DatenschutzWoche vom 28. August 2023

Referentenentwurf zur BDSG-Novelle veröffentlicht

Als Antwort auf eine IFG-Anfrage hat das Bundesinnenministerium den Referentenentwurf für die geplante Novelle des BDSG veröffentlicht. Die Novelle zielt in erster Linie darauf ab, die Datenschutzkonferenz als gemeinsames Gremium der Datenschutzaufsichtsbehörden des Bundes und der Länder zu institutionalisieren und dadurch eine bessere Durchsetzung und Kohärenz des Datenschutzes in Deutschland zu erreichen. Soweit rechtlich möglich soll die Datenschutzkonferenz verbindliche Beschlüsse fassen können.

Außerdem sollen Unternehmen, die nach Art. 26 DSGVO gemeinsam verantwortlich sind und bisher der Zuständigkeit mehrerer Aufsichtsbehörden unterfallen, die Möglichkeit erhalten, durch eine Anzeige die alleinige Zuständigkeit einer Datenschutzaufsichtsbehörde herbeizuführen. Als allein zuständig kann jedoch nur die Datenschutzaufsichtsbehörde erklärt werden, in deren Zuständigkeitsbereich das Unternehmen fällt, das in dem der Antragsstellung vorausgegangenen Geschäftsjahr den größten Jahresumsatz erzielt hat.

Wie heise.de berichtet, haben Interessensvertreter und Verbände bis zum 6. September Zeit, den Entwurf zu prüfen und zu kommentieren. Eine von Prof. Dr. Rainer Gerling veröffentlichte Synopse zeigt detailliert die geplanten Änderungen.

Neuer Trend bei Schadensersatzklagen wegen Scraping?

In den zahlreichen Verfahren zu Schadensersatzklagen wegen Scraping-Vorfällen bei Facebook (wir berichteten am 16.01.2023 und am 13.03.2023) haben die Gerichte in der überwiegenden Zahl der bekanntgewordenen Entscheidungen einen Schadensersatzanspruch abgelehnt und die Klagen abgewiesen. In einigen wenigen Fällen wurde ein Schadensersatzanspruch bejaht. Sowohl das Landgericht München I als auch das Landgericht Heidelberg (Datum und Aktenzeichen unten) haben dagegen in Entscheidungen aus dem März einen Schadensersatzanspruch abgelehnt, allerdings den mit der Klage verbundenen Feststellungantrag auf Ersatz zukünftiger Schäden bejaht. Ob dies schon ein Trend ist und weitere Gerichte folgen werden, bleibt selbstverständlich abzuwarten.

Ganz unabhängig davon zeigen zwei Entscheidung des LG Heidelberg, die am gleichen Tag von der 7. Zivilkammer mit gleichen Anträgen verhandelt wurden und nur in einer Ziffer im Aktenzeichen (siehe unten) voneinander abweichen, dass es Gerichten in den Schadensersatzverfahren auf den Einzelfall ankommt. Gelingt es dem Kläger nicht, einen konkreten Schaden nachzuweisen, muss er mit einer Abweisung seiner Klage rechnen. Dieses Schicksal könnte insbesondere Klägern drohen, die etwaige Ansprüche mit standardisierten und formularartigen Vorträgen über einen Legal Tech- Anbieter durchsetzen möchten.

Internationale Nachrichten

• Irland: Die irische Datenschutzaufsichtsbehörde hat in einem Beschwerdeverfahren gegen Airbnb entschieden, dass die Speicherung von Identitätsdokumenten des Beschwerdeführers nach erfolgreichem Abschluss der Identitätsprüfung gegen die Grundsätze der Datenminimierung und Speicherbegrenzung verstößt.
• Rumänien: Wegen Verstößen gegen Art. 25 und 32 DSGVO hat die rumänische Datenschutzaufsichtsbehörde ein Bußgeld in Höhe von umgerechnet etwa 70.000 Euro gegen ein Unternehmen verhängt.

Aktuelle Gerichtsentscheidungen

• LG Hannover, Urteil vom 08.12.2022, Az. 19 O 50/22 (juris): Eine Auskunft nach Art. 15 DSGVO, die nicht der Kontrolle der datenschutzrechtlichen Zulässigkeit der Verarbeitung dient, ist rechtsmissbräuchlich.
• LG Bonn, Beschluss vom 24.04.2023, Az. 6 T 47/23 (juris): Weder die DSGVO noch die Landesdatenschutzgesetze geben einen Anlass für eine einschränkende Auslegung von § 42 ZVG (Einsicht in das Grundbuchblatt).
• LG Hamburg, Urteil vom 26.04.2023, Az. 332 O 243/21 (juris): Bei der Auslegung, ob ein Antrag auf Auskunft rechtsmissbräuchlich ist, ist der Schutzzweck der DSGVO zu berücksichtigen. Datenschutzfremde Zwecke sind nicht umfasst.
• OLG Dresden, Beschluss vom 31.07.2023, Az. 4 W 396/23 (juris): Bei dem unbefugten Zugriff Dritter auf das Datenarchiv eines sozialen Netzwerks (Scraping) ist der Streitwert der verschiedenen Ansprüche nach der DSGVO mit insgesamt 5.500 Euro zu bemessen.
• VG Ansbach, Beschluss vom 03.08.2023, AN 14 K 19.01313 (juris): Kostenentscheidung analog § 161 Abs. 3 VwGO bei Erledigung des Rechtsstreits nach Untätigkeit der Datenschutzaufsichtsbehörde.

Entscheidungen wegen Scraping bei Facebook:

Schadenersatzanspruch zugesprochen:

• LG Heidelberg, Urteil vom 31.03.2023, Az. 7 O 10/22 (GRUR-RS 2023, 21298) – 250 Euro

Schadensersatzanspruch verneint, aber Feststellungsantrag bejaht:

• LG München I, Urteil vom 09.03.2023, Az. 4 O 6009/22 (GRUR-RS 2023, 20934)
• LG München I, Urteil vom 23.03.2023, Az. 26 O 1859/22 (GRUR-RS 2023, 20935)
• LG Heidelberg, Urteil vom 31.03.2023, Az. 7 O 9/22 (GRUR-RS 2023, 21264)

Neuigkeiten aus den Aufsichtsbehörden

• Datenschutzkonferenz: „Hintergrund zur Entschließung „Notwendigkeit spezifischer Regelungen zum Beschäftigtendatenschutz!“ (zur eigenen Verwendung)“ – Hintergrundpapier vom 11.05.2023
• Datenschutzaufsicht Bayern (BayLfD): „Bayerisches Krebsregistergesetz jetzt mit uneingeschränktem Widerspruchsrecht“ – Aktuelle Kurz-Information mit Stand vom 01.08.2023
• Datenschutzaufsicht Hessen: „HBDI kritisiert Gesetzentwurf zur verbesserten Nutzung von Gesundheitsdaten“ – Pressemitteilung vom 23.08.2023