Datenschutz Update 22-06

Datenschutz-Update-22-06

Es ist Juli und ihr seid hoffentlich schon alle in den Ferien. Ich mache das Update dieses mal daher gar nicht so lang. Unsere Themen dieses mal sind

  1. Schadensersatz bei einem berechtigten SCHUFA-Eintrag
  2. Herausgabe von DS-GVO-Bußgeldbescheiden an Dritte
  3. Eine Anleitung zum rechtssicheren Einsatz von ZOOM
  4. Orientierungshilfe zum Recht auf Löschung
  5. Neue AVV

Wenn ihr aktuell eher keine Zeit für das Thema Datenschutz übrig habt, lest bitte trotzdem den Abschnitt über die neuen AVV. Der Rest ist nicht unwichtig, kann aber im Sommer auch mal hinten anstehen.

Wenn ihr zusätzlich noch eine Agentur seit oder ein Softwareunternehmen, ist vielleicht auch der letzte Abschnitt nicht ganz uninteressant.

DSGVO-Schadensersatz iHv. 500,- EUR für unberechtigte SCHUFA-Meldung

Das OLG Koblenz hat entschieden, dass der Verantwortliche für eine unberechtigte Meldung einer Forderung an die SCHUFA dem

Betroffenen nach Art. 82 DSGVO Schadensersatzanspruch iHv. 500,- EUR zahlen muss.

Die Klägerin. War Kundin der Beklagten, einem Telekommunikationsunternehmen. Hinsichtlich bestimmter Forderungen der Beklagten gab es Streit. Die Beklagte meldete daraufhin unberechtigte Forderungen an die Schufa. Nach Aussage der Klägerin wurden wegen dieser Meldung Kreditverhandlungen durch Ihre Bank abgebrochen. Sie verlangte daraufhin 6.000 EUR Schadensersatz.

Das OLG Koblenz sah die Forderung von 6.000 EUR als weit überzogen an. 500 EUR Schadensersatz seien angemessen und ausreichend. Insbesondere im Hinblick auf die Rechtsprechung zu Schadenersatz wegen körperlicher Schädigungen müsse das Verhältnis gewahrt bleiben.

Das OLG reiht sich damit in die Rechtsprechung der Zivilgerichte ein, die eher zu moderaten Beträgen bei der Bemessung des Schadensersatzes neigen, anders dagegen die Arbeitsgerichte

Die Leitsätze

  1. Der immaterielle Schadensersatzanspruch nach Art. 82 DSGVO bestimmt sich der Höhe nach unter Berücksichtigung seiner Funktion zum Ausgleich, zur Genugtuung und zur Generalprävention.
  2. Die Höhe muss berücksichtigen, dass der Einmeldung von Zahlungsstörungen auch im Verbraucherinteresse liegt, sodass die Verantwortlichen durch die Höhe des immateriellen Schadensersatzes nicht gänzlich davon abgehalten werden dürfen, Einmeldungen vorzunehmen.

Quelle: OLG Koblenz, Urt. v. 18.05.2022 – Az.: 5 U 2141/21

LG Hamburg: DSGVO-Bußgeldbescheide dürfen an Dritte grundsätzlich nicht vollständig herausgegeben werden

DSGVO-Bußgeldbescheide dürfen nicht vollständig an Dritte herausgegeben werden. Zulässig ist allenfalls die Herausgabe hinsichtlich allgemeiner Ausführungen (hier: Zumessung der Geldbuße). Das entschied das LG Hamburg mit Beschluss v. 28.10.2021 – Az.: 625 Qs 21/21 OWi.

Die Hamburger Richter stellen dabei auf Geschäftsgeheimnisse, die Wettbewerbssituation, Rufschädigung und den eingerichteten und ausgeübten Gewerbebetrieb ab. Die Herausgabe könnte schützenswerte Geschäftsgeheimnisse offenlegen, die Wettbewerbssituation beeinflussen oder ggf. zu unzulässigen Rufschädigungen unbeteiligter Dritter führen.

Hessischer Datenschutzbeauftragter zum rechtssicheren Einsatz von ZOOM

Man sollte meinen, dass nach zwei Jahren Pandemie auch bei uns alles geklärt ist und wenigstens die rechtlichen Hürden für den Einsatz von Videokonferenzsystemen geklärt ist. Dem ist nicht so. Der Hessische Datenschutzbeauftragte stellt nunmehr eine Lösung vor, wie ihr zumindest Zoom rechtssicher nutzen könnt.

Problematisch ist weiterhin der Datentransfer in die USA, da nach aktueller Rechtsprechung des EuGH eine rechtssichere Datenübertragung faktisch kaum mehr möglich ist .

In Zusammenarbeit mit der Universität Kassel hat der hessische Datenschutzbeauftragte ein „Hessisches Modell” entwickelt, mit dem das Videokonferenzsystem Zoom von den Hochschulen konfiguriert und betrieben werden kann, ohne gegen die Vorgaben des Europäischen Gerichtshofs zu verstoßen. Die Konfiguration ist auch auf eure Unternehmen übertragbar.

Anforderungen

Beim „Hessischen Modell” müssen folgende Punkte erfüllt sein, damit ZOMM nach Auffassung des HDB rechtssicher eingesetzt werden kann

  • Zoom muss auf Servern in der EU von einem von Zoom unabhängigen Auftragsverarbeiter mit Sitz in der EU betrieben und abgerechnet werden.
  • Es muss eine Ende-zu-Ende-Verschlüsselung aller Inhaltsdaten zur Verfügung gestellt werden.
  • Der Abfluss personenbezogener Daten von Teilnehmern in die USA und den Zugriff auf solche Daten aus den USA heraus muss verhindert werden.
  • Die Nutzung von Zoom muss so weit wie möglich und auf ein Minimum beschränkt werden.
  • Es muss ein alternatives, datenschutzkonformes Videokonferenzsystem für andere Zwecke oder für Mitarbeiter/Kunden/Teilnehmer, die nicht mit Zoom arbeiten wollen, angeboten werden.
  • Die Teilnehmer und Nutzer müssen über weiterführende, unterstützende Maßnahmen zum Schutz der informationellen Selbstbestimmung ausführlich informiert werden.

In der Pressemitteilung des HBDI heißt es:

Der Hessische Beauftragte für Datenschutz und Informationsfreiheit, Prof. Dr. Alexander Roßnagel, ist mit dieser Lösung sehr zufrieden: „Das Hessische Modell zeigt, dass es sich lohnt, konstruktiv nach Wegen zu suchen, wie durch Technikgestaltung die Vorteile bestimmter IT-Systeme genutzt werden können, ohne dass der Datenschutz auf der Strecke bleibt. Insofern ist dieses Modell auch für andere Videokonferenzsysteme ein Vorbild und kann methodisch auf viele Probleme des Datenschutzes übertragen werden. Solche Lösungen könnten natürlich auch die Anbieter von IT-Systemen und -Diensten von Anfang an vorsehen“.

Wir sagen dazu mal nichts

Die Anforderungen stellen keine unerfüllbaren Hürden. Allerdings dürften gerade kleinere Unternehmen hier doch Schwierigkeiten haben. Die Aussage des HBDI lasse ich daher mal umkommentiert. Vor allem auch aus dem Grund, dass man immerhin knapp zwei Jahre gebraucht hat, um eine Lösung zu präsentieren.

Orientierungshilfe zum Recht auf Löschung

Der Bayerische Landesbeauftragte für den Datenschutz hat eine Orientierungshilfe zum Recht auf Löschung herausgegeben. Auf knapp 47 beschreibt er dort die Voraussetzungen, Rechtsfolgen, das Recht auf Vergesseneren und Ausnahmen.

Die Pressemitteilung findet ihr hier, das PDF zur Orientierungshilfe hier.

Neue AVV

AVV oder Verträge zur Auftragsverarbeitung sind eigentlich kein Hexenwerk. Die Anforderungen sind Recht klar beschrieben. Obwohl die Verträge meist sehr individuell aufgebaut sind, steht doch am Ende meist das Gleiche drin. Da aber jeder Auftragnehmer oder Auftraggeber doch mehr oder weniger seine eigenen Formulierungen nutzt, gibt es unzählige unterschiedliche AVV.

Vielleicht deswegen hat die EU nun sogenannte Standardvertragsklauseln veröffentlicht, die die gesetzlichen Voraussetzungen eines AVV nach Artikel 28 Absätze 3 und 4 der DS-GVO erfüllen. Es gibt jetzt also gewissermaßen ein vom Gesetzgeber zur Verfügung gestelltes Muster. Den „Durchführungsbeschluss (EU) 2021/915 der Kommission vom 4. Juni 2021 über Standardvertragsklauseln zwischen Verantwortlichen und Auftragsverarbeitern gemäß Artikel 28 Absatz 7 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates und Artikel 29 Absatz 7 der Verordnung (EU) 2018/1725 des Europäischen Parlaments und des Rates  inkl. der Klauseln findet ihr hier.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert