EuGH- Entscheidungen zum Datenschutzrecht Dezember 2023
Der EuGH hat im Dezember eine Reihe von Entscheidungen getroffen, zwei wichtige und eine sehr wichtige.
Ich gebe klar zu verstehen, dass jede der drei Entscheidungen für erhebliche Diskussion in den juristischen Medien sorgt. Ich selektiere hier die nach meiner Ansicht wichtigen Punkte der Entscheidungen vom 5.12.2023 (Deutsche Wohnen) und vom 14.12.2023 (NAP). Die Entscheidung zur Schufa vom 7.12.2023 bekommt noch einen eigenen Blog, da Sie für Unternehmen der IT- Branche wirklich beachtenswert ist.
1.) Deutsche Wohnen, 5.12.2023
Die erste Entscheidung betrifft die Frage, ob die DSGVO eine Unternehmenshaftung nach dem Bild der verschuldensunabhängigen Gefährdungshaftung vorsieht oder ob der EuGH die Regelungen der Verschuldenshaftung nach dem deutschen Recht anerkennen würde, (EuGH 5.12.2023, Rs 807/21- Deutsche Wohnen).
Die Entscheidung betrifft in ihrer praktischen Konsequenz im Wesentlichen die Frage nach der Beweislast im Hinblick auf die Verhängung einer Ordnungsmaßnahme, im konkreten Fall einer hohen Ordnungswidrigkeit. Zusammenfassend hat die Behörde darzulegen, dass ein Mitarbeiter eines Unternehmens oder ein sonstiger Dritter, dessen Verhalten dem belasteten Unternehmen zuzurechnen ist, im Rahmen der unternehmerischen Tätigkeit und im Namen des Unternehmens etwas getan oder unterlassen hat und durch dieses Verhalten ein schuldhafter Verstoß gegen die DSGVO vorliegt. Nicht erforderlich ist es, dass die Person namentlich bekannt ist. Die Anforderungen an die Zurechnung des Verhaltens sind ebenso niedrig wie an die Schwelle des Verschuldens. Sofern etwas passiert ist, muss man immer Nachweise (Dokumentation) vorhalten, dass man sich rechtzeitig Gedanken darüber gemacht hat, wie das Ereignis zu verhindern gewesen wäre. Sofern das schädigende Ereignis sich danach als Ausnahme in einem sonst bestehenden Schutzkonzept erweist, kann der Nachweis der mangelhaften Schuld gelingen.
Sonst wird wenig helfen. Für die IT- Unternehmen ergibt sich aus der Entscheidung recht wenig. Die meisten Unternehmen, die ich kenne und vertrete sind technisch ausreichend aufgestellt, aber es mangelt meist an einer ausreichenden Dokumentation. Ich möchte deshalb noch einmal darauf hinweisen, dass die Dokumentation der Entlastung dient. Man muss zwei Nachweise führen: Erstens darüber, dass man sich mit den Themen befasst hat, aus denen sich Risiken für die Verarbeitung personenbezogener Daten ergeben und zweitens, dass man „in Ansehung der Risiken aber eben auch der Kosten“ vernünftige Lösungen gefunden hat. Die Behörden bewerten „Ausreißer“ anders als einen generellen Mangel der Organisation.
2.) Schufa Score Wert, 7.12.2023
Die zweite Entscheidung – das ist die sehr wichtige Entscheidung – betrifft die Voraussetzungen der Zulässigkeit eines automatisierten Profilings. Der EuGH hatte es insgesamt mit drei Vorabverfahren deutscher Gerichte über die Zulässigkeit von Tätigkeiten der Schufa zu tun.
Erstens speichere die Schufa die Daten über die Beendigung eines Restschuldverfahrens zu lange. Das ist für sich genommen richtig, bedarf aber keiner weiteren Betrachtung.
Die Entscheidung ist aber deshalb wichtig, weil sie zweitens die Frage betrifft, ob und in welchem Umfang Entscheidungen, die Menschen betreffen, allein auf der (automatisierten) Arbeit von Software basieren darf.
Das Gericht erkannte, dass eine Entscheidung einer Behörde, eines Unternehmens, die auf einem automatisierten Prozess beruht und gegenüber der betroffenen Person rechtliche Wirkung entfaltet oder diese erheblich beeinträchtigt, nach Art 22 DSGVO zu beurteilen ist.
Das sei bei den Schufa- Verfahren der Fall, denn von der Einordnung der Schufa hänge meist die Entscheidung über die Vergabe eines Kredits ab. Art. 22 DSGVO besage, dass eine solche automatisierte Entscheidungsfindung grundsätzlich unzulässig sei, es sei denn, es läge ein Ausnahmetatbestand vor. Ob diese Umstände nach dem nationalen Recht bestünden, sei zu prüfen nun Aufgabe des vorlegenden Gerichts (des VG Wiesbadens, es besteht aber aktuell Einigkeit darüber, dass die Handlungen der Schufa nur durch ein neues Gesetz im Bundesdatenschutzgesetz gerettet werden können).
Wichtiger für mich als die Frage des Fortbestandes der Schufa oder der Auswirkung auf die Kreditwirtschaft sind die weitergehenden Folgen insbesondere für die Bereiche CRM, HR, Data Mining, etc. Und die sind erheblich.
Wann immer der Einsatz eines automatisierten Systems anhand eines von einer Software ermittelten Wahrscheinlichkeitswertes „eine rechtliche Wirkung“ oder „ähnlichen erheblichen Effekt“ für einen Menschen bewirkt, wird man die Entscheidung zu beachten haben. Man wird erstens zu hinterfragen haben, ob der Tatbestand des Art 22 DSGVO zu beachten ist. Falls das so ist und die Verarbeitung zulässig ist, wird man in erheblichen Umfang den Betroffenen Auskunft über den Weg des Profilings, die verwendeten Daten etc. geben müssen.
Das bedeutet z.B. für mich, dass mir bestimmte Portale erklären müssten, warum ich auf bestimmten Portalen mehr (oder weniger) Geld bezahlen soll als mein Sohn.
3.) NAP – C 340/2, 14.12.2023
NAP ist die deutsche Abkürzung für die bulgarische Agentur für Einnahmen, die dem bulgarischen Finanzministerium unterstellt ist. 2019 gab es einen Hackerangriff, bei dem Millionen von Daten von Menschen frei im Internet veröffentlicht wurden und verfügbar wurden.
Nun klagten viele Menschen vor Gericht mit dem Antrag, sie befürchteten einen Missbrauch ihrer personenbezogenen Daten (insbesondere Zahlungsdaten) und forderten auf dieser Grundlage Schadensersatz. Der EuGH, dem die Frage vorgelegt wurde, ob schon die Besorgnis über einen drohenden Schaden dafür ausreiche, Schadensersatz zu fordern, lehnte ab.
Die Entscheidung ist deshalb wichtig, weil es auch in Deutschland gleich lautende Verfahren gibt, die von den Gerichten unterschiedlich entschieden wurden. Aber: Anders als das US- Recht, in dem es punitive damages gibt (also Ordnungsgelder, die dem einzelnen zugewiesen werden, weil ein Unternehmen gegen Regelungen verstoßen hat) setzt bei uns das Bestehen eines Schadensersatzes eben das Bestehen eines Schadens voraus. Die Besorgnis über einen drohenden Schaden reicht nicht.
