EuGH: Spanien muss 89.000 Euro Zwangsgeld zahlen – täglich

In unserem Datenschutz-Newsflash informieren wir Online-Händler kurz und bündig über Neuigkeiten aus dem Bereich Datenschutz.

Das wird teuer – oder nicht? Datenschutzverstöße können richtig ins Geld gehen. Nach einem Urteil des Europäischen Gerichtshofs (EuGH) erfährt das auch Spanien: Verurteilt wurde das Land zur Zahlung eines Pauschalbetrags in Höhe von 15 Millionen Euro, zuzüglich einem täglichen Zwangsgeld von gut 89.000 Euro (Urteil v. 25.02.2021, Rs. C-658/19). Steckt dahinter ein DSGVO-Verstoß? Nicht ganz. Während es sich bei der DSGVO um einen EU-Rechtsakt handelt, der in den Mitgliedstaaten unmittelbar anwendbar ist, existieren noch andere Regularien, so auch die Richtlinie zum Schutz personenbezogener Daten bei der Verhütung und Aufdeckung von Straftaten. Hier handelt es sich also um eine Richtlinie, die mit der Besonderheit daherkommt, von den Mitgliedstaaten in eigenes Recht umgesetzt werden zu müssen – derartige EU-Richtlinien sind also nicht wie Verordnungen unmittelbar anwendbar. 

Hier liegt nun die Krux: Bis zum Beginn des Verfahrens vor dem EuGH und unter Nichteinhaltung einer Frist hatte Spanien die erforderlichen Umsetzungsmaßnahmen nicht durchgeführt bzw. diese auch nicht mitgeteilt und damit gegen eine entsprechende Verpflichtung verstoßen. Das neben dem Pauschalbetrag in Millionenhöhe täglich anfallende Zwangsgeld bleibe solange fortbestehen, bis Spanien die Pflichtverletzung beende.

BVerfG zu DSGVO-Schadensersatz: Da muss der EuGH gefragt werden

Wer Schadensersatz verlangt, der muss vor allem eine wichtige Voraussetzung erfüllen: Es muss einen Schaden geben. So ist es auch, wenn es um den Schadensersatz im Rahmen der DSGVO geht. Die Frage, inwiefern es durch die Verletzung einer datenschutzrechtlichen Vorschrift zu einem Schaden gekommen ist, ist aber nicht immer einfach zu beurteilen – eine Rolle spielt womöglich die Erheblichkeit des Schadens, der im Übrigen materieller wie auch immaterieller (Zeitaufwand, Verlust an Reputation etc.) Natur sein kann. 

Vor dem Amtsgericht Goslar hatte ein Anwalt einen Anspruch auf Schadensersatz wegen des Erhalts einer Werbe-E-Mail ohne Einwilligung geltend gemacht, den das Gericht jedoch ablehnte: Es hätte mit der E-Mail eben keinen erheblichen Eingriff gegeben. Gegen das Urteil legte der Rechtsanwalt mit Erfolg Verfassungsbeschwerde beim Bundesverfassungsgericht ein. Dem Beschluss (v. 14.01.2021, Az. I BvR 2853/19) zufolge hätte sich das Amtsgericht vor einer Entscheidung an den EuGH wenden müssen.

Es habe sich die Frage gestellt, unter welchen Voraussetzungen ein Anspruch auf Geldentschädigung nach der DSGVO bestehe – was wiederum der EuGH auslegen muss, deutsche Gerichte sind dazu nicht ohne weiteres befugt. Die Frage, ob ein Schaden erheblich sein muss, damit eine Entschädigung verlangt werden kann, wird sich somit bald in Luxemburg befinden und von den EuGH-Richtern beurteilt werden – und damit wohl auch Klarheit um die viel diskutierte Antwort erzeugen, wann nun von einem tatsächlich gegebenen Schaden ausgegangen werden kann. Wird die Schwelle niedrig gesetzt, könnten Schadensersatzansprüche unter Umständen häufiger oder auch bei kleineren Verstößen durchgesetzt werden.

OVG Lüneburg: Alle Personen auf Gruppenfoto müssen einwilligen

Apropos DSGVO-Verstoß: Von einer aktuellen Entscheidung des Oberverwaltungsgerichts (OVG) Lüneburg in Sachen Einwilligungserfordernis berichtet Haufe. Konkret geht es um die Veröffentlichung eines Gruppenfotos auf Facebook. Eine Partei hatte zu einer Informationsveranstaltung betreffend den Bau einer Ampelanlage geladen. Einer der Teilnehmer hatte dabei ein Foto geschossen, auf dem die Teilnehmer zu erkennen waren. Die Partei hatte dieses Foto dann auf Facebook veröffentlicht, woraufhin ein auf dem Foto erkennbares Ehepaar wegen einer fehlenden Einwilligung zunächst die Löschung forderte und dann Beschwerde bei der zuständigen Datenschutzbehörde einreichte.

Der Fall landete letztlich beim OVG. Hier stellte man fest, dass die Veröffentlichung einen Verarbeitungsvorgang im Sinne der DSGVO darstelle und eine explizite Einwilligung hätte eingeholt werden müssen. Zwar müssten Teilnehmer einer öffentlichen Veranstaltung davon ausgehen, dass dort Fotos angefertigt werden würden, eine sogenannte konkludente Einwilligung durch den Besuch der Veranstaltung hätte sich jedoch ausschließlich für die Presseberichterstattung ergeben, nicht für Veröffentlichungen der Partei in deren Accounts in den sozialen Medien. Zwar hätte sich die Partei auch auf das berechtigte Interesse stützen können, dafür hätten die Betroffenen aber etwa mittels Verpixelung unkenntlich gemacht werden müssen.