Der Aufreger: Datenschutz ist schuld – Datenschutz News KW 44/2024

Transkript zur Folge:

Wenn ein DSGVO-konformer Vertrag ist, ist da zu lachen.
Ich habe bei deiner Rechtsklundlage eben auch nicht gelacht.
Herzlich willkommen zum Datenschutz-Talk, eurem wöchentlichen Datenschutz-Update.
Wir starten heute mit euch gemeinsam in ein hoffentlich langes Wochenende,
denn heute ist schon Donnerstag, der 31.
Oktober 2024, also eine kurze Woche. Unser Redaktionsschluss war aber auch heute
um 10 Uhr. Mein Name ist Heiko Gossen.
Und mein Name ist Lauch Druschinski.
Wie gesagt, kurze Woche. Also das heißt, wir gucken mal, was es an Themen diese
Woche denn überhaupt gab. Ich hatte das Gefühl, es war ein bisschen dünn diese Woche, oder?
Es war überschaubar und auch überhaupt nicht gruselig im Sinne von Halloween.
Dann müssen wir das hier machen.
Ja,
ich schaue mal auf meinen Zettel. Ich habe einmal das Wichtigste mitgebracht,
Werbung in eigener Sache.
Weiter geht es dann mit einem Bußgeld aus Spanien aufgrund von unrechtmäßigen
Datenzugriff. Dann habe ich ein Urteil vom Landgericht Stuttgart mitgebracht,
was sich mit der Datenweiter bei Andi Schufa befasst hat.
Und zu guter Letzt habe ich noch einen Lesetipp für das Wochenende.
Ich würde einmal auf das Ergebnis der Überprüfung von Webseiten in Sachsen durch
die Sächsische Aufsichtsbehörde schauen.
Dann habe ich ein Urteil vom Landgericht Lübeck mitgebracht,
wo es um das Thema Auftragsverarbeitung geht. Finde ich ganz interessant.
Und ja, mein persönlicher Aufreger der Woche und auch unser Titelthema,
der Datenschutz ist schuld.
Die Stutenkerle.
Weg Männer, bitte.
Entschuldigung.
Okay, aber dazu später mehr. Wir wollen ja jetzt hier nicht schon alles vorne
wegnehmen. Deswegen, Laura, leg mal los.
Und ja, wie gerade schon gesagt, zumindest möchte ich etwas Werbung in eigener
Sache machen oder besser gesagt für unseren lieben Gregor.
Ihr kennt ihn ja alle hier auch als Sprecher im Datenschutz-Talk.
Und zwar hat er, wir haben auch schon in der Vergangenheit dazu berichtet,
einen Beitrag für den Datenschutzberater für die Zeitschrift geschrieben.
Und zwar, wo es um die rechtliche Einsortierung der Privatnutzung betrieblicher
Kommunikationsmittel durch Beschäftigte geht.
Er hat sich ja dem Thema gewidmet auf Grundlage der Stellungnahme der Datenschutzaufsichtsbehörde in NRW.
Und wer Interesse an diesem Beitrag hat, kann den nun finden bei uns auf der Homepage.
Mikosens.de ist er abrufbar im Newsbereich und wir freuen uns natürlich auch
sehr, wenn er auch hier Verbreitung findet.
Ganz genau und bei der Gelegenheit kann man sich natürlich auch direkt in unseren
Newsletter eintragen, dann verpasst man solche Dinge in Zukunft natürlich auch nicht mehr.
Genau richtig.
Ja wunderbar, also den Link packen wir in die Shownotes und damit komme ich
zu meinem ersten Thema, die sächsische Datenschutz- und Transparenzbeauftragte
hat im Mai diesen Jahres 30.000 Websites in Sachsen überprüft und Datenschutzmängel festgestellt.
Wenig überraschend, dass man auch Mängel feststellt, wenn man Webseiten überprüft.
Laut Pressemitteilung haben aber über 1500 Webseitenbetreiber danach Verbesserungen umgesetzt.
Das größte Problem war wohl die Nutzung von Google Analytics ohne Einwilligung der Besucher.
Das sehen wir natürlich in der Praxis auch häufiger.
Zum Teil wurden Dienste aber auch ausgeführt und Cookies gesetzt,
obwohl die Einstellungen im Cookie-Banner aussignalisierten.
Ebenfalls ein Thema, was uns immer wieder in der Praxis begegnet.
Hier sagten wohl viele Verantwortliche, dass ihnen das halt gar nicht bewusst sei.
Nun verzichten wohl zwei Drittel der betroffenen Websites auf Google Analytics
oder holen zumindest halt vorher die Zustimmung der User ein.
Aber es gab auch andere Datenschutzprobleme laut der Pressemitteilung,
die behoben wurden, zum Beispiel die richtige Einbindung von Zahlungsdienstleistern
bei Onlineshop und auch die Einbindung von Videos aus sozialen Medien war wohl
hier und da nicht ganz in Ordnung.
Die sächsische Datenschutzbeauftragte erhielt viele Anfragen von Betreibern,
die halt hier Unterstützung benötigt haben und man hat hier aber wohl auch beraten,
was ja grundsätzlich ich auch gut finde.
Die übrigen 800 müssen wohl mit Sanktionen rechnen, sollten sie jetzt die Mängel
nicht direkt abstellen, weil die sächsische Datenschutzbeauftragte Julia 100
hat auch weitere automatisierte Webseitenprüfungen bereits in Planung und angekündigt.
Heißt sie nicht Juliane 100?
Juliane 100? Wenn du das sagst, dann heißt sie wahrscheinlich so,
aber du hast recht. Sie heißt Dr.
Juliane 100. Vielen Dank für diese Klarstellung und ich entschuldige mich bei Ihnen, Frau Dr. 100.
Juliane, so viel Zeit muss sein.
So viel Zeit muss sein. Ja, vielleicht zum Thema zurück. Finde ich ganz schön,
jetzt auch hier ein Ergebnis mal zu hören.
Also wer denn so aktiv geworden ist und auch nicht vielmehr alle Website-Betreiber
nochmal aufzurufen und wieder daran zu erinnern, wie einfach es durch die Aufsichtsbehörden
ist, auch im großen Stil eben solche Prüfungen durchzuführen.
Ganz genau. Und auch hier sind die Aufsichtsbehörden, das haben wir ja auch
schon festgestellt, haben deutlich aufgerüstet.
So ist es. Die spanische Datenschutzbehörde hat gegen eine nationale Bank,
nämlich die Ibercaya Banco, ein Bußgeld in Höhe von 300.000 Euro festgesetzt,
da ein unrechtmäßiger Datenzugriff nach Vertragsabschluss eines Kreditnehmers
nachgewiesen werden konnte.
Die Untersuchungen waren eingeleitet worden aufgrund einer Beschwerde des Betroffenen.
Er hatte Kenntnis davon erlangt, dass nach Vertragsende, also nach Abteilung
eines Kredits, 47 Mal auf seine Daten innerhalb der Vermögensdatei,
also auch dort der nationalen Kreditauskunftstei, zugegriffen wurde.
Der Betroffene wandte sich daraufhin an die Bank, die die Daten sperrte,
aber der Zugriff war nun mal erfolgt.
Die Aufsicht stellte fest, dass keine legitime Rechtsgrundlage für die Zugriffe vorherrschte.
Also zwar hatte die Bank angegeben, dass sie im Nachgang ein Interesse daran
hatte, nochmal aufgrund des Verfahrens, was es wohl vorher gab,
darauf zuzugreifen, aber als Grund war dies für die Aufsichtsbehörde nicht ausreichend.
Was ich besonders schön fand war, dass die Aufsicht innerhalb ihres Bescheids
nochmal mit den Pflichten von Unternehmen befasst hat,
nämlich insbesondere deren Tätigkeit die kontinuierliche Verarbeitung von Daten
von Kunden und Dritten umfasst und dass diese eben ein angemessenes Maß an Sorgfalt walten lassen müssen.
Und sie geht normalerweise noch weiter, denn sie betont, dass der Grad der Erforderlichkeit
und Professionalität und folglich der Verantwortung personenbezogener Daten
von Millionen von Betroffenen eben steigt,
wie gesagt, wenn es halt eben diesen großen Umfang gibt und somit sogar noch
ein schwererer Verstoß anzunehmen ist.
Jetzt ist ein bisschen Zeit ins Land gegangen und die Bank hat freiwillig bezahlt,
also die Schuld anerkannt, freiwillig bezahlt, sodass daraufhin das Bußgeld
verringert wurde auf 180.000 Euro, aber nichtsdestotrotz, ich finde es ein ganz
schön starkes Stück, 47 Mal ist ja jetzt kein Einzelfall.
Ist kein Einzelfall. Ich finde beachtlich, dass es halt direkt 40% Discount
gibt, wenn man sofort bezahlt.
Kann ich mir aber so sehr schön vorstellen, wie bei so Geschwindigkeitsverstößen,
wo du halt so einen Bescheid bekommst und wenn du ihn halt von sieben Tagen
zahlst, gibt es nichts weiteres nach.
Wahrscheinlich wird das hier auch so gelöst.
Das Landgericht Lübeck hat entschieden, dass ein fehlender Datenschutzvertrag
zu einem Schadensersatzanspruch für Betroffene führen kann.
Das Urteil bringt mehrere wichtige datenschutzrechtliche Klarstellungen.
Unter anderem, wenn ein DSGVO-konformer Vertrag zwischen einem Auftragsverarbeiter
und einem Unterauftragsverarbeiter fehlt, ist die Weitergabe personenbezogener
Daten natürlich rechtswidrig.
In solchen Fällen haftet der Verantwortliche für alle Verstöße und Schäden,
die durch die ungesichterte Übermittlung entstehen.
Auch die Weitergabe der Daten von einem Verantwortlichen an einen Auftrags-
oder Unterauftragsverarbeiter ist
rechtswidrig, wenn die vertraglichen Voraussetzungen nicht erfüllt werden.
Soweit erstmal, glaube ich, relativ nachvollziehbar und auch wenig überraschend.
Jetzt kommt aber das, finde ich, und da sollte man vielleicht auch mal ein bisschen
genauer hingucken in der eigenen Praxis und im eigenen Unternehmen.
Das Gericht hat nämlich betont, dass ein Beklagtesunternehmen sich nicht darauf
berufen kann, dass es marktüblich und unproblematisch sei,
dass Verträge innerhalb eines Konzerns von der Muttergesellschaft abgeschlossen
werden, selbst wenn dies auch für die Tochterunternehmen mitgelten soll.
Nach deutschem und europäischem Recht sind nämlich Konzernunternehmen ja grundsätzlich
eigenständige Rechtspersönlichkeiten und eine automatische Verpflichtung der
Konzerntochter durch die Verträge der Konzernmutter besteht halt auch nicht.
Daher halt auch die Datenschutzverpflichtungen der Mutter gelten halt damit
auch automatisch halt nicht für alle Töchter.
Das Gericht stellte zudem fest, dass für Unternehmen die Verstöße,
also dass es auch für die Verstöße haften muss, wenn ein Dienstleister Daten
entgegen der Entweisungen verarbeitet.
Zum Beispiel in dem Fall war es halt so, dass Daten aus der gesicherten Produktionsumgebung
entnommen wurden und in eine ungesicherte, außerhalb der Vertragsbeziehung betriebenen
Umgebung einer non-productive environment überführt wurden.
Das führte dann schlussendlich halt auch zu der unberechtigten Veröffentlichung.
Hintergrund war ein dieser Kunde, der klagte nach einem Datenleck,
bei dem seine Daten halt über diesen externen Dienstleister im Darknet gelandet
waren und das Gericht sprach ihm jetzt schlussendlich eine Entschädigung von 350 Euro zu.
Also wir nehmen mit, auch in Konzerngesellschaften sollte jede eigene Gesellschaft
eigene Verträge machen oder entsprechende Vertragskonstrukte wählen,
die dann halt auch wirksam sie als Verantwortlichen oder Auftragsverarbeiter entsprechend benennt.
Besser ist.
Besser ist.
Ich habe als nächstes ein Urteil vom 16. Oktober des Landgerichts Stuttgart
mitgebracht, welches sich mit der Datenweitergabe an die Schufa befasst hat.
In dem vorliegenden Urteil kommt das Landgericht zu dem Ergebnis,
dass im Streitfall die standardisierte Unterrichtung an die Schufa über den
Abschluss eines Mobilfunkvertrages durch ein Telekommunikationsunternehmen als
Beklagte nicht durch Wahrung von berechtigten Interessen nach Artikel 6 Absatz
1 Satz 1 Buchstabe F gerechtfertigt war.
Jedoch stellt das Gericht zum Kern der Klage fest, dass dem Vertragspartner
hieraus jedoch auch kein immaterieller Schadensersatz erwächst,
da er sich über den Verstoß geärgert hatte.
Basis der Klage war die Weitergabe von Positivdaten im Rahmen eines Vertragsabschlusses im Jahre 2021.
Dem Kläger war laut seiner Aussage nicht bekannt gewesen, dass die Beklagte
Vertragsdaten an die Schufa weiterleiten werde. Er habe darauf vertraut,
dass die Beklagte seine Daten lediglich in rechtmäßiger Weise verarbeiten werde.
Die damals bereitgestellten Datenschutzhinweise der Beklagten habe er nicht
im Einzelnen durchgesehen, das hat er auch zugegeben.
Obwohl eben hierin das Telekommunikationsunternehmen natürlich über die Datenweitergabe
auch auf der bezeichneten Rechtsrundlage informiert hat.
Nachdem, das finde ich jetzt ganz spannend, der Kläger im Jahr 2023 in den Medien
zur Kenntnis genommen hat, dass die Datenweitergabe von Positivdaten an die
Schufa grundsätzlich auf Basis von berechtigten Interessen streitig ist.
Habe der Kläger unmittelbar ein Gefühl des Kontrollverlusts und der großen Sorge
insbesondere um die eigene Bonität eingestellt.
Der Kläger lebte in ständiger Angst vor unangenehmen Rückfragen im Hinblick
auf seine Bonität, das Verhalten im Wirtschaftsverkehr oder einer Verfälschung seines Schufa-Scores.
Außerdem gab er an, dass für ihn Stress, Unruhe und allgemeines Unwohlsein zur
Tagesordnung gehörte, was eben dann wiederum als Ergebnis zu Existenzsorgen führte.
Dieser Kontrollverlust stelle für ihn einen immateriellen Schaden dar,
wofür er einen Ersatz von 5000 Euro als gerechtfertigt ansah.
Was ist nun das Ergebnis?
Also nach Auffassung des Gerichts kann sich das Telekommunikationsunternehmen
für die ohne konkrete Anhaltspunkte erfolgte Datenübermittlung an die Schufa
nicht auf die berechtigten Interessen berufen,
weil die Vertragspartner der Beklagten mit einer solchen Datenweitergabe typischerweise
nicht rechnen und es für ein Ausfallrisiko in diesem Fall keine Anhaltspunkte gab.
Außerdem führte das Gericht weiter an, dass, wenn die Beklagte es für erforderlich
hält, bei Abschluss eines Mobilfunkvertrages im Hinblick auf ihr Kreditrisiko
die Schufa hierüber zu unterrichten,
es ihr eben frei steht, den Abschluss eines solchen Vertrages von der ausdrücklichen
Einwilligung zur Datenweitergabe abhängig zu machen.
Eben dadurch, dass diese Möglichkeit besteht, also die Vertragspartner,
um die Einwilligung zu ersuchen.
Überschreitet die einwilligungslose Datenfeitergabe den unbedingt erforderlichen
Umfang zu Betrugsprävention im Sinne von Erwägungsgrund 47 DSGVO.
Finde ich sehr schön hergeleitet.
Somit kommt es eben nun in diesem Fall zu einem Verstoß im Sinne des Artikel 82 Absatz 1 DSGVO.
Jedoch, wenig überraschend, steht dem Kläger der geltend gemachte Schadensersatzanspruch
nicht zu, weil er eben den Eintritt des Schadens nicht nachweisen konnte.
Also diese ganze Litanei an Sorgen, die er hat und dem unguten Gefühl,
hat auch hier wiederum dem Gericht nicht ausgereicht und es verweist auf das
Urteil vom Europäischen Gerichtshof aus Mai letzten Jahres, ich glaube 4.
Mai 2023, wo ja eben nochmal festgelegt wurde, dass eben auch immaterieller
Schadensersatz nachgelegt werden muss und dass eben das Ausführen einzelner
Sorgen und Nöte nicht ausreicht.
Ich finde das Urteil schön passend in unsere Reihe, die wir jetzt ja auch beim
letzten Mal schon hatten mit den berechtigten Interessen und wie kritisch wir
da halt auch sein müssen.
Dass das jetzt hier nicht was mit Kreditausfall zu tun hat, ist eigentlich auch naheliegend.
Nicht umsonst sprechen wir ja von Positivdaten, also eigentlich soll es ja was
Positives sein und von daher,
wenn man dafür die Einwilligung einholt oder erfragt und man auch erklärt,
dass es ja durchaus ein positives Merkmal ist, dass man einen Mobilfunkvertrag bekommen hat,
dann kann man das ja auch entsprechend vielleicht darstellen und mit der Einwilligung auch rechnen.
Und auch da knüpfe ich direkt wieder an, was wir letzte Woche hatten oder vorletzte,
ich weiß gar nicht mehr genau, aber das Thema berechtigtes Interesse bedarf
halt auch der expliziten Hinweise.
Also das heißt, es reicht ja nicht, das in den Datenschutzhinweisen unterzubringen,
wenn ich halt ein Widerspruchsrecht habe. Also Artikel 21 hier nochmal ganz entscheidend.
Ich muss halt explizit auf dieses Widerspruchsrecht hinweisen.
Das hätte dem Beklagten hier natürlich vielleicht auch geholfen,
all seine großen Sorgen und Nöte, die er all die Jahre dann mit sich getragen hat.
Zwei Jahre ja nicht.
Ja, zwei Jahre nicht, weil er nichts wusste, genau. Aber er hätte natürlich
dann vielleicht auch dann vielleicht mal ein bisschen genauer in seiner Datenschutzhinweise
gelesen, die er da so leichtfertigt übersprungen hat. Gut.
Ich habe es schon gesagt, es ist mein persönlicher Aufreger der Woche,
als ich diese Woche die Nachrichten im WDR geschaut habe.
Und dort titelte der WDR, Datenschutz ist schuld, keine Stutenkerle für ältere Menschen.
Da gehen ja bei mir immer direkt die Alarmglocken an, wenn es heißt,
der Datenschutz ist schuld.
Unsere Zuhörer wissen das ja auch schon, dass ich da grundsätzlich immer sehr kritisch hinschaue.
Hier bei der Hintergrund, laut WDR menschlich und rührend, der Verein der Freunde
des Martinsfestes, Hahngruten, möchte, dass auch Menschen, die über 80 Jahre
alt sind und nicht mehr zum St.
Martin zukommen können, einen Stutenkerl oder, wie ich sage,
Weckmann erhalten. Der Verein hat sich wohl schon seit den 50er Jahren dafür
die Adressen der 80-Jährigen von der Stadt Hahn besorgt und so jährlich über
300 Weckmänner verteilt.
Das ist aber so, meint der WDR und auch die Stadt Hahn wohl seit der DSGVO in
Krafttretung seit sechs Jahren wohl nicht mehr zulässig.
Die letzten fünf Jahre hat es halt nur keinen interessiert. Der ehemalige Vorsitzende
des Vereins hat aber wohl jetzt erzählt,
dass es im vergangenen Jahr eine Beschwerde darüber gegeben haben soll von einem
Zugezogenen und die Stadt hat jetzt aber vor kurzem erst mitgeteilt,
dass sie die Adressen jetzt nicht mehr weiterleitet.
Aus Datenschutzgründen. Wie gesagt, da gehen bei mir die Alarmglocken an und
ich frage mich, wird hier nicht wieder einfach die Welt sich irgendwie zu einfach gemacht?
Ich habe mal einen Blick ins Bundesmeldegesetz geworfen und da sagt Paragraf
46, dass es eine Gruppenauskunft geben darf.
Also eine Melderegisterauskunft über eine Vielzahl nicht namentlich bezeichneter
Personen, in Klammer Gruppenauskunft, darf erteilt werden, wenn sie im öffentlichen Interesse liegt.
Für die Zusammensetzung der Personengruppe Dürfen bestimmte Daten herangezogen
werden und in bestimmten Fällen auch das Alter.
Also von daher haben wir glaube ich erstmal eine Grundlage, auf der man prüfen
könnte, ob sowas halt nicht im berechtigten Interesse oder beziehungsweise im
öffentlichen Interesse sogar liegt.
Und wenn man da mal so ein bisschen die Literatur durchblickt, dann durchschaut,
glaube ich, dann findet man durchaus auch hier gute Argumente,
dass halt das öffentliche Interesse anzunehmen ist, wenn es die Allgemeinheit
betrifft, über das individuelle Interesse einer einzelnen Person hinaus oder
auch einer privaten Gruppe hinausgeht, das ist glaube ich hier der Fall,
und einen erheblichen Teil der Gesellschaft betrifft.
Und ich glaube, in so einer Gemeinde oder in so einer Stadt,
Ü80, dürfte da schon ein erheblicher Teil wahrscheinlich sein.
Von daher wäre mein Tipp, hier sowohl dem Verein als auch der Stadt vielleicht
nochmal ein bisschen genauer hinzugucken, ob man hier nicht doch eine Argumentation
findet. Vielleicht aber auch liege ich falsch.
Da frage ich jetzt natürlich auch gerne mal unsere Zuhörenden,
wie die das sehen, weil natürlich, wie gesagt, vielleicht übersehe ich hier
auch noch was, aber meines Erachtens wäre es zumindest mal ein Prüfansatz.
Ich freue mich, wenn ihr euch in dem Bereich auskennt.
Ich bin jetzt kein Experte fürs Meldewesen.
Aber wenn ihr euch da auskennt, schreibt gerne mal in die Kommentare.
Ihr findet den Link in den Shownotes.
Freue ich mich über ein bisschen Austausch zu dem Thema.
So ist es. Ja, weg vom Aufreger der Woche, hin zu Leseempfehlung für das kommende lange Wochenende.
Und zwar hat der Bitkom den Umsetzungsleitfaden zur KI-Verordnung am 29.10.
Veröffentlicht. wollen wir natürlich nicht versäumen, auch dieses wichtige Thema
hier mit aufzunehmen und in die Shownotes zu packen.
Der Leitfaden widmet sich konkret in einzelnen Schritten der Prüfung,
bevor eben KI-Systeme in Verkehr gebracht werden und soll Unternehmen dabei
unterstützen, ihre Compliance-Prüfung durchzuführen.
Er gibt auch eben einen Überblick über weitere relevante Aspekte,
wie etwa die technische Standardisierung, KI-Reallabore, aber auch Selbstregulierungsmechanismen
der KI-Verordnung werden thematisiert.
Also wie gesagt, hier der Hinweis, 200 Seiten warten hier darauf gelesen zu werden.
Wunderbar, ich finde es gut, auch wenn es jetzt nicht direkt explizites Datenschutzthema
ist, aber doch wir einige Schnittmengen
ja auch zu der KI-Verordnung immer wieder zu den KI-Themen haben.
Glaube ich, sei uns der Hinweis hier gestattet und erster Blick auf das Tool
machte für mich auch einen ganz guten Eindruck, um so eine erste Einsortierung
für das eigene Unternehmen zu finden, wenn man halt mit KI arbeitet oder es halt entwickelt.
Von daher, guter Tipp Laura, vielen Dank dafür und damit verabschieden wir uns ins lange Wochenende.
So machen wir das.
Bleibt uns gewogen und auf bald.
Bis bald.