Datenschutzrecht

Das Datenschutzrecht hat in der jüngeren Vergangenheit stark an Bedeutung im Unternehmensalltag gewonnen. In jedem Unternehmensbereich – Abwicklung von Kundengeschäften, Lieferantenbeziehungen, Online- und Direktmarketing, Fraud Prevention und in jeder Hinsicht in Bezug auf Beschäftigte – spielt das Datenschutzrecht eine Rolle. Auch in der Öffentlichkeit und bei Vertragspartnern hat das Thema Datenschutz als Erwartungshaltung gegenüber einem Unternehmen einen eigenständigen Stellenwert eingenommen – und das nicht erst durch öffentlichkeitswirksame Bußgeldverfahren.

Damit ist das Datenschutzrecht zu einem zwingenden Bestandteil jeder Unternehmensorganisation und Compliance-Strategie geworden und bei unternehmerischen Entscheidungen und Gestaltungen mit zu berücksichtigen.

Am 25.05.2016 ist die sog. EU-Datenschutz-Grundverordnung (DS-GVO) in Kraft getreten. Bis zum 25.05.2018 muss jede Verarbeitung personenbezogener Daten mit den Vorgaben der Datenschutz-Grundverordnung in Einklang gebracht sein – eine Aufgabe, der mit Blick auf den deutlich erhöhten Bußgeldrahmen für Verstöße gegen Datenschutzbestimmungen eine besondere Bedeutung zukommt.

Die Beratungsleistungen unserer Rechtsanwälte für Datenschutzrecht:

Wir von Derra, Meyer & Partner haben das Datenschutzrecht in den Fokus unserer Tätigkeitsbereiche gestellt und bieten Ihnen umfassende rechtliche Beratung und Unterstützung an. Hier einige Beispiele für unsere Beratungsinhalte:

  • Compliance-Check im Datenschutz
  • Anpassung der Datenverarbeitung in Ihrem Unternehmen an die Anforderungen der Datenschutz-Grundverordnung (DS-GVO)
  • Stellungnahmen und Bewertungen zum Nachweis datenschutzrechtskonformer Datenverarbeitung und neuer Geschäftsideen – und -modelle
  • Unterstützung beim Aufbau und Durchführung offline- und online-Marketingmaßnahmen einschließlich Data Driven Marketing und Customer Relationship Management (CRM)-Systemen
  • Datenschutz im Internet und datenschutzkonforme Gestaltung von Internetauftritten, Online-Shops und Online-Portalen
  • Begleitung von Projekten im Rahmen von Industrie 4.0, Machine2Machine Communication und Internet of Things
  • Einführung und Nutzung von – insbesondere grenzüberschreitenden – Cloud Services insbesondere von „Infrastructure as a Service“ über „Communication/Collaboration as a Service“ bis „Business Process as a Service“
  • Datenschutzrechtliche Beratung beim Outsourcing und Verkauf von Unternehmen, insbesondere beim Verkauf von Unternehmensteilen
  • Spezifische Datenschutzberatung im Telekommunikations- und Bankensektor
  • Datenschutzschulungen für Ihr Unternehmen entsprechend den Bedürfnissen Ihres Unternehmens und/oder themenbezogene Schulung
  • Coaching und Unterstützung von internen und externen Datenschutzbeauftragten
  • Unterstützung von Insolvenzverwaltern in Datenschutzfragen
  • Vertretung und Wahrung Ihrer Interessen bei Anfragen, Auskunftsverlangen und Untersuchung durch Aufsichtsbehörden
  • Interne Unterstützung bei der Vorbereitung auf Untersuchungen durch Aufsichtsbehörden

Fachübergreifende Beratung der Anwälte für Datenschutz bei Derra, Meyer & Partner

Unsere Anwälte für Datenschutzrecht bieten Ihnen eine maßgeschneiderte Rechtsberatung. Sie profitieren als Mandant von der Möglichkeit, unsere Kompetenzen in anderen tangierten Rechtsgebieten - wie dem Arbeits-, Bank-, Gesellschafts-, Handels-, Insolvenz-, Straf-, Vertriebs- und Wettbewerbsrecht - mit dem Datenschutzrecht entsprechend Ihren Anforderungen zusammenzuführen.

Als multidisziplinäres Team haben unsere Experten ein Gutachten für den BvD Berufsverband der Datenschutzbeauftragten zur Stellung des Datenschutzbeauftragten in der Datenschutz-Grundverordnung (https://www.bvdnet.de/gutachten-des-bvd-zu-stellung-pflichten-und-haftung-des-dsb-in-der-ds-gvo/, Stand: 20.04.2018) und den Leitfaden „Durchsuchung als wichtiger Bestandteil der IT-Security-Policy“ für EuroCloud Deutschland_eco e.V. (https://www.eurocloud.de/2018/dokumente/durchsuchung-wichtiges-element-der-it-security-policy.html, Stand: 20.04.2018) erstellt.

Unsere Rechtsexperten sind im Vorstand des Berufsverbands der Datenschutzbeauftragten sowie bei EuroCloud vertreten und haben sich durch intensive Autoren- und Referententätigkeit als Experten im Datenschutz einen Namen gemacht.

 

Weitere Informationen zum Thema Datenschutz

Zum Datenschutzrecht - dmp Newsletter 2017

Ein Überblick über die EU-Datenschutz-Grundverordnung anhand von 20 Fragen und 20 Antworten

DS-GVO „Readiness Check“ - Herausforderungen für das Unternehmen

DS-GVO „Readiness Check“ - Fragebogen zur Umsetzung der DS-GVO

DS-GVO „Readiness Check“ – Checkliste Vertragsinhalte einer Auftragsverarbeitung

Ansprechpartner

Aktuelles

18 Jun
2019

Keine Weitergabe einer Meldeanschrift des Schuldners bei Auskunftssperre

Das Interesse von Gläubigern an der Ermittlung einer aktuellen Anschrift des Schuldners ist in der Regel sehr hoch ...

mehr lesen

Das Interesse von Gläubigern an der Ermittlung einer aktuellen Anschrift des Schuldners ist in der Regel sehr hoch, um überhaupt Vollstreckungsmaßnahmen einleiten zu können.

Eine Möglichkeit der Anschriftenermittlung ist die Beauftragung des Gerichtsvollziehers mit der Durchführung der Zwangsvollstreckung einschließlich der Ermittlung der aktuellen Anschrift des Schuldners durch Nachfrage bei der Meldebehörde gem. § 755 Abs. 1 ZPO.

In einer aktuellen Entscheidung hat der BGH entschieden, dass der Gerichtsvollzieher nicht befugt ist, im Falle der Eintragung einer Auskunftssperre im Melderegister die Anschrift des Schuldners an den Gläubiger weiterzugeben (BGH, Beschluss vom 10.10.2018 – VII ZB 12/15). Er darf die ihm von der Meldebehörde mitgeteilte Anschrift des Schuldners zur Erledigung der beauftragten Zwangsvollstreckungsmaßnahmen verwenden, jedoch nur soweit dem die Auskunftssperre nicht entgegensteht und er die schutzwürdigen Interessen des Schuldners an der Geheimhaltung seiner Anschrift durch geeignete Maßnahmen wahren kann.

Auskunftssperre im Melderegister

Gemäß § 51 Abs. 1 Bundesmeldegesetz hat die Meldebehörde auf Antrag oder von Amts wegen eine Auskunftssperre im Melderegister einzutragen, wenn Tatsachen vorliegen, die die Annahme rechtfertigen, dass der betroffenen oder einer anderen Person durch eine Melderegisterauskunft eine Gefahr für Leben, Gesundheit, persönliche Freiheit oder ähnliche schutzwürdige Interessen erwachsen kann. Eine Melderegisterauskunft ist in diesen Fällen unzulässig, es sei denn nach Anhörung der betroffenen Person kann eine entsprechende Gefahr ausgeschlossen werden (§ 51 Abs. 2 S. 1 Bundesmeldegesetz). Werden Daten an den Gerichtsvollzieher als eine sonstige öffentliche Stelle nach § 34 Abs. 1 S. 1 Bundesmeldegesetz i.V.m. § 2 Abs. 2 Bundesdatenschutzgesetz übermittelt, ist eine Verarbeitung oder Nutzung der übermittelten Daten und Hinweise durch den Gerichtsvollzieher nach § 41 Satz 2 Bundesmeldegesetz bei Eintragung einer Auskunftssperre im Melderegister nur zulässig, wenn die Beeinträchtigung schutzwürdiger Interessen der betroffenen Person ausgeschlossen ist.   

Geheimhaltung der Meldedaten

Nach Maßgabe dieser Regelungen ist der Gerichtsvollzieher nach Ansicht des BGH nicht befugt, eine ihm von der Meldebehörde mitgeteilte Anschrift des Schuldners an den Gläubiger weiterzugeben, da nicht ausgeschlossen werden kann, dass die Weitergabe die schutzwürdigen Interessen des Schuldners beeinträchtigt. Zutreffend geht der BGH davon aus, dass es nicht Aufgabe des Gerichtsvollziehers sei, nach Anhörung des Schuldners eine Einzelfallbeurteilung vorzunehmen und selbst zu entscheiden, ob im konkreten Fall ausgeschlossen werden kann, dass das aufgrund der Auskunftssperre grundsätzlich anzunehmende schutzwürdige Interesse des Schuldners an der Geheimhaltung seiner Anschrift ausnahmsweise im Verhältnis zum Gläubiger nicht beeinträchtigt ist.

Der Gerichtsvollzieher ist auch nicht gemäß § 755 Abs. 2 ZPO zur unbeschränkten Übermittlung der erhobenen Anschrift des Schuldners an den Gläubiger verpflichtet.

Durch die in § 755 Abs. 1 ZPO geregelte Befugnis des Gerichtsvollziehers zur Datenerhebung und die daraus abgeleitete Befugnis, die gewonnenen Erkenntnisse aus der Datenerhebung zur Durchführung der Zwangsvollstreckung, etwa zur Durchführung einer Pfändung, zu nutzen, wird dem gesetzgeberischen Ziel hinreichend Rechnung getragen. Der Gläubiger verfügt damit nach Auffassung des BGH auch bei einer bestehenden Auskunftssperre über effektive Erkenntnis- und Vollstreckungsmöglichkeiten. Damit werden seine Grundrechte auf Schutz des Eigentums (Art. 14 GG) und effektiven Rechtsschutz (Art. 19 IV GG), die den Staat verpflichten, effektive Mittel zur Durchsetzung titulierter Forderungen bereitzustellen, gegenüber dem Grundrecht des Schuldners auf informationelle Selbstbestimmung hinreichend gewahrt.

Das bedeutet für Sie: andere Wege der Anschriftenermittlung

Nach Rechtsauffassung des Bundesgerichtshofs ist es dem Gläubiger zumutbar, soweit die Ermittlung der aktuellen Anschrift tatsächlich notwendig ist, eine Melderegisterauskunft bei der insoweit sachnäheren Meldebehörde zu beantragen, die dann den Schuldner anzuhören hat, um gem. § 51 Abs. 1, 2 Bundesmeldegesetz zu entscheiden, ob eine Gefahr für Leben, Gesundheit, persönliche Freiheit oder ähnliche schutzwürdige Interessen ausgeschlossen und eine Melderegisterauskunft ausnahmsweise erteilt werden kann.

Rechtsanwältin Kathleen Brauner

dmp@derra-dd.de

Stand: 06/2019

Das Interesse von Gläubigern an der Ermittlung einer aktuellen Anschrift des Schuldners ist in der Regel sehr hoch, um überhaupt Vollstreckungsmaßnahmen einleiten zu können.

Eine Möglichkeit der Anschriftenermittlung ist die Beauftragung des Gerichtsvollziehers mit der Durchführung der Zwangsvollstreckung einschließlich der Ermittlung der aktuellen Anschrift des Schuldners durch Nachfrage bei der Meldebehörde gem. § 755 Abs. 1 ZPO.

In einer aktuellen Entscheidung hat der BGH entschieden, dass der Gerichtsvollzieher nicht befugt ist, im Falle der Eintragung einer Auskunftssperre im Melderegister die Anschrift des Schuldners an den Gläubiger weiterzugeben (BGH, Beschluss vom 10.10.2018 – VII ZB 12/15). Er darf die ihm von der Meldebehörde mitgeteilte Anschrift des Schuldners zur Erledigung der beauftragten Zwangsvollstreckungsmaßnahmen verwenden, jedoch nur soweit dem die Auskunftssperre nicht entgegensteht und er die schutzwürdigen Interessen des Schuldners an der Geheimhaltung seiner Anschrift durch geeignete Maßnahmen wahren kann.

Auskunftssperre im Melderegister

Gemäß § 51 Abs. 1 Bundesmeldegesetz hat die Meldebehörde auf Antrag oder von Amts wegen eine Auskunftssperre im Melderegister einzutragen, wenn Tatsachen vorliegen, die die Annahme rechtfertigen, dass der betroffenen oder einer anderen Person durch eine Melderegisterauskunft eine Gefahr für Leben, Gesundheit, persönliche Freiheit oder ähnliche schutzwürdige Interessen erwachsen kann. Eine Melderegisterauskunft ist in diesen Fällen unzulässig, es sei denn nach Anhörung der betroffenen Person kann eine entsprechende Gefahr ausgeschlossen werden (§ 51 Abs. 2 S. 1 Bundesmeldegesetz). Werden Daten an den Gerichtsvollzieher als eine sonstige öffentliche Stelle nach § 34 Abs. 1 S. 1 Bundesmeldegesetz i.V.m. § 2 Abs. 2 Bundesdatenschutzgesetz übermittelt, ist eine Verarbeitung oder Nutzung der übermittelten Daten und Hinweise durch den Gerichtsvollzieher nach § 41 Satz 2 Bundesmeldegesetz bei Eintragung einer Auskunftssperre im Melderegister nur zulässig, wenn die Beeinträchtigung schutzwürdiger Interessen der betroffenen Person ausgeschlossen ist.   

Geheimhaltung der Meldedaten

Nach Maßgabe dieser Regelungen ist der Gerichtsvollzieher nach Ansicht des BGH nicht befugt, eine ihm von der Meldebehörde mitgeteilte Anschrift des Schuldners an den Gläubiger weiterzugeben, da nicht ausgeschlossen werden kann, dass die Weitergabe die schutzwürdigen Interessen des Schuldners beeinträchtigt. Zutreffend geht der BGH davon aus, dass es nicht Aufgabe des Gerichtsvollziehers sei, nach Anhörung des Schuldners eine Einzelfallbeurteilung vorzunehmen und selbst zu entscheiden, ob im konkreten Fall ausgeschlossen werden kann, dass das aufgrund der Auskunftssperre grundsätzlich anzunehmende schutzwürdige Interesse des Schuldners an der Geheimhaltung seiner Anschrift ausnahmsweise im Verhältnis zum Gläubiger nicht beeinträchtigt ist.

Der Gerichtsvollzieher ist auch nicht gemäß § 755 Abs. 2 ZPO zur unbeschränkten Übermittlung der erhobenen Anschrift des Schuldners an den Gläubiger verpflichtet.

Durch die in § 755 Abs. 1 ZPO geregelte Befugnis des Gerichtsvollziehers zur Datenerhebung und die daraus abgeleitete Befugnis, die gewonnenen Erkenntnisse aus der Datenerhebung zur Durchführung der Zwangsvollstreckung, etwa zur Durchführung einer Pfändung, zu nutzen, wird dem gesetzgeberischen Ziel hinreichend Rechnung getragen. Der Gläubiger verfügt damit nach Auffassung des BGH auch bei einer bestehenden Auskunftssperre über effektive Erkenntnis- und Vollstreckungsmöglichkeiten. Damit werden seine Grundrechte auf Schutz des Eigentums (Art. 14 GG) und effektiven Rechtsschutz (Art. 19 IV GG), die den Staat verpflichten, effektive Mittel zur Durchsetzung titulierter Forderungen bereitzustellen, gegenüber dem Grundrecht des Schuldners auf informationelle Selbstbestimmung hinreichend gewahrt.

Das bedeutet für Sie: andere Wege der Anschriftenermittlung

Nach Rechtsauffassung des Bundesgerichtshofs ist es dem Gläubiger zumutbar, soweit die Ermittlung der aktuellen Anschrift tatsächlich notwendig ist, eine Melderegisterauskunft bei der insoweit sachnäheren Meldebehörde zu beantragen, die dann den Schuldner anzuhören hat, um gem. § 51 Abs. 1, 2 Bundesmeldegesetz zu entscheiden, ob eine Gefahr für Leben, Gesundheit, persönliche Freiheit oder ähnliche schutzwürdige Interessen ausgeschlossen und eine Melderegisterauskunft ausnahmsweise erteilt werden kann.

Rechtsanwältin Kathleen Brauner

dmp@derra-dd.de

Stand: 06/2019

04 Jun
2019

Ein Jahr DS-GVO – steigt nun die Höhe der Bußgelder?

Seit nunmehr einem Jahr gilt die Datenschutz-Grundverordnung (DS-GVO). Was hat sich seitdem getan? Wie weit sind Sie mit der Umsetzung?

mehr lesen

Seit nunmehr einem Jahr gilt die Datenschutz-Grundverordnung (DS-GVO). Was hat sich seitdem getan? Wie weit sind Sie mit der Umsetzung? Davon, dass die Gefahr von Bußgeldern mit der Zeit sinken wird, sollten Sie nicht ausgehen – „2019 wird das Jahr der Kontrolle“, ließ Dr. Stefan Brink, Landesbeauftragter für Datenschutz und Informationsfreiheit Baden-Württemberg (LfDI BW) erst kürzlich verlauten. Wer auf Lücke setze, müsse damit rechnen, dass 2019 ein „schwieriges Jahr“ werde. Verarbeiten Sie in Ihrem Unternehmen personenbezogene Daten, sollten Sie sich also damit befassen, welche Folgen diese Ankündigung für Sie haben könnte.

Immense Anzahl eingegangener Beschwerden

Laut einem Bericht des Europäischen Datenschutzausschusses (EDSA) wurden allein in den ersten neun Monaten seit Geltung der DS-GVO über 200.000 Verstöße bei den nationalen Aufsichtsbehörden gemeldet (EDSA, Bericht „First overview on the implementation of the GDPR and the roles and means of the national supervisory authorities“, abrufbar unter https://edpb.europa.eu/sites/edpb/files/files/file1/19_2019_edpb_written_report_to_libe_en.pdf, Stand: 21.05.2019). So gingen über 90.000 Beschwerden bei den Aufsichtsbehörden ein, während Verantwortliche (die Stellen, die personenbezogene Daten in eigener Verantwortung verarbeiten) in fast 65.000 Fällen eigene Datenpannen meldeten. Von diesen Eingaben wurde erst die Hälfte abschließend bearbeitet.

Bislang verhängte Bußgelder

In den ersten neun Monaten verhängten die Aufsichtsbehörden bereits immense Bußgelder – unionsweit in einer Höhe von insgesamt 56 Millionen Euro. Davon betreffen zwar allein 50 Millionen Euro das von der französischen Datenschutzbehörde gegen Google verhängte Bußgeld. Aber auch die übrigen Bußgelder gegen Unternehmen waren von beachtlicher Höhe: Diese richteten sich u.a. gegen ein Krankenhaus in Portugal (Zugriff auf Patientendaten durch Unbefugte: 400.000 Euro), ein Taxiunternehmen in Dänemark (unzulässige Speicherung von Telefonnummern der Kunden: 160.000 Euro), ein Unternehmen in Polen, das eine kommerzielle Datenbank betrieb (Nichterfüllung von Informationspflichten nach Art. 14 DS-GVO: 220.000 Euro) sowie jüngst gegen einen Zahlungsdienstleister in Litauen (unzureichende Maßnahmen der Datensicherheit sowie Verstoß gegen die Meldepflicht bei Datenpannen: 61.500 Euro).

In Deutschland wurden im letzten Jahr insgesamt 100 Bußgelder in Nordrhein-Westfalen, Hamburg, Baden-Württemberg, Rheinland-Pfalz, Berlin, Sachsen-Anhalt, Thüringen sowie im Saarland verhängt. Diese ergingen beispielsweise in Höhe von 20.000 Euro gegen den Betreiber einer Internetplattform, in Höhe von 50.000 Euro gegen eine Bank sowie 80.000 Euro wegen einer Datenpanne, bei der Gesundheitsdaten im Internet veröffentlicht wurden. Die sanktionierten Verstöße betrafen u.a. unzureichende Maßnahmen der Datensicherheit bei der Datenverarbeitung, die versehentliche Offenlegung von Daten an die falschen Personen, die Aufzeichnung von Telefonanrufen, unzulässige Werbe-E-Mails und offene E-Mail-Verteiler (hier erging das Bußgeld sogar gegen eine Privatperson).

Zukünftig sollen Bußgelder „in aller Regel deutlich höher ausfallen, als es in der Vergangenheit der Fall war“ (LfDI BW, 34. Tätigkeitsbericht Datenschutz 2018, abrufbar unter https://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2019/02/LfDI-34.-Datenschutz-T%C3%A4tigkeitsbericht-Internet.pdf, Stand: 21.05.2019).

Umsetzung der DS-GVO prüfen

Zudem haben mehrere Aufsichtsbehörden der Länder angekündigt, darüber hinaus vermehrt – auch unangekündigte – Kontrollen durchzuführen. Das bedeutet für Sie: Auf einen Verstoß sollten Sie es nicht ankommen lassen. Erfahrungsgemäß haben sich viele Unternehmen im letzten Jahr zunächst intensiv mit der Umsetzung der DS-GVO beschäftigt. Erste Schritte zur Erfüllung grundlegender Pflichten wurden in Angriff genommen. Oft verblieb es aber dabei, einen Datenschutzbeauftragten zu benennen und Datenschutzhinweise zur Erfüllung der Informationspflichten zu erstellen.

Das bedeutet für Sie: Eine mangelnde Umsetzung der DS-GVO birgt weiterhin ein hohes Risiko. Deswegen sollten Sie nun den „Jahrestag“ zum Anlass nehmen, in die zweite Runde „Umsetzung DS-GVO“ zu starten. Überprüfen sie regelmäßig die bei Ihnen stattfindenden Verarbeitungsvorgänge auf ihre Rechtmäßigkeit. Klopfen Sie ab, wo Sie bei der Umsetzung der datenschutzrechtlichen Anforderungen stehen: Stellen Sie beispielsweise sicher, dass Sie im Falle einer Auftragsverarbeitung einen entsprechenden Vertrag mit dem Dienstleister geschlossen haben. Schulen Sie regelmäßig Ihre Mitarbeiter. Überprüfen Sie die Maßnahmen zur Gewährleistung einer angemessenen Datensicherheit. Diese und weitere Schritte werden Ihnen helfen, Bußgelder zu vermeiden.

Rechtsanwältin Johanna Mäkert, LL.M. (Bukarest)

dmp@derra-b.de

Stand: 06/2019

Seit nunmehr einem Jahr gilt die Datenschutz-Grundverordnung (DS-GVO). Was hat sich seitdem getan? Wie weit sind Sie mit der Umsetzung? Davon, dass die Gefahr von Bußgeldern mit der Zeit sinken wird, sollten Sie nicht ausgehen – „2019 wird das Jahr der Kontrolle“, ließ Dr. Stefan Brink, Landesbeauftragter für Datenschutz und Informationsfreiheit Baden-Württemberg (LfDI BW) erst kürzlich verlauten. Wer auf Lücke setze, müsse damit rechnen, dass 2019 ein „schwieriges Jahr“ werde. Verarbeiten Sie in Ihrem Unternehmen personenbezogene Daten, sollten Sie sich also damit befassen, welche Folgen diese Ankündigung für Sie haben könnte.

Immense Anzahl eingegangener Beschwerden

Laut einem Bericht des Europäischen Datenschutzausschusses (EDSA) wurden allein in den ersten neun Monaten seit Geltung der DS-GVO über 200.000 Verstöße bei den nationalen Aufsichtsbehörden gemeldet (EDSA, Bericht „First overview on the implementation of the GDPR and the roles and means of the national supervisory authorities“, abrufbar unter https://edpb.europa.eu/sites/edpb/files/files/file1/19_2019_edpb_written_report_to_libe_en.pdf, Stand: 21.05.2019). So gingen über 90.000 Beschwerden bei den Aufsichtsbehörden ein, während Verantwortliche (die Stellen, die personenbezogene Daten in eigener Verantwortung verarbeiten) in fast 65.000 Fällen eigene Datenpannen meldeten. Von diesen Eingaben wurde erst die Hälfte abschließend bearbeitet.

Bislang verhängte Bußgelder

In den ersten neun Monaten verhängten die Aufsichtsbehörden bereits immense Bußgelder – unionsweit in einer Höhe von insgesamt 56 Millionen Euro. Davon betreffen zwar allein 50 Millionen Euro das von der französischen Datenschutzbehörde gegen Google verhängte Bußgeld. Aber auch die übrigen Bußgelder gegen Unternehmen waren von beachtlicher Höhe: Diese richteten sich u.a. gegen ein Krankenhaus in Portugal (Zugriff auf Patientendaten durch Unbefugte: 400.000 Euro), ein Taxiunternehmen in Dänemark (unzulässige Speicherung von Telefonnummern der Kunden: 160.000 Euro), ein Unternehmen in Polen, das eine kommerzielle Datenbank betrieb (Nichterfüllung von Informationspflichten nach Art. 14 DS-GVO: 220.000 Euro) sowie jüngst gegen einen Zahlungsdienstleister in Litauen (unzureichende Maßnahmen der Datensicherheit sowie Verstoß gegen die Meldepflicht bei Datenpannen: 61.500 Euro).

In Deutschland wurden im letzten Jahr insgesamt 100 Bußgelder in Nordrhein-Westfalen, Hamburg, Baden-Württemberg, Rheinland-Pfalz, Berlin, Sachsen-Anhalt, Thüringen sowie im Saarland verhängt. Diese ergingen beispielsweise in Höhe von 20.000 Euro gegen den Betreiber einer Internetplattform, in Höhe von 50.000 Euro gegen eine Bank sowie 80.000 Euro wegen einer Datenpanne, bei der Gesundheitsdaten im Internet veröffentlicht wurden. Die sanktionierten Verstöße betrafen u.a. unzureichende Maßnahmen der Datensicherheit bei der Datenverarbeitung, die versehentliche Offenlegung von Daten an die falschen Personen, die Aufzeichnung von Telefonanrufen, unzulässige Werbe-E-Mails und offene E-Mail-Verteiler (hier erging das Bußgeld sogar gegen eine Privatperson).

Zukünftig sollen Bußgelder „in aller Regel deutlich höher ausfallen, als es in der Vergangenheit der Fall war“ (LfDI BW, 34. Tätigkeitsbericht Datenschutz 2018, abrufbar unter https://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2019/02/LfDI-34.-Datenschutz-T%C3%A4tigkeitsbericht-Internet.pdf, Stand: 21.05.2019).

Umsetzung der DS-GVO prüfen

Zudem haben mehrere Aufsichtsbehörden der Länder angekündigt, darüber hinaus vermehrt – auch unangekündigte – Kontrollen durchzuführen. Das bedeutet für Sie: Auf einen Verstoß sollten Sie es nicht ankommen lassen. Erfahrungsgemäß haben sich viele Unternehmen im letzten Jahr zunächst intensiv mit der Umsetzung der DS-GVO beschäftigt. Erste Schritte zur Erfüllung grundlegender Pflichten wurden in Angriff genommen. Oft verblieb es aber dabei, einen Datenschutzbeauftragten zu benennen und Datenschutzhinweise zur Erfüllung der Informationspflichten zu erstellen.

Das bedeutet für Sie: Eine mangelnde Umsetzung der DS-GVO birgt weiterhin ein hohes Risiko. Deswegen sollten Sie nun den „Jahrestag“ zum Anlass nehmen, in die zweite Runde „Umsetzung DS-GVO“ zu starten. Überprüfen sie regelmäßig die bei Ihnen stattfindenden Verarbeitungsvorgänge auf ihre Rechtmäßigkeit. Klopfen Sie ab, wo Sie bei der Umsetzung der datenschutzrechtlichen Anforderungen stehen: Stellen Sie beispielsweise sicher, dass Sie im Falle einer Auftragsverarbeitung einen entsprechenden Vertrag mit dem Dienstleister geschlossen haben. Schulen Sie regelmäßig Ihre Mitarbeiter. Überprüfen Sie die Maßnahmen zur Gewährleistung einer angemessenen Datensicherheit. Diese und weitere Schritte werden Ihnen helfen, Bußgelder zu vermeiden.

Rechtsanwältin Johanna Mäkert, LL.M. (Bukarest)

dmp@derra-b.de

Stand: 06/2019

31 Mai
2019

Leitfaden "Vernetzte und autonome Mobilität"

Der Leitfaden "Vernetzte und autonome Mobilität", an dem u.a. RA Dr. Eckhardt und RA Steffen mitgewirkt haben, zeigt aktuelle und künftige Entwicklungen in der Digitalisierung des Mobilitätssektors auf. Hier erhalten Sie den Leitfaden kostenfrei.

mehr lesen
23 Mai
2019

Ist die GPS-Ortung von Firmenfahrzeugen zulässig?

Viele Unternehmen verwenden gerade beim Einsatz von Vertriebsmitarbeitern oder Zustellfahrzeugen eine GPS-Ortung, um ihren Betriebsablauf optimieren zu können.

mehr lesen

Viele Unternehmen verwenden gerade beim Einsatz von Vertriebsmitarbeitern oder Zustellfahrzeugen eine GPS-Ortung, um ihren Betriebsablauf optimieren zu können. Die datenschutzrechtliche Zulässigkeit hiervon ist indes umstritten.

Aktuelles Urteil zu Bußgeldbescheid wegen GPS-Ortung

In einem aktuellen Urteil des Verwaltungsgerichts Lüneburg (Teilurteil vom 19.03.2019, Az. 4 A 12/19) hatte das Gericht über einen Bußgeldbescheid der Niedersächsischen Datenschutzaufsichtsbehörde zu entscheiden. Das Bußgeld war gegenüber einer Reinigungsfirma erlassen worden, die ihre Firmenfahrzeuge mit einem GPS-Ortungssystem überwacht. Diese Überwachung hielt das Gericht nicht für erforderlich und daher für unzulässig.

Im dem Rechtsstreit vorangegangenen Bußgeldverfahren hatte die Aufsichtsbehörde entschieden, dass die GPS-Überwachung der Firmenfahrzeuge eine nicht erforderliche Verarbeitung von Beschäftigtendaten darstelle. Das Reinigungsunternehmen konnte 18 Fahrzeuge der Flotte mittels eines eingebauten GPS orten. Diese Funktion ließ sich auch nicht ohne weiteres deaktivieren. Das System war so eingestellt, dass es für einen Zeitraum von 150 Tagen jede gefahrene Strecke sowie den Zündungsstatus speicherte. Nach Angaben des Unternehmens erfolgte eine tatsächliche Ortung der Fahrzeuge sehr unregelmäßig und maximal drei bis vier Mal pro Jahr.

Eine Privatnutzung der Fahrzeuge war zwar nicht ausdrücklich gestattet, jedoch geduldet. Die GPS-Ortung diente dazu – so das Unternehmen –, die Touren der Beschäftigten zu planen, Mitarbeiter und Fahrzeuge zu koordinieren, Nachweise gegenüber Auftraggebern zu erbringen und die Fahrzeuge vor Diebstahl zu schützen bzw. gestohlene Fahrzeuge wieder aufzufinden.

Ortungsdaten sind personenbezogene Daten gemäß Datenschutz-Grundverordnung

Das Gericht entschied, dass die Ortungsdaten in diesem Fall personenbezogene Daten sind, da die Fahrzeuge den jeweiligen Beschäftigten eindeutig zugeordnet werden können. Deshalb handle es sich um eine Verarbeitung personenbezogener Daten im Beschäftigtenkontext gem. Art. 88 Abs. 1 DSGVO i.V.m. § 26 Abs. 1 BDSG. Sofern also für die Verarbeitung keine Einwilligung vorliegt, muss die Verarbeitung zur Begründung, Durchführung oder Beendigung eines Beschäftigungsverhältnisses erforderlich sein. Anderenfalls ist die Verarbeitung unzulässig.

Das Gericht stellte fest, dass Ortungssysteme für die Prävention von Diebstählen völlig ungeeignet und somit nicht erforderlich im Sinne von § 26 Abs. 1 BDSG sind. Des Weiteren sei auch eine ständige Ortung der Fahrzeuge nicht zur Koordination von Mitarbeitern und Fahrzeugen erforderlich. Eine solche Planung sei stets zukunftsorientiert, weswegen Informationen über vergangene und aktuelle Standorte der Fahrzeuge nicht relevant seien. Die Dienstleistungen im Reinigungsgewerbe seien außerdem nicht so zeitkritisch wie etwa im Transportgewerbe, weshalb hier nicht derselbe Maßstab anzusetzen sei.

Letztlich könnten – so das Gericht – die GPS-Daten auch nicht als Nachweis für geleistete Tätigkeiten gegenüber Auftraggebern dienen. Ein solcher Nachweis erfolge wesentlich sicherer und weniger eingriffsintensiv bei den Auftraggebern vor Ort.

Konsequenzen aus der Entscheidung für die Nutzung von GPS-Ortung

Die Entscheidung zeigt, dass eine GPS-Ortung von Firmenfahrzeugen nicht grundsätzlich verboten ist. Allerdings ist eine detaillierte Erforderlichkeitsprüfung unter Berücksichtigung der jeweiligen Zwecke der Ortung durchzuführen. Hierzu gibt das Urteil einen nachvollziehbaren Leitfaden. Für den einzelnen Unternehmer lässt sich zusammenfassend sagen, dass es bei einer GPS-Ortung nicht nur auf die Verarbeitung an sich ankommt, sondern ganz maßgeblich auch auf den Zweck und die Umstände der Verarbeitung.

Rechtsanwalt Nils Steffen

dmp@derra-ul.de

Stand: 05/2019

Viele Unternehmen verwenden gerade beim Einsatz von Vertriebsmitarbeitern oder Zustellfahrzeugen eine GPS-Ortung, um ihren Betriebsablauf optimieren zu können. Die datenschutzrechtliche Zulässigkeit hiervon ist indes umstritten.

Aktuelles Urteil zu Bußgeldbescheid wegen GPS-Ortung

In einem aktuellen Urteil des Verwaltungsgerichts Lüneburg (Teilurteil vom 19.03.2019, Az. 4 A 12/19) hatte das Gericht über einen Bußgeldbescheid der Niedersächsischen Datenschutzaufsichtsbehörde zu entscheiden. Das Bußgeld war gegenüber einer Reinigungsfirma erlassen worden, die ihre Firmenfahrzeuge mit einem GPS-Ortungssystem überwacht. Diese Überwachung hielt das Gericht nicht für erforderlich und daher für unzulässig.

Im dem Rechtsstreit vorangegangenen Bußgeldverfahren hatte die Aufsichtsbehörde entschieden, dass die GPS-Überwachung der Firmenfahrzeuge eine nicht erforderliche Verarbeitung von Beschäftigtendaten darstelle. Das Reinigungsunternehmen konnte 18 Fahrzeuge der Flotte mittels eines eingebauten GPS orten. Diese Funktion ließ sich auch nicht ohne weiteres deaktivieren. Das System war so eingestellt, dass es für einen Zeitraum von 150 Tagen jede gefahrene Strecke sowie den Zündungsstatus speicherte. Nach Angaben des Unternehmens erfolgte eine tatsächliche Ortung der Fahrzeuge sehr unregelmäßig und maximal drei bis vier Mal pro Jahr.

Eine Privatnutzung der Fahrzeuge war zwar nicht ausdrücklich gestattet, jedoch geduldet. Die GPS-Ortung diente dazu – so das Unternehmen –, die Touren der Beschäftigten zu planen, Mitarbeiter und Fahrzeuge zu koordinieren, Nachweise gegenüber Auftraggebern zu erbringen und die Fahrzeuge vor Diebstahl zu schützen bzw. gestohlene Fahrzeuge wieder aufzufinden.

Ortungsdaten sind personenbezogene Daten gemäß Datenschutz-Grundverordnung

Das Gericht entschied, dass die Ortungsdaten in diesem Fall personenbezogene Daten sind, da die Fahrzeuge den jeweiligen Beschäftigten eindeutig zugeordnet werden können. Deshalb handle es sich um eine Verarbeitung personenbezogener Daten im Beschäftigtenkontext gem. Art. 88 Abs. 1 DSGVO i.V.m. § 26 Abs. 1 BDSG. Sofern also für die Verarbeitung keine Einwilligung vorliegt, muss die Verarbeitung zur Begründung, Durchführung oder Beendigung eines Beschäftigungsverhältnisses erforderlich sein. Anderenfalls ist die Verarbeitung unzulässig.

Das Gericht stellte fest, dass Ortungssysteme für die Prävention von Diebstählen völlig ungeeignet und somit nicht erforderlich im Sinne von § 26 Abs. 1 BDSG sind. Des Weiteren sei auch eine ständige Ortung der Fahrzeuge nicht zur Koordination von Mitarbeitern und Fahrzeugen erforderlich. Eine solche Planung sei stets zukunftsorientiert, weswegen Informationen über vergangene und aktuelle Standorte der Fahrzeuge nicht relevant seien. Die Dienstleistungen im Reinigungsgewerbe seien außerdem nicht so zeitkritisch wie etwa im Transportgewerbe, weshalb hier nicht derselbe Maßstab anzusetzen sei.

Letztlich könnten – so das Gericht – die GPS-Daten auch nicht als Nachweis für geleistete Tätigkeiten gegenüber Auftraggebern dienen. Ein solcher Nachweis erfolge wesentlich sicherer und weniger eingriffsintensiv bei den Auftraggebern vor Ort.

Konsequenzen aus der Entscheidung für die Nutzung von GPS-Ortung

Die Entscheidung zeigt, dass eine GPS-Ortung von Firmenfahrzeugen nicht grundsätzlich verboten ist. Allerdings ist eine detaillierte Erforderlichkeitsprüfung unter Berücksichtigung der jeweiligen Zwecke der Ortung durchzuführen. Hierzu gibt das Urteil einen nachvollziehbaren Leitfaden. Für den einzelnen Unternehmer lässt sich zusammenfassend sagen, dass es bei einer GPS-Ortung nicht nur auf die Verarbeitung an sich ankommt, sondern ganz maßgeblich auch auf den Zweck und die Umstände der Verarbeitung.

Rechtsanwalt Nils Steffen

dmp@derra-ul.de

Stand: 05/2019

21 Mai
2019

Datenschutzkonferenz: Derzeit kein datenschutzkonformer Betrieb von Facebook-Fanpage

Facebook-Fanpage stehen im Fokus der Datenschutzaufsichtsbehörden. Sie müssen sich die Anforderungen und Risiken beim Betreiben einer Facebook-Fanpage bewusst machen.

mehr lesen

Facebook-Fanpage stehen im Fokus der Datenschutzaufsichtsbehörden. Sie müssen sich die Anforderungen und Risiken beim Betreiben einer Facebook-Fanpage bewusst machen.

Positionierung der deutschen Datenschutzaufsichtsbehörden zur Facebook-Fanpage

Die Datenschutzkonferenz – also die deutschen Datenschutzaufsichtsbehörden des Bundes und der Länder - hat am 01.04.2019 in ihrer „Positionierung zur Verantwortlichkeit und Rechenschaftspflicht bei Facebook-Fanpages sowie der aufsichtsbehördlichen Zuständigkeit“ zum Betreiben einer Facebook Fanpage Stellung genommen. Sie kommt zu dem Schluss, dass die Erfüllung der Rechenschaftspflicht im Sinne von Art. 5 Abs. 2 DS-GVO seitens des Betreibers einer Fanpage derzeit (!) nicht möglich ist.

Im Beschluss heißt es wörtlich (Zitiert nach https://www.datenschutzkonferenz-online.de/media/dskb/20190405_positionierung_facebook_fanpages.pdf (Stand: 20.05.2019):

„Sowohl Facebook als auch die Fanpage-Betreiber müssen ihrer Rechenschaftspflicht nachkommen. Die Datenschutzkonferenz erwartet, dass Facebook entsprechend nachbessert und die Fanpage-Betreiber ihrer Verantwortlichkeit entsprechend gerecht werden. Solange diesen Pflichten nicht nachgekommen wird, ist ein datenschutzkonformer Betrieb einer Fanpage nicht möglich.“

Mit anderen Worten: Der Betrieb einer Facebook-Fanpage verstößt derzeit und solange gegen Datenschutzrecht, bis diese Vorgaben erfüllt sind.

Hintergrund - Urteil des EuGH zum Betrieb einer Facebook-Fanpage

Der EuGH hatte mit Urteil vom 05.06.2018 festgestellt, dass der Betreiber einer Fanpage und Facebook gemeinsam verantwortlich im Sinne von Art. 26 DS-GVO sind. Insbesondere treffen beide Rechenschaftspflichten nach Art. 5 Abs. 2 DS-GVO zum Nachweis der Erfüllung der in Art. 5 Abs. 1 DS-GVO genannten Pflichten.

Die in der Zwischenzeit erfolgten Ergänzungen seitens Facebook erachtet die Datenschutzkonferenz als nicht ausreichend. Insbesondere seien die durch Facebook bereitgestellten Informationen zu den Verarbeitungstätigkeiten im Zusammenhang mit Fanpages und Seiten-Insights nach Aussage der Datenschutzkonferenz nicht transparent und ausreichend konkret. Sie seien deshalb nicht ausreichend, um den Betreibern einer Fanpage die Prüfung der Rechtmäßigkeit der Verarbeitung der betroffenen personenbezogenen Daten zu ermöglichen. Sie können deshalb insbesondere ihrer Rechenschaftspflicht nach Art. 5 Abs. 2 DS-GVO nicht nachkommen.

Mit der Einbeziehung der Fanpage-Betreiber macht die Datenschutzkonferenz auch deutlich, dass gegen diese wegen Datenschutzverstößen vorgegangen werden kann. Der Verstoß gegen den angesprochenen Art. 5 Abs. 2 DS-GVO ist mit einem Bußgeld bis zu 20 Mio. EURO oder 4% des weltweiten Vorjahresumsatzes des Unternehmens sanktionierbar.

Facebook-Fanpage-Betreiber können sich auch nicht hinter der Zuständigkeit von Aufsichtsbehörden für Facebook „verstecken“. Die Datenschutzkonferenz stellt – unter Bezugnahme auf die entsprechende Entscheidung des EuGH – klar, dass die für den Facebook-Fanpage-Betreiber zuständige Aufsichtsbehörde auch für das Vorgehen gegen Facebook-Fanpage-Betreiber zuständig ist.

Das bedeutet: Es kann auch gegen die Betreiber von Facebook-Fanpages vorgegangen werden und zwar durch die jeweilige für den Sitz des Betreibers der Facebook-Fanpage zuständige Aufsichtsbehörde im Inland.

Rechtsanwalt Dr. Jens Eckhardt

dmp@derra-d.de

Stand: 05/2019

Facebook-Fanpage stehen im Fokus der Datenschutzaufsichtsbehörden. Sie müssen sich die Anforderungen und Risiken beim Betreiben einer Facebook-Fanpage bewusst machen.

Positionierung der deutschen Datenschutzaufsichtsbehörden zur Facebook-Fanpage

Die Datenschutzkonferenz – also die deutschen Datenschutzaufsichtsbehörden des Bundes und der Länder - hat am 01.04.2019 in ihrer „Positionierung zur Verantwortlichkeit und Rechenschaftspflicht bei Facebook-Fanpages sowie der aufsichtsbehördlichen Zuständigkeit“ zum Betreiben einer Facebook Fanpage Stellung genommen. Sie kommt zu dem Schluss, dass die Erfüllung der Rechenschaftspflicht im Sinne von Art. 5 Abs. 2 DS-GVO seitens des Betreibers einer Fanpage derzeit (!) nicht möglich ist.

Im Beschluss heißt es wörtlich (Zitiert nach https://www.datenschutzkonferenz-online.de/media/dskb/20190405_positionierung_facebook_fanpages.pdf (Stand: 20.05.2019):

„Sowohl Facebook als auch die Fanpage-Betreiber müssen ihrer Rechenschaftspflicht nachkommen. Die Datenschutzkonferenz erwartet, dass Facebook entsprechend nachbessert und die Fanpage-Betreiber ihrer Verantwortlichkeit entsprechend gerecht werden. Solange diesen Pflichten nicht nachgekommen wird, ist ein datenschutzkonformer Betrieb einer Fanpage nicht möglich.“

Mit anderen Worten: Der Betrieb einer Facebook-Fanpage verstößt derzeit und solange gegen Datenschutzrecht, bis diese Vorgaben erfüllt sind.

Hintergrund - Urteil des EuGH zum Betrieb einer Facebook-Fanpage

Der EuGH hatte mit Urteil vom 05.06.2018 festgestellt, dass der Betreiber einer Fanpage und Facebook gemeinsam verantwortlich im Sinne von Art. 26 DS-GVO sind. Insbesondere treffen beide Rechenschaftspflichten nach Art. 5 Abs. 2 DS-GVO zum Nachweis der Erfüllung der in Art. 5 Abs. 1 DS-GVO genannten Pflichten.

Die in der Zwischenzeit erfolgten Ergänzungen seitens Facebook erachtet die Datenschutzkonferenz als nicht ausreichend. Insbesondere seien die durch Facebook bereitgestellten Informationen zu den Verarbeitungstätigkeiten im Zusammenhang mit Fanpages und Seiten-Insights nach Aussage der Datenschutzkonferenz nicht transparent und ausreichend konkret. Sie seien deshalb nicht ausreichend, um den Betreibern einer Fanpage die Prüfung der Rechtmäßigkeit der Verarbeitung der betroffenen personenbezogenen Daten zu ermöglichen. Sie können deshalb insbesondere ihrer Rechenschaftspflicht nach Art. 5 Abs. 2 DS-GVO nicht nachkommen.

Mit der Einbeziehung der Fanpage-Betreiber macht die Datenschutzkonferenz auch deutlich, dass gegen diese wegen Datenschutzverstößen vorgegangen werden kann. Der Verstoß gegen den angesprochenen Art. 5 Abs. 2 DS-GVO ist mit einem Bußgeld bis zu 20 Mio. EURO oder 4% des weltweiten Vorjahresumsatzes des Unternehmens sanktionierbar.

Facebook-Fanpage-Betreiber können sich auch nicht hinter der Zuständigkeit von Aufsichtsbehörden für Facebook „verstecken“. Die Datenschutzkonferenz stellt – unter Bezugnahme auf die entsprechende Entscheidung des EuGH – klar, dass die für den Facebook-Fanpage-Betreiber zuständige Aufsichtsbehörde auch für das Vorgehen gegen Facebook-Fanpage-Betreiber zuständig ist.

Das bedeutet: Es kann auch gegen die Betreiber von Facebook-Fanpages vorgegangen werden und zwar durch die jeweilige für den Sitz des Betreibers der Facebook-Fanpage zuständige Aufsichtsbehörde im Inland.

Rechtsanwalt Dr. Jens Eckhardt

dmp@derra-d.de

Stand: 05/2019

09 Mai
2019

Jetzt beachten: Das neue Geschäftsgeheimnisgesetz

Das neue Geschäftsgeheimnisgesetz - Kaum einer kennt es, dabei hat es einschneidende Folgen für den Schutz von Geschäftsgeheimnissen auch in Ihrem Unternehmen.

mehr lesen

Das neue Geschäftsgeheimnisgesetz - Kaum einer kennt es, dabei hat es einschneidende Folgen für den Schutz von Geschäftsgeheimnissen auch in Ihrem Unternehmen.

Dem Know-how kommt in jedem Unternehmen eine Schlüsselstellung zu. Jedes Unternehmen besitzt infrastrukturelle und/oder technologische Alleinstellungsmerkmale, die ihm gegenüber der Konkurrenz einen Wettbewerbsvorteil sichern sollen - seien es Kundendaten im CRM, Konstruktionspläne oder einfach nur interne strategische Absprachen. Das gilt nicht nur für große Unternehmen, sondern vor allem auch für Unternehmen und Start-Ups, die über eine gute Idee und ein vielversprechendes Geschäftsmodell verfügen. Aber auch Verpflichtungen können für Sie aus dem Geschäftsgeheimnisgesetz entstehen.

Sie müssen sich jetzt mit der neuen Rechtslage befassen:

Das Geschäftsgeheimnisgesetz

Das neue Geschäftsgeheimnisgesetz ist am 26.04.2019 in Kraft getreten und seitdem zu beachten! Das Gesetz beruht auf der EU-Richtlinie zum Schutz von Geschäftsgeheimnissen vor rechtswidrigem Erwerb, sowie rechtswidriger Nutzung und Offenlegung.

Der Schutz von Geschäftsgeheimnissen wird dadurch in Deutschland ausgeweitet. Explizit werden neben der Konkretisierung erlaubter Handlungen und Handlungsverboten auch Ansprüche auf Unterlassung, Beseitigung und Schadensersatz bei Verletzung von Geschäftsgeheimnissen geregelt. Damit wird die Rechtslage in Deutschland konkreter und auch besser durchsetzbar. Bislang war der Geschäftsgeheimnisschutz lediglich in den lauterkeitsstrafrechtlichen Tatbeständen der §§ 17 bis 19 UWG geregelt. An deren Stelle tritt nun ein Spezialgesetz.

Entscheidend ist: Das Gesetz definiert erstmalig, was als Geschäftsgeheimnis geschützt sein soll. Ein Geschäftsgeheimnis sind Informationen,

  1. die weder allgemein bekannt oder ohne weiteres zugänglich sind und einen wirtschaftlichen Wert haben,
  2. die Gegenstand von angemessenen Geheimhaltungsmaßnahmen des rechtmäßigen Inhabers sind und
  3. bei denen ein berechtigtes Interesse an der Geheimhaltung besteht.

Als entscheidendes Merkmal für den Schutz treten damit die angemessenen Schutzmaßnahmen hervor. Diese umfassen neben technisch-organisatorischen Maßnahmen auch rechtliche, insbesondere vertragliche, Maßnahmen.

Was müssen Sie bei der Umsetzung des Geschäftsgeheimnisgesetzes beachten?

Den Schutz durch das Geschäftsgeheimnisgesetz erhalten Sie nur, wenn Sie Maßnahmen ergreifen, um Ihre Geschäftsgeheimnisse zu schützen:

  1. In Ihrem Unternehmen ist daher zunächst zu ermitteln, welche Informationen Geschäftsgeheimnisse darstellen. Als Geschäftsgeheimnis kommen bspw. Umsätze, Ertragslagen, Geschäftsbücher, Kundenlisten, Bezugsquellen, Konditionen, Marktstrategien, Unterlagen zur Kreditwürdigkeit, Kalkulationsunterlagen, Patentanmeldungen und sonstige Entwicklungs- und Forschungsprojekte in Betracht.
  2. In einem zweiten Schritt ist zu prüfen, welche Maßnahmen zum Geheimnisschutz bereits vorhanden sind. Soweit Sie die im vergangenen Jahr in Kraft getretene Datenschutzgrundverordnung (DS-GVO) bereits in Ihrem Unternehmen umgesetzt haben, können Sie von Synergieeffekten profitieren, die sich beispielsweise aus einem bereits erstellten Verfahrensverzeichnis ergeben.
    Als Maßnahmen zum Schutz kommen zum einen vertragliche Vereinbarungen, insbesondere Geheimhaltungsvereinbarungen mit Vertragspartnern und Mitarbeitern, sowie Schulungen der Mitarbeiter in Betracht. Zum anderen sind technische und organisatorische Schutzmaßnahmen zu prüfen, wie zum Beispiel die Kennzeichnung der Geschäftsgeheimnisse, Zugangs- und Nutzungsbeschränkungen, Passwortschutz, Firewalls und Regelungen zum Umgang mit Geschäftsgeheimnissen in der täglichen Arbeit und auf privaten Geräten. Je wichtiger das Geschäftsgeheimnis für das Unternehmen ist, desto höher sind die Anforderungen an die zu treffenden Maßnahmen und umso strenger muss die Geheimhaltung kontrolliert werden.
  1. In einem dritten Schritt ist zu prüfen, welche Maßnahmen Sie im Einzelnen in Ihrem Unternehmen zum Schutz Ihrer Geschäftsgeheimnisse umsetzen sollten. Man findet dazu keine allgemeinen Grundlagen bzw. Informationen im Geschäftsgeheimnisgesetz. Die Schwierigkeit ist daher, dass man Maßnahmen ergreifen muss, ohne zu wissen, ob sie tatsächlich angemessen sind und vom Gesetzgeber auch als ausreichend angesehen werden.
  2. In einem letzten Schritt sind dann die ergriffenen Schutzmaßnahmen zu dokumentieren, um sie später auch nachweisen zu können.

Welche Vorteile hat die Umsetzung des Geschäftsgeheimnisgesetzes für Sie?

Sie haben nun im Falle einer unerlaubten Erlangung, Nutzung oder Offenlegung ihrer Geschäftsgeheimnisse durch unbefugte Dritte gesetzlich konkret geregelte Beseitigungs- und Unterlassungsansprüche, Ansprüche auf Vernichtung, Herausgabe, Rückruf, Entfernung und Rücknahme vom Markt, sowie Auskunfts- und Schadensersatzansprüche. Die Möglichkeit, diese Ansprüche geltend zu machen, entsteht aber nur durch Ihr Zutun!

Als Unternehmen müssen Sie jetzt ihre Geschäftsgeheimnisse angemessen schützen. Schutzkonzepte müssen entwickelt und umgehend umgesetzt werden. Tun Sie das nicht, droht im schlimmsten Fall der ungestrafte Diebstahl sensibler Informationen und erheblicher, wirtschaftlicher Schaden, weil Sie nicht vom Geschäftsgeheimnisgesetz geschützt werden.

Lassen Sie also Ihre Vertragswerke überprüfen, vom Arbeitsvertrag bis hin zu Kooperationsvereinbarungen und Lieferverträgen mit Ihren Geschäftspartnern. Überprüfen Sie ihre technischen und organisatorischen Maßnahmen und ergänzen Sie diese, wenn nötig. Wir unterstützen Sie gern dabei, die gesetzlichen Anforderungen des Geschäftsgeheimnisgesetzes in Ihrem Unternehmen umzusetzen, damit Sie im Falle eines Missbrauchs Ihrer Geschäftsgeheimnisse auch die im Geschäftsgeheimnisgesetz geregelten Ansprüche geltend machen können.

Rechtsanwältin Kathleen Brauner

dmp@derra-b.de

Stand: 05/2019

Das neue Geschäftsgeheimnisgesetz - Kaum einer kennt es, dabei hat es einschneidende Folgen für den Schutz von Geschäftsgeheimnissen auch in Ihrem Unternehmen.

Dem Know-how kommt in jedem Unternehmen eine Schlüsselstellung zu. Jedes Unternehmen besitzt infrastrukturelle und/oder technologische Alleinstellungsmerkmale, die ihm gegenüber der Konkurrenz einen Wettbewerbsvorteil sichern sollen - seien es Kundendaten im CRM, Konstruktionspläne oder einfach nur interne strategische Absprachen. Das gilt nicht nur für große Unternehmen, sondern vor allem auch für Unternehmen und Start-Ups, die über eine gute Idee und ein vielversprechendes Geschäftsmodell verfügen. Aber auch Verpflichtungen können für Sie aus dem Geschäftsgeheimnisgesetz entstehen.

Sie müssen sich jetzt mit der neuen Rechtslage befassen:

Das Geschäftsgeheimnisgesetz

Das neue Geschäftsgeheimnisgesetz ist am 26.04.2019 in Kraft getreten und seitdem zu beachten! Das Gesetz beruht auf der EU-Richtlinie zum Schutz von Geschäftsgeheimnissen vor rechtswidrigem Erwerb, sowie rechtswidriger Nutzung und Offenlegung.

Der Schutz von Geschäftsgeheimnissen wird dadurch in Deutschland ausgeweitet. Explizit werden neben der Konkretisierung erlaubter Handlungen und Handlungsverboten auch Ansprüche auf Unterlassung, Beseitigung und Schadensersatz bei Verletzung von Geschäftsgeheimnissen geregelt. Damit wird die Rechtslage in Deutschland konkreter und auch besser durchsetzbar. Bislang war der Geschäftsgeheimnisschutz lediglich in den lauterkeitsstrafrechtlichen Tatbeständen der §§ 17 bis 19 UWG geregelt. An deren Stelle tritt nun ein Spezialgesetz.

Entscheidend ist: Das Gesetz definiert erstmalig, was als Geschäftsgeheimnis geschützt sein soll. Ein Geschäftsgeheimnis sind Informationen,

  1. die weder allgemein bekannt oder ohne weiteres zugänglich sind und einen wirtschaftlichen Wert haben,
  2. die Gegenstand von angemessenen Geheimhaltungsmaßnahmen des rechtmäßigen Inhabers sind und
  3. bei denen ein berechtigtes Interesse an der Geheimhaltung besteht.

Als entscheidendes Merkmal für den Schutz treten damit die angemessenen Schutzmaßnahmen hervor. Diese umfassen neben technisch-organisatorischen Maßnahmen auch rechtliche, insbesondere vertragliche, Maßnahmen.

Was müssen Sie bei der Umsetzung des Geschäftsgeheimnisgesetzes beachten?

Den Schutz durch das Geschäftsgeheimnisgesetz erhalten Sie nur, wenn Sie Maßnahmen ergreifen, um Ihre Geschäftsgeheimnisse zu schützen:

  1. In Ihrem Unternehmen ist daher zunächst zu ermitteln, welche Informationen Geschäftsgeheimnisse darstellen. Als Geschäftsgeheimnis kommen bspw. Umsätze, Ertragslagen, Geschäftsbücher, Kundenlisten, Bezugsquellen, Konditionen, Marktstrategien, Unterlagen zur Kreditwürdigkeit, Kalkulationsunterlagen, Patentanmeldungen und sonstige Entwicklungs- und Forschungsprojekte in Betracht.
  2. In einem zweiten Schritt ist zu prüfen, welche Maßnahmen zum Geheimnisschutz bereits vorhanden sind. Soweit Sie die im vergangenen Jahr in Kraft getretene Datenschutzgrundverordnung (DS-GVO) bereits in Ihrem Unternehmen umgesetzt haben, können Sie von Synergieeffekten profitieren, die sich beispielsweise aus einem bereits erstellten Verfahrensverzeichnis ergeben.
    Als Maßnahmen zum Schutz kommen zum einen vertragliche Vereinbarungen, insbesondere Geheimhaltungsvereinbarungen mit Vertragspartnern und Mitarbeitern, sowie Schulungen der Mitarbeiter in Betracht. Zum anderen sind technische und organisatorische Schutzmaßnahmen zu prüfen, wie zum Beispiel die Kennzeichnung der Geschäftsgeheimnisse, Zugangs- und Nutzungsbeschränkungen, Passwortschutz, Firewalls und Regelungen zum Umgang mit Geschäftsgeheimnissen in der täglichen Arbeit und auf privaten Geräten. Je wichtiger das Geschäftsgeheimnis für das Unternehmen ist, desto höher sind die Anforderungen an die zu treffenden Maßnahmen und umso strenger muss die Geheimhaltung kontrolliert werden.
  1. In einem dritten Schritt ist zu prüfen, welche Maßnahmen Sie im Einzelnen in Ihrem Unternehmen zum Schutz Ihrer Geschäftsgeheimnisse umsetzen sollten. Man findet dazu keine allgemeinen Grundlagen bzw. Informationen im Geschäftsgeheimnisgesetz. Die Schwierigkeit ist daher, dass man Maßnahmen ergreifen muss, ohne zu wissen, ob sie tatsächlich angemessen sind und vom Gesetzgeber auch als ausreichend angesehen werden.
  2. In einem letzten Schritt sind dann die ergriffenen Schutzmaßnahmen zu dokumentieren, um sie später auch nachweisen zu können.

Welche Vorteile hat die Umsetzung des Geschäftsgeheimnisgesetzes für Sie?

Sie haben nun im Falle einer unerlaubten Erlangung, Nutzung oder Offenlegung ihrer Geschäftsgeheimnisse durch unbefugte Dritte gesetzlich konkret geregelte Beseitigungs- und Unterlassungsansprüche, Ansprüche auf Vernichtung, Herausgabe, Rückruf, Entfernung und Rücknahme vom Markt, sowie Auskunfts- und Schadensersatzansprüche. Die Möglichkeit, diese Ansprüche geltend zu machen, entsteht aber nur durch Ihr Zutun!

Als Unternehmen müssen Sie jetzt ihre Geschäftsgeheimnisse angemessen schützen. Schutzkonzepte müssen entwickelt und umgehend umgesetzt werden. Tun Sie das nicht, droht im schlimmsten Fall der ungestrafte Diebstahl sensibler Informationen und erheblicher, wirtschaftlicher Schaden, weil Sie nicht vom Geschäftsgeheimnisgesetz geschützt werden.

Lassen Sie also Ihre Vertragswerke überprüfen, vom Arbeitsvertrag bis hin zu Kooperationsvereinbarungen und Lieferverträgen mit Ihren Geschäftspartnern. Überprüfen Sie ihre technischen und organisatorischen Maßnahmen und ergänzen Sie diese, wenn nötig. Wir unterstützen Sie gern dabei, die gesetzlichen Anforderungen des Geschäftsgeheimnisgesetzes in Ihrem Unternehmen umzusetzen, damit Sie im Falle eines Missbrauchs Ihrer Geschäftsgeheimnisse auch die im Geschäftsgeheimnisgesetz geregelten Ansprüche geltend machen können.

Rechtsanwältin Kathleen Brauner

dmp@derra-b.de

Stand: 05/2019

06 Mai
2019

EuGH: Cookies auf der Internetseite– Genügt ein Opt-Out oder muss ein Opt-In sein?

Sie setzen auf Ihrer Internetseite Cookies ein? Dann sollten Sie sich jetzt mit den neuesten Entwicklungen in der Rechtsprechung befassen.

mehr lesen

Sie setzen auf Ihrer Internetseite Cookies ein? Dann sollten Sie sich jetzt mit den neuesten Entwicklungen in der Rechtsprechung befassen. Denn zu der Frage, welche Anforderungen an den Einsatz von Cookies aus datenschutzrechtlicher Sicht bestehen, hat sich nun der Generalanwalt am Gerichtshof der Europäischen Union (EuGH) geäußert. Dessen Einschätzung könnte weitreichende Folgen haben.

Cookies nur mit vorheriger Einwilligung

Auf Internetseiten wird in verschiedenster Art und Weise auf die Verwendung von Cookies (kleine Textdateien, die auf dem Rechner einer Person abgelegt werden, um deren Nutzungsverhalten im Internet zu erfassen und auszuwerten und dadurch die Person wiederzuerkennen) hingewiesen. Oft wird die Zustimmung durch ein „Ok“ oder „Einverstanden“ abgefragt. Hin und wieder sind Ankreuzkästchen vorausgefüllt; manchmal kann dagegen auch selbst ausgewählt werden, zu welchen Zwecken Cookies gesetzt werden sollen. Insbesondere im Hinblick auf die Datenschutz-Grundverordnung (DS-GVO) scheint hier erhebliche Rechtsunsicherheit zu herrschen.

Fakt ist: Die deutschen Datenschutzbehörden verlangen für den Einsatz von Cookies, die beispielsweise nicht für den Betrieb oder die nutzerfreundliche Optimierung der Internetseite notwendig sind, eine vorherige Einwilligung (Opt-In) (Orientierungshilfe der Aufsichtsbehörden für Anbieter von Telemedien, unter https://www.datenschutz.rlp.de/fileadmin/lfdi/Dokumente/Orientierungshilfen/OH_TMG.pdf abrufbar, Stand 03.05.2019. Das ist z.B. der Fall, wenn die mittels der Cookies gesammelten Daten an Dritte weitergegeben werden. Die Einwilligung muss vor Platzierung der Cookies aktiv erklärt werden und auch den übrigen Anforderungen der DS-GVO genügen. Hierfür wird eine Widerspruchslösung (Opt-Out – das heißt, die Cookies werden gesetzt, wenn kein Widerspruch erfolgt) als ungenügend angesehen. Stillschweigen und vorangekreuzte Kästchen genügen also nicht.

Stellungnahme des Generalanwalts am EuGH

Mit der Frage, wie eine solche Cookie-Einwilligung in der Praxis ausgestaltet sein muss, beschäftigt sich zurzeit auch der EuGH. In dem zugrunde liegenden Verfahren bat der Betreiber einer Internetseite die betroffenen Personen um ihre Zustimmung zur Verwendung von Cookies, um interessengerichtete Werbung auszuspielen. Der Hinweistext war mit einem voreingestellten Häkchen versehen, das – falls die Cookies nicht gesetzt werden sollten – entfernt werden musste; andernfalls wurden die Cookies stets gesetzt.

Während die deutschen Instanzgerichte (Landgericht und Oberlandesgericht) diese Form der Widerspruchslösung genügen ließen, legte der Bundesgerichtshof die Frage, ob damit den Anforderungen an eine wirksame Einwilligung genügt ist, dem EuGH vor (Beschluss vom 5.10.2017 – I ZR 7/16). Bevor dieser jedoch endgültig entscheidet, prüft zunächst der zuständige Generalanwalt am EuGH die vorgelegte Frage und unterbreitet dem Gericht einen Vorschlag für ein Urteil.

Der Generalanwalt hat nun seine Schlussanträge (also seine Empfehlung an das Gericht) gestellt (abrufbar unter http://curia.europa.eu/juris/document/document.jsf?text=&docid=212023&pageIndex=0&doclang=de&mode=lst&dir=&occ=first&part=1&cid=5471450, Stand 25.04.2019). Darin schlägt er dem EuGH folgende Bewertung vor: Ein voreingestelltes Ankreuzkästchen, das zur Verweigerung abgewählt werden muss, stellt keine wirksame Einwilligung für den Einsatz von Cookies dar. Vielmehr sei erforderlich, dass die Zustimmung aktiv erklärt werde, beispielsweise durch eigenes Ankreuzen oder Anklicken. Außerdem müsse die betroffene Person transparent über die Funktionsdauer der Cookies und die Frage, ob Dritte Zugriff auf die Cookies erhalten, informiert werden. Zwar bezieht sich diese Einschätzung auf die alte Rechtslage (nach der Richtlinie 2002/58/EG und dem BDSG a.F.). Jedoch soll das Gleiche ausdrücklich auch unter der DS-GVO gelten.

Konsequenzen in der Praxis

Auch wenn dieser Entscheidungsvorschlag für den EuGH nicht bindend ist, kommt ihm in der Praxis erhebliche Bedeutung zu. Denn häufig folgt der EuGH den Vorschlägen der Generalanwälte. Sollte es dazu auch in dem vorliegenden Verfahren kommen, hätte dies grundlegende Konsequenzen für alle Webseitenbetreiber, die Cookies oder sonstige Tracking- oder Webanalysemechanismen verwenden.

Setzen Sie auf Ihrer Internetseite Cookies ein, sollten Sie also Folgendes beachten: Bevor Cookies gesetzt werden, sollten betroffene Personen in jedem Fall ausdrücklich und aktiv zustimmen (beispielsweise durch Ankreuzen oder Anklicken). Voreingestellte Kästchenlösungen und erst recht eine Zustimmung durch Stillschweigen oder Untätigkeit sind nicht erlaubt. Sämtliche Cookie-Banner, die diesen Vorgaben nicht entsprechen, sollten dementsprechend angepasst werden. Außerdem sind die betroffenen Personen umfassend über die verbundenen Datenverarbeitungen zu informieren. Da die Anforderungen der DS-GVO an eine wirksame Einwilligung sehr hoch sind, sollten Sie in jedem Fall sorgfältig prüfen, ob diese erfüllt werden.

Rechtsanwältin Johanna Mäkert, LL.M. (Bukarest)

dmp@derra-b.de

Stand: 04/2019

Sie setzen auf Ihrer Internetseite Cookies ein? Dann sollten Sie sich jetzt mit den neuesten Entwicklungen in der Rechtsprechung befassen. Denn zu der Frage, welche Anforderungen an den Einsatz von Cookies aus datenschutzrechtlicher Sicht bestehen, hat sich nun der Generalanwalt am Gerichtshof der Europäischen Union (EuGH) geäußert. Dessen Einschätzung könnte weitreichende Folgen haben.

Cookies nur mit vorheriger Einwilligung

Auf Internetseiten wird in verschiedenster Art und Weise auf die Verwendung von Cookies (kleine Textdateien, die auf dem Rechner einer Person abgelegt werden, um deren Nutzungsverhalten im Internet zu erfassen und auszuwerten und dadurch die Person wiederzuerkennen) hingewiesen. Oft wird die Zustimmung durch ein „Ok“ oder „Einverstanden“ abgefragt. Hin und wieder sind Ankreuzkästchen vorausgefüllt; manchmal kann dagegen auch selbst ausgewählt werden, zu welchen Zwecken Cookies gesetzt werden sollen. Insbesondere im Hinblick auf die Datenschutz-Grundverordnung (DS-GVO) scheint hier erhebliche Rechtsunsicherheit zu herrschen.

Fakt ist: Die deutschen Datenschutzbehörden verlangen für den Einsatz von Cookies, die beispielsweise nicht für den Betrieb oder die nutzerfreundliche Optimierung der Internetseite notwendig sind, eine vorherige Einwilligung (Opt-In) (Orientierungshilfe der Aufsichtsbehörden für Anbieter von Telemedien, unter https://www.datenschutz.rlp.de/fileadmin/lfdi/Dokumente/Orientierungshilfen/OH_TMG.pdf abrufbar, Stand 03.05.2019. Das ist z.B. der Fall, wenn die mittels der Cookies gesammelten Daten an Dritte weitergegeben werden. Die Einwilligung muss vor Platzierung der Cookies aktiv erklärt werden und auch den übrigen Anforderungen der DS-GVO genügen. Hierfür wird eine Widerspruchslösung (Opt-Out – das heißt, die Cookies werden gesetzt, wenn kein Widerspruch erfolgt) als ungenügend angesehen. Stillschweigen und vorangekreuzte Kästchen genügen also nicht.

Stellungnahme des Generalanwalts am EuGH

Mit der Frage, wie eine solche Cookie-Einwilligung in der Praxis ausgestaltet sein muss, beschäftigt sich zurzeit auch der EuGH. In dem zugrunde liegenden Verfahren bat der Betreiber einer Internetseite die betroffenen Personen um ihre Zustimmung zur Verwendung von Cookies, um interessengerichtete Werbung auszuspielen. Der Hinweistext war mit einem voreingestellten Häkchen versehen, das – falls die Cookies nicht gesetzt werden sollten – entfernt werden musste; andernfalls wurden die Cookies stets gesetzt.

Während die deutschen Instanzgerichte (Landgericht und Oberlandesgericht) diese Form der Widerspruchslösung genügen ließen, legte der Bundesgerichtshof die Frage, ob damit den Anforderungen an eine wirksame Einwilligung genügt ist, dem EuGH vor (Beschluss vom 5.10.2017 – I ZR 7/16). Bevor dieser jedoch endgültig entscheidet, prüft zunächst der zuständige Generalanwalt am EuGH die vorgelegte Frage und unterbreitet dem Gericht einen Vorschlag für ein Urteil.

Der Generalanwalt hat nun seine Schlussanträge (also seine Empfehlung an das Gericht) gestellt (abrufbar unter http://curia.europa.eu/juris/document/document.jsf?text=&docid=212023&pageIndex=0&doclang=de&mode=lst&dir=&occ=first&part=1&cid=5471450, Stand 25.04.2019). Darin schlägt er dem EuGH folgende Bewertung vor: Ein voreingestelltes Ankreuzkästchen, das zur Verweigerung abgewählt werden muss, stellt keine wirksame Einwilligung für den Einsatz von Cookies dar. Vielmehr sei erforderlich, dass die Zustimmung aktiv erklärt werde, beispielsweise durch eigenes Ankreuzen oder Anklicken. Außerdem müsse die betroffene Person transparent über die Funktionsdauer der Cookies und die Frage, ob Dritte Zugriff auf die Cookies erhalten, informiert werden. Zwar bezieht sich diese Einschätzung auf die alte Rechtslage (nach der Richtlinie 2002/58/EG und dem BDSG a.F.). Jedoch soll das Gleiche ausdrücklich auch unter der DS-GVO gelten.

Konsequenzen in der Praxis

Auch wenn dieser Entscheidungsvorschlag für den EuGH nicht bindend ist, kommt ihm in der Praxis erhebliche Bedeutung zu. Denn häufig folgt der EuGH den Vorschlägen der Generalanwälte. Sollte es dazu auch in dem vorliegenden Verfahren kommen, hätte dies grundlegende Konsequenzen für alle Webseitenbetreiber, die Cookies oder sonstige Tracking- oder Webanalysemechanismen verwenden.

Setzen Sie auf Ihrer Internetseite Cookies ein, sollten Sie also Folgendes beachten: Bevor Cookies gesetzt werden, sollten betroffene Personen in jedem Fall ausdrücklich und aktiv zustimmen (beispielsweise durch Ankreuzen oder Anklicken). Voreingestellte Kästchenlösungen und erst recht eine Zustimmung durch Stillschweigen oder Untätigkeit sind nicht erlaubt. Sämtliche Cookie-Banner, die diesen Vorgaben nicht entsprechen, sollten dementsprechend angepasst werden. Außerdem sind die betroffenen Personen umfassend über die verbundenen Datenverarbeitungen zu informieren. Da die Anforderungen der DS-GVO an eine wirksame Einwilligung sehr hoch sind, sollten Sie in jedem Fall sorgfältig prüfen, ob diese erfüllt werden.

Rechtsanwältin Johanna Mäkert, LL.M. (Bukarest)

dmp@derra-b.de

Stand: 04/2019

02 Mai
2019

Daten und Gläubiger schützen. Unvereinbar?

Zu dieser hochspannenden Frage referierten und diskutierten Vertreter aus der Insolvenz- und Datenschutzbranche im Rahmen des Düsseldorfer Restrukturierungsforum am 19. März 2019 vor rund 120 Gästen.

mehr lesen
26 Mär
2019

Cloud-Computing - Was Unternehmen beachten müssen

In einem in der Süddeutschen Zeitung veröffentlichten Beitrag zum Cloud-Computing gibt unser Kollege Dr. Eckhardt wichtige Hinweise zur Nutzung von Cloud-Services durch Unternehmen. Hier gelangen Sie zum Beitrag:

mehr lesen
20 Mär
2019

Cyberkriminalität - wirksame Datensicherung im Unternehmen

Ein neuer Mitarbeiter mit Bankvollmacht – gerne bei einer Auslandstochtergesellschaft – erhält eine Email des Geschäftsführers ...

mehr lesen

Ein neuer Mitarbeiter mit Bankvollmacht – gerne bei einer Auslandstochtergesellschaft – erhält eine Email des Geschäftsführers, er möge einen fünfstelligen Betrag auf ein bestimmtes Konto überweisen. Es handele sich um ein wichtiges Geschäft, bei dem kurzfristig eine Anzahlung geleistet werden muss. Variante der Email: der Geschäftsführer stecke privat in der Klemme, er bitte um kurzfristige Überweisung eines Betrags, der auch schnell wieder ausgeglichen werden würde. Alles streng vertraulich. Nach einer ersten Email folgt nach einer Stunde eine weitere Email oder ein Anruf – wurde die Überweisung bereits ausgeführt?

Möglich ist auch, dass ein Lieferant per Email mitteilt, dass die Kontodaten geändert wurden und die Zahlungen in Zukunft auf die neue Bankverbindung erfolgen soll. Der arglose Mitarbeiter veranlasst die Überweisung – und erhält nach einem Monat eine Mahnung. Eine weitere Alternative ist, dass die Rechnung eines Lieferanten bezahlt wird, der gar nicht existiert.

Diese Vorfälle treten in letzter Zeit immer häufiger auf und gehen teilweise mit einem echten Data Breach einher – dann, wenn echte Emailadressen verwendet werden. Es werden hier nicht nur IT-Systeme von außen gehackt, sondern insbesondere auch auf der psychologischen Kommunikationsebene – besondere Wertschätzung, Pflichtbewusstsein, Aufbau einer Drucksituation - gearbeitet. Dem aufmerksamen Mitarbeiter, der per Email nachfragt, wird bei einem echten Data Breach direkt von einer zwischengeschalteten Adresse des Cyberangreifers geantwortet und die Korrektheit der Anfrage bestätigt.

In einer Zeit, in der praktisch alle Daten elektronisch gespeichert und nicht immer ausreichend geschützt werden – wobei eine absolute Datensicherheit nicht möglich sein dürfte - , ist es also nicht nur erforderlich, in den elektronischen Schutz der Daten zu investieren. Es muss insbesondere auch durch die geeigneten Abläufe, Entscheidungsstrukturen sowie konsequente Sensibilisierung und Fortbildung der Mitarbeiter im Unternehmen sichergestellt werden, dass Angriffe dieser Art erkannt und entlarvt werden – bevor ein finanzieller Schaden entsteht, der zum Teil erheblich sein und selten behoben werden kann. In diesem Zusammenhang wird die ganz praktische Bedeutung der Anforderungen der DS-Grundverordnung – hier insbesondere der Schutz der Daten durch geeignete technische und organisatorische Maßnahmen, das Verzeichnis der Verarbeitungstätigkeiten und die Risikofolgenabschätzung – einmal mehr deutlich.

Rechtsanwältin Dr. Stefanie Lebek

dmp.milano@derra.it

Stand: 03/2019

Ein neuer Mitarbeiter mit Bankvollmacht – gerne bei einer Auslandstochtergesellschaft – erhält eine Email des Geschäftsführers, er möge einen fünfstelligen Betrag auf ein bestimmtes Konto überweisen. Es handele sich um ein wichtiges Geschäft, bei dem kurzfristig eine Anzahlung geleistet werden muss. Variante der Email: der Geschäftsführer stecke privat in der Klemme, er bitte um kurzfristige Überweisung eines Betrags, der auch schnell wieder ausgeglichen werden würde. Alles streng vertraulich. Nach einer ersten Email folgt nach einer Stunde eine weitere Email oder ein Anruf – wurde die Überweisung bereits ausgeführt?

Möglich ist auch, dass ein Lieferant per Email mitteilt, dass die Kontodaten geändert wurden und die Zahlungen in Zukunft auf die neue Bankverbindung erfolgen soll. Der arglose Mitarbeiter veranlasst die Überweisung – und erhält nach einem Monat eine Mahnung. Eine weitere Alternative ist, dass die Rechnung eines Lieferanten bezahlt wird, der gar nicht existiert.

Diese Vorfälle treten in letzter Zeit immer häufiger auf und gehen teilweise mit einem echten Data Breach einher – dann, wenn echte Emailadressen verwendet werden. Es werden hier nicht nur IT-Systeme von außen gehackt, sondern insbesondere auch auf der psychologischen Kommunikationsebene – besondere Wertschätzung, Pflichtbewusstsein, Aufbau einer Drucksituation - gearbeitet. Dem aufmerksamen Mitarbeiter, der per Email nachfragt, wird bei einem echten Data Breach direkt von einer zwischengeschalteten Adresse des Cyberangreifers geantwortet und die Korrektheit der Anfrage bestätigt.

In einer Zeit, in der praktisch alle Daten elektronisch gespeichert und nicht immer ausreichend geschützt werden – wobei eine absolute Datensicherheit nicht möglich sein dürfte - , ist es also nicht nur erforderlich, in den elektronischen Schutz der Daten zu investieren. Es muss insbesondere auch durch die geeigneten Abläufe, Entscheidungsstrukturen sowie konsequente Sensibilisierung und Fortbildung der Mitarbeiter im Unternehmen sichergestellt werden, dass Angriffe dieser Art erkannt und entlarvt werden – bevor ein finanzieller Schaden entsteht, der zum Teil erheblich sein und selten behoben werden kann. In diesem Zusammenhang wird die ganz praktische Bedeutung der Anforderungen der DS-Grundverordnung – hier insbesondere der Schutz der Daten durch geeignete technische und organisatorische Maßnahmen, das Verzeichnis der Verarbeitungstätigkeiten und die Risikofolgenabschätzung – einmal mehr deutlich.

Rechtsanwältin Dr. Stefanie Lebek

dmp.milano@derra.it

Stand: 03/2019

14 Mär
2019

Der Brexit naht - Woran Sie jetzt noch denken müssen!

Der Brexit stellt deutsche Unternehmen auch beim Datenschutz vor Herausforderungen.

mehr lesen

Der Brexit stellt deutsche Unternehmen auch beim Datenschutz vor Herausforderungen. Denn egal ob „Deal or no deal“: In beiden Fällen wird Großbritannien ab dem 30. März 2019 oder auch später zum Drittland im Sinne der DSGVO. Das zwingt Unternehmen dazu, ihre grenzüberschreitende Verarbeitung personenbezogener Daten zu prüfen, worauf jetzt der eco Verband hinweist. Die Empfehlung gilt auch für alle, die heute in irgendeiner Form Cloud-Dienste nutzen – vom E-Mail-Dienst über Online-Speicher bis hin zum Bezug von Dienstleistungen aus dem Ausland. EuroCloud Deutschland_eco e. V hat dazu einen kurzen Leitfaden erstellt, der kostenlos heruntergeladen werden kann.

Keine Karenz für Datentransfer nach UK

Die Datenschutz-Grundverordnung (DSGVO) gilt auch für die Nutzung von Cloud-Diensten. Sie erlaubt innerhalb der Europäischen Union (EU) eine grenzüberschreitende Verarbeitung personenbezogener Daten (Art. 1 Abs. 1, Artikel 44 ff. DSGVO). Durch den EU-Austritt ändert sich folglich die datenschutzrechtliche Behandlung des Datentransfers in das Vereinigte Königreich (UK). Dieser wird künftig unabhängig vom gestrigen Votum und vom Ausgang der Austrittsverhandlungen zwischen der EU und UK mit den Vorgaben für die Schweiz oder die USA vergleichbar sein.

Dies erfordert eine eigenständige zusätzliche Rechtsgrundlage für alle Datentransfers nach Groß-britannien, für deren Einhaltung jeweils das verarbeitende Unternehmen haftbar ist. Die Europäische Kommission hat zwar einen Angemessenheitsbeschluss gemäß Art. 45 DSGVO angekündigt. Bislang ist dieser jedoch noch nicht erfolgt und wird es bei einem zeitnahen „No-Deal-Brexit“ auch nicht sein. Verschärfend kommt hinzu, dass formaljuristisch keine Karenzzeit besteht. Ab dem Wirksamwerden des Austritts ist ein Datentransfer rechtswidrig und bußgeldbewehrt, wenn nicht die Vorgaben der Artikel 44 ff. DSGVO eingehalten sind oder im Brexit-Deal eine Übergangsregelung geschaffen wird. Ob ein geregelter Brexit oder ein „No-Deal-Brexit“ kommt, ist derzeit unklar. Um die Fortführung von Cloud-Services sicherzustellen, müssen daher alternative Zulässigkeitsregelungen geschaffen werden.

Für eine kurzfristige Umsetzung kommen in erster Linie die sogenannten Standardvertragsklauseln in Betracht1. Für die typischerweise als Auftragsverarbeitung einzuordnenden Cloud-Services sind die klassifizierten „Standardvertragsklauseln (Auftragsverarbeiter)“ heranzuziehen2. Diese sind „ready to use“. Zwingend zu beachten ist allerdings, dass diese Standardvertragsklauseln nicht verändert, sondern nur ausgefüllt werden dürfen, um ihre Wirkung zu entfalten.

Auch der Europäische Datenschutzausschuss (EDPB), ein Zusammenschluss der nationalen Datenschutzaufsichtsbehörden der EU-Mitgliedstaaten, weist auf den dringenden Handlungsbedarf hin. In seinem Informationspapier vom 12. Februar 2019 hat der EDPB die Verwendung der Standardvertragsklauseln ausdrücklich als „einsatzbereites Instrument“ bestätigt.3

Für Cloud-Services können sich darüber hinaus auch auf der zweiten Ebene Herausforderungen ergeben: Services, die durch den Cloud-Provider datenschutzrechtlich in UK angeboten wurden, nutzten häufig weitere Subunternehmer in Drittländern. Das Unternehmen im UK fungierte wie eine Art Brückenkopf. Der datenschutzrechtliche Grenzübertritt erfolgte erst auf der Ebene Auftragnehmer zu Subunternehmer. Nach dem Austritt ist dies bereits eine weitere Übermittlung in Drittländer. Hierfür ergeben sich aus der DSGVO und den EU-Standardverträgen unter Umständen weitere Anforderungen. Konsequenz: Die datenschutzrechtliche Neubewertung darf nicht auf die erste Auslagerungsebene beschränkt sein, sondern muss die gesamte nachfolgende Kette von Subunternehmer erfassen.

1 https://ec.europa.eu/info/law/law-topic/data-protection/data-transfers-outside-eu/model-contracts-transfer-personal-data-third-countries_de (Stand: 28.02.2019) 2 https://eur-lex.europa.eu/legal-content/en/TXT/?uri=CELEX%3A32010D0087 (Stand: 28.02.2019) 3 Information note über Datentransfers im Rahmen der DSGVO im Falle eines No-Deal-Brexits https://www.bfdi.bund.de/SharedDocs/Publikationen/DokumenteArt29Gruppe_EDSA/SonstigePapiere/EDSA_Info_NoDealBrexit_Arbeits%C3%BCbersetzung.html?nn=5217120, abgerufen 28.02.201

Autoren:

Rechtsanwalt Dr. Jens Eckhardt

dmp@derra-d.de

Rechtsanwältin Johanna Mäkert, LL.M. (Bukarest)

dmp@derra-b.de

Stand 03/2019

Der Brexit stellt deutsche Unternehmen auch beim Datenschutz vor Herausforderungen. Denn egal ob „Deal or no deal“: In beiden Fällen wird Großbritannien ab dem 30. März 2019 oder auch später zum Drittland im Sinne der DSGVO. Das zwingt Unternehmen dazu, ihre grenzüberschreitende Verarbeitung personenbezogener Daten zu prüfen, worauf jetzt der eco Verband hinweist. Die Empfehlung gilt auch für alle, die heute in irgendeiner Form Cloud-Dienste nutzen – vom E-Mail-Dienst über Online-Speicher bis hin zum Bezug von Dienstleistungen aus dem Ausland. EuroCloud Deutschland_eco e. V hat dazu einen kurzen Leitfaden erstellt, der kostenlos heruntergeladen werden kann.

Keine Karenz für Datentransfer nach UK

Die Datenschutz-Grundverordnung (DSGVO) gilt auch für die Nutzung von Cloud-Diensten. Sie erlaubt innerhalb der Europäischen Union (EU) eine grenzüberschreitende Verarbeitung personenbezogener Daten (Art. 1 Abs. 1, Artikel 44 ff. DSGVO). Durch den EU-Austritt ändert sich folglich die datenschutzrechtliche Behandlung des Datentransfers in das Vereinigte Königreich (UK). Dieser wird künftig unabhängig vom gestrigen Votum und vom Ausgang der Austrittsverhandlungen zwischen der EU und UK mit den Vorgaben für die Schweiz oder die USA vergleichbar sein.

Dies erfordert eine eigenständige zusätzliche Rechtsgrundlage für alle Datentransfers nach Groß-britannien, für deren Einhaltung jeweils das verarbeitende Unternehmen haftbar ist. Die Europäische Kommission hat zwar einen Angemessenheitsbeschluss gemäß Art. 45 DSGVO angekündigt. Bislang ist dieser jedoch noch nicht erfolgt und wird es bei einem zeitnahen „No-Deal-Brexit“ auch nicht sein. Verschärfend kommt hinzu, dass formaljuristisch keine Karenzzeit besteht. Ab dem Wirksamwerden des Austritts ist ein Datentransfer rechtswidrig und bußgeldbewehrt, wenn nicht die Vorgaben der Artikel 44 ff. DSGVO eingehalten sind oder im Brexit-Deal eine Übergangsregelung geschaffen wird. Ob ein geregelter Brexit oder ein „No-Deal-Brexit“ kommt, ist derzeit unklar. Um die Fortführung von Cloud-Services sicherzustellen, müssen daher alternative Zulässigkeitsregelungen geschaffen werden.

Für eine kurzfristige Umsetzung kommen in erster Linie die sogenannten Standardvertragsklauseln in Betracht1. Für die typischerweise als Auftragsverarbeitung einzuordnenden Cloud-Services sind die klassifizierten „Standardvertragsklauseln (Auftragsverarbeiter)“ heranzuziehen2. Diese sind „ready to use“. Zwingend zu beachten ist allerdings, dass diese Standardvertragsklauseln nicht verändert, sondern nur ausgefüllt werden dürfen, um ihre Wirkung zu entfalten.

Auch der Europäische Datenschutzausschuss (EDPB), ein Zusammenschluss der nationalen Datenschutzaufsichtsbehörden der EU-Mitgliedstaaten, weist auf den dringenden Handlungsbedarf hin. In seinem Informationspapier vom 12. Februar 2019 hat der EDPB die Verwendung der Standardvertragsklauseln ausdrücklich als „einsatzbereites Instrument“ bestätigt.3

Für Cloud-Services können sich darüber hinaus auch auf der zweiten Ebene Herausforderungen ergeben: Services, die durch den Cloud-Provider datenschutzrechtlich in UK angeboten wurden, nutzten häufig weitere Subunternehmer in Drittländern. Das Unternehmen im UK fungierte wie eine Art Brückenkopf. Der datenschutzrechtliche Grenzübertritt erfolgte erst auf der Ebene Auftragnehmer zu Subunternehmer. Nach dem Austritt ist dies bereits eine weitere Übermittlung in Drittländer. Hierfür ergeben sich aus der DSGVO und den EU-Standardverträgen unter Umständen weitere Anforderungen. Konsequenz: Die datenschutzrechtliche Neubewertung darf nicht auf die erste Auslagerungsebene beschränkt sein, sondern muss die gesamte nachfolgende Kette von Subunternehmer erfassen.

1 https://ec.europa.eu/info/law/law-topic/data-protection/data-transfers-outside-eu/model-contracts-transfer-personal-data-third-countries_de (Stand: 28.02.2019) 2 https://eur-lex.europa.eu/legal-content/en/TXT/?uri=CELEX%3A32010D0087 (Stand: 28.02.2019) 3 Information note über Datentransfers im Rahmen der DSGVO im Falle eines No-Deal-Brexits https://www.bfdi.bund.de/SharedDocs/Publikationen/DokumenteArt29Gruppe_EDSA/SonstigePapiere/EDSA_Info_NoDealBrexit_Arbeits%C3%BCbersetzung.html?nn=5217120, abgerufen 28.02.201

Autoren:

Rechtsanwalt Dr. Jens Eckhardt

dmp@derra-d.de

Rechtsanwältin Johanna Mäkert, LL.M. (Bukarest)

dmp@derra-b.de

Stand 03/2019

14 Mär
2019

Stolperfallen bei der Meldung von Datenschutzpannen

Nach den ersten Bußgeldern in Deutschland und Bußgeldern in Höhe von 50 Mio. und 400.000 EURO in anderen EU-Mitgliedstaaten ...

mehr lesen

Nach den ersten Bußgeldern in Deutschland und Bußgeldern in Höhe von 50 Mio. und 400.000 EURO in anderen EU-Mitgliedstaaten wird deutlich, dass Verstöße gegen die DS-GVO zu Bußgeldern führen. Gerade die Pflicht zur Meldung von Datenschutzpannen gegenüber der Datenschutzaufsichtsbehörde nimmt dabei eine besondere Rolle ein. Denn das Unternehmen muss selbst einen Vorfall mitteilen, der ein Bußgeld begründen kann. Sie müssen sich daher bereits im Vorfeld mit der Frage befassen "Wie reagiere ich bei einem Datenschutzvorfall und was muss ich beachten?"

Unser Kollege Dr. Jens Eckhart erläutert gemeinsam mit Bernd Fuhlert, @-yet GmbH, Stolperfallen bei der Meldung von Datenschutzpannen in einem Workshop am 21. März 2019 im Schloß Eicherhof in Leichlingen. Sie können sich anmelden unter https://www.add-yet.de/index.php/de/events/uebersicht. Der Workshop bietet einen komprimierten Überblick.

Stand: 03/2019

 

Nach den ersten Bußgeldern in Deutschland und Bußgeldern in Höhe von 50 Mio. und 400.000 EURO in anderen EU-Mitgliedstaaten wird deutlich, dass Verstöße gegen die DS-GVO zu Bußgeldern führen. Gerade die Pflicht zur Meldung von Datenschutzpannen gegenüber der Datenschutzaufsichtsbehörde nimmt dabei eine besondere Rolle ein. Denn das Unternehmen muss selbst einen Vorfall mitteilen, der ein Bußgeld begründen kann. Sie müssen sich daher bereits im Vorfeld mit der Frage befassen "Wie reagiere ich bei einem Datenschutzvorfall und was muss ich beachten?"

Unser Kollege Dr. Jens Eckhart erläutert gemeinsam mit Bernd Fuhlert, @-yet GmbH, Stolperfallen bei der Meldung von Datenschutzpannen in einem Workshop am 21. März 2019 im Schloß Eicherhof in Leichlingen. Sie können sich anmelden unter https://www.add-yet.de/index.php/de/events/uebersicht. Der Workshop bietet einen komprimierten Überblick.

Stand: 03/2019

 

13 Mär
2019

Fotos auf der eigenen Internetseite – mit der DS-GVO noch möglich?

Seit nun fast einem Jahr gilt die Datenschutz-Grundverordnung (DS-GVO) und immer noch herrscht bei vielen Fragen Rechtsunsicherheit.

mehr lesen

Seit nun fast einem Jahr gilt die Datenschutz-Grundverordnung (DS-GVO) und immer noch herrscht bei vielen Fragen Rechtsunsicherheit. So fragen sich beispielsweise Unternehmen und Vereine, Journalisten und Fotografen, unter welchen Voraussetzungen Fotos, auf denen Personen abgebildet sind, auf der eigenen Internetseite, in sozialen Medien oder Zeitungsberichten verwenden dürfen. Gelten dafür, wie bislang, die Vorschriften des Kunsturhebergesetzes (KunstUrhG) oder sind nun die Regelungen der DS-GVO zu beachten?

Diese Frage hat in der Praxis gravierende Auswirkungen. Das KunstUrhG stellt an die Veröffentlichung von Personenbildaufnahmen weitaus geringere Anforderungen als die DS-GVO. Wegen der zahlreichen Ausnahmen ist nach dem KunstUrhG regelmäßig keine Einwilligung der abgebildeten Personen erforderlich – und wenn doch, kann diese auch stillschweigend erklärt und nicht ohne Weiteres widerrufen werden. Dagegen fordert die DS-GVO eine ausdrückliche Einwilligung, die schriftlich nachzuweisen ist und jederzeit widerrufen werden kann, mit der Folge, dass jede weitere Verwendung unzulässig ist.

Europäische Datenschutz-Grundverordnung ist vorrangiges Recht

Welche Vorschriften sind nun zu beachten? Klar ist: Die DS-GVO genießt als europäisches Recht Anwendungsvorrang. Das heißt, dass das KunstUrhG nur ergänzend herangezogen werden kann, soweit die DS-GVO Lücken lässt. Solche können darin bestehen, dass den Mitgliedstaaten erlaubt wird, zu bestimmten Aspekten innerhalb eines gewissen Spielraums eigene Regelungen zu treffen (sog. Öffnungsklauseln).

Eine solche Öffnungsklausel findet sich in Art. 85 DS-GVO, der aber die Anwendung des KunstUrhG nicht ohne Weiteres erlaubt. Zum einen wird das KunstUrhG nicht von Art. 85 (1) DS-GVO erfasst. Danach dürfen Mitgliedstaaten eigene Regelungen zu treffen, um das Recht auf Datenschutz mit dem Recht auf freie Meinungsäußerung und Informationsfreiheit in Einklang bringen. Die nationalen Regelungen dürfen Lücken ausfüllen, der DS-GVO aber nicht widersprechen. Genau dies ist mit den Vorschriften des KunstUrhG zur Einwilligung jedoch der Fall.

Auch über Art. 85 (2) DS-GVO lässt sich das Problem nur teilweise lösen. Diese Regelung erlaubt einen Rückgriff auf das KunstUrhG, wenn die Veröffentlichung journalistischen, wissenschaftlichen, künstlerischen oder literarischen Zwecken dient. Diese Ausnahmen sind abschließend und erfassen beispielsweise Veröffentlichungen in Zeitungsberichten; für alle anderen Zwecke – und damit regelmäßig bei Veröffentlichungen auf der eigenen Internetseite oder in sozialen Medien – gelten die strengen Anforderungen der DS-GVO.

Leider ist nicht zu erwarten, dass der deutsche Gesetzgeber Abhilfe schaffen wird. Das Bundesministerium des Innern übersieht diese Problematik und hält an seiner kritikwürdigen Auffassung fest, das KunstUrhG sei nach wie vor ohne Weiteres auf die Veröffentlichung von Bildaufnahmen anzuwenden.

Nur mit Einholung einer Einwilligung rechtssichere Veröffentlichung möglich

Für eine möglichst rechtssichere Lösung sollte bei der Veröffentlichung von Bildaufnahmen daher grundsätzlich auf die DS-GVO abgestellt werden. Danach ist idealerweise eine Einwilligung der abgebildeten Person einzuholen und diese gemäß der DS-GVO über die damit verbundene Datenverarbeitung zu informieren. Gerade bei Aufnahmen mehrerer Personen kann dies erhebliche Schwierigkeiten bereiten. Zudem besteht die Gefahr, dass die Einwilligung widerrufen wird und das Bild dann nicht mehr verwendet werden darf.

Alternativ kann eine Veröffentlichung auf die Interessenabwägung nach Art. 6 Abs. 1 (f) DS-GVO gestützt werden, wenn sie zur Wahrung der berechtigten Interessen erforderlich ist. Die deutschen Aufsichtsbehörden halten dies beispielsweise bei Veröffentlichungen zum Zweck der eigenen Öffentlichkeitsarbeit für möglich. Allerdings besteht hier immer das Risiko, dass ein Gericht oder eine andere Aufsichtsbehörde diese Abwägung bei einer späteren Überprüfung anders anstellt und damit die Rechtsgrundlage entfällt.

Kurzum: Das KunstUrhG ist neben der DS-GVO nicht mehr ohne Weiteres anwendbar. Dient die Veröffentlichung von Personenbildnissen journalistischen, wissenschaftlichen, künstlerischen oder literarischen Zwecken, kann das KunstUrhG weiterhin angewendet werden. Veröffentlichungen zu anderen Zwecken sollten, um möglichst rechtssicher zu agieren, nach Maßgabe der DS-GVO erfolgen. Bis zu einer Klärung durch den EuGH wird diese Rechtsunsicherheit bestehen bleiben.

Rechtsanwältin Johanna Mäkert

Stand: 03/2019

Seit nun fast einem Jahr gilt die Datenschutz-Grundverordnung (DS-GVO) und immer noch herrscht bei vielen Fragen Rechtsunsicherheit. So fragen sich beispielsweise Unternehmen und Vereine, Journalisten und Fotografen, unter welchen Voraussetzungen Fotos, auf denen Personen abgebildet sind, auf der eigenen Internetseite, in sozialen Medien oder Zeitungsberichten verwenden dürfen. Gelten dafür, wie bislang, die Vorschriften des Kunsturhebergesetzes (KunstUrhG) oder sind nun die Regelungen der DS-GVO zu beachten?

Diese Frage hat in der Praxis gravierende Auswirkungen. Das KunstUrhG stellt an die Veröffentlichung von Personenbildaufnahmen weitaus geringere Anforderungen als die DS-GVO. Wegen der zahlreichen Ausnahmen ist nach dem KunstUrhG regelmäßig keine Einwilligung der abgebildeten Personen erforderlich – und wenn doch, kann diese auch stillschweigend erklärt und nicht ohne Weiteres widerrufen werden. Dagegen fordert die DS-GVO eine ausdrückliche Einwilligung, die schriftlich nachzuweisen ist und jederzeit widerrufen werden kann, mit der Folge, dass jede weitere Verwendung unzulässig ist.

Europäische Datenschutz-Grundverordnung ist vorrangiges Recht

Welche Vorschriften sind nun zu beachten? Klar ist: Die DS-GVO genießt als europäisches Recht Anwendungsvorrang. Das heißt, dass das KunstUrhG nur ergänzend herangezogen werden kann, soweit die DS-GVO Lücken lässt. Solche können darin bestehen, dass den Mitgliedstaaten erlaubt wird, zu bestimmten Aspekten innerhalb eines gewissen Spielraums eigene Regelungen zu treffen (sog. Öffnungsklauseln).

Eine solche Öffnungsklausel findet sich in Art. 85 DS-GVO, der aber die Anwendung des KunstUrhG nicht ohne Weiteres erlaubt. Zum einen wird das KunstUrhG nicht von Art. 85 (1) DS-GVO erfasst. Danach dürfen Mitgliedstaaten eigene Regelungen zu treffen, um das Recht auf Datenschutz mit dem Recht auf freie Meinungsäußerung und Informationsfreiheit in Einklang bringen. Die nationalen Regelungen dürfen Lücken ausfüllen, der DS-GVO aber nicht widersprechen. Genau dies ist mit den Vorschriften des KunstUrhG zur Einwilligung jedoch der Fall.

Auch über Art. 85 (2) DS-GVO lässt sich das Problem nur teilweise lösen. Diese Regelung erlaubt einen Rückgriff auf das KunstUrhG, wenn die Veröffentlichung journalistischen, wissenschaftlichen, künstlerischen oder literarischen Zwecken dient. Diese Ausnahmen sind abschließend und erfassen beispielsweise Veröffentlichungen in Zeitungsberichten; für alle anderen Zwecke – und damit regelmäßig bei Veröffentlichungen auf der eigenen Internetseite oder in sozialen Medien – gelten die strengen Anforderungen der DS-GVO.

Leider ist nicht zu erwarten, dass der deutsche Gesetzgeber Abhilfe schaffen wird. Das Bundesministerium des Innern übersieht diese Problematik und hält an seiner kritikwürdigen Auffassung fest, das KunstUrhG sei nach wie vor ohne Weiteres auf die Veröffentlichung von Bildaufnahmen anzuwenden.

Nur mit Einholung einer Einwilligung rechtssichere Veröffentlichung möglich

Für eine möglichst rechtssichere Lösung sollte bei der Veröffentlichung von Bildaufnahmen daher grundsätzlich auf die DS-GVO abgestellt werden. Danach ist idealerweise eine Einwilligung der abgebildeten Person einzuholen und diese gemäß der DS-GVO über die damit verbundene Datenverarbeitung zu informieren. Gerade bei Aufnahmen mehrerer Personen kann dies erhebliche Schwierigkeiten bereiten. Zudem besteht die Gefahr, dass die Einwilligung widerrufen wird und das Bild dann nicht mehr verwendet werden darf.

Alternativ kann eine Veröffentlichung auf die Interessenabwägung nach Art. 6 Abs. 1 (f) DS-GVO gestützt werden, wenn sie zur Wahrung der berechtigten Interessen erforderlich ist. Die deutschen Aufsichtsbehörden halten dies beispielsweise bei Veröffentlichungen zum Zweck der eigenen Öffentlichkeitsarbeit für möglich. Allerdings besteht hier immer das Risiko, dass ein Gericht oder eine andere Aufsichtsbehörde diese Abwägung bei einer späteren Überprüfung anders anstellt und damit die Rechtsgrundlage entfällt.

Kurzum: Das KunstUrhG ist neben der DS-GVO nicht mehr ohne Weiteres anwendbar. Dient die Veröffentlichung von Personenbildnissen journalistischen, wissenschaftlichen, künstlerischen oder literarischen Zwecken, kann das KunstUrhG weiterhin angewendet werden. Veröffentlichungen zu anderen Zwecken sollten, um möglichst rechtssicher zu agieren, nach Maßgabe der DS-GVO erfolgen. Bis zu einer Klärung durch den EuGH wird diese Rechtsunsicherheit bestehen bleiben.

Rechtsanwältin Johanna Mäkert

Stand: 03/2019

14 Jan
2019

DSGVO: Haben Werbe-Einwilligungen ein Verfallsdatum?

Wie lange dürfen Daten für Direktwerbung verwendet werden? Für Datenschützer verfällt eine Werbe-Einwilligung nicht bei regelmäßiger Verwendung.

mehr lesen

Wie lange dürfen Daten für Direktwerbung verwendet werden? Für Datenschützer verfällt eine Werbe-Einwilligung nicht bei regelmäßiger Verwendung. Erfahren Sie mehr zu diesem Thema im Beitrag von unserem Kollegen Dr. Jens Eckhardt.

Wie lange dürfen Daten für Direktwerbung verwendet werden? Für Datenschützer verfällt eine Werbe-Einwilligung nicht bei regelmäßiger Verwendung. Erfahren Sie mehr zu diesem Thema im Beitrag von unserem Kollegen Dr. Jens Eckhardt.

17 Dez
2018

Datenschutz-Orientierungshilfe Direktwerbung

Seit über einem halben Jahr ist die DSGVO in Kraft. Die deutschen Datenschutzaufsichtsbehörden haben im November 2018 eine Orientierungshilfe zur Verarbeitung von personenbezogenen Daten für Zwecke der Direktwerbung veröffentlicht.

mehr lesen
12 Nov
2018

Verstöße gegen die Datenschutz-Grundverordnung als Wettbewerbsverstoß

Die Frage, ob Verstöße gegen die Datenschutz-Grundverordnung gleichzeitig eine Wettbewerbsverletzung darstellen und als solche verfolgt werden können, wird kontrovers diskutiert.

mehr lesen

Die Frage, ob Verstöße gegen die Datenschutz-Grundverordnung gleichzeitig eine Wettbewerbsverletzung darstellen und als solche verfolgt werden können, wird kontrovers diskutiert. Eine aktuelle Entscheidung des Oberlandesgerichts Hamburg (Urteil vom 25.10.2018, 3 U 66/17) weist jedoch neue Tendenzen auf. 

Nach Auffassung des OLG Hamburg  können Verstöße gegen die Bestimmungen der Datenschutz-Grundverordnung (DS-GVO) abmahnfähige Wettbewerbsverletzungen darstellen und somit gemäß den Bestimmungen des Gesetzes gegen den unlauteren Wettbewerb (UWG) von Mitbewerbern gerichtlich verfolgt werden. Das OLG Hamburg präzisierte jedoch, dass im Rahmen der Prüfung stets festzustellen ist, ob die von der DS-GVO gezogenen Grenzen jedenfalls auch den Schutz des Marktverhaltens bezweckten.

Klagebefugnis des Mitbewerbers

In seiner ausführlichen Begründung  bejaht das Gericht eine Klagebefugnis nach UWG sowohl in Bezug auf die Datenschutz-Richtlinie (DS-RL) als auch in Bezug auf die DS-GVO. In dem Urteil heißt es hierzu:

Die DS-RL enthält erkennbar kein abschließendes Sanktionssystem, das einer zivilrechtlich begründeten Verfolgung von Verletzungen der Datenschutzvorschriften durch Mitbewerber nach § 8 Abs. 1 und Abs. 3 Nr. 1 UWG entgegenstünde. Trotz der mit der Richtlinie beabsichtigten Vollharmonisierung [...] ist mit der Richtlinie kein abschließendes Rechtsbehelfssystem festgelegt worden […]

Die Klägerin ist aber auch unter der Geltung der DS-GVO klagebefugt. Der Senat ist […] nicht der Ansicht, dass die DS-GVO ein abgeschlossenes Sanktionssystem enthält, das die Verfolgung datenschutzrechtlicher Verletzungshandlungen auf lauterkeitsrechtlicher Grundlage durch Mitbewerber ausschlösse.

Das OLG Hamburg argumentiert, dass die Sanktionsregelungen in der DS-GVO keinen abschließenden Charakter in Bezug auf die Rechtsdurchsetzung durch andere hat. Das Gesetz schließt nach Auffassung des Gerichts die Verfolgung von datenschutzrechtlichen Verletzungshandlungen durch andere als die „betroffenen Personen“, deren Daten verarbeitet werden, nicht aus. Es geht davon aus, dass die DS-GVO nur einen Mindeststandard an Sanktionen vorsieht und wegen anderweitiger, in der DS-GVO selbst nicht geregelter Rechtsbehelfe und Sanktionen offen gestaltet ist.

Zum gleichen Ergebnis, indes ohne Begründung, kam bereits das Landgericht Würzburg in seinem Beschluss vom 13.09.2018 (11 O 1741/18).

Hingegen hatte das Landgericht Bochum in seinem Urteil vom 07.08.2018 (I-12 O 85/18) keine Wettbewerbsverletzung bei Verstößen gegen Vorschriften der DS-GVO angenommen. Das Gericht ging vielmehr davon aus, dass die DS-GVO in den Artt. 77 bis 84 DS-GVO eine die Ansprüche von Mitbewerbern ausschließende, abschließende Regelung enthält, weil sie den anspruchsberechtigten Personenkreis bestimmt und daraus zu schließen ist, dass der Unionsgesetzgeber eine Erstreckung auf Mitbewerber des Verletzers nicht zulassen wollte. 

DS-GVO-Norm muss marktverhaltensregelnd nach § 3a UWG sein

Das OLG Hamburg stellte in seinem Urteil - neben der grundsätzlichen Befugnis zur Verfolgung wettbewerbsrechtlicher Ansprüche durch Mitbewerber bei Verstößen gegen die Vorschriften der DS-GVO – auch fest, dass Datenschutzverstöße nicht immer zu einem Entstehen eines wettbewerbsrechtlichen Unterlassungsanspruchs führen. Es kommt nach Auffassung der Richter darauf an, dass die in Rede stehende, datenschutzrechtliche Norm eine marktverhaltensregelnde Norm im Sinne des § 3a UWG ist. Dies sei stets im Einzelfall zu prüfen.

Im konkreten Fall verstieß die Handlung der Beklagten zwar gegen § 28 Abs. 7 BDSG a.F. Bei der Norm handelte es sich jedoch nicht um marktverhaltensregelnde Normen im Sinne des § 3a UWG, sodass der Klägerin kein Unterlassungsanspruch zustand.

Kurzum

Durch das Urteil des OLG Hamburg steigt das Risiko für Unternehmen von Mitbewerbern wegen Verstößen gegen die Datenschutz-Grundverordnung abgemahnt zu werden. Allerdings ist zu konstatieren, dass die – auch weiterhin hoch umstrittene – Frage der Klagebefugnis noch einer abschließenden, höchstrichterlichen Klärung bedarf.

 

Autoren:

Rechtsanwalt Nils Steffen    

dmp@derra-ul.de

                                       

Rechtsanwalt Dr. Jens Eckhardt

dmp@derra-d.de

 

Stand: 11/2018

Die Frage, ob Verstöße gegen die Datenschutz-Grundverordnung gleichzeitig eine Wettbewerbsverletzung darstellen und als solche verfolgt werden können, wird kontrovers diskutiert. Eine aktuelle Entscheidung des Oberlandesgerichts Hamburg (Urteil vom 25.10.2018, 3 U 66/17) weist jedoch neue Tendenzen auf. 

Nach Auffassung des OLG Hamburg  können Verstöße gegen die Bestimmungen der Datenschutz-Grundverordnung (DS-GVO) abmahnfähige Wettbewerbsverletzungen darstellen und somit gemäß den Bestimmungen des Gesetzes gegen den unlauteren Wettbewerb (UWG) von Mitbewerbern gerichtlich verfolgt werden. Das OLG Hamburg präzisierte jedoch, dass im Rahmen der Prüfung stets festzustellen ist, ob die von der DS-GVO gezogenen Grenzen jedenfalls auch den Schutz des Marktverhaltens bezweckten.

Klagebefugnis des Mitbewerbers

In seiner ausführlichen Begründung  bejaht das Gericht eine Klagebefugnis nach UWG sowohl in Bezug auf die Datenschutz-Richtlinie (DS-RL) als auch in Bezug auf die DS-GVO. In dem Urteil heißt es hierzu:

Die DS-RL enthält erkennbar kein abschließendes Sanktionssystem, das einer zivilrechtlich begründeten Verfolgung von Verletzungen der Datenschutzvorschriften durch Mitbewerber nach § 8 Abs. 1 und Abs. 3 Nr. 1 UWG entgegenstünde. Trotz der mit der Richtlinie beabsichtigten Vollharmonisierung [...] ist mit der Richtlinie kein abschließendes Rechtsbehelfssystem festgelegt worden […]

Die Klägerin ist aber auch unter der Geltung der DS-GVO klagebefugt. Der Senat ist […] nicht der Ansicht, dass die DS-GVO ein abgeschlossenes Sanktionssystem enthält, das die Verfolgung datenschutzrechtlicher Verletzungshandlungen auf lauterkeitsrechtlicher Grundlage durch Mitbewerber ausschlösse.

Das OLG Hamburg argumentiert, dass die Sanktionsregelungen in der DS-GVO keinen abschließenden Charakter in Bezug auf die Rechtsdurchsetzung durch andere hat. Das Gesetz schließt nach Auffassung des Gerichts die Verfolgung von datenschutzrechtlichen Verletzungshandlungen durch andere als die „betroffenen Personen“, deren Daten verarbeitet werden, nicht aus. Es geht davon aus, dass die DS-GVO nur einen Mindeststandard an Sanktionen vorsieht und wegen anderweitiger, in der DS-GVO selbst nicht geregelter Rechtsbehelfe und Sanktionen offen gestaltet ist.

Zum gleichen Ergebnis, indes ohne Begründung, kam bereits das Landgericht Würzburg in seinem Beschluss vom 13.09.2018 (11 O 1741/18).

Hingegen hatte das Landgericht Bochum in seinem Urteil vom 07.08.2018 (I-12 O 85/18) keine Wettbewerbsverletzung bei Verstößen gegen Vorschriften der DS-GVO angenommen. Das Gericht ging vielmehr davon aus, dass die DS-GVO in den Artt. 77 bis 84 DS-GVO eine die Ansprüche von Mitbewerbern ausschließende, abschließende Regelung enthält, weil sie den anspruchsberechtigten Personenkreis bestimmt und daraus zu schließen ist, dass der Unionsgesetzgeber eine Erstreckung auf Mitbewerber des Verletzers nicht zulassen wollte. 

DS-GVO-Norm muss marktverhaltensregelnd nach § 3a UWG sein

Das OLG Hamburg stellte in seinem Urteil - neben der grundsätzlichen Befugnis zur Verfolgung wettbewerbsrechtlicher Ansprüche durch Mitbewerber bei Verstößen gegen die Vorschriften der DS-GVO – auch fest, dass Datenschutzverstöße nicht immer zu einem Entstehen eines wettbewerbsrechtlichen Unterlassungsanspruchs führen. Es kommt nach Auffassung der Richter darauf an, dass die in Rede stehende, datenschutzrechtliche Norm eine marktverhaltensregelnde Norm im Sinne des § 3a UWG ist. Dies sei stets im Einzelfall zu prüfen.

Im konkreten Fall verstieß die Handlung der Beklagten zwar gegen § 28 Abs. 7 BDSG a.F. Bei der Norm handelte es sich jedoch nicht um marktverhaltensregelnde Normen im Sinne des § 3a UWG, sodass der Klägerin kein Unterlassungsanspruch zustand.

Kurzum

Durch das Urteil des OLG Hamburg steigt das Risiko für Unternehmen von Mitbewerbern wegen Verstößen gegen die Datenschutz-Grundverordnung abgemahnt zu werden. Allerdings ist zu konstatieren, dass die – auch weiterhin hoch umstrittene – Frage der Klagebefugnis noch einer abschließenden, höchstrichterlichen Klärung bedarf.

 

Autoren:

Rechtsanwalt Nils Steffen    

dmp@derra-ul.de

                                       

Rechtsanwalt Dr. Jens Eckhardt

dmp@derra-d.de

 

Stand: 11/2018

06 Nov
2018

Widerruf und Datenlöschung gemäß DSGVO

Widerruf der Einwilligung und Löschverlangen: Was nun? Was änderte sich durch die DSGVO? Daten zum Zulässigkeitsnachweis müssen nicht gelöscht werden.

mehr lesen
12 Okt
2018

Nach dem Hack: Muss Facebook Schadensersatz zahlen?

50 Millionen Facebook-Konten sind gehakt worden. Die irische Datenschutzkommission will nun herausfinden, ob sich das Unternehmen an die EU-Regeln zum Schutz der Privatsphäre gehalten hat. Doch worum geht es dabei eigentlich?

mehr lesen
04 Sep
2018

DSGVO-Mythos „Berechtigtes Interesse genügt“

Im E-Mail Marketing hält sich im Zusammenhang mit der DSGVO der Mythos „Berechtigtes Interesse genügt“. Nötig ist eine differenzierte Betrachtung.

mehr lesen
07 Mai
2018

Interview von Dr. Jens Eckhardt beim CSA Summit 2018

Am 19.04.2018 fand in Frankfurt der jährliche CSA Summit 2018 statt, ein Projekt des eco – Verband der Internetwirtschaft e.V.

mehr lesen

Am 19.04.2018 fand in Frankfurt der jährliche CSA Summit 2018 statt, ein Projekt des eco – Verband der Internetwirtschaft e.V. Anlässlich dieser Veranstaltung gab unsere Kollege Dr. Jens Eckhardt dem italienischen Online-Magazin Inside Marketing ein Interview in englischer Sprache. Thema waren Einschätzungen zu den Auswirkungen der Datenschutz-Grundverordnung auf den elektronischen Schriftverkehr und das Email-Marketing.

Die Certified Senders Alliance (CSA) ist eine neutrale Schnittstelle zwischen Mailboxprovidern und Versendern kommerzieller E-Mails und stellt auf Grundlage geltenden Rechts und technischer Anforderungen rechtliche und technische Qualitätsstandards zur Verfügung mit dem Ziel, die Qualität kommerzieller E-Mails zu erhöhen.

Hier gelangen Sie zum Interview:

https://www.insidemarketing.it/eventi/csa-summit-2018/

Am 19.04.2018 fand in Frankfurt der jährliche CSA Summit 2018 statt, ein Projekt des eco – Verband der Internetwirtschaft e.V. Anlässlich dieser Veranstaltung gab unsere Kollege Dr. Jens Eckhardt dem italienischen Online-Magazin Inside Marketing ein Interview in englischer Sprache. Thema waren Einschätzungen zu den Auswirkungen der Datenschutz-Grundverordnung auf den elektronischen Schriftverkehr und das Email-Marketing.

Die Certified Senders Alliance (CSA) ist eine neutrale Schnittstelle zwischen Mailboxprovidern und Versendern kommerzieller E-Mails und stellt auf Grundlage geltenden Rechts und technischer Anforderungen rechtliche und technische Qualitätsstandards zur Verfügung mit dem Ziel, die Qualität kommerzieller E-Mails zu erhöhen.

Hier gelangen Sie zum Interview:

https://www.insidemarketing.it/eventi/csa-summit-2018/

06 Mär
2018

Fragebogen für Unternehmen – Vorbereitung zur Umsetzung der DS-GVO

Speziell für Unternehmen haben wir den Fragenbogen DS-GVO „Readiness Check“ erstellt - als Vorbereitung zur Umsetzung der zum 25.05.2018 in Kraft tretenden DS-Grundverordnung.

mehr lesen

Speziell für Unternehmen haben wir den Fragenbogen DS-GVO „Readiness Check“ erstellt - als Vorbereitung zur Umsetzung der zum 25.05.2018 in Kraft tretenden DS-Grundverordnung. Der Fragebogen soll Ihnen dabei behilflich sein, sich einen Überblick zum Status quo Ihres Unternehmens in Bezug auf die Datenschutz-Grundverordnung (DS-GVO) zu verschaffen, und soll im Anschluss die Grundlage für die Entwicklung einer Umsetzungsstrategie bilden.

Unsere Experten im Datenschutzrecht übernehmen gerne die Auswertung des Fragebogens und die sich anschließende Erstellung und Implementierung eines speziell auf die Bedürfnisse Ihres Unternehmens abgestimmten und gegebenenfalls phasenweise zu realisierenden Umsetzungsmodells.

Zum Fragebogen DS-GVO „Readiness Check“ gelangen Sie hier:
Fragebogen DS-GVO „Readiness Check“

Rechtsanwalt Dr. Jens Eckhardt
dmp@derra-d.de
Stand 03/2018

Speziell für Unternehmen haben wir den Fragenbogen DS-GVO „Readiness Check“ erstellt - als Vorbereitung zur Umsetzung der zum 25.05.2018 in Kraft tretenden DS-Grundverordnung. Der Fragebogen soll Ihnen dabei behilflich sein, sich einen Überblick zum Status quo Ihres Unternehmens in Bezug auf die Datenschutz-Grundverordnung (DS-GVO) zu verschaffen, und soll im Anschluss die Grundlage für die Entwicklung einer Umsetzungsstrategie bilden.

Unsere Experten im Datenschutzrecht übernehmen gerne die Auswertung des Fragebogens und die sich anschließende Erstellung und Implementierung eines speziell auf die Bedürfnisse Ihres Unternehmens abgestimmten und gegebenenfalls phasenweise zu realisierenden Umsetzungsmodells.

Zum Fragebogen DS-GVO „Readiness Check“ gelangen Sie hier:
Fragebogen DS-GVO „Readiness Check“

Rechtsanwalt Dr. Jens Eckhardt
dmp@derra-d.de
Stand 03/2018

21 Feb
2018

Datenschutz-Grundverordnung – der italienische Weg

Italien hat es schon immer ernst genommen mit dem Datenschutz; zumindest formal: das bisherige nationale Datenschutzrecht galt als strenger

mehr lesen

Italien hat es schon immer ernst genommen mit dem Datenschutz; zumindest formal: das bisherige nationale Datenschutzrecht galt als strenger als das, was nun auf der Grundlage der Datenschutz-Grundverordnung (DSGVO) spätestens ab 25. Mai 2018 europäischer Standard werden soll. Und so wundert es eigentlich wenig, dass der italienische Gesetzgeber versucht, den bisherigen, nationalen Weg weiterzugehen.

Während der Gedankengang nach der DSGVO der ist, die Prüfung der „berechtigen Interessen“ für die Erhebung, Speicherung und Verarbeitung (sensibler) Daten in die Hand (und in die Verantwortung) desjenigen zu legen, der die Daten erhebt, speichert und verarbeitet, scheint der italienische Gesetzgeber diese Verantwortung zumindest teilweise auf den Kopf stellen zu wollen: Im Haushaltsgesetz 2018, zumal an versteckter Stelle (nämlich im Abschnitt 1020-1023), findet sich eine Vorschrift, wonach die italienische Datenschutzbehörde „Garante per la protezione dei dati personali“ ein Formular samt „Leitlinien“ vorzulegen hat, auf deren Grundlage derjenige, der Daten ohne ausdrückliche Einwilligung des Betroffenen aufgrund eines „berechtigten Interesses“ erhebt, speichert und verarbeitet, dies der Aufsichtsbehörde mitzuteilen hat, bevor er die Daten erhebt. Danach hat die Aufsichtsbehörde 15 Tage Zeit, die Berechtigung der „Interesses“ zu prüfen und ggf. die Erhebung ohne Einwilligung zu stoppen. Geschieht dies nicht innerhalb der Frist (was eher wahrscheinlich ist), kann der „Berechtigte“ ohne Zustimmung desjenigen, dessen Daten erhoben werden sollen, loslegen.

Auf den ersten Blick wird dadurch der mit der DSGVO gewollte Schutz der persönlichen Daten im Dschungel der italienischen Bürokratie möglichweise auf den Kopf gestellt. Man darf daher gespannt sein, wie die vom „Garante“ bis Ende Februar 2018 herauszugebenden Leitlinien aussehen anhand derer dann entschieden werden muss, ob formal die Einwilligung des Betroffenen oder das Plazet des „Garante“ zur Erhebung der Daten einzuholen ist. Aber bereits jetzt werden Bedenken gegen diesen italienischen Weg geäußert: man fragt sich, ob dieser Ansatz mit der DSGVO kompatibel ist.

Rechtsanwalt Karl-Heinz Lauser

dmp.milano@derra.it

Stand: 02/2018

Italien hat es schon immer ernst genommen mit dem Datenschutz; zumindest formal: das bisherige nationale Datenschutzrecht galt als strenger als das, was nun auf der Grundlage der Datenschutz-Grundverordnung (DSGVO) spätestens ab 25. Mai 2018 europäischer Standard werden soll. Und so wundert es eigentlich wenig, dass der italienische Gesetzgeber versucht, den bisherigen, nationalen Weg weiterzugehen.

Während der Gedankengang nach der DSGVO der ist, die Prüfung der „berechtigen Interessen“ für die Erhebung, Speicherung und Verarbeitung (sensibler) Daten in die Hand (und in die Verantwortung) desjenigen zu legen, der die Daten erhebt, speichert und verarbeitet, scheint der italienische Gesetzgeber diese Verantwortung zumindest teilweise auf den Kopf stellen zu wollen: Im Haushaltsgesetz 2018, zumal an versteckter Stelle (nämlich im Abschnitt 1020-1023), findet sich eine Vorschrift, wonach die italienische Datenschutzbehörde „Garante per la protezione dei dati personali“ ein Formular samt „Leitlinien“ vorzulegen hat, auf deren Grundlage derjenige, der Daten ohne ausdrückliche Einwilligung des Betroffenen aufgrund eines „berechtigten Interesses“ erhebt, speichert und verarbeitet, dies der Aufsichtsbehörde mitzuteilen hat, bevor er die Daten erhebt. Danach hat die Aufsichtsbehörde 15 Tage Zeit, die Berechtigung der „Interesses“ zu prüfen und ggf. die Erhebung ohne Einwilligung zu stoppen. Geschieht dies nicht innerhalb der Frist (was eher wahrscheinlich ist), kann der „Berechtigte“ ohne Zustimmung desjenigen, dessen Daten erhoben werden sollen, loslegen.

Auf den ersten Blick wird dadurch der mit der DSGVO gewollte Schutz der persönlichen Daten im Dschungel der italienischen Bürokratie möglichweise auf den Kopf gestellt. Man darf daher gespannt sein, wie die vom „Garante“ bis Ende Februar 2018 herauszugebenden Leitlinien aussehen anhand derer dann entschieden werden muss, ob formal die Einwilligung des Betroffenen oder das Plazet des „Garante“ zur Erhebung der Daten einzuholen ist. Aber bereits jetzt werden Bedenken gegen diesen italienischen Weg geäußert: man fragt sich, ob dieser Ansatz mit der DSGVO kompatibel ist.

Rechtsanwalt Karl-Heinz Lauser

dmp.milano@derra.it

Stand: 02/2018

22 Jan
2018

Sind Sie vorbereitet?

Die neue EU-Datenschutzgrundverordnung

Die Uhr tickt. Noch haben Unternehmen, Einrichtungen und Organisationen ein halbes Jahr Zeit, sich fit zu machen und die neue Datenschutz-Grundverordnung (DS-GVO) umzusetzen.

mehr lesen
15 Nov
2017

IHK Ostwürttemberg - Herausforderung EU-Datenschutz-Grundverordnung

Am 25. Mai 2018 tritt die EU-Datenschutz-Grundverordnung in Kraft. Nach diesem Tag kann Gewerbetreibende ein Verstoß gegen die neuen gesetzlichen Vorgaben bei der Verarbeitung personenbezogener Daten teuer zu stehen kommen. Am 8. November 2017 informierte die IHK Ostwürttemberg ihre Mitglieder zu diesem Thema. Lesen Sie hier die Pressemitteilung der IHK.

Pressemitteilung
19 Okt
2017

Ein Überblick über die EU-Datenschutz-Grundverordnung anhand von 20 Fragen und 20 Antworten

Verschaffen Sie sich einen schnellen Überblick über die wichtigsten Aspekte der demnächst in Kraft tretenden EU-Datenschutz-Grundverordnung.

mehr lesen

Verschaffen Sie sich einen schnellen Überblick über die wichtigsten Aspekte der demnächst in Kraft tretenden EU-Datenschutz-Grundverordnung. Unsere Experten haben alles Wesentliche, was Sie über den Regelungsgehalt der Verordnung und die bevorstehenden Rechtsänderungen wissen müssen, in 20 Fragen und Antworten zusammengestellt.

Verschaffen Sie sich einen schnellen Überblick über die wichtigsten Aspekte der demnächst in Kraft tretenden EU-Datenschutz-Grundverordnung. Unsere Experten haben alles Wesentliche, was Sie über den Regelungsgehalt der Verordnung und die bevorstehenden Rechtsänderungen wissen müssen, in 20 Fragen und Antworten zusammengestellt.

11 Okt
2017

Alles neu im Datenschutz

Lesen Sie den Beitrag unseres Kollegen Dr. Eckhardt „Die gesetzlichen Vorgaben bei der Verarbeitung personenbezogener Daten sind eine Herausforderung für den Mittelstand“ im aktuellen IHK Magazin „Wirtschaft in Ostwürttemberg“. Einen Link zu der IHK-Veranstaltung „Der Countdown läuft: Die neue EU-Datenschutz-Grundverordnung kommt!“am 08.11.2017 finden Sie unter unserer Rubrik Veranstaltungen.

mehr lesen
10 Okt
2017

„Digitalisierung - Mit Fokus auf IT-Sicherheit“ – Sonderbeilage zur DIE WELT

Das Thema Digitalisierung nimmt in unserer Wirtschaftswelt eine immer größere Bedeutung ein. Die Tageszeitung „Die Welt“ hat dieses Thema in der Sonderbeilage „Digitalisierung - Mit Fokus auf IT-Sicherheit“ aufgegriffen, auf die wir gerne verweisen möchten. Lesen Sie u.a. im Advertorial der DIRO AG auf Seite 9 eine Stellungnahme unseres Kollegen Dr. Eckhardt zu Compliance und EU-Datenschutz-Recht.

mehr lesen
07 Aug
2017

Verzeichnis von Verarbeitungstätigkeiten gemäß der Datenschutz-Grundverordnung

Die EU-Datenschutz-Grundverordnung gilt ab 25. Mai 2018. Bis dahin müssen alle Regelungen der Verordnung in die gesamten unternehmerischen Prozessabläufe implementiert werden (Beitrag in englischer Sprache).

mehr lesen

Veranstaltungen

08 Okt
2019

Fortbildungsveranstaltung: IT-Sicherheitsmanagement aus Sicht der DS-GVO

Referent:
Dr. Jens Eckhardt

Ort:
Berlin

Programm und Anmeldung
28 Jun
2019
27 Jun
2019

Rechtssicheres E-Mail-Marketing

Referent:
Dr. Jens Eckhardt

Ort:
Frankfurt

Programm und Anmeldung
05 Jun
2019

BvD-Verbandstage 2019 – Künstliche Intelligenz und die DS-GVO – (k)ein Konflikt?

Referent:
Dr. Jens Eckhardt

Ort:
Berlin

Veranstaltungszeitraum:
05.06.2019 bis 06.06.2019

Programm und Anmeldung
03 Jun
2019

21. Fachkonferenz DuD 2019 - Ein Jahr Datenschutzgrundverordnung - erste Erfahrungen

Referent:
Dr. Jens Eckhardt

Ort:
Berlin

Veranstaltungszeitraum:
03.06.2019 bis 05.06.2019

Programm und Anmeldung

Publikationen

Dr. Jens Eckhardt / Rüpke / v. Lewinski
Verlag C.H. Beck, 2018
Dr. Jens Eckhardt / Kramer / Tausch
TKMmed!a
Dr. Jens Eckhardt / Bergmann / Möhrle / Herb
Boorberg Verlag
Verlag C. H. Beck München, Mitautor seit 1. Auflage
Verlag C. H. Beck München, Mitautor seit 1. Auflage
Mitautor und Leiter der Taskforce „Datenschutz“ der AG „Rechtsrahmen im Cloud Computing“, Trusted Cloud-Initiative des BMWi
Verlag C. H. Beck München, Mitautor seit 4. Auflage, 2013
Dr. Jens Eckhardt / Dr. Brink (Landesbeauftragter für den Datenschutz Baden-Württemberg)
ZD Editorial 1/2015 und ZD 2015, 205 ff.