DatenschutzWoche vom 08. April 2024

Bundesrat fordert Herstellerpflicht zum Datenschutz

Anlässlich der zweiten Evaluierung der DSGVO hat der Bundesrat bereits am 2. Februar 2024 in einer Entschließung die Position der Länder dargelegt. Darin findet sich unter anderem eine Forderung, die auch von den Datenschutzaufsichtsbehörden immer wieder erhoben wird: Eine verpflichtende Zertifizierung von Produkten und IT-Dienstleistungen auf ihre DSGVO-Konformität.

Die DSGVO regelt nur die Verarbeitung personenbezogener Daten. Wer Produkte herstellt, selbst aber keine personenbezogenen Daten verarbeitet, ist daher nicht unmittelbar verpflichtet. Es kann allerdings ein Sachmangel vorliegen, der entsprechende Rechte des Käufers auslöst, wenn ein Produkt nicht rechtskonform eingesetzt werden kann.

Die DSGVO regelt bekanntlich nur die datenschutzrechtliche Zulässigkeit von Verarbeitungsvorgängen für konkrete Zwecke. Ein Produkt kann also nicht generell auf DSGVO-Konformität geprüft werden, sondern allenfalls darauf, ob es für eine bestimmte Verarbeitung datenschutzkonform eingesetzt werden kann. Auf die Frage, welche Kriterien Hersteller genau einhalten sollen, und wie ein Konformitätsbewertungsverfahren ausgestaltet sein könnte, geht der Vorschlag nicht näher ein.

LG Hamburg: Gastzugang im Online-Shop nicht erforderlich

Auch wenn Kundenkonten das Einkaufen komfortabler machen: Manche Kunden würde lieber darauf verzichten, werden aber vom Händler gezwungen, sich ein Kundenkonto einzurichten. Diese Pflicht steht seit geraumer Zeit in der Kritik der Datenschutzaufsichtsbehörden. Dabei ist die Registrierungspflicht längst nicht in jedem Fall problematisch, wie ein Urteil des LG Hamburg vom 22. Februar 2024 zeigt (Az. 327 O 250/22, juris).

Ein Versandhandelsunternehmen für Bekleidung und Lifestyle-Produkte bietet auf seiner Internetseite Waren an, die nur nach Einrichtung eines Kundenkontos bestellt werden konnten. Ein Verbraucherverband wollte den Händler veranlassen, auch Bestellungen über einen Gastzugang anzunehmen. Entscheidend war, dass die Internetseite gleichzeitig eine Plattform für tausende Dritthändler darstellt, deren Kommunikation mit dem Kunden über das Kundenkonto abgewickelt wird.

Nach Auffassung des LG ist der Betreiber der Internetseite jedoch nicht verpflichtet, einen Gastzugang zur Verfügung zu stellen. Die Möglichkeit, über einen Gastzugang auf dem Marktplatz zu bestellen, stelle kein gleichwertiges Mittel dar, da die Kommunikation zwischen allen Marktplatzteilnehmern durch ein Kundenkonto erleichtert werde. Zudem könnten auf diese Weise Gewährleistungs-, Garantie- und Rückgaberechte zentral geltend gemacht werden.

Leider ist das Urteil wenig strukturiert. Es bleibt oft unklar, ob das LG den Grundsatz der Datenminimierung, das Gebot der datenschutzfreundlichen Voreinstellungen oder eine Rechtsgrundlage für die Verarbeitung prüft. Im Ergebnis kann jedoch die Verpflichtung zur Einrichtung eines Kundenkontos gerechtfertig sein, um eine effektiven Kundenkommunikation sicherzustellen und die Durchsetzung von Käuferrechten zu erleichtern.

Internationale Nachrichten

• Europa: Unter dem Motto „Rethinking Data in a Democratic Society“ findet am 20. Juni 2024 der Data Protection Summit des Europäischen Datenschutzbeauftragten statt. Eine Anmeldung ist ab sofort möglich.

Aktuelle Gerichtsentscheidungen

• OLG Hamm, Urteil vom 05.03.2020, Az. 4 U 113/19 (GRUR-RS 2020, 63920): Die Teilsperre eines Nutzerkontos in einem sozialen Netzwerk stellt keine Verarbeitung von personenbezogenen Daten i.S.v. Art. 4 Nr. 2 DSGVO dar.
• LG Hamburg, Urteil vom 19.04.2023, Az. 318 O 56/22 (juris): Dem Kläger ist durch die Negativmeldung bei der SCHUFA ein immaterieller Schaden in Höhe von 2.000 Euro entstanden.
• VG Bremen, Urteil vom 21.08.2023, Az. 4 K 551/22 (juris): Rechtswidrige Verfügung der Datenschutzaufsichtsbehörde gegen die Polizei Bremen. Ein Verstoß der Polizei Bremen gegen datenschutzrechtliche Vorschriften des Bremischen Polizeigesetzes nicht feststellbar.
• BGH, Beschluss vom 23.01.2024, Az. II ZB 8/23 (Volltext): Ein Kommanditist hat keinen Anspruch aus Art. 17 Abs. 1 DSGVO auf Löschung seines Geburtsdatums und seines Wohnorts im Handelsregister. Es besteht auch kein Anspruch auf Einschränkung der Verarbeitung
• VGH Baden-Württemberg, Urteil vom 06.02.2024, Az. VI ZR 61/23 (juris): Teile der Versicherungsscheine und Nachträge hierzu enthalten zwar einzelne personenbezogene Daten des Klägers, es handelt sich aber nicht in ihrer Gesamtheit um personenbezogene Daten des Klägers.
• LAG Rheinland-Pfalz, Urteil vom 08.02.2024, Az. 5 Sa 154/23 (BeckRS 2024, 4219): Die verspätete Auskunftserteilung auf ein Verlangen nach Art. 15 Abs. 1 DSGVO stellt als solche keinen immateriellen Schaden dar.
• LG Hamburg, Urteil vom 22.02.2024, Az. 327 O 250/22 (juris): Die Beklagte hat hinreichende Gründe dargelegt, für eine Bestellung auf ihrem Online-Handelsmarktplatz die Anlage eines fortlaufenden Kundenkontos zu verlangen und daneben keinen Gastzugang anzubieten.
• LG München I, Urteil vom 14.03.2024, Az. 44 O 3464/23 (Volltext): Realisiert sich das generelle Risiko einer unbefugten Offenlegung, kommt es zwangsläufig zum Kontrollverlust. Daraus allein resultiert aber noch kein Schaden im konkreten Einzelfall.
• OVG Schleswig-Holstein, Beschluss vom 14.03.2024, Az. 6 LA 35/24 (juris): Ein Insolvenzverwalter hat keinen Anspruch auf Zugang zu den Akten abgeschlossener Steuerverfahren des Insolvenzschuldners.
• LG Düsseldorf, Urteil vom 15.03.2024, Az. 34 O 41/23 (GRUR-RS 2024, 6112): Bei Art. 12, Art. 15 DSGVO handelt es sich um Marktverhaltensregelungen. Die Auskunftspflicht und die diesbezügliche Frist dienen dem Verbraucherschutz.
• LG Mannheim, Urteil vom 15.03.2024, Az. 1 O 93/23 (juris): Die Personen, die Schadensersatz nach Art. 82 Abs. 1 DSGVO begehren, müssen den Nachweis erbringen, dass sie tatsächlich einen Schaden – so geringfügig er auch sein mag – erlitten haben.
• LG Mannheim, Urteil vom 15.03.2024, Az. 1 O 99/23 (juris): Angesichts des geringen Umfanges, in dem der Kläger durch seine Sorge in der Lebensführung beeinträchtigt wird, erscheint ein Betrag von 50 Euro zum Ausgleich für den Scraping-Vorfall als angemessen.

Neuigkeiten aus den Aufsichtsbehörden

• Datenschutzaufsicht Rheinland-Pfalz: „Bürgerfreundlich und modern: Online-Auftritt in neuem Design“ – Pressemitteilung vom 27.03.2024
• Datenschutzaufsicht NRW: „Kita-App "Stay Informed"" – Hinweis vom 27.03.2024
• Datenschutzaufsicht Hessen: „Gesundheitsdatennutzungsgesetz tritt in Kraft“ – Pressemitteilung vom 28.03.2024
• Datenschutzaufsicht Baden-Württemberg: „Kommunalwahlen in Baden-Württemberg“ – Pressemitteilung vom 03.04.2024