GVW RECHTSPRECHUNGSREPORT - DIE WEBINARREIHE ZUM JAHRESWECHSEL DATENSCHUTZ - ARND BÖKEN BERLIN, 25. JANUAR 2021 - GVW GRAF VON WESTPHALEN
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
GvW Rechtsprechungsreport – die Webinarreihe zum Jahreswechsel Datenschutz Arnd Böken Berlin, 25. Januar 2021
Agenda – Urteile
1. BGH, Urt. v. 28.05.2020 - I ZR 7/16 („Planet 49“)
Zwingendes Einwilligungserfordernis beim Einsatz von Cookies
2. EuGH, Urt. v. 16.07.2020 - C-311/18 („Schrems II“)
Aufhebung Privacy Shield und Datentransfer in die USA
3. LAG Köln, Urt. v. 07.02.2020 – 4 SA 329/19
Kündigung wegen privater Nutzung von Internet und E-Mail trotz Verbot
4. LG Darmstadt, Urt. v. 26.05.2020 - 13 O 244/19
Schadensersatz auf Grund der Fehladressierung einer Nachricht
5. LG Bonn, Urt. v. 11.11.2020 - 29 Owi 1/20 LG („1&1“)
Zur Angemessenheit eines Bußgelds nach DSGVO
6. notebooksbilliger.de, Pressemitteilung vom 08.01.2021
Zur Videoüberwachung von Personal und Kunden
2Planet 49/ BGH, Urt. v. 28.05.2020
I ZR 7/16
• Sachverhalt
• Kernaussagen des Urteils
• Anmerkungen für die
Praxis
3Sachverhalt
Die Firma Planet 49 hat ein Online-Gewinnspiel veranstaltet. Dabei hat sie Teilnehmer
aufgefordert, in das Setzen von Cookies zur Auswertung ihres Surfverhaltens einzuwilligen.
Hierzu wurde ein vorformulierter Einwilligungstext mit einem Ankreuzkästchen eingeblendet.
Das Ankreuzkästchen war so voreingestellt, dass die Einwilligung „automatisch“ erfolgte, wenn
es nicht aktiv abgewählt wurde (sog. Opt-Out-Verfahren). Gegen diese Praxis klagte der
Bundesverband der Verbraucherzentralen und Verbraucherverbände (vzbv).
Der BGH hatte die Rechtsfragen dem EuGH vorgelegt, der am 1.10.2019 entschied, dass für
eine ausdrückliche Einwilligung das aktive Verhalten des Einwilligenden erforderlich ist. Bei
einem bereits vorausgefüllten Ankreuzkästchen, die der Nutzer nicht abwählt, sei dies nicht der
Fall.
Der BGH hatte nun im Anschluss hieran über das Verhältnis des in Deutschland geltenden § 15
Abs. 3 S. 1 TMG zur europarechtlichen Vorgabe zu entscheiden. Dieser lässt das Setzen von
Cookies zu, sofern kein Widerspruch erfolgt. Obwohl § 15 Abs. 3 S. 1 TMG die ePrivacy-
Richtlinie umsetzen soll, sieht er nach seinem Wortlaut für das Setzen von Cookies nur eine
Widerspruchslösung (Opt-Out) vor.
4Kernaussagen des Urteils
Der BGH gab der Klage des vzbv gegen die Planet 49 statt und entschied, dass für den Einsatz
von Cookies zwecks Erstellung von Nutzerprofilen zu Werbe- und Marktforschungszwecken
zwingend eine Einwilligung des betroffenen Nutzers einzuholen ist:
• § 15 Abs. 3 S. 1 TMG ist unionsrechtskonform entsprechend der Richtlinie 2009/136/EG
(ePrivacyRL) auszulegen
• Das Fehlen einer wirksamen, expliziten Einwilligung wird als Vorliegen eines Widerspruchs
gemäß § 15 Abs. 3 S. 1 TMG gewertet
• Erforderlich ist eine ausdrückliche Einwilligungserklärung des Nutzers, die durch aktives Tun
ausgedrückt werden muss
• Allein das bewusste Weitersurfen auf einer Webseite mit voreingestelltem Ankreuzkästchen
wird dem nicht gerecht.
5Anmerkungen für die Praxis
• Ein Festhalten an der früher gängigen Praxis, Cookies mittels Opt-Out-Verfahren einzusetzen,
ist nach der BGH-Entscheidung nicht mehr möglich
• Bertreiber müssen auf das Opt-In-Verfahren umstellen, also eine Einwilligung des Nutzers
einholen, bevor ein Cookie gesetzt wird
• Hierfür bietet sich die Verwendung eines sog. Cookie-Banners oder Consent-Tools an
• Die Einwilligung muss eindeutig sein und den Nutzer ausreichend und transparent über die
Umstände der Verarbeitung informieren
• Hierfür muss das Cookie-Banner alle notwendigen Informationen zum jeweiligen Cookie
aufführen. Zudem muss die Datenschutzerklärung umfassend über den Einsatz von Cookies
informieren.
• Eine Ausnahme besteht für das Setzen sog. technisch notwendiger oder auch „funktionaler“
Cookies (Beispiele: Spracheinstellung, Nutzerauthentifizierung, Warenkorb)
6Schrems II / EuGH, Urt. v. 16.07.2020
C-311/18
• Sachverhalt
• Kernaussagen des Urteils
• Anmerkungen für die
Praxis
7Sachverhalt
Das Urteil des EuGH vom 16. Juli 2020 nimmt seinen Ausgang in einer 2013 erhobenen
Beschwerde des Datenschutzaktivisten Max Schrems. Mit seiner Beschwerde rügte Schrems die
Übermittlung personenbezogener Daten durch Facebook in die USA. Schrems führte an, das
Recht der Vereinigten Staaten schütze die übermittelten Daten nicht ausreichend vor den
Überwachungsaktivitäten US-amerikanischer Geheimdienste.
Mit seinem Urteil vom 6. Oktober 2015(C-362/14, - Schrems I) hatte der EuGH den „Safe
Harbor“-Beschluss der Kommission für unwirksam erklärt. Bei Safe Harbor handelte es sich um
einen Angemessenheitsbeschluss, nach dem bei selbstzertifizierten US-Unternehmen eine
Angemessenheit des Schutzniveaus zu unterstellen war.
Im Jahr 2016 verständigten sich die EU-Kommission und die US-Regierung auf das „Privacy
Shield“-Abkommen. Am 12. Juli 2016 erließ die Kommission den Angemessenheitsbeschluss.
Max Schrems beschwerte sich wiederum bei der irischen Datenschutzbehörde. Der Streit
gelangte zu dem Irischen High Court, der dem EuGH Fragen zum Datentransfer auf Basis des
Privacy Shield sowie der Standardverträge nach Art. 46 Abs. 2 lit. c) DSGVO vorlegte.
8Kernaussagen des Urteils
1. Der EuGH entschied, dass der Angemessenheitsbeschluss der Kommission vom 12. Juli
2016 ungültig ist. Die USA haben kein angemessenes Datenschutzniveau, da der Privacy
Shield keinen Schutz vor Zugriff der US-Sicherheitsbehörden auf die Daten der Betroffenen
bietet.
2. Die Standardvertragsklauseln sind zwar wirksam, der EuGH stellt aber hohe Anforderungen:
• Ob die Standardverträge im Einzelfall geeignet sind, ein angemessenes Schutzniveau im
Empfängerland herzustellen, muss anhand einer eigenständigen Bewertung positiv
festgestellt werden
• Dazu muss der Datenexporteur anhand einer eigenen Rechtsprüfung feststellen, ob die unter
den Standardverträgen transferierten personenbezogenen Daten im Drittland im
Wesentlichen gleichwertig geschützt sind
• Werden Schutzlücken festgestellt, muss er weitergehend prüfen, ob diese durch den
Abschluss der Standardverträge beseitigt werden können
• Können die Standardverträge kein angemessenes Schutzniveau garantieren, muss er weitere
Maßnahmen ergreifen
9Anmerkungen für die Praxis
1. Das Urteil ist wichtig für Unternehmen, die Daten in die USA, China, Indien oder andere
Drittstaaten senden
• Erforderlich ist der Abschluss von Standardverträgen mit genauer Prüfung der Rechtslage;
• Der Datenexport in die USA auf Grund Privacy Shield und auf Grund von
Standardvertragsklauseln ist nicht möglich
• für USA kommt nach dem EuGH-Urteil nur noch das Einholen einer Einwilligung der
Betroffenen in Betracht
2. Das Urteil ist auch wichtig für alle Websitebetreiber:
• Beim Einsatz von Google Analytics oder anderen Google-Diensten (auch YouTube), Social-
Media-Plug-Ins, sowie allen anderen Dienstleistern mit Sitz in den USA werden Daten
exportiert
• Lösung: Dienstleister mit Sitz in EU auswählen oder Einholen von Einwilligung
• Die Einwilligung kann über das ohnehin notwendige Cookie-Banner eingeholt werden
10Kündigung wegen privater Nutzung von Internet
und E-Mail trotz Verbot / LAG Köln,
Urt. v. 07.02.2020 - 4 Sa 329/19
• Sachverhalt
• Kernaussagen des Urteils
• Anmerkungen für die
Praxis
11Sachverhalt
Ein IT-Dienstleister hatte einem Angestellten einen Arbeits-Laptop überlassen. In der vom
Angestellten zu unterschreibenden Überlassungsvereinbarung wurde die Nutzung zu privaten
Zwecken untersagt. Zudem willigte der Angestellte darin ein, dass die auf dem Laptop
befindlichen Daten überprüft und ausgewertet werden, um das Privatnutzungsverbot zu
überprüfen.
Kurz darauf schrieb der Angestellte an einem Tag 13 private E-Mails von seinem dienstlichen E-
Mail-Konto. Als die Beklagte hiervon etwa drei Monate später erfuhr, kündigte sie das
Arbeitsverhältnis noch am selben Tag. Sie ließ den Laptop des Klägers durch einen IT-
Sachverständigen prüfen.
Hierbei wurde festgestellt, dass der Kläger an einem Tag insgesamt 616 Seitenaufrufe auf
verschiedenen Websites zu privaten Zwecken getätigt hat. Am Folgetag waren es 174 Aufrufe
und an einem Tag drei Monate später 205 Aufrufe. Der Kläger hat also an diesen Tagen
offensichtlich nicht gearbeitet. Auch in der Zwischenzeit deckte der Sachverständige diverse
private Internetnutzungen in einem zeitlichen Gesamtumfang von einer Arbeitswoche auf.
Die Arbeitnehmer klagte gegen die außerordentliche Kündigung. Das ArbG wies die Klage ab.
Das LAG Köln hatte nun mehr über die Berufung des Angestellten zu entscheiden.
12Kernaussagen des Urteils
Das LAG Köln wies die Berufung des Klägers zurück. Die außerordentliche Kündigung sei
rechtmäßig.
• Der Arbeitnehmer hat keinen Anspruch auf Privatnutzung eines Arbeits-Laptops während der
Arbeitszeit, die Privatnutzung war ausdrücklich verboten
• Die arbeitsvertragliche Einwilligung ist unwirksam, da sie zu unpräzise formuliert und zu
weit gefasst ist. Dies war jedoch nicht entscheidungserheblich
• Die vorgebrachten Verlaufsdaten der Internetnutzung unterfallen keinem prozessualen
Beweisverwertungsverbot
• Die Erhebung und Verarbeitung der bei der Internetnutzung entstehenden Verlaufsdaten ist
gem. § 26 I BDSG gestattet, da dies aufgrund des bestehenden Verbots der privaten
Internetnutzung für die Missbrauchskontrolle und damit für die Durchführung des
Beschäftigungsverhältnisses erforderlich ist
• Die Daten sind für die Beendigung des Beschäftigungsverhältnisses erforderlich, da die
Beklagte sie in dem Kündigungsschutzprozess als Beweismittel nutzen will und anderweitig
der Verstoß nicht nachgewiesen werden kann
13Anmerkungen für die Praxis
• Bei Überlassung von IT-Geräten sollte die private Internet- und E-Mail-Nutzung eindeutig
verboten werden (durch Arbeitsvertrag, Konzernrichtlinie, Betriebsvereinbarung)
• Ist eine Kollektivvereinbarung nicht durchsetzbar, etwa wegen Widerstands im Betriebsrat:
Individualvertragliche Gestattung und Einwilligung zur Kontrolle
• Die Einwilligung muss wirksam eingeholt werden, d.h. sie muss freiwillig erfolgen und der
Arbeitnehmer muss vollumfänglich über die Verarbeitung seiner Daten belehrt werden.
14Schadensersatz auf Grund Fehladressierung einer
Nachricht/ LG Darmstadt, Urt. v. 26.05.2020 -
13 O 244/19; nicht rechtskräftig
• Sachverhalt
• Kernaussagen des Urteils
• Anmerkungen für die
Praxis
15Sachverhalt
Der Kläger hatte sich um eine Arbeitsstelle bei der Beklagten, einer Bank, beworben. Die Bank
leitete im Verlauf eines Bewerbungsverfahrens versehentlich eine Nachricht, die an den Kläger
bestimmt war, an einen Dritten weiter. Diese E-Mail enthielt unter anderem die Gehaltsvorstel-
lungen des Klägers. Der Arbeitgeber informierte den Kläger zunächst nicht über diesen Vorfall.
Dieser erfuhr erst zwei Monate später von dieser Datenpanne, setzte die Bewerbung aber
zunächst ohne Beschwerde fort.
Nachdem der Bewerber von der Bank abgelehnt worden war, erhob er wegen der
unrechtmäßigen Datenübermittlung Klage auf Schadensersatz in Höhe von 2.500 Euro gemäß
Art. 82 DSGVO.
16Kernaussagen des Urteils
Das Landgericht sprach dem Kläger 1.000 Euro an immateriellen Schadensersatz nach Art. 82
Abs. 1 DSGVO zu:
• Der Arbeitgeber habe gegen die in Art. 6 DSGVO und Art. 34 DSGVO geregelten
Vorgaben verstoßen
• Der Kläger habe die Kontrolle über seine personenbezogenen Daten verloren
• Dies begründet aus Sicht des Gerichts einen immateriellen Schaden im Sinne von Art. 82
Abs. 1 DSGVO
• Neben dem Anspruch auf immateriellen Schadenersatz hat der Kläger zudem einen
Unterlassensanspruch nach § 1004 BGB. Die Beklagte hat weitere unrechtmäßige
Verarbeitungen daher zu unterlassen.
17Anmerkungen für die Praxis
• Es zeichnet sich ein Trend ab, wegen Verstößen gegen die DSGVO Schadensersatz zu
verlangen (ArbG Düsseldorf hat bereits 5000€ Schmerzensgeld wegen verspäteter Auskunft
nach Art. 15 DSGVO zugesprochen, ZD 2020, 649). Weitere Klagen sind anhängig
• Es besteht Streit um das Vorliegen eines immateriellen Schadens:
• Verlust der Kontrolle über personenbezogene Daten begründet Schaden (LG Darmstadt,
Urt. v. 26.05.2020 - 13 O 244/19)
• tatsächliche und spürbare Beeinträchtigung erforderlich (OLG Dresden, ZD 2019, 567,
568)
• Unternehmen sollten Vorsorge treffen; als Vorsorgemaßnahme sollten alle
Verarbeitungsprozesse auf DSGVO-Compliance überprüft werden, besondere
Aufmerksamkeit gilt den Bereichen mit Außenwirkung (Datenverlust, Einhaltung von
Betroffenenrechten wie Auskunft, Websites, Videoüberwachung)
181&1 / LG Bonn, Urt. v. 11.11.2020
29 Owi 1/20 LG
• Sachverhalt
• Kernaussagen des Urteils
• Anmerkungen für die
Praxis
19Sachverhalt
Eine Frau hatte bei der Service-Hotline der 1&1 Telecom GmbH angerufen, sich als Ehefrau
ihres Ex-Partners ausgegeben und zur Authentifizierung nur den Namen und das Geburtsdatum
ihres Ex-Partners genannt. Der Callcenter-Agent gab ihr daraufhin die neue Handynummer ihres
Ex-Partners.
Die erhaltene Nummer nutzte die Frau für belästigende Anrufe bei ihrem Ex-Partner, weswegen
dieser bei der Polizei Anzeige wegen Nachstellung erstattete. Die Polizei teilte den Tatbestand
dem Bundesdatenschutzbeauftragten mit.
Der Bundesdatenschutzbeauftragte hielt das Authentifizierungsverfahren der 1&1 für
unzureichend und sah darin einen grob fahrlässigen Verstoß gegen Art. 32 DSGVO. 1&1 sollte
ein Bußgeld in Höhe von 9,55 Millionen Euro zahlen. Dagegen wehrte sich der
Telekommunikationsdienstleister vor dem Landgericht Bonn.
1&1 räumte den Datenschutzverstoß ein, stellte ihn aber als Einzelfall dar und gerade nicht als
ein systematisches Problem. Die verhängte Geldbuße sei unverhältnismäßig hoch.
20Kernaussagen des Urteils
Das LG bestätigte, dass der Prozess gegen die DSGVO verstößt,
• Das Landgericht kritisierte das Bußgeldbemessungsverfahren der Datenschutzbehörden:
Dieses Verfahren mit seiner Umsatzorientierung führe bei umsatzstarken Unternehmen zu
überhöhten Bußgeldern bei leichten Verstößen
• Statt dessen nahm das Gericht eine eigene Bewertung vor: 1&1 war im Rechtsirrtum, die
geübte Authentifizierungspraxis war jahrelang nicht beanstandet worden; zudem fehlte es
an verbindlichen Vorgaben für Authentifizierungsverfahren in Callcentern
• Bei dem festgestellten Verstoß gegen Art. 32 DS-GVO überwiegen mildernde
Gesichtspunkte, sodass das Verschulden insgesamt gering war
• Das Landgericht reduzierte das Bußgeld auf 900.000 Euro
• Das europäische Recht erfordert - anders als das deutsche Ordnungswidrigkeitenrecht - nicht
die konkrete Feststellung, dass eine Leitungsperson des Unternehmens gegen Regelungen
verstoßen hat, um ein Bußgeld verhängen zu können
21Anmerkungen für die Praxis
• Für alle Unternehmen ergibt sich durch das Urteil die Notwendigkeit, ein dem Stand der
Technik entsprechendes Authentifizierungsverfahren vorzusehen
• Geklärt ist auch, dass ein Bußgeldrisiko für DSGVO-Verstöße auch ohne konkretes
Verschulden einer Leitungsperson besteht
• Art. 83 DSGVO und das Bemessungsverfahren der Behörden führen zu hohen Bußgeldern;
das ist beabsichtigt, um die Einhaltung der DSGVO zu erzwingen
• Das Urteil gibt erstmals eine Richtschnur für die Angemessenheit von Bußgeldern; die
Entwicklung bleibt abzuwarten; es ist damit zu rechnen, dass die Bußgelder auch in Zukunft
hoch sein werden
22notebooksbilliger.de AG / Pressemitteilung LfD
Niedersachsen vom 08.01.2021
• Sachverhalt
• Kernaussagen des
Bescheids
• Anmerkungen für die
Praxis
23Sachverhalt
Nach den Feststellungen im Bescheid hat das Unternehmen über mindestens zwei Jahre seine
Beschäftigten per Video überwacht, ohne dass dafür eine Rechtsgrundlage vorgelegen habe.
Die unzulässigen Kameras hätten unter anderem Arbeitsplätze, Verkaufsräume, Lager und
Aufenthaltsbereiche erfasst.
Auch Kunden waren von der Videoüberwachung betroffen, da einige Kameras auf
Sitzgelegenheiten im Verkaufsraum gerichtet waren.
Notebooksbilliger.de hat Einspruch gegen den Bescheid eingelegt und tritt den Vorwürfen
entgegen. Man nutze Kameras, um den Warenfluss bei Lagerung, Verkauf und Versand der
Produkte zu verfolgen.
24Kernaussagen der Entscheidung
Die Landesbeauftragte für Datenschutz (LfD) Niedersachsen stellte fest, dass die
Videoüberwachung unzulässig war:
• Das Motiv, mit der Kameraüberwachung Diebstähle zu verhindern, sei ein unzulässiger
Generalverdacht gegenüber der Belegschaft und er rechtfertige die umfassende
Videoüberwachung nicht
• Eine Videoüberwachung zur Aufdeckung von Straftaten sei nur rechtmäßig, wenn sich ein
begründeter Verdacht gegen konkrete Personen richte
• In diesem Fall könne es zulässig sein, diese zeitlich begrenzt mit Kameras zu überwachen
• Dass Aufzeichnungen 60 Tage gespeichert wurden, sei für den angedachten Zweck nicht
erforderlich
• Die teilweise Videoüberwachung von Kundenbereichen sei unverhältnismäßig, weil
Betroffene in Bereichen, in denen sich Menschen typischerweise länger aufhalten, zum
Beispiel um die angebotenen Geräte ausgiebig zu testen, hohe schutzwürdige Interessen
haben
• Das gelte besonders für Sitzbereiche, die offensichtlich zum längeren Verweilen einladen
sollen
• Die Behörde verhängte ein Bußgeld von 10,4 Mio. Euro
25Anmerkungen für die Praxis
• Die anstehende gerichtliche Auseinandersetzung und Entscheidung bleiben abzuwarten
• Für Unternehmen ist es wichtig, ihre Videoüberwachung auf die Einhaltung der gesetzlichen
Vorgaben zu überprüfen (Gründe für die Überwachung, Prüfung milderer Mittel,
Durchführung einer Datenschutzfolgeabschätzung etc.)
• Wenn Datenschutzbehörden Prüfverfahren wegen möglicher Datenschutzverletzungen
einleiten (Videoüberwachung, andere Gründe), sollten Unternehmen frühzeitig reagieren,
kooperativ agieren, ggf. auch Beratung von außen suchen, um Vorgänge zu beurteilen und
mögliche Verstöße abzustellen
• Bußgelder im Datenschutzrecht sind hoch, das gilt für Unternehmen mit hohen Umsätzen;
aber auch Mittelständler können schnell auf mehrere hunderttausend Euro Bußgeld kommen
26Fragen?
27Kontakt
Arnd Böken
Partner
GvW Graf von Westphalen
Rechtsanwälte Steuerberater Partnerschaft mbB
Potsdamer Platz 8
10117 Berlin
a.boeken@gvw.com
T +49 30 726111-475
F +49 30 726111-333
2829
Sie können auch lesen
