+49 228 2861 140 60 info@sicoda.de
Gesundheitsdaten im Gerichtsprozess

Gesundheitsdaten im Gerichtsprozess

Das Verwaltungsgericht Wiesbaden hat entschieden, dass Gesundheitsdaten von einem Rechtsanwalt im Gerichtsprozess verwendet werden dürfen.

Die Zulässigkeit der Verarbeitung von Gesundheitsdaten im Rahmen des rechtsanwaltlichen Vortrags im Gerichtsprozess ist nach Art. 6 Abs. 1 lit. f) DS-GVO i.V.m. Art. 9 DS-GVO zu beurteilen.

Dabei ist für den Inhalt der Schriftsätze im Hinblick auf Haftung und Gestaltung der jeweilige Rechtsanwalt als verantwortliche Stelle im Sinne des Art. 4 Abs. 7 DS-GVO anzusehen. Das berechtigte Interesse an der Verarbeitung besteht für den jeweiligen Rechtsanwalt darin, die vertraglichen Verpflichtungen gegenüber seinem Mandanten zu erfüllen. Um seine rechtsanwaltlichen Aufgaben erfüllen zu können, muss es ihm grundsätzlich gestattet sein, vorzutragen, was sein Mandant ihm mitteilt. Um sich nicht selbst der Anwaltshaftung auszusetzen, ist er entsprechend § 138 Abs. 3 ZPO gehalten, den gegnerischen Vortrag zu bestreiten und den Sachverhalt aus Sicht seines Mandaten darzustellen.

Ist zur Durchsetzbarkeit eines rechtlichen Anspruchs die Verarbeitung von Gesundheitsdaten erforderlich, so dürfen diese im Prozess verwendet werden. Gleiches gilt im Umkehrschluss auch für die Abwendung von Rechtsansprüchen.

Quasi beiläufig hat das Gericht damit noch einmal festgehalten, dass Anwälte für ihre Prozessakten eigene verantwortliche Stelle sind. Die Prozessführung des Anwalts ist keine Auftragsverarbeitung.

Links:

VG Wiesbaden, Urteil vom 19. Januar 2022 – 6 K 361/21.WI – https://www.rv.hessenrecht.hessen.de/bshe/document/LARE220002410

EuGH: Speicherung von IP-Adressen

EuGH: Speicherung von IP-Adressen

Die Speicherung von IP-Adressen stellt einen schweren Eingriff in die Grundrechte der Nutzer dar. Internetnutzer dürfen immer erwarten, dass der Schutz ihrer Identität gewahrt und grundsätzlich nicht preisgegeben wird.

Für Unternehmen bedeutet dieses Urteil, dass die Speicherung der vollständigen IP-Adresse in Serverlogs unzulässig ist. Ein berechtigtes Interesse an der Speicherung dieser Daten wird man nach diesem Urteil nicht mehr annehmen können.

Die allgemeine Vorratsdatenspeicherung ist in Europa bereits seit Jahren umstritten. Der Europäische Gerichtshof (EUGH) hat die bisherige Rechtsprechung in Bezug auf Vorratsspeicherung mit dem Urteil von 5. April 2022 (Rechtssache C-140/20) bestätigt.

Der Irische Supreme Court hat im Zuge der Vorabentscheidung das EuGH um Auslegung der (Cookie Richtlinie) gebeten. Das irische Urteil betrifft die, im Fall des wegen Mordes verurteilten Graham Dwyer, angewandten Praktiken zur Abfrage der, im Rahmen der Vorratsspeicherung erhobenen, mobilen Daten des Verdächtigen.

Zum Schutz der nationalen Sicherheit, insbesondere vor terroristischen Aktivitäten, dürfen Verkehrs- und Standortdaten allgemein und unterschiedslos auf Vorrat gespeichert werden. Verkehrsdaten sind alle Informationen, die  bei der Nutzung eines Telekommunikationsdienstes gespeichert werden, wie z.B. die Dauer, der Zeitpunkt oder die Datenmenge einer Nachricht.

Unzulässig sind nationale Rechtsvorschriften, die eine allgemeine und unterschiedslose Vorratsspeicherung von Verkehrs- und Standortdaten für die Bekämpfung schwerer Kriminalität und zur Verhütung ernster Bedrohungen der öffentlichen Sicherheit vorsehen.

IP-Adressen, die der Quelle einer Verbindung zugewiesen sind, können für einen, auf das absolut Notwendige begrenzten, Zeitraum auf eine allgemeine und unterschiedslose Weise gespeichert werden. Die allgemeine Speicherung von IP-Adressen stellt einen schweren Eingriff in die Grundrechte dar. Internetnutzer dürfen nach Art. 8 der Charta erwarten, dass der Schutz ihrer personenbezogenen Daten gewährleistet und ihre Identität grundsätzlich nicht preisgegeben wird. Jedoch ist die IP-Adresse häufig der einzige Anhaltspunkt im Fall einer im Internet begangenen Straftat,  der es ermöglicht, die Identität der Person zu ermitteln, insbesondere in Bezug auf Kinderpornografie. Daher ist die allgemeine und unterschiedslose Vorratsspeicherung der IP-Adressen nur erlaubt, sofern sie von der strikten Einhaltung der materiellen und prozeduralen Voraussetzungen abhängig gemacht wird.

Eine allgemeine Vorratsspeicherung der Daten, welche die Identität der Nutzer elektronischer Kommunikationsmittel betrifft, ist ebenfalls erlaubt.

Betreiber elektronischer Kommunikationsdienste können mittels einer Entscheidung der zuständigen Behörde, die einer wirksamen gerichtlichen Kontrolle unterliegt, verpflichtet werden, während eines festgelegten Zeitraums Verkehrs- und Standortdaten umgehend zu sichern (quick freeze).

Was dies für die Zulässigkeit von Beweismitteln, die im Rahmen des Strafverfahrens gegen Graham Dwyer geltend gemacht werden, bedeutet, obliegt dem irischen Gerichtshof, da dies im Einklang mit dem Grundsatz der Verfahrensautonomie der Mitgliedstaaten, Gegenstand des irischen Rechts bleibt.

 

 

Geschäftsführer*innen haften persönlich für Schäden aus Datenschutzverletzungen (OLG Dresden)

Geschäftsführer*innen haften persönlich für Schäden aus Datenschutzverletzungen (OLG Dresden)

Geschäftsführerhaftung

Geschäftsführer*Innen sind „Verantwortlicher“ im Sinne der DS-GVO und haften persönlich für Datenschutzverletzungen gegenüber den Geschädigten.

In einem unscheinbaren Urteil hat das OLG Dresden eher nebenbei eine für Geschäftsführer von Kapitalgesellschaften äußerst relevante und beunruhigende Entscheidung getroffen. In dem Urteil ging es um den Geschäftsführer eines Krankenhauses, der eine rechtswidrige Datenverarbeitung angewiesen hat. Der klagende Patient richtete die Klage sowohl gegen die Krankenhausgesellschaft (Beklagte zu 1)) als auch gegen die Geschäftsführung (Beklagte zu 2)).

Die Urteilsbegründung lautete wie folgt:

Sowohl der Beklagte zu 1) als auch der Beklagte zu 2) sind verantwortlich im Sinne von Art. 4 Nr. 7 DS-GVO, denn Anknüpfungspunkt für einen Anspruch aus Art. 82 Abs. 1 DS-GVO ist zunächst die „Verantwortlichkeit“, die immer dann zu bejahen ist, wenn eine natürliche oder juristische Person alleine oder gemeinsam mit anderen über die Zwecke und die Mittel der Verarbeitung von personenbezogenen Daten entscheiden kann und entscheidet (Gola, Bearb. Gola, DS-GVO-Kommentar, 2. Aufl. 2018, Art. 4 Rz. 48; Ambrock ZD 2020, S. 429 – nach beck-online). Damit entfällt zwar in aller Regel die Verantwortlichkeit weisungsgebundener Angestellter oder sonstiger Beschäftigter, für den Geschäftsführer, wie es der Beklagte zu 2) zum Zeitpunkt der Beauftragung des Streithelfers war, gilt dies allerdings nicht.

OLG Dresden, Urteil vom 30.11.2021 - 4 U 1158/21 Abs. II Nr. 1

https://oj.is/2381765

Weisungsgebundene Angestellte

Weisungsgebundene Angestellte haften nach Klarstellung des Urteils in der Regel nicht für Datenschutzverletzungen aus Art. 82 DS-GVO.

Das OLG Dresden leitet die Haftung der Geschäftsführung daraus ab, dass diese über die Datenverarbeitung entescheiden kann. Bisher ist die juristische Literatur davon ausgegagen, dass Geschäftsführer im Rahmen ihrer Organschaft für Rechtsverletzungen gegenüber der Gesellschaft haften. Hier wird der Haftungsrahmen allerding so erweitert, dass der Geschäftsführer persönlich für Rechtsverletzungen von den Geschädigten in Anspruch genommen werden kann. Eine „Freizeichnung“ durch die Gesellschafter, den Vorstand oder den Aufsichtsrat ist damit zukünftig zumindest für den Anspruch auf Schadensersatz durch Geschädigte nicht mehr möglich.