Datenschutz­woche

EU-Kommission veröffentlicht Zweiten Evaluierungsbericht zur DSGVO

Die Europäische Kommission hat die Anwendung der DSGVO seit ihrem Ersten Bericht evaluiert und die Ergebnisse in einem Zweiten Bericht zur Anwendung der DSGVO veröffentlicht. Die DSGVO sei ein Eckpfeiler der digitalen Transformation und habe trotz zahlreicher Herausforderungen viele Fortschritte erzielt.

Die EU-Kommission fordert eine effizientere Zusammenarbeit der Datenschutzbehörden auf nationaler und europäischer Ebene, insbesondere bei grenzüberschreitenden Fällen, sowie eine stärkere Harmonisierung der Verfahren. Wichtig seien die konsequente Durchsetzung der Vorschriften; dazu müssten ausreichende Ressourcen bereitgestellt werden. Ein Schwerpunkt soll in den kommenden Jahren auf der Unterstützung von KMU liegen.

Der Bundesrat hatte Anfang des Jahres eine DSGVO-Reform gefordert. Eine umfassende Novelle ist jedoch nicht zu erwarten.

Kein Anspruch auf immateriellen Schadensersatz bei verspäteter Auskunft nach Art. 15 DSGVO

Kürzlich haben sich das LG Köln (Urteil vom 19.04.2024, Az. 12 S 4/23) und das ArbG Hannover (Urteil vom 30.05.2024, Az. Ca 325/23) mit der verspäteten Auskunft nach Art. 15 DSGVO befasst. Danach reicht der bloße Verstoß gegen die Auskunftspflicht nicht aus, um einen immateriellen Schadensersatzanspruch zu begründen.

In beiden Fällen konnten die Kläger keinen Kontrollverlust nachweisen, der über die typischen Umstände eines Verstoßes gegen die DGSVO hinausgeht. Dafür bedürfe es einer konkreten Darlegung und Nachweisführung. Es müsse erkennbar sein, dass der Kläger tatsächlich einen Kontrollverlust erlitten habe. Die „genervte Stimmung“ als emotionaler Zustand reiche hierfür nicht aus. Auch der pauschale Verweis auf identische Sachverhalte genüge nicht.

Die Urteile verdeutlichen die strengen Anforderungen an die Darlegung des immateriellen Schadens im Zusammenhang mit der DSGVO.

Internationale Nachrichten

• Europa: Die EU-Kommission zieht im Rahmen der vorliegenden Initiative Bilanz über die Anwendung der DSGVO und stützt sich dabei auf den im Jahr 2020 veröffentlichten Vorgängerbericht.

• Frankreich: Die französische Aufsichtsbehörde CNIL verhängt ein Bußgeld in Höhe von 6900 EUR gegen die Gemeinde Kourou, die trotz Aufforderung keinen Datenschutzbeauftragten eingestellt hat.
• Irland: Die irische Aufsichtsbehörde DPC gibt Hinweise zur Datenschutz-Compliance beim Einsatz von KI und LLMs.
• Spanien: Der Europäische Datenschutzbeauftragte (EDSB) und die spanische Aufsichtsbehörde AEDP veröffentlichen gemeinsamen Bericht zu den datenschutzrechtlichen Herausforderungen von Neurodaten.

Aktuelle Gerichtsentscheidungen:

• LAG Hessen, Urteil vom 08.03.2024, Az. 14 Sa 295/23 (juris): Unzulässiger Klageantrag auf Auskunft – Ist ein Auskunfts- und/oder Herausgabeanspruch des Arbeitnehmers nach Art. 15 DSGVO unstreitig teilweise erfüllt, kann der Arbeitnehmer nicht mit Erfolg eine dem Gesetzeswortlaut der Vorschrift entsprechende Auskunfts- und/oder Herausgabeklage erheben, bei der er jeweils die Worte "soweit die Beklagte diese Ansprüche noch nicht bereits erfüllt hat" anfügt. Es fehlt hier an einer hinreichenden Abgrenzung der Entscheidungsbefugnisse der Kammer nach § 308 Abs. 1 ZPO, was dazu führt, dass die Anträge nicht iSd. § 253 Abs. 2 Nr. 2 ZPO ausreichend bestimmt und damit unzulässig sind.
• LG Köln, Urteil vom 19.04.2024, Az. 12 S 4/23 (Volltext): Kein Anspruch auf immateriellen Schadenersatz bei verspäteter Auskunft nach Art. 15 DSGVO – Das bloße längere Zuwarten auf die Erteilung der Auskunft bzw. die „verspätete Auskunft“ stellt keinen Schaden dar, da dies bei einem Verstoß gegen die DSGVO immanent ist und nicht über den bloßen Verstoß hinausgeht. Ein dadurch bedingter, angeblich erlittener „Kontrollverlust“ hinsichtlich der eigenen Daten kann vor diesem Hintergrund ebenfalls nicht ausreichen, da nicht dargelegt und ersichtlich ist, dass dieser über die Umstände hinausgeht, die mit jedem einfachen Verstoß gegen die Bestimmungen der DSGVO für den Betroffenen verbunden sind.
• LAG Niedersachsen, Beschluss vom 08.05.2024, Az. 8 Sa 688/23 (BeckRS 2024, 17496): Vorabentscheidungsersuchen zur Datenverarbeitung durch die Justiz – Kann sich ein nationales Gericht bei der Verarbeitung von – insbesondere personenbezogenen – Daten darauf berufen, diese Verarbeitung sei ihm nach Art. 17 Abs. 3 Buchst. e DSGVO gestattet, oder stellen die Art. 6 und 9 DSGVO die ausschließliche Grundlage für eine justizielle Verarbeitungstätigkeit dar?
• Bundesgerichtshof, Urteil vom 14.05.2024, Az. VI ZR 370/22 (Volltext): Kontaktdaten des Datenschutzbeauftragten – Bei Mitteilung der Kontaktdaten des Datenschutzbeauftragten nach Art. 13 Abs. 1 Buchst. b DSGVO ist die Nennung des Namens nicht zwingend. Entscheidend und zugleich ausreichend für den Betroffenen ist die Mitteilung der Informationen, die für die Erreichbarkeit der zuständigen Stelle erforderlich sind. Ist die Erreichbarkeit ohne Nennung des Namens gewährleistet, muss dieser nicht mitgeteilt werden.
• OLG Oldenburg, Urteil vom 14.05.2024, Az. 13 U 114/23 (BeckRS 2024, 12012): Schadenersatz nach Art. 82 DSGVO – Wegen der Verarbeitung ihrer personenbezogenen Daten ohne Rechtsgrundlage steht der Klägerin ein Anspruch auf Schadenersatz i.H.v. 250 Euro zu. Der immaterielle Schaden besteht in der Sorge um einen möglichen Missbrauch der Daten.
• ArbG Hannover, Urteil vom 30.05.2024, Az. 2 Ca 325/23 (BeckRS 2024, 17718): Kein Anspruch auf immateriellen Schadenersatz bei verspäteter Auskunft nach Art. 15 DSGVO – Es ist nicht erkennbar, ob der Kläger den abstrakt geschilderten Kontrollverlust tatsächlich erlitten hat und wenn ja, wie sich dieser im Einzelnen manifestiert hat. Ein Schaden kann auch nicht auf den emotionalen Zustand einer „genervten Stimmung“ gestützt werden. Unabhängig von einer Einordnung dieses pauschalen Begriffs beruft sich der Kläger nicht direkt darauf, dass dieser emotionale Zustand bei ihm, in einer konkreten Situation, eingetreten sei. Er verweist lediglich auf Entscheidungen mit identischen Sachverhalten und zitiert diese in seinem Schriftsatz.
• KG, Urteil vom 04.06.2024, Az. 21 U 3/24 (GRUR-RS 2024, 17906): Schadenersatz nach Art. 82 DSGVO – Der Senat konnte sich nicht die erforderliche Überzeugung verschaffen, dass dem sich sorglos verhaltenden Kläger überhaupt an der Vertraulichkeit und der Kontrolle seiner personenbezogenen Daten gelegen ist.
• KG, Urteil vom 04.06.2024, Az. 21 U 137/23 (GRUR-RS 2024, 17866): Schadenersatz nach Art. 82 DSGVO – Der Senat konnte sich nicht die erforderliche Überzeugung verschaffen, dass lästige Anrufe mit unbekannter Nummer sowie E-Mails oder SMS mit betrügerischem Inhalt gerade auf den streitgegenständlichen Scraping-Vorfall zurückzuführen sind.
• OLG Bamberg, Urteil vom 11.06.2024, Az. 10 U 58/23 e (Volltext): Schadenersatz nach Art. 82 DSGVO – Ob eine betroffene Person einen „immateriellen Schaden“ im Sinne von Art. 82 Abs. 1 DSGVO erlitten hat, kann nur anhand der Umstände des konkreten Einzelfalls festgestellt werden. Dies setzt konkreten, auf den Einzelfall bezogenen Sachvortrag der Klagepartei dazu voraus, dass und aufgrund welcher Umstände sie einen immateriellen Schaden erlitten hat.
• LAG Düsseldorf, Beschluss vom 01.07.2024, Az.3 Ta 85/24 (juris): Rechtsweg zu den Arbeitsgerichten – Für die Schadensersatzklage eines Arbeitnehmers gegen die Organvertreterin seines Arbeitgebers (hier: Präsidentin bzw. Vorstandsvorsitzende eines Vereins) wegen datenschutzrechtlicher Verstöße und einer Persönlichkeitsrechtsverletzung durch Offenlegung von Gesundheitsdaten in einem Mitgliederrundbrief an knapp 10.000 Vereinsmitglieder ist der Rechtsweg zu den Arbeitsgerichten in entsprechender Anwendung von § 2 Abs. 1 Nr. 3 lit. d) ArbGG eröffnet.

Neuigkeiten aus den Aufsichtsbehörden:

• Datenschutzaufsicht Nordrhein-Westfalen: „EDSA genehmigt europäische Kriterien für Datenschutzzertifizierung aus NRW“ – Pressemitteilung vom 18.07.2024
• Datenschutzaufsicht Hamburg: „Messenger-Dienste in der Kinder- und Jugendarbeit” - Handreichung vom 24.07.2024 
• Datenschutzaufsicht NRW: „KI-Verordnung mit neuen Aufgaben“ – Pressemitteilung vom 25.07.2024