IT-Recht und Datenschutzrecht

Der Bundesgerichtshof hat die Abmahnfähigkeit von DSGVO-Verstößen bejaht und die Datenverarbeitung ohne vorliegende Einwilligung gem. Art. 9 DSGVO als wettbewerbsrechtliche Marktverhaltensregel eingestuft. (Bundesgerichtshof, Urt. v. 27.03.2025, I ZR 222/19)

Mit dieser Entscheidung wird der Weg für Abmahnungen durch Wettbewerber nach § 9 UWG geöffnet. Ob nun eine Abmahnwelle zu rollen beginnt, ist noch offen. Es ist jedoch weiterhin höchste Vorsicht geboten.

Die damalige Beauftragte für Datenschutz und Informationsfreiheit des Landes Berlin, Maja Smoltzczyk, hat gegen die Firma Deutsche Wohnen SE, Mecklenburgische Straße 57, 14197 Berlin, die über 163.000 Wohnungen in ihrem Eigentum hält und verwaltet, einen Bußgeldbescheid über 14.500.000,00 EUR verhängt. Zur Begründung wurde angeführt, dass Altdaten von Mietern nicht innerhalb der Löschfristen gelöscht wurden. Smoltczyk vermutet in vielen anderen Branchen ähnliche Fälle lediglich das Personal, um allen Hinweisen nachgehen zu können. (Pressemitteilung von 11-2019) Das Thema ist nach wie vor hochaktuell.

Gemäß Art. 33 Abs. 1 Satz 1 DS-GVO muss ein datenschutzrechtlich Verantwortlicher im Fall einer Verletzung des Schutzes personenbezogener Daten unverzüglich und möglichst binnen 72 Stunden, nachdem die Verletzung bekannt wurde, dies der zuständigen Aufsichtsbehörde melden.

Dies gilt nur dann nicht, wenn die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt.

Artikel 33 Abs. 1 DS-GVO umfasst auch Bagatellsachverhalte!

Es ist unklar, wann die 72 Stunden Frist beginnt. Die Frist beginnt ab Erhalt der ersten belastbaren Informationen.

Streitig ist, unter welchen Voraussetzungen ein „kennen müssen“ zum Fristbeginn führt, wenn also der Verantwortliche den Datenschutzvorfall nicht kennt, ihn aber bei sorgfältiger Prüfung oder Instruktion seiner Mitarbeiter hätte kennen müssen.

Samstage sowie Sonn- und Feiertage zählen bei der Fristberechnung mit. Allerdings muss die Frist nach herrschender Meinung mindestens zwei Werktage umfassen.

Wenn besondere Umstände vorliegen, kann diese Frist auch noch verlängert werden. Genaue Kriterien wurden von den Datenschutzbehörden derzeit allerdings noch nicht festgelegt.

Eines der ebenfalls am meisten diskutierten Fragen ist derzeit, wie weit das Recht der Betroffenen auf Herausgabe von Datenkopien gem. Art. 15 Abs. 1 DS-GVO reicht.

Das Landesarbeitsgericht Stuttgart hat diesbezüglich in einer Entscheidung (AZ: 17 Sa 11/18) festgestellt, dass ein Arbeitnehmer nach Art. 15 DS-GVO das Recht auf eine Kopie seiner gesamten Personalakte hat. Eine Einschränkung ergäbe sich nur dann, sofern im Einzelfall überwiegende berechtigte Interessen Dritter an einer Geheimhaltung vorgehen. Ob diese Interessen einer Auskunftserteilung im Einzelfall entgegenstehen, sei durch eine Interessensabwägung vorzunehmen.

Im vorliegenden Fall hat das Landesarbeitsgericht dem Kläger das Recht zugestanden, dass er nicht nur Informationen über die gespeicherten Daten erhält, insoweit auch sämtliche Informationen über Leistungs- und Verhaltungsdaten, darüber hinaus hat das Landesarbeitsgericht dem Arbeitnehmer auch das Recht zugestanden, dass er auch alle Kopien, der in seiner Personalakte befindlichen Dokumente erhält.

Eine grundsätzliche Einschränkung hat das Landesarbeitsgericht verneint, sondern dies einer Interessensabwägung im Einzelfall überlassen. Auch diesbezüglich kann von Rechtsicherheit nicht im Ansatz die Rede sein.

Der Arbeitgeber darf unter bestimmten Umständen auf den dienstlichen E-Mail Account eines Arbeitnehmers zugreifen Hierfür sind eine Verhältnismäßigkeitsprüfung und eine Interessenabwägung erforderlich. Sofern der Arbeitgeber seinen Angestellten verbietet, den E-Mail Account privat zu nutzen, ist die gesamte E-Mail-Korrespondenz als Geschäftskorrespondenz einzuordnen. Der EuGH entschied unter welchen Voraussetzungen der Zugriff möglich ist. Hierzu zählt die vorherige Information an den Arbeitnehmer, das Vorliegen von legitimen Gründen für die Überwachung und die Abwägung, ob mildere Mittel zur Verfügung stehen (EuGH, Urt. v. 05.09.2017 – 61496/08).

Dies ist ein Bereich, in dem man mit der vorherigen arbeitsvertraglichen Gestaltung einer Vielzahl vom Problemen entgehen kann. Es empfiehlt sich die Beratung durch einen spezialisierten Anwalt oder eine spezialisierte Anwältin.

In einer bemerkenswerten Entscheidung hat das Arbeitsgericht Berlin geurteilt, dass ein Zeiterfassungssystem mittels Fingerprint nur zulässig ist, sofern die Arbeitnehmer ausdrücklich einwilligt. Die Einwilligung bedarf daher der Schriftform.

Es ging um die Rechtsfrage, ob die Datenverarbeitung im Rahmen der Durchführung des Arbeitsverhältnisses erforderlich im Sinne von § 26 BDSG ist. In diesem Fall wäre eine Zustimmung nicht erforderlich gewesen. Das Arbeitsgericht verneint diese Frage.

Es ist an dieser Stelle jedoch festzuhalten, dass dies momentan noch eine Einzelmeinung darstellt. Sollte sich diese Meinung allerdings höchstrichterlich bestätigten, wären entsprechende Maßnahmen zu treffen.

Die DS-GVO bzw. das korrespondierende BDSG neu regelt auch die Berechtigung der Nutzung von Bonitätsdaten.

Bei offenen Forderungen ist gemäß § 31 Abs. 2 Nr. 4 BDSG neu unter folgenden Voraussetzungen die Bonitätsauskunft zulässig:

• Mindestens 2 Mahnungen
• Hinweis in einer Mahnung an die betroffenen Schuldner, dass eine Bonitätsauskunft eingeholt wird
• die Forderung ist unstreitig geblieben
• Verzug nach 1. Mahnung mindestens 4 Wochen
• kein Wegfall des berechtigten Interesses, d.h. keine Bezahlung der Forderung oder ähnliche Wegfallgründe

Ich empfehle Ihnen daher in Ihren Mahnschreiben auf die Möglichkeit einer Bonitätsauskunft hinzuweisen, ansonsten ist deren Einholung datenschutzrechtlich problematisch.

Nochmals zu betonen ist, dass diese Einschränkungen nur im Rahmen der Einholung von Bonitätsauskünften im Rahmen der Einziehung von Forderungen gelten und gerade nicht im Falle der Prüfung der Bonität vor Vertragsabschluss.

Nach einem aktuellen Urteil des EuGH ist bei dem Schufa-Scoring Art. 22 DSGVO anwendbar. Wenn sich die Entscheidung über den Vertragsschluss maßgeblich auf den Schufa-Score stützt, bedarf es hierfür einer Rechtsgrundlage. Ob diese in § 31 BDSG zu sehen ist, ist aktuell fraglich. So dass derzeit anzuraten ist, die Entscheidung nicht „maßgeblich“ auf den Schufa-Score zu stützen.

Das bayerische Landesamt für Datenschutzaufsicht hat auf eigene Rückfrage von uns bestätigt, dass die Informationspflichten der Art. 13/14 DS-GVO nicht für Bestandskunden gilt, sondern nur für diejenigen Kunden, die nach Geltung der DS-GVO neu erfasst werden.

Eine Rückwirkung für Altfälle auf Art. 13/14 DS-GVO ist definitiv nicht gegeben. Dies wurde nunmehr von der Datenschutzaufsichtsbehörde offiziell bestätigt.

Für diejenigen Unternehmen, die in Baden-Württemberg ihren Sitz haben gilt gleiches.

Das Verwaltungsgericht Hannover hat festgestellt, dass die Verwendung von Bildaufnahmen von Besuchern, beispielsweise eines Messestandes und/oder einer Firmenveranstaltung auf Werbematerialien wie einer Homepage oder Firmenprospekten gegen die DS-GVO verstößt, sofern die Einwilligung der abgebildeten Personen nicht vorliegt (VG Hannover, Urteil vom 27.11.2019, 10 A 820/19).

Der EuGH hat in einer grundsätzlichen Entscheidung (NJW 2019, Seite 2755) entschieden, dass die mit Drittanbieter Plugins verbundene Übermittlung der IP-Adressen an Server des Drittanbieters (Facebook Like Buttons) nur zulässig ist, sofern die Nutzer einwilligen.

Gegenstand des Urteils des EuGHs war eine Klage des Bundesverbands der Verbraucherverbände gegen die Firma Planet 49 GmbH, die bei Onlinegewinnspielen ein vorgesetztes Häkchen bei der Cookie-Zustimmung verwendete. Der EuGH hat entschieden, dass dies unzulässig ist. Insoweit ist die Bedeutung des EuGH-Urteils nicht so weitreichen, wie in der Presse oft suggeriert wird.

Das Urteil des EuGHs bestätigt im Kern eine bis dato bereits bestehende Praxis, dass die Besucher der Website aktiv der Verwendung von Cookies zustimmen müssen. Eine reine Information ist nicht ausreichend.

Auf vielen Websites ist dies bereits umgesetzt.

Letztendlich bedeutet die EuGH-Entscheidung, die Pflicht eines Opt-in-Verfahrens für die Verwendung von Cookies. Opt-in ist das Gegenteil von Opt-out und bedeutet, dass eine aktive Erklärung vorliegen muss. Beim Opt-out-Verfahren liegt eine Voreinstellung vor, der man widersprechen muss.

Im letzten Fall kann die Seite nicht besucht werden.

Der EuGH hat klargestellt, dass über die Funktionsweise der Cookies genau informiert werden muss, sodass ein Verweis auf Cookies ohne nähere Beschreibung nicht mehr ausreichend ist. Es stellt sich die Frage, wie ausführlich diese Beschreibung sein muss, was der EuGH offengelassen hat.

Im Bereich Informationspflichten bei Videoüberwachung ist eine große Rechtsunsicherheit entstanden, nachdem das Bundesverwaltungsgericht den erst mit der DS-GVO neu eingeführten § 4 BDSG neu für teilweise europarechtswidrig erklärt hat.

Eine Videoüberwachung nach dieser Norm ist nur für öffentliche Stellen zulässig. Für nichtöffentliche Stellen stellt sich die Frage, ob diese sich auf Art. 6 Abs. 1 Satz 1 lit. f. DSGVO berufen können, da jedenfalls keine Videoüberwachung nach § 4 BDSG möglich ist.

Dies führt allerdings dazu, dass unklar ist, ob und wie die Betroffenen bei der Videoüberwachung durch nicht-öffentliche Stellen zu informieren sind.

Die DS-GVO enthält keine ausdrückliche Vorschrift, wie über Videoüberwachung zu informieren ist.

In diesem Zusammenhang ist deshalb ein heftiger Streit unter den Datenschützern entstanden, wie dies nun bewerkstelligt werden muss.

Wie versprochen habe ich eine GM-Lösung (gesunder Menschenverstand) entwickelt, die im Hinblick auf die neue Rechtslage datenschutzrechtskonform sein dürfte.

In diesem Zusammenhang ist jedenfalls notwendig, die Beschilderung zu ändern und über weitere Tatsachen zu informieren. Die wesentlichen Informationen sind jedoch auf einer speziellen „Datenschutzinformation Videoüberwachung“ enthalten, die auf der Homepage neben den anderen Belehrungen zu implementieren ist.

Bitte setzen Sie eine entsprechende Ausschilderung sowie Datenschutzinformation in Bezug auf Videoüberwachung zeitnah um, da gegebenenfalls Bußgelder von Behörden drohen.

Der EuGH hatte zum Ende des Jahres 2019 darüber zu entscheiden, ob die Videoüberwachung im Gemeinschaftsbereich von Wohngebäuden mit Eigentümergemeinschaften zulässig ist.

Das Problem war in diesem Fall, dass eine Eigentümergemeinschaft die Installation einer Videoüberwachung entschieden hat, obwohl nicht die Einwilligung aller Eigentümer vorlag.

Das Gericht hat hier entschieden, dass eine Mehrheitsentscheidung der WEG die Videoüberwachung rechtfertigen kann, wenn sie einer klaren Zweckfestlegung folgt und unter Abwägung aller maßgeblichen Interessen interessengerecht ist. Die Aufzeichnungen müssen sich auf das absolut Notwendige beschränken und erforderlich sein. Erforderlich ist somit ein aus tatsächlichen Gründen bestehende Gefährdungslage, die über das allgemeine Lebensrisiko hinausgeht.