Datenschutzwoche
BGH: Volltext der Leitsatzentscheidung zu Scraping
Der Bundesgerichtshof (BGH) hat in seinem Urteil (Az. VI ZR 10/24) erstmals zum sogenannten „Scraping-Komplex“ entschieden. Unbekannte hatten im April 2021 Daten von etwa 553 Millionen Nutzenden eines sozialen Netzwerks veröffentlicht. Diese waren dort überwiegend öffentlich zugänglich gewesen.
Der BGH urteilte, dass bereits der bloße und vorübergehende Verlust der Kontrolle über personenbezogene Daten ausreicht, um einen Anspruch auf den Ersatz eines immateriellen Schadens gemäß Art. 82 DSGVO zu begründen. Bislang hatte der BGH Schadensersatzforderungen regelmäßig zurückgewiesen, wenn bloße Befürchtungen oder Ärgernisse ohne nachweisbare konkrete negative Folgen dargelegt wurden. In diesem Urteil stellt das Gericht jedoch klar, dass keine besondere Beeinträchtigung durch die Betroffenen nachgewiesen werden muss. Allein der Kontrollverlust genüge, um einen immateriellen Schaden anzunehmen. Als angemessen erachtete der BGH in diesem Fall einen Betrag in der Größenordnung von 100 Euro.
Diese Entscheidung hat weitreichende Bedeutung und ist für Tausende anhängige Scraping-Fälle maßgeblich. Es dürfte damit künftig deutlich einfacher werden, Schadensersatzansprüche gemäß Art. 82 DSGVO vor Gericht durchzusetzen.
DSK: Orientierungshilfe für digitale Dienste
Die Datenschutzkonferenz (DSK) hat eine Orientierungshilfe zu den datenschutzrechtlichen Anforderungen für Anbieter digitaler Dienste veröffentlicht. Darin gibt sie zunächst einen Überblick über den Anwendungsbereich des Telekommunikation-Digitale-Dienste-Datenschutz-Gesetzes (TDDDG), das Regelungen zum Schutz der Privatsphäre bei der Nutzung von Endeinrichtungen sowie Vorgaben zu technischen und organisatorischen Maßnahmen enthält.
Ein Schwerpunkt der Orientierungshilfe liegt auf der zentralen Norm des § 25 TDDDG. Diese schreibt vor, dass die Speicherung von und der Zugriff auf Informationen in Endeinrichtungen in der Regel nur mit einer ausdrücklichen Einwilligung der Nutzenden zulässig sind. Die Anforderungen an eine solche Einwilligung werden detailliert erläutert und durch praxisnahe Beispiele ergänzt.
Besonderes Augenmerk legt die DSK auf die Gestaltung von Einwilligungsbannern. Dabei zeigt sie, wie Transparenz und Nutzungsfreundlichkeit sichergestellt werden können. Außerdem werden spezifische Herausforderungen zur Wahrnehmung von Betroffenenrechten im Kontext des TDDDG sowie passende Lösungsmöglichkeiten dargelegt.
Internationale Nachrichten
- Frankreich: Die französische Datenschutzaufsichtsbehörde CNIL hat Informationen zu KI-erweiterten Kameras in Güterkraftfahrzeugen veröffentlicht.
- Frankreich: Eine Karte der französischen Datenschutzaufsichtsbehörde CNIL soll die Lokalisierung von Datenspeichern von Gesundheitsdaten ermöglichen.
- Frankreich: Die französische Datenschutzaufsichtsbehörde CNIL hat ein Verfahren gegen die Gemeinde Kourou eingestellt. Die Gemeinde hatte es versäumt, einen Datenschutzbeauftragten einzustellen.
Aktuelle Gerichtsentscheidungen:
- Landesarbeitsgericht München, Beschluss vom 16.11.2023, Az. 3 Ta 177/23 (juris), Gegenstandswert für einen Vergleich: Der Antrag auf die Erteilung einer Kopie personenbezogener Daten wird neben dem Auskunftsanspruch über personenbezogene Daten nicht gesondert bewertet. Es handelt sich nicht um ein anderes Recht als der Auskunftsanspruch nach Art. 15 Abs. 1 DSGVO.
- Landesarbeitsgericht Rheinland-Pfalz, Urteil vom 24.05.2024, Az. 2 Sa 181/23 (juris), Schadenersatz wegen vermeintlicher Überwachung durch ein Fernwartungsprogramm: Allein die theoretische Möglichkeit, dass eine Software, die bestimmungsgemäß zur Fernwartung genutzt wird, auch zweckwidrig und missbräuchlich zur Überwachung eines Arbeitsnehmers hätte eingesetzt werden können, reicht zur Begründung des geltend gemachten Entschädigungsanspruchs nicht aus.
- AG Arnsberg, Beschluss vom 31.07.2024, Az. 42 C 434/23 (Volltext), Vorlage an den EuGH: Die Parteien streiten über datenschutzrechtliche Ansprüche und deren Rechtsmissbräuchlichkeit. Das Gericht hat Zweifel bezüglich der Auslegung des Unionsrechts. Für den nationalen Rechtstreit ist insbesondere die Auslegung von Art. 4 Nr. 2, 15 Abs. 1, 82 Abs. 2 DSGVO streitentscheidend.
- VG Düsseldorf, Urteil vom 11.11.2024, Az. 29 K 4853/22 (juris), Tätigwerden der Aufsichtsbehörde: Lässt sich ein Verantwortlicher für den Datenschutzverstoß nicht feststellen, ist die Ergreifung von Abhilfemaßnahmen nach Art. 58 Abs. 2 DSGVO durch die Aufsichtsbehörde ausgeschlossen.
- Bundesgerichtshof, Urteil vom 18.11.2024, Az. VI ZR 10/24 (Volltext), Scraping: Steht ein Kontrollverlust fest, stellt dieser selbst den immateriellen Schaden dar und es bedarf keiner sich daraus entwickelnden besonderen Befürchtungen oder Ängste der betroffenen Person. Diese wären lediglich geeignet, den eingetretenen immateriellen Schaden noch zu vertiefen oder zu vergrößern.
Neuigkeiten aus den Aufsichtsbehörden:
- Datenschutzkonferenz: „3. Zwischenkonferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder am 11. September 2024“ – Protokoll
- Datenschutzkonferenz: „Ausgewählte Fragestellungen des neuen Onlinezugangsgesetzes – Anwendungshilfe für Stellen, die (länderübergreifende) Onlinedienste nach OZG betreiben und nutzen“ – Orientierungshilfe Stand November 2024
- Datenschutzkonferenz: „108. Datenschutzkonferenz: Beschlüsse zu Künstlicher Intelligenz, BKA-Gesetz, Onlinezugangsgesetz und Digitalen Diensten“ – Pressemitteilung vom 15.11.2024
- Datenschutzaufsicht Baden-Württemberg: „LfDI übernimmt Co-Vorsitz vom DSK-Arbeitskreis KI“ – Pressemitteilung vom 15.11.2024
- Datenschutzaufsicht Rheinland-Pfalz: „Künstliche Intelligenz und Datenschutz gehören zusammen: Vorsitz im Arbeitskreis Künstliche Intelligenz der Datenschutzkonferenz“ – Pressemitteilung vom 18.11.2024
- Datenschutzaufsicht Berlin: „Datenschutz im Kita-Alltag – digitaler Wegweiser für Fachkräfte“ – Pressemitteilung vom 21.11.2024
- Datenschutzaufsicht Sachsen: „Tagesordnung der 47. Konferenz der Informationsfreiheitsbeauftragten am 27. November 2024 in Leipzig“ – Pressemitteilung vom 22.11.2024
- Datenschutzaufsicht Nordrhein-Westfalen: „Rauchmelder mit Klima-Monitoring müssen erst mal ausgeschaltet sein“ – 25.11.2024