Dr. Ole Damm | Rechtsanwalt & Fachanwalt
IT-Recht, IP-Recht und Datenschutzrecht
Aktuelle Beiträge und Urteile
- OLG Frankfurt a.M.: Softwarehersteller haftet für unerlaubte Cookies, die beim Betrieb seiner Software durch Dritte gesetzt werdenveröffentlicht am 5. September 2024
OLG Frankfurt a.M., Urteil vom 27.06.2024, Az. 6 U 192/23
§ 2 TTDSG, § 25 TTDSG, Verordnung (EU) 2016/679Das OLG Frankfurt a.M. hat entschieden, dass ein Hersteller von Software, die von anderen Unternehmen im Kontakt mit Endverbrauchern genutzt wird, für Datenschutzverletzungen haftet, die durch das Setzen von Cookies der Software ohne Einwilligung der Nutzer entstehen. Unerheblich sei insoweit, dass der Hersteller seine gewerblichen Kunde zur Einholung der datenschutzrechtlichen Einwilligung verpflichte, diese aber solchen Verpflichtungen nicht nachkämen. Zum Volltext der Entscheidung:
(mehr …) - OLG Frankfurt a.M.: Zum Streitwert in einem datenschutzrechtlichen Verfahren gegen Facebookveröffentlicht am 2. September 2024
OLG Frankfurt a.M., Beschluss vom 11.07.2024, Az. 6 W 36/24
§ 63 S. 1 Nr- 2 GKG, § 68 GKGDas OLG Frankfurt a.M. hat entschieden, dass für datenschutzrechtliche Verfahren in Zusammenhang mit einem Facebook-Datenleck ein Streitwert von 3.000 EUR anzusetzen ist. Im Übrigen sei bei einer Streitwertbeschwerde auch ein geringerer bzw. höher Betrag als angegriffen möglich (reformatio in peius). Zum Volltext der Entscheidung: (mehr …)
- LG Mannheim: Zum Nachweis technischer und organisatorischer Maßnahmen nach Art. 32 Abs. 1 DSGVO / 2024veröffentlicht am 22. Juli 2024
LG Mannheim, Urteil vom 15.03.2024, Az. 1 O 99/23
Art. 15 EUV 2016/679, Art. 25 EUV 2016/679, Art. 32 Abs. 1 EUV 2016/679, Art. 82 Abs. 1 EUV 2016/679Das LG Mannheim hat die Frage, was geeignete technische und organisatorische Maßnahmen im Sinne von Art. 32 Abs. 1 DSGVO sind, konkretisiert. Gem. Art. 32 Abs. 1 DSGVO muss der Verantwortliche unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen treffen , um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Es obliege, so die Kammer, der Beklagten aufgrund ihrer Rechenschaftspflicht in Art. 5 Abs. 2, 24 Abs. 1 DSGVO darzulegen und zu beweisen, dass die von ihr getroffenen Sicherheitsmaßnahmen i.S.v. Art. 32 DSGVO in diesem Sinne gewesen geeignet waren (vgl. EuGH, Urteil vom 14.12.2023 – C-340/21). Eine schlagwortartige Benennung von Maßnahmen wie Übertragungsgrenzen oder Bot-Erkennung seien insoweit nicht ausreichend. Vielmehr hätte es zunächst einer Bewertung des Schutzniveaus der Daten (nach BSI-Grundschutz 200-2: „Schutzbedarfsfeststellung“; ebenso das Standard-Datenschutzmodell der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder) bedurft. Sodann sei es erforderlich gewesen, ausgehend von dem Schutzniveau der Daten und dem Verarbeitungsvorgang, etwaige Risiken zu identifizieren und zu bewerten (nach BSI-Grundschutz: Risikoanalyse; nach Standard-Datenschutzmodell: Risikobetrachtung). Erst an dieser Stelle, also wenn das Schutzniveau der personenbezogenen Daten bestimmt, die beteiligten Verarbeitungsvorgänge (Geschäftsprozesse) analysiert und die einzelnen Risiken diesbezüglich festgestellt und bewertet worden seien, komme es auf die konkreten technischen und organisatorischen Maßnahmen an, um den jeweiligen Risiken in geeigneter und angemessener Weise zu begegnen (nach BSI-Grundschutz 200-2: „Modellierung“). Entsprechend unterscheidet auch der Europäische Gerichtshof zwischen zwei Schritten: Zum einen seien die von der betreffenden Verarbeitung ausgehenden Risiken einer Verletzung des Schutzes personenbezogener Daten und ihre möglichen Folgen für die Rechte und Freiheiten natürlicher Personen zu ermitteln. Diese Beurteilung müsse konkret unter Berücksichtigung der Eintrittswahrscheinlichkeit und Schwere der ermittelten Risiken erfolgen. Zum anderen sei zu prüfen, ob die vom Verantwortlichen getroffenen Maßnahmen unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke dieser Verarbeitung diesen Risiken angemessen seien (EuGH, Urteil vom 14.12.2023 – C-340/21, Rn. 42). Zum Volltext der Entscheidung: (mehr …)
- LG Lübeck: Kein DSGVO-Schadensersatz wegen Datenlecks nur wegen Bestätigung bei haveibeenpawned.com / 2024veröffentlicht am 18. Juli 2024
LG Lübeck, Urteil vom 16.02.2024, Az. 15 O 214/23
Art. 81 Abs. 1 DSGVODas LG Lübeck hat entschieden, dass ein Beweisantritt für eine auf Grund eines Datenlecks erfolgten Weitergabe von personenbezogenen Daten an Dritte nicht mittels der INternetplattform https:///haveibeenpwned.com erfolgen kann. Dort kann unter Eingabe der E-Mail-Adresse eines Nutzers dessen Betroffenheit von einem Datenleck erfragt werden. Aus einer Bestätigung ergebe sich allerdings nicht der Vollbeweis, dass die Angaben auf der Internetseite https:///haveibeenpwned.com zutreffend seien, so die Kammer. Es sei nicht bekannt, auf welcher Grundlage der Betreiber der Internetseite https:///haveibeenpwned.com die Betroffenheit individueller Nutzer ermittele. Es sei wohl auch nicht Sinn und Zweck dieser Internetseite, einen gerichtsfesten Beweis für die Betroffenheit des jeweiligen Nutzers, der seine E-Mail-Adresse dort eingibt, zu erbringen. Der Verweis des Bundesamtes für Sicherheit in der Informationstechnik in einer Pressemitteilung auf die Internetseite https:///haveibeenpwned.com, reiche ebenfalls nicht für den Vollbeweis, dass die Angaben auf der Internetseite https:///haveibeenpwned.com richtig seien. Die Kammer verwies im Übrigen auch auf die Entscheidung LG Stuttgart, Urteil vom 24.01.2024, Az. 27 O 92/23. Zum Volltext der Entscheidung: (mehr …)
- LG Augsburg: Kein Schadensersatz wegen unerlaubter Weitergabe von Daten aus Handyvertrag / 2024veröffentlicht am 4. Juli 2024
LG Augsburg, Endurteil vom 06.06.2024, Az. 114 O 4038/23
Art. 5 DSGVO, Art. 6 DSGVO, § 256 ZPODas LG Augsburg hat entschieden, dass die „Einmeldung“ von Daten aus einem telekommunikatinsvertrag (Name, Vertragsbeginn etc.) ohne Einwilligung des Verbrauchers diesen nicht zu einem Schadensersatz berechtigte. Die Weitergabe der Daten dienr vielmehr dem Schutz des Verbrauchers vor Identitätsdiebstahl und sonstigen Betrugsstraftaten und liege daher im im wohlverstandenen Interesse des Verbrauchers. Soweit die Klägerin als Folge der Weitergabe ihrer Daten ohne ihre Einwilligung eine Depressionserkrankung behaupte, müsse ein solcher Vortrag mit der Klageschrift erfolgen und nicht erst in der mündlichen Verhanldung. Dies sei verspätet. Vgl. auch LG Ansbach, Endurteil vom 20.06.2024, Az. 2 O 1111/23. Zum Volltext der Entscheidung:
(mehr …) - EuGH: Kein Schadensersatz nach DSGVO bei Datenklau / 2024veröffentlicht am 3. Juli 2024
EuGH, Urteil vom 20.06.2024, Az. C-182/22 / Az. C-189-22
Art. 82 DSGVODer EuGH hat entschieden, dass der Betreiber einer Trading-Plattform, dem durch einen Hacker-Angriff Kundendaten verloren gehen, den Kunden keinen Schadensersatz zu zahlen hat, wenn zwar ein Kontrollverlust über die Daten entsteht, ein tatsächlicher Missbrauch der Daten (z.B. Identitätsdiebstahl) aber nicht festgestellt werden kann. Die bloße Möglichkeit eines Datenmissbrauchs verpflichte nicht zum Schadensersatz. Mit einem immateriellen Schadensersatz solle nur ein tatsächlich erlittener Schaden kompensiert werden (Kompensations- oder Ausgleichsfunktion). Ihm liege indes keine Genugtuungsfunktion oder gar ein Strafzweck zu Grunde. Zum Volltext der Entscheidung:
- LG Ansbach: Kein Schadensersatz für diffuse Ängste nach einer Datenübermittlung an die SCHUFA / 2024veröffentlicht am 2. Juli 2024
LG Ansbach, Endurteil vom 20.06.2024, Az. 2 O 1111/23
Art. 82 DSGVODas LG Ansbach hat entschieden, dass mit einer „Einmeldung von Positivdaten an die SCHUFA“ kein immaterieller kausaler Schaden ensteht und somit auch kein Schadensersatz gem. Art. 82 DSGVO zu zahlen ist, weil der Betroffene (Kläger) diffuse Ängste in Bezug auf seine Daten in der SCHUFA-Datenbank entwickelt hat. Zitat aus dem Urteil: „Der Kläger behauptet, unmittelbar nach Durchsicht der SCHUFA-Auskunft habe sich ein Gefühl der Sorge, insbesondere auf die eigene Bonität, und des Kontrollverlustes eingestellt. Dieses sei geprägt von der Angst, einer unberechtigten Übermittlung an eine Auskunftei ausgesetzt zu sein, was ihn bis heute beunruhige. Er lebe seither mit der ständigen Angst vor unangenehmen Rückfragen in Bezug auf die eigene Bonität, das allgemeine Verhalten im Wirtschaftsverkehr oder einer Verfälschung des SCHUFA-Scores. Sein Unwohlsein steigere sich bis zu einer schieren Existenzsorge. Da der durch die Beklagte verursachte SCHUFA-Eintrag Einfluss auf den SCHUFA-Score habe, blieben Stress, Unruhe und ein allgemeines Unwohlsein tagtäglich zurück. Er sei in den freien Entfaltungsmöglichkeiten bei der weiteren Gestaltung des eigenen Lebens eingeschränkt. Er betrachte die Offenlegung seiner Daten äußerst zurückhaltend. Er sei sich der Praxis der Weitergabe seiner Daten durch seinen Mobilfunkanbieter an die SCHUFA bewusst gewesen. Die Ablehnung eines Kredits vor zwei Jahren führe er auf seinen SCHUFA-Score zurück. Er fürchte Schwierigkeiten bei Vertragsabschlüssen aufgrund automatisierter Entscheidungen ohne menschliche Prüfung sowie um die Sicherheit seiner Daten, falls es zu einem Hackerangriff auf die Server der SCHUFA komme.“ Dies reichte der Kammer für eine Schadensersatzforderung noch nicht aus. Zum Volltext der Entscheidung:
- OLG Hamm: Bei Bagatell-Datenschutzverstoß kein Schmerzensgeld bzw. max. 50 EUR / 2022veröffentlicht am 6. Mai 2024
OLG Hamm, Beschluss vom 19.12.2022, Az. 11 W 69/22
§ 839 BGB, Art. 34 GG, Art. 82 DSGVODas OLG Hamm hat entschieden, dass durch das unzulässige Speichern personenbezogener Daten (hier: Personen- und Adressdaten des Klägers) durch ein Jobcenter, ohne dass zuvor ein Leistungsantrag des Klägers gestellt worden war, ohne Weiterleitung der Daten an Dritte jedenfalls die Bagatellschwelle nicht überschreitet und damit auf der Grundlage eines Amtshaftungsanspruchs kein Schmerzensgeld nach Art. 82 DSGVO gerechtfertigt ist. Ohnehin ergebe sich kein Gesichtspunkt, der eine Schmerzensgeldzahlung von über 50,00 EUR rechtfertigen könnte. Dies auch dann, wenn man zugunsten des Klägers eine weite, europarechtliche Auslegung des Schadensbegriffes zugrunde lege, die neben einem individuellen Ausgleich wegen der Schutzgutverletzung, eine den Verstoß feststellende Genugtuungsfunktion und letztendlich auch eine generalpräventive Einwirkung auf den Schädiger in die Betrachtung einbeziehe(vgl. OLG Koblenz, Urteil vom 18.05.2022, 5 U 2141/21, juris Rz. 80). Zu bewerten seien in der Sache insoweit dieselben Gesichtspunkte, die im Rahmen der Amtshaftung die Bewertung rechtfertigten, dass eine dort zu berücksichtigende Bagatellgrenze nicht überschritten worden sei. Zum Volltext der Entscheidung: (mehr …)
- EuGH: Daten aus Real-Time-Bidding (RTB) sind personenbezogene Daten / IAB Europe datenschutzrechtlich mitverantwortlichveröffentlicht am 14. März 2024
EuGH, Urteil vom 07.03.2024, Az. C-604/22
Art. 4 Nr. 7 EU-VO 2016/679, Art. 4 Nr. 1 EU-VO 2016/679, Art. 26 Abs. 1 EU-VO 2016/679Auf Grund des individuellen Verhaltens eines Nutzers im Internet verbleiben Spuren, die zur Einblendung personalisierter Werbung genutzt werden können. Diese werden im Rahmen des von der Organisation IAB Europe angebotenen Real Time Bidding (RTB)-Auktionsverfahren zum Kauf angeboten. IAB Europe selbst hat keinen unmittelbaren Zugang zu den von ihren Mitgliedern innerhalb dieses Regelungsrahmens verarbeiteten personenbezogenen Daten. IAB Europe hatte in der Folge jede Verantwortung für die Datenverarbeitung abgelehnt. Dies sah der EuGH anders. Der EuGH hat entschieden, dass es sich bei einer strukturierten Abfolge von Zeichen, welche die Vorlieben eines identifizierbaren Nutzers im Internet erfasst, um personenbezogene Daten handeln kann. Im Übrigen käme auch eine Organisation, wie IAB Europe, welche selbst keinen unmittelbaren Zugang zu den von ihren Mitgliedern insoweit verarbeiteten personenbezogenen Daten habe, aber die Methode zur Generierung der Zeichenabfolge vorschreibe als „gemeinsam Verantwortlicher“ gem. Art. 4 Nr. 7 und Art. 26 Abs. 1 EU-VO 2016/679 in Betracht. Zum Volltext der Entscheidung: (mehr …)
- OLG Schleswig: SCHUFA darf aus dem Insolvenzbekanntmachungsportal gelöschte Daten nicht fortführenveröffentlicht am 31. Januar 2024
OLG Schleswig, Urteil vom 03.06.2022, Az. 17 U 5/22
Art 6 Abs. 1 S. 1 lit. f EU-VO 2016679, Art. 17 Abs. 1 lit. d EU-VO 2016679, § 29 BDSG, § 3 Abs. 1 InsoBekV, § 3 Abs 2 InsoBekVDas OLG Schleswig hat entschieden, dass die Wirtschaftsauskunftei SCHUFA Daten eines Insolvenzschuldners nicht länger verwerten darf als sie im Insolvenzbekanntmachungsportal veröffentlicht sind. Widrigenfalls verstoße die SCHUFA mit der Weiterführung der gelöschten Insolvenzdaten gegen die Datenschutz-Grundverordnung (DSGVO). Der Senat bezog sich auf seine frühere Entscheidung OLG Schleswig, Urteil vom 02.07.2021, Az. 17 U 15/21. Zum Volltext der Entscheidung:
(mehr …)