Datenschutz­woche

#14

Die wichtigsten Nachrichten der Woche

Facebook down – Meldepflicht nach der DSGVO?

Der Ausfall von Facebook, Instagram und WhatsApp in der vergangenen Woche hat nicht nur für viel Spott in den anderen sozialen Netzwerken gesorgt, sondern lädt auch zu einer datenschutzrechtlichen Diskussion um das Erfordernis einer Meldung nach Art. 33 Abs. 1 DSGVO ein. Das European Data Protection Board (EDPB) hält in seinen aktuellen Leitlinien zur Data Breach Notification nämlich daran fest, dass eine vorübergehende Einschränkung der Verfügbarkeit („availability breach“) eine meldepflichtige Datenschutzverletzung sein kann. Das EDPB begründet diese Einschätzung mit dem englischen Wortlaut von Art. 4 Nr. 12 DSGVO, der auch einen „[…] accidental or unauthorised loss of access to […] personal data […]“ umfassen soll. Da sich der unbeabsichtigte oder unrechtmäßige Verlust nicht auf den Zugang zu personenbezogenen Daten, sondern lediglich auf die personenbezogenen Daten selbst bezieht, erscheint dieser Schluss jedoch fraglich. Auch ein Vergleich mit der französischen Sprachfassung von Art. 4 Nr. 12 DSGVO, die vom „[…] l'accès non autorisé à de telles données […]“ spricht, verdeutlicht, dass der unbeabsichtigte oder unrechtmäßige Verlust von personenbezogenen Daten und nicht der Zugang selbst gemeint ist. Die deutsche Sprachfassung von Art. 4 Nr. 12 DSGVO, wonach eine Datenschutzverletzung eine Verletzung der Sicherheit ist, „[…] die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt […]“ spricht ebenso gegen die weite Auslegung des EDPB. Daher dürfte der Ausfall von Facebook nicht meldepflichtig nach Art. 33 Abs. 1 DSGVO sein, auch wenn das EDPB wohl eine andere Auffassung hat.

Landesarbeitsgericht Sachsen zur Ablehnung von Auskunftsersuchen

Nachdem zuletzt der Bundesgerichtshof (BGH) in seinem Urteil vom 15.06.2021 (Az. VI ZR 576/19) eine weite Auslegung des Anspruchs auf Auskunft nach Art. 15 DSGVO vorgenommen hat, nennt das Landesarbeitsgericht (LAG) Sachsen in einem aktuellen Urteil vom 17.02.2021 (Az. 2 Sa 63/20) gleich die vier Gründe, mit denen Auskunftsersuchen nach Ansicht des Gerichts abgelehnt werden können:

  1. Im gerichtlichen Verfahren muss der Antrag auf Auskunft den Anforderungen von § 253 Abs. 2 Nr. 2 ZPO genügen. Die klageweise Geltendmachung des Auskunftsanspruchs erfordert demnach die bestimmte Angabe des Gegenstands und des Grundes des erhobenen Anspruchs. Die bloße Wiedergabe des Wortlauts von Art. 15 DSGVO genügt dem nicht.
  2. Der Zweck des Auskunftsrechts aus Art. 15 Abs. 1 DSGVO ist nach Auffassung des LAG nicht, den Kläger über seine Arbeitszeiten zu beauskunften. Die Auskunft zu Daten, die der Betroffene zur Vorbereitung eines Anspruchsbegehrens unverändert und vollständig benötigt, ist nach Ansicht des Gerichts vielmehr "funktionswidrig".
  3. Der Betroffene muss präzisieren, auf welche Informationen oder welche Verarbeitungsvorgänge sich sein Auskunftsersuchen bezieht (Erwägungsgrund 63 Satz 7 DSGVO).
  4. Das Begehren des Klägers erscheint dem LAG exzessiv, was die Beklagte zur Weigerung berechtigt, aufgrund des Antrags tätig zu werden (Art. 12 Abs. 5 Satz 2 lit. b DSGVO).

Die Entscheidung des LAG Sachsen dürfte weit über den Einzelfall hinaus Wirkung entfalten und ist daher für alle Verantwortlichen, die sich mit (unberechtigten) Auskunftsersuchen beschäftigten, von Interesse. Ob die vom LAG Sachsen angeführten Abwehrmöglichkeiten in der vom Gericht angenommenen Reichweite die umfang- und facettenreiche Rechtsprechung zu Art. 15 DSGVO nachhaltig beeinflussen, bleibt abzuwarten.

Internationale Nachrichten

  • Finnland: Die finnische Datenschutzaufsicht ist gegen die dortige Polizei wegen des Einsatzes der automatisierten Gesichtserkennungssoft Clearview AI vorgegangen.
  • Frankreich: Die französische Datenschutzaufsicht CNIL hat ein Whitepaper über Datenschutz und Zahlungsmittel veröffentlicht.

Aktuelle Entscheidungen

  • OLG Dresden, Urteil vom 31.08.2021, Az. 4 U 324/21 (Volltext nach Eingabe des Aktenzeichens): Die Zerstörung einer Festplatte im Rahmen der vertraglichen Gewährleistung stellt eine Datenverarbeitung dar. In diese hat der Betroffene jedoch konkludent eingewilligt, weshalb ein Schadensersatzanspruch nicht in Betracht kommt.
  • LG Wiesbaden, Urteil vom 30.09.2021, Az. 3 S 50/21  (BeckRS 2021, 29228): Bestätigung der Entscheidung des AG Wiesbaden, Teilurteil vom 26.04.2021, Az. 93 C 2338/20 (Volltext) zur Anwendbarkeit der DSGVO auf Mietverträge eines privaten Vermieters.
  • LAG Sachsen, Urteil vom 17.02.2021, Az. 2 Sa 63/20 (Volltext): Vier rechtlich selbständig tragende Gründe zur Ablehnung eines Anspruchs auf Auskunft nach Art. 15 DSGVO.

Aus den Aufsichtsbehörden