Seit Inkrafttreten der DSGVO sind bereits zahlreiche Urteile seitens der Gerichte ergangen.
Die Urteile sind aufgrund ihrer Vielzahl thematisch gegliedert. Die Übersicht bezieht sich lediglich auf die deutsche Rechtsprechung. . Sie erhalten eine kurze Zusammenfassung des Themas und was das Urteil für Sie bedeutet und ob Handlungsbedarf besteht.
Wir aktualisieren diese Liste ständig, können jedoch keine Vollständigkeit gewährleisten.
Inhaltsverzeichnis
Auftragsverarbeitungsverträge / Auftragsverarbeitung
| Gericht und Datum des Urteils | Thema | Zusammenfassung | Hinweise / Empfehlungen der Datenbeschützerin |
Beschäftigtendatenschutz
| Gericht und Datum des Urteils | Thema | Zusammenfassung | Hinweise / Empfehlungen der Datenbeschützerin |
| Verwaltungsgericht Lüneburg 19.03.2019 | (Un-)Zulässigkeit von Ortungssystemen in Firmenfahrzeugen | Speicherung von gefahrenen Strecken mit Start- und Zielpunkt für 150 Tage. Die Aufzeichnung erfolgte dauerhaft und war nur mit erheblichen Aufwand möglich, dies auszuschalten. Kennzeichen wurden ebenfalls mit erfasst. Private Nutzung war nicht vereinbart, jedoch geduldet. Zweck der Ortung war die Planung der Touren, Mitarbeiter und Fahrzeuge zu koordinieren, Nachweise ggü. Aufraggeber zu erbringen, Diebstahlschutz, Prüfung von verbotenen privaten Wochenendfahrten. Positionsdaten von Mitarbeitern können nicht auf Art. 6 Abs. 1 lit. c und f DSGVO und § 26 BDSG stützen. Außerdem wurden die Einwilligung und Transparenz nicht geachtet und sind nicht für das Beschäftigungsverhältnis erforderlich. Erlaubt sind: Daten, die während der Arbeitszeit anfallen zum Zweck (Tourenplanung, Mitarbeiter- und Fahrzeugeinsatz) Untersagt: Kontrolle der Privatfahrten, Speicherdauer von 150 Tagen | Abgrenzung und Definition von Daten, die in der Arbeitszeit anfallen Mitarbeiter über Geo-Ortung transparent informieren |
| Bundesarbeitsgericht 07.05.2019 | Betriebsräte und die DSGVO | In diesem Fall ging es um die Einsicht von Bruttogehaltslisten, bei denen der Klarname der Mitarbeiter ersichtlich ist. Dies ist nötig, um die Einhaltung der Vergütungsgrundsätze zu prüfen. Diese Einsicht ist nach Ansicht des Gerichts zulässig. Die zentrale Frage dabei war, ob es sich dabei um eine Datenverarbeitung handle. Eine Datenverarbeitung liegt vor. Es spielt in diesem Fall jedoch keine Rolle, ob der Betriebsrat als Dritter anzusehen ist. | Es wurde jedoch nicht die Rolle des Betriebsrats an sich geklärt. Ob der Betriebsrat nun eigener Verantwortlicher ist oder nicht, bleibt weiterhin ungeklärt. |
| Oberlandesgericht München 03.12.2019 | Entschädigung wegen heimlich mitgelesener E-Mails | Das heimliche Mitlesen von Mails führt zu einer Persönlichkeitsverletzung und damit zu einer Entschädigung. Der Inhaber einer Anwaltskanzlei las heimlich die persönlichen Mails seines Geschäftspartners mit. Das Passwort für den Mailaccount hat sich der Beklagte auf unerklärliche und dubiose Weise beschafft. | Das besondere bei diesem Urteil ist, dass es sich dabei um ein „Urteil ohne Sachverhalt“ handelt. Das Gericht beschreibt den Sachverhalt nicht detailliert nieder. Das bedeutet, dass nur durch die Urteilsbegründungen der Sachverhalt konstruiert werden kann. |
| Arbeitsgericht Lübeck 20.06.2019 | Schmerzensgeldanspruch wegen Fotoveröffentlichung ohne Einwilligung | Eine Mitarbeiterin verklagte ihren ehemaligen Arbeitgeber, da dieser ihr Mitarbeiterfoto auf der Facebookseite nicht nachkam. Des Weiteren lag keine Einwilligung zur Veröffentlichung in den sozialen Medien vor. Die Klägerin stimmte lediglich der internen Veröffentlichung zu. Das Gericht stimmte der Klägerin zu und verpflichtete den ehemaligen Arbeitgeber zur Zahlung eines Schmerzensgelds von 1.000,00 €. | Es ist zu prüfen, für welche Zwecke die Einwilligung seitens der Mitarbeiter eingeholt wird. Möchte ein Mitarbeiter keine Veröffentlichung seiner Bilder, ist dies zu respektieren und einzuhalten. |
| Landesarbeitsgericht Berlin Brandenburg 04.06.2020 | Biometrische Arbeitszeiterfassung nur mit Einwilligung zulässig | Die Zeiterfassung durch biometrische Daten z.B. Fingerabdruck, ist nach Urteil des LArbG nur mit Einwilligung des Mitarbeiters zulässig. Die Zeiterfassung nach § 26 Abs. 3 BDSG ist nach Ansicht des Gerichts nicht erforderlich. | Seitens der Mitarbeiter ist eine Einwilligung für die Datenerhebung von biometrischen Daten für die Zeiterfassung einzuholen. Des Weiteren sind die Mitarbeiter über die Datenverarbeitung nach Art. 13 DSGVO zu informieren. |
| Landesarbeitsgericht Düsseldorf 23.06.2020 | Betriebsrat darf ohne Zustimmung des Arbeitnehmers keine Einsicht in die elektronische Personalakte nehmen | Bei dem Arbeitgeber gibt es neben dem Gesamtbetriebsrat auch noch zwölf örtliche Betriebsräte. Die Gesamtbetriebsvereinbarung ist vorgesehen, dass die Betriebsratsvorsitzenden permanenten Zugriff auf die elektronische Personalakte der Mitarbeiter (Ausnahme hier leitende Mitarbeiter und Personalmitarbeiter) erhält. Das Gericht sieht in dieser Klausel einen Verstoß gegen das allgemein Persönlichkeitsrecht nach Art. 1 Abs. 1 GG. | |
| Landesarbeitsgericht Köln 14.09.2020 | Schmerzensgeld wegen nicht entfernten Mitarbeiterdaten auf Homepage | Nach dem Ausscheiden einer Mitarbeiterin hatte der ehemalige Arbeitgeber eine PDF-Datei mit dem Namen des Mitarbeiters, vergessen zu löschen. Nachdem der Arbeitgeber darauf aufmerksam gemacht wurde, entfernte er die Datei. Die ehemalige Mitarbeiterin reichte dennoch Klage ein. Das Landesarbeitsgericht sah in diesem Fall einen (geringen) Datenschutzverstoß. Es konnte nicht nachgewiesen werden, wie oft die Datei angeklickt wurde. Des Weiteren gab es auch keinen erkennbaren Mehrwehrt für den Arbeitnehmer, wenn er die Datei weiter auf der Webseite belässt. Der Klägerin wurden 300,00 € Schmerzensgeld zugesprochen. | Dieser Fall zeigt, dass auch bei nicht entfernten Daten ein Schmerzensgeld nach Art. 82 DSGVO zugesprochen werden dürfen. |
| Landesarbeitsgericht Baden-Württemberg 17.09.2020 | Fristlose Kündigung eine Mitarbeiters bei umfangreicher Datenlöschung | In einem Gespräch teilte der Arbeitgeber dem Arbeitnehmer mit, das Arbeitsverhältnis mittels eines Aufhebungsvertrags zu beenden. Der Mitarbeiter forderte dabei eine Abfindung, in welche der Arbeitgeber nicht einwilligte. Zwei Tage nach dem Gespräch löschte der Arbeitnehmer über 3.300 Datensätze (ca. 8 GB) auf den Server des Arbeitgebers, woraufhin die fristlose Kündigung erfolgte. Das LAG Baden-Württemberg sieht in der Datenlöschung einen wichtigen Grund für die fristlose Kündigung. Des Weiteren ist das Gericht der Auffassung, dass die Löschung nicht ausversehen, sondern mit Vorsatz erfolgte. | |
| Landesarbeitsgericht Köln 21.05.2021 | Mitbestimmungsrecht des Gesamtbetriebsrats bei Einführung von Microsoft Office 365 | Die Einführung von Office365 unterliegt der Mitbestimmung des Gesamtbetriebsrats, da es sich um eine technische Einrichtung handelt, die das Verhalten oder die Leistung der Arbeitnehmer überwachen kann. Es ist auch bedeutungslos, ob die Überwachungsabsicht seitens des Arbeitgebers wahrgenommen wird oder nicht. Weiterhin erkannte das Gericht, dass die Administration von Microsoft 365 unternehmensweit einheitlich zu erfolgen hat. Die Module Yammer, Sway, Planner und PowerApps können nur gesamt ein- oder ausgeschalten werden. Auch bei Teams, OfficePlus, Stream und ToDo besteht nur die Möglichkeit einer einheitlichen Administration. | |
| Verwaltungsgericht Wiesbaden 17.01.2022 | Zulässigkeit von GPS-Tracking im Logistikbereich | Die Klägerin, ein Unternehmen der Logistikbranche mit 76 Beschäftigten, hat seit dem 01.04.2020 GPS-Systeme in die 55 Fahrzeuge der Firmenflotte eingebaut. Die Klägerin erhebt und speichert mit einem Software-Tool über eine SaaS-(Cloud-)Lösung Daten zum Tracking ihrer Firmenfahrzeuge. Die Software ermöglicht die Bestimmung des Live-Standorts von Fahrzeugen per GPS und die Speicherung der Standortdaten und misst den Benzinverbrauch. Außerdem wird bei den 12 Fahrzeugen der Klägerin mit mehr als 7,5 t der Fahrtenschreiber gemanagt, wobei eine Zuordnung zum jeweiligen Inhaber der Fahrerkarte erfolgt. Die Fahrerkarte wird vom TÜV ausgestellt, enthält den Namen und das Geburtsdatum des Inhabers sowie eine individuelle Nummer. Die Daten der Fahrerkarte werden alle 28 Tage aus der Software gelöscht; die Daten der Lenk- und Ruhezeiten werden nach einem Jahr gelöscht. Im Übrigen erfolgt die Speicherung der Daten bei der Klägerin für 400 Tage. Die Mitarbeiter wurden über die Einführung des GPS nicht informiert. Der hessische Datenschutzbeauftragte erfuhr von diesem Vorgehen und forderte das Unternehmen zur Unterlassung und Löschung der Daten auf. Das Unternehmen erhob dagegen Klage. Das VG lehnte die Klage ab. Es existiert für die Datenverarbeitung keine Rechtsgrundlage. |
Betroffenenrechte
| Gericht und Datum des Urteils | Thema | Zusammenfassung | Hinweise / Empfehlungen der Datenbeschützerin |
| Europäischer Gerichtshof 20.12.2017 | Prüfungsarbeiten enthalten personenbezogene Daten | Der EuGH entschied, dass Prüfungsarbeiten personenbezoge Daten enthalten. Somit unterliegen sie auch dem Auskunftsgesuch, d.h. die Herausgabe einer Kopie der Prüfungsantworten an den Prüfling ist möglich (und zwar kostenlos). | |
| Oberlandesgericht Frankfurt am Main 06.09.2018 | Unterlassungs- und Löschanspruch nach Art. 17 DSGVO gegen Suchmaschinenbetreiber | Der Geschäftsführer einer gemeinnützigen Organisation begehrte die Löschung von negativen Presseberichten. In diesen wurden über die finanziellen Schwierigkeiten der Organisation sowie über den Gesundheitszustands des Klägers berichtet. Der Kläger fordert Google mittels der Klage auf, die Presseberichte zu löschen bzw. dessen Namen nicht mehr in der Suchmaschine finden zu lassen. Das Gericht wies die Klage ab, da keine falschen Tatsachen berichtet wurden. Auch überwiegt das öffentliche Interesse zum persönlichen Interesse des Klägers. | Die Revision zum Bundesgerichtshof ist zulässig. Es ist abzuwarten, ob eine höchstrichterliche Entscheidung in Bezug auf den Art. 17 DSGVO erfolgt. |
| Bundessozialgericht 19.12.2018 | Keine dauerhafte Speicherung von Versichertenfotos | Fotos von Versicherten dürfen nur so lange gespeichert werden, bis die Gesundheitskarte hergestellt und dem Versicherten übermittelt wurde. Somit ist keine dauerhafte Speicherung des Fotos bis zum Ende des Versicherungsverhältnisses möglich. | |
| Landesarbeitsgericht Baden-Württemberg 20.12.2018 | Auskunftsanspruch nach der DSGVO – berechtigte Interessen Dritter an einer Geheimhaltung | Ehemalige Führungskraft von Daimler wollte umfangreiches Auskunftsrecht nach Art. 15 Abs. 3 DSGVO geltend machen. Eine Herausgabe von Kopien der Datensätze kann nur verweigert werden, wenn das schützenswerte Interesse von Dritten besteht. Im vorliegenden Fall konnte Daimler das Schutzinteresse nicht nachweisen. Das Gericht sprach dem ehemaligen Mitarbeiter Recht zu. | Vor Informationsübermittlung die anfragende Person identifizieren prüfen, ob bei Herausgabe von Informationen Rechte von Dritten betroffen sind. |
| Verwaltungsgerichtshof Berlin 27.01.2019 | Personenbezogene Daten am Halsband eines Hundes | Ein Hundebesitzer klagte gegen die Verpflichtung, Namen und Adresse öffentlich sichtbar am Halsband bzw. Geschirr anzubringen, da dies seine Privatsphäre verletzt, weil er seine personenbezogenen Daten offenlegen muss. Entscheidung: Die Verpflichtung greift zwar in das Grundrecht ein, jedoch nur im geringen Maße, da die Kennzeichnung auch nicht sofort sichtbar erfolgen kann. | |
| Landgericht Köln 18.03.2019 | Umfang des nach Art 15 DSGVO dient nicht als vereinfachte Buchführung | Eine Versicherungsnehmerin verlangte vollständige Datenauskunft. Die Versicherung beantwortete diese nur teilweise, weshalb die Betroffene vor Gericht ging. Das Gericht entschied, dass sich der Auskunftsanspruch nicht auf alle internen Vorgänge, rechtliche Bewertungen oder Analysen erstreckt. Das Auskunftsgesuch soll demnach nicht der vereinfachten Buchführung des Betroffenen dienen. | Prüfung der Betroffenenanfragen und Umfang der Datenherausgabe. |
| Verwaltungsgericht Lüneburg 19.03.2019 | (Un-)Zulässigkeit von Ortungssystemen in Firmenfahrzeugen | Speicherung von gefahrenen Strecken mit Start- und Zielpunkt für 150 Tage. Die Aufzeichnung erfolgte dauerhaft und war nur mit erheblichen Aufwand möglich, dies auszuschalten. Kennzeichen wurden ebenfalls mit erfasst. Private Nutzung war nicht vereinbart, jedoch geduldet. Zweck der Ortung war die Planung der Touren, Mitarbeiter und Fahrzeuge zu koordinieren, Nachweise ggü. Aufraggeber zu erbringen, Diebstahlschutz, Prüfung von verbotenen privaten Wochenendfahrten. Positionsdaten von Mitarbeitern können nicht auf Art. 6 Abs. 1 lit. c und f DSGVO und § 26 BDSG stützen. Außerdem wurden die Einwilligung und Transparenz nicht geachtet und sind nicht für das Beschäftigungsverhältnis erforderlich. Erlaubt sind: Daten, die während der Arbeitszeit anfallen zum Zweck (Tourenplanung, Mitarbeiter- und Fahrzeugeinsatz) Untersagt: Kontrolle der Privatfahrten, Speicherdauer von 150 Tagen | Abgrenzung und Definition von Daten, die in der Arbeitszeit anfallen Mitarbeiter über Geo-Ortung transparent informieren. |
| Verwaltungsgericht Wiesbaden 09.04.2019 | Verwaltungsgericht Wiesbaden legt EuGH Fragen zu Datenschutz und richterlicher Unabhängigkeit vor | Ein Bürger hat eine Auskunftsanfrage bezüglich einer Petition gegenüber dem Hessischen Landtag gestellt. Diese wurde jedoch abgelehnt, da Petitionen den öffentlichen Aufgaben unterliegen. | Es soll geklärt werden, ob der Ausschluss der DSGVO so einfach möglich ist, da Petitionsausschuss als Behörde tätig wird. |
| Oberlandesgericht Dresden 11.06.2019 | Schmerzensgeld aufgrund der DSGVO | DSGVO Der Kläger äußerte sich in einem sozialen Netzwerk rassistisch. Das Soziale-Netzwerk löschte daraufhin seinen Post und sperrte seinen Nutzerkonto. Der Kläger sah darin einen Datenschutzverstoß und forderte Schmerzensgeld. Das OLG Dresden wies dies jedoch ab, da es keine Persönlichkeitsrechtsverletzung sah und auch keine weitere Schädigung. | |
| Oberlandesgericht Köln 26.07.2019 | Auch Telefonnotizen sind personenbezogene Daten | Der Kläger begehrte Auskunft über seine Daten bei seiner Lebensversicherung. Es gab zuvor Auseinandersetzungen, woraufhin er die Auskunftsanfrage stellte. Er forderte die Versicherung auf, auch über Telefonnotizen und Telefonvermerke zu informieren. Die Versicherung meinte, dass diese Forderung sich nicht aus Art. 15 DSGVO ergäbe. Das OLG Köln gab dem Kläger bzw. dem Betroffenen Recht. Nicht nur nach außen erkennbare Daten (z.B. Name, Adresse, Geburtsdatum) sondern auch sachliche Informationen (hier die Telefonnotizen) zu den personenbezogenen Daten gehören. | Das Urteil zeigt, dass eine Konkretisierung des Begriffs „personenbezogene Daten“ statt findet. |
| Landgericht Frankfurt am Main 29.08.2019 | Zeitliche Beschränkung der Einwilligung seitens der Eltern zur Bildveröffentlichung des Kindes | Von der Klägerin wurden im Jugendalter Fotos angefertigt und mit Einwilligung der Eltern veröffentlicht. 19 Jahre nach der Aufnahme veröffentliche die Beklagte das Fotos nochmals. Die Klägerin verlangte Unterlassung. Das Gericht entschied zu Gunsten der Klägerin und gibt an, dass eine Einwilligung seitens der Eltern nach 19 Jahren nicht mehr gültig ist. Mit dem Urteil zeigt das Gericht, dass Einwilligungen nicht für immer gültig sind und bei Widerruf der Einwilligung Folge zu leisten ist. | Allgemein sollten Einwilligungen auf DSGVO-Konformität geprüft werden. Weiterhin ist es sinnvoll, die vorliegenden Einwilligungserklärungenzu sichten und ggf. eine erneute Einwilligung einzuholen, wenn diese älter sind bzw. nicht mehr DSGVO entsprechen. |
| Amtsgericht München 04.09.2019 | Anspruch auf Auskunft von personenbezogenen Daten | Redaktioneller Leitsatz:“ Von der Auskunftsverpflichtung erfasst sind daher alle Daten wie Namen oder Geburtsdatum genauso wie jegliche Merkmale, die eine Identifizierbarkeit eine Person ermöglichen können, z.B. Gesundheitsdaten, Kontonummer usw., nicht jedoch interne Vorgänge wie etwa Vermerke, sämtlicher gewechselter Schriftverkehr, der dem Betroffenen bereits bekannt ist, rechtliche Bewertungen oder Analysen. Der Anspruch aus Art. 15 DSGVO dient nicht der vereinfachten Buchführung des Betroffenen, sondern soll sicherstellen, dass der Betroffene den Umfang und Inhalt der gespeicherten personenbezogenen Daten beurteilen kann.“ | Das bedeutet, dass nicht alle Daten der betroffenen Person herauszugeben sind. Durch die Auskunftsanfrage sollten betriebsinterne Geschäftsgeheimnisse nicht gefährdet werden. Auch den Datenschutz für die Mitarbeiter ist bei einer Auskunft ebenfalls zu wahren. Update April 2020: Das Landgericht München I hat entgegen diesem Urteil die Kopie von Aktenvermerkten und Notizen zugesagt. Das Urteil selbst ist chronologisch in der Auflistung eingebunden. |
| Verwaltungsgericht Koblenz 06.09.2019 | Veröffentlichung von Lehrerbild im Schuljahrbuch | Fraglich bei dem Sachverhalt ist, ob eine Einwilligung seitens der Lehrer zur Veröffentlichung der Bilder im Schuljahrbuch nötig ist. Nach Ansicht des Gerichts ist keine Einwilligung seitens des Lehrers einzuholen mit folgender Begründung: – Der Lehrer konnte aus seinem Wissen davon ausgehen, dass bei einem Fototermin mit einem externen Fotografen die Bilder schulintern veröffentlicht werden – Die Bilder sind im dienstlichen Sinne angefertigt worden und verletzt somit nicht seine Intims- und Privatsphäre – Er gab seine Einwilligung „konkludent“, d.h. handelnd ab, als er sich zu der Schülergruppe dazu stellte, um abgelichtet zu werden – Des Weiteren wurde das Jahrbuch nur einen begrenzten Personenkreis (Schüler) zugänglich gemacht | Es sollte dennoch der Einzelfall geprüft werden, ob eine Einwilligung benötigt wird. Des Weiteren sind die Lehrkräfte (aber auch Schüler) mittels der Informationspflicht nach Art. 13 ff. DSGVO darüber aufzuklären, wie ihre Daten und Bildern verarbeitet werden. |
| Europäischer Gerichtshof 24.09.2019 | Löschung durch Suchmaschinen | Stellt eine Person Antrag auf Löschung der Suchergebnisse bei einer Suchmaschine zu seiner eigenen Person, hat diese dem nachzukommen. Allerdings müssen die Suchmaschinen die Löschungen nicht in allen Versionen in der Suchmaschine, also weltweit, vornehmen. Grund dafür ist, dass die DSGVO nur für europäische Länder gilt und nicht für die Welt. Das Recht auf Löschung und Vergessenwerden wird somit nicht weltweit erfolgen bzw. wird auch nicht seitens des EuGH verlangt. | |
| Amtsgericht Wertheim 12.12.2019 | Bußgeld wegen nicht ausreichender Auskunft nach Art. 15 DSGVO | Der Betroffene (Kläger) verlangte von einem Unternehmen Auskunft nach Art. 15 DSGVO. Das Unternehmen kam jedoch der Auskunftserteilung nicht nach bzw. nur geringfügig. Vor allem die Herkunft der Daten wurden verschwiegen. Das Amtsgericht sieht einen Verstoß gegen Art. 15 DSGVO begründet und verhängt ein Zwangsgeld von 15.000 €. | Die Prozesse rund um die Betroffenenrechte sollten klar definiert und kommuniziert werden. |
| Landgericht Köln 23.12.2019 | Schmerzensgeld bei Namensnennung des Lottogewinners | Ein Lotterieveranstalter veröffentlichte den Vor- und Nachnamen des Lottogewinners. Da der Name des Gewinners besonders war, wussten bereits nach kurzer Zeit viele Leute in seinem Umfeld über den Gewinn Bescheid. Daraufhin forderte der Gewinner die Unterlassung der Veröffentlichung und forderte zugleich Schmerzensgeld. Das LG Köln gab dem Kläger recht, da dieser erhebliche Nachteile aus der Veröffentlichung seines Namens hatte. | In diesem Falle wäre eine Einwilligung für die Namensveröffentlichung sinnvoll gewesen. |
| Verwaltungsgericht Berlin 28.02.2020 | Schüler kann nicht die „Bereinigung“ seiner Schülerakte bei Schulwechsel verlangen | Ein 13-jähriger Schüler verlangte die Bereinigung seiner Schulakte, um den Wechsel auf eine Privatschule nicht zu gefährden. In der Schulakte waren diverser Vermerke eingetragen, unter anderem, dass es nach einem gewalttätigen Zwischenfall der Schule verwiesen wurde. Der Schüler wollte mit seiner Klage vermeiden, dass die staatliche Schulakte an die Privatschule übermittelt wird. Das Gericht entschied jedoch, dass die Bereinigung nicht zulässig ist und die Schule für die Wahrung der Aufgaben die Schulakte übermitteln darf. | |
| Amtsgericht Hannover 03.02.2020 | Veröffentlichung von Fotos des Kindes ohne Zustimmung des Sorgeberechtigten nicht zulässig | Ein Vater stellte ohne die Zustimmung der sorgeberechtigten Großmutter Bilder seiner Tochter in Facebook online. Die Erlaubnis der Großmutter ging nur dahingehend, dass Fotos von ihm und seiner Tochter zwar angefertigt werden dürfen, von der Veröffentlichung jedoch abzusehen ist. | |
| Landgericht Heidelberg 21.02.2020 | Keine Datenkopie aus Back-Ups bei Auskunftsgesuch | Das Recht auf Datenkopie bei einem Auskunftsgesuch kann bei Back-Ups dahingehend verwehrt werden, wenn ein unverhältnismäßiger Aufwand entsteht. | |
| Bundesverfassungsgericht 19.03.2020 | Zentrale Speicherung von Patientendaten in anonymisierter Form zulässig | Der Kläger, welcher an einer seltene Erbkrankheit leidet, erhob Klage, um gegen die Datenspeicherung für Forschungszwecke vorzugehen. Der Kläger befürchtet, dass seine Daten unsicher verarbeitet werden und er nicht mehr anonym bleibt. Das Digitale-Versorgung-Gesetz erlaubt die Datenweitergabe in anonymisierter und pseudonymisierter Form durch die Krankenkasse an den Spitzenverband der Krankenkassen. Die Daten sollen vor allem für Forschungszwecke und insbesondere als Grundlage für politische Entscheidungen und zur Überprüfung der Gesundheitsversorgung dienen. Das BVerfG lehnte den Antrag des Klägers ab. Das Gesetz sieht zwingend die sichere Datenverarbeitung und überwiegt die Interessen der Betroffenen. | |
| Landgericht München 1 06.04.2020 | Anspruch auf Kopien personenbezogener Daten | Im Beratungsgespräch über Investments zwischen der Klägerin und Beklagten wurden Gesprächsnotizen seitens der Beklagten angefertigt. Nachdem das Investment fehlschlug, verlangte die Klägerin Auskunft und Herausgabe ihrer Daten. Die Beklagte übermittelte Kopien der Stammdaten, jedoch nicht über die Notizen. Daraufhin wurde Klage erhoben. Das LG München I bestätigte den Herausgabeanspruch der Klägerin. Die Beklagte habe neben den Daten, die zur Identifikation beitragen, auch die Daten herauszugeben, die Informationen über die Klägerin beinhalten, sprich die Telefon- und Aktennotizen. | Entgegen dem Urteil des AG München (September 2019) sieht das LG München I den Anspruch auf Kopien von sämtlichen Unterlagen (Vermerken, Notizen etc.) vor. Ob ein immerwährender Anspruch auf Kopien besteht, wird sich ggf. noch durch andere Urteile zeigen. Dennoch sind die Prozesse intern rund um die Betroffenenrechte klar zu definieren. Auch sind die Mitarbeiter selbst dahingehend zu schulen, wie mit einer Auskunftsanfrage von intern oder extern umgegangen wird. |
| Landgericht Dresden 29.05.2020 | Auskunftsanspruch von Patienten | Eine ehemalige Patienten verlangte Auskunftsanspruch nach Art. 15 DSGVO mit Kopien gegenüber einer Klinik. Die Klinik verlangte die Kostenerstattung der Kopien. Die Patienten war der Auffassung, dass die Kopien kostenfrei zur Verfügung zu stehen sind. Das Landgericht urteilte, dass die „Erstauskunft“ kostenlos zu erteilen ist. Erst bei wiederholten und weiteren Auskünften können die Kosten in Rechnung gestellt werden. | |
| Bundesverfassungsgericht 23.06.2020 | Kein Verpixeln von Fotos notwendig | Ein Fotograf sandte ein Bild eines vermutlich Ebola-Erkrankten an eine Zeitung. Der Fotografierte verklagte daraufhin die Zeitung. Das BVerfG entschied, dass das Foto ohne Unkenntlichmachung bzw. Verpixeln veröffentlicht werden durfte. Vorhergehende Instanzen haben den Fotograf zu einer Geldstrafe, da dieser das KunstUrhG nicht beachtet habe. Des Weiteren habe der Fotograf die Persönlichkeitsrechte zu wahren, so die Vorinstanz. Das BVerfG sieht dies anders. Die Zeitungsredaktion ist verantwortlich für die Wahrung der Persönlichkeitsrechte und nicht des Fotografen. | Bitte beachten Sie, dass es sich bei diesem Fall um eine journalistische Angelegenheit handelt. Grundsätzlich ist die Einwilligung eines Betroffenen für die Fotoveröffentlichung einzuholen (Mitarbeiter, Teilnehmer etc.). Eine Ausnahme besteht bei öffentlichen Veranstaltungen. Hier sind die Besucher über die Fotoanfertigung auf dem Gelände mittels der Informationspflicht zu informieren. |
| Oberverwaltungsgericht Lüneburg 22.07.2020 | Übermittlung sensibler personenbezogener Daten per Telefax | Sofern die Möglichkeit eines alternativen sicheren Übermittlungsweg zur Verfügung stehen, darf eine Behörde keine Bescheid per Fax mit sensiblen personenbezogene Daten übermitteln. Das Gericht bestätigte, dass die Übermittlung per Fax kein angemessenes Schutzniveau für sensible personenbezogene Daten enthält. Des Weiteren besteht die Möglichkeit eines Eingabefehlers. Die Behörde hätte den Bescheid z.B. per Post übermitteln können. | |
| Bundesgerichtshof 27.07.2020 | Das Recht auf Löschung ist im Einzelfall zu prüfen | Der Kläger verlangte von Google die Löschung von negativen Artikeln über seine geschäftlichen Tätigkeiten und seine Persönlichkeit. Im vorliegenden Fall urteilte der BGH, dass das Recht auf Löschung im Einzelfall zu prüfen ist. Nach Ansicht des BGH ist abzuwägen, ob das persönliche Schutzinteresse gegenüber dem öffentlichen Interesse überwiegt. „Die Privatsphäre geht nicht immer vor“ heißt es im Urteil. Die Entscheidung richtet sich zwar noch nach dem alten Datenschutz-Recht, ist jedoch auch auf neue Rechtslage anzuwenden. | Auch heutzutage ist das Fax noch ein beliebtes Übermittlungsinstrument. Das Urteil kann auch für weitere Bereiche Auswirkungen haben z.B. für Ärzte, Anwälte, Steuerberater etc. Im Einzelfall ist zu prüfen, ob die Übermittlung per Fax zulässig ist oder eine anderweitige sichere Kommunikation genutzt wird. |
| Amtsgericht Bonn 30.07.2020 | Auskunftsanspruch nach Art. 15 – gehören auch Kontoauszüge und Bewegungen dazu? | Der Kläger forderte von seiner ehemaligen Bank (Beklagte) seine Auskunft über seine Daten. Die Bank kam dem Auskunftsgesuch, verwehrte aber den Abzug seiner Kontoauszüge mit der Begründung, der Kläger führte zum damaligen Zeitpunkt ein Onlinekonto. Die Kontoauszüge konnte er über dieses abrufen und zusätzlich wurden die Auszüge nochmals per Post zugesandt. Das Gericht entschied zu Gunsten des Klägers. Die Beklagte hat dem Kläger auch die Kontobewegungen zur Verfügung zu stellen, da das Auskunftsrecht als „allumfassend“. | Die Auslegung des Art. 15 DSGVO ist von Gericht von Gericht unterschiedlich (siehe bereits vorhergehende Urteile). Somit ist immer im Einzelfall zu prüfen, inwieweit Kopien und Abzüge dem Betroffenen zur Verfügung zu stellen sind. Im Zweifel ist die zuständige Aufsichtsbehörde zur Unterstützung und Einschätzung des Sachverhalts zu kontaktieren. |
| Bundesverwaltungsgericht 16.09.2020 | Auskunftspflicht der Finanzbehörde | Ein Insolvenzverwalter beantragte den Auszug und damit die Auskunft über das Steuerkonto über den Schuldner. Das Gericht verweigert zwar dem Insolvenzverwalter die Auskunft, da dieser als Dritter den Anspruch geltend machte. Das Gericht betont jedoch, dass der Betroffene selbst seinen Auskunftsanspruch nach Art. 15 DSGVO gegenüber der Finanzbehörde geltend machen kann. | In der Vergangenheit haben sich viele Finanzbehörden geweigert, Auskunft gegenüber dem Betroffenen zu erteilen. |
| Landgericht Lüneburg 05.01.2021 | Schmerzensgeld wegen 20,00 € Kontoüberziehung | Der Kläger erhielt durch seine Bank einen Dispositionskredit, welcher seitens der Bank aus wichtigem Grund gekündigt wurde. Der Kredit wurde durch den Kläger beglichen, lediglich 20,00 € waren noch ausstehend. Der Kläger zahlte jedoch den fälligen Betrag noch vor Ablauf der Frist. Allerdings übermittelte die Bank bereits bei Kündigung die Negativ-Meldung an die Schufa. Das Gericht sah die Mitteilung an die Schufa für rechtswidrig und sprach dem Kläger ein Schmerzensgeld in Höhe von 1.000,00 € zu. | |
| Landgericht Essen 19.01.2021 | Klarnamen in Bewertungsportalen zulässig | Eine Kundin einer Bäckerei hinterließ bei einem großen Suchmaschinendienst eine Bewertung für die Filiale und nannte auch den Namen einer Mitarbeiterin, mit welche sie nicht zufrieden war. Die Mitarbeiterin verlangte daraufhin die Löschung der Bewertung aus der Suchmaschine. und erhob Klage. Das LG Essen gab der Klägerin nicht recht. Das Gericht prüfte den Einzelfall und wägte zwischen der Meinungsfreiheit und Betroffenenrechten ab. In diesem Fall ist die Rezension nicht zu löschen, da die Verarbeitung rechtmäßig im Sinne der Ausübung der Meinungsfreiheit erfolgte. „Ferner besteht auch ein schützenswertes Informationsrecht der Allgemeinheit durch potentielle weiterer Kunden des Cafés sowie ein Informationsrecht des Arbeitsgebers darüber zu erfahren, welcher seiner Mitarbeiter von den Kunden als freundlich oder unfreundlich empfunden werden.“, heißt es noch im Urteil. | |
| Oberverwaltungsgericht Lüneburg 19.01.2021 | Veröffentlichung von Gruppenfotos auf Facebook ohne Einwilligung nicht zulässig | Auf einer öffentlichen Veranstaltung für den Bau einer neuen Ampelanlage im Jahr 2014 fanden sich unter anderem Anwohner, Mitarbeiter der Kommune und politische Vertreter teil. Einer der Veranstaltungsteilnehmer nahm dabei ein Foto auf, auf welchem 30 – 40 Personen eindeutig erkennbar sind. Erst im Jahr 2018 wurde das Bild durch die Partei auf Facebook veröffentlicht. Ein Betroffener forderte die Partei dazu auf, das Bild zu löschen, da keine Einwilligung vorliegt. Weiterhin wurde Beschwerde bei der Aufsichtsbehörde eingereicht. Letztendlich wurde Klage beim zuständigen Gericht erhoben. Mit Beschluss des OVG wurde erstmals seit Inkrafttreten der DSGVO eine klare Entscheidung bezüglich der Veröffentlichung von Fotos definiert. Das Gericht entschied, dass eine Einwilligung vorzuliegen hat. | Ein spannender und interessanter Fall, da die Aufnahme des Bildes und die Veröffentlichung zeitlich auseinanderliegen. Mit diesem Beschluss wird nochmals eindeutig hervorgehoben, dass auch bei Gruppenbildern eine Einwilligung vorzuliegen hat. |
| Bundesozialgericht 20.01.2021 | Elektronische Gesundheitskarte steht im Einklang mit der DSGVO | Zwei Kläger hatten die Befürchtung, dass die elektronische Gesundheitskarte und die damit verbundene Telematikinfrastruktur nicht datenschutzkonform sei und verlangten einen Nachweis auf Papier über die Leistungen. Das Bundesozialgericht ist der Auffassung nicht gefolgt. Die Leistungsnachweise sind mit der elektronischen Gesundheitskarte nachzuweisen. Die Gesetze um die elektronische Gesundheitskarte und die Telematikinfrastruktur stehen im Einklang mit der DSGVO. | |
| Amtsgericht Lehrte 03.02.2021 | Anspruch auf Negativauskunft bei Auskunftsanfragen nach Art. 15 DSGVO | Mit Entscheidung des AG Lehrte erhalten die Betroffenen auch das Recht auf Negativauskunft über seine Daten. Negativauskunft bedeutet, dass das Unternehmen nur die Daten der Anfrage selbst hat und sonst keine. | In der Praxis kommt es immer wieder vor, dass Betroffene nach ihren Daten anfragen, obwohl keine Daten bei der Institution gespeichert sind. Das der Betroffene dennoch Anspruch auf eine Negativauskunft haben, wurde jetzt mittels Urteil gestärkt. |
| Bundesarbeitsgericht 27.04.2021 | Erteilung einer „Datenkopie“ nach Art. 15 Abs. 3 DSGVO | Der Kläger war bei der Beklagten vom 1. bis 31. Januar 2019 als Wirtschaftsjurist beschäftigt. Mit seiner Klage hat er ua. Auskunft über seine von der Beklagten verarbeiteten personenbezogenen Daten sowie die Überlassung einer Kopie dieser Daten gemäß Art. 15 Abs. 3 DSGVO verlangt. Die Klage auf Erteilung einer Kopie der personenbezogenen Daten des Klägers hat das Arbeitsgericht abgewiesen. Das Landesarbeitsgericht hat ihr teilweise entsprochen und sie im Übrigen abgewiesen. Es hat angenommen, der Kläger habe zwar einen Anspruch auf Erteilung einer Kopie seiner personenbezogenen Daten, die Gegenstand der von der Beklagten Auskunft waren, nicht aber auf die darüber hinaus verlangten Kopien seines E-Mail-Verkehrs sowie der E-Mails, die ihn namentlich erwähnen. Die gegen die teilweise Abweisung seiner Klage gerichtete Revision des Klägers hatte vor dem Bundesarbeitsgericht keinen Erfolg. | Mit diesem Urteil wurde erstmals eine konkrete Grenze für den Umfang des Auskunftsrechts definiert. |
| Verwaltungsgericht Schwerin 29.04.2021 | Beweissicherungsgutachten ist personenbezogenes Datum | Der Kläger beauftragte einen Gutachter für die Erstellung eines Beweissicherungsgutachtens über den Gebäudezustand. Bei der Begehung des Objekts war auch der Eigentümer des Gebäudes anwesend. Im Anschluss wurde das Gutachten erstellt. Der Eigentümer verlangte anschließend das Gutachten vom Kläger, wie zwischen dem Eigentümer und dem Kläger vereinbart. Der Kläger kam dieser Aufforderung nicht nach. Der Eigentümer wandte sich an die zuständige Aufsichtsbehörde. Diese erließ einen Bescheid mit der Aufforderung zur Übermittlung des Gutachtens an den Eigentümer. Im Bescheid wird unter anderem argumentiert, dass hier personenbezogene Daten verarbeitet werden und somit die Aufsichtsbehörde auch Befugnis zur Erteilung des Bescheids ist. Der Kläger reichte anschließend Klage an, da er nicht der Auffassung ist, dass es sich bei einem Gutachten um ein personenbezogenes Datum handelt. Das Verwaltungsgericht lehnt die Klage ab und sieht bei dem Gutachten sehr wohl einen Personenbezug. Insbesondere die aufgenommen Fotos lassen einen Einblick in die Privatsphäre der Person gewähren. Weiterhin nimmt das Gericht die Abgrenzung zwischen Personen- und Sachdaten vor. Sachdaten beziehen sich selbst nur auf eine Sache und stehen in keinem Zusammenhang mit einer Person. Das Gericht entschied, dass die Aufsichtsbehörden Bescheid zur Übermittlung des Gutachtens an den Eigentümer rechtmäßig erlassen hat. | An dem Urteil ist insbesondere die Unterscheidung zwischen Personen- und Sachdaten sehr interessant. Durch das Urteil wird klar, dass ein Rückschluss auf die Person ausreichend ist, um einen Personenbezug herzustellen. |
| Oberverwaltungsgericht Nordrhein-Westfalen 08.06.2021 | Anspruch auf Prüfungskopie | Ein Absolvent begehrte die Kopie seiner Examensklausur mit dem Prüfungsgutachten. Das Prüfungsamt wollte die Kopie nur gegen Bezahlung zur Verfügung stellen. Der Kläger verwehrte dies und berief sich auf sein Auskunftsrecht und reichte Klage ein. Die Vorinstanzen stimmten dem Kläger zu und forderten die Beklagte dazu auf, die Kopie zur Verfügung zu stellen. Auch das OVG entschied zu Gunsten des Klägers. Das Gericht berief sich ebenfalls auf das EuGH-Urteil vom Dezember 2020 (siehe erster Eintrag). Somit ist dem Kläger die kostenlose Kopie seines Examens zur Verfügung zu stellen. | |
| Bundesgerichtshof 15.06.2021 | Umfang des Auskunftsanspruchs insbesondere Datenkopien | Der Kläger verlangte von seiner Versicherung regelmäßig Auskunft und Kopie seiner gespeicherten Daten. Dieser Anfrage kam die Versicherung stets nach, jedoch nicht ausreichend genug. Der BGH stimmte dem Kläger zu, dass sogar die Korrespondenz zwischen Kläger und Beklagten Teil der Auskunft zu sein hat. | Mit dem Urteil stellt der BGH eindeutig fest, dass Datenverantwortliche umfangreich Auskunft über die gespeicherten Daten zu erteilen haben, sogar über interne Vermerke. |
| Oberlandesgericht Düsseldorf 20.07.2021 | Einwilligungserklärung ist von beiden Sorgeberechtigten zu unterzeichnen | Sofern Kinderfotos in sozialen Medien veröffentlicht werden, ist die Unterschrift beider Sorgeberechtigten notwendig. Die neue Lebensgefährtin des Vaters veröffentlichte mit dessen Einverständnis Bilder der beiden Töchter beim Haareschneiden, um Werbung für ihren Salon zu schalten. Die Mutter erfuhr erst nach der Veröffentlichung davon und forderte die Lebensgefährtin zur Löschung der Daten auf. Diese kam der Forderung nicht nach und lud sogar noch weitere Fotos hoch. Auch der Vater kam der Aufforderung nicht nach. Die Mutter ging daher vor Gericht. In erster Instanz wurde zugunsten der Mutter entschieden und die Fotos wurden aus dem sozialen Netzwerk gelöscht. Der Vater allerdings sah bei dem Vorgehen sein Recht auf rechtliches Gehör verletzt und legte Beschwerde ein. Seiner Argumentation zufolge zeigten die Fotos Alltagssituationen und verletzten somit nicht das Persönlichkeitsrecht der Töchter. Das OLG Düsseldorf entschied letztendlich, dass es der Einwilligung beider Elternteile bedarf, wenn Fotos in sozialen Netzwerken veröffentlicht werden. | |
| Landgericht Wuppertal 29.07.2021 | Auskunftsverweigerung bei Rechtsmissbrauch möglich | Der Kläger begehrte von seiner privaten Kranken- und Pflegeversicherung Auskunft über die Beitragsanpassungen der Jahre 2014 – 2016. Das Auskunftsgesuch lässt sich jedoch nicht auf Art. 15 DSGVO stützen, so das Gericht. Der Kläger begehrte Auskunft über die Leistungsnachverfolgung. Dies steht nicht im Einklang mit dem Auskunftsgesuch. Das Auskunftsgesuch dient der Überprüfung der rechtmäßigen Verarbeitung, Umfang der verarbeiteten daten und Inhalt der Daten. | |
| Bundesarbeitsgericht 26.08.2021 | Verarbeitung sensibler Daten im Rahmen des Beschäftigungsverhältnisses | Der Kläger war langjähriger Mitarbeiter einer Krankenversicherung; zuletzt als IT-Administrator tätig. Zudem ist der Kläger schwerbehindert und seit Ende 2017 arbeitsunfähig erkrankt. Daraufhin beauftragte die Krankenkasse des Klägers ein medizinisches Gutachten als medizinischer Dienst beim Arbeitgeber. Für die Erstellung des Gutachtens erhielten die Mitarbeiter und Kollegen des Beklagten Einsicht in seine sensiblen Daten und wussten somit über seine Erkrankung Bescheid. Das Bundesarbeitsgericht hat hierzu noch kein abschließendes Urteil gefällt, da Fragen für die Beurteilung eines Bußgeldes offen bleiben. Zentrale Frage ist vor allem auch, inwieweit sensible und ob überhaupt die sensiblen Daten im Rahmen des Beschäftigungsverhältnisses verarbeitet werden dürfen. | Folgende Fragen wurden an EuGH zur Beantwortung vorgelegt: 1. Ist Art. 9 Abs. 2 Buchstabe h DSGVO dahin auszulegen, dass es einem Medizinischen Dienst einer Krankenkasse untersagt ist, Gesundheitsdaten seines Arbeitnehmers, die Voraussetzung für die Beurteilung der Arbeitsfähigkeit dieses Arbeitnehmers sind, zu verarbeiten? 2. Für den Fall, dass der Gerichtshof die Frage zu 1. verneinen sollte mit der Folge, dass nach Art. 9 Abs. 2 Buchstabe h DSGVO eine Ausnahme von dem in Art. 9 Abs. 1 DSGVO bestimmten Verbot der Verarbeitung von Gesundheitsdaten in Betracht käme: Sind in einem Fall wie hier über die in Art. 9 Abs. 3 DSGVO bestimmten Maßgaben hinaus weitere, gegebenenfalls welche Datenschutzvorgaben zu beachten? 3. Für den Fall, dass der Gerichtshof die Frage zu 1. verneinen sollte mit der Folge, dass nach Art. 9 Abs. 2 Buchstabe h DSGVO eine Ausnahme von dem in Art. 9 Abs. 1 DSGVO bestimmten Verbot der Verarbeitung von Gesundheitsdaten in Betracht käme: Hängt in einem Fall wie hier die Zulässigkeit bzw. Rechtmäßigkeit der Verarbeitung von Gesundheitsdaten zudem davon ab, dass mindestens eine der in Art. 6 Abs. 1 DSGVO genannten Voraussetzungen erfüllt ist? 4. Hat Art. 82 Abs. 1 DSGVO spezial- bzw. generalpräventiven Charakter und muss dies bei der Bemessung der Höhe des zu ersetzenden immateriellen Schadens auf der Grundlage von Art. 82 Abs. 1 DSGVO zulasten des Verantwortlichen bzw. Auftragsverarbeiters berücksichtigt werden? 5. Kommt es bei der Bemessung der Höhe des zu ersetzenden immateriellen Schadens auf der Grundlage von Art. 82 Abs. 1 DSGVO auf den Grad des Verschuldens des Verantwortlichen bzw. Auftragsverarbeiters an? Insbesondere, darf ein nicht vorliegendes oder geringes Verschulden auf Seiten des Verantwortlichen bzw. Auftragsverarbeiters zu dessen Gunsten berücksichtigt werden? Bei neuen Informationen zum Verfahren wird der Beitrag wieder aktualisiert. |
| Landgericht München I 02.09.2021 | Datenbereitstellung nach Art. 15 DSGVO durch Link möglich | Der Kläger legte ein Kundenkonto mit seiner geschäftlichen Mailadresse bei einem sozialen Netzwerk an. Nach dem dem Kläger Auskunft über seine Daten verlangte, stellte das soziale Netzwerk die Daten mittels Link zur Verfügung. Daraufhin forderte der Anwalt Schadenersatz bei der Beklagten, da der Link nicht funktionierte und das soziale Netzwerk Opfer eines Datenlecks war und dadurch die E-Mail-Adresse des Klägers gestohlen wurde. Die Beklagte bestritt den Vorwurf des Datenlecks. Des Weiteren verwies die Beklagte auf die Praxis-Methodik zur Bereitstellung der Daten per Link. Das LG München I urteilte zugunsten der Beklagten. Dem Kläger steht kein Anspruch auf Schadensersatz zu, da Bereitstellung der Daten per Link in Ordnung ist. Zudem hat die Beklagte noch Screenshots vorlegt, welche beweisen, dass der Link funktioniert. | Damit die Bereitstellung der Daten mittels Link zulässig ist, dass der betroffenen Person jederzeit die personenbezogenen Daten über den versandten Link zur Verfügung stehen. |
| Oberlandesgericht München 04.10.2021 | Recht auf Datenkopien im Rahmen des Auskunftsgesuchs nach Art. 15 DSGVO | Die Klägerin verlangte Auskunft nach Art. 15 DSGVO über die bei dem Beklagten gespeicherten personenbezogenen Daten inkl. der Datenkopien. Hintergrund war die Prüfung der rechtmäßigen Verarbeitung der Daten durch den Beklagten. Der Beklagte beantwortete das Auskunftsgesuch, jedoch ohne Kopien der Daten. Das Landgericht verurteilte den Beklagten zur Herausgabe aller personenbezogener Daten – insbesondere Telefonnotizen, Aktenvermerke, Protokolle, E-Mails, Briefe und Zeichnungsunterlagen für Kapitalanalgen. Der Beklagte legte gegen das Urteil Berufung ein. Das OLG München wies die Berufungsklage ab und stimmte mit dem Urteil der ersten Instanz zu. Der Beklagte ist zur Herausgabe der Daten verpflichtet, damit die Klägerin sich über die Rechtmäßigkeit der Verarbeitung einen Überblick verschaffen kann. | Das Urteil des OLG München ist wegweisend im Bezug auf die Herausgabe der Datenkopien. Im Urteil wird jedoch auch genannt, dass die Herausgabe von Kopien verneint werden kann, wenn es sich um Daten handelt, die Gegenstand der Verarbeitung sind. Es ist daher immer im Einzelfall zu prüfen, ob und inwieweit die Daten herauszugeben sind. Intern sollte ein Prozess für Betroffenenanfragen integriert sein, so dass alle Mitarbeiter richtig handeln und die weiteren Schritte in die Wege leiten können (Meldung an Vorgesetzten, DSB etc.). |
| Bundesarbeitsgericht 16.12.2021 | Einschränkung des Auskunftsanspruchs nach Art. 15 DSGVO | Der Kläger verlangte im Rahmen eines Gerichtsprozess Auskunft über seine Daten. Er wollte dabei nicht nur Auskunft über seine Leistungs- und Verhaltensdaten, sondern verlangte auch eine Kopie seiner E-Mails mit Leistungs- und Verhaltensdaten. Im Zweifel müsste in einem Vollstreckungsverfahren geklärt werden, ob die Daten zurückgehalten werden hätten dürfen. Das BAG wies die Klage ab, da der Bestimmtheitsgrundsatz der Urteile der Vorinstanzen nicht gewahrt wurde. Es ging vor allem und die Begriffe „Leistungs- und Verhaltensdaten“, die es zu konkretisieren galt. Dieser Begriff wäre nur zulässig, wenn für den Kläger eine weitere Konkretisierung unmöglich ist. | Mit diesem Urteil wurde der Auskunftsanspruch eingegrenzt. Das bedeutet doch jedoch nicht, dass automatisch sämtliche Auskünfte zu verweigern sind. Es ist immer im Einzelfall abzustimmen, welche Informationen dem Auskunftsgesuch unterliegen. Daher ist es ratsam, wenn intern ein Prozess zur Beantwortung von Betroffenenanfragen definiert ist. |
| Oberlandesgericht Nürnberg 14.03.2022 | Auskunftsgesuch zur Feststellung von Rechtsansprüchen ist rechtsmissbräuchlich | Ein privater Krankenversicherter verlangte von seiner Krankenkasse Auskunft über seine Daten, um zu überprüfen, ob die Beitragserhöhung wirksam war. Das OLG Nürnberg entschied, dass es sich um eine exzessive Ausübung handelt und weitere Missbrauchstatbestände möglich sind. Die Anfrage erfolgte nicht im Interesse der DSGVO. Die Auskunftsanfrage dient dazu, um sich der Verarbeitung seiner personenbezogener Daten bewusst zu werden. | Das OLG Nürnberg stellt damit nochmals ganz deutlich klar, dass eine missbräuchliche Ausübung seiner Betroffenenrechte verwirkt werden kann. |
| Amtsgericht Pankow 28.03.2022 | Kein Auskunftsanspruch wegen Unzumutbarkeit | Die Beklagte ist Betreiberin von S-Bahnen. In diesen S-Bahnen werden vereinzelt Videoaufnahmen bei Fahrbetrieb angefertigt und für 48 Stunden gespeichert. Der Kläger verlangte im April 2021 die Herausgabe der Videoaufnahmen und zugleich die längerer Speicherung der Aufnahmen. Die Beklagte löschte jedoch routinemäßig die Aufnahme und teilte dies dem Kläger mit. Somit war keine Auskunftserteilung nach Art. 15 DSGVO möglich. Daraufhin erhob der Kläger Klage und verlangte Schmerzensgeld in Höhe von 350,00 €. Das AG Pankow lehnte die Klage auf Schmerzensgeld ab. Es lag kein Verstoß gegen die DSGVO vor und die Beklagte verstieß mit der Verweigerung ebenfalls nicht gegen das Auskunftsgebot. Es wurde auch begründet, dass die Verhinderung der automatischen Löschung mit einem erheblichen Aufwand an Zeit und Kosten verbunden gewesen wäre. | Sofern ein hoher bzw. unzumutbarer Aufwand zur Beantwortung einer Betroffenenanfrage vorliegt, darf die Auskunft verweigert werden. Dies ist auch anerkannt. Dennoch ist zunächst zu prüfen, ob der Aufwand tatsächlich unzumutbar ist. |
| Europäischer Gerichtshof 12.01.2023 | Verantwortlicher hat Empfänger bei Auskunftsgesuch konkret zu benennen | Grundsätzlich hat der Verantwortliche bei einem Auskunftsgesuch dem Betroffenen gegenüber die konkreten Empfänger zu nennen. Sprich, eine Nennung der Kategorien z.B. Auftragsverarbeiter ist nicht ausreichend. Eine Ausnahme besteht nur, wenn für den Verantwortlichen nicht möglich ist, die Empfänger eigens zu identifizieren. Des Weiteren gilt die Auskunftspflicht ebenfalls nicht, wenn der Verantwortliche nachweisen kann, dass das Auskunftsgesuch des Betroffenen exzessiv oder unbegründet ist. |
Haftung
| Gericht und Datum des Urteils | Thema | Zusammenfassung | Hinweise / Empfehlungen der Datenbeschützerin |
| Bundesgerichtshof 26.07.2018 | Haftung und Betrieb eines Gäste-WLANs | Folgende Punkte sollten bei Betrieb eines Gäste-WLANs beachtet werden: – es wird nicht zwischen WLAN und Kabelangebot unterschieden – technische Trennung des Gäste-WLANs vom Unternehmensnetzwerk – starkes Zugangspasswort wählen (ca. 12 Zeichen) Bei Verstößen ist der WLAN-Betreiber dazu verpflichtet, dies mittels technischen Mitteln zukünftig unterbinden zu können | Wir empfehlen zusätzlich Nutzungsbedingungen für den Nutzer bereit zu stellen, die er, bevor er aktiv das WLAN nutzen kann, akzeptiert. Des Weiteren ist das Verfahren des Gäste-WLANs im Verfahrensverzeichnis zu dokumentieren und auch die Gäste auch mittels der Informationspflicht zu informieren. |
Informationspflichten nach Art. 13 und Art. 14 DSGVO
| Gericht und Datum des Urteils | Thema | Zusammenfassung | Hinweise / Empfehlungen der Datenbeschützerin |
| Kammergericht Berlin 27.12.2018 | Veraltete Datenschutzklausen von Apple | Fall aus dem Jahr 2011: Datenschutzklauseln wurden dennoch anhand der DSGVO gemessen, obwohl diese noch nicht in Kraft getreten war. Möglich war dies durch eine Unterlassungsklage für die Zukunft, da davon ausgegangen werden konnte, dass Apple zukünftig auch nochmal gegen den Datenschutz verstoße. Apple verlor den Prozess Fazit: Alte Datenschutzklauseln müssen sich heute am Maßstab der DSGVO messen lassen, wenn die Gefahr besteht, dass Unternehmen diese nochmals verwenden und damit gegen die DSGVO verstoßen. | „Alte“ Datenschutzklauseln auf Aktualität und DSGVO-Konformität prüfen. |
| Kammergericht Berlin 21.03.2019 | Datenschutzerklärung von Google verstieß gegen DSGVO | Die Datenschutzerklärung und Nutzungsbedingungen aus dem Jahr 2012 werden heute noch verwendet und diese sind nicht mit der DSGVO vereinbar. 13 Klauseln hielt das KG für unwirksam, u.a. wurde der Eindruck erweckt, dass die Datenverarbeitung ohne Zustimmung des Kunden erlaubt ist. Die DSE war auch teilweise intransparent geschrieben. | Revision nicht zulässig; Google hat jedoch beim BGH Nichtzulassungsbeschwerde eingelegt. Verfahrensgang beim BGH verfolgen. |
Schadenersatz nach Art. 82 DSGVO / Schmerzensgeld
| Gericht und Datum des Urteils | Thema | Zusammenfassung | Hinweise / Empfehlungen der Datenbeschützerin |
| Amtsgericht Diez 07.11.2018 | Kein Schadenersatz nach der DSGVO bei bloßen Bagatellverstößen | Der Kläger verlangte 500 € Schmerzensgeld, da er eine unaufgeforderte Mail erhalten hat. Das Gericht wies die Klage zurück, da es durch den Datenschutzverstoß zu keiner erheblichen Beeinträchtigung gekommen ist. | |
| Amtsgericht Bochum 11.03.2019 | Schadenersatz ist nicht gleich Bußgeld | Eine Dame wurde durch eine Betreuerin unterstützt. Die Betroffene klagte, dass ihre Betreuerin Daten an den Vermieter weitergegeben hat und verlangte nach Art. 82 DSGVO Schadenersatz. Die Klägerin konnte jedoch nicht beweisen, dass ihr ein materieller oder immaterieller Schaden entstanden sei. Daher wies das Gericht den Schadenersatzanspruch zurück. Verlangt ein Kläger Schadenersatz, so hat dieser zu beweisen, dass ihm ein Schaden (materiell oder immateriell) entstanden ist. Die Aufsichtsbehörden können Bußgeldern verhängen, ohne das ein Schaden eingetreten ist. | Mit dem Urteil wird der Unterschied zwischen Bußgeld und Schadenersatz deutlich abgegrenzt. |
| Arbeitsgericht Düsseldorf 05.03.2020 | Schadenersatz wegen verspäteter und unvollständiger Auskunftsbeantwortung | Ein Mitarbeiter stellte eine Auskunftsanfrage bei seinem Arbeitgeber. Der Arbeitgeber erteilte die Auskunft zu spät und auch noch unvollständig. Daraufhin verklagte der Mitarbeiter seinen Arbeitgeber nach Art. 82 DSGVO. Das Düsseldorfer Gericht stimmte der Klage des Mitarbeiters zu und sprach diesem 5.000 € Schmerzensgeld zu. | Die Prozesse rund um die Betroffenenrechte sollten klar definiert werden. Auch sind die Mitarbeiter selbst dahingehend zu schulen, wie mit einer Auskunftsanfrage von intern oder extern umgegangen wird. |
| Amtsgericht Pforzheim 25.03.2020 | Schadensersatz wegen unerlaubter Datenweitergabe durch Psychotherapeuten | Der Kläger begehrte Schadensersatz seitens des Psychotherapeuten wegen folgendem Sachverhalt. Die damalige Ehefrau des Klägers befand sich in Behandlung beim Beklagten. In den Gesprächen wurden auch die Eheprobleme aufgenommen und dokumentiert. Der Kläger stellte sich auch auf Bitten des Beklagten in der Praxis für ein Gespräch vor. Während des Gesprächs verfasste der Beklagte eine umfangreiche Dokumentation. Es kam anschließend zur Trennung zwischen dem Kläger und seiner Frau. Bezüglich des Umgangsverfahrens übermittelte der Beklagte dem Rechtsanwalt der Ehefrau eine ausführliche Stellungnahme über den Ehemann (Kläger). Somit erhielten sämtliche Prozessbeteiligte die Informationen. Daraufhin erhob der Kläger Klage und erhielt Zuspruch. Der beklagte Psychotherapeut übermittelte unzulässigerweise sensible Daten an einen unberechtigten Dritten. Der Kläger erhielt 4.000 € als Schadenersatz. | Dieses Urteil zeigt deutlich, dass ernste Konsequenzen bei der unberechtigten Übermittlung an Dritte zur Folge hat. Es ist daher immens wichtig, zuvor zu prüfen, ob die Daten weiter übermittelt werden dürfen oder nicht. |
| Amtsgericht Frankfurt 10.07.2020 | Schadensersatzanspruch nur bei ernsthaften Beeinträchtigungen | Bei der Speicherung der Buchungsdaten im Registrierungssystem einer Hotelkette kam es zu einer Datenpanne. Dabei waren die Daten der Gäste im Internet frei einsehbar. Ein Gast stellte daraufhin ein Auskunftsgesuch beim Hotel und verlangte auch Information darüber, welche Daten durch Dritte eingesehen werden konnten. Die Auskunftsanfrage wurde seitens des Hotels verspätet und unvollständig laut dem Kläger übermittelt. Mit dieser Auffassung wandet sich der Kläger an das Gericht und verlangt Schadensersatz, da er ein Unbehagen habe. Das Gericht bestätigt den Datenschutzvorfall an sich. Die Daten waren nicht ausreichend geschützt. Den Schadenersatzanspruch wies das Gericht jedoch ab. Die Begründung für den Anspruch reicht nicht aus, da keine konkrete Beeinträchtigungen vorliegen. | |
| Amtsgericht Hildesheim 05.10.2020 | Schadensersatz wegen nicht gelöschter Daten auf Altgeräten | Der Kläger erwarb einen PC bei der Beklagten und speicherte dort seine privaten Daten ab. Nach einiger Zeit entstanden technische Probleme und der PC wurde zur Reparatur an die Beklagte übergeben. Dem Kunden wurde ein gleichwertiges Produkt übermittelt. Nach der Reparatur des PCs führte die Beklagte den internen Wiederaufbereitungsvorgang durch. Es wurde dabei übersehen, dass die Daten des Klägers noch auf der Festplatte hinterlegt waren. Der PC wurde dann an einen Dritten veräußert. Dieser konnte dann u.a. die Steuererklärung des Klägers einsehen. Das AG verurteilte das Unternehmen zur Zahlung von 800,00 € Schmerzensgeld, da die Daten ohne Einwilligung des Klägers an einen Dritten übermittelt wurden. Die Beklagte hätte die Festplatte vor der Veräußerung prüfen und die darauf befindlichen Daten datenschutzkonform löschen oder überschreiben müssen. | |
| Landgericht Köln 07.10.2020 | Kein Schadenersatz bei Bagatellverstößen | Eine Mutter hatte ein Bankkonto bei einer Bank, welches durch einen Rechtsanwalt als bestellter Betreuer verwaltet wurde. Die Kontoauszüge wurden bis zum Tod der Mutter im Jahr 2015 an den Anwalt übermittelt. Nach dem Tod der Mutter wurde das Konto auf die Tochter umgeschrieben, jedoch die Versandadresse für die Kontoauszüge nicht. Somit erhielt der Anwalt die Kontoauszüge weiterhin. Als er dies bemerkte, sandte er diese an die Tochter weiter. Aufgrund des Fehlversands erhob die Frau Klage und forderte Schmerzensgeld in Höhe von 25.000,00 € ein, da ihr „schlimme“ Folgen daraus entstanden sind. Das LG sieht hier keinen schwerwiegenden Datenschutzverstoß, da keine konkreten Nachweise für einen immateriellen Schaden vorliegen und der Fehlversand als Bagatelle anzusehen ist. | Auch das Amtsgericht Diez entschied bereits im Jahr 2018 ebenfalls über einen Bagatellfall. Ein Bußgeld kann gegen die Bank durch die Aufsichtsbehörde dennoch erlassen werden. Dieser Fall zeigt, dass nicht jeder Datenschutzverstoß automatisch zu Schadenersatzansprüchen führt, sondern der Einzelfall immer zu betrachten ist. |
| Arbeitsgericht Dresden 11.2020 | Schadenersatz wegen Weitergabe von Gesundheitsdaten | Die Prokuristin eines Unternehmens hat per E-Mail an die Ausländerbehörde und die Arbeitsagentur mitgeteilt, dass der Arbeitnehmer erkrankt sei und seiner Meldepflicht nicht nachkam. Seitens der Ausländerbehörde wurde die Wohnanschrift des Beschäftigten erfragt. Das Gericht sieht darin eine Verletzung der Persönlichkeitsrechte des Arbeitnehmers und sprach diesem Schadenersatz in Höhe von 1.500,00 € zu. Der Begriff „krank“ ist somit als Gesundheitsdatum einzuordnen. Das Gericht ist der Ansicht, dass die Adresse ganz einfach bei der Meldehörde erfragt werden hätte können. Des Weiteren wurde wohl ggf. der Eindruck gegenüber der Arbeitsagentur erweckt, der Arbeitnehmer habe Verstöße gegen seine Meldepflicht begangen. Letztendlich sollte der Arbeitnehmer die Kontrolle über die Datenweitergabe besitzen. | |
| Landgericht Landshut 06.11.2020 | Schadenersatz gegenüber externen Datenschutzbeauftragten | Der Kläger ist Eigentümer einer Wohnung und machte einen Schadenersatzanspruch gegen die Hausverwaltung geltend. Er war der Auffassung, dass sein Name in dem Rundschreiben an übrigen Eigentümer bezüglich des Befalls nicht veröffentlicht werden hätte dürfen und forderte Schadenersatz seitens der Hausverwaltung und deren Datenschutzbeauftragten. Dem Kläger sei dadurch ein immaterieller und materieller Schaden entstanden, welchen er jedoch nicht belegen konnte. Die Schadenersatzforderung gegen den Datenschutzbeauftragten wurde abgelehnt, da dieser nicht als „Verantwortlicher“ nach Art. 4 Nr. 7 DSGVO haftet und in Betracht kommt. | Dieses Urteil zeigt klar auf, dass der Verantwortliche stets für Datenschutzvorfälle haftet und nicht der DSB selbst. Dennoch sollte der DSB eine Vermögensausfallsversicherung oder Berufshaftpflicht besitzen. |
| Landesarbeitsgericht Baden-Württemberg 25.02.2021 | Schadensersatz bei Datenübermittlung in Drittland | Die Klägerin ist Mitarbeiterin einer Zahmedizintechnik-Firma mit Sitz in Deutschland. Der Mutterkonzern hat seinen Sitz in den USA. Testweise wurden die Personalsoftware „Workday“ eingesetzt. Zuvor wurde mittles Duldungsvereinbarung mit dem Betriebsrat festgelegt, welche Daten übermittelt werden dürfen. In der Testphase wurden jedoch mehr Daten als in der Duldungsvereinbarung festgehalten, unberechtigterweise übermittelt. Die Klägerin verlangte daraufhin Schmerzensgeld. Das LAG lehnte jedoch die Klage als unbegründet ab. Die Datenübermittlung an sich war zwar unrechtmäßig, wird sich jedoch nicht auf die rechtmäßige Verarbeitung an sich selbst auswirken. Zudem gibt es derzeit keinen Anlass, dass der Klägerin ein tatsächlicher Schaden entstanden ist. | In dem Urteil stellt das Gericht klar, wann Schadenersatz verlangt werden kann. Im vorliegenden Fall begründet der Verstoß mit der Duldungsvereinbarung noch keinen Schadenersatzanspruch. |
| Arbeitsgericht Münster 25.03.2021 | Mitarbeiterin erhält 5.000 € Schadenersatz wegen Veröffentlichung von Bildern ohne Einwilligung | Von einer Universitätsmitarbeiterin wurden Bilder angefertigt und ohne deren Einwilligung für Marketingzwecke veröffentlicht. Das Foto wurde aufgrund Ihrer Hautfarbe und Ethnie für die Internationalität der Uni herangezogen. Die Mitarbeiterin ist jedoch nicht in diesem Bereich tätig. Bei der Fotoaufnahme selbst erteilte die Mitarbeiterin keine Einwilligung. Sie ließ es mündlich noch offen, ob die Fotos für ihre Tätigkeit veröffentlicht werden können. Nach der Veröffentlichung des Fotos verlangte sie die Einstellung der Verwendung der Fotos. Die Entfernung der Bilder aus dem Web war möglich, die bereits gedruckten Broschüren konnten jedoch nicht mehr zurückbehalten werden. Die Mitarbeiterin reichte daraufhin Klage ein und forderte Schadenersatz. Das ArbG Münster stimmte der Klägerin zu und sprach dieser einen immateriellen Schadenersatz von 5.000,00 € zu. | |
| Oberlandesgericht Stuttgart 31.03.2021 | Schadenersatz nur bei nachweislich erlittenen Schaden | Ein Kunde verklagte die Tochtergesellschaft eines Kartenzahlungsanbieters. Durch einen Hackerangriff Mitte Mai 2019 wurden personenbezogene Daten des Kunden abgegriffen und veröffentlicht. Daraufhin verlangte der Kläger Schmerzensgeld, weil die Beklagte sein Auskunftsgesuch zu spät beantwortete und die TOMs nicht dem aktuellen Stand der Technik entsprachen. Das OLG wies die Klage als unbegründet ab. Der Kläger konnte seinen erlittenen Schaden bzw. die daraus entstandenen Nachteile nicht darlegen und nachweisen. | Mit diesem Urteil wurde klargestellt, welche Grundsätze zur Darlegungs- und Beweispflicht zu erbringen sind. |
| Landesarbeitsgericht Hamm 11.05.2021 | Schmerzensgeld für verspätete und unvollständige Auskunft nach Art. 15 DSGVO | Die Mitarbeiterin wurde gekündigt und reichte daher Kündigungsschutzklage ein. Zusätzlich reichte sie Klage auf Schmerzensgeld wegen einer verspäteten und unvollständig beantworteten Auskunftsanfrage ihres Arbeitgebers ein. Der Arbeitgeber beantwortete die Anfrage erst nach 7 Monaten. Das AG Herne sah die Klage als unbegründet an. Die Klägerin reichte Berufung beim LAG ein und bekam Recht. Das Gericht begründete den Anspruch damit, dass die Beklagte die Pflichten gem. Art. 12 und Art. 15 DSGVO verstoßen hat und somit ein Schmerzensgeld von 1.000,00 € zu zahlen ist. | |
| Landgericht Bonn 01.07.2021 | Kein Schadenersatz bei verspäteter Auskunft | Die Klägerin verlangte Auskunft gegenüber ihrem ehemaligen Anwalt. Erst nach 8 Monaten übergab der Anwalt die Informationen an die Klägerin. Das LG Bonn urteilte, dass nicht automatisch ein Schadenersatzanspruch bei einer verspäteten oder unvollständigen Auskunftserteilung entsteht. | |
| Oberlandesgericht Brandenburg 11.08.2021 | Schadensersatzanspruch muss schlüssig dargelegt werden | Im Rahmen eines Gerichtsverfahrens reichte der Beklagte einen Entschädigungsanspruch nach Art. 82 DSGVO vor dem Landgericht Potsdam ein. Das Gericht wies den Antrag ab, da der Beklagte den Schaden nicht schlüssig darlegen konnte. Daraufhin reichte dieser Berufung beim OLG Brandenburg ein. Auch dieses wies die Klage mit derselben Begründung wie die Vorinstanz ab. | |
| Oberlandesgericht Dresden 31.08.2021 | Negativauskunft ausreichend | Ein Betroffener wollte Auskunft über seine gespeicherten Daten nach Art. 15 DSGVO. Der Kläger erwarb im Jahr 2018 einen Laptop von der Beklagten. Innerhalb der Garantiezeit wurde die Festplatte des Laptops zur Reparatur an die Beklagte übermittelt. Der Beklagte wies daraufhin, dass er keine Datensicherung vornehmen kann und der Kläger für die Datensicherung verantwortlich ist. Zu einem späteren Zeitpunkt verlangte der Kläger Auskunft über seine gespeicherten Daten auf der übermittelten Festplatte und an wen diese ggf. weitergegeben wurden. Der Beklagte meldete zurück, dass die Festplatte selbst vernichtet wurde und an den Hersteller zurückgesandt wurde und der Beklagte somit auch keine Daten des Klägers gespeichert hat. Das reichte dem Kläger nicht aus und er reichte Klage ein und verlangte Schadenersatz in Höhe von 10.000,00 € wegen der Datenlöschung. Das OLG Dresden sieht keine Verletzung in der Erteilung der Negativauskunft und wies die Klage und auch die Schadenersatzforderung ab. | |
| Amtsgericht Pfaffenhofen a.d.Inn 09.09.2021 | Schmerzensgeld wegen Zusendung unerlaubter Werbung | Der Kläger erhielt Werbemails an sein nicht allgemein zugängliches Anwalts-Postfach. Inhalt dieser Mails waren Sonderangebote für Kinder FFP-2-Masken. Daraufhin verlangte der Kläger Auskunft, wann seine Mail-Adresse beim Beklagten gespeichert wurden und aus welcher Quelle seine E-Mail-Adresse entstammt. Des Weiteren bat er um eine Unterlassungserklärung, damit sein Postfach nicht mit Werbung überflutet wird. Die Beklagte hatte seine Mail-Adresse bei der Suche nach einer örtlichen Rechtsberatung entdeckt. Die Unterlassungserklärung wurde unterzeichnet. Dennoch erhielt der Kläger weiterhin Mails und zweifelte an der Auskunft über die Datenherkunft, da er sich an keinen Anruf oder E-Mail-Verkehr mit der Beklagten erinnern konnte. Er erhob daraufhin Klage und bekam ein Schmerzensgeld in Höhe von 300,00 € zugesprochen. | Die Zusendung von Werbemailst ist aufgrund einer Einwilligung oder im Rahmen des § 7 Abs. 3 UWG zulässig. Weitere Informationen finden Sie im Blogartikel zum Thema Werbung. |
| Landgericht Essen 23.09.2021 | Schadenersatz wegen unverschlüsselten USB-Stick | Eine Ehepaar fragte wegen einer Immobilienfinanzierung bei der Beklagten an. Für die Durchführung und Berechnung der Finanzierung ist es erforderlich die Identität festzustellen. Der Kläger warf daraufhin einen unverschlüsselten USB-Stick mit den erforderlichen Unterlagen und Ausweiskopien in den Briefkasten der Beklagten. Es kam allerdings kein Finanzierungsvertrag zustande. Die Beklagte schickte daraufhin des USB-Stick mit der Post an das Ehepaar zurück, welcher allerdings dort nie ankam. Im Zuge dessen reichte der Kläger Klage ein und verlangte Schadenersatz in Höhe von 30.000,00 € wegen dem Verlust seiner personenbezogener Daten ein. Er behauptete auch, dass die Beklagte gegen die Verpflichtung nach Art. 24, Art. 25 und Art. 32 DSGVO verstoßen hat. Das Landgericht sieht keinen Verstoß gegen die oben genannten Artikel. Laut dem Gericht gibt es keinen Grund den USB-Stick nicht per Postweg dem Kläger zukommen zu lassen, zumal auch heutzutage noch wichtige Unterlagen per Post versendet werden. Das Gericht sieht keinen Unterschied zwischen einem unverschlüsselten USB-Stick und wichtigen Papierdokumenten, die ja auch unverschlüsselt sind. Die Forderung nach dem Schadenersatz wies das Gericht ab, da der Kläger nicht hinreichend seinen Schaden und die Folgen darlegen konnte. | |
| Oberlandesgericht Düsseldorf 28.10.2021 | Unverschlüsselter E-Mail-Versand mit Einwilligung möglich | Eine Krankenversicherte verlangte die Herausgabe seiner Gesundheitsakte bei seiner Krankenversicherung. Die Unterlagen wurden aufgrund der bevorstehenden Weihnachtsfeiertage per Mail versandt. Der Sachbearbeiter vertippte sich allerdings bei der Eingabe und versandte die Gesundheitsakte an einen falschen Empfänger. Der Fehler wurde erst bemerkt, als die Versicherte nochmals anrief und nach dem Verbleib der Akte fragte. Daraufhin forderte Sie Schmerzensgeld wegen des fehlerhaften E-Mail-Versands. Das Gericht sah im Fehlversand eine Datenschutzverletzung, jedoch nicht in der unverschlüsselten Übermittlung. Im Gespräch zwischen der Versicherten und dem Sachbearbeiter ging es um die Übersendung an sich, nicht um die Verschlüsselung. Die Versicherte konnte somit davon ausgehen, dass die Krankenakte unverschlüsselt übersandt wurde; Wünsche zur Verschlüsselung äußerte sie ebenfalls nicht. Das Gericht geht daher von der Einwilligung der Versicherten aus. Die Einwilligung erfüllte auch die Freiwilligkeit, da ein alternativer Übermittlungsweg (per Post) vorgeschlagen wurde. | Interessant an dem Urteil ist die konkludente Einwilligung der Versicherten, da diese keine Wünsche äußerte oder Nachfragen stellte. Bedeutet im Umkehrschluss, dass die Verantwortung auf den Betroffenen umgelegt wird, wenn alternative Übermittlungswege (z.B. Post) zur Verfügung stehen. |
| Landgericht Leipzig 23.12.2021 | Kein Schadenersatz bei verspäteter Auskunftserteilung nach Art. 15 DSGVO | Eine Mandantin verlangte Auskunft nach Art. 15 von der beauftragten Anwaltskanzlei. Die Kanzlei selbst erteilte die Auskunft über die gespeicherten Daten- und Empfängerkategorien und die weiteren Informationen nach Art. 15 DSGVO. Eine Kopie der gespeicherten Daten wurde jedoch nicht mit übermittelt. Nach mehrmaligen außergerichtlichen und letztendlich gerichtlicher Aufforderung, wurden der Mandantin die Datenkopien ausgehändigt; nach mehr als einem Jahr nach der Anfrage. Die Mandantin erließ darauf Klage und verlangte immateriellen Schadenersatz wegen der Verzögerung. Das LG Leipzig lehnte die Klage ab. Die Klägerin konnte den daraus resultierenden Schaden nicht darlegen. | Das LG Leipzig orientiert sich mit seinem Urteil an den bereits erlassenen Urteilen, die von deutschen Gerichten ausgesprochen wurden. Die Kläger müssen einen Nachweis über einen spürbaren Nachteil oder Schaden darlegen und beweisen können. Ist dies nicht der Fall, ist die Aussicht auf Schadenersatz meist nicht gegeben. |
| Landgericht Berlin 27.01.2022 | Eingabe von Adressdaten ohne Namen ist kein personenbezogenes Datum | In einem Verfahren um Trennungs- und Kindesunterhalt gab die Richterin zur Bemessung der unterhaltsrelevanten Wohnfläche, die Wohnadresse der Klägerin in Google Maps ein. Der Recherche über Google Maps stimmte die Klägerin nicht zu. Die Klägerin sah sich vielmehr in ihren Rechten verletzt, da ihre Daten an den Anbieter Google in die USA übermittelt werden. Sie verklagte das Amtsgericht Berlin auf Schadenersatz in Höhe von 2.000,00 €. Das Amtsgericht argumentiere, dass die Nutzung von Google Maps auf das berechtigte Interesse zu stützen ist. Weiterhin wurde seitens der Klägerin keine personenbezogene Daten eingegeben, da die Lage und Größe des Hauses der Klägerin keinen Personenbezug aufweist. Das Landgericht Berlin stimmte der Argumentation der Vorinstanz zu. Die bloße Eingabe von Adressdaten beim Kartendienst stellt keine Verarbeitung von personenbezogenen Daten dar. | |
| Oberlandesgericht Frankfurt 02.02.2022 | Kein Schmerzensgeld bei irrtümlicher Datenweitergabe an Dritte | Ein Bewerber bewarb sich über XING bei einer Bank. Im Laufe des Bewerbungsprozess leitete die Bank irrtümlicherweise eine Nachricht (mit Rückmeldung zur Gehaltsvorstellung) an einen anderen XING-User weiter. Die Bank informierte den eigentlichen Bewerber zwar erst Monate später über den Vorfall, jedoch beschwerte sich der Bewerber nicht darüber. Erst nach Ausscheiden aus dem Bewerbungsprozess klagte der Bewerber wegen unberechtigter Datenweitergabe und Preisgabe seiner Daten im Internet. In der ersten Instanz wurde dem Kläger ein Schadenersatz in Höhe von 1.000 € zugesprochen. Die Bank als Beklagte legte daraufhin Berufung ein. Das OLG entschied, dass der alleinige Datenschutzverstoß nicht für einen immateriellen Schadenersatzanspruch ausreicht. Es ist ein Nachweis über den tatsächlich entstandenen Schaden erforderlich. Die Annahme, dass ein Schaden entsteht, ist nicht ausreichend. | Mit diesem Urteil folgt das OLG den bereits erlassenen Urteilen der deutschen Gerichte. Es kommt immer ganz deutlich hervor, dass bei Geltendmachung eine Schadenersatzanspruches auch der Nachweis eines tatsächlich vorliegenden Schadens nötig ist. Kurz und knapp: ohne Nachweis, kein Schadenersatz! |
Social-Media
| Gericht und Datum des Urteils | Thema | Zusammenfassung | Hinweise / Empfehlungen der Datenbeschützerin |
| Europäischer Gerichtshof 05.06.2018 | Facebook Unternehmensseiten /Fanpages – wer ist verantwortlich? | Der EuGH urteilte, dass der Facebook-Seitenbetreiber und Facebook selbst gemeinsame Verantwortliche in Bezug auf die Insight-Daten sind. Facebook hat eine Vereinbarung gem. Art. 26 DSGVO vorzulegen | 1.Rechtsgrundlage für den Betrieb einer Facebook-Seite definieren (meist Art. 6 Abs. 1 lit. f DSGVO) 2. Datenschutzerklärung auf der Webseite um die Social-Media-Aktivität ergänzen Datenschutzerklärung und das Impressum in Facebook und anderen sozialen Netzwerken verlinken Update 01.04.2019: Die DSK hält den Betrieb einer Facebook-Page aktuell für rechtswidrig. |
| Bundesgerichtshof 13.12.2018 | Datenübermittlung von Facebook an Betreiber kostenloser Computerspiele | Der Kläger (Dachverband und Verbraucherzentrale) macht geltend, die Einverständniserklärung der Nutzer sei unwirksam, weil die hierzu gegebenen Hinweise zur notwendigen Information der Nutzer ebenso unzureichend seien wie der Link auf die Allgemeinen Geschäfts- und Datenschutzbestimmungen des jeweiligen Spiele-Betreibers. Auch sei der bei einem der Spiele gegebene Hinweis auf die Übermittlung von Daten eine den Verbraucher unangemessen benachteiligende und intransparente Geschäftsbedingung. | Das Verfahren ist aktuell beim EuGH anhängig, eine endgültige Entscheidung ist noch ausstehend |
| Bundesverwaltungsgericht 11.09.2019 | Datenschutzbehörden können Betrieb von Facebook-Fanpages untersagen | Das BVerwG entschied, dass die Aufsichtsbehörden den Betrieb einer Facebook-Fanpage untersagen dürfen. Update Nov. 2021: Das OVG Schleswig Holstein urteilte, dass der Betrieb einer Facebook-Fanpage gerichtlich untersagt werden darf. | |
| Bundesgerichtshof 10.12.2020 | YouTube ist nicht zur Datenherausgabe bei Urheberrechtsverstößen verpflichtet | Nutzer, die urheberrechtlich geschütztes Material bei YouTube hochladen, begehen zwar einen Verstoß. Der BGH urteilte jedoch, dass die Herausgabe der IP-Adresse, E-Mail-Adresse, Telefonnummer etc. gegenüber den Urheberrechtsinhaber im Rahmen einer Auskunft nicht nötig ist. Damit setzt der BGH dem urheberrechtlichen Auskunftsrecht eine klare Grenze. | |
| Kalifornien | Facebook muss Schmerzensgeld wegen automatischer Gesichtserkennung zahlen | Facebooks automatische Gesichtserkennung führt nun zur Zahlung von 650 Mio. Dollar an die Kläger. Die automatische Gesichtserkennung war ohne Einwilligung der Nutzer erfolgt und konnte nur durch ein Opt-out unterbunden werden. Dies wurde durch die Kläger bemängelt und gingen vor Gericht. | |
| Bundesgerichtshof 29.07.2021 | Sperren von Benutzerkonten und Löschen von Beiträgen bei Facebook | Die Parteien streiten über die Rechtmäßigkeit einer vorübergehenden Teilsperrung der Facebook-Benutzerkonten der Kläger und der Löschung ihrer Kommentare durch die Beklagte. In dem sozialen Medium wurden Äußerungen in Kommentaren getätigt, die seitens Facebook als „Hassrede“ eingestuft wurde. Daraufhin wurde das Konto der Nutzer einstweilen gesperrt. Gegen diese Sperrung gingen die Parteien vor. Der BGH urteilte, dass die Aussagen von der Meinungsfreiheit gedeckt sind und Facebook nun die Beiträge und Kommentare wieder freischalten muss. Hintergrund ist, dass die Nutzungsbedingungen zum Zeitpunkt der Posts noch keine Sperrung kommunizierten oder dies andeuteten. | Das Urteil bedeutet allerdings nicht, dass sämtliche Beiträge oder Kommentare hinzunehmen sind. Der BGH stellt klar, dass Facebook das Recht hat, bei Verstößen Beiträge oder Nutzer zu sperren. |
| Oberverwaltungsgericht Schleswig-Holstein 25.11.2021 | Wirtschaftsakademie muss wegen datenschutzrechtlicher Verstöße Facebook-Fangpage deaktivieren | Das zuständige ULD hat im Jahr 2011 die Wirtschaftsakademie aufgefordert, die Facebook-Fanpage abzuschalten. Bei dem Urteil ging es um die Frage, ob der Betrieb einer Facebook-Fanpage im Jahr 2011 gegen die Datenschutzvorschriften verstieß. Das Gericht kam zum Entschluss, dass der Betrieb einer Facebook-Fanpage datenschutzrechtliche Verstöße nach sich zieht und die Anordnung des ULD konform war. Das Gericht sieht in der Verwendung der personenbezogenen Daten von den registrierten und angemeldeten Personen einen schwerwiegenden Verstoß. Zudem wurden die Nutzer nicht ordnungsgemäß über die Datenverarbeitung informiert wurden, noch gibt es weder eine Rechtsgrundlage zur Datenverarbeitung, da die Nutzer auch nicht eingewilligt haben. | Welche Auswirkungen das Urteil nun auf die weiteren Facebook-Fanpages hat, wird sich mit der Zeit zeigen. Allgemein ist der Betrieb einer Facebook-Fanpage derzeit mit einem Risiko versehen. Des Weiteren hat auch der Bundesdatenschutzbeauftragte die öffentlichen Bundesbehörden mittels Schreiben vom 16.06.2021 dazu aufgefordert, die Facebook-Fanpages bis 31.12.2021 abzuschalten. |
| Bundesgerichtshof 27.01.2022 | Klarnamenpflicht bei Facebook: Pseudonyme bei Altfällen zulässig | Facebook sperrte das Nutzerkonto eines nachdem dieser nicht die Echtheit seines Profilnamens bestätigte. Der Nutzer verwendete ein Pseudonym. Erst nach Änderung des Profilnamens wurde das Konto wieder freigeschalten. Der Kläger verlangte Unterlassung gegen Facebook, da dieses die Änderung seines Profilnamens verhindert. In den AGB von Facebook wird eine Klarnamenpflicht gefordert. In der Vorinstanz hat das LG und das OLG die Klage ab- bzw. zurückgewiesen. Der BGH urteilte jedoch, dass die Klarnamenpflicht mit den AGB unwirksam ist. Erst mit Inkrafttreten der DSGVO seit dem 25.05.2018 ist die Klarnamenpflicht in den AGB zulässig. | Sofern Nutzer sich vor dem 25.05.2018 bei Facebook registrierten, hat Facebook die Nutzung eines Pseudonyms hinzunehmen. |
Videoüberwachung / Videokameras / Videoaufzeichnungen / Drohnen
| Gericht und Datum des Urteils | Thema | Zusammenfassung | Hinweise / Empfehlungen der Datenbeschützerin |
| Oberverwaltungsgericht Hamburg | Gesichtserkennung zulässig oder nicht (G20-Gipfel)? | Der Innensensator verklagt Hamburgischen Datenschutzbeauftragten, weil dieser die Löschung der Videoaufnahmen mit Gesichtserkennung um den G20-Gipfel verlangt. | Das Verfahren ist weiter zu verfolgen. Leider ist kein Aktenzeichen oder Urteil selbst zu finden. |
| Amtsgericht Riesa 24.04.2019 | Drohne darf unter gewissen Umständen abgeschossen werden | Ein Mann schoss auf die über seinem Grundstück aufnehmende Drohne. Der Schütze wurde zu einem Schadenersatzanspruch von 1.500,00 € belangt. Dieser ging vor Gericht und erhielt Recht. Der Schütze trug vor, dass sein Persönlichkeitsrecht und das seiner Kinder verletzt worden sei. Das Gericht bestätigte dies und berief sich wegen den Abschusses auf § 229 BGB (Selbsthilfe). | |
| Bundesverwaltungsgericht 27.03.2019 | Videoüberwachung in Zahnarztpraxis unzulässig | Videoüberwachung in einer Zahnarztpraxis, die ungehindert betreten werde kann, unterliegt strengen Anforderungen. Hintergrund der Überwachung: Empfangstresen ist nicht besetzt, Zahnärztin kann in Echtzeit auf einem im Behandlungszimmer aufgestellten Monitor den Bereich überwachen. Anweisung der Aufsichtsbehörde: Ausrichtung der Videokamera, dass Patienten und sonstige Besucherbereiche, Flur zwischen Tresen und Wartezimmer nicht mehr erfasst werden. Entscheidung des Gerichts: DSGVO nicht anwendbar, Kamera-Monitoring-System setzt berechtigtes Interesse voraus, was im vorliegenden Fall nicht ersichtlich ist. | Das Urteil zeigt auf, dass § 4 BDSG-neu somit europarechtswidrig ist. Die DSGVO regelt die Videoüberwachung auch durch private Anwender abschließend. Somit wird durch das Urteil das Videoüberwachungsgesetz gestoppt. |
| Amtsgericht München 28.05.2019 | Videoüberwachung im Gemeinschaftsbereich (Dieser Fall beschäftigt sich zwar mit dem Mietrecht, jedoch aus Sicht der DSGVO ist eine Persönlichkeitsverletzung nach sich) | Dieser Fall beschäftigt sich zwar mit dem Mietrecht, jedoch aus Sicht der DSGVO ist eine Persönlichkeitsverletzung nach sich. Es wurde ein Untermietvertrag geschlossen, in welchem auf die Videoüberwachung VOR der Haustüre hingewiesen wurde. In Wirklichkeit wurde jedoch der Gemeinschaftsbereich im Hausflur der WG permanent überwacht. Somit konnte eingesehen werden, wer wann das Badezimmer oder die Küche aufsucht. | Eine Videoüberwachung in Hausfluren ist nur für kurze Zeit und zur Aufklärung eines Sachverhalts (z.B. Schließen der Haustüre, ordnungsgemäße Trennung des Hausmülls) gestattet. Eine permanente Überwachung ist somit ausgeschlossen und rechtswidrig. |
| Oberlandesgericht Dresden 24.09.2019 | Zulässigkeit von heimlichen Videoaufnahmen zur Aufdeckung von Missständen in Pflegeheimen | Im vorliegenden Sachverhalt klagten zwei Mitarbeiter eines Pflegeheims, welche heimlich gefilmt und aufgenommen wurden. Die Aufnahmen wurden später in einer Sendung Privatfernsehens ausgestrahlt. Bei heimlich aufgenommen Bild- und Tonmaterial kann grundsätzlich von einer Unzulässigkeit ausgegangen werden. Allerdings können bei Verfremdung der Stimme und Verpixeln der Beteiligten nach der Interessensabwägung die Aufnahmen zulässig sein. | |
| Landesarbeitsgericht Rostock 24.10.2019 | Schadenersatz wegen Videoüberwachung am Arbeitsplatz | Ein Tankstellenbetreiber überwachte den Kassenarbeitsplatz und nicht-öffentlich zugängliche Räume mittels Videoüberwachung. Hintergrund der Videoüberwachung war die Beschäftigten kontrollieren zu können. Daraufhin klagte ein Angestellter und bekam Recht. Die Videoüberwachung im nicht-öffentlichen Bereich und im Kassenbereich ist unzulässig bzw. anlasslos. | Bevor eine Videoüberwachung überhaupt angebracht wird, sind einige Voraussetzungen zu prüfen und zu beachten. |
| Verwaltungsgericht Regensburg 06.08.2020 | Videoüberwachung einer öffentlich zugänglichen Parkanlage / öffentlichen Gartens | Die Stadt Passau lässt aufgrund wiederkehrenden Vandalismus, BtMG-Verstößen und zur Verhinderung von weiteren Straftaten einen öffentlich zugänglichen Park mittels Videokameras überwachen. Vor der Anbringung der Videoüberwachung wurde darüber ausführlich in Sitzungen diskutiert und auch die Situation abgewogen. Nach der Einschätzung der Stadt und des Datenschutzbeauftragten ist die Videoüberwachung zulässig. Auf der Webseite der Stadt sind neben der ausführlichen Stellungnahme auch das Sicherheitskonzept, die Standortübersicht, die Datenschutzhinweise, Datenblätter der Kameras und weitere Dokumente öffentlich zugänglich und abrufbar. Dennoch erreichte die Stadt eine Unterlassungsklage für die Videoüberwachung. Der Kläger fühlte sich in seinen Persönlichkeitsrechten verletzt, wenn er den Park passierte oder dort verweilte. Das Gericht wies die Klage ab. Die ausführliche Begründung und Darlegung des Sachverhalts für die Videoüberwachung erkannte das Gericht an. Des Weiteren sieht das Gericht das Recht auf informationelle Selbstbestimmung nur tangiert, aber nicht verletzt. | |
| Landgericht Frankenthal 16.12.2020 | Anbringen einer Videoüberwachung am Haus verletzt das Persönlichkeitsrecht | Ein langjähriger Nachbarschaftsstreit führte dazu, dass ein Nachbar an seinem Haus eine Videokamera über seine Grundstücksgrenzen hinaus, installierte. Er befürchtete, dass der Nachbar unbefugt auf sein Grundstück tritt. Der andere Nachbar akzeptierte dies nicht und sah darin eine Verletzung seines Persönlichkeitsrechts und Privatsphäre. Das LG urteilte, dass eine Videoüberwachung nur über das eigene Grundstück zulässig ist. Sofern Nachbargrundstücke erkennbar sind, ist dies nicht zulässig. | Auch wenn die DSGVO nicht für Privatleute gilt, so ist eine Klage auf das allgemeine Persönlichkeitsrecht möglich. Deshalb sollte auch im privaten Bereich bei Anbringung einer Videokamera die datenschutzrechtlichen Vorgaben beachtet werden. |
| Verwaltungsgericht Köln 19.01.2021 Oberverwaltungsgericht NRW 19.05.2022 | Videoüberwachung am Breslauer Platz in Köln nicht rechtens | Im besagten Raum wurde aus Gründen der dort stattfindenden und anhaltenden Kriminalität eine Videoüberwachung installiert. Nur so sei es möglich diese zu verfolgen und aufzudecken. Die Überwachung wurde im Jahr 2019 auch auf andere Bereiche ausgeweitet (Neumarkt, Breslauer Platz, Wiener Platz, Ebertplatz). Ein betroffener Bürger begehrte die Unterlassung der Videoüberwachung während des Lock-Downs und reichte einen Eilantrag beim Verwaltungsgericht ein. Das Verwaltungsgericht gab dem Antrag statt. Beim Breslauer Platz liege kein Kriminalitätsschwerpunkt vor. Eine Videoüberwachung wäre nur zulässig, wenn es dort zu zahlreichen Straftaten kommt. Im Bereich des Breslauer Platzes ging die Kriminalitätsrate seit dem Jahr 2015 um ca. 50 % zurück. Zumal auch die dortige Wache der Bundespolizei eine abschreckende Wirkung hat. Somit ist die Videoüberwachung erst einmal einzustellen. Update Mai 2022: Das OVG NRW hat die Eilanträge des Bürgers abgelehnt. Somit ist die Videoüberwachung am Breslauer Berg sowie am Neumarkt und Ebertplatz in Köln zulässig. | |
| Oberverwaltungsgericht Rheinland-Pfalz 25.06.2021 | Abgeschaltete Videokameras unterliegen nicht der DSGVO | Die Parteien streiten um einen Abbau einer abgeschalteten Kamera auf einem Parkplatz. In der Vergangenheit kam es regelmäßig zu Vandalismus auf dem Parkplatz. Daraufhin wurden die Videokameras errichtet und filmten den Parkplatz dauerhaft sowie auch Teile der öffentlichen Straße. Die zuständige Aufsichtsbehörde untersagte daraufhin die weiteren Aufnahmen und verlangte den Abbau der Kameras. Der Betreiber ging gegen diesen Bescheid gerichtlich vor. Die Erstinstanz entschied, dass Verlangen des Abbaus rechtswidrig ist. Die Behörde akzeptierte diese Entscheidung und stimmte zu, dass die Kameras nicht mehr eingeschaltet werden. Der Beklagte reichte jedoch daraufhin Berufung ein und forderten den Abbau der Kameras. Das OVG entschied, dass die abgeschalteten Kameras nicht mehr unter den Anwendungsbereich der DSGVO fallen, da keine Verarbeitung personenbezogener Daten stattfindet. Weiterhin gab es auch keine Anhaltspunkte, dass der Betreiber die Kameras wieder in Betrieb nimmt und diese weiterhin ausgeschaltet bleiben. | |
| Amtsgericht Bad Iburg 12.11.2021 | Videoüberwachung unzulässig, wenn Nachbarn sich überwacht fühlen | Der Beklagte brachte auf seinem Grundstück im Jahr 2020 Kameras mit intelligenter Videotechnologie an seiner Doppelhaushälfte an. Die Kameras können somit Personenzählungen, Alter, Geschlecht sowie Objekt und Personenerkennung in Echtzeit durchführen. Die beiden Kameras wären auch dazu in der Lage, das Grundstück der Nachbarn zu erfassen. Das Gericht entschied, dass die Linsen der Kameras vom Grundstück der Nachbarn wegzudrehen sind. Sofer die Nachbarn sich überwacht fühlen, besteht bereits der Unterlassungsanspruch. | Das Urteil ist daher spannend, da bereits der „Überwachungsdruck“ ausreichend ist, um eine Unterlassung der Videoüberwachung zu erreichen. Leider ist heutzutage immer vielen Betreibern von privaten Videoüberwachungen nicht klar, dass sie mit diesem Vorgehen den Vorgaben der DSGVO unterliegen. |
Webseiten / Cookies / Datenschutzerklärung
| Gericht und Datum des Urteils | Thema | Zusammenfassung | Hinweise / Empfehlungen der Datenbeschützerin |
| Oberlandesgericht Köln 11.03.2016 | Zustimmung zur Datenschutzerklärung beim Kontaktformular mittels Checkbox | Eine Checkbox für die Zustimmung zur Datenschutzerklärung ist beim Kontaktformular nicht notwendig. | Prüfung der Webseite, ob eine Checkbox beim Kontaktformular eingebunden ist. Wenn ja, den Webseitenbetreiber darüber informieren, dass dies nicht nötig ist. |
| Europäischer Gerichtshof 19.10.2016 | IP-Adressen sind personenbezogene Daten | IP-Adressen sind personenbezogene Daten, wenn Webseitenbetreiber den User dadurch identifizieren kann. | Sofern IP-Adressen eingesehen werden können, sind diese im Verfahrensverzeichnis zu dokumentieren. Die Datenschutzerklärung ist ebenfalls zu ergänzen. |
| Verwaltungsgericht Bayreuth 08.05.2018 | Zulässigkeit der Erhebung, Verarbeitung und Nutzung personenbezogener Daten (Facebook Custom Audience) | Der Einsatz des Facebook-Custom-Audience (CA) ist ohne vorherige Einwilligung des Betroffenen nicht möglich. | DSGVO-konforme Einwilligung einholen. Die Anforderungen an einen Einwilligungsbanner werden seitens der Behörden bekannt gegeben. |
| Verwaltungsgerichthof München 26.09.2018 | Übermittlung gehaster E-Mail-Adressen an soziale Netzwerke (Facebook Custom Audiences from File) ohne Einwilligung nicht zulässig | Upload von E-Mail-Adressen ohne Einwilligung der Kunden ist kein berechtigtes Interesse am Direktmarketing. Der Betroffene hat bei einem Bestellvorgang nicht damit zu rechnen, dass die angegebene E-Mail-Adresse an Facebook übermittelt wird . Das Facebook-CA stellt keine Auftragsverarbeitung dar. Das Urteil betrifft insbesondere Onlineshops, da die Shopbetreiber selbst den Zugang zu den Daten gewähren und einfädeln. | Bei Einsatz von CA: 1. Prüfung, ob Einwilligung vorliegt ; wenn nicht, Zielgruppe umgehend löschen –> Bußgelder 2. Einwilligung einholen: – keine vorausgefüllte Check-Box (Opt-Out) – besser: Opt-In Erhalt des Newsletter nicht von Einwilligung abhängig machen – jederzeitiger Widerruf muss möglich sein |
| Landgericht Würzburg 13.09.2018 | Abmahnung bei Webseiten ohne https-Verschlüsselung auf die DSGVO zulässig | Das Gericht urteilt, dass http nicht mehr den Stand der Technik entspricht und daher die Abmahnung für gerechtfertigt ist. | 1. Prüfen, ob Webseite https verschlüsselt ist 2. Prüfen, ob eine automatische Weiterleitung auf https erfolgt, wenn nur http eingegeben wird |
| Europäischer Gerichtshof 29.07.2019 | Mitverantwortung bei Verwendung des Facebook Like-Buttons (Gefällt-mir-Button) und Cookie-Hinweise | Webseitenbetreiber, die den Like-Button auf der Webseite mit einbinden sind nach Auffassung des EuGH gemeinsam verantwortlich für die Erhebung und Übermittlung der Webseitenbesucher. Der Webseitenbetreiber stellt Facebook die Daten zur Verfügung. Neben der Facebook-Fanpage ist somit eine weitere gemeinsame Verantwortlichkeit vorliegend. Werden Social-Plugins, Videos und Tracking-Tools eingesetzt ist zwingend eine Einwilligung erforderlich. Das bedeutet, dass Cookie-Opt-In verpflichtend werden. Weiterhin entschied der EuGH, dass Verbände Datenschutzverstöße abmahnen dürfen. | Nach enger Auslegung des Urteils ist somit die Verwendung des Like-Buttons rechtswidrig, da keine Vereinbarung über die gemeinsame Verantwortlichkeit vorliegt (vgl. Situation mit Facebook-Fanpages). Das LG Düsseldorf hat als Vorinstanz bereits geurteilt, dass die Einbindung von Social-Media-Plugins rechtswidrig ist. Das OLG Düsseldorf hat nun noch die endgültige Entscheidung zu treffen. |
| Europäischer Gerichtshof 01.10.2019 | Cookies und Cookie- Einwilligungen (Planet 49) | Der EuGH hat entschieden, dass eine Einwilligung, beim Setzen von Cookies zum Speichern und Auslesen von Daten, nötig ist. Das bedeutet, dass keine Vorauswahl bei den Feldern getroffen werden darf. Eine Einwilligung ist nicht nötig, wenn bspw. technisch notwendige Cookies oder Cookies für die Darstellung der Webseite gesetzt werden. Sofern jedoch Cookies zu Werbe- und Analysezwecken gesetzt werden, ist eine Einwilligung Pflicht. Die sog. „Einwilligungs-Banner“ müssen gesetzt werden, sofern eine Einwilligung benötigt wird. | Der Datenschutzbeauftragte von Baden-Württemberg hat zum Thema Cookies und Opt-In eine Hilfestellung veröffentlicht. |
| Landgericht Rostock 15.09.2020 | Aktive Einwilligung des Nutzers bei Analyse- und Trackingtools auf der Webseite | Auf der Webseite von advocado.de wurde durch den Webseitenbetreiber bereits eine Vorauswahl der zustimmungspflichtigen Cookies gesetzt. Auf der Webseite werden folgende Cookie-Kategorien genutzt: „Notwendig“, „Präferenzen“, „Statistiken“, „Marketing“. Die Verbraucherzentrale forderte den Betreiber dazu auf, diese Vorauswahl zu unterlassen. Des Weiteren bemängelte die Verbraucherzentrale die Gestaltung des Banners selbst. Die Schaltfläche „Cookies zulassen“ war farblicher hervorgehoben als der Schalter „nur notwendige Cookies“. Das Gericht hielt sich hier an das bereits erlassene EuGH-Urteil. Eine Vorauswahl von einwilligungsbedürftigen Cookies ist nicht zulässig. | Es ist zu prüfen, ob und welche einwilligungsbedürftigen Cookies / Plugins / Tools auf der Webseite laufen und gesetzt werden. Anschließend ist das Cookie-Banner zu gestalten und entsprechend dem Nutzer eine echte Wahlmöglichkeit vorzulegen. |
| Landgericht Köln 29.10.2020 | Einwilligungsbedürftige Cookies dürfen nur mit Einwilligung gesetzt werden | Der EuGH sowie BGH haben bereits über die Tatsache entschieden, dass nicht technisch notwendige Cookies einer Einwilligung bedürfen. Im vorliegenden Fall beantragt der Kläger eine einstweilige Verfügung gegen den Beklagten, da dieser Cookies ohne vorherige Einwilligung setzte. Das Gericht gab dem Antrag statt. Weiterhin stellte das Gericht klar, dass Cookie-Banner mit vorausgewählten Häkchen oder lediglich über den Einsatz von (einwilligungsbedürftigen) Cookies informieren, nicht ausreichen. | Es ist zu prüfen, ob und welche einwilligungsbedürftigen Cookies / Plugins / Tools auf der Webseite laufen und gesetzt werden. Anschließend ist das Cookie-Banner zu gestalten und entsprechend dem Nutzer eine echte Wahlmöglichkeit vorzulegen. |
| Landgericht Köln 23.04.2021 | Weiternutzung der Webseite stellt keine Cookie-Einwilligung dar | Ein Webseitenbetreiber setzte Cookies auf der Webseite ein, ohne die aktive Einwilligung der Nutzer einzuholen. Im Cookie-Banner wurde folgender Textbaustein verwendet: „Um unsere Website für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Website stimmen Sie der Verwendung von Cookies zu. Ok. Datenschutzerklärung“. Der Antragsteller verlangte die Unterlassung beim Gericht. Das Gericht urteilte zugunsten des Antragstellers. Bei den formulierten Datenschutzhinweise handelt es sich um unzulässige AGB. Weiterhin verstößt die Formulierung auch gegen den § 15 TMG . | Es ist zu prüfen, ob und welche einwilligungsbedürftigen Cookies / Plugins / Tools auf der Webseite laufen und gesetzt werden. Anschließend ist das Cookie-Banner zu gestalten und entsprechend dem Nutzer eine echte Wahlmöglichkeit vorzulegen. |
| Verwaltungsgericht Wiesbaden 01.12.2021 | Nutzung von „Cookiebot“ untersagt | Der Hochschule RheinMain wurde der Einsatz des Einwilligungsmanagement „Cookiebot“ gerichtlich untersagt. Grund dafür ist die Datenübermittlung durch das genutzte CDN „Akamai“ in die USA, wo der Anbieter seinen Hauptsitz hat. Diese Datenübermittlung ist nach Ansicht des Gerichts rechtswidrig. Weiterhin wurden die Nutzer nicht über die Risiken der Datenübermittlung informiert und auch keine Einwilligung zur Datenübermittlung eingeholt. | Welche Reichweite das Urteil nach sich zieht, ist aktuell noch offen. Aus der Pressemitteilung des Gerichts kommt jedoch nicht hervor, ob die Hochschule generell keine Einwilligungslösung benötigt, da in der Pressemitteilung steht: „Eine solche Datenübermittlung sei auch nicht für das Betreiben der Webseite der Hochschule erforderlich.“ Sofern weitere Informationen auch von Behördenseite zum Urteil ergeht, wird der Artikel wieder geupdatet. |
| Landgericht München 04.03.2022 | Google Fonts ohne Zustimmung unzulässig | Beim Einsatz von Google Fonts wird die IP-Adresse an die Google Server übermittelt. Viele Webseitenbetreiber berufen sich beim Einsatz von Google Fonts auf das berechtigte Interesse. Das LG München hat jedoch entschieden, dass der Einsatz von Google Fonts ohne Zustimmung des Nutzers nicht erfolgen darf. | Es handelt sich zwar bei diesem Urteil bisher nur um einen Einzelfall. Jedoch empfehlen wir die Einwilligung für Google Fonts einzuholen. Alternativ ließen sich die Webfonts lokal einbinden. |
Werbung / Marketing / Gewinnspiele
| Gericht und Datum des Urteils | Thema | Zusammenfassung | Hinweise / Empfehlungen der Datenbeschützerin |
| Bundesgerichtshof 10.07.2018 | Kundenzufriedenheitsbefragung ohne Einwilligung | Versand von Kundenzufriedenheitsbefragungen fallen unter (Direkt-)Werbung, wenn die E-Mail mit der Rechnung des Produktes versandt wird. | DSGVO-konforme Einwilligung der Betroffenen für den Zweck der Werbung einholen |
| Landgericht Frankenthal 10.07.2018 | Haftung von Unternehmen bei Beauftragung von Dienstleistern für Werbemail | Beauftragen Unternehmen für das Versenden von Werbemails einen Dienstleister, müssen sich beide Parteien eventuelle Rechtsverstöße zurechnen lassen. Das kann schnell teuer werden: Unverlangt erhaltene Werbemails sind eine unzumutbare Belästigung, die eine Abmahnung oder Klage zur Folge haben kann. | Prüfung sollte erfolgen, ob DSGVO-konforme Einwilligungen für die Werbemails vorliegen |
| Oberlandesgericht Nürnberg 15.01.2019 | Werbebanner / -anzeigen in kostenlosen E-Mail-Postfächern | Die Telekom bietet kostenlose E-Mail-Postfächer an. In diesen werden dem Nutzer jedoch Werbeanzeigen in Form von E-Mails angezeigt und übermittelt. Die Vorinstanz (LG Nürnberg) entschied, dass die Werbeanzeigen innerhalb der Postfächer als unzumutbare Belästigung einzuordnen ist. Das OLG Nürnberg entschied dagegen. Die Werbeanzeige hebt sich deutlich von den „normalen“ durch Kennzeichnung mit „Anzeige“ und grauer Schattierung hervor. Das Gericht sieht auch den Begriff der „elektronischen Post“ mit dieser Vorgehensweise als nicht erfüllt an, weshalb eine unzumutbare Belästigung nicht gerechtfertigt ist. | Der Sachverhalt wurde mittels Revision an den BGH übergeben. Sofern das Urteil des BGH vorliegt, erfolgt ein entsprechendes Update. |
| Oberlandesgericht Hessen 16.05.2019 | Bewertungsabgabe als Teilnahmevoraussetzung bei Gewinnspielen | Das Gericht entschied, dass eine positive Bewertung eines Unternehmens nicht als Teilnahmevoraussetzung für ein Gewinnspiel abgegeben werden darf. Auch wenn keine Vorgaben zur Bewertung gemacht werden, sind diese nicht als Teilnahmevoraussetzung zu integrieren. | Was es bei Gewinnspielen rechtlich und datenschutzrechtlich zu beachten gibt, haben wir in einem Blogartikel zusammengefasst: Facebook-Gewinnspiele – was ist zu beachten? |
| Oberlandesgericht Frankfurt 26.06.2019 | Gewinnspiele mit irreführender Werbung nicht zulässig | Ein Händler für Whirlpool veranstaltete ein Gewinnspiel. Für jede Aktion erhielt der Teilnehmer ein Los. Unter anderem konnten die Teilnehmer positive Bewertungen zum Unternehmen abgeben, um ihre Gewinnchance zu erhöhen. Bereits das LG Frankfurt am Main (3-6 O 37/18) untersagte diese Methode, nachdem ein Mitbewerber geklagt hatte. Auch das OLG ist der Auffassung. Die bereits verfassten Rezensionen sind für die Werbemaßnahme nun gesperrt. | Veranstaltung von Gewinnspielen im VVZ aufnehmen und deren Ablauf beschreiben; Teilnahmebedingungen prüfen. |
| Oberlandesgericht Frankfurt 27.06.2019 | Teilnahme an einem Gewinnspiel von Einwilligung in zukünftige E-Mail-Werbung | Das OLG Frankfurt urteilte, das die Teilnahme an einem Gewinnspiel von der Einwilligung zur E-Mail-Werbung abhängig gemacht werden darf. Die Begründung: „Die Einwilligungserklärung ist dann noch ausreichend transparent, wenn sich acht Co-Sponsoren auf der Sponsoren-Liste im Rahmen der Einwilligungsliste finden. Für die hinreichende Bestimmtheit der Einwilligungserklärung reicht aus, wenn die sachliche Reichweite mit „Strom & Gas“ angegeben wird. Die Angabe „Marketing und Werbung“ dürfte eher unwirksam sein, da sie nicht ausreichend bestimmt ist“. | Die Datenbeschützerin ist nicht dieser Ansicht und empfiehlt sich immer die „wirkliche“ Einwilligung, unabhängig des Gewinnspiels für Werbeversand geben zu lassen! Nach unserer Auffassung widerspricht das Urteil dennoch dem Kopplungsverbot! |
| Oberlandesgericht Düsseldorf 19.09.2019 | „Service Calls“ von Versicherungsunternehmen ist als Werbung einzustufen | Ein Versicherungsmakler rief einen Kunden an, um ihn ein neues Angebot zu unterbreiten. Es lag für die „Service Calls“ auch keine Einwilligung vor. Der Kunde fühlte von den Anrufen belästigt und gab den Sachverhalt an das Gericht weiter. Das Gericht sieht die „Service Calls“ als Werbung nach § 7 UWG an. Das bedeutet, dass eine Einwilligung seitens des Kunden einzuholen ist. | In unserem Blogartikel haben wir uns dem Thema Werbung und Datenschutz gewidmet. In diesem können Sie nachlesen, von welchen Zielgruppen Sie eine Einwilligung benötigen oder nicht. |
| Landgericht Stendal 12.05.2021 | Werbung in Double-Opt-In-Mail unzulässig | Meist wird die Einwilligung für Werbeversand über das sog. Double-Opt-In-Verfahren eingeholt. Das LG Stendal entschied, welchen Inhalt nun diese Double-Opt-In Mail enthalten darf und was schon als Werbung zählt: „Da die E-Mail über die reine Aufforderung zur Bestätigung hinaus aufgrund der Verwendung des Logos sowie der Sätze „Welcome to ZzZzZzZzZ“ und „Hast du Fragen zum Newsletter? Kontaktiere uns über: info@ZzZzZzZzZ.de“ einen werbenden Inhalt hat, stellt sie aber einen rechtwidrigen Eingriff in den eingerichteten und ausgeübten Gewerbebetrieb der Beklagten dar.“ | Bitte prüfen Sie, ob Ihre Double-Opt-In-Mails frei von werbenden Inhalten ist. |
| Kammergericht Berlin 15.09.2021 | Zweizeiliger Werbezusatz im E-Mail-Footer führt zu Spam | Ein Dienstleister hatte eine Mail an seinen Kunden geschickt. Im Footer der Mail war ein Zusatz eingebunden, der auf auf einen anderen Dienst verwies. Der Kunde, der keine Einwilligung für den Werbeerhalt erteilte, sah darin ein Verstoß und klagte auf Unterlassen. Das LG Berlin sah darin keinen Verstoß, woraufhin der Kläger Berufung beim beim KG einreichte. Das KG wiederum stimmte dem Kläger zu. Bereits ein Zweizweiler im Footer ist ausreichend, welche die Einwilligung des Kunden bedarf. | Es ist ratsam, wenn selbst in einfachen Mails wie Termin-, Bestell- und Versandbestätigung kein weiterer werblicher Zusatz aufgenommen wird. |
| Europäischer Gerichtshof 25.11.2021 | E-Mail-Werbung bedarf der Einwilligung des Betroffenen | Der Stromanbieter StWL Stätische Werke Lauf an der Pegnitz verklagte den Mitbewerber emprimo auf Nichteinhaltung des UWG. Hintergrund war, dass eprimo Werbung in den E-Mail-Postfächern von Verbrauchern bzw. Betroffenen mittels Banner oder direkten E-Mails bei kostenfreien Postfächern anzeigen lies. Die Betroffenen wurden jedoch zufällig ausgewählt. Die E-Mail-Werbung konnte man nur anhand dessen erkennen, da statt dem Datum „Anzeige“ dort stand, kein Absender erkennbar war und der Text gräulich eingefärbt war. Die Klägerin war der Auffassung, dass dieses Vorgehen einer vorherigen Einwilligung der Betroffenen bedarf und daher gegen das UWG verstoße. In der ersten Instanz (LG Nürnberg-Fürth) wurde die Beklagte zur Unterlassung verurteilt. Die Beklagte reichte hierzu Berufung bei der nächsten Instanz (OLG Nürnberg) ein. Dies entschied, dass es sich dabei um keinen Wettbewerbsverstoß handelt. Die Klägerin reichte danach Revision beim Bundesgerichtshof (BGH) ein. Der BGH reichte den Sachverhalt an den EuGH weiter. Dieser entschied, dass die Inbox-Werbung nur mit vorheriger Zustimmung des Postfachinhabers zulässig ist. Das endgültige Urteil hat der BGH zu treffen. |
TOMs
| Gericht und Datum des Urteils | Thema | Zusammenfassung | Hinweise / Empfehlungen der Datenbeschützerin |
| Verwaltungsgericht Mainz 17.12.2020 | Transportverschlüsselung auch bei Berufsgeheimnisträgern ausreichend | Die Aufsichtsbehörde verwarnte einen Rechtsanwalt, welcher eine Mail mit personenbezogenen Daten nur mittels Transportverschlüsselung versandte. Der Anwalt klagte jedoch beim VG Mainz. Das Gericht sieht die Transportverschlüsselung als ausreichend nach Art. 32 DSGVO an, auch bei Berufsgeheimnisträgern. Einer Ende-zu-Ende-Verschlüsselung bedarf es jedoch bei Anhaltspunkte für die Schutzwürdigkeit der personenbezogenen Daten. | Mit diesem Urteil stellt ein Gericht erstmals klar, wann eine Transportverschlüsselung ausreichend ist und wann nicht. Jedem Verantwortlichen ist gut geraten, wenn er vor Versand der Mail nochmals prüft, um welche Daten es sich dabei handelt. |
| Bundesgerichtshof 22.03.2021 | Derzeitige Verschlüsselung des elektronischen Anwaltspostfachs (beA) sicher | Rechtsanwälte forderten von der Bundesrechtsanwaltskammer die Einführung einer Ende-zu-Ende-Verschlüsselung für das beA. Die Anwälte sahen bei derzeitigen Verschlüsselung die Verletzung der Vertraulichkeit der Kommunikation und im Mandantenverhältnis. Der BGH urteilte, dass kein Anspruch auf eine bevorzugte, hier Ende-zu-Ende-Verschlüsselung, besteht. Die aktuelle Sicherheitsmaßnahmen ist nach Ansicht des BGH ausreichend. | |
| Arbeitsgericht Suhl 20.12.2023 | Verschlüsselte Mails bei Auskunftsgesuch | Ein Arbeitnehmer begehrte nach Art. 15 DSGVO Auskunft nach seinen Daten. Der Arbeitgeber stellte die Daten zusammen und übermittelte diesen die Auskunft unverschlüsselt per PDF. Zudem wurden die Daten des Arbeitnehmer ohne dessen Zustimmung an den Betriebsrat weitergeleitet. Der Arbeitnehmer erhob Klage mit der Begründung, dass der unverschlüsselte E-Mail-Versand einen DSGVO-Verstoß darstellt, ihm dadurch ein Schaden entstand und die Auskunft nicht umfassend beantwortet wurde. Das AG Suhl wies jedoch die Klage auf Schadenersatz ab, mit der Begründung, dass kein Schaden entstanden sei. Der Kläger hat keine ausreichende Begründung für einen Schaden dargelegt. Festzuhalten ist jedoch, dass ein aufgrund der unverschlüsselten Mail ein Verstoß gegen die DSGVO vorliegt. | Es wird daher dringend angeraten, beim Versand von Auskunftsgesuchen die Informationen mittels (inhalts)-verschlüsselter Mail zu übermitteln. |
Sonstige Urteile
| Gericht und Datum des Urteils | Thema | Zusammenfassung | Hinweise / Empfehlungen der Datenbeschützerin |
| Landgericht Hamburg 02.03.2017 | Datenschutzverstöße können bei Wettbewerbern abgemahnt werden | Datenschutzverstöße können insoweit abgemahnt werden, wenn die „Marktverhaltensregeln“ (vgl. § § 4, 4a und 28 Abs. 7 BDSG iVm. § 3a UWG) nicht eingehalten werden. | |
| Bundesgerichtshof 12.06.2018 | Zugriff auf digitalen Nachlass | Nach dem Tod einer Facebook-Nutzerin möchten die Erben (Eltern) Zugriff auf das Konto und die Nachrichten. Facebook verweigerte den Zugriff. Der BGH äußert sich dazu, dass die Gesamtrechtsnachfolge erfasst wird und auch der digitale Nachlass auf die Erben übergeht. Facebook hat den Zugriff auf das Nutzerkonto zu gewähren. Update 09.2020: Facebook hat den Eltern einen USB-Stick mit einem 14.000-seitigen PDF zur Verfügung gestellt. In einem erneuten Beschluss des BGH wird ausdrücklich festgestellt, dass die zur Verfügungstellung per PDF nicht ausreicht. Vor allem der Begriff „Zugang“ wurde hier konkretisiert. „[Zugang][…] bedeute, dass sich die Erben in dem Benutzerkonto so „bewegen“ können müssen wie zuvor die Erblasserin selbst.“, heißt es im Artikel von LTO. Facebook hat sich bisher noch nicht zum Beschluss geäußert. | |
| Landgericht Bochum 07.08.2018 | DSGVO-Abmahnung fehlerhafte Datenschutzerklärung nicht möglich | Fehlerhafte Datenschutzerklärungen können nicht auf Art. 13 DSGVO abgemahnt werden. Das Gericht stützt sich dabei auf Art. 77 bis 84 DSGVO (abschließende und ausschließende Regelungen für Mitbewerber) | Auch das Landgericht Stuttgart ist der gleichen Ansicht. Jedoch ist noch kein höchstrichterliches Urteil (BGH, EuGH) ergangen. |
| Oberlandesgericht Hamburg 25.10.2018 | Datenschutzverstöße können abgemahnt werden | Datenschutzverstöße können insoweit abgemahnt werden, wenn „Markverhaltensregeln“ (vgl. § § 4, 4a und 28 Abs. 7 BDSG iVm. § 3a UWG) nicht eingehalten werden. | Seitenbetreiber sollten die datenschutzrechtlichen „Basics“ auf Ihrer Webseite umsetzen. Das bedeutet konkret: 1. eine individuelle und DSGVO-konforme Datenschutzerklärung auf der Seite einstellen, 2. weitere DSGVO Anforderungen wie verschlüsselte Kontaktformulare umsetzen, 3. die eigene Seite auf nicht datenschutzkonforme Plugins und Dienste prüfen, 4. Abläufe wie Bestellprozesse und Newsletter auf DSGVO-Verstöße prüfen, 5. wenn nötig AV-Verträge mit Dienstleistern und/ oder eigenen Kunden abschließen. Vor allem Webdesigner und Agenturen – die nach Ansicht der Gerichte auch für rechtliche Fehler auf Kundenseiten haften – sollten jetzt handeln. |
| Bundesverfassungsgericht 18.12.2018 | KFZ-Kennzeichenkontrolle | Die automatische Kennzeichenerkennung ist ein Eingriff in den Art. 2 GG. Nur in Ausnahmefällen dürfen KFZ-Kennzeichen gescannt werden. Die Länder sind dazu angehalten, ihre Landesvorschriften zu überarbeiten. | Januar 2021: Die Planung der bundesweiten Kennzeichenerfassung schreitet aktuell voran. Der neue Gesetzesentwurf fügt den neuen § 163 g StPO ein. Damit soll die Rechtsgrundlage für die Erfassung geebnet sein. Das weitere Verfahren werden wir weiter beobachten und neue Informationen bekannt geben. |
| Bundesverfassungsgericht 20.12.2018 | „Speichern auf Zuruf“ verfassungsrechtlich abgesegnet | E-Mail-Provider haben grds. damit zu rechnen, die IP-Adressen ihrer Nutzer für strafrechtliche Verfolgungen an die Staatsanwaltschaft zu übermitteln. Die Verkehrsdaten, insbesondere die IP-Adressen, müssten wenigstens für die Dauer der Kommunikation zwischengespeichert werden, weil andernfalls eine E-Mail nicht einem Empfänger zugeordnet werden können. | Datenoffenlegung jedoch erst nach Vorlage eines richterlichen Beschlusses oder nach Anordnung der Staatsanwaltschaft |
| Landgericht Stuttgart 09.04.2019 | Abmahnfähigkeit von DSGVO-Verstößen | Das Gericht positioniert sich hier klar gegen eine Abmahnfähigkeit von Datenschutzverstößen. In seiner Begründung führt es die oben dargestellten Argumente an und vertritt damit eine von zwei sehr gut vertretbaren Meinungen. Hier wäre jedoch eine grundlegendere Auseinandersetzung mit der Abmahnproblematik im Datenschutzrecht wünschenswert gewesen, um im Bereich der Abmahnungen mehr Rechtssicherheit zu begründen. Die Problematik wird wohl erst klarer, wenn ein Fall höchstrichterlich entschieden wird, oder das Gesetz zur „Stärkung des fairen Wettbewerbs“ eine Abmahnung von Datenschutzverstößen abschließend untersagt. | Auch das Landgericht Bochum ist der gleichen Ansicht. Jedoch ist noch kein höchstrichterliches Urteil (BGH, EuGH) ergangen. |
| Europäischer Gerichtshof 13.06.2019 | Gmail ist kein Telekommunikationsanbieter | Die Bundesnetzagentur wollte, dass Google sich als Telekommunikationsdienstanbieter bei ihnen registriert. Hintergrund: TK-Anbieter haben ggü. der Behörde bei Verdacht Nutzerdaten offenzulegen. Für SMS ist dies per gerichtlichen Beschluss möglich, jedoch für Nachrichten z.B. über WhatsApp nicht. Auswirkung: Dem Anbieter steht frei, die Kommunikationsinhalte der Kunden können weiterhin auswerten; da das Fernmeldegeheimnis nicht greift. Knackpunkt dabei ist, dass „traditionelle“ Telekom-Dienste Regulierungsvorgaben einhalten müssen, für Webdienste gilt dies jedoch nicht. | |
| Amtsgericht Frankfurt an der Oder 27.06.2019 | KFZ-Kennzeichen-Massenspeicherung in Brandburg | Der Kläger sieht in der Massenspeicherung der KFZ-Kennzeichen eine gezielte Maßnahme, Fahrzeuge auf den befahrenen Strecken zu erfassen und festzuhalten. Das Amtsgericht entscheidet nicht über die Zulässigkeit. Es verweist darauf, dass zufällig erfasste Kennzeichen und die damit betroffenen Personen kein „Rechtsschutzbedürfnis“ genießen. | Der Kläger geht nun in die nächste Instanz. Bei neuen Informationen, werde diese hier wieder geteilt. |
| Oberlandesgericht Düsseldorf 26.08.2019 | Datensammlung von Facebook durch Kartellamt untersagt | Das Bundeskartellamt forderte in einem Beschluss Facebook dazu auf, die Datensammlung der verschiedenen Plattformen (Instagram, WhatsApp etc.) einzuschränken und nicht mehr unternehmensintern auszutauschen. Facebook klagte gegen diesen Beschluss und erzielte jetzt einen Teilsieg. Auch wenn die Datensammlung gegen den Datenschutz verstoße, so verstößt diese jedoch nicht zugleich gegen das Wettbewerbsrecht. Facebook merkte zugleich noch an, dass das Kartellamt für sie nicht zuständig seien, sondern die irische Datenschutzbehörde. Facebook muss den Beschluss des Kartellamts durch das Gerichtsurteil erst einmal nicht folge leisten. | Die Rechtsbeschwerde ist zulässig. Die nächste Instanz wäre der dann der BGH. |
| Bundesverwaltungsgericht 25.09.2019 | Vorratsdatenspeicherung – vereinbar mit europäischen Recht? | Das BVerwG hat entschieden, ob die Regelungen zur Vorratsdatenspeicherung im TKG zulässig sind. Vor allem soll dabei geklärt werden, ob eine anlasslose Vorratsdatenspeicherung möglich ist. | Die Frage, um die Vorratsdatenspeicherung auf nationaler Ebene wird vom EuGH geprüft und entschieden. |
| Europäischer Gerichtshof 16.07.2020 | EuGH erklärt Privacy-Shield als ungültig (Schrems II) | Der EuGH erklärt das Privacy-Shield für ungültig. Das bedeutet, dass die auf dem Privacy-Shield beruhende Datenübermittlung in die USA nicht mehr rechtgültig ist. Die Standardvertragsklauseln wurden seitens des EuGH weiterhin für gültig erklärt. | Weiter Informationen über das weitere Vorgehen und Handlungsempfehlungen finden Sie in unserer Knowledge-Base. |
| Bundesgerichtshof 27.07.2020 | Streit um den Wahrheitsgehalt von Berichten | In einem zweiten Fall musste der BGH sich mit der Frage auseinandersetzen, ob Suchmaschinen Artikel anzeigen dürfen, deren Wahrheitsgehalt unklar ist. Über ein deutsches Unternehmen wurde in US-Artikeln negativ berichtet, auch mit Fotos der Geschäftsführer. Die beiden Kläger verlangen, dass die Artikel nicht der Wahrheit entsprechen und zu löschen sind. Der BGH hat diesen Fall zur Klärung an den EuGH weitergereicht. Die Entscheidung steht somit noch aus. | |
| Europäischer Gerichtshof 06.10.2020 | Pauschale Vorratsdatenspeicherung unzulässig | Die bereits in der Kritik stehende Vorratsdatenspeicherung ist nicht dem europäischen Recht vereinbar. Damit ist zunächst die Vorratsdatenspeicherung unzulässig und nicht möglich. Nur sofern eine „konkrete und ernsthafte Bedrohung der nationalen Sicherheit“ vorliegt, ist die Datenspeicherung zulässig. | Der Datenschutzbeauftragte von Baden-Württemberg Herr Brink bedauert es, dass der EuGH mit seinem Urteil die erneute Debatte um eine situative Datenspeicherung damit entfacht. |
| Landgericht Bonn 11.11.2020 | Bußgeldreduzierung bei Telekommunikationsanbieter | Im Mai diesen Jahres verhängt die Aufsichtsbehörde gegen 1&1 ein Bußgeld in Höhe von 10 Mio. Euro wegen einer unzureichender Identifizierung von Anrufern. Gegen dieses Bußgeld wurde Klage eingereicht und durch das LG Bonn nun auf 900.000,00 Euro reduziert. Das Gericht sowie auch die Aufsichtsbehörde sehen das Verschulden bei diesem Datenschutzverstoß eher als gering an, da es sich um einen Einzelfall handelt und es nicht zur massenhaften Herausgabe von Daten kam. | |
| Landgericht Erfurt 28.04.2021 | Arbeitgeber ist kein Telemedienanbieter bei erlaubter Privatnutzung von geschäftlichen E-Mail-Accounts | Das LG hat entschieden, dass der Arbeitgeber kein Telemedienanbieter im Sinne des TKG ist, wenn er die private Nutzung der geschäftlichen E-Mail-Adressen erlaubt. Das würde in bestimmten Ausnahmefällen den Zugriff auf die Mails ohne Einwilligung des Mitarbeiters erlauben. Ausnahmefälle ergeben sich aus § 26 Abs. 1 BDSG z.B. bei Abwesenheit des Mitarbeiters oder bei Verdacht auf Straftaten. Es ist jedoch eine Interessensabwägung durchzuführen, bevor der Zugriff stattfinden kann. | Auch das LAG Berlin-Brandenburg, VG Karlsruhe, LAG Hamm, LAG Niedersachsen, VGH Hessen, und ArbG Düsseldorf urteilten diesbezüglich ebenfalls in derselben Art. Auch geht aus dem neu erlassenen TTDSG indirekt hervor, dass Arbeitgeber nicht als Telemedienanbieter gelten und somit dem Fernmeldegeheimnis nicht unterliegen. Das bedeutet letztendlich, dass keine Einwilligung seitens des Mitarbeiters für den Zugriff auf die Mails benötigt wird. Der Zugriff darf jedoch nicht anlasslos erfolgen und bedarf einer vorherigen Interessensabwägung. |
| Oberverwaltungsgericht Schleswig-Holstein 28.05.2021 | Auskunftverweigerung gegenüber Aufsichtsbehörde | Eine Online-Shop-Betreiberin versandte Werbe-E-Mails, um ihre Produkte zu bewerben. Die Empfänger reichten Beschwerde bei der Aufsichtsbehörde ein. Diese wandte sich an die Online-Shop-Betreiberin mit einen Fragenkatalog und Beantwortung der Fragen. Insbesondere wurde abgefragt, welche Daten zu Werbezwecken verarbeitet werden, welche TOMs ergriffen werden und ob ein Verfahrensverzeichnis vorhanden ist, wie viele Personen von dem Sachverhalt betroffen sind und wie sie ihrer Informationspflicht nach Art. 13 und Art. 14 DSGVO nachkam. Die Behörde verwies zudem noch darauf, dass bei Nichtbeantwortung der Fragen ein Zwangsgeld angeordnet wird. Die Klägerin berief sich jedoch auf das Auskunftsverweigerungsrecht nach § 40 BDSG, da sie sich nicht selbst belasten wollte. Daraufhin erging ein Zwangsgeld von 100,00 € seitens der Behörde. Das Gericht gibt der Klägerin teilweise recht. Vereinzelte Fragen waren zulässig gestellt und konnte, ohne Gefahr zu laufen, dass ein Straf- oder Ordnungswidrigkeitsverfahren daraus resultiert, beantwortet werden. Bei den weiteren gestellten Fragen durfte die Klägerin die Auskunft verweigern z.B. Umsetzung der Informationspflicht, da hier das Risiko für ein Bußgeld erkennbar ist und die Klägerin sich somit selbst belastet hat. | Das Urteil zeigt zumindest grob auf, wann das Auskunftsverweigerungsrecht zur Geltung kommt, lässt aber noch weitere Fragen offen. Wann die Auskunft verweigert werden darf, ist immer vom Einzelfall abhängig. |
| Bayerisches Oberstes Landesgericht 26.10.2021 | Strafbarkeit eines Behördenbeschäftigten bei unberechtigten Zugriff | Der Angeklagte war Verwaltungsfachangestellter bei einer Stadt und als Mitarbeiter im Bürgerservicebüro tätig. Dadurch hatte er auch Zugriff auf die Daten der Einwohnermeldedatei. Der Angeklagte wurde bei Amtsantritt zur Verschwiegenheit verpflichtet über deren Konsequenzen bei Verletzung unterrichtet. Ein Bekannter des Angeklagten wollte die Adresse von zwei Personen herausfinden und forderte ihm zur Herausgabe und Weiterleitung der Informationen. Der Angeklagte fand die Adressen heraus und übermittelte diese dem Bekannten. Das Gericht entschied, dass hier ein Verstoß gegen die Verschwiegenheit sowie gegen das BayDSG vorliegt. Weiterhin wurde der Tatbestand der Strafbarkeit festgestellt. | Dieser Vorfall zeigt eindeutig, dass rechtliche Konsequenzen bei einem Verstoß gegen die Verschwiegenheit sowie das Datengeheimnis folgen können. |
| Landesarbeitsgericht Köln 02.11.2021 | Mitarbeiterin darf nicht unbefugt Mails des Chefs lesen und eine Kopie davon anfertigen | In dem Urteil geht es zwar nicht in erster Linie um datenschutzrechtliche Belange, sondern eher darum, ob die fristlose Kündigung an sich wirksam war. Dennoch ist der Hintergrund aus Datenschutzsicht mehr als fatal. Eine Mitarbeiterin der evangelischen Kirchengemeinde ist in der Verwaltung tätig und erhält für ihre Buchungstätigkeiten Zugriff auf das E-Mail-Kontos ihres Chefs, den Pastor. Im Eingang nahm sie dann eine E-Mail wahr, die auf ein Ermittlungsverfahren gegen den Pastor wegen des Verdachts auf sexuelle Übergriffe an einer Frau hinwies. Sie fand dann im E-Mail-Postfach dann noch eine private Mail mit einem Anhang (Chatverlauf mit besagter Frau). Diesen Verlauf speicherte sie auf einen USB-Stick und gab sie eine Woche später anonym bei einem ehrenamtlichen Mitarbeiter der Gemeinde weiter. Sie gab an, dass sie die Dame beschützen und Beweise sichern wollte. Nach Bekanntwerden des Sachverhalts kündigte die Kirchengemeinde der Mitarbeiterin fristlos. Der ehemalige Arbeitgeber erhielt vor dem LArbG recht, da das Vertrauensverhältnis unwiderruflich zerstört ist. | Bei diesem Fall sehe ich mehrere fatale, organisatorische Problematiken: – Zugriff auf da Postfach des Pastors. Das persönliche Postfach des Chefs oder Kollegen sollte auch nur von diesem zugänglich sein. Alternative: eigene E-Mail-Adresse für die Verwaltungsmitarbeiterin oder eigene Buchhaltungs-Mail-Adresse. – Private Nutzung des Dienstkontos des Pastors (Chef). Natürlich kann man argumentieren, dass es doch dem Chef sein Problem ist. Sehe ich nicht so; es sollte intern geregelt werden, ob die E-Mails auch privat genutzt werden dürfen oder nicht. Daran haben sich dann alle zu halten. – unberechtigte Datenweitergabe und -verbreitung durch die ehemalige Mitarbeiterin. Die E-Mails sind dem privaten „Bereich“ des Chefs zuzuordnen. Wie das Urteil selbst besagt, das Lesen von E-Mails des Chefs ist nicht zulässig. |
| Verwaltungsgericht Hannover 09.11.2021 | Online-Versandapotheke darf Geburtsdatum nicht bei jedem Produkt abfragen | Eine Online-Versandapotheke erhob unabhängig von Art des Medikaments das Geburtsdatum von den Betroffenen. Die Begründung der Apotheke verwies dabei auf die Pflicht zur altersgerechten Beratung. Die Datenschutzbeauftragte von Niedersachsen forderte mittels Bescheid die Online-Apotheke zur Unterlassung zur Erhebung des Geburtsdatums auf. Gegen den Bescheid wurde Klage erhoben. Das VerwG Hannover entschied daraufhin zu Gunsten der Aufsichtsbehörde. Die Erhebung des Geburtsdatums bei rezeptfreien erwerbbaren Produkten ist nicht erforderlich, wenn keine altersspezifische Beratung erforderlich ist. | |
| Oberlandesgericht Schleswig-Holstein 03.06.2022 | Schufa hat die Daten eines Insolvenzschuldners zu löschen | Die Schufa hat nicht das Recht die Daten eines Insolvenzschuldners länger zu verarbeiten als diese im „Insolvenzbekanntmachungsportal“ öffentlich sind. Ein Insolvenzverfahren wurde gegen den Schuldner eröffnet, welches jedoch durch Beschluss des Amtsgerichts wieder aufgehoben wurde. Die Information wurde auch im Portal veröffentlicht. Die Schufa löschte diese Information nicht. Der Kläger begehrte die Löschung, da er durch die Information finanziell und wirtschaftlich eingeschränkt ist. Die Schufa verwies auf die übliche Speicherdauer von 3 Jahren, welche im Verband „Wirtschaftsauskunfteien“ definiert wurde. Das OLG stimmte dem Kläger zu. Die Aufforderung zur Unterlassung zur Datenverarbeitung ist sechs Monate nach Aufhebung des Insolvenzverfahrens zulässig. |
