Unser Datenschutz-Update im September 2024

In dieser Rubrik liefern wir Ihnen jeden Monat aktuelle Informationen aus der Datenschutz-Welt: Urteile, Entscheidungen und sonstige Entwicklungen in diesem Rechtsgebiet. Hier unser Datenschutz-Update für den September 2024.

1. Nachrichten aus der Welt des Datenschutzes

Betrugsmasche im Namen der BfDI

Offenbar versuchen derzeit Betrüger:innen, Opfer mit angeblicher Unterstützung bei der Zurückgewinnung von verlorenem Geld an Krypto-Börsen zu locken. Bei den Anrufen geben sich die Betrüger:innen als Mitarbeiter:innen der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) aus. 

Das BfDI teilt auf seiner Webseite folgende Pressemitteilung

„Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) stellt klar: Bei diesen Anfragen handelt es sich um Fakes, die nicht von der BfDI stammen. Kommen Sie den Aufforderungen auf keinen Fall nach und antworten Sie nicht. Die Täter werden Ihre Antwort zum Anlass nehmen, Sie für weitere Betrugsversuche zu kontaktieren.

Zum Hintergrund: Die BfDI wurde in einigen Fällen angefragt, ob sie telefonische Kontaktaufnahmen im Namen ihrer Behörde bestätigen könne. Es wurde dabei jeweils die Zurückerlangung von Verlusten bei Krypto-Börsen angeboten.

Initiative zu Standardvertragsklauseln durch EU gestartet

Standardvertragsklauseln sind Muster-Datenschutzklauseln, die in der EU ansässige Datenexporteure im Einklang mit den Anforderungen der DSGVO in ihre Verträge über die Übermittlung personenbezogener Daten an Datenimporteure in Drittländern aufnehmen können. 

Bisher können EU Datenexporteure diese Standardvertragsklauseln verwenden mit Datenimporteuren in Drittländern, also außerhalb der EU.

Die EU plant nun mit der Initiative eine Erweiterung dieser Standardvertragsklauseln:

„Diese Klauseln gelten für den besonderen Fall, dass ein Datenimporteur in einem Drittland ansässig ist, aber unmittelbar der DSGVO unterliegt. Sie ergänzen die bestehenden Klauseln für Datenübermittlungen an Datenimporteure aus Drittländern, die nicht der DSGVO unterliegen.“

Die Erweiterung soll mit einem Durchführungsbeschluss erfolgen. Geplant ist die Initiative für das zweite Quartal 2025.

DSGVO beachten in Unternehmen – Bußgelder sind nicht nur theoretisch

Immer noch gehen Unternehmen davon aus, dass Bußgelder bei DSGVO-Verstößen entweder gar nicht verhängt werden, oder aber in einer Höhe ausfallen, die man vernachlässigen kann. Letztere Einschätzung mag je nach Unternehmensgröße unterschiedlich ausfallen. Auffällig ist jedoch, dass in den letzten zwei Jahren die Verhängung von Bußgeldern zunimmt und auch die Höhe nicht immer gering ausfällt. Natürlich immer vom Einzelfall abhängig. Gerade Auskunftsansprüche sollten jedoch bei Unternehmen nicht mehr auf die leichte Schulter genommen werden.

Beispiele

Ein Bußgeld aus Spanien:

Wegen einer Datenschutzverletzung im Zusammenhang mit einer Auskunft nach Art. 15 DSGVO muss ein spanisches Unternehmen ein Bußgeld in Höhe von 270.000 Euro zahlen.

Der Beschwerdeführer in diesem Fall, dessen Arbeitsvertrag gekündigt worden war, beantragte Zugang zu seinen Gehaltsabrechnungen für Juli 2022. Der für die Verarbeitung Verantwortliche übermittelte dem Beschwerdeführer eine E-Mail mit einem angehängten PDF-Dokument, das seine Gehaltsabrechnung und die von 446 anderen Mitarbeiter:innen enthielt.

Ein weiteres Bußgeld wurde in Belgien verhängt:

Weil die Beantwortung einer Auskunft nach Art. 14 DSGVO um 14 Monate verspätet war, verhängte die belgische Datenschutzaufsichtsbehörde gegen einen Internetanbieter ein Bußgeld in Höhe von 100.000.

Der Kläger war ein Kunde der Beklagten (eines Telekommunikationsbetreibers). Im Anschluss an einen vertraglichen Vorfall führte der Kläger ein Schlichtungsverfahren mit der Beklagten durch. Die Beklagte hat einen Fehler zugegeben, doch das reichte dem Kläger nicht. Er machte von seinem Recht auf Auskunft Gebrauch. Er wollte unter anderem die Identität der Mitarbeiter:innen erfahren, die seine personenbezogenen Daten verarbeitet hatten, sowie die Zwecke der Verarbeitung. Er stellte seinen Antrag über den Messenger-Kanal der Beklagten, bat aber ausdrücklich darum, seine Anfrage an den behördlichen Datenschutzbeauftragten (DSB) weiterzuleiten. Obwohl seine Anfrage von zwei Mitarbeiter:innen bearbeitet wurde, wurde sie weder erfüllt noch an den behördlichen Datenschutzbeauftragten weitergeleitet. Der Kläger reichte später eine Beschwerde bei der belgischen Aufsichtsbehörde (SA) ein. Die Beklagte antwortete dem Kläger während des Austauschs der Schlussfolgerungen, allerdings erst 14 Monate nach seinem Antrag auf Zugang.

2. Entscheidungen des Monats

Schadensersatz wegen ungerechtfertigter/fehlerhafter Meldung an eine Auskunft

OLG Hamburg, Urteil vom 30.08.2023, Az. 13 U 71/21

In einem früheren bei der Kammer anhängigen Rechtsstreit hatte der Kläger u.a. beantragt, letztere zu verurteilen, zwei Negativeinträge gegenüber der Schufa schriftlich zu widerrufen. 

Die Parteien schlossen einen gerichtlichen Vergleich. Gemäß den Regelungen des Vergleichs widerrief die Beklagte die in dem Verfahren streitgegenständlichen Negativeinträge gegenüber der Schufa. Die Einträge wurden kurze Zeit später zur Löschung gebracht. 

Der Kläger kam seinen Ratenzahlungsverpflichtungen aus dem Vergleich gegenüber der Beklagten fristgerecht nach. Trotzdem meldete die Beklagte die in dem Verfahren streitgegenständlichen Negativeinträge erneut der Schufa. Eine Bank Filiale stellte bei der Schufa eine Anfrage zur Bonitätsprüfung des Klägers anlässlich der Eröffnung eines Girokontos. Der Filiale wurde von der Schufa ein Dokument zum SCHUFA-Score übersandt.

Mit Schufa-Auskunft stellte der Kläger erneuten Negativeinträge fest. Mit anwaltlichem Schreiben forderte der Kläger die Beklagte auf, die Negativeinträge gegenüber der Schufa zu widerrufen, eine dem Schreiben beigefügte Unterlassungserklärung zu unterzeichnen und die angefallenen Rechtsanwaltskosten zu tragen.

Daraufhin teilte die Beklagte mit anwaltlichem Schreiben den Prozessbevollmächtigten des Klägers mit, dass „es auf Grund eines technischen Defektes bedauerlicherweise tatsächlich zu erneuten Saldenmeldungen an die Schufa“ gekommen sei. Die streitgegenständlichen Negativeinträge wurden von der Beklagten erneut gegenüber der Schufa widerrufen.

Die Berufungsinstanz erkannte aufgrund des tatsächlich durch die Anfrage der Bank entstandenen Schadens einen Anspruch auf Schadensersatz an. 

Die Beklagte hat gegen ihre Pflichten aus Art. 5, 6 i.V.m. Art. 4 Abs. 2 DSGVO verstoßen, indem sie ihre Forderungen gegen den Kläger erneut an die Schufa gemeldet hat, obwohl die vereinbarten Voraussetzungen hierfür nicht vorlagen. Der Kläger hat gegen die Beklagte daher Anspruch auf Ersatz immateriellen Schadens gem. Art. 82 Abs. 1, Abs. 2 S. 1 DSGVO in Höhe von insgesamt 2.000 Euro.“

Neues Urteil zum FernUG

Wieder einmal gab es einen Rechtsstreit zur Anwendbarkeit des FernUG. Letztlich ging es um ein „Mentoringprogramm“ zu einem Preis von 40.000 € zzgl. MwSt. Der Kläger forderte die bereits geleistete Anzahlung nach sieben Wochen zurück und berief sich auf das FernUG, der Vertrag sei nichtig.

In erster Instanz wurde seine Klage abgewiesen. Das Berufungsgericht gab dem Kläger jedoch zu weiten Teilen recht und sah den Vertrag gem. § 7 Abs. 1 FernUG als nichtig an, OLG Stuttgart 13 U 176/23

Ausschlaggebend für das Berufungsgericht war dabei zum einen, dass neben den abrufbaren Videolektionen auch Online-Meetings in Präsenz stattfanden, wenn auch nur alle zwei Wochen. Es komme für die räumliche Trennung nicht darauf an, dass bei Online-Meetings synchrone Kommunikation möglich sei. 

Ziel des Gesetzes ist eine umfassende Ordnung des Fernunterrichtsmarktes zum Schutz der Teilnehmerinteressen, nachdem Angebote von geringer methodischer und fachlicher Qualität auf dem Markt waren…“ zitiert das Berufungsgericht. „Dieser Schutzzweck führt dazu, dass die Tatbestandsmerkmale weit und nicht restriktiv auszulegen sind (BGH v. 15.10.2009 – III ZR 310/08 – juris Rn. 16 ff.).“ Ausgehend hiervon gäbe es für eine einschränkende Auslegung bei Videokonferenzen keinen Anlass nach Ansicht des Gerichts.

Auch eine Überprüfung des Lernerfolgs bejaht das Berufungsgericht, was in erster Instanz abgelehnt worden war. Auch hier ist das Gericht für eine weite Auslegung des Begriffs. 

Nach der Rechtsprechung des BGH ist bei der Beurteilung ein weites Verständnis des Merkmals zu Grunde zu legen…. Danach ist eine Überwachung des Lernerfolgs nach §1 Abs.1 Nr.2 FernUSG bereits dann gegeben, wenn der Lernende nach dem Vertrag den Anspruch hat, z.B. in einer begleitenden Unterrichtsveranstaltung durch mündliche Fragen zum erlernten Stoff eine individuelle Kontrolle des Lernerfolgs durch den Lehrenden oder seinen Beauftragten zu erhalten. Ausreichend ist insoweit, wenn der Lernende in den Informationsveranstaltungen eine individuelle Anleitung erhält und Fragen zum eigenen Verständnis des bisher Erlernten an den jeweiligen Dozenten stellen kann, um insoweit eine persönliche Lernkontrolle herbeizuführen, ob das bisher Erlernte richtig verstanden wurde und „sitzt“.“

Dazu zähle nach Ansicht des Gerichts auch die ausdrücklich erwähnte Möglichkeit, Fragen per Email, in Meetings oder in einer Facebookgruppe zu stellen. 

Da der Anbieter/Beklagte nicht über eine Zulassung nach FernUG verfügte, war der Vertrag damit nichtig und die Anzahlung i.H.v. 23.800 € zurückzuzahlen.

Mehr dazu finden Sie hier: Landesrecht BW

Zum Thema

Um die Sache abzurunden fügen wir hier noch einen Beschluss des OLG München bei, Beschluss v. 16.05.2024 – 3 U 984/24e, mit dem es eine Berufung der Klägerin zurückweisen wird und die Anwendung des FernUG ablehnt.

Hier ging es um ein 1:1 Coaching zum Aufbau eines Business. Das Coaching sollte über neun Monate laufen, nach acht Monaten wollte die Klägerin den Vertrag kündigen und berief sich dabei u.a. auf das FernUG.

Die übrigen von der Klägerin vorgebrachten Gründe wurden ebenso wie die Anwendbarkeit des FernUG bereits in erster Instanz abgelehnt.

Das OLG München bestätigte in seinem Beschluss, dass das Coaching-Angebot nicht unter das FernUG fiele. Es fehle die räumliche Trennung ebenso wie die Lernkontrolle. Im Gegensatz zum zuvor zitierten Berufungsurteil lag in diesem Fall der Schwerpunkt klar auf den synchron durchgeführten Video-Calls. Wobei das OLG München ausdrücklich die Beurteilung der räumlichen Trennung nicht im wörtlichen Sinne auslegt.

Die Abgrenzung erfolgt nicht räumlich im Wortsinn, sondern danach, ob ein direkter Austausch erfolgt oder die Lerninhalte hauptsächlich im Rahmen eines Selbststudiums vermittelt werden (vgl. Faix, MMR 2023, 821). Ausweislich der Leistungsbeschreibung (Anl. K 1 und Anl. B 1) liegt der Schwerpunkt auf den Zoom-Meetings, dem Austausch in der F.- und W.-Gruppe und dem 1:1 Coaching. Dass die Live-Calls aufgezeichnet und danach den Mitgliedern zur Verfügung gestellt werden, stellt lediglich eine Zusatzleistung dar, die aber nicht zu einer Schwerpunktverschiebung führt.

Die Anwendbarkeit des FernUG durch die Gerichte auf Online-Lernangebote in weitester Form bleibt wohl auch zukünftig spannend. 

3. Das schreiben die Anderen zum Datenschutz

Haben Sie Fragen oder Anmerkungen? Nehmen Sie gerne Kontakt mit uns auf.

Wir helfen Ihnen beim Datenschutz

Den Datenschutz im Unternehmen neben dem Tagesgeschäft im Auge und up to date zu halten, kann schwierig und belastend sein.

Wir helfen Ihnen dabei gerne, und uns macht das sogar Spaß! Ob Auftragsverarbeitung, Joint Controllership, das DSGVO-konforme Abbilden unternehmensinterner Datenflüsse, Datenschutzhinweise, Richtlinien und Datenschutzverpflichtungen für Ihr Team – wir helfen Ihnen dabei, diese Bereiche rechtssicher umzusetzen.

Wir können diese Aufgaben entweder „auf Zuruf“ als beratende Kanzlei übernehmen, oder in laufender Zusammenarbeit als bestellter externer Datenschutzbeauftragter. In dieser Funktion bieten wir Ihnen verschiedene pauschal vergütete Pakete an, vom „Basis“-Paket über das Paket „VIP“ inklusive regelmäßiger Besprechungstermine und Rabatte bis zum Flatrate-Paket „Premium“. Diese Pakete können wir individuell auf den Bedarf Ihres Unternehmens zuschneiden. 

Sprechen Sie uns gerne dazu an oder schauen Sie sich hier unsere Leistungen an: https://service.comp-lex.de/externer-datenschutzbeauftragter/


Ihre Ansprechperson

Dr. Sonja Detlefsen

sd@comp-lex.de


Themen:

Ähnliche Artikel: