DatenschutzWoche vom 11. September 2023

Erste Klage gegen EU-US Data Privacy Framework vor dem EuGH eingereicht

Nur zwei Monate nach Erlass des Angemessenheitsbeschlusses der EU-Kommission auf Grundlage des EU-US Data Privacy Framework hat der französische Parlamentarier Philippe Latombe (Mitglied der Partei Mouvement Démocrate) eine Klage vor dem Europäischen Gerichtshof (EuGH) angekündigt.

Mit dem EU-US Data Privacy Framework soll ein „im Wesentlichen gleichartiges“ Datenschutzniveau zur DSGVO hergestellt und damit eine neue Grundlage für den Datentransfer in die USA geschaffen werden. Latombe sieht sich allerdings in seinen Rechten verletzt, da das Framework seiner Auffassung nach weder mit der DSGVO noch mit der EU-Grundrechtecharta vereinbar sei. Latombe, der ausdrücklich als Privatperson klagt, will eine vorübergehende Aussetzung sowie eine inhaltliche Überprüfung des Abkommens erreichen.

Auch der vom Datenschutzaktivisten Max Schrems mitgegründete Datenschutzverein NOYB hatte bereits am Tag des Erlasses des Angemessenheitsbeschlusses angekündigt, dagegen gerichtlich vorzugehen. Gegen die beiden Vorgängerregelungen für die Datenübermittlung in die USA – Safe Harbour und Privacy Shield – hatte Schrems schon erfolgreich geklagt.

Stellungnahmen zur BDSG-Novelle: „Ein erster, aber zu zaghafter Schritt“

Nach der Veröffentlichung des Referentenentwurfs der BDSG-Novelle hatten Interessensvertreter und Verbände bis zum 6. September Zeit, ihre Stellungnahmen einzureichen und den Entwurf zu kommentieren. Im Zuge der BDSG-Novelle soll insbesondere die Datenschutzkonferenz (DSK), das Gremium der unabhängigen deutschen Datenschutzaufsichtsbehörden des Bundes und der Länder, gesetzlich geregelt werden. Außerdem soll die Position des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) im Europäischen Datenschutzausschuss (EDSA) gestärkt werden.

Die DSK selbst begrüßte in ihrer Stellungnahme die Institutionalisierung der Datenschutzkonferenz als gemeinsames Format der deutschen Landesdatenschutzaufsichtsbehörden. In einer zweiten Stellungnahme forderten die Datenschutzaufsichtsbehörden, den Entwurf bezüglich der Verteilung der Zuständigkeiten und der Abstimmung zwischen den Ländern nachzuschärfen.

Der Entwurf wird von den Interessensverbänden weitgehend als positiv bewertet. Ihrer Ansicht nach gehe der Entwurf jedoch noch nicht weit genug und die notwendige Harmonisierung des Datenschutzrechts werde noch nicht erreicht. Der Bundesverband Digitale Wirtschaft urteilt: „Ein erster, aber zu zaghafter Schritt“  (siehe auch Stellungnahme der Stiftung Datenschutz, Positionspapier des Berufsverbands der Datenschutzbeauftragten, Stellungnahme von Bitkom).

Internationale Nachrichten

• Schweden: Wegen Verstößen gegen Art. 32 DSGVO hat die schwedische Datenschutzaufsichtsbehörde ein Bußgeld in Höhe von 35 Millionen Schwedischen Kronen gegen eine Versicherung verhängt, weil ein auf einer Website anklickbarer Link zu Dokumenten anderer Versicherungsnehmer führte.
• Frankreich: Die französische Datenschutzaufsichtsbehörde CNIL hat Empfehlungen zur Fernüberwachung von Online-Prüfungen veröffentlicht.
• Norwegen: Das Bezirksgericht Oslo hat das Verbot der verhaltensorientierten Werbung der norwegischen Datenschutzaufsichtsbehörde gegen Meta bestätigt. Meta muss nun für jeden Tag der Nichtbefolgung des Verbots eine Strafe in Höhe von einer Million Norwegischen Kronen zahlen.
• Europa: Das Unternehmen Tiktok eröffnet ein neues europäisches Rechenzentrum in Irland.

Aktuelle Gerichtsentscheidungen:

• OLG Hamm, Urteil vom 15.08.2023, Az. 7 U 19/23: Der Verantwortliche für die Datenverarbeitung muss generell – und damit auch im Zivilprozess – nachweisen können, dass er die in Art. 5 Abs. 1 DSGVO festgelegten Grundsätze eingehalten hat.
• LG Kleve, Urteil vom 10.08.2023, Az. 6 O 143/22 (juris): Eine Kopplung eines Antrags auf Auskunft nach Art. 15 DSGVO mit Klageanträgen auf Feststellung und Zahlung lässt den Rückschluss zu, dass der Kläger datenschutzfremde Zwecke verfolgt.
• LAG München, Beschluss vom 02.08.2023, Az. 3 Ta 142/23 (https://gesetze-bayern.de/Content/Document/Y-300-Z-BECKRS-B-2023-N-23227): Unter Berücksichtigung des § 48 Abs. 2 GKG ist im vorliegenden Fall für den Auskunftsanspruch nach Art. 15 Abs. 1 DSGVO ein Wert in Höhe von 500,00 € festzusetzen.
• OLG Köln, Beschluss vom 01.08.2023, Az. 15 U 42/22 (juris): Vergleich nach dem „sämtliche datenschutzrechtliche Ansprüche“ als ausgeglichen gelten.
• OLG Düsseldorf, Urteil vom 27.07.2023, Az. 12 U 59/22 (BeckRS 2023, 23213): Kein Zurückbehaltungsrecht gem. § 273 Abs. 1 BGB wegen etwaiger Auskunftsansprüche aus Art. 15 Abs. 1 DSGVO, da kein rechtlich enges Verhältnis zum Ersatzanspruch des Klägers besteht.
• VG Frankfurt (Oder), Urteil vom 26.07.2023, Az. 2 K 1199/18 (juris): Denkmalrechtliche Akten sind in der Regel in vollem Umfang personenbezogene Daten.  Die Informationen lassen sich ohne Weiteres mit dem Grundstückseigentümer verknüpfen.
• OLG Koblenz, Urteil vom 20.07.2023, Az. 10 U 1633/22 (BeckRS 2023, 22778): Ein Versicherungsnehmer kann von dem privaten Krankenversicherer gemäß Art. 15 DSGVO Auskunft über frühere Beitragsanpassungen sowie die Übersendung von Versicherungsscheinen verlangen.
• LAG Düsseldorf, Urteil vom 26.04.2023, Az. 12 Sa 18/23: Wegen einer unrechtmäßigen Überwachung durch eine Detektei hat der Kläger nach Art. 82 DSGVO einen Anspruch auf eine Entschädigung i.H.v. 1.500 Euro.
• LAG Sachsen, Urteil vom 17.03.2023, Az. 4 Sa 133/22 (juris): § 6 Abs. 4 BDSG schützt auch den stellvertretenden Datenschutzbeauftragten vor dem Ausspruch einer ordentlichen Kündigung.

Neuigkeiten aus den Aufsichtsbehörden:

• Datenschutzkonferenz (DSK): Anwendungshinweise zum Angemessenheitsbeschluss der EU-Kommission zum EU-US Data Privacy Framework
• Datenschutzaufsicht Thüringen (TLfDI): TLfDI weicht vom Votum der DSK bezüglich der Anwendungshinweise zum Angemessenheitsbeschluss für die USA ab – Pressemitteilung vom 05.09.2023
• Datenschutzaufsicht Nordrhein-Westfalen (LDI NRW): „Hilfe, ein Cyberangriff!“ – Leitfaden zum Umgang mit Cyberangriffen vom 05.09.2023
• Datenschutzaufsicht Hessen (HBDI): „Gesundheitsdatennutzungsgesetz: Neuer Gesetzesentwurf berücksichtigt Forderungen des HBDI.“ – Pressemitteilung vom 04.09.2023
• Datenschutzaufsicht Rheinland-Pfalz (LfDI RLP): Stellungnahme zum neuen BDSG – Kugelmann: Fortschritt, aber Länderrolle widerspiegeln! – Pressemitteilug vom 07.09.2023