Kategorie: Verarbeitungen

Schadensersatz nach einer Werbemail

Schadensersatz nach einer Werbemail

Was kostet eine Werbemail, wenn der Betroffene hierfür keine Einwilligung gegeben hat? Die Frage nach Schadensersatz nach einer Werbemail bzw. der Höhe des Schadens in solchen Fällen beschäftigt derzeit viele Gerichte. In einem aktuellen Fall hielt das Amtsgericht Pfaffenhofen am 09.09.2021, Az.: 2 C 133/21, eine Entschädigung von 300,00 Euro für angemessen. Der Betroffene habe sich mit der Abwehr der von ihm unerwünschten Werbung und der Herkunft der Daten auseinandersetzen müssen. Die sei geeignet gewesen, um zu einen belastenden Eindruck des Kontrollverlusts zu führen.

 

Bei Verstößen gegen die DSGVO steht jeder Person ein Anspruch auf Ersatz von immateriellen Schäden zu. Eine Erheblichkeitsgrenze oder Bagatellschwelle für solche Schäden findet sich nicht in der Verordnung. Dennoch spricht ein großer Teil der Gerichte nur immateriellen Schadensersatz bei erheblichen Verletzungen oder Verstößen zu.

 

Zumindest für das Amtsgericht ist eine Erheblichkeitsschwelle in der DSGVO nicht erkennbar. Die Schwere des immateriellen Schadens sei daher zutreffend für die Begründung der Haftung nach irrelevant und wirke sich nur noch bei der Höhe des Anspruchs aus.

 

Der Schaden kann daher bereits in dem unguten Gefühl liegen, dass personenbezogene Daten Unbefugten bekannt geworden sind oder nicht ausgeschlossen ist, dass die Daten unbefugt weiterverwendet werden. Unbefugte Datenverarbeitungen können zu einem Gefühl des Beobachtetwerdens und der Hilfslosigkeit führen, was die betroffenen Personen letztlich zu einem reinen Objekt der Datenverarbeitung degradiert. Den Kontrollverlust nennt EG 75 ausdrücklich als „insbesondere“ zu erwartenden Schaden. Des Weiteren kommen etwa Ängste, Stress, Komfort- und Zeiteinbußen in Betracht. Die Höhe des Schadens müsse sich dann auf der Grundlage der Schwere und Dauer der Rechtsverletzung ergeben. Dabei können dann auch Genugtuungs- und Vorbeugungsfunktion eine Rolle spielen.

 

Verantwortliche sollten daher die Risiken eine unzulässigen E-Mail Marketings vorab prüfen. Dies gilt umso mehr, wenn vielen Empfängern betroffen sind. Die Werbung mittels E-Mail-Marketing setzt für ihre Zulässigkeit außerhalb der Fälle des § 7 Abs. 3 UWG eine - vorherige und ausdrückliche - Einwilligung voraus, mithin eineWillensbekundung, die ohne Zwang, für den konkreten Fall und in Kenntnis der Sachlage erfolgt.

Rechtsanwalt Robert Harzewski

Cookie als Wettbewerbsverstoß

Ein Cookie als Wettbewerbsverstoß

Aktuell sind viele Unternehmen bzw. ihre Dienstleister auf der Suche nach Cookies, welche auf ihrer Webseite gesetzt werden. Gerade bei großen Projekten ist das mitunter gar nicht so einfach. Cookies sind kleine Textinformationen, die über den Browser bei der Nutzung einer Website auf dem Endgerät des Nutzers gespeichert werden. Ruft der Nutzer die Webseite dann erneut auf, sendet er automatisch seine Cookies mit. Dies ermöglicht, wiederkehrende Nutzer zu erkennen und deren Verhalten zu protokollieren.

 

Cookie als Wettbewerbsverstoß bei fehlender Einwilligung

Das Landgericht Köln hat in seinem Beschluss vom 29.10.2020, Aktenzeichen 31 O 194/20, entschieden, dass das Setzen von nicht notwendigen Cookies ohne Einwilligung ein Wettbewerbsverstoß darstellen kann. Ein solcher Verstoß kann von Mittbewerbern oder Verbänden abgemahnt werden.

 
Es lohnt sich daher, genau zu prüfen, ob für alle nicht notwendigen Cookies auch eine Einwilligung eingeholt wurde. Streitwert des vor dem Gericht geführten Verfahrens waren immerhin 10.000 Euro.

 

Prüfung der Aufsichtsbehörden

Zuletzt hatte die niedersächsische Aufsichtsbehörde Hinweise zur datenschutzkonformen Einwilligungen auf Webseiten und zu Anforderungen an Cookie-Banner veröffentlicht. Lesen Sie dazu mehr in meinem Beitrag unter: https://rechtsanwalt-harzewski.de/anforderungen-an-cookie-banner. Den dazugehörigen Fragebogen der Aufsichtsbehörde können Sie hier herunterladen.

 
Rechtsanwalt Robert Harzewski

Erfassung von Kundendaten

Erfassung von Kundendaten nach DSGVO

Aufgrund des zunehmenden Infektionsgeschehens können Verantwortliche zur Erfassung von Kundendaten verpflichtet sein. Insoweit müssen dann Namen, die Telefonnummer oder E-Mail-Adresse sowie der Zeitraum des Besuchs des Kunden oder Besuchers erhoben werden.

In den meisten Verordnungen findet sich der Hinweis, dass diese Daten geschützt vor Einsichtnahme durch Dritte zu erheben sind. Der Sächsische Datenschutzbeauftragte empfiehlt die Verwendung von Einzelformularen. Alternativ können Mitarbeiter mit der Datenerfassung beauftragt werden. Kunden oder Besucher dürfen in jedem Fall nicht die Daten anderer Kunden oder Besucher zur Kenntnis nehmen.

Ein in der Praxis häufig zu beobachtender Fehler bei der Erfassung von Kundendaten ist auch Fehlen jeglicher Datenschutzhinweise. Wie bei anderen Verarbeitungen ist der Betroffen auch bei Erhebung seiner Kontaktdaten über die Datenverarbeitung nach Art. 13 DSGVO zu informieren. Hier bieten die Aufsichtsbehörden Muster an, die nur noch aktualisiert und angepasst werden müssen. Das Formular für Kontaktdaten des Sächsischen Datenschutzbeauftragten ist hier (docx-Format) abrufbar.

Rechtsanwalt Robert Harzewski

Orientierungshilfe für Videoüberwachung

Orientierungshilfe für Videoüberwachung

In einer neuen Orientierungshilfe informiert die DSK über den Einsatz von Videoüberwachung:

 

Der Begriff der Videoüberwachung

Der Begriff der Videoüberwachung umfasst sowohl die Videobeobachtung, als auch die Aufzeichnung von Videoaufnahmen. Es kommt also nicht darauf an, dass die Aufnahmen tatsächlich angesehen werden. Auch  das sofortige Löschen bereits aufgezeichneter Sequenzen stellt eine Videoüberwachung dar.

 

Zulässigkeit von Videoüberwachungen

Die Zulässigkeit von Videoüberwachungen durch Privatpersonen und Unternehmen richtet sich in der Regel nach Art. 6 Abs. 1 lit. f DSGVO. Das berechtigte Interesse im Rahmen der Interessenabwägung sollte gut dokumentiert werden. Als berechtigtes Interesse kommen grundsätzlich die Ausübung des Hausrechts, die Abwehr von unbefugtem Betreten, der Schutz vor Einbrüchen und Vandalismus, die Verhinderung von Betrug oder Leistungsmissbrauch in Betracht.

 

berechtigtes Interesse

Das berechtigte Interesse muss sich jedoch aus einer konkreten Gefahrenlage ergeben und darf nicht rein spekulativ sein. Die Aufsichtsbehörden fordern hier, dass etwaige Vorfälle, wie Beschädigungen, auch nachgewiesen werden müssen. Ein allgemeines Unsicherheitsgefühl oder allgemeine Statistiken zu Wohnungseinbrüchen sollen dagegen nicht ausreichen.

Dokumentieren Sie ihre Interessenabwägung am besten gleich im Verzeichnis der Verarbeitungstätigkeiten. Die Abwägung selbst sollte so konkret wie möglich auf den Einzelfall abstellen. Vermeiden Sie allgemeine oder abstrakte Erwägungen oder generelle Beschreibungen.

 

Überblick

Eher zulässige Videoüberwachung (eigene Interessen überwiegen):
- Überwachung entspricht den vernünftigen Erwartungen und ist typischerweise gesellschaftlich akzeptiert  (Bank, Tankstellen)

Eher unzulässige Videoüberwachung (Interessen der Betroffenen überwiegen:
- Überwachung entspricht nicht den vernünftigen Erwartungen und ist gesellschaftlich nicht akzeptiert  (Wald, Sport- oder Sanitärbereich)
- Beobachtungen, die die Intimsphäre von Betroffenen betreffen, etwa die Überwachung von Toiletten, Saunas, Duschen und Umkleidekabinen oder -bereichen
- lediglich der Schutz vor Bagatelldelikten
- Bereiche, in denen Menschen kommunizieren, essen und trinken, sich austauschen, erholen oder Sport treiben

 

Fallkonstellationen finden Sie in der Orientierungshilfe für Videoüberwachung

Die besonderen Fallkonstellationen finden Sie in der Orientierungshilfe für Videoüberwachung der Datenschutzkonferenz, ab S. 24., welche unter www.datenschutzkonferenzonline.de/media/oh/20200903_oh_vü_dsk.pdf abrufbar ist.

 

Rechtsanwalt Robert Harzewski

Widerruflichkeit der Einwilligung

Ein Mausklick kommt selten allein

Auf die Widerruflichkeit der Einwilligung muss vor Abgabe hingewiesen werden. Die Ausübung des Widerrufs muss dabei so einfach wie die Erteilung sein (Art. 7 Abs. 3 S. 4 DSGVO).

Nach Ansicht des EDPB muss der Widerruf nicht durch die gleiche Aktion erfolgen. Wenn die Zustimmung aber auf elektronischem Wege durch einen Mausklick, ein Wischen oder einen Tastendruck eingeholt wird, dann muss der Betroffene seine Einwilligung in gleicher Weise widerrufen können. Demnach ist auch ein Verweis auf ein anderes Medium oder eine andere Schnittstelle unzulässig. Wird die Einwilligung also per Mausklick eingeholt, dann kann deren Widerruf nicht per E-Mail, Fax oder durch einen Anruf verlangt werden.

Rechtsanwalt Robert Harzewski

Einwilligung

Kein Zurück von der Einwilligung

Häufig wird eine Einwilligung von Betroffenen eingeholt, obwohl für die entsprechende Verarbeitung eine andere Rechtsgrundlage zur Verfügung steht. Auf diese Praxis sollte dringend verzichtet werden.

Denn nach Ansicht des Gremiums der europäischen Datenschutzaufsichtsbehörden (EDPB) ist es nicht zulässig, zwischen den Rechtsgrundlagen zu wechseln. Auch nach Auffassung der deutschen Aufsichtsbehörden verbietet sich ein Rückgriff auf eine andere Rechtsgrundlage, wenn z.B. eine zusätzlich eingeholte Einwilligung widerrufen wird. Dieser soll nach dem Grundsatz der Transparenz und Fairness unzulässig sein.

Widerruft ein Betroffener also seine Einwilligung oder ist diese nicht wirksam, so ist die entsprechende Verarbeitung vom Verantwortlichen einzustellen. Problematisch ist dies dann, wenn der Verantwortliche aber noch zur Verarbeitung vertraglich (Art. 6 Abs. lit. b DSGVO) oder gesetzlich (Art. 6 Abs. lit. c DSGVO) verpflichtet ist.

Beispiel: Die Mustermann GmbH lässt ihre Beschäftigten eine Einwilligung unterzeichnen, dass dienstliche E-Mails gespeichert werden dürfen. Ein Mitarbeiter widerruft seine Einwilligung. Nach Art. 6 Abs. 1 lit. c DSGVO iVm. mit § 257 Abs. 1 Nr. 2, 3, Abs. 4 HGB müssen jedoch Handelsbriefe 6 Jahre aufbewahrt werden. Die Mustermann GmbH kann daher ihrer gesetzlichen Aufbewahrungspflicht nicht nachkommen, da ein Wechsel der Rechtsgrundlage im Nachhinein nicht möglich ist.

Ich empfehle daher, mithilfe des Verarbeitungsverzeichnisses zu überprüfen, ob bestehende Einwilligungen durch andere Rechtsgrundlagen ersetzt werden können.

Die Guidelines 05/2020 on consent under Regulation 2016/679 des EDPB, abrufbar in englischer Sprache unter https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_guidelines_202005_consent_en.pdf

Rechtsanwalt Robert Harzewski