Zum Inhalt Zum Menü

Datenschutz-Newsletter Januar 2024

Apotheken-Entscheidung

In dem Fall „Lindenapotheke“ (EuGH-Urt. v. 4.10.2024, C-21/23) klagte der Betreiber einer Apotheke gegen einen Wettbewerber, der über Amazon Marketplace nicht verschreibungspflichtige Medikamente vertreibt. Der Kläger argumentierte, dass die bei der Bestellung durch den Kunden verpflichtend anzugebenden Daten wie Name und Lieferadresse Gesundheitsdaten im Sinne von Art. 9 Abs. 1 DSGVO seien, deren Verarbeitung ohne die Abgabe einer ausdrücklichen Einwilligung des jeweiligen Kunden unzulässig sei. Der EuGH bestätigte diese Aussage und urteilte, dass der Begriff der Gesundheitsdaten weit auszulegen sei und somit auch Informationen mit umfasse, die mittels Ableitung auf den Gesundheitszustand einer Person schließen lassen. Demnach sei eine Einwilligung zur Verarbeitung auch dieser Daten erforderlich. Des Weiteren bestätigte der EuGH, dass Datenschutz-Verstöße nicht nur durch Betroffene und Verbraucherschutzverbänden, sondern auch durch Wettbewerber angegriffen werden können. Dies erhöhe nur das Schutzniveau der DSGVO und des Datenschutzes in der EU.

Max Schrems erneut gegen Meta-Konzern

Max Schrems hat erneut gegen Meta Platforms Ireland geklagt (EuGH-Urteil vom 04.10.2024, C-446/21). Anlass der Klage war die Tatsache, dass Meta sensible Daten über Max Schrems über dessen politische Überzeugung sowie sexuelle Orientierung zwecks der Schaltung gezielter Werbung auf Facebook verarbeitete, Meta diese Daten aber nicht über Facebook erhob, sondern Aussagen von Max Schrems entnahm, die dieser in einer öffentlichen Podiumsdiskussion in Wien offenbarte. Sein Facebook-Profil enthält bis heute keine Angaben zu diesen Informationen. Diese Datenverarbeitung erfolgte laut Schrems ohne seine dafür erforderliche ausdrückliche Einwilligung. Der EuGH urteilte, dass Daten über die sexuelle Orientierung die eine Person öffentlich mache, nicht automatisch dazu berechtige, diese zwecks der Schaltung von Werbung auf Social Media Plattformen und Webseite zu nutzen.

Beschwerde gegen französische Eisenbahngesellschaft SNCF

Der Verband Mousse hatte gegen das SNCF Beschwerde eingelegt, da beim Online-Kauf einer Zugfahrkarte die Anrede und die Geschlechtsidentität des Kunden abgefragt werden. Der EuGH urteilte am 09.01.2025 in seiner Entscheidung C-394/23, dass die Erhebung der Anrede und der Geschlechtsidentität gegen den Grundsatz der Datenminimierung verstoße, wenn keine legitimen Gründe für deren Erhebung bestünden. Ein überwiegendes berechtigtes Interesse zur Erhebung dieser Information zwecks Personalisierung der geschäftlichen Anrede sei zu verneinen, wenn dem Kunden bei Erhebung das berechtigte Interesse des Verantwortlichen nicht mitgeteilt werde, die Datenverarbeitung zur Wahrung des berechtigten Interesses nicht unbedingt notwendig ist und die Interessen, Grundrechte und Grundfreiheiten der Kunden, z.B. wegen der Diskriminierungsgefahr aufgrund der Geschlechtsidentität, schwerer wiegen. Das Urteil unterstreicht nochmal den Grundsatz der Datenminimierung und dessen hohe Bedeutung.

EuGH-Rechtsprechung zum immateriellen Schaden im Datenschutzrecht

Der EuGH hat in seiner Rechtsprechung im Jahr 2024 wichtige neue Kernaussagen zur Beurteilung des Schadens im Datenschutz getroffen. Die wichtigsten führen wir Ihnen im Folgenden auf.

  • Rein hypothetische Schäden reichen zur Begründung eines Schadensersatzanspruchs nicht aus, auch wenn die Befürchtung eines Missbrauchs personenbezogener Daten grundsätzlich einen Schaden darstellen kann.
  • Es ist Aufgabe des Verantwortlichen sich zu vergewissern, ob seine Weisungen korrekt ausgeführt werden. Eine Haftungsbefreiung nach Art. 82 DSGVO greift für den Verantwortlichen daher nicht, wenn er nachweisen kann, dass er Weisungen gegeben hat und diese missachtet wurden.
  • Die Voraussetzungen eines Identitätsdiebstahls sind erst gegeben, wenn ein Dritter tatsächlich die Identität eines Betroffenen angenommen hat und nicht bereits durch den Diebstahl personenbezogener Daten. Die Gewährung eines immateriellen Schadensersatzes ist wiederum nicht auf den Fall des Identitätsdiebstahl beschränkt.
  • Ein durch einen Datenschutzverstoß verursachter Schaden ist grundsätzlich nicht weniger schwerwiegend als eine Körperverletzung. Die Anzahl der DSGVO-Verstöße gegen einen Betroffenen bleibt bei der Bemessung des Schadensersatzes außer Betracht.
  • Eine Entschuldigung kann einen angemessenen Ersatz eines immateriellen Schadens darstellen, insbesondere, wenn die Herstellung der vorherigen Zustandes nicht möglich ist.
  • Der Verlust der Kontrolle über die eigenen personenbezogenen Daten kann für sich genommen bereits einen immateriellen Schaden begründen. Es müssen keine darüber hinausgehende Beeinträchtigungen durch den Betroffenen nachgewiesen werden.
Kerstin Kiefer

Kerstin Kiefer

Rechtsanwältin

E-Mail schreibenAnrufen

Über die Verfasserin

Frau Rechtsanwältin Kerstin Kiefer, geb. 1971, legte nach dem Studium und dem 1. Juristischen Staatsexamen an der Universität Trier das 2. juristische Staatsexamen vor dem OLG Koblenz ab. Nach einer Tätigkeit bei der KPMG Düsseldorf in den Bereichen des Wirtschafts- und Steuerrechts trat Frau Kiefer im Jahr 2000 in die W+ST-Gruppe ein. Seit 2024 ist sie Gesellschafterin der W+ST Rechtsanwaltsgesellschaft mbH. Frau Kiefer ist außerdem Geschäftsführerin der W+ST Data Security GmbH Rechtsanwaltsgesellschaft und Datenschutzbeauftragte. Schwerpunkte ihrer Tätigkeit sind das Datenschutzrecht, IT-Recht, AGB-Recht und Berufsrecht. Aktuell ist sie in der Fortbildung zur Fachanwältin für IT-Recht.

Themenvielfalt

Das könnte Sie interessieren

Eine Frau sitzt an einem Tisch, auf welchem sich Dokumente stapeln und bearbeitet ein ,vor ihr liegendes, Diagramm.

Homeoffice im Ausland

Wenn Arbeitnehmer, insbesondere Grenzgänger, im Homeoffice im Ausland arbeiten, stellt sich die...

Arrow Right