Datenschutzrecht

Das Datenschutzrecht hat in der jüngeren Vergangenheit stark an Bedeutung im Unternehmensalltag gewonnen. In jedem Unternehmensbereich – Abwicklung von Kundengeschäften, Lieferantenbeziehungen, Online- und Direktmarketing, Fraud Prevention und in jeder Hinsicht in Bezug auf Beschäftigte – spielt das Datenschutzrecht eine Rolle. Auch in der Öffentlichkeit und bei Vertragspartnern hat das Thema Datenschutz als Erwartungshaltung gegenüber einem Unternehmen einen eigenständigen Stellenwert eingenommen – und das nicht erst durch öffentlichkeitswirksame Bußgeldverfahren.

Damit ist das Datenschutzrecht zu einem zwingenden Bestandteil jeder Unternehmensorganisation und Compliance-Strategie geworden und bei unternehmerischen Entscheidungen und Gestaltungen mit zu berücksichtigen.

Am 25.05.2016 ist die sog. EU-Datenschutz-Grundverordnung (DS-GVO) in Kraft getreten. Bis zum 25.05.2018 muss jede Verarbeitung personenbezogener Daten mit den Vorgaben der Datenschutz-Grundverordnung in Einklang gebracht sein – eine Aufgabe, der mit Blick auf den deutlich erhöhten Bußgeldrahmen für Verstöße gegen Datenschutzbestimmungen eine besondere Bedeutung zukommt.

Die Beratungsleistungen unserer Rechtsanwälte für Datenschutzrecht:

Wir von Derra, Meyer & Partner haben das Datenschutzrecht in den Fokus unserer Tätigkeitsbereiche gestellt und bieten Ihnen umfassende rechtliche Beratung und Unterstützung an. Hier einige Beispiele für unsere Beratungsinhalte:

  • Compliance-Check im Datenschutz
  • Anpassung der Datenverarbeitung in Ihrem Unternehmen an die Anforderungen der Datenschutz-Grundverordnung (DS-GVO)
  • Stellungnahmen und Bewertungen zum Nachweis datenschutzrechtskonformer Datenverarbeitung und neuer Geschäftsideen – und -modelle
  • Unterstützung beim Aufbau und Durchführung offline- und online-Marketingmaßnahmen einschließlich Data Driven Marketing und Customer Relationship Management (CRM)-Systemen
  • Datenschutz im Internet und datenschutzkonforme Gestaltung von Internetauftritten, Online-Shops und Online-Portalen
  • Begleitung von Projekten im Rahmen von Industrie 4.0, Machine2Machine Communication und Internet of Things
  • Einführung und Nutzung von – insbesondere grenzüberschreitenden – Cloud Services insbesondere von „Infrastructure as a Service“ über „Communication/Collaboration as a Service“ bis „Business Process as a Service“
  • Datenschutzrechtliche Beratung beim Outsourcing und Verkauf von Unternehmen, insbesondere beim Verkauf von Unternehmensteilen
  • Spezifische Datenschutzberatung im Telekommunikations- und Bankensektor
  • Datenschutzschulungen für Ihr Unternehmen entsprechend den Bedürfnissen Ihres Unternehmens und/oder themenbezogene Schulung
  • Coaching und Unterstützung von internen und externen Datenschutzbeauftragten
  • Unterstützung von Insolvenzverwaltern in Datenschutzfragen
  • Vertretung und Wahrung Ihrer Interessen bei Anfragen, Auskunftsverlangen und Untersuchung durch Aufsichtsbehörden
  • Interne Unterstützung bei der Vorbereitung auf Untersuchungen durch Aufsichtsbehörden

Fachübergreifende Beratung der Anwälte für Datenschutz bei Derra, Meyer & Partner

Unsere Anwälte für Datenschutzrecht bieten Ihnen eine maßgeschneiderte Rechtsberatung. Sie profitieren als Mandant von der Möglichkeit, unsere Kompetenzen in anderen tangierten Rechtsgebieten - wie dem Arbeits-, Bank-, Gesellschafts-, Handels-, Insolvenz-, Straf-, Vertriebs- und Wettbewerbsrecht - mit dem Datenschutzrecht entsprechend Ihren Anforderungen zusammenzuführen.

Als multidisziplinäres Team haben unsere Experten ein Gutachten für den BvD Berufsverband der Datenschutzbeauftragten zur Stellung des Datenschutzbeauftragten in der Datenschutz-Grundverordnung (https://www.bvdnet.de/gutachten-des-bvd-zu-stellung-pflichten-und-haftung-des-dsb-in-der-ds-gvo/, Stand: 20.04.2018) und den Leitfaden „Durchsuchung als wichtiger Bestandteil der IT-Security-Policy“ für EuroCloud Deutschland_eco e.V. (https://www.eurocloud.de/2018/dokumente/durchsuchung-wichtiges-element-der-it-security-policy.html, Stand: 20.04.2018) erstellt.

Unsere Rechtsexperten sind im Vorstand des Berufsverbands der Datenschutzbeauftragten sowie bei EuroCloud vertreten und haben sich durch intensive Autoren- und Referententätigkeit als Experten im Datenschutz einen Namen gemacht.

 

Weitere Informationen zum Thema Datenschutz

Zum Datenschutzrecht - dmp Newsletter 2017

Ein Überblick über die EU-Datenschutz-Grundverordnung anhand von 20 Fragen und 20 Antworten

DS-GVO „Readiness Check“ - Herausforderungen für das Unternehmen

DS-GVO „Readiness Check“ - Fragebogen zur Umsetzung der DS-GVO

DS-GVO „Readiness Check“ – Checkliste Vertragsinhalte einer Auftragsverarbeitung

Ansprechpartner

Aktuelles

22 Okt
2019

EuGH: Cookies nur noch mit ausdrücklicher Einwilligung – wirklich?

Der EuGH hat sich mit der Zulässigkeit des Setzens von Cookies befasst. Zunächst ergibt sich jedoch, dass nicht jede Art von Cookie betroffen ist.

mehr lesen
26 Sep
2019

Update: BVerwG zu Facebook Fanpages – nun Pflicht zur Abschaltung?

Wenn Sie für Ihr Unternehmen eine Facebook Fanpage betreiben, sollten Sie sich die neueste Rechtsprechung dazu nicht entgehen lassen.

mehr lesen

Wenn Sie für Ihr Unternehmen eine Facebook Fanpage betreiben, sollten Sie sich die neueste Rechtsprechung dazu nicht entgehen lassen. Vor einiger Zeit berichteten wir bereits über die Problematik von bei Facebook unterhaltenen Unternehmensauftritten – sogenannten Fanpages. Denn die deutschen Datenschutzaufsichtsbehörden halten den Betrieb von Facebook Fanpages nach dem Urteil des EuGH vom letzten Jahr in der gegenwärtigen Form für datenschutzrechtlich unzulässig (siehe Beitrag vom 21.05.2019). Nun hat das Bundesverwaltungsgericht (BVerwG) in Leipzig in dieser Sache entschieden.

Rechtsstreit über die Zulässigkeit von Fanpages

Dem Urteil des BVerwG liegt ein Rechtsstreit zugrunde, der seit nunmehr acht Jahren andauert. Darin geht es um eine Anordnung der schleswig-holsteinischen Datenschutzaufsichtsbehörde, das Unabhängige Landeszentrum für Datenschutz (ULD), die von der Wirtschaftsakademie Schleswig-Holstein forderte, ihre Fanpage auf Facebook zu deaktivieren. Denn Facebook erhebe bei Aufruf dieser Fanpage Daten der nutzenden Personen, ohne diese über die geplante Verarbeitung und ein bestehendes Widerspruchsrecht zu informieren. Dies betreffe sowohl bei Facebook registrierte und eingeloggte als auch nichtregistrierte Personen. Die Datenerhebung und etwaige Weitergabe an Dritte bleiben den nutzenden Personen damit unbekannt.

Nach dem Gang durch die Instanzen der Verwaltungsgerichtsbarkeit legte das BVerwG den Fall dem EuGH vor. Dieser entschied letztes Jahr, dass Unternehmen, die eine eigene Fanpage betreiben, gemeinsam mit Facebook für die durch Facebook durchgeführte Datenverarbeitung gemäß Art. 26 DS-GVO verantwortlich sind (Urteil vom 05.06.2018 - Rs. C-210/16, abrufbar unter http://curia.europa.eu/juris/document/document.jsf?text=&docid=202543&pageIndex=0&doclang=de&mode=lst&dir=&occ=first&part=1&cid=15322487). Denn die Betreiber ermöglichen durch den Betrieb ihrer Fanpages Facebook den Zugriff auf die Daten der Fanpage-Besucher. Die Verarbeitung der im Rahmen der Facebook-Nutzung erhobenen Besucherdaten wird zudem nicht allein durch Facebook bestimmt. Vielmehr können die Betreiber durch eine entsprechende Parametrierung über die Zwecke und Mittel der Verarbeitung mitentscheiden.

Urteil des BVerwG

Das BVerwG hat auf Grundlage des EuGH-Urteils am 11.09.2019 entschieden, dass Datenschutzaufsichtsbehörden die Betreiber von Fanpages verpflichten können, ihre Fanpage abzuschalten, wenn die von Facebook bereitgestellte Infrastruktur schwerwiegende datenschutzrechtliche Mängel aufweist (BVerwG, Urteil vom 11.09.2019 - 6 C 15.18, Pressemitteilung mit den nachfolgenden Zitaten abrufbar unter https://www.bverwg.de/pm/2019/62).

Das BVerwG bekräftigt damit die Entscheidung des EuGH und stellt klar, dass die Datenschutzaufsichtsbehörden, so sie gegen gemeinsam Verantwortliche (Facebook und Fanpage-Betreiber) vorgehen wollen, auch die Fanpage-Betreiber allein „für die Herstellung datenschutzkonformer Zustände bei Nutzung ihrer Fanpage in die Pflicht nehmen“ können. Denn ein Vorgehen gegen Facebook sei wegen dessen fehlender „Kooperationsbereitschaft […] mit erheblichen tatsächlichen und rechtlichen Unsicherheiten verbunden“. Erweisen sich die bei Aufruf der Fanpage ablaufenden Datenverarbeitungen als rechtswidrig, stelle die Anordnung, die Fanpage ganz abzuschalten, nach Ansicht des Gerichts ein verhältnismäßiges Mittel dar, um datenschutzkonforme Zustände herzustellen. Ob die Datenverarbeitung durch Facebook jedoch im Einzelnen solche schwerwiegenden Mängel aufweist und damit rechtswidrig ist, muss nun das Oberverwaltungsgericht Schleswig erneut klären.

Konsequenzen in der Praxis

Nun bleibt abzuwarten, ob Facebook aus diesem Urteil Konsequenzen zieht. Nach dem EuGH-Urteil hatte das Unternehmen im letzten Jahr zunächst seine Hinweise für die Funktion Seiten-Insights ergänzt („Controller Addendum“, abrufbar unter https://de-de.facebook.com/legal/terms/page_controller_addendum). Diese Ergänzung genügt den Anforderungen der DS-GVO jedoch nicht (Beschluss der Datenschutzkonferenz vom 01.04.2019, abrufbar unter https://www.datenschutzkonferenz-online.de/media/dskb/20190405_positionierung_facebook_fanpages.pdf). Weitergehende Informationen über die durchgeführten Datenverarbeitungen gibt Facebook dagegen nicht preis, sodass es den Fanpage-Betreibern schlichtweg nicht möglich ist, ihrer Rechenschaftspflicht nach Art. 5 Abs. 2 DS-GVO nachzukommen und die Rechtmäßigkeit dieser Verarbeitungen nachzuweisen. Nun bleibt die Entscheidung des OVG Schleswig über die Rechtswidrigkeit der Datenverarbeitungen abzuwarten.

Das bedeutet für Sie: Der Betrieb von Fanpages stellt für Unternehmen derzeit ein besonderes Risiko dar, da ein datenschutzrechtskonformer Betrieb solcher Seiten nach Ansicht der deutschen Aufsichtsbehörden derzeit nicht möglich ist. Wenn Sie eine solche Fanpage betreiben, müssen Sie sich dessen bewusst sein und damit rechnen, von der für Sie zuständigen Datenschutzaufsichtsbehörde diesbezüglich kontaktiert zu werden. Dabei verwenden die deutschen Behörden einen einheitlich abgestimmten Fragebogen. Um vorbereitet zu sein, können Sie sich hier bereits einen Überblick verschaffen.

Rechtsanwältin Johanna Mäkert

dmp@derra-b.de

Stand: 09/2019

 

Wenn Sie für Ihr Unternehmen eine Facebook Fanpage betreiben, sollten Sie sich die neueste Rechtsprechung dazu nicht entgehen lassen. Vor einiger Zeit berichteten wir bereits über die Problematik von bei Facebook unterhaltenen Unternehmensauftritten – sogenannten Fanpages. Denn die deutschen Datenschutzaufsichtsbehörden halten den Betrieb von Facebook Fanpages nach dem Urteil des EuGH vom letzten Jahr in der gegenwärtigen Form für datenschutzrechtlich unzulässig (siehe Beitrag vom 21.05.2019). Nun hat das Bundesverwaltungsgericht (BVerwG) in Leipzig in dieser Sache entschieden.

Rechtsstreit über die Zulässigkeit von Fanpages

Dem Urteil des BVerwG liegt ein Rechtsstreit zugrunde, der seit nunmehr acht Jahren andauert. Darin geht es um eine Anordnung der schleswig-holsteinischen Datenschutzaufsichtsbehörde, das Unabhängige Landeszentrum für Datenschutz (ULD), die von der Wirtschaftsakademie Schleswig-Holstein forderte, ihre Fanpage auf Facebook zu deaktivieren. Denn Facebook erhebe bei Aufruf dieser Fanpage Daten der nutzenden Personen, ohne diese über die geplante Verarbeitung und ein bestehendes Widerspruchsrecht zu informieren. Dies betreffe sowohl bei Facebook registrierte und eingeloggte als auch nichtregistrierte Personen. Die Datenerhebung und etwaige Weitergabe an Dritte bleiben den nutzenden Personen damit unbekannt.

Nach dem Gang durch die Instanzen der Verwaltungsgerichtsbarkeit legte das BVerwG den Fall dem EuGH vor. Dieser entschied letztes Jahr, dass Unternehmen, die eine eigene Fanpage betreiben, gemeinsam mit Facebook für die durch Facebook durchgeführte Datenverarbeitung gemäß Art. 26 DS-GVO verantwortlich sind (Urteil vom 05.06.2018 - Rs. C-210/16, abrufbar unter http://curia.europa.eu/juris/document/document.jsf?text=&docid=202543&pageIndex=0&doclang=de&mode=lst&dir=&occ=first&part=1&cid=15322487). Denn die Betreiber ermöglichen durch den Betrieb ihrer Fanpages Facebook den Zugriff auf die Daten der Fanpage-Besucher. Die Verarbeitung der im Rahmen der Facebook-Nutzung erhobenen Besucherdaten wird zudem nicht allein durch Facebook bestimmt. Vielmehr können die Betreiber durch eine entsprechende Parametrierung über die Zwecke und Mittel der Verarbeitung mitentscheiden.

Urteil des BVerwG

Das BVerwG hat auf Grundlage des EuGH-Urteils am 11.09.2019 entschieden, dass Datenschutzaufsichtsbehörden die Betreiber von Fanpages verpflichten können, ihre Fanpage abzuschalten, wenn die von Facebook bereitgestellte Infrastruktur schwerwiegende datenschutzrechtliche Mängel aufweist (BVerwG, Urteil vom 11.09.2019 - 6 C 15.18, Pressemitteilung mit den nachfolgenden Zitaten abrufbar unter https://www.bverwg.de/pm/2019/62).

Das BVerwG bekräftigt damit die Entscheidung des EuGH und stellt klar, dass die Datenschutzaufsichtsbehörden, so sie gegen gemeinsam Verantwortliche (Facebook und Fanpage-Betreiber) vorgehen wollen, auch die Fanpage-Betreiber allein „für die Herstellung datenschutzkonformer Zustände bei Nutzung ihrer Fanpage in die Pflicht nehmen“ können. Denn ein Vorgehen gegen Facebook sei wegen dessen fehlender „Kooperationsbereitschaft […] mit erheblichen tatsächlichen und rechtlichen Unsicherheiten verbunden“. Erweisen sich die bei Aufruf der Fanpage ablaufenden Datenverarbeitungen als rechtswidrig, stelle die Anordnung, die Fanpage ganz abzuschalten, nach Ansicht des Gerichts ein verhältnismäßiges Mittel dar, um datenschutzkonforme Zustände herzustellen. Ob die Datenverarbeitung durch Facebook jedoch im Einzelnen solche schwerwiegenden Mängel aufweist und damit rechtswidrig ist, muss nun das Oberverwaltungsgericht Schleswig erneut klären.

Konsequenzen in der Praxis

Nun bleibt abzuwarten, ob Facebook aus diesem Urteil Konsequenzen zieht. Nach dem EuGH-Urteil hatte das Unternehmen im letzten Jahr zunächst seine Hinweise für die Funktion Seiten-Insights ergänzt („Controller Addendum“, abrufbar unter https://de-de.facebook.com/legal/terms/page_controller_addendum). Diese Ergänzung genügt den Anforderungen der DS-GVO jedoch nicht (Beschluss der Datenschutzkonferenz vom 01.04.2019, abrufbar unter https://www.datenschutzkonferenz-online.de/media/dskb/20190405_positionierung_facebook_fanpages.pdf). Weitergehende Informationen über die durchgeführten Datenverarbeitungen gibt Facebook dagegen nicht preis, sodass es den Fanpage-Betreibern schlichtweg nicht möglich ist, ihrer Rechenschaftspflicht nach Art. 5 Abs. 2 DS-GVO nachzukommen und die Rechtmäßigkeit dieser Verarbeitungen nachzuweisen. Nun bleibt die Entscheidung des OVG Schleswig über die Rechtswidrigkeit der Datenverarbeitungen abzuwarten.

Das bedeutet für Sie: Der Betrieb von Fanpages stellt für Unternehmen derzeit ein besonderes Risiko dar, da ein datenschutzrechtskonformer Betrieb solcher Seiten nach Ansicht der deutschen Aufsichtsbehörden derzeit nicht möglich ist. Wenn Sie eine solche Fanpage betreiben, müssen Sie sich dessen bewusst sein und damit rechnen, von der für Sie zuständigen Datenschutzaufsichtsbehörde diesbezüglich kontaktiert zu werden. Dabei verwenden die deutschen Behörden einen einheitlich abgestimmten Fragebogen. Um vorbereitet zu sein, können Sie sich hier bereits einen Überblick verschaffen.

Rechtsanwältin Johanna Mäkert

dmp@derra-b.de

Stand: 09/2019

 

27 Aug
2019

Recht auf Löschung – Pflicht zur Löschung?

Bekommen Sie Löschanfragen, beispielsweise von (ehemaligen) Kunden, oder überlegen Sie, selbst eine solche Anfrage zu stellen?

mehr lesen

Bekommen Sie Löschanfragen, beispielsweise von (ehemaligen) Kunden, oder überlegen Sie, selbst eine solche Anfrage zu stellen? Dann kann es sinnvoll sein, sich einmal mit den grundlegenden Voraussetzungen und dem Umfang des Löschanspruchs zu beschäftigen. Denn auch wenn grundsätzlich ein solcher Anspruch existiert, heißt das nicht automatisch, dass stets sämtliche Daten gelöscht werden müssen.

Löschanspruch nach der DS-GVO

Die Datenschutz-Grundverordnung (DS-GVO) begründet in Art. 17 das Recht auf Löschung. Danach kann eine Person, deren personenbezogene Daten verarbeitet werden oder wurden, grundsätzlich von dem Verantwortlichen verlangen, dass diese Daten unverzüglich gelöscht werden. Aber Achtung: Dieser Anspruch besteht nicht ausnahmslos. Eine vollständige Löschung kann also nicht in jedem Fall begehrt werden.

Nach Art. 17 Abs. 1 DS-GVO sind personenbezogene Daten unverzüglich zu löschen, sofern einer der folgenden Gründe vorliegt:

  • Die Daten sind für den Zweck, für den sie erhoben oder sonst verarbeitet wurden, nicht mehr notwendig.
  • Die Erhebung oder sonstige Verarbeitung beruhte auf einer Einwilligung, die zwischenzeitlich widerrufen wurde und es fehlt an einer anderweitig einschlägigen Rechtsgrundlage.
  • Die Erhebung oder sonstige Verarbeitung beruhte auf Art. 6 Abs. 1 lit. e DS-GVO (Wahrnehmung einer im öffentlichen Interesse liegenden Aufgabe) oder Art. 6 Abs. 1 lit. f DS-GVO (Wahrung der berechtigten Interessen) und dagegen wurde zwischenzeitlich Widerspruch eingelegt.
  • Die Erhebung oder sonstige Verarbeitung erfolgte rechtswidrig, beispielsweise ohne Rechtsgrundlage.
  • Die Löschung ist notwendig, um eine gesetzlich begründete Verpflichtung zu erfüllen. Diese kann sich sowohl aus europäischem Recht als auch aus deutschem Recht ergeben.
  • Die Daten wurden bei der Nutzung von „Diensten der Informationsgesellschaft“ erhoben. Darunter sind Dienste im Sinne des Art. 1 Nr. 1 lit. b der Richtlinie (EU) 2015/1535 zu verstehen. Gemeint sind Dienstleistungen, die in der Regel gegen Entgelt, elektronisch im Fernabsatz und auf individuellen Abruf des Empfängers erbracht werden. Dabei muss stets ein unmittelbarer Bezug zum Internet bestehen; die Gegenleistung muss nicht zwingend in einer Geldzahlung bestehen (beispielsweise auch „Bezahlung“ mit persönlichen Daten in sozialen Netzwerken).

Keine Löschpflicht: Löschanspruch kann ausgeschlossen sein

Auch wenn einer der zuvor genannten Gründe vorliegt, kann es sein, dass personenbezogene Daten dennoch nicht gelöscht werden müssen. So nennt Art. 17 Abs. 3 DS-GVO Gründe, bei deren Vorliegen kein Löschanspruch besteht:

  • Die weitere Verarbeitung der jeweiligen Daten ist notwendig, um das Recht auf freie Meinungsäußerung auszuüben.
  • Die weitere Verarbeitung (beispielsweise die simple Speicherung) ist notwendig, um eine gesetzlich begründete Verpflichtung (z.B. aus europäischem oder deutschem Recht) zu erfüllen.
  • Die weitere Verarbeitung ist aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit notwendig (beispielsweise zum Zweck der Gesundheitsvorsorge, Arbeitsmedizin, medizinischen Diagnostik, Vorsorge und Behandlung etc.).
  • Die weitere Verarbeitung ist zu Archivzwecken, wissenschaftlichen oder historischen Forschungszwecken oder zu statistischen Zwecken notwendig und die Löschung würde die Erreichung dieser Ziele unmöglich machen.
  • Die weitere Verarbeitung ist notwendig, um Rechtsansprüche geltend zu machen, auszuüben oder zu verteidigen.

Häufigster Fall für die Ablehnung eines Löschbegehrens ist wohl regelmäßig die gesetzliche Verpflichtung des Verantwortlichen, die Daten auch weiter zu speichern, obwohl der ursprüngliche Zweck bereits erreicht wurde. Diese kann aus verschiedenen Gründen notwendig sein:

  • Zum einen bestehen beispielsweise für Geschäftsunterlagen konkrete Aufbewahrungspflichten, die die fortdauernde Speicherung für sechs bis zehn Jahre erforderlich machen (§ 147 Abgabenordnung, § 257 Handelsgesetzbuch).
  • Zum anderen ist der Verantwortliche nach Art. 5 Abs. 2 DS-GVO rechenschaftspflichtig. Das bedeutet, dass er in der Lage sein muss, die Einhaltung der grundlegenden Prinzipien der DS-GVO nachzuweisen. Das heißt, dass er auch für Datenverarbeitungen, die in der Vergangenheit liegen und ihren Zweck längst erreicht haben, nachweisen können muss, dass diese rechtmäßig durchgeführt wurden. Beruhte die Verarbeitung beispielsweise auf einer Einwilligung, müssen deren Vorliegen und Wirksamkeit weiterhin nachweisbar sein. Es empfiehlt sich daher, die Daten aus diesem Grund weiterhin zu speichern – aber nur, sofern sie jeweils zu diesem Zweck notwendig sind. Andere Daten können (und müssen sogar) gelöscht werden.

Umsetzung in der Praxis

Personen, die die Löschung der sie betreffenden personenbezogenen Daten begehren, sollten dies direkt bei dem Verantwortlichen verlangen. Dabei muss grundsätzlich keine besondere Form beachtet werden. Der Löschantrag sollte jedoch hinreichend begründet sein, d.h. Informationen zur Person des Antragstellers sowie dazu enthalten, warum die Löschung begehrt wird. Um Missbrauchsrisiken zu verringern, darf der Verantwortliche zudem Nachweise zur Überprüfung der Identität verlangen (aber Achtung bei der Anforderung von Personalausweiskopien oder -scans! Lesen Sie hierzu auch unseren Beitrag vom 27. Juni 2019.

Der Löschantrag muss dann grundsätzlich innerhalb eines Monats bearbeitet und beantwortet werden; eine Verlängerung dieser Frist ist ausnahmsweise möglich (Art. 12 Abs. 3 DS-GVO). Kommt der Verantwortliche dem Löschbegehren nicht nach, ist dies dem Antragsteller darzulegen (Art. 12 Abs. 4 DS-GVO).

Allerdings darf nicht vergessen werden, dass Verantwortliche auch ohne ein konkretes Verlangen personenbezogene Daten löschen müssen, wenn einer der oben genannten Gründe vorliegt. Werden beispielsweise gespeicherte Daten nicht mehr benötigt oder wurden diese in der Vergangenheit ohne Rechtsgrundlage verarbeitet, müssen die Daten gelöscht werden, wenn sie nicht weiterhin aus anderen Gründen gespeichert werden dürfen (oder müssen). Hier empfiehlt sich, eine Löschroutine anhand eines entsprechenden Löschkonzeptes zu entwickeln.

Das bedeutet für Sie: Wenn Sie selbst die Löschung ihrer personenbezogenen Daten begehren, sollten Sie sich bewusst machen, dass der Verantwortliche trotz Ihres Löschanspruchs nicht in jedem Fall verpflichtet ist, Ihre Daten vollumfänglich zu löschen. Den Löschantrag sollten Sie stets hinreichend begründen. Wenn Sie in Ihrem Unternehmen Löschanfragen erhalten, sollten Sie genau prüfen, ob Sie zur Löschung verpflichtet sind oder gegebenenfalls die Löschung verweigern dürfen. Löschen Sie beispielsweise sämtliche Daten der betreffenden Person, kann es sein, dass Sie unter Umständen Ihrer Rechenschaftspflicht nicht mehr nachkommen können. Eine fehlerhafte Löschung kann gleichzeitig eine „neue“ unzulässige Datenverarbeitung darstellen. Bei gespeicherten Datensätzen sollte regelmäßig geprüft werden, welche Daten davon nicht mehr benötigt werden und gelöscht werden können. Hier ist es regelmäßig empfehlenswert, ein Löschkonzept mit festen Verfahren zu etablieren.

Rechtsanwältin Johanna Mäkert, LL.M. (Bukarest)

dmp@derra-b.de

Stand: 08/2019

Bekommen Sie Löschanfragen, beispielsweise von (ehemaligen) Kunden, oder überlegen Sie, selbst eine solche Anfrage zu stellen? Dann kann es sinnvoll sein, sich einmal mit den grundlegenden Voraussetzungen und dem Umfang des Löschanspruchs zu beschäftigen. Denn auch wenn grundsätzlich ein solcher Anspruch existiert, heißt das nicht automatisch, dass stets sämtliche Daten gelöscht werden müssen.

Löschanspruch nach der DS-GVO

Die Datenschutz-Grundverordnung (DS-GVO) begründet in Art. 17 das Recht auf Löschung. Danach kann eine Person, deren personenbezogene Daten verarbeitet werden oder wurden, grundsätzlich von dem Verantwortlichen verlangen, dass diese Daten unverzüglich gelöscht werden. Aber Achtung: Dieser Anspruch besteht nicht ausnahmslos. Eine vollständige Löschung kann also nicht in jedem Fall begehrt werden.

Nach Art. 17 Abs. 1 DS-GVO sind personenbezogene Daten unverzüglich zu löschen, sofern einer der folgenden Gründe vorliegt:

  • Die Daten sind für den Zweck, für den sie erhoben oder sonst verarbeitet wurden, nicht mehr notwendig.
  • Die Erhebung oder sonstige Verarbeitung beruhte auf einer Einwilligung, die zwischenzeitlich widerrufen wurde und es fehlt an einer anderweitig einschlägigen Rechtsgrundlage.
  • Die Erhebung oder sonstige Verarbeitung beruhte auf Art. 6 Abs. 1 lit. e DS-GVO (Wahrnehmung einer im öffentlichen Interesse liegenden Aufgabe) oder Art. 6 Abs. 1 lit. f DS-GVO (Wahrung der berechtigten Interessen) und dagegen wurde zwischenzeitlich Widerspruch eingelegt.
  • Die Erhebung oder sonstige Verarbeitung erfolgte rechtswidrig, beispielsweise ohne Rechtsgrundlage.
  • Die Löschung ist notwendig, um eine gesetzlich begründete Verpflichtung zu erfüllen. Diese kann sich sowohl aus europäischem Recht als auch aus deutschem Recht ergeben.
  • Die Daten wurden bei der Nutzung von „Diensten der Informationsgesellschaft“ erhoben. Darunter sind Dienste im Sinne des Art. 1 Nr. 1 lit. b der Richtlinie (EU) 2015/1535 zu verstehen. Gemeint sind Dienstleistungen, die in der Regel gegen Entgelt, elektronisch im Fernabsatz und auf individuellen Abruf des Empfängers erbracht werden. Dabei muss stets ein unmittelbarer Bezug zum Internet bestehen; die Gegenleistung muss nicht zwingend in einer Geldzahlung bestehen (beispielsweise auch „Bezahlung“ mit persönlichen Daten in sozialen Netzwerken).

Keine Löschpflicht: Löschanspruch kann ausgeschlossen sein

Auch wenn einer der zuvor genannten Gründe vorliegt, kann es sein, dass personenbezogene Daten dennoch nicht gelöscht werden müssen. So nennt Art. 17 Abs. 3 DS-GVO Gründe, bei deren Vorliegen kein Löschanspruch besteht:

  • Die weitere Verarbeitung der jeweiligen Daten ist notwendig, um das Recht auf freie Meinungsäußerung auszuüben.
  • Die weitere Verarbeitung (beispielsweise die simple Speicherung) ist notwendig, um eine gesetzlich begründete Verpflichtung (z.B. aus europäischem oder deutschem Recht) zu erfüllen.
  • Die weitere Verarbeitung ist aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit notwendig (beispielsweise zum Zweck der Gesundheitsvorsorge, Arbeitsmedizin, medizinischen Diagnostik, Vorsorge und Behandlung etc.).
  • Die weitere Verarbeitung ist zu Archivzwecken, wissenschaftlichen oder historischen Forschungszwecken oder zu statistischen Zwecken notwendig und die Löschung würde die Erreichung dieser Ziele unmöglich machen.
  • Die weitere Verarbeitung ist notwendig, um Rechtsansprüche geltend zu machen, auszuüben oder zu verteidigen.

Häufigster Fall für die Ablehnung eines Löschbegehrens ist wohl regelmäßig die gesetzliche Verpflichtung des Verantwortlichen, die Daten auch weiter zu speichern, obwohl der ursprüngliche Zweck bereits erreicht wurde. Diese kann aus verschiedenen Gründen notwendig sein:

  • Zum einen bestehen beispielsweise für Geschäftsunterlagen konkrete Aufbewahrungspflichten, die die fortdauernde Speicherung für sechs bis zehn Jahre erforderlich machen (§ 147 Abgabenordnung, § 257 Handelsgesetzbuch).
  • Zum anderen ist der Verantwortliche nach Art. 5 Abs. 2 DS-GVO rechenschaftspflichtig. Das bedeutet, dass er in der Lage sein muss, die Einhaltung der grundlegenden Prinzipien der DS-GVO nachzuweisen. Das heißt, dass er auch für Datenverarbeitungen, die in der Vergangenheit liegen und ihren Zweck längst erreicht haben, nachweisen können muss, dass diese rechtmäßig durchgeführt wurden. Beruhte die Verarbeitung beispielsweise auf einer Einwilligung, müssen deren Vorliegen und Wirksamkeit weiterhin nachweisbar sein. Es empfiehlt sich daher, die Daten aus diesem Grund weiterhin zu speichern – aber nur, sofern sie jeweils zu diesem Zweck notwendig sind. Andere Daten können (und müssen sogar) gelöscht werden.

Umsetzung in der Praxis

Personen, die die Löschung der sie betreffenden personenbezogenen Daten begehren, sollten dies direkt bei dem Verantwortlichen verlangen. Dabei muss grundsätzlich keine besondere Form beachtet werden. Der Löschantrag sollte jedoch hinreichend begründet sein, d.h. Informationen zur Person des Antragstellers sowie dazu enthalten, warum die Löschung begehrt wird. Um Missbrauchsrisiken zu verringern, darf der Verantwortliche zudem Nachweise zur Überprüfung der Identität verlangen (aber Achtung bei der Anforderung von Personalausweiskopien oder -scans! Lesen Sie hierzu auch unseren Beitrag vom 27. Juni 2019.

Der Löschantrag muss dann grundsätzlich innerhalb eines Monats bearbeitet und beantwortet werden; eine Verlängerung dieser Frist ist ausnahmsweise möglich (Art. 12 Abs. 3 DS-GVO). Kommt der Verantwortliche dem Löschbegehren nicht nach, ist dies dem Antragsteller darzulegen (Art. 12 Abs. 4 DS-GVO).

Allerdings darf nicht vergessen werden, dass Verantwortliche auch ohne ein konkretes Verlangen personenbezogene Daten löschen müssen, wenn einer der oben genannten Gründe vorliegt. Werden beispielsweise gespeicherte Daten nicht mehr benötigt oder wurden diese in der Vergangenheit ohne Rechtsgrundlage verarbeitet, müssen die Daten gelöscht werden, wenn sie nicht weiterhin aus anderen Gründen gespeichert werden dürfen (oder müssen). Hier empfiehlt sich, eine Löschroutine anhand eines entsprechenden Löschkonzeptes zu entwickeln.

Das bedeutet für Sie: Wenn Sie selbst die Löschung ihrer personenbezogenen Daten begehren, sollten Sie sich bewusst machen, dass der Verantwortliche trotz Ihres Löschanspruchs nicht in jedem Fall verpflichtet ist, Ihre Daten vollumfänglich zu löschen. Den Löschantrag sollten Sie stets hinreichend begründen. Wenn Sie in Ihrem Unternehmen Löschanfragen erhalten, sollten Sie genau prüfen, ob Sie zur Löschung verpflichtet sind oder gegebenenfalls die Löschung verweigern dürfen. Löschen Sie beispielsweise sämtliche Daten der betreffenden Person, kann es sein, dass Sie unter Umständen Ihrer Rechenschaftspflicht nicht mehr nachkommen können. Eine fehlerhafte Löschung kann gleichzeitig eine „neue“ unzulässige Datenverarbeitung darstellen. Bei gespeicherten Datensätzen sollte regelmäßig geprüft werden, welche Daten davon nicht mehr benötigt werden und gelöscht werden können. Hier ist es regelmäßig empfehlenswert, ein Löschkonzept mit festen Verfahren zu etablieren.

Rechtsanwältin Johanna Mäkert, LL.M. (Bukarest)

dmp@derra-b.de

Stand: 08/2019

23 Aug
2019

dmp-Gutachten für den Berufsverband der Datenschutzbeauftragten (BvD) e.V

Rolle des Datenschutzbeauftragten nach der DS-GVO

Die DS-GVO hat erhebliche Auswirkungen auf die Rolle des Datenschutzbeauftragen in Unternehmen.

mehr lesen

Die DS-GVO hat erhebliche Auswirkungen auf die Rolle des Datenschutzbeauftragen in Unternehmen. Um die durch die Verordnung hervorgerufenen Fragen und Probleme insbesondere in Bezug auf straf- und zivilrechtliche Haftungsrisiken sowie die arbeitsrechtliche Stellung zu beleuchten und zu beantworten, hat der Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) e.V. die Rechtsanwaltskanzlei Derra, Meyer & Partner unter Federführung von Herrn Prof. Dr. Meyer mit der Erstellung eines Gutachtens beauftragt.

Richtungsweisende Aussage zum Datenschutzbeauftragten

Unsere Spezialisten aus den Bereichen Arbeits-, Straf-, und Haftungsrecht –namentlich Rechtsanwältin Schrader-Kurz und Rechtsanwalt Eßer (beide Arbeitsrecht), Rechtsanwalt Menz (Strafrecht) und Rechtsanwalt Steffen (Zivilrecht) - haben auf Grundlage eines vom BvD entwickelten Fragenkatalogs die wesentlichen Aspekte herausgestellt und dazu die richtungsweisenden Aussagen erläutert und geklärt. Die Entstehung des Gutachtens https://www.bvdnet.de/wp-content/uploads/2017/11/DMP-BvD-e.V.-gutachterliche-Stellungnahme-31.07.2017.pdf wurde durch den BvD-Vorstand eng begleitet, so dass Fragen zur betrieblichen Praxis schnell geklärt werden konnten. Die sich bei der Bearbeitung ergebenden neuen Fragen und Aspekte werden durch den BvD weiterverfolgt und diskutiert werden.

Veröffentlichung des Gutachtens

Das durch Derra, Meyer & Partner erstellte Gutachten, verfügbar auch in englischer Sprache, wurde zwischenzeitlich auf den Seiten des BvD veröffentlicht und steht dort zum Download zur Verfügung.

https://www.bvdnet.de/themen/gdpr/

Stand: 08/2019

Die DS-GVO hat erhebliche Auswirkungen auf die Rolle des Datenschutzbeauftragen in Unternehmen. Um die durch die Verordnung hervorgerufenen Fragen und Probleme insbesondere in Bezug auf straf- und zivilrechtliche Haftungsrisiken sowie die arbeitsrechtliche Stellung zu beleuchten und zu beantworten, hat der Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) e.V. die Rechtsanwaltskanzlei Derra, Meyer & Partner unter Federführung von Herrn Prof. Dr. Meyer mit der Erstellung eines Gutachtens beauftragt.

Richtungsweisende Aussage zum Datenschutzbeauftragten

Unsere Spezialisten aus den Bereichen Arbeits-, Straf-, und Haftungsrecht –namentlich Rechtsanwältin Schrader-Kurz und Rechtsanwalt Eßer (beide Arbeitsrecht), Rechtsanwalt Menz (Strafrecht) und Rechtsanwalt Steffen (Zivilrecht) - haben auf Grundlage eines vom BvD entwickelten Fragenkatalogs die wesentlichen Aspekte herausgestellt und dazu die richtungsweisenden Aussagen erläutert und geklärt. Die Entstehung des Gutachtens https://www.bvdnet.de/wp-content/uploads/2017/11/DMP-BvD-e.V.-gutachterliche-Stellungnahme-31.07.2017.pdf wurde durch den BvD-Vorstand eng begleitet, so dass Fragen zur betrieblichen Praxis schnell geklärt werden konnten. Die sich bei der Bearbeitung ergebenden neuen Fragen und Aspekte werden durch den BvD weiterverfolgt und diskutiert werden.

Veröffentlichung des Gutachtens

Das durch Derra, Meyer & Partner erstellte Gutachten, verfügbar auch in englischer Sprache, wurde zwischenzeitlich auf den Seiten des BvD veröffentlicht und steht dort zum Download zur Verfügung.

https://www.bvdnet.de/themen/gdpr/

Stand: 08/2019

16 Aug
2019

EDSA-Leitlinien: Videoüberwachung unter der DS-GVO

Fertigen Sie in Ihrem Unternehmen, beispielsweise auf Baustellen oder in Ladengeschäften, Videoaufnahmen mittels Überwachungskameras an?

mehr lesen

Fertigen Sie in Ihrem Unternehmen, beispielsweise auf Baustellen oder in Ladengeschäften, Videoaufnahmen mittels Überwachungskameras an? Dann sollten Sie sich vorher mit den datenschutzrechtlichen Voraussetzungen beschäftigen: Wann ist die Anfertigung und Speicherung von Videoaufnahmen nach der Datenschutz-Grundverordnung (DS-GVO) zulässig? Welche Informationspflichten bestehen und wie ist diesen nachzukommen? Wie ist mit Betroffenenrechten umzugehen? Dazu hat der Europäische Datenschutzausschuss (EDSA) nun eine Broschüre mit Leitlinien veröffentlicht.

EDSA – Europäischer Datenschutzausschuss

Der Europäische Datenschutzausschuss (EDSA) ist eine unabhängige europäische Einrichtung mit Sitz in Brüssel. Der EDSA besteht aus dem Zusammenschluss der nationalen Datenschutzbehörden und Aufsichtsbehörden mit dem Europäischen Datenschutzbeauftragten. Er hat die vormalige Art.-29-Datenschutzgruppe abgelöst, die sich bis zum 25. Mai 2018 mit der Auslegung der DS-GVO beschäftigt hat. Seine Aufgabe ist es, für eine einheitliche Anwendung der DS-GVO in den Mitgliedstaaten der Europäischen Union (EU) zu sorgen. Dazu gibt er u.a. allgemeine Leitlinien heraus, in denen Begriffe und Regelungen der DS-GVO einheitlich ausgelegt werden. Diese können als Anleitung zur einheitlichen Umsetzung der DS-GVO verstanden werden.

Der EDSA hat nun Leitlinien für die Verarbeitung personenbezogener Daten im Rahmen der Videoüberwachung herausgegeben („Guidelines 3/2019 on processing of personal data through video devices“, beschlossen am 10.07.2019, zur Zeit nur auf Englisch abrufbar unter https://edpb.europa.eu/sites/edpb/files/consultation/edpb_guidelines_201903_videosurveillance.pdf). Darin gibt er Hinweise zu verschiedenen Aspekten, die Verantwortliche für einen möglichst rechtssicheren Betrieb von Videoüberwachungsanlagen beachten sollten.

Zulässige Videoüberwachung – Rechtmäßigkeit

Wie jede andere Verarbeitung personenbezogener Daten im Anwendungsbereich der DS-GVO muss auch die Datenverarbeitung im Rahmen einer Videoüberwachung den Voraussetzungen der DS-GVO entsprechen. Hier weist der EDSA darauf hin, dass bloße Fake-Kameras bzw. Kameraattrappen, die keine Aufnahmen anfertigen, nicht der DS-GVO unterfallen. Denn hier werden bereits gar keine Daten erhoben und verarbeitet. Aber Achtung: In Deutschland kann darüber hinaus bereits das Anbringen einer bloßen Kameraattrappe das Allgemeine Persönlichkeitsrecht verletzen und somit einen Beseitigungsanspruch begründen (so kürzlich erst LG Essen, Urteil vom 30. Januar 2019 – 12 O 62/18)!

Datenverarbeitungen im Anwendungsbereich der DS-GVO müssen zunächst die Voraussetzungen des Art. 5 DS-GVO erfüllen. So muss die Videoüberwachung in Hinblick auf jede Kamera u.a. einem zuvor festgelegten Zweck dienen und auf einer Rechtsgrundlage beruhen. Laut EDSA kommen dafür regelmäßig berechtigte Interessen nach Art. 6 Abs. 1 lit. f DS-GVO in Betracht, während auf eine Einwilligung nur in Ausnahmefällen zurückgegriffen werden sollte. Hier ist jedoch besondere Vorsicht geboten! Um die Videoüberwachung auf Art. 6 Abs. 1 lit. f DS-GVO stützen zu können, muss im Rahmen einer umfassenden rechtlichen Prüfung eine Interessenabwägung durchgeführt werden. Auch hierfür hat der EDSA detaillierte Hinweise gegeben. Er weist insbesondere darauf hin, dass sich hierbei eine pauschale Bewertung verbietet, sondern eine solche Entscheidung nur jeweils abhängig vom konkreten Einzelfall getroffen werden kann. Bei dieser Prüfung berücksichtigt werden muss auch eine etwaige Weitergabe der Aufnahmen an Dritte (beispielsweise an Rechtsanwälte oder Versicherungen im Falle einer aufgenommenen Beschädigung). Auch die Speicherdauer der Aufnahmen sollte kritisch geprüft werden.

Sind besonders sensible Daten betroffen (z.B. zur Gesundheit), muss dafür eine spezielle Rechtsgrundlage gegeben sein (Art. 9 DS-GVO). Dasselbe gilt – neben Art. 6 DS-GVO – für Übertragungen der Daten in Drittländer (außerhalb der EU und des EWR), beispielsweise in Clouds auf Server in den USA (Art. 44 ff. DS-GVO).

Darüber hinaus sollte insbesondere auch dem Grundsatz der Datenminimierung besondere Aufmerksamkeit geschenkt werden. Die Einhaltung sämtlicher Anforderungen sollte zudem schriftlich dokumentiert werden.

Informationspflichten und Betroffenenrechte

Personen, die von den Videoaufnahmen betroffen sind, müssen stets proaktiv auf die Videoüberwachung hingewiesen werden (Art. 13, 14 DS-GVO). Dazu bietet sich nach Ansicht des EDSA regelmäßig die Information über einen mehrstufigen Ansatz an (sogenannte „layers“). Hier können auf der ersten Stufe, beispielsweise mittels eines Warnschildes mit entsprechenden Symbolen vor Ort, die wichtigsten Informationen mitgeteilt werden – u.a. zum Verantwortlichen und Zweck der Aufnahmen, zur Speicherdauer und Weitergabe an Dritte. Auf der zweiten Stufe können dann die übrigen Pflichtinformationen nach der DS-GVO mitgeteilt werden, beispielsweise mittels einer vor Ort ausliegenden Broschüre oder auf einer Internetseite, auf die wiederum mittels eines QR-Codes verwiesen wird. Der EDSA hat in den oben genannten Leitlinien ein Muster für einen entsprechenden Hinweis veröffentlicht.

Außerdem sind die Betroffenenrechte nach Art. 15 ff. DS-GVO sicherzustellen. Gerade im Falle der Videoüberwachung sollten dabei gewisse Besonderheiten beachtet werden. Verlangen die Betroffenen beispielsweise eine Kopie der Aufnahme, muss geprüft werden, ob darauf auch andere Personen zu sehen sind bzw. identifiziert werden können. Wird die Löschung der Aufnahme verlangt, kann dies nach Ansicht des EDSA bereits erreicht werden, indem die Aufnahme irreversibel unscharf bzw. unkenntlich gemacht wird (sogenanntes „Blurring“), sodass die betroffene Person nicht mehr identifiziert werden kann.

Technische und organisatorische Maßnahmen

Nicht zuletzt muss der Verantwortliche geeignete technische und organisatorische Maßnahmen der Datensicherheit treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten (Art. 32 Abs. 1 DS-GVO). Das heißt, die Maßnahmen müssen sich daran orientieren, welche Risiken für die Betroffenen durch die Videoüberwachung begründet werden. Solche Risiken können beispielsweise die zufällige oder unrechtmäßige Vernichtung oder den Verlust der Aufnahmen sowie den unbefugten Zutritt oder eine solche Weitergabe an Dritte betreffen. Gegen solche Gefahren sind in organisatorischer und technischer Hinsicht geeignete Sicherheitsvorkehrungen zu treffen – beispielsweise durch eine Zutritts- und Zugriffskontrolle, Schulungsmaßnahmen, ein Störfallmanagement oder Verfahren zur Wiederherstellung gelöschter Aufnahmen sowie Verschlüsselung der Aufnahmen oder Schutz vor Angriffen auf die Hard- oder Software.

Zudem sollte geprüft werden, ob eine Datenschutz-Folgenabschätzung nach Art. 35 DS-GVO durchzuführen ist. Einzelheiten hierzu können einem gesonderten Papier mit Leitlinien der vormaligen Art.-29-Datenschutzgruppe entnommen werden („Guidelines on Data Protection Impact Assessment (DPIA) and determining whether processing is „likely to result in a high risk” for the purpose of Regulation 2018/679”, abrufbar unter https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=611236).

Das bedeutet für Sie: Wenn Sie bereits Videoüberwachung durchführen oder dies vorhaben, setzen Sie sich (ggf. nochmals) mit den Anforderungen der DS-GVO auseinander. Die Maßnahmen zur Videoüberwachung müssen in jedem Fall rechtmäßig sein und auch die übrigen Voraussetzungen nach Art. 5 DS-GVO müssen in Bezug auf jede verwendete Kamera vorliegen. Ebenso ist die notwendige Dokumentation nach Art. 5 Abs. 2 DS-GVO sicherzustellen. Des Weiteren müssen Betroffene gemäß Art. 13, 14 DS-GVO informiert werden. Zur Gewährleistung der Betroffenenrechte sollte außerdem bereits im Voraus ein entsprechendes Verfahren gestaltet werden.

Rechtsanwältin Johanna Mäkert, LL.M. (Bukarest)

dmp@derra-b.de

Stand: 08/2019

Fertigen Sie in Ihrem Unternehmen, beispielsweise auf Baustellen oder in Ladengeschäften, Videoaufnahmen mittels Überwachungskameras an? Dann sollten Sie sich vorher mit den datenschutzrechtlichen Voraussetzungen beschäftigen: Wann ist die Anfertigung und Speicherung von Videoaufnahmen nach der Datenschutz-Grundverordnung (DS-GVO) zulässig? Welche Informationspflichten bestehen und wie ist diesen nachzukommen? Wie ist mit Betroffenenrechten umzugehen? Dazu hat der Europäische Datenschutzausschuss (EDSA) nun eine Broschüre mit Leitlinien veröffentlicht.

EDSA – Europäischer Datenschutzausschuss

Der Europäische Datenschutzausschuss (EDSA) ist eine unabhängige europäische Einrichtung mit Sitz in Brüssel. Der EDSA besteht aus dem Zusammenschluss der nationalen Datenschutzbehörden und Aufsichtsbehörden mit dem Europäischen Datenschutzbeauftragten. Er hat die vormalige Art.-29-Datenschutzgruppe abgelöst, die sich bis zum 25. Mai 2018 mit der Auslegung der DS-GVO beschäftigt hat. Seine Aufgabe ist es, für eine einheitliche Anwendung der DS-GVO in den Mitgliedstaaten der Europäischen Union (EU) zu sorgen. Dazu gibt er u.a. allgemeine Leitlinien heraus, in denen Begriffe und Regelungen der DS-GVO einheitlich ausgelegt werden. Diese können als Anleitung zur einheitlichen Umsetzung der DS-GVO verstanden werden.

Der EDSA hat nun Leitlinien für die Verarbeitung personenbezogener Daten im Rahmen der Videoüberwachung herausgegeben („Guidelines 3/2019 on processing of personal data through video devices“, beschlossen am 10.07.2019, zur Zeit nur auf Englisch abrufbar unter https://edpb.europa.eu/sites/edpb/files/consultation/edpb_guidelines_201903_videosurveillance.pdf). Darin gibt er Hinweise zu verschiedenen Aspekten, die Verantwortliche für einen möglichst rechtssicheren Betrieb von Videoüberwachungsanlagen beachten sollten.

Zulässige Videoüberwachung – Rechtmäßigkeit

Wie jede andere Verarbeitung personenbezogener Daten im Anwendungsbereich der DS-GVO muss auch die Datenverarbeitung im Rahmen einer Videoüberwachung den Voraussetzungen der DS-GVO entsprechen. Hier weist der EDSA darauf hin, dass bloße Fake-Kameras bzw. Kameraattrappen, die keine Aufnahmen anfertigen, nicht der DS-GVO unterfallen. Denn hier werden bereits gar keine Daten erhoben und verarbeitet. Aber Achtung: In Deutschland kann darüber hinaus bereits das Anbringen einer bloßen Kameraattrappe das Allgemeine Persönlichkeitsrecht verletzen und somit einen Beseitigungsanspruch begründen (so kürzlich erst LG Essen, Urteil vom 30. Januar 2019 – 12 O 62/18)!

Datenverarbeitungen im Anwendungsbereich der DS-GVO müssen zunächst die Voraussetzungen des Art. 5 DS-GVO erfüllen. So muss die Videoüberwachung in Hinblick auf jede Kamera u.a. einem zuvor festgelegten Zweck dienen und auf einer Rechtsgrundlage beruhen. Laut EDSA kommen dafür regelmäßig berechtigte Interessen nach Art. 6 Abs. 1 lit. f DS-GVO in Betracht, während auf eine Einwilligung nur in Ausnahmefällen zurückgegriffen werden sollte. Hier ist jedoch besondere Vorsicht geboten! Um die Videoüberwachung auf Art. 6 Abs. 1 lit. f DS-GVO stützen zu können, muss im Rahmen einer umfassenden rechtlichen Prüfung eine Interessenabwägung durchgeführt werden. Auch hierfür hat der EDSA detaillierte Hinweise gegeben. Er weist insbesondere darauf hin, dass sich hierbei eine pauschale Bewertung verbietet, sondern eine solche Entscheidung nur jeweils abhängig vom konkreten Einzelfall getroffen werden kann. Bei dieser Prüfung berücksichtigt werden muss auch eine etwaige Weitergabe der Aufnahmen an Dritte (beispielsweise an Rechtsanwälte oder Versicherungen im Falle einer aufgenommenen Beschädigung). Auch die Speicherdauer der Aufnahmen sollte kritisch geprüft werden.

Sind besonders sensible Daten betroffen (z.B. zur Gesundheit), muss dafür eine spezielle Rechtsgrundlage gegeben sein (Art. 9 DS-GVO). Dasselbe gilt – neben Art. 6 DS-GVO – für Übertragungen der Daten in Drittländer (außerhalb der EU und des EWR), beispielsweise in Clouds auf Server in den USA (Art. 44 ff. DS-GVO).

Darüber hinaus sollte insbesondere auch dem Grundsatz der Datenminimierung besondere Aufmerksamkeit geschenkt werden. Die Einhaltung sämtlicher Anforderungen sollte zudem schriftlich dokumentiert werden.

Informationspflichten und Betroffenenrechte

Personen, die von den Videoaufnahmen betroffen sind, müssen stets proaktiv auf die Videoüberwachung hingewiesen werden (Art. 13, 14 DS-GVO). Dazu bietet sich nach Ansicht des EDSA regelmäßig die Information über einen mehrstufigen Ansatz an (sogenannte „layers“). Hier können auf der ersten Stufe, beispielsweise mittels eines Warnschildes mit entsprechenden Symbolen vor Ort, die wichtigsten Informationen mitgeteilt werden – u.a. zum Verantwortlichen und Zweck der Aufnahmen, zur Speicherdauer und Weitergabe an Dritte. Auf der zweiten Stufe können dann die übrigen Pflichtinformationen nach der DS-GVO mitgeteilt werden, beispielsweise mittels einer vor Ort ausliegenden Broschüre oder auf einer Internetseite, auf die wiederum mittels eines QR-Codes verwiesen wird. Der EDSA hat in den oben genannten Leitlinien ein Muster für einen entsprechenden Hinweis veröffentlicht.

Außerdem sind die Betroffenenrechte nach Art. 15 ff. DS-GVO sicherzustellen. Gerade im Falle der Videoüberwachung sollten dabei gewisse Besonderheiten beachtet werden. Verlangen die Betroffenen beispielsweise eine Kopie der Aufnahme, muss geprüft werden, ob darauf auch andere Personen zu sehen sind bzw. identifiziert werden können. Wird die Löschung der Aufnahme verlangt, kann dies nach Ansicht des EDSA bereits erreicht werden, indem die Aufnahme irreversibel unscharf bzw. unkenntlich gemacht wird (sogenanntes „Blurring“), sodass die betroffene Person nicht mehr identifiziert werden kann.

Technische und organisatorische Maßnahmen

Nicht zuletzt muss der Verantwortliche geeignete technische und organisatorische Maßnahmen der Datensicherheit treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten (Art. 32 Abs. 1 DS-GVO). Das heißt, die Maßnahmen müssen sich daran orientieren, welche Risiken für die Betroffenen durch die Videoüberwachung begründet werden. Solche Risiken können beispielsweise die zufällige oder unrechtmäßige Vernichtung oder den Verlust der Aufnahmen sowie den unbefugten Zutritt oder eine solche Weitergabe an Dritte betreffen. Gegen solche Gefahren sind in organisatorischer und technischer Hinsicht geeignete Sicherheitsvorkehrungen zu treffen – beispielsweise durch eine Zutritts- und Zugriffskontrolle, Schulungsmaßnahmen, ein Störfallmanagement oder Verfahren zur Wiederherstellung gelöschter Aufnahmen sowie Verschlüsselung der Aufnahmen oder Schutz vor Angriffen auf die Hard- oder Software.

Zudem sollte geprüft werden, ob eine Datenschutz-Folgenabschätzung nach Art. 35 DS-GVO durchzuführen ist. Einzelheiten hierzu können einem gesonderten Papier mit Leitlinien der vormaligen Art.-29-Datenschutzgruppe entnommen werden („Guidelines on Data Protection Impact Assessment (DPIA) and determining whether processing is „likely to result in a high risk” for the purpose of Regulation 2018/679”, abrufbar unter https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=611236).

Das bedeutet für Sie: Wenn Sie bereits Videoüberwachung durchführen oder dies vorhaben, setzen Sie sich (ggf. nochmals) mit den Anforderungen der DS-GVO auseinander. Die Maßnahmen zur Videoüberwachung müssen in jedem Fall rechtmäßig sein und auch die übrigen Voraussetzungen nach Art. 5 DS-GVO müssen in Bezug auf jede verwendete Kamera vorliegen. Ebenso ist die notwendige Dokumentation nach Art. 5 Abs. 2 DS-GVO sicherzustellen. Des Weiteren müssen Betroffene gemäß Art. 13, 14 DS-GVO informiert werden. Zur Gewährleistung der Betroffenenrechte sollte außerdem bereits im Voraus ein entsprechendes Verfahren gestaltet werden.

Rechtsanwältin Johanna Mäkert, LL.M. (Bukarest)

dmp@derra-b.de

Stand: 08/2019

08 Aug
2019

Umfang des Auskunftsanspruchs nach Art. 15 DS-GVO

Wie bereits das Bundesdatenschutzgesetz in der Fassung bis zum 25.05.2018 sieht auch die DS-GVO in Art. 15 Abs. 1 DS-GVO das Recht für jeden Betroffenen vor ...

mehr lesen

Wie bereits das Bundesdatenschutzgesetz in der Fassung bis zum 25.05.2018 sieht auch die DS-GVO in Art. 15 Abs. 1 DS-GVO das Recht für jeden Betroffenen vor, von einem Dritten Auskunft darüber zu verlangen, ob und welche personenbezogenen Daten dieser von einem selbst gespeichert hat. In Bezug auf die Anforderungen und den Inhalt der Auskunft gehen die Bestimmungen der DS-GVO jedoch über die vorher geltenden Bestimmungen des BDSG-alt hinaus.

Umfang der Auskunft

Gemäß Art. 15 Abs. 1 DS-GVO kann der Anfragende als betroffene Person zunächst eine Bestätigung darüber verlangen, ob durch den Verantwortlichen personenbezogene Daten des Anfragenden verarbeitet werden. Bei der Auskunftserteilung ist dabei zu beachten, dass auch eine Negativauskunft zu erteilen ist, wenn der Verantwortliche entweder keine Daten zu dieser Person verarbeitet oder personenbezogene Daten unumkehrbar anonymisiert hat.

Zudem kann die betroffene Person auch ganz konkrete Auskunft darüber verlangen, welche personenbezogenen Daten im Einzelnen vom Verantwortlichen verarbeitet werden.

Teilurteil des Landgerichts Köln vom 18.03.2019

Das Landgericht Köln hatte darüber zu befinden, in welchem Umfang durch den Verantwortlichen tatsächlich Auskunft zu erteilen ist. Die Parteien stritten darüber, ob die Beklagte in ausreichendem Maße Auskunft über die bei ihr von der Klägerin gespeicherten personenbezogenen Daten erteilt hat. Die Klägerin vertrat dabei die Rechtsauffassung, dass die Beklagte verpflichtet sei, sämtliche gespeicherte Informationen im Rahmen der Auskunftserteilung herauszugeben habe.

Mit Teilurteil vom 18.03.2019, Aktenzeichen 26 O 25/18 entschied das Landgericht Köln, dass das Auskunftsrecht des Art. 15 Abs. 1 DS-GVO jegliche Merkmale umfasst, die die Identifizierbarkeit einer Person ermöglichen. Davon umfasst sind also neben Namen, Anschrift, Telefonnummer, E-Mail-Adresse auch Gesundheitsdaten, Kontoverbindung und Ähnliches. Auch ärztliche Unterlagen, Gutachten oder sonstige vergleichbare Mitteilungen anderer Quellen stellen ebenfalls „personenbezogene Daten“ dar (Erwägungsgrund 63 zur DS-GVO).

Der Auskunftsanspruch erstreckt sich nach zutreffender Rechtsauffassung des Gerichts aber nicht auf sämtliche interne Vorgänge der Beklagten, wie zum Beispiel verfasste Vermerke oder rechtliche Bewertungen und Analysen. Zur Auskunftserteilung gehört ebenfalls nicht, dass die betreffende Person sämtlichen gewechselten Schriftverkehr, der dem Betroffenen bereits bekannt ist, erneut ausgedruckt und übersendet erhält. Der Anspruch aus Art. 15DS-GVO dient nicht der vereinfachten Buchführung des Betroffenen, sondern soll sicherstellen, dass der Betroffene den Umfang und den Inhalt der gespeicherten personenbezogenen Daten beurteilen kann. Folgerichtig bestimmt Art. 15 Abs. 3 DS-GVO, dass der Betroffene eine Kopie (lediglich) der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, erhält. Die Übersendung weiterer Unterlagen ist dagegen nicht vorgesehen und kann daher vom Betroffenen auch nicht verlangt werden.

Weitere Informationspflichten

Zu beachten ist, dass neben der Auskunft über die personenbezogenen Daten selbst vom Verantwortlichen noch weitere Informationen im Rahmen einer vollständigen Auskunft der betroffenen Person mitzuteilen sind.

Nach Art. 15 Abs. 1 DS-GVO sind folgende Informationen ebenfalls mitzuteilen:

  • Verarbeitungszwecke,
  • Kategorien personenbezogener Daten, die verarbeitet werden,
  • Empfänger bzw. Kategorien von Empfängern, die diese Daten bereits erhalten haben oder künftig noch erhalten werden,
  • geplante Speicherdauer falls möglich, andernfalls die Kriterien für die Festlegung der Speicherdauer,
  • Bestehen eines Rechts auf Berichtigung oder Löschung der sie betreffenden personenbezogenen Daten oder auf Einschränkung der Verarbeitung durch den Verantwortlichen,
  • Bestehen eines Widerspruchsrecht gegen diese Verarbeitung nach Art. 21 DS-GVO,
  • Bestehen eines Beschwerderechts für die betroffene Person bei der Aufsichtsbehörde,
  • Herkunft der Daten, soweit diese nicht bei der betroffenen Person selbst erhoben wurden, und
  • das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling mit aussagekräftigen Informationen über die dabei involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen solcher Verfahren.

Im Falle der Datenübermittlung in Drittländer ist über die insoweit gegebenen Garantien gemäß Art. 46 DS-GVO zu informieren (z. B. vereinbarte Standard-Datenschutzklauseln, verbindliche interne Datenschutzvorschriften, d. h. BCR). Keine Drittländer sind die EU-Mitgliedsstaaten und die Vertragsstaaten des EWR.

Es ist daher darauf zu achten, dass der betroffenen Person eine umfassende und vollständige Auskunft erteilt wird, die neben den gespeicherten und verarbeiteten personenbezogenen Daten in jedem Fall auch die weiteren Informationen enthalten muss. Dabei hat die Auskunft gemäß Art. 12 Abs. 1 GS-GVO leicht verständlich in klaren und einfachen Worten zu erfolgen.

Rechtsanwältin Kathleen Brauner

dmp@derra-dd.de

Stand: 08/2019

 

Wie bereits das Bundesdatenschutzgesetz in der Fassung bis zum 25.05.2018 sieht auch die DS-GVO in Art. 15 Abs. 1 DS-GVO das Recht für jeden Betroffenen vor, von einem Dritten Auskunft darüber zu verlangen, ob und welche personenbezogenen Daten dieser von einem selbst gespeichert hat. In Bezug auf die Anforderungen und den Inhalt der Auskunft gehen die Bestimmungen der DS-GVO jedoch über die vorher geltenden Bestimmungen des BDSG-alt hinaus.

Umfang der Auskunft

Gemäß Art. 15 Abs. 1 DS-GVO kann der Anfragende als betroffene Person zunächst eine Bestätigung darüber verlangen, ob durch den Verantwortlichen personenbezogene Daten des Anfragenden verarbeitet werden. Bei der Auskunftserteilung ist dabei zu beachten, dass auch eine Negativauskunft zu erteilen ist, wenn der Verantwortliche entweder keine Daten zu dieser Person verarbeitet oder personenbezogene Daten unumkehrbar anonymisiert hat.

Zudem kann die betroffene Person auch ganz konkrete Auskunft darüber verlangen, welche personenbezogenen Daten im Einzelnen vom Verantwortlichen verarbeitet werden.

Teilurteil des Landgerichts Köln vom 18.03.2019

Das Landgericht Köln hatte darüber zu befinden, in welchem Umfang durch den Verantwortlichen tatsächlich Auskunft zu erteilen ist. Die Parteien stritten darüber, ob die Beklagte in ausreichendem Maße Auskunft über die bei ihr von der Klägerin gespeicherten personenbezogenen Daten erteilt hat. Die Klägerin vertrat dabei die Rechtsauffassung, dass die Beklagte verpflichtet sei, sämtliche gespeicherte Informationen im Rahmen der Auskunftserteilung herauszugeben habe.

Mit Teilurteil vom 18.03.2019, Aktenzeichen 26 O 25/18 entschied das Landgericht Köln, dass das Auskunftsrecht des Art. 15 Abs. 1 DS-GVO jegliche Merkmale umfasst, die die Identifizierbarkeit einer Person ermöglichen. Davon umfasst sind also neben Namen, Anschrift, Telefonnummer, E-Mail-Adresse auch Gesundheitsdaten, Kontoverbindung und Ähnliches. Auch ärztliche Unterlagen, Gutachten oder sonstige vergleichbare Mitteilungen anderer Quellen stellen ebenfalls „personenbezogene Daten“ dar (Erwägungsgrund 63 zur DS-GVO).

Der Auskunftsanspruch erstreckt sich nach zutreffender Rechtsauffassung des Gerichts aber nicht auf sämtliche interne Vorgänge der Beklagten, wie zum Beispiel verfasste Vermerke oder rechtliche Bewertungen und Analysen. Zur Auskunftserteilung gehört ebenfalls nicht, dass die betreffende Person sämtlichen gewechselten Schriftverkehr, der dem Betroffenen bereits bekannt ist, erneut ausgedruckt und übersendet erhält. Der Anspruch aus Art. 15DS-GVO dient nicht der vereinfachten Buchführung des Betroffenen, sondern soll sicherstellen, dass der Betroffene den Umfang und den Inhalt der gespeicherten personenbezogenen Daten beurteilen kann. Folgerichtig bestimmt Art. 15 Abs. 3 DS-GVO, dass der Betroffene eine Kopie (lediglich) der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, erhält. Die Übersendung weiterer Unterlagen ist dagegen nicht vorgesehen und kann daher vom Betroffenen auch nicht verlangt werden.

Weitere Informationspflichten

Zu beachten ist, dass neben der Auskunft über die personenbezogenen Daten selbst vom Verantwortlichen noch weitere Informationen im Rahmen einer vollständigen Auskunft der betroffenen Person mitzuteilen sind.

Nach Art. 15 Abs. 1 DS-GVO sind folgende Informationen ebenfalls mitzuteilen:

  • Verarbeitungszwecke,
  • Kategorien personenbezogener Daten, die verarbeitet werden,
  • Empfänger bzw. Kategorien von Empfängern, die diese Daten bereits erhalten haben oder künftig noch erhalten werden,
  • geplante Speicherdauer falls möglich, andernfalls die Kriterien für die Festlegung der Speicherdauer,
  • Bestehen eines Rechts auf Berichtigung oder Löschung der sie betreffenden personenbezogenen Daten oder auf Einschränkung der Verarbeitung durch den Verantwortlichen,
  • Bestehen eines Widerspruchsrecht gegen diese Verarbeitung nach Art. 21 DS-GVO,
  • Bestehen eines Beschwerderechts für die betroffene Person bei der Aufsichtsbehörde,
  • Herkunft der Daten, soweit diese nicht bei der betroffenen Person selbst erhoben wurden, und
  • das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling mit aussagekräftigen Informationen über die dabei involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen solcher Verfahren.

Im Falle der Datenübermittlung in Drittländer ist über die insoweit gegebenen Garantien gemäß Art. 46 DS-GVO zu informieren (z. B. vereinbarte Standard-Datenschutzklauseln, verbindliche interne Datenschutzvorschriften, d. h. BCR). Keine Drittländer sind die EU-Mitgliedsstaaten und die Vertragsstaaten des EWR.

Es ist daher darauf zu achten, dass der betroffenen Person eine umfassende und vollständige Auskunft erteilt wird, die neben den gespeicherten und verarbeiteten personenbezogenen Daten in jedem Fall auch die weiteren Informationen enthalten muss. Dabei hat die Auskunft gemäß Art. 12 Abs. 1 GS-GVO leicht verständlich in klaren und einfachen Worten zu erfolgen.

Rechtsanwältin Kathleen Brauner

dmp@derra-dd.de

Stand: 08/2019

 

01 Aug
2019

EuGH-Urteil zu Facebook „Gefällt mir“-Button": Webseitenbetreiber auch verantwortlich

Der Europäische Gerichtshof (EuGH) hat mit Urteil vom 29.07.2019, Aktenzeichen C-40/17, zur Rechtmäßigkeit der Implementierung des Facebook „Gefällt mir“-Buttons auf Webseiten geurteilt.

mehr lesen

Der Europäische Gerichtshof (EuGH) hat mit Urteil vom 29.07.2019, Aktenzeichen C-40/17, zur Rechtmäßigkeit der Implementierung des Facebook „Gefällt mir“-Buttons auf Webseiten geurteilt.

Worum ging es in dem Rechtsstreit

Dem Urteil ging ein Rechtstreit der Verbraucherzentrale Nordrheinwestfalen gegen einen Online-Händler voraus. Abgemahnt war, dass das Unternehmen einen Social Plugin von Facebook, den sogenannten „Gefällt mir“-Button, auf seiner Webseite implementiert hatte. Dabei werden in der Regel bei Aufruf der Webseite die IP-Adresse des Webseitenbesuchers, die aufgerufenen Inhalte sowie bestimmte Browserinformationen an Facebook übermittelt und dort gespeichert.

In dem Rechtsstreit ging es grundsätzlich um die Frage, ob und wie der Webseitenbetreiber den „Gefällt mir“-Button auf seiner Webseite datenschutzkonform einbinden kann, obwohl durch die Einbindung automatisch personenbezogene Datendes Webseitenbesuchers an Facebook übertragen werden. Konkret hatte der EuGH darüber zu entscheiden, ob der Webseitenbetreiber als datenschutzrechtlicher Verantwortlicher anzusehen ist. Daneben stand aber auch die Frage der Rechtsgrundlage im Raum, wenn auf Grund des „Gefällt mir“-Buttons personenbezogene Daten verarbeitet werden.

Das Urteil: Webseitenbetreiber und Facebook sind datenschutzrechtlich gemeinsam verantwortlich

Der EuGH kommt, wie schon in seinem Urteil vom 05.06.2018 (Aktenzeichen C-210/16) zu den Facebook-Fanpages, zu dem Schluss, dass auch bei der Einbindung des Facebook „Gefällt mir“-Buttons das Unternehmen als Webseitenbetreiber zusammen mit Facebook datenschutzrechtlich gemeinsam verantwortlich sind. Deshalb müssen beide eine Vereinbarung zur gemeinsamen Verantwortlichkeit schließen. Eine solche wird bisher von Facebook noch nicht angeboten. 

Der EuGH argumentierte, dass es die Einbindung des „Gefällt mir“-Buttons dem Webseitenbetreiber erlaube, die Werbung für seine Produkte zu optimieren, indem diese bei Facebook sichtbarer gemacht werden. Das – so der EuGH – ist ein wirtschaftlicher Vorteil, für den das beklagte Unternehmen zumindest stillschweigend der Erhebung personenbezogener Daten der Webseitenbesucher zugestimmt hat.

Für die Datenverarbeitung, die Facebook im Anschluss an die Datenübermittlung vornimmt, sei der Webseitenbetreiber aber nicht verantwortlich. Denn dieser entscheidet dann nicht (mehr) über Zwecke und Mittel dieser weiteren Verarbeitungsvorgänge. Es reicht aber für eine gemeinsame Verantwortlichkeit aus, dass nur ein Teil der Verarbeitungsvorgänge – hier das Erheben und Übermitteln der personenbezogenen Daten – gemeinsam erfolgt, auch wenn der Webseitenbetreiber im Anschluss keinen Einfluss mehr auf die weitere Verarbeitung hat.

Einwilligungserfordernis beim Setzen von Cookies

Streitig war auch die Rechtsgrundlage für das Erheben und Übermitteln der personenbezogenen Daten auf der Unternehmenswebseite. Hierzu führte der EuGH aus, dass er zusammen mit der europäischen Kommission grundsätzlich von einem Einwilligungserfordernis gemäß Art. 5 Abs. 3 der Richtlinie 2002/58/EG ausgehe, sofern auf Grund des Facebook „Gefällt mir“-Buttons Cookies auf dem Endgerät des Webseitenbesuchers gespeichert werden. Eine Einwilligung liege aber dem Sachverhalt nicht zugrunde, da sich der Webseitenbetreiber unstreitig auf ein berechtigtes Interesse beruft. 

Ob in dem konkreten Fall ebenfalls eine Einwilligung notwendig sei, ließ der EuGH offen. Es wird demnach darauf ankommen, ob beim Facebook „Gefällt mir“-Button ein Cookie gesetzt wird oder nicht. Diese technische Frage hat der EuGH dem Oberlandesgericht Düsseldorf als vorlegendem Gericht zur Klärung überlassen. 

Informationspflicht des Webseitenbetreibers

Der EuGH hat darüber hinaus auch nochmals klargemacht, dass den Webseitenbetreiber eine Informationspflicht trifft. Er hat zumindest über den Teil der Datenverarbeitung zu informieren, für den er verantwortlich ist. Die Information muss bei Erhebung der Daten erfolgen, kann also nicht nachträglich durch Facebook erfolgen. Das bedeutet, dass im Falle des Facebook „Gefällt mir“-Buttons der Webseitenbesucher bereits vor Aktivierung datenschutzkonform zu informieren ist.

Fazit 

Das Urteil erging zwar zur Vorgängerrichtlinie der DS-GVO, da die relevanten Normen aber ebenfalls in der DS-GVO übernommen wurden, gelten die Grundsätze des EuGH auch in dieser Hinsicht.

Der EuGH hat entschieden, dass der Betreiber einer Webseite auch für Tools Dritter datenschutzrechtlich verantwortlich sein kann und für das Setzen von technisch nicht notwendigen Cookies möglicherweise eine Einwilligung notwendig ist. Das Urteil hat somit eine Strahlweite, die über den Facebook „Gefällt mir“-Button hinausgeht.

Der Umstand der gemeinsamen Verantwortlichkeit wird so wohl auch für alle anderen Social-Plugin-Dienste wie Instagram, Twitter, GooglePlus oder YouTube gelten. Aber auch die bisherige Cookie-Praxis in Deutschland, die in der Regel ein bloßes Widerspruchsrecht vorsieht, steht auf der Kippe, auch wenn der EuGH diese Frage ausdrücklich dem vorlegenden Gericht zur Klärung überlassen hat. 

Was ist zu tun?

So lange Facebook keine Vereinbarung für gemeinsam Verantwortliche zur Verfügung stellt, besteht das erhöhte Risiko einer Abmahnung, wenn ein Unternehmen einen „Gefällt mir“-Button oder ein vergleichbares Tool auf seiner Webseite einbindet. Denn ohne entsprechende Vereinbarung liegt ohne Zweifel ein Verstoß gegen Art. 26 DS-GVO vor.

 Zudem ist es ratsam, alle Arten von Social-Plugin-Diensten von einer Cookie-Consent Plattform erfassen zu lassen, um eine Einwilligung des Webseitenbesuchers einzuholen.

Rechtsanwalt Nils Steffen

dmp@derra-ul.de

Stand: 08/2019

Der Europäische Gerichtshof (EuGH) hat mit Urteil vom 29.07.2019, Aktenzeichen C-40/17, zur Rechtmäßigkeit der Implementierung des Facebook „Gefällt mir“-Buttons auf Webseiten geurteilt.

Worum ging es in dem Rechtsstreit

Dem Urteil ging ein Rechtstreit der Verbraucherzentrale Nordrheinwestfalen gegen einen Online-Händler voraus. Abgemahnt war, dass das Unternehmen einen Social Plugin von Facebook, den sogenannten „Gefällt mir“-Button, auf seiner Webseite implementiert hatte. Dabei werden in der Regel bei Aufruf der Webseite die IP-Adresse des Webseitenbesuchers, die aufgerufenen Inhalte sowie bestimmte Browserinformationen an Facebook übermittelt und dort gespeichert.

In dem Rechtsstreit ging es grundsätzlich um die Frage, ob und wie der Webseitenbetreiber den „Gefällt mir“-Button auf seiner Webseite datenschutzkonform einbinden kann, obwohl durch die Einbindung automatisch personenbezogene Datendes Webseitenbesuchers an Facebook übertragen werden. Konkret hatte der EuGH darüber zu entscheiden, ob der Webseitenbetreiber als datenschutzrechtlicher Verantwortlicher anzusehen ist. Daneben stand aber auch die Frage der Rechtsgrundlage im Raum, wenn auf Grund des „Gefällt mir“-Buttons personenbezogene Daten verarbeitet werden.

Das Urteil: Webseitenbetreiber und Facebook sind datenschutzrechtlich gemeinsam verantwortlich

Der EuGH kommt, wie schon in seinem Urteil vom 05.06.2018 (Aktenzeichen C-210/16) zu den Facebook-Fanpages, zu dem Schluss, dass auch bei der Einbindung des Facebook „Gefällt mir“-Buttons das Unternehmen als Webseitenbetreiber zusammen mit Facebook datenschutzrechtlich gemeinsam verantwortlich sind. Deshalb müssen beide eine Vereinbarung zur gemeinsamen Verantwortlichkeit schließen. Eine solche wird bisher von Facebook noch nicht angeboten. 

Der EuGH argumentierte, dass es die Einbindung des „Gefällt mir“-Buttons dem Webseitenbetreiber erlaube, die Werbung für seine Produkte zu optimieren, indem diese bei Facebook sichtbarer gemacht werden. Das – so der EuGH – ist ein wirtschaftlicher Vorteil, für den das beklagte Unternehmen zumindest stillschweigend der Erhebung personenbezogener Daten der Webseitenbesucher zugestimmt hat.

Für die Datenverarbeitung, die Facebook im Anschluss an die Datenübermittlung vornimmt, sei der Webseitenbetreiber aber nicht verantwortlich. Denn dieser entscheidet dann nicht (mehr) über Zwecke und Mittel dieser weiteren Verarbeitungsvorgänge. Es reicht aber für eine gemeinsame Verantwortlichkeit aus, dass nur ein Teil der Verarbeitungsvorgänge – hier das Erheben und Übermitteln der personenbezogenen Daten – gemeinsam erfolgt, auch wenn der Webseitenbetreiber im Anschluss keinen Einfluss mehr auf die weitere Verarbeitung hat.

Einwilligungserfordernis beim Setzen von Cookies

Streitig war auch die Rechtsgrundlage für das Erheben und Übermitteln der personenbezogenen Daten auf der Unternehmenswebseite. Hierzu führte der EuGH aus, dass er zusammen mit der europäischen Kommission grundsätzlich von einem Einwilligungserfordernis gemäß Art. 5 Abs. 3 der Richtlinie 2002/58/EG ausgehe, sofern auf Grund des Facebook „Gefällt mir“-Buttons Cookies auf dem Endgerät des Webseitenbesuchers gespeichert werden. Eine Einwilligung liege aber dem Sachverhalt nicht zugrunde, da sich der Webseitenbetreiber unstreitig auf ein berechtigtes Interesse beruft. 

Ob in dem konkreten Fall ebenfalls eine Einwilligung notwendig sei, ließ der EuGH offen. Es wird demnach darauf ankommen, ob beim Facebook „Gefällt mir“-Button ein Cookie gesetzt wird oder nicht. Diese technische Frage hat der EuGH dem Oberlandesgericht Düsseldorf als vorlegendem Gericht zur Klärung überlassen. 

Informationspflicht des Webseitenbetreibers

Der EuGH hat darüber hinaus auch nochmals klargemacht, dass den Webseitenbetreiber eine Informationspflicht trifft. Er hat zumindest über den Teil der Datenverarbeitung zu informieren, für den er verantwortlich ist. Die Information muss bei Erhebung der Daten erfolgen, kann also nicht nachträglich durch Facebook erfolgen. Das bedeutet, dass im Falle des Facebook „Gefällt mir“-Buttons der Webseitenbesucher bereits vor Aktivierung datenschutzkonform zu informieren ist.

Fazit 

Das Urteil erging zwar zur Vorgängerrichtlinie der DS-GVO, da die relevanten Normen aber ebenfalls in der DS-GVO übernommen wurden, gelten die Grundsätze des EuGH auch in dieser Hinsicht.

Der EuGH hat entschieden, dass der Betreiber einer Webseite auch für Tools Dritter datenschutzrechtlich verantwortlich sein kann und für das Setzen von technisch nicht notwendigen Cookies möglicherweise eine Einwilligung notwendig ist. Das Urteil hat somit eine Strahlweite, die über den Facebook „Gefällt mir“-Button hinausgeht.

Der Umstand der gemeinsamen Verantwortlichkeit wird so wohl auch für alle anderen Social-Plugin-Dienste wie Instagram, Twitter, GooglePlus oder YouTube gelten. Aber auch die bisherige Cookie-Praxis in Deutschland, die in der Regel ein bloßes Widerspruchsrecht vorsieht, steht auf der Kippe, auch wenn der EuGH diese Frage ausdrücklich dem vorlegenden Gericht zur Klärung überlassen hat. 

Was ist zu tun?

So lange Facebook keine Vereinbarung für gemeinsam Verantwortliche zur Verfügung stellt, besteht das erhöhte Risiko einer Abmahnung, wenn ein Unternehmen einen „Gefällt mir“-Button oder ein vergleichbares Tool auf seiner Webseite einbindet. Denn ohne entsprechende Vereinbarung liegt ohne Zweifel ein Verstoß gegen Art. 26 DS-GVO vor.

 Zudem ist es ratsam, alle Arten von Social-Plugin-Diensten von einer Cookie-Consent Plattform erfassen zu lassen, um eine Einwilligung des Webseitenbesuchers einzuholen.

Rechtsanwalt Nils Steffen

dmp@derra-ul.de

Stand: 08/2019

29 Jul
2019

EuGH: Übermittlung von personenbezogenen Daten in die USA

Nutzen Sie Dienstleister oder sonstige Anbieter, die personenbezogene Daten in die Vereinigten Staaten von Amerika (USA) übermitteln?

mehr lesen

Nutzen Sie Dienstleister oder sonstige Anbieter, die personenbezogene Daten in die Vereinigten Staaten von Amerika (USA) übermitteln? Falls Sie als Unternehmen beispielsweise eine eigene Facebook-Seite (sogenannte Fanpage) betreiben oder in den USA angesiedelte Cloud-Services nutzen, ist dies der Fall. Dann sollten Sie das Verfahren, das dem EuGH gegenwärtig vorliegt, im Auge behalten. Mit einer Entscheidung ist Ende dieses Jahres zu rechnen – und die könnte weitreichende Folgen haben.

Datenübermittlungen durch Facebook

Wenn Sie innerhalb der EU ansässig sind und eine Facebook-Seite betreiben, schließen Sie dazu einen entsprechenden Nutzungsvertrag mit Facebook Ireland Limited, der europäischen Tochter des US-Unternehmens Facebook, Inc. Im Rahmen dieser Nutzung erhebt und verarbeitet zunächst die europäische Facebook-Tochter personenbezogene Daten, die in Irland auf den dort befindlichen Servern gespeichert werden. Anschließend werden diese Daten an Facebook, Inc. in den USA übermittelt und ein weiteres Mal auf den dort befindlichen Servern gespeichert. Einzelheiten über die Datenverarbeitungen gibt Facebook allerdings nicht preis.

EuGH-Verfahren: Facebook und Max Schrems

Der EuGH beschäftigt sich nun erneut mit der Frage, ob Facebook personenbezogene Daten aus der Europäischen Union (EU) in die USA übertragen darf (Rechtssache C-311/18). Dem Verfahren liegt ein Rechtsstreit zwischen Facebook und Max Schrems, einem österreichischen Juristen und Datenschutzaktivisten, zugrunde. Dieser versucht seit Jahren, die Datenübertragungen an das US-Unternehmen Facebook Inc. mit der anschließenden Speicherung der Daten in den USA zu verhindern. Schrems ist der Ansicht, in den USA herrsche ein geringeres, nicht mit dem in der EU vergleichbares Datenschutzniveau. Deshalb dürfe Facebook Ireland Ltd. die erhobenen Daten nicht in die USA übermitteln – unabhängig davon, ob dies auf Grundlage eines Angemessenheitsbeschlusses oder von Standardvertragsklauseln erfolge. Im Zweifel würden beide Instrumente kein angemessenes Schutzniveau in den USA gewährleisten.

Am 9. Juli 2019 verhandelte nun der EuGH über die Frage, ob Facebook auf diesen Grundlagen personenbezogene Daten aus der EU in die USA übertragen darf. Die zu erwartende Entscheidung betrifft damit sogleich die Grundsätze des europäisch-US-amerikanischen Datenverkehrs.

Datenübertragungen nur in sichere Drittländer

Nach der Datenschutz-Grundverordnung (DS-GVO) dürfen personenbezogene Daten nur unter bestimmten Voraussetzungen in Drittländer übertragen werden. Drittländer im Sinne der DS-GVO sind Staaten außerhalb der EU und des Europäischen Wirtschaftsraums (EWR). Zum EWR zählen Island, Liechtenstein und Norwegen.

Personenbezogene Daten dürfen gemäß Artt. 44 ff. DS-GVO nur in ein Drittland übermittelt werden, wenn sichergestellt ist, dass dort generell ein dem Rechtsrahmen der EU gegenüber angemessenes Schutzniveau besteht oder im Einzelfall geeignete Garantien umgesetzt werden, die im konkreten Fall die Einhaltung eines vergleichbaren, angemessenen Schutzniveaus gewährleisten. Ob in einem Drittland generell ein angemessenes Schutzniveau besteht, stellt die Europäische Kommission durch einen Angemessenheitsbeschluss nach Art. 45 DS-GVO fest. Existiert für ein betreffendes Drittland kein solcher Beschluss, dürfen Unternehmen Daten in dieses Drittland nur übertragen, wenn geeignete Garantien nach Art. 46 DS-GVO vorliegen oder eine Ausnahme nach Art. 49 DS-GVO besteht. Zu solchen geeigneten Garantien zählen beispielsweise sogenannte „Binding Corporate Rules“ oder die Standardvertragsklauseln der Europäischen Kommission.

Datenübertragungen in die USA

In Bezug auf die USA besteht zwar ein Angemessenheitsbeschluss der Europäischen Kommission (unter https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:32016D1250&from=DE abrufbar). Dieser Beschluss bezieht sich aber lediglich auf das sogenannte EU-US Privacy Shield (auf Deutsch: EU-US-Datenschutzschild). Er hat nicht zur Folge, dass für die USA allgemein ein angemessenes Datenschutzniveau festgestellt wurde. Beide Instrumente zusammen gewährleisten eine Grundlage für Datenübermittlungen nur an Unternehmen, die nach dem Privacy Shield zertifiziert sind.

Unter dem Privacy Shield ist eine Art informelle Absprache zwischen der EU und den USA zu verstehen, im Rahmen derer die USA der EU die Einhaltung eines dem Datenschutzniveau der EU vergleichbaren Standards zusichert. Es bildet die Grundlage für einen Großteil der Datenübertragungen in die USA. Soweit die Regelungen des Privacy Shields eingehalten werden, kann (bislang) angenommen werden, dass ein angemessenes Schutzniveau in den USA gewährleistet wird. Die Einhaltung dieser Regelungen wird mittels eines Selbstzertifizierungsmechanismus sichergestellt. Knackpunkt ist hier, dass sich US-Unternehmen (durch die US-Regierung) jeweils einzeln nach dem Privacy Shield zertifizieren lassen müssen. Das heißt: Nur an Unternehmen, die eine gültige Privacy Shield-Zertifizierung besitzen (und damit versprechen, die Regelungen zum Datenschutz einzuhalten), dürfen Daten aus der EU übertragen werden (eine offizielle Liste des US-Handelsministeriums ist unter https://www.privacyshield.gov/list abrufbar). Nur dann kann der zuvor genannte Angemessenheitsbeschluss als Grundlage herangezogen werden.

Entscheidung des EuGH

Zwar besitzt auch das US-Unternehmen Facebook, Inc. eine gültige Privacy-Shield-Zertifizierung. Damit könnte die Übertragung also grundsätzlich auf den Angemessenheitsbeschluss der Kommission zum Privacy Shield der USA gestützt werden.

Allerdings sieht Schrems hier ein grundlegendes Problem: US-Unternehmen (auch solche mit einer Privacy Shield-Zertifizierung) sind nach US-Recht verpflichtet, Daten zum Zwecke der nationalen Sicherheit auf Verlangen an die US-Behörden (FBI, NSA) weiterzugeben. Insofern muss infrage gestellt werden, ob durch das Privacy Shield tatsächlich ein angemessenes Datenschutzniveau in den USA besteht. Wird dies verneint, dürfen Daten nicht mehr ohne zusätzliche Garantien (z.B. durch Standardvertragsklauseln) an US-Unternehmen übertragen werden. Diese Frage muss der EuGH nun klären. Zunächst will der zuständige Generalanwalt am EuGH am 12. Dezember 2019 seine Schlussanträge vorlegen. Die Entscheidung des Gerichts bleibt dann mit Spannung zu erwarten.

Das bedeutet:

Konkret in Bezug auf Übertragungen an US-Unternehmen ist die Entscheidung des EuGH mit Spannung zu erwarten. Im Übrigen gilt: Wenn Sie als Unternehmen derartige Dienstleister oder sonstige Anbieter nutzen, beispielsweise soziale Medien zu Kommunikations- oder Werbezwecken sowie Cloudanbieter, die außerhalb der EU/des EWR angesiedelt sind, sollten Sie überprüfen, ob die Voraussetzungen für entsprechende Datenübermittlungen nach der DS-GVO vorliegen. Denn darauf, ob im Hinblick auf das jeweilige Drittland ein Angemessenheitsbeschluss der Kommission vorliegt oder die Datenübermittlung auf sonstige Garantien für Drittlandübermittlungen gestützt wird, muss im Rahmen der Pflichtinformationen nach Artt. 13, 14 DS-GVO hingewiesen werden. Das größte Problem wird hier sein, dass Facebook die Datenverarbeitungen im Einzelnen nicht offenlegt. Darauf, dass sich diese der eigenen Kenntnis entziehen, sollte ebenfalls hingewiesen werden.

Rechtsanwältin Johanna Mäkert, LL.M. (Bukarest)

dmp@derra-b.de

Stand: 08/2019

Nutzen Sie Dienstleister oder sonstige Anbieter, die personenbezogene Daten in die Vereinigten Staaten von Amerika (USA) übermitteln? Falls Sie als Unternehmen beispielsweise eine eigene Facebook-Seite (sogenannte Fanpage) betreiben oder in den USA angesiedelte Cloud-Services nutzen, ist dies der Fall. Dann sollten Sie das Verfahren, das dem EuGH gegenwärtig vorliegt, im Auge behalten. Mit einer Entscheidung ist Ende dieses Jahres zu rechnen – und die könnte weitreichende Folgen haben.

Datenübermittlungen durch Facebook

Wenn Sie innerhalb der EU ansässig sind und eine Facebook-Seite betreiben, schließen Sie dazu einen entsprechenden Nutzungsvertrag mit Facebook Ireland Limited, der europäischen Tochter des US-Unternehmens Facebook, Inc. Im Rahmen dieser Nutzung erhebt und verarbeitet zunächst die europäische Facebook-Tochter personenbezogene Daten, die in Irland auf den dort befindlichen Servern gespeichert werden. Anschließend werden diese Daten an Facebook, Inc. in den USA übermittelt und ein weiteres Mal auf den dort befindlichen Servern gespeichert. Einzelheiten über die Datenverarbeitungen gibt Facebook allerdings nicht preis.

EuGH-Verfahren: Facebook und Max Schrems

Der EuGH beschäftigt sich nun erneut mit der Frage, ob Facebook personenbezogene Daten aus der Europäischen Union (EU) in die USA übertragen darf (Rechtssache C-311/18). Dem Verfahren liegt ein Rechtsstreit zwischen Facebook und Max Schrems, einem österreichischen Juristen und Datenschutzaktivisten, zugrunde. Dieser versucht seit Jahren, die Datenübertragungen an das US-Unternehmen Facebook Inc. mit der anschließenden Speicherung der Daten in den USA zu verhindern. Schrems ist der Ansicht, in den USA herrsche ein geringeres, nicht mit dem in der EU vergleichbares Datenschutzniveau. Deshalb dürfe Facebook Ireland Ltd. die erhobenen Daten nicht in die USA übermitteln – unabhängig davon, ob dies auf Grundlage eines Angemessenheitsbeschlusses oder von Standardvertragsklauseln erfolge. Im Zweifel würden beide Instrumente kein angemessenes Schutzniveau in den USA gewährleisten.

Am 9. Juli 2019 verhandelte nun der EuGH über die Frage, ob Facebook auf diesen Grundlagen personenbezogene Daten aus der EU in die USA übertragen darf. Die zu erwartende Entscheidung betrifft damit sogleich die Grundsätze des europäisch-US-amerikanischen Datenverkehrs.

Datenübertragungen nur in sichere Drittländer

Nach der Datenschutz-Grundverordnung (DS-GVO) dürfen personenbezogene Daten nur unter bestimmten Voraussetzungen in Drittländer übertragen werden. Drittländer im Sinne der DS-GVO sind Staaten außerhalb der EU und des Europäischen Wirtschaftsraums (EWR). Zum EWR zählen Island, Liechtenstein und Norwegen.

Personenbezogene Daten dürfen gemäß Artt. 44 ff. DS-GVO nur in ein Drittland übermittelt werden, wenn sichergestellt ist, dass dort generell ein dem Rechtsrahmen der EU gegenüber angemessenes Schutzniveau besteht oder im Einzelfall geeignete Garantien umgesetzt werden, die im konkreten Fall die Einhaltung eines vergleichbaren, angemessenen Schutzniveaus gewährleisten. Ob in einem Drittland generell ein angemessenes Schutzniveau besteht, stellt die Europäische Kommission durch einen Angemessenheitsbeschluss nach Art. 45 DS-GVO fest. Existiert für ein betreffendes Drittland kein solcher Beschluss, dürfen Unternehmen Daten in dieses Drittland nur übertragen, wenn geeignete Garantien nach Art. 46 DS-GVO vorliegen oder eine Ausnahme nach Art. 49 DS-GVO besteht. Zu solchen geeigneten Garantien zählen beispielsweise sogenannte „Binding Corporate Rules“ oder die Standardvertragsklauseln der Europäischen Kommission.

Datenübertragungen in die USA

In Bezug auf die USA besteht zwar ein Angemessenheitsbeschluss der Europäischen Kommission (unter https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:32016D1250&from=DE abrufbar). Dieser Beschluss bezieht sich aber lediglich auf das sogenannte EU-US Privacy Shield (auf Deutsch: EU-US-Datenschutzschild). Er hat nicht zur Folge, dass für die USA allgemein ein angemessenes Datenschutzniveau festgestellt wurde. Beide Instrumente zusammen gewährleisten eine Grundlage für Datenübermittlungen nur an Unternehmen, die nach dem Privacy Shield zertifiziert sind.

Unter dem Privacy Shield ist eine Art informelle Absprache zwischen der EU und den USA zu verstehen, im Rahmen derer die USA der EU die Einhaltung eines dem Datenschutzniveau der EU vergleichbaren Standards zusichert. Es bildet die Grundlage für einen Großteil der Datenübertragungen in die USA. Soweit die Regelungen des Privacy Shields eingehalten werden, kann (bislang) angenommen werden, dass ein angemessenes Schutzniveau in den USA gewährleistet wird. Die Einhaltung dieser Regelungen wird mittels eines Selbstzertifizierungsmechanismus sichergestellt. Knackpunkt ist hier, dass sich US-Unternehmen (durch die US-Regierung) jeweils einzeln nach dem Privacy Shield zertifizieren lassen müssen. Das heißt: Nur an Unternehmen, die eine gültige Privacy Shield-Zertifizierung besitzen (und damit versprechen, die Regelungen zum Datenschutz einzuhalten), dürfen Daten aus der EU übertragen werden (eine offizielle Liste des US-Handelsministeriums ist unter https://www.privacyshield.gov/list abrufbar). Nur dann kann der zuvor genannte Angemessenheitsbeschluss als Grundlage herangezogen werden.

Entscheidung des EuGH

Zwar besitzt auch das US-Unternehmen Facebook, Inc. eine gültige Privacy-Shield-Zertifizierung. Damit könnte die Übertragung also grundsätzlich auf den Angemessenheitsbeschluss der Kommission zum Privacy Shield der USA gestützt werden.

Allerdings sieht Schrems hier ein grundlegendes Problem: US-Unternehmen (auch solche mit einer Privacy Shield-Zertifizierung) sind nach US-Recht verpflichtet, Daten zum Zwecke der nationalen Sicherheit auf Verlangen an die US-Behörden (FBI, NSA) weiterzugeben. Insofern muss infrage gestellt werden, ob durch das Privacy Shield tatsächlich ein angemessenes Datenschutzniveau in den USA besteht. Wird dies verneint, dürfen Daten nicht mehr ohne zusätzliche Garantien (z.B. durch Standardvertragsklauseln) an US-Unternehmen übertragen werden. Diese Frage muss der EuGH nun klären. Zunächst will der zuständige Generalanwalt am EuGH am 12. Dezember 2019 seine Schlussanträge vorlegen. Die Entscheidung des Gerichts bleibt dann mit Spannung zu erwarten.

Das bedeutet:

Konkret in Bezug auf Übertragungen an US-Unternehmen ist die Entscheidung des EuGH mit Spannung zu erwarten. Im Übrigen gilt: Wenn Sie als Unternehmen derartige Dienstleister oder sonstige Anbieter nutzen, beispielsweise soziale Medien zu Kommunikations- oder Werbezwecken sowie Cloudanbieter, die außerhalb der EU/des EWR angesiedelt sind, sollten Sie überprüfen, ob die Voraussetzungen für entsprechende Datenübermittlungen nach der DS-GVO vorliegen. Denn darauf, ob im Hinblick auf das jeweilige Drittland ein Angemessenheitsbeschluss der Kommission vorliegt oder die Datenübermittlung auf sonstige Garantien für Drittlandübermittlungen gestützt wird, muss im Rahmen der Pflichtinformationen nach Artt. 13, 14 DS-GVO hingewiesen werden. Das größte Problem wird hier sein, dass Facebook die Datenverarbeitungen im Einzelnen nicht offenlegt. Darauf, dass sich diese der eigenen Kenntnis entziehen, sollte ebenfalls hingewiesen werden.

Rechtsanwältin Johanna Mäkert, LL.M. (Bukarest)

dmp@derra-b.de

Stand: 08/2019

09 Jul
2019

Private Nutzung von E-Mail im Unternehmen: Zugriff auch ohne Einwilligung des Mitarbeiters!

Bis zum 25.05.2019 galt: kein Zugriff auf private E-Mails im Unternehmen ohne Einwilligung des Mitarbeiters.

mehr lesen

Bis zum 25.05.2018 galt: kein Zugriff auf private E-Mails im Unternehmen ohne Einwilligung des Mitarbeiters. Seit dem Anwendungsbeginn der DS-GVO gilt das nicht mehr. Unternehmen wird dadurch die Gestattung der Privatnutzung erleichtert. Aber dennoch muss dies rechtlich gestaltet werden.

Hintergrund

Bis zum Anwendungsbeginn der DS-GVO ging die herrschende Meinung in Deutschland zu Recht davon aus, dass der Zugriff des Arbeitgebers auf private E-Mails des Mitarbeiters nur mit dessen Einwilligung zulässig ist, wenn die Privatnutzung geschäftlicher IT-Systeme gestattet oder auch nur geduldet war. Eine Ausnahme bestand dann, wenn der Zugriff erst nach Beendigung des Telekommunikationsvorgangs stattfand; das war der Fall, wenn die Übertragung der Kommunikation abgeschlossen war und der Empfänger sie eigenständig löschen konnte (ausführlich: Eckhardt, in: Spindler/Schuster, Recht der elektronischen Medien, 3. Auflage 2015, § 88 TKG, Rn. 12 ff., 46 ff; Eckhardt DuD 2008, 103 ff.).

DS-GVO: (Keine) Anwendung des TKG-Datenschutzbestimmungen

Die DS-GVO hat als EU-Verordnung Anwendungsvorrang auch vor den Datenschutzbestimmungen des deutschen TKG (§§ 88 ff., 91 ff. TKG).

Allerdings sieht Art. 95 DS-GVO für Regelungen, welche auf der Richtlinie 2002/58/EG (Datenschutzrichtlinie Elektronische Kommunikation – heute bezeichnet als ePrivacy-Richtlinie) beruhen, eine Öffnung vor. Die Regelungen der ePrivacy-Richtlinie wurden in Deutschland im Wesentlichen in den Datenschutzbestimmungen des TKG umgesetzt. Allerdings ging der deutsche Gesetzgeber dabei (wohl auch aus historischen Gründen) über die Vorgaben der ePrivacy-Richtlinie hinaus.

Für die Bestimmung der Anwendbarkeit der Datenschutzbestimmungen des TKG neben der DS-GVO ist damit der Wortlaut des Art. 95 DS-GVO entscheidend:

Diese Verordnung erlegt natürlichen oder juristischen Personen in Bezug auf die Verarbeitung in Verbindung mit der Bereitstellung öffentlich zugänglicher elektronischer Kommunikationsdienste in öffentlichen Kommunikationsnetzen in der Union keine zusätzlichen Pflichten auf, soweit sie besonderen in der Richtlinie 2002/58/EG festgelegten Pflichten unterliegen, die dasselbe Ziel verfolgen.“ (Zitat des Art. 95 DS-GVO).

Das hat folgende Konsequenz: Die Regelungen des TKG-Datenschutzes sind nur insoweit von der Ausnahme erfasst, als sie

  1. die „Verarbeitung in Verbindung mit der Bereitstellung öffentlich zugänglicher elektronischer Kommunikationsdienste in öffentlichen Kommunikationsnetzen“ regeln und
  2. Vorgaben der Richtlinie 2002/58/EG (ePrivacy-Richtlinie) umsetzen.

Die Auslegung des Merkmals „Öffentlichkeit“ im TKG ist zwar seit jeher umstritten. Aber nach überzeugender Ansicht wird davon nicht die bloße Gestattung der privaten Nutzung (oder dienstlichen Nutzung) von Telekommunikation durch einen Arbeitgeber erfasst.

In einem Zwischenergebnis ist damit festzuhalten, dass auch für die private Nutzung von Telekommunikation im Beschäftigungsverhältnis seit dem 25.05.2018 nicht mehr die §§ 91 ff. TKG zur Anwendung kommen. Soweit die Privatnutzung geschäftlicher IT-Systeme im Unternehmen nicht gestattet und auch nicht geduldet war, galt auch schon von dem Anwendungsbeginn der DS-GVO, dass die §§ 91 ff. TKG nicht zur Anwendung kommen.

Seit dem 25.05.2018 gilt damit für die Nutzung von Telekommunikation im Unternehmen durch Mitarbeiter einheitlich die DS-GVO.

Beschäftigtendatenschutz nach dem BDSG: Vorrang!?

Der deutsche Gesetzgeber hat mit § 26 BDSG von der Öffnungsklausel des Art. 88 DS-GVO Gebrauch gemacht und Regelungen zum Beschäftigtendatenschutz geschaffen. Dementsprechend ist zunächst § 26 BDSG bei der Gestaltung der Privatnutzung von Telekommunikation zu prüfen.

Ob § 26 BDSG für den Zugriff des Arbeitgebers auf die private E-Mail-Kommunikation von Mitarbeitern eine Rechtsgrundlage bietet, ist noch nicht abschließend geklärt – mit Ausnahme von Zugriffen zur Aufdeckung von Straftaten. Die Anwendung hängt davon ab, ob die Verarbeitung zur Durchführung des Beschäftigungsverhältnisses erfolgt. In diesem Fall wäre der Zugriff durch § 26 Abs. 1 S. 1 S. 1 BDSG gerechtfertigt.

Kein Ausschluss der DS-GVO durch § 26 BDSG: Soweit § 26 BDSG keine Spezialregelung zur Legitimation der Verarbeitung enthält, gilt die DS-GVO. Es wird zwar vertreten, dass § 26 BDSG eine Sperrwirkung gegenüber einem Rückgriff auf die DS-GVO entfalte. Das kann – vereinfacht gesagt - jedoch aufgrund des Anwendungsvorrangs der DS-GVO gegenüber nationalen Regelungen und mit Blick auf Art. 88 DS-GVO nicht überzeugen.

Gestaltung des Zugriffs auf private Telekommunikation nach Maßgabe der DS-GVO

Als Rechtsgrundlage für den Zugriff des Arbeitgebers auf private Telekommunikation von Beschäftigten bei der Nutzung der Telekommunikationseinrichtungen des Unternehmens kommt die Interessenabwägung nach Art. 6 Abs. 1 lit. f DS-GVO in Betracht. Für die Rechtfertigung des Zugriffs auf E-Mail-Telekommunikation sind nicht die Vorgaben des TKG-Datenschutzes und damit kein Einwilligungserfordernis zu beachten. Auch sperrt die Regelung in § 26 BDSG (Beschäftigtendatenschutz) nicht die Anwendung der DS-GVO.

Ob der der jeweilige Zugriff zulässig ist, muss daher auf der Grundlage einer Interessenabwägung nach Maßgabe des Art. 6 Abs. 1 lit. f DS-GVO bewertet werden. Insbesondere sollte berücksichtigt werden:

  • Die Nähe zum Schutz des Telekommunikationsgeheimnisses;
  • Es bietet sich auch an, zwischen verschiedenen Zugriffen (Sicherung aus Beweisgründen, Auswertung nach aktuellem ToDo („Brennt etwas an?“), Einarbeitung des Nachfolgers, etc.) zu unterscheiden;
  • Wenn die Beschäftigten darüber aufgeklärt wurden, dass und wie zugegriffen wird, prägt dies ebenfalls die Erwartungshaltung der Beschäftigten und kann sich positiv auf die Zulässigkeit im Rahmen der Interessenabwägung auswirken;

Die vorstehenden Aspekte sind Überlegungen für eine Interessenabwägung, ersetzen diese aber nicht. Es muss also stets der konkrete Zugriff auf seine Verhältnismäßigkeit bewertet werden.

Jeder ist nach Maßgabe der Artt. 13, 14 DS-GVO über die Verarbeitung dieser Daten durch den Arbeitgeber konkret zu unterrichten. Das umfasst insbesondere den/die Zweck/e, die Rechtsgrundlage und die Dauer der Verarbeitung der Daten. Diese umfangreiche Informationspflicht darf in der Praxis nicht unterschätzt werden. Nur der Vollständigkeit halber: Natürlich sind bei der Gestaltung in der Praxis auch alle weiteren Dokumentationspflichten der DS-GVO zu beachten.

Das bedeutet für Sie konkret: Die Gestaltung des Zugriffs des Arbeitgebers bei gestatteter Privatnutzung der Telekommunikation durch Mitarbeiter ist mit dem Anwendungsbeginn der DS-GVO weniger kompliziert geworden. Die erforderliche Interessenabwägung ist anhand der konkreten Zwecke des Zugriffs zu prüfen und zu dokumentieren. Die Beschäftigten sind umfassend nach Maßgabe der Artt. 13, 14 DS-GVO proaktiv zu informieren.

Rechtsanwalt Dr. Jens Eckhardt

dmp@derra-d.de

Stand: 07/2019

Bis zum 25.05.2018 galt: kein Zugriff auf private E-Mails im Unternehmen ohne Einwilligung des Mitarbeiters. Seit dem Anwendungsbeginn der DS-GVO gilt das nicht mehr. Unternehmen wird dadurch die Gestattung der Privatnutzung erleichtert. Aber dennoch muss dies rechtlich gestaltet werden.

Hintergrund

Bis zum Anwendungsbeginn der DS-GVO ging die herrschende Meinung in Deutschland zu Recht davon aus, dass der Zugriff des Arbeitgebers auf private E-Mails des Mitarbeiters nur mit dessen Einwilligung zulässig ist, wenn die Privatnutzung geschäftlicher IT-Systeme gestattet oder auch nur geduldet war. Eine Ausnahme bestand dann, wenn der Zugriff erst nach Beendigung des Telekommunikationsvorgangs stattfand; das war der Fall, wenn die Übertragung der Kommunikation abgeschlossen war und der Empfänger sie eigenständig löschen konnte (ausführlich: Eckhardt, in: Spindler/Schuster, Recht der elektronischen Medien, 3. Auflage 2015, § 88 TKG, Rn. 12 ff., 46 ff; Eckhardt DuD 2008, 103 ff.).

DS-GVO: (Keine) Anwendung des TKG-Datenschutzbestimmungen

Die DS-GVO hat als EU-Verordnung Anwendungsvorrang auch vor den Datenschutzbestimmungen des deutschen TKG (§§ 88 ff., 91 ff. TKG).

Allerdings sieht Art. 95 DS-GVO für Regelungen, welche auf der Richtlinie 2002/58/EG (Datenschutzrichtlinie Elektronische Kommunikation – heute bezeichnet als ePrivacy-Richtlinie) beruhen, eine Öffnung vor. Die Regelungen der ePrivacy-Richtlinie wurden in Deutschland im Wesentlichen in den Datenschutzbestimmungen des TKG umgesetzt. Allerdings ging der deutsche Gesetzgeber dabei (wohl auch aus historischen Gründen) über die Vorgaben der ePrivacy-Richtlinie hinaus.

Für die Bestimmung der Anwendbarkeit der Datenschutzbestimmungen des TKG neben der DS-GVO ist damit der Wortlaut des Art. 95 DS-GVO entscheidend:

Diese Verordnung erlegt natürlichen oder juristischen Personen in Bezug auf die Verarbeitung in Verbindung mit der Bereitstellung öffentlich zugänglicher elektronischer Kommunikationsdienste in öffentlichen Kommunikationsnetzen in der Union keine zusätzlichen Pflichten auf, soweit sie besonderen in der Richtlinie 2002/58/EG festgelegten Pflichten unterliegen, die dasselbe Ziel verfolgen.“ (Zitat des Art. 95 DS-GVO).

Das hat folgende Konsequenz: Die Regelungen des TKG-Datenschutzes sind nur insoweit von der Ausnahme erfasst, als sie

  1. die „Verarbeitung in Verbindung mit der Bereitstellung öffentlich zugänglicher elektronischer Kommunikationsdienste in öffentlichen Kommunikationsnetzen“ regeln und
  2. Vorgaben der Richtlinie 2002/58/EG (ePrivacy-Richtlinie) umsetzen.

Die Auslegung des Merkmals „Öffentlichkeit“ im TKG ist zwar seit jeher umstritten. Aber nach überzeugender Ansicht wird davon nicht die bloße Gestattung der privaten Nutzung (oder dienstlichen Nutzung) von Telekommunikation durch einen Arbeitgeber erfasst.

In einem Zwischenergebnis ist damit festzuhalten, dass auch für die private Nutzung von Telekommunikation im Beschäftigungsverhältnis seit dem 25.05.2018 nicht mehr die §§ 91 ff. TKG zur Anwendung kommen. Soweit die Privatnutzung geschäftlicher IT-Systeme im Unternehmen nicht gestattet und auch nicht geduldet war, galt auch schon von dem Anwendungsbeginn der DS-GVO, dass die §§ 91 ff. TKG nicht zur Anwendung kommen.

Seit dem 25.05.2018 gilt damit für die Nutzung von Telekommunikation im Unternehmen durch Mitarbeiter einheitlich die DS-GVO.

Beschäftigtendatenschutz nach dem BDSG: Vorrang!?

Der deutsche Gesetzgeber hat mit § 26 BDSG von der Öffnungsklausel des Art. 88 DS-GVO Gebrauch gemacht und Regelungen zum Beschäftigtendatenschutz geschaffen. Dementsprechend ist zunächst § 26 BDSG bei der Gestaltung der Privatnutzung von Telekommunikation zu prüfen.

Ob § 26 BDSG für den Zugriff des Arbeitgebers auf die private E-Mail-Kommunikation von Mitarbeitern eine Rechtsgrundlage bietet, ist noch nicht abschließend geklärt – mit Ausnahme von Zugriffen zur Aufdeckung von Straftaten. Die Anwendung hängt davon ab, ob die Verarbeitung zur Durchführung des Beschäftigungsverhältnisses erfolgt. In diesem Fall wäre der Zugriff durch § 26 Abs. 1 S. 1 S. 1 BDSG gerechtfertigt.

Kein Ausschluss der DS-GVO durch § 26 BDSG: Soweit § 26 BDSG keine Spezialregelung zur Legitimation der Verarbeitung enthält, gilt die DS-GVO. Es wird zwar vertreten, dass § 26 BDSG eine Sperrwirkung gegenüber einem Rückgriff auf die DS-GVO entfalte. Das kann – vereinfacht gesagt - jedoch aufgrund des Anwendungsvorrangs der DS-GVO gegenüber nationalen Regelungen und mit Blick auf Art. 88 DS-GVO nicht überzeugen.

Gestaltung des Zugriffs auf private Telekommunikation nach Maßgabe der DS-GVO

Als Rechtsgrundlage für den Zugriff des Arbeitgebers auf private Telekommunikation von Beschäftigten bei der Nutzung der Telekommunikationseinrichtungen des Unternehmens kommt die Interessenabwägung nach Art. 6 Abs. 1 lit. f DS-GVO in Betracht. Für die Rechtfertigung des Zugriffs auf E-Mail-Telekommunikation sind nicht die Vorgaben des TKG-Datenschutzes und damit kein Einwilligungserfordernis zu beachten. Auch sperrt die Regelung in § 26 BDSG (Beschäftigtendatenschutz) nicht die Anwendung der DS-GVO.

Ob der der jeweilige Zugriff zulässig ist, muss daher auf der Grundlage einer Interessenabwägung nach Maßgabe des Art. 6 Abs. 1 lit. f DS-GVO bewertet werden. Insbesondere sollte berücksichtigt werden:

  • Die Nähe zum Schutz des Telekommunikationsgeheimnisses;
  • Es bietet sich auch an, zwischen verschiedenen Zugriffen (Sicherung aus Beweisgründen, Auswertung nach aktuellem ToDo („Brennt etwas an?“), Einarbeitung des Nachfolgers, etc.) zu unterscheiden;
  • Wenn die Beschäftigten darüber aufgeklärt wurden, dass und wie zugegriffen wird, prägt dies ebenfalls die Erwartungshaltung der Beschäftigten und kann sich positiv auf die Zulässigkeit im Rahmen der Interessenabwägung auswirken;

Die vorstehenden Aspekte sind Überlegungen für eine Interessenabwägung, ersetzen diese aber nicht. Es muss also stets der konkrete Zugriff auf seine Verhältnismäßigkeit bewertet werden.

Jeder ist nach Maßgabe der Artt. 13, 14 DS-GVO über die Verarbeitung dieser Daten durch den Arbeitgeber konkret zu unterrichten. Das umfasst insbesondere den/die Zweck/e, die Rechtsgrundlage und die Dauer der Verarbeitung der Daten. Diese umfangreiche Informationspflicht darf in der Praxis nicht unterschätzt werden. Nur der Vollständigkeit halber: Natürlich sind bei der Gestaltung in der Praxis auch alle weiteren Dokumentationspflichten der DS-GVO zu beachten.

Das bedeutet für Sie konkret: Die Gestaltung des Zugriffs des Arbeitgebers bei gestatteter Privatnutzung der Telekommunikation durch Mitarbeiter ist mit dem Anwendungsbeginn der DS-GVO weniger kompliziert geworden. Die erforderliche Interessenabwägung ist anhand der konkreten Zwecke des Zugriffs zu prüfen und zu dokumentieren. Die Beschäftigten sind umfassend nach Maßgabe der Artt. 13, 14 DS-GVO proaktiv zu informieren.

Rechtsanwalt Dr. Jens Eckhardt

dmp@derra-d.de

Stand: 07/2019

05 Jul
2019

BVerwG urteilt zu Videoüberwachung in nicht öffentlichen Bereichen

Das Bundesverwaltungsgericht entschied mit Urteil vom 27.03.2019 über die anwendbare Rechtsgrundlage für Maßnahmen der Videoüberwachung ...

mehr lesen

Das Bundesverwaltungsgericht entschied mit Urteil vom 27.03.2019 (Az. 6 C 2.18) über die anwendbare Rechtsgrundlage für Maßnahmen der Videoüberwachung durch nichtöffentliche Stellen. Es stellte klar, dass § 4 BDSG keine Anwendung finden kann und deshalb entweder Art. 6 Abs. 1 lit. a DS-GVO oder Art. 6 Abs. 1 lit. f DS-GVO in Betracht kommen.

Videoüberwachung im Empfangsbereich

In dem durch das BVerwG zu entscheidenden Fall hatte eine Zahnärztin im Empfangsbereich ihrer Praxis eine Videokamera aufgestellt. Die Eingangstür der Praxis war während der Öffnungszeiten nicht verschlossen und der Empfangstresen nicht besetzt. Die Live-Aufnahmen der Videokamera konnten auf Monitoren in den Behandlungszimmern angesehen werden, eine Speicherung der Aufnahmen fand nach Aussage der Zahnärztin nicht statt. Als Begründung für die Überwachung berief sie sich im Prozessverlauf unter anderem auf die Sicherung ihres Hausrechts.

Die zuständige Datenschutz-Aufsichtsbehörde gab der Zahnärztin im Wege einer Anordnung auf, die Kamera so auszurichten, dass die Bereiche, die Besuchern offenstehen, während der Öffnungszeiten der Praxis nicht mehr erfasst werden. Die Zahnärztin klagte gegen die behördliche Anordnung.

Entscheidungsgründe des BVerwG

Das Gericht wies die Revision der Zahnärztin als unbegründet zurück und entschied, dass die Anordnung der Behörde rechtmäßig ergangen sei. Zu der mittlerweile anwendbaren Rechtsgrundlage entschieden die Richter, dass Rechtsgrundlage für Videoüberwachungen öffentlicher Räume durch nichtöffentliche Stellen nicht § 4 BDSG sein kann, sondern allein Art. 6 Abs. 1 lit. a DS-GVO oder Art. 6 Abs. 1 lit. f DS-GVO.

Die DS-GVO – so das Gericht - regelt die Rechtmäßigkeit der Verarbeitung personenbezogener Daten abschließend in Art. 6 DS-GVO. In Art. 6 Abs. 2 und 3 DS-GVO gibt es zwar Öffnungsklauseln, welche es den nationalen Gesetzgebern gestatten die Vorschriften der Verarbeitung anzupassen, sofern es sich hierbei um eine Rechtsgrundlage nach Art. 6 Abs. 1 lit. c oder lit. e DS-GVO handelt.

Verarbeitungen personenbezogener Daten durch nichtöffentliche Stellen können jedoch von vornherein nicht auf Art. 6 Abs. 1 lit. e DS-GVO gestützt werden, sofern der Stelle keine öffentlichen Befugnisse übertragen wurden. Denn eine nichtöffentliche Stelle kann sich nach Ansicht des BVerwG nicht selbst zum Sachwalter des öffentlichen Interesses erklären und eigenständig auf dieser Grundlage handeln. Bei Vorliegen eines öffentlichen Interesses muss stattdessen eine öffentliche Stelle tätig werden.

Der seit Mai 2018 in Deutschland geltende § 4 BDSG ist eine Vorschrift, die fast identisch den Wortlaut des bis zum Inkrafttreten des neuen BDSG geltenden § 6b BDSG (alte Fassung) wiedergibt und die Zulässigkeit der Videoüberwachung öffentlich zugänglicher Räume auf nationaler Ebene für nichtöffentliche sowie öffentliche Stellen regeln soll. Dieser § 4 BDSG, so das Gericht, ist jedoch bei nichtöffentlichen Stellen nicht anwendbar, da dem deutschen Gesetzgeber hierzu die Regelungskompetenz fehlt.

Anzuwendende Rechtsgrundlage bei Videoüberwachung durch nichtöffentliche Stellen

Eine Einwilligung der betroffenen Personen nach Art. 6 Abs. 1 lit. a DS-GVO kommt bei Videoüberwachungen öffentlich zugänglicher Räume regelmäßig nicht in Betracht. Deshalb kommt als Rechtsgrundlage bei nichtöffentlichen Stellen in nahezu allen Fällen nur Art. 6 Abs. 1 lit. f DS-GVO in Betracht.

Bei einer Videoüberwachung ist vor allem die Frage relevant, ob die Maßnahme erforderlich ist. Nach dem allgemein anerkannten Begriffsverständnis ist Erforderlichkeit anzunehmen, wenn ein Grund, wie eine Gefährdungslage, hinreichend durch Tatsachen oder die allgemeine Lebenserfahrung belegt ist, und dem Grund nicht ebenso gut durch ein gleich wirksames milderes Mittel entgegengewirkt werden kann. Ein bloßes Berufen auf das in § 4 BDSG aufgeführte Hausrecht ist – so das BVerwG – allein nicht ausreichend. Vielmehr müssen besondere Gründe vorliegen, die den Einsatz einer Videoüberwachung rechtfertigen. Dazu gehört auch die Frage, ob nicht andere Maßnahmen möglich sind, die das informationelle Selbstbestimmungsrecht der betroffenen Personen nicht berühren. Im vorliegenden Fall sahen die Richter als milderes Mittel unter anderem an, dass die Zahnärztin die Eingangstür zu ihrer Praxis verschlossen halten könne.

Bedeutung des Urteils in der Praxis

Die Debatte um Videoüberwachungen ist weiterhin ein großes Thema. Erst im Juni dieses Jahres verhängte die französische Aufsichtsbehörde CNIL eine Geldbuße in Höhe von 20.000 €, weil ein Unternehmen seine Arbeitnehmer dauerhaft am Arbeitsplatz gefilmt hatte.

Kein Thema im Urteil, aber von großer praktischer Bedeutung sind bei jeder Videoüberwachung die Dokumentationspflichten nach Art. 5, 30 DS-GVO. Daneben ist zu beachten, dass die allgemeinen Informationspflichten nach Artt. 13, 14 DS-GVO auch bei einer Videoüberwachung gelten. Eine Videoüberwachung ist als Verarbeitungstätigkeit mitsamt Zweck, Daten- und Betroffenenkategorien, mögliche Empfänger und löschfristen zu dokumentieren und die betroffenen Personen zu informieren. Aus Art. 5 DS-GVO ergeben sich darüber hinaus noch Dokumentationspflichten bezüglich der Verarbeitungsgrundsätze. Allein die fehlende Dokumentation ist bußgeldbewehrt.

Aber auch aus anderer Warte ist das Urteil interessant, denn das BVerwG hat ausdrücklich die Regelungskompetenz des deutschen Gesetzgebers verneint. § 4 BDSG ist jedoch nicht die einzige Regelung im BDSG bei der darüber gestritten wird, ob eine nationale Regelungskompetenz besteht. Es ist also durchaus möglich, dass die Gerichte weitere Regelungen im BDSG zu Fall bringen.

Davon abgesehen wird aus dem Urteil des BVerwG deutlich, dass es gerade nicht ausreicht sich pauschal auf sein Hausrecht zu berufen. Vielmehr muss der Verantwortliche vor Installation der Videoüberwachung überlegen, warum diese notwendig ist und warum es keine anderen, gleich effektiven Mittel gibt, mit denen der Zweck der Aufzeichnung ebenfalls erreicht werden kann. Kurzum müssen die Voraussetzungen des Art. 6 Abs. 1 lit. f DS-GVO vorliegen.

Rechtsanwalt Nils Steffen

dmp@derra-ul.de

Stand: 07/2019

Das Bundesverwaltungsgericht entschied mit Urteil vom 27.03.2019 (Az. 6 C 2.18) über die anwendbare Rechtsgrundlage für Maßnahmen der Videoüberwachung durch nichtöffentliche Stellen. Es stellte klar, dass § 4 BDSG keine Anwendung finden kann und deshalb entweder Art. 6 Abs. 1 lit. a DS-GVO oder Art. 6 Abs. 1 lit. f DS-GVO in Betracht kommen.

Videoüberwachung im Empfangsbereich

In dem durch das BVerwG zu entscheidenden Fall hatte eine Zahnärztin im Empfangsbereich ihrer Praxis eine Videokamera aufgestellt. Die Eingangstür der Praxis war während der Öffnungszeiten nicht verschlossen und der Empfangstresen nicht besetzt. Die Live-Aufnahmen der Videokamera konnten auf Monitoren in den Behandlungszimmern angesehen werden, eine Speicherung der Aufnahmen fand nach Aussage der Zahnärztin nicht statt. Als Begründung für die Überwachung berief sie sich im Prozessverlauf unter anderem auf die Sicherung ihres Hausrechts.

Die zuständige Datenschutz-Aufsichtsbehörde gab der Zahnärztin im Wege einer Anordnung auf, die Kamera so auszurichten, dass die Bereiche, die Besuchern offenstehen, während der Öffnungszeiten der Praxis nicht mehr erfasst werden. Die Zahnärztin klagte gegen die behördliche Anordnung.

Entscheidungsgründe des BVerwG

Das Gericht wies die Revision der Zahnärztin als unbegründet zurück und entschied, dass die Anordnung der Behörde rechtmäßig ergangen sei. Zu der mittlerweile anwendbaren Rechtsgrundlage entschieden die Richter, dass Rechtsgrundlage für Videoüberwachungen öffentlicher Räume durch nichtöffentliche Stellen nicht § 4 BDSG sein kann, sondern allein Art. 6 Abs. 1 lit. a DS-GVO oder Art. 6 Abs. 1 lit. f DS-GVO.

Die DS-GVO – so das Gericht - regelt die Rechtmäßigkeit der Verarbeitung personenbezogener Daten abschließend in Art. 6 DS-GVO. In Art. 6 Abs. 2 und 3 DS-GVO gibt es zwar Öffnungsklauseln, welche es den nationalen Gesetzgebern gestatten die Vorschriften der Verarbeitung anzupassen, sofern es sich hierbei um eine Rechtsgrundlage nach Art. 6 Abs. 1 lit. c oder lit. e DS-GVO handelt.

Verarbeitungen personenbezogener Daten durch nichtöffentliche Stellen können jedoch von vornherein nicht auf Art. 6 Abs. 1 lit. e DS-GVO gestützt werden, sofern der Stelle keine öffentlichen Befugnisse übertragen wurden. Denn eine nichtöffentliche Stelle kann sich nach Ansicht des BVerwG nicht selbst zum Sachwalter des öffentlichen Interesses erklären und eigenständig auf dieser Grundlage handeln. Bei Vorliegen eines öffentlichen Interesses muss stattdessen eine öffentliche Stelle tätig werden.

Der seit Mai 2018 in Deutschland geltende § 4 BDSG ist eine Vorschrift, die fast identisch den Wortlaut des bis zum Inkrafttreten des neuen BDSG geltenden § 6b BDSG (alte Fassung) wiedergibt und die Zulässigkeit der Videoüberwachung öffentlich zugänglicher Räume auf nationaler Ebene für nichtöffentliche sowie öffentliche Stellen regeln soll. Dieser § 4 BDSG, so das Gericht, ist jedoch bei nichtöffentlichen Stellen nicht anwendbar, da dem deutschen Gesetzgeber hierzu die Regelungskompetenz fehlt.

Anzuwendende Rechtsgrundlage bei Videoüberwachung durch nichtöffentliche Stellen

Eine Einwilligung der betroffenen Personen nach Art. 6 Abs. 1 lit. a DS-GVO kommt bei Videoüberwachungen öffentlich zugänglicher Räume regelmäßig nicht in Betracht. Deshalb kommt als Rechtsgrundlage bei nichtöffentlichen Stellen in nahezu allen Fällen nur Art. 6 Abs. 1 lit. f DS-GVO in Betracht.

Bei einer Videoüberwachung ist vor allem die Frage relevant, ob die Maßnahme erforderlich ist. Nach dem allgemein anerkannten Begriffsverständnis ist Erforderlichkeit anzunehmen, wenn ein Grund, wie eine Gefährdungslage, hinreichend durch Tatsachen oder die allgemeine Lebenserfahrung belegt ist, und dem Grund nicht ebenso gut durch ein gleich wirksames milderes Mittel entgegengewirkt werden kann. Ein bloßes Berufen auf das in § 4 BDSG aufgeführte Hausrecht ist – so das BVerwG – allein nicht ausreichend. Vielmehr müssen besondere Gründe vorliegen, die den Einsatz einer Videoüberwachung rechtfertigen. Dazu gehört auch die Frage, ob nicht andere Maßnahmen möglich sind, die das informationelle Selbstbestimmungsrecht der betroffenen Personen nicht berühren. Im vorliegenden Fall sahen die Richter als milderes Mittel unter anderem an, dass die Zahnärztin die Eingangstür zu ihrer Praxis verschlossen halten könne.

Bedeutung des Urteils in der Praxis

Die Debatte um Videoüberwachungen ist weiterhin ein großes Thema. Erst im Juni dieses Jahres verhängte die französische Aufsichtsbehörde CNIL eine Geldbuße in Höhe von 20.000 €, weil ein Unternehmen seine Arbeitnehmer dauerhaft am Arbeitsplatz gefilmt hatte.

Kein Thema im Urteil, aber von großer praktischer Bedeutung sind bei jeder Videoüberwachung die Dokumentationspflichten nach Art. 5, 30 DS-GVO. Daneben ist zu beachten, dass die allgemeinen Informationspflichten nach Artt. 13, 14 DS-GVO auch bei einer Videoüberwachung gelten. Eine Videoüberwachung ist als Verarbeitungstätigkeit mitsamt Zweck, Daten- und Betroffenenkategorien, mögliche Empfänger und löschfristen zu dokumentieren und die betroffenen Personen zu informieren. Aus Art. 5 DS-GVO ergeben sich darüber hinaus noch Dokumentationspflichten bezüglich der Verarbeitungsgrundsätze. Allein die fehlende Dokumentation ist bußgeldbewehrt.

Aber auch aus anderer Warte ist das Urteil interessant, denn das BVerwG hat ausdrücklich die Regelungskompetenz des deutschen Gesetzgebers verneint. § 4 BDSG ist jedoch nicht die einzige Regelung im BDSG bei der darüber gestritten wird, ob eine nationale Regelungskompetenz besteht. Es ist also durchaus möglich, dass die Gerichte weitere Regelungen im BDSG zu Fall bringen.

Davon abgesehen wird aus dem Urteil des BVerwG deutlich, dass es gerade nicht ausreicht sich pauschal auf sein Hausrecht zu berufen. Vielmehr muss der Verantwortliche vor Installation der Videoüberwachung überlegen, warum diese notwendig ist und warum es keine anderen, gleich effektiven Mittel gibt, mit denen der Zweck der Aufzeichnung ebenfalls erreicht werden kann. Kurzum müssen die Voraussetzungen des Art. 6 Abs. 1 lit. f DS-GVO vorliegen.

Rechtsanwalt Nils Steffen

dmp@derra-ul.de

Stand: 07/2019

27 Jun
2019

Zulässigkeit von Personalausweiskopien und Datenschutz

Lassen Sie sich von Kunden oder im Rahmen sonstiger Vertragsbeziehungen zur Identitätsprüfung den Personalausweis vorlegen ...

mehr lesen

Lassen Sie sich von Kunden oder im Rahmen sonstiger Vertragsbeziehungen zur Identitätsprüfung den Personalausweis vorlegen oder verlangen Sie sogar eine Kopie davon? Diese Praxis wird von den deutschen Datenschutzaufsichtsbehörden schon länger kritisiert und ist immer wieder Gegenstand zahlreicher Beschwerden. Insbesondere wegen der gestiegenen Bußgeldhöhen sollten Sie sich mit den datenschutzrechtlichen Anforderungen auseinandersetzen. Nachfolgend geben wir Ihnen dazu einen Überblick.

Hinweise der Aufsichtsbehörde

Die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDW NRW) veröffentlichte dazu kürzlich die Broschüre „Personalausweis und Datenschutz“ (abrufbar unter https://www.ldi.nrw.de/mainmenu_Aktuelles/Inhalt/Personalausweis-und-Datenschutz/Datenschutz-und-Personalausweis-2019_06.pdf, Stand: 26.06.2019). Darin stellt sie eine Übersicht mit Praxisbeispielen zusammen und gibt hilfreiche Hinweise dazu, wann Daten des Personalausweises kopiert oder lediglich notiert werden dürfen oder ob der Ausweis in Einzelfällen sogar gescannt werden darf. Besonders praxisrelevante Bereiche betreffen beispielsweise die Angabe persönlicher Daten in Selbstauskünften, bei einem Vertragsschluss oder bei der Vermietung von Wohnraum sowie die Verwendung des Personalausweises zur Hinterlegung als Pfand oder im Rahmen der Online-Identifizierung.

Grundsatz: Kopie nur mit Zustimmung 

Unabhängig von den datenschutzrechtlichen Regelungen finden sich grundlegende Regelungen zur Anfertigung von Personalausweiskopien im Personalausweisgesetz. Danach dürfen Sie den Personalausweis stets nur mit Zustimmung der Ausweisinhaberin kopieren (§ 20 Abs. 2 Personalausweisgesetz). Ablichtungen müssen außerdem stets als Kopie erkennbar sein.

Wichtig: Auf keinen Fall darf (außer natürlich von dazu gesondert berechtigten Behörden) von der Ausweisinhaberin verlangt werden, den Personalausweis zu hinterlegen! Damit darf nicht gefordert werden, den Ausweis als Pfand abzugeben, um beispielsweise entliehene Gegenstände ordnungsgemäß zurückzuerhalten oder wenn Kunden nicht genügend Geld bei sich haben.

Eine Ausnahme von dem Zustimmungserfordernis besteht beispielsweise für Mobilfunkanbieter. Diese müssen sogar Name, Anschrift und Geburtsdatum der Anschlussinhaberin erheben und speichern, um auf Auskunftsersuchen der Sicherheitsbehörden Auskunft erteilen zu können (§ 111 Abs. 1 S. 1 Telekommunikationsgesetz – „TKG“). Um diese Daten auf ihre Richtigkeit zu prüfen, dürfen sie sich dafür den Personalausweis vorlegen lassen (§ 111 Abs. 1 S. 3 Nr. 1 TKG). Daneben dürfen die Anbieter sich den Personalausweis bei Vertragsschluss zur Erbringung von Telekommunikationsdiensten vorlegen lassen und sogar eine Kopie erstellen, sofern dies notwendig ist, um die Angaben des Kunden zu überprüfen (§ 95 Abs. 4 S. 1, 3 TKG). Nach Feststellung der Angaben ist diese Kopie jedoch unverzüglich zu vernichten!

Datenschutzrechtliche Anforderungen

Daneben sind auch die Regelungen des Datenschutzrechts zu beachten. Die Datenschutz-Grundverordnung (DS-GVO) legt zunächst grundlegende Prinzipien fest, die bei allen Datenverarbeitungstätigkeiten zu beachten sind. Eines dieser Prinzipien stellt der Grundsatz der Datenminimierung dar. Danach muss die Verarbeitung persönlicher Daten stets auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein (Art. 5 Abs. 1 lit. c DS-GVO). Das heißt, dass eine Kopie nur angefertigt werden darf, sofern dies tatsächlich für den Einzelfall zugrundeliegenden Zweck notwendig ist.

Außerdem sind die weiteren Voraussetzungen für eine rechtmäßige Datenverarbeitung zu beachten, insbesondere zur Rechtsgrundlage. Hierfür ist in erster Linie Art. 6 DS-GVO zu beachten, der die möglichen Rechtsgrundlagen aufzählt. Regelmäßig kommen für die Erhebung und Speicherung von Personalausweisdaten beispielsweise folgende Rechtsgrundlagen in Betracht: eine ausdrückliche Einwilligung (Art. 6 Abs. 1 lit. a DS-GVO), ein mit der betroffenen Person geschlossener Vertrag (Art. 1 Abs. 1 lit. b DS-GVO) oder eine Interessenabwägung (Art. 6 Abs. 1 lit. f DS-GVO). Welche Rechtsgrundlage letztendlich in Betracht kommt, muss in jedem Einzelfall konkret geprüft werden. Dabei sollten die Vor- und Nachteile der jeweiligen Rechtsgrundlagen gegeneinander abgewogen werden.

Bußgeld bei Verstoß

Bei Verstößen sowohl gegen die grundlegenden Prinzipien als auch gegen zahlreiche weitere Vorschriften, insbesondere zur Rechtsgrundlage, können Geldbußen von bis zu 20 Millionen Euro oder von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes verhängt werden (Art. 83 Abs. 5 lit. a DS-GVO). Die Höhe eines Bußgeldes wird maßgeblich unter anderem durch die Art und Schwere des Verstoßes, den Zweck oder die Art der personenbezogenen Daten beeinflusst. Die im Personalausweis enthaltenen Daten stellen naturgemäß besonders empfindliche und schützenswerte Daten dar, da bei deren missbräuchlicher Verwendung erheblicher Schaden verursacht werden kann. Dies sollten Sie sich bei der Verarbeitung dieser Daten stets vor Augen halten, um hohe Bußgelder zu vermeiden.

Das bedeutet: Sollte es bei Ihnen üblich sein, Personalausweiskopien anzufertigen oder zu verlangen, empfehlen wir Ihnen, sich mit den rechtlichen Rahmenbedingungen beschäftigen. Um hohe Bußgelder zu vermeiden, prüfen Sie die einschlägigen Zulässigkeitsvoraussetzungen, beispielsweise im Personalausweisgesetz und in der DS-GVO. Dabei sind wir Ihnen gern behilflich.

Rechtsanwältin Johanna Mäkert, LL.M. (Bukarest)

dmp@derra-b.de

Stand: 06/2019

 

Lassen Sie sich von Kunden oder im Rahmen sonstiger Vertragsbeziehungen zur Identitätsprüfung den Personalausweis vorlegen oder verlangen Sie sogar eine Kopie davon? Diese Praxis wird von den deutschen Datenschutzaufsichtsbehörden schon länger kritisiert und ist immer wieder Gegenstand zahlreicher Beschwerden. Insbesondere wegen der gestiegenen Bußgeldhöhen sollten Sie sich mit den datenschutzrechtlichen Anforderungen auseinandersetzen. Nachfolgend geben wir Ihnen dazu einen Überblick.

Hinweise der Aufsichtsbehörde

Die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDW NRW) veröffentlichte dazu kürzlich die Broschüre „Personalausweis und Datenschutz“ (abrufbar unter https://www.ldi.nrw.de/mainmenu_Aktuelles/Inhalt/Personalausweis-und-Datenschutz/Datenschutz-und-Personalausweis-2019_06.pdf, Stand: 26.06.2019). Darin stellt sie eine Übersicht mit Praxisbeispielen zusammen und gibt hilfreiche Hinweise dazu, wann Daten des Personalausweises kopiert oder lediglich notiert werden dürfen oder ob der Ausweis in Einzelfällen sogar gescannt werden darf. Besonders praxisrelevante Bereiche betreffen beispielsweise die Angabe persönlicher Daten in Selbstauskünften, bei einem Vertragsschluss oder bei der Vermietung von Wohnraum sowie die Verwendung des Personalausweises zur Hinterlegung als Pfand oder im Rahmen der Online-Identifizierung.

Grundsatz: Kopie nur mit Zustimmung 

Unabhängig von den datenschutzrechtlichen Regelungen finden sich grundlegende Regelungen zur Anfertigung von Personalausweiskopien im Personalausweisgesetz. Danach dürfen Sie den Personalausweis stets nur mit Zustimmung der Ausweisinhaberin kopieren (§ 20 Abs. 2 Personalausweisgesetz). Ablichtungen müssen außerdem stets als Kopie erkennbar sein.

Wichtig: Auf keinen Fall darf (außer natürlich von dazu gesondert berechtigten Behörden) von der Ausweisinhaberin verlangt werden, den Personalausweis zu hinterlegen! Damit darf nicht gefordert werden, den Ausweis als Pfand abzugeben, um beispielsweise entliehene Gegenstände ordnungsgemäß zurückzuerhalten oder wenn Kunden nicht genügend Geld bei sich haben.

Eine Ausnahme von dem Zustimmungserfordernis besteht beispielsweise für Mobilfunkanbieter. Diese müssen sogar Name, Anschrift und Geburtsdatum der Anschlussinhaberin erheben und speichern, um auf Auskunftsersuchen der Sicherheitsbehörden Auskunft erteilen zu können (§ 111 Abs. 1 S. 1 Telekommunikationsgesetz – „TKG“). Um diese Daten auf ihre Richtigkeit zu prüfen, dürfen sie sich dafür den Personalausweis vorlegen lassen (§ 111 Abs. 1 S. 3 Nr. 1 TKG). Daneben dürfen die Anbieter sich den Personalausweis bei Vertragsschluss zur Erbringung von Telekommunikationsdiensten vorlegen lassen und sogar eine Kopie erstellen, sofern dies notwendig ist, um die Angaben des Kunden zu überprüfen (§ 95 Abs. 4 S. 1, 3 TKG). Nach Feststellung der Angaben ist diese Kopie jedoch unverzüglich zu vernichten!

Datenschutzrechtliche Anforderungen

Daneben sind auch die Regelungen des Datenschutzrechts zu beachten. Die Datenschutz-Grundverordnung (DS-GVO) legt zunächst grundlegende Prinzipien fest, die bei allen Datenverarbeitungstätigkeiten zu beachten sind. Eines dieser Prinzipien stellt der Grundsatz der Datenminimierung dar. Danach muss die Verarbeitung persönlicher Daten stets auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein (Art. 5 Abs. 1 lit. c DS-GVO). Das heißt, dass eine Kopie nur angefertigt werden darf, sofern dies tatsächlich für den Einzelfall zugrundeliegenden Zweck notwendig ist.

Außerdem sind die weiteren Voraussetzungen für eine rechtmäßige Datenverarbeitung zu beachten, insbesondere zur Rechtsgrundlage. Hierfür ist in erster Linie Art. 6 DS-GVO zu beachten, der die möglichen Rechtsgrundlagen aufzählt. Regelmäßig kommen für die Erhebung und Speicherung von Personalausweisdaten beispielsweise folgende Rechtsgrundlagen in Betracht: eine ausdrückliche Einwilligung (Art. 6 Abs. 1 lit. a DS-GVO), ein mit der betroffenen Person geschlossener Vertrag (Art. 1 Abs. 1 lit. b DS-GVO) oder eine Interessenabwägung (Art. 6 Abs. 1 lit. f DS-GVO). Welche Rechtsgrundlage letztendlich in Betracht kommt, muss in jedem Einzelfall konkret geprüft werden. Dabei sollten die Vor- und Nachteile der jeweiligen Rechtsgrundlagen gegeneinander abgewogen werden.

Bußgeld bei Verstoß

Bei Verstößen sowohl gegen die grundlegenden Prinzipien als auch gegen zahlreiche weitere Vorschriften, insbesondere zur Rechtsgrundlage, können Geldbußen von bis zu 20 Millionen Euro oder von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes verhängt werden (Art. 83 Abs. 5 lit. a DS-GVO). Die Höhe eines Bußgeldes wird maßgeblich unter anderem durch die Art und Schwere des Verstoßes, den Zweck oder die Art der personenbezogenen Daten beeinflusst. Die im Personalausweis enthaltenen Daten stellen naturgemäß besonders empfindliche und schützenswerte Daten dar, da bei deren missbräuchlicher Verwendung erheblicher Schaden verursacht werden kann. Dies sollten Sie sich bei der Verarbeitung dieser Daten stets vor Augen halten, um hohe Bußgelder zu vermeiden.

Das bedeutet: Sollte es bei Ihnen üblich sein, Personalausweiskopien anzufertigen oder zu verlangen, empfehlen wir Ihnen, sich mit den rechtlichen Rahmenbedingungen beschäftigen. Um hohe Bußgelder zu vermeiden, prüfen Sie die einschlägigen Zulässigkeitsvoraussetzungen, beispielsweise im Personalausweisgesetz und in der DS-GVO. Dabei sind wir Ihnen gern behilflich.

Rechtsanwältin Johanna Mäkert, LL.M. (Bukarest)

dmp@derra-b.de

Stand: 06/2019

 

18 Jun
2019

Keine Weitergabe einer Meldeanschrift des Schuldners bei Auskunftssperre

Das Interesse von Gläubigern an der Ermittlung einer aktuellen Anschrift des Schuldners ist in der Regel sehr hoch ...

mehr lesen

Das Interesse von Gläubigern an der Ermittlung einer aktuellen Anschrift des Schuldners ist in der Regel sehr hoch, um überhaupt Vollstreckungsmaßnahmen einleiten zu können.

Eine Möglichkeit der Anschriftenermittlung ist die Beauftragung des Gerichtsvollziehers mit der Durchführung der Zwangsvollstreckung einschließlich der Ermittlung der aktuellen Anschrift des Schuldners durch Nachfrage bei der Meldebehörde gem. § 755 Abs. 1 ZPO.

In einer aktuellen Entscheidung hat der BGH entschieden, dass der Gerichtsvollzieher nicht befugt ist, im Falle der Eintragung einer Auskunftssperre im Melderegister die Anschrift des Schuldners an den Gläubiger weiterzugeben (BGH, Beschluss vom 10.10.2018 – VII ZB 12/15). Er darf die ihm von der Meldebehörde mitgeteilte Anschrift des Schuldners zur Erledigung der beauftragten Zwangsvollstreckungsmaßnahmen verwenden, jedoch nur soweit dem die Auskunftssperre nicht entgegensteht und er die schutzwürdigen Interessen des Schuldners an der Geheimhaltung seiner Anschrift durch geeignete Maßnahmen wahren kann.

Auskunftssperre im Melderegister

Gemäß § 51 Abs. 1 Bundesmeldegesetz hat die Meldebehörde auf Antrag oder von Amts wegen eine Auskunftssperre im Melderegister einzutragen, wenn Tatsachen vorliegen, die die Annahme rechtfertigen, dass der betroffenen oder einer anderen Person durch eine Melderegisterauskunft eine Gefahr für Leben, Gesundheit, persönliche Freiheit oder ähnliche schutzwürdige Interessen erwachsen kann. Eine Melderegisterauskunft ist in diesen Fällen unzulässig, es sei denn nach Anhörung der betroffenen Person kann eine entsprechende Gefahr ausgeschlossen werden (§ 51 Abs. 2 S. 1 Bundesmeldegesetz). Werden Daten an den Gerichtsvollzieher als eine sonstige öffentliche Stelle nach § 34 Abs. 1 S. 1 Bundesmeldegesetz i.V.m. § 2 Abs. 2 Bundesdatenschutzgesetz übermittelt, ist eine Verarbeitung oder Nutzung der übermittelten Daten und Hinweise durch den Gerichtsvollzieher nach § 41 Satz 2 Bundesmeldegesetz bei Eintragung einer Auskunftssperre im Melderegister nur zulässig, wenn die Beeinträchtigung schutzwürdiger Interessen der betroffenen Person ausgeschlossen ist.   

Geheimhaltung der Meldedaten

Nach Maßgabe dieser Regelungen ist der Gerichtsvollzieher nach Ansicht des BGH nicht befugt, eine ihm von der Meldebehörde mitgeteilte Anschrift des Schuldners an den Gläubiger weiterzugeben, da nicht ausgeschlossen werden kann, dass die Weitergabe die schutzwürdigen Interessen des Schuldners beeinträchtigt. Zutreffend geht der BGH davon aus, dass es nicht Aufgabe des Gerichtsvollziehers sei, nach Anhörung des Schuldners eine Einzelfallbeurteilung vorzunehmen und selbst zu entscheiden, ob im konkreten Fall ausgeschlossen werden kann, dass das aufgrund der Auskunftssperre grundsätzlich anzunehmende schutzwürdige Interesse des Schuldners an der Geheimhaltung seiner Anschrift ausnahmsweise im Verhältnis zum Gläubiger nicht beeinträchtigt ist.

Der Gerichtsvollzieher ist auch nicht gemäß § 755 Abs. 2 ZPO zur unbeschränkten Übermittlung der erhobenen Anschrift des Schuldners an den Gläubiger verpflichtet.

Durch die in § 755 Abs. 1 ZPO geregelte Befugnis des Gerichtsvollziehers zur Datenerhebung und die daraus abgeleitete Befugnis, die gewonnenen Erkenntnisse aus der Datenerhebung zur Durchführung der Zwangsvollstreckung, etwa zur Durchführung einer Pfändung, zu nutzen, wird dem gesetzgeberischen Ziel hinreichend Rechnung getragen. Der Gläubiger verfügt damit nach Auffassung des BGH auch bei einer bestehenden Auskunftssperre über effektive Erkenntnis- und Vollstreckungsmöglichkeiten. Damit werden seine Grundrechte auf Schutz des Eigentums (Art. 14 GG) und effektiven Rechtsschutz (Art. 19 IV GG), die den Staat verpflichten, effektive Mittel zur Durchsetzung titulierter Forderungen bereitzustellen, gegenüber dem Grundrecht des Schuldners auf informationelle Selbstbestimmung hinreichend gewahrt.

Das bedeutet für Sie: andere Wege der Anschriftenermittlung

Nach Rechtsauffassung des Bundesgerichtshofs ist es dem Gläubiger zumutbar, soweit die Ermittlung der aktuellen Anschrift tatsächlich notwendig ist, eine Melderegisterauskunft bei der insoweit sachnäheren Meldebehörde zu beantragen, die dann den Schuldner anzuhören hat, um gem. § 51 Abs. 1, 2 Bundesmeldegesetz zu entscheiden, ob eine Gefahr für Leben, Gesundheit, persönliche Freiheit oder ähnliche schutzwürdige Interessen ausgeschlossen und eine Melderegisterauskunft ausnahmsweise erteilt werden kann.

Rechtsanwältin Kathleen Brauner

dmp@derra-dd.de

Stand: 06/2019

Das Interesse von Gläubigern an der Ermittlung einer aktuellen Anschrift des Schuldners ist in der Regel sehr hoch, um überhaupt Vollstreckungsmaßnahmen einleiten zu können.

Eine Möglichkeit der Anschriftenermittlung ist die Beauftragung des Gerichtsvollziehers mit der Durchführung der Zwangsvollstreckung einschließlich der Ermittlung der aktuellen Anschrift des Schuldners durch Nachfrage bei der Meldebehörde gem. § 755 Abs. 1 ZPO.

In einer aktuellen Entscheidung hat der BGH entschieden, dass der Gerichtsvollzieher nicht befugt ist, im Falle der Eintragung einer Auskunftssperre im Melderegister die Anschrift des Schuldners an den Gläubiger weiterzugeben (BGH, Beschluss vom 10.10.2018 – VII ZB 12/15). Er darf die ihm von der Meldebehörde mitgeteilte Anschrift des Schuldners zur Erledigung der beauftragten Zwangsvollstreckungsmaßnahmen verwenden, jedoch nur soweit dem die Auskunftssperre nicht entgegensteht und er die schutzwürdigen Interessen des Schuldners an der Geheimhaltung seiner Anschrift durch geeignete Maßnahmen wahren kann.

Auskunftssperre im Melderegister

Gemäß § 51 Abs. 1 Bundesmeldegesetz hat die Meldebehörde auf Antrag oder von Amts wegen eine Auskunftssperre im Melderegister einzutragen, wenn Tatsachen vorliegen, die die Annahme rechtfertigen, dass der betroffenen oder einer anderen Person durch eine Melderegisterauskunft eine Gefahr für Leben, Gesundheit, persönliche Freiheit oder ähnliche schutzwürdige Interessen erwachsen kann. Eine Melderegisterauskunft ist in diesen Fällen unzulässig, es sei denn nach Anhörung der betroffenen Person kann eine entsprechende Gefahr ausgeschlossen werden (§ 51 Abs. 2 S. 1 Bundesmeldegesetz). Werden Daten an den Gerichtsvollzieher als eine sonstige öffentliche Stelle nach § 34 Abs. 1 S. 1 Bundesmeldegesetz i.V.m. § 2 Abs. 2 Bundesdatenschutzgesetz übermittelt, ist eine Verarbeitung oder Nutzung der übermittelten Daten und Hinweise durch den Gerichtsvollzieher nach § 41 Satz 2 Bundesmeldegesetz bei Eintragung einer Auskunftssperre im Melderegister nur zulässig, wenn die Beeinträchtigung schutzwürdiger Interessen der betroffenen Person ausgeschlossen ist.   

Geheimhaltung der Meldedaten

Nach Maßgabe dieser Regelungen ist der Gerichtsvollzieher nach Ansicht des BGH nicht befugt, eine ihm von der Meldebehörde mitgeteilte Anschrift des Schuldners an den Gläubiger weiterzugeben, da nicht ausgeschlossen werden kann, dass die Weitergabe die schutzwürdigen Interessen des Schuldners beeinträchtigt. Zutreffend geht der BGH davon aus, dass es nicht Aufgabe des Gerichtsvollziehers sei, nach Anhörung des Schuldners eine Einzelfallbeurteilung vorzunehmen und selbst zu entscheiden, ob im konkreten Fall ausgeschlossen werden kann, dass das aufgrund der Auskunftssperre grundsätzlich anzunehmende schutzwürdige Interesse des Schuldners an der Geheimhaltung seiner Anschrift ausnahmsweise im Verhältnis zum Gläubiger nicht beeinträchtigt ist.

Der Gerichtsvollzieher ist auch nicht gemäß § 755 Abs. 2 ZPO zur unbeschränkten Übermittlung der erhobenen Anschrift des Schuldners an den Gläubiger verpflichtet.

Durch die in § 755 Abs. 1 ZPO geregelte Befugnis des Gerichtsvollziehers zur Datenerhebung und die daraus abgeleitete Befugnis, die gewonnenen Erkenntnisse aus der Datenerhebung zur Durchführung der Zwangsvollstreckung, etwa zur Durchführung einer Pfändung, zu nutzen, wird dem gesetzgeberischen Ziel hinreichend Rechnung getragen. Der Gläubiger verfügt damit nach Auffassung des BGH auch bei einer bestehenden Auskunftssperre über effektive Erkenntnis- und Vollstreckungsmöglichkeiten. Damit werden seine Grundrechte auf Schutz des Eigentums (Art. 14 GG) und effektiven Rechtsschutz (Art. 19 IV GG), die den Staat verpflichten, effektive Mittel zur Durchsetzung titulierter Forderungen bereitzustellen, gegenüber dem Grundrecht des Schuldners auf informationelle Selbstbestimmung hinreichend gewahrt.

Das bedeutet für Sie: andere Wege der Anschriftenermittlung

Nach Rechtsauffassung des Bundesgerichtshofs ist es dem Gläubiger zumutbar, soweit die Ermittlung der aktuellen Anschrift tatsächlich notwendig ist, eine Melderegisterauskunft bei der insoweit sachnäheren Meldebehörde zu beantragen, die dann den Schuldner anzuhören hat, um gem. § 51 Abs. 1, 2 Bundesmeldegesetz zu entscheiden, ob eine Gefahr für Leben, Gesundheit, persönliche Freiheit oder ähnliche schutzwürdige Interessen ausgeschlossen und eine Melderegisterauskunft ausnahmsweise erteilt werden kann.

Rechtsanwältin Kathleen Brauner

dmp@derra-dd.de

Stand: 06/2019

04 Jun
2019

Ein Jahr DS-GVO – steigt nun die Höhe der Bußgelder?

Seit nunmehr einem Jahr gilt die Datenschutz-Grundverordnung (DS-GVO). Was hat sich seitdem getan? Wie weit sind Sie mit der Umsetzung?

mehr lesen

Seit nunmehr einem Jahr gilt die Datenschutz-Grundverordnung (DS-GVO). Was hat sich seitdem getan? Wie weit sind Sie mit der Umsetzung? Davon, dass die Gefahr von Bußgeldern mit der Zeit sinken wird, sollten Sie nicht ausgehen – „2019 wird das Jahr der Kontrolle“, ließ Dr. Stefan Brink, Landesbeauftragter für Datenschutz und Informationsfreiheit Baden-Württemberg (LfDI BW) erst kürzlich verlauten. Wer auf Lücke setze, müsse damit rechnen, dass 2019 ein „schwieriges Jahr“ werde. Verarbeiten Sie in Ihrem Unternehmen personenbezogene Daten, sollten Sie sich also damit befassen, welche Folgen diese Ankündigung für Sie haben könnte.

Immense Anzahl eingegangener Beschwerden

Laut einem Bericht des Europäischen Datenschutzausschusses (EDSA) wurden allein in den ersten neun Monaten seit Geltung der DS-GVO über 200.000 Verstöße bei den nationalen Aufsichtsbehörden gemeldet (EDSA, Bericht „First overview on the implementation of the GDPR and the roles and means of the national supervisory authorities“, abrufbar unter https://edpb.europa.eu/sites/edpb/files/files/file1/19_2019_edpb_written_report_to_libe_en.pdf, Stand: 21.05.2019). So gingen über 90.000 Beschwerden bei den Aufsichtsbehörden ein, während Verantwortliche (die Stellen, die personenbezogene Daten in eigener Verantwortung verarbeiten) in fast 65.000 Fällen eigene Datenpannen meldeten. Von diesen Eingaben wurde erst die Hälfte abschließend bearbeitet.

Bislang verhängte Bußgelder

In den ersten neun Monaten verhängten die Aufsichtsbehörden bereits immense Bußgelder – unionsweit in einer Höhe von insgesamt 56 Millionen Euro. Davon betreffen zwar allein 50 Millionen Euro das von der französischen Datenschutzbehörde gegen Google verhängte Bußgeld. Aber auch die übrigen Bußgelder gegen Unternehmen waren von beachtlicher Höhe: Diese richteten sich u.a. gegen ein Krankenhaus in Portugal (Zugriff auf Patientendaten durch Unbefugte: 400.000 Euro), ein Taxiunternehmen in Dänemark (unzulässige Speicherung von Telefonnummern der Kunden: 160.000 Euro), ein Unternehmen in Polen, das eine kommerzielle Datenbank betrieb (Nichterfüllung von Informationspflichten nach Art. 14 DS-GVO: 220.000 Euro) sowie jüngst gegen einen Zahlungsdienstleister in Litauen (unzureichende Maßnahmen der Datensicherheit sowie Verstoß gegen die Meldepflicht bei Datenpannen: 61.500 Euro).

In Deutschland wurden im letzten Jahr insgesamt 100 Bußgelder in Nordrhein-Westfalen, Hamburg, Baden-Württemberg, Rheinland-Pfalz, Berlin, Sachsen-Anhalt, Thüringen sowie im Saarland verhängt. Diese ergingen beispielsweise in Höhe von 20.000 Euro gegen den Betreiber einer Internetplattform, in Höhe von 50.000 Euro gegen eine Bank sowie 80.000 Euro wegen einer Datenpanne, bei der Gesundheitsdaten im Internet veröffentlicht wurden. Die sanktionierten Verstöße betrafen u.a. unzureichende Maßnahmen der Datensicherheit bei der Datenverarbeitung, die versehentliche Offenlegung von Daten an die falschen Personen, die Aufzeichnung von Telefonanrufen, unzulässige Werbe-E-Mails und offene E-Mail-Verteiler (hier erging das Bußgeld sogar gegen eine Privatperson).

Zukünftig sollen Bußgelder „in aller Regel deutlich höher ausfallen, als es in der Vergangenheit der Fall war“ (LfDI BW, 34. Tätigkeitsbericht Datenschutz 2018, abrufbar unter https://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2019/02/LfDI-34.-Datenschutz-T%C3%A4tigkeitsbericht-Internet.pdf, Stand: 21.05.2019).

Umsetzung der DS-GVO prüfen

Zudem haben mehrere Aufsichtsbehörden der Länder angekündigt, darüber hinaus vermehrt – auch unangekündigte – Kontrollen durchzuführen. Das bedeutet für Sie: Auf einen Verstoß sollten Sie es nicht ankommen lassen. Erfahrungsgemäß haben sich viele Unternehmen im letzten Jahr zunächst intensiv mit der Umsetzung der DS-GVO beschäftigt. Erste Schritte zur Erfüllung grundlegender Pflichten wurden in Angriff genommen. Oft verblieb es aber dabei, einen Datenschutzbeauftragten zu benennen und Datenschutzhinweise zur Erfüllung der Informationspflichten zu erstellen.

Das bedeutet für Sie: Eine mangelnde Umsetzung der DS-GVO birgt weiterhin ein hohes Risiko. Deswegen sollten Sie nun den „Jahrestag“ zum Anlass nehmen, in die zweite Runde „Umsetzung DS-GVO“ zu starten. Überprüfen sie regelmäßig die bei Ihnen stattfindenden Verarbeitungsvorgänge auf ihre Rechtmäßigkeit. Klopfen Sie ab, wo Sie bei der Umsetzung der datenschutzrechtlichen Anforderungen stehen: Stellen Sie beispielsweise sicher, dass Sie im Falle einer Auftragsverarbeitung einen entsprechenden Vertrag mit dem Dienstleister geschlossen haben. Schulen Sie regelmäßig Ihre Mitarbeiter. Überprüfen Sie die Maßnahmen zur Gewährleistung einer angemessenen Datensicherheit. Diese und weitere Schritte werden Ihnen helfen, Bußgelder zu vermeiden.

Rechtsanwältin Johanna Mäkert, LL.M. (Bukarest)

dmp@derra-b.de

Stand: 06/2019

Seit nunmehr einem Jahr gilt die Datenschutz-Grundverordnung (DS-GVO). Was hat sich seitdem getan? Wie weit sind Sie mit der Umsetzung? Davon, dass die Gefahr von Bußgeldern mit der Zeit sinken wird, sollten Sie nicht ausgehen – „2019 wird das Jahr der Kontrolle“, ließ Dr. Stefan Brink, Landesbeauftragter für Datenschutz und Informationsfreiheit Baden-Württemberg (LfDI BW) erst kürzlich verlauten. Wer auf Lücke setze, müsse damit rechnen, dass 2019 ein „schwieriges Jahr“ werde. Verarbeiten Sie in Ihrem Unternehmen personenbezogene Daten, sollten Sie sich also damit befassen, welche Folgen diese Ankündigung für Sie haben könnte.

Immense Anzahl eingegangener Beschwerden

Laut einem Bericht des Europäischen Datenschutzausschusses (EDSA) wurden allein in den ersten neun Monaten seit Geltung der DS-GVO über 200.000 Verstöße bei den nationalen Aufsichtsbehörden gemeldet (EDSA, Bericht „First overview on the implementation of the GDPR and the roles and means of the national supervisory authorities“, abrufbar unter https://edpb.europa.eu/sites/edpb/files/files/file1/19_2019_edpb_written_report_to_libe_en.pdf, Stand: 21.05.2019). So gingen über 90.000 Beschwerden bei den Aufsichtsbehörden ein, während Verantwortliche (die Stellen, die personenbezogene Daten in eigener Verantwortung verarbeiten) in fast 65.000 Fällen eigene Datenpannen meldeten. Von diesen Eingaben wurde erst die Hälfte abschließend bearbeitet.

Bislang verhängte Bußgelder

In den ersten neun Monaten verhängten die Aufsichtsbehörden bereits immense Bußgelder – unionsweit in einer Höhe von insgesamt 56 Millionen Euro. Davon betreffen zwar allein 50 Millionen Euro das von der französischen Datenschutzbehörde gegen Google verhängte Bußgeld. Aber auch die übrigen Bußgelder gegen Unternehmen waren von beachtlicher Höhe: Diese richteten sich u.a. gegen ein Krankenhaus in Portugal (Zugriff auf Patientendaten durch Unbefugte: 400.000 Euro), ein Taxiunternehmen in Dänemark (unzulässige Speicherung von Telefonnummern der Kunden: 160.000 Euro), ein Unternehmen in Polen, das eine kommerzielle Datenbank betrieb (Nichterfüllung von Informationspflichten nach Art. 14 DS-GVO: 220.000 Euro) sowie jüngst gegen einen Zahlungsdienstleister in Litauen (unzureichende Maßnahmen der Datensicherheit sowie Verstoß gegen die Meldepflicht bei Datenpannen: 61.500 Euro).

In Deutschland wurden im letzten Jahr insgesamt 100 Bußgelder in Nordrhein-Westfalen, Hamburg, Baden-Württemberg, Rheinland-Pfalz, Berlin, Sachsen-Anhalt, Thüringen sowie im Saarland verhängt. Diese ergingen beispielsweise in Höhe von 20.000 Euro gegen den Betreiber einer Internetplattform, in Höhe von 50.000 Euro gegen eine Bank sowie 80.000 Euro wegen einer Datenpanne, bei der Gesundheitsdaten im Internet veröffentlicht wurden. Die sanktionierten Verstöße betrafen u.a. unzureichende Maßnahmen der Datensicherheit bei der Datenverarbeitung, die versehentliche Offenlegung von Daten an die falschen Personen, die Aufzeichnung von Telefonanrufen, unzulässige Werbe-E-Mails und offene E-Mail-Verteiler (hier erging das Bußgeld sogar gegen eine Privatperson).

Zukünftig sollen Bußgelder „in aller Regel deutlich höher ausfallen, als es in der Vergangenheit der Fall war“ (LfDI BW, 34. Tätigkeitsbericht Datenschutz 2018, abrufbar unter https://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2019/02/LfDI-34.-Datenschutz-T%C3%A4tigkeitsbericht-Internet.pdf, Stand: 21.05.2019).

Umsetzung der DS-GVO prüfen

Zudem haben mehrere Aufsichtsbehörden der Länder angekündigt, darüber hinaus vermehrt – auch unangekündigte – Kontrollen durchzuführen. Das bedeutet für Sie: Auf einen Verstoß sollten Sie es nicht ankommen lassen. Erfahrungsgemäß haben sich viele Unternehmen im letzten Jahr zunächst intensiv mit der Umsetzung der DS-GVO beschäftigt. Erste Schritte zur Erfüllung grundlegender Pflichten wurden in Angriff genommen. Oft verblieb es aber dabei, einen Datenschutzbeauftragten zu benennen und Datenschutzhinweise zur Erfüllung der Informationspflichten zu erstellen.

Das bedeutet für Sie: Eine mangelnde Umsetzung der DS-GVO birgt weiterhin ein hohes Risiko. Deswegen sollten Sie nun den „Jahrestag“ zum Anlass nehmen, in die zweite Runde „Umsetzung DS-GVO“ zu starten. Überprüfen sie regelmäßig die bei Ihnen stattfindenden Verarbeitungsvorgänge auf ihre Rechtmäßigkeit. Klopfen Sie ab, wo Sie bei der Umsetzung der datenschutzrechtlichen Anforderungen stehen: Stellen Sie beispielsweise sicher, dass Sie im Falle einer Auftragsverarbeitung einen entsprechenden Vertrag mit dem Dienstleister geschlossen haben. Schulen Sie regelmäßig Ihre Mitarbeiter. Überprüfen Sie die Maßnahmen zur Gewährleistung einer angemessenen Datensicherheit. Diese und weitere Schritte werden Ihnen helfen, Bußgelder zu vermeiden.

Rechtsanwältin Johanna Mäkert, LL.M. (Bukarest)

dmp@derra-b.de

Stand: 06/2019

31 Mai
2019

Leitfaden "Vernetzte und autonome Mobilität"

Der Leitfaden "Vernetzte und autonome Mobilität", an dem u.a. RA Dr. Eckhardt und RA Steffen mitgewirkt haben, zeigt aktuelle und künftige Entwicklungen in der Digitalisierung des Mobilitätssektors auf. Hier erhalten Sie den Leitfaden kostenfrei.

mehr lesen
23 Mai
2019

Ist die GPS-Ortung von Firmenfahrzeugen zulässig?

Viele Unternehmen verwenden gerade beim Einsatz von Vertriebsmitarbeitern oder Zustellfahrzeugen eine GPS-Ortung, um ihren Betriebsablauf optimieren zu können.

mehr lesen

Viele Unternehmen verwenden gerade beim Einsatz von Vertriebsmitarbeitern oder Zustellfahrzeugen eine GPS-Ortung, um ihren Betriebsablauf optimieren zu können. Die datenschutzrechtliche Zulässigkeit hiervon ist indes umstritten.

Aktuelles Urteil zu Bußgeldbescheid wegen GPS-Ortung

In einem aktuellen Urteil des Verwaltungsgerichts Lüneburg (Teilurteil vom 19.03.2019, Az. 4 A 12/19) hatte das Gericht über einen Bußgeldbescheid der Niedersächsischen Datenschutzaufsichtsbehörde zu entscheiden. Das Bußgeld war gegenüber einer Reinigungsfirma erlassen worden, die ihre Firmenfahrzeuge mit einem GPS-Ortungssystem überwacht. Diese Überwachung hielt das Gericht nicht für erforderlich und daher für unzulässig.

Im dem Rechtsstreit vorangegangenen Bußgeldverfahren hatte die Aufsichtsbehörde entschieden, dass die GPS-Überwachung der Firmenfahrzeuge eine nicht erforderliche Verarbeitung von Beschäftigtendaten darstelle. Das Reinigungsunternehmen konnte 18 Fahrzeuge der Flotte mittels eines eingebauten GPS orten. Diese Funktion ließ sich auch nicht ohne weiteres deaktivieren. Das System war so eingestellt, dass es für einen Zeitraum von 150 Tagen jede gefahrene Strecke sowie den Zündungsstatus speicherte. Nach Angaben des Unternehmens erfolgte eine tatsächliche Ortung der Fahrzeuge sehr unregelmäßig und maximal drei bis vier Mal pro Jahr.

Eine Privatnutzung der Fahrzeuge war zwar nicht ausdrücklich gestattet, jedoch geduldet. Die GPS-Ortung diente dazu – so das Unternehmen –, die Touren der Beschäftigten zu planen, Mitarbeiter und Fahrzeuge zu koordinieren, Nachweise gegenüber Auftraggebern zu erbringen und die Fahrzeuge vor Diebstahl zu schützen bzw. gestohlene Fahrzeuge wieder aufzufinden.

Ortungsdaten sind personenbezogene Daten gemäß Datenschutz-Grundverordnung

Das Gericht entschied, dass die Ortungsdaten in diesem Fall personenbezogene Daten sind, da die Fahrzeuge den jeweiligen Beschäftigten eindeutig zugeordnet werden können. Deshalb handle es sich um eine Verarbeitung personenbezogener Daten im Beschäftigtenkontext gem. Art. 88 Abs. 1 DSGVO i.V.m. § 26 Abs. 1 BDSG. Sofern also für die Verarbeitung keine Einwilligung vorliegt, muss die Verarbeitung zur Begründung, Durchführung oder Beendigung eines Beschäftigungsverhältnisses erforderlich sein. Anderenfalls ist die Verarbeitung unzulässig.

Das Gericht stellte fest, dass Ortungssysteme für die Prävention von Diebstählen völlig ungeeignet und somit nicht erforderlich im Sinne von § 26 Abs. 1 BDSG sind. Des Weiteren sei auch eine ständige Ortung der Fahrzeuge nicht zur Koordination von Mitarbeitern und Fahrzeugen erforderlich. Eine solche Planung sei stets zukunftsorientiert, weswegen Informationen über vergangene und aktuelle Standorte der Fahrzeuge nicht relevant seien. Die Dienstleistungen im Reinigungsgewerbe seien außerdem nicht so zeitkritisch wie etwa im Transportgewerbe, weshalb hier nicht derselbe Maßstab anzusetzen sei.

Letztlich könnten – so das Gericht – die GPS-Daten auch nicht als Nachweis für geleistete Tätigkeiten gegenüber Auftraggebern dienen. Ein solcher Nachweis erfolge wesentlich sicherer und weniger eingriffsintensiv bei den Auftraggebern vor Ort.

Konsequenzen aus der Entscheidung für die Nutzung von GPS-Ortung

Die Entscheidung zeigt, dass eine GPS-Ortung von Firmenfahrzeugen nicht grundsätzlich verboten ist. Allerdings ist eine detaillierte Erforderlichkeitsprüfung unter Berücksichtigung der jeweiligen Zwecke der Ortung durchzuführen. Hierzu gibt das Urteil einen nachvollziehbaren Leitfaden. Für den einzelnen Unternehmer lässt sich zusammenfassend sagen, dass es bei einer GPS-Ortung nicht nur auf die Verarbeitung an sich ankommt, sondern ganz maßgeblich auch auf den Zweck und die Umstände der Verarbeitung.

Rechtsanwalt Nils Steffen

dmp@derra-ul.de

Stand: 05/2019

Viele Unternehmen verwenden gerade beim Einsatz von Vertriebsmitarbeitern oder Zustellfahrzeugen eine GPS-Ortung, um ihren Betriebsablauf optimieren zu können. Die datenschutzrechtliche Zulässigkeit hiervon ist indes umstritten.

Aktuelles Urteil zu Bußgeldbescheid wegen GPS-Ortung

In einem aktuellen Urteil des Verwaltungsgerichts Lüneburg (Teilurteil vom 19.03.2019, Az. 4 A 12/19) hatte das Gericht über einen Bußgeldbescheid der Niedersächsischen Datenschutzaufsichtsbehörde zu entscheiden. Das Bußgeld war gegenüber einer Reinigungsfirma erlassen worden, die ihre Firmenfahrzeuge mit einem GPS-Ortungssystem überwacht. Diese Überwachung hielt das Gericht nicht für erforderlich und daher für unzulässig.

Im dem Rechtsstreit vorangegangenen Bußgeldverfahren hatte die Aufsichtsbehörde entschieden, dass die GPS-Überwachung der Firmenfahrzeuge eine nicht erforderliche Verarbeitung von Beschäftigtendaten darstelle. Das Reinigungsunternehmen konnte 18 Fahrzeuge der Flotte mittels eines eingebauten GPS orten. Diese Funktion ließ sich auch nicht ohne weiteres deaktivieren. Das System war so eingestellt, dass es für einen Zeitraum von 150 Tagen jede gefahrene Strecke sowie den Zündungsstatus speicherte. Nach Angaben des Unternehmens erfolgte eine tatsächliche Ortung der Fahrzeuge sehr unregelmäßig und maximal drei bis vier Mal pro Jahr.

Eine Privatnutzung der Fahrzeuge war zwar nicht ausdrücklich gestattet, jedoch geduldet. Die GPS-Ortung diente dazu – so das Unternehmen –, die Touren der Beschäftigten zu planen, Mitarbeiter und Fahrzeuge zu koordinieren, Nachweise gegenüber Auftraggebern zu erbringen und die Fahrzeuge vor Diebstahl zu schützen bzw. gestohlene Fahrzeuge wieder aufzufinden.

Ortungsdaten sind personenbezogene Daten gemäß Datenschutz-Grundverordnung

Das Gericht entschied, dass die Ortungsdaten in diesem Fall personenbezogene Daten sind, da die Fahrzeuge den jeweiligen Beschäftigten eindeutig zugeordnet werden können. Deshalb handle es sich um eine Verarbeitung personenbezogener Daten im Beschäftigtenkontext gem. Art. 88 Abs. 1 DSGVO i.V.m. § 26 Abs. 1 BDSG. Sofern also für die Verarbeitung keine Einwilligung vorliegt, muss die Verarbeitung zur Begründung, Durchführung oder Beendigung eines Beschäftigungsverhältnisses erforderlich sein. Anderenfalls ist die Verarbeitung unzulässig.

Das Gericht stellte fest, dass Ortungssysteme für die Prävention von Diebstählen völlig ungeeignet und somit nicht erforderlich im Sinne von § 26 Abs. 1 BDSG sind. Des Weiteren sei auch eine ständige Ortung der Fahrzeuge nicht zur Koordination von Mitarbeitern und Fahrzeugen erforderlich. Eine solche Planung sei stets zukunftsorientiert, weswegen Informationen über vergangene und aktuelle Standorte der Fahrzeuge nicht relevant seien. Die Dienstleistungen im Reinigungsgewerbe seien außerdem nicht so zeitkritisch wie etwa im Transportgewerbe, weshalb hier nicht derselbe Maßstab anzusetzen sei.

Letztlich könnten – so das Gericht – die GPS-Daten auch nicht als Nachweis für geleistete Tätigkeiten gegenüber Auftraggebern dienen. Ein solcher Nachweis erfolge wesentlich sicherer und weniger eingriffsintensiv bei den Auftraggebern vor Ort.

Konsequenzen aus der Entscheidung für die Nutzung von GPS-Ortung

Die Entscheidung zeigt, dass eine GPS-Ortung von Firmenfahrzeugen nicht grundsätzlich verboten ist. Allerdings ist eine detaillierte Erforderlichkeitsprüfung unter Berücksichtigung der jeweiligen Zwecke der Ortung durchzuführen. Hierzu gibt das Urteil einen nachvollziehbaren Leitfaden. Für den einzelnen Unternehmer lässt sich zusammenfassend sagen, dass es bei einer GPS-Ortung nicht nur auf die Verarbeitung an sich ankommt, sondern ganz maßgeblich auch auf den Zweck und die Umstände der Verarbeitung.

Rechtsanwalt Nils Steffen

dmp@derra-ul.de

Stand: 05/2019

21 Mai
2019

Datenschutzkonferenz: Derzeit kein datenschutzkonformer Betrieb von Facebook-Fanpage

Facebook-Fanpage stehen im Fokus der Datenschutzaufsichtsbehörden. Sie müssen sich die Anforderungen und Risiken beim Betreiben einer Facebook-Fanpage bewusst machen.

mehr lesen

Facebook-Fanpage stehen im Fokus der Datenschutzaufsichtsbehörden. Sie müssen sich die Anforderungen und Risiken beim Betreiben einer Facebook-Fanpage bewusst machen.

Positionierung der deutschen Datenschutzaufsichtsbehörden zur Facebook-Fanpage

Die Datenschutzkonferenz – also die deutschen Datenschutzaufsichtsbehörden des Bundes und der Länder - hat am 01.04.2019 in ihrer „Positionierung zur Verantwortlichkeit und Rechenschaftspflicht bei Facebook-Fanpages sowie der aufsichtsbehördlichen Zuständigkeit“ zum Betreiben einer Facebook Fanpage Stellung genommen. Sie kommt zu dem Schluss, dass die Erfüllung der Rechenschaftspflicht im Sinne von Art. 5 Abs. 2 DS-GVO seitens des Betreibers einer Fanpage derzeit (!) nicht möglich ist.

Im Beschluss heißt es wörtlich (Zitiert nach https://www.datenschutzkonferenz-online.de/media/dskb/20190405_positionierung_facebook_fanpages.pdf (Stand: 20.05.2019):

„Sowohl Facebook als auch die Fanpage-Betreiber müssen ihrer Rechenschaftspflicht nachkommen. Die Datenschutzkonferenz erwartet, dass Facebook entsprechend nachbessert und die Fanpage-Betreiber ihrer Verantwortlichkeit entsprechend gerecht werden. Solange diesen Pflichten nicht nachgekommen wird, ist ein datenschutzkonformer Betrieb einer Fanpage nicht möglich.“

Mit anderen Worten: Der Betrieb einer Facebook-Fanpage verstößt derzeit und solange gegen Datenschutzrecht, bis diese Vorgaben erfüllt sind.

Hintergrund - Urteil des EuGH zum Betrieb einer Facebook-Fanpage

Der EuGH hatte mit Urteil vom 05.06.2018 festgestellt, dass der Betreiber einer Fanpage und Facebook gemeinsam verantwortlich im Sinne von Art. 26 DS-GVO sind. Insbesondere treffen beide Rechenschaftspflichten nach Art. 5 Abs. 2 DS-GVO zum Nachweis der Erfüllung der in Art. 5 Abs. 1 DS-GVO genannten Pflichten.

Die in der Zwischenzeit erfolgten Ergänzungen seitens Facebook erachtet die Datenschutzkonferenz als nicht ausreichend. Insbesondere seien die durch Facebook bereitgestellten Informationen zu den Verarbeitungstätigkeiten im Zusammenhang mit Fanpages und Seiten-Insights nach Aussage der Datenschutzkonferenz nicht transparent und ausreichend konkret. Sie seien deshalb nicht ausreichend, um den Betreibern einer Fanpage die Prüfung der Rechtmäßigkeit der Verarbeitung der betroffenen personenbezogenen Daten zu ermöglichen. Sie können deshalb insbesondere ihrer Rechenschaftspflicht nach Art. 5 Abs. 2 DS-GVO nicht nachkommen.

Mit der Einbeziehung der Fanpage-Betreiber macht die Datenschutzkonferenz auch deutlich, dass gegen diese wegen Datenschutzverstößen vorgegangen werden kann. Der Verstoß gegen den angesprochenen Art. 5 Abs. 2 DS-GVO ist mit einem Bußgeld bis zu 20 Mio. EURO oder 4% des weltweiten Vorjahresumsatzes des Unternehmens sanktionierbar.

Facebook-Fanpage-Betreiber können sich auch nicht hinter der Zuständigkeit von Aufsichtsbehörden für Facebook „verstecken“. Die Datenschutzkonferenz stellt – unter Bezugnahme auf die entsprechende Entscheidung des EuGH – klar, dass die für den Facebook-Fanpage-Betreiber zuständige Aufsichtsbehörde auch für das Vorgehen gegen Facebook-Fanpage-Betreiber zuständig ist.

Das bedeutet: Es kann auch gegen die Betreiber von Facebook-Fanpages vorgegangen werden und zwar durch die jeweilige für den Sitz des Betreibers der Facebook-Fanpage zuständige Aufsichtsbehörde im Inland.

Rechtsanwalt Dr. Jens Eckhardt

dmp@derra-d.de

Stand: 05/2019

Facebook-Fanpage stehen im Fokus der Datenschutzaufsichtsbehörden. Sie müssen sich die Anforderungen und Risiken beim Betreiben einer Facebook-Fanpage bewusst machen.

Positionierung der deutschen Datenschutzaufsichtsbehörden zur Facebook-Fanpage

Die Datenschutzkonferenz – also die deutschen Datenschutzaufsichtsbehörden des Bundes und der Länder - hat am 01.04.2019 in ihrer „Positionierung zur Verantwortlichkeit und Rechenschaftspflicht bei Facebook-Fanpages sowie der aufsichtsbehördlichen Zuständigkeit“ zum Betreiben einer Facebook Fanpage Stellung genommen. Sie kommt zu dem Schluss, dass die Erfüllung der Rechenschaftspflicht im Sinne von Art. 5 Abs. 2 DS-GVO seitens des Betreibers einer Fanpage derzeit (!) nicht möglich ist.

Im Beschluss heißt es wörtlich (Zitiert nach https://www.datenschutzkonferenz-online.de/media/dskb/20190405_positionierung_facebook_fanpages.pdf (Stand: 20.05.2019):

„Sowohl Facebook als auch die Fanpage-Betreiber müssen ihrer Rechenschaftspflicht nachkommen. Die Datenschutzkonferenz erwartet, dass Facebook entsprechend nachbessert und die Fanpage-Betreiber ihrer Verantwortlichkeit entsprechend gerecht werden. Solange diesen Pflichten nicht nachgekommen wird, ist ein datenschutzkonformer Betrieb einer Fanpage nicht möglich.“

Mit anderen Worten: Der Betrieb einer Facebook-Fanpage verstößt derzeit und solange gegen Datenschutzrecht, bis diese Vorgaben erfüllt sind.

Hintergrund - Urteil des EuGH zum Betrieb einer Facebook-Fanpage

Der EuGH hatte mit Urteil vom 05.06.2018 festgestellt, dass der Betreiber einer Fanpage und Facebook gemeinsam verantwortlich im Sinne von Art. 26 DS-GVO sind. Insbesondere treffen beide Rechenschaftspflichten nach Art. 5 Abs. 2 DS-GVO zum Nachweis der Erfüllung der in Art. 5 Abs. 1 DS-GVO genannten Pflichten.

Die in der Zwischenzeit erfolgten Ergänzungen seitens Facebook erachtet die Datenschutzkonferenz als nicht ausreichend. Insbesondere seien die durch Facebook bereitgestellten Informationen zu den Verarbeitungstätigkeiten im Zusammenhang mit Fanpages und Seiten-Insights nach Aussage der Datenschutzkonferenz nicht transparent und ausreichend konkret. Sie seien deshalb nicht ausreichend, um den Betreibern einer Fanpage die Prüfung der Rechtmäßigkeit der Verarbeitung der betroffenen personenbezogenen Daten zu ermöglichen. Sie können deshalb insbesondere ihrer Rechenschaftspflicht nach Art. 5 Abs. 2 DS-GVO nicht nachkommen.

Mit der Einbeziehung der Fanpage-Betreiber macht die Datenschutzkonferenz auch deutlich, dass gegen diese wegen Datenschutzverstößen vorgegangen werden kann. Der Verstoß gegen den angesprochenen Art. 5 Abs. 2 DS-GVO ist mit einem Bußgeld bis zu 20 Mio. EURO oder 4% des weltweiten Vorjahresumsatzes des Unternehmens sanktionierbar.

Facebook-Fanpage-Betreiber können sich auch nicht hinter der Zuständigkeit von Aufsichtsbehörden für Facebook „verstecken“. Die Datenschutzkonferenz stellt – unter Bezugnahme auf die entsprechende Entscheidung des EuGH – klar, dass die für den Facebook-Fanpage-Betreiber zuständige Aufsichtsbehörde auch für das Vorgehen gegen Facebook-Fanpage-Betreiber zuständig ist.

Das bedeutet: Es kann auch gegen die Betreiber von Facebook-Fanpages vorgegangen werden und zwar durch die jeweilige für den Sitz des Betreibers der Facebook-Fanpage zuständige Aufsichtsbehörde im Inland.

Rechtsanwalt Dr. Jens Eckhardt

dmp@derra-d.de

Stand: 05/2019

09 Mai
2019

Jetzt beachten: Das neue Geschäftsgeheimnisgesetz

Das neue Geschäftsgeheimnisgesetz - Kaum einer kennt es, dabei hat es einschneidende Folgen für den Schutz von Geschäftsgeheimnissen auch in Ihrem Unternehmen.

mehr lesen

Das neue Geschäftsgeheimnisgesetz - Kaum einer kennt es, dabei hat es einschneidende Folgen für den Schutz von Geschäftsgeheimnissen auch in Ihrem Unternehmen.

Dem Know-how kommt in jedem Unternehmen eine Schlüsselstellung zu. Jedes Unternehmen besitzt infrastrukturelle und/oder technologische Alleinstellungsmerkmale, die ihm gegenüber der Konkurrenz einen Wettbewerbsvorteil sichern sollen - seien es Kundendaten im CRM, Konstruktionspläne oder einfach nur interne strategische Absprachen. Das gilt nicht nur für große Unternehmen, sondern vor allem auch für Unternehmen und Start-Ups, die über eine gute Idee und ein vielversprechendes Geschäftsmodell verfügen. Aber auch Verpflichtungen können für Sie aus dem Geschäftsgeheimnisgesetz entstehen.

Sie müssen sich jetzt mit der neuen Rechtslage befassen:

Das Geschäftsgeheimnisgesetz

Das neue Geschäftsgeheimnisgesetz ist am 26.04.2019 in Kraft getreten und seitdem zu beachten! Das Gesetz beruht auf der EU-Richtlinie zum Schutz von Geschäftsgeheimnissen vor rechtswidrigem Erwerb, sowie rechtswidriger Nutzung und Offenlegung.

Der Schutz von Geschäftsgeheimnissen wird dadurch in Deutschland ausgeweitet. Explizit werden neben der Konkretisierung erlaubter Handlungen und Handlungsverboten auch Ansprüche auf Unterlassung, Beseitigung und Schadensersatz bei Verletzung von Geschäftsgeheimnissen geregelt. Damit wird die Rechtslage in Deutschland konkreter und auch besser durchsetzbar. Bislang war der Geschäftsgeheimnisschutz lediglich in den lauterkeitsstrafrechtlichen Tatbeständen der §§ 17 bis 19 UWG geregelt. An deren Stelle tritt nun ein Spezialgesetz.

Entscheidend ist: Das Gesetz definiert erstmalig, was als Geschäftsgeheimnis geschützt sein soll. Ein Geschäftsgeheimnis sind Informationen,

  1. die weder allgemein bekannt oder ohne weiteres zugänglich sind und einen wirtschaftlichen Wert haben,
  2. die Gegenstand von angemessenen Geheimhaltungsmaßnahmen des rechtmäßigen Inhabers sind und
  3. bei denen ein berechtigtes Interesse an der Geheimhaltung besteht.

Als entscheidendes Merkmal für den Schutz treten damit die angemessenen Schutzmaßnahmen hervor. Diese umfassen neben technisch-organisatorischen Maßnahmen auch rechtliche, insbesondere vertragliche, Maßnahmen.

Was müssen Sie bei der Umsetzung des Geschäftsgeheimnisgesetzes beachten?

Den Schutz durch das Geschäftsgeheimnisgesetz erhalten Sie nur, wenn Sie Maßnahmen ergreifen, um Ihre Geschäftsgeheimnisse zu schützen:

  1. In Ihrem Unternehmen ist daher zunächst zu ermitteln, welche Informationen Geschäftsgeheimnisse darstellen. Als Geschäftsgeheimnis kommen bspw. Umsätze, Ertragslagen, Geschäftsbücher, Kundenlisten, Bezugsquellen, Konditionen, Marktstrategien, Unterlagen zur Kreditwürdigkeit, Kalkulationsunterlagen, Patentanmeldungen und sonstige Entwicklungs- und Forschungsprojekte in Betracht.
  2. In einem zweiten Schritt ist zu prüfen, welche Maßnahmen zum Geheimnisschutz bereits vorhanden sind. Soweit Sie die im vergangenen Jahr in Kraft getretene Datenschutzgrundverordnung (DS-GVO) bereits in Ihrem Unternehmen umgesetzt haben, können Sie von Synergieeffekten profitieren, die sich beispielsweise aus einem bereits erstellten Verfahrensverzeichnis ergeben.
    Als Maßnahmen zum Schutz kommen zum einen vertragliche Vereinbarungen, insbesondere Geheimhaltungsvereinbarungen mit Vertragspartnern und Mitarbeitern, sowie Schulungen der Mitarbeiter in Betracht. Zum anderen sind technische und organisatorische Schutzmaßnahmen zu prüfen, wie zum Beispiel die Kennzeichnung der Geschäftsgeheimnisse, Zugangs- und Nutzungsbeschränkungen, Passwortschutz, Firewalls und Regelungen zum Umgang mit Geschäftsgeheimnissen in der täglichen Arbeit und auf privaten Geräten. Je wichtiger das Geschäftsgeheimnis für das Unternehmen ist, desto höher sind die Anforderungen an die zu treffenden Maßnahmen und umso strenger muss die Geheimhaltung kontrolliert werden.
  1. In einem dritten Schritt ist zu prüfen, welche Maßnahmen Sie im Einzelnen in Ihrem Unternehmen zum Schutz Ihrer Geschäftsgeheimnisse umsetzen sollten. Man findet dazu keine allgemeinen Grundlagen bzw. Informationen im Geschäftsgeheimnisgesetz. Die Schwierigkeit ist daher, dass man Maßnahmen ergreifen muss, ohne zu wissen, ob sie tatsächlich angemessen sind und vom Gesetzgeber auch als ausreichend angesehen werden.
  2. In einem letzten Schritt sind dann die ergriffenen Schutzmaßnahmen zu dokumentieren, um sie später auch nachweisen zu können.

Welche Vorteile hat die Umsetzung des Geschäftsgeheimnisgesetzes für Sie?

Sie haben nun im Falle einer unerlaubten Erlangung, Nutzung oder Offenlegung ihrer Geschäftsgeheimnisse durch unbefugte Dritte gesetzlich konkret geregelte Beseitigungs- und Unterlassungsansprüche, Ansprüche auf Vernichtung, Herausgabe, Rückruf, Entfernung und Rücknahme vom Markt, sowie Auskunfts- und Schadensersatzansprüche. Die Möglichkeit, diese Ansprüche geltend zu machen, entsteht aber nur durch Ihr Zutun!

Als Unternehmen müssen Sie jetzt ihre Geschäftsgeheimnisse angemessen schützen. Schutzkonzepte müssen entwickelt und umgehend umgesetzt werden. Tun Sie das nicht, droht im schlimmsten Fall der ungestrafte Diebstahl sensibler Informationen und erheblicher, wirtschaftlicher Schaden, weil Sie nicht vom Geschäftsgeheimnisgesetz geschützt werden.

Lassen Sie also Ihre Vertragswerke überprüfen, vom Arbeitsvertrag bis hin zu Kooperationsvereinbarungen und Lieferverträgen mit Ihren Geschäftspartnern. Überprüfen Sie ihre technischen und organisatorischen Maßnahmen und ergänzen Sie diese, wenn nötig. Wir unterstützen Sie gern dabei, die gesetzlichen Anforderungen des Geschäftsgeheimnisgesetzes in Ihrem Unternehmen umzusetzen, damit Sie im Falle eines Missbrauchs Ihrer Geschäftsgeheimnisse auch die im Geschäftsgeheimnisgesetz geregelten Ansprüche geltend machen können.

Rechtsanwältin Kathleen Brauner

dmp@derra-b.de

Stand: 05/2019

Das neue Geschäftsgeheimnisgesetz - Kaum einer kennt es, dabei hat es einschneidende Folgen für den Schutz von Geschäftsgeheimnissen auch in Ihrem Unternehmen.

Dem Know-how kommt in jedem Unternehmen eine Schlüsselstellung zu. Jedes Unternehmen besitzt infrastrukturelle und/oder technologische Alleinstellungsmerkmale, die ihm gegenüber der Konkurrenz einen Wettbewerbsvorteil sichern sollen - seien es Kundendaten im CRM, Konstruktionspläne oder einfach nur interne strategische Absprachen. Das gilt nicht nur für große Unternehmen, sondern vor allem auch für Unternehmen und Start-Ups, die über eine gute Idee und ein vielversprechendes Geschäftsmodell verfügen. Aber auch Verpflichtungen können für Sie aus dem Geschäftsgeheimnisgesetz entstehen.

Sie müssen sich jetzt mit der neuen Rechtslage befassen:

Das Geschäftsgeheimnisgesetz

Das neue Geschäftsgeheimnisgesetz ist am 26.04.2019 in Kraft getreten und seitdem zu beachten! Das Gesetz beruht auf der EU-Richtlinie zum Schutz von Geschäftsgeheimnissen vor rechtswidrigem Erwerb, sowie rechtswidriger Nutzung und Offenlegung.

Der Schutz von Geschäftsgeheimnissen wird dadurch in Deutschland ausgeweitet. Explizit werden neben der Konkretisierung erlaubter Handlungen und Handlungsverboten auch Ansprüche auf Unterlassung, Beseitigung und Schadensersatz bei Verletzung von Geschäftsgeheimnissen geregelt. Damit wird die Rechtslage in Deutschland konkreter und auch besser durchsetzbar. Bislang war der Geschäftsgeheimnisschutz lediglich in den lauterkeitsstrafrechtlichen Tatbeständen der §§ 17 bis 19 UWG geregelt. An deren Stelle tritt nun ein Spezialgesetz.

Entscheidend ist: Das Gesetz definiert erstmalig, was als Geschäftsgeheimnis geschützt sein soll. Ein Geschäftsgeheimnis sind Informationen,

  1. die weder allgemein bekannt oder ohne weiteres zugänglich sind und einen wirtschaftlichen Wert haben,
  2. die Gegenstand von angemessenen Geheimhaltungsmaßnahmen des rechtmäßigen Inhabers sind und
  3. bei denen ein berechtigtes Interesse an der Geheimhaltung besteht.

Als entscheidendes Merkmal für den Schutz treten damit die angemessenen Schutzmaßnahmen hervor. Diese umfassen neben technisch-organisatorischen Maßnahmen auch rechtliche, insbesondere vertragliche, Maßnahmen.

Was müssen Sie bei der Umsetzung des Geschäftsgeheimnisgesetzes beachten?

Den Schutz durch das Geschäftsgeheimnisgesetz erhalten Sie nur, wenn Sie Maßnahmen ergreifen, um Ihre Geschäftsgeheimnisse zu schützen:

  1. In Ihrem Unternehmen ist daher zunächst zu ermitteln, welche Informationen Geschäftsgeheimnisse darstellen. Als Geschäftsgeheimnis kommen bspw. Umsätze, Ertragslagen, Geschäftsbücher, Kundenlisten, Bezugsquellen, Konditionen, Marktstrategien, Unterlagen zur Kreditwürdigkeit, Kalkulationsunterlagen, Patentanmeldungen und sonstige Entwicklungs- und Forschungsprojekte in Betracht.
  2. In einem zweiten Schritt ist zu prüfen, welche Maßnahmen zum Geheimnisschutz bereits vorhanden sind. Soweit Sie die im vergangenen Jahr in Kraft getretene Datenschutzgrundverordnung (DS-GVO) bereits in Ihrem Unternehmen umgesetzt haben, können Sie von Synergieeffekten profitieren, die sich beispielsweise aus einem bereits erstellten Verfahrensverzeichnis ergeben.
    Als Maßnahmen zum Schutz kommen zum einen vertragliche Vereinbarungen, insbesondere Geheimhaltungsvereinbarungen mit Vertragspartnern und Mitarbeitern, sowie Schulungen der Mitarbeiter in Betracht. Zum anderen sind technische und organisatorische Schutzmaßnahmen zu prüfen, wie zum Beispiel die Kennzeichnung der Geschäftsgeheimnisse, Zugangs- und Nutzungsbeschränkungen, Passwortschutz, Firewalls und Regelungen zum Umgang mit Geschäftsgeheimnissen in der täglichen Arbeit und auf privaten Geräten. Je wichtiger das Geschäftsgeheimnis für das Unternehmen ist, desto höher sind die Anforderungen an die zu treffenden Maßnahmen und umso strenger muss die Geheimhaltung kontrolliert werden.
  1. In einem dritten Schritt ist zu prüfen, welche Maßnahmen Sie im Einzelnen in Ihrem Unternehmen zum Schutz Ihrer Geschäftsgeheimnisse umsetzen sollten. Man findet dazu keine allgemeinen Grundlagen bzw. Informationen im Geschäftsgeheimnisgesetz. Die Schwierigkeit ist daher, dass man Maßnahmen ergreifen muss, ohne zu wissen, ob sie tatsächlich angemessen sind und vom Gesetzgeber auch als ausreichend angesehen werden.
  2. In einem letzten Schritt sind dann die ergriffenen Schutzmaßnahmen zu dokumentieren, um sie später auch nachweisen zu können.

Welche Vorteile hat die Umsetzung des Geschäftsgeheimnisgesetzes für Sie?

Sie haben nun im Falle einer unerlaubten Erlangung, Nutzung oder Offenlegung ihrer Geschäftsgeheimnisse durch unbefugte Dritte gesetzlich konkret geregelte Beseitigungs- und Unterlassungsansprüche, Ansprüche auf Vernichtung, Herausgabe, Rückruf, Entfernung und Rücknahme vom Markt, sowie Auskunfts- und Schadensersatzansprüche. Die Möglichkeit, diese Ansprüche geltend zu machen, entsteht aber nur durch Ihr Zutun!

Als Unternehmen müssen Sie jetzt ihre Geschäftsgeheimnisse angemessen schützen. Schutzkonzepte müssen entwickelt und umgehend umgesetzt werden. Tun Sie das nicht, droht im schlimmsten Fall der ungestrafte Diebstahl sensibler Informationen und erheblicher, wirtschaftlicher Schaden, weil Sie nicht vom Geschäftsgeheimnisgesetz geschützt werden.

Lassen Sie also Ihre Vertragswerke überprüfen, vom Arbeitsvertrag bis hin zu Kooperationsvereinbarungen und Lieferverträgen mit Ihren Geschäftspartnern. Überprüfen Sie ihre technischen und organisatorischen Maßnahmen und ergänzen Sie diese, wenn nötig. Wir unterstützen Sie gern dabei, die gesetzlichen Anforderungen des Geschäftsgeheimnisgesetzes in Ihrem Unternehmen umzusetzen, damit Sie im Falle eines Missbrauchs Ihrer Geschäftsgeheimnisse auch die im Geschäftsgeheimnisgesetz geregelten Ansprüche geltend machen können.

Rechtsanwältin Kathleen Brauner

dmp@derra-b.de

Stand: 05/2019

06 Mai
2019

EuGH: Cookies auf der Internetseite– Genügt ein Opt-Out oder muss ein Opt-In sein?

Sie setzen auf Ihrer Internetseite Cookies ein? Dann sollten Sie sich jetzt mit den neuesten Entwicklungen in der Rechtsprechung befassen.

mehr lesen

Sie setzen auf Ihrer Internetseite Cookies ein? Dann sollten Sie sich jetzt mit den neuesten Entwicklungen in der Rechtsprechung befassen. Denn zu der Frage, welche Anforderungen an den Einsatz von Cookies aus datenschutzrechtlicher Sicht bestehen, hat sich nun der Generalanwalt am Gerichtshof der Europäischen Union (EuGH) geäußert. Dessen Einschätzung könnte weitreichende Folgen haben.

Cookies nur mit vorheriger Einwilligung

Auf Internetseiten wird in verschiedenster Art und Weise auf die Verwendung von Cookies (kleine Textdateien, die auf dem Rechner einer Person abgelegt werden, um deren Nutzungsverhalten im Internet zu erfassen und auszuwerten und dadurch die Person wiederzuerkennen) hingewiesen. Oft wird die Zustimmung durch ein „Ok“ oder „Einverstanden“ abgefragt. Hin und wieder sind Ankreuzkästchen vorausgefüllt; manchmal kann dagegen auch selbst ausgewählt werden, zu welchen Zwecken Cookies gesetzt werden sollen. Insbesondere im Hinblick auf die Datenschutz-Grundverordnung (DS-GVO) scheint hier erhebliche Rechtsunsicherheit zu herrschen.

Fakt ist: Die deutschen Datenschutzbehörden verlangen für den Einsatz von Cookies, die beispielsweise nicht für den Betrieb oder die nutzerfreundliche Optimierung der Internetseite notwendig sind, eine vorherige Einwilligung (Opt-In) (Orientierungshilfe der Aufsichtsbehörden für Anbieter von Telemedien, unter https://www.datenschutz.rlp.de/fileadmin/lfdi/Dokumente/Orientierungshilfen/OH_TMG.pdf abrufbar, Stand 03.05.2019. Das ist z.B. der Fall, wenn die mittels der Cookies gesammelten Daten an Dritte weitergegeben werden. Die Einwilligung muss vor Platzierung der Cookies aktiv erklärt werden und auch den übrigen Anforderungen der DS-GVO genügen. Hierfür wird eine Widerspruchslösung (Opt-Out – das heißt, die Cookies werden gesetzt, wenn kein Widerspruch erfolgt) als ungenügend angesehen. Stillschweigen und vorangekreuzte Kästchen genügen also nicht.

Stellungnahme des Generalanwalts am EuGH

Mit der Frage, wie eine solche Cookie-Einwilligung in der Praxis ausgestaltet sein muss, beschäftigt sich zurzeit auch der EuGH. In dem zugrunde liegenden Verfahren bat der Betreiber einer Internetseite die betroffenen Personen um ihre Zustimmung zur Verwendung von Cookies, um interessengerichtete Werbung auszuspielen. Der Hinweistext war mit einem voreingestellten Häkchen versehen, das – falls die Cookies nicht gesetzt werden sollten – entfernt werden musste; andernfalls wurden die Cookies stets gesetzt.

Während die deutschen Instanzgerichte (Landgericht und Oberlandesgericht) diese Form der Widerspruchslösung genügen ließen, legte der Bundesgerichtshof die Frage, ob damit den Anforderungen an eine wirksame Einwilligung genügt ist, dem EuGH vor (Beschluss vom 5.10.2017 – I ZR 7/16). Bevor dieser jedoch endgültig entscheidet, prüft zunächst der zuständige Generalanwalt am EuGH die vorgelegte Frage und unterbreitet dem Gericht einen Vorschlag für ein Urteil.

Der Generalanwalt hat nun seine Schlussanträge (also seine Empfehlung an das Gericht) gestellt (abrufbar unter http://curia.europa.eu/juris/document/document.jsf?text=&docid=212023&pageIndex=0&doclang=de&mode=lst&dir=&occ=first&part=1&cid=5471450, Stand 25.04.2019). Darin schlägt er dem EuGH folgende Bewertung vor: Ein voreingestelltes Ankreuzkästchen, das zur Verweigerung abgewählt werden muss, stellt keine wirksame Einwilligung für den Einsatz von Cookies dar. Vielmehr sei erforderlich, dass die Zustimmung aktiv erklärt werde, beispielsweise durch eigenes Ankreuzen oder Anklicken. Außerdem müsse die betroffene Person transparent über die Funktionsdauer der Cookies und die Frage, ob Dritte Zugriff auf die Cookies erhalten, informiert werden. Zwar bezieht sich diese Einschätzung auf die alte Rechtslage (nach der Richtlinie 2002/58/EG und dem BDSG a.F.). Jedoch soll das Gleiche ausdrücklich auch unter der DS-GVO gelten.

Konsequenzen in der Praxis

Auch wenn dieser Entscheidungsvorschlag für den EuGH nicht bindend ist, kommt ihm in der Praxis erhebliche Bedeutung zu. Denn häufig folgt der EuGH den Vorschlägen der Generalanwälte. Sollte es dazu auch in dem vorliegenden Verfahren kommen, hätte dies grundlegende Konsequenzen für alle Webseitenbetreiber, die Cookies oder sonstige Tracking- oder Webanalysemechanismen verwenden.

Setzen Sie auf Ihrer Internetseite Cookies ein, sollten Sie also Folgendes beachten: Bevor Cookies gesetzt werden, sollten betroffene Personen in jedem Fall ausdrücklich und aktiv zustimmen (beispielsweise durch Ankreuzen oder Anklicken). Voreingestellte Kästchenlösungen und erst recht eine Zustimmung durch Stillschweigen oder Untätigkeit sind nicht erlaubt. Sämtliche Cookie-Banner, die diesen Vorgaben nicht entsprechen, sollten dementsprechend angepasst werden. Außerdem sind die betroffenen Personen umfassend über die verbundenen Datenverarbeitungen zu informieren. Da die Anforderungen der DS-GVO an eine wirksame Einwilligung sehr hoch sind, sollten Sie in jedem Fall sorgfältig prüfen, ob diese erfüllt werden.

Rechtsanwältin Johanna Mäkert, LL.M. (Bukarest)

dmp@derra-b.de

Stand: 04/2019

Sie setzen auf Ihrer Internetseite Cookies ein? Dann sollten Sie sich jetzt mit den neuesten Entwicklungen in der Rechtsprechung befassen. Denn zu der Frage, welche Anforderungen an den Einsatz von Cookies aus datenschutzrechtlicher Sicht bestehen, hat sich nun der Generalanwalt am Gerichtshof der Europäischen Union (EuGH) geäußert. Dessen Einschätzung könnte weitreichende Folgen haben.

Cookies nur mit vorheriger Einwilligung

Auf Internetseiten wird in verschiedenster Art und Weise auf die Verwendung von Cookies (kleine Textdateien, die auf dem Rechner einer Person abgelegt werden, um deren Nutzungsverhalten im Internet zu erfassen und auszuwerten und dadurch die Person wiederzuerkennen) hingewiesen. Oft wird die Zustimmung durch ein „Ok“ oder „Einverstanden“ abgefragt. Hin und wieder sind Ankreuzkästchen vorausgefüllt; manchmal kann dagegen auch selbst ausgewählt werden, zu welchen Zwecken Cookies gesetzt werden sollen. Insbesondere im Hinblick auf die Datenschutz-Grundverordnung (DS-GVO) scheint hier erhebliche Rechtsunsicherheit zu herrschen.

Fakt ist: Die deutschen Datenschutzbehörden verlangen für den Einsatz von Cookies, die beispielsweise nicht für den Betrieb oder die nutzerfreundliche Optimierung der Internetseite notwendig sind, eine vorherige Einwilligung (Opt-In) (Orientierungshilfe der Aufsichtsbehörden für Anbieter von Telemedien, unter https://www.datenschutz.rlp.de/fileadmin/lfdi/Dokumente/Orientierungshilfen/OH_TMG.pdf abrufbar, Stand 03.05.2019. Das ist z.B. der Fall, wenn die mittels der Cookies gesammelten Daten an Dritte weitergegeben werden. Die Einwilligung muss vor Platzierung der Cookies aktiv erklärt werden und auch den übrigen Anforderungen der DS-GVO genügen. Hierfür wird eine Widerspruchslösung (Opt-Out – das heißt, die Cookies werden gesetzt, wenn kein Widerspruch erfolgt) als ungenügend angesehen. Stillschweigen und vorangekreuzte Kästchen genügen also nicht.

Stellungnahme des Generalanwalts am EuGH

Mit der Frage, wie eine solche Cookie-Einwilligung in der Praxis ausgestaltet sein muss, beschäftigt sich zurzeit auch der EuGH. In dem zugrunde liegenden Verfahren bat der Betreiber einer Internetseite die betroffenen Personen um ihre Zustimmung zur Verwendung von Cookies, um interessengerichtete Werbung auszuspielen. Der Hinweistext war mit einem voreingestellten Häkchen versehen, das – falls die Cookies nicht gesetzt werden sollten – entfernt werden musste; andernfalls wurden die Cookies stets gesetzt.

Während die deutschen Instanzgerichte (Landgericht und Oberlandesgericht) diese Form der Widerspruchslösung genügen ließen, legte der Bundesgerichtshof die Frage, ob damit den Anforderungen an eine wirksame Einwilligung genügt ist, dem EuGH vor (Beschluss vom 5.10.2017 – I ZR 7/16). Bevor dieser jedoch endgültig entscheidet, prüft zunächst der zuständige Generalanwalt am EuGH die vorgelegte Frage und unterbreitet dem Gericht einen Vorschlag für ein Urteil.

Der Generalanwalt hat nun seine Schlussanträge (also seine Empfehlung an das Gericht) gestellt (abrufbar unter http://curia.europa.eu/juris/document/document.jsf?text=&docid=212023&pageIndex=0&doclang=de&mode=lst&dir=&occ=first&part=1&cid=5471450, Stand 25.04.2019). Darin schlägt er dem EuGH folgende Bewertung vor: Ein voreingestelltes Ankreuzkästchen, das zur Verweigerung abgewählt werden muss, stellt keine wirksame Einwilligung für den Einsatz von Cookies dar. Vielmehr sei erforderlich, dass die Zustimmung aktiv erklärt werde, beispielsweise durch eigenes Ankreuzen oder Anklicken. Außerdem müsse die betroffene Person transparent über die Funktionsdauer der Cookies und die Frage, ob Dritte Zugriff auf die Cookies erhalten, informiert werden. Zwar bezieht sich diese Einschätzung auf die alte Rechtslage (nach der Richtlinie 2002/58/EG und dem BDSG a.F.). Jedoch soll das Gleiche ausdrücklich auch unter der DS-GVO gelten.

Konsequenzen in der Praxis

Auch wenn dieser Entscheidungsvorschlag für den EuGH nicht bindend ist, kommt ihm in der Praxis erhebliche Bedeutung zu. Denn häufig folgt der EuGH den Vorschlägen der Generalanwälte. Sollte es dazu auch in dem vorliegenden Verfahren kommen, hätte dies grundlegende Konsequenzen für alle Webseitenbetreiber, die Cookies oder sonstige Tracking- oder Webanalysemechanismen verwenden.

Setzen Sie auf Ihrer Internetseite Cookies ein, sollten Sie also Folgendes beachten: Bevor Cookies gesetzt werden, sollten betroffene Personen in jedem Fall ausdrücklich und aktiv zustimmen (beispielsweise durch Ankreuzen oder Anklicken). Voreingestellte Kästchenlösungen und erst recht eine Zustimmung durch Stillschweigen oder Untätigkeit sind nicht erlaubt. Sämtliche Cookie-Banner, die diesen Vorgaben nicht entsprechen, sollten dementsprechend angepasst werden. Außerdem sind die betroffenen Personen umfassend über die verbundenen Datenverarbeitungen zu informieren. Da die Anforderungen der DS-GVO an eine wirksame Einwilligung sehr hoch sind, sollten Sie in jedem Fall sorgfältig prüfen, ob diese erfüllt werden.

Rechtsanwältin Johanna Mäkert, LL.M. (Bukarest)

dmp@derra-b.de

Stand: 04/2019

02 Mai
2019

Daten und Gläubiger schützen. Unvereinbar?

Zu dieser hochspannenden Frage referierten und diskutierten Vertreter aus der Insolvenz- und Datenschutzbranche im Rahmen des Düsseldorfer Restrukturierungsforum am 19. März 2019 vor rund 120 Gästen.

mehr lesen
26 Mär
2019

Cloud-Computing - Was Unternehmen beachten müssen

In einem in der Süddeutschen Zeitung veröffentlichten Beitrag zum Cloud-Computing gibt unser Kollege Dr. Eckhardt wichtige Hinweise zur Nutzung von Cloud-Services durch Unternehmen. Hier gelangen Sie zum Beitrag:

mehr lesen
20 Mär
2019

Cyberkriminalität - wirksame Datensicherung im Unternehmen

Ein neuer Mitarbeiter mit Bankvollmacht – gerne bei einer Auslandstochtergesellschaft – erhält eine Email des Geschäftsführers ...

mehr lesen

Ein neuer Mitarbeiter mit Bankvollmacht – gerne bei einer Auslandstochtergesellschaft – erhält eine Email des Geschäftsführers, er möge einen fünfstelligen Betrag auf ein bestimmtes Konto überweisen. Es handele sich um ein wichtiges Geschäft, bei dem kurzfristig eine Anzahlung geleistet werden muss. Variante der Email: der Geschäftsführer stecke privat in der Klemme, er bitte um kurzfristige Überweisung eines Betrags, der auch schnell wieder ausgeglichen werden würde. Alles streng vertraulich. Nach einer ersten Email folgt nach einer Stunde eine weitere Email oder ein Anruf – wurde die Überweisung bereits ausgeführt?

Möglich ist auch, dass ein Lieferant per Email mitteilt, dass die Kontodaten geändert wurden und die Zahlungen in Zukunft auf die neue Bankverbindung erfolgen soll. Der arglose Mitarbeiter veranlasst die Überweisung – und erhält nach einem Monat eine Mahnung. Eine weitere Alternative ist, dass die Rechnung eines Lieferanten bezahlt wird, der gar nicht existiert.

Diese Vorfälle treten in letzter Zeit immer häufiger auf und gehen teilweise mit einem echten Data Breach einher – dann, wenn echte Emailadressen verwendet werden. Es werden hier nicht nur IT-Systeme von außen gehackt, sondern insbesondere auch auf der psychologischen Kommunikationsebene – besondere Wertschätzung, Pflichtbewusstsein, Aufbau einer Drucksituation - gearbeitet. Dem aufmerksamen Mitarbeiter, der per Email nachfragt, wird bei einem echten Data Breach direkt von einer zwischengeschalteten Adresse des Cyberangreifers geantwortet und die Korrektheit der Anfrage bestätigt.

In einer Zeit, in der praktisch alle Daten elektronisch gespeichert und nicht immer ausreichend geschützt werden – wobei eine absolute Datensicherheit nicht möglich sein dürfte - , ist es also nicht nur erforderlich, in den elektronischen Schutz der Daten zu investieren. Es muss insbesondere auch durch die geeigneten Abläufe, Entscheidungsstrukturen sowie konsequente Sensibilisierung und Fortbildung der Mitarbeiter im Unternehmen sichergestellt werden, dass Angriffe dieser Art erkannt und entlarvt werden – bevor ein finanzieller Schaden entsteht, der zum Teil erheblich sein und selten behoben werden kann. In diesem Zusammenhang wird die ganz praktische Bedeutung der Anforderungen der DS-Grundverordnung – hier insbesondere der Schutz der Daten durch geeignete technische und organisatorische Maßnahmen, das Verzeichnis der Verarbeitungstätigkeiten und die Risikofolgenabschätzung – einmal mehr deutlich.

Rechtsanwältin Dr. Stefanie Lebek

dmp.milano@derra.it

Stand: 03/2019

Ein neuer Mitarbeiter mit Bankvollmacht – gerne bei einer Auslandstochtergesellschaft – erhält eine Email des Geschäftsführers, er möge einen fünfstelligen Betrag auf ein bestimmtes Konto überweisen. Es handele sich um ein wichtiges Geschäft, bei dem kurzfristig eine Anzahlung geleistet werden muss. Variante der Email: der Geschäftsführer stecke privat in der Klemme, er bitte um kurzfristige Überweisung eines Betrags, der auch schnell wieder ausgeglichen werden würde. Alles streng vertraulich. Nach einer ersten Email folgt nach einer Stunde eine weitere Email oder ein Anruf – wurde die Überweisung bereits ausgeführt?

Möglich ist auch, dass ein Lieferant per Email mitteilt, dass die Kontodaten geändert wurden und die Zahlungen in Zukunft auf die neue Bankverbindung erfolgen soll. Der arglose Mitarbeiter veranlasst die Überweisung – und erhält nach einem Monat eine Mahnung. Eine weitere Alternative ist, dass die Rechnung eines Lieferanten bezahlt wird, der gar nicht existiert.

Diese Vorfälle treten in letzter Zeit immer häufiger auf und gehen teilweise mit einem echten Data Breach einher – dann, wenn echte Emailadressen verwendet werden. Es werden hier nicht nur IT-Systeme von außen gehackt, sondern insbesondere auch auf der psychologischen Kommunikationsebene – besondere Wertschätzung, Pflichtbewusstsein, Aufbau einer Drucksituation - gearbeitet. Dem aufmerksamen Mitarbeiter, der per Email nachfragt, wird bei einem echten Data Breach direkt von einer zwischengeschalteten Adresse des Cyberangreifers geantwortet und die Korrektheit der Anfrage bestätigt.

In einer Zeit, in der praktisch alle Daten elektronisch gespeichert und nicht immer ausreichend geschützt werden – wobei eine absolute Datensicherheit nicht möglich sein dürfte - , ist es also nicht nur erforderlich, in den elektronischen Schutz der Daten zu investieren. Es muss insbesondere auch durch die geeigneten Abläufe, Entscheidungsstrukturen sowie konsequente Sensibilisierung und Fortbildung der Mitarbeiter im Unternehmen sichergestellt werden, dass Angriffe dieser Art erkannt und entlarvt werden – bevor ein finanzieller Schaden entsteht, der zum Teil erheblich sein und selten behoben werden kann. In diesem Zusammenhang wird die ganz praktische Bedeutung der Anforderungen der DS-Grundverordnung – hier insbesondere der Schutz der Daten durch geeignete technische und organisatorische Maßnahmen, das Verzeichnis der Verarbeitungstätigkeiten und die Risikofolgenabschätzung – einmal mehr deutlich.

Rechtsanwältin Dr. Stefanie Lebek

dmp.milano@derra.it

Stand: 03/2019

14 Mär
2019

Der Brexit naht - Woran Sie jetzt noch denken müssen!

Der Brexit stellt deutsche Unternehmen auch beim Datenschutz vor Herausforderungen.

mehr lesen

Der Brexit stellt deutsche Unternehmen auch beim Datenschutz vor Herausforderungen. Denn egal ob „Deal or no deal“: In beiden Fällen wird Großbritannien ab dem 30. März 2019 oder auch später zum Drittland im Sinne der DSGVO. Das zwingt Unternehmen dazu, ihre grenzüberschreitende Verarbeitung personenbezogener Daten zu prüfen, worauf jetzt der eco Verband hinweist. Die Empfehlung gilt auch für alle, die heute in irgendeiner Form Cloud-Dienste nutzen – vom E-Mail-Dienst über Online-Speicher bis hin zum Bezug von Dienstleistungen aus dem Ausland. EuroCloud Deutschland_eco e. V hat dazu einen kurzen Leitfaden erstellt, der kostenlos heruntergeladen werden kann.

Keine Karenz für Datentransfer nach UK

Die Datenschutz-Grundverordnung (DSGVO) gilt auch für die Nutzung von Cloud-Diensten. Sie erlaubt innerhalb der Europäischen Union (EU) eine grenzüberschreitende Verarbeitung personenbezogener Daten (Art. 1 Abs. 1, Artikel 44 ff. DSGVO). Durch den EU-Austritt ändert sich folglich die datenschutzrechtliche Behandlung des Datentransfers in das Vereinigte Königreich (UK). Dieser wird künftig unabhängig vom gestrigen Votum und vom Ausgang der Austrittsverhandlungen zwischen der EU und UK mit den Vorgaben für die Schweiz oder die USA vergleichbar sein.

Dies erfordert eine eigenständige zusätzliche Rechtsgrundlage für alle Datentransfers nach Groß-britannien, für deren Einhaltung jeweils das verarbeitende Unternehmen haftbar ist. Die Europäische Kommission hat zwar einen Angemessenheitsbeschluss gemäß Art. 45 DSGVO angekündigt. Bislang ist dieser jedoch noch nicht erfolgt und wird es bei einem zeitnahen „No-Deal-Brexit“ auch nicht sein. Verschärfend kommt hinzu, dass formaljuristisch keine Karenzzeit besteht. Ab dem Wirksamwerden des Austritts ist ein Datentransfer rechtswidrig und bußgeldbewehrt, wenn nicht die Vorgaben der Artikel 44 ff. DSGVO eingehalten sind oder im Brexit-Deal eine Übergangsregelung geschaffen wird. Ob ein geregelter Brexit oder ein „No-Deal-Brexit“ kommt, ist derzeit unklar. Um die Fortführung von Cloud-Services sicherzustellen, müssen daher alternative Zulässigkeitsregelungen geschaffen werden.

Für eine kurzfristige Umsetzung kommen in erster Linie die sogenannten Standardvertragsklauseln in Betracht1. Für die typischerweise als Auftragsverarbeitung einzuordnenden Cloud-Services sind die klassifizierten „Standardvertragsklauseln (Auftragsverarbeiter)“ heranzuziehen2. Diese sind „ready to use“. Zwingend zu beachten ist allerdings, dass diese Standardvertragsklauseln nicht verändert, sondern nur ausgefüllt werden dürfen, um ihre Wirkung zu entfalten.

Auch der Europäische Datenschutzausschuss (EDPB), ein Zusammenschluss der nationalen Datenschutzaufsichtsbehörden der EU-Mitgliedstaaten, weist auf den dringenden Handlungsbedarf hin. In seinem Informationspapier vom 12. Februar 2019 hat der EDPB die Verwendung der Standardvertragsklauseln ausdrücklich als „einsatzbereites Instrument“ bestätigt.3

Für Cloud-Services können sich darüber hinaus auch auf der zweiten Ebene Herausforderungen ergeben: Services, die durch den Cloud-Provider datenschutzrechtlich in UK angeboten wurden, nutzten häufig weitere Subunternehmer in Drittländern. Das Unternehmen im UK fungierte wie eine Art Brückenkopf. Der datenschutzrechtliche Grenzübertritt erfolgte erst auf der Ebene Auftragnehmer zu Subunternehmer. Nach dem Austritt ist dies bereits eine weitere Übermittlung in Drittländer. Hierfür ergeben sich aus der DSGVO und den EU-Standardverträgen unter Umständen weitere Anforderungen. Konsequenz: Die datenschutzrechtliche Neubewertung darf nicht auf die erste Auslagerungsebene beschränkt sein, sondern muss die gesamte nachfolgende Kette von Subunternehmer erfassen.

1 https://ec.europa.eu/info/law/law-topic/data-protection/data-transfers-outside-eu/model-contracts-transfer-personal-data-third-countries_de (Stand: 28.02.2019) 2 https://eur-lex.europa.eu/legal-content/en/TXT/?uri=CELEX%3A32010D0087 (Stand: 28.02.2019) 3 Information note über Datentransfers im Rahmen der DSGVO im Falle eines No-Deal-Brexits https://www.bfdi.bund.de/SharedDocs/Publikationen/DokumenteArt29Gruppe_EDSA/SonstigePapiere/EDSA_Info_NoDealBrexit_Arbeits%C3%BCbersetzung.html?nn=5217120, abgerufen 28.02.201

Autoren:

Rechtsanwalt Dr. Jens Eckhardt

dmp@derra-d.de

Rechtsanwältin Johanna Mäkert, LL.M. (Bukarest)

dmp@derra-b.de

Stand 03/2019

Der Brexit stellt deutsche Unternehmen auch beim Datenschutz vor Herausforderungen. Denn egal ob „Deal or no deal“: In beiden Fällen wird Großbritannien ab dem 30. März 2019 oder auch später zum Drittland im Sinne der DSGVO. Das zwingt Unternehmen dazu, ihre grenzüberschreitende Verarbeitung personenbezogener Daten zu prüfen, worauf jetzt der eco Verband hinweist. Die Empfehlung gilt auch für alle, die heute in irgendeiner Form Cloud-Dienste nutzen – vom E-Mail-Dienst über Online-Speicher bis hin zum Bezug von Dienstleistungen aus dem Ausland. EuroCloud Deutschland_eco e. V hat dazu einen kurzen Leitfaden erstellt, der kostenlos heruntergeladen werden kann.

Keine Karenz für Datentransfer nach UK

Die Datenschutz-Grundverordnung (DSGVO) gilt auch für die Nutzung von Cloud-Diensten. Sie erlaubt innerhalb der Europäischen Union (EU) eine grenzüberschreitende Verarbeitung personenbezogener Daten (Art. 1 Abs. 1, Artikel 44 ff. DSGVO). Durch den EU-Austritt ändert sich folglich die datenschutzrechtliche Behandlung des Datentransfers in das Vereinigte Königreich (UK). Dieser wird künftig unabhängig vom gestrigen Votum und vom Ausgang der Austrittsverhandlungen zwischen der EU und UK mit den Vorgaben für die Schweiz oder die USA vergleichbar sein.

Dies erfordert eine eigenständige zusätzliche Rechtsgrundlage für alle Datentransfers nach Groß-britannien, für deren Einhaltung jeweils das verarbeitende Unternehmen haftbar ist. Die Europäische Kommission hat zwar einen Angemessenheitsbeschluss gemäß Art. 45 DSGVO angekündigt. Bislang ist dieser jedoch noch nicht erfolgt und wird es bei einem zeitnahen „No-Deal-Brexit“ auch nicht sein. Verschärfend kommt hinzu, dass formaljuristisch keine Karenzzeit besteht. Ab dem Wirksamwerden des Austritts ist ein Datentransfer rechtswidrig und bußgeldbewehrt, wenn nicht die Vorgaben der Artikel 44 ff. DSGVO eingehalten sind oder im Brexit-Deal eine Übergangsregelung geschaffen wird. Ob ein geregelter Brexit oder ein „No-Deal-Brexit“ kommt, ist derzeit unklar. Um die Fortführung von Cloud-Services sicherzustellen, müssen daher alternative Zulässigkeitsregelungen geschaffen werden.

Für eine kurzfristige Umsetzung kommen in erster Linie die sogenannten Standardvertragsklauseln in Betracht1. Für die typischerweise als Auftragsverarbeitung einzuordnenden Cloud-Services sind die klassifizierten „Standardvertragsklauseln (Auftragsverarbeiter)“ heranzuziehen2. Diese sind „ready to use“. Zwingend zu beachten ist allerdings, dass diese Standardvertragsklauseln nicht verändert, sondern nur ausgefüllt werden dürfen, um ihre Wirkung zu entfalten.

Auch der Europäische Datenschutzausschuss (EDPB), ein Zusammenschluss der nationalen Datenschutzaufsichtsbehörden der EU-Mitgliedstaaten, weist auf den dringenden Handlungsbedarf hin. In seinem Informationspapier vom 12. Februar 2019 hat der EDPB die Verwendung der Standardvertragsklauseln ausdrücklich als „einsatzbereites Instrument“ bestätigt.3

Für Cloud-Services können sich darüber hinaus auch auf der zweiten Ebene Herausforderungen ergeben: Services, die durch den Cloud-Provider datenschutzrechtlich in UK angeboten wurden, nutzten häufig weitere Subunternehmer in Drittländern. Das Unternehmen im UK fungierte wie eine Art Brückenkopf. Der datenschutzrechtliche Grenzübertritt erfolgte erst auf der Ebene Auftragnehmer zu Subunternehmer. Nach dem Austritt ist dies bereits eine weitere Übermittlung in Drittländer. Hierfür ergeben sich aus der DSGVO und den EU-Standardverträgen unter Umständen weitere Anforderungen. Konsequenz: Die datenschutzrechtliche Neubewertung darf nicht auf die erste Auslagerungsebene beschränkt sein, sondern muss die gesamte nachfolgende Kette von Subunternehmer erfassen.

1 https://ec.europa.eu/info/law/law-topic/data-protection/data-transfers-outside-eu/model-contracts-transfer-personal-data-third-countries_de (Stand: 28.02.2019) 2 https://eur-lex.europa.eu/legal-content/en/TXT/?uri=CELEX%3A32010D0087 (Stand: 28.02.2019) 3 Information note über Datentransfers im Rahmen der DSGVO im Falle eines No-Deal-Brexits https://www.bfdi.bund.de/SharedDocs/Publikationen/DokumenteArt29Gruppe_EDSA/SonstigePapiere/EDSA_Info_NoDealBrexit_Arbeits%C3%BCbersetzung.html?nn=5217120, abgerufen 28.02.201

Autoren:

Rechtsanwalt Dr. Jens Eckhardt

dmp@derra-d.de

Rechtsanwältin Johanna Mäkert, LL.M. (Bukarest)

dmp@derra-b.de

Stand 03/2019

14 Mär
2019

Stolperfallen bei der Meldung von Datenschutzpannen

Nach den ersten Bußgeldern in Deutschland und Bußgeldern in Höhe von 50 Mio. und 400.000 EURO in anderen EU-Mitgliedstaaten ...

mehr lesen

Nach den ersten Bußgeldern in Deutschland und Bußgeldern in Höhe von 50 Mio. und 400.000 EURO in anderen EU-Mitgliedstaaten wird deutlich, dass Verstöße gegen die DS-GVO zu Bußgeldern führen. Gerade die Pflicht zur Meldung von Datenschutzpannen gegenüber der Datenschutzaufsichtsbehörde nimmt dabei eine besondere Rolle ein. Denn das Unternehmen muss selbst einen Vorfall mitteilen, der ein Bußgeld begründen kann. Sie müssen sich daher bereits im Vorfeld mit der Frage befassen "Wie reagiere ich bei einem Datenschutzvorfall und was muss ich beachten?"

Unser Kollege Dr. Jens Eckhart erläutert gemeinsam mit Bernd Fuhlert, @-yet GmbH, Stolperfallen bei der Meldung von Datenschutzpannen in einem Workshop am 21. März 2019 im Schloß Eicherhof in Leichlingen. Sie können sich anmelden unter https://www.add-yet.de/index.php/de/events/uebersicht. Der Workshop bietet einen komprimierten Überblick.

Stand: 03/2019

 

Nach den ersten Bußgeldern in Deutschland und Bußgeldern in Höhe von 50 Mio. und 400.000 EURO in anderen EU-Mitgliedstaaten wird deutlich, dass Verstöße gegen die DS-GVO zu Bußgeldern führen. Gerade die Pflicht zur Meldung von Datenschutzpannen gegenüber der Datenschutzaufsichtsbehörde nimmt dabei eine besondere Rolle ein. Denn das Unternehmen muss selbst einen Vorfall mitteilen, der ein Bußgeld begründen kann. Sie müssen sich daher bereits im Vorfeld mit der Frage befassen "Wie reagiere ich bei einem Datenschutzvorfall und was muss ich beachten?"

Unser Kollege Dr. Jens Eckhart erläutert gemeinsam mit Bernd Fuhlert, @-yet GmbH, Stolperfallen bei der Meldung von Datenschutzpannen in einem Workshop am 21. März 2019 im Schloß Eicherhof in Leichlingen. Sie können sich anmelden unter https://www.add-yet.de/index.php/de/events/uebersicht. Der Workshop bietet einen komprimierten Überblick.

Stand: 03/2019

 

13 Mär
2019

Fotos auf der eigenen Internetseite – mit der DS-GVO noch möglich?

Seit nun fast einem Jahr gilt die Datenschutz-Grundverordnung (DS-GVO) und immer noch herrscht bei vielen Fragen Rechtsunsicherheit.

mehr lesen

Seit nun fast einem Jahr gilt die Datenschutz-Grundverordnung (DS-GVO) und immer noch herrscht bei vielen Fragen Rechtsunsicherheit. So fragen sich beispielsweise Unternehmen und Vereine, Journalisten und Fotografen, unter welchen Voraussetzungen Fotos, auf denen Personen abgebildet sind, auf der eigenen Internetseite, in sozialen Medien oder Zeitungsberichten verwenden dürfen. Gelten dafür, wie bislang, die Vorschriften des Kunsturhebergesetzes (KunstUrhG) oder sind nun die Regelungen der DS-GVO zu beachten?

Diese Frage hat in der Praxis gravierende Auswirkungen. Das KunstUrhG stellt an die Veröffentlichung von Personenbildaufnahmen weitaus geringere Anforderungen als die DS-GVO. Wegen der zahlreichen Ausnahmen ist nach dem KunstUrhG regelmäßig keine Einwilligung der abgebildeten Personen erforderlich – und wenn doch, kann diese auch stillschweigend erklärt und nicht ohne Weiteres widerrufen werden. Dagegen fordert die DS-GVO eine ausdrückliche Einwilligung, die schriftlich nachzuweisen ist und jederzeit widerrufen werden kann, mit der Folge, dass jede weitere Verwendung unzulässig ist.

Europäische Datenschutz-Grundverordnung ist vorrangiges Recht

Welche Vorschriften sind nun zu beachten? Klar ist: Die DS-GVO genießt als europäisches Recht Anwendungsvorrang. Das heißt, dass das KunstUrhG nur ergänzend herangezogen werden kann, soweit die DS-GVO Lücken lässt. Solche können darin bestehen, dass den Mitgliedstaaten erlaubt wird, zu bestimmten Aspekten innerhalb eines gewissen Spielraums eigene Regelungen zu treffen (sog. Öffnungsklauseln).

Eine solche Öffnungsklausel findet sich in Art. 85 DS-GVO, der aber die Anwendung des KunstUrhG nicht ohne Weiteres erlaubt. Zum einen wird das KunstUrhG nicht von Art. 85 (1) DS-GVO erfasst. Danach dürfen Mitgliedstaaten eigene Regelungen zu treffen, um das Recht auf Datenschutz mit dem Recht auf freie Meinungsäußerung und Informationsfreiheit in Einklang bringen. Die nationalen Regelungen dürfen Lücken ausfüllen, der DS-GVO aber nicht widersprechen. Genau dies ist mit den Vorschriften des KunstUrhG zur Einwilligung jedoch der Fall.

Auch über Art. 85 (2) DS-GVO lässt sich das Problem nur teilweise lösen. Diese Regelung erlaubt einen Rückgriff auf das KunstUrhG, wenn die Veröffentlichung journalistischen, wissenschaftlichen, künstlerischen oder literarischen Zwecken dient. Diese Ausnahmen sind abschließend und erfassen beispielsweise Veröffentlichungen in Zeitungsberichten; für alle anderen Zwecke – und damit regelmäßig bei Veröffentlichungen auf der eigenen Internetseite oder in sozialen Medien – gelten die strengen Anforderungen der DS-GVO.

Leider ist nicht zu erwarten, dass der deutsche Gesetzgeber Abhilfe schaffen wird. Das Bundesministerium des Innern übersieht diese Problematik und hält an seiner kritikwürdigen Auffassung fest, das KunstUrhG sei nach wie vor ohne Weiteres auf die Veröffentlichung von Bildaufnahmen anzuwenden.

Nur mit Einholung einer Einwilligung rechtssichere Veröffentlichung möglich

Für eine möglichst rechtssichere Lösung sollte bei der Veröffentlichung von Bildaufnahmen daher grundsätzlich auf die DS-GVO abgestellt werden. Danach ist idealerweise eine Einwilligung der abgebildeten Person einzuholen und diese gemäß der DS-GVO über die damit verbundene Datenverarbeitung zu informieren. Gerade bei Aufnahmen mehrerer Personen kann dies erhebliche Schwierigkeiten bereiten. Zudem besteht die Gefahr, dass die Einwilligung widerrufen wird und das Bild dann nicht mehr verwendet werden darf.

Alternativ kann eine Veröffentlichung auf die Interessenabwägung nach Art. 6 Abs. 1 (f) DS-GVO gestützt werden, wenn sie zur Wahrung der berechtigten Interessen erforderlich ist. Die deutschen Aufsichtsbehörden halten dies beispielsweise bei Veröffentlichungen zum Zweck der eigenen Öffentlichkeitsarbeit für möglich. Allerdings besteht hier immer das Risiko, dass ein Gericht oder eine andere Aufsichtsbehörde diese Abwägung bei einer späteren Überprüfung anders anstellt und damit die Rechtsgrundlage entfällt.

Kurzum: Das KunstUrhG ist neben der DS-GVO nicht mehr ohne Weiteres anwendbar. Dient die Veröffentlichung von Personenbildnissen journalistischen, wissenschaftlichen, künstlerischen oder literarischen Zwecken, kann das KunstUrhG weiterhin angewendet werden. Veröffentlichungen zu anderen Zwecken sollten, um möglichst rechtssicher zu agieren, nach Maßgabe der DS-GVO erfolgen. Bis zu einer Klärung durch den EuGH wird diese Rechtsunsicherheit bestehen bleiben.

Rechtsanwältin Johanna Mäkert

Stand: 03/2019

Seit nun fast einem Jahr gilt die Datenschutz-Grundverordnung (DS-GVO) und immer noch herrscht bei vielen Fragen Rechtsunsicherheit. So fragen sich beispielsweise Unternehmen und Vereine, Journalisten und Fotografen, unter welchen Voraussetzungen Fotos, auf denen Personen abgebildet sind, auf der eigenen Internetseite, in sozialen Medien oder Zeitungsberichten verwenden dürfen. Gelten dafür, wie bislang, die Vorschriften des Kunsturhebergesetzes (KunstUrhG) oder sind nun die Regelungen der DS-GVO zu beachten?

Diese Frage hat in der Praxis gravierende Auswirkungen. Das KunstUrhG stellt an die Veröffentlichung von Personenbildaufnahmen weitaus geringere Anforderungen als die DS-GVO. Wegen der zahlreichen Ausnahmen ist nach dem KunstUrhG regelmäßig keine Einwilligung der abgebildeten Personen erforderlich – und wenn doch, kann diese auch stillschweigend erklärt und nicht ohne Weiteres widerrufen werden. Dagegen fordert die DS-GVO eine ausdrückliche Einwilligung, die schriftlich nachzuweisen ist und jederzeit widerrufen werden kann, mit der Folge, dass jede weitere Verwendung unzulässig ist.

Europäische Datenschutz-Grundverordnung ist vorrangiges Recht

Welche Vorschriften sind nun zu beachten? Klar ist: Die DS-GVO genießt als europäisches Recht Anwendungsvorrang. Das heißt, dass das KunstUrhG nur ergänzend herangezogen werden kann, soweit die DS-GVO Lücken lässt. Solche können darin bestehen, dass den Mitgliedstaaten erlaubt wird, zu bestimmten Aspekten innerhalb eines gewissen Spielraums eigene Regelungen zu treffen (sog. Öffnungsklauseln).

Eine solche Öffnungsklausel findet sich in Art. 85 DS-GVO, der aber die Anwendung des KunstUrhG nicht ohne Weiteres erlaubt. Zum einen wird das KunstUrhG nicht von Art. 85 (1) DS-GVO erfasst. Danach dürfen Mitgliedstaaten eigene Regelungen zu treffen, um das Recht auf Datenschutz mit dem Recht auf freie Meinungsäußerung und Informationsfreiheit in Einklang bringen. Die nationalen Regelungen dürfen Lücken ausfüllen, der DS-GVO aber nicht widersprechen. Genau dies ist mit den Vorschriften des KunstUrhG zur Einwilligung jedoch der Fall.

Auch über Art. 85 (2) DS-GVO lässt sich das Problem nur teilweise lösen. Diese Regelung erlaubt einen Rückgriff auf das KunstUrhG, wenn die Veröffentlichung journalistischen, wissenschaftlichen, künstlerischen oder literarischen Zwecken dient. Diese Ausnahmen sind abschließend und erfassen beispielsweise Veröffentlichungen in Zeitungsberichten; für alle anderen Zwecke – und damit regelmäßig bei Veröffentlichungen auf der eigenen Internetseite oder in sozialen Medien – gelten die strengen Anforderungen der DS-GVO.

Leider ist nicht zu erwarten, dass der deutsche Gesetzgeber Abhilfe schaffen wird. Das Bundesministerium des Innern übersieht diese Problematik und hält an seiner kritikwürdigen Auffassung fest, das KunstUrhG sei nach wie vor ohne Weiteres auf die Veröffentlichung von Bildaufnahmen anzuwenden.

Nur mit Einholung einer Einwilligung rechtssichere Veröffentlichung möglich

Für eine möglichst rechtssichere Lösung sollte bei der Veröffentlichung von Bildaufnahmen daher grundsätzlich auf die DS-GVO abgestellt werden. Danach ist idealerweise eine Einwilligung der abgebildeten Person einzuholen und diese gemäß der DS-GVO über die damit verbundene Datenverarbeitung zu informieren. Gerade bei Aufnahmen mehrerer Personen kann dies erhebliche Schwierigkeiten bereiten. Zudem besteht die Gefahr, dass die Einwilligung widerrufen wird und das Bild dann nicht mehr verwendet werden darf.

Alternativ kann eine Veröffentlichung auf die Interessenabwägung nach Art. 6 Abs. 1 (f) DS-GVO gestützt werden, wenn sie zur Wahrung der berechtigten Interessen erforderlich ist. Die deutschen Aufsichtsbehörden halten dies beispielsweise bei Veröffentlichungen zum Zweck der eigenen Öffentlichkeitsarbeit für möglich. Allerdings besteht hier immer das Risiko, dass ein Gericht oder eine andere Aufsichtsbehörde diese Abwägung bei einer späteren Überprüfung anders anstellt und damit die Rechtsgrundlage entfällt.

Kurzum: Das KunstUrhG ist neben der DS-GVO nicht mehr ohne Weiteres anwendbar. Dient die Veröffentlichung von Personenbildnissen journalistischen, wissenschaftlichen, künstlerischen oder literarischen Zwecken, kann das KunstUrhG weiterhin angewendet werden. Veröffentlichungen zu anderen Zwecken sollten, um möglichst rechtssicher zu agieren, nach Maßgabe der DS-GVO erfolgen. Bis zu einer Klärung durch den EuGH wird diese Rechtsunsicherheit bestehen bleiben.

Rechtsanwältin Johanna Mäkert

Stand: 03/2019

14 Jan
2019

DSGVO: Haben Werbe-Einwilligungen ein Verfallsdatum?

Wie lange dürfen Daten für Direktwerbung verwendet werden? Für Datenschützer verfällt eine Werbe-Einwilligung nicht bei regelmäßiger Verwendung.

mehr lesen

Wie lange dürfen Daten für Direktwerbung verwendet werden? Für Datenschützer verfällt eine Werbe-Einwilligung nicht bei regelmäßiger Verwendung. Erfahren Sie mehr zu diesem Thema im Beitrag von unserem Kollegen Dr. Jens Eckhardt.

Wie lange dürfen Daten für Direktwerbung verwendet werden? Für Datenschützer verfällt eine Werbe-Einwilligung nicht bei regelmäßiger Verwendung. Erfahren Sie mehr zu diesem Thema im Beitrag von unserem Kollegen Dr. Jens Eckhardt.

17 Dez
2018

Datenschutz-Orientierungshilfe Direktwerbung

Seit über einem halben Jahr ist die DSGVO in Kraft. Die deutschen Datenschutzaufsichtsbehörden haben im November 2018 eine Orientierungshilfe zur Verarbeitung von personenbezogenen Daten für Zwecke der Direktwerbung veröffentlicht.

mehr lesen
12 Nov
2018

Verstöße gegen die Datenschutz-Grundverordnung als Wettbewerbsverstoß

Die Frage, ob Verstöße gegen die Datenschutz-Grundverordnung gleichzeitig eine Wettbewerbsverletzung darstellen und als solche verfolgt werden können, wird kontrovers diskutiert.

mehr lesen

Die Frage, ob Verstöße gegen die Datenschutz-Grundverordnung gleichzeitig eine Wettbewerbsverletzung darstellen und als solche verfolgt werden können, wird kontrovers diskutiert. Eine aktuelle Entscheidung des Oberlandesgerichts Hamburg (Urteil vom 25.10.2018, 3 U 66/17) weist jedoch neue Tendenzen auf. 

Nach Auffassung des OLG Hamburg  können Verstöße gegen die Bestimmungen der Datenschutz-Grundverordnung (DS-GVO) abmahnfähige Wettbewerbsverletzungen darstellen und somit gemäß den Bestimmungen des Gesetzes gegen den unlauteren Wettbewerb (UWG) von Mitbewerbern gerichtlich verfolgt werden. Das OLG Hamburg präzisierte jedoch, dass im Rahmen der Prüfung stets festzustellen ist, ob die von der DS-GVO gezogenen Grenzen jedenfalls auch den Schutz des Marktverhaltens bezweckten.

Klagebefugnis des Mitbewerbers

In seiner ausführlichen Begründung  bejaht das Gericht eine Klagebefugnis nach UWG sowohl in Bezug auf die Datenschutz-Richtlinie (DS-RL) als auch in Bezug auf die DS-GVO. In dem Urteil heißt es hierzu:

Die DS-RL enthält erkennbar kein abschließendes Sanktionssystem, das einer zivilrechtlich begründeten Verfolgung von Verletzungen der Datenschutzvorschriften durch Mitbewerber nach § 8 Abs. 1 und Abs. 3 Nr. 1 UWG entgegenstünde. Trotz der mit der Richtlinie beabsichtigten Vollharmonisierung [...] ist mit der Richtlinie kein abschließendes Rechtsbehelfssystem festgelegt worden […]

Die Klägerin ist aber auch unter der Geltung der DS-GVO klagebefugt. Der Senat ist […] nicht der Ansicht, dass die DS-GVO ein abgeschlossenes Sanktionssystem enthält, das die Verfolgung datenschutzrechtlicher Verletzungshandlungen auf lauterkeitsrechtlicher Grundlage durch Mitbewerber ausschlösse.

Das OLG Hamburg argumentiert, dass die Sanktionsregelungen in der DS-GVO keinen abschließenden Charakter in Bezug auf die Rechtsdurchsetzung durch andere hat. Das Gesetz schließt nach Auffassung des Gerichts die Verfolgung von datenschutzrechtlichen Verletzungshandlungen durch andere als die „betroffenen Personen“, deren Daten verarbeitet werden, nicht aus. Es geht davon aus, dass die DS-GVO nur einen Mindeststandard an Sanktionen vorsieht und wegen anderweitiger, in der DS-GVO selbst nicht geregelter Rechtsbehelfe und Sanktionen offen gestaltet ist.

Zum gleichen Ergebnis, indes ohne Begründung, kam bereits das Landgericht Würzburg in seinem Beschluss vom 13.09.2018 (11 O 1741/18).

Hingegen hatte das Landgericht Bochum in seinem Urteil vom 07.08.2018 (I-12 O 85/18) keine Wettbewerbsverletzung bei Verstößen gegen Vorschriften der DS-GVO angenommen. Das Gericht ging vielmehr davon aus, dass die DS-GVO in den Artt. 77 bis 84 DS-GVO eine die Ansprüche von Mitbewerbern ausschließende, abschließende Regelung enthält, weil sie den anspruchsberechtigten Personenkreis bestimmt und daraus zu schließen ist, dass der Unionsgesetzgeber eine Erstreckung auf Mitbewerber des Verletzers nicht zulassen wollte. 

DS-GVO-Norm muss marktverhaltensregelnd nach § 3a UWG sein

Das OLG Hamburg stellte in seinem Urteil - neben der grundsätzlichen Befugnis zur Verfolgung wettbewerbsrechtlicher Ansprüche durch Mitbewerber bei Verstößen gegen die Vorschriften der DS-GVO – auch fest, dass Datenschutzverstöße nicht immer zu einem Entstehen eines wettbewerbsrechtlichen Unterlassungsanspruchs führen. Es kommt nach Auffassung der Richter darauf an, dass die in Rede stehende, datenschutzrechtliche Norm eine marktverhaltensregelnde Norm im Sinne des § 3a UWG ist. Dies sei stets im Einzelfall zu prüfen.

Im konkreten Fall verstieß die Handlung der Beklagten zwar gegen § 28 Abs. 7 BDSG a.F. Bei der Norm handelte es sich jedoch nicht um marktverhaltensregelnde Normen im Sinne des § 3a UWG, sodass der Klägerin kein Unterlassungsanspruch zustand.

Kurzum

Durch das Urteil des OLG Hamburg steigt das Risiko für Unternehmen von Mitbewerbern wegen Verstößen gegen die Datenschutz-Grundverordnung abgemahnt zu werden. Allerdings ist zu konstatieren, dass die – auch weiterhin hoch umstrittene – Frage der Klagebefugnis noch einer abschließenden, höchstrichterlichen Klärung bedarf.

 

Autoren:

Rechtsanwalt Nils Steffen    

dmp@derra-ul.de

                                       

Rechtsanwalt Dr. Jens Eckhardt

dmp@derra-d.de

 

Stand: 11/2018

Die Frage, ob Verstöße gegen die Datenschutz-Grundverordnung gleichzeitig eine Wettbewerbsverletzung darstellen und als solche verfolgt werden können, wird kontrovers diskutiert. Eine aktuelle Entscheidung des Oberlandesgerichts Hamburg (Urteil vom 25.10.2018, 3 U 66/17) weist jedoch neue Tendenzen auf. 

Nach Auffassung des OLG Hamburg  können Verstöße gegen die Bestimmungen der Datenschutz-Grundverordnung (DS-GVO) abmahnfähige Wettbewerbsverletzungen darstellen und somit gemäß den Bestimmungen des Gesetzes gegen den unlauteren Wettbewerb (UWG) von Mitbewerbern gerichtlich verfolgt werden. Das OLG Hamburg präzisierte jedoch, dass im Rahmen der Prüfung stets festzustellen ist, ob die von der DS-GVO gezogenen Grenzen jedenfalls auch den Schutz des Marktverhaltens bezweckten.

Klagebefugnis des Mitbewerbers

In seiner ausführlichen Begründung  bejaht das Gericht eine Klagebefugnis nach UWG sowohl in Bezug auf die Datenschutz-Richtlinie (DS-RL) als auch in Bezug auf die DS-GVO. In dem Urteil heißt es hierzu:

Die DS-RL enthält erkennbar kein abschließendes Sanktionssystem, das einer zivilrechtlich begründeten Verfolgung von Verletzungen der Datenschutzvorschriften durch Mitbewerber nach § 8 Abs. 1 und Abs. 3 Nr. 1 UWG entgegenstünde. Trotz der mit der Richtlinie beabsichtigten Vollharmonisierung [...] ist mit der Richtlinie kein abschließendes Rechtsbehelfssystem festgelegt worden […]

Die Klägerin ist aber auch unter der Geltung der DS-GVO klagebefugt. Der Senat ist […] nicht der Ansicht, dass die DS-GVO ein abgeschlossenes Sanktionssystem enthält, das die Verfolgung datenschutzrechtlicher Verletzungshandlungen auf lauterkeitsrechtlicher Grundlage durch Mitbewerber ausschlösse.

Das OLG Hamburg argumentiert, dass die Sanktionsregelungen in der DS-GVO keinen abschließenden Charakter in Bezug auf die Rechtsdurchsetzung durch andere hat. Das Gesetz schließt nach Auffassung des Gerichts die Verfolgung von datenschutzrechtlichen Verletzungshandlungen durch andere als die „betroffenen Personen“, deren Daten verarbeitet werden, nicht aus. Es geht davon aus, dass die DS-GVO nur einen Mindeststandard an Sanktionen vorsieht und wegen anderweitiger, in der DS-GVO selbst nicht geregelter Rechtsbehelfe und Sanktionen offen gestaltet ist.

Zum gleichen Ergebnis, indes ohne Begründung, kam bereits das Landgericht Würzburg in seinem Beschluss vom 13.09.2018 (11 O 1741/18).

Hingegen hatte das Landgericht Bochum in seinem Urteil vom 07.08.2018 (I-12 O 85/18) keine Wettbewerbsverletzung bei Verstößen gegen Vorschriften der DS-GVO angenommen. Das Gericht ging vielmehr davon aus, dass die DS-GVO in den Artt. 77 bis 84 DS-GVO eine die Ansprüche von Mitbewerbern ausschließende, abschließende Regelung enthält, weil sie den anspruchsberechtigten Personenkreis bestimmt und daraus zu schließen ist, dass der Unionsgesetzgeber eine Erstreckung auf Mitbewerber des Verletzers nicht zulassen wollte. 

DS-GVO-Norm muss marktverhaltensregelnd nach § 3a UWG sein

Das OLG Hamburg stellte in seinem Urteil - neben der grundsätzlichen Befugnis zur Verfolgung wettbewerbsrechtlicher Ansprüche durch Mitbewerber bei Verstößen gegen die Vorschriften der DS-GVO – auch fest, dass Datenschutzverstöße nicht immer zu einem Entstehen eines wettbewerbsrechtlichen Unterlassungsanspruchs führen. Es kommt nach Auffassung der Richter darauf an, dass die in Rede stehende, datenschutzrechtliche Norm eine marktverhaltensregelnde Norm im Sinne des § 3a UWG ist. Dies sei stets im Einzelfall zu prüfen.

Im konkreten Fall verstieß die Handlung der Beklagten zwar gegen § 28 Abs. 7 BDSG a.F. Bei der Norm handelte es sich jedoch nicht um marktverhaltensregelnde Normen im Sinne des § 3a UWG, sodass der Klägerin kein Unterlassungsanspruch zustand.

Kurzum

Durch das Urteil des OLG Hamburg steigt das Risiko für Unternehmen von Mitbewerbern wegen Verstößen gegen die Datenschutz-Grundverordnung abgemahnt zu werden. Allerdings ist zu konstatieren, dass die – auch weiterhin hoch umstrittene – Frage der Klagebefugnis noch einer abschließenden, höchstrichterlichen Klärung bedarf.

 

Autoren:

Rechtsanwalt Nils Steffen    

dmp@derra-ul.de

                                       

Rechtsanwalt Dr. Jens Eckhardt

dmp@derra-d.de

 

Stand: 11/2018

06 Nov
2018

Widerruf und Datenlöschung gemäß DSGVO

Widerruf der Einwilligung und Löschverlangen: Was nun? Was änderte sich durch die DSGVO? Daten zum Zulässigkeitsnachweis müssen nicht gelöscht werden.

mehr lesen
12 Okt
2018

Nach dem Hack: Muss Facebook Schadensersatz zahlen?

50 Millionen Facebook-Konten sind gehakt worden. Die irische Datenschutzkommission will nun herausfinden, ob sich das Unternehmen an die EU-Regeln zum Schutz der Privatsphäre gehalten hat. Doch worum geht es dabei eigentlich?

mehr lesen
04 Sep
2018

DSGVO-Mythos „Berechtigtes Interesse genügt“

Im E-Mail Marketing hält sich im Zusammenhang mit der DSGVO der Mythos „Berechtigtes Interesse genügt“. Nötig ist eine differenzierte Betrachtung.

mehr lesen
07 Mai
2018

Interview von Dr. Jens Eckhardt beim CSA Summit 2018

Am 19.04.2018 fand in Frankfurt der jährliche CSA Summit 2018 statt, ein Projekt des eco – Verband der Internetwirtschaft e.V.

mehr lesen

Am 19.04.2018 fand in Frankfurt der jährliche CSA Summit 2018 statt, ein Projekt des eco – Verband der Internetwirtschaft e.V. Anlässlich dieser Veranstaltung gab unsere Kollege Dr. Jens Eckhardt dem italienischen Online-Magazin Inside Marketing ein Interview in englischer Sprache. Thema waren Einschätzungen zu den Auswirkungen der Datenschutz-Grundverordnung auf den elektronischen Schriftverkehr und das Email-Marketing.

Die Certified Senders Alliance (CSA) ist eine neutrale Schnittstelle zwischen Mailboxprovidern und Versendern kommerzieller E-Mails und stellt auf Grundlage geltenden Rechts und technischer Anforderungen rechtliche und technische Qualitätsstandards zur Verfügung mit dem Ziel, die Qualität kommerzieller E-Mails zu erhöhen.

Hier gelangen Sie zum Interview:

https://www.insidemarketing.it/eventi/csa-summit-2018/

Am 19.04.2018 fand in Frankfurt der jährliche CSA Summit 2018 statt, ein Projekt des eco – Verband der Internetwirtschaft e.V. Anlässlich dieser Veranstaltung gab unsere Kollege Dr. Jens Eckhardt dem italienischen Online-Magazin Inside Marketing ein Interview in englischer Sprache. Thema waren Einschätzungen zu den Auswirkungen der Datenschutz-Grundverordnung auf den elektronischen Schriftverkehr und das Email-Marketing.

Die Certified Senders Alliance (CSA) ist eine neutrale Schnittstelle zwischen Mailboxprovidern und Versendern kommerzieller E-Mails und stellt auf Grundlage geltenden Rechts und technischer Anforderungen rechtliche und technische Qualitätsstandards zur Verfügung mit dem Ziel, die Qualität kommerzieller E-Mails zu erhöhen.

Hier gelangen Sie zum Interview:

https://www.insidemarketing.it/eventi/csa-summit-2018/

06 Mär
2018

Fragebogen für Unternehmen – Vorbereitung zur Umsetzung der DS-GVO

Speziell für Unternehmen haben wir den Fragenbogen DS-GVO „Readiness Check“ erstellt - als Vorbereitung zur Umsetzung der zum 25.05.2018 in Kraft tretenden DS-Grundverordnung.

mehr lesen

Speziell für Unternehmen haben wir den Fragenbogen DS-GVO „Readiness Check“ erstellt - als Vorbereitung zur Umsetzung der zum 25.05.2018 in Kraft tretenden DS-Grundverordnung. Der Fragebogen soll Ihnen dabei behilflich sein, sich einen Überblick zum Status quo Ihres Unternehmens in Bezug auf die Datenschutz-Grundverordnung (DS-GVO) zu verschaffen, und soll im Anschluss die Grundlage für die Entwicklung einer Umsetzungsstrategie bilden.

Unsere Experten im Datenschutzrecht übernehmen gerne die Auswertung des Fragebogens und die sich anschließende Erstellung und Implementierung eines speziell auf die Bedürfnisse Ihres Unternehmens abgestimmten und gegebenenfalls phasenweise zu realisierenden Umsetzungsmodells.

Zum Fragebogen DS-GVO „Readiness Check“ gelangen Sie hier:
Fragebogen DS-GVO „Readiness Check“

Rechtsanwalt Dr. Jens Eckhardt
dmp@derra-d.de
Stand 03/2018

Speziell für Unternehmen haben wir den Fragenbogen DS-GVO „Readiness Check“ erstellt - als Vorbereitung zur Umsetzung der zum 25.05.2018 in Kraft tretenden DS-Grundverordnung. Der Fragebogen soll Ihnen dabei behilflich sein, sich einen Überblick zum Status quo Ihres Unternehmens in Bezug auf die Datenschutz-Grundverordnung (DS-GVO) zu verschaffen, und soll im Anschluss die Grundlage für die Entwicklung einer Umsetzungsstrategie bilden.

Unsere Experten im Datenschutzrecht übernehmen gerne die Auswertung des Fragebogens und die sich anschließende Erstellung und Implementierung eines speziell auf die Bedürfnisse Ihres Unternehmens abgestimmten und gegebenenfalls phasenweise zu realisierenden Umsetzungsmodells.

Zum Fragebogen DS-GVO „Readiness Check“ gelangen Sie hier:
Fragebogen DS-GVO „Readiness Check“

Rechtsanwalt Dr. Jens Eckhardt
dmp@derra-d.de
Stand 03/2018

21 Feb
2018

Datenschutz-Grundverordnung – der italienische Weg

Italien hat es schon immer ernst genommen mit dem Datenschutz; zumindest formal: das bisherige nationale Datenschutzrecht galt als strenger

mehr lesen

Italien hat es schon immer ernst genommen mit dem Datenschutz; zumindest formal: das bisherige nationale Datenschutzrecht galt als strenger als das, was nun auf der Grundlage der Datenschutz-Grundverordnung (DSGVO) spätestens ab 25. Mai 2018 europäischer Standard werden soll. Und so wundert es eigentlich wenig, dass der italienische Gesetzgeber versucht, den bisherigen, nationalen Weg weiterzugehen.

Während der Gedankengang nach der DSGVO der ist, die Prüfung der „berechtigen Interessen“ für die Erhebung, Speicherung und Verarbeitung (sensibler) Daten in die Hand (und in die Verantwortung) desjenigen zu legen, der die Daten erhebt, speichert und verarbeitet, scheint der italienische Gesetzgeber diese Verantwortung zumindest teilweise auf den Kopf stellen zu wollen: Im Haushaltsgesetz 2018, zumal an versteckter Stelle (nämlich im Abschnitt 1020-1023), findet sich eine Vorschrift, wonach die italienische Datenschutzbehörde „Garante per la protezione dei dati personali“ ein Formular samt „Leitlinien“ vorzulegen hat, auf deren Grundlage derjenige, der Daten ohne ausdrückliche Einwilligung des Betroffenen aufgrund eines „berechtigten Interesses“ erhebt, speichert und verarbeitet, dies der Aufsichtsbehörde mitzuteilen hat, bevor er die Daten erhebt. Danach hat die Aufsichtsbehörde 15 Tage Zeit, die Berechtigung der „Interesses“ zu prüfen und ggf. die Erhebung ohne Einwilligung zu stoppen. Geschieht dies nicht innerhalb der Frist (was eher wahrscheinlich ist), kann der „Berechtigte“ ohne Zustimmung desjenigen, dessen Daten erhoben werden sollen, loslegen.

Auf den ersten Blick wird dadurch der mit der DSGVO gewollte Schutz der persönlichen Daten im Dschungel der italienischen Bürokratie möglichweise auf den Kopf gestellt. Man darf daher gespannt sein, wie die vom „Garante“ bis Ende Februar 2018 herauszugebenden Leitlinien aussehen anhand derer dann entschieden werden muss, ob formal die Einwilligung des Betroffenen oder das Plazet des „Garante“ zur Erhebung der Daten einzuholen ist. Aber bereits jetzt werden Bedenken gegen diesen italienischen Weg geäußert: man fragt sich, ob dieser Ansatz mit der DSGVO kompatibel ist.

Rechtsanwalt Karl-Heinz Lauser

dmp.milano@derra.it

Stand: 02/2018

Italien hat es schon immer ernst genommen mit dem Datenschutz; zumindest formal: das bisherige nationale Datenschutzrecht galt als strenger als das, was nun auf der Grundlage der Datenschutz-Grundverordnung (DSGVO) spätestens ab 25. Mai 2018 europäischer Standard werden soll. Und so wundert es eigentlich wenig, dass der italienische Gesetzgeber versucht, den bisherigen, nationalen Weg weiterzugehen.

Während der Gedankengang nach der DSGVO der ist, die Prüfung der „berechtigen Interessen“ für die Erhebung, Speicherung und Verarbeitung (sensibler) Daten in die Hand (und in die Verantwortung) desjenigen zu legen, der die Daten erhebt, speichert und verarbeitet, scheint der italienische Gesetzgeber diese Verantwortung zumindest teilweise auf den Kopf stellen zu wollen: Im Haushaltsgesetz 2018, zumal an versteckter Stelle (nämlich im Abschnitt 1020-1023), findet sich eine Vorschrift, wonach die italienische Datenschutzbehörde „Garante per la protezione dei dati personali“ ein Formular samt „Leitlinien“ vorzulegen hat, auf deren Grundlage derjenige, der Daten ohne ausdrückliche Einwilligung des Betroffenen aufgrund eines „berechtigten Interesses“ erhebt, speichert und verarbeitet, dies der Aufsichtsbehörde mitzuteilen hat, bevor er die Daten erhebt. Danach hat die Aufsichtsbehörde 15 Tage Zeit, die Berechtigung der „Interesses“ zu prüfen und ggf. die Erhebung ohne Einwilligung zu stoppen. Geschieht dies nicht innerhalb der Frist (was eher wahrscheinlich ist), kann der „Berechtigte“ ohne Zustimmung desjenigen, dessen Daten erhoben werden sollen, loslegen.

Auf den ersten Blick wird dadurch der mit der DSGVO gewollte Schutz der persönlichen Daten im Dschungel der italienischen Bürokratie möglichweise auf den Kopf gestellt. Man darf daher gespannt sein, wie die vom „Garante“ bis Ende Februar 2018 herauszugebenden Leitlinien aussehen anhand derer dann entschieden werden muss, ob formal die Einwilligung des Betroffenen oder das Plazet des „Garante“ zur Erhebung der Daten einzuholen ist. Aber bereits jetzt werden Bedenken gegen diesen italienischen Weg geäußert: man fragt sich, ob dieser Ansatz mit der DSGVO kompatibel ist.

Rechtsanwalt Karl-Heinz Lauser

dmp.milano@derra.it

Stand: 02/2018

22 Jan
2018

Sind Sie vorbereitet?

Die neue EU-Datenschutzgrundverordnung

Die Uhr tickt. Noch haben Unternehmen, Einrichtungen und Organisationen ein halbes Jahr Zeit, sich fit zu machen und die neue Datenschutz-Grundverordnung (DS-GVO) umzusetzen.

mehr lesen
15 Nov
2017

IHK Ostwürttemberg - Herausforderung EU-Datenschutz-Grundverordnung

Am 25. Mai 2018 tritt die EU-Datenschutz-Grundverordnung in Kraft. Nach diesem Tag kann Gewerbetreibende ein Verstoß gegen die neuen gesetzlichen Vorgaben bei der Verarbeitung personenbezogener Daten teuer zu stehen kommen. Am 8. November 2017 informierte die IHK Ostwürttemberg ihre Mitglieder zu diesem Thema. Lesen Sie hier die Pressemitteilung der IHK.

Pressemitteilung

Veranstaltungen

12 Dez
2019

Datenschutzverletzungen, Prüfungen, Bußgeld

Referent:
Dr. Jens Eckhardt

Ort:
Düsseldorf

Programm und Anmeldung
08 Okt
2019

Fortbildungsveranstaltung: IT-Sicherheitsmanagement aus Sicht der DS-GVO

Referent:
Dr. Jens Eckhardt

Ort:
Berlin

Programm und Anmeldung
26 Sep
2019

Internet Security Days 2019

DS-GVO: Meldepflicht bei Datenpannen (Security Breach Notification) und ihre (Bußgeld-) Risiken

Referent:
Dr. Jens Eckhardt

Ort:
Brühl bei Köln

Veranstaltungszeitraum:
26.09.2019 bis 27.09.2019

Programm und Anmeldung
12 Sep
2019

Data Privacy 2019

Professionaller Umgang mit Daten in Schweizer Unternehmen im Liche des DSG, der DSGVO und der künftigen ePrivacy Verordnung

Referent:
Dr. Jens Eckhardt

Ort:
Bern

Programm und Anmeldung
03 Sep
2019

Düsseldorfer Fachgespräche - DSGVO

Bußgelder und Risiken der Meldepflicht bei Datenpannen

Referent:
Dr. Jens Eckhardt

Ort:
Düsseldorf

Programm und Anmeldung

Publikationen

Dr. Jens Eckhardt / Rüpke / v. Lewinski
Verlag C.H. Beck, 2018
Dr. Jens Eckhardt / Kramer / Tausch
TKMmed!a
Dr. Jens Eckhardt / Bergmann / Möhrle / Herb
Boorberg Verlag
Verlag C. H. Beck München, Mitautor seit 1. Auflage
Verlag C. H. Beck München, Mitautor seit 1. Auflage
Mitautor und Leiter der Taskforce „Datenschutz“ der AG „Rechtsrahmen im Cloud Computing“, Trusted Cloud-Initiative des BMWi
Verlag C. H. Beck München, Mitautor seit 4. Auflage, 2013
Dr. Jens Eckhardt / Dr. Brink (Landesbeauftragter für den Datenschutz Baden-Württemberg)
ZD Editorial 1/2015 und ZD 2015, 205 ff.