Datenschutz­woche

Datenschutzkonferenz warnt vor Einsatz von Gesichtserkennungssystemen

Die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) warnt in ihrer Entschließung vom 20. September 2024 davor, Gesichtserkennungssysteme im öffentlichen Raum einzusetzen. Die DSK ist der Ansicht, dass die bestehenden Regelungen der Strafprozessordnung nicht ausreichend und zu unspezifisch sind, um eine rechtliche Grundlage für den Einsatz biometrischer Gesichtserkennung zu bieten.

Auch der Einsatz in anderen rechtlichen Kontexten sei nur unter strengen Voraussetzungen mit den europäischen und nationalen Grundrechten vereinbar. Die DSK betont die hohe Eingriffsintensität dieser Maßnahme, die von der verwendeten Technik und dem Grad der Automatisierung abhängt. Bestimmte Anwendungsfälle seien in der KI-Verordnung ausgeschlossen. Darüber hinaus verweist die DSK auf die Leitlinien des Europäischen Datenschutzausschusses (EDSA), die strenge rechtliche Anforderungen an den Einsatz von Gesichtserkennungstechnologien formulieren.

BVerfG: Hessisches Verfassungsschutzgesetz teilweise verfassungswidrig

Das Bundesverfassungsgericht hat in seinem Beschluss vom 17. Juli 2024 (1 BvR 2133/22) Teile des Hessischen Verfassungsschutzgesetzes (HVSG) für verfassungswidrig erklärt. Die Verfassungsbeschwerde von fünf Beschwerdeführenden wurde von Bürgerrechtsorganisationen unterstützt.

Insbesondere wurden mehrere Befugnisse zur Datenerhebung und -übermittlung als Verstöße gegen das Recht auf informationelle Selbstbestimmung bewertet. Zu den im Gesetz vorgesehenen Befugnissen gehören die engmaschige Überwachung von Mobilfunkgeräten, die Einholung von Reiseinformationen Betroffener, der Einsatz verdeckter Mitarbeitender zur Aufklärung sowie die Weitergabe nachrichtendienstlich erhobener Daten an Strafverfolgungsbehörden. Diese Maßnahmen seien nur unter äußerst restriktiven Bedingungen zulässig, doch das Gesetz sehe eine hinreichende Eingriffsschwelle nicht vor.

2023 musste das HVSG bereits auf ein Urteil des BVerfG hin geändert werden. Eine Neuregelung muss bis Ende 2025 in Kraft treten.

Internationale Nachrichten

• USA: In Washington startet die Anhörung über die Beschwerde des TikTok-Mutterkonzerns ByteDance.  
• Irland: Die irische Datenschutzaufsicht DPC kündigt eine grenzüberschreitende Untersuchung des KI-Modells von Google an.

Aktuelle Gerichtsentscheidungen:

• OLG Stuttgart, Urteil vom 17.05.2023, Az. 4 U 193/22 (Volltext): Schadenersatz wegen Offenlegung von Gesundheitsdaten – Wegen der Weiterleitung von Gesundheitsdaten des Klägers an dessen Arbeitgeber durch eine Mitarbeiterin des Gesundheitsamts hat der Kläger gegen das beklagte Land einen Schadenersatzanspruch i.H.v. 750 Euro aus Art. 82 Abs. 1 DSGVO.
• OLG Hamburg, Urteil vom 30.08.2023, Az. 13 U 71/21 (Volltext): Schadenersatz wegen fehlerhafter Einmeldung bei einer Auskunftei – Die Beklagte hat gegen ihre Pflichten aus Art. 5, 6 i.V.m. Art. 4 Abs. 2 DSGVO verstoßen, indem sie ihre Forderungen gegen den Kläger erneut an die Schufa gemeldet hat, obwohl die vereinbarten Voraussetzungen hierfür nicht vorlagen. Der Kläger hat gegen die Beklagte daher Anspruch auf Ersatz immateriellen Schadens gem. Art. 82 Abs. 1, Abs. 2 S. 1 DSGVO in Höhe von insgesamt 2.000 Euro. 
• AG Spandau, Urteil vom 11.09.2023, Az. 10 C 58/23 (juris): Datenschutz im Insolvenzverfahren – Ein vom Betroffenen gegen den Schuldner gerichteter Klageanspruch auf Auskunftserteilung nach Art. 15 DSGVO betrifft nicht die Insolvenzmasse im Sinne von § 80 InsO. 
• LG Leipzig, Urteil vom 29.05.2024, Az. 7 O 2658/23 (juris): Verbot automatisierter Entscheidungen – Die Beklagte wird verurteilt, die Erstellung des Bonitätsscores der Klagepartei (also der sog. „Basisscorewerte“, der sog. „Branchenscorewerte“ sowie der sog. „Orientierungswerte“) nicht ausschließlich auf einer automatisierten Verarbeitung beruhend vorzunehmen. 
• AG Bonn, Beschluss vom 04.07.2024, Az. 19 HRB 25835 (Volltext): Eintragung der Wohnanschrift im Handelsregister – Die Vorschriften der DSGVO stehen dem Erfordernis der Bekanntgabe der Wohnanschriften an das Registergericht nicht entgegen. 
• LAG Hessen, Urteil vom 08.03.2024, Az. 14 Sa 295/23 (Volltext): Auskunft nach Art. 15 DSGVO – Ist ein Auskunfts- und/oder Herausgabeanspruch des Arbeitnehmers nach Art. 15 DSGVO unstreitig teilweise erfüllt, kann der Arbeitnehmer nicht mit Erfolg eine dem Gesetzeswortlaut der Vorschrift entsprechende Auskunfts- und/oder Herausgabeklage erheben, bei der er jeweils die Worte „soweit die Beklagte diese Ansprüche noch nicht bereits erfüllt hat“ anfügt. 
• BGH, Beschluss vom 04.06.2024, Az. II ZB 10/23 (Volltext): Datenschutz im Verein – Ein früheres Vereinsvorstandsmitglied kann nach seinem Ausscheiden aus dem Amt gegen das Registergericht einen Anspruch auf Löschung seiner im Vereinsregister eingetragenen personenbezogenen Daten aus den im automatisierten Verfahren zum unbeschränkten Abruf aus dem Vereinsregister im Internet bereitgestellten Daten gemäß Art. 17 Abs. 1 DSGVO haben.  
• BVerfG, Beschluss vom 17.07.2024, Az. 1 BvR 2133/22 (Volltext): Hessisches Verfassungsschutzgesetz – Mehrere im Hessischen Verfassungsschutzgesetz (HVSG) geregelte Datenerhebungs- und Übermittlungsbefugnisse des Landesamts für Verfassungsschutz sind mit dem Grundgesetz unvereinbar, weil sie gegen das allgemeine Persönlichkeitsrecht (Art. 2 Abs. 1 GG in Verbindung mit Art. 1 Abs. 1 GG) in seiner Ausprägung als Schutz der informationellen Selbstbestimmung verstoßen. 
• OLG Hamm, Urteil vom 24.07.2024, Az. 11 U 69/23 (juris): Abtretung von Schadenersatzansprüchen aus Art. 82 DSGVO – Bei den Abtretungsverträgen handelt es sich um sog. echtes Factoring, das dem Anwendungsbereich des Rechtsdienstleistungsgesetzes nicht unterfällt, weil der Erwerber die Forderung unter vollständiger Übernahme des Delkredererisikos kauft und damit keine fremden, sondern ausschließlich eigene Angelegenheiten besorgt. 

Neuigkeiten aus den Aufsichtsbehörden:

• Datenschutzaufsicht Bayern (BayLfD): „Veröffentlichung des 33. Tätigkeitsberichts 2023“ – Pressemitteilung vom 17.09.2024, Tätigkeitsbericht im DatenschutzArchiv
• Datenschutzaufsicht Berlin: „Veröffentlichung des Jahresberichts 2023“ – Pressemitteilung vom 17.09.2024, Tätigkeitsbericht im DatenschutzArchiv
• Datenschutzaufsicht Hessen: „Entscheidung des BVerfG: Hessisches Verfassungsschutzgesetz teilweise verfassungswidrig“ – Pressemitteilung vom 17.09.2024
• Datenschutzaufsicht Bayern (BayLDA): „Herausforderung Anonymität – Aktuelle Fragestellungen in Zeiten von KI und Big Data“ – Pressemitteilung vom 18.09.2024
• Datenschutzaufsicht Hamburg: „DSK-Entschließung zum Einsatz von Gesichtserkennungssystemen“ – Pressemitteilungen vom 20.09.2024
• Datenschutzaufsicht Niedersachsen: „Datenschutzkonferenz: Entschließung zum Einsatz von Gesichtserkennungssystemen durch Sicherheitsbehörden“ – Pressemitteilung vom 20.09.2024
• Bundesbeauftragte für Datenschutz und Informationsfreiheit: „Betrugsmasche im Namen der BfDI“ – Pressemitteilung vom 20.09.2024