Unser Datenschutz-Update im Februar 2024

In dieser Rubrik liefern wir Ihnen jeden Monat aktuelle Informationen aus der Datenschutz-Welt: Urteile, Entscheidungen und sonstige Entwicklungen in diesem Rechtsgebiet. Hier unser Datenschutz-Update für den Februar 2024.

1. Nachrichten aus der Welt des Datenschutzes

Apps und Cookie-Banner auf dem Prüfstand des Bayerischen Datenschutzbeauftragten

Eine Vielzahl von Webseiten und Apps wurde durch das Bayerische Landesamt für Datenschutzaufsicht geprüft. 

Die Prüfung der Cookie-Banner erfolgt bereits größtenteils automatisiert. Im Fokus stand hier vor allem, ob die Möglichkeit der Ablehnung bereits auf erster Ebene existiert – nach Auffassung der Datenschutzaufsichtsbehörden zwingende Anforderung -, und das dies in gleichwertiger Form zum „Akzeptieren“ angeboten wird.

Ebenso wurde bei Apps – hier jedoch noch nicht automatisiert – geprüft, ob nach Installierung Einwilligungen für alle einwilligungspflichtigen Vorgänge eingeholt werden.

Bei nahezu allen der geprüften Apps konnten hier einwilligungspflichtige Vorgänge festgestellt werden, bei denen eine notwendige Einwilligung jedoch nicht eingeholt wurde. Die verantwortlichen App-Betreiber wurden hinsichtlich dieser Prozesse nun aufgefordert, wie in diesen Verfahren erforderlich, hierzu Stellung zu nehmen. Abschließende Ergebnisse der Prüfverfahren sind im weiteren Jahresverlauf zu erwarten.

Mehr dazu finden Sie hier: https://www.lda.bayern.de/media/pm/pm2024_02.pdf

Stellungnahme der EDSA zum Begriff der Hauptniederlassung

Auf Betreiben der französischen Datenschutzaufsichtsbehörde CNIL hat sich der EDSA in einer Stellungnahme vom 13. Februar 2023 mit dem Begriff der „Hauptniederlassung“ des Verantwortlichen nach Art. 4 Nr. 16 lit. a DSGVO auseinandergesetzt. Dabei kam sie zu folgendem Ergebnis:

Eine Hauptniederlassung im Sinne von Art. 4 Nr. 16 lit. a DSGVO macht aus, dass sie die Entscheidung über die Zwecke und Mittel der Verarbeitung personenbezogener Daten trifft und dass sie die Befugnisse hat, diese Entscheidungen auch umzusetzen. 

Nach Auffassung des EDSA handelt es sich hingegen nicht um eine Hauptniederlassung im Sinne des Art. 4 Nr. 16 lit. a DSGVO, wenn die Entscheidungen über die Zwecke und Mittel außerhalb der Europäischen Union getroffen werden. In dem Fall soll der One-Stop-Shop-Mechanismus nicht anwendbar sein.

Die Beweislast dafür , ob die Voraussetzungen einer Hauptniederlassung vorliegen, sieht der EDSA beim Verantwortlichen.

Mehr dazu hier: Opinion 04/2024 on the notion of main establishment of a…

2. Entscheidungen des Monats

OLG Köln; unzulässiges Cookie-Banner – Ordnungsgeld bis zu 250.000 €

Bisher setzen viele Unternehmen die Anforderungen an ein Cookie-Banner bzw. Consent-Tool nur halbherzig um. Gern wird der „alles ablehnen“-Button vergessen oder hinter „weitere Einstellungen“ versteckt. Ebenso wird immer noch die Möglichkeit der Ablehnung oft in unauffälligen Farben gehalten oder auf der Seite möglichst klein geschrieben bereitgestellt. Es gibt bereits klare Urteile zu den Voraussetzungen eines DSGVO-konformen Buttons, über die wir berichtet haben, doch aus gegebenen Anlasse soll noch einmal auf ein aktuelles Urteil hingewiesen werden. 

Das OLG Köln erließ am 19.01.2024 ein Unterlassungsurteil und stellte darin fest, dass die Möglichkeiten der Zustimmung und der Ablehnung in einem Cookie-Banner gleichwertig sein müssen. Im Fall war eine Ablehnung nur über den Button „Einstellungen“ möglich. 

Das Gericht stufte diese Gestaltung als wettbewerbswidrig ein, da sie keine gleichwertige Möglichkeit zur Ablehnung bot. Eine wirksame Einwilligung in das Setzen von Analyse- und Marketingcookies nach § 25 TTDSG erfordere laut Gericht, dass Nutzer klar zwischen Zustimmung und Ablehnung wählen könnten.

Ebenfalls äußerte sich das Gericht negativ zum Button „Akzeptieren & Schließen [X]“. Diese Form der Einwilligung verstoße gegen die Grundsätze von Transparenz und Freiwilligkeit. Das „X“-Symbol sei für Nutzer üblicherweise mit dem Schließen eines Fensters verbunden und gerade nicht mit der Einwilligung in das Speichern von Marketing-Cookies. Die Verknüpfung von „Akzeptieren & Schließen“ sei deshalb irreführend und intransparent. Der durchschnittliche Nutzer müsse nicht damit rechnen, dass er durch das Schließen des Banners durch Anklicken eines „X“-Symbols eine rechtlich relevante Einwilligungserklärung abgebe, auch wenn das Symbol mit „Akzeptieren & Schließen“ beschriftet sei. Damit sei die Einwilligung über das „X“-Symbols weder als unmissverständlich oder eindeutig bestätigend noch als freiwillig im Sinne von § 25 Abs. 1 TTDSG, Art 4 Nr. 11 DS-GVO zu bewerten, so das Gericht.

Für jeden gemeldeten Fall der Zuwiderhandlung setzte das Gericht ein Ordnungsgeld bis zu 250.000 € bzw. Ordnungshaft für den gesetzlichen Vertreter der Beklagten fest.

Mehr dazu finden Sie hier: https://www.verbraucherzentrale.nrw/sites/default/files/2024-01/olg-koln-vom-19.01.2024_6-u-80_23_geschwarzt.pdf

Außerordentliche Kündigung wegen Weiterleitung sensibler persönlicher Daten an eine private E-Mailadresse

Das ArbG Mannheim hatte in einem Fall unter anderem über das Vorliegen eines außerordentlichen Kündigungsgrundes zu urteilen im Zusammenhang mit dem Umgang betrieblicher personenbezogener Daten. 

Zum Fall:

Mit Schreiben vom 31.3.2023 machte der Kläger (Arbeitnehmer) gegenüber der Beklagten (Arbeitgeberin) einen Auskunftsanspruch nach Art. 15 DSGVO geltend und bat im Rahmen dessen um Auskunft über die seitens der Beklagten zu seiner Person gespeicherten personenbezogenen Daten und alle weiteren in Art. 15 Abs. 1 DSGVO genannten Informationen sowie um die Kopie dieser Daten. Im Zusammenhang mit der Zusammenstellung der vom Kläger gewünschten Unterlagen unter Beteiligung des Datenschutzbeauftragten wurde von der Beklagten am 27.4.2023 eine eMail entdeckt, welche der Kläger am 13.01.2022 um 13:37 Uhr von seinem Firmenaccount an eine private Mailadresse gesendet hatte. Als Anhang beigefügt war die Wählerliste, welche die Beklagte im Zusammenhang mit der bevorstehenden Betriebsratswahl dem Wahlvorstand am 10.1.2022 per Mail an den Vorsitzenden des Wahlvorstandes sowie in Kopie an die stellvertretende Wahlvorstandsvorsitzende geschickt hatte und welche von der stellvertretenden Wahlvorstandsvorsitzenden am gleichen Tag an den Kläger weitergeleitet worden war. Die Wählerliste enthielt folgende Datenfelder von 542 Personen: Personalnummer; Anrede; Titel; Nachname, Vorname, Straße und Hausnummer, PLZ, Ort, Geburtsdatum; Mitarbeiterkreis (Leasing, Azubi, Gewerblich etc.); Eintrittsdatum; Vertragsende (wenn anwendbar), Nationalität, Organisationseinheit/Abteilung.

Der Kläger wurde zu dem Fall angehört und bekam die Gelegenheit zur Stellungnahme, weiterhin wurde der Betriebsrat zu einer außerordentlichen Kündigung gehört, welcher dieser zustimmte. 

Das Gericht urteilte zur Frage des Vorliegen eines wichtigen Grundes zur außerordentlichen Kündigung: Die Weiterleitung der zur Vorbereitung einer Betriebsratswahl in einer Wählerliste gesammelten personenbezogenen Daten sämtlicher wahlberechtigten Mitarbeiter durch ein Wahlvorstandsmitglied an eine private eMail-Adresse stellt einen derart schwerwiegenden Pflichtenverstoß dar, dass dadurch das Vertrauensverhältnis zum Arbeitgeber irreparabel zerstört wird. Eine sofortige Kündigung ohne vorherige Abmahnung ist in diesem Fall möglich.

Wichtig für diesen Fall ist die Tatsache, dass schon vor diesem Vorfall zwei Abmahnungen wegen Nichteinhaltung vorgegebener Berichtswege erfolgt waren, gegen die sich der Kläger in seiner Klage gewendet hatte.

Gegen das Urteil wurde Berufung beim LGA Baden-Württemberg eingelegt. 

Unternehmen ist zu empfehlen, bezüglich des Umgangs mit personenbezogenen Daten klare Vorgaben in einer Richtlinie einzufügen, um die Mitarbeiter zu sensibilisieren. Dies fördert nicht nur den verantwortungsbewussten Umgang mit den Daten, sondern erleichtert bei Verstößen auch eine Abmahnung bzw. im Einzelfall außerordentliche Kündigung. 

Mehr dazu finden Sie hier: Landesrecht BW

EuGH: Bußgeld unmittelbar gegen juristische Person möglich

Der EuGH hatte über die Frage zu entscheiden, ob eine juristische Person unmittelbar Adressatin eines Bußgeldbescheids gem. Art 83 DSGVO sein könne. Dies wurde vom Landgericht Berlin angezweifelt und das Bußgeldverfahren aufgrund Einspruch des betroffenen Unternehmens eingestellt. Auf die Beschwerde der Staatsanwaltschaft wurde das Verfahren ausgesetzt und die Frage dem EuGH vorgelegt.

Zum Sachverhalt: 

Dem betroffenen Unternehmen wurde vorgeworfen, es zwischen dem 25. Mai 2018 und dem 5. März 2019 vorsätzlich unterlassen zu haben, die notwendigen Maßnahmen zur Ermöglichung der regelmäßigen Löschung nicht mehr benötigter oder in sonstiger Weise zu Unrecht gespeicherter Daten von Mietern zu treffen. Weiter hat der Bußgeldbescheid den Vorwurf enthalten, personenbezogene Daten von mindestens 15 näher bezeichneten Mietern fortgesetzt gespeichert zu haben, obwohl bekannt gewesen sei, dass dies nicht oder nicht mehr erforderlich war. 

Die Berliner Beauftragte für den Datenschutz (BlnBDI) setzte daraufhin mehrere Geldbußen fest: 

Wegen des vorsätzlichen Verstoßes gegen Art. 25 Abs. 1, Art. 5 Abs. 1 a), c) und e) DS-GVO hat die Geldbuße 14.385.000 Euro betragen. 

Wegen Verstößen gegen Art. 6 Abs. 1 DS-GVO sind 15 weitere Geldbußen mit Beträge zwischen 3.000 und 17.000 Euro festgesetzt worden.

Das Landgericht Berlin war der Meinung, eine juristische Person könne nicht Betroffene eines Bußgeldverfahrens sein, auch nicht in einem solchen nach Art. 83 DS-GVO. Da einer juristischen Person lediglich ein Handeln ihrer Organmitglieder oder Repräsentanten zugerechnet werden könne.

Dies Ansicht teilt der EuGH nicht. Er entschied stattdessen (Urteil vom 5. Dezember 2023 – C-807/21): „dass die Betroffene als juristische Person taugliche Adressatin eines Bußgeldbescheids sein kann und als solche zudem unmittelbar und nicht nur als Verfahrens- oder Nebenbeteiligte bebußt werden kann, ergibt sich aus dem in diesem Verfahren ergangenen Urteil des EuGH (Urteil vom 5. Dezember 2023 – C-807/21 – [juris]). Der Gerichtshof führt aus, es sei möglich, „die in Art. 83 DSG-VO für solche Verstöße vorgesehenen Geldbußen unmittelbar gegen juristische Personen zu verhängen, wenn diese als für die betreffende Verarbeitung Verantwortliche eingestuft werden können“. 

Dies folgt, so der EuGH weiter, daraus, dass Unternehmen „nicht nur für Verstöße haften, die von ihren Vertretern, Leitern oder Geschäftsführern begangen wurden, sondern auch für Verstöße, die von jeder anderen Person begangen wurden, die im Rahmen der unternehmerischen Tätigkeit und im Namen dieser juristischen Personen handelt“.

Der Beschluss des Landgerichts wurde aufgehoben und die Sache an das Landgericht zurückverwiesen, wo das nun fortgesetzt und entschieden wird. 

Mehr dazu finden Sie hier: Berliner Vorschriften- und Rechtsprechungsdatenbank

4. Das schreiben die Anderen zum Datenschutz

• Active Sourcing – Datenschutz beim E-Recruiting

Haben Sie Fragen oder Anmerkungen? Nehmen Sie gerne Kontakt mit uns auf.