Anspruch auf Schadensersatz bei verspäteter Auskunft

Mit seinem Urteil vom 09.02.2023 – 3 Ca 150/21 hat das Arbeitsgericht Oldenburg einem ehemaligen Mitarbeiter eines Unternehmens 10.000 € Schadensersatz zugesprochen, weil das Unternehmen dessen Auskunftsersuchen nach Art. 15 DS-GVO nicht fristgemäß beantwortet hat.

Der Kläger war bei der Beklagten angestellt und machte nach seinem Ausscheiden aus dem Unternehmen gegenüber der Beklagten sein Recht auf Auskunft gem. Art. 15 DS-GVO geltend. Dabei verlangte er Auskunft über die ihn betreffenden personenbezogenen Daten die die Beklagte verarbeitete und eine Kopie dieser Daten. Die Beklagte verweigerte diese Auskunft zunächst und legte erst 20 Monate später im Rahmen des Gerichtsprozesses einzelne Unterlagen vor. Im Rahmen der Gerichtsprozesses verlangte der Kläger wegen der verspäteten Auskunft Schadensersatz in Höhe von 10.000€.

Diese sprach das Arbeitsgericht Oldenburg dem Kläger auch zu und vertritt dabei die Auffassung, dass eine verspätete Auskunft alleine einen Schadensersatz nach Art. 82 DS-GVO begründet und es des Vortrags und Vorliegens eines immateriellen Schadens seitens des Klägers nicht bedarf. Zugunsten des Klägers könne unterstellt werden, dass dem Anspruch aus Art. 82 Abs. 1 DS-GVO ein Präventivcharakter und eine Abschreckungsfunktion zukomme. Damit knüpft das Arbeitsgericht den Schadensersatzanspruch an das Vorliegen einer Pflichtverletzung der Beklagten und nimmt an, dass schon der bloße Verstoß gegen die Pflichten der DS-GVO einen Schaden begründen.

Die Beklagte hätte im vorliegenden Fall gem. Art. 12 Abs. 3 DS-GVO das Auskunftsersuchen des Klägers innerhalb eines Monats erfüllen müssen. Nur unter bestimmten Voraussetzungen kann die genannte Frist um weitere zwei Monate verlängert werden. Die Beklagte ist jedoch über 20 Monate hinweg ihrer Pflicht nicht nachgekommen. Dies, so das Arbeitsgericht Oldenburg, rechtfertige einen Schadensersatzanspruch in Höhe von 500€ je Monat, in dem die Beklagte Ihrer Pflicht nicht nachgekommen ist.

Das Urteil ist insofern beachtenswert, da es sich einreiht in die Reihe von Urteilen zum Schadensersatz bei verspäteter, nicht erfüllter oder unvollständig erfüllter Auskunft und gleichzeitig andere Anforderungen an das Bestehen eines Schadensersatzanspruchs stellt. So lehnen andere Gerichte bspw. in vergleichbaren Fällen das Bestehen eines Schadensersatzanspruchs nach Art. 82 ab, weil ihrer Ansicht nach der Anwendungsbereich der Vorschrift nicht erfüllt ist, da nach dem Erwägungsgrund 146 der DS-GVO ein entsprechender Schaden aus der Verarbeitung von personenbezogenen Daten resultieren müsse. Die Pflicht zu Erfüllung der Auskunft stelle aber gerade keine Verarbeitung im Sinne der DS-GVO dar.

Aufgrund der unterschiedlichen Gerichtspraxis sind Arbeitgeber daher gut beraten, auch Auskunftsersuche ihrer Mitarbeiter ernst zunehmen und diese innerhalb der von der DS-GVO gesetzten Fristen umfassend zu beantworten.

Wie lange gilt eine Werbeeinwilligung?

von Susanne Werner

Fortbestand einer Einwilligung in die Zusendung von E-Mail-Werbung hängt von den Umständen des Einzelfalls ab

Wie lange eine einmal erteilte Einwilligung fortbesteht und ob sie durch Zeitablauf erlöschen kann, ist Rechtsprechung und Literatur umstritten und bisher nicht abschließend geklärt.

Die Auffassung, dass es bei der Frage nach dem Fortbestand einer einmal erteilten Einwilligung auf die Umstände des Einzelfalls ankommt, hat nun das AG München in seinem Urteil vom 14.02.2023 (Az.: 161 C 12736/22) vertreten.

So darf nach Auffassung des AG München ein Werbender jedenfalls dann nicht mehr vom Fortbestand einer einmal erteilten Einwilligung ausgehen, wenn über einen Zeitraum von vier Jahren ein Account, bei dessen Erstellung ein Newsletter abonniert wurde, nicht mehr genutzt und in dessen Kenntnis auch keine Werbung mehr versandt wurde. Der Werbende habe sich in diesem Fall vor der neuerlichen Zusendung von Werbemail beim Empfänger zu erkundigen, ob die ursprüngliche Einwilligung noch fortbesteht.

Indem, dem Urteil zugrundliegende Fall hatte der Kläger sich im August 2015 im Rahmen der Accounterstellung auf dem Portal der Beklagten zu deren Newsletter angemeldet. Den vorerst letzten Newsletter erhielt der Kläger daraufhin im Dezember 2017.

Im Dezember 2021 und in der Folgezeit erhielt der Kläger dann erneut Werbemails der Beklagten zugesendet. Der Kläger erkundigte sich darauf hin bei der Beklagten, inwieweit dieser eine Einwilligung seiner Person in den Erhalt von Werbemails vorliege und ließ diese dann im Februar 2022 anwaltlich abmahnen. Die Beklagte solle es künftig unterlassen, ihm E-Mails mit werblichem Inhalt zuzusenden.Die Beklagte lehnte die Ansprüche des Klägers ab und verwies auf die auf die Newsletteranmeldung im Rahmen der Accounterstellung aus dem Jahr 2015.

Das AG München teilte die Ansicht des Klägers, dass die Zusendung der Werbemails im Dezember 2021 und Januar 2021 ohne seine Zustimmung erfolgte und ihm ein Anspruch auf Unterlassung gegen die Beklagte zustehe. Angesichts der Umstände des Einzelfalls war die im Jahre 2015 erteilte Einwilligung infolge Zeitablaufs nicht mehr wirksam. Der Beklagten sei nach eigenen Angaben bekannt gewesen, dass Kläger seinen Account nicht mehr genutzt habe, zudem habe es die Beklagte über vier Jahre hinweg unterlassen, dem Kläger Werbemails zuzusenden. Sie habe im Dezember 2021 daher nicht davon ausgehen dürfen, dass die Einwilligung aus dem Jahr 2015 fortbestehe, sondern sich erkundigen müssen, ob dies noch der Fall sei.

Werbetreibende sollten sich künftig nicht mehr einfach auf den Fortbestand einer einmal erteilten und nicht widerrufenen Werbeeinwilligung verlassen, sondern ein besonderes Augenmerk auf die Umstände des Einzelfalls legen. Fragen, die sich dabei stellen sollten, betreffen die Umstände, unter denen die Einwilligung erteilt wurde, den Zeitpunkt des letzten erfolgten Versands einer Werbemail an die betroffene Person sowie weiter Anhaltspunkte, die dafür sprechen, dass eine Einwilligung nicht mehr besteht.

Haben Werbetreibende eine Einwilligung längere Zeit nicht mehr genutzt, so sei Ihnen angeraten, vor dem ersten neuerlichen Versand von Werbemails die Einwilligung zu erneuern, so auch die Empfehlung des Europäischen Datenschutzausschusses in seinen Leitlinien 05/2020 zur Einwilligung gemäß Verordnung 2016/679. Der Europäische Datenschutzausschuss empfiehlt dieses Vorgehen für Einwilligungen, die länger als zwei Jahre nicht genutzt wurden.

Die Erneuerung der Einwilligung hat den Vorteil, dass betroffene Personen stets aktuell informiert bleiben, wofür ihre Daten genutzt werden und Werbetreibende sichergehen können, dass ihre E-Mail Werbung auch wirklich erwünscht ist.

LG München zur Gestaltung von Cookie-Bannern

von Susanne Werner

Gestaltung von Einwilligungsbanner hat maßgeblichen Einfluss auf Wirksamkeit von Einwilligungen

Dass es Webseitenbetreiber untersagt ist ohne wirksame Einwilligung der Verbraucher:innen Tracking-Cookies zur Auswertung des Nutzerverhaltens für Werbe- und Analysezwecke einzusetzen und es für die Einholung einer wirksamen Einwilligung maßgeblich auf die Gestaltung des Einwilligungsbanners ankommt zeigt das Urteil des LG München vom 29. November 2022 (Az.: 33 O14776/19).

Das LG München hat mit seinem Urteil dem Webseitenbetreiber eines der nach eigenen Angaben größten Nachrichtenportale Deutschlands untersagt, ohne Einwilligung der Verbraucher:innen Tracking-Cookies zur Auswertung des Nutzerverhaltens für Werbe- und Analysezwecke einzusetzen. Dabei bemängelte das LG München insbesondere die Gestaltung des eingesetzten Einwilligungsbanners.

So öffnete sich nach Aufruf der Webseite zwar ein entsprechendes Einwilligungsbanner, über dass der Webseitenbetreiber eine Einwilligung zur Speicherung von Cookies auf dem Endgerät des Webseitenbesucher sowie zur Auswertung von auf dem Endgerät des Webseitennutzer gespeicherten Informationen für Analyse- und Werbezwecke einholen wollte. Auf der ersten Ebene bekamen Nutzer jedoch nur die Möglichkeit den Button „Alles akzeptieren“ zu wählen oder über die Schaltfläche „Einstellungen“ eine individuelle Auswahl zu treffen. Eine Möglichkeit „alles abzulehnen“ oder ohne weitere Handlung die Webseite zu nutzen bestand nicht.

Wollten Nutzer nicht in vollem Umfang in Speicherung von Cookies auf Ihrem Endgerät und die Auswertung von bereits auf dem Endgerät gespeicherten Informationen einwilligen, so blieb Ihnen nur die Möglichkeit über das Anklicken auf die Schaltfläche „Einstellungen“ eine individuelle Auswahl zu treffen. Nach Anklicken der Schaltfläche öffnete sich eine zweite Ebene auf der im Rahmen von „Privatsphäre-Einstellungen“ auf über 140 Bildschirmseiten individuelle Einstellungen für mehr als 100 Drittanbieter getroffen werden konnten.

Auf dieser Ebene konnten Nutzer wiederholt den Button „Alles Akzeptieren“ wählen oder über die Schaltfläche „Auswahl speichern“ ihre individuellen Einstellungen speichern. Zudem bestand auf dieser Ebene für die Nutzer auch die Möglichkeit „alle ablehnen“ auszuwählen. Während die Schaltflächen „Alles akzeptieren“ und „Auswahl speichern“ prominent am unteren Bildschirmrand erschienen und in ihrer Gestaltung deutlich hervorgehoben waren, befand sich die Möglichkeit „alle ablehnen“ klein und durch die blasse Schrift unscheinbar am rechten oberen Bildschirmrand.

Die über das beschriebene Einwilligungsbanner eingeholten Einwilligungen sind nach Auffassung des LG München unwirksam.

Eine Einwilligung im Sinne des Art. 4 Nr. 11 DSGVO sei jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist.

Die vom Webseitenbetreiber eingeholten Einwilligungen beruhen jedoch nach Auffassung des Gerichts gerade nicht auf einer freiwilligen Entscheidung der Webseitennutzer.

Freiwillig sei eine Entscheidung nur dann, wenn der Webseitennutzer eine echte Wahl habe und auch ohne Nachteile auf die Erteilung der Einwilligung verzichten könne. Aufgrund des Aufbaus des eingesetzten Einwilligungsbanners sei dies für den Webseitennutzer jedoch nicht möglich. Dass die Möglichkeit der Ablehnung besteht sei für den Webseitennutzer zum einen schwer erkennbar und zum anderen mit einem entsprechenden Mehraufwand verbunden. Insbesondere der Umstand, dass die Schaltfläche „Alles akzeptieren“ durch Größe und Gestaltung entsprechend hervorgehoben ist während die die Möglichkeit „alle ablehnen“ nur unscheinbar an anderer Stelle zu finden ist, spreche dafür, dass die Entscheidung des Webseitenbesuchers allein durch die Gestaltung beeinflusst werden soll und damit kein echt Wahlrecht des Webseitennutzers mehr besteht.

Webseitenbetreibern ist daher anzuraten Ihre Einwilligungsbanner noch einmal darauf hin zu überprüfen, ob diese den gesetzlichen Anforderungen, die das LG München in seinem Urteil herausgestellt hat genügen.

Ständige Mitarbeiterüberwachung bei Amazon ist zulässig

von Susanne Werner

Mitarbeiter des Versanddienstleisters Amazon, der in Niedersachsen ein Logistikzentrum zur Auslieferung seiner Waren betreibt, werden in bestimmten Arbeitsbereichen mit sogenannte Handscannern ausgestattet, mit deren Hilfe bestimmte Arbeitsschritte minutengenau und aktuell erfasst und ausgewertet werden. Dies diene laut Amazon in erster Linie der Steuerung logistischer Prozesse. Die erhobenen Daten würden daneben auch als Bewertungsgrundlage für Feedbackgespräche und Personalentscheidungen.

Diese Vorgehensweise wurde Amazon im Oktober 2022 von niedersächsische Datenschutzbeauftragten nach Durchführung eines Kontrollverfahrens untersagt. Nach Auffassung der niedersächsischen Datenschutzbeauftragten verstoße die ununterbrochene Erhebung von Leistungsdaten gegen das geltende Datenschutzrecht und stelle einen rechtswidrigen Eingriff in die Rechte der Betroffenen dar.

Gegen diese Unterlassungsverfügung klagte Amazon vor dem VG Hannover mit der Begründung, ein berechtigtes Interesse an der Datenerhebung und -verarbeitung zu haben. Das Gericht gab dem Versanddienstleister recht und sieht in dem beschriebenen Vorgehen keinen Verstoß gegen datenschutzrechtliche Bestimmungen. Der durch die Überwachung der Mitarbeiter bedingte Eingriff in deren Recht auf informationelle Selbstbestimmung stehe nicht außer Verhältnis zu den schützenswerten Interessen des Versanddienstleisters.

So seien die erhobenen individuellen Leistungswerte zur Steuerung der Logistikprozesse notwendig, um auf Schwankungen in einzelnen Prozesspfaden zu reagieren und Mitarbeiter flexibel einplanen zu können. Auch hinsichtlich der Nutzung der Daten als Bewertungsgrundlage für Feedbackgespräche und Personalentscheidungen hat das Gericht keine datenschutzrechtlichen Bedenken. Die Datenerhebung erfolge weder heimlich und zudem finde „nur“ eine Leistungskontrolle, jedoch keine Verhaltenskontrolle statt.

Das Gericht hat die Berufung vor dem Oberverwaltungsgericht Lüneburg zugelassen. Ob die niedersächsische Datenschutzbeauftragte in Berufung gehen wird, ließ sie in ihrer Pressemitteilung vom 10.02.2023 offen, stellte jedoch klar, dass sie nach wie vor der Auffassung ist, dass das allgemeine Persönlichkeitsrecht der Mitarbeiterinnen und Mitarbeiter überwiegt und der durch die minutengenaue Leistungsdatenerhebung sowie deren weitere Verarbeitung entstehende Anpassungs- und Leistungsdruck höher zu gewichten sei als das wirtschaftliche Interesse des Unternehmens.

Während die niedersächsische Datenschutzbeauftragte und das VG im konkreten Fall unterschiedliche Auffassungen vertreten, sind sie sich in Ihrer Forderung nach einem Gesetz zum Beschäftigtendatenschutz einig. Schon im April letzten Jahres konstatierte die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) in einer Entschließung „Die Zeit für ein Beschäftigtendatenschutzgesetz ist „Jetzt“!“

Es bleibt abzuwarten, ob und wann der Gesetzgeber in dieser Sache tätig wird.

Privacy Shield 2.0!?

von Susanne Werner

US-Präsident Joe Biden hat am 07. Oktober 2022 eine neue Exekutivanordnung unterzeichnet, die den Weg zu einem neuen EU-US Datenschutzabkommen (European Union-U.S. Data Privacy Framework) ebnen soll, welches US-Präsident Biden und EU-Kommissionspräsidentin von der Leyen bereits im Frühjahr dieses Jahres ankündigt haben.

Mit den Vorgaben der Exekutivanordnung soll künftig wieder ein rechtlich sicherer Datenaustausch zwischen der EU und den USA möglich werden, nachdem im Juni 2020 der Europäische Gerichtshof (EUGH) das bis dato bestehende Datenschutzabkommen des Privacy Shields für unzureichend erklärt hatte.

Die neuen Regelungen sollen den Schutz personenbezogener Daten von EU-Bürgern vor dem Zugriff US-amerikanischer Geheimdienste verbessern und es betroffenen Personen ermöglichen, sich künftig effektiver gegen Überwachungsmaßnahmen der Geheimdienste zur Wehr zu setzen.

Dennoch bleiben Massenüberwachungen (sog. bulk collections) ausdrücklich erlaubt, auch wenn diese nur unter bestimmten, in der Exekutivanordnung näher benannten, Voraussetzungen genehmigt werden. So müssen bspw. die Aktivitäten der Geheimdienste verhältnismäßig und die Erhebung von Daten auf das notwendige Maß beschränkt sein.

Hinsichtlich der Frage, wann eine Massenüberwachung zur Anwendung kommen kann, legt die Exekutivanordnung verschiedene Szenarien fest, darunter unter anderem der Schutz vor Terrorismus, Spionage und Cybersicherheitsbedrohungen.

Neben den Regelungen, die Klarheit über das ob und wie geheimdienstlicher Überwachungsmaßnahmen schaffen sollen, sieht die Exekutivanordnung auch ein zweistufiges Beschwerdeverfahren vor, mit dem sich die EU-Bürger gegen entsprechende Geheimdienstaktivitäten zur Wehr setzen können sollen.

Auf erster Ebene soll dabei ein sogenannter Bürgerrechtsbeauftragter (Civil Liberties Protection Officer) Beschwerden betroffener Personen untersuchen und feststellen, ob die zugrundeliegenden Maßnahmen gegen die Regelungen der Exekutivanordnung oder sonstige US-amerikanische Reglungen verstoßen haben.

Auf zweiter Ebene sollen betroffene Personen die Möglichkeit haben, gegen die Entscheidung des Bürgerrechtsbeauftragten einen Antrag auf Überprüfung durch ein sog. Datenschutzüberprüfungsgericht (Data Protection Review Court) zu stellen.

Für eine Überprüfung der Einhaltung der Vorgaben der Exekutivverordnung durch die US-Geheimdienste ist das sog. Privacy and Civil Liberties Oversight Board zuständig. Das Privacy and Civil Liberties Oversight Board prüft ebenfalls, ob die Geheimdienste im Beschwerdefalle mit dem Bürgerrechtsbeauftragten und dem Datenschutzüberprüfungsgericht kooperieren und deren Vorgaben entsprechend einhalten.

Ob mit der Exekutivanordnung künftig wieder ein rechtssicherer Datenaustausch zwischen der EU und den USA möglich wird, muss nun insbesondere von der EU-Kommission geprüft und entschieden werden.

Hierbei ist auch zu entscheiden, ob die Regelungen der Exekutivanordnung eine Überwachung von EU-Bürgern ausschließlich auf eine verhältnismäßige Überwachung im Sinne des Art. 52 der europäischen Grundrechtscharta beschränken und sicherstellen, dass Rechtsbehelfe im Sinne des Art. 47 der europäischen Grundrechtscharta garantiert werden.

Links:

Fact Sheet “Executive Order”

https://www.whitehouse.gov/briefing-room/statements-releases/2022/10/07/fact-sheet-president-biden-signs-executive-order-to-implement-the-european-union-u-s-data-privacy-framework/

Executive Order

https://www.whitehouse.gov/briefing-room/presidential-actions/2022/10/07/executive-order-on-enhancing-safeguards-for-united-states-signals-intelligence-activities/

Questions & Answers: EU-U.S. Data Privacy Framework

https://ec.europa.eu/commission/presscorner/detail/en/QANDA_22_6045

« Ältere Einträge

Name	Cookie Zustimmung
Anbieter	SICODA GmbH, Impressum
Zweck	Dieser Cookie speichert Ihre Auswahl zur Cookie Einwilligung.
Cookie Name	SICODA-COOKIE-CONSENT
Cookie Laufzeit	1 Jahr

Akzeptieren	YouTube
Name	YouTube
Anbieter	Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Ireland
Zweck	Wir binden unsere Youtube Videos auch in unserer Webseite ein. Wenn Sie diesen externen Inhalt akzeptieren, können Sie alle Videos direkt im Design der Webseite sehen. Wenn Sie diese externen Inhalte nicht akzeptieren, können Sie unsere Inhalte immernoch einsehen, Sie müssen dann aber jedes Video einzeln freischalten.
Datenschutzerklärung	https://policies.google.com/privacy
Host(s)	google.com
Cookie Name	NID
Cookie Laufzeit	6 Monate