Kategorie: Urteile

Beim Schadensersatz zählen Mitarbeiter nicht als Ausrede

Beim Schadensersatz zählen Mitarbeiter nicht als Ausrede

Der EuGH hat mit Urteil vom 11. April 2024 (Az.: C-741/21) die Rechte von Betroffenen weiter gestärkt. Einerseits betont das Gericht deutlich, dass der “Verlust der Kontrolle” über personenbezogene Daten bereits als Schaden angesehen werden kann. Andererseits erschwert es Unternehmen die Entlastung, wenn ein solcher Schaden erst einmal entstanden ist.

Verlust der Kontrolle als Schaden

Das Gericht zitiert das erste Mal Erwägungsgrund 85 der Datenschutz-Grundverordnung (DSGVO). Dieser führt u.a. den „Verlust der Kontrolle“ als einen der Schäden auf, die durch eine Verletzung personenbezogener Daten verursacht werden können. Dies bestätigt die bisherige Rechtsprechung, wonach schon der kurzzeitige Verlust der Kontrolle über personenbezogene Daten einen immateriellen Schaden darstellen kann.

Keine Haftungsbefreiung bei Fehlverhalten von Beschäftigten

Unternehmen können sich grundsätzlich von der Haftung befreien, wenn sie nachweisen, dass sie in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich sind (Art. 83 Abs. 3 DSGVO). Dies gelingt nach Ansicht des Gerichts aber nicht dadurch, dass sich Verantwortliche auf Fahrlässigkeit oder Fehlverhalten einer unterstellten Person berufen.  Verantwortliche haben sicherzustellen, dass Mitarbeiter, die Zugang zu personenbezogenen Daten haben, diese Daten grundsätzlich nur auf der Grundlage von Weisungen des Verantwortlichen und im Einklang mit diesen Weisungen verarbeiten (Art. 29 und 32 Abs. 4 DSGVO). Es ist somit Sache des Verantwortlichen, sich zu vergewissern, dass seine Weisungen von seinen Arbeitnehmern korrekt ausgeführt werden.

Ein Haftungsbefreiung für Verantwortliche gelingt nur bei dem Nachweis, dass es keinen Kausalzusammenhang zwischen Verletzung der gemäß den Art. 5, 24 und 32 DSGVO obliegenden Verpflichtung zum Datenschutz und dem der betroffenen Person entstandenen Schaden gibt.  Nicht ausreichend ist dagegen der Vortrag, dass eine unterstellte Personen erteilte Weisungen nicht befolgt hat und dies zum Eintritt des in Rede stehenden Schadens beigetragen hat.

Mitarbeiter zählen dabei nicht als Ausrede

Der immaterielle Schadensersatzanspruch soll nach dem Urteil des EuGH explizit als Anreiz zur Einhaltung der DSGVO dienen und die Durchsetzungskraft des Schutzes der DSGVO erhöhen und von der Wiederholung rechtswidriger Verhaltensweisen abschrecken. Mitarbeiter zählen dabei nicht als Ausrede. Arbeitgeber sollten dafür sorgen, dass erteilte Weisungen von den Mitarbeitenden korrekt ausgeführt werden. Dies macht ein Datenschutzmanagementsystem erforderlich, in welchem klar definierte Verantwortlichkeiten geregelt werden.

Rechtsanwalt Robert Harzewski

Data Privacy Framework

Data Privacy Framework

Sicherlich haben Sie bereits mitbekommen, dass das sogenannte Data Privacy Framework von der Europäischen Kommission beschlossen wurde. Der Datenaustausch zwischen der EU und den USA soll damit wieder rechtssicher werden.

Für alle Interessierten stellen sich im Wesentlichen nun zwei Fragen:

1. Kann ich meine Daten nun wieder in die USA übermitteln?
2. Wie lang wird das Data Privacy Framework halten?

 

1. Kann ich meine Daten nun wieder in die USA übermitteln?

 

Für den Moment gibt es wieder eine Rechtsgrundlage für die Datenübertragung in die USA. In dem Beschluss der Kommission wird festgelegt, dass die Vereinigten Staaten ein angemessenes Schutzniveau für personenbezogene Daten gewährleisten, die innerhalb des neuen Rahmens aus der EU an US-Unternehmen übermittelt werden. Auf der Grundlage des neuen Angemessenheitsbeschlusses können personenbezogene Daten daher aus der EU in die USA übermittelt werden, ohne dass zusätzliche Datenschutzgarantien eingeführt werden müssen. Dies betrifft aber nur solche Unternehmen, die am EU-US-Datenschutzrahmen teilnehmen. Vor einer Datenübermittlung ist daher zu prüfen, ob der US-Datenempfänger von der Datenschutzbehörde zertifiziert ist. Eine Übersicht der zertifizierten Unternehmen finden Sie auf der Data Privacy Framework List.

 

2. Wie lang wird das Data Privacy Framework halten?

Auch wenn Sie den Beschluss drehen und wenden, Sie werden kein Mindesthaltbarkeitsdatum finden.
Die Frage zur Rechtslage nach einem angemessenen Datenschutzniveau in den Vereinigten Staaten ist seit Jahren umstritten. In der Vergangenheit musste der EuGH bereits zweimal eingreifen. Mit den Schrems I und Schrems II Entscheidungen in den Jahren 2015 und 2020 erklärte das Gericht die Vorgänger-Beschlüsse für unwirksam.

Was könnte nun nach Schrems I und Schrems II kommen? Max Schrems hat die neue Klage bereits angekündigt. In einem Webinar, welches hier abgerufen werden kann, spricht er von einer 90%igen Wahrscheinlichkeit, dass das Data Privacy Framework nicht halten wird.
Der EuGH wird wohl mind. 2 Jahre für eine Entscheidung brauchen. Es gibt jedoch auch die Möglichkeit, dass das Gericht den Angemessenheitsbeschluss vorläufig aussetzt. Das könnte schon innerhalb eines halben Jahres passieren, ist aber wenig wahrscheinlich.

Auch wenn es inzwischen wieder mehr Rechtssicherheit gibt, sollte der Einsatz von US-Anbietern weiterhin kritisch hinterfragt werden. In vielen Bereichen gibt es gute europäische Lösungen, welche dann auch nicht betroffen sind, wenn der EuGH den Beschluss erneut für unwirksam erklärt.

 

Rechtsanwalt Robert Harzewski

Erheblichkeitsschwelle beim Schadenseratz

Erheblichkeitsschwelle beim Schadenseratz

An den falschen Empfänger versendete Unterlagen oder der Verlust von wichtigen Akten in einem öffentlichen Café, jeder Datenschutzverstoß kann auch immer die Forderung von Schadensersatz mit sich bringen. Voraussetzung ist, dass dem Betroffenen auch wirklich ein Schaden entstanden ist. Der bloße Verstoß gegen die DSGVO allein, soll nach Ansicht des EuGH (Urteil v. 04.05.2023 – C-300/21) noch nicht ausreichen, um einen immateriellen Schaden zu begründen. Eine Erheblichkeitsschwelle beim Schadensersatz wird jedoch nicht gefordert. Der EUGH stellte klar, dass jede konkrete Einbuße oder Beeinträchtigung auf Seiten des Betroffenen einen Schadensersatz begründen könne.

 

Was war passiert?

Die österreichische Post hatte Daten ihrer Kunden weitergegeben, damit eine Agentur anhand der Daten die Parteiaffinität der Kunden ermitteln und so zielgerichtete Wahlwerbung betreiben konnte. Der Kläger, dessen Daten so genutzt wurden, war nach eigenen Angaben „erbost“ davon und fühlte sich durch die Bekanntmachung seiner Parteiaffinität „bloßgestellt“. In anderen Worten: der Vorgang löste bei ihm zwar ein schlechtes Gefühl aus, aber verursachte keinen finanziellen Schaden. Das Gericht sollte nun urteilen, ob diese Gefühlslage einen immateriellen Schadensersatz begründet.

 

Keine Erheblichkeitsschwelle beim Anspruch auf immateriellen Schadensersatz nach Art. 82 DSGVO

Der EUGH machte deutlich, dass zwar nicht jeder Verstoß gegen die DSGVO einen Schadensersatz begründen könne. Sobald aber der Betroffene eine kausale Beeinträchtigung nachweisen kann, kommt es auf die Erheblichkeit nicht mehr an. Vielmehr ist jede konkrete Einbuße ersatzfähig. Eine Bagatellgrenze soll es gerade nicht geben. Wie hoch allerdings der Schadensersatz zu beziffern ist, lässt der EUGH offen, denn dafür sind die nationalen Gerichte zuständig.

Bisher gab es zu der Frage unterschiedliche Rechtssprechung. Gerichte, wie das OLG Dresden, lehnten einen Anspruch bei Bagatellverstößen, ohne ernsthafte Beeinträchtigung für das Selbstbild oder Ansehen einer Person oder eine benennbare tatsächliche Persönlichkeitsrechtsverletzung, ab. Das Bundesverfassungsgericht hob dagegen ein solches Urteil auf, da der Geldentschädigungsanspruch in der Rechtsprechung des EuGH zum damaligen Zeitpunkt nicht erschöpfend geklärt war.

 

Praxistipp:

Wahrscheinlich werden nach diesem Urteil künftig mehr Betroffene versuchen, einen immateriellen Schadensersatz gerichtlich durchzusetzen. Insbesondere die Forderung von niedrigen Beträgen verursacht neben den Prozesskostenrisiko auch immer einen nicht unerheblichen Aufwand für die eigene Recherche und Aufarbeitung.

Davor können Sie sich am besten schützen, indem Sie ein Ihr Datenschutz-Management optimieren. Es sollte eine professionelle Bewertung von Datenschutzverletzungen ermöglichen sowie eine Bearbeitung von Anfragen betroffener Personen sicherstellen. Idealerweise sollte das Datenschutz-Management System sogar dazu beitragen, Datenschutzverstöße vollständig zu vermeiden.

Rechtsanwalt Robert Harzewski

Geschäftsführer haften persönlich

Geschäftsführer haften persönlich!

Der Geschäftsführer einer GmbH kann neben der Gesellschaft “Verantwortlicher” im Sinne der DSGVO sein. Dies hat das OLG Dresden mit Urteil vom 30.11.2021, Az.: 4 U 1158/21, entschieden.

Sollte sich diese Rechtsauffassung durchsetzen, dann müssen Geschäftsführer künftig damit rechnen, bei Datenschutzverstößen in Anspruch genommen zu werden. Geschäftsführer haften dann persönlich.

Als „Verantwortlicher“ wird grundsätzlich die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle verstanden, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Die Frage ist also, ob man für die Verarbeitung zuständig ist. Diese Entscheidungszuständigkeit kann sich ergeben durch:

  • eine ausdrücklich gesetzlich zugewiesene Zuständigkeit (z.B. Verpflichtung, bestimmte Daten vorzuhalten oder bereitzustellen).
  • eine implizierte Zuständigkeit, abgeleitet aus traditionell bestehenden Rollen oder aus der Rechtspraxis (z.B. Arbeitgeber in Bezug auf Daten seiner Mitarbeiter).
  • den tatsächlichen Einfluss

In der Vergangenheit wurden Abgrenzungsfragen vor allem in Hinblick auf die Gemeinsame Verantwortlichkeit gestellt. In diesem Zusammenhang hatte der EuGH bereits eine Verantwortlichkeit angenommen, selbst wenn ein Akteur gar keinen Zugang zu den betreffenden Daten hatte (Urteil des EuGH vom 10.07.2018, Az: C-25/17).

Nach dem Urteil des OLG Dresden bleibt leider offen, welcher konkrete Tatbeitrag eines Geschäftsführers für eine persönliche Haftung erforderlich ist. Im Fall hatte der Geschäftsführer einen Datenschutzverstoß selbst veranlasst. Demgegenüber grenzt das Gericht die Verantwortlichkeit weisungsgebundener Angestellter oder sonstiger Beschäftigter ein. Bei diesen entfalle in aller Regel die Verantwortlichkeit.

In jedem Fall ist es ratsam, das ohnehin schon bestehende Haftungsrisiko, mit einem Datenschutzmanagementsystem, zu minimieren. So kann der Verantwortliche ein betriebliches Organisationsverschulden vermeiden. Sowohl bei dem zivilrechtlichen Schadensersatzanspruch, als auch bei der Bescheidung von Bußgeldern gilt das Verschuldensprinzip. Ohne Verschulden kann es keine Strafe geben. Daher ist ein Verschulden in der Praxis möglichst auszuschließen bzw. zumindest stark zu minimieren. Dadurch gelingt der Nachweis, dass der Verantwortliche alles getan hat, um das Entstehen eines Schadens zu verhindern.

 

Update vom 24.10.2022

Nun hat auch das OLG Nürnberg eine persönliche Haftung der Geschäftsführung einer GmbH gemäß § 43 Abs. 2 GmbHG angenommen, wenn keine oder unzureichende Compliance-Maßnahmen getroffen werden (OLG Nürnberg, Endurteil v. 30.03.2022 – 12 U 1520/19). Das Gericht stellte dabei vor allem fest, dass eine gelegentliche Prüfung nicht ausreicht.

Zu den Kernaussagen:

Nach Auffassung des Gerichts sind Geschäftsführer verpflichtet, ein Compliance Management System einzurichten. Es bedarf also organisatorische Vorkehrungen, welche die Begehung von Rechtsverstößen durch die Gesellschaft oder deren Mitarbeiter verhindern. Dabei ist der Geschäftsführer nicht nur verpflichtet, den Geschäftsgang so zu überwachen oder überwachen zu lassen, dass er unter normalen Umständen mit einer ordnungsgemäßen Erledigung der Geschäfte rechnen kann; er muss vielmehr weitergehend sofort eingreifen, wenn sich Anhaltspunkte für ein Fehlverhalten zeigen.
Eine Pflichtverletzung liegt jedoch schon dann vor, wenn durch unzureichende Organisation, Anleitung bzw. Kontrolle Mitarbeitern der Gesellschaft Straftaten oder sonstige Fehlhandlungen ermöglicht oder auch nur erleichtert werden. Diesbezüglichen Verdachtsmomenten muss der Geschäftsführer unverzüglich nachgehen. Zur Überwachungspflicht gehört außerdem eine hinreichende Kontrolle, die nicht erst dann einsetzen darf, wenn Missstände entdeckt worden sind. Ihre Intensität darf sich je nach Gefahrgeneigtheit der Arbeit und Gewicht der zu beachtenden Vorschriften nicht in gelegentlichen Überprüfungen erschöpfen. Über diese allgemeine Kontrolle hinaus muss der Geschäftsführer die Aufsicht so führen, dass Unregelmäßigkeiten auch ohne ständige unmittelbare Überwachung grundsätzlich unterbleiben. Danach sind stichprobenartige, überraschende Prüfungen erforderlich und regelmäßig auch ausreichend, sofern sie den Unternehmensangehörigen vor Augen halten, dass Verstöße entdeckt und geahndet werden können
Delegiert der Geschäftsführer seine Überwachungsaufgabe, reduziert sich die effektive Überwachungspflicht des Geschäftsführers auf die ihm unmittelbar unterstellten Mitarbeiter und deren Führungs- und Überwachungsverhalten ("Überwachung der Überwacher"). Man spricht insoweit von einer Meta-Überwachung.

 

Rechtsanwalt Robert Harzewski

Löschflicht für jedes Datum

Löschflicht für jedes Datum

Im Regelfall werden Unterlagen (z. B. Aufträge, Auftragsbestätigungen, Lieferscheine, Frachtbriefe oder Rechnungen) gemäß der Aufbewahrungspflichten nach Art. 6 Abs. 1 lit. c) DSGVO i.V.m. § 147 AO einheitlich abgespeichert. Hiernach ist die weitere Speicherung der Unterlagen rechtmäßig, wenn sie zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, welcher der Verantwortliche unterliegt.

Vor dem Oberlandesgericht Dresden (Urteil vom 14.12.2021, Az.: 4 U 1278/21) war nun die spannende Frage zu beantworten, ob nicht rechtmäßig erhobenen Daten im Rahmen der gesetzlichen Aufbewahrungspflichten weiter gespeichert werden können oder gelöscht werden müssen. Müssen also bei der Löschpflicht nur das entsprechende Dokument oder jedes einzelne darin enthaltene Datum betrachtet werden?

Nach Auffassung des Gerichts kommt es bei der Betrachtung der Löschpflicht nicht auf ein Dokument als Gesamtheit aller darin enthaltenen Daten, sondern auf jedes einzelne Datum an. Daher lassen sich nicht rechtmäßig erhobene Daten nicht über die Aufbewahrungspflichten rechtfertigen. Im Umkehrschluss ist somit für jedes in einem Dokument enthaltene Datum eine Rechtsgrundlage für die Speicherung zu prüfen.

Unabhängig von der gesetzlichen Aufbewahrungspflicht müssten so zum Beispiel der Name, die Anschrift und das Geburtsdatum, also Daten, mit denen eine eindeutige Identifikation möglich ist, gelöscht werden.

Nach Auffassung des Gerichts seien Datenbestände so zu organisieren, dass nur auf die aufzeichnungspflichtigen - und aufbewahrungspflichtigen Daten zugegriffen werden kann. Dies kann z. B. durch geeignete Zugriffsbeschränkungen oder „digitales Schwärzen“ der zu schützenden Information erfolgen. Auf der geschäftlichen Korrespondenz können die Daten, die eine Identifizierung seiner Person erlauben, geschwärzt werden.

Die Entscheidung dürfte das ein oder andere Löschkonzept auf den Kopf stellen. In der Regel werden Löschfristen bislang anhand von Dokumenten und deren Aufbewahrungspflichten gebildet. Die Betrachtung jedes einzelnen Datums könnte einen nicht unerheblichen Mehraufwand bedeuten.

 

Rechtsanwalt Robert Harzewski

Google Fonts und Google Analytics

Google Fonts und Google Analytics

Bis zum Jahr 2020 war die Welt noch in Ordnung. Corona war hier noch als Bier bekannt und Dienste wie Google Fonts und Google Analytics oder andere US-Webdienste wurden ohne großes Grübeln auf der eigenen Website eingebunden.

 

Die Gefahr auf der eigenen Website

Seit dem Urteil des EuGH vom 16.07.2020, Az.: C-311/18 (Schrems II), dürfen keine Daten mehr auf Grundlage des Privacy Shield in die USA übermittelt werden. Die Inanspruchnahme von US-Anbietern, nur auf Basis des Privacy Shield, ist seitdem nicht mehr möglich.

Nach der Entscheidung des Europäischen Gerichtshofes hatte die EU-Kommission am 04.06.2021 neue Standarddatenschutzklauseln veröffentlicht, welche in den Klauseln 14 und 15 auch „Schrems II“ umsetzen. Da sich die USA und die EU noch immer nicht auf ein Nachfolgeabkommen verständigen konnten, werden nun häufig Standarddatenschutzklauseln als Legitimierung für die Drittlandsübermittlung herangezogen.

Eigentlich könnte die Welt also wieder in Ordnung sein. Da das Datenschutzniveau in den USA aber immer noch als unzureichend bewertet wird, halten die Aufsichtsbehörden ergänzende Prüfungen und Maßnahmen trotz der neuen Klauseln für Datenexporte nötig. Im Klartext: Auch bei Verwendung der neuen Klauseln muss ein Datenexporteur die Rechtslage des Drittlands prüfen und zusätzliche Schutzmaßnahmen ergreifen. Gelingt dies nicht, so darf er zum Beispiel die US-Webdienste nicht auf seiner Website einbinden und nutzen.

Im Ergebnis ist noch immer fraglich, ob die vom Europäischen Datenschutzausschuss empfohlenen Maßnahmen überhaupt von den Anbietern umgesetzt werden können.

Aktuelle Entscheidungen im Einzelnen:

 

Google- Webfonts

Das Landgericht München hält die automatische Weitergabe der IP-Adresse eines Website- Nutzers an Google für einen unzulässiger Eingriff in das allgemeine Persönlichkeitsrecht, wenn der Website-Nutzer darin nicht eingewilligt hat (LG München, Urteil vom 20.01.2022, Az.: 3 O 17493/20). Eine Rechtfertigung könne sich dabei auch nicht über das berechtigte Interesse (Art. 6 Abs. 1 lit. f DSGVO) des Websitebetreibers ergeben, da Google Fonts auch ohne dass beim Aufruf der Webseite eine Verbindung zu einem Google-Server hergestellt wird, genutzt werden können. Dieses Urteil betrifft daher sämtliche Dienste von US-Anbietern, die auf der eigenen Website eingebunden werden.

 

Google Analytics

Nach Auffassung der österreichischen Aufsichtsbehörde verstößt die Einbindung von Google Analytics auf Webseiten gegen die Datenschutzgrundverordnung (DSGVO). Dazu schreibt die Behörde in ihrer Begründung: Die mit Google abgeschlossenen "Standardschutzklauseln" würden kein "angemessenes Schutzniveau" bieten, etwa um die "Überwachungs- und Zugriffsmöglichkeiten durch US-Nachrichtendienste" zu beseitigen. Im Rahmen der Nutzung von Google Analytics werden zumindest eine einzigartige Nutzer-ID-Nummer, IP-Adresse und Browserparameter an Google übermittelt.

 

Cookiebot

Auch zum Cookie-Banner des Anbieters Cookiebot gibt es eine nennenswerte Entscheidung des VG Wiesbaden vom 01.12.2021, Az.: 6 L 738/21.WI. Das Gericht hat den Websitebesitzer verpflichtet, den Dienst „Cookiebot“ auf seiner Webseite zu beenden, da dieser mit der rechtswidrigen Übermittlung personenbezogener Daten der Webseitennutzer einhergehe. Cookiebot verarbeite die vollständige IP-Adresse der Endnutzer auf Servern eines Unternehmens, dessen Unternehmenszentrale sich in den USA befinde. Hierdurch entstehe ein Drittland-Bezug, nämlich zu den USA, welcher im Hinblick auf die sog. Schrems II-Entscheidung des Europäischen Gerichtshofs so unzulässig sei.

 

Ausweg Einwilligung

Der Ausweg könnte eine Nutzereinwilligungen per Consent Banner sein, welche die Weitergabe von IP-Adressen in die USA legitimieren würde. Nach Art.49 Abs.1 DSGVO soll dies für den bestimmten Fall möglich sein. Umstritten ist noch, ob dies aus der Perspektive des Nutzers zu beurteilen ist. Der Europäische Datenschutzausschuss sieht für den Fall wiederholter, massenhafter oder routinemäßiger Datenübermittlungen in Art. 49 Abs. 1 DSGVO keine wirksame Rechtsgrundlage.

Argumentiert wird aber auch, dass aus Sicht des betroffenen Website-Nutzers im Standardfall gerade nur eine gelegentliche Nutzung vorliegt. Selten wird es vorkommen, dass Nutzer eine Seite mehrfach hintereinander besuchen.
Kommt ein Verzicht auf die eingebundenen US-Webdienste also nicht in Betracht, sollte die Übermittlungen personenbezogener Daten in die USA ebenfalls auf eine Einwilligung gestützt werden. Hier schreibt Art. 49 Abs. 1 DSGVO vor, dass Nutzer über die bestehenden möglichen Risiken derartiger Datenübermittlungen ohne Vorliegen eines Angemessenheitsbeschlusses und ohne geeignete Garantien vorher zu informieren sind. Dies sollte idealerweise bereits im Cookie-Banner erfolgen.

 

Rechtsanwalt Robert Harzewski

Schadensersatz nach einer Werbemail

Schadensersatz nach einer Werbemail

Was kostet eine Werbemail, wenn der Betroffene hierfür keine Einwilligung gegeben hat? Die Frage nach Schadensersatz nach einer Werbemail bzw. der Höhe des Schadens in solchen Fällen beschäftigt derzeit viele Gerichte. In einem aktuellen Fall hielt das Amtsgericht Pfaffenhofen am 09.09.2021, Az.: 2 C 133/21, eine Entschädigung von 300,00 Euro für angemessen. Der Betroffene habe sich mit der Abwehr der von ihm unerwünschten Werbung und der Herkunft der Daten auseinandersetzen müssen. Die sei geeignet gewesen, um zu einen belastenden Eindruck des Kontrollverlusts zu führen.

 

Bei Verstößen gegen die DSGVO steht jeder Person ein Anspruch auf Ersatz von immateriellen Schäden zu. Eine Erheblichkeitsgrenze oder Bagatellschwelle für solche Schäden findet sich nicht in der Verordnung. Dennoch spricht ein großer Teil der Gerichte nur immateriellen Schadensersatz bei erheblichen Verletzungen oder Verstößen zu.

 

Zumindest für das Amtsgericht ist eine Erheblichkeitsschwelle in der DSGVO nicht erkennbar. Die Schwere des immateriellen Schadens sei daher zutreffend für die Begründung der Haftung nach irrelevant und wirke sich nur noch bei der Höhe des Anspruchs aus.

 

Der Schaden kann daher bereits in dem unguten Gefühl liegen, dass personenbezogene Daten Unbefugten bekannt geworden sind oder nicht ausgeschlossen ist, dass die Daten unbefugt weiterverwendet werden. Unbefugte Datenverarbeitungen können zu einem Gefühl des Beobachtetwerdens und der Hilfslosigkeit führen, was die betroffenen Personen letztlich zu einem reinen Objekt der Datenverarbeitung degradiert. Den Kontrollverlust nennt EG 75 ausdrücklich als „insbesondere“ zu erwartenden Schaden. Des Weiteren kommen etwa Ängste, Stress, Komfort- und Zeiteinbußen in Betracht. Die Höhe des Schadens müsse sich dann auf der Grundlage der Schwere und Dauer der Rechtsverletzung ergeben. Dabei können dann auch Genugtuungs- und Vorbeugungsfunktion eine Rolle spielen.

 

Verantwortliche sollten daher die Risiken eine unzulässigen E-Mail Marketings vorab prüfen. Dies gilt umso mehr, wenn vielen Empfängern betroffen sind. Die Werbung mittels E-Mail-Marketing setzt für ihre Zulässigkeit außerhalb der Fälle des § 7 Abs. 3 UWG eine - vorherige und ausdrückliche - Einwilligung voraus, mithin eineWillensbekundung, die ohne Zwang, für den konkreten Fall und in Kenntnis der Sachlage erfolgt.

Rechtsanwalt Robert Harzewski

Gruppenfotos bei Facebook

Gruppenfotos bei Facebook

Werden Gruppenfotos bei Facebook veröffentlicht, so sind dabei die Vorgaben aus der Datenschutzgrundverordnung (DSGVO) einzuhalten. Diese gibt vor, unter welchen Voraussetzungen Fotos aufgenommen bzw. verwendet werden dürfen und wie die abgelichteten Personen zu informieren sind.

 

Berechtigtes Interesse

Da es oft an einer Einwilligung der betroffenen Personen fehlt, wird in der Regel das berechtigte Interesse des Verantwortlichen als Rechtsgrundlage herangezogen. Die Abwägung der schutzwürdigen Interessen der Beteiligten stellt dabei regelmäßig eine größere Herausforderung dar. Neben den vernünftigen Erwartungen sollen auch die Wertungen aus § 23 Kunsturheberrechtsgesetz (KUG) in die Abwägungsentscheidung einbezogenen werden.

 

Keine Erforderlichkeit

Das niedersächsische Oberverwaltungsgericht (Beschluss vom 19.01.2021 - 11 LA 16/20) hat sich nun mit der Frage der Erforderlichkeit einer Verarbeitung im Rahmen der Abwägung auseinandergesetzt. Dabei sah es die Veröffentlichung eines Gruppenfotos bei Facebook als nicht erforderlich i.S.d. Art. 6 Abs. 1 lit. f DSGVO an. Erforderlich sei eine Verarbeitung nur, wenn der Zweck der Verarbeitung nicht in zumutbarer Weise durch andere Mittel erreicht werden kann. Diese Auslegung ergibt sich unter Berücksichtigung von Erwägungsgrund 39 Satz 9 DSGVO. Im Gegensatz zu den weit auszulegenden „berechtigten Interessen“ sei der Begriff der Erforderlichkeit aber eng auszulegen. Damit reiche es nicht aus, dass die Verarbeitung zweckdienlich, bestmöglich effizient sei oder die wirtschaftlich sinnvollste Alternative darstelle.

 

Anonymisierung von Gruppenfotos bei Facebook

Die Veröffentlichung eines Gruppenfotos bei Facebook kann daher nach der Entscheidung des Gerichts in bestimmten Fällen nicht erforderlich sein. Dies ist zum Beispiel dann der Fall, wenn das Ziel der Verarbeitung durch anonymisierter Daten erreicht werden kann.

Im konkreten Fall wollte der Verantwortliche dokumentieren, dass sich eine größere Anzahl von Personen für eine Thematik interessiere. Dabei wurden neben ca. 30 bis 40 Personen auch ein Ehepaar frontal abgebildet. In diesem Fall reiche es aus, das streitgegenständliche Foto unter Unkenntlichmachung der abgebildeten Personen, z.B. durch Verpixelung der Gesichter, zu verwenden. Dies sei auch nicht unverhältnismäßig, da eine Verpixelung mit Hilfe gängiger Bildbearbeitungssoftware ohne erheblichen Kosten- und Zeitaufwand umgesetzt werden könne.

 

Dokumentation der Interessensabwägung

Aufgrund der Entscheidung des Gerichts sollten bereits dokumentierte Interessenabwägungen noch einmal überprüft werden. Die entscheidende Frage ist, ob es für die Veröffentlichung des Bildes auf die darauf abgebildeten Personen ankommt. Bleibt der Aussagegehalt der Aufnahmen auch nach einer Verpixelung bzw. Unkenntlichmachung erhalten, so dürfte die entsprechende Bildveröffentlichung auch nicht erforderlich sein.

Die Dokumentation von Interessensabwägungen bereitet in der Praxis große Schwierigkeiten. Soll eine Verarbeitung aufgrund einer Interessenabwägung stattfinden, dann hat der Verantwortliche diese für den Einzelfall auch tatsächlich durchzuführen. Bei der Abwägung kommt es darauf an, dass die berechtigten Interessen des Verantwortlichen oder eines Dritten diejenigen der betroffenen Person überwiegen.

 

Es empfiehlt sich folgende Prüfungsreihenfolge:

 

SchrittPrüfung Inhalt der Prüfung
1des Vorliegens eines berechtigten Interesses beim VerantwortlichenDas Interesse muss rechtmäßig sein (kein Verstoß gegen geltendes Recht),  hinreichend klar formuliert sein und gegenwärtig auch tatsächlich vorliegen.
2der ErforderlichkeitDie zugrundeliegende Verarbeitung muss zum Erreichen des Interesses erforderlich sein. Dies ist auszuschließen, wenn es ein Mittel gibt, das weniger stark in die Sphäre des Betroffenen eingreift.
3der GewichtungWeiterhin ist zu prüfen, ob die Grundrechte und Interessen des Betroffenen nicht überwiegen.
4des Vorgehens bei WiderspruchZuletzt sollte der Verantwortliche überlegen, auf welcher Rechtsgrundlage die Verarbeitung bei Widerspruch gestützt werden könnte.

 

Am Beispiel von Gruppenfotos hat das Niedersächsische Oberverwaltungsgericht nun zur Erforderlichkeit einer Verarbeitung entschieden. Dazu stellte es fest, dass ein berechtigtes Interesse des Betroffenen überwiegen kann, wenn das mit Veröffentlichung verfolgte Ziel auch mit anonymisierten Daten erreichbar ist. Lesen Sie hierzu mehr in meinem Beitrag unter https://rechtsanwalt-harzewski.de/gruppenfotos-bei-facebook/.

 
Rechtsanwalt Robert Harzewski

Immaterieller Schadensersatz

Immaterieller Schadensersatz

Recht häufig werden die Gerichte mit der Frage beschäftigt, wann wegen eines Verstoßes gegen die DSGVO eigentlich immaterieller Schadensersatz zu zahlen ist. Nach Art. 82 DSGVO steht grundsätzlich jeder Person, der bei einem Verstoß gegen die DSGVO ein immaterieller Schaden entstanden ist, auch Schadenersatz zu. Der immaterielle Schadensersatz wird auch als Schmerzensgeld bezeichnet und wird oft bei der Verletzung des eigenen Persönlichkeitsrechts zugesprochen.

 

Datenschutzverstoß

Nach dem klaren Wortlaut der Norm kann jeder Verstoß gegen datenschutzrechtliche Regelungen der DSGVO zu einem Schadensersatzanspruch führen.

Beispiele für einen Verstoß sind:

• unberechtigte Offenbarung von Daten gegenüber Dritten
• unberechtigtes Anschreiben eines Betroffenen
• Verlust von Daten
• Verstoß gegen das Löschungsrecht
• Verstoß gegen das Auskunftsrecht
• Versäumnisse bei den technischen und organisatorischen Maßnahmen

 

Wo ist der Schaden

Im konkreten Fall fragt sich dann, worin eigentlich der Schaden liegen soll.
In Erwägungsgrund 75 finden sich ein paar Beispiele für einen immateriellen Schaden:

• Rufschädigung
• Diskriminierung
• Kontrollverlust über die eigenen Daten
• wenn die betroffenen Personen um ihre Rechte und Freiheiten gebracht wird

 

Bagatellschwelle

Die meisten Verstöße führen gerade nicht zu einem Vermögenschaden, sondern überwiegend zu Persönlichkeitsverletzungen. In der bisherigen Rechtsprechung nahmen daher einige Gerichte einen immateriellen Schaden erst dann an, wenn eine Verletzung des Datenschutzrechts im Einzelfall zu einer konkreten, nicht bloß unbedeutenden oder empfundenen Verletzung von Persönlichkeitsrechten geführt hat. Eine Erheblichkeitsschwelle findet sich jedoch nicht in der DSGVO.

Dennoch sprechen einige Gerichte nur immateriellen Schadensersatz bei erheblichen Verletzungen oder Verstößen zu.

In einem Verfahren vor dem OLG Dresden entschied das Gericht beispielweise, dass nicht jede individuell empfundene Unannehmlichkeit oder jeder Bagatellverstoß einen solchen Anspruch rechtfertige. Die bloße Sperrung von Daten sowie der Datenverlust stellen demnach noch keinen Schaden dar. Weitere Informationen zu dieser Entscheidung lesen Sie hier.

Auch das LG Hamburg (Urteil vom 04.09.2020 - 324 S 9/19) und das LG Karlsruhe (Urteil vom 02.08.2019 - 8 O 26/19) fordern eine benennbar und insoweit tatsächliche Persönlichkeitsverletzung.

 

Bundesverfassungsgericht hebt Urteil auf

In einem aktuellen Fall hob das Bundesverfassungsgericht nun eine Entscheidung mit einer solchen Bagatellschwelle für immateriellen Schadensersatz eines Amtsgerichts auf. Hierzu führte es aus, dass der Geldentschädigungsanspruch in der Rechtsprechung des EuGH weder erschöpfend geklärt ist, noch dass sich dessen Beurteilung unmittelbar aus der DSGVO ergäbe. Dazu bemerkte es weiterhin, dass das betreffende Amtsgericht

„sodann aber verfassungsrechtlich relevant fehlerhaft eine eigene Auslegung des Unionsrechts vorgenommen [habe], indem es sich für die Ablehnung des Anspruchs auf ein Merkmal fehlender Erheblichkeit gestützt hat, das so weder unmittelbar in der DSGVO angelegt ist, noch von der Literatur befürwortet oder vom Gerichtshof der Europäischen Union verwendet wird. (BVerfG, Beschluss vom 14.01.2021 - 1 BvR 2853/19)

Das Amtsgericht muss nun erneut entscheiden und die Frage nach der der Erheblichkeit unter Umständen auch dem EuGH vorlegen.

 

Wie hoch ist der Schaden?

Die Höhe der zugesprochenen Schmerzensgelder reicht von 50,00 Euro bis 5.000 Euro.
Für das Amtsgericht Pfaffenhofen, Urteil vom 09.09.2021, Az.: 2 C 133/21 kann der Schaden bereits in dem unguten Gefühl liegen, dass personenbezogene Daten Unbefugten bekannt geworden sind oder nicht ausgeschlossen ist, dass die Daten unbefugt weiterverwendet werden. Unbefugte Datenverarbeitungen können zu einem Gefühl des Beobachtetwerdens und der Hilfslosigkeit führen, was die betroffenen Personen letztlich zu einem reinen Objekt der Datenverarbeitung degradiert. Den Kontrollverlust nennt EG 75 ausdrücklich als „insbesondere“ zu erwartenden Schaden. Des Weiteren kommen etwa Ängste, Stress, Komfort- und Zeiteinbußen in Betracht. Die Höhe des Schadens müsse sich dann auf der Grundlage der Schwere und Dauer der Rechtsverletzung ergeben. Dabei können dann auch Genugtuungs- und Vorbeugungsfunktion eine Rolle spielen. Im konkreten Fall wurden dem Kläger 300,00 Euro wegen einer unerlaubten Werbemail zugesprochen.

Im Fall einer unvollständigen, inkorrekten und zu spät erteilte Auskunft hat das Arbeitsgerichts Düsseldorf mit Urteil vom 05.03.2020, Aktenzeichen: 9 Ca 6557/18, einen Schaden von immerhin 5.000 Euro angenommen. Diese vor allem in der Ungewissheit über die Verarbeitung der Daten. Dabei stelle das Gericht selbst fest, dass der entstandene immaterielle Schaden nicht erheblich ist.

Bei der Einbindung von Schriftarten von Google sah das LG München mit Urteil vom 20.01.2022, Az.: 3 O 17493/20, einen Schaden von 100 Euro für angemessen. Dieser liege im Kontrollverlust des Websitebesuchers über ein personenbezogenes Datum an Google. Google sei ein Unternehmen, das bekanntermaßen Daten über seine Nutzer sammelt und das damit das vom Websitebesucher empfundene individuelle Unwohlsein so erheblich macht, dass ein Schadensersatzanspruch gerechtfertigt ist.

 

Vorlage beim EuGH

Über zahlreiche Fragen zum Anspruch auf Schadensersatz gibt es derzeit noch keine Rechtssicherheit. Zuletzt hat das LG Saarbrücken vom 22.11.2021, Az.: 5 O 151/19 folgende Fragen an den EuGH vorgelegt:

1. Ist der Begriff des immateriellen Schadens in Art. 82 Abs. 1 DSGVO im Hinblick auf den Erwägungsgrund 85 und den Erwägungsgrund 146 S. 3 EUV 2016/679 in dem Sinne zu verstehen, dass er jede Beeinträchtigung der geschützten Rechtsposition erfasst, unabhängig von deren sonstigen Auswirkungen und deren Erheblichkeit?
2. Wird die Haftung auf Schadenersatz gemäß Art. 82 Abs. 3 DSGVO dadurch ausgeschlossen, dass der Rechtsverstoß auf menschliches Versagen im Einzelfall einer im Sinne von Art. 29 DSGVO unterstellten Person zurückgeführt wird?
3. Ist bei der Bemessung des immateriellen Schadenersatzes eine Orientierung an den in Art. 83 DSGVO, insbesondere Art. 83 Abs. 2 und Abs. 5 DSGVO genannten Zumessungskriterien erlaubt bzw. geboten?
4. Ist der Schadenersatz für jeden einzelnen Verstoß zu bestimmen oder werden mehrere - zumindest mehrere gleichgelagerte - Verstöße mit einer Gesamtentschädigung sanktioniert, die nicht durch eine Addition von Einzelbeträgen ermittelt wird, sondern auf einer wertenden Gesamtbetrachtung beruht?

 

Fazit

Es ist daher nur eine Frage der Zeit bis wir eine Antwort auf die Frage erhalten, ob es bei immateriellen Schadensersatz auf eine Bagatellschwelle ankommt. In dem vom Bundesverfassungsgericht aufgehobenen Urteil ging es um eine unerwünschte Werbemail, die ein Rechtsanwalt bekommen hatte. In solchen Fällen geht es neben dem Unterlassungsanspruch und Rechtsverfolgungskosten daher meist auch um die Höhe der Geldentschädigung für eine Vielzahl an Fällen. In der Praxis wird dies daher sowohl für Verantwortliche als auch Betroffene entscheidende Auswirkungen haben.

Rechtsanwalt Robert Harzewski

Transportverschlüsselung bei Berufgeheimnisträgern

Transportverschlüsselung bei Berufgeheimnisträgern

Über die Frage, welche Art der Verschlüsselung bei Berufgeheimnisträgern zwingend erforderlich ist, herrscht bei den Aufsichtsbehörden bisher noch Uneinigkeit.

Der Sächsische Datenschutzbeauftragte hält den unverschlüsselten E-Mail-Versand von Schriftsätzen vor dem Hintergrund des § 203 StGB z.B. für “eine absolut ungeeignete Kommunikationsform” (Seite 138, 8. Tätigkeitsbericht des Sächsischen Datenschutzbeauftragten).

Das Verwaltungsgericht Mainz hat nun mit Urteil vom 17.12.2020 entschieden, dass der Versand einer E-Mail ohne Nutzung einer sog. Ende-zu-Ende-Verschlüsselung oder sonstiger über eine (obligatorische) Transportverschlüsselung hinausgehenden Sicherungsmaßnahmen keinen Verstoß gegen Art. 5 Abs. 1 lit. f, Abs. 2 DSGVO darstellt.

Demnach sei generell die Verwendung einer Transportverschlüsselung bei Berufsgeheimnisträgern (SSL/TLS) datenschutzrechtlich ausreichend, sofern keine Anhaltspunkte für besonders sensible Daten bestehen oder sonstige Umstände hinzutreten

Pauschal kann nicht allein deshalb von einer besonderen Schutzbedürftigkeit ausgegangen werden, nur weil eine mandatsbezogene Kommunikation eines Berufsgeheimnisträgers erfolgt. Dies sei vielmehr für jeden Einzelfall zu prüfen.

Lediglich bei Daten, die unter Art. 9 oder 10 DSGVO fallen, seien in jedem Fall besondere Schutzmaßnahmen zu ergreifen, da insoweit schon aufgrund der allgemeinen datenschutzrechtlichen Wertung stets von einem hohen Risiko ausgegangen werden muss. Gleiches dürfte für Fälle gelten, wenn etwa ein „Interesse krimineller und ressourcenreicher Dritter“ absehbar ist. Darüber hinaus sei es aber sachgerecht, bei nicht von Art. 9 und 10 DSGVO erfassten Daten im Rahmen einer mandatsbezogenen Kommunikation von Rechtsanwälten als Berufsgeheimnisträger in Zweifelsfällen eine widerlegliche Vermutung für einen besonderen Schutzbedarf der übermittelten Informationen zu sehen.

Ohne Vorliegen eines hohen Risikos bietet die Transportverschlüsselung bei Berufgeheimnisträgern also ein ausreichendes Schutzniveau.

Rechtsanwalt Robert Harzewski

Datenschutzverstöße von Beschäftigten

Datenschutzverstöße von Beschäftigten

Das Landgericht Bonn (Urteil vom 11.11.2020, Aktenzeichen: 29 OWi 1/20) hat sich neben der Bußgeldzumessung auch zu Datenschutzverstößen geäußert, welche von Beschäftigten verursacht wurden.

 

Nur der Verletzungserfolg ist entscheidend

Hierzu führt es aus, dass Gegenstand der Sanktionierung für einen Datenschutzverstoß nicht die dafür ursächlichen Handlungen bestimmter natürlicher Personen ist. Es kommt mithin nur auf den Erfolg des Datenschutzverstoßes an. Im entsprechenden Bußgeldbescheid wurde daher nicht näher beschrieben, welche natürlichen Personen im Unternehmen der Betroffenen durch welche Handlungen den Datenschutzverstoß begangen haben.

 

Hintergrund Datenschutzverstöße von Beschäftigten

Nach dem deutschen Ordnungswidrigkeitenrecht gibt es keine unmittelbare Haftung von Unternehmen. Geldbußen setzen stets ein schuldhaftes Fehlverhalten einer vertretungsberechtigten Person, wie z.B. einem Geschäftsführer oder Vorstand, voraus. Das Verhalten irgendeines Mitarbeiters des Unternehmens reicht nach deutschem Recht daher nicht aus, um eine Bußgeld zu bekommen. Vielmehr kommt es auf das Fehlverhalten ganz bestimmter Personen in Führungs- oder Aufsichtspositionen an.

 

Deutsche Regeln stehen europäischen Haftungskonzept entgegen

Hierzu stellt das Gericht nun folgendes fest: Die deutschen Regelungen sind nicht mit dem europäischen Haftungskonzept in Einklang zu bringen. Für eine Einschränkung der Haftung durch Beschränkung auf individuelles Fehlverhalten von Leitungspersonen gem. § 30 OWiG ist daher kein Raum.

 

Auffassung der DSK

Auch nach Auffassung der DSK sollen Unternehmen dabei im Rahmen von Art. 83 DSGVO für Datenschutzverstöße ihrer Beschäftigten haften, wenn diese im konkreten Fall nicht im Exzess gehandelt haben. Nach der Entschließung der DSK soll für die Zuordnung der Verantwortlichkeit weder die Kenntnis der Geschäftsführung von dem konkreten Verstoß, noch eine Verletzung der Aufsichtspflicht erforderlich sein. Daher kann dem Verantwortlichen nicht nur jeder Datenschutzverstoß eines gesetzlichen Vertreters oder einer Leitungsperson, sondern der eines jeden Beschäftigten zugerechnet werden.

 
Rechtsanwalt Robert Harzewski

Bußgeldkonzept

Neues zum Bußgeldkonzept

Das Landgericht Bonn (Urteil vom 11.11.2020, Aktenzeichen: 29 OWi 1/20) ist dem stark umsatzbezogenen Ansatz des Bußgeldkonzeptes nicht gefolgt. Das Konzept der Aufsichtsbehörden ist unter https://www.datenschutzkonferenz-online.de/media/ah/20191016_bußgeldkonzept.pdf abrufbar. Grob zusammengefasst berechnet sich hiernach ein Bußgeld nach dem erzielten Vorjahresumsatz eines Unternehmens. Aus Sicht vieler Unternehmen ist das erst einmal eine gute Nachricht.

Nun aber zur schlechten Nachricht: Das Gericht sieht bei schweren Datenschutzverstößen auch die Möglichkeit, Bußgelder an den Obergrenzen (10 Millionen bzw. 20 Millionen Euro) auszurichten. Dabei stellt esauch fest, dass diese dann die Existenz der Unternehmen bedrohen können.

 

Umsatz nicht als Zumessungsgesichtspunkt

Nach Auffassung des Landgerichts soll der Umsatz eines Unternehmens, wie im Bußgeldkonzept vorgesehen, nicht  als Zumessungsgesichtspunkt herangezogen werden. Nach Art. 83 Abs. 2 S. 2 DSGVO sollen dagegen in erster Linie tatbezogene Gesichtspunkte, wie Art, Schwere und Dauer des Verstoßes, eine Rolle spielen.
Aufgrund des Umsatzes kann aber die Bußgeldobergrenze bestimmt werden, die den Rahmen für eine Einordnung des konkreten Datenschutzverstoßes gibt. Zum anderen müssen Bußgelder nach Art. 83 Abs. 1 DSGVO abschrecken. Je größer das Unternehmen ist, desto höher soll demnach das Bußgeld ausfallen, um seine spezialpräventive Wirkung zu entfalten. Nach Ansicht des Gericht ist daher die Höhe des Umsatzes ein geeigneter Indikator.

 

Bußgeldkonzept versagt bei schweren Datenschutzverstößen

Das Bußgeldkonzept der Aufsichtsbehörden versage aber, bei schweren Datenschutzverstößen umsatzschwacher Unternehmen und leichten Datenschutzverstößen umsatzstarker Unternehmen. Hier gerate die am Umsatz orientierte Zumessung in Widerstreit zu der Zumessung anhand der tatbezogenen Kriterien in Art. 83 Abs. 2 S. 2 DSGVO, die dann Vorrang haben müssen.
Nach Auffassung des Gerichts ist es aber so auch bei schweren Datenschutzverstößen möglich, gegen umsatzschwache Unternehmen eine existenzbedrohende Geldbuße zu verhängen.

Rechtsanwalt Robert Harzewski

Gericht kippt Bußgeldkonzept

Gericht kippt Bußgeldkonzept

Das Landgericht Bonn (Urteil vom 11.11.2020, Aktenzeichen: 29 OWi 1/20) hat gegen 1&1 ein Bußgeld in Höhe von 900.000,00 Euro verhängt. Das Unternehmen hatte zur Authentifizierung eines Kunden nur den Namen und das Geburtsdatum abgefragt und so zu Unrecht eine Telefonnummer herausgegeben.

 

Hintergrund

Bei telefonischen Anfragen dürfen zur Identifizierung nicht nur Daten wie das Geburtsdatum und die Anschrift abgefragt werden. Diese stellen kein geheimes Wissen dar. Daher sollten auch noch zusätzliche Informationen angefordert werden, welche nur der Betroffene kennt.

Zum damaligen Zeitpunkt entsprach die bloße Abfrage von Namen und Geburtsdatum wohl der überwiegenden Praxis. Sogar die Aufsichtsbehörde in Baten-Württemberg schreibt hierzu in ihrem Hinweis:

„Bei telefonischen Anfragen ist es – auch in anderen Kontexten, bspw. bei Fragen zu Verträgen – gängige Praxis, dass der Verantwortliche von der betroffenen Person zusätzliche Informationen abfragt, um sicherzugehen, dass es sich tatsächlich um die richtige Person handelt. Typischerweise handelt es sich dabei um Daten wie Geburtsdatum und Anschrift der betroffenen Person.“

 

Entscheidung der Aufsichtsbehörde

Die zuständige Aufsichtsbehörde sah aufgrund dieses Verstoßes sogar ein Bußgeld von 9,55 Millionen Euro als angemessen an. Die Aufsichtsbehörden haben sich auf ein einheitliches Konzept zur Bußgeldzumessung, welches nun unter https://www.datenschutzkonferenz-online.de/media/ah/20191016_bußgeldkonzept.pdf abrufbar ist. Hiernach werden Unternehmen anhand ihres Umsatzes in Größenklassen eingeteilt.

 

 

Gericht kippt Bußgeldkonzept

Das Landgericht Bonn ist diesem stark umsatzbezogenen Ansatz nicht gefolgt.

In meinem Beitrag auf https://rechtsanwalt-harzewski.de lesen Sie mehr zur Entscheidung.

Das Bußgeldkonzept kann meiner Auffassung nach daher in der jetzigen Form nicht mehr angewendet werden.

 

Rechtsanwalt Robert Harzewski

Anforderungen an Cookie-Banner

Anforderungen an Cookie-Banner

In seinem Urteil vom 15.09.2020 trifft das Landgericht Rostock Urteil vom 15.09.2020, Az.: 3 O 762/19 (noch nicht rechtskräftig) weitere Aussagen zu Anforderungen an Cookie-Banner.

 

bisherige Rechtsprechung und Entwicklung

Aufgrund der bisherigen Rechtsprechung des EuGH (Urteil vom 01.10.2019 - C-673/17) und BGH (Urteil vom 28.05.2020, I ZR 7/16) war bereits geklärt, dass

 
- für nicht technisch-notwendige Cookies eine aktive, ausdrückliche Einwilligung erforderlich ist
- voreingestellte Ankreuzkästchen dabei nicht erlaubt sind.

 
In der Praxis haben sich Cookie-Banner bzw, Consent-Layer etabliert, in welchen der Button für die Zustimmung farbig hervorgehoben ist. Dagegen findet sich meist ein Button für die Ablehnung der nicht notwendigen Cookies, welcher meist unscheinbar und frau daher kommt. Hierdurch sollen die Nutzer zur Einwilligung verleitet werden, ohne sich weiter mit den Einzelheiten befassen zu müssen.

Keine wirksame Einwilligung

Im konkreten Fall ging es vor dem Landgericht Rostock um folgenden Cookie-Banner:

 

Anforderungen an Cookie-Banner

Das Landgericht sah hierin keine wirksame Einwilligung. Hierzu führte es wie folgt aus:

 
„Eine wirksame Einwilligung ist […] mit dem nunmehr verwendeten Cookie-Banner nicht möglich. Denn auch bei diesem sind sämtliche Cookies vorausgewählt und werden durch Betätigung des grün unterlegten „Cookie zulassen ‚-Buttons „aktiviert“. Damit entspricht die Gestaltung des Cookie-Banners grundsätzlich der Gestaltung in dem durch den BGH entschiedenen Fall. Zwar hat der Verbraucher die Möglichkeit sich die Details anzeigen zu lassen und einzelne Cookies abzuwählen. Tatsächlich wird der Verbraucher jedoch regelmäßig den Aufwand eines solchen Vorgehens scheuen und deshalb den Button ohne vorherige Information über die Details betätigen. Damit weiß der Verbraucher aber gerade nicht, welche Tragweite seine Erklärung hat.

 
Der Umstand, dass der Nutzer bei dem nun verwendeten Cookie-Banner auch die Möglichkeit hat, über den Bereich „Nur notwendige Cookies verwenden“ seine Einwilligung auf technisch notwendige Cookies zu beschränken, ändert an der Beurteilung nichts. Insoweit ist festzuhalten, dass dieser Button gar nicht als anklickbare Schaltfläche zu erkennen ist. Zudem tritt er auch neben dem grün unterlegten und damit als vorbelegt erscheinenden „Cookie zulassen“-Button in den Hintergrund. Diese Möglichkeit wird von einer Vielzahl der Verbraucher deshalb regelmäßig gar nicht als gleichwertige Einwilligungsmöglichkeit wahrgenommen werden. Daran ändert auch der Einleitungstext nichts, da dieser bereits nicht darüber aufklärt, welche Cookies wie vorbelegt sind und damit durch welchen Button, welche Cookies „aktiviert“ werden.“

 

Anforderungen an Cookie-Banner – Hinweise der Aufsicht

Zuletzt hatte die niedersächsische Aufsichtsbehörde Hinweise zur datenschutzkonformen Einwilligungen auf Webseiten und zu Anforderungen an Cookie-Banner veröffentlicht. Diese können hier heruntergeladen werden.

 
Auch nach Auffassung der Behörde sind der Beeinflussung des Nutzerverhaltens (sogenanntes Nudging) Grenzen gesetzt, so dass eine verhaltensmanipulierende Ausgestaltungen zu einer Unwirksamkeit der Einwilligung führen können.

 
Häufige Fehler sind nach Auffassung der Behörde auch:

 
- nicht konkret genug beschriebene Verarbeitungszwecke (wie z.B. nur „im Ihr Surferlebnis zu verbessern“ oder „um Webanalyse durchzuführen“)
- der fehlende Hinweis auf das Widerrufsrecht auf der ersten Ebene des Consent-Layer
- unklare Bezeichnung der Schaltfläche für Zustimmung (wie z.B. „Alle akzeptieren“)

 
Ein weiteres Problem ist oft die fehlende Umsetzung des einfachen Widerrufs

Sofern ein Consent-Fenster eingesetzt wird, sollte dem Nutzer eine leicht auffindbare Möglichkeit gegeben werden, dieses jederzeit wieder öffnen und seine zuvor vorgenommenen Einstellungen ändern zu können. Hierfür bietet es sich zum Beispiel an, im Header oder Footer der Webseite, wo regelmäßig das Impressum und die Datenschutzhinweise zu finden sind, einen Link auf den Consent-Layer einzufügen, der zum Beispiel „Datenschutz-Einstellungen“ heißen könnte. Eine andere Alternative ist, diesen Link in den Datenschutzhinweisen einzubinden.

 
Rechtsanwalt Robert Harzewski

Fehlversand von Bewerberdaten

Fehlversand von Bewerberdaten

Bestimmte Gruppen von Betroffenen sind besonders sensibel zu behandeln. Hierzu zählen insbesondere abgelehnte Bewerber. Dies musste nun auch eine Privatbank erleben und für den Fehlversand von Bewerberdaten 1.000 Euro Schadensersatz zahlen.

 

Was war passiert?

Als die Bank eine Nachricht über Xing an einen Bewerber schicken wollte, ging diese fehl und erreichte einen unbeteiligten Dritten. Die Nachricht enthielt u.a. auch Angaben darüber, dass sich der Bewerber als Händler beworben hatte und dass seine Gehaltsvorstellungen zumindest über der Jahresvergütung in Höhe von 80.000 € liegen. Nachdem der Bewerber für die Stelle nicht weiter berücksichtigt wurde, beschwerte sich dieser über den Fehlversand und, dass er von der Bank nicht informiert wurde. Der Datenschutzbeauftragte der Bank bestritt, dass die Bank für die falsche Versendung verantwortlich sei und verneinte insoweit einen Datenschutzverstoß.

 

Entscheidung

Das angerufene Landgericht Darmstadt (Urteil vom 26.05.2020, Az.: 13 O 244/19) verurteilte die Bank daraufhin zur Zahlung eines Schmerzensgeldes in Höhe von 1.000 Euro.
Bei einer Datenpanne bzw. Verletzung des Schutzes personenbezogener Daten (Art. 4 Nr. 12 DSGVO) ist bei einem hohen Risiko neben der Meldung bei der Aufsichtsbehörde auch eine Unterrichtung des Betroffenen selbst vorgesehen (Art. 34 DSGVO).
Das Gericht nahm durch den Fehlversand von Bewerberdaten ein hohes Risiko an, da der Bewerber die Kontrolle über seine Informationen verloren hatte. Die fehlgegangen Daten waren zu einer Benachteiligung des Bewerbers geeignet, da diese Informationen an etwaige Konkurrenten für einen Arbeitsplatz gelangen oder gar seinen Ruf schädigen konnten. So hätte auch der derzeitige Arbeitgeber des Bewerbers erfahren können, dass sich dieser nach anderweitigen Arbeitsstellen umschaut.
Da die Bank den Bewerber nicht unverzüglich über den Fehlversand informiert hatte, nahm das Gericht einen Verstoß gegen die Meldepflicht an. Zudem stellte es eine Verletzung von Art. 6 DSGVO fest, da die Bank für den Fehlversand keine Rechtsgrundlage habe.
Das Landgericht erachtet dabei ein Schmerzensgeld in Höhe von 1.000 Euro für angemessen, da der Bewerber keine weiteren beruflichen oder persönlichen Beeinträchtigungen erlitten hat und die Nachricht nur an einen Dritten fehlgeleitetet wurde.

 

Kein Nachweis einer Schulung begründet Wiederholungsgefahr

Neben dem Zuspruch von Schadensersatz sprach sich das Gericht auch für eine Wiederholungsgefahr in Bezug auf die von der Bank abzugebende Unterlassungserklärung aus. Eine solche kann grundsätzlich nur widerlegt werden, wenn nach allgemeiner Lebenserfahrung nicht mehr mit einem Verstoß zu rechnen ist. Der Umstand des Zeitraums, in dem seit der Rechtsverletzung bis zum Urteil keine weiteren Probleme bzw. Rechtsverletzungen eingetreten sind, reichte dem Gericht dabei allein nicht aus.
Die Durchführung von Schulungsmaßnahmen für alle Mitarbeiter war im Verfahren nicht nachweisbar. Zwischen dem Vorfall und einer entsprechenden Benachrichtigung an die Mitarbeiter vergingen mehr als 6 Wochen, so dass seitens der Bank nicht unverzüglich auf die Situation reagiert wurde, um etwaige weitere Verstöße bereits zeitnah bzw. sofort zu verhindern. Darüber hinaus hielt das Gericht eine von neuen Mitarbeitern abzugebende Erklärung allein nicht für ausreichend an, um im Rahmen zumutbarer Maßnahmen weitere zukünftige Verstöße angemessen zu verhindern.

 

Fazit

Eine der häufigsten Datenpannen ist das organisatorische Fehlverhalten durch nicht getroffene technisch-organisatorische Maßnahmen. Hierzu zählen insbesondere
- versehentlichen Falsch-Adressierung von Briefen, Faxen und E-Mails
- die Versendung einer Massen-E-Mail unter Verwendung des cc- statt des bcc-Feldes
- der Zugriff auf vertrauliche Unterlagen infolge fehlender Passwort-Vorgaben oder eines den fachlichen Standards entsprechenden Berechtigungskonzeptes
Der Vorfall zeigt auch, wie wichtig die Reaktion nach Entdeckung eines Datenschutzvorfalls ist.

 

Rechtsanwalt und Datenschutzbeauftragter Robert Harzewski

Anspruch auf Auskunft

Umfang der Auskunft weiterhin unklar

Eine unvollständige, inkorrekte und zu spät erteilte Auskunft kann wie im Fall vor dem Arbeitsgericht Düsseldorf einen immateriellen Schadenersatzanspruch i. H. v. 5.000 EUR rechtfertigen. Das Urteil aus März dieses Jahres sorgt unter Verantwortlichen weiter für Verunsicherung bei der Beantwortung.

Aufgrund der bisherigen Rechtsprechung ist unklar, wie weit der Anspruch auf Auskunft reicht. Häufig werden von Betroffenen E-Mails in Kopie herausverlangt. Zuletzt hatte das AG Bonn mit Urteil vom 30.07.2020 entschieden, dass dem Arbeitnehmer alle betreffenden E-Mails zu übermitteln sind, sofern keine Rechte Dritter betroffen sind (AG Bonn, Urteil vom 30.07.2020, Aktenzeichen 118 C 315/19). Das LAG Hannover sieht dagegen keinen Auskunftsanspruch in Bezug auf die eigenen E-Mails, da diese dem Betroffenen bereits bekannt sind (LAG Hannover, Urteil vom 09.06.2020, Aktenzeichen: 9 Sa 608/19).

Im Mandantenbereich finden Sie im Handbuch (Kapitel VII. 2. b) eine aktuelle Übersicht über die aktuelle Rechtsprechung (auch im Hinblick auf Vermerke, Protokolle, Gutachten).

Weitere Informationen finden Sie auch unter meinem Blogbeitrag zur Auskunft nach Art. 15 DSGVO.

Rechtsanwalt Robert Harzewski

Privacy Shield ist ungültig

Privacy Shield ist ungültig

Überraschend hat der EuGH den Beschluss der EU-Kommission über die Angemessenheit des vom „Privacy Shield“ gebotenen Schutzes für ungültig erklärt. Auf Basis des Privacy Shield dürfen nun keine personenbezogenen Daten mehr in die USA übermittelt werden.
Dieser Beitrag zeigt Ihnen kurz die Hintergründe, die Entscheidung des Gerichts und die praktischen Folgen des Urteils.

 

Hintergrund

Die Datenschutzgrundverordnung (DSGVO) stellt innerhalb der Europäischen Union bzw. im Europäischen Wirtschaftsraum (EWR) einen einheitlichen Datenschutz sicher. Dieser soll bei der Übermittlung von personenbezogenen Daten in ein anderes Land (außerhalb EU bzw. EWR) nicht untergraben werden. Daher dürfen personenbezogene Daten in der Regel nur dann in ein Drittland übermittelt werden, wenn dieses ein angemessenes Schutzniveau gewährleisten kann.
Das angemessene Datenschutzniveau kann insbesondere durch einen sogenannten Angemessenheitsbeschluss der EU-Kommission oder aber auch durch den Abschluss von sogenannten Standardvertragsklauseln nachgewiesen werden.

 

Angemessenheitsbeschluss

Eine Übermittlung personenbezogener Daten in einen Drittstaat ist zulässig, wenn für das betreffende Drittland ein Angemessenheitsbeschluss der Europäischen Kommission vorliegt.
Ein Angemessenheitsbeschluss bescheinigt dem Drittland oder der betreffenden Organisation ein angemessenes Datenschutzniveau. Zugleich wird die Übermittlung von Daten in ein Drittland oder an eine betreffende Organisation privilegiert, so dass es keiner weiteren Genehmigungen bedarf. Im Rahmen des Beschluss zum EU-US Privacy-Shield hatten sich mehr als 5000 US-Unternehmen zertifiziert. Die Übermittlung von Daten an diese Unternehmen war daher bisher zulässig.

 

Standardvertragsklauseln

Bietet ein Drittland kein angemessenes Datenschutzniveau, können ohne aufsichtsbehördliche Genehmigung auch Standard-Datenschutzklauseln der Europäischen Kommission verwendet werden. In diesem Fall verpflichtet sich das außereuropäische Unternehmen zur Einhaltung eines angemessenen und den Anforderungen aus der DSGVO entsprechenden Datenschutzniveaus.

 

Das Urteil des EuGH

Nach dem Urteil des EuGH (Urteil vom 16.07.2020, Az.: C-311/18) dürfen nun keine Daten mehr auf Grundlage des Privacy Shield in die USA übermittelt werden. Die Inanspruchnahme von US-Anbietern, nur auf Basis des Privacy Shield ist daher rechtswidrig.

Nach amerikanischem Recht können Unternehmen verpflichtet werden, die ihr übermittelten personenbezogenen Daten amerikanischen Behörden wie der National Security Agency (NSA) und dem Federal Bureau of Investigation (FBI) zur Verfügung zu stellen.

Hierzu stellte das Gericht fest:
„Die von der Kommission im [Privacy Shield] bewerteten Einschränkungen des Schutzes personenbezogener Daten, die sich daraus ergeben, dass die amerikanischen Behörden nach dem Recht der Vereinigten Staaten auf solche Daten, die aus der Union in die Vereinigten Staaten übermittelt werden, zugreifen und sie verwenden dürfen, [sind] nicht dergestalt geregelt, dass damit Anforderungen erfüllt würden, die den im Unionsrecht nach [nach dem Grundsatz der Verhältnismäßigkeit] bestehenden Anforderungen der Sache nach gleichwertig wären.“

Weiter heißt es:
„[Es kann] nicht angenommen werden […], dass die auf diese Vorschriften gestützten Überwachungsprogramme auf das zwingend erforderliche Maß beschränkt sind.“

Die Pressemitteilung kann hier abgerufen werden: https://curia.europa.eu/jcms/upload/docs/application/pdf/2020-07/cp200091de.pdf

Das Urteil steht hier zum Dowload bereit: http://curia.europa.eu/juris/document/document.jsf?text=&docid=228677&pageIndex=0&doclang=DE&mode=lst&dir=&occ=first&part=1&cid=9732082

 

Praktische Folgen

[Aktualisiert am 11.09.2020]

Die Übermittlung von Daten in die USA, die ausschließlich auf der Grundlage vom Privacy Shield erfolgt, muss entweder eingestellt werden oder benötigt eine andere Grundlage. Hierfür gibt es leider keine Übergangsfrist. Im Fall der Datenübermittlung in die USA reichen Standardvertragsklauseln ohne weitere zusätzliche Garantien nicht aus.
Die Aufsichtsbehörde aus Baden Württemberg empfiehlt insoweit den Abschluss gesonderter Vereinbarungen. Dies können Sie in der entsprechenden Orientierungshilfe ab S. 11 nachlesen.

Ich persönlich glaube nicht, dass der Abschluss einer zusätzlichen Vereinbarungen mit den großen US-Anbietern gelingen wird. Die Diskussion darüber bleibt unübersichtlich. Meine Empfehlung ist: Suchen Sie nach Alternativen aus Deutschland oder zumindest der EU.

Folgende Prüfungsschritte sollten Sie zumindest unternehmen, wenn ein Wechsel des Dienstleisters für Sie nicht in Betracht kommt:

 

Schritt 1: Bestandsaufnahme

Finden Sie zunächst heraus, welche Daten in die USA übermittelt werden. Daten können grundsätzlich an Auftragsverarbeiter, Gemeinsam Verantwortliche oder selbst Verantwortliche übermittelt werden. Prüfen Sie auch die Subauftragnehmer ihrer Auftragsverarbeiter. Diese finden Sie regelmäßig im Auftragsverarbeitungsvertrag bzw. in dessen Anlagen. Sie werden feststellen, dass zahlreiche deutsche Anbieter noch immer US-Dienste nutzen.

 

Schritt 2: Prüfen der Rechtsgrundlage

Prüfen Sie nun, ob mit den betreffenden US-Anbietern Standardvertragsklauseln abgeschlossen wurden. Eher selten kommen als Rechtsgrundlage auch erforderliche Datentransfers oder Einwilligungen (Art. 49 DSGVO) der Betroffenen in Betracht.

 

Schritt 3: Anfrage beim Dienstleister

Um das Datenschutzniveau prüfen zu können, müssen Sie nun jeden einzelnen Dienstleister anfragen. Ein Muster stelle ich Ihnen bei Anfrage gern zur Verfügung. Aufgrund der mitunter langen Antwortzeiten sollten Sie sich intern eine Frist setzen und nach deren Ablauf erneut nachfragen.

 

Schritt 4: Beurteilung des Risikos und der Schutzmaßnahmen

Nach Erhalt der Auskunft folgt die Bewertung des Risikos für die Betroffenen. Hier kommt es insbesondere darauf an, welche Daten Gegenstand der Verarbeitung sind und welche Schutzmaßnahmen vom jeweiligen Dienstleister getroffen worden. Insbesondere folgende Punkte sollten überprüft werden:
• Verarbeitung auf EU-Servern
• Verschlüsselung der Daten, Schutz vor behördlichen Zugriffen
• Zusicherung der Prüfung und Abwehr von Anfragen der US-Behörde
• Zusicherung der Information über Behördenanfragen
• Zusicherung einer Vertragsstrafe bei Verstößen
• Nachweis von Maßnahmen durch Audits

 

Schritt 5: Weitere Nutzung oder Einstellung

Ist im Ergebnis ein angemessenes Datenschutzniveau gewährleistet, so können Sie den Anbieter weiter nutzen. Wenn nicht, dann sollten Sie die Verarbeitung einstellen und eine Alternative für den Dienstleister suchen.

 

Schritt 6: Anpassung der Hinweise und des Verzeichnisses

Unabhängig davon, ob Sie den Dienstleister weiter nutzen oder kündigen sind die Informationspflichten (Art. 13 Abs. 1 f DSGVO) und das Verzeichnis der Verarbeitungstätigkeiten anzupassen.

 

Update vom 20.11.2020

Inzwischen gibt es eine Stellungnahme des Europäische Datenschutzausschusses (EDSA) zur Frage, welche zusätzlichen Maßnahme in Betracht kommen können. Hierzu lesen mehr in meinem Beitrag unter: https://rechtsanwalt-harzewski.de/massnahmen-bei-standardvertragsklauseln/.

 

Die Organisation von Max Schrems (noyb) hat inzwischen Beschwere gegenüber 101 europäischen Unternehmen erhoben. Hierunter zählen Firmen wie TV Spielfilm, Lieferando und chefkoch, die ihre Websites noch immer unter Verwendung von Facebook Connect und Google Analytics betreiben. Die Übersicht aller Unternehmen finden Sie hier: https://noyb.eu/en/eu-us-transfers-complaint-overview.

Zum Nachlesen: Häufig gestellte Fragen zum Urteil des Gerichtshofs der Europäischen Union in der Rechtssache C-311/18 — Data Protection Commissioner gegen Facebook Ireland Ltd und Maximillian Schrems: abrufbar unter https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_faqs_schrems_ii_202007_adopted_de.pdf

Kommen Sie gern auf mich zu, wenn Sie zum Beispiel bei der Beurteilung des Risikos und der Schutzmaßnahmen Hilfe brauchen.

Rechtsanwalt Robert Harzewski

scales icon with long shadow

Abmahnung wegen fehlender Datenschutzerklärung

Leitsatz:

Die Informationspflichten aus Artikel 13 Absatz 1 DSGVO stellen Marktverhaltensregelungen dar. Wettbewerbsverbände sind daher befugt, solche Verstöße gegen Bestimmungen der Datenschutz-Grundverordnung geltend zu machen. Eine Abmahnung wegen fehlender Datenschutzerklärung ist demnach möglich.

Gericht: Oberlandesgericht Stuttgart, Urteil vom 27.02.2020
Aktenzeichen: 2 U 257/19

 

Was war passiert?

Ein gewerblicher Ebay-Verkäufer bot auf der Plattform Reifen zum Sofortkauf an. Neben seiner Firma gab er seine Postanschrift, Telefonnummer, Faxnummer und E-Mail-Adresse an. Eine Erklärung zum Datenschutz hielt er jedoch nicht vor. Damit informierte er insbesondere nicht über Art, Umfang und Zweck der Erhebung und Verwendung personenbezogener Daten. Daraufhin erhielt er von einem Wirtschaftsverband eine Abmahnung wegen fehlender Datenschutzerklärung.

 

Entscheidung:

Mit dem Inserat auf der Internethandelsplattform hat der Händler gegen Artikel 13 DSGVO verstoßen. Hierin sah das Gericht auch eine unzulässige geschäftliche Handlung im Sinne von § 3 a UWG, die vom Wirtschaftsverband abgemahnt werden kann.

Voraussetzung für eine Abmahnung wegen fehlender Datenschutzerklärung ist,

• dass die entsprechende Norm auch dazu bestimmt ist, im Interesse der Marktteilnehmer das Marktverhalten zu regeln
• dass dieser geeignet ist, die Interessen von Verbrauchern, sonstigen Marktteilnehmern oder Mitbewerbern spürbar zu beeinträchtigen.

Nach Auffassung des Gerichts habe Art. 13 DSGVO insoweit eine verbraucherschützende Funktion und weise den erforderlichen wettbewerblichen Bezug auf.

Das Gericht ging davon aus, dass durch die DSGVO die Rechtsbehelfe nicht abschließend geregelt werden. Daher bleiben die nationalen Bestimmungen der § 8 Absatz 1 und Absatz 3 Nr. 2 i.V.m. § 3a UWG anwendbar.

Mitgliedstaaten können nationale Normen auch dann anwenden, wenn diese die unmittelbare Anwendbarkeit der Verordnung nicht vereiteln, deren gemeinschaftliche Natur nicht verbergen und die Ausübung des durch die betreffende Verordnung verliehenen Ermessens innerhalb der Grenzen dieser Vorschriften konkretisieren.

Der Normgeber hat die Verantwortung für die Ausgestaltung der Rechtsdurchsetzung und des Prozessrechts an die Mitgliedsstaaten übertragen. Daher müsse vom Grundsatz her jede nationale Maßnahme, die geeignet ist, die Rechtsdurchsetzung zu erleichtern, als zulässig angesehen werden.

Aus der DSGVO ergäbe sich zudem nicht, dass es den Mitgliedstaaten verwehrt sein soll, Wettbewerbsverbänden eine Klagebefugnis einzuräumen. Die Rechtsdurchsetzung auf dem zivilen Rechtsweg wird durch die Verordnung in keiner Weise eingeschränkt, noch stellt Artikel 80 DSGVO eine abschließende Regelung dar.

Die Verfolgung von Wettbewerbsverstößen durch Wettbewerbsverbände habe sich als schlagkräftiges Instrument bewährt. Da die Ressourcen der Behörden begrenzt sind, können Wettbewerbsverbände auch bei der Überwachung der Datenschutzregeln einen wesentlichen Beitrag leisten.

 

Hintergrund zur Abmahnung wegen fehlender Datenschutzerklärung

Ob DSGVO-Verstöße abgemahnt werden können bleibt weiterhin unklar. Die Frage, ob das Datenschutzrecht auch das Marktverhalten regelt, wird von den Gerichten unterschiedlich beantwortet.

 

Entscheidung am Gericht Sachverhalt Verstoß gegen das Wettbewerbsrecht
27.02.2020Oberlandesgericht Stuttgart

Aktenzeichen: 2 U 257/19

gewerblicher Ebay-Verkäufer mit Inserat ohne Datenschutzhinweiseja
07.11..2019Oberlandesgericht des Landes Sachsen-Anhalt

Aktenzeichen: 9 U 6/19

fehlende ausdrückliche Einwilligungja
07.02.2019Oberlandesgericht München

Aktenzeichen: 6 U 2404/18

Telefonanrufen zu Werbezwecken (Cold Calls)ja
05.11.2018Landgericht Wiesbaden

Aktenzeichen:. 5 O 214/18

wegen unvollständigen Auskünfte nach Art. 15 DSGVOnein
25. 10. 2018Oberlandesgericht Hamburg

Aktenzeichen: 3 U 66/17

fehlende EinwilligungDie jeweilige Norm der DSGVO muss im Einzelfall konkret darauf überprüft werden, ob sie eine Regelung des Marktverhaltens zum Gegenstand hat.
13.09.2018Landgericht Würzburg

Aktenzeichen: 11O1741/18

fehlerhafte Datenschutzerklärung (keine Angabe zum Verantwortlichen, zur Datenverarbeitung, Belehrung über Betroffenenrechte)  und keine Verschlüsselung für das Kontaktformular auf Websiteja
07.08.2018Landgericht Bochum, Aktenzeichen: 12 O 85/18fehlende Datenschutzerklärung auf einer WebsiteVerstoß gegen die DSGVO ist nicht zugleich eine Wettbewerbsverletzung nach § 3 a UWG

 

Eine höchstrichterliche Entscheidung steht noch aus. Um vor allem einer Abmahnung wegen fehlender Datenschutzerklärung vorzubeugen, sollten Unternehmen ihre Hinweise auf Vollständigkeit prüfen.

Rechtsanwalt Robert Harzewski

Kein Schadensersatzanspruch bei Bagatellverstößen

Leitsatz:

Für ein Schadensersatzanspruch bei Bagatellverstößen, ohne ernsthafte Beeinträchtigung für das Selbstbild oder Ansehen einer Person besteht kein Schadensersatzanspruch nach Art. 82 DSGVO.

Gericht: : Oberlandesgericht Dresden, Beschluss vom 11.Juni 2019
Aktenzeichen: 4U 760/19

Was war passiert?

Facebook hatte einen fremdenfeindlichen Beitrag eines Nutzers gelöscht, in welchem mehrfach das Wort „Neger“ verwendet wurde. Anschließend wurde auch der Account des Nutzers für wenige Tage gesperrt. Aufgrund dessen klagte der Nutzer gegen das Vorgehen und verlangte Schadensersatz in Höhe von 150,00 Euro. In der Löschung seines Beitrages und in der kurzzeitigen Versetzung seines Kontos in den read-only Modus sah der Nutzer unter anderem einen Verstoß gegen die DSGVO.

Entscheidung:

Das Oberlandesgericht (OLG) entschied, dass Bagatellverstöße, wie hier der Fall, keinen Schadensersatzanspruch nach Artikel 82 Datenschutzgrundverordnung (DSGVO) begründen.

In der Löschung des Posts und der Sperrung des Accounts des Klägers liegt kein Verstoß gegen zwingende Vorgaben der DSGVO. Zur Erhebung, Verarbeitung und letztendlich auch Löschung seiner Daten habe der Nutzer gemäß der Nutzungsbedingungen eingewilligt, Art. 6 Abs. 1 lit a) DSGVO. Dies umfasse mithin auch die Löschung des streitgegenständlichen Posts und die Sperrung seines Kontos.

Voraussetzung für einen Anspruch aus Art. 82 DSGVO ist materieller oder immaterieller Schaden des Betroffenen. Die bloße Sperrung von Daten stellt ebenso wie der Datenverlust noch keinen Schaden im Sinne der DSGVO dar. Auch die behauptete Hemmung in der Persönlichkeitsentfaltung durch die Sperrung des Kontos habe allenfalls Bagatellcharakter.

Art. 82 DSGVO ist nicht so auszulegen, dass er einen Schadensersatzanspruch bereits bei jeder individuell empfundenen Unannehmlichkeit oder bei Bagatellverstößen ohne ernsthafte Beeinträchtigung für das Selbstbild oder Ansehen einer Person begründet.

Dies kann anders zu bewerten sein, wenn ein datenschutzrechtlicher Verstoß zum Beispiel eine Vielzahl von Personen in gleicher Weise betrifft und Ausdruck einer bewussten, rechtswidrigen und im großen Stil betriebenen Kommerzialisierung ist.

Rechtsanwalt Robert Harzewski

Private Handynummer der Mitarbeiter

Private Handynummer der Mitarbeiter

Leitsatz:

Ein Arbeitnehmer ist nicht dazu verpflichtet, dem Arbeitgeber seine private Mobiltelefonnummer mitzuteilen. Etwas anderes kann gelten, wenn der Arbeitgeber ohne die private Handynummer der Mitarbeiter eine legitime Aufgabe nicht, nicht vollständig oder nicht in rechtmäßiger Weise erfüllen kann oder eine andere Organisation der Aufgabenerfüllung nicht möglich oder zumutbar ist.

Gericht: Landesarbeitsgericht Thüringen, Urteil vom 16. Mai 2018
Aktenzeichen: 6 Sa 442/17

Was war passiert?

Ein Mitarbeiter des Gesundheitsamtes war im Bereich Hygiene/Infektionsschutz beschäftigt. Sogenannte Gefährdungsanlagen, wie der Ausbruch hoch infektiöser Krankheiten, machen hier ein Tätigwerden auch außerhalb der Arbeitszeiten erforderlich. Daher war außerhalb der Dienstzeit bis zum 31.12.2016 eine Rufbereitschaft eingerichtet. Für etwaige Anrufe wurde ein Diensthandy zur Verfügung gestellt. Ab dem 01.01.2017 sollte die Erreichbarkeit zu bestimmten Zeiten bei Notfällen nicht über das Diensthandy, sondern über die private Handynummer der Mitarbeiter organisiert werden. Der Arbeitgeber verlangte daher auch Mobiltelefonnummer der Mitarbeiter. Als sich ein Mitarbeiter weigerte, seine Mobiltelefonnummer anzugeben, erhielt er eine Abmahnung. Hiergegen wehrte sich der Mitarbeiter mit einer Klage.

Entscheidung:

Das Gericht entschied, dass Mitarbeiter grundsätzlich nicht verpflichtet sind, dem Arbeitgeber ihre private Mobiltelefonnummer mitzuteilen. Für die Erhebung der Mobiltelefonnummer als personenbezogenes Datum benötigt der Arbeitgeber eine entsprechende Rechtsgrundlage. Fehlt eine Einwilligung des Arbeitnehmers so war auch nach alter Rechtslage eine Abfrage nur zulässig, wenn die Speicherung der Nummer zur Begründung, Durchführung oder Beendigung des Beschäftigungsverhältnisses erforderlich ist.

Der Begriff der Erforderlichkeit in diesem Sinne bedeutet dabei nicht, dass die Daten für den Arbeitgeber unverzichtbar sein müssen. Ausreichend ist, wenn der Arbeitsgeber ohne ihre Kenntnis oder Nutzung im konkreten Einzelfall eine legitime Aufgabe nicht, nicht vollständig oder nicht in rechtmäßiger Weise erfüllen kann. Nach dem Verhältnismäßigkeitsgrundsatz darf die Schwere des Eingriffs bei einer Gesamtabwägung nicht außer Verhältnis zu dem Gewicht der ihn rechtfertigenden Gründe stehen. Der Eingriff in das Persönlichkeitsrecht liegt bereits darin, dass die Mobiltelefonnummer erfasst werde und somit die Möglichkeit bestehe, den Mitarbeiter jederzeit und an jedem Ort zu kontaktieren.

Hierin sah das Gericht aber einen außerordentlich schweren Eingriff, welcher sich nicht durch das Informationsinteresse des Arbeitgebers rechtfertigen lässt. Eine Mobiltelefonnummer ist deshalb ein besonders sensibles Datum, weil jeder, der Kenntnis von dieser Nummer hat, grundsätzlich jederzeit in der Lage ist, den Nutzer zu erreichen. Zu den vornehmsten Persönlichkeitsrechten gehört aber, dass ein Mensch selbst entscheidet, für wen er in seiner Freizeit erreichbar sein will oder nicht.

Rechtsanwalt Robert Harzewski

GPS-Überwachung von Firmenfahrzeugen

 

Leitsatz:

Die GPS-Überwachung von Firmenfahrzeugen ist weder zur Tourenplanung, zur Gewährleistung des Diebstahlschutzes, zur Koordination der Mitarbeiter, noch zum Nachweis gegenüber den eigenen Auftraggebern erforderlich.
 
Gericht: : Verwaltungsgericht Lüneburg, Teilurteil vom 19. März 2019
Aktenzeichen: 4 A 12/19

 

Was war passiert?

Der Betreiber eines Reinigungsunternehmens hat den eigenen Fuhrpark mit einem GPS-System ausgestattet. Dabei speicherte er über einen Zeitraum von 150 Tagen die jeweiligen Start- und Endpunkte, sowie bspw. auch die gefahrene Zeit und den Status der Zündung. Das System ist nicht manuell, z.B. durch einen Schalter, abschaltbar. Auch eine anderweitige Abschaltung ist nur unter beachtlichen Aufwand möglich. Außerdem speicherte er die Kennzeichen der Fahrzeuge, welche wiederum den jeweiligen Arbeitnehmern zugeordnet sind. Eine ehemalige Mitarbeiterin des Reinigungsunternehmens entschied sich, diese Praxis zu melden, woraufhin ein Kontrollverfahren eingeleitet wurde. Daraus folgte ein Bescheid, welcher der Reinigungsfirma z.B. auferlegte, die Erhebung und Nutzung der Beschäftigungsdaten durch GPS-Systeme so zu gestalten, dass eine GPS-Überwachung von Firmenfahrzeugen nicht erfolgt. Gegen diesen Bescheid wehrte sich die Reinigungsfirma mit einer Klage.
 

Entscheidung:

Das Gericht entschied, dass die Verarbeitung der GPS-Daten nicht für die Begründung, Durchführung oder Beendigung des Beschäftigungsverhältnisses erforderlich ist.

Die Reinigungsfirma trug vor, dass die GPS-Überwachung von Firmenfahrzeugen betrieblich notwendig sei, um z.B. Touren zu planen, Mitarbeiter zu koordinieren, Nachweise gegenüber den Auftraggeber zu erbringen, private Fahrten an Wochenenden zu unterbinden oder generell Diebstahlsschutz zu gewährleisten.

Zur Verhinderung von privaten Fahrten am Wochenende würde die Anweisung Fahrzeugschlüssel abzugeben oder das Führen von Fahrtenbüchern ausreichen.

Die Gewährleistung des Diebstahlschutzes kann nicht für als Begründung für eine GPS-Überwachung von Firmenfahrzeugen herhalten. Nach Ansicht des Gerichts sind GPS-Systeme für den präventiven Diebstahlsschutz völlig ungeeignet. Im Falle eines gestohlenen Fahrzeugs reiche eine anlassbezogene Ortung. Eine andauernde Erfassung von Standortdaten und Speicherung für 150 Tage sei dafür jedenfalls nicht erforderlich.

Auch für die Tourenplanung, welche sich an die Zukunft richtet, seien die erhobenen Bewegungsdaten unwichtig.

Schließlich ist die GPS-Überwachung von Firmenfahrzeugen zur Koordination der Mitarbeiter nicht erforderlich, da weniger eingreifende Maßnahmen in Betracht kämen. Das Gericht schlägt hierfür z.B. die Sicherstellung der telefonischen Erreichbarkeit der Mitarbeiter per Mobiltelefon vor.

Die GPS-Überwachung von Firmenfahrzeugen zum Nachweis gegenüber den Auftraggebern hält das Gericht ebenso für völlig ungeeignet und nicht erforderlich. Durch die Überwachungsdaten könne höchstens nachgewiesen werden, dass sich ein Fahrzeug in der Nähe eines Auftragsobjekts befunden hat, nicht jedoch eine bestimmte Leistung.

Rechtsanwalt Robert Harzewski

Kundenfotos zu Werbezwecken bei Facebook

Leitsatz:

Sowohl nach dem Kunsturhebergesetz, als auch nach der Datenschutzgrundverordnung ist eine Einwilligung zur Veröffentlichung von Kundenfotos zu Werbezwecken notwendig. Es kann daher offen bleiben, ob das Kunsturhebergesetz überhaupt noch anzuwenden ist. In jedem Fall können im Rahmen des Art. 6 Abs. 1 lit. f DSGVO die Grundsätze des Kunsturhebergesetz und der dazu ergangenen Rechtsprechung in die Abwägung der Interessen und Grundrechte einzubeziehen sein.
 
Gericht: : Landgericht Frankfurt am Main, Urteil vom 13. September 2018
Aktenzeichen: 2-03 O 283/18

 

Was war passiert?

Eine Frau besuchte einen Frisörsalon mit dem Ziel sich die Haare verlängern zu lassen. Im Laufe dieser Prozedur wurde die Kundin von einem Ihr unbekannten Mann fotografiert und gefilmt. Daraufhin stellte die Frau fest, dass der Salonbetreiber sowohl Fotos, als auch ein Video, auf dem die Frau eindeutig zu erkennen ist, auf seiner Facebookseite hochgeladen hatte. Die Kundin sah darin eine Verletzung ihres Persönlichkeitsrechts.
 

Entscheidung:

Das Gericht entschied, dass der Salonbetreiber das Video und die Kundenfotos zu Werbezwecken nicht öffentlich zur Schau stellen darf. Sowohl nach dem Kunsturhebergesetz, als auch nach der Datenschutzgrundverordnung ist die Einwilligung des Gefilmten zur Veröffentlichung notwendig. Eine wirksame Einwilligung konnte der Salonbetreiber jedoch nicht nachweisen.

Das Kunsturhebergesetz lässt allerdings Ausnahmen zu, in denen eine solche Einwilligung entbehrlich ist. Eine solche Ausnahme liegt zum Beispiel bei Bildnissen aus dem Bereich der Zeitgeschichte vor. Diese war bei dem veröffentlichten Video im Friseursalon jedoch nicht gegeben. Da auch keine anderen Ausnahmen greifen, war die Einwilligung in die Aufnahme von Kundenfotos zu Werbezwecken gerade nicht entbehrlich.

Auch die Datenschutzgrundverordnung lässt Ausnahmen für das Erfordernis der Einwilligung zu. So kann die Verarbeitung der Kundenfotos zu Werbezwecken rechtmäßig sein, wenn sie zur Wahrung berechtigter Interessen des Betreibers nach Art. 6 Abs. 1 lit. f DSGVO erforderlich ist. Voraussetzung ist jedoch, dass diese die Interessen oder Grundrechte und Grundfreiheiten der gefilmten Person überwiegen. Bei der zutreffenden Abwägung können die Grundsätze des Kunsturhebergesetz und der dazu ergangenen Rechtsprechung in die Abwägung einzubeziehen sein. Das Gericht entschied jedoch, dass die Interessen an der Unterlassung der Verarbeitung der Kundenfotos zu Werbezwecken überwiegen. Das filmische Festhalten des Salonbesuchs und das Anfertigen von Kundenfotos zu Werbezwecken widersprechen zudem den vernünftigen Erwartungen eines Kunden.

Die Veröffentlichung der Fotos und des Videos erfolgte daher in rechtswidriger Weise.
 

Rechtsanwalt Robert Harzewski

Richter mit Hammer

Umfang des Auskunftsanspruches nach Art. 15 DSGVO

Leitsatz:

Der Umfang des Auskunftsanspruches nach Art. 15 DSGVO erstreckt sich nicht auf alle internen Vorgänge. Der Anspruch dient vielmehr dazu, den Umfang der gespeicherten Daten zu beurteilen.
 
Gericht: : Landgericht Köln, Teilurteil vom 18.03.2019
Aktenzeichen: 26 O 25/18

 

Was war passiert?

Eine Versicherungsnehmerin hatte zwei Lebensversicherungsverträge bei Ihrem Versicherer abgeschlossen. Von diesem verlangte Sie nun eine vollständige Datenauskunft nach Art. 15 DSGVO. Dieser kam der Versicherer zum Teil nach, was der Versicherungsnehmerin jedoch nicht ausreichte.
 

Entscheidung:

Das Gericht entschied, dass nach Art. 15 DSGVO grundsätzlich ein umfassender Auskunftsanspruch über die verarbeiteten personenbezogenen Daten eines Betroffenen besteht. Hierzu zählen auch ärztliche Unterlagen, Gutachten oder sonstige vergleichbare Mitteilungen anderer Quellen.

Umfang des Auskunftsanspruches nach Art. 15 DSGVO erstreckt sich neben den in Art. 15 Abs. 1 DSVO aufgeführten Informationen allerdings nicht auf alle internen Vorgänge, wie zum Beispiel Vermerke oder den gewechselten Schriftverkehr, welche dem Auskunftssuchenden bereits bekannt sind. Auch rechtliche Bewertungen oder Analysen stellen keine vom Anspruch umfassten Daten dar.

Der Anspruch auf Auskunft dient vielmehr dazu, den Umfang der gespeicherten Daten zu beurteilen. Keinesfalls soll dieser dem Betroffenen zu einer vereinfachten Buchführung dienen.
 

Rechtsanwalt Robert Harzewski

Kamera-Attrappe im Hauseingang

 

Leitsatz:

Auch das Anbringen einer bloßen Kamera-Attrappe im Hauseingang eines Mehrparteienhauses kann einen Eingriff in das allgemeine Persönlichkeitsrecht des Gefilmten darstellen.

CCTV Camera security operating in office building.

Videoüberwachung des Arbeitnehmers

Leitsatz:

Solange der Arbeitgeber eine vorsätzliche Pflichtverletzung eines Arbeitnehmers noch rechtlich ahnden kann, darf er die relevanten Aufnahmen aus einer zulässigen offenen Videoüberwachung des Arbeitnehmers aufbewahren. Die Speicherung der Sequenzen bleibt dabei solange erforderlich, wie der mit der Überwachung verfolgte Zweck besteht.
 
Gericht: : Bundesarbeitsgericht, Urteil vom 23. August 2018
Aktenzeichen: 2 AZR 133/18

 

Was war passiert?

Eine Angestellte eines Tabak- und Zeitschriftenhandels wurde verdächtigt Geld für sich vereinnahmt zu haben. Zur Überprüfung dieses Vorwurfs installierte der Arbeitgeber im Februar 2016 offen eine Kamera in seinem Geschäft. Die Auswertung der Aufzeichnungen der Videoüberwachung des Arbeitnehmers erfolgte allerdings erst im August 2016. Die entsprechenden Aufnahmen belasteten die Angestellte eindeutig. Daraufhin wurde der Angestellten fristlos gekündigt, wogegen sie sich zur Wehr setzte.
 

Entscheidung:

Das Gericht entschied, dass trotz des langen Speicherungszeitraums zwischen der Aufnahme im Februar und der Auswertung der Aufnahmen im August, kein Verwertungsverbot für diese Aufnahmen besteht. Grundsätzlich kenne weder die Zivilprozessordnung, noch das Arbeitsgerichtsgesetz Bestimmungen, welche die Verwertbarkeit von rechtswidrig erlangten Beweismitteln einschränken. Ein verfassungsrechtliches Verwertungsgebot scheidet aus, da die Anfertigung und Speicherung der Videoaufnahmen nach dem BDSG-alt rechtmäßig war.

Ein verfassungsrechtliches Verwertungsgebot wäre nur dann anzunehmen, wenn dieses wegen einer grundrechtlich geschützten Position einer Prozesspartei zwingend geboten ist. Insoweit sind auch die Vorgaben aus dem BDSG-alt von Bedeutung. Diese regeln gerade, in welchem Umfang nichtöffentliche Stellen in die geschützten Rechtspositionen eingreifen können. War die betreffende Maßnahme nach den Vorschriften des BDSG-alt zulässig, liegt insoweit keine Verletzung des allgemeinen Persönlichkeitsrechts in Gestalt des Rechts auf informationelle Selbstbestimmung und am eigenen Bild vor.

Die Videoüberwachung des Arbeitnehmers und die anschließende Auswertung der Aufzeichnungen war nach § 32 Abs. 1 Satz 1 Bundesdatenschutzgesetz alt (§ 26 BDSG-neu) zulässig. Der Arbeitgeber darf daher grundsätzlich alle Daten speichern und verwenden, die er in einem potenziellen Rechtsstreit um die Wirksamkeit einer Kündigung benötigt.

Die Verarbeitung und Nutzung der Daten war zudem verhältnismäßig. Die Speicherung von Bildsequenzen, die geeignet sind, den mit einer rechtmäßigen Videoaufzeichnung verfolgten Zweck zu fördern, bleibt, grundsätzlich erforderlich, solange der mit der Überwachung verfolgte Zweck besteht. Wenn etwaige Kündigungsrechte noch nicht verwirkt und mögliche Schadensersatzansprüche noch nicht verjährt sind, dann bleibt die Speicherung der relevanten Sequenzen erforderlich.

Nur ausnahmsweise kann eine solche erforderliche Speicherung von solchen Teilen der Aufzeichnung unangemessen sein. Grundsätzlich ist der rechtmäßig gefilmte Vorsatztäter in Bezug auf die Aufdeckung und Verfolgung seiner noch verfolgbaren Tat nicht schutzwürdig. Er wird dies auch nicht durch bloßen Zeitablauf. Das allgemeine Persönlichkeitsrecht kann nicht zu dem alleinigen Zweck in Anspruch genommen werden, sich vor dem Eintritt von Verfall, Verjährung oder Verwirkung der Verantwortung für vorsätzlich rechtswidriges Handeln zu entziehen
 

Kontrollausdruck zur Überprüfung der Fristeingabe

Leitsatz:

Die Überprüfung der Fristeingabe bei einen elektronischen Fristenkalender muss durch einen Ausdruck der eingegebenen Einzelvorgänge oder eines Fehlerprotokolls erfolgen. Unterbleibt eine derartige Kontrolle, so liegt ein anwaltliches Organisationsverschulden vor.

Gericht:Bundesgerichtshof, Beschluss vom 28.Februar 2019
Aktenzeichen: III ZB 96/18

 

Was war passiert?

Eine Mitarbeiterin eines Rechtsanwaltes hatte den Auftrag, die Vorfrist für eine Berufung und Berufungsbegründung, die Berufungsfristen, sowie die Fristabläufe in der Handakte zu notieren. Die Berufungsbegründungsfrist und die Vorfrist wurde von der zuständigen Mitarbeiterin jedoch nicht im elektronischen Fristenkalender der verwendeten Software gespeichert. Dadurch wurde in einer Streitsache eine Berufungsbegründungsfrist versäumt.

 

Entscheidung:

Das Gericht entschied, dass die alleinige Kontrolle über die elektronische Kalenderführung nicht ausreiche, da ein höheres Fehlerrisiko bestehe. Hierzu können Datenverarbeitungsfehler der EDV oder Eingabefehler durch ein Vertippen gehören. Die Kalenderführung mittels einer Software darf demnach keine geringere Überprüfungssicherheit bieten als die herkömmlichen Aufzeichnungen.

Ein Rechtsanwalt hat daher die Kontrolle der Fristeingabe in einem elektronischen Fristenkalender durch geeignete Organisationsmaßnahmen zu gewährleisten. Dies kann z.B. über einen Kontrollausdruck der eingegebenen Einzelvorgänge oder eines Fehlerprotokolls erfolgen. Der Kontrollausdruck wird als ein Warnzeichen verstanden, mit dem sich potentiell Eingabe – und Datenverarbeitungsfehler rechtzeitig erkennen und beseitigen lassen. Sofern die Kontrolle der Eingabe nicht mit Hilfe eines Ausdruckes sichergestellt wird, liegt ein anwaltliches Organisationsverschulden vor.

Eine automatisierte programmseitige Eingabekontrolle ist zudem nicht gleich effektiv und sicher wie eine Kontrolle anhand eines Papierausdrucks, da es hier zu einem Augenblicksversagen des Bearbeiters kommen kann. Gründe für ein Augenblicksversagen liegen zum einen in der „menschlichen Natur“ und zum anderen in einem von zahlreichen und intensiven Arbeitsvorgängen geprägten Büroalltag. Nur ein Medienbruch zwischen Eingabe am Bildschirm und Kontrolle mittels eines Ausdrucks gewährleistet mithin ein hohes Maß an Sicherheit in Bezug auf eine zutreffende Fristeingabe und -Speicherung.

 

Richter mit Hammer

Fehlende Datenschutzerklärung nicht abmahnbar

Leitsatz: Eine fehlende Datenschutzerklärung rechtfertigt nicht immer eine Abmahnung nach dem Wettbewerbsrecht.

Gericht: Landgericht Bochum, Urteil vom 7.8.2018
Aktenzeichen: 12 O 85/18

Entscheidung: Das Gericht entschied, dass ein Verstoß gegen die DSGVO nicht zugleich eine Wettbewerbsverletzung nach § 3 a UWG darstellen muss. Eine solche Verletzung liegt nur vor, wenn eine gesetzliche Vorschrift über das Marktverhalten missachtet wurde, die zudem geeignet ist, die Interessen von Verbrauchern, sonstigen Marktteilnehmern oder Mitbewerbern spürbar zu beeinträchtigen.

Nach Auffassung des Gerichts stellt eine fehlende Datenschutzerklärung auf einer Website keinen derartigen Verstoß dar, da die DSGVO in den Art. 77 – 84 insofern eine abschließende Regelung enthält. Speziell in Art. 80 DSGVO ist geregelt, dass betroffene Personen nur bestimmte Einrichtungen, Organisationen oder Vereinigungen ohne Gewinnerzielungsabsicht beauftragen können, um ihre Rechte, wie die Geltendmachung von Schadensersatz, wahrzunehmen. Daraus ergibt sich, dass der Unionsgesetzgeber eine Ausweitung auf Mitbewerber des Verletzers nicht zulassen wollte.

Hintergrund: Das Verhältnis zwischen DSGVO und dem Wettbewerbsrecht bleibt umstritten. In einem Fall vor dem Landgericht Würzburg (Beschluss vom 13.9.2018 – Az.: 11O1741/18) nahm das Gericht eine Wettbewerbsverletzung an, da eine Anwältin neben einer fehlerhaften Datenschutzerklärung auch keine Verschlüsselung für das Kontaktformular auf ihrer Website vorhielt.

The Sound of Facebook

Mit einem neuen Musikdeal macht sich Facebook auf den Weg zur neuen Jukebox. Das Unternehmen schloss dafür mit dem International Copyright Enterprise (ICE) einen Vertrag,

Wie ist der Bandname geschützt?

Neben dem zivilrechtlichen Namenschutz und dem Unternehmenskennzeichenschutz kann der Bandname noch als Marke durch das Markenschutzgesetz abgesichert sein.

Weihnachtsmarkt in Dresden; © Alexander Erdbeer / Fotolia.com

Schutz vor Terroranschlägen ist Aufgabe des Staates

Dies entschied das Verwaltungsgericht Berlin. Die Veranstalterin des Weihnachtsmarktes in Charlottenburg sollte durch entsprechende Vorrichtungen

Richter mit Hammer

Zur Verteilung von GEMA-Einnahmen

Leitsatz: Die Vergütung der Urheber darf von der GEMA nicht um einen pauschalen Verlegeranteil gekürzt werden.

Professionelle (Eis-)Tänzer sind keine Künstler

Das Bundessozialgericht erfindet eine neue Ausrede für Männer.

Justitia - deutsche Gesetze; © recht_schoen / Fotolia.com

Anzug eines Orchestermusikers ist Privatsache

Leitsatz: Kleidungsstücke eines Orchestermusikers stellen in der Regel keine typische Berufsbekleidung, sondern bürgerliche Kleidung dar.

scales icon with long shadow

Zur Voraussetzung eines Platzverweises

Leitsatz: Für die Erteilung von Platzverweisen durch die Polizei reicht nicht aus, dass es einen Bezug zu Veranstaltungen gibt,

scales icon with long shadow

Zur Sittenwidrigkeit eines Managementvertrages

Leitsatz: Bei Managementverträgen ist es üblich, dass der Manager an sämtlichen Einnahmen aus der künstlerischen Tätigkeit des Künstlers beteiligt wird, die dieser während der Vertragslaufzeit erzielt.

Richter mit Hammer

Plattenverträge als typische Form der Vermarktung

Leitsatz: Der Abschluss von Plattenverträgen und Bandübernahmeverträgen bei Schlagersängern stellt die typische Form der Vermarktung dar.

Justitia - deutsche Gesetze; © recht_schoen / Fotolia.com

Zum Rücktritt vom Tourneevertrag

Leitsatz: Wird in einem Tourneevertrag geregelt, dass ein Künstler Aufführungen eines nach objektiven Kriterien bestimmbaren Repertoires schuldet, handelt es sich um einen Werkvertrag.

scales icon with long shadow

Zur Ruhezeit eines Orchestermusikers

Leitsatz: Einem Orchestermusiker steht nach § 13 Abs. 2 TVK keine fünfstündige Ruhezeit vor jeder Aufführung zu, wenn am selben Tag zwei Aufführungen an verschiedenen Aufführungsstätten am Sitz des Orchesters zu absolvieren sind.

Richter mit Hammer

Kein Plagiat von „Hinterm Horizont“

Leitsatz: Sind alle wesentlichen Gestaltungselemente eines Musicals bereits in historischen Ereignissen, einer Autobiografie sowie in Originalsongtexten angelegt, so stellen sie keine eigene geistige Schöpfung dar.

scales icon with long shadow

Gothic gegen Rap

Leitsatz: Wenn Text und Komposition zu einem Gesamtwerk verbunden werden, dann ist ein so verbundenes Werk nicht gegen eine Trennung von Dritten geschützt, da sowohl Text, als auch Musik jeweils gesondert verwertet werden können

scales icon with long shadow

Zum Abspielen eines Liedes im Wahlkampf

Leitsatz: Das Abspielen eines Liedes während einer noch andauernden Wahlkampfveranstaltung steht stets in Zusammenhang mit der Veranstaltung

Justitia - deutsche Gesetze; © recht_schoen / Fotolia.com

Zur Annahme einer Doppelschöpfung

Leitsatz: Im musikalischen Bereich ist bei Anwendung der bestehenden Lehren und Gestaltungsmittel (wie Melodik, Harmonik, Rhythmik, Metrik, Tempo, Phrasierung, Artikulierung, Ornamentik, Kadenz, Periodik, Arrangement) ein weiter Spielraum

scales icon with long shadow

Zur Veranstalter-eigenschaft

Leitsatz: Unabhängig von der Möglichkeit der Programmgestaltung ist eine Veranstalter-eigenschaft dann anzunehmen, wenn der Umfang und das Gewicht der vorgenommenen Tätigkeiten die Annahme rechtfertigen, dass eine Mitwirkung an der Aufführung vorliegt.

Richter mit Hammer

Private-Viewing in der Gaststätte

Leitsatz: Wenn lediglich Mitglieder einer Skatrunde und eines Dartclubs in einer öffentlich zugänglichen Gaststätte Fußballspiele anschauen, dann handelt es sich um eine nicht öffentliche Gesellschaft,

Justitia - deutsche Gesetze; © recht_schoen / Fotolia.com

Zur Abgabepflicht einer Tanzschule

Leitsatz: Eine Tanzschule muss für Honorare, die für selbständige Musiker gezahlt werden, welche auf Abschlussbällen spielen, Künstlersozialabgabe entrichten.

scales icon with long shadow

Kunstfreiheit vs. Totensonntag

Leitsatz: Kunstfreiheit verlangt nicht, dass Kunstwerke jederzeit gewerblich aufgeführt oder vertrieben werden dürfen.

scales icon with long shadow

Zur Erlaubnis von E-Zigaretten in Kneipen

Leitsatz: Bei dem Gebrauch einer E-Zigarette findet kein Verbrennungsprozess, sondern ein Verdampfungsvorgang statt. Die E-Zigaretten sind daher in nordrhein-westfälischen Gaststätten zulässig,

scales icon with long shadow

Zum Streitwert Bootleg II

Leitsatz: Beim Verkauf eines nicht offiziell veröffentlichten bzw. nicht autorisierten DVD-Bildtonträgers (Bootlegs) auf der Internetplattform ebay.de ist der Streitwert auf 10.000 festzusetzen.

Richter mit Hammer

Beteiligung an Erlösen nach Austritt aus Band

Leitsatz: Nach dem Ausscheiden eines Bandmitgliedes gilt eine pauschale Vereinbarung zur Beteiligung an sämtlichen Tonträgererlösen, unabhängig von der Mitwirkung, nicht ohne konkrete weitere Absprache fort.

scales icon with long shadow

Abgabepflicht von Country-Westerntanzverein

Leitsatz: Für eine einheitliche Veranstaltung sprechen neben der Wahrnehmung der Veranstaltung als Einheit in der Öffentlichkeit insbesondere der einheitliche Name,

Justitia - deutsche Gesetze; © recht_schoen / Fotolia.com

Zum Verbot des Weiterverkaufs von Tickets

Leitsatz: Ein kommerzieller Weiterverkauf von Konzert-Tickets kann in den AGB untersagt werden.

scales icon with long shadow

Zur Namensnutzung von „Rock am Ring“

Leitsatz: Da der Marek Lieberberg Konzertagentur GmbH & Co. KG ein älteres Werktitelrecht zusteht, hat die Nürburgring GmbH i.E. kein Anspruch auf Unterlassung

Richter mit Hammer

Betrieb YouTube-Portals vom Ausland

Leitsatz: Beim Betrieb eines YouTube-Portals aus dem Ausland ist das Verwenden von Kennzeichen verfassungswidriger Organisationen nicht strafbar.

scales icon with long shadow

Zur Beeinträchtigung privater Veranstalter

Leitsatz: Eine Preisunterbietung ist als wettbewerbliches Mittel grundsätzlich erlaubt und nur dann unlauter, wenn sie in Verdrängungsabsicht geschieht.

scales icon with long shadow

Versicherungspflicht einer Tanzlehrerin

Leitsatz: Bei einem aus mehreren Arbeitsgebieten zusammengesetzten gemischten Berufsbild kann nur dann

scales icon with long shadow

Vergütung von Musiknutzung /Tanzschulen

Leitsatz: Bei der Festsetzung einer Vergütung im Rahmen eines Gesamtvertrages kann eine Orientierung an früheren Verträgen der Parteien erfolgen.

scales icon with long shadow

Zum Streitwert Bootleg I

Leitsatz: Der Streitwert einer Unterlassungsklage wegen eines Angebotes einer Bootleg-LP bei eBay kann bis zu 5.000 Euro betragen.

Richter mit Hammer

Bildberichterstattung Mieterfest

Leitsatz: Auch Fotos, die von Teilnehmern eines lokalen Mieterfest einer Wohnungsbau-genossenschaft gemacht werden, können Bildnisse der Zeitgeschichte sein.

scales icon with long shadow

Zur Abgabepflicht eines Bandleaders

Leitsatz: Wenn ein Bandleader neben der künstlerischen Mitwirkung auch als Vermittler bzw. Vermarkter einer Band auftritt, ist er zur Künstlersozialabgabe verpflichtet.

scales icon with long shadow

Zur Untersagung von YouTube-Sperrtafeln

Leitsatz: Die von YouTube verwendeten Sperrtafeln mit dem Text: „Dieses Video ist in Deutschland leider nicht verfügbar, da es möglicherweise Musik enthält, für die die erforderlichen Musikrechte von der GEMA

Justitia - deutsche Gesetze; © recht_schoen / Fotolia.com

Schutzfähigkeit der Bezeichnung „Event“

Leitsatz: Die Marke „Event“ verfügt über einen von Haus aus verminderten Schutzumfang, da sie die maßgeblichen charakteristischen Dienstleistungen lediglich beschreibt

scales icon with long shadow

Zur Nennung von Musikfestival bei Gewinnspiel

Leitsatz: Wenn ein Unternehmen im freien Handel Eintrittskarten für Musikfestivals erwirbt und diese als Teil eines Gewinnspiels anbietet,

scales icon with long shadow

Zur Rücksichtspflicht bei Gleichnamigkeit

Leitsatz: Die zwischen Gleichnamigen bestehende Gleichgewichtslage verpflichtet beide Beteiligten zur Rücksichtnahme und zur Vermeidung einer weiteren Steigerung der Gefahr von Verwechslungen

Richter mit Hammer

Recht am Bandnamen nach Auflösung der Band

Leitsatz: Derjenige, der unter einem Bandnamen auftritt und dessen künstlerische Leistung damit beworben wird, ist Inhaber des Namensrechtes.

scales icon with long shadow

Keine Kunstfreiheit bei beleidigender Moderation

Leitsatz: Der Moderation bei einer Konzerttournee liegt keine eigene freie schöpferische Gestaltung zugrunde. Ein Künstler kann sich daher nicht auf die Kunstfreiheit berufen, wenn

scales icon with long shadow

Zur Unterscheidung von Konzert und Tanz

Leitsatz: Eine vergnügungssteuerpflichtige Tanzveranstaltung liegt vor, wenn ihr inhaltlicher Charakter für den Besucher erkennbar auf das Vergnügen am Tanz ist.

scales icon with long shadow

Haftung bei unvorhersehbaren Schäden

Leitsatz: Ein Konzertveranstalter haftet nicht für Schäden, mit denen im Vorfeld nicht gerecht werden konnte.

Richter mit Hammer

Ermäßigte Umsatzsteuer für Technoparty

Leitsatz: Im Sinne des Umsatzsteuergesetzes sind Konzerte Aufführungen von Musikstücken, bei denen Instrumente und/oder die menschliche Stimme eingesetzt werden.

Justitia - deutsche Gesetze; © recht_schoen / Fotolia.com

Schmerzensgeld wegen Hörschadens

Leitsatz: Ein Veranstalter kann nicht für etwaige Hörschäden bei den Konzertbesuchern verantwortlich gemacht werden, wenn er sich an die Verpflichtungen aus der DIN 15905 hält.

Richter mit Hammer

Absage eines Konzerts wegen Krankheit

Leitsatz
Bei einem Orchesterkonzert ist die Aufführung mit einem anderen gleichwertigen Dirigenten als zumutbar anzusehen. Es liegt daher kein Fall einer Unmöglichkeit vor, wenn

scales icon with long shadow

Zur Wesentlichkeit von Lärm bei Konzert

Leitsatz: Bei nur einmal jährlich stattfindenden Veranstaltungen von kommunaler Bedeutung können selbst Lärmeinwirkungen unwesentlich sein,

scales icon with long shadow

Haftung des Veranstalters beim Stage-Diving

Leitsatz: Wer die Steigerung und das Aufheizen der Stimmung im Lauf des Konzerts mitbekommt und sich gleichwohl bis zum Höhepunkt des Konzerts in vorderster Front aufhält,

Richter mit Hammer

Sorgfaltspflicht zum Schutz vor Hörschäden

Leitsatz: Der Umfang der Verpflichtung eines Veranstalters, Besucher vor Hörschäden zu schützen, kann sich aus der DIN-Norm 15905 Teil 5 ergeben.

Justitia - deutsche Gesetze; © recht_schoen / Fotolia.com

Zur Obhutspflicht eines Konzertveranstalters

Leitsatz: Der Konzertveranstalter hat im Rahmen seines als Werkvertrag anzusehenden Gastspielvertrages gegenüber dem Künstler eine Obhuts- und Fürsorgepflicht.