Lexkonnex Datenschutz

Wie weit sind Sie mit der Umsetzung der DSGVO?

Jenny Gocheva — Sat, 25 Jun 2022 12:21:22 +0000

Die deutsche Wirtschaft kämpft immer noch mit der Datenschutz-Grundverordnung (DS-GVO). Laut einer Studie bei der über 1.100 Führungskräfte aus Unternehmen mit Sitz in Ländern wie z.B. Deutschland, Italien, Spanien, Frankreich, aus unterschiedlichen Branchen befragt wurden, haben aktuell nur 67 Prozent angegeben, die DSGVO mindestens zu großen Teilen umgesetzt zu haben. Erst ein Viertel ist überzeugt die Umsetzung der DSGVO vollständig abgeschlossen zu haben. Vor allem kleine und mittelständischen Unternehmen sind weiterhin mit der Aufgabe, die gesetzliche Regelung umzusetzen, überfordert. Rechtsunsicherheit und ein schwer abzuschätzender Umsetzungsaufwand sind für jeweils zwei Drittel der Unternehmen die größten Herausforderungen. Mehr als die Hälfte beklagt fehlende Umsetzungshilfen, gut ein Drittel sieht fehlendes Fachpersonal als größte Herausforderung.

Mit unserem Plan-Do-Check-Akt-Model zur Umsetzung der DSGVO erreichen Sie bereits nach kürzester Zeit ein angemessenes Datenschutzniveau im Unternehmen und könne diese kontinuierlich steigern.

Unser 10-Schritte Plan zur Umsetzung der DSGVO:

Prüfung der Organisationsstruktur
Ermittlung der Anforderungen zur Datenschutzkonformität
Budgetplanung
Erstellung einer Timeline
Festlegung der Zuständigkeiten
Abstimmung der Ziele und des Ablaufs mit der Unternehmensleitung
Umsetzung
Analyse des Datenschutzniveaus
Korrektur
Berichterstattung

Profitieren Sie von unserer Erfahrung und erreichen Sie schnell und unkompliziert Datenschutzkonformität in Ihrem Unternehmen.

www.lexkonnex-datenschutz.de

www.lexkonnex.de

Der Beitrag Wie weit sind Sie mit der Umsetzung der DSGVO? erschien zuerst auf Lexkonnex Datenschutz.

Abmahnungen bei Datenschutzverstößen

Jenny Gocheva — Fri, 27 Aug 2021 10:03:57 +0000

Datenschutzverstöße können außer Bußgeldern auch andere Sanktionen nach sich ziehen. Darunter fallen etwa Abmahnungen, beispielsweise durch Konkurrenten.

Was ist eine Abmahnung?

Eine Abmahnung ist das außergerichtliche Schreiben eines Konkurrenten. Es enthält die Aufforderung, eine angeblich wettbewerbswidrige Handlung zu unterlassen, zum Beispiel irreführende Preisvergleiche. Die Rechtsgrundlage für eine Abmahnung ist das „Gesetz gegen den unlauteren Wettbewerb“ (UWG).

Wie sieht eine Abmahnung aus?

In der Abmahnung wird zunächst der Sachverhalt bschrieben. Die rechtliche Begründung des vorgeworfenen Wettbewerbsverstoßes muss angegeben werden. Es muss ergänzend zur Abgabe einer strafbewehrten Unterlassungserklärung aufgefordert werden. Dafür wird häufig, aber nicht notwendigerweise eine Frist gesetzt. Außerdem werden gerichtliche Schritte angedroht, wenn die geforderte strafbewehrte Unterlassungserklärung nicht abgegeben wird.

Typischerweise enthält eine Abmahnung auch folgende Inhalte:

Aufforderung, das abgemahnte Verhalten zukünftig zu unterlassen, meist verbunden mit der Androhung einer Vertragsstrafe für den Fall, dass das abgemahnte Verhalten nochmals auftritt
Aufforderung zur Erstattung von Rechtsverfolgungskosten an den Abmahnenden, z.B. Rechtsanwaltskosten

Abmahnungen werden im geschäftlichen Rechtsverkehr ausgesprochen, d.h. unter Unternehmern. Privatpersonen können keine Wettbewerbsverletzungen nach dem UWG begehen. Abmahner und Abmahnungsempfänger müssen Mitbewerber im Sinne des UWG sein. Dazu müssen sie in einem konkreten Wettbewerbsverhältnis stehen (§ 2 Nr. 3 UWG). Neben Mitbewerbern dürfen nach dem UWG bestimmte Verbände oder Wettbewerbsvereine Abmahnungen aussprechen, z.B. die Wettbewerbszentrale oder der Verbraucherzentrale Bundesverband e.V. Abmahnungen aussprechen.

Abmahnung bei Verstößen gegen DSGVO bisher umstritten

Seit Inkrafttreten der DSGVO herrscht ein Streit darüber, ob Verstöße gegen das Datenschutzrecht abgemahnt werden können.

In der Rechtsprechung war aktuell zu beobachten, dass sich die Urteile mit zwei Kernthemen beschäftigen:

Sind bestimmte Verstöße gegen die Bestimmungen der Datenschutzgrundverordnung mit einem Verstoß gegen die Wettbewerbs- und Marktverhaltensregeln im Sinne des UWG gleichzusetzen?
Sind allein die in der DSGVO ermächtigten Einrichtungen berechtigt, Verstöße zu sanktionieren?

Klarhheit zu all diesen Fragen hat der Gesetzgeber im Dezember 2020 mit einer umfassenden Änderung des UWG mit dem Gesetz zur Stärkung des fairen Wettbewerbs geschaffen. Durch die Neurgelung legt der Gesetzgeber zugleich aber auch fest, dass Verstöße gegen die DSGVO grundsätzlich abmahnfähig sind.

Durch die Neuregelung in § 13 UWG dürfen bei Abmahnungen von Verstößen gegen die Datenschutzgrundverordnung oder das Bundesdatenschutzgesetz durch Unternehmen und gewerblich tätige Vereine zukünftig keine Abmahnkosten mehr geltend gemacht werden, wenn das abgemahnte Unternehmen in der Regel weniger als 250 Mitarbeiter beschäftigt (§ 13 Abs. 4 UWG). Bei abgemahnten Unternehmen mit weniger als 100 Mitarbeitern darf bei einem erstmaligen Verstoß auch keine strafbewehrte Unterlassungserklärung gefordert werden (§ 13a Abs. 2 UWG).

Für Unternehmen, die diese Mitarbeitergrenzen überschreiten, kann also ein Datenschutzverstoß, wie z.B. eine mangelhafte Datenschutzerklärung auf der Internetseite, sowohl Rechtsverfolgungskosten des Wettbewerbers als auch bei mehrmaligem Verstoß die Zahlung einer Vertragsstrafe zur Folge haben.

Wenn Sie eine DSGVO Abmahnung erhalten haben, dann sollten Sie nicht auf die Unterstützung eines Fachanwaltes für Wettbewerb- oder Datenschutzrecht verzichten. Wenn Sie Hilfe brauchen– nehmen Sie einfach Kontakt zu uns auf: www.lexkonnex.de

Der Beitrag Abmahnungen bei Datenschutzverstößen erschien zuerst auf Lexkonnex Datenschutz.

Reichweite des Auskunftsanspruchs gem. Art 15 DSGVO

Jenny Gocheva — Tue, 17 Aug 2021 07:18:59 +0000

Der BGH hat in einem aktuellen Urteil den Auskunfts- und Kopieanspruch nach Art. 15 DSGVO definiert. Betroffene haben künftig sogar Anspruch auf Auskunft über interne Vermerke.

Der Auskunftsanspruch betroffener Personen gemäß Art. 15 DSGVO gehört zu den wesentlichen Änderungen der DSGVO, die Unternehmen beachten müssen. Die Auslegung der Reichweite des Auskunftsanspruchs ist seit Inkrafttreten der DSGVO ein heiß diskutiertes Thema. Unternehmen versuchen natürlich die Auskunft soweit möglich zu begrenzen. Die Betroffenen haben ein Interesse daran alle Informationen zu erhalten, die in dem jeweiligen Unternehmen gespeichert werden.

In einer aktuellen Entscheidung hat sich der Bundesgerichtshof mit der Frage auseinandergesetzt und die Reichweite des Auskunftsanspruchs nach Art. 15 definiert.

In einem Streit zwischen einem Versicherten und seiner Versicherung verlangte der Versicherte eine ausführliche Auskunft über die zu seiner Person bei der Versicherung gespeicherten Daten. Der Kläger forderte sehr detaillierte Auskünfte u.a.

Die gesamte Korrespondenz zwischen ihm und der Versicherung
Nachträge zum Versicherungsschein und möglicherweise erteilte Zweitschriften von Versicherungsscheinen
vollständige Daten seines Kontos
Zudem auch Auskunft über Telefonvermerke, Gesprächsvermerke und Bewertungsvermerke der Versicherung, die sich auf das Versicherungsverhältnis mit ihm beziehen

Nach Erteilung der allgemeinen Auskunft gem. Art. 15 DSGVO lehnte die Versicherung eine weiterreichende Auskunft ab. Der Versicherungsnehmer hat daraufhin Klage erhoben.

Das Landgericht Köln wies die Klage mit der Begürndung ab, die Versicherung habe eine vollständige Auskunft erteilt. Hinsichtlich der Daten, die der Kläger zusätzlich fordere, habe er keinen Auskunftsanspruch nach Art. 15 Datenschutz-Grundverordnung (DSGVO). Diese Daten würden aus unterschiedlichen Gründen nicht von diesem Auskunftsanspruch erfasst.

Der BGH entschied in diesem Fall anders.

Nach seiner Auffassung können „entgegen der Ansicht des Berufungsgerichts die zurückliegende Korrespondenz der Parteien, das „Prämienkonto“ des Klägers und daten des Versicherungsscheins sowie interne Vermerke und Kommunikation der Beklagten nicht kategorisch vom Anwendungsbereich des Art. 15 Abs.1 DSGVO ausgeschlossen werden.“

Zudem bewertet der BGH auch die Frage, ob sich der Auskunftsanspruch auch auf interne Vermerke und die interne Kommunikation innerhalb der Versicherung bezieht, also beispielsweise auf die Kommunikation zwischen verschiedenen Abteilungen. Insbesondere seien interne Vermerke davon betroffen, wenn sie Informationen über den Kläger enthalten. Dazu gehören auch Vermerke der Versicherung über den Gesundheitszustand des Klägers.

Kein Auskunftsanspruch bestehe bei Beurteilungen zur Rechtslage, da diese keine Information über den Betroffenen darstellen und nicht als personenbezogene Daten anzusehen seien. Auch Provisionszahlungen der Versicherung an Vermittler unterliegen nicht dem Auskunftsanspruch, da sie keinen Bezug zur Person haben.

Im Ergebnis bedeutet das BGH-Urteil, dass Betroffene Anspruch auf eine umfassende Auskunft haben und zu allem eine Kopie fordern können, insbesondere auch zu internen Vermerken. Zu der Frage, ob der Anspruch aufgrund von Unverhältnismäßigkeit beschränkt oder ausgeschlossen werden kann, hat sich der BGH nicht geäußert.

Aber auch hier gibt der BGH eine Richtung vor. Er macht deutlich, dass der Auskunftsanspruch nur dann ausgeschlossen sein kann, wenn dies in der DSGVO explizit geregelt ist.

Der Beitrag Reichweite des Auskunftsanspruchs gem. Art 15 DSGVO erschien zuerst auf Lexkonnex Datenschutz.

E-mail Verschlüsselung

Jenny Gocheva — Fri, 13 Aug 2021 07:46:25 +0000

Verschlüsselung: Wann ist welche Methode sinnvoll?

Es sollte bereits jedem klar sein, wie wichtig es ist, die personenbezogenen Daten, mit denen jedes Unternehmen arbeitet, ordnungsgemäß zu speichern und zu schützen. Wichtig ist die Entscheidung, wie man Daten schützt, deren Reise man nicht von Anfang bis Ende kontrollieren kann.

Man unterscheidet bei der Verschlüsselung von E-Mails grundsätzlich zwei Wege: Die Transport- und die Inhaltsverschlüsselung.

– Transportverschlüsselung: Die E-Mail-Nachrichten werden durch einen verschlüsselten Tunnel geschickt. Jedoch liegen die E-Mails nicht nur bei Absender und Empfänger im Klartext vor, sondern auch auf dazwischenliegenden Knoten. Nachrichten können also mitgelesen werden. TLS („Transport Layer Security“) ist das Standardprotokoll für die Transportverschlüsselung. TLS kommt häufig bei der Übertragung von Webseiten zum Einsatz und verhindert, dass Fremde etwa beim Online-Banking Daten mitlesen oder sogar manipulieren können.

– Inhaltsverschlüsselung: Hierbei wird der E-Mail-Inhalt verschlüsselt. Jedoch bleiben die sogenannten Metadaten (Absender, Betreff der Nachricht, Empfänger usw.) unverschlüsselt und damit lesbar. Protokolle für die Inhaltsverschlüsselung sind beispielsweise PGP und S/MIME. Sie sind besonders im Bereich von E-Mails weit verbreitet. Aber auch wer eine verschlüsselte ZIP-Datei erstellt, verschlüsselt den Inhalt der zugrunde liegenden Daten.

Beide Verschlüsselungsmethoden haben also ihre Nachteile:

Die meist fehlende Ende-zu-Ende-Verschlüsselung bei der Transportverschlüsselung,
der unverschlüsselte Transport von Metadaten bei der Inhaltsverschlüsselung.

Durch die Kombination beider Verfahren können die jeweiligen Nachteile vermieden werden. Das ist aber häufig recht aufwendig. Dabei hängt es vom Anwendungsszenario ab, ob die Vor- und Nachteile tatsächlich Auswirkungen auf die Sicherheit haben.

Ob nun eine Transport- oder Inhaltsverschlüsselung angewendet wird, hängt von den Strukturen und der Branche des Unternehmens oder der Organisation, der Mitarbeiterstruktur und den internen Arbeitsabläufen ab. Gehört die Arbeit mit sensiblen Daten zum Kerngeschäft des Unternehmens, ist eine Ende-zu-Ende-Verschlüsselung dringend zu empfehlen..

Was angemessen ist, sollte immer individuell beurteilt werden. Es gibt jedoch keine allgemeine Regel bei der Auswahl einer Methode. Beide Verfahren haben ihre Vor- und Nachteile, und die Verfahren zu kombinieren, ist oft aufwendig.

Deshalb ist es sinnvoll, risikobasiert auszuwählen.

Wenn Sie Hilfe brauchen, unterstützen wir Sie gerne bei der Auswahl – nehmen Sie einfach Kontakt zu uns auf: www.lexkonnex-datenschutz.de

Der Beitrag E-mail Verschlüsselung erschien zuerst auf Lexkonnex Datenschutz.

Was sind die häufigsten Datenpannen?

Jenny Gocheva — Wed, 28 Jul 2021 09:54:10 +0000

Der Landesbeauftragte für Datenschutz und Informationsfreiheit in Baden-Württemberg, Dr. Stefan Brink, fasst auf seinem Interauftritt die häufigsten Datenpannen zusammen:
Platz 1: Postfehlversand
Platz 2: Hacking-Angriffe/Malware/Trojaner
Platz 3: E-Mail-FehlversanPlatzPlatz 4: Diebstahl eines Datenträgers
(Smartphone, Festplatte, USB-Stick etc.)
Platz 5: offener Mailverteiler

Unsere zertifizierte Datenschutzexperten stehen Ihnen gern zur Verfügung.

Der Beitrag Was sind die häufigsten Datenpannen? erschien zuerst auf Lexkonnex Datenschutz.

GPS-Ortung im Unternehmen

Jenny Gocheva — Mon, 15 Feb 2021 12:30:10 +0000

Eine Beschäftigtenkontrolle durch Ortungssysteme ist datenschutzrechtlich nur in sehr engen Grenzen zulässig. Eine Einwilligung des Beschäftigten reicht als Grundlage für den Einsatz der Ortungssysteme nicht aus. Eine regelmäßige Überwachung der Beschäftigten durch Ortunssysteme in den meisten Fällen streng verboten, da der Beschäftigte dadurch unter Druck gesetzt werden kann.

Der Einsatz von Ortungstechnik, die gezielt der Überwachung des Verhaltens von Beschäftigten dient, kommt nur dann in Betracht, wenn begründete und klar dokumentierte Anhaltspunkte dafür vorliegen, dass der Beschäftigte eine Straftat begangen hat, die mittels der Ortungstechnik beweisbar wird. Auch in diesem Fall ist zu prüfen, ob die Maßnahme verhältnismäßig ist.

Datenschutzrechtlich unproblematisch ist hingegen, wenn die Ortung durch das System technisch etwa erst nach einem Kfz-Diebstahl oder zur Sicherheit des Beschäftigten eingesetzt wird. Andere Einsatzmöglichkeiten von GPS sind im Fuhrparkmanagement denkbar. Eine Ortung während der erlaubten privaten Nutzung eines Kfz oder eines Smartphones ist ebenfalls unzulässig.

Wichtig ist, dass bereits bei der Planung und Auswahl eines Ortungssystems der Datenschutz zu beachten ist und vor allem, dass Daten sparsam verarbeitet werden. Es dürfen nur die Daten erhoben werden, die dem betrieblichen Zweck dienen. Zudem ist es erforderlich, dass der Zweck klar dokumentiert ist und transparent im Unternehmen kommuniziert wurde. Die Verwendung der Daten zu einem anderen, als ursprünglich festgelegten Zweck ist nicht gestattet und nur in den seltensten Fällen rechtskonform.

Beim Einsatz von GPS -Ortungssysteme im Unternehmen sind daher folgende Punkte zu beachten:

Nur erforderliche Daten werden erhoben.
Die Datenschutzeinstellungen des Systems sind zu prüfen und zu dokumentieren.
Die Beschäftigten sind durch eine Benachrichtigung oder eine Leuchtanzeige am Gerät, darüber in Kenntnis zu setzten, wann eine Ortung erfolgt. Ansonsten liegt eine verbotene heimliche Überwachung der Mitarbeiter vor.
Der Datenschutzbeauftragte und ggf. der Betriebsrat müssen einbezogen werden.
Ausführliche Dokumentation über den Einsatzbereich sowie über die betroffenen Mitarbeiter ist zu erstellen und aktuell zu halten.
Der Abschluss einer Betriebsvereinbarung ist empfehlenswert.

Wenn Sie den Einsatz eines GPS-Systems in Ihrem Unternehmen planen, ist eine datenschutzrechtliche Prüfung unabdingbar.

Unsere zertifizierte Datenschutzexperten stehen Ihnen gern zur Verfügung.

Der Beitrag GPS-Ortung im Unternehmen erschien zuerst auf Lexkonnex Datenschutz.

1000,00 € Schadensersatz wg. SCHUFA-Meldung

Jenny Gocheva — Mon, 01 Feb 2021 11:47:08 +0000

LG Lüneburg, Urt. v. 14.07.2020 – Az.: 9 O 145/19

Eine Bank, die unberechtigt Daten des Schuldners an die SCHUFA übermittelt, muss für diese unberechtigte Datenübermittlung einen DSGVO-Schadensersatz iHv. 1.000,- EUR bezahlen

“Dafür bedarf es entgegen der Ansicht der Beklagten nicht die in der bisherigen deutschen Rechtsprechung für Schmerzensgeld geforderte Voraussetzung einer schwerwiegenden Persönlichkeitsverletzung, welche sich nicht mit Art. 82 DS-GVO verträgt. Sie ist weder vorgesehen noch von dessen Ziel und Entstehungsgeschichte gedeckt (…). Der Anspruch ist hiervon grundsätzlich unabhängig.

Für diese Ansicht spricht auch der Erwägungsgrund 85 S. 1 der DS-GVO. Danach kann eine Verletzung des Schutzes personenbezogener Daten einen immateriellen Schaden für natürliche Personen nach sich ziehen, wie etwa den Verlust der Kontrolle über ihre personenbezogenen Daten.

Das Gericht argumentiert wie folgt:

“Der immaterielle Schaden des Klägers liegt hier in dem Verlust der Kontrolle über seine personenbezogenen Daten. Durch die Übermittlung der Daten an die Schufa hat die Beklagte personenbezogene Daten an einen unbeteiligten und unberechtigten Dritten weitergegeben. Dadurch wird der Kläger bloßgestellt und es droht zudem mittelbar eine potenzielle Stigmatisierung, die durch einen Eintrag bei der Schufa entstehen kann (…).

Zur Datenqualität erklärt das Gericht:

“Bei den Daten handelt es sich um schützenswerte und sensible Daten des Klägers.

Sie können maßgeblichen negativen Einfluss auf die Teilnahme am wirtschaftlichen Verkehr haben, indem Kredite versagt oder Verträgen nicht eingegangen werden. Dadurch können mittelbar Grundrechte wir die Berufsfreiheit und die allgemeine Handlungsfreiheit beeinträchtigt werden. Im konkreten Fall ist andererseits jedoch zu berücksichtigen, dass die Einmeldung nur zwei Wochen bestand (18.09.-01.10.2018) und danach als erledigt erklärt wurde und sich „nur“ auf einen Betrag von 1.020 Euro bezog.

Vor diesem Hintergrund siedelt das Gericht die Beeinträchtigung des Klägers in einem unteren Bereich an, für den es ein Schmerzensgeld von 1.000 Euro für angemessen hält.”

Sollten Sie auch eine Anfrage von einer Datenschutzbehörde erhalten, zögern Sie nicht uns zu kontaktieren. Wir stehen Ihnen als Datenschutzexperten gern zur Verfügung.

Der Beitrag 1000,00 € Schadensersatz wg. SCHUFA-Meldung erschien zuerst auf Lexkonnex Datenschutz.

Datenschutz & Bewerberdaten

Jenny Gocheva — Sat, 23 Jan 2021 14:25:55 +0000

Personalabteilungen müssen auf das Thema Datenschutz besonders achten. Aber wie ist mit Bewerbungsmappen und v.a. den darin enthaltenen Lebensläufen, die eine ganze Reihe an personenbezogenen Daten enthalten, richtig umzugehen? Und was sollte auf jeden Fall vermieden werden?

Die DSGVO spielt in Personalabteilungen eine sehr große Rolle.

Unternehmen müssen die Bewerbungsunterlagen der potenziellen Arbeitnehmer/innen bestmöglich schützen – während des gesamten Bewerbungsprozesses. Dabei ist auf Folgendes zu achten

Aufklärung über die Verarbeitung

Alle Bewerber/innen müssen über die Datenverarbeitung aufgeklärt werden sowie über ihre Rechte als Betroffene informieret werden.

Datenweitergabe

Besonders kompliziert ist die sichere Weitergabe der Bewerberunterlagen in der Praxis. Verantwortliche Stellen müssen darauf achten, dass die Bewerbung nur an die zuständigen Stellen weitergeleitet wird.

Eine separate Einwilligung ist auch für die Fälle erforderlich, wenn die Bewerbungsunterlagen für eine andere als die ausgeschriebene Stelle genutzt werden sollen.

Datensparsamkeit

Personalabteilungen dürfen nur so viele Daten über Bewerber/innen erfahren, wie sie für die Entscheidung einer Einstellung auch wirklich benötigen.

Löschfristen

Der Datenschutz gilt während des gesamten Bewerbungsprozesses. Wichtig sind zudem die Löschfisten. Eine Speicherung der Bewerbungsunterlagen ohne explizite Einwilligung ist nach Abschluss des Bewerberverfahrens nicht gestattet. Eine Aufbewahrung ist nur möglich, wenn der/die Bewerber/innen explizit ihre Einwilligung.

Der Beitrag Datenschutz & Bewerberdaten erschien zuerst auf Lexkonnex Datenschutz.

DSGVO-Schadensersatz 1.500 € Weitergabe von Gesundheitsdaten

Jenny Gocheva — Thu, 03 Dec 2020 14:23:38 +0000

Die unerlaubte Weitergabe von Gesundheitsdaten durch den ehemaligen Arbeitgeber an Behörden rechtfertigt einen Schadensersatz nach Art. 82 DSGVO so das ArbG Dresden, Urt. v. 26.08.2020 – Az.: 13 Ca 1046/20.

Der Kläger war im Jahr 2019 viele Tage erkrankt. Der Arbeitgeber übermittelte an die Ausländerbehörde Informationen über die Krankheit des Mitarbeiters. Die Daten wurden auch an die Arbeitsagentur übemittelt.

Als der Kläger von dieser Vorgehensweise erfuhr, schaltete er den Sächsischen Datenschutzbeauftragten ein. Die Behörde stufte das Vorgehen des Arbeitgebers als Datenschutzverstoß ein, da unerlaubt Gesundheitsdaten an Dritte weitergegeben worden seien. Das ArbG Dresden sprach ihm eine Höhe von 1.500,- EUR zu.

Zunächst stellte das Gericht fest, dass die Weitergabe an die Ausländerbehörde rechtswidrig war:

“Bei Gesundheitsdaten nach Art. 9 Abs. 1 DSGVO handele es sich um Gesundheitsdaten, deren Verarbeitung grundsätzlich untersagt ist. Nur in den von Art. 9 Abs. 2 DSGVO genannten Ausnahmen ist die Verarbeitung zulässig.

Ein solcher Ausnahmetatbestand ist, wie bereits der Sächsische Datenschutzbeauftragte richtig festgestellt hat, nicht ersichtlich. Insbesondere stellt § 4 a Aufenthaltsgesetz keine Rechtfertigung für die Weitergabe der Gesundheitsdaten vor. Diese Vorschrift bestimmt in Abs. 5 Satz 3, was ein Arbeitgeber zu prüfen hat, nämlich insbesondere, dass ein Aufenthaltstitel vorliegt und kein Verbot oder eine diesbezügliche Beschränkung besteht. Des Weiteren ist der Ausländerbehörde innerhalb von 4 Wochen ab Kenntnis mitzuteilen, dass die Beschäftigung, für die ein Aufenthaltstitel erteilt wurde, vorzeitig beendet wurde. Keiner dieser Voraussetzungen liegt vor.”

Zur Höhe des Ausgleichsbetrages führt das Gericht aus:

“Zum Ersatz dieses immateriellen Schadens hält die Kammer einen Betrag i.H.v. 1.500,00 EUR für geboten, aber auch ausreichend.

Nach den Erwägungsgründen 146 der DSGVO, die zur Auslegung der Vorschrift mit heranzuziehen sind, soll die betroffene Person einen vollständigen und wirksamen Schadensersatz für den erlittenen Schaden erhalten. Verstöße müssen effektiv sanktioniert werden. Schadenersatz bei Datenschutzverstößen sollen eine abschreckende Wirkung haben, um der Datenschutzgrundverordnung zum Durchbruch zu verhelfen (effet utile). Dabei können sich die nationalen Gerichte auch bei der Bemessung des immateriellen Schadensersatzes an Art. 83 Abs. 2 DSGVO orientieren, sodass als Zumessungskriterien u.a. Art, Schwere, Dauer des Verstoßes, Grad des Verschuldend, Maßnahmen zur Minderung des den betroffenen Personen entstandenen Schadens, früher einschlägige Verstöße sowie die Kategorien betroffenen Personen bezogenen Daten betrachtet werden können (…). Die Mitgliedsstaaten – auch die erkennende Kammer – sind nach dem Gedanken des Art. 4 Abs. 3 EUV verpflichtet, der Datenschutzgrundverordnung zur Wirkung zu verhelfen.

Den vorstehenden Grundsätzen entsprechend muss die Beklagte einen Schadensersatz für den verursachten immateriellen Schaden von 1.500,00 EUR zahlen. Der Beklagte hat nach Auffassung der Kammer die Gesundheitsdaten des Klägers ohne Not anderen Behörden mitgeteilt. Es bestand zum einen keine Verpflichtung, noch wurde sie von den Behörden hierzu aufgefordert. Hätte sie wirklich nur die Adresse des Klägers in Erfahrung bringen wollen, wäre es ein Einfaches gewesen, diesen zu fragen oder sich an die Meldebehörde zu wenden. Hierfür hätte sie keinerlei Begründung abgeben müssen.

Der Beklagten muss auch bewusst sein, dass der Kläger als Ausländer Gefahr läuft, seine Arbeitserlaubnis zu verlieren. Dies hat die Beklagte nicht nur billigend in Kauf genommen, sondern wie auch die Mitteilung gegenüber der Bundesagentur für Arbeit zeigt, lag ihr daran, den Eindruck zu erwecken, dass der Kläger Arbeitsverstöße begangen hat.”

Der Beitrag DSGVO-Schadensersatz 1.500 € Weitergabe von Gesundheitsdaten erschien zuerst auf Lexkonnex Datenschutz.

LG Frankfurt aM: Facebook darf die Identität eines Accounts prüfen

Jenny Gocheva — Tue, 10 Nov 2020 14:19:56 +0000

Facebook kann grundsätzlich die Identität eines Accounts überprüfen. Weigert sich der User entsprechende Mitwirkungshandlungen vorzunehmen, kann das Unternehmen den Zugang löschen. (LG Frankfurt Az.: 2-03 O 282/19).

Der Kläger meldete sich mit einer allgemeinen Web.de-Adresse bei Facebook an. Das Online-Unternehmen versetzte das Konto in den so genannten “Fake-Account-Checkpoint” und forderte den Kläger auf, die Echtheit seines Kontos zu bestätigen, z.B. durch Vorlage einer Kopie seines Ausweises oder Bildes oder durch Eingabe eines Bestätigungscodes von einem seiner Geräte.

Das LG Frankfurt a.M. hat die Klage abgewiesen.

Im vorliegenden Fall gehe es gar nicht um die Problematik der Klarnamenpflicht, denn das Unternehmen habe dem Kläger auch die Möglichkeit angeboten, unter Wahrung der Anonymität den Account zu bestätigen:

“Denn die Beklagte hat insoweit hier dem Kläger verschiedene Möglichkeiten angeboten, um seine Identität nachzuweisen bzw. zu belegen, dass der neu angelegte Account kein “Fake-Account” ist. Die Beklagte hat – anders als es der Kläger darstellt – nicht kategorisch die Vorlage eines Personalausweises verlangt, sondern auch die Vorlage eines Bildes oder ähnlichem als ausreichend erachtet. Nach dem unstreitig gebliebenen Vortrag der Beklagten hätte es hierfür sogar ausgereicht, wenn der Kläger einen Bestätigungscode von einem seiner Geräte übermittelt, was nicht zwingend die Offenlegung seiner Identität nach sich gezogen hätte.”

Und weiter:

“Auf die Frage, ob die Beklagte insoweit eine Klarnamenpflicht wirksam mit dem Kläger vereinbart hat oder nicht und ob sie diese durchsetzen konnte, kam es vorliegend nicht an. Denn es ist bereits unklar, ob der Kläger überhaupt einen Klarnamen verwendet hat oder nicht, da er den von ihm gewünschten Nutzernamen auf der Plattform der Beklagten nicht angegeben hat. Die von ihm angegebene E-Mail-Adresse hat jedenfalls mit seinem Namen nichts zu tun.”

“Auch mit dem Argument des Klägervertreters im Termin zur mündlichen Verhandlung, dass § 13 Abs. 6 TMG eine Klarnamenpflicht untersage, dringt der Kläger nicht durch. Insoweit ist bereits fraglich, ob § 13 Abs. 6 TMG nach Geltungserlangung der DSGVO noch Wirkung entfaltet. Vorliegend geht es aber nach dem Vortrag der Parteien nicht um eine Durchsetzung der Klarnamenpflicht. So hat der Kläger schon nicht vorgetragen, sich nicht mit seinem Klarnamen angemeldet zu haben, sondern hat nur eine E-Mail-Adresse angegeben. Darüber hinaus hat die Beklagte dargetan, dass sie zur Überprüfung seiner Identität einerseits die Übermittlung eines Bildes (ohne Namen) oder sogar das Senden eines Bestätigungscodes von einem seiner Geräte akzeptiert hätte, so dass der Kläger im Ergebnis zur Offenlegung seines Namens nicht verpflichtet war.

Auch wenn die Kammer davon ausgeht, dass der Kläger sich unter einem anderen Namen oder (ggf. in Übereinstimmung mit § 13 Abs. 6 TMG) unter einem Pseudonym angemeldet hat, hat die Beklagte nicht verlangt, dass der Kläger sein Profil mit seinem eigenen Namen bezeichnet, sondern nur, dass er diesen der Beklagten gegenüber offenlegt.”

Der Beitrag LG Frankfurt aM: Facebook darf die Identität eines Accounts prüfen erschien zuerst auf Lexkonnex Datenschutz.