Aktuelles rund um Datenschutz

Der EuGH verlangt für den Schadenersatz aus Art. 82 die Darlegung eines konkreten Schadens. Bloßen Ärger oder Unwohlsein lässt er nicht ausreichen. Die Bemessung der konkreten Schadenshöhe überlässt der EuGH den nationalen Gerichten. Nationale Kriterien für die Festlegung des Schadenersatzes können hierbei herangezogen werden.

Dass der EuGH keine Bagatellgrenze gezogen hat, ist sinnvoll, da ein konkreter, kausaler Schaden dargelegt werden muss. Allerdings dürften an diesem Punkt die Deutschen Gerichte weiterhin auf der Suche nach einer einheitlichen Rechtssprechen sein. Im Moment sieht es noch so aus, dass sich insbesondere der Bundesgerichtshof und das Bundesarbeitsgericht alles andere als einig sind in der Frage der Auslegung der DSGVO.

dann müssen die Empfänger personenbezogener Daten in der Auskunft konkret benannt werden. Eine lediglich allgemeine Auskunft über Kategorien von Empfängern ist nach der Rechtsauffassung des EuGH unzureichend (EuGH, Urteil vom 12.01.2023, Rechtssache C-154/21). Es reicht dann bspw. nicht mehr aus das Systemhaus oder den Versanddienstleister als Empfängerkategorie zu nennen. Der Empfänger muss namentlich benannt werden.

Da datenschutzrechtliche Auskunftsersuchen von Beschäftigten oder Kunden immer häufiger vorkommen ist diese Entscheidung für die Praxis relevant. Art. 15 DSGVO gewährt betroffenen Personen ein Recht auf Auskunftserteilung.

Nach den datenschutzrechtlichen Vorgaben in Art. 15 DSGVO hat die betroffene Person das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden; ist dies der Fall, so hat sie ein Recht auf Auskunft über diese personenbezogenen Daten und unter anderem auch auf folgende Informationen:

• die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, insbesondere bei Empfängern in Drittländern oder bei internationalen Organisationen;

Der EuGH führt hierzu in seinem Urteil aus:

• Wenn personenbezogene Daten gegenüber Empfängern offengelegt worden sind oder noch offengelegt werden, dann ist der Verantwortliche verpflichtet, der betroffenen Person die Identität der Empfänger mitzuteilen.

Praxishinweis:

Nennung von Kategorien reicht nicht mehr aus. Um die konkreten Datenempfänger und nicht nur bloße Kategorien beauskunften zu können, sollten Unternehmen schon vor Eingang des Auskunftsantrages sicherstellen, dass ihnen die relevanten Informationen vorliegen oder sie jedenfalls innerhalb der Auskunftsfrist von grundsätzlich bis zu einem Monat (Art. 12 Abs. 2 DS-GVO) beschafft werden können. Das erfordert eine systematische Erfassung der Empfänger und eine regelmäßige Aktualisierung des Informationsstands.

Um etwaigen Auskunftsanträgen zuvorzukommen, könnten Unternehmen –relevante Empfänger auch bereits in den Datenschutzhinweisen aufführen, sofern hier keine entgegenstehenden Interessen bestehen. In Beschäftigtendatenschutzhinweisen kann man dies sicher gut umsetzen und hier die Empfänger namentlich nennen (Anbieter Zeiterfassungssoftware, externer Lohnabrechner etc).

Arbeitgeber als auch durch die Impfzentren. Der eine oder die andere wird sich noch dunkel an diese Zeit erinnern erinnern, an Listen die man als Arbeitgeber führen musste oder in die man sich als Arbeitnehmer eingetragen hat. Kommt einem schon wieder so weit weg vor, Geschichten aus einem anderen Jahrzehnt.

Nicht aufgepasst beim E-Mail-Anhang

Dass bei der Verarbeitung von Impfdaten etwas schiefläuft, war bei der Menge an Daten fast zu erwarten. Menschen machen nun mal Fehler, die KI vermutlich auch. In einem Impfzentrum der Stadt Essen kam es im Jahr 2021 zu einer gewaltigen Datenpanne, da sensible personenbezogene Daten von über 13.000 Menschen offengelegt werden.

In einer falsch versandten E-Mail befand sich eine Excel-Liste mit vollständigen Namen, Adressen und Geburtsdaten sowie Telefonnummern und E-Mail-Adressen der Betroffenen. Besonders problematisch war, dass auch zu erkennen war, zu welchem Zeitpunkt welche Person mit welchem Impfstoff geimpft werden sollte. Angaben zum Impfstatus sind Gesundheitsdaten im Sinne von Art. 9 Abs. 1 DSGVO und durch die DSGVO besonders geschützt.

Diese Liste wurde versehentlich an ca. 1.200 Personen geschickt. Mit der Mail sollten die zu impfenden Personen nur über Terminverschiebungen informiert werden. Ein Mitarbeiter in der E-Mail-Kette hatte jedoch vergessen, die Excel-Liste aus dem Anhang zu entfernen. Blöd gelaufen! Aber ein Fehler der durchaus mal vorkommen kann. Die Anzahl der Betroffenen war ziemlich ordentlich. 1.200 Menschen hatten plötzlich die Daten von 13.000 Impfwilligen. Eine der betroffenen Personen machte daraufhin gerichtlich Schadensersatz gegen die Stadt Essen als Betreiberin des Impfzentrums geltend in Höhe von 10.000 Euro.

Rechtsfolge: Schadenersatz

Das Landgericht Essen erkannte zwar einen Verstoß gegen datenschutzrechtliche Vorschriften, sprach dem Kläger aber lediglich ein Schmerzensgeld in Höhe von 100 Euro zu. Gegen die Entscheidung legten beide Parteien Berufung ein. Das OLG Hamm hat beide Berufungen zurückgewiesen und das Urteil des Landgerichts in Gänze aufrechterhalten. Auch das OLG hatte keine Zweifel, dass die Beklagte gegen datenschutzrechtliche Vorschriften verstoßen hat und der Kläger daher grundsätzlich einen Anspruch auf Schadensersatz nach Art. 82 DSGVO hat. Aber eben nur 100,00 Euro.

100,00 Euro klingen nach wenig

Wie kann trotz des großen Empfängerkreises und der Sensibilität der Daten ein Betrag von 100 Euro angemessen sein?

Das OLG macht dabei deutlich, dass der Kläger aus seiner Sicht durch die Offenlegung seiner Daten einen Kontrollverlust erlitten habe, aber einen darüber hinausgehenden Schaden konnte der Kläger offenbar nicht belegen. Auch zur Abschreckungs- und Sanktionswirkung nahm das Gericht Stellung. Zwar dürfte sich aus dem Kläger zuerkannten Betrag vielleicht noch keine abschreckende Wirkung ergeben, aber bei über 13.000 Geschädigten kann der Vorfall für Stadt Essen insgesamt also noch sehr teuer werden, wenn hier jeder auf die Idee kommt die Stadt auf 100,00 Schadenersatz zu verklagen.

Fazit: Weiterhin Vorsicht beim Versand von Mails und Anhängen mit sensiblen Daten, ansonsten kann das teuer werden.

Wer kennt sie nicht, die unerwünschten Nachrichten im E-Mail-Postfach. Bisher haben die Gerichte das Thema immer unter dem Aspekt gesehen: Es nervt, aber dafür gibt es keinen Schadenersatz, da es sich um eine Bagatelle handelt.
Das Landgericht Heidelberg hat nun entscheiden, dass ein Anspruch auf Zahlung von 25 EURO Schadensersatz aus Art. 82 DSGVO wegen unzulässiger Zusendung einer Werbemail besteht. (LG Heidelberg, Urteil vom 16.03.2022, AZ: 4 S 1/21: 25 EURO).

Das ist zwar keine Zeitenwende im Sinne von Olaf Scholz, aber doch eine kleine Kehrtwende in der Rechtsprechung. 25,00 Euro sind ein geringer Betrag, aber bei einer Vielzahl von Geschädigten kann hier doch eine hübsche Summe zusammenkommen.