Webversion | abmelden
‌
de lege data Newsletter 1/2024
‌
‌

Liebe Abonnentinnen und Abonnenten,

heute erhalten Sie den de lege data Newsletter 1/2024. Ich wünsche Ihnen ein gesundes und erfolgreiches Jahr 2024!

 ‌
‌
‌
 ‌
‌

Aktuelle Beiträge im Blog

 ‌
‌

Bundesverwaltungsgericht Österreich: Übermittlung von Kundendaten zwischen Konzernunternehmen zur Verteidigung gegen Klagen


Zum Beitrag

„personenbezogene Daten unverzüglich gelöscht werden“ – Datenschutzbehörde Irland: 49 Tage sind nicht mehr „unverzüglich“


Zum Beitrag
‌
‌

Datenschutzbehörde Österreich: Datenschutzhinweise beeinflussen „vernünftige Erwartungen“ der Betroffenen (Art. 6 Abs. 1 f) DSGVO)


Zum Beitrag

EU-Kommission schlägt veränderte Fristenberechnung für die DSGVO und Meldungen von Datenschutzverletzungen vor


Zum Beitrag
‌
‌
‌
 ‌
‌

Praxisthemen

 ‌
‌

Schadenersatz nach Art. 82 DSGVO – wann kann eine Befürchtung vor Datenmissbrauch „als begründet angesehen werden“?

In seinem Urteil C-340/21 vom 14.12.2023 hat der EuGH hinsichtlich eines möglichen Schadens im Sinne von Art. 82 DSGVO festgestellt, dass nationale Gericht, wenn sich eine Person auf die Befürchtung beruft, dass ihre personenbezogenen Daten in Zukunft aufgrund eines DSGVO-Verstoßes missbräuchlich verwendet werden, prüfen müssen, „ob diese Befürchtung unter den gegebenen besonderen Umständen und im Hinblick auf die betroffene Person als begründet angesehen werden kann“ (Rz. 85).

In den Tagen danach habe ich mich immer wieder gefragt, was der EuGH wohl mit der Formulierung „als begründet angesehen werden kann“ meint. Daher habe ich zu dieser Formulierung im Europarecht und der Rechtsprechung des EuGH ein wenig recherchiert. Und tatsächlich findet sich eine ganz ähnliche Vorgabe in der (mittlerweile aufgehobenen) Richtlinie 2004/83/EG, dort in Art. 11 Abs. 2. Es geht in der Richtlinie um die Anerkennung von Flüchtlingen aus Drittstaaten.

„Bei der Prüfung von Absatz 1 Buchstaben e) und f) haben die Mitgliedstaaten zu untersuchen, ob die Veränderung der Umstände erheblich und nicht nur vorübergehend ist, so dass die Furcht des Flüchtlings vor Verfolgung nicht länger als begründet angesehen werden kann.“ (Hervorhebung durch mich) Die Richtlinie wurde durch Richtlinie 2011/95/EG (Qualifikationsrichtlinie) ersetzt, in der sich aber ganz ähnliche Regelungen finden. Natürlich ist klar, dass die Rechtsprechung des EuGH zur Richtlinie 2004/83/EG nicht eins zu eins auf die DSGVO übertragen werden kann.

Es gibt jedoch eine Gemeinsamkeit: die Frage, wann die Furcht vor einer bestimmten Folge begründet sein kann. Ganz grob, würden sich die Prüffragen also wie folgt darstellen und ähneln.

  • DSGVO: kann Furcht / Befürchtung von Missbrauch der Daten als begründet angesehen werden
  • Qualifikationsrichtlinie: kann Furcht / Befürchtung vor Verfolgung als (un)begründet angesehen werden

In den verbundenen Rechtssachen C‑199/12 bis C‑201/12 (Urt. v. 7.11.2013) hat der EuGH etwa geurteilt, dass bei der Prüfung, ob ein Antragsteller begründete Furcht vor Verfolgung hat, herauszufinden ist, ob die festgestellten Umstände eine solche Bedrohung darstellen, dass der Betroffene in Anbetracht seiner individuellen Lage begründete Furcht haben kann, tatsächlich Verfolgungshandlungen zu erleiden (Rz. 72, Hervorhebung durch mich).

Auf nationaler Ebene hat sich das Bundesverwaltungsgericht schon öfter mit der Frage befasst, wann, basierend auf den Vorgaben der Richtlinie 2011/95/EG, eine solche Furcht als begründet angesehen werden kann (vgl. BVerwG, Urt. v. 19.04.2018 - BVerwG 1 C 29.17, Rz. 14). Danach ist die Furcht vor Verfolgung begründet, wenn dem Ausländer die vorgenannten Gefahren aufgrund der in seinem Herkunftsland gegebenen Umstände in Anbetracht seiner individuellen Lage tatsächlich, das heißt mit beachtlicher Wahrscheinlichkeit ("real risk") drohen (Hervorhebung durch mich).

Bezogen auf unseren Bereich der DSGVO: wenn der Missbrauch der Daten mit beachtlicher Wahrscheinlichkeit droht.

Nach dem BVerwG bedingt der Wahrscheinlichkeitsmaßstab, dass bei einer zusammenfassenden Würdigung des zur Prüfung gestellten Lebenssachverhalts die für eine Verfolgung sprechenden Umstände ein größeres Gewicht besitzen und deshalb gegenüber den dagegen sprechenden Tatsachen überwiegen. Diese Würdigung ist auf der Grundlage einer "qualifizierenden" Betrachtungsweise im Sinne einer Gewichtung und Abwägung aller festgestellten Umstände und ihrer Bedeutung vorzunehmen. Das VG Trier hat einmal zu der „beachtlichen Wahrscheinlichkeit“ geurteilt (VG Trier, Urt. v. 07.10.2016 - 1 K 5093/16.TR, Rz. 25), dass diese anzunehmen ist, wenn bei der vorzunehmenden „zusammenfassenden Bewertung des zur Prüfung gestellten Lebenssachverhalts“ die für eine Verfolgung sprechenden Umstände ein größeres Gewicht besitzen und deshalb gegenüber den dagegen sprechenden Tatsachen überwiegen. Und der VGH Baden-Württemberg hat entschieden, dass eine „wohlbegründete Furcht vor einem Ereignis“ auch dann vorliegen kann, wenn aufgrund einer „quantitativen" oder mathematischen Betrachtungsweise weniger als 50 % Wahrscheinlichkeit für dessen Eintritt besteht (VGH Baden-Württemberg, Urt. v. 7.3.2013 - A 9 S 1873/12, Rz. 24).

Natürlich kann man auch gegen eine solche Übertragung der Wahrscheinlichkeitsprognosen aus dem Bereich des Asylrechts sein. Ich persönlich war, nach dem Urteil des EuGH, jedoch zunächst einmal nur auf der Suche nach Anhaltspunkten, wann eine Befürchtung im europäischen Recht ebenfalls als relevanter Faktor für eine bestimmte Folge anzusehen ist. Und die obigen Ausführungen sind quasi ein Teil-Ergebnis meiner ersten Recherche.

Derzeit nehme ich für die Prüfung im Rahmen des Art. 82 DSGVO für mich mit:

  • Furcht / Befürchtung führt nur dann zu einem Schaden, wenn diese Befürchtung im Hinblick auf die betroffene Person als begründet angesehen kann
  • Es bedarf einer Prüfung der individuellen Lage und Umstände des Betroffenen
  • Zudem muss ein „real risk“, eine beachtliche Wahrscheinlichkeit für den Missbrauch der Daten sprechen, damit die Furcht als begründet angesehen werden kann
 ‌
‌
‌
 ‌
‌

Datenschutzbehörde Österreich: FAQ zum Thema Cookies und Datenschutz

Die Datenschutzbehörde aus Österreich (DSB) hat auf ihrer Webseite eine schöne FAQ-Seite rund um das Thema „Cookies und Datenschutz“ veröffentlicht. Nachfolgend einige interessante Informationen und Antworten der DSB.

In Österreich ist für den Vollzug der nationalen Regelung zur Umsetzung von Art. 5 Abs. 3 ePrivacy-Richtlinie (§ 165 Abs. 3 TKG 2021) nicht die DSB zuständig. Der Vollzug eines Verstoßes gegen § 165 Abs. 3 TKG 2021 obliegt dort den Fernmeldebehörden. Eine Zuständigkeit der Datenschutzbehörde kann aber dennoch gegeben sein, wenn als Folge des Einsatzes von Cookies personenbezogene Daten verarbeitet werden.

Sind Cookies personenbezogene Daten? Nach Ansicht der DSB sind Cookies (oder besser gesagt: die in Cookies enthaltenen Informationen) nicht per se als personenbezogene oder nicht-personenbezogene Daten zu qualifizieren.

Eine Ausnahme von dem Einwilligungserfordernis des Art. 5 Abs. 3 ePrivacy-Richtlinie macht die DSB nur unter sehr engen Voraussetzungen. Sie verlangt eine „technische Notwendigkeit“ des Zugriffs auf das Endgerät. Aus technischer Sicht nicht notwendig (und daher einwilligungsbedürftig) sind nach ihrer Ansicht insbesondere jene Dienste, die das Nutzerverhalten von Personen auf der jeweiligen Website oder über mehrere Websites oder Endgeräte aufzeichnen und auswerten. Hierzu zählen aus Sicht der DSB insbesondere Plugins von Social Media Diensten oder Werbenetzwerken, deren Implementierung zur Folge hat, dass personenbezogene Daten der Website-Besucher an Dritte übermittelt werden. Nach Ansicht der DSB ist die Ausnahme von der Einwilligung in Art. 5 Abs. 3 ePrivacy-Richtlinie auch nicht im Sinne einer „wirtschaftlichen Notwendigkeit“ zu interpretieren.



 ‌
‌
‌
 ‌
‌

Vorlage des Einwilligungsdokuments im Rahmen der Auskunft nach Art. 15 DSGVO?

Nach Ansicht der Sächsischen Datenschutzbehörde haben Betroffene im Rahmen des Art. 15 DSGVO einen Anspruch darauf, sich erteilte Einwilligungen vorlegen zu lassen. Im Bereich „Werbung und Direktmarketing“ der Webseite führt die Aufsichtsbehörde aus:

„Soweit sich das Unternehmen auf eine Einwilligung beruft, sollte der Betroffene (im Wege des Auskunftsanspruchs) sich diese vorlegen lassen.“

Nach der Rechtsprechung des EuGH müssen Dokumente, die personenbezogene Daten enthalten, jedoch im Rahmen des Art. 15 Abs. 3 DSGVO nicht per herausgegeben werden (C-487/21). Danach bedeutet das Recht, eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zu erhalten, dass die betroffene Person eine originalgetreue und verständliche Reproduktion aller dieser Daten erhalten muss.

„Dieses Recht setzt das Recht voraus, eine Kopie von Auszügen aus Dokumenten oder gar von ganzen Dokumenten oder auch von Auszügen aus Datenbanken, die u. a. diese Daten enthalten, zu erlangen, wenn die Zurverfügungstellung einer solchen Kopie unerlässlich ist, um der betroffenen Person die wirksame Ausübung der ihr durch diese Verordnung verliehenen Rechte zu ermöglichen, wobei insoweit die Rechte und Freiheiten anderer zu berücksichtigen sind.“

Der EuGH macht die Herausgabe von Dokumenten, wie etwa einem Einwilligungsdokument, also davon abhängig, dass nur durch die Herausgabe des ganzen Dokuments die betroffene Person die Möglichkeit hat, ihre Rechte wirksam auszuüben. Gegen die Herausgabe des Dokuments könnte etwa sprechen, dass die betroffene Person auch mit einer Information wie „Ihr Vor- und Nachname befindet sich in bei uns vorgehaltenen Einwilligungserklärungen vom Datum 1 und Datum 2. Zweck der Verarbeitung ist der Nachweis, dass Sie Ihre Einwilligung für XYZ erteilt haben“ bereits nachvollziehen kann, ob richtige personenbezogene Daten zu zulässigen Zwecken verarbeitet werden.  

 ‌
‌
‌
 ‌
‌

Veranstaltungshinweise: Piltz Legal update in 2024

 ‌
‌

Für 2024 sind schon jetzt einige Piltz Legal update Seminare & Veranstaltungen geplant, zu denen wir Sie herzlich einladen:

Neueste Entwicklungen im Beschäftigtendatenschutz
Datum: 21. Februar 2024
Ort: Berlin
Gemeinsam mit Dr. Stefan Brink, Geschäftsführender Direktor Institut wida und von 2017 bis 2022 Landesbeauftragter für den Datenschutz und die Informationsfreiheit in Baden-Württemberg, möchten wir mit Ihnen aktuelle Entwicklungen im Bereich des Beschäftigtendatenschutzes diskutieren. Herr Dr. Brink wird einen Vortrag unter dem Titel „ 15+82+83 - wie Betroffenenrechte den Arbeitgeber mattsetzen“ halten.

Anmeldung: https://www.piltz.legal/events/neuesteentwicklungenimbeschaeftigtendatenschutz

DSGVO-Bußgelder und Schadenersatzansprüche von Betroffenen
Datum: 25. April 2024
Ort: Frankfurt am Main
Zusammen mit Maria Christina Rost (HBDI) möchten wir gemeinsam mit Ihnen zwei wichtige Themenfelder der DSGVO-Compliance beleuchten: einerseits wichtige Aspekte bei Bußgeldverfahren wegen Verstößen gegen die DSGVO (Was ist hier aus Sicht von datenverarbeitenden Stellen zu beachten? Was sind Aspekte, die von Aufsichtsbehörden positiv und negativ bewertet werden?); andererseits soll es um das Risiko von Schadenersatzklagen nach Art. 82 DSGVO gehen und wie man sich gegen diese verteidigen kann.

Anmeldung: https://www.piltz.legal/events/dsgvo-bussgelder-und-schadenersatzansprueche-von-betroffenen-vermeidung-und-verteidigung

‌
‌
Sie erhalten diese E-Mail, weil Sie sich mit der Adresse für den Newsletter angemeldet haben. Wenn Sie keine weiteren E-Mails erhalten möchten, können Sie sich hier austragen abmelden.
‌