Ganz im April haben wir es nicht geschafft. Aber wir werden besser! Hier ist das Update Datenschutz für April 2022. Wirklich Aufregendes ist nicht passiert. Das geben wir zu. Ein paar Sachen sollten fast selbstverständlich sein, wie der Einsatz von Recaptcha nur mit Einwilligung. Manchen ist aber auch nicht nachvollziehbar, wie die Entscheidung der DSK zum Onlinehandel. Aber lest selbst.
Recaptcha nur noch mit Einwilligung nutzbar?
Die französische Datenschutzaufsicht (CNIL) hat entschieden, dass der Einsatz eines Google Recaptcha nur mit ausdrücklicher Einwilligung des Webseitenbesuchers zulässig ist. Jetzt kann man sich fragen, was euch das interessieren muss. Na ja, erst mal gar nicht, vielleicht. Zum einen spielt sich das Ganze in Frankreich ab. Euer deutsches Unternehmen muss diese Entscheidung also nicht wirklich interessieren. Es denn natürlich, dass ihr Webseiten in Frankreich betreibt. Der andere Grund ist, dass es sich tatsächlich „nur“ um eine Behörde handelt. Würde eure deutsche Aufsichtsbehörde hier so eine Entscheidung treffen, hat man dagegen Rechtsmittel. Bewahrt also erst mal Ruhe.
Die Entscheidung liegt leider nur auf Französisch vor. Mit DeepL kann man da aber recht schnell Abhilfe schaffen.
https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000042125452
Unabhängig davon sollte man die Entscheidung mal zum Anlass nehmen, insgesamt über die selbst genutzten Dienste nachzudenken. Wir erleben es immer wieder, dass man sich zwar über Google Analytics Gedanken macht. Alles andere wird aber -gefühlt – mehr oder weniger nicht so richtig beachtet. Zu Analytics hatten wir ja im letzten Update schon ein paar Zeilen geschrieben. Daneben sollte man aber Facebook Pixel oder Google Ads Remarketing nicht vergessen. Auch diese Dienste dürft ihr selbstverständlich, wenn überhaupt noch, nur mit entsprechender Einwilligung nutzen.
Corona-Daten spätestens jetzt löschen
… so jedenfalls lautet die Empfehlung das Landesamt für Datenschutz Niedersachsen.
Mit Wegfall der gesetzlichen Pflichten, die im Kontext der Corona-Pandemie standen, entfällt auch die Rechtsgrundlage für die Verarbeitung von personenbezogenen Daten in diesem Zusammenhang. Da die Speicherung eine Verarbeitung ist, gibt es auch dafür keine Rechtsgrundlage mehr.
Das gilt jedenfalls für die meisten Verarbeitungen.
Aufgrund der speziellen Regelungen im Gesundheitsbereich sind dort nach wie vor bestimmte Datenverarbeitungen notwendig.
Das Landesamt hat natürlich recht und damit lautet auch unsere Empfehlung: Daten löschen, wenn die Verarbeitung nicht mehr notwendig ist. Ihr solltet also eure Verarbeitungen von personenbezogenen Daten in Bezug auf Corona zeitnah unter die Lupe nehmen und bei Bedarf die Daten löschen.
Die Pressemitteilung gibt es übrigens hier: https://lfd.niedersachsen.de/startseite/infothek/presseinformationen/corona-daten-spatestens-jetzt-loschen-210773.html
OLG Nürnberg: Rechtsmissbräuchlicher DSGVO-Auskunftsanspruch
Auskunftsansprüche nach der DS-GVO sind wichtig, können aber für Unternehmen mehr und mehr zur Falle werden, sei es von (ehemaligen) Arbeitnehmern oder Dritten. Wenn die eigentliche Auskunft nicht im Vordergrund steht, sondern andere Interessen, kann das rechtsmissbräuchlich sein. So sieht es jedenfalls das OLG Nürnberg (OLG Nürnberg, Urt. v. 14.03.2022 – Az.: 8 U 2907/21) https://tinyurl.com/2x5j9evm). Nach Auffassung des OLG ging es dem Auskunftssuchenden nicht um die Informationen zum Datenschutz, sondern die Information über Prämienanpassungen bei der privaten Krankenversicherung.
Das Gericht ging dabei davon aus, dass dem Unternehmen ein Weigerungsrecht für die Auskunft zusteht aus Art. 12 Abs. 5 Satz 2 lit. b) DS-GVO zu. Nach Auffassung der Nürnberger Richter ging es dem Auskunftssuchenden nicht um ein Bewusstwerden zum Zweck einer Überprüfung der datenschutzrechtlichen Zulässigkeit der Verarbeitung personenbezogener Daten, sondern um die Überprüfung etwaiger von der Beklagten vorgenommener Prämienanpassungen wegen möglicher formeller Mängel nach § 203 Abs. 5 WG. Eine solche Vorgehensweise ist vom Schutzzweck der DS-GVO aber nach Auffassung der Richter nicht umfasst.
Das Gericht zitiert dabei eine Entscheidung des OLG Hamm (OLG Hamm, Beschluss vom 15.11.2021 – 20 U 269/21), welches ebenfalls einen Anspruch als rechtsmissbräuchlich ablehnte. Dem OLG Hamm folgte nun auch das OLG Dresden (OLG Dresden, 4. Zivilsenat, Urteil vom 29. März 2022, Az.: 4 U 1905/21).
Anspruch eines Arbeitnehmers auf 1.000 EUR Schadensersatz wegen zu später Löschung der Daten von der Webseite
Bei Streitigkeiten zwischen Arbeitnehmern und Arbeitgebern bringt die DS-GVO noch einmal einen ganz neuen Drive ins Spielt, nicht unbedingt zugunsten der Arbeitgeber. Mit Auskunftsansprüchen können Arbeitnehmer Arbeit verursachen. Falsche und verspätete Auskünfte haben da in der Vergangenheit schon zu sehr unangenehmen Zahlungen für Arbeitgeber geführt. Aber auch der nachlässige Umgang mit Daten kann Folgen haben. Das Arbeitsgericht Neuruppin verurteilte kürzlich einen Arbeitgeber zu 1.000 EUR Schadensersatz, weil dieser die Daten seiner ehemaligen Mitarbeiterin nicht rechtzeitig von der Webseite löschte. Im zu entscheidenden Fall hatte der Arbeitnehmer zunächst den Arbeitgeber aufgefordert, die Daten von der Webseite zu nehmen. Der Arbeitgeber reagierte -warum auch immer – nicht. Insofern erachtete das Gericht einen Anspruch von 1.000 EUR zzgl. schon gezahlter 150 EUR als angemessen. Die ursprünglich durch die Klägerin geltend gemachten 5.000 wollte das Gericht nicht anerkennen (ArbG Neuruppin, Urteil vom 14.12.2021 – 2 Ca 554/21).
Die Rechtsprechung der Arbeitsgerichte ist hier und beim Schadensersatz insgesamt noch sehr uneinheitlich. Eine klare Linie ist nicht wirklich zu erkennen. Das ArbG Köln sprach in einem ähnlichen Fall nur 300 EUR zu. Hier war aber die Löschung wohl fahrlässig nicht erfolgt. Das ArbG Lübeck erachtete in einem Fall eines unerlaubten Fotos auf Facebook ebenfalls 1000 EUR als angemessen. Für eine verspätete Auskunft sprach das LArbG Hamm ebenfalls 1.000 EUR zu(LAG Hamm vom 11.05.2021, 6 Sa 1260/20, juris); das ArbG Düsseldorf sprach wegen verspäteter Auskunft 5.000 EUR. Gerade der Düsseldorfer ist aber sehr speziell und kann nicht verallgemeinert werden.
Auch wenn noch keine klare Linie zu erkennen ist, ist Schadensersatz aus der DS-GVO ein scharfes Schwert, was ihr als Arbeitnehmer auf dem Schirm haben müsst und keines Falls unterschätzen solltet.
Eine Übersicht über die bisherige Rechtsprechung zum Datenschutz haben wir hier: Schadensersatz bei Datenschutzverstößen nach DS-GVO
Anspruch auf Schadensersatz ohne Nachweis eines konkreten Schadens?
Beim Thema Schadensersatz ist noch immer umstritten, ob es ausreicht, dass ein Datenschutzverstoß vorliegt und allein daraus ein Schadensersatzanspruch entsteht oder ob wirklich konkreter immaterieller Schaden nachgewiesen werden muss (für ein Ausreichen des Eingriffs in das allgemeine Persönlichkeitsrecht: z. B. OLG München, Urteil vom 4.2.2019 – 15 U 3688/18 ; für das Erfordernis eines nachgewiesenen Schadens z. B. LAG Baden-Württemberg, Urt. v. 25.02.2021, 17 Sa 37/20, zit. nach juris, Rn. 96, LG Karlsruhe, Urt. v. 02.08.2019, 8 O 26/19, zit. nach juris, Rn. 19, Ernst, juris PR-ITR 1/2021 Anm. 6 in einer Anmerkung zu dem vorliegend angefochtenen Urteil des Landgerichts Darmstadt v. 26.05.2020, 13 O 244/19, m.w.N.).
Das OLG Frankfurt entschied nun, dass Voraussetzung für einen Schadensersatzanspruch gemäß Art. 82 Abs. 1 DSGVO der Nachweis eines konkreten (auch immateriellen) Schadens ist (OLG Frankfurt am Main, Urteil vom 02.03.2022 – 13 U 206/20).
Damit ist die Diskussion aber keineswegs beendet. Die Frage liegt aktuell beim EuGH. Vorgelegt hatte die Frage unter anderem auch das Bundesarbeitsgericht. Das BAG vertritt dabei die Auffassung, dass ein Arbeitnehmer gerade keinen Schaden nachweisen muss und allein aus dem Datenschutzverstoß ein Anspruch auf Schadensersatz entsteht (Vorabentscheidungsersuchen vom 26.08.2021, 8 AZR 253/20-A). Der Nachweis eines immateriellen Schadens wird in der Praxis kaum gelingen. Viele Experten gehen aber davon aus, dass der EuGH gerade keinen Schaden voraussetzen wird.
DSK – Onlineshop mit Gastzugang
Wer von euch einen Onlineshop betreibt, hat vielleicht schon von der famosen Entscheidung der Datenschutzkonferenz gehört. Die glaubt nämlich oder ist besser gesagt überzeugt, dass man beim Betrieb eines Onlineshops zwingend auch eine Bestellung über einen Gastzugang anbieten muss. Eine Bestellung, die die Eröffnung eines Kundenkontos voraussetzt, soll damit nicht rechtmäßig sein.
Die Entscheidung ist juristisch meines Erachtens nicht vertretbar. Und das sehe nicht nur ich so, sondern auch viele Kollegen. Die Gerichte werden es, wenn es mal zu einer Entscheidung kommt, mit großer Wahrscheinlichkeit genauso sehen. Wir nehmen die Hinweise also brav zur Kenntnis, machen uns deshalb aber nicht fertig. Wer sich hier die „Hinweise der DSK – Datenschutzkonformer Online-Handel” mittels Gastzugang vom Stand 24. März 2022 genauer zu Gemüte führen möchte, klicke hier.
Verbraucherschutzverbände können gegen Verletzungen des Datenschutzschutzes vorgehen
Mit Urteil vom 28.4.2022 entschied der EuGH, dass nicht nur betroffene Personen selbst Klage wegen Datenschutzverstöße erheben können, sondern auch Verbraucherschutzverbände wie der Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale
Bundesverband e. V. (EuGH, C-319/20).
Die Verbände können bei Datenschutzverstößen zur Wahrung von Verbraucherinteressen gegen den mutmaßlichen Verletzer selbstständig und ohne entsprechenden Auftrag und unabhängig von der Verletzung konkreter Rechte betroffener Personen Klage erheben.
Die Entscheidung sollte uns erst mal nicht aus dem Häuschen bringen. Trotzdem müssen wir abwarten, wie sich das Ganze in der Praxis auswirkt. Die Verbraucherzentralen gehen schon aktiv gegen vermeintliche Verstöße vor. Das Ganze sollte man aber hier nicht mit Abmahnwellen von irgendwelchen vermeintlichen Wettbewerbsverbänden verwechseln.
Das letzte Update aus März findest du übrigens hier:
Ganz im April haben wir es nicht geschafft. Aber wir werden besser! Hier ist das Update Datenschutz für April 2022. Wirklich Aufregendes ist nicht passiert. Das geben wir zu. Ein paar Sachen sollten fast selbstverständlich sein, wie der Einsatz von Recaptcha nur mit Einwilligung. Manchen ist aber auch nicht nachvollziehbar, wie die Entscheidung der DSK zum Onlinehandel. Aber lest selbst.
Recaptcha nur noch mit Einwilligung nutzbar?
Die französische Datenschutzaufsicht (CNIL) hat entschieden, dass der Einsatz eines Google Recaptcha nur mit ausdrücklicher Einwilligung des Webseitenbesuchers zulässig ist. Jetzt kann man sich fragen, was euch das interessieren muss. Na ja, erst mal gar nicht, vielleicht. Zum einen spielt sich das Ganze in Frankreich ab. Euer deutsches Unternehmen muss diese Entscheidung also nicht wirklich interessieren. Es denn natürlich, dass ihr Webseiten in Frankreich betreibt. Der andere Grund ist, dass es sich tatsächlich „nur“ um eine Behörde handelt. Würde eure deutsche Aufsichtsbehörde hier so eine Entscheidung treffen, hat man dagegen Rechtsmittel. Bewahrt also erst mal Ruhe.
Die Entscheidung liegt leider nur auf Französisch vor. Mit DeepL kann man da aber recht schnell Abhilfe schaffen.
https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000042125452
Unabhängig davon sollte man die Entscheidung mal zum Anlass nehmen, insgesamt über die selbst genutzten Dienste nachzudenken. Wir erleben es immer wieder, dass man sich zwar über Google Analytics Gedanken macht. Alles andere wird aber -gefühlt – mehr oder weniger nicht so richtig beachtet. Zu Analytics hatten wir ja im letzten Update schon ein paar Zeilen geschrieben. Daneben sollte man aber Facebook Pixel oder Google Ads Remarketing nicht vergessen. Auch diese Dienste dürft ihr selbstverständlich, wenn überhaupt noch, nur mit entsprechender Einwilligung nutzen.
Corona-Daten spätestens jetzt löschen
… so jedenfalls lautet die Empfehlung das Landesamt für Datenschutz Niedersachsen.
Mit Wegfall der gesetzlichen Pflichten, die im Kontext der Corona-Pandemie standen, entfällt auch die Rechtsgrundlage für die Verarbeitung von personenbezogenen Daten in diesem Zusammenhang. Da die Speicherung eine Verarbeitung ist, gibt es auch dafür keine Rechtsgrundlage mehr.
Das gilt jedenfalls für die meisten Verarbeitungen.
Aufgrund der speziellen Regelungen im Gesundheitsbereich sind dort nach wie vor bestimmte Datenverarbeitungen notwendig.
Das Landesamt hat natürlich recht und damit lautet auch unsere Empfehlung: Daten löschen, wenn die Verarbeitung nicht mehr notwendig ist. Ihr solltet also eure Verarbeitungen von personenbezogenen Daten in Bezug auf Corona zeitnah unter die Lupe nehmen und bei Bedarf die Daten löschen.
Die Pressemitteilung gibt es übrigens hier: https://lfd.niedersachsen.de/startseite/infothek/presseinformationen/corona-daten-spatestens-jetzt-loschen-210773.html
OLG Nürnberg: Rechtsmissbräuchlicher DSGVO-Auskunftsanspruch
Auskunftsansprüche nach der DS-GVO sind wichtig, können aber für Unternehmen mehr und mehr zur Falle werden, sei es von (ehemaligen) Arbeitnehmern oder Dritten. Wenn die eigentliche Auskunft nicht im Vordergrund steht, sondern andere Interessen, kann das rechtsmissbräuchlich sein. So sieht es jedenfalls das OLG Nürnberg (OLG Nürnberg, Urt. v. 14.03.2022 – Az.: 8 U 2907/21) https://tinyurl.com/2x5j9evm). Nach Auffassung des OLG ging es dem Auskunftssuchenden nicht um die Informationen zum Datenschutz, sondern die Information über Prämienanpassungen bei der privaten Krankenversicherung.
Das Gericht ging dabei davon aus, dass dem Unternehmen ein Weigerungsrecht für die Auskunft zusteht aus Art. 12 Abs. 5 Satz 2 lit. b) DS-GVO zu. Nach Auffassung der Nürnberger Richter ging es dem Auskunftssuchenden nicht um ein Bewusstwerden zum Zweck einer Überprüfung der datenschutzrechtlichen Zulässigkeit der Verarbeitung personenbezogener Daten, sondern um die Überprüfung etwaiger von der Beklagten vorgenommener Prämienanpassungen wegen möglicher formeller Mängel nach § 203 Abs. 5 WG. Eine solche Vorgehensweise ist vom Schutzzweck der DS-GVO aber nach Auffassung der Richter nicht umfasst.
Das Gericht zitiert dabei eine Entscheidung des OLG Hamm (OLG Hamm, Beschluss vom 15.11.2021 – 20 U 269/21), welches ebenfalls einen Anspruch als rechtsmissbräuchlich ablehnte. Dem OLG Hamm folgte nun auch das OLG Dresden (OLG Dresden, 4. Zivilsenat, Urteil vom 29. März 2022, Az.: 4 U 1905/21).
Anspruch eines Arbeitnehmers auf 1.000 EUR Schadensersatz wegen zu später Löschung der Daten von der Webseite
Bei Streitigkeiten zwischen Arbeitnehmern und Arbeitgebern bringt die DS-GVO noch einmal einen ganz neuen Drive ins Spielt, nicht unbedingt zugunsten der Arbeitgeber. Mit Auskunftsansprüchen können Arbeitnehmer Arbeit verursachen. Falsche und verspätete Auskünfte haben da in der Vergangenheit schon zu sehr unangenehmen Zahlungen für Arbeitgeber geführt. Aber auch der nachlässige Umgang mit Daten kann Folgen haben. Das Arbeitsgericht Neuruppin verurteilte kürzlich einen Arbeitgeber zu 1.000 EUR Schadensersatz, weil dieser die Daten seiner ehemaligen Mitarbeiterin nicht rechtzeitig von der Webseite löschte. Im zu entscheidenden Fall hatte der Arbeitnehmer zunächst den Arbeitgeber aufgefordert, die Daten von der Webseite zu nehmen. Der Arbeitgeber reagierte -warum auch immer – nicht. Insofern erachtete das Gericht einen Anspruch von 1.000 EUR zzgl. schon gezahlter 150 EUR als angemessen. Die ursprünglich durch die Klägerin geltend gemachten 5.000 wollte das Gericht nicht anerkennen (ArbG Neuruppin, Urteil vom 14.12.2021 – 2 Ca 554/21).
Die Rechtsprechung der Arbeitsgerichte ist hier und beim Schadensersatz insgesamt noch sehr uneinheitlich. Eine klare Linie ist nicht wirklich zu erkennen. Das ArbG Köln sprach in einem ähnlichen Fall nur 300 EUR zu. Hier war aber die Löschung wohl fahrlässig nicht erfolgt. Das ArbG Lübeck erachtete in einem Fall eines unerlaubten Fotos auf Facebook ebenfalls 1000 EUR als angemessen. Für eine verspätete Auskunft sprach das LArbG Hamm ebenfalls 1.000 EUR zu(LAG Hamm vom 11.05.2021, 6 Sa 1260/20, juris); das ArbG Düsseldorf sprach wegen verspäteter Auskunft 5.000 EUR. Gerade der Düsseldorfer ist aber sehr speziell und kann nicht verallgemeinert werden.
Auch wenn noch keine klare Linie zu erkennen ist, ist Schadensersatz aus der DS-GVO ein scharfes Schwert, was ihr als Arbeitnehmer auf dem Schirm haben müsst und keines Falls unterschätzen solltet.
Eine Übersicht über die bisherige Rechtsprechung zum Datenschutz haben wir hier: Schadensersatz bei Datenschutzverstößen nach DS-GVO
Anspruch auf Schadensersatz ohne Nachweis eines konkreten Schadens?
Beim Thema Schadensersatz ist noch immer umstritten, ob es ausreicht, dass ein Datenschutzverstoß vorliegt und allein daraus ein Schadensersatzanspruch entsteht oder ob wirklich konkreter immaterieller Schaden nachgewiesen werden muss (für ein Ausreichen des Eingriffs in das allgemeine Persönlichkeitsrecht: z. B. OLG München, Urteil vom 4.2.2019 – 15 U 3688/18 ; für das Erfordernis eines nachgewiesenen Schadens z. B. LAG Baden-Württemberg, Urt. v. 25.02.2021, 17 Sa 37/20, zit. nach juris, Rn. 96, LG Karlsruhe, Urt. v. 02.08.2019, 8 O 26/19, zit. nach juris, Rn. 19, Ernst, juris PR-ITR 1/2021 Anm. 6 in einer Anmerkung zu dem vorliegend angefochtenen Urteil des Landgerichts Darmstadt v. 26.05.2020, 13 O 244/19, m.w.N.).
Das OLG Frankfurt entschied nun, dass Voraussetzung für einen Schadensersatzanspruch gemäß Art. 82 Abs. 1 DSGVO der Nachweis eines konkreten (auch immateriellen) Schadens ist (OLG Frankfurt am Main, Urteil vom 02.03.2022 – 13 U 206/20).
Damit ist die Diskussion aber keineswegs beendet. Die Frage liegt aktuell beim EuGH. Vorgelegt hatte die Frage unter anderem auch das Bundesarbeitsgericht. Das BAG vertritt dabei die Auffassung, dass ein Arbeitnehmer gerade keinen Schaden nachweisen muss und allein aus dem Datenschutzverstoß ein Anspruch auf Schadensersatz entsteht (Vorabentscheidungsersuchen vom 26.08.2021, 8 AZR 253/20-A). Der Nachweis eines immateriellen Schadens wird in der Praxis kaum gelingen. Viele Experten gehen aber davon aus, dass der EuGH gerade keinen Schaden voraussetzen wird.
DSK – Onlineshop mit Gastzugang
Wer von euch einen Onlineshop betreibt, hat vielleicht schon von der famosen Entscheidung der Datenschutzkonferenz gehört. Die glaubt nämlich oder ist besser gesagt überzeugt, dass man beim Betrieb eines Onlineshops zwingend auch eine Bestellung über einen Gastzugang anbieten muss. Eine Bestellung, die die Eröffnung eines Kundenkontos voraussetzt, soll damit nicht rechtmäßig sein.
Die Entscheidung ist juristisch meines Erachtens nicht vertretbar. Und das sehe nicht nur ich so, sondern auch viele Kollegen. Die Gerichte werden es, wenn es mal zu einer Entscheidung kommt, mit großer Wahrscheinlichkeit genauso sehen. Wir nehmen die Hinweise also brav zur Kenntnis, machen uns deshalb aber nicht fertig. Wer sich hier die „Hinweise der DSK – Datenschutzkonformer Online-Handel” mittels Gastzugang vom Stand 24. März 2022 genauer zu Gemüte führen möchte, klicke hier.
Verbraucherschutzverbände können gegen Verletzungen des Datenschutzschutzes vorgehen
Mit Urteil vom 28.4.2022 entschied der EuGH, dass nicht nur betroffene Personen selbst Klage wegen Datenschutzverstöße erheben können, sondern auch Verbraucherschutzverbände wie der Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale
Bundesverband e. V. (EuGH, C-319/20).
Die Verbände können bei Datenschutzverstößen zur Wahrung von Verbraucherinteressen gegen den mutmaßlichen Verletzer selbstständig und ohne entsprechenden Auftrag und unabhängig von der Verletzung konkreter Rechte betroffener Personen Klage erheben.
Die Entscheidung sollte uns erst mal nicht aus dem Häuschen bringen. Trotzdem müssen wir abwarten, wie sich das Ganze in der Praxis auswirkt. Die Verbraucherzentralen gehen schon aktiv gegen vermeintliche Verstöße vor. Das Ganze sollte man aber hier nicht mit Abmahnwellen von irgendwelchen vermeintlichen Wettbewerbsverbänden verwechseln.
Das letzte Update aus März findest du übrigens hier:
