DatenschutzWoche vom 13.02.2023

Datenschutzkonferenz: Beschluss zu extraterritorialen Datenzugriffen

In einem Beschluss vom 31.Januar 2023 setzt sich die Datenschutzkonferenz (DSK) mit der Bewertung von Zugriffsmöglichkeiten öffentlicher Stellen von Drittländern auf personenbezogene Daten, die durch Auftragsverarbeiter im Europäischen Wirtschaftsraum (EWR) verarbeitet werden, auseinander. Der Beschluss hat hohe praktische Relevanz für Vereinbarungen zu Datenverarbeitungen im EWR (sog. Data Residency) und betrifft auch den US CLOUD Act. Fälle, in denen eine Drittlandsübermittlung bereits Gegenstand der Auftragsverarbeitung ist, bleiben unberührt.

Die DSK kommt zu dem Ergebnis, dass die Gefahr, dass eine Muttergesellschaft in einem Drittstaat ein Unternehmen im EWR anweisen könnte, personenbezogene Daten in ein Drittland zu übermitteln, noch keine Drittlandsübermittlung im Sinne der DSGVO darstellt. Allerdings kann eine solche Gefahr nach Ansicht der Behörden dazu führen, dass dem Auftragsverarbeiter die erforderliche Zuverlässigkeit nach Art. 28 Abs. 1 DSGVO fehlt.

Abhängig von der Rechtslage und der Praxis im Drittland ist es nach Ansicht der DSK nicht ausreichend, lediglich das Risiko einer rechtswidrigen Drittlandsübermittlung durch eine vertragliche Vereinbarung zur Datenverarbeitung im EWR auszuschließen. Der Verantwortliche soll nach Ansicht der Behörden vielmehr verpflichtet sein, eine Einzelfallprüfung durchführen und sich zu vergewissern, dass eine entsprechende vertragliche Vereinbarung auch tatsächlich eingehalten werden kann. Da Verantwortliche nach Art. 28 Abs. 1 DSGVO nicht nur zu einer initialen Überprüfung des Auftragsverarbeiters, sondern auch zu einer regelmäßigen Kontrolle verpflichtet sind, ist davon auszugehen, dass die Datenschutzaufsichtsbehörden auch in diesem Fall eine fortlaufende Überwachung voraussetzen.

Die DSK geht in ihren Beschluss nicht darauf ein, dass Auftragsverarbeiter, die sich über Weisungen des Verantwortlichen hinwegsetzen, nach Art. 28 Abs. 10 DSGVO selbst datenschutzrechtlich verantwortlich werden.

OLG Hamm: 100 Euro Schmerzensgeld für den Fehlversand von Gesundheitsdaten

Mit Urteil vom 20.01.2023 (Az. 11 U 88/22) hat das OLG Hamm entschieden, dass ein Kläger wegen des Fehlversands einer Excel-Tabelle mit Gesundheitsdaten einen Anspruch auf ein Schmerzensgeld in Höhe von 100 Euro aus Art. 82 DSGVO hat. Dem Rechtsstreit zugrunde lag ein Vorfall in einem Impfzentrum. Dieses hatte versehentlich eine Excel-Tabelle mit den personenbezogenen Daten von rund 13.000 Personen an 1200 Empfänger verschickt. Das Gericht kommt in seinem Urteil zum Ergebnis, dass der Fehlversand einen Verstoß gegen den Datenschutz darstellt und neben einem Verstoß gegen die Grundsätze der Datenverarbeitung auch ein Verstoß gegen den Schutz von besonderen Kategorien personenbezogener Daten nach Art. 9 DSGVO vorliegt.

Ob auch ein Verstoß gegen die Verpflichtung zu technischen und organisatorischen Maßnahmen zur Datensicherheit vorliegt, lässt das OLG Hamm hingegen offen. Die Vorinstanz hatte dies bejaht. Eine Bagatellgrenze beim Schadensersatz lehnt das OLG Hamm ab und führt insbesondere die Genugtuungsfunktion des Schmerzensgeldanspruchs sowie seine generalpräventive Wirkung zur Begründung der Höhe des Schadensersatzes an. Das rein spekulative Vorbringen des Klägers, wonach seine Daten in die Hände militanter Impfgegner hätten gelangen könnten, berücksichtigt das Gericht hingegen nicht.

Besonders spannend ist, dass das OLG Hamm annimmt, dass der unbeabsichtigt bewirkte Datenschutzverstoß, der bereits den Grundsatz der Integrität und Vertraulichkeit aus Art. 5 DSGVO verletzt, sodass es nach Auffassung des OLG offenbleiben kann, ob eine Anweisung der Beklagten zur grundsätzlichen Verschlüsselung von (Excel-)Dateien erforderlich war. Es reicht vielmehr aus, dass die „[…] konkrete Datenverarbeitung nicht ausreichend abgesichert […]“ war.

Internationale Nachrichten

  • Europa: Der Europäische Datenschutzbeauftragte hat eine Stellungnahme zu zwei Legislativvorschlägen zur Erhebung und Übermittlung von Vorabinformationen über Fluggäste (advance passenger information, kurz: API) abgegeben.
  • Österreich: Der „Kurier“ berichtet, dass die Österreichische Post nach einem Datenleck im Jahr 2019 mit 2.000 Geschädigten einen Vergleich geschlossen hat und bis zu 2,7 Millionen Euro an die Betroffenen auszahlen wird.

Aktuelle Gerichtsentscheidungen

  • OLG Hamm, Urteil vom 20.01.2023, Az. 11 U 88/22 (Volltext): Ein Fehlversand von Gesundheitsdaten durch ein Impfzentrum per E-Mail rechtfertigt ein Schmerzensgeld i.H.v. 100 Euro nach Art. 82 DSGVO.
  • LG Stuttgart, Urteil vom 26.01.2023, Az. 53 O 95/22 (juris): 300 Euro Schmerzengeld wegen einem Scraping von Daten bei Facebook. Gegen welche Vorschrift der DSGVO konkret verstoßen wurde, ist nach Auffassung des Gerichts nicht relevant.
  • OVG Nordrhein-Westfalen, Beschluss vom 08.02.2023, Az. 6 A 70/22 (Volltext): Erfolgloser Antrag auf Zulassung der Berufung eines Lehrers, der sich gegen die Rücknahme seiner Bestellung zum Datenschutzbeauftragten wendet.
  • LG Heilbronn, Urteil vom 13.01.2023, Az. Bu 8 O 131/22 (juris): Kein Schmerzensgeld nach Art. 82 DSGVO wegen Scraping bei Facebook. Es fehlt an Pflichtverstößen der Beklagten gegen Normen der DSGVO.
  • LG Kiel, Urteil vom 12.01.2023, Az. 6 O 154/22 (juris): Kein Schmerzensgeld nach Art. 82 DSGVO wegen Scraping bei Facebook, da kein Verstoß gegen die Bestimmungen der DSGVO vorliegt.
  • LG Hamburg, Urteil vom 03.01.2023, Az. 322 O 112/22 (juris): Kein Schmerzensgeld nach Art. 82 DSGVO wegen Scraping bei Facebook, da der Kläger keinen Beweis dafür angetreten hat, dass er zur fraglichen Zeit einen Account bei der Beklagten hatte.
  • FG Düsseldorf, Urteil vom 18.08.2022, Az. 11 K 1730/20 AO (juris): Unzulässigkeit einer Klage auf Auskunft und Kopie nach Art. 15 DSGVO wegen fehlendem Rechtsschutzbedürfnis.
  • BVerwG, Urteil vom 30.11.2023, Az. 6 C 10.21 (Volltext): Der Prüfling kann von der Prüfungsbehörde nach Art. 15 Abs. 1 und Abs. 3 Satz 1 i. V. m. Art. 12 Abs. 5 Satz 1 DSGVO die Überlassung einer unentgeltlichen Kopie dieser Unterlagen verlangen.
  • EuGH, Urteil vom 09.02.2023, Rs. C‑560/21 (Volltext): Art. 38 Abs. 3 Satz 2 DSGVO ist dahin auszulegen, dass er einer nationalen Regelung nicht entgegensteht, nach der ein bei einem Verantwortlichen oder einem Auftragsverarbeiter beschäftigter Datenschutzbeauftragter nur aus wichtigem Grund abberufen werden kann, auch wenn die Abberufung nicht mit der Erfüllung seiner Aufgaben zusammenhängt, sofern diese Regelung die Verwirklichung der Ziele dieser Verordnung nicht beeinträchtigt.
  • EuGH, Urteil vom 09.02.2023, Rs. C‑453/21 (Volltext): Art. 38 Abs. 6 DSGVO ist dahin auszulegen, dass ein „Interessenkonflikt“ im Sinne dieser Bestimmung bestehen kann, wenn einem Datenschutzbeauftragten andere Aufgaben oder Pflichten übertragen werden, die ihn dazu veranlassen würden, die Zwecke und Mittel der Verarbeitung personenbezogener Daten bei dem Verantwortlichen oder seinem Auftragsverarbeiter festzulegen.

Neuigkeiten aus den Aufsichtsbehörden