DatenschutzWoche vom 07.03.2022

Bremen: Millionenbußgeld gegen Wohnungsbaugesellschaft

Die Datenschutzaufsichtsbehörde Bremen hat wegen Verstößen gegen die DSGVO ein Bußgeld in Höhe von rund 1,9 Millionen Euro gegen die Bremer Wohnungsbaugesellschaft Brebau verhängt. Die Behörde wirft dem Unternehmen vor, in großem Stil und ohne Rechtsgrundlage Daten von Mieterinnen und Mietern gesammelt zu haben. Dabei soll es sich um Informationen über Frisuren und ähnliche Merkmale des äußeren Erscheinungsbilds handeln, die für den Abschluss von Mietverträgen nicht erforderlich sind. Darüber hinaus waren in mehr als der Hälfte der Fälle auch besondere Kategorien von personenbezogenen Daten, wie z.B. ethnische Herkunft, die Religionszugehörigkeit, die sexuelle Orientierung und der Gesundheitszustand, betroffen.

Bei der Bußgeldbemessung hat die Behörde zu Gunsten der Brebau berücksichtigt, dass die diese umfassend kooperierte und sich um Schadensminderung, die Aufklärung des Sachverhalts und zukünftige Verbesserung bemühte. So konnte das Unternehmen das Bußgeld spürbar reduzieren, obwohl eigentlich „[…] eine deutlich höhere Geldbuße angemessen gewesen“ wäre. Weitere Hintergründe zum Fall hat die Redaktion „buten un binnen“ veröffentlicht.

Immobilien- und Hausverwaltungen, die das aktuelle Bußgeld zum Anlass nehmen wollen, ihre DSGVO-Compliance bei der Mieterauswahl zu überprüfen, können hierfür auf die Unterlagen zur Prüfung „Selbstauskünfte Mietinteressent/innen“ des Bayerischen Landesamt für Datenschutzaufsicht (BayLDA) zurückgreifen.

Datenschutzaufsicht Baden-Württemberg veröffentlicht FAQ zu Cookies und Tracking

In der vergangenen Woche hat die Datenschutzaufsichtsbehörde Baden-Württemberg umfangreiche FAQ zu „Cookies und Tracking durch Betreiber von Webseiten und Hersteller von Smartphone-Apps“ veröffentlicht. Die FAQ beziehen sich im Wesentlichen auf Webseiten, gelten sinngemäß aber auch für sonstige Telemedien wie Smartphone- und Tablet-Apps, PC-Software oder IoT-Geräte.

Neben zahlreichen Fragen und Antworten zum Einsatz von Cookies, zur Einbindung von externen Inhalten, zur Reichweitenanalyse sowie zu Anforderungen an Einwilligungsbanner enthält das Dokument zwei Abschnitte mit Negativbeispielen und „Standardfehlern“. Damit wird inhaltlich an die „Orientierungshilfe der Aufsichtsbehörden für die Anbieter:innen von Telemedien ab dem 1. Dezember 2021 (OH Telemedien 2021)“ der Datenschutzkonferenz angeknüpft, die um Praxisbeispiele und Hilfestellungen ergänzt werden. Im Vergleich zur ursprüngliche Version der FAQ zu Cookies und Tracking, die noch bei archive.org abrufbar sind, zeigt sich deutlich die steigende Komplexität der Thematik. So umfasst die neue FAQ insgesamt 39 Seiten, während die Version aus dem Jahr 2019 noch mit vier Seiten ausgekommen war.

Internationale Nachrichten

• Liechtenstein: In ihren Informationen zum Datenschutz bei Google Analytics macht die Datenschutzstelle darauf aufmerksam, dass andere europäische Datenschutzaufsichtsbehörden in Zukunft rasch Geldbußen für den datenschutzwidrigen Einsatz von Google Analytics verhängen könnten, und weist auf die europaweite Abstimmung zwischen den Datenschutzaufsichtsbehörden hin.
• Schweiz: Das neue Datenschutzrecht der Schweiz soll nach einer Totalrevision am 01. September 2023 in Kraft treten und insbesondere die DSGVO berücksichtigen.

Aktuelle Gerichtsentscheidungen

• OLG Schleswig-Holstein, Urteil vom 31.05.2021, Az. 16 U 62/20 (Volltext): Dem Versicherungsnehmer kann ein Anspruch auf Herausgabe von Vertragsunterlagen aus § 242 BGB zustehen.
• KG Berlin, Urteil vom 15.09.2021, Az. 5 U 35/20 (Volltext): Der Verantwortliche kann sich seiner Pflicht zur Auskunft nach Art. 15 DSGVO nicht durch den Hinweis auf eine umfangreiche Datenschutzerklärung entziehen.
• Sozialgericht Stuttgart, Urteil vom 27.01.2022, Az. S 24 KA 166/20 (Volltext): Die Anschlusspflicht an die Telematik-Infrastruktur verstößt weder gegen die DSGVO noch gegen die Berufsausübungsfreiheit.

Neuigkeiten aus den Aufsichtsbehörden

• Datenschutzaufsicht Sachsen: „Datenschutz-FAQ zur einrichtungsbezogenen Impfpflicht im Gesundheitsbereich“ – Handreichung vom 03.03.2022
• Datenschutzkonferenz: „Orientierungshilfe der Aufsichtsbehörden zur Verarbeitung von personenbezogenen Daten für Zwecke der Direktwerbung unter Geltung der Datenschutz-Grundverordnung (DS-GVO)“ – Stand: Februar 2022
• Datenschutzaufsicht Bremen: „LfDI verhängt gegen die BREBAU GmbH Geldbuße nach DSGVO“ – Pressemitteilung vom 03.03.2022
• Datenschutzaufsicht Baden-Württemberg: „FAQ zu Cookies und Tracking“ – Stand: März 2022 (zugehörige Pressemitteilung vom 04.03.2022)