Der Europäische Gerichtshof (EuGH) konkretisiert mit zwei weiteren wichtigen Entscheidungen im Dezember die Voraussetzungen für Schadensersatz nach Art. 82 DSGVO. So fallen auch subjektive, immaterielle Schäden unter den Schadensbegriff der DSGVO. Den Schaden beweisen muss die betroffene Person. In seiner ersten Entscheidung (Urt. v. 14.12.2023 - Az.: C‑340/21) führt der EuGH zum Schadensbegriff aus, dass bereits die Befürchtung missbräuchlicher Datenverarbeitung einen immateriellen Schaden darstellen kann. In seiner zweiten Entscheidung (Urt. v. 14.12.2023 - Az.: C‑456/22) stellt der EuGH klar, dass der Schadensbegriff der DSGVO auch rein subjektive Schäden erfasse.
Am 05. Dezember hat der Europäische Gerichtshof (EuGH) gleich zwei wegweisende Urteile verkündet. Im ersten Urteil entschied der EuGH im Fall „Deutsche Wohnen“. Diese stritt mit der Berliner Beauftragten für Datenschutz und Informationsfreiheit über die langfristige Speicherung von Mieter:innendaten (z.B. Personalausweiskopien, Bonitätsbelege, Gehaltsbescheinigungen) in ihren Archivsystemen. Die Datenschützer:innen rügten einen Datenschutzverstoß, welchem die Deutsche Wohnen jedoch keine Abhilfe leistete. Daraufhin verhängte die Berliner Behörde ein Bußgeld in Höhe von 14,385 Mio. EUR wegen eines vorsätzlichen Datenschutzverstoßes. Die Deutsche Wohnen zog vor Gericht. Das Berliner Landgericht stellte das Verfahren gegen die Deutsche Wohnen zunächst ein.
Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit wird von der Bundesregierung vorgeschlagen und vom Deutschen Bundestag gewählt. Seine Amtszeit beträgt fünf Jahre. Nachdem die Bundesregierung es versäumt hatte, fristgerecht einen neuen Vorschlag für den oder die nächsten Bundesdatenschutzbeauftragten (BfDI) vorzulegen, bewirbt sich der Prof. Ulrich Kelber um eine zweite Amtszeit. Eine Wiederwahl ist einmalig möglich. Auf der Webseite des BfDI teilt Kelber mit: "Ich selbst bewerbe mich um eine zweite Amtszeit, um meine begonnene Arbeit fortzusetzen. In den letzten fünf Jahren habe ich erreicht, dass der BfDI die Beratung für die beaufsichtigten Bundesbehörden, Unternehmen und sonstigen Institutionen deutlich intensiviert hat."
Die irische Datenschutzkommission DPC, die im Namen der EU handelt, hat gegen den Videodienst TikTok ein Bußgeld in Millionenhöhe ausgesprochen. TikTok wehrt sich. Hintergrund ist eine Untersuchung zum Umgang mit Nutzendendaten Minderjähriger von Ende Juli bis Ende Dezember 2020, wie die DPC vergangene Woche mitteilte. Die DPC wirft dem bei Jugendlichen sehr beliebten Dienst TikTok vor, beim Umgang mit Daten Minderjähriger gegen die EU-Datenschutzgrundverordnung (DSGVO) verstoßen zu haben. Im Fokus standen einige Einstellungen der Plattform sowie die Altersüberprüfung bei der Anmeldung. Die Voreinstellung führte dazu, dass Beiträge und Videos von Nutzenden im Alter zwischen 13 und 17 Jahren standardmäßig für alle sichtbar veröffentlicht werden konnten. Auch sei die Kommentierfunktion in den Profilen als Voreinstellung für alle anderen Nutzenden zugänglich gewesen.
Die Datenschutzorganisation Noyb - deren Vorstandsvorsitz bekleidet wird von Max Schrems - hat in der ersten Septemberhälfte gleich drei Beschwerden wegen rechtswidriger Datenweitergabe an Dritte eingereicht. Die Beschwerden richten sich gegen die App "Fnac" des größten Elektronikmarkts Frankreichs, die Immobilien-App "SeLoger" und die Fitness-App "MyFitnessPal". Nach dem Öffnen der Apps greifen die Betreiber unmittelbar die Daten der Nutzenden ab und übermitteln diese zu umfangreichen Analysezwecken an Dritte, ohne den Nutzenden zu ermöglichen die Datenweitergabe zu unterbinden. Die Übermittlung erfolge dabei standardmäßig.
Es ist so weit: Die Europäische Kommission hat soeben den Angemessenheitsbeschluss für das EU-U.S. Data Privacy Framework (Nachfolger des „Privacy Shields“) angenommen. Der Angemessenheitsbeschluss kann nunmehr als Grundlage für Datenübermittlungen an zertifizierte Unternehmen in den USA dienen. Für Betroffene und Datenexporteure besteht damit jetzt erst einmal Rechtssicherheit. Die Europäische Kommission hat dem EU-U.S. Data Privacy Framework ein angemessenes Schutzniveau bestätigt. Mit dem neuen Angemessenheitsbeschluss können personenbezogene Daten aus der EU ab sofort an Unternehmen in die USA übermittelt werden, ohne dass weitere Vorkehrungen oder zusätzliche Maßnahmen erforderlich sind. Dies gilt jedoch nur, sofern das US-Unternehmen auch unter dem EU-U.S. Data Privacy Framework zertifiziert ist.
Der Aufruf einer Webseite ist in den meisten Fällen ohne vorherige Auswahl in Cookie-Bannern unmöglich. Diesem lästigen Vorgehen möchte das Bundesministerium für Digitales und Verkehr (BMDV) entgegenwirken. Nach dem überarbeiteten Referentenentwurf für eine „Einwilligungsverwaltungsverordnung“ soll bei Einsatz eines „anerkannten Dienstes“ für ein Jahr der ungestörte Aufruf von Webseiten möglich sein.
Im Fokus steht die Festlegung eines rechtlichen Rahmens für Dienste zur Einwilligungsverwaltung auf Basis des Telekommunikation-Telemedien-Datenschutzgesetz (TTDSG). Diese Dienste sollen den Endnutzer:innen ermöglichen, ihre Einwilligung (im Einklang mit der DSGVO) gegenüber Telemedienanbieter:innen zu erklären, abzulehnen und zu verwalten.
Der Vorsitz im Betriebsrat steht den Aufgaben eines Datenschutzbeauftragten typischerweise entgegen und berechtigt den Arbeitgebenden zum Widerruf, entschied jetzt das Bundesarbeitsgericht (BAG), Urt. v. 06.06.2023 - 9 AZR 383/19. Hintergrund der Entscheidung ist die Klage eines Konzernangestellten, der Vorsitzender des Betriebsrats ist. Der Kläger wurde zunächst von seiner Arbeitgeberin und allen in Deutschland ansässigen Tochtergesellschaften mit Wirkung zum 01.06.2015 als Datenschutzbeauftragter bestellt. Auf Veranlassung des Thüringer Landesbeauftragten für Datenschutz und Informationsfreiheit widerriefen die Beklagte und die weiteren Konzernunternehmen die Bestellung des Klägers am 01.12.2017 wegen Unvereinbarkeit der Ämter mit sofortiger Wirkung.
Der Vermittlungsausschuss hat sich am 09.05.2023 auf Änderungen am Hinweisgeberschutzgesetz (HinSchG) geeinigt. Die Änderungen sind weitreichend. So entfällt wohl die Pflicht, auch anonyme Meldungen zu ermöglichen. Hinweisgebende müssen also von Beginn an ihre Identität preisgeben, wollen sie unter den Schutzbereich des Gesetzes fallen.
Auch die Höhe von Bußgeldern bei Verstößen gegen das HinSchG wurde erheblich herabgesetzt und der Anwendungsbereich des Gesetzes eingegrenzt.
Stimmt der Bundesrat morgen dem geänderten Gesetz zu, so stünde der Unterzeichnung durch den Bundespräsidenten und der Verkündung im Bundesgesetzblatt nichts mehr im Wege. Damit könnte das HinSchG etwa Mitte Juni in Kraft treten.
In einem wegweisenden Urteil (Urt. v. 04.05.2023, Az.: C-300/21) bestätigte der Europäische Gerichtshof (EuGH) am Donnerstag, dass der bloße Verstoß gegen Vorschriften der DSGVO keinen Schadensersatzanspruch begründet. Gleichzeitig stellten die Richter:innen klar, dass die DSGVO keine Erheblichkeitsschwelle für Schadensersatzansprüche vorsieht. Hintergrund der Entscheidung war ein Fall aus Österreich, den der österreichische Oberste Gerichtshof (OGH) dem EuGH vorlegte. Im Ausgangsfall ging es um einen schweren Verstoß der österreichischen Post. Diese hatte seit 2017 Informationen über die politische Affinität der österreichischen Bürger zum Zwecke der Wahlwerbung von Parteien gesammelt.
