DatenschutzWoche vom 06. 03. 2023

EDPB: Stellungnahme zum geplanten US-Angemessenheitsbeschluss

Am 28. Februar hat das European Data Protection Board (EDPB) seine überraschend positive Stellungnahme zum Entwurf der Europäischen Kommission für einen Angemessenheitsbeschluss zum EU-U.S. Data Privacy Framework veröffentlicht. Das EDPB begrüßt darin wesentliche Verbesserungen: Die Einführung von Erforderlichkeits- und Verhältnismäßigkeitsanforderungen für die nachrichtendienstliche Datenerhebung in den USA, sowie den neuen Rechtsbehelfsmechanismus für Betroffene aus der EU.

Die Datenschutzaufsichtsbehörden in der EU haben dagegen eine ganze Reihe von Kritikpunkten: Die Weiterübermittlung personenbezogener Daten, die Ausnahmen vom EU-US Data Privacy Framework, die vorübergehende Massenerhebung von Daten sowie Unklarheiten zum praktischen Funktionieren des Rechtsbehelfsmechanismus. Die deutsche Datenschutzkonferenz hat dazu eine Pressemitteilung veröffentlicht.

Im nächsten Schritt wird nun das Europäische Parlament über den Entwurf beraten und seinerseits eine Stellungnahme abgeben. Wenn alles nach Plan geht, kann die EU-Kommission den Angemessenheitsbeschluss bereits Mitte des Jahres verabschieden.

Datenschutzaufsicht Sachsen-Anhalt: Infoschreiben zu Microsoft 365

Mit zwei Schreiben vom 16. Februar 2023 informiert der Landesbeauftragte für den Datenschutz Sachsen-Anhalt öffentliche und nicht-öffentliche Stellen über den Einsatz von Microsoft 365. Inhaltlich beziehen sich die beiden Schreiben und das dazu veröffentlichte Informationspaket maßgeblich auf die Festlegung der Datenschutzkonferenz (DSK) vom 24. November 2022. Interessant ist jedoch, dass die Behörde ausdrücklich betont, dass es sich bei der Festlegung der DSK nicht um eine Produktwarnung oder Produktempfehlung handelt.

Die Behörde weist außerdem darauf hin, dass zukünftige Anpassungen durch Microsoft einen datenschutzkonformen Einsatz ermöglichen können. Verantwortliche müssen die Erfüllung der Anforderungen jedoch im Einzelfall prüfen und nachweisen können.

Schließlich gibt die Behörde auch einen Ausblick auf das weitere Vorgehen: Sie will die Anforderungen der DSGVO an den Einsatz von Microsoft 365 unter Berücksichtigung der Interessen der Verantwortlichen und der Betroffenen sowie des Grundsatzes der Verhältnismäßigkeit umsetzen. Für Sachsen-Anhalt könnte möglicherweise eine Entscheidung zum Einsatz von Microsoft 365 anstehen.

Internationale Nachrichten

• Norwegen: Die norwegische Datenschutzaufsicht hat gegenüber einem Fitness-Unternehmen ein Bußgeld in Höhe von umgerechnet rund 1 Mio. € wegen mehrerer Mängel bei der Einhaltung der Betroffenenrechte verhängt.
• Ungarn: Wegen Verstößen gegen die DSGVO bei einem Consent-Management-System für Cookies hat die ungarische Datenschutzaufsichtsbehörde ein Bußgeld in Höhe von umgerechnet etwa 25.000 Euro gegen ein Medienunternehmen verhängt.
• Norwegen: Nach einer Beschwerde hat die norwegische Datenschutzaufsichtsbehörde den Datenschutz bei Google Analytics untersucht und ist zu dem Ergebnis gekommen, dass der Einsatz des Tools gegen die Übermittlungsvorschriften der DSGVO verstößt.

Aktuelle Gerichtsentscheidungen

• OLG Koblenz, Urteil vom 23.01.2023, Az. 12 U 2194/21 (GRUR-RS 2023, 2551): Für einen Schadensersatz wegen Verstößen gegen die DSGVO reicht die bloße Verletzung der Norm nicht aus, wenn mit ihr keine materiellen oder immateriellen Schäden einhergehen.
• LG Frankenthal, Beschluss vom 28.06.2022, Az. 8 O 163/22 (GRUR-RS 2022, 43576): Einstweilige Verfügung zum Widerruf einer Einmeldung an eine Wirtschaftsauskunftei. Berechtigtes Interesse nach Art. 6 Abs. 1 Buchst. f) DSGVO als Schutzgesetz.
• LG Heilbronn, Urteil vom 09.02.2023, Aß 2 O 125/22 (GRUR-RS 2023, 2538): Kein Anspruch auf Schadensersatz wegen Scraping bei Facebook. Gerügte Verstöße z.T. nicht von Art. 82 DSGVO gedeckt, i.Ü. kein Schaden dargelegt.
• LG Krefeld, Urteil vom 11.01.2023, Az. 7 O 113/22 (GRUR-RS 2023, 2539): Schadensersatz wegen Scraping: „Der Kläger hat schon nicht ausreichend dargelegt, dass er von dem streitgegenständlichen Scraping-Vorfall betroffen ist.“
• LG Bonn, Urteil vom 01.02.2023, Az. 7 O 101/22 (GRUR-RS 2023, 2534): Kein Schadensersatz wegen Scraping. Der Kläger hat in seinen Schriftsätzen nur allgemeine Ausführungen dazu gemacht, welche Folgen der behauptete Datenschutzverstoß für ihn hatte.
• LG Verden, Urteil vom 16.02.2023, Az. 2 O 51/22 (GRUR-RS 2023, 2532): Kein Schadensersatz wegen Scraping. Teilweise ist Art. 82 DSGVO nicht anwendbar, teilweise liegt kein Verstoß gegen das Datenschutzrecht vor.
• OLG Hamm, Beschluss vom 21.12.2022, Az. 11 W 62/22 (Volltext): Zuständigkeit der ordentlichen Gerichte für Schadensersatzansprüche aus Art. 82 DSGVO wegen verspäteter Auskunft durch eine öffentliche Stelle. Rechtsbeschwerde zugelassen.
• LG Offenburg, Urteil vom 28.02.2023, Az. 2 O 98/22 (Volltext): Kein Schadensersatz nach Art. 82 DSGVO wegen Scraping bei Facebook: „Unabhängig vom Vorliegen der Anspruchsvoraussetzungen im Übrigen fehlt es jedenfalls am Eintritt eines immateriellen Schadens.“
• LG Mannheim, Urteil vom 25.10.2022, Az. 11 O 197/19 (juris): Der Kläger hat einen Anspruch auf Löschung seines Versicherungsfalls aus dem Hinweis- und Informationssystem (HIS) der deutschen Versicherungswirtschaft.
• OLG Frankfurt, Urteil vom 18.01.2023, Az. 7 U 100/22 (Volltext): „Die Notwendigkeit einer Speicherung von Daten in einer Wirtschaftsauskunftei entfällt nicht allein deswegen, weil die Forderung zwischenzeitlich getilgt worden ist [...]“
• LG Bonn, Urteil vom 23.02.2023, Az. 10 O 142/22 (GRUR-RS 2023, 2619): Kein Anspruch auf Schadensersatz nach Art. 82 DSGVO wegen Scraping bei Facebook. Dem Kläger ist es nicht gelungen, den Eintritt eines (eigenen) kausal verursachten Schadens nachzuweisen.
• KG Berlin, Beschluss vom 17.02.2023, Az. 10 U 146/22 (BeckRS 2023, 2618): Soweit der Kläger unter Bezugnahme auf das Gutachten der Berliner Beauftragten für Datenschutz eine andere Auffassung vertritt, ist der Senat an deren rechtliche Beurteilung nicht gebunden.
• LG Aachen, Urteil vom 10.02.2023, Az. 8 O 177/22 (GRUR-RS 2023, 2621): Kein Schadensersatz nach Art. 82 DSGVO wegen Scraping bei Facebook. Unabhängig davon, ob ein Verstoß gegen die DSGVO vorliegt, scheitert ein Anspruch jedenfalls daran, dass kein Schaden vorliegt.

Neuigkeiten aus den Aufsichtsbehörden

• Bundesdatenschutzbeauftragter: „BfDI veröffentlicht FAQ zu TrustPID“ – Pressemitteilung vom 02.03.2023
• Datenschutzaufsicht Hessen: „HBDI begrüßt Eröffnung einer Mastodon-Instanz durch die Landesregierung“ – Pressemitteilung vom 01.03.2023
• Datenschutzkonferenz: „Europäischer Datenschutzausschuss nimmt Stellung zum Entwurf des Angemessenheitsbeschlusses zum EU‐U.S. Data Privacy Framework“ – Pressemitteilung vom 01.03.2023
• Datenschutzaufsicht Sachsen-Anhalt: „Infopaket Microsoft 365“ – Schreiben zum Einsatz von Microsoft 365 mit Stand vom 16.02.2023