DatenschutzWoche vom 17. 04. 2023

EDPB veröffentlicht Leitlinien zum Umgang mit Datenschutzverletzungen

Das European Data Protection Board (EDPB) hat am 4. April 2023 die endgültige Fassung seiner Leitlinien zum Umgang mit Datenschutzverletzungen mit den Anforderungen der Art. 33, 34 DSGVO an die Meldung, Benachrichtigung und Dokumentation von Datenschutzverletzungen veröffentlicht. Hinweise zur Umsetzung für Verantwortliche und Auftragsverarbeiter und Beispiele für verschiedene Arten von Datenschutzverletzungen bieten hilfreiche Orientierung.

Das EDPB stellt nun klar, dass nur Verantwortliche mit einer Niederlassung im Europäischen Wirtschaftsraum (EWR) von der zentralen Anlaufstelle für Meldungen profitieren. Unternehmen ohne Niederlassung im EWR müssen nach Auffassung der Behörden alle für sie zuständigen Aufsichtsbehörden informieren. Dies ist eine wesentliche Änderung gegenüber der Vorgängerversion.

Italienische Aufsichtsbehörde prüft weiterhin ChatGPT

Nach der Untersagung des Betriebs von ChatGPT in Italien (wir berichteten am 04. April 2023) dauert die Prüfung des KI-Chatbots durch die italienische Datenschutzaufsicht an. Nach ersten Gesprächen mit dem Betreiberunternehmen OpenAI hat die Behörde angekündigt, die Untersagungsverfügung aufzuheben, wenn OpenAI bis zum 30. April eine Reihe von Abhilfemaßnahmen umsetzt.

Mit Hessen und Nordrhein-Westfalen haben mindestens zwei deutsche Behörden eine Prüfung angekündigt, die von der Datenschutzkonferenz koordiniert werden soll. Die Prüfung dürfte in enger Abstimmung mit einer neu ins Leben gerufenen Taskforce des EDPB erfolgen.

Internationale Nachrichten

• Europa: Das EDPB hat seinen Tätigkeitsbericht für das Jahr 2022 veröffentlicht sowie Leitlinien zum Recht auf Auskunft und zur Bestimmung der federführenden Aufsichtsbehörde angenommen.
• Europa: Dem Sekretariat des EDPB liegt noch keine vollständige Liste der Aufsichtsbehörden vor, die sich an der zweiten koordinierten Durchsetzungsmaßnahme zur Rolle von Datenschutzbeauftragten beteiligen werden. 
• Großbritannien: Wegen Verstößen gegen den Schutz der Daten von Minderjährigen hat die britische ICO gegen das soziale Netzwerk TikTok ein Bußgeld in Höhe von 12,7 Millionen Pfund verhängt.

Aktuelle Gerichtsentscheidungen

• FG Berlin-Brandenburg, Gerichtsbescheid vom 04.08.2022, Az. 16 K 5109/20 (BeckRS 2022, 43920): Art. 15 Abs. 3 DSGVO ist restriktiv auszulegen. Er verleiht weder einen Anspruch auf Kopien von ganzen Akten (Aktendoppel) noch auf Akteneinsicht.
• KG Berlin, Beschluss vom 28.10.2021, Az. 20 U 88/21 (GRUR-RS 2021, 61339): Die DSGVO gibt einem Patienten nicht das Recht, die Löschung von Patientenunterlagen nach einem als peinlich empfundenen eigenen Patientenverhalten zu verlangen.
• LG Bochum, Urteil vom 03.03.2023, Az. 1-4 O 190/22 (juris): Die Überprüfung von Prämienanpassungen einer privaten Krankenversicherung auf mögliche Mängel ist kein Zweck der Auskunft nach Art. 15 DSGVO. Es besteht ein Weigerungsrecht nach Art. 12 Abs. 5 DSGVO.
• OLG Dresden, Urteil vom 14.03.2023, Az. 4 U 1377/22 (GRUR-RS 2023, 6302): Wegen der Verwendung von Daten aus Personalakten ihrer Mitarbeiter stehen einem Unternehmen keine datenschutzrechtlichen Ansprüche zu.
• LG Hagen, Beschluss vom 31.08.2023, Az. 3 T 97/22 (Volltext): Einer Auskunft nach Art. 15 DSGVO zur Behandlungsdokumentation steht die ärztliche Berufsordnung entgegen (Einsicht nach Praxisaufgabe oder -übernahme nur nach Einwilligung).
• LG Heidelberg, Urteil vom 31. 03.2023, Az. 6 S 1/22 (juris): Kein Anspruch auf Löschung nach Art. 17 Abs. 1 DSGVO bzw. Auslistung gegenüber Google, da der Kläger keine Nachweise für die offensichtliche Unrichtigkeit der beanstandeten Inhalte vorgelegt hat.
• OLG Hamm, Beschluss vom 07.12.2022, Az. I-20 U 69/22 (juris): Kein Anspruch auf Auskunft nach Art. 15 DSGVO über die auslösenden Faktoren der Beitragserhöhung einer privaten Krankenkasse, da mathematische Rechnungsgrößen kein personenbezogenes Datum sind.
• OLG Celle, Beschluss vom 24.02.2023, Az. 9 W 16/23 (juris): Aus den Art. 17, 18 und 21 DSGVO ergibt sich für den Geschäftsführer einer GmbH kein Anspruch auf Löschung persönlicher Daten aus Handelsregister.
• OLG Düsseldorf, Urteil vom 09.03.2023, Az. I-16 U 154/21 (juris): Ein Schadensersatzanspruch nach Art. 82 Abs. 1 DSGVO setzt die Darlegung und den Nachweis eines konkreten Schadens voraus.

Neuigkeiten aus den Aufsichtsbehörden

• Datenschutzaufsicht Hamburg: „Nach EuGH-Entscheidung: Deutsche Regelungen im Beschäftigtenkontext unvereinbar mit der DSGVO“ – Pressemitteilung vom 03.04.2023
• Datenschutzkonferenz: „Nutzung von Gesundheitsdaten braucht Vertrauen“ – Pressemitteilung vom 05.04.2023
• Datenschutzaufsicht Sachsen-Anhalt: „Angst vor Transparenz?! Landesbeauftragter fordert Stopp der Novelle zur Änderung des Datenschutzgesetzes!“ – Pressemitteilung vom 11.04.2023
• Datenschutzaufsicht Baden-Württemberg: „FAQ für Schwerbehindertenvertretungen“ – Pressemitteilung vom 11.04.2023
• Datenschutzaufsicht Hessen: „HBDI prüft Datenverarbeitung der Anwendung ChatGPT“ – Pressemitteilung vom 13.04.2023
• Datenschutzaufsicht Brandenburg: „Tätigkeitsbericht Datenschutz 2022“ – zugehörige Pressemitteilung vom 17.04.2023
• Datenschutzaufsicht Bayern (BayLfD): „Aktuelle Kurz-Information 47: Frühjahrsputz im Verarbeitungsverzeichnis“ – Veröffentlicht am 17.04.2023 (Stand: 01.04.2023)