DatenschutzWoche vom 17.10.2022

Angaben zur zuständigen Aufsichtsbehörde in Datenschutzinformationen

Die Datenschutzaufsichtsbehörde Berlin (BlnBDI) ist umgezogen und bittet Verantwortliche in einer Pressemitteilung vom 10. Oktober darum „[…] die neue Hausadresse in ihren Datenschutzerklärungen anzugeben, falls dort die BlnBDI als Kontakt genannt wird […]“. Dies wirft die spannende Frage auf, ob die Angabe der für den Verantwortlichen zuständigen Datenschutzaufsichtsbehörde mitsamt Adresse und Kontaktmöglichkeit datenschutzrechtlich verpflichtend ist.

Nach Art. 13 Abs. 2 lit. d DSGVO hat der Verantwortliche die Betroffenen über „das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde“ zu informieren. Anders als beim Verantwortlichen, der nach Art. 13 Abs. 1 lit. a DSGVO Namen und Kontaktdaten angeben muss, ist nach dem Wortlaut der DSGVO die Angabe der zuständigen Datenschutzaufsichtsbehörde also nicht erforderlich. Auch  Sinn und Zweck der Information über das Beschwerderecht sprechen dagegen. Offenkundig soll die Information den Zugang zu aufsichtsbehördlicher Unterstützung für die Betroffenen möglichst einfach gestalten.

Für Betroffene aus anderen Bundesländern oder gar anderen EU-Staaten kann die Beschwerde bei der eigenen „Wohnortbehörde“ deutlich einfacher sein als eine Beschwerde bei der Behörde, die für den Verantwortlichen zuständig ist. Da die Behörden nach den Art. 60 ff. DSGVO zur Zusammenarbeit verpflichtet sind, entsteht daher für die Betroffenen auch kein Nachteil.

Anders sieht es aus, wenn den Betroffenen durch die Datenschutzinformation suggeriert wird, dass sie sich an eine weit entfernte Behörde wenden müssen. Da Art. 56 DSGVO auch Fälle vorsieht, in denen die federführende Aufsichtsbehörde für den Verantwortlichen nicht zuständig ist, kann die Angabe einer „zuständigen“ Datenschutzaufsichtsbehörde sogar rechtlich falsch sein. Verantwortliche, die auf die Angabe einer zuständigen Aufsichtsbehörde in ihren Datenschutzinformationen nicht verzichten möchten, sollten daher entsprechend zurückhaltend formulieren. In jedem Fall muss die Adresse angepasst werden, wenn die Behörde umzieht.

Insbesondere bei gedruckten Informationen erscheint es – auch aus ökologischen Gründen – sinnvoll, auf die Angabe einer zuständigen Behörde zu verzichten. Änderungen der Behördenanschrift verursachen dann keinen unnötigen Papiermüll. Gleiches gilt auch für die Angaben zum Datenschutzbeauftragten. Hier verlangt Art. 13 Abs. 1 lit. b DSGVO lediglich eine Angabe der Kontaktdaten, nicht jedoch des Namens. Wer clever ist und nicht mit personalisierten Kontaktdaten arbeitet, kann also auch bei einem Wechsel des Datenschutzbeauftragten Anpassungsbedarf vermeiden.

Abmahnungen wegen vermeintlichen Datenschutzverstößen bei Google Fonts

Schon länger beschäftigten Abmahnungen wegen vermeintlichen Datenschutzverstößen bei der Einbindung von Schriftenarten, die von Google bereitgestellt werden (Google Fonts), die Datenschutzwelt (wir berichteten am 22.08.2022). In den letzten Wochen scheint deren Zahl erneut gestiegen zu sein; darauf deutet zumindest die mediale Berichterstattung hin. In manchen Abmahnschreiben wird neben dem Schadensersatzanspruch auch der Anspruch auf Auskunft nach Art. 15 DSGVO geltend gemacht.

Primärer Bezugspunkt der Abmahnungen ist weiterhin das Urteil des LG München vom 20.01.2022 (Az. 3 O 17493/20). In diesem hatte das LG München einem Betroffenen wegen des Einsatzes von Google Fonts ein Schmerzensgeld in Höhe von 100 Euro zugesprochen. In seiner Begründung war das Gericht davon ausgegangen, dass der Webseitenbetreiber sich bei der dynamischen Einbindung von Google Fonts nicht auf ein berechtigtes Interesse berufen könne, da es mit der lokalen Einbindung auf dem Webserver eine einfache und datensparsame Alternative gebe. Aus Sicht des Gerichts fehlte es also bereits an einer Rechtsgrundlage für die Übermittlung. Die Datenübermittlung in die USA spielte lediglich bei der Höhe des Schmerzensgelds eine Rolle.

Auch wenn die Abmahnungen möglicherweise rechtsmissbräuchlich sind: Webseitenbetreiber dürfen sie zum Anlass nehmen, den Einsatz von Google Fonts und anderen Drittanbieterdienste überprüfen. Ob die Entscheidung des LG München auf andere Drittanbieterdienste übertragbar ist, hängt maßgeblich davon ab, ob der Dienst auch ohne eine Verbindung zum Server des Drittanbieters genutzt werden kann. Wenn dies aus technischen oder rechtlichen Gründen nicht möglich ist, könnte die Frage nach dem berechtigten Interesse zu bejahen sein.

Internationale Nachrichten

• Österreich: Die Datenschutzbehörde hat ihren Newsletter 4/2022 veröffentlicht. Inhaltlich geht es unter anderem um Abmahnungen wegen Datenschutzverstößen beim Einsatz von Google Fonts.
• Italien: Die italienische Datenschutzaufsicht hat gegen den Anbieter einer Gesundheitsapp ein Bußgeld in Höhe von 45.000 Euro verhängt. Anlass des Prüfverfahren war die E-Mail eines Mitarbeiters an ca. 2.000 Kunden, die dieser mit offenem Verteilerkreis (CC statt BCC) versendet hatte.

Aktuelle Gerichtsentscheidungen

• LAG Niedersachsen, Urteil vom 06.07.2022, Az. 8 Sa 1148/20 (Volltext): Aus einer datenschutzrechtlich unzulässigen Videoüberwachung von Beschäftigten kann ein Beweisverwertungsverbot folgen.
• VG Schleswig, Urteil vom 11.04.2022, Az. 10 A 19/22 (BeckRS 2022, 26677): Die DSGVO enthält keinen Hinweis darauf, dass über Auskunftsanträge, die vor ihrem Inkrafttreten gestellt worden sind, nach altem Recht zu entscheiden wäre.
• LG Karlsruhe, Urteil vom 02.02.2022, Az. 3 O 116/21 (GRUR-RS 2022, 26758): Speichert eine Auskunftei die Information über die Restschuldbefreiung drei Jahre lang, ist dies nicht unverhältnismäßig und verstößt nicht gegen die DSGVO.
• OLG München, Verfügung vom 28.09.2022, Az. 18 U 1032/22 (Volltext): Die Abwägung der berechtigten Interessen nach Art. 6 Abs. 1 lit. f DSGVO ergibt nicht, dass sechs Monate nach Rechtskraft der Entscheidung über die Restschuldbefreiung eine Löschung erfolgen muss.
• OLG Frankfurt a. M., Urteil vom 27.09.2022, Az. 7 U 16/22 (BeckRS 2022, 26759): „Die Beklagte ist nicht [...] zur Löschung der Information über die [...] Restschuldbefreiung verpflichtet. Die Datenverarbeitung war rechtmäßig [...].“
• OLG Hamburg, Urteil vom 06.10.2022, Az. 6 U 6/22 (BeckRS 2022, 26760): „Die Verarbeitung durch die Beklagte ist [...] zulässig, weil (jedenfalls) berechtigte Interessen der Vertragspartner der Beklagten bestehen [...]“
• OLG Hamm, Urteil vom 02.09.2022, Az. 11 U 126/21 (Volltext): Der Austausch von Informationen über „Abbruchjäger“ bei eBay kann auf ein berechtigtes Interesse gestützt werden.
• VG Bremen, Urteil vom 10.10.2022, Az. 4 K 1338/21 (BeckRS 2022, 27433): Zu den Voraussetzungen für die (hier rechtmäßige) Anordnung der Löschung von Aufzeichnungen einer Videokonferenz durch die Datenschutzaufsichtsbehörde Bremen.

Neuigkeiten aus den Aufsichtsbehörden

• Datenschutzaufsicht Berlin: „Berliner Beauftragte für Datenschutz und Informationsfreiheit bezieht neue Räumlichkeiten“ – Pressemitteilung vom 10.10.2022
• Datenschutzaufsicht Baden-Württemberg: „LfDI Statement zum EU Entwurf der Chatkontrolle Verordnung“ – Pressemitteilung vom 10.10.2022
• Datenschutzaufsicht Sachsen-Anhalt: „Wahl des Landesdatenschützers erneut gescheitert“ – Bericht des MDR vom 13.10.2022
• Datenschutzaufsicht Bayern (BayLDA): „11. Tätigkeitsbericht 2021“ – Tätigkeitsbericht und Pressemitteilung vom 14.10.2022
• Datenschutzaufsicht Bayern (BayLfD): „Wie bekomme ich die Cookies auf meiner Homepage unter Kontrolle?“ - Tutorial für bayerische öffentliche Stellen und alle anderen Interessierten mit Stand vom 01.10.2022