Neues vom Gesetzgeber und aus der Rechtsprechung

EuGH-Urteil vom 20.9.2022: Deutsche Vorratsdatenspeicherung verstößt gegen EU-Recht

Auf Vorlage des Bundesverwaltungsgerichts hat der Europäische Gerichtshof mit Urteil vom 20.9.2022, Az. C-793/19 die deutsche Regelung zur anlasslosen Speicherung von Kundendaten durch Internetprovider und TK-Anbieter (zB IP-Adressen und Rufnummern) für den Zugriff von Behörden für unvereinbar mit europäischem Recht erklärt. Die bisherige Regelung des TKG, die die Betreiber öffentlich zugänglicher elektronischer Kommunikationsdienste insbesondere zur Verfolgung schwerer Straftaten oder zur Abwehr einer konkreten Gefahr für die nationale Sicherheit zu einer allgemeinen und unterschiedslosen Vorratsspeicherung eines Großteils der Verkehrs- und Standortdaten der Endnutzer dieser Dienste für eine Dauer von mehreren Wochen verpflichtet, ist damit nicht länger haltbar. Damit hat der EuGH erneut bestätigt, dass das Unionsrecht einer allgemeinen und unterschiedslosen Vorratsspeicherung von Verkehrs- und Standortdaten entgegensteht, es sei denn, es liegt eine ernste Bedrohung für die nationale Sicherheit vor. Zur Bekämpfung schwerer Kriminalität könnten die Mitgliedstaaten jedoch unter strikter Beachtung des Grundsatzes der Verhältnismäßigkeit eine gezielte Vorratsspeicherung und/oder umgehende Sicherung solcher Daten sowie eine allgemeine und unterschiedslose Speicherung von IP-Adressen vorsehen.

 

Transatlantisches Datenschutzabkommen: Ankündigung von EU und USA am 25.3.2022

Am 25.3.2022 haben Ursula von der Leyen und Joe Biden ihre Einigung auf ein „Trans-Atlantic Data Privacy Framework“ angekündigt. Damit wollen EU und USA wieder vertrauenswürdige Datenflüsse zwischen Europa und Amerika ermöglichen, nachdem der Privacy Shield in Folge des EuGH-Urteils nicht mehr funktionierte und die seither eingesetzten Standardvertragsklauseln als unzureichend bewertet werden. Wie die konkrete Regelung aussieht, ist noch unklar. Der Zugang von US-Geheimdiensten zu Daten soll jedoch durch verbindliche Sicherheitsmechanismen eingeschränkt werden. EU-Bürgern soll ermöglicht werden, sich über unbefugten Zugriff auf ihre Daten wirkungsvoll zu beschweren. Dies soll im Rahmen eines 2-stufigen Rechtsbehelfssystems auch durch ein unabhängiges Datenschutzüberprüfungsgericht abgesichert werden.

 

EuGH-Urteil vom 16.7.2020: Privacy-Shield ist unwirksam

Mit seinem Urteil vom 16.7.2020, Az. C 311/18, hat das höchste europäische Gericht, der EuGH, den bis dahin auf der Grundlage des sog. Privacy Shields möglichen Austausch von personenbezogenen Daten zwischen Europa und den USA für unzulässig erklärt. Dies wird damit begründet, dass die Daten von Verbrauchern und Unternehmen in Europa auf den Servern von US-Firmen nicht vor dem Zugriff von Regierungsbehörden und Geheimdiensten der USA geschützt sind. Ein Transfer von Daten in die USA und damit auch die Nutzung der von US-Firmen weltweit zur Verfügung gestellten Serverkapazitäten ist nach dem Urteil nur noch zulässig auf der Grundlage der von der EU erarbeiteten sog. Standard-Vertragsklauseln. Bei der diesbezüglichen Vertragsgestaltung sind wir Ihnen gerne behilflich.

  • Der Landesbeauftragte für Datenschutz in Baden-Württemberg hat nach Mitteilung vom 21.9.2022 gegen ein Bauträgerunternehmen und einen Vermessungsingenieur wegen rechtswidriger Datenerhebung und –weitergabe und Verstößen gegen die Informationspflichten Geldbußen in Höhe von 50.000 Euro und 5.000 Euro verhängt. Ein Grundstückseigentümer hatte ein Schreiben eines Bauträgers erhalten, in dem ihm ein Kaufpreisangebot für sein Grundstück unterbreitet wurde. Eine Information über die Herkunft seiner Daten enthielt das Schreiben nicht. Die Bußgeldstelle beim Landesbeauftragten ermittelte anschließend, dass ein Vermessungsingenieur von seiner Befugnis zur Einsichtnahme in das elektronische Grundbuch im automatisierten Abrufverfahren Gebrauch gemacht und in zwei Fällen mehrere Hundert Grundstückseigentümer ohne deren Kenntnis identifiziert und die entsprechenden Informationen an einen Bauträger weitergegeben hatte. Dieser wiederum schrieb die so ermittelten Eigentümer mit einem Kaufpreisangebot für deren Grundstücke an, ohne die notwendigen Informationen nach Art. 14 DS-GVO zu erteilen, insbesondere ohne über die Herkunft der Daten zu informieren.
  • Der Landesbeauftragte für den Datenschutz Niedersachsen informierte am 28.07.2022 darüber, dass er gegen ein Kreditinstitut eine Geldbuße in Höhe von 900.000 EURO festgesetzt habe. Grund für die Geldbuße war das Vorgehen des Kreditinstituts, das Daten von Kunden über deren digitales Nutzungsverhalten, u.a. über Einkäufe in App-Stores, die Häufigkeit der Nutzung von Kontoauszugsdruckern sowie die Gesamthöhe von Überweisungen im Online-Banking im Vergleich zur Nutzung des Filialangebotes ohne deren Einwilligung mit Hilfe eines Dienstleisters ausgewertet habe. Das Kreditinstitut beabsichtigte mit diesem Vorgehen, die Kunden für werbliche Zwecke verstärkt auf elektronischen Kommunikationswegen anzusprechen. Der Landesbeauftragte für den Datenschutz Niedersachsen sah für diese Nutzung der personenbezogenen Daten durch das Kreditinstitut keine berechtigten Interessen gemäß Art. 6 Abs. 1 lit. f) DSGVO. Und da keine Einwilligung der Kunden nach Art. 6 Abs. 1 lit. a) DSGVO vorlag war dieses Vorgehen rechtswidrig und mit einem angemessenen Bußgeld zu ahnden.
  • Der Landesdatenschutzbeauftragte von Bremen hat am 04.03.2022 gegen das Wohnungsverwaltungsunternehmen BREBAU GmbH eine Geldbuße nach Art. 83 DSGVO in Höhe von 1,9 Mio. Euro verhängt, weil dort mehr als 9.500 Daten von Mietinteressenten, darunter in mehr als der Hälfte der Fälle auch besonders sensible Daten ohne Rechtsgrundlage verarbeitet wurden.
  • Die französische Datenschutzaufsichtsbehörde hat mit Entscheidungen vom 31.12.2021 verdeutlicht, welche Risiken Webseitenbetreiber eingehen, wenn keine korrekten Cookie-Einwilligungsmechanismen verwendet werden. Sie verhängte gegen zwei Google-Gesellschaften Bußgelder in Höhe von insgesamt 150 Mio. Euro und gab diesen auf, innerhalb einer Frist von drei Monaten einen Mechanismus einzurichten, der die Ablehnung von Cookies genau so einfach ermöglicht, wie die Einwilligung zu deren Nutzung. Sollte dies bis zum Fristablauf nicht umgesetzt sein, wird ein Zwangsgeld in Höhe von 100.000 Euro für jeden weiteren Tag der Zuwiderhandlung fällig. Am gleichen Tag wurde durch die Behörde auch ein weiteres Bußgeld in Höhe von 60 Mio. Euro gegen Facebook Ireland Ltd. verhängt, ebenfalls wegen mangelhafter Umsetzung der Vorgaben für eine rechtskonforme Nutzung von Cookies.
  • Der Stromanbieter Vattenfall Europe Sales GmbH hat zwischen August 2018 und Dezember 2019 bei Vertragsanfragen für Sonderverträge, die mit besonderen Bonuszahlungen verbunden waren, routinemäßig anhand früherer Rechnungen überprüft, ob die Kundinnen und Kunden ein “wechselauffälliges Verhalten” zeigten. Dies sei ein Verstoß gegen die datenschutzrechtlichen Transparenzpflichten, stellte der Datenschutzbeauftragte von Hamburg in seiner Mitteilung vom 24.9.2021 fest und verhängte gegen Vattenfall ein Bußgeld in Höhe von rund 901.000 Euro. Der Bescheid ist rechtskräftig.
  • Am 4.10.2021 musste die Amazon Europe Core S.á.r. l. ein Bußgeld iHv 746 Mio. EUR entrichten, das von der luxemburgischen Datenschutzbehörde am 16.7.2021 verhängt worden war. Es handelt sich dabei um die höchste Strafe, die seit Inkrafttreten der DS-GVO im Jahr 2018 verhängt wurde. Amazon wird vorgeworfen, mit Hilfe von Werbe-Targeting personenbezogene Daten genutzt zu haben, um ohne die Einwilligung der Betroffenen personalisierte Werbung zu schalten.
  • Laut einer Mitteilung vom 10.3.2021 hat der baden-württembergische Landesbeauftragte für den Datenschutz und die Informationsfreiheit (LfDI), Stefan Brink, gegen die VfB Stuttgart 1893 AG ein Bußgeld in Höhe von 300.000 Euro wegen fahrlässiger Verletzung der datenschutzrechtlichen Rechenschaftspflicht gemäß Art. 5 Abs. 2 DS-GVO erlassen.
  • Mit Bußgeldbescheid v. 27.11.2019 verhängte der BfDI gegen einen deutschen TK-Dienstleister wegen eines grob fahrlässigen Verstoßes gegen Art. 32 DS-GVO ein Bußgeld i.H.v. 9.550.000 EUR. Zur Begründung führte er aus, durch die bloße Abfrage von Namen und Geburtsdatum zur Authentifizierung von Telefonanrufern bzw. Dritten sei kein angemessenes Schutzniveau nach Maßgabe des Art. 32 DS-GVO gewährleistet. Das Landgericht Bonn (Az. 29 OWi 1/20) hat das Bußgeld mit Urteil vom 11.11.2020 auf 900.000 EUR wegen des Verstoßes gegen die Verpflichtung, durch geeignete technische und organisatorische Maßnahmen ein angemessenes Schutzniveau für personenbezogene Daten zu gewährleistenreduziert.
  • Mit einem Urteil vom 13.01.2022 hat das Arbeitsgericht Aachen (Az.: 8 Ca 1229/20) entschieden, dass derjenige, der den Schutz des Geschäftsgeheimnisgesetzes in Anspruch nehmen möchte, im Einzelnen und bezogen auf konkrete Informationen darlegen und ggf. beweisen muss, welche Schutzmaßnahme er zur Geheimhaltung dieser Informationen ergriffen hat. Eine nur allgemein gehaltene arbeitsvertragliche Regelung, die sich auf alle während des Arbeitsverhältnisses erhaltenen betrieblichen Informationen erstreckt (sogenannte Catch-all-Klausel) ist keine angemessene Geheimhaltungsmaßnahme im Sinne von § 2 Nr. 1b Geschäftsgeheimnisgesetz. Es bedarf hierfür vielmehr einer konkreten und transparenten Regelung.
  • Das Oberlandesgericht Dresden hat mit einem Beschluss vom 3.2.2021 (Az. 4 W 935/20) den prozessualen Schutz von Geschäftsgeheimnissen konkretisiert.
  • Das Oberlandesgericht Stuttgart hat in einem Urteil vom 19.11.2020 (Az. 2 U 575/19) erforderliche Mindeststandards für den Schutz von Geschäftsgeheimnissen definiert.
  • Das Landesarbeitsgericht Düsseldorf hat die Kundenlisten mit Kundendaten und Absatzmengen eines Unternehmens als Geschäftsgeheimnisse eingestuft und im Urteil vom 3.6.2020 (Az. 12 SaGa 4/20) festgelegt, unter welchen Voraussetzungen es Arbeitnehmern verboten ist, diese selbst zu nutzen.