SBS Firmengruppe Logos

| Datenschutzrecht

DSGVO – Eine kurze Bilanz nach zwei Jahren


Wie sich die DSGVO in den vergangenen Jahren etabliert hat

Nach nun über zwei Jahren hat die DSGVO zahlreiche Anwendungen in der Praxis gefunden. Dazu zählen auch einige Verstöße und Anwendungsfragen. Bevor wir thematisch darauf Bezug nehmen, starten wir mit einer kurzen Wiederholung.

Die DSGVO in aller Kürze

Die Verordnung schützt gemäß des Art. 1 der EU-DSGVO, die Grundrechte und Grundfreiheiten natürlicher Personen. Dies geschieht durch etwaige Vorschriften zur Verarbeitung personenbezogener Daten. Kurz und knapp stellt die DSGVO seit dem 25. Mai 2018 den rechtlichen Rahmen für den Schutz personenbezogener Daten dar.

Die DSGVO in der Praxis

Nach über zwei Jahren, in denen die DSGVO nun in der Praxis Anwendung findet gibt es auch zahlreiche Gerichtsentscheidungen und sonstige Stellungnahmen von kompetenten Praktikern, die den Umgang mit der Datenschutzgrundverordnung zeigen. Wir wollen Ihnen heute anhand von zwei Beispielen zeigen, wie sich der Umgang mit der Datenschutzgrundverordnung nun in der Realität verhält.

DSGVO-Schadensersatzanspruch setzt ernsthafte Beeinträchtigung voraus

Das Amtsgericht (AG) Frankfurt am Main hat so zu einem Fall entschieden. Die Beklagte war in diesem Fall eine Hotel-Gruppe. Die Klägerin verlangte von dieser Hotelgruppe Schadensersatz auf Grundlage der DSGVO. Es sei zu einem unerlaubten Abfluss von persönlichen Daten der Klägerin aus dem Hotel-Buchungssystem gekommen.

Das AG Frankfurt am Main hat diesen Anspruch in seiner Entscheidung nun abgelehnt.

Ein Schadensersatzanspruch auf Grundlage der DSGVO besteht nur dann, wenn es zu einer ernsthaften datenschutzrechtlichen Beeinträchtigung gekommen ist. Ein bloßes Unbehagen oder ein Bagatellverstoß ist hierfür nicht ausreichend (AG Frankfurt a.M., Urt. v. 10.07.2020 - Az.: 385 C 155/19 (70)).


"Eine solche Verletzung muss zwar nicht schwerwiegend, aber dennoch spürbar sein (...). 

Eine individuell empfundene Unannehmlichkeit oder ein Bagatellverstoß ohne ernsthafte Beeinträchtigung für das Selbstbild oder Ansehen einer Person reicht dafür nicht aus (...) 

Der Kläger hat einen solchen Schaden nicht hinreichend dargelegt. Ein Gefühl des Unbehagens ist für einen immateriellen Schaden nicht ausreichend. Es bedarf hierfür zumindest einer öffentlichen Bloßstellung (...). 

Der Kläger hat aber nicht dargelegt, dass er durch die Verletzung des Datenschutzes in irgendeiner Weise gesellschaftliche oder persönliche Nachteile erlitten hat, Die bloße Tatsache der Übernachtung oder der Inhalt der Minibar oder genossenen Snacks ist hierzu nicht geeignet."


Die inhaltlichen Voraussetzungen für einen finanziellen Ausgleich sind demnach nicht gegeben.

An diesem Punkt wurde also vom Gericht entschieden, dass die notwendigen Voraussetzungen für eine Schadensersatzforderung wegen eines Verstoßes gegen die Richtlinien der DSGVO nicht vorliegen.

Hamburgischer Datenschutzbeauftragter: Behördliches Auskunftsverlangen gegen Clearview

Im folgenden Fall geht es um das in den USA ansässige Unternehmen Clearview Al. Dieses Unternehmen bietet eine Gesichtserkennungs-App an. Mittels dieses können die Kunden nach dem Hochladen eines Fotos einer Person auf sämtliche öffentlich verfügbare Fotos, auf denen die Person zu erkennen ist, zugreifen. Die Fotos stammen mitunter aus Profilen und sozialen Netzwerken und sonstigen Internetseiten. Um diesen Service anbieten zu können hat das Unternehmen wohl mehrere Milliarden Fotos von Nutzern weltweit aus dem Internet kopiert. So verfügen sie nun über ein gigantisches Archiv von Gesichtern. Fragwürdig ist bei dieser Verarbeitung vor allem im europäischen Raum, dass eine Einwilligung in die Verarbeitung der betroffenen Personen fehlt.

Nun hat der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit das amerikanische Unternehmen mit Hilfe eines formalen Bescheids aufgefordert, ihm Auskunft zu zahlreichen Fragen bezüglich der Verarbeitung der personenbezogenen Daten zu geben.

Bereits im Februar 2020 war beim Hamburgischen Datenschutz-Beauftragten eine Beschwerde eingereicht worden. Seitdem hatte es zahlreiche Kontaktversuche von Seiten des Datenschutzbeauftragten gegeben, alle gestellten Fragen wurden allerdings nur vage beantwortet. Immer wieder wurde von Seiten des Unternehmens darauf hingewiesen, dass die DSGVO für das Unternehmen nicht anwendbar sei und so folglich auch keine Pflicht zur Antwort bestehe.

Der Hamburgische Beauftragte für Datenschutz tritt dieser Ansicht klar entgegen:


„Der räumliche Anwendungsbereich der DSGVO ist über Art. 3 (2) b eröffnet, da die spätere Verhaltensbeobachtung nicht nur die Betroffenen, sondern auch die Kunden von Clearview betrifft. Gerade auch die App-Nutzer, die letztlich im Rahmen ihres Beschäftigungsverhältnisses für Clearview-Kunden, etwa Sicherheitsbehörden oder private Unternehmen, tätig sind, werden durch Cookie-Setzung zu unterschiedlichen Zwecken beobachtet, so z.B. zur Überprüfung ihrer Benutzeraktivitäten oder zur Verbesserung der Benutzererfahrung. Beschäftigte, die sich dabei in der Europäischen Union befinden, genießen ebenfalls den Schutz der DSGVO und sind somit Betroffene nach Maßgabe dieser Vorschrift."


Die dem Unternehmen gesetzte Deadline läuft nun Mitte September aus. Bis dahin hat Clearview Zeit umfassend und aussagekräftig Stellung zu nehmen. Sollte das Unternehmen der Aufforderung nicht nachkommen droht ein Zwangsgeld von je 10.000€ für jeden Einzelfall der insgesamt siebzehn Fragekomplexe.

Prof. Johannes Caspar, der Hamburgische Datenschutzbeauftragte, äußert sich wie folgt:


"In Europa darf es keinen Raum für düstere digitale Dystopien geben, in denen der Einsatz von Gesichtserkennungssoftware und biometrische Datenbanken staatlichen, aber auch privaten Stellen eine neue, kaum mehr kontrollierbare Form der Herrschaft über Menschen verschafft. Die Datenschutzaufsichtsbehörden haben den Auftrag, hierüber zu wachen. 

Das gilt auch gegenüber Unternehmen, die entsprechende Geschäftszwecke von außerhalb der EU verfolgen und damit die Privatsphäre und die informationelle Selbstbestimmung von Menschen in der EU in Frage stellen. Um eine datenschutzrechtliche Kontrolle zu ermöglichen, gehe ich davon aus, dass Clearview die dem Unternehmen gestellten Fragen beantworten oder zumindest gegen den Heranziehungsbescheid Rechtsmittel einlegen wird, um so eine rechtliche Entscheidung zu ermöglichen.“



SBS Legal – Kanzlei für Datenschutzrecht in Hamburg

Im Zeitalter der Digitalisierung werden Daten immer wichtiger – und damit auch der Schutz dieser Daten. Die europäische DSGVO soll das ermöglichen.

So wichtig es für den Verbraucher und die Privatperson ist, dieses Recht wahrzunehmen, so schwierig kann es für ein Unternehmen sein, diesen und anderen Regelungen der DSGVO vollumfänglich nachzukommen. Was dürfen, was können und was müssen wir im Sinne des Datenschutzes tun? – Fragen, die sich einem jeden Unternehmer stellen.

Das Anwalts-Team von SBS LEGAL sorgt dafür, dass Unternehmen (darunter auch solche mit Geschäftssitz außerhalb der EU) den hohen Anforderungen des geltenden Datenschutzrechtes in jeder Hinsicht gerecht werden und die von der Rechtsprechung gesetzten Maßstäbe souverän umsetzen – und das schon seit vielen Jahren. Mit unserer Erfahrung beraten wir sie kompetent und fachlich versiert in allen Belangen des Datenschutzes – für die erfolgreiche rechtliche Absicherung Ihres Unternehmens: über die allgemeine Prüfung und Umsetzung datenschutzrechtlicher Pflichten, die Gestaltung rechtssicherer Verträge zu Auftragsverarbeitung bis hin zur Erarbeitung einer datenschutzrechtlichen Compliance, um Vorgaben auch aus wirtschaftlicher Sicht abzuwägen.

Sie brauchen Hilfe im Datenschutzrecht? Kontaktieren Sie uns gern - wir stehen auch Ihnen gern als Partner zur Seite.

Der Erstkontakt zu SBS LEGAL ist kostenlos.

SBS Direktkontakt

telefonisch unter (+49) 040 / 7344086-0 oder
per E-Mail unter mail@sbs-legal.de oder
per unten angebotenem SBS Direktkontakt.

Ich habe die Datenschutz-Richtlinien gelesen und stimmen diesen hiermit zu.

Zurück zur Blog-Übersicht