DSGVO – Die 5 wichtigsten Urteile aus dem Jahr 2019

Das Jahr 2019 brachte einige Erneuerungen und Konkretisierungen im Bereich Datenschutz mit sich. Sowohl kleinere Gerichte, als auch der EuGH selber, wurden mit Fragen im Rahmen der DSGVO konfrontiert.

Fünf der wichtigsten Urteile und Entscheidungen hier zusammengefasst:

 

  1. Verstöße gegen die DSGVO können wettbewerbswidrig sein

Im verhandelten Fall verkaufte ein Apotheker über die Plattform Amazon-Marketplace rezeptfreie, apothekenpflichtige Medikamente. Dabei erhob und verarbeitete er Bestelldaten der Kunden. Allerdings unterließ er es eine ausdrückliche Einwilligung der Kunden einzuholen. Eine mit diesem Apotheker im Wettbewerb stehende stationäre Apotheke, klagte nun gegen diesen Verkäufer mit der Begründung es läge ein unlauterer Wettbewerb vor, weil gegen die DSGVO verstoßen werde. Das verhandelnde Gericht entschied hierbei, dass auch Regelungen der Datenschutz-Grundverordnung als Marktverhaltensregeln i. S. d. § 3a UWG eingeordnet werden können und ein Verstoß im Ergebnis einen lauterkeitsrechtlichen Unterlassungsanspruch begründen kann.

Die Richter bestätigten zwar, dass derzeit rechtlich noch unklar ist, ob DSGVO-Verstöße wettbewerbswidrig sind. Im vorliegenden Fall waren jedoch die Marktverhaltensregeln zu beachten. Diese sind laut des Gerichts jedoch nicht bei jeder Norm der DSGVO relevant. Ob Verstöße gegen die DSGVO wettbewerbswidrig sind, kann also nicht generalisiert werden.

  1. Telefonnotizen sind personenbezogene Daten

Das Oberlandesgericht beschäftigte sich 2019 mit dem Auskunftsersuch nach Art. 15 DSGVO. Im konkret verhandelten Fall ging unter anderem um einen Auskunftsanspruch eines Versicherungskunden. Dieser begehrte als Betroffener gegenüber dem Versicherungsunternehmen Auskunft zu seinen gespeicherten personenbezogenen Daten. Mit der Herausgabe seiner Stammdaten gab er sich nicht zufrieden und verlangte darüber hinaus auch über Telefonnotizen und Telefonvermerke zu informieren. Die Versicherung meinte, dass diese Forderung sich nicht aus Art. 15 DSGVO ergäbe.

Das Gericht gab dem Kläger Recht. Nicht nur nach außen erkennbaren Stamm-Daten (z.B. Name, Adresse, Geburtsdatum), sondern auch sachliche Informationen (hier die Telefonnotizen) gehören zu den personenbezogenen Daten. Durch die immer fortschrittlichere Entwicklung der Informationstechnologie mit ihren umfassenden Verarbeitungs- und Verknüpfungsmöglichkeiten gibt es keine belanglosen Daten mehr. Sobald in Gesprächsvermerken oder Telefonnotizen Aussagen einer betroffenen Person oder Aussagen über diese dokumentiert werden, kann von personenbezogenen Daten gesprochen werden.

  1. EuGH Entscheidung zum „Facebook-Like“-Button

Betreiber einer Webseite, die den „Gefällt mir“-Button auf ihrer Webseite mit einbinden sind nach Auffassung des EuGH gemeinsam mit Facebook verantwortlich für die Erhebung und Übermittlung der Webseitenbesucher. Der Webseitenbetreiber stelle Facebook die Daten zur Verfügung.

Außerdem hat der EuGH festgestellt, dass der Einsatz des „Gefällt mir“-Buttons von Facebook einer Einwilligung (und vollständiger Datenschutzinformationen) bedarf, soweit bei dem Button tatsächlich Cookies gesetzt werden. Werden keine Cookies gesetzt, kann das berechtigte Interesse als Rechtsgrundlage herangezogen werden.

  1. Einwilligung für Cookies erforderlich – EuGH Urteil

Der EuGH hat im Oktober 2019 entschieden, dass eine Einwilligung für die Verwendung von Cookies im Browser notwendig ist.
Das bedeutet, dass die simplen Cookie-Banner nicht mehr verwendet werden können. Ebenfalls sind die Voraussetzungen an eine Einwilligung einzuhalten, sodass keine Vorauswahl bei den Feldern getroffen werden darf.

Nicht nötig ist eine Einwilligung hingegen bei technisch notwendigen Cookies oder Cookies für die Darstellung der Webseite gesetzt werden. Sofern jedoch Cookies zu Werbe- und Analysezwecken gesetzt werden, ist eine Einwilligung Pflicht.

  1. Betriebsrat und die DSGVO

Hintergrund dieses Falles war das Ersuchen eines Betriebsrates in die Bruttoentgeltlisten Einsicht zu erhalten. Begründet hatte der Betriebsrat sein Begehr mit dem Umstand, dass dies die einzige Möglichkeit sei, um festzustellen, ob Regelungen des Tarifvertrages eingehalten werden würden und um Benachteiligungen von Arbeitnehmern zu verhindern. Bei diesen Entgeltlisten ist hierbei unter anderem der Klarname der Mitarbeiter einsehbar.

Das verhandelnde Gericht stimmt dem Betriebsrat zu. Zentrale Frage aus Sicht des Datenschutzes war, ob es sich hier um eine Verarbeitung iSd DSGVO handle. Das Gericht stellte hierbei fest, dass eine solche Verarbeitung hier vorliege. Es spiele daher in diesem Fall jedoch keine Rolle, ob der Betriebsrat als Dritter anzusehen ist.

Ob ein Betriebsrat selbst Verantwortlicher oder Adressat datenschutzrechtlicher Pflichten als Teil des Arbeitgebers ist, ließ das Gericht in diesem Fall unbeantwortet. Die Entscheidung hat aus Sicht des Datenschutzes dennoch eine nicht abzusprechende Wichtigkeit, da sie Schlussfolgerungen weit über den Rand des Beschäftigtendatenschutzes hinaus ermöglicht.