Presseartikel zum EUGH Urteil

Interview mit Rechtsanwältin Sabine Sobola im Straubinger Tagblatt vom 21.09.2022 zum EuGH-Urteil zur Vorratsdatenspeicherung.

Urteil des EUGH zur Vorratsdatenspeicherung

Eine Speicherung von personenbezogenen Daten ist in der EU nur in engen Grenzen möglich. Im hier vorliegenden Fall hatten die Telekom und ein anderer Internetzugangsdiensteanbieter gegen Regelungen aus dem deutschen TKG geklagt.

Gelten die Aussagen zu Google-Fonts auch für Adobe-Fonts?

Was ist Adobe-Fonts?

Adobe-Fonts ist eine Sammlung von Schriftarten für die Verwendung auf Websites bereit. Mittels APIs und interaktiven Webverzeichnissen können dann Schriften je nach Bedarf eingebunden werden. Die jeweilige Website greift – wie bei Google Fonts - bei jedem Aufruf auf den US-amerikanischen Server von Adobe zu und lädt die Fonts herunter.

Werden bei der Nutzung von Adobe-Fonts personenbezogene Daten verarbeitet?

Bei der Nutzung von Adobe-Fonts werden wohl (wie bei Google Fonts) IP-Adressen und somit personenbezogene Daten verarbeitet. Somit sind Webseitenbetreiber dazu verpflichtet, einen entsprechenden Cookie-Hinweis zur Einwilligung sowie einen Hinweis in der Datenschutzerklärung vorzuhalten, da es sich bei Adobe um einen US-amerikanischen Anbieter handelt und der Nutzer über die Verarbeitung seiner Daten aufgeklärt werden muss.

Ist Adobe-Fonts (ebenfalls wie die dynamische Einbindung von Google Fonts) nun verboten?

Bei der Nutzung von Adobe-Fonts findet eine Datenverarbeitung analog wie bei Google-Fonts statt. Zwar gibt es aktuell noch kein Urteil (ggf. wegen geringerer Verwendung im Gegensatz zu Google Fonts), dass Adobe-Fonts verboten ist, jedoch dürfte die Verwendung ohne Einwilligung datenschutzrechtlich nicht erlaubt sein, da die Verarbeitung von personenbezogenen Daten nicht komplett ausgeschlossen werden kann.

Die aktuelle Rechtsprechung zu Google Fonts kann somit auch auf Adobe-Fonts übertragen werden.

Stand: 05.10.2022

Was steht im BAG-Urteil bzgl. des Anspruchs auf  immateriellen Schadenersatz bei Verstoß gegen die DSGVO?

BAG-Urteil vom 05.05.2022 (2 AZR 363/21)

Sachverhalt:

Eine Hausangestellte hat von ihrem Arbeitgeber Auskunft nach Art. 15 DSGVO verlangt, einschließlich der über sei erfassten Arbeitszeit. Im Wege der Stufenklage machte sie zudem eine sich aus der Auskunft ergebende Nachzahlung der Vergütung geltend. Mit einem weiteren Antrag verlangte die Klägerin dann die Zahlung eines in das Ermessen des Gerichts gestellten immateriellen Schadensersatzes „auf der Grundlage von Art. 15 DS-GVO“. Die Arbeitszeitaufzeichnungen wurden zwar von der Beklagten übersandt, allerdings nicht innerhalb der Fristen des Art. 12 Abs. 3 und 4 DSGVO.

Da die Beklagte dem Auskunftsbegehren nicht vollständig nachgekommen sei, habe sie Anspruch auf immateriellen Schadensersatz nach Art. 82 DS-GVO, der mindestens 6.000 EUR betrage.

Entscheidung: EUR 1.000,- Schadensersatz ist angemessen.

Begründung:

Es gibt einen weiten Ermessensspielraum des Gerichts, in dem die Besonderheiten des jeweiligen Einzelfalls zu berücksichtigen sind. Wesentlicher Grund der Klage waren vorliegend die Arbeitszeitaufzeichnungen. Diese waren übersandt worden. Die Klägerin habe nicht vorgetragen, dass ihr durch die zu späte Zusendung ein immaterieller Schaden entstanden sei. Nicht jeder Eingriff in das allgemeine Persönlichkeitsrecht in Form des Rechts auf informationelle Selbstbestimmung aus Art. 2 Abs. 1 iVm. Art. GG Artikel 1 Satz 1 GG habe einen Entschädigungsanspruch zur Folge. Im vorliegenden Fall sei eine Persönlichkeitsrechtsverletzung der Klägerin nicht so schwerwiegend, dass sie nur durch eine Geldentschädigung in befriedigender Weise ausgeglichen werden könne. Der Klägerin sei es mit ihrem Auskunftsanspruch ausweislich ihres Prozessverhaltens nicht um den Schutz ihrer persönlichen Daten, sondern um die Beschaffung von Informationen zur Vorbereitung eines Zahlungsanspruchs gegen die Beklagte gegangen. Eine rechtswidrige Beschaffung oder Verwendung personenbezogener Daten durch die Beklagte behaupte die Klägerin indes nicht.

Stand: 20.09.2022

Welche Auswirkungen hat das Urteil des EuGH zur Vorratsdatenspeicherung vom 20.09.2022?

EuGH Urteil zur Vorratsdatenspeicherung

Auswirkungen:

Das Verfahren vor dem Bundesverwaltungsgericht wird nun fortgeführt.

Die Politik hat bereits angekündigt, die Vorratsdatenspeicherung in dieser Form aus dem TKG zu streichen bzw. entsprechend dem EuGH-Urteil zu verändern.

Für den einzelnen Bürger besteht nun Gewissheit, dass der Staat nicht anlasslos Daten auf Vorrat speichern darf. Ausnahme: es liegt eine ernste Bedrohung für die nationale Sicherheit vor.

Es wird nun (hoffentlich) eine politische Debatte darüber geben, wieviel Überwachung in Deutschland notwendig bzw. den Bürgern zumutbar ist. 

Stand: 21.09.2022

Gibt es ein Recht auf Löschung von SCHUFA-Einträgen?

Was steht im Urteil des OLG Stuttgart vom 10.08.2022? (9 U 24/22)

Urteil des OLG Stuttgart (9 U 24/22)

Sachverhalt:

A bekam vom Amtsgericht München aufgrund seiner geleisteter Zahlung im Rahmen seines Verbraucher-Insolvenzverfahrens nach drei Jahren vorzeitig Restschuldbefreiung.  Diese Informationen wurden öffentlich unter www.insolvenzbekanntmachungen.de veröffentlicht. Die beklagte SCHUFA entnahm diese (und weitere ihr verfügbare) Daten über den Kläger, speicherte sie und machte sie ihren Vertragspartners zugänglich, sofern diese ein berechtigtes Interesse an der Kreditfähigkeit des Klägers darlegen konnten.

Auf der Grundlage des von der SCHUFA angewendeten sog. Code of Conduct für die Prüf- und Löschfristen von personenbezogenen Daten durch die deutschen Wirtschaftsauskunfteien, vorgelegt vom Verband „Die Wirtschaftsauskunfteien e.V.“ (nachfolgend: CoC, Anl. B4) löscht die SCHUFA personenbezogene Daten taggenau drei Jahre nach Ausgleich gespeicherter Forderungen bzw. - nach Antrag betroffener Personen - wenn die Speicherung nach individueller Prüfung nicht mehr erforderlich ist.

Der Kläger hält eine 6-Monatsfrist für ausreichend. Eine darüber hinausgehende Speicherung seiner Daten sei rechtswidrig. Ausschlaggebend sei § 3 Abs. 1 f. InsBekV, wonach diese Daten aus dem Portal www.insolvenzbekanntmachungen.de nach 6 Monaten zwingend zu löschen sind. Sein Hauptargument: Die weitere Speicherung erschwere ihm entgegen dem mit der Restschuldbefreiung verfolgten Zweck eines wirtschaftlichen Neustarts die Teilnahme am Wirtschaftsleben, obwohl er sich während der Wohlverhaltensperiode vorbildlich verhalten und so viele Schulden getilgt habe, dass die Restschuldbefreiung vorzeitig erteilt worden sei. Insbesondere sei ihm die Finanzierung einer Wohnung oder eines Hauses sowie eines neuen Autos ebenso wenig möglich wie die Überziehung seines Kontos, obwohl es keine gesicherten wissenschaftlichen Erkenntnisse über konkrete Neuverschuldungen mit Zahlungsausfällen und Insolvenzen innerhalb von drei Jahren nach der Restschuldbefreiung gebe.

Urteil des OLG Stuttgart (9 U 24/22) – Klage auf Löschung wurde abgelehnt

Begründung:

Datenverarbeitung nach Art. 6 Abs. 1 lit. f) DSGVO zulässig.

Danach muss die im Rahmen der nach Art. 6 Abs. 1 lit. f) DSGVO vorzunehmenden, konkreten Interessenabwägung zugrunde zu legenden Interessen der Betroffene selbst darlegen. Denn aus der Formulierung der Verarbeitungsbeschränkung in Art. 6 Abs.1 lit. f), 2. Halbs. DSGVO „[…] sofern nicht […]“ ergibt sich ein - vom Betroffenen zu widerlegendes - Regel-Ausnahme-Verhältnis für die Zulässigkeit der zur Wahrung berechtigter Interessen erforderlichen Datenverarbeitung. Diese ist nach Art. 6 Abs. 1 lit. f) DSGVO gerade dann rechtmäßig i. S. d. Art. 5 Abs. 1 DSGVO, wenn sie zur Wahrung berechtigter Interessen erfolgt und die Interessen und Rechte der betroffenen Person nicht überwiegen. Nach der Systematik ist die Verarbeitung also immer dann rechtmäßig, wenn sie zur Wahrung berechtigter Interessen erforderlich ist, selbst wenn Interessen des Betroffenen gegenüberstehen, solange diese nur gleichwertig sind.

Sie wird erst dann rechtswidrig, wenn die Interessen und Rechte des Betroffenen überwiegen, wofür folglich er die Darlegungs- und Beweislast trägt
(so auch Paal/Pauly, Frenzel, aaO., Art. EWG_DSGVO Artikel 6 DS-GVO, Rn. 31; vgl. auch Gola, Schulz, DS-GVO, aaO., Art. 6, Rn. 58).

Vorliegend konnte der Kläger kein überwiegendes Interesse und keine überwiegenden Rechte nachweisen.

Ergebnis:

Die Verarbeitung durch die Beklagte erfolgte aus Art. 6 Abs. 1 lit. f) DSGVO zur Wahrung ihrer eigenen sowie der berechtigten Interessen ihrer Vertragspartner als Dritte, ohne dass überwiegende Interessen des Klägers dem entgegenstehen würde.

(Vorzeitiger) Löschungsantrag ist gescheitert.

Gegenteilige Auffassung:

OLG-Schleswig, Urteil vom 02.07.2021

Die Sache ist vor dem BGH anhängig!

Urteil des OLG Stuttgart (9 U 24/22) – Klage auf Löschung wurde abgelehnt

Fazit:

Eine Verarbeitung personenbezogener Daten, wird erst dann rechtswidrig, wenn die Interessen und Rechte des Betroffenen überwiegen, wofür folglich er die Darlegungs- und Beweislast trägt (so auch Paal/Pauly, Frenzel, aaO., Art. EWG_DSGVO Artikel 6 DS-GVO, Rn. 31; vgl. auch Gola, Schulz, DS-GVO, aaO., Art. 6, Rn. 58).

Stand: 14.09.2022

Gilt die DSGVO auch für private Vermieter?

Ich bin Vermieter einer Privatwohnung, die von einer WEG verwaltet wird.
Ist die DSGVO für mich als Vermieter anwendbar? Was muss ich als Vermieter alles einhalten?

Ist die DSGVO für mich als Vermieter anwendbar?

LG Wiesbaden, Urteil vom 30.09.2021 - 3 S 50/21

Sachverhalt:

Entscheidung:

Folge aus dem Urteil des LG Wiesbaden, Urteil vom 30.09.2021 - 3 S 50/21

Was muss ich als Vermieter alles einhalten?

Diese rechtliche Würdigung kann kritisch gesehen werden, vor allem, wenn steuerrechtlich eine private Vermögensverwaltung gegeben ist.

Stand: 13.07.2022

Schmerzensgeld nach Art. 82 DSGVO wg. Filmaufnahme eines Mitarbeiters im Arbeitsverhältnis Was steht im Urteil vom 01.06.2022?

Was steht im Urteil vom LAG Schleswig-Holstein: 6 Ta 49/22 vom 01.06.2022?

Beschluss des LAG Schleswig-Holstein: 6 Ta 49/22 vom 01.06.2022

Sachverhalt:

Die Klägerin wandte sich mit dem Verfahren gegen die (teilweise) Versagung von Prozesskostenhilfe. Die Klägerin hatte im Pflegedienst der Beklagten als Pflegehelferin gearbeitet. Sie hatte während des Arbeitsverhältnisses an einem 36-sekündigen Werbevideo teilgenommen. Sie ist in dem Video zunächst unscharf und ab Sekunde 0:11 in Ganzkörperaufnahme zu sehen, wie sie in ein Auto einsteigt, auf dem „Wir suchen Pflegekräfte“ zu lesen ist und ein Audio-Overlay sagt „Steige jetzt mit ein!“. Später ist die Klägerin deutlich und in Portraitgröße im Auto sitzende zu erkennen, während das Audio-Overlay „zwischenmenschliche Beziehungen“ anpreist. Die Klägerin hatte sich nur mündlich zum Videodreh bereit erklärt. Die Beklagte hatte die Klägerin nicht vorab über den Zweck der Datenverarbeitung und ihr Widerrufsrecht in Textform informiert. Die Beklagte veröffentlichte das Video im Internet auf der Plattform „YouTube“. Die Klägerin hatte im arbeitsgerichtlichen Verfahren Unterlassungs- und Schmerzenzgeldansprüche in Höhe von EUR 6.000,- geltend gemacht, das Verfahren endete mit einem (uns unbekannten) Vergleich.

Mit dem vorliegenden verfahren wandte sich die Klägerin gegen die Versagung von Prozesskostenhilfe (diese wurde bezüglich des Schmerzensgeldanspruchs auf einen Gegenstandswert von EUR 2.000,- festgelegt).

Gründe der (teilweisen) Ablehnung:

Mit Beschluss hat das Arbeitsgericht der Klägerin Prozesskostenhilfe bewilligt, für ihren Antrag auf Zahlung von Schmerzensgeld, dies jedoch nur bis zu einer Höhe von 2.000,00 EUR.

Angesichts der konkreten Umstände des Einzelfalls lag für den der Klagforderung zugrundeliegenden Verstoß die Obergrenze einer noch vertretbaren Höhe des begehrten Schmerzensgelds bei 2.000,00 EUR.

--> EUR 2000,- sind angemessene Obergrenze

Stand: 29.06.2022

Was wurde im Urteil des EuGH vom 28.04.2022 zum Thema Klagebefugnis entschieden?

Urteil des EuGH vom 28.04.2022-Az. C-319/20)

Vorangehende BGH-Entscheidung:

Eine Verbraucherzentrale hatte 2012 gegen Facebook Ireland wegen unrechtmäßiger Datenverarbeitungen von Facebook-Nutzern geklagt. Der BGH legte die Frage, ob ein Verband für seine Mitglieder klagen darf (auch wenn es keinen entsprechenden Auftrag eines verletzten Verbrauchers gibt nach Art. 80 Abs. 1 DSGVO und auch wenn der klagende Verband keine Verletzung eines konkreten Verbrauchers tatsächlich nachweisen kann nach Art. 80 Abs. 2 DSGVO) dem EuGH vor. Dies war also eine Frage der Klagebefugnis des Verbands.

Konkret musste der EuGH damit also klären, ob ein vom konkreten Verletzungsfall unabhängiges Verbandsklagerecht existiert.

Urteil des EuGH:

Für die Klagebefugnis eines Verbands genügt ein feststellbarer Verstoß gegen die DSGVO, wenn dieser grundsätzlich geeignet ist, die Rechte identifizierter und identifizierbarer Personen zu verletzen. Einer Einzelfallprüfung, ob tatsächlich eine Verletzung stattgefunden hat, bedarf es nicht.

Stand: 01.06.2022

Kann die Vorlage eines gefälschten Impfausweises eine fristlose Kündigung rechtfertigen?

Urteil des ArbG Köln (18. Kammer) vom 23.03.2022 – 18 Ca 6830/21

Konkreter Sachverhalt:

Die Mitarbeiterin arbeitet im Gesundheitssektor. Am 04.10.2021 wurden alle Mitarbeiter - darunter auch die Klägerin - im Rahmen einer Institutskonferenz darüber informiert, dass ab dem 01.11.2021 nur noch vollständig geimpfte Mitarbeiter Kundentermine vor Ort wahrnehmen dürften. Die Beklagte bat darum, dass die Teamleiter im vertrauensvollen Austausch mit ihren Teammitgliedern erkunden, welche Mitarbeiter die Voraussetzungen erfüllen. Am 04. oder 05.10.2021 erklärte die Klägerin gegenüber ihrem Teamleiter ... sie sei „mittlerweile geimpft“ und zum Thema Einsatz beim Kunden in Präsenz wörtlich: „Alles safe“.

Die Klägerin setzte danach ihre Präsenzbesuche in den Kundenunternehmen - darunter auch Pflegeeinrichtungen für Senioren - fort. Nach dem 01.11.2021 absolvierte die Klägerin neun Außentermine, davon vier in Seniorenheimen. Nach Veröffentlichung einer Änderung des Infektionsschutzgesetzes, wonach ab dem 24.11.2021 der Zutritt zum Betrieb nur noch mit gültigem 3-G-Nachweis zulässig war, informierte die Beklagte mit Email vom 22.11.2021 (Anlage …) die Belegschaft über die entsprechende Handhabe im Betrieb. Ein etwaiger Impfnachweis könne durch Screenshot des digitalen Nachweises oder durch Vorlage des Impfausweises erfolgen. Es wurde darauf hingewiesen, dass eine Kopie für die Dokumentation gefertigt werden würde.

Die Klägerin legte am 03.12.2021 ihren Impfausweis bei der Personalabteilung der Beklagten zur Erstellung einer Kopie vor. Auf Nachfrage der Personalreferentin, ob sie auch einen QR-Impfcode habe, erklärte sie, dass sie ein digitales Impfzertifikat nur auf ihrem privaten Mobiltelefon gespeichert habe, welches sie aktuell nicht dabei habe. Da der Beklagten mangels QR-Code eine Gültigkeitsüberprüfung des Impfnachweises mittels der App CovPassCheck nicht möglich war, unterzog die Personalreferentin die Impfausweise von acht Mitarbeitern, die (nur) ihren Impfpass vorgelegt hatten, einer Chargenabfrage.

Aus den Urteilsgründen:

Die außerordentliche fristlose Kündigung der Beklagten vom 13.12.2021 ist durch einen wichtigen Grund im Sinne von § BGB § 626 Abs. BGB § 626 Absatz 1 BGB gerechtfertigt.

Demnach kann das Arbeitsverhältnis aus wichtigem Grund ohne Einhaltung einer Kündigungsfrist (nur) dann gekündigt werden, wenn Tatsachen vorliegen, aufgrund derer dem Kündigenden unter Berücksichtigung aller Umstände des Einzelfalls und unter Abwägung der Interessen beider Vertragsteile die Fortsetzung des Arbeitsverhältnisses selbst bis zum Ablauf der Kündigungsfrist nicht zugemutet werden kann. Dabei ist zunächst zu prüfen, ob der Sachverhalt ohne seine besonderen Umstände „an sich“ und damit typischerweise als wichtiger Grund geeignet ist. Alsdann bedarf es der weiteren Prüfung, ob dem Kündigenden die Fortsetzung des Arbeitsverhältnisses unter Berücksichtigung der konkreten Umstände des Falls und unter Abwägung der Interessen beider Vertragsteile - jedenfalls bis zum Ablauf der Kündigungsfrist - zumutbar ist oder nicht (vgl. nur BAG, Urteil vom 16. Juli 2015 - BAG Aktenzeichen 2AZR8515 2 AZR 85/15 -, Rn. BAG Aktenzeichen 2AZR8515 2015-07-16 Randnummer 21, juris).

Vorliegend sind diese Voraussetzungen für die Rechtfertigung der streitgegenständlichen Kündigung erfüllt.

Die Klägerin hat in schwerwiegender Weise ihre gegenüber ihrer Arbeitgeberin bestehenden vertraglichen Nebenpflichten (§ BGB § 241 Abs. BGB § 241 Absatz 2 BGB) verletzt und damit einen „an sich“ als Grund für eine außerordentliche Kündigung geeignete Pflichtverletzung begangen.

Wie ist die Erlangung dieser Informationen datenschutzrechtlich zu sehen?

Verstöße gegen das Recht auf den durch Art. 8 Absatz 1 GRCh gebotenen Schutz der personenbezogenen Daten bzw. das aus Art. 2 Absatz 1 i. V. m. 1 Abs. 1 GG abzuleitende Recht auf informationelle Selbstbestimmung (vgl. BVerfG, Urteil vom 24. November 2010 -  Aktenzeichen 1 BvF 2/05 -, BVerfGE 128, Seite 1 Randnummer 150 ff. mwN) können zu prozessualen Verwertungsverboten führen.

Das ist z.B. der Fall, wenn die dem Sachvortrag einer Partei zugrunde liegende Informations- oder Beweisbeschaffung das allgemeine Persönlichkeitsrecht der anderen Partei verletzt, ohne dass dies durch überwiegende Belange gerechtfertigt ist (= verfassungsrechtliches Verwertungsverbot“).

Vorliegend ist kein Verstoß gegeben, da die zu verwertenden Daten unter Einhaltung der einfachgesetzlichen Datenschutzvorschriften erlangt wurden, vgl. Art. 6 Absatz 1 Satz 1 lit. c DSGVO iVm. § 28b Absatz 3 Satz 3 IfSG in der vom 24.11. bis 11.12.2021 geltenden Fassung (aF).

Konkret aus dem Urteil zur Frage, ob die Erlangung der Informationen durch den Arbeitgeber rechtmäßig war:

„Unabhängig vom Vorliegen einer Einwilligung im Sinne von Artikel 6 Absatz 1 Satz 1 lit. a DSGVO war die Beklagte am 03.12.2021 berechtigt, den Impfstatus der Klägerin zu dokumentieren. Denn nach § 28B Absatz 3 Satz 1 IfSG aF war sie ab dem 24.11.2021 (das Datum der Mitarbeiterinformation hierzu (22.11.2021) ist insoweit ebenso irrelevant wie die von der Klägerin beklagte Uneindeutigkeit des entsprechenden Rund-Schreibens) gesetzlich verpflichtet, die Einhaltung der nach § 28B Absatz 1 Satz 1 IfSG aF geltenden 3-G-Zutrittsbeschränkung zum Betrieb zu überwachen und zu dokumentieren.

Nach § 28B Absatz 3 Satz 3 IfSG aF war ihr zu diesem Zweck die Verarbeitung der personenbezogene Daten der Mitarbeiter einschließlich der Daten zum Impfstatus erlaubt. Es ist nicht ersichtlich, dass die Klägerin den Impfausweis nicht zum Nachweis der Zutrittsvoraussetzungen nach § 28B Absatz 1 Satz 1 IfSG aF vorgelegt hätte. Jedenfalls konnte die Beklagte nicht davon ausgehen, dass sie trotz ihres positiven Impfstatus die Einhaltung der 3-G-Regel durch eine Testung (über-) erfüllen wollte. Dass die Nachweis-Vorlage auch der Kontrolle der Einhaltung der 2-G-Vorgabe für die von der Klägerin weiterhin durchgeführten Kunden-Präsenztermine dienen konnte, würde zusätzlich eine Rechtfertigung nach § 26 Absatz 1 Satz 1 BDSG bedeuten.

In Erfüllung der aus § 28B Absatz 3 Satz 1 IfSG aF folgenden Kontroll-Verpflichtung war die Beklagte nach Abs. 3 Satz 3 auch zur Verarbeitung durch Abgleich mit den öffentlich erhältlichen Daten der Chargenabfrage - welche selbst keine personenbezogenen Daten im Sinne von Artikel 4 Nummer 1 DSGVO bzw. des § 46 Nummer 1 BDSG enthielt - berechtigt. Nur so konnte die Beklagte mangels Vorlage des QR-Codes sicherstellen, dass tatsächlich der behauptete Impfstatus gegeben war.“

Stand: 18.05.2022