Die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI) hat ein Bußgeld in Höhe von 215.000 EURO gegen ein Unternehmen u.a. wegen datenschutzwidriger Speicherung von Gesundheitsdaten und Interesse an Betriebsratsgründung von Beschäftigten in der Probezeit verhängt.
Die Pressemitteilung des der BlnBDI: Eine Liste mit Informationen über Beschäftigte in der Probezeit
Die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI) hat gegen ein Unternehmen Bußgelder in Höhe von insgesamt 215.000 Euro verhängt. Das Unternehmen hatte u. a. unzulässigerweise sensible Informationen über den Gesundheitszustand einzelner Beschäftigter oder deren Interesse an einer Betriebsratsgründung dokumentiert. Der Bußgeldbescheid ist noch nicht rechtskräftig.
Um mögliche Kündigungen zum Ende der Probezeit vorzubereiten, führte eine Vorgesetzte auf Weisung der Geschäftsführung des Unternehmens von März bis Juli 2021 eine tabellarische Übersicht aller Beschäftigten in der Probezeit. Die Berliner Datenschutzbeauftragte erfuhr durch Medienberichte und eine persönliche Beschwerde eines Betroffenen von dem Vorfall und leitete eine Prüfung ein.
In der Übersicht listete die Vorgesetzte alle Mitarbeitenden in der Probezeit auf und bewertete die weitere Beschäftigung von elf Personen als „kritisch“ oder „sehr kritisch“. Diese Einstufung wurde in einer Tabellenspalte mit der Überschrift „Begründung“ näher erläutert. Hier fanden sich Angaben zu persönlichen Äußerungen sowie gesundheitlichen und außerbetrieblichen Gründen, die einer flexiblen Schichteinteilung entgegenstehen würden. Auch ein mögliches Interesse an der Gründung eines Betriebsrates und die regelmäßige Teilnahme an einer Psychotherapie wurden hier genannt. In vielen Fällen hatten die Beschäftigten die aufgeführten Informationen selbst für die Dienstplanung mitgeteilt. Die Weiterverarbeitung in der Liste war ihnen nicht bekannt.
Die Berliner Datenschutzbeauftragte kam bei ihrer Prüfung zu dem Ergebnis, dass die Verarbeitung der erhobenen Daten in den beanstandeten Fällen nicht rechtmäßig war. Zusätzlich zur Ahndung dieses strukturellen Verstoßes verhängte die BlnBDI gegen das Unternehmen drei weitere Bußgelder in Höhe von insgesamt rund 40.000 Euro wegen fehlender Beteiligung der betrieblichen Datenschutzbeauftragten bei der Erstellung der Liste, verspäteter Meldung einer Datenpanne und fehlender Erwähnung der Liste im Verarbeitungsverzeichnis.
Meike Kamp, Berliner Beauftragte für Datenschutz und Informationsfreiheit: „Die Erhebung, Speicherung und Verwendung von Beschäftigtendaten müssen stets im zulässigen Zusammenhang mit dem Beschäftigungsverhältnis erfolgen. Das war in diesem Fall nicht gegeben. Insbesondere Gesundheitsdaten sind besonders sensitive Informationen, die nur in engen Grenzen verarbeitet werden dürfen.“
Grundsätzlich dürfen Arbeitgeber:innen Überlegungen anstellen, inwiefern Beschäftigte weiterbeschäftigt werden sollen und insofern auch personenbezogene Daten verarbeiten. Die verarbeiteten Daten müssen jedoch für diesen Zweck geeignet und erforderlich sein. Sie dürfen nur Rückschlüsse auf Leistung oder Verhalten zulassen, die in unmittelbarem Zusammenhang mit dem Beschäftigungsverhältnis stehen. Arbeitgeber:innen dürfen auch von Beschäftigten selbst mitgeteilte Informationen nicht einfach weiterverarbeiten, sondern müssen prüfen, ob die Verarbeitung erforderlich und angemessen ist.
Bei der Bemessung der Bußgelder berücksichtigte die BlnBDI den Umsatz des Unternehmens und die Anzahl der betroffenen Beschäftigten. Außerdem wurde berücksichtigt, dass insbesondere die Verarbeitung von Gesundheitsdaten ohne Rechtsgrundlage einen besonders schwerwiegenden Verstoß darstellt. Bußgeldmindernd wurde u. a. berücksichtigt, dass das Unternehmen umfassend mit der BlnBDI kooperiert hat und den Verstoß nach öffentlichem Bekanntwerden bereits ohne Aufforderung von sich aus abgestellt hat.
Die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI) hat ein Bußgeld in Höhe von 300.000 EURO gegen eine Bank wegen mangelnder Transparenz bei der automatisierter Ablehnung eines Kreditantrags verhängt.
Die Pressemitteilung der BlnBDI: 300.000 Euro Bußgeld gegen Bank nach mangelnder Transparenz über automatisierte Ablehnung eines Kreditkartenantrags - Computer sagt Nein
Die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI) hat gegen eine Bank ein Bußgeld in Höhe von 300.000 Euro wegen mangelnder Transparenz über eine automatisierte Einzelentscheidung verhängt. Die Bank hatte sich geweigert, einem Kunden nachvollziehbare Auskünfte über die Gründe der automatisierten Ablehnung eines Kreditkartenantrags zu erteilen. Das Unternehmen hat umfassend mit der BlnBDI kooperiert und den Bußgeldbescheid akzeptiert.
Eine automatisierte Entscheidung ist eine Entscheidung, die ein IT-System ausschließlich auf Grundlage von Algorithmen und ohne menschliches Eingreifen trifft. Für diesen Fall sieht die Datenschutz-Grundverordnung (DSGVO) spezielle Transparenzpflichten vor. So müssen personenbezogenen Daten in einer für die betroffenen Personen nachvollziehbaren Weise verarbeitet werden. Betroffene Personen haben einen Anspruch auf Erläuterung der nach einer entsprechenden Bewertung getroffenen Entscheidung. Beantragen betroffene Personen bei den Verantwortlichen eine Auskunft, müssen diese aussagekräftige Informationen über die involvierte Logik hinter der automatisierten Entscheidung erteilen.
In diesem Fall beherzigte die Bank dies jedoch bei ihrem digitalen Antrag für eine Kreditkarte nicht. Über ein Online-Formular fragte die Bank verschiedene Daten über Einkommen, Beruf und Personalien des Antragstellers ab. Anhand der abgefragten Informationen und zusätzlicher Daten aus externen Quellen lehnte der Bank-Algorithmus den Antrag des Kunden ohne besondere Begründung ab. Der Algorithmus basiert auf zuvor von der Bank definierten Kriterien und Regeln.
Da der Kunde einen guten Schufa-Score und ein regelmäßiges hohes Einkommen hatte, bezweifelte er die automatisierte Ablehnung. Die Bank machte auch auf Nachfrage lediglich pauschale und vom Einzelfall gelöste Angaben zum Scoring-Verfahren. Sie weigerte sich jedoch, ihm mitzuteilen, warum sie in seinem Fall von einer schlechten Bonität ausging. Der Beschwerdeführer konnte somit nicht nachvollziehen, welche Datenbasis und Faktoren der Ablehnung zugrunde lagen und anhand welcher Kriterien sein Kreditkartenantrag dementsprechend abgelehnt worden ist. Ohne diese Einzelfallbegründung war es ihm aber auch nicht möglich, die automatisierte Einzelentscheidung sinnvoll anzufechten. Daraufhin beschwerte er sich bei der Datenschutzbeauftragten.
Meike Kamp, Berliner Beauftragte für Datenschutz und Informationsfreiheit: „Wenn Unternehmen automatisiert Entscheidungen treffen, sind sie verpflichtet, diese stichhaltig und nachvollziehbar zu begründen. Die Betroffenen müssen in der Lage sein, die automatisierte Entscheidung nachzuvollziehen. Dass die Bank in diesem Fall auch auf Anfrage nicht transparent und nachvollziehbar über die automatisierte Ablehnung informiert hat, hat ein Bußgeld zur Folge. Eine Bank ist verpflichtet, die Kund:innen bei der automatisierten Entscheidung über einen Kreditkartenantrag über die tragenden Gründe einer Ablehnung zu unterrichten. Hierzu zählen konkrete Informationen zur Datenbasis und den Entscheidungsfaktoren sowie die Kriterien für die Ablehnung im Einzelfall.“
Die Datenschutzbeauftragte hat festgestellt, dass die Bank in dem konkreten Fall gegen Art. 22 Abs. 3, Art. 5 Abs. 1 lit. a und Art. 15 Abs. 1 lit. h DSGVO verstoßen hat. Bei der Bußgeldzumessung berücksichtigte die BlnBDI insbesondere den hohen Umsatz der Bank sowie die vorsätzliche Ausgestaltung des Antragsprozesses und der Auskunft. Als bußgeldmindernd wurde u. a. eingestuft, dass das Unternehmen den Verstoß eingeräumt sowie Änderungen an den Prozessen bereits umgesetzt und weitere Verbesserungen angekündigt hat.
Die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI) hat ein Bußgeld in Höhe von 525.000 EURO gegen einen Berliner E-Commerce-Konzern wegen Verstoßes gegen die Vorgaben der DSGVO durch einen Interessenkonflikt des betrieblichen Datenschutzbeauftragten verhängt. Die Datenschutzbehörde hatte vor Verhängung des Bußgelds fruchtlos eine Verwarnung ausgesprochen.
Die Pressemitteilung der BlnBDI: Interessenkonflikt des betrieblichen Datenschutzbeauftragten: 525.000 Euro Bußgeld gegen die Tochtergesellschaft eines Berliner E-Commerce-Konzerns
Die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI) hat gegen die Tochtergesellschaft eines Berliner Handelskonzerns ein Bußgeld in Höhe von 525.000 Euro wegen eines Interessenkonflikts des betrieblichen Datenschutzbeauftragten verhängt. Das Unternehmen hatte einen Datenschutzbeauftragten benannt, der Entscheidungen unabhängig kontrollieren sollte, die er selbst in einer anderen Funktion getroffen hatte. Das Bußgeld ist noch nicht rechtskräftig. Betriebliche Datenschutzbeauftragte haben eine wichtige Aufgabe: Sie beraten das Unternehmen hinsichtlich der datenschutzrechtlichen Pflichten und kontrollieren die Einhaltung der Datenschutzvorschriften. Diese Funktion dürfen gemäß Art. 38 Abs. 6 Satz 2 Datenschutz-Grundverordnung (DS-GVO) ausschließlich Personen ausüben, die keinen Interessenkonflikten durch andere Aufgaben unterliegen. Das wäre zum Beispiel bei Personen mit leitenden Funktionen im Unternehmen der Fall, die selber maßgebliche Entscheidungen über die Verarbeitung von personenbezogenen Daten im Unternehmen treffen. Die Aufgabe darf demnach nicht von Personen wahrgenommen werden, die sich dadurch selbst überwachen würden.
So ein Interessenkonflikt lag nach Auffassung der BlnBDI im Falle eines Datenschutzbeauftragten einer Tochtergesellschaft eines Berliner E-Commerce-Konzerns vor. Die Person war gleichzeitig Geschäftsführer von zwei Dienstleistungsgesellschaften, die im Auftrag genau jenes Unternehmens personenbezogene Daten verarbeiteten, für die er als Datenschutzbeauftragter tätig war. Diese Dienstleistungsgesellschaften sind ebenfalls Teil des Konzerns; stellen den Kund:innenservice und führen Bestellungen aus.
Der Datenschutzbeauftragte musste somit die Einhaltung des Datenschutzrechts durch die im Rahmen der Auftragsverarbeitung tätigen Dienstleistungsgesellschaften überwachen, die von ihm selbst als Geschäftsführer geleitet wurden. Die BlnBDI sah in diesem Fall einen Interessenkonflikt und damit einen Verstoß gegen die Datenschutz-Grundverordnung. Die Aufsichtsbehörde erteilte daher im Jahr 2021 zunächst eine Verwarnung gegen das Unternehmen.
Nachdem eine erneute Überprüfung in diesem Jahr ergab, dass der Verstoß trotz der Verwarnung weiterbestand, verhängte die BlnBDI das Bußgeld, das noch nicht rechtskräftig ist.
Volker Brozio, kommissarischer Dienststellenleiter der BlnBDI: „Dieses Bußgeld unterstreicht die bedeutende Rolle der Datenschutzbeauftragten in Unternehmen. Ein Datenschutzbeauftragter kann nicht einerseits die Einhaltung des Datenschutzrechts überwachen und andererseits darüber mitentscheiden. Eine solche Selbstkontrolle widerspricht der Funktion eines Datenschutzbeauftragten, der gerade eine unabhängige Instanz sein soll, die im Unternehmen auf die Einhaltung des Datenschutzes hinwirkt.“
Bei der Bußgeldzumessung berücksichtigte die BlnBDI den dreistelligen Millionenumsatz des ECommerce-Konzerns im vorangegangen Geschäftsjahr und die bedeutende Rolle des Datenschutzbeauftragten als Ansprechpartner für die hohe Zahl an Beschäftigten und Kund:innen. Berücksichtigung fand auch die vorsätzliche Weiterbenennung des Datenschutzbeauftragten über fast ein Jahr trotz der bereits erteilten Verwarnung. Als bußgeldmindernd wurde u. a. eingestuft, dass das Unternehmen umfangreich mit der BlnBDI zusammengearbeitet und den Verstoß während des laufenden Bußgeldverfahrens abgestellt hat.
„Zur Vermeidung von Datenschutzverstößen sollten Unternehmen etwaige Doppelrollen der betrieblichen Datenschutzbeauftragten in Konzernstrukturen auf Interessenkonflikte hin prüfen“, sagt Brozio. „Das gilt insbesondere dann, wenn Auftragsverarbeitungen oder gemeinsame Verantwortlichkeiten zwischen den Konzerngesellschaften bestehen.“
Das LG Köln hat entschieden, dass der Anspruchsteller bei der Geltendmachung eines Anspruchs auf Unterlassung der Löschung eines Videos durch YouTube im Rahmen eines einstweiligen Verfügungsverfahrens glaubhaft machen muss, Vertragspartner des Videoplattform zu sein.
Die Pressemitteilung des Gerichts:
Die Betreiberin eines Videokanals kann von YouTube nicht die Unterlassung der Löschung eines weiteren Videos auf ihrer Plattform verlangen
Der neue Antrag der Betreiberin des Videokanals auf Unterlassung der Löschung eines weiteren Videos wurde von dem Landgericht Köln mit Beschluss vom 25.10.2021 zurückgewiesen. Die Richter stellten darauf ab, dass die Antragstellerin nicht hinreichend dargelegt und glaubhaft gemacht habe, dass ihr selbst ein vertraglicher Anspruch gegen die Videoplattform zustehen würde.
Vertragspartner werde derjenige, der einen Kanal bei der Antragsgegnerin eröffnet. Die Videoplattform hatte allerdings bestritten, dass die Antragstellerin diejenige ist, die den Kanal im Juli 2021 eröffnet hat. Sie soll ihn nur betreiben, wäre damit nicht Vertragspartnerin und habe selbst keinen Anspruch. Diese Fallgestaltung weicht von den bisherigen Fallgestaltungen ab, so dass sich die Entscheidung nicht in Widerspruch zu den bisherigen Beschlüssen setzt. In dem Fall der erlassenen einstweiligen Verfügungen war kein entsprechender Vortrag von der Videoplattform erfolgt, weshalb die Kammer bei den früheren Entscheidungen keinen Anlass hatte, an der Stellung der Antragstellerin als Vertragspartnerin zu zweifeln.
Das LG Köln hat entschieden, dass YouTube den Kanalbetreiber bei Löschung von Videos wegen Verstoßes gegen die YouTube-Richtlinien konkret mitteilen muss, durch welche Passagen gegen welche Vorschriften verstoßen wurde.
Die Pressemitteilung des Gerichts:
YouTube hat die Löschung zweier Videos auf ihre Plattform zu unterlassen
Die Antragstellerin betreibt einen Videokanal bei der Antragsgegnerin und veröffentlichte zwei Videos mit einer Länge von 26 Minuten, bzw. 29 Minuten mit Interviews und Berichten zum Thema Corona. Die Video-Plattform löschte diese Videos.
Das Landgericht Köln hat es der Video-Plattform im Wege einer einstweiligen Verfügung, Beschlüsse vom 11.10.2021, unter Androhung von Ordnungsmitteln untersagt, diese Videos zu löschen und die Antragstellerin wegen des Inhalts der Videos mit einer Verwarnung zu versehen.
Der Betreiberin des Videokanals stünde ein vertraglicher Anspruch gegen die Video-Plattform zu, der diese zur Bereitstellung ihrer Dienste verpflichtet. YouTube sei zur Löschung nicht berechtigt gewesen. Die Videoplattform habe der Antragstellerin nicht konkret genug mitgeteilt, welche Passagen ihrer Meinung nach gegen welche Vorschrift der von ihr aufgestellten Richtlinien verstoßen würden. Nur bei kurzen Videos mit offensichtlich auf den ersten Blick erkennbaren medizinischen Fehlinformationen dürfte eine Löschung auch ohne Benennung der konkreten Passagen durch die Plattform zulässig sein. Dies gelte allerdings nicht für längere Videos, die auch zulässige Äußerungen enthielten.
Die Beschlüsse im einstweiligen Verfügungsverfahren wurden bisher noch nicht zugestellt. Die Antragsgegnerin hat die Möglichkeit, gegen die Beschlüsse beim Landgericht Köln Widerspruch einzulegen. Dann wird das Landgericht aufgrund einer mündlichen Verhandlung zu prüfen haben, ob die einstweiligen Verfügungen durch Urteil zu bestätigen oder
aufzuheben sind. Gegen ein solches Urteil wäre das Rechtsmittel der Berufung beim Oberlandesgericht zulässig.
Die Antragstellerin hat gegenüber der Antragsgegnerin aus § 241 Abs. 1 BGB in Verbindung mit dem zwischen den Parteien bestehenden Vertrag einen Anspruch darauf, dass diese es unterlässt, das im Tenor genannten Video zu löschen und seinen Kanal wegen dieses Videos mit einer Verwarnung zu belegen. Durch den zwischen den Parteien geschlossenen Nutzungsvertrag verpflichtet sich die Antragsgegnerin zur Bereitstellung ihrer Dienste. Hierzu gehört die Möglichkeit, Videos hochzuladen. Diese vertraglich eingeräumte Möglichkeit hat die Antragsgegnerin der Antragstellerin durch die Löschung der Videos genommen und damit gegen die Verpflichtung, dem Antragsgegner ihre Infrastruktur als Plattform zur Verfügung zu stellen, verstoßen.
Hierzu war sie nicht berechtigt. Der Antragstellerin wurde schon nicht mitgeteilt, welche Passage des Videos gegen die Richtlinien verstoßen soll, so dass auch der Kammer eine entsprechende Überprüfung nicht möglich war. Damit ist nicht ersichtlich, dass - worauf sich die Antragsgegnerin ausweislich einer entsprechenden Mitteilung an die Antragstellerin alleine beruft - die Antragstellerin gegen die Richtlinien der Antragsgegnerin zu medizinischen Fehlinformationen verstoßen würde. Nur bei einem kurzen Video mit einer offensichtlichen auf den ersten Blick erkennbaren medizinischen Fehlinformation dürfte eine Löschung auch ohne Benennung der konkreten Passage durch die Antragsgegnerin zulässig sein. Dies gilt hingegen nicht für längere Videos (wie das vorliegende mit einer Länge von etwa 26 Minuten), die auch eine Vielzahl von eindeutig zulässigen Äußerungen enthalten.
Es besteht auch eine Wiederholungsgefahr. Die einmalige Verletzung indiziert hier bereits die Wiederholungsgefahr. Diese wurde auch nicht durch eine strafbewehrte Unterlassungserklärung ausgeräumt.
