Datenschutzrecht

Das Datenschutzrecht hat in der jüngeren Vergangenheit stark an Bedeutung im Unternehmensalltag gewonnen. In jedem Unternehmensbereich – Abwicklung von Kundengeschäften, Lieferantenbeziehungen, Online- und Direktmarketing, Fraud Prevention und in jeder Hinsicht in Bezug auf Beschäftigte – spielt das Datenschutzrecht eine Rolle. Auch in der Öffentlichkeit und bei Vertragspartnern hat das Thema Datenschutz als Erwartungshaltung gegenüber einem Unternehmen einen eigenständigen Stellenwert eingenommen – und das nicht erst durch öffentlichkeitswirksame Bußgeldverfahren.

Damit ist das Datenschutzrecht zu einem zwingenden Bestandteil jeder Unternehmensorganisation und Compliance-Strategie geworden und bei unternehmerischen Entscheidungen und Gestaltungen mit zu berücksichtigen.

Am 25.05.2016 ist die sog. EU-Datenschutz-Grundverordnung (DS-GVO) in Kraft getreten. Bis zum 25.05.2018 muss jede Verarbeitung personenbezogener Daten mit den Vorgaben der Datenschutz-Grundverordnung in Einklang gebracht sein – eine Aufgabe, der mit Blick auf den deutlich erhöhten Bußgeldrahmen für Verstöße gegen Datenschutzbestimmungen eine besondere Bedeutung zukommt.

Die Beratungsleistungen unserer Rechtsanwälte für Datenschutzrecht:

Wir von Derra, Meyer & Partner haben das Datenschutzrecht in den Fokus unserer Tätigkeitsbereiche gestellt und bieten Ihnen umfassende rechtliche Beratung und Unterstützung an. Hier einige Beispiele für unsere Beratungsinhalte:

  • Compliance-Check im Datenschutz
  • Anpassung der Datenverarbeitung in Ihrem Unternehmen an die Anforderungen der Datenschutz-Grundverordnung (DS-GVO)
  • Stellungnahmen und Bewertungen zum Nachweis datenschutzrechtskonformer Datenverarbeitung und neuer Geschäftsideen – und -modelle
  • Unterstützung beim Aufbau und Durchführung offline- und online-Marketingmaßnahmen einschließlich Data Driven Marketing und Customer Relationship Management (CRM)-Systemen
  • Datenschutz im Internet und datenschutzkonforme Gestaltung von Internetauftritten, Online-Shops und Online-Portalen
  • Begleitung von Projekten im Rahmen von Industrie 4.0, Machine2Machine Communication und Internet of Things
  • Einführung und Nutzung von – insbesondere grenzüberschreitenden – Cloud Services insbesondere von „Infrastructure as a Service“ über „Communication/Collaboration as a Service“ bis „Business Process as a Service“
  • Datenschutzrechtliche Beratung beim Outsourcing und Verkauf von Unternehmen, insbesondere beim Verkauf von Unternehmensteilen
  • Spezifische Datenschutzberatung im Telekommunikations- und Bankensektor
  • Datenschutzschulungen für Ihr Unternehmen entsprechend den Bedürfnissen Ihres Unternehmens und/oder themenbezogene Schulung
  • Coaching und Unterstützung von internen und externen Datenschutzbeauftragten
  • Unterstützung von Insolvenzverwaltern in Datenschutzfragen
  • Vertretung und Wahrung Ihrer Interessen bei Anfragen, Auskunftsverlangen und Untersuchung durch Aufsichtsbehörden
  • Interne Unterstützung bei der Vorbereitung auf Untersuchungen durch Aufsichtsbehörden

Fachübergreifende Beratung der Anwälte für Datenschutz bei Derra, Meyer & Partner

Unsere Anwälte für Datenschutzrecht bieten Ihnen eine maßgeschneiderte Rechtsberatung. Sie profitieren als Mandant von der Möglichkeit, unsere Kompetenzen in anderen tangierten Rechtsgebieten - wie dem Arbeits-, Bank-, Gesellschafts-, Handels-, Insolvenz-, Straf-, Vertriebs- und Wettbewerbsrecht - mit dem Datenschutzrecht entsprechend Ihren Anforderungen zusammenzuführen.

Als multidisziplinäres Team haben unsere Experten ein Gutachten für den BvD Berufsverband der Datenschutzbeauftragten zur Stellung des Datenschutzbeauftragten in der Datenschutz-Grundverordnung (https://www.bvdnet.de/gutachten-des-bvd-zu-stellung-pflichten-und-haftung-des-dsb-in-der-ds-gvo/, Stand: 20.04.2018) und den Leitfaden „Durchsuchung als wichtiger Bestandteil der IT-Security-Policy“ für EuroCloud Deutschland_eco e.V. (https://www.eurocloud.de/2018/dokumente/durchsuchung-wichtiges-element-der-it-security-policy.html, Stand: 20.04.2018) erstellt.

Unsere Rechtsexperten sind im Vorstand des Berufsverbands der Datenschutzbeauftragten sowie bei EuroCloud vertreten und haben sich durch intensive Autoren- und Referententätigkeit als Experten im Datenschutz einen Namen gemacht.

 

Weitere Informationen zum Thema Datenschutz

Der Asset‐Deal und die DS‐GVO: Leichter als gedacht – oder doch nicht?

Ein Überblick über die EU-Datenschutz-Grundverordnung anhand von 20 Fragen und 20 Antworten

DS-GVO „Readiness Check“ - Herausforderungen für das Unternehmen

DS-GVO „Readiness Check“ - Fragebogen zur Umsetzung der DS-GVO

DS-GVO „Readiness Check“ – Checkliste Vertragsinhalte einer Auftragsverarbeitung

Zum Datenschutzrecht - dmp Newsletter 2017

Ansprechpartner

Aktuelles

26 Okt
2020

Berechnung von Bussgeldern: Unglückliches Konzept

Die deutschen Datenschutzaufsichtsbehörden haben im Oktober 2019 ihr Modell für Sanktionen bei Verstößen gegen die DS-GVO vorgestellt. Die dort vorgenommene Einteilung in Kategorien wird zu Recht heftig kritisiert.

mehr lesen
04 Aug
2020

EuGH: Privacy Shield-Beschluss ungültig, aber EU-Standardklauseln gültig: Was das nun bedeutet!

Mit Urteil vom 06.10.2019 hatte der EuGH bereits die „Vorgängerregelung“ - die Safe-Harbour-Principles - für unwirksam erklärt, und nun mit Urteil vom 16.07.2020 auch das sogenannte Nachfolgekonzept – den EU-US-Privacy-Shield (EU-Kommission Beschluss 2016/1250).

mehr lesen

Mit Urteil vom 06.10.2019 hatte der Gerichtshofs der Europäischen Union (EuGH) bereits die „Vorgängerregelung“ - die Safe-Harbour-Principles - für unwirksam erklärt, und nun mit Urteil vom 16.07.2020 (Rechtssache C-311/18) auch das sogenannte Nachfolgekonzept – den EU-US-Privacy-Shield (EU-Kommission Beschluss 2016/1250). Der EuGH hat sich aber auch mit dem Beschluss 2010/87 der EU-Kommission über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern befasst. Er hat diesen Beschluss zwar nicht für unwirksam erklärt. Aber die Begründung der Ungültigkeit des Privacy Shields wirkt sich – jedenfalls in Bezug auf den Datentransfer in die USA – auch hier aus.

Ungültigkeit des Privacy Shields

Das EU-US-Privacy-Shield ist keine Grundlage mehr für den Datentransfer in die USA. Das hat Auswirkungen auf den Datentransfer in Unternehmen, Online-Anwendungen, Social Media, Cloud-Diensten usw.

Warum ist das so brisant?

Nach Artt. 13, 14 DS-GVO muss jede betroffene Person pro aktiv auch auf die Datenübermittlung in Drittländer hingewiesen werden. Damit ist – anders als noch zur Rechtslage bei der Safe-Harbor-Entscheidung – das Thema für jeden „auf dem Präsentierteller“. Auch ist die allgemeine Aufmerksamkeit infolge der DS-GVO und vor allem die Sanktionen größer. Hier ist sowohl an Bußgelder als auch an Schadensersatzansprüche zu denken.

Warum ist die Reaktion jetzt komplizierter als 2015 bei der Safe-Harbor-Entscheidung des EuGH?

In der Vorgängerentscheidung „Schrems I“ vom 05.10.2020 hat sich der EuGH für die Begründung der Unwirksamkeit darauf beschränkt, dass die EU-Kommission die Angemessenheit des Schutzniveaus – insbesondere mit Blick auf Zugriffsbefugnisse der US-Sicherheitsbehörden - nicht ausreichend geprüft habe. Das genügte seinerzeit für die Unwirksamkeit.

Im Urteil vom 16.07.2020 befasst sich der EuGH nunmehr – auf der Grundlage der Feststellungen der EU-Kommission im Beschluss 2016/1250 – mit dem Rechtsrahmen und sieht - vereinfacht gesagt – ein ausreichendes Schutzniveau in den USA als nicht gegeben an. Dieser Unterschied zwischen den beiden Entscheidungen ist entscheidend und wirkt sich auch auf die Bewertung von Alternativen zum Datentransfer in die USA aus. Denn diese Wertung des EuGH ist auch bei der Bewertung anderer Rechtsgrundlagen für den Datentransfer in die USA zu berücksichtigen.

Mit Erklärung der Ungültigkeit des EU-US-Privacy Shields stellt der EuGH fest, dass die USA aufgrund der fehlenden gerichtlichen Rechtsschutz-Möglichkeiten für Unionsbürger gerade mit Blick auf die weitreichenden Zugriffsmöglichkeiten der US-Behörden kein angemessenes Schutzniveau der betroffenen Personen bieten. Für den Datentransfer in die USA müssen daher besondere Schutzmaßnahmen ergriffen werden.

Generelle Wirksamkeit der Standardvertragsklauseln für Drittland-Transfer

Der EuGH stellt klar, dass der Beschluss der EU-Kommission zu den Standardvertragsklauseln nicht unwirksam ist. Die Standardvertragsklauseln kommen damit weiterhin für eine Übermittlung personenbezogener Daten in ein Drittland in Betracht.

Zum Hintergrund: Die Standardvertragsklauseln gelten als Rechtsgrundlage für jede Datenübermittlung in ein Drittland, wohingegen das EU-US-Privacy Shield nur für den Datentransfer in die USA greift.

ABER: Der EuGH stellt in diesem Zusammenhang klar, dass bei dem Einsatz von EU-Standardklauseln im Sinne des Art. 46 Abs. 1 und 2 DS-GVO zu überprüfen ist, ob in dem betreffenden Drittland tatsächlich angemessen durchsetzbare Rechte und wirksame Rechtsbehelfe bestehen. Sollte dies nicht der Fall sein, dürfen – und müssen – die zuständigen Aufsichtsbehörden entsprechende Datenübermittlungen aussetzen oder verbieten.

Der EuGH stärkt damit die europäischen Datenschutzprinzipien und die Rolle der Datenschutzaufsichtsbehörden. Er macht zudem deutlich, dass internationaler Datenverkehr weiter möglich ist, jedoch müssen die Grundrechte der europäischen Bürgerinnen und Bürger beachtet werden.

Bedeutung nicht nur für die Datenübermittlung in die USA

Die Anforderung der Prüfung einer Drittlandübermittlung als Aufgabe des Verantwortlichen als Datenexporteur und des Empfängers als Datenimporteur ist nicht auf die USA beschränkt.

Die durch den EuGH geforderte Prüfung gilt für jeden Datentransfer in ein Drittland, sofern die EU-Kommission nicht ein angemessenes Datenschutzniveau in dem Drittland per Beschluss anerkannt hat.

Mit anderen Worten: Der bloße Abschluss eines EU-Standardvertrags allein genügt auch bei anderen Drittländern nicht mehr.

Konkret: Was bedeutet das nun für eine Datenübermittlung in die USA?

Das EU-US-Privacy Shield ist keine Rechtsgrundlage mehr für eine Datenübermittlung in die USA. Die Datenübermittlung muss daher auf eine andere Grundlage im Sinne der Artt. 44 ff. DS-GVO gestützt werden. Hierbei müssen die Ausführungen des EuGH zu Privacy Shield wieder berücksichtigt werden.

Sofern ein Drittland – wie die USA - kein angemessenes Datenschutzniveau aufgrund eines fehlenden Angemessenheitsbeschlusses der EU-Kommission bietet, ist eine Datenübermittlung nach Art. 46 DS-GVO vorbehaltlich geeigneter Garantien zulässig. Art. 46 DS-GVO regelt eine der Möglichkeiten, mit denen sichergestellt werden kann, dass bei der Datenübermittlung an Drittländer und internationale Organisationen das durch die DS-GVO vorgegebene Schutzniveau gewährleistet wird. Hierzu zählen insbesondere

  • verbindliche interne Datenschutzvorschriften, sog. Binding Corporate Rules, diese müssen jedoch von der zuständigen Datenschutzaufsichtsbehörde genehmigt werden und scheiden demnach als schnelle Alternative aus,
  • genehmigte Verhaltensregeln und Zertifizierungen; diese Möglichkeit ist mit Inkrafttreten der DS-GVO neu hinzugekommen und bisher kaum genutzt bzw. genehmigt worden,
  • oder die EU-Standardvertragsklauseln.

Der EuGH stellte fest, dass die USA aufgrund der fehlenden gerichtlichen Rechtsschutz-Möglichkeiten für Unionsbürger gerade mit Blick auf die weitreichenden Zugriffsmöglichkeiten der US-Behörden kein angemessenes Schutzniveau der betroffenen Personen bieten.

Das bedeutet: Auch bei den alternativen Rechtsgrundlagen muss nun bewertet werden, ob und wie ein ausreichender Schutz so sichergestellt werden kann, dass bei Datenempfängern in den USA ein angemessenes Datenschutzniveau sichergestellt ist. Dies erscheint – jedenfalls aktuell - nur schwer darstellbar.

Was ist nach Maßgabe des EuGH zu tun, wenn eine Rechtsgrundlage nicht eingreift?

Als Folge ist der Verantwortliche zur Aussetzung der Datenübermittlung und/oder zum Rücktritt vom Vertrag verpflichtet. Kommt er seiner Verpflichtung nicht nach, ist wiederum die Aufsichtsbehörde nach Art. 58 Abs. 2 Buchst. f und j der DS-GVO verpflichtet, eine Übermittlung personenbezogener Daten in ein Drittland auszusetzen oder zu verbieten. Hierauf stellt der Europäische Datenschutzausschuss in seinen FAQ vom 23.07.2020 (dort Ziffer 1) ab.

Welche Zulässigkeit bleibt noch?

Die scheinbar einzige Möglichkeit der datenschutzkonformen Datenübermittlung in die USA ist derzeit wohl nur über Art. 49 DS-GVO herbeizuführen. Eine Datenübermittlung in die USA kann bei fehlendem Angemessenheitsbeschluss und fehlender geeigneter Garantien daher nur erfolgen, wenn ein Ausnahmefall nach Art. 49 DS-GVO vorliegt. Dies ist insbesondere dann der Fall, wenn

  • die betroffene Person über die vorgeschlagene Datenübermittlung ausdrücklich in die Datenübermittlung eingewilligt hat, nachdem sie über die für sie bestehenden möglichen Risiken derartiger Datenübermittlungen ohne Vorliegen eines Angemessenheitsbeschlusses und ohne geeignete Garantien unterrichtet wurde,
  • die Übermittlung für die Erfüllung eines Vertrags zwischen der betroffenen Person und dem Verantwortlichen oder zur Durchführung von vorvertraglichen Maßnahmen auf Antrag der betroffenen Person erforderlich ist,
  • die Übermittlung zum Abschluss oder zur Erfüllung eines im Interesse der betroffenen Person von dem Verantwortlichen mit einer anderen natürlichen oder juristischen Person geschlossenen Vertrags erforderlich ist oder
  • die Übermittlung zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist.

Die Einwilligung der betroffenen Person als Lösung?!

Die Einwilligung nach Art. 49 DS-GVO kommt ebenfalls als Grundlage für die Drittlandübermittlung in Betracht. Hierauf weist sowohl der Europäische Datenschutzausschuss in seinen FAQ vom 23.07.2020 als auch die deutschen Datenschutzaufsichtsbehörden in ihrer Pressemitteilung hin.

Die deutschen Datenschutzaufsichtsbehörden verweisen hierfür auf die Leitlinien des Europäischen Datenschutzausschusses zu Art. 49 DS-GVO. Der Europäische Datenschutzausschuss stellt in seinen FAQ vom 23.07.2020 (dort Ziffer 8) bestimmte Anforderungen an eine solche Einwilligung heraus.

Die Wirksamkeit einer solchen Einwilligung hängt von ihrer Transparenz und Vollständigkeit ab. Diese will daher gut beraten und sorgfältig gestaltet sein.

Was ist zu tun?

Der Europäische Datenschutzausschuss spricht in seinen FAQ vom 23.07.2020 explizit an, dass es keine Übergangszeit gibt. Daher muss sofort gehandelt werden. Auch wenn sich der Datentransfer in die USA aufgrund der Entscheidung aufdrängt, besteht der Handlungsbedarf für jedes Drittland!

Sprechen Sie uns an! Wir unterstützen Sie!

Hier gelangen Sie zu unserer Checkliste, die Ihnen eine Vorgehensweise erleichtert.

Autoren:  

Rechtsanwalt Dr. Jens Eckhardt
 
Rechtsanwältin Jehona Krasniqi
 
Stand: August 2020

Mit Urteil vom 06.10.2019 hatte der Gerichtshofs der Europäischen Union (EuGH) bereits die „Vorgängerregelung“ - die Safe-Harbour-Principles - für unwirksam erklärt, und nun mit Urteil vom 16.07.2020 (Rechtssache C-311/18) auch das sogenannte Nachfolgekonzept – den EU-US-Privacy-Shield (EU-Kommission Beschluss 2016/1250). Der EuGH hat sich aber auch mit dem Beschluss 2010/87 der EU-Kommission über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern befasst. Er hat diesen Beschluss zwar nicht für unwirksam erklärt. Aber die Begründung der Ungültigkeit des Privacy Shields wirkt sich – jedenfalls in Bezug auf den Datentransfer in die USA – auch hier aus.

Ungültigkeit des Privacy Shields

Das EU-US-Privacy-Shield ist keine Grundlage mehr für den Datentransfer in die USA. Das hat Auswirkungen auf den Datentransfer in Unternehmen, Online-Anwendungen, Social Media, Cloud-Diensten usw.

Warum ist das so brisant?

Nach Artt. 13, 14 DS-GVO muss jede betroffene Person pro aktiv auch auf die Datenübermittlung in Drittländer hingewiesen werden. Damit ist – anders als noch zur Rechtslage bei der Safe-Harbor-Entscheidung – das Thema für jeden „auf dem Präsentierteller“. Auch ist die allgemeine Aufmerksamkeit infolge der DS-GVO und vor allem die Sanktionen größer. Hier ist sowohl an Bußgelder als auch an Schadensersatzansprüche zu denken.

Warum ist die Reaktion jetzt komplizierter als 2015 bei der Safe-Harbor-Entscheidung des EuGH?

In der Vorgängerentscheidung „Schrems I“ vom 05.10.2020 hat sich der EuGH für die Begründung der Unwirksamkeit darauf beschränkt, dass die EU-Kommission die Angemessenheit des Schutzniveaus – insbesondere mit Blick auf Zugriffsbefugnisse der US-Sicherheitsbehörden - nicht ausreichend geprüft habe. Das genügte seinerzeit für die Unwirksamkeit.

Im Urteil vom 16.07.2020 befasst sich der EuGH nunmehr – auf der Grundlage der Feststellungen der EU-Kommission im Beschluss 2016/1250 – mit dem Rechtsrahmen und sieht - vereinfacht gesagt – ein ausreichendes Schutzniveau in den USA als nicht gegeben an. Dieser Unterschied zwischen den beiden Entscheidungen ist entscheidend und wirkt sich auch auf die Bewertung von Alternativen zum Datentransfer in die USA aus. Denn diese Wertung des EuGH ist auch bei der Bewertung anderer Rechtsgrundlagen für den Datentransfer in die USA zu berücksichtigen.

Mit Erklärung der Ungültigkeit des EU-US-Privacy Shields stellt der EuGH fest, dass die USA aufgrund der fehlenden gerichtlichen Rechtsschutz-Möglichkeiten für Unionsbürger gerade mit Blick auf die weitreichenden Zugriffsmöglichkeiten der US-Behörden kein angemessenes Schutzniveau der betroffenen Personen bieten. Für den Datentransfer in die USA müssen daher besondere Schutzmaßnahmen ergriffen werden.

Generelle Wirksamkeit der Standardvertragsklauseln für Drittland-Transfer

Der EuGH stellt klar, dass der Beschluss der EU-Kommission zu den Standardvertragsklauseln nicht unwirksam ist. Die Standardvertragsklauseln kommen damit weiterhin für eine Übermittlung personenbezogener Daten in ein Drittland in Betracht.

Zum Hintergrund: Die Standardvertragsklauseln gelten als Rechtsgrundlage für jede Datenübermittlung in ein Drittland, wohingegen das EU-US-Privacy Shield nur für den Datentransfer in die USA greift.

ABER: Der EuGH stellt in diesem Zusammenhang klar, dass bei dem Einsatz von EU-Standardklauseln im Sinne des Art. 46 Abs. 1 und 2 DS-GVO zu überprüfen ist, ob in dem betreffenden Drittland tatsächlich angemessen durchsetzbare Rechte und wirksame Rechtsbehelfe bestehen. Sollte dies nicht der Fall sein, dürfen – und müssen – die zuständigen Aufsichtsbehörden entsprechende Datenübermittlungen aussetzen oder verbieten.

Der EuGH stärkt damit die europäischen Datenschutzprinzipien und die Rolle der Datenschutzaufsichtsbehörden. Er macht zudem deutlich, dass internationaler Datenverkehr weiter möglich ist, jedoch müssen die Grundrechte der europäischen Bürgerinnen und Bürger beachtet werden.

Bedeutung nicht nur für die Datenübermittlung in die USA

Die Anforderung der Prüfung einer Drittlandübermittlung als Aufgabe des Verantwortlichen als Datenexporteur und des Empfängers als Datenimporteur ist nicht auf die USA beschränkt.

Die durch den EuGH geforderte Prüfung gilt für jeden Datentransfer in ein Drittland, sofern die EU-Kommission nicht ein angemessenes Datenschutzniveau in dem Drittland per Beschluss anerkannt hat.

Mit anderen Worten: Der bloße Abschluss eines EU-Standardvertrags allein genügt auch bei anderen Drittländern nicht mehr.

Konkret: Was bedeutet das nun für eine Datenübermittlung in die USA?

Das EU-US-Privacy Shield ist keine Rechtsgrundlage mehr für eine Datenübermittlung in die USA. Die Datenübermittlung muss daher auf eine andere Grundlage im Sinne der Artt. 44 ff. DS-GVO gestützt werden. Hierbei müssen die Ausführungen des EuGH zu Privacy Shield wieder berücksichtigt werden.

Sofern ein Drittland – wie die USA - kein angemessenes Datenschutzniveau aufgrund eines fehlenden Angemessenheitsbeschlusses der EU-Kommission bietet, ist eine Datenübermittlung nach Art. 46 DS-GVO vorbehaltlich geeigneter Garantien zulässig. Art. 46 DS-GVO regelt eine der Möglichkeiten, mit denen sichergestellt werden kann, dass bei der Datenübermittlung an Drittländer und internationale Organisationen das durch die DS-GVO vorgegebene Schutzniveau gewährleistet wird. Hierzu zählen insbesondere

  • verbindliche interne Datenschutzvorschriften, sog. Binding Corporate Rules, diese müssen jedoch von der zuständigen Datenschutzaufsichtsbehörde genehmigt werden und scheiden demnach als schnelle Alternative aus,
  • genehmigte Verhaltensregeln und Zertifizierungen; diese Möglichkeit ist mit Inkrafttreten der DS-GVO neu hinzugekommen und bisher kaum genutzt bzw. genehmigt worden,
  • oder die EU-Standardvertragsklauseln.

Der EuGH stellte fest, dass die USA aufgrund der fehlenden gerichtlichen Rechtsschutz-Möglichkeiten für Unionsbürger gerade mit Blick auf die weitreichenden Zugriffsmöglichkeiten der US-Behörden kein angemessenes Schutzniveau der betroffenen Personen bieten.

Das bedeutet: Auch bei den alternativen Rechtsgrundlagen muss nun bewertet werden, ob und wie ein ausreichender Schutz so sichergestellt werden kann, dass bei Datenempfängern in den USA ein angemessenes Datenschutzniveau sichergestellt ist. Dies erscheint – jedenfalls aktuell - nur schwer darstellbar.

Was ist nach Maßgabe des EuGH zu tun, wenn eine Rechtsgrundlage nicht eingreift?

Als Folge ist der Verantwortliche zur Aussetzung der Datenübermittlung und/oder zum Rücktritt vom Vertrag verpflichtet. Kommt er seiner Verpflichtung nicht nach, ist wiederum die Aufsichtsbehörde nach Art. 58 Abs. 2 Buchst. f und j der DS-GVO verpflichtet, eine Übermittlung personenbezogener Daten in ein Drittland auszusetzen oder zu verbieten. Hierauf stellt der Europäische Datenschutzausschuss in seinen FAQ vom 23.07.2020 (dort Ziffer 1) ab.

Welche Zulässigkeit bleibt noch?

Die scheinbar einzige Möglichkeit der datenschutzkonformen Datenübermittlung in die USA ist derzeit wohl nur über Art. 49 DS-GVO herbeizuführen. Eine Datenübermittlung in die USA kann bei fehlendem Angemessenheitsbeschluss und fehlender geeigneter Garantien daher nur erfolgen, wenn ein Ausnahmefall nach Art. 49 DS-GVO vorliegt. Dies ist insbesondere dann der Fall, wenn

  • die betroffene Person über die vorgeschlagene Datenübermittlung ausdrücklich in die Datenübermittlung eingewilligt hat, nachdem sie über die für sie bestehenden möglichen Risiken derartiger Datenübermittlungen ohne Vorliegen eines Angemessenheitsbeschlusses und ohne geeignete Garantien unterrichtet wurde,
  • die Übermittlung für die Erfüllung eines Vertrags zwischen der betroffenen Person und dem Verantwortlichen oder zur Durchführung von vorvertraglichen Maßnahmen auf Antrag der betroffenen Person erforderlich ist,
  • die Übermittlung zum Abschluss oder zur Erfüllung eines im Interesse der betroffenen Person von dem Verantwortlichen mit einer anderen natürlichen oder juristischen Person geschlossenen Vertrags erforderlich ist oder
  • die Übermittlung zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist.

Die Einwilligung der betroffenen Person als Lösung?!

Die Einwilligung nach Art. 49 DS-GVO kommt ebenfalls als Grundlage für die Drittlandübermittlung in Betracht. Hierauf weist sowohl der Europäische Datenschutzausschuss in seinen FAQ vom 23.07.2020 als auch die deutschen Datenschutzaufsichtsbehörden in ihrer Pressemitteilung hin.

Die deutschen Datenschutzaufsichtsbehörden verweisen hierfür auf die Leitlinien des Europäischen Datenschutzausschusses zu Art. 49 DS-GVO. Der Europäische Datenschutzausschuss stellt in seinen FAQ vom 23.07.2020 (dort Ziffer 8) bestimmte Anforderungen an eine solche Einwilligung heraus.

Die Wirksamkeit einer solchen Einwilligung hängt von ihrer Transparenz und Vollständigkeit ab. Diese will daher gut beraten und sorgfältig gestaltet sein.

Was ist zu tun?

Der Europäische Datenschutzausschuss spricht in seinen FAQ vom 23.07.2020 explizit an, dass es keine Übergangszeit gibt. Daher muss sofort gehandelt werden. Auch wenn sich der Datentransfer in die USA aufgrund der Entscheidung aufdrängt, besteht der Handlungsbedarf für jedes Drittland!

Sprechen Sie uns an! Wir unterstützen Sie!

Hier gelangen Sie zu unserer Checkliste, die Ihnen eine Vorgehensweise erleichtert.

Autoren:  

Rechtsanwalt Dr. Jens Eckhardt
 
Rechtsanwältin Jehona Krasniqi
 
Stand: August 2020
10 Jul
2020

Veröffentlichung des „GDPR Playbook“ Praxistipps zur Umsetzung der DS-GVO

Das „GDPR Playbook“ mit wichtigen Praxistipps zur Umsetzung der DS-GVO und u.a. Beiträgen unseres Datenschutzexperten Dr. Jens Eckhardt wurde veröffentlicht. Hier gelangen Sie zum kostenlosen Download.

mehr lesen

Mit der Datenschutzgrundverordnung wurde erstmals ein einheitliches Datenschutzrecht für den gesamten EU-Raum geschaffen. Gerade für kleine und mittelständische Unternehmen war die Anpassung von Datenverarbeitungssystemen und –prozessen an die neuen Vorschriften der Datenschutzgrundverordnung (DSGVO) und des neuen Bundesdatenschutzgesetzes (BDSG-neu) eine große Herausforderung.

Bis zum heutigen Zeitpunkt bestehen Unsicherheit in vielen Fragestellungen; selbst die Aufsichtsbehörden sind sich im Hinblick auf die Umsetzung datenschutzrechtlicher Vorgaben nicht immer einig.

Das GDPR Playbook soll dabei helfen, diese Unsicherheiten abzubauen. Es enthält Anregungen und Hilfestellungen, wie in Zukunft weiterhin rechtskonform personenbezogene Daten verarbeitet werden können. Im Vordergrund stehen datenschutzrechtliche Themen aus den Bereichen Cloud, E-Mail-Marketing, Onlinemarketing, Konzerndatenschutz und Blockchain samt Praxisbeispielen und konkreten Hilfestellungen.

Die Beiträge „E-Mail Marketing im Licht der DS-GVO“ sowie „Cloud Computing – Alles neu machte die DS-GVO?“ stammen aus der Feder unseres Datenschutzexperten Dr. Jens Eckhardt.

Hier gelangen Sie zum GDPR Playbook.

Stand: 07/2020

Mit der Datenschutzgrundverordnung wurde erstmals ein einheitliches Datenschutzrecht für den gesamten EU-Raum geschaffen. Gerade für kleine und mittelständische Unternehmen war die Anpassung von Datenverarbeitungssystemen und –prozessen an die neuen Vorschriften der Datenschutzgrundverordnung (DSGVO) und des neuen Bundesdatenschutzgesetzes (BDSG-neu) eine große Herausforderung.

Bis zum heutigen Zeitpunkt bestehen Unsicherheit in vielen Fragestellungen; selbst die Aufsichtsbehörden sind sich im Hinblick auf die Umsetzung datenschutzrechtlicher Vorgaben nicht immer einig.

Das GDPR Playbook soll dabei helfen, diese Unsicherheiten abzubauen. Es enthält Anregungen und Hilfestellungen, wie in Zukunft weiterhin rechtskonform personenbezogene Daten verarbeitet werden können. Im Vordergrund stehen datenschutzrechtliche Themen aus den Bereichen Cloud, E-Mail-Marketing, Onlinemarketing, Konzerndatenschutz und Blockchain samt Praxisbeispielen und konkreten Hilfestellungen.

Die Beiträge „E-Mail Marketing im Licht der DS-GVO“ sowie „Cloud Computing – Alles neu machte die DS-GVO?“ stammen aus der Feder unseres Datenschutzexperten Dr. Jens Eckhardt.

Hier gelangen Sie zum GDPR Playbook.

Stand: 07/2020

03 Jul
2020

Datenschutzkonferenz: Mindestanforderungen zum Einsatz vom Google Analytics

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder hat am 12.05.2020 vor dem Hintergrund des neuen Rechtsrahmens mit Geltung der DSGVO den Einsatz von Google Analytics neu bewertet ...

mehr lesen

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder hat am 12.05.2020 vor dem Hintergrund des neuen Rechtsrahmens mit Geltung der DSGVO den Einsatz von Google Analytics neu bewertet und einen Beschluss zum „Einsatz von Google Analytics im nicht-öffentlichen Bereich“ veröffentlicht. Ältere Auffassungen der Datenschutzaufsichtsbehörden gelten damit als überholt.

Klargestellt wird zunächst, dass es sich hierbei nicht um eine abschließende Beurteilung handelt und dass die Hinweise Ergänzungen zur „Orientierungshilfe für Anbieter von Telemedien“ vom März 2019 darstellen. Diese Ergänzungen stellen Mindestvoraussetzungen dar, die von Webseiten-Betreibern nach derzeitigem Stand zwingend eingehalten werden müssen. Die Hinweise zum Einsatz von Google Analytics können jedoch jederzeit durch den Europäischen Datenschutzausschuss und den EuGH anders ausgelegt werden. Ebenfalls wird darauf hingewiesen, dass die Ausführungen für den Fall gelten, dass Google Analytics mit den von Google derzeit (Stand: 11.03.2020) empfohlenen Standardeinstellungen genutzt wird. Sofern bei der Nutzung eine Abweichung erfolgt, wird auf die Ausführungen der „Orientierungshilfe für Anbieter von Telemedien“ verwiesen.

1. Verarbeitung personenbezogener Daten

Zunächst stellen die Datenaufsichtsbehörden fest, dass beim Einsatz von Google Analytics immer personenbezogene Daten der Nutzer i.S.d. DS-GVO verarbeitet werden. Die DSK widerspricht hier ausdrücklich der Auffassung von Google, wonach Nutzungsdaten keine „personenidentifizierbaren Informationen“ seien.

2. Google als gemeinsam Verantwortlicher

Interessant wird es in den Ausführungen zum Verhältnis zwischen Google und dem Website-Betreiber. Die DSK widerspricht auch hier Google, nach deren Auffassung Google für bestimmte Verarbeitungen als Auftragsverarbeiter, für andere als Verantwortlicher tätig wird (vgl. Google Controller-Controller Data Protection Terms).

Der Einsatz von Google Analytics sei nach Auffassung der deutschen Behörden nicht als Auftragsverarbeitung, sondern als gemeinsame Verantwortlichkeit von Google und dem jeweiligen Webseiten-Betreiber einzuordnen. Denn der Betreiber einer Website entscheide nicht alleine über die Zwecke und Mittel dieser Datenverarbeitung, Google verarbeite die durch Google Analytics erhobenen Daten vielmehr auch für eigene Zwecke, insbesondere zum Zweck der Bereitstellung seines eigenen Webanalyse- und Trackingdienstes.

Demzufolge sei also auch nicht – wie von Google derzeit standardmäßig angeboten – ein Vertrag zur Auftragsverarbeitung (Art. 28 DS-GVO) erforderlich, sondern ein Vertrag über die gemeinsame Verantwortung (Art. 26 DS-GVO).

3. Rechtsgrundlage: Einwilligung

Aus diesen Gründen könne der Einsatz von Google Analytics in aller Regel weder auf die Rechtsgrundlage des Art. 6 Abs. 1 lit. b DS-GVO (Vertragserfüllung) noch auf Art. 6 Abs. 1 lit. f DS-GVO (berechtigtes Interesse; Opt-out) gestützt werden. Es wird vielmehr davon ausgegangen, dass Google Analytics in der Regel nur mit einer Einwilligung der jeweiligen Nutzer gem. Art. 6 Abs. 1 lit. a), Art. 7 DS-GVO rechtmäßig genutzt werden kann.

4. Empfohlene Maßnahmen

Im Weiteren listet der Beschluss der DSK diverse Maßnahmen auf, die beim Einsatz von Google Analytics beachtet werden müssen. Die empfohlenen Maßnahmen zeigen auf, dass Transparenz und Informiertheit von zentraler Bedeutung sind. Vor allem die Anforderungen an die Einholung einer Einwilligung der Websitebesucher in die Nutzung von Google Analytics und allen anderen vergleichbaren Trackingtechnologien erhalten zentrale Bedeutung.

a) Einholung einer wirksamen Einwilligung

Folgende Mindestvoraussetzungen, die wie eine Checkliste abgearbeitet werden können, definiert die DSK, damit Webseiten-Betreiber von einer wirksamen Einwilligung des Nutzers ausgehen können:

  • In der Einwilligung muss klar und deutlich beschrieben werden, dass die Datenverarbeitung im Wesentlichen durch Google erfolgt, die Daten nicht anonym sind, welche Daten verarbeitet werden und dass Google diese zu beliebigen eigenen Zwecken verknüpft.
  • Nutzer müssen aktiv und freiwillig einwilligen (Anforderungen an wirksame Einwilligung: vgl. BGH-Urteil vom 28.05.2020 – „Cookie-Einwilligung II“)

b) Gestaltungshinweise für wirksame Einwilligung

Zusätzlich sind in Bezug auf eine wirksame Einwilligung folgende Gestaltungshinweise zu beachten:

  • Klare, nicht irreführende Überschrift – bloße „Respektbekundungen“ bezüglich der Privatsphäre reichen nicht aus. Vielmehr muss aus der Überschrift deutlich hervorgehen, in welche Datenverarbeitung konkret eingewilligt wird
  • Links müssen eindeutig und unmissverständlich beschrieben sein
  • Der Gegenstand der Einwilligung muss deutlich gemacht werden: für welchen Zweck Google Analytics verwendet wird, dass die Nutzungsdaten von Google LLC verarbeitet werden, diese Daten in den USA gespeichert werden, sowohl Google als auch staatliche Behörden Zugriff auf diese Daten haben, diese Daten mit anderen Daten des Nutzers verknüpft werden
  • Zugriff auf Impressum und Datenschutzerklärung darf nicht verhindert oder eingeschränkt werden

c) Technische Anforderungen an die Umsetzung des Widerrufs

Der Beschluss betont auch die technischen Anforderungen an die Umsetzung des Widerrufs einer Einwilligung und legt folgende Maßnahmen fest:

  • Es muss stets ein einfacher und immer zugänglicher Mechanismus (z. B. Schaltfläche) zum Widerruf der einmal vom Nutzer erteilten Einwilligung implementiert sein. Das von Google zur Verfügung gestellte Browser-Add-On zur Deaktivierung von Google Analytics ist nicht zulässig. Den Nutzer ausschließlich auf dieses Add-On zu verweisen reicht nicht aus, da dies keine hinreichende Widerrufsmöglichkeit darstellt.
  • Gemäß Art. 13 DS-GVO müssen Nutzer in den Datenschutzbestimmungen umfassend über die Verarbeitung personenbezogener Daten im Rahmen von Google Analytics informieren. Zur Konkretisierung dieser Anforderungen wird auf die „Leitlinie zur Transparenz“ des Europäischen Datenschutzausschusses (WP 260 rev.01) sowie auf die „Orientierungshilfe für Anbieter von Telemedien“ der deutschen Datenschutzaufsichtsbehörden verwiesen.

d) IP-Anonymisierung

Zusätzlich sollten Betreiber von Websites durch entsprechende Einstellungen die durch Google Analytics erhobenen IP-Adressen der Nutzer kürzen. Diese Kürzung der IP-Adressen führe zwar nicht zur Anonymisierung der Datenverarbeitung, stelle aber eine zusätzliche Maßnahme im Sinne des § 25 Abs. 1 DS-GVO dar.

5. Bedeutung für die Praxis

Die Aufsichtsbehörden scheinen die Gangart in Bezug auf die Nutzung von Google Analytics zu verschärfen. Denn „Orientierungshilfe der Aufsichtsbehörden für Anbieter von Telemedien“ vom März 2019 war in Ausführungen abstrakter und nicht so produktspezifisch.

In der Praxis lassen sich die Kriterien und Vorgaben der Aufsichtsbehörden wie eine Checkliste abarbeiten. Diese hohen Anforderungen an die Transparenz und die Information beim Einsatz von Google Analytics sind auch an alle anderen Tracking-Tools zu stellen, die Nutzerprofile erstellen.

Wir empfehlen Website-Betreibern, die Google Analytics einsetzen, sorgfältig zu prüfen, ob ihr Einsatz des Tools diesen Anforderungen gerecht wird. Vor allem der Abschluss eines – soweit ersichtlich von Google derzeit (noch) nicht standardmäßig angebotenen – Vertrages über die gemeinsame Verantwortung dürfte sich dabei in der Praxis als größere Herausforderung darstellen. Hierbei ist zu beachten, dass im Fall von Verstößen gegen Anforderungen der DS-GVO bekanntermaßen empfindliche Bußgelder drohen.

 

Autoren:

Rechtsanwalt Dr. Jens Eckhardt

dmp@derra-d.de

 

Rechtsanwältin Jehona Krasniqi

dmp@derra-ul.de

 

Stand: 07/2020

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder hat am 12.05.2020 vor dem Hintergrund des neuen Rechtsrahmens mit Geltung der DSGVO den Einsatz von Google Analytics neu bewertet und einen Beschluss zum „Einsatz von Google Analytics im nicht-öffentlichen Bereich“ veröffentlicht. Ältere Auffassungen der Datenschutzaufsichtsbehörden gelten damit als überholt.

Klargestellt wird zunächst, dass es sich hierbei nicht um eine abschließende Beurteilung handelt und dass die Hinweise Ergänzungen zur „Orientierungshilfe für Anbieter von Telemedien“ vom März 2019 darstellen. Diese Ergänzungen stellen Mindestvoraussetzungen dar, die von Webseiten-Betreibern nach derzeitigem Stand zwingend eingehalten werden müssen. Die Hinweise zum Einsatz von Google Analytics können jedoch jederzeit durch den Europäischen Datenschutzausschuss und den EuGH anders ausgelegt werden. Ebenfalls wird darauf hingewiesen, dass die Ausführungen für den Fall gelten, dass Google Analytics mit den von Google derzeit (Stand: 11.03.2020) empfohlenen Standardeinstellungen genutzt wird. Sofern bei der Nutzung eine Abweichung erfolgt, wird auf die Ausführungen der „Orientierungshilfe für Anbieter von Telemedien“ verwiesen.

1. Verarbeitung personenbezogener Daten

Zunächst stellen die Datenaufsichtsbehörden fest, dass beim Einsatz von Google Analytics immer personenbezogene Daten der Nutzer i.S.d. DS-GVO verarbeitet werden. Die DSK widerspricht hier ausdrücklich der Auffassung von Google, wonach Nutzungsdaten keine „personenidentifizierbaren Informationen“ seien.

2. Google als gemeinsam Verantwortlicher

Interessant wird es in den Ausführungen zum Verhältnis zwischen Google und dem Website-Betreiber. Die DSK widerspricht auch hier Google, nach deren Auffassung Google für bestimmte Verarbeitungen als Auftragsverarbeiter, für andere als Verantwortlicher tätig wird (vgl. Google Controller-Controller Data Protection Terms).

Der Einsatz von Google Analytics sei nach Auffassung der deutschen Behörden nicht als Auftragsverarbeitung, sondern als gemeinsame Verantwortlichkeit von Google und dem jeweiligen Webseiten-Betreiber einzuordnen. Denn der Betreiber einer Website entscheide nicht alleine über die Zwecke und Mittel dieser Datenverarbeitung, Google verarbeite die durch Google Analytics erhobenen Daten vielmehr auch für eigene Zwecke, insbesondere zum Zweck der Bereitstellung seines eigenen Webanalyse- und Trackingdienstes.

Demzufolge sei also auch nicht – wie von Google derzeit standardmäßig angeboten – ein Vertrag zur Auftragsverarbeitung (Art. 28 DS-GVO) erforderlich, sondern ein Vertrag über die gemeinsame Verantwortung (Art. 26 DS-GVO).

3. Rechtsgrundlage: Einwilligung

Aus diesen Gründen könne der Einsatz von Google Analytics in aller Regel weder auf die Rechtsgrundlage des Art. 6 Abs. 1 lit. b DS-GVO (Vertragserfüllung) noch auf Art. 6 Abs. 1 lit. f DS-GVO (berechtigtes Interesse; Opt-out) gestützt werden. Es wird vielmehr davon ausgegangen, dass Google Analytics in der Regel nur mit einer Einwilligung der jeweiligen Nutzer gem. Art. 6 Abs. 1 lit. a), Art. 7 DS-GVO rechtmäßig genutzt werden kann.

4. Empfohlene Maßnahmen

Im Weiteren listet der Beschluss der DSK diverse Maßnahmen auf, die beim Einsatz von Google Analytics beachtet werden müssen. Die empfohlenen Maßnahmen zeigen auf, dass Transparenz und Informiertheit von zentraler Bedeutung sind. Vor allem die Anforderungen an die Einholung einer Einwilligung der Websitebesucher in die Nutzung von Google Analytics und allen anderen vergleichbaren Trackingtechnologien erhalten zentrale Bedeutung.

a) Einholung einer wirksamen Einwilligung

Folgende Mindestvoraussetzungen, die wie eine Checkliste abgearbeitet werden können, definiert die DSK, damit Webseiten-Betreiber von einer wirksamen Einwilligung des Nutzers ausgehen können:

  • In der Einwilligung muss klar und deutlich beschrieben werden, dass die Datenverarbeitung im Wesentlichen durch Google erfolgt, die Daten nicht anonym sind, welche Daten verarbeitet werden und dass Google diese zu beliebigen eigenen Zwecken verknüpft.
  • Nutzer müssen aktiv und freiwillig einwilligen (Anforderungen an wirksame Einwilligung: vgl. BGH-Urteil vom 28.05.2020 – „Cookie-Einwilligung II“)

b) Gestaltungshinweise für wirksame Einwilligung

Zusätzlich sind in Bezug auf eine wirksame Einwilligung folgende Gestaltungshinweise zu beachten:

  • Klare, nicht irreführende Überschrift – bloße „Respektbekundungen“ bezüglich der Privatsphäre reichen nicht aus. Vielmehr muss aus der Überschrift deutlich hervorgehen, in welche Datenverarbeitung konkret eingewilligt wird
  • Links müssen eindeutig und unmissverständlich beschrieben sein
  • Der Gegenstand der Einwilligung muss deutlich gemacht werden: für welchen Zweck Google Analytics verwendet wird, dass die Nutzungsdaten von Google LLC verarbeitet werden, diese Daten in den USA gespeichert werden, sowohl Google als auch staatliche Behörden Zugriff auf diese Daten haben, diese Daten mit anderen Daten des Nutzers verknüpft werden
  • Zugriff auf Impressum und Datenschutzerklärung darf nicht verhindert oder eingeschränkt werden

c) Technische Anforderungen an die Umsetzung des Widerrufs

Der Beschluss betont auch die technischen Anforderungen an die Umsetzung des Widerrufs einer Einwilligung und legt folgende Maßnahmen fest:

  • Es muss stets ein einfacher und immer zugänglicher Mechanismus (z. B. Schaltfläche) zum Widerruf der einmal vom Nutzer erteilten Einwilligung implementiert sein. Das von Google zur Verfügung gestellte Browser-Add-On zur Deaktivierung von Google Analytics ist nicht zulässig. Den Nutzer ausschließlich auf dieses Add-On zu verweisen reicht nicht aus, da dies keine hinreichende Widerrufsmöglichkeit darstellt.
  • Gemäß Art. 13 DS-GVO müssen Nutzer in den Datenschutzbestimmungen umfassend über die Verarbeitung personenbezogener Daten im Rahmen von Google Analytics informieren. Zur Konkretisierung dieser Anforderungen wird auf die „Leitlinie zur Transparenz“ des Europäischen Datenschutzausschusses (WP 260 rev.01) sowie auf die „Orientierungshilfe für Anbieter von Telemedien“ der deutschen Datenschutzaufsichtsbehörden verwiesen.

d) IP-Anonymisierung

Zusätzlich sollten Betreiber von Websites durch entsprechende Einstellungen die durch Google Analytics erhobenen IP-Adressen der Nutzer kürzen. Diese Kürzung der IP-Adressen führe zwar nicht zur Anonymisierung der Datenverarbeitung, stelle aber eine zusätzliche Maßnahme im Sinne des § 25 Abs. 1 DS-GVO dar.

5. Bedeutung für die Praxis

Die Aufsichtsbehörden scheinen die Gangart in Bezug auf die Nutzung von Google Analytics zu verschärfen. Denn „Orientierungshilfe der Aufsichtsbehörden für Anbieter von Telemedien“ vom März 2019 war in Ausführungen abstrakter und nicht so produktspezifisch.

In der Praxis lassen sich die Kriterien und Vorgaben der Aufsichtsbehörden wie eine Checkliste abarbeiten. Diese hohen Anforderungen an die Transparenz und die Information beim Einsatz von Google Analytics sind auch an alle anderen Tracking-Tools zu stellen, die Nutzerprofile erstellen.

Wir empfehlen Website-Betreibern, die Google Analytics einsetzen, sorgfältig zu prüfen, ob ihr Einsatz des Tools diesen Anforderungen gerecht wird. Vor allem der Abschluss eines – soweit ersichtlich von Google derzeit (noch) nicht standardmäßig angebotenen – Vertrages über die gemeinsame Verantwortung dürfte sich dabei in der Praxis als größere Herausforderung darstellen. Hierbei ist zu beachten, dass im Fall von Verstößen gegen Anforderungen der DS-GVO bekanntermaßen empfindliche Bußgelder drohen.

 

Autoren:

Rechtsanwalt Dr. Jens Eckhardt

dmp@derra-d.de

 

Rechtsanwältin Jehona Krasniqi

dmp@derra-ul.de

 

Stand: 07/2020

10 Jun
2020

BGH: Strenge Anforderungen – Das müssen Sie beachten bei Co-Registrierung und gesponserten Werbeeinwilligungen

In der „Cookie-Einwilligung II“- Entscheidung befasst sich der BGH auch mit der Gestaltung von Werbeeinwilligungen und konkretisierte die Anforderungen, die für eine wirksame Einwilligung erfüllt sein müssen.

mehr lesen

Neben der Cookie-Problematik (siehe hierzu unser Beitrag vom 05.06.2020) befasste sich der BGH in seiner „Cookie-Einwilligung II“- Entscheidung auch mit der Gestaltung einer wirksamen Werbeeinwilligung. In dieser Entscheidung vom 28.05.2020 (Az. I ZR 7/16) konkretisierte der BGH die Anforderungen, die für eine wirksame Werbeeinwilligung im Wege der Co-Registrierung und gesponserten Gewinnspiele erfüllt sein müssen.

Informierte Werbeeinwilligung für Kooperationspartner und Sponsoren

Folgende Gestaltung einer Werbeeinwilligung ließ der BGH nicht genügen ((https://www.bundesgerichtshof.de/SharedDocs/Pressemitteilungen/DE/2020/2020067.html?nn=10690868 ): Mit Bestätigen eines vorformulierten Textes, dessen Ankreuzfeld nicht mit einem voreingestellten Häkchen versehen war, sollten Teilnehmer eines Gewinnspiels Ihre Einwilligung in Werbung durch Sponsoren und Kooperationspartner des Webseitenbetreibers per Post, Telefon, E-Mail oder SMS erklären. Dabei bestand die Möglichkeit, die werbenden Sponsoren und Kooperationspartner aus einer verlinkten Liste von insgesamt 57 Unternehmen selbst auszuwählen. Sofern man keine Auswahl getroffen hat, behielt sich das beklagte Unternehmen das Recht vor, selbst die Entscheidung zu treffen.

Der BGH entschied, dass dieses Vorgehen die Anforderungen an eine informierte Einwilligung nicht erfüllt. Zwar hat er jüngst seine inhaltlichen Anforderungen etwas gelockert, die Anforderungen nun aber nochmals bestätigt. Eine wirksame Einwilligung setzt laut BGH nach der DS-GVO voraus, dass sie informiert abgegeben und für den bestimmten Fall erteilt wird. Daher liegt nach Ansicht des BGH eine Einwilligung „in Kenntnis der Sachlage“ und „für den konkreten Fall“ nicht vor, wenn bei einer Werbeeinwilligung nicht klar werde, welche Produkte oder Dienstleistungen welcher Unternehmen die Einwilligung konkret erfasst. Diese Anforderungen waren soweit bekannt.

Neu ist aber die Anwendung auf Modelle zu Kooperationspartnern und Sponsoren: Die vorgenannten Anforderungen sind nach Ansicht des BGH nicht erfüllt, wenn – wie im entschiedenen Fall – die Gestaltung der Einwilligungserklärung geradezu darauf angelegt sei, den Nutzer dazu zu veranlassen, von einer Detailauswahl abzusehen und einfach alle Partnerunternehmen zu akzeptieren oder die Wahl der Werbepartner der Beklagten zu überlassen. In einem solchen Fall sei die Einwilligung weder informiert noch aktiv getroffen worden.

Zusammenfassung für die Praxis

Der BGH kommt vereinfacht gesagt zu dem Ergebnis, dass eine Einwilligung dann nicht wirksam ist, wenn der Verbraucher nicht selbst die Auswahl der Berechtigten vornimmt, sondern sie dem Veranstalter überlässt. Denn die exzessiven Auswahlmöglichkeiten veranlassen die Nutzer dazu, die ihnen vorgelegten Informationen nicht zur Kenntnis zu nehmen und letztlich keine Entscheidung zu treffen.

Eine rechtskonforme Gestaltung des Prozesses der Einwilligungserteilung ist ein zentraler Punkt, der von Ihnen unbedingt beachtet werden sollte. Die Werbeeinwilligung darf nicht durch ein umständliches Anmelde- und Auswahlverfahren so gestaltet sein, dass die zu erteilende Einwilligung für den Kunden insgesamt unüberschaubar und schwer verständlich ist. Eine klare und unmissverständliche Einwilligung liegt vor, wenn der Kunde weiß, dass seine Erklärung ein Einverständnis darstellt und worauf sie sich bezieht. Noch weiter ginge die Annahme, darauf zu verzichten, dass der Veranstalter die Auswahl vornimmt.

Ob dies stets erforderlich sein wird, lässt sich erst abschließend beurteilen, wenn die Urteilsbegründung des BGH vorliegt. Eine Risikobewertung muss jedenfalls nach dieser Entscheidung vorgenommen werden, da Abmahnungen auch jetzt schon zu befürchten sind.

Autor:
Dr. Jens Eckhardt
 

Stand: 06/2020

Neben der Cookie-Problematik (siehe hierzu unser Beitrag vom 05.06.2020) befasste sich der BGH in seiner „Cookie-Einwilligung II“- Entscheidung auch mit der Gestaltung einer wirksamen Werbeeinwilligung. In dieser Entscheidung vom 28.05.2020 (Az. I ZR 7/16) konkretisierte der BGH die Anforderungen, die für eine wirksame Werbeeinwilligung im Wege der Co-Registrierung und gesponserten Gewinnspiele erfüllt sein müssen.

Informierte Werbeeinwilligung für Kooperationspartner und Sponsoren

Folgende Gestaltung einer Werbeeinwilligung ließ der BGH nicht genügen ((https://www.bundesgerichtshof.de/SharedDocs/Pressemitteilungen/DE/2020/2020067.html?nn=10690868 ): Mit Bestätigen eines vorformulierten Textes, dessen Ankreuzfeld nicht mit einem voreingestellten Häkchen versehen war, sollten Teilnehmer eines Gewinnspiels Ihre Einwilligung in Werbung durch Sponsoren und Kooperationspartner des Webseitenbetreibers per Post, Telefon, E-Mail oder SMS erklären. Dabei bestand die Möglichkeit, die werbenden Sponsoren und Kooperationspartner aus einer verlinkten Liste von insgesamt 57 Unternehmen selbst auszuwählen. Sofern man keine Auswahl getroffen hat, behielt sich das beklagte Unternehmen das Recht vor, selbst die Entscheidung zu treffen.

Der BGH entschied, dass dieses Vorgehen die Anforderungen an eine informierte Einwilligung nicht erfüllt. Zwar hat er jüngst seine inhaltlichen Anforderungen etwas gelockert, die Anforderungen nun aber nochmals bestätigt. Eine wirksame Einwilligung setzt laut BGH nach der DS-GVO voraus, dass sie informiert abgegeben und für den bestimmten Fall erteilt wird. Daher liegt nach Ansicht des BGH eine Einwilligung „in Kenntnis der Sachlage“ und „für den konkreten Fall“ nicht vor, wenn bei einer Werbeeinwilligung nicht klar werde, welche Produkte oder Dienstleistungen welcher Unternehmen die Einwilligung konkret erfasst. Diese Anforderungen waren soweit bekannt.

Neu ist aber die Anwendung auf Modelle zu Kooperationspartnern und Sponsoren: Die vorgenannten Anforderungen sind nach Ansicht des BGH nicht erfüllt, wenn – wie im entschiedenen Fall – die Gestaltung der Einwilligungserklärung geradezu darauf angelegt sei, den Nutzer dazu zu veranlassen, von einer Detailauswahl abzusehen und einfach alle Partnerunternehmen zu akzeptieren oder die Wahl der Werbepartner der Beklagten zu überlassen. In einem solchen Fall sei die Einwilligung weder informiert noch aktiv getroffen worden.

Zusammenfassung für die Praxis

Der BGH kommt vereinfacht gesagt zu dem Ergebnis, dass eine Einwilligung dann nicht wirksam ist, wenn der Verbraucher nicht selbst die Auswahl der Berechtigten vornimmt, sondern sie dem Veranstalter überlässt. Denn die exzessiven Auswahlmöglichkeiten veranlassen die Nutzer dazu, die ihnen vorgelegten Informationen nicht zur Kenntnis zu nehmen und letztlich keine Entscheidung zu treffen.

Eine rechtskonforme Gestaltung des Prozesses der Einwilligungserteilung ist ein zentraler Punkt, der von Ihnen unbedingt beachtet werden sollte. Die Werbeeinwilligung darf nicht durch ein umständliches Anmelde- und Auswahlverfahren so gestaltet sein, dass die zu erteilende Einwilligung für den Kunden insgesamt unüberschaubar und schwer verständlich ist. Eine klare und unmissverständliche Einwilligung liegt vor, wenn der Kunde weiß, dass seine Erklärung ein Einverständnis darstellt und worauf sie sich bezieht. Noch weiter ginge die Annahme, darauf zu verzichten, dass der Veranstalter die Auswahl vornimmt.

Ob dies stets erforderlich sein wird, lässt sich erst abschließend beurteilen, wenn die Urteilsbegründung des BGH vorliegt. Eine Risikobewertung muss jedenfalls nach dieser Entscheidung vorgenommen werden, da Abmahnungen auch jetzt schon zu befürchten sind.

Autor:
Dr. Jens Eckhardt
 

Stand: 06/2020

05 Jun
2020

Abschließend geklärt: Tracking-Cookies nicht ohne aktive Einwilligung – Sie müssen jetzt handeln!

Mit Urteil vom 28.05.2020 „Einwilligung in Cookies II“ hat sich der BGH vollumfänglich der Entscheidung des EuGH angeschlossen, dass eine Pflicht zur Einholung einer informierten, aktiven Einwilligung für Tracking-Cookies besteht.

mehr lesen

Erst der EuGH, jetzt auch der BGH. Mit seinem Urteil vom 28.05.2020 (Az. I ZR 7/16) „Einwilligung in Cookies II“ hat sich der BGH vollumfänglich der Entscheidung des EuGH vom 1.10.2019 angeschlossen, dass eine Pflicht zur Einholung einer informierten, aktiven Einwilligung für Tracking-Cookies besteht. Mit dieser Entscheidung war gerechnet worden. Die Begründung hat indes für Überraschung gesorgt. Offen war die Frage, wie der BGH die Regelung aus § 15 Abs. 3 TMG im Lichte der EuGH Entscheidung beurteilen würde. Trotz Anwendungsbeginn der DS-GVO und entgegen der Ansicht der deutschen Datenschutzaufsichtsbehörden entschied sich der BGH weiterhin für die Anwendung der alten Profiling-Regelung des § 15 Abs. 3 TMG. § 15 Abs. 3 TMG mit seiner bloßen Opt-Out-Lösung muss nach Ansicht des BGH unionsrechtskonform ausgelegt werden.

Die Pressemitteilung des BGH finden Sie hier (Stand des Links: 05.06.2020).

Muss jetzt die Zulässigkeit neu bewertet werden? Müssen nunmehr alle Privacy Policies umgeschrieben werden?

Kein Tracking-Cookie ohne aktive Einwilligung – Keine Einwilligung durch vorausgefüllte Häkchen

In Einklang mit dem Urteil des EuGH (Urt. v. 1.10.2019, Az. C- 673/17) hat der BGH verkündet, dass eine Einwilligung durch ein vorangekreuztes Einwilligungskästchen nicht wirksam abgefragt werden könne. Erforderlich ist vielmehr eine aktive Handlung des Nutzers – beispielsweise das Aktivieren einer Checkbox oder das Anklicken einer Schaltfläche. Dies verwundert nicht, da sich dies auch explizit aus Erwägungsgrund 32 der DS-GVO ergibt.

Konsequenz für Webseitenbetreiber: Bisherige Banner auf Internetseiten, die nur über das Setzen von Cookies und das Tracking informierten, sind nicht ausreichend. Auch Banner, die nur das Akzeptieren, aber nicht das Ablehnen ermöglichen, sind unzulässig. Eine Opt-Out-Lösung für Cookies, die nicht zwingend erforderlich sind, ist damit ab sofort offiziell unzulässig und rechtswidrig. Das Abmahnrisiko ist gestiegen.

Warum besteht darin kein Widerspruch, dass die Entscheidung nicht neu ist, aber dennoch erst jetzt das Abmahnrisiko steigt? Ganz einfach: Durch die Entscheidung des EuGH vom 01.10.2020 war für den BGH verbindlich festgelegt worden, dass Cookies nur nach entsprechender aktiver Nutzereinwilligung gesetzt werden dürfen. Der EuGH hat damit aber nicht den Rechtsstreit des BGH entschieden, da der EuGH hierfür nicht zuständig ist. Erst mit seiner Grundsatzentscheidung vom 28.05.2020 (Az.: I ZR 7/16) erklärte der BGH abschließend alle Cookies, die für den Betrieb einer Webseite nicht zwingend erforderlich sind, auch in Deutschland für unbeschränkt einwilligungspflichtig.

Anwendung des alten § 15 Abs. 3 TMG und Nutzungsprofile nur noch mit Einwilligung?!

Der BGH lässt den Leser nach dem ersten Lesen der Pressemitteilung irritiert zurück, da er in seiner Begründung einen mehrfachen Salto hinlegt. Warum? Der Rechtsstreit bezieht sich nur auf die Rechtslage vor dem Anwendungsbeginn der DS-GVO. Der BGH hatte dem EuGH die Frage gestellt, wie die sog. Cookie-Regelung der Datenschutzrichtlinie 2002/58/EG (auch bezeichnet als ePrivacy-Richtlinie) auszulegen ist. Für die nach Art. 5 Abs. 3 RiLi 2002/58/EG erforderliche Einwilligung komme es nach Ansicht des EuGH nicht darauf an, ob im Sinne der DS-GVO durch die Cookies personenbezogene Daten verarbeitet werden. Vielmehr knüpfe die Richtlinie 2002/58/EG als eigenständiger Rechtsakt das bloße Setzen von Cookies an die Einwilligungspflicht. Der EuGH stellte klar, dass die Einwilligung für ihre Wirksamkeit ausdrücklich erteilt werden müsse, vorangekreuzte Einwilligungskästchen seien nicht ausreichend.

Der deutsche Gesetzgeber hatte allerdings bezüglich dieser Cookie-Regelung keinen Umsetzungsakt vorgenommen. Mit anderen Worten: Die Regelung, welche der EuGH ausgelegt hat, existiert im deutschen Recht nicht. Hierauf weist der BGH in seiner Pressemitteilung explizit hin, zieht dann aber die Regelung über die Widerspruchslösung bei pseudonymen Nutzungsprofilen in § 15 Abs. 3 TMG heran. Denn nach Ansicht des BGH sei anzunehmen, dass der Gesetzgeber die bestehende Rechtslage in Deutschland für richtlinienkonform halte.

Den ersten Salto macht der BGH wie folgt: Er legt diese Regelung, die eindeutig eine Widerspruchslösung vorsieht im Lichte der o.g. Cookie-Regelung dahin aus, dass eine Einwilligung erforderlich ist. Und schon ist nach deutschem Recht eine Einwilligung in Form einer aktiven Handlung erforderlich. Der BGH hält § 15 Abs. 3 TMG also nach wie vor für anwendbar und legt dar, dass eine richtlinienkonforme Auslegung mit dem Wortlaut der Norm noch vereinbar sei.

Das Bizarre darin: Die Cookie-Regelung regelt nur den Einsatz von Cookies und zwar unabhängig davon, ob dabei personenbezogene Daten verarbeitet werden. § 15 Abs. 3 TMG regelt hingegen die Verarbeitung personenbezogener Daten für Nutzungsprofile und in keiner Weise das Setzen von Cookies. Die entsprechenden Urteilsgründe liegen gegenwärtig noch nicht vor. Es bleibt daher abzuwarten, ob sich aus den Urteilsgründen möglicherweise noch etwas anderes ergibt.

Der BGH belässt es aber nicht bei dieser Begründung und macht noch einen zweiten Salto: Nach Ansicht des BGH bleibt § 15 Abs. 3 TMG wegen der möglichen richtlinienkonformen Auslegung und wegen Art. 95 DS-GVO von der DS-GVO unberührt. Dies widerspricht der Auslegung der deutschen Datenschutzaufsichtsbehörden und der überwiegenden bisherigen Rechtsauffassungen, die nach der Geltung der DS-GVO die Anwendung der §§ 11 ff. TMG pauschal abgelehnt hatten. Der BGH argumentiert mit der Öffnungsklausel in Art. 95 DS-GVO, der die Fortgeltung der Regelungen der Datenschutzrichtlinie 2002/58/EG und damit auch der Cookie-Regelung und entsprechender Umsetzungen im deutschen Recht regelt. Aber: Meines Erachtens liegen die Voraussetzungen des Art. 95 DS-GVO für § 15 Abs. 3 TMG nicht vor. Darüber hinaus funktioniert dies nur, weil der BGH bereits (siehe oben) den § 15 Abs. 3 TMG entgegen seinem Wortlaut als Einwilligungsregelung ausgelegt hat.

Die vom BGH vorgenommene richtlinienkonforme Auslegung ist im Ergebnis nachvollziehbar. Denn wäre er zu einer anderen Beurteilung gekommen, bestünde in Deutschland keine Einwilligungspflicht für das Setze eines Cookies, bis der deutsche Gesetzgeber ein deutsches Gesetz mit dem Inhalt der Cookie-Regelung aus der Richtlinie geschaffen hätte. Denn ohne Umsetzung wird die Richtlinie nicht Teil der deutschen Rechtsordnung und wirkt somit nicht zwischen Datenverarbeiter und der betroffenen Person.

Sie finden, dass das kompliziert klingt? Richtig, das ist es auch! Diese Komplexität hätte der deutschen Werbebranche erspart werden können: Entweder wenn der deutsche Gesetzgeber des TMG an die DS-GVO angepasst hätte oder zum Teil durch den BGH, wenn er auf die Aussagen zur Geltung unter der DS-GVO verzichtet hätte.

Bedeutung für die Praxis: Das müssen Sie jetzt tun - auch um Abmahnungen zu vermeiden! 

Der Einsatz von Tracking-Cookies setzt eine Einwilligung voraus – auch nach deutschem Recht und ohne neue gesetzliche Grundlage. Die Regelung über pseudonyme Nutzungsprofile in § 15 Abs. 3 TMG gilt weiterhin. Hierbei ist jedoch Vorsicht geboten, da die Pressemitteilung nicht hinreichend deutlich ist.

Wie müssen Sie nun vorgehen? Sie müssen genau prüfen, ob die von Ihnen verwendetet Tracking-Technologien der Cookie-Richtlinie unterfallen und ob aktive Einwilligungen der Nutzer eingeholt werden. Prüfen Sie die Zulässigkeit des Profilings anhand dieser Rechtslage. Prüfen Sie auch Ihre Privacy Policy zur Verarbeitung personenbezogener Daten auf Ihrer Internetseite und passen Sie sie ggf. an.

Mehr dazu finden Sie in meinem Podcast in der Serie "Otto Schmidt live - Der Podcast" (Stand des Links 05.06.2020).

Autor: Dr. Jens Eckhardt

dmp@derra-d.de

Stand: Juni 2020

Erst der EuGH, jetzt auch der BGH. Mit seinem Urteil vom 28.05.2020 (Az. I ZR 7/16) „Einwilligung in Cookies II“ hat sich der BGH vollumfänglich der Entscheidung des EuGH vom 1.10.2019 angeschlossen, dass eine Pflicht zur Einholung einer informierten, aktiven Einwilligung für Tracking-Cookies besteht. Mit dieser Entscheidung war gerechnet worden. Die Begründung hat indes für Überraschung gesorgt. Offen war die Frage, wie der BGH die Regelung aus § 15 Abs. 3 TMG im Lichte der EuGH Entscheidung beurteilen würde. Trotz Anwendungsbeginn der DS-GVO und entgegen der Ansicht der deutschen Datenschutzaufsichtsbehörden entschied sich der BGH weiterhin für die Anwendung der alten Profiling-Regelung des § 15 Abs. 3 TMG. § 15 Abs. 3 TMG mit seiner bloßen Opt-Out-Lösung muss nach Ansicht des BGH unionsrechtskonform ausgelegt werden.

Die Pressemitteilung des BGH finden Sie hier (Stand des Links: 05.06.2020).

Muss jetzt die Zulässigkeit neu bewertet werden? Müssen nunmehr alle Privacy Policies umgeschrieben werden?

Kein Tracking-Cookie ohne aktive Einwilligung – Keine Einwilligung durch vorausgefüllte Häkchen

In Einklang mit dem Urteil des EuGH (Urt. v. 1.10.2019, Az. C- 673/17) hat der BGH verkündet, dass eine Einwilligung durch ein vorangekreuztes Einwilligungskästchen nicht wirksam abgefragt werden könne. Erforderlich ist vielmehr eine aktive Handlung des Nutzers – beispielsweise das Aktivieren einer Checkbox oder das Anklicken einer Schaltfläche. Dies verwundert nicht, da sich dies auch explizit aus Erwägungsgrund 32 der DS-GVO ergibt.

Konsequenz für Webseitenbetreiber: Bisherige Banner auf Internetseiten, die nur über das Setzen von Cookies und das Tracking informierten, sind nicht ausreichend. Auch Banner, die nur das Akzeptieren, aber nicht das Ablehnen ermöglichen, sind unzulässig. Eine Opt-Out-Lösung für Cookies, die nicht zwingend erforderlich sind, ist damit ab sofort offiziell unzulässig und rechtswidrig. Das Abmahnrisiko ist gestiegen.

Warum besteht darin kein Widerspruch, dass die Entscheidung nicht neu ist, aber dennoch erst jetzt das Abmahnrisiko steigt? Ganz einfach: Durch die Entscheidung des EuGH vom 01.10.2020 war für den BGH verbindlich festgelegt worden, dass Cookies nur nach entsprechender aktiver Nutzereinwilligung gesetzt werden dürfen. Der EuGH hat damit aber nicht den Rechtsstreit des BGH entschieden, da der EuGH hierfür nicht zuständig ist. Erst mit seiner Grundsatzentscheidung vom 28.05.2020 (Az.: I ZR 7/16) erklärte der BGH abschließend alle Cookies, die für den Betrieb einer Webseite nicht zwingend erforderlich sind, auch in Deutschland für unbeschränkt einwilligungspflichtig.

Anwendung des alten § 15 Abs. 3 TMG und Nutzungsprofile nur noch mit Einwilligung?!

Der BGH lässt den Leser nach dem ersten Lesen der Pressemitteilung irritiert zurück, da er in seiner Begründung einen mehrfachen Salto hinlegt. Warum? Der Rechtsstreit bezieht sich nur auf die Rechtslage vor dem Anwendungsbeginn der DS-GVO. Der BGH hatte dem EuGH die Frage gestellt, wie die sog. Cookie-Regelung der Datenschutzrichtlinie 2002/58/EG (auch bezeichnet als ePrivacy-Richtlinie) auszulegen ist. Für die nach Art. 5 Abs. 3 RiLi 2002/58/EG erforderliche Einwilligung komme es nach Ansicht des EuGH nicht darauf an, ob im Sinne der DS-GVO durch die Cookies personenbezogene Daten verarbeitet werden. Vielmehr knüpfe die Richtlinie 2002/58/EG als eigenständiger Rechtsakt das bloße Setzen von Cookies an die Einwilligungspflicht. Der EuGH stellte klar, dass die Einwilligung für ihre Wirksamkeit ausdrücklich erteilt werden müsse, vorangekreuzte Einwilligungskästchen seien nicht ausreichend.

Der deutsche Gesetzgeber hatte allerdings bezüglich dieser Cookie-Regelung keinen Umsetzungsakt vorgenommen. Mit anderen Worten: Die Regelung, welche der EuGH ausgelegt hat, existiert im deutschen Recht nicht. Hierauf weist der BGH in seiner Pressemitteilung explizit hin, zieht dann aber die Regelung über die Widerspruchslösung bei pseudonymen Nutzungsprofilen in § 15 Abs. 3 TMG heran. Denn nach Ansicht des BGH sei anzunehmen, dass der Gesetzgeber die bestehende Rechtslage in Deutschland für richtlinienkonform halte.

Den ersten Salto macht der BGH wie folgt: Er legt diese Regelung, die eindeutig eine Widerspruchslösung vorsieht im Lichte der o.g. Cookie-Regelung dahin aus, dass eine Einwilligung erforderlich ist. Und schon ist nach deutschem Recht eine Einwilligung in Form einer aktiven Handlung erforderlich. Der BGH hält § 15 Abs. 3 TMG also nach wie vor für anwendbar und legt dar, dass eine richtlinienkonforme Auslegung mit dem Wortlaut der Norm noch vereinbar sei.

Das Bizarre darin: Die Cookie-Regelung regelt nur den Einsatz von Cookies und zwar unabhängig davon, ob dabei personenbezogene Daten verarbeitet werden. § 15 Abs. 3 TMG regelt hingegen die Verarbeitung personenbezogener Daten für Nutzungsprofile und in keiner Weise das Setzen von Cookies. Die entsprechenden Urteilsgründe liegen gegenwärtig noch nicht vor. Es bleibt daher abzuwarten, ob sich aus den Urteilsgründen möglicherweise noch etwas anderes ergibt.

Der BGH belässt es aber nicht bei dieser Begründung und macht noch einen zweiten Salto: Nach Ansicht des BGH bleibt § 15 Abs. 3 TMG wegen der möglichen richtlinienkonformen Auslegung und wegen Art. 95 DS-GVO von der DS-GVO unberührt. Dies widerspricht der Auslegung der deutschen Datenschutzaufsichtsbehörden und der überwiegenden bisherigen Rechtsauffassungen, die nach der Geltung der DS-GVO die Anwendung der §§ 11 ff. TMG pauschal abgelehnt hatten. Der BGH argumentiert mit der Öffnungsklausel in Art. 95 DS-GVO, der die Fortgeltung der Regelungen der Datenschutzrichtlinie 2002/58/EG und damit auch der Cookie-Regelung und entsprechender Umsetzungen im deutschen Recht regelt. Aber: Meines Erachtens liegen die Voraussetzungen des Art. 95 DS-GVO für § 15 Abs. 3 TMG nicht vor. Darüber hinaus funktioniert dies nur, weil der BGH bereits (siehe oben) den § 15 Abs. 3 TMG entgegen seinem Wortlaut als Einwilligungsregelung ausgelegt hat.

Die vom BGH vorgenommene richtlinienkonforme Auslegung ist im Ergebnis nachvollziehbar. Denn wäre er zu einer anderen Beurteilung gekommen, bestünde in Deutschland keine Einwilligungspflicht für das Setze eines Cookies, bis der deutsche Gesetzgeber ein deutsches Gesetz mit dem Inhalt der Cookie-Regelung aus der Richtlinie geschaffen hätte. Denn ohne Umsetzung wird die Richtlinie nicht Teil der deutschen Rechtsordnung und wirkt somit nicht zwischen Datenverarbeiter und der betroffenen Person.

Sie finden, dass das kompliziert klingt? Richtig, das ist es auch! Diese Komplexität hätte der deutschen Werbebranche erspart werden können: Entweder wenn der deutsche Gesetzgeber des TMG an die DS-GVO angepasst hätte oder zum Teil durch den BGH, wenn er auf die Aussagen zur Geltung unter der DS-GVO verzichtet hätte.

Bedeutung für die Praxis: Das müssen Sie jetzt tun - auch um Abmahnungen zu vermeiden! 

Der Einsatz von Tracking-Cookies setzt eine Einwilligung voraus – auch nach deutschem Recht und ohne neue gesetzliche Grundlage. Die Regelung über pseudonyme Nutzungsprofile in § 15 Abs. 3 TMG gilt weiterhin. Hierbei ist jedoch Vorsicht geboten, da die Pressemitteilung nicht hinreichend deutlich ist.

Wie müssen Sie nun vorgehen? Sie müssen genau prüfen, ob die von Ihnen verwendetet Tracking-Technologien der Cookie-Richtlinie unterfallen und ob aktive Einwilligungen der Nutzer eingeholt werden. Prüfen Sie die Zulässigkeit des Profilings anhand dieser Rechtslage. Prüfen Sie auch Ihre Privacy Policy zur Verarbeitung personenbezogener Daten auf Ihrer Internetseite und passen Sie sie ggf. an.

Mehr dazu finden Sie in meinem Podcast in der Serie "Otto Schmidt live - Der Podcast" (Stand des Links 05.06.2020).

Autor: Dr. Jens Eckhardt

dmp@derra-d.de

Stand: Juni 2020

03 Jun
2020

Wöchentlicher Podcast zum Datenschutzrecht mit Dr. Jens Eckhardt

Unser Kollege Dr. Jens Eckhardt denkt in seinem neuen Podcast laut über die ersten 2 Jahre nach dem Anwendungsbeginn der DS-GVO nach. Was war das Ziel der DS-GVO und wurde es erreicht?

mehr lesen

Unser Kollege Dr. Jens Eckhardt denkt in seinem neuen Podcast laut über die ersten 2 Jahre nach dem Anwendungsbeginn der DS-GVO nach. Was war das Ziel der DS-GVO und wurde es erreicht? War die DS-GVO ein Paradigmenwechsel - und wenn ja, inwieweit?

In der zweiten Folge des Podcast geht es um die aktuelle "Einwilliung in Cookies II"-Entscheidung des BGH vom 28.05.2020.

Es ist sein erster Podcast in der Serie „Otto Schmidt live – Der Podcast“. Mit der Serie rund um das Datenschutzrecht sind wöchentlich neue Beiträge geplant, in denen Dr. Jens Eckhardt über aktuelle Urteile, wichtige Gesetze und Rechtsfragen zum Datenschutzrecht reflektiert und zur Diskussion anregt.

Hier geht es zum Podcast in der Serie "Otto Schmidt live - Der Podcast" (Stand des Links 05.06.2020).

 

 

Unser Kollege Dr. Jens Eckhardt denkt in seinem neuen Podcast laut über die ersten 2 Jahre nach dem Anwendungsbeginn der DS-GVO nach. Was war das Ziel der DS-GVO und wurde es erreicht? War die DS-GVO ein Paradigmenwechsel - und wenn ja, inwieweit?

In der zweiten Folge des Podcast geht es um die aktuelle "Einwilliung in Cookies II"-Entscheidung des BGH vom 28.05.2020.

Es ist sein erster Podcast in der Serie „Otto Schmidt live – Der Podcast“. Mit der Serie rund um das Datenschutzrecht sind wöchentlich neue Beiträge geplant, in denen Dr. Jens Eckhardt über aktuelle Urteile, wichtige Gesetze und Rechtsfragen zum Datenschutzrecht reflektiert und zur Diskussion anregt.

Hier geht es zum Podcast in der Serie "Otto Schmidt live - Der Podcast" (Stand des Links 05.06.2020).

 

 

03 Apr
2020

Neue Bußgeldberechnung führt schnell zu hohen Strafen

Die Datenschutz-Grundverordnung sieht Geldbußen mit bis zu 20 Mio. Euro oder 4 % des weltweiten Vorjahresumsatzes vor, je nachdem was höher ist. Womit müssen Unternehmen tatsächlich rechnen?

mehr lesen
01 Apr
2020

Rechtliche Grundlagen im E-Mail-Marketing

Fragen in der Praxis zeigen häufig, dass der Zusammenhang zwischen Wettbewerbsrecht und Datenschutzrecht aus dem Auge verloren geht. Aber nur wenn Sie das Wettbewerbsrecht kennen, verstehen Sie die Anforderungen des Datenschutzrechts.

mehr lesen
24 Mär
2020

Webinare für rechtssicheres E-Mail-Marketing

Die DS-GVO hat die Anforderungen an das E-Mail-Marketing stark verändert. Schnelle und und effektive Wissensvermittlung in 5 Webinaren mit Dr. Jens Eckhardt.

mehr lesen

Die DS-GVO hat die Anforderungen an rechtskonformes E-Mail-Marketing erheblich verändert. Neben Erleichterungen wurde auch erhebliche Verschärfungen eingeführt. Auch DS-GVO-Bußgelder wurden bereits wegen unzulässiger E-Mail-Werbung verhängt – vor allem wegen der Missachtung der ergänzenden datenschutzrechtlichen Pflichten. Nutzen Sie die aus der neuen Gesetzeslage resultierenden Vorteile und meistern Sie die neuen Anforderungen. 

In fünf einzeln oder als Packet buchbaren Webinaren vermittelt Ihnen unser Kollege Dr. Jens Eckhardt, ausgewiesener und erfahrener Experte im Datenschutz und Marketingrecht, innerhalb von jeweils 90 Minuten einen Überblick über alle wichtigen Grundlagen und Anforderungen, die Sie als Unternehmer kennen und beachten müssen. Neben der Vermittlung praxisbezogener Beispiele und konkreter Handlungsvorschlägen können Ihre individuellen Fragen live beantwortet werden.

Folgende Themen sind Gegenstand der Veranstaltungsreihe:

„Recht 1: Die Grundlagen des E-Mail-Marketings“ am 03. April 2020, 10 Uhr

weitere Details und Anmeldung

 

„Recht 2: Die Einwilligung im E-Mail-Marketing“ am 09. April 2020, 10 Uhr

weitere Details und Anmeldung

 

„Recht 3: Werbung ohne Einwilligung?“ am 16. April 2020, 10 Uhr

weitere Details und Anmeldung 

 

„Recht 4: ePrivacy und Optimierung des Marketing“ am 23. April 2020, 10 Uhr

weitere Details und Anmeldung

 

 „Recht 5: Auskunfts- und Löschungsverlangen“ am 30. April 2020, 10 Uhr

weitere Details und Anmeldung

 

 

 

Die DS-GVO hat die Anforderungen an rechtskonformes E-Mail-Marketing erheblich verändert. Neben Erleichterungen wurde auch erhebliche Verschärfungen eingeführt. Auch DS-GVO-Bußgelder wurden bereits wegen unzulässiger E-Mail-Werbung verhängt – vor allem wegen der Missachtung der ergänzenden datenschutzrechtlichen Pflichten. Nutzen Sie die aus der neuen Gesetzeslage resultierenden Vorteile und meistern Sie die neuen Anforderungen. 

In fünf einzeln oder als Packet buchbaren Webinaren vermittelt Ihnen unser Kollege Dr. Jens Eckhardt, ausgewiesener und erfahrener Experte im Datenschutz und Marketingrecht, innerhalb von jeweils 90 Minuten einen Überblick über alle wichtigen Grundlagen und Anforderungen, die Sie als Unternehmer kennen und beachten müssen. Neben der Vermittlung praxisbezogener Beispiele und konkreter Handlungsvorschlägen können Ihre individuellen Fragen live beantwortet werden.

Folgende Themen sind Gegenstand der Veranstaltungsreihe:

„Recht 1: Die Grundlagen des E-Mail-Marketings“ am 03. April 2020, 10 Uhr

weitere Details und Anmeldung

 

„Recht 2: Die Einwilligung im E-Mail-Marketing“ am 09. April 2020, 10 Uhr

weitere Details und Anmeldung

 

„Recht 3: Werbung ohne Einwilligung?“ am 16. April 2020, 10 Uhr

weitere Details und Anmeldung 

 

„Recht 4: ePrivacy und Optimierung des Marketing“ am 23. April 2020, 10 Uhr

weitere Details und Anmeldung

 

 „Recht 5: Auskunfts- und Löschungsverlangen“ am 30. April 2020, 10 Uhr

weitere Details und Anmeldung

 

 

 

24 Mär
2020

Datenschutz bei Maßnahmen gegen die Ausbreitung des Corona-Virus in Unternehmen

Das Datenschutzrecht ist gerade auch bei der Umsetzung von Maßnahmen zur Verhinderung der Ausbreitung des Corona-Virus (Covid-19) zu beachten!

mehr lesen
28 Nov
2019

Der Asset‐Deal und die DS‐GVO: Leichter als gedacht – oder doch nicht?

Die Datenschutz‐Grundverordnung (DS‐GVO) hat mit ihrem Anwendungsbeginn am 25.05.2018 viele Veränderungen mit sich gebracht.

mehr lesen
11 Nov
2019

Bußgeldbescheid in Millionenhöhe gegen Immobiliengesellschaft Deutsche Wohnen wegen Verstößen gegen Datenschutz-Grundverordnung

Wie die Berliner Beauftragte für Datenschutz und Informationsfreiheit Maja Smoltczyk in ihrer Pressemitteilung vom 05.11.2019 bekanntgab ...

mehr lesen

Wie die Berliner Beauftragte für Datenschutz und Informationsfreiheit Maja Smoltczyk in ihrer Pressemitteilung vom 05.11.2019 bekanntgab, hat sie am 30. Oktober 2019 einen Bußgeldbescheid in Höhe von 14,5 Millionen Euro gegen die Immobiliengesellschaft Deutsche Wohnen SE wegen Verstößen gegen die DS-GVO erlassen.

Wie es dazu kam?

Nach dem Kauf eines Unternehmens hatte die Deutsche Wohnen die Papierakten der Mieter eingescannt – als PDF. Das macht ein nachträgliches Separieren einzelner Seiten schwer, was jedoch erforderlich ist, wenn ein Teil der Daten nach wie vor noch gespeichert werden darf, während andere Daten innerhalb dieses Dokuments zu löschen sind.

Im Rahmen einer ersten Vor-Ort-Prüfung im Juni 2017, die durch eine Beschwerde ausgelöst wurde, hatte die Aufsichtsbehörde festgestellt, dass die Deutsche Wohnen SE für die Speicherung personenbezogener Daten von Mieterinnen und Mietern ein Archivsystem verwendete, das keine Möglichkeit vorsah, nicht mehr erforderliche Daten zu entfernen. Personenbezogene Daten von Mieterinnen und Mietern wurden gespeichert, ohne zu überprüfen, ob eine Speicherung zulässig ist.

Nachdem die Berliner Datenschutzbeauftragte bereits im Juni 2017 eine Warnung aussprach und der Immobiliengesellschaft empfahl, ihr Archivsystem umzustellen, konnte die Deutsche Wohnen SE auch bei der zweiten Vor-Ort-Prüfung im März 2019 und damit rund neun Monate nach Geltungsbeginn der neuen Datenschutz-Grundverordnung weder ein neues Archivsystem vorweisen, noch hatte sie die rechtswidrig gespeicherten Daten ihrer Mieterinnen und Mieter gelöscht oder konnte rechtliche Gründe für die fortdauernde Speicherung vorweisen.

Mehrere Jahre alte persönliche Daten konnten eingesehen werden

Bei den Vor-Ort-Prüfungen konnten die Beamten der zuständigen Aufsichtsbehörde in den geprüften Einzelfällen zum Teil Jahre alte private Angaben betroffener Mieterinnen und Mieter einsehen, ohne dass diese Daten noch ihrem eigentlichen Verwendungszweck dienten, für den sie erhoben wurden. Neben Gehaltsbescheinigungen, Selbstauskünften sowie Arbeits- und Ausbildungsverträgen konnten die Beamten auch Steuer-, Sozial- und Krankenversicherungsdaten sowie Kontoauszüge von ehemaligen Mieterinnen und Mietern der Deutschen Wohnen SE einsehen. Die gespeicherten Daten gaben auf vielfältige Weise über die persönlichen und finanziellen Verhältnisse dieser Personen Auskunft.

Die Bußgeldregeln der DS-GVO

Die DS-GVO trat im Mai 2018 in Kraft. Die Datenschutzregeln sehen Bußgelder von bis zu 4% des Jahresumsatzes vor. Der aktuelle Fall ist der bisher mit Abstand höchste Bußgeldbescheid. Vor der Deutsche Wohnen lag das höchste Bußgeld in Deutschland bei 80.000 Euro.

Entsprechend der Bemessungsgrundlage des ausgewiesenen Jahresumsatzes der Deutschen Wohnen SE, der sich in Geschäftsjahr 2018 auf mehr als eine Milliarde Euro belief, lag der gesetzlich vorgegebene Rahmen für das zu verhängende Bußgeld bei rund 28 Millionen Euro. Da keine missbräuchlichen Zugriffe auf die unzulässig gespeicherten Daten nachgewiesen werden konnten, sprach die Datenschutzbeauftragte am Ende ein Bußgeld in mittlerer Höhe von 14,5 Millionen Euro wegen Verstoßes gegen Artikel 25 Abs. 1 DS-GVO sowie Artikel 5 DS-GVO aus.

Wenig Einsicht bei der Deutschen Wohnen SE

Die Immobiliengesellschaft selbst zeigt sich indes wenig einsichtig und hat in einer eigenen Pressemitteilung bereits angekündigt, „gegen den Bußgeldbescheid der Berliner Beauftragten für Datenschutz und Informationsfreiheit vorzugehen.

Die Deutsche Wohnen betont ausdrücklich, „...dass keinerlei Daten von Mietern datenschutzwidrig an unternehmensfremde Dritte gelangt sind. Vielmehr hat die Deutsche Wohnen bereits im Jahr 2017 umfangreiche personelle und prozessuale Veränderungen eingeleitet, um den aktuellen Datenschutzanforderungen vollumfänglich gerecht zu werden.

Die Deutsche Wohnen teilt die rechtliche Bewertung der Berliner Datenschutzbeauftragten nicht und wird den Bußgeldbescheid gerichtlich überprüfen lassen. …“

Was bedeutet das für Sie als Immobilienverwaltung?

Wir empfehlen Ihnen, Ihre Datenbestände regelmäßig dahingehend zu prüfen, ob für die Speicherung und Verarbeitung der von Ihnen erhobenen Daten noch ein Rechtsgrund besteht. Sofern dieser entfallen sein sollte, sind die Daten umgehend und dauerhaft zu löschen.

Prüfen Sie, ob Ihr Unternehmen die Anforderungen der DS-GVO erfüllt.

Bei Auskunftsverlangen von Mietern reagieren Sie zeitnah und erteilen Sie umfassende Auskünfte gegenüber Ihren Mietern. Dies vermeidet Beschwerden gegenüber den zuständigen Aufsichtsbehörden.

Rechtsanwältin Kathleen Brauner

dmp@derra-d.de

Stand: 11/2019

 

Wie die Berliner Beauftragte für Datenschutz und Informationsfreiheit Maja Smoltczyk in ihrer Pressemitteilung vom 05.11.2019 bekanntgab, hat sie am 30. Oktober 2019 einen Bußgeldbescheid in Höhe von 14,5 Millionen Euro gegen die Immobiliengesellschaft Deutsche Wohnen SE wegen Verstößen gegen die DS-GVO erlassen.

Wie es dazu kam?

Nach dem Kauf eines Unternehmens hatte die Deutsche Wohnen die Papierakten der Mieter eingescannt – als PDF. Das macht ein nachträgliches Separieren einzelner Seiten schwer, was jedoch erforderlich ist, wenn ein Teil der Daten nach wie vor noch gespeichert werden darf, während andere Daten innerhalb dieses Dokuments zu löschen sind.

Im Rahmen einer ersten Vor-Ort-Prüfung im Juni 2017, die durch eine Beschwerde ausgelöst wurde, hatte die Aufsichtsbehörde festgestellt, dass die Deutsche Wohnen SE für die Speicherung personenbezogener Daten von Mieterinnen und Mietern ein Archivsystem verwendete, das keine Möglichkeit vorsah, nicht mehr erforderliche Daten zu entfernen. Personenbezogene Daten von Mieterinnen und Mietern wurden gespeichert, ohne zu überprüfen, ob eine Speicherung zulässig ist.

Nachdem die Berliner Datenschutzbeauftragte bereits im Juni 2017 eine Warnung aussprach und der Immobiliengesellschaft empfahl, ihr Archivsystem umzustellen, konnte die Deutsche Wohnen SE auch bei der zweiten Vor-Ort-Prüfung im März 2019 und damit rund neun Monate nach Geltungsbeginn der neuen Datenschutz-Grundverordnung weder ein neues Archivsystem vorweisen, noch hatte sie die rechtswidrig gespeicherten Daten ihrer Mieterinnen und Mieter gelöscht oder konnte rechtliche Gründe für die fortdauernde Speicherung vorweisen.

Mehrere Jahre alte persönliche Daten konnten eingesehen werden

Bei den Vor-Ort-Prüfungen konnten die Beamten der zuständigen Aufsichtsbehörde in den geprüften Einzelfällen zum Teil Jahre alte private Angaben betroffener Mieterinnen und Mieter einsehen, ohne dass diese Daten noch ihrem eigentlichen Verwendungszweck dienten, für den sie erhoben wurden. Neben Gehaltsbescheinigungen, Selbstauskünften sowie Arbeits- und Ausbildungsverträgen konnten die Beamten auch Steuer-, Sozial- und Krankenversicherungsdaten sowie Kontoauszüge von ehemaligen Mieterinnen und Mietern der Deutschen Wohnen SE einsehen. Die gespeicherten Daten gaben auf vielfältige Weise über die persönlichen und finanziellen Verhältnisse dieser Personen Auskunft.

Die Bußgeldregeln der DS-GVO

Die DS-GVO trat im Mai 2018 in Kraft. Die Datenschutzregeln sehen Bußgelder von bis zu 4% des Jahresumsatzes vor. Der aktuelle Fall ist der bisher mit Abstand höchste Bußgeldbescheid. Vor der Deutsche Wohnen lag das höchste Bußgeld in Deutschland bei 80.000 Euro.

Entsprechend der Bemessungsgrundlage des ausgewiesenen Jahresumsatzes der Deutschen Wohnen SE, der sich in Geschäftsjahr 2018 auf mehr als eine Milliarde Euro belief, lag der gesetzlich vorgegebene Rahmen für das zu verhängende Bußgeld bei rund 28 Millionen Euro. Da keine missbräuchlichen Zugriffe auf die unzulässig gespeicherten Daten nachgewiesen werden konnten, sprach die Datenschutzbeauftragte am Ende ein Bußgeld in mittlerer Höhe von 14,5 Millionen Euro wegen Verstoßes gegen Artikel 25 Abs. 1 DS-GVO sowie Artikel 5 DS-GVO aus.

Wenig Einsicht bei der Deutschen Wohnen SE

Die Immobiliengesellschaft selbst zeigt sich indes wenig einsichtig und hat in einer eigenen Pressemitteilung bereits angekündigt, „gegen den Bußgeldbescheid der Berliner Beauftragten für Datenschutz und Informationsfreiheit vorzugehen.

Die Deutsche Wohnen betont ausdrücklich, „...dass keinerlei Daten von Mietern datenschutzwidrig an unternehmensfremde Dritte gelangt sind. Vielmehr hat die Deutsche Wohnen bereits im Jahr 2017 umfangreiche personelle und prozessuale Veränderungen eingeleitet, um den aktuellen Datenschutzanforderungen vollumfänglich gerecht zu werden.

Die Deutsche Wohnen teilt die rechtliche Bewertung der Berliner Datenschutzbeauftragten nicht und wird den Bußgeldbescheid gerichtlich überprüfen lassen. …“

Was bedeutet das für Sie als Immobilienverwaltung?

Wir empfehlen Ihnen, Ihre Datenbestände regelmäßig dahingehend zu prüfen, ob für die Speicherung und Verarbeitung der von Ihnen erhobenen Daten noch ein Rechtsgrund besteht. Sofern dieser entfallen sein sollte, sind die Daten umgehend und dauerhaft zu löschen.

Prüfen Sie, ob Ihr Unternehmen die Anforderungen der DS-GVO erfüllt.

Bei Auskunftsverlangen von Mietern reagieren Sie zeitnah und erteilen Sie umfassende Auskünfte gegenüber Ihren Mietern. Dies vermeidet Beschwerden gegenüber den zuständigen Aufsichtsbehörden.

Rechtsanwältin Kathleen Brauner

dmp@derra-d.de

Stand: 11/2019

 

01 Nov
2019

Bußgeldbemessung: So gehen die Aufsichtsbehörden künftig vor – eine erste Übersicht

Am 16. Oktober veröffentlichten die deutschen Datenschutzaufsichtsbehörden ihren ersten Aufschlag zur Berechnung von Bußgeldern. Nachfolgend erhalten Sie einen ersten, schnellen Überblick.

mehr lesen

Am 16. Oktober veröffentlichten die deutschen Datenschutzaufsichtsbehörden ihren ersten Aufschlag zur Berechnung von Bußgeldern. Nachfolgend erhalten Sie einen ersten, schnellen Überblick; eine detaillierte Aufarbeitung muss noch erfolgen.

Der Hintergrund

Die DS-GVO sieht hohe Bußgelder vor. Es ist eine einfache Überlegung, dass ein Bußgeldrahmen bis zu 20 Millionen Euro oder bis zu vier Prozent des weltweiten Vorjahresumsatzes eines Unternehmensverbunds mehr Spielräume für die Bemessung bietet, als der bisherige Bußgeldrahmen. Damit wird es aber auch schwieriger, das „richtige“ Bußgeld zu finden.

Die DS-GVO gibt in Art. 83 Abs. 2 DS-GVO eine Reihe von Kriterien für die Bemessung eines Bußgelds vor. Eine Befassung mit diesen Kriterien – auch unter Heranziehung der „Leitlinien für die Anwendung und Festsetzung von Geldbußen im Sinne der Verordnung (EU) 2016/679“ (WP 253) der Art.-29-Gruppe vom 03.10.2017 – wirft auch die Frage auf, ob diese Kriterien die Bemessung wirklich leichter machen. Daraus ergeben sich zwar Anhaltspunkte für die Bewertung, aber der eingangs angesprochene Spielraum ist immer noch recht umfassend.

Weitere Anhaltspunkte sieht die DS-GVO selbst nicht vor. Die Verweise des deutschen BDSG auf das Ordnungswidrigkeitenrecht führen zwar zur Anwendung des „deutschen Verfahrensrechts“, aber nicht zwingend zur Anwendung der deutschen Bemessungsregeln (vgl. § 41 Abs. 1 Satz 2 BDSG).

Gleichwohl erscheinen die Überlegungen des Ordnungswidrigkeitenrechts nicht vollkommen abwegig, den vollen Bußgeldrahmen für vorsätzliche Taten anzuwenden und den halben Bußgeldrahmen bei fahrlässigen Taten (vgl. § 17 Abs. 2 OWiG). Ausgehend von diesem Rahmen kann für einen durchschnittlichen Verstoß der jeweilige Mittelwert angesetzt und anhand der Bemessungskriterien erhöht oder gesenkt werden.

Allerdings sind damit die zuvor angesprochenen Probleme nicht gelöst. Hinzu kommt, dass die Anwendung EU-weit einheitlich erfolgen muss, da die DS-GVO EU-weit einheitlich ausgelegt und gehandhabt werden muss. Ein Blick auf die bisher veröffentlichten Bußgelder in Deutschland und anderer EU-Mitgliedstaaten vermittelt durchaus den Eindruck, dass die deutschen Aufsichtsbehörden einen eher moderaten Ansatz wählen. Der Eindruck kann jedoch täuschen, denn über die unterschiedlichen Sachverhalte und die Umstände der Verhängung der Bußgelder ist schlicht nicht genug bekannt.

Da in Deutschland nicht erstmalig mit der DS-GVO Sanktionen für Verstöße eingeführt worden sind, mag es auf den ersten Blick verwundern, dass die Bemessung in Deutschland so schwer sein soll. Allerdings lässt der Bußgeldrahmen viel Spielraum und die Kriterien zur Bußgeldbemessung sind vom Start weg eher scheinbare als echte Hilfen. Aus rechtsstaatlichen Gründen verbietet sich aber ein „Auswürfeln“ der Bußgeldhöhe .

Das Berechnungsmodell

Am 16. Oktober veröffentlichte die DSK dann ihren Ansatz zur Festlegung von Bußgeldern mit dem Titel „Konzept der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder zur Bußgeldzumessung in Verfahren gegen Unternehmen“.

Der Pressemitteilung der DSK ist hierzu unter anderem das Folgende zu entnehmen: Mit der Veröffentlichung der vorliegenden Fassung des Konzeptes zur Bemessung von Geldbußen soll ein Beitrag zur Transparenz im Hinblick auf die Durchsetzung des Datenschutzrechts geleistet werden. Es soll Verantwortliche und Auftragsverarbeiter in die Lage versetzen, die Entscheidungen der Aufsichtsbehörden nachzuvollziehen. Das Konzept unterstützt mit der Anknüpfung an den Umsatz eines Unternehmens bei der Bußgeldzumessung den erklärten Willen des europäischen Gesetzgebers, die Wirksamkeit, Verhältnismäßigkeit und abschreckende Wirkung der Verhängung von Geldbußen sicherzustellen.

Das veröffentlichte Modell zur Bestimmung des Bußgelds wird nur bei Bußgeldern gegen Unternehmen angewendet und erfolgt in fünf Schritten:

  • Schritt 1: Zuordnung des Unternehmens zu einer GrößenklassenDie Größenklassen A (Jahresumsatz bis zwei Millionen Euro), B (Jahresumsatz über zwei und bis zehn Millionen Euro), C (Jahresumsatz über zehn und bis 50 Millionen Euro) und D (Jahresumsatz über 50 Millionen Euro) werden wiederum zur konkreteren Einordnung der Unternehmen nochmals in Untergruppen unterteilt (A.I bis A.III, B.I bis B.III, C.I bis C.VII, D.I bis D.VII). 
    • Damit ergeben sich insgesamt 20 Kategorien, die im Konzept tabellarisch benannt sind.
    • Dem Konzept ist hierzu u.a. Folgendes zu entnehmen: Die Größenklassen richten sich nach dem gesamten weltweit erzielten Vorjahresumsatz der Unternehmen (vgl. Art. 83 Abs. 4 bis 6 DS-GVO) und sind unterteilt in Kleinstunternehmen, kleine und mittlere Unternehmen (KMU) sowie Großunternehmen. Es gilt gemäß Erwägungsgrund 150 der DS-GVO der Begriff „Unternehmen“ im Sinne der Artikel 101 und 102 AEUV (sog. funktionaler Unternehmensbegriff). Die Größeneinordnung der KMU orientiert sich hinsichtlich des Vorjahresumsatzes grundsätzlich an der Empfehlung der Kommission vom 6. Mai 2003 (2003/361/EG).
  • Schritt 2: Ermittlung des mittleren Jahresumsatzes der jeweiligen Untergruppe Dieser Ausgangswert ist in der niedrigsten Gruppe A. I. (also bei einem Jahresumsatz bis 700.000 Euro) 350.000,00 € und in der höchsten Gruppe D. VII. (also Jahresumsatz des Unternehmens von mehr als 500 Mio. €) der konkrete Jahresumsatz des Unternehmens. 
    • Dieser Wert ist der Tabelle 2 des Konzepts zu entnehmen und dient der Veranschaulichung der in den folgenden Schritten darauf aufbauenden Ermittlung des wirtschaftlichen Grundwerts.
  • Schritt 3: Ermittlung des wirtschaftlichen Grundwerts Dieser Grundwert ist in der niedrigsten Gruppe A. I. (also Jahresumsatz bis 700.000 Euro) 972,00 Euro und in der höchsten Gruppe D. VII. (also Jahresumsatz des Unternehmens von mehr als 500 Mio. €) der konkret errechnete Tagessatz. Zur Verdeutlichung in der zweiten höchsten Gruppe D. VI. (Jahresumsatz über 400 bis 500 Millionen Euro) sind das 1,25 Millionen Euro. 
    • Für die Festsetzung des wirtschaftlichen Grundwerts wird der mittlere Jahresumsatz der Untergruppe (Schritt 2), in die das Unternehmen eingeordnet wurde, durch 360 Tage geteilt und so ein durchschnittlicher, auf die Vorkommastelle aufgerundeter Tagessatz errechnet. Dieser ist der Tabelle 3 des Konzepts zu entnehmen.
  • Schritt 4: Multiplikation des Grundwerts mittels eines von der Schwere der Tatumstände abhängigen FaktorsAufgrund der unterschiedlichen Bußgeldrahmen wird zwischen Verstößen gegen formelle Regelungen (Art. 83 Abs. 4 DS-GVO) und materielle Regelungen der DS-GVO (Art. 83 Abs. 5, 6 DS-GVO) unterschieden und in zwei Spalten der Tabelle unterschiedliche Faktoren festgelegt. Die in vier Abstufungen vorgesehenen Multiplikatoren sind bei „formelle Verstöße“ 1 bis 6 und bei „materiellen Verstößen“ 1 bis 12. 
    • Bei der Wahl des Multiplikationsfaktors einer sehr schweren Tat ist – so das Konzept - zu beachten, dass der einzelfallbezogene Bußgeldrahmen nicht überschritten wird.
    • Erstmals in Schritt 4 erfolgt anhand der konkreten tatbezogenen Umstände des Einzelfalls eine Einordnung des Schweregrads der Tat in leicht, mittel, schwer oder sehr schwer. Hierfür werden gemäß der Tabelle 4 des Konzepts unter Berücksichtigung der Umstände des Einzelfalls anhand des Kriterienkatalogs des Art. 83 Abs. 2 DS-GVO der Schweregrad des Tatvorwurfs und der jeweilige Faktor ermittelt. Mit diesem soll der (in Schritt 3 ermittelte) Grundwert multipliziert werden.
  • Schritt 5: Anpassung des in Schritt 4 ermittelten Werts anhand täterbezogener und sonstiger noch nicht berücksichtigter UmständeEine erste EinschätzungTrotz aller Kritik muss gesehen werden, dass die Aufsichtsbehörden damit versuchen, in die Berechnung Transparenz zu bringen und damit auch für eine gewisse Gleichheit zu sorgen – sowohl nach oben als auch nach unten. Solche Tabellen und Schemen sind in der Praxis der Sanktionierung auch nicht unüblich. Erste Kritikpunkte sind der Umstand, dass die Heranziehung eines Durchschnittswerts in Schritt 2 diejenigen benachteiligt, die an der unteren Grenze der jeweiligen Gruppe stehen, ein Aspekt, der in Schritt 5 „abgefedert“ werden muss. Der Umsatz als Einstieg in eine Bewertung birgt auch die Gefahr, dass margenschwache Unternehmen (Stichwort: hoher Umsatz, aber geringer Gewinn) benachteiligt werden könnten. Denn wenn zuerst eine tat- und schuldbezogene Bewertung erfolgen würde mit anschließender Multiplikation mit einem Tagessatz, liegt es in der Praxis nahe, dass ein geringerer Wert zur Diskussion stünde. Ein Aspekt, der ebenfalls stark in Schritt 5 berücksichtigt werden muss.Die Aufteilung in fünf Schritte, wovon die ersten drei „nur“ Rechenschritte sind, führt wohl beim ersten Lesen zu dem Eindruck, dass sich Bußgelder mathematisch berechnen lassen und die Sanktion sich allein dadurch finden lässt. Das ist aber in erster Linie des Umfangs dieser ersten drei Schritte im Vergleich zu den letzten beiden geschuldet. In der Sache machen die Schritte 4 und 5 deutlich, dass sich ein Bußgeld nicht rein mathematisch errechnen lässt, sondern Gewichtungen eine erhebliche Bedeutung haben (müssen).Aus der Sicht der Verteidigung gegen Bußgelder besteht in gewisser Weise das Gefühl, gegen einen hohen Ausgangswert „ankämpfen“ zu müssen. Zu sehen ist dabei aber, dass die Auswahl des Multiplikators in Schritt 4 schon nicht mehr rein mathematisch erfolgen kann. Gerade in den Schritten 4 und 5 wird zukünftig (wie bisher) die „Musik spielen“. Natürlich wird auch das Berechnungsmodell (im Einzelfall und generell) nicht kritiklos bleiben (können). 
  • Nicht übersehen werden darf, dass die beste Verteidigung gegen ein Bußgeld darin besteht, möglichst keinen schuldhaften oder jedenfalls keinen sanktionswürdigen Verstoß zu begehen. In der Praxis beginnt schon hier die Verteidigung gegen ein Bußgeld und gerade an diesem Punkt können die Unternehmen durch Datenschutz-Compliance ihr Bußgeld-Risiko im Vorfeld reduzieren.
  • Wenn die erste Überraschung – vielleicht auch der erste Schreck – verflogen ist, wird sich zeigen, dass die Schritte 4 und 5 weiterhin eine signifikante Rolle spielen werden. Hier erfolgt die tat- und schuldangemessene Bußgeldbemessung. Auch die Aufsichtsbehörden scheinen dies nicht zwingend anders zu sehen. Denn diese individuellen Aspekte werden nicht vernachlässigt. Auch bleiben all die Schwierigkeiten im Umgang mit den Kriterien in Schritt 4 und 5. Gerade die entscheidenden Aspekte lassen sich durch Bußgeldrechner nicht abbilden.
  • Ein wesentlicher Kritikpunkt ist, dass in den Schritten 1 bis 3 kein Wert für einen mittleren Verstoß berechnet wird, von dem ausgehend dann schuld- und tatangemessen Ab- und Aufschläge gebildet werden, sondern ein Mindestwert festgelegt ist. In Schritt 4 sind nur erhöhende Multiplikatoren vorgesehen. Erst in Schritt 5 ist vorgesehen, dass auch Abstriche von dem bis dahin ermittelten Wert möglich sind. Hierdurch entsteht ein Störgefühl, dessen Berechtigung weitergehend hinterfragt und untersucht werden muss.
  • Für den mit der Verteidigung in Bußgeldsachen befassten Rechtsanwalt drängt sich zunächst der Impuls auf, dass die Aufsichtsbehörde allein aufgrund der Konzeption des Modells (zuerst Berechnung des „Tagessatzes“ und erst anschließende „tat- und schuldangemessene Bewertung“) zu einem anderen Ergebnis kommt, als wenn zuerst Tat und Schuld gewichtet würden. Bei rein mathematischer Betrachtung ergibt sich vielleicht kein Unterschied allein danach, was zunächst festgelegt wird. In der Praxis besteht dennoch die Gefahr, dass beim vorgestellten Vorgehen tendenziell höhere Bußgelder das Ergebnis sind.
  • Dieses Berechnungsmodell macht zunächst plakativ deutlich, was der neue Bußgeldrahmen der DS-GVO in der Praxis bedeuten kann – aber nicht zwingend muss.
  • Der in Schritt 4 berechnete Betrag wird anhand aller für und gegen das Unternehmen sprechenden Umstände angepasst, soweit diese noch nicht in Schritt 4 berücksichtigt wurden. Das sollen insbesondere sämtliche täterbezogenen Umstände des Kriterienkatalogs in Art. 83 Abs. 2 DS-GVO sowie sonstige Umstände wie eine lange Verfahrensdauer oder eine drohende Zahlungsunfähigkeit des Unternehmens sein.

Eine erste Einschätzung

Dieses Berechnungsmodell macht zunächst plakativ deutlich, was der neue Bußgeldrahmen der DS-GVO in der Praxis bedeuten kann – aber nicht zwingend muss.

Trotz aller Kritik muss gesehen werden, dass die Aufsichtsbehörden damit versuchen, in die Berechnung Transparenz zu bringen und damit auch für eine gewisse Gleichheit zu sorgen – sowohl nach oben als auch nach unten. Solche Tabellen und Schemen sind in der Praxis der Sanktionierung auch nicht unüblich.

Für den mit der Verteidigung in Bußgeldsachen befassten Rechtsanwalt drängt sich zunächst der Impuls auf, dass die Aufsichtsbehörde allein aufgrund der Konzeption des Modells (zuerst Berechnung des „Tagessatzes“ und erst anschließende „tat- und schuldangemessene Bewertung“) zu einem anderen Ergebnis kommt, als wenn zuerst Tat und Schuld gewichtet würden. Bei rein mathematischer Betrachtung ergibt sich vielleicht kein Unterschied allein danach, was zunächst festgelegt wird. In der Praxis besteht dennoch die Gefahr, dass beim vorgestellten Vorgehen tendenziell höhere Bußgelder das Ergebnis sind.

Erste Kritikpunkte sind der Umstand, dass die Heranziehung eines Durchschnittswerts in Schritt 2 diejenigen benachteiligt, die an der unteren Grenze der jeweiligen Gruppe stehen, ein Aspekt, der in Schritt 5 „abgefedert“ werden muss. Der Umsatz als Einstieg in eine Bewertung birgt auch die Gefahr, dass margenschwache Unternehmen (Stichwort: hoher Umsatz, aber geringer Gewinn) benachteiligt werden könnten. Denn wenn zuerst eine tat- und schuldbezogene Bewertung erfolgen würde mit anschließender Multiplikation mit einem Tagessatz, liegt es in der Praxis nahe, dass ein geringerer Wert zur Diskussion stünde. Ein Aspekt, der ebenfalls stark in Schritt 5 berücksichtigt werden muss.

Ein wesentlicher Kritikpunkt ist, dass in den Schritten 1 bis 3 kein Wert für einen mittleren Verstoß berechnet wird, von dem ausgehend dann schuld- und tatangemessen Ab- und Aufschläge gebildet werden, sondern ein Mindestwert festgelegt ist. In Schritt 4 sind nur erhöhende Multiplikatoren vorgesehen. Erst in Schritt 5 ist vorgesehen, dass auch Abstriche von dem bis dahin ermittelten Wert möglich sind. Hierdurch entsteht ein Störgefühl, dessen Berechtigung weitergehend hinterfragt und untersucht werden muss.

Die Aufteilung in fünf Schritte, wovon die ersten drei „nur“ Rechenschritte sind, führt wohl beim ersten Lesen zu dem Eindruck, dass sich Bußgelder mathematisch berechnen lassen und die Sanktion sich allein dadurch finden lässt. Das ist aber in erster Linie des Umfangs dieser ersten drei Schritte im Vergleich zu den letzten beiden geschuldet. In der Sache machen die Schritte 4 und 5 deutlich, dass sich ein Bußgeld nicht rein mathematisch errechnen lässt, sondern Gewichtungen eine erhebliche Bedeutung haben (müssen).

Wenn die erste Überraschung – vielleicht auch der erste Schreck – verflogen ist, wird sich zeigen, dass die Schritte 4 und 5 weiterhin eine signifikante Rolle spielen werden. Hier erfolgt die tat- und schuldangemessene Bußgeldbemessung. Auch die Aufsichtsbehörden scheinen dies nicht zwingend anders zu sehen. Denn diese individuellen Aspekte werden nicht vernachlässigt. Auch bleiben all die Schwierigkeiten im Umgang mit den Kriterien in Schritt 4 und 5. Gerade die entscheidenden Aspekte lassen sich durch Bußgeldrechner nicht abbilden.

Aus der Sicht der Verteidigung gegen Bußgelder besteht in gewisser Weise das Gefühl, gegen einen hohen Ausgangswert „ankämpfen“ zu müssen. Zu sehen ist dabei aber, dass die Auswahl des Multiplikators in Schritt 4 schon nicht mehr rein mathematisch erfolgen kann. Gerade in den Schritten 4 und 5 wird zukünftig (wie bisher) die „Musik spielen“. Natürlich wird auch das Berechnungsmodell (im Einzelfall und generell) nicht kritiklos bleiben (können).

Nicht übersehen werden darf, dass die beste Verteidigung gegen ein Bußgeld darin besteht, möglichst keinen schuldhaften oder jedenfalls keinen sanktionswürdigen Verstoß zu begehen. In der Praxis beginnt schon hier die Verteidigung gegen ein Bußgeld und gerade an diesem Punkt können die Unternehmen durch Datenschutz-Compliance ihr Bußgeld-Risiko im Vorfeld reduzieren.

Rechtsanwalt Dr. Jens Eckhardt

dmp@derra-d.de

Stand: 11/2019

Am 16. Oktober veröffentlichten die deutschen Datenschutzaufsichtsbehörden ihren ersten Aufschlag zur Berechnung von Bußgeldern. Nachfolgend erhalten Sie einen ersten, schnellen Überblick; eine detaillierte Aufarbeitung muss noch erfolgen.

Der Hintergrund

Die DS-GVO sieht hohe Bußgelder vor. Es ist eine einfache Überlegung, dass ein Bußgeldrahmen bis zu 20 Millionen Euro oder bis zu vier Prozent des weltweiten Vorjahresumsatzes eines Unternehmensverbunds mehr Spielräume für die Bemessung bietet, als der bisherige Bußgeldrahmen. Damit wird es aber auch schwieriger, das „richtige“ Bußgeld zu finden.

Die DS-GVO gibt in Art. 83 Abs. 2 DS-GVO eine Reihe von Kriterien für die Bemessung eines Bußgelds vor. Eine Befassung mit diesen Kriterien – auch unter Heranziehung der „Leitlinien für die Anwendung und Festsetzung von Geldbußen im Sinne der Verordnung (EU) 2016/679“ (WP 253) der Art.-29-Gruppe vom 03.10.2017 – wirft auch die Frage auf, ob diese Kriterien die Bemessung wirklich leichter machen. Daraus ergeben sich zwar Anhaltspunkte für die Bewertung, aber der eingangs angesprochene Spielraum ist immer noch recht umfassend.

Weitere Anhaltspunkte sieht die DS-GVO selbst nicht vor. Die Verweise des deutschen BDSG auf das Ordnungswidrigkeitenrecht führen zwar zur Anwendung des „deutschen Verfahrensrechts“, aber nicht zwingend zur Anwendung der deutschen Bemessungsregeln (vgl. § 41 Abs. 1 Satz 2 BDSG).

Gleichwohl erscheinen die Überlegungen des Ordnungswidrigkeitenrechts nicht vollkommen abwegig, den vollen Bußgeldrahmen für vorsätzliche Taten anzuwenden und den halben Bußgeldrahmen bei fahrlässigen Taten (vgl. § 17 Abs. 2 OWiG). Ausgehend von diesem Rahmen kann für einen durchschnittlichen Verstoß der jeweilige Mittelwert angesetzt und anhand der Bemessungskriterien erhöht oder gesenkt werden.

Allerdings sind damit die zuvor angesprochenen Probleme nicht gelöst. Hinzu kommt, dass die Anwendung EU-weit einheitlich erfolgen muss, da die DS-GVO EU-weit einheitlich ausgelegt und gehandhabt werden muss. Ein Blick auf die bisher veröffentlichten Bußgelder in Deutschland und anderer EU-Mitgliedstaaten vermittelt durchaus den Eindruck, dass die deutschen Aufsichtsbehörden einen eher moderaten Ansatz wählen. Der Eindruck kann jedoch täuschen, denn über die unterschiedlichen Sachverhalte und die Umstände der Verhängung der Bußgelder ist schlicht nicht genug bekannt.

Da in Deutschland nicht erstmalig mit der DS-GVO Sanktionen für Verstöße eingeführt worden sind, mag es auf den ersten Blick verwundern, dass die Bemessung in Deutschland so schwer sein soll. Allerdings lässt der Bußgeldrahmen viel Spielraum und die Kriterien zur Bußgeldbemessung sind vom Start weg eher scheinbare als echte Hilfen. Aus rechtsstaatlichen Gründen verbietet sich aber ein „Auswürfeln“ der Bußgeldhöhe .

Das Berechnungsmodell

Am 16. Oktober veröffentlichte die DSK dann ihren Ansatz zur Festlegung von Bußgeldern mit dem Titel „Konzept der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder zur Bußgeldzumessung in Verfahren gegen Unternehmen“.

Der Pressemitteilung der DSK ist hierzu unter anderem das Folgende zu entnehmen: Mit der Veröffentlichung der vorliegenden Fassung des Konzeptes zur Bemessung von Geldbußen soll ein Beitrag zur Transparenz im Hinblick auf die Durchsetzung des Datenschutzrechts geleistet werden. Es soll Verantwortliche und Auftragsverarbeiter in die Lage versetzen, die Entscheidungen der Aufsichtsbehörden nachzuvollziehen. Das Konzept unterstützt mit der Anknüpfung an den Umsatz eines Unternehmens bei der Bußgeldzumessung den erklärten Willen des europäischen Gesetzgebers, die Wirksamkeit, Verhältnismäßigkeit und abschreckende Wirkung der Verhängung von Geldbußen sicherzustellen.

Das veröffentlichte Modell zur Bestimmung des Bußgelds wird nur bei Bußgeldern gegen Unternehmen angewendet und erfolgt in fünf Schritten:

  • Schritt 1: Zuordnung des Unternehmens zu einer GrößenklassenDie Größenklassen A (Jahresumsatz bis zwei Millionen Euro), B (Jahresumsatz über zwei und bis zehn Millionen Euro), C (Jahresumsatz über zehn und bis 50 Millionen Euro) und D (Jahresumsatz über 50 Millionen Euro) werden wiederum zur konkreteren Einordnung der Unternehmen nochmals in Untergruppen unterteilt (A.I bis A.III, B.I bis B.III, C.I bis C.VII, D.I bis D.VII). 
    • Damit ergeben sich insgesamt 20 Kategorien, die im Konzept tabellarisch benannt sind.
    • Dem Konzept ist hierzu u.a. Folgendes zu entnehmen: Die Größenklassen richten sich nach dem gesamten weltweit erzielten Vorjahresumsatz der Unternehmen (vgl. Art. 83 Abs. 4 bis 6 DS-GVO) und sind unterteilt in Kleinstunternehmen, kleine und mittlere Unternehmen (KMU) sowie Großunternehmen. Es gilt gemäß Erwägungsgrund 150 der DS-GVO der Begriff „Unternehmen“ im Sinne der Artikel 101 und 102 AEUV (sog. funktionaler Unternehmensbegriff). Die Größeneinordnung der KMU orientiert sich hinsichtlich des Vorjahresumsatzes grundsätzlich an der Empfehlung der Kommission vom 6. Mai 2003 (2003/361/EG).
  • Schritt 2: Ermittlung des mittleren Jahresumsatzes der jeweiligen Untergruppe Dieser Ausgangswert ist in der niedrigsten Gruppe A. I. (also bei einem Jahresumsatz bis 700.000 Euro) 350.000,00 € und in der höchsten Gruppe D. VII. (also Jahresumsatz des Unternehmens von mehr als 500 Mio. €) der konkrete Jahresumsatz des Unternehmens. 
    • Dieser Wert ist der Tabelle 2 des Konzepts zu entnehmen und dient der Veranschaulichung der in den folgenden Schritten darauf aufbauenden Ermittlung des wirtschaftlichen Grundwerts.
  • Schritt 3: Ermittlung des wirtschaftlichen Grundwerts Dieser Grundwert ist in der niedrigsten Gruppe A. I. (also Jahresumsatz bis 700.000 Euro) 972,00 Euro und in der höchsten Gruppe D. VII. (also Jahresumsatz des Unternehmens von mehr als 500 Mio. €) der konkret errechnete Tagessatz. Zur Verdeutlichung in der zweiten höchsten Gruppe D. VI. (Jahresumsatz über 400 bis 500 Millionen Euro) sind das 1,25 Millionen Euro. 
    • Für die Festsetzung des wirtschaftlichen Grundwerts wird der mittlere Jahresumsatz der Untergruppe (Schritt 2), in die das Unternehmen eingeordnet wurde, durch 360 Tage geteilt und so ein durchschnittlicher, auf die Vorkommastelle aufgerundeter Tagessatz errechnet. Dieser ist der Tabelle 3 des Konzepts zu entnehmen.
  • Schritt 4: Multiplikation des Grundwerts mittels eines von der Schwere der Tatumstände abhängigen FaktorsAufgrund der unterschiedlichen Bußgeldrahmen wird zwischen Verstößen gegen formelle Regelungen (Art. 83 Abs. 4 DS-GVO) und materielle Regelungen der DS-GVO (Art. 83 Abs. 5, 6 DS-GVO) unterschieden und in zwei Spalten der Tabelle unterschiedliche Faktoren festgelegt. Die in vier Abstufungen vorgesehenen Multiplikatoren sind bei „formelle Verstöße“ 1 bis 6 und bei „materiellen Verstößen“ 1 bis 12. 
    • Bei der Wahl des Multiplikationsfaktors einer sehr schweren Tat ist – so das Konzept - zu beachten, dass der einzelfallbezogene Bußgeldrahmen nicht überschritten wird.
    • Erstmals in Schritt 4 erfolgt anhand der konkreten tatbezogenen Umstände des Einzelfalls eine Einordnung des Schweregrads der Tat in leicht, mittel, schwer oder sehr schwer. Hierfür werden gemäß der Tabelle 4 des Konzepts unter Berücksichtigung der Umstände des Einzelfalls anhand des Kriterienkatalogs des Art. 83 Abs. 2 DS-GVO der Schweregrad des Tatvorwurfs und der jeweilige Faktor ermittelt. Mit diesem soll der (in Schritt 3 ermittelte) Grundwert multipliziert werden.
  • Schritt 5: Anpassung des in Schritt 4 ermittelten Werts anhand täterbezogener und sonstiger noch nicht berücksichtigter UmständeEine erste EinschätzungTrotz aller Kritik muss gesehen werden, dass die Aufsichtsbehörden damit versuchen, in die Berechnung Transparenz zu bringen und damit auch für eine gewisse Gleichheit zu sorgen – sowohl nach oben als auch nach unten. Solche Tabellen und Schemen sind in der Praxis der Sanktionierung auch nicht unüblich. Erste Kritikpunkte sind der Umstand, dass die Heranziehung eines Durchschnittswerts in Schritt 2 diejenigen benachteiligt, die an der unteren Grenze der jeweiligen Gruppe stehen, ein Aspekt, der in Schritt 5 „abgefedert“ werden muss. Der Umsatz als Einstieg in eine Bewertung birgt auch die Gefahr, dass margenschwache Unternehmen (Stichwort: hoher Umsatz, aber geringer Gewinn) benachteiligt werden könnten. Denn wenn zuerst eine tat- und schuldbezogene Bewertung erfolgen würde mit anschließender Multiplikation mit einem Tagessatz, liegt es in der Praxis nahe, dass ein geringerer Wert zur Diskussion stünde. Ein Aspekt, der ebenfalls stark in Schritt 5 berücksichtigt werden muss.Die Aufteilung in fünf Schritte, wovon die ersten drei „nur“ Rechenschritte sind, führt wohl beim ersten Lesen zu dem Eindruck, dass sich Bußgelder mathematisch berechnen lassen und die Sanktion sich allein dadurch finden lässt. Das ist aber in erster Linie des Umfangs dieser ersten drei Schritte im Vergleich zu den letzten beiden geschuldet. In der Sache machen die Schritte 4 und 5 deutlich, dass sich ein Bußgeld nicht rein mathematisch errechnen lässt, sondern Gewichtungen eine erhebliche Bedeutung haben (müssen).Aus der Sicht der Verteidigung gegen Bußgelder besteht in gewisser Weise das Gefühl, gegen einen hohen Ausgangswert „ankämpfen“ zu müssen. Zu sehen ist dabei aber, dass die Auswahl des Multiplikators in Schritt 4 schon nicht mehr rein mathematisch erfolgen kann. Gerade in den Schritten 4 und 5 wird zukünftig (wie bisher) die „Musik spielen“. Natürlich wird auch das Berechnungsmodell (im Einzelfall und generell) nicht kritiklos bleiben (können). 
  • Nicht übersehen werden darf, dass die beste Verteidigung gegen ein Bußgeld darin besteht, möglichst keinen schuldhaften oder jedenfalls keinen sanktionswürdigen Verstoß zu begehen. In der Praxis beginnt schon hier die Verteidigung gegen ein Bußgeld und gerade an diesem Punkt können die Unternehmen durch Datenschutz-Compliance ihr Bußgeld-Risiko im Vorfeld reduzieren.
  • Wenn die erste Überraschung – vielleicht auch der erste Schreck – verflogen ist, wird sich zeigen, dass die Schritte 4 und 5 weiterhin eine signifikante Rolle spielen werden. Hier erfolgt die tat- und schuldangemessene Bußgeldbemessung. Auch die Aufsichtsbehörden scheinen dies nicht zwingend anders zu sehen. Denn diese individuellen Aspekte werden nicht vernachlässigt. Auch bleiben all die Schwierigkeiten im Umgang mit den Kriterien in Schritt 4 und 5. Gerade die entscheidenden Aspekte lassen sich durch Bußgeldrechner nicht abbilden.
  • Ein wesentlicher Kritikpunkt ist, dass in den Schritten 1 bis 3 kein Wert für einen mittleren Verstoß berechnet wird, von dem ausgehend dann schuld- und tatangemessen Ab- und Aufschläge gebildet werden, sondern ein Mindestwert festgelegt ist. In Schritt 4 sind nur erhöhende Multiplikatoren vorgesehen. Erst in Schritt 5 ist vorgesehen, dass auch Abstriche von dem bis dahin ermittelten Wert möglich sind. Hierdurch entsteht ein Störgefühl, dessen Berechtigung weitergehend hinterfragt und untersucht werden muss.
  • Für den mit der Verteidigung in Bußgeldsachen befassten Rechtsanwalt drängt sich zunächst der Impuls auf, dass die Aufsichtsbehörde allein aufgrund der Konzeption des Modells (zuerst Berechnung des „Tagessatzes“ und erst anschließende „tat- und schuldangemessene Bewertung“) zu einem anderen Ergebnis kommt, als wenn zuerst Tat und Schuld gewichtet würden. Bei rein mathematischer Betrachtung ergibt sich vielleicht kein Unterschied allein danach, was zunächst festgelegt wird. In der Praxis besteht dennoch die Gefahr, dass beim vorgestellten Vorgehen tendenziell höhere Bußgelder das Ergebnis sind.
  • Dieses Berechnungsmodell macht zunächst plakativ deutlich, was der neue Bußgeldrahmen der DS-GVO in der Praxis bedeuten kann – aber nicht zwingend muss.
  • Der in Schritt 4 berechnete Betrag wird anhand aller für und gegen das Unternehmen sprechenden Umstände angepasst, soweit diese noch nicht in Schritt 4 berücksichtigt wurden. Das sollen insbesondere sämtliche täterbezogenen Umstände des Kriterienkatalogs in Art. 83 Abs. 2 DS-GVO sowie sonstige Umstände wie eine lange Verfahrensdauer oder eine drohende Zahlungsunfähigkeit des Unternehmens sein.

Eine erste Einschätzung

Dieses Berechnungsmodell macht zunächst plakativ deutlich, was der neue Bußgeldrahmen der DS-GVO in der Praxis bedeuten kann – aber nicht zwingend muss.

Trotz aller Kritik muss gesehen werden, dass die Aufsichtsbehörden damit versuchen, in die Berechnung Transparenz zu bringen und damit auch für eine gewisse Gleichheit zu sorgen – sowohl nach oben als auch nach unten. Solche Tabellen und Schemen sind in der Praxis der Sanktionierung auch nicht unüblich.

Für den mit der Verteidigung in Bußgeldsachen befassten Rechtsanwalt drängt sich zunächst der Impuls auf, dass die Aufsichtsbehörde allein aufgrund der Konzeption des Modells (zuerst Berechnung des „Tagessatzes“ und erst anschließende „tat- und schuldangemessene Bewertung“) zu einem anderen Ergebnis kommt, als wenn zuerst Tat und Schuld gewichtet würden. Bei rein mathematischer Betrachtung ergibt sich vielleicht kein Unterschied allein danach, was zunächst festgelegt wird. In der Praxis besteht dennoch die Gefahr, dass beim vorgestellten Vorgehen tendenziell höhere Bußgelder das Ergebnis sind.

Erste Kritikpunkte sind der Umstand, dass die Heranziehung eines Durchschnittswerts in Schritt 2 diejenigen benachteiligt, die an der unteren Grenze der jeweiligen Gruppe stehen, ein Aspekt, der in Schritt 5 „abgefedert“ werden muss. Der Umsatz als Einstieg in eine Bewertung birgt auch die Gefahr, dass margenschwache Unternehmen (Stichwort: hoher Umsatz, aber geringer Gewinn) benachteiligt werden könnten. Denn wenn zuerst eine tat- und schuldbezogene Bewertung erfolgen würde mit anschließender Multiplikation mit einem Tagessatz, liegt es in der Praxis nahe, dass ein geringerer Wert zur Diskussion stünde. Ein Aspekt, der ebenfalls stark in Schritt 5 berücksichtigt werden muss.

Ein wesentlicher Kritikpunkt ist, dass in den Schritten 1 bis 3 kein Wert für einen mittleren Verstoß berechnet wird, von dem ausgehend dann schuld- und tatangemessen Ab- und Aufschläge gebildet werden, sondern ein Mindestwert festgelegt ist. In Schritt 4 sind nur erhöhende Multiplikatoren vorgesehen. Erst in Schritt 5 ist vorgesehen, dass auch Abstriche von dem bis dahin ermittelten Wert möglich sind. Hierdurch entsteht ein Störgefühl, dessen Berechtigung weitergehend hinterfragt und untersucht werden muss.

Die Aufteilung in fünf Schritte, wovon die ersten drei „nur“ Rechenschritte sind, führt wohl beim ersten Lesen zu dem Eindruck, dass sich Bußgelder mathematisch berechnen lassen und die Sanktion sich allein dadurch finden lässt. Das ist aber in erster Linie des Umfangs dieser ersten drei Schritte im Vergleich zu den letzten beiden geschuldet. In der Sache machen die Schritte 4 und 5 deutlich, dass sich ein Bußgeld nicht rein mathematisch errechnen lässt, sondern Gewichtungen eine erhebliche Bedeutung haben (müssen).

Wenn die erste Überraschung – vielleicht auch der erste Schreck – verflogen ist, wird sich zeigen, dass die Schritte 4 und 5 weiterhin eine signifikante Rolle spielen werden. Hier erfolgt die tat- und schuldangemessene Bußgeldbemessung. Auch die Aufsichtsbehörden scheinen dies nicht zwingend anders zu sehen. Denn diese individuellen Aspekte werden nicht vernachlässigt. Auch bleiben all die Schwierigkeiten im Umgang mit den Kriterien in Schritt 4 und 5. Gerade die entscheidenden Aspekte lassen sich durch Bußgeldrechner nicht abbilden.

Aus der Sicht der Verteidigung gegen Bußgelder besteht in gewisser Weise das Gefühl, gegen einen hohen Ausgangswert „ankämpfen“ zu müssen. Zu sehen ist dabei aber, dass die Auswahl des Multiplikators in Schritt 4 schon nicht mehr rein mathematisch erfolgen kann. Gerade in den Schritten 4 und 5 wird zukünftig (wie bisher) die „Musik spielen“. Natürlich wird auch das Berechnungsmodell (im Einzelfall und generell) nicht kritiklos bleiben (können).

Nicht übersehen werden darf, dass die beste Verteidigung gegen ein Bußgeld darin besteht, möglichst keinen schuldhaften oder jedenfalls keinen sanktionswürdigen Verstoß zu begehen. In der Praxis beginnt schon hier die Verteidigung gegen ein Bußgeld und gerade an diesem Punkt können die Unternehmen durch Datenschutz-Compliance ihr Bußgeld-Risiko im Vorfeld reduzieren.

Rechtsanwalt Dr. Jens Eckhardt

dmp@derra-d.de

Stand: 11/2019

22 Okt
2019

EuGH: Cookies nur noch mit ausdrücklicher Einwilligung – wirklich?

Der EuGH hat sich mit der Zulässigkeit des Setzens von Cookies befasst. Zunächst ergibt sich jedoch, dass nicht jede Art von Cookie betroffen ist.

mehr lesen
26 Sep
2019

Update: BVerwG zu Facebook Fanpages – nun Pflicht zur Abschaltung?

Wenn Sie für Ihr Unternehmen eine Facebook Fanpage betreiben, sollten Sie sich die neueste Rechtsprechung dazu nicht entgehen lassen.

mehr lesen

Wenn Sie für Ihr Unternehmen eine Facebook Fanpage betreiben, sollten Sie sich die neueste Rechtsprechung dazu nicht entgehen lassen. Vor einiger Zeit berichteten wir bereits über die Problematik von bei Facebook unterhaltenen Unternehmensauftritten – sogenannten Fanpages. Denn die deutschen Datenschutzaufsichtsbehörden halten den Betrieb von Facebook Fanpages nach dem Urteil des EuGH vom letzten Jahr in der gegenwärtigen Form für datenschutzrechtlich unzulässig (siehe Beitrag vom 21.05.2019). Nun hat das Bundesverwaltungsgericht (BVerwG) in Leipzig in dieser Sache entschieden.

Rechtsstreit über die Zulässigkeit von Fanpages

Dem Urteil des BVerwG liegt ein Rechtsstreit zugrunde, der seit nunmehr acht Jahren andauert. Darin geht es um eine Anordnung der schleswig-holsteinischen Datenschutzaufsichtsbehörde, das Unabhängige Landeszentrum für Datenschutz (ULD), die von der Wirtschaftsakademie Schleswig-Holstein forderte, ihre Fanpage auf Facebook zu deaktivieren. Denn Facebook erhebe bei Aufruf dieser Fanpage Daten der nutzenden Personen, ohne diese über die geplante Verarbeitung und ein bestehendes Widerspruchsrecht zu informieren. Dies betreffe sowohl bei Facebook registrierte und eingeloggte als auch nichtregistrierte Personen. Die Datenerhebung und etwaige Weitergabe an Dritte bleiben den nutzenden Personen damit unbekannt.

Nach dem Gang durch die Instanzen der Verwaltungsgerichtsbarkeit legte das BVerwG den Fall dem EuGH vor. Dieser entschied letztes Jahr, dass Unternehmen, die eine eigene Fanpage betreiben, gemeinsam mit Facebook für die durch Facebook durchgeführte Datenverarbeitung gemäß Art. 26 DS-GVO verantwortlich sind (Urteil vom 05.06.2018 - Rs. C-210/16, abrufbar unter http://curia.europa.eu/juris/document/document.jsf?text=&docid=202543&pageIndex=0&doclang=de&mode=lst&dir=&occ=first&part=1&cid=15322487). Denn die Betreiber ermöglichen durch den Betrieb ihrer Fanpages Facebook den Zugriff auf die Daten der Fanpage-Besucher. Die Verarbeitung der im Rahmen der Facebook-Nutzung erhobenen Besucherdaten wird zudem nicht allein durch Facebook bestimmt. Vielmehr können die Betreiber durch eine entsprechende Parametrierung über die Zwecke und Mittel der Verarbeitung mitentscheiden.

Urteil des BVerwG

Das BVerwG hat auf Grundlage des EuGH-Urteils am 11.09.2019 entschieden, dass Datenschutzaufsichtsbehörden die Betreiber von Fanpages verpflichten können, ihre Fanpage abzuschalten, wenn die von Facebook bereitgestellte Infrastruktur schwerwiegende datenschutzrechtliche Mängel aufweist (BVerwG, Urteil vom 11.09.2019 - 6 C 15.18, Pressemitteilung mit den nachfolgenden Zitaten abrufbar unter https://www.bverwg.de/pm/2019/62).

Das BVerwG bekräftigt damit die Entscheidung des EuGH und stellt klar, dass die Datenschutzaufsichtsbehörden, so sie gegen gemeinsam Verantwortliche (Facebook und Fanpage-Betreiber) vorgehen wollen, auch die Fanpage-Betreiber allein „für die Herstellung datenschutzkonformer Zustände bei Nutzung ihrer Fanpage in die Pflicht nehmen“ können. Denn ein Vorgehen gegen Facebook sei wegen dessen fehlender „Kooperationsbereitschaft […] mit erheblichen tatsächlichen und rechtlichen Unsicherheiten verbunden“. Erweisen sich die bei Aufruf der Fanpage ablaufenden Datenverarbeitungen als rechtswidrig, stelle die Anordnung, die Fanpage ganz abzuschalten, nach Ansicht des Gerichts ein verhältnismäßiges Mittel dar, um datenschutzkonforme Zustände herzustellen. Ob die Datenverarbeitung durch Facebook jedoch im Einzelnen solche schwerwiegenden Mängel aufweist und damit rechtswidrig ist, muss nun das Oberverwaltungsgericht Schleswig erneut klären.

Konsequenzen in der Praxis

Nun bleibt abzuwarten, ob Facebook aus diesem Urteil Konsequenzen zieht. Nach dem EuGH-Urteil hatte das Unternehmen im letzten Jahr zunächst seine Hinweise für die Funktion Seiten-Insights ergänzt („Controller Addendum“, abrufbar unter https://de-de.facebook.com/legal/terms/page_controller_addendum). Diese Ergänzung genügt den Anforderungen der DS-GVO jedoch nicht (Beschluss der Datenschutzkonferenz vom 01.04.2019, abrufbar unter https://www.datenschutzkonferenz-online.de/media/dskb/20190405_positionierung_facebook_fanpages.pdf). Weitergehende Informationen über die durchgeführten Datenverarbeitungen gibt Facebook dagegen nicht preis, sodass es den Fanpage-Betreibern schlichtweg nicht möglich ist, ihrer Rechenschaftspflicht nach Art. 5 Abs. 2 DS-GVO nachzukommen und die Rechtmäßigkeit dieser Verarbeitungen nachzuweisen. Nun bleibt die Entscheidung des OVG Schleswig über die Rechtswidrigkeit der Datenverarbeitungen abzuwarten.

Das bedeutet für Sie: Der Betrieb von Fanpages stellt für Unternehmen derzeit ein besonderes Risiko dar, da ein datenschutzrechtskonformer Betrieb solcher Seiten nach Ansicht der deutschen Aufsichtsbehörden derzeit nicht möglich ist. Wenn Sie eine solche Fanpage betreiben, müssen Sie sich dessen bewusst sein und damit rechnen, von der für Sie zuständigen Datenschutzaufsichtsbehörde diesbezüglich kontaktiert zu werden. Dabei verwenden die deutschen Behörden einen einheitlich abgestimmten Fragebogen. Um vorbereitet zu sein, können Sie sich hier bereits einen Überblick verschaffen.

Rechtsanwältin Johanna Mäkert

dmp@derra-b.de

Stand: 09/2019

 

Wenn Sie für Ihr Unternehmen eine Facebook Fanpage betreiben, sollten Sie sich die neueste Rechtsprechung dazu nicht entgehen lassen. Vor einiger Zeit berichteten wir bereits über die Problematik von bei Facebook unterhaltenen Unternehmensauftritten – sogenannten Fanpages. Denn die deutschen Datenschutzaufsichtsbehörden halten den Betrieb von Facebook Fanpages nach dem Urteil des EuGH vom letzten Jahr in der gegenwärtigen Form für datenschutzrechtlich unzulässig (siehe Beitrag vom 21.05.2019). Nun hat das Bundesverwaltungsgericht (BVerwG) in Leipzig in dieser Sache entschieden.

Rechtsstreit über die Zulässigkeit von Fanpages

Dem Urteil des BVerwG liegt ein Rechtsstreit zugrunde, der seit nunmehr acht Jahren andauert. Darin geht es um eine Anordnung der schleswig-holsteinischen Datenschutzaufsichtsbehörde, das Unabhängige Landeszentrum für Datenschutz (ULD), die von der Wirtschaftsakademie Schleswig-Holstein forderte, ihre Fanpage auf Facebook zu deaktivieren. Denn Facebook erhebe bei Aufruf dieser Fanpage Daten der nutzenden Personen, ohne diese über die geplante Verarbeitung und ein bestehendes Widerspruchsrecht zu informieren. Dies betreffe sowohl bei Facebook registrierte und eingeloggte als auch nichtregistrierte Personen. Die Datenerhebung und etwaige Weitergabe an Dritte bleiben den nutzenden Personen damit unbekannt.

Nach dem Gang durch die Instanzen der Verwaltungsgerichtsbarkeit legte das BVerwG den Fall dem EuGH vor. Dieser entschied letztes Jahr, dass Unternehmen, die eine eigene Fanpage betreiben, gemeinsam mit Facebook für die durch Facebook durchgeführte Datenverarbeitung gemäß Art. 26 DS-GVO verantwortlich sind (Urteil vom 05.06.2018 - Rs. C-210/16, abrufbar unter http://curia.europa.eu/juris/document/document.jsf?text=&docid=202543&pageIndex=0&doclang=de&mode=lst&dir=&occ=first&part=1&cid=15322487). Denn die Betreiber ermöglichen durch den Betrieb ihrer Fanpages Facebook den Zugriff auf die Daten der Fanpage-Besucher. Die Verarbeitung der im Rahmen der Facebook-Nutzung erhobenen Besucherdaten wird zudem nicht allein durch Facebook bestimmt. Vielmehr können die Betreiber durch eine entsprechende Parametrierung über die Zwecke und Mittel der Verarbeitung mitentscheiden.

Urteil des BVerwG

Das BVerwG hat auf Grundlage des EuGH-Urteils am 11.09.2019 entschieden, dass Datenschutzaufsichtsbehörden die Betreiber von Fanpages verpflichten können, ihre Fanpage abzuschalten, wenn die von Facebook bereitgestellte Infrastruktur schwerwiegende datenschutzrechtliche Mängel aufweist (BVerwG, Urteil vom 11.09.2019 - 6 C 15.18, Pressemitteilung mit den nachfolgenden Zitaten abrufbar unter https://www.bverwg.de/pm/2019/62).

Das BVerwG bekräftigt damit die Entscheidung des EuGH und stellt klar, dass die Datenschutzaufsichtsbehörden, so sie gegen gemeinsam Verantwortliche (Facebook und Fanpage-Betreiber) vorgehen wollen, auch die Fanpage-Betreiber allein „für die Herstellung datenschutzkonformer Zustände bei Nutzung ihrer Fanpage in die Pflicht nehmen“ können. Denn ein Vorgehen gegen Facebook sei wegen dessen fehlender „Kooperationsbereitschaft […] mit erheblichen tatsächlichen und rechtlichen Unsicherheiten verbunden“. Erweisen sich die bei Aufruf der Fanpage ablaufenden Datenverarbeitungen als rechtswidrig, stelle die Anordnung, die Fanpage ganz abzuschalten, nach Ansicht des Gerichts ein verhältnismäßiges Mittel dar, um datenschutzkonforme Zustände herzustellen. Ob die Datenverarbeitung durch Facebook jedoch im Einzelnen solche schwerwiegenden Mängel aufweist und damit rechtswidrig ist, muss nun das Oberverwaltungsgericht Schleswig erneut klären.

Konsequenzen in der Praxis

Nun bleibt abzuwarten, ob Facebook aus diesem Urteil Konsequenzen zieht. Nach dem EuGH-Urteil hatte das Unternehmen im letzten Jahr zunächst seine Hinweise für die Funktion Seiten-Insights ergänzt („Controller Addendum“, abrufbar unter https://de-de.facebook.com/legal/terms/page_controller_addendum). Diese Ergänzung genügt den Anforderungen der DS-GVO jedoch nicht (Beschluss der Datenschutzkonferenz vom 01.04.2019, abrufbar unter https://www.datenschutzkonferenz-online.de/media/dskb/20190405_positionierung_facebook_fanpages.pdf). Weitergehende Informationen über die durchgeführten Datenverarbeitungen gibt Facebook dagegen nicht preis, sodass es den Fanpage-Betreibern schlichtweg nicht möglich ist, ihrer Rechenschaftspflicht nach Art. 5 Abs. 2 DS-GVO nachzukommen und die Rechtmäßigkeit dieser Verarbeitungen nachzuweisen. Nun bleibt die Entscheidung des OVG Schleswig über die Rechtswidrigkeit der Datenverarbeitungen abzuwarten.

Das bedeutet für Sie: Der Betrieb von Fanpages stellt für Unternehmen derzeit ein besonderes Risiko dar, da ein datenschutzrechtskonformer Betrieb solcher Seiten nach Ansicht der deutschen Aufsichtsbehörden derzeit nicht möglich ist. Wenn Sie eine solche Fanpage betreiben, müssen Sie sich dessen bewusst sein und damit rechnen, von der für Sie zuständigen Datenschutzaufsichtsbehörde diesbezüglich kontaktiert zu werden. Dabei verwenden die deutschen Behörden einen einheitlich abgestimmten Fragebogen. Um vorbereitet zu sein, können Sie sich hier bereits einen Überblick verschaffen.

Rechtsanwältin Johanna Mäkert

dmp@derra-b.de

Stand: 09/2019

 

27 Aug
2019

Recht auf Löschung – Pflicht zur Löschung?

Bekommen Sie Löschanfragen, beispielsweise von (ehemaligen) Kunden, oder überlegen Sie, selbst eine solche Anfrage zu stellen?

mehr lesen

Bekommen Sie Löschanfragen, beispielsweise von (ehemaligen) Kunden, oder überlegen Sie, selbst eine solche Anfrage zu stellen? Dann kann es sinnvoll sein, sich einmal mit den grundlegenden Voraussetzungen und dem Umfang des Löschanspruchs zu beschäftigen. Denn auch wenn grundsätzlich ein solcher Anspruch existiert, heißt das nicht automatisch, dass stets sämtliche Daten gelöscht werden müssen.

Löschanspruch nach der DS-GVO

Die Datenschutz-Grundverordnung (DS-GVO) begründet in Art. 17 das Recht auf Löschung. Danach kann eine Person, deren personenbezogene Daten verarbeitet werden oder wurden, grundsätzlich von dem Verantwortlichen verlangen, dass diese Daten unverzüglich gelöscht werden. Aber Achtung: Dieser Anspruch besteht nicht ausnahmslos. Eine vollständige Löschung kann also nicht in jedem Fall begehrt werden.

Nach Art. 17 Abs. 1 DS-GVO sind personenbezogene Daten unverzüglich zu löschen, sofern einer der folgenden Gründe vorliegt:

  • Die Daten sind für den Zweck, für den sie erhoben oder sonst verarbeitet wurden, nicht mehr notwendig.
  • Die Erhebung oder sonstige Verarbeitung beruhte auf einer Einwilligung, die zwischenzeitlich widerrufen wurde und es fehlt an einer anderweitig einschlägigen Rechtsgrundlage.
  • Die Erhebung oder sonstige Verarbeitung beruhte auf Art. 6 Abs. 1 lit. e DS-GVO (Wahrnehmung einer im öffentlichen Interesse liegenden Aufgabe) oder Art. 6 Abs. 1 lit. f DS-GVO (Wahrung der berechtigten Interessen) und dagegen wurde zwischenzeitlich Widerspruch eingelegt.
  • Die Erhebung oder sonstige Verarbeitung erfolgte rechtswidrig, beispielsweise ohne Rechtsgrundlage.
  • Die Löschung ist notwendig, um eine gesetzlich begründete Verpflichtung zu erfüllen. Diese kann sich sowohl aus europäischem Recht als auch aus deutschem Recht ergeben.
  • Die Daten wurden bei der Nutzung von „Diensten der Informationsgesellschaft“ erhoben. Darunter sind Dienste im Sinne des Art. 1 Nr. 1 lit. b der Richtlinie (EU) 2015/1535 zu verstehen. Gemeint sind Dienstleistungen, die in der Regel gegen Entgelt, elektronisch im Fernabsatz und auf individuellen Abruf des Empfängers erbracht werden. Dabei muss stets ein unmittelbarer Bezug zum Internet bestehen; die Gegenleistung muss nicht zwingend in einer Geldzahlung bestehen (beispielsweise auch „Bezahlung“ mit persönlichen Daten in sozialen Netzwerken).

Keine Löschpflicht: Löschanspruch kann ausgeschlossen sein

Auch wenn einer der zuvor genannten Gründe vorliegt, kann es sein, dass personenbezogene Daten dennoch nicht gelöscht werden müssen. So nennt Art. 17 Abs. 3 DS-GVO Gründe, bei deren Vorliegen kein Löschanspruch besteht:

  • Die weitere Verarbeitung der jeweiligen Daten ist notwendig, um das Recht auf freie Meinungsäußerung auszuüben.
  • Die weitere Verarbeitung (beispielsweise die simple Speicherung) ist notwendig, um eine gesetzlich begründete Verpflichtung (z.B. aus europäischem oder deutschem Recht) zu erfüllen.
  • Die weitere Verarbeitung ist aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit notwendig (beispielsweise zum Zweck der Gesundheitsvorsorge, Arbeitsmedizin, medizinischen Diagnostik, Vorsorge und Behandlung etc.).
  • Die weitere Verarbeitung ist zu Archivzwecken, wissenschaftlichen oder historischen Forschungszwecken oder zu statistischen Zwecken notwendig und die Löschung würde die Erreichung dieser Ziele unmöglich machen.
  • Die weitere Verarbeitung ist notwendig, um Rechtsansprüche geltend zu machen, auszuüben oder zu verteidigen.

Häufigster Fall für die Ablehnung eines Löschbegehrens ist wohl regelmäßig die gesetzliche Verpflichtung des Verantwortlichen, die Daten auch weiter zu speichern, obwohl der ursprüngliche Zweck bereits erreicht wurde. Diese kann aus verschiedenen Gründen notwendig sein:

  • Zum einen bestehen beispielsweise für Geschäftsunterlagen konkrete Aufbewahrungspflichten, die die fortdauernde Speicherung für sechs bis zehn Jahre erforderlich machen (§ 147 Abgabenordnung, § 257 Handelsgesetzbuch).
  • Zum anderen ist der Verantwortliche nach Art. 5 Abs. 2 DS-GVO rechenschaftspflichtig. Das bedeutet, dass er in der Lage sein muss, die Einhaltung der grundlegenden Prinzipien der DS-GVO nachzuweisen. Das heißt, dass er auch für Datenverarbeitungen, die in der Vergangenheit liegen und ihren Zweck längst erreicht haben, nachweisen können muss, dass diese rechtmäßig durchgeführt wurden. Beruhte die Verarbeitung beispielsweise auf einer Einwilligung, müssen deren Vorliegen und Wirksamkeit weiterhin nachweisbar sein. Es empfiehlt sich daher, die Daten aus diesem Grund weiterhin zu speichern – aber nur, sofern sie jeweils zu diesem Zweck notwendig sind. Andere Daten können (und müssen sogar) gelöscht werden.

Umsetzung in der Praxis

Personen, die die Löschung der sie betreffenden personenbezogenen Daten begehren, sollten dies direkt bei dem Verantwortlichen verlangen. Dabei muss grundsätzlich keine besondere Form beachtet werden. Der Löschantrag sollte jedoch hinreichend begründet sein, d.h. Informationen zur Person des Antragstellers sowie dazu enthalten, warum die Löschung begehrt wird. Um Missbrauchsrisiken zu verringern, darf der Verantwortliche zudem Nachweise zur Überprüfung der Identität verlangen (aber Achtung bei der Anforderung von Personalausweiskopien oder -scans! Lesen Sie hierzu auch unseren Beitrag vom 27. Juni 2019.

Der Löschantrag muss dann grundsätzlich innerhalb eines Monats bearbeitet und beantwortet werden; eine Verlängerung dieser Frist ist ausnahmsweise möglich (Art. 12 Abs. 3 DS-GVO). Kommt der Verantwortliche dem Löschbegehren nicht nach, ist dies dem Antragsteller darzulegen (Art. 12 Abs. 4 DS-GVO).

Allerdings darf nicht vergessen werden, dass Verantwortliche auch ohne ein konkretes Verlangen personenbezogene Daten löschen müssen, wenn einer der oben genannten Gründe vorliegt. Werden beispielsweise gespeicherte Daten nicht mehr benötigt oder wurden diese in der Vergangenheit ohne Rechtsgrundlage verarbeitet, müssen die Daten gelöscht werden, wenn sie nicht weiterhin aus anderen Gründen gespeichert werden dürfen (oder müssen). Hier empfiehlt sich, eine Löschroutine anhand eines entsprechenden Löschkonzeptes zu entwickeln.

Das bedeutet für Sie: Wenn Sie selbst die Löschung ihrer personenbezogenen Daten begehren, sollten Sie sich bewusst machen, dass der Verantwortliche trotz Ihres Löschanspruchs nicht in jedem Fall verpflichtet ist, Ihre Daten vollumfänglich zu löschen. Den Löschantrag sollten Sie stets hinreichend begründen. Wenn Sie in Ihrem Unternehmen Löschanfragen erhalten, sollten Sie genau prüfen, ob Sie zur Löschung verpflichtet sind oder gegebenenfalls die Löschung verweigern dürfen. Löschen Sie beispielsweise sämtliche Daten der betreffenden Person, kann es sein, dass Sie unter Umständen Ihrer Rechenschaftspflicht nicht mehr nachkommen können. Eine fehlerhafte Löschung kann gleichzeitig eine „neue“ unzulässige Datenverarbeitung darstellen. Bei gespeicherten Datensätzen sollte regelmäßig geprüft werden, welche Daten davon nicht mehr benötigt werden und gelöscht werden können. Hier ist es regelmäßig empfehlenswert, ein Löschkonzept mit festen Verfahren zu etablieren.

Rechtsanwältin Johanna Mäkert, LL.M. (Bukarest)

dmp@derra-b.de

Stand: 08/2019

Bekommen Sie Löschanfragen, beispielsweise von (ehemaligen) Kunden, oder überlegen Sie, selbst eine solche Anfrage zu stellen? Dann kann es sinnvoll sein, sich einmal mit den grundlegenden Voraussetzungen und dem Umfang des Löschanspruchs zu beschäftigen. Denn auch wenn grundsätzlich ein solcher Anspruch existiert, heißt das nicht automatisch, dass stets sämtliche Daten gelöscht werden müssen.

Löschanspruch nach der DS-GVO

Die Datenschutz-Grundverordnung (DS-GVO) begründet in Art. 17 das Recht auf Löschung. Danach kann eine Person, deren personenbezogene Daten verarbeitet werden oder wurden, grundsätzlich von dem Verantwortlichen verlangen, dass diese Daten unverzüglich gelöscht werden. Aber Achtung: Dieser Anspruch besteht nicht ausnahmslos. Eine vollständige Löschung kann also nicht in jedem Fall begehrt werden.

Nach Art. 17 Abs. 1 DS-GVO sind personenbezogene Daten unverzüglich zu löschen, sofern einer der folgenden Gründe vorliegt:

  • Die Daten sind für den Zweck, für den sie erhoben oder sonst verarbeitet wurden, nicht mehr notwendig.
  • Die Erhebung oder sonstige Verarbeitung beruhte auf einer Einwilligung, die zwischenzeitlich widerrufen wurde und es fehlt an einer anderweitig einschlägigen Rechtsgrundlage.
  • Die Erhebung oder sonstige Verarbeitung beruhte auf Art. 6 Abs. 1 lit. e DS-GVO (Wahrnehmung einer im öffentlichen Interesse liegenden Aufgabe) oder Art. 6 Abs. 1 lit. f DS-GVO (Wahrung der berechtigten Interessen) und dagegen wurde zwischenzeitlich Widerspruch eingelegt.
  • Die Erhebung oder sonstige Verarbeitung erfolgte rechtswidrig, beispielsweise ohne Rechtsgrundlage.
  • Die Löschung ist notwendig, um eine gesetzlich begründete Verpflichtung zu erfüllen. Diese kann sich sowohl aus europäischem Recht als auch aus deutschem Recht ergeben.
  • Die Daten wurden bei der Nutzung von „Diensten der Informationsgesellschaft“ erhoben. Darunter sind Dienste im Sinne des Art. 1 Nr. 1 lit. b der Richtlinie (EU) 2015/1535 zu verstehen. Gemeint sind Dienstleistungen, die in der Regel gegen Entgelt, elektronisch im Fernabsatz und auf individuellen Abruf des Empfängers erbracht werden. Dabei muss stets ein unmittelbarer Bezug zum Internet bestehen; die Gegenleistung muss nicht zwingend in einer Geldzahlung bestehen (beispielsweise auch „Bezahlung“ mit persönlichen Daten in sozialen Netzwerken).

Keine Löschpflicht: Löschanspruch kann ausgeschlossen sein

Auch wenn einer der zuvor genannten Gründe vorliegt, kann es sein, dass personenbezogene Daten dennoch nicht gelöscht werden müssen. So nennt Art. 17 Abs. 3 DS-GVO Gründe, bei deren Vorliegen kein Löschanspruch besteht:

  • Die weitere Verarbeitung der jeweiligen Daten ist notwendig, um das Recht auf freie Meinungsäußerung auszuüben.
  • Die weitere Verarbeitung (beispielsweise die simple Speicherung) ist notwendig, um eine gesetzlich begründete Verpflichtung (z.B. aus europäischem oder deutschem Recht) zu erfüllen.
  • Die weitere Verarbeitung ist aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit notwendig (beispielsweise zum Zweck der Gesundheitsvorsorge, Arbeitsmedizin, medizinischen Diagnostik, Vorsorge und Behandlung etc.).
  • Die weitere Verarbeitung ist zu Archivzwecken, wissenschaftlichen oder historischen Forschungszwecken oder zu statistischen Zwecken notwendig und die Löschung würde die Erreichung dieser Ziele unmöglich machen.
  • Die weitere Verarbeitung ist notwendig, um Rechtsansprüche geltend zu machen, auszuüben oder zu verteidigen.

Häufigster Fall für die Ablehnung eines Löschbegehrens ist wohl regelmäßig die gesetzliche Verpflichtung des Verantwortlichen, die Daten auch weiter zu speichern, obwohl der ursprüngliche Zweck bereits erreicht wurde. Diese kann aus verschiedenen Gründen notwendig sein:

  • Zum einen bestehen beispielsweise für Geschäftsunterlagen konkrete Aufbewahrungspflichten, die die fortdauernde Speicherung für sechs bis zehn Jahre erforderlich machen (§ 147 Abgabenordnung, § 257 Handelsgesetzbuch).
  • Zum anderen ist der Verantwortliche nach Art. 5 Abs. 2 DS-GVO rechenschaftspflichtig. Das bedeutet, dass er in der Lage sein muss, die Einhaltung der grundlegenden Prinzipien der DS-GVO nachzuweisen. Das heißt, dass er auch für Datenverarbeitungen, die in der Vergangenheit liegen und ihren Zweck längst erreicht haben, nachweisen können muss, dass diese rechtmäßig durchgeführt wurden. Beruhte die Verarbeitung beispielsweise auf einer Einwilligung, müssen deren Vorliegen und Wirksamkeit weiterhin nachweisbar sein. Es empfiehlt sich daher, die Daten aus diesem Grund weiterhin zu speichern – aber nur, sofern sie jeweils zu diesem Zweck notwendig sind. Andere Daten können (und müssen sogar) gelöscht werden.

Umsetzung in der Praxis

Personen, die die Löschung der sie betreffenden personenbezogenen Daten begehren, sollten dies direkt bei dem Verantwortlichen verlangen. Dabei muss grundsätzlich keine besondere Form beachtet werden. Der Löschantrag sollte jedoch hinreichend begründet sein, d.h. Informationen zur Person des Antragstellers sowie dazu enthalten, warum die Löschung begehrt wird. Um Missbrauchsrisiken zu verringern, darf der Verantwortliche zudem Nachweise zur Überprüfung der Identität verlangen (aber Achtung bei der Anforderung von Personalausweiskopien oder -scans! Lesen Sie hierzu auch unseren Beitrag vom 27. Juni 2019.

Der Löschantrag muss dann grundsätzlich innerhalb eines Monats bearbeitet und beantwortet werden; eine Verlängerung dieser Frist ist ausnahmsweise möglich (Art. 12 Abs. 3 DS-GVO). Kommt der Verantwortliche dem Löschbegehren nicht nach, ist dies dem Antragsteller darzulegen (Art. 12 Abs. 4 DS-GVO).

Allerdings darf nicht vergessen werden, dass Verantwortliche auch ohne ein konkretes Verlangen personenbezogene Daten löschen müssen, wenn einer der oben genannten Gründe vorliegt. Werden beispielsweise gespeicherte Daten nicht mehr benötigt oder wurden diese in der Vergangenheit ohne Rechtsgrundlage verarbeitet, müssen die Daten gelöscht werden, wenn sie nicht weiterhin aus anderen Gründen gespeichert werden dürfen (oder müssen). Hier empfiehlt sich, eine Löschroutine anhand eines entsprechenden Löschkonzeptes zu entwickeln.

Das bedeutet für Sie: Wenn Sie selbst die Löschung ihrer personenbezogenen Daten begehren, sollten Sie sich bewusst machen, dass der Verantwortliche trotz Ihres Löschanspruchs nicht in jedem Fall verpflichtet ist, Ihre Daten vollumfänglich zu löschen. Den Löschantrag sollten Sie stets hinreichend begründen. Wenn Sie in Ihrem Unternehmen Löschanfragen erhalten, sollten Sie genau prüfen, ob Sie zur Löschung verpflichtet sind oder gegebenenfalls die Löschung verweigern dürfen. Löschen Sie beispielsweise sämtliche Daten der betreffenden Person, kann es sein, dass Sie unter Umständen Ihrer Rechenschaftspflicht nicht mehr nachkommen können. Eine fehlerhafte Löschung kann gleichzeitig eine „neue“ unzulässige Datenverarbeitung darstellen. Bei gespeicherten Datensätzen sollte regelmäßig geprüft werden, welche Daten davon nicht mehr benötigt werden und gelöscht werden können. Hier ist es regelmäßig empfehlenswert, ein Löschkonzept mit festen Verfahren zu etablieren.

Rechtsanwältin Johanna Mäkert, LL.M. (Bukarest)

dmp@derra-b.de

Stand: 08/2019

23 Aug
2019

dmp-Gutachten für den Berufsverband der Datenschutzbeauftragten (BvD) e.V

Rolle des Datenschutzbeauftragten nach der DS-GVO

Die DS-GVO hat erhebliche Auswirkungen auf die Rolle des Datenschutzbeauftragen in Unternehmen.

mehr lesen

Die DS-GVO hat erhebliche Auswirkungen auf die Rolle des Datenschutzbeauftragen in Unternehmen. Um die durch die Verordnung hervorgerufenen Fragen und Probleme insbesondere in Bezug auf straf- und zivilrechtliche Haftungsrisiken sowie die arbeitsrechtliche Stellung zu beleuchten und zu beantworten, hat der Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) e.V. die Rechtsanwaltskanzlei Derra, Meyer & Partner unter Federführung von Herrn Prof. Dr. Meyer mit der Erstellung eines Gutachtens beauftragt.

Richtungsweisende Aussage zum Datenschutzbeauftragten

Unsere Spezialisten aus den Bereichen Arbeits-, Straf-, und Haftungsrecht –namentlich Rechtsanwältin Schrader-Kurz und Rechtsanwalt Eßer (beide Arbeitsrecht), Rechtsanwalt Menz (Strafrecht) und Rechtsanwalt Steffen (Zivilrecht) - haben auf Grundlage eines vom BvD entwickelten Fragenkatalogs die wesentlichen Aspekte herausgestellt und dazu die richtungsweisenden Aussagen erläutert und geklärt. Die Entstehung des Gutachtens https://www.bvdnet.de/wp-content/uploads/2017/11/DMP-BvD-e.V.-gutachterliche-Stellungnahme-31.07.2017.pdf wurde durch den BvD-Vorstand eng begleitet, so dass Fragen zur betrieblichen Praxis schnell geklärt werden konnten. Die sich bei der Bearbeitung ergebenden neuen Fragen und Aspekte werden durch den BvD weiterverfolgt und diskutiert werden.

Veröffentlichung des Gutachtens

Das durch Derra, Meyer & Partner erstellte Gutachten, verfügbar auch in englischer Sprache, wurde zwischenzeitlich auf den Seiten des BvD veröffentlicht und steht dort zum Download zur Verfügung.

https://www.bvdnet.de/themen/gdpr/

Stand: 08/2019

Die DS-GVO hat erhebliche Auswirkungen auf die Rolle des Datenschutzbeauftragen in Unternehmen. Um die durch die Verordnung hervorgerufenen Fragen und Probleme insbesondere in Bezug auf straf- und zivilrechtliche Haftungsrisiken sowie die arbeitsrechtliche Stellung zu beleuchten und zu beantworten, hat der Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) e.V. die Rechtsanwaltskanzlei Derra, Meyer & Partner unter Federführung von Herrn Prof. Dr. Meyer mit der Erstellung eines Gutachtens beauftragt.

Richtungsweisende Aussage zum Datenschutzbeauftragten

Unsere Spezialisten aus den Bereichen Arbeits-, Straf-, und Haftungsrecht –namentlich Rechtsanwältin Schrader-Kurz und Rechtsanwalt Eßer (beide Arbeitsrecht), Rechtsanwalt Menz (Strafrecht) und Rechtsanwalt Steffen (Zivilrecht) - haben auf Grundlage eines vom BvD entwickelten Fragenkatalogs die wesentlichen Aspekte herausgestellt und dazu die richtungsweisenden Aussagen erläutert und geklärt. Die Entstehung des Gutachtens https://www.bvdnet.de/wp-content/uploads/2017/11/DMP-BvD-e.V.-gutachterliche-Stellungnahme-31.07.2017.pdf wurde durch den BvD-Vorstand eng begleitet, so dass Fragen zur betrieblichen Praxis schnell geklärt werden konnten. Die sich bei der Bearbeitung ergebenden neuen Fragen und Aspekte werden durch den BvD weiterverfolgt und diskutiert werden.

Veröffentlichung des Gutachtens

Das durch Derra, Meyer & Partner erstellte Gutachten, verfügbar auch in englischer Sprache, wurde zwischenzeitlich auf den Seiten des BvD veröffentlicht und steht dort zum Download zur Verfügung.

https://www.bvdnet.de/themen/gdpr/

Stand: 08/2019

16 Aug
2019

EDSA-Leitlinien: Videoüberwachung unter der DS-GVO

Fertigen Sie in Ihrem Unternehmen, beispielsweise auf Baustellen oder in Ladengeschäften, Videoaufnahmen mittels Überwachungskameras an?

mehr lesen

Fertigen Sie in Ihrem Unternehmen, beispielsweise auf Baustellen oder in Ladengeschäften, Videoaufnahmen mittels Überwachungskameras an? Dann sollten Sie sich vorher mit den datenschutzrechtlichen Voraussetzungen beschäftigen: Wann ist die Anfertigung und Speicherung von Videoaufnahmen nach der Datenschutz-Grundverordnung (DS-GVO) zulässig? Welche Informationspflichten bestehen und wie ist diesen nachzukommen? Wie ist mit Betroffenenrechten umzugehen? Dazu hat der Europäische Datenschutzausschuss (EDSA) nun eine Broschüre mit Leitlinien veröffentlicht.

EDSA – Europäischer Datenschutzausschuss

Der Europäische Datenschutzausschuss (EDSA) ist eine unabhängige europäische Einrichtung mit Sitz in Brüssel. Der EDSA besteht aus dem Zusammenschluss der nationalen Datenschutzbehörden und Aufsichtsbehörden mit dem Europäischen Datenschutzbeauftragten. Er hat die vormalige Art.-29-Datenschutzgruppe abgelöst, die sich bis zum 25. Mai 2018 mit der Auslegung der DS-GVO beschäftigt hat. Seine Aufgabe ist es, für eine einheitliche Anwendung der DS-GVO in den Mitgliedstaaten der Europäischen Union (EU) zu sorgen. Dazu gibt er u.a. allgemeine Leitlinien heraus, in denen Begriffe und Regelungen der DS-GVO einheitlich ausgelegt werden. Diese können als Anleitung zur einheitlichen Umsetzung der DS-GVO verstanden werden.

Der EDSA hat nun Leitlinien für die Verarbeitung personenbezogener Daten im Rahmen der Videoüberwachung herausgegeben („Guidelines 3/2019 on processing of personal data through video devices“, beschlossen am 10.07.2019, zur Zeit nur auf Englisch abrufbar unter https://edpb.europa.eu/sites/edpb/files/consultation/edpb_guidelines_201903_videosurveillance.pdf). Darin gibt er Hinweise zu verschiedenen Aspekten, die Verantwortliche für einen möglichst rechtssicheren Betrieb von Videoüberwachungsanlagen beachten sollten.

Zulässige Videoüberwachung – Rechtmäßigkeit

Wie jede andere Verarbeitung personenbezogener Daten im Anwendungsbereich der DS-GVO muss auch die Datenverarbeitung im Rahmen einer Videoüberwachung den Voraussetzungen der DS-GVO entsprechen. Hier weist der EDSA darauf hin, dass bloße Fake-Kameras bzw. Kameraattrappen, die keine Aufnahmen anfertigen, nicht der DS-GVO unterfallen. Denn hier werden bereits gar keine Daten erhoben und verarbeitet. Aber Achtung: In Deutschland kann darüber hinaus bereits das Anbringen einer bloßen Kameraattrappe das Allgemeine Persönlichkeitsrecht verletzen und somit einen Beseitigungsanspruch begründen (so kürzlich erst LG Essen, Urteil vom 30. Januar 2019 – 12 O 62/18)!

Datenverarbeitungen im Anwendungsbereich der DS-GVO müssen zunächst die Voraussetzungen des Art. 5 DS-GVO erfüllen. So muss die Videoüberwachung in Hinblick auf jede Kamera u.a. einem zuvor festgelegten Zweck dienen und auf einer Rechtsgrundlage beruhen. Laut EDSA kommen dafür regelmäßig berechtigte Interessen nach Art. 6 Abs. 1 lit. f DS-GVO in Betracht, während auf eine Einwilligung nur in Ausnahmefällen zurückgegriffen werden sollte. Hier ist jedoch besondere Vorsicht geboten! Um die Videoüberwachung auf Art. 6 Abs. 1 lit. f DS-GVO stützen zu können, muss im Rahmen einer umfassenden rechtlichen Prüfung eine Interessenabwägung durchgeführt werden. Auch hierfür hat der EDSA detaillierte Hinweise gegeben. Er weist insbesondere darauf hin, dass sich hierbei eine pauschale Bewertung verbietet, sondern eine solche Entscheidung nur jeweils abhängig vom konkreten Einzelfall getroffen werden kann. Bei dieser Prüfung berücksichtigt werden muss auch eine etwaige Weitergabe der Aufnahmen an Dritte (beispielsweise an Rechtsanwälte oder Versicherungen im Falle einer aufgenommenen Beschädigung). Auch die Speicherdauer der Aufnahmen sollte kritisch geprüft werden.

Sind besonders sensible Daten betroffen (z.B. zur Gesundheit), muss dafür eine spezielle Rechtsgrundlage gegeben sein (Art. 9 DS-GVO). Dasselbe gilt – neben Art. 6 DS-GVO – für Übertragungen der Daten in Drittländer (außerhalb der EU und des EWR), beispielsweise in Clouds auf Server in den USA (Art. 44 ff. DS-GVO).

Darüber hinaus sollte insbesondere auch dem Grundsatz der Datenminimierung besondere Aufmerksamkeit geschenkt werden. Die Einhaltung sämtlicher Anforderungen sollte zudem schriftlich dokumentiert werden.

Informationspflichten und Betroffenenrechte

Personen, die von den Videoaufnahmen betroffen sind, müssen stets proaktiv auf die Videoüberwachung hingewiesen werden (Art. 13, 14 DS-GVO). Dazu bietet sich nach Ansicht des EDSA regelmäßig die Information über einen mehrstufigen Ansatz an (sogenannte „layers“). Hier können auf der ersten Stufe, beispielsweise mittels eines Warnschildes mit entsprechenden Symbolen vor Ort, die wichtigsten Informationen mitgeteilt werden – u.a. zum Verantwortlichen und Zweck der Aufnahmen, zur Speicherdauer und Weitergabe an Dritte. Auf der zweiten Stufe können dann die übrigen Pflichtinformationen nach der DS-GVO mitgeteilt werden, beispielsweise mittels einer vor Ort ausliegenden Broschüre oder auf einer Internetseite, auf die wiederum mittels eines QR-Codes verwiesen wird. Der EDSA hat in den oben genannten Leitlinien ein Muster für einen entsprechenden Hinweis veröffentlicht.

Außerdem sind die Betroffenenrechte nach Art. 15 ff. DS-GVO sicherzustellen. Gerade im Falle der Videoüberwachung sollten dabei gewisse Besonderheiten beachtet werden. Verlangen die Betroffenen beispielsweise eine Kopie der Aufnahme, muss geprüft werden, ob darauf auch andere Personen zu sehen sind bzw. identifiziert werden können. Wird die Löschung der Aufnahme verlangt, kann dies nach Ansicht des EDSA bereits erreicht werden, indem die Aufnahme irreversibel unscharf bzw. unkenntlich gemacht wird (sogenanntes „Blurring“), sodass die betroffene Person nicht mehr identifiziert werden kann.

Technische und organisatorische Maßnahmen

Nicht zuletzt muss der Verantwortliche geeignete technische und organisatorische Maßnahmen der Datensicherheit treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten (Art. 32 Abs. 1 DS-GVO). Das heißt, die Maßnahmen müssen sich daran orientieren, welche Risiken für die Betroffenen durch die Videoüberwachung begründet werden. Solche Risiken können beispielsweise die zufällige oder unrechtmäßige Vernichtung oder den Verlust der Aufnahmen sowie den unbefugten Zutritt oder eine solche Weitergabe an Dritte betreffen. Gegen solche Gefahren sind in organisatorischer und technischer Hinsicht geeignete Sicherheitsvorkehrungen zu treffen – beispielsweise durch eine Zutritts- und Zugriffskontrolle, Schulungsmaßnahmen, ein Störfallmanagement oder Verfahren zur Wiederherstellung gelöschter Aufnahmen sowie Verschlüsselung der Aufnahmen oder Schutz vor Angriffen auf die Hard- oder Software.

Zudem sollte geprüft werden, ob eine Datenschutz-Folgenabschätzung nach Art. 35 DS-GVO durchzuführen ist. Einzelheiten hierzu können einem gesonderten Papier mit Leitlinien der vormaligen Art.-29-Datenschutzgruppe entnommen werden („Guidelines on Data Protection Impact Assessment (DPIA) and determining whether processing is „likely to result in a high risk” for the purpose of Regulation 2018/679”, abrufbar unter https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=611236).

Das bedeutet für Sie: Wenn Sie bereits Videoüberwachung durchführen oder dies vorhaben, setzen Sie sich (ggf. nochmals) mit den Anforderungen der DS-GVO auseinander. Die Maßnahmen zur Videoüberwachung müssen in jedem Fall rechtmäßig sein und auch die übrigen Voraussetzungen nach Art. 5 DS-GVO müssen in Bezug auf jede verwendete Kamera vorliegen. Ebenso ist die notwendige Dokumentation nach Art. 5 Abs. 2 DS-GVO sicherzustellen. Des Weiteren müssen Betroffene gemäß Art. 13, 14 DS-GVO informiert werden. Zur Gewährleistung der Betroffenenrechte sollte außerdem bereits im Voraus ein entsprechendes Verfahren gestaltet werden.

Rechtsanwältin Johanna Mäkert, LL.M. (Bukarest)

dmp@derra-b.de

Stand: 08/2019

Fertigen Sie in Ihrem Unternehmen, beispielsweise auf Baustellen oder in Ladengeschäften, Videoaufnahmen mittels Überwachungskameras an? Dann sollten Sie sich vorher mit den datenschutzrechtlichen Voraussetzungen beschäftigen: Wann ist die Anfertigung und Speicherung von Videoaufnahmen nach der Datenschutz-Grundverordnung (DS-GVO) zulässig? Welche Informationspflichten bestehen und wie ist diesen nachzukommen? Wie ist mit Betroffenenrechten umzugehen? Dazu hat der Europäische Datenschutzausschuss (EDSA) nun eine Broschüre mit Leitlinien veröffentlicht.

EDSA – Europäischer Datenschutzausschuss

Der Europäische Datenschutzausschuss (EDSA) ist eine unabhängige europäische Einrichtung mit Sitz in Brüssel. Der EDSA besteht aus dem Zusammenschluss der nationalen Datenschutzbehörden und Aufsichtsbehörden mit dem Europäischen Datenschutzbeauftragten. Er hat die vormalige Art.-29-Datenschutzgruppe abgelöst, die sich bis zum 25. Mai 2018 mit der Auslegung der DS-GVO beschäftigt hat. Seine Aufgabe ist es, für eine einheitliche Anwendung der DS-GVO in den Mitgliedstaaten der Europäischen Union (EU) zu sorgen. Dazu gibt er u.a. allgemeine Leitlinien heraus, in denen Begriffe und Regelungen der DS-GVO einheitlich ausgelegt werden. Diese können als Anleitung zur einheitlichen Umsetzung der DS-GVO verstanden werden.

Der EDSA hat nun Leitlinien für die Verarbeitung personenbezogener Daten im Rahmen der Videoüberwachung herausgegeben („Guidelines 3/2019 on processing of personal data through video devices“, beschlossen am 10.07.2019, zur Zeit nur auf Englisch abrufbar unter https://edpb.europa.eu/sites/edpb/files/consultation/edpb_guidelines_201903_videosurveillance.pdf). Darin gibt er Hinweise zu verschiedenen Aspekten, die Verantwortliche für einen möglichst rechtssicheren Betrieb von Videoüberwachungsanlagen beachten sollten.

Zulässige Videoüberwachung – Rechtmäßigkeit

Wie jede andere Verarbeitung personenbezogener Daten im Anwendungsbereich der DS-GVO muss auch die Datenverarbeitung im Rahmen einer Videoüberwachung den Voraussetzungen der DS-GVO entsprechen. Hier weist der EDSA darauf hin, dass bloße Fake-Kameras bzw. Kameraattrappen, die keine Aufnahmen anfertigen, nicht der DS-GVO unterfallen. Denn hier werden bereits gar keine Daten erhoben und verarbeitet. Aber Achtung: In Deutschland kann darüber hinaus bereits das Anbringen einer bloßen Kameraattrappe das Allgemeine Persönlichkeitsrecht verletzen und somit einen Beseitigungsanspruch begründen (so kürzlich erst LG Essen, Urteil vom 30. Januar 2019 – 12 O 62/18)!

Datenverarbeitungen im Anwendungsbereich der DS-GVO müssen zunächst die Voraussetzungen des Art. 5 DS-GVO erfüllen. So muss die Videoüberwachung in Hinblick auf jede Kamera u.a. einem zuvor festgelegten Zweck dienen und auf einer Rechtsgrundlage beruhen. Laut EDSA kommen dafür regelmäßig berechtigte Interessen nach Art. 6 Abs. 1 lit. f DS-GVO in Betracht, während auf eine Einwilligung nur in Ausnahmefällen zurückgegriffen werden sollte. Hier ist jedoch besondere Vorsicht geboten! Um die Videoüberwachung auf Art. 6 Abs. 1 lit. f DS-GVO stützen zu können, muss im Rahmen einer umfassenden rechtlichen Prüfung eine Interessenabwägung durchgeführt werden. Auch hierfür hat der EDSA detaillierte Hinweise gegeben. Er weist insbesondere darauf hin, dass sich hierbei eine pauschale Bewertung verbietet, sondern eine solche Entscheidung nur jeweils abhängig vom konkreten Einzelfall getroffen werden kann. Bei dieser Prüfung berücksichtigt werden muss auch eine etwaige Weitergabe der Aufnahmen an Dritte (beispielsweise an Rechtsanwälte oder Versicherungen im Falle einer aufgenommenen Beschädigung). Auch die Speicherdauer der Aufnahmen sollte kritisch geprüft werden.

Sind besonders sensible Daten betroffen (z.B. zur Gesundheit), muss dafür eine spezielle Rechtsgrundlage gegeben sein (Art. 9 DS-GVO). Dasselbe gilt – neben Art. 6 DS-GVO – für Übertragungen der Daten in Drittländer (außerhalb der EU und des EWR), beispielsweise in Clouds auf Server in den USA (Art. 44 ff. DS-GVO).

Darüber hinaus sollte insbesondere auch dem Grundsatz der Datenminimierung besondere Aufmerksamkeit geschenkt werden. Die Einhaltung sämtlicher Anforderungen sollte zudem schriftlich dokumentiert werden.

Informationspflichten und Betroffenenrechte

Personen, die von den Videoaufnahmen betroffen sind, müssen stets proaktiv auf die Videoüberwachung hingewiesen werden (Art. 13, 14 DS-GVO). Dazu bietet sich nach Ansicht des EDSA regelmäßig die Information über einen mehrstufigen Ansatz an (sogenannte „layers“). Hier können auf der ersten Stufe, beispielsweise mittels eines Warnschildes mit entsprechenden Symbolen vor Ort, die wichtigsten Informationen mitgeteilt werden – u.a. zum Verantwortlichen und Zweck der Aufnahmen, zur Speicherdauer und Weitergabe an Dritte. Auf der zweiten Stufe können dann die übrigen Pflichtinformationen nach der DS-GVO mitgeteilt werden, beispielsweise mittels einer vor Ort ausliegenden Broschüre oder auf einer Internetseite, auf die wiederum mittels eines QR-Codes verwiesen wird. Der EDSA hat in den oben genannten Leitlinien ein Muster für einen entsprechenden Hinweis veröffentlicht.

Außerdem sind die Betroffenenrechte nach Art. 15 ff. DS-GVO sicherzustellen. Gerade im Falle der Videoüberwachung sollten dabei gewisse Besonderheiten beachtet werden. Verlangen die Betroffenen beispielsweise eine Kopie der Aufnahme, muss geprüft werden, ob darauf auch andere Personen zu sehen sind bzw. identifiziert werden können. Wird die Löschung der Aufnahme verlangt, kann dies nach Ansicht des EDSA bereits erreicht werden, indem die Aufnahme irreversibel unscharf bzw. unkenntlich gemacht wird (sogenanntes „Blurring“), sodass die betroffene Person nicht mehr identifiziert werden kann.

Technische und organisatorische Maßnahmen

Nicht zuletzt muss der Verantwortliche geeignete technische und organisatorische Maßnahmen der Datensicherheit treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten (Art. 32 Abs. 1 DS-GVO). Das heißt, die Maßnahmen müssen sich daran orientieren, welche Risiken für die Betroffenen durch die Videoüberwachung begründet werden. Solche Risiken können beispielsweise die zufällige oder unrechtmäßige Vernichtung oder den Verlust der Aufnahmen sowie den unbefugten Zutritt oder eine solche Weitergabe an Dritte betreffen. Gegen solche Gefahren sind in organisatorischer und technischer Hinsicht geeignete Sicherheitsvorkehrungen zu treffen – beispielsweise durch eine Zutritts- und Zugriffskontrolle, Schulungsmaßnahmen, ein Störfallmanagement oder Verfahren zur Wiederherstellung gelöschter Aufnahmen sowie Verschlüsselung der Aufnahmen oder Schutz vor Angriffen auf die Hard- oder Software.

Zudem sollte geprüft werden, ob eine Datenschutz-Folgenabschätzung nach Art. 35 DS-GVO durchzuführen ist. Einzelheiten hierzu können einem gesonderten Papier mit Leitlinien der vormaligen Art.-29-Datenschutzgruppe entnommen werden („Guidelines on Data Protection Impact Assessment (DPIA) and determining whether processing is „likely to result in a high risk” for the purpose of Regulation 2018/679”, abrufbar unter https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=611236).

Das bedeutet für Sie: Wenn Sie bereits Videoüberwachung durchführen oder dies vorhaben, setzen Sie sich (ggf. nochmals) mit den Anforderungen der DS-GVO auseinander. Die Maßnahmen zur Videoüberwachung müssen in jedem Fall rechtmäßig sein und auch die übrigen Voraussetzungen nach Art. 5 DS-GVO müssen in Bezug auf jede verwendete Kamera vorliegen. Ebenso ist die notwendige Dokumentation nach Art. 5 Abs. 2 DS-GVO sicherzustellen. Des Weiteren müssen Betroffene gemäß Art. 13, 14 DS-GVO informiert werden. Zur Gewährleistung der Betroffenenrechte sollte außerdem bereits im Voraus ein entsprechendes Verfahren gestaltet werden.

Rechtsanwältin Johanna Mäkert, LL.M. (Bukarest)

dmp@derra-b.de

Stand: 08/2019

08 Aug
2019

Umfang des Auskunftsanspruchs nach Art. 15 DS-GVO

Wie bereits das Bundesdatenschutzgesetz in der Fassung bis zum 25.05.2018 sieht auch die DS-GVO in Art. 15 Abs. 1 DS-GVO das Recht für jeden Betroffenen vor ...

mehr lesen

Wie bereits das Bundesdatenschutzgesetz in der Fassung bis zum 25.05.2018 sieht auch die DS-GVO in Art. 15 Abs. 1 DS-GVO das Recht für jeden Betroffenen vor, von einem Dritten Auskunft darüber zu verlangen, ob und welche personenbezogenen Daten dieser von einem selbst gespeichert hat. In Bezug auf die Anforderungen und den Inhalt der Auskunft gehen die Bestimmungen der DS-GVO jedoch über die vorher geltenden Bestimmungen des BDSG-alt hinaus.

Umfang der Auskunft

Gemäß Art. 15 Abs. 1 DS-GVO kann der Anfragende als betroffene Person zunächst eine Bestätigung darüber verlangen, ob durch den Verantwortlichen personenbezogene Daten des Anfragenden verarbeitet werden. Bei der Auskunftserteilung ist dabei zu beachten, dass auch eine Negativauskunft zu erteilen ist, wenn der Verantwortliche entweder keine Daten zu dieser Person verarbeitet oder personenbezogene Daten unumkehrbar anonymisiert hat.

Zudem kann die betroffene Person auch ganz konkrete Auskunft darüber verlangen, welche personenbezogenen Daten im Einzelnen vom Verantwortlichen verarbeitet werden.

Teilurteil des Landgerichts Köln vom 18.03.2019

Das Landgericht Köln hatte darüber zu befinden, in welchem Umfang durch den Verantwortlichen tatsächlich Auskunft zu erteilen ist. Die Parteien stritten darüber, ob die Beklagte in ausreichendem Maße Auskunft über die bei ihr von der Klägerin gespeicherten personenbezogenen Daten erteilt hat. Die Klägerin vertrat dabei die Rechtsauffassung, dass die Beklagte verpflichtet sei, sämtliche gespeicherte Informationen im Rahmen der Auskunftserteilung herauszugeben habe.

Mit Teilurteil vom 18.03.2019, Aktenzeichen 26 O 25/18 entschied das Landgericht Köln, dass das Auskunftsrecht des Art. 15 Abs. 1 DS-GVO jegliche Merkmale umfasst, die die Identifizierbarkeit einer Person ermöglichen. Davon umfasst sind also neben Namen, Anschrift, Telefonnummer, E-Mail-Adresse auch Gesundheitsdaten, Kontoverbindung und Ähnliches. Auch ärztliche Unterlagen, Gutachten oder sonstige vergleichbare Mitteilungen anderer Quellen stellen ebenfalls „personenbezogene Daten“ dar (Erwägungsgrund 63 zur DS-GVO).

Der Auskunftsanspruch erstreckt sich nach zutreffender Rechtsauffassung des Gerichts aber nicht auf sämtliche interne Vorgänge der Beklagten, wie zum Beispiel verfasste Vermerke oder rechtliche Bewertungen und Analysen. Zur Auskunftserteilung gehört ebenfalls nicht, dass die betreffende Person sämtlichen gewechselten Schriftverkehr, der dem Betroffenen bereits bekannt ist, erneut ausgedruckt und übersendet erhält. Der Anspruch aus Art. 15DS-GVO dient nicht der vereinfachten Buchführung des Betroffenen, sondern soll sicherstellen, dass der Betroffene den Umfang und den Inhalt der gespeicherten personenbezogenen Daten beurteilen kann. Folgerichtig bestimmt Art. 15 Abs. 3 DS-GVO, dass der Betroffene eine Kopie (lediglich) der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, erhält. Die Übersendung weiterer Unterlagen ist dagegen nicht vorgesehen und kann daher vom Betroffenen auch nicht verlangt werden.

Weitere Informationspflichten

Zu beachten ist, dass neben der Auskunft über die personenbezogenen Daten selbst vom Verantwortlichen noch weitere Informationen im Rahmen einer vollständigen Auskunft der betroffenen Person mitzuteilen sind.

Nach Art. 15 Abs. 1 DS-GVO sind folgende Informationen ebenfalls mitzuteilen:

  • Verarbeitungszwecke,
  • Kategorien personenbezogener Daten, die verarbeitet werden,
  • Empfänger bzw. Kategorien von Empfängern, die diese Daten bereits erhalten haben oder künftig noch erhalten werden,
  • geplante Speicherdauer falls möglich, andernfalls die Kriterien für die Festlegung der Speicherdauer,
  • Bestehen eines Rechts auf Berichtigung oder Löschung der sie betreffenden personenbezogenen Daten oder auf Einschränkung der Verarbeitung durch den Verantwortlichen,
  • Bestehen eines Widerspruchsrecht gegen diese Verarbeitung nach Art. 21 DS-GVO,
  • Bestehen eines Beschwerderechts für die betroffene Person bei der Aufsichtsbehörde,
  • Herkunft der Daten, soweit diese nicht bei der betroffenen Person selbst erhoben wurden, und
  • das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling mit aussagekräftigen Informationen über die dabei involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen solcher Verfahren.

Im Falle der Datenübermittlung in Drittländer ist über die insoweit gegebenen Garantien gemäß Art. 46 DS-GVO zu informieren (z. B. vereinbarte Standard-Datenschutzklauseln, verbindliche interne Datenschutzvorschriften, d. h. BCR). Keine Drittländer sind die EU-Mitgliedsstaaten und die Vertragsstaaten des EWR.

Es ist daher darauf zu achten, dass der betroffenen Person eine umfassende und vollständige Auskunft erteilt wird, die neben den gespeicherten und verarbeiteten personenbezogenen Daten in jedem Fall auch die weiteren Informationen enthalten muss. Dabei hat die Auskunft gemäß Art. 12 Abs. 1 GS-GVO leicht verständlich in klaren und einfachen Worten zu erfolgen.

Rechtsanwältin Kathleen Brauner

dmp@derra-dd.de

Stand: 08/2019

 

Wie bereits das Bundesdatenschutzgesetz in der Fassung bis zum 25.05.2018 sieht auch die DS-GVO in Art. 15 Abs. 1 DS-GVO das Recht für jeden Betroffenen vor, von einem Dritten Auskunft darüber zu verlangen, ob und welche personenbezogenen Daten dieser von einem selbst gespeichert hat. In Bezug auf die Anforderungen und den Inhalt der Auskunft gehen die Bestimmungen der DS-GVO jedoch über die vorher geltenden Bestimmungen des BDSG-alt hinaus.

Umfang der Auskunft

Gemäß Art. 15 Abs. 1 DS-GVO kann der Anfragende als betroffene Person zunächst eine Bestätigung darüber verlangen, ob durch den Verantwortlichen personenbezogene Daten des Anfragenden verarbeitet werden. Bei der Auskunftserteilung ist dabei zu beachten, dass auch eine Negativauskunft zu erteilen ist, wenn der Verantwortliche entweder keine Daten zu dieser Person verarbeitet oder personenbezogene Daten unumkehrbar anonymisiert hat.

Zudem kann die betroffene Person auch ganz konkrete Auskunft darüber verlangen, welche personenbezogenen Daten im Einzelnen vom Verantwortlichen verarbeitet werden.

Teilurteil des Landgerichts Köln vom 18.03.2019

Das Landgericht Köln hatte darüber zu befinden, in welchem Umfang durch den Verantwortlichen tatsächlich Auskunft zu erteilen ist. Die Parteien stritten darüber, ob die Beklagte in ausreichendem Maße Auskunft über die bei ihr von der Klägerin gespeicherten personenbezogenen Daten erteilt hat. Die Klägerin vertrat dabei die Rechtsauffassung, dass die Beklagte verpflichtet sei, sämtliche gespeicherte Informationen im Rahmen der Auskunftserteilung herauszugeben habe.

Mit Teilurteil vom 18.03.2019, Aktenzeichen 26 O 25/18 entschied das Landgericht Köln, dass das Auskunftsrecht des Art. 15 Abs. 1 DS-GVO jegliche Merkmale umfasst, die die Identifizierbarkeit einer Person ermöglichen. Davon umfasst sind also neben Namen, Anschrift, Telefonnummer, E-Mail-Adresse auch Gesundheitsdaten, Kontoverbindung und Ähnliches. Auch ärztliche Unterlagen, Gutachten oder sonstige vergleichbare Mitteilungen anderer Quellen stellen ebenfalls „personenbezogene Daten“ dar (Erwägungsgrund 63 zur DS-GVO).

Der Auskunftsanspruch erstreckt sich nach zutreffender Rechtsauffassung des Gerichts aber nicht auf sämtliche interne Vorgänge der Beklagten, wie zum Beispiel verfasste Vermerke oder rechtliche Bewertungen und Analysen. Zur Auskunftserteilung gehört ebenfalls nicht, dass die betreffende Person sämtlichen gewechselten Schriftverkehr, der dem Betroffenen bereits bekannt ist, erneut ausgedruckt und übersendet erhält. Der Anspruch aus Art. 15DS-GVO dient nicht der vereinfachten Buchführung des Betroffenen, sondern soll sicherstellen, dass der Betroffene den Umfang und den Inhalt der gespeicherten personenbezogenen Daten beurteilen kann. Folgerichtig bestimmt Art. 15 Abs. 3 DS-GVO, dass der Betroffene eine Kopie (lediglich) der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, erhält. Die Übersendung weiterer Unterlagen ist dagegen nicht vorgesehen und kann daher vom Betroffenen auch nicht verlangt werden.

Weitere Informationspflichten

Zu beachten ist, dass neben der Auskunft über die personenbezogenen Daten selbst vom Verantwortlichen noch weitere Informationen im Rahmen einer vollständigen Auskunft der betroffenen Person mitzuteilen sind.

Nach Art. 15 Abs. 1 DS-GVO sind folgende Informationen ebenfalls mitzuteilen:

  • Verarbeitungszwecke,
  • Kategorien personenbezogener Daten, die verarbeitet werden,
  • Empfänger bzw. Kategorien von Empfängern, die diese Daten bereits erhalten haben oder künftig noch erhalten werden,
  • geplante Speicherdauer falls möglich, andernfalls die Kriterien für die Festlegung der Speicherdauer,
  • Bestehen eines Rechts auf Berichtigung oder Löschung der sie betreffenden personenbezogenen Daten oder auf Einschränkung der Verarbeitung durch den Verantwortlichen,
  • Bestehen eines Widerspruchsrecht gegen diese Verarbeitung nach Art. 21 DS-GVO,
  • Bestehen eines Beschwerderechts für die betroffene Person bei der Aufsichtsbehörde,
  • Herkunft der Daten, soweit diese nicht bei der betroffenen Person selbst erhoben wurden, und
  • das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling mit aussagekräftigen Informationen über die dabei involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen solcher Verfahren.

Im Falle der Datenübermittlung in Drittländer ist über die insoweit gegebenen Garantien gemäß Art. 46 DS-GVO zu informieren (z. B. vereinbarte Standard-Datenschutzklauseln, verbindliche interne Datenschutzvorschriften, d. h. BCR). Keine Drittländer sind die EU-Mitgliedsstaaten und die Vertragsstaaten des EWR.

Es ist daher darauf zu achten, dass der betroffenen Person eine umfassende und vollständige Auskunft erteilt wird, die neben den gespeicherten und verarbeiteten personenbezogenen Daten in jedem Fall auch die weiteren Informationen enthalten muss. Dabei hat die Auskunft gemäß Art. 12 Abs. 1 GS-GVO leicht verständlich in klaren und einfachen Worten zu erfolgen.

Rechtsanwältin Kathleen Brauner

dmp@derra-dd.de

Stand: 08/2019

 

01 Aug
2019

EuGH-Urteil zu Facebook „Gefällt mir“-Button": Webseitenbetreiber auch verantwortlich

Der Europäische Gerichtshof (EuGH) hat mit Urteil vom 29.07.2019, Aktenzeichen C-40/17, zur Rechtmäßigkeit der Implementierung des Facebook „Gefällt mir“-Buttons auf Webseiten geurteilt.

mehr lesen

Der Europäische Gerichtshof (EuGH) hat mit Urteil vom 29.07.2019, Aktenzeichen C-40/17, zur Rechtmäßigkeit der Implementierung des Facebook „Gefällt mir“-Buttons auf Webseiten geurteilt.

Worum ging es in dem Rechtsstreit

Dem Urteil ging ein Rechtstreit der Verbraucherzentrale Nordrheinwestfalen gegen einen Online-Händler voraus. Abgemahnt war, dass das Unternehmen einen Social Plugin von Facebook, den sogenannten „Gefällt mir“-Button, auf seiner Webseite implementiert hatte. Dabei werden in der Regel bei Aufruf der Webseite die IP-Adresse des Webseitenbesuchers, die aufgerufenen Inhalte sowie bestimmte Browserinformationen an Facebook übermittelt und dort gespeichert.

In dem Rechtsstreit ging es grundsätzlich um die Frage, ob und wie der Webseitenbetreiber den „Gefällt mir“-Button auf seiner Webseite datenschutzkonform einbinden kann, obwohl durch die Einbindung automatisch personenbezogene Datendes Webseitenbesuchers an Facebook übertragen werden. Konkret hatte der EuGH darüber zu entscheiden, ob der Webseitenbetreiber als datenschutzrechtlicher Verantwortlicher anzusehen ist. Daneben stand aber auch die Frage der Rechtsgrundlage im Raum, wenn auf Grund des „Gefällt mir“-Buttons personenbezogene Daten verarbeitet werden.

Das Urteil: Webseitenbetreiber und Facebook sind datenschutzrechtlich gemeinsam verantwortlich

Der EuGH kommt, wie schon in seinem Urteil vom 05.06.2018 (Aktenzeichen C-210/16) zu den Facebook-Fanpages, zu dem Schluss, dass auch bei der Einbindung des Facebook „Gefällt mir“-Buttons das Unternehmen als Webseitenbetreiber zusammen mit Facebook datenschutzrechtlich gemeinsam verantwortlich sind. Deshalb müssen beide eine Vereinbarung zur gemeinsamen Verantwortlichkeit schließen. Eine solche wird bisher von Facebook noch nicht angeboten. 

Der EuGH argumentierte, dass es die Einbindung des „Gefällt mir“-Buttons dem Webseitenbetreiber erlaube, die Werbung für seine Produkte zu optimieren, indem diese bei Facebook sichtbarer gemacht werden. Das – so der EuGH – ist ein wirtschaftlicher Vorteil, für den das beklagte Unternehmen zumindest stillschweigend der Erhebung personenbezogener Daten der Webseitenbesucher zugestimmt hat.

Für die Datenverarbeitung, die Facebook im Anschluss an die Datenübermittlung vornimmt, sei der Webseitenbetreiber aber nicht verantwortlich. Denn dieser entscheidet dann nicht (mehr) über Zwecke und Mittel dieser weiteren Verarbeitungsvorgänge. Es reicht aber für eine gemeinsame Verantwortlichkeit aus, dass nur ein Teil der Verarbeitungsvorgänge – hier das Erheben und Übermitteln der personenbezogenen Daten – gemeinsam erfolgt, auch wenn der Webseitenbetreiber im Anschluss keinen Einfluss mehr auf die weitere Verarbeitung hat.

Einwilligungserfordernis beim Setzen von Cookies

Streitig war auch die Rechtsgrundlage für das Erheben und Übermitteln der personenbezogenen Daten auf der Unternehmenswebseite. Hierzu führte der EuGH aus, dass er zusammen mit der europäischen Kommission grundsätzlich von einem Einwilligungserfordernis gemäß Art. 5 Abs. 3 der Richtlinie 2002/58/EG ausgehe, sofern auf Grund des Facebook „Gefällt mir“-Buttons Cookies auf dem Endgerät des Webseitenbesuchers gespeichert werden. Eine Einwilligung liege aber dem Sachverhalt nicht zugrunde, da sich der Webseitenbetreiber unstreitig auf ein berechtigtes Interesse beruft. 

Ob in dem konkreten Fall ebenfalls eine Einwilligung notwendig sei, ließ der EuGH offen. Es wird demnach darauf ankommen, ob beim Facebook „Gefällt mir“-Button ein Cookie gesetzt wird oder nicht. Diese technische Frage hat der EuGH dem Oberlandesgericht Düsseldorf als vorlegendem Gericht zur Klärung überlassen. 

Informationspflicht des Webseitenbetreibers

Der EuGH hat darüber hinaus auch nochmals klargemacht, dass den Webseitenbetreiber eine Informationspflicht trifft. Er hat zumindest über den Teil der Datenverarbeitung zu informieren, für den er verantwortlich ist. Die Information muss bei Erhebung der Daten erfolgen, kann also nicht nachträglich durch Facebook erfolgen. Das bedeutet, dass im Falle des Facebook „Gefällt mir“-Buttons der Webseitenbesucher bereits vor Aktivierung datenschutzkonform zu informieren ist.

Fazit 

Das Urteil erging zwar zur Vorgängerrichtlinie der DS-GVO, da die relevanten Normen aber ebenfalls in der DS-GVO übernommen wurden, gelten die Grundsätze des EuGH auch in dieser Hinsicht.

Der EuGH hat entschieden, dass der Betreiber einer Webseite auch für Tools Dritter datenschutzrechtlich verantwortlich sein kann und für das Setzen von technisch nicht notwendigen Cookies möglicherweise eine Einwilligung notwendig ist. Das Urteil hat somit eine Strahlweite, die über den Facebook „Gefällt mir“-Button hinausgeht.

Der Umstand der gemeinsamen Verantwortlichkeit wird so wohl auch für alle anderen Social-Plugin-Dienste wie Instagram, Twitter, GooglePlus oder YouTube gelten. Aber auch die bisherige Cookie-Praxis in Deutschland, die in der Regel ein bloßes Widerspruchsrecht vorsieht, steht auf der Kippe, auch wenn der EuGH diese Frage ausdrücklich dem vorlegenden Gericht zur Klärung überlassen hat. 

Was ist zu tun?

So lange Facebook keine Vereinbarung für gemeinsam Verantwortliche zur Verfügung stellt, besteht das erhöhte Risiko einer Abmahnung, wenn ein Unternehmen einen „Gefällt mir“-Button oder ein vergleichbares Tool auf seiner Webseite einbindet. Denn ohne entsprechende Vereinbarung liegt ohne Zweifel ein Verstoß gegen Art. 26 DS-GVO vor.

 Zudem ist es ratsam, alle Arten von Social-Plugin-Diensten von einer Cookie-Consent Plattform erfassen zu lassen, um eine Einwilligung des Webseitenbesuchers einzuholen.

Rechtsanwalt Nils Steffen

dmp@derra-ul.de

Stand: 08/2019

Der Europäische Gerichtshof (EuGH) hat mit Urteil vom 29.07.2019, Aktenzeichen C-40/17, zur Rechtmäßigkeit der Implementierung des Facebook „Gefällt mir“-Buttons auf Webseiten geurteilt.

Worum ging es in dem Rechtsstreit

Dem Urteil ging ein Rechtstreit der Verbraucherzentrale Nordrheinwestfalen gegen einen Online-Händler voraus. Abgemahnt war, dass das Unternehmen einen Social Plugin von Facebook, den sogenannten „Gefällt mir“-Button, auf seiner Webseite implementiert hatte. Dabei werden in der Regel bei Aufruf der Webseite die IP-Adresse des Webseitenbesuchers, die aufgerufenen Inhalte sowie bestimmte Browserinformationen an Facebook übermittelt und dort gespeichert.

In dem Rechtsstreit ging es grundsätzlich um die Frage, ob und wie der Webseitenbetreiber den „Gefällt mir“-Button auf seiner Webseite datenschutzkonform einbinden kann, obwohl durch die Einbindung automatisch personenbezogene Datendes Webseitenbesuchers an Facebook übertragen werden. Konkret hatte der EuGH darüber zu entscheiden, ob der Webseitenbetreiber als datenschutzrechtlicher Verantwortlicher anzusehen ist. Daneben stand aber auch die Frage der Rechtsgrundlage im Raum, wenn auf Grund des „Gefällt mir“-Buttons personenbezogene Daten verarbeitet werden.

Das Urteil: Webseitenbetreiber und Facebook sind datenschutzrechtlich gemeinsam verantwortlich

Der EuGH kommt, wie schon in seinem Urteil vom 05.06.2018 (Aktenzeichen C-210/16) zu den Facebook-Fanpages, zu dem Schluss, dass auch bei der Einbindung des Facebook „Gefällt mir“-Buttons das Unternehmen als Webseitenbetreiber zusammen mit Facebook datenschutzrechtlich gemeinsam verantwortlich sind. Deshalb müssen beide eine Vereinbarung zur gemeinsamen Verantwortlichkeit schließen. Eine solche wird bisher von Facebook noch nicht angeboten. 

Der EuGH argumentierte, dass es die Einbindung des „Gefällt mir“-Buttons dem Webseitenbetreiber erlaube, die Werbung für seine Produkte zu optimieren, indem diese bei Facebook sichtbarer gemacht werden. Das – so der EuGH – ist ein wirtschaftlicher Vorteil, für den das beklagte Unternehmen zumindest stillschweigend der Erhebung personenbezogener Daten der Webseitenbesucher zugestimmt hat.

Für die Datenverarbeitung, die Facebook im Anschluss an die Datenübermittlung vornimmt, sei der Webseitenbetreiber aber nicht verantwortlich. Denn dieser entscheidet dann nicht (mehr) über Zwecke und Mittel dieser weiteren Verarbeitungsvorgänge. Es reicht aber für eine gemeinsame Verantwortlichkeit aus, dass nur ein Teil der Verarbeitungsvorgänge – hier das Erheben und Übermitteln der personenbezogenen Daten – gemeinsam erfolgt, auch wenn der Webseitenbetreiber im Anschluss keinen Einfluss mehr auf die weitere Verarbeitung hat.

Einwilligungserfordernis beim Setzen von Cookies

Streitig war auch die Rechtsgrundlage für das Erheben und Übermitteln der personenbezogenen Daten auf der Unternehmenswebseite. Hierzu führte der EuGH aus, dass er zusammen mit der europäischen Kommission grundsätzlich von einem Einwilligungserfordernis gemäß Art. 5 Abs. 3 der Richtlinie 2002/58/EG ausgehe, sofern auf Grund des Facebook „Gefällt mir“-Buttons Cookies auf dem Endgerät des Webseitenbesuchers gespeichert werden. Eine Einwilligung liege aber dem Sachverhalt nicht zugrunde, da sich der Webseitenbetreiber unstreitig auf ein berechtigtes Interesse beruft. 

Ob in dem konkreten Fall ebenfalls eine Einwilligung notwendig sei, ließ der EuGH offen. Es wird demnach darauf ankommen, ob beim Facebook „Gefällt mir“-Button ein Cookie gesetzt wird oder nicht. Diese technische Frage hat der EuGH dem Oberlandesgericht Düsseldorf als vorlegendem Gericht zur Klärung überlassen. 

Informationspflicht des Webseitenbetreibers

Der EuGH hat darüber hinaus auch nochmals klargemacht, dass den Webseitenbetreiber eine Informationspflicht trifft. Er hat zumindest über den Teil der Datenverarbeitung zu informieren, für den er verantwortlich ist. Die Information muss bei Erhebung der Daten erfolgen, kann also nicht nachträglich durch Facebook erfolgen. Das bedeutet, dass im Falle des Facebook „Gefällt mir“-Buttons der Webseitenbesucher bereits vor Aktivierung datenschutzkonform zu informieren ist.

Fazit 

Das Urteil erging zwar zur Vorgängerrichtlinie der DS-GVO, da die relevanten Normen aber ebenfalls in der DS-GVO übernommen wurden, gelten die Grundsätze des EuGH auch in dieser Hinsicht.

Der EuGH hat entschieden, dass der Betreiber einer Webseite auch für Tools Dritter datenschutzrechtlich verantwortlich sein kann und für das Setzen von technisch nicht notwendigen Cookies möglicherweise eine Einwilligung notwendig ist. Das Urteil hat somit eine Strahlweite, die über den Facebook „Gefällt mir“-Button hinausgeht.

Der Umstand der gemeinsamen Verantwortlichkeit wird so wohl auch für alle anderen Social-Plugin-Dienste wie Instagram, Twitter, GooglePlus oder YouTube gelten. Aber auch die bisherige Cookie-Praxis in Deutschland, die in der Regel ein bloßes Widerspruchsrecht vorsieht, steht auf der Kippe, auch wenn der EuGH diese Frage ausdrücklich dem vorlegenden Gericht zur Klärung überlassen hat. 

Was ist zu tun?

So lange Facebook keine Vereinbarung für gemeinsam Verantwortliche zur Verfügung stellt, besteht das erhöhte Risiko einer Abmahnung, wenn ein Unternehmen einen „Gefällt mir“-Button oder ein vergleichbares Tool auf seiner Webseite einbindet. Denn ohne entsprechende Vereinbarung liegt ohne Zweifel ein Verstoß gegen Art. 26 DS-GVO vor.

 Zudem ist es ratsam, alle Arten von Social-Plugin-Diensten von einer Cookie-Consent Plattform erfassen zu lassen, um eine Einwilligung des Webseitenbesuchers einzuholen.

Rechtsanwalt Nils Steffen

dmp@derra-ul.de

Stand: 08/2019

29 Jul
2019

EuGH: Übermittlung von personenbezogenen Daten in die USA

Nutzen Sie Dienstleister oder sonstige Anbieter, die personenbezogene Daten in die Vereinigten Staaten von Amerika (USA) übermitteln?

mehr lesen

Nutzen Sie Dienstleister oder sonstige Anbieter, die personenbezogene Daten in die Vereinigten Staaten von Amerika (USA) übermitteln? Falls Sie als Unternehmen beispielsweise eine eigene Facebook-Seite (sogenannte Fanpage) betreiben oder in den USA angesiedelte Cloud-Services nutzen, ist dies der Fall. Dann sollten Sie das Verfahren, das dem EuGH gegenwärtig vorliegt, im Auge behalten. Mit einer Entscheidung ist Ende dieses Jahres zu rechnen – und die könnte weitreichende Folgen haben.

Datenübermittlungen durch Facebook

Wenn Sie innerhalb der EU ansässig sind und eine Facebook-Seite betreiben, schließen Sie dazu einen entsprechenden Nutzungsvertrag mit Facebook Ireland Limited, der europäischen Tochter des US-Unternehmens Facebook, Inc. Im Rahmen dieser Nutzung erhebt und verarbeitet zunächst die europäische Facebook-Tochter personenbezogene Daten, die in Irland auf den dort befindlichen Servern gespeichert werden. Anschließend werden diese Daten an Facebook, Inc. in den USA übermittelt und ein weiteres Mal auf den dort befindlichen Servern gespeichert. Einzelheiten über die Datenverarbeitungen gibt Facebook allerdings nicht preis.

EuGH-Verfahren: Facebook und Max Schrems

Der EuGH beschäftigt sich nun erneut mit der Frage, ob Facebook personenbezogene Daten aus der Europäischen Union (EU) in die USA übertragen darf (Rechtssache C-311/18). Dem Verfahren liegt ein Rechtsstreit zwischen Facebook und Max Schrems, einem österreichischen Juristen und Datenschutzaktivisten, zugrunde. Dieser versucht seit Jahren, die Datenübertragungen an das US-Unternehmen Facebook Inc. mit der anschließenden Speicherung der Daten in den USA zu verhindern. Schrems ist der Ansicht, in den USA herrsche ein geringeres, nicht mit dem in der EU vergleichbares Datenschutzniveau. Deshalb dürfe Facebook Ireland Ltd. die erhobenen Daten nicht in die USA übermitteln – unabhängig davon, ob dies auf Grundlage eines Angemessenheitsbeschlusses oder von Standardvertragsklauseln erfolge. Im Zweifel würden beide Instrumente kein angemessenes Schutzniveau in den USA gewährleisten.

Am 9. Juli 2019 verhandelte nun der EuGH über die Frage, ob Facebook auf diesen Grundlagen personenbezogene Daten aus der EU in die USA übertragen darf. Die zu erwartende Entscheidung betrifft damit sogleich die Grundsätze des europäisch-US-amerikanischen Datenverkehrs.

Datenübertragungen nur in sichere Drittländer

Nach der Datenschutz-Grundverordnung (DS-GVO) dürfen personenbezogene Daten nur unter bestimmten Voraussetzungen in Drittländer übertragen werden. Drittländer im Sinne der DS-GVO sind Staaten außerhalb der EU und des Europäischen Wirtschaftsraums (EWR). Zum EWR zählen Island, Liechtenstein und Norwegen.

Personenbezogene Daten dürfen gemäß Artt. 44 ff. DS-GVO nur in ein Drittland übermittelt werden, wenn sichergestellt ist, dass dort generell ein dem Rechtsrahmen der EU gegenüber angemessenes Schutzniveau besteht oder im Einzelfall geeignete Garantien umgesetzt werden, die im konkreten Fall die Einhaltung eines vergleichbaren, angemessenen Schutzniveaus gewährleisten. Ob in einem Drittland generell ein angemessenes Schutzniveau besteht, stellt die Europäische Kommission durch einen Angemessenheitsbeschluss nach Art. 45 DS-GVO fest. Existiert für ein betreffendes Drittland kein solcher Beschluss, dürfen Unternehmen Daten in dieses Drittland nur übertragen, wenn geeignete Garantien nach Art. 46 DS-GVO vorliegen oder eine Ausnahme nach Art. 49 DS-GVO besteht. Zu solchen geeigneten Garantien zählen beispielsweise sogenannte „Binding Corporate Rules“ oder die Standardvertragsklauseln der Europäischen Kommission.

Datenübertragungen in die USA

In Bezug auf die USA besteht zwar ein Angemessenheitsbeschluss der Europäischen Kommission (unter https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:32016D1250&from=DE abrufbar). Dieser Beschluss bezieht sich aber lediglich auf das sogenannte EU-US Privacy Shield (auf Deutsch: EU-US-Datenschutzschild). Er hat nicht zur Folge, dass für die USA allgemein ein angemessenes Datenschutzniveau festgestellt wurde. Beide Instrumente zusammen gewährleisten eine Grundlage für Datenübermittlungen nur an Unternehmen, die nach dem Privacy Shield zertifiziert sind.

Unter dem Privacy Shield ist eine Art informelle Absprache zwischen der EU und den USA zu verstehen, im Rahmen derer die USA der EU die Einhaltung eines dem Datenschutzniveau der EU vergleichbaren Standards zusichert. Es bildet die Grundlage für einen Großteil der Datenübertragungen in die USA. Soweit die Regelungen des Privacy Shields eingehalten werden, kann (bislang) angenommen werden, dass ein angemessenes Schutzniveau in den USA gewährleistet wird. Die Einhaltung dieser Regelungen wird mittels eines Selbstzertifizierungsmechanismus sichergestellt. Knackpunkt ist hier, dass sich US-Unternehmen (durch die US-Regierung) jeweils einzeln nach dem Privacy Shield zertifizieren lassen müssen. Das heißt: Nur an Unternehmen, die eine gültige Privacy Shield-Zertifizierung besitzen (und damit versprechen, die Regelungen zum Datenschutz einzuhalten), dürfen Daten aus der EU übertragen werden (eine offizielle Liste des US-Handelsministeriums ist unter https://www.privacyshield.gov/list abrufbar). Nur dann kann der zuvor genannte Angemessenheitsbeschluss als Grundlage herangezogen werden.

Entscheidung des EuGH

Zwar besitzt auch das US-Unternehmen Facebook, Inc. eine gültige Privacy-Shield-Zertifizierung. Damit könnte die Übertragung also grundsätzlich auf den Angemessenheitsbeschluss der Kommission zum Privacy Shield der USA gestützt werden.

Allerdings sieht Schrems hier ein grundlegendes Problem: US-Unternehmen (auch solche mit einer Privacy Shield-Zertifizierung) sind nach US-Recht verpflichtet, Daten zum Zwecke der nationalen Sicherheit auf Verlangen an die US-Behörden (FBI, NSA) weiterzugeben. Insofern muss infrage gestellt werden, ob durch das Privacy Shield tatsächlich ein angemessenes Datenschutzniveau in den USA besteht. Wird dies verneint, dürfen Daten nicht mehr ohne zusätzliche Garantien (z.B. durch Standardvertragsklauseln) an US-Unternehmen übertragen werden. Diese Frage muss der EuGH nun klären. Zunächst will der zuständige Generalanwalt am EuGH am 12. Dezember 2019 seine Schlussanträge vorlegen. Die Entscheidung des Gerichts bleibt dann mit Spannung zu erwarten.

Das bedeutet:

Konkret in Bezug auf Übertragungen an US-Unternehmen ist die Entscheidung des EuGH mit Spannung zu erwarten. Im Übrigen gilt: Wenn Sie als Unternehmen derartige Dienstleister oder sonstige Anbieter nutzen, beispielsweise soziale Medien zu Kommunikations- oder Werbezwecken sowie Cloudanbieter, die außerhalb der EU/des EWR angesiedelt sind, sollten Sie überprüfen, ob die Voraussetzungen für entsprechende Datenübermittlungen nach der DS-GVO vorliegen. Denn darauf, ob im Hinblick auf das jeweilige Drittland ein Angemessenheitsbeschluss der Kommission vorliegt oder die Datenübermittlung auf sonstige Garantien für Drittlandübermittlungen gestützt wird, muss im Rahmen der Pflichtinformationen nach Artt. 13, 14 DS-GVO hingewiesen werden. Das größte Problem wird hier sein, dass Facebook die Datenverarbeitungen im Einzelnen nicht offenlegt. Darauf, dass sich diese der eigenen Kenntnis entziehen, sollte ebenfalls hingewiesen werden.

Rechtsanwältin Johanna Mäkert, LL.M. (Bukarest)

dmp@derra-b.de

Stand: 08/2019

Nutzen Sie Dienstleister oder sonstige Anbieter, die personenbezogene Daten in die Vereinigten Staaten von Amerika (USA) übermitteln? Falls Sie als Unternehmen beispielsweise eine eigene Facebook-Seite (sogenannte Fanpage) betreiben oder in den USA angesiedelte Cloud-Services nutzen, ist dies der Fall. Dann sollten Sie das Verfahren, das dem EuGH gegenwärtig vorliegt, im Auge behalten. Mit einer Entscheidung ist Ende dieses Jahres zu rechnen – und die könnte weitreichende Folgen haben.

Datenübermittlungen durch Facebook

Wenn Sie innerhalb der EU ansässig sind und eine Facebook-Seite betreiben, schließen Sie dazu einen entsprechenden Nutzungsvertrag mit Facebook Ireland Limited, der europäischen Tochter des US-Unternehmens Facebook, Inc. Im Rahmen dieser Nutzung erhebt und verarbeitet zunächst die europäische Facebook-Tochter personenbezogene Daten, die in Irland auf den dort befindlichen Servern gespeichert werden. Anschließend werden diese Daten an Facebook, Inc. in den USA übermittelt und ein weiteres Mal auf den dort befindlichen Servern gespeichert. Einzelheiten über die Datenverarbeitungen gibt Facebook allerdings nicht preis.

EuGH-Verfahren: Facebook und Max Schrems

Der EuGH beschäftigt sich nun erneut mit der Frage, ob Facebook personenbezogene Daten aus der Europäischen Union (EU) in die USA übertragen darf (Rechtssache C-311/18). Dem Verfahren liegt ein Rechtsstreit zwischen Facebook und Max Schrems, einem österreichischen Juristen und Datenschutzaktivisten, zugrunde. Dieser versucht seit Jahren, die Datenübertragungen an das US-Unternehmen Facebook Inc. mit der anschließenden Speicherung der Daten in den USA zu verhindern. Schrems ist der Ansicht, in den USA herrsche ein geringeres, nicht mit dem in der EU vergleichbares Datenschutzniveau. Deshalb dürfe Facebook Ireland Ltd. die erhobenen Daten nicht in die USA übermitteln – unabhängig davon, ob dies auf Grundlage eines Angemessenheitsbeschlusses oder von Standardvertragsklauseln erfolge. Im Zweifel würden beide Instrumente kein angemessenes Schutzniveau in den USA gewährleisten.

Am 9. Juli 2019 verhandelte nun der EuGH über die Frage, ob Facebook auf diesen Grundlagen personenbezogene Daten aus der EU in die USA übertragen darf. Die zu erwartende Entscheidung betrifft damit sogleich die Grundsätze des europäisch-US-amerikanischen Datenverkehrs.

Datenübertragungen nur in sichere Drittländer

Nach der Datenschutz-Grundverordnung (DS-GVO) dürfen personenbezogene Daten nur unter bestimmten Voraussetzungen in Drittländer übertragen werden. Drittländer im Sinne der DS-GVO sind Staaten außerhalb der EU und des Europäischen Wirtschaftsraums (EWR). Zum EWR zählen Island, Liechtenstein und Norwegen.

Personenbezogene Daten dürfen gemäß Artt. 44 ff. DS-GVO nur in ein Drittland übermittelt werden, wenn sichergestellt ist, dass dort generell ein dem Rechtsrahmen der EU gegenüber angemessenes Schutzniveau besteht oder im Einzelfall geeignete Garantien umgesetzt werden, die im konkreten Fall die Einhaltung eines vergleichbaren, angemessenen Schutzniveaus gewährleisten. Ob in einem Drittland generell ein angemessenes Schutzniveau besteht, stellt die Europäische Kommission durch einen Angemessenheitsbeschluss nach Art. 45 DS-GVO fest. Existiert für ein betreffendes Drittland kein solcher Beschluss, dürfen Unternehmen Daten in dieses Drittland nur übertragen, wenn geeignete Garantien nach Art. 46 DS-GVO vorliegen oder eine Ausnahme nach Art. 49 DS-GVO besteht. Zu solchen geeigneten Garantien zählen beispielsweise sogenannte „Binding Corporate Rules“ oder die Standardvertragsklauseln der Europäischen Kommission.

Datenübertragungen in die USA

In Bezug auf die USA besteht zwar ein Angemessenheitsbeschluss der Europäischen Kommission (unter https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:32016D1250&from=DE abrufbar). Dieser Beschluss bezieht sich aber lediglich auf das sogenannte EU-US Privacy Shield (auf Deutsch: EU-US-Datenschutzschild). Er hat nicht zur Folge, dass für die USA allgemein ein angemessenes Datenschutzniveau festgestellt wurde. Beide Instrumente zusammen gewährleisten eine Grundlage für Datenübermittlungen nur an Unternehmen, die nach dem Privacy Shield zertifiziert sind.

Unter dem Privacy Shield ist eine Art informelle Absprache zwischen der EU und den USA zu verstehen, im Rahmen derer die USA der EU die Einhaltung eines dem Datenschutzniveau der EU vergleichbaren Standards zusichert. Es bildet die Grundlage für einen Großteil der Datenübertragungen in die USA. Soweit die Regelungen des Privacy Shields eingehalten werden, kann (bislang) angenommen werden, dass ein angemessenes Schutzniveau in den USA gewährleistet wird. Die Einhaltung dieser Regelungen wird mittels eines Selbstzertifizierungsmechanismus sichergestellt. Knackpunkt ist hier, dass sich US-Unternehmen (durch die US-Regierung) jeweils einzeln nach dem Privacy Shield zertifizieren lassen müssen. Das heißt: Nur an Unternehmen, die eine gültige Privacy Shield-Zertifizierung besitzen (und damit versprechen, die Regelungen zum Datenschutz einzuhalten), dürfen Daten aus der EU übertragen werden (eine offizielle Liste des US-Handelsministeriums ist unter https://www.privacyshield.gov/list abrufbar). Nur dann kann der zuvor genannte Angemessenheitsbeschluss als Grundlage herangezogen werden.

Entscheidung des EuGH

Zwar besitzt auch das US-Unternehmen Facebook, Inc. eine gültige Privacy-Shield-Zertifizierung. Damit könnte die Übertragung also grundsätzlich auf den Angemessenheitsbeschluss der Kommission zum Privacy Shield der USA gestützt werden.

Allerdings sieht Schrems hier ein grundlegendes Problem: US-Unternehmen (auch solche mit einer Privacy Shield-Zertifizierung) sind nach US-Recht verpflichtet, Daten zum Zwecke der nationalen Sicherheit auf Verlangen an die US-Behörden (FBI, NSA) weiterzugeben. Insofern muss infrage gestellt werden, ob durch das Privacy Shield tatsächlich ein angemessenes Datenschutzniveau in den USA besteht. Wird dies verneint, dürfen Daten nicht mehr ohne zusätzliche Garantien (z.B. durch Standardvertragsklauseln) an US-Unternehmen übertragen werden. Diese Frage muss der EuGH nun klären. Zunächst will der zuständige Generalanwalt am EuGH am 12. Dezember 2019 seine Schlussanträge vorlegen. Die Entscheidung des Gerichts bleibt dann mit Spannung zu erwarten.

Das bedeutet:

Konkret in Bezug auf Übertragungen an US-Unternehmen ist die Entscheidung des EuGH mit Spannung zu erwarten. Im Übrigen gilt: Wenn Sie als Unternehmen derartige Dienstleister oder sonstige Anbieter nutzen, beispielsweise soziale Medien zu Kommunikations- oder Werbezwecken sowie Cloudanbieter, die außerhalb der EU/des EWR angesiedelt sind, sollten Sie überprüfen, ob die Voraussetzungen für entsprechende Datenübermittlungen nach der DS-GVO vorliegen. Denn darauf, ob im Hinblick auf das jeweilige Drittland ein Angemessenheitsbeschluss der Kommission vorliegt oder die Datenübermittlung auf sonstige Garantien für Drittlandübermittlungen gestützt wird, muss im Rahmen der Pflichtinformationen nach Artt. 13, 14 DS-GVO hingewiesen werden. Das größte Problem wird hier sein, dass Facebook die Datenverarbeitungen im Einzelnen nicht offenlegt. Darauf, dass sich diese der eigenen Kenntnis entziehen, sollte ebenfalls hingewiesen werden.

Rechtsanwältin Johanna Mäkert, LL.M. (Bukarest)

dmp@derra-b.de

Stand: 08/2019

09 Jul
2019

Private Nutzung von E-Mail im Unternehmen: Zugriff auch ohne Einwilligung des Mitarbeiters!

Bis zum 25.05.2019 galt: kein Zugriff auf private E-Mails im Unternehmen ohne Einwilligung des Mitarbeiters.

mehr lesen

Bis zum 25.05.2018 galt: kein Zugriff auf private E-Mails im Unternehmen ohne Einwilligung des Mitarbeiters. Seit dem Anwendungsbeginn der DS-GVO gilt das nicht mehr. Unternehmen wird dadurch die Gestattung der Privatnutzung erleichtert. Aber dennoch muss dies rechtlich gestaltet werden.

Hintergrund

Bis zum Anwendungsbeginn der DS-GVO ging die herrschende Meinung in Deutschland zu Recht davon aus, dass der Zugriff des Arbeitgebers auf private E-Mails des Mitarbeiters nur mit dessen Einwilligung zulässig ist, wenn die Privatnutzung geschäftlicher IT-Systeme gestattet oder auch nur geduldet war. Eine Ausnahme bestand dann, wenn der Zugriff erst nach Beendigung des Telekommunikationsvorgangs stattfand; das war der Fall, wenn die Übertragung der Kommunikation abgeschlossen war und der Empfänger sie eigenständig löschen konnte (ausführlich: Eckhardt, in: Spindler/Schuster, Recht der elektronischen Medien, 3. Auflage 2015, § 88 TKG, Rn. 12 ff., 46 ff; Eckhardt DuD 2008, 103 ff.).

DS-GVO: (Keine) Anwendung des TKG-Datenschutzbestimmungen

Die DS-GVO hat als EU-Verordnung Anwendungsvorrang auch vor den Datenschutzbestimmungen des deutschen TKG (§§ 88 ff., 91 ff. TKG).

Allerdings sieht Art. 95 DS-GVO für Regelungen, welche auf der Richtlinie 2002/58/EG (Datenschutzrichtlinie Elektronische Kommunikation – heute bezeichnet als ePrivacy-Richtlinie) beruhen, eine Öffnung vor. Die Regelungen der ePrivacy-Richtlinie wurden in Deutschland im Wesentlichen in den Datenschutzbestimmungen des TKG umgesetzt. Allerdings ging der deutsche Gesetzgeber dabei (wohl auch aus historischen Gründen) über die Vorgaben der ePrivacy-Richtlinie hinaus.

Für die Bestimmung der Anwendbarkeit der Datenschutzbestimmungen des TKG neben der DS-GVO ist damit der Wortlaut des Art. 95 DS-GVO entscheidend:

Diese Verordnung erlegt natürlichen oder juristischen Personen in Bezug auf die Verarbeitung in Verbindung mit der Bereitstellung öffentlich zugänglicher elektronischer Kommunikationsdienste in öffentlichen Kommunikationsnetzen in der Union keine zusätzlichen Pflichten auf, soweit sie besonderen in der Richtlinie 2002/58/EG festgelegten Pflichten unterliegen, die dasselbe Ziel verfolgen.“ (Zitat des Art. 95 DS-GVO).

Das hat folgende Konsequenz: Die Regelungen des TKG-Datenschutzes sind nur insoweit von der Ausnahme erfasst, als sie

  1. die „Verarbeitung in Verbindung mit der Bereitstellung öffentlich zugänglicher elektronischer Kommunikationsdienste in öffentlichen Kommunikationsnetzen“ regeln und
  2. Vorgaben der Richtlinie 2002/58/EG (ePrivacy-Richtlinie) umsetzen.

Die Auslegung des Merkmals „Öffentlichkeit“ im TKG ist zwar seit jeher umstritten. Aber nach überzeugender Ansicht wird davon nicht die bloße Gestattung der privaten Nutzung (oder dienstlichen Nutzung) von Telekommunikation durch einen Arbeitgeber erfasst.

In einem Zwischenergebnis ist damit festzuhalten, dass auch für die private Nutzung von Telekommunikation im Beschäftigungsverhältnis seit dem 25.05.2018 nicht mehr die §§ 91 ff. TKG zur Anwendung kommen. Soweit die Privatnutzung geschäftlicher IT-Systeme im Unternehmen nicht gestattet und auch nicht geduldet war, galt auch schon von dem Anwendungsbeginn der DS-GVO, dass die §§ 91 ff. TKG nicht zur Anwendung kommen.

Seit dem 25.05.2018 gilt damit für die Nutzung von Telekommunikation im Unternehmen durch Mitarbeiter einheitlich die DS-GVO.

Beschäftigtendatenschutz nach dem BDSG: Vorrang!?

Der deutsche Gesetzgeber hat mit § 26 BDSG von der Öffnungsklausel des Art. 88 DS-GVO Gebrauch gemacht und Regelungen zum Beschäftigtendatenschutz geschaffen. Dementsprechend ist zunächst § 26 BDSG bei der Gestaltung der Privatnutzung von Telekommunikation zu prüfen.

Ob § 26 BDSG für den Zugriff des Arbeitgebers auf die private E-Mail-Kommunikation von Mitarbeitern eine Rechtsgrundlage bietet, ist noch nicht abschließend geklärt – mit Ausnahme von Zugriffen zur Aufdeckung von Straftaten. Die Anwendung hängt davon ab, ob die Verarbeitung zur Durchführung des Beschäftigungsverhältnisses erfolgt. In diesem Fall wäre der Zugriff durch § 26 Abs. 1 S. 1 S. 1 BDSG gerechtfertigt.

Kein Ausschluss der DS-GVO durch § 26 BDSG: Soweit § 26 BDSG keine Spezialregelung zur Legitimation der Verarbeitung enthält, gilt die DS-GVO. Es wird zwar vertreten, dass § 26 BDSG eine Sperrwirkung gegenüber einem Rückgriff auf die DS-GVO entfalte. Das kann – vereinfacht gesagt - jedoch aufgrund des Anwendungsvorrangs der DS-GVO gegenüber nationalen Regelungen und mit Blick auf Art. 88 DS-GVO nicht überzeugen.

Gestaltung des Zugriffs auf private Telekommunikation nach Maßgabe der DS-GVO

Als Rechtsgrundlage für den Zugriff des Arbeitgebers auf private Telekommunikation von Beschäftigten bei der Nutzung der Telekommunikationseinrichtungen des Unternehmens kommt die Interessenabwägung nach Art. 6 Abs. 1 lit. f DS-GVO in Betracht. Für die Rechtfertigung des Zugriffs auf E-Mail-Telekommunikation sind nicht die Vorgaben des TKG-Datenschutzes und damit kein Einwilligungserfordernis zu beachten. Auch sperrt die Regelung in § 26 BDSG (Beschäftigtendatenschutz) nicht die Anwendung der DS-GVO.

Ob der der jeweilige Zugriff zulässig ist, muss daher auf der Grundlage einer Interessenabwägung nach Maßgabe des Art. 6 Abs. 1 lit. f DS-GVO bewertet werden. Insbesondere sollte berücksichtigt werden:

  • Die Nähe zum Schutz des Telekommunikationsgeheimnisses;
  • Es bietet sich auch an, zwischen verschiedenen Zugriffen (Sicherung aus Beweisgründen, Auswertung nach aktuellem ToDo („Brennt etwas an?“), Einarbeitung des Nachfolgers, etc.) zu unterscheiden;
  • Wenn die Beschäftigten darüber aufgeklärt wurden, dass und wie zugegriffen wird, prägt dies ebenfalls die Erwartungshaltung der Beschäftigten und kann sich positiv auf die Zulässigkeit im Rahmen der Interessenabwägung auswirken;

Die vorstehenden Aspekte sind Überlegungen für eine Interessenabwägung, ersetzen diese aber nicht. Es muss also stets der konkrete Zugriff auf seine Verhältnismäßigkeit bewertet werden.

Jeder ist nach Maßgabe der Artt. 13, 14 DS-GVO über die Verarbeitung dieser Daten durch den Arbeitgeber konkret zu unterrichten. Das umfasst insbesondere den/die Zweck/e, die Rechtsgrundlage und die Dauer der Verarbeitung der Daten. Diese umfangreiche Informationspflicht darf in der Praxis nicht unterschätzt werden. Nur der Vollständigkeit halber: Natürlich sind bei der Gestaltung in der Praxis auch alle weiteren Dokumentationspflichten der DS-GVO zu beachten.

Das bedeutet für Sie konkret: Die Gestaltung des Zugriffs des Arbeitgebers bei gestatteter Privatnutzung der Telekommunikation durch Mitarbeiter ist mit dem Anwendungsbeginn der DS-GVO weniger kompliziert geworden. Die erforderliche Interessenabwägung ist anhand der konkreten Zwecke des Zugriffs zu prüfen und zu dokumentieren. Die Beschäftigten sind umfassend nach Maßgabe der Artt. 13, 14 DS-GVO proaktiv zu informieren.

Rechtsanwalt Dr. Jens Eckhardt

dmp@derra-d.de

Stand: 07/2019

Bis zum 25.05.2018 galt: kein Zugriff auf private E-Mails im Unternehmen ohne Einwilligung des Mitarbeiters. Seit dem Anwendungsbeginn der DS-GVO gilt das nicht mehr. Unternehmen wird dadurch die Gestattung der Privatnutzung erleichtert. Aber dennoch muss dies rechtlich gestaltet werden.

Hintergrund

Bis zum Anwendungsbeginn der DS-GVO ging die herrschende Meinung in Deutschland zu Recht davon aus, dass der Zugriff des Arbeitgebers auf private E-Mails des Mitarbeiters nur mit dessen Einwilligung zulässig ist, wenn die Privatnutzung geschäftlicher IT-Systeme gestattet oder auch nur geduldet war. Eine Ausnahme bestand dann, wenn der Zugriff erst nach Beendigung des Telekommunikationsvorgangs stattfand; das war der Fall, wenn die Übertragung der Kommunikation abgeschlossen war und der Empfänger sie eigenständig löschen konnte (ausführlich: Eckhardt, in: Spindler/Schuster, Recht der elektronischen Medien, 3. Auflage 2015, § 88 TKG, Rn. 12 ff., 46 ff; Eckhardt DuD 2008, 103 ff.).

DS-GVO: (Keine) Anwendung des TKG-Datenschutzbestimmungen

Die DS-GVO hat als EU-Verordnung Anwendungsvorrang auch vor den Datenschutzbestimmungen des deutschen TKG (§§ 88 ff., 91 ff. TKG).

Allerdings sieht Art. 95 DS-GVO für Regelungen, welche auf der Richtlinie 2002/58/EG (Datenschutzrichtlinie Elektronische Kommunikation – heute bezeichnet als ePrivacy-Richtlinie) beruhen, eine Öffnung vor. Die Regelungen der ePrivacy-Richtlinie wurden in Deutschland im Wesentlichen in den Datenschutzbestimmungen des TKG umgesetzt. Allerdings ging der deutsche Gesetzgeber dabei (wohl auch aus historischen Gründen) über die Vorgaben der ePrivacy-Richtlinie hinaus.

Für die Bestimmung der Anwendbarkeit der Datenschutzbestimmungen des TKG neben der DS-GVO ist damit der Wortlaut des Art. 95 DS-GVO entscheidend:

Diese Verordnung erlegt natürlichen oder juristischen Personen in Bezug auf die Verarbeitung in Verbindung mit der Bereitstellung öffentlich zugänglicher elektronischer Kommunikationsdienste in öffentlichen Kommunikationsnetzen in der Union keine zusätzlichen Pflichten auf, soweit sie besonderen in der Richtlinie 2002/58/EG festgelegten Pflichten unterliegen, die dasselbe Ziel verfolgen.“ (Zitat des Art. 95 DS-GVO).

Das hat folgende Konsequenz: Die Regelungen des TKG-Datenschutzes sind nur insoweit von der Ausnahme erfasst, als sie

  1. die „Verarbeitung in Verbindung mit der Bereitstellung öffentlich zugänglicher elektronischer Kommunikationsdienste in öffentlichen Kommunikationsnetzen“ regeln und
  2. Vorgaben der Richtlinie 2002/58/EG (ePrivacy-Richtlinie) umsetzen.

Die Auslegung des Merkmals „Öffentlichkeit“ im TKG ist zwar seit jeher umstritten. Aber nach überzeugender Ansicht wird davon nicht die bloße Gestattung der privaten Nutzung (oder dienstlichen Nutzung) von Telekommunikation durch einen Arbeitgeber erfasst.

In einem Zwischenergebnis ist damit festzuhalten, dass auch für die private Nutzung von Telekommunikation im Beschäftigungsverhältnis seit dem 25.05.2018 nicht mehr die §§ 91 ff. TKG zur Anwendung kommen. Soweit die Privatnutzung geschäftlicher IT-Systeme im Unternehmen nicht gestattet und auch nicht geduldet war, galt auch schon von dem Anwendungsbeginn der DS-GVO, dass die §§ 91 ff. TKG nicht zur Anwendung kommen.

Seit dem 25.05.2018 gilt damit für die Nutzung von Telekommunikation im Unternehmen durch Mitarbeiter einheitlich die DS-GVO.

Beschäftigtendatenschutz nach dem BDSG: Vorrang!?

Der deutsche Gesetzgeber hat mit § 26 BDSG von der Öffnungsklausel des Art. 88 DS-GVO Gebrauch gemacht und Regelungen zum Beschäftigtendatenschutz geschaffen. Dementsprechend ist zunächst § 26 BDSG bei der Gestaltung der Privatnutzung von Telekommunikation zu prüfen.

Ob § 26 BDSG für den Zugriff des Arbeitgebers auf die private E-Mail-Kommunikation von Mitarbeitern eine Rechtsgrundlage bietet, ist noch nicht abschließend geklärt – mit Ausnahme von Zugriffen zur Aufdeckung von Straftaten. Die Anwendung hängt davon ab, ob die Verarbeitung zur Durchführung des Beschäftigungsverhältnisses erfolgt. In diesem Fall wäre der Zugriff durch § 26 Abs. 1 S. 1 S. 1 BDSG gerechtfertigt.

Kein Ausschluss der DS-GVO durch § 26 BDSG: Soweit § 26 BDSG keine Spezialregelung zur Legitimation der Verarbeitung enthält, gilt die DS-GVO. Es wird zwar vertreten, dass § 26 BDSG eine Sperrwirkung gegenüber einem Rückgriff auf die DS-GVO entfalte. Das kann – vereinfacht gesagt - jedoch aufgrund des Anwendungsvorrangs der DS-GVO gegenüber nationalen Regelungen und mit Blick auf Art. 88 DS-GVO nicht überzeugen.

Gestaltung des Zugriffs auf private Telekommunikation nach Maßgabe der DS-GVO

Als Rechtsgrundlage für den Zugriff des Arbeitgebers auf private Telekommunikation von Beschäftigten bei der Nutzung der Telekommunikationseinrichtungen des Unternehmens kommt die Interessenabwägung nach Art. 6 Abs. 1 lit. f DS-GVO in Betracht. Für die Rechtfertigung des Zugriffs auf E-Mail-Telekommunikation sind nicht die Vorgaben des TKG-Datenschutzes und damit kein Einwilligungserfordernis zu beachten. Auch sperrt die Regelung in § 26 BDSG (Beschäftigtendatenschutz) nicht die Anwendung der DS-GVO.

Ob der der jeweilige Zugriff zulässig ist, muss daher auf der Grundlage einer Interessenabwägung nach Maßgabe des Art. 6 Abs. 1 lit. f DS-GVO bewertet werden. Insbesondere sollte berücksichtigt werden:

  • Die Nähe zum Schutz des Telekommunikationsgeheimnisses;
  • Es bietet sich auch an, zwischen verschiedenen Zugriffen (Sicherung aus Beweisgründen, Auswertung nach aktuellem ToDo („Brennt etwas an?“), Einarbeitung des Nachfolgers, etc.) zu unterscheiden;
  • Wenn die Beschäftigten darüber aufgeklärt wurden, dass und wie zugegriffen wird, prägt dies ebenfalls die Erwartungshaltung der Beschäftigten und kann sich positiv auf die Zulässigkeit im Rahmen der Interessenabwägung auswirken;

Die vorstehenden Aspekte sind Überlegungen für eine Interessenabwägung, ersetzen diese aber nicht. Es muss also stets der konkrete Zugriff auf seine Verhältnismäßigkeit bewertet werden.

Jeder ist nach Maßgabe der Artt. 13, 14 DS-GVO über die Verarbeitung dieser Daten durch den Arbeitgeber konkret zu unterrichten. Das umfasst insbesondere den/die Zweck/e, die Rechtsgrundlage und die Dauer der Verarbeitung der Daten. Diese umfangreiche Informationspflicht darf in der Praxis nicht unterschätzt werden. Nur der Vollständigkeit halber: Natürlich sind bei der Gestaltung in der Praxis auch alle weiteren Dokumentationspflichten der DS-GVO zu beachten.

Das bedeutet für Sie konkret: Die Gestaltung des Zugriffs des Arbeitgebers bei gestatteter Privatnutzung der Telekommunikation durch Mitarbeiter ist mit dem Anwendungsbeginn der DS-GVO weniger kompliziert geworden. Die erforderliche Interessenabwägung ist anhand der konkreten Zwecke des Zugriffs zu prüfen und zu dokumentieren. Die Beschäftigten sind umfassend nach Maßgabe der Artt. 13, 14 DS-GVO proaktiv zu informieren.

Rechtsanwalt Dr. Jens Eckhardt

dmp@derra-d.de

Stand: 07/2019

05 Jul
2019

BVerwG urteilt zu Videoüberwachung in nicht öffentlichen Bereichen

Das Bundesverwaltungsgericht entschied mit Urteil vom 27.03.2019 über die anwendbare Rechtsgrundlage für Maßnahmen der Videoüberwachung ...

mehr lesen

Das Bundesverwaltungsgericht entschied mit Urteil vom 27.03.2019 (Az. 6 C 2.18) über die anwendbare Rechtsgrundlage für Maßnahmen der Videoüberwachung durch nichtöffentliche Stellen. Es stellte klar, dass § 4 BDSG keine Anwendung finden kann und deshalb entweder Art. 6 Abs. 1 lit. a DS-GVO oder Art. 6 Abs. 1 lit. f DS-GVO in Betracht kommen.

Videoüberwachung im Empfangsbereich

In dem durch das BVerwG zu entscheidenden Fall hatte eine Zahnärztin im Empfangsbereich ihrer Praxis eine Videokamera aufgestellt. Die Eingangstür der Praxis war während der Öffnungszeiten nicht verschlossen und der Empfangstresen nicht besetzt. Die Live-Aufnahmen der Videokamera konnten auf Monitoren in den Behandlungszimmern angesehen werden, eine Speicherung der Aufnahmen fand nach Aussage der Zahnärztin nicht statt. Als Begründung für die Überwachung berief sie sich im Prozessverlauf unter anderem auf die Sicherung ihres Hausrechts.

Die zuständige Datenschutz-Aufsichtsbehörde gab der Zahnärztin im Wege einer Anordnung auf, die Kamera so auszurichten, dass die Bereiche, die Besuchern offenstehen, während der Öffnungszeiten der Praxis nicht mehr erfasst werden. Die Zahnärztin klagte gegen die behördliche Anordnung.

Entscheidungsgründe des BVerwG

Das Gericht wies die Revision der Zahnärztin als unbegründet zurück und entschied, dass die Anordnung der Behörde rechtmäßig ergangen sei. Zu der mittlerweile anwendbaren Rechtsgrundlage entschieden die Richter, dass Rechtsgrundlage für Videoüberwachungen öffentlicher Räume durch nichtöffentliche Stellen nicht § 4 BDSG sein kann, sondern allein Art. 6 Abs. 1 lit. a DS-GVO oder Art. 6 Abs. 1 lit. f DS-GVO.

Die DS-GVO – so das Gericht - regelt die Rechtmäßigkeit der Verarbeitung personenbezogener Daten abschließend in Art. 6 DS-GVO. In Art. 6 Abs. 2 und 3 DS-GVO gibt es zwar Öffnungsklauseln, welche es den nationalen Gesetzgebern gestatten die Vorschriften der Verarbeitung anzupassen, sofern es sich hierbei um eine Rechtsgrundlage nach Art. 6 Abs. 1 lit. c oder lit. e DS-GVO handelt.

Verarbeitungen personenbezogener Daten durch nichtöffentliche Stellen können jedoch von vornherein nicht auf Art. 6 Abs. 1 lit. e DS-GVO gestützt werden, sofern der Stelle keine öffentlichen Befugnisse übertragen wurden. Denn eine nichtöffentliche Stelle kann sich nach Ansicht des BVerwG nicht selbst zum Sachwalter des öffentlichen Interesses erklären und eigenständig auf dieser Grundlage handeln. Bei Vorliegen eines öffentlichen Interesses muss stattdessen eine öffentliche Stelle tätig werden.

Der seit Mai 2018 in Deutschland geltende § 4 BDSG ist eine Vorschrift, die fast identisch den Wortlaut des bis zum Inkrafttreten des neuen BDSG geltenden § 6b BDSG (alte Fassung) wiedergibt und die Zulässigkeit der Videoüberwachung öffentlich zugänglicher Räume auf nationaler Ebene für nichtöffentliche sowie öffentliche Stellen regeln soll. Dieser § 4 BDSG, so das Gericht, ist jedoch bei nichtöffentlichen Stellen nicht anwendbar, da dem deutschen Gesetzgeber hierzu die Regelungskompetenz fehlt.

Anzuwendende Rechtsgrundlage bei Videoüberwachung durch nichtöffentliche Stellen

Eine Einwilligung der betroffenen Personen nach Art. 6 Abs. 1 lit. a DS-GVO kommt bei Videoüberwachungen öffentlich zugänglicher Räume regelmäßig nicht in Betracht. Deshalb kommt als Rechtsgrundlage bei nichtöffentlichen Stellen in nahezu allen Fällen nur Art. 6 Abs. 1 lit. f DS-GVO in Betracht.

Bei einer Videoüberwachung ist vor allem die Frage relevant, ob die Maßnahme erforderlich ist. Nach dem allgemein anerkannten Begriffsverständnis ist Erforderlichkeit anzunehmen, wenn ein Grund, wie eine Gefährdungslage, hinreichend durch Tatsachen oder die allgemeine Lebenserfahrung belegt ist, und dem Grund nicht ebenso gut durch ein gleich wirksames milderes Mittel entgegengewirkt werden kann. Ein bloßes Berufen auf das in § 4 BDSG aufgeführte Hausrecht ist – so das BVerwG – allein nicht ausreichend. Vielmehr müssen besondere Gründe vorliegen, die den Einsatz einer Videoüberwachung rechtfertigen. Dazu gehört auch die Frage, ob nicht andere Maßnahmen möglich sind, die das informationelle Selbstbestimmungsrecht der betroffenen Personen nicht berühren. Im vorliegenden Fall sahen die Richter als milderes Mittel unter anderem an, dass die Zahnärztin die Eingangstür zu ihrer Praxis verschlossen halten könne.

Bedeutung des Urteils in der Praxis

Die Debatte um Videoüberwachungen ist weiterhin ein großes Thema. Erst im Juni dieses Jahres verhängte die französische Aufsichtsbehörde CNIL eine Geldbuße in Höhe von 20.000 €, weil ein Unternehmen seine Arbeitnehmer dauerhaft am Arbeitsplatz gefilmt hatte.

Kein Thema im Urteil, aber von großer praktischer Bedeutung sind bei jeder Videoüberwachung die Dokumentationspflichten nach Art. 5, 30 DS-GVO. Daneben ist zu beachten, dass die allgemeinen Informationspflichten nach Artt. 13, 14 DS-GVO auch bei einer Videoüberwachung gelten. Eine Videoüberwachung ist als Verarbeitungstätigkeit mitsamt Zweck, Daten- und Betroffenenkategorien, mögliche Empfänger und löschfristen zu dokumentieren und die betroffenen Personen zu informieren. Aus Art. 5 DS-GVO ergeben sich darüber hinaus noch Dokumentationspflichten bezüglich der Verarbeitungsgrundsätze. Allein die fehlende Dokumentation ist bußgeldbewehrt.

Aber auch aus anderer Warte ist das Urteil interessant, denn das BVerwG hat ausdrücklich die Regelungskompetenz des deutschen Gesetzgebers verneint. § 4 BDSG ist jedoch nicht die einzige Regelung im BDSG bei der darüber gestritten wird, ob eine nationale Regelungskompetenz besteht. Es ist also durchaus möglich, dass die Gerichte weitere Regelungen im BDSG zu Fall bringen.

Davon abgesehen wird aus dem Urteil des BVerwG deutlich, dass es gerade nicht ausreicht sich pauschal auf sein Hausrecht zu berufen. Vielmehr muss der Verantwortliche vor Installation der Videoüberwachung überlegen, warum diese notwendig ist und warum es keine anderen, gleich effektiven Mittel gibt, mit denen der Zweck der Aufzeichnung ebenfalls erreicht werden kann. Kurzum müssen die Voraussetzungen des Art. 6 Abs. 1 lit. f DS-GVO vorliegen.

Rechtsanwalt Nils Steffen

dmp@derra-ul.de

Stand: 07/2019

Das Bundesverwaltungsgericht entschied mit Urteil vom 27.03.2019 (Az. 6 C 2.18) über die anwendbare Rechtsgrundlage für Maßnahmen der Videoüberwachung durch nichtöffentliche Stellen. Es stellte klar, dass § 4 BDSG keine Anwendung finden kann und deshalb entweder Art. 6 Abs. 1 lit. a DS-GVO oder Art. 6 Abs. 1 lit. f DS-GVO in Betracht kommen.

Videoüberwachung im Empfangsbereich

In dem durch das BVerwG zu entscheidenden Fall hatte eine Zahnärztin im Empfangsbereich ihrer Praxis eine Videokamera aufgestellt. Die Eingangstür der Praxis war während der Öffnungszeiten nicht verschlossen und der Empfangstresen nicht besetzt. Die Live-Aufnahmen der Videokamera konnten auf Monitoren in den Behandlungszimmern angesehen werden, eine Speicherung der Aufnahmen fand nach Aussage der Zahnärztin nicht statt. Als Begründung für die Überwachung berief sie sich im Prozessverlauf unter anderem auf die Sicherung ihres Hausrechts.

Die zuständige Datenschutz-Aufsichtsbehörde gab der Zahnärztin im Wege einer Anordnung auf, die Kamera so auszurichten, dass die Bereiche, die Besuchern offenstehen, während der Öffnungszeiten der Praxis nicht mehr erfasst werden. Die Zahnärztin klagte gegen die behördliche Anordnung.

Entscheidungsgründe des BVerwG

Das Gericht wies die Revision der Zahnärztin als unbegründet zurück und entschied, dass die Anordnung der Behörde rechtmäßig ergangen sei. Zu der mittlerweile anwendbaren Rechtsgrundlage entschieden die Richter, dass Rechtsgrundlage für Videoüberwachungen öffentlicher Räume durch nichtöffentliche Stellen nicht § 4 BDSG sein kann, sondern allein Art. 6 Abs. 1 lit. a DS-GVO oder Art. 6 Abs. 1 lit. f DS-GVO.

Die DS-GVO – so das Gericht - regelt die Rechtmäßigkeit der Verarbeitung personenbezogener Daten abschließend in Art. 6 DS-GVO. In Art. 6 Abs. 2 und 3 DS-GVO gibt es zwar Öffnungsklauseln, welche es den nationalen Gesetzgebern gestatten die Vorschriften der Verarbeitung anzupassen, sofern es sich hierbei um eine Rechtsgrundlage nach Art. 6 Abs. 1 lit. c oder lit. e DS-GVO handelt.

Verarbeitungen personenbezogener Daten durch nichtöffentliche Stellen können jedoch von vornherein nicht auf Art. 6 Abs. 1 lit. e DS-GVO gestützt werden, sofern der Stelle keine öffentlichen Befugnisse übertragen wurden. Denn eine nichtöffentliche Stelle kann sich nach Ansicht des BVerwG nicht selbst zum Sachwalter des öffentlichen Interesses erklären und eigenständig auf dieser Grundlage handeln. Bei Vorliegen eines öffentlichen Interesses muss stattdessen eine öffentliche Stelle tätig werden.

Der seit Mai 2018 in Deutschland geltende § 4 BDSG ist eine Vorschrift, die fast identisch den Wortlaut des bis zum Inkrafttreten des neuen BDSG geltenden § 6b BDSG (alte Fassung) wiedergibt und die Zulässigkeit der Videoüberwachung öffentlich zugänglicher Räume auf nationaler Ebene für nichtöffentliche sowie öffentliche Stellen regeln soll. Dieser § 4 BDSG, so das Gericht, ist jedoch bei nichtöffentlichen Stellen nicht anwendbar, da dem deutschen Gesetzgeber hierzu die Regelungskompetenz fehlt.

Anzuwendende Rechtsgrundlage bei Videoüberwachung durch nichtöffentliche Stellen

Eine Einwilligung der betroffenen Personen nach Art. 6 Abs. 1 lit. a DS-GVO kommt bei Videoüberwachungen öffentlich zugänglicher Räume regelmäßig nicht in Betracht. Deshalb kommt als Rechtsgrundlage bei nichtöffentlichen Stellen in nahezu allen Fällen nur Art. 6 Abs. 1 lit. f DS-GVO in Betracht.

Bei einer Videoüberwachung ist vor allem die Frage relevant, ob die Maßnahme erforderlich ist. Nach dem allgemein anerkannten Begriffsverständnis ist Erforderlichkeit anzunehmen, wenn ein Grund, wie eine Gefährdungslage, hinreichend durch Tatsachen oder die allgemeine Lebenserfahrung belegt ist, und dem Grund nicht ebenso gut durch ein gleich wirksames milderes Mittel entgegengewirkt werden kann. Ein bloßes Berufen auf das in § 4 BDSG aufgeführte Hausrecht ist – so das BVerwG – allein nicht ausreichend. Vielmehr müssen besondere Gründe vorliegen, die den Einsatz einer Videoüberwachung rechtfertigen. Dazu gehört auch die Frage, ob nicht andere Maßnahmen möglich sind, die das informationelle Selbstbestimmungsrecht der betroffenen Personen nicht berühren. Im vorliegenden Fall sahen die Richter als milderes Mittel unter anderem an, dass die Zahnärztin die Eingangstür zu ihrer Praxis verschlossen halten könne.

Bedeutung des Urteils in der Praxis

Die Debatte um Videoüberwachungen ist weiterhin ein großes Thema. Erst im Juni dieses Jahres verhängte die französische Aufsichtsbehörde CNIL eine Geldbuße in Höhe von 20.000 €, weil ein Unternehmen seine Arbeitnehmer dauerhaft am Arbeitsplatz gefilmt hatte.

Kein Thema im Urteil, aber von großer praktischer Bedeutung sind bei jeder Videoüberwachung die Dokumentationspflichten nach Art. 5, 30 DS-GVO. Daneben ist zu beachten, dass die allgemeinen Informationspflichten nach Artt. 13, 14 DS-GVO auch bei einer Videoüberwachung gelten. Eine Videoüberwachung ist als Verarbeitungstätigkeit mitsamt Zweck, Daten- und Betroffenenkategorien, mögliche Empfänger und löschfristen zu dokumentieren und die betroffenen Personen zu informieren. Aus Art. 5 DS-GVO ergeben sich darüber hinaus noch Dokumentationspflichten bezüglich der Verarbeitungsgrundsätze. Allein die fehlende Dokumentation ist bußgeldbewehrt.

Aber auch aus anderer Warte ist das Urteil interessant, denn das BVerwG hat ausdrücklich die Regelungskompetenz des deutschen Gesetzgebers verneint. § 4 BDSG ist jedoch nicht die einzige Regelung im BDSG bei der darüber gestritten wird, ob eine nationale Regelungskompetenz besteht. Es ist also durchaus möglich, dass die Gerichte weitere Regelungen im BDSG zu Fall bringen.

Davon abgesehen wird aus dem Urteil des BVerwG deutlich, dass es gerade nicht ausreicht sich pauschal auf sein Hausrecht zu berufen. Vielmehr muss der Verantwortliche vor Installation der Videoüberwachung überlegen, warum diese notwendig ist und warum es keine anderen, gleich effektiven Mittel gibt, mit denen der Zweck der Aufzeichnung ebenfalls erreicht werden kann. Kurzum müssen die Voraussetzungen des Art. 6 Abs. 1 lit. f DS-GVO vorliegen.

Rechtsanwalt Nils Steffen

dmp@derra-ul.de

Stand: 07/2019

27 Jun
2019

Zulässigkeit von Personalausweiskopien und Datenschutz

Lassen Sie sich von Kunden oder im Rahmen sonstiger Vertragsbeziehungen zur Identitätsprüfung den Personalausweis vorlegen ...

mehr lesen

Lassen Sie sich von Kunden oder im Rahmen sonstiger Vertragsbeziehungen zur Identitätsprüfung den Personalausweis vorlegen oder verlangen Sie sogar eine Kopie davon? Diese Praxis wird von den deutschen Datenschutzaufsichtsbehörden schon länger kritisiert und ist immer wieder Gegenstand zahlreicher Beschwerden. Insbesondere wegen der gestiegenen Bußgeldhöhen sollten Sie sich mit den datenschutzrechtlichen Anforderungen auseinandersetzen. Nachfolgend geben wir Ihnen dazu einen Überblick.

Hinweise der Aufsichtsbehörde

Die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDW NRW) veröffentlichte dazu kürzlich die Broschüre „Personalausweis und Datenschutz“ (abrufbar unter https://www.ldi.nrw.de/mainmenu_Aktuelles/Inhalt/Personalausweis-und-Datenschutz/Datenschutz-und-Personalausweis-2019_06.pdf, Stand: 26.06.2019). Darin stellt sie eine Übersicht mit Praxisbeispielen zusammen und gibt hilfreiche Hinweise dazu, wann Daten des Personalausweises kopiert oder lediglich notiert werden dürfen oder ob der Ausweis in Einzelfällen sogar gescannt werden darf. Besonders praxisrelevante Bereiche betreffen beispielsweise die Angabe persönlicher Daten in Selbstauskünften, bei einem Vertragsschluss oder bei der Vermietung von Wohnraum sowie die Verwendung des Personalausweises zur Hinterlegung als Pfand oder im Rahmen der Online-Identifizierung.

Grundsatz: Kopie nur mit Zustimmung 

Unabhängig von den datenschutzrechtlichen Regelungen finden sich grundlegende Regelungen zur Anfertigung von Personalausweiskopien im Personalausweisgesetz. Danach dürfen Sie den Personalausweis stets nur mit Zustimmung der Ausweisinhaberin kopieren (§ 20 Abs. 2 Personalausweisgesetz). Ablichtungen müssen außerdem stets als Kopie erkennbar sein.

Wichtig: Auf keinen Fall darf (außer natürlich von dazu gesondert berechtigten Behörden) von der Ausweisinhaberin verlangt werden, den Personalausweis zu hinterlegen! Damit darf nicht gefordert werden, den Ausweis als Pfand abzugeben, um beispielsweise entliehene Gegenstände ordnungsgemäß zurückzuerhalten oder wenn Kunden nicht genügend Geld bei sich haben.

Eine Ausnahme von dem Zustimmungserfordernis besteht beispielsweise für Mobilfunkanbieter. Diese müssen sogar Name, Anschrift und Geburtsdatum der Anschlussinhaberin erheben und speichern, um auf Auskunftsersuchen der Sicherheitsbehörden Auskunft erteilen zu können (§ 111 Abs. 1 S. 1 Telekommunikationsgesetz – „TKG“). Um diese Daten auf ihre Richtigkeit zu prüfen, dürfen sie sich dafür den Personalausweis vorlegen lassen (§ 111 Abs. 1 S. 3 Nr. 1 TKG). Daneben dürfen die Anbieter sich den Personalausweis bei Vertragsschluss zur Erbringung von Telekommunikationsdiensten vorlegen lassen und sogar eine Kopie erstellen, sofern dies notwendig ist, um die Angaben des Kunden zu überprüfen (§ 95 Abs. 4 S. 1, 3 TKG). Nach Feststellung der Angaben ist diese Kopie jedoch unverzüglich zu vernichten!

Datenschutzrechtliche Anforderungen

Daneben sind auch die Regelungen des Datenschutzrechts zu beachten. Die Datenschutz-Grundverordnung (DS-GVO) legt zunächst grundlegende Prinzipien fest, die bei allen Datenverarbeitungstätigkeiten zu beachten sind. Eines dieser Prinzipien stellt der Grundsatz der Datenminimierung dar. Danach muss die Verarbeitung persönlicher Daten stets auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein (Art. 5 Abs. 1 lit. c DS-GVO). Das heißt, dass eine Kopie nur angefertigt werden darf, sofern dies tatsächlich für den Einzelfall zugrundeliegenden Zweck notwendig ist.

Außerdem sind die weiteren Voraussetzungen für eine rechtmäßige Datenverarbeitung zu beachten, insbesondere zur Rechtsgrundlage. Hierfür ist in erster Linie Art. 6 DS-GVO zu beachten, der die möglichen Rechtsgrundlagen aufzählt. Regelmäßig kommen für die Erhebung und Speicherung von Personalausweisdaten beispielsweise folgende Rechtsgrundlagen in Betracht: eine ausdrückliche Einwilligung (Art. 6 Abs. 1 lit. a DS-GVO), ein mit der betroffenen Person geschlossener Vertrag (Art. 1 Abs. 1 lit. b DS-GVO) oder eine Interessenabwägung (Art. 6 Abs. 1 lit. f DS-GVO). Welche Rechtsgrundlage letztendlich in Betracht kommt, muss in jedem Einzelfall konkret geprüft werden. Dabei sollten die Vor- und Nachteile der jeweiligen Rechtsgrundlagen gegeneinander abgewogen werden.

Bußgeld bei Verstoß

Bei Verstößen sowohl gegen die grundlegenden Prinzipien als auch gegen zahlreiche weitere Vorschriften, insbesondere zur Rechtsgrundlage, können Geldbußen von bis zu 20 Millionen Euro oder von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes verhängt werden (Art. 83 Abs. 5 lit. a DS-GVO). Die Höhe eines Bußgeldes wird maßgeblich unter anderem durch die Art und Schwere des Verstoßes, den Zweck oder die Art der personenbezogenen Daten beeinflusst. Die im Personalausweis enthaltenen Daten stellen naturgemäß besonders empfindliche und schützenswerte Daten dar, da bei deren missbräuchlicher Verwendung erheblicher Schaden verursacht werden kann. Dies sollten Sie sich bei der Verarbeitung dieser Daten stets vor Augen halten, um hohe Bußgelder zu vermeiden.

Das bedeutet: Sollte es bei Ihnen üblich sein, Personalausweiskopien anzufertigen oder zu verlangen, empfehlen wir Ihnen, sich mit den rechtlichen Rahmenbedingungen beschäftigen. Um hohe Bußgelder zu vermeiden, prüfen Sie die einschlägigen Zulässigkeitsvoraussetzungen, beispielsweise im Personalausweisgesetz und in der DS-GVO. Dabei sind wir Ihnen gern behilflich.

Rechtsanwältin Johanna Mäkert, LL.M. (Bukarest)

dmp@derra-b.de

Stand: 06/2019

 

Lassen Sie sich von Kunden oder im Rahmen sonstiger Vertragsbeziehungen zur Identitätsprüfung den Personalausweis vorlegen oder verlangen Sie sogar eine Kopie davon? Diese Praxis wird von den deutschen Datenschutzaufsichtsbehörden schon länger kritisiert und ist immer wieder Gegenstand zahlreicher Beschwerden. Insbesondere wegen der gestiegenen Bußgeldhöhen sollten Sie sich mit den datenschutzrechtlichen Anforderungen auseinandersetzen. Nachfolgend geben wir Ihnen dazu einen Überblick.

Hinweise der Aufsichtsbehörde

Die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDW NRW) veröffentlichte dazu kürzlich die Broschüre „Personalausweis und Datenschutz“ (abrufbar unter https://www.ldi.nrw.de/mainmenu_Aktuelles/Inhalt/Personalausweis-und-Datenschutz/Datenschutz-und-Personalausweis-2019_06.pdf, Stand: 26.06.2019). Darin stellt sie eine Übersicht mit Praxisbeispielen zusammen und gibt hilfreiche Hinweise dazu, wann Daten des Personalausweises kopiert oder lediglich notiert werden dürfen oder ob der Ausweis in Einzelfällen sogar gescannt werden darf. Besonders praxisrelevante Bereiche betreffen beispielsweise die Angabe persönlicher Daten in Selbstauskünften, bei einem Vertragsschluss oder bei der Vermietung von Wohnraum sowie die Verwendung des Personalausweises zur Hinterlegung als Pfand oder im Rahmen der Online-Identifizierung.

Grundsatz: Kopie nur mit Zustimmung 

Unabhängig von den datenschutzrechtlichen Regelungen finden sich grundlegende Regelungen zur Anfertigung von Personalausweiskopien im Personalausweisgesetz. Danach dürfen Sie den Personalausweis stets nur mit Zustimmung der Ausweisinhaberin kopieren (§ 20 Abs. 2 Personalausweisgesetz). Ablichtungen müssen außerdem stets als Kopie erkennbar sein.

Wichtig: Auf keinen Fall darf (außer natürlich von dazu gesondert berechtigten Behörden) von der Ausweisinhaberin verlangt werden, den Personalausweis zu hinterlegen! Damit darf nicht gefordert werden, den Ausweis als Pfand abzugeben, um beispielsweise entliehene Gegenstände ordnungsgemäß zurückzuerhalten oder wenn Kunden nicht genügend Geld bei sich haben.

Eine Ausnahme von dem Zustimmungserfordernis besteht beispielsweise für Mobilfunkanbieter. Diese müssen sogar Name, Anschrift und Geburtsdatum der Anschlussinhaberin erheben und speichern, um auf Auskunftsersuchen der Sicherheitsbehörden Auskunft erteilen zu können (§ 111 Abs. 1 S. 1 Telekommunikationsgesetz – „TKG“). Um diese Daten auf ihre Richtigkeit zu prüfen, dürfen sie sich dafür den Personalausweis vorlegen lassen (§ 111 Abs. 1 S. 3 Nr. 1 TKG). Daneben dürfen die Anbieter sich den Personalausweis bei Vertragsschluss zur Erbringung von Telekommunikationsdiensten vorlegen lassen und sogar eine Kopie erstellen, sofern dies notwendig ist, um die Angaben des Kunden zu überprüfen (§ 95 Abs. 4 S. 1, 3 TKG). Nach Feststellung der Angaben ist diese Kopie jedoch unverzüglich zu vernichten!

Datenschutzrechtliche Anforderungen

Daneben sind auch die Regelungen des Datenschutzrechts zu beachten. Die Datenschutz-Grundverordnung (DS-GVO) legt zunächst grundlegende Prinzipien fest, die bei allen Datenverarbeitungstätigkeiten zu beachten sind. Eines dieser Prinzipien stellt der Grundsatz der Datenminimierung dar. Danach muss die Verarbeitung persönlicher Daten stets auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein (Art. 5 Abs. 1 lit. c DS-GVO). Das heißt, dass eine Kopie nur angefertigt werden darf, sofern dies tatsächlich für den Einzelfall zugrundeliegenden Zweck notwendig ist.

Außerdem sind die weiteren Voraussetzungen für eine rechtmäßige Datenverarbeitung zu beachten, insbesondere zur Rechtsgrundlage. Hierfür ist in erster Linie Art. 6 DS-GVO zu beachten, der die möglichen Rechtsgrundlagen aufzählt. Regelmäßig kommen für die Erhebung und Speicherung von Personalausweisdaten beispielsweise folgende Rechtsgrundlagen in Betracht: eine ausdrückliche Einwilligung (Art. 6 Abs. 1 lit. a DS-GVO), ein mit der betroffenen Person geschlossener Vertrag (Art. 1 Abs. 1 lit. b DS-GVO) oder eine Interessenabwägung (Art. 6 Abs. 1 lit. f DS-GVO). Welche Rechtsgrundlage letztendlich in Betracht kommt, muss in jedem Einzelfall konkret geprüft werden. Dabei sollten die Vor- und Nachteile der jeweiligen Rechtsgrundlagen gegeneinander abgewogen werden.

Bußgeld bei Verstoß

Bei Verstößen sowohl gegen die grundlegenden Prinzipien als auch gegen zahlreiche weitere Vorschriften, insbesondere zur Rechtsgrundlage, können Geldbußen von bis zu 20 Millionen Euro oder von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes verhängt werden (Art. 83 Abs. 5 lit. a DS-GVO). Die Höhe eines Bußgeldes wird maßgeblich unter anderem durch die Art und Schwere des Verstoßes, den Zweck oder die Art der personenbezogenen Daten beeinflusst. Die im Personalausweis enthaltenen Daten stellen naturgemäß besonders empfindliche und schützenswerte Daten dar, da bei deren missbräuchlicher Verwendung erheblicher Schaden verursacht werden kann. Dies sollten Sie sich bei der Verarbeitung dieser Daten stets vor Augen halten, um hohe Bußgelder zu vermeiden.

Das bedeutet: Sollte es bei Ihnen üblich sein, Personalausweiskopien anzufertigen oder zu verlangen, empfehlen wir Ihnen, sich mit den rechtlichen Rahmenbedingungen beschäftigen. Um hohe Bußgelder zu vermeiden, prüfen Sie die einschlägigen Zulässigkeitsvoraussetzungen, beispielsweise im Personalausweisgesetz und in der DS-GVO. Dabei sind wir Ihnen gern behilflich.

Rechtsanwältin Johanna Mäkert, LL.M. (Bukarest)

dmp@derra-b.de

Stand: 06/2019

 

18 Jun
2019

Keine Weitergabe einer Meldeanschrift des Schuldners bei Auskunftssperre

Das Interesse von Gläubigern an der Ermittlung einer aktuellen Anschrift des Schuldners ist in der Regel sehr hoch ...

mehr lesen

Das Interesse von Gläubigern an der Ermittlung einer aktuellen Anschrift des Schuldners ist in der Regel sehr hoch, um überhaupt Vollstreckungsmaßnahmen einleiten zu können.

Eine Möglichkeit der Anschriftenermittlung ist die Beauftragung des Gerichtsvollziehers mit der Durchführung der Zwangsvollstreckung einschließlich der Ermittlung der aktuellen Anschrift des Schuldners durch Nachfrage bei der Meldebehörde gem. § 755 Abs. 1 ZPO.

In einer aktuellen Entscheidung hat der BGH entschieden, dass der Gerichtsvollzieher nicht befugt ist, im Falle der Eintragung einer Auskunftssperre im Melderegister die Anschrift des Schuldners an den Gläubiger weiterzugeben (BGH, Beschluss vom 10.10.2018 – VII ZB 12/15). Er darf die ihm von der Meldebehörde mitgeteilte Anschrift des Schuldners zur Erledigung der beauftragten Zwangsvollstreckungsmaßnahmen verwenden, jedoch nur soweit dem die Auskunftssperre nicht entgegensteht und er die schutzwürdigen Interessen des Schuldners an der Geheimhaltung seiner Anschrift durch geeignete Maßnahmen wahren kann.

Auskunftssperre im Melderegister

Gemäß § 51 Abs. 1 Bundesmeldegesetz hat die Meldebehörde auf Antrag oder von Amts wegen eine Auskunftssperre im Melderegister einzutragen, wenn Tatsachen vorliegen, die die Annahme rechtfertigen, dass der betroffenen oder einer anderen Person durch eine Melderegisterauskunft eine Gefahr für Leben, Gesundheit, persönliche Freiheit oder ähnliche schutzwürdige Interessen erwachsen kann. Eine Melderegisterauskunft ist in diesen Fällen unzulässig, es sei denn nach Anhörung der betroffenen Person kann eine entsprechende Gefahr ausgeschlossen werden (§ 51 Abs. 2 S. 1 Bundesmeldegesetz). Werden Daten an den Gerichtsvollzieher als eine sonstige öffentliche Stelle nach § 34 Abs. 1 S. 1 Bundesmeldegesetz i.V.m. § 2 Abs. 2 Bundesdatenschutzgesetz übermittelt, ist eine Verarbeitung oder Nutzung der übermittelten Daten und Hinweise durch den Gerichtsvollzieher nach § 41 Satz 2 Bundesmeldegesetz bei Eintragung einer Auskunftssperre im Melderegister nur zulässig, wenn die Beeinträchtigung schutzwürdiger Interessen der betroffenen Person ausgeschlossen ist.   

Geheimhaltung der Meldedaten

Nach Maßgabe dieser Regelungen ist der Gerichtsvollzieher nach Ansicht des BGH nicht befugt, eine ihm von der Meldebehörde mitgeteilte Anschrift des Schuldners an den Gläubiger weiterzugeben, da nicht ausgeschlossen werden kann, dass die Weitergabe die schutzwürdigen Interessen des Schuldners beeinträchtigt. Zutreffend geht der BGH davon aus, dass es nicht Aufgabe des Gerichtsvollziehers sei, nach Anhörung des Schuldners eine Einzelfallbeurteilung vorzunehmen und selbst zu entscheiden, ob im konkreten Fall ausgeschlossen werden kann, dass das aufgrund der Auskunftssperre grundsätzlich anzunehmende schutzwürdige Interesse des Schuldners an der Geheimhaltung seiner Anschrift ausnahmsweise im Verhältnis zum Gläubiger nicht beeinträchtigt ist.

Der Gerichtsvollzieher ist auch nicht gemäß § 755 Abs. 2 ZPO zur unbeschränkten Übermittlung der erhobenen Anschrift des Schuldners an den Gläubiger verpflichtet.

Durch die in § 755 Abs. 1 ZPO geregelte Befugnis des Gerichtsvollziehers zur Datenerhebung und die daraus abgeleitete Befugnis, die gewonnenen Erkenntnisse aus der Datenerhebung zur Durchführung der Zwangsvollstreckung, etwa zur Durchführung einer Pfändung, zu nutzen, wird dem gesetzgeberischen Ziel hinreichend Rechnung getragen. Der Gläubiger verfügt damit nach Auffassung des BGH auch bei einer bestehenden Auskunftssperre über effektive Erkenntnis- und Vollstreckungsmöglichkeiten. Damit werden seine Grundrechte auf Schutz des Eigentums (Art. 14 GG) und effektiven Rechtsschutz (Art. 19 IV GG), die den Staat verpflichten, effektive Mittel zur Durchsetzung titulierter Forderungen bereitzustellen, gegenüber dem Grundrecht des Schuldners auf informationelle Selbstbestimmung hinreichend gewahrt.

Das bedeutet für Sie: andere Wege der Anschriftenermittlung

Nach Rechtsauffassung des Bundesgerichtshofs ist es dem Gläubiger zumutbar, soweit die Ermittlung der aktuellen Anschrift tatsächlich notwendig ist, eine Melderegisterauskunft bei der insoweit sachnäheren Meldebehörde zu beantragen, die dann den Schuldner anzuhören hat, um gem. § 51 Abs. 1, 2 Bundesmeldegesetz zu entscheiden, ob eine Gefahr für Leben, Gesundheit, persönliche Freiheit oder ähnliche schutzwürdige Interessen ausgeschlossen und eine Melderegisterauskunft ausnahmsweise erteilt werden kann.

Rechtsanwältin Kathleen Brauner

dmp@derra-dd.de

Stand: 06/2019

Das Interesse von Gläubigern an der Ermittlung einer aktuellen Anschrift des Schuldners ist in der Regel sehr hoch, um überhaupt Vollstreckungsmaßnahmen einleiten zu können.

Eine Möglichkeit der Anschriftenermittlung ist die Beauftragung des Gerichtsvollziehers mit der Durchführung der Zwangsvollstreckung einschließlich der Ermittlung der aktuellen Anschrift des Schuldners durch Nachfrage bei der Meldebehörde gem. § 755 Abs. 1 ZPO.

In einer aktuellen Entscheidung hat der BGH entschieden, dass der Gerichtsvollzieher nicht befugt ist, im Falle der Eintragung einer Auskunftssperre im Melderegister die Anschrift des Schuldners an den Gläubiger weiterzugeben (BGH, Beschluss vom 10.10.2018 – VII ZB 12/15). Er darf die ihm von der Meldebehörde mitgeteilte Anschrift des Schuldners zur Erledigung der beauftragten Zwangsvollstreckungsmaßnahmen verwenden, jedoch nur soweit dem die Auskunftssperre nicht entgegensteht und er die schutzwürdigen Interessen des Schuldners an der Geheimhaltung seiner Anschrift durch geeignete Maßnahmen wahren kann.

Auskunftssperre im Melderegister

Gemäß § 51 Abs. 1 Bundesmeldegesetz hat die Meldebehörde auf Antrag oder von Amts wegen eine Auskunftssperre im Melderegister einzutragen, wenn Tatsachen vorliegen, die die Annahme rechtfertigen, dass der betroffenen oder einer anderen Person durch eine Melderegisterauskunft eine Gefahr für Leben, Gesundheit, persönliche Freiheit oder ähnliche schutzwürdige Interessen erwachsen kann. Eine Melderegisterauskunft ist in diesen Fällen unzulässig, es sei denn nach Anhörung der betroffenen Person kann eine entsprechende Gefahr ausgeschlossen werden (§ 51 Abs. 2 S. 1 Bundesmeldegesetz). Werden Daten an den Gerichtsvollzieher als eine sonstige öffentliche Stelle nach § 34 Abs. 1 S. 1 Bundesmeldegesetz i.V.m. § 2 Abs. 2 Bundesdatenschutzgesetz übermittelt, ist eine Verarbeitung oder Nutzung der übermittelten Daten und Hinweise durch den Gerichtsvollzieher nach § 41 Satz 2 Bundesmeldegesetz bei Eintragung einer Auskunftssperre im Melderegister nur zulässig, wenn die Beeinträchtigung schutzwürdiger Interessen der betroffenen Person ausgeschlossen ist.   

Geheimhaltung der Meldedaten

Nach Maßgabe dieser Regelungen ist der Gerichtsvollzieher nach Ansicht des BGH nicht befugt, eine ihm von der Meldebehörde mitgeteilte Anschrift des Schuldners an den Gläubiger weiterzugeben, da nicht ausgeschlossen werden kann, dass die Weitergabe die schutzwürdigen Interessen des Schuldners beeinträchtigt. Zutreffend geht der BGH davon aus, dass es nicht Aufgabe des Gerichtsvollziehers sei, nach Anhörung des Schuldners eine Einzelfallbeurteilung vorzunehmen und selbst zu entscheiden, ob im konkreten Fall ausgeschlossen werden kann, dass das aufgrund der Auskunftssperre grundsätzlich anzunehmende schutzwürdige Interesse des Schuldners an der Geheimhaltung seiner Anschrift ausnahmsweise im Verhältnis zum Gläubiger nicht beeinträchtigt ist.

Der Gerichtsvollzieher ist auch nicht gemäß § 755 Abs. 2 ZPO zur unbeschränkten Übermittlung der erhobenen Anschrift des Schuldners an den Gläubiger verpflichtet.

Durch die in § 755 Abs. 1 ZPO geregelte Befugnis des Gerichtsvollziehers zur Datenerhebung und die daraus abgeleitete Befugnis, die gewonnenen Erkenntnisse aus der Datenerhebung zur Durchführung der Zwangsvollstreckung, etwa zur Durchführung einer Pfändung, zu nutzen, wird dem gesetzgeberischen Ziel hinreichend Rechnung getragen. Der Gläubiger verfügt damit nach Auffassung des BGH auch bei einer bestehenden Auskunftssperre über effektive Erkenntnis- und Vollstreckungsmöglichkeiten. Damit werden seine Grundrechte auf Schutz des Eigentums (Art. 14 GG) und effektiven Rechtsschutz (Art. 19 IV GG), die den Staat verpflichten, effektive Mittel zur Durchsetzung titulierter Forderungen bereitzustellen, gegenüber dem Grundrecht des Schuldners auf informationelle Selbstbestimmung hinreichend gewahrt.

Das bedeutet für Sie: andere Wege der Anschriftenermittlung

Nach Rechtsauffassung des Bundesgerichtshofs ist es dem Gläubiger zumutbar, soweit die Ermittlung der aktuellen Anschrift tatsächlich notwendig ist, eine Melderegisterauskunft bei der insoweit sachnäheren Meldebehörde zu beantragen, die dann den Schuldner anzuhören hat, um gem. § 51 Abs. 1, 2 Bundesmeldegesetz zu entscheiden, ob eine Gefahr für Leben, Gesundheit, persönliche Freiheit oder ähnliche schutzwürdige Interessen ausgeschlossen und eine Melderegisterauskunft ausnahmsweise erteilt werden kann.

Rechtsanwältin Kathleen Brauner

dmp@derra-dd.de

Stand: 06/2019

04 Jun
2019

Ein Jahr DS-GVO – steigt nun die Höhe der Bußgelder?

Seit nunmehr einem Jahr gilt die Datenschutz-Grundverordnung (DS-GVO). Was hat sich seitdem getan? Wie weit sind Sie mit der Umsetzung?

mehr lesen

Seit nunmehr einem Jahr gilt die Datenschutz-Grundverordnung (DS-GVO). Was hat sich seitdem getan? Wie weit sind Sie mit der Umsetzung? Davon, dass die Gefahr von Bußgeldern mit der Zeit sinken wird, sollten Sie nicht ausgehen – „2019 wird das Jahr der Kontrolle“, ließ Dr. Stefan Brink, Landesbeauftragter für Datenschutz und Informationsfreiheit Baden-Württemberg (LfDI BW) erst kürzlich verlauten. Wer auf Lücke setze, müsse damit rechnen, dass 2019 ein „schwieriges Jahr“ werde. Verarbeiten Sie in Ihrem Unternehmen personenbezogene Daten, sollten Sie sich also damit befassen, welche Folgen diese Ankündigung für Sie haben könnte.

Immense Anzahl eingegangener Beschwerden

Laut einem Bericht des Europäischen Datenschutzausschusses (EDSA) wurden allein in den ersten neun Monaten seit Geltung der DS-GVO über 200.000 Verstöße bei den nationalen Aufsichtsbehörden gemeldet (EDSA, Bericht „First overview on the implementation of the GDPR and the roles and means of the national supervisory authorities“, abrufbar unter https://edpb.europa.eu/sites/edpb/files/files/file1/19_2019_edpb_written_report_to_libe_en.pdf, Stand: 21.05.2019). So gingen über 90.000 Beschwerden bei den Aufsichtsbehörden ein, während Verantwortliche (die Stellen, die personenbezogene Daten in eigener Verantwortung verarbeiten) in fast 65.000 Fällen eigene Datenpannen meldeten. Von diesen Eingaben wurde erst die Hälfte abschließend bearbeitet.

Bislang verhängte Bußgelder

In den ersten neun Monaten verhängten die Aufsichtsbehörden bereits immense Bußgelder – unionsweit in einer Höhe von insgesamt 56 Millionen Euro. Davon betreffen zwar allein 50 Millionen Euro das von der französischen Datenschutzbehörde gegen Google verhängte Bußgeld. Aber auch die übrigen Bußgelder gegen Unternehmen waren von beachtlicher Höhe: Diese richteten sich u.a. gegen ein Krankenhaus in Portugal (Zugriff auf Patientendaten durch Unbefugte: 400.000 Euro), ein Taxiunternehmen in Dänemark (unzulässige Speicherung von Telefonnummern der Kunden: 160.000 Euro), ein Unternehmen in Polen, das eine kommerzielle Datenbank betrieb (Nichterfüllung von Informationspflichten nach Art. 14 DS-GVO: 220.000 Euro) sowie jüngst gegen einen Zahlungsdienstleister in Litauen (unzureichende Maßnahmen der Datensicherheit sowie Verstoß gegen die Meldepflicht bei Datenpannen: 61.500 Euro).

In Deutschland wurden im letzten Jahr insgesamt 100 Bußgelder in Nordrhein-Westfalen, Hamburg, Baden-Württemberg, Rheinland-Pfalz, Berlin, Sachsen-Anhalt, Thüringen sowie im Saarland verhängt. Diese ergingen beispielsweise in Höhe von 20.000 Euro gegen den Betreiber einer Internetplattform, in Höhe von 50.000 Euro gegen eine Bank sowie 80.000 Euro wegen einer Datenpanne, bei der Gesundheitsdaten im Internet veröffentlicht wurden. Die sanktionierten Verstöße betrafen u.a. unzureichende Maßnahmen der Datensicherheit bei der Datenverarbeitung, die versehentliche Offenlegung von Daten an die falschen Personen, die Aufzeichnung von Telefonanrufen, unzulässige Werbe-E-Mails und offene E-Mail-Verteiler (hier erging das Bußgeld sogar gegen eine Privatperson).

Zukünftig sollen Bußgelder „in aller Regel deutlich höher ausfallen, als es in der Vergangenheit der Fall war“ (LfDI BW, 34. Tätigkeitsbericht Datenschutz 2018, abrufbar unter https://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2019/02/LfDI-34.-Datenschutz-T%C3%A4tigkeitsbericht-Internet.pdf, Stand: 21.05.2019).

Umsetzung der DS-GVO prüfen

Zudem haben mehrere Aufsichtsbehörden der Länder angekündigt, darüber hinaus vermehrt – auch unangekündigte – Kontrollen durchzuführen. Das bedeutet für Sie: Auf einen Verstoß sollten Sie es nicht ankommen lassen. Erfahrungsgemäß haben sich viele Unternehmen im letzten Jahr zunächst intensiv mit der Umsetzung der DS-GVO beschäftigt. Erste Schritte zur Erfüllung grundlegender Pflichten wurden in Angriff genommen. Oft verblieb es aber dabei, einen Datenschutzbeauftragten zu benennen und Datenschutzhinweise zur Erfüllung der Informationspflichten zu erstellen.

Das bedeutet für Sie: Eine mangelnde Umsetzung der DS-GVO birgt weiterhin ein hohes Risiko. Deswegen sollten Sie nun den „Jahrestag“ zum Anlass nehmen, in die zweite Runde „Umsetzung DS-GVO“ zu starten. Überprüfen sie regelmäßig die bei Ihnen stattfindenden Verarbeitungsvorgänge auf ihre Rechtmäßigkeit. Klopfen Sie ab, wo Sie bei der Umsetzung der datenschutzrechtlichen Anforderungen stehen: Stellen Sie beispielsweise sicher, dass Sie im Falle einer Auftragsverarbeitung einen entsprechenden Vertrag mit dem Dienstleister geschlossen haben. Schulen Sie regelmäßig Ihre Mitarbeiter. Überprüfen Sie die Maßnahmen zur Gewährleistung einer angemessenen Datensicherheit. Diese und weitere Schritte werden Ihnen helfen, Bußgelder zu vermeiden.

Rechtsanwältin Johanna Mäkert, LL.M. (Bukarest)

dmp@derra-b.de

Stand: 06/2019

Seit nunmehr einem Jahr gilt die Datenschutz-Grundverordnung (DS-GVO). Was hat sich seitdem getan? Wie weit sind Sie mit der Umsetzung? Davon, dass die Gefahr von Bußgeldern mit der Zeit sinken wird, sollten Sie nicht ausgehen – „2019 wird das Jahr der Kontrolle“, ließ Dr. Stefan Brink, Landesbeauftragter für Datenschutz und Informationsfreiheit Baden-Württemberg (LfDI BW) erst kürzlich verlauten. Wer auf Lücke setze, müsse damit rechnen, dass 2019 ein „schwieriges Jahr“ werde. Verarbeiten Sie in Ihrem Unternehmen personenbezogene Daten, sollten Sie sich also damit befassen, welche Folgen diese Ankündigung für Sie haben könnte.

Immense Anzahl eingegangener Beschwerden

Laut einem Bericht des Europäischen Datenschutzausschusses (EDSA) wurden allein in den ersten neun Monaten seit Geltung der DS-GVO über 200.000 Verstöße bei den nationalen Aufsichtsbehörden gemeldet (EDSA, Bericht „First overview on the implementation of the GDPR and the roles and means of the national supervisory authorities“, abrufbar unter https://edpb.europa.eu/sites/edpb/files/files/file1/19_2019_edpb_written_report_to_libe_en.pdf, Stand: 21.05.2019). So gingen über 90.000 Beschwerden bei den Aufsichtsbehörden ein, während Verantwortliche (die Stellen, die personenbezogene Daten in eigener Verantwortung verarbeiten) in fast 65.000 Fällen eigene Datenpannen meldeten. Von diesen Eingaben wurde erst die Hälfte abschließend bearbeitet.

Bislang verhängte Bußgelder

In den ersten neun Monaten verhängten die Aufsichtsbehörden bereits immense Bußgelder – unionsweit in einer Höhe von insgesamt 56 Millionen Euro. Davon betreffen zwar allein 50 Millionen Euro das von der französischen Datenschutzbehörde gegen Google verhängte Bußgeld. Aber auch die übrigen Bußgelder gegen Unternehmen waren von beachtlicher Höhe: Diese richteten sich u.a. gegen ein Krankenhaus in Portugal (Zugriff auf Patientendaten durch Unbefugte: 400.000 Euro), ein Taxiunternehmen in Dänemark (unzulässige Speicherung von Telefonnummern der Kunden: 160.000 Euro), ein Unternehmen in Polen, das eine kommerzielle Datenbank betrieb (Nichterfüllung von Informationspflichten nach Art. 14 DS-GVO: 220.000 Euro) sowie jüngst gegen einen Zahlungsdienstleister in Litauen (unzureichende Maßnahmen der Datensicherheit sowie Verstoß gegen die Meldepflicht bei Datenpannen: 61.500 Euro).

In Deutschland wurden im letzten Jahr insgesamt 100 Bußgelder in Nordrhein-Westfalen, Hamburg, Baden-Württemberg, Rheinland-Pfalz, Berlin, Sachsen-Anhalt, Thüringen sowie im Saarland verhängt. Diese ergingen beispielsweise in Höhe von 20.000 Euro gegen den Betreiber einer Internetplattform, in Höhe von 50.000 Euro gegen eine Bank sowie 80.000 Euro wegen einer Datenpanne, bei der Gesundheitsdaten im Internet veröffentlicht wurden. Die sanktionierten Verstöße betrafen u.a. unzureichende Maßnahmen der Datensicherheit bei der Datenverarbeitung, die versehentliche Offenlegung von Daten an die falschen Personen, die Aufzeichnung von Telefonanrufen, unzulässige Werbe-E-Mails und offene E-Mail-Verteiler (hier erging das Bußgeld sogar gegen eine Privatperson).

Zukünftig sollen Bußgelder „in aller Regel deutlich höher ausfallen, als es in der Vergangenheit der Fall war“ (LfDI BW, 34. Tätigkeitsbericht Datenschutz 2018, abrufbar unter https://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2019/02/LfDI-34.-Datenschutz-T%C3%A4tigkeitsbericht-Internet.pdf, Stand: 21.05.2019).

Umsetzung der DS-GVO prüfen

Zudem haben mehrere Aufsichtsbehörden der Länder angekündigt, darüber hinaus vermehrt – auch unangekündigte – Kontrollen durchzuführen. Das bedeutet für Sie: Auf einen Verstoß sollten Sie es nicht ankommen lassen. Erfahrungsgemäß haben sich viele Unternehmen im letzten Jahr zunächst intensiv mit der Umsetzung der DS-GVO beschäftigt. Erste Schritte zur Erfüllung grundlegender Pflichten wurden in Angriff genommen. Oft verblieb es aber dabei, einen Datenschutzbeauftragten zu benennen und Datenschutzhinweise zur Erfüllung der Informationspflichten zu erstellen.

Das bedeutet für Sie: Eine mangelnde Umsetzung der DS-GVO birgt weiterhin ein hohes Risiko. Deswegen sollten Sie nun den „Jahrestag“ zum Anlass nehmen, in die zweite Runde „Umsetzung DS-GVO“ zu starten. Überprüfen sie regelmäßig die bei Ihnen stattfindenden Verarbeitungsvorgänge auf ihre Rechtmäßigkeit. Klopfen Sie ab, wo Sie bei der Umsetzung der datenschutzrechtlichen Anforderungen stehen: Stellen Sie beispielsweise sicher, dass Sie im Falle einer Auftragsverarbeitung einen entsprechenden Vertrag mit dem Dienstleister geschlossen haben. Schulen Sie regelmäßig Ihre Mitarbeiter. Überprüfen Sie die Maßnahmen zur Gewährleistung einer angemessenen Datensicherheit. Diese und weitere Schritte werden Ihnen helfen, Bußgelder zu vermeiden.

Rechtsanwältin Johanna Mäkert, LL.M. (Bukarest)

dmp@derra-b.de

Stand: 06/2019

31 Mai
2019

Leitfaden "Vernetzte und autonome Mobilität"

Der Leitfaden "Vernetzte und autonome Mobilität", an dem u.a. RA Dr. Eckhardt und RA Steffen mitgewirkt haben, zeigt aktuelle und künftige Entwicklungen in der Digitalisierung des Mobilitätssektors auf. Hier erhalten Sie den Leitfaden kostenfrei.

mehr lesen
23 Mai
2019

Ist die GPS-Ortung von Firmenfahrzeugen zulässig?

Viele Unternehmen verwenden gerade beim Einsatz von Vertriebsmitarbeitern oder Zustellfahrzeugen eine GPS-Ortung, um ihren Betriebsablauf optimieren zu können.

mehr lesen

Viele Unternehmen verwenden gerade beim Einsatz von Vertriebsmitarbeitern oder Zustellfahrzeugen eine GPS-Ortung, um ihren Betriebsablauf optimieren zu können. Die datenschutzrechtliche Zulässigkeit hiervon ist indes umstritten.

Aktuelles Urteil zu Bußgeldbescheid wegen GPS-Ortung

In einem aktuellen Urteil des Verwaltungsgerichts Lüneburg (Teilurteil vom 19.03.2019, Az. 4 A 12/19) hatte das Gericht über einen Bußgeldbescheid der Niedersächsischen Datenschutzaufsichtsbehörde zu entscheiden. Das Bußgeld war gegenüber einer Reinigungsfirma erlassen worden, die ihre Firmenfahrzeuge mit einem GPS-Ortungssystem überwacht. Diese Überwachung hielt das Gericht nicht für erforderlich und daher für unzulässig.

Im dem Rechtsstreit vorangegangenen Bußgeldverfahren hatte die Aufsichtsbehörde entschieden, dass die GPS-Überwachung der Firmenfahrzeuge eine nicht erforderliche Verarbeitung von Beschäftigtendaten darstelle. Das Reinigungsunternehmen konnte 18 Fahrzeuge der Flotte mittels eines eingebauten GPS orten. Diese Funktion ließ sich auch nicht ohne weiteres deaktivieren. Das System war so eingestellt, dass es für einen Zeitraum von 150 Tagen jede gefahrene Strecke sowie den Zündungsstatus speicherte. Nach Angaben des Unternehmens erfolgte eine tatsächliche Ortung der Fahrzeuge sehr unregelmäßig und maximal drei bis vier Mal pro Jahr.

Eine Privatnutzung der Fahrzeuge war zwar nicht ausdrücklich gestattet, jedoch geduldet. Die GPS-Ortung diente dazu – so das Unternehmen –, die Touren der Beschäftigten zu planen, Mitarbeiter und Fahrzeuge zu koordinieren, Nachweise gegenüber Auftraggebern zu erbringen und die Fahrzeuge vor Diebstahl zu schützen bzw. gestohlene Fahrzeuge wieder aufzufinden.

Ortungsdaten sind personenbezogene Daten gemäß Datenschutz-Grundverordnung

Das Gericht entschied, dass die Ortungsdaten in diesem Fall personenbezogene Daten sind, da die Fahrzeuge den jeweiligen Beschäftigten eindeutig zugeordnet werden können. Deshalb handle es sich um eine Verarbeitung personenbezogener Daten im Beschäftigtenkontext gem. Art. 88 Abs. 1 DSGVO i.V.m. § 26 Abs. 1 BDSG. Sofern also für die Verarbeitung keine Einwilligung vorliegt, muss die Verarbeitung zur Begründung, Durchführung oder Beendigung eines Beschäftigungsverhältnisses erforderlich sein. Anderenfalls ist die Verarbeitung unzulässig.

Das Gericht stellte fest, dass Ortungssysteme für die Prävention von Diebstählen völlig ungeeignet und somit nicht erforderlich im Sinne von § 26 Abs. 1 BDSG sind. Des Weiteren sei auch eine ständige Ortung der Fahrzeuge nicht zur Koordination von Mitarbeitern und Fahrzeugen erforderlich. Eine solche Planung sei stets zukunftsorientiert, weswegen Informationen über vergangene und aktuelle Standorte der Fahrzeuge nicht relevant seien. Die Dienstleistungen im Reinigungsgewerbe seien außerdem nicht so zeitkritisch wie etwa im Transportgewerbe, weshalb hier nicht derselbe Maßstab anzusetzen sei.

Letztlich könnten – so das Gericht – die GPS-Daten auch nicht als Nachweis für geleistete Tätigkeiten gegenüber Auftraggebern dienen. Ein solcher Nachweis erfolge wesentlich sicherer und weniger eingriffsintensiv bei den Auftraggebern vor Ort.

Konsequenzen aus der Entscheidung für die Nutzung von GPS-Ortung

Die Entscheidung zeigt, dass eine GPS-Ortung von Firmenfahrzeugen nicht grundsätzlich verboten ist. Allerdings ist eine detaillierte Erforderlichkeitsprüfung unter Berücksichtigung der jeweiligen Zwecke der Ortung durchzuführen. Hierzu gibt das Urteil einen nachvollziehbaren Leitfaden. Für den einzelnen Unternehmer lässt sich zusammenfassend sagen, dass es bei einer GPS-Ortung nicht nur auf die Verarbeitung an sich ankommt, sondern ganz maßgeblich auch auf den Zweck und die Umstände der Verarbeitung.

Rechtsanwalt Nils Steffen

dmp@derra-ul.de

Stand: 05/2019

Viele Unternehmen verwenden gerade beim Einsatz von Vertriebsmitarbeitern oder Zustellfahrzeugen eine GPS-Ortung, um ihren Betriebsablauf optimieren zu können. Die datenschutzrechtliche Zulässigkeit hiervon ist indes umstritten.

Aktuelles Urteil zu Bußgeldbescheid wegen GPS-Ortung

In einem aktuellen Urteil des Verwaltungsgerichts Lüneburg (Teilurteil vom 19.03.2019, Az. 4 A 12/19) hatte das Gericht über einen Bußgeldbescheid der Niedersächsischen Datenschutzaufsichtsbehörde zu entscheiden. Das Bußgeld war gegenüber einer Reinigungsfirma erlassen worden, die ihre Firmenfahrzeuge mit einem GPS-Ortungssystem überwacht. Diese Überwachung hielt das Gericht nicht für erforderlich und daher für unzulässig.

Im dem Rechtsstreit vorangegangenen Bußgeldverfahren hatte die Aufsichtsbehörde entschieden, dass die GPS-Überwachung der Firmenfahrzeuge eine nicht erforderliche Verarbeitung von Beschäftigtendaten darstelle. Das Reinigungsunternehmen konnte 18 Fahrzeuge der Flotte mittels eines eingebauten GPS orten. Diese Funktion ließ sich auch nicht ohne weiteres deaktivieren. Das System war so eingestellt, dass es für einen Zeitraum von 150 Tagen jede gefahrene Strecke sowie den Zündungsstatus speicherte. Nach Angaben des Unternehmens erfolgte eine tatsächliche Ortung der Fahrzeuge sehr unregelmäßig und maximal drei bis vier Mal pro Jahr.

Eine Privatnutzung der Fahrzeuge war zwar nicht ausdrücklich gestattet, jedoch geduldet. Die GPS-Ortung diente dazu – so das Unternehmen –, die Touren der Beschäftigten zu planen, Mitarbeiter und Fahrzeuge zu koordinieren, Nachweise gegenüber Auftraggebern zu erbringen und die Fahrzeuge vor Diebstahl zu schützen bzw. gestohlene Fahrzeuge wieder aufzufinden.

Ortungsdaten sind personenbezogene Daten gemäß Datenschutz-Grundverordnung

Das Gericht entschied, dass die Ortungsdaten in diesem Fall personenbezogene Daten sind, da die Fahrzeuge den jeweiligen Beschäftigten eindeutig zugeordnet werden können. Deshalb handle es sich um eine Verarbeitung personenbezogener Daten im Beschäftigtenkontext gem. Art. 88 Abs. 1 DSGVO i.V.m. § 26 Abs. 1 BDSG. Sofern also für die Verarbeitung keine Einwilligung vorliegt, muss die Verarbeitung zur Begründung, Durchführung oder Beendigung eines Beschäftigungsverhältnisses erforderlich sein. Anderenfalls ist die Verarbeitung unzulässig.

Das Gericht stellte fest, dass Ortungssysteme für die Prävention von Diebstählen völlig ungeeignet und somit nicht erforderlich im Sinne von § 26 Abs. 1 BDSG sind. Des Weiteren sei auch eine ständige Ortung der Fahrzeuge nicht zur Koordination von Mitarbeitern und Fahrzeugen erforderlich. Eine solche Planung sei stets zukunftsorientiert, weswegen Informationen über vergangene und aktuelle Standorte der Fahrzeuge nicht relevant seien. Die Dienstleistungen im Reinigungsgewerbe seien außerdem nicht so zeitkritisch wie etwa im Transportgewerbe, weshalb hier nicht derselbe Maßstab anzusetzen sei.

Letztlich könnten – so das Gericht – die GPS-Daten auch nicht als Nachweis für geleistete Tätigkeiten gegenüber Auftraggebern dienen. Ein solcher Nachweis erfolge wesentlich sicherer und weniger eingriffsintensiv bei den Auftraggebern vor Ort.

Konsequenzen aus der Entscheidung für die Nutzung von GPS-Ortung

Die Entscheidung zeigt, dass eine GPS-Ortung von Firmenfahrzeugen nicht grundsätzlich verboten ist. Allerdings ist eine detaillierte Erforderlichkeitsprüfung unter Berücksichtigung der jeweiligen Zwecke der Ortung durchzuführen. Hierzu gibt das Urteil einen nachvollziehbaren Leitfaden. Für den einzelnen Unternehmer lässt sich zusammenfassend sagen, dass es bei einer GPS-Ortung nicht nur auf die Verarbeitung an sich ankommt, sondern ganz maßgeblich auch auf den Zweck und die Umstände der Verarbeitung.

Rechtsanwalt Nils Steffen

dmp@derra-ul.de

Stand: 05/2019

21 Mai
2019

Datenschutzkonferenz: Derzeit kein datenschutzkonformer Betrieb von Facebook-Fanpage

Facebook-Fanpage stehen im Fokus der Datenschutzaufsichtsbehörden. Sie müssen sich die Anforderungen und Risiken beim Betreiben einer Facebook-Fanpage bewusst machen.

mehr lesen

Facebook-Fanpage stehen im Fokus der Datenschutzaufsichtsbehörden. Sie müssen sich die Anforderungen und Risiken beim Betreiben einer Facebook-Fanpage bewusst machen.

Positionierung der deutschen Datenschutzaufsichtsbehörden zur Facebook-Fanpage

Die Datenschutzkonferenz – also die deutschen Datenschutzaufsichtsbehörden des Bundes und der Länder - hat am 01.04.2019 in ihrer „Positionierung zur Verantwortlichkeit und Rechenschaftspflicht bei Facebook-Fanpages sowie der aufsichtsbehördlichen Zuständigkeit“ zum Betreiben einer Facebook Fanpage Stellung genommen. Sie kommt zu dem Schluss, dass die Erfüllung der Rechenschaftspflicht im Sinne von Art. 5 Abs. 2 DS-GVO seitens des Betreibers einer Fanpage derzeit (!) nicht möglich ist.

Im Beschluss heißt es wörtlich (Zitiert nach https://www.datenschutzkonferenz-online.de/media/dskb/20190405_positionierung_facebook_fanpages.pdf (Stand: 20.05.2019):

„Sowohl Facebook als auch die Fanpage-Betreiber müssen ihrer Rechenschaftspflicht nachkommen. Die Datenschutzkonferenz erwartet, dass Facebook entsprechend nachbessert und die Fanpage-Betreiber ihrer Verantwortlichkeit entsprechend gerecht werden. Solange diesen Pflichten nicht nachgekommen wird, ist ein datenschutzkonformer Betrieb einer Fanpage nicht möglich.“

Mit anderen Worten: Der Betrieb einer Facebook-Fanpage verstößt derzeit und solange gegen Datenschutzrecht, bis diese Vorgaben erfüllt sind.

Hintergrund - Urteil des EuGH zum Betrieb einer Facebook-Fanpage

Der EuGH hatte mit Urteil vom 05.06.2018 festgestellt, dass der Betreiber einer Fanpage und Facebook gemeinsam verantwortlich im Sinne von Art. 26 DS-GVO sind. Insbesondere treffen beide Rechenschaftspflichten nach Art. 5 Abs. 2 DS-GVO zum Nachweis der Erfüllung der in Art. 5 Abs. 1 DS-GVO genannten Pflichten.

Die in der Zwischenzeit erfolgten Ergänzungen seitens Facebook erachtet die Datenschutzkonferenz als nicht ausreichend. Insbesondere seien die durch Facebook bereitgestellten Informationen zu den Verarbeitungstätigkeiten im Zusammenhang mit Fanpages und Seiten-Insights nach Aussage der Datenschutzkonferenz nicht transparent und ausreichend konkret. Sie seien deshalb nicht ausreichend, um den Betreibern einer Fanpage die Prüfung der Rechtmäßigkeit der Verarbeitung der betroffenen personenbezogenen Daten zu ermöglichen. Sie können deshalb insbesondere ihrer Rechenschaftspflicht nach Art. 5 Abs. 2 DS-GVO nicht nachkommen.

Mit der Einbeziehung der Fanpage-Betreiber macht die Datenschutzkonferenz auch deutlich, dass gegen diese wegen Datenschutzverstößen vorgegangen werden kann. Der Verstoß gegen den angesprochenen Art. 5 Abs. 2 DS-GVO ist mit einem Bußgeld bis zu 20 Mio. EURO oder 4% des weltweiten Vorjahresumsatzes des Unternehmens sanktionierbar.

Facebook-Fanpage-Betreiber können sich auch nicht hinter der Zuständigkeit von Aufsichtsbehörden für Facebook „verstecken“. Die Datenschutzkonferenz stellt – unter Bezugnahme auf die entsprechende Entscheidung des EuGH – klar, dass die für den Facebook-Fanpage-Betreiber zuständige Aufsichtsbehörde auch für das Vorgehen gegen Facebook-Fanpage-Betreiber zuständig ist.

Das bedeutet: Es kann auch gegen die Betreiber von Facebook-Fanpages vorgegangen werden und zwar durch die jeweilige für den Sitz des Betreibers der Facebook-Fanpage zuständige Aufsichtsbehörde im Inland.

Rechtsanwalt Dr. Jens Eckhardt

dmp@derra-d.de

Stand: 05/2019

Facebook-Fanpage stehen im Fokus der Datenschutzaufsichtsbehörden. Sie müssen sich die Anforderungen und Risiken beim Betreiben einer Facebook-Fanpage bewusst machen.

Positionierung der deutschen Datenschutzaufsichtsbehörden zur Facebook-Fanpage

Die Datenschutzkonferenz – also die deutschen Datenschutzaufsichtsbehörden des Bundes und der Länder - hat am 01.04.2019 in ihrer „Positionierung zur Verantwortlichkeit und Rechenschaftspflicht bei Facebook-Fanpages sowie der aufsichtsbehördlichen Zuständigkeit“ zum Betreiben einer Facebook Fanpage Stellung genommen. Sie kommt zu dem Schluss, dass die Erfüllung der Rechenschaftspflicht im Sinne von Art. 5 Abs. 2 DS-GVO seitens des Betreibers einer Fanpage derzeit (!) nicht möglich ist.

Im Beschluss heißt es wörtlich (Zitiert nach https://www.datenschutzkonferenz-online.de/media/dskb/20190405_positionierung_facebook_fanpages.pdf (Stand: 20.05.2019):

„Sowohl Facebook als auch die Fanpage-Betreiber müssen ihrer Rechenschaftspflicht nachkommen. Die Datenschutzkonferenz erwartet, dass Facebook entsprechend nachbessert und die Fanpage-Betreiber ihrer Verantwortlichkeit entsprechend gerecht werden. Solange diesen Pflichten nicht nachgekommen wird, ist ein datenschutzkonformer Betrieb einer Fanpage nicht möglich.“

Mit anderen Worten: Der Betrieb einer Facebook-Fanpage verstößt derzeit und solange gegen Datenschutzrecht, bis diese Vorgaben erfüllt sind.

Hintergrund - Urteil des EuGH zum Betrieb einer Facebook-Fanpage

Der EuGH hatte mit Urteil vom 05.06.2018 festgestellt, dass der Betreiber einer Fanpage und Facebook gemeinsam verantwortlich im Sinne von Art. 26 DS-GVO sind. Insbesondere treffen beide Rechenschaftspflichten nach Art. 5 Abs. 2 DS-GVO zum Nachweis der Erfüllung der in Art. 5 Abs. 1 DS-GVO genannten Pflichten.

Die in der Zwischenzeit erfolgten Ergänzungen seitens Facebook erachtet die Datenschutzkonferenz als nicht ausreichend. Insbesondere seien die durch Facebook bereitgestellten Informationen zu den Verarbeitungstätigkeiten im Zusammenhang mit Fanpages und Seiten-Insights nach Aussage der Datenschutzkonferenz nicht transparent und ausreichend konkret. Sie seien deshalb nicht ausreichend, um den Betreibern einer Fanpage die Prüfung der Rechtmäßigkeit der Verarbeitung der betroffenen personenbezogenen Daten zu ermöglichen. Sie können deshalb insbesondere ihrer Rechenschaftspflicht nach Art. 5 Abs. 2 DS-GVO nicht nachkommen.

Mit der Einbeziehung der Fanpage-Betreiber macht die Datenschutzkonferenz auch deutlich, dass gegen diese wegen Datenschutzverstößen vorgegangen werden kann. Der Verstoß gegen den angesprochenen Art. 5 Abs. 2 DS-GVO ist mit einem Bußgeld bis zu 20 Mio. EURO oder 4% des weltweiten Vorjahresumsatzes des Unternehmens sanktionierbar.

Facebook-Fanpage-Betreiber können sich auch nicht hinter der Zuständigkeit von Aufsichtsbehörden für Facebook „verstecken“. Die Datenschutzkonferenz stellt – unter Bezugnahme auf die entsprechende Entscheidung des EuGH – klar, dass die für den Facebook-Fanpage-Betreiber zuständige Aufsichtsbehörde auch für das Vorgehen gegen Facebook-Fanpage-Betreiber zuständig ist.

Das bedeutet: Es kann auch gegen die Betreiber von Facebook-Fanpages vorgegangen werden und zwar durch die jeweilige für den Sitz des Betreibers der Facebook-Fanpage zuständige Aufsichtsbehörde im Inland.

Rechtsanwalt Dr. Jens Eckhardt

dmp@derra-d.de

Stand: 05/2019

09 Mai
2019

Jetzt beachten: Das neue Geschäftsgeheimnisgesetz

Das neue Geschäftsgeheimnisgesetz - Kaum einer kennt es, dabei hat es einschneidende Folgen für den Schutz von Geschäftsgeheimnissen auch in Ihrem Unternehmen.

mehr lesen

Das neue Geschäftsgeheimnisgesetz - Kaum einer kennt es, dabei hat es einschneidende Folgen für den Schutz von Geschäftsgeheimnissen auch in Ihrem Unternehmen.

Dem Know-how kommt in jedem Unternehmen eine Schlüsselstellung zu. Jedes Unternehmen besitzt infrastrukturelle und/oder technologische Alleinstellungsmerkmale, die ihm gegenüber der Konkurrenz einen Wettbewerbsvorteil sichern sollen - seien es Kundendaten im CRM, Konstruktionspläne oder einfach nur interne strategische Absprachen. Das gilt nicht nur für große Unternehmen, sondern vor allem auch für Unternehmen und Start-Ups, die über eine gute Idee und ein vielversprechendes Geschäftsmodell verfügen. Aber auch Verpflichtungen können für Sie aus dem Geschäftsgeheimnisgesetz entstehen.

Sie müssen sich jetzt mit der neuen Rechtslage befassen:

Das Geschäftsgeheimnisgesetz

Das neue Geschäftsgeheimnisgesetz ist am 26.04.2019 in Kraft getreten und seitdem zu beachten! Das Gesetz beruht auf der EU-Richtlinie zum Schutz von Geschäftsgeheimnissen vor rechtswidrigem Erwerb, sowie rechtswidriger Nutzung und Offenlegung.

Der Schutz von Geschäftsgeheimnissen wird dadurch in Deutschland ausgeweitet. Explizit werden neben der Konkretisierung erlaubter Handlungen und Handlungsverboten auch Ansprüche auf Unterlassung, Beseitigung und Schadensersatz bei Verletzung von Geschäftsgeheimnissen geregelt. Damit wird die Rechtslage in Deutschland konkreter und auch besser durchsetzbar. Bislang war der Geschäftsgeheimnisschutz lediglich in den lauterkeitsstrafrechtlichen Tatbeständen der §§ 17 bis 19 UWG geregelt. An deren Stelle tritt nun ein Spezialgesetz.

Entscheidend ist: Das Gesetz definiert erstmalig, was als Geschäftsgeheimnis geschützt sein soll. Ein Geschäftsgeheimnis sind Informationen,

  1. die weder allgemein bekannt oder ohne weiteres zugänglich sind und einen wirtschaftlichen Wert haben,
  2. die Gegenstand von angemessenen Geheimhaltungsmaßnahmen des rechtmäßigen Inhabers sind und
  3. bei denen ein berechtigtes Interesse an der Geheimhaltung besteht.

Als entscheidendes Merkmal für den Schutz treten damit die angemessenen Schutzmaßnahmen hervor. Diese umfassen neben technisch-organisatorischen Maßnahmen auch rechtliche, insbesondere vertragliche, Maßnahmen.

Was müssen Sie bei der Umsetzung des Geschäftsgeheimnisgesetzes beachten?

Den Schutz durch das Geschäftsgeheimnisgesetz erhalten Sie nur, wenn Sie Maßnahmen ergreifen, um Ihre Geschäftsgeheimnisse zu schützen:

  1. In Ihrem Unternehmen ist daher zunächst zu ermitteln, welche Informationen Geschäftsgeheimnisse darstellen. Als Geschäftsgeheimnis kommen bspw. Umsätze, Ertragslagen, Geschäftsbücher, Kundenlisten, Bezugsquellen, Konditionen, Marktstrategien, Unterlagen zur Kreditwürdigkeit, Kalkulationsunterlagen, Patentanmeldungen und sonstige Entwicklungs- und Forschungsprojekte in Betracht.
  2. In einem zweiten Schritt ist zu prüfen, welche Maßnahmen zum Geheimnisschutz bereits vorhanden sind. Soweit Sie die im vergangenen Jahr in Kraft getretene Datenschutzgrundverordnung (DS-GVO) bereits in Ihrem Unternehmen umgesetzt haben, können Sie von Synergieeffekten profitieren, die sich beispielsweise aus einem bereits erstellten Verfahrensverzeichnis ergeben.
    Als Maßnahmen zum Schutz kommen zum einen vertragliche Vereinbarungen, insbesondere Geheimhaltungsvereinbarungen mit Vertragspartnern und Mitarbeitern, sowie Schulungen der Mitarbeiter in Betracht. Zum anderen sind technische und organisatorische Schutzmaßnahmen zu prüfen, wie zum Beispiel die Kennzeichnung der Geschäftsgeheimnisse, Zugangs- und Nutzungsbeschränkungen, Passwortschutz, Firewalls und Regelungen zum Umgang mit Geschäftsgeheimnissen in der täglichen Arbeit und auf privaten Geräten. Je wichtiger das Geschäftsgeheimnis für das Unternehmen ist, desto höher sind die Anforderungen an die zu treffenden Maßnahmen und umso strenger muss die Geheimhaltung kontrolliert werden.
  1. In einem dritten Schritt ist zu prüfen, welche Maßnahmen Sie im Einzelnen in Ihrem Unternehmen zum Schutz Ihrer Geschäftsgeheimnisse umsetzen sollten. Man findet dazu keine allgemeinen Grundlagen bzw. Informationen im Geschäftsgeheimnisgesetz. Die Schwierigkeit ist daher, dass man Maßnahmen ergreifen muss, ohne zu wissen, ob sie tatsächlich angemessen sind und vom Gesetzgeber auch als ausreichend angesehen werden.
  2. In einem letzten Schritt sind dann die ergriffenen Schutzmaßnahmen zu dokumentieren, um sie später auch nachweisen zu können.

Welche Vorteile hat die Umsetzung des Geschäftsgeheimnisgesetzes für Sie?

Sie haben nun im Falle einer unerlaubten Erlangung, Nutzung oder Offenlegung ihrer Geschäftsgeheimnisse durch unbefugte Dritte gesetzlich konkret geregelte Beseitigungs- und Unterlassungsansprüche, Ansprüche auf Vernichtung, Herausgabe, Rückruf, Entfernung und Rücknahme vom Markt, sowie Auskunfts- und Schadensersatzansprüche. Die Möglichkeit, diese Ansprüche geltend zu machen, entsteht aber nur durch Ihr Zutun!

Als Unternehmen müssen Sie jetzt ihre Geschäftsgeheimnisse angemessen schützen. Schutzkonzepte müssen entwickelt und umgehend umgesetzt werden. Tun Sie das nicht, droht im schlimmsten Fall der ungestrafte Diebstahl sensibler Informationen und erheblicher, wirtschaftlicher Schaden, weil Sie nicht vom Geschäftsgeheimnisgesetz geschützt werden.

Lassen Sie also Ihre Vertragswerke überprüfen, vom Arbeitsvertrag bis hin zu Kooperationsvereinbarungen und Lieferverträgen mit Ihren Geschäftspartnern. Überprüfen Sie ihre technischen und organisatorischen Maßnahmen und ergänzen Sie diese, wenn nötig. Wir unterstützen Sie gern dabei, die gesetzlichen Anforderungen des Geschäftsgeheimnisgesetzes in Ihrem Unternehmen umzusetzen, damit Sie im Falle eines Missbrauchs Ihrer Geschäftsgeheimnisse auch die im Geschäftsgeheimnisgesetz geregelten Ansprüche geltend machen können.

Rechtsanwältin Kathleen Brauner

dmp@derra-b.de

Stand: 05/2019

Das neue Geschäftsgeheimnisgesetz - Kaum einer kennt es, dabei hat es einschneidende Folgen für den Schutz von Geschäftsgeheimnissen auch in Ihrem Unternehmen.

Dem Know-how kommt in jedem Unternehmen eine Schlüsselstellung zu. Jedes Unternehmen besitzt infrastrukturelle und/oder technologische Alleinstellungsmerkmale, die ihm gegenüber der Konkurrenz einen Wettbewerbsvorteil sichern sollen - seien es Kundendaten im CRM, Konstruktionspläne oder einfach nur interne strategische Absprachen. Das gilt nicht nur für große Unternehmen, sondern vor allem auch für Unternehmen und Start-Ups, die über eine gute Idee und ein vielversprechendes Geschäftsmodell verfügen. Aber auch Verpflichtungen können für Sie aus dem Geschäftsgeheimnisgesetz entstehen.

Sie müssen sich jetzt mit der neuen Rechtslage befassen:

Das Geschäftsgeheimnisgesetz

Das neue Geschäftsgeheimnisgesetz ist am 26.04.2019 in Kraft getreten und seitdem zu beachten! Das Gesetz beruht auf der EU-Richtlinie zum Schutz von Geschäftsgeheimnissen vor rechtswidrigem Erwerb, sowie rechtswidriger Nutzung und Offenlegung.

Der Schutz von Geschäftsgeheimnissen wird dadurch in Deutschland ausgeweitet. Explizit werden neben der Konkretisierung erlaubter Handlungen und Handlungsverboten auch Ansprüche auf Unterlassung, Beseitigung und Schadensersatz bei Verletzung von Geschäftsgeheimnissen geregelt. Damit wird die Rechtslage in Deutschland konkreter und auch besser durchsetzbar. Bislang war der Geschäftsgeheimnisschutz lediglich in den lauterkeitsstrafrechtlichen Tatbeständen der §§ 17 bis 19 UWG geregelt. An deren Stelle tritt nun ein Spezialgesetz.

Entscheidend ist: Das Gesetz definiert erstmalig, was als Geschäftsgeheimnis geschützt sein soll. Ein Geschäftsgeheimnis sind Informationen,

  1. die weder allgemein bekannt oder ohne weiteres zugänglich sind und einen wirtschaftlichen Wert haben,
  2. die Gegenstand von angemessenen Geheimhaltungsmaßnahmen des rechtmäßigen Inhabers sind und
  3. bei denen ein berechtigtes Interesse an der Geheimhaltung besteht.

Als entscheidendes Merkmal für den Schutz treten damit die angemessenen Schutzmaßnahmen hervor. Diese umfassen neben technisch-organisatorischen Maßnahmen auch rechtliche, insbesondere vertragliche, Maßnahmen.

Was müssen Sie bei der Umsetzung des Geschäftsgeheimnisgesetzes beachten?

Den Schutz durch das Geschäftsgeheimnisgesetz erhalten Sie nur, wenn Sie Maßnahmen ergreifen, um Ihre Geschäftsgeheimnisse zu schützen:

  1. In Ihrem Unternehmen ist daher zunächst zu ermitteln, welche Informationen Geschäftsgeheimnisse darstellen. Als Geschäftsgeheimnis kommen bspw. Umsätze, Ertragslagen, Geschäftsbücher, Kundenlisten, Bezugsquellen, Konditionen, Marktstrategien, Unterlagen zur Kreditwürdigkeit, Kalkulationsunterlagen, Patentanmeldungen und sonstige Entwicklungs- und Forschungsprojekte in Betracht.
  2. In einem zweiten Schritt ist zu prüfen, welche Maßnahmen zum Geheimnisschutz bereits vorhanden sind. Soweit Sie die im vergangenen Jahr in Kraft getretene Datenschutzgrundverordnung (DS-GVO) bereits in Ihrem Unternehmen umgesetzt haben, können Sie von Synergieeffekten profitieren, die sich beispielsweise aus einem bereits erstellten Verfahrensverzeichnis ergeben.
    Als Maßnahmen zum Schutz kommen zum einen vertragliche Vereinbarungen, insbesondere Geheimhaltungsvereinbarungen mit Vertragspartnern und Mitarbeitern, sowie Schulungen der Mitarbeiter in Betracht. Zum anderen sind technische und organisatorische Schutzmaßnahmen zu prüfen, wie zum Beispiel die Kennzeichnung der Geschäftsgeheimnisse, Zugangs- und Nutzungsbeschränkungen, Passwortschutz, Firewalls und Regelungen zum Umgang mit Geschäftsgeheimnissen in der täglichen Arbeit und auf privaten Geräten. Je wichtiger das Geschäftsgeheimnis für das Unternehmen ist, desto höher sind die Anforderungen an die zu treffenden Maßnahmen und umso strenger muss die Geheimhaltung kontrolliert werden.
  1. In einem dritten Schritt ist zu prüfen, welche Maßnahmen Sie im Einzelnen in Ihrem Unternehmen zum Schutz Ihrer Geschäftsgeheimnisse umsetzen sollten. Man findet dazu keine allgemeinen Grundlagen bzw. Informationen im Geschäftsgeheimnisgesetz. Die Schwierigkeit ist daher, dass man Maßnahmen ergreifen muss, ohne zu wissen, ob sie tatsächlich angemessen sind und vom Gesetzgeber auch als ausreichend angesehen werden.
  2. In einem letzten Schritt sind dann die ergriffenen Schutzmaßnahmen zu dokumentieren, um sie später auch nachweisen zu können.

Welche Vorteile hat die Umsetzung des Geschäftsgeheimnisgesetzes für Sie?

Sie haben nun im Falle einer unerlaubten Erlangung, Nutzung oder Offenlegung ihrer Geschäftsgeheimnisse durch unbefugte Dritte gesetzlich konkret geregelte Beseitigungs- und Unterlassungsansprüche, Ansprüche auf Vernichtung, Herausgabe, Rückruf, Entfernung und Rücknahme vom Markt, sowie Auskunfts- und Schadensersatzansprüche. Die Möglichkeit, diese Ansprüche geltend zu machen, entsteht aber nur durch Ihr Zutun!

Als Unternehmen müssen Sie jetzt ihre Geschäftsgeheimnisse angemessen schützen. Schutzkonzepte müssen entwickelt und umgehend umgesetzt werden. Tun Sie das nicht, droht im schlimmsten Fall der ungestrafte Diebstahl sensibler Informationen und erheblicher, wirtschaftlicher Schaden, weil Sie nicht vom Geschäftsgeheimnisgesetz geschützt werden.

Lassen Sie also Ihre Vertragswerke überprüfen, vom Arbeitsvertrag bis hin zu Kooperationsvereinbarungen und Lieferverträgen mit Ihren Geschäftspartnern. Überprüfen Sie ihre technischen und organisatorischen Maßnahmen und ergänzen Sie diese, wenn nötig. Wir unterstützen Sie gern dabei, die gesetzlichen Anforderungen des Geschäftsgeheimnisgesetzes in Ihrem Unternehmen umzusetzen, damit Sie im Falle eines Missbrauchs Ihrer Geschäftsgeheimnisse auch die im Geschäftsgeheimnisgesetz geregelten Ansprüche geltend machen können.

Rechtsanwältin Kathleen Brauner

dmp@derra-b.de

Stand: 05/2019

06 Mai
2019

EuGH: Cookies auf der Internetseite– Genügt ein Opt-Out oder muss ein Opt-In sein?

Sie setzen auf Ihrer Internetseite Cookies ein? Dann sollten Sie sich jetzt mit den neuesten Entwicklungen in der Rechtsprechung befassen.

mehr lesen

Sie setzen auf Ihrer Internetseite Cookies ein? Dann sollten Sie sich jetzt mit den neuesten Entwicklungen in der Rechtsprechung befassen. Denn zu der Frage, welche Anforderungen an den Einsatz von Cookies aus datenschutzrechtlicher Sicht bestehen, hat sich nun der Generalanwalt am Gerichtshof der Europäischen Union (EuGH) geäußert. Dessen Einschätzung könnte weitreichende Folgen haben.

Cookies nur mit vorheriger Einwilligung

Auf Internetseiten wird in verschiedenster Art und Weise auf die Verwendung von Cookies (kleine Textdateien, die auf dem Rechner einer Person abgelegt werden, um deren Nutzungsverhalten im Internet zu erfassen und auszuwerten und dadurch die Person wiederzuerkennen) hingewiesen. Oft wird die Zustimmung durch ein „Ok“ oder „Einverstanden“ abgefragt. Hin und wieder sind Ankreuzkästchen vorausgefüllt; manchmal kann dagegen auch selbst ausgewählt werden, zu welchen Zwecken Cookies gesetzt werden sollen. Insbesondere im Hinblick auf die Datenschutz-Grundverordnung (DS-GVO) scheint hier erhebliche Rechtsunsicherheit zu herrschen.

Fakt ist: Die deutschen Datenschutzbehörden verlangen für den Einsatz von Cookies, die beispielsweise nicht für den Betrieb oder die nutzerfreundliche Optimierung der Internetseite notwendig sind, eine vorherige Einwilligung (Opt-In) (Orientierungshilfe der Aufsichtsbehörden für Anbieter von Telemedien, unter https://www.datenschutz.rlp.de/fileadmin/lfdi/Dokumente/Orientierungshilfen/OH_TMG.pdf abrufbar, Stand 03.05.2019. Das ist z.B. der Fall, wenn die mittels der Cookies gesammelten Daten an Dritte weitergegeben werden. Die Einwilligung muss vor Platzierung der Cookies aktiv erklärt werden und auch den übrigen Anforderungen der DS-GVO genügen. Hierfür wird eine Widerspruchslösung (Opt-Out – das heißt, die Cookies werden gesetzt, wenn kein Widerspruch erfolgt) als ungenügend angesehen. Stillschweigen und vorangekreuzte Kästchen genügen also nicht.

Stellungnahme des Generalanwalts am EuGH

Mit der Frage, wie eine solche Cookie-Einwilligung in der Praxis ausgestaltet sein muss, beschäftigt sich zurzeit auch der EuGH. In dem zugrunde liegenden Verfahren bat der Betreiber einer Internetseite die betroffenen Personen um ihre Zustimmung zur Verwendung von Cookies, um interessengerichtete Werbung auszuspielen. Der Hinweistext war mit einem voreingestellten Häkchen versehen, das – falls die Cookies nicht gesetzt werden sollten – entfernt werden musste; andernfalls wurden die Cookies stets gesetzt.

Während die deutschen Instanzgerichte (Landgericht und Oberlandesgericht) diese Form der Widerspruchslösung genügen ließen, legte der Bundesgerichtshof die Frage, ob damit den Anforderungen an eine wirksame Einwilligung genügt ist, dem EuGH vor (Beschluss vom 5.10.2017 – I ZR 7/16). Bevor dieser jedoch endgültig entscheidet, prüft zunächst der zuständige Generalanwalt am EuGH die vorgelegte Frage und unterbreitet dem Gericht einen Vorschlag für ein Urteil.

Der Generalanwalt hat nun seine Schlussanträge (also seine Empfehlung an das Gericht) gestellt (abrufbar unter http://curia.europa.eu/juris/document/document.jsf?text=&docid=212023&pageIndex=0&doclang=de&mode=lst&dir=&occ=first&part=1&cid=5471450, Stand 25.04.2019). Darin schlägt er dem EuGH folgende Bewertung vor: Ein voreingestelltes Ankreuzkästchen, das zur Verweigerung abgewählt werden muss, stellt keine wirksame Einwilligung für den Einsatz von Cookies dar. Vielmehr sei erforderlich, dass die Zustimmung aktiv erklärt werde, beispielsweise durch eigenes Ankreuzen oder Anklicken. Außerdem müsse die betroffene Person transparent über die Funktionsdauer der Cookies und die Frage, ob Dritte Zugriff auf die Cookies erhalten, informiert werden. Zwar bezieht sich diese Einschätzung auf die alte Rechtslage (nach der Richtlinie 2002/58/EG und dem BDSG a.F.). Jedoch soll das Gleiche ausdrücklich auch unter der DS-GVO gelten.

Konsequenzen in der Praxis

Auch wenn dieser Entscheidungsvorschlag für den EuGH nicht bindend ist, kommt ihm in der Praxis erhebliche Bedeutung zu. Denn häufig folgt der EuGH den Vorschlägen der Generalanwälte. Sollte es dazu auch in dem vorliegenden Verfahren kommen, hätte dies grundlegende Konsequenzen für alle Webseitenbetreiber, die Cookies oder sonstige Tracking- oder Webanalysemechanismen verwenden.

Setzen Sie auf Ihrer Internetseite Cookies ein, sollten Sie also Folgendes beachten: Bevor Cookies gesetzt werden, sollten betroffene Personen in jedem Fall ausdrücklich und aktiv zustimmen (beispielsweise durch Ankreuzen oder Anklicken). Voreingestellte Kästchenlösungen und erst recht eine Zustimmung durch Stillschweigen oder Untätigkeit sind nicht erlaubt. Sämtliche Cookie-Banner, die diesen Vorgaben nicht entsprechen, sollten dementsprechend angepasst werden. Außerdem sind die betroffenen Personen umfassend über die verbundenen Datenverarbeitungen zu informieren. Da die Anforderungen der DS-GVO an eine wirksame Einwilligung sehr hoch sind, sollten Sie in jedem Fall sorgfältig prüfen, ob diese erfüllt werden.

Rechtsanwältin Johanna Mäkert, LL.M. (Bukarest)

dmp@derra-b.de

Stand: 04/2019

Sie setzen auf Ihrer Internetseite Cookies ein? Dann sollten Sie sich jetzt mit den neuesten Entwicklungen in der Rechtsprechung befassen. Denn zu der Frage, welche Anforderungen an den Einsatz von Cookies aus datenschutzrechtlicher Sicht bestehen, hat sich nun der Generalanwalt am Gerichtshof der Europäischen Union (EuGH) geäußert. Dessen Einschätzung könnte weitreichende Folgen haben.

Cookies nur mit vorheriger Einwilligung

Auf Internetseiten wird in verschiedenster Art und Weise auf die Verwendung von Cookies (kleine Textdateien, die auf dem Rechner einer Person abgelegt werden, um deren Nutzungsverhalten im Internet zu erfassen und auszuwerten und dadurch die Person wiederzuerkennen) hingewiesen. Oft wird die Zustimmung durch ein „Ok“ oder „Einverstanden“ abgefragt. Hin und wieder sind Ankreuzkästchen vorausgefüllt; manchmal kann dagegen auch selbst ausgewählt werden, zu welchen Zwecken Cookies gesetzt werden sollen. Insbesondere im Hinblick auf die Datenschutz-Grundverordnung (DS-GVO) scheint hier erhebliche Rechtsunsicherheit zu herrschen.

Fakt ist: Die deutschen Datenschutzbehörden verlangen für den Einsatz von Cookies, die beispielsweise nicht für den Betrieb oder die nutzerfreundliche Optimierung der Internetseite notwendig sind, eine vorherige Einwilligung (Opt-In) (Orientierungshilfe der Aufsichtsbehörden für Anbieter von Telemedien, unter https://www.datenschutz.rlp.de/fileadmin/lfdi/Dokumente/Orientierungshilfen/OH_TMG.pdf abrufbar, Stand 03.05.2019. Das ist z.B. der Fall, wenn die mittels der Cookies gesammelten Daten an Dritte weitergegeben werden. Die Einwilligung muss vor Platzierung der Cookies aktiv erklärt werden und auch den übrigen Anforderungen der DS-GVO genügen. Hierfür wird eine Widerspruchslösung (Opt-Out – das heißt, die Cookies werden gesetzt, wenn kein Widerspruch erfolgt) als ungenügend angesehen. Stillschweigen und vorangekreuzte Kästchen genügen also nicht.

Stellungnahme des Generalanwalts am EuGH

Mit der Frage, wie eine solche Cookie-Einwilligung in der Praxis ausgestaltet sein muss, beschäftigt sich zurzeit auch der EuGH. In dem zugrunde liegenden Verfahren bat der Betreiber einer Internetseite die betroffenen Personen um ihre Zustimmung zur Verwendung von Cookies, um interessengerichtete Werbung auszuspielen. Der Hinweistext war mit einem voreingestellten Häkchen versehen, das – falls die Cookies nicht gesetzt werden sollten – entfernt werden musste; andernfalls wurden die Cookies stets gesetzt.

Während die deutschen Instanzgerichte (Landgericht und Oberlandesgericht) diese Form der Widerspruchslösung genügen ließen, legte der Bundesgerichtshof die Frage, ob damit den Anforderungen an eine wirksame Einwilligung genügt ist, dem EuGH vor (Beschluss vom 5.10.2017 – I ZR 7/16). Bevor dieser jedoch endgültig entscheidet, prüft zunächst der zuständige Generalanwalt am EuGH die vorgelegte Frage und unterbreitet dem Gericht einen Vorschlag für ein Urteil.

Der Generalanwalt hat nun seine Schlussanträge (also seine Empfehlung an das Gericht) gestellt (abrufbar unter http://curia.europa.eu/juris/document/document.jsf?text=&docid=212023&pageIndex=0&doclang=de&mode=lst&dir=&occ=first&part=1&cid=5471450, Stand 25.04.2019). Darin schlägt er dem EuGH folgende Bewertung vor: Ein voreingestelltes Ankreuzkästchen, das zur Verweigerung abgewählt werden muss, stellt keine wirksame Einwilligung für den Einsatz von Cookies dar. Vielmehr sei erforderlich, dass die Zustimmung aktiv erklärt werde, beispielsweise durch eigenes Ankreuzen oder Anklicken. Außerdem müsse die betroffene Person transparent über die Funktionsdauer der Cookies und die Frage, ob Dritte Zugriff auf die Cookies erhalten, informiert werden. Zwar bezieht sich diese Einschätzung auf die alte Rechtslage (nach der Richtlinie 2002/58/EG und dem BDSG a.F.). Jedoch soll das Gleiche ausdrücklich auch unter der DS-GVO gelten.

Konsequenzen in der Praxis

Auch wenn dieser Entscheidungsvorschlag für den EuGH nicht bindend ist, kommt ihm in der Praxis erhebliche Bedeutung zu. Denn häufig folgt der EuGH den Vorschlägen der Generalanwälte. Sollte es dazu auch in dem vorliegenden Verfahren kommen, hätte dies grundlegende Konsequenzen für alle Webseitenbetreiber, die Cookies oder sonstige Tracking- oder Webanalysemechanismen verwenden.

Setzen Sie auf Ihrer Internetseite Cookies ein, sollten Sie also Folgendes beachten: Bevor Cookies gesetzt werden, sollten betroffene Personen in jedem Fall ausdrücklich und aktiv zustimmen (beispielsweise durch Ankreuzen oder Anklicken). Voreingestellte Kästchenlösungen und erst recht eine Zustimmung durch Stillschweigen oder Untätigkeit sind nicht erlaubt. Sämtliche Cookie-Banner, die diesen Vorgaben nicht entsprechen, sollten dementsprechend angepasst werden. Außerdem sind die betroffenen Personen umfassend über die verbundenen Datenverarbeitungen zu informieren. Da die Anforderungen der DS-GVO an eine wirksame Einwilligung sehr hoch sind, sollten Sie in jedem Fall sorgfältig prüfen, ob diese erfüllt werden.

Rechtsanwältin Johanna Mäkert, LL.M. (Bukarest)

dmp@derra-b.de

Stand: 04/2019

02 Mai
2019

Daten und Gläubiger schützen. Unvereinbar?

Zu dieser hochspannenden Frage referierten und diskutierten Vertreter aus der Insolvenz- und Datenschutzbranche im Rahmen des Düsseldorfer Restrukturierungsforum am 19. März 2019 vor rund 120 Gästen.

mehr lesen
26 Mär
2019

Cloud-Computing - Was Unternehmen beachten müssen

In einem in der Süddeutschen Zeitung veröffentlichten Beitrag zum Cloud-Computing gibt unser Kollege Dr. Eckhardt wichtige Hinweise zur Nutzung von Cloud-Services durch Unternehmen. Hier gelangen Sie zum Beitrag:

mehr lesen
20 Mär
2019

Cyberkriminalität - wirksame Datensicherung im Unternehmen

Ein neuer Mitarbeiter mit Bankvollmacht – gerne bei einer Auslandstochtergesellschaft – erhält eine Email des Geschäftsführers ...

mehr lesen

Ein neuer Mitarbeiter mit Bankvollmacht – gerne bei einer Auslandstochtergesellschaft – erhält eine Email des Geschäftsführers, er möge einen fünfstelligen Betrag auf ein bestimmtes Konto überweisen. Es handele sich um ein wichtiges Geschäft, bei dem kurzfristig eine Anzahlung geleistet werden muss. Variante der Email: der Geschäftsführer stecke privat in der Klemme, er bitte um kurzfristige Überweisung eines Betrags, der auch schnell wieder ausgeglichen werden würde. Alles streng vertraulich. Nach einer ersten Email folgt nach einer Stunde eine weitere Email oder ein Anruf – wurde die Überweisung bereits ausgeführt?

Möglich ist auch, dass ein Lieferant per Email mitteilt, dass die Kontodaten geändert wurden und die Zahlungen in Zukunft auf die neue Bankverbindung erfolgen soll. Der arglose Mitarbeiter veranlasst die Überweisung – und erhält nach einem Monat eine Mahnung. Eine weitere Alternative ist, dass die Rechnung eines Lieferanten bezahlt wird, der gar nicht existiert.

Diese Vorfälle treten in letzter Zeit immer häufiger auf und gehen teilweise mit einem echten Data Breach einher – dann, wenn echte Emailadressen verwendet werden. Es werden hier nicht nur IT-Systeme von außen gehackt, sondern insbesondere auch auf der psychologischen Kommunikationsebene – besondere Wertschätzung, Pflichtbewusstsein, Aufbau einer Drucksituation - gearbeitet. Dem aufmerksamen Mitarbeiter, der per Email nachfragt, wird bei einem echten Data Breach direkt von einer zwischengeschalteten Adresse des Cyberangreifers geantwortet und die Korrektheit der Anfrage bestätigt.

In einer Zeit, in der praktisch alle Daten elektronisch gespeichert und nicht immer ausreichend geschützt werden – wobei eine absolute Datensicherheit nicht möglich sein dürfte - , ist es also nicht nur erforderlich, in den elektronischen Schutz der Daten zu investieren. Es muss insbesondere auch durch die geeigneten Abläufe, Entscheidungsstrukturen sowie konsequente Sensibilisierung und Fortbildung der Mitarbeiter im Unternehmen sichergestellt werden, dass Angriffe dieser Art erkannt und entlarvt werden – bevor ein finanzieller Schaden entsteht, der zum Teil erheblich sein und selten behoben werden kann. In diesem Zusammenhang wird die ganz praktische Bedeutung der Anforderungen der DS-Grundverordnung – hier insbesondere der Schutz der Daten durch geeignete technische und organisatorische Maßnahmen, das Verzeichnis der Verarbeitungstätigkeiten und die Risikofolgenabschätzung – einmal mehr deutlich.

Rechtsanwältin Dr. Stefanie Lebek

dmp.milano@derra.it

Stand: 03/2019

Ein neuer Mitarbeiter mit Bankvollmacht – gerne bei einer Auslandstochtergesellschaft – erhält eine Email des Geschäftsführers, er möge einen fünfstelligen Betrag auf ein bestimmtes Konto überweisen. Es handele sich um ein wichtiges Geschäft, bei dem kurzfristig eine Anzahlung geleistet werden muss. Variante der Email: der Geschäftsführer stecke privat in der Klemme, er bitte um kurzfristige Überweisung eines Betrags, der auch schnell wieder ausgeglichen werden würde. Alles streng vertraulich. Nach einer ersten Email folgt nach einer Stunde eine weitere Email oder ein Anruf – wurde die Überweisung bereits ausgeführt?

Möglich ist auch, dass ein Lieferant per Email mitteilt, dass die Kontodaten geändert wurden und die Zahlungen in Zukunft auf die neue Bankverbindung erfolgen soll. Der arglose Mitarbeiter veranlasst die Überweisung – und erhält nach einem Monat eine Mahnung. Eine weitere Alternative ist, dass die Rechnung eines Lieferanten bezahlt wird, der gar nicht existiert.

Diese Vorfälle treten in letzter Zeit immer häufiger auf und gehen teilweise mit einem echten Data Breach einher – dann, wenn echte Emailadressen verwendet werden. Es werden hier nicht nur IT-Systeme von außen gehackt, sondern insbesondere auch auf der psychologischen Kommunikationsebene – besondere Wertschätzung, Pflichtbewusstsein, Aufbau einer Drucksituation - gearbeitet. Dem aufmerksamen Mitarbeiter, der per Email nachfragt, wird bei einem echten Data Breach direkt von einer zwischengeschalteten Adresse des Cyberangreifers geantwortet und die Korrektheit der Anfrage bestätigt.

In einer Zeit, in der praktisch alle Daten elektronisch gespeichert und nicht immer ausreichend geschützt werden – wobei eine absolute Datensicherheit nicht möglich sein dürfte - , ist es also nicht nur erforderlich, in den elektronischen Schutz der Daten zu investieren. Es muss insbesondere auch durch die geeigneten Abläufe, Entscheidungsstrukturen sowie konsequente Sensibilisierung und Fortbildung der Mitarbeiter im Unternehmen sichergestellt werden, dass Angriffe dieser Art erkannt und entlarvt werden – bevor ein finanzieller Schaden entsteht, der zum Teil erheblich sein und selten behoben werden kann. In diesem Zusammenhang wird die ganz praktische Bedeutung der Anforderungen der DS-Grundverordnung – hier insbesondere der Schutz der Daten durch geeignete technische und organisatorische Maßnahmen, das Verzeichnis der Verarbeitungstätigkeiten und die Risikofolgenabschätzung – einmal mehr deutlich.

Rechtsanwältin Dr. Stefanie Lebek

dmp.milano@derra.it

Stand: 03/2019

14 Mär
2019

Der Brexit naht - Woran Sie jetzt noch denken müssen!

Der Brexit stellt deutsche Unternehmen auch beim Datenschutz vor Herausforderungen.

mehr lesen

Der Brexit stellt deutsche Unternehmen auch beim Datenschutz vor Herausforderungen. Denn egal ob „Deal or no deal“: In beiden Fällen wird Großbritannien ab dem 30. März 2019 oder auch später zum Drittland im Sinne der DSGVO. Das zwingt Unternehmen dazu, ihre grenzüberschreitende Verarbeitung personenbezogener Daten zu prüfen, worauf jetzt der eco Verband hinweist. Die Empfehlung gilt auch für alle, die heute in irgendeiner Form Cloud-Dienste nutzen – vom E-Mail-Dienst über Online-Speicher bis hin zum Bezug von Dienstleistungen aus dem Ausland. EuroCloud Deutschland_eco e. V hat dazu einen kurzen Leitfaden erstellt, der kostenlos heruntergeladen werden kann.

Keine Karenz für Datentransfer nach UK

Die Datenschutz-Grundverordnung (DSGVO) gilt auch für die Nutzung von Cloud-Diensten. Sie erlaubt innerhalb der Europäischen Union (EU) eine grenzüberschreitende Verarbeitung personenbezogener Daten (Art. 1 Abs. 1, Artikel 44 ff. DSGVO). Durch den EU-Austritt ändert sich folglich die datenschutzrechtliche Behandlung des Datentransfers in das Vereinigte Königreich (UK). Dieser wird künftig unabhängig vom gestrigen Votum und vom Ausgang der Austrittsverhandlungen zwischen der EU und UK mit den Vorgaben für die Schweiz oder die USA vergleichbar sein.

Dies erfordert eine eigenständige zusätzliche Rechtsgrundlage für alle Datentransfers nach Groß-britannien, für deren Einhaltung jeweils das verarbeitende Unternehmen haftbar ist. Die Europäische Kommission hat zwar einen Angemessenheitsbeschluss gemäß Art. 45 DSGVO angekündigt. Bislang ist dieser jedoch noch nicht erfolgt und wird es bei einem zeitnahen „No-Deal-Brexit“ auch nicht sein. Verschärfend kommt hinzu, dass formaljuristisch keine Karenzzeit besteht. Ab dem Wirksamwerden des Austritts ist ein Datentransfer rechtswidrig und bußgeldbewehrt, wenn nicht die Vorgaben der Artikel 44 ff. DSGVO eingehalten sind oder im Brexit-Deal eine Übergangsregelung geschaffen wird. Ob ein geregelter Brexit oder ein „No-Deal-Brexit“ kommt, ist derzeit unklar. Um die Fortführung von Cloud-Services sicherzustellen, müssen daher alternative Zulässigkeitsregelungen geschaffen werden.

Für eine kurzfristige Umsetzung kommen in erster Linie die sogenannten Standardvertragsklauseln in Betracht1. Für die typischerweise als Auftragsverarbeitung einzuordnenden Cloud-Services sind die klassifizierten „Standardvertragsklauseln (Auftragsverarbeiter)“ heranzuziehen2. Diese sind „ready to use“. Zwingend zu beachten ist allerdings, dass diese Standardvertragsklauseln nicht verändert, sondern nur ausgefüllt werden dürfen, um ihre Wirkung zu entfalten.

Auch der Europäische Datenschutzausschuss (EDPB), ein Zusammenschluss der nationalen Datenschutzaufsichtsbehörden der EU-Mitgliedstaaten, weist auf den dringenden Handlungsbedarf hin. In seinem Informationspapier vom 12. Februar 2019 hat der EDPB die Verwendung der Standardvertragsklauseln ausdrücklich als „einsatzbereites Instrument“ bestätigt.3

Für Cloud-Services können sich darüber hinaus auch auf der zweiten Ebene Herausforderungen ergeben: Services, die durch den Cloud-Provider datenschutzrechtlich in UK angeboten wurden, nutzten häufig weitere Subunternehmer in Drittländern. Das Unternehmen im UK fungierte wie eine Art Brückenkopf. Der datenschutzrechtliche Grenzübertritt erfolgte erst auf der Ebene Auftragnehmer zu Subunternehmer. Nach dem Austritt ist dies bereits eine weitere Übermittlung in Drittländer. Hierfür ergeben sich aus der DSGVO und den EU-Standardverträgen unter Umständen weitere Anforderungen. Konsequenz: Die datenschutzrechtliche Neubewertung darf nicht auf die erste Auslagerungsebene beschränkt sein, sondern muss die gesamte nachfolgende Kette von Subunternehmer erfassen.

1 https://ec.europa.eu/info/law/law-topic/data-protection/data-transfers-outside-eu/model-contracts-transfer-personal-data-third-countries_de (Stand: 28.02.2019) 2 https://eur-lex.europa.eu/legal-content/en/TXT/?uri=CELEX%3A32010D0087 (Stand: 28.02.2019) 3 Information note über Datentransfers im Rahmen der DSGVO im Falle eines No-Deal-Brexits https://www.bfdi.bund.de/SharedDocs/Publikationen/DokumenteArt29Gruppe_EDSA/SonstigePapiere/EDSA_Info_NoDealBrexit_Arbeits%C3%BCbersetzung.html?nn=5217120, abgerufen 28.02.201

Autoren:

Rechtsanwalt Dr. Jens Eckhardt

dmp@derra-d.de

Rechtsanwältin Johanna Mäkert, LL.M. (Bukarest)

dmp@derra-b.de

Stand 03/2019

Der Brexit stellt deutsche Unternehmen auch beim Datenschutz vor Herausforderungen. Denn egal ob „Deal or no deal“: In beiden Fällen wird Großbritannien ab dem 30. März 2019 oder auch später zum Drittland im Sinne der DSGVO. Das zwingt Unternehmen dazu, ihre grenzüberschreitende Verarbeitung personenbezogener Daten zu prüfen, worauf jetzt der eco Verband hinweist. Die Empfehlung gilt auch für alle, die heute in irgendeiner Form Cloud-Dienste nutzen – vom E-Mail-Dienst über Online-Speicher bis hin zum Bezug von Dienstleistungen aus dem Ausland. EuroCloud Deutschland_eco e. V hat dazu einen kurzen Leitfaden erstellt, der kostenlos heruntergeladen werden kann.

Keine Karenz für Datentransfer nach UK

Die Datenschutz-Grundverordnung (DSGVO) gilt auch für die Nutzung von Cloud-Diensten. Sie erlaubt innerhalb der Europäischen Union (EU) eine grenzüberschreitende Verarbeitung personenbezogener Daten (Art. 1 Abs. 1, Artikel 44 ff. DSGVO). Durch den EU-Austritt ändert sich folglich die datenschutzrechtliche Behandlung des Datentransfers in das Vereinigte Königreich (UK). Dieser wird künftig unabhängig vom gestrigen Votum und vom Ausgang der Austrittsverhandlungen zwischen der EU und UK mit den Vorgaben für die Schweiz oder die USA vergleichbar sein.

Dies erfordert eine eigenständige zusätzliche Rechtsgrundlage für alle Datentransfers nach Groß-britannien, für deren Einhaltung jeweils das verarbeitende Unternehmen haftbar ist. Die Europäische Kommission hat zwar einen Angemessenheitsbeschluss gemäß Art. 45 DSGVO angekündigt. Bislang ist dieser jedoch noch nicht erfolgt und wird es bei einem zeitnahen „No-Deal-Brexit“ auch nicht sein. Verschärfend kommt hinzu, dass formaljuristisch keine Karenzzeit besteht. Ab dem Wirksamwerden des Austritts ist ein Datentransfer rechtswidrig und bußgeldbewehrt, wenn nicht die Vorgaben der Artikel 44 ff. DSGVO eingehalten sind oder im Brexit-Deal eine Übergangsregelung geschaffen wird. Ob ein geregelter Brexit oder ein „No-Deal-Brexit“ kommt, ist derzeit unklar. Um die Fortführung von Cloud-Services sicherzustellen, müssen daher alternative Zulässigkeitsregelungen geschaffen werden.

Für eine kurzfristige Umsetzung kommen in erster Linie die sogenannten Standardvertragsklauseln in Betracht1. Für die typischerweise als Auftragsverarbeitung einzuordnenden Cloud-Services sind die klassifizierten „Standardvertragsklauseln (Auftragsverarbeiter)“ heranzuziehen2. Diese sind „ready to use“. Zwingend zu beachten ist allerdings, dass diese Standardvertragsklauseln nicht verändert, sondern nur ausgefüllt werden dürfen, um ihre Wirkung zu entfalten.

Auch der Europäische Datenschutzausschuss (EDPB), ein Zusammenschluss der nationalen Datenschutzaufsichtsbehörden der EU-Mitgliedstaaten, weist auf den dringenden Handlungsbedarf hin. In seinem Informationspapier vom 12. Februar 2019 hat der EDPB die Verwendung der Standardvertragsklauseln ausdrücklich als „einsatzbereites Instrument“ bestätigt.3

Für Cloud-Services können sich darüber hinaus auch auf der zweiten Ebene Herausforderungen ergeben: Services, die durch den Cloud-Provider datenschutzrechtlich in UK angeboten wurden, nutzten häufig weitere Subunternehmer in Drittländern. Das Unternehmen im UK fungierte wie eine Art Brückenkopf. Der datenschutzrechtliche Grenzübertritt erfolgte erst auf der Ebene Auftragnehmer zu Subunternehmer. Nach dem Austritt ist dies bereits eine weitere Übermittlung in Drittländer. Hierfür ergeben sich aus der DSGVO und den EU-Standardverträgen unter Umständen weitere Anforderungen. Konsequenz: Die datenschutzrechtliche Neubewertung darf nicht auf die erste Auslagerungsebene beschränkt sein, sondern muss die gesamte nachfolgende Kette von Subunternehmer erfassen.

1 https://ec.europa.eu/info/law/law-topic/data-protection/data-transfers-outside-eu/model-contracts-transfer-personal-data-third-countries_de (Stand: 28.02.2019) 2 https://eur-lex.europa.eu/legal-content/en/TXT/?uri=CELEX%3A32010D0087 (Stand: 28.02.2019) 3 Information note über Datentransfers im Rahmen der DSGVO im Falle eines No-Deal-Brexits https://www.bfdi.bund.de/SharedDocs/Publikationen/DokumenteArt29Gruppe_EDSA/SonstigePapiere/EDSA_Info_NoDealBrexit_Arbeits%C3%BCbersetzung.html?nn=5217120, abgerufen 28.02.201

Autoren:

Rechtsanwalt Dr. Jens Eckhardt

dmp@derra-d.de

Rechtsanwältin Johanna Mäkert, LL.M. (Bukarest)

dmp@derra-b.de

Stand 03/2019

14 Mär
2019

Stolperfallen bei der Meldung von Datenschutzpannen

Nach den ersten Bußgeldern in Deutschland und Bußgeldern in Höhe von 50 Mio. und 400.000 EURO in anderen EU-Mitgliedstaaten ...

mehr lesen

Nach den ersten Bußgeldern in Deutschland und Bußgeldern in Höhe von 50 Mio. und 400.000 EURO in anderen EU-Mitgliedstaaten wird deutlich, dass Verstöße gegen die DS-GVO zu Bußgeldern führen. Gerade die Pflicht zur Meldung von Datenschutzpannen gegenüber der Datenschutzaufsichtsbehörde nimmt dabei eine besondere Rolle ein. Denn das Unternehmen muss selbst einen Vorfall mitteilen, der ein Bußgeld begründen kann. Sie müssen sich daher bereits im Vorfeld mit der Frage befassen "Wie reagiere ich bei einem Datenschutzvorfall und was muss ich beachten?"

Unser Kollege Dr. Jens Eckhart erläutert gemeinsam mit Bernd Fuhlert, @-yet GmbH, Stolperfallen bei der Meldung von Datenschutzpannen in einem Workshop am 21. März 2019 im Schloß Eicherhof in Leichlingen. Sie können sich anmelden unter https://www.add-yet.de/index.php/de/events/uebersicht. Der Workshop bietet einen komprimierten Überblick.

Stand: 03/2019

 

Nach den ersten Bußgeldern in Deutschland und Bußgeldern in Höhe von 50 Mio. und 400.000 EURO in anderen EU-Mitgliedstaaten wird deutlich, dass Verstöße gegen die DS-GVO zu Bußgeldern führen. Gerade die Pflicht zur Meldung von Datenschutzpannen gegenüber der Datenschutzaufsichtsbehörde nimmt dabei eine besondere Rolle ein. Denn das Unternehmen muss selbst einen Vorfall mitteilen, der ein Bußgeld begründen kann. Sie müssen sich daher bereits im Vorfeld mit der Frage befassen "Wie reagiere ich bei einem Datenschutzvorfall und was muss ich beachten?"

Unser Kollege Dr. Jens Eckhart erläutert gemeinsam mit Bernd Fuhlert, @-yet GmbH, Stolperfallen bei der Meldung von Datenschutzpannen in einem Workshop am 21. März 2019 im Schloß Eicherhof in Leichlingen. Sie können sich anmelden unter https://www.add-yet.de/index.php/de/events/uebersicht. Der Workshop bietet einen komprimierten Überblick.

Stand: 03/2019

 

13 Mär
2019

Fotos auf der eigenen Internetseite – mit der DS-GVO noch möglich?

Seit nun fast einem Jahr gilt die Datenschutz-Grundverordnung (DS-GVO) und immer noch herrscht bei vielen Fragen Rechtsunsicherheit.

mehr lesen

Seit nun fast einem Jahr gilt die Datenschutz-Grundverordnung (DS-GVO) und immer noch herrscht bei vielen Fragen Rechtsunsicherheit. So fragen sich beispielsweise Unternehmen und Vereine, Journalisten und Fotografen, unter welchen Voraussetzungen Fotos, auf denen Personen abgebildet sind, auf der eigenen Internetseite, in sozialen Medien oder Zeitungsberichten verwenden dürfen. Gelten dafür, wie bislang, die Vorschriften des Kunsturhebergesetzes (KunstUrhG) oder sind nun die Regelungen der DS-GVO zu beachten?

Diese Frage hat in der Praxis gravierende Auswirkungen. Das KunstUrhG stellt an die Veröffentlichung von Personenbildaufnahmen weitaus geringere Anforderungen als die DS-GVO. Wegen der zahlreichen Ausnahmen ist nach dem KunstUrhG regelmäßig keine Einwilligung der abgebildeten Personen erforderlich – und wenn doch, kann diese auch stillschweigend erklärt und nicht ohne Weiteres widerrufen werden. Dagegen fordert die DS-GVO eine ausdrückliche Einwilligung, die schriftlich nachzuweisen ist und jederzeit widerrufen werden kann, mit der Folge, dass jede weitere Verwendung unzulässig ist.

Europäische Datenschutz-Grundverordnung ist vorrangiges Recht

Welche Vorschriften sind nun zu beachten? Klar ist: Die DS-GVO genießt als europäisches Recht Anwendungsvorrang. Das heißt, dass das KunstUrhG nur ergänzend herangezogen werden kann, soweit die DS-GVO Lücken lässt. Solche können darin bestehen, dass den Mitgliedstaaten erlaubt wird, zu bestimmten Aspekten innerhalb eines gewissen Spielraums eigene Regelungen zu treffen (sog. Öffnungsklauseln).

Eine solche Öffnungsklausel findet sich in Art. 85 DS-GVO, der aber die Anwendung des KunstUrhG nicht ohne Weiteres erlaubt. Zum einen wird das KunstUrhG nicht von Art. 85 (1) DS-GVO erfasst. Danach dürfen Mitgliedstaaten eigene Regelungen zu treffen, um das Recht auf Datenschutz mit dem Recht auf freie Meinungsäußerung und Informationsfreiheit in Einklang bringen. Die nationalen Regelungen dürfen Lücken ausfüllen, der DS-GVO aber nicht widersprechen. Genau dies ist mit den Vorschriften des KunstUrhG zur Einwilligung jedoch der Fall.

Auch über Art. 85 (2) DS-GVO lässt sich das Problem nur teilweise lösen. Diese Regelung erlaubt einen Rückgriff auf das KunstUrhG, wenn die Veröffentlichung journalistischen, wissenschaftlichen, künstlerischen oder literarischen Zwecken dient. Diese Ausnahmen sind abschließend und erfassen beispielsweise Veröffentlichungen in Zeitungsberichten; für alle anderen Zwecke – und damit regelmäßig bei Veröffentlichungen auf der eigenen Internetseite oder in sozialen Medien – gelten die strengen Anforderungen der DS-GVO.

Leider ist nicht zu erwarten, dass der deutsche Gesetzgeber Abhilfe schaffen wird. Das Bundesministerium des Innern übersieht diese Problematik und hält an seiner kritikwürdigen Auffassung fest, das KunstUrhG sei nach wie vor ohne Weiteres auf die Veröffentlichung von Bildaufnahmen anzuwenden.

Nur mit Einholung einer Einwilligung rechtssichere Veröffentlichung möglich

Für eine möglichst rechtssichere Lösung sollte bei der Veröffentlichung von Bildaufnahmen daher grundsätzlich auf die DS-GVO abgestellt werden. Danach ist idealerweise eine Einwilligung der abgebildeten Person einzuholen und diese gemäß der DS-GVO über die damit verbundene Datenverarbeitung zu informieren. Gerade bei Aufnahmen mehrerer Personen kann dies erhebliche Schwierigkeiten bereiten. Zudem besteht die Gefahr, dass die Einwilligung widerrufen wird und das Bild dann nicht mehr verwendet werden darf.

Alternativ kann eine Veröffentlichung auf die Interessenabwägung nach Art. 6 Abs. 1 (f) DS-GVO gestützt werden, wenn sie zur Wahrung der berechtigten Interessen erforderlich ist. Die deutschen Aufsichtsbehörden halten dies beispielsweise bei Veröffentlichungen zum Zweck der eigenen Öffentlichkeitsarbeit für möglich. Allerdings besteht hier immer das Risiko, dass ein Gericht oder eine andere Aufsichtsbehörde diese Abwägung bei einer späteren Überprüfung anders anstellt und damit die Rechtsgrundlage entfällt.

Kurzum: Das KunstUrhG ist neben der DS-GVO nicht mehr ohne Weiteres anwendbar. Dient die Veröffentlichung von Personenbildnissen journalistischen, wissenschaftlichen, künstlerischen oder literarischen Zwecken, kann das KunstUrhG weiterhin angewendet werden. Veröffentlichungen zu anderen Zwecken sollten, um möglichst rechtssicher zu agieren, nach Maßgabe der DS-GVO erfolgen. Bis zu einer Klärung durch den EuGH wird diese Rechtsunsicherheit bestehen bleiben.

Rechtsanwältin Johanna Mäkert

Stand: 03/2019

Seit nun fast einem Jahr gilt die Datenschutz-Grundverordnung (DS-GVO) und immer noch herrscht bei vielen Fragen Rechtsunsicherheit. So fragen sich beispielsweise Unternehmen und Vereine, Journalisten und Fotografen, unter welchen Voraussetzungen Fotos, auf denen Personen abgebildet sind, auf der eigenen Internetseite, in sozialen Medien oder Zeitungsberichten verwenden dürfen. Gelten dafür, wie bislang, die Vorschriften des Kunsturhebergesetzes (KunstUrhG) oder sind nun die Regelungen der DS-GVO zu beachten?

Diese Frage hat in der Praxis gravierende Auswirkungen. Das KunstUrhG stellt an die Veröffentlichung von Personenbildaufnahmen weitaus geringere Anforderungen als die DS-GVO. Wegen der zahlreichen Ausnahmen ist nach dem KunstUrhG regelmäßig keine Einwilligung der abgebildeten Personen erforderlich – und wenn doch, kann diese auch stillschweigend erklärt und nicht ohne Weiteres widerrufen werden. Dagegen fordert die DS-GVO eine ausdrückliche Einwilligung, die schriftlich nachzuweisen ist und jederzeit widerrufen werden kann, mit der Folge, dass jede weitere Verwendung unzulässig ist.

Europäische Datenschutz-Grundverordnung ist vorrangiges Recht

Welche Vorschriften sind nun zu beachten? Klar ist: Die DS-GVO genießt als europäisches Recht Anwendungsvorrang. Das heißt, dass das KunstUrhG nur ergänzend herangezogen werden kann, soweit die DS-GVO Lücken lässt. Solche können darin bestehen, dass den Mitgliedstaaten erlaubt wird, zu bestimmten Aspekten innerhalb eines gewissen Spielraums eigene Regelungen zu treffen (sog. Öffnungsklauseln).

Eine solche Öffnungsklausel findet sich in Art. 85 DS-GVO, der aber die Anwendung des KunstUrhG nicht ohne Weiteres erlaubt. Zum einen wird das KunstUrhG nicht von Art. 85 (1) DS-GVO erfasst. Danach dürfen Mitgliedstaaten eigene Regelungen zu treffen, um das Recht auf Datenschutz mit dem Recht auf freie Meinungsäußerung und Informationsfreiheit in Einklang bringen. Die nationalen Regelungen dürfen Lücken ausfüllen, der DS-GVO aber nicht widersprechen. Genau dies ist mit den Vorschriften des KunstUrhG zur Einwilligung jedoch der Fall.

Auch über Art. 85 (2) DS-GVO lässt sich das Problem nur teilweise lösen. Diese Regelung erlaubt einen Rückgriff auf das KunstUrhG, wenn die Veröffentlichung journalistischen, wissenschaftlichen, künstlerischen oder literarischen Zwecken dient. Diese Ausnahmen sind abschließend und erfassen beispielsweise Veröffentlichungen in Zeitungsberichten; für alle anderen Zwecke – und damit regelmäßig bei Veröffentlichungen auf der eigenen Internetseite oder in sozialen Medien – gelten die strengen Anforderungen der DS-GVO.

Leider ist nicht zu erwarten, dass der deutsche Gesetzgeber Abhilfe schaffen wird. Das Bundesministerium des Innern übersieht diese Problematik und hält an seiner kritikwürdigen Auffassung fest, das KunstUrhG sei nach wie vor ohne Weiteres auf die Veröffentlichung von Bildaufnahmen anzuwenden.

Nur mit Einholung einer Einwilligung rechtssichere Veröffentlichung möglich

Für eine möglichst rechtssichere Lösung sollte bei der Veröffentlichung von Bildaufnahmen daher grundsätzlich auf die DS-GVO abgestellt werden. Danach ist idealerweise eine Einwilligung der abgebildeten Person einzuholen und diese gemäß der DS-GVO über die damit verbundene Datenverarbeitung zu informieren. Gerade bei Aufnahmen mehrerer Personen kann dies erhebliche Schwierigkeiten bereiten. Zudem besteht die Gefahr, dass die Einwilligung widerrufen wird und das Bild dann nicht mehr verwendet werden darf.

Alternativ kann eine Veröffentlichung auf die Interessenabwägung nach Art. 6 Abs. 1 (f) DS-GVO gestützt werden, wenn sie zur Wahrung der berechtigten Interessen erforderlich ist. Die deutschen Aufsichtsbehörden halten dies beispielsweise bei Veröffentlichungen zum Zweck der eigenen Öffentlichkeitsarbeit für möglich. Allerdings besteht hier immer das Risiko, dass ein Gericht oder eine andere Aufsichtsbehörde diese Abwägung bei einer späteren Überprüfung anders anstellt und damit die Rechtsgrundlage entfällt.

Kurzum: Das KunstUrhG ist neben der DS-GVO nicht mehr ohne Weiteres anwendbar. Dient die Veröffentlichung von Personenbildnissen journalistischen, wissenschaftlichen, künstlerischen oder literarischen Zwecken, kann das KunstUrhG weiterhin angewendet werden. Veröffentlichungen zu anderen Zwecken sollten, um möglichst rechtssicher zu agieren, nach Maßgabe der DS-GVO erfolgen. Bis zu einer Klärung durch den EuGH wird diese Rechtsunsicherheit bestehen bleiben.

Rechtsanwältin Johanna Mäkert

Stand: 03/2019

14 Jan
2019

DSGVO: Haben Werbe-Einwilligungen ein Verfallsdatum?

Wie lange dürfen Daten für Direktwerbung verwendet werden? Für Datenschützer verfällt eine Werbe-Einwilligung nicht bei regelmäßiger Verwendung.

mehr lesen

Wie lange dürfen Daten für Direktwerbung verwendet werden? Für Datenschützer verfällt eine Werbe-Einwilligung nicht bei regelmäßiger Verwendung. Erfahren Sie mehr zu diesem Thema im Beitrag von unserem Kollegen Dr. Jens Eckhardt.

Wie lange dürfen Daten für Direktwerbung verwendet werden? Für Datenschützer verfällt eine Werbe-Einwilligung nicht bei regelmäßiger Verwendung. Erfahren Sie mehr zu diesem Thema im Beitrag von unserem Kollegen Dr. Jens Eckhardt.

17 Dez
2018

Datenschutz-Orientierungshilfe Direktwerbung

Seit über einem halben Jahr ist die DSGVO in Kraft. Die deutschen Datenschutzaufsichtsbehörden haben im November 2018 eine Orientierungshilfe zur Verarbeitung von personenbezogenen Daten für Zwecke der Direktwerbung veröffentlicht.

mehr lesen

Veranstaltungen

11 Dez
2020

Werbung ohne Einwilligung

Referent:
Dr. Jens Eckhardt

Ort:
Live-Webinar, 10:00 Uhr

Programm und Anmeldung
03 Dez
2020

Auftragsverarbeitung oder Joint-Controllership: Was gilt?

Referent:
Dr. Jens Eckhardt

Ort:
Webinar, 10:00 Uhr

Programm und Anmeldung
19 Nov
2020

DS-GVO & Marketing: Das kleine 1x1 für Sie!

Referent:
Dr. Jens Eckhardt

Ort:
Webinar, 10:00 Uhr

Programm und Anmeldung
17 Nov
2020

Neues Anti-Abmahngesetz - Das müssen Sie jetzt wissen!

Referent:
Dr. Jens Eckhardt

Ort:
Webinar, 10:00 Uhr

Programm und Anmeldung
12 Nov
2020

Rechtsgültige Einwilligung einholen

Referent:
Dr. Jens Eckhardt

Ort:
Live-Webinar, 10:00 Uhr

Programm und Anmeldung
30 Okt
2020

Werbung ohne Einwilligung

Referent:
Dr. Jens Eckhardt

Ort:
Live-Webinar, 10:00 Uhr

Programm und Anmeldung
28 Okt
2020

Neues Telekommunikations-Telemedien-Datenschutzgesetz: Was Sie zum Entwurf wissen müssen!

Referent:
Dr. Jens Eckhardt

Ort:
Webinar, 10:00 Uhr

Programm und Anmeldung
06 Okt
2020

Juristisches Grundwissen im Datenschutzrecht

Referent:
Stefan Eßer

Ort:
Gelsenkirchen

Programm und Anmeldung

Publikationen

Dr. Jens Eckhardt / Rüpke / v. Lewinski
Verlag C.H. Beck, 2018
Dr. Jens Eckhardt / Kramer / Tausch
TKMmed!a
Dr. Jens Eckhardt / Bergmann / Möhrle / Herb
Boorberg Verlag
Verlag C. H. Beck München, Mitautor seit 1. Auflage
Verlag C. H. Beck München, Mitautor seit 1. Auflage
Mitautor und Leiter der Taskforce „Datenschutz“ der AG „Rechtsrahmen im Cloud Computing“, Trusted Cloud-Initiative des BMWi
Verlag C. H. Beck München, Mitautor seit 4. Auflage, 2013
Dr. Jens Eckhardt / Dr. Brink (Landesbeauftragter für den Datenschutz Baden-Württemberg)
ZD Editorial 1/2015 und ZD 2015, 205 ff.