Es ist Mai und damit Zeit für unser Update Datenschutz Nr. 04. Und in der Tat ist Einiges passiert. Der „Paukenschlag“ dürfte das Urteil des EuGH zum Anspruch auf Schadensersatz vom 04.05.023 sein. Ansonsten ist und bleibt ChatGPT ein heißer Feger. Und nach nicht einmal 5 Jahren hat nun auch die erste Datenschutzbehörde eine Anleitung für den datenschutzkonformen Betrieb einer Webseite veröffentlicht.

Schadensersatz erfordert einen Schaden, ach was…

Der Paukenschlag in dieser Woche, so jedenfalls oft auf Twitter zu lesen, kommt vom EuGH. Der EuGH hat nämlich entschieden, dass der Anspruch auf Schadensersatz auch einen wirklichen Schaden erfordert. Der bloße Verstoß reicht also nicht aus. Das sollte eigentlich niemanden verwundern. Es heißt schließlich Schadensersatz. Ganz selbstverständlich ist das aber – außerhalb Deutschlands – nicht immer. Denken wir nur mal die Strafschadenszahlungen in den USA. Jetzt hat der EuGH hier jedenfalls Klarheit geschaffen, ein wenig jedenfalls.

Keine wirkliche Klarheit

Denn gleichzeitig sagt der EuGH, dass der Schadensersatzanspruch nicht davon abhängt, dass der entstandene immaterielle Schaden eine gewisse Ehrlichkeit erreicht. Das heißt einfach ausgedrückt, dass jeder noch so kleine Schaden ausreicht, um einen Anspruch auf Schadensersatz auszulösen. Das wiederum macht es dann doch wieder kompliziert. Die meisten Fälle werden sich nämlich im Bereich des immateriellen Schadensersatzes abspielen. Das sind einfach ausgedrückt, die Fälle, bei denen der Schaden finanziell nicht messbar ist. Beispiele sind etwa die berühmten Beeinträchtigungen des Persönlichkeitsrechts wegen der Verwendung von Google Fonts, die Angst- und Panikattacken wegen der verspäteten Auskunft über die gespeicherten Daten des Arbeitnehmers beim ehemaligen Arbeitgeber usw.

Wann ist ein Schaden ein Schaden?

Ich möchte das gar nicht klein reden. Auch in diesem Bereich gibt es Vorfälle, die man nicht auf die leichte Schulter nehmen darf und die ernsthafte (psychische) Probleme für die betroffene Person mit sich bringen können, z. B. bei der Verbreitung wirklich privater und intimer Informationen. Der Großteil der Fälle, die Gerichte hier entscheiden werden, wird sich aber in einem Bereich abspielen, in dem vermutlich der Großteil der Bevölkerung eher keine Probleme sieht. Das sind dann die Abmahnungen wegen vermeintlicher Panikattacken aufgrund der Verwendung von Google Webfonts, oder der ehemalige Mitarbeiter, der schlaflose Nächte hat, weil er nicht weiß, welche Daten sein ehemaliger Arbeitgeber über ihn noch gespeichert hat. Und da wird es spannend.

Hier reicht, wie der EuGH entschieden hat, jeder noch so kleine Schaden. Aber wie beweist man den? Das wird eine Frage sein, mit der sich die Gerichte noch eine Weile beschäftigen werden. Und wenn es dann um die Höhe geht, wird es noch spannender.

Urteil des EuGH vom 04.05.2023 (EuGH, 04.05.2023, AZ: C-300/21): Pressemitteilung des Urteils und Volltext

ChatGPT und Datenschutz

In Sachen ChatGPt hatte ich ja schon länger angekündigt. Ein aktuelles

Verfahren, das deutsche Datenschutzbehörden gegen ChatGPT eingeleitet haben, war dann jetzt endlich mal der perfekte Anlass. Da es ein wenig mehr Text wurde, habe ich gleich einen Blogartikel daraus gemacht. Den Artikel findest du im Cookie Blog: ChatGPT und Datenschutz.

Löschung von Personaldaten

Und wenn wir einmal beim Blog sind, will ich auch gleich noch auf unseren Artikel Löschen von Personaldaten hinweisen. Dort haben wir mal zusammengefasst, was es bei der Löschung von Personaldaten zu beachten gibt. Die Frage kam immer mal wieder bei meinen Kunden auf. Da wurde es Zeit, dass ich das Thema mal ein wenig genauer beleuchte.

Hamburger Beauftragter für den Datenschutz gibt Hinweise für den rechtssicheren Internetauftritt

Beim Thema Blog fällt mir dann auch das Thema Webseite ein. Und dazu hat sich der Hamburger Beauftragte für den Datenschutz nun geäußert.

Der Hamburger Beauftragte für den Datenschutz hat nämlich nach nicht einmal fünf Jahren DS-GVO Hinweise für den rechtssicheren Internetauftritt veröffentlicht. Immerhin die erste Behörde, soweit ich weiß, die das gemacht hat. Auf immerhin sechs Seiten geht es um Einwilligung, Cookiebanner und Co. Das Ganze dürfte für jeden von euch, der sich ein wenig mit der Thematik befasst hat, keine neuen Informationen bringen. Für jeden, der wirklich neu in dem Thema ist, helfen die Hinweise nicht weiter. In der Praxis halte ich die Hinweise also nicht wirklich für hilfreich.

Link: Wie geht ein datenschutzkonformer Internetauftritt?

Guidelines für eine sichere Gestaltung von Cookiebanner

Wesentlich konkreter wird da das Bundesministerium für Umwelt, Naturschutz, nukleare Sicherheit und Verbraucherschutz mit seinen Guidelines für eine nutzerfreundliche Cookie-Banner-Gestaltung.

Mit diesem Thema hat sich auch das LG München beschäftigt und mit Urteil vom 29.11.2022 (33 O 14776/19) festgestellt:

Eine Einwilligung ist nicht freiwillig, wenn der Nutzer diese lediglich in vollem Umfang erteilen oder durch Betätigung der Schaltfläche „Einstellungen“ eine gesonderte Auswahl treffen, die Webseite ansonsten aber nicht nutzen kann.

Nur am Rande: Die meisten Cookiebanner dürften wahrscheinlich nicht rechtskonform sein.

Bedienungsanleitung IT-Sicherheit

Zum Abschluss habe ich noch ein Literaturtip. Datenschutz ist auch IT-Sicherheit. Das dieses Thema immer wichtiger wird, muss ich dir nicht sagen. Das BSI hat nun einen guten Einstieg in das Thema veröffentlicht. Mit dem Handbuch „Management von Cyber-Risiken“ findet man einen guten Einstieg ins Thema. Außerdem gibt es dazu noch ein Toolkit für das Management von Cyber-Risiken.