Datenschutz-Guru - der Podcast

Hast du auch den oder die DSB als Ansprechpartner für Betroffenen in deinen Datenschutzhinweisen angegeben?

Die derzeit zahlreich auftretenden Schreiben von Betroffenen bzgl. der Verwendung von Google Webfonts und einem insoweit geltend gemachten Schadensersatzanspruch sind derzeit in aller Munde.

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit in Baden-Württemberg (LfDI BW) – Dr. Stefan Brink – und ich haben zu dem Thema ein Gespräch geführt.

In dem Gespräch stellt der LfDI BW seine Sicht auf die Wahrnehmung von Betroffenenrechten dar. Wir sprechen über diese Perspektive, deren Folgen und auch darüber, ob die Aufsichtsbehörde im Falle von Google Webfonts auch ein Bußgeld verhängen würde.

Dr. Stefan Brink gehört sicher zu den Datenschutzbeauftragten in Deutschland, die ihre Auffassung pointiert und fundiert darlegen können. Ich wünsche viel Spaß bei dem Gespräch.

Letzte Woche bekam ich die erste Anfrage eines geschätzten externen Datenschutzbeauftragten, dessen Kundschaft ein Schreiben mit einer Schmerzensgeldforderung wegen der Verwendung von Google Webfonts erhalten hat.

Wir fanden das Schreiben beide schon etwas merkwürdig, weil es keine klassische Abmahnung war, sondern als Schreiben einer Privatperson daher kam, das sich sinngemäß las wie eine freundliche Bitte einer Zahlung von Schadensersatz wegen der Verwendung von Google Webfonts.

Diese Woche erhielt ich nun die zweite Anfrage eines anderen ebenfalls geschätzten externen DSB, dessen Kundschaft auch so ein Schreiben erhalten hat. Das machte mich dann doch stutzig. Daraufhin haben wir die Schreiben einmal abgeglichen. Und siehe da…es sind nahezu identische Schreiben eines Herrn N. aus Nürnberg. Unterschiedlich war nur die Anschrift der Empfängerin und die Adresse der Internetseite der Empfängerin des Schreibens. In diesen Schreiben verlangt Herr N. unter Berufung auf das Urteil des LG München I (siehe meinen Beitrag hier) eine Zahlung von Schadensersatz i.H.v. 100,00 €.

Besonders ist an dem Schreiben, dass es „pseudo-freundlich“ formuliert ist. Von Rechtschreib- und Grammatikfehlern einmal abgesehen.

Wenn ich allein ich als kleiner Einzelanwalt allerdings schon binnen weniger Tage von zwei Fällen zu wissen bekomme, dann liegt die Annahme nahe, dass Herr „N.“ aus Nürnberg die Schreiben möglicherweise massenhaft versendet hat. Und wenn das der Fall sein und auch nur ein kleiner Teil der Empfängerin zahlen sollte, dann kommt da schon ein nettes „Sümmchen“ zusammen.

Warum diese Taktik nicht unschlau ist und auf diese Weise ggf. doch viele Unternehmen zu einer Zahlung geneigt sind, erläutere ich in dieser Podcast-Episode.

Das OLG Frankfurt a.M. hat in einem gestern veröffentlichten Urteil recht ausführlich begründet, warum einem Bank-Kunden, dessen Kontoauszug an eine falsche Person gesendet worden ist, nicht nur einen Unterlassungsanspruch, sondern auch einen Schmerzensgeldanspruch i.H.v. 500,00 € hat.

Das Urteil findest du jetzt auch hier: OLG Frankfurt a.M., Urteil vom 14.04.2022, Az.: 3 U 21/20

Neben dem Fehlversand des Kontoauszugs an eine Person mit gleichen Namen (aber anderer Stadt) gab es hier noch das Schmankerl, dass die Bank die falsche Adresse zugleich als alte Adresse des betroffenen Bankkunden bei der SCHUFA gemeldet hatte. Auch das war alles zu berücksichtigen.

In der heutigen Podcast-Episode schauen wir uns das Urteil des OLG Frankfurt a.M. mal näher an:

Ob E-Mails nur verschlüsselt oder gar nur Ende-zu-Ende verschlüsselt versendet werden dürfen, ist immer noch hochumstritten.

Ebenso umstritten ist, ob Betroffene in einen geringeren Schutz der Vertraulichkeit (und Integrität) von E-Mails einwilligen können. In der Fachsprache sprechen wir dann darüber, ob Art. 32 DSGVO disponibel ist. Auch das ist umstritten. Die Aufsichtsbehörden haben mit der Datenschutzkonferenz (DSK) zu beiden Themen entsprechende Beschlüsse gefasst bzw. Orientierungshilfen veröffentlicht:

In der rechtswissenschaftlichen Literatur und Fachkreisen werden beide Themen ebenfalls kontrovers diskutiert.

Die Rechtsprechung hingegen hat sich bislang nicht damit hervorgetan, dass eine E-Mail-Verschlüsselung verpflichtend wäre.

Ehrlicherweise hängt hier aber auch vieles vom Schutzbedarf der personenbezogenen Daten ab.

Wir besprechen diese Gesamtthematik in dieser Podcast-Folge und schauen uns dabei auch ein interessantes neues Urteil des OLG Schleswig zur E-Mail-Verschlüsselung bei Geschäftsgeheimnissen an. Das Urteil findest du übrigens hier: OLG Schleswig, Urteil vom 28.04.2022, Az.: 6 U 39/21

Die Datenschutzkonferenz (DSK) hat mal wieder einen diskussionswürdigen Beschluss veröffentlicht: [Hinweise der DSK – Datenschutzkonformer Online-Handel mittels Gastzugang] (PDF)

Um es vorwegzunehmen: Ich halte es für gut, wenn Online-Shops einen Gastzugang für Ihre Kundinnen und Kunden anbieten und ich nicht zwingend einen „Account“ anlegen muss.

Nur…dass es aus Gründen der „Datenminimierung“ eine Pflicht sei, so einen Gastzugang anzubieten und darüber hinaus eine Einwilligung erforderlich sei, wenn ich für Kundinnen und Kunden einen von diesen nutzbaren Account anlege, auf den diese dann zugreifen können, dürfte juristisch – um es milde zu formulieren – schwerlich vertretbar sein.

Mir ist schleierhaft, warum die DSK diesen grenzwertigen Beschluss überhaupt veröffentlicht hat. In der DSK arbeiten gute Juristinnen und Juristen. Und denen hätte doch auffallen müssen, dass dieser Beschluss in der Form, in der er verfasst ist, juristisch kaum haltbar ist.

Informationen zum Beschluss der DSK und meine Kritik daran, kannst du der nachfolgenden Podcast-Folge entnehmen:

Das VG Ansbach hat in einem Fall (Urteil vom 23.02.2022, Az.: AN 14 K 20.00083) entschieden, dass die Videoüberwachung in einem Fitnessstudio rechtswidrig war.

Das Urteil ist hier zu finden.

Nach einer Beschwerde eines Mitglieds des Fitnessstudios wegen der Videoüberwachung beim Bayerischen Landesamt für Datenschutzaufsicht (BayLDA) hat sich die Aufsichtsbehörde (BayLDA) eingeschaltet und einen Fragebogen an das Fitnessstudio versendet.

Obwohl die Begründung des Fitnessstudios durchaus nachvollziehbar war, hat das BayLDA dann letztlich angeordnet, dass die Videoüberwachung zu unterlassen ist, weil die Interessen der Trainierenden daran, unbeobachtet zu trainieren, überwiegen würden.

Gegen diese Anordnung hat das Fitnessstudio Klage beim VG Ansbach erhoben. Im weiteren Verfahren wurden dann eine Reihe von Argumenten ausgetauscht, mit denen sich das VG Ansbach dann befasst hat.

Wie das VG Ansbach die Entscheidung begründet hat, was das Fitnessstudio hätte besser machen können und warum ich die Entscheidung im Ergebnis für gut halte, kannst du in dieser Podcast-Folge nachhören:

Eine Listung bei dem Bewertungsportal Jameda ist vielen Ärztinnen und Ärzten ein Dorn im Auge. Denn leider sind nicht alle Patientinnen und Patienten mit der Leistung der medizinischen Zunft zufrieden. Und dann gibt es als „Dank“ dann schon einmal eine schlechte Bewertung.

So auch in einem Fall einer Ärztin, den nun der BGH im Februar entschieden hat. Da hatte eine Augenärztin u.a. wegen einer schlechten Bewertung ihr gesamtes „Profil“ löschen lassen wollen. Rechtsgrundlage für den Löschungsanspruch sollte Art. 17 DSGVO sein.

Nun…der BGH sah das nicht so und hat einen Löschungsanspruch verneint. Mit der Begründung, dass die Datenverarbeitung nach Art. 6 Abs. 1 lit. f) DSGVO zulässig sei.

Wer meine „Lehrmethoden“ kennt, weiß, dass bei mir Art. 6 Abs. 1 lit. f) DSGVO auch „FETT“ genannt wird. Denn es ist wohl die wichtigste bzw. (wegen des Internets) am häufigsten anzuwendende Rechtsgrundlage für eine Datenverarbeitung nach der DSGVO.

Die bei „FETT“ vorzunehmende Interessenabwägung nimmt der BGH auch in diesem Urteil vor. Und dabei geht der BGH durchaus andere Wege. Wo der BGH anders „abgebogen“ ist und was es mit dem Urteil auf sich hat, bespreche ich in dieser kurzen Podcast-Folge.

Das Urteil des BGH ist übrigens hier zu finden: BGH, Urteil vom 15.02.2022, Az.: VI ZR 692/20 ("Jameda")

Im gestrigen Podcast habe ich aufgrund der Pressemitteilung des VG Wiesbaden noch gemutmaßt, worum es denn in der Entscheidung gehen könnte.

Heute sind nun die Entscheidungsgründe veröffentlicht worden:

Und siehe da…das Gericht hat aufgrund einer ganz anderen Problematik den Einsatz von Cookiebot bei der Hochschule RheinMain untersagt. Und – das ist schon fast ein Hammer – wegen des Einsatzes eines Content Delivery Networks durch den Anbieter von Cookiebot.

Cookiebot setzt selbst – und das macht aufgrund der Vielzahl von internationalen Anfragen Sinn – ein CDN ein. Wenn man einen Traceroute auf das CDN von Cookiebot macht, so kommt dabei in der Tat heraus, dass das CDN „Akamai“ verwendet wird.

Und da Akamai zu einem US-Unternehmen gehöre, sei die Datenverarbeitung in Ermangelung einer Ausnahme nach Art. 49 DSGVO unzulässig, so das VG Wiesbaden.

Das ist jetzt die sehr vereinfachte Variante des Ergebnisses der Entscheidung. Wenn ich Zeit finde, werde ich gerne noch einmal näher auf die Entscheidung eingehen.