Datenschutz
Im April 2021 ereignete sich bei Facebook ein „Datenreichtum“: Unbekannte haben Nutzerdaten von über 500 Mio. Nutzern, darunter ca. 6 Mio. aus Deutschland eingesammelt. Die Informationen waren offenbar nicht ausreichend geschützt. Mittels randomisierter Verfahren konnten die Angreifer weitere Daten verknüpfen und so die Nutzerprofile ergänzen. Teilweise wurden diese für spätere Angriffe auf die Nutzer verwendet, wobei der Nachweis, woher die Informationen für die Belästigung im Einzelfall stammen, schwer zu führen ist.
Der Bundesgerichtshof hat mit einem wegweisenden Urteil dem Kläger einen Anspruch auf Ersatz immateriellen Schadens zugesprochen: „Nach der für die Auslegung des Art. 82 Abs. 1 DSGVO maßgeblichen Rechtsprechung des EuGH kann auch der bloße und kurzzeitige Verlust der Kontrolle über eigene personenbezogene Daten infolge eines Verstoßes gegen die Datenschutz-Grundverordnung ein immaterieller Schaden im Sinne der Norm sein. Weder muss insoweit eine konkrete missbräuchliche Verwendung dieser Daten zum Nachteil des Betroffenen erfolgt sein noch bedarf es sonstiger zusätzlicher spürbarer negativer Folgen.“
Die zwei Haken: der BGH verweist den Fall zurück an das OLG Köln, das einen immateriellen Schaden nicht hatte anerkennen wollen und schätzt bereits vorab einen auf den Einzelfall bezogenen immateriellen Schaden in Höhe von lediglich 100,- €.
Das erstinstanzliche Urteil hatte zunächst noch das Recht des Nutzers zugesprochen, von Facebook über einen Anwalt Auskunft über den Datenabfluss von Facebook zu verlangen. Einen Unterlassungsanspruch hatte das Landgericht Bonn damals noch zurück gewiesen, weil zu unbestimmt.
Weitreichend wird dieses Urteil des BGH gegen Facebook dennoch sein. Das Urteil wurde zu einer sogenannten Leitentscheidung erhoben. Das bedeutet, dass sich in Zukunft die Gerichte in ähnlichen Fällen von Datenverlusten an die Entscheidung halten müssen. Neu an der Entscheidung ist, dass die Hürden für den Nachweis eines immateriellen Schadens erheblich herabgesetzt wurden und dieser nach Ansicht des BGH ersatzfähig ist.
Da die Rechtsdurchsetzung äußerst komplex ist, wird ein Nutzer hier vermutlich nur über anwaltliche Beratung erfolgreich werden. Aufgrund des geringen Wertes lässt sich für einen Anwalt so ein Verfahren aber wirtschaftlich kaum führen. Da die Ansprüche am Ende des Jahres verjähren, wäre zudem Eile geboten.
Ob Sie selbst betroffen sind, können Sie versuchen, unter dem folgenden Link heraus zu finden.
https://www.facebook.com/help/contact/432307920769103
Betroffenen wäre zu raten, über einen Anwalt ein Auskunftsverlangen gegen Facebook und zugleich die Forderung von Schadensersatz geltend zu machen. Da die Ansprüche Ende des Jahres verjähren und das OLG Köln noch einmal entscheiden muss, bezweifeln wir, dass es zu einer großen Welle von Klagen gegen Facebook kommen wird.
Weiterführende Informationen:
https://www.verbraucherzentrale.de/wissen/digitale-welt/datenschutz/datenlecks-bei-facebook-so-pruefen-sie-ob-sie-betroffen-sind-25013
https://www.lto.de/recht/nachrichten/n/bgh-vizr1024-scraping-komplex-facebook-immaterieller-schadensersatz-datenschutz-dsgvo
Aus der Praxis
Kündigung des Datenschutzbeauftragten
Abberufung des Datenschutzbeauftragten BAG EuGH
Mit Urteil vom 06.06.2023 hat das Bundesarbeitsgericht (BAG) festgestellt, dass die strenge Regelung des § 6 Abs. 4 S. 1 BDSG (Bundesdatenschutzgesetz) mit der DSGVO im Einklang steht. Aus diesem Grund sei auch bei der Kündigung oder Abberufung eines Datenschutzbeauftragten ein wichtiger Grund nach § 626 Abs. 1 BGB erforderlich.
Zuvor bestanden bei einer Minderheit in der Rechtsprechung noch Zweifel, ob der Schutz des Datenschutzbeauftragten vor Kündigung nach BDSG aufgrund der tendenziell strengeren Regelung mit dem vorrangigen europäischen Recht der DSGVO vereinbar sei. Die Vorinstanzen hatten die Klage des Arbeitnehmers abgewiesen. Das BAG hat daher den EuGH um eine Vorentscheidung in der Frage gebeten.
Mit Urteil vom 09.02.2023 (C-560/21) hat der EuGH schließlich die Vereinbarkeit des Kündigungsschutzes für Datenschutzbeauftragte nach § 6 Abs. 4 S. 1 BDSG mit Art. 38 Abs. 3 S. 2 DSGVO bestätigt – wenn im speziellen Fall nicht andere Regelungen der DSGVO damit beeinträchtigt würden. Denn diese seien immer vorrangig. Nationale Regelungen, die einzelne Aspekte der DSGVO strenger regeln seien zulässig, wenn diese die Ziele der DSGVO verwirklichen.
Die DSGVO zielt darauf ab, innerhalb der Union ein hohes Schutzniveau für natürliche Personen bei der Verarbeitung ihrer personenbezogenen Daten zu gewährleisten. Auch diese Feststellung des EuGH ist bemerkenswert, stellt der Gerichtshof doch zum wiederholten Male klar, dass der Zweck der DSGVO nicht der Schutz des freien Datenverkehrs ist, sondern das hohe Schutzniveau der Personen hinter den Daten. Der Gedanke dahinter: Nur dadurch könne auch ein freier Datenverkehr gewährleistet werden.
Das BAG hat infolge der Entscheidung des EuGH die Entscheidungen der Vorinstanzen abgewiesen und zur erneuten Entscheidung zurückverwiesen. Dabei wird nun zu klären sein, ob die Abberufung / Kündigung des Datenschutzbeauftragten auch in diesem konkreten Fall die Ziele der DSGVO verwirklicht. Vorstellbar wäre etwa eine Abberufung, wenn der Datenschutzbeauftragte nicht (mehr) über die Qualifikation verfügt, das Amt auszuüben, weil er Fortbildungen oder seine Tätigkeit verweigert.
Aus dem Urteil des EuGH C-560/21:
Tenor
Art. 38 Abs. 3 Satz 2 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) ist dahin auszulegen, dass er einer nationalen Regelung nicht entgegensteht, nach der ein bei einem Verantwortlichen oder einem Auftragsverarbeiter beschäftigter Datenschutzbeauftragter nur aus wichtigem Grund abberufen werden kann, auch wenn die Abberufung nicht mit der Erfüllung seiner Aufgaben zusammenhängt, sofern diese Regelung die Verwirklichung der Ziele dieser Verordnung nicht beeinträchtigt.
… aus den Entscheidungsgründen:
27 Insbesondere darf ein strengerer Schutz die Verwirklichung der Ziele der DSGVO nicht beeinträchtigen. Dies wäre aber der Fall, wenn dieser Schutz jede durch einen Verantwortlichen oder einen Auftragsverarbeiter ausgesprochene Abberufung eines Datenschutzbeauftragten verböte, der nicht mehr die für die Erfüllung seiner Aufgaben gemäß Art. 37 Abs. 5 DSGVO erforderliche berufliche Qualifikation besitzt oder seine Aufgaben nicht im Einklang mit der DSGVO erfüllt (vgl. in diesem Sinne Urteil vom 22. Juni 2022, Leistritz, C‑534/20, EU:C:2022:495, Rn. 35).
28 Insoweit ist daran zu erinnern, dass die DSGVO, wie in Rn. 20 des vorliegenden Urteils ausgeführt worden ist, darauf abzielt, innerhalb der Union ein hohes Schutzniveau für natürliche Personen bei der Verarbeitung ihrer personenbezogenen Daten zu gewährleisten, und dass der Datenschutzbeauftragte zur Verwirklichung dieses Ziels seine Pflichten und Aufgaben in vollständiger Unabhängigkeit ausüben können muss.
Aus der Praxis
Datenschutz im Wohnungseigentum ist ein vernachlässigtes Thema. Das wird zunehmend deutlich: Wie ist mit Gesundheitsdaten (Corona!) umzugehen? Wie mit Auskunftsansprüchen über gespeicherte Daten? Wie mit Unterlassungsansprüchen, wenn ein Eigentümer sich gegen Mitteilung seines Namens im Zusammenhang mit einem Schaden wehrt.
So wird also geklagt, ob Auskunftsansprüche der Wohnungseigentümer auch personenbezogenen Daten andere Wohnungseigentümer beinhalten dürfen oder Klage geführt, damit der Verwalter Informationen nicht bestimmten Wohnungseigentumseinheiten zuordnen soll (Legionellenbefall, ausstehende Hausgelder).
Oft sind jedoch noch nicht einmal die Basics, die Grundlagen des Datenschutzes in einer Wohnungseigentümergemeinschaft geklärt. Diese sollte sich jedoch jede WG vor Augen führen. Denn es ist zunächst die Gemeinschaft der Wohnungseigentümer selbst, die für die Einhaltung des Datenschutzes verantwortlich ist.
Geregelt ist der Datenschutz in der Datenschutzgrundverordnung (DSGVO), dem Bundesdatenschutzgesetz und den Landesdatenschutzgesetze.
Verantwortlicher im Sinne der DSGVO ist nach Art. 4 Nummer 7 DSGVO „die natürliche oder juristische Person … die alleine oder gemeinsam mit Anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.“
Zur Organisation der Wohnungseigentümergemeinschaft ist jedenfalls die Verarbeitung von personenbezogenen Daten der Eigentümer, gegebenenfalls auch der Mieter, nötig. Darunter fallen nicht nur die herkömmlichen Daten, Name, Adresse etc., sondern können unter Umständen auch besondere Kategorien personenbezogener Daten fallen, die einem besonderen Schutz nach Art. 9 DSGVO unterliegen. Das sind etwa sensitive Daten wie ethnische Herkunft, politische Meinungen, religiöse und weltanschauliche Überzeugungen, Gesundheitsdaten oder Daten über die sexuelle Ausrichtung der Eigentümer oder Mieter.
Da in der Regel mit der Verwaltung des Wohnungseigentums ein Verwalter beauftragt ist, wird diesem auch die Verwaltung der personenbezogenen Daten übertragen. Der Verwalter ist daher in jedem Fall Mitverantwortlicher und regelmäßig Auftragsverarbeiter im Dienste der DSGVO.
Sowohl für die Gemeinschaft, als auch für den Verwalter entstehen daher eine Reihe von Pflichten. Diese Pflichten ergeben sich vor allem aus der Datenschutzgrundverordnung, wie etwa die Rechtmäßigkeit, Zweckbindung, Datenminimierung, Richtigkeit und Rechenschaftspflicht.
Aufgrund dieser Pflichten erscheint es notwendig, dass zwischen der Gemeinschaft der Wohnungseigentümer und dem Verwalter eine Vereinbarung über das fortlaufende Datenschutzmanagement getroffen wird, die gegebenenfalls auch eine weitere Auftragsdatenverarbeitung beinhaltet.
Noch weitergehend wäre zu berücksichtigen, wenn der Verwalter eine Software benutzt, die, wie heutzutage üblich, die Daten nicht in den Räumen des Verwalters, sondern außerhalb in der Cloud oder als SaaS verarbeitet.
Das Amtsgericht Mannheim hat hierzu wegen der Vergütung des Verwalters für diese Tätigkeit entschieden, dass eine Vereinbarung zwischen der Gemeinschaft der Wohnungseigentümer und dem Verwalter mit Festlegung einer Sondervergütung nicht zu beanstanden ist.
Auch wenn die Speicherung und Verarbeitung personenbezogener Daten durch den Verwalter nicht ausdrücklich gesetzlich geregelt ist, hat er dies im Rahmen der ordnungsgemäßen Verwaltung zu erledigen. Übt der Verwalter das Datenschutzmanagement und die Sorge um eine datenschutzrechtskonforme Verwaltung der personenbezogenen Daten der Eigentümer (und der Mieter) für die Gemeinschaft aus, hat er daher keinen Anspruch auf Sondervergütung. Die Wohnungseigentümer haben jedoch die Kompetenz, durch Mehrheitsbeschluss eine Sondervergütung für diesen besonderen Verwaltungsaufwand zu vereinbaren. Denn die Beachtung des Datenschutzes übt der Verwalter für die Gemeinschaft aus, wodurch ihm zusätzlicher Aufwand entsteht, der mit dem Grundhonorar nicht abgedeckt ist.