Datenschutzupdate aus Europa

Neues vom EuGH 

Let’s Talk about… Daten, die in Dateisystemen gespeichert sind 

Im März entschied der EuGH (Urt. v. 7.03.2024 – C-740/22) auf eine Vorlage aus Finnland im Verfahren „Endemol Shine Finland Oy“, dass die Art. 2 Abs. 1 und Art. 4 Nr. 2 DSGVO dahin auszulegen sind, dass „eine mündliche Auskunft über möglicherweise verhängte oder bereits verbüßte Strafen in Bezug auf eine natürliche Person eine Verarbeitung personenbezogener Daten im Sinne von Art. 4 Nr. 2 DSGVO darstellt, die in den sachlichen Anwendungsbereich dieser Verordnung fällt, wenn diese Informationen in einem Dateisystem gespeichert sind oder gespeichert werden sollen.“ (Rn. 39). 

Der EuGH stellt dabei auf den Zusammenhang und die (Schutz)Ziele der Regelungen ab. Der Schutz durch die Regelungen der Datenschutzgrundverordnung solle nicht von den verwendeten Techniken abhängen und nicht ernsthaft Gefahr laufen, umgangen zu werden. Daher sieht der EuGH auch mündlich geteilte personenbezogene Daten als vom sachlichen Anwendungsbereich des Art. 2 Abs. 1 DSGVO erfasst an. Allerdings nur, wenn diese bereits in einem Dateisystem gespeichert sind oder gespeichert werden sollen.  

Hinweis: 

Unabhängig davon, ob die deutsche Regelung in § 26 Abs. 7 BDSG (1) tatsächlich noch anwendbar ist, müssen Unternehmen auch nach der Datenschutzgrundverordnung selbst vor einem mündlichen Teilen von Informationen aus Dateisystemen prüfen, ob dafür eine Rechtsgrundlage aus Art. 6 DSGVO greift.

Praktisch ist dies vor allem bei typischerweise in Personalakten abgelegten oder noch abzulegenden Informationen von Relevanz. Hier müssen insbesondere Führungskräfte und Personalabteilung sorgfältig abwägen, ob – auch mündliche Gespräche – über dort hinterlegte Informationen für die Kolleg:innen tatsächlich notwendig und erforderlich sind. 

Gesundheitsdaten, wettbewerbsrechtliche Unterlassungsklagen und der Generalanwalt 

Kurz vor dem Wochenende (25.04.2024) hat der Generalwalt noch seine Schlussanträge zu vom deutschen Bundesgerichtshof eingereichten Vorlagefragen (Rechtssache C21/23) veröffentlicht. Die Schlussanträge enthalten gleich drei berichtenswerte Auffassungen: 

  1. Der Generalanwalt scheint das Urteil des EuGH zu besonderer Datenkategorien aus dem Jahr 2022 (wir berichteten „Der EuGH zapft den „hidden layer“ an: Wenn aus „normalen“ Daten sensible Daten werden“) einschränken zu wollen, indem er darauf hinweist, dass Daten, die nicht direkt Gesundheitsdaten sind,
    1. vom Kontext, in dem sie gesammelt werden, und von der Art und Weise, wie sie verarbeitet werden, abhängig zu beurteilen sind und 
    2. die Identität des für die Datenverarbeitung Verantwortlichen in diesem Zusammenhang besonders relevant ist. 

Kurz gesagt, ob Daten, bei denen die besondere Sensibilität angelegt ist, wirklich Daten im Sinne von Art. 9 DSGVO sind und damit dem grundsätzlichen Verarbeitungsverbot unterfallen, muss immer anhand des Einzelfalles beurteilt werden (siehe dazu auch bereits unser Beitrag in der Computer & Recht letztes Jahr: Matejek/Kremer, CR 2023, 218 ff.).

2. Damit stärkt der Generalanwalt – erfreulicherweise – wieder den Ansatz der Relativität des Personenbezugs (so zuletzt beispielsweise auch EuGH, Urt. v. 09.11.2023 – C-319/22, wir berichteten: EuGH: Wann erfolgt eine Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung?): „Mit anderen Worten können ein und dieselben Daten mehr Informationen über den Gesundheitszustand einer Person offenbaren, wenn sie von einer Einrichtung des Gesundheitswesens verarbeitet werden, die kompetent ist, sie zu interpretieren, oder die über weitere diese Person betreffende Daten verfügt, als wenn sie von einer Stelle außerhalb des Gesundheitswesens verarbeitet werden.“ (Rn. 48).

3. Nicht so erfreulich sind seine Ausführungen zur Zulässigkeit von Unterlassungsklagen durch Wettbewerber bei Datenschutzverstößen nach dem deutschen Gesetz gegen den unlauteren Wettbewerb („UWG“). Er schlägt dem EuGH vor, zu entscheiden, dass wettbewerbsrechtliche Unterlassungsklagen neben den durch Kapitel VIII der Datenschutzgrundverordnung eröffneten Rechtsbehelfen bestehen können. Das begründet er damit, dass Unterlassungsklagen die Datenschutzgrundverordnung nicht beeinträchtigten und die Ziele und die praktische Wirksamkeit der Datenschutzgrundverordnung nicht gefährdeten (Rn. 103 – 107).

Hinweis: Sollte der EuGH dem folgen, was er normalerweise macht, werden zum einen sicher wieder vermehrt Datenschutzverstöße für Wettbewerbsstreitigkeiten instrumentalisiert. Zum anderen ist zu befürchten, dass dann auch Unterlassungsklagen Betroffener nach § 1004 BGB zugelassen werden (siehe dazu den Vorlagebeschluss des BGH, Beschl. v. 26.09.2023 – VI ZR 97/22, Rn. 28 f.). Bislang ist hoch umstritten, ob die Datenschutzgrundverordnung nicht Unterlassungsklagen nach nationalen Recht aufgrund des Zieles der Vollharmonisierung sperre (weiterführend dazu unsere Beiträge in juristischen Fachzeitschriften: Koetsier/Kremer, CR 2023, 359 ff.; Nink, ZD 2022, 239 f.).

(1) Zur Erinnerung: Der deutsche Gesetzgeber hat mit § 26 Abs. 7 BDSG den Anwendungsbereich der Datenschutz-Grundverordnung im Beschäftigtendatenschutz auch auf solche personenbezogene Daten ausgeweitet, die nicht in einem Dateisystem gespeichert sind oder gespeichert werden sollen (siehe dazu unseren Beitrag „Was bleibt von § 26 BDSG nach dem Urteil des EuGH zum Beschäftigtendatenschutz?“).

 

EDSA Stellungnahme: Echte Wahlmöglichkeit bei verhaltensbezogener Werbung

Am 17.04.2024 hat der Europäische Datenschutzausschuss eine Stellungnahme (Opinion 08/2024) zur Gültigkeit der Einwilligung in die Verarbeitung personenbezogener Daten für die Zwecke der verhaltensbezogenen Werbung (sogenanntes „Behavioral Advertisement“) im Rahmen von sogenannten „Einwilligung oder Bezahlung“ (Consent or Pay)-Modellen, die von großen Online-Plattformen eingesetzt werden, veröffentlicht.
Große Online-Plattformen sollten danach den Nutzern eine echte Wahl lassen, wenn sie das Modell „Einwilligung oder Bezahlung“ anwenden. Der EDSA kritisiert insbesondere, dass bei den heutigen Modellen die Nutzer in der Regel entweder alle ihre Daten preisgeben oder dafür bezahlen müssen. Infolgedessen willigten die meisten Nutzer in die Verarbeitung ein, um einen Dienst nutzen zu können, ohne aber die volle Tragweite ihrer Entscheidungen zu verstehen.

 

Hinweis:

Die Stellungnahme adressiert nur „große Online Plattformen“ im Zusammenhang mit „Einwilligung oder Bezahlung“ (Rn. 22 ff.). Leitlinien für „Einwilligung oder Bezahlung“-Modelle mit einem breiteren Anwendungsbereich will der EDSA noch gesondert entwickeln.