Zum Inhalt springen

Superfriday am EuGH – Datenschutz News KW 41/2024

    Podcast KW 41
    Moderation:
    avatar
    Heiko Gossen
    avatar
    Natalia Wozniak

    Was ist in der KW 41 in der Datenschutzwelt passiert, was ist für Datenschutzbeauftragte interessant?
    Wir geben einen kurzen Überblick der aktuellen Themen:

    • EuGH über Umfang der Zulässigkeit der Datenverarbeitung für die werbliche Ansprache (
      EuGH,Urteil vom 04.10.2024, Rs. C‑446/21)
    • EuGH zu Offenlegung personenbezogener Daten der Mitglieder eines Sportverbands gegenüber Sponsoren gegen Entgelt auf Basis des berechtigten Interesses (Urteil, In der Rechtssache C‑621/22)
    • Begriff des Gesundheitsdatums und Beanstandungen durch Mitbewerber (Urteil vom 4.10.2024 – C‑21/23)
    • Schadenersatz nach und Auslegung des Art. 82 Abs. 1 DSGVO (Urteil vom 04.10.2024, Rs. C-507/23)
    • OLG Hamm zur Abtretung von Schadensersatzansprüchen aus der DSGVO (Urteil 11 U 69/23
      )
    • EDSA zu Auftragsverarbeitern, Leitlinien zum berechtigten Interesse, Entwurf einer Verordnung zur Durchsetzung der DSGVO und Arbeitsprogramm 2024-2025

    Transkript zur Folge: Herzlich Willkommen zum Datenschutz-Talk, eurem wöchentlichen Datenschutz-Update. Mein Name ist Heiko Gossen. Und mein Name ist Natalia Wozniak. Und wir starten wieder mit euch gemeinsam ins Wochenende. Wir gucken wieder, was die Woche passiert ist. Hier bei AmigoSense versuchen wir da immer sozusagen das Gleis, das Ohr auf dem Gleis zu halten. So rum, nicht das Gleis auf dem Ohr, das ist ein bisschen schwer, tut weh im Kopf. Nein, wir gucken immer, was passiert so in der Woche. Heute ist Freitag, der 11. Oktober 2024. Unser Redaktionsschluss war heute bereits um 9 Uhr. Und ja, ich glaube, Natalia, ich kann sagen, eine ereignisreiche Woche liegt hinter uns. Nicht nur der Super-Friday, der Super-Datenschutz-Friday letzte Woche beim EuGH, wenn wir uns die Anzahl der Urteile angucken, die da rausgekommen sind letzte Woche, sondern auch diese Woche, glaube ich, war durchaus abwechslungsreich. Wir hatten die Privacy-Konferenz, wo ich ja auch die Ehre hatte, das Tom-Reifegrad-Modell vorzustellen. Ich hoffe, da gibt es auch bald die Videos zu, dass man sich die auch nochmal online angucken kann für alle, die nicht dabei waren. Sonst haben wir auch spannende Vorträge und Panels. Viele Aufsichtsbehörden waren auch vertreten. Von daher fand ich das sehr abwechslungsreich. Ja, und wir hatten gestern unseren Kundentag. Wir hatten unseren Kundentag. Wir durften viele unserer Kunden tatsächlich persönlich kennenlernen, aber auch persönlich bei uns begrüßen nach etwas längerer Zeit. Auch Corona-bedingt, die jetzt immer noch Auswirkungen hatte. Von daher, es war schön gestern. Wir freuen uns, dass so viele Kunden die Möglichkeit wahrgenommen haben und bei uns waren. Ja und was mich tatsächlich sehr gefreut hat, wir hatten ja das erste Mal einen Live-Podcast, dann auch mit Publikum eine Themenfolge aufgenommen, auf die sich natürlich auch unsere Zuhörer hier dann in Kürze freuen dürfen, wenn wir über das Thema M365 und Co-Pilot sprechen, alles was datenschutzrechtlich dafür relevant ist. Also von daher sollen alle auch ein bisschen was dann davon haben, dass wir uns gestern hier in großer Rundevolk getroffen haben. So ist es. Und vielleicht nächstes Jahr, wenn wir das wiederholen, auch zu uns kommen. Vielleicht auch zu uns kommen, zumindest alle, die bei uns Kunde sind. Von daher ist jetzt ein Jahr Zeit, sich für uns zu entscheiden, falls diese Frage im Raum steht. Und damit, Natalia, würde ich sagen, lass uns einmal gucken, was haben wir heute alles dabei. Der Titel, wie gesagt, verspricht einige Urteile. Welche hast du vorbereitet? Ich habe einmal, so wie du sagst, einige Urteile. Zum einen das Urteil des EuGH über den Umfang der Zulässigkeit der Datenverarbeitung für die werbliche Ansprache. Sprache, aber auch ein weiteres Urteil des EuGH zum Begriff des Gesundheitsdatums, ein Urteil des OLGH, wo es um die Abtretung von Schadensersatzansprüchen nach der DSGVO geht und ich habe eine Untersuchung der irischen Aufsichtsbehörde gegen Ryanair und natürlich auch einen Veranstaltungstipp. Das ist schon einiges, aber ich packe noch ein paar Urteile obendrauf, die ich mitgebracht habe. Zum einen geht es um das Thema Datenschutz vor Profit. Der EuGH kippt kommerzielle Datenweitergabe durch einen Sportverband. Dann gucken wir einmal auf das Thema Entschuldigung als Schadensersatz, was ich persönlich auch interessant finde. Dann hätte ich noch einen Absatz der Urteile, was auch auf europäischer Ebene, nämlich vom Europäischen Datenschutzausschuss und die Leitlinien zum berichtigten Interesse. Und last but not least einen sehr aktuellen Veranstaltungshinweis für Kurzentschlossene. Klingt auch gut. Ich würde mal mit dem ersten EuGH-Urteil anfangen, nämlich bei dem, wo es um den Umfang der Zulässigkeit der Datenverarbeitung für die werbliche Ansprache geht. Der EuGH hat hier konkret entschieden, zum einen bezogen auf den Grundsatz der Datenminimierung, dass Artikel 5 Absatz 1 Buchstabe C der DSGVO dahingehend auszulegen ist, dass es eben dem Grundsatz der Datenminimierung entgegensteht, wenn sämtliche personenbezogene Daten, die ein Verantwortlicher hat, zeitlich unbegrenzt und ohne Unterscheidung nach ihrer Art für Zwecke der zielgerichteten Werbung aggregiert, analysiert und verarbeitet werden. Und die zweite Sache, zu der der EuGH sich geäußert hat, ist unser Thema, nämlich die Artikel 9 Absatz 2 Buchstabe E DSGVO und die Gesundheitsdaten. Artikel 9 Absatz 2 Buchstabe E ist dahin auszulegen, dass der Umstand, dass sich eine Person bei einer öffentlich zugänglichen Podiumsdiskussion zu ihrer sexuellen Orientierung geäußert hat, dem Betreiber eine Online-Plattform für ein soziales Netzwerk nicht gestattet, andere Daten, die er vielleicht aus anderen Quellen hat, über die sexuelle Orientierung dieser Person zu verarbeiten. Und konkret auch zu aggregieren, zu analysieren, um dieser Person personalisierte Werbung anzubieten. Das heißt, der EuGH ist hier tatsächlich sehr konkret geworden. Hintergrund ist nämlich die Klage von Herrn Schrems. Wir kennen ihn allen. Er hat vor dem österreichischen Gericht geklagt und zwar beantragte Herr Schrems unter anderem, die Beklagte hier den Metakonzern, konkret mit der Plattform Facebook, zu verurteilen, es zu unterlassen, seine personenbezogenen Daten für die Zwecke, personalisierte Werbung zu verarbeiten und diese Daten, die sich aus dem Abruf von Webseiten Dritter ergeben und von Dritten erlangt wurden. Ebenfalls für personalisierte Werbung zu nutzen und mit anderen Daten zu verknüpfen. Auslöser war eine öffentliche Podiumsdiskussion, während der Herr Schrems eine Aussage zu seiner sexuellen Orientierung getroffen hatte. Er hatte seine sexuelle Orientierung jedoch nicht in seinem Facebook-Profil angegeben oder hinterlegt. Er begründete seine Klage damit, dass er in die Verarbeitung seiner personenbezogenen Daten, die Meta-Plattforms Irland von Dritten erhalten habe, nicht wirksam eingewilligt habe und wendet sich damit gegen die Praxis von Facebook, Werbung auch anhand von Gemeinsamkeiten mit anderen Nutzern zu personalisieren, die für dieselben oder für ähnliche Themen mit Gefällt mir reagiert haben oder auch personalisierte Werbung deswegen zu erhalten, weil die eigenen Freunde vielleicht bei bestimmten Themen auf Gefällt mir geklickt haben. Insofern die Verknüpfung von Daten, die von Dritten auf diesem Wege erhalten werden, mit potenziell öffentlich verfügbar gemachten Daten, wie hier die Äußerung von den Schrems bei der Podiumsdiskussion, das ist nun nach der aktuellen Entscheidung des EuGH nicht zulässig, da hierfür eben keine Einwilligung vorliegt. Also wir kommen ja nachher nochmal dazu, ich habe es ja eben schon angekündigt, zum berechtigten Interesse. Ich finde hier halt auch sehr wichtig, da kann man sehr schön daran erkennen, wir haben das an anderen Stellen auch schon gehabt, dass halt alles, was öffentlich ist, nicht automatisch freiwillig ist an Daten. Also das heißt, ich muss auch da sehr vorsichtig sein, wenn ich mich halt auf Daten in welchen Fragen auch immer, letztendlich in der Weiterverarbeitung nachher stützen möchte, die öffentlich verfügbar sind, heißt nicht automatisch, dass ich sie rechtmäßig verarbeiten darf. Richtig, so ist das. Und vor allem gibt es mir nicht das Recht, Daten, die ich noch von anderen Quellen dann hinzu erhalte, erhebe oder auch speichere, in dem Kontext, im Zusammenhang nochmal zu einem Profil zusammenzufügen und für Werbezwecke zu nutzen. Und damit knüpfe ich direkt an das Thema berechtigtes Interesse nochmal an. Der EuGH hat den Datenverkauf eines Tennisverbandes gestoppt. Freitag hat der Europäische Gerichtshof unter anderem auch entschieden, dass die Offenlegung personenbezogener Daten der Mitglieder eines Sportverbandes gegenüber Sponsoren, hier gegen Entgelt, nur unter strengen Voraussetzungen rechtmäßig ist. Konkret ging es um den niederländischen Tennisverband, der Daten seiner Mitglieder ohne deren Einwilligung an Sponsoren weitergegeben hatte. Dabei wurde insbesondere die Frage zur Vorabentscheidung beim EuGH vorgelegt. Wie der Begriff des berechtigten Interesses auszulegen ist. Die Aufsichtsbehörde ist hier der Auffassung gewesen, es müsse sich also um Interessen handeln, die vom Unionsgeber oder dem nationalen Gesetzgeber auch als schutzwürdig angesehen würden. Der Sportverband hingegen war der Ansicht und argumentierte, dass sich ein berechtigtes Interesse nicht zwangsläufig aus einem Grundrecht oder einem Grundrechtsgrundsatz ergeben müsse, sondern dass jedes Interesse ein berechtigtes Interesse darstellen könne, außer es ist gewetzwidrig. Ich glaube, da sind wir uns sowieso dann, das ist sozusagen wahrscheinlich der kleinste gemeinsame Nenner. Das Gericht geht jetzt bei der Beantwortung der Frage in die Prüfung. Auch inwieweit Informationen des Betroffenen vorher erteilt wurden, die über die Weitergabe informiert wurden oder nicht. Und es kommt am Ende zum Ergebnis, dass das wirtschaftliche Interesse des Verbandes hier in dem Fall nicht ausreichend stark gewesen sei, um die Grundrechte der Mitglieder, insbesondere den Schutz ihrer personenbezogenen Daten zu überwiegen. Allerdings, das finanzielle Interesse des Verbandes als solches hat es schon als legitimes Interesse anerkannt. Also das, glaube ich, deckt sich auch soweit mit der bisherigen Rechtsprechung und auch dem, wie man die DSGVO mit den Erwägungsgründen 47 insbesondere lesen kann, dass man hier den Begriff an sich schon weit auslegen kann. Hier in dem Fall betonte das Gericht allerdings, dass die betroffenen Mitglieder nicht damit rechnen konnten, dass ihre persönlichen Daten an Sponsoren weitergegeben würden und diese fehlende Transparenz verstärkt sozusagen nochmal die Bedenken hinsichtlich der Rechtmäßigkeit der Datenverarbeitung. Das Gericht, wie gesagt, ich glaube das Urteil kann man sich auch nochmal ein bisschen tiefer eingehend natürlich angucken, wie jetzt letztendlich auch dann nachher nochmal geguckt wurde innerhalb des Urteils, welche Alternativen bestehen denn und das Gericht ist halt hier in dem Fall zum Ergebnis gekommen, dass die Erforderlichkeit nicht gegeben war. Das ist natürlich ein Aspekt, den wir im Rahmen des berechtigten Interesses immer mit betrachten müssen. Und das Gericht sah halt hier eine Alternative natürlich zum Beispiel im Einholen einer Einwilligung. Was ich jetzt in der Kürze der Zeit, ich habe es, wie gesagt, kursorisch mir natürlich durchgeschaut, nicht gesehen habe, bis inwieweit hier nochmal auf Artikel 21 eingegangen wurde. Weil natürlich auch, selbst wenn man auf das berechtigte Interesse sich stützt, ja hier dann auch die entsprechenden Hinweispflichten mit einhergehen. Also ich vermute jetzt mal, dass es daran wahrscheinlich auch gemangelt hat. Ich sehe hier nochmal eine andere Relevanz, wie gesagt, für Verbände, weil auch hierzulande sich natürlich die teilweise aus den Kooperationen mit Partnern finanzieren und wahrscheinlich auch in dem einen oder anderen Fall vielleicht die Weitergabe von Mitgliedsdaten Gegenstand sein könnte solcher Kooperationen. Und deswegen würde ich hier auf jeden Fall dazu anraten, nochmal insbesondere auf Artikel 21 Absatz 2 und 4 der DSGVO auch zu blicken und zu schauen, dass man das halt auch alles sauber drin hat, aber vor allen Dingen halt auch die Abwägung nachher sauber gemacht hat. Ja und vor allem bei der Abwägung glaube ich ist auch der Punkt, dass die fehlende Transparenz gegenüber den Betroffenen hier auch in der Abwägung mit einbezogen werden muss, so wie es auch gemacht wurde, weil dementsprechend kann das eben die Waagschale in Richtung der Betroffenen kippen, wenn sie eben nicht transparent zuvor informiert wurden über die geplante Verarbeitung. Aber damit würde ich sozusagen auch verweisen, wir kommen nachher nochmal gleich dazu, wenn wir über das Papier des Ätzers sprechen. Spannend. Ah ja gut, dann mache ich mal mit dem nächsten EuGH-Urteil weiter. Es geht hier um das Gesundheitsdatum, konkret um den Begriff des Gesundheitsdatums. Wie weit geht das? Was fällt denn alles darunter? Hintergrund ist ein Rechtsstreit zwischen zwei natürlichen Personen, die jeweils eine Apotheke betreiben und die beiden Apothekenbetreiber streiten über den Vertrieb von apothekenpflichtigen Arzneimitteln durch einen der Betreiber über eine Online-Plattform. ND, also einer der Parteien, der eine Apotheke unter der Geschäftsbezeichnung Linden-Apotheke betreibt, vertreibt seit 2017 Apothekenpflichtige Arzneimittel über den Amazon Marketplace, also über eine Online-Plattform. Bei der Online-Bestellung von Arzneimitteln müssen die Kunden von ND Angaben wie ihren Namen, ihre Lieferadresse und gegebenenfalls weitere für die Individualisierung der Arzneimittel notwendigen Informationen eingeben. Die andere Partei, also der Kläger, der ebenfalls eine Apotheke betreibt. Erhob diesbezüglich beim zuständigen Landgericht eine Klage, mit der er beantragte, es ND zu verbieten, apothekenpflichtige Arzneimittel über Amazon zu vertreiben, solange nicht sichergestellt sei, dass Kunden vorab die Möglichkeit hatten, in die Verarbeitung ihrer Gesundheitsdaten einzuwilligen. Vor diesem Hintergrund hat der BGH beschlossen, das Verfahren auszusetzen und dem Gerichtshof folgende Fragen zur Vorabentscheidung vorzulegen. Zum einen möchte der BGH geklärt wissen vom EuGH, ob die Regelungen in Kapitel 8 der DSGVO, also die Betroffenenrechte. Nationalen Regelungen entgegenstehen, die Mitbewerber an die Befugnis einräumen wegen Verstößen gegen die DSGVO vor den Zivilgerichten zu klagen wegen unlauteren Geschäftspraktiken. Also im Sinne von, können denn Verstöße gegen die DSGVO ein Vorgehen nach dem UWG zulässig machen oder erlauben? Und die zweite Vorlagefrage, um die wir uns hier hauptsächlich kümmern wollen, ist, ob die Daten, die Kunden bei der Bestellung auf die Verkaufsplattform eingeben, tatsächlich Gesundheitsdaten im Sinne von Artikel 9 Absatz 1 sind. Beide Vorlagefragen wurden durch den EuGH bejaht. Das Urteil verlinken wir natürlich. Zu dem ersten Punkt, Thema mit dem UWG, ob das geltend gemacht werden kann, betonte das Gericht, dass die DSGVO der nationalen Regelung zum Verbot unlauterer Geschäftspraktiken nicht entgegenstehe. Insofern ist die Möglichkeit, aufgrund des UWG zu klagen, diese bestehe grundsätzlich zusätzlich zu den Aufsichtsmaßnahmen der Behörden, die die Einhaltung und Durchsetzung der DSGVO überwachen. Das gilt also hier auch, unabhängig davon, dass der Kläger hier eine andere Apotheke ist und nicht selbst datenschutzrechtlich Betroffener. Bezüglich der Gesundheitsdaten hat der EuGH auch dahin geurteilt, dass Artikel 9 Absatz 1 dahin auszulegen ist, dass wenn eine Apotheke Apothekenpflichtige an Zneimitteln über eine Online-Plattform vertreibt, sind die einzugebenden Daten wie Name, Lieferadresse und für die Individualisierung der Zneimittel notwendige Informationen auch als Gesundheitsdaten zu betrachten. Denn aus den Daten, die ein Kunde bei der Bestellung dieser Arzneimittel über eine Online-Plattform eingibt, kann mittels gedanklicher Kombination, soll der EuGH. Oder mittels Ableitung auf den Gesundheitszustand der betroffenen Person geschlossen werden. Dies gilt auch, wenn diese Arzneimittel nur mit einer gewissen Wahrscheinlichkeit und nicht mit absoluter Sicherheit für diese Kunden bestimmt sind. Das heißt, dass nicht nur die Information über die Krankheit selber Oder über das Medikament, von dem auf die Krankheit wieder geschlossen werden kann, sind auch die Informationen drumherum, wie der Name und die Anschrift des Kunden zu den Gesundheitsdaten zählen. Finde ich, ist eine Festlegung, die wir uns merken sollten, die tatsächlich bei der täglichen Arbeit relevant sein sollte und könnte und vielleicht eine Überprüfung der eigenen Einschätzung der Datenkategorien mit sich bringt. Denn der EuGH sagt auch weiter, dass bei der Verarbeitung von Gesundheitsdaten natürlich ein hohes Schutzniveau erreicht werden muss und die Verarbeitung erfordert eine besondere, darauf ausgerichtete Einwilligung. Und hier schließt sich der Kreis, warum die Klage eben vom EuGH so entschieden wurde. Diese Einwilligung war eben nicht eingeholt. Und da sehen wir, dass Gesundheitsdaten als besonders sensible Daten nicht nur wirklich die Information über die Krankheit selbst ist, sondern auch das, was damit im Zusammenhang steht, wo wir Rückschlüsse darauf ziehen können, dass die Person eben einen bestimmten Gesundheitszustand hat. Ich glaube, es ist eigentlich gar nicht so überraschend, dass man da sehr weit die Gesundheitsdaten verstehen muss, weil auch die Information, dass ich zu einem bestimmten Facharzt oder so gehe, fällt da genauso drunter, weil es halt Rückschlüsse zulässt. Und was wir halt auch hier wieder den Brückenschlag sozusagen zu eben natürlich bedenken müssen, Artikel 9 kennt halt kein berechtigtes Interesse. Richtig. Und wenn wir keine Einwählung haben und keine der anderen Verarbeitungstatbestände, die eine Verarbeitung zulässig machen, Artikel 9 vorliegt, dann ist die Verarbeitung unzulässig. So ist es. Der EuGH hat bestätigt, dass eine Entschuldigung als Ersatz für immateriellen Schaden ausreichen kann, wenn kein größerer Schaden nachgewiesen wird. Und die Beweggründe des Datenverarbeiters beeinflussen die Höhe des Schadensersatzes nicht, der Ausgleich richtet sich nach dem tatsächlichen Schaden. Der Europäische Gerichtshof, also kurz EuGH, befasste sich mit einer doch auch wichtigen datenschutzrechtlichen Frage eines lettischen Gerichts. Und zwar hatte hier ein Journalist geklagt, weil eine Organisation ohne seine Zustimmung ein Video mit seiner Person verbreitete, die ihn imitierte. Der Kläger verlangte Schadensersatz für die unrechtmäßige Nutzung seiner personenbezogenen Daten. Jetzt wurde das Europäische Gericht dazu mit den drei Fragen quasi konfrontiert und zwar zum einen reicht eine rechtswidrige Verarbeitung von Daten allein aus, um Schadensersatz zu fordern. Hier stellte der EuGH nochmal klar, dass ein bloßer Verstoß gegen die DSGVO nicht automatisch zu Schadensersatz führt. Es muss also nachgewiesen, dass der betroffenen Person tatsächlich ein Schaden entstanden ist. Das ist soweit glaube ich nicht neu, liest sich sozusagen in die Reihe ein der bisherigen Entscheidungen. Dann aber die zweite Vorlagefrage war, keine einer Entschuldigung als Ersatz für den immateriellen Schaden genügen und hier hat das Gericht entschieden, dass eine Entschuldigung in einigen Fällen als angemessene Entschädigung gelten kann, wenn sie den verursachten Schaden vollständig ausgleicht. Die dritte Vorlagefrage war dann noch, dürften die Beweggründe des Datenverarbeiters bei der Festsetzung des Schadensersatzes berücksichtigt werden. Dies verneinte allerdings der EuGH. Der Schadensersatz sollte den entstandenen Schadenausgleich nicht die Handlungen oder Motive des Datenverarbeiters bewerten. Deswegen auch glaube ich hier relativ konsequent der EuGH, weil wir ja auch an anderen Stellen jetzt schon die Urteilssprechung hatten zu sagen, auch die Bußgeldregelungen sind nicht für die Schadensersatzhöhe relevant, sondern auch hier gilt es halt nur auf den Schaden zu gucken und den auszugleichen. Ja, bezüglich der Erforderlichkeit eines Nachweises des Schadens haben wir also auch nichts Neues. Interessant aus meiner Sicht aber hier finde ich schon, dass die Entschuldigung als Möglichkeit des Schadensersatzes in Frage kommt grundsätzlich. Und meine Sachen sind ja eigentlich auch konsequent. Ich habe einen immateriellen Schaden und warum soll nicht auch ein immaterieller Schadensersatz dann funktionieren? Finde ich tatsächlich eine sehr schöne Vorgehensweise. Vielleicht hat nämlich der eine oder andere an einer Entschuldigung sogar viel mehr Interesse als an einem Ausgleich in Geld. Je nachdem, wie hoch der Geldbetrag ausfällt, sind es auch keine extraorbitant hohen Beträge, die wir in der Vergangenheit hatten als Schadensersatz, der dem Betroffenen zugesprochen wurde. Von daher vielleicht ist dem einen oder anderen wirklich auch einfach eine Entschuldigung, an dem wir machen es zukünftig besser und wir verhindern auch, dass zukünftig sowas passiert, viel mehr gelegen. Ganz genau. Ich habe auch etwas zum Thema Schadensersatzanspruch. Nicht den OLGH, aber den OLGHAM. Und zwar hat sich das OLG mit Schadensersatzansprüchen aus einer rechtswidrigen Verarbeitung von personenbezogenen Daten beschäftigt, konkret beim Betrieb eines Impfzentrums. Und zwar sind diese Schadensersatzansprüche abgetreten worden von den Betroffenen an ein gewerbliches Unternehmen und das gewerbliche Unternehmen klagt nun auf Schadensersatz. Das OLG Hamm hat entschieden, dass Ansprüche aus Artikel 82 Absatz 1 und 2 DSGVO, also die Schadensersatzansprüche, keine höchstpersönlichen Ansprüche sind und abgetreten werden dürfen. Nach Auffassung des Senats handelt es sich hier bzw. Bei Artikel 82 nicht um einen höchstpersönlichen Anspruch. Ein schutzwürdiges Interesse des Schuldners an der Beibehaltung der Person des Gläubigers ist zum Teil oder jedenfalls in dem konkreten Fall, der hier zugrunde lag, nicht erkennbar und die Leistung ist auch nicht dergestalt mit der Person des Gläubigers verknüpft, dass diese eben nicht an einen anderen Gläubiger geleistet werden dürfte. Hintergrund der Entscheidung ist, dass die Beklagte im Jahr 2021 ein Impfzentrum betrieb, in dem Corona-Impfungen durchgeführt wurden. Aufgrund einer Änderung der Öffnungszeiten war es erforderlich, die Termine von rund 1200 Bürgern und Bürgerinnen zu verschieben. Darüber sollten Bürger per E-Mail informiert werden. Durch eine Verkettung von mehreren unglücklichen Umständen wurde mit dieser E-Mail, in der die Info über die Terminverschiebung versendet wurde, wurden auch Excel-Tabellen mit beigefügt. In diesen Excel-Tabellen waren personenbezogene Daten von rund 13.000 Personen enthalten. Das heißt, neben Vor- und Nachnahme, Anschrift, Geburtsdatum waren auch Angaben zum vorgesehenen Impfstoff und zu der Frage, ob es sich um eine erste oder zweite Impfung handelte, mit in dieser Excel-Tabelle enthalten. Teilweise auch die Telefonnummer oder auch die E-Mail-Adresse, wenn sie angegeben wurde. Das Impfzentrum hat diesen Vorfall relativ zeitnah bemerkt und versucht, die Auswirkungen zu reduzieren und sich auch bei den Betroffenen entschuldigt und über das weitere Vorgehen aufgeklärt. Allerdings wurden die Betroffenen kurzer Zeit danach von einer europäischen Zentrale für Verbraucherschutz kontaktiert, die die Möglichkeit geboten hatte, den Vorfall zu übernehmen und dementsprechend eine Sofortentschädigung gegen Abtretung des Schadensanspruchs an die jeweiligen Betroffenen angeboten hatte. Die jetzige Klägerin fertigte zahlreiche inhaltlich gleichlautende Abtretungsverträge, die die Betroffenen unterzeichnen konnten und machte Ansprüche nach Artikel 15 DSGVO bei den Datenschutzverstoß geltend und forderte auch Schadensersatz. Dies wurde von den Beklagten abgewiesen, da die Mangelvollmacht der Klägerin behauptet wurde. Insofern hat dann die Klägerin eben geklagt. Und wie wir gerade schon gehört haben am Anfang, ist die Klage auch durchgegangen, da eben der Schadensersatzanspruch nach der DSGVO auch von einem Dritten, dem das Recht oder dem der Schaden abgetreten wurde, geltend gemacht werden kann. Finde ich spannend, aber auch nur konsequent, weil diese Möglichkeit gibt es auch im Zivilrecht und ein Schadensersatzanspruch ist an sich eigentlich auch ein zivilrechtlicher Anspruch des Geschädigten gegen den Schädiger. Von daher finde ich auch nur stringent das Urteil. Spannend wird es jetzt mit der Überlegung, die wir gerade hatten, dass ein immaterieller Schadensersatz natürlich hier wie eine Entschuldigung auch vielleicht ausreichen könnte. Da wird natürlich schwer abzutreten. Also die Frage ist halt, gegen wem muss ich mich jetzt entschuldigen, wenn ich der Meinung bin, dass das vielleicht als Schadensersatz ausreichen könnte. Ich vermute aber, dass dann das Urteil vielleicht anders ausgefallen wäre, weil es hier, dass ich um eine finanzielle Entschädigung ging und die kann ich abtreten, wenn ich quasi als Sofortzahlung etwas dafür bekommen habe von demjenigen, dem ich den Anspruch abtrete. Aber ein Entschuldigungsanspruch im materiellen Ersatz, schwierig. Aber ich glaube, den würde man auch nicht abtreten wollen, den behält man auch. Hier würde man wahrscheinlich behalten, das sehe ich auch so. Der Europäische Datenschutzausschuss veröffentlicht Leitlinien zur Verarbeitung von personenbezogenen Daten auf Grundlage des berechtigten Interesses. Der Datenschutzausschuss, kurz ETSA, der stellt zunächst nochmal klar in seinem Papier, dass Artikel 6 Absatz 1 Buchstabe F DSGVO, also das berechtigte Interesse, weder als letztes Mittel für, wie er sagt, seltene oder unerwartete Situationen behandelt werden soll. In denen zum Beispiel andere Rechtsgrundlagen nicht als anwendbar erachtet werden. Noch sollte automatisch dieser Absatz oder diese Rechtsgrundlage gewählt werden oder seine Anwendung übermäßig ausgeweitet werden, weil man der Ansicht ist, dass Artikel 6 Absatz 1 Lit F DSGVO weniger einschränkend ist als andere Rechtsgrundlagen. Mit Hinblick auf die Bedingungen, dass die Verarbeitung personenbezogener Daten zur Wahrung der berechtigten Interessen erforderlich ist, sollte laut dem Papier geprüft werden, ob die verfolgten berechtigten Interessen vernünftigerweise nicht ebenso wirksam, zum Beispiel durch andere Mittel erreicht werden können, die die Grundrechte und Freiheiten der betroffenen Personen weniger einschränken. Das haben wir eben zum Beispiel ja schon gehört in dem Urteil mit den Sponsoren, wo das Gericht entschieden hatte, dass halt zum Beispiel eine Einwilligung ja hier in Frage käme. Deswegen kommt auch hier, dass die Leitlinien vom ETSA zu dem Ergebnis, dass es halt, wenn es solche anderen Mittel gibt, kann die Verarbeitung halt nicht auf Artikel 6 Absatz 1 LIDF gestützt werden und somit natürlich dann auch, wie gesagt, das andere Mittel gewählt werden muss. Im Weiteren erklärt das Dokument in weiten Teilen, wie bei einer Interessenabwägung vorzugehen ist und was bei den einzelnen Schritten zu beachten ist. Also zum Beispiel, dass die Rechtsgrundlagen nur genutzt werden dürfen, wenn drei Bedingungen erfüllt sind. Es muss ein legitimes Interesse des Unternehmens oder Dritter vorliegen. Es muss die Verarbeitung notwendig sein, um dieses Interesse zu verfolgen und es darf keine weniger eingreifenden Alternativen geben. Und drittens dürfen die Interessen oder Grundrechte der betroffenen Personen dieses berechtigende Interesse des Unternehmens nicht überwiegen. Also das haben wir auch hier schon mehrfach thematisiert, dass natürlich jedes Ausgewogene mindestens sein muss. Unternehmen müssten eine sorgfältige Abwägung der betroffenen Rechte und Interessen vornehmen, natürlich dokumentieren. Bevor sie die personenbezogenen Daten verarbeiten. Und hier erläutert der ETSA auch, worauf es halt alles zu achten gilt. Also zum Beispiel, wie nah steht das Unternehmen den Betroffenen? Was ist für den Betroffenen erwartbar? Was sind Ort und Kontext der Erhebung über die Transparenz, hatten wir gerade eben auch schon, bis hin zu den Rechten der Betroffenen, wie die letztendlich nachher auch realisiert werden. Dann gibt es nochmal einen Teil, wo es auch um die besondere Schutzbedürftigkeit von Daten Artikel 9 wie Gesundheitsdaten oder aber auch Daten von Kindern geht, die natürlich nochmal eine besondere Sorgfalt erfordern. Nach kursorischer Durchsicht würde ich erstmal sagen, es ist nichts Überraschendes, aber, und das hatte ich ja auch, wie gesagt, schon öfters hier betont, in der täglichen Praxis natürlich auch oft etwas lax gehandhabt, diese Interessenabwägung. Und von daher würde ich sowohl dieses Urteil von eben mit den Sponsoren als auch jetzt dieses Etzerpapier vielleicht nochmal so ein bisschen als Weckruf sehen, bei dem Thema wirklich Sorgfalt walten zu lassen und es halt auch vor allen Dingen sauber zu dokumentieren. Das Papier ist zur Konsultation jetzt freigegeben, aber spätestens, wie wir seit der Folge mit Professor Kugelmann wissen, sind die Papiere damit trotzdem erstmal quasi wirksam. Also es ist jetzt kein Entwurf, der noch keine Bindung für die Aufsichtsbehörden hat. Deswegen halt der Hinweis, Konsultation läuft bis 20. November. Also das heißt, man hat jetzt die Möglichkeit auch Stellungnahmen abzugeben. Es gibt dafür auch ein Formular. Das Papier, ich habe es bisher nur auf Englisch gefunden, Ich habe es jetzt mal, damit ich da ein bisschen zügiger durch bin, mal übersetzen lassen. Automatisiert zugegebenermaßen. Ich würde aber diese Übersetzung als inoffizielle Übersetzung und als kleinen Hörerservice hier verlinken in den Shownotes. Falls jemand das auf Deutsch haben will, der kann auch gerne reingucken und sie es runterladen. Ich habe ein weiteres Thema, nämlich die Untersuchung gegen Ryanair durch die irische Aufsichtsbehörde bzw. Datenschutzkommission. Die DPC, also Data Protection Commission in Irland, prüft aktuell, ob die irische Airline Ryanair von ihren Kunden eine biometrische Verifizierung verlangen dürfte. Sie prüft nach eigenen Angaben, ob die von Ryanair genutzte Gesichtserkennung, bei der potenziell auch biometrische Daten erhoben werden, mit dem geltenden Recht der EU und des europäischen Wirtschaftsraums vereinbar ist. Konkret müssen manche Ryanair-Kunden nach der Buchung von Flügen sich einer Gesichtserkennung unterziehen. Hierzu sind zahlreiche Beschwerden von Kunden bei der Datenschutzkommission eingegangen, die im Nachhinein ihre Identität bei Ryanair bestätigen mussten. Unter anderem hatte aber auch schon die österreichische Datenschutzorganisation None of Your Business, weil der irischen Datenflussbehörde eine Beschwerde gegen die Airline eingereicht. Wir berichteten dazu bereits in der KW 21 diesen Jahres. Von daher vielleicht auch spannend für die, die da nochmal reinschauen möchten. Ja, anscheinend geht das Verfahren jetzt weiter. Die irische Datenschutzkommission prüft und wir werden sehen, was das Ergebnis sein wird. Dann kommen wir zu unserer Hubrik Veröffentlichungen und Veranstaltungen und da hätte ich die heute stattfindende Verleihung des Deutschen Big Brother Awards. Die findet heute Abend ab 18 Uhr in Bielefeld in der Hechelei statt und der Eintritt für Kurzerschlossene, also gerade eben konnte man noch Tickets online kaufen, ist 5 Euro, finde ich echt einen fairen Preis, aber setzt natürlich voraus, dass man nicht mehr einen allzu langen Anreiseweg wahrscheinlich nach Bielefeld. Ansonsten gibt es natürlich auch die Möglichkeit, den Stream zu verfolgen. Den Link dazu packen wir natürlich auch mal in die Shownotes. Und ja, nächste Woche, glaube ich, haben wir damit schon ein Thema auch gesetzt, nämlich wer hat ihn denn bekommen? Alles, welche Unternehmen sind dieses Jahr dabei? Spannend. Ich habe einen weiteren Veranstaltungshinweis. Da haben wir noch ein bisschen mehr Zeit für diejenigen, die daran teilnehmen möchten. Der findet nämlich am Dienstag, den 22. Oktober statt. Und zwar von 14 bis 20 Uhr an der Technischen Universität in München. Dort ist die Veranstaltung Datenschutz in der europäischen Datenökonomie. Konkret geht es dabei um das Thema Datenschutz by Design im Licht der europäischen Datenstrategie und um Herausforderungen beim Zusammenspiel von DSGVO und EU-Data-Act und KI-Verordnung. Der Landesbeauftragte für den Datenschutz und Informationsfreiheit Baden-Württemberg, Prof. Dr. Thomas Keber, nimmt an der Veranstaltung teil und diskutiert unter anderem über eben das Thema Datenschutz by Design und über die weiteren Herausforderungen im Zusammenhang mit dem EU-Data-Act und der KI-Verordnung. Da wird bestimmt einiges dabei sein für diejenigen, die daran teilnehmen können. Mit dabei sind zudem auch die Landesbeauftragte für Datenschutz Schleswig-Holstein, Dr. Marit Hansen und der Präsident des Bayerischen Landesamts für Datenschutzaufsicht, Michael Will. Auch weitere Vertreter der Wirtschaft und Wissenschaft. Von daher, wir können es, glaube ich, mit gutem Gewissen empfehlen. Dann würde ich sagen, sind wir auch für heute durch. Ich danke dir, Natalia. Hat wieder Spaß gemacht. Danke, Heiko. Und ja, allen unseren Zuhörern wünschen wir natürlich einen guten Start ins Wochenende, ein erholsames und schönes Wochenende, Herbstwochenende. Ich würde sagen, bis zum nächsten Mal. Bleibt uns gewogen. Bis zum nächsten Mal. Tschüss.

    Schreibe einen Kommentar

    Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert