Datenschutzwoche
Scraping: Bundesgerichtshof bestimmt Leitentscheidungsverfahren
Der Bundesgerichtshof (BGH) hat mit Beschluss vom 21. Oktober 2024 das Revisionsverfahren VI ZR 10/24 im sogenannten „Scraping-Komplex“ zum Leitentscheidungsverfahren bestimmt. Darin geht es um die datenschutzrechtlichen Aspeke eines Vorfalls beim sozialen Netzwerk Facebook. Dritte hatten mittels „Scraping“ Nutzerdaten abgegriffen.
Geklärt werden soll unter anderem, ob es gegen die DSGVO verstößt, dass beim Datenimport die Option „alle“ voreingestellt ist. Auch die Frage, ob der Kontrollverlust über die gescrapten Daten einen immateriellen Schaden gemäß Art. 82 DSGVO begründen kann, wird behandelt.
Das Verfahren wird weitreichende Auswirkungen auf ähnliche Fälle haben, die aktuell beim BGH und anderen Instanzen anhängig sind. Die mündliche Verhandlung ist für den 11. November 2024 angesetzt.
NRW: Landesdatenschutzbeauftragte kritisiert Sicherheitspaket
Die Landesdatenschutzbeauftragte von Nordrhein-Westfalen, Bettina Gayk, kritisiert in einer Pressemitteilung vom 28.10.2024 das geplante Sicherheitspaket der Landesregierung. Demnach können die geplanten Maßnahmen tiefe Eingriffe in die Freiheitsrechte der Bürger*innen darstellen.
Besonders beunruhigt ist Bettina Gayk über den möglichen Zugriff des Verfassungsschutzes auf private Videoüberwachungen und über den geplanten Einsatz Künstlicher Intelligenz für die Gesichtserkennung. Sie fordert eine gründliche Abwägung zwischen Sicherheitsbedürfnissen und Freiheitsrechten und warnt vor einer vorschnellen Erweiterung von Überwachungsbefugnissen ohne klare Notwendigkeit.
Internationale Nachrichten
- Europa: Der EDSA hat seinen Bericht zu Artikel-36-Ausschreibungen innerhalb des Schengener Informationssystems veröffentlicht.
- Frankreich: Die französische Datenschutzaufsichtsbehörde CNIL informiert Betroffene über notwendige Maßnahmen, nachdem es in den vergangenen Wochen zu mehreren schwerwiegenden Datenschutzverletzungen wie u.a. Identitätsdiebstahl und Diebstahl der IBAN gekommen war
Aktuelle Gerichtsentscheidungen
- BAG, Urteil vom 25.07-2024, Az. 8 AZR 225/23 (juris), Schadenersatz nach Art. 82 DSGVO: Der nach Art. 82 Abs. 1 DSGVO vorausgesetzte Verstoß gegen die Datenschutzgrundverordnung liegt vor. Die Beklagte hat als Verantwortliche im Rahmen der Observation ohne Einwilligung des Klägers dessen Gesundheitsdaten verarbeitet. Dies war nicht erforderlich iSv. Art. 9 Abs. 2 Buchst. b DSGVO iVm. § 26 Abs. 3 BDSG. Das Landesarbeitsgericht hat die Beklagte daher im Ergebnis zu Recht zur Zahlung von 1.500,00 Euro verurteilt, um den immateriellen Schaden zu ersetzen.
- OLG Dresden, Urteil vom 10.09.2024, Az. 4 U 602/24 (juris), Auftragsverarbeitung: Eine Haftung des datenschutzrechtlich Verantwortlichen besteht auch für den Schaden, der dadurch entsteht, dass ein Auftragsverarbeiter eine rechtmäßige Weisung nicht beachtet. Eine Haftungsbefreiung tritt lediglich dann ein, wenn der Auftragsverarbeiter Daten für eigene Zwecke verarbeitet, oder aus sonstigen Gründen vernünftigerweise nicht angenommen werden kann, dass der Verantwortliche dem Handeln des Verarbeiters zugestimmt hätte.
- OLG Dresden, Urteil vom 17.09.2024, Az. 4 U 506/24 (juris), Schadenersatz nach Art. 82 DSGVO: Ein datenschutzrechtlicher Schadenersatzanspruch kann nicht auf die Verletzung von Benachrichtigungs- oder Auskunftspflichten gestützt werden.
- OLG Dresden, Urteil vom 01.10.2024, Az. 4 U 425/24 (juris), Recht auf Kopie: Ein Anspruch auf unentgeltliche Überlassung einer ersten Kopie der Behandlungsunterlagen steht dem Patienten auch dann zu, wenn er auf Grundlage der Kopie eine Schadenersatzforderung geltend machen möchte.
- OLG Dresden, Urteil vom 15.10.2024, Az. 4 U 422/24 (juris), Auftragsverarbeitung: Der Verantwortliche ist verpflichtet, die Löschung der verarbeiteten personenbezogenen Daten bei Auftragsverarbeiter zu kontrollieren, wenn das Verarbeitungsvertragsverhältnis endet. Auf einen Exzess kann er sich nicht berufen, wenn er dieser Kontrollpflicht nicht genügt.
- BGH, Beschluss vom 31.10.2024, Az. VI ZR 10/24 (Pressemitteilung), Schadenersatz wegen Scraping: Der u.a. für Rechtsstreitigkeiten über Ansprüche aus der Datenschutzgrundverordnung zuständige VI. Zivilsenat hat in dem sog. Scraping-Komplex das Revisionsverfahren VI ZR 10/24 zum Leitentscheidungsverfahren bestimmt.
Neuigkeiten aus den Aufsichtsbehörden
- Datenschutzaufsicht Nordrhein-Westfalen: Datenschutzbeauftragte zum Sicherheitspaket: „Pläne der Landesregierung versetzen mich in Alarmbereitschaft” - Mitteilung vom 28.10.2024
- Bundesdatenschutzbeauftragte: “Global Privacy Assembly beschließt Resolution für vertrauenswürdigen internationalen Datenverkehr” - Pressemitteilung vom 01.11.2024
- Datenschutzaufsicht Nordrhein-Westfalen: “Darum sollten Versicherte sich jetzt mit der elektronischer Patientenakte beschäftigen” - Mitteilung vom 04.11.2024