Gewerbeanmeldung 

Grundvoraussetzung ist für die gewerbliche Tätigkeit ist die Gewerbeanmeldung bei der Stadt oder dem Kreis, an dem das Unternehmen den Geschäftssitz hat. Als Einzelunternehmer ist dies im Zweifel die Wohnanschrift. 

Die Gewerbeanmeldung ist erforderlich, um hohe Bußgelder zu vermeiden. 

Anmeldung als Lebensmittelunternehmer 

Ist das Gewerbe angemeldet, muss nun auch das Lebensmittelgewerbe angemeldet werden. Dies muss bei der zuständigen Lebensmittelüberwachungsbehörde erfolgen. Zuständig 

Hygienevorschriften

Wesentliche Hygienevorschriften für Automaten sind in Anhang II Kapitel III der Verordnung (EG) Nr. 852/2004 aufgeführt.

Dort heißt es allgemein:

„Die Betriebsstätten und Verkaufsautomaten müssen, soweit praktisch durchführbar, so gelegen, konzipiert und gebaut sein und sauber und instand gehalten werden, dass das Risiko der Kontamination, insbesondere durch Tiere und Schädlinge, vermieden wird.“

Für klassische Snackautomaten sind dabei (nur) folgende Punkte relevant: 

1. Flächen, die mit Lebensmitteln in Berührung kommen, sind in einwandfreiem Zustand zu halten und müssen leicht zu reinigen und erforderlichenfalls zu desinfizieren sein. Sie müssen entsprechend aus glattem, abriebfestem, korrosionsfestem und nichttoxischem Material bestehen, es sei denn, die Lebensmittelunternehmer können gegenüber der zuständigen Behörde nachweisen, dass andere verwendete Materialien geeignet sind;
2. Es müssen geeignete Vorrichtungen zum Reinigen und erforderlichenfalls Desinfizieren von Arbeitsgeräten und Ausrüstungen vorhanden sein. Diese müssen nicht am Automaten gelagert werden;
3. soweit Lebensmittel im Rahmen der Tätigkeit des Lebensmittelunternehmens gesäubert werden müssen, muss dafür Sorge getragen werden, dass die jeweiligen Arbeitsgänge unter hygienisch einwandfreien Bedingungen ablaufen;
4. es müssen angemessene Vorrichtungen und/oder Einrichtungen zur hygienischen Lagerung und Entsorgung von gesundheitlich bedenklichen und/oder ungenießbaren (flüssigen und festen) Stoffen und Abfällen vorhanden sein;
5. es müssen angemessene Vorrichtungen und/oder Einrichtungen zur Haltung und Überwachung geeigneter Temperaturbedingungen für die Lebensmittel vorhanden sein;
6. die Lebensmittel müssen so aufbewahrt werden, dass das Risiko einer Kontamination, soweit praktisch durchführbar, vermieden wird.

Es handelt sich dabei im Wesentlich um Selbstverständlichkeiten, die bereits durch die richtige Auswahl des Automaten erfüllt werden können. 

Zusätzlich muss ein s.g. „HACCP“ (Hazard Analysis and Critical Control Points = Gefahrenanalyse und
kritische Lenkungspunkte) eingerichtet werden. Dies ist in Art. 5 Abs. 1 der Verordnung (EG) Nr. 852/2004 festgehalten. Für einzeln verpackte, nicht kühlpflichtige Lebensmittel kann ein solches Eigenkontrollsystem jedoch entfallen. 

Lebensmittelkennzeichnung

Durch die LMIV (VO (EU) 2011/1169) sind gem. Art. 9 folgende Pflichtangaben zu berücksichtigen: 

1. die Bezeichnung des Lebensmittels;
2. das Verzeichnis der Zutaten;
3. alle in Anhang II aufgeführten Zutaten und Verarbeitungs­ hilfsstoffe sowie Zutaten und Verarbeitungshilfsstoffe, die Derivate eines in Anhang II aufgeführten Stoffes oder Er­ zeugnisses sind, die bei der Herstellung oder Zubereitung eines Lebensmittels verwendet werden und — gegebenenfalls in veränderter Form — im Enderzeugnis vorhanden sind und die Allergien und Unverträglichkeiten auslösen;
4. die Menge bestimmter Zutaten oder Klassen von Zutaten;
5. die Nettofüllmenge des Lebensmittels;
6. das Mindesthaltbarkeitsdatum oder das Verbrauchsdatum;
7. gegebenenfalls besondere Anweisungen für Aufbewahrung und/oder Anweisungen für die Verwendung;
8. der Name oder die Firma und die Anschrift des Lebensmittel­ unternehmers nach Artikel 8 Absatz 1;
9. das Ursprungsland oder der Herkunftsort, wo dies nach Artikel 26 vorgesehen ist;
10. eine Gebrauchsanleitung, falls es schwierig wäre, das Lebens­ mittel ohne eine solche angemessen zu verwenden;
11. für Getränke mit einem Alkoholgehalt von mehr als 1,2 Volumenprozent die Angabe des vorhandenen Alkohol­ gehalts in Volumenprozent;
12. eine Nährwertdeklaration.

Abhängig von den weiteren Produkten und der Verkaufssituation des Snackautomatens können weitere Pflichtangaben hinzukommen. 

Widerrufsbelehrung 

Bei Automaten bzw. Snackautomaten muss als Fernabsatzgeschäft eine ordnungsgemäße Widerrufsbelehrung erfolgen. Diese sollte gänzlich unverändert aus Anlage 2 (zu Artikel 246a § 1 Absatz 2 Satz 1 Nummer 1 und § 2 Absatz 2 Nummer 2) wie folgt entnommen werden: „

Muster-Widerrufsformular
(Wenn Sie den Vertrag widerrufen wollen, dann füllen Sie bitte dieses Formular aus und senden Sie es zurück.)
–
An [hier ist der Name, die Anschrift und die E-Mail-Adresse des Unternehmers durch den Unternehmer einzufügen]:
–
Hiermit widerrufe(n) ich/wir (*) den von mir/uns (*) abgeschlossenen Vertrag über den Kauf der folgenden Waren (*)/die Erbringung der folgenden Dienstleistung (*)
–
Bestellt am (*)/erhalten am (*)
–
Name des/der Verbraucher(s)
–
Anschrift des/der Verbraucher(s)
–
Unterschrift des/der Verbraucher(s) (nur bei Mitteilung auf Papier)
–
Datum

(*) Unzutreffendes streichen.

Verbraucherhinweise

Daneben sollten auch die weiteren Informationspflichten gem. Artikel 246a § 1 EGBGB umgesetzt werden. Für Snackautomaten sind dies im Wesentlichen folgende Punkte: 

1. die wesentlichen Eigenschaften der Waren oder Dienstleistungen in dem für das Kommunikationsmittel und für die Waren und Dienstleistungen angemessenen Umfang,
2. seine Identität, beispielsweise seinen Handelsnamen, sowie die Anschrift des Ortes, an dem er niedergelassen ist, sowie gegebenenfalls die Identität und die Anschrift des Unternehmers, in dessen Auftrag er handelt,
3. seine Telefonnummer, seine E-Mail-Adresse sowie gegebenenfalls andere von ihm zur Verfügung gestellte Online-Kommunikationsmittel, sofern diese gewährleisten, dass der Verbraucher seine Korrespondenz mit dem Unternehmer, einschließlich deren Datums und deren Uhrzeit, auf einem dauerhaften Datenträger speichern kann,
4. zusätzlich zu den Angaben gemäß den Nummern 2 und 3 die Geschäftsanschrift des Unternehmers und gegebenenfalls die Anschrift des Unternehmers, in dessen Auftrag er handelt, an die sich der Verbraucher mit jeder Beschwerde wenden kann, falls diese Anschrift von der Anschrift nach Nummer 2 abweicht,
5. den Gesamtpreis der Waren oder der Dienstleistungen, einschließlich aller Steuern und Abgaben, oder in den Fällen, in denen der Preis auf Grund der Beschaffenheit der Waren oder der Dienstleistungen vernünftigerweise nicht im Voraus berechnet werden kann, die Art der Preisberechnung,
6. die Zahlungs-, Liefer- und Leistungsbedingungen, den Termin, bis zu dem der Unternehmer die Waren liefern oder die Dienstleistung erbringen muss, und gegebenenfalls das Verfahren des Unternehmers zum Umgang mit Beschwerden,
7. das Bestehen eines gesetzlichen Mängelhaftungsrechts für die Waren oder die digitalen Produkte,
8. gegebenenfalls, dass der Verbraucher ein außergerichtliches Beschwerde- und Rechtsbehelfsverfahren, dem der Unternehmer unterworfen ist, nutzen kann, und dessen Zugangsvoraussetzungen.

Datenschutzhinweise 

Soweit personenbezogene Daten, z.B. über elektronische Zahlungssysteme oder Kamerasysteme verarbeitet werden, so sind gem. Art. 13 DSGVO folgende Hinweise anzubringen: 

Werden personenbezogene Daten bei der betroffenen Person erhoben, so teilt der Verantwortliche der betroffenen Person zum Zeitpunkt der Erhebung dieser Daten Folgendes mit:

1. den Namen und die Kontaktdaten des Verantwortlichen sowie gegebenenfalls seines Vertreters;
2. gegebenenfalls die Kontaktdaten des Datenschutzbeauftragten;
3. die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung;
   wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe f beruht, die berechtigten Interessen, die von dem Verantwortlichen oder einem Dritten verfolgt werden;
4. gegebenenfalls die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten und
5. gegebenenfalls die Absicht des Verantwortlichen, die personenbezogenen Daten an ein Drittland oder eine internationale Organisation zu übermitteln, sowie das Vorhandensein oder das Fehlen eines Angemessenheitsbeschlusses der Kommission oder im Falle von Übermittlungen gemäß Artikel 46 oder Artikel 47 oder Artikel 49 Absatz 1 Unterabsatz 2 einen Verweis auf die geeigneten oder angemessenen Garantien und die Möglichkeit, wie eine Kopie von ihnen zu erhalten ist, oder wo sie verfügbar sind.

Zusätzlich stellt der Verantwortliche der betroffenen Person zum Zeitpunkt der Erhebung dieser Daten folgende weitere Informationen zur Verfügung, die notwendig sind, um eine faire und transparente Verarbeitung zu gewährleisten:

1. Dauer, für die die personenbezogenen Daten gespeichert werden oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;
2. das Bestehen eines Rechts auf Auskunft seitens des Verantwortlichen über die betreffenden personenbezogenen Daten sowie auf Berichtigung oder Löschung oder auf Einschränkung der Verarbeitung oder eines Widerspruchsrechts gegen die Verarbeitung sowie des Rechts auf Datenübertragbarkeit;
3. wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe a oder Artikel 9 Absatz 2 Buchstabe a beruht, das Bestehen eines Rechts, die Einwilligung jederzeit zu widerrufen, ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird;
4. das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;
   ob die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist, ob die betroffene Person verpflichtet ist, die personenbezogenen Daten bereitzustellen, und welche mögliche Folgen die Nichtbereitstellung hätte und
5. das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Artikel 22 Absätze 1 und 4 und – zumindest in diesen Fällen – aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.

Beabsichtigt der Verantwortliche, die personenbezogenen Daten für einen anderen Zweck weiterzuverarbeiten als den, für den die personenbezogenen Daten erhoben wurden, so stellt er der betroffenen Person vor dieser Weiterverarbeitung Informationen über diesen anderen Zweck und alle anderen maßgeblichen Informationen zur Verfügung.

Preisangabenverordnung

Die Preisangabenverordnung (PAngV) ist ein besonders häufiger Abmahngrund, weshalb auch hier die Angaben besonders gründlich umgesetzt werden sollten. 

Zu den Pflichtangaben zählen insbesondere:

1. Gesamtpreis
2. Grundpreis. Die Mengeneinheit für den Grundpreis ist jeweils 1 Kilogramm, 1 Liter, 1 Kubikmeter, 1 Meter oder 1 Quadratmeter der Ware. Bei Waren, die üblicherweise in Mengen von 100 Liter und mehr, 50 Kilogramm und mehr oder 100 Meter und mehr abgegeben werden, ist für den Grundpreis die Mengeneinheit zu verwenden, die der allgemeinen Verkehrsauffassung entspricht.
3. Angabe, dass die für Waren oder Leistungen geforderten Preise die Umsatzsteuer und sonstige Preisbestandteile enthalten sowie sonstige Kosten 
4. Angaben bei Preisnachlässen und vorbehaltenen Preisänderungen

Abhängig von den verkauften Waren können noch weitere Pflichtangaben hinzukommen. 

Wir helfen Automaten-Unternehmern

Die Checklisten sollen pro Rechtsthema einen ersten Überblick bieten. Insbesondere bei der Entwicklung eigener Allgemeiner Geschäftsbedingungen (AGB) ist eine individuelle Prüfung und Entwicklung je nach Business dringend zu empfehlen. Hierbei stehen wir Unternehmern auch im Rahmen einer kostengünstigen Dauerberatung zur Verfügung, um rechtliche Fallstricke effektiv zu vermeiden. 

Welche Daten sind vom Ticketmaster Datenleck betroffen?

Eine vollständige Prüfung des rund 1.000 GB großen Ticketmaster Datensatzes ist nicht möglich, weil die Hacker diesen nur einmalig für rund $ 500.000 USD verkaufen wollen. Die zur Einsicht angebotenen Daten beinhalten jedoch laut der Hackergruppe u.a.

• Kundendaten
• Kreditkarteninformationen
• die letzten 4 Stellen der Kreditkartennummer
• Ablaufdatum der Kreditkarte 
• Bestellinformationen 

und „viel weitere“ Daten. Damit dürfte es sich besonders für Betrugsdaten besonders vulnerable Datenpunkte handeln, die insbesondere in Kombination mit anderen Datenhacks angereichert werden können. 

Was ist die Ursache für die Ticketmaster Datenpanne?

Eine offiziell bestätigte Ursache gibt es für das mutmaßliche Riesendatenleck noch nicht. Allerdings besteht zurzeit der Verdacht, dass der Cloudanbieter Snowflake angegriffen worden ist und über diesen der große Datenbestand abgeflossen ist. 

Allerdings haben IT-Sicherheitsforscher von Hudson Rock laut eigenen Angaben mit der Hackergruppe, die bereits für einen Datenschutzvorfall bei dem Finanzinstitut Santander verantwortlich sein sollen, Kontakt aufgenommen. Diese bestätigten den Angriff auf den Clouddienstanbieter.

Durchgeführt wurde laut Golem der Hackerangriff angeblich mit Anmeldedaten für ein Servicenow-Konto eines Mitarbeiters – erbeutet mit einer Infostealer-Malware vom Typ Lumma.

Snowflake selbst gibt in einem fortlaufend aktualisierten Blogpost an, dass es einen gezielten Angriff gegeben habe, dieser jedoch nicht auf eine Fehlkonfiguration o.ä. zurückzuführen sei. 

Der EuGH hat sich 2023 sehr zugunsten von Betroffenen nach Datenschutzvorfällen positioniert. Betroffene sollen möglichst leicht und ohne rechtliche Hürden die Möglichkeit haben, Entschädigungen (Schmerzensgeld) gem. Art. 82 DSGVO geltend machen zu können. 

Die Sorge von Unternehmern hierbei: Betroffene können die Rechtsprechung des EuGH dafür nutzen, um ein ein neues Geschäftsmodell, das  „DSGVO-Hopping“ zu betreiben und so massenhafte Schmerzensgeldansprüche gem. Art. 82 DSGVO zu generieren. 

Die Versuche, Schmerzensgeldansprüche zu generieren, kennen wir bereits aus dem s.g. „AGG-Hopping“. Dort haben sich Bewerbe auf Stellengesuche beworben, die diskriminierende Formulierungen enthielten, um dann eine Entschädigung hierfür zu erhalten. 

Ob das DSGVO-Hopping mit dem AGG-Hopping vergleichbar ist, erklären wir in unserem Video zum DSGVO-Hopping. 

Wir hatten bereits in vorangegangenen Beiträgen anhand von ergangenen Urteilen dargestellt, wie kritisch die Vermischung von Arbeitsrecht und Datenschutzrecht für Arbeitgeber sein kann:

• Schmerzensgeld bei verspäteter Datenschutz-Auskunft gem. Art. 15 DSVO?
• LAG: Datenschutz im Arbeitsrecht als effektives Druckmittel?

Dabei zeigen auch neuer Auswertungen, dass Arbeitsgerichte Arbeitnehmern signifikant höhere Schmerzensgeldbeträge gem. Art. 82 DSGVO zuerkennen. 

Dies wird durch ein weiteres, arbeitsgerichtliches Urteil (ArbG Suhl –  6 Ca 704/23 – vom 20.12.2023) ergänzt, das nach der wegweisenden EuGH-Entscheidung zum Schadenersatz [VIDEO] nach einem Datenschutzvorfall erging. 

Sachverhalt

Ein ehemaliger Arbeitnehmer forderte die Datenauskunft gem. Art. 15 DSGVO, die der Arbeitgeber mit normaler E-Mail erteilte. Zudem wurden diese ohne Zustimmung an den Betriebsrat weitergeleitet. 

Der Arbeitnehmer forderte eine weitergehende Datenauskunft und erhob insgesamt zwei Beschwerden beim Thüringer Landesbeauftragen für den Datenschutz und die Informationsfreiheit.

Der Thüringer Landesbeauftrage für den Datenschutz und die Informationsfreiheit kam zum Ergebnis, dass die Übermittlung der Auskunft per E-Mail gegen die DSGVO verstieß. 

Der ehemalige Arbeitnehmer verklagte den Arbeitgeber wegen des Datenschutzverstoßes auf mindestens 10.000,00 € Schmerzensgeld. 

Entscheidung 

Das Arbeitsgericht Suhl kam zum Ergebnis, dass kein Schaden vorlag und wies die Klage ab. 

Das Vorliegen eines konkreten immateriellen Schadens habe der Arbeitnehmer nicht ausreichend dargetan. Im vorliegenden Fall sei nicht ersichtlich, inwieweit der Kläger einen Kontrollverlust erlitten haben will. Es sei nicht ersichtlich, dass der Kläger daran gehindert wurde, die ihn betreffenden personenbezogenen Daten zu kontrollieren. Darüber hinaus stellt nach Auffassung der Kammer ein bloßer, abstrakter Kontrollverlust auch keinen konkreten immateriellen Schaden dar.

Auch ein Eingriff in das Allgemeine Persönlichkeitsrecht sei nicht gegeben.

Einordnung 

Die Entscheidung ist trotz ihrer Kürze im Detail äußerst interessant. 

Denn es stand unstreitig fest, dass ein Datenschutzverstoß durch die unverschlüsselte Übersendung der Auskunft per E-Mail vorlag. 

Bei dem angesetzten Schmerzensgeldbetrag gem. § 287 ZPO in Höhe von mindestens 10.000,00 € war auch unter Berücksichtigung der arbeitsgerichtlichen „Zuschläge“ zu erwarten, dass die Klage nicht vollumfänglich Erfolg haben wird.

Aus Sicht des Arbeitsgerichts war jedoch die vollständige Klageabweisung mangels Schadens angezeigt. Das Gericht setzte sich dabei auch mit dem immer relevanteren „Kontrollverlust“ kurz auseinander. Denn dieser war in den letzten EuGH Entscheidungen entscheidend bzw. ausreichend, um den immateriellen Schaden zu begründen. 

Das Arbeitsgericht mochte sich vom Kontrollverlust jedoch nicht überzeugen:

„Das Vorliegen eines konkreten immateriellen Schadens hat der Kläger nicht ausreichend dargetan. Im vorliegenden Fall ist nicht ersichtlich, inwieweit der Kläger einen Kontrollverlust erlitten haben will. Es ist nicht ersichtlich, dass der Kläger daran gehindert wurde, die ihn betreffenden personenbezogenen Daten zu kontrollieren. Darüber hinaus stellt nach Auffassung der Kammer ein bloßer, abstrakter Kontrollverlust auch keinen konkreten immateriellen Schaden dar.“

Die Beurteilung erscheint durchaus überzeugend. Denn Kontrollverlust ist besonders in den Fällen der s.g. Dataleaks, also dem Abfließen und Veröffentlichen von Personendatensätzen im Internet diskutiert. Die Datenbanken können dann von einer Vielzahl an unbekannten Dritten als Personendatensatz verwendet oder sogar in Kombination mit anderen Datenlecks angereichert werden. 

In diesen Fällen muss ein Schaden durch lästige SMS, Anrufe oder E-Mails noch nicht konkret eingetreten sein, ausreichend ist der Kontrollverlust des Betroffenen über die Daten durch die Veröffentlichung. 

Ein solcher Kontrollverlust ist bei einer unverschlüsselten E-Mail jedoch deutlich abstrakter:

1. Unverschlüsselt ist im Kontext von E-Mails irreführend. Es besteht eine SSL-Verschlüsselung (Also verschlüsselter Transportweg zwischen Server und Client), jedoch keine Inhaltsverschlüsselung durch S/MIME oder PGP. 
2. Es ist nicht ersichtlich, welcher Kontrollverlust gegenüber einer inhaltsverschlüsselten E-Mail bestehen sollte. Es verbleibt eine stets eine abstrakte, grundsätzlich nicht auszuschließende Möglichkeit, dass Dritte den unverschlüsselten Korrespondenzweg abfangen und auslesen. 
3. Es bedarf nach wie vor des in Art. 82 DSGVO benannten „Schadens“. Für den Kontrollverlust als Schaden muss somit zumindest die – gegenüber der rechtmäßigen Datenverarbeitung – gesteigerte Wahrscheinlichkeit des Eintritts eines „Verlustes“ geben. 

Für Arbeitnehmer

Auch im Lichte der neuesten EuGH Rechtsprechung bleibt es dabei: Der Verstoß gegen die DSGVO führt nicht automatisch zu einem Schadenersatz. Es muss immer noch einen Schaden – der ersetzt werden kann – geben. Dies ist beim E-Mail-Versand jedenfalls problematisch zu begründen. 

Für Arbeitgeber 

Neben zwei Aufsichtsverfahren und einem Klageverfahren – wohlgemerkt rund 1,5 Jahre nach dem Austritt des Arbeitnehmers – zeigt sich, dass die DSGVO auch als Vehikel zum „Nachtreten“ genutzt werden kann und datenschutzrechtliche Verfahren stets ernst genommen werden müssen. 

Auskünfte sollten über eigene Download-Portale oder – soweit möglich – klassisch postalisch übermittelt werden.

Die Auskunft gem. Art. 15 DSGVO ist ein zentraler Anspruch von Betroffenen im Rahmen der DSGVO, um zu wissen, welche Daten ein Unternehmen oder eine Behörde über die eigene Person gespeichert hat. 

Doch welche Folgen muss ein Unternehmen befürchten, wenn es eine Auskunft verspätet oder unvollständig beauskunft? Hat der Betroffene dann auch einen Anspruch auf Schadenersatz gem. Art. 82 DSGVO? 

Das Arbeitsgericht Duisburg sah es so und sprach dem Betroffenen aufgrund eines vorsätzlichen Verstoßes 10.000 € Schmerzensgeld zu, der Arbeitgeber ging in Berufung. Das Landesarbeitsgericht Düsseldorf (Landesarbeitsgericht Düsseldorf, Urteil vom 28.11.2023 – 3 Sa 285/23) hatte über diese rechtlich umstrittene Frage zu entscheiden.

Sachverhalt

Der Kläger war bei dem Kundenservice eines Immobilienunternehmens, der Beklagten, beschäftigt. Bereits im Jahre 2020 hatte er einen Antrag auf Auskunft gemäß Art. 15 DSGVO gestellt, den die Beklagte beantwortet hatte.

Mit Schreiben vom 01.10.2022 verlangte er erneut Auskunft und eine Datenkopie auf der Grundlage von Art. 15 DSGVO. Er setzte eine Frist bis zum 16.10.2022.

Die ihm mit Schreiben vom 27.10.2022 erteilte Auskunft rügte der Kläger als

1. verspätetet und
2. inhaltlich mangelhaft.

Es fehlten die konkreten Angaben zur Dauer der Datenspeicherung und die namentlich bezeichneten Empfänger seiner Daten. Außerdem sei die Datenkopie unvollständig.

Mit Schreiben vom 11.11.2022 teilte die Beklagte dem Kläger mit, dass die Angaben zu den Datenempfängern die Betroffenen in der Regel nicht interessierten und daher nur kategorisiert mitgeteilt worden seien. Zudem konkretisierte sie die Angaben zur Speicherdauer und die Datenkopie. Mit Schreiben vom 18.11.2022 verlangte der Kläger erneut die namentliche Nennung der Empfänger und auch nähere Angaben zur Speicherdauer. Die Datenkopie sei weiterhin unzureichend. Die Beklagte konkretisierte die Informationen mit Schreiben vom 01.12.2022.

Der Kläger hat von der Beklagten gemäß Art. 82 Abs. 1 DSGVO eine Geldentschädigung nach Ermessen des Gerichts verlangt, die 2.000 Euro nicht unterschreiten sollte, weil sein Auskunftsrecht aus Art. 15 DSGVO durch die Beklagte mehrfach verletzt worden sei. Diese hat dem widersprochen, weil es u.a. bereits an einem immateriellen Schaden des Klägers fehle.

Entscheidung des LAG zum Schadenersatz

Das LAG Düsseldorf sah dies anders und wies die Klage ab. 

Zwar sei es richtig, dass die Auskunft unvollständig und verspätete erteilt worden sei. Dies begründe jedoch keinen Anspruch auf Entschädigung aus gleich zwei Gründen: 

1. Ein Auskunftsverstoß (Art. 15 DSGVO) falle nicht unter den Entschädigungsanspruch (Art. 82 DSGVO) und 
2. Aus dem Verstoß resultiere noch kein immaterieller Schaden. 

Der bloße vom Kläger angeführte Kontrollverlust über die Daten genüge nicht und sei mit dem Verstoß gegen Art. 15 DSGVO letztlich identisch. Zum immateriellen Schaden fehlte es an jeglichem konkreten Vortrag des Klägers.

Das Landesarbeitsgericht hat die Revision zugelassen, sodass höchstrichterlich das Bundesarbeitsgericht (BAG) hierüber entscheiden wird. 

Einordnung für Unternehmer

Die Entscheidung des LAG unterstreicht den aus Unternehmenssicht anhaltenden Trend, die DSGVO für arbeitsgerichtliche Konflikte zu nutzen. Hätte das beklagte Unternehmen frühzeitig vollständig die datenschutzrechtlichen Pflichten erfüllt, hätte das Verfahren vermieden werden können. 

Die Entscheidung macht aber auch unabhängig vom arbeitsrechtlichen Einschlag auf zwei Grundfragen des Entschädigungsanspruchs aufmerksam, die wohl auch weiterhin heftig umstritten sein dürften:

Die Frage, ob eine unzulängliche Erfüllung des Auskunftsanspruchs – sowohl zeitlich als auch im Umfang – überhaupt ein Verstoß i.S.d. Art. 82 DSGVO sein kann. Denn Art. 82 Abs. 1 DSGVO ist allgemein gefasst:

„Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.“

Nach dem Wortlaut ist auch eine nicht rechtzeitig oder unvollständig erteilte Auskunft ein Verstoß i.S.d. Art. 82 DSGVO. Eine Einschränkung, z.B. durch einen beschränkenden Verweis auf bestimmte Artikel der DSGVO, ist nicht vorgenommen worden. 

Über die Frage besteht in der Rechtsprechung durchaus Streit. 

Das OLG Köln, Urteil vom 10.8.2023 – 15 U 184/22 (LG Bonn Urt. v. 29.8.2022 – 9 O 158/21) sieht diese Rechtsfrage abweichend:

„Zwar hat der Senat entschieden, dass Verstöße gegen Auskunftspflichten aus Art. 15 DS-GVO durchaus eine Grundlage für einen Ersatzanspruch gem. Art. 82 I DS-GVO sein können (Senat 14.7.2022 – 15 U 137/21, NJW-RR 2023, 564 Rn. 14).“

Dort scheiterte ein Schadenersatzanspruch an dem Punkt, den das LAG Düsseldorf ergänzend anführt: am Schaden. 

Auch der EuGH hat mit seinem sehr weitreichenden Urteil vom 4.5.2023 (C-300/21) entschieden, dass jedenfalls der bloße Verstoß gegen Bestimmungen der Datenschutz-Grundverordnung nicht ausreicht, um einen Schadensersatzanspruch zu begründen. Dies würde nämlich andernfalls zu einer unzulässigen Verschleifung aus Verstoß und dem Schaden führen. Der Verstoß alleine führt nicht bereits zu einem Schaden. 

Hinsichtlich dieser hochstreitigen Frage besteht auch weiterhin Klärungsbedarf durch den EuGH, da die Frage des „Schadens“ auch bei anderen Verstößen von hoher Bedeutung ist und beispielswiese im Rahmen von massenhaften Schadenersatzansprüchen gegen Konzerne sozialer Netzwerke maßgeblich über Obsiegen und Verlieren entscheidet. 

Unternehmer sollten deshalb 

1. Auskunftsbegehren ernst nehmen und diese fristgerecht und vollumfänglich beantworten (lassen).
2. Ansprüche aus einem Datenschutzvorfall, auch im Bezug auf die Auskunft, ernst nehmen, da eine höchstrichterliche Rechtsprechung insoweit fehlt und 
3. zum eigenen Risikomanagement frühzeitig einen Rechtsanwalt für Datenschutz hinzuziehen. 

Für Unternehmen ist die effektive Rechtsverteidigung – auch vor Gericht – dann problematisch und risikobehaftet, wenn dabei Geschäftsgeheimnisse berührt werden – etwas sensible Umsatzzahlen oder technische Zeichnungen.

Geheim vor Gericht: Das GeschGehG

§ 16 Geschäftsgeheimnisgesetz (GeschGehG) ermöglicht es, z.B. im Rahmen eines arbeitsgerichtlichen oder sonstigen zivilprozessualen Verfahrens eigene Geschäftsgeheimnisse zu schützen:

㤠16 Geheimhaltung

(1) Bei Klagen, durch die Ansprüche nach diesem Gesetz geltend gemacht werden (Geschäftsgeheimnisstreitsachen) kann das Gericht der Hauptsache auf Antrag einer Partei streitgegenständliche Informationen ganz oder teilweise als geheimhaltungsbedürftig einstufen, wenn diese ein Geschäftsgeheimnis sein können.
(2) Die Parteien, ihre Prozessvertreter, Zeugen, Sachverständige, sonstige Vertreter und alle sonstigen Personen, die an Geschäftsgeheimnisstreitsachen beteiligt sind oder die Zugang zu Dokumenten eines solchen Verfahrens haben, müssen als geheimhaltungsbedürftig eingestufte Informationen vertraulich behandeln und dürfen diese außerhalb eines gerichtlichen Verfahrens nicht nutzen oder offenlegen, es sei denn, dass sie von diesen außerhalb des Verfahrens Kenntnis erlangt haben.
(3) Wenn das Gericht eine Entscheidung nach Absatz 1 trifft, darf Dritten, die ein Recht auf Akteneinsicht haben, nur ein Akteninhalt zur Verfügung gestellt werden, in dem die Geschäftsgeheimnisse enthaltenden Ausführungen unkenntlich gemacht wurden.“

Stuft das zuständige Gericht die im Prozess eingeführten Unterlagen als geheimhaltungsbedürftig ein, ist es den Parteien außerhalb des Verfahrens untersagt, die Informationen zu verwenden oder offenzulegen. 

Doch wann ist eine Information ein Geschäftsgeheimnis und wie sieht die Durchsetzung im Prozess aus? 

Beispiel LAG BaWü

In dem Beschluss des Landesarbeitsgerichts Baden-Württemberg vom 13. Mai 2022 – 7 Sa 4/22 – hat das Gericht eine praxisnahe Entscheidung hinsichtlich der Frage gefällt, wann Dokumente als geheimhaltungsbedürftig eingestuft werden können.

Streitpunkt waren im Prozess verwendete Informationen der Klägerseite über Techniker- und Vertriebssitzungen sowie Umsatzzahlen und Umsatzentwicklungen, deren weitere Verbreitung durch die Einstufung als geheimhaltungsbedürftig i.S.d. § 16 I GeschGehG verhindert werden sollte.

In diesem speziellen Fall wurden bestimmte Dokumente der Klägerin, die einiger ihrer Ordner enthielt, als geheimhaltungsbedürftig eingestuft.

Der entschiedene Fall betrifft die sofortige Beschwerde der Klägerin hinsichtlich der Einstufung bestimmter Dokumente als geheimhaltungsbedürftig.

Das Gericht stellte klar, dass für die Einstufung als Geschäftsgeheimnis, die Informationen einen geschäftlichen Bezug aufweisen müssen. Sie dürfen nicht allgemein bekannt oder ohne weiteres zugänglich sein. Zudem müssen sie von wirtschaftlichem Wert sein und der Inhaber muss an ihrer Geheimhaltung interessiert sein.

Das Urteil hebt hervor, dass die Implementierung angemessener Geheimhaltungsmaßnahmen ein wichtiger Aspekt ist, um das Vorliegen eines Geschäftsgeheimnisses zu begründen. Die Maßnahmen müssen situations- und geheimnisabhängig angemessen sein. Es wird nicht ein optimaler Schutz, sondern ein angemessener Schutz verlangt.

Wie geheim muss geheim sein?

Aus Arbeitgeber- bzw. Unternehmenssicht besonders interessant: 

Das Landesarbeitsgericht Baden-Württemberg legt die Systematik des GeschGehG unternehmensfreundlich aus. 

Denn während § 20 Abs. 3 GeschGehG vorschreibt, dass das Geschäftsgeheimnis glaubhaft machen müsse und damit strengere Anforderungen als § 16 Abs. 1 GeschGehG aufstelle, müsse die Vorschrift richtlinienkonform ausgelegt werden. § 20 Abs. 3 GeschGehG sei so zu verstehen, dass die Möglichkeit, die Information als Geschäftsgeheimnis einzuordnen, ausreiche. Nach Art. 9 I der Richtlinie zum Schutz von Geschäftsgeheimnissen (EU RL 2016/943) reiche es zur Annahme der Geheimhaltungsbedürftigkeit nämlich aus, wenn es sich um ein „angebliches Geschäftsgeheimnis“ handele.

Einordnung

Geschäftsgeheimnisse – bzw. angebliche – müssen wirkungsvoll auch in Klageverfahren geschützt werden können, ohne das Bedürfnis der effektiven Rechtsverteidigung zu beeinträchtigen. 

Das LAG hat die Entscheidung des erstinstanzlichen Arbeitsgerichts (ArbG) gehalten und auf die sofortige Beschwerde des Klägers nicht aufgehoben. 

Für Arbeitgeber 

Der Schutz eigener Geschäftsgeheimnisse wird erstaunlich häufig übersehen oder ignoriert. Dabei zeigt der Beschluss noch einmal praxisnah, dass die Anforderungen an die Einordnung als Geschäftsgeheimnis sehr weit zu verstehen sind, wenn 

1. die Information nicht bereits öffentlich ist oder 
2. die Behauptung eines Geschäftsgeheimnisses rechtsmissbräuchlich ist. 

Voraussetzung ist jedoch, dass die Informationen bzw. Unterlagen hinreichend geschützt worden sind. 

Arbeitgeber sollten daher sorgfältig überlegen, welche Informationen als Geschäftsgeheimnisse eingestuft werden können und angemessene Maßnahmen zur Wahrung dieser Geheimnisse ergreifen. 

Denn reicht der bisherige Schutz der Informationen aus, wird die Behauptung eines Geschäftsgeheimnisses nicht hinreichend dargelegt werden können. Gleichzeitig sind nicht überzogene Anforderungen zu stellen. 

Mit der Einordnung stellt die Geschäftsführung bzw. der Vorstand des beteiligten Unternehmens nicht nur sicher, dass eigene Sorgfaltspflichten an den wirksamen Schutz von Unternehmensinformationen gewahrt werden, die weiteren Verfahrensbeteiligten dürfen die Informationen nicht anderweitig verwenden und damit „mittelbare Verhandlungsmasse“ aufbauen. 

Zudem wird häufig übersehen, wie häufig die Akteneinsicht in derartige Verfahren erfolgt: Regressstellen wie Krankenkassen oder Rechtsschutzversicherer mit eigenem Akteneinsicht gelangen so auch an sensibelste Geschäftsinformationen, wenn eine Einstufung nach § 16 GeschGehG vergessen wurde. 

Für Arbeitnehmer

Für Arbeitnehmer besteht die Verpflichtung, die von ihrem Arbeitgeber festgelegten Geheimhaltungsmaßnahmen strikt einzuhalten. Verstöße gegen diese Maßnahmen können zu schwerwiegenden (arbeitsrechtlichen) Konsequenzen führen.

Zusätzlich hat das Gericht die andauernde Pflicht zur Geheimhaltung der entsprechenden Informationen auch nach Beendigung des Gerichtsverfahrens gemäß § 18 GeschGehG bestätigt. Auch hier sind Arbeitgeber und Arbeitnehmer dazu angehalten, alle Maßnahmen zu beachten, um Geschäftsgeheimnisse effektiv zu schützen.

Die Fragen, wann und wie Daten in den USA DSGVO-konform verarbeitet werden können, ist für nahezu jedes digitalgetriebenes Unternehmen von hoher Bedeutung: Ob API-Dienste, Clouddienste, CRM-Systeme oder Social Media Dienste. Die Liste von amerikanischen Softwarediensten ist lang. 
Ist die Verarbeitung der Daten nicht im Rahmen der DSGVO zulässig, dürfen diese Dienste nicht für personenbezogene Daten genutzt werden. Ein Angemessenheitsbeschluss soll die Unsicherheiten nun lösen.

Was ist der Angemessenheitsbeschluss?

Der neue Angemessenheitsbeschluss der EU-Kommission für Datenübermittlungen in die USA, der am 10.6.2023 verabschiedet wurde, dürfte erhebliche Auswirkungen auf diejenigen haben, die personenbezogene Daten in die USA übermitteln. Obwohl dieser Beschluss vorerst eine rechtliche Unsicherheit beendet hat, bestehen weiterhin rechtliche Risiken. Es muss nicht nur bei der Umsetzung des Beschlusses einiges beachtet werden, sondern es ist auch unsicher, ob der Beschluss einer Überprüfung durch den Europäischen Gerichtshof (EuGH) standhalten wird.

Die Datenschutz-Grundverordnung (DSGVO) zielt darauf ab, ein hohes Maß an Sicherheit bei der Verarbeitung personenbezogener Daten zu gewährleisten.

Um zu verhindern, dass Verantwortliche und Auftragsverarbeiter ihren datenschutzrechtlichen Pflichten entgehen, indem sie personenbezogene Daten in Drittländer exportieren, sieht die DSGVO explizite Regelungen zur Drittlandübermittlung vor. Gemäß Artikel 45 DSGVO ist der Transfer personenbezogener Daten in ein Drittland zulässig, wenn die Europäische Kommission einen Angemessenheitsbeschluss erlassen hat. In diesem Fall ist keine besondere Genehmigung erforderlich.

Wie kam es zum Angemessenheitsbeschluss?

Die Entscheidung des EuGH in der sogenannten Schrems-II-Entscheidung im Juni 2020, mit der der vorherige Angemessenheitsbeschluss der Kommission für die USA für ungültig erklärt wurde, führte zu erheblicher Rechtsunsicherheit.

Daher ist es zu begrüßen, dass die Kommission am 10.7.2023 einen neuen Angemessenheitsbeschluss für Datenübermittlungen in die USA erlassen hat, in dem festgestellt wird, dass die USA ein angemessenes Schutzniveau für die Datenverarbeitung bieten. Das EU-U.S. Data Privacy Framework bildet die Grundlage für diesen Beschluss.

Dennoch bleiben einige Fallstricke für Verantwortliche bestehen. Darüber hinaus besteht die Möglichkeit, dass der EuGH den Beschluss erneut aufheben wird.

Aufgrund der engen wirtschaftlichen, politischen und strategischen Beziehungen zwischen der EU und den USA sind transatlantische Datenübermittlungen von großer Bedeutung. Daher ist es im Eigeninteresse der EU, dass Verantwortliche und Auftragsverarbeiter eine einfache Möglichkeit haben, personenbezogene Daten in die USA zu übermitteln.

In der Vergangenheit gab es bereits zwei Angemessenheitsbeschlüsse für die USA, die beide vom EuGH für ungültig erklärt wurden. Mit der Schrems-II-Entscheidung setzte der EuGH den bisherigen Angemessenheitsbeschluss aufgrund des „EU-U.S. Privacy Shield“ außer Kraft. Das Gericht prüft, ob im Drittland tatsächlich ein angemessenes Schutzniveau für personenbezogene Daten besteht. Dabei werden insbesondere Aspekte wirksame

1. gerichtliche Rechtsbehelfe für Betroffene und
2. die Existenz unabhängiger Aufsichtsbehörden

berücksichtigt. Nach Ansicht des EuGH erfüllte die rechtliche Situation in den USA diese Anforderungen nicht, insbesondere aufgrund der weitreichenden Befugnisse der US-Nachrichtendienste und des Fehlens wirksamer gerichtlicher Rechtsbehelfe zum Schutz von EU-Bürgern.

Die Schrems-II-Entscheidung führte zu erheblichen rechtlichen Problemen. Unternehmen mussten ihre Datenübermittlungen entweder auf andere Garantien stützen oder aussetzen.

Zwischenlösung SCC

Eine mögliche Lösung waren die sogenannten Standardvertragsklauseln (SCC), die von der EU-Kommission erlassen werden und von Datenexporteuren und Datenimporteuren vereinbart werden können. Der EuGH anerkannte die Verwendung von SCC als mögliche Methode, um eine rechtskonforme Drittlandübermittlung in die USA sicherzustellen, stellte jedoch zusätzliche Anforderungen auf. Es muss in einer Einzelfallanalyse geprüft werden, ob das Schutzniveau in den USA allein auf der Grundlage der SCC dem europäischen Schutzniveau entspricht. Die aktuellen SCC bestehen aus 18 Klauseln, aus denen die Vertragsparteien die für ihre Situation passenden Klauseln auswählen müssen. Nach der Schrems-II-Entscheidung müssen Datenexporteure zudem ein „Transfer Impact Assessment“ (TIA) durchführen, um die Einhaltung der Einzelfallanalyse nachzuweisen. Die Durchführung dieses Assessments stellt Datenexporteure vor erhebliche praktische Probleme, da konkrete Vorgaben fehlen.

Angesichts der praktischen Probleme und der Bedeutung der Datenübermittlung in die USA haben die EU-Kommission und die US-Regierung Verhandlungen aufgenommen, um die Grundlage für einen neuen Angemessenheitsbeschluss zu schaffen. Schon im März 2022 wurde eine erste Einigung erzielt. Das EU-U.S. Data Privacy Framework umfasst Maßnahmen, die die Kritikpunkte des EuGH ansprechen sollen. Es handelt sich dabei nicht um einen bindenden Vertrag, sondern um Zusicherungen, auf deren Grundlage der neue Angemessenheitsbeschluss erlassen wurde.

Eine wichtige Komponente des EU-U.S. Data Privacy Frameworks ist dabei die „Executive Order On Enhancing Safeguards For United States Signals Intelligence Activities“ (EO 14086). Diese Executive Order führte Schutzmaßnahmen für den Zugang der US-Geheimdienste zu europäischen personenbezogenen Daten und neue Rechtsschutzmöglichkeiten ein. Sie enthält unter anderem

1. eine Verhältnismäßigkeitsprüfung und
2. neue Rechtsbehelfsmechanismen.

Die Einführung der Verhältnismäßigkeitsprüfung in das US-amerikanische Recht und die Etablierung neuer Rechtsbehelfe waren direkte Reaktionen auf die Kritik des EuGH an staatlichen Zugriffen auf personenbezogene Daten. Ob diese Neuerungen den Anforderungen des EuGH entsprechen, ist noch umstritten. Die EO 14086 führte zu unterschiedlichen Meinungen innerhalb der deutschen Datenschutzaufsichtsbehörden.

Ein wesentlicher Fortschritt des EU-U.S. Data Privacy Frameworks ist die Einführung eines neuen Rechtsbehelfssystems, bei dem zunächst

1. eine Beschwerde bei dem Civil Liberties Protection Officer (CLPO) und
2. anschließend beim Data Protection Review Board (DPRC)

eingereicht werden kann. Diese neuen Rechtsbehelfe sollen sicherstellen, dass EU-Bürgern wirksame Schutzmaßnahmen zur Verfügung stehen. Ob dies die Anforderungen der DSGVO jedoch ausreichend erfüllt, ist nicht unumstritten. 

Wann der Angemessenheitsbeschluss greift – und wann nicht

Der Angemessenheitsbeschluss gilt nicht für die USA im Allgemeinen, sondern nur für Organisationen in den USA, die in der „Data Privacy Framework List“ des U.S. Department of Commerce (DOC) aufgeführt sind.

Unternehmen, die bereits unter dem EU-U.S. Privacy Shield zertifiziert waren, wurden automatisch in die neue Liste übernommen. Datenexporteure müssen überprüfen, ob der Datenimporteur zertifiziert ist und ob die Übermittlung von Daten durch die Zertifizierung abgedeckt ist.

Es ist ratsam, dass Datenexporteure prüfen, ob sie tatsächlich personenbezogene Daten in die USA übermitteln. Wenn dies der Fall ist, sollten sie

1. ihre Datenschutzerklärung anpassen und
2. sicherstellen, dass der Datenimporteur zertifiziert ist.

Reicht der Beschluss aus?

Der Angemessenheitsbeschluss ist eine Antwort auf den konsequent hochgehaltenen Datenschutz durch den EuGH. Doch erfüllt der Beschluss nun die Anforderungen der DSGVO?

Es besteht die Möglichkeit, dass der EuGH den Angemessenheitsbeschluss erneut aufhebt. Datenexporteure sollten daher bereits jetzt Maßnahmen ergreifen und alternative Garantien für den Datentransfer in die USA in Betracht ziehen.

Es empfiehlt sich deshalb, mit dem zertifizierten Datenverarbeiter zusätzlich Standardvertragsklauseln abzuschließen. 

Aus Compliance-Sicht empfiehlt sich jedoch nur, wann immer möglich auf Unternehmen zurückzugreifen, die unmittelbar der DSGVO unterliegen. 

Andernfalls verbleiben aktuell Restrisiken durch die Beurteilung des Angemessenheitsbeschlusses durch den EuGH, die zu Lasten der des Datenexporteurs gehen.