Unser Datenschutz-Update im März 2021

In dieser Rubrik liefern wir Ihnen jeden Monat aktuelle Informationen aus der Datenschutz-Welt: Urteile, Entscheidungen und sonstige Entwicklungen in diesem Rechtsgebiet. Hier unser Datenschutz-Update für den März.

1. Nachrichten aus der Welt des Datenschutzes

Es wird ernst: Mecklenburg-Vorpommerns Datenschutzbeauftragter untersagt Nutzung von Microsoft-Produkten durch die Landesverwaltung

Selbst in deutschen Behörden muss es manchmal schnell gehen. So auch bei der Nutzung von Microsoft-Produkten: Weil der Software-Riese personenbezogene Daten ohne weitere Sicherheitsvorkehrungen an Server in den USA übermittelt, dürfen seine Produkte nicht mehr ohne Weiteres in deutschen Behörden eingesetzt werden. Seit dem „Schrems II“-Urteil fehlt die Rechtsgrundlage für diese Vorgehensweise. Der Datenschutzbeauftragte des Landes Mecklenburg-Vorpommern Heinz Müller fordert daher, dass Behörden unverzüglich auf Microsoft verzichten sollen.

Nähere Infos finden Sie hier: https://www.heise.de/news/Datenschutzbeauftragter-Behoerden-sollten-unverzueglich-auf-Microsoft-verzichten-5990886.html

Datenübermittlung an Konzernunternehmen: LfDI Baden-Württemberg verhängt Bußgeld über EUR 300.000,- gegen VfB Stuttgart

Der VfB Stuttgart hatte Mitgliederdaten an Dritte weitergeleitet und war später nicht mehr in der Lage, diese Vorgänge nachzuweisen oder zu dokumentieren. Weil der Fußballverein damit gegen seine Dokumentations- und Rechenschaftspflicht verstoßen hat, verhängte der Landesbeauftragte für Datenschutz Baden-Württemberg, Dr. Stefan Brink, ein Bußgeld gegen der Verein. Damit ist der Verein noch glimpflich davongekommen, denn ohne die als vorbildlich gelobte Kooperation und Mitwirkung bei der Aufklärung wäre das Bußgeld wohl noch erheblich höher ausgefallen. 

Näheres dazu finden Sie hier: https://www.baden-wuerttemberg.datenschutz.de/vfb-stuttgart-bussgeld-erlassen/

Falschparker bei der Polizei anzuschwärzen kann teuer werden: Landesbeauftragter für Datenschutz Sachen-Anhalt verhängt Bußgeld gegen „Hilfssheriff“ über EUR 200,-

Weil er wiederholt und in großen Umfang Falschparker bei der Polizei anzeigte, ist ein selbsternannten Hilfssheriff in Magdeburg nun zu einem Bußgeld verdonnert worden. Denn weil er von den falsch parkenden Autos obendrein noch Fotos anfertigte, wurde er nun vom Landesbeauftragten für Datenschutz in Sachen-Anhalt mit einem Bußgeld in Höhe von EUR 200,– belegt. In der Sache ist diese Entscheidung höchst zweifelhaft, denn es ist nach unserer Ansicht davon auszugehen, dass der „Hilfssheriff“ die Fotos noch zu privaten (wenn auch wenig nachvollziehbaren) Zwecken verarbeitet hat. Und für diesen Bereich ist die DSGVO grundsätzlich nicht anwendbar (sog. „Haushaltsprivileg“).

Nähere Informationen dazu finden Sie hier: https://www.volksstimme.de/lokal/magdeburg/strafzettel-magdeburger-zeigt-ueber-400-falschparker-an

2. Entscheidungen des Monats

Schadensersatz i.H.v. EUR 800,– bei unterlassener Löschung von Daten vor Weiterverkauf (AG Hildesheim, Urt. v. 05.10.2020 – 43 C 145/19)

Vor dem Weiterverkauf gebrauchter Geräte muss eine Computer-Firma die personenbezogenen Daten löschen. Tut sie dies nicht, verstößt sie gegen die DSGVO und muss einen Schadensersatz i.H.v. EUR 800,– nach Art. 82 DSGVO zahlen. 

Zum Sachverhalt: Der Kläger kaufte bei der Beklagten einen Computer und gab ihn aufgrund von Mängeln zurück. Im Rahmen der Rückgabe wies dies Beklagte mehrfach zwar darauf hin, dass sämtliche Daten vor dem Weiterverkauf zu löschen seien. Das spiele, so das AG Hildesheim, jedoch keine Rolle, und die beklagte Firma könne sich wegen dieser Hinweise nicht entlasten.

Vielmehr hätte sie vor dem erfolgten Weiterverkauf die Festplatte des Computers formatieren müssen. Weil sie das aber nicht tat und damit unerlaubt personenbezogene Daten an den Käufer weitergegeben hat, sei ein Schadensersatz von EUR 800,– angemessen.

Nähere Informationen dazu finden Sie hier: https://dejure.org/dienste/vernetzung/rechtsprechung?Text=43%20C%20145%2F19&Suche=43%20C%20145%2F19

LG Berlin klassiert Rekord-Bußgeld gegen deutsche Wohnen i.H.v. EUR 14,5 Mio. wegen formellen Fehlern

Der Rekord-Bußgeldbescheid gegen Deutsche Wohnen über EUR 14,5 Mio. wurde wegen formeller Fehler vom Landgericht Berlin aufgehoben. Denn ein Bußgeldbescheid, dessen rechtlicher Rahmen sich im Deutschland aus dem Ordnungswidrigkeitengesetz  (OWiG) ergibt, kann sich nicht gegen eine juristische, sondern nur gegen eine natürliche Person richten.

Weil sich der Bußgeldbescheid, der Logik der DSGVO folgend, aber „nur“ gegen die datenschutzrechtlich Verantwortliche juristische Person richtete, nicht aber gegen die konkret handelnden natürlichen Personen, wurde er vom Landgericht Berlin wegen formeller Rechtswidrigkeit aufgehoben.

Die Landesbeauftragte für Datenschutz Berlin kündigte bereits Rechtsmittel an, sodass nun das Kammergericht Berlin über diese grundsätzliche Frage entscheiden muss. 

Das Urteil ist abrufbar unter: https://dejure.org/dienste/vernetzung/rechtsprechung?Gericht=LG%20Berlin&Datum=18.02.2021&Aktenzeichen=%28526%20OWi%20LG%29%20212%20JsOWi%201%2F20

3. Unser Tipp: Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen

Datenschutz auf Websites und in Software muss nicht viel Aufwand sein! Wenn Sie Ihr Produkt schon bei der Entwicklung datenschutzfreundlich gestalten, haben Sie später viel weniger Arbeit. Und die DSGVO ist auch glücklich. Das sind unsere Tipps für datenschutzfreundliche Technikgestaltung und Voreinstellungen:

1. Erkennen Sie drohende Datenschutzrisiken frühzeitig und wenden diese ab.
2. Gestalten Sie Ihre Software so, dass sie per se die Anforderungen des Datenschutzes erfüllt (Privacy by Design).
3. Schützen Sie alle personenbezogenen Daten schon in den Voreinstellungen Ihrer Software (Privacy by Default).
4. Datenschutz und -sicherheit gehen mit einer vollen Funktionsfähigkeit der Software einher. Keine Einbußen bei der Software für Anwender, wenn diese Datenschutz wollen!
5. Schützen Sie die Daten und schaffen Sie die Möglichkeit einer vollständigen Löschung, wenn Ihr Anwender dies wünscht.
6. Stellen Sie sicher, dass Ihre Maßnahmen einer unabhängigen Überprüfung jederzeit standhalten.
7. Stellen Sie die höchsten Datenschutzstandards an sich selbst und respektieren Sie die Privatsphäre der Anwender.

Weitere Informationen zu Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen erfahren Sie in unserem Blog-Beitrag.

4. Das schreiben die Anderen zum Datenschutz

• Den Einsatz eines konzernweiten CRM-Systems und insbesondere damit zusammenhängende Fragen zu Bußgeldrisiken beantwortet der Kollege Conrad S. Conrad: https://www.datenschutz-notizen.de/das-konzernweite-crm-system-wann-ein-bussgeld-droht-5029295/ (Datenschutz-Notizen, 23.03.2021)
• Detaillierte Auseinadnersetzung mit den datenschutzrechtlichen Anforderungen bei der Nutzung von Microsft OneDrive:  https://www.dr-datenschutz.de/microsoft-onedrive-und-der-datenschutz/ (Dr. Datenschutz, 24.03.2021)

Haben Sie Fragen oder Anmerkungen? Nehmen Sie gerne Kontakt mit uns auf.