Datenschutz­woche

#88

Neuer Rekord für ein DSGVO-Bußgeld: Meta soll 1,2 Milliarden Euro zahlen

Wegen Datenschutzverstößen bei Facebook hat die irische Datenschutzaufsichtsbehörde gegen den Konzern Meta ein Bußgeld in Höhe von 1,2 Milliarden Euro verhängt. Es handelt sich um das bisher höchste Bußgeld, das nach der DSGVO ausgesprochen wurde. Vorausgegangen war ein Streitbeilegungsbeschluss des EDPB vom 13. April 2023.

Dem mehr als 200 Seiten langen Bußgeldbescheid zufolge soll Meta seit dem 16. Juli 2020 unzulässigerweise personenbezogene Daten in die USA übermittelt haben. Weder die aktualisierten Standardvertragsklauseln der EU-Kommission noch die von Meta getroffenen zusätzlichen Maßnahmen gewährleisten demnach ein ausreichendes Datenschutzniveau.

Außerdem verpflichtet der Bescheid Meta, die Datenverarbeitung bei Facebook innerhalb von sechs Monaten an die Vorgaben der DSGVO zu Drittlandsübermittlungen anzupassen.

Meta hat bereits angekündigt, Rechtsmittel gegen die Entscheidung einzulegen; ein jahrelanger Rechtsstreit dürfte folgen. Dass Facebook in der EU unterdessen eingestellt werden muss, ist jedoch nicht zu erwarten.

Prüfbericht aus Niedersachsen gibt Einblick in die Datenschutzpraxis an Schulen

Die niedersächsische Landesdatenschutzbeauftragte hat im vergangenen Jahr 50 Schulen und Berufsschulen auf die Einhaltung datenschutzrechtlicher Vorgaben überprüft. Nach dem nun veröffentlichten Bericht werden viele grundlegende Anforderungen, wie etwa die Bestellung von Datenschutzbeauftragten, das Führen von Verarbeitungsverzeichnissen, das Vorhalten von Konzepten für den Umgang mit Datenpannen oder für die fristgerechte Löschung von Daten, zufriedenstellend umgesetzt.

Kritisch betrachtet die Behörde die Nutzung von digitaler Lernsoftware im Unterrichtsalltag. Ein Großteil der von den Schulen benannten Produkte ist der zuständigen Datenschutzaufsichtsbehörde unbekannt. Grundsätzliche Bedenken gibt es bei Anbietern mit Sitz in den USA sowie bei Angeboten, die digitale Diagnosetools beinhalten.

In 15 der befragten Schulen wird Microsoft 365 eingesetzt, obwohl dies nach Auffassung der Aufsichtsbehörde nicht datenschutzkonform möglich ist. Die grundsätzliche Verantwortung dafür sieht man in erster Linie beim Kultusministerium, das die Lizenzen bereitstellt. So könne eine Überforderung der einzelnen Schulen vermieden werden.

Internationale Nachrichten

Aktuelle Gerichtsentscheidungen

  • ArbG Ludwigshafen, Urteil vom 08.10.2021, Az. 3 Ca 480/21 (BeckRS 2021, 61738): Eine Auskunft nach Art. 15 DSGVO dient nicht dazu, rechtliches Gehör oder „Waffengleichheit“ in einem gerichtlichen Verfahren zu gewährleisten.
  • FG Nürnberg, Urteil vom 23.11.2022, Az. 5 K 246/21 (BeckRS 2022, 46457): Kein Anspruch auf umfassende Akteneinsicht (bzw. Übersendung von Kopien) gegenüber dem Finanzamt aus Art. 15 DSGVO. Revision beim BFH anhängig unter dem Az. IX R 2/23.
  • OLG Dresden, Urteil vom 14.03.2023, Az. 3 U 1798/22 (BeckRS 2023, 10108): Versicherte haben regelmäßig keinen Anspruch gegen ihre private Krankenversicherung auf Auskunft über den für eine Beitragsanpassung auslösenden Faktor.
  • ArbG Duisburg, Urteil vom 23.03.2023, Az. 3 Ca 44/23 (Volltext): Eine verspätete Auskunft rechtfertigt ein Schmerzensgeld in Höhe von 10.000 Euro.
  • OLG Dresden, Urteil vom 04.04.2023, Az. 4 U 1486/22 (GRUR-RS 2023, 6459): Zum Personenbezug eines Linolschnitts bzw. der dazugehörigen Bilddaten sowie zur Identifizierung der Klägerin im datenschutzrechtlichen Kontext.
  • OLG Dresden, Urteil vom 05.04.2023, Az. 1 U 1645/22 (BeckRS 2023, 10103): Auslösende Faktoren für eine Beitragserhöhung bei einer privaten Krankenkasse sind nicht vom Recht auf Auskunft erfasst.
  • LG Dresden, Urteil vom 26.04.2023, Az. 8 O 570/22 (juris): Wird eine Auskunft nach Art. 15 DSGVO nicht geltend gemacht, um die Rechtmäßigkeit der Verarbeitung, sondern um zivilrechtliche Ansprüche zu prüfen, kann die Auskunft als rechtsmissbräuchlich zurückgewiesen werden.
  • OLG Köln, Urteil vom 28.04.2023, Az. 20 U 261/22 (BeckRS 2023, 10482): Die auslösenden Faktoren von Beitragsanpassungen einer Krankenkasse sind keine personenbezogenen Daten im Sinne von Art. 4 Nr. 1 DSGVO. Es besteht daher kein Anspruch auf Auskunft.

Neuigkeiten aus den Aufsichtsbehörden