DatenschutzWoche vom 23.05.2022

Das neue Bußgeldkonzept der europäischen Datenschutzaufsichtsbehörden

In seiner Sitzung vom 12. Mai hat das European Data Protection Board (EDBP) neue Leitlinien zur Sanktionierung von Datenschutzverstößen veröffentlicht und eine öffentliche Konsultation bis zum 27. Juni gestartet. Ziel der Leitlinien ist eine weitere Harmonisierung der Bußgeldpraxis. Dazu stellt der Landesdatenschutzbeauftragte Baden-Württemberg, Dr. Stefan Brink, klar, dass die Leitlinien kein „Bußgeldrechner“ sind und die Höhe eines Bußgelds „nach wie vor einer konkreten Abwägung im Einzelfall“ bedarf. Gleichwohl halten Fachleute es für möglich, dass Unternehmen bei Datenschutzverstößen mit höheren Strafen rechnen müssen.

Frankreich: Datenschutzaufsichtsbehörde äußert sich zu Cookie Walls

Die französische Datenschutzaufsichtsbehörde CNIL hat Empfehlungen zu den datenschutzrechtlichen Anforderungen an Cookie Walls veröffentlicht. Das sind Cookie Walls handelt Banner auf Webseiten, die den Nutzer vor die Wahl stellen, sämtliche Cookies zu Werbezwecken zu akzeptieren, oder die Website gegen eine bestimmte Gebühr werbefrei zu nutzen. Nach Auffassung der CNIL ist ein DSGVO-konformer Einsatz von Cookie Walls möglich, wenn der Nutzer eine „echte und zufriedenstellende“ Alternative für den Fall der Ablehnung einer Einwilligung hat. Demnach sind folgende Kriterien anzulegen:

1. Dem Nutzer muss eine angemessene und faire Alternative zur Verfügung stehen, um auf die Inhalte zugreifen zu können. Hierfür muss der Anbieter insbesondere sicherstellen, dass der Nutzer einen leichten Zugang zu dem alternativen Angebot hat.
2. Im Falle einer kostenpflichtigen Alternative („Paywall“) muss die jeweilige Gebühr „angemessen“ sein. Die CNIL hat hierzu bewusst keinen Schwellenwert festlegt, sondern überlässt es dem Anbieter, im Einzelfall nachzuweisen, dass die finanzielle Gegenleistung im Vergleich zur Einwilligung angemessen ist.
3. Der Anbieter muss nachweisen können, dass die Cookie Wall auf die Zwecke beschränkt ist, die eine angemessene Vergütung des angebotenen Dienstes ermöglichen. Grundsätzlich kann auch eine fehlende Auswahlmöglichkeit hinsichtlich einzelner Cookies die Wahlfreiheit des Nutzers beeinträchtigen.
4. Trotz Nutzung der (gebührenpflichtigen) Alternative dürfen im Einzelfall Cookies gesetzt werden. Dies ist nach Ansicht der CNIL unter anderem dann der Fall, wenn Inhalte von Dritten, wie beispielsweise Videos, eingebunden werden. Voraussetzung hierzu ist jedoch die Einwilligung des Nutzers, welche zuvor z.B. über ein „Cookie Banner“ einzuholen ist.

Internationale Nachrichten

• Ungarn: Die ungarische Datenschutzaufsichtsbehörde hat wegen des DSGVO-widrigen Einsatzes von künstlicher Intelligenz ein Bußgeld von ca. 650.000 Euro gegen eine Bank verhängt. Diese hatte alle Service-Anrufe von Kunden aufgezeichnet und nachts mit einer KI-gestützten Software nach Schlagwörtern durchsucht. Nach Auffassung der Behörden sahen jedoch weder die Datenschutzfolgenabschätzung, noch die Bewertung des berechtigten Interesses als Rechtsgrundlage ausreichende Maßnahmen zur Risikominderung vor.
• Europa: Das EDBP hat Leitlinien zur Berechnung von Bußgeldern sowie zum Einsatz von Gesichtserkennung für die Strafverfolgung veröffentlicht.
• Spanien: Die spanische Datenschutzaufsicht hat wegen einer unrechtmäßigen Datenübermittlung an Dritte und ein unzureichendes Management von Löschersuchen von Betroffenen ein Bußgeld von 10 Millionen Euro gegen Google verhängt.

Aktuelle Gerichtsentscheidungen

• AG Pankow, Urteil vom 28.03.2022, Az. 4 C 199/21 (Volltext): Kein Anspruch auf Auskunft gem. Art. 15 DSGVO gegen Betreiber einer S-Bahn wegen Aufnahme durch eine Überwachungskamera.
• LG Köln, Urteil vom 16.02.2022, Az. 28 O 221/21 (Volltext): Die SCHUFA hat ein berechtigtes Interesse an der Speicherung einer Restschuldbefreiung über die 3-Jahres-Frist des § 3 InsoBekV hinaus.
• LAG Baden-Württemberg, Urteil vom 25.3.2022, Az. 7 Sa 63/21 (Volltext): Rechtmäßige Kündigung eines Betriebsrats wegen Datenschutzverstößen
• OLG Frankfurt, Urteil vom 14.04.2022, Az. 3 U 21/20 (Volltext): 500€ Schmerzensgeld nach Art. 82 DSGVO bei rechtswidriger Versendung eines Kontoabschlusses an einen unbeteiligten Dritten.
• ArbG Frankfurt, Urteil vom 24. Januar 2022, Az. 2 Ca 2178/21 (Volltext): Keine wirksame Geltendmachung des Anspruchs auf Auskunft nach Art. 15 DSGVO durch angekündigte Anträge in einer Klageerweiterung.
• LAG Berlin-Brandenburg, Urteil vom 16.03.2022, Az. 23 Sa 1133/21 (Volltext): Zurückweisung eines Antrags auf Auskunft nach Art. 15 DSGVO als unbegründeter Globalantrag.
• LG Berlin, Urteil vom 27.01.2022, Az. 26 O 177/21 (Volltext): Die bloße Eingabe einer Adresse auf Google Maps ohne Bezugnahme auf eine Person stellt keinen hinreichenden Personenbezug im Sinne der DSGVO dar.
• LG Köln, Urteil vom 17.05.2022, Az. 28 O 328/21 (Volltext): 1.200 € Schadensersatz nach Art. 82 DSGVO wegen Datenschutzverstößen im Zusammenhang mit einem unberechtigten Zugriff auf Nutzerdaten eines Online-Finanzdienstleisters.

Neuigkeiten aus den Aufsichtsbehörden

Datenschutzaufsicht Baden-Württemberg: „Microsoft 365 an Schulen – Was kommt auf die Schulen zu?“ – Pressemitteilung vom 17.05.2022

Datenschutzaufsicht Berlin: Der Tagesspiegel berichtet in einem Beitrag vom 18.05.2022, dass die Suche nach einer Datenschutzbeauftragten weiter andauert.

Datenschutzaufsicht Baden-Württemberg: „Europa: Einheitliche Sanktionierung von Datenschutzverstößen“ – Pressemitteilung vom 19.05.2022

Bundesdatenschutzbeauftragter: „Informationen zum Online-Fragebogen des Statistischen Bundesamtes zum Zensus 2022“ – Pressemitteilung vom 18.05.2022

Datenschutzaufsicht Baden-Württemberg: „Prüfung der Datenpannenmeldung abgeschlossen“ – Pressemitteilung vom 20.05.2022 zu einem Datenschutzvorfall bei dem Verein Junge Liberale Baden-Württemberg e.V.

Bundesdatenschutzbeauftragter: „30. Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2021“ – zugehörige Pressemitteilung vom 23.05.2022