Microsoft 365 gehört sowohl im unternehmerischen als auch im öffentlichen Bereich zu den meistgenutzten cloudbasierten Office-Anwendungen. Jedoch bestehen seit längerer Zeit Zweifel an der Datenschutzkonformität der Nutzung der Software-Produkte, die sich spätestens seit dem Schrems II-Urteil des EuGH verstärkt haben (Urteil vom 16. Juli 2020, Rs. C-311/18). Seit Jahren sprechen sich die deutschen Datenschutzbehörden gegen die Nutzung der Online-Tools aus. So kommt das Gremium der unabhängigen Datenschutzbehörden des Bundes und der Länder, der sogenannten Datenschutzkonferenz (DSK) auch in seiner diesjährigen Zwischenkonferenz vom 22. September 2022 wieder zu dem Ergebnis, dass ein rechtskonformer Einsatz des Office-Pakets Microsoft 365, das von Unternehmen, Behörden und Schulen eingesetzt wird, ohne zusätzliche technische Maßnahmen nicht in möglich ist.

Das Wichtigste in Kürze

• Die DSK kommt im Rahmen ihrer Untersuchung von Microsoft 365 zu dem Ergebnis, dass ein datenschutzkonformer Einsatz nicht möglich sei.
• Die überarbeitete Fassung des Auftragsverarbeitungsvertrages liefere weiterhin nicht die notwendige Transparenz.
• Es sei nicht erkennbar, welche Daten von dem US-Unternehmen für eigene Zwecke verarbeitet werden bzw. verarbeitet werden können.
• Das Ergebnis der Untersuchung der DSK stellt kein formales Verbot des Einsatzes von Microsoft 365 dar, da es sich um einen unverbindlichen Beschluss handelt.

Das Problem beim Einsatz von Microsoft 365

Das Problem beim Einsatz von Microsoft 365 ist seit jeher, dass im Rahmen der Nutzung eine große Menge an personenbezogenen Daten für verschiedene Zwecke verarbeitet werden und oft nicht überschaubar ist, ob und welche Datendirekt an den Softwareanbieter in den USA übermittelt werden. Seitdem der EuGH in seiner Schrems II-Entscheidung das EU-US-Privacy Shield für ungültig erklärt hat, ist eine Datenübermittlung in die USA mit dem europäischen Datenschutzrecht zudem nur noch schwer vereinbar.

Untersuchung der Microsoft-Onlinedienste im Jahr 2020

Die DSK hat bereits im Jahr 2020 einen Bericht veröffentlicht, in dem sie auf Basis der Ergebnisse einer von ihr durchgeführten Untersuchung der Lizenz- und Datenschutzbestimmungen der Microsoft-Onlinedienste zu dem Ergebnis kam, dass ein datenschutzkonformer Einsatz der Softwareprodukte nicht möglich ist. Bei der Untersuchung nahmen die Behörden insbesondere die Einhaltung der Anforderungen von Art. 28 DSGVO ins Visier. Art. 28 DSGVO regelt die Verarbeitung personenbezogener Daten durch einen Auftragsverarbeiter. Darunter sind z.B. Unternehmen zu verstehen, die personenbezogene Daten vom Verantwortlichen zum Zwecke der auftragsgebundenen und weisungsabhängigen Datenverarbeitung erhalten. Die DSGVO stellt an dieses Vorgehen hohe Anforderungen. Als Softwaredienstleister ist Microsoft auch ausweislich der Lizenzbedingungen Auftragsverarbeiter i.S.d. Art. 28 DSGVO. Auftraggeber ist dabei jeweils das die Dienste nutzende Unternehmen.

Nachprüfung aufgrund einer neuen Fassung des Auftragsverarbeitungsvertrages

Der Softwaredienstleister hat im September eine neue Version des „Microsoft Products and Services Date Protektion Addendum“, in dem unter anderem die neuen Standardvertragsklauseln der EU-Kommission übernommen wurden, veröffentlicht. Dies nahmen die Behörden zum Anlass, eine neue Bewertung von Microsoft 365 vorzunehmen.

Insbesondere hat Microsoft nähere Angaben dazu gemacht, welche Daten zu eigenen Zwecken genutzt werden. So werden beispielsweise statistische Daten, die keinen Personenbezug aufweisen, aus pseudonymisierten Daten aggregiert, um daraus anschließend Statistiken zu erstellen. Auf Inhalte von Kundendaten erfolge kein Zugriff. Zwecke, die bisher aufgezählt wurden, wie der Kampf gegen Betrug oder Cyberkriminalität, werden nicht mehr aufgeführt.

DSGVO-konformer Einsatz aufgrund fehlender Transparenz nicht möglich

Auch wenn Microsoft zwischenzeitlich Besserungen des Produkts im Hinblick auf den Datenschutz vorgenommen hat, sei es dem Unternehmen nicht gelungen, die DSGVO-Konformität des Produkts sicherzustellen, so die Datenschützer.

Von zentraler Bedeutung war unter anderem die Frage der Behörden, in welchen Fällen Microsoft als Auftragsverarbeiter tätig ist und wann eine eigene Verantwortlichkeit im Sinne der DSGVO vorliegt. Dies konnte im Rahmen der Zusammenarbeit mit Microsoft nicht abschließend geklärt werden.

Problematisch ist dies auch deshalb, weil Verantwortliche i.S.d. Art. 5 Abs. 2 DSGVO zur Rechenschaft verpflichtet sind. Beim Einsatz von Microsoft 365 gestaltet sich der Nachweis der Einhaltung der DSGVO-Vorgaben auch auf Grundlage des „Datenschutznachtrags“ weiterhin schwierig, da der Dienstleister nicht vollumfänglich offenlegt, welche Verarbeitungen im Einzelnen stattfinden. Die überarbeitete Fassung des Auftragsverarbeitungsvertrages liefert nach Auffassung der Datenschutzbehörden immer noch nicht die notwendige Transparenz, da nicht erkennbar ist, welche Daten von dem US-Unternehmen für eigene Zwecke verwendet werden können, sodass sich nicht prüfen lässt, ob alle Verarbeitungsschritte rechtmäßig sind.

Zusätzliche Maßnahmen erforderlich

Der Bundesdatenschutzbeauftragte kündigte an, dass die Datenschutzbehörden in Einzelfällen prüfen müssen, ob nicht doch ein datenschutzkonformer Einsatz möglich ist. Dies betrifft den Umgang mit Biometrie-, Diagnose und Telemetriedaten. Zudem wäre es denkbar, eine Mikrovirtualisierung oder einen Proxyserver einzusetzen, um verhindern zu können, dass die genannten Daten zu Microsoft abfließen. Jedenfalls sollte das Softwarepaket nicht ohne zusätzliche Schutzmaßnahmen auf dem Rechner genutzt werden.

Verantwortliche müssen ausreichende Datenschutz-Garantien prüfen

Nach der DSGVO dürfen Verantwortliche grundsätzlich nur solche Dienstleister beauftragen, die ausreichende Garantien für den Datenschutz bieten. Daher liegt es im Verantwortungsbereich des Unternehmens, dies vor dem Einsatz von Microsoft-Produkten zu prüfen. Für den Einsatz der Dienste ist zu empfehlen, die Programmeinstellungen zur Verbesserung der Benutzerfreundlichkeit zu deaktivieren und Diagnosedaten in den Einstellungen auf die Mindestmenge zu beschränken. Selbstverständlich sollten Auftragsverarbeitungsverträge unter Beachtung der neuen Standardvertragsklauseln abgeschlossen und eine Datenschutzfolgenabschätzung durchgeführt werden. Letztlich sollten sämtliche Maßnahmen umfassend dokumentiert werden, um im Falle einer behördlichen Prüfung nachweisen zu können, dass man als Verantwortlicher sämtliche Maßnahmen getroffen hat, die im Rahmen der Nutzung von Microsoft 365 möglich sind.

Kein formelles Verbot des Einsatzes von Microsoft 365

Der Beschluss der DSK stellt kein formales Verbot des Einsatzes von Microsoft 365 dar, da die Beschlüsse der DSK nicht rechtsverbindlich sind. Zudem handelt es sich bei er aktuellen Veröffentlichung der DSK nicht um eine vollständige Datenschutzbewertung des Cloud-Dienstes Microsoft 365, sondern lediglich um eine Bewertung der Datenschutzbestimmungen als Teil der Nutzungsverträge für Microsoft 365. Dennoch können und werden einzelne Aufsichtsbehörden der Bundesländer die Bewertung zum Anlass nehmen, um den Einsatz der Dienste intensiver zu überprüfen.

Ausblick

An der datenschutzrechtlichen Bewertung der Softwareprodukte durch die DSK hat sich nichts geändert. Der Einsatz von Microsoft 365 ist und bleibt damit grundsätzlich ein Risiko für Unternehmen und muss genau geprüft werden. Insoweit besteht nicht nur das Risiko einer Prüfung durch die Datenschutzbehörden, die im gravierendsten Fall mit einem empfindlichen Bußgeld enden kann. Vielmehr könnten auch Kunden des Unternehmens, das Microsoft 365-Dienste einsetzt, Betroffenenrechte geltend machen. Es ist zu erwarten, dass Bund und Länder unterschiedlich mit dem Beschluss umgehen werden. Konkrete Maßnahmen, insbesondere Sanktionen sind in nächster Zeit noch nicht zu erwarten. Vielmehr werden die Behörde zunächst in den Dialog mit den Unternehmen gehen, um gemeinsam Lösungsmöglichkeiten oder Alternativen zu erörtern. Dennoch sollten sich Verantwortliche jetzt schon mit der Thematik auseinandersetzen und auf eine datenschutzkonforme Lösung hinarbeiten, die je nach Nutzungsumfang durchaus möglich sein kann.

GPS-Überwachung kann im Arbeitsleben äußerst hilfreich sein, insbesondere wenn es darum geht, die Verwendung von Firmenfahrzeugen oder anderen Betriebsmitteln zu überwachen oder die Gewinne des eigenen Unternehmens zu maximieren. Jedoch sorgt der Einsatz von Ortungssystemen im Arbeitsverhältnis im Hinblick auf die datenschutzrechtliche Zulässigkeit für Bedenken. Nicht selten kommt die Besorgnis auf, dass Arbeitgeber Bewegungsdaten zu einer umfassenden Überwachung ihrer Beschäftigten einsetzen, indem beispielsweise die Fahrt- und Standortdaten von Firmenfahrzeuge sowie Daten zu den jeweiligen Aufenthaltszeiten an bestimmten Orten unbegrenzt erhoben und ausgewertet werden. Gestützt auf eine Betriebsvereinbarung, eine Einwilligung des Arbeitnehmers oder betriebliche Erfordernisse und unter Beachtung der Datenverarbeitungsgrundsätze der Datenschutzgrundverordnung (DSGVO), ist die Verarbeitung von GPS-Daten dennoch möglich.

Das Wichtigste in Kürze

• Als rechtliche Grundlage für das GPS-Tracking kommt grundsätzlich eine Einwilligung, ein berechtigtes Interesse des Arbeitgebers oder die Erforderlichkeit zur Durchführung des Arbeitsverhältnisses in Betracht.
• Dem Betriebsrat steht im Hinblick auf die Einführung von GPS-Überwachungsmaßnahmen nach § 87 Abs. 1 Nr. 6 BetrVG ein Mitbestimmungsrecht zu.
• Eine heimliche GPS-Überwachung ist grundsätzlich unzulässig.
• Auch bei der Verarbeitung von GPS-Daten sind die Grundsätze der Zweckbindung, Transparenz und der Datensparsamkeit ebenso wie die Informations- und Löschpflichten der DSGVO zu beachten.

GPS-Daten sind personenbezogene Daten im Sinne der DSGVO

GPS steht für Global Positioning System und beschreibt die globale Bestimmung der Position einer Person oder eines Gegenstandes mithilfe von Satelliten. Demnach sind unter GPS-Daten solche Daten zu verstehen, die Aufschluss über den Aufenthaltsort eines Geräts oder einer Person ermöglichen. So werden GPS-Daten spätestens dann zu personenbezogenen Daten, wenn das Gerät, dessen geografische Position lokalisiert wird, einer Person zugeordnet werden kann. Da der Aufenthaltsort generell Rückschlüsse auf das Verhalten eines Menschen ermöglicht, ist der Anwendungsbereich der DSGVO eröffnet. Selbst wenn die Zuordnung eines Geräts zu einer Person nur für einen kurzen Zeitraum möglich ist, liegt durch die Geolokalisierung und die Möglichkeit der Zuordnung ein personenbezogenes Datum vor.

Rechtsgrundlagen beim GPS-Tracking

Wie jede Datenverarbeitung, erfordert auch das GPS-Tracking eine Rechtsgrundlage. Diese kann in der Einwilligung der betroffenen Person, dem berechtigten Interesse des Arbeitgebers oder aufgrund der Erforderlichkeit zur Durchführung des Arbeitsverhältnisses liegen.

Auch wenn eine Einwilligung nach Art. 6 Abs. 1 S. 1 lit. a) DSGVO generell dazu geeignet ist, jede denkbare Datenverarbeitung zu legitimieren, bestehen im Arbeitsverhältnis hohe Anforderungen an ihre Abgabe. Denn aufgrund des arbeitgeberseitigen Weisungsrechts hält der Gesetzgeber es für naheliegend, dass es bei einer Einwilligung durch die Mitarbeiter an der Freiwilligkeit fehlen könnte.

Neben der Einwilligung kommt grundsätzlich auch Art. 6 Abs. 1 S. 1 lit. f) DSGVO als Grundlage in Betracht. Danach ist eine Verarbeitung personenbezogener Daten dann zulässig, wenn sie zur Wahrung der berechtigten Interessen des Arbeitgebers erforderlich ist und keine überwiegenden Interessen oder Grundrechte und Grundfreiheiten des Arbeitnehmers, die dem Schutz personenbezogener Daten dienen, entgegenstehen. Ein berechtigtes Interesse des Arbeitgebers kann etwa beim Schutz vor Diebstahl oder zum Zwecke der Optimierung von Abläufen angenommen werden. So konnten Unternehmen bisher in zulässigerweise GPS-Tracking beispielsweise dazu einsetzen, um Aufträge nach Standortnähe zu vergeben. Als unzulässig wurde demgegenüber bisher das Tracking der Fahrtrouten von Beschäftigten angesehen, das überwiegend zum Zweck der Leistungs- und Verhaltenskontrolle erfolgt.

Darüber hinaus kann eine Verarbeitung der GPS-Daten von Beschäftigten auch auf § 26 BDSG gestützt werden, wonach die Verarbeitung von Bewegungsdaten, die mithilfe von Ortungssystemen gewonnen wurden, zulässig ist, wenn dies zum Zwecke der Durchführung des Arbeitsverhältnisses erforderlich ist und eine Interessenabwägung nicht zulasten des Arbeitnehmers geht.

Aktuell werden tausende Webseiten-Betreiber aufgrund der dynamischen Einbindung von Google Fonts auf ihren Websites abgemahnt und zur Zahlung einer Geldentschädigung in Höhe von 100 bis zu 500 Euro aufgefordert. Dabei handelt es sich bereits um die zweite Abmahnwelle in diesem Jahr. Auch diesmal sind die Abmahnungen auf das Urteil des Münchner Landgerichts vom 20. Januar 2022 (LG München I, Urteil v. 20.01.2022 – 3 O 17493/20) zurückzuführen. Demnach stünde einem Webseiten-Besucher, dessen personenbezogene Daten beim Aufrufen einer Webseite mit dynamischer Einbindung von Google Fonts, durch die ohne Einwilligung die IP-Adresse an den Google-Standort in den USA weitergeleitet wird, ein Anspruch auf Schadensersatz zu.

Das Wichtigste in Kürze

• Durch eine dynamischen Einbindung von Google Fonts wird eine automatische Verbindung mit den Google-Servern hergestellt und die IP-Adresse der Webseiten-Besucher übermittelt.
• Für die Erfassung und Übermittlung der IP-Adresse ist grundsätzlich eine Rechtsgrundlage i.S.d. DSGVO erforderlich.
• Die Übermittlung der dynamischen IP-Adresse eines Website-Besuchers an Googles US-Standort ohne eine Einwilligung im Sinne des Art. 6 Abs. 1 lit. a) DSGVO ist unzulässig.
• Betroffenen könnte ein Anspruch auf immateriellen Schadensersatz gem. Art. 82 DSGVO zustehen.

Unrechtmäßige Weitergabe personenbezogener Daten beim Einsatz von Google Fonts

Bei Google Fonts handelt es sich um ein interaktives Verzeichnis des US-amerikanischen Konzerns Google, das mittlerweile über 1.400 Schriftarten enthält, die Website-Betreibern lizenzfrei zur Verfügung gestellt werden. Betreiber binden das Verzeichnis auf ihrer Website ein, um den Besuchern den Zugriff auf die verschiedenen Schriftarten zu ermöglichen. Dabei haben sie zum einen die Möglichkeit, die Schriftarten herunterzuladen, lokal zu speichern und vom lokalen Server in den Internetauftritt einzubinden, wobei keine Verbindung zu Google-Servern aufgebaut wird. Zum anderen können die Schriften aber auch dynamisch in den Webauftritt eingebunden werden. Problematisch hierbei ist, dass der Aufruf einer Webseite im Falle einer dynamischen Einbindung von Google Fonts mit der Übermittlung personenbezogener Nutzerdaten in die USA einhergeht. Denn in der Praxis werden die Schriftarten regelmäßig auf der Webseite über einen Link eingebunden. Beim Aufruf der Webseite wird eine Verbindung zum Google-Server in den USA hergestellt und die benötigte Schriftart geladen. Mit dem Verbindungsaufbau erfolgt jedoch auch die Übermittlung der IP-Adresse des Webseiten-Besuchers an Google.

IP-Adressen sind personenbezogene Daten

Bereits vor einigen Jahren hat der Bundesgerichtshof bestätigt, dass es sich bei IP-Adressen um personenbezogene Daten i.S.d. DSGVO handelt. Begründet wird dies damit, dass Website-Betreiber mithilfe der IP-Adresse die abstrakte Möglichkeit haben, die dahinterstehende Person identifizieren zu lassen. Daher ist für ihre Erfassung und Übermittlung grundsätzlich eine Rechtsgrundlage erforderlich.

Nachdem die EU-Kommission am 13. Dezember 2022 den Grundstein für einen Angemessenheitsbeschluss gelegt hat, veröffentlichte das Europäische Zentrum für digitale Rechte „None of your business“ (kurz: Noyb) noch am selben Tag ein Statement zum Entwurf des Angemessenheitsbeschlusses. Der aktuelle Beschlussentwurf, in dem die EU-Kommission den USA ein angemessenes Datenschutzniveau bescheinigt, stellt bereits den dritten Versuch dar, den transatlantischen Datentransfer rechtssicher zu gestalten.

Das Wichtigste in Kürze

• Laut Noyb würde ein Angemessenheitsbeschluss nach derzeitigen Entwurf einer Überprüfung durch den EuGH nicht standhalten, da dieser sich auf die US-Executive Order vom Oktober 2022 stütze.
• Diese Executive Order werde den Anforderungen des EuGH nicht gerecht, da sie keine wesentlichen Änderungen zur bisherigen Rechtslage vorsehe und die Massenüberwachung durch die US-Geheimdienste nicht unterbinde.
• Der Datenschutzaktivist und Gründer von „Noyb“ Maximilian Schrems hat eine detaillierte Prüfung des Entwurfs angekündigt. Schrems brachte durch seine Klagen bereits die beiden vorhergehenden Versuche zur Regelung des transatlantischen Datenverkehrs mit den USA vor dem EuGH zu Fall.

Beachtung des Verhältnismäßigkeitsgrundsatzes und Möglichkeit eines wirksamen Rechtsbehelfs

Die neue Angemessenheitsentscheidung soll den Privacy Shield ersetzen, der vor zweieinhalb Jahren vom EuGH für ungültig erklärt wurde. In seinem „Schrems II“-Urteil kritisierte der EuGH, dass die Überwachungsmaßnahmen der US-Geheimdienste entsprechend Art. 52 Charta der Grundrechte (GrCh) auf ein verhältnismäßiges Maß reduziert werden müsse und entsprechend Art. 47 GrCh ein Rechtsbehelfsmechanismus geschaffen werden müsse, bevor den USA ein angemessenes Datenschutzniveau attestiert werden könne.

„Noyb“ schließt „Schrems III“ nicht aus

Maximilian Schrems äußerte bereits unmittelbar nach Veröffentlichung der US-Executive Order im Oktober 2022 Bedenken im Hinblick auf eine Nachfolgelösung. Und auch unmittelbar nach Veröffentlichung des Entwurfs eines Angemessenheitsbeschlusses der EU-Kommission reagiert Schrems skeptisch. Nach Auffassung des Datenschützers sei das Ergebnis der Verhandlungen über einen multilateralen Vertrag zur Gewährleistung eines einheitlichen Datenschutzniveaus noch nicht zufriedenstellend. Schrems hat angekündigt, den Entwurf einer detaillierten Prüfung zu unterziehen, jedoch zeige bereits eine oberflächliche Betrachtung, dass ein Angemessenheitsbeschluss nach derzeitigen Entwurf einer Überprüfung des EuGH nicht standhalten werde, da dieser sich auf die bereits begutachtete Executive Order stütze. Sollte der Angemessenheitsbeschluss nach dem Entwurf entlassen werden, könnte es bereits das dritte EU-US-Abkommen sein, das vor dem EuGH scheitert.

Immer mehr Gerichte müssen sich mit DSGVO-Schadensersatzansprüchen auseinandersetzen. Vor allem solchen, die aufgrund von immateriellen Schäden geltend gemacht werden. So hatte sich auch das Landgericht Köln (Urteil vom 28.09.2022, Az. O 21/22) kürzlich mit einer Klage auf Zahlung eines Schmerzensgeldes wegen eines DSGVO-Verstoßes zu befassen. Im zu entscheidenden Fall wurden im Rahmen einer Vertragsabwicklung personenbezogene Daten des Betroffenen an dessen Arbeitgeber weitergeleitet. Das Gericht sprach dem Betroffenen eine Entschädigung von 4.000 EUR zu..

Das Wichtigste in Kürze

• Die Übersendung einer E-Mail mit Vertragsdaten an den unbeteiligten Vorgesetzten des Betroffenen stellt einen gravierenden Datenschutzverstoß dar.
• Der Schmerzensgeldanspruch folgt aus einem Verstoß gegen Art. 6 Abs. 1 DSGVO.
• Durch die unberechtigte Weitergabe der Vertragsdaten liegt im konkreten Fall sowohl ein gravierender DSGVO-Verstoß als auch ein erheblicher und damit ersatzpflichtiger Schaden vor.
• Das beklagte Unternehmen muss sich als Verantwortlicher den Datenschutzverstoß des handelnden Verkäufers zurechnen lassen.

PKW-Kauf bei einem Konkurrenten des Arbeitgebers

Der Betroffene erwarb vom beklagten Unternehmen, das u.a. im Verkauf von PKW- und Bankprodukten tätig ist, einen Pkw für den Privatgebrauch. Dabei handelte es sich um ein Konkurrenzunternehmen des Arbeitgebers des Betroffenen. Die Kommunikationsabwicklung lief auf Wunsch des Betroffenen über sein geschäftliches E-Mail-Postfach. Nachdem es Probleme mit der Finanzierung des PKW gab, weil Unterlagen zu Nebeneinkünften des Betroffenen fehlten, wurde er schriftlich zur Vervollständigung aufgefordert. Der Betroffene reagierte hierauf jedoch erst nach seiner Urlaubsrückkehr. In der Zwischenzeit kontaktierte der Verkaufsberater bereits den Vorgesetzten des Betroffenen per E-Mail, um diesen dazu zu bringen, auf die Vertragserfüllung durch seinen Arbeitnehmer einzuwirken. Dies war mit erheblichen Unannehmlichkeiten für den Kläger verbunden, insbesondere weil er das Auto bei einem Konkurrenzunternehmen seines Arbeitgebers erwarb. Der Betroffene machte daraufhin gerichtlich ein Schmerzensgeld in Höhe von mind. 100.000 EUR geltend.

Datenschutzverstoß durch die Weitergabe personenbezogener Daten eines Vertragspartners an dessen Vorgesetzten

Das LG Köln teilte die Ansicht des Klägers, wonach die Übersendung der E-Mail an den Vorgesetzten des Käufers einen gravierenden Datenschutzverstoß darstellt, sodass dem Betroffenen gegen die Beklagte als Verantwortliche i.S.d. DSGVO, ein Anspruch auf Zahlung eines immateriellen Schadensersatzes aus Art. 82 DSGVO zusteht. Der Schmerzensgeldanspruch folgt aus einem Verstoß des Angestellten der Verantwortlichen gegen Art. 6 Abs. 1 DSGVO. Dadurch, dass der Verkäufer die streitgegenständliche E-Mail an den Arbeitgeber des Betroffenen versendete, lag eine Verarbeitung personenbezogener Daten des Betroffenen vor.

Eine Verarbeitung im Sinne der DSGVO kann grundsätzlich durch jede Verwendung, daher auch die Offenlegung durch Übermittlung, Verbreitung oder jede andere Form der Bereitstellung vorliegen. Da es für die Offenlegung des Vertragsverhältnisses zwischen der Verantwortlichen und dem Betroffenen gegenüber dem Vorgesetzten des Betroffenen keinen Grund gab und somit keine Rechtsgrundlage i.S.d. Art. 6 Abs. 1 DSGVO, war die Datenverarbeitung unrechtmäßig.

Insbesondere war die Offenlegung nicht für die Erfüllung des Vertrages mit dem Betroffenen erforderlich (Art. 6 Abs. 1 lit. b) DSGVO). Dies hätte einen unmittelbaren Zusammenhang zwischen der Verarbeitung und dem konkreten Zweck des Vertragsverhältnisses vorausgesetzt, der in diesem Fall nicht gegeben war. Der Betroffene schloss den Vertrag zu privaten Zwecken ab, ohne jegliche Miteinbeziehung seines Vorgesetzten, der im Übrigen auch nicht für die private Lebensführung des Betroffenen verantwortlich ist. Vielmehr hätte dem Handelnden klar sein müssen, dass die Offenlegung der Geschäftsbeziehung zu einem Konkurrenzunternehmen für den Betroffenen mit Unannehmlichkeiten verbunden sein könnte, die sich auf die Vertragsdurchführung negativ auswirken dürfte. Zu erwähnen ist weiterhin, dass es sich bei den offengelegten Vertragsinformationen zwar um keine sensiblen und höchstpersönlichen Daten des Betroffenen handelte, das Gericht allerdings aufgrund der Umstände ein Geheimhaltungsinteresse des Betroffenen annahm.

Bereits im Juni des vergangenen Jahres veröffentlichte die EU-Kommission neue Standarddatenschutzklauseln (Standard Contractual Clauses, kurz: SCC) für internationale Datentransfers, die spätestens bis zum 27. Dezember 2022 auch bei Bestandsübermittlungen übernommen werden müssen. Daraus ergeben sich einige Konsequenzen für europäische Unternehmen, vor allem diejenigen, die auf US-Dienste zugreifen. Nicht nur, dass die Altverträge unwirksam werden. Vielmehr müssen Unternehmen in naher Zukunft mit behördlichen Prüfungen der internationalen Datentransfers rechnen. In diesem Zusammenhang weisen die deutschen Datenschutzbehörden kurz vor Ablauf der Altverträge darauf hin, dass Übermittlungen personenbezogener Daten an Unternehmen in Drittstaaten oder internationale Organisationen ohne geeignete Garantien durch behördliche Anordnungen unterbunden werden können und Sanktionen nicht ausgeschlossen sind.

Das Wichtigste in Kürze

• Die Übermittlung personenbezogener Daten ins EU-Ausland, wie insbesondere der USA, wird in der Praxis häufig auf Standarddatenschutzklauseln gem. Art. 46 Abs. 2 lit. c) DSGVO gestützt.
• Die EU-Kommission hat am 04. Juni 2021 neue Standarddatenschutzklauseln verabschiedet.
• Die Verwendung alter Standardvertragsklauseln ist seit dem 27. September 2021 unzulässig.
• Altverträge müssen bis zum 27. Dezember 2022 angepasst bzw. erneuert werden.

Datentransfer in Drittländer ohne Angemessenheitsbeschluss

Da sich Unternehmen im EU-Ausland außerhalb des Geltungsbereichs der DSGVO befinden, sind sie grundsätzlich nur an ihr nationales Recht gebunden. Da dieses in den meisten Fällen das europäische Datenschutzniveau unterschreitet, können für den Datentransfer europäischer Unternehmen in Drittstaaten, für die kein Angemessenheitsbeschluss vorliegt, sogenannte Standarddatenschutzklauseln gem. Art. 46 Abs. 2 lit. c) DSGVO verwendet werden. Bei den Standarddatenschutzklauseln handelt es sich um Vertragsmuster, die von der Europäischen Kommission verabschiedet wurden. Diese ermöglichen eine vertragliche Vereinbarung über die Einhaltung des europäischen Datenschutzstandards zwischen Datenexporteuren und -importeuren. Werden SCC verwendet, so bedarf die Übermittlung personenbezogener Daten in Drittstaaten oder an internationale Organisationen keiner weiteren aufsichtsbehördlichen Genehmigung.

Erfordernis neuer Standarddatenschutzklauseln

In seiner bahnbrechenden Schrems II-Entscheidung hat der EuGH (Rechtssache C‑311/18) nicht nur das EU-US-Privacy Shield für ungültig erklärt. Vielmehr hat er auch im Hinblick auf die Verwendung von Standarddatenschutzklauseln die Anforderungen an den Drittlandsdatentransfer unter Berücksichtigung der Art. 44 ff. DSGVO verschärft. Die neuen SCC der EU-Kommission werden den Vorgaben des Urteils insoweit gerecht als sie einen strengeren Maßstab angemessene und geeignete Garantien sowie erforderliche Rechtsbehelfe vorsehen, um sicherzustellen, dass Datenempfänger einen ausreichenden Schutz europäischer Daten im Drittland gewährleisten.

Im vergangenen Jahr erhielten viele Webseitenbetreiber Abmahnschreiben aufgrund der dynamischen Einbindung von Google Fonts. Auslöser der Abmahnwelle war ein Urteil des LG München I (Urteil v. 20.01.2022, Az. 3 O 17493/20), in dem einem Webseitenbesucher ein Anspruch auf DSGVO-Schadensersatz in Höhe von 100 Euro zugesprochen wurde (Mehr dazu lesen Sie hier.). Sowohl eine Vielzahl an Privatpersonen als auch Abmahnkanzleien haben sich die Argumentation des Urteils zu eigen gemacht, um Schadensersatz einzufordern. Einer der Hauptabmahner war Medienberichten zufolge der Rechtsanwalt Kilian Lenard, der im Auftrag eines Mandanten massenhaft Abmahnungen an Webseitenbetreiber versendete und diese zur Kasse bat – und zwar mit großem Erfolg. Ein recht unscheinbares Urteil, das noch im vergangenen Jahr ergangen ist, könnte der Abmahnwelle nun ein Ende bereitet haben. Das Amtsgericht Charlottenburg hat den Schadensersatzanspruch eines betroffenen Webseiten-Besuchers wegen der Verwendung von Google Fonts auf einer von ihm besuchten Webseite verneint (Urteil v. 20.12.2022, Az. 217 C 64/22).

Das Wichtigste in Kürze

• Bei der dynamischen Einbindung von Google Fonts auf einer Website erfolgt eine Übermittlung der IP-Adresse der Webseitenbesucher an Google-Server in den USA.
• Dies verstößt regelmäßig gegen die DSGVO.
• Betroffenen steht daher generell ein Anspruch auf Schadensersatz zu.
• Das AG Charlottenburg hat den Schadensersatzanspruch eines Massenabmahners als unbegründet abgelehnt und damit möglicherweise das Ende einer Abmahnwelle eingeläutet.
• Das AG hielt auch den Einwand des Rechtsmissbrauchs nicht für ausgeschlossen. Auf diesen kam es aber letztlich nicht an.

Hintergrund

Das Landgericht München hat im vergangenen Jahr mit Urteil die Betreiberin einer Webseite für die dynamische Einbindung von Google Fonts auf ihrer Webseite neben Unterlassung zu einem Schadensersatz in Höhe von 100 Euro verurteilt.

Problem der dynamischen Einbindung von Google Fonts

Bei der dynamischen Einbindung von Google Fonts erfolgt eine Übertragung der IP-Adresse des jeweiligen Webseitenbesuchers an Google-Server in den USA. Dies geschieht regelmäßig ohne das Wissen des Webseitenbesuchers. Darin liegt ein Verstoß gegen die DSGVO. Da es sich bei der IP-Adresse um ein personenbezogenes Datum im Sinne der DSGVO handelt, ist für die Rechtmäßigkeit ihrer Verarbeitung grundsätzlich eine Rechtsgrundlage erforderlich. In der Praxis liegt regelmäßig weder eine datenschutzkonforme Einwilligung des Webseitenbesuchers vor, noch kann sich der Webseitenbetreiber auf ein berechtigtes Interesse i.S.d. Art. 6 Abs. 1 S. 1 lit. f) DSGVO berufen, da es an der Erforderlichkeit der Datenverarbeitung fehlt. Denn schließlich kann die Datenverarbeitung durch eine lokale Einbindung der Schriften unterbunden werden.

Allein in Deutschland kommt es täglich zu tausenden Verkehrsunfällen. In den meisten Fällen ist eine Regulierung des Schadens erforderlich. Um bei der potenziellen Geltendmachung von Schadensersatzansprüchen nicht in Beweisschwierigkeiten zu kommen, greifen mittlerweile viele Autofahrer auf sogenannte Dashcams zurück. Dabei handelt es sich um eine Videokamera, die am Fahrzeug angebracht wird, um das Verkehrsgeschehen aufzuzeichnen. Der Einsatz solcher Dashcams ist jedoch datenschutzrechtlich bedenklich, weshalb immer wieder gerichtlich darüber gestritten wird, ob die Aufzeichnung des Verkehrsgeschehens rechtlich zulässig ist und ob ggf. auch datenschutzwidrig gewonnene Aufnahmen als Beweismittel in einem Zivilprozess verwertet werden können. Erst kürzlich hat sich das Landesarbeitsgericht Düsseldorf (LAG Düsseldorf, Az. 13 Sa 624/22) im Rahmen eines Verfahrens mit diesen Fragen befasst und ein generelles Beweisverwertungsverbot im Hinblick auf anlasslos angefertigte Dashcam-Aufnahmen verneint.

Das Wichtigste in Kürze

• Anlassbezogene und kurzzeitige Dashcam-Aufzeichnung sind nach Auffassung des BGH und der deutschen Datenschutzbehörden datenschutzrechtlich zulässig.
• Das LAG Düsseldorf kam zu dem Ergebnis, dass bei anlasslos angefertigten Dashcam-Aufzeichnungen ein Datenschutzverstoß vorliegt.
• Dieser führe bei einer gebotenen Interessenabwägung im konkreten Einzelfall allerdings nicht zwingend zu einem Verwertungsverbot der Aufnahme im Zivilprozess.
• Dashcam-Nutzer sind gemäß § 4 Abs. 4 BDSG als Verantwortliche zur Erfüllung der Informationspflichten aus Art. 13 und Art. 14 DSGVO verpflichtet.

Hintergrund

Im Ausgangsfall begehrte ein städtischer Mitarbeiter von seinem Arbeitskollegen Schadensersatz in Höhe von ca. EUR 1.700 aufgrund einer mutwilligen Beschädigung seines Fahrzeugs. Der Kläger hatte sein Fahrzeug auf einem städtischen Parkplatz geparkt. Nachdem er einige Stunden später zu seinem geparkten Fahrzeug zurückgekehrt war, wies die Beifahrerseite einen langen Kratzer auf. Vor Gericht warf der Kläger dem beklagten Arbeitskollegen, der neben ihm geparkt hatte, eine mutwillige Sachbeschädigung vor. Die behauptete Sachbeschädigung stützte er auf eine Ton- und Bildaufnahme durch eine an seinem Fahrzeug installierte Dashcam. Das Kamerasystem, das sich laut dem Kläger bei Bewegungen im unmittelbaren Umfeld des Fahrzeugs einschalte, habe kurze Zeit nach dem Einparkvorgang des Beklagten ein Kratzgeräusch aufgenommen. Nach Auffassung des Klägers könne das Geräusch aufgrund von Intensität und Geräuschmuster nur von einem mutwilligen Zerkratzen seines Wagens durch den Beklagten stammen. Der Beklagte bestritt die behauptete Sachbeschädigung, die auf der Aufnahme nicht zusehen war, und widersprach der Verwertung der Bild- und Tonaufnahme. Zum einen sei die Aufnahme seiner Auffassung nach nicht geeignet, die behauptete Sachbeschädigung nachzuweisen, zum anderen stelle die anlasslose Anfertigung von Bild- und Tonaufnahmen durch die installierte Dashcam einen Datenschutzverstoß dar.

Vergleich vor dem LAG Düsseldorf

Nachdem das Arbeitsgericht in der Vorinstanz die Klage abwiesen hatte, weil es auch im Falle einer Verwertung der angebotenen Dashcam-Aufnahmen nicht genügend Anhaltspunkte für eine Verurteilung als gegeben ansah, landete der Fall vor dem LAG Düsseldorf. Das LAG Düsseldorf kam zwar zu dem Ergebnis, dass durch die anlasslose Aufzeichnung des Umfelds mittels Dashcam wohl ein Datenschutzverstoß vorliege. Dieser führe bei der gebotenen Interessenabwägung allerdings nicht zu einem Beweisverwertungsverbot. Die Rechte des Klägers seien durch die Aufnahme im Vergleich zu der im Raum stehenden Sachbeschädigung nur geringfügig verletzt. Die Parteien verzichteten auf eine Beweisaufnahme und einigten sich auf Vorschlag des Gerichts.

Seit der Einführung des KI-Sprachmodells ChatGPT durch OpenAI, hat dieses eine massive Nutzung erfahren. Sowohl Privatpersonen als auch Unternehmen greifen vermehrt auf die KI-Software zurück, um Ihre Dienste und Produkte zu verbessern. Gleichzeitig gibt es noch viele offene Fragen im Hinblick auf die Verwendung des Chatbots (Wir berichten hier.). Daher gerät ChatGPT immer mehr ins Visier der europäischen Datenschützer. Ein wesentliches Problem bei der Verwendung des Chatbots besteht darin, dass unklar ist, in welchem Umfang, zu welchen Zwecken und insbesondere auf welcher Rechtsgrundlage die Verarbeitung der personenbezogenen Daten der Nutzer stattfindet. Die italienische c.

Das Wichtigste in Kürze

• Die italienische Datenschutzbehörde hat am 30. März ein landesweites Verbot für die Dienste von ChatGPT ausgesprochen.
• Grund dafür sind Datenschutzverstöße und mangelhafter Jugendschutz.
• Die Betreiber des Chatbots haben nun Zeit, um Abhilfemaßnahmen zu ergreifen, dann wird eine Rückkehr ab 30. April in Aussicht gestellt.
• Verbraucherschutzorganisationen rufen die europäischen Mitgliedstaaten und Institutionen zur näheren Untersuchung von ChatGPT auf.

Italienische Datenschutzbehörde verhängt landesweites ChatGPT-Verbot

In einer Pressemitteilung vom 31. März 2023 gab die italienische Datenschutzbehörde (Garante per la Protezione dei Dati Personali, „Garante“) bekannt, dass sie am 30. März einen Bescheid erlassen hat, in dem eine vorübergehende Untersagung der Verarbeitung personenbezogener Daten von Nutzern aus Italien durch OpenAI angeordnet wurde.

Grund dafür sind mehrere datenschutzrechtliche Bedenken, die sich infolge einer Datenpanne, die am 20. März gemeldet wurde, bestätigt haben. Konkret sollen von der Datenpanne Kommunikationsdaten der ChatGPT-Nutzer und Informationen über Zahlungsvorgänge der Abonnenten des Dienstes betroffen gewesen sein. OpenAI zufolge sei die Datenpanne auf einen Fehler in einer für ChatGPT verwendeten Software zurückzuführen.

Verstöße gegen Datenschutzrecht und unzureichender Jugendschutz

In Ihrer Anordnung beanstandet die Behörde, dass den Nutzern, deren personenbezogene Daten von Open AI verarbeitet werden, keine Informationen zur Verfügung gestellt werden, sodass weitestgehend unklar bleibt, wie mit den Daten umgegangen wird, wer diese wie lange speichert und zu welchem Zweck dies erfolgt. Besonders problematisch sei ferner die Tatsache, dass unklar bleibt, welche Inhalte ChatGPT zu Trainingszwecken verwendet und dass es an einer Rechtsgrundlage für die massenhafte Erhebung und Verarbeitung der Nutzerdaten zum Training der Algorithmen fehlt. Da die Dienste intransparent arbeiten, ist es nur schwer, die Zulässigkeit der stattfindenden Datenverarbeitungen zu beurteilen.

Die Behörde teilte darüber hinaus mit, Überprüfungen durchgeführt zu haben, die gezeigt hätten, dass die von ChatGPT bereitgestellten Informationen nicht immer richtig sind, sodass ein Verstoß gegen das Prinzip der Datenrichtigkeit vorliege.

Zudem fehle es an einem Mechanismus zur Altersprüfung der Nutzer. Der Software fehlt eine Zugangsschranke für Nutzer unter 13 Jahren. Diese ist allerdings zwingend erforderlich, um sicherzustellen, dass Kindern keine unangebrachten Informationen bei der Verwendung des Tools angezeigt werden. Noch liege es in der alleinigen Verantwortung der Eltern und Erziehungsberechtigten darauf zu achten, dass eine Verwendung des Tools ausschließlich unter Aufsicht verwendet wird und insbesondere, dass die Kinder keine persönlichen Informationen eingeben werden.

Italien ist somit das erste europäische Land, welches den Zugang zu dem Chatbot sperrt.

Dabei handelt es sich jedoch zunächst um eine vorläufige Sperrung. Die Betreiber des Chatbots hatten insgesamt 20 Tage Zeit, um geeignete Abhilfemaßnahmen zu ergreifen und der Behörde vorzustellen. OpenAI hat jedoch angekündigt, dieser Anordnung Folge zu leisten und die Aufsichtsbehörde zeigt sich bereit, ChatGPT zum 30. April wieder zu erlauben.

Kurz nachdem die EU-Kommission im Dezember 2022 ihren Entwurf eines Angemessenheitsbeschlusses für den Drittlanddatentransfer in die USA veröffentlicht hat, haben sich viele Datenschützer kritisch geäußert. Dennoch besteht auf beiden Seiten des Atlantiks weiterhin die Hoffnung, dass im Hinblick auf den EU-US-Datentransfer endlich Rechtssicherheit geschaffen wird. Nun fordert der Ausschuss des EU-Parlaments für bürgerliche Freiheiten, Justiz und Inneres (engl. Committee on Civil Liberties, Justice and Home Affairs, kurz: LIBE) die Kommission in einer aktuellen Stellungnahme nachdrücklich dazu auf, den Entwurf des EU-US Data Privacy Frameworks nicht anzunehmen.

Das Wichtigste in Kürze

• Die EU-Kommission hat im Dezember 2022 den Entwurf eines neuen Angemessenheitsbeschlusses für die Übermittlung personenbezogener Daten in die USA veröffentlicht.
• Der Ausschuss des Europäischen Parlaments wird die Europäische Kommission in einer Stellungnahme dazu auffordern, den möglichen Angemessenheitsbeschluss auf der Grundlage des vorgeschlagenen EU-US-Datenschutzrahmens nicht anzunehmen.
• Auch der Europäische Datenschutzausschuss identifiziert verbesserungswürdige Punkte, spricht sich allerdings nicht gegen die Annahme des Entwurfs aus.
• Die Stellungnahmen des EU-Parlaments und des Europäischen Datenschutzausschusses sind für die EU-Kommission nicht bindend.

Betrieb von Facebook Fanpages nicht datenschutzkonform

Unternehmen, öffentliche Stellen oder Personen des öffentlichen Lebens verwenden Facebook Fanpages für die eigene Präsentation auf der Social Media Plattform „Facebook“. Davon abzugrenzen sind die persönlichen Facebook Profile der registrierten Nutzerinnen und Nutzer, die Privatpersonen zugeordnet sind.

Der Betrieb von Facebook Fanpages ist aus datenschutzrechtlicher Sicht problematisch, da Meta als Betreiber des Dienstes „Facebook“ die Daten der Nutzerinnen und Nutzer nicht ausschließlich zum Zweck der Bereitstellung eines sozialen interaktiven Netzwerks verarbeitet, sondern auch zu Werbezwecken. Insoweit fehlt es an einer geeigneten Rechtsgrundlage für die DSGVO-konforme Datenverarbeitung. Die Nutzerdaten dienen dazu, „passgenaue“ Werbung im Auftrag von Unternehmen, Verbänden oder öffentlichen Stellen schalten zu können. Für die Betreiber einer Fanpage besteht ein Interesse an der Verarbeitung personenbezogener Daten der Besucher ihrer Seite, da sie durch dieses Geschäftsmodell den Dienst von Facebook kostenlos nutzen und durch die gezielte Ansprache eines selektiven Nutzerkreises auf ihre Seite aufmerksam machen können. Die Möglichkeit der gezielten Ansprache von Nutzern stellt einen großen Mehrwert dar, den die Betreiber über ihre eigene Internetpräsenz nicht auf diese Weise erreichen können.

Hintergrund

Etwa zweieinhalb Jahre nachdem das Privacy Shield durch den EuGH (Urteil vom 16.07.2020, Rs. C 311/18) für ungültig erklärt wurde, hat die EU-Kommission den Entwurf eines neuen Angemessenheitsbeschlusses veröffentlicht, in dem sie gem. Art. 45 DSGVO feststellt, dass die USA ein angemessenes Schutzniveau für personenbezogene Daten bietet. Das Trans-Atlantic Data Privacy Framework soll den sicheren Datenverkehr zwischen der EU und den USA fördern und die datenschutzrechtlichen Bedenken ausräumen, die seit dem Schrems II-Urteil des EuGH bestehen. In diesem Urteil stellte der EuGH fest, dass die Zugriffsbefugnisse der US-Geheimdienste zu umfassend sind und entsprechend Art. 52 Charta der Grundrechte (GrCh) auf ein verhältnismäßiges Maß reduziert werden müssen. Zudem haben die Richter festgestellt, dass ein Rechtsbehelfsmechanismus geschaffen werden muss, bevor den USA ein angemessenes Datenschutzniveau attestiert werden kann (mehr dazu lesen Sie hier und hier.).