Datenschutz­woche

Datenschutzaufsicht Sachsen-Anhalt kritisiert Registrierung beim Nutzerkonto Bund als unzulässig

In einer Pressemitteilung vom 27. Juni hat die Datenschutzaufsichtsbehörde Sachsen-Anhalt das Ministerium für Infrastruktur und Digitales des Landes gerügt. Zwischen dem 15. März und dem 2. Oktober 2023 konnten Berechtigte über das Portal "Einmalzahlung200" eine Energiepreispauschale in Höhe von 200 Euro beantragen. Dafür zwingend erforderlich war ein Nutzerkonto "BundID", das als zentraler Zugang für Leistungen wie das ELSTER-Zertifikat oder die Onlinefunktion des Personalausweises fungiert.

Nach Ansicht des Landesbeauftragten für Datenschutz stellt dies einen Eingriff in das Recht auf informationelle Selbstbestimmung dar. Das Ministerium hätte einen alternativen Zugang bieten müssen, z.B. durch die direkte Eingabe beim Antragsassistenten. Die Zahl der Registrierungen bei „BundID“ dürfte um mehr als zweieinhalb Millionen Nutzer gestiegen sein.

EuGH: Voraussetzungen für den Ersatz immaterieller Schäden bei Datenschutzverstößen

Im Rahmen eines Vorabentscheidungsverfahrens hat sich der EuGH in seinem Urteil vom 20.06.2024 (C-590/22) mit der Auslegung von Art. 82 Abs. 1 DSGVO befasst. Im ursprünglichen Rechtsstreit machten die Kläger Schadensersatz nach Art. 82 Abs. 1 DSGVO geltend, da ihre Steuererklärung, die personenbezogene Daten enthielt, ohne ihre Einwilligung an Dritte weitergegeben worden war.

Das Gericht entschied, dass nicht jeder Verstoß gegen die DSGVO einen Schadensersatzanspruch begründe. Der Wortlaut der DSGVO unterscheide deutlich zwischen „Verstoß“ und „Schaden“, daher müsse die Person nachweisen, dass ihr ein Schaden entstanden sei. Einen bestimmten Schweregrad müsse der Schaden jedoch nicht erreichen. Selbst ein kurzzeitiger Kontrollverlust reiche aus, auch wenn nicht nachgewiesen werden könne, dass die Daten tatsächlich an Dritte gelangt waren.

Auch in seinem Urteil vom 20.06.2024 (C-182/22 und C-189/22) befasste sich der EuGH mit der Auslegung von Art. 82 Abs. 1 DSGVO. In diesem Fall ging es um den Diebstahl personenbezogener Daten aus einer Trading-App durch unbekannte Dritte. Das Gericht betonte die Ausgleichsfunktion des Schadensersatzes: Eine auf diese Bestimmung gestützte Entschädigung in Geld soll den erlittenen Schaden in vollem Umfang ausgleichen.

Internationale Nachrichten

• Europa: Der Europäische Datenschutzausschuss (EDSA) hat einen Katalog mit Anforderungen für Tests von Messenger-Diensten vorgestellt, eine Checkliste zur Prüfung von KI entwickelt und Berichte zu Risiken von OCR (Optical Character Recognition) und Name Entity Recognition (NER) veröffentlicht.
• Europa: Der aktuelle „TechDispatch“-Report des Europäischen Datenschutzbeauftragten (EDSB) befasst sich mit Neurodaten.
• USA: Der American Privacy Rights Act (APRA) wurde überraschend aus einer Anhörung zurückgezogen.
• Frankreich: Die französische Aufsichtsbehörde CNIL hat einen Leitfaden zum Umgang mit Cybersicherheitsbedrohungen für Familien und Senioren sowie ein FAQ zu datenschutzrechtlichen Fragen rund um die Olympischen Spiele in Paris veröffentlicht.

Aktuelle Gerichtsentscheidungen:

• LG Saarbrücken, Urteil vom 20.06.2023, Az. 4 O 197/22 (GRUR-RS 2023, 48393): Der Sinn der DSGVO wird nicht gewahrt, indem man jeglichem „Unwohlsein“ eine Schadensposition einräumt. Vielmehr muss zumindest ein ernsthaftes Risiko bestehen, dass die Daten missbraucht werden.
• OLG Hamburg, Urteil vom 30.08.2023, Az. 13 U 71/21 (juris): Spätestens durch die Weitergabe der Daten an die Commerzbank und die Sparkasse Nürnberg in Verbindung mit der geänderten Einschätzung des Bonitätsrisikos ist dem Kläger ein Schaden in Gestalt einer Rufschädigung entstanden, für welchen er von der Beklagten Ersatz verlangen kann. Hieran ändert sich auch nichts dadurch, dass sich aus der Auskunft der Schufa und der verschlechterten Einschätzung des Bonitätsrisikos offenbar keine negativen Konsequenzen in Bezug auf die Eröffnung des Girokontos bei der Commerzbank bzw. das Schicksal des Darlehensvertrages bei der Sparkasse Nürnberg ergeben haben [...].
• LG Osnabrück, Urteil vom 30.08.2023, Az. 11 O 1154/23 (GRUR-RS 2023, 49184): Mithin reicht der bloße Verstoß gegen Art. 82 Abs. 1 DSGVO nicht aus, um einen immateriellen Schadensersatzanspruch zu begründen. Vielmehr ist ein konkret eingetretener Schaden darzulegen und zu beweisen.
• LAG Baden-Württemberg, Urteil vom 05.03.2024, Az. 15 Sa 45/23 (juris): Es obliegt demjenigen, der eine auf Art. 82 DSGVO gestützte Schadensersatzklage erhebt, das Vorliegen eines solchen Schadens nachzuweisen. Insbesondere kann ein rein hypothetisches Risiko der missbräuchlichen Verwendung durch einen unbefugten Dritten nicht zu einer Entschädigung führen.
• BVerwG, Urteil vom 20.03.2024, Az. 6 C 8.22 (BeckRS 2024, 5355): Die Datenschutz-Grundverordnung knüpft an die nach Maßgabe des einschlägigen Fachrechts festgelegten Zwecke der Datenerhebung an. Diese Zwecke sind nicht am Maßstab des Grundsatzes der Datenminimierung gemäß Art. 5 Abs. 1 Buchst. c DSGVO zu überprüfen.
• LG Ravensburg, Urteil vom 16.04.2024, Az. 2 O 140/23 (juris): Die Beklagte als Betreiberin der Plattform hat gegen Art. 32 Abs.1 DSGVO verstoßen, da sie den Datensatz des Klägers nicht genügend gegen einen Angriff durch Web-Scraping geschützt hat. Durch Verwendung von Sicherheitscaptchas wäre ein Angriff durch maschinelles Abfragen von Daten mittels Eingabe von Nummernfolgen verhindert oder jedenfalls wesentlich erschwert worden (Schadenersatz i.H.v. 1.000 Euro). Der Kläger hat nach Überzeugung des Gerichts keinen immateriellen Schaden gemäß Art. 82 Abs. 1 DSGVO erlitten. Es obliegt dem Kläger, einen immateriellen Schaden, der über den bloßen Datenschutzverstoß und den damit verbundenen Kontrollverlust über seine Daten hinausgeht, darzulegen und zu beweisen.
• LG Aachen, Urteil vom 21.05.2024, Az. 12 O 69/24 (GRUR-RS 2024, 14803): Es ist weder vorgetragen noch ersichtlich geworden, dass der Kläger durch die Übermittlung der Positivdaten materielle Schäden erlitten hat, kommt es bezüglich des immateriellen Schadens auf das Vorliegen innerer Tatsachen an, die dem Beweis nur eingeschränkt zugänglich sind. [...] Vielmehr fällt auf, dass die Formulierungen aus der Klageschrift bezüglich des angeblich eingetretenen immateriellen Schadens in einer Vielzahl von weiteren Klagen benutzt wurden und benutzt werden. Es ist nicht nachvollziehbar, wie die Übermittlung von Positivdaten bei mehreren Menschen identische Sorgen, Ängste und Zustände auslösen sollte, ohne dass zwischen den jeweiligen Fällen differenziert wird.
• LG Leipzig, Urteil vom 17.06.2024, Az. 04 O 2552/23 (GRUR-RS 2024, 14807): Unabhängig davon, dass eine Begründetheit des geltend gemachten Schadenersatzanspruches schon deshalb fraglich erscheint, weil kaum nachvollziehbar ist, dass der bloße Umstand der Meldung, dass der Kläger einen Mobilfunkvertrag bei der Beklagten abgeschlossen haben soll, diesen in ständige Angstzustände versetzt haben soll, scheitern sämtliche geltend gemachte Ansprüche bereits daran, dass der Kläger trotz Bestreitens der Beklagten weder nachgewiesen hat, das er überhaupt einen Mobilfunkvertrag mit der Beklagten abgeschlossen hat, noch, dass er eine Auskunft der Schufa erhalten hat, in dem diese ihm mitgeteilt haben soll, das die Beklagte dieser den Abschluss eines Mobilfunkvertrages mit dem Kläger gemeldet habe [...].
• LG Hildesheim, Urteil vom 18.06.2024, Az. 3 O 18/24 (GRUR-RS 2024, 14808): In jedem Fall steht dem Kläger aus etwaig erfolgten Verstößen der Beklagten gegen die DS-GVO kein immaterieller Schadensausgleich zu. [...] Der Kläger führte allein aus, es gehe ihm mit dem Wissen um die Einmeldung „nicht so gut“, weil er nicht ausschließen könne, dass sich die Meldung der Beklagten negativ auf den S.-Score auswirken könne. Ferner könne er nicht sicher sein, ob er günstigere Konditionen bei Abschluss eines zurückliegenden Darlehensvertrages hinsichtlich der Finanzierung einer Immobilie erhalten hätte, wäre der S.-Score bei Hinwegdenken der Einmeldung der Beklagten günstiger gewesen. Schließlich verärgere ihn der Umstand, dass die Beklagte seine Daten an die S. gemeldet habe, obwohl er keine negativen Zahlungsauffälligkeiten an den Tag gelegt habe. Diese von dem Kläger geschilderten Beeinträchtigungen – ihr Zutreffen unterstellt – sind nicht geeignet, einen Schmerzensgeldanspruch zu begründen. Ihnen kommt kein Gewicht zu, welches durch eine Geldzahlung auszugleichen wäre.
• EuGH, Urteil vom 20.06.2024, Rs. C-590/22 (Volltext): Art. 82 Abs. 1 DSGVO ist dahin auszulegen, dass die Befürchtung einer Person, dass ihre personenbezogenen Daten aufgrund eines Verstoßes gegen die DSGVO an Dritte weitergegeben wurden, ohne dass nachgewiesen werden kann, dass dies tatsächlich der Fall war, ausreicht, um einen Schadenersatzanspruch zu begründen, sofern diese Befürchtung samt ihrer negativen Folgen ordnungsgemäß nachgewiesen ist.
• EuGH, Urteil vom 20.06.2024, Rs. C-182/22 (Volltext): Art. 82 Abs. 1 DSGVO ist dahin auszulegen, dass der in dieser Bestimmung vorgesehene Schadenersatzanspruch ausschließlich eine Ausgleichsfunktion erfüllt, da eine auf diese Bestimmung gestützte Entschädigung in Geld es ermöglichen soll, den erlittenen Schaden in vollem Umfang auszugleichen. 
• LG Ravensburg, Urteil vom 20.06.2024, Az. 4 O 91/24 (GRUR-RS 2024, 14361): Da Art. 17 DSGVO lediglich ein Löschungsrecht bezüglich personenbezogener Daten einräumt, jedoch gerade keine weitergehenden Rechte bezüglich der Datenverarbeitungsvorgänge an sich normiert worden sind, können keine Unterlassungsansprüche geltend gemacht werden, die im Ergebnis die Verarbeitungsvorgänge des Verantwortlichen reglementieren können.
• LG Ansbach, Urteil vom 20.06.2024, Az. 2 O 1111/23 (Volltext): Die informatorische Anhörung hat insgesamt ergeben, dass der Kläger die Ablehnung eines Kleinkredits auf den streitgegenständlichen Vorfall zurückführt, und Sorge vor der Ablehnung weiterer Kreditanfragen sowie Bedenken hinsichtlich der Sicherheit seiner Daten bei der SCHUFA hat. [...] Ein kausaler immaterieller Schaden im Sinne des Art. 82 Abs. 1 DSGVO wird dadurch nicht begründet.
• LG Konstanz, Urteil vom 21.06.2024, Az. D 2 O 269/23 (GRUR-RS 2024, 14360): Nach allgemeinen Grundsätzen obliegt es dem Kläger, die (Mit-) Ursächlichkeit des – vermeintlichen – Verstoßes für die geltend gemachten Schäden darzulegen und gegebenenfalls zu beweisen. [...] In der mündlichen Verhandlung [...] hat der Kläger nicht überzeugend dargelegt, dass er aufgrund der Einmeldung der Positivdaten durch die Beklagte unter echten immateriellen Beeinträchtigungen wie beispielsweise Angstgefühlen, seelischem Leid, seelischen Auswirkungen, psychischen Beeinträchtigungen oder anderen, irgendwie spürbaren seelischen Beeinträchtigungen gelitten habe.

Neuigkeiten aus den Aufsichtsbehörden:

• Bundesdatenschutzbeauftragter: “BfDI unter den innovativsten Aufsichtsbehörden” - Pressemitteilung vom 24.06.2024
• Datenschutzaufsicht Sachsen-Anhalt: “Digitalisierung ja, aber nicht zwangsweise” - Pressemitteilung vom 27.06.2024 
• Bundesdatenschutzbeauftragter: „Kelber zu E-Patientenakte: Völliger Fehler, Sicherheitsmaßnahmen herauszunehmen“ - Heise, Artikel vom 28.06.2024
• Datenschutzaufsicht Mecklenburg-Vorpommern: “LfDI M-V prüft Einsatz von Drohnen durch öffentliche Stellen” - Pressemitteilung vom 28.06.2024 
• Datenschutzaufsicht Thüringen: “TLfDI übergibt Staffelstab Arbeitskreis "Datenschutz- /Medienkompetenz" an Mecklenburg-Vorpommern" - Pressemitteilung vom 01.07.2024