Bußgeld

Die Reichweite des Auskunftsanspruch nach Art 15 DSGVO ist immer wieder Thema bei Rechtsstreitigkeiten. Das Landgericht Köln hat aktuell entschieden, dass der Auskunftsanspruch nach Art. 15 DSGVO umfassend zu verstehen ist und auch bloße Gesprächsvermerke und Telefonnotizen mit umfasst sind.

Die Kläger war Kunde bei einer Krankenkasse und hat dort im Zuge einer gerichtlichen Auseinandersetzung seinen Auskunftsanspruch geltend gemacht. Nach Auffassung des Gerichts umfasst dieser Anspruch sämtliche Informationen die zu der Person vorliegen. Hierzu gehören auch  Gesprächsvermerke und Telefonnotizen erfasst.

Das Gericht führt insoweit wie folgt aus:

„Das Auskunftsbegehren der Kläger umfasst damit insbesondere auch sämtliche in der Klageschrift (…)  aufgeführten Elemente, als auch die im Rechtsstreit mehrfach zur Sprache gebrachten Gesprächsvermerke und Telefonnotizen.

Das Begehren ist in diesem Umfang auch nicht rechtsmissbräuchlich. Insoweit ist festzuhalten, dass die DS – GVO zu Artikel 12 Abs. 5 lediglich einen begrenzten Tatbestand im Kontext enthält, der bei „offenkundig unbegründeten oder – insbesondere im Fall von häufiger Wiederholung – exzessiven Anträgen einer betroffenen Person“. eingreift. Vom Vorliegen dieser Voraussetzungen kann betreffend die von den Klägern gemachten Auskunftsrechte nicht die Rede sein.“

Das Gericht setzte sich weiter auch mit dem Code of Conduct der Versicherungswirtschaft auseinander. Dieser könne nicht zu einer Einschränkung des Auskunftsanspruch führen.

Das Gericht führt insoweit wie folgt aus:

„Sofern sich die Beklagte in diesem Zusammenhang auf Artikel 40 DS – GVO und die hierzu ergangenen „Verhaltensregeln für den Umgang mit personenbezogenen Daten durch die Deutsche Versicherungswirtschaft“ (sog. Code of Conduct – CoC) bezogen hat, dringt sie mit diesem Einwand nicht durch.

Es widerspricht evident dem Sinn und Zweck der Regelungen der DS – GVO und in diesem Rahmen dem weit gefassten Begriff der „personenbezogenen Daten“ nach Artikel 4 DS – GVO, wenn „Verbände und andere Vereinigungen“ (vgl. Artikel 40 Abs. 2 DS – GVO) berechtigt wären, den Auskunftsanspruch gemäß Artikel 15 Abs. 1 DS – GVO inhaltlich zu begrenzen. Eine solche Befugnis ist auch dem Artikel 40 DS – GVO, der insbesondere bestimmte „Verhaltensregeln“ in Bezug nimmt, nicht zu entnehmen.“

Letztendlich meinte die beklagte Krankenkasse, dass der Anspruch unverhältnismäßig und somit rechtsmissbräuchlich sei. Auch hiermit konnte  sich die Krankenkasse nicht durchsetzen. So  sei es grundsätzlich Aufgabe und Pflicht der verarbeitenden Stelle, ein ausreichendes technisches System zu betreiben, sodass die Datenauskunft ohne weitreichende Probleme erfolgen könne-

„Das geltend gemachte Auskunftsbegehren ist darüber hinaus in keinem Fall „unverhältnismäßig“ wie die Beklagte im Hinblick auf die Vielzahl ihrer Versicherungsnehmer meint (vgl. zu den Seiten 8 bis 11 des Schriftsatzes vom 13.03.2020 = Blatt 568 bis 571 der Akte).

Die Entscheidung ist in mehrfacher Hinsicht interessant. Zum einen sieht man immer häufiger, dass Auskunftsansprüche auch in bereits bestehenden Rechtsstreitigkeiten geltend gemacht werden. Zum anderen müssen Unternehmen bei sowohl bei der Erhebung und Verarbeitung der personenbezogenen Daten als auch später bei der  Auskunft sehr sorgfältig agieren.  Wir empfehlen dringend die Prozesse in den Unternehmen zu überprüfen und entsprechende Maßnahmen vorzunehmen, um spätere Fallstricke bei der Auskunft zu vermeiden.

 

 

Die Datenschutzkonferenz des Bundes und der Länder (DSK) hat geprüft, ob der Einsatz von Microsoft Office 365 mit Artikel 28 der DSGVO vereinbar ist.

Unter dem Namen Microsoft 365 bündelt der Hersteller seine Cloud-basierte Büro-Suite, die bis Mitte 2020 als Office 365 vertrieben wurde. Enthalten sind die flächendeckend verbreiteten und kaum mehr wegzudenkenden Software-Lösungen Word für Textverarbeitung, Excel für Tabellenkalkulation, Powerpoint für Präsentationen sowie Outlook und Microsoft Teams für Kommunikation und Kollaborationen.

Am 22.09.2020 wurde nun entschieden, dass ein datenschutzkonformer Einsatz aktuell nicht möglich sei.  Beanstandet wurden gleich mehrere Punkte. So sei etwa Es unklar, ob Microsoft Nutzerdaten ausreichend schützt und wie lange diese gespeichert werden. Darüber hinaus bestehe außer dem Auftragsverarbeitungsvertrag keine Rechtsgrundlage für den Transfer von Telemetrie-Diagnosedaten von den Usern an Microsoft.

Wer 100 %  rechtssicher arbeiten will muss auf den Einsatz von Microsoft 365 verzichten. Dies dürfte allerdings für die Mehrheit der Unternehmen keine Option sein, da die Software nicht einfach ausgetauscht werden kann.

Mit einer entsprechenden Konfigurationen der Software kann der  Datenschutz verbessert werden. Ein Restrisiko kann aber nicht ausgeschlossen werden. Ob die Behörden der einzelnen Länder hier aktiv werden, ist aktuell nicht abschätzbar.

Verantwortliche sollten in jedem Fall aufmerksam verfolgen, ob der Einsatz von Microsoft 365 bei Prüfungen durch Aufsichtsbehörden bei anderen Unternehmen zukünftig bemängelt wird.

Gerne stehen wir Ihnen mit Rat und Tat zu Seite.

 

Dr. Stephan Schenk

Zertifizierter Datenschutzbeauftragter (DSB-TÜV)

 

Aktuell wurden gleich zwei Bußgelder in Millionenhöhe durch die Datenschutzbehörden ausgesprochen.

So hat  die Österreichische Datenschutzbehörde ein Bußgeld gegen Österreichische Post in Höhe von 18 Millionen Euro ausgesprochen.  Gemäß  der Pressemitteilung erklärt die Behörde,  dass die ÖPAG (österreichische Post)  unerlaubt die politische Affinität von Betroffenen verarbeitet haben soll. Hinzu kamen weitere Datenschutzverletzungen.  So wurde etwa eine Rechtsverletzung wegen der Weiterverarbeitung von Daten über die Paketfrequenz und die Häufigkeit von Umzügen zum Zweck des Direktmarketings festgestellt, da dies keine Deckung in der DSGVO findet.

Die Entscheidung ist nicht rechtskräftig.

Laut Bild Zeitung wurde gegen die deutsche Wohnen ein Bußgeld in Höhe von 14.5 Millionen Euro verhängt. So sei bereits Juni 2017 festgestellt worden, dass das Unternehmen personenbezogene Daten von Mietern in einem Archivsystem gespeichert habe, bei dem nicht mehr erforderliche Daten nicht gelöscht werden konnten. Auch diese Entscheidung ist nicht rechtskräftig.

Sowohl die Gründe als auch due Höhe sollten Unternehmen zum Anlass nehmen, ihr Unternehmen im Bereich Datenschutz noch einmal überprüfen zu lassen, sofern noch nicht geschehen.

Gerne stehen Ihnen unsere Rechtsanwälte mit Rat und Tat zur Verfügung.  Unsere Kanzlei berät und vertritt regelmäßig Unternehmen im Bereich Datenschutz und unterstützt diese bei Beantwortung von Behördenschreiben und Ähnlichen.