Seit Einführung der DSGVO beschäftigt das Thema Datenschutz zunehmend auch die Gerichte. Während es in den zurückliegenden Jahrzehnten kaum oder keine Rechtsprechung dazu gab, explodiert die Anzahl an Urteilen zum Datenschutz im letzten Jahr förmlich. Dies zeigt die zunehmende Relevanz des Themas für das alltägliche Leben eines jeden von uns und ist m.E. nicht nur auf die hohen Bußgelder zurückzuführen.
Nachfolgend findet sich eine Zusammenfassung der wichtigsten Urteile zum Datenschutzrecht aus den letzten Monaten, soweit diese schon vorliegen. Die Urteile sind thematisch zusammengefasst und mit Aktenzeichen angegeben. Die Sammlung erhebt keinen Anspruch auf Vollständigkeit:
I. Arbeitsrecht
Fristlose Kündigung wegen Datenlöschung in erheblichem Umfang
LAG Baden-Württemberg, 17.09.2020 – 17 Sa 8/20
Leitsatz (gekürzt): Löscht ein Arbeitnehmer im Anschluss an ein Personalgespräch, in dem der Arbeitgeber den Wunsch äußerte, sich vom Arbeitnehmer trennen zu wollen, vom Server des Arbeitgebers Daten in erheblichem Umfang (hier: 7,48 GB), nachdem er sich mit den Worten „man sieht sich immer zweimal im Leben“ verabschiedet hatte, rechtfertigt dies die außerordentlich fristlose Kündigung des Arbeitsverhältnisses.
Benennung des Datenschutzbeauftragten
LAG Niedersachsen, 09.06.2020 – 9 Sa 608/19
Zur Schriftform der Benennung eines Datenschutzbeauftragten (nicht erforderlich) und zur Zusammenarbeit mit der Aufsichtsbehörde als Indiz der Bestellung. Zum Anspruch auf Kopie nach Art. 15 Abs. 3 DSGVO: E-Mail-Verkehr, den der Mitarbeiter selbst geführt oder erhalten hat, ist vom Anspruch nach Art. 15 Abs. 3 DS-GVO nicht erfasst.
Zu den Voraussetzungen eines immateriellen Schadensersatzanspruches
ArbG Düsseldorf, 05.03.2020 – 9 Ca 6557/18
Ein Verstoß gegen Art. 15 DSGVO begründet einen immateriellen Schadensersatzanspruch des Arbeitnehmers. Ein Datenschutzverstoß begründet einen Schadensersatzanspruch dem Grunde nach. Die Schwere des Verstoßes hat nur Einfluss auf die Höhe des Anspruchs. Die Bemessung kann nach Art. 83 Abs. 2 DSGVO und der Finanzkraft des Arbeitgebers erfolgen.
Wann ist ein Fingerabdruck ein Fingerabdruck und darf er zur Zeiterfassung genutzt werden?
LAG Berlin-Brandenburg, 04.06.2020 – 10 Sa 2130/19
Zur Frage, wann ein Fingerabdruck biometrische Daten darstellt sowie zur Tatsache, dass der Einsatz biometrischer Systeme zum Zweck der Zeiterfassung wohl nur äußerst selten erforderlich i.S.d. DSGVO ist – mit ausführlicher Abwägung.
Auskunftsanspruch des Arbeitnehmers: Emails sind nicht von der Herausgabe umfasst
ArbG Bonn, 16.07.2020 – 3 Ca 2026/19
Der Auskunftsanspruch gem. Art. 15 DSGVO besteht nur abgestuft und muss ggf. durch den Antragsteller konkretisiert werden. Die Herausgabe von Unterlagen (z.B. Protokollen), in denen personenbezogene Daten des Arbeitnehmers aufgeführt sind, seien von dem Anspruch nicht umfasst.
Kündigung wegen Missbrauchs von Bankdaten eines Kunden
ArbG Siegburg, 15.01.2020 – 3 Ca 1793/19
Werden Bankdaten eines Kunden durch einen Mitarbeiter gehackt und tatsächlich für einen Kauf missbraucht, um dem Kunden seine IT-Sicherheitslücken aufzuzeigen, berechtigt dies zu einer außerordentlichen Kündigung wegen Verletzung arbeitsvertraglicher Rücksichtnahmepflichten.
Sonderkündigungsschutz des Datenschutzbeauftragten – BAG-Vorlage an den EuGH
BAG, 30.07.2020 – 2 AZR 225/20
Ob ein Sonderkündigungsschutz für einen Datenschutzbeauftragten in Deutschland besteht, vermag das BAG in Auslegung der §§ 38 Abs. 2 i.V.m. 6 Abs. 4 S. 2 BDSG im Zusammenhang mit Art. 38 Abs. 3 S. 2 DSGVO nicht abschließend zu klären und hat diesen Fall deshalb dem EuGH vorgelegt.
Zum Streitwert eines normalen Auskunftsanspruchs
LAG Nürnberg, 28.05.2020 – 2 Ta 76/20
Nach dem LAG Nürnberg ist der Streitwert eines Auskunftsbegehrens nach Art. 15 DS-GVO mit 500,– EUR zu bewerten, wenn nicht besondere Umstände hinzutreten. Ein höherer Wert setzt voraus, dass das Persönlichkeitsrecht des Auskunftsgläubigers in einer Weise berührt wäre, die über den schlichten, massenhaft gewährten Auskunftsanspruch hinausginge, der ein allgemeines Informationsinteresse befriedigen soll.
Schadensersatzanspruch wegen Verstoßes ohne Außenwirkung im Arbeitsverhältnis ist gegeben
ArbG Dresden, 26.08.2020 – 13 Ca 1046/20
Zu den Bemessungskriterien immateriellen Schadensersatzes im Arbeitsverhältnis, der ohne Außenwirkungen für den Betroffenen geblieben ist (hier: 1.500 EUR). Der Kostenerstattungsausschluss gem. § 12a Abs. 1 ArbGG steht Ansprüchen nach Art. 82 Abs. 1 DSGVO nicht entgegen, da sonst eine Durchsetzung der DSGVO nicht effektiv und abschreckend möglich wäre.
II. Schadensersatz und Unterlassung
Schadensersatzanspruch wegen Verstoßes ohne Außenwirkung im Arbeitsverhältnis ist nicht gegeben
LG Hamburg, 04.09.2020 – 324 S 9/19
Anders als das ArbG Dresden hier oben sieht das LG Hamburg bei der unverschlüsselten Datenübersendung von Mandantendaten eines Rechtsanwaltes via Email keine schadensersatzpflichtige Datenschutzverletzung gem. Art. 82 DSGVO. Danach muss „die Verletzungshandlung in jedem Fall auch zu einer konkreten, nicht nur unbedeutenden oder empfundenen Verletzung von Persönlichkeitsrechten der betroffenen Person geführt haben.“
Schadensersatz auf Grund der Fehladressierung einer Nachricht
LG Darmstadt, 26.05.2020 – 13 O 244/19
Die versehentliche Fehlversendung einer Nachricht im Bewerbungsverfahren an den falschen Empfänger führt zu einem Schadensersatzanspruch – auch nach den §§ 823, 1004 BGB. Ein erstes Urteil zu einem immateriellen Schadensersatzanspruch, das mit 1.000 EUR eine beachtliche Höhe hat. Das Urteil ist nicht rechtskräftig.
Kein Schadensersatz bei Fehlversendung von Kontoauszügen – Bagatellfall
LG Köln, 07.10.2020 – 28 O 71/20
Das LG Köln bewertet die Zusendung versehentlich falsch adressierten Kontoauszüge an den falschen Empfänger als Bagatellfall, der nicht zum Schadensersatz berechtigt. Die Abwägung der Kriterien nach Art, Schwere und Dauer wird hier offensichtlich anders gewichtet, als in den zuvor aufgezeigten Entscheidungen.
Social-Media Account begründet Rechtsverhältnis, mit Pflicht zur Einhaltung der AGB
OLG Dresden, 20.08.2020 – 4 U 784/20
Zur wirksamen Einbeziehung von AGB bei sozialen Netzwerken und dass die Löschung eines Posts keine schadensersatzfähige Handlung i.S.d. DSGVO ist. Bewertung der Löschung von Hassrede im Lichte einer Grundrechtsabwägung.
Trotz unzureichender Sicherung von Daten kein Anspruch auf Schadensersatz
AG Frankfurt/M., 10.07.2020 – 385 C 155/19
Das AG Frankfurt sieht trotz mangelhafter technischer Sicherung von Daten in einem Hotelsystem bei einem Datenklau keine ausreichende Datenschutzverletzung, um immateriellen Schadensersatz zuzugestehen. Anm. d. Verf.: Insbesondere mangelhafte technische Schutzmaßnahmen stellen einen gewichtigen DSGVO-Verstoß dar und sollten aufgrund des Abschreckungsprinzips bei der Gewichtung des Verstoßes hinreichend Berücksichtigung finden.
III. Betroffenenrechte
Umfang des Datenauskunftsanspruchs gegen eine Bank
AG Bonn, 30.07.2020 – 118 C 315/19
Der Auskunftsanspruch aus Art. 15 DSGVO erfasst bei einer Bank nicht nur die Stammdaten, sondern auch die Kontobewegungen auf dem Konto der Bank. Dass dem Antragsteller die Kontoauszüge über das Onlinebanking bereits zur Verfügung gestellt wurden, stellt keine Erfüllung des Auskunftsanspruchs dar.
Mangelhafte Transparenz einer Einwilligung führt zur Beweisnot
EuGH, 11.11.2020 – C-61/19
Ist der Text einer Einwilligung im Hinblick auf wichtige Rechte wie die Freiwilligkeit der Einwilligung intransparent und/oder irreführend, so ist die Vorlage einer solchen Einwilligung nicht geeignet, einen Nachweis einer wirksamen Einwilligung zu führen.
Unentgeltliche Übermittlung der Behandlungsdokumentation
LG Dresden, 29.05.2020 – 6 O 76/20
Patienten steht neben § 630g BGB auch gem. Art. 15 Abs. 3 DSGVO ein Anspruch auf unentgeltliche Auskunft über die bei einem Krankenhaus gespeicherten personenbezogenen Daten durch Übermittlung der vollständigen Behandlungsdokumentationen im PDF-Format für den Behandlungszeitraum zu.
Anforderungen an eine datenschutzrechtliche Beschwerde
VG Mainz, 22.07.2020 – 1 K 473/19.MZ
Leitsätze: Eine datenschutzrechtliche Beschwerde muss alle Informationen enthalten, die erforderlich sind, dass die Aufsichtsbehörde den Sachverhalt erfassen und ggf. weiter aufklären, ihre Zuständigkeit überprüfen und etwaige Datenschutzverstöße feststellen kann. Der Beschwerdeführer kann von der Aufsichtsbehörde keine Ermittlungen ins Blaue hinein verlangen.
Behörden müssen auf sichere Übermittlung von personenbezogenen Daten achten
OVG Lüneburg, 22.07.2020 – 11 LA 104/19
Leitsätze (gekürzt): 1. Ob die Übermittlung eines Bescheides mit personenbezogenen Daten per Fax rechtswidrig war, kann im Wege einer Feststellungsklage zur Überprüfung gestellt werden. 2. Bei der Übermittlung von personenbezogenen Daten per Fax muss die Behörde … Sicherungsvorkehrungen treffen. Welches Schutzniveau dabei einzuhalten ist, richtet sich nach der Sensibilität und Bedeutung der zu übermittelnden Daten, den potentiellen Gefahren bei der Faxübermittlung u.a. Kriterien.
Autor: Thilo Märtin – Rechtsanwalt