DSGVO: Urteile und News zum Datenschutzrecht

29.02.2024, Redaktion Anwalt-Suchservice / Lesedauer ca. 27 Min. (1664 mal gelesen)
DSGVO Immer aktuell informiert mit unserem News Ticker zur DSGVO © Bu - Anwalt-Suchservice
Das Wichtigste in Kürze

1. Datenschutz-Grundlagen: Die Datenschutz-Grundverordnung (DSGVO) ist ein EU-Gesetz, das den Schutz personenbezogener Daten vereinheitlicht und stärkt. Sie verpflichtet Unternehmen und Organisationen zur transparenten Handhabung, Speicherung und Verarbeitung dieser Daten.

2. Rechte der Betroffenen: Die DSGVO stärkt die Rechte von Einzelpersonen im Hinblick auf ihre eigenen Daten. Dazu gehören das Recht auf Zugang, Berichtigung, Löschung ("Recht auf Vergessenwerden") und Datenübertragbarkeit.

3. Sanktionen: Bei Verstößen gegen die DSGVO drohen Unternehmen und Organisationen empfindliche Strafen, die bis zu 4% ihres weltweiten Jahresumsatzes oder 20 Millionen Euro betragen können, je nachdem, welcher Betrag höher ist.
DSGVO - Chronologie der wichtigsten Ereignisse

+++ 23. Januar 2024 +++
Eine Online-Versandapotheke hat gegen die Niedersächsische Datenschutzbehörde geklagt. Diese hatte beanstandet, dass das Unternehmen bei Bestellungen das konkrete Geburtsdatum der Kunden abfragte, statt allgemein nach der Volljährigkeit zu fragen. Das Oberverwaltungsgericht Lüneburg stellte sich auf die Seite der Datenschützer. Es sei für die Vertragsdurchführung nicht notwendig, das konkrete Geburtsdatum abzufragen. Das Argument, dass das Geburtsdatum zur zweifelsfreien Identifizierung des Kunden diene, um Patienten vor Schäden etwa durch Wechselwirkungen zu schützen, sei nicht stichhaltig: Die Bestellung könne ja jederzeit von jemand anderem als dem Patienten selbst aufgegeben werden. Auch hatte das Unternehmen erklärt, das Geburtsdatum zu benötigen, weil man für jeden Kunden ein Arzneimitteldossier anlege. Es sei jedoch zweifelhaft, ob so etwas überhaupt zulässig sei. Zur Erfüllung von Informations- und Beratungspflichten sei es jedenfalls ungeeignet. Die Klägerin habe nicht erklärt, warum man überhaupt das Geburtsdatum zur Identifizierung etwa bei Namensgleichheit brauche - immerhin lägen dem Versandunternehmen bereits die Anschrift und die Telefonnummer des Bestellers vor. Hier sei - als milderes Mittel im Rahmen der Verhältnismäßigkeit - eine Frage nach der Volljährigkeit ausreichend. Versandapotheken dürfen demnach nicht nach dem Geburtsdatum fragen (OVG Lüneburg, Beschluss vom 23.1.2024, Az. 14 LA 1/24).

+++ 23. Januar 2024 +++
Die französische Datenschutzbehörde hat ein Bußgeld in Höhe von 32 Millionen Euro gegen Amazon France verhängt. Dabei ging es um Datenschutzverstöße gegenüber den eigenen Mitarbeitern. Diese arbeiten mit einem Scanner, der erledigte Tätigkeiten in Echtzeit aufzeichnet. Dabei wurden auch Arbeitsunterbrechungen unter zehn Minuten erfasst. Diese Daten wiederum fasste das Unternehmen zu Indikatoren über die Mitarbeiterproduktivität zusammen, die dann 31 Tage gespeichert wurden. Die Behörde sah die minutengenaue Aufzeichnung jeder Arbeitsunterbrechung als nicht gerechtfertigt und als unnötig an. Durch die intensive Überwachung würden die Mitarbeiter zu sehr unter Druck gesetzt. Die Behörde bemängelte außerdem, dass Zeitarbeitskräfte bis 2020 nicht ausreichend über die datensammelnden Scanner und die Verwendung der Daten informiert worden seien. Die Beschäftigten in den Lagerhäusern seien außerdem nicht ausreichend über die Videoüberwachung am Arbeitsplatz informiert worden. Obendrein seien die Videoaufzeichnungen nicht ausreichend vor unbefugtem Zugriff geschützt worden.

+++ 5. Dezember 2023 +++
Der Europäische Gerichtshof hat wichtige Grundsatzfragen zu DSGVO-Bußgeldern gegen Unternehmen entschieden. Diese waren ihm vom Kammergericht Berlin vorgelegt worden. Es ging dabei um ein Bußgeldverfahren gegen die Deutsche Wohnen SE. Gegen diese war ein Bußgeldbescheid in Höhe von 14,5 Millionen Euro ergangen, weil sie Mieterdaten unzulässig lange aufbewahrte und keine Vorkehrungen zu deren Löschung getroffen hatte. Dies ist unzulässig, da solche Daen nur so lange aufbewahrt werden dürfen, wie man sie für den Vertragszweck benötigt. Betroffen waren unter anderem Identitätsnachweise, Angaben über Vormietverhältnisse, Steuer-, Sozial- und Krankenversicherungsdaten. Das Landgericht Berlin hatte jedoch das Bußgeldverfahren eingestellt. Datenschutzbehörde und Staatsanwaltschaft legten Rechtsmittel ein.
Der EuGH stellte in seiner Entscheidung klar: 1. Ein Unternehmen kann auch dann unmittelbarer Adressat eines Bußgeldbescheides sein, wenn der Verstoß keiner natürlichen Person zugeordnet werden kann. 2. Der Verstoß muss jedoch schuldhaft erfolgt sein, also vorsätzlich oder fahrlässig. Der Verstoß allein reicht nicht für ein Bußgeld aus. Die Unternehmensleitung muss davon nicht zwingend gewusst haben.
Diese Entscheidung wird dazu führen, dass Datenschutzbehörden künftig die Schuldfrage bei ihren Bußgeldbescheiden stärker beachten und begründen müssen (5.12.2023, Az. C‑807/21).

+++ 22. November 2023 +++
Derzeit rollt eine Klagewelle gegen den Facebook-Mutterkonzern Meta wegen eines Datenlecks im Jahr 2021. Damals waren 553 Millionen Datensätze von Facebook-Nutzern gestohlen und im Darknet veröffentlicht worden, wo sie zum Teil genutzt wurden, um die Nutzer gezielt mit Betrugsversuchen oder Spam-Versand anzusprechen. Bei den Daten handelte es sich um vollständige Nutzernamen, Geburtsdaten, E-Mail-Adressen, Telefonnummern, zum Teil um den Beziehungsstatus. Einem EuGH-Urteil vom 4. Mai 2023 zufolge kann nun auch bei geringfügigen und sogar bei nicht materiellen Schäden Schadensersatz verlangt werden. Das Oberlandesgericht Stuttgart hat jedoch heute zwei Klagen auf Schadensersatz abgewiesen. Denn: Es sei keine "spürbare immaterielle Beeinträchtigung" der Nutzerinnen und Nutzer feststellbar. Bloße Unannehmlichkeiten und ein Kontrollverlust über die eigenen Daten seien keine für eine Haftung ausreichende Beeinträchtigung (Urteil vom 22.11.2023, Az. 4 U 17/23). Zum Teil erfolgreich war jedoch die zweite Klage, hier stellte das Gericht eine mögliche Ersatzpflicht für künftige Schäden fest. Dabei ging es um das Kontakt-Import-Tool, welches aus Sicht des Klägers keine ausreichenden technischen und organisatorischen Maßnahmen vorgesehen habe, um eine Sicherheit der personenbezogenen Daten zu gewährleisten. Dieses habe Unbefugten Zugriff auf seine Telefonnummer ermöglicht, die nun jedem im Darknet für künftige Straftaten zugänglich sei (Urteil vom 22.11.2023, Az. 4 U 20/23).

Welche Auswirkungen die beiden OLG-Urteile haben, bleibt abzuwarten. Die Rechtsprechung war bisher nicht einheitlich. In vielen Fällen haben Nutzer auch schon einen Schadensersatz zugesprochen bekommen, zum Teil einen pauschalen Betrag von 1.000 Euro. Vom Datenleck bei Facebook sind 6 Millionen Deutsche betroffen, ein weiteres großes Datenleck betrifft Nutzer von Deezer.

+++ 12. Oktober 2023 +++
Wer in der S-Bahn durch eine Überwachungskamera gefilmt wird, hat keinen DSGVO-Auskunftsanspruch auf eine Kopie der gesammelten Daten bzw. der Aufnahmen. Dies hat das Verwaltungsgericht Berlin entschieden. In Berliner S-Bahn-Zügen erfolgt eine Videoaufzeichnung, die nach 48 Stunden gelöscht wird. Ein Fahrgast verlangte vom Bahnunternehmen Auskunft nach Art. 15 DSGVO. Dieses weigerte sich jedoch und löschte nach 48 Stunden die Aufnahmen. Das Berliner Amtsgericht Pankow wies die Schadensersatzklage des Kunden ab: Eine solche Auskunftserteilung sei nicht zumutbar gewesen. Der Fahrgast beschwerte sich daraufhin bei der Datenschutzbehörde, die eine Verwarnung aussprach. Dagegen klagte das Bahnunternehmen vor dem Verwaltungsgericht. Das Gericht sah die Verwarnung als rechtswidrig an: Der Fahrgast habe unter keinem Gesichtspunkt einen Auskunftsanspruch gehabt. So habe er nicht beweisen können, dass auf dem fraglichen Videomaterial überhaupt Aufnahmen von ihm zu sehen seien und er demnach "Betroffener" im Sinne der DSGVO sei. Auch müsse das Bahnunternehmen verhindern, dass unberechtigte Personen Videoaufnahmen von anderen Passagieren erhielten - sonst könne jeder mit Datum und Uhrzeit und Personenbeschreibung Videos auch über Fremde herausverlangen. Im Übrigen sei der mit der Auskunftserteilung verbundene Aufwand hier für das Bahnunternehmen unzumutbar gewesen. Das Auskunftsinteresse des Klägers sei hier gering: Schließlich habe er genau gewusst, welche Daten in welchem Umfang von ihm erhoben wurden (VG Berlin, Urteil vom 12.10.2023, Az. VG 1 K 561/21).

+++ 15. September 2023 +++
Die irische Datenschutzkommission DPC hat eine Geldbuße von 345 Millionen Euro gegen den Onlinedienst TikTok verhängt. Dessen europäische Hauptniederlassung befindet sich in Irland. TikTok hat nach Ansicht der Datenschützer insbesondere beim Umgang mit Daten von Minderjährigen gegen die DSGVO verstoßen. So sei die Altersüberprüfung bei der Anmeldung unzureichend gewesen. Auch habe eine Voreinstellung dazu geführt, dass Beiträge von Nutzern zwischen 13 und 17 Jahren für alle sichtbar veröffentlicht wurden. Profile von Minderjährigen seien darüber hinaus so voreingestellt gewesen, dass jeder ihre Posts kommentieren konnte. TikTok erklärte in einer Reaktion, dass sich diese Kritikpunkte auf Voreinstellungen von vor drei Jahren bezögen. Die meisten gerügten Verstöße seien nicht mehr relevant. Inzwischen habe man alle Konten von Nutzern unter 16 Jahren standardmäßig auf privat gesetzt. Daher finde man das Bußgeld zu hoch.

+++ 2. August 2023 +++
Die Berliner Datenschutzbehörde hat ein Bußgeld in Höhe von insgesamt 215.000 Euro gegen die Humboldt Forum Service GmbH verhängt, welche für Besucherservice und Bewachung zuständig ist. In dem Unternehmen war eine Liste aller Mitarbeiter in der Probezeit geführt worden, in der auch Bezüge auf Erkrankungen, die Inanspruchnahme von Psychotherapie oder Interesse an der Gründung eines Betriebsrates erwähnt wurden. Die Weiterbeschäftigung der so beschriebenen Personen wurde in der Liste als "kritisch" oder "sehr kritisch" eingestuft. Das Bußgeld wurde von der Datenschutzbehörde damit begründet, dass Daten, die zur Beurteilung einer Weiterbeschäftigung von Mitarbeitern genutzt werden, nur Rückschlüsse auf Verhalten oder Leistung zulassen dürfen, die unmittelbar im Zusammenhang mit dem Beschäftigungsverhältnis stehen. Dies sei hier nicht der Fall gewesen. Teilbußgelder wurden auch verhängt, weil die Datenschutzbeauftragte des Unternehmens nicht an der Erstellung der Liste beteiligt worden war, weil diese nicht im Verarbeitungsverzeichnis erwähnt wurde sowie wegen verspäteter Meldung einer Datenpanne.

+++ 25. Mai 2023 +++
Heute hat die DSGVO ihren fünften Geburtstag. Sie wurde häufig geschmäht und verdammt. Allerdings zeigen die hier beschriebenen Fälle, dass sensible Daten von Bürgern oft nicht genug geschützt oder sogar bewusst an Unbefugte weitergegeben werden - nicht selten aus Gewinnstreben. Die DSGVO ermöglicht Bußgelder, die auch großen Unternehmen irgendwann wehtun, sodass diese nicht einfach schweigend in Kauf genommen werden. Auch dies führt leider nicht immer zu Veränderungen (siehe Facebook).

+++ 22. Mai 2023 +++
Die irische Datenschutzbehörde hat auf Druck des Europäischen Datenschutzausschusses (EDSA) gegen die Facebook-Mutter Meta ein Rekord-Bußgeld von 1,2 Milliarden Euro verhängt. Grund war die Beteiligung an der Massenüberwachung von Nutzern durch US-Geheimdienste. Diese war ursprünglich von Edward Snowden aufgedeckt worden. Allerdings hat sich in den vergangenen zehn Jahren weder an den US-Gesetzen, noch an den Vorgehensweisen von Facebook irgendetwas geändert. In diesem Verfahren ging es nur um Facebook und nicht um andere Meta-Unternehmen. Die Datenschutzbehörde forderte außerdem, dass Facebook in Zukunft jede Übermittlung von Daten europäischer Nutzer in die USA unterlassen soll, wo sie von Geheimdiensten ungehindert ausgewertet werden. Noch ist nicht bekannt, ob Meta Rechtsmittel gegen das Bußgeld einlegen wird. Allerdings dürfte davon wohl auszugehen sein. Bisher lag das höchste je ausgesprochene Bußgeld wegen Verstößen gegen die DSGVO bei 746 Millionen Euro (Amazon).

+++ 4. Mai 2023 +++
Der Europäische Gerichtshof hat entschieden, dass durch DSGVO-Verstöße geschädigte Nutzer (z. B. bei Datenlecks) auch bei geringen Schäden immer einen Anspruch auf Schadensersatz haben. Eine sogenannte "Erheblichkeitsschwelle" existiere nicht. Das Unternehmen, bei dem die Daten verloren gegangen seien, müsse Schadensersatz leisten. Dies kann auch ein immaterieller Schaden sein. In dem Fall ging es um die österreichische Post. Diese hatte aus soziologischen und demografischen Daten Schlüsse auf die politische Ausrichtung von Postkunden gezogen und Werbekunden eine gezielte Ansprache dieser Kunden ermöglicht (EuGH, Urteil vom 4.5.2023, Az. C-300/21).

+++ 4. Mai 2023 +++
Der Europäische Gerichtshof hat entschieden: Das in der DSGVO verankerte Recht von Bürgern, eine "Kopie" ihrer gespeicherten Daten zu erhalten, bedeutet: Der betroffenen Person muss eine verständliche und originalgetreue Version aller ihrer gespeicherten Daten übergeben werden. Nicht ausreichend sind aggregierte, also pseudonymisierte Daten oder tabellarische Auflistungen. Es müssen daher grundsätzlich auch Kopien von Dokumenten oder E-Mails zur Verfügung gestellt werden (PM vom 4. Mai 2023, Az. C-487/21).

+++ 8. Februar 2023 +++
Auch das Amtsgericht München hat zum Thema "Daten-Scraping bei Facebook" entschieden. Hier hatte ein Facebook-Nutzer die Plattform verklagt, weil seine Daten, darunter seine nicht öffentliche Telefonnummer, von Dritten "abgefischt" worden waren. Er verlangte Schadensersatz nach der DSGVO. Das Gericht wies die Klage jedoch ab: Hier sei kein Schaden entstanden. Ein leichtes Unbehagen wegen der Möglichkeit, dass Unbekannte ihn mit anonymen Anrufen belästigen könnten, reiche nicht aus. Der Kläger sei noch Mitglied in fünf weiteren sozialen Netzwerken, habe nach dem Vorfall weder seine Telefonnummer noch seine Accounteinstellungen geändert und selbst betont, dass er sich über den Vorfall kaum aufrege. Es sei nicht zu einer spürbaren Beeinträchtigung gekommen, die einen Schadensersatz rechtfertige (AG München, Urteil vom 8.2.2023, Az. 178 C 13527/22).

+++ 12. Januar 2023 +++
Das Amtsgericht Waldbröl hat sich mit dem sogenannten Daten-Scraping bei Facebook befasst. Unter Daten-Scraping versteht man das Abgreifen öffentlich zugänglicher, personenbezogener Daten auf Social-Media-Plattformen durch Dritte, meist, um diese kommerziell zu nutzen. Der Facebook-Nutzer forderte Schadensersatz nach Art. 82 Abs. 1 DSGVO von Facebook, da dieses den Datenschutzverstoß ermöglicht habe. Das Gericht wies die Klage ab. Ein solcher Schadensersatzanspruch erfordere den Nachweis eines konkreten, immateriellen Schadens. Es reiche nicht aus, sich über einen Rechtsverstoß zu ärgern. Der Kläger hatte vorgetragen, dass er nach dem Vorfall Angst vor einem Missbrauch seiner Daten gehabt habe. Das Gericht hielt dies für unwahrscheinlich, da alle Daten ohnehin öffentlich zugänglich gewesen seien. Auch habe er sein Facebook-Profil anschließend nicht geändert oder gelöscht. Dies wäre aber die normale Reaktion, wenn sich jemand wirklich Sorgen um seine Daten mache. Der Kläger habe hier keinen Schaden erlitten (AG Waldbröl, Urteil vom 12.1.2023, Az. 3 C 100/22). Anmerkung: Gibt es Anzeichen dafür, dass ein Betroffener nach einem Datenklau tatsächlich Angst hatte, sich womöglich deshalb aus Social Media zurückgezogen hat und psychische Belastungen empfunden hat - oder gar tatsächliche anonyme Anrufe - kann das Ergebnis durchaus anders aussehen.

+++ 5. Januar 2023 +++
Die irische Datenschutzbehörde hat dem Konzern Meta ein Bußgeld von 390 Millionen Euro auferlegt. Grund waren Verstöße der Plattformen Facebook und Instagram gegen die DSGVO. Die irische Behörde wurde erst auf Druck des Europäischen Datenschutzausschusses tätig. Meta hatte für die Verwendung personenbezogener Kundendaten zum Ausspielen persönlich zugeschnittener Werbung keine Erlaubnis der Nutzer eingeholt, sondern schlicht in den Nutzungsbedingungen festgelegt, dass dies nicht nötig sei. Aus Sicht der Behörde werden die Nutzer so dazu gedrängt, sich in die Verwendung ihrer Daten zu fügen, da sie ansonsten die Dienste der Plattform nicht nutzen können. Die Behörde hielt Meta ferner dazu an, diese Praxis der Datenverwendung innerhalb einer Frist von drei Monaten zu ändern. Meta kündigte Rechtsmittel an.

+++ 30. November 2022 +++
Das Verwaltungsgericht Hannover hat entschieden, dass die Selbstständige evangelisch-lutherische Kirche (SELK), eine altkonfessionelle Kirchengemeinschaft mit 32.000 Mitgliedern, sich an die DSGVO halten muss und keine eigene Datenschutzbehörde betreiben darf. Die Religionsgemeinschaft stünde unter der Aufsicht der niedersächsischen Datenschutzbehörde. Ihre eigenen Datenschutzregeln bei Einführung der DSGVO seien "rudimentär" gewesen. Ein Verstoß gegen das EU-Recht liege nicht vor: Nach der ständigen Rechtsprechung des europäischen Gerichtshofes stelle die Anwendung der Vorschriften des Unionsrechts über den Datenschutz keinen Eingriff in die organisatorische Autonomie der Religionsgemeinschaften, Art. 17 AEUV, dar (VG Hannover, Urteil vom 30.11.2022, Az. 10 A 1195/21).

+++ 28. November 2022 +++
Die irische Datenschutzbehörde hat ein Bußgeld in Höhe von 265 Millionen Euro gegen die Facebook-Muttergesellschaft Meta verhängt. Grund ist die Veröffentlichung der Daten von 533 Millionen Facebook-Nutzern in Hacker-Foren. Dies betraf Namen, Telefonnummern und E-Mail-Adressen der Nutzer. Die öffentlich zugänglichen Daten waren abgeschöpft (scraped) und dann online gestellt worden. Gehackt worden war in diesem Fall nicht. Die Entscheidung war mit den Datenschutz-Behörden der anderen EU-Staaten abgestimmt und stellt das vierte hohe Bußgeld gegen den Konzern in Irland innerhalb von einem Jahr dar. Meta will den Fall prüfen und ggf. Rechtsmittel einlegen.

+++ 20. Oktober 2022 +++
Der Europäische Gerichtshof hat bestätigt, dass es illegal ist, Daten von Kunden in einer Testdatenbank zu speichern und dort zu belassen, nachdem die Testläufe beendet sind. Es ging um einen Fall aus Ungarn, in dem der dortige Internet- und TV-Anbieter Digi nach technischen Problemen seine Abläufe verbessern wollte. Dazu übertrug man die Daten von 322.000 Kunden in eine besondere Testdatenbank und führte Tests durch. 18 Monate nach deren Beendigung meldete ein "ethischer Hacker" der Datenschutzbehörde, dass er sich Zugriff auf diese Datensätze habe verschaffen können. Diese seien ohne die erforderliche Zweckbindung weiterhin gespeichert. Die Behörde erlegte dem Unternehmen ein Bußgeld von 248.000 Euro auf. Dieses ging gerichtlich dagegen vor. Der EuGH bestätigte die Ansicht des ungarischen Gerichts: Persönliche Daten speichern ohne Sinn und Zweck ist ein Verstoß gegen die DSGVO (Urteil vom 20. Oktober 2022, Az. C‑77/21).

+++ 6. Oktober 2022 +++
Die italienische Datenschutzbehörde hat gegen den Betreiber der audio-basierten Social-Media-App Clubhouse ein Bußgeld von zwei Millionen Euro verhängt. Bemängelt wurden:
Fehlende Transparenz bei der Datenverwendung, Speicherung und Teilen von Audio-Aufnahmen ohne Zustimmung der anderen betroffenen Personen, Profilerstellung und Datenweitergabe ohne ausreichende Rechtsgrundlage und unklare Speicherdauer. Eine weitere derartige Datennutzung wurde untersagt. Auch in Deutschland laufen offenbar Untersuchungen der Datenschutzbehörden gegen Clubhouse.

+++ 28. Juli 2022 +++
Der Datenschutzbeauftragte von Niedersachsen hat ein Bußgeld in Höhe von 900.000 Euro gegen ein Geldinstitut verhängt, das in unzulässiger Weise Profile über seine Kunden angefertigt hatte. Dabei waren Daten aktiver und früherer Kunden zu Werbezwecken ausgewertet worden. Analysiert wurden das digitale Nutzungsverhalten, das Volumen der Einkäufe in App-Stores, die Häufigkeit der Nutzung von Kontoauszugsdruckern und die Gesamthöhe der Überweisungen im Online-Banking. Ziel war es, besonders internetaffine Kunden zu identifizieren, die man dann verstärkt online mit Werbemitteln ansprechen wollte. Das Geldinstitut führte die Auswertung nicht selbst durch, sondern beauftragte dafür auch noch einen externen Dienstleister, der die Daten erhielt. Obendrein wurde eine Prüfung der Daten durch eine Wirtschaftsauskunftei durchgeführt, die weitere Daten zu den Kunden ergänzte.
Die Datenschutzbehörde wies darauf hin, dass Art. 6 Abs. 1 f.) DSGVO - berechtigtes Interesse - keine Rechtsgrundlage für ein solches Vorgehen sei. Würden auf diese Weise Daten für Werbezwecke ausgewertet, falle die erforderliche Interessenabwägung zugunsten der betroffenen Personen, also der Kunden, aus.

+++ 27. Juli 2022 +++
Wegen Verstößen gegen Datenschutzregeln beim Test von Assistenzsystemen muss Volkswagen ein Bußgeld in Höhe von 1,1 Millionen Euro zahlen. Das verwendete Testfahrzeug hatte seine Umgebung aufgenommen. Mit den Daten sollten Funktionen zur Vorbeugung von Unfällen trainiert und erprobt werden. Zudem fehlten ein detaillierter Vertrag mit dem eingesetzten Dienstleister sowie eine "Datenschutz-Folgenabschätzung" mit Risikoabwägung. Überdies sind auch Dokumentationspflichten zu der Frage nicht vollständig erfüllt worden, welche "technischen und organisatorischen Schutzmaßnahmen" bei der Verarbeitung der Daten um den Wagen herum getroffen wurden. Volkswagen hat den Sachverhalt und die Annahme des Bußgeldbescheids bestätigt.

+++ 26. Juli 2022 +++
Kleinere Unternehmen und Handwerksbetriebe erhalten derzeit verstärkt "Abmahnungen" von Privatpersonen, in denen ein Schadensersatz von 100 Euro wegen eines DSGVO-Verstoßes gefordert wird. Der Vorwurf bezieht sich auf die Nutzung von Schriftarten aus der Datenbank Google Fonts für Webseiten. Betriebe können diese Schriftarten kostenfrei nutzen. Rufen Nutzer dann die mit Google Fonts gestaltete Webseite auf, wird die Schriftart heruntergeladen, sodass die Schrift korrekt dargestellt wird, ohne auf dem jeweiligen Endgerät installiert zu sein. Der Haken: Dazu wird vom Endgerät des Nutzers aus eine Verbindung zu Google-Servern in den USA aufgebaut und es wird die IP-Adresse des Nutzers übermittelt. Eine Einwilligung des Nutzers wird nicht abgefragt. Das Landgericht München hat in der Verwendung von Google Fonts daher einen Verstoß gegen die DSGVO gesehen. Das beklagte Unternehmen wurde zur Unterlassung, zur Auskunft und zu einem Schadensersatz von 100 Euro verurteilt (LG München I, Endurteil vom 20.1.2022, Az. 3 O 17493/20).
Ob die "Abmahnungen" von Privatpersonen ernst zu nehmen sind, ist noch nicht abschließend geklärt. Das Urteil aus München bezieht sich auf einen Einzelfall. Lässt sich nachweisen, dass der betreffende Abmahner massenhaft solche Schreiben verschickt, um damit Geld zu verdienen, ist das Vorgehen rechtsmissbräuchlich. Um auf der sicheren Seite zu sein, empfiehlt sich die Nutzung von "Google-Fonts-Checkern", die es kostenfrei online gibt. Diese Programme prüfen, ob die Schriftart wie beschrieben aus den USA nachgeladen wird. In diesem Fall sollten die Webseitenbetreiber die Schriftart lokal auf ihrer Seite einbetten.

+++ 19. Juli 2022 +++
Wer sich im Urlaub in Discos und Bars vergnügt, möchte sich vermutlich nicht am nächsten Tag auf Youtube wiederfinden. Dies sah auch die spanische Datenschutzbehörde so: Sie verhängte ein Bußgeld von 5.000 Euro gegen einen Bar-Mitarbeiter, die die Videoaufnahmen einer Überwachungskamera über Whatsapp und andere soziale Medien verbreitet hatte.

+++ 18. Juli 2022 +++
Die spanische Datenschutzbehörde hat ein Bußgeld von 56.000 Euro gegen eine Bank verhängt, weil diese einen Investmentbericht mit Einzelheiten zum Investment-Portfolio eines Kunden an den falschen Empfänger verschickt hatte - dessen Ex-Frau. Dies stelle einen Verstoß gegen den Grundsatz der Integrität und Vertraulichkeit dar.

+++ 14. Juli 2022 +++
Das US-Unternehmen Clearview AI stellt aus öffentlich zugänglichen Internetquellen Fotos von Personen aus aller Welt zusammen, die dann zur Erstellung biometrischer Profile verwendet werden. Den Profilen können dann auch weitere Daten über die Personen zugeordnet werden. Mit dieser Technologie könnte jede Überwachungskamera eine zufällig vorbeikommende Person eindeutig identifizeren, auch die Erstellung von Bewegungsprofilen würde so erheblich vereinfacht. Einige US-Strafverfolgungsbehörden nutzen diese Daten bereits. Die Datenschutzbehörde von Griechenland hat gegen das Unternehmen nun ein Bußgeld von 20 Millionen Euro verhängt. Aus Sicht der Behörde wurden Daten griechischer Staatsbürger ohne Rechtsgrundlage verarbeitet. Es erfolgte keinerlei Information der Betroffenen über die Verarbeitung ihrer Daten. Auch habe das Unternehmen keinen Vertreter in der EU benannt. Auf die Anfrage eines griechischen Bürgers nach über ihn gespeicherten Daten habe es nicht reagiert. All dies sind Verstöße gegen die DSGVO. Die Behörde ordnete außerdem an, künftig keine Daten von Griechen mehr zu verarbeiten und vorhandene Daten zu löschen. Weitere Bußgelder gegen Clearview AI wurden bereits von den Datenschutzbehörden in Großbritannien und Italien verhängt (9 Mio und 20 Mio Euro).

+++ 02. Mai 2022 +++
Der Hamburger Datenschutzbeauftragte hat insbesondere Arbeitgeber zum Frühjahrsputz bei den während der Corona-Maßnahmen gesammelten Daten aufgefordert. Er wies auch darauf hin, dass es nicht erlaubt sei, Daten vorsorglich für den Fall einer erneuten Verschärfung der Lage zu speichern. Aufgrund der Änderung des Infektionsschutzgesetzes sei die 3G-Nachweispflicht am Arbeitsplatz zum 20. März 2022 entfallen. Auch die ursprünglich gesetzlich geregelte Löschfrist von sechs Monaten existiere nicht mehr. Mit dem Wegfall der Rechtsgrundlage seien die entsprechenden Daten zu löschen.
Nicht zu löschen seien Gesundheitsdaten, die wegen der einrichtungsbezogenen Impfpflicht etwa in Krankenhäusern und Pflegeheimen erhoben worden seien. Diese Pflicht entfalle zum 1. Januar 2023, dann seien auch diese Daten zu löschen.
Angaben über Befreiungsgründe von der Maskenpflicht in Betrieben müssten gelöscht werden, soweit diese Pflicht nicht mehr bestehe. Der Datenschutzbeauftragte wies auch darauf hin, dass die Pflicht zur Kontaktdatenerfassung in Friseur- und Kosmetiksalons entfallen sei. Auch diese Daten dürften nicht mehr erhoben werden - egal ob auf Papier oder über die Luca-App. Gesammelte Daten seien zu löschen bzw. zu schreddern. Ein praktischer Nutzen bestünde ohnehin nicht mehr, da die Gesundheitsämter keine Kontaktnachverfolgung mehr durchführten. Gerade bei Arbeitgebern ist nach dem Hamburger Datenschutzbeauftragten mit Kontrollen zu rechnen.

+++ 15. März 2022 +++
Die irische Datenschutzbehörde hat ein Bußgeld von 17 Millionen Euro gegen das Unternehmen Meta Platforms Ireland Limited (ehemals Facebook Ireland Limited) verhängt. Meta Platforms war nicht dazu in der Lage gewesen, nachzuweisen, welche Sicherheitsmaßnahmen es zum Schutz der Daten von EU-Nutzern im Zusammenhang mit zwölf Datenschutzvorfällen ergriffen hatte. Dies stellt einen Verstoß gegen die Rechenschaftspflicht aus Art. 5 Abs. 2 DSGVO dar - eine wichtige Pflicht von Unternehmen. Sogar eine vergessene Dokumentation vielleicht vorhandener Maßnahmen kann also zu hohen Bußgeldern führen.

+++03. März 2022+++
Die Landesbehörde für Datenschutz in Bremen hat ein Bußgeld von 1,9 Millionen Euro gegen eine Wohnungsbaugesellschaft verhängt. Diese hatte über 9.500 Datensätze von Mietern verarbeitet, ohne dazu berechtigt zu sein. Gesammelt und verarbeitet wurden zum Beispiel Daten über Körpergerüche, Haarfrisuren, persönliches Auftreten, Hautfarbe, ethnische Herkunft, Religion, sexuelle Orientierung und Gesundheitszustand. Das Sammeln derartiger Daten sei nicht für den Abschluss von Mietverträgen erforderlich und damit unzulässig. Auch habe die Wohnungsbaugesellschaft Anfragen von Mietern zu den über sie gespeicherten Daten ignoriert. Aufgrund der Erheblichkeit des Verstoßes wäre der Behörde zufolge eine deutlich höhere Geldbuße gerechtfertigt gewesen. Darauf wurde lediglich verzichtet, weil das Unternehmen umfassend kooperierte, zur Aufklärung beitrug und sich bemühte, derartigen Verstößen in Zukunft vorzubeugen (Quelle: PM des Landesbeauftragten für Datenschutz, Freie Hansestadt Bremen, 3.3.2022).

+++ 23. Februar 2022 +++
Eine Überwachung des Trainingsbereichs in einem Fitnessstudio durch Kameras (ohne Ton) ist datenschutzwidrig. Hinweisschilder ändern nichts daran, dass die Kunden in einem öffentlich zugänglichen Bereich bei Freizeitaktivitäten nicht mit einer Überwachung rechnen müssen. Es handelt sich um einen erheblichen Verstoß gegen das Grundrecht der Kunden auf informationelle Selbstbestimmung als Teil des allgemeinen Persönlichkeitsrechts aus Art. 1 Abs. 1 i.V.m. Art. 2 Abs. 1 Grundgesetz. Dies hat das Verwaltungsgericht Ansbach entschieden (Urteil vom 23.2.2022, Az. AN 14 K 20.00083).

+++10. Februar 2022+++
Die französiche Datenschutzbehörde CNIL hat - wie zuvor auch die österreichische - entschieden, dass die Nutzung von Google Analytics auf Webseiten mit europäischen Besuchern gegen die DSGVO verstößt. Grund war, dass bei Datenübermittlung in die USA die Möglichkeit bestünde, dass US-Geheimdienste mit ihren weitreichenden Befugnissen auf die Daten europäischer Nutzer zugreifen könnten. Nach Aufhebung des US-Privacy Shield durch das Urteil Schrems-II durch den Europäischen Gerichtshof (EuGH Urteil vom 16.6.2020, C-311/18) liege kein adäquates Datenschutzniveau mehr für die Datenübermittlung in die USA vor. Insbesondere sei die von Google vorgenommene Anonymisierung durch das sogenannte IP-Masking unzureichend: Die Funktion sei nur optional und Google habe nicht erklären können, ob die Anonymisierung vor oder nach der Datenübertragung in die USA stattfinde.
Eine Organisation namens None Of Your Business (NOYB) strengt zurzeit in verschiedenen europäischen Ländern Klagen wegen dieser Problematik an.

+++19. Januar 2022+++
Der Rechtsanwalt eines Arbeitgebers darf in einem arbeitsgerichtlichen Verfahren vor Gericht auch Gesundheitsdaten des Arbeitnehmers nennen und erläutern. Darin liegt kein Verstoß gegen die DSGVO. Dies entschied das Verwaltungsgericht Wiesbaden. Ein Arbeitnehmer hatte ein Eingreifen der hessischen Datenschutzbehörde verlangt. Er hatte seinen Arbeitgeber auf behindertengerechte Beschäftigung und Schadensersatz verklagt. Dessen Anwalt hatte vor Gericht Einzelheiten zum Gesundheitszustand des Klägers erläutert. Die Behörde lehnte ein Eingreifen ab. Das Gericht gab ihr Recht: Der Anwalt sei vertraglich verpflichtet, zu Gunsten seines Mandanten vorzutragen. Die Verarbeitung der Daten sei hier zur Wahrung der berechtigten Interessen des Mandanten erforderlich gewesen. Der Anwalt könne sich sogar haftbar machen, wenn er den Vortrag der gegnerischen Partei wider besseres Wissen nicht bestreite (Az. 6 K 361/21.WI).

+++06. Dezember 2021+++
Das Berliner Kammergericht hat einen Fall zur Vorabentscheidung dem Europäischen Gerichtshof vorgelegt. Es geht dabei um die wichtige Frage, ob die DSGVO die deutsche Regelung über Bußgelder für Unternehmen (§ 30 OWiG) verdrängt. Nach der deutschen Vorschrift wäre nämlich ein Verschulden einer konkreten natürlichen Person notwendig, um einem Unternehmen ein Bußgeld auferlegen zu können. Dies wird bei vielen DSGVO-Verstößen schwer nachweisbar sein. Nach der DSGVO reicht der Verstoß an sich. Das Kammergericht neigt dabei zu der Ansicht, dass § 30 OWiG nicht anwendbar ist und die Unternehmen bei einem Verstoß direkt haften (Az. 3 Ws 250/21).

+++15. November 2021+++
Befindet sich ein Unternehmen im Insolvenzverfahren, ist der Insolvenzverwalter Ansprechpartner für alle Belange, die finanzielle Folgen haben können. Aber: Ein Insolvenzverwalter ist nach Ansicht des Amtsgerichts Hamburg weder Verantwortlicher im Sinne der DSGVO, noch Dritten gegenüber für Auskünfte über verarbeitete personenbezogene Daten nach der DSGVO zuständig. Hauptgrund sei, dass seine Tätigkeit nicht in den Anwendungsbereich des Unionsrechtes falle, sodass die Ausnahme von Art. 2 Abs. 2a DSGVO zutreffe (Az. 11 C 75/21).

+++12. November 2021+++
Das Landgericht Mainz hat entschieden: Verbraucher haben einen Schadensersatzanspruch nach Art. 82 DSGVO, wenn ein Inkassobüro sie unberechtigt als säumige Zahler bei der Schufa meldet. In dem Fall ging es um einen Mann, der eine Rechnung seines Energieversorgers nicht bezahlt hatte. Das von diesem eingeschaltete Inkassobüro hatte den Fall an die Schufa gemeldet, konnte aber nicht nachweisen, dass es den Verbraucher zwei Mal außergerichtlich gemahnt hatte. Ohne zweimalige Mahnung darf jedoch keine Meldung bei der Schufa erfolgen. Das Gericht sprach dem Kläger 5.000 Euro Schadensersatz zu (Az. 3 O 12/20).

+++28. Oktober 2021+++
Verschickt eine Krankenversicherung Gesundheitsdaten an eine falsche E-Mail-Adresse, steht dem Versicherten ein Schadensersatz nach Art. 82 DSGVO zu. Dies hat das OLG Düsseldorf entschieden. Eine gesetzlich Versicherte hatte ihre Kasse telefonisch um die Übersendung ihrer Gesundheitsakte gebeten, da sie in die private Krankenversicherung wechseln wollte. Die Kasse hatte die Daten unverschlüsselt und ohne Pseudonymisierung an eine falsche E-Mail-Adresse verschickt. Die Kundin erhielt einen Schadensersatz von 2.000 Euro zugesprochen (Az. 16 U 275/20).

+++24. September 2021+++
Der Hamburgische Datenschutzbeauftragte hat ein Bußgeld von über 900.000 Euro gegen den Stromanbieter Vattenfall verhängt. Grund war ein von Vattenfall durchgeführter Datenabgleich bei Neukunden zwischen August 2018 und Dezember 2019. Vattenfall hatte bei diesen in alten Datensätzen überprüft, ob sie bereits früher Kunden gewesen waren, um dann zu einem anderen Anbieter zu wechseln. So sollten sogenannte "Bonus-Hopper" identifiziert werden, die den Anbieter häufiger wechseln, um jedesmal einen Wechselbonus zu erhalten. Bei einem entsprechenden Verdacht wurden die Kunden abgelehnt. Das Bußgeld wurde nicht wegen des Datenabgleichs an sich verhängt, sondern, weil dieser ohne ausreichende Information der Kunden erfolgte. Es handelte sich also um einen Verstoß gegen die Transparenzpflichten nach Art. 12 und 13 DSGVO. Im Rahmen einer Absprache mit der Behörde hat man sich nun auf ein Verfahren geeinigt, bei dem Neukunden wählen können, ob sie einen Vertrag mit Bonus und Überprüfung abschließen möchten, oder einen ohne Bonus und ohne Datenabgleich (Quelle: Pressemitteilung des Hamburger Datenschutzbeauftragten, 24.09.21).

+++2. September 2021+++
Die irische Datenschutzbehörde hat ein Bußgeld in Höhe von 225 Millionen Euro gegen WhatsApp Ireland verhängt. Bußgelder nach der DSGVO können nach Art. 83 Abs. 6 DSGVO bis zu 4 Prozent des weltweiten Umsatzes eines Unternehmens ausmachen. Grund war hier in erster Linie die Weitergabe von Nutzerdaten an andere Unternehmen des Facebook-Konzerns ohne transparente Information der Nutzer. Die irische Behörde (die oft in der Kritik steht, nicht wirklich aktiv für den Datenschutz einzutreten) wollte zunächst nur 30 bis 50 Mio Euro verhängen. Das höhere Bußgeld kam dann durch einen verbindlichen Beschluss des Europäischen Datenschutzausschusses (EDSA) zustande. WhatsApp will gegen das Bußgeld gerichtlich vorgehen.

+++2. August 2021+++
Das bisher höchste Bußgeld in der Geschichte der DSGVO wurde von der luxemburgischen Datenschutzbehörde gegen Amazon verhängt: 746 Millionen Euro. Grund ist das von Amazon verwendete System des Online-Targeting. Dabei geht es darum, auf eigenen Seiten und fremden Webseiten so viele Informationen über Menschen zu sammeln, wie möglich, um über diese Profile zu erstellen und sie dann gezielt zu Einkäufen animieren zu können. Amazon will gerichtlich gegen das Bußgeld vorgehen.

+++08. Juni 2021+++
Das Oberverwaltungsgericht Nordrhein-Westfalen hat entschieden, dass die DSGVO einem Examensabsolventen der zweiten juristischen Staatsprüfung das Recht gibt, eine unentgeltliche Kopie seiner schriftlichen Klausuren und der Prüfergutachten zu erhalten. Die Kopien könnten in Papierform oder einem gängigen elektronischen Format geliefert werden. Zunächst hatte das Landesjustizprüfungsamt Kopierkosten von rund 70 Euro für 348 Seiten verlangt. Dem Gericht zufolge hat der Kläger jedoch aus Art. 15 Abs. 3 DSGVO in Verbindung mit den Landesgesetzen einen Anspruch auf eine unentgeltliche Kopie sämtlicher bei der Behörde über ihn verarbeiteten personenbezogenen Daten - und dazu gehören auch die Klausuren und die Prüfergutachten (Urteil vom 8.6.2021, Az. 16 A 1582/20).

+++26. April 2021+++
Das Amtsgericht Wiesbaden hat in einem Urteil darauf hingewiesen, dass die DSGVO auch für private Vermieter gilt. Ein Mieter hatte gegen seine Vermieterin einen Auskunftsanspruch nach Art. 15 DSGVO hinsichtlich der über ihn gespeicherten Daten geltend gemacht. Die Vermieterin weigerte sich, da sie kein Unternehmen sei und Vertragsunterlagen lediglich in Papierform in einem Ordner aufbewahre. Auch dies sei eine Datenverarbeitung im Sinne der DSGVO, so das Gericht. Die Vermieterin musste Auskunft geben (Az. 93 C 2338/20).

+++08. Januar 2021+++
Die Datenschutzbehörde von Niedersachsen hat ein Bußgeld von 10,4 Millionen Euro gegen notebooksbilliger.de verhängt. Grund ist eine Videoüberwachung der Angestellten im Betrieb. Das Unternehmen begründete diese mit der Überwachung von Warenflüssen und der Verhinderung von Straftaten. Der Behörde zufolge reicht ein Generalverdacht für eine so umfassende Maßnahme nicht aus, es müsse konkrete Vorfälle gegeben haben. Das Unternehmen will rechtliche Schritte gegen den Bußgeldbescheid einleiten (Pressemitteilung des LfD Niedersachsen vom 8.1.2021).

+++26. Oktober 2020+++
Bürger haben nach Art. 77 DSGVO das Recht zur Beschwerde bei einer Aufsichtsbehörde, wenn andere unzulässig mit ihren Daten umgehen. Dies ist aber nur eine Art Petitionsrecht und gewährt dem Bürger keinen einklagbaren Anspruch gegen die Datenschutzbehörde, gegen ein Unternehmen vorzugehen, welches seine Daten verarbeitet hat. Im entsprechenden Fall hatte die Behörde zwar die Beschwerde geprüft, aber keinen DSGVO-Verstoß gesehen. Das OVG Koblenz wies die Klage ab (Urteil vom 26.10.2020, Az. 10 A 10613/20.OVG).

+++2. Oktober 2020+++
Der Hamburgische Datenschutzbeauftragte hat ein Bußgeld in Höhe von 35,3 Millionen Euro gegen den schwedischen Modekonzern H&M verhängt. Grund war die umfassende Überwachung der mehreren hundert Mitarbeiter im Servicecenter des Onlineshops in Nürnberg. Deutscher Unternehmenssitz ist Hamburg. Dabei wurden detaillierte Profile über die Arbeitnehmer angelegt, in denen Themen harmloser Privatgespräche, Urlaubserlebnisse, familiäre Probleme, Krankheiten und religiöse Bekenntnisse registriert und gespeichert wurden. Gewonnen wurden die Informationen über "Flurgespräche" und sogenannte "Welcome Back Talks". Diese Informationen wurden dann Personalentscheidungen zugrunde gelegt. Ans Licht kam das Vorgehen, weil durch eine Sicherheitspanne zeitweise alle Beschäftigten Zugriff auf die Daten hatten. H&M erhielt wegen dieser Verfahren auch den Negativpreis "Big Brother Award". Das Bußgeld wurde akzeptiert, der Konzern erklärte sich zu Entschädigungen der Mitarbeiter bereit.

+++16. September 2020+++
Das Bundesverwaltungsgericht hat entschieden, dass ein Insolvenzverwalter keinen Auskunftsanspruch gegenüber dem Finanzamt hat, um einen Steuerkontoauszug des Insolvenzschuldners zu erhalten. Hier hatte ein Insolvenzverwalter geklagt, der diese Informationen nutzen wollte, um mögliche anfechtbare Sachverhalte zu finden und so die Insolvenzmasse zu vergrößern. Nach dem BVerwG ist er jedoch keine "betroffene Person" im Sinne von Art. 15 DSGVO und kann daher keine Herausgabe der Daten verlangen (Urteil vom 16.9.2020, Az. 6 C 10.19).

+++14. August 2020+++
Die Hamburger Datenschutzbehörde hat in einer Pressemitteilung erklärt, dass sie gegen vier Gastwirte Bußgelder wegen unzulässiger Führung von Listen mit Kontaktdaten der Gäste verhängt hat. Derartige Listen müssen im Rahmen der Corona-Auflagen geführt werden. Auf den Listen waren die Anschriften und Telefonnummern für jeden frei zugänglich. Dies ist unzulässig und hat laut Datenschutzbehörde bereits zu unerwünschten Flirt-Nachrichten geführt. Die Wirte hatten auch nach einer ersten Überprüfung mit der Aufforderung, die Listenführung zu ändern, nicht reagiert. Nach der zweiten Prüfung wurden daher Bußgelder verhängt.

+++30. Juni 2020+++
Die Datenschutzbehörde von Baden-Württemberg hat ein Bußgeld in Höhe von 1,24 Millionen Euro gegen die AOK des Bundeslandes verhängt. Die Krankenkasse hatte Daten von hunderten Teilnehmern eines Gewinnspiels ohne deren Zustimmung für Werbung verwendet. Der Behörde zufolge wäre das Bußgeld höher ausgefallen, wenn die AOK nicht gleich Schritte ergriffen hätte, um derartige Probleme in Zukunft zu verhindern. Auch wurde berücksichtigt, dass die AOK eine wichtige Institution für das Gesundheitswesen ist.

+++4. Juni 2020+++
Nach dem Landesarbeitsgericht Berlin-Brandenburg müssen Arbeitnehmer keine Zeiterfassung per Fingerabdruck-Scanner dulden. Der Kläger hatte sich geweigert, das neue Zeiterfassungssystem zu nutzen, und war vom Arbeitgeber abgemahnt worden. Zu Unrecht, erklärte das Gericht: Nach Art. 9 Abs. 2 DSGVO sei die Verarbeitung solcher biometrischen Daten nur im Ausnahmefall zulässig. Sie müsse insbesondere erforderlich sein. Warum sie jedoch in einer normalen radiologischen Praxis erforderlich sein solle, erschließe sich nicht (Urteil vom 4.6.2020, Az. 10 Sa 2130/19).

+++29. Mai 2020+++
Die internationale Wirtschaftskanzlei Taylor Wessing hat eine Zweijahresbilanz mit Blick auf wegen Verstößen gegen die Datenschutzgrundverordnung verhängte Strafen gezogen. Demnach wurden von deutschen Datenschutzbehörden bisher insgesamt Bußgelder in Höhe von rund 26 Millionen Euro verhängt. Besonders aufsehenerregend waren die Bußgelder gegen die Immobilienfirma Deutsche Wohnen, die 14,5 Millionen Euro bezahlen musste und gegen denTelefonie- und Online-Anbieter 1&1, der 9,55 Millionen Euro zahlen musste.

+++23. Dezember 2019+++
Ein Lotto-Veranstalter darf in seiner Werbung einen Gewinner nicht ungefragt mit Vor- und Nachnamen nennen. Dabei handelt es sich um einen Verstoß gegen das Allgemeine Persönlichkeitsrecht. Das Landgericht Köln erließ eine einstweilige Verfügung, den Namen des Gewinners nicht mehr zu nutzen. Da keine der Voraussetzungen für eine Datenverarbeitung nach Art. 6 DSGVO erfüllt sei, habe der Betroffene außerdem Anspruch auf Schadensersatz. Die Parteien einigten sich auf eine Summe von 8.000 Euro (LG Köln, Beschluss vom 23.12.2019, Az. 28 O 482/19).

+++09. Dezember 2019+++
Der Bundesbeauftragte für Datenschutz und Informationsfreiheit verhängt gegen die zum Mobilfunk- und Festnetzkonzern 1&1 Drillisch gehörende Firma 1&1 Telecom GmbH eine Geldbuße von rund 9,6 Millionen Euro. Der Vorwurf der Behörde lautet, dass Dritte über die Kundenbetreuung Zugriff auf private Kundendaten bekommen haben. Die 1&1 Telecom GmbH will die Strafe nicht akzeptieren und dagegen klagen - der Bußgeldbescheid sei "absolut unverhältnismäßig".

+++19. September 2019+++
Trotz Widerspruchs versendete Werbemails, mangelhafte Datenauskünfte, nicht gelöschte Daten: Die Berliner Datenschutzbehörde hat die Lieferfirma Delivery Hero (bekannt von pizza.de, Foodora, Lieferheld) wegen Verstößen gegen die DSGVO abgemahnt und gegen die Firma ein Bußgeld in Höhe von 195.000 Euro verhängt. Das ist die höchste Strafe, die bisher in Deutschland aufgrund der DSGVO verhängt wurde.

+++26. Juli 2019+++
Der Anspruch auf Auskunft nach Art. 15 DSGVO ist umfassend und gilt auch für Gesprächsnotizen und Telefonvermerke. Dies entscheidet das Oberlandesgericht Köln (Urteil vom 26.7.2019, Az. 20 U 75/18).

+++9. Juli 2019+++
Der Hessische Landesdatenschutzbeauftragte äußert sich zur Nutzung von Cloud-Anwendungen in Schulen: Der Einsatz von Microsoft 365 ist nicht zulässig, soweit personenbezogene Daten von Kindern in der europäischen Cloud gespeichert werden, auf die ggf. auch US-Behörden Zugriff haben. Eine Einwilligung der Eltern ändert daran nichts. Dies gilt auch für Konkurrenzdienste von Google und Apple, da hier niemand weiß, was mit den Daten passiert.

+++28. Juni 2019+++
Art. 17 Abs.1 DSGVO beinhaltet ein Recht auf Vergessen bestimmter Suchmaschinen-Ergebnisse. Das Landgericht Frankfurt a. M. gibt einem Kläger recht, der bei Google nicht mehr namentlich als Teilnehmer einer gewalttätigen Auseinandersetzung zwischen Studenten mit einem Todesfall gefunden werden wollte (Urteil vom 28.6.2019, Az. 2-03 O 315/17).

+++9. Mai 2019+++
Der Landesbeauftragte für den Datenschutz Rheinland-Pfalz verhängt ein Zwangsgeld von 5.000 Euro gegen den Betreiber eines erotischen Tanzlokals. Dieser hatte Videokameras im Innen- und Außenbereich aufgehängt und sich geweigert, über die näheren Umstände Auskunft zu geben. Laut Verwaltungsgericht Mainz ist das Zwangsgeld rechtmäßig (Urteil vom 9.5.2019, Az. 1 K 760/18).

+++11. März 2019+++
Ein Abmahnverein verschickt eine Vielzahl von Abmahnungen wegen der fehlenden SSL-Verschlüsselung von Webseiten. Hier kann es sich um einen DSGVO-Verstoß handeln. Empfänger sollten die Abmahnungen selbst jedoch unbedingt rechtlich genau prüfen. Es ist offen, ob der Verein tatsächlich aktivlegitimiert ist, also solche Abmahnungen verschicken darf.

+++18. Februar 2019+++
In Sachsen-Anhalt verhängt der Landesbeauftragte für den Datenschutz ein Bußgeld von 2.000 Euro gegen einen Privatmann. Dieser hat in größerem Umfang Beschwerdeschreiben per E-Mail an Zeitungen, Unternehmen, Behörden und Politiker verschickt und dabei deren E-Mailadressen in "CC" hinzugefügt, sodass die Adressen für alle Empfänger lesbar waren. Dies sei ein Verstoß gegen die DSGVO. Auch Privatleute müssen darauf achten, beim Mehrfachversand von E-Mails an fremde Personen die Adressen in "BCC" (Blind Carbon Copy) hinzuzufügen.

+++4. Februar 2019+++
Der Landesbeauftragte für den Datenschutz in Baden-Württemberg kündigt ein "Jahr der Kontrollen" an. In Sachen Bußgelder werde "scharf geschossen."

+++31. Januar 2019+++
Das Bundesarbeitsgericht entscheidet: Arbeitgeber dürfen nicht als „privat” gekennzeichnete Dateien auf dem Dienstrechner eines Arbeitnehmers sichten und auswerten. Dies darf auch ohne konkreten Verdacht auf eine Verletzung arbeitsvertraglicher Pflichten passieren und ist datenschutzrechtlich zulässig (Urteil vom 31.1.2019, Az. 2 AZR 426/18).

+++ 24. Januar 2019 +++
Google legt in Frankreich Widerspruch gegen das verhängte Bußgeld von 50 Millionen Euro ein. Das Unternehmen erklärt, hart an einem Zustimmungsverfahren für personalisierte Werbung gearbeitet zu haben, welches besonders transparent sein sollte. Man habe auch Empfehlungen der Behörden einbezogen.

+++22. Januar 2019+++
Der Landesbeauftragte für den Datenschutz in Niedersachsen veröffentlicht ein Merkblatt, nach dem die Nutzung von WhatsApp in Unternehmen in mehrfacher Weise gegen die DSGVO verstößt. Dies betrifft zum Beispiel die Weiterleitung von Telefonnummern von Nicht-WhatsApp-Nutzern an das US-Unternehmen.

+++ 21. Januar 2019 +++
Die französische Datenschutzbehörde CNIL verhängt gegen Google ein Bußgeld von 50 Millionen Euro wegen DSGVO-Verstößen. Dabei geht es insbesondere um die nicht DSGVO-konforme Einrichtung von neuen Smartphones mit Android. Unter anderem würden die Nutzer dabei nicht transparent darüber informiert, wofür ihre Daten tatsächlich benutzt würden. Auch könne Google keine wirksame Einwilligung der Nutzer für die Verarbeitung ihrer Daten für Werbezwecke vorweisen.

+++ 18. Januar 2019 +++
Das Landgericht Magdeburg schränkt in einem Urteil die Abmahnfähigkeit von DSGVO-Verstößen ein: Das Recht, Verstöße abzumahnen, hätten nur Personen, deren Recht auf informationelle Selbstbestimmung verletzt wurde, sowie Aufsichtsbehörden oder klagebefugte Verbände. Wettbewerber jedoch dürfen nicht abmahnen. Denn: Die DSGVO enthalte ein abgestuftes und in sich abgeschlossenes Sanktionssystem. Durch wettbewerbsrechtliche Abmahnungen von Konkurrenten würde dieses System unterlaufen und durch erhebliche Streitwerte und Vertragsstrafen sinnlos gemacht (Az. 36 O 48/18).

+++ 18. Januar 2019 +++
Nach einem Bericht des Handelsblatts wurden in Deutschland seit dem ersten Bußgeld schon in weiteren 40 Fällen Bußgelder durch Datenschutzbehörden verhängt. In Nordrhein-Westfalen habe es 33 Bußgelder gegeben, in Hamburg drei, in Baden-Württemberg und Berlin jeweils zwei und im Saarland eines. Beim Bayerischen Landesamt für Datenschutzaufsicht sollen 85 Bußgeldverfahren nach der DSGVO anhängig sein.
Das höchste Einzelbußgeld wurde nach der Meldung in Baden-Württemberg ausgesprochen und lag bei 80.000 Euro (Gesundheitsdaten waren ins Internet gelangt). Für die drei Verstöße in Hamburg wurden insgesamt 25.000 Euro fällig.

+++ 17. Dezember 2018 +++
Die Hamburger Datenschutzbehörde verhängt ein Bußgeld von 5.000 Euro gegen ein kleines Online-Versandhandelsunternehmen. Dieses hatte keinen vorschriftsmäßigen Vertrag zur Auftragsdatenverarbeitung mit seinem externen Postdienstleister abgeschlossen.

+++ 21. November 2018 +++
Das Landesamt für Datenschutz in Baden-Württemberg verhängt das erste Bußgeld in Deutschland in Sachen DSGVO gegen den deutschen Social-Media Anbieter “Knuddels”. Höhe: 20.000 Euro. Bei dem Unternehmen waren die Passwörter der Nutzer unverschlüsselt gespeichert worden. So konnte ein Hacker diese entwenden und veröffentlichen. Dabei wurden unter anderem Passwörter und E-Mailadressen von 330.000 Nutzern entwendet. Das geringe Bußgeld begründete die Behörde mit der Selbstanzeige des Unternehmens und dessen guter Kooperation.

+++ 29. Oktober 2018 +++
Die europaweit ersten Bußgelder wegen DSGVO-Verstößen werden gegen ein Krankenhaus in Berreiro, Portugal ausgesprochen. Dort hatten zu viele Personen, darunter auch Techniker, Zugang zu den Patientendaten gehabt. Bußgeldhöhe für zwei Verstöße: 300.000 Euro und 100.000 Euro.

+++ 25. Oktober 2018 +++
Das Oberlandesgericht Hamburg entscheidet: Verstöße gegen die DSGVO sind grundsätzlich abmahnfähig. Voraussetzung dafür ist allerdings, dass sich der Abgemahnte durch den Verstoß einen Wettbewerbsvorteil gegenüber seiner Konkurrenz verschafft hat (Az. 3 U 66/17).

+++ 13. September 2018 +++
Das Landgericht Würzburg entscheidet: Eine siebenzeilige Datenschutzerklärung auf der Homepage einer Rechtsanwältin ist zu wenig und genügt nicht den Anforderungen der DSGVO. Der Verstoß ist abmahnfähig (Az. 11 O 1741/18 UWG).

+++ 7. August 2018 +++
Das Landgericht Bochum entscheidet: Ein Verstoß gegen die Informationspflichten nach Artikel 13 DSGVO löst keinen wettbewerbsrechtlichen Unterlassungsanspruch eines Mitbewerbers aus. Die Datenschutz-Grundverordnung enthalte in den Artikeln 77 bis 84 eine abschließende Sanktionsregelung, welche Ansprüche von Wettbewerbern ausschließe (Az. I-12 O 85/18).

+++ 25. Mai 2018 +++
Von diesem Tag an ist die DSGVO wirksam und zu beachten.

+++ 25. Mai 2016 +++
Die Datenschutz-Grundverordnung (DSGVO) tritt in Kraft. Ihre Vorschriften sind jedoch erst nach Ablauf einer Übergangsfrist zu beachten.

+++ 5. Mai 2016 +++
Die neue Datenschutz-Grundverordnung wird im Amtsblatt der Europäischen Union veröffentlicht.

+++ 25. Januar 2012 +++
Die EU-Kommission stellt ihre Datenschutzreform vor. Teil davon ist die geplante Datenschutz-Grundverordnung.

(Ma)


Sie benötigen Hilfe bei Ihrer Suche nach dem richtigen Anwalt? Dann schreiben Sie uns über unser Kontaktformular. Wir helfen Ihnen kostenlos und unverbindlich.


 Ulf Matzen
Anwalt-Suchservice
Juristische Redaktion
E-Mail schreiben Juristische Redaktion
 Ulf Matzen
Anwalt-Suchservice
Juristische Redaktion
E-Mail schreiben Juristische Redaktion