Bußgeld wegen Unterlassen einer Meldung nach Art 33 DSGVO Uni Magdeburg

Im Uniklinikum Magdeburg kam es vermutlich zu einem Datendiebstahl durch eine ehemalige Mitarbeiterin. Ihr wird vorgeworfen, personenbezogene Adress- und Meldedaten unbefugt über ihren dienstlichen Zugang abgefragt und weitergegeben haben. Die Tat soll aus politisch motivierten Gründen erfolgt sein. Bei den betroffenen Daten soll es sich vor allem um Meldeangaben von Personen, mit Bezug zu einer Bundestagspartei gehandelt haben. Der Vorfall soll ebenso im Zusammenhang mit einem Überfall auf eine Leipziger Immobilienmaklerin im Jahr 2019 stehen.

Nachdem diese Datenpanne aufgrund des vermuteten unbefugten Zugriffs durch eine ehemalige Mitarbeiterin des Universitätsklinikums Magdeburg bekannt geworden ist, drohen der Klinik nunmehr weitere Konsequenzen durch die zuständige Behörde. Dem Vorstand der Klinik wird unter anderem vorgeworfen, dass er die zuständige Landesdatenschutzbehörde in Sachsen-Anhalt über diesen Sicherheitsvorfall nicht rechtzeitig informiert hat. Diese wussten spätesten seit dem 15. Mai 2021, dass Ermittlungen gegen die Mitarbeiterin aufgenommen wurden. Eine Meldung an die Behörde ist jedoch erst im Oktober erfolgt. Das Verschweigen wurde mit einem Bußgeld in Höhe von 9.000 EUR sanktioniert.

Dieser Vorfall zeigt wieder auf, dass eine rechtzeitige Meldung bei der jeweiligen Datenschutzbehörde nicht vernachlässigt werden sollte, um eine schlimme Situation nicht noch weiter eskalieren zu lassen.

Weitere Informationen finden Sie hier:
https://www.landtag.sachsen-anhalt.de/ad-datenskandal

Millionen-Geldbuße für ein Opfer von Ransomware

Bei einem ohnehin großen Schaden durch eine Ransomware-Attacke kam es bei der Firma Interserve Group Limited in Großbritannien zusätzlich zu einer hohen Geldbuße. Dem Unternehmen konnte durch die Datenschutzaufsicht nachgewiesen werden, dass sie selbst am Erfolg des Angriffs schuld waren.
Die erfolgreiche Ransomeware-Attacke auf Interserve führte dazu, dass Daten von 113.000 aktuellen und früheren Arbeitnehmern monatelang nicht mehr zugänglich waren. Hierbei waren vor allem die besonderen Kategorien der personenbezogenen Daten (Art. 9 DSGVO) im Fokus. Die Datenschutzaufsicht verhängte an das betroffene Unternehmen eine Geldbuße (gemäß Art. 83 Datenschutz-Grundverordnung (DSGVO)) in Höhe von 4.440.000 £. Das entspricht etwa 5 Millionen €.

Der Ransomware-Angriff
Der Angriff erfolgte in Form einer Phishing-Mail. Diese beinhaltete eine „dringende Zahlungsangelegenheit“ und ging in das gemeinsame Konto eines Teams ein. Die Mail wurde von hier aus an den zuständigen Mitarbeiter für etwaige Angelegenheiten weitergeleitet. Dieser öffnete die Mail, lud sich den Angang runter, entpackte sie und öffnete die in ihr erhaltene Script-Datei. Diese Script-Datei führte zur Installation einer Schadsoftware und verschaffte dem Angreifer Zugriff auf den Arbeitsplatz-Computer des Mitarbeiters.
Der Mitarbeiter verfügte über seinen Sitz im Homeoffice über eine Split-Tunnelung, welches ihm die Nutzung zu einem besonders geschützten VPN-Zugang zum System verschaffte, wie auch zum allgemeinen Internet. Der geschützte Zugang ist mit einem System zur Erkennung von Schafsoftware ausgestattet. Der Angestellte nutzte in diesem Fall jedoch das allgemeine Internet.
Als die Schadsoftware von einem Endpoint Security System erkannt wurde, veranlasste das System die Entfernung einiger Schad-Dateien. Dieser Prozess war laut System erfolgreich, doch blieben Schad-Dateien auf dem Arbeitsplatz-Computer des Angestellten zurück und der Angreifer behielt seinen Zugriff. Der Angreifer erhielt nach und nach Zugriffe auf Systeme im Bereich Human Ressource, wo es ihm gelang umfangreiche Datenbestände zu verschlüsseln.
Laut Datenschutzaufsicht wurde hier gegen die Pflicht der Wahrung der Integrität und Vertraulichkeit von personenbezogenen Daten (Art. 5 Abs. 1 Buchstabe f DSGVO) verstoßen. Hierzu zählte unter anderem die Nutzung eines nicht mehr unterstützten Microsoft-Systems, die fehlende Verwendung eines ausreichenden Endpoint Security Systems sowie die fehlende Datenschutzschulung von einem der betroffenen Mitarbeitern. Diese Punkte führten dazu, dass sich die Sicherheit der Verarbeitung nicht auf dem Stand befand, welche der Art. 32 der DSGVO vorschreibt.

Das Ergebnis
Interserve Group Limited war kooperativ und wandte sofort nach dem Vorfall erhebliche Mittel auf, um die Sicherheitsschwachstellen zu beseitigen. Die Datenschutzaufsicht verhängte dennoch durch die erheblichen Folgen, die der Vorfall für betroffene Personen nach sich zog, die Geldbuße von 4.440.000 £.

Scraping: Unterschiedliche Entscheidungen zum Schadensersatz

In letzter Zeit müssen sich Gerichte vermehrt mit dem Thema „Scraping“ auseinander setzen.

Unter „Scraping“ versteht man das Übertragen von öffentlich zugänglichen Informationen einer Webseite in eine Datenbank. Dies kann auf manuellem Wege geschehen oder mithilfe verschiedenster Softwares.
Besonderes Augenmerk wird auf das Scraping bei Social-Media-Plattformen gelegt.

Beispiel 1: Es besteht kein Schadenersatzanspruch
Verfahren vor dem Landgericht Essen:
Der Kläger nutzte die Social Media Plattform des Beklagten (Facebook), um mit Freunden zu kommunizieren und private Fotos zu teilen. Diese vom Kläger veröffentlichten Daten wurden von Dritten gescrapt und im Internet veröffentlicht.
Bei den gescrapten personenbezogenen Daten des Klägers handelt es sich um Daten, die auf der Plattform ohnehin ohne Zugangskontrolle oder Überwindung technischer Zugangsbeschränkungen für jeden frei einsehbar sind. Dies geht aus den Datenverwendungsrichtlinien der Plattform hervor, über welche der Kläger bei der Anmeldung informiert wurde.
Aus Sicht des Gerichts war der Beklagte nicht verpflichtet, die Daten vor der Verarbeitung von Scrapern zu schützen – dies sei ohnehin nicht möglich komplett zu unterbinden.
Der Nutzer der Plattform/Kläger trägt in diesem Fall letztendlich selbst das Risiko, da er sich eigenverantwortlich der Nutzung der Plattform entschlossen und die Zustimmung der Datenschutzrichtlinien gegeben hat.

Weitere Informationen finden Sie hier:
https://rewis.io/urteile/urteil/hyl-10-11-2022-6-o-11122/

 

Beispiel 2: Es besteht Schadenersatzanspruch
Verfahren vor dem Landgericht Paderborn:
Dieses Verfahren beruht auf dem gleichen Tatbestand wie das vor dem Landgericht Essen. Das Landgericht Paderborn wiederum war in diesem Fall der Ansicht, dass der Beklagte keine ausreichenden Sicherheitsmaßnahmen getroffen hat und das Schutzniveau dementsprechend nicht angemessen gewährleistet werden konnte. Der Beklagte hätte entsprechend mit Scraping-Fällen rechnen müssen und die Schutzmaßnahmen anpassen müssen. Als Resultat musste er an den Kläger 500 € nebst Zinsen zahlen. Wie gut an beiden Beispiel-Fällen zu sehen, sind bei gleichartigen Fällen die Gerichte noch unterschiedlicher Meinung.
Die Erfolgschancen bei Scraping-Klagen sind daher weiter ungewiss.

Weitere Informationen finden Sie hier:
https://www.justiz.nrw.de/nrwe/lgs/paderborn/lg_paderborn/j2022/3_O_99_22_Urteil_20221219.html

Potenziell neue Abmahnwelle

Kaum ist die Abmahnwelle hinsichtlich Google Fonts, aufgrund der strafrechtlichen Verfolgung (wie hier von uns berichtet) abgeflacht, könnte bereits der nächste Schwung an Abmahnungen auf uns zurollen.

Dieses Mal geht es um den E-Mail Marketinganbieter Klaviyo und dessen Nutzung ohne eine ausdrückliche Einwilligung. Vergleichbar wie bei Google Fonts soll dies, laut den Abmahnenden, einen unzulässigen Eingriff in das allgemeine Persönlichkeitsrecht auslösen.

Abgemahnt wird auch in diesem Fall im Namen eines Mandanten, der zunächst einen Auskunftsanspruch nach Artikel 15 DSGVO geltend macht. Der Mandant ist sodann der Ansicht, dass seine Daten, die durch die Nutzung Klaviyos in die USA weitergegeben werden, rechtsmissbräuchlich übersendet wurden und er dadurch in seinen Rechten verletzt wurde. Danach würde ihm aus seiner Sicht ein Schadensersatz zustehen. Im aktuellen Fall wird also in zwei Schritten vorgegangen.

Es scheint sich hiernach aber um dasselbe Kernproblem wie in der vorangegangenen Abmahnwelle zu handeln: der „unerlaubte“ Datentransfer in die USA. Für eben diesen würde keine taugliche Rechtsgrundlage vorliegen.

Auch in den neuen Anwaltsschreiben wird, wie zuvor, ein Unterlassungsanspruch geltend gemacht, dieser sei durch den erstmaligen Verstoß begründet. Genauer gesagt wird die Abgabe einer strafbewährten Unterlassungserklärung gefordert. Dies würde konkret die weitere Nutzung von Klaviyo verbieten. Damit aber nicht genug, die Weitergabe hätte auch seelische Schäden verursacht. Aus Sicht des Mandanten und seiner Vertreter, würde dieser seelische Schaden aber mit einer Zahlung von ca. 5.000€ wieder gutzumachen sein.

Die „entstandenen“ Rechtsanwaltskosten von ebenfalls ca.1000€ kommen dann zur Forderung noch hinzu.

Sollten Sie ein solches Schreiben erhalten, raten wir Ihnen aufgrund der aktuell noch sehr unklaren Lage dazu, dieses nicht zu ignorieren. Mit jedem Auskunftsverlangen ist immer eine Monatsfrist zur Auskunft verbunden- unabhängig davon ob der behauptete Schadensersatz besteht oder nicht! Ob auch diese Welle eventuell rechtsmissbräuchlich sein könnte oder nicht, ist aktuell noch nicht abzusehen. Auch ist nicht klar, ob sich die Schreiben auch in der Zukunft auf Klaviyo begrenzen werden, oder ob ähnliche Anbieter wie Mailchimp, Sendinblue und Co. noch hinzukommen werden.

Sie können sich gern für eine Beurteilung dieses Schreibens an uns wenden. Wir prüfen dieses für Sie und besprechen mit Ihnen das weitere Vorgehen. Sollten Sie Klaviyo nutzen, dann würde es sich aus unserer Sicht lohnen, bereits jetzt Vorkehrungen zu treffen. Auch diesbezüglich können Sie sich gerne an uns wenden.

Datenschutz-Bußgelder steigen auf 1,6 Milliarden Euro

Insgesamt 1,6 Milliarden Euro Bußgelder wurden im vergangenen Jahr durch Datenschutzbehörden verhängt. Dies beinhaltet die EU sowie Großbritannien, Norwegen, Island und Lichtenstein. Von diesen Bußgeldbescheiden sind jedoch noch nicht alle rechtskräftig.

Die Rechtsanwaltskanzlei DLA Piper hat hierzu einen Bericht veröffentlicht, aus dem auch hervorgeht, dass die Bußgeldsumme damit um 50 Prozent gegenüber dem letzten Jahr gestiegen sind.
Dabei wurden drei verschiedene Bußgeldbescheide in einer Gesamthöhe von 1060 Millionen Euro allein für den Konzern Meta verhängt.

Die Kanzlei sieht darin „das wachsende Vertrauen und die Bereitschaft der Aufsichtsbehörden, hohe Geldbußen für Verstöße gegen die DSGVO zu verhängen, insbesondere gegen große Technologieanbieter“.

Weitere Informationen finden Sie hier:
https://www.golem.de/news/dsgvo-datenschutz-bussgelder-steigen-auf-1-6-milliarden-euro-2301-171449.html

Ein Drittel der deutschen Angestellten gefährdet die IT-Sicherheit des Unternehmens

Laut einer aktuellen Umfrage „Cybersicherheit in Zahlen“ von G DATA Cyberdefense, Statista und brand eins, bei der mehr als 5000 Mitarbeiter in deutschen Unternehmen rund um Cybersicherheit befragt wurden, bestehen große Lücken im Wissen rund um Security Awareness.

Dabei wurden Mitarbeiter nach ihrer persönlichen Einschätzung im Bereich der digitalen Sicherheit gefragt. Fast 34 % bewerteten dabei ihre eigene Kompetenz als „gering“ oder „sehr gering“. Im Kontrast sieht sich nur jeder Zehnte als sehr kompetent an.

Die Zahlen verdeutlichen, dass dringender Nachholbedarf in der Unterrichtung von Mitarbeitern rund um Security Awareness besteht. Unzureichend geschulte Mitarbeiter sind nicht für den Ernstfall eines Cyberangriffs gewappnet und stellen als solche ein Risiko für ihr eigenes Unternehmen dar.

Weitere Informationen finden Sie hier:
https://www.secupedia.info/aktuelles/ein-drittel-der-deutschen-angestellten-gefaehrdet-die-it-sicherheit-des-unternehmens-18699

14-Millionen-Bußgeld gegen Deutsche Wohnen landet vor EU-Gericht

„Deutsche Wohnen“ – einer der größten Vermieter Berlins – sammelte über Jahre Kopien von sensiblen Daten (wie mitunter Personalausweisen, Kontoauszügen und Krankenversicherungsdaten) ihrer ehemaligen Mieter*innen an. Trotz mehrmaliger Aufforderung löschten sie diese nicht und landet mit diesem Fall vor dem Europäischen Gerichtshof.

Das Ansammeln und nicht löschen nicht mehr erforderlichen Daten von Mieter*innen gilt bei Ausweisdokumenten als unrechtmäßige Speicherung, sodass das Kammergericht Berlin dem EuGH bereits kurz vor Weihnachten zwei Fragen zu dem Fall vorlag. Besagte Ausweisdokumente dürfen zwar vom Mieter überprüft werden, das Kopieren dieser ist jedoch nicht erforderlich und damit unzulässig. Hohe Mieten und fehlende Reparaturen in den rund 160.000 Wohnungen von Deutsche Wohnen sind ebenfalls Grund für den Volksentscheid „Deutsche Wohnen und Co. enteignen“. Diesem stimmten im September 2021 die Mehrheit der Wahlbevölkerung Berlins zu. Durch einen bizarren rechtlichen Widerspruch wurden die angefallenen 14,5-Millionen-Euro-Bußgeld wieder aufgehoben.

Laut dem Landgericht Berlin kann eine juristische Person wie deutsche Wohnen nur dann bestraft werden, wenn einem konkreten Verantwortlichen bei der Firma Fehlverhalten nachgewiesen werden kann. Dies sei so im deutschen Recht angelegt, widerspricht aber dem EU-Recht. Hiernach wären in Deutschland – im Gegensatz zu vielen anderen EU-Mitgliedstaaten – ein Bußgeld aufgrund komplexer Unternehmensstrukturen des jeweiligen Unternehmens nicht nachweisbar. Hierzu hat das Kammergericht Berlin eine Prüfung durch den Europäischen Gerichtshof in Luxemburg veranlasst.

Leider ist unklar, ob Deutsche Wohnen inzwischen der Aufforderung der Datenschutzbehörde, die nicht mehr erforderlichen Daten zu löschen, nachgekommen ist.

Weitere Informationen finden Sie hier:
https://netzpolitik.org/2022/datensammelwut-14-millionen-bussgeld-gegen-deutsche-wohnen-landet-vor-eu-gericht/

Hinweisgeberschutzgesetz – HinSchG

Hinweisgebersysteme bestehen in vielen Unternehmen als Teil der Compliance-Abteilung schon seit Jahren.
Sie ermöglichen es den Führungspositionen des Unternehmens, Informationen über mögliche Verstöße im Unternehmen zu erhalten und entsprechende Maßnahmen durchzuführen.
Damit kann ein eventuelles Bußgeld und die damit einhergehende schlechte Presse meistens vermieden werden.

Das Hinweisgeberschutzgesetz (kurz HinSchG), soll der Umsetzung der HinSch-RL der EU-Kommission dienen.
Zwar ist das Hinweisgeberschutzgesetz selbst noch nicht in Kraft getreten, jedoch dürfte dies nur noch eine Frage der Zeit sein (laut Presseberichten voraussichtlich im Mai 2023), weswegen es zu empfehlen ist, entsprechende Voraussetzungen zu schaffen.

Denn bislang existiert in der Bundesrepublik Deutschland kein umfassendes, einheitliches Hinweisgeberschutzsystem.
Hinweisgebende Personen können allerdings wertvolle Beiträge dazu leisten, das Fehlverhalten natürlicher oder juristischer Personen aufzudecken und die negativen Folgen dieses Fehlverhaltens einzudämmen, beziehungsweise zu korrigieren.
Denn in der Vergangenheit ist es immer wieder zu Fällen gekommen, in denen hinweisgebende Personen Nachteile zu erleiden hatten.
Häufig haben deswegen Personen mit Insiderwissen von einer Meldung abgesehen, weil sie Repressalien fürchteten.

Den Schutz hinweisgebender Personen und sonstiger von einer Meldung betroffener Personen zu stärken und sicherzustellen, ist jedoch Ziel dieses Gesetzes, damit keine Benachteiligungen drohen.
Dafür sollte natürlich zunächst bekannt sein, wer überhaupt das Gesetz zu beachten hat und welche Vorkehrungen zu treffen sind.

Die Pflicht zur Einrichtung interner Meldestellen erstreckt sich im Grundsatz auf alle Beschäftigungsgeber, die eine Organisationseinheiten mit in der Regel mindestens 50 Beschäftigten betreiben gem. § 12 I S. 2 HinSchG.
Die Besonderheit ist hier, dass es zur Feststellung der regelmäßigen Beschäftigtenzahl eines Rückblicks auf die bisherige personelle Stärke und einer Einschätzung der zukünftigen Entwicklung bedarf.

Es soll gerade nicht auf einen bestimmten „Stichtag“ bei dieser Beurteilung ankommen.
Besonderheiten bestehen bei bestimmten Unternehmern, die mit weniger als 50 Beschäftigten gem. § 12 III HinSchG trotzdem eine Pflicht zu Einrichtung einer Meldestelle haben kann (z.B. bei Wertpapierdienstleistungsunternehmen, Börsenträger).

Beachtenswert ist der Schutzbereich des HinSchG, denn dieser ist wesentlich weiter gefasst, als der entsprechenden EU-Richtlinie.

So sollen hinweisgebende Personen bereits auf den Schutz des HinSchG vertrauen können, wenn sie erhebliche Verstöße gegen Vorschriften melden. Von einem erheblichen Verstoß ist in all jenen Fällen auszugehen, in denen der Gesetzgeber einen Verstoß strafbewehrt hat. Hier hat der Gesetzgeber bereits durch die Verschärfung deutlich gemacht, dass ein nicht nur unerheblicher Verstoß vorliegt, wenn Straftatbestände in Betracht kommen.

Daher ist es sachgerecht, hinweisgebende Personen stets dann zu schützen, wenn ein Verstoß gegen Strafvorschriften im Raum steht.
Vor allem, weil es zu beachten gilt, dass dem Arbeitgeber die Beweispflicht gem. § 36 HinSchG obliegt, dass der Arbeitnehmer nicht aufgrund einer erfolgten Meldung benachteiligt wird.
Ein funktionierendes und etabliertes Hinweisgebersystem ist daher unerlässlich, wenn der Arbeitgeber dem HinSchG gerecht werden will.

Sollten Sie, bzw. Ihr Unternehmen an einem Hinweisgebersystem interessiert sein, so dürfen Sie sich gerne an uns, die GINDAT GmbH wenden. Wir bieten für Ihr Unternehmen ein Hinweisgebersystem an, welches Sie bei uns optional dazu buchen können. Auf myGINDAT, unter der Kachel „Rahmenvertrag/Preislisten“, „Whistleblower-Portal“, finden Sie eine Übersicht unserer Pakete, sowie die dazugehörigen Preise.

UPDATE: Abmahnwelle – Schadenersatzansprüche wegen Google Fonts

In unseren Infobriefen „August 2022“ und „Oktober 2022“, sind wir bereits auf das Thema zur Abmahnwelle zu Google Fonts eingegangen.

Nun gibt es in dieser Angelegenheit wieder Neuigkeiten:

Im letzten Jahr hatten Rechtsanwälte mehrere Abmahnschreiben verschickt. Darin ging es darum, dass beim Besuchen einer Website, die Google Fonts nicht lokal eingebunden hat, die personenbezogenen Daten des Nutzers an Google ohne Zustimmung übermittelt werden. Dies würde eine Rechtsgutverletzung darstellen.

In diesem Schreiben boten die Anwälte den Websitebetreibern an, gegen eine Zahlung von 170 € von einem Zivilverfahren wegen der Schmerzensgeldforderung abzusehen.

Nun hat die Polizei/Staatsanwaltschaft in Berlin am 21. Dezember 2022 mitgeteilt, dass in einem eingeleiteten Ermittlungsverfahren gegen einen Rechtsanwalt aus Berlin und dessen Mandanten Durchsuchungen in Berlin, Hannover, Ratzeburg und Baden-Baden stattfanden. Es besteht Verdacht des (versuchten) Betrugs und der versuchten Erpressung in mindestens 2.418 Fällen.

Der Rechtsanwalt soll mittels einer Software Websites ermittelt haben, die Google Fonts dynamisch nutzen. Dabei sollen sie Websitebesuche durch eine weitere dafür programmierte Software vorgetäuscht haben. Die so erfassten Websitebesuche waren die Grundlage für die Behauptung der Datenschutzverletzung. Schadensersatzansprüche wegen der Verletzung von Persönlichkeitsrechten können laut Staatsanwaltschaft Berlin nur dann geltend gemacht werden, wenn Einzelpersonen (reale Personen) die Webseiten auch tatsächlich besuchen.

Bei den Durchsuchungen konnte eine Gesamtsumme von 346.000 € beschlagnahmt werden. Die Summe entstand dadurch, dass etwa 2.000 Abgemahnte die geforderten 170 € aus Sorge vor einem gerichtlichen Verfahren gezahlt haben.

Jedoch haben 420 weitere Abgemahnte, die nicht gezahlt haben, Strafanzeige gestellt. Ob es zu einer Anklage kommt oder es bei der Beschlagnahme des Geldes bleibt, wird sich im weiteren Verlauf der Ermittlungen zeigen. Ob und in welcher Höhe die Betroffenen ihr Geld zurückbekommen, lässt sich noch nicht abschätzen. Es ist jedoch wichtig die Entwicklungen zu beobachten.

Fotos durch Privatpersonen von Falschparker

Da zwei Männer privat der Polizei Fotoaufnahmen von ordnungswidrig geparkten Fahrzeuge übermittelt hatten, erhielten diese Männer aus Bayern eine Verwarnung. Zu Unrecht, wie das VG Ansbach nun entschied.

Das Verwaltungsgericht kam zu dem Schluss, dass wer Fotos von Falschparkern im Rahmen einer Anzeige an die Polizei schickt, damit im Normalfall nicht gegen Datenschutzrecht verstößt. Das entschied die 14. Kammer des Verwaltungsgerichts (VG) Ansbach in einem verbundenen Verfahren (Urt. v. 2.11.2022, AN 14 K 22.00468 und AN 14 K 21.01431).

Die zwei Männer hatten Anzeigen von Parkverstößen auf Geh- und Radwegen bei der Polizei aufgenommen. Das Bayerische Landesamt für Datenschutzaufsicht, sprach gegenüber den beiden Männern daraufhin eine Verwarnung aus. Dagegen zogen sie vor Gericht. Im Mittelpunkt der Verfahren stand die Frage, ob die Übermittlung der Bildaufnahmen eine rechtmäßige Datenverarbeitung darstellte. Das Gericht prüfte dabei hauptsächlich, ob die Datenverarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten gem. Art 6 I f DSGVO erforderlich und geeignet war.

Das Gericht kam zu dem Schluss, dass hier das berechtigte Interesse Dritter an der Datenverarbeitung überwiegt und gab damit den Männern Recht.

Dieses berechtigte Interesse, sei auch im vorliegenden Fall nicht wegen Rechtsmissbrauchs entfallen. Die beiden Männer haben keinerlei Forderungen, bzw. Rechte gegenüber den Haltern der Fahrzeuge geltend gemacht.

Bei dem Vorgehen, handelt es sich nach dem Verwaltungsgericht daher um eine rechtmäßige Datenverarbeitung.

Die Entscheidung ist noch nicht rechtskräftig, es bleibt also abzuwarten, wie sich diese weite Auslegung des berechtigten Interesses nach Art 6 I f DSGVO weiter entwickeln wird.

Weitere Informationen finden Sie hier:
https://www.lto.de/recht/nachrichten/n/vg-ansbach-an14k2200468-an14k2101431-falschparker-dsgvo-versto-datenschutz/