Unser Datenschutz-Update im Dezember 2020

In dieser Rubrik liefern wir Ihnen jeden Monat aktuelle Informationen aus der Welt des Datenschutzes: Urteile, Entscheidungen und sonstige Entwicklungen in diesem Rechtsgebiet. Hier unser Datenschutz-Update für den Dezember.

1. Nachrichten aus der Welt des Datenschutzes

In die Cookie-Falle getappt: EUR 135 Millionen Bußgeld für Google und Amazon

Wegen einer nicht DSGVO-konformen Ausgestaltung ihrer Cookie-Banner sind die beiden Internetriesen Google und Amazon von der französischen Datenschutzaufsichtsbehörde CNIL (Commission Nationale de l’Informatique et des Libertés) mit einem Bußgeld in Millionenhöhe belegt worden. So soll Google insgesamt  100 Millionen Euro zahlen; Amazon „nur“ EUR 35 Millionen.

Google hatte einen Cookie-Dialog implementiert, der Nutzern auf einem ersten Layer die Wahl ließ, die Datenschutzeinstellungen aufzurufen oder direkt auf das Angebot zuzugreifen. Die innerhalb dieses ersten Layers gegebenen Informationen reichten nach Auffassung des CNIL nicht aus, um die strengen Anforderungen der DSGVO an die Informiertheit der Einwilligung zu erfüllen. Die Vorwürfe gegen Amazon sind identisch.

Nähere Infos finden Sie hier: https://www.heise.de/news/Frankreich-Datenschuetzer-verhaengen-Millionen-Bussgelder-gegen-Google-und-Amazon-4985956.html

Wirtschaftsminister prüfen Vereinheitlichung der Datenschutzaufsicht in Deutschland

Obwohl seit Einführung der DSGVO eigentlich ein einheitlicher Rechtsraum für alle datenschutzrechtlichen Fragen in Europa vorliegt, ist Deutschland datenschutzrechtlich gesehen ein Flickenteppich. Jedes der 16 Bundesländer und zusätzlich der Bund verfügen über eigene Datenschutzaufsichtsbehörden mit eigenen Zuständigkeiten und mit einer unterschiedlichen Auffassung über die Auslegung der vielen offenen Fragen der DSGVO. Da dies kein dauerhafter Zustand sein kann, haben nun auch die die Wirtschaftsminister des Bundes und der Länder einen entsprechenden Beschluss zur Vereinheitlichung der Datenschutzaufsicht gefasst. Ziel ist weniger die Zusammenlegung der unterschiedlichen Aufsichtsbehörden, sondern vielmehr eine Vereinheitlichung in der Auslegung der alltäglichen Rechtsfragen.

Näheres dazu finden Sie hier: https://www.wirtschaftsministerkonferenz.de/WMK/DE/termine/Sitzungen/20-11-30-WMK-telefonschaltkonferenz/20-11-30-beschluesse.pdf?__blob=publicationFile&v=2

Landesbeauftragte für den Datenschutz Niedersachsen veröffentlicht Handlungsempfehlungen für Cookies und Consent-Banner 

Die Niedersächsische Landesdatenschutzbeauftragte hat konkrete Handlungsempfehlungen zum Setzen und Abfragen von Cookies und den Einsatz von so genannten Cookie-Consent-Bannern gegeben. Die darin zum Ausdruck kommende strenge Sichtweise zum Umfang der Informationspflichten und zur „Layer-Problematik“ scheint sich mehr und mehr durchzusetzen ­- auch in anderen Staaten, wie die Fälle Google und Amazon (s.o.) zeigen.

Die Handreichung zu Cookies und Consent-Bannern finden Sie hier: https://lfd.niedersachsen.de/startseite/themen/internet/datenschutzkonforme-einwilligungen-auf-webseiten-anforderungen-an-consent-layer-194906.html

2. Entscheidungen des Monats

Datenschutzbeauftragter haften (nach außen) nicht für Datenschutzverstöße (LG Landshut, Urt. v. 06.11.2020– Az.: 51 O 513/20)

Ein Wohnungseigentümer war nicht damit einverstanden, dass sein Name als Eigentümer und die Nennung seiner Wohnung in der Tagesordnung der Wohnungseigentümerversammlung auftaucht. Weil er meinte, dadurch einen (wie auch immer gearteten) Schaden erlitten zu haben, verklagt er sowohl den eingesetzten Immobilienverwalter als auch dessen externen Datenschutzbeauftragter auf Schadensersatz. Dem erteilte das LG Landshut eine deutliche Absage: Materielle Schäden wurden vom Kläger weder substantiiert vorgetragen noch belegt. Auch einen Anspruch auf Ersatz eines immateriellen Schadens lehnt das LG ab. Zwar sehe die DSGVO eine Erstattungspflicht für immaterielle Schäden vor. Diese Pflicht sei auch nicht nur auf schwere Schäden beschränkt. Allerdings begründe die Verletzung des Datenschutzrechts als solche für sich gesehen keinen Schadensersatzanspruch für die betroffene Person. Vielmehr müsse ein tatsächlicher Schaden eingetreten sein. 

Zudem besteht ein Anspruch auf Schadensersatz nur gegen den Verantwortlichen oder gegen den Auftragsverarbeiter. Der Datenschutzbeauftragte ist aber keiner von beiden. Nur, weil er für einen Verantwortlichen oder Auftragsverarbeiter tätig ist, tritt er nicht in dessen Pflichten nach der DSGVO ein.

Das Urteil ist abrufbar unter: https://dejure.org/dienste/vernetzung/rechtsprechung?Gericht=LG%20Landshut&Datum=06.11.2020&Aktenzeichen=51%20O%20513/20

Ein einzelnes nicht gelöschtes, „vergessenes“ Dokument mit Arbeitnehmerinformationen begründet Schadensersatz Anspruch gegen den ehemaligen Arbeitgeber.

(LAG Köln, Urt. V. 14.9.20 – Az.: 2 SA 358/20)

Mit ihrer Klage gegen ihren ehemaligen Arbeitgeber (eine Universität) begehrte eine Professorin die Zahlung von Schadensersatz. Sie war ehemals bei der beklagten Universität beschäftigt. Mit ihrem Ausscheiden begehrt sie die Löschung sämtlicher personenbezogener Daten auf Seiten der Universität. Diesem Begehren kam die Universität zunächst nach. Allerdings „vergaß“ sie ein einzelnes PDF-Dokument, in dem die Professorin namentlich genannt wird, welches theoretisch hätte im Internet abgerufen werden können (tatsächlich ist es wohl zu keinem Abruf gekommen). Dies nahm sich die Professorin zum Anlass gegen die Universität einen Schmerzensgeldanspruch in Höhe von 1000 Euro zu erheben und klageweise geltend zu machen. Bereits erstinstanzlich wurde dieser Anspruch auf 300 Euro reduziert. Die dagegen gerichtet Berufung hatte keinen Erfolg.

Das Urteil ist abrufbar unter: https://dejure.org/dienste/vernetzung/rechtsprechung?Text=2%20Sa%20358%2F20&Suche=2%20SA%20358%2F20  

3. Unser Tipp: Klingt verrückt – ist es auch, aber zudem auch wahr: Prüfen Sie Ihre Weihnachtsgrüße auf Ihre Datenschutzkonformität 

Sie verschicken Weihnachtsgrüße an Ihre Kunden und Geschäftspartner? Das könnte (zumindest den datenschutzrechtlich vorgebildeten) Knecht Ruprecht mitunter grimmig stimmen. Sofern er Ihnen – selbstverständlich unter Einhaltung der derzeit geltenden Hygiene-Regeln – einen nachträglichen Besuch abstattet, wird er Ihnen Ihre Weihnachtsgrüße womöglich zum Vorwurf gereichen. Nach einem Blick in das Buch, in dem der Knecht Ruprecht der Sage nach Einzelheiten zu den Freveltaten des Delinquenten niedergeschrieben hat, wird er Sie fragen, ob Sie denn Ihre Kunden und Geschäftspartner bereits zu Beginn der Geschäftsbeziehung auch in einer Datenschutzerklärung auf den Verarbeitungszweck „Weihnachtskarte“ hingewiesen haben, ob Sie denn die Regelungen des § 7 UWG beachten und zu guter Letzt, ob Sie Ihrer Weihnachtskarte auch einen Hinweis auf das Ihrem Kunden zustehende Widerspruchsrecht nach Art 21 DSGVO hingewiesen haben. Vermutlich werden Sie dann beschämt zu Boden schauen, alle Frage verneinen und für das nächste Jahr Besserung geloben. Wenn Sie Glück haben, lässt Knecht Ruprecht Gnade vor (Datenschutz-) Recht ergehen und bedenkt Sie statt mit einem Bußgeld nur mit einer Rute.

Wenn Sie dann im neuen Jahr die gelobte Besserung in die Tat umsetzen wollen – denken Sie an uns. Wir kennen uns sowohl im Umgang mit Knecht Ruprecht als auch mit Datenschutz aus und unterstützen Sie gerne, wenn es darum geht, Sie (datenschutz-) rechtlich professioneller aufzustellen.

4. Das schreiben die Anderen zum Datenschutz

• Der Entwurf einer Novelle des IT-Sicherheitsgesetzes macht derzeit die Runde. Darin enthalten ist die Pflicht von Betreibern kritischer Infrastrukturen, Datenströme zur Angriffsabwehr zu analysieren. Über die Details des Entwurfs und das Verhältnis zur DSGVO berichtet der Kollege Piltz unter: https://www.delegedata.de/2020/12/referentenentwurf-zum-2-it-sicherheitsgesetz-datenverarbeitung-in-systemen-der-angriffserkennung/ (De Lege Data)
• Die EU plant eine Aufweichung der geplanten E–Privacy–Verordnung. Es soll großen IT-Unternehmen nun doch weiterhin gestattet sein, proaktiv den Datenverkehr ihrer User auf Kinderpornographie zu screenen und erteilt dem in den bisherigen Entwürfen enthaltenen strikten Datenschutzgrundsätzen eine Absage. Darüber lesen Sie mehr bei unter: https://www.dr-datenschutz.de/eu-plant-ausnahme-duerfen-facebook-und-co-weiterhin-mitlesen/ (Dr. Datenschutz)

Haben Sie Fragen oder Anmerkungen? Nehmen Sie gerne Kontakt mit uns auf.