Urteile zu DSGVO und Datenschutz

Die Datenschutzgrundverordnung – die Rechtsprechung

Die Einhaltung der Datenschutzgrundverordnung (DSGVO) stellt für viele Betriebe eine große Herausforderung dar. Prozesse werden hinterfragt und optimiert, eine Sensibilisierung der Belegschaft sollte erfolgen und die Vorgaben der DSGVO müssen eingehalten werden. Wird die DSGVO im laufenden Geschäftsbetrieb nicht beachtet, so drohen Sanktionen, Bußgelder und ein schmerzhafter Imageverlust, der zu finanziellen Einbußen führen kann.

Besonders der Imageverlust und drohende Bußgelder, welche von den Aufsichtsbehörden verhängt werden, sind für Unternehmen der „worst-case“. Nach der Einführung der DSGVO verhielten sich die Aufsichtsbehörden zunächst eher zurückhaltend. Da Unternehmen zum heutigen Zeitpunkt genug Informationen und Praxis sammeln konnten, sind Bußgelder in Millionenhöhe nun möglich und sollen eine abschreckende Wirkung haben.

Auch natürliche Personen haben das Recht, nach einem Verstoß gegen die DSGVO Schadenersatzansprüche geltend zu machen. Natürlich ist eine einzelne Anzeige einer natürlichen Person gegen ein datenverarbeitendes Unternehmen meistens finanziell zu vernachlässigen, da die Bußgelder eher gering ausfallen würden. Aber in den meisten Fällen ist bei datenschutzrechtlichen Verstößen nicht nur ein Einzelfall betroffen, sondern größere Datenbestände. Wird hier ein Fall publik und die Verstöße kumuliert, so kann sehr schnell ein gefährliches Szenario entstehen.

‍

Ein Auszug über Urteile in Bezug auf den Datenschutz und die DSGVO:

Urteil zu DSGVO und Datenschutz Nr.1 - LG München – Datenleck

In einem Finanzierungsunternehmen wurde ein Datenabfluss angezeigt. Dieses Datenleck beinhaltete beispielsweise Ausweis- und Kontodaten. In diesem Fall wurde die Sicherheit bei der Verarbeitung von personenbezogenen Daten nicht sichergestellt. Das Finanzierungsunternehmen hatte versäumt, organisatorische Maßnahmen durchzuführen, die der Datenabfluss hätten verhindern können. Das Gericht kam zu dem Schluss, dass bei einer Einhaltung der organisatorischen Maßnahmen kein Abfluss von Daten erfolgt wäre und somit auch kein möglicher Identitätsmissbrauch durch abgeflossene Daten. Das Finanzierungsunternehmen wurde somit zu einem Bußgeld von 2.500,- Euro verurteilt.

Urteil zu DSGVO und Datenschutz Nr.2 -

OLG Dresden – falsche Forderungsgeltendmachung

In diesem Fall hatte ein Inkassounternehmen ein Auskunftsverlangen an das Einwohnermeldeamt durchgeführt. Mit den erlangten Daten wurde eine falsche Person, die den gleichlautenden Namen trägt, von dem Unternehmen angeschrieben. Das Inkassounternehmen wurde verklagt, da der Kläger einen Schufa-Eintrag befürchtete. Gleichzeitig wurde eine Auskunft über die gespeicherten Daten und deren Löschung verlangt. Das OLG Dresden stellte eine Datenverarbeitung ohne Rechtsgrundlage fest und eine unterlassene Löschung der betroffenen Daten. Da aber kein Schaden zu verzeichnen war, wurde in diesem Fall kein Schadenersatz verhängt.

Urteil zu DSGVO und Datenschutz Nr.3 - LG Essen – USB-Stick

Ein unverschlüsselter USB-Stick wurde von einem Unternehmen postalisch versendet. Auf diesem USB-Stick befanden sich personenbezogene Daten. Der Stick mit den Daten ging hierbei in der Post verloren. Im Urteil wurde die angeklagte Partei zu keinem Schadenersatz verurteilt, da ein „ungutes Gefühl“ des Beklagten nicht ausreichen würde, um die Annahme eines Schadens zu begründen. Da sich bisher keine negativen Auswirkungen bezüglich des Verlustes zu verzeichnen waren, wurde die Klage abgewiesen.

Urteil zu DSGVO und Datenschutz Nr.4 - OGH – Teilurteil – Facebook

‍

Ein Datenschutzaktivist forderte bei dem sozialen Netzwerk eine Auskunft über seine gespeicherten Daten an. Die Auskunft erfolgte verspätet und war unvollständig. Facebook ist bei diesem Vorgang nicht seiner Auskunftspflicht nach Art. 15 der DSGVO nachgekommen. Das Ergebnis war ein Urteil, welches einen Schadenersatz von 500,- Euro beinhaltete.

Urteil zu DSGVO und Datenschutz Nr.5 -

LAG Hamm – Auskunft gespeicherte Daten / Arbeitgeber

Eine Beschäftigte eines Unternehmens verlangte von ihrem Arbeitgeber eine Aufstellung der gespeicherten Daten, welche den Fokus auf die Zeiterfassung hatten. Nach dieser Aufforderung kam der Arbeitgeber der Forderung nach den Informationen nicht vollständig nach. Das Ergebnis war ein Schadenersatz von 1.000 Euro, da der Arbeitgeber gegen die Auskunftspflicht nach Art. 15 der DSGVO verstoßen hatte.

Urteil zu DSGVO und Datenschutz Nr.6 -

LG Meiningen – Freigabe von Gesundheitsdaten

Nach einem Verkehrsunfall hatte eine Versicherung die Gesundheitsdaten eines Versicherten, welche aus dem Gutachten eines Sachverständigen resultierten, an ihre Rechtsanwaltskanzlei weitergegeben, um diese für ein ordentliches Gerichtsverfahren zu verwenden. Die Rechtsanwaltskanzlei war in einem weiteren Verfahren, welches denselben Verkehrsunfall behandelte, auch für eine andere Versicherung tätigt. In diesem Verfahren vertrat die Kanzlei die Gegenseite des Versicherten. In dem Verfahren wurde das Sachverständigengutachten zitiert, ohne dass der Versicherte in diesem Fall eine Einwilligung abgegeben hatte. Das Gericht erkannte in der Weitergabe der Daten einen Verstoß nach Art. 6 Abs. 1 lit. F der DSGVO, da in diesem Fall die Interessen des Betroffenen überwiegen. Das Urteil kam zu einem Ergebnis von 10.000 Euro, welche dem Kläger zugesprochen wurden.

Urteil zu DSGVO und Datenschutz Nr.7 -

AG Hamburg-Bergedorf – Werbe-E-Mail

An die berufliche E-Mail-Adresse eines Arbeitnehmers wurde eine Werbe-E-Mail versendet. Der Empfänger hatte vorher einen ausdrücklichen Widerspruch gegen den Erhalt dieser Mails eingelegt. Das Gericht sah in diesem Vorgang einen Verstoß gegen Art. 6 Abs. 1 S. 1 der DSGVO. Für das Gericht kam aber ein Schadenersatz nicht infrage, da der Verstoß keine Rechtsverletzung betraf, die einen immateriellen Schaden beinhaltete. Der entstandene Ärger und die individuellen Unannehmlichkeiten sind in diesem Fall nicht genügend für einen finanziellen Ausgleich.

Urteil zu DSGVO und Datenschutz Nr.8 -

AG Pforzheim – Gesundheitsdaten

Ein Psychotherapeut hatte einem Rechtsanwalt Gesundheitsdaten übermittelt, die er über einen Patienten gespeichert hatte. Die Daten umfassten Angaben zur Diagnostik, zum Alkoholkonsum und zu einer weiterführenden psychiatrischen Behandlung. Die Informationen wollte der Rechtsanwalt in einem gerichtlichen Umgangsverfahren verwenden. Das Gericht sah in diesem Vorgang einen klaren Verstoß gegen Art. 9 Abs. 1 der DSGVO, der ein geringes Verschulden vorwies, da keine kommerziellen Interessen im Vordergrund standen. Trotzdem wurde die angeklagte Partei zur Zahlung eines Schadenersatzes verurteilt, welcher eine Abschreckungs- und Genugtuungsfunktion beinhalten sollte. Das Gericht ordnete eine Zahlung von 4.000 Euro an.

Urteil zu DSGVO und Datenschutz Nr.9 -

ArbL Lübeck – Mitarbeiterfoto

Ein Unternehmen hatte auf der Unternehmenswebseite ein Foto eines Mitarbeiters veröffentlicht, welches den Namen und die Stellenbeschreibung aufwies. Das Foto stammte ursprünglich vom Facebookprofil des Arbeitnehmers. Der Mitarbeiter hatte im Vorfeld der gegebenen Einwilligung der Veröffentlichung widersprochen. Das Gericht sah eine „hinreichende Wahrscheinlichkeit“ eines DSGVO-Verstoßes gemäß Art. 6 Abs. 1 der DSGVO. Dem Arbeitgeber wurde ein geringes Verschulden bescheinigt, da die erforderliche Löschung der veröffentlichten Daten nicht durchgeführt wurde. Gleichzeitig sah das Gericht nur einen geringen immateriellen Schaden, der keine schwerwiegende Persönlichkeitsverletzung innehatte. Der Schadenersatz wurde in diesem Fall auf 1.000 Euro festgesetzt.

Urteil zu DSGVO und Datenschutz Nr.10 -

Bayrische Landesamt für Datenschutzaufsicht – Verweigerung Zutritt

Die zuständige Aufsichtsbehörde wollte bei einem bayrischen Unternehmen eine Vorortkontrolle durchführen und forderte bei einer unangekündigten Kontrolle den Zutritt zu den Geschäftsräumen und insbesondere zu den Datenverarbeitungsanlagen. Das Unternehmen verweigerte den Mitarbeitern der Behörde den verlangten Zutritt, obwohl die Aufsichtsbehörden nach Art. 58 Abs. 1 lit. F. solche Kontrollen durchaus durchführen können. Als Konsequenz verhängte das Bayrische Landesamt für Datenschutzaufsicht ein Bußgeld, welches in einer Höhe von 20.000 Euro festgelegt wurde. Das Unternehmen legte gegen dieses Bußgeld Rechtsmittel ein und somit verringerte sich das zu zahlende Bußgeld auf 7.000 Euro.

Urteil zu DSGVO und Datenschutz Nr.11 -

Niedersächsische Aufsichtsbehörde – Webshop

Der niedersächsischen Aufsichtsbehörde wurde eine Datenpannenmeldung gemeldet, die den Betreiber eines Webshops betraf. Bei den eingeleiteten Ermittlungen konnte die Aufsichtsbehörde feststellen, dass das verwendete Shopsystem in einer veralteten Version betrieben wurde. Der Hersteller der Software belieferte den Webshop schon seit dem Jahr 2014 nicht mehr mit den erforderlichen Sicherheitsupdates, welches für die Nutzer ein erhebliches Sicherheitsrisiko darstellte. Werden die Sicherheitsupdates nicht ordnungsgemäß durchgeführt, so ist es für unbefugte Personen durchaus möglich, die Passwörter der Webshop-Kunden im Klartext auszulesen. In diesem Fall hat der Betreiber des Webshops seine Pflicht verletzt, den Shop durch technische und organisatorische Maßnahmen abzusichern und ein erforderliches Schutzniveau zu erreichen. Die personenbezogenen Daten der Kunden waren in dem Shop sicherheitstechnisch nicht ausreichend abgesichert. In der Konsequenz wurde durch die niedersächsische Datenschutzaufsicht die Schuld beim Betreiber des Webshops gesehen und dieser wurde zu einer Zahlung eines Bußgeldes von 65.500 Euro verurteilt.

Urteil zu DSGVO und Datenschutz Nr.12 -

AG Hildesheim – Festplattenformatierung

Ein Unternehmen verkaufte einen Computer, ohne vorher eine notwendige Festplattenformatierung vorzunehmen. Dritte konnten somit Daten einsehen, die beispielsweise eine Steuererklärung, Rechnungen mit Kontaktdaten und Fotos beinhaltete, die dem vorhergehenden Nutzer zugeschrieben werden konnten. Das Gericht stellte einen kausalen immateriellen Schaden fest, der auf die Fahrlässigkeit der Verantwortlichen zurückzuführen war. Das Gericht legte einen Schadenersatz von 800,- Euro fest.

‍