DatenschutzWoche vom 27.09.2021

Der neue Bundestag ist gewählt. Doch ob es eine „Ampel“, „Jamaika“ oder doch eine weitere „GroKo“ gibt und welche Vereinbarungen zum Datenschutz in etwaigen Koalitionsverträgen stehen, wird sich erst in den kommenden Wochen zeigen. Wir sind gespannt und werden berichten.

Die wichtigsten Nachrichten der Woche

  • Datenschutzaufsicht Hamburg: Bußgeld gegen Vattenfall
  • Datenschutz bei der elektronischen Patientenakte

Datenschutzaufsicht Hamburg: Bußgeld gegen Vattenfall

Sie Datenschutzaufsicht Hamburg hat wegen unzureichender Datenschutzinformationen ein Bußgeld in Höhe von 900.000 Euro gegen den Energiekonzern Vattenfall verhängt. Ursächlich für das Bußgeld war ausschließlich ein Verstoß gegen die Transparenzpflichten der Art. 12, 13 DSGVO. Vattenfall hatte es nach Ansicht der Datenschutzaufsichtsbehörde versäumt rund 500.000 Kundinnen und Kunden in einer Datenschutzerklärung ausreichend über einen internen Datenabgleich im Zusammenhang mit Vertragsanfragen für Sonderverträge zu informieren. Der Datenabgleich selbst war hingegen nicht Gegenstand des Bußgeldverfahrens und findet – zumindest nunmehr – im Einklang mit der DSGVO statt. Vattenfall hat angekündigt das Bußgeld zu akzeptieren. Das Bußgeld verdeutlicht, dass Verstöße gegen die DSGVO und damit einhergehende Maßnahmen der Aufsichtsbehörden nicht auf das Fehlen einer Rechtsgrundlage oder unzureichende IT-Sicherheitsmaßnahmen beschränkt sind. Insbesondere eine Verletzung von Betroffenenrechten kann, wie im vorliegenden Fall deutlich wird, ein enormes Bußgeld verursachen. Die Datenschutzaufsicht Hamburg betont in einer bisher nicht öffentlich abrufbaren Pressemitteilung, dass bei der großen Zahl Betroffenen „hohe Bußgelder klar angezeigt“ sind. Dies sollte insbesondere im Zusammenhang mit Datenschutzerklärungen für Webseiten und Apps, aber auch bei anderen Datenverarbeitungen mit einer großen Zahl von Betroffenen, beachtet werden.

Datenschutz bei der elektronischen Patientenakte

Im Dauerstreit um den Datenschutz bei der elektronischen Patientenakte (ePA) gibt es neue Entwicklungen. Das RedaktionsNetzwerk Deutschland (RND) berichtet, dass das Bundesamt für soziale Sicherung die gesetzlichen Krankenkassen dazu aufgefordert Klage gegen eine Anweisung des Bundesdatenschutzbeauftragten (BfDI) zu erheben. Das Bundesamt für soziale Sicherung ist eine nachgeordnete Behörde des Bundesgesundheitsministeriums. Dieses hatte unter Leitung von Jens Spahn zuletzt versucht die Digitalisierung im Gesundheitswesen massiv voranzutreiben und hierzu unter anderem das Patientendaten-Schutz-Gesetz (PDSG) auf den Weg gebracht. Der BfDI hält jedoch insbesondere die konkreten Ausgestaltungen zum Zugriffsmanagement im PDSG wegen Verstößen gegen die DSGVO für europarechtswidrig. Aus diesem Grund hat er bereits im vergangenen Jahr eine Warnung nach Artikel 58 Abs. 2 Buchst. a) DSGVO gegenüber den Krankenkassen ausgesprochen.

Internationale Nachrichten

  • Norwegen: Die Datenschutzaufsicht Norwegen hat mitgeteilt, dass sie eine Risikoanalyse und eine Datenschutzfolgenabschätzung für den Einsatz von Facebook durchgeführt und in der Folge entschieden hat das soziale Netzwerk nicht zu nutzen. Zugleich hat die Behörde einen ausführlicheren Bericht veröffentlicht.
  • Europa: In seinem 55. Meeting hat das European Data Protection Board (EDBP), wie sich der Agenda entnehmen lässt, über eine Stellungnahme zum Angemessenheitsbeschluss für Südkorea und die Einsetzung einer Taskforce für die Beschwerden der NGO „NYOB“ im Zusammenhang mit Cookies und Dark Patterns beraten.
  • Österreich: Das österreichische Bundesverwaltungsgericht hat mit Spruch vom 24.06.2021, Gz. W274 2240807-1 (Volltext) entschieden, dass bei einer bereits erteilten Negativauskunft bei einer wiederholten Anfrage keine weitere Negativauskunft erforderlich ist.
  • Liechtenstein: Die Datenschutzstelle Liechtenstein hat auf ihrer Webseite kompakte und übersichtliche Informationen zu technischen und organisatorischen Maßnahmen veröffentlicht.

Aktuelle Entscheidungen

  • AG Pfaffenhofen, Urteil vom 09.09.2021, Az. 2 C 133/21 (Volltext): Der datenschutzwidrige Versand von Werbe-E-Mails rechtfertigt einen immateriellen Schadensersatzanspruch nach Art. 82 DSGVO in Höhe von 300 €.
  • FG Baden-Württemberg, Urteil vom 26.07.2021, Az. 10 K 3159/20 (Volltext): Der Anspruch auf Auskunft nach Art. 15 DSGVO und das Recht auf Akteneinsicht sind nicht identisch.
  • VG München, Urteil vom 17.08.2021, Az. M 13 K 19.4717 (Volltext): Es besteht kein Anspruch auf eine Berichtigung des Melderegisters nach § 12 S. 1 BMG i.V.m. Art. 16 S. 1 DSGVO, wenn keine Unrichtigkeit der personenbezogenen Daten vorliegt.
  • OLG Stuttgart, Urteil vom 18.05.21, Az. 12 U 296/20 (Volltext): Die Videoüberwachung kann im vorliegenden Fall nicht auf ein berechtigtes Interesse nach Art. 6 Abs. 1 lit. f) DSGVO gestützt werden, da keine ausreichende Dokumentation von Zweck und Erforderlichkeit erfolgt ist.
  • OLG Dresden, Beschluss vom 27.05.2021, Az. 4 U 270/21 (BeckRS 2021, 27460): Ein immaterieller Schadensersatz nach Art. 82 DSGVO oder § 83 Abs. 2 BDSG für Verarbeitungen vor dem 25.05.2018 kommt nicht in Betracht.

Aus den Aufsichtsbehörden