Datenschutz­woche

#72

EuGH: Auskunft muss konkrete Empfänger nennen

Mit Urteil vom 12. Januar 2023 (Rs. C-154/21) hat der EuGH im Rahmen eines Vorabscheidungsverfahren entschieden, dass das Recht auf Auskunft nach Art. 15 Abs. 1 DSGVO auf eine Auskunft über die konkrete Identität von Empfänger personenbezogener Daten umfasst. Eine konkrete Angabe der Empfänger ist nach Auffassung des EuGH nur dann nicht erforderlich, wenn der Verantwortliche die Empfänger nicht identifizieren kann oder der Antrag auf Auskunft offenkundig unbegründet oder exzessiv ist.

Der Entscheidung des EuGH lagen mehrere Vorlagefragen des OGH Österreich vor. Dieser hatte letztinstanzlich über die Klage eines Betroffenen gegen die Österreichische Post zu entscheiden. Diese hatte sich bei der Beantwortung eines Auskunftsersuchens des Betroffenen darauf beschränkt, lediglich die Kategorien von Empfängern anzugeben. Der EuGH erteilte dieser Praxis nun eine Absage. Eine umfassende Auskunft über die Empfänger ist aus Sicht des EuGH demnach der Regelfall.

Schmerzensgeldansprüche bei Scraping: Gerichte entscheiden unterschiedlich

Im Datenschutzrecht gibt es immer wieder gerichtliche Entscheidungen, deren Ergebnisse unterschiedlicher nicht sein könnten. Neben dem anhaltenden Streit um die Speicherdauer der Restschuldbefreiung durch Wirtschaftsauskunfteien (siehe unten), scheinen neuerdings auch Schmerzensgeldansprüche in diese Kategorie zu fallen.

Zunächst hatte das LG Essen mit Urteil vom 10.11.2022 (Az. 6 O 111/22) entschieden, dass der Betreiber eines sozialen Netzwerks nicht dazu verpflichtet ist, Nutzerdaten vor Scraping zu schützen, soweit die Daten für jedermann ohne Zugangskontrolle abrufbar sind und dies dem Nutzer auch bekannt ist. Das Risiko, dass über technische Programme öffentlich im Internet abrufbare personenbezogene Daten gesammelt und missbraucht werden, hat nach Auffassung des LG Essen der Nutzer zu tragen. Einen Schadensersatzanspruch lehnt das Gericht daher ab.

Gänzlich anders bewertet das LG Paderborn die Rechtslage in seinem Urteil vom 19.12.2022 (Az. 3 O 99/22). Danach stellt Scraping eine Datenschutzverletzung dar, die einen Schmerzensgeldanspruch in Höhe von 500 Euro rechtfertigt. Neben einer Reihe weiterer Verstöße gegen die DSGVO nimmt das Gericht auch einen Verstoß gegen Art. 32 DSGVO. Der Betreiber des sozialen Netzwerks hätte, so das LG Paderborn, Maßnahmen treffen müssen, die verhindern, dass personenbezogene Daten „[…] entgegen den Nutzungsbedingungen der Beklagten zu Missbrauchszwecken genutzt werden […]“.

Die irische Datenschutzaufsichtsbehörde war bei Scraping zuletzt ebenfalls von einem Verstoß gegen DSGVO ausgegangen.

Internationale Nachrichten

  • Irland/Europa: Im Bußgeldverfahren der irischen Datenschutzaufsichtsbehörden gegen den Konzern Meta wegen Datenschutzverstößen bei Facebook und Instagram hat das EDPB seine Streitbeilegungsentscheidungen veröffentlicht. Die Beschlüsse der irischen Datenschutzaufsichtsbehörden zu Facebook und Instagram wurden durch die Organisation nyob veröffentlicht.
  • Frankreich: Wegen Verstößen bei der Einbindung von Cookies hat die französische Datenschutzaufsicht CNIL gegen das soziale Netzwerk TikTok ein Bußgeld in Höhe von fünf Millionen Euro verhängt.

Aktuelle Gerichtsentscheidungen

  • LG Köln, EuGH-Vorlage vom 04.05.2022, Az. 84 O 223/20 (juris): Das Gericht möchte vom EuGH unter anderem wissen: „Stellt Art. 61 Abs. 1 der Verordnung (EU) 2018/858 für Fahrzeughersteller eine rechtliche Verpflichtung [...] dar, die die Herausgabe von FIN [...] an unabhängige Wirtschaftsakteure [...] rechtfertigt?“
  • OLG München, Urteil vom 24.10.2022, Az. 3 U 2040/22 (juris): Die Speicherung einer Restschuldbefreiung ist nach Ablauf der Sechs-Monats-Frist (§ 3 InsBekV) nicht mehr zulässig. Der Betroffene hat daher einen Anspruch auf Löschung und Neuberechnung des Score-Werts aus Art. 17 I d) DSGVO.
  • VG Stuttgart, Urteil vom 29.09.2022, Az. 14 K 5332/20 (Volltext): Es besteht kein Recht auf Zugang zu einem DSGVO-Bußgeldbescheid nach dem IFG-BaWü. Ein Anspruch nach § 475 Abs. 1 und 4 StPO setzt ein eng auszulegendes berechtigtes Interesse an der Auskunft voraus.
  • LG München, Urteil vom 28.11.2022, Az. 33 O 14776/19 (Volltext): Unzulässigkeit der Speicherung von Informationen im Endgerät des Nutzers zum Zwecke der domainübergreifenden Aufzeichnung und Auswertung des Nutzerverhaltens.
  • LG Paderborn, Urteil vom 19.12.2022, Az. 3 O 99/22 (Volltext): Wegen mehrerer Verstöße gegen die DSGVO im Zusammenhang mit Scraping bei Facebook hat der Kläger einen Anspruch auf ein Schmerzensgeld in Höhe von 500 Euro.
  • EuGH, Urteil vom 12.01.2023, Rs. C‑154/21 (Volltext): Die Auskunft nach Art. 15 DSGVO umfasst die konkrete Angabe von Empfängern, es sei denn, das ist nicht möglich.
  • EuGH, Urteil vom 12.01.2023, Rs. C-132/21 (Volltext): Betroffene können ihre verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfe nach Art. 77 ff. DSGVO gleichzeitig und unabhängig einlegen. Es ist Aufgabe der Mitgliedsstaaten, die Konsistenz des Datenschutzrechts sicherzustellen und Widersprüche zu vermeiden.
  • BGH, Beschlüsse vom 12. Januar 2023 - I ZR 222/19 und I ZR 223/19 (Volltexte): Vorlage an den EuGH zur Frage, ob ein Apotheker, der auf einer Internet-Verkaufsplattform Arzneimittel vertreibt, gegen die für Gesundheitsdaten geltenden datenschutzrechtlichen Bestimmungen verstößt, und ob ein solcher Verstoß von einem anderen Apotheker mit einer wettbewerbsrechtlichen Klage vor den Zivilgerichten verfolgt werden kann.

Neuigkeiten aus den Aufsichtsbehörden