Datenschutzrecht

Das Datenschutzrecht hat in der jüngeren Vergangenheit stark an Bedeutung im Unternehmensalltag gewonnen. In jedem Unternehmensbereich – Abwicklung von Kundengeschäften, Lieferantenbeziehungen, Online- und Direktmarketing, Fraud Prevention und in jeder Hinsicht in Bezug auf Beschäftigte – spielt das Datenschutzrecht eine Rolle. Auch in der Öffentlichkeit und bei Vertragspartnern hat das Thema Datenschutz als Erwartungshaltung gegenüber einem Unternehmen einen eigenständigen Stellenwert eingenommen – und das nicht erst durch öffentlichkeitswirksame Bußgeldverfahren.

Damit ist das Datenschutzrecht zu einem zwingenden Bestandteil jeder Unternehmensorganisation und Compliance-Strategie geworden und bei unternehmerischen Entscheidungen und Gestaltungen mit zu berücksichtigen.

Am 25.05.2016 ist die sog. EU-Datenschutz-Grundverordnung (DS-GVO) in Kraft getreten. Bis zum 25.05.2018 muss jede Verarbeitung personenbezogener Daten mit den Vorgaben der Datenschutz-Grundverordnung in Einklang gebracht sein – eine Aufgabe, der mit Blick auf den deutlich erhöhten Bußgeldrahmen für Verstöße gegen Datenschutzbestimmungen eine besondere Bedeutung zukommt.

Die Beratungsleistungen unserer Rechtsanwälte für Datenschutzrecht:

Wir von Derra, Meyer & Partner haben das Datenschutzrecht in den Fokus unserer Tätigkeitsbereiche gestellt und bieten Ihnen umfassende rechtliche Beratung und Unterstützung an. Hier einige Beispiele für unsere Beratungsinhalte:

  • Compliance-Check im Datenschutz
  • Anpassung der Datenverarbeitung in Ihrem Unternehmen an die Anforderungen der Datenschutz-Grundverordnung (DS-GVO)
  • Stellungnahmen und Bewertungen zum Nachweis datenschutzrechtskonformer Datenverarbeitung und neuer Geschäftsideen – und -modelle
  • Unterstützung beim Aufbau und Durchführung offline- und online-Marketingmaßnahmen einschließlich Data Driven Marketing und Customer Relationship Management (CRM)-Systemen
  • Datenschutz im Internet und datenschutzkonforme Gestaltung von Internetauftritten, Online-Shops und Online-Portalen
  • Begleitung von Projekten im Rahmen von Industrie 4.0, Machine2Machine Communication und Internet of Things
  • Einführung und Nutzung von – insbesondere grenzüberschreitenden – Cloud Services insbesondere von „Infrastructure as a Service“ über „Communication/Collaboration as a Service“ bis „Business Process as a Service“
  • Datenschutzrechtliche Beratung beim Outsourcing und Verkauf von Unternehmen, insbesondere beim Verkauf von Unternehmensteilen
  • Spezifische Datenschutzberatung im Telekommunikations- und Bankensektor
  • Datenschutzschulungen für Ihr Unternehmen entsprechend den Bedürfnissen Ihres Unternehmens und/oder themenbezogene Schulung
  • Coaching und Unterstützung von internen und externen Datenschutzbeauftragten
  • Unterstützung von Insolvenzverwaltern in Datenschutzfragen
  • Vertretung und Wahrung Ihrer Interessen bei Anfragen, Auskunftsverlangen und Untersuchung durch Aufsichtsbehörden
  • Interne Unterstützung bei der Vorbereitung auf Untersuchungen durch Aufsichtsbehörden

Fachübergreifende Beratung der Anwälte für Datenschutz bei Derra, Meyer & Partner

Unsere Anwälte für Datenschutzrecht bieten Ihnen eine maßgeschneiderte Rechtsberatung. Sie profitieren als Mandant von der Möglichkeit, unsere Kompetenzen in anderen tangierten Rechtsgebieten - wie dem Arbeits-, Bank-, Gesellschafts-, Handels-, Insolvenz-, Straf-, Vertriebs- und Wettbewerbsrecht - mit dem Datenschutzrecht entsprechend Ihren Anforderungen zusammenzuführen.

Als multidisziplinäres Team haben unsere Experten ein Gutachten für den BvD Berufsverband der Datenschutzbeauftragten zur Stellung des Datenschutzbeauftragten in der Datenschutz-Grundverordnung (https://www.bvdnet.de/gutachten-des-bvd-zu-stellung-pflichten-und-haftung-des-dsb-in-der-ds-gvo/, Stand: 20.04.2018) und den Leitfaden „Durchsuchung als wichtiger Bestandteil der IT-Security-Policy“ für EuroCloud Deutschland_eco e.V. (https://www.eurocloud.de/2018/dokumente/durchsuchung-wichtiges-element-der-it-security-policy.html, Stand: 20.04.2018) erstellt.

Unsere Rechtsexperten sind im Vorstand des Berufsverbands der Datenschutzbeauftragten sowie bei EuroCloud vertreten und haben sich durch intensive Autoren- und Referententätigkeit als Experten im Datenschutz einen Namen gemacht.

 

Weitere Informationen zum Thema Datenschutz

Zum Datenschutzrecht - dmp Newsletter 2017

Ein Überblick über die EU-Datenschutz-Grundverordnung anhand von 20 Fragen und 20 Antworten

DS-GVO „Readiness Check“ - Herausforderungen für das Unternehmen

DS-GVO „Readiness Check“ - Fragebogen zur Umsetzung der DS-GVO

DS-GVO „Readiness Check“ – Checkliste Vertragsinhalte einer Auftragsverarbeitung

Ansprechpartner

Aktuelles

26 Mär
2019

Cloud-Computing - Was Unternehmen beachten müssen

In einem in der Süddeutschen Zeitung veröffentlichten Beitrag zum Cloud-Computing gibt unser Kollege Dr. Eckhardt wichtige Hinweise zur Nutzung von Cloud-Services durch Unternehmen. Hier gelangen Sie zum Beitrag:

mehr lesen
20 Mär
2019

Cyberkriminalität - wirksame Datensicherung im Unternehmen

Ein neuer Mitarbeiter mit Bankvollmacht – gerne bei einer Auslandstochtergesellschaft – erhält eine Email des Geschäftsführers ...

mehr lesen

Ein neuer Mitarbeiter mit Bankvollmacht – gerne bei einer Auslandstochtergesellschaft – erhält eine Email des Geschäftsführers, er möge einen fünfstelligen Betrag auf ein bestimmtes Konto überweisen. Es handele sich um ein wichtiges Geschäft, bei dem kurzfristig eine Anzahlung geleistet werden muss. Variante der Email: der Geschäftsführer stecke privat in der Klemme, er bitte um kurzfristige Überweisung eines Betrags, der auch schnell wieder ausgeglichen werden würde. Alles streng vertraulich. Nach einer ersten Email folgt nach einer Stunde eine weitere Email oder ein Anruf – wurde die Überweisung bereits ausgeführt?

Möglich ist auch, dass ein Lieferant per Email mitteilt, dass die Kontodaten geändert wurden und die Zahlungen in Zukunft auf die neue Bankverbindung erfolgen soll. Der arglose Mitarbeiter veranlasst die Überweisung – und erhält nach einem Monat eine Mahnung. Eine weitere Alternative ist, dass die Rechnung eines Lieferanten bezahlt wird, der gar nicht existiert.

Diese Vorfälle treten in letzter Zeit immer häufiger auf und gehen teilweise mit einem echten Data Breach einher – dann, wenn echte Emailadressen verwendet werden. Es werden hier nicht nur IT-Systeme von außen gehackt, sondern insbesondere auch auf der psychologischen Kommunikationsebene – besondere Wertschätzung, Pflichtbewusstsein, Aufbau einer Drucksituation - gearbeitet. Dem aufmerksamen Mitarbeiter, der per Email nachfragt, wird bei einem echten Data Breach direkt von einer zwischengeschalteten Adresse des Cyberangreifers geantwortet und die Korrektheit der Anfrage bestätigt.

In einer Zeit, in der praktisch alle Daten elektronisch gespeichert und nicht immer ausreichend geschützt werden – wobei eine absolute Datensicherheit nicht möglich sein dürfte - , ist es also nicht nur erforderlich, in den elektronischen Schutz der Daten zu investieren. Es muss insbesondere auch durch die geeigneten Abläufe, Entscheidungsstrukturen sowie konsequente Sensibilisierung und Fortbildung der Mitarbeiter im Unternehmen sichergestellt werden, dass Angriffe dieser Art erkannt und entlarvt werden – bevor ein finanzieller Schaden entsteht, der zum Teil erheblich sein und selten behoben werden kann. In diesem Zusammenhang wird die ganz praktische Bedeutung der Anforderungen der DS-Grundverordnung – hier insbesondere der Schutz der Daten durch geeignete technische und organisatorische Maßnahmen, das Verzeichnis der Verarbeitungstätigkeiten und die Risikofolgenabschätzung – einmal mehr deutlich.

Rechtsanwältin Dr. Stefanie Lebek

dmp.milano@derra.it

Stand: 03/2019

Ein neuer Mitarbeiter mit Bankvollmacht – gerne bei einer Auslandstochtergesellschaft – erhält eine Email des Geschäftsführers, er möge einen fünfstelligen Betrag auf ein bestimmtes Konto überweisen. Es handele sich um ein wichtiges Geschäft, bei dem kurzfristig eine Anzahlung geleistet werden muss. Variante der Email: der Geschäftsführer stecke privat in der Klemme, er bitte um kurzfristige Überweisung eines Betrags, der auch schnell wieder ausgeglichen werden würde. Alles streng vertraulich. Nach einer ersten Email folgt nach einer Stunde eine weitere Email oder ein Anruf – wurde die Überweisung bereits ausgeführt?

Möglich ist auch, dass ein Lieferant per Email mitteilt, dass die Kontodaten geändert wurden und die Zahlungen in Zukunft auf die neue Bankverbindung erfolgen soll. Der arglose Mitarbeiter veranlasst die Überweisung – und erhält nach einem Monat eine Mahnung. Eine weitere Alternative ist, dass die Rechnung eines Lieferanten bezahlt wird, der gar nicht existiert.

Diese Vorfälle treten in letzter Zeit immer häufiger auf und gehen teilweise mit einem echten Data Breach einher – dann, wenn echte Emailadressen verwendet werden. Es werden hier nicht nur IT-Systeme von außen gehackt, sondern insbesondere auch auf der psychologischen Kommunikationsebene – besondere Wertschätzung, Pflichtbewusstsein, Aufbau einer Drucksituation - gearbeitet. Dem aufmerksamen Mitarbeiter, der per Email nachfragt, wird bei einem echten Data Breach direkt von einer zwischengeschalteten Adresse des Cyberangreifers geantwortet und die Korrektheit der Anfrage bestätigt.

In einer Zeit, in der praktisch alle Daten elektronisch gespeichert und nicht immer ausreichend geschützt werden – wobei eine absolute Datensicherheit nicht möglich sein dürfte - , ist es also nicht nur erforderlich, in den elektronischen Schutz der Daten zu investieren. Es muss insbesondere auch durch die geeigneten Abläufe, Entscheidungsstrukturen sowie konsequente Sensibilisierung und Fortbildung der Mitarbeiter im Unternehmen sichergestellt werden, dass Angriffe dieser Art erkannt und entlarvt werden – bevor ein finanzieller Schaden entsteht, der zum Teil erheblich sein und selten behoben werden kann. In diesem Zusammenhang wird die ganz praktische Bedeutung der Anforderungen der DS-Grundverordnung – hier insbesondere der Schutz der Daten durch geeignete technische und organisatorische Maßnahmen, das Verzeichnis der Verarbeitungstätigkeiten und die Risikofolgenabschätzung – einmal mehr deutlich.

Rechtsanwältin Dr. Stefanie Lebek

dmp.milano@derra.it

Stand: 03/2019

14 Mär
2019

Der Brexit naht - Woran Sie jetzt noch denken müssen!

Der Brexit stellt deutsche Unternehmen auch beim Datenschutz vor Herausforderungen.

mehr lesen

Der Brexit stellt deutsche Unternehmen auch beim Datenschutz vor Herausforderungen. Denn egal ob „Deal or no deal“: In beiden Fällen wird Großbritannien ab dem 30. März 2019 oder auch später zum Drittland im Sinne der DSGVO. Das zwingt Unternehmen dazu, ihre grenzüberschreitende Verarbeitung personenbezogener Daten zu prüfen, worauf jetzt der eco Verband hinweist. Die Empfehlung gilt auch für alle, die heute in irgendeiner Form Cloud-Dienste nutzen – vom E-Mail-Dienst über Online-Speicher bis hin zum Bezug von Dienstleistungen aus dem Ausland. EuroCloud Deutschland_eco e. V hat dazu einen kurzen Leitfaden erstellt, der kostenlos heruntergeladen werden kann.

Keine Karenz für Datentransfer nach UK

Die Datenschutz-Grundverordnung (DSGVO) gilt auch für die Nutzung von Cloud-Diensten. Sie erlaubt innerhalb der Europäischen Union (EU) eine grenzüberschreitende Verarbeitung personenbezogener Daten (Art. 1 Abs. 1, Artikel 44 ff. DSGVO). Durch den EU-Austritt ändert sich folglich die datenschutzrechtliche Behandlung des Datentransfers in das Vereinigte Königreich (UK). Dieser wird künftig unabhängig vom gestrigen Votum und vom Ausgang der Austrittsverhandlungen zwischen der EU und UK mit den Vorgaben für die Schweiz oder die USA vergleichbar sein.

Dies erfordert eine eigenständige zusätzliche Rechtsgrundlage für alle Datentransfers nach Groß-britannien, für deren Einhaltung jeweils das verarbeitende Unternehmen haftbar ist. Die Europäische Kommission hat zwar einen Angemessenheitsbeschluss gemäß Art. 45 DSGVO angekündigt. Bislang ist dieser jedoch noch nicht erfolgt und wird es bei einem zeitnahen „No-Deal-Brexit“ auch nicht sein. Verschärfend kommt hinzu, dass formaljuristisch keine Karenzzeit besteht. Ab dem Wirksamwerden des Austritts ist ein Datentransfer rechtswidrig und bußgeldbewehrt, wenn nicht die Vorgaben der Artikel 44 ff. DSGVO eingehalten sind oder im Brexit-Deal eine Übergangsregelung geschaffen wird. Ob ein geregelter Brexit oder ein „No-Deal-Brexit“ kommt, ist derzeit unklar. Um die Fortführung von Cloud-Services sicherzustellen, müssen daher alternative Zulässigkeitsregelungen geschaffen werden.

Für eine kurzfristige Umsetzung kommen in erster Linie die sogenannten Standardvertragsklauseln in Betracht1. Für die typischerweise als Auftragsverarbeitung einzuordnenden Cloud-Services sind die klassifizierten „Standardvertragsklauseln (Auftragsverarbeiter)“ heranzuziehen2. Diese sind „ready to use“. Zwingend zu beachten ist allerdings, dass diese Standardvertragsklauseln nicht verändert, sondern nur ausgefüllt werden dürfen, um ihre Wirkung zu entfalten.

Auch der Europäische Datenschutzausschuss (EDPB), ein Zusammenschluss der nationalen Datenschutzaufsichtsbehörden der EU-Mitgliedstaaten, weist auf den dringenden Handlungsbedarf hin. In seinem Informationspapier vom 12. Februar 2019 hat der EDPB die Verwendung der Standardvertragsklauseln ausdrücklich als „einsatzbereites Instrument“ bestätigt.3

Für Cloud-Services können sich darüber hinaus auch auf der zweiten Ebene Herausforderungen ergeben: Services, die durch den Cloud-Provider datenschutzrechtlich in UK angeboten wurden, nutzten häufig weitere Subunternehmer in Drittländern. Das Unternehmen im UK fungierte wie eine Art Brückenkopf. Der datenschutzrechtliche Grenzübertritt erfolgte erst auf der Ebene Auftragnehmer zu Subunternehmer. Nach dem Austritt ist dies bereits eine weitere Übermittlung in Drittländer. Hierfür ergeben sich aus der DSGVO und den EU-Standardverträgen unter Umständen weitere Anforderungen. Konsequenz: Die datenschutzrechtliche Neubewertung darf nicht auf die erste Auslagerungsebene beschränkt sein, sondern muss die gesamte nachfolgende Kette von Subunternehmer erfassen.

1 https://ec.europa.eu/info/law/law-topic/data-protection/data-transfers-outside-eu/model-contracts-transfer-personal-data-third-countries_de (Stand: 28.02.2019) 2 https://eur-lex.europa.eu/legal-content/en/TXT/?uri=CELEX%3A32010D0087 (Stand: 28.02.2019) 3 Information note über Datentransfers im Rahmen der DSGVO im Falle eines No-Deal-Brexits https://www.bfdi.bund.de/SharedDocs/Publikationen/DokumenteArt29Gruppe_EDSA/SonstigePapiere/EDSA_Info_NoDealBrexit_Arbeits%C3%BCbersetzung.html?nn=5217120, abgerufen 28.02.201

Autoren:

Rechtsanwalt Dr. Jens Eckhardt

dmp@derra-d.de

Rechtsanwältin Johanna Mäkert, LL.M. (Bukarest)

dmp@derra-b.de

Stand 03/2019

Der Brexit stellt deutsche Unternehmen auch beim Datenschutz vor Herausforderungen. Denn egal ob „Deal or no deal“: In beiden Fällen wird Großbritannien ab dem 30. März 2019 oder auch später zum Drittland im Sinne der DSGVO. Das zwingt Unternehmen dazu, ihre grenzüberschreitende Verarbeitung personenbezogener Daten zu prüfen, worauf jetzt der eco Verband hinweist. Die Empfehlung gilt auch für alle, die heute in irgendeiner Form Cloud-Dienste nutzen – vom E-Mail-Dienst über Online-Speicher bis hin zum Bezug von Dienstleistungen aus dem Ausland. EuroCloud Deutschland_eco e. V hat dazu einen kurzen Leitfaden erstellt, der kostenlos heruntergeladen werden kann.

Keine Karenz für Datentransfer nach UK

Die Datenschutz-Grundverordnung (DSGVO) gilt auch für die Nutzung von Cloud-Diensten. Sie erlaubt innerhalb der Europäischen Union (EU) eine grenzüberschreitende Verarbeitung personenbezogener Daten (Art. 1 Abs. 1, Artikel 44 ff. DSGVO). Durch den EU-Austritt ändert sich folglich die datenschutzrechtliche Behandlung des Datentransfers in das Vereinigte Königreich (UK). Dieser wird künftig unabhängig vom gestrigen Votum und vom Ausgang der Austrittsverhandlungen zwischen der EU und UK mit den Vorgaben für die Schweiz oder die USA vergleichbar sein.

Dies erfordert eine eigenständige zusätzliche Rechtsgrundlage für alle Datentransfers nach Groß-britannien, für deren Einhaltung jeweils das verarbeitende Unternehmen haftbar ist. Die Europäische Kommission hat zwar einen Angemessenheitsbeschluss gemäß Art. 45 DSGVO angekündigt. Bislang ist dieser jedoch noch nicht erfolgt und wird es bei einem zeitnahen „No-Deal-Brexit“ auch nicht sein. Verschärfend kommt hinzu, dass formaljuristisch keine Karenzzeit besteht. Ab dem Wirksamwerden des Austritts ist ein Datentransfer rechtswidrig und bußgeldbewehrt, wenn nicht die Vorgaben der Artikel 44 ff. DSGVO eingehalten sind oder im Brexit-Deal eine Übergangsregelung geschaffen wird. Ob ein geregelter Brexit oder ein „No-Deal-Brexit“ kommt, ist derzeit unklar. Um die Fortführung von Cloud-Services sicherzustellen, müssen daher alternative Zulässigkeitsregelungen geschaffen werden.

Für eine kurzfristige Umsetzung kommen in erster Linie die sogenannten Standardvertragsklauseln in Betracht1. Für die typischerweise als Auftragsverarbeitung einzuordnenden Cloud-Services sind die klassifizierten „Standardvertragsklauseln (Auftragsverarbeiter)“ heranzuziehen2. Diese sind „ready to use“. Zwingend zu beachten ist allerdings, dass diese Standardvertragsklauseln nicht verändert, sondern nur ausgefüllt werden dürfen, um ihre Wirkung zu entfalten.

Auch der Europäische Datenschutzausschuss (EDPB), ein Zusammenschluss der nationalen Datenschutzaufsichtsbehörden der EU-Mitgliedstaaten, weist auf den dringenden Handlungsbedarf hin. In seinem Informationspapier vom 12. Februar 2019 hat der EDPB die Verwendung der Standardvertragsklauseln ausdrücklich als „einsatzbereites Instrument“ bestätigt.3

Für Cloud-Services können sich darüber hinaus auch auf der zweiten Ebene Herausforderungen ergeben: Services, die durch den Cloud-Provider datenschutzrechtlich in UK angeboten wurden, nutzten häufig weitere Subunternehmer in Drittländern. Das Unternehmen im UK fungierte wie eine Art Brückenkopf. Der datenschutzrechtliche Grenzübertritt erfolgte erst auf der Ebene Auftragnehmer zu Subunternehmer. Nach dem Austritt ist dies bereits eine weitere Übermittlung in Drittländer. Hierfür ergeben sich aus der DSGVO und den EU-Standardverträgen unter Umständen weitere Anforderungen. Konsequenz: Die datenschutzrechtliche Neubewertung darf nicht auf die erste Auslagerungsebene beschränkt sein, sondern muss die gesamte nachfolgende Kette von Subunternehmer erfassen.

1 https://ec.europa.eu/info/law/law-topic/data-protection/data-transfers-outside-eu/model-contracts-transfer-personal-data-third-countries_de (Stand: 28.02.2019) 2 https://eur-lex.europa.eu/legal-content/en/TXT/?uri=CELEX%3A32010D0087 (Stand: 28.02.2019) 3 Information note über Datentransfers im Rahmen der DSGVO im Falle eines No-Deal-Brexits https://www.bfdi.bund.de/SharedDocs/Publikationen/DokumenteArt29Gruppe_EDSA/SonstigePapiere/EDSA_Info_NoDealBrexit_Arbeits%C3%BCbersetzung.html?nn=5217120, abgerufen 28.02.201

Autoren:

Rechtsanwalt Dr. Jens Eckhardt

dmp@derra-d.de

Rechtsanwältin Johanna Mäkert, LL.M. (Bukarest)

dmp@derra-b.de

Stand 03/2019

14 Mär
2019

Stolperfallen bei der Meldung von Datenschutzpannen

Nach den ersten Bußgeldern in Deutschland und Bußgeldern in Höhe von 50 Mio. und 400.000 EURO in anderen EU-Mitgliedstaaten ...

mehr lesen

Nach den ersten Bußgeldern in Deutschland und Bußgeldern in Höhe von 50 Mio. und 400.000 EURO in anderen EU-Mitgliedstaaten wird deutlich, dass Verstöße gegen die DS-GVO zu Bußgeldern führen. Gerade die Pflicht zur Meldung von Datenschutzpannen gegenüber der Datenschutzaufsichtsbehörde nimmt dabei eine besondere Rolle ein. Denn das Unternehmen muss selbst einen Vorfall mitteilen, der ein Bußgeld begründen kann. Sie müssen sich daher bereits im Vorfeld mit der Frage befassen "Wie reagiere ich bei einem Datenschutzvorfall und was muss ich beachten?"

Unser Kollege Dr. Jens Eckhart erläutert gemeinsam mit Bernd Fuhlert, @-yet GmbH, Stolperfallen bei der Meldung von Datenschutzpannen in einem Workshop am 21. März 2019 im Schloß Eicherhof in Leichlingen. Sie können sich anmelden unter https://www.add-yet.de/index.php/de/events/uebersicht. Der Workshop bietet einen komprimierten Überblick.

Stand: 03/2019

 

Nach den ersten Bußgeldern in Deutschland und Bußgeldern in Höhe von 50 Mio. und 400.000 EURO in anderen EU-Mitgliedstaaten wird deutlich, dass Verstöße gegen die DS-GVO zu Bußgeldern führen. Gerade die Pflicht zur Meldung von Datenschutzpannen gegenüber der Datenschutzaufsichtsbehörde nimmt dabei eine besondere Rolle ein. Denn das Unternehmen muss selbst einen Vorfall mitteilen, der ein Bußgeld begründen kann. Sie müssen sich daher bereits im Vorfeld mit der Frage befassen "Wie reagiere ich bei einem Datenschutzvorfall und was muss ich beachten?"

Unser Kollege Dr. Jens Eckhart erläutert gemeinsam mit Bernd Fuhlert, @-yet GmbH, Stolperfallen bei der Meldung von Datenschutzpannen in einem Workshop am 21. März 2019 im Schloß Eicherhof in Leichlingen. Sie können sich anmelden unter https://www.add-yet.de/index.php/de/events/uebersicht. Der Workshop bietet einen komprimierten Überblick.

Stand: 03/2019

 

13 Mär
2019

Fotos auf der eigenen Internetseite – mit der DS-GVO noch möglich?

Seit nun fast einem Jahr gilt die Datenschutz-Grundverordnung (DS-GVO) und immer noch herrscht bei vielen Fragen Rechtsunsicherheit.

mehr lesen

Seit nun fast einem Jahr gilt die Datenschutz-Grundverordnung (DS-GVO) und immer noch herrscht bei vielen Fragen Rechtsunsicherheit. So fragen sich beispielsweise Unternehmen und Vereine, Journalisten und Fotografen, unter welchen Voraussetzungen Fotos, auf denen Personen abgebildet sind, auf der eigenen Internetseite, in sozialen Medien oder Zeitungsberichten verwenden dürfen. Gelten dafür, wie bislang, die Vorschriften des Kunsturhebergesetzes (KunstUrhG) oder sind nun die Regelungen der DS-GVO zu beachten?

Diese Frage hat in der Praxis gravierende Auswirkungen. Das KunstUrhG stellt an die Veröffentlichung von Personenbildaufnahmen weitaus geringere Anforderungen als die DS-GVO. Wegen der zahlreichen Ausnahmen ist nach dem KunstUrhG regelmäßig keine Einwilligung der abgebildeten Personen erforderlich – und wenn doch, kann diese auch stillschweigend erklärt und nicht ohne Weiteres widerrufen werden. Dagegen fordert die DS-GVO eine ausdrückliche Einwilligung, die schriftlich nachzuweisen ist und jederzeit widerrufen werden kann, mit der Folge, dass jede weitere Verwendung unzulässig ist.

Europäische Datenschutz-Grundverordnung ist vorrangiges Recht

Welche Vorschriften sind nun zu beachten? Klar ist: Die DS-GVO genießt als europäisches Recht Anwendungsvorrang. Das heißt, dass das KunstUrhG nur ergänzend herangezogen werden kann, soweit die DS-GVO Lücken lässt. Solche können darin bestehen, dass den Mitgliedstaaten erlaubt wird, zu bestimmten Aspekten innerhalb eines gewissen Spielraums eigene Regelungen zu treffen (sog. Öffnungsklauseln).

Eine solche Öffnungsklausel findet sich in Art. 85 DS-GVO, der aber die Anwendung des KunstUrhG nicht ohne Weiteres erlaubt. Zum einen wird das KunstUrhG nicht von Art. 85 (1) DS-GVO erfasst. Danach dürfen Mitgliedstaaten eigene Regelungen zu treffen, um das Recht auf Datenschutz mit dem Recht auf freie Meinungsäußerung und Informationsfreiheit in Einklang bringen. Die nationalen Regelungen dürfen Lücken ausfüllen, der DS-GVO aber nicht widersprechen. Genau dies ist mit den Vorschriften des KunstUrhG zur Einwilligung jedoch der Fall.

Auch über Art. 85 (2) DS-GVO lässt sich das Problem nur teilweise lösen. Diese Regelung erlaubt einen Rückgriff auf das KunstUrhG, wenn die Veröffentlichung journalistischen, wissenschaftlichen, künstlerischen oder literarischen Zwecken dient. Diese Ausnahmen sind abschließend und erfassen beispielsweise Veröffentlichungen in Zeitungsberichten; für alle anderen Zwecke – und damit regelmäßig bei Veröffentlichungen auf der eigenen Internetseite oder in sozialen Medien – gelten die strengen Anforderungen der DS-GVO.

Leider ist nicht zu erwarten, dass der deutsche Gesetzgeber Abhilfe schaffen wird. Das Bundesministerium des Innern übersieht diese Problematik und hält an seiner kritikwürdigen Auffassung fest, das KunstUrhG sei nach wie vor ohne Weiteres auf die Veröffentlichung von Bildaufnahmen anzuwenden.

Nur mit Einholung einer Einwilligung rechtssichere Veröffentlichung möglich

Für eine möglichst rechtssichere Lösung sollte bei der Veröffentlichung von Bildaufnahmen daher grundsätzlich auf die DS-GVO abgestellt werden. Danach ist idealerweise eine Einwilligung der abgebildeten Person einzuholen und diese gemäß der DS-GVO über die damit verbundene Datenverarbeitung zu informieren. Gerade bei Aufnahmen mehrerer Personen kann dies erhebliche Schwierigkeiten bereiten. Zudem besteht die Gefahr, dass die Einwilligung widerrufen wird und das Bild dann nicht mehr verwendet werden darf.

Alternativ kann eine Veröffentlichung auf die Interessenabwägung nach Art. 6 Abs. 1 (f) DS-GVO gestützt werden, wenn sie zur Wahrung der berechtigten Interessen erforderlich ist. Die deutschen Aufsichtsbehörden halten dies beispielsweise bei Veröffentlichungen zum Zweck der eigenen Öffentlichkeitsarbeit für möglich. Allerdings besteht hier immer das Risiko, dass ein Gericht oder eine andere Aufsichtsbehörde diese Abwägung bei einer späteren Überprüfung anders anstellt und damit die Rechtsgrundlage entfällt.

Kurzum: Das KunstUrhG ist neben der DS-GVO nicht mehr ohne Weiteres anwendbar. Dient die Veröffentlichung von Personenbildnissen journalistischen, wissenschaftlichen, künstlerischen oder literarischen Zwecken, kann das KunstUrhG weiterhin angewendet werden. Veröffentlichungen zu anderen Zwecken sollten, um möglichst rechtssicher zu agieren, nach Maßgabe der DS-GVO erfolgen. Bis zu einer Klärung durch den EuGH wird diese Rechtsunsicherheit bestehen bleiben.

Rechtsanwältin Johanna Mäkert

Stand: 03/2019

Seit nun fast einem Jahr gilt die Datenschutz-Grundverordnung (DS-GVO) und immer noch herrscht bei vielen Fragen Rechtsunsicherheit. So fragen sich beispielsweise Unternehmen und Vereine, Journalisten und Fotografen, unter welchen Voraussetzungen Fotos, auf denen Personen abgebildet sind, auf der eigenen Internetseite, in sozialen Medien oder Zeitungsberichten verwenden dürfen. Gelten dafür, wie bislang, die Vorschriften des Kunsturhebergesetzes (KunstUrhG) oder sind nun die Regelungen der DS-GVO zu beachten?

Diese Frage hat in der Praxis gravierende Auswirkungen. Das KunstUrhG stellt an die Veröffentlichung von Personenbildaufnahmen weitaus geringere Anforderungen als die DS-GVO. Wegen der zahlreichen Ausnahmen ist nach dem KunstUrhG regelmäßig keine Einwilligung der abgebildeten Personen erforderlich – und wenn doch, kann diese auch stillschweigend erklärt und nicht ohne Weiteres widerrufen werden. Dagegen fordert die DS-GVO eine ausdrückliche Einwilligung, die schriftlich nachzuweisen ist und jederzeit widerrufen werden kann, mit der Folge, dass jede weitere Verwendung unzulässig ist.

Europäische Datenschutz-Grundverordnung ist vorrangiges Recht

Welche Vorschriften sind nun zu beachten? Klar ist: Die DS-GVO genießt als europäisches Recht Anwendungsvorrang. Das heißt, dass das KunstUrhG nur ergänzend herangezogen werden kann, soweit die DS-GVO Lücken lässt. Solche können darin bestehen, dass den Mitgliedstaaten erlaubt wird, zu bestimmten Aspekten innerhalb eines gewissen Spielraums eigene Regelungen zu treffen (sog. Öffnungsklauseln).

Eine solche Öffnungsklausel findet sich in Art. 85 DS-GVO, der aber die Anwendung des KunstUrhG nicht ohne Weiteres erlaubt. Zum einen wird das KunstUrhG nicht von Art. 85 (1) DS-GVO erfasst. Danach dürfen Mitgliedstaaten eigene Regelungen zu treffen, um das Recht auf Datenschutz mit dem Recht auf freie Meinungsäußerung und Informationsfreiheit in Einklang bringen. Die nationalen Regelungen dürfen Lücken ausfüllen, der DS-GVO aber nicht widersprechen. Genau dies ist mit den Vorschriften des KunstUrhG zur Einwilligung jedoch der Fall.

Auch über Art. 85 (2) DS-GVO lässt sich das Problem nur teilweise lösen. Diese Regelung erlaubt einen Rückgriff auf das KunstUrhG, wenn die Veröffentlichung journalistischen, wissenschaftlichen, künstlerischen oder literarischen Zwecken dient. Diese Ausnahmen sind abschließend und erfassen beispielsweise Veröffentlichungen in Zeitungsberichten; für alle anderen Zwecke – und damit regelmäßig bei Veröffentlichungen auf der eigenen Internetseite oder in sozialen Medien – gelten die strengen Anforderungen der DS-GVO.

Leider ist nicht zu erwarten, dass der deutsche Gesetzgeber Abhilfe schaffen wird. Das Bundesministerium des Innern übersieht diese Problematik und hält an seiner kritikwürdigen Auffassung fest, das KunstUrhG sei nach wie vor ohne Weiteres auf die Veröffentlichung von Bildaufnahmen anzuwenden.

Nur mit Einholung einer Einwilligung rechtssichere Veröffentlichung möglich

Für eine möglichst rechtssichere Lösung sollte bei der Veröffentlichung von Bildaufnahmen daher grundsätzlich auf die DS-GVO abgestellt werden. Danach ist idealerweise eine Einwilligung der abgebildeten Person einzuholen und diese gemäß der DS-GVO über die damit verbundene Datenverarbeitung zu informieren. Gerade bei Aufnahmen mehrerer Personen kann dies erhebliche Schwierigkeiten bereiten. Zudem besteht die Gefahr, dass die Einwilligung widerrufen wird und das Bild dann nicht mehr verwendet werden darf.

Alternativ kann eine Veröffentlichung auf die Interessenabwägung nach Art. 6 Abs. 1 (f) DS-GVO gestützt werden, wenn sie zur Wahrung der berechtigten Interessen erforderlich ist. Die deutschen Aufsichtsbehörden halten dies beispielsweise bei Veröffentlichungen zum Zweck der eigenen Öffentlichkeitsarbeit für möglich. Allerdings besteht hier immer das Risiko, dass ein Gericht oder eine andere Aufsichtsbehörde diese Abwägung bei einer späteren Überprüfung anders anstellt und damit die Rechtsgrundlage entfällt.

Kurzum: Das KunstUrhG ist neben der DS-GVO nicht mehr ohne Weiteres anwendbar. Dient die Veröffentlichung von Personenbildnissen journalistischen, wissenschaftlichen, künstlerischen oder literarischen Zwecken, kann das KunstUrhG weiterhin angewendet werden. Veröffentlichungen zu anderen Zwecken sollten, um möglichst rechtssicher zu agieren, nach Maßgabe der DS-GVO erfolgen. Bis zu einer Klärung durch den EuGH wird diese Rechtsunsicherheit bestehen bleiben.

Rechtsanwältin Johanna Mäkert

Stand: 03/2019

14 Jan
2019

DSGVO: Haben Werbe-Einwilligungen ein Verfallsdatum?

Wie lange dürfen Daten für Direktwerbung verwendet werden? Für Datenschützer verfällt eine Werbe-Einwilligung nicht bei regelmäßiger Verwendung.

mehr lesen

Wie lange dürfen Daten für Direktwerbung verwendet werden? Für Datenschützer verfällt eine Werbe-Einwilligung nicht bei regelmäßiger Verwendung. Erfahren Sie mehr zu diesem Thema im Beitrag von unserem Kollegen Dr. Jens Eckhardt.

Wie lange dürfen Daten für Direktwerbung verwendet werden? Für Datenschützer verfällt eine Werbe-Einwilligung nicht bei regelmäßiger Verwendung. Erfahren Sie mehr zu diesem Thema im Beitrag von unserem Kollegen Dr. Jens Eckhardt.

17 Dez
2018

Datenschutz-Orientierungshilfe Direktwerbung

Seit über einem halben Jahr ist die DSGVO in Kraft. Die deutschen Datenschutzaufsichtsbehörden haben im November 2018 eine Orientierungshilfe zur Verarbeitung von personenbezogenen Daten für Zwecke der Direktwerbung veröffentlicht.

mehr lesen
12 Nov
2018

Verstöße gegen die Datenschutz-Grundverordnung als Wettbewerbsverstoß

Die Frage, ob Verstöße gegen die Datenschutz-Grundverordnung gleichzeitig eine Wettbewerbsverletzung darstellen und als solche verfolgt werden können, wird kontrovers diskutiert.

mehr lesen

Die Frage, ob Verstöße gegen die Datenschutz-Grundverordnung gleichzeitig eine Wettbewerbsverletzung darstellen und als solche verfolgt werden können, wird kontrovers diskutiert. Eine aktuelle Entscheidung des Oberlandesgerichts Hamburg (Urteil vom 25.10.2018, 3 U 66/17) weist jedoch neue Tendenzen auf. 

Nach Auffassung des OLG Hamburg  können Verstöße gegen die Bestimmungen der Datenschutz-Grundverordnung (DS-GVO) abmahnfähige Wettbewerbsverletzungen darstellen und somit gemäß den Bestimmungen des Gesetzes gegen den unlauteren Wettbewerb (UWG) von Mitbewerbern gerichtlich verfolgt werden. Das OLG Hamburg präzisierte jedoch, dass im Rahmen der Prüfung stets festzustellen ist, ob die von der DS-GVO gezogenen Grenzen jedenfalls auch den Schutz des Marktverhaltens bezweckten.

Klagebefugnis des Mitbewerbers

In seiner ausführlichen Begründung  bejaht das Gericht eine Klagebefugnis nach UWG sowohl in Bezug auf die Datenschutz-Richtlinie (DS-RL) als auch in Bezug auf die DS-GVO. In dem Urteil heißt es hierzu:

Die DS-RL enthält erkennbar kein abschließendes Sanktionssystem, das einer zivilrechtlich begründeten Verfolgung von Verletzungen der Datenschutzvorschriften durch Mitbewerber nach § 8 Abs. 1 und Abs. 3 Nr. 1 UWG entgegenstünde. Trotz der mit der Richtlinie beabsichtigten Vollharmonisierung [...] ist mit der Richtlinie kein abschließendes Rechtsbehelfssystem festgelegt worden […]

Die Klägerin ist aber auch unter der Geltung der DS-GVO klagebefugt. Der Senat ist […] nicht der Ansicht, dass die DS-GVO ein abgeschlossenes Sanktionssystem enthält, das die Verfolgung datenschutzrechtlicher Verletzungshandlungen auf lauterkeitsrechtlicher Grundlage durch Mitbewerber ausschlösse.

Das OLG Hamburg argumentiert, dass die Sanktionsregelungen in der DS-GVO keinen abschließenden Charakter in Bezug auf die Rechtsdurchsetzung durch andere hat. Das Gesetz schließt nach Auffassung des Gerichts die Verfolgung von datenschutzrechtlichen Verletzungshandlungen durch andere als die „betroffenen Personen“, deren Daten verarbeitet werden, nicht aus. Es geht davon aus, dass die DS-GVO nur einen Mindeststandard an Sanktionen vorsieht und wegen anderweitiger, in der DS-GVO selbst nicht geregelter Rechtsbehelfe und Sanktionen offen gestaltet ist.

Zum gleichen Ergebnis, indes ohne Begründung, kam bereits das Landgericht Würzburg in seinem Beschluss vom 13.09.2018 (11 O 1741/18).

Hingegen hatte das Landgericht Bochum in seinem Urteil vom 07.08.2018 (I-12 O 85/18) keine Wettbewerbsverletzung bei Verstößen gegen Vorschriften der DS-GVO angenommen. Das Gericht ging vielmehr davon aus, dass die DS-GVO in den Artt. 77 bis 84 DS-GVO eine die Ansprüche von Mitbewerbern ausschließende, abschließende Regelung enthält, weil sie den anspruchsberechtigten Personenkreis bestimmt und daraus zu schließen ist, dass der Unionsgesetzgeber eine Erstreckung auf Mitbewerber des Verletzers nicht zulassen wollte. 

DS-GVO-Norm muss marktverhaltensregelnd nach § 3a UWG sein

Das OLG Hamburg stellte in seinem Urteil - neben der grundsätzlichen Befugnis zur Verfolgung wettbewerbsrechtlicher Ansprüche durch Mitbewerber bei Verstößen gegen die Vorschriften der DS-GVO – auch fest, dass Datenschutzverstöße nicht immer zu einem Entstehen eines wettbewerbsrechtlichen Unterlassungsanspruchs führen. Es kommt nach Auffassung der Richter darauf an, dass die in Rede stehende, datenschutzrechtliche Norm eine marktverhaltensregelnde Norm im Sinne des § 3a UWG ist. Dies sei stets im Einzelfall zu prüfen.

Im konkreten Fall verstieß die Handlung der Beklagten zwar gegen § 28 Abs. 7 BDSG a.F. Bei der Norm handelte es sich jedoch nicht um marktverhaltensregelnde Normen im Sinne des § 3a UWG, sodass der Klägerin kein Unterlassungsanspruch zustand.

Kurzum

Durch das Urteil des OLG Hamburg steigt das Risiko für Unternehmen von Mitbewerbern wegen Verstößen gegen die Datenschutz-Grundverordnung abgemahnt zu werden. Allerdings ist zu konstatieren, dass die – auch weiterhin hoch umstrittene – Frage der Klagebefugnis noch einer abschließenden, höchstrichterlichen Klärung bedarf.

 

Autoren:

Rechtsanwalt Nils Steffen    

dmp@derra-ul.de

                                       

Rechtsanwalt Dr. Jens Eckhardt

dmp@derra-d.de

 

Stand 11/2018

Die Frage, ob Verstöße gegen die Datenschutz-Grundverordnung gleichzeitig eine Wettbewerbsverletzung darstellen und als solche verfolgt werden können, wird kontrovers diskutiert. Eine aktuelle Entscheidung des Oberlandesgerichts Hamburg (Urteil vom 25.10.2018, 3 U 66/17) weist jedoch neue Tendenzen auf. 

Nach Auffassung des OLG Hamburg  können Verstöße gegen die Bestimmungen der Datenschutz-Grundverordnung (DS-GVO) abmahnfähige Wettbewerbsverletzungen darstellen und somit gemäß den Bestimmungen des Gesetzes gegen den unlauteren Wettbewerb (UWG) von Mitbewerbern gerichtlich verfolgt werden. Das OLG Hamburg präzisierte jedoch, dass im Rahmen der Prüfung stets festzustellen ist, ob die von der DS-GVO gezogenen Grenzen jedenfalls auch den Schutz des Marktverhaltens bezweckten.

Klagebefugnis des Mitbewerbers

In seiner ausführlichen Begründung  bejaht das Gericht eine Klagebefugnis nach UWG sowohl in Bezug auf die Datenschutz-Richtlinie (DS-RL) als auch in Bezug auf die DS-GVO. In dem Urteil heißt es hierzu:

Die DS-RL enthält erkennbar kein abschließendes Sanktionssystem, das einer zivilrechtlich begründeten Verfolgung von Verletzungen der Datenschutzvorschriften durch Mitbewerber nach § 8 Abs. 1 und Abs. 3 Nr. 1 UWG entgegenstünde. Trotz der mit der Richtlinie beabsichtigten Vollharmonisierung [...] ist mit der Richtlinie kein abschließendes Rechtsbehelfssystem festgelegt worden […]

Die Klägerin ist aber auch unter der Geltung der DS-GVO klagebefugt. Der Senat ist […] nicht der Ansicht, dass die DS-GVO ein abgeschlossenes Sanktionssystem enthält, das die Verfolgung datenschutzrechtlicher Verletzungshandlungen auf lauterkeitsrechtlicher Grundlage durch Mitbewerber ausschlösse.

Das OLG Hamburg argumentiert, dass die Sanktionsregelungen in der DS-GVO keinen abschließenden Charakter in Bezug auf die Rechtsdurchsetzung durch andere hat. Das Gesetz schließt nach Auffassung des Gerichts die Verfolgung von datenschutzrechtlichen Verletzungshandlungen durch andere als die „betroffenen Personen“, deren Daten verarbeitet werden, nicht aus. Es geht davon aus, dass die DS-GVO nur einen Mindeststandard an Sanktionen vorsieht und wegen anderweitiger, in der DS-GVO selbst nicht geregelter Rechtsbehelfe und Sanktionen offen gestaltet ist.

Zum gleichen Ergebnis, indes ohne Begründung, kam bereits das Landgericht Würzburg in seinem Beschluss vom 13.09.2018 (11 O 1741/18).

Hingegen hatte das Landgericht Bochum in seinem Urteil vom 07.08.2018 (I-12 O 85/18) keine Wettbewerbsverletzung bei Verstößen gegen Vorschriften der DS-GVO angenommen. Das Gericht ging vielmehr davon aus, dass die DS-GVO in den Artt. 77 bis 84 DS-GVO eine die Ansprüche von Mitbewerbern ausschließende, abschließende Regelung enthält, weil sie den anspruchsberechtigten Personenkreis bestimmt und daraus zu schließen ist, dass der Unionsgesetzgeber eine Erstreckung auf Mitbewerber des Verletzers nicht zulassen wollte. 

DS-GVO-Norm muss marktverhaltensregelnd nach § 3a UWG sein

Das OLG Hamburg stellte in seinem Urteil - neben der grundsätzlichen Befugnis zur Verfolgung wettbewerbsrechtlicher Ansprüche durch Mitbewerber bei Verstößen gegen die Vorschriften der DS-GVO – auch fest, dass Datenschutzverstöße nicht immer zu einem Entstehen eines wettbewerbsrechtlichen Unterlassungsanspruchs führen. Es kommt nach Auffassung der Richter darauf an, dass die in Rede stehende, datenschutzrechtliche Norm eine marktverhaltensregelnde Norm im Sinne des § 3a UWG ist. Dies sei stets im Einzelfall zu prüfen.

Im konkreten Fall verstieß die Handlung der Beklagten zwar gegen § 28 Abs. 7 BDSG a.F. Bei der Norm handelte es sich jedoch nicht um marktverhaltensregelnde Normen im Sinne des § 3a UWG, sodass der Klägerin kein Unterlassungsanspruch zustand.

Kurzum

Durch das Urteil des OLG Hamburg steigt das Risiko für Unternehmen von Mitbewerbern wegen Verstößen gegen die Datenschutz-Grundverordnung abgemahnt zu werden. Allerdings ist zu konstatieren, dass die – auch weiterhin hoch umstrittene – Frage der Klagebefugnis noch einer abschließenden, höchstrichterlichen Klärung bedarf.

 

Autoren:

Rechtsanwalt Nils Steffen    

dmp@derra-ul.de

                                       

Rechtsanwalt Dr. Jens Eckhardt

dmp@derra-d.de

 

Stand 11/2018

06 Nov
2018

Widerruf und Datenlöschung gemäß DSGVO

Widerruf der Einwilligung und Löschverlangen: Was nun? Was änderte sich durch die DSGVO? Daten zum Zulässigkeitsnachweis müssen nicht gelöscht werden.

mehr lesen
12 Okt
2018

Nach dem Hack: Muss Facebook Schadensersatz zahlen?

50 Millionen Facebook-Konten sind gehakt worden. Die irische Datenschutzkommission will nun herausfinden, ob sich das Unternehmen an die EU-Regeln zum Schutz der Privatsphäre gehalten hat. Doch worum geht es dabei eigentlich?

mehr lesen
04 Sep
2018

DSGVO-Mythos „Berechtigtes Interesse genügt“

Im E-Mail Marketing hält sich im Zusammenhang mit der DSGVO der Mythos „Berechtigtes Interesse genügt“. Nötig ist eine differenzierte Betrachtung.

mehr lesen
07 Mai
2018

Interview von Dr. Jens Eckhardt beim CSA Summit 2018

Am 19.04.2018 fand in Frankfurt der jährliche CSA Summit 2018 statt, ein Projekt des eco – Verband der Internetwirtschaft e.V.

mehr lesen

Am 19.04.2018 fand in Frankfurt der jährliche CSA Summit 2018 statt, ein Projekt des eco – Verband der Internetwirtschaft e.V. Anlässlich dieser Veranstaltung gab unsere Kollege Dr. Jens Eckhardt dem italienischen Online-Magazin Inside Marketing ein Interview in englischer Sprache. Thema waren Einschätzungen zu den Auswirkungen der Datenschutz-Grundverordnung auf den elektronischen Schriftverkehr und das Email-Marketing.

Die Certified Senders Alliance (CSA) ist eine neutrale Schnittstelle zwischen Mailboxprovidern und Versendern kommerzieller E-Mails und stellt auf Grundlage geltenden Rechts und technischer Anforderungen rechtliche und technische Qualitätsstandards zur Verfügung mit dem Ziel, die Qualität kommerzieller E-Mails zu erhöhen.

Hier gelangen Sie zum Interview:

https://www.insidemarketing.it/eventi/csa-summit-2018/

Am 19.04.2018 fand in Frankfurt der jährliche CSA Summit 2018 statt, ein Projekt des eco – Verband der Internetwirtschaft e.V. Anlässlich dieser Veranstaltung gab unsere Kollege Dr. Jens Eckhardt dem italienischen Online-Magazin Inside Marketing ein Interview in englischer Sprache. Thema waren Einschätzungen zu den Auswirkungen der Datenschutz-Grundverordnung auf den elektronischen Schriftverkehr und das Email-Marketing.

Die Certified Senders Alliance (CSA) ist eine neutrale Schnittstelle zwischen Mailboxprovidern und Versendern kommerzieller E-Mails und stellt auf Grundlage geltenden Rechts und technischer Anforderungen rechtliche und technische Qualitätsstandards zur Verfügung mit dem Ziel, die Qualität kommerzieller E-Mails zu erhöhen.

Hier gelangen Sie zum Interview:

https://www.insidemarketing.it/eventi/csa-summit-2018/

06 Mär
2018

Fragebogen für Unternehmen – Vorbereitung zur Umsetzung der DS-GVO

Speziell für Unternehmen haben wir den Fragenbogen DS-GVO „Readiness Check“ erstellt - als Vorbereitung zur Umsetzung der zum 25.05.2018 in Kraft tretenden DS-Grundverordnung.

mehr lesen

Speziell für Unternehmen haben wir den Fragenbogen DS-GVO „Readiness Check“ erstellt - als Vorbereitung zur Umsetzung der zum 25.05.2018 in Kraft tretenden DS-Grundverordnung. Der Fragebogen soll Ihnen dabei behilflich sein, sich einen Überblick zum Status quo Ihres Unternehmens in Bezug auf die Datenschutz-Grundverordnung (DS-GVO) zu verschaffen, und soll im Anschluss die Grundlage für die Entwicklung einer Umsetzungsstrategie bilden.

Unsere Experten im Datenschutzrecht übernehmen gerne die Auswertung des Fragebogens und die sich anschließende Erstellung und Implementierung eines speziell auf die Bedürfnisse Ihres Unternehmens abgestimmten und gegebenenfalls phasenweise zu realisierenden Umsetzungsmodells.

Zum Fragebogen DS-GVO „Readiness Check“ gelangen Sie hier:
Fragebogen DS-GVO „Readiness Check“

Rechtsanwalt Dr. Jens Eckhardt
dmp@derra-d.de
Stand 03/2018

Speziell für Unternehmen haben wir den Fragenbogen DS-GVO „Readiness Check“ erstellt - als Vorbereitung zur Umsetzung der zum 25.05.2018 in Kraft tretenden DS-Grundverordnung. Der Fragebogen soll Ihnen dabei behilflich sein, sich einen Überblick zum Status quo Ihres Unternehmens in Bezug auf die Datenschutz-Grundverordnung (DS-GVO) zu verschaffen, und soll im Anschluss die Grundlage für die Entwicklung einer Umsetzungsstrategie bilden.

Unsere Experten im Datenschutzrecht übernehmen gerne die Auswertung des Fragebogens und die sich anschließende Erstellung und Implementierung eines speziell auf die Bedürfnisse Ihres Unternehmens abgestimmten und gegebenenfalls phasenweise zu realisierenden Umsetzungsmodells.

Zum Fragebogen DS-GVO „Readiness Check“ gelangen Sie hier:
Fragebogen DS-GVO „Readiness Check“

Rechtsanwalt Dr. Jens Eckhardt
dmp@derra-d.de
Stand 03/2018

21 Feb
2018

Datenschutz-Grundverordnung – der italienische Weg

Italien hat es schon immer ernst genommen mit dem Datenschutz; zumindest formal: das bisherige nationale Datenschutzrecht galt als strenger

mehr lesen

Italien hat es schon immer ernst genommen mit dem Datenschutz; zumindest formal: das bisherige nationale Datenschutzrecht galt als strenger als das, was nun auf der Grundlage der Datenschutz-Grundverordnung (DSGVO) spätestens ab 25. Mai 2018 europäischer Standard werden soll. Und so wundert es eigentlich wenig, dass der italienische Gesetzgeber versucht, den bisherigen, nationalen Weg weiterzugehen.

Während der Gedankengang nach der DSGVO der ist, die Prüfung der „berechtigen Interessen“ für die Erhebung, Speicherung und Verarbeitung (sensibler) Daten in die Hand (und in die Verantwortung) desjenigen zu legen, der die Daten erhebt, speichert und verarbeitet, scheint der italienische Gesetzgeber diese Verantwortung zumindest teilweise auf den Kopf stellen zu wollen: Im Haushaltsgesetz 2018, zumal an versteckter Stelle (nämlich im Abschnitt 1020-1023), findet sich eine Vorschrift, wonach die italienische Datenschutzbehörde „Garante per la protezione dei dati personali“ ein Formular samt „Leitlinien“ vorzulegen hat, auf deren Grundlage derjenige, der Daten ohne ausdrückliche Einwilligung des Betroffenen aufgrund eines „berechtigten Interesses“ erhebt, speichert und verarbeitet, dies der Aufsichtsbehörde mitzuteilen hat, bevor er die Daten erhebt. Danach hat die Aufsichtsbehörde 15 Tage Zeit, die Berechtigung der „Interesses“ zu prüfen und ggf. die Erhebung ohne Einwilligung zu stoppen. Geschieht dies nicht innerhalb der Frist (was eher wahrscheinlich ist), kann der „Berechtigte“ ohne Zustimmung desjenigen, dessen Daten erhoben werden sollen, loslegen.

Auf den ersten Blick wird dadurch der mit der DSGVO gewollte Schutz der persönlichen Daten im Dschungel der italienischen Bürokratie möglichweise auf den Kopf gestellt. Man darf daher gespannt sein, wie die vom „Garante“ bis Ende Februar 2018 herauszugebenden Leitlinien aussehen anhand derer dann entschieden werden muss, ob formal die Einwilligung des Betroffenen oder das Plazet des „Garante“ zur Erhebung der Daten einzuholen ist. Aber bereits jetzt werden Bedenken gegen diesen italienischen Weg geäußert: man fragt sich, ob dieser Ansatz mit der DSGVO kompatibel ist.

Rechtsanwalt Karl-Heinz Lauser

dmp.milano@derra.it

Stand: 02/2018

Italien hat es schon immer ernst genommen mit dem Datenschutz; zumindest formal: das bisherige nationale Datenschutzrecht galt als strenger als das, was nun auf der Grundlage der Datenschutz-Grundverordnung (DSGVO) spätestens ab 25. Mai 2018 europäischer Standard werden soll. Und so wundert es eigentlich wenig, dass der italienische Gesetzgeber versucht, den bisherigen, nationalen Weg weiterzugehen.

Während der Gedankengang nach der DSGVO der ist, die Prüfung der „berechtigen Interessen“ für die Erhebung, Speicherung und Verarbeitung (sensibler) Daten in die Hand (und in die Verantwortung) desjenigen zu legen, der die Daten erhebt, speichert und verarbeitet, scheint der italienische Gesetzgeber diese Verantwortung zumindest teilweise auf den Kopf stellen zu wollen: Im Haushaltsgesetz 2018, zumal an versteckter Stelle (nämlich im Abschnitt 1020-1023), findet sich eine Vorschrift, wonach die italienische Datenschutzbehörde „Garante per la protezione dei dati personali“ ein Formular samt „Leitlinien“ vorzulegen hat, auf deren Grundlage derjenige, der Daten ohne ausdrückliche Einwilligung des Betroffenen aufgrund eines „berechtigten Interesses“ erhebt, speichert und verarbeitet, dies der Aufsichtsbehörde mitzuteilen hat, bevor er die Daten erhebt. Danach hat die Aufsichtsbehörde 15 Tage Zeit, die Berechtigung der „Interesses“ zu prüfen und ggf. die Erhebung ohne Einwilligung zu stoppen. Geschieht dies nicht innerhalb der Frist (was eher wahrscheinlich ist), kann der „Berechtigte“ ohne Zustimmung desjenigen, dessen Daten erhoben werden sollen, loslegen.

Auf den ersten Blick wird dadurch der mit der DSGVO gewollte Schutz der persönlichen Daten im Dschungel der italienischen Bürokratie möglichweise auf den Kopf gestellt. Man darf daher gespannt sein, wie die vom „Garante“ bis Ende Februar 2018 herauszugebenden Leitlinien aussehen anhand derer dann entschieden werden muss, ob formal die Einwilligung des Betroffenen oder das Plazet des „Garante“ zur Erhebung der Daten einzuholen ist. Aber bereits jetzt werden Bedenken gegen diesen italienischen Weg geäußert: man fragt sich, ob dieser Ansatz mit der DSGVO kompatibel ist.

Rechtsanwalt Karl-Heinz Lauser

dmp.milano@derra.it

Stand: 02/2018

22 Jan
2018

Sind Sie vorbereitet?

Die neue EU-Datenschutzgrundverordnung

Die Uhr tickt. Noch haben Unternehmen, Einrichtungen und Organisationen ein halbes Jahr Zeit, sich fit zu machen und die neue Datenschutz-Grundverordnung (DS-GVO) umzusetzen.

mehr lesen
15 Nov
2017

IHK Ostwürttemberg - Herausforderung EU-Datenschutz-Grundverordnung

Am 25. Mai 2018 tritt die EU-Datenschutz-Grundverordnung in Kraft. Nach diesem Tag kann Gewerbetreibende ein Verstoß gegen die neuen gesetzlichen Vorgaben bei der Verarbeitung personenbezogener Daten teuer zu stehen kommen. Am 8. November 2017 informierte die IHK Ostwürttemberg ihre Mitglieder zu diesem Thema. Lesen Sie hier die Pressemitteilung der IHK.

Pressemitteilung
19 Okt
2017

Ein Überblick über die EU-Datenschutz-Grundverordnung anhand von 20 Fragen und 20 Antworten

Verschaffen Sie sich einen schnellen Überblick über die wichtigsten Aspekte der demnächst in Kraft tretenden EU-Datenschutz-Grundverordnung.

mehr lesen

Verschaffen Sie sich einen schnellen Überblick über die wichtigsten Aspekte der demnächst in Kraft tretenden EU-Datenschutz-Grundverordnung. Unsere Experten haben alles Wesentliche, was Sie über den Regelungsgehalt der Verordnung und die bevorstehenden Rechtsänderungen wissen müssen, in 20 Fragen und Antworten zusammengestellt.

Verschaffen Sie sich einen schnellen Überblick über die wichtigsten Aspekte der demnächst in Kraft tretenden EU-Datenschutz-Grundverordnung. Unsere Experten haben alles Wesentliche, was Sie über den Regelungsgehalt der Verordnung und die bevorstehenden Rechtsänderungen wissen müssen, in 20 Fragen und Antworten zusammengestellt.

11 Okt
2017

Alles neu im Datenschutz

Lesen Sie den Beitrag unseres Kollegen Dr. Eckhardt „Die gesetzlichen Vorgaben bei der Verarbeitung personenbezogener Daten sind eine Herausforderung für den Mittelstand“ im aktuellen IHK Magazin „Wirtschaft in Ostwürttemberg“. Einen Link zu der IHK-Veranstaltung „Der Countdown läuft: Die neue EU-Datenschutz-Grundverordnung kommt!“am 08.11.2017 finden Sie unter unserer Rubrik Veranstaltungen.

mehr lesen
10 Okt
2017

„Digitalisierung - Mit Fokus auf IT-Sicherheit“ – Sonderbeilage zur DIE WELT

Das Thema Digitalisierung nimmt in unserer Wirtschaftswelt eine immer größere Bedeutung ein. Die Tageszeitung „Die Welt“ hat dieses Thema in der Sonderbeilage „Digitalisierung - Mit Fokus auf IT-Sicherheit“ aufgegriffen, auf die wir gerne verweisen möchten. Lesen Sie u.a. im Advertorial der DIRO AG auf Seite 9 eine Stellungnahme unseres Kollegen Dr. Eckhardt zu Compliance und EU-Datenschutz-Recht.

mehr lesen
07 Aug
2017

Verzeichnis von Verarbeitungstätigkeiten gemäß der Datenschutz-Grundverordnung

Die EU-Datenschutz-Grundverordnung gilt ab 25. Mai 2018. Bis dahin müssen alle Regelungen der Verordnung in die gesamten unternehmerischen Prozessabläufe implementiert werden (Beitrag in englischer Sprache).

mehr lesen

Veranstaltungen

08 Okt
2019

Fortbildungsveranstaltung: IT-Sicherheitsmanagement aus Sicht der DS-GVO

Referent:
Dr. Jens Eckhardt

Ort:
Berlin

Programm und Anmeldung
28 Jun
2019
03 Jun
2019

21. Fachkonferenz DuD 2019 - Ein Jahr Datenschutzgrundverordnung - erste Erfahrungen

Referent:
Dr. Jens Eckhardt

Ort:
Berlin

Veranstaltungszeitraum:
03.06.2019 bis 05.06.2019

Programm und Anmeldung
26 Mär
2019

Anforderungen & praktische Umsetzung der DS-GVO

Referent:
Nils Steffen

Ort:
Frankfurt

Veranstaltungszeitraum:
26.03.2019 bis 27.03.2019

Programm und Anmeldung
25 Mär
2019

Die Datenschutz-Grundverordnung im Überblick

Referent:
Dr. Jens Eckhardt

Ort:
Frankfurt

Programm und Anmeldung
21 Mär
2019

Bußgeldwelle statt Abmahnwelle - Vermeiden Sie Stolperfallen bei der Meldung von Datenschutzpannen!

Referent:
Dr. Jens Eckhardt

Ort:
Leichlingen

Programm und Anmeldung
19 Mär
2019

Düsseldorfer Restrukturierungsforum - Daten und Gläubiger schützen. Unvereinbar?

Referent:
Dr. Jens Eckhardt

Ort:
Düsseldorf

Programm und Anmeldung
11 Mär
2019

Haftungsfragen des Verantwortlichen – Welche Angriffe drohen?

Referent:
Konrad Menz, Dr. Jens Eckhardt

Ort:
Düsseldorf

Programm und Anmeldung

Publikationen