS-GVO gesperrt ist, war rechtlich noch nicht geklärt.

Entscheidung des LG Frankfurt

Die Richter des Landgerichts (LG) Frankfurt entschieden im Eilverfahren über den Sachverhalt und gaben der Klägerin recht. Ihrer Ansicht nach werden Unterlassungsansprüche nicht durch Art. 79 DS-GVO gesperrt. Zudem besteht für den Aushang des Mietvertrages keine Rechtsgrundlage nach Art. 6 DS-GVO, da dies weder für die Erfüllung des Vertrages notwendig ist noch ein berechtigtes Interesse ersichtlich ist.

(LG Frankfurt, Beschluss v. 15.10.2020, Az.: 2-03 O 356/20)

Urteil des französischen Conseil d’État: Fortbetrieb einer Gesundheitsplattform von Microsoft nicht untersagt

Fallbeschreibung

In Frankreich wollten mehrere Verbände und Gewerkschaften den Betrieb der nationalen Gesundheitsplattform „Health Data Hub“ untersagen lassen und damit die Verarbeitung von Gesundheitsdaten auf der Plattform unterbinden. Hintergrund der Klage war, dass im April 2020 mit der irischen Microsoft-Tochter Microsoft Ireland Operation Limited ein Vertrag über das Hosting und die Nutzung der Software abgeschlossen wurde. Nach Ansicht der Kläger würde dadurch da Risiko bestehen, dass die (besonders sensiblen) Daten an die amerikanische Muttergesellschaft übermittelt werden. Nach dem EuGH-Urteil „Schrems II“ vom 16.07.2020 kann in den USA allerdings kein ausreichendes Schutzniveau für die übermittelten Daten gewährleistet werden.

Entscheidung des Conseil d’État

Der französische Conseil d’État (übersetzt: Staatsrat), der in etwa mit dem obersten Verwaltungsgericht vergleichbar ist, konnte keinen schwerwiegenden Verstoß erkennen und entschied, den Fortbetrieb der Plattform nicht zu untersagen. Begründet hat der Richter seine Entscheidung damit, dass der zwischen Health Data Hub und Microsoft geschlossene Vertrag sowie der Ministerialerlass vom 09.10.2020 eine Datenübermittlung in Drittländer untersagen. Zwar könne ein Zugriff der amerikanischen Behörden nicht vollständig ausgeschlossen werden, allerdings werden die Gesundheitsdaten vor der Verarbeitung und dem Hosting pseudonymisiert und verschlüsselt. Hinzu kommt insbesondere im Hinblick auf die Covid-19-Pandemie ein erhebliches öffentliches Interesse am Betrieb der Plattform zu Forschungszwecken, für die derzeit keine geeignete Alternative zur Verfügung steht. Das Gericht betonte, dass das Urteil des EuGH sich lediglich zu den Voraussetzungen für eine Datenübermittlung in die USA geäußert hat, allerdings nicht zur Datenverarbeitung innerhalb der EU durch Tochtergesellschaften amerikanischer Unternehmen.

Der Conseil d’État forderte den Health Data Hub in dem Eilverfahren allerdings auf, in Zusammenarbeit mit Microsoft und der französischen Datenschutzaufsichtsbehörde (CNIL) den Datenschutz zu verbessern und die Rechte der Betroffenen zu stärken.

(Conseil d’État, Urteil v. 13.10.2020, Nr. 444937)

Urteil des VG Mainz: Aufsichtsbehörde darf nur das Abschalten von Videokameras anordnen

Fallbeschreibung

Ein Unternehmer hatte zum Schutz einer Reklametafel auf einem Parkplatz vor Beschädigung mehrere Kameras aufgehängt, die unter anderem auch Teile des Parkplatzes, des anliegenden Einkaufszentrums sowie einer Straße aufzeichneten. Die zuständige Aufsichtsbehörde kam bei Untersuchungen der Videoüberwachung zu dem Ergebnis, dass die Aufzeichnung nicht datenschutzkonform und damit rechtswidrig ist. Der Betreiber der Anlage sollte die Kameras teilweise abschalten und abhängen. Gegen die Anordnung reichte der Unternehmer Klage ein und führt dabei an, dass die Videoüberwachung sehr wohl rechtskonform sei und die Aufsichtsbehörde den Abbau gar nicht anordnen dürfe. Ein Abschalten würde bereits ausreichen, um die Datenverarbeitung zu unterbinden.

Urteil des VG Mainz

Die Richter des Verwaltungsgerichts (VG) Mainz gaben der beklagten Behörde insoweit recht, dass die Videoüberwachung rechtswidrig war, einen Abbau könne aber nach Ansicht des Gerichts nicht von der Behörde angeordnet werden. Im Rahmen ihrer Befugnisse sind Aufsichtsbehörden berechtigt, rechtswidrige Datenverarbeitung zu beschränken oder zu verbieten. Das bedeutet allerdings nur, dass bestimmt Handlungen untersagt werden dürfen, das bloße Vorhandensein einer Videoüberwachungsanlage ist hiervon aber nicht umfasst. Nach dem Abschalten der Kameras werden keine personenbezogenen Daten mehr verarbeitet, weshalb der Anwendungsbereich der DS-GVO nicht mehr eröffnet ist. Unabhängig davon besteht für Betroffene aufgrund des Überwachungsdrucks allerdings auch bei abgeschalteten Kameras oder Attrappen die Möglichkeit, selbst zivilrechtlich gegen das Aufhängen vorzugehen.

Interessant ist zudem die Stellungnahme des VG Mainz zur Anwendbarkeit des Art. 9 DS-GVO bei Videoaufnahmen. Nach Ansicht des Gerichts müssen die besonderen Vorgaben des Art. 9 DS-GVO bei einer solchen Videoüberwachung nicht beachtet werden. Zwar kann es vorkommen, dass besondere Kategorien von Daten von der Verarbeitung betroffen sind, deren Erfassung ist allerdings nicht direkt beabsichtigt. Bei einer Videoüberwachung zur Strafprävention und -verfolgung sollen die sensiblen Informationen nicht ausgewertet werden.

(Urteil des VG Mainz v. 24.09.2020, Az.: 1 K 584/19.MZ)

Urteil des BVerwG: Insolvenzverwalter hat kein Auskunftsrecht über Schuldner beim Finanzamt

Fallbeschreibung

Ein Insolvenzverwalter hatte gegenüber dem Finanzamt um Auskunft über persönliche Informationen des Insolvenzschuldners gebeten und einen Auszug aus dessen Steuerkonto verlangt. Seine Anfrage stützte er neben der Insolvenzordnung (InsO) und der Abgabenordnung (AO) ebenfalls auf die Datenschutz-Grundverordnung (DS-GVO). Nachdem das Finanzamt die Auskunft verweigerte, reichte der Insolvenzverwalter Klage ein, wobei er sich nur noch auf das Datenschutzrecht stützte.

Entscheidung des Gerichts

Das Bundesverwaltungsgericht (BVerwG) entschied, dass dem Insolvenzverwalter kein Recht auf Auskunft und die Herausgabe einer Kopie gem. Art. 15 DS-GVO zusteht. Sein Urteil begründete das Gericht damit, dass der Insolvenzverwalter im Hinblick auf die Daten des Insolvenzschuldners kein Betroffener i. S. d. Art. 4 Nr. 1 DS-GVO sei. Die Betroffenenrechte nach der DS-GVO dienen dazu, das Grundrecht auf Achtung der Privatsphäre zu schützen. Dass die Betroffenenrechte nicht darauf abzielen, Informationen mit vermögensrechtlichem Bezug zu erhalten, stehe dem geltend gemachten Auskunftsanspruch entgegen.

(BVerwG, Urteil v. 16.09.2020, Az.: 6 C 10.19)

Urteil eines niederländischen Gerichts: Veröffentlichung von Fotos Minderjähriger nur mit Einwilligung

Fallbeschreibung

In den Niederlanden veröffentlichte eine Großmutter Bilder ihrer drei Enkel auf verschiedenen Social-Media-Plattformen und dies ohne das Einverständnis der Eltern. Die Mutter der Kinder hatte sie mehrfach aufgefordert, die Fotos von der Facebook- sowie der Pinterest-Seite zu löschen. Dieser Aufforderung kam die Großmutter allerdings nicht nach und argumentierte, dass das Bild einen besonderen emotionalen Wert für sie habe.

Entscheidung des Gerichts

Das Gericht gab der Klägerin, bei der es sich um die Tochter der Beklagten handelt, recht und forderte die Großmutter auf, die Bilder innerhalb von 10 Tagen von den Social-Media-Plattformen zu löschen. Bei seiner Entscheidung stützte sich das niederländische Gericht sowohl auf nationale Datenschutzgesetze als auch auf die DS-GVO. Nach Ansicht des Gerichts stelle die Veröffentlichung personenbezogener Daten auf Online-Plattformen keine rein private oder haushaltsbezogene Aktivität dar, weshalb die Vorschriften der DS-GVO zu beachten seien. Danach dürfen Fotos und Daten Minderjähriger nur mit Einwilligung der Erziehungsberechtigten veröffentlicht werden. Eine Veröffentlichung ohne diese Zustimmung stellt demnach einen Datenschutzverstoß dar.

Hinweis: In dem vorliegenden Fall wurden die Bilder zwar von einer Privatperson veröffentlicht, weshalb die Anwendbarkeit der DS-GVO explizit geprüft werden musste. Für Unternehmen gilt aber in jedem Fall: Daten von Minderjährigen dürfen ausschließlich mit Einwilligung der Erziehungsberechtigten veröffentlicht werden.

Urteil des VG Mainz: Bemängelter Verstoß muss bei Beschwerde an Aufsichtsbehörden ansatzweise erkennbar sein

Fallbeschreibung

In Rheinland-Pfalz beschwerte sich ein Betroffener bei der dort zuständigen Datenschutzaufsicht, nachdem mehrere Auskunftsersuchen seiner Ansicht nach nicht datenschutzkonform und uneinheitlich beantwortet worden sind. Er hatte gegenüber verschiedenen Behörden Auskunft gem. Art. 15 DS-GVO verlangt, um herauszufinden, ob er Dokumente löschen lassen könne. Der Aufsichtsbehörde waren die Angaben in dem Beschwerdeschreiben zu ungenau, weshalb sie weitere Informationen anforderte. Unter anderem sollte der Betroffene die Antworten auf die Auskunftsersuchen vorlegen, damit die Behörde diese prüfen kann. Nachdem die Aufsichtsbehörde trotz mehrmaliger Nachfragen keine weiteren Informationen erhielt, stellte sie das Verfahren ein. Daraufhin erhob der Betroffene Klage, um die Aufsichtsbehörde gerichtlich zum Entscheid über die Beschwerde zu verpflichten.

Urteil des VG Mainz

Das Verwaltungsgericht (VG) Mainz hielt die Klage weder für zulässig noch für begründet. Nach Ansicht der Richter sei der Kläger schon nicht klagebefugt und die Klage damit unzulässig, da er nicht darlegen konnte, welches subjektive Recht verletzt worden ist. Ein einklagbarer Anspruch darauf, dass Behörden Vorschriften einheitlich anwenden, bestehe nicht. Zusätzlich – wenn auch eigentlich nicht mehr erforderlich – nahm das Gericht Stellung zur Begründetheit der Klage und entschied, dass diese auch inhaltlich nicht begründet sei. Aus der Beschwerde muss für die Aufsichtsbehörde zumindest ansatzweise erkennbar sein, was für ein Verstoß gegen die DS-GVO vorliegt, sodass sie einen Anhaltspunkt für weitere Untersuchungen hat. Das VG Mainz beurteilte den Bescheid der Aufsichtsbehörde, mit dem das Verfahren beendet wurde, deshalb als rechtmäßig.

(VG Mainz, Urteil v. 22.07.2020, Az.: 1 K 473/19.MZ)

Urteil des OVG Lüneburg: Übermittlung sensibler Daten per Fax bei Behörden datenschutzrechtlich kritisch

Fallbeschreibung

Eingereicht hatte die Klage ein Sprengstoff-Händler gegen eine Behörde, da diese Dokumente mit höchstsicherheitsrelevanten und personenbezogenen Daten, wie Fahrzeug-Identifikationsnummern und -Halter, per Fax gesendet hat. Der Händler hatte zwar bereits im Jahr 2015 der Übermittlung per Fax widersprochen, erhielt 2017 aber auf diesem Weg wieder Dokumente.

Entscheidung des OVG Lüneburg

Das Oberverwaltungsgericht (OVG) Lüneburg gab – wie auch das Verwaltungsgericht (VG) Osnabrück – dem Kläger recht und entschied, dass die Behörde die betreffenden Bescheide nicht per Fax versenden darf. Das Gericht begründete seine Entscheidung damit, dass bei der Übermittlung kein ausreichendes Schutzniveau für die Daten geboten ist. Welches Schutzniveau erforderlich ist, richtet sich dabei unter anderem danach, welche Daten übersendet werden und welche potentiellen Gefahren bei der Übermittlung bestehen. Außerdem ist zu prüfen, ob andere Wege der Übersendung bestehen, die ggf. sicherer wären.

Ob diese Entscheidung auch für andere Branchen gilt, wie beispielsweise Rechtsanwälte, oder Versicherungsvermittler, ist derzeit noch umstritten. Es ist aber davon auszugehen, dass die Übermittlung besonders sensibler Daten per Fax insgesamt kritisch zu betrachten ist und geprüft werden sollte, da andere Wege der (verschlüsselten) Übermittlung wohl eher dem nach der DS-GVO herangezogenen „Stand der Technik“ entsprechen.

(OVG Lüneburg, Urteil v. 22.07.2020, Az.: 11 LA 104/19)

Urteil des EuGH: EU-US-Privacy-Shield ist ungültig

Fallbeschreibung

Der Österreicher Maximilian Schrems hat gegen die irländische Facebook-Tochter Facebook Ireland Limited zunächst Beschwerde bei der zuständigen Aufsichtsbehörde eingereicht und anschließend Klage gegen das Unternehmen erhoben. Er hielt die Datenübermittlung persönlicher Informationen von Facebook-Nutzern aus der EU an Server der Muttergesellschaft Facebook Inc. in den USA und die dortige Datenverarbeitung für unzulässig. Er begründete seine Ansicht damit, dass in den USA kein angemessenes Datenschutzniveau herrschen würde. Der Rechtsstreit begann bereits im Jahr 2013, wobei mit dem EuGH-Urteil „Schrems I“ bereits das „Safe Harbour“-Abkommen, der Vorgänger des US-Privacy-Shields, gekippt wurde.

Entscheidung des EuGH

Der EuGH stimmt in seinem Urteil vom 16.07.2020 mit der Einschätzung von Herrn Schrems überein und erklärt nun auch das EU-US-Privacy-Shield Abkommen für ungültig. Aufgrund der Zugriffsmöglichkeiten der US-Behörden und fehlender Rechtsmittel für Betroffene, ist in den USA kein angemessenes Datenschutzniveau gewährleistet. Die EU-Standardvertragsklauseln erklärt der EuGH allerdings nicht als ungültig, sie können grundsätzlich weiterhin als Rechtsgrundlage für die Datenübermittlung in die USA herangezogen werden.

(EuGH, Urteil v. 16.07.2020, Az.: C 311/18)

Frankreich: Millionenbußgelder wegen fehlender Einwilligung für Werbecookies

Die französische Aufsichtsbehörde (CNIL) hat gegen die beiden Internetriesen Google und Amazon ein Bußgeld verhängt, da auf den jeweiligen französischen Websites Einwilligungen für Cookies sowie Datenschutzinformationen fehlten. Die Geldbuße gegen Amazon Europe Core beläuft sich dabei auf 35 Millionen Euro, Google muss insgesamt 100 Millionen Euro Strafe zahlen. Davon entfallen 60 Millionen auf die Google LLC und 40 Millionen auf die Google Ireland Limited. Nach Ansicht der Behörde waren die Datenschutzhinweise auf den Websites der Unternehmen unzureichend und für Cookies wurden die erforderlichen Einwilligungen nicht eingeholt. Die fehlende vorherige Zustimmung betraf unter anderem den Einsatz von Cookies für Werbezwecke (Werbetargeting).

Die beiden Konzerne hatten die Zustimmungsprozesse/ Cookiebanner auf ihren Websites zwar im September verbessert, die Einwilligungen erfüllen nach Ansicht der CNIL aber weiterhin nicht die datenschutzrechtlichen Anforderungen. Bemängelt wurden insbesondere die unzureichenden Datenschutzinformationen, die für eine wirksame, informierte Einwilligung notwendig sind. Werden die Vorgaben der Behörde nicht innerhalb von drei Monaten umgesetzt, drohen den Unternehmen Strafzahlungen von 100.000 Euro pro Tag Verzögerung.

Spanien: 2.000 Euro Bußgeld wegen der Missachtung eines Löschersuchens

Die spanische Aufsichtsbehörde verhängte gegen einen Club ein Bußgeld in Höhe von 2.000 Euro, weil der Verantwortliche das Löschersuchen eines ehemaligen Gastes nicht bearbeitete. Der Betroffene forderte das Unternehmen wiederholt auf, von ihm gespeicherte personenbezogene Daten zu löschen, erhielt allerdings keine Antwort auf sein Ersuchen. Daraufhin reichte er Beschwerde bei der Aufsichtsbehörde ein, die den Club ebenfalls mehrfach zur Bearbeitung der Betroffenenanfrage aufforderte. Nachdem auch diese Aufforderungen erfolglos bleiben, verhängte die Behörde ein Bußgeld gegen den Club.

England: 1,4 Millionen Euro Bußgeld wegen unzureichendem Schutz einer Zahlungsseite

Im vereinigten Königreich wurde gegen ein Ticketverkaufs- und Vertriebsunternehmen ein Bußgeld in Höhe von 1.392.525 Euro verhängt, nachdem es Hackern aufgrund unzureichender Schutzmaßnahmen gelang, Kreditkartendaten abzugreifen. Von dem Cyberangriff betroffen sind potenziell 9,4 Millionen Kreditkarteninhaber, wobei zwei Banken konkret von 60.000 bzw. 37.000 Betrugsfällen berichteten. Der Vorfall wurde bereits Anfang April 2018 bekannt, das Unternehmen beauftragte allerdings erst rund einen Monat später IT-Spezialisten mit der Untersuchung der Website. Bis der Schadcode mit Hilfe erneuter Hinweise gefunden wurde vergingen noch einmal knapp zwei Monate. Er befand sich in einem Chat-Bot der ebenfalls auf der Zahlungsseite eingebunden war, und wertete sämtliche Eingaben in der Webformular aus.

Spanien: Mehrere Bußgelder wegen unzulässiger Videoüberwachung

In Spanien verhängte die zuständige Aufsichtsbehörde Bußgelder wegen unzulässiger Videoüberwachung gegen eine private Sicherheitsfirma sowie gegen eine Eigentümergemeinschaft. Die Sicherheitsfirma hatte im Eingangsbereich eine Videoüberwachungsanlage installiert, ohne Hinweisschilder auszuhängen oder Datenschutzinformationen bereitzustellen. Zudem wurde kein Datenschutzbeauftragter bestellt, obwohl dies erforderlich gewesen wäre. Die Behörde ahndete die Verstöße mit einer Geldbuße in Höhe von 50.000 Euro, wobei sich die mangelnde Kooperationsbereitschaft negativ auf die Bußgeldhöhe auswirkte.

Im Falle der Eigentümergemeinschaft war die Videoüberwachung nicht datenschutzkonform, da mit dem Bürgersteig und der Straße auch öffentlicher Raum erfasst wurde. Dies hatte ein Bußgeld in Höhe von 2.000 Euro zur Folge, das aufgrund sofortiger Zahlung auf 1.600 Euro reduziert wurde.

Spanien: 3.000 Euro Bußgeld wegen mehrerer Verstöße bei einem Webshop

Die spanische Aufsichtsbehörde verhängt gegen den Betreiber eines Webshops ein Bußgeld in Höhe von 3.000 Euro wegen verschiedener Verstöße gegen die datenschutzrechtlichen Anforderungen. Zum einen war auf der Website kein Cookiebanner mit Datenschutzhinweisen und Einstellungsmöglichkeiten vorhanden. Zum anderen war der Bestellprozess nicht rechtskonform gestaltet, da weder Datenschutzinformationen für die Datenverarbeitung im Rahmen der Bestellung zur Verfügung gestellt wurden noch die Verbindung des Webservers verschlüsselt war, sodass personenbezogene Daten im Klartext übertragen wurden.

Italien: 12,25 Millionen Euro Bußgeld wegen unzulässiger Telefonwerbung und unzureichender Schutzmaßnahmen

In Italien wurde gegen den Telekommunikationsdienstleister Vodafone ein Bußgeld in Höhe von 12,25 Millionen Euro verhängt. Nachdem bei der italienischen Datenschutzbehörde (Garante per la protezione dei dati personali) hunderte Beschwerden wegen unerwünschter Telefonwerbung durch den Telekommunikationsdienstleister Vodafone eingingen, leitete die Behörde gegen das Unternehmen ein Ermittlungsverfahren ein. Dabei wurden verschiedene Verstöße gegen die Vorgaben der DS-GVO aufgedeckt, unter anderem wurden die Anforderungen an die Einwilligung zur Telewerbung sowie Grundprinzipien der DS-GVO (z. B. Privacy by Design) nicht beachtet und die Maßnahmen zum Schutz von Kundendaten waren unzureichend.

Besonders negativ beurteilte die Aufsichtsbehörde das Vorgehen des Telekommunikationsanbieters bei Telefonwerbung und den Umgang mit Kontaktlisten. Im Rahmen der Werbemaßnahmen wurden (potenzielle) Kunden nicht nur kontaktiert, ohne hierfür Einwilligungen einzuholen, vielmehr wurden dabei gefälschte oder nicht registrierte Telefonnummern verwendet und Callcenter eingesetzt, die die gesetzlichen Vorschriften mehr oder weniger vollständig missachtet haben. Ebenfalls keine Einwilligung konnte das Unternehmen für den Erhalt von Kontaktlisten von Geschäftspartnern und Dritten vorweisen.

Vodafone Spanien erhielt von der dort zuständigen Aufsichtsbehörde ebenfalls Bußgelder in Höhe von 70.000 Euro und 60.000 Euro wegen des unzulässigen Versands rechnungsbezogener E-Mails. Im ersten Fall hatte die Betroffene den Vertrag mit Vodafone bereits gekündigt und die E-Mails wurden aufgrund eines Systemfehlers versendet. Im zweiten Fall konnte das Unternehmen nicht nachweisen, dass mit dem Betroffenen überhaupt ein Vertrag besteht. Beide Bußgelder wurden wegen sofortiger Zahlung auf 42.000 bzw. 36.000 Euro reduziert.

Frankreich: 3,05 Millionen Euro Bußgeld wegen Verstößen gegen die Grundsätze der Speicherbegrenzung und Transparenz

Die französische Aufsichtsbehörde (CNIL) sprach gegen einen Groß- und Einzelhandelskonzern ein Bußgeld von über 3 Millionen Euro aus, wobei eine Geldbuße von 2,25 Millionen Euro gegen die Konzernmutter und 800.000 Euro gegen eine Tochterfirma verhängt wurden. Hintergrund des Bußgelds waren mehrere Beschwerden von Betroffenen gegenüber der CNIL, die bei Vorortkontrollen zwischen Mai und Juni verschiedene Verstöße der Konzernunternehmen gegen die Grundsätze der DS-GVO feststellte.

Zum einen hatte das Handelsunternehmen gegen den Grundsatz der Speicherbegrenzung verstoßen und (Kunden-)Daten zu lange aufbewahrt. Betroffen waren unter anderem Daten von rund 28 Millionen ehemaliger Kunden, die im Rahmen eines Bonusprogramms gespeichert wurden, obwohl diese seit fünf bis zehn Jahren keine Bestellungen mehr getätigt hatten. Die festgelegte Aufbewahrungszeit für Kundendaten von vier Jahren nach dem letzten Einkauf erachtete die Behörde als zu lang. Darüber hinaus waren einige Datenschutzinformationen, die das Unternehmen zur Verfügung stellte, nicht leicht auffindbar, schwer verständlich und lückenhaft, was einen Verstoß gegen den Grundsatz der Transparenz darstellt. Zusätzlich wurden auf der Firmenwebsite Cookies gesetzt, ohne hierfür die erforderliche Einwilligung einzuholen.

Hamburg: 35 Millionen Euro Bußgeld wegen Verstoß gegen den Beschäftigtendatenschutz

Ende Januar eröffnete der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit gegen die bekannte Modekette H&M ein Bußgeldverfahren wegen Verstößen gegen den Beschäftigtendatenschutz. Mitarbeiter des Unternehmens am Standort Nürnberg sammelten bei Gesprächen mit ihren Angestellten in großem Umfang private Informationen über diese. Die Gesprächsnotizen, die unter anderem Angaben zu privaten Beziehungen und zum Gesundheitszustand der Arbeitnehmer enthielten, wurden in einem Dateiordner gespeichert. Die betroffenen Mitarbeiter hatten keine Kenntnis davon, dass diese Daten gesammelt wurden, bis einige Angestellte den Ordner zufällig entdeckten. Bei den betreffenden Daten handelt es sich um personenbezogene Daten im Sinne der DS-GVO, wobei Gesundheitsdaten nach Art. 9 DS-GVO als besonders sensibel und schützenswert gelten und nur in wenigen Ausnahmefällen verarbeitet werden dürfen.

Das Unternehmen hat während des Ermittlungsverfahrens zahlreiche Abhilfemaßnahmen ergriffen und sich zu einer Entschädigungszahlung für alle betroffenen Mitarbeiter verpflichtet. Aufgrund der massiven Datenschutzverletzungen verhängte der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit trotzdem ein Bußgeld von über 35 Millionen Euro.

Hamburg: Zahlreiche Beschwerden wegen offener Corona-Kontaktlisten in Restaurants

Seit mehreren Monaten müssen Restaurantbetreiber aufgrund der geltenden Corona-Bestimmungen die Kontaktdaten ihrer Besucher erfassen. Viele der Betreiber verkennen aber, dass hierbei die Vorgaben der DS-GVO für die Verarbeitung der persönlichen Informationen der Gäste beachtet werden müssen. Zahlreiche Gäste haben sich daher bereits gegenüber den Aufsichtsbehörden beschwert. Die Verstöße reichen von offenliegenden und frei zugänglichen Kontaktlisten bis hin zum Missbrauch der Daten für Werbemaßnahmen oder gar private Zwecke wie Flirt-Nachrichten.

Der Hamburgische Datenschutzbeauftragte hat deshalb im Juni rund 100 Gewerbe- und Gaststättenbetriebe stichprobenartig kontrolliert und dabei festgestellt, dass in einem Drittel der Fälle die Kontaktlisten unzulässigerweise frei zugänglich waren. Daraufhin stellte die Aufsichtsbehörde Praxishinweise für die Inhaber zur Verfügung, um sie zu sensibilisieren. Gegen vier Restaurants, die die Missstände auch nach dieser Maßnahme nicht behoben haben, wurde nun ein Bußgeldverfahren eingeleitet.

Frankreich: 250.000 Euro wegen Verstoß gegen die Grundsätze der Datenminimierung, der Speicherbegrenzung und der Transparenz

Ein europaweit tätiger Schuhversandhändler erhielt von der französischen Aufsichtsbehörde (CNIL) ein Bußgeld in Höhe von 250.000 Euro, da er gegen verschiedene Grundsätze der Datenverarbeitung nach der DS-GVO verstoßen hatte. Das Unternehmen zeichnete Telefongespräche mit Kunden auf, um diese angeblich für Schulungszwecke zu verwenden. Aus dem gleichen Grund wurden Bankdaten der Anrufer erhoben und gespeichert. Nach Ansicht der CNIL sei weder die Auszeichnung der vollständigen Gespräche noch die Erhebung der Bankdaten erforderlich und die Verarbeitungen damit unzulässig. Hinzu kam, dass der Versandhändler Zahlungsdaten unverschlüsselt speicherte und Informationen länger aufbewahrt wurden als dies notwendig gewesen sei. Teilweise war gar keine Löschfrist definiert. Die Datenschutzerklärung auf der Website des Unternehmens entsprach ebenfalls nicht den datenschutzrechtlichen Anforderungen, da unter anderem falsche Rechtsgrundlagen genannt wurden.

Spanien: 24.000 Euro wegen Versand einer Stromrechnung an die falsche Person

Ein spanisches Stromerzeugungs und -vertriebsunternehmen mit Sitz in Bilbao wollte per E-Mail eine Stromrechnung an einen Kunden versenden. Jedoch erhielt nicht der betroffene Kunde die Rechnung, sondern ein unbeteiligter Dritter. Der Fall wurde der Aufsichtsbehörde bekannt, die sich daraufhin direkt damit beschäftigte. Bei der Überprüfung, wie es zu dem Fehlversand kommen konnte, stellte die Aufsichtsbehörde mangelnde technische und organisatorische Maßnahmen fest. Die Aufsichtsbehörde verhängte aufgrund des Datenschutzverstoßes ein Bußgeld in Höhe von 40.000 Euro, dieses wurde jedoch durch eine fristgerechte Zahlung und ein Schuldanerkenntnis des Stromerzeugers um 20% auf 24.000 Euro gesenkt.

Spanien: 4.000 Euro Bußgeld wegen eines Werbeanrufs trotz Widerspruch

Der Betroffene beschwerte sich am 09.07.2019 bei der spanischen Datenschutzbehörde über ein Unternehmen, dass ihn trotz Widerspruchs mit einem Werbeanruf belästigt hat. Durch den Werbewiderspruch durfte das Unternehmen die personenbezogenen Daten des Betroffenen eigentlich nicht mehr für Werbezwecke nutzen. Die spanische Aufsichtsbehörde sah in dem Vorgehen des Unternehmens deshalb einen Datenschutzverstoß und verhängte ein Bußgeld von 4.000 Euro.