DatenschutzWoche vom 27. 03. 2023

Energiepreispauschale für Studierende nur mit Einwilligung und BundID

Mit dem Studierenden-Energiepreispauschalengesetz (EPPSG) und einer Einmalzahlung in Höhe von 200 Euro möchte die Bundesregierung Studierende sowie Fachschülerinnen und Fachschüler entlasten. Mehr als 1,5 Millionen Anträge wurden bisher über das eigens geschaffene EPPSG-Portal gestellt; die meisten sind bereits bewilligt und ausgezahlt. Voraussetzung für die Antragstellung ist eine BundID, für die wiederum in die Verarbeitung von Identitäts- und Kontaktdaten eingewilligt werden muss. Die Freiwilligkeit der Einwilligung kann daher in Zweifel gezogen werden.

Das Portal „einmalzahlung200.de“ unterliegt als Teil der Landesverwaltung der datenschutzrechtlichen Verantwortlichkeit der Bundesländer. Dessen ungeachtet hat die Bundesregierung in einer Stellungnahme erklärt, dass alle Fragen zu Datenschutz und Datensicherheit in Zusammenhang mit dem Portal umfassend vorbereitet und geprüft wurden, darunter auch der Einsatz von Cloudflare.

Betroffene, die die Energiepreispauschale bereits erhalten haben und ihre BundID nicht mehr benötigen, können unter „widerruf200.de“ mit wenigen Klicks eine Mail zum Widerruf der Einwilligung erstellen. Bislang haben knapp über 1000 Betroffene das Angebot genutzt.

VG Hannover: Datenerhebung bei Amazon in Winsen datenschutzrechtlich zulässig

Einen interessanten Fall hatte das VG Hannover zu entscheiden: Zur Steuerung der Logistikprozesse und zur individuellen Qualifizierung von Beschäftigten sowie zur Schaffung objektiver Beurteilungsgrundlagen für individuelles Feedback und Personalentscheidungen setzt die Amazon an seinem Standort in Winsen Handscanner ein. Damit werden alle Arbeitsschritte der Beschäftigten in Echtzeit dokumentiert. Die erhobenen Daten werden anschließend mittels einer Software zum Zwecke der Ressourcen- und Leistungssteuerung ausgewertet. Die Datenschutzaufsichtsbehörde Niedersachsen sah darin einen Verstoß gegen § 26 BDSG und untersagte die Verarbeitung. Nach Auffassung der Behörde sollen die kontinuierlich erhobenen Echtzeitdaten weder zur Prozessverbesserung noch zur Rückmeldung an die Beschäftigten erforderlich sein.

Dies sah das VG Hannover in seinem Urteil vom 09.02.2023 (Az. 10 A 6199/20) anders: Nach Auffassung des Gerichts stellen die von der Klägerin geltend gemachten Zwecke ein berechtigtes, billigenswertes und schutzwürdiges Interesse dar. In seiner Begründung hebt das Gericht hervor, dass die Datenerhebung und -auswertung offen und transparent mit Kenntnis der Beschäftigten erfolgt. Zudem würden keine Bewertungsprofile erstellt und keine besonderen Kategorien personenbezogener Daten verarbeitet. Als positiv bewertete das Gericht auch, dass der Zugriff auf die Daten nach dem „Need-to-know-Prinzip“ erfolgt. In einer Gesamtabwägung mit den schutzwürdigen Interessen der Beschäftigten sah das Gericht die Datenverarbeitung daher als datenschutzrechtlich zulässig an.

Internationale Nachrichten

• Norwegen: Ein Hersteller von Medizinprodukten soll rund 220.000 € wegen einer verspäteten Meldung eines Datenschutzverstoßes zahlen. Die 72-Stunden-Frist läuft nach Auffassung der norwegischen Behörde ab Kenntnis des Vorfalls und nicht nach Ermittlung aller Umstände.
• Finnland: Die finnische Datenschutzaufsichtsbehörde hat gegen eine Auskunftei ein Bußgeld in Höhe von 440.000 Euro verhängt, weil die Auskunftei einer Anordnung der Behörde zur Löschung von Zahlungsausfällen in ihrer Datenbank nicht ordnungsgemäß umgesetzt hatte.

Aktuelle Gerichtsentscheidungen

• LG Nürnberg, Urteil vom 01.02.2023, Az. 3 K 596/22 (BeckRS 2023, 2798): Auch unter Berücksichtigung der DSGVO darf das Finanzamt zur Vorlage von Mietverträgen auffordern, um Angaben in der Steuererklärung zu überprüfen.
• OLG Karlsruhe, Urteil vom 17.03.2023, Az. 25 U 227/22 (juris): Der Versicherungsnehmer hat weder aus Art. 15 Abs. 1 #DSGVO noch aus § 242 BGB einen Auskunftsanspruch über die auslösenden Faktoren einer Beitragsanpassung der privaten Krankenversicherung.
• VG Hannover, Urteil vom 09.02.2023, Az. 10 A 6199/20 (Volltext): Datenschutzrechtliche Zulässigkeit der Datenverarbeitung von bestimmten Arbeitsschritten mittels Handscannern in einem Fulfillment Center (Datenerhebung bei Amazon in Winsen).
• LArbG Nürnberg, Urteil vom 25.01.2023, Az. 4 Sa 201 22 (Volltext):  eine Verletzung der Auskunftspflicht nach Art. 15 #DSGVO führt nicht zu einem Schadensersatzanspruch nach Art. 82 DSGVO.

Kein Schadensersatz wegen Scraping bei Facebook (neu veröffentlichte Entscheidungen):

• LG Bonn, Urteil vom 03.02.2023, Az. 2 O 170/22 (GRUR-RS 2023, 4566)
• LG Bonn, Urteil vom 03.02.2023, Az. 18 O 127/22 (GRUR-RS 2023, 4565)
• LG Bonn, Urteil vom 10.02.2023, Az. 3 O 77/22 (GRUR-RS 2023, 4567)
• LG Memmingen, Urteil vom 16.02.2023, Az. 24 O 913/22 (GRUR-RS 2023, 4562)
• LG Halle, Urteil vom 24.02.2023, Az. 3 O 177/22 (GRUR-RS 2023, 4569)
• LG Verden, Urteil vom 24.02.2023, Az. 1 O 205/22 (GRUR-RS 2023, 4587)
• LG Frankfurt, Urteil vom 02.03.2023, Az. 2-03 O 164/22 (GRUR-RS 2023, 4571)
• LG Fulda, Urteil vom 14.03.2023, Az. 3 O 73/22 (GRUR-RS 2023, 4570)

Neuigkeiten aus den Aufsichtsbehörden

• Bundesdatenschutzbeauftragter: „Verhaltensregeln gemäß Art. 40 DSGVO – Erfolgreiche Zusammenarbeit von BfDI und Bundesnotarkammer“ – Newsletter vom 20.03.2023
• Datenschutzaufsicht Hessen: „Trauer um den früheren Hessischen Datenschutzbeauftragten Prof. Dr. Spiros Simitis“ – Nachruf vom 20.03.2023
• Datenschutzkonferenz: „Nachruf auf Spiros Simitis – Ende einer Ära“ – Pressemitteilung vom 21.03.2023
• Datenschutzaufsicht Bremen: „5. Jahresbericht der Landesbeauftragten für Datenschutz nach der Datenschutzgrundverordnung“ – Tätigkeitsbericht für das Jahr 2022 (zugehörige Pressemitteilung vom 24.03.2023)