Mehr Infos

Kein Schmerzensgeld für verspätete Datenauskunft

 
 
 

 

 

 

Die europäische Gesetzgebung zum Datenschutz leidet unter erheblichen Auslegungsproblemen. Einheitliche Rechtsprechung oder höchstrichterliche Urteile fehlen bisher, was es Rechtsanwendern im Einzelfall erschwert, sich bei der Sachbearbeitung an bestehenden Größen und Entscheidungen zu orientieren. Vor allem die konkreten Voraussetzungen und die Bemessung von Schadensersatzansprüchen aus Art. 82 DSGVO werden von den Gerichten nicht einheitlich bewertet.

In seinem Urteil vom 01. Juli 2021 befasste sich das Landgericht Bonn ausführlich mit den Voraussetzungen des datenschutzrechtlichen Schadensersatzanspruchs aufgrund einer Verletzung von DSGVO-Vorgaben gemäß Art. 82 DSGVO.

Vorliegend wurde die Geltendmachung eines Schadensersatzanspruchs aufgrund einer verspäteten und unvollständigen Datenauskunft verhandelt. Ein konkreter ersatzfähiger Schaden lag nach Ansicht des Gerichts allerdings nicht vor – denn Warten allein ist kein Schaden.

 

Das Wichtigste in Kürze

  • Die verspätete Beantwortung eines Auskunftsersuchens nach Art. 15 DSGVO führt nicht automatisch zu einem Schadensersatzanspruch nach Art. 82 DSGVO der betroffenen Person

  • Bloßes „Warten“ stellt keinen immateriellen Schaden dar

  • Ein Auskunftsanspruch nach Art. 15 DSGVO ist nicht als erfüllt anzusehen, sofern die Auskunft offensichtlich unvollständig erteilt wurde

  • Liegen keine besonderen Umstände vor, ist der Regelstreitwert bei Ansprüchen im Zusammenhang mit Datenauskünften nach Art. 15 DSGVO mit € 500 anzusetzen

 

Sachverhalt

Im August 2016 erlitt die Klägerin einen schweren Verkehrsunfall, woraufhin sie am 08.09.2016 den Beklagten als Rechtsanwalt zur Regulierung der Unfallschäden beauftragte. Außerdem wurde der Beklagte für die Klägerin in einer Schadenssache gegen einen Haftpflichtversicherer eines Kosmetikstudios aus 2017 tätig.

Am 07.01.2020 kündigte die Klägerin das Mandatsverhältnis und verlangte vom Beklagten eine vollständige Datenauskunft gemäß Art. 15 DSGVO sowie Herausgabe einer Kopie der Handakte. Diese Akte ist eine Zusammenstellung aller gesammelten und zu einem bestimmten Rechtsfall gehörenden Schriftstücke.

Der Beklagte befand sich mit Erteilung der Datenauskunft neun Monate im Verzug, zudem wurde der Anspruch nicht vollständig erfüllt. Es fehlten Angaben zum Mandatskonto, sowie Berichte der Kommunikation über E-Mail und WhatsApp zwischen der Klägerin und dem Beklagten. Außerdem ist unklar, ob Daten an einen weiteren Rechtsanwalt weitergegeben worden sind, der sich mit dem Beklagten in einer Bürogemeinschaft befand und die gleiche Telefaxnummer nutzte.

Die Klägerin sah sich aufgrund dessen gezwungen, einen anderen Rechtsanwalt zu beauftragen, woraus weitere Kosten entstanden, die sie ersetzt haben wollte. Sie bezeichnete das Verhalten des Beklagten als mutwillig, da dieser nicht nur eine erheblich verspätete, sondern vor allem untervollständige Datenauskunft erteilt habe.

Schließlich fehle es noch an Auskünften bezüglich des Verfahrens gegen das Kosmetikstudio. Aufgrund der verspäteten Datenauskunft war die Klägerin nicht in der Lage, Ansprüche gegenüber der Versicherung geltend zu machen.

In diesem Zusammenhang forderte die Klägerin zusätzlich Schmerzensgeld aus Art. 82 DSGVO, das € 1.000 nicht unterschreiten sollte. Der Verzug sowie die unterstellte Mutwilligkeit wurden zur Begründung eines immateriellen Schadens angeführt.

 

 

Auskunftsrecht von Betroffenen

Die Informationsrechte von Betroffenen sind im Kapitel 3 der DSGVO umfassend normiert. Artikel 15 des entsprechenden Kapitels regelt das Auskunftsrecht Betroffener gegenüber den Verantwortlichen.

Demnach hat jeder Betroffene, dessen Daten beispielsweise von einem Unternehmen verarbeitet werden, das Recht zu erfahren, ob überhaupt personenbezogene Daten verarbeitet wurden und wenn dies zu bejahen ist, welche Daten verarbeitet und gegebenenfalls gespeichert wurden oder werden.

Macht der Betroffene diesen Anspruch geltend, ist der Verantwortliche verpflichtet, gemäß Art. 12 Abs. 3 DSGVO die Auskunft unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags zu erteilen. Diese Frist kann, bei komplexen und umfangreichen Datensätzen um bis zu zwei Monate verlängert werden. Allerdings ist der Verantwortliche in solchen Fällen verpflichtet, den Betroffenen über die Fristverlängerung zu informieren.

 

 

Kein Schmerzensgeld bei nicht eingehaltener Frist 

Das Gericht folgt im vorliegenden Verfahren der Ansicht des OLG Köln, indem es den Umfang der Datenauskunft grundsätzlich weit fasst. Somit fallen sowohl die Informationen aus dem Mandatskonto der Klägerin als auch die Daten der elektronischen Kommunikation darunter. Hierdurch tritt die Erfüllung des entsprechenden Anspruchs auf Auskunft erst dann ein, wenn der Gesamtumfang berücksichtigt und dargelegt wurde.

Somit wurde das Bestehen des Auskunftsanspruchs der Klägerin nach Art. 15 DSGVO zwar bejaht, ein Entschädigungsanspruch aufgrund der verspäteten Auskunftserteilung gemäß Art. 82 DSGVO aber verneint. Die Nichteinhaltung der Frist sei nicht vom Sinn und Zweck einer Sanktionierung nach Art. 82 DSGVO erfasst.

Ein Schadenersatzanspruch nach Art. 82 DSGVO entsteht nur, wenn der Betroffene aufgrund einer rechtswidrigen Datenverarbeitung materielle oder immaterielle Schäden erlitten hat. Nicht, wie vorliegend, bei einer verspäteten bzw. unvollständigen Datenauskunft.

 

Das Gericht führte dies wie folgt aus:

„Gemäß Art. 82 Absatz 2 DSGVO haften die Verantwortlichen – insoweit konkretisierend – für den Schaden, der durch eine nicht dieser Verordnung entsprechende Verarbeitung entstanden ist. Daher kommt nur ein Verstoß durch die Verarbeitung selbst in Betracht, die verordnungswidrig sein muss, um einen Schadensersatzanspruch auszulösen. (…) Dementsprechend löst die nach Art. 12 Absatz 3 Satz 1 DSGVO verspätete Erfüllung von Auskunftsansprüchen nach Art. 15 DSGVO grundsätzlich keinen Schadensersatzanspruch gemäß Art. 82 DSGVO aus.“

Diese Konkretisierung entspricht auch dem vom europäischen Gesetzgeber normierten Erwägungsgrund 146 der DSGVO. Hiernach müssen ausschließlich Schäden, die aufgrund einer Verarbeitung entstehen und mit der DSGVO nicht im Einklang stehen, ersetzt werden.

Das Gericht betonte allerdings auch, dass es für die Urteilsfindung unerheblich sei, ob durch die Fristverzögerung ein Verstoß begangen wurde, da die Klägerin ohnehin keinen nachvollziehbaren Schadenseintritt darlegen konnte.

 

Immaterielle Schäden

Es liegt in der Natur der Sache, dass immaterielle Schäden in der Praxis oftmals schwierig zu ermitteln sind. Schäden dieser Art gehen nämlich nicht mit einer Vermögenseinbuße einher.

Es wird jedoch vorausgesetzt, dass diese, unabhängig von einer Erheblichkeitsschwelle, spürbar sein müssen. Fehlt es an der geforderten Spürbarkeit, scheidet ein Schaden begrifflich schon aus.

Vorliegend entschied das Gericht, dass die erforderliche Spürbarkeit dem Vorbringen der Klägerin nicht entnommen werden kann, womit es zu dem Ergebnis kam, dass die Klägerin keinen immateriellen Schaden erlitten hat.

Lediglich das „Warten“ auf die Datenauskunft, das sich durch die Nichteinhaltung der Frist ergab, ist nicht ausreichend um einen ersatzfähigen Schaden nach der DSGVO zu begründen.

Das Landgericht Bonn stellte allerdings fest, dass der Auskunftsanspruch nicht erfüllt worden ist. Die Erfüllung setzt voraus, dass die Auskunft nicht offensichtlich unvollständig ist. Das Gericht bewertete die Nichtoffenlegung einiger Inhalte durch den Beklagten als offensichtliche Auskunftslücke.

Trotzdem mangelte es an einer nachvollziehbaren Schadensdarlegung, womit das Gericht die Klage in Bezug auf das Schmerzensgeld abwies.

 

Erheblichkeitsschwelle beim immateriellen Schadensersatzanspruch

Eine ausdrückliche Bagatell- bzw. Erheblichkeitsschwelle für die Verhängung von Sanktionen oder die Geltendmachung von Schadensersatzansprüchen ist der DSGVO nicht zu entnehmen. In Bezug auf die Verhängung von Bußgeldern jedenfalls, sieht Erwägungsgrund 148 die Möglichkeit vor, von der Verhängung abzusehen, sofern es sich lediglich um einen Bagatellverstoß handelt.

Die Frage, ob sich eine entsprechende Erheblichkeitsschwelle auf den immateriellen Schadensersatz ausdehnen lässt, löste einen breiten Dissens innerhalb der Rechtsprechung aus. Es wurde thematisiert, ob ein Mindestmaß an Erheblichkeit (Erheblichkeitsschwelle) zur Begründung des Schmerzensgelds erforderlich sein sollte, also ob eine Anwendung des Art. 82 DGSVO auf immaterielle Bagatellschäden überhaupt stattfinden soll.

Das OLG Dresden sowie das Amtsgericht Goslar nahmen hierzu Stellung und verwiesen auf ein erhebliches Missbrauchsrisiko, das mit einem nahezu voraussetzungslosen Schmerzensgeldanspruch gerade im Bereich des Datenschutzrechts einherginge.

Folgt man diesen Ausführungen, setzt ein Schaden, der einen Anspruch aus Artikel 82 DSGVO begründet, eine gewisse Erheblichkeit voraus. Eine zu ermittelnde Bagatellschwelle müsste überschritten werden.

Auch das Bundesverfassungsgericht musste sich schon mit dieser Frage beschäftigen und stellte fest, dass eine Erheblichkeits- bzw. Bagatellschwelle von nationalen Gerichten nicht einfach angenommen werden darf, da dies eine ungeklärte Rechtsfrage darstelle und abschließend vom EuGH zu klären sei. Das Bundesverfassungsgericht legte die Frage letztendlich dem EuGH vor.

Schließlich berührt diese Diskussion zwar den konkreten Fall, jedoch entschied das LG Bonn ausdrücklich unabhängig hiervon, da es bereits im Ansatz am erforderlichen Schaden mangelte.

 

 

Von € 5.000 auf lediglich € 500 – Herabsetzung des Standardstreitwerts

Hinzu kommt, dass das Landgericht Bonn in seiner Entscheidung die Rechtfertigung des, in Datenschutzsachen häufig pauschal eingesetzten, Streitwertes für Rechtsstreitigkeiten in Höhe von € 5.000 bezweifelt. Inwiefern dieser pauschale Streitwert maßgeblich ist, erschließt sich für das Gericht nicht.

Sowohl der Anspruch auf Datenauskunft als auch die Interessenlage der Anspruchsteller seien nicht verallgemeinerungsfähig und somit nicht mit einem pauschalen Streitwert zu bemessen. Gerade auf diesem Rechtsgebiet sei der Inhalt des Anspruchs vom jeweiligen Einzelfall geprägt, womit die zur Begründung von Ansprüchen dargelegten Einzelheiten variieren können.

Die Interessenlage und damit einhergehende verschiedene Wertinteressen müssen unbedingt bei der Bemessung der Streitwertfestsetzung berücksichtigt werden.

Liegen im vorliegenden Einzelfall keine Besonderheiten vor, soll, nach Auffassung des Gerichts das Wertinteresse pauschal mit einem Wert von € 500 und nicht wie ursprünglich € 5.000 zu bemessen sein. Ein Wertansatz, der diesen pauschalen Wert von € 500 übersteigt, sei nur dann gerechtfertigt, wenn im konkreten Fall die geforderte Datenauskunft ein übermäßig hohes Wertinteresse erkennen und feststellen ließe.

 

 

Ausblick

Im vorliegenden Fall war somit nicht die Bemessung des Schadens, sondern bereits dessen Existenz streitig. Es mangelt an kohärenter Rechtsprechung zur Handhabung immaterieller Schäden. Dies stellt nach wie vor für den Betroffenen eine Unsicherheit dar.

Die Klägerin machte zwar geltend, dass sie in Folge der verspäteten Auskunft vermeidbare Kosten erlitten hat, dennoch entschied das Gericht, dass dieser Fall nicht im Sinne der Entschädigung nach Artikel 82 DGSVO sei. Wie auch vom Gericht festgestellt, beging der Beklagte durch sein Verhalten Pflichtverletzungen gegenüber der Klägerin, die vermeidbar waren. Allerdings bestand alleine im Warten auf die Auskunft an sich kein Schaden, den die Klägerin in Form eines Schmerzensgeldes geltend machen konnte. Dies wird im Hinblick auf den verwiesenen Art. 82 DSGVO ausdrücklich klargestellt.

Die Argumentation des LG Bonn ist überzeugend. Allerdings haben andere Gerichte auch schon Schadensersatzansprüche auf Grund einer unzureichenden bzw. verspäteten Auskunft bejaht. So zuletzt das LAG Hamm (LAG Hamm, Urt. v. 11.05.2021 – Az.: 6 Sa 1260/20), welches dem betroffenen Arbeitnehmer einen Schadensersatzanspruch in Höhe von € 1.000 auf Grund einer ungenügenden Auskunft zusprach.  Auch hier zeigt sich erneut die Tendenz der Arbeitsgerichte bei immateriellen Schadensersatzansprüchen nach Art. 82 DSGVO sowohl die Schwelle der Erheblichkeit als auch die Bestimmung der Schadenshöhe äußerst arbeitnehmerfreundlich zu definieren.

Auch wenn die Argumentation des LG Bonn vorliegend vorzugswürdig erscheint, bleibt abzuwarten, welche konkreten Voraussetzungen die Obergerichte und insbesondere der EuGH an den Ersatz immaterieller Schäden nach Art. 82 DSGVO stellen werden. Unabhängig davon sollten sich jedoch insbesondere Unternehmen bewusst sein, dass entsprechendes Fehlverhalten, auch zu Bußgeldern durch die zuständige Aufsichtsbehörde führen kann. Daher ist die Einführung definierter Prozesse zu Umgang mit Anfragen Betroffener von großer Bedeutung. Dies kann die Bearbeitungszeit entsprechender Anfragen erheblich reduzieren und unnötige Auseinandersetzungen mit Betroffenen oder Behörden vorbeugen.

 

 
 
 

 

 

 

Sachverhalt

Im August 2016 erlitt die Klägerin einen schweren Verkehrsunfall, woraufhin sie am 08.09.2016 den Beklagten als Rechtsanwalt zur Regulierung der Unfallschäden beauftragte. Außerdem wurde der Beklagte für die Klägerin in einer Schadenssache gegen einen Haftpflichtversicherer eines Kosmetikstudios aus 2017 tätig.

Am 07.01.2020 kündigte die Klägerin das Mandatsverhältnis und verlangte vom Beklagten eine vollständige Datenauskunft gemäß Art. 15 DSGVO sowie Herausgabe einer Kopie der Handakte. Diese Akte ist eine Zusammenstellung aller gesammelten und zu einem bestimmten Rechtsfall gehörenden Schriftstücke.

Der Beklagte befand sich mit Erteilung der Datenauskunft neun Monate im Verzug, zudem wurde der Anspruch nicht vollständig erfüllt. Es fehlten Angaben zum Mandatskonto, sowie Berichte der Kommunikation über E-Mail und WhatsApp zwischen der Klägerin und dem Beklagten. Außerdem ist unklar, ob Daten an einen weiteren Rechtsanwalt weitergegeben worden sind, der sich mit dem Beklagten in einer Bürogemeinschaft befand und die gleiche Telefaxnummer nutzte.

Die Klägerin sah sich aufgrund dessen gezwungen, einen anderen Rechtsanwalt zu beauftragen, woraus weitere Kosten entstanden, die sie ersetzt haben wollte. Sie bezeichnete das Verhalten des Beklagten als mutwillig, da dieser nicht nur eine erheblich verspätete, sondern vor allem untervollständige Datenauskunft erteilt habe.

Schließlich fehle es noch an Auskünften bezüglich des Verfahrens gegen das Kosmetikstudio. Aufgrund der verspäteten Datenauskunft war die Klägerin nicht in der Lage, Ansprüche gegenüber der Versicherung geltend zu machen.

In diesem Zusammenhang forderte die Klägerin zusätzlich Schmerzensgeld aus Art. 82 DSGVO, das € 1.000 nicht unterschreiten sollte. Der Verzug sowie die unterstellte Mutwilligkeit wurden zur Begründung eines immateriellen Schadens angeführt.

Indem er mit einem irreführend formatierten Anmeldeformular Nutzerinnen und Nutzer dazu bewegte, personenbezogene Daten für Werbezwecke in Form des Profilings zu nutzen, soll der von der REWE Österreich ins Leben gerufene „Jö Bonus Club“ nun 2 Millionen Euro Strafe zahlen. Die angemeldeten Kunden und Kundinnen gingen davon aus, sie meldeten sich lediglich für den Bonusclub selbst an. Dies geht aus dem am 2. August 2021 veröffentlichen Bescheid der österreichischen Datenschutzbehörde hervor.

Im Datenschutzrecht gilt der Grundsatz: Die Verarbeitung von personenbezogenen Daten ist verboten, es sei denn das Gesetz sieht eine Ausnahme vor oder die betroffenen Personen willigen darin ein. Das Einholen einer freiwilligen und informierten Einwilligung von Kundinnen und Kunden, wie das Gesetz es vorschreibt, ist jedoch in der Praxis ein durch Unternehmen vielfach übergangenes und auch teilweise ignoriertes Institut. So kommt es immer wieder vor, dass Kunden zumeist gar nicht erst in die Datenverarbeitung eingewilligt haben, buchstäblich unter Druck gesetzt wurden oder im Zuge von Verschleierungstaktiken nicht wussten, worin sie tatsächlich einwilligen.

 

Das Wichtigste in Kürze:

  • Die Verarbeitung personenbezogener Daten unterliegt einem Verbot mit Erlaubnisvorbehalt, Art. 6 Abs. 1 S. 1 DSGVO.
  • 7 Abs. 2 DSGVO regelt die Voraussetzungen an eine Wirksame Einwilligung. Demnach muss für den Betroffenen verständlich und transparent gemacht werden, in welche Datenverarbeitung er einwilligt.
  • Bei Profiling zum Zwecke der bedürfnisorientierten Werbegestaltung ist der Rahmen des Art. 22 DSGVO datenschutzrechtlich zu beachten und besondere Vorsicht geboten.
  • Intransparent gestaltete Einwilligungserklärungen sind unwirksam und können nicht als Rechtsgrundlage herangezogen werden.
  • Im Zuge der Irreführung von rund 2,3 Millionen Menschen liegt der Jö Bonus Club GmbH nun ein Bußgeldbescheid von 2 Mio. Euro vor.

 

Hintergrund

Ausgangspunkt des verhängten Bußgelds war eine unzureichende Einwilligung bei der Anmeldung zum sog. Jö Bonus Club in Österreich. Die Jö Bonus Club GmbH gehört zu der Supermarktkette Rewe Österreich. Bei dem Jö Bonus Club handelt es sich, ähnlich wie bei Paypal, um ein Kundenbindungsprogramm. Mit der Anmeldung erklärten sich die Mitglieder, neben der Teilnahme am Bonus Club, unter anderem damit einverstanden, dass personenbezogene Daten zu Profilingzwecken genutzt werden.

Beim Profiling geht es um das Erstellen individueller Kundenprofile, um letztlich ein auf den jeweiligen Kunden und die jeweilige Kundin zugeschnittenes Werbungspaket zu identifizieren und ihnen dann zielgerichtet, nach persönlichen Präferenzen und Bedürfnissen mit Werbung zu bespielen. Die österreichische Datenschutzbehörde gab an, dass die eingeholten Einwilligungen der Kundschaft für das Profiling in dem Zeitraum von Mai 2019 bis März 2020 unwirksam sind.

Dies betrifft die Einwilligungen von insgesamt rund 2,3 Millionen Betroffenen. Grund hierfür war die Gestaltung des Einwilligungsverfahrens des Jö Bonus Clubs. Da die Informationen zur zusätzlichen Datenverarbeitung erst weiter unten ersichtlich waren und damit schwer einsehbar, hat die Datenschutzbehörde die Platzierung des Einwilligungskästchens zu den Datenschutzinformationen beanstandet. Dies führte dazu, dass die potentiellen Mitglieder mit der Absicht einwilligten, von exklusiven Vorteilen und Aktionen profitieren zu können, anstatt an besagter Stelle über die weitere Datenverarbeitung aufgeklärt zu werden.

Dabei konnten Besucher nicht erkennen, dass die Einwilligung zugleich auch zur Datenverarbeitung für Profilingzwecke diente. Man verschleierte also effektiv etwaige Profilingtätigkeiten. Auch auf den Anmeldeformularen in Papierform konnte eine gleichzeitige Einwilligung zu Profilingzwecken für die potenziellen Mitglieder nicht sofort erkannt werden. Die Einwilligungsgestaltung erweckte also vielmehr den Anschein, es handle sich ausschließlich um eine Anmeldung für den Bonus Club selbst, wohingegen tatsächlich auch eine Einwilligung zum Profiling eingeholt wurde.

 

Die Einwilligung und der Datenschutz

Die Einholung der Einwilligung kann bereits aus Gründen der Unachtsamkeit oder mangelnder datenschutzrechtlicher Aufklärung vieler Unternehmen eine knifflige Angelegenheit darstellen und bei Fehlern ein hohes Bußgeld heraufbeschwören. Bei einer fehlenden bzw. unzulässigen Einwilligung handelt es sich nämlich nicht um ein Kavaliersdelikt.

So musste die AOK Baden-Württemberg ein Bußgeld in Höhe von 1,2 Mio. Euro zahlen. Die Einwilligungen der Kunden und Kundinnen wurden teilweise nicht eindeutig abgegeben, die AOK verarbeitete die Daten trotzdem. Auch die Sparkasse sorgte mit fragwürdigen Mitteln für eine Einwilligung ihrer Kunden und Kundinnen. Hier wurde die Kundschaft durch Ausübung von Druck zu ihrer Einwilligung in die Datenverarbeitung bewegt.

Entscheidender Punkt bei der Verarbeitung von personenbezogenen Daten ist die Einwilligung im Sinne des Art. 6 Abs. 1 S. 1 lit. a) DSGVO, da es sich im Datenschutzrecht um ein Verbot mit Erlaubnisvorbehalt handelt. Dies bedeutet, dass die Datenverarbeitung grundsätzlich erst einmal verboten ist. Liegen eine gesetzliche Ausnahme oder eine Einwilligung seitens des Betroffenen in die jeweilige Verarbeitung vor, so ist die Datenverarbeitung erlaubt. Überdies sind die Anforderungen des Art. 7 DSGVO nicht außer Acht zu lassen.

Die DSGVO sieht in Art. 7 Abs. 2 DSGVO vor, dass die Information über eine beabsichtigte Datenverarbeitung – bevor eine Einwilligung vom Betroffenen gegeben wird – dem Betroffenen besonders verständlich und leicht zugänglich zur Verfügung gestellt werden muss. Nur dann ist es Betroffenen möglich, eine freie Entscheidung über die Verarbeitung ihrer Daten zu treffen. Die Erklärung und der gesamte Einwilligungsprozess selbst müssen also für den Betroffenen unmissverständlich sein.

Gesondert niedergelegt ist dies nochmals im Erwägungsgrund 32 der DSGVO: „Die Einwilligung sollte durch eine eindeutige bestätigende Handlung erfolgen, mit der freiwillig, für den konkreten Fall, in informierter Weise und unmissverständlich bekundet wird, dass die betroffene Person mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist, etwa in Form einer schriftlichen Erklärung, die auch elektronisch erfolgen kann, oder einer mündlichen Erklärung.“

 

Profilingaktivitäten als Marketingmaßnahme

Bei Profiling handelt es sich um die Erstellung individueller Kundenprofile,. Hierdurch wird ein zielgenaues und auf die Bedürfnisse der Kunden abgestimmtes Marketing gewährleistet, welches die Beeinflussung von Kaufentscheidungen ermöglichen soll.

Gemäß Art. 4 Nr. 4 DSGVO versteht man unter Profiling jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen. Der eng gefasste rechtliche Rahmen von Profiling ist in Art. 22 Abs. 1 DSGVO vorgegeben.

Danach hat die betroffene Person das Recht, „nicht einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt.“

Gerade beim Profiling hätte, laut der zuständigen Behörde, aufgrund des erhöhten Risikos mehr Aufmerksamkeit auf die Information über die Datenverarbeitung gelegt werden müssen.

 

Der Bescheid der österreichischen Datenschutzbehörde

Die österreichische Behörde erkannte in den Vorkommnissen eine Verletzung der Pflicht des Clubs, sein Ersuchen um Einwilligung in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu gestalten. Dementsprechend wertete die Behörde die Einwilligungen der Kunden und Kundinnen als unwirksam und das auf ihrer Grundlage durchgeführte Profiling als unrechtmäßig. Dieser Verstoß war schon einmal Gegenstand eines Verfahrens gegen das Unternehmen. Als Reaktion darauf hatte dieses vormalig Änderungen an seinen Einwilligungserklärungen vorgenommen.

Anstatt eine neue, ordnungsgemäße Einwilligung hinsichtlich des Profilings zu gestalten und die Betroffenen und von den bereits bestehenden Kunden eine rechtmäßige Einwilligung einzuholen, verarbeitete die Jö Bonus Club GmbH die bereits unrechtmäßig eingeholten Daten weiterhin – ohne eine gültige Einwilligung.

Die österreichische Datenschutzbehörde verhängte ein Bußgeld von über 2 Millionen Euro. Dabei wurden die Auswirkungen der Corona-Pandemie seitens der Behörde als strafmildernd bei der Bemessung der Geldbuße berücksichtigt, weil die COVID-19-Pandemie geschäftliche Tätigkeiten erschwerte und der Club Verluste erlitt. Mittlerweile wurde Berufung beim Bundesverwaltungsgericht eingelegt. Eine Entscheidung des Gerichts steht noch aus.

 

Ausblick

Die Verarbeitung personenbezogener Daten zu Marketingzwecken birgt enorme Potentiale zur Absatzsteigerung von Unternehmen. Hierbei spielt eine möglichst zielgenaue Werbeansprache potentieller Kunden eine große Rolle. Derartige Maßnahmen – und speziell das besonderes Datenintensive Profiling zu Marketingzwecken – bedürfen jedoch zwingend einer Einwilligung der Betroffenen.

Potentiellen Kunden offenzulegen, dass über diese Persönlichkeitsprofile erstellt werden, um ihnen gezielter Werbung anzeigen zu können, kann auf diese abschreckend wirken und sie von der Erteilung der entsprechenden Einwilligung abhlaten. So ist es nicht verwunderlich, dass Unternehmen oftmals durch geschicktes Platzieren der rechtlich verbindlichen Hinweise versuchen, eine Einwilligung zu erhalten, ohne dass dem Nutzer bewusst ist, worin er eigentlich einwilligt.

Dieses Phänomen lässt sich insbesondere auch bei der Gestaltung von Cookie Consent-Managern beobachten. Dort wird der Nutzer oftmals durch den Einsatz sogenannter „Dark Patterns“ in Form der ganz bewusst gewählten Gestaltung und Platzierung von Schaltflächen dazu bewegt, in mehr Datenverarbeitungen einzuwilligen als technisch notwendig. Auch auf Grund des Einsatzes solcher „Dark Patterns“ werden europäische Datenschutzbehörden verstärkt aktiv. Ähnlich liegt der Fall hier. 

Der Club hat durch die konkrete Gestaltung der Datenschutzinformationen den Eindruck vermittelt, Kunden würden sich nur für Rabatte und Gutscheine anmelden. Nur sofern sie nach unten scrollten, hätten sie erfahren, dass sie sich zum sogenannten Profiling bereit erklären, also zur Weiterverwendung persönlicher Daten, um künftige Prognosen zu treffen.

Der konkrete Fall zeigt jedoch, dass sich entsprechendes Verhalten nicht unbedingt auszahlt.

Das Unternehmen musste die Profilierung bei Kunden und Kundinnen einstellen, die ihre Einwilligung in dem betroffenen Zeitraum zwischen Mai 2019 und März 2020 abgegeben haben. Um bereits im Vorfeld zu verhindern, dass die erhoffte Rechtsgrundlage für die Verarbeitung sich nicht als unwirksam herausstellt und trotz einer eingeholten Einwilligung keine Datenverarbeitung möglich ist, sollte folglich vor Einholung von Einwilligungen umfassend geprüft werden, ob sämtliche Anforderungen für deren Wirksamkeit erfüllt sind.

Es empfiehlt sich aufgrund der Komplexität der Angelegenheit, den Datenschutzbeauftragten frühzeitig zu konsultieren und in derartige Vorhaben einzubinden. Die beabsichtigte Datenverarbeitung muss im Vorfeld immer leicht verständlich, transparent und klar beschrieben sein. Bei Nichteinhaltung der Anforderungen des Art. 7 Abs. 2 DSGVO riskiert jedes Unternehmen – ähnlich wie der Jö Bonus Club – aufgrund der Datenverarbeitung ohne Rechtsgrundlage eine hohe Geldstrafe.

 

 
 
 

 

 

 

 

Arbeitgeber müssen bei der Begründung und Durchführung eines Arbeitsverhältnisses personenbezogene Daten des Arbeitnehmers speichern und verarbeiten. Beim Thema Datenschutz im Arbeitsverhältnis ist es erforderlich, einerseits die Unternehmensführung des Arbeitgebers zu berücksichtigen, aber auch andererseits das Recht auf informationelle Selbstbestimmung der Beschäftigten zu wahren. Im Beschäftigungsverhältnis bestehen oftmals offene Fragen, was die Befugnisse des Arbeitgebers hinsichtlich personenbezogener Daten anbelangt. Hier bedarf es noch höchstrichterliche Klärung. Jüngst hat das BAG dem EuGH mit Vorlagebeschluss Fragen zu den Rechtsgrundlagen für die Datenverarbeitung im Beschäftigungsverhältnis zur Klärung gestellt. Unter diesen Fragen befindet sich auch das klärungsbedürftige Verhältnis zwischen Art. 9 Abs. 2 DSGVO und Art. 6 Abs. 1 DSGVO.

 

Das Wichtigste in Kürze:

  • Der BGH legte dem EuGH einen Fragekatalog zur Klärung von datenschutzrechtlichen Fragestellungen im Beschäftigungsverhältnis vor.
  • Vorangegangen war ein Rechtsstreit, in dem es um die Verarbeitung besonderer Kategorien von personenbezogenen Daten nach Art. 9 Abs. 2 lit. h) DSGVO ging.
  • Klärungsbedürftig bleibt weiterhin das Verhältnis zwischen Art. 6 Abs. 1 DSGVO und Art. 9 Abs. 2 DSGVO. Deutsche Datenschützer gehen aktuell von einer kumulativen Anwendung aus.
  • § 26 Abs. 3 BDSG ist eine Verarbeitung besonderer Kategorien personenbezogener Daten nach Erfüllung weiterer Voraussetzungen zulässig.

 

Hintergrund und Vorlagefragen des BAG

Das Bundesarbeitsgericht ersuchte mit Beschluss von 26. August 2021 den Europäischen Gerichtshof nach Art. 267 AEUV um Vorabentscheidung. Das zugrundeliegende Revisionsverfahren der Beklagten wird bis zur Entscheidung des EuGH ausgesetzt. Das BAG stellte hierbei folgende Fragen:

  • Ist Art. 9 Abs. 2 lit. h) DSGVO so auszulegen, dass ein MDK Gesundheitsdaten eines betreffenden Arbeitnehmers, die wiederrum Voraussetzung und daher notwendig für die Beurteilung seiner Arbeitsfähigkeit sind, nicht verarbeiten darf?
  • Falls der MDK die personenbezogenen Daten entsprechend verarbeiten durfte ist fraglich, ob außer den Maßgaben aus Art. 9 Abs. 3 DSGVO in diesem Fall noch weitere und gegebenenfalls welche Vorgaben zum Datenschutz zu beachten sind?
  • Falls der MDK die Daten entsprechend verarbeiten durfte, besteht Klärungsbedarf hinsichtlich der Frage, ob die Zulässigkeit und Rechtmäßigkeit der Datenverarbeitung der Gesundheitsdaten zusätzlich zu Art. 9 Abs. 2 lit. h) DSGVO von den weiteren Voraussetzungen des Art. 6 Abs. 1 DSGVO abhängt.
  • Sodann muss geprüft werden, ob Art. 82 Abs. 1 DSGVO generalpräventiven Charakter hat und ob dies bei der Bußgeldhöhe berücksichtigt werden muss.
  • Kommt es bei der Bemessung der Höhe des Bußgeldes nach Art. 82 Abs. 1 DSGVO auf den Grad des Verschuldens des Verantwortlichen bzw. des Auftragsverarbeiters an? Indes ist fraglich, ob geringes bzw. fehlendes Verschulden zu seinen Gunsten berücksichtigt werden darf.

In dem zugrundeliegenden Verfahren geht es um die Geltendmachung eines Schadensersatzanspruchs gem. Art. 82 DSGVO. Der Kläger war zum maßgeblichen Zeitpunkt Systemadministrator in der IT-Abteilung des beauftragten medizinischen Diensts (MDK) bei der Beklagten. Der Kläger macht Verstöße gegen Datenschutzvorschriften geltend, die im Zusammenhang mit der Einholung eines schriftlichen Gutachtens zu seiner Arbeitsunfähigkeit beim MDK stehen.

So wurden weitere Beschäftigte detailliert über seinen Gesundheitszustand informiert. Der Kläger warf der Beklagten vor, sie hätte in seinem Fall das Gutachten gar nicht erst erstellen dürfen. Er trägt außerdem vor, seine Gesundheitsdaten seien von der Beklagten nicht ausreichend geschützt worden.

 

Verarbeitung besonderer Kategorien personenbezogener Daten

In Art. 9 Abs. 1 DSGVO definierte der Gesetzgeber Kategorien von besonders schützenswerten personenbezogenen Daten. Darin heißt es, dass die Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person untersagt ist.

Nach Art. 4 Nr. 15 DSGVO sind Gesundheitsdaten personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringen von Gesundheitsdienstleistungen, beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen. Es besteht also erst einmal ein kategorisches Verbot der Verarbeitung. Dieser Regelung liegt die Vermutung zugrunde, dass ein unzureichender Schutz dieser Daten mit besonders negativen Konsequenzen für die betroffene Person verbunden ist.

Da im Wirtschaftsleben oftmals auch besondere Kategorien personenbezogener Daten verarbeitet werden müssen, sieht Art. 9 Abs. 2 DSGVO einen Katalog von eng gefassten Ausnahmen vor. So gilt Absatz 1 beispielsweise nicht in den Fällen, in denen die Verarbeitung für Zwecke der Gesundheitsvorsorge oder der Arbeitsmedizin, für die Beurteilung der Arbeitsfähigkeit des Beschäftigten, für die medizinische Diagnostik, die Versorgung oder Behandlung im Gesundheits- oder Sozialbereich oder für die Verwaltung von Systemen und Diensten im Gesundheits- oder Sozialbereich auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats oder aufgrund eines Vertrags mit einem Angehörigen eines Gesundheitsberufs und vorbehaltlich der in Absatz 3 genannten Bedingungen und Garantien, erforderlich ist (lit. h).

Absatz 1 gilt auch nicht für den Fall, dass der Verantwortliche oder die betroffene Person die ihm bzw. ihr aus dem Arbeitsrecht und dem Recht der sozialen Sicherheit und des Sozialschutzes erwachsenden Rechte ausüben und seinen bzw. ihren diesbezüglichen Pflichten nachkommen kann, soweit dies nach Unionsrecht oder dem Recht der Mitgliedstaaten oder einer Kollektivvereinbarung nach dem Recht der Mitgliedstaaten, das geeignete Garantien für die Grundrechte und die Interessen der betroffenen Person vorsieht, zulässig ist.

Dies ist bei Ausübung eines Beschäftigungsverhältnisses unerlässlich, da sonst keine Arbeitsunfähigkeitsbescheinigungen eingesehen oder betriebliche Eingliederungsmaßnahmen vollzogen werden könnten.

 

Verhältnis Art. 6 Abs. 1 S. 1 lit. a) und Art. 9 Abs. 2 lit. a) DSGVO

Weiterhin geht es insbesondere darum, ob bei der Verarbeitung besonderer Kategorien personenbezogener Daten die Erfordernisse des Art. 6 Abs. 1 und Art. 9 Abs. 2 DSGVO kumulativ vorliegen müssen oder ob gegebenenfalls eine Verarbeitung alleine auf Art. 9 DSGVO gestützt werden kann. Diese Fragestellung hat weitreichende praktische Konsequenzen für die Verantwortlichen.

So muss bei Erfüllung der Informationspflichten nach Art. 13, 14 Abs. 1 lit. c) DSGVO die genaue und konkrete Rechtsgrundlage stets angegeben werden. Bei Verstoß gegen eben diese Pflicht können Bußgelder drohen. Art. 6 Abs. 1 S. 1 lit. a) nennt die Einwilligung Betroffener als potentielle Rechtsgrundlage für die Verarbeitung personenbezogener Daten.

Hiernach ist die Verarbeitung nur rechtmäßig, wenn die Bedingung der Einwilligung der betroffenen Person zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke abgegeben wurde. Art. 7 DSGVO enthält ergänzende Regelungen zur rechtlichen Wirksamkeit einer Einwilligung.

Der wesentliche Unterschied der Normen besteht also darin, dass Art. 9 Abs. 2 lit. a) DSGVO schlicht regelt, dass besondere Kategorien personenbezogener Daten, wie etwa Gesundheitsdaten, nur bei Vorliegen einer ausdrücklichen Einwilligung verarbeitet werden dürfen. Art. 9 Abs. 2 lit. a) DSGVO grenzt dabei den Erlaubnistatbestand dahingehend weiter ein, dass eine Einwilligung ausdrücklich erteilt werden muss. Art. 6 Abs. 1 S. 1 lit. a) DSGVO hingegen spricht nur von einer eindeutig bestätigenden Handlung. Gegen eine zusätzliche Anwendung von Art. 6 DSGVO könnte sprechen, dass dieser rein nach der Gesetzessystematik einen abschließenden Katalog von Erlaubnistatbeständen enthält.

Für eine gemeinsame Anwendbarkeit spricht allerdings, dass Art. 9 Abs. 2 DSGVO Grenzen der zulässigen Bearbeitung enger fasst, aber keine weitere ergänzende Rechtsgrundlage schafft. Weiterhin spricht auch der risikobasierte Ansatz der DSGVO für eine ergänzende Anwendung beider Vorschriften. Mit steigender Sensibilität und damit auch steigender Eingriffsintensität der personenbezogenen Daten, wie dies bei Gesundheitsdaten der Fall ist, werden auch höhere Anforderungen an die Rechtmäßigkeit und Zulässigkeit der Verarbeitung gestellt.

Aktuell wenden die deutschen Aufsichtsbehörden, der deutsche Gesetzgeber als Verfasser des BDSG und die gerichtliche Vorinstanz im konkreten Fall die kumulierten Voraussetzungen beider Artikel an. Ob der EuGH auch tatsächlich demgemäß entscheidet, steht damit noch lange nicht fest.

 

Besondere Voraussetzungen im Beschäftigungsverhältnis

Nach § 26 Abs. 3 BDSG ist die Verarbeitung von besonderen Kategorien personenbezogener Daten für Zwecke des Beschäftigungsverhältnisses zulässig. Erforderlich ist, dass die Verarbeitung zur Erfüllung rechtlicher Pflichten aus dem Arbeits- und Sozialrecht dient. Überdies muss eine Interessenabwägung getätigt werden.

Es darf kein Grund zu der Annahme bestehen, dass ein überwiegendes schutzwürdiges Interesse der Betroffenen an einem Unterlassen der Verarbeitung besteht. Dies könnte im Arbeitsverhältnis beispielsweise in den Situationen von Dokumentationspflichten bei Arbeitsunfällen, der Verarbeitung von Arbeitsunfähigkeitsbescheinigungen, Beachtung der Kirchensteuer bei der Lohnabrechnung und einer Unterrichtung des Betriebsrates bei längerer Erkrankung/ Schwangerschaft relevant werden.

Sodann müssen „angemessenen und spezifische Maßnahmen“ zur Interessenwahrung der Betroffenen getroffen werden, § 22 Abs. 2 BDSG. Dies könnten nach S. 2 etwa Zugriffsprotokollierung, Sensibilisierung der an Verarbeitungsvorgängen beteiligten Mitarbeiter, Pseudonymisierung, Benennung von Datenschutzbeauftragten oder Implementierung von TOMs sein.

 

Ausblick

Gerade im Bereich der besonderen Kategorien personenbezogener Daten ist im Zuge der Sensibilität Vorsicht und eine umfassende Sicherung dieser Daten geboten. Gerade im Beschäftigungsverhältnis ist das Aufkommen an besonderen Kategorien personenbezogener Daten sehr hoch, denke man an die Gesundheitsdaten, wie Arbeitsunfähigkeitsbescheinigungen, von Beschäftigten in Ihrem Unternehmen. Hier sollten Sie sich vorzeitig mit Datenschutzbeauftragten um eine datenschutzkonforme Lösung beraten, die ein hohes Sicherheitsmaß vor unbefugten Zugriffen und Missbrauch aufweist.

Die Vorlagefragen an den EuGH befassen sich also im Kern mit der Konkretisierung des Schutzes besonderer Kategorien personenbezogener Daten. Bezüglich des Verhältnisses des Art. 6 und Art. 9 DSGVO steht eine richtungsweisende Entscheidung des EuGH bevor.

Nach Auffassung der Gerichte hierzulande kann eine Verarbeitung nicht alleine auf Art. 9 Abs. 2 DSGVO gestützt werden, wenn sie nicht auch nach Art. 6 Abs. 1 DSGVO zulässig ist. Ansonsten würde eine Umgehung des beabsichtigten besonders hohen Schutzes bei der Verarbeitung besonderer Kategorien personenbezogener Daten drohen.

Es bleibt abzuwarten, ob der EuGH die kumulative Anwendung der Artikel bestätigt. Zu begrüßen ist die Entscheidung jedenfalls vor dem Hintergrund größerer Rechtssicherheit.

 

 

 
 
 

 

 

 

Die Veröffentlichung von Mitarbeitern ist für Arbeitgeber stets eine heikle Angelegenheit. Im Zuge von Marketingstrategien sowie Image- und Werbezwecken tendieren Unternehmen dazu, durch Porträts unterschiedlicher Ethnien ein möglichst diverses Bild abzugeben und ein internationales, multikulturelles Klima zu erzeugen. Dem Arbeitsgericht Münster lag ein Fall vor, in dem ein Arbeitgeber, ohne erforderliche Einwilligung und ohne Aufklärung über das Widerrufsrecht, ein Foto von der Klägerin veröffentlichte. Dabei standen die Ethnie und Hautfarbe der Arbeitnehmerin im Vordergrund. Dies hatte nicht nur datenschutzrechtliche Konsequenzen zufolge, sondern bedeutet auch einen Verstoß gegen das Kunsturhebergesetz und wurde sogar als Fall von Diskriminierung nach dem AGG eingestuft.

Das Arbeitsgericht Münster sprach der Klägerin ein Schmerzensgeld i.H.v € 5.000 zu.

 

Das Wichtigste in Kürze:

  • Mitarbeiterfotos sind rechtlich als personenbezogene Daten zu qualifizieren.
  • Die Einholung einer schriftlichen oder elektronischen Einwilligungserklärung sowie die Aufklärung über den Verwendungszweck und das bestehende Widerrufsrecht sind verpflichtend.
  • Werden Mitarbeiterfotos entgegen dieser Vorgaben veröffentlicht, können Mitarbeitern Schadensersatzansprüche aus Art. 82 DSGVO gegen Arbeitgeber zustehen.
  • Arbeitsgerichte orientieren sich zur Bezifferung immaterieller Schäden im Rahmen des Art. 82 DSGVO oft am Bruttolohn und urteilen daher regelmäßig höhere Summen aus als die ordentlichen Gerichte.

 

Hintergrund des Urteils

Dem Urteil des Arbeitsgerichts Münster liegt folgender Sachverhalt zugrunde:

Eine bei einer Hochschule beschäftigte Frau dunkler Hautfarbe betreute das Programm für Postdoktoranden und Postdoktorandinnen. Auf Initiative des universitären Marketingbereichs, wurden Bildnisse von Mitarbeiterinnen und Mitarbeitern aufgenommen, wobei sich auch die Klägerin beteiligte.

Gespräche über eine mögliche Verwendung ließ sie jedoch offen. Die schriftliche Einwilligungserklärung, die ihr vorgelegt wurde, unterzeichnete sie nicht. Sie bemerkte am Rand lediglich „nicht für mein Aussehen“. Der Arbeitgeber war der Überzeugung, dass die Mitarbeiterin ihr mündliches Einverständnis zur Verwendung der Bildnisse gegeben habe. Überdies sei ihr mitgeteilt worden, dass sie der Verwendungen der Fotos nur ganz oder gar nicht zustimmen könne. Letztlich wurde das Bildnis 2019 auf einer Werbebroschüre abgedruckt und zeigte die Klägerin beim Unterrichten. Nach Kenntnisnahme der Veröffentlichung erklärte die Klägerin, sie sei mit der Verwendung ihrer Bilder in dem Kontext, auf Internationalität und Diversität der Hochschule aufmerksam zu machen, nicht einverstanden und klagte schließlich vor dem ArbG Münster.

 

Datenschutzrechtliche Erfordernisse bei Fotoveröffentlichung

Bei Foto- oder Videoaufnahmen von Mitarbeiterinnen und Mitarbeitern im Unternehmenskontext handelt es sich nach herrschender Meinung auch um personenbezogene Daten i.S.d Art. 4 Nr. 1 DSGVO. Arbeitgeber sollten daher Mitarbeiterfotos nur unter Einhaltung der strengeren datenschutzrechtlichen Voraussetzungen veröffentlichen. Auch hier gilt gemäß Art. 6 DSGVO ein Erlaubnisvorbehalt. Gemäß § 26 Abs. 2 S. 3 BDSG ist vor der Verarbeitung von personenbezogenen Daten eine schriftliche Einwilligung einzuholen.

Das ist nicht erforderlich, wenn das berechtigte Interesse des Arbeitgebers überwiegt; Art. 6 Abs. 1 UAbs. 1 lit. f) DSGVO. Dies beurteilt sich nach § 23 KUG. Das KUG stellt für die Einwilligung keine Formerfordernisse auf. Jedoch ist § 22 KUG nach ständiger Rechtsprechung verfassungskonform auszulegen. So hat das BVerfG die Pflicht der Gerichte bestätigt, zu prüfen, ob im Sinne einer Abwägung der betroffenen Belange, zwischen dem Verwendungsinteresse des Arbeitgebers und dem Recht der Betroffenen auf informationelle Selbstbestimmung, eine Erlaubnis des Arbeitnehmers erforderlich ist.

Wegen der Bedeutung des Rechts der Arbeitnehmer, im Arbeitsverhältnis das Recht auf informationelle Selbstbestimmung ausüben zu dürfen, führt eine solche Abwägung nach dem Bundesarbeitsgericht dazu, dass auch und gerade im Arbeitsverhältnis die Einwilligung der Arbeitnehmer der Schriftform bedarf. Keine schriftliche Einwilligung ist bspw. nötig, wenn Personen auf einem Foto nur als Beiwerk, also untergeordnet, erscheinen.

Der Arbeitgeber oder die Arbeitgeberin muss ebenfalls die beschäftigte Person über den Zweck der Datenverarbeitung und den Kontext der Bildveröffentlichung aufklären. Dies unterfällt der Informationspflicht des Arbeitgebers bzw. der Arbeitgeberin gem. Art. 13, 14 DSGVO. Ebenfalls müssen Betroffene über ihr Widerrufsrecht nach Art. 7 Abs. 3 DSGVO in Textform in Kenntnis gesetzt werden.

 

Klage vor dem Arbeitsgericht Münster

Nach Auffassung des Gerichts verstieß der Arbeitgeber gegen zweierlei: Zunächst handelt es sich bei der Veröffentlichung des Bildes der Klägerin ohne Einwilligungserklärung und Aufklärung über das Widerrufsrecht oder den Verwendungszweck um einen datenschutzrechtlichen bzw. kunsturheberrechtlichen Verstoß. Zum einen begründet schon das Fehlen der nach § 26 Abs. 2 Satz 3 BDSG festgeschrieben schriftlichen Einwilligung sowie der Aufklärung über das Widerspruchsrecht und des Verwendungszwecks einen Schadenersatzanspruch nach Art. 82 Abs. 1 DSGVO.

Sodann geht es bei der Verwendungsart des Bildes um eine auf ihre Hautfarbe bezogene, diskriminierende Darstellung, die nach dem AGG einen monetären Entschädigungsanspruch nach sich zieht. Das Gericht war davon überzeugt, dass der Arbeitgeber mit dem Foto zeigen wollte, dass an der Hochschule Menschen aus vielen Ländern unterrichten, um dadurch für die Internationalität der Bildungseinrichtung zu werben. Für dieses Bild verwendete er das Foto der Mitarbeiterin als zentralen Aussagegehalt aufgrund ihrer Ethnie. Dieses wurde gerade aufgrund ihrer Hautfarbe gewählt. Der Arbeitgeber verstieß in diesem Zuge gegen § 7 Abs. 1 AGG. Das Gericht sprach der Klägerin einen Anspruch auf Entschädigung nach § 15 AGG zu. Nach dem allgemeinen Gleichstellungsgesetz muss sich niemand wegen seiner Hautfarbe benachteiligen lassen. Hierzu kann durchaus auch gehören, dass man es nicht dulden muss,  ungefragt und auf Grund der eigenen Ethnie, zu Werbezwecken auf Informationsbroschüren  abgebildet zu werden.

In Frage stand ebenfalls, ob § 22 KUG nicht eine Ausnahme von der Einwilligungserklärung erlaubt. Im Arbeitsverhältnis ist allerdings § 22 KUG dahingehend verfassungskonform auszulegen, dass die Einwilligung der Schriftform bedarf. Sofern eine Person nur als „Beiwerk“ abgebildet ist, ist eine schriftliche Einwilligung nach § 23 KUG nicht erforderlich ist. Die Klägerin ist jedoch nicht untergeordnet auf dem Bild zu sehen.

 

Bemessung des Schmerzensgelds aus Art. 82 DSGVO

Die Klägerin hätte also nach § 26 Abs. 2 S. 3 BDSG eine schriftliche Einwilligung abgeben und zuvor in Textform über den Datenverarbeitungszweck und ihr Widerrufsrecht aufgeklärt werden müssen.

Fraglich ist, wie der vom Arbeitsgericht Münster ausgeurteilte Betrag in Höhe von € 5.000 zustande kam. Wie hoch sich der Schadensersatzanspruch beziffert, ist in der Literatur und Rechtsprechung nämlich nach wie vor höchst umstritten, ein klärendes höchstrichterliches Urteil liegt diesbezüglich noch nicht vor. Es ist allerdings der „Trend“ zu erkennen, dass Arbeitsgerichte verhältnismäßig hohe Schadenersatzansprüche zuerkennen. Der bezifferte Schmerzensgeldanspruch, der vorliegend durchaus als hoch angesehen werden darf, orientiert sich nämlich am Bruttomonatsgehalt der Klägerin in Höhe von 5.009,04 €. Das Arbeitsgericht Münster hielt hinsichtlich der Höhe des Schmerzensgeldes „ein Gehalt für ausreichend“.

Zunächst gilt festzuhalten, dass die festgesetzte Summe über den „Preisen“ liegt, die bei vergleichbaren Verstößen von (Arbeits-)Gerichten bestimmt werden. So hatte das ArbG Lübeck (Beschluss vom 20.06.2019, Az.:1 Ca 538/19) entschieden, dass bei Veröffentlichung eines Mitarbeiterfotos durch den Arbeitgeber auf der Facebook-Seite des Unternehmens ohne Einwilligung des Arbeitnehmers aus Art. 82 Abs. 1 DSGVO ein Anspruch auf Schadensersatz von bis zu 1.000,00 Euro bestehen kann.

Bislang haben ordentliche Gerichte bei der Beurteilung möglicher Schadensersatzansprüchen nach Art. 82 DSGVO in der Rechtsprechungspraxis eine gewisse Zurückhaltung an den Tag gelegt. Hervorzuheben ist, dass Arbeitsgerichte in der Vergangenheit eher dazu bereit waren, Anspruchstellern wegen der Verletzung ihrer Persönlichkeitsrechte höhere Entschädigungen zuzubilligen.

Das ArbG Düsseldorf in etwa traf im März 2020 eine der ersten Entscheidungen, die sich mit Art. 82 DSGVO im Zusammenhang mit unzulänglichen Auskunftsansprüchen nach Art. 15 DSGVO befassten und gestand dem Kläger ebenfalls einen Schadensersatzanspruch iHv € 5.000 zu. Dieses ging von einem niedrigen Maßstab für einen immateriellen Schadensersatzanspruch und einem weiten Schadensbegriff aus. Im Sinne des europäischen Effektivitätsgrundsatzes setze ein wirksamer Anspruch auf Schadenersatz voraus, dass dieser abschreckend wirke. Andere Gerichte verlangten bisher einen konkreten, spürbaren immateriellen Schaden. Ordentliche Gerichte setzen daher oftmals das Überschreiten einer gewissen Bagatellgrenze voraus.

Das ArbG Münster selbst sieht in seiner Urteilsbegründung davon ab, die Festsetzung der Höhe näher zu begründen. Gem. Art. 82 DSGVO hat jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadenersatz gegen den Verantwortlichen. Das rechtfertige die hohe Entschädigung, die in dieser Höhe sonst eher bei Nacktaufnahmen zugesprochen wird.

 

Ausblick

Die Entscheidung des Arbeitsgerichts ist hinsichtlich der Bemessung des Schadensersatzes bemerkenswert und verdeutlich erneut, wie es um die Konsequenzen einer nicht eingeholten Einwilligung und dem Fehlen der Aufklärung über Widerrufsrecht und Bildverarbeitungsgrund steht. Sollten sich Gerichte künftig an dieser Rechtsprechung orientieren, so dürften auf Unternehmen, bei entsprechenden Zuwiderhandlungen gegen die DSGVO und das KUG, erhebliche Schadensersatzforderungen zukommen.

Das betrifft auch die schwierige Frage, nach welchen Kriterien die Höhe eines Schadensersatzes zu bemessen ist und ob Art. 82 DSGVO eine Bagatellgrenze kennt. Eine solche wird derzeit vor allem von den ordentlichen Gerichten angenommen. Sie sollten daher stets die rechtskonforme Einwilligung ihrer Beschäftigten einholen, wenn Sie Fotografien Ihrer Mitarbeiter zu Werbezwecken verwenden möchten. Insbesondere innerhalb des Arbeitsverhältnisses ist § 26 Abs. 2 S. 3 BDSG zu beachten.

Die Verarbeitung von personenbezogenen Daten im Rahmen des Beschäftigungsverhältnisses ist entsprechend § 26 Abs. 1 BDSG auch ohne Einwilligung zulässig, wenn dies für die Begründung, Durchführung oder Beendigung des Arbeitsverhältnisses erforderlich ist oder der Arbeitgeber ein überwiegendes  berechtigtes Interesse nach Art. 6 Abs. 1 S. 1 lit. f) DSGVO nachweisen kann. So gibt es Sonderfälle, wie etwa die Verwendung eines Mitarbeiterfotos für den notwendigen Betriebsausweis, bei denen die Verwendung auch ohne Einwilligung gerechtfertigt ist. Die Verarbeitung von Mitarbeiterfotos ist aus datenschutzrechtlicher sicht jedoch stets heikel. Besprechen Sie die Angelegenheiten bei Zweifeln stets vorher mit Ihrem Datenschutzbeauftragten oder einer anderen Fachkundigen Person, um unnötige Haftungsrisiken zu vermeiden.

 
 
 

 

 

 

Die Auslagerung etwaiger E-Marketing Services, die Nutzung transnationaler cloudbasierter Technologien und der Versand von Newslettern im Bereich des Marketings sind nicht mehr wegzudenken.

Dem Bayerischen Ladensamt für Datenschutz lag eine Beschwerde vor, in der ein Kunde eines Unternehmens, welches den amerikanischen Newsletter-Management- Service Mailchimp nutzt, den Transfer seiner personenbezogenen Daten in die USA meldete. Zwar wird Mailchimp von Start-Ups und großen Unternehmen gleichermaßen genutzt und erfreut sich großer Beliebtheit. Allerdings steckt hinter dem praktischen Tool ein US-Unternehmen, welches die Einhaltung der DSGVO-Bestimmungen für deutsche Unternehmen erschwert.

Da viele europäische Unternehmen mit Mailchimp kooperieren, stellt sich die Frage, ob eine Zusammenarbeit überhaupt DSGVO-konform ist.

 

Das Wichtigste in Kürze:

  • Mailchimp ist ein US-Anbieter für E-Mail-Marketing Services und Marketing-Automatisierungsplattformen mit 60% Markanteil.
  • Das Bayerische Landesamt für Datenschutz (BayLADa) ermittelte gegen ein Unternehmen, das Mailchimp für seine Newsletter nutzte und E-Mail-Adressen von Abonnenten in die USA weiterleitete.
  • Der Einsatz von Mailchimp und die damit verbundene Weiterleitung personenbezogener Daten in die USA wurden im konkreten Fall als unzulässig eingestuft.
  • Grund war die fehlende Überprüfung „zusätzlicher datenschutzkonformer Maßnahmen“ nach Vorgabe der EU-Standartvertragsklauseln und des EuGH-Urteils „Schrems-II“ durch das Unternehmen bei der Verwendung von Mailchimp.

Hintergrund datenschutzrechtlicher Bedenken von Mailchimp

Mailchimp ist ein Tool für das Newsletter-Management mit Sitz in Atlanta in den USA. Damit können Unternehmen ihre Mailings erstellen, verwalten und versenden. Trotz vielzähliger Vorteile, wie die Vielfalt zur Verfügung stehender Templates für Newsletter, die intuitive und einfache Handhabe der Plattform, der Reichweite der E-Mails an Empfänger und der Einbettung in dynamischen Content, tauchten vermehrt Ungereimtheiten und Schwachstellen hinsichtlich des Datenschutzniveaus auf.

Unternehmen müssen für die Nutzung von Mailchimp notwendigerweise personenbezogenes Datenmaterial, wie Mail-Adressen ihrer Kunden, aus den Händen geben. Bei Mailchimp handelt es sich um eine Software-as-a-Service-Lösung, sodass die Software nicht auf den Servern des nutzenden Unternehmens installiert wird.

Die E-Mail-Adressen der Empfänger werden stattdessen an US-amerikanischen Servern von Mailchimp übermittelt und dort verarbeitet.

 

Datenübermittlung in die USA als „unsicheres Drittland“

Es stellt sich in diesem Zuge die Frage, in welchem Umfang die Datenübermittlung an sog. Newsletter-Provider, wie Mailchimp, zulässig ist.

Lange Zeit regelte dies, in Bezug auf Übermittlungen in die USA, der sog. „Privacy Shield“. Hierdurch wurde eine Datentransferierung in die USA mit zertifizierten, bei dem US-Handelsministerium gemeldeten Unternehmen rechtlich untermauert.

Der EuGH kippte den Privacy Shield durch das „Schrems-II“ Urteil.

Kernaussage des Urteils ist die Anwendbarkeit der Datenschutz-Grundverordnung auf die Übermittlung personenbezogener Daten in ein Drittland auch in solchen Fällen, in denen es aus Gründen der nationalen Sicherheit oder Verteidigung zu einem Zugriff durch Geheimdienste dieses Landes kommt.

Die Gerichte begründen ihre Entscheidung damit, dass der Privacy-Shield nicht vor Zugriffen der US-Geheimdienste schütze und aufgrund der Rechtslage in den USA kein angemessenes Datenschutzniveau sichergestellt werden könne. Dies bekräftigt u.a Section 702 des FISA, die keine Beschränkung der Überwachungsmaßnahmen der Geheimdienste und keine Garantien für Nicht-US-Bürger vorsieht.

Mailchimp fiel vormalig ebenfalls unter den Privacy Shield. Allerdings erfolgte keine Sicherstellung der Einhaltung von Richtlinien durch eine offizielle Institution, wodurch dessen Wirkungsweise auf Kritik stieß. Konnte der Datenschutz durch Mailchimp bis zu Schrems-II als unzureichend qualifiziert werden, verbesserte sich die Situation durch das Urteil nicht.

 

Anforderungen an die Datenübermittlung in ein Drittland

Für die Datenübermittlung in ein Drittland muss, neben den EU-Standardvertragsklauseln, sichergestellt sein, dass ein Gleichlauf des Schutzniveaus personenbezogener Daten mit demjenigen in der EU besteht.

Dies ist im Lichte der EU-Grundrechte-Charta und im Hinblick auf Art. 46 I DSGVO auszulegen, nämlich geeignete Garantien vom Verantwortlichen, durchsetzbare Rechte und wirksame Rechtsbehelfe für die betroffenen Personen einzuräumen. Hier sind nicht nur vertragliche Beziehungen zwischen Datenexporteur und Importeur relevant, sondern auch die Zugriffsmöglichkeit durch Behörden des Drittlandes.

Ohne „zusätzliche Maßnahmen“ der Vertragspartner würden die Standardklauseln keinen angemessenen Schutz bieten, sind Behörden des Drittlandes, in dem sie nach Recht des Drittlandes befugt sind, in die Rechte der betroffenen Person einzugreifen, nicht an die Standardklauseln gebunden.

Bei der Verwendung von Mailchimp als US-amerikanisches Unternehmen fehlte vorliegend also die notwendige Prüfung, ob zu den EU-Standarddatenschutzklauseln, die Mailchimp anbietet, „zusätzliche Maßnahmen“ im Sinne der Art. 44 ff. DSGVO erfolgt sind, um eine datenschutzkonforme, an einheitlich europäischen Maßstäben orientierte Verarbeitung zu gewährleisten.

Ist ein solches angemessenes Schutzniveau nicht sichergestellt, muss die Aufsichtsbehörde für den Datenschutz die Datenübermittlung aussetzen oder verbieten, sofern der Schutz nicht durch andere Maßnahmen hergestellt ist.

Damit entschied die Aufsichtsbehörde jedenfalls nicht, dass der Einsatz von Mailchimp generell als unzulässig zu bewerten ist.

 

Zulässigkeitsprüfung für Mailchimp

Wie eine Zulässigkeitsprüfung des Einsatzes von Mailchimp als US-Dienst letztlich aussehen könnte, veröffentlichte die Aufsichtsbehörde Baden-Württemberg jüngst in einer Orientierungshilfe:

  • Erwägung einer Alternative

Hier erfolgt eine Prüfung, ob es etwaige Alternativangebote von Dienstleistern gibt, die ihren Sitz nicht in unsicheren Drittländern, wie den USA haben. Überdies findet eine Interessenabwägung statt, die z.B. Risiken und finanzielle Aufwände der Umstellung und die Einarbeitung des Teams etc. berücksichtigt.

  • Bewertung des Gefährdungsgrades für die Abonnenten

Der Gefährdungsgrad wird dadurch bestimmt, welche potentiellen Folgen mit welcher Wahrscheinlichkeit für die Abonnenten drohen im Falle des Eingriffs eines US-Geheimdienstes. Die Brisanz des Newsletters aus US-amerikanischer Perspektive ist hier ein Parameter (Newsletter kontrovers politischer Natur).

  • Sicherung des Datenschutzniveaus

Der Anspruch des Datenschutzniveaus hängt von dem besagten Gefährdungsgrad der Abonnenten ab und den Vorgaben der einheitlich europäischen Datenschutzmaxime.

Schlussendlich ist festzuhalten, dass die zusätzlichen Maßnahmen umso strenger ausfallen müssen, je sensibler die Daten sind.

 

Ausblick

Ein generelles Verbot von Mailchimp steht also nicht im Raume. Lediglich die unterlassene Prüfung in Hinblick auf zusätzliche Maßnahmen zur Absicherung des fehlenden, ebenbürtigen Datenschutzniveaus in der USA sind hingegen in das Zentrum datenschutzrechtlicher Besorgnis gerückt.

Da viele Unternehmungen Mailchimp aktuell nutzen, sollten folgende Fragen geklärt werden: Welche Daten werden an Mailchimp übermittelt? Werden Tracking-Funktionen genutzt? Welche zusätzlichen Maßnahmen stellt Mailchimp zum Datenschutz bereit? Mit welchem Aufwand und welchen Kosten wäre zu rechnen, wenn eine Umstellung der Newsletter auf EU-Dienstleister erforderlich wäre?

Generell ist es geboten, vor der Weitergabe von personenbezogenen Daten, eine Bestandsaufnahme zu machen, in welchen Fällen Ihr Unternehmen personenbezogene Daten in Drittländer exportiert, sich mit dem Vertragspartner im Drittland in Verbindung zu setzen und sich über die Rechtslage im Drittland zu informieren.

Überdies ist zu hinterfragen, ob es für das Drittland einen Angemessenheitsbeschluss (Art. 45 DSGVO) gibt und ob die von der Kommission beschlossenen Standardvertragsklauseln nutzbar sind.

 
 
 

 

 

 

Das Thema Cybersecurity hat in der Vergangenheit zunehmend an Bedeutung gewonnen. Dabei stehen nicht nur staatliche Institutionen oder sicherheitspolitische Aspekte im Vordergrund, sondern vor allem auch Unternehmen, die sich der immer größer werdenden Zahl von Attacken durch Spionage- und Sabotagesoftware ausgesetzt sehen.

Die korrekte Sicherung von Kundendaten eine wichtige Aufgabe, die Unternehmen zu bewältigen haben. Gerade der Online-Handel ist davon stark betroffen. Der europäische Gesetzgeber fordert mit der DSGVO einen umfassenden Schutz personenbezogener Daten, wofür technische Sicherheitsstandards verlangt werden, die sich am Stand der Technik orientieren müssen.

Im vorliegenden Fall war ein Programm in Folge einer veralteten Software nicht mehr in der Lage, die Passwörter der Kunden angemessen zu sichern, was zu einem Verstoß gegen die DSGVO führte.

Nicht nur hinsichtlich der verhängten Geldbuße, sondern auch wegen der Gefahr des Informationsabflusses von Geschäftsgeheimnissen, gilt es eine solche Sicherheitslücke dringlichst zu vermeiden.

 

Das Wichtigste in Kürze:

  • Ein niedersächsischer Online-Shop für Medikamente verwendete eine veraltete Software, wodurch Passwörter von Kunden in Gefahr gebracht wurden
  • Die Passwörter waren zwar mit einer kryptografischen Hashfunktion gesichert, diese war jedoch nicht auf den Einsatz für Passwörter ausgelegt
  • Ohne entsprechende Sicherheitsanwendungen können Hacker, ohne größeren Aufwand, auf sämtliche Daten zugreifen
  • Die Behörde verhängte ein Bußgeld in Höhe von 65.500 € und berücksichtigte zugunsten des Unternehmens, dass es den Vorfall selbst gemeldet hatte
  • Die Software wurde vom Hersteller seit Jahren nicht mehr mit Updates versorgt und dieser hatte das Unternehmen vor möglichen Sicherheitslücken gewarnt
  • Zur Sicherung von Daten sind Unternehmen verpflichtet, sich an den aktuellen Stand der Technik zu halten, ansonsten begründet dies einen Verstoß gegen die DSGVO

 

Erforderlichkeit technisch-organisatorischer Maßnahmen nach DSGVO

Immer wieder versuchen Unberechtigte in fremde Systeme einzudringen, oder diese sogar zu übernehmen. Umso wichtiger ist es für Unternehmen, sowohl sich selbst als auch ihre Kunden davor zu schützen.

Aus diesem Grund formulieren Art. 25 und insbesondere Art. 32 der DSGVO Anforderungen an die zu ergreifenden technisch-organisatorischen Maßnahmen. Verantwortliche sollen bereits vor Verarbeitung der personenbezogenen Daten die Risiken durch entsprechende Vorkehrungen abwägen und minimieren. Vor allem haben Unternehmen sich bei der Verwendung von Software, die der Datensicherung dient, stets am aktuellen Stand der Technik zu orientieren. Eine Missachtung dieser erforderlichen technischen Standards stellt für sich schon einen Verstoß gegen die DSGVO dar.

Ein solcher Verstoß wurde nun bei einem Betreiber eines Online-Shops aus Niedersachsen aufgedeckt. Dieser nutzte eine veraltete Software, die erhebliche Sicherheitslücken aufwies, wodurch Passwörter nicht angemessen gesichert wurden.

Die technisch-organisatorischen Maßnahmen, die von den Verantwortlichen ergriffen wurden, waren somit im Hinblick auf den Schutzbedarf des Art. 25 DSGVO unzureichend, sodass ein Verstoß gegen Art. 32 DSGVO vorliegt.

Bei der Software handelte es sich um xt:Commerce (Version 3.0.4 SP2.1). Der Hersteller der Software hatte den Support der seit 2014 bereits veralteten Softwareversion eingestellt und auf die Sicherheitslücken hingewiesen sowie von ihrer Verwendung abgeraten. Durch solche Lücken wird es potenziellen Angreifern ermöglicht, sich den Besitz der Zugangsdaten aller in der Anwendung registrierten Personen zu verschaffen.

 

 

Bedeutung der angemessenen Sicherung von Daten

Unternehmen haben die Möglichkeit mittels verschiedener Sicherheitssysteme das Risiko eines Hacker-Angriffs signifikant zu minimieren. Unter diese Sicherheitsanwendungen fallen unter anderem die Verschlüsselung oder die Pseudonymisierung personenbezogener Daten.

Durch die Pseudonymisierung von Daten im Sinne des Art. 4 Nr. 5 DSGVO können Inhalte von Datensätzen beispielsweise nur mit Hilfe einer Tabelle entschlüsselt werden, die gesondert aufzubewahren ist. Die Anwendung und der Umfang von Verschlüsselungen richtet sich nach dem Schutzbedarf und den gegebenenfalls vorliegenden Besonderheiten bei der Verarbeitung.

Vor allem aber ist es wichtig, die bereits bestehenden Sicherheitssysteme stets zu überprüfen und unter Umständen zu aktualisieren, da sich nicht nur die technischen Möglichkeiten der IT-Sicherheit, sondern auch die der Angreifer ständig weiterentwickeln.

Die Ermittlungen durch die Behörde ergabe weiterhin, dass das Unternehmen die in der Datenbank abgelegten Passwörter zwar mit der kryptografischen Hashfunktion MD5 gesichert hatten, diese jedoch gar nicht für den Einsatz zur Unkenntlichmachung von Passwörtern ausgelegt sei.

 

 

Geeignete Maßnahmen zum Schutz der Daten

Geeigneter hierfür wäre der Einsatz eines sogenannten „Salt“ gewesen, das einen zufälligen Wert generiert, der vor der Verschlüsselung an das Benutzerpasswort angehängt wird. Passwörter werden durch diese zufällige Zeichenfolge, welche an den Klartext gehängt wird, umfangreicher geschützt.

Durch Anwendung eines Salts wird erreicht, dass der Angreifer eine komplette Neuberechnung für jedes Passwort durchführen muss, um sich Zugang zu verschaffen. Ohne diesen können Hacker sogenannte „Rainbow-Tables“ nutzen, die im Internet existieren. Diese ermöglichen es, das zu einem Hash gehörige Passwort ganz ohne Berechnung abzulesen.

In ihrem Prüfbericht verwiesen die Datenschützer aus Niedersachen auf die in der BSI-Richtlinie TR-02102-1 vermerkten technischen Empfehlungen zu kryptografischen Verfahren und Schlüssellängen.

Dieser unzureichende Schutz und die dadurch entstandene mangelnde Maskierung kann sogenannte „SQL-Injection-Angriffe“ ermöglichen, wobei eine Datenbank durch das Einschleusen von Fremdbefehlen gehackt wird. Das heißt, dass die Zugangsdaten der Webshop-Nutzer für Unberechtigte mit nur geringfügigem Aufwand im Klartext lesbar sind.

Seit Jahren ist ein Anstieg der SQL-Injection-Angriffe zu erkennen, da diese für Hacker immer wieder eine erfolgreiche Methode darstellen, um an Informationen zu gelangen. Jedoch sind es gerade diese Erkenntnisse und die laufenden Berichte über gehackte Webshops, die eine Warnung an die Webshop Betreiber sein sollten. Solche Angriffe kommen nicht unerwartet, daher ist es die Aufgabe der Betreiber, ihre Shops ausreichend zu schützen.

 

 

Empfehlungen zur Absicherung von Passwörtern

Die zuverlässige Absicherung von Passwörtern kann im Hinblick auf die stets neugewonnenen Erkenntnisse problematisch erscheinen. Es empfiehlt sich daher die aktuellen Empfehlungen des Bundesamts für Sicherheit in der Informationstechnik auf der Internetseite zu beachten.

Dabei sollte man insbesondere eine speziell für Passwörter entwickelte Hashfunktion nutzen. Diese bewirkt, dass der Versuch, durch systematisches Ausprobieren (Brute-Force-Methode) Passwörter zu ermitteln, einen deutlich erhöhten Rechenaufwand erfordert. Dieser Rechenaufwand kann durch ein für jedes Passwort individuell vergebenes Salt erneut gesteigert werden. Dies hat zur Folge, dass es für Unberechtigte aufgrund der zu investierenden Rechenleistung uninteressant wird, Passwörter der gesamten Datenbank zu ermitteln.

Jedoch gibt es einzelne Zugänge, die für Angreifer von besonders hohem Interesse sein können, wie beispielsweise Administrationszugänge. Hier wird empfohlen, starke Passwörter zu verwenden. Die Stärke eines Passwortes bestimmt sich viel mehr nach seiner Länge als nach seiner Komplexität. Hierbei gibt es jedoch keine festgelegten Regeln.

Prinzipiell empfiehlt sich für sensible Daten oder Accounts mit weitreichenden Zugriffs- und Bearbeitungsrechten die sogenannte „Mehr-Faktor-Authentifizierung“, dabei werden zur Feststellung der Identität verschiedene Faktoren angewendet. Neben der Abfrage eines Passworts muss beispielsweise noch ein Fingerabdruck-Scan durchgeführt werden oder es muss eine auf ein persönliches Endgerät des Berechtigten versandte TAN eingegeben werden. Weiterhin sollten Passwörter in regelmäßigen Abständen erneuert werden. Dennoch kann lediglich die Kombination verschiedener Maßnahmen das Risiko von Angriffen wirksam minimieren.

 

 

Berechnung der Höhe des Bußgeldes

Die unzureichend verschlüsselte Speicherung der Passwörter und die damit einhergehende Gefährdung der Kunden spielten bei der Verhängung des Bußgeldes eine maßgebliche Rolle. Hinzu kam, dass der Verstoß mit relativ geringem Aufwand vermeidbar gewesen wäre.

Das Unternehmen hätte lediglich eine Salt-Funktion sowie einen aktuellen, für Passwörter geeigneten, Hash-Algorithmus installieren müssen. Eben diese Funktionen werden vom Hersteller der Software für seine neueren Versionen angeboten, zudem werden durch Updates stetig neu entdeckte Sicherheitslücken beseitigt.

Abgesehen davon, dass der Aufwand für das Unternehmen relativ gering gewesen wäre, hatte der Software-Hersteller den Betreiber bezüglich der Sicherheitslücken ausdrücklich gewarnt. Auf die Warnungen wurde jedoch nicht reagiert, womit auch keine Abhilfemaßnahmen erfolgten.

Infolgedessen kam die Behörde zu dem Ergebnis, dass die verantwortliche Stelle nicht die erforderliche Sorgfalt bezüglich ihrer technischen und organisatorischen Maßnahmen eingehalten hat, was letztendlich zu einem unzureichenden Schutzniveau der personenbezogenen Daten natürlicher Personen im Sinne der DSGVO führte. Dies wird als Begründung für das oben genannte Bußgeld in Höhe von 65.500€ herangezogen.

Trotzdem hätte das Bußgeld höher ausfallen können. Es wurde insbesondere bußgeldmindernd berücksichtigt, dass das Unternehmen selbst den Vorfall gemeldet hatte. Das Unternehmen wurde unmittelbar verpflichtet, die Sicherheitsmängel zu beseitigen. Zudem wurden die betroffenen Personen bereits vor Verfahrensbeginn über die erforderlichen Passwortwechsel durch das Unternehmen informiert. Dennoch waren die Sicherheitslücken und die damit verbundene Geldbuße ein vermeidbarer Vorfall, der durch Berücksichtigung der aktuellen Sicherheitsstandards höchstwahrscheinlich verhindert worden wäre.

 

Ausblick

Solche mangelhaften technischen und organisatorischen Maßnahmen kommen in der Praxis leider häufiger vor, denn die andauernde Gewährleistung des bestmöglichen Schutzes vor Hackerangriffen erfordert qualifiziertes Personal und Fachwissen.

Aus diesem Grund sollten Verantwortliche stets mit dem IT- und Datenschutzbeauftragten Rücksprache halten oder falls solche intern nicht vorhanden sind, ihre Systeme regelmäßig durch fachkundige Dienstleister überprüfen lassen. Unternehmen haben die Möglichkeit ihre Sicherheit zu optimieren in dem sie sich am derzeitigen Stand der Technik orientieren, wodurch aktuelle Software genutzt wird oder gegebenenfalls Updates durchgeführt werden. Eine enge Zusammenarbeit mit den entsprechenden Soft- und Hardware-Herstellern ist hierbei unerlässlich.

Die DSGVO schreibt die Ergreifung angemessener technisch-organisatorischer Maßnahmen vor, deren Nichteinhaltung sanktioniert wird. Weiterhin wird empfohlen Passwörter für sensible Daten und wichtige Accounts durch Maßnahmen, wie Mehr-Faktor- Authentifizierung, entsprechende Passwortlänge und regelmäßiges Ändern, besonders zu schützen.

Personenbezogene Daten genießen einen außerordentlichen Schutz und ihre Verletzung führt nicht selten zu weitaus höheren Bußgeldern. Strafen im hohen Millionenbereich oder bis zu vier Prozent des weltweiten Jahresumsatzes können die Folge sein, was in jedem Fall unbedingt vermieden werden sollte. Die Bemessung richtet sich danach, welcher Betrag jeweils höher liegt.

Der vorliegende Fall ist ein plakatives Beispiel dafür, dass ein enormes Bußgeld durch relativ simple Maßnahmen hätte vermieden werden können.

Nicht nur die finanziellen Herausforderungen können für Unternehmen überwältigend sein, ebenso sind rufschädigende Auswirkungen möglich. Ein solcher Imageschaden kann womöglich zu einem Vertrauensverlust auf Seiten der Verbraucher führen, die zunehmend für das Thema Datensicherheit sensibilisiert werden.

Auch in Zukunft wird Datenschutz von großer Bedeutung sein. Gerade auch Apps zur Kontaktverfolgung haben während der Pandemie gezeigt, wie heikel und herausfordernd der Umgang mit personenbezogenen Daten ist. Aus diesem Grund sind umfassende Maßnahmen zum Schutz der digitalen Infrastruktur nachhaltig und ratsam.

 
 
 

 

 

 


Bilder aus dem Urlaub, alltägliche Aufnahmen, Videos vom Schwimmbadbesuch oder bei der Einschulung – Kinder sind nicht selten Gegenstand zahlreicher, teilweise auch werbeeffektiver Inszenierungen oder Zurschaustellungen auf sozialen Medien wie Facebook, Instagram und Co. durch ihre Eltern. Die Veröffentlichung von Kinderbildern auf sozialen Netzwerken birgt jedoch folgenschwere Auswirkungen auf die Kindesentwicklung.

Oftmals sind sich Eltern über die Tragweite der Veröffentlichung von sensiblen Kinderfotos im Netz nicht bewusst. So stellen sich das ungewollte Zugänglichmachen für eine Vielzahl von Personen oder die Schwierigkeit des Löschens der Bilder aus dem Netz immer wieder als Problem dar. Dabei verdienen Kinder im Allgemeinen, aber auch im Bereich des Datenschutzes, besonderen Schutz. Das OLG Düsseldorf befasste sich im Juli 2021 mit der Frage, ob es der Einwilligung beider Elternteile hinsichtlich der Veröffentlichung von Kinderfotos bei geteiltem Sorgerecht bedarf.

 


Das Wichtigste in Kürze:

  • Die Verwendung von Fotografien unterfällt dem Einwilligungserfordernis des Art. 6 Abs. 1 Satz 1 lit. a) DSGVO.
    Die Einwilligung in die Veröffentlichung von Bildern ist von den Eltern als „Träger elterlicher Verantwortung“ nach Art. 8 Abs. 1 Satz 2 DSGVO einzuholen, sofern das Kind das 16. Lebensjahr noch nicht vollendet hat.

  • Sofern eine Entscheidung „von erheblicher Bedeutung“ für das Kind nach § 1687 Abs. 1 Satz 1 BGB vorliegt, ist das gegenseitige Einvernehmen der Eltern erforderlich, sofern diese dauerhaft getrennt leben.

  • Nach § 22 KUG kann ebenfalls ein Zustimmungserfordernis des Kindes selbst vorliegen, wenn dieses im Einzelfall nach seinem Entwicklungsstand entscheidungsfähig ist.



Hintergrund der Entscheidung des Gerichts

Der Entscheidung des Oberlandesgerichts Düsseldorf lag die Fragestellung zugrunde, ob die Zustimmung beider Elternteile bei der Veröffentlichung von Kinderbildern notwendig ist oder ob vielmehr lediglich die Einwilligung eines sorgeberechtigten Elternteils ausreicht.

Die in Rede stehenden Eheleute leben getrennt, sind jedoch beide sorgeberechtigt. Vorliegend betreibt die neue Lebensabschnittsgefährtin des Kindesvaters einen Friseursalon. Im Zuge von Werbe- und Marketingmaßnahmen nahm die Lebensgefährtin für ihr Friseurgewerbe Bilder von den Kindern auf und verbreitete diese auf ihrer Facebook- bzw. Instagram-Seite. Die Fotos bildeten die Töchter beim Haareschneiden ab. Der Vater stimmte dieser Veröffentlichung auch zu, die leibliche Mutter hingegen nicht.

Jegliche Aufforderungen seitens der leiblichen Mutter, das Veröffentlichen der Bilder zu unterlassen und bereits hochgeladene Bilder zu löschen, scheiterten. Die zuvor an die Lebensgefährtin zur Unterschrift versandte Unterlassungserklärung fand ebenfalls keine Beachtung. Ebenso lehnte es der leibliche Vater ab, das Anliegen seiner (noch) Ehefrau zu unterstützen. Vielmehr folgte die Veröffentlichung weiterer Aufnahmen der Kinder auf den Social-Media-Plattformen der Lebensgefährtin.



Einwilligungserfordernis bei Veröffentlichung von Kinderfotos

Insbesondere aufgrund des Trends, medienwirksam Kinderbilder auf einschlägigen sozialen Plattformen hochzuladen, der weltweiten Verbreitungsmöglichkeit in Sekundenschnelle und der Gefahren des ungefilterten Zugänglichmachens von Kinderbildern an eine breite Zuschauerschaft, sei hier auf datenschutzrechtliche Hindernisse und Problematiken hingewiesen.

Grundsätzlich unterfällt das Verwenden von Bildnissen dem Einwilligungserfordernis des Art. 6 Abs. 1 Satz 1 lit. a) DSGVO. Hiernach ist die Verarbeitung von Fotos nur rechtmäßig, wenn die betroffene Person ihre Einwilligung zu der Verarbeitung abgegeben hat.

Gemäß. Art. 8 Abs. 1 Satz 1 DSGVO sind Minderjährige nach Vollendung des 16. Lebensjahres einwilligungsfähig. Nach Art. 8 Abs. 1 Satz 2 DSGVO ist eine etwaige Verarbeitung eines Bildes bei nicht vollendetem 16. Lebensjahr nur rechtmäßig, „sofern und soweit diese Einwilligung durch den Träger der elterlichen Verantwortung für das Kind oder mit dessen Zustimmung erteilt wird“. Demnach unterliegt die Einwilligung der Bestimmung, dass der jeweils sorgeberechtigte Elternteil einwilligen muss.

Im vorliegenden Fall leben die Eltern dauerhaft getrennt, teilen sich aber das Sorgerecht. Nach der Rechtslage des deutschen Sorgerechts ist gerade in einer solchen Konstellation von Bedeutung, ob es sich um eine Angelegenheit des täglichen Lebens oder um eine Entscheidung von erheblicher Bedeutung für das Kind handelt. Sofern sich das Geschehen als alltägliche Angelegenheit darstellt, dürfte gem. § 1687 Abs. 1 Satz 2 BGB die Entscheidung über die Veröffentlichung der Bilder dem Elternteil obliegen, bei dem sich das Kind gewöhnlich aufhält. Sollte es sich jedoch um eine Entscheidung mit erheblicher Bedeutung handeln, muss nach § 1687 Abs. 1 Satz 1 BGB das gegenseitige Einvernehmen der Sorgeberechtigten, also beider Elternteile, eingeholt werden.

Es ist demnach zu prüfen, ob die Erheblichkeitsschwelle des § 1628 BGB im Einzelfall überschritten wird und eine etwaige Veröffentlichung mit Auswirkungen auf die Entwicklung des Kindes einhergeht.

Überdies kann zusätzlich noch die Zustimmung des Kindes selbst erforderlich sein. Nach § 22 KUG dürfen Bildnisse nur mit der Einwilligung des Abgebildeten veröffentlich werden. Bei Minderjährigen, die selbst also schon einwilligungsfähig sind, reicht die Einwilligung der Eltern also noch nicht aus. Vielmehr können einwilligungsfähige Kinder selbst einwilligen. Wann diese Einwilligungsfähigkeit vorliegt, sei angesichts der Umstände des Einzelfalls nach dem jeweiligen Entwicklungsstand des betroffenen Kindes zu entscheiden.



Verfahrenshergang und Entscheidung des Gerichts

Zunächst beantragte die Kindesmutter infolge der Weigerung ihres Noch-Ehemannes und dessen Lebensgefährtin, die Veröffentlichung von Bildern der Kinder zu unterlassen, eine einstweilige Anordnung vor dem AG Düsseldorf. Das AG hörte die Mutter an und übertrug dieser das alleinige Sorgerecht für den außergerichtlichen und gerichtlichen Streit mit der Lebensgefährtin. Den leiblichen Vater hörte das AG Düsseldorf dabei jedoch nicht an. Die Lebensgefährtin entfernte die Fotos auf den Beschluss des AG hin von ihren Auftritten in den sozialen Medien. Allerdings sah der Vater der beiden Töchter sein rechtliches Gehör verletzt und zog mit einer Beschwerde vor das OLG Düsseldorf. Nach seinem Vortrag zeigen die Kinderfotos seiner Auffassung entsprechend eine alltägliche Normalität, die seine Kinder in keiner Weise in deren Persönlichkeit verletzen würden und folglich seine Einwilligung genügen lassen.

Letztlich sprach sich das OLG Düsseldorf für das Kindeswohl und somit für ein Zustimmungserfordernis beider Elterneile aus. Die Richter bewerteten die Veröffentlichung der in Rede stehenden Kinderbilder als höchst sensibel, sodass sie die Erheblichkeitsschwelle des § 1628 BGB letztlich als überschritten sahen. Das Gericht führte aus, dass das öffentliche Teilen der Bilder in sozialen Medien schwer abzuändernde Auswirkungen auf die Entwicklung des Kindes habe. Das ergebe sich bereits aus der Tragweite der Verbreitung von Fotos in digitalen sozialen Medien unter Berücksichtigung der hiervon betroffenen Privatsphäre der Kinder und des gebotenen Schutzes ihrer Persönlichkeit. Der Personenkreis, dem die Fotos auf diese Weise zugänglich gemacht werden, sei unbegrenzt. Ihre Weiterverbreitung sei kaum kontrollierbar. Eine verlässliche Löschung der Bilder sei nicht möglich.

Weiterhin ist das Gericht der Ansicht, dass Kinder mit den Abbildungen aus ihrer Kindheitszeit potentiell für immer seitens eines unbeschränkten Personenkreises konfrontiert bleiben.

Insofern sei die Veröffentlichung der Bilder im Internet als „Entscheidung von erheblicher Bedeutung für das Kind“ im Sinne des § 1628 BGB einzustufen. Für eine solche Entscheidung reicht also lediglich die Zustimmung eines Elternteils, vorliegend die des Kindesvaters, nach § 1687 Abs. 1 Satz 1 BGB nicht aus. Das beidseitige Einvernehmen beider Elterneile ist erforderlich.

Überdies ist die Fotoveröffentlichung auch aufgrund von § 22 Satz 3 und Satz 4 KUG unzulässig, da es für eine solche Maßnahme der Einwilligung beider Elternteile mangels Einwilligungsfähigkeit des Kindes bedarf.

Den Einwand des Vaters, dass seine von ihm getrenntlebende Ehefrau sowie die Großmutter der Kinder ebenfalls ohne seine Einwilligung Fotos von den Kindern ins Internet gestellt hatten, ließ das AG Düsseldorf nicht gelten. Für das vorliegende Verfahren sei allein die konkrete Angelegenheit und die jeweilige konkrete rechtswidrige Bildverarbeitung entscheidend. Deren Gegenstand ist ausschließlich die Verbreitung von Bildern der Kinder durch die Lebensgefährtin des Vaters und die daraus resultierende Auseinandersetzung. Aus dem Vorverhalten kann keine allgemeingültige Einwilligung für zukünftige Veröffentlichungen hergeleitet werden.

Den Beschwerdewert hatte das Gericht auf 2.000 Euro festgesetzt.

 

Ausblick

Kinder sind in besonderem Maße schützenswert. Digitale Bedrohungen des 21. Jahrhunderts, wie etwa die Nutzung von sozialen Netzwerken, der Verbreitungsmöglichkeit sensibler Bilder an einen unbegrenzten Personenkreis seitens der Eltern sowie einer späteren Konfrontationsmöglichkeit mit unliebsamen Bildern, bleiben vielfach ignoriert und unberücksichtigt. Jedoch ist hier ebenfalls Vorsicht geboten, denn „dem Kindeswohl entspricht ein Umgang mit der Verbreitung von Kinderbildern in digitalen sozialen Medien, der die insoweit einschlägigen – vornehmlich den Schutz der Persönlichkeit des Kindes bezweckenden – gesetzlichen Einwilligungserfordernisse respektiert.“

Liegt keine Einwilligung beider Elternteile vor, ist die Veröffentlichung der Fotos rechtswidrig. Das Kind oder auch das Elternteil, das nicht in die Veröffentlichung eingewilligt habe, könne dann die Löschung der Fotos sowie die zukünftige Unterlassung derartiger Veröffentlichungen gemäß § 1004 Abs. 1 S. 2 BGB i.V.m. §§ 823 Abs. 2 BGB, 22, 23 KUG verlangen.

Verwenden Sie also Bilder von Kindern zu Werbe- und Marketingzwecken, sollten Sie stets alle erforderlichen Einwilligungen der beteiligten Personen einholen. Auch bei  der Inszenierung der Fotografien sind das Kindeswohl und die potentielle Auswirkung der Veröffentlichung des konkreten Motivs für die Entwicklung des Kindes stets im Auge zu behalten.

 

 
 
 

 

 

 

Neben dem Recht auf Auskunft ist das Recht auf Vergessenwerden eines der wesentlichen Betroffenenrechte aus der Datenschutzgrundverordnung. Wann Betroffene dieses Recht geltend machen können und wann eine Löschpflicht des Verantwortlichen vorliegt, wird durch die DSGVO näher geregelt. Neben einer tatsächlichen Löschung sieht der Gesetzgeber die Möglichkeit der Anonymisierung vor.

In welchen Fällen eine Anonymisierung erfolgen kann und wie diese Abläuft, können Sie diesem Beitrag entnehmen.

 

Das Wichtigste in Kürze

  • Nach Art. 17 DSGVO hat jeder Betroffene das Recht, vom Verantwortlichen eine Löschung der über ihn gespeicherten personenbezogenen Daten zu verlangen
  • Eine Löschverpflichtung des Verantwortlichen kann unter Umständen entfallen, wenn eine der Ausnahmen des Art. 17 Abs. 3 DSGVO vorliegt
  • Ausschlaggebend für die Umsetzung der Löschpflicht nach Art. 17 DSGVO ist der Löscherfolg. Es muss faktisch unmöglich sein von den personenbezogenen Informationen Kenntnis zu nehmen.
  • Unter Umständen genügt für eine Löschung eine Anonymisierung der personenbezogenen Daten.
  • Eine Anonymisierung kann durch Randomisierung, Generalisierung oder eine Kombination der beiden Varianten erfolgen.

 

Recht auf Vergessenwerden

Im Gegensatz zu den anderen Betroffenenrechten, die sich aus der DSGVO ergeben und regelmäßig einen Antrag des Betroffenen voraussetzten, ergibt sich das Recht auf Vergessenwerden sowie ein unmittelbarer Löschanspruch der betroffenen Person auch unabhängig von einem Antrag aus Art. 17 Abs. 1 DSGVO.

Eine Löschung muss insoweit unverzüglich vorgenommen werden, wenn die betroffene Person eine Löschung verlangt und sobald einer der Löschgründe aus Art. 17 Abs. 1 DSGVO gegeben ist.

 

Pflicht zur Löschung nach Art. 17 Abs. 1 DSGVO

Liegen folgende Voraussetzungen vor, ist der Verantwortliche zur unverzüglichen Löschung verpflichtet:

  • Die personenbezogenen Daten, die für die Verarbeitung zu einem bestimmten Zweck erhoben wurden, werden nicht mehr benötigt
  • Der Betroffene widerruft seine ursprünglich erteilte Einwilligung und es liegt keine anderweitige Rechtsgrundlage ein
  • Der Betroffene widerspricht der Datenverarbeitung im Sinne von Art. 21 DSGVO
  • Die Datenverarbeitung war unrechtmäßig
  • Die Löschung dient der Erfüllung einer rechtlichen Verpflichtung des Verantwortlichen
  • Die personenbezogenen Daten wurden in Bezug auf angebotene Dienste gem. Art. 8 Abs. 1 DSGVO erhoben

Ausnahmen von der Löschpflicht nach Art. 17 Abs. 3 DSGVO

Liegt eine der folgenden Ausnahmen nach Art. 17 Abs. 3 DSGVO vor, entfällt eine Pflicht des Verantwortlichen:

  • Die Verarbeitung ist für die Ausübung des Rechts auf freie Meinungsäußerung und Information erforderlich;
  • Die Verarbeitung für die Erfüllung einer Rechtspflicht oder einer öffentlichen Aufgabe erforderlich ist;
  • Der Löschung steht ein öffentliches Interesse im Bereich der öffentlichen Gesundheit entgegen;
  • Die Verarbeitung ist zu Archiv-, Forschungs- und statistischen Zwecken erforderlich;
  • Die Verarbeitung ist für die Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich.

 

Mit der Löschpflicht zusammenhängende Pflichten

Abgesehen von der konkreten Löschung ist der Verantwortliche weiterhin gem. Art. 19 DSGVO verpflichtet, weitere Datenempfänger zu benachrichtigen. Zudem ist der Verantwortliche gem. Art. 17 Abs. 2 DSGVO verpflichtet, sofern die Daten öffentlich gemacht wurden, weitere Verantwortliche davon zu unterrichten, dass der Betroffene eine Löschung sämtlicher Links zu diesen personenbezogenen Daten oder gegebenenfalls Kopien oder Replikationen dieser personenbezogenen Daten verlangt.

Zudem ist im Anschluss an die Löschung die betroffene Person über den Löschvorgang nach Art. 19 DSGVO zu informieren.

 

Umsetzung der Löschpflicht

Nach Art. 4 Nr. 2 DSGVO stellt der Löschvorgang selbst eine Datenverarbeitung i.S.d. DSGVO dar. Da der Begriff des Löschens in der DSGVO nicht weiter definiert wird, können Löschungen auf unterschiedliche Art und Weise durchgeführt werden. Zu beachten ist hierbei, dass von der unverzüglichen und unentgeltlichen Löschpflicht des Verantwortlichen solche Daten ausgenommen sind, die vom Verantwortlichen rechtmäßig offengelegt und infolgedessen von Dritten gespeichert wurden.

Folgende Löschhandlungen kommen grundsätzlich in Betracht:

  • Überschreiben der Datenträger, die die personenbezogenen Daten speichern;
  • Physische Zerstörung der Datenträger und fachmännische Entsorgung;
  • Löschung der Verknüpfungen oder Codierungen, die eine Wahrnehmung der personenbezogenen Daten ermöglichen;
  • Auslistung (insb. bei Suchmaschinen).

Ausschlaggebend für die Umsetzung der Löschpflicht nach Art. 17 DSGVO ist der Löscherfolg. Das heißt, es muss faktisch unmöglich sein von den personenbezogenen Informationen Kenntnis zu nehmen.

Löscherfolg durch Anonymisierung

Es stellt sich mithin die Frage, ob für eine Löschung von personenbezogenen Daten eines Betroffenen nach Art. 17 Abs. 1 DSGVO eine sachgemäße Anonymisierung ausreicht. Schließlich können anonymisierte Daten keiner natürlichen Person mehr zugeordnet werden. Anonymisierte Daten weisen keinerlei Personenbezug auf, sodass sie nicht mehr den datenschutzrechtlichen Vorschriften unterfallen.

Die DSGVO enthält in diesem Zusammenhang keine praktischen Regelungen oder Definitionen im Hinblick auf anonyme Daten. Auf anonymisierte Daten wird lediglich in Erwägungsgrund 26 Bezug genommen. Danach finden datenschutzrechtliche Grundsätze keine Anwendung, wenn Informationen vorliegen, die keinen Bezug zu einer identifizierten oder identifizierbaren natürliche Person haben.

Eine absolute Anonymisierung dahingehend, dass es niemandem mehr möglich ist einen Personenbezug wiederherzustellen, wird in der Regel kaum möglich sein. Im Hinblick darauf ist es aus Sicht des Datenschutzes ausreichend, dass der Personenbezug lediglich so weit aufgehoben ist, dass es faktisch unmöglich ist, eine Re-Identifizierung vorzunehmen. Es darf faktisch auch nicht mehr möglich sein, eine natürliche Person anhand mehrerer Datensätze eines Datenbestandes oder auch unter mehreren voneinander unabhängigen Datenbeständen zu identifizieren. Dies ist regelmäßig dann der Fall, wenn Kosten und Zeitaufwand einer erneuten Identifizierung unverhältnismäßig hoch wären.

Im Hinblick auf eine sachgemäße Anonymisierung ist auf den Zeitpunkt der Durchführung sowie die zu diesem Zeitpunkt vorhandenen Technologien und technologischen Entwicklungen abzustellen. In diesem Zusammenhang obliegt es dem Verantwortlichen in regelmäßigen Abständen sicherzustellen, dass die Anonymisierung dem aktuellen Stand der Technik entspricht und jegliche Re-Identifizierungsmöglichkeit zu beseitigen.

 

Arten der Anonymisierung

Die Art. 29-Datenschutzgruppe werden mögliche Arten der Anonymisierung in folgende drei Gruppen eingeteilt:

  • Randomisierung

Dabei werden Datensätze aus dem Datenbestand zufällig herausgegriffen und isoliert. Dies kann je nach Datenbestand zu einer permanenten De-Identifikation führen. Allerdings muss dies für den konkreten Fall geprüft und sichergestellt werden.

  • Generalisierung

Hierbei werden Quasi-Identifier wie Einzelangaben und Werte so gut wie möglich zusammengefasst, sodass künstlich ein Verlust von Informationen herbeigeführt wird.

  • Kombination der Randomisierung und Generalisierung

Durch eine Kombination der genannten Varianten wird eine Verknüpfung der Datensätze in verschiedenen Datenbanken verhindert, sodass diese nicht mehr in Verbindung gebracht werden können.

 

Rechtsgrundlage der Anonymisierung

Da nach Ansicht des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) auch eine Anonymisierung eine Verarbeitung personenbezogener Daten im Sinne von Art. 4 Nr. 2 DSGVO in Gestalt einer Veränderung bzw. der Löschung darstellt, bedarf es auch für diese einer Rechtsgrundlage.

Grundsätzlich kommen insoweit sämtliche Rechtsgrundlagen des Art. 6 DSGVO in Betracht. In diesem Zusammenhang ist ein Rückgriff auf die Zweckänderung aus Art. 6 Abs. 4 DSGVO von besonderem Interesse. Darauf könnte die Anonymisierung  gestützt werden, sofern sie mit dem ursprünglichen Verarbeitungszweck, für den die Daten erhoben wurden, vereinbar ist.

Weiterhin wird als Rechtsgrundlage für die Anonymisierung Art. 6 Abs. 1 S. 1 lit. c) i.V.m. Art. 17 DSGVO herangezogen, da die Anonymisierung der Erfüllung der Löschpflicht des Verantwortlichen dient.

 

Geeignetheit der Anonymisierung zur Erfüllung der Löschpflicht

Unabhängig von der Frage nach der Rechtsgrundlage, auf welche die Anonymisierung gestützt werden kann, ist die Frage zu klären, ob eine Anonymisierung eine geeignete Löschhandlung zur Erfüllung der Löschpflicht des Verantwortlichen darstellt und dem Löschanspruch des Betroffenen gerecht wird. Insbesondere, da es in der Regel nur schwer feststellbar ist, wann eine sachgerechte Datenanonymisierung vorliegt.

Insoweit hat der Verantwortliche seiner Löschpflicht bereits Genüge getan, wenn es im Zeitpunkt der Vornahme der Anonymisierung faktisch unmöglich ist einen Personenbezug wiederherzustellen. In dem genannten Zeitpunkt darf es nicht möglich sein, ohne unverhältnismäßigen Aufwand eine Person zu identifizieren oder identifizierbar zu machen.

Die Löschpflicht aus Art. 17 DSGVO steht in engem Zusammenhang mit dem Grundsatz der Speicherbegrenzung aus Art. 5 Abs. 1 lit. e) DSGVO. Letzterer besagt, dass die Identifizierung oder Identifizierbarkeit einer Person nur solange möglich sein darf, bis der Verarbeitungszweck, zu dem die personenbezogenen Daten ursprünglich erhoben wurden, erreicht ist.

Daraus folgt, dass eine Löschpflicht nach Art. 17 Abs.1 lit. a) DSGVO immer dann besteht, sobald die personenbezogenen Daten für eine zweckgebundene Datenverarbeitung nicht mehr erforderlich sind.

Daher ist die Löschpflicht immer dann ausreichend erfüllt, wenn durch eine geeignete Löschhandlung im Rahmen einer sachgemäßen Anonymisierung jeglicher Personenbezug, der eine Identifizierung oder Identifizierbarkeit ermöglicht, aufgehoben wird.

 

Ausblick

Liegt eine gesetzliche Löschpflicht vor oder machen Betroffene ihren Anspruch auf Löschung geltend, hat dies nicht unbedingt zur Folge, dass Daten vernichtet werden müssen. Auch Maßnahmen der Anonymisierung können einer Löschung im Sinne der DSGVO genügen. Diese Art der Datenverarbeitung birgt allerdings auch Risiken. Bei der Durchführung einer Anonymisierung gilt es daher unbedingt zu beachten, dass eine Rechtsgrundlage vorliegt und Sie als Verantwortlicher ihren Informationspflichten nachkommen, in dem Sie den Betroffenen umfassend über eine Anonymisierung informieren.

Da die Generierung eines anonymen Datenbestandes eine große Herausforderung für den Verantwortlichen darstellt und einige Fehlerquellen birgt, sollte in der Regel eine Risikoanalyse und gegebenenfalls eine Datenschutz-Folgenabschätzung durchgeführt werden. Findet in Ihrem Unternehmen regelmäßig eine Datenanonymisierung statt, sollten Sie die bestehende Anonymisierungen überprüfen und gegebenenfalls neu bewerten.

 

 
 
 

 

 

 

 

Datenschutz – eines der größten Haftungsrisiken

Die beste Strategie zur Vermeidung von Bußgeldern auf Grund von Datenschutzverstößen ist die umfängliche und kompromisslose Einhaltung aller Regelungen der Datenschutz-Grundverordnung (DSGVO) und des Bundesdatenschutzgesetztes (BDSG). Leider sind viele Regelungen der DSGVO unklar gefasst und noch immer sind zahlreiche praktische Fragen ungeklärt.

Die genauen Anforderungen an die rechtskonforme Umsetzung einzelner Datenverarbeitungen oder an das Datenschutzmanagementsystem eines Unternehmens sind ohne besondere Expertise nicht bewertbar. Für Verantwortliche ist es daher umso wichtiger, Vorkehrungen zu treffen, um das Unternehmen und sich selbst vor Haftung zu schützen.

 

Die Haftung für DSGVO-Verstöße

Die DSGVO selbst sieht als Sanktionsmöglichkeiten insbesondere Schadensersatzansprüche (Art. 82 DSGVO) sowie die Verhängung von Geldbußen bis zu 20 Millionen Euro oder 4 % des weltweiten Vorjahresumsatzes des Unternehmens / Konzerns vor.

Adressat dieser Sanktionen ist zunächst die Verantwortliche Stelle (Art. 4 Nr. 7 DSGVO). Im Falle von Unternehmen ist dies regelmäßig die juristische Person selbst und nicht deren Geschäftsführer oder Vorstände.

Allerdings kann sich für Geschäftsführer und Vorstände eine persönliche Haftung ergeben, wenn die Datenschutzverstöße auf einer Verletzung ihrer Aufsichts- und Legalitätspflichten beruhen.

Das mangelnde Hinwirken auf die Einhaltung der Regelungen des Datenschutzes stellt eine Sorgfaltspflichtverletzung im Sinne des § 43 GmbHG sowie § 93 Abs.2 AktG dar und kann zu Regressansprüchen des Unternehmens gegenüber der Leitung führen. Dabei können sich Vorstände und Geschäftsführer nicht auf die Behauptung zurückziehen, über kein ausreichendes Fachwissen zu verfügen oder die Aufgabe delegiert zu haben.

Die Unternehmensleitung ist verpflichtet, sich umfassend über die Regelungen des Datenschutzes zu informieren oder beraten zu lassen und für die ständige Einhaltung der Gesetze in ihrem Unternehmen zu sorgen.

Des Weiteren können Geschäftsführer und Vorstände gemäß § 130 Abs. 1 OWiG auch persönlich Adressaten eines Bußgeldes sein, wenn sie schuldhaft gegen Aufsichts-, Überwachungs- oder andere Sorgfaltspflichten verstoßen und es innerhalb ihres Unternehmens dadurch zur Begehung von Straftaten oder Ordnungswidrigkeiten kommt. Insbesondere der Verstoß gegen Datenschutzvorschriften stellt neben einer möglichen Strafbarkeit auch eine Ordnungswidrigkeit im Sinne der o.g. Norm dar.

 

Wie wir Ihnen helfen, die Haftung zu vermeiden

In einem ersten Schritt verschaffen wir uns in Form eines Kurzaudits einen Überblick über den Ist-Stand des Datenschutzmanagementsystems Ihres Unternehmens. Auf Grundlage dessen identifizieren wir unmittelbar dessen Schwachstellen und entwickeln gemeinsam mit Ihnen eine Roadmap, um die Haftungsrisiken in Ihrem Unternehmen entsprechend ihrer Priorität zu beheben.

Teil dieses Prozesses ist insbesondere eine umfassende Begutachtung aller in Ihrem Unternehmen durchgeführten Datenverarbeitungen, von der Erhebung bis hin zur Archivierung und Löschung. Aus dieser Begutachtung leiten wir klare Handlungsempfehlungen für Sie ab.

Sind diese umgesetzt und die Datenschutzkonformität der Verarbeitung wurde durch uns festgestellt, kann ihrem Unternehmen und Ihnen nicht mehr vorgeworfen werden, wissentlich gegen die DSGVO verstoßen zu haben. Im Rahmen des Auf- bzw. Ausbaus ihres Datenschutzmanagementsystems beraten und unterstützen wir Sie in allen Bereichen.

Von der fachlichen Überprüfung der Einführung technischer und organisatorischer Maßnahmen über die Vorbereitung und Verhandlung von Betriebsvereinbarungen mit Ihrem Betriebsrat bis hin zur Verteidigung gegen Bußgeldbescheide und Rechtsansprüche Dritter.

 
 
 

 

 

 

Die Whistleblower-Schutzrichtlinie kommt!

Mit der europäischen Whistleblower-Richtlinie werden künftig Personen geschützt, die Missstände in ihrem Unternehmen melden. Letztere werden unter anderem verpflichtet, entsprechende Meldekanäle einzurichten.

Die Mitgliedsstaaten haben nun bis zum 17. Dezember 2021 Zeit, die Richtlinie in das nationale Recht umzusetzen. Das Bundesministerium für Justiz und Verbraucherschutz (BMJV) hat zwar bereits einen Entwurf vorgelegt, allerdings fehlt es bislang noch an einer Einigung zwischen den Koalitionsparteien.

Trotzdem sollten Unternehmen sich bereits jetzt schon auf die Umsetzung vorbereiten. Der Whistleblower-Schutz wird kommen – egal ob mit oder ohne rechtzeitige Umsetzung im deutschen Recht. Es ist davon auszugehen, dass sich Betroffene notfalls unmittelbar auf die Richtlinie als Schutzgesetz berufen können. Deshalb sollten Unternehmen frühzeitig die entsprechenden Maßnahmen treffen, um den Anforderungen der Richtlinie gerecht zu werden, zumal die Nachfrage zur Einrichtung der vorgegebenen Meldekanäle bis Ende des Jahres stark ansteigen wird.

 

Was sieht der derzeitige Gesetzesentwurf vor?

Das BMJV hat Ende 2020 das sogenannte Hinweisgeberschutzgesetz entworfen. Der Entwurf setzt die Richtlinie fast 1:1 um und erweitert den Schutz sogar. Er sieht vor, dass der Schutz nicht nur in Bezug auf das Melden von Verstößen gegen das EU-Recht, sondern ebenfalls in Bezug auf Verstöße gegen das nationale Recht gilt. Hierdurch soll ermöglicht werden, dass Betroffene auch Angelegenheiten melden können, die straf- oder bußgeldbewehrt sind, sowie gegen das sonstige Bundesrecht verstoßen. Diese Ausweitungsmöglichkeit wird auch in der Richtlinie angelegt und den Mitgliedsstaaten überlassen.

Hierdurch soll verhindert werden, dass Hinweisgebende davon Abstand nehmen, einen Missstand zu melden aus Angst davor, dass dieser nicht von dem Gesetz erfasst wird, zumal die beiden Regelungssysteme oftmals eng miteinander verwoben sind.

Hinweisgebende könnten hierdurch beispielsweise auch Schmiergeldzahlungen, Steuerhinterziehungen und Verstöße gegen deutsche Umweltschutz- oder Arbeitsschutzbestimmungen melden.

Die externe Meldestelle soll der Datenschutzbeauftrage des Bundes sein. Im Falle von Verstößen gegen das Finanzrecht soll die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) zuständig sein. Außerdem soll jedes Bundesland eine eigene externe Meldestelle einrichten können für Meldungen, die Dienststellen des jeweiligen Landes betreffen.

Auch der Entwurf sieht ein Verbot von Repressalien vor, welches im Falle eines Verstoßes Schadensersatzpflichten zugunsten der/des Hinweisgebenden auslöst. Ein Verstoß begründet allerdings keinen Anspruch auf Begründung eines Beschäftigungsverhältnisses, eines Berufsausbildungsverhältnis, eines anderen Vertragsverhältnisses oder eines beruflichen Aufstiegs.

Ebenso trifft Hinweisgebende eine Schadensersatzpflicht, wenn sie vorsätzlich oder grob fahrlässig eine Meldung unrichtiger Informationen veranlassen.

Verstöße gegen das Gesetz sollen als Ordnungswidrigkeit geahndet werden.

 

Wer und was ist vom Schutz der Richtlinie erfasst?

Durch die Whistleblower-Richtlinie sollen Mitarbeitende, die Missstände in ihrem Unternehmen melden, vor negativen Konsequenzen, wie Kündigung, Degradierung, Einschüchterung und sonstiger Diskriminierung, geschützt werden.

Von dem Schutz werden auch ehemalige Mitarbeitende, BewerberInnen sowie UnterstützerInnen der/des Hinweisgebenden und Journalisten erfasst.

Dies gilt sowohl in Unternehmen als auch in öffentlich-rechtlichen Einrichtungen, also in Behörden und Ämtern in Kommunen mit mehr als 10.000 Einwohnern und allen juristischen Personen des öffentlichen Rechts.

Der Schutz gilt allerdings nur für die Meldung von Missständen mit Bezug auf EU-Recht. Hiervon umfasst sind unter anderem die Bereiche der Finanzdienstleistungen, Produktsicherheit, Verkehrssicherheit, Umweltschutz, öffentliche Gesundheit, Verbraucherschutz, Schutz der Privatsphäre und der personenbezogenen Daten.

 

Welche Pflichten sieht die Richtlinie vor?

Unternehmen ab 50 Mitarbeitenden sind verpflichtet interne Meldekanäle bereitzustellen. Unternehmen mit 50-249 Mitarbeitenden wird eine Übergangsfrist von zwei Jahren eingeräumt.

Die Meldung soll mündlich, schriftlich und auf Wunsch auch persönlich möglich sein. Eine Pflicht zur Entgegennahme von anonymen Meldungen besteht nicht. Allerdings muss die Identität der/des Hinweisgebenden vertraulich behandelt werden.

Der Eingang der Meldung soll dann binnen 7 Tagen bestätigt werden und binnen 3 Monaten muss die Meldestelle dem/der Hinweisgebenden mitteilen, welche Maßnahmen ergriffen wurden.

Die Mitgliedsstaaten sind außerdem verpflichtet externe, unabhängige Meldekanäle einzurichten.

 

Welche Möglichkeiten haben Betroffene?

Der/die Betroffene hat die Wahl, ob er/sie eine Angelegenheit intern im Unternehmen oder extern bei der zuständigen Aufsichtsbehörde meldet. In beiden Fällen genießt er/sie den Schutz der Richtlinie.

Sollte daraufhin nichts geschehen, kann der/die Betroffene sodann an die Öffentlichkeit gehen. Besteht Grund zur Annahme, dass der „Verstoß eine unmittelbare oder offenkundige Gefährdung des öffentlichen Interesses darstellen kann“ oder „im Fall einer externen Meldung Repressalien zu befürchten sind oder aufgrund der besonderen Umstände des Falls geringe Aussichten bestehen, dass wirksam gegen den Verstoß vorgegangen wird“ besteht auch die Möglichkeit sich direkt an die Öffentlichkeit zu wenden, ohne den Schutz einzubüßen.

 

Wie sieht der Schutz der Richtlinie genau aus?                                      

Die Richtlinie sieht vor, dass jede Form von Repressalien gegen Hinweisgebende, einschließlich deren Versuch und deren Androhung, verboten ist.

Außerdem dürfen Hinweisgebende nicht für die Offenlegung der Meldung haftbar gemacht werden, wenn sie hinreichenden Grund zu der Annahme hatten, dass die Meldung notwendig war, um einen Verstoß gemäß der Richtlinie aufzudecken. Dies gilt auch für die Beschaffung und den Zugriff auf die Information, die gemeldet wurde, es sei denn, dass diese eine eigenständige Straftat darstellt.

Kommt es aufgrund einer Repressalie zu einem Gerichtsverfahren soll eine Beweislastumkehr zugunsten der/des Betroffenen stattfinden. Dies bedeutet, dass beispielsweise im Falle einer Kündigung im Nachgang zu einer Meldung grundsätzlich die Vermutung besteht, dass die Kündigung gerade wegen dieser Meldung erfolgt ist. Der Arbeitgeber muss dann das Gegenteil beweisen.

 

Sanktionen

Sollte ein Unternehmen das Melden von Missständen behindern oder dies versuchen, hat es mit Sanktionen zu rechnen. Dies gilt auch für den Fall, dass die Identität der/des Betroffenen nicht vertraulich behandelt wurde.

 

 

Mit freundlichen Grüßen
Team Kolb, Blickhan & Partner

 

Call Now ButtonKontakt aufnehmen