Der Frühling naht und damit auch… Ich finde keinen Übergang zum Datenschutz. Verzeih es mir. Dennoch wird es Zeit für Update No. 3 in diesem Jahr.

Diesmal geht es hauptsächlich um Schadensersatz, Newsletter und Drittlandtransfers. Drittlandtransfers ist die unsexy Bezeichnung für alle Transfers von personenbezogenen Daten in ein Land außerhalb der EU, also z. B. Schweiz, USA und China. Und wie du weißt, ist das ja problematisch.

Drittlandtransfers – Neues und doch nichts Neues…

Wahrscheinlich sind dir in Bezug auf das Thema die meisten Länder egal. Aber ohne die USA geht es bei vielen Themen einfach nicht. Und auch da schwimmen wir leider seit ein paar Jahren (wieder) in einer rechtlichen Grauzone.

EDSA prüft Entwurf zum

Dass die EU bereits an einem neuen Angemessenheitsbeschluss arbeitet, hatte ich schon in einem der letzten Updates gesagt. Ende Februar hat sich der EDSA (Europäischer Datenschutzausschuss) mit dem Entwurf befasst. Dabei lobt der EDSA die Fortschritte, hat aber auch Kritik. Insbesondere ist man sich noch immer nicht ganz sicher, ob das Schutzniveau dem der EU gleichwertig ist. Wir warten mal ab, was am Ende rauskommt. Ich freue mich aber, dass hier offenbar endlich Fahrt aufgenommen wird. Die Stellungnahme mit den nicht weniger als 54 Seiten findet ihr auf der Webseite des EDSA (Englisch). Der BFDI schließt sich der Stellungnahme übrigens an: Pressemitteilung 7/2023.

DSK zu Drittlandtransfer – Danke für nichts

In diesem Zusammenhang will ich dir auch nicht einen Beschluss der Datenschutzkonferenz (DSK) vom 31. Januar 2023 verschweigen. Eine der Themen für einen Drittlandtransfer ist die Frage, ob ein Unternehmen verpflichtet werden kann (z. B. auf Anweisung der Muttergesellschaft oder einer Behörde) Daten in ein Drittland zu transferieren. Ein Beispiel könnte etwa sein, dass das FBI Microsoft verpflichtet, in Deutschland gespeicherte Daten in die USA zu übertragen. Nach Auffassung der DSK reicht allein die Gefahr, dass das passieren kann, nicht aus, um bereits eine Übermittlung im Sinne von Art. 44 ff. DSGVO anzunehmen. Das ist gut. Aber das wars auch schon. Denn im gleichen Atemzug hat die DSK in so einer Konstellation Bedenken, ob das Unternehmen dann noch ein zuverlässiger Auftragsverarbeiter im Sinne von Art. 28 Abs. 1 DSGVO sein kann. Danke für nichts. Das bedeutet für dich, dass du ggf. jetzt noch genauer schauen musst, welche Auftragsverarbeiter respektive Tools du nutzt. Es kann gut sein, dass Datenschutzbehörden bei einer Kontrolle hier mal eine TIA sehen wollen.

Falls du meinst, dass Drittlandtransfers nur die USA und China betreffen, muss ich dich enttäuschen. Es geht um alle Länder außerhalb der EU. Dort dürfen personenbezogene Daten nur unter bestimmten Voraussetzungen verbreitet werden. Das geht z. B. wenn ein sogenannter Angemessenheitsbeschluss besteht. Einen solchen Beschluss gibt es sage und schreibe nur für Andorra, Argentinien, Kanada (commercial organisations), Faroe Inseln, Guernsey, Israel, Isle of Man, Japan, Jersey, New Zealand, Korea, Schweiz, United Kingdom, Uruguay. Das wars! Mehr Staaten sind es nicht. Für alle anderen Staaten benötigst du eine andere Rechtsgrundlage. Das kann z. B. ein Standard Zonractual Claus sein. Außerdem benötigst du dann ein sogenannter Transfer Impact Assement (TIA). Dazu schreibe ich aber bald mal mehr im Cookie Blog.

Schadensersatz?

Das Thema Schadensersatz wird uns nicht mehr loslassen. Die Zivilgerichte sind bei dem Thema eher zurückhaltend, auch wenn es da jetzt mal 4.000 EUR Schadensersatz für einen Autoverkäufer gab. Der hatte nämlich – obwohl beim Autohaus A angestellt – beim Autohaus B sein neues Auto gekauft. Das Autohaus B wandte sich nun per E-Mail an Firma A und bat diese, zwecks Klärung der Finanzierung des Privatkaufs „mit Ihrem Mitarbeiter ein klärendes Gespräch zu führen“. Das fand wahrscheinlich weder Autohaus A lustig noch der Mitarbeiter. Jetzt sprach das LG Köln dem Mitarbeiter wegen dieser unerlaubten Offenlegung der Daten einen Schadensersatz von 4.000 EUR zu (LG Köln – 28 O 21/22). Ich musste hier ein wenig schmunzeln und kann bei so viel “Ungeschick” den teuren Denkzettel auch ein wenig verstehen.

Nicht ganz so zurückhaltend, auch wenn 4.000 EUR schon ordentlich ist, war das Arbeitsgericht Oldenburg (ArbG Oldenburg, Urteil vom 09.02.2023 – 3 Ca 150/21). Das hat einem Mitarbeiter mal locker 10.000 EUR Schadensersatz wegen einer verspäteten Auskunft nach Art. 15 DSVGO zugesprochen. Das ist schon ein wenig der Hammer. Im Verfahren hatte der Arbeitnehmer Auskunft gefordert. Diesem Begehren kam der Arbeitgeber einfach nicht nach, jedenfalls nicht gleich. Die Auskunft gab es erst nach 20 Monaten und das auch erst im laufenden Gerichtsprozess. Die 10.000 EUR resultieren aus einem Schadensersatz von 500 EUR je Monat.
Das Urteil wird – so vermute ich jedenfalls – nicht direkt der neue Maßstab werden, auch wenn man im Netz jetzt stellenweise anders liest. In Anbetracht der Besonderheiten des Falls (insbesondere der Verspätung) kannst du schon gut gegensteuern, wenn es dich erwischt. Trotzdem solltest du – nicht nur wegen dieses Urteiles – Verlangen nach Auskunft nicht auf die leichte Schulter nehmen. Hier gibt es Risiken. Im Zweifel solltest du deinen Datenschutzbeauftragten lieber früher als später kontaktieren. Die Frist für eine Auskunft liegt übrigens bei einem Monat.

Einwilligungen gelten nicht grenzenlos!

Ein Evergreen (nicht nur) im Datenschutz ist das Newsletter- bzw. Emailmarketing. Dass das kaum ohne Einwilligung geht, ist dir vermutlich klar. Aber auch mit Einwilligung ist nicht immer alles erlaubt. Dazu gab es aktuell zwei interessante Entscheidungen.

Das Amtsgericht München (161 C 12736/22) hat entschieden, dass die ursprünglich erteilte Einwilligung zum Erhalt eines Newsletters infolge Zeitablaufs nicht mehr wirksam war. Im konkreten Fall wurde knapp vier Jahre kein Newsletter versandt. Das reichte dem AG aus. Der Marketer hätte sich versichern müssen, ob der Empfänger nach so langer Zeit noch am Erhalt interessiert ist. Da dies nicht erfolgte, ging das Gericht von der Unwirksamkeit aus. Das Gericht stützte sich dabei auf ein BGH-Urteil vom 01.02.2018 (III ZR 196/17). Dort sagte der BGH zwar auch das, dass insbesondere § 7 UWG keine zeitliche Begrenzung einer erteilten Einwilligung vorsieht. Allerdings muss man im Einzelfall prüfen, ob eine Einwilligung nach Ablauf einer bestimmten Zeit unwirksam wird.

Aber auch wenn du regelmäßig sendest, solltest du aufpassen. Die Einwilligung beim Newsletter wird immer für den konkreten erteilt. Das bedeutet, wenn du bei Erteilung der Einwilligung eine Frequenz für den Versand des Newsletters angibst, ist diese bindend. Wenn du also ankündigst, den Newsletter ein- bis zweimal im Monat zu versenden, bezieht sich auch die Einwilligung auf Erhalt einer Mail ein- bis zweimal im Monat. Wenn du jetzt die Frequenz erhöhst, ist das von der Einwilligung nicht umfasst, der Versand ist wettbewerbswidrig. Das hatte neulich das KG Berlin entschieden (KG Berlin, Urteil vom 22.11.2022, Az. 5 U 1043/20)

Shorties

• Auch vor Gericht ist der Datenschutz zu beachten. Das entschied der EuGH mit Urteil vom 02.03.23. Gerichte müssen dabei die Interessen von betroffenen Personen bei der Frage beachten, ob bestimmte Dokumente für die Beweisaufnahme vorzulegen sind.
• Nach Auffassung des Generalanwalts der EU ist die bisherige Scoring-Praxis der SCHUFA nicht datenschutzkonform. Das ergibt sich aus den Schlussanträgen des Generalanwalts in der Rechtssache C-634/21 | SCHUFA Holding u. a. (Scoring) und in den verbundenen Rechtssachen C-26/22 und C-64/22 SCHUFA Holding u. a. (Restschuldbefreiung). Die Anträge sind für den Gerichtshof nicht bindend. Allerdings geht die Rechtsauffassung des EuGH regelmäßig übereinstimmend mit der des Generalanwalts konform.
• Die Bitkom hat einen Leitfaden zu den wichtigsten Rechtsfragen & Best Practices für Remote Work aus dem Ausland veröffentlich. Mit dabei ist auch ein Abschnitt zu Datenschutz und IT-Sicherheit.

Neues aus dem Cookie-Blog

Im Blog habe ich euch mal eine Übersicht zum Datenschutz im Homeoffice veröffentlicht. Die dort erwähnte „Richtlinie Datenschutz im Homeoffice und mobiles Arbeiten“ gibts natürlich auch zum Download.

Und das wars auch schon wieder! Bis bald!