Stand: 04.05.2023

Seit dem Inkrafttreten der DS-GVO sind bereits mehrere Jahre vergangen, weshalb es mittlerweile zu einigen Fragestellungen des Datenschutzes gerichtliche Urteile gibt. Dieser Artikel gibt einen Überblick über aktuelle datenschutzrechtliche Gerichtsentscheidungen zu Themen wie den Voraussetzungen für einen Anspruch auf Schadensersatz nach Art. 82 DS-GVO, den Begriff der Datenkopie oder die Abberufung interner Datenschutzbeauftragter sowie über aktuell verhängte interessante Bußgelder aus Deutschland, Ungarn, Schweden, Irland, Italien und Italien. Der Strauß der sanktionierten Pflichtverletzungen ist bunt und reicht von unzulässiger Datenerhebung über unzureichende Schutzmaßnahmen und unzulässiger Videoüberwachung bis hin zur Entsorgung sensibler Gesundheitsdaten über das Altpapier.

Urteile

EuGH: Keine Erheblichkeitsschwelle für den immateriellen Schaden

In Österreich hat die Post AG persönliche Daten erhoben und verarbeitet, um die politische Auffassung der Personen zu prognostizieren und weiterzuverkaufen. Eine betroffene Person fühlte sich durch die ihr zugeschriebene Affinität zur rechtsnationalen FPÖ beschämt und bloßgestellt. Zudem fürchtete der Betroffene, dass sich die angebliche politische Gesinnung kreditschädigend auswirken könne. Er verlangte daher wegen der Verletzung von Datenschutzpflichten aus der DS-GVO 1.000 Euro Schadensersatz. Der EuGH hat auf Basis dieses Falls folgende zentrale Grundsatzfragen für die Geltendmachung von Schadensersatzansprüchen geklärt:

  • Für einen Anspruch auf Schadensersatz nach Art. 82 DS-GVO müssen drei Voraussetzungen kumulativ vorliegen:
    1) Verstoß gegen die Vorschriften der DS-GVO
    2) Materieller oder immaterieller Schaden
    3) Kausaler Zusammenhang zwischen der Verletzung der Regeln aus der DS-GVO und dem Schaden
  • Für immaterielle Schäden gibt es keine Einstufung nach der Schwere des Schadens. Der Schadensersatzanspruch hängt deshalb nicht davon ab, ob der entstandene Schaden eine gewisse Erheblichkeit erreicht.
  • Die Festlegung von Kriterien für die Ermittlung der Höhe des zu zahlenden Schadensersatzes obliegt den Rechtssystemen der einzelnen EU-Länder.

Eine Verletzung von Vorgaben aus der DS-GVO bei der Verarbeitung personenbezogener Daten reicht nach dem Urteil des EuGH also allein noch nicht aus, damit eine betroffene Person Schadensersatz verlangen kann. Für einen Anspruch auf Schadensersatz muss zwingend immer auch ein konkreter Schaden eingetreten sein. Das ergibt sich nach dem EuGH schon aus den Begrifflichkeiten. Würde der Verstoß an sich schon ausreichen, bräuchte es die Erwähnung des Schadens gar nicht. Bei einer reinen Verletzung der Vorgaben aus der DS-GVO enthält die DS-GVO andere Rechtsbehelfe, die den Interessen der betroffenen Personen ausreichend gerecht werden und gerade keinen Schaden verlangen.

Ist jedoch ein Schaden entstanden lehnt der EuGH eine „wie auch immer geartete Erheblichkeitsschwelle“ strikt ab. Diese ist weder in Art. 82 DS-GVO zu finden, noch wäre sie geeignet die Ziele der DS-GVO ausreichend zu verfolgen. Die Abstufung der Schwelle für einen Anspruch auf Ersatz des Schadens wäre viel zu individuell vom zuständigen Gericht abhängig. Im Ergebnis besteht ein Anspruch auf Ersatz des immateriellen Schadens daher, wenn eine Verletzung der Vorgaben der DS-GVO bei einem Betroffenen zu einem Ärgernis, Vertrauensverlust, Kontrollverlust, Gefühl der Bloßstellung oder Scham führt. Der EuGH betont in seiner Entscheidung aber auch, dass der Betroffene nachweisen muss, dass negative Folgen einer Datenschutzverletzung einen immateriellen Schaden im Sinne von Art. 82 DS-GVO darstellen.

Wie hoch die Kompensation für den entstandenen immateriellen Schaden im Einzelfall ist, müssen die nationalen Gerichte klären. Die DS-GVO enthält nämlich keine Bestimmung, die sich dieser Fragestellung widmet. Die Gerichte müssen lediglich beachten, dass der zugesprochene Schadensersatz einen „vollständigen und wirksamen Ersatz für den erlittenen immateriellen Schaden sicherstellt“. Einen etwaigen Strafcharakter muss die Höhe es Schadensersatzes nicht beinhalten.

(EuGH, Urteil v. 04.05.2023, Az.: C-300/21)

EuGH: Kopie = originalgetreue und verständliche Datenreproduktion

Eine Kreditauskunftei hat einer Privatperson, die von Ihrem Recht auf Auskunft und Datenkopie nach Art. 15 DS-GVO Gebraucht gemacht hat, lediglich eine Liste der personenbezogenen Daten übermittelt, die verarbeitet worden sind. Die Person beschwerte sich daraufhin bei der zuständigen Aufsichtsbehörde in Österreich, weil sie der Meinung war nach Art. 15 Abs. 3 DS-GVO eine Kopie sämtlicher Dokumente mit ihren Daten erhalten zu müssen (wie z. B. E-Mails und Auszüge aus Datenbanken). Die Behörde vertrat die Ansicht, dass die Auskunft in der vom Unternehmen erteilten Form ausreichend war. Gegen diesen Bescheid legte die Privatperson Klage ein.

Der EuGH stellte zunächst klar, dass sich der Begriff „Informationen“ nur auf personenbezogene Daten bezieht, die Teil der Datenverarbeitung sind. Wird eine Kopie der Informationen gefordert reicht eine allgemeine Beschreibung oder ein Verweis auf die verarbeiteten Datenkategorien schon nach dem allgemeinen Wortverständnis des Begriffs einer „Kopie“ nicht aus. Kopie bedeutet, dass die betroffene Person eine originalgetreue Reproduktion ihrer verarbeiteten personenbezogenen Daten erhält. Der Begriff der Kopie ist nach dem obersten europäischen Gericht dabei nicht auf ein Dokument beschränkt, denn die Kopie muss alle personenbezogenen Daten enthalten, die Gegenstand der Verarbeitung sind. Nur dann können die Ziele des Auskunftsrechts verwirklicht werden. Denn das Recht soll es der betroffenen Person ermöglichen, zu überprüfen, ob die sie betreffenden Daten korrekt sind und in zulässiger Weise verarbeitet werden. Deshalb müssen alle Informationen in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache übermittelt werden.

Sollten die Datenkopie dazu führen, dass die Rechte anderer Personen beeinträchtigt werden, müssen Unternehmen zudem eine umfassende Interessensabwägung durchführen und nach Wegen suchen, die beiden Interessen so weit wie möglich gerecht werden. Eine pauschale Ablehnung der Datenkopie ist nicht zulässig.

(EuGH, Urteil v. 04.05.2023, Az.: C-487/21)

EuGH: § 26 BDSG kann zu unspezifisch sein

Rechtsgrundlage für alle Datenverarbeitungen, die notwendig sind, um ein Arbeitsverhältnis zu begründen, durchzuführen oder zu beenden ist § 26 des deutschen Bundesdatenschutzgesetztes (BDSG). Diese zentrale Vorschrift wird seit Mai 2018 nicht nur von allen Unternehmen entsprechend herangezogen, sondern war bereits mehrfach Gegenstand arbeitsrechtlicher Gerichtsverfahren. Dabei wurde bisher nicht in Frage gestellt, ob die Regelungen an sich wirksam sind. Anlässlich eines Rechtsstreits aus Hessen hat das zuständige Gericht bei der Wahl der richtigen Rechtsgrundlage für den Live-Stream Unterricht per Videokonferenz während der Corona-Pandemie aber Zweifel. Diese Zweifel hat der EuGH mit seiner Entscheidung vom 30.03.2023 geteilt, ohne jedoch eine konkrete Aussage zu treffen.

Nach Ansicht der höchsten europäischen Richter muss das deutsche Gericht prüfen, ob § 26 BDSG besondere Maßnahmen zur Wahrung der menschlichen Würde, berechtigten Interessen und Grundrechte der betroffenen Personen umfasst oder lediglich die allgemeinen Vorgaben der DS-GVO wiederholt. Die Richter tendieren eher zu Letzterem. Damit wären die Voraussetzungen des Art. 88 DS-GVO für eine spezifische nationale Norm aber nicht gegeben und der Paragraf dürfte nicht mehr als zentrale Rechtsgrundlage herangezogen werden. Vielmehr wiesen die Richter aus Luxemburg das zuständige Verwaltungsgericht darauf hin, dass es die Rechtsgrundlage für die Datenverarbeitung der Lehrer beim Live-Stream-Unterricht in Art. 6 DS-GVO suchen müsse.

(EuGH, Urteil v. 30.03.2023, Az.: C-34/21)

EuGH: strenge Regeln für die Abberufung interner Datenschutzbeauftragter zulässig

Hintergrund war die Klage eines abberufenen Datenschutzbeauftragten. Das Unternehmen war der Ansicht, dass die gleichzeitige Tätigkeit als betrieblicher Datenschutzbeauftragter und Betriebsratsvorsitzenden zu einem unzulässigen Interessenskonflikt führen würde. Der Rechtstreit zog sich bis zum Bundesarbeitsgericht (BAG). Dieses hat den obersten europäischen Gerichtshof angerufen, um zu klären ob die nationalen Regelungen zur Abberufung interner Datenschutzbeauftragter überhaupt zulässig sind und ob sich aus dem Amt des Betriebsratsvorsitzenden bereits ein Interessenskonflikt ergeben würde. In Deutschland gelten zusätzlich zur DS-GVO weitere Vorgaben im Bundesdatenschutzgesetz, die eine Abberufung eines internen Datenschutzbeauftragten nur aus besonderem Grund erlauben.

Der EuGH hat mit seiner Entscheidung bestätigt, dass die strengen deutschen Regeln zulässig sind, solange die Verwirklichung der Ziele der DS-GVO nicht gefährdet wird. Eine Abberufung eines internen Datenschutzbeauftragten muss daher möglich sein, wenn der Mitarbeiter nicht (mehr) über die erforderliche berufliche Qualifikation verfügt, er seine Aufgaben nicht im Einklang mit der DS-GVO erfüllt oder ein Interessenskonflikt vorliegt. Ob das Amt des Betriebsratsvorsitzenden zu einem solchen Interessenskonflikt führt, ließ der EuGH explizit offen. Er gab dem BAG für diesen konkreten Einzelfall nur allgemeine Leitlinien mit auf den Weg: Von einem Interessenskonflikt ist immer dann auszugehen, wenn seine anderen Aufgaben oder Pflichten ihn dazu veranlassen, Zwecke und Mittel einer Datenverarbeitung festzulegen. Ob dies bei einem Betriebsratsvorsitzenden der Fall ist, muss das BAG entscheiden. Die Verantwortung für die Datenverarbeitung liegt zwar beim Arbeitgeber, jedoch hat der Betriebsrat nach dem Betriebsverfassungsgesetz auch eine Reihe von Mitbestimmungsrechten, die sich auch auf konkrete Mittel einer Datenverarbeitung beziehen können.

(EuGH, Urteil v. 09.02.2023, Az.: C-453/21 und C-560/21)

EuGH: Konkrete Identität des Empfängers muss offengelegt werden

Hintergrund war die Klage eines Betroffenen gegen die Österreichische Post, der die Mitteilung der Identität der Empfänger seiner personenbezogenen Daten forderte. Die Österreichische Post teilte dem Betroffenen lediglich die Empfängerkategorien mit, nicht aber die konkrete Identität. Im Rahmen des Verfahrens kamen dem österreichischen Obersten Gerichtshof (OGH) Zweifel daran, inwieweit es die Entscheidung des Verantwortlichen sei, die konkrete Identität oder nur die Kategorie von Empfängern mitzuteilen. Deshalb legte er diese Auslegungsfrage beim Europäischen Gerichtshof (EuGH) vor. Der EuGH kam zu dem Ergebnis, dass betroffenen Personen grundsätzlich die konkrete Identität des Empfängers offenzulegen ist. Das Gericht führte in seiner Begründung an, dass sich zwar aus dem Wortlaut zunächst kein Vorrang der Offenlegung der konkreten Identität ergebe, für die praktische Wirksamkeit vieler Betroffenenrechte nach der DS-GVO sei diese allerdings erforderlich.

(EuGH, Urteil v. 12.01.2023, Az.: C-154/21)

BGH legt EuGH Frage bzgl. der Klagebefugnis von Wettbewerbern vor

Der Bundesgerichtshof (BGH) verhandelt aktuell zwei Verfahren, bei denen ein Apotheker Klage gegen einen Mitbewerber eingereicht hat. Ausgangspunkt ist in beiden Fällen, dass ein Apotheker seine Produkte über die Internet-Verkaufsplattform „Amazon“ vertreibt. Nach Ansicht des klagenden Mitbewerbers verstößt dieses Vorgehen gegen verschiedene nationale Vorschriften wie das Arzneimittelgesetz (AMG) und die Berufsordnung für Apotheker sowie gegen das Datenschutzrecht. Im zweiten Verfahren geht der Kläger gegen die seiner Meinung nach unzulässige Erhebung und Verarbeitung von Gesundheitsdaten im Rahmen des Bestellprozesses vor. Nach mehreren Revisionen landeten beide Verfahren vor dem BGH, der dem EuGH zwei Fragen vorlegte: Der EuGH soll klären, ob Mitbewerber bei Datenschutzverstößen überhaupt klagebefugt sind und, ob es sich bei den Daten, die im Rahmen des Bestellprozesses verarbeitet werden, um Gesundheitsdaten i. S. v. Art. 9 DS-GVO handelt.

(BGH, Beschlüsse v. 12.01.2023, Az.: I ZR 222/19 und I ZR 223/19)

Bußgelder

Schleswig-Holstein: 50 Euro Bußgeld wegen falscher Entsorgung einer Patientenakte

Patientenakten enthalten in der Regel eine ganze Reihe personenbezogener Daten, die zum Großteil als Gesundheitsdaten dem besonderen Schutz von Art. 9 DS-GVO unterliegen und darüber hinaus der ärztlichen Schweigepflicht unterliegen. Dementsprechend gelten bei der Entsorgung und Vernichtung der Akten besonders strenge Anforderungen. Das unabhängige Landeszentrum für Datenschutz Schleswig-Holstein hat kürzlich einen Arzt, der diese Vorgaben missachtete mit einem Bußgeld in Höhe von 50,00 Euro belegt. Er hat die Patientenakten über das normale Altpapier entsorgt.

Sachsen-Anhalt: 9.000 Euro Bußgeld wegen verschwiegener Datenschutzverletzung

Eine Mitarbeiterin des Universitätsklinikums Magdeburg stand unter dem Verdacht, aus politisch motivierten Gründen ihren dienstlichen Zugang zum Einwohnermeldeamt missbraucht zu haben. Statt die Daten für die berechtigten betrieblichen Zwecke vom Einwohnermeldeamt abzurufen, soll sie die Meldedaten an Gewalttäter weitergegeben haben. Dieser Verdacht kam im Zuge von Ermittlungen der Bundesanwaltschaft gegen Linksextreme auf. Die Mitarbeiterin wurde umgehend nach Bekanntwerden des laufenden Ermittlungsverfahrens freigestellt und mittlerweile entlassen. Der Klinikvorstand hat den unberechtigten Datenabruf sowie die unzulässige Weitergabe aber nicht im gleichen Zuge an die zuständige Aufsichtsbehörde gemeldet.

Statt im Mai wurde diese erst im Oktober über den Vorfall informiert. Die Meldung erfolgte damit rund fünf Monate zu spät, denn nach Art. 33 DS-GVO müssen (potenzielle) Datenschutzverletzungen spätestens 72 Stunden nach ihrem Bekanntwerden bei der zuständigen Aufsichtsbehörde gemeldet werden. Das lange Verschweigen des Datenschutzvorfalls hat diese nun mit einem Bußgeld in Höhe von 9000 € sanktioniert.

Ungarn: 7.971 Euro Bußgeld wegen unzulässiger Videoüberwachung im Hotel

Mehrere Hotelgäste haben sich bei der Nemzeti Adatvédelmi és Információszabadság Hatóság beschwert, weil sie von dem Hotelier gefilmt wurden und keine Informationen hierüber erhielten. Der Hotelier hatte mehrere Überwachungskameras an der Fassade der Unterkunft installiert. Diese nahmen unter anderem einen Whirlpool, ein Restaurant sowie den Innenhof auf. In diesen Bereichen wiegt das Persönlichkeitsrecht der Gäste besonders schwer. Zudem stellte die Behörde im Laufe ihrer Untersuchungen fest, dass die Hotelgäste keinen Zugang zu den Daten erhielten und die Aufnahmen viel zu lange gespeichert wurden. Das Hotel hat die Anfragen der Behörde nur mit deutlicher Verspätung beantwortet. Für alle Verstöße zusammen erhielt der Hotelier ein Bußgeld in Höhe von knapp 8.000 Euro.

Schweden: 17.566 Euro Bußgeld wegen unsicherer Datenspeicherung auf einem USB-Stick

Ein Mitarbeiter der schwedischen Region Skåne hat einen unverschlüsselten USB-Stick verloren, der nicht mehr aufgefunden werden konnte. Auf dem Stick waren von knapp 2000 Personen Gesundheitsdaten gespeichert, die zum Großteil mit der persönlichen Identifikationsnummer der jeweiligen Person verknüpft waren. Für die betroffenen Personen ergab sich nach Ansicht der Datenschutzbehörde aus dieser Verknüpfung ein besonders hohes Risiko. Die getroffenen technischen und organisatorischen Maßnahmen beachteten dieses besondere Risiko nicht ausreichend. Daher verhängte die Behörde ein Bußgeld von knapp 18.000 Euro.

Irland: 5.500.000 Euro und 390.000.000 Euro Bußgeld wegen falscher Rechtsgrundlage

Die irische Datenschutzaufsichtsbehörde verhängte gegen die WhatsApp Ireland Ltd. ein Bußgeld in Höhe von 5.500.000 Euro wegen unzulässiger Datenverarbeitung. Der Anbieter des Messenger-Dienstes hatte seine Nutzungsbedingungen aktualisiert und war der Ansicht, dass mit der Annahme der aktualisierten Nutzungsbedingungen ein Vertrag zwischen dem Anbieter und dem User zustande kommen würde. Dieser würde wiederum die Rechtsgrundlage für die Datenverarbeitung darstellen, auch im Hinblick auf die Verarbeitung von Nutzerdaten zur Bereitstellung von Dienstverbesserungs- und Sicherheitsfunktionen. Die irische Datenschutzaufsicht kam bei Ihren Untersuchungen zu dem Ergebnis, dass diese Rechtsgrundlage hier nicht einschlägig und die Datenerhebung entsprechend unzulässig ist. Neben der Verhängung des Bußgeldes ordnete die Behörde an, dass der Anbieter des Messenger-Dienstes seine Verarbeitungsvorgänge innerhalb einer Frist von sechs Monaten mit den Datenschutzvorgaben in Einklang bringen muss.

Ein ähnlicher Fall führt in Irland auch zu einem Bußgeld in Höhe von 390.000.000 Euro gegen die Meta Platforms Ireland Ltd., das sich aus 210 Mio. Euro Bußgeld wegen Datenschutzverstößen beim Dienst Facebook und 180 Mio. Euro Bußgeld wegen Datenschutzverstößen beim Dienst Instagram zusammensetzt. Der Anbieter war ebenfalls der Ansicht, dass mit Annahme der aktualisierten Nutzungsbedingungen ein Vertrag mit dem User zustande kommt, der wieder die Rechtsgrundlage für die Datenverarbeitung liefert – einschließlich der Bereitstellung personalisierter Dienste und verhaltensbezogener Werbung. Hier kam die irische Aufsichtsbehörde ebenfalls zu dem Ergebnis, dass die Rechtsgrundlage der Vertragserfüllung nicht angewendet werden kann.

Italien: 100.000 Euro wegen fehlender Rechtsgrundlage zur Überwachung von E-Mail-Konten Beschäftigter

Die italienische Aufsichtsbehörde ermittelte nach einem Hinweis der Gewerkschaft gegen die Region Latium wegen Überwachung der E-Mail-Konten von Beschäftigten der Rechtsabteilung. Da der Verdacht einer Weitergabe von Informationen an Dritte bestand, die durch das Amtsgeheimnis geschützt sind, wurden Daten der Beschäftigten 180 Tage lang gespeichert und analysiert. Betroffen waren nicht nur arbeitsbezogene Informationen, sondern auch personenbezogene Daten über die Privatsphäre. Die Aufsichtsbehörde stellt bei ihren Untersuchungen fest, dass die Region zum betreffenden Zeitpunkt keine gültige Rechtsgrundlage für eine so umfangreiche Erhebung personenbezogener Daten hatte.

Spanien: 40.001 Euro Bußgeld wegen Veröffentlichung personenbezogener Daten nach einem Hackerangriff

Bereits im Jahr 2013 wurde von Anonymous-Hackern eine Datenbank einer Sektion der spanischen Polizeigewerkschaft, der Sindicat de Policies de Catalunya (SPC), gestohlen. Die erbeuteten Daten wurden anschließend veröffentlicht. Nach Abschluss der Untersuchung durch die spanische Datenschutzbehörde wurde der betroffenen SPC nachgewiesen, dass bei der Einrichtung der Datenbank die Schutzmaßnahmen, insbesondere die Zugriffskontrolle, unzureichend waren und dies ein schwerwiegendes Versäumnis darstellt.