Datenschutz

Die Reichweite des Auskunftsanspruch nach Art 15 DSGVO ist immer wieder Thema bei Rechtsstreitigkeiten. Das Landgericht Köln hat aktuell entschieden, dass der Auskunftsanspruch nach Art. 15 DSGVO umfassend zu verstehen ist und auch bloße Gesprächsvermerke und Telefonnotizen mit umfasst sind.

Die Kläger war Kunde bei einer Krankenkasse und hat dort im Zuge einer gerichtlichen Auseinandersetzung seinen Auskunftsanspruch geltend gemacht. Nach Auffassung des Gerichts umfasst dieser Anspruch sämtliche Informationen die zu der Person vorliegen. Hierzu gehören auch  Gesprächsvermerke und Telefonnotizen erfasst.

Das Gericht führt insoweit wie folgt aus:

„Das Auskunftsbegehren der Kläger umfasst damit insbesondere auch sämtliche in der Klageschrift (…)  aufgeführten Elemente, als auch die im Rechtsstreit mehrfach zur Sprache gebrachten Gesprächsvermerke und Telefonnotizen.

Das Begehren ist in diesem Umfang auch nicht rechtsmissbräuchlich. Insoweit ist festzuhalten, dass die DS – GVO zu Artikel 12 Abs. 5 lediglich einen begrenzten Tatbestand im Kontext enthält, der bei „offenkundig unbegründeten oder – insbesondere im Fall von häufiger Wiederholung – exzessiven Anträgen einer betroffenen Person“. eingreift. Vom Vorliegen dieser Voraussetzungen kann betreffend die von den Klägern gemachten Auskunftsrechte nicht die Rede sein.“

Das Gericht setzte sich weiter auch mit dem Code of Conduct der Versicherungswirtschaft auseinander. Dieser könne nicht zu einer Einschränkung des Auskunftsanspruch führen.

Das Gericht führt insoweit wie folgt aus:

„Sofern sich die Beklagte in diesem Zusammenhang auf Artikel 40 DS – GVO und die hierzu ergangenen „Verhaltensregeln für den Umgang mit personenbezogenen Daten durch die Deutsche Versicherungswirtschaft“ (sog. Code of Conduct – CoC) bezogen hat, dringt sie mit diesem Einwand nicht durch.

Es widerspricht evident dem Sinn und Zweck der Regelungen der DS – GVO und in diesem Rahmen dem weit gefassten Begriff der „personenbezogenen Daten“ nach Artikel 4 DS – GVO, wenn „Verbände und andere Vereinigungen“ (vgl. Artikel 40 Abs. 2 DS – GVO) berechtigt wären, den Auskunftsanspruch gemäß Artikel 15 Abs. 1 DS – GVO inhaltlich zu begrenzen. Eine solche Befugnis ist auch dem Artikel 40 DS – GVO, der insbesondere bestimmte „Verhaltensregeln“ in Bezug nimmt, nicht zu entnehmen.“

Letztendlich meinte die beklagte Krankenkasse, dass der Anspruch unverhältnismäßig und somit rechtsmissbräuchlich sei. Auch hiermit konnte  sich die Krankenkasse nicht durchsetzen. So  sei es grundsätzlich Aufgabe und Pflicht der verarbeitenden Stelle, ein ausreichendes technisches System zu betreiben, sodass die Datenauskunft ohne weitreichende Probleme erfolgen könne-

„Das geltend gemachte Auskunftsbegehren ist darüber hinaus in keinem Fall „unverhältnismäßig“ wie die Beklagte im Hinblick auf die Vielzahl ihrer Versicherungsnehmer meint (vgl. zu den Seiten 8 bis 11 des Schriftsatzes vom 13.03.2020 = Blatt 568 bis 571 der Akte).

Die Entscheidung ist in mehrfacher Hinsicht interessant. Zum einen sieht man immer häufiger, dass Auskunftsansprüche auch in bereits bestehenden Rechtsstreitigkeiten geltend gemacht werden. Zum anderen müssen Unternehmen bei sowohl bei der Erhebung und Verarbeitung der personenbezogenen Daten als auch später bei der  Auskunft sehr sorgfältig agieren.  Wir empfehlen dringend die Prozesse in den Unternehmen zu überprüfen und entsprechende Maßnahmen vorzunehmen, um spätere Fallstricke bei der Auskunft zu vermeiden.

 

 

Es kommt regelmäßig vor, dass in den Kitas und in der Schulen Fotos oder auch Videos aufgenommen werden. Sie dienen als Erinnerung für die Kinder und Eltern oder auch um die Kita/Schule zu präsentieren, etwa durch Veröffentlichung auf der Webseite im Internet auch durch Aufhängen im Eingangsbereich.

Aber ist das eigentlich so erlaubt? Braucht man eine Einwilligung? Wie muss eine Einwilligung aussehen? Viele Lehrkräfte sind hier unsicher, was sie beachten müssen.

Grds. gilt zunächst, dass jede Person ein Recht auf Schutz der sie betreffenden personenbezogenen Daten hat. Sie darf grundsätzlich selbst über die Preisgabe  und  Verwendung  ihrer  persönlichen  Daten  bestimmen.  Dies gilt natürlich auch für Kinder. Bei Bild-, Ton- und Videoaufnahmen von Kindern im Kindergartenalter sind dann die Erziehungsberechtigten entscheidungsbefugt.

Das wichtigste ist, dass es für jedes Foto jede Videoaufzeichnung einer Einwilligung der Erziehungsberechtigten (Eltern bedarf). Dies muss auch schon bei der Fertigung der Fotos eingeholt werden nicht erst, wenn diese veröffentlicht werden!

Dies gilt auch für Gruppen und Klassenfotos!

Eine einzige Ausnahme gibt es, wenn die Personen auf dem Foto der Videoaufnahme „nur als Beiwerk neben einer Landschaft oder sonstigen Örtlichkeit erscheinen“.  Wenn also etwa das Gebäude der Schule aufgenommen wird und am Rand ein Schüler zu sehen ist.

Welchen Inhalt muss eine Einwilligung haben.

Zunächst muss die Einwilligung informiert und freiwillig sein. Es muss beschriebenen werden, für welche möglichst genau beschriebenen Zwecke die Fotos/Videoaufzeichnungen angefertigt werden sollen. Auch bedarf es der Festlegung, was mit den Aufnahmen geschehen soll und wie lange diese aufbewahrt werden. Auch müssen die Eltern darüber informiert werden, dass sie die erteilte Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen können.

Folgende Punkte müssen in der Einwilligungserklärung enthalten sein:

  1. Zweckbestimmung der Aufnahmen

In der Einwilligung muss der Rahmen, in denen die Aufnahmen gemacht werden, genannt werden (z.B. Sportfest) und zum anderen zu welchem Zweck (i. d. R. Beobachtung und Dokumentation, Erinnerung an die Kita-Zeit) die Kita/die Schule beabsichtigt, Fotos bzw. Video- und Tonaufnahmen der Kinder anzufertigen.

Der Zweck sollte genau beschrieben werden. Gegebenenfalls  bietet  es  sich  an,  zwischen Foto-, Video- und Tonaufnahmen in der Einwilligung auch zu differenzieren.

 

  1. Nutzung der Aufnahmen

 In der Einwilligungserklärung muss darüber aufgeklärt werden, in welcher Weise die Fotos/Videoaufnahmen  genutzt  werden und auch wem sie  gezeigt  oder  vorgeführt  werden.  Die Eltern sollten  hier auch Angaben machen können, ob sie einer Nennung des Namens und/oder des Alters ihrer Kinder unter Bildern zustimmen oder nicht.

  1. Aufbewahrungszeit und Zeitpunkt der Löschung

In eine wirksame Einwilligungserklärung ist auch zu informieren wie lange die Aufnahmen aufbewahrt und wann diese gelöscht bzw. vernichtet werden. Aufnahmen, die z. B. nach einem Entwicklungsgespräch nicht mehr gebraucht werden, sind zu löschen.

werden von den Festplatten oder mobilen Datenträgern gelöscht oder vernichtet. Das Gleiche gilt, wenn ein Kind die Einrichtung verlässt. 

  1. Freiwilligkeit/Möglichkeit des Widerrufs

Die Eltern sollten ebenso darauf hingewiesen werden, dass die Einwilligung freiwillig ist und ihnen keine Nachteile entstehen, wenn sie die Einwilligung nicht erteilen oder sie widerrufen möchten.

Insbesondere darf die Aufnahme eines Kindes in die Kita nicht von der Erteilung  der  Einwilligung  abhängig  gemacht  werden.  Eine erteilte Einwilligung kann für die Zukunft wiederrufen werden. Bei Druckwerken ist ein Widerruf nicht mehr möglich ist, wenn der Druckauftrag bereits erteilt ist.

Wenn Sie Fragen haben oder Hilfe brauchen stehen wir Ihnen gerne mit Rat und Tat zu Seite.

 

Die Entscheidung des EuGH zum Privacy Shield hat jede Menge Staub aufgewirbelt und Fragen offen gelassen. Bisher ist weitestgehend davon ausgegangen worden, dass bis zur Klärung der Rechtslage (etwa eines neuen Abkommens) seitens der Behörden wie auch schon zu Zeiten des Safe-Harbour-Urteils nichts weiter unternommen werde.

Es sind bereits stichprobenartige Kontrollen durch die Datenschutzbehörden vorgenommen worden. Dabei wurden der rechtskonforme Einsatz von Tracking-Diensten unter die Lupe genommen und Anhörungsverfahren eingeleitet. Meistens soll es bei den Kontrollen um den Analysedienst „Google Analytics“ gegangen sein.

Jetzt soll nach einer Pressemitteilung des Landesbeauftragten für Datenschutz Baden-Württemberg eine groß angelegte Kontrolle durchgeführt werden. Dabei sollen zwar zunächst die sog. „Big Player“, später aber flächendeckend kontrolliert werden. Die Behörden wollen damit die einheitliche Einhaltung der Vorgaben zum Datenschutz bei Trackingdiensten erreichen.

„Der Landesbeauftragte für Datenschutz und Informationsfreiheit (LfDI) Baden-Württemberg wird daher zeitgleich mit anderen deutschen Aufsichtsbehörden in einem groß angelegten Verfahren Online-Angebote auf eine rechtskonforme Einbindung von Tracking-Technologien prüfen. Die Prüfung wurde länderübergreifend vorbereitet. Sie wird in enger Zusammenarbeit der beteiligten Landesdatenschutzbehörden innerhalb des jeweiligen Zuständigkeitsbereiches in völliger Unabhängigkeit durchgeführt.

Gegenstand dieser Prüfung werden in einem ersten Schritt die Internetpräsenzen von Medienunternehmen sein. Diese setzen Tracking-Dienste häufig in besonders großem Umfang auf ihren Websites ein. Wollen Medienunternehmen Tracking-Technologien nutzen, können diese nur erlaubt sein, wenn die/der Nutzer*in hierin wirksam einwilligt – d.h. informiert, freiwillig, vorab, separat und in Kenntnis einer zumutbaren Möglichkeit, die Einwilligung jederzeit mit Wirkung für die Zukunft zu widerrufen“ lautet die Pressemitteilung.

Bei einem Verstoß gegen die Vorschriften würden die Behörden zunächst ein Anhörungsverfahren eröffnen, in dem der Betroffene Verwender Gelegenheit zur Stellungnahme erhält. Die Behörden sind befugt, ein Bußgeldverfahren einzuleiten, wenn der Vorwurf nicht entkräftet werden kann.

 

Daher sollten Webseitenbetreiber es möglichst gar nicht erst zu einer Anhörung kommen lassen.

 

Wir haben bereits regelmäßig darüber informiert, dass Tracking Dienste ausschließlich nach erfolgter wirksamer (und im besten Fall auf dokumentierter) Einwilligung des Nutzers aktiv werden dürfen. Hierzu muss die Einwilligung ausdrücklich und informiert erfolgen.

Dies kann unter anderem durch sog. Cookie-Consent-tools erfolgen. Es öffnet sich dann beim Betreten der Seite ein Overlay, bei dem alle Cookie-Einwilligungen einzeln abgefragt werden können. Diese dürfen nicht vorab schon eingestellt sein. Außerdem muss die Möglichkeit bestehen, jederzeit mit Wirkung für die Zukunft Cookies wieder zu deaktivieren.

Es reicht ausdrücklich nicht aus, einen Hinweis zu erteilen, nach dem das Weitersurfen auf der Webseite eine konkludente Einwilligung darstellt!

 

Nun ist nach wie vor die mit dem Privacy-Shield-Urteil aufgetretene Problematik der „informierten“ Einwilligung damit leider noch nicht beseitigt, jedenfalls nicht in jedem Fall. Nachdem nämlich nun der Privacy-Shield nicht mehr wirksam ist, kann das Schutzniveau des Datentransfers nur noch über die sog. Standardvertragsklauseln der EU legitimiert werden. Der Bundesbeauftragte für den Datenschutz hat dazu jedoch mitgeteilt, dass eine Übermittlung von Daten in die USA nur dann über Standardvertragsklauseln begründet werden kann, wenn zusätzliche Maßnahmen getroffen werden, die das gleiche Datenschutzniveau wie in der Europäischen Union gewährleisten.

Eine „Orientierungshilfe“ dazu gibt es seitens des Landesbeauftragten für Datenschutz und Informationsfreiheit Baden-Württemberg (https://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2020/08/LfDI-BW-Orientierungshilfe-zu-Schrems-II.pdf):

Es muss im Zielland ein Schutzniveau für die personenbezogenen Daten

sichergestellt sein, das dem in der Europäischen Union entspricht. Der Verantwortliche (also der Webseitenbetreiber) muss für den Einzelfall prüfen, ob das Recht des Drittlandes ein angemessenes Schutzniveau bietet und entsprechende zusätzliche Maßnahmen treffen bzw. mit dem Datenimporteur vereinbaren. Wo der Verantwortliche auch mit zusätzlichen Maßnahmen keinen geeigneten Schutz vorsehen kann, muss er den Transfer aussetzen/beenden.

Das gilt insbesondere dann, wenn das Land Datenimporteurs (hier also beispielhaft USA) diesem Pflichten auferlegt, die den hier erforderlichen Schutz gegen den Zugriff von Behörden stören. Wenn also der Datenimporteur aufgrund eigener Pflichten gegenüber seinen Behörden (etwas weil er ihnen den Zugang zu den Daten ermöglichen muss) das Schutzniveau der EU nicht einhalten kann, ist der Transfer nicht erlaubt, sofern nicht andere Maßnahmen den Schutz gewährleisten.

Als Beispiel werden genannt:

  • Verschlüsselung, bei der nur der Datenexporteur den Schlüssel hat und die auch von US-Diensten nicht gebrochen werden kann
  • Anonymisierung oder Pseudonymisierung, bei der nur der Datenexporteur die Zuordnung vornehmen kann

 

Wenn Sie Daten in ein anderes Drittland übermitteln sollten Sie nach Ansicht des LfDI die Rechtslage in dem genannten Land überprüfen, insbesondere hinsichtlich der Zugriffsmöglichkeiten des Geheimdienstes und der dem Betroffenen zustehenden Rechte und Rechtsschutzmöglichkeiten und auch hier die genannten Ergänzungen der Garantien der Standardvertragsklauseln aufnehmen.

 

Der LfDI schlägt folgende Checkliste zur Abarbeitung vor, wobei Kontaktaufnahmen möglichst schriftlich festzuhalten sind, um gegebenenfalls bei einer Prüfung den Willen zur Einhaltung der DSGVO demonstrieren zu können:

 

–      Machen Sie eine Bestandsaufnahme machen: wo und wie exportieren Sie Daten in Drittländer? (darunter können auch Zugriffsmöglichkeiten von privaten oder öffentlichen Stellen in Drittstaaten auf bei Ihnen vorgehaltene Daten zählen, ein physischer Export der Daten ist also nicht erforderlich

 

–      Setzen Sie sich mit Ihrem Dienstleister/Vertragspartner im Drittland in Verbindung. Informieren Sie ihn über die EuGH Entscheidung und die Konsequenzen.

 

–      informieren Sie sich über die Rechtslage im Drittland (öffentliche Stellen wie die Datenschutz-Aufsichtsbehörden, der Europ. Datenschutz- Ausschuss (EDSA), die EU-Kommission oder das Auswärtige Amt sollten dazu Hilfestellungen geben können)

 

–      überprüfen Sie, ob es für das Drittland einen Angemessenheitsbeschluss nach Art. 45 DS-GVO gibt Für die USA wurde dieser nun für ungültig erklärt, aber für Argentinien, Kanada, Japan, Neuseeland oder die Schweiz besteht diese Möglichkeit z.B. noch, s. eine ausführliche Liste hier: https://ec.europa.eu/info/law/lawtopic/data-protection/international-dimension-data-protection/adequacydecisions_en ;ggfls. können Sie sich auch auf verbindliche interne Datenschutzvorschriften gemäß Artikel 47 (BCRs) berufen

 

–      überprüfen Sie, ob Sie die von der EU-Kommission beschlossenen Standardvertragsklauseln für das jeweilige Land nutzen können (Art. 46 Abs. 2c DS-GVO) – diese sind abrufbar unter https://eurlex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A32010D0087.

 

Hinweis:

Standardvertragsklauseln werden eher nicht nutzbar sein, wenn Behörden oder sonstige Stellen des Drittlandes in unverhältnismäßiger Art und Weise in die Rechte der betroffenen Personen eingreifen können (z.B. ein massenhafter Abruf von Daten ohne Information der Betroffenen und ohne verfahrensrechtliche Sicherungen wie einen Richtervorbehalt) und es keinen wirksamen Rechtsschutz für die Betroffenen gibt. Für die USA wurde dies vom EuGH verneint. Eine Übermittlung von Daten mithilfe der Standardvertragsklauseln ist in die USA daher nur in eng begrenzten Fällen mithilfe zusätzlicher Garantien (z.B. Verschlüsselung, s.o. etc.) möglich.

 

–      Überprüfen Sie, ob Sie die Daten mithilfe der Standardvertragsklauseln und zusätzlicher Garantien in das jeweilige Land übertragen können. Dies beinhaltet insbesondere die Überlegung, ob Sie die Übertragung bzw. den Zugriff durch andere relativ vermeiden können (Verschlüsselung, Vereinbarung, dass die Daten innerhalb des Geltungsbereichs der DSGVO gehostet werden oder dass keine Datenübertragung in die USA vorgenommen wird)

 

–      Um Ihren Willen zu einem rechtskonformen Handeln zu demonstrieren und zu dokumentieren, sollten Sie zudem Kontakt mit dem jeweiligen Empfänger der Daten aufnehmen und sich insbesondere über eine Änderung der Bestimmungen der Standardvertragsklauseln verständigen.

 

Gerne sind wir Ihnen dabei im Einzelnen behilflich.

 

Diese Ankündigung und die damit verbundenen notwendigen Schritte sind, gelinde gesagt, für den juristischen Laien nur sehr schwer umsetzbar. Die Empfehlungen halten wir für fernab jeglicher Praktikabilität, jedoch bieten sie immerhin einen Anhaltspunkt dafür, was mit „zusätzlichen Maßnahmen“ gemeint sein kann.

 

Das OLG Frankfurt am Main, Az.: 6 U 17/19 vom 02.07.2020 hat entschieden, dass die in Spielhallen durch Vorlage eines Lichtbildausweises und Abgleich mit der Sperrdatei vorgeschriebenen Zugangskontrollen keinen Verstoß gegen Vorschriften der DSGVO darstellen.

In einer wettbewerbsrechtlichen Streitigkeit wurde einem Spielhallenbetreiber vorgeworfen, dass er entgegen der gesetzlichen Vorgaben des Hessischen Spielhallengesetz keine ausreichenden Zugangskontrollen durch Vorlage eines Lichtbildausweises und Abgleich mit der Sperrdatei durchgeführt hat. Da keine Unterlassungserklärung abgegeben wurde, reichte der durch unsere Kanzlei vertretende  Verband Klage beim Landgericht Frankfurt am Main ein. Das Landgericht Frankfurt am Main verurteilte den Spielhallenbetreiber. Die hiergegen eingereichte Berufung blieb ohne Erfolg. In der Berufung verteidigte sich der Spielhallenbetreiber u.a. damit, dass die Regelungen des Hessisches Spielhallengesetz gegen höherrangiges Recht verstoßen würden. Das Oberlandesgericht konnte keine Verstöße feststellen, so auch keinen Verstoß gegen die Vorschriften der Datenschutzgrundverordnung. Das Gericht führt insoweit wie folgt aus:

„Sieht man in der vorgeschriebenen Identitätsfeststellung eine Erhebung und Verarbeitung personenbezogener Daten, enthalten die §§ 6,11 Hess. SpielhG eine hinreichende Rechtsgrundlage für diese Erhebung. Nach Art 6 Abs, 1 DSGVO ist die Verarbeitung rechtmäßig, wenn sie für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt. Nach Art 6 Abs, 2, Abs. 3 DSGVO können die Mitgliedstaaten die hierfür notwendigen Rechtsgrundlagen schaffen. Der Zweck der Verarbeitung muss in  dieser Rechtsgrundlage festgelegt werden. Nach §§ 6,11 Hess SpielhG sind die für eine Sperrung erforderlichen Daten zu verarbeiten. Der Zweck dieser Datenverarbeitung ergibt sich aus § 6 Abs. 1 S 1 Hess SpielhG. Danach wird das Sperrsystem zum Schutz der Spielerinnen und Spieler und zur Bekämpfung der Glücksspielsucht unterhalten.“

Weiter stellte das Oberlandesgericht Frankfurt am Main, das es sich bei den §§ 5, 6, 11 Hess SpielhG um Marktverhaltensregeln im Sinne des § 3a UWG handelt.

Nächste Seite »