Stand: 02.08.2022

Seit dem Inkrafttreten der DS-GVO sind bereits mehrere Jahre vergangen, weshalb es mittlerweile zu einigen Fragestellungen des Datenschutzes gerichtliche Urteile gibt. Dieser Artikel gibt einen Überblick über aktuelle datenschutzrechtliche Gerichtsentscheidungen zu Themen wie der Zulässigkeit einer BSI-Sicherheitswarnung zu Kapersky, der Anordnung von Corona-Tests im Betrieb und Schadensersatzansprüchen sowie über aktuell verhängte interessante Bußgelder aus Deutschland, den Niederlanden, Spanien, Frankreich und Italien. Der Strauß der sanktionierten Pflichtverletzungen ist bunt und reicht von unzulässiger Werbung über Verstöße auf Websites bei der Cookienutzung und rechtswidriger Videoüberwachung bis hin zu mangelhaften TOMs.

Urteile

EuGH: Sonderkündigungsschutz für interne Datenschutzbeauftragte europarechtskonform

Eine Arbeitnehmerin war als interne Datenschutzbeauftragte beschäftigt und wurde ordentlich aus betriebsbedingten Gründen gekündigt. In ihrer Kündigungsschutzklage berief sich dabei insbesondere auf den Sonderkündigungsschutz nach § 38 Abs. 2 Bundesdatenschutzgesetz (BDSG) i. V. m. § 6 Abs. 4 BDSG aufgrund ihrer Funktion als Datenschutzbeauftragte. Während das Arbeitsgericht und das Landesarbeitsgericht ihr Recht gaben, hatte das Bundesarbeitsgericht Zweifel, ob die Regelung in § 38 Abs. 2 BDSG i. V. m § 6 Abs. 4 S. 2 BDSG, wonach das Arbeitsverhältnis eines zugleich verpflichtend benannten Datenschutzbeauftragten nur aus wichtigem Grund außerordentlich gekündigt werden kann, mit Art. 38 Abs. 3 S. 2 DS-GVO vereinbar ist. Der EuGH entschied, dass ein strengerer Schutz eines Datenschutzbeauftragten durch nationale Regelungen nicht als europarechtswidrig zu beanstanden ist und die Verwirklichung der Ziele der DS-GVO nicht beeinträchtigt.

(EuGH, Urteil v. 22.06.2022, Az. C-534/20)

BVerfG: BSI darf weiter vor Kaspersky warnen

Fallbeschreibung

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hatte am 15.03.2022 im Zusammenhang mit dem Ukraine-Krieg das erste Mal vor der Verwendung von Kaspersky-Virenschutzprodukten gewarnt. Im Zuge dieser Warnung gab Kaspersky eine Stellungnahme ab. Das Unternehmen sieht sich als Opfer der politischen Situation und merkt an, dass die Warnung nicht auf Basis einer Bewertung der angebotenen Produkte ausgesprochen worden sei. Weiterhin erklärt das Unternehmen, dass sie eine private, globale Sicherheitsfirma ist und keine Verbindungen zur russischen oder irgendeiner anderen Regierung unterhält. Seit dem Jahr 2018 erfolgt die Datenverarbeitung auf Servern in der Schweiz, andere Daten kommen beispielsweise aus Kanada oder auch Deutschland. Aus diesem Grund hat Kaspersky eine einstweilige Unterlassung angestrebt.

Entscheidung des Verwaltungsgerichts (VG) Köln

Am 21.03.2022 beantragte Kaspersky beim VG Köln den Erlass einer einstweiligen Anordnung auf Unterlassung und Widerruf der Warnung vor seinen Virenschutzprodukten. Das VG lehnte diese mit seinem Beschluss vom 01.04.2022 allerdings ab und stellte fest, dass das BSI zur Warnung berechtigt war, da fehlendes Vertrauen in den Hersteller von Virenschutzprogrammen für eine Warnung ausreichend ist.

(VG Köln, Beschluss v. 01.04.2022, Az.: 1 L 466/22)

Entscheidung des Oberverwaltungsgerichts (OVG) Münster

Gegen diesen Beschluss reichte Kaspersky sofortige Beschwerde beim OVG Münster ein, allerdings erneut ohne Erfolg. Die Richter erklärten in ihrem Beschluss, die Warnung durch das BSI wurde ermessensfehlerfrei und unter Einhaltung des Verhältnismäßigkeitsgrundsatzes getroffen. Sie diente dazu, das Risiko für die IT-Sicherheit zu reduzieren. Zusätzlich wurde dadurch das Gefahrenbewusstsein erhöht und die Frage nach Alternativen aufgeworfen, wobei der Inhalt der Warnung zurückhaltend formuliert und nur auf das Nötigste beschränkt war. Der Beschluss ist unanfechtbar.

(OVG Münster, Beschluss v. 28.04.2022, Az.: 4 B 473/22)

Entscheidung des Bundesverfassungsgerichts (BVerfG)

Aus diesem Grund hat sich Kaspersky mit einer Verfassungsbeschwerde verbunden mit einem Eilantrag an das BVerfG gewandt. Das Verfassungsgericht nahm die Verfassungsbeschwerde aber nicht zur Entscheidung an, da diese unzulässig ist. Aus diesem Grund hat sich auch der Eilantrag erledigt. Die Darlegungen von Kaspersky genügen den gesetzlichen Anforderungen nicht, denn es ist nicht ausgeführt, dass die Verwaltungsgerichte gerade durch die Art und Weise der Bearbeitung des Antrags auf Erlass einer einstweiligen Anordnung Grundrechte verletzt haben. Außerdem ist es Kaspersky zuzumuten, statt einer einstweiligen Anordnung den normalen Klageweg zu beschreiten und dessen Entscheidung abzuwarten.

(BVerfG, Beschluss v. 02.06.2022, Az.: 1 BvR 1071/22)

BAG: Arbeitgeber darf Corona-Tests anordnen

Das Bundesarbeitsgericht (BAG) entschied, dass die Anordnung von Corona-Testungen in Betrieben im Rahmen eines Corona-Hygienekonzeptes zulässig sein kann. Hintergrund der Entscheidung war eine Klage einer Flötistin der Bayerischen Staatsoper, die sich verweigerte, Corona-Tests zu machen und daraufhin unbezahlt freigestellt wurde. Die Arbeitnehmerin erhob daraufhin Klage auf Beschäftigung und Bezahlung ohne Corona-Testung. Das BAG entschied zu Gunsten des Freistaates Bayern als Arbeitgeber. Nach Meinung des Gerichts sind Arbeitgeber im Rahmen ihres Direktionsrechtes dazu berechtigt, Corona-Tests im Betrieb anzuordnen, soweit dies verhältnismäßig ist und die Interessen beider Seiten berücksichtigt werden. Dies war hier der Fall. Eine Verletzung der informationellen Selbstbestimmung sah das BAG in der Testanordnung ebenfalls nicht, da ein positives Testergebnis aufgrund der infektionsschutzrechtlichen Meldepflichten und Kontaktnachverfolgung ohnehin im Betrieb bekannt werden würde.

(BAG, Urteil v. 01.06.2022, Az.: 5 AZR 28/22)

LAG Schleswig-Holstein: Schadensersatz wegen unerlaubter Videoaufnahme einer Mitarbeiterin

Ein Arbeitgeber ließ ein 36-sekündiges Werbevideo für seinen mobilen Pflegedienst drehen, das später auf YouTube veröffentlicht wurde. In diesem Video ist die spätere Klägerin zunächst unscharf und ab Sekunde 0:11 in Ganzkörperaufnahme zu sehen, wie sie in ein Auto einsteigt, später ist sie deutlich und in Portraitgröße im Auto sitzend zu erkennen. Zu diesem Videodreh hatte sich die Klägerin nur mündlich bereit erklärt. Der Arbeitgeber hatte es unterlassen, die notwendige schriftliche Einwilligung einzuholen und hatte sie weder über den konkreten Verarbeitungszweck noch über das ihr zustehende Widerrufsrecht aufgeklärt. Das Gericht verurteilte den Arbeitgeber schließlich zur Zahlung von 2000 € Schadensersatz in Form von Schmerzensgeld gem. Art. 82 Datenschutzgrundverordnung (DS-GVO).

(LAG Schleswig-Holstein, Beschluss vom 01.06.2022, Az. 6 Ta 49/22)

LG München: Schadensersatz wegen Nutzung von Google Fonts

Ein Website-Betreiber nutzte auf seiner Seite Google Fonts. Durch den Einsatz dieses externen Dienstes wurde beim Aufruf der Website über die Google-Server die IP-Adressen der Website-Besucher direkt an Google übermittelt. Dieses Vorgehen ist nach Ansicht des Landgerichts (LG) München rechtswidrig, da es keine Rechtsgrundlage für die Übermittlung gibt. Aus diesem Grund hat das Landgericht den Website-Betreiber zu einem Schadensersatz von 100 Euro verurteilt. Das Urteil ist noch nicht rechtskräftig.

(LG München, Urteil v. 20.01.2022, Az.: 3 O 17493/20)

Bußgelder

Frankreich: CNIL: Höchstwert an ausgesprochenen Bußgeldern 2021

Die französische Datenschutzbehörde (Commission Nationale de l’Informatique et des Libertés – CNIL) hat im Mai 2022 ihren Tätigkeitsbericht für 2021 veröffentlicht. Innerhalb des Berichtsjahres gingen bei der CNIL 14.143 Beschwerden betroffener Personen ein, wovon bereits 12.522 abgeschlossen wurden. Bei 384 Untersuchungen durchgeführten Untersuchungen wurden festgestellte Verstöße in 135 Fällen förmlich gerügt und in 18 Fällen Sanktionen verhängt. Mit einem Betrag von 214 Mio. Euro verzeichnete die CNIL im Jahr 2021 damit einen Höchstwert in Bezug auf die insgesamt ausgesprochenen Bußgelder. Diese Summe setzt sich größtenteils aus den beiden höchsten Einzelstrafen zusammen, die gegenüber Google (150 Mio. EUR) und Facebook (60 Mio. EUR) wegen des rechtswidrigen Einsatzes von Cookies ausgesprochen wurden. Die Verfolgung eines rechtswidrigen Cookie-Managements auf Webseiten war insgesamt einer der Hauptschwerpunkte der CNIL im vergangenen Jahr. Dieser wurde u. a. im Wege einer breiten Kontrollkampagne umgesetzt. Auch betrafen 89 der 135 Rügen den nicht DS-GVO-konformen Einsatz bzw. die nicht ordnungsgemäße Weiterverarbeitung so erhobener Daten.

Niedersachsen: 900.000 Euro Bußgeld wegen unzulässiger Auswertung von Kundendaten eines Kreditinstitutes

Die Hannoversche Volksbank hatte ohne Rechtsgrundlage die Daten aktueller und früherer Kunden bzgl. deren Online-Nutzerverhaltens ausgewertet. Zur Durchführung der Auswertung hatte die Bank einen Dienstleister beauftragt, die erhaltenen Ergebnisse mit Informationen einer Wirtschaftsauskunftei verglichen und entsprechend ergänzt. Im Zuge ihrer Untersuchung stellte die zuständige Aufsichtsbehörde fest, dass die Betroffenen zwar über die Analyse informiert wurden, aber von ihnen keine Einwilligung nach Art. 6 Abs. 1 lit. a) DS-GVO eingeholt wurde. Ein Stützen auf ein berichtigtes Interesse nach Art. 6 Abs. 1 lit. f) DS-GVO scheidet ebenfalls aus, da die Interessen der Betroffenen überwiegen. Dass die Bank die Analyseergebnisse nicht verwendet und mit der Aufsichtsbehörde kooperiert hatte, wirkte sich mildernd auf die Höhe des Bußgelds aus.

Niedersachsen: 1,1 Mio. Euro Bußgeld wegen unzulässiger Forschungsfahrten mit Kameras bei VW

Der Wolfsburger Autobauer Volkswagen (VW) unternahm Forschungsfahrten für ein Fahrassistenzsystem zur Vermeidung von Verkehrsunfällen. An den Fahrzeugen waren Kameras angebracht, die das Verkehrsgeschehen aufzeichneten und zur Fehleranalyse verwendet wurden. Bei ihren Untersuchungen erkannte die zuständige Aufsichtsbehörde in Niedersachen vier Verstöße gegen die Datenschutzvorgaben durch VW. Es wurden weder ausreichende Datenschutzinformationen nach Art. 13 DS-GVO bereitgestellt noch eine Datenschutz-Folgenabschätzung durchgeführt oder technisch-organisatorische Maßnahmen dokumentiert. Zudem wurde mit dem Unternehmen, das mit der Durchführung der Testfahrten beauftragt war, kein Vertrag über die Auftragsverarbeitung nach Art. 28 DS-GVO abgeschlossen. Die Datenverarbeitung im Rahmen der Forschungsfahrten an sich beurteilte die Aufsichtsbehörde allerdings als datenschutzrechtlich unbedenklich. Die Verstöße bei der Umsetzung hat VW umgehend abgestellt und das Bußgeld akzeptiert.

USA: 140,8 Mio. Euro Bußgeld wegen Verwendung von Nutzerdaten für Werbung

Der Nachrichtendienst Twitter rief seine Nutzer dazu auf, ihre E-Mail-Adressen und Telefonnummern anzugeben, um ihre Accounts besser zu schützen. Aufgrund einer Beschwerde des US-Justizministeriums stellte die US-amerikanische Aufsichtsbehörde Federal Trade Commission (FTC) fest, dass der Konzern die hinterlegten Kontaktdaten zusätzlich dazu genutzt hatte, den Nutzern personalisierte Werbung von Werbetreibenden zuzuschicken. Von diesem Vorgehen waren über 140 Mio. Nutzer der Plattform betroffen.

Spanien: 40.001 Euro Bußgeld wegen Veröffentlichung personenbezogener Daten nach einem Hackerangriff

Bereits im Jahr 2013 wurde von Anonymous-Hackern eine Datenbank einer Sektion der spanischen Polizeigewerkschaft, der Sindicat de Policies de Catalunya (SPC), gestohlen. Die erbeuteten Daten wurden anschließend veröffentlicht. Nach Abschluss der Untersuchung durch die spanische Datenschutzbehörde wurde der betroffenen SPC nachgewiesen, dass bei der Einrichtung der Datenbank die Schutzmaßnahmen, insbesondere die Zugriffskontrolle, unzureichend waren und dies ein schwerwiegendes Versäumnis darstellt.

Belgien: 250.000 Euro wegen Datenschutzverstößen bei verbreitetem Mechanismus für Online-Marketing

Bei der belgischen Datenschutzaufsichtsbehörde gingen seit 2019 mehrere Beschwerden gegen ein Unternehmen ein, das ein „Transparency & Consent Framework“ (TCF) entwickelt hatte. Das TCF erleichtert die Verwaltung von Nutzerpräferenzen für personalisierte Online-Werbung und spielt eine zentrale Rolle für automatisierte und sofortige Online-Auktionen von Nutzerprofilen für den An- und Verkauf von Werbeflächen im Internet (Real Time Bidding, RTB). Rufen User eine Website oder Anwendung auf, die Werbeflächen enthält, können sie beim ersten Aufruf über eine Schnittstelle mit einem Consent Management System Einwilligungen in verschiedene Verarbeitungen erteilen. Das TCF speichert diese Entscheidung als sog. „TC String“ und teilt sie mit Teilnehmern am OpenRTB-System. Mithilfe der TC-Strings werden Nutzerprofile zusammengestellt, welche die Grundlage für die Echtzeit-Werbeauktionen bilden.

Die belgische Aufsichtsbehörde stellte fest, dass es sich bereits bei den TC Strings um personenbezogene Daten handelt, da Betroffene über die Kombination mit der IP-Adresse identifiziert werden können. Für die Verarbeitung dieser Daten konnte der Entwickler des TCF keine Rechtsgrundlage benennen, die Rechtsgrundlage für die Weiterverarbeitung bei den Werbetreibenden war ebenfalls unzureichend. Hinzu kamen Verstöße gegen Transparenzpflichten, da den Usern die Art und der Umfang der Verarbeitung nicht ausreichend kenntlich gemacht wurde. Des Weiteren kam das Unternehmen verschiedenen weiteren Pflichten aus der DS-GVO nicht nach, darunter die Rechenschaftspflicht, die Pflicht zur Erstellung eines Verzeichnisses der Verarbeitungstätigkeiten, die Erstellung einer Datenschutz-Folgenabschätzung, die Pflicht zur Benennung eines Datenschutzbeauftragten und die Pflicht zur Sicherstellung eines dem Risiko angemessenen Schutzniveaus für personenbezogene Daten. Das Unternehmen lehnt die Verantwortlichkeit für die Weiterverarbeitung der Daten ab und hat angekündigt, gegen die Entscheidung rechtliche Schritte einzuleiten.

Irland: 60.000 Euro wegen unzureichender Schutzmaßnahmen und verspäteter Meldung

In Irland wurde gegen einen Lehrerrat ein Bußgeld in Höhe von 60.000 Euro, nachdem es bei dem Rat in Folge eines Phishing-Angriffs zu einem Datenleck kam. Nach Ansicht der irischen Aufsichtsbehörde hatte die Organisation dem Risiko angemessenes Schutzniveau der Daten sichergestellt. Hinzu kam, dass der Rat den Vorfall erst nach drei Wochen und damit nicht fristgerecht an die Aufsichtsbehörde gemeldet hatte.

Österreich: 8.000.000 Euro wegen Datenschutzverstoß im Kundenbindungsprogramm

Die österreichische Aufsichtsbehörde verhängte gegen den Rewe-Konzern ein Bußgeld in Höhe von 8 Millionen Euro. Dem Lebensmittelhändler werden nach einem Bericht in den Salzburger Nachrichten Datenschutzverstöße beim gemeinsamen Kundenbindungsprogramm von Rewe, OMV und weiteren Partnern vorgeworfen. Die Muttergesellschaft Rewe International AG, gegen die das Bußgeld verhängt wurde, legte allerdings Rechtsmittel gegen den Bescheid ein, da die Datenschutzverletzungen von einem rechtlich selbstständigen Tochterunternehmen begangen wurden. Die Muttergesellschaft trage keinerlei Verantwortung für die rechtswidrige Datenverarbeitung. Weitere Informationen zu den konkreten Verstößen und dem Fall sind aktuell nicht bekannt.

Bayern: 7.000 Euro wegen Verweigerung des Zutritts gegenüber der Aufsichtsbehörde

Ein Unternehmen in Bayern verweigerte der zuständigen Aufsichtsbehörde bei einer unangekündigten Vorortkontrolle den Zutritt zu seinen Geschäftsräumen und den Datenverarbeitungsanlagen. Zu solchen Kontrollen ist die Aufsichtsbehörde gem. Art. 58 Abs. 1 lit. f) DS-GVO allerdings befugt. Daraufhin verhängte das Bayerische Landesamt für Datenschutzaufsicht ein Bußgeld in Höhe von 20.000 Euro gegen die verantwortliche Stelle. Das Unternehmen legte gegen den Bescheid Rechtsmittel ein, woraufhin das Bußgeld auf 7.000 Euro reduziert wurde.

Niedersachen: 65.500 Euro wegen Sicherheitsrisiken durch veraltete Webshop-Anwendung

Bei den Ermittlungen in Folge einer Datenpannenmeldung gem. Art. 33 DS-GVO gegen einen Webshop-Betreiber, stellte die niedersächsische Aufsichtsbehörde fest, dass im Webshop eine veraltete Version einer Webshop-Anwendung verwendet wurde. Diese wurde vom Softwarehersteller seit 2014 nicht mehr mit Sicherheitsupdates beliefert, was erhebliche Sicherheitsrisiken mit sich brachte. Veraltete und nicht dem Stand der Technik entsprechende Sicherheitsmaßnahmen ermöglichten es unter anderem, mit geringem Aufwand die Passwörter der Shop-Kunden im Klartext zu erhalten. Damit verletzte der Seitenbetreiber nach Ansicht der Aufsichtsbehörde seine Pflicht, durch technische und organisatorische Maßnahmen ein angemessenes Schutzniveau für personenbezogene Daten zu gewährleisten. Diesen Verstoß ahndete die niedersächsische Datenschutzaufsicht mit einem Bußgeld in Höhe von 65.500 Euro.

Österreich: 2 Millionen Euro wegen Profiling ohne wirksame Einwilligung

Der Betreiber eines Kundenbindungsprogramms erstellte individuelle Kundenprofile, um möglichst zielgenaues Marketing betreiben und Kaufentscheidungen beeinflussen zu können (sog. Profiling). Hierfür ist allerdings die Einwilligung der betroffenen Personen erforderlich, anderenfalls ist die Verarbeitung personenbezogener Daten unzulässig. Das Unternehmen holte zwar die benötigten Zustimmungen ein, allerdings waren die Erklärungen versteckt und damit unwirksam. Die Informationen über die Datenverarbeitung waren so positioniert und formuliert, dass die Einwilligung zum Profiling effektiv verschleiert wurde, da sie für die betroffenen nicht erkennbar war. Dieses Vorgehen entspricht nicht den Anforderungen an eine wirksame Einwilligung, weshalb das Profiling der rund 2,3 Millionen betroffenen Nutzer unrechtmäßig erfolgte.

Nach einem ersten Verfahren bei der Aufsichtsbehörde stellte das Unternehmen den Prozess um, sodass die Einwilligungen ab dann ordnungsgemäß eingeholt wurden. Allerdings wurde die Verarbeitung der bereits erhobenen Daten, für die keine wirksame Zustimmung vorlag, nicht eingestellt. Aufgrund der andauernden unrechtmäßigen Verarbeitung verhängte die österreichische Datenschutzaufsicht ein Bußgeld in Höhe von 2 Millionen Euro gegen das Unternehmen. Dabei wurde die eher schlechte wirtschaftliche Situation aufgrund der COVID-19-Pandemie mildernd berücksichtigt.