Der EuGH musste im Urteil klären, ob die DSGVO und welche Norm genau einen Anspruch darauf verleiht, dass der Verantwortliche eine Wiederholung dieser Verarbeitung unterlässt. Zweitens wollte das Gericht wissen, ob wie im deutschen Recht eine Wiederholungsgefahr vorliegen muss und anhand welcher Merkmale ein „immaterieller Schaden“ im Sinne von Art. 82 Abs. 1 DSGVO festgestellt werden kann, sowie ob der Grad des Verschuldens des Verantwortlichen bei der Bemessung der Höhe des Schadensersatzes zu berücksichtigen ist.
Der EuGH entschied, dass die DSGVO keine eigene Bestimmung enthält, die dem Betroffenen ein Recht einräumt präventiv gegen rechtswidrige Verarbeitungen vorzugehen. Es dürfen die nach innerstaatlichem Recht bereits bestehenden Rechtsbehelfe genutzt werden (in DE: §§ 823 BGB i.V.m. § 1004 BGB).
Es wurde erneut entschieden, dass der bloße Verstoß gegen die DSGVO nicht ausreicht, um einen Schadensersatzanspruch nach Art. 82 Abs. 1 DSGVO zu begründen. Es müssen drei kumulative Voraussetzungen erfüllt werden, um den Anspruch zu begründen. Negative Gefühle wie z. B. Ärger, Unmut, Unzufriedenheit, Sorge und Angst“, die es als „allgemeines Lebensrisiko“ einstuft, können jedoch ausreichen, um das Vorliegen eines „immateriellen Schadens“ zu begründen. Vorausgesetzt es wird ordnungsgemäß nachgewiesen, dass solche Gefühle samt ihrer negativen Folgen aufgrund des in Rede stehenden Verstoßes gegen die DSGVO empfindunden wurden.
Der Grad des Verschuldens des Schädigers spielt für die Höhe der Entschädigung des immateriellen Schadens jedoch keine Rolle (Entschädigung soll Ausgleichsfunktion statt Abschreckungs- oder Schadensfunktion haben). Die Haltung und die Beweggründe des Verantwortlichen dürfen nicht berücksichtigt werden dürfen
Wenn Verantwortliche in Krankenhäusern, Arztpraxen oder auch ambulanten medizinischen Einrichtungen wie einer Psycho- oder Logopädie Videoüberwachungsanlagen betreiben möchten ist dies nur erlaubt, wenn die Videoüberwachung zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist und die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, nicht schwerer wiegen.
Die Erforderlichkeit ist dann gegeben, wenn keine milderen Maßnahmen ergriffen werden können und wenn der Verantwortliche belegen kann, dass ein Szenario, welches mit der Videoüberwachung verhindert werden soll, bereits vorher einmal eingetreten ist.
Auch das Anbringen von Hinweisschildern auf eine Videoüberwachung allein führt nicht dazu, dass eine illegale Videoüberwachung legal wird.
Videoüberwachungen in medizinischen Einrichtungen können nur im besonderen Ausnahmefall erfolgen- Dies ist beispielsweise der Fall, wenn eine besonders hohe, über dem allgemeinen Lebensrisiko liegende Gefahr für die Begehung von Straftaten besteht und alle milderen Mittel vorher ausgeschöpft wurden (z.B.. Schließfächer, manuell zu betätigende Türöffner für die Praxis,).
Werden Mitarbeiterbereiche bewacht gelten zudem nochmal besondere Vorschriften. Eine dauerhafte Videoüberwachung der Arbeitsplätze oder Bereiche, in denen sich Beschäftigte über längere Zeit aufhalten, ist generell unzulässig. Ebenso eine Videoüberwachung zum Zwecke der Verhaltens- und Leistungskontrolle. Eine Vorbeugung von Straftaten durch Beschäftigte darf auch nicht durch eine Videoüberwachung erfolgen. Dies bedarf eines konkreten Anhaltspunktes und darf nur zeitlich und personenbegrenzt erfolgen, wenn gleich effektiven Maßnahmen zuvor erfolglos eingesetzt wurden und eine Abwägung zwischen den widerstreitenden Interessen durchgeführt wurde.
Erhält ein Unternehmen Briefsendungen auf denen „nur“ die Abteilung vermerkt ist, können die Briefe bedenkenlos geöffnet werden.
Wenn neben dem Firmennamen auch ein Mitarbeitername genannt ist, dient dies lediglich dazu, die interne Verteilung zu erleichtern. Eine Postsendung, die im Empfängerfeld mit dem Namen des Unternehmens und dem Namen des Mitarbeiters gekennzeichnet ist, darf vom Arbeitgeber geöffnet werden. Im Urlaubs- oder Krankheitsfall darf ein solcher Brief auch direkt an die Vertretung weitergeleitet und dort geöffnet werden.
Sobald auf dem Umschlag neben dem Namen des Adressaten also zusätzlich der Hinweis „vertraulich“, „persönlich“, „privat“ oder „ausschließlich“ versehen ist, darf nur der Empfänger selbst den Brief öffnen und lesen.
Gleiches gilt für Postsendungen, die an die/den Datenschutzbeauftrage/n adressiert sind. Auch wenn die Postsendung z.B. nur den Hinweis „Datenschutz“ enthält, sollte dieser vorsichtshalber nur vom Datenschutzbeauftragen geöffnet werden.
Öffnen Sie dennoch eine solche Sendung, liegt ein Verstoß gegen das Briefgeheimnis vor. In einem solchen Fall, drohen Ihnen strafrechtliche Konsequenzen (§ 202 StGB). Verstöße gegen das Postgeheimnis können gemäß § 206 StGB mit einer Geld- oder Freiheitsstrafe geahndet werden. Das Postgeheimnis gilt auch innerhalb unseres Unternehmens. Die Pflicht zur Geheimhaltung besteht auch nach dem Ende der Tätigkeit fort.
Verarbeitet ein Mitarbeiter, ohne Veranlassung des Arbeitgebers, personenbezogene Daten (z.B. Abfragen von Daten aus Datenbank) stellt dies eine unrechtmäßige Verarbeitung dar. Der Mitarbeiter kann dafür als Verantwortlicher angesehen werden, wenn er den Datenschutzverstoß bewusst und gewollt ohne aufgabenbezogene Veranlassung begangen hat. Hier spricht man von einem sogenannten Mitarbeiterexzess. Der Mitarbeiter entzieht sich der Leitung und Aufsicht seiner Vorgesetzten und entscheidet allein über Zwecke und Mittel der Verarbeitung.
Personenbezogene Daten dürfen nicht einfach nur interessehalber abgerufen oder angeschaut werden. In dem Falle der letztlich vor dem OLG Stuttgart behandelt wurde, wurde gegen den Mitarbeiter nicht nur ein Bußgeld verhängt. Eine solche Pflichtverletzung kann auch arbeitsrechtliche Konsequenzen nach sich ziehen.
Derzeit erhalten Unternehmen E-Mails die angeblich von der Industrie- und Handelskammer (IHK) stammen. In dieser Mail wird das Unternehmen aufgefordert, die Unternehmensdaten bei den deutschen Industrie- und Handelskammern umgehend zu aktualisieren. Andernfalls drohten eine Vertragskündigung mit der IHK.
Bitte klicken Sie keinesfalls auf den Link "Daten aktualisieren", und geben Sie erst recht auf der Zielseite keine Daten ein. Diese Mail stammt nicht aus der IHK-Organisation und sollte umgehend gelöscht werden.
Der Europäische Datenschutzausschuss (EDSA) führt koordinierte Prüfaktionen durch. Dazu werden europaweit von den Aufsichtsbehörden ein abgestimmter Fragebogen zu einem bestimmten Thema an öffentliche und private Stellen verschickt.
Die nächste Aktion zum Thema "Recht auf Löschung" startete am 05.03.2025.
An der Aktion nehmen die Landesdatenschutzaufsichtsbehörden aus Baden-Württemberg, Brandenburg, Mecklenburg-Vorpommern, Niedersachsen, Nordrhein-Westfalen, Rheinland-Pfalz sowie die Bundesbeauftragte teil.
Mit dem Fragebogen wollen sie erfahren, wie das Recht auf Löschung von den Unternehmen und Behörden praktisch umgesetzt wird. Das Recht auf Löschung (Art. 17 DSGVO) ist eines der am häufigsten ausgeübten Betroffenenrechte und eines, über das bei den Datenschutzaufsichtsbehörden zahlreiche Beschwerden eingehen.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat einen neuen Bericht über „Die Lage der IT-Sicherheit in Deutschland 2024“ veröffentlicht. Den BSI-Lagebericht finden Sie unter https://www.bsi.bund.de/DE/Service-Navi/Publikationen/Lagebericht/lagebericht_node.html
Mit dem Bericht informiert der BSI jährlich über die Bedrohungslage im Cyberraum.
Werden bei einem Cyberangriff beispielsweise personenbezogenen Daten gestohlen, handelt es sich um einen Datenschutzvorfall. Ist die Sache schwerwiegend, könnte dies einen Vorfall darstellen, der nach Art. 33 DSGVO an die zuständige Datenschutzaufsichtsbehörde zu melden ist.
Dann könnten Sie auch verpflichtet sein, Betroffene gem. Art. 24 DSGVO zu informieren. Dies verursacht regelmäßig Image- und Umsatzprobleme beim Unternehmen.
Mithilfe des Berichts können Sie Schwachstellen in Ihrem Unternehmen ausfindig machen und Gegenmaßnahmen treffen, um Schäden möglichst gering zu halten.
Phishing
Im Januar diesen Jahres wurden E-Mails versendet, in der Verbraucher aufgefordert wurden Ihre "photoTAN-App" zu aktualisieren. Angeblich ist dieser Vorgang erforderlich, um die Funktionen der App weiterhin nutzen zu können. Für die Aktualisierung wird eine Frist von 48 Stunden vorgegeben, ansonsten werde die Nutzung der App „Funktionsstörungen“ aufweisen.
Hierbei handelt es sich um Phishing und sollte unbedingt unbeantwortet in den Spam-Ordner verschoben werden! Wenn Apps aktualisiert werden müssen, geschieht dies über die Stores, von denen sie installiert wurden (z.B. App Store, Play Store). Suchen Sie nur dort nach einem Update!
Phishing können Sie insbesondere an folgenden Kriterien erkennen:
Phishing-Unterarten
Videoüberwachung bedeutet, dass mithilfe optisch-elektronischer Einrichtungen personenbezogene Daten (Bild- und/oder Audiodaten) verarbeitet werden. Hierunter fallen auch Webcams, Smartphones, Dashcams, Drohnen oder Tür- und Klingelkameras. Nicht entscheidend ist, ob die Kamera fest montiert, veränderbar (sprich mit Schwenk-, Neig- oder Zoomfunktion) oder mobil einsetzbar ist, sondern nur der Überwachungszweck.
Eine Verarbeitung im Sinne des Datenschutzrechts liegt auch dann vor, wenn „nur“ Livebilder (Monitoring bzw. Echtzeitüberwachungen) erfasst werden. Weitere Verarbeitungstätigkeiten sind das Speichern (Videoaufzeichnung) und die Verwendung in Form der Sichtung, Ausdruck oder Weitergabe an Dritte.
Das Schwärzen und Verpixeln von Bildmaterial reicht nicht als Anonymisierung aus, wenn das Unkenntlichmachen im Nachhinein wieder aufgehoben werden kann. Eine Verarbeitung liegt auch dann vor, wenn die Aufnahmen ungesehen gelöscht werden oder nur im Bedarfs- bzw. Alarmfall aufgezeichnet wird.
Bei der Verwendung von Kameraatrappen oder Kameras, die nicht in Betrieb genommen werden, sind die Datenschutzvorschriften nicht anzuwenden. Laut Aufsichtsbehörde Sachsen sind nicht die technischen Möglichkeiten ausschlaggebend, sondern nur, ob eine Videokamera tatsächlich in Betrieb ist oder nicht. Zivilrechtlich können allerdings dennoch Ansprüche auf sie zukommen.
Als Rechtsgrundlage kommt regelmäßig Art. 6 Abs. 1 lit f. DSGVO in Betracht. Videoüberwachungen lassen sich regelmäßig nicht auf Einwilligungen stützen, da die gesetzlichen Anforderungen an eine Einwilligung zu diesem Zweck praktisch nicht erfüllt werden können. Demzufolge muss der Betreiber der Videokamera ein berechtigtes Interesse an den einzelnen Verarbeitungen vorweisen. Die Videoüberwachung muss für die Zweckerreichung erforderlich sein und die Interessen der betroffenen Personen (Grundrecht auf informationelle Selbstbestimmung) nicht überwiegen. In jedem Fall sind wirksame Alternativen zu prüfen, wie herkömmliche Alarmanlagen oder der Einbau von einbruchssicheren Fenstern und wie der Eingriff in die Persönlichkeitsrechte Betroffener möglichst wenig intensiv erfolgen kann.
Grundsätzlich kann gesagt werden, dass Bereiche in denen Menschen kommunizieren, essen, trinken und sich erholen keine Videoüberwachung erfolgen darf. Ebenso wenig in Räumen, wo Beobachtungen die Intimsphäre berühren würden. Auch Aufzeichnungen zum Zweck einer Verhaltens- oder Leistungskontrolle von Beschäftigten ist grundsätzlich unzulässig.
Betroffene können in zwei Schritten informiert werden. Im ersten Schritt mit den wichtigsten Informationen mit einem auf Augenhöhe angebrachten Hinweisschild und im zweiten Schritt mit allen Informationen an geeigneter, gut zugänglicher Stelle. Die Speicherdauer beträgt maximal 72 Stunden.
Zur Aufdeckung von Straftaten dürfen Aufzeichnungen von Beschäftigten nur nach der Maßgabe des § 26 Abs. 1 Satz 2 BDSG oder einer datenschutzkonformen Betriebsvereinbarung verarbeitet werden. Ausgeschlossen ist eine dauerhafte permanente Videoüberwachung.
Private Aufzeichnungen von privatem Grundstück oder der selbstbewohnten Miet- oder Eigentumswohnung fällt nur dann nicht unter die Datenschutzgrundverordnung, wenn die ausschließlich selbstgenutzt ist. Kommt beispielsweise ein bestellter Pflegedienst oder der Handwerker, hat eine Videoüberwachung schon zu unterbleiben.
Bei Videoüberwachungskameras mit Audiofunktion macht man sich regelmäßig sogar strafbar. Verfügt eine Videoüberwachungskamera über eine Audiofunktion, muss diese deaktiviert werden.
Aufgrund zahlreicher Hinweise und Beschwerden von Betroffenen und Medienvertretern aus ganz Deutschland hat der Hessische Beauftragte für Datenschutz und Informationsfreiheit (HBDI) die Parkraumüberwachung eines entsprechenden Überwachungsnternehmens (Verantwortlicher) überprüft. Dazu musste der Verantwortliche alle Fragen der Behörde zum Verständnis relevanter technischer und tatsächlicher Prozesse beantworten. Der Verantwortliche beantwortete die gestellten Fragen jedoch nicht zufriedenstellend, weshalb eine Prüfung aufgrund mangelnder Nachvollziehbarkeit der Funktionsweise des Parkraumüberwachungssystems vorerst nicht möglich war. Das Unternehmen wurde deshalb zunächst wegen Verstoßes gegen die Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO) zu einer beabsichtigten Untersagung er Überwachung aufgrund fehlender Überprüfbarkeit angehört, sowie hinsichtlich der unterbliebenen angemessenen Mitwirkung gemäß Art. 31 DSGVO bis zur vollständigen Offenlegung der Funktionsweise des Systems ein Ordnungswidrigkeitsverfahren eingeleitet.
ds² Unternehmensberatung GmbH & Co. KG
Falkenstraße 10
33775 Versmold
+49 5423 9599320