Die Verarbeitung eines Eintrags einer Auskunftei ist insbesondere auf der Grundlage der Interessenabwägung nach Art. 6 Abs. 1 lit. f) DS-GVO zulässig, wenn ein überwiegendes berechtigtes Interesse der Beklagten und ihrer Vertragspartner besteht. Das Kammergericht (KG, 27 U 51/21) hat sich dem Oberlandesgericht Oldenburg (Urteil vom 23.11.2021 – 13 U 63/21) angeschlossen und klargestellt, dass eine Wirtschaftsauskunftei sowie ihre Vertragspartner ein berechtigtes Interesse i.S.v. Art. 6 Abs. 1 Buchst. f an der für einen bestimmten Zeitraum erfolgenden Speicherung und Weitergabe von Informationen über die Erteilung der Restschuldbefreiung haben.
(mehr …)Schlagwort: Auskunft (DSGVO)
Artikel 15 der Datenschutz-Grundverordnung (DSGVO) der Europäischen Union, auch bekannt als das „Auskunftsrecht“, gibt Einzelpersonen das Recht zu erfahren, ob sie betreffende personenbezogene Daten verarbeitet werden und wenn ja, wie diese Daten verarbeitet werden. Bitte beachten Sie, dass wir keine Verbraucher im Datenschutzrecht beraten oder vertreten, sondern nur Unternehmen!
Nach Art. 15 DSGVO haben Personen das Recht auf Auskunft über
den Zweck der Verarbeitung ihrer personenbezogenen Daten
die Kategorien personenbezogener Daten, die verarbeitet werden
die Empfänger oder Kategorien von Empfängern, denen die personenbezogenen Daten mitgeteilt wurden oder werden
wenn möglich, die geplante Dauer, für die die personenbezogenen Daten gespeichert werden, oder, wenn dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer
das Bestehen eines Rechts auf Berichtigung oder Löschung der sie betreffenden personenbezogenen Daten oder auf Einschränkung der Verarbeitung durch den für die Verarbeitung Verantwortlichen oder ein Widerspruchsrecht gegen die Verarbeitung
das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde
falls die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurden, alle verfügbaren Informationen über die Herkunft der Daten
das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Artikel 22 Absätze 1 und 4 und – zumindest in diesen Fällen – aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.
Ein Unternehmen oder eine Organisation, das bzw. die personenbezogene Daten verarbeitet (der „Datenverantwortliche“), muss das Auskunftsersuchen in der Regel innerhalb eines Monats nach Eingang des Ersuchens beantworten. In bestimmten Fällen kann diese Frist um weitere zwei Monate verlängert werden. Die Auskunftserteilung muss kostenlos erfolgen, es sei denn, die Anträge der betroffenen Person sind offensichtlich unbegründet oder exzessiv, insbesondere aufgrund ihres wiederholten Charakters. In diesen Fällen kann der Verantwortliche entweder ein angemessenes Entgelt verlangen oder die Beantwortung des Antrags ablehnen.
Ein Verstoß gegen Artikel 15 DSGVO kann zu erheblichen Geldbußen und rechtlichen Konsequenzen für den Verantwortlichen führen. Es ist daher wichtig, dass Organisationen und Unternehmen geeignete Verfahren und Maßnahmen einführen, um Auskunftsersuchen effizient und zeitnah bearbeiten zu können.
Kein Schadensersatz für verspätete DSGVO-Auskunft
Dass keine Entschädigung für eine verspätete Datenauskunft sowie für eine evtl. noch nicht vollständig erteilte Datenauskunft beansprucht werden kann, hat das Landgericht Leipzig, 03 O 1268/21, klargestellt. Allein der Umstand, dass man auf eine (vollständige) Datenauskunft noch warten muss, kann keinen ersatzfähigen Schaden begründen
Dabei gilt: Nach Art. 82 Abs. 1 DSGVO hat jede Person, der wegen eines Verstoßes gegen die DSGVO ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadensersatz gegen den Verantwortlichen oder den Auftragsverarbeiter. Auszugleichen sind hiernach ausdrücklich auch immaterielle Schäden, die aber auch festzustellen sein müssen:
In der Literatur wird unter Geltung der DSGVO überwiegend für eine Absenkung der Voraussetzungen für die Gewährung immateriellen Schadensersatzes und für eine Verschärfung der Haftung mit deutlich höheren Beträgen gegenüber den bisherigen plädiert. Dies folge aus dem weiten Schadensbegriff der DS – GVO sowie daraus, dass der EuGH bei der Wahl zivilrechtlicher Sanktionen zur Umsetzung von Unionsrecht generell eine abschreckende Wirkung verlange. Insbesondere dürfe der zugesprochene Schadensersatz nicht nur symbolisch sein. Auch dürfe die Gewährung immateriellen Schadensersatzes nicht mehr von einer schwerwiegenden Persönlichkeitsrechtsverletzung abhängig gemacht werden.
Die abschreckende Wirkung zivilrechtlicher Sanktionen sei nur zu erreichen, wenn entsprechend hohe Beträge ausgeurteilt würden (vgl. hierzu die Nachweise bei Eichelberger, WRP 2021, 159 ff.). Hiervon unabhängig kann als gesichert gelten, dass das Unionsrecht die Mitgliedsstaaten grundsätzlich nicht zu überkompensatorischem Schadensersatz verpflichtet. Allein der Verstoß gegen die DS – GVO reicht für sich genommen noch nicht aus, einen Schadensersatzanspruch auszulösen. Ohne Schaden gibt es keinen Schadensersatzanspruch (vgl. hierzu Eichelberger a.a.O.). Vielmehr muss dem von einem Datenschutzverstoß Betroffenen ein spürbarer Nachteil entstanden sein. Es muss eine objektiv nachvollziehbare, mit gewissem Gewicht erfolgte, Beeinträchtigung von persönlichkeitsbezogenen Belangen vorliegen.
Die Beeinträchtigung muss von einer gewissen Erheblichkeit sein. Einen normativen Anknüpfungspunkt hierzu gibt die DS – GVO in ihren Erwägungsgründen 75 und 85. Im Anschluss an die beispielhafte Aufzählung möglicher – hier nicht geltend gemachter – Beeinträchtigungen durch Datenschutzverletzungen (Diskriminierung, Identitätsdiebstahl oder – betrug, Rufschädigung, Verlust der Vertraulichkeit von einem Berufsgeheimnis unterliegenden Daten) ist dort ergänzend allgemein von anderen erheblichen wirtschaftlichen oder gesellschaftlichen Nachteilen die Rede (vgl. hierzu Eichelberger a.a.O.). Demzufolge kann die Beklagte keine Entschädigung für eine verspätete Datenauskunft sowie für die bislang noch nicht vollständig erteilte Datenauskunft von der Klägerin beanspruchen. Allein der Umstand, dass die Beklagte auf die (vollständige) Datenauskunft noch warten muss, kann keinen ersatzfähigen Schaden begründen. Es muss auch bei einem immateriellen Schaden eine Beeinträchtigung eingetreten sein, die unabhängig von einer Erheblichkeitsschwelle wenigstens spürbar sein muss. Anderenfalls scheidet ein Schaden schon begrifflich aus (so auch LG Bonn, Urteil vom 01.07.2021, Az.: 15 O 372/20).
Die im Erwägungsgrund 75 der DS – GVO genannten immateriellen Nachteile, wie eine Diskriminierung, ein Identitätsdiebstahl, ein Identitätsbetrug, eine Rufschädigung, ein Verlust der Vertraulichkeit oder sonstige gesellschaftliche Nachteile sind der Beklagten durch die Führung der Handakten durch die von ihr beauftragten Rechtsanwälte in den familiengerichtlichen Verfahren unstreitig nicht erwachsen. Demzufolge scheidet auch die Zusprechung eines Schmerzensgeldes im Streitfall für die bislang nicht erteilte Datenauskunft nach Art. 15 Abs. 3 DS – GVO aus.
Landgericht Leipzig, 03 O 1268/21DSGVO-Auskunft gegenüber Finanzamt
Die DSGVO ist auf die Verarbeitung personenbezogener Daten durch ein Finanzamt anwendbar, wie das FG Berlin-Brandenburg (16 K 2059/21) klargestellt hat. Jedenfalls wenn die Auskunft des Betroffenen personenbezogene Daten zum Inhalt hat, so dass der persönliche und sachliche Anwendungsbereich der DSGVO eröffnet sind. Das Finanzamt ist als Verantwortlicher auch richtiger Anspruchsgegner, sodass die Voraussetzungen für einen Anspruch auf Erteilung einer Datenkopie nach Art. 15 Abs. 3 DSGVO dem Grunde nach vorliegen.
(mehr …)Anspruch auf Akteneinsicht für Dritte – hier bei DSGVO-Bußgeld
Beim Landgericht Hamburg (625 Qs 21/21 OWi) ging es um eine begehrte Akteneinsicht für Dritte durch Übersendung eines an einen anderen gerichteten Bußgeldbescheid. Die Entscheidung unterstreicht die Maxime der Strafprozessordnung auch im OWI-Bereich dahingehend, dass eine Abwägung des Informationsinteresses Dritter mit den schutzwürdigen Interessen der Betroffenen an der Versagung stattzufinden hat.
Hintergrund der Entscheidung war ein von der Öffentlichkeit beachteter Bußgeldbescheid, zudem eine Pressemitteilung des zuständigen Datenschutzbeauftragten ergangen war. Im Anschluss an die Veröffentlichung der Pressemitteilung erhielt die Datenschutzbehörde insgesamt sieben Anträge von Dritten auf Herausgabe des Bußgeldbescheids und dem dazugehörigen Dokument „2./2020 – Bußgeldzumessung unter Anwendung des DSK-Konzepts“ (Letzteres nachfolgend „die Bußgeldberechnung“).
(mehr …)
Strafbarer Datenschutzverstoß bei Weitergabe von Daten aus dem Melderegister
Es ist leider keine Seltenheit, dass Menschen in bestimmten Funktionen auf Daten zu einem Zweck zugreifen, der so nicht vorgesehen ist. In unserer Kanzlei sind in den vergangenen Jahren verschiedene Fälle bekannt geworden, sei es der Abruf von Daten bei einer Krankenkasse zur eigenen Bereicherung zwecks Weiterverkauf – oder auch ein Mitarbeiter im öffentlichen Dienst, der als „Freundschaftsdienst“ Daten für einen Kumpel abfragte. Nun kommt aus einer Entscheidung des BayObLG München, (202 StRR 126/21) eine weitere Konstellation hinzu: Abfragen aus dem Meldeamt für einen Freund. Und das BayObLG arbeitet heraus, warum dies eine Straftat darstellt.
(mehr …)Immaterieller Schadensersatzanspruch nach Art 82 DSGVO (OLG Koblenz)
Das OLG Koblenz (5 U 2141/21) hat entschieden, dass sich ein immaterieller Schadensersatzanspruch entsprechend Art 82 DSGVO unter Berücksichtigung seiner Funktion zum Ausgleich, zur Genugtuung und zur Generalprävention zu bestimmen hat.
(mehr …)DSGVO: Rechtsmissbräuchlicher Auskunftsanspruch
Heftig umstritten ist die Frage, ob und falls ja, wann ein Auskunftsanspruch entsprechend Art. 15 DSGVO als rechtsmissbräuchlich einzustufen ist. Nach einer im Schrifttum und in der Rechtsprechung vertretenen Auffassung können Anträge auf Auskunft und Erteilung einer Datenkopie nicht auf Art. 15 DS-GVO gestützt werden, wenn sie nicht dem in Erwägungsgrund 63 Satz 1 zur DS-GVO genannten Zweck dienen, sich der Verarbeitung der personenbezogenen Daten bewusst zu werden und deren Rechtmäßigkeit überprüfen zu können, und denen daher – ausschließlich oder ganz überwiegend – andere als datenschutzrechtliche Belange zugrunde liegen. In solchen Fällen sei das Begehren rechtsmissbräuchlich und könne als offenkundig unbegründet oder exzessiv im Sinne von Art. 12 Abs. 5 Satz 2 DS-GVO zurückgewiesen werden (vgl. Lembke NJW 2020, 1841, 1845; Stollhoff in Auernhammer, DS-GVO/BDSG, 7. Aufl., Art. 15 DS-GVO Rn. 40; König CR 2019, 295 Rn. 19-21; Zöll/Kielkowski ZD 2020, 314, 315; Wybitul/Brams, NZA 2019, 672, 674; Schröder, DSB 2019, 232, 233; zumindest tendenziell auch die Landesbeauftragte für Datenschutz und Informationsfreiheit Saarland, 28. Tätigkeitsbericht 2019, S. 121; LSG NRW; LAG Sachsen, 2 SA 63/20; LG Wuppertal, 4 O 409/20.00; LG Detmold, 02 O 108/21). Der BGH ist hier kritisch und hat dies dem EUGH vorgelegt (siehe BGH, VI ZR 1352/20).
Eine interessante, exemplarische Entscheidung hatte diesbezüglich schon früh das Landgericht Krefeld, 2 O 448/20, getroffen. Ein Auskunftsanspruch sei rechtsmissbräuchlich, wenn die Geltendmachung aus gänzlich DSGVO-fremden Erwägungen heraus erfolgt.
(mehr …)300€ Schmerzensgeld für SPAM
Unverlangt zugesendete Mails (SPAM) können einen DSGVO-Schmerzensgeldanspruch auslösen. Hintergrund ist Art. 82 DSGVO, der recht einfach festhält:
Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.
Da eine unverlangt zugesendete Mail regelmässig einen Verstoss gegen die DSGVO darstellen kann, landet man dann recht schnell beim Schmerzensgeld. Ein weiterer Grund, von unverlangten Mails Abstand zu nehmen. Insbesondere ein Grund, sich vor Werbekampagnen beraten zu lassen: Viele glauben bis heute zu Unrecht, dass mutmassliche Einwilligungen irgendeinen bei SPAM interessieren. Ein aktuelles Beispiel für die Thematik findet sich beim Amtsgericht Pfaffenhofen a.d. Ilm (2 C 133/21).
(mehr …)
Import aus China: Was ist zu beachten?
Was ist zu beachten bei einem Import aus Asien, speziell China oder Vietnam – wo liegen Fallstricke beim Import von Waren aus China und aus dem asiatischen Raum? Interessant ist, dass Unternehmen mitunter recht blauäugig an den internationalen Handel herangehen.
Dabei zeigt sich, dass man mitunter äußerst vorsichtig sein muss – in unserer Kanzlei wurden früher Mandanten, speziell Start-ups, betreut, die darauf angewiesen sind, Produkte aus dem asiatischen Raum und insbesondere China einzuführen, seien diese auf Wunsch der Mandanten gefertigt oder dort von der Stange geliefert.
Hinweis: Wir sind in diesem Bereich heute nur noch bei strafrechtliche Compliance und im IT-Recht tätig, sehen Sie von Anfragen bei anderen aus Asien importierten Produkten bitte vollständig ab.
(mehr …)Erteilung einer „Datenkopie“ nach Art. 15 Abs. 3 DSGVO
Ein Klageantrag auf Überlassung einer Kopie von E-Mails ist nicht hinreichend bestimmt iSv. § 253 Abs. 2 Nr. 2 ZPO, wenn die E-Mails, von denen eine Kopie zur Verfügung gestellt werden soll, nicht so genau bezeichnet sind, dass im Vollstreckungsverfahren unzweifelhaft ist, auf welche E-Mails sich die Verurteilung bezieht.
(mehr …)Auskunftsanspruch nach §14 TMG bei plattforminternem Beschwerde- und Kommunikationssystem
Beim Oberlandesgericht Köln, 15 W 10/21, ging es um die Reichweite des §14 TMG. Dies vor speziellem Hintergrund: Ich verstehe den Sachverhalt so, dass bei einem grossen Online-Marktplatz Beschwerden hinsichtlich eingestellter Produkte existierten, die dann gelöscht wurden. Der Anbieter wollte nun in Erfahrung bringen, wer sich da – fälschlicherweise – hinsichtlich der Artikel beschwerte und begehrte Auskunft. Die Entscheidung ist ein Lehrstück zum Umgang mit dem §14 TMG im Zusammenspiel mit dem NetzDG.
Hinweis: Kleines Schmankerl ist der Vergleich von grossen Internetplattformen mit dem Marktplatz auf der im Star-Trek-Universum angesiedelten Raumstation Deep-Space-Nine.
(mehr …)DSGVO: Muss eine Ausweiskopie zur Auskunft durch Justizbehörden vorgelegt werden?
Wenn jemand von der Justiz datenschutzrechtliche Auskunft begehrt – Darf eine Ausweiskopie verlangt werden, damit jemand sich „legitimiert“, etwa wenn er eine datenschutzrechtliche Auskunft verlangt? Ich hatte dies im Jahr 2012 zur damaligen Gesetzeslage im Allgemeinen recht ausführlich dargestellt, heute aber sind die damaligen Ausführungen nur bedingt brauchbar. Heute ist dafür die Gesetzeslage so klar, dass eine aktuelle Entscheidung des Verwaltungsgerichts Berlin mit nur wenigen Zeilen auskommt.
(mehr …)Corona-Kontaktlisten in der Gastronomie
Die „Corona-Kontaktlisten“ sind inzwischen ein etabliertes Mittel, damit Restaurants und Gaststätten trotz Corona Gäste bewirten können. Doch inzwischen zeigen sich erhebliche rechtliche Fragestellungen, insbesondere im Bereich des Datenschutzes. Ich versuche das hier kurz aufzugreifen und darzustellen für das Bundesland NRW.
Dazu auch: Verteidigung gegen Corona-Bussgeld
(mehr …)