Wir sind Ihr kompetenter Ansprechpartner für Datenschutz- und IT-Recht

Herzlich Willkommen auf der Internetseite von Rechtsanwalt Kilian Lenard. 

Wir wissen, dass die Digitalisierung Unternehmen zahlreiche neue Chancen bietet. Sie ermöglicht Skalierbarkeit von zukunftsorientierten Geschäftsmodellen. Der digitale Fortschritt bringt aber auch neue Herausforderungen, wie bspw. die Einhaltung von Regularien.

In diesem Zusammenhang spielt der Datenschutz eine sehr große Rolle. Der Schutz personenbezogener Daten ist aktueller und wichtiger denn je. Im Zeitalter des Internets und dem rapiden Wachstum der Digitalisierung darf dieser Schutz nicht in den Hintergrund rücken. Jeder, der/die auf Unternehmensseite verantwortlich für die Datenverarbeitung ist, ist dazu verpflichtet, bei der Verarbeitung von personenbezogenen Daten die Vorgaben des Datenschutzrechtes einzuhalten. 

Mit Inkrafttreten der europäischen Datenschutz-Grundverordnung (DSGVO) sind die Anforderungen des Datenschutzrechtes umfangreich und vielschichtig geworden, um genau diesen Schutz zu gewährleisten. Die Einhaltung der DSGVO ist für jeden verpflichtend, unabhängig davon, ob es sich um Kapitalgesellschaften, kleinere Unternehmen, Einzelunternehmer, sowohl als auch Vereine und Freiberufler handelt.

Der Schutz der personenbezogenen Daten sollte äußerst ernst genommen werden, denn bei Verstößen gegen die DSGVO drohen hohe Bußgelder, Abmahnungen sowie erhebliche Schadensersatzansprüche.

Im Folgenden geben wir Ihnen einen Überblick über einige relevante Urteile der letzten Jahre im Zusammenhang mit Verstößen gegen die DSGVO und erklären jeweils, wie diese Verstöße hätten vermieden werden können. 

Die Bandbreite der beschriebenen Verstöße ist sehr groß. Es geht um Datenübermittlungen an das US-amerikanische Justizministerium, lästige Werbung im E-Mail-Postfach oder sogar um die Beauftragung eines Detektivbüros zum Ausspähen des Liebhabers der Ehefrau.

//

OLG Dresden, Urteil vom 30. November 2021 – 4 U 1158/21 (Schadenswert: 5.000 €)

Der Geschäftsführer eines Vereines für Oldtimer-Liebhaber hat – nach eigenen Angaben aufgrund eines Verdachts, wohl aber aufgrund einer außerehelichen Liebesaffäre – eine Recherche über den Kläger durch ein Detektivbüro durchführen lassen, die ergab, dass in der Vergangenheit gegen den Kläger ein Strafverfahren eingeleitet wurde, woraufhin er den Vorstand darüber informierte, der dem Kläger die Mitgliedschaft in dem Verein verwehrte. Dafür wurden der Geschäftsführer und der Verein als solcher zu einem Schadensersatz in Höhe von 5.000 € verurteilt. Das Handeln verstieß gegen Artikel 10 DSGVO, nach dem personenbezogene Daten über strafrechtliche Verurteilungen nur unter behördlicher Aufsicht verarbeitet werden dürfen. Persönliche Daten dürfen grundsätzlich nur mit Zustimmung des Betroffenen verarbeitet werden, sofern nicht einer der in Artikel 6 DSGVO gelisteten wichtigen Gründe dagegen spricht.

Es kann sein, dass Informationen über extremistische politische Gesinnungen, gewalttätige Tendenzen oder Straftaten bei der Entscheidung über die Aufnahme einer Person in einen Verein von Bedeutung sind. Statt einer eigenständigen Recherche und einer damit einhergehenden Verletzung der Privatsphäre (genauer: des Rechts auf informationelle Selbstbestimmung) muss in einem solchen Fall, auch wenn Verdachtsmomente bestehen, zunächst eine ergänzende Selbstauskunft und gegebenenfalls ein polizeiliches Führungszeugnis angefordert werden.

//

LG München I, Urteil vom 9. Dezember 2021 – 31 O 16606/20 (Schadenswert: 2.500 €)

Der Beklagte in diesem Fall ist ein Broker, dem der Kläger als dessen Kunde zahlreiche personenbezogene Daten und ein Foto seines Personalausweises zu Zwecken der Identifikation zur Verfügung gestellt hat. Im Jahr 2020 gelangten Hacker über bei einem ehemaligen Dienstleister hinterlegte Zugangsdaten zur IT-Infrastruktur des Brokers unrechtmäßig an einen Teil der Daten des Klägers, wie seinen Namen, seine Post- und E-Mail-Adresse, Geburtsdaten, Steuer-ID, IBAN, Ausweiskopie und sein Foto. Der Broker hatte seinen Vertrag mit dem Dienstleister Ende 2015 beendet, die Zugangsdaten zu seinem IT-System, die dem Dienstleister bei Vertragsbeginn übergeben wurden, hatte er allerdings nicht geändert. Der Broker meinte, nicht gegen die DSGVO verstoßen zu haben, da der Hacker nicht durch die Überwindung seiner IT-Sicherheitssysteme an die Daten gelangt sei, sondern durch eine Sicherheitslücke bei dem ehemaligen Dienstleister.

Das sah das Gericht allerdings anders. Laut Artikel 32 DSGVO ist eine Sicherheitslücke bei dem Dienstleister irrelevant, denn der Broker hätte selbst dafür sorgen müssen, dass dieser Dienstleister nicht mehr auf die Daten seiner Kunden zugreifen kann, statt sich ohne Überprüfung darauf zu verlassen, dass dieser die Zugangsdaten löschen würde. Das Gericht stand dem Kläger ein Schmerzensgeld zu, da durch den Verlust seiner persönlichen Daten seine Identität gestohlen wurde (ob die Hacker tatsächlich im Namen des Klägers gehandelt haben, ist dabei irrelevant).

Es ist Unternehmen natürlich zwecks der Zusammenarbeit mit anderen Unternehmen erlaubt, diesen Unternehmen Zugang zur eigenen IT-Infrastruktur zu ermöglichen, auch wenn das auftraggebende Unternehmen sensible Daten aufbewahrt. Direkt nach Beendigung dieser Zusammenarbeit obliegt es aber dem auftraggebenden Unternehmen, diese sensiblen Daten seiner Kunden zu schützen, indem es diesen Zugang fortan blockiert.

//

LAG Hamm, Urteil vom 14. Dezember 2021 – 17 Sa 1185/20 (Streitwert: 2.000 €)

Zu Beginn des Arbeitsverhältnisses im Jahr 2018 zwischen der Klägerin und dem von ihr verklagten Krankenhaus, bei dem sie angestellt ist, hat die Klägerin dem Krankenhaus ihren Namen, ihr Geburtsdatum und ihre Adresse mitgeteilt. Das Krankenhaus ist Teil eines Gesellschaftsverbunds mehrerer Krankenhäuser, der ein Unternehmen beschäftigt, das die Geschäftsführung aller Verbundkliniken übernimmt. Dieses Geschäftsführungsunternehmen hätte seine Zustimmung zum Abschluss oder der Änderung eines Arbeitsvertrages geben müssen, in dem ein Gehalt vereinbart wird, wie es der Klägerin in ihrem Arbeitsvertrag zugestanden wird, wobei von dieser Regelung bis 2019 nur selten Gebrauch gemacht wurde. Bei einer Gesellschafterkonferenz im Jahr 2019 wurde das Geschäftsführungsunternehmen gebeten, diese Regelung zukünftig zu beachten und zwecks eines einheitlichen Personalwesens bei allen Verbundkliniken personenbezogene Daten über solche Arbeitsverträge anzufordern. Obwohl ein Gutachten die anonymisierte Weitergabe der Daten empfahl, wurden sämtliche angeforderten Daten übermittelt, ohne der Klägerin genügend Zeit zum Widerspruch einzuräumen. Die Klägerin widersprach später der Weitergabe ihrer Daten und setzte deren Löschung später vor dem Landgericht Bochum durch, in zweiter Instanz gewährte ihr das Oberlandesgericht Hamm einen Anspruch auf Schadensersatz in Höhe von 4.000 €.

Das Arbeitsgericht Herne verurteilte das Krankenhaus auf Antrag der Klägerin zudem zur Zahlung eines Schadensersatzes in Höhe von 2.000 € und zur zukünftigen Unterlassung der Übermittlung personenbezogener Daten an sein Schwesterunternehmen, weil der Arbeitsvertrag zum Zeitpunkt der Übermittlung bereits abgeschlossen war und nicht geändert werden sollte und eine anonymisierte Übermittlung der Daten ausgereicht hätte. Das Landesarbeitsgericht Hamm stimmte dem Urteil in zweiter Instanz in dem oben verlinkten Urteil zu.

Schwesterunternehmen dürfen Daten über ihre Beschäftigten nach Ansicht des durchaus teilen, sofern dazu einer der in Artikel 6 Absatz 1 DSGVO genannten Gründe besteht oder eine Einwilligung der Beschäftigten vorliegt – etwa wenn Beschäftigte an anderen Orten des Unternehmensverbunds eingesetzt werden. Selbst wenn ein solcher Grund besteht, muss die Übermittlung dieser Daten anonymisiert geschehen, sofern nicht ein triftiger Grund dagegen spricht, und den Beschäftigten muss der Widerruf der Übermittlung ermöglicht werden. Ist auf die Identität der Beschäftigten etwa allein durch den Absender zu schließen, sollten diese Informationen in einem Umschlag ohne Absender verschickt werden.

//

LAG Hannover, Urteil vom 22. Oktober 2021 – 16 Sa 761/20 (Streitwert: 1.250 €)

Zwischen dem Kläger und der Beklagten bestand ein langjähriges Arbeitsverhältnis im Geschäftsfeld der Herstellung von Motoren, um dessen Kündigung Streit entbrannt ist. Es kam im Rahmen der Dieselaffäre zu Unstimmigkeiten hinsichtlich angegebener und beworbener Abgaswerte der produzierten Motoren, die 2016 intern aufgearbeitet werden sollten, indem die Beschäftigten dazu befragt wurden. Hiergegen wehrte sich der Kläger, wodurch ein erster Rechtsstreit ausgelöst wurde.

Neben der internen Aufarbeitung musste sich die Beklagte mit der strafrechtlichen Aufarbeitung durch das US-amerikanische Department of Justice auseinandersetzen, mit welchem ebenfalls 2016 ein sogenanntes Plea Agreement geschlossen wurde. Dabei kam es zur Übermittlung personenbezogener Daten in die USA auf, obwohl der Kläger seine Einwilligung hierzu nicht gegeben hatte. Im Jahr 2016 und September 2018 holte der Kläger Auskünfte darüber ein, welche Daten im Rahmen der Dieselaffäre an die US-Behörden übermittelt wurden, um ihre Geschäftsgeheimnisse zu wahren, übermittelte ihm die Beklagte nicht fristgerecht nur größtenteils geschwärzte Seiten, die nicht alle personenbezogenen Daten des Klägers enthielten. Im Jahr 2018 kam es zur außerordentlichen Kündigung des Klägers. Der Kläger wehrte sich mit einer Klage gegen diese Kündigung und stellte mehrere andere Ansprüche, unter anderem auf Schadensersatz wegen datenschutzwidrigen Vorgehens.

Das Arbeitsgericht Braunschweig und später das Landesarbeitsgericht Hannover gaben dem Kündigungsschutzantrag gegen die Kündigung statt, weil unabhängig von den datenschutzrechtlichen Vorgängen kein triftiger Kündigungsgrund vorlag und die Kündigungsfrist dementsprechend nicht eingehalten wurde.

Die Übermittlung der Daten in die USA und die fehlerhafte Beantwortung des Auskunftsbegehrens hätten einen Schadensersatzanspruch begründen können, wenn sie nicht vor dem Inkrafttreten der DSGVO im Mai 2018 passiert wären. Das Landesarbeitsgericht Hannover sprach dem Kläger allerdings Schadensersatz in Höhe von 1.250 € für das im September 2018 unvollständig und nicht fristgerecht beantwortete Auskunftsverlangen zu.

Werden personenbezogene Daten verarbeitet, hat die betroffene Person auch in einem Arbeitsverhältnis einen Anspruch darauf, eine Bestätigung über diese Verarbeitung und Auskunft über die Daten zu erlangen. Dafür müssen nicht sämtliche Unterlagen samt Geschäftsgeheimnissen geteilt werden, wohl aber alle personenbezogenen Daten.

//

LG Lüneburg, Urteil vom 14. Juli 2020 – 9 O 145/19 (Streitwert: 1.000 €)

In Lüneburg wurde eine Bank von einem ihrer Kunden verklagt, weil sie Daten über ihn an die Schufa weitergeleitet hatte. Die Bank hatte dem Kläger 2017 einen Dispo von über 1.000 € eingeräumt. Im Juli 2018 informierte die Bank allerdings allen ihre Kunden in einem maschinell erstellten Schreiben, dass sie den Dispo streichen würde. Weil das Konto des Klägers auch nach der eingeräumten Frist noch im Minus war, kündigte die Bank das Konto nach einigem Hin und Her im September 2018. Im Kündigungsschreiben räumte die Bank dem Kläger eine Frist für die Zahlung des überzogenen Geldes ein und wies darauf hin, dass sie die Kündigung der Schufa mitgeteilt habe. Im Oktober beglich der Kläger seine Schulden und die Bank teilte der Schufa mit, dass der Vorgang erledigt sei.

Die Bank musste die Meldung widerrufen, weil die Datenübermittlung an die Schufa rechtswidrig war und dem Kläger Schadensersatz in Höhe von 1.000 € zahlen. Zunächst war die Meldung rechtswidrig, weil die Bank darin einen falschen Betrag als ausstehend angegeben hat. Die Meldung war auch rechtswidrig, weil die Bank laut § 31 Absatz 2 den Kläger über die beabsichtigte Meldung an die Schufa hätte informieren müssen, statt diese Meldung schon vor Zustellung des Kündigungsschreibens durchzuführen. Sie hätte die Meldung außerdem nur tätigen dürfen, wenn sie den Vertrag mit dem Kläger wirksam gekündigt hätte. Nach den AGB der Bank hätte hierfür ein wichtiger Grund vorliegen müssen. So ein wichtiger Grund lag nicht vor, weil die Bank den Dispo nicht wirksam gekündigt hat. Das Wort „Kündigung“ wurde in dem Schreiben nicht erwähnt, zudem war das Schreiben missverständlich formuliert, sodass der annehmen konnte, dass ihm nicht der gesamte Dispo gestrichen werden würde, sondern dass er das Konto über den Dispo hinaus nicht überziehen dürfte. Grob verknappt kam das Gericht zu dem Schluss, dass die Bank „überreagiert“ habe und bei der Kündigung die Belange des Klägers nicht ausreichend in Betracht gezogen habe.

Weil Banken solch eine große Bedeutung für ihre Kunden haben, musste die Bank hier eine besonders große Hürde bei der Kündigung des Vertrags überspringen. Man muss nicht in jeder Kündigung zwangsweise dieses Wort verwenden, die Kündigung muss aber klar ersichtlich sein und es muss ein triftiger Grund vorliegen. Wichtig ist zudem die Wahrung der Fristen, dass ordentlich gemahnt wird, und dass die Betroffenen informiert werden, bevor ihre Daten an die Schufa weitergegeben werden.

//

AG Pfaffenhofen/Ilm, Endurteil vom 9. September 2021 – 2 C 133/21 (Streitwert: 300 €)

Der Kläger in diesem Fall ist Anwalt und hat von der Beklagten eine Werbe-Mail für FFP2-Masken erhalten, ohne ihr jemals die Adresse mitgeteilt oder sonst mit ihr in Kontakt getreten zu sein. Die Beklagte hatte die Kontaktdaten des Klägers nach eigenen Angaben bei einer Internetrecherche nach einem Anwalt gefunden.

Die Verarbeitung der E-Mail-Adresse des Klägers war rechtswidrig, weil keiner der Rechtfertigungsgründe in Artikel 6 DSGVO erfüllt war. Danach hätte entweder eine Einwilligung, ein Vertrag oder sonst eine rechtliche Verpflichtung oder ein berechtigtes Interesse der Beklagten bestehen müssen. Deswegen wurde die Beklagte zur Zahlung von 300 € Schadensersatz verurteilt.

Darf man nun gar keine E-Mail-Adressen speichern, die man im Internet gefunden hat? Doch, das darf man. Man verstößt allerdings gegen Artikel 6 DSGVO und § 7 UWG, wenn man diese E-Mail-Adresse anschließend ohne Einwilligung zu Werbezwecken nutzt.

//

LAG Köln, Urteil vom 14. September 2020 – 2 Sa 358/20 (Streitwert: 300 €)

Die Klägerin war bis August 2018 als Professorin für Medien- und Eventmanagement bei der von ihr verklagten Hochschule angestellt. Während der Anstellungszeit wurde das Profil der Klägerin als PDF im Internet veröffentlicht und auf der Webseite der Hochschule verlinkt. Die Verlinkung wurde mit der Kündigung aufgehoben, das PDF blieb aber online und war bei Google unter den ersten zehn Treffern zu finden. Die Klägerin schaltete einen Rechtsanwalt ein, auf dessen Drängen das PDF zeitnah gelöscht wurde.

Das Nicht-Löschen des PDFs direkt nach Beendigung des Arbeitsverhältnisses war eine Persönlichkeitsverletzung gegenüber der Klägerin, da fehlerhafte Informationen über sie im Internet verfügbar waren. Die Hochschule hat damit gegen Artikel 17 DSGVO verstoßen. Ihre Daten hätten gelöscht werden müssen, als deren Aufbewahrung nicht mehr notwendig waren.

Der Fehler entstand, weil die Webseite der Hochschule umstrukturiert wurde. Bei solchen Maßnahmen sollte man genau darauf achten, den Überblick über die vorhandenen Daten nicht zu verlieren, um diese weiterhin rechtmäßig verwalten zu können.

//

Haben Sie Fragen zum Datenschutz? Wir helfen Ihnen gerne weiter.