Logo der activeMind AG

EuGH entscheidet über zahlreiche Datenschutzthemen

Inhalt

Der Europäische Gerichtshof (EuGH) muss in absehbarer Zeit über mehrere Fragen entscheiden, deren Gewichtigkeit für den Datenschutz gar nicht überschätzt werden kann. Es gilt wichtige Weichen für sehr relevante Bereiche zu stellen und Vorgaben zu treffen, wie es im Datenschutzrecht in der gerichtlichen, der aufsichtsbehördlichen aber auch der unternehmerischen Praxis weiter geht. Unternehmen sind gut beraten, zu den erwarteten Entscheidungen auf dem Laufenden zu bleiben (etwa mit unserem kostenlosen Newsletter).

Zu verhandelnde Datenschutzthemen

Der Österreichische Oberste Gerichtshof (OGH) hat dem EuGH mehrere Fragen vorgelegt, die mögliche Verstöße der DSGVO durch Facebook betreffen. Auch deutsche Gerichte, darunter das Bundesarbeitsgericht (BAG) nutzen das sogenannte Vorabentscheidungsverfahren und lassen den EuGH über Streitfragen der DSGVO (Datenschutz-Grundverordnung), etwa zur Bestimmung der Höhe des immateriellen Schadensersatzes und der Rechtsgrundlage bei der Verarbeitung von Gesundheitsdaten entscheiden.

Insbesondere zu folgenden Streitfragen werden Entscheidungen mit Hochspannung erwartet:

  • Erfolgt personalisierte Werbung bei Facebook ohne Rechtsgrundlage?
  • Verstößt Facebook gegen den Grundsatz der Datenminimierung?
  • Muss ein immaterieller Schaden nach Art. 82 Abs. 1 DSGVO erheblich sein?
  • Muss neben Art. 9 Abs. 2 lit. h DSGVO zusätzlich die Rechtsgrundlage Art. 6 Abs. 1 DSGVO vorliegen?
  • Kann beim Schadensersatz gemäß Art. 82 Abs. 3 DSGVO fehlendes Verschulden zu Gunsten des Auftragsverarbeiters berücksichtigt werden?
  • Muss die Höhe des zu ersetzenden immateriellen Schadens auch unter generalpräventiven Gesichtspunkten bemessen werden?

Streitfrage zur Rechtsgrundlage bei Facebook

Die Kläger rund um Max Schrems werfen Facebook vor, keine Rechtsgrundlage für die Verarbeitung von personenbezogenen Daten zu haben. Das wäre kein Kavaliersdelikt, sondern ein eklatanter bußgeldbewehrter Verstoß gegen die DSGVO. Zudem könnten betroffene Personen Schadensersatz fordern – und betroffene Personen gäbe es in diesem Fall sehr viele.

Konkret geht es darum, dass Facebook die Daten, die es über seine Nutzer sammelt, dazu verwendet, um ihnen maßgeschneiderte Werbung anzuzeigen. Diese Werbung basiert auf den Vorlieben und Interessen, die sich aus dem Profil bzw. dem Klickverhalten der Nutzer ableiten lassen. Facebook lockt dadurch zahlende Werbetreibende auf die Plattform, die ein Interesse daran haben, personalisierte Werbung auszuspielen.

Facebook argumentiert, dass die Werbung Vertragsbestandteil der Facebook-Mitgliedschaft sei. Im Gegenzug sei die Nutzung kostenlos. Die personalisierte Werbung sei somit ein wesentlicher Bestandteil des Vertrags und zu dessen Erfüllung notwendig. Der Nutzer habe die Mitgliedschaft in Kenntnis dieses Inhalts abgeschlossen. Der mit diesem Inhalt geschlossene Vertrag bestehe solange, wie ein Nutzer sein Konto nicht löscht.

Gemäß Art. 6 Abs. 1 DSGVO benötigt jede Datenverarbeitung eine Rechtsgrundlage. Eine Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) hinsichtlich personalisierter Werbung liegt von Seiten des Nutzers nicht vor. Dies sieht auch Facebook inzwischen so, nachdem mit Einführung der DSGVO die Anforderungen an eine freie informierte Einwilligung erhöht wurden.

Die Rechtsgrundlage Vertragserfüllung (Art. 6 Abs. 1 lit b DSGVO), auf die sich Facebook nun stützt, setzt voraus, dass die Verarbeitung für das Ausspielen von personalisierter Werbung für den Nutzungsvertrag mit Facebook erforderlich ist. Der OGH möchte vom EuGH konkret wissen, ob die Datenverarbeitung durch Facebook zum Bestandteil der vertraglichen Willenserklärung gemacht und damit der deutlich höhere Schutz der Einwilligung ausgehebelt werden kann.

Zweifel dahingehend lässt die Stellungnahme des Europäischen Datenschutzausschusses (EDSA) zu. Die Erforderlichkeit sei am objektiven Vertragszweck zu messen und dürfe keine einseitig auferlegte Leistung sein, so der EDSA. Der Zweck des Vertrags müsse im sachlichen Zusammenhang zu der beabsichtigten Datenverarbeitung stehen. Der Fakt, dass die Verarbeitungszwecke in den AGB vorformuliert sind, mache sie noch nicht per se erforderlich für die Vertragserfüllung.

Ob der EuGH im Falle des Facebook-Nutzungsvertrags diese Zweifel an dem Vertragserfordernis teilt, bleibt abzuwarten. Personalisierte Werbung als vertragliche Gegenleistung für die kostenlose Nutzung eines sozialen Mediums erscheint jedenfalls konstruiert.

Weitere Streitfragen im Zusammenhang mit Facebook

Der EuGH hat darüber hinaus über die Frage zu entscheiden, ob Facebook neben dem Grundsatz der Rechtmäßigkeit der Verarbeitung auch den Grundsatz der Datenminimierung (Art. 5 DSGVO) verletzt. Facebook sammelt auch sensible Informationen aller Art (z.B. politische und sexuelle Präferenzen) von seinen Nutzern. Die Informationen stammen aus den Angaben im Profil, aber auch aus Klick- und Like-Verhalten der Nutzer. Von Facebook eingesetzte Dienstleister können die Daten z.B. mithilfe von künstlicher Intelligenz so auswerten, dass den Nutzern personalisierte Werbung zugespielt wird. Das kann dann unter anderem auch Wahlwerbung sein.

Um den Detailgrad des Targetings zu verdeutlichen, sei hier auf einen (englischsprachigen) Blogeintrag der non-profit Organisation Signal Technology Foundation verwiesen.

Das Gebot der Datenminimierung könnte Facebook dazu veranlassen, bei der Verarbeitung einen Filter für solche sensiblen Daten einzubauen. Hinzu kommt, dass besonders sensible Daten gemäß Art. 9 Abs. 2 lit. e DSGVO nur dann verarbeitet werden dürfen, wenn sie vom Betroffenen offensichtlich öffentlich gemacht wurden, so der OGH. Ob entsprechende Äußerungen der Facebook-Nutzer, z.B. durch eigene Angabe im Profil, darunterfallen, ist aber höchst zweifelhaft.

Tipp: Unsere Kollegen von der Kanzlei activeMind.legal kommentieren regelmäßig Urteile zur DSGVO bzw. zum Datenschutzrecht sowie deren Bedeutung für Praxis im Unternehmen!

Streitfrage zum immateriellen Schadensersatz

Ein Amtsgericht hatte einem Kläger immateriellen Schadensersatz nach Art. 82 Abs. 1 DSGVO verwehrt, da es an der Erheblichkeit des Schadens gefehlt habe. Der Kläger hatte eine widerrechtlich verschickte Werbe-E-Mail erhalten. Die DSGVO sieht jedoch das Kriterium der Erheblichkeit eines Schadens nicht vor. Das wird von kleineren Gerichten auch bereits so gesehen. Die Zielsetzung der DSGVO spreche für einen weiten Schadensbegriff. Die Bagatellschwelle wird aber häufig aus allgemeinen Rechtsgrundsätzen abgeleitet und auch im Anwendungsbereich der DSGVO gefordert.

Die Frage danach, wie ein immaterieller Schaden nach der DSGVO zu bemessen ist, ist daher seit ihrem Bestehen Gegenstand zahlreicher Entscheidungen und Diskussionen. Auch wir hatten diesen Streit schon andernorts aufgeworfen und diskutiert.

Der EuGH wird sich in diesem Fall nun endlich dazu bekennen müssen, ob die Erheblichkeit als Kriterium für das Bestehen eines Schadensersatzanspruchs herangezogen werden kann oder nicht. Dies wird erheblichen Einfluss darauf haben, ob und wie viele Schadensersatzklagen nach der DSGVO gestellt werden.

Streitfrage nach der Bedeutung des Verschuldungsgrads beim Schadensersatz

Der EuGH hat die Vorlagefrage des BAG zu entscheiden, ob geringes oder fehlendes Verschulden auf Seiten des Verantwortlichen oder des Auftragsverarbeiters bei der Bemessung der Höhe zu seinen Gunsten berücksichtigt werden kann.

Art. 82 Abs. 3 DSGVO sieht vor, dass der Verantwortliche bzw. Auftragsverarbeiter von der Haftung nur dann befreit wird, wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist. Wenn der EuGH die Frage positiv beantwortet, wird das in Zukunft die Höhe manches zugesprochenen Schadensersatzes verringern.

Streitfrage, ob auch generalpräventive Gesichtspunkte bei der Schadensersatzhöhe zu berücksichtigen sind

Eine weitere Frage, die das BAG dem EuGH zur Entscheidung vorgelegt hat, befasst sich mit dem spezial- oder generalpräventiven Charakter des Schadensersatz nach Art. 82 Abs. 1 DSGVO.

Wie der Begriff des Schadens in der DSGVO auszulegen ist, erläutert Erwägungsgrund 146 DSGVO. Demnach soll der Begriff des Schadens weit auf eine Art und Weise ausgelegt werden, die den Zielen der DSGVO in vollem Umfang entspricht.

Eine Ansicht vertritt, dass damit gemeint sei, dass anders als zum Beispiel im deutschen Zivilrecht, Schadensersatzforderungen nicht nur entstandene Nachteile ausgleichen, sondern darüber hinaus abschrecken und weitere Verstöße unattraktiv machen sollen. Der Schadensersatz bekäme dann einen strafenden Charakter.

In der aktuellen Rechtsprechungspraxis wird diese Frage momentan noch unterschiedlich gehandhabt. Während manche Gerichte der genannten Ansicht folgen und deshalb zu höheren Schadensersatzzahlungen verurteilen, gehen manche den Weg des klassischen Schadensersatzes und ersetzen nur den tatsächlich entstandenen Schaden.

Auch diese Frage wird enorme Auswirkungen auf die Höhe möglicher Schadensersatzansprüche haben, da die Unterschiede zum Teil enorm sind.

Streitfrage der Rechtsgrundlage bei Gesundheitsdaten

Die Frage nach der richtigen Rechtsgrundlage der Verarbeitung von Gesundheitsdaten und anderen besonders personenbezogenen Daten ist immer wieder umstritten.

Der BAG hat das nun dem EuGH mit der Frage vorgelegt, ob neben Art. 9 Abs. 2 lit. h DSGVO zusätzlich die Rechtsgrundlage Art. 6 Abs. 1 DSGVO vorliegen muss, wie es die deutschen Aufsichtsbehörden in ihrem Kurzpapier Nr. 17 aktuell verlangen.

In der Praxis ist das durchaus eine relevante Frage, da je nach Antwort des EuGHs die Findung einer Rechtsgrundlage in einigen Fällen erleichtert werden könnte.

Streitfrage des Schufa-Scorings

Schließlich liegt dem EuGH nun auch die Frage vor, ob das Schufa-Scoring gegen Art. 22 DSGVO und damit den Schutz vor automatischer Entscheidungsfindung verstößt. Durch das Scoring entsteht ein Wahrscheinlichkeitswert, der die Kreditwürdigkeit der betroffenen Person bestimmt. Es werden allgemeine statistische Informationen zu Grunde gelegt. Händler greifen auf die bei den Auskunfteien gespeicherten Daten zurück (z.B. von Banken, Versicherungen, Energieversorgern oder Immobiliengesellschaften). So glaubt die Auskunftei die Wahrscheinlichkeit eines Zahlungsausfalls anhand von Daten wie Alter, Geschlecht, Wohnort oder der Anzahl an Girokonten – unabhängig von deren Deckung – errechnen zu können, den sogenannten Score-Wert.

Das Scoring ermittelt einen Wert, der für sich genommen bereits zur Entscheidung über eine Kreditvergabe oder einen Online-Kauf führen kann. Gerade diese menschenlose Entscheidungsfindung wollte der Verordnungsgeber durch Art. 22 DSGVO verhindern. Außerdem hat der EuGH zu entscheiden, ob alternativ der § 31 BDSG als Rechtsgrundlage herangezogen werden kann oder europarechtswidrig ist. In § 31 BDSG sind weitergehende Zulässigkeitsvoraussetzungen von Scoring benannt als in der DSGVO.

Lesen Sie dazu auch unseren Ratgeber zu Profiling und automatisierter Entscheidungsfindung sowie zu Bonitätsprüfungen im Onlinehandel!

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

Gib hier deine Überschrift ein

Weiterlesen

Newsletter

Sichern Sie sich das Wissen unserer Experten.

Zweimal im Monat alles Wichtige zu Datenschutz, Informationssicherheit und künstlicher Intelligenz.