13. Dezember 2019
KINAST Rechtsanwälte werden im Datenschutzrecht von Unternehmensjuristen ausgesprochen häufig empfohlen!
Das ergab die Studie „kanzleimonitor.de – Empfehlung ist die beste Referenz 2019/2020“. Das Deutsche Institut für Rechtsabteilungen und Unternehmensjuristen (diruj) untersucht jährlich auf empirischer Basis die zwei wichtigsten Auswahlkriterien bei der Mandatierung eines externen Anwalts bzw. Kanzlei für Unternehmensjuristen: Die Erfahrung in der Zusammenarbeit und das daraus resultierende Vertrauen und die Empfehlung von Kollegen.
Nachdem KINAST im Bereich Datenschutzrecht im Jahr 2015 noch als „Hidden Champion“ und in den Folgejahren unter den Top-10 Kanzleien im Datenschutzrecht gelistet war, belegen wir nunmehr deutschlandweit den 5. und im Westen Deutschlands den 4. Platz und finden uns damit neben einigen Großkanzleien als insgesamt höchstgerankte Boutique in der absoluten Spitzengruppe wieder.
Gleich sechs unserer Anwälte sind in der Liste persönlicher Empfehlungen namentlich genannt: Dr. Karsten Kinast, Benedikt Woltering, Tobias Mick, Beate Poloczek, Jan Rübsteck und Orcun Sanli.
Nicht nur im Datenschutzrecht wird unsere Kanzlei von Unternehmensjuristen empfohlen: So hat KINAST auch als Externe Compliancebeauftragte mehrere Empfehlungen erhalten (Themenfelder Legal Compliance, Ethical Compliance und Aufbau Compliance-Organisation).
Das Ergebnis in dieser Studie ist für uns besonders wichtig, weil damit unsere Mandanten unseren klaren Kanzleifokus und unsere hohe Beratungsqualität würdigen. Wir freuen uns über das positive Feedback und bedanken uns für alle Empfehlungen!
12. Dezember 2019
Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI) verhängte gegen ein Krankenhaus ein Bußgeld in Höhe von 105.000 Euro. Grund dafür sind mehrere Verstöße gegen die Datenschutz-Grundverordnung im Zusammenhang mit einer Patientenverwechslung bei der Aufnahme des Patienten.
Dies führte zu falschen Rechnungsstellungen und offenbarte strukturelle technische und organisatorische Defizite des Krankenhauses beim Patientenmanagement.
Der Landesbeauftragte, Prof. Dr. Kugelmann, betont: „Vorrangiges Ziel der Abhilfe- und Sanktionsmaßnahmen ist es, bestehende Defizite abzustellen und den Datenschutz zu verbessern. Geldbußen sind hierbei ein Instrument unter mehreren. Neben ihrer Sanktionswirkung enthalten sie immer auch ein präventives Element, indem deutlich wird, dass Missständen konsequent nachgegangen wird. Mir kommt es darauf an, dass mit Blick auf die besondere Sensibilität der Daten beim Gesundheitsdatenschutz substanzielle Fortschritte erzielt werden. Daher hoffe ich, dass die Geldbuße auch als Signal gewertet wird, dass die Datenschutzaufsichtsbehörden auf dem Feld des Umgangs mit Daten im Gesundheitswesen besondere Wachsamkeit an den Tag legen.“
10. Dezember 2019
Gegen die Telekommunikationsfirma 1&1 Telecom GmbH hat der Bundesdatenschutzbeauftragte Ulrich Kelber ein Bußgeld in Höhe von 9,55 Millionen Euro verhängt.
Als Grund nannte Kelber das Fehlen von „hinreichenden technisch-organisatorischen Maßnahmen“ (TOMs) zum Schutz von Kundendaten. Die zum Konzernverbund gehörenden Mail-Anbieter Web.de und GMX sind davon jedoch nicht betroffen.
Die Aufsichtsbehörde kritisierte das unzureichende Authentifizierungsverfahren der 1&1 Telecom GmbH bei telefonischen Anfragen über die Kundenhotline. Die Angabe von Namen und Geburtsdatum hätten ausgereicht, um weitreichende personenbezogene Kundendaten zu erhalten. Dies stelle einen Verstoß gegen Artikel 32 DSGVO dar, da personenbezogene Daten nicht systematisch geschützt wurden und ein hohes Risiko für den gesamten Kundenbestand entstanden sei.
Das Unternehmen reagierte umgehend indem es den Authentifizierungsprozess durch die Abfrage zusätzlicher Angaben stärker absicherte. Darüber hinaus bemühe man sich ein neues, technisch und datenschutzrechtlich deutlich verbessertes Authentifizierungsverfahren einzuführen.
Aufgrund dieses kooperativen Verhaltens der 1&1 Telecom GmbH bewege sich die Strafe noch im unteren Rahmen des Möglichen.
Gleichzeitig verhängte die Aufsichtsbehörde gegen einen weiteren Telekommunikationsanbieter, namentlich die Firma Rapidata, ein Bußgeld in Höhe von 10.000 Euro wegen eines Verstoßes gegen Artikel 37 DSGVO.
Die 1&1 Telecom GmbH hat inzwischen angekündigt, gegen den „absolut unverhältnismäßigen“ Bußgeldbescheid klagen zu wollen. Es habe sich um einen Einzelfall aus dem Jahr 2018 gehandelt.
5. Dezember 2019
Die Beschlüsse Recht auf Vergessen I und II ergingen am selben Tag und stehen in direktem Zusammenhang. Während im ersten Blogeintrag die Grundsätze der Anwendbarkeit von Unionsgrundrechten und deutschem Grundgesetz aufgezeigt wurden, wird im Folgenden auf den Beschluss ‚Recht auf Vergessen I‘ eingegangen. In diesem schärft das BVerfG das Recht auf Vergessen.
Der Sachverhalt
Im zugrundeliegenden Fall begehrte der Beschwerdeführer die Löschung eines Artikels, der auf Spiegel Online kostenlos zum Abruf bereitgehalten wurde und bei Google bei Eingabe seines Namens unter den ersten Treffern auftauchte. Der Beschwerdeführer wurde 1982 wegen Mordes und versuchten Mordes zu einer lebenslangen Freiheitsstrafe verurteilt und 2002 auf der Haft entlassen. Während das Landgericht dem Beschwerdeführer noch einen Unterlassungsanspruch gegen die Veröffentlichung des Berichts zugestand und die Berufung erfolglos blieb, wies in der Revision der BGH die Klage ab.
Die rechtliche Würdigung
Das BVerfG stellt zunächst fest, dass die Verarbeitung zu journalistischen Zwecken in den Bereich des Medienprivilegs fällt, für das Art. 85 DSGVO eine Öffnungsklausel vorsieht. Wegen des weitgehenden Gestaltungsspielraums der Mitgliedstaaten, sei hier das deutsche Grundgesetz anwendbar. Gleichwohl könnten die Garantien der Unionsgrundrechte als Auslegungshilfe Berücksichtigung finden.
Bevor das BVerfG in die grundrechtliche Abwägung einsteigt setzt es sich dezidiert mit dem Recht auf Vergessen auseinander. Dieses leitet es aus dem allgemeinen Persönlichkeitsrecht in Abgrenzung zum Recht auf informationelle Selbstbestimmung ab. Allein Ersteres umfasse den Schutz vor der Verarbeitung personenbezogener Berichte und Informationen als Ergebnis eines Kommunikationsprozesses. In der Folge wägt das BVerfG das Recht auf Vergessen des Beschwerdeführers mit der Meinungsfreiheit und der Pressefreiheit von Spiegel Online ab. Während für aktuelle Berichterstattungen über Straftaten in der Regel dem Informationsinteresse Vorrang einzuräumen sei, könne ein zunehmender zeitlicher Abstand das Ergebnis verändern. Hierbei könne keine allgemeine Frist fixiert werden. Es müsse das Interesse an der Wiedereingliederung des Straftäters in die Gesellschaft berücksichtigt werden.
Bei der Abwägung sei insbesondere einzustellen, dass die Informationen für jedermann unmittelbar und dauerhaft abrufbar sind. Das BVerfG zählt ein Reihe weiterer in der Abwägung maßgeblicher Gesichtspunkte auf. So seien die Wirkungen, die zurückliegende Berichte auf das Privatleben und die Entfaltungsmöglichkeiten der Person haben, zu berücksichtigen. Auch komme es darauf an, ob das Ereignis für sich allein oder in gesellschaftlichem Kontext steht. Zudem komme es darauf an, ob das Verhalten des Betroffenen von einem „Vergessenwerdenwollen“ getragen sei. Die Belastungswirkung für den Betroffenen bestimme sich auch danach, ob der Bericht breitenwirksam gestreut wird, indem er durch Suchmaschinen leicht auffindbar ist. Das BVerfG stellt aber klar, dass es kein Recht auf Vergessenwerden in einem grundsätzlich allein von den Betroffenen beherrschbaren Sinn gebe.
Das Ergebnis
Die Entscheidung des BGH halte diesen Anforderungen nicht stand. Sie habe insbesondere die zeitliche Distanz zum Strafverfahren und die konkrete Situation des Beschwerdeführers nicht hinreichend gewürdigt.
Das Bundesverfassungsgericht beschäftigte sich in zwei in vieler Hinsicht spannenden Beschlüssen vom 6. November 2019 mit dem Recht auf Vergessen (1 BvR 16/13 – Recht auf Vergessen I und 1 BvR 276/17, Recht auf Vergessen II). Darin setzt sich das Verfassungsgericht wohl erstmals mit der Frage auseinander, ob und wann es die Charta der Grundrechte der Europäischen Union anwendet und nicht das deutsche Grundgesetz.
Das BVerfG kommt zu dem Ergebnis, dass allein die Unionsgrundrechte anwendbar sind, wenn sich der Rechtsstreit nach unionsrechtlich vollständig vereinheitlichten Regelungen richtet. Dies sei im Datenschutzrecht bereits durch die EU-Datenschutzrichtlinie, erst recht aber durch die Datenschutz-Grundverordnung grundsätzlich erfolgt. Eine Ausnahme gelte für Bereiche, in denen das Unionsrecht den Mitgliedstaaten die Schaffung abweichender Regelungen ermögliche. Ob eine Regelung gestaltungsoffen ist müsse durch Auslegung der konkreten Vorschrift ermittelt werden. Es komme darauf an, ob die Norm auf die Ermöglichung von Vielfalt und die Geltendmachung verschiedener Wertungen angelegt sei.
Der Sachverhalt
Im zugrundeliegenden Fall des Beschlusses „Recht auf Vergessen II“ begehrte die Beschwerdeführerin die Unterlassung der Anzeige eines Suchergebnisses von Google. Bei der Eingabe ihres Namens erschien als Suchergebnis ein Transkript eines Beitrags des Fernsehmagazins „Panorama“ von 2010. Der Beschwerdeführerin wurde darin ein unfairer Umgang mit ihren Mitarbeitern vorgeworfen. Das Landgericht verurteilte Google dazu den Link zu entfernen. Das OLG wies die Berufung ab.
Die rechtliche Würdigung
Nach den Ausführungen des BVerfG betrifft der Rechtsstreit eine unionsrechtlich vereinheitlichte Materie, weswegen die Unionsgrundrechte anwendbar seien. Dies sei Konsequenz der Übertragung von Hoheitsbefugnissen auf die EU. Die Anwendung deutscher Grundrechte würde das Ziel der Rechtsvereinheitlichung konterkarieren. Dem Grundgesetz komme insofern nur eine Reservefunktion zu. Während der EuGH für die letztverbindliche Auslegung des Unionsrechts zuständig sei, habe das BVerfG die Kompetenz über die richtige Anwendung der Unionsgrundrechte.
Das Recht auf Achtung des Privatlebens aus Art. 7 und 8 CRC beschränke sich nicht auf höchstpersönliche oder besonders sensible Sachverhalte, sondern schließe auch geschäftliche und berufliche Tätigkeiten ein. Zwar könne sich Google selbst nur auf die unternehmerische Freiheit berufen. In der Abwägung seien jedoch auch die Grundrechte der Inhalteanbieter einzustellen, um deren Veröffentlichung es geht. Zudem müssten Zugangsinteressen der Internetnutzer berücksichtigt werden. Das BVerfG arbeitet sodann detailliert heraus, dass ein Schutzanspruch gegenüber einem Suchmaschinenbetreiber weiter reichen kann als gegenüber dem Inhalteanbieter, wenn im Verhältnis zwischen zwischen Betroffenen und Inhalteanbieter nach innerstaatlichem Fachrecht allein die inhaltliche Richtigkeit eines Beitrags ohne Berücksichtigung seiner Verbreitungswirkungen im Internet maßgeblich ist und deshalb der hierdurch entstehende Schutzbedarf der Betroffenen auf dieser Ebene noch nicht erfasst wird.
Das Ergebnis
Die klageabweisende Entscheidung des OLG beanstandet das BVerfG nicht. Die Beschwerdeführerin habe damals ihre Zustimmung zu dem Beitrag gegeben. Ein Zeitablauf könne zwar dazu führen, dass die Verbreitung von Beiträgen durch Suchmaschinen unzumutbar wird, denn es müsse die Chance eines In-Vergessenheit-Geratens belastender Informationen geben. Allerdings sie die Beschwerdeführerin weiterhin unternehmerisch tätig und der Zeitraum von sieben Jahren nicht übermäßig lang.
Zum Beschluss „Recht auf Vergessen I“ folgt ein weiterer Blogeintrag.
4. Dezember 2019
Die Bundesregierung plant einen eigenen Messengerdienst für Behörden, der WhatsApp ersetzen soll. „Ein sicherer, plattformunabhängiger und behördenübergreifender Messengerdienst für Behörden ist aus Sicht der Bundesregierung sinnvoll“, teilte das Bundesinnenministerium (BMI) die dem Tagespiegel mit.
In Frankreich gibt es bereits den Regierungsmessenger Tchap, der auf Open-Source-Grundlage entwickelt worden ist und in den Behörden genutzt wird. Diesem Beispiel folgt Deutschland und will auch für deutsche Behörden einen unabhängigen Messengerdienst entwickeln. Mit dem Thema befasst sich eine ressortübergreifende Arbeitsgruppe unter der Leitung des BMI. Die Planung hat schon begonnen, Pilotprojekte sollen aufgebaut und erprobt werden.
Der Bundesbeauftragte für den Datenschutz und die
Informationsfreiheit Ulrich Kelber (BfDI) begrüßte es aus
datenschutzrechtlicher Sicht den Behörden zu dienstlichen Zwecken eine
unabhängige Messengeralternative anzubieten.
3. Dezember 2019
Bei einer Abfrage des NDR bei den Datenschutzbehörden der Länder stellte sich heraus, dass sensible Daten von Patientinnen und Patienten in großer Zahl an falsche Adressen verschickt werden. Es wurden 850 Datenpannen durch Fehlversendungen von Patiententendaten gemeldet, wobei sechs Bundesländer keine Angaben machten.
Die Pannen kommen laut dem Bericht des NDR in allen Gesundheitsbereichen vor, sei es Kliniken oder Abrechnungsstellen. Ursächlich ist in der Regel menschliches Versagen durch falsche Adressierung, Kuvertierung, Verwechslung von Patienten und Ärzten oder Tippfehler.
Eine besonders auffällige Häufung der Datenpannen zeigte sich in einem Krankenhaus in Hamburg. So hatte die Asklepios Klinik Altona seit 2013 insgesamt elf Briefe mit vertraulichen Patientendaten fälschlich an eine Hamburger Psychotherapeutin verschickt, die mit den Patienten nichts zu tun hatte. Es drohen hohe Bußgelder für solche Datenpannen.
2. Dezember 2019
Am 1. Dezember 2019 wurde der virtuelle Adventskalender des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI RLP) eröffnet. Jedes Jahr möchte der Landesbeauftragte, Prof. Dr. Dieter Kugelmann mit seinem virtuellen Adventskalender 2019 „Licht auf den Datenschutz“ werfen.
Der Adventskalender behandelt bis
Weihnachten hinter jedem der digitalen Türchen ein Datenschutzthema. Die Datenschutzthemen
widmen sich Menschen in ihrem zunehmend digitalisierten Alltag. Der
Adventskalender befasst sich unter anderem mit dem Recht am eigenen Bild, mit
Rezepte-Apps, Videoüberwachung, Tracking im Internet, Geschäftsgeheimnissen,
Informationsfreiheit, Auskunftsrechte, E-Mail-Zugriff durch den Arbeitgeber,
die Folgen eines Brexit und Künstlicher Intelligenz.
„Viele
digitale Vorgänge sind uns selbstverständlich geworden, dennoch sollte man
wissen, dass nicht alles, was technisch geht, immer auch zulässig ist oder
hingenommen werden muss. Die digitale Gesellschaft braucht und hat Regeln und
es ist es gut, wenn man sich dessen bewusst ist. Mit Hilfe des Adventskalenders
können Sie Ihre Weihnachtszeit datenschutzgerecht gestalten“, betont der
Landesdatenschutzbeauftragte.
Der polnische Jurist, Wojciech Wiewiórowski ist der neue EU-Datenschutzbeauftragte. Er war seit Dezember 2014 stellvertretender Europäischer Datenschutzbeauftragter. Der Ausschuss für Justiz und Bürgerrechte im EU-Parlament bestätigte Wojciech Wiewiórowski nun für eine fünfjährige Amtszeit als Europäischer Datenschutzbeauftragter. Wiewiórowski hatte das Amt zuvor bereits übergangsweise übernommen, nachdem sein Amtsvorgänger Giovanni Buttarelli diesen Sommer gestorben war.
Der neue EU-Datenschutzbeauftragte
will eine „intelligente, innovative öffentliche EU-Verwaltung“ aufbauen.
Wojciech Wiewiórowski nennt als große Herausforderung seiner Amtszeit den
Umgang mit Künstlicher Intelligenz oder Quantum Computing und deren Auswirkung
auf die Privatsphäre. Zudem kündigte der neue Amtsträger im Rahmen der Strafverfolgung
neue Richtlinien zum Datenschutz an.
„Ich schätze die Freiheit und Würde des Einzelnen aufgrund meiner eigenen Erfahrungen, und mir ist bewusst, wie wertvoll und zerbrechlich sie sind“, betont der neue Datenschutzbeauftragte in einer öffentlichen Stellungnahme.
29. November 2019
Wir freuen uns, Sie darauf aufmerksam machen zu können, dass die Abstracts zu den einzelnen Vorträgen der Redner unserer Veranstaltung „datenschutzticker.live“ inzwischen auf datenschutzticker.live abrufbar sind.
Auf der Seite finden Sie kurze Zusammenfassungen zu den folgenden Vorträgen:
Sollten Sie Fragen, Anregungen oder sonstige Anliegen haben, so können Sie jederzeit unter veranstaltung@datenschutzticker.live auf uns zukommen.
