Datenschutz­woche

DSGVO-Abmahnungen: Bundesregierung sieht keinen Handlungsbedarf

Der Bundesrat hat eine Gesetzesinitiative vorgebracht, die die Verfolgung von Verstößen gegen die DSGVO auf Grundlage des § 3a UWG ausdrücklich ausschließen soll. Demnach seien Unternehmen einer missbräuchlichen Rechtsverfolgung durch Abmahnungen ausgesetzt. Beispielhaft führt der Bundesrat die Abmahnwellen wegen Google Fonts auf Internetseiten an. Einen Mehrwert für den Datenschutz habe das Mitbewerberklagerecht nach § 3a UWG bei Datenschutzverstößen nicht.

Streitpunkt ist die Frage, ob die Regelungen der DSGVO über Rechtsbehelfe, Sanktionen und Haftung abschließend seien, bzw. ob die Verfolgung von Datenschutzverstößen auf Grundlage des UWG unionsrechtswidrig sei. Der BGH hat diese Frage dem EuGH zur Vorabentscheidung vorgelegt (BGH, Beschluss vom 12.01.2023, Gz. I ZR 223/19).

Über die Initiative des Bundesrats wird in Kürze der Bundestag entscheiden. Die Bundesregierung möchte das EuGH-Urteil zunächst abwarten. Aktuell bestehe kein Bedarf, die Initiative des Bundesrates aufzugreifen.

Google im Bewerbungsverfahren? Arbeitgeber müssen informieren

Das LAG Düsseldorf befasste sich in seinem Urteil vom 10.04..2024 , 12 Sa 1007/23,* mit Google-Recherchen im Rahmen eines Bewerbungsverfahren. Der Bewerber und Kläger warf der Beklagten und Arbeitgeberin vor, ihn zum Gegenstand einer rechtswidrigen „Online-Schnüffelei“ gemacht zu haben. So hatte der Arbeitgeber von einer Vorstrafe des Bewerbers erfahren; der Bewerber wurde abgelehnt.

Der Kläger argumentierte, er hätte über die Datenerhebung informiert werden müssen, um die Möglichkeit zu haben, möglicherweise falsche Daten richtigzustellen. Die Information über das Strafverfahren stammte aus einen Wikipedia-Artikel über den Kläger, den dieser nicht selbst verfasst habe.

Das Gericht wies die Klage in Bezug auf Verstöße gegen Art. 33 Abs. 2 GG und das AGG ab. Es bestätigte auch die Zulässigkeit der Datenerhebung durch Google-Suche an sich. Allerdings sei die Beklagte ihrer Informationspflicht aus Art. 14 DSGVO nicht nachgekommen. Ein materieller Schaden sei dem Kläger nicht entstanden, da die fehlende Information aus Art. 14 DSGVO nichts an der objektiv gegebenen strafrechtlichen Verurteilung ändere. Somit fehle es an der erforderlichen Kausalität für den Schaden. Der Kläger habe jedoch einen immateriellen Schaden darlegen können, da er zum „Objekt“ der Datenverarbeitung innerhalb des Bewerbungsverfahrens geworden war.

*Update 25.6.: Datum korrigiert, danke an die Hinweisgeber.

Internationale Nachrichten

• Europa: Die Verhandlungen über die sogenannte Chatkontrolle zwischen den EU-Staaten sind vorerst gescheitert.
• USA: US-Behörde FTC (Federal Trade Commission) wirft TikTok Datenschutzverstöße bei der Erhebung von Daten von Kindern vor.
• Frankreich: Aufgrund der vorgezogenen Parlamentswahlen in Frankreich erinnert die französische Datenschutzaufsichtsbehörde CNIL die Parteien an die Wahrung von Datenschutzregeln.
• Frankreich: Die französische Datenschutzaufsichtsbehörde CNIL wird zuständige Behörde für Datenaltruismus zur Durchsetzung des Data Governance Act.
• Europa: Der Europäische Datenschutzausschuss (EDSA) nimmt Stellung zum Entwurf eines Verhaltenskodex für Dienstleistungserbringer in der klinischen Forschung.
• Europa: Der Europäische Datenschutzausschuss (EDSA) veröffentlicht Leitlinien zum Schutz personenbezogener zum Zwecke der Prävention und Verfolgung von Straftaten.

Aktuelle Gerichtsentscheidungen:

• ArbG Köln, Urteil vom 30.03.2023, Az. 6 Ca 3875/22 (BeckRS 2023, 48726): Die Klägerin hat zudem konkretisiert, zu welchen konkreten Daten sie Auskunft begehrt, nämlich Arbeitszeiten, Schichtplänen und Verträgen. (nachfolgend: LAG Köln, Urteil vom 02.05.2024, Az. 6 Sa 325/23: Berufung zurückgewiesen) 
• Bundesgerichtshof, Urteil vom 12.03.2024, Az. VI ZR 1370/20 (Volltext): Die Frage, ob die auf einer unzulässigen Videoüberwachung beruhenden Erkenntnisse einer Partei bei der gerichtlichen Entscheidungsfindung verwertet werden dürfen, ist unter Berücksichtigung der Vorgaben der Datenschutzgrundverordnung zu beurteilen. 
• LAG Düsseldorf, Urteil vom 7. März 2024, Az. 11 Sa 808/23 (Volltext): Ein Verstoß gegen die Pflichten aus Art. 15 DSGVO kann dem Grunde nach einen Anspruch auf Ersatz der materiellen und immateriellen Schäden nach Art. 82 Abs. 1 DSGVO begründen. 
• LAG Düsseldorf, Urteil vom 10.04.2024, Az. 12 Sa 1007/23 (Volltext): Führt ein Arbeitgeber eine Google-Recherche durch, ist der Bewerber über diese Datenerhebung gemäß Art. 14 DSGVO zu informieren. Die Information über die Datenkategorien (Art. 14 Abs. 1 lit. d DSGVO) muss dabei so präzise und spezifisch gefasst sein, dass die betroffene Person die Risiken abschätzen kann, die mit der Verarbeitung der erhobenen Daten verbunden sein können. Kommt der Arbeitgeber dieser Informationspflicht nicht nach und verwertet die erlangte Information - hier über die strafrechtliche Verurteilung - im Stellenbesetzungsverfahren, steht dem Bewerber ein Entschädigungsanspruch gemäß Art. 82 Abs. 1 DSGVO (hier: 1.000 Euro) zu.
• VG Wiesbaden, Beschluss vom 06.05.2024, Az. 6 L 318/24.WI (Volltext): Rechte aus der DSGVO bzw. dem BDSG, die sich aus der Verarbeitung personenbezogener Daten ergeben, stehen regelmäßig nur der betroffenen Person zu.
• LG Bochum, Urteil vom 15.05.2024, Az. 5 O 334/23 (GRUR-RS 2024, 13734): Dem Kläger ist infolge des Datenlecks bisher kein materieller Schaden entstanden. Warum nunmehr Jahre später noch mit dem Eintritt eines materiellen Schadens zu rechnen sein soll, ist nicht ersichtlich. Ein solcher Schaden ist rein theoretischer Natur und vermag kein Feststellungsinteresse zu begründen.
• LG Freiburg (Breisgau), Urteil vom 24.05.2024, Az. 8 O 304/23 (juris): Im Falle einer klageweisen Geltendmachung von Schadensersatzansprüchen nach Art. 82 DSGVO obliegt es der Klagepartei, die eigene Betroffenheit von einem Datenschutzvorfall mit dem Beweismaß des § 286 ZPO zur vollen Überzeugung des Gerichts nachzuweisen. 
• LG Ellwangen, Urteil vom 10.06.2024, Az. 6 O 17/24 (GRUR-RS 2024, 13560): In der Rechtsprechung ist streitig, ob die von der Beklagten vorgetragenen berechtigten Interessen, namentlich Betrugsprävention, Überschuldungsprävention und Ermöglichung von Ausfallrisikoprognosen das Recht des Klägers auf informationelle Selbstbestimmung überwiegen. Das Gericht schließt sich der Auffassung an, wonach die Interessen der Beklagten den Vorrang haben.
• LG Augsburg, Urteil vom 11.06.2024, Az. 092 O 2439/23 (Volltext): Bei der Bonitätsbewertung kann keine Geringfügigkeitsschwelle angesetzt werden. Auch das Zahlungsverhalten hinsichtlich überschaubarer Beträge lässt bei statistischer Betrachtung Aussagen über die Wahrscheinlichkeit des künftigen Zahlungsverhaltens eines Schuldners zu.
• LG Tübingen, Urteil vom 12.06.2024, Az. 4 O 359/23 (GRUR-RS 2024, 13569): Es kann nicht nachvollzogen werden, dass etwaige Sorgen der Klägerin wegen ihrer Bonität spezifisch aufgrund der Meldung der Vertragsdaten durch die Beklagte in Bezug auf den Mobilfunkvertrag ausgelöst worden sein sollen, da die streitgegenständliche Bonitätsauskunft auch weitere Meldungen von anderen Unternehmen enthält.
• LG Darmstadt, Urteil vom 12.06.2024, Az. 2 O 18/24 (GRUR-RS 2024, 13733): Soweit der Kläger von einem Gefühl von Kontrollverlust, Angst vor Diskriminierung, Existenzsorgen spricht, so erscheinen diese Begriffe formelhaft und entbehren jeder Darlegung von Einzelheiten, wie sich Gefühle geäußert haben sollen. Dabei fehlt es völlig an Vortrag, in welcher Form sich Beweisanzeichen objektiver Art zeigen, in denen sich solche Gefühle widerspiegeln, und zwar bezogen auf den konkreten Einzelfall des Klägers. Zum Zeitpunkt der Klage im hiesigen Verfahren lagen die behaupteten Datenschutzverstöße der Beklagten bereits mehrere Jahre zurück.
• LG Ulm, Urteil vom 13.06.2024, Az. 6 O 20/24 (GRUR-RS 2024, 13559): Zum einen kann das Gericht nicht feststellen, dass die vom Kläger geäußerten Befürchtungen bezüglich künftiger negativer Folgen im Hinblick auf seine Bonität wegen der Mitteilung der Beklagten im vorliegenden Fall als begründet angesehen werden können. Zum anderen ergibt sich aus der vorgelegten Bonitätsauskunft, dass über den Kläger bereits weitere Daten eingereicht wurden, die wesentlich erheblicher sind, als die von der Beklagten übermittelten.
• LG Lüneburg, Urteil vom 13.06.2024, Az. 10 O 222/23 (GRUR-RS 2024, 13556): Auch der Kontrollverlust über die eigenen Daten kann einen Schadenersatzanspruch nach der DSGVO begründen. Im vorliegenden Fall ist die abstrakte Darstellung des Klägers jedoch nicht geeignet, um einen Schaden annehmen zu können.
• LG Memmingen, Endurteil vom 13.06.2024, Az. 24 O 1624/23 (Volltext): Dass bloße negative Gefühle wie Unmut, Unzufriedenheit, Sorge und Angst, die an sich Teil des allgemeinen Lebensrisikos und oft des täglichen Erlebens sind, Grundlage für einen Schadensersatzanspruch sein können, hält das Gericht jedenfalls dann für nicht gerechtfertigt, wenn kein Einfluss auf die Lebensführung ersichtlich und damit ein konkreter Rückschluss von äußeren Umständen auf diese inneren Tatsachen nicht möglich ist.

Neuigkeiten aus den Aufsichtsbehörden:

• Datenschutzkonferenz: Protokoll zur 1. Zwischenkonferenz am 24. Januar 2024
• Datenschutzaufsicht Bayern (BayLDA): „Gemeinsame Verantwortlichkeit” - Orientierungshilfe mit Stand vom 01.06.2024
• Datenschutzaufsicht Rheinland-Pfalz: „Informationskampagne zu den Regeln des Datenschutzes bei Newslettern und E-Mail-Werbung“ – Pressemitteilung vom 17.06.2024
• Bundesdatenschutzbeauftragter: „Beschwerdemöglichkeiten bei Datenübermittlungen in die USA“ – Pressemitteilung vom 18.06.2024