Datenschutz­woche

EU-Kommission will Durchsetzung der DSGVO verbessern

Mit einer neuen Verordnung, die bereits im zweiten Quartal verabschiedet werden soll, will die EU-Kommission zur Harmoniserung des Datenschutzrechts in Europa beitragen und die Rechtssetzung vorantreiben. Nach einem Sondierungspapier der Kommission stehen diese Maßnahmen an:

• Festlegung von Verfahrensfristen für die Zusammenarbeit zwischen den Datenschutzaufsichtsbehörden in grenzüberschreitenden Fällen
• Bereitstellung von Instrumenten für die Datenschutzaufsichtsbehörden zur Förderung der Zusammenarbeit in einem frühen Stadium des Untersuchungsprozesses
• Stärkung der Position der Beschwerdeführer im Verfahren
• Optimierung der Anhörung von Betroffenen im Verfahren
• Festlegung der Art des Informationsaustauschs zwischen der untersuchenden Datenschutzaufsichtsbehörde und den betroffenen Aufsichtsbehörde

Alle Einrichtungen und Einzelpersonen, die an der konsequenten Anwendung der DSGVO interessiert sind, sind aufgerufen, bis zum 24 März 2023 ihre Einschätzung zu den Plänen abzugeben.

Facebook-Seite der Bundesregierung: Bundesdatenschutzbeauftragter verlangt Abschaltung

Mit einem Bescheid vom 17.02.2022 hat der Bundesdatenschutzbeauftragte (BfDI) dem Bundespresseamt (BPA) bis auf weiteres die Verarbeitung von personenbezogenen Daten über die Facebook-Fanpage der Bundesregierung untersagt. Der Betrieb einer Facebook-Fanpage sei nicht datenschutzkonform möglich.

Kernargument ist, dass zwischen dem Betreiber einer Fanpage und dem Facebook-Mutterkonzern Meta eine gemeinsame Verantwortlichkeit (Art. 26 DSGVO) besteht. In seiner Rolle als Verantwortlicher ist es dem BPA nach Auffassung des BfDI nicht gelungen, die Einhaltung des Datenschutzrechts nachzuweisen. So soll es, so der BfDI, sowohl an einer Rechtsgrundlage als auch an einer ausreichenden Einwilligung für den Einsatz von Cookies nach dem Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) fehlen. In seiner Pressemitteilung verweist der BfDI in diesem Kontext auch auf das einschlägige Kurzgutachten der Datenschutzkonferenz.

Das Bundespresseamt kann gegen den Bescheid innerhalb eines Monats nach Bekanntgabe Klage beim VG Köln erheben. Die Behörde will den Bescheid des BfDI zunächst prüfen und dann über die nächsten Schritte entscheiden. Die Bundesregierung hat bereits am 14. Februar 2023 mittgeteilt, dass sie soziale Medien als zeitgemäße Erweiterung ihrer Öffentlichkeitsarbeit ansieht, da die sozialen Medien „[…] einen unmittelbaren und schnellen Kontakt [ermöglichen], der gerade in Krisenzeiten besonders wichtig ist […]. Gleichzeitig hat die Bundesregierung betont, dass sie „[…] sich ganz grundsätzlich für eine möglichst datenschutzfreundliche Ausgestaltung der Sozialen Medien […] einsetzt.

Internationale Nachrichten

• Europa: Das EDPB hat sein Arbeitsprogramm für die Jahre 2023 und 2024 veröffentlicht. Schwerpunkte sind neben der weiteren Harmonisierung der DSGVO und unterstützenden Informationen für Verantwortliche auch die Verbesserung der Zusammenarbeit bei der Durchsetzung sowie die datenschutzkonforme Nutzung neuer Technologien. Darüber hinaus steht auch die globale Dimension des Datenschutzes auf der Agenda der Behörden.
• Niederlande: Die Nachrichtenagentur Reuters berichtet, dass die niederländische Datenschutzaufsichtsbehörde gegen den E-Autohersteller Tesla kein Bußgeld wegen Datenschutzverstößen im Zusammenhang mit dem sog. Wächtermodus (Sentry Mode) verhängen wird. Der Sentry Mode soll Fahrzeuge des Herstellers unter anderem vor Vandalismus schützen. Tesla hatte während der Untersuchung durch die Behörde verschiedene technische Änderungen umgesetzt. Am Ende liegt die datenschutzrechtliche Verantwortlichkeit nach Auffassung der niederländischen Datenschutzaufsicht nunmehr beim Halter.
• Europa: Der Europäische Datenschutzbeauftragte hat ein Pilotprojekt zum Einsatz von Open Source Software gestartet.
• Europa: Das EDPB hat zu drei Richtlinien jeweils die finale Fassung verabschiedet: Guidelines 05/2021 on the Interplay between the application of Article 3 and the provisions on international transfers as per Chapter V of the GDPR; Guidelines on certification as a tool for transfers; Guidelines on deceptive design patterns in social media platform interfaces

Aktuelle Gerichtsentscheidungen

• LG Coburg, Urteil vom 08.02.2023, Az. 14 O 224/22 (Volltext): Kein Anspruch auf ein Schmerzensgeld wegen Scraping bei Facebook, da Art. 82 DSGVO nicht anwendbar ist und zudem kein Verstoß gegen das Datenschutzrecht vorliegt.
• AG München, Urteil vom 08.02.2023, Az. 178 C 13527/22 (Volltext): Kein Anspruch auf Zahlung eines immateriellen Schadensersatzes bei Scraping, da ein allgemeines und nicht weiter greifbares Unwohlsein noch keinen Schaden darstellt.
• LG Frankfurt, Urteil vom 30.12.2022, Az. 2-31 O 148/22 (juris): Kein Anspruch auf Zahlung eines Schmerzensgelds, da der Kläger durch das Scraping keinen kausalen Schaden erlitten hat (keine objektiv nachvollziehbare Beeinträchtigung).
• LAG Hamm, Urteil vom 02.12.2022, Az. 19 Sa 756/22 (Volltext): Kein Anspruch auf Schadenersatz nach Art. 82 DSGVO bei einer verspäteten Auskunft, da kein Schaden dargelegt. Revision und (soweit Revision nicht zugelassen) Nichtzulassungsbeschwerde zum BAG eingelegt.
• LAG Hamburg, Urteil vom 17.11.2022, Az. 3 Sa 17/22 (Volltext): Löscht ein Arbeitnehmer betriebliche Dateien und/oder E-Mails unberechtigt, kann ein wichtiger Grund für eine außerordentliche Kündigung vorliegen. Das bloße Kopieren von Daten reicht hingegen nicht.
• LG Ellwangen, Urteil vom 25.01.2023, Az. 2 O 198/22 (Volltext): Kein Anspruch auf immateriellen Schadenersatz aus Art. 82 DSGVO, da die Beklagte im Zusammenhang mit dem Scraping-Vorfall nicht gegen das Datenschutzrecht verstoßen hat.
• OVG Nordrhein-Westfalen, Urteil vom 20.02.2023, Az. 15 A 154/21 (Volltext): Zum Informationszugang zu einer Richtlinie zur Anonymisierung von Urteilen und sonstigen Entscheidungen von Gerichten des Landes Nordrhein-Westfalen.
• LG Düsseldorf, Urteil vom 13.02.2023, Az. 9 O 46/22 (juris): Kein Anspruch auf Auskunft nach Art. 15 DSGVO, wenn es dem Kläger darum geht, zivilrechtliche Ansprüche zu prüfen. Anschluss an: OLG Hamm, Beschluss vom 15.11.2021, Az. 20 U 269/21.
• LG Görlitz, Urteil vom 27.01.2023, Az. 1 O 101/22 (juris): Kein Anspruch auf Schadensersatz nach Art. 82 DSGVO wegen behaupteter Datenschutzverstöße bei Scraping. Gerügte Verstöße z.T. nicht von Art. 82 gedeckt, i.Ü. kein Schaden dargelegt.
• LG Limburg, Urteil vom 24.01.2023, Az. 4 O 278/22 (juris): Klage auf Schadensersatz wegen Scraping ist "vollumfänglich unbegründet".
• LG Halle (Saale), Urteil vom 28.12.2022, Az. 6 O 195/22 (juris): Klage auf Schadensersatz wegen Scraping ist "vollumfänglich unbegründet".
• LG Arnsberg, Urteil vom 16.06.2020, Az. 1 O 44/20 (Volltext): Zum Anspruch auf Löschung nach Art. 17 DSGVO gegenüber einer Wirtschaftsauskunftei.

Neuigkeiten aus den Aufsichtsbehörden

• Bundesdatenschutzbeauftragter: „Telekommunikationsdienstleister passen Authentifizierung in Callcentern an“ – Pressemitteilung vom 23.03.2023
• Datenschutzaufsicht Sachsen-Anhalt: „Keine neue Ausschreibung für Sachsen-Anhalts Datenschutzbeauftragten“ – Bericht des MDR über das Verfahren zur Besetzung des Landesdatenschutzbeauftragten in Sachsen-Anhalt