Kategorien
Blogroll Datenschutzrecht Werberecht Wettbewerbs- und Werberecht Wettbewerbsrecht

OLG Karlsruhe: Krankenhaus darf AWS Hostingdienstleistungen mit Servern in Frankfurt einsetzen

AWS-Cloud der luxemburgischen Tochter kann DSGVO-konform mit vertraglichen Zusage und Servern in Frankfurt eingesetzt werden
Mit Beschluss vom 7.9.2022 hat das OLG Karlsruhe die umstrittene Entscheidung der Vergabekammer Baden-Württemberg vom 13.07.2022 aufgehoben, mit der ein Wettbewerber erfolgreich den Ausschluss eines Anbieters mit AWS-Cloud wegen Verstoß gegen die DSGVO in einem Vergabeverfahren eines öffentlich-rechtlichen Krankenhauses erwirkt hatte. Laut Vorinstanz (Vergabekammer Baden-Württemberg 13.7.2022, – 1 VK 23/22) war das Angebot mit AWS-Cloudservices trotz Vertrag mit der luxemburgischen Tochter und Serverstandort Frankfurt am Main nicht vereinbar mit der DSGVO, weil das latente Risiko eines Zugriffs der US-amerikanischen Mutter bzw. der US-Behörden auf die sensiblen Patientendaten bestehe, und zwar auch dann, wenn wie hier die Daten in einer europäischen Serverumgebung der luxemburgischen Tochtergesellschaft des US-amerikanischen Amazon-Web-Services-AWS-Konzerns gespeichert sind. Laut Vorinstanz sei der Serverstandort Frankfurt am Main unbeachtlich, da allein die latente Möglichkeit des Zugriffs der US-Behörden oder US-Muttergesellschaft Amazon Web Services aufgrund der US-amerikanischen Gesetzeslage ein erhebliches latentes Risiko einer unzulässigen Übermittlung der Patientendaten in die USA darstelle. Die USA ist datenschutzrechtlich ein unsicheres Drittland, in dem europäische Patienten praktisch keinen Rechtsschutz wegen Verletzung ihrer Datenschutz- und Persönlichkeitsrechte haben. Diese umstrittene Entscheidung hatte Aufsehen erregt, da es ja nur um das latente Risiko einer Übermittlung oder Zugriff aus den USA ging, die Server in Frankfurt/Main in einem sicheren Rechenzentrum stehen und AWS vertraglich zusichert, dass kein Zugriff aus Drittländern wie den USA gewährt wird. Nun hat laut Pressemeldung des Gerichts das OLG Karlsruhe mit Beschluss vom 7.9.2022, Aktenzeichen 15 Verg8/22 diese Entscheidung wieder aufgehoben. Die Entscheidung ist rechtskräftig.

Auftraggeber kann sich auf Zusagen verlassen, solange keine anderen Anhaltspunkte bekannt sind
Laut Pressemeldung ist der wesentliche Grund, dass die Krankenhausgesellschaft sich nach Ansicht des Senats durchaus auf die verbindlichen vertraglichen Zusagen des Anbieters verlassen dürfe, dass die Daten allein auf den Servern in Frankfurt am Main der luxemburgischen Tochter von AWS gespeichert bleibe und hierfür auch technische und organisatorische Maßnahmen getroffen worden seien. Erst wenn es tatsächliche Anhaltspunkte dafür gebe, dass die vertraglich gemachten Zusagen insofern nicht eingehalten werden, gelte anderes.

Praxishinweis
Damit hat das OLG Karlsruhe ein für die Praxis wichtige Entscheidung getroffen, wonach unter Umständen auch europäische Tochtergesellschaften, die entsprechende vertragliche und technisch-organisatorische Maßnahmen zum Schutz vor unbefugten Zugriffen getroffen haben, einsetzbar sind. Dies ist für die Praxis in vielen Bereichen wichtig, da gerade im Bereich von Hosting und sonstigen Clouddiensten oft US-amerikanische Unternehmen verbundene Unternehmen der europäischen Anbieter sind und auf diese Weise in vielen Bereichen viele Anbieter für deutsche oder europäische Anwenderunternehmen nicht DSGVO-konform einsetzbar wären, wenn sensible Kunden- oder Mitarbeiterdaten im Spiel sind. update: Die Entscheidung liegt inzwisschen im Volltext OLG Karlsruhe (Az.15 Verg 8/22) vor. Stark verkürzt ergibt sich die wesentliche Begründung bereits aus der Pressemeldung vom 7.9.2022 OLG Karlsruhe Beschluss Az. 15 Verg 8/22

Haben Sie ähnliche Fragen?
Haben Sie Fragen zur DSGVO-Konformität oder andere vertragliche Fragen beim Einsatz eines IT-Dienstleisters? Gerne übernehme ich eine Vertragsprüfung und berate Sie hierzu, damit Sie eine Haftung oder Bußgelder bei Rechtsverstößen vermeiden können. Schreiben Sie mir gerne eine Nachricht mit qualifizierter Anfrage.

Kategorien
Blogroll Datenschutzrecht Schadenersatzrecht Schadensrecht Uncategorized Verbraucherschutz

OLG Frankfurt: Xing-Irrläufernachricht – Gericht fordert konkrete Darlegung des immateriellen Schadens für den erfolglosen Bewerber

E-mail Irrläufer sind ebenso wie über einen Messenger schnell passiert. Ein Händler hat sich 2018 bei einer Bank beworben via Xing und wegen eines versehentlichen „Klicks“ auf die falsche Person, sendete die Bank irrtümlich eine Nachricht an einen Bekannten des Händlers, der pikanterweise bei der gleichen Bankengruppe beschäftigt war. Die eigentlich für den Kläger bestimmte Nachricht enthielt den Text:

Lieber Herr B, ich hoffe es geht Ihnen gut! Unser Leiter – Herr C – findet ihr Händler Profil sehr interessant. Jedoch können wir Ihre Gehaltsvorstellungen nicht erfüllen. Er kann 80k + variable Vergütung anbieten. Wäre das unter diesen Gesichtspunkten weiterhin für Sie interessant? Ich freue mich von Ihnen zu hören und wünsche Ihnen einen guten Start in den Dienstag. Viele Grüße, D


Der Empfänger kannte den Herrn B. und späteren Kläger des Rechtsstreits gegen die Bank und fragte bei ihm zurück. „Du?“ So bekam der Kläger – wie oft bei solchen Irrläufern – zufällig Kenntnis von der Datenpanne. Während das Landgericht nach erfolgloser Abmahnung und Klage auf Unterlassung, Kostenerstattung und Schadenersatz die Bank u.a. zu 1.000 Euro immateriellem Schadenersatz verurteilt hatte, hat der 13. Senat des Oberlandesgerichts Frankfurt am Main nun dieses Urteil des Landgerichts Darmstadt vom 26. Mai 2020 im Hinblick auf den Schadenersatz aufgehoben. Im Übrigen bestätigte er aber auch die Verurteilung der Bank zur Unterlassung und Kostenerstattung in Bezug auf die Anwaltskosten für die Abmahnung in Höhe von 1.025,55 € nebst Zinsen (OLG Frankfurt, 13. Zivilsenat, Urteil vom 02.03.2022, Az. 13 U 206/20 – noch nicht rechtskräftig).

Begründung des Senats stark verkürzt zusammengefasst: Zwar bestehe ein Unterlassungsanspruch, weil den Umständen nach aufgrund der persönlichen Bekanntheit des irrtümlichen Empfängers der über XING gesendeten Nachricht, dieser den Betroffenen „Herr B…“ anhand Name, Anrede und Kontext der Nachricht identifizieren konnte. Identifizierbar seien solche Nachrichten auch dann, wenn der Nachname häufig vorkommt. Es ist nämlich auch nicht erforderlich, dass die zur Identifizierbarkeit erforderlichen Informationen in den Händen einer einzigen Person befinden (vgl. EUGH, Urteil vom 20. Dezember 2017 – Rs. C-434/16, NJW 2018, 767 – Nowak). Es ist auch nicht erforderlich, dass die Identifizierbarkeit zweifelsfrei erfolgt, denn vorliegend ist es dem Dritten ja unmittelbar gelungen, den Kläger zu identifizieren, auch wenn er sicherheitshalber nachgefragt hat, indem er die Nachricht an ihn weitergeleitet hat und dazu die Frage schrieb: „Du?“

Der Kläger habe aber keinen immateriellen Schaden im Sinne von Art. 82 DSGVO vorgetragen. Damit folgt der 13. Senat der bei den Zivilgerichten vorherrschenden Auffassung, dass allein der Kontrollverlust und die Ungewissheit bei einer Datenpanne, wer die durch den Datenschutzverstoß erlangten Daten unbefugt genutzt oder sogar noch weitergegeben hat, kein ersatzfähiger immaterieller Schaden sei.

Anmerkung zum Urteil von Rechtsanwältin Hagendorff: Diese Sichtweise, es sei doch kein Schaden entstanden, erscheint hier nicht überzeugend. Denn der Kläger wurde ja nicht eingestellt und hatte die Ungewissheit, ob der Bekannte, der im Rahmen der Unternehmensgruppe seines Arbeitgebers arbeitete, die Daten vertraulich behandelte oder möglicherweise dem jetzigen Arbeitgeber einen Hinweis gegeben hat, dass der Kläger sich anderweitig bewerbe und mit welchen Gehaltsvorstellungen. Das wäre sicher für seine Karriere im Unternehmen seines bisherigen Arbeitgebers nicht förderlich, sondern eher schädigend gewesen. Wechselwillige Mitarbeiter werden nicht befördert und müssen berufliche Nachteile beim bisherigen Arbeitgeber erwarten. Es ist doch lebensfern, vom geschädigten Kläger zu erwarten, das dezidiert darzulegen, denn es liegt auf der Hand. Da es rechtswidrig weitergegebene Informationen sind, würde in so einem Fall ihm kaum jemand bei seinem Arbeitgeber darauf hinweisen. Nach Erwägungsgrund 146 S. 6 soll der immaterielle Schadenersatzanspruch sicherstellen, dass der verletzte Betroffene einen vollständigen und wirksamen Schadenersatz für den erlittenen Schaden erhält und dieser abschreckend sein soll. Im Ergebnis wird also der effektive Rechtsschutz entgegen dem Effektivitätsgebot und den Grundsätzen des EUGH zum „effet utile“ verkürzt auf die wenigen Fälle, in denen der Betroffene zufällig an die Informationen zum Schadenseintritt gelangt. Das erscheint mir nicht europarechtskonform und nicht sonderlich überzeugend zu sein. In der Praxis unterstützt das nämlich die Haltung, die leider in vielen Unternehmen und Behörden vorherrscht: Stößt man zufällig auf einen Datenschutzverstoß und macht die Löschung und einen Schadenersatzverstoß geltend, heisst es regelmäßig, es sei doch ein Versehen gewesen, ein Einzelfall und es sei doch „kein Schaden“ entstanden….Der Datenschutz wird ohne Sanktion eben nicht hinreichend ernst genommen. Dies hat hier auch die Beweisaufnahme durch Vernehmung des Zeugen beim Landgericht bestätigt: Es gab laut Gericht 1. Instanz keine richtigen Schulungsmaßnahmen oder anderweitige Vorkehrungen bei der Beklagten, die der betreffenden Mitarbeiterin oder weiteren Mitarbeitern effektive Maßnahmen an die Hand gegeben hätten, eine Wiederholung von Irrläufern und Pannen dieser Art zu vermeiden. Ohne Schadenersatzrisiken wird sich daran wahrscheinlich in Zukunft auch nicht viel ändern. Von dem Urteil des OLG geht daher das falsche Signal aus.

Auch das angeführte Argument, dass sonst ein Ausufern bei für den Betroffenen tatsächlich folgenlosen Datenpannen zu befürchten sei, geht an der Rechtswirklichkeit vorbei. Denn wegen des Aufwands eines Rechtsstreits sind nur wenige Betroffene bereit, in solchen Fällen zu klagen – jedenfalls solange es um verhältnismäßig geringe Beträge wie hier 1.000 Euro laut Landgerichts Urteil oder 2.500 Euro wie vom Kläger in der Anschlussberufung beantragt – geht.

Positiv aber ist, dass die häufig ebenfalls zu hörende Standardausrede, der Anspruch werde mißbräuchlich geltend gemacht, vom OLG auch nicht akzeptiert wurde und sowohl die Abmahnung als berechtigt und damit wenigstens auch die Anwaltskostenerstattung bestätigt worden ist (hier aus einem Streitwert von 15.000 € also 10.000 für die Unterlassung, 5.000 für die Auskunft). Möglicherweise hätte hier der Kläger zu seiner Angst vor beruflichen Nachteilen bei seinem bisherigen Arbeitgeber bei Kenntnisnahme von der Bewerbung näher vortragen sollen – so meint der Senat. Dass der Kläger sich mit solchen Darlegungen dann aber zusätzlich selbst weiter geschädigt hätte, obwohl dies naheliegt, hat der Senat hierbei aber nicht bedacht. Schließlich sind sowohl die mündlichen Verhandlungen öffentlich als auch die Urteile – auch wenn der Name der Parteien anonymisiert wird, wird er für Insider der Branche oft bekannt. Positiv ist auch, dass der Senat bestätigt hat, dass in Fällen wie diesen die Hinzuziehung eines Rechtsanwalts wegen der Schwierigkeit der Angelegenheit zur zweckentsprechenden Rechtsverfolgung erforderlich ist und dessen Kosten erstattungsfähig sind in der gesetzlichen Höhe nach dem RVG.

Eine Ausuferung von Schadenersatzklagen bei solchen Beträgen ist wegen des unverhältnismäßigen Aufwands nicht zu befürchten, wenn für Fälle dieser Art ein Schadenersatz von 1.000-2.000 Euro zu erstatten ist. Erst bei höheren Beträgen ziehen erfahrungsgemäß überhaupt eine relevante Anzahl von Menschen und Anwälten die Rechtsverfolgung und aufwendigen Klageverfahren in Betracht. Insgesamt überzeugt mich das Urteil aber wegen der Abweisung des immateriellen Schadenersatzes aber nicht.

Noch ein Hinweis: Wie das Gericht zu Recht anmerkt, sieht das Bundesarbeitsgericht, weitere Arbeitsgerichte und Oberlandesgericht München ebenfalls bereits den Kontrollverlust wegen einer unbefugten Weitergabe personenbezogenen Daten oder eine Datenschutzverletzung durch verspätete oder unvollständige Auskünfte nach Art. 15, 82 DSGVO als erstattungsfähigen immateriellen Schaden an und hat wegen der grundsätzlichen Bedeutung der Senat auch die Revision zum Bundesgerichtshof zugelassen. Die Frage ist also noch nicht abschließend geklärt. Zudem gibt es auch bereits einschlägige Vorlageverfahren beim Europäischen Gerichtshof dazu.

Kategorien
Blogroll Datenschutzrecht Schadenersatzrecht Schadensrecht Uncategorized Verbraucherschutz

Landgericht Mainz verurteilt Stromanbieter zu 5.000 Euro Schadenersatz wegen rechtswidriger Meldung an SCHUFA

Vorschnelle negative Schufa-Meldungen sind ein erheblicher Schaden für die Kreditfähigkeit eines Betroffenen. Die Voraussetzungen sind daher streng geregelt. Das Landgericht Mainz hat mit Urteil vom 12.11.2021 – Az. 3 O 12/20 einen Stromanbieter u.a. zur Zahlung von 5.000 Euro immateriellem Schadenersatz nach Art. 82 Abs. 1 DSGVO verurteilt, weil dieser vorschnell eine rechtswidrige negative Schufaeinmeldung als „uneinbringlich“ im Laufe eines gerichtlichen Mahnverfahrens veranlasst hatte. Es stellten sich Pannen im Vorverfahren heraus und der Vollstreckungsbescheid war noch nicht rechtskräftig. Der Stromanbieter und spätere Beklagte hatte zwar Mahnungen versendet und ein gerichtliches Mahnverfahren wegen der erfolglos angemahnten Stromrechnung durchgeführt, jedoch den Zugang der Mahnungen und Mahnbescheid sowie die nach § 31 BDSG vorgeschriebene vorherige Ankündigung der negativen Schufa-Einmeldung hatte der betroffene Kläger bestritten und konnte der Stromanbieter nicht beweisen, also wäre eine Einmeldung erst mit einem rechtskräftigen Vollstreckungsbescheid zulässig gewesen. Der Stromanbieter hat aber bereits zum Zeitpunkt des Erlasses des Vollstreckungsbescheids diese Einmeldung verfrüht und damit rechtswidrig bei der Schufa eingemeldet. Der klägerische Familienvater hatte glaubhaft versichert, dass er die Mahnungen mit Unterrichtung über den drohenden Schufa-Eintrag nicht erhalten hatte; der Mahnbescheid lag ihm auch nicht vor, den hatte wohl das Au-pair-Mädchen seiner Kinder angenommen, ihm aber nicht ausgehändigt. Nach Zustellung des Vollstreckungsbescheids hatte der Kläger die Forderung dann bezahlt, sodass sich er sich zu Recht gegen die Einmeldung als „uneinbringliche Forderung“ gewendet hat. Die Einmeldung war – so das Gericht – nicht aufgrund der Bestimmung des Art. 6 Abs. 1 lit f, Abs. 4 DSGVO zulässig. Zwar besteht ein erhebliches Interesse der Kreditwirtschaft an den Bonitätsdaten und somit ein erhebliches Informationsinteresse der Verkehrsteilnehmer, aber bei der gebotenen Interessenabwägung sind die Wertungen des § 31 BDSG zu berücksichtigen, die sicherstellen sollen, dass bei der Verarbeitung von Bonitätsdaten dem Schuldner vorher rechtliches Gehör gewährt wird und er innerhalb einer angemessenen Karenzzeit die Möglichkeit hat, den Eintrag zu vermeiden und vorher die Schulden zu begleichen. Hier war es so, dass die Stromrechnung von 493,81 € zwar angemahnt worden war, jedoch der Zugang einer vorherigen Ankündigung einer drohenden Schufa-Einmeldung nicht nachgewiesen werden konnte. Gleiches galt für die Zustellung des gerichtlichen Mahnbescheids. Die Einmeldung bereits zum Zeitpunkt des Erlasses des Vollstreckungsbescheids war unter diesen Umständen verfrüht. Mit Fehlern bei der Zustellung muss ein Absender rechnen, wenn ihm kein Zugangsnachweis vorliegt und damit war zur Überzeugung des Gerichts wegen der streitigen Zustellungspannen noch nicht sicher eine hinreichende Karenzzeit verstrichen, in der der klägerische Schuldner die Gelegenheit hatte, die Forderung zu begleichen. Diese Wertungen entnimmt das Gericht der Regelung des § 31 BDSG, weil darin die Voraussetzungen geregelt sind, unter denen Auskunftsdienste wie die SCHUFA AG  Bonitätsdaten nutzen und damit einen Scorewert erstellen und diesen beauskunften dürfen. Die Voraussetzungen des § 31 BDSG waren hier im Zeitpunkt der Einmeldung nicht hinreichend dargetan und bewiesen. Dies hätte der Stromanbieter bei gewissenhafter Prüfung erkennen müssen, insbesondere bei Titulierung mit dem Vollstreckungsbescheid dem Schuldner erst noch eine angemessene Karenzzeit zur Begleichung der Fordlerung einräumen müssen, nachdem er keine Beweise für den fehlerfreien Zugang der Mahnungen, Ankündigungen und des Mahnbescheids des Gericht vorliegen hatte.

Die Höhe des immateriellen Schadenersatzes nach Artikel 82 Abs. 1 DSGVO hat das Gericht hier mit 5.000 Euro bemessen. Aufgrund des Negativ-Eintrags bei der Schufa wurden dem Kläger die Kreditkarten gesperrt, die er beruflich benötigte, und drohte ihm eine Immobilienfinanzierung zu platzen. Deshalb erlitt er einen massiven immateriellen Schaden in Form des Verlusts der Bonität bei Kreditgebern durch einen negativen Scorewert bei der Schufa. Dieser Schaden war nach Ansicht des Gerichts auch zumindest fahrlässig verschuldet, weil nach Art. 82 Abs. 3 DSGVO eine Fahrlässigkeit vermutet wird, wenn nicht der Beklagte als verantwortliches Unternehmen Umstände darlegen und beweisen kann, die ihn entschuldigen. Mangels Beweisen für die behaupteten Mahnungen mit Unterrichtung über die drohende Schufa-Einmeldung und auch mangels Beweis für die Zustellung des Mahnbescheids, den der Kläger bestritten hatte, konnte der Stromanbieter somit das Vorliegen der Voraussetzungen der Einmeldung als „uneinbringliche Forderung“ nicht nachweisen. Eine Einmeldung nach § 31 Abs. 2 Nr. 4 BDSG, der die Voraussetzung der Verarbeitung von Bonitätsdaten durch Auskunftsdienste regelt, darf nur erfolgen wenn entweder nach Nr. 1 ein rechtskräftiges Urteil über eine offene Forderung vorliegt (der Vollstreckungsbescheid war bei Erlass hier noch nicht rechtskräftig, weil dagegen erst noch ein Einspruch zulässig ist) und nach § 31 Abs. 2 Nr. 4 BDSG ohne einen rechtskäftigen gerichtlichen Zahlungstitel folgende Voraussetzungen hätten vorliegen müssen, die hier auch nicht gegeben waren, nämlich:

  • der Schuldner nach Eintritt der Fälligkeit der Forderung mindestens zweimal schriftlich gemahnt worden ist,
  • die erste Mahnung mindestens vier Wochen zurückliegt,
  • der Schuldner zuvor, jedoch frühestens bei der ersten Mahnung, über eine mögliche Berücksichtigung durch eine Auskunftei unterrichtet worden ist und
  • der Schuldner die Forderung nicht bestritten hat

Daneben hat das Gericht den Stromanbieter auch verpflichtet, der Schufa Holding AG mitzuteilen, dass derjenige Zustand auch im Hinblick auf die Berechnung von Scorewerten wiederhergestellt werden soll, als habe es den näher bezeichneten Negativeintrag der Beklagten nicht gegeben. Das Urteil vom 12.11.2021 ist noch nicht rechtskräftig.

Wie viel Tage die Karenzzeit dauert, darüber hatte das Gericht hier nicht zu entscheiden. Aber unter Berücksichtigung der Wertungen des § 31 BDSG, auf die das Gericht im Rahmen der Auslegung der Rechtsgrundlage nach Art. 6 Abs. 1 lit.f DSGVO abstellt, hätte die für den Vollstreckungsbescheid vorgeschriebene Einspruchsfrist von 2 Wochen ab dessen Zustellung abgewartet werden müssen oder hätte der Stromanbieter Nachweise für mindestens 2 vorgerichtliche Mahnungen mit den nach § 31 BDSG vorgeschriebenen Zeitabständen und Ankündigung einer Meldung an die Schufa sicherstellen müssen, um Zustellungsfehler auszuschließen. Die 2 Wochen-Notfrist entspricht auch der Einspruchfrist gegen den Vollstreckungsbescheid nach §§ 700 i.V.m. 339 Abs. 1 ZPO, daher ist davon auszugehen, dass die angemessene Karenzzeit bei vorgerichtlichen unbestrittenen Mahnungen 2 x 2 Wochen ist und ansonsten im gerichtlichen Verfahren abgewartet werden muss, ob innerhalb der genannten Fristen Rechtsmittel gegen das Urteil oder den Vollstreckungsbescheid eingelegt wurde.

Kategorien
Blogroll Datenschutzrecht Internetrecht Medienrecht Uncategorized

OLG Frankfurt: Wahre Warnhinweise können rechtwidrig sein, es ist konkret abzuwägen…

OLG Frankfurt: Der wahre Warnhinweis gegenüber Werbepartnern über einen verurteilten Betrüger, er sei ein Betrüger kann rechtswidrig sein, wenn die Tat über 7 Jahre zurückliegt und keine aktuellen Verfehlungen ähnlicher Art hinzugetreten sind
Wenn es sich um Äußerungen mit ehrrührigen Meinungen oder Aussagen mit wahrem Tatsachenkern über ehemalige Geschäftspartner, handelnde Personen von Unternehmen oder Freunde handelt, dann können die Streitigkeiten schnell sehr hoch eskalieren. Die Frage, ob die Äußerung rechtswidrig war, erfordert dann aber neben einem Informationsinteresse des Erklärungsempfängers oder bei öffentlichen Posts dann eben der Öffentlichkeit – je nach Kontext der Äußerungen – nach ständiger Rechtsprechung eine Abwägung der widerstreitenden Grundrechte und Interessen. Konkrete Beispielsfälle und wie die Richter das beurteilen helfen hier allen weiter. Es kommt nicht selten zwischen ehemaligen Kunden, Mitarbeitern oder Ehepartnern, Freunden oder auch mit Angehörigen zu sehr heftigen Streitigkeiten, die für alle Seiten sehr belastend sind und auch fachanwaltlicher Betreuung und Beratung und Prozessvertretung bedürfen, um den Schaden zu begrenzen. Die Rechtsprechung ist hier von starkem Interesse, weil hier die Sach- und Rechtslage oft kompliziert zu beurteilen ist und leider viele Entscheidungen nicht veröffentlicht werden.
Nur etwa 1 % deutscher Urteile werden veröffentlicht und viele Rechtsstreitigkeiten enden auch durch außergerichtlichen oder gerichtlichen Prozessvergleich, sodass der größte Teil der Streitigkeiten und der gerichtlichen Einschätzung oder Entscheidungen gar nicht veröffentlicht wird siehe Bericht in LTO vom 02.07.2021 nach einer Studie – Details siehe https://www.lto.de/recht/justiz/j/studie-veroeffentlichung-gerichtsentscheidungen-deutschland-transparenz-justiz/ Das ist leider eigentlich rechtsstaatswidrig wie eine aktuelle Studie laut Beitrag bei der lto.de auch mit Hinweis auf die höchstrichterliche Rechtsprechung zur Wichtigkeit der Transparenz von gerichtlichen Entscheidungen Dr. Dr. Hanjo Hamann aktuell am 2.7.2021 berichtet hat in der Legal Tribune Online, jedoch tägliche Praxis, wobei hier negativ einige Gerichte mit nur äußerst wenigen Veröffentlichungen besonders auffallen wie etwa z.B. das Landgericht Gießen. Das war auch hier in einem Beispielfall, in dem immerhin aufgrund einer Berufung das Oberlandesgericht in einem ausführlich begründeten Prozesskostenhilfebeschluss die Sach- und Rechtslage ausführlich ausgeführt hat, das ursprüngliche Streitgericht. Leider kann wegen der identifizierenden Angaben der Beschluss nicht im Volltext veröffentlicht werden, aber:
Ich habe mir vorgenommen, Entscheidungen, die mir aus meiner Praxis vorliegen in hinreichend anonymisierter Form zu veröffentlichen, soweit nicht Interessen meiner Mandanten entgegenstehen.
Daher kann ich zumindest auszugsweise zwei Aussagen aus einem Prozesskostenhilfebeschluss des Oberlandesgerichts Frankfurt vom 07.05.2021 Az. 19 U 251/20 wiedergeben, die von allgemeinem Interesse sein dürften, und auf ihre Kernaussagen zusammenfassen:
1. Einer strafbewehrten Unterlassungserklärung kann nicht allein deswegen ein Mangel an Ernstlichkeit abgesprochen werden, weil sie nicht sofort nach Abmahnung und auch in der Mündlichen Verhandlung nach Widerspruch gegen eine einstweilige Verfügung ergeht. Auch noch in der Berufung kann die Wiederholungsgefahr auch durch eine arme Partei ausgeräumt werden. Auch eine arme Partei, die Prozesskostenhilfe benötigt, kann bei einer Unterlassungsklage wegen einer rechtwidrigen Äußerung den Schaden durch eine strafbewehrte Unterlassungserklärung begrenzen, so dass keine Verurteilung zur Unterlassung mehr begründet ist. Nur weil die arme prozesskostenhilfebedürftige Partei erkennbar keine Vertragsstrafe, zu der sie sich in der strafbewehrten Unterlassungserklärung nach ständiger Rechtsprechung verpflichten muss, derzeit nicht leisten kann, fehlt es nicht an der Ernstlichkeit. Es ist nicht ohne weiteres anzunehmen, dass die arme Partei weitere Schulden machen möchte. Für die Anschlussberufung ist der Berufungsführerin und Verfügungsbeklagte daher im Streitfall Prozesskostenhilfe zu bewilligen.
2. Insolvenz einer Person oder andere negative Tatsachen können Menschen in ihrem weiteren Lebensweg sehr stark beeinträchtigen und daher müssen mit dem Ziel, die Betroffenen nach einer längeren Wohlverhaltensphase wieder zu resozialisieren und ihnen eine neue Chance zu ermöglichen, negative Tatsachen, auch dann wenn sie wahr sind, geheim bleiben. Die wahre ehrrührige Aussage gegenüber Werbepartnern, dass der Kläger ein Betrüger sei, war in o.g. Beispielfall daher vom Oberlandesgericht vorläufig im Prozesskostenhilfebeschluss für die Beklagte als rechtswidrig eingestuft worden, weil die strafrechtliche Verurteilung bereits über 7 Jahre zurücklag und das Resozialisierungsinteresse des betroffenen Verfügungsklägers in der zu treffenden Abwägungsentscheidung insoweit überwiegt. Anders liegt der Fall allerdings, wenn die Verfehlungen aktuell andauern.

Wörtlich Zitat aus dem oben genannten Beschluss des Oberlandesgerichts Frankfurt vom 07.05.2021 Az. 19 U 251/20::“

…Im Streitfall ist das durch Art. 2 Abs. 1 Art. 1 Abs. 1 gewährleistete Interesse des Verfügungsklägers… auf Schutz seiner Persönlichkeit und seines guten Rufs mit dem in Art. 5 Abs. 1 GG verankerten Recht der Verfügungsbeklagten auf Meinungsfreiheit abzuwägen.

Dabei hängt zwar die Abwägung zwischen dem allgemeinen Persönlichkeitsrecht einerseits und der Meinungsfreiheit bei Tatsachenberichten auch vom Wahrheitsgehalt ab, und zwar in der Weise, dass wahre Aussagen in der Regel hingenommen werden müssen, auch wenn sie nachteilig für den Betroffenen sind (vgl. BVerfG NJW 1999, 1322; NJW 2012, 1500).

So liegen die Dinge hier. Die Verurteilung des Verfügungsklägers lag im Zeitpunkt der Äußerung sieben Jahre zurück. Unter diesen Umständen wiegt das Interesse des Verfügungsklägers schwer, nicht als ehemaliger Straftäter identifiziert zu werden, weil durch diese negative Qualifizierung seine Resozialisierung bedroht ist (vgl. MüKoBGB/Rixecker, 8. Aufl. 2018, Anh. § 12 Rn. 214). Ein berechtigtes Interesse kann die Verfügungsbeklagte demgegenüber nicht geltend machen. Dass man mit ihm allein wegen seiner Vergangenheit besser keine Geschäfte machen solle, ist kein Gesichtspunkt, den man dem berechtigten Resozialisierungsinteresse des Verfügungsklägers legitimer weise entgegensetzen kann. Es liegt auch kein Fall vor, dass einschlägige Verfehlungen Anlass gäben, die Vorstrafen des Verfügungsklägers in Erinnerung zu rufen…..“

Fazit: Wenn auch aktuell weitere Verfehlungen ähnlicher Art begangen wurden, wäre die Beurteilung anders ausgefallen. Darüber und weiterer Streitpunkte des Falles wollten die Parteien nicht weiter streiten und so kam es auf Anraten des Gerichts zu einem gütlichen Vergleich, der auch die Rücknahme der Schadenersatzklage umfasste. Die Parteien hier waren vorgerichtlich nicht anwaltlich beraten, daher konnten wir Anwälte die Sache nur gerichtlich vertreten und im Ergebnis mit einer für beide Seiten fairen Regelung nach Anraten des Gerichts in einem umfassenden Vergleich gütlich beilegen.

Wenn Sie fachanwaltliche Beratung in einer äußerungsrechtlichen Streitigkeit benötigen, berate ich Sie gerne mit allen Facetten, die so etwas umfasst!

Anmerkungen: die Parteien haben sich in dem äußerungsrechtlichen Verfahren sowie in der Schadenersatzklage zur Hauptsache gütlich geeinigt. Es gibt daher kein Urteil.

Kategorien
Blogroll Datenschutzrecht Internetrecht Schadensrecht Verbraucherschutz

#DSGVO: Bundesverfassungsgericht zur Vorlagepflicht bei Klageabweisung wegen immateriellem Schadenersatz nach Art. 82

Das Bundesverfassungsgericht (BVerfG) hat in einem Beschluss vom 14. Januar 2021 (Az.: 1 BvR 2853/19) einer Verfassungsbeschwerde stattgegeben und dem Amtsgericht Goslar aufgegeben, eine unionsrechtlich nicht geklärte Frage zur Schadenersatzpflicht bei Datenschutzverstößen von Unternehmen nach Art. 82 DSGVO dem Europäischen Gerichtshof (EUGH) zur klärenden Entscheidung vorzulegen. Indem das Amtsgericht über die entscheidungserhebliche Frage, ob die Schadenersatzpflicht nach Art. 82 DSGVO auch in Bagatellfällen besteht oder eine Erheblichkeitsschwelle als ungeschriebene Tatbestandsvoraussetzung zu statuieren ist, selbst entschieden hat, ohne die Sache dem EUGH vorzulegen, hat das Amtsgericht das Grundrecht des Klägers auf seinen gesetzlichen Richter nach Art. 101 Grundgesetz (GG) verletzt. Eine solche Erheblichkeitsschwelle findet sich nämlich nicht in der DSGVO und ist auch nicht den Erwägungsgründen zu entnehmen. Deshalb war dann nach Erschöpfung des Rechtswegs die Verfassungsbeschwerde erfolgreich.
Das Bundesverfassungsgericht hat nun dafür gesorgt, dass die praxisrelevante Frage nun endlich dem EUGH zur unionseinheitlichen Auslegung und klärenden Entscheidung vorgelegt wird. Der Amtsrichter hätte hier die noch nicht unionsrechtlich geklärte, hier aber entscheidungserhebliche Frage, ob ein Bagatellverstoß bestehend aus einer einzelnen Spam-E-Mail oder ähnliche Bagatellverstöße schadenersatzpflichtig nach Art. 82 DSGVO sind oder nicht, nach Art. 267 AEUV dem Europäischen Gerichtshof zur Entscheidung vorlegen müssen.
Den Hintergrund des Streits gut erklärt hat Rechtsanwalt Wybitul, der für seine internationalen Klienten mit seinem Team zunehmend mit der Abwehr von vielen Schadenersatzklagen bei der Kanzlei Latham & Watkins beschäftigt ist und dessen Mandanten ein hohes Interesse haben, Bagatellgrenzen, Rechtsmissbrauch und andere Argumente gegen die Schadenersatzklagen Betroffener bei Datenschutzverletzungen von großen Unternehmen zu Felde zu ziehen – hier https://www.cr-online.de/blog/

Hierbei muss ich sagen, dass es doch sehr erstaunlich ist, was die Richter in dem Bestreben, die Sache einfach arbeitssparend abzuweisen, alles als Bagatelle abtun… aber dazu an anderer Stelle…

Die Entscheidung wird aber noch weitere Folgen haben, nicht nur die Klärung der Frage zu der Erheblichkeitsschwelle: Im Zusammenhang mit den Schadenersatzklagen gibt es noch eine Reihe weiterer nicht geklärter Fragen zur Auslegung der DSGVO, insbesondere solche zur Auslegung der Auskunftsrechte des Betroffenen nach Art. 13-15 DSGVO. Sie sind weit gefasst und sollen es nach dem Erwägungsgründen dem Betroffenen ermöglichen, zu erfahren, wer auf welcher Grundlage personenbezogene Daten verarbeitet (Transparenzgebot) und deren Rechtmäßigkeit zu prüfen bzw. bei Datenschutzverstößen, die ihn geschädigt haben, wenigstens Schadenersatzansprüche nach Art. 82 DSGVO effektiv durchsetzen zu können (Stichwort informationelle Selbstbestimmung als Schutzgut von Art. 8 Grundrechtecharta (GrCH) sowie der DSGVO). Während bisher die deutsche Richterschaft mehrheitlich dem alten Konzept von der Persönlichkeitsrechtsverletzung, die nur bei schweren Eingriffen ein Schmerzensgeld auslöste verhaftet bleibt, versucht die DSGVO unserer zunehmenden Digitalisierung gerecht zu werden. Daher ist der DSGVO richtigerweise nach meiner Einschätzung keine solche Erheblichkeitsgrenze zu entnehmen, sondern sind diese Fragen einfach bei der Entscheidung über die Höhe der Entschädigung zu berücksichtigen. Während im Einzelfall eine E-mail oder andere Bagatellverstöße nicht schwerwiegend sein mögen, zahlen sich die massenweise rechtswidrige Weiterverarbeitung von personenbezogenen Daten in einem Kontrollverlust für jeden Einzelnen bemerkbar, der es ohne eine effektive Rechtsdruchsetzung auch kleiner Verstöße nicht wirksam eingedämmt werden kann. Es ist daher zu erwarten, dass nunmehr infolge dieses Paukenschlags des BVerfG nun in einer Reihe weiterer Schadenersatzklagen die Gerichte ihre Vorlagepflicht besser prüfen werden und weitere umstrittene Zweifelsfragen zur Auslegung und Reichweite der Auskunftsansprüche der DSGVO nach Art. 267 AEUV dem Europäischen Gerichtshof zur Klärung vorlegen müssen.

Kategorien
Datenschutzrecht Internetrecht Schadensrecht Uncategorized Verbraucherschutz Vertragsrecht

#DSGVO-Beschwerde und #Schadenersatzdurchsetzung: hier Durchsetzung bei Datenpanne ist für Verletzte schwierig

Datenpannen passieren häufig im Ausland und zuständige federführende Aufsichtsbehörden nach der DSGVO sind oft ebenfalls nicht in Deutschland. Betroffene, die Auskunfts- und Schadenersatzansprüche gegen den Verantwortlichen und/oder Auftragsverarbeiter nach Art. 82 DSGVO durchsetzen wollen, bzw. Unternehmen, die nach einer solchen Panne sich fragen, was sie konkret mitteilen müssen, haben derzeit daher an 2 Fronten zu kämpfen. Einmal bei den Zivilgerichten, die die Auskunfts-, Darlegungs- und Beweisgrundsätze bisher nicht einheitlich und zum Teil entgegen Art. 82 DSGVO und den nach Erwägungsgrund 146 DSGVO zu beachtenden Effektivitätsgrundsätzen restriktiv auslegen. So hat das Landgericht Frankfurt, und zwar einmal die 27. Zivilkammer mit Urteil Landgericht Frankfurt/Main Az. 2-27 O 100/20 und in einem Parallelfall eines anderen Klägers nunmehr erneut die 30. Zivilkammer mit etwas anderem Tatbestand mit Urteil vom 18.01.2021 20210118_anonym.LG Ffm Urteil 18.01.2021 15+82 DSGVO_Geschwärzt eine Auskunfts- und Schadenersatzklage gegen die in Belgien sitzende Mastercard Europe SA im Zusammenhang mit dem Databreach aus August 2019 im Rahmen des Mastercard Priceless Specials Germany Bonusprogramms abgewiesen (nicht rechtskräftig). Der Kläger wird in die Berufung gehen. Update 6.2.2021 Letzter Stand der Klägerseite hier: Tatbestandsberichtigungsantrag ist fristgemäß gestellt, weil es hier offensichtliche Unrichtigkeiten im Tatbestand gibt. Den Auskunftsantrag (Mastercard hat verspätet und unvollständig beauskunftet und will die konkreten Serviceprovider nicht angeben, bzw. hat erst in der Klageerwiderung die Namen „Brain Behind Ltd und Brain Behind GmbH“ vorgetragen, wobei unklar blieb, bei wem genau das unsichere Administratorpasswort den unbefugten Zugriff auf die Systeme der „BB“ 2019 ermöglicht hat. Ferner ist es so, dass es eine „Brain Behind GmbH“ ausweislich des Handelsregisters weder in Deutschland und ebenso auch nicht in Österreich gibt, wie man dem amtlichen firmenbuch.at entnehmen kann). Der Streitfrage ging das Gericht damit überraschend aus dem Weg, indem es im Urteil plötzlich meinte, es sei nicht ersichtlich, wieso die GmbH nicht identifizierbar sei und eine Pflichtverletzung von Mastercard sei „nicht indiziert.“ Der Kläger hatte vorgetragen, dass diese Angaben unklar sind und deshalb in der mündlichen Verhandlung den Auskunftsantrag nicht für erledigt erklärt. Die Beklagte hatte sich auch gar nicht damit verteidigt, das sei erledigt, denn man müsse diese nicht konkret angeben. Damit war diese rechtliche Streitfrage an sich zu entscheiden, die in der Praxis auch hoch relevant ist, ob – jedenfalls nach einer Datenpanne – nach Art. 12, 15 Abs. 1 lit.c DSGVO der Serviceprovider, der als Auftragsverarbeiter und damit „Empfänger“ der Kundendaten involviert war, konkret zu benennen ist. Mit vagen Angaben wie hier, kann ein geschädigter Betroffener nichts anfangen, daher (so auch die herrschende Meinung in der für das Gericht natürlich zitierten Kommentarliteratur mit allen Argumenten) konkret anzugeben, jedenfalls spätestens nach einer Datenpanne und ausdrücklicher DSGVO-Auskunftsanfrage des betroffenen Kunden. Mal sehen, ob das Gericht die offenbaren Unrichtigkeiten nun auf Antrag im Tatbestand berichtigen wird, damit in der II. Instanz das Gericht wenigstens den Sachverhalt richtig versteht, über den es zu befinden haben wird….Puh.

Die andere Baustelle ist die Erlangung von näheren Informationen und Akteneinsichten bei den Aufsichtsbehörden, die für die Beschwerde- und Bussgeldverfahren nach einer Datenpanne zuständig sind. Auszug aus meiner Korrespondenz mit dem HBDI (Hessischer Beauftragter für Datenschutz und Informationsfreiheit):
UPDATE VOM 09.02.2021: Nun liegt eine neue Antwort des HBDI vor:

Sehr geehrte Frau Rechtsanwältin Hagendorff,

die belgischen Kollegen haben mir mitgeteilt, dass die Untersuchungen noch andauern und die Daten zum Verfahren derzeit nach belgischem Recht vertraulich sind. Entsprechend wurde auch mir keine weitere Auskunft erteilt und so kann ich Ihnen auch keine weiteren Informationen zur Verfügung stellen.

Mit freundlichen Grüßen
Im Auftrag

……….
—–Meine E-mail an das HBDI in einem Beschwerdeverfahren einer Klientin gegen Mastercard Europe SA:
Sehr geehrter Herr……,
danke für Ihre E-mail vom 20.10.2020 zum Akteneinsichtsgesuch …und ich habe die Angelegenheit inzwischen nochmals geprüft.

Wenn die Akte zum Beschwerdeverfahren zu o.g. Az. nur meine Eingaben enthält, wird auf die Akteneinsicht selbstverständlich verzichtet.
Aber ich möchte Sie bitten, gemäß Art. 77 Abs. 2 DSGVO i.V.m. § 19 Abs. 2 S.3 BDSG uns den Informationsstand und das Ergebnis oder hilfsweise das Zwischenergebnis des Beschwerdeverfahrens bei der federführenden Aufsichtsbehörde in Belgien mitzuteilen. Nach § 19 Abs. 2 S. 3 BDSG soll dann, wenn wie hier die Verantwortliche in Deutschland keinen Sitz und keine Niederlassung hat, die Aufsichtsbehörde hier als empfangende Behörde dem Beschwerdeführer über das Ergebnis des Verfahrens informieren, d.h. soweit das Verfahren abgeschlossen ist, den Beschluss der Belgischen Aufsichtsbehörde mitteilen oder falls es noch nicht abgeschlossen ist, zumindest den Zwischenstand über die Erkenntnisse, die zur Datenpanne geführt haben.

Nach § 19 Abs. 2 Satz 3 BDSG weist der deutsche Gesetzgeber die nach der DSGVO zugewiesenen Aufgaben der Aufsichtsbehörde, bei der die Beschwerde eingereicht wurde, kraft Gesetzes der „empfangenden Aufsichtsbehörde“ zu. Das bedeutet, dass die Zuständigkeiten gebündelt werden, damit die Aufsichtsbehörde den Verletzten nicht an ausländische Aufsichtsbehörden verweisen kann. [Vermerk: Ausserdem ist sie zur Kooperation und Weiterleitung einer Beschwerde an die federführende Aufsichtsbehörde in der EU verpflichtet, At. 60ff DSGVO]. Damit verleiht das BDSG dem Grundgedanke der DSGVO, dass der Betroffene bei der Aufsichtsbehörde seiner Wahl in Deutschland Beschwerde einlegen kann, damit er nicht auf eine Aufsichtsbehörde im Ausland verwiesen werden kann, ihre Wirkung (vgl. sinngemäß so auch Hellmich in Taeger/Gabel, DSGVO.BDSG, 3. Auflage, Rn. 7 zu BDSG § 19 m.w.N.). Das bedeutet, dass das HBDI vorliegend die Kommunikationsaufgaben, sprich Information über das Ergebnis des Verfahrens oder bei überlanger Dauer wie hier zumindest den Stand und Zwischenergebnis des Verfahrens zu unterrichten hat. Wäre der Betroffene auf die Durchsetzung von Informations- und Akteneinsichtsersuchen bei der ausländischen federführenden Behörde angewiesen, würde dies dem Grundgedanken der DSGVO widersprechen, die aus Gründen der Fairness und des europarechtlichen Grundgedankens des effet utile die praktische Durchsetzung seiner Informations- und Abwehrrechte gegen unrechtmäßige Verarbeitungen überhaupt erst ermöglichen sollen. Dies ist gerade bei grenzüberschreitenden Datenverarbeitungen, die hier auch die Kreditkartenumsätze umfassen, die zweckentsprechend zum Gutschreiben der Coins im Bonusprogramm automatisch abgeglichen und somit miteinander vernetzt gewesen sein dürften, nur praktisch möglich, wenn § 19 Abs. 2 S. 3 BDSG wie vom Gesetzgeber beabsichtigt, dem Betroffenen die deutsche Aufsichtsbehörde sichert, auch wenn federführend eine ausländische Aufsichtsbehörde zuständig ist nach den Art. 60ff DSGVO.

Nach nochmaliger Prüfung der Sach- und Rechtslage ist es demnach nicht statthaft, die Beschwerdeführerin auf die ausländische federführende Aufsichtsbehörde vorliegend zu verweisen oder bis zum rechtskräftigen Abschluss etwaiger Zivilklagen mit dem Bericht das Verfahren auszusetzen.

Wie dargelegt, besteht der Verdacht, dass Mastercard Europe SA oder deren Auftragsverarbeiter die Datenpanne durch unzureichende Datensicherheitsmassnahmen nach Art. 32 DSGVO z.B. durch ein unsicheres Administratorpasswort eines Auftragsverarbeiters, das höchstwahrscheinlich entdeckt worden wäre, wenn die nach der PCI-DSS v3.2.4 abrufbar in Deutsch und in Englischer Sprache unter https://www.pcisecuritystandards.org/document_library auf S. 128 vorgeschriebenen Penetrationstests alle 6 Monate durchgeführt worden wären.
Auf S. 128 der vorgenannten Payment Card Informationsystem Data Security Standards heisst es unter 11.2.4.1. „Additional requirement for service providers only: If segmentation is used, confirm PCI DSS scope by performing penetration testing on segmentation controls at least every six months and after any changes to segmentation controls/methods.“
Diese Vorgabe ist nach meinen Informationen seit Februar 2018 in Kraft und die Einhaltung der PCI-DSS waren hier wegen der Vernetzung mit dem Zahlungssystem zwischen Mastercard und Brain Behind auch vereinbart.

Mastercard hat keine Auskunft über die genauen Empfänger der Brain Behind Gruppe erteilt (also wer genau wo aus der Gruppe die Kundendaten für das Bonusprogramm verarbeitet hat), sodass Name und Anschrift des Auftragsverarbeiters, bei dem die Datenabfluss stattgefunden hat z.B. wegen unzureichender Schutzmassnahmen und Penetrationstests hier nicht vorliegen. Handelt es sich um die aus dem Imprint von brain-behind.com veröffentlichte Brain Behind Ltd?
Die Anschrift dort ist laut Impressum (Inprint):
Brain Behind Ltd.
30 Moorgate
London, EC2R 6PJ, United Kingdom
xxxxxxxxxx
Phone: +44xxxxx

Ist es korrekt, dass dort ein unsicheres Administratorpasswort den Zugriff auf die geleakten Kundendaten aus dem Mastercard Priceless Specials Databreach in 2019 durch unbekannte Dritte ermöglicht haben?
Dies müsste doch unzureichende Datensicherheitsmassnahmen indizieren, weil für das Bonusprogramm laut unseren Informationen zwischen Mastercard Inc oder Mastercard Europe SA für das Mastercard Priceless Specials die Einhaltung der Sicherheitsmassnahmen nach den Vorgaben der PCI-DSS vereinbart war. Letztere sehen alle 6 Monate Penetrationstests vor.

Die fehlende Auskunft über den Empfänger entgegen Art. 15 Abs. 1 c DSGVO dürfte ebenfalls ein Verstoß beinhalten, denn Mastercard hat dazu keine Auskünfte erteilt, weder in der Datenschutzerklärung noch in der Meldung zur Datenpanne noch nachdem sie zur Auskunft aufgefordert wurde und hat Ende 2019 nur pauschal auf die Datenschutzerklärung verwiesen und ein Verschulden zurückgewiesen. Mit vagen Auskünften, es seien die Daten in Grossbritannien von einem Auftragsverabeiter verarbeitet worden, kann der Verletzte nichts anfangen. Der Begriff des Schadens [und die Auskunftsansprüche des Betroffenen nach den 12ff. DSGVO) sollte im Lichte der Rechtsprechung des Gerichtshofs weit auf eine Art und Weise ausgelegt werden, die den Zielen dieser Verordnung in vollem Umfang entspricht.

Der Beschwerdeführerin ist auch ein immaterieller und ein materieller Schaden i.S. von Art. 82 Abs. 1 DSGVO entstanden. Der Begriff des Schadens sollte im Lichte der Rechtsprechung des Gerichtshofs weit auf eine Art und Weise ausgelegt werden, die den Zielen dieser Verordnung in vollem Umfang entspricht (ErwG 146 S.3 DSGVO). Zum Schaden gehört im Lichte der Grundfreiheiten auch der Kontrollverlust, der entsteht, wenn bei einer Datenpanne nicht der Verletzte informiert wird, wie es zu der Datenpanne kam und bei wem die Daten, insbesondere Empfänger/Auftragsverarbeiter der Verantwortliche die Kundendaten hat verarbeiten lassen. Der Betroffene (Verletzte i.S. der DSGVO) hat sonst nicht die Möglichkeit, ggfs. auch gegenüber dem Auftragsverarbeiter mangels Namen und Anschrift seine Rechte geltend zu machen, z.B. eine Streitverkündung im Zivilrechtsstreit zu ermöglichen oder Auskunftsansprüche nach Art. 15 DSGVO geltend zu machen. Nach überwiegender Auffassung der Kommentarliteratur muss sinnvollerweise also der Auftragsverarbeiter konkret nach einer Datenpanne benannt werden, identifizierbar und das hat Mastercard gegenüber der Beschwerdeführerin nicht getan. Es ist auch nicht eindeutig anhand Ihrer Auskünfte ersichtlich bisher. Die Mastercard Priceless Specials Germany Bonusprogramm hinterlegte Mastercard Kreditkarte von xxxxx xxx wurde wie in der Beschwerde dargelegt von ihrem Kreditinstitut aus Anlass der streitgegenständlichen Datenpanne vorsorglich im September 2019 gesperrt und ausgewechselt. Auch der Kontrollverlust bei einer unbefugten Weitergabe oder wie hier sogar Veröffentlichung durch anonyme Dritte ist ein Schaden [Vermerk: 85 S.2 ErwG: Die Menschen sollten die Kontrolle über ihre Daten besitzen und sich effektiv gegen unrechtmäßige Datenverarbeitung schützen können vgl. ErwG 7 der DSGVO.] Hier ist der Verdacht begründet, dass neben den Kontaktdaten auch die Kreditkartenumsätze geleakt worden waren, die eine Profilbildung ermöglichen. Zudem konnte sie infolge der Kreditkartenauswechselung zwar einer möglicherweise drohenden Kreditkartenbetrug verhindern, aber wegen des inzwischen gesperrten Portals keine weiteren Coins mit der neuen
Kreditkarte sammeln, weil die neue Mastercard nunmehr nicht mehr auf der gesperrten Seite des Mastercard Priceless Specials Programms hinterlegt werden konnte.

Bitte erteilen Sie bitte daher nunmehr die Auskünfte über das Ergebnis oder zumindest Zwischenstand der Ermittlungen, wer und was zu der Datenpanne geführt hat. Rein vorsorglich rüge ich nochmals auch nach § 46 OwiG i.v.m. § 198 GVG, dass ansonsten der Beschwerdeführerin ein weiterer Schaden entsteht, wenn sie gegenüber Mastercard und Brain Behind mangels ausreichender Auskünfte nicht ihre Rechte auf Schadenersatz auf dem Zivilrechtswege durchsetzen kann.
Wegen der Vielzahl der Betroffenen und Beschwerden dürfte es hier auch nicht unverhältnismäßig sein, wenn das HBDI diese Auskunft den Betroffenen Beschwerdeführern erteilt.
Würde Mastercard sich mit pauschalen Schutzbehauptungen bei einer Datenpanne wie geschehen wehren können, ohne transparente Informationen über das Ergebnis der Ermittlungen zur Datenpanne zu leisten gegenüber den geschädigten Kunden, dann hätte das verheerende Signalwirkung.

Freundliche Grüße

Stefanie Hagendorff
Rechtsanwältin

Am Straßbach 2
(Eingang Pfingstweide)
D-61169 Friedberg (Hessen)

Am 20.10.2020 um 08:41 schrieb x@datenschutz.hessen.de:
> Sehr geehrte Frau Rechtsanwältin Hagendorff,
>
> zu der Beschwerde von xxx sind in der Akte lediglich Ihr Beschwerdeschreiben vom 20.12.2019, Ihre weitere Email vom 23.07.2020 und meine Antwort vom 28.07.2020 enthalten. Der Akteninhalt liegt Ihnen daher vollständig vor. Sollten Sie dennoch ihren Antrag auf Akteneinsicht aufrechterhalten, bitte ich um einen Hinweis.
>
> Mit freundlichen Grüßen
> Im Auftrag ….
> ——————————————————————————–
> Der Hessische Beauftragte für Datenschutz und Informationsfreiheit
> Gustav-Stresemann-Ring 1
> 65189 Wiesbaden
————

Kategorien
Blogroll Datenschutzrecht Schadensrecht Uncategorized Verbraucherschutz

DSGVO-Schadenersatzklagen nach Datenpanne gegen Verantwortliche nicht rechtsmissbräuchlich

Ich habe am 19.11.2020 mit meinem Mandanten einen Termin vor dem Landgericht Frankfurt wahrgenommen, in dem es um eine Klage wegen unzureichender Auskunft nach Art. 15 DSGVO und Schadenersatz nach Art. 82 Abs. 1 DSGVO gegen die Mastercard Europe SA (mit Sitz in Waterloo, Belgien) ging, die im Sommer 2019 im Rahmen ihres Bonusprogramms Mastercard Priceless Specials eine Datenpanne erlitt. Der Kläger wirft der Beklagten vor, die Pflicht zur Auskunft über die Empfänger nicht konkret erfüllt zu haben, denn nach den bisherigen Informationen war Ursache des Hacks ein leicht zu erratendes Standardpasswort eines Administrators der Plattform für das Bonusprogramm. Das bedeutet, dass pflichtgemäße Penetration Tests, die nach den branchentypischen Sicherheitsstandards (Payment Card Industry Data Security Standards -PCI DSS v.3.2.1 vom Mai 2018) alle 6 Monate hätten stattfinden müssen, die Datenpanne höchstwahrscheinlich verhindert hätten. Die Beklagte hat diese jedoch nicht konkret dargelegt und unter Beweis gestellt. Auch bleibt unklar, wer eigentlich die Vertragspartner und Betreiber des Bonusprogramms waren. Wenn die Muttergesellschaft aus den USA den Dienstleister ausgesucht und unzureichend kontrolliert hat, wäre dies ebenfalls eine Schadensursache, die auf DSGVO Verstößen beruht, weil die DSGVO sowohl die Auslagerung auf eine US-amerikanische Mutter unter dem Vorbehalt einer Rechtsgrundlage und geeigneter Garantien für dieses Outsourcing unterwirft und nach Art. 28 DSGVO der Dienstleister, der personenbezogene Daten verarbeitet, hinreichend schriftlich verpflichtet und kontrolliert wurde.
Die Beklagte hat sich hier u.a. damit verteidigt, die Klage sei rechtsmißbräuchlich, man müsse die Auftragsverarbeiter nicht konkret benennen, und nach den allgemeinen Darlegungs- und Beweislastregeln habe der Kläger zu beweisen, durch welche Pflichtverstöße konkret die Schäden verursacht seien. Der Artikel 82 Abs. 3 DSGVO sei nicht so wörtlich zu nehmen, wenn dort stehe, dass der Verantwortliche nur von einer Haftung frei kommt, wenn er nachweist, dass er in keinerlei Hinsicht für den Schaden verantwortlich ist. Ferner seien die Schäden wie der Kontrollverlust über die Risiken für den Kläger nach Meldung der Datenpanne und Veröffentlichung in einer großen Datenbank, die Besorgnis über Identitätsdiebstahl, Profilbildung zum Nachteil des Betroffenen, die Spamnachrichten und Spamanrufe kein ersatzfähiger Schaden. Demgegenüber hatte der Kläger argumentiert: Bei der Produkthaftung oder in Filesharing-Fällen hat die Rechtsprechung ebenfalls die Anforderungen an die Darlegung und Beweislast zu Lasten desjenigen, der die Gefahrenquelle beherrscht, verschoben, daher ist das nicht systemwidrig, sondern erforderlich, um dem Datenschutz wirksam zur Geltung zu verhelfen und die DSGVO normiert klar, dass die Betroffenenrechte wie Auskunft und Schadenersatz wirksam sein müssen und hierbei auch ein immaterieller Schadenersatz z.B. für den Kontrollverlust über seine personenbezogenen Daten bei einer Datenpanne vorsieht.
Den Argumenten der Verteidigung stimmte die erkennende Richterin nach Anhörung des Klägers zu den Spamanrufen und Diskussion in einigen Punkten ausdrücklich nicht zu. Zum einen sei es für sie ganz klar nicht rechtsmißbräuchlich, wenn Betroffene nach einer Datenpanne und Veröffentlichung von Kundendatenbanken ihre Rechte auf Auskunft und Schadenersatz gegen die Verantwortlichen nach der DSGVO geltend machen und sie verstehe nicht, warum denn nicht die Mastercard Europe SA wenigstens pauschal ein Friedensangebot in Höhe von z.B. 150 Euro Entschädigung gemacht habe. Belästigende Spamanrufe, die unmittelbar nach der Veröffentlichung einsetzten und erst vor ca. 3 Monaten wieder aufhörten, scheinen doch recht klar im Zusammenhang mit der Veröffentlichung der Kundendatenbanken aus dem streitgegenständlichen Mastercard Priceless Specials Programm zu stehen und die Beklagte war für die Sicherheit des Bonusprogramms verantwortlich. Ob auch die beantragte Enschädigung für die 950 Coins, die der Kläger ebenfalls in Höhe von 1 Euro je Coin geltend macht, weil inzwischen im Gegensatz zu den Angeboten bekannter Marken vor der Datenpanne nur noch recht wertlose Einlösemöglichkeiten von unbekannten Anbietern angeboten werden, ist noch ungewiss. Wie genau das Gericht entscheiden wird, wird spannend.
Termin zur Verkündung einer Entscheidung ist am 18.01.2021.

Update 03.02.2021: Das Landgericht hat in dieser Sache die Klage – wie ich finde zu Unrecht – abgewiesen, der Beklagte beabsichtigt dagegen Berufung einzulegen. Volltext des Urteils siehe hier.

Kategorien
Blogroll Datenschutzrecht Schadensrecht

Bank muss 1.000 Euro Schadenersatz + Anwaltskosten an Bewerber wegen Datenschutzverstoß zahlen

Zu diesem Beitrag gibt es ein update : Das OLG Frankfurt hat das Urteil nämlich teilweise wieder aufgehoben. Dazu siehe hier.
——–
Wie das Landgericht Darmstadt mit Urteil vom 26.05.2020, Az.: 13 O 244/19 entschied, muss eine Bank wegen Datenschutzverstößen nach versehentlicher Versendung von beruflichen personenbezogenen Daten mit Gehaltsverhandlungen im Rahmen eines Bewerbungsverfahrens via XING an den falschen Empfänger und falschem Umgang mit dieser Datenpanne einen immateriellen Schadenersatz von 1.000 Euro nach Art. 82 Abs. 1 DSGVO zahlen.
Der betroffene Bewerber erfuhr hiervon, weil der unbeteiligte Dritte, der die Nachricht versehentlich erhielt, die Person des Bewerbers identifizieren konnte und ihn benachrichtigt hat. Obwohl der betroffene Bewerber die Bank hierauf umgehend noch am gleichen Tag des 23.10. ansprach, folgte eine Benachrichtigung des Dritten, dass er die Daten nicht weiter verarbeiten solle erst im Dezember des gleichen Jahres. Ferner habe man entgegen Art. 34 DSGVO den Bewerber nicht unverzüglich benachrichtigt, sondern umgekehrt musste er von Drtitter Seite davon erfahren.
Das Landgericht Darmstadt stellt in dem Urteil klar, dass nicht erst, wenn tatsächlich berufliche Nachteile verursacht werden und zu materiellen Einbußen führen, ein immaterieller Schaden verursacht wird, sondern bereits mit dem Kontrollverlust wegen Weiterleitung privater beruflicher Informationen an Dritte und der Befürchtung, dass hierdurch Nachteile entstehen, ein ersatzfähiger Schaden nach Art. 82 Abs.1 DSGVO begründet ist. Das Recht auf Informationelle Selbstbestimmung soll auch den Kontrollverlust bei illegitimer Verbreitung von persönlichen Daten schützen. Ein solcher Schaden ist daher nicht erst dann entstanden, wenn etwa tatsächlich der bisherige Arbeitgeber davon erfährt, dass ein Mitarbeiter sich anderweitig bewirbt, sondern auch dann, wenn solche Schäden aufgrund des Kontrollverlusts zu befürchten sind. Der Empfänger arbeitete in der gleichen Branche innerhalb der Unternehmensgruppe des bisherigen Arbeitgebers, daher war diese Befürchtung im Streitfall auch nicht abwegig. Wegen des hohen Stellenwerts der in Art. 8 der Grundrechtecharta geschützten informationellen Selbstbestimmung ist bereits der Kontrollverlust bei Weiterverbreitung privater beruflicher Informationen an unbeteiligte Dritte ein Schaden entstanden und nicht erst, wenn der Betroffene tatsächlich nachweisbare materielle Vermögenseinbussen erleidet.
Gleichfalls zu erstatten hatte die beklagte Bank auch die Kosten der vorgerichtlichen anwaltlichen Abmahnung, wobei die Beklagte nur eine auf Verbreiten der konkreten Nachricht bezogene strafbewehrte Unterlassungserklärung abgab. Auch das war nach Ansicht des Landgerichts Darmstadt zu eng, daher wurde mangels Ausräumung der Wiederholungsgefahr die beklagte Bank auf Antrag des Klägers auch auf Unterlassung verurteilt, „…es künftig zu unterlassen, personenbezogene Daten über den Kläger, die im Zusammenhang mit seiner Bewerbung bei der Beklagten stehen, zu verarbeiten / verarbeiten zu lassen, wenn dies geschieht wie in der Nachricht über das Portal XING an Herrn W am 23. Oktober 2018…“
Quelle zum Urteil und Volltext via Media Kanzlei – https://www.media-kanzlei.com/news/blog-artikel/media-kanzlei-erwirkt-erfolgreich-schmerzensgeld-nach-art-82-ds-gvo/?s=03

Kategorien
Blogroll Datenschutzrecht Uncategorized

Anspruch des betroffenen Patienten auf kostenlose Kopie der Patientenakte nach Art. 15 III DSGVO geht Kostenregelung nach § 603g BGB vor

Das LG Dresden, hat mit Urteil vom 29.05.2020 – 6 O 76/20 entschieden, dass ein Patient einen Anspruch auf eine kostenlose Kopie seiner Daten aus der Patientenakte gegen die Klinik nach Art. 15 Abs. 3 DSGVO zusteht. Die Regelung des § 603 g DSGVO, wonach dies nur gegen einen Kostenbeitrag verlangt werden könne, geht nicht als Spezialgesetz vor, weil die DSGVO vorrangig ist und diesbezüglich keine Öffnungsklausel für anderslautende nationale Regelungen besteht. Art. 15 DSGVO setzt keine Gründe für die Geltendmachung voraus und zudem ist jeder Betroffene ohne weiteres berechtigt, über die ihn betreffenden personenbezogenen Daten und zu welchen Zwecken sie von wem wie verarbeitet worden sind, auf Verlangen Auskunft zu erhalten und nach Art. 15 Abs. 3 DSGVO eine kostenlose Kopie hierüber zu erhalten.
Dies ist auch nicht rechtsmissbräuchlich, selbst wenn der Auskunftsanspruch nur deshalb geltend gemacht wird, um einen Schadenersatzklage wegen ärztlicher Behandlungsfehler vorzubereiten.
Der Streitwert des Verfahrens betrug nach der Festsetzung des Gerichts 6.000 Euro.Volltext abrufbar unter https://openjur.de/u/2295031.html?s=03

Kategorien
Blogroll Datenschutzrecht

#Whistleblower-Richtlinie kommt – und #DSGVO #Compliance Risiken steigen

In Deutschland kämpfen die meisten Unternehmen mit der Umsetzung der europäischen Datenschutz-Grundverordnung (DSGVO). Nur jede fünfte Firma hat die seit 25.05.2018 gültige EU-DSGVO vollständig umgesetzt und auch Prüfprozesse für ein risikobasiertes, angemessenes Datenschutz- und Datensicherheitsmanagement, wie es die DSGVO vorschreibt, eingerichtet.
37 Prozent haben die Verordnung laut einer Umfrage des Digitalbranchenverbandes Bitkom aber immerhin „größtenteils umgesetzt“, die bitkom am 29.09.2020 veröffentlicht hat.
Das ist bei den sehr unterschiedlichen Signalen, die die zuständigen Aufsichtsbehörden einerseits und der deutsche Gesetzgeber mit nationalen Gesetzes Änderungen, die gerade für KMU die Pflichten und Sanktionen stark absenken sollen, und den großen Herausforderungen, die sich in der Praxis für die Unternehmen im Bereich Kundendaten, Mitarbeiterdaten, Bewerberdaten stellen, kein Wunder. Einerseits gibt es je nach Art und Schwere sowie weltweiter Umsatz des betroffenen Unternehmens bzw. Unternehmensgruppe drakonische Bußgelder wegen Verstößen gegen die DSGVO. So hat zuletzt der Hamburger Datenschutzbeauftragte ein Bußgeld von 35.258.708 Euro gegenüber einer Verarbeitung von intimen privaten Mitarbeiterdaten ohne Rechtsgrundlage gegenüber H&M Hennes & Mauritz Online Shop A.B. & Co.KG mit Sitz in Hamburg verhängt. Dies war ein relativ schwerer Verstoß gegen die Grundsätze, Daten für festgelegte Zwecke nur mit einer legitimen Rechtsgrundlage zu verarbeiten (Art. 5 und Art. 6 DSGVO). Dazu und eine Übersicht über die offiziell bestätigten Bußgelder findet sich auf https://www.enforcementtracker.com/
Das Risiko für Bußgelder, Schadenersatzklagen und nicht zuletzt erhebliche Rufschäden betroffener Unternehmen steigt aus mehreren Gründen. Einer davon ist, dass die EU mit der Whistleblower Richtlinie vom 23.10.2019 – EU 2019/1937 den Staaten auferlegt hat, den Unternehmen ab 50 Mitarbeitern oder Unternehmen aus den Bereichen kritischer Infrastrukturen auch unabhängig von der Mitarbeiterzahl die gesetzliche Pflicht aufzuerlegen, ein System zur anonymen Meldung von Verstößen des Unternehmens gegen EU-Recht einzurichten. Denn dadurch steigt zusätzlich das Risiko, dass Datenschutzverstöße von Mitarbeitern gemeldet werden, wenn sie Nachteile bei der internen Meldung an ihren Arbeitgeber fürchten müssen.
Zwar gilt die Whistleblower-Richtlinie noch nicht unmittelbar, sondern verpflichtet derzeit noch den nationalen Gesetzgeber, diese in nationales Recht umzusetzen, aber sollte der deutsche Gesetzgeber dies nicht oder nicht EU-rechtskonform in der Umsetzungsfrist bis 17. Dezember 2021 (vgl. Artikel Abs. 1 der Richtlinie) zustande bringen, wird die Richtlinie in 2021 bereits unmittelbar geltendes Recht. Es gibt inzwischen auch Anbieter wie z.B. die iwhistle GmbH aus Friedrichsdorf am Taunus, die den Unternehmen die Einrichtung einer solchen anonymen Hinweisgeber-Systems zur Umsetzung der Richtlinie anbieten. Nach den Erfahrungen mit der Umsetzung der DSGVO sollten die Unternehmen hier nicht zu spät beginnen, die entsprechenden Prozesse anzupassen und sich auf die fristgerechte Einrichtung eines solchen Hinweisgebersystems – je früher desto besser – vorbereiten, um die Compliance-Risiken zu begrenzen. Repressalien und sonstige Nachteile gegen die Hinweisgeber sind dann verboten. Spätestens sobald ein Hinweisgeber anonym gemeldet hat, wird die Geschäftsleitung nachweislich über bestehende Verstöße in Kenntnis gesetzt und steigen damit die Risken, dass im Falle eines Untätigbleibens des Unternehmens der Vorstand persönlich für die Schäden haftet. Bei Vorsatz tritt auch die Directors & Officers Haftpflichtversicherung in der Regel nicht ein.