Ersatz immaterieller Schäden wegen Datenschutzverstößen nach Art. 82 DSGVO

Viele werden nicht müde darauf hinzuweisen, dass ein immaterieller Schaden auch nach der DSGVO ersatzfähig sein kann. Aus diesen Sätzen liest man mittlerweile teilweise doch sehr überraschende Schlussfolgerungen, die den Eindruck erwecken, dass bereits ein Unwohlsein wegen eines Verstoßes gegen die DSGVO automatisch zu einem Schadensersatzanspruch führt.

Das Zauberwort in dieser Hinsicht, das viele zu übersehen scheinen, ist das Wort kann. Vor diesem Hintergrund ist allein die Feststellung, dass auch immaterieller Schaden ersatzfähig sein kann, weder neu noch sonderlich bahnbrechend. Im deutschen Recht gibt es diese Möglichkeit bereits seit Jahrzehnten und ist in Art. 82 I DSGVO explizit geregelt.

Derzeitiger Status Quo der Rechtsprechung zum Schadensersatz aus der DSGVO.

Mit der Entscheidung in der Rs. C-300/21 positionierte sich der EuGH erstmals zu den Voraussetzungen des datenschutzrechtlichen Schadensersatzanspruches nach Art. 82 DSGVO.

Der EuGH stellte hier fest, dass ein bloßer Verstoß gegen die DSGVO keinen Schadensersatzanspruch begründet – erforderlich ist ein konkreter Schaden, der kausal auf einem Datenschutzverstoß beruht. Der DSGVO-Schadensersatz hat keine Straffunktion und kann nur zum Ausgleich von individuellen Schäden herangezogen werden. Anders als z.B. im amerikanischen Recht.

Der BGH folgt offenbar der gleichen Ansicht. In seinem Beschluss vom 12.12.2023 (Az. VI ZR 277/22) betont er das die als Schaden geltend gemachten negativen Folgen eines Datenschutzverstoßes der Anspruchsteller konkret benennen muss. Das Einfügen von Textbausteinen scheint hierzu nicht ausreichend.

Es ist also notwendig, dass ein Nachweis eines konkreten Schadens erfolgt und auch dargelegt werden muss, wer für diesen Schaden verantwortlich ist.

Wer muss aber nun was beweisen?

Die Faustregel im deutschen Zivilrecht lautet dazu generell:

Der Anspruchssteller trägt die Beweislast für die rechtsbegründenden Tatbestandsmerkmale, der Anspruchsgegner für die rechtshindernden, rechtsvernichtenden und rechtshemmenden Merkmale.

Vereinfacht ausgedrückt gesagt, muss der Kläger beweisen, dass sein Anspruch besteht. Der Verteidiger muss beweisen, dass der Anspruch nicht besteht.

Was den Schaden betrifft, hat der EuGH bereits klargestellt, dass Anspruchssteller einen solchen, auch in der DSGVO, nach den oben beschriebenen Regeln nachzuweisen hat.

Auch für die Kausalität zwischen Verstoß und Schaden besteht Einigkeit, dass der Kläger die Beweislast trägt.

Wer die Beweislast für den Verstoß selbst gegen die DSGVO trägt, ist jedoch sehr umstritten.

Grund hierfür ist die in Art. 5 II DSGVO geregelte Rechenschaftspflicht. Danach ist der Verantwortliche für die Einhaltung der in Art. 5 I DSGVO genannte Datenschutzgrundsätze verpflichtet, die der Verantwortliche auch nachweisen können muss.

Viele argumentieren nun, dass hieraus eine generelle Beweispflicht des Verantwortlichen entsteht, da die Einhaltung der DSGVO in seinen Pflichtenkreis gehört.

Nach dem Grundsatz der Verfahrensautonomie ist es Sache der Mitgliedsstaaten, die verfahrensrechtliche Modalität der Rechtsbehelfe zu regeln. Daher sind die Beweisregeln des jeweiligen nationalen Prozessrechtes anzuwenden. Die in Art. 5 II DSGVO normierte Rechenschaftspflicht gilt eben nur gegenüber Datenschutzaufsichtsbehörden, denen es nach Art. 58 I a DSGVO gestattet ist, den Verantwortlichen zur Bereitstellung von Informationen anzuweisen.

Die Rechenschaftspflicht begründet also „nur“ eine Pflicht außerhalb des Prozesses, nicht aber eine zivilrechtlich bindende Beweislastregel. Dies schon deshalb, weil niemand eine Pflicht hat, sich im Prozess zu verteidigen und vorzutragen. Schon der Wortlaut der Norm zeigt also, dass hier nicht die Prozesssituation gemeint sein kann.

EU-Gesetze für digitale Dienste

Data Act

Seit dem Februar 2022 liegt der Entwurf des Data Acts vor. Dieser wurde im Juli 2023 in einer informellen Fassung, im Trilog widerspiegelt (14.07.2023, Interinstitutioneller File Nr.2022/0047 COD). Der Data Act versucht mit einheitlichen Vorschriften einen fairen Zugang zu Daten und deren Nutzung in Form einer EU-Verordnung zu regeln. Er enthält weitreichende Regelungen für die privatwirtschaftliche Datennutzung. Der Fokus des Data Acts, wurde dabei auf Maschinendaten und Industriedaten gelegt. Deren wirtschaftliche Nutzung soll dabei durch die entstehende Rechtssicherheit erleichtert werden. Es werden aber auch personenbezogene Daten erfasst, z.B. etwa die Nutzungsdaten in einer jeden von Endverbrauchern verwendeten App.

Ein Ziel ist durch den Abbau technischer Hindernisse den Weg zu einer interoperablen und agilen Datenwirtschaft zu ermöglichen.

Damit versucht die EU erstmals direkt die Regulierung des eigentlichen Datengeschäfts. Zuvor waren Vorgaben häufig lediglich auf Spezialbereiche beschränkt oder zielten direkt auf richtungsgebende Organisationen, wie z.B. Microsoft, Meta, Amazon oder Google ab. Dazu kommen Regelungen zur Missbrauchskontrolle von Verträgen über die Datennutzung, die mit anderen Unternehmen abgeschlossen werden, Datenübermittlung in Drittstaaten, Pflichten zur Daten-Portabilität und vieles mehr. Der Data Act ist damit nicht mit dem Data Governance Act zu verwechseln (hierzu mehr im nachfolgenden Absatz). Dieser beschäftigt sich hauptsächlich mit der Weiterverarbeitung von Daten der öffentlichen Hand, dem allgemeinen Rechtsrahmen für Datenvermittlungsdienste und nicht-kommerziellen Verarbeitungsformen.

 

Data Governance Act

Der Data Governance Act ist im Juni 2022 in Kraft getreten und gilt seit September 2023.

Wichtig ist hierbei, dass er als EU-Verordnung unmittelbar in jedem Mitgliedstaat gilt, ohne dass es einer vorherigen Umsetzung in das nationale Recht bedarf. Dabei erhofft sich die EU-Kommission große Ziele. Der Data Governance Act soll die bestehenden Hemmnisse für eine gut funktionierende Datenwirtschaft abbauen und einen EU-weiten Rechtsrahmen für den Zugang zu Daten und deren Verwendung schaffen. Dies möchte der Data Governance Act dadurch bewerkstelligen, dass er eine Art rechtliche Anleitung für den Aufbau einer Infrastruktur für den Datenmarkt zur Verfügung stellt. Anbieter sog. „Datenvermittlungsdienste“ sollen als Mittler zwischen Dateninhabern und Datennutzer das Teilen und die Nutzung der Daten fördern. Diese dürfen innerhalb der EU danach aber nur tätig werden, wenn sie bestimmte formelle und materielle Voraussetzungen erfüllen und sich dementsprechend registrieren.

Befinden sich Daten im Besitz öffentlicher Stellen, sollen diese möglichst breit und diskriminierungsfrei der Öffentlichkeit zur Verfügung stehen. Darüber hinaus soll dieser mehr Vertrauen in den „Datenaltruismus“ geschaffen werden: Dafür wird die EU-Kommission auch ein Musterformular für eine Einwilligung bereitstellen.

grafische Darstellung DA und DGA

Der Data Act, der Data Governance Act und der Datenschutz

All diese Daten, die über die Vorgaben in dem Data Act und dem Data Governance Act reguliert werden, können auch personenbezogene Daten i.S.d des Art 4 Nr.1 DSGVO darstellen. Beide Vorschriften gelten für nicht-personenbezogene Daten und personenbezogene Daten gleichermaßen.

Und dennoch lassen beide Rechtsakte nach ihrem jeweiligen Art 1 III die DSGVO angeblich „unberührt“:

Art 1 III Data Act regelt, dass für personenbezogene Daten, die im Zusammenhang mit den Vorgaben des DA verarbeitet werden, die Rechtsvorschriften der Union und der Mitgliedstaaten über den Schutz personenbezogener Daten gelten. Die DSGVO bleibt unberührt, im Falle eines Widerspruches zwischen DSGVO und DA soll die DSGVO Vorrang haben.

Art 1 III DGA regelt dies ähnlich: Die DSGVO gilt für alle personenbezogenen Daten und der Data Governance Act gilt „unbeschadet“ der DSGVO. Im Fall eines Konfliktes soll die DSGVO ebenfalls Vorrang genießen. Beide Rechtsakte stellen zudem klar, dass sie keine Rechtsgrundlage für die Verarbeitung personenbezogener Daten darstellen, der Data Governance Act und Art 1 II a.E, der Data Act in Erwägungsgrund 7.

Ob allerdings diese Vorschriften derart unbeschadet von der DSGVO gelten wird wohl lediglich die Zukunft zeigen.

Unabhängig jedoch von aller möglichen Kritik im Detail können beide Vorschriften bereits als Meilenstein angesehen werden. Denn insbesondere der Data Act wird quasi jede Person, die ein IoT-Gerät produziert oder ein Cloudservice anbietet bzw. solch einen Dienst nutzt (ob nun gewerblich oder privat) betreffen. Eine genauere Reglung ist bei Betrachtung der gesellschaftlichen Dimensionen der Datennutzung und Datenerhebung heutzutage eigentlich unabdingbar.

EuGH Urteil vom 14.12.2023 – C-340/21

Die Angst vor Datenmissbrauch kann einen Schaden darstellen.

Nach dem Urteil des EuGH vom 14.12.2023 kann allein die Angst vor den Folgen eines Datenmissbrauchs einen immateriellen Schaden darstellen.
Ausgangsfall war, dass im Juli 2019 die bulgarischen Medien die Nachricht veröffentlichten, dass ein Unbefugter Zugang zu dem Netzwerk der nationalen Agentur für Einnahmen, Bulgarien (kurz: NAP) erlangt hat und dadurch verschiedene Steuer- und Sozialversicherungsdaten von Millionen von Menschen im Internet veröffentlichen konnte.
Eine Betroffene, deren personenbezogene Daten offenbart wurden, verklagte die NAP auf Ersatz ihres immateriellen Schadens, weil sie einen Missbrauch ihrer Daten durch Dritte befürchtete. Unter anderem befürchtete Sie eine Entführung.

Ein immaterieller Schaden kann dem EuGH zufolge auch durch die Befürchtung, die Daten könnten missbräuchlich verwendet werden, entstehen.
Der Gerichtshof hob jedoch hervor, dass die betroffene Person weiterhin das Vorliegen eines immateriellen Schadens i.S.v. Art. 82 DSGVO nachweisen muss.
Der EuGH zeigt in diesem Zusammenhang auch auf das die Tatsache, dass ein erfolgreicher Cyberangriff nicht automatisch bedeutet, dass die Schutzmaßnahmen des Verantwortlichen auch ungeeignet oder unzureichend waren. Allerdings muss der Verantwortliche darlegen und beweisen, dass die getroffenen Maßnahmen zur Abwehr von Hackerangriffen geeignet waren. Es liege dann an den nationalen Gerichten, die Eignung oder Nichteignung zu beurteilen.

Wir werden die Entwicklung natürlich für Sie im Auge behalten.

Risiken bei der Verwendung von KI-Modellen und Lösungsansätze

Zahlreiche Aufgaben in der heutigen Organisation, wie etwa die Suche nach Informationen, lassen sich mithilfe von eigenen KI-Systemen gut oder sehr gut lösen . Bei zahlreichen Anbietern, wie etwa ChatGPT, bestehen jedoch durchaus Risiken in gleich mehreren Rechtsgebieten. Diese können von Datenschutz, über das Geschäftsgeheimnisgesetz, bis hin zum Urheberrecht und bei einigen Berufsfeldern ( z. B. Arzt, Apotheken und Anwälten) sogar bis hin zum Strafrecht reichen .

Rechtliche und organisatorische Risiken

Organisationen sehen sich hier einem Risiko ausgesetzt, wenn sie Daten in ein KI-System eingeben, das Dritte betreiben und somit nicht die volle Kontrolle über die eigenen Daten bietet.

Wie jedem mittlerweile klar sein sollte, werden die über ChatGPT verarbeiteten Daten von Microsoft für eigenen Zwecke genutzt und abgespeichert. Dies kann über den Gebrauch der gewonnenen Daten für das Training der KI, bis hin zur Auswertung der Daten für Werbezwecke reichen.

Zurzeit ist zwar je nach Umständen ein rechtssicherer Datentransfer an Server oder Unternehmen mit USA-Bezug wieder einfacher und rechtssicherer möglich.

Das neue Datenschutzabkommen zwischen Europa und den USA wird jedoch zukünftig mit an Sicherheit grenzender Wahrscheinlichkeit angegriffen werden.

Allein dieser Punkt sollte für viele Organisationen ausreichen, um zu überlegen, ob eine dauerhafte geplante Einbindung von z. B. ChatGPT nicht für eigene Daten zielführend ist und das Risiko rechtfertigt.

Vor allem da Daten eines Unternehmens auch ohne Personenbezug aus dem oben genannten Gründen auch schützenswert sein können.

Für personenbezogene Daten sind weiterhin bekanntlich die Vorgaben der Datenschutz-Grundverordnung (DSGVO) zwingend einzuhalten.

Die Verarbeitung personenbezogener Daten ist daher nur aufgrund einer Rechtsgrundlage zulässig und geht mit verschiedenen Verpflichtungen einher.

Aus den eben genannten Gründen sind sensible Daten auf einem Server in den USA oder in der Obhut eines amerikanischen Anbieters generell nicht als sicher anzusehen. Dies lässt sich aus ähnlichen Gründen auch für andere Staaten, wie China oder Russland annehmen. Somit ist ChatGPT kein besonderer geeigneter Platz für Mitarbeiterdaten, Vertragsdokumente, Software-Quelltexte , Patentschriften und dergleichen.

Sollte ein Verzicht auf KI-Modelle jedoch nicht in Betracht kommen, gibt es hier mehrere Lösungsansätze.

Eine Möglichkeit wäre es eine entsprechende Richtlinie in der Organisation zur Nutzung von KI-Modellen zu erlassen.

Darin sollten zumindest folgende Punkte für die Mitarbeiter verständlich abgehandelt werden:

  1. Zweck und Verantwortlichkeiten
  2. Zulässiger Anwendungsbereich
  3. Vertraulichkeit und Datenschutz
    1. Personenbezogene Daten gem. Art 4 Nr.1 DSGVO
    2. Umgang mit Geschäftsgeheimnissen
  4. Der Gesetzlichen Auskunftsanspruch
  5. Verantwortungsbewusste Entscheidungsfindung
  6. Feedback und Verbesserung
  7. Sicherheit
  8. Schulung und Bewusstsein
  9. 8.Umgang mit dem Account
  10. Datenschutzverletzungen

Eine andere Lösung dieses Problems wäre die Einführung eines autarken KI-Systems, die ein Unternehmen selbst betreibt .

Autarke KI-Systeme sind eigenständige Anwendungen, die auf einer eigenen (oder gemieteten) Hardware laufen. Diese Anwendungen lassen sich auch ohne eine Internetverbindung betreiben.

Daraus wird bereits der Vorteil ersichtlich. Der Datenfluss verbleit vollständig kontrollierbar und in der Hand der Organisation ohne einem Dritten einen Einblick gewähren zu müssen.

Die Pflichten aus der DSGVO, wie etwa die Informationspflicht Art 13 DSGVO oder nachkommen eventueller Betroffenenrechte nach Art 15 ff DSGVO, dürften damit für die verantwortliche Organisation leichter nachkommen zu sein, als bei einer Inanspruchnahme einer extern betriebenen KI.

Hierzu gibt es bereits einige erschwingliche Grundlagenmodelle verschiedener Anbieter.

Diese müssten natürlich dann noch entsprechend „trainiert“ und auf die Bedürfnisse der Organisation angepasst werden.

Data Privacy Framework

Am 10.07.2023 ist der Angemessenheitsbeschluss zum EU-U.S. Data Privacy Framework in Kraft getreten, der als Grundlage für Datenübermittlung an zertifizierte Organisationen in die USA dienen kann.

Damit soll die bisher kritisch begutachtete Datenübertragung nach den USA abgesichert werden.

Vorab aber dazu eine kurze Entstehungsgeschichte des EU‐US Data Privacy Framework um die Einordnung zu erleichtern.

Der Europäische Gerichtshof (EuGH) erklärte 2015 und 2020 in den sog. „Schrems I“‐ und „Schrems II“‐Urteilen zwei frühere Angemessenheitsbeschlüsse für zertifizierte Stellen in den USA („Safe Harbor“ sowie „Privacy Shield“) aufgrund unverhältnismäßiger Zugriffsbefugnisse der US‐Sicherheitsbehörden und unzureichender Rechtsschutzmöglichkeiten für betroffene Personen für ungültig.

Dies lag zu einem sehr großen Teil an den Offenlegungen, dass US‐Sicherheitsbehörden systematisch und massenhaft auf personenbezogene Daten von EU‐Bürgerinnen und EU‐Bürgern zugreifen. Damit wurden die Grundsätze der Besagten gravierend verletzen. Daraufhin erklärte der EuGH im Oktober 2015 in der sog. „Schrems I“‐Entscheidung den „Safe Harbor“‐Angemessenheitsbeschluss der Europäischen Kommission für ungültig.

Der nachfolgende Angemessenheitsbeschluss, der auf das sog. „Privacy Shield“ beruhte, wurde aus ähnlichen Gründen durch das Urteil des EuGH s am 16. Juli 2020 ebenfalls hinfällig.

I. Das Problem der Übermittlung an sog. unsichere Drittländer

Problematisch seit dem war, dass es sich auch beim Einräumen einer faktischen Zugriffsmöglichkeit aus dem Drittland (beispielsweise für administrative oder Supportzwecke) um eine Übermittlung nach Drittländern handeln kann. Die seitdem von US-Dienstleistern angeführten Server innerhalb der EU, auf denen die personenbezogenen Daten von EU-Bürgern  abgespeichert wurden, waren daher, genauso wie die vertragliche (nicht realistisch erfüllbare) Garantie, die Datenverarbeitung auf EU-Länder zu beschränken, datenschutzrechtlich gesehen, häufig irrelevant .

Als Lösung sollten die von der Europäischen Kommission verfassten Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Drittländer dienen.

Diese wurden allerdings auch von vielen als nicht ausreichend bewertet, aus Gründen, die bereits anderorts in erheblicher Breite und Tiefe diskutiert wurden und deswegen hier nicht wiederholt werden sollen.

Dieses Problem soll aber nun mit dem EU‐US Data Privacy Framework abgeschafft worden sein.

Wichtig zu merken ist, dass der Angemessenheitsbeschluss zum EU‐US DPF lediglich sektoral ist. Dies bedeutet, er erfasst nur Datenübermittlungen an teilnehmende US‐Organisationen. Hier handelt es sich eben nicht um einen umfassenden Angemessenheitsbeschluss für die gesamten USA.

Datenexporteure müssen daher prüfen, ob ihre geplanten Datenübermittlungen in den Anwendungsbereich des Beschlusses fallen und damit auf Grundlage dieses Übermittlungsinstrumentes vorgenommen werden können.

II. Wer kann sich zertifizieren lassen? Wie wird zertifiziert?

Eine Selbstzertifizierung unter dem EU‐US DPF ist jeder US‐Organisationen, die der Aufsicht der Federal Trade Commission (FTC, eine US‐Bundesbehörde, die für Wettbewerbskontrolle sowie Verbraucherschutz zuständig ist) oder des US Department of Transportation (DOT, US‐Verkehrsministerium) unterliegen, möglich.
Zukünftig können gegebenenfalls weitere Zuständigkeiten hinzukommen.
Bislang steht eine Zertifizierung jedoch nur Unternehmen offen, welche einer der genannten aufsichtsbehördlichen Zuständigkeiten unterliegen.

Für die Aufnahme der Zertifizierung in die Liste des US‐Handelsministeriums (US Department of Commerce, DOC) bestehen bestimmte Voraussetzungen.
Dem Handelsministerium müssen unter anderem bestimmte 25 Informationen übermittelt werden:
• den Namen der betreffenden US‐Organisation (US‐Unternehmen oder US‐Tochtergesellschaften),
• den Zweck, zu dem die Organisation personenbezogene Daten verarbeiten wird,
• die Kategorie der personenbezogenen Daten, die von der Zertifizierung erfasst werden,
• die gewählte Überprüfungsmethode,
• den einschlägigen unabhängigen Regressmechanismus und
• die für die Durchsetzung der Grundsätze zuständigen gesetzlichen Stelle.

Werden sämtliche Anforderungen nach Überprüfung durch das Handelsministerium erfüllt, erklären die jeweiligen US‐Organisationen öffentlich, dass sie sich zur Einhaltung der Vorgaben des EU‐US DPF verpflichten, ihre Datenschutzrichtlinien zur Verfügung zu stellen und diese vollständig umsetzen.

Zur Überprüfung wird eine „Data Privacy Framework List“ veröffentlicht, welche diejenigen US‐Organisationen auflistet, die ihre Selbstzertifizierung unter dem EU‐US DPF abgeschlossen haben.

Nur Übermittlungen an dort aufgelistete US‐Organisationen können auf den EU‐US DPF gestützt werden. Es sollte also vor dem Eingehen eines jeweiligen Vertragsverhältnisses eine Überprüfung erfolgen, ob die jeweilige US-Organisation eine entsprechend gültige Zertifizierung besitzt.

Auf Grundlage des EU‐US DPF, können personenbezogene Daten ab dem Zeitpunkt, zu welchem die Organisation auf der entsprechenden Liste aufgezeigt wird, übermittelt werden.

Zum Erhalt der Zertifizierung erfolgt eine jährliche „Neu‐Zertifizierung“ mit Verpflichtungserklärungen gegenüber dem Handelsministerium und einer erneuten Prüfung durch dieses.

Die FTC, deren Zuständigkeit in 15 U.S.C. § 45 geregelt ist, weist auf Bereiche hin, in welchen sie keine bzw. nur eingeschränkte Zuständigkeiten hat.

Sollte der Datenexporteur daher Übermittlungen in diesen Bereichen planen, kann dies evtl. nicht auf Grundlage des Angemessenheitsbeschlusses zum EU/US DPF erfolgen. Betroffen sind insbesondere die Betreiber öffentlicher Telekommunikationsnetze, das Versicherungsgewerbe und der Bankensektor. Hier muss der Datenexporteur genau prüfen, ob der Datenimporteur auf der EU/US/DPF /Liste gelistet wurde.

III.  Welche Übermittlungen sind erfasst?

Auf Grundlage des EU‐US DPF können nahezu alle Übermittlungen personenbezogener Daten aus der EU sowie dem EWR an US‐Organisationen, die aufgrund ihrer Zertifizierung zum EU‐US DPF in der EU‐US‐DPF‐Liste gelistet sind, erfolgen.

Allerdings sind keine Datenübermittlungen von Stellen außerhalb der EU (EWR), welche der DS‐GVO gem. Art. 3 Abs. 2 DS‐GVO unterfallen, an Organisationen in den USA, welche in der EU‐US‐DPF‐Liste, aufgelistet sind, vom Angemessenheitsbeschluss umfasst. Zudem gilt eine „journalistische Ausnahme“ für Daten im Zusammenhang mit journalistischer Aktivität und Medienarchiven. Diese Daten können nicht auf Grundlage des EU‐US DPF übermittelt werden.

Bei Beschäftigtendaten, welche im Beschäftigungskontext übermittelt werden, muss vorher geprüft werden, ob die Zertifizierung sich tatsächlich auch auf diese spezielle Datenart bezieht, da die Zertifizierung diese, nach unserer Ansicht, nicht zwingend erfasst.

Neuigkeiten zur Google Fonts Abmahnwelle

Bezüglich der Google-Fonts Abmahnwelle scheint sich die Situation weiterhin für einige der Abmahner zuzuspitzen.
Die Generalstaatsanwaltschaft in Berlin ermittelt weiterhin in dieser Frage und hat in einem Verfahren gegen zwei Beschuldigte Durchsuchungsbeschlüsse in Berlin, Hannover, Ratzeburg und Baden-Baden erlassen, inklusive zwei Arrestbeschlüsse mit einer Gesamtsumme von 346.000 Euro.
(Wir berichteten damals).
Dazu scheinen nun auch auf zivilrechtlicher Ebene dem Geschäftsmodell der Google Fonts-Abmahnungen Probleme entgegenzukommen.
So hat jetzt das Amtsgericht Ludwigsburg am 28.02.2023 (Az. 8 C 1361/22) gegen besagte Abmahner entschieden. Grund war hier eine negative Feststellungsklage einer Adressatin eines Abmahnschreibens einer Anwaltskanzlei aus Berlin. Die Klägerin verlangte in dieser gerichtlich feststellen zu lassen, dass ein entsprechender Anspruch der abmahnenden Personen nicht bestand.

Das Gericht gab dem Begehren der Klägerin statt, hauptsächlich deswegen, weil es einen Rechtsmissbrauch gem. § 242 BGB als gegeben angesehen hat. So erschien dem Gericht ein Einnahmeerzielungsinteresse der Abmahnenden als vordergründiges Motiv und nicht etwa, wie behauptet, die Erzeugung von Aufmerksamkeit für das Google Fonts Problem. Dies deckt sich auch mit unserer  mehrmals geäußerten Rechtseinschätzung.
Unter anderem hat das Gericht auch den Rechtsmissbrauch als gegeben angesehen, da man sich einen ebenfalls gestellten Unterlassungsanspruch hätte abkaufen lassen und die Abmahner unbestritten die Webseite der Klägerin unter Einsatzes eines Webcrawlers aufgesucht haben.

Interessant ist hier, dass das Gericht auf einen evtl. Schadensersatzanspruch der Abmahnenden gem. Art 82 I DSGVO gar nicht vertieft einging. Nach dem Gericht konnte das Vorliegen eines solchen Anspruches wegen des besagten rechtsmissbräuchlichen Handelns grundsätzlich dahinstehen.
Ob aufseiten der Abmahnenden es also nun aufgrund Ihres „Ärgers“ zu einem berechenbaren Schaden gekommen ist oder nicht, wurde vom Gericht also nicht mit entschieden. Dies kann durchaus dahingehend gedeutet werden, dass das Gericht das rechtsmissbräuchliche Handeln als ziemlich eindeutig angesehen hat.
Auch lässt die Tatsache, dass der Einsatz eines sog. Webcrawlers als erwiesen zu sein scheint, bzgl. des anhängigen Verfahrens wegen versuchten Betruges und versuchter Erpressung in mindestens 2.418 Fällen wohl kein glimpfliches Ende für die Abmahnenden vor dem Strafgericht erahnen.
Das Endergebnis bleibt jedoch, wie immer vor Gericht abzuwarten.

Kein Schadensersatzanspruch bei bloßem Ärger

Der Generalanwalt verneint vor dem EuGH in seinem Schlussantrag vom 6.10.2022 (C-300/21), den immateriellen Schadensersatz bei bloßem Ärger über einen Datenschutzverstoß.

Grund für diese Einschätzung war folgender Sachverhalt:
Eine beklagte Adresshändlerin verknüpfte, ohne eine entsprechende Einwilligung der betroffenen Person, Daten von Umfrageinstituten und Wahlstatistiken, um in ihrer Kartei die Informationen zu speichern, an welcher Werbung die jeweilige Person interessiert sein könnte. Der betroffene Kläger war verärgert über diesen Vorgang und die ihm zugeordnete Einschätzung. Als einziger Schadensgrund wurde von Klägerseite sein „ Ärger“ angegeben.

Nach dem Vorschlag des Generalanwaltes sollte der Schadensersatzanspruch nach Art 82 DSGVO zukünftig wie folgt ausgelegt werden:

  1. Für die Anerkennung eines Anspruches auf Ersatz des Schadens, den eine Person infolge eines Verstoßes gegen die DSGVO erlitten hat, reicht die bloße Verletzung der Norm als solcher nicht aus, wenn mit ihr keine entsprechenden materiellen oder immateriellen Schäden einhergehen.
  2. Der in der DSGVO geregelte Ersatz immaterieller Schäden erstreckt sich nicht auf bloßem Ärger, zu dem die Verletzung einer Vorschrift bei der betroffenen Person geführt haben mag. Es ist Sache der nationalen Gerichte, herauszuarbeiten, wann das subjektive Unmutsgefühl aufgrund seiner Merkmale im Einzelfall als immaterieller Schaden angesehen werden kann.

Sollte sich diese Ansicht vor dem EuGH durchsetzen, müsste für Art 82 DSGVO also ein Schaden konkret nachgewiesen werden können. Dabei reicht dann ein Kontrollverlust eben nicht per se aus, um einen Schaden zu bejahen. Weiterhin macht dann auch nicht jedes negative subjektive Empfinden einen solchen nachweisbar.

Neuer Angemessenheitsbeschluss für die USA in Aussicht

Am 7. Oktober 2022 hat der US-Präsident Joe Biden ein neues Datenschutzabkommen mit der Europäischen Union durch einen Erlass (Executive Order) auf den Weg gebracht. Damit soll dann zum Datenaustausch zwischen der EU und US-Anbietern der juristische Weg freigemacht werden.

Einzusehen hier in englischer Sprache.

https://www.whitehouse.gov/briefing-room/statements-releases/2022/10/07/fact-sheet-president-biden-signs-executive-order-to-implement-the-european-union-u-s-data-privacy-framework/

Diese Exekutivanordnung präzisiert die Verpflichtungen der USA, die diese im Rahmen des Datenschutzrahmens zwischen der Europäischen Union und den USA (EU-U.S. Data Privacy Framework – DPF) zum Schutz europäischer Nutzer umsetzen möchte.

Es soll weitere Schutzmaßnahmen der USA geben, die sicherstellen, dass US-Geheimdienste und -Behörden nur dann auf Daten europäischer Nutzer zugreifen dürfen, wenn es sich um die Verfolgung definierter nationaler Sicherheitsziele handelt.  Die Privatsphäre und die bürgerlichen Freiheiten aller Personen sind, unabhängig von ihrer Staatsangehörigkeit oder ihrem Wohnsitzland, zu berücksichtigen. Zugriffe auf Daten dürfen nur durchgeführt werden, wenn dies notwendig ist, um eine validierte Aufklärungspriorität voranzutreiben, und nur in dem Umfang und auf eine Weise, die dieser Priorität angemessen ist.

Das EU-U.S. Data Privacy Framework schreibt den Umgang mit personenbezogenen Daten vor, die im Rahmen von nachrichtendienstlichen Aktivitäten erhoben wurden, und erweitert die Zuständigkeiten von Rechts-, Aufsichts- und Compliance-Behörden. Dies soll sicherstellen, dass bei Verstößen gegen die Vorschriften geeignete Maßnahmen ergriffen werden. Die US-Geheimdienste müssen ihre Richtlinien und Verfahren aktualisieren, um die neuen, in der Executive Order enthaltenen Garantien für den Schutz der Privatsphäre und der bürgerlichen Freiheiten zu berücksichtigen.

Drittens wird ein mehrstufiger Mechanismus für Einzelpersonen aus qualifizierten Staaten und Organisationen der regionalen Wirtschaftsintegration (sprich für Bürger und Unternehmen der EU) geschaffen. Dieser Mechanismus soll eine unabhängige und verbindliche Überprüfung und Wiedergutmachung von stattgefundenen Fällen ermöglichen, in denen US-Geheimdienste private Daten unter Verletzung des geltenden US-Rechts gesammelt oder verarbeitet haben.

Diese Schritte sollen der Europäischen Kommission eine Grundlage für die Annahme eines neuen Angemessenheitsbeschlusses für die USA bieten.

Dieser würde dann die Standardvertragsklauseln für die Übermittlung personenbezogener Daten in die USA überflüssig machen.

Ob dies allerdings dann wirklich eine dauerhafte Lösung darstellt, bleibt aus mehreren Gründen abzuwarten.

Denn es sieht bereits danach aus, als würde das Abkommen wieder vor dem EuGH landen. Der Datenschutzverein noyb mit seinem Vorstandsvorsitzenden Schrems hat bereits angekündigt, die Einigung sehr genau zu untersuchen. Laut einer ersten Einschätzung der Datenschützer dürfte auch der neueste Entwurf (wie zuvor) vor dem höchsten europäischen Gericht scheitern.

Weiterhin bleibt zusätzlich beachten, dass es sich hier „nur“ um einen Erlass handelt.

Bei einem Wechsel im Weißen Haus könnte dieser also von Präsident Bidens Nachfolger relativ schnell wieder rückgängig gemacht werden.

Die weitere Entwicklung bleibt also abzuwarten.

3-G am Arbeitsplatz

Corona beeinflusst seit nun fast 2 Jahren das tägliche Leben von uns allen.

Dies gilt auch oder besser gesagt gerade für den Arbeitsplatz. Der Arbeitsplatz ist ein Ort, an dem zwangsläufig Kontakte stattfinden und dies über längere Zeiträume hinaus.

Angesichts des sich beschleunigenden Infektionsgeschehens ist die Gefahr von Ansteckungen in Arbeitsstätten daher auch zwangsläufig größer geworden.

Dieser Gefahr soll jetzt die am 22.11.2021 vom Bundespräsidenten unterschriebene und am 23.11.2021 im Bundesanzeiger veröffentlichte Änderung am Infektionsschutzgesetz entgegenwirken.

Dies soll unter anderem durch die Einführung einer gesetzlichen Grundlage für 3G am Arbeitsplatz geschehen.

Rechtsgrundlage

Nach den datenschutzrechtlichen Regelungen gilt das Verbot mit Erlaubnisvorbehalt. Das heißt, dass jede Datenverarbeitung unzulässig ist, es sei denn es gibt eine gesetzliche Grundlage oder die betroffene Person willigt ein. Die Verarbeitung von Gesundheitsdaten, wozu der G-Status gehört, (geimpft, genesen oder getestet) ist nach der Systematik der DSGVO unerwünscht.

Obwohl der Artikel 9 Absatz 2 b DSGVO nach seinem Wortlaut die Verarbeitung sensibler Daten zur Erfüllung arbeitsrechtlicher Pflichten (z.B. die Gesundheit der Beschäftigten) dem Anschein nach zulässig ist, handelt es sich nur um eine sogenannte Öffnungsklausel, die es unter anderem dem deutschen Gesetzgeber erlaubt Rechtsgrundlagen zur Verarbeitung sensibler Daten schaffen.

Eine solche Rechtsgrundlage ist der § 26 Absatz 3 BDSG i.V.m mit dem neu geschaffenen § 28 b Absatz 1 Infektionsschutzgesetz (IfSG).

Der § 28 b IfSG verpflichtet nun  den Arbeitgeber zu Einführung und Überwachung der 3-G Regeln am Arbeitsplatz.

„Arbeitgeber und Beschäftigte dürfen Arbeitsstätten, in denen physische Kontakte von Arbeitgebern und Beschäftigten untereinander oder zu Dritten nicht ausgeschlossen werden können, nur betreten….. wenn sie geimpfte Personen, genesene Personen oder getestete Personen im Sinne des ……. sind und einen Impfnachweis, einen Genesenennachweis oder einen Testnachweis im Sinne …..mit sich führen, zur Kontrolle verfügbar halten oder bei dem Arbeitgeber hinterlegt haben“.

Dem Arbeitgeber wird jetzt mit dieser Vorschrift ein Nachfragerecht bzgl. von 3-G-Nachweisen seiner Arbeitnehmer eingeräumt. Dies war vor dem § 28 b IfSG  nur unter sehr eingeschränkten Voraussetzungen möglich. Wollte man als Arbeitgeber nun wissen, ob die Beschäftigten geimpft, genesen oder getestet sind, so konnte man dies nur bewerkstelligen, indem man eine Einwilligung einholte.

(Eine Erläuterung zu dieser Problematik finden Sie in unserem Artikel unter der Überschrift „Dürfen Arbeitgeber den Impfstatus abfragen?“ https://www.gindat.de/news/detail///impfstatus.html )

Fraglich ist jetzt, ob der neue § 28 b IfSG die versprochen Abhilfe geschaffen hat.

Problem: Fragerecht

Leider ist der genaue Umfang der Rechte des Arbeitgebers bzgl. eines Nachfragerechts auch in der neuen Vorschrift nicht genau geregelt. So wird ein ausdrückliches Fragerecht in Bezug auf den Impfstatus seiner Arbeitnehmer dem Arbeitgeber auch weiterhin nicht zugesprochen.

Er muss die Einhaltung der 3-G Regeln anordnen und überprüfen, in welcher Form und im welchen Umfang dies zu erfolgen hat, lässt sich aus dem Gesetzestext nicht schließen.

Nach dem Wortlaut darf er personenbezogene Daten wie den Namen und das Vorliegen eines gültigen 3-G Nachweises abfragen und dokumentieren.

Bei Erfüllung der Nachweispflicht ist der datenschutzrechtliche Grundsatz der Datenminimierung (Ar. 5 Absatz 1 c DSGVO) zu beachten. Datenminimierung bedeutet, dass unter der Maßgabe gehandelt werden soll, nur so viele Daten zu verarbeiten, wie für den jeweiligen Zweck vonnöten sind. Für die Zutrittskontrolle reicht es unter diesem Gesichtspunkt aus, dass Arbeitgeber nachprüfbare Prozesse etabliert haben, auf welche Weise täglich der 3G-Status der Beschäftigten geprüft werden kann. So erfolgt auch keine Differenzierung zwischen Geimpften und Ungeimpften, die zur Ausgrenzung und Diskriminierung Ungeimpfter führen könnte. Ein möglicher Check-in kann z.B per Corona-Warn-App oder CovPassCheck App erfolgen, die Apps speichern keine Informationen ab, sondern verifizieren nur die Gültigkeit des QR Codes und das Vorliegen eines der 3 G’s.

Möchte der Arbeitgeber dagegen den Impf- oder Genesenenstatus speichern, ist das nicht mehr erforderlich, um die Pflicht aus dem § 28 Absatz 1 b Infektionsschutzgesetz zu erfüllen, da ein milderes datenschutzfreundliches Mittel zur Verfügung steht. Unerheblich ist dabei, dass der § 28 b IfSG es als zulässig erachtet, dass sogar der Impfnachweis hinterlegt werden kann. Denn durch das tägliche Kontrollieren ist es möglich, sowohl der Pflicht aus dem Infektionsschutzgesetz nachzukommen und die rechtlichen Regelungen des Datenschutzes zu beachten. Möchte man dennoch den Impf- oder Genesenenstatus speichern, so ist das nur mit einer Einwilligung nach Artikel 9 Absatz 2 DSGVO, § 26 Absatz 2 BDSG möglich.

(Eine Textvorlage bzgl. einer Einwilligung zum Abspeichern von Daten bzgl. der 3 –G Regel finden Sie unter MyGindat unter Punkt 31.).

Eine Abspeicherung der Daten sollte zumindest bis zum 19.03.2022 erfolgen, um nötigenfalls einer Nachweispflicht nachkommen zu können.

Technische und organisatorische Maßnahmen

Zusätzlich hat der Arbeitgeber geeignete technische und organisatorische Maßnahmen zu ergreifen (vgl. § 22 Absatz 2 BDSG). Das bedeutet insbesondere, dass der Arbeitgeber sicherstellen muss, dass unbefugte Personen keinen Einblick in den Impf- oder Genesenenstatus erhalten. Welche Maßnahmen zu ergreifen sind, hängt in erster Linie davon ab, wie die 3-G Kontrolle umgesetzt wird.

Bei der täglichen Kontrolle ist nur eine Person einzusetzen, die den G-Status prüft. Die Prüfung sollte entweder mittels Abhackens auf einer Liste erfolgen, aus der jedoch nicht hervorgeht, ob die Person geimpft, genesen oder getestet ist, oder durch eine App, die den Status nur prüft und nicht speichert (z.B. CovPassCheck App, Corona-Warn-App). Die Liste ist täglich datenschutzkonform zu entsorgen.

Entscheidet sich der Arbeitgeber dafür den G – Status zu speichern, so ist zu beachten, dass erhöhte Risiken für die Beschäftigten bestehen, weshalb andere Maßnahmen zu ergreifen sind (z. B. Verschlüsselung, Berichtigungskonzept, Löschkonzept, Pseudonymisierung).

Fazit

Leider bleibt die Änderung des Infektionsschutzgesetzes aus datenschutzrechtlicher Sicht hinter den Erwartungen zurück.

So wird dem Arbeitgeber zwar eine Pflicht zur Einführung und Überprüfung der 3-G-Regel auferlegt, jedoch nicht geregelt, wie er denn dieser Pflicht nachzukommen hat und im welchen Umfang ihm dafür Ansprüche zustehen.

So wird z.B. lediglich auf die Möglichkeit der Hinterlegung der Impf- oder Genesenennachweise verwiesen.

Eine Pflicht des Arbeitnehmers, seine Nachweise bei seinem Arbeitgeber zu hinterlegen, geht daraus jedoch nicht hervor.

Daher wären auch explizite Regelungen zum Datenschutz wünschenswert gewesen.

So lässt sich eine Schweigepflicht der kontrollierenden Personen gerade gegenüber dem Arbeitgeber nicht aus den Vorschriften entnehmen.

Auch wären Vorschriften für Pseudonymisierungsmaßnahmen hilfreich und wünschenswert gewesen.

Die Abfrage des G-Status ist dennoch begrüßenswert und ein Schritt in die richtige Richtung. Dennoch sind die datenschutzrechtlichen Stolperfallen zu beachten. Bei der datenschutzkonformen Umsetzung steht Ihnen Ihr Datenschutzbeauftragter zur Seite.

Marc Gennat ( Diplomjurist)