DatenschutzWoche vom 24.10.2022

WhatsApp-Auswertung: Arbeitsgeber soll Schmerzensgeld in Höhe von 7.500 Euro zahlen

Mit Urteil vom 20. Mai 2021 (Az. 14 Ca 135/20) hat das Arbeitsgericht Mannheim einen Arbeitgeber dazu verurteilt, an einen Beschäftigten ein Schmerzensgeld nach Art. 82 Abs. 1 DSGVO in Höhe von 7.500 Euro zu zahlen. Das Gericht sah einen Datenschutzverstoß darin, dass der Arbeitgeber die WhatsApp-Kommunikation des Beschäftigten auf einem sowohl dienstlich als auch privat genutzten Firmenhandy ausgewertet hatte.

Eine Auswertung der privaten Kommunikation verstößt nach Ansicht des Gerichts gegen § 26 BDSG. Weil es im Unternehmen keine Regelungen zum Zugriff auf Informationen auf Dienstgeräte gab, habe der Beschäftigte eine berechtigte Privatheitserwartung. Darüber hinaus, so das Gericht in seiner Begründung weiter, hätte es eine Reihe von anderen Möglichkeiten mit weniger starkem Eingriff in das Persönlichkeitsrecht des Beschäftigten gegeben.

Das Arbeitsgericht nimmt auch ein Verwertungsverbot sowohl für die privaten als auch für die beruflichen Nachrichten an. Es fehle an einer „organisatorischen Anordnung“ des Arbeitsgebers zur Trennung von privater und beruflicher Kommunikation. Selbst eine Auswertung mit Schlüsselbegriffen sei unzulässig.

Der immaterielle Schaden des Beschäftigten besteht im Wesentlichen in einem unguten Gefühl durch den Verlust der Vertraulichkeit, so das Gericht knapp. Dies ist angesichts der umstrittenen Rechtslage überraschend. So hatte beispielsweise der EuGH-Generalanwalt zuletzt in seinen Schlussanträgen in einem Vorlageverfahren wegen Schadensersatzansprüchen aus Datenschutzverstößen bei der österreichischen Post (Rs. C‑300/21) deutlich höhere Anforderungen an einen immateriellen Schadensersatz gestellt.

Da gegen die Entscheidung unter dem Az. 12 Sa 56/21 Berufung eingelegt wurde, wird sich das Landesarbeitsgericht Baden-Württemberg mit diesen Aspekten befassen können.

Datenschutzaufsicht Thüringen: Tätigkeitsbericht für das Jahr 2021 veröffentlicht

In der vergangenen Woche hat der Thüringer Landesbeauftragte für den Datenschutz und die Informationsfreiheit (TLfDI), Dr. Lutz Hasse, seinen Tätigkeitsbericht für das Jahr 2021 veröffentlicht. Wenig überraschend war die Corona-Pandemie aus Sicht der Behörde das beherrschende Thema, wie auch bei anderen Aufsichtsbehörden in Deutschland und anderen EU-Ländern.

Die Zahl der Beschwerden von Betroffenen stieg um ca. 50% auf rund 4.600. Ebenfalls angestiegen sind die Zahl der Bußgeldbescheide (72) und die Höhe der festgesetzten Bußgelder (61.325 Euro) sowie die Zahl von Datenpannenmeldungen.

Der Tätigkeitsbericht gibt Einblick in den Stand der Bewertung von Office 365 bzw. Microsoft 365 durch die deutschen Datenschutzaufsichtsbehörden. Weiteres Thema ist die Sicherheit von Funkanlagen nach der von der EU-Kommission 2021 veröffentliche und inzwischen in Kraft getretenen delegierte Verordnung zur Funkanlagenrichtlinie. Darüber hinaus gibt es einige unterhaltsame und kuriose Fälle aus der Praxis.

Internationale Nachrichten

• Europa: Das EDPB hat am 18. Oktober 2022 eine aktualisierte Fassung seiner Richtlinien 9/2022 für die Meldung von Datenschutzverletzungen veröffentlicht und eine öffentliche Konsultation gestartet, die am 29. November endet. Weiterhin hat das EDPB eine aktualisierte Fassung der Richtlinien 8/2022 für die Bestimmung der federführenden Aufsichtsbehörde eines Verantwortlichen oder Auftragsverarbeiters veröffentlicht. Die öffentliche Konsultation läuft bis zum 2. Dezember 2022.
• Frankreich: Die französische Datenschutzaufsicht CNIL hat ein Bußgeld in Höhe von 20 Millionen Euro gegen das Unternehmen Clearview AI verhängt. Andere europäische Aufsichtsbehörden hatten schon in der Vergangenheit Millionenbußgelder gegen Clearview AI verhängt.

Aktuelle Gerichtsentscheidungen

• Verwaltungsgerichtshof Hessen, Beschluss vom 4. August 2022, Az. 6 B 134/22 (Volltext): Die Bekanntmachung von Beanstandungen an der Geschäftsorganisation eines Geldinstituts auf der Website der BaFin verstößt nicht gegen das Persönlichkeitsrecht der Beschäftigten des Instituts.
• VGH Mannheim, Beschluss vom 06.09.2022, Az. VGH 10 S 3406/21 (BeckRS 2022, 27634): „Ohne Erfolg wendet sich der Kläger gegen die entscheidungstragende Annahme des Verwaltungsgerichts, die auf Erteilung einer weitergehenden Datenauskunft gerichtete Klage sei unzulässig [...]“
• OLG Dresden, Beschluss vom 12.09.2022, Az. 4 U 1327/22 (BeckRS 2022, 27975): Keine Verpflichtung zur Erteilung einer Auskunft nach Art. 15 DSGVO über die Höhe der auslösenden Faktoren bei Beitragserhöhungen durch eine private Krankenkasse.
• OLG Dresden, Beschluss vom 09.08.2022, Az. 6 U 799/22 (BeckRS 2022, 28181): Aus Art. 15 Abs. 1 DSGVO ergibt sich kein Anspruch auf „Auskunft über alle Beitragsanpassungen“ eines Versicherungsverhältnisses in der privaten Krankenversicherung.
• ArbG Mannheim, Urteil vom 20. Mai 2021, Az. 14 Ca 135/20 (juris): Die Auswertung von WhatsApp-Nachrichten eines Arbeiternehmers auf einem privat und beruflich genutzten Mobiltelefon kann gegen § 26 BDSG verstoßen und ein Beweisverwertungsverbot zur Folge haben. Berufung eingelegt beim LAG Baden-Württemberg unter dem Az. 12 Sa 56/21.
• AG Strausberg, Urteil vom 13.10.2022, Az. 25 C 95/21 (BeckRS 2022, 27811): Eine Online-Plattform ist für den Verlust über die Kontrolle von gescrapten Daten nicht schadensersatzpflichtig.
• LG Baden-Baden, Beschluss vom 10.10.2022, Az. 3 O 277/22 (Volltext): Dem Antragsgegner wird im Wege der einstweiligen Verfügung untersagt, einen Partnerbetrieb des Franchise-Systems der Antragstellerin mit Forderungen im Zusammenhang mit der Einbindung von „Google Fonts“ zu kontaktieren.
• Bundesarbeitsgericht, Urteil vom 24.08.2022, Az. 2 AZR 225/20 (Volltext): Der in § 38 Abs. 2 i.V.m. § 6 Abs. 4 Satz 2 BDSG enthaltene Sonderkündigungsschutz des Datenschutzbeauftragten verstößt weder gegen die DSGVO noch gegen das Grundgesetz.
• Landgericht Arnsberg, Urteil vom 30.07.2021, Az. 1 O 539/20 (Volltext): Kein Anspruch auf Auskunft nach Art. 15 DSGVO über „sämtliche Unterlagen“ zu Beitragsanpassungen einer privaten Krankenversicherung.

Neuigkeiten aus den Aufsichtsbehörden

• Datenschutzaufsicht Thüringen: „Berichtsjahr 2021 - 4. Tätigkeitsbericht zur DSGVO“ – zugehörige Pressemitteilung vom 21.10.2022
• Datenschutzaufsicht Baden-Württemberg: „Icons: Hinweise zum Datenschutz übersichtlich gestalten“ – Pressemitteilung vom 21.10.2022
• Datenschutzaufsicht Bayern (BayLfD): „Privacy in Bavaria“ – Ausgabe 5 des Newsletters mit Stand vom 20.10.2022
• Datenschutzaufsicht Hessen: „Datenschutzkonforme Digitalisierung: Einführung eines neuen Videokonferenzsystems in der hessischen Landesverwaltung“ – Pressemitteilung vom 24.10.2022
• Datenschutzaufsicht Bremen: „Verwaltungsgericht bestätigt Verbot der Veröffentlichung von Sitzungsmitschnitten“ – Pressemitteilung vom 24.10.2022, Hintergrund: Urteil des VG Bremen vom 10.10.2022, Az. 4 K 1338/21 (BeckRS 2022, 27433).