Unser Datenschutz-Update im Juni 2022

In dieser Rubrik liefern wir Ihnen jeden Monat aktuelle Informationen aus der Datenschutz-Welt: Urteile, Entscheidungen und sonstige Entwicklungen in diesem Rechtsgebiet. Hier unser Datenschutz-Update für den Juni 2022.


Eine mangelhafte datenschutzrechtliche Ausstattung wird Ihrem IT-Unternehmen schnell zum Verhängnis. Wie Sie Ihr IT-Unternehmen ganz einfach DSGVO-konform aufstellen, erfahren Sie in unserem neuen E-Book – damit Sie den Kopf frei haben für Ihr Unternehmen:


1. Nachrichten aus der Welt des Datenschutzes

Schadensersatzforderungen wegen dsgvo-widriger Google Fonts Nutzung – Eine bequeme Einnahmequelle?

Es scheint, als wären in den letzten Wochen mehrere Schreiben im Umlauf, in denen es um Schadensersatz wegen dsgvo-widriger Nutzung von Google Fonts geht. Hierauf weist RA Stefan Hansen-Oest in einem Artikel und einer Podcast-Episode hin. Diese Schreiben gingen bisher an Unternehmen mit dem Betreff: „Verstoß gegen DSGVO – Rechtswidrige Weitergabe von Daten“.

Interessant hierbei ist, dass der Inhalt des Schreibens immer derselbe ist, nur die Kontaktdaten der Absender:innen geändert sind. Das Schreiben ist nicht als Abmahnung formuliert. Es stellt in seinem Aufbau eine Geltendmachung einer Schadensersatzforderung gem. Art 82 DSGVO dar. 

Wegen dynamischer Einbindung der Google Fonts machen die Absender:innen die Rechtsverletzung geltend, da „zumindest seine IP-Adresse“ ohne Einwilligung an Google übermittelt wird. Sie geben den Adressat:innen den „guten Rat“, Google Fonts ab jetzt einzubinden. Dann wird auf das Urteil LG München I, 20.01.2022 – 3 O 17493/20 verwiesen. Im Anschluss machen die Absender:innen Schadensersatzforderung in Höhe von 100,00 € geltend.

Grundsätzlich besteht tatsächlich das Risiko einer berechtigten Schadensersatzforderung durch die dynamische Einbindung von Google Fonts ohne vorherige Einwilligung der Webseitenbesucher:innen. Die Forderungen können bei einer Klage sogar deutlich höher sein. Deshalb gehen die Absender:innen sehr schlau vor, indem „nur“ 100,00 € von den einzelnen Betroffenen fordert. Es liegt nahe, dass gehofft wird, durch Massenversendung dieses Schreibens ohne großen Aufwand eine ansehnliche Summe zu erlangen. Für die Adressat:innen stellt sich also die Frage der Abwägung, ob sie das Risiko eingehen wollen, dass tatsächlich Klage einreicht wird. Dies ist theoretisch möglich, allerdings angesichts der offenbar vielfachen Vorfälle doch unwahrscheinlich. 

Unabhängig von der moralischen Einordnung des Schreibens bleibt jedoch Fakt: Es gibt mittlerweile keinen Grund mehr für eine dynamische Einbindung von Google Fonts. Man kann die Schriften entweder lokal auf dem Server integrieren, oder mit Hilfe einer CMP integrieren und so dsgvo-konform nutzen. Dann ist man auch vor Menschen sicher, die auf der Suche nach dem schnellen Geld sind.

Eine ausführliche Behandlung des geschilderten Falls finden Sie hier: https://www.datenschutz-guru.de/google-webfonts-massenhafte-schadenersatzschreiben-von-herrn-n-aus-nurnberg/

Neue Leitlinien zur Berechnung von Bußgeldern wegen möglicher DSGVO-Verstöße

Am 12.05.2022 wurden neue Leitlinien zur Berechnung von Bußgeldern wegen möglicher DSGVO-Verstöße veröffentlicht. So will man versuchen, ein europaweit einheitliches Bußgeldrecht einzuführen. Diese Leitlinien werden von den Aufsichtsbehörden voraussichtlich zukünftig bei der Berechnung und Verhängung von Bußgeldern nach Art. 83 EU-Datenschutzgrundverordnung (DSGVO) zugrunde gelegt.

Umsatz: Das EDPB-Modell stellt die von einem Konzern oder einem Unternehmen erzielten Einnahmen bei der Bußgeldberechnung in den Vordergrund. Dabei sollen die Geldbußen auf der Grundlage des Umsatzes der gesamten Unternehmensgruppe (Konzernumsatz) festgelegt werden.

Abschreckung: Der Gedanke der Abschreckung und Ahndung von Datenschutzverstößen steht nach dem EDPB-Modell deutlich im Vordergrund und überwiegt den Gesichtspunkt von verhältnismäßigen Bußgeldern. Entsprechend müssen gerade Unternehmen/Konzerne mit hohem Umsatz auch stärker als zuvor mit hohen Bußgeldern rechnen, die am oberen Ende des Strafrahmens angesiedelt sind.

Verbindlichkeit: Um eine einheitliche Anwendung durchzusetzen, haben sich die Datenschutzbehörden auf eine verbindliche Anwendung des EDPB-Bußgeldkonzepts geeinigt. Den Behörden steht weiterhin ein Ermessensspielraum bei der Festlegung der Bußgelder zu. Doch müssen Datenschutzbehörden zunehmend mit Kritik rechnen, wenn sie trotz hohem Umsatz des Unternehmens eine niedrige Geldbuße verhängen. 

Unternehmenshaftung: Der EDSA nimmt an, dass Bußgelder direkt gegen Unternehmen und auch gegen andere juristische Einheiten, z.B. auch Muttergesellschaften, verhängt werden können. Danach ist der Nachweis einer für den Datenschutzverstoß kausal gewordenen Aufsichtspflichtverletzung einer Leitungsperson des Unternehmens nicht mehr nötig. Bußgelder können dann weitaus leichter verhängt werden.

Ausblick: Es besteht kein Grund zur Panik, aber seien Sie lieber vorbereitet. Prüfen Sie Ihr Unternehmen auf datenschutzrechtliche Risiken und treffen Sie entsprechende Maßnahmen. Stellen Sie zum Beispiel auch sicher, dass Sie über die erforderlichen Dokumente verfügen wie Verfahrensverzeichnis, Auftragsverarbeitungsverträge und interne Prozesse zur Wahrung der Betroffenenrechte, und dass diese Dokumente auf aktuellem Stand sind.

Mehr dazu finden Sie hier: https://www.lathamgermany.de/2022/05/neue-leitlinien-zur-busgeldberechnung-fur-dsgvo-verstose-welche-risiken-drohen-vor-allem-groseren-unternehmen-in-der-praxis/

2. Entscheidungen des Monats

Schufa II – weitere Schlappe für die Schufa zur unbegrenzten Speicherung von Daten

In einem neuen Urteil des OLG Schleswig (Az 17 U 5/22) bestätigte das OLG seine frühere Rechtsprechung, dass die Schufa Insolvenzschuldnerdaten nur zeitlich begrenzt speichern darf, und zwar deutlich kürzer als die Schufa dies für zulässig hält.

In vorliegendem Fall klagte ein Mann, da die Schufa sich weigerte, seine dort gespeicherten Daten zum Insolvenzverfahren zu löschen. Das Insolvenzverfahren gegen den Kläger war im März 2020 aufgehoben worden. Der Kläger holte bei der Schufa im November 2020 Auskunft über die dort gespeicherten Daten ein. Ihm war es nicht möglich, eine Wohnung zu mieten und er musste überall auf Vorkasse bestellen. Da das Insolvenzverfahren bereits mehr als 6 Monate beendet war, forderte er die Löschung der Daten bei der Schufa. Diese verweigerte die Löschung mit Hinweis auf die Speicherfristen. Die Schufa berief sich dabei auf die Speicherfrist von 3 Jahren, die der Verband der Wirtschaftsauskunfteien in seinen Verhaltensregeln nennt. Diese, so das OLG, entfalten jedoch keinerlei Rechtswirkung gegenüber dem Betroffenen und ersetzen keine Interessenabwägung.

Das OLG gab dem Begehren im Berufungsverfahren statt. Nach 6 Monaten seit Aufhebung des Insolvenzverfahrens überwiege das Interesse des Mannes an der ungehinderten Teilnahme am wirtschaftlichen Leben gegenüber der Schufa und ihren Vertragspartner:innen.

Das OLG bestätigte seine Rechtsprechung in einem Urteil aus dem Jahr 2021 (Az 17 U 15/22), dass – „vorbehaltlich gesetzlicher Regelung – jedenfalls nach Verstreichen eines § 3 InsoBekV entsprechenden Sechsmonats-Zeitraums eine weitere Speicherung und Verarbeitung von aus dem Insolvenzbekanntmachungsportal gewonnenen Daten regelmäßig nicht mehr zulässig ist“. Die Revision gegen das Urteil wurde zugelassen.

Mehr dazu finden Sie hier: https://www.ra-kotz.de/dsgvo-verstoss-schufa-insolvenzschuldnerdaten-nur-zeitlich-begrenzt-verwerten.html

Schmerzensgeld für Veröffentlichung von Fotos von Mitarbeiter:innen ohne Einhaltung der datenschutzrechtlichen Informations- und Belehrungspflichten 

Das Landesarbeitsgericht (LAG) Schleswig Holstein hatte in einem Beschwerdeverfahren darüber zu entscheiden, ob und in welcher Höhe ein Schmerzensgeldanspruch begründet wird durch die unzulässige Veröffentlichung von Beschäftigtenaufnahmen im Internet.

Der Arbeitgeber hatte ein Werbevideo zur Rekrutierung neuer Mitarbeitender veröffentlicht, in welchem die Antragstellerin ausschnittsweise zu sehen war. Die Mitarbeiterin hatte zwar mündlich dem Mitwirken an der Erstellung zugestimmt, doch war sie nicht vollständig über die Verwendungszwecke, also Verwendung der Datenverarbeitung, gem. Art 13 DSGVO aufgeklärt worden. Auch hatte man Sie nicht über ihr Widerrufsrecht informiert gem. § 26 Abs. 2 S. 4 BSDG. Eine schriftlich erteilte Einwilligung in die Datenverarbeitung seitens der Mitarbeiterin fehlte.

Nach Beendigung des Beschäftigungsverhältnisses klagte die Mitarbeiterin gegen die Verwendung des bereits veröffentlichten Videos und forderte ein Schmerzensgeld in höhe von 6.000 Euro gem. Art. 82 DSGVO sowie die Verwendung des Videos künftig zu unterlassen. Der Unterlassungsforderung kam das Unternehmen noch vor der Güteverhandlung nach.

In beiden Instanzen, sowohl vor dem AG Kiel als auch vor dem LAG Schleswig-Holstein wurde ein potenzieller Schadensersatzanspruch durch das Anfertigen und Verwenden des Videos bejaht. Das AG Kiel erkannte dabei nur einen Anspruch auf Schmerzensgeld in Höhe von 2000,00 € an. Wie hoch der Schmerzensgeldanspruch letztlich ausgefallen wäre, musste das LAG Schleswig Holstein nicht mehr entscheiden, weil sich die Parteien zwischenzeitlich außergerichtlich geeinigt hatten. 

Ein immaterieller Schaden sei bei der Betroffenen schon dadurch entstanden, dass sie nicht über die beabsichtigte Datenverarbeitung und deren eigentlichen Zweck informiert worden sei, sowie dadurch, dass die schriftliche Belehrung über die bestehende Widerrufsmöglichkeit im Sinne des § 26 Abs. 2 S. 4 BSDG fehlte und damit ein Verstoß gegen geltende datenschutzrechtliche Vorschriften vorliege. Es bedürfe keiner weiteren Darlegung eines tatsächlichen Schadens. Hierbei verweist das LAG auf einen Beschluss des Bundesarbeitsgerichts (BAG) 8 AZR 253/20 (A) .

Fazit: Wichtig an dieser Entscheidung ist nicht nur die angestelltenfreundliche Tendenz, die die Gerichte in diesem Bereich übereinstimmend zeigen. Interessant ist auch, dass der Schmerzensgeldanspruch letztlich allein auf den Verstoß gegen die datenschutzrechtlichen Vorschriften gestützt wurde. Denn eine schwerwiegende Beeinträchtigung des Rechts am eigenen Bild konnte bei der Mitarbeiterin nicht bejaht werden, da sie unstreitig bei der Anfertigung und Veröffentlichung des Werbevideos mitgewirkt hatte. Unternehmen sollten daher bei derartigen Werbemaßnahmen sorgfältig darauf achten, ihre Mitarbeitenden nachweislich und ausdrücklich über die Datenverarbeitungszwecke zu informieren, über ihr Widerrufsrecht zu belehren und die notwendigen Einwilligungen einzuholen. All dies sollte entsprechend dokumentiert werden.

3. Unser Tipp: Sorgen Sie für Datenschutz in Ihren Zoom-Meetings.

Im Zusammenhang mit unserem obigen Artikel finden Sie hier eine gute Anleitung, wie Sie Google Fonts dsgvo-konform verwenden können und welche Alternativen es gibt:

4. Das schreiben die Anderen zum Datenschutz

Haben Sie Fragen oder Anmerkungen? Nehmen Sie gerne Kontakt mit uns auf.

Alles OK mit Ihrem DSB?

  • Ihre Datenschutzbeauftragten trauen sich nicht an rechtliche Themen? Oder kommen gar nicht erst in die Gänge?
  • Sie haben Ihre rechtliche Aufstellung vernachlässigt und fürchten sich vor teuren Abmahnungen?
  • Sie haben Ihre DSB verloren? Oder hatten Sie noch gar keine DSB?
  • Ihr IT-Startup soll von Anfang an rechtlich professionell aufgestellt sein?

Mit uns finden Sie die richtigen Datenschutzbeauftragten für Ihr IT-Unternehmen – nehmen Sie jetzt Kontakt zu uns auf!


Ihre Ansprechperson

Dr. Sonja Detlefsen

sd@comp-lex.de


Themen:

Ähnliche Artikel: