15.000 € Schmerzensgeld wg. Videoüberwachung – DS News KW 40/2025

Transkript zur Folge:

Herzlich Willkommen zum Datenschutz-Talk, eurem wöchentlichen Datenschutz-Update der Migosets.
Wir begrüßen euch wieder recht herzlich zu unserem Wochenrückblick.
Heute ist Donnerstag, der 2.
Oktober 2025, unser Rektionsschluss war um 10 Uhr und aus naheliegenden Gründen
nehmen wir heute schon am Donnerstag auf.
Mein Name ist Heiko Gossen und bei mir begrüße ich recht herzlich Gregor Wortberg.
Hallo Heiko.
Moin Gregor, grüß dich. Ja, vor einem langen Wochenende haben wir beide das
Vergnügen, heute einmal auf eine etwas kürzere Woche zurück zu gucken.
Ich glaube, wir haben aber von den Themen her, merkt man es der Woche nicht
an, dass sie kürzer ist, oder? Oder was hast du mitgebracht?
Genau, wir haben wieder einiges Interessantes dabei. Ich habe als erstes ein
Bußgeld in sechsstelliger Höhe mitgebracht.
Das hat es im Kontext der automatisierten Entscheidungsfindung gegeben.
Darüber hinaus hat der Europäische Datenschutzausschuss seine Leitlinien für
die Bußgeldberechnung bei Datenschutzverstößen bestätigt.
Und einen Datenschutzvorfall hat es bei der Schufa-Tochter Bonify gegeben.
Welche Themen hast du dabei heute, Heiko?
Ja, ich habe einmal ein Schadensersatzthema dabei, wegen Videoüberwachung im
Unternehmen, unser Titelthema heute.
Dann schauen wir auf eine Entscheidung
des Bundesfinanzhofs zum Thema Auskunftsrecht bei anonymer Anzeige.
Und ich hätte noch etwas in der Rubrik Kurioses mitgebracht und zwar eine App
in den USA, mit der man seine Telefonate aufzeichnen kann.
Und dann habe ich natürlich ein paar Veranstaltungen mitgebracht.
Also eine, genau. Ich glaube, du hast zwei, richtig?
Ja, die wollte ich nicht verschweigen, natürlich. Die bringe ich natürlich auch
gleich noch mit, aber dann steige ich am besten einfach ein mit dem Bußgeld.
Oder? Sehr gerne.
Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit hat in
einer Pressemitteilung dieser Woche nämlich bekannt gegeben,
ein Bußgeld in Höhe von 492.000 Euro wegen Verstößen gegen die Rechte betroffener
Kundinnen und Kunden bei automatisierten Entscheidungen in Einzelfällen verhängt zu haben.
Im vorliegenden Fall wurden konkret Kreditkartenanträge von betroffenen Personen,
welche eigentlich eine gute Bonität aufweisen, eben mittels automatisierter
Entscheidungsfindung abgelehnt.
Die Entscheidungen seien auf Basis von Algorithmen getroffen worden,
so die Pressemitteilung.
Darüber hinaus erfüllte dann in Folge das Unternehmen seine Informations- und
Auskunftspflichten nicht ausreichend, als die betroffenen Kundinnen und Kunden
eben wissen wollten, welche Hintergründe die Ablehnung.
Denn HED positiv hervorhob der Hamburgische Datenschutzbeauftragte das Engagement
des Unternehmens, die vorhandenen Prozesse zu optimieren, sowie die Zusammenarbeit
während des Verwaltungs- und Bußgeldverfahren.
Dies führte zu einer erheblichen Bußgeldreduzierung. In der Pressemitteilung
erinnerte die Behörde zudem an die strengen Voraussetzungen für die Durchführung
solcher automatisierten Entscheidungsverfahren und das Recht der betroffenen Person,
aussagekräftige Informationen über die eben involvierte Logik zu erhalten. Zudem...
Zog die Behörde noch eine Zwischenbilanz für 2025. Die möchte ich euch natürlich nicht vorenthalten.
Bis Ende September wurden in Hamburg Bußgelder in Höhe von 775.000 Euro in 15 Verfahren verhängt.
Schwerpunkte waren die Werbung per E-Mail, unzulässige Personenabfragen durch
Polizeibeamte sowie ein Bußgeld über 195.000 Euro gegen ein Handelsunternehmen,
welches in mehreren Fällen Betroffene Anfragen nicht fristgerecht beantwortet hat.
Das ist natürlich bei 775.000, 500.000, 195.000 nochmal abgezogen.
Dann können die anderen ja nicht so hoch ausgefallen sein, wenn ich richtig gerechnet habe.
Ja, es waren sechs Polizeibeamte. Also die zahlen natürlich dann,
denke ich mal, nicht so viel. Aber ja, es wird durch zwei Bußgelder dann bestimmt, die Summe, ja.
Dann schauen wir nach Hamm. Das Landesarbeitsgericht Hamm hat einem Arbeitnehmer
15.000 Euro Schmerzensgeld zugesprochen,
weil 22 Monate dauerhafte Kameraüberwachung einen schweren Eingriff in sein
Persönlichkeitsrecht darstelle.
Das LAG Hamm hat einem ehemaligen Mitarbeiter diese Entschädigung zugesprochen,
weil er fast zwei Jahre lang von 34 Kameras überwacht wurde und das auch trotz
seines ausdrücklichen Widerspruchs.
Zum Hintergrund, der Kläger war Produktionsmitarbeiter in einem Metallverarbeitungsbetrieb
und arbeitete in einer Halle, in der schon dort wohl offenbar alleine über 30
Kameras hingen, die 24-7 auch aufgezeichnet haben.
Nach einem Streit über die Rechtmäßigkeit der Überwachung kam es jetzt dann
zu dem Verfahren und die Richter stuften die Dauer wie die Überwachung als einen
massiven Eingriff in das Persönlichkeitsrecht ein.
Denn die im Arbeitsvertrag enthaltene pauschale Zustimmung zur Datenverarbeitung
genügte nicht, wenig überraschend.
Kleine Anmerkung von mir. Da half auch nicht, dass die Speicherdauer der aufgezeichneten
Bilddaten maximal 48 Stunden nur betrug und dann anschließend automatisch gelöscht wurden.
Man hatte seitens des Arbeitgebers auch angeführt, dass die Aufnahmen nicht
durch offene Bildschirme im Betrieb einsehbar seien und der Zugriff auf die
Aufnahmen lediglich dem Geschäftsführer, dem technischen Betriebsleiter und
dem Arbeitssicherheitsbeauftragten möglich waren.
Aber auch das gereichte dem Gericht nicht.
Eine freiwillige und informierte Einwilligung lag natürlich auch nicht vor.
Dann hat man sich über die Rechtsgrundlagen berechtigtes Interesse ausgetauscht.
Auch hier, also Diebstahl und Unfallprävention wurden angeführt,
konnten eine umfassende und dauerhafte Überwachung laut Gericht nicht rechtfertigen.
Besonders schwer wog aus Sicht des Gerichts auch die Kombination von Dauer,
Reichweite und technischer Detailtiefe,
denn es wurde nicht nur rund um die Uhr aufgezeichnet, sondern das auch noch
in HD-Qualität und auch mit Zoom-Funktion und Live-Zugriffsmöglichkeiten.
Also man hat hier seitens des Gerichts einen erheblichen Anpassungsdruck durch
den Beschäftigten gesehen, der daraus entstanden ist.
Aus meiner Sicht jetzt wenig überraschend die Entscheidung. Die Höhe des Schmerzens gilt 15.000 Euro.
Ist natürlich ordentlich, liegt weit über dem, was wir sonst so typischerweise
in den Schadensersatzprozessen haben, die wir kennen.
Ich gehe natürlich auch davon aus, dass es bei unseren Zuhörern in den Betrieben
solche invasiven Überwachungen nicht gibt.
Aber ich glaube, wenn man Videoüberwachung durch für den Unternehmen,
wie auch immer sie ausgestaltet ist, man kann das Urteil auf jeden Fall nochmal
heranziehen für eine kritische Überprüfung.
Die würde ich auf jeden Fall anraten, da nochmal genau auf die Argumente auch
zu gucken und zu schauen, inwieweit die eigene Videoüberwachung hier dem Ganzen gerecht wird.
Den Link zum Urteil packen wir natürlich in die Show Notes.
Ich wollte eigentlich erst in den Veranstaltungshinweisen auf die Big Brother
Awards eingehen, aber...
Ich habe hier so einen Kandidaten, glaube ich.
Ja, quasi at its best.
Dann habe ich noch ein Update für euch mitgebracht. Der Europäische Datenschutzausschuss
hat nach dem jüngsten EuGH-Urteil in der Rechtssache C383-23 erklärt,
dass seine Leitlinien zur Berechnung von Datenschutz-Bußgeldern weiterhin uneingeschränkt gelten.
Zum Urteil haben wir euch in der Länderwoche 8 Februar diesen Jahres Bericht
erstattet. Und im Mittelpunkt des Urteils stand die Frage, wie der Unternehmensbegriff
in Artikel 83 DSGVO auszulegen ist.
Der EuGH hatte seinerzeit bestätigt, dass sich dieser am Wettbewerbsrecht orientiere
und damit auch den weltweit erzielten Jahresumsatz umfasst.
Zugleich stellte das Gericht klar, bei der Bemessung von Geldbußen müssen die
Datenschutzbehörden die Wirksamkeit,
Verhältnismäßigkeit und Abschreckungswirkung berücksichtigen und dabei die wirtschaftliche
Leistungsfähigkeit der Unternehmen demnach auch einbeziehen.
Nach eingehender Prüfung des Urteils kommt der Etzer demnach jetzt zu dem Schluss,
dass die eigenen Leitlinien 4.2022, insbesondere die Berechnungsmethode im Abschnitt
6.2.1 bereits im Einklang mit dem Urteil stehen und daher sieht der Ausschuss
aktuell auch keinen Änderungsbedarf.
Dann gehen wir weiter. Der Bundesfinanzhof hat entschieden, dass anonyme Anzeigen
mit personenbezogenen Daten nicht zwingend nach Artikel 15 DSGVO offengelegt werden müssen.
Das ist eine Entscheidung aus dem Juli und der WFA hat damit die Reichweite
des Auskunftsanspruchs nach Artikel 15 DSGVO im Steuerverfahren eingegrenzt.
Zwar sind Angaben aus einer anonymen Anzeige personenbezogene Daten,
das sieht das Gericht schon, Doch kann das Auskunftsrecht nach Artikel 23 DSGVO
in Verbindung mit dem § 32c der Abgabenordnung eingeschränkt werden,
wenn Geheimhaltungsinteressen überwiegen.
Ausgangspunkt war eine anonyme Anzeige gegen ein Restaurant,
auf das das Finanzamt hin auch entsprechend eine Kassennachschau durchführte,
allerdings ohne steuerliche und strafrechtliche Konsequenzen.
Der Betreiber wollte anschließend Einsicht in die Anzeige nehmen und machte
entsprechend ein Auskunftsersuchen nach Artikel 15 geltend.
Doch sowohl das Finanzgericht als nun auch der BfH lehnten dies ab,
weil das Auskunftsrecht hinter den Geheimhaltungsinteressen zurücktrete.
Wie gesagt, personenbezogene Daten aus anonymen Anzeigen hat man hier grundsätzlich
schon angenommen und dass sie auch grundsätzlich vom Auskunftsanspruch erfasst werden.
Das Gericht sah aber in dem Artikel 23 eine zulässige Einschränkung aus Gründen
des öffentlichen Interesses, insbesondere auch zur Sicherstellung einer effektiven Steueraufsicht.
Und man hat auch nochmal bestätigt, dass der § 32c der Abgabenordnung eine zulässige
nationale Ausgestaltung dieser Einschränkung im § 23 DSGVO sei.
Man hat also aus meiner Sicht im Unternehmen jetzt, um es mal zu übertragen, was bedeutet das,
glaube ich ein weiteres Argument, wenn es um Auskunftsanfragen von Betroffenen
zum Beispiel im Rahmen von Whistleblowing geht,
dass man hier sicherlich auf dieses Urteil auch nochmal zurückgreifen kann und
Analogien sicherlich auch übertragen kann, wenn es dort entsprechende Geheimhaltungsgründe gibt.
Dem Bonitätsauskunfts-Sieb Bonify, der Schufertochter Forte,
wurden Identitätsdaten der Nutzer gestohlen und dieser wird jetzt auch noch
durch Unbekannter erpresst. Dies berichtete Heise in dieser Woche.
Konkret betroffen seien sensible Dokumente sowie auch Daten betroffener Personen.
Dies umfasse Ausweisdaten, Adressdaten sowie Fotos und Videos,
welche bei der Identifikation angefertigt werden.
Also schon sehr, sehr umfangreich und sensible Daten. Die App Bonify hat im
Wesentlichen das Ziel, Verbraucherinnen und Verbraucher einen kostenlosen Zugang
zum Schufa-Basisscore zu ermöglichen.
Wenn wir jetzt zum Beispiel Push-Nachrichten bei neuen Negativ-Schufa-Einträgen dann bekommen.
Der Dienstleister betont, dass keine Passwortdaten oder Kontoinformationen einschließlich
Zugangsdaten zu Girokonten, welche man wohl mit dem Dienst verknüpfen kann, betroffen seien.
Die betroffenen Kunden seien bereits auch über den Vorfeld informiert worden.
Ebenso seien die BaFin sowie der hessische Datenschutzbeauftragte involviert.
Unklar ist allerdings weiterhin, wie die Täter genau Zugriff auf die Daten erhalten konnten.
Der Abfluss der Daten ist natürlich besonders kritisch für die betroffenen Personen
selbst, da dieser erhebliche Risiken birgt, wie zum Beispiel der Online-Abschluss
von Verträgen mit Ausweiskopien.
Zunächst sollten betroffene Personen auf verdächtige E-Mails,
Nachrichten oder Anrufe achten, sowie eigene Verträge und aber auch Konten im Blick behalten.
Als kleiner Trost dürfen Betroffene, die den Identitätsschutz von Bonify übrigens
sechs Monate kostenlos nutzen. Macht alles wieder gut.
Das ist ein total fairer Ausgleich, ja.
Die App Neon zahlt Nutzern Geld für aufgezeichnete Telefonate und verkauft die
Mitschnitte mit umfassenden Lizenzrechten für KI-Training weiter.
Wie Heise in der Kategorie What the Fuck, bei uns eher die Kategorie Kurioses berichtet.
Sorgt in den USA gerade die App Neon Money Talks für Aufsehen,
denn Nutzerinnen und Nutzer können, wie gesagt, ihre Telefongespräche über die
App aufzeichnen lassen und dann dafür Geld erhalten.
Die Aufnahmen werden dann entsprechend wieder zum Training von KI genutzt.
Pro Minute zahlt Neon 15 Cent, wenn nur der eigene Ton aufgezeichnet wird,
sind beide Gesprächspartner bei Neon registriert, werden also komplette Telefonate gespeichert.
Dann gibt es sogar 30 Cent pro Minute, jedoch maximal 30 Dollar pro Tag.
Der Anbieter verspricht personenbezogenen Daten wie Namen und Telefonnummern
automatisch herauszufiltern. Ich glaube, dann ist ja alles gut soweit.
Nein, es sichert sich aber auch weitreichende Rechte und da wird es dann auch
nochmal pikant, denn die Aufnahmen dürfen weltweit und unwiderruflich genutzt,
weiterverkauft und auch verändert werden.
Also die Vertraulichkeit dieser Telefonate, die wird gerade nicht zugesichert.
Und Nutzende dürfen ihre Gespräche selber nicht anderweitig verwerten.
Also das heißt, man gibt also dem Anbieter auch noch die Exklusivität der Rechte
an den eigenen Aufzeichnungen.
Und dann wird es nochmal richtig spannend, denn man haftet auch noch,
wenn in den Telefonaten Rechte Dritter verletzt werden, zum Beispiel durch vorgelesene
Texte oder gesungene Melodien.
Also auch da ist man dann quasi noch mit in der Haftung drin,
Aber es ist wahrscheinlich auch so ein bisschen Schutz, damit die Leute nicht
künstlich Telefonate produzieren mit dann irgendwelchen fremden Texten oder so. Was auch immer.
Ja, interessante Sache, Gregor, oder? Wärst du dabei? Würdest du das machen?
Ja, direkt. Ich lade es mir schon runter.
Wir könnten denen ja mal unsere Podcast-Aufzeichnungen hier.
Es ist ja auch nichts anderes wie ein Telefonat, sind wir doch mal ehrlich.
Wir unterhalten uns, wir tauschen uns über Dinge aus, es ist ein Dialog,
also am Ende ist es doch fast ein Telefonat.
Wird das rückgewickelt berechnet? Wir haben ja bald Fünfjähriges.
Warten wir schon.
Ja, es würde sich läppern. Wir müssten es nur aufteilen, wenn nicht über 30 Dollar pro Tag kommen.
Ja, stimmt.
Ich glaube, ich bin dran. Mit den Themen sind wir durch.
Ich komme nämlich schon zu meinem ersten Veranstaltungstipp,
den hatte ich vorhin auch schon kurz erwähnt bei Heikos Thema und zwar am 10.
Oktober wird wieder der Big Brother Award verliehen. Das ist ja quasi der Oscar
für Datentragen und Gewinner sind dort, in Anführungsstrichen Gewinner,
sind dort regelmäßig Firmen, Politikerinnen und Politiker, Institutionen oder
auch Technologien, die da besonders hervorstechen.
Wird in Bielefeld verliehen, man kann Vorurteile nehmen oder halt auch per Livestream
am kommenden Freitag, 10. Oktober ab 18 Uhr.
Ich hätte einen Veranstaltungshinweis in Stuttgart, denn am 18.
Oktober lädt die Stadtbibliothek Stuttgart gemeinsam mit dem Landesdatenschutzbeauftragten
Baden-Württemberg zum Fest der digitalen Freiheit ein.
Ab 14 Uhr gibt es am Mailänderplatz ein buntes Programm rund um Datenschutz,
Digitale Selbstbestimmung und den Umgang mit Fake News. Geboten werden also verschiedene Formate.
Und zum Abschluss liest Katharina Hanokun um 19 Uhr noch aus ihrem Buch True Facts.
Der Eintritt ist grundsätzlich frei, lediglich die Abschlusslesung ist kostenpflichtig.
Und für meinen nächsten Tipp blicken wir einmal gemeinsam nach Mainz.
Dort findet die Veranstaltung EPA für alle Daten für alle statt.
Eine Diskussion rund um das Thema elektronische Patientenakte.
Am 6. November von 14 Uhr bis 17.30 Uhr im Plenarsaal des Landtags Rheinland-Pfalz
in Mainz zu den Chancen und Herausforderungen der elektronischen Patienten.
Wunderbar. Es muss also keinem langweilig werden, wenn die Folge hier zu Ende gehört ist.
Und ansonsten wird es nächste Woche wahrscheinlich auch noch den zweiten Teil
unserer Themenfolge zu den datensfreundlichen Tools für Webseiten geben.
Da gehen wir nochmal konkreter ein paar einzelne Tools durch.
Nachdem in der ersten Folge wir zugegebenermaßen vielleicht ein bisschen länger
auch über die grundsätzlichen Themen gesprochen haben.
Ja, da, wie gesagt, schon mal der kleine Spoiler. Und ansonsten ganz herzlichen Dank, lieber Gregor.
Ja, danke dir, Heiko.
Und euch wünschen wir ein erholsames Wochenende. Schönes, langes,
mit Feiertag hoffentlich. Bleibt uns gewogen und auf bald.
Bis bald. Bis bald.