Rechtsprechungsübersicht
Seit dem Inkrafttreten der DS-GVO am 5. Mai 2018 ist mittlerweile einige Zeit vergangen. Herrschte anfangs noch große Unsicherheit darüber, was im Umgang mit personenbezogenen Daten beachtet werden muss oder wie die Vorgaben der Verordnung auszulegen sind, so haben nun etliche Urteile für etwas mehr Klarheit gesorgt und einige Grundsatzfragen wurden geklärt. Verhandelt wurde nicht nur über Verstöße von verantwortlichen Stellen, sondern auch über Anwendungsfragen und die Befugnisse der Aufsichtsbehörden. Die Rechtsprechungsübersicht gibt einen Überblick über datenschutzrechtliche Gerichtsentscheidungen zu Themen wie der Datenschutzpolitik von Facebook, der Abmahnfähigkeit von DS-GVO-Verstößen, der Reichweite des Auskunftsanspruchs, zu datenschutzrechtlichen Schadensersatzansprüchen oder zu der Einwilligung beim Einsatz von Cookies.
Wie bei allen Datenverarbeitungen gilt es auch auf Homepages, die Grundsätze der DS-GVO zu beachten. Insbesondere bedarf jede Verarbeitung personenbezogener Userdaten einer individuellen Rechtsgrundlage und die Websitebesucher müssen transparent und vollständig über die Verarbeitung informiert werden. Besonders hohe Anforderungen werden dabei an Plugins und andere Dienste gestellt, über die personenbezogene Informationen an Dritte wie Google oder Facebook übermittelt werden.
Einige Fragen zur datenschutzkonformen Gestaltung von Homepages waren nach dem Inkrafttreten der DS-GVO stark umstritten, wurden mittlerweile aber von Gerichten geklärt – teilweise auf höchster Ebene vor dem Europäischen Gerichtshof (EuGH):
Neben dem Betrieb einer eigenen Firmenhomepage sind viele Unternehmen auch in sozialen Netzwerken aktiv, um Werbung zu betreiben und die angebotenen Leistungen bzw. Produkte bekannter zu machen. Aus Datenschutzsicht gibt es hier allerdings einige Stolpersteine, die Verantwortliche beachten müssen. Der Betrieb von Social Media Seiten wie Facebook-Fanpages ist datenschutzrechtlich kritisch zu betrachten, da die großen Anbieter häufig gegen die Vorgaben der DS-GVO verstoßen und einen datenschutzkonformen Betrieb damit quasi unmöglich machen.
Vor diesem Hintergrund ist es nicht verwunderlich, dass das Thema Social Media bereits mehrfach Gegenstand einer Gerichtsverhandlung war:
Ob Wettbewerber oder Verbände für Verstöße gegen die datenschutzrechtlichen Vorgaben eine Abmahnung nach den Vorgaben des Gesetzes gegen den unlauteren Wettbewerb (UWG) aussprechen dürfen, konnte bis jetzt noch nicht eindeutig geklärt werden. Zwar gibt es zur Abmahnfähigkeit von Datenschutzverstößen bereits mehrere Gerichtsentscheidungen, die Urteile der Richter fallen allerdings unterschiedlich aus. Von „Ja“ über „es kommt drauf an“ bis „Nein“ werden alle Meinungen vertreten:
In der heutigen Zeit sind Videokameras und Fotoaufnahmen im (Arbeits-) Alltag kaum mehr wegzudenken. Die Verwendung von Bild- und Videoaufnahmen stellt allerdings einen Eingriff in die Persönlichkeitsrechte der aufgenommenen Personen dar, weshalb die DS-GVO hohe Zulässigkeitsanforderungen stellt. Dies gilt insbesondere für den Einsatz von Videokameras, der nur unter strengen Voraussetzungen überhaupt zulässig ist. In bestimmten Bereichen ist der Einsatz von Kameras gänzlich untersagt, beispielsweise in Intimzonen (z. B. Toiletten, Umkleideräume) sowie in Bereichen, in denen die Wahrnehmung von Freizeitrechten und die Entfaltung der Persönlichkeit von wesentlicher Bedeutung sind (z. B. Aufenthaltsräume). Die Überwachung der Arbeitsleistung von Mitarbeitern ist ebenfalls nicht zulässig, wobei es hier ausreichend ist, wenn die Möglichkeit einer Überwachung besteht. Selbst bei einer zulässigen Videoüberwachung dürfen die Aufzeichnungen nicht für unbegrenzte Zeit aufbewahrt werden, in der Regel müssen die Daten nach 48 Stunden gelöscht werden.
Die Frage, ob eine Videoüberwachung in konkreten Fällen zulässig ist, musste bereits mehrfach vor Gericht geklärt werden:
Die DS-GVO hat die Rechte der Betroffenen im Vergleich zum alten Datenschutzrecht deutlich gestärkt und ihnen dabei unter anderem ein umfangreiches Auskunftsrecht gem. Art. 15 DS-GVO eingeräumt. Sie haben das Recht, bei datenverarbeitenden Stellen nachzufragen, ob ihre personenbezogenen Daten verarbeitet werden (Art. 15 Abs. 1 1. HS DS-GVO), können detaillierte Informationen zu dieser Verarbeitung anfordern (Art. 15 Abs. 1 2. HS DS-GVO) sowie eine Kopie ihrer Daten (Art. 15 Abs. 3 DS-GVO) verlangen. Wie weit dieses Auskunftsrecht geht und wann Auskünfte verweigert werden können, ist allerdings nicht ganz klar definiert. Hinzu kommen einige Anforderungen an die Form der Auskunft bzw. Kopie der Daten. Dementsprechend musste die Reichweite des Auskunftsrechts für einige Einzelfälle von Richtern geklärt werden. Die Urteile zeigen allerdings, dass das Recht auf Auskunft weitreichend ist und es nur wenige Ausnahmefälle gibt, in denen nicht beauskunftet werden muss:
Zu den tragenden Grundsätzen der DS-GVO gehört das Prinzip der Speicherbegrenzung, nach dem personenbezogene Daten nur solange wie zwingend erforderlich aufbewahrt werden dürfen. Ist eine Aufbewahrung nicht mehr notwendig, um den Verarbeitungszweck zu erfüllen und besteht keine rechtliche Grundlage zur weiteren Speicherung, müssen die Daten gelöscht werden. Zudem steht Betroffenen in bestimmten Fällen ein Löschrecht nach Art. 17 DS-GVO zu, insofern die Voraussetzungen hierfür erfüllt sind. Halten sich Unternehmen und Behörden nicht an Löschpflichten, stellt dies einen Verstoß gegen die DS-GVO dar. Ab welchem Zeitpunkt personenbezogene Daten nicht mehr benötigt werden, kann im Einzelfall allerdings strittig sein, da verantwortliche Stellen häufig ein gewisses Interesse an einer längeren Aufbewahrung haben.
Das Bestehen von Löschpflichten ist deshalb nicht nur regelmäßig Gegenstand von Bußgeldverfahren der Aufsichtsbehörden, sondern auch von Gerichtsverhandlungen:
Die DS-GVO hat den Mitgliedsstaaten in Art. 88 DS-GVO die Möglichkeit eingeräumt, eigene Vorschriften für die Verarbeitung personenbezogener Daten im Beschäftigungsverhältnis zu erlassen. Der deutsche Gesetzgeber hat diese Öffnung genutzt und Regelungen zum Beschäftigtendatenschutz in das Bundesdatenschutzgesetz (BDSG) aufgenommen. Bei der Prüfung der datenschutzrechtlichen Vorgaben müssen deshalb nicht nur die Voraussetzungen der DS-GVO, sondern auch § 26 BDSG beachtet werden. Zudem werden die Schutzinteressen von Beschäftigten in vielen Bereichen als sehr hoch angesehen, weshalb eine Reihe von Vorgängen wie die Rechte und Befugnisse des Betriebsrates, GPS-Tracking oder Zeiterfassung genau geprüft werden müssen. Die Frage der Zulässigkeit der Verarbeitung von Beschäftigtendaten musste bereits wiederholt vor Gericht geklärt werden:
Die Verarbeitung personenbezogener Daten ist nach der DS-GVO nur zulässig, wenn eine der vorgegebenen Rechtsgrundlagen nach Art. 6 bzw. Art. 9 DS-GVO einschlägig sind. Eine Datenverarbeitung ist demnach grundsätzlich verboten, wenn sie nicht ausdrücklich erlaubt ist (sog. Erlaubnisvorbehalt). Zu den Rechtsgrundlagen zählen insbesondere
- die Anbahnung eines Vertrags,
- die Erfüllung einer vertraglichen Pflicht,
- die Erfüllung einer gesetzlichen Pflicht,
- der Schutz lebenswichtiger Interessen,
- die Wahrnehmung öffentlich-rechtlicher Aufgaben,
- das überwiegende berechtigte Interesse des Unternehmens oder eins Dritten sowie
- die Einwilligung in die Datenverarbeitung.
Ob und welche Rechtsgrundlage anwendbar ist, muss im Einzelfall geprüft werden und ist nicht immer ganz eindeutig. Werden personenbezogene Daten an Stellen außerhalb der EU bzw. des EWR (sog. Drittländer) übermittelt, in denen die DS-GVO nicht direkt gilt, müssen zusätzlich die Vorgaben der Art. 44 ff. DS-GVO beachtet werden. Dementsprechend müssen Gerichte immer wieder über die Rechtmäßigkeit von Datenverarbeitungen entscheiden. Besonders umstritten ist die Frage, wann eine Einwilligung wirksam erteilt wurde, aber auch die anderen Rechtsgrundlagen führen zu Rechtsstreitigkeiten:
Für die Zusammenarbeit von Unternehmen, die auch die Verarbeitung personenbezogener Daten beinhaltet, die DS-GVO drei Konstellationen: Die Auftragsverarbeitung gem. Art. 28 DS-GVO, die gemeinsame Verantwortung gem. Art. 26 DS-GVO sowie die Verarbeitung in eigener Verantwortung („Dritte“). Allgemein lassen sich die drei Kategorien durch eine Analyse der Weisungsgebundenheit und dem Entscheidungsfreiraum der Beteiligten in Bezug auf die Zwecke und Mittel der Verarbeitung abgrenzen. Die Grenzen sind hier allerdings fließend, sodass eine datenschutzrechtliche Einordnung im Einzelfall schwierig sein kann.
Mittlerweile haben Gerichtsurteile zumindest an ein paar Stellen die Frage der datenschutzrechtlichen Einordnung und den relevanten Kriterien klären können.
Gemäß Art. 32 DS-GVO sind datenverarbeitende Stellen verpflichtet, personenbezogene Daten ausreichend zu schützen, insbesondere vor unbefugtem Zugriff (Vertraulichkeit), unbefugter Veränderung (Integrität) sowie vor Verlust (Verfügbarkeit). Sie müssen unter Berücksichtigung festgelegter Faktoren wie dem Stand der Technik oder dem bestehenden Risiko für Betroffene durch die Datenverarbeitung Vorkehrungen treffen, um ein angemessenes Schutzniveau sicherzustellen. Diese Maßnahmen können sowohl organisatorischer als auch technischer Natur sein. Sie müssen in allen Bereichen, Abläufen, Systemen usw. im Unternehmen umgesetzt werden, um einen ganzheitlichen Schutz personenbezogener Daten zu gewährleisten.
Erfüllen die Technisch-Organisatorischen Maßnahmen (TOMs) die Anforderungen des Art. 32 DS-GVO nicht, handelt es sich um einen bußgeldbewährten Datenschutzverstoß und zwar unabhängig davon, ob die unzureichenden Schutzvorkehrungen weitere Datenpannen wie Hackerangriffe verursacht haben oder nicht. Was aber ist ein „dem Risiko angemessenes Schutzniveau“? Mit dieser Frage mussten sich neben den Aufsichtsbehörden auch die Gerichte beschäftigen:
Die Hauptaufgabe der Datenschutz-Aufsichtsbehörde liegt darin, die Einhaltung der datenschutzrechtlichen Vorgaben zu überwachen und zu kontrollieren. Verstoßen datenverarbeitende Stellen gegen die Datenschutzvorschriften, kann die Aufsichtsbehörde entsprechende Sanktionen verhängen, beispielsweise in Form von Anordnungen zur Einschränkung oder Unterlassung von Verarbeitungen sowie dem Verhängen von Bußgeldern. Zu den umfangreichen Aufgaben der Datenschutzaufsicht gem. Art. 57 DS-GVO gehört zudem die Untersuchung von Beschwerden betroffener Personen, wenn diese sich aufgrund (vermeintlicher) Datenschutzverstöße an die Behörde wenden.
Welche Rechten und Pflichten die Behörde genau hat und inwieweit Betroffene und Datenverarbeiter mit der Datenschutzaufsicht zusammenarbeiten müssen, ist an manchen Stellen nicht ganz eindeutig und musste bereits mehrfach gerichtlich geklärt werden.
Die DS-GVO räumt Betroffenen in Art. 82 die Möglichkeit ein, für Datenschutzverletzungen Schadensersatzansprüche gegen den verantwortlichen Datenverarbeiter geltend zu machen. Umfasst sind hiervon sowohl materielle als auch immaterielle Schäden. Nach anfänglicher Zurückhaltung neigen deutsche Gerichte immer mehr dazu, für DS-GVO-Verstöße vergleichsweise hohes Schmerzenzgeld zuzusprechen. Nach dem Datenschutzrecht soll dem Betroffenen nicht nur der erlittene Schaden ersetzt werden, sondern es soll auch eine abschreckende Wirkung erzielt werden. Wie hoch der Schadensersatz im Einzelfall ausfällt, liegt im Ermessen der Richter.
Bei Datenschutzverstößen wurde bisher immer von den Verstößen durch Unternehmen geredet, nicht aber davon, welche Personen innerhalb des Unternehmens dafür haften. Vielen ist völlig unbekannt, dass es auch einzelne Personen treffen kann. Denn grundsätzlich müssen auch Privatpersonen, die personenbezogene Daten erheben und verarbeiten, die DS-GVO beachten. Dies kann Geschäftsführer oder Arbeitnehmer treffen, die in ihrer Arbeit für das Unternehmen unrechtmäßig personenbezogene Daten verarbeiten. Privatpersonen können allerdings ebenfalls für Datenschutzverstöße verantwortlich gemacht werden, z. B. wenn man personenbezogene Daten online veröffentlich und diese somit einer breiten Öffentlichkeit zugänglich macht.