Microsoft 365 gehört sowohl im unternehmerischen als auch im öffentlichen Bereich zu den meistgenutzten cloudbasierten Office-Anwendungen. Jedoch bestehen seit längerer Zeit Zweifel an der Datenschutzkonformität der Nutzung der Software-Produkte, die sich spätestens seit dem Schrems II-Urteil des EuGH verstärkt haben (Urteil vom 16. Juli 2020, Rs. C-311/18). Seit Jahren sprechen sich die deutschen Datenschutzbehörden gegen die Nutzung der Online-Tools aus. So kommt das Gremium der unabhängigen Datenschutzbehörden des Bundes und der Länder, der sogenannten Datenschutzkonferenz (DSK) auch in seiner diesjährigen Zwischenkonferenz vom 22. September 2022 wieder zu dem Ergebnis, dass ein rechtskonformer Einsatz des Office-Pakets Microsoft 365, das von Unternehmen, Behörden und Schulen eingesetzt wird, ohne zusätzliche technische Maßnahmen nicht in möglich ist.
Das Wichtigste in Kürze
- Die DSK kommt im Rahmen ihrer Untersuchung von Microsoft 365 zu dem Ergebnis, dass ein datenschutzkonformer Einsatz nicht möglich sei.
- Die überarbeitete Fassung des Auftragsverarbeitungsvertrages liefere weiterhin nicht die notwendige Transparenz.
- Es sei nicht erkennbar, welche Daten von dem US-Unternehmen für eigene Zwecke verarbeitet werden bzw. verarbeitet werden können.
- Das Ergebnis der Untersuchung der DSK stellt kein formales Verbot des Einsatzes von Microsoft 365 dar, da es sich um einen unverbindlichen Beschluss handelt.
Das Problem beim Einsatz von Microsoft 365
Das Problem beim Einsatz von Microsoft 365 ist seit jeher, dass im Rahmen der Nutzung eine große Menge an personenbezogenen Daten für verschiedene Zwecke verarbeitet werden und oft nicht überschaubar ist, ob und welche Datendirekt an den Softwareanbieter in den USA übermittelt werden. Seitdem der EuGH in seiner Schrems II-Entscheidung das EU-US-Privacy Shield für ungültig erklärt hat, ist eine Datenübermittlung in die USA mit dem europäischen Datenschutzrecht zudem nur noch schwer vereinbar.
Untersuchung der Microsoft-Onlinedienste im Jahr 2020
Die DSK hat bereits im Jahr 2020 einen Bericht veröffentlicht, in dem sie auf Basis der Ergebnisse einer von ihr durchgeführten Untersuchung der Lizenz- und Datenschutzbestimmungen der Microsoft-Onlinedienste zu dem Ergebnis kam, dass ein datenschutzkonformer Einsatz der Softwareprodukte nicht möglich ist. Bei der Untersuchung nahmen die Behörden insbesondere die Einhaltung der Anforderungen von Art. 28 DSGVO ins Visier. Art. 28 DSGVO regelt die Verarbeitung personenbezogener Daten durch einen Auftragsverarbeiter. Darunter sind z.B. Unternehmen zu verstehen, die personenbezogene Daten vom Verantwortlichen zum Zwecke der auftragsgebundenen und weisungsabhängigen Datenverarbeitung erhalten. Die DSGVO stellt an dieses Vorgehen hohe Anforderungen. Als Softwaredienstleister ist Microsoft auch ausweislich der Lizenzbedingungen Auftragsverarbeiter i.S.d. Art. 28 DSGVO. Auftraggeber ist dabei jeweils das die Dienste nutzende Unternehmen.
Nachprüfung aufgrund einer neuen Fassung des Auftragsverarbeitungsvertrages
Der Softwaredienstleister hat im September eine neue Version des „Microsoft Products and Services Date Protektion Addendum“, in dem unter anderem die neuen Standardvertragsklauseln der EU-Kommission übernommen wurden, veröffentlicht. Dies nahmen die Behörden zum Anlass, eine neue Bewertung von Microsoft 365 vorzunehmen.
Insbesondere hat Microsoft nähere Angaben dazu gemacht, welche Daten zu eigenen Zwecken genutzt werden. So werden beispielsweise statistische Daten, die keinen Personenbezug aufweisen, aus pseudonymisierten Daten aggregiert, um daraus anschließend Statistiken zu erstellen. Auf Inhalte von Kundendaten erfolge kein Zugriff. Zwecke, die bisher aufgezählt wurden, wie der Kampf gegen Betrug oder Cyberkriminalität, werden nicht mehr aufgeführt.
DSGVO-konformer Einsatz aufgrund fehlender Transparenz nicht möglich
Auch wenn Microsoft zwischenzeitlich Besserungen des Produkts im Hinblick auf den Datenschutz vorgenommen hat, sei es dem Unternehmen nicht gelungen, die DSGVO-Konformität des Produkts sicherzustellen, so die Datenschützer.
Von zentraler Bedeutung war unter anderem die Frage der Behörden, in welchen Fällen Microsoft als Auftragsverarbeiter tätig ist und wann eine eigene Verantwortlichkeit im Sinne der DSGVO vorliegt. Dies konnte im Rahmen der Zusammenarbeit mit Microsoft nicht abschließend geklärt werden.
Problematisch ist dies auch deshalb, weil Verantwortliche i.S.d. Art. 5 Abs. 2 DSGVO zur Rechenschaft verpflichtet sind. Beim Einsatz von Microsoft 365 gestaltet sich der Nachweis der Einhaltung der DSGVO-Vorgaben auch auf Grundlage des „Datenschutznachtrags“ weiterhin schwierig, da der Dienstleister nicht vollumfänglich offenlegt, welche Verarbeitungen im Einzelnen stattfinden. Die überarbeitete Fassung des Auftragsverarbeitungsvertrages liefert nach Auffassung der Datenschutzbehörden immer noch nicht die notwendige Transparenz, da nicht erkennbar ist, welche Daten von dem US-Unternehmen für eigene Zwecke verwendet werden können, sodass sich nicht prüfen lässt, ob alle Verarbeitungsschritte rechtmäßig sind.
Zusätzliche Maßnahmen erforderlich
Der Bundesdatenschutzbeauftragte kündigte an, dass die Datenschutzbehörden in Einzelfällen prüfen müssen, ob nicht doch ein datenschutzkonformer Einsatz möglich ist. Dies betrifft den Umgang mit Biometrie-, Diagnose und Telemetriedaten. Zudem wäre es denkbar, eine Mikrovirtualisierung oder einen Proxyserver einzusetzen, um verhindern zu können, dass die genannten Daten zu Microsoft abfließen. Jedenfalls sollte das Softwarepaket nicht ohne zusätzliche Schutzmaßnahmen auf dem Rechner genutzt werden.
Verantwortliche müssen ausreichende Datenschutz-Garantien prüfen
Nach der DSGVO dürfen Verantwortliche grundsätzlich nur solche Dienstleister beauftragen, die ausreichende Garantien für den Datenschutz bieten. Daher liegt es im Verantwortungsbereich des Unternehmens, dies vor dem Einsatz von Microsoft-Produkten zu prüfen. Für den Einsatz der Dienste ist zu empfehlen, die Programmeinstellungen zur Verbesserung der Benutzerfreundlichkeit zu deaktivieren und Diagnosedaten in den Einstellungen auf die Mindestmenge zu beschränken. Selbstverständlich sollten Auftragsverarbeitungsverträge unter Beachtung der neuen Standardvertragsklauseln abgeschlossen und eine Datenschutzfolgenabschätzung durchgeführt werden. Letztlich sollten sämtliche Maßnahmen umfassend dokumentiert werden, um im Falle einer behördlichen Prüfung nachweisen zu können, dass man als Verantwortlicher sämtliche Maßnahmen getroffen hat, die im Rahmen der Nutzung von Microsoft 365 möglich sind.
Kein formelles Verbot des Einsatzes von Microsoft 365
Der Beschluss der DSK stellt kein formales Verbot des Einsatzes von Microsoft 365 dar, da die Beschlüsse der DSK nicht rechtsverbindlich sind. Zudem handelt es sich bei er aktuellen Veröffentlichung der DSK nicht um eine vollständige Datenschutzbewertung des Cloud-Dienstes Microsoft 365, sondern lediglich um eine Bewertung der Datenschutzbestimmungen als Teil der Nutzungsverträge für Microsoft 365. Dennoch können und werden einzelne Aufsichtsbehörden der Bundesländer die Bewertung zum Anlass nehmen, um den Einsatz der Dienste intensiver zu überprüfen.
Ausblick
An der datenschutzrechtlichen Bewertung der Softwareprodukte durch die DSK hat sich nichts geändert. Der Einsatz von Microsoft 365 ist und bleibt damit grundsätzlich ein Risiko für Unternehmen und muss genau geprüft werden. Insoweit besteht nicht nur das Risiko einer Prüfung durch die Datenschutzbehörden, die im gravierendsten Fall mit einem empfindlichen Bußgeld enden kann. Vielmehr könnten auch Kunden des Unternehmens, das Microsoft 365-Dienste einsetzt, Betroffenenrechte geltend machen. Es ist zu erwarten, dass Bund und Länder unterschiedlich mit dem Beschluss umgehen werden. Konkrete Maßnahmen, insbesondere Sanktionen sind in nächster Zeit noch nicht zu erwarten. Vielmehr werden die Behörde zunächst in den Dialog mit den Unternehmen gehen, um gemeinsam Lösungsmöglichkeiten oder Alternativen zu erörtern. Dennoch sollten sich Verantwortliche jetzt schon mit der Thematik auseinandersetzen und auf eine datenschutzkonforme Lösung hinarbeiten, die je nach Nutzungsumfang durchaus möglich sein kann.
GPS-Überwachung kann im Arbeitsleben äußerst hilfreich sein, insbesondere wenn es darum geht, die Verwendung von Firmenfahrzeugen oder anderen Betriebsmitteln zu überwachen oder die Gewinne des eigenen Unternehmens zu maximieren. Jedoch sorgt der Einsatz von Ortungssystemen im Arbeitsverhältnis im Hinblick auf die datenschutzrechtliche Zulässigkeit für Bedenken. Nicht selten kommt die Besorgnis auf, dass Arbeitgeber Bewegungsdaten zu einer umfassenden Überwachung ihrer Beschäftigten einsetzen, indem beispielsweise die Fahrt- und Standortdaten von Firmenfahrzeuge sowie Daten zu den jeweiligen Aufenthaltszeiten an bestimmten Orten unbegrenzt erhoben und ausgewertet werden. Gestützt auf eine Betriebsvereinbarung, eine Einwilligung des Arbeitnehmers oder betriebliche Erfordernisse und unter Beachtung der Datenverarbeitungsgrundsätze der Datenschutzgrundverordnung (DSGVO), ist die Verarbeitung von GPS-Daten dennoch möglich.
Das Wichtigste in Kürze
- Als rechtliche Grundlage für das GPS-Tracking kommt grundsätzlich eine Einwilligung, ein berechtigtes Interesse des Arbeitgebers oder die Erforderlichkeit zur Durchführung des Arbeitsverhältnisses in Betracht.
- Dem Betriebsrat steht im Hinblick auf die Einführung von GPS-Überwachungsmaßnahmen nach § 87 Abs. 1 Nr. 6 BetrVG ein Mitbestimmungsrecht zu.
- Eine heimliche GPS-Überwachung ist grundsätzlich unzulässig.
- Auch bei der Verarbeitung von GPS-Daten sind die Grundsätze der Zweckbindung, Transparenz und der Datensparsamkeit ebenso wie die Informations- und Löschpflichten der DSGVO zu beachten.
GPS-Daten sind personenbezogene Daten im Sinne der DSGVO
GPS steht für Global Positioning System und beschreibt die globale Bestimmung der Position einer Person oder eines Gegenstandes mithilfe von Satelliten. Demnach sind unter GPS-Daten solche Daten zu verstehen, die Aufschluss über den Aufenthaltsort eines Geräts oder einer Person ermöglichen. So werden GPS-Daten spätestens dann zu personenbezogenen Daten, wenn das Gerät, dessen geografische Position lokalisiert wird, einer Person zugeordnet werden kann. Da der Aufenthaltsort generell Rückschlüsse auf das Verhalten eines Menschen ermöglicht, ist der Anwendungsbereich der DSGVO eröffnet. Selbst wenn die Zuordnung eines Geräts zu einer Person nur für einen kurzen Zeitraum möglich ist, liegt durch die Geolokalisierung und die Möglichkeit der Zuordnung ein personenbezogenes Datum vor.
Rechtsgrundlagen beim GPS-Tracking
Wie jede Datenverarbeitung, erfordert auch das GPS-Tracking eine Rechtsgrundlage. Diese kann in der Einwilligung der betroffenen Person, dem berechtigten Interesse des Arbeitgebers oder aufgrund der Erforderlichkeit zur Durchführung des Arbeitsverhältnisses liegen.
Auch wenn eine Einwilligung nach Art. 6 Abs. 1 S. 1 lit. a) DSGVO generell dazu geeignet ist, jede denkbare Datenverarbeitung zu legitimieren, bestehen im Arbeitsverhältnis hohe Anforderungen an ihre Abgabe. Denn aufgrund des arbeitgeberseitigen Weisungsrechts hält der Gesetzgeber es für naheliegend, dass es bei einer Einwilligung durch die Mitarbeiter an der Freiwilligkeit fehlen könnte.
Neben der Einwilligung kommt grundsätzlich auch Art. 6 Abs. 1 S. 1 lit. f) DSGVO als Grundlage in Betracht. Danach ist eine Verarbeitung personenbezogener Daten dann zulässig, wenn sie zur Wahrung der berechtigten Interessen des Arbeitgebers erforderlich ist und keine überwiegenden Interessen oder Grundrechte und Grundfreiheiten des Arbeitnehmers, die dem Schutz personenbezogener Daten dienen, entgegenstehen. Ein berechtigtes Interesse des Arbeitgebers kann etwa beim Schutz vor Diebstahl oder zum Zwecke der Optimierung von Abläufen angenommen werden. So konnten Unternehmen bisher in zulässigerweise GPS-Tracking beispielsweise dazu einsetzen, um Aufträge nach Standortnähe zu vergeben. Als unzulässig wurde demgegenüber bisher das Tracking der Fahrtrouten von Beschäftigten angesehen, das überwiegend zum Zweck der Leistungs- und Verhaltenskontrolle erfolgt.
Darüber hinaus kann eine Verarbeitung der GPS-Daten von Beschäftigten auch auf § 26 BDSG gestützt werden, wonach die Verarbeitung von Bewegungsdaten, die mithilfe von Ortungssystemen gewonnen wurden, zulässig ist, wenn dies zum Zwecke der Durchführung des Arbeitsverhältnisses erforderlich ist und eine Interessenabwägung nicht zulasten des Arbeitnehmers geht.
Mitbestimmungsrecht des Betriebsrats und Abschluss einer Betriebsvereinbarung
In diesem Zusammenhang sollte auch der Betriebsrat nicht außen vor gelassen werden. Diesem steht im Hinblick auf die Einführung von GPS-Überwachungsmaßnahmen nach § 87 Abs. 1 Nr. 6 BetrVG ein Mitbestimmungsrecht zu. Zudem können Betriebsrat und Arbeitgeber eine Betriebsvereinbarung zum GPS-Monitoring treffen, die als rechtliche Grundlage dient und die Umstände einer zulässigen Erhebung und Verarbeitung von Bewegungsdaten festlegt. Für den Fall, dass kein Betriebsrat vorhanden ist, kommt eine schriftliche Selbstbindungserklärung des Arbeitgebers oder ein Zusatz zum individuellen Arbeitsvertrag in Betracht.
Keine heimliche GPS-Überwachung
Eine heimliche GPS-Überwachung ist demgegenüber grundsätzlich unzulässig. Eine solche könnte ausnahmsweise nur dann in Betracht kommen, wenn bereits konkrete Anhaltspunkte dafür vorliegen, dass ein Beschäftigter im Rahmen des Arbeitsverhältnisses strafbare Handlungen vornimmt.
Art und Weise der Zeiterfassung bleibt jedoch offen
Da seitens des BAG noch keine Begründung der Entscheidung vorliegt, bleibt offen, in welcher Art und Weise die Zeiterfassung zu erfolgen hat. Diesbezüglich gab es weder in dem damaligen EuGH-Urteil noch in dem derzeitigen Beschluss des BAG Konkrete Vorgaben.
Beachtung der Grundsätze der Datenverarbeitung und Informationspflichten
Letztlich müssen auch im Hinblick auf die Verarbeitung von Bewegungsdaten die Datenverarbeitungsgrundsätze der DSGVO eingehalten werden. Demnach sollte die Datenverarbeitung immer zweckgebunden und nicht anlasslos erfolgen. Entsprechend dem Grundsatz der Datenminimierung sollten so wenig Daten wie möglich erhoben, verarbeitet und gespeichert werden. Schließlich sind die Informations- und Löschpflichten der DSGVO zu beachten.
Fazit
Der Erhebung und Verwertung von GPS-Daten sind sowohl durch das Arbeitsrecht als auch durch die DSGVO enge Grenzen gesetzt. Gestützt auf eine Betriebsvereinbarung, eine Einwilligung des Arbeitnehmers oder betriebliche Erfordernisse und unter Beachtung der Datenverarbeitungsgrundsätze der DSGVO, ist die Verarbeitung von GPS-Daten dennoch möglich. Sofern GPS-Tracking zur Erhebung und Verarbeitung von Bewegungsdaten der Beschäftigten eingesetzt werden soll, sind dabei zwingend die Rechte der Beschäftigten zu berücksichtigen. Diese sind im Zweifel schutzwürdiger als das Interesse des Arbeitgebers. Ansonsten könnten Arbeitgebern neben arbeitsrechtlichen Konsequenzen Sanktionen seitens der Datenschutzaufsichtsbehörden drohen.
Aktuell werden tausende Webseiten-Betreiber aufgrund der dynamischen Einbindung von Google Fonts auf ihren Websites abgemahnt und zur Zahlung einer Geldentschädigung in Höhe von 100 bis zu 500 Euro aufgefordert. Dabei handelt es sich bereits um die zweite Abmahnwelle in diesem Jahr. Auch diesmal sind die Abmahnungen auf das Urteil des Münchner Landgerichts vom 20. Januar 2022 (LG München I, Urteil v. 20.01.2022 – 3 O 17493/20) zurückzuführen. Demnach stünde einem Webseiten-Besucher, dessen personenbezogene Daten beim Aufrufen einer Webseite mit dynamischer Einbindung von Google Fonts, durch die ohne Einwilligung die IP-Adresse an den Google-Standort in den USA weitergeleitet wird, ein Anspruch auf Schadensersatz zu.
Das Wichtigste in Kürze
- Durch eine dynamischen Einbindung von Google Fonts wird eine automatische Verbindung mit den Google-Servern hergestellt und die IP-Adresse der Webseiten-Besucher übermittelt.
- Für die Erfassung und Übermittlung der IP-Adresse ist grundsätzlich eine Rechtsgrundlage i.S.d. DSGVO erforderlich.
- Die Übermittlung der dynamischen IP-Adresse eines Website-Besuchers an Googles US-Standort ohne eine Einwilligung im Sinne des Art. 6 Abs. 1 lit. a) DSGVO ist unzulässig.
- Betroffenen könnte ein Anspruch auf immateriellen Schadensersatz gem. Art. 82 DSGVO zustehen.
Unrechtmäßige Weitergabe personenbezogener Daten beim Einsatz von Google Fonts
Bei Google Fonts handelt es sich um ein interaktives Verzeichnis des US-amerikanischen Konzerns Google, das mittlerweile über 1.400 Schriftarten enthält, die Website-Betreibern lizenzfrei zur Verfügung gestellt werden. Betreiber binden das Verzeichnis auf ihrer Website ein, um den Besuchern den Zugriff auf die verschiedenen Schriftarten zu ermöglichen. Dabei haben sie zum einen die Möglichkeit, die Schriftarten herunterzuladen, lokal zu speichern und vom lokalen Server in den Internetauftritt einzubinden, wobei keine Verbindung zu Google-Servern aufgebaut wird. Zum anderen können die Schriften aber auch dynamisch in den Webauftritt eingebunden werden. Problematisch hierbei ist, dass der Aufruf einer Webseite im Falle einer dynamischen Einbindung von Google Fonts mit der Übermittlung personenbezogener Nutzerdaten in die USA einhergeht. Denn in der Praxis werden die Schriftarten regelmäßig auf der Webseite über einen Link eingebunden. Beim Aufruf der Webseite wird eine Verbindung zum Google-Server in den USA hergestellt und die benötigte Schriftart geladen. Mit dem Verbindungsaufbau erfolgt jedoch auch die Übermittlung der IP-Adresse des Webseiten-Besuchers an Google.
IP-Adressen sind personenbezogene Daten
Bereits vor einigen Jahren hat der Bundesgerichtshof bestätigt, dass es sich bei IP-Adressen um personenbezogene Daten i.S.d. DSGVO handelt. Begründet wird dies damit, dass Website-Betreiber mithilfe der IP-Adresse die abstrakte Möglichkeit haben, die dahinterstehende Person identifizieren zu lassen. Daher ist für ihre Erfassung und Übermittlung grundsätzlich eine Rechtsgrundlage erforderlich.
LG München: Dynamische Einbindung von Google Fonts verstößt gegen die DSGVO
Als Rechtsgrundlage kommt in diesem Fall alleine eine vorherige Einwilligung des Webseiten-Besuchers in Frage. In den meisten Fällen liegt eine Einwilligung bei der Einbindung von Google Fonts jedoch nicht vor, sodass mangels einer rechtlichen Grundlage für die Erhebung und Weitergabe der IP-Adresse ein DSGVO-Verstoß vorliegt. Dies hat auch das LG München im Januar dieses Jahres mit einem Urteil bestätigt. Ein „berechtigtes Interesse“ des Website-Betreibers im Sinne des Art. 6 Abs. 1 lit. f) DSGVO als alternative Rechtsgrundlage schloss das Landgericht in diesem Fall richtigerweise aus. Schließlich kann Google Fonts vom Webseiten-Betreiber auch lokal eingesetzt werden, wodurch eine automatische Verbindung zum Google-Server und die Übermittlung der IP-Adresse verhindert wird. Diese deutlich datensparsamere Variante ist ohne wesentlich größeren Aufwand umsetzbar.
Nutzer war nicht zu Verschlüsselung seiner IP-Adresse verpflichtet
Ein Mitverschulden des klagenden Website-Besuchers hat das Gericht verneint. Dieser sei nicht zur Verschlüsselung seiner IP-Adresse im Vorfeld des Website-Besuchs verpflichtet gewesen. Begründet hat das Landgericht diese Entscheidung damit, dass ein solches Verlangen dem Zweck des Datenschutzrechts natürliche Personen bei der Verarbeitung ihrer Daten vor Beeinträchtigungen zu schützen zuwiderlaufen würde.
100 Euro DSGVO-Schadensersatz wegen „Unwohlsein“
Neben einem Unterlassungsanspruch sprach das Gericht dem Betroffenen auch einen Anspruch auf Schadensersatz gem. Art. 82 DSGVO in Höhe von 100 Euro zu. Den Anspruch begründete das Gericht mit dem Eingriff in das allgemeine Persönlichkeitsrecht des Betroffenen, das auf dem Kontrollverlust über sein an Google übermitteltes personenbezogenes Datum beruht. Zudem rechtfertige das damit verbundene Unwohlsein des Betroffenen einen Anspruch auf Schadensersatz. Dies gelte insbesondere unter Berücksichtigung der Tatsache, dass es sich bei Google um ein Unternehmen handele, das bekanntermaßen massenweise Daten seiner Nutzer sammelt, und dass in dem konkreten Fall eine mehrmalige Übermittlung der IP-Adresse stattfand und diese unstreitig an Google-Server in den USA übermittelt wurde, obwohl dort nach aktueller Rechtslage kein angemessenes Datenschutzniveau gewährleistet ist. Auf die Frage, ob das Erreichen bzw. Überschreiten einer Erheblichkeitsschwelle notwendige Voraussetzung eines Anspruchs auf immateriellen Schadensersatz ist, kam es im hiesigen Fall nach Auffassung des Gerichts nicht an, da diese jedenfalls durch die mehrmalige Weitergabe der IP-Adresse an Google überschritten wurde.
Abmahnwelle wegen angeblicher DSGVO-Verstößen
Viele Unternehmen erhalten aktuell Abmahnschreiben, die unter Berufung auf die Argumentation des Münchner Landgerichts Schadensersatzforderungen enthalten. Dabei geben die Aussteller an, die Website des Empfängers besucht zu haben, wobei ihre IP-Adresse aufgrund der Einbindung von Google Fonts an Google übermittelt worden sei.
Angesichts der derzeit dem EuGH vorliegenden Vorlagefragen in Sachen UI gegen Österreichische Post AG (Rechtssache C‑300/21) und des zugehörigen Schlussantrags des Generalanwalts, der einen Schadensersatz wegen „Unwohlseins“ ablehnt, ist es völlig unklar, ob andere Gerichte der Argumentation des Münchner Landgerichts zum Geldentschädigungsanspruch zukünftig folgen werden. Zumindest anwaltliche Abmahnschreiben sollten jedoch sicherheitshalber einer juristischen Prüfung unterzogen werden. Die Ausführungen der Schreiben sind jedoch, oft lückenhaft und nicht stichhaltig, da beispielsweise u.a. die Übermittlung der IP-Adresse nachgewiesen werden müsste. Außerdem könnte es sich gegebenenfalls um rechtsmissbräuchliche Schreiben handeln, wenn diese alleine darauf zurückzuführen sind, dass die angeblich Betroffenen(eventuell sogar automatisiert mittels Web-Crawler) die Website absichtlich und ausschließlich dazu aufgerufen haben, um anschließend etwaige Zahlungsansprüche geltend zu machen..
Fazit
Das Urteil des LG München macht deutlich, dass bei einer dynamischen Einbindung von Google Fonts das Risiko einer datenschutzrechtlichen Abmahnung besteht, die in der Regel mit einer Schadensersatzforderung einhergeht. Inzwischen sehen sich viele Webseiten-Betreiber mit Abmahnungen und Schadensersatzforderungen aufgrund dieses Urteils konfrontiert. Auch wenn die zugesprochene Summe von 100 Euro auf den ersten Blick nicht empfindlich zu sein scheint, ist zu bedenken, dass grundsätzlich jedem Webseiten-Besucher ein Schadensersatzanspruch zustehen könnte. Bei einer Vielzahl von Webseitenaufrufen dürfte regelmäßig ein hoher Betrag zusammenkommen, wenn alle Betroffenen einen Schadensersatzanspruch geltend machen würden. Darüber hinaus sollte nicht außer Acht gelassen werden, dass die vom Münchner Gericht aufgestellten Grundsätze auch auf andere Schriftartendienste übertragbar sind. Aus diesem Grund ist für Unternehmen – gleich welcher Größe – nun höchste Zeit, die Einbindung von Google Fonts sowie anderen US-Webdienste auf der eigenen Website zu überprüfen, um Abmahnungen und Entschädigungsansprüche der Webseiten-Nutzer zu vermeiden. Sofern US-Webdienste wie Google Fonts eingesetzt werden sollen, muss die statische Variante des Services, bei der die Schriftarten lokal abgespeichert werden, genutzt werden. Die Alternative der Nutzereinwilligung ist bei Schriftarten regelmäßig nicht praktizierbar. Schlussendlich sollte auf eine Abmahnung in diesem Bereich jedoch keinesfalls ohne Weiteres gezahlt werden, sondern immer zunächst anwaltlicher Rat eingeholt werden.
Nachdem die EU-Kommission am 13. Dezember 2022 den Grundstein für einen Angemessenheitsbeschluss gelegt hat, veröffentlichte das Europäische Zentrum für digitale Rechte „None of your business“ (kurz: Noyb) noch am selben Tag ein Statement zum Entwurf des Angemessenheitsbeschlusses. Der aktuelle Beschlussentwurf, in dem die EU-Kommission den USA ein angemessenes Datenschutzniveau bescheinigt, stellt bereits den dritten Versuch dar, den transatlantischen Datentransfer rechtssicher zu gestalten.
Das Wichtigste in Kürze
- Laut Noyb würde ein Angemessenheitsbeschluss nach derzeitigen Entwurf einer Überprüfung durch den EuGH nicht standhalten, da dieser sich auf die US-Executive Order vom Oktober 2022 stütze.
- Diese Executive Order werde den Anforderungen des EuGH nicht gerecht, da sie keine wesentlichen Änderungen zur bisherigen Rechtslage vorsehe und die Massenüberwachung durch die US-Geheimdienste nicht unterbinde.
- Der Datenschutzaktivist und Gründer von „Noyb“ Maximilian Schrems hat eine detaillierte Prüfung des Entwurfs angekündigt. Schrems brachte durch seine Klagen bereits die beiden vorhergehenden Versuche zur Regelung des transatlantischen Datenverkehrs mit den USA vor dem EuGH zu Fall.
Beachtung des Verhältnismäßigkeitsgrundsatzes und Möglichkeit eines wirksamen Rechtsbehelfs
Die neue Angemessenheitsentscheidung soll den Privacy Shield ersetzen, der vor zweieinhalb Jahren vom EuGH für ungültig erklärt wurde. In seinem „Schrems II“-Urteil kritisierte der EuGH, dass die Überwachungsmaßnahmen der US-Geheimdienste entsprechend Art. 52 Charta der Grundrechte (GrCh) auf ein verhältnismäßiges Maß reduziert werden müsse und entsprechend Art. 47 GrCh ein Rechtsbehelfsmechanismus geschaffen werden müsse, bevor den USA ein angemessenes Datenschutzniveau attestiert werden könne.
„Noyb“ schließt „Schrems III“ nicht aus
Maximilian Schrems äußerte bereits unmittelbar nach Veröffentlichung der US-Executive Order im Oktober 2022 Bedenken im Hinblick auf eine Nachfolgelösung. Und auch unmittelbar nach Veröffentlichung des Entwurfs eines Angemessenheitsbeschlusses der EU-Kommission reagiert Schrems skeptisch. Nach Auffassung des Datenschützers sei das Ergebnis der Verhandlungen über einen multilateralen Vertrag zur Gewährleistung eines einheitlichen Datenschutzniveaus noch nicht zufriedenstellend. Schrems hat angekündigt, den Entwurf einer detaillierten Prüfung zu unterziehen, jedoch zeige bereits eine oberflächliche Betrachtung, dass ein Angemessenheitsbeschluss nach derzeitigen Entwurf einer Überprüfung des EuGH nicht standhalten werde, da dieser sich auf die bereits begutachtete Executive Order stütze. Sollte der Angemessenheitsbeschluss nach dem Entwurf entlassen werden, könnte es bereits das dritte EU-US-Abkommen sein, das vor dem EuGH scheitert.
Vorgesehene Maßnahmen sind nicht ausreichend
Der im Oktober veröffentlichte Präsidialerlass, der die Grundlage des aktuellen Entwurfs bildet, wird nach Auffassung des Datenschützers den Anforderungen des EuGH nicht gerecht, da er keine wesentlichen Änderungen zur bisherigen Rechtslage vorsehe und die Massenüberwachung durch die US-Geheimdienste nicht unterbinde. Kritisch sei auch, dass der Beschlussentwurf auf einer Executive Order des US-Präsidenten gründet. Dabei handele es sich zwar um eine für die Exekutive bindende Verwaltungsanordnung. Allerdings könne diese jederzeit vom US-Präsidenten geändert werden.
Problem der Massenüberwachung besteht weiterhin
Trotz Zusicherung seitens der US-Regierung, die Überwachungsmaßnahmen unter Beachtung des Verhältnismäßigkeitsgrundsatzes auf ein notwendiges Maß zu beschränken, so wie es den Grundprinzipien des EU-Rechts entspricht, seien kaum Anzeichen dafür vorhanden, dass die Überwachungspraxis rechtlich und faktisch eingeschränkt werde. Im Detail moniert „Noyb“, dass die US-Regierung in der Durchführungsverordnung von Oktober sogar klargestellt habe, dass Daten aus der EU, die an US-Dienstleister übermittelt werden, weiterhin durch US-Überwachungsprogramme wie PRISM oder Upstream laufen werden, obwohl das Vorgehen bereits in zwei Urteilen (Schrems I, Schrems II) für unrechtmäßig erklärt wurde. Zwar haben sich die Regierungen darauf geeinigt, dass die Überwachungspraxis in Zukunft auf ein „verhältnismäßiges“ Maß beschränkt werde. Jedoch hätten sie es versäumt, das europäische Verständnis über die rechtliche Bedeutung dieses Begriffs zugrunde zu legen. Nur dann könne man davon ausgehen, dass die USA auch tatsächlich die Massenüberwachung grundlegend einschränken würde.
Effektivität der Rechtsbehelfe nicht gewährleistet
Im Hinblick auf den Grundsatz des Rechtsbehelfs, der von der EU-Grundrechtecharta (GrCh) in Art. 47 gefordert wird, sei in der Executive Order zwar ein sog. US Data Protection Review Court vorgesehen. Jedoch sei laut „Noyb“ überaus fraglich, ob diese als Gericht bezeichnete Stelle den Anforderungen des Art. 47 GrCh gerecht werde. Trotz der Bezeichnung als Gericht handele es sich im rechtlichen Sinne lediglich um eine Stelle der Exekutive, womit das System mehr ein Äquivalent zur früheren Ombudsstelle darstelle als ein echtes Gericht.
Ausblick
Der Entscheidungsentwurf befindet sich nun im Annahmeverfahren. Zunächst wird der Europäische Datenschutzausschuss (EDSA) den Entwurf überprüfen und Stellung nehmen. Sollte der EDSA zu einem ähnlichen Ergebnis wie die Datenschutzorganisation kommen, ist dies jedoch unerheblich, da negative Stellungnahmen des EDSA und der EU-Mitgliedstaaten für die EU-Kommission nicht bindend sind. Obgleich es durchaus einige nachvollziehbare Kritikpunkte gibt, stellt der Entwurf angesichts der seit Jahren herrschenden Rechtsunsicherheit für eine Vielzahl von EU- und US-Unternehmen eine begrüßenswerte Entwicklung in Richtung einer verlässlichen Lösung dar. Nun bleibt zunächst abzuwarten, ob der Entwurf in den nächsten Monaten in seiner jetzigen Fassung verabschiedet wird.
Immer mehr Gerichte müssen sich mit DSGVO-Schadensersatzansprüchen auseinandersetzen. Vor allem solchen, die aufgrund von immateriellen Schäden geltend gemacht werden. So hatte sich auch das Landgericht Köln (Urteil vom 28.09.2022, Az. O 21/22) kürzlich mit einer Klage auf Zahlung eines Schmerzensgeldes wegen eines DSGVO-Verstoßes zu befassen. Im zu entscheidenden Fall wurden im Rahmen einer Vertragsabwicklung personenbezogene Daten des Betroffenen an dessen Arbeitgeber weitergeleitet. Das Gericht sprach dem Betroffenen eine Entschädigung von 4.000 EUR zu..
Das Wichtigste in Kürze
- Die Übersendung einer E-Mail mit Vertragsdaten an den unbeteiligten Vorgesetzten des Betroffenen stellt einen gravierenden Datenschutzverstoß dar.
- Der Schmerzensgeldanspruch folgt aus einem Verstoß gegen Art. 6 Abs. 1 DSGVO.
- Durch die unberechtigte Weitergabe der Vertragsdaten liegt im konkreten Fall sowohl ein gravierender DSGVO-Verstoß als auch ein erheblicher und damit ersatzpflichtiger Schaden vor.
- Das beklagte Unternehmen muss sich als Verantwortlicher den Datenschutzverstoß des handelnden Verkäufers zurechnen lassen.
PKW-Kauf bei einem Konkurrenten des Arbeitgebers
Der Betroffene erwarb vom beklagten Unternehmen, das u.a. im Verkauf von PKW- und Bankprodukten tätig ist, einen Pkw für den Privatgebrauch. Dabei handelte es sich um ein Konkurrenzunternehmen des Arbeitgebers des Betroffenen. Die Kommunikationsabwicklung lief auf Wunsch des Betroffenen über sein geschäftliches E-Mail-Postfach. Nachdem es Probleme mit der Finanzierung des PKW gab, weil Unterlagen zu Nebeneinkünften des Betroffenen fehlten, wurde er schriftlich zur Vervollständigung aufgefordert. Der Betroffene reagierte hierauf jedoch erst nach seiner Urlaubsrückkehr. In der Zwischenzeit kontaktierte der Verkaufsberater bereits den Vorgesetzten des Betroffenen per E-Mail, um diesen dazu zu bringen, auf die Vertragserfüllung durch seinen Arbeitnehmer einzuwirken. Dies war mit erheblichen Unannehmlichkeiten für den Kläger verbunden, insbesondere weil er das Auto bei einem Konkurrenzunternehmen seines Arbeitgebers erwarb. Der Betroffene machte daraufhin gerichtlich ein Schmerzensgeld in Höhe von mind. 100.000 EUR geltend.
Datenschutzverstoß durch die Weitergabe personenbezogener Daten eines Vertragspartners an dessen Vorgesetzten
Das LG Köln teilte die Ansicht des Klägers, wonach die Übersendung der E-Mail an den Vorgesetzten des Käufers einen gravierenden Datenschutzverstoß darstellt, sodass dem Betroffenen gegen die Beklagte als Verantwortliche i.S.d. DSGVO, ein Anspruch auf Zahlung eines immateriellen Schadensersatzes aus Art. 82 DSGVO zusteht. Der Schmerzensgeldanspruch folgt aus einem Verstoß des Angestellten der Verantwortlichen gegen Art. 6 Abs. 1 DSGVO. Dadurch, dass der Verkäufer die streitgegenständliche E-Mail an den Arbeitgeber des Betroffenen versendete, lag eine Verarbeitung personenbezogener Daten des Betroffenen vor.
Eine Verarbeitung im Sinne der DSGVO kann grundsätzlich durch jede Verwendung, daher auch die Offenlegung durch Übermittlung, Verbreitung oder jede andere Form der Bereitstellung vorliegen. Da es für die Offenlegung des Vertragsverhältnisses zwischen der Verantwortlichen und dem Betroffenen gegenüber dem Vorgesetzten des Betroffenen keinen Grund gab und somit keine Rechtsgrundlage i.S.d. Art. 6 Abs. 1 DSGVO, war die Datenverarbeitung unrechtmäßig.
Insbesondere war die Offenlegung nicht für die Erfüllung des Vertrages mit dem Betroffenen erforderlich (Art. 6 Abs. 1 lit. b) DSGVO). Dies hätte einen unmittelbaren Zusammenhang zwischen der Verarbeitung und dem konkreten Zweck des Vertragsverhältnisses vorausgesetzt, der in diesem Fall nicht gegeben war. Der Betroffene schloss den Vertrag zu privaten Zwecken ab, ohne jegliche Miteinbeziehung seines Vorgesetzten, der im Übrigen auch nicht für die private Lebensführung des Betroffenen verantwortlich ist. Vielmehr hätte dem Handelnden klar sein müssen, dass die Offenlegung der Geschäftsbeziehung zu einem Konkurrenzunternehmen für den Betroffenen mit Unannehmlichkeiten verbunden sein könnte, die sich auf die Vertragsdurchführung negativ auswirken dürfte. Zu erwähnen ist weiterhin, dass es sich bei den offengelegten Vertragsinformationen zwar um keine sensiblen und höchstpersönlichen Daten des Betroffenen handelte, das Gericht allerdings aufgrund der Umstände ein Geheimhaltungsinteresse des Betroffenen annahm.
Datenschutzverstoß stellt entschädigungspflichtigen Schaden dar
Den Anspruch begründete das Gericht zum einen bereits mit dem schwerwiegenden Datenschutzverstoß. Zum anderen mit der dadurch bedingten Persönlichkeitsrechtsverletzung des Klägers sowie dem Kontrollverlust im Hinblick auf seine Daten. Die Weitergabe seiner Daten an seinen Arbeitgeber sei für diesen peinlich gewesen und mit erheblichen Unannehmlichkeiten verbunden. Der Betroffene sah sich infolgedessen genötigt, sich bei seinem Arbeitgeber für den Autokauf beim Konkurrenten rechtfertigen zu müssen.
Schadensersatz in Höhe von 4.000 EUR angemessen und erforderlich
Die unberechtigte Datenweitergabe rechtfertigt nach Auffassung des Gerichts ein Schmerzensgeld in Höhe von 4.000 EUR. Das Urteil bleibt damit hinter der beantragten Summer von mindestens 100.000 EUR deutlich zurück. Der Betroffene konnte die von ihm behaupteten Folgen des Datenschutzverstoßes nicht in vollem Umfang zur vollen Überzeugung des Gerichts darlegen. Insbesondere im Hinblick auf die behauptete Zerrüttung des Arbeitsverhältnisses sowie die Behauptung einer erlittenen Depression. Bei der Bemessung der Schmerzensgeldhöhe wurden darüber hinaus folgende Punkte berücksichtigt:
- Der Autohändler unterschrieb eine strafbewehrte Unterlassungserklärung und entschuldigte sich beim Betroffenen.
- Das Erreichen einer abschreckenden Wirkung entsprechend dem Sinn und Zweck des Art. 82 DSGVO, der in erster Linie der Kompensation des tatsächlich entstandenen Schadens dient, und nicht der Pönalisierung.
- Die finanzielle Situation des beklagten Unternehmens, da der Betroffene nur Ansprüche gegen das Unternehmen geltend machte und nicht gegen den Verkäufer.
- Da keine Angaben zu der finanziellen Situation des beklagten Unternehmens gemacht wurden, konnte sich das Gericht bei der Bestimmung der Höhe nicht an einem potenziellen Bußgeld orientieren, das von der Aufsichtsbehörde noch verhängt werden könnte.
Haftung des Autohauses für den Datenschutzverstoß des Mitarbeiters
Das beklagte Unternehmen muss sich als Verantwortlicher den Datenschutzverstoß des handelnden Verkäufers zurechnen lassen. Eine Exkulpationsmöglichkeit nach Art. 82 Abs. 3 DSGVO war nicht ersichtlich. Auch die Tatsache, dass sich das Unternehmen darauf beruft, der Angestellte habe bei der Datenweitergabe keine Schädigungsabsicht gehabt, war in dem zu entscheidenden Fall unerheblich, da das Verschulden keine Voraussetzung des Anspruchs aus Art. 82 DSGVO ist.
Fazit
Es herrscht weiterhin Uneinigkeit darüber, ob bereits jeder DSGVO-Verstoß einen ersatzfähigen Schaden darstellt bzw. wie erheblich ein Schaden infolge eines DSGVO-Verstoßes sein muss, um einen Schmerzensgeldanspruch aus Art. 82 DSGVO begründen zu können. Daher wurde diese Frage bereits vor einiger Zeit dem EuGH zur Vorabentscheidung vorgelegt. Der zuständige EuGH-Generalanwalt hat kürzlich seine Schlussanträge in der Sache (Rs. C-300/21) vorgestellt, die für weitere Diskussionen gesorgt haben. Darin vertritt er die Auffassung, dass nicht bereits der bloße Unmut über einen DSGVO-Verstoß einen Schadensersatzanspruch nach Art. 82 DSGVO auslöse. Der EuGH muss diese Einschätzung zwar nicht teilen, allerdings folgen die Richter in über 80 Prozent der Fälle den Schlussanträgen der Generalanwälte. Daher kann eine entsprechende Entscheidung nicht ausgeschlossen werden. Doch selbst unter Berücksichtigung der in vielen Punkten konturlosen Ausführungen des Generalanwalts war im vorliegenden Fall offenkundig sowohl ein erheblicher Datenschutzverstoß als auch ein Schaden, der über bloßen Ärger hinausgeht, und damit eine Bagatellgrenze überschreitet, gegeben. Auch die zugesprochene Höhe von 4.000 EUR zeigt, welche Auswirkungen Datenschutzverletzungen haben können. Das Urteil unterstreicht die zunehmende Bedeutung von DSGVO-Schadensersatzansprüchen in der Praxis.
Bereits im Juni des vergangenen Jahres veröffentlichte die EU-Kommission neue Standarddatenschutzklauseln (Standard Contractual Clauses, kurz: SCC) für internationale Datentransfers, die spätestens bis zum 27. Dezember 2022 auch bei Bestandsübermittlungen übernommen werden müssen. Daraus ergeben sich einige Konsequenzen für europäische Unternehmen, vor allem diejenigen, die auf US-Dienste zugreifen. Nicht nur, dass die Altverträge unwirksam werden. Vielmehr müssen Unternehmen in naher Zukunft mit behördlichen Prüfungen der internationalen Datentransfers rechnen. In diesem Zusammenhang weisen die deutschen Datenschutzbehörden kurz vor Ablauf der Altverträge darauf hin, dass Übermittlungen personenbezogener Daten an Unternehmen in Drittstaaten oder internationale Organisationen ohne geeignete Garantien durch behördliche Anordnungen unterbunden werden können und Sanktionen nicht ausgeschlossen sind.
Das Wichtigste in Kürze
- Die Übermittlung personenbezogener Daten ins EU-Ausland, wie insbesondere der USA, wird in der Praxis häufig auf Standarddatenschutzklauseln gem. Art. 46 Abs. 2 lit. c) DSGVO gestützt.
- Die EU-Kommission hat am 04. Juni 2021 neue Standarddatenschutzklauseln verabschiedet.
- Die Verwendung alter Standardvertragsklauseln ist seit dem 27. September 2021 unzulässig.
- Altverträge müssen bis zum 27. Dezember 2022 angepasst bzw. erneuert werden.
Datentransfer in Drittländer ohne Angemessenheitsbeschluss
Da sich Unternehmen im EU-Ausland außerhalb des Geltungsbereichs der DSGVO befinden, sind sie grundsätzlich nur an ihr nationales Recht gebunden. Da dieses in den meisten Fällen das europäische Datenschutzniveau unterschreitet, können für den Datentransfer europäischer Unternehmen in Drittstaaten, für die kein Angemessenheitsbeschluss vorliegt, sogenannte Standarddatenschutzklauseln gem. Art. 46 Abs. 2 lit. c) DSGVO verwendet werden. Bei den Standarddatenschutzklauseln handelt es sich um Vertragsmuster, die von der Europäischen Kommission verabschiedet wurden. Diese ermöglichen eine vertragliche Vereinbarung über die Einhaltung des europäischen Datenschutzstandards zwischen Datenexporteuren und -importeuren. Werden SCC verwendet, so bedarf die Übermittlung personenbezogener Daten in Drittstaaten oder an internationale Organisationen keiner weiteren aufsichtsbehördlichen Genehmigung.
Erfordernis neuer Standarddatenschutzklauseln
In seiner bahnbrechenden Schrems II-Entscheidung hat der EuGH (Rechtssache C‑311/18) nicht nur das EU-US-Privacy Shield für ungültig erklärt. Vielmehr hat er auch im Hinblick auf die Verwendung von Standarddatenschutzklauseln die Anforderungen an den Drittlandsdatentransfer unter Berücksichtigung der Art. 44 ff. DSGVO verschärft. Die neuen SCC der EU-Kommission werden den Vorgaben des Urteils insoweit gerecht als sie einen strengeren Maßstab angemessene und geeignete Garantien sowie erforderliche Rechtsbehelfe vorsehen, um sicherzustellen, dass Datenempfänger einen ausreichenden Schutz europäischer Daten im Drittland gewährleisten.
Ablauf der alten Standardvertragsklauseln am 27. Dezember 2022
Mit der Verabschiedung der neuen Standarddatenschutzklauseln durch die EU-Kommission am 04. Juni 2021 wurde die alte Fassung der Standardvertragsklauseln für Verantwortliche aus dem Jahr 2001 und der Standardvertragsklauseln für Auftragsverarbeiter aus dem Jahr 2010 ersetzt. Aufgrund des hohen Organisationsaufwandes, der mit der Umstellung der alten Verträge einhergeht, sah der Durchführungsbeschluss der Kommission eine stufenweise Ablösung der alten Klauseln vor. Zunächst wurde festgelegt, dass die Verwendung alter Standardvertragsklauseln spätestens ab dem 27. September 2021 unzulässig ist. Seit diesem Zeitpunkt dürfen Verträge nur noch auf Grundlage der neuen Muster der Standardvertragsklauseln abgeschlossen werden. Für Verträge, die noch vor dem 27. September 2022 auf Grundlage der alten Muster geschlossen wurden, hat die Kommission einen angemessenen Übergangszeitraum zur Umstellung auf die neuen SCC vorgesehen. Dieser endet am 27. Dezember 2022. Bis zu diesem Zeitpunkt müssen sämtliche Altverträge umgestellt werden.
Modularer Aufbau der neuen SCC
Die neuen SCC sind modular aufgebaut. Verantwortliche und Auftragsverarbeiter können zusätzlich zu den allgemeinen Klauseln das für ihre Situation passende Modul auswählen. Die Module können für folgende Datentransferkonstellationen verwendet werden:
- Modul 1: Verantwortlicher an Verantwortlicher
- Modul 2: Verantwortlicher an Auftragsverarbeiter
- Modul 3: Auftragsverarbeiter an (Unter-)Auftragsverarbeiter
- Modul 4: Rückübermittlung des in der EU-ansässigen Auftragsverarbeiters an einen Verantwortlichen im Drittland
Die SCC werden grundsätzlich zwischen dem jeweiligen Datenexporteur und dem Datenimporteur abgeschlossen. Zudem besteht die Möglichkeit, den Vertrag als Mehrparteienvertrag zu gestalten. In diesem Fall ist darauf zu achten, dass sämtliche Datenflüsse zwischen den Vertragsparteien genau und transparent beschrieben sind.
Daneben enthalten die neuen SCC zusätzliche Verpflichtungen für Unternehmen im Hinblick auf den Umgang mit behördlichen Anfragen (Klausel 15 der neuen SCC), umfassende Haftungsregelungen und Dokumentationspflichten (Klauseln 14.d, 15.1.d und 15.2.b) sowie die Pflicht zur Durchführung einer Risikobewertung für den Datentransfer.
Die in den neuen SCC verankerte Prüfung der Rechtsvorschriften und -praktiken im Drittland muss beachtet werden, sodass der Datenexporteur im Vorfeld die Rechtslage und -praxis des Drittlands prüfen muss.
Gegebenenfalls ist er zur Ergreifung zusätzlicher Schutzmaßnahmen verpflichtet. Mit den Empfehlungen 01/2020 veröffentlichte der Europäische Datenschutzausschuss eine Hilfestellung mit praktischen Beispielen für zusätzliche Schutzmaßnahmen.
Im ungünstigsten Fall könnte er verpflichtet sein, von der Übermittlung ganz Abstand zu nehmen.
Überprüfung und Erneuerung der Verträge ist erforderlich
Auch wenn grundsätzlich die Möglichkeit der Anpassung alter Verträge besteht, ist es ratsam, neue Verträge mit den neuen Standarddatenschutzklauseln abzuschließen. Die Prüfung und Anpassung der Altverträge ist in den meisten Fällen mit größerem Aufwand verbunden und die alten und neuen Verträge unterscheiden sich auch in ihrem Aufbau.
Um bösen Überraschungen im Falle einer aufsichtsbehördlichen Kontrolle vorzubeugen, sollten spätestens jetzt einige Maßnahmen ergriffen werden:
- Neue SCC, die bereits abgeschlossen wurden, sollten in das Verarbeitungsverzeichnis aufgenommen werden.
- Altverträge sollten daraufhin untersucht werden, ob bzw. welche Datenübermittlungen in Drittländer ohne gültigen Angemessenheitsbeschluss stattfinden.
- Anhand bestehender Verträge ist zu ermitteln, welche Konstellationen von Datenübermittlungen gegeben sind und welche Module der neuen Standardvertragsklauseln anzuwenden sind.
- Ansonsten sollten Vertragspartner schnellstmöglich zwecks Abschluss neuer Verträge kontaktiert werden.
- Schließlich muss überprüft werden, ob der Datenempfänger im Drittland durch nationales Recht gezwungen sein könnte, gegen die Standardvertragsklauseln zu verstoßen (sog. Transfer Impact Assessment, kurz: TIA).
Europäischen Unternehmen stehen aufsichtsbehördliche Prüfungen bevor
Es ist zu erwarten, dass die deutschen Behörden in den nächsten Monaten länderübergreifend koordinierte Prüfungen internationaler Datentransfers starten werden, wie sie es auch schon in der Vergangenheit im Nachgang der Schrems-II-Entscheidung des EuGH taten. Dabei wurden zahlreiche Unternehmen mithilfe eines Fragenkatalogs zur Auskunftserteilung aufgefordert.
In diesem Zusammenhang haben bereits einige deutsche Datenschutzbehörden angedeutet, dass die Aufsichtsbehörden die Aussetzung solcher Datentransfers anordnen werden, die eine Übermittlung personenbezogener Daten in Drittländer zum Gegenstand haben, ohne dass dafür geeignete Datenschutzgarantien vorliegen. In einem solchen Fall ist auch die Verhängung eines Bußgeldes nicht ausgeschlossen.
Darüber hinaus sind weiterhin die vom EuGH im Schrems II-Urteil entwickelten zusätzlichen Anforderungen an die Verwendung von Standardvertragsklauseln zu beachten. Insofern hat der Datenexporteur auch bei der Verwendung der neuen Klauseln die Rechtslage des Drittlands zu prüfen und zu entscheiden, ob nicht zusätzliche Maßnahmen des Datenschutzes ergriffen werden müssen oder die Übermittlung nicht sogar eingestellt werden muss.
Fazit
Die neuen SCC haben das Ziel europäischen Unternehmen eine rechtskonforme und ungehinderte Übermittlung personenbezogener Daten in Drittländer ermöglichen. Völlige Rechtssicherheit kann jedoch auch mit ihnen regelmäßig nicht erlangt werden. Mit Blick auf das bevorstehende Fristende ist Verantwortlichen und Auftragsverarbeitern, die personenbezogene Daten in das außereuropäische Ausland übermitteln, dringend zu raten, bestehende Verträge zu überprüfen, ggf. anzupassen oder durch neue zu ersetzen, soweit dies noch nicht erfolgt ist.
„>
Im vergangenen Jahr erhielten viele Webseitenbetreiber Abmahnschreiben aufgrund der dynamischen Einbindung von Google Fonts. Auslöser der Abmahnwelle war ein Urteil des LG München I (Urteil v. 20.01.2022, Az. 3 O 17493/20), in dem einem Webseitenbesucher ein Anspruch auf DSGVO-Schadensersatz in Höhe von 100 Euro zugesprochen wurde (Mehr dazu lesen Sie hier.). Sowohl eine Vielzahl an Privatpersonen als auch Abmahnkanzleien haben sich die Argumentation des Urteils zu eigen gemacht, um Schadensersatz einzufordern. Einer der Hauptabmahner war Medienberichten zufolge der Rechtsanwalt Kilian Lenard, der im Auftrag eines Mandanten massenhaft Abmahnungen an Webseitenbetreiber versendete und diese zur Kasse bat – und zwar mit großem Erfolg. Ein recht unscheinbares Urteil, das noch im vergangenen Jahr ergangen ist, könnte der Abmahnwelle nun ein Ende bereitet haben. Das Amtsgericht Charlottenburg hat den Schadensersatzanspruch eines betroffenen Webseiten-Besuchers wegen der Verwendung von Google Fonts auf einer von ihm besuchten Webseite verneint (Urteil v. 20.12.2022, Az. 217 C 64/22).
Das Wichtigste in Kürze
- Bei der dynamischen Einbindung von Google Fonts auf einer Website erfolgt eine Übermittlung der IP-Adresse der Webseitenbesucher an Google-Server in den USA.
- Dies verstößt regelmäßig gegen die DSGVO.
- Betroffenen steht daher generell ein Anspruch auf Schadensersatz zu.
- Das AG Charlottenburg hat den Schadensersatzanspruch eines Massenabmahners als unbegründet abgelehnt und damit möglicherweise das Ende einer Abmahnwelle eingeläutet.
- Das AG hielt auch den Einwand des Rechtsmissbrauchs nicht für ausgeschlossen. Auf diesen kam es aber letztlich nicht an.
Hintergrund
Das Landgericht München hat im vergangenen Jahr mit Urteil die Betreiberin einer Webseite für die dynamische Einbindung von Google Fonts auf ihrer Webseite neben Unterlassung zu einem Schadensersatz in Höhe von 100 Euro verurteilt.
Problem der dynamischen Einbindung von Google Fonts
Bei der dynamischen Einbindung von Google Fonts erfolgt eine Übertragung der IP-Adresse des jeweiligen Webseitenbesuchers an Google-Server in den USA. Dies geschieht regelmäßig ohne das Wissen des Webseitenbesuchers. Darin liegt ein Verstoß gegen die DSGVO. Da es sich bei der IP-Adresse um ein personenbezogenes Datum im Sinne der DSGVO handelt, ist für die Rechtmäßigkeit ihrer Verarbeitung grundsätzlich eine Rechtsgrundlage erforderlich. In der Praxis liegt regelmäßig weder eine datenschutzkonforme Einwilligung des Webseitenbesuchers vor, noch kann sich der Webseitenbetreiber auf ein berechtigtes Interesse i.S.d. Art. 6 Abs. 1 S. 1 lit. f) DSGVO berufen, da es an der Erforderlichkeit der Datenverarbeitung fehlt. Denn schließlich kann die Datenverarbeitung durch eine lokale Einbindung der Schriften unterbunden werden.
AG Charlottenburg: Kein Anspruch auf Schadensersatz
Auch im Fall, den das Amtsgericht Charlottenburg zu entscheiden hatte, ging es um ein Abmahnschreiben des Rechtsanwalts Lenard im Auftrag von Martin Ismail. Darin wurde ein Webseitenbetreiber unter Androhung eines Gerichtsverfahrens zur Zahlung von 170,00 Euro aufgefordert. Konkret ging es um einen DSGVO-Schadensersatzanspruch wegen der vermeintlichen Verletzung des Persönlichkeitsrechts des Abmahnenden aufgrund einer fehlerhaften Einbindung von Google Fonts auf einer Webseite, die er zuvor besucht haben soll. Nachdem die Webseitenbetreiber das Forderungsschreiben der Kanzlei Lenard erhalten hatten, wollten sie gerichtlich festgestellt haben, dass der behauptete Anspruch nicht besteht. Das AG Charlottenburg bestätigte in einem recht kurzen Urteil, dass dem Abmahner kein Anspruch auf Zahlung von 170,00 Euro zusteht. Und zwar weder aus der DSGVO noch aus einer anderen Anspruchsgrundlage.
Betroffenen steht grundsätzlich ein Recht auf Schadensersatz zu
Da die DSGVO dem Schutz natürlicher Personen bei der Verarbeitung ihrer personenbezogenen Daten dient, sind Betroffene nach Art. 82 DSGVO generell berechtigt Schadensersatzansprüche geltend zu machen, wenn es zu Datenschutzverstößen bei der Verarbeitung ihrer personenbezogenen Daten kommt. Dies gilt allerdings nicht, wenn der Zweck des Anspruchs allein darin besteht, sich eine Einnahmequelle zu verschaffen, wie es vorliegend durch den Versand unzähliger Forderungsschreiben praktiziert wurde. So schloss auch das Amtsgericht Charlottenburg im zu entscheidenden Fall ein rechtsmissbräuchliches Vorgehen der Abmahner nicht aus.
Anspruch wurde nicht hinreichend begründet
Vor allem die Bedürfnisse von kleinen und mittleren Unternehmen werden berücksichtigt, indem durch die Verhaltensregel Prozesse und Vertragsinhalte vorgegeben werden. Dies schafft zugleich mehr Transparenz, da für Auftraggeber bereits im Vorfeld auf einen Blick ersichtlich ist, was sie erwartet.
Reduzierung des Verwaltungsaufwands
Schließlich lag es auf der Hand, dass das streitgegenständliche Forderungsschreiben Teil der Google-Fonts-Abmahnwelle ist, bei der die Abmahnungen im Wesentlichen von zwei Anwaltskanzleien an eine Vielzahl von Webseitenbetreibern versandt wurden. Es drängte sich der fachkundigen Öffentlichkeit schnell auf, dass für die Akteure nicht die Kompensation für die Verletzung des Persönlichkeitsrechts, sondern vielmehr die Erzielung von Gewinnen, im Vordergrund stand. Auf den wohl rechtsmissbräuchlichen Charakter der Forderung kam es im zu entscheidenden Fall allerdings schon gar nicht an, da es nach Auffassung des Gerichts bereits an einem nachvollziehbaren Vortrag des Beklagten sowohl hinsichtlich der schädigenden Handlung als auch der Höhe des begehrten Schadensersatzes mangelte. Welche Anforderungen das Gericht an einen solchen Vortrag stellt, hat es in seinem Urteil nicht ausgeführt. Insoweit hätte der Abmahner jedenfalls näher darlegen müssen, dass er die betreffende Webseite tatsächlich selbst aufgesucht hat und konkrete Tatsachen zur Begründung der Schadensersatzhöhe vorlegen müssen. Dieser war interessanterweise höher beziffert als der vom LG München zugesprochene Schadensersatz im oben angesprochenen Verfahren.
Ermittlungen der Generalstaatsanwaltschaft Berlin gegen Massenabmahner
Mittlerweile hat die Berliner Generalstaatsanwaltschaft Ermittlungen gegen Rechtsanwalt Lenard und seinen Mandanten Ismail aufgenommen. Den beiden wird gewerbsmäßiger Betrug und Erpressung in über 2000 Fällen vorgeworfen. Im Zuge der Durchsuchung konnte die Staatsanwaltschaft eine Gesamtsumme von 346.000 Euro beschlagnahmen.
Gezielter und automatisierter Aufruf von Webseiten, die Google Fonts verwenden
Die Generalstaatsanwaltschaft sah sich zu den Ermittlungen veranlasst, weil die betreffenden Webseiten entgegen der Behauptung des Anwalts nicht von seinem Mandanten besucht worden sein sollen. Die Beschuldigten sollen mithilfe eines eigens dafür programmierten Webcrawlers zunächst Webseiten, die Google-Fonts dynamisch einbinden, identifiziert und diese anschließend automatisiert aufgerufen haben. Da es sich bei einem solchen Webcrawler um keine reale Person handelt, ist der Anwendungsbereich der DSGVO bereits nicht eröffnet. Mangels einer Verletzung des Persönlichkeitsrechts lagen daher die Voraussetzungen der geltend gemachten Schmerzensgeldforderungen nicht vor, was den Beschuldigten bewusst gewesen sein soll.
Ausblick
Auch wenn der Schadensersatzanspruch im vorliegenden Fall versagt wurde, kommt ein solcher im Falle einer dynamischen Einbindung von Google Fonts generell in Betracht. Das Risiko einer datenschutzrechtlichen Abmahnung wird durch das Urteil somit nicht beseitigt. Dennoch ist die Entscheidung des AG Charlottenburg von gewisser Praxisrelevanz, da es das Ende der Abmahnwelle einläuten könnte. Webseitenbetreiber sollten nichtsdestotrotz zur lokalen Einbindung von Google Fonts wechseln, um Datenschutzverstöße und eine r damit zusammenhängenden Inanspruchnahme zu vermeiden. Alternativ wäre die Einholung einer Einwilligung der Webseitenbesucher erforderlich. Dies ist bei der Verwendung von Schriftarten jedoch regelmäßig nicht praktizierbar. Im Falle des Erhalts einer Abmahnung kann schließlich nur dazu geraten werden, diese anwaltlich überprüfen zu lassen, um weitere Risiken vermeiden zu können.
„>
Allein in Deutschland kommt es täglich zu tausenden Verkehrsunfällen. In den meisten Fällen ist eine Regulierung des Schadens erforderlich. Um bei der potenziellen Geltendmachung von Schadensersatzansprüchen nicht in Beweisschwierigkeiten zu kommen, greifen mittlerweile viele Autofahrer auf sogenannte Dashcams zurück. Dabei handelt es sich um eine Videokamera, die am Fahrzeug angebracht wird, um das Verkehrsgeschehen aufzuzeichnen. Der Einsatz solcher Dashcams ist jedoch datenschutzrechtlich bedenklich, weshalb immer wieder gerichtlich darüber gestritten wird, ob die Aufzeichnung des Verkehrsgeschehens rechtlich zulässig ist und ob ggf. auch datenschutzwidrig gewonnene Aufnahmen als Beweismittel in einem Zivilprozess verwertet werden können. Erst kürzlich hat sich das Landesarbeitsgericht Düsseldorf (LAG Düsseldorf, Az. 13 Sa 624/22) im Rahmen eines Verfahrens mit diesen Fragen befasst und ein generelles Beweisverwertungsverbot im Hinblick auf anlasslos angefertigte Dashcam-Aufnahmen verneint.
Das Wichtigste in Kürze
- Anlassbezogene und kurzzeitige Dashcam-Aufzeichnung sind nach Auffassung des BGH und der deutschen Datenschutzbehörden datenschutzrechtlich zulässig.
- Das LAG Düsseldorf kam zu dem Ergebnis, dass bei anlasslos angefertigten Dashcam-Aufzeichnungen ein Datenschutzverstoß vorliegt.
- Dieser führe bei einer gebotenen Interessenabwägung im konkreten Einzelfall allerdings nicht zwingend zu einem Verwertungsverbot der Aufnahme im Zivilprozess.
- Dashcam-Nutzer sind gemäß § 4 Abs. 4 BDSG als Verantwortliche zur Erfüllung der Informationspflichten aus Art. 13 und Art. 14 DSGVO verpflichtet.
Hintergrund
Im Ausgangsfall begehrte ein städtischer Mitarbeiter von seinem Arbeitskollegen Schadensersatz in Höhe von ca. EUR 1.700 aufgrund einer mutwilligen Beschädigung seines Fahrzeugs. Der Kläger hatte sein Fahrzeug auf einem städtischen Parkplatz geparkt. Nachdem er einige Stunden später zu seinem geparkten Fahrzeug zurückgekehrt war, wies die Beifahrerseite einen langen Kratzer auf. Vor Gericht warf der Kläger dem beklagten Arbeitskollegen, der neben ihm geparkt hatte, eine mutwillige Sachbeschädigung vor. Die behauptete Sachbeschädigung stützte er auf eine Ton- und Bildaufnahme durch eine an seinem Fahrzeug installierte Dashcam. Das Kamerasystem, das sich laut dem Kläger bei Bewegungen im unmittelbaren Umfeld des Fahrzeugs einschalte, habe kurze Zeit nach dem Einparkvorgang des Beklagten ein Kratzgeräusch aufgenommen. Nach Auffassung des Klägers könne das Geräusch aufgrund von Intensität und Geräuschmuster nur von einem mutwilligen Zerkratzen seines Wagens durch den Beklagten stammen. Der Beklagte bestritt die behauptete Sachbeschädigung, die auf der Aufnahme nicht zusehen war, und widersprach der Verwertung der Bild- und Tonaufnahme. Zum einen sei die Aufnahme seiner Auffassung nach nicht geeignet, die behauptete Sachbeschädigung nachzuweisen, zum anderen stelle die anlasslose Anfertigung von Bild- und Tonaufnahmen durch die installierte Dashcam einen Datenschutzverstoß dar.
Vergleich vor dem LAG Düsseldorf
Nachdem das Arbeitsgericht in der Vorinstanz die Klage abwiesen hatte, weil es auch im Falle einer Verwertung der angebotenen Dashcam-Aufnahmen nicht genügend Anhaltspunkte für eine Verurteilung als gegeben ansah, landete der Fall vor dem LAG Düsseldorf. Das LAG Düsseldorf kam zwar zu dem Ergebnis, dass durch die anlasslose Aufzeichnung des Umfelds mittels Dashcam wohl ein Datenschutzverstoß vorliege. Dieser führe bei der gebotenen Interessenabwägung allerdings nicht zu einem Beweisverwertungsverbot. Die Rechte des Klägers seien durch die Aufnahme im Vergleich zu der im Raum stehenden Sachbeschädigung nur geringfügig verletzt. Die Parteien verzichteten auf eine Beweisaufnahme und einigten sich auf Vorschlag des Gerichts.
BGH: Kein generelles Beweisverwertungsverbot bei Datenschutzverstößen
Mit seiner Rechtsauffassung folgt das Landesarbeitsgericht der Rechtsprechung des BGH. Dieser vertritt die Auffassung, dass Datenschutzverstöße nicht automatisch eine Unverwertbarkeit der Aufnahmen vor Gericht nach sich ziehen (BGH, Urteil vom 15. Mai 2018, Az. VI ZR 233/17). Der BGH begründete seine Auffassung damit, dass eine Dashcam ohnehin nur das aufzeichne, was jeder Teilnehmer selbst im öffentlichen Straßenverkehr wahrnehmen kann. Zudem sei der Dashcam-Einsatz sinnvoll, da er zur Aufklärung von Unfällen beitragen kann. Insofern ist eine Interessenabwägung im Einzelfall entscheidend.
Der Beweisführer hat ein Interesse an der Durchsetzung seiner zivilrechtlichen Ansprüche sowie an der Wahrung seines Rechts auf rechtliches Gehör und an einer funktionierenden Zivilrechtspflege. Dem stehen als Ausprägung des allgemeinen Persönlichkeitsrechts das Recht auf informationelle Selbstbestimmung und ggf. das Recht am eigenen Bild des Aufgezeichneten entgegen. Es kommt für die zivilprozessuale Verwertbarkeit also darauf an, ob die Interessen des Beweisführers die Interessen desjenigen, der von der Aufnahme erfasst wird, im konkreten Fall überwiegen.
Anlassbezogene und kurzzeitige Dashcam-Aufnahmen sind datenschutzrechtlich zulässig
Nach Auffassung des BGH sowie der deutschen Datenschutzbehörden ist der Einsatz von Dashcams zulässig. Allerdings nur in engen Grenzen. So sind nur anlassbezogene und kurzzeitige Dashcam-Aufzeichnung datenschutzrechtlich zulässig. Dementsprechend sind Kamerasysteme, die technisch so ausgestaltet sind, dass die erzeugten Aufnahmen in kurzen Abständen fortlaufend überschrieben werden und eine permanente Speicherung erst dann erfolgt, wenn es zu einer Kollision oder einem starken Bremsmanöver kommt, unter Beachtung der DSGVO-Grundsätze zulässig.
Rechtsprechung des BGH vom 15. Mai 2018
Zwar stützt sich der BGH bei seinen Ausführungen auf die alte Fassung des Bundesdatenschutzgesetzes. Allerdings hat sich durch das Inkrafttreten der DSGVO und der Neufassung des Bundesdatenschutzgesetzes am 25. Mai 2018 an der Rechtslage im Hinblick auf den Dashcam-Einsatz nichts geändert. Das Bundesdatenschutzgesetz konkretisiert und ergänzt die DSGVO. Die Zulässigkeitstatbestände des BDSG-neu und der DSGVO unterscheiden sich nur marginal von denjenigen der alten Fassung des BDSG, sodass sich an der Rechtsauffassung aufgrund des Inkrafttretens der DSGVO nichts geändert haben dürfte.
Rechtsgrundlage für die Aufzeichnung des Verkehrsgeschehens
Nach der DSGVO ist eine Datenverarbeitung nur dann zulässig, wenn eine entsprechende Rechtsgrundlage vorliegt. In Betracht kommt hier Art. 6 Abs. 1 lit. f) DSGVO. Danach ist die Verarbeitung personenbezogener Daten dann zulässig, wenn sie zur Wahrung berechtigter Interessen des Verantwortlichen oder eines Dritten erforderlich ist und Interessen, Grundrechte oder Grundfreiheiten des Betroffenen nicht überwiegen. Auf den konkreten Fall übertragen bedeutet dies, dass die Aufzeichnung des Verkehrsgeschehens mittels Dashcam nur dann zulässig ist, wenn die Interessen, Grundrechte oder Grundfreiheiten der anderen Verkehrsteilnehmer dem nicht überwiegend entgegenstehen.
Insoweit differenzieren die deutschen Datenschutzbehörden zwischen einer anlasslosen und einer anlassbezogenen Aufzeichnung (Vgl. Positionspapier der DSK zur Unzulässigkeit von Videoüberwachung aus Fahrzeugen). So überwiegen bei einer dauerhaften und anlasslosen Aufzeichnung stets die Interessen der überwiegend unbeteiligten Verkehrsteilnehmer. Eine solch weitgehende Aufzeichnung ist nach überwiegender Auffassung nicht erforderlich, da der Zweck der Datenverarbeitung, die präventive Sicherung von Beweisen für einen potenziellen Schadensfall, auch auf einem weniger datenintensiven Weg erreicht werden kann. Aus diesem Grund ist lediglich ein kurzzeitiger und anlassbezogener Mitschnitt des Verkehrsgeschehens rechtmäßig.
Erfüllung der Informationspflichten nach Art. 13 und 14 DSGVO beim Dashcam-Einsatz
Doch auch wenn eine anlassbezogene und kurzzeitige Aufzeichnung stattfindet, sind Dashcam-Nutzer gemäß § 4 Abs. 4 BDSG zur Erfüllung der Informationspflichten aus Art. 13 und Art. 14 DSGVO verpflichtet. Die DSGVO sieht vor, dass eine betroffene Person im Vorfeld einer Datenverarbeitung umfassend informiert wird. Zu den erforderlichen Informationen gehört beispielsweise der Zweck der Datenverarbeitung, die einschlägige Rechtsgrundlage und die Dauer der Speicherung der Daten. Eine DSGVO-konforme Information sämtlicher betroffener Verkehrsteilnehmer scheint für eine Privatperson im öffentlichen Straßenverkehr nur schwer möglich zu sein. Nach der Handlungsempfehlung der niedersächsischen Aufsichtsbehörde ist es jedoch ausreichend, wenn das ausgerüstete Fahrzeug mit einem sichtbaren Hinweis versehen wird, der eine Videoüberwachung deutlich macht, Informationen zum Verantwortlichen und ggf. eine Internetadresse (ein QR-Code wäre auch denkbar) enthält, unter der sämtliche Pflichtinformationen abgerufen werden können.
Fazit
Zusammenfassend lässt sich festhalten, dass Dashcam-Aufzeichnungen nicht per se unzulässig sind. Es muss im Einzelfall differenziert werden, ob eine anlasslose Aufzeichnung des Verkehrsgeschehens oder eine unfallbezogene Aufnahme einer konkreten Situation erfolgt, wobei Zweitere datenschutzrechtlich zulässig ist. Sofern eine anlasslose Erfassung personenbezogener Daten erfolgt ist, muss im Rahmen einer Interessenabwägung im konkreten Einzelfall geprüft werden, ob die Verwertung der Aufzeichnung in einem Zivilprozess als Beweismittel dennoch verhältnismäßig ist. Insoweit enthalten die Ausführung des LAG Düsseldorf keine neuen Erkenntnisse. Vielmehr bestätigt das Gericht die bisherige Rechtsprechung des BGH, wonach auch anlasslos angefertigte Dashcam-Aufzeichnungen nicht per se als Beweismittel unzulässig sind. Auch wenn es Herstellern keine großen Probleme bereiten sollte, ihre Produkte diesem Erfordernis technisch anzupassen, sollte der Einsatz einer solchen Aufnahmevorrichtung gut durchdacht sein, da die damit einhergehenden datenschutzrechtlichen Risiken nicht zu unterschätzen sind.
„>
Seit der Einführung des KI-Sprachmodells ChatGPT durch OpenAI, hat dieses eine massive Nutzung erfahren. Sowohl Privatpersonen als auch Unternehmen greifen vermehrt auf die KI-Software zurück, um Ihre Dienste und Produkte zu verbessern. Gleichzeitig gibt es noch viele offene Fragen im Hinblick auf die Verwendung des Chatbots (Wir berichten hier.). Daher gerät ChatGPT immer mehr ins Visier der europäischen Datenschützer. Ein wesentliches Problem bei der Verwendung des Chatbots besteht darin, dass unklar ist, in welchem Umfang, zu welchen Zwecken und insbesondere auf welcher Rechtsgrundlage die Verarbeitung der personenbezogenen Daten der Nutzer stattfindet. Die italienische c.
Das Wichtigste in Kürze
- Die italienische Datenschutzbehörde hat am 30. März ein landesweites Verbot für die Dienste von ChatGPT ausgesprochen.
- Grund dafür sind Datenschutzverstöße und mangelhafter Jugendschutz.
- Die Betreiber des Chatbots haben nun Zeit, um Abhilfemaßnahmen zu ergreifen, dann wird eine Rückkehr ab 30. April in Aussicht gestellt.
- Verbraucherschutzorganisationen rufen die europäischen Mitgliedstaaten und Institutionen zur näheren Untersuchung von ChatGPT auf.
Italienische Datenschutzbehörde verhängt landesweites ChatGPT-Verbot
In einer Pressemitteilung vom 31. März 2023 gab die italienische Datenschutzbehörde (Garante per la Protezione dei Dati Personali, „Garante“) bekannt, dass sie am 30. März einen Bescheid erlassen hat, in dem eine vorübergehende Untersagung der Verarbeitung personenbezogener Daten von Nutzern aus Italien durch OpenAI angeordnet wurde.
Grund dafür sind mehrere datenschutzrechtliche Bedenken, die sich infolge einer Datenpanne, die am 20. März gemeldet wurde, bestätigt haben. Konkret sollen von der Datenpanne Kommunikationsdaten der ChatGPT-Nutzer und Informationen über Zahlungsvorgänge der Abonnenten des Dienstes betroffen gewesen sein. OpenAI zufolge sei die Datenpanne auf einen Fehler in einer für ChatGPT verwendeten Software zurückzuführen.
Verstöße gegen Datenschutzrecht und unzureichender Jugendschutz
In Ihrer Anordnung beanstandet die Behörde, dass den Nutzern, deren personenbezogene Daten von Open AI verarbeitet werden, keine Informationen zur Verfügung gestellt werden, sodass weitestgehend unklar bleibt, wie mit den Daten umgegangen wird, wer diese wie lange speichert und zu welchem Zweck dies erfolgt. Besonders problematisch sei ferner die Tatsache, dass unklar bleibt, welche Inhalte ChatGPT zu Trainingszwecken verwendet und dass es an einer Rechtsgrundlage für die massenhafte Erhebung und Verarbeitung der Nutzerdaten zum Training der Algorithmen fehlt. Da die Dienste intransparent arbeiten, ist es nur schwer, die Zulässigkeit der stattfindenden Datenverarbeitungen zu beurteilen.
Die Behörde teilte darüber hinaus mit, Überprüfungen durchgeführt zu haben, die gezeigt hätten, dass die von ChatGPT bereitgestellten Informationen nicht immer richtig sind, sodass ein Verstoß gegen das Prinzip der Datenrichtigkeit vorliege.
Zudem fehle es an einem Mechanismus zur Altersprüfung der Nutzer. Der Software fehlt eine Zugangsschranke für Nutzer unter 13 Jahren. Diese ist allerdings zwingend erforderlich, um sicherzustellen, dass Kindern keine unangebrachten Informationen bei der Verwendung des Tools angezeigt werden. Noch liege es in der alleinigen Verantwortung der Eltern und Erziehungsberechtigten darauf zu achten, dass eine Verwendung des Tools ausschließlich unter Aufsicht verwendet wird und insbesondere, dass die Kinder keine persönlichen Informationen eingeben werden.
Italien ist somit das erste europäische Land, welches den Zugang zu dem Chatbot sperrt.
Dabei handelt es sich jedoch zunächst um eine vorläufige Sperrung. Die Betreiber des Chatbots hatten insgesamt 20 Tage Zeit, um geeignete Abhilfemaßnahmen zu ergreifen und der Behörde vorzustellen. OpenAI hat jedoch angekündigt, dieser Anordnung Folge zu leisten und die Aufsichtsbehörde zeigt sich bereit, ChatGPT zum 30. April wieder zu erlauben.
BEUC fordert EU-Staaten und Institutionen zur Untersuchung von ChatGPT auf
Auch der Europäische Verbraucherverband BEUC hat Bedenken im Hinblick auf die KI-Software und hat daher am 30. März 2023 eine Pressemitteilung veröffentlicht, in der er die europäischen Datenschutzbehörden auffordert, eine Untersuchung von ChatGPT-4 und ähnlichen KI-Systemen einzuleiten.
Obwohl die EU derzeit an einem KI-Gesetz arbeitet, ist der Verbraucherverband besorgt, dass bis zum endgültigen Inkrafttreten und der Umsetzung Jahre vergehen könnten, sodass die Verbraucher dem Risiko ausgesetzt wären, durch eine Technologie geschädigt zu werden, die in dieser Übergangszeit nicht ausreichend reguliert ist und auf die Verbraucher nicht vorbereitet sind. Konkret befürchten die Verbraucherschützer, dass Nutzer falsche oder manipulierte Informationen, die von der KI-Software bereitgestellt, nicht erkennen könnten.
Da OpenAI keinen Hauptsitz innerhalb der Europäischen Union hat, steht es den Datenschutzbehörden eines jeden Mitgliedstaats frei, Untersuchungsmaßnahmen einzuleiten und Verbote durchzusetzen.
Nachdem mehrere europäische Datenschutzbehörden um eine Koordinierung von Untersuchungsmaßnahmen im Hinblick auf den KI-Chatbot gebeten haben, hat nun der Europäische Datenschutzausschuss reagiert und eine ChatGPT Task Force eingerichtet.
Vorerst kein ChatGPT-Verbot in Deutschland
Nachdem der Zugang zu ChatGPT in Italien landesweit blockiert und Untersuchungen gegen den Betreiber der Software eingeleitet wurden, stellt sich die Frage, ob solche Maßnahmen auch in Deutschland denkbar sind.
Eine Sprecherin des Bundesbeauftragten für Datenschutz und Informationsfreiheit (BfDI) teilte in einem Interview mit, dass ein solches Verbot generell auch in Deutschland denkbar wäre, weist allerdings gleichzeitig darauf hin, dass die Zuständigkeit für etwaige Untersuchungen von privatwirtschaftlichen Unternehmen, wie OpenAI bei den Landesdatenschutzbehörden liege.
Nach Angaben der Pressesprecherin des BfDI sollen zunächst die Ergebnisse der Untersuchung durch die italienische Datenschutzbehörde abgewartet werden. Stellt diese gravierende Verstöße gegen die Datenschutzgrundverordnung der EU fest, werden auch die deutschen Behörden entsprechende Untersuchungen einleiten.
Das Bundesministerium für Digitales und Verkehr spricht sich bisher gegen ein Verbot von KI-Software aus und betont, dass es stattdessen andere Wege geben muss, Werte wie Demokratie und Transparenz zu gewährleisten.
Auch der ehemalige baden-württembergische Landesdatenschutzbeauftragte Stefan Brink sieht keinen ausreichenden Grund zur Sperrung des Chatbots. Nach Auffassung des Datenschützers greife die KI zu Trainingszwecken zwar regelmäßig auch auf personenbezogene Daten zurück, soweit diese aber aus dem Internet bezogen werden, überwiegen regelmäßig die berechtigten Interessen der Entwickler, sofern die Entwicklung zu Forschungszwecke erfolgt. Im Hinblick auf die Frage des Kinder- und Jugendschutzes sei zu beachten, dass dieser grundsätzlich immer eingehalten werden muss, es sich dabei jedoch um keine KI-spezifische Problematik handle.
Ausblick
Es bleibt abzuwarten, ob OpenAI wie angekündigt die geforderten Abhilfemaßnahmen ergreift und Transparenz schafft. Fest steht, dass wir uns aktuell in einer kritischen Phase der Entwicklung von KI-Produkte befinden, in der neben vielen Chancen auch ernsthafte Risiken sowohl für Verbraucher als auch Unternehmen bestehen, sodass es bestimmter Sicherheitsvorkehrungen bedarf. Bis die von der EU geplante KI-Verordnung in Kraft tritt und offene Fragen im Hinblick auf den Datenschutz noch nicht geklärt sind, liegt es allein in der Verantwortung der jeweiligen Nutzer, ob und wie sie KI-Tools wie ChatGPT verwenden und welche Daten sie preisgeben. Insofern kann nur geraten werden, bei der Verwendung von ChatGPT und vergleichbarer Software Vorsicht walten zu lassen. Dies gilt insbesondere bei der Eingabe persönlicher Daten, da unklar ist, ob diese zu Trainingszwecken verarbeitet werden.
„>
Kurz nachdem die EU-Kommission im Dezember 2022 ihren Entwurf eines Angemessenheitsbeschlusses für den Drittlanddatentransfer in die USA veröffentlicht hat, haben sich viele Datenschützer kritisch geäußert. Dennoch besteht auf beiden Seiten des Atlantiks weiterhin die Hoffnung, dass im Hinblick auf den EU-US-Datentransfer endlich Rechtssicherheit geschaffen wird. Nun fordert der Ausschuss des EU-Parlaments für bürgerliche Freiheiten, Justiz und Inneres (engl. Committee on Civil Liberties, Justice and Home Affairs, kurz: LIBE) die Kommission in einer aktuellen Stellungnahme nachdrücklich dazu auf, den Entwurf des EU-US Data Privacy Frameworks nicht anzunehmen.
Das Wichtigste in Kürze
- Die EU-Kommission hat im Dezember 2022 den Entwurf eines neuen Angemessenheitsbeschlusses für die Übermittlung personenbezogener Daten in die USA veröffentlicht.
- Der Ausschuss des Europäischen Parlaments wird die Europäische Kommission in einer Stellungnahme dazu auffordern, den möglichen Angemessenheitsbeschluss auf der Grundlage des vorgeschlagenen EU-US-Datenschutzrahmens nicht anzunehmen.
- Auch der Europäische Datenschutzausschuss identifiziert verbesserungswürdige Punkte, spricht sich allerdings nicht gegen die Annahme des Entwurfs aus.
- Die Stellungnahmen des EU-Parlaments und des Europäischen Datenschutzausschusses sind für die EU-Kommission nicht bindend.
Betrieb von Facebook Fanpages nicht datenschutzkonform
Unternehmen, öffentliche Stellen oder Personen des öffentlichen Lebens verwenden Facebook Fanpages für die eigene Präsentation auf der Social Media Plattform „Facebook“. Davon abzugrenzen sind die persönlichen Facebook Profile der registrierten Nutzerinnen und Nutzer, die Privatpersonen zugeordnet sind.
Der Betrieb von Facebook Fanpages ist aus datenschutzrechtlicher Sicht problematisch, da Meta als Betreiber des Dienstes „Facebook“ die Daten der Nutzerinnen und Nutzer nicht ausschließlich zum Zweck der Bereitstellung eines sozialen interaktiven Netzwerks verarbeitet, sondern auch zu Werbezwecken. Insoweit fehlt es an einer geeigneten Rechtsgrundlage für die DSGVO-konforme Datenverarbeitung. Die Nutzerdaten dienen dazu, „passgenaue“ Werbung im Auftrag von Unternehmen, Verbänden oder öffentlichen Stellen schalten zu können. Für die Betreiber einer Fanpage besteht ein Interesse an der Verarbeitung personenbezogener Daten der Besucher ihrer Seite, da sie durch dieses Geschäftsmodell den Dienst von Facebook kostenlos nutzen und durch die gezielte Ansprache eines selektiven Nutzerkreises auf ihre Seite aufmerksam machen können. Die Möglichkeit der gezielten Ansprache von Nutzern stellt einen großen Mehrwert dar, den die Betreiber über ihre eigene Internetpräsenz nicht auf diese Weise erreichen können.
Hintergrund
Etwa zweieinhalb Jahre nachdem das Privacy Shield durch den EuGH (Urteil vom 16.07.2020, Rs. C 311/18) für ungültig erklärt wurde, hat die EU-Kommission den Entwurf eines neuen Angemessenheitsbeschlusses veröffentlicht, in dem sie gem. Art. 45 DSGVO feststellt, dass die USA ein angemessenes Schutzniveau für personenbezogene Daten bietet. Das Trans-Atlantic Data Privacy Framework soll den sicheren Datenverkehr zwischen der EU und den USA fördern und die datenschutzrechtlichen Bedenken ausräumen, die seit dem Schrems II-Urteil des EuGH bestehen. In diesem Urteil stellte der EuGH fest, dass die Zugriffsbefugnisse der US-Geheimdienste zu umfassend sind und entsprechend Art. 52 Charta der Grundrechte (GrCh) auf ein verhältnismäßiges Maß reduziert werden müssen. Zudem haben die Richter festgestellt, dass ein Rechtsbehelfsmechanismus geschaffen werden muss, bevor den USA ein angemessenes Datenschutzniveau attestiert werden kann (mehr dazu lesen Sie hier und hier.).
Parlamentarischer Ausschuss spricht sich gegen Annahme des Beschlussentwurfs aus
Der für die Überprüfung des Abkommens zuständige Ausschuss des Europäischen Parlaments kommt zu dem Schluss, dass der aktuelle Entwurf des Datenschutzrahmens im Vergleich zum Vorgängerabkommen (Privacy Shield) zwar Fortschritte erkennen lässt, diese allerdings nicht ausreichend sind, um ein angemessenes Datenschutzniveau zu bejahen. Aus diesem Grund fordert das Gremium die Europäische Kommission in einem Entschließungsentwurf dazu auf, erst dann einen Beschluss zu fassen, wenn die USA geeignete Maßnahmen zum angemessenen Datenschutz ergriffen hat.
In seiner Stellungnahme hebt das Gremium hervor, dass die USA im Gegensatz zu allen anderen Drittländern, für die ein Angemessenheitsbeschluss im Sinne des Art. 45 DSGVO angenommen wurde, noch immer kein einheitliches Datenschutzgesetz vorweisen könne, das bundesweit Anwendung findet. Bei der Executive Order, auf die sich der Angemessenheitsbeschluss der EU-Kommission stützt, handelt es sich um kein Parlamentsgesetz, sondern lediglich um einen Akt der Exekutive, der nach US-Recht vom US-Präsidenten jederzeit geändert oder zurückgenommen werden kann. Daher stellt sich nach Auffassung des Ausschusses bereits die Frage, inwieweit sie tatsächlich ein wirksames Instrument zur Umsetzung der europäischen Datenschutzanforderungen sein kann.
In inhaltlicher Hinsicht stellt der Ausschuss des Europäischen Parlaments – wie zuvor auch andere Kritiker – fest, dass die Executive Order den datenschutzrechtlichen Grundsätzen der Erforderlichkeit und Verhältnismäßigkeit nicht dasselbe Verständnis zugrunde legt wie die DSGVO. In diesem Zusammenhang sei besonders problematisch, dass die Massenerfassung von Daten durch US-Nachrichtendienste auf Grundlage der Executive Order weiterhin möglich bleibt, da sie nicht für Daten gilt, auf die öffentliche Behörden im Rahmen des U.S. Cloud Acts oder des U.S. Patriot Acts zugreifen können. Auch sei das vorgesehene Datenschutz-Überprüfungsgericht weder transparent noch unabhängig und unparteiisch, sodass für EU-Bürger kein effektiver Rechtsschutz gewährleistet sei.
Aus den genannten Gründen kommt das Gremium in seinem Entschließungsentwurf zu dem Ergebnis, dass der EU-US-Datenschutzrahmen nach aktuellem Entwurf kein angemessenes Schutzniveau schafft, und fordert die Kommission auf, den Angemessenheitsbeschluss nicht anzunehmen.
EDSA sieht Klärungsbedarf
Auch der Europäische Datenschutzausschuss (kurz: EDSA) hat in seiner ausführlichen Stellungnahme vom 28.02.2023 zum Entwurf des EU-US-Data Privacy Framework Bedenken geäußert (die Stellungnahme finden Sie hier). Darin erkennt das Gremium ebenfalls wesentliche Fortschritte im Hinblick auf den Datenschutz an, weist aber auch darauf hin, dass eine Reihe von Punkten geklärt, weiterentwickelt oder präzisiert werden müssten.
Insbesondere im Hinblick auf die massenhafte Erhebung von Daten (sog. „Bulk Collection“), für die weder eine unabhängige Vorabkontrolle noch eine nachträgliche Überprüfung durch ein Gericht oder eine andere unabhängige Stelle vorgesehen sei, äußert das Gremium Bedenken. Zudem kritisiert der EDSA – wie auch der parlamentarische Ausschuss – den Mangel an Transparenz in dem durch die Executive Order vorgesehene Rechtsschutzverfahren.
Auch wenn das Gremium in Übereinstimmung mit dem LIBE-Ausschuss zahlreiche verbesserungswürdige Punkte nennt, spricht es sich dennoch nicht gegen eine Annahme des Beschlusses durch die EU-Kommission aus. Vielmehr fordert der Ausschuss die Kommission lediglich zu Nachbesserungen auf.
Die nächsten Schritte
Der parlamentarische Ausschuss verlangt nun entsprechend Art. 132 Abs. 2 seiner Geschäftsordnung die Annahme seiner Entschließung, die sich gegen den Angemessenheitsbeschluss wendet, durch das Parlament.
Das Europäische Parlament hat jedoch lediglich ein Kontrollrecht im Hinblick auf die Wahrnehmung der Durchführungsbefugnisse der Kommission. Dieses räumt den Mitgliedern des EU-Parlaments die Möglichkeit ein, die Kommission in Form einer Entschließung darauf hinzuweisen, dass der Entwurf des Angemessenheitsbeschlusses ihrer Einschätzung nach die im Basisrechtsakt (hier Art. 45 Abs. 3 DSGVO) vorgesehenen Durchführungsbefugnisse überschreite. In der Folge wäre die Kommission dazu angehalten, ihren Entwurf unter Berücksichtigung der vorgetragenen Kritikpunkte rechtlich neu zu bewerten. Anschließend hätte die Kommission das EU-Parlament darüber zu informieren, ob sie beabsichtigt, den Entwurf beizubehalten, abzuändern oder zurückzuziehen (vgl. Art. 11 VO (EU) 182/2011). Daraus folgt, dass die Kommission den Angemessenheitsbeschluss letztlich unabhängig von der ablehnenden Stellungnahme des EU-Parlaments auf den Weg bringen kann.
Nachdem sich auch der EDSA geäußert hat, muss die EU-Kommission nun im letzten Schritt die Zustimmung eines Ausschusses einholen, der aus Vertretern der Mitgliedstaaten besteht.
Die Stellungnahme des EDSA ist zwar nicht bindend, dürfte aber sowohl die Vertreter der Mitgliedstaaten als auch das Europäische Parlament bei ihren jeweiligen Stellungnahmen beeinflussen.
Für den Fall, dass der Ausschuss der Vertreter der Mitgliedstaaten mehrheitlich eine befürwortende Stellungnahme abgibt, erlässt die Kommission den Angemessenheitsbeschluss. Sofern der Ausschuss eine ablehnende Stellungnahme erteilt, bleibt der Erlass dennoch möglich.
Fazit
Bisher war die EU-Kommission recht optimistisch und kündigte die Annahme des Beschlusses zum Ablauf der ersten Jahreshälfte 2023 an. Ob es bei diesem Zeitplan bleibt, ist im Hinblick auf die vorliegenden Stellungnahmen des parlamentarischen Ausschusses sowie des EDSA, der einige Punkte geklärt haben möchte, unklar, aber nicht ausgeschlossen. Auch der baden-württembergische Landesbeauftragte für Datenschutz und Informationsfreiheit hat sich in seinem aktuellen Tätigkeitsbericht im Hinblick auf die Grundlage des Angemessenheitsbeschlusses äußerst kritisch geäußert. Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, Professor Ulrich Kelber, begrüßt demgegenüber die vorgebrachten Kritikpunkte des EDSA und ist der Auffassung, dass mit dem erwarteten EU-US Datenschutzrahmen trotz der geäußerten Bedenken ein wichtiger Beitrag für eine sichere und vertrauenswürdige Drittlanddatenübermittlungen geschaffen wird. Angesichts der Tatsache, dass bereits vor Erlass des Angemessenheitsbeschlusses viel Kritik geäußert wurde, ist damit zu rechnen, dass auch der neue Angemessenheitsbeschluss früher oder später dem EuGH zur Entscheidung vorgelegt wird. Datentransfers in die USA müssen jedenfalls bis zur finalen Verabschiedung des Angemessenheitsbeschlusses durch Abschluss der neuen Standardvertragsklauseln der EU-Kommission abgesichert werden (mehr dazu erfahren Sie hier.). In diesem Zusammenhang müssen – insbesondere aufgrund der datenschutzrechtlichen Rechenschaftspflicht – weiterhin die Risiken internationaler Datentransfers im Unternehmen insgesamt überprüft und gegebenenfalls Abhilfemaßnahmen ergriffen werden.
„>