Unser Datenschutz-Update im Februar 2021

In dieser Rubrik liefern wir Ihnen jeden Monat aktuelle Informationen aus der Datenschutz-Welt: Urteile, Entscheidungen und sonstige Entwicklungen in diesem Rechtsgebiet. Hier unser Datenschutz-Update für den Februar.

1. Nachrichten aus der Welt des Datenschutzes

Trotz Massenüberwachung: EU-Kommission hält Datenschutzniveau in Großbritannien für angemessen – Erleichterungen beim Datenexport

Es ist hinreichend bekannt, dass der Brexit auch in Sachen Datenschutz seine Spuren hinterlässt. Daher war in dem mit heißer Nadel gestrickten Austrittsabkommen, welches die EU-Kommission und die Großbritannien am 24. Dezember geschlossen haben, eine (weitere) Übergangsfrist für Datentransfers nach UK vereinbart worden. Rechtstechnisch sauber war das jedoch nicht, deshalb hat die EU-Kommission nun den Entwurf eines Angemessenheitsbeschlusses vorgestellt, dem nur noch die Mitgliedstaaten zustimmen müssen.

Damit wird dem britischen Datenschutzrecht offiziell bescheinigt, europäischen Maßstäben zu entsprechen. Bemerkenswert an diesem Vorgang ist jedoch, dass die in UK massenhaft stattfindende Überwachung der Telekommunikation kein Hindernis darstellt. Ebenso wenig zur Sprache gekommen ist die Weitergabe von Daten an andere Staaten im Rahmen des sog. Five-Eyes-Geheimdienstbündnisses. Die Chancen, dass der Europäische Gerichtshof daher auch diesen Beschluss kippen wird (wie er es im letzten ja bekanntlich mit dem Privacy-Shield getan hat) stehen daher nicht schlecht.

Nähere Infos finden Sie hier: https://netzpolitik.org/2021/trotz-massenueberwachung-eu-kommission-gibt-okay-fuer-datenfluesse-nach-grossbritannien/   

Datenübermittlung an Konzernunternehmen: Spanische Datenschutzaufsichtsbehörde verhängt Bußgeld i.H.v. 6 Millionen Euro.

Weil innerhalb einer Bankengruppe fleißig Daten von einer Konzerngesellschaft an die nächste  übermittelt wurden und die Kunden darüber nicht ordnungsgemäß aufgeklärt worden sind, verhängt die spanische Datenschutzaufsichtsbehörde AEPD ein Bußgeld in Millionenhöhe. Kunden der spanischen CaixaBank S.A. wurde eine neue Datenschutzerklärung vorgelegt, welche die Bank dazu ermächtigen sollte, die Daten ihrer Kunden an alle Unternehmen innerhalb des Konzerns zu übermitteln. Das vorgeschriebene Widerspruchsrecht wurde dabei so ausgestaltet, dass der Widerruf gegenüber allen Konzerngesellschaften hätte erfolgen müssen. Die spanische Datenschutzbehörde AEPD verhängte wegen der unrechtmäßigen Datenübermittlung und intransparenten Datenschutzerklärung ein Bußgeld in Höhe von 6 Millionen Euro gegen die CaixaBank, S.A.

Näheres dazu finden Sie hier: https://www.aepd.es/es/documento/ps-00477-2019.pdf

Bundesverfassungsgericht kippt Bagatellgrenze für Schadensersatz.

Wir beobachten die Tendenz schon seit Monaten und sind somit ehrlich gesagt etwas erfreut darüber: Deutsche Gerichte zeigten sich bisher auffallend zurückhaltend, wenn es um Schadensersatz nach der DSGVO geht. Denn, so ist meist die Begründung, ein Schaden sei nur in Ausnahmefällen festzustellen – schon gar nicht bei Bagatellen.

Dem vorliegenden Fall liegt ein Sachverhalt zu Grunde, bei dem ein Anwalt aufgrund einer einzigen unerwünschten Werbe-E-Mail einen Schadensersatz in Höhe von 500 Euro gefordert hat. Vor der ordentlichen Gerichtsbarkeit konnte der Anwalt mit seinem Anspruch nicht durchdringen; darum versuchte er es nun abschließend vor dem Bundesverfassungsgericht. Dabei rügte er eine Verletzung seines Anspruchs auf rechtliches Gehör. Denn die Gerichte der ordentlichen Gerichtsbarkeit hätten es versäumt, die Frage, wo genau die Bagatellgrenze bei Schadensersatzansprüchen nach der DSGVO verläuft bzw. ob es eine solche überhaupt gibt, dem Europäischen Gerichtshof (EuGH) zur Prüfung vorzulegen. Schließlich geht es hier um europäisches Recht, dass nur der EuGH im Rahmen eines Vorabentscheidungsverfahrens auslegen dürfe.

Das Bundesverfassungsgericht gab dem Anwalt Recht. Die Instanzgerichte müssen, bevor sie einen Schadensersatz wegen einer vermeintliche Bagatelle ablehnen, das Verfahren aussetzen und die Frage dem EuGH vorlegen. Erst nach dessen Beurteilung der Frage dürfen deutsche Gerichte letztinstanzlich einen Schadensersatz ablehnen oder zusprechen. Die sich aus der bisherigen Rechtsprechung deutscher Gerichte herauskristallisierende Einführung einer Bagatellgrenze wurde damit gekippt.

Nähere Informationen dazu finden Sie hier: https://www.faz.net/aktuell/wirtschaft/digitec/dsgvo-in-deutschen-unternehmen-klagen-nehmen-zu-17211383.html

2. Entscheidungen des Monats

Transportverschlüsselung bei E-Mails ist ausreichend (VG Mainz, Urt. v. 17.12.2020 – 1 K 778/19.MZ)

Berufsgeheimnisträger wie Ärzte oder Anwälte können aufatmen. Der Versand einfacher E-Mails, die nur mittels Transportverschlüsselung gesichert sind, ist zulässig. Zuvor hatte der Landesbeauftragte für Datenschutz und die Informationsfreiheit Rheinland-Pfalz moniert, dass eine Rechtsanwaltskanzlei vertrauliche Daten per E-Mail verschickt hatte, welche nur mittels Transportverschlüsselung gesichert war und garnierte dies mit einem Bußgeldbescheid.

Das Gericht bewertete die Einstufung der Datenschutzaufsichtsbehörde für rechtswidrig. Denn auch wenn es sich vorliegend um einen Berufsgeheimnisträger handelt, denen besondere Geheimhaltungspflichten abverlangt werden, ist „die Kommunikation mittels (obligatorisch) transportverschlüsselter E-Mails auch im geschäftlichen Verkehr durchaus als sozialadäquat und wohl derzeit noch als (Mindest-)Stand der Technik einzustufen (…)“. 

Eine darüber hinausgehende Ende-zu-Ende-Verschlüsselung ist im Regelfall nicht geboten. Lediglich wenn besondere Umstände hinzutreten, die den Inhalt der Nachricht als besonders schützenswert erscheinen lassen, muss auf eine Ende-zu-Ende-Verschlüsselung zurückgegriffen werden.

Das Urteil ist abrufbar unter: https://dejure.org/dienste/vernetzung/rechtsprechung?Text=1%20K%20778%2F19.MZ&Suche=1%20K%20778%2F19.MZ

Kein DSVGO-Schadensersatz bei bloßen Bagatellschäden (LG Karlsruhe, Urt. v.  09.02.2021 – 4 O 67/20)

Vor dem Hintergrund der aktuellen Entscheidung des Bundesverfassungsgerichts (s.o.) dürfte diese Entscheidung überholt sein. Trotzdem ist sie unserer Meinung nach der Rede wert, weil Sie selbst veritable Datenlecks als Bagatelle einstuft: Denn in einem jüngst veröffentlichen Urteil hat das LG Karlsruhe festgestellt, dass bei bloßen datenschutzrechtlichen Bagatellschäden der Betroffene keinen DSGVO-Schadensersatzanspruch hat. Ein Bagatellschaden liegt nach Ansicht der Karlsruher Richter sogar dann vor, wenn im Rahmen eines Datenlecks der Name, das Geburtsdatum, das Geschlecht, die E-Mail-Adresse und die Telefonnummer abhandenkommen kommen. Auch bei Transaktionsdaten zeigen sich die Richter des LG Karlsruhe kulant, denn es ging um das Datenleck bei Master Card.

Nach deren Ansicht muss der Verpflichtung zum Ausgleich eines immateriellen Schadens nämlich eine benennbare und insoweit tatsächliche Persönlichkeitsverletzung gegenüberstehen, die beispielsweise in der mit einer unrechtmäßigen Zugänglichmachung von Daten liegenden „Bloßstellung“ liegen kann. Auch im Bereich des immateriellen Schadens kommt ein Anspruch nur dann in Betracht kommt, wenn für den Betroffenen ein zwar immaterieller, aber dennoch spürbarer Nachteil entstanden ist; der Verstoß gegen Vorschriften der DSGVO allein führt nicht unmittelbar zum Schadensersatz. Die Verbreitung des Namens, Geburtsdatums, Geschlechts, der E-Mail-Adresse und der Telefonnummer des Klägers stellt jedenfalls im Streitfall nur einen Bagatellschaden dar.     
Weiter führte das Gericht aus, dass sich selbst aus dem „Diebstahl“ von Transaktionsdaten kein Anspruch auf Schmerzensgeld ergäbe. Denn diese enthalten keine kompromittierenden Inhalte. Zudem seien auch Informationen zu den Lebensgewohnheiten des Klägers, so beispielsweise, dass dieser seine Kreditkarte häufig für Kleinbeträge bei Tankstellen nutzt, bei Fastfood-Restaurants isst und (teilweise in Frankreich) bei Discountern einkauft, derart alltäglich und unverfänglich, dass es sich insgesamt um einen Bagatellschaden handelt.

Das Urteil ist abrufbar unter: https://dejure.org/dienste/vernetzung/rechtsprechung?Text=4%20O%2067%2F20&Suche=4%20O%2067%2F20

Beweislast für DSGVO-Schadensersatzanspruch trifft Kläger (LG Frankfurt a.M., Urt. v. 18.01.2021 – Az.: 2-30 O 147/20)

Der Causa Master Card entspringt auch der folgende Fall:  Ein Kläger machte einen Schadensersatzanspruch wegen einer Datenschutzverletzung geltend und verlangte damit 2.650 Euro.

Begründung für den Anspruch war, dass der Kläger seit dem Datenleck bei Master Card Spam-Anrufe und Spam-SMS erhält. Das Gericht wies die Klage ab. Denn, so die Auffassung der Frankfurter Richter, den Kläger trifft die volle Beweislast dafür, dass die Spam-Anrufe und Spam-SMS auf das Datenleck bei Master Card zurückzuführen sind. Weil aber zwischen dem Datenleck und dem Beginn der „Spam-Welle“ beim Kläger einige Monate lagen, konnte er diesen Nachweis nicht erbringen.

Denn es ist durchaus denkbar, dass ein illegaler Hacker-Angriff stattgefunden hatte, mit dem die Beklagte oder ihre Erfüllungsgehilfen in dieser Form nicht zu rechnen brauchten.

Zudem müsse der Kläger nachweisen, dass die Ursache für das Datenleck zugleich auch eine Pflichtverletzung nach der DSGVO darstellt. Dies setzt jedoch zwingend voraus, dass der Kläger darlegt, welche genaue Ursache das Datenleck hatte. Denn „es wäre durchaus auch denkbar, dass ein illegaler Hacker-Angriff stattgefunden hatte, mit dem die Beklagte oder ihre Erfüllungsgehilfen in dieser Form nicht zu rechnen brauchten und ihr daher keine Pflichtverletzung vorzuwerfen sei. Diese ist jedoch Voraussetzung für eine Schadenersatzanspruch nach Art. 82 DGSVO.“

Das Urteil ist abrufbar unter: https://dejure.org/dienste/vernetzung/rechtsprechung?Text=2-30%20O%20147%2F20&Suche=2-30%20O%20147%2F20

3. Unser Tipp: Mit einem Bein im strafbaren Bereich – Vorsicht bei Veröffentlichung von Fotos der eigenen Kinder

Normalerweise veröffentlichen wir an dieser Stelle Hinweise und Tipps dazu, wie Sie sich datenschutzrechtlich „besser“ verhalten können. Heute aber möchten wir Ihnen einen Tipp geben, der Sie möglicherweise vor strafrechtlichen Konsequenzen schützt. Veröffentlichen Sie keine Fotos Ihrer eigenen Kinder auf Facebook, sofern der andere Erziehungsberechtigte nicht zugestimmt hat. Denn das Amtsgericht Hannover hat nun einen Vater strafrechtlich zu einer Geldstrafe verurteilt, der ohne Wissen und Zustimmung der Sorgeberechtigten Fotos seines eigenen Kindes gemacht und bei Facebook veröffentlicht hat. Vielen ist nicht bekannt, dass die Veröffentlichung von Fotos, die zugleich auch den höchstpersönlichen Lebensbereich zeigen, strafbar sein kann! Bevor Sie also das nächste Mal unbedacht Fotos Ihrer Kinder auf Facebook posten, Fragen Sie vorher den anderen Erziehungsberechtigten um Erlaubnis.

4. Das schreiben die Anderen zum Datenschutz

• Die französische Datenschutzbehörde CNIL hat kürzlich einen Leitfaden zur datenschutzrechtlichen Bewertung des Einsatzes von Chatbots veröffentlicht. Darüber berichtet, wie immer sehr kurzweilig und lesenswert der Kollege Piltz unter: https://www.delegedata.de/2021/02/franzoesische-datenschutzbehoerde-rechtliche-anforderungen-beim-einsatz-von-chatbots/ (De Lege Data, 21.02.2021)
• Bis dato bestand in der Datenschutz–Welt kaum ein Zweifel daran, dass die Stimme ein personenbezogenes Datum darstellt. Offensichtlich scheint man dies bei der Vergabekammer in Berlin nun anders zu sehen. Über den entsprechenden Beschluss der Kammer wird berichtet unter:  https://www.dr-datenschutz.de/vk-berlin-keine-identifikation-anhand-der-stimme/ (Dr. Datenschutz, 22.02.2021)

Haben Sie Fragen oder Anmerkungen? Nehmen Sie gerne Kontakt mit uns auf.