BGH zur Videoüberwachung bei Mietern – Datenschutz News KW 25/2024

Moderation:

Was ist in der KW 25 in der Datenschutzwelt passiert, was ist für Datenschutzbeauftragte interessant?
Wir geben einen kurzen Überblick der aktuellen Themen:

• Datenschutzaufsicht Niedersachsen prüft heimliche Beobachtung
• Unternehmen schließen Sicherheitslücken in Microsoft Exchange
• Schadensersatz bei falsch adressierte Mandatspost (Urteil vom 20.06.2024 – Az. C-590/22 PS
• Auch das Finanzamt hat dem Auskunftsanspruch der DSGVO folge zu leisten, Urteil vom 12.03.2024 – IX R 35/21
• Heimliche Videoüberwachung bei Mietern , BGH, Urteil vom 12.03.2024 – VI ZR 1370/20
• 75.000€ Bußgeld wegen Verstoß gegen Patientendatenschutz
• Unerwünschte Werbe-E-Mails können teuer werden

Veröffentlichungen und Veranstaltungen

• Informationskampagne: Datenschutz beim E-Mail und Newsletter-Versand
• Bewerbungsdatenschutz und Recruiting

Weitere Infos, Blog und Newsletter finden Sie unter: https://migosens.de/newsroom/

Twitter: https://twitter.com/DS_Talk

Übersicht aller Themenfolgen: https://migosens.de/datenschutz-podcast-themenfolgen/
(als eigener Feed: https://migosens.de/show/tf/feed/ddt/)

Instagram: https://www.instagram.com/datenschutztalk_podcast/

Folge hier kommentieren: https://migosens.de/bgh-zur-videouberwachung-bei-mietern-datenschutz-news-kw-25-2024

TeamDatenschutz #TeamInfoSec #DSTalk

Transkript zur Folge: Solange keine Schraube locker ist, ist alles okay. Eine Schraube locker, aber. Schraube ist locker. Ah ja. Aber nur am Mikrofon. Okay, gut. Herzlich willkommen zum Datenschutztalk, eurem wöchentlichen Datenschutz ab, Wir starten wieder gemeinsam ins Wochenende. Heute ist Freitag, der einundzwanzigste Juni zweitausendvierundzwanzig. Unser Redaktionsschluss war wie immer um zehn Uhr heute Morgen. Mein Name ist Heiko Gossen. Mein Name ist David Schmidt, hallo Heiko. Hallo David. Ich würde sagen, wir fackeln gar nicht lange rum und gehen direkt in äh unsere Übersicht rein. Was haste mit, was ist dabei heute? Gern ähm ich starte gleich mit der Gesichtserkennungssoftware Peris, die auch bei der Polizei in Niedersachsen zum Einsatz gekommen ist Dann ähm habe ich quasi druckfrisch noch mal ein Urteil des Europäischen Gerichtshofs im Gepäck, erneut zum Artikel zweiundachtzig, Der Bundesgerichtshof hat sich zu heimlichen Videoüberwachungen in einem Treppenhaus geäußert, Und ein Bußgeld habe ich auch noch dabei, das in Italien verhängt wurde aufgrund von Werbeemails. Wie sieht’s bei dir aus? Ich schaue einmal auf eine Aktion der niedersächsischen Datenschutzaufsichtsbehörde zur Sicherheitslücke bei Microsoft Exchange, dann schauen wir noch auf ein Urteil vom Bundesfinanzhof und natürlich hätte ich auch was zum Thema Bußgelder dabei. Da geht’s um das Thema Patienten, Datenschutz in Italien. Last but not least auch noch was unter der Rubrik Veröffentlichung und Veranstaltungen. Ah ja, da habe ich auch noch was. Gut, dass du’s sagst. Wäre uns fast durchgegangen. Okay, dann spann uns aber nicht länger auf die Folter. Was gibt’s zur Gesichtserkennung? Gern, dass in Sachsen von der Polizei eingesetzte Gesichtserkennungssystem Peris wurde im Rahmen von Ermittlungshilfen auch in Niedersachsen eingesetzt. Hiervon hat die Datenschutzaufsicht Niedersachsen jetzt Kenntnisse erlangt und eine detaillierte Untersuchung der Anwendung angekündigt, Bei Peris handelt es sich um eine Observationstechnik, mit der Nummernschilder vorbeikommender Fahrzeuge sowie Gesichtsbilder von Fahrern und Beifahrern aufgenommen werden. Schon in Sachsen hatte die Polizei das System eingesetzt ohne vorher eine Datenschutzfolgenabschätzung durchzuführen oder die Datenschutzaufsicht über den Einsatz zu informieren. Gleiches jetzt also auch in Niedersachsen, da echauffiert die Behörde sich wohl zurecht und macht dann jetzt auch zurecht eine detaillierte Überprüfung. Ja, ist ja schon ist ja schon recht äh, ein großer Eingriff und vor allen Dingen, ich meine, es gibt ja auch einige äh Urteile schon dazu, was so ähm anlasslose Kennzeichenerfassung und so weiter angeht. Von daher bin ich mal auch gespannt, ob das nicht vielleicht irgendwann mal noch mal vor dem Gericht landet. Dann mache ich mal weiter, Nachdem die niedersächsische Datenschutzaufsichtsbehörde eine anlasslose Prüfung durchgeführt hat, haben 20 Firmen Sicherheitslücken in ihren MXX Change Servern geschlossen. Das IT-Labor der Behörde entdeckte diese Lücken jetzt bei einer Analyse von Exchange-Servern im Internet. Die Sicherheitslücken ermöglichten Angreifer den Zugriff auf Kontaktdaten und E-Mails. Zudem hätte man darüber auch Schadsoftware auf die Server platzieren können. Alle betroffenen Unternehmen hatten die Lücken laut der Pressemitteilung der Behörde sofort nach dem Hinweis geschlossen und es waren wohl seitens der Aufsichtsbehörde daher auch keine weiteren Maßnahmen nötig. Mit dem Hinweis ist aber wohl auch eine Verwarnung, so lese ich zumindest die Pressemitteilung seitens der Behörde gegen die Unternehmen ergangen dass sie gegen Artikel 32 der DSGVO verstoßen haben Da es sich hier um Sicherheitslücken handelt, die das äh unter anderem, die das Bundesamt für Sicherheit und Informationstechnik bereits 220 identifiziert und Warnungen dazu herausgegeben hatte, ist es natürlich umso problematischer, dass die dann jetzt vier Jahre später wohl immer noch offen waren Der Datenschutzbeauftragte betonte die Wichtigkeit des regelmäßigen Patchens, der Server, um natürlich entsprechende Risiken zu vermeiden. Da kann ich mich nur anschließen, ist auch unser Mantra und die Datenschutzabsichtsbehörde möchte wohl weiter auf Unternehmen zugehen, die ihre Server nicht sichern. Meine persönliche Empfehlung ist hier das Thema auch wirklich ernst zu nehmen natürlich für Server, die über das Internet, erreichbar sind sowieso, aber ich glaube auch, wenn jetzt hier keine Bußgelder verhängt wurden, sollten Unternehmen halt nicht darauf vertrauen, sondern ich glaube, dass halt in diesem Bereich zukünftig, häufiger noch kritisch von den Aufsichtsbehörden auch hingeblickt wird. Sind wir ehrlich von außen fest bestellbare oder von außen feststellbare Datenschutzverstöße sind halt für Aufsichtsbehörden wie für Betroffene natürlich auch ein leicht gefundenes Fressen. Wichtiger Praxistipp auch noch an der Stelle. Ähm Patches werden wesentlich besser angenommen, wenn sie durch ein witziges Meme untermalt werden, so wie das bei uns immer gemacht wird. An der Stelle viele Grüße an den Kollegen aus der IT-Administration. Der Europäische Gerichtshof hat erneut zu den Voraussetzungen des Schadenersatz nach Artikel 82 Datenschutzgrundverordnung geurteilt. Das Amtsgericht Wesel hatte 222 ein Verfahren ausgesetzt und dem EuGH Fragen zur Auslegung von Artikel 82 vorgelegt. Seiner Entscheidung von gestern bestätigte der EuGH die identifizierten Schadenersatzvoraussetzungen aus früheren Entscheidungen. Danach muss neben einem Verstoß gegen die Datenschutzgrundverordnung der die Verarbeitung von personenbezogenen Daten betrifft auch ein Schaden bestehen und eine Kausalität. Für den Schaden gilt keine Bagatellgrenze und die Beweislast liegt beim Betroffenen, Bestätigt wurde auch, dass bereits Befürchtungen des Kontrollverlusts einen Schaden darstellen können. Die negativen Folgen dieser Befürchtungen aber nachgewiesen werden müssen und, Da finde ich’s halt in der Praxis immer noch besonders spannend, wie das denn gelingen soll, also ob ich dann Tagebuch führen muss, wann ich deswegen nicht einschlafen konnte, ob das dann ausreicht oder meine Frau, Partnerin, Freunde, was auch immer, aussagen müssen, wie miesig immer drauf war, wie gereizt ich immer war, nachdem das passiert ist. Erschließt sich mir noch nicht richtig, vielleicht, Hat da ja jemand auch Praxiserfahrung und kann was dazu sagen. Jedenfalls zumindest neu bei einem europäischen Gerichtshof war die Frage, ob die Kriterien zur Bemessung von Bußgeldern aus Artikel dreiundachtzig. Auch für die Bemessung von Schaden ersetzen, herangezogen werden dürfen, Das verneinte das Gericht mit dem Hinweis auf die unterschiedlichen Funktionen von Artikel 82 und Artikel drei8und, Artikel 83 hat, Eine abschreckende und bestrafende Funktion während Artikel 82 nur eine Ausgleichsfunktion hat. Zuletzt wurde noch gefragt, ob bei der Bemessung des Schadens auch Verstöße gegen nationale Vorschriften berücksichtigt werden können. Bei dem hier zugrunde liegenden Fall wurde eine Steuererklärung von einer Steuerkanzlei an eine falsche Adresse versendet, Dieser Fehler war auf eine falsch konfigurierte Adressdatenbank zurückzuführen Das ist nicht nur ein Verstoß gegen Artikel zweiunddreißig, DSGVO, sondern verstößt auch gegen gesetzliche Sorgfaltspflichten des Steuerberaters, Und da diese Regelung aber nicht die DSGVO konkretisiert, sondern für sich allein steht, entschied der EUGH, dass der Verstoß gegen die Sonderregelung nicht bei der Bemessung des Schadenersatzes nach Artikel 82 berück werden dürfen. Konsequent und glaube ich deckt sich auch so weit mit mit vorangegangenen Urteilen, ja. Ich denke, es lohnt sich trotzdem mal reinzulesen, vor allem, weil’s eine schöne Zusammenfassung auch ist, der bisherigen Urteile, auf die dann immer wieder referenziert wird. Guter Hinweis. Der Bundesfinanzhof hat steuerpflichtigen den Anspruch auf Auskunft über ihre personenbezogenen Daten gegenüber dem Finanzamt bestätigt Der BFA hat klargestellt, ein Steuerpflichtiger kann vom Finanzamt Auskunft über seine personenbezogenen Daten verlangen, gilt, unabhängig davon, wie die Daten verarbeitet werden oder in welchen Akten sie geführt werden. Der Anspruch ist auf die personenbezogenen Daten und deren Verarbeitung beschränkt, heißt also, es besteht grundsätzlich kein Recht auf Kopien ganze Akten oder einzelner Dokumente, so wie der Steuerpflichtige es hier in dem Fall gefordert hatte. Nur wenn der Steuerpflichtige diese unbedingt braucht, um seine Rechte nach der DSGVO durchzusetzen, müssen ihm auch Kopien zur Verfügung gestellt werden. Das Finanzamt hatte den Antrag des Klägers jedoch ganz abgelehnt und argumentiert, dass dies unverhältnismäßigen Aufwand verursachen würde, dass ihre Gericht entschied jedoch, dass das Finanzamt dies halt nicht ausreichend nachgewiesen hat. Ich meine, das ist eine Argumentation, die natürlich auch Unternehmen am Anfang mal umgetrieben hat, aber wo, glaube ich, auch relativ schnell klar wurde, dass halt, Auskunft zu erteilen. An sich jetzt kein unverhältnismäßiger Aufwand sein darf. Von daher finde ich’s natürlich nur gut und richtig, dass es noch mal jetzt auch bestätigt wurde, dass das natürlich genauso fürs Finanzamt gilt. Erinnere mich, es gibt einige Urteile auch schon zum Thema Auskunftsanspruch im Fall von Akten beim Finanzamt. Hier wird’s aber glaube ich auch noch mal ganz gut halt auf den Punkt gebracht vom BFH. Einige Urteile gibt es auch schon zu Beweisverwertungsverboten von äh Videoaufnahmen und damit hat sich aber der Bundesgerichtshof jetzt auch nochmal beschäftigt, In dem verhandelten Fall hatte eine Berliner Wohnungsgesellschaft ihre Mieter verdächtigt, unerlaubt, unterzuvermieten, um dies zu beweisen wurden heimlich Kameras im Hausflur angebracht, Zwar konnte durch die Aufnahmen aufgeklärt werden, dass Personen, die nicht die Mieter waren, häufig die Wohnungstüren mit einem eigenen Schlüssel öffneten, Das Gericht hat jedoch entschieden, dass die Beweisverwertung hier nicht zulässig ist. Eine Verwertung im Rahmen der freien Beweiswürdigung nach Paragraph 286 Zivilprozessordnung würde nach Ansicht des Gerichts gegen den Datenschutz verstoßen. Die Interessenabwägung würde hier klar zugunsten der gefilmten Personen ausfallen, Insbesondere wurde darauf verwiesen, dass das Treppenhaus kein öffentlicher Raum sei und daher in keinem Fall mit einer Videoüberwachung gerechnet werden muss. Denke ich auch folgerichtig und soweit klar. Ja, ich glaube, es passt so ein Stück weit ganz gut zu der Abgrenzung. Auch ich meine, es wäre auch BGH-Rechtsprechung gewesen zum Thema Dashcams. Meine ich die Aufnahmen aber verwertet wurden für die eigentliche Sachfrage. Was natürlich jetzt hier mit deinem Hinweis ist halt ein öffentlicher Raum dann natürlich auch und beziehungsweise die Frage öffentlicher nicht-öffentlicher Raum, dass natürlich dann vielleicht auch als Linie sozusagen kennzeichnet. Na, ist halt die Frage, wenn die Kameras woanders platziert worden wären, ob das Gericht dann vielleicht auch zu einem anderen Ergebnis gekommen wäre und wo dann die Grenze zu ziehen ist, wenn man’s an der Frage des öffentlichen Raums festmacht. Ja und ich meine, man muss natürlich auch gucken, also es es wird sicherlich jetzt, wenn ich dann mit Täter überführe, die bei mir einbrechen, wenn ich vielleicht in der Wohnung eine Kamera aufstelle, auch was anderes sein, wie jetzt hier ein Verstoß gegen einen Mietvertrag. Nur in Anführungszeichen nur die Untervermietung verboten ist. Ich habe für heute mal wieder ein Bußgeld eingepackt. Ein italienischer Klinikbetreiber muss aufgrund eines mangelhaften Berechtigungskonzept ein Bußgeld in Höhe von 75.000 Euro zahlen. Nachdem der Klinikbetreiber der italienischen Datenschutzbehörde wohl selbst mitgeteilt hatte, dass Mitarbeiter wiederholt auf die Akten von Patienten zugegriffen hatten, allerdings ohne an deren Behandlung beteiligt gewesen zu sein, hatte die Behörde nun Ermittlungen gegen den Klinikbetreiber aufgenommen. Die Untersuchung ergab, Die Klinik hatte den Zugriff auf Patienten, Daten oder Patientenakten nicht datenschutzkonform geregelt hatte jeder diensthabende Mitarbeiter, wohl Zugriff auf alle Patientenakten und dies war wohl zeitlich unbegrenzt möglich und unabhängig davon, ob der Mitarbeiter die betroffene Person behandelte oder nicht. Besondere Maßnahmen auch um unrechtmäßige Zugriffe zu erkennen, gab es ebenfalls nicht. Eine Dokumentation der Anzahl und Dauer der Zugriffe wurde wohl nicht durchgeführt. Insoweit nachvollziehbar. Ich kann’s nicht ganz nachvollziehen oder verstehen, wie man dann dahinter gekommen ist, aber auch da wird man wohl irgendwelche Indizien gehabt haben oder es halt äh vielleicht durch Mitarbeiter, die es halt selber vielleicht auch mitgeteilt haben, dann äh erkannt haben. Interessant finde ich halt hier wie weit sich das jetzt zumindest halt aus vorgrund der Dokumente, die uns vorliegen, ergeben hat, dass der Klinikbetreiber halt selber das gemeldet hat und trotzdem noch ein Bußgeld zahlen darf. Meines Erachtens hier in Deutschland durch die Regelung im BDSG ja eigentlich ausgeschlossen ist und es ja auch so ein Prinzip in Deutschland ist, dass man sich halt normalerweise nicht selbst belasten muss oder andersrum ist halt dann natürlich nicht ähm gegen einen verwertet werden kann. Von daher ganz interessant, dass in Italien offensichtlich solche Regelungen nicht existent sind. Ja oder dass da dann doch die äh Sensibilität der Daten, ähm weil wir sprechen ja hier über über Gesundheitsdaten, ähm dort überwiegt und ähm dass man dann zu diesem Ergebnis gekommen ist, dass man da doch ein Bußgeld verhängen muss. Das könnte natürlich auch gut sein. Ich habe auch ein Bußgeld eingepackt und es kommt auch aus Italien. Dort wurde gegen ein Unternehmen ein Bußgeld in Höhe von 30.000 Euro wegen unerwünscht versendeter Werbeemails verhängt. Eine Person hatte bei der Datenschutzbehörde Beschwerde eingelegt, weil sie unerwünschte Werbeemails erhalten hat, und sich das Unternehmen auf bereits ergangene Beschwerden weder zurückmeldete noch das Mailing einstellte. Das Unternehmen versuchte die Ausrede, dass die Beschwerde im Spam-Ordner gelandet sei. Ein Klassiker würde ich sagen. Wenn man selber Spam versendet und dann antwortet man darauf, dann ähm, Kann das schon mal im Spam-Ordner landen, den ich finde ich witzig bei der Untersuchung durch die Datenschutzbehörde wurde, Dann noch festgestellt, dass das Content Managementsystem des Unternehmens massiv veraltet war und Sperrungen von E-Mail-Adressen gar keine Auswirkungen hatten. Nur eine grafische Spielerei und in der Praxis sollte man natürlich unbedingt auf ein funktionierendes Einwilligungsmanagement, Wenn man E-Mail-Marketing macht oder wenn man generell mit Einwilligungen arbeitet, und dazu passend ist auch mein erster Veröffentlichungstipp für heute. Mein erster und einziger, Die Datenschutzbehörde in Rheinland-Pfalz hat nämlich gerade eine Kampagne gestartet, bei der es genau um dieses Thema geht, die Sensibilisierung für die Datenschutzvorschriften im Zusammenhang mit Newsletter-Versendungen, Dabei wurden proaktiv 30 Unternehmen angeschrieben, von denen die Behörde weiß, dass dort E-Mail-Marketing im großen Stil betrieben wird. Überprüfungen oder Verstöße gab es erst einmal nicht Viel mehr erhofft sich die Behörde durch diesen Ansatz, die Verantwortlichen zu sensibilisieren und für eine Verbreitung der Information in der Branche zu sorgen. Dann könnte ich mir vorstellen, dass das schon mal ein ganz guter Anfang ist, aber ich würde mich da als Unternehmen auch dann nicht drauf verlassen, dass es da nicht bald auch eine Untersuchung gibt, wenn Verstöße doch noch irgendwie ans Tageslicht kommen. Ich hätte eine Veröffentlichung des hamburgischen Datenschutzbeauftragten der hat Anfang Juni ein Positionspapier zum Thema Bewerberdatenschutz und Recruiting im Fokus veröffentlicht. Er betont darin, den Bewerberdatenschutz als Teilbereich des Datenschutzes, da die Entwicklung auch einen, ja, ich sage mal, wachsenden Beratungsbedarf wohl mit sich bringt seitens der Behörde und daher geht er in dem Papier, gibt er noch mal einen Überblick über die aktuellen Entwicklungen und rechtlichen Asp, Datenschutzes auch anhand solcher Themen wie oder zum Beispiel Backgroundchecks, Besonders wichtig sind ihm aber auch die datenschutzrechtlichen Herausforderungen durch KI im Bewerbungsverfahren und hier geht er auch auf Themen ein wie Lebenslaufphase und Emotionsanalysen. Auch hier die Idee, Unternehmen damit zu sensibilisieren und äh damit auch für Unternehmen und Behörden natürlich ein bisschen Orientierung zu geben. Mir persönlich beim Überfliegen macht’s einen guten Eindruck und macht auch den Anholz, ob es halt bei der datenschutzrechtlichen Bewertung zumindest ein guter Startpunkt sein kann und ein tieferer Blick ist sicherlich lohnenswert. Und auch das ist mein einziger Hinweis für Veröffentlichungen heute. Von daher sind wir durch, David. Dir ganz vielen Dank. Heiko, vielen Dank auch dir. Und unseren Zuhörern wünschen wir natürlich alles Gute, ein schönes Wochenende. Bleibt uns gewogen und auf bald.