Kategorie: Allgemein
20. November 2018
In einem Teilurteil des OLG München vom 24.10.2018 erklärt das Gericht die rechtmäßige Weitergabe von Kundendaten im Rahmen eines geltend gemachten Auskunftsanspruch aus § 242 BGB.
Zwischen der Klägerin und der Beklagten lag ein Vertragshändlervertrag vor, aus dem die Beklagte eine Vertragsverletzung im Rahmen einer Widerklage geltend machen wollte.
Hierzu machte die Beklagte einen Anspruch auf Auskunft über abgewickelte Lieferungsverträge der Klägerin geltend, die möglicherweise die Vereinbarungen aus dem gemeinsamen Vertragshändlervertrag verletzten. Sie verlangte demzufolge also eine Auskunft, welche auch eine Weitergabe der Daten von Kunden der Klägerin beinhaltete.
Nach ständiger BGH-Rechtsprechung ergibt sich ein solcher Auskunftsanspruch aus § 242 BGB (Treu und Glauben), wenn sich der Anspruchsberechtigte im Unklaren über den Umfang seines Rechts befindet und der Verpflichtete unschwer dazu in der Lage ist, die Auskunft zu erteilen.
In der Vorinstanz hatte das Landgericht Traunstein den Auskunftsanspruch abgelehnt. Im Gegensatz dazu sah das OLG München den Auskunftsanspruch als gegeben an und verneinte ein Entgegenstehen der Vorschriften der DSGVO.
Rechtsgrundlage bilde in diesem Fall Art. 6 Abs. 1 lit. f) DSGVO.
So habe die Beklagte bzw. Widerklägerin ein berechtigtes Interesse. Hierbei sind laut Erwägungsgrund 47 Satz 1 Halbsatz 2
„(…) die vernünftigen Erwartungen der betroffenen Personen, die auf ihrer Beziehung zu dem Verantwortlichen beruhen, zu berücksichtigen. Ein berechtigtes Interesse könnte beispielsweise vorliegen, wenn eine maßgebliche und angemessene Beziehung zwischen der betroffenen Person und dem Verantwortlichen besteht, z. B. wenn die betroffene Person ein Kunde des Verantwortlichen ist (…)“
Nach dem OLG München sei bei der vorzunehmenden Abwägung eine möglichst weite Auslegung des berechtigten Interesses als (unions-)grundrechtlich geboten. Dabei seien nicht nur rechtliche Interessen zu berücksichtigen, sondern auch wirtschaftliche oder ideelle.
Bei der Abwägung der Interessen berücksichtigte das Gericht, dass auf Seiten der Betroffenen keine höchstpersönlichen Daten oder ein besonderes Know-how der betroffenen Branche weitergegeben wurden, sondern ausschließlich wirtschaftliche Daten über mehrere Kaufabwicklungen. Diese waren zudem im konkreten Fall noch nach außen überprüfbar. Letztlich überwiege das Interesse der Beklagten an einer Durchsetzung möglicher Schadensersatzansprüche, so das OLG München.
19. November 2018
In der fränkischen Stadt Roth haben jahrelang über 4.000 Kinder ihre Wünsche an einen Christbaum gehängt. Nun soll mit dieser Tradition aus Datenschutzgründen gebrochen werden. Das Problem dabei ist, dass bisher Name und Adresse der Kinder auf dem Wunschzettel stand, damit dieser an den „Wunscherfüller“ weitergeleitet werden könnte. Hat sich beispielsweise ein Kind gewünscht, dass er mal Bürgermeister sein möchte, organisierte die Stadt einen Tag mit dem Bürgermeister von Roth.
Aufgrund der DSGVO müssten dafür nun Einwilligung von den Eltern eingeholt werden. Gemäß Art. 8 Abs. 1 Satz 2 DSGVO heißt es nämlich: „Hat das Kind noch nicht das sechzehnte Lebensjahr vollendet, so ist diese Verarbeitung nur rechtmäßig, sofern und soweit diese Einwilligung durch den Träger der elterlichen Verantwortung für das Kind oder mit dessen Zustimmung erteilt wird.“
Dieser bürokratische Aufwand und die Gefahr vor Bußgeldern hielt die Stadt davon ab die Tradition weiterzuführen. Nach Angaben der Stadt wird jedoch nach einem anderen Weg gesucht die Wünsche und die „Wunscherfüller“ zusammen zu bringen. Die Wunschzettelaktion sei ein Herzstück der zahlreichen Aktionen auf dem Weihnachtsmarkt.
15. November 2018
Die internationale Mediaplattform „Teads“ hat in einem neuen Report ermittelt, dass nur fünf Prozent der europäischen Internetnutzer Werbe-Cookies aktiv vermeiden. Trotz zahlreicher Diskussionen über die neue DSGVO bleibt mithin die Datenbasis für personalisierte Werbung zunächst erhalten.
Jeder kennt Sie: Die Cookie-Banner, die von Europas Publisher auf den Websiten eingesetzt werden, um die Besucher der Website zu fragen, ob Sie den Einsatz von Cookies akzeptieren möchten. 62 % dieser Banner sind derart ausgestaltet, dass Nutzer die Werbe-Cookies akzeptieren oder ablehnen können. Im Durchschnitt entscheiden sich derzeit 95 % der Nutzer, die aktiv auf die Frage antworten, für Cookies, lediglich 5 % entscheiden sich aktiv gegen den Cookie-Einsatz.
Da sich etwa zwei Drittel der laut Comscore 300 weltweit führenden Online-Publisher im Vermarktungsnetzwerk von Teads befinden, ist diese Auswertung durchaus aussagekräftig.
Für Deutschland kann eine derartige Auswertung nicht vorgenommen werden. Es gibt keine Daten zur Cookie-Zustimmung, da die meisten deutschen Publisher keine explizite Zustimmung zur Cookie-Verwendung einholen. Diese stützen sich auf ihr berechtigtes Interesse, welches nach der DSGVO eine Datennutzung für Werbezwecke in gewissem Umfang erlaubt. Wenn der Nutzer Cookies nicht wünscht, muss er selbst im Browser den Einsatz deaktivieren.
Im Rahmen der personalisierten Werbung stellt der Einsatz von Cookies einen wesentlichen Faktor dar. Nach Inkrafttreten der DSGVO sollen individuelle Daten grundsätzlich nur noch mit ausdrücklicher Zustimmung des Nutzers erhoben werden. Lediglich das „berechtigte Interesse“ lässt gewissen Spielraum zu, der in Deutschland von den Publishern genutzt wird. Allerdings kann sich in der Hinsicht noch einiges verschärfen, wenn die geplante E-Privacy-Verordnung kommt. Dann könnte es auch in Deutschland Pflicht werden, ein Opt-In für jegliches Tracking einzuführen.
14. November 2018
Vorsitzender des Gerichtes Erster Instanz, des Interdiözesanen Datenschutzgerichts (IDSG), ist der Präsident des Verwaltungsgerichts Gelsenkirchen, Bernhard Fessler. Der zweiten Instanz, dem Datenschutzgericht der Deutschen Bischofskonferenz (DSG-DBK) sitzt Prof. Dr. Gernot Sydow vor, Professor für europäisches Verwaltungsrecht in Münster. Beiden Gerichten sind neben einem Stellvertretenden Vorsitzenden auch Beisitzer aus dem weltlichen und dem kanonischen Recht zugeteilt.
Die neuen Datenschutzgerichte werden immer dann aktiv, wenn eine betroffene Person oder ein Verantwortlicher in Deutschland ihnen Entscheidungen der Diözesandatenschutzbeauftragten zur Überprüfung vorlegt. Ebenso können Betroffene die Rechtmäßigkeit von Datenverarbeitungen durch Verantwortliche oder Auftragsverarbeiter überprüfen lassen.
Das Verfahren richtet sich nach der Kirchlichen Datenschutzgerichtsordnung (KDSGO). Nicht zu den Aufgaben der Gerichte gehört es, die Rechtmäßigkeit kirchlicher Gesetze zu überprüfen, so dass Gegenstand der Entscheidungen ausschließlich die rechtskonforme Gesetzesauslegung und -anwendung sein wird.
Die Datenschutzgerichte nehmen in Deutschland eine einzigartige Vorreiterrolle ein, insbesondere auch, weil im weltlichen Bereich ein entsprechendes Pendant nicht existiert: Hier fällt die DSGVO in die Zuständigkeit von Verwaltungs- bzw. ordentlichen Gerichten.
Eine Sonderregelung für die Kirchen im Grundgesetz (Art. 140 GG i.V.m. Art. 137 Weimarer Reichsverfassung) macht es möglich:
Bei Entstehung des Grundgesetzes 1949 hatten sich die Kirchen in Deutschland vorbehalten, ihr Recht auf Selbstbestimmung und damit ihre Unabhängigkeit vom Staat als Verfassungsrecht statuieren zu lassen, womit das Grundrecht auf Religionsfreiheit (Art. 4 GG) eine wichtige Stärkung erfuhr. Auf dieser Kodifizierung fußt u.a. das Recht der Religionsgemeinschaften, Steuern zu erheben, in bestimmten Bereichen eigene Gesetze zu erlassen, und wie vorliegend eigene Spezialgerichte einzuberufen.
Die Entscheidungen der Kirchengerichte haben im sonstigen kirchlichen – z.B. evangelischen – und im staatlichen bzw. europäischen Recht -also DSGVO, BDSG und Landesgesetze – keine direkte Geltung. Da das KDG jedoch in weiten Teilen identisch mit der DSGVO ist, dürfte jedenfalls eine analoge Übertragung auf nichtkatholische Sachverhalte naheliegen.
13. November 2018
Vor einigen Wochen gab es Diskussionen um das Abmontieren von Klingelschildern an Mietwohnungen. Eine Hausverwaltung in Wien wollte zu dieser drastischen Maßnahme greifen, um den Anforderungen der DSGVO gerecht zu werden. Diese Maßnahme zeigt sehr gut, wie groß die Unsicherheiten beim Thema Datenschutz auch bei den Vermietern ist.
Da es sich bei den Klingelschildern mit Namen jedoch nicht um eine automatisierte Verarbeitung von Daten und auch nicht um eine tatsächliche oder beabsichtigte Speicherung in einem Datensystem handelt, sind die strengen Anforderungen der DSGVO hier nicht einschlägig und Vermieter können dahingehend aufatmen.
Allerdings gibt es in anderer Hinsicht einiges für den Vermieter zu beachten.
Der Datenschutz fängt nicht erst mit Beginn des Mietverhältnisses an, sondern bereits im Vorfeld. Es muss für jeden Prozess, bei denen der Vermieter in Kontakt mit Daten von Dritten kommt, überprüft werden, ob die DSGVO zur Anwendung kommt. Dazu zählt auch die Auswahl des richtigen Mieters.
Es stellt sich insbesondere die Frage, welche Informationen der Vermieter über einen potentiellen Mieter überhaupt einholen darf. Der Vermieter kann nicht ohne Weiteres alles abfragen, sondern muss sich stets auf ein berechtigtes Interesse berufen können oder eine Einwilligung des potentiellen Mieters einholen für den Fall, dass ein berechtigtes Interesse nicht gegeben ist.
Beispielsweise kann noch kein berechtigtes Interesse des Vermieters daran begründet werden, bei der ersten Kontaktaufnahme mit dem potentiellen Mieters sämtliche Gehaltsauskünfte inklusive Schufa-Auskunft einzufordern. Mehr Möglichkeiten hat der Vermieter hingegen, wenn der potentielle Mieter zur Wohnungsbesichtigung kommt. Im Rahmen einer „freiwilligen Selbstauskunft“ ist der Vermieter hier berechtigt, Informationen vom Mieter einzuholen, die für ein zukünftiges Mietverhältnis von wichtiger Bedeutung wären. So hat der Vermieter vor Vertragsunterzeichnung beispielsweise ein berechtigtes Interesse daran, zu erfahren, ob sein künftiger Mieter pünktlich die Miete zahlen kann, ob er ein Haustier besitzt oder Raucher ist. Nicht hingegen von Bedeutung ist beispielsweise die Information über den Familienstand des Mieters, da Angehörige auch ohne Erlaubnis des Vermieters mit in die Wohnung einziehen dürfen.
Hat der Vermieter sich für einen Mieter entschieden, hat die Selbstauskunft des Mieters ihren Zweck erfüllt, sodass diese vernichtet werden muss. Behält der Vermieter Unterlagen ohne datenschutzrechtliche Grundlage, insbesondere nach Zweckwegfall, droht ein hohes Bußgeld und Schadensersatzansprüche.
Der deutsche Bundestag hat eine Reform der berufsrechtlichen Verschwiegenheitspflichten verabschiedet. Hiervon betroffen sind klassischerweise Anwälte, Ärzte und Psychologen oder Steuerberater. In der Reform geht es vorrangig jedoch um einen anderen Aspekt, der aus datenschutzrechtlicher Sicht eine große Relevanz hat: Die Zusammenarbeit mit externen Dienstleistern im Kontext der Auftragsverarbeitung.
Denn die den Berufsgeheimnisträgern anvertrauten Informationen müssen über den eigenen Machtbereich hinaus auch bei externen Dienstleistern sicher sein und dürfen das Grundkonzept der Verschwiegenheit nicht unterlaufen.
Im Zuge dessen wurde das Gesetz zur Neuregelung des Schutzes von Geheimnissen bei der Mitwirkung Dritter an der Berufsausübung schweigepflichtiger Personen beschlossen.
Dabei geht es speziell in dem eingeführten § 203 Abs. 3 StGB um eine mögliche Legitimation der Weitergabe von Daten durch Berufsgeheimnisträger an Dritte. Dass es diese Möglichkeit nun gibt, muss vor dem Hintergrund der digitalen und wirtschaftlichen Realität gesehen werden. Auch die genannten Berufe mit besonderer Vertrauensstellung kommen häufig nicht umhin, sich gegenüber arbeitsteiligen Outsourcing-Prozessen zu öffnen. Schließlich gibt es beispielsweise für Anwälte und Ärzte bereits eine Vielzahl von Software-Lösungen „in der Cloud“. Hierin spiegelt sich aus datenschutzrechtlicher Sicht eine Konstellation der Auftragsverarbeitung wider.
§ 203 Abs. 3 StGB legitimiert die Datenweitergabe an Dritte dann, wenn
der Geheimnisträger den bei ihnen berufsmäßig tätigen Gehilfen oder den bei ihnen zur Vorbereitung auf den Beruf tätigen Personen Geheimnisse zugänglich macht,
die Geheimnisse gegenüber Dritten offenbart werden, die an der beruflichen oder dienstlichen Tätigkeit des Geheimnisträgers mitwirken, soweit dies für die Inanspruchnahme der Tätigkeit der „sonstigen mitwirkenden Person“ erforderlich ist.
Im Gegenzug können sich nun auch Dritte, die an der Verarbeitung von berufsständisch besonders geschützten Daten mitwirken, entsprechend strafbar machen.
Die Datenschutz-Grundverordnung sieht für die Weitergabe sensibler Informationen (u.a. Gesundheitsdaten) die Einwilligung der jeweils Betroffenen vor, was die Datenübermittlung grundsätzlich erschwert und viele der auf dem Markt verfügbaren Arbeitserleichterungen nicht nutzbar macht. Mit der Reform des § 203 StGB ist dieses Regelungsproblem jedoch in vernünftiger Weise zugunsten der Zusammenarbeit mit Dritten gelöst worden. Selbstverständlich sind die strengen und mit hohen Bußgeldern unterlegten datenschutzrechtlichen Anforderungen an die Weitergabe von Daten weiterhin zu erfüllen.
12. November 2018
Die Bundesdatenschutzbeauftragte, Andrea Voßhoff, bezog vor dem Bundesverfassungsgericht Stellung zu einer Verfassungsbeschwerde gegen Bestandsdatenauskünfte. Voßhoff äußert Ihre Kritik darin, dass das Auskunftsrecht des Bundesamtes für Verfassungsschutz dazu führe, dass Behörden Auskünfte zur Identifizierung von Internetnutzern sowie zum Erhalt von Passwörtern nutzen könne, da das Gesetz weder Anlass, Umfang noch betroffenen Personenkreis beschränke.
Insbesondere kritisiert die Bundesdatenschutzbeauftragte, dass sich dem Bundeskriminalamt bereits im Vorfeld von Gefahren die Möglichkeit eröffne, Daten zu sammeln. Gemäß einer von Voßhoff dargelegten Kontrolle, stelle sich heraus, dass die Schwelle zu einer Erhebung von Daten sehr „niedrig“ sei, wodurch der Verfassungsschutz beliebige Daten zu Personen anreichern könne. Um Ihre Kritik zu untermauern, erläuterte Sie, dass in der Praxis Informationen von unschuldigen Personen oftmals in Akten zu verdächtigen Personen aufgeführt werden.
Abschließend erläuterte Voßhoff, dass eine Nutzeridentifizierung künftig nur noch nach richterlicher Anordnung möglich sein solle. Die Entscheidung des Bundesverfassungsgerichts über die eingereichte Beschwerde ist noch abzuwarten.
8. November 2018
Die deutsche Identifikationsplattform Verimi bekommt Konkurrenz. Auf 60 Partnerwebsites kann man sich jetzt mit der NetID anmelden, ohne sich einen Account anlegen zu müssen. Die „LogIn-Allianz“ wirbt damit, dass die Daten der Nutzer nicht bei Facebook und Google landen, die Nutzer nur noch ein Passwort brauchen und dass ihre Daten auf europäischen Servern gespeichert werden und zentral verwalten können.
Wer beispielsweise eine E-Mail-Adresse bei WEB.DE oder GMX hat, kann diese bereits nutzen um sich bei den Partnerunternehmen anzumelden. Laut Zeitungsberichten handelt es sich dadurch bereits um 35 000 potenzielle Nutzer. Alle anderen können sich mit einer beliebigen E-Mail-Adresse auf der Seite von NetID anmelden. Zu den Partnerunternehmen, bei denen man sich mit seiner NetID anmelden kann, gehören zur Zeit CALIDA, kochbar und Merkur.de. Zalando, Conrad, dpd und die Otto Group sollen bald folgen.
Im Vergleich dazu konnte der deutsche Identitätsplattform-Anbieter Verimi große Unternehmen wie die Deutsche Bahn, die Deutsche Telekom, Lufthansa, die Bundesdruckerei und die Deutsche Bank gewinnen. Es bleibt abzuwarten welcher der beiden Anbieter sich durchsetzen wird.
Das OLG Hamburg urteilte (Urt. v. 25. Oktober 2018, 3 U 66/17), dass Verstöße gegen die DSGVO Wettbewerbsverletzungen darstellen können. Dabei geht es um die Frage, ob Mitbewerber in solchen Fällen überhaupt befugt sind, Klage zu erheben (wir berichteten über Urteile der Landgerichte Würzburg und Bochum). Die DSGVO zählt auf, wer genau welche Ansprüche geltend machen kann. Mitbewerber sind dort nicht genannt, allerdings ermöglicht die Grundverordnung den Mitgliedsstaaten der EU, selbst Vorschriften über Sanktionen festzulegen. Solch eine Vorschrift könnte auch das Gesetz gegen den unlauteren Wettbewerb darstellen, dies ist jedoch umstritten.
Die Richter vom Hanseatischen Oberlandesgericht jedenfalls sind davon überzeugt, dass die DSGVO „die Verfolgung datenschutzrechtlicher Verletzungshandlungen auf lauterkeitsrechtlicher Grundlage durch Mitbewerber” nicht ausschließen würde.
Für Online-Händler bedeutet dieses Urteil weiterhin keine absolute Gewissheit, da es sich um eine Einzelfallentscheidung handelt. Es bleibt daher zunächst nichts anderes übrig, als den Ausgang der weiteren kommenden Prozesse abzuwarten, bis die Rechtsprechung eine Linie gefunden hat.
Die Digitalisierung im Gesundheitswesen bringt einige Vorteile mit sich, so werden beispielsweise Möglichkeiten geschaffen, die Versorgung zu verbessern und die Arbeit effizienter zu gestalten. Dies stellte die Personalberatung Rochus Mummert Healthcare Consulting in einem neuen Gutachten heraus, in dem 360 Führungskräfte in deutschen Krankenhäusern und Pflegeeinrichtungen befragt wurden. Unter den Studienteilnehmern sind rund die Hälfte in öffentlich-rechtlichen Krankenhäusern beschäftigt, 20 Prozent in privatwirtschaftlichen und konfessionellen Krankenhäusern sowie circa 10 Prozent in freigemeinnützigen oder sonstigen Einrichtungen.
Rund 71 Prozent der Studienteilnehmer sind der Ansicht, dass die Digitalisierung in Kliniken und anderen Pflegeeinrichtungen die Versorgung der Patienten verbessern kann. Darüber hinaus sehen 64 Prozent die Möglichkeit zur Kosteneinsparung, insbesondere deshalb, weil die Digitalisierung dazu beitragen kann, unnötige Untersuchungen und Behandlungen zu vermeiden.
Jedoch stehen diesen positiven Auswirkungen der Digitalisierung auch erhöhte Risiken entgegen. So berichten 43 Prozent der Befragten, dass sie bereits Ziel eines Hackerangriffs geworden sind. Fast ein Drittel (31 Prozent) kann nicht ausschließen, schon einmal unbemerkt Opfer eines Cyber-Kriminellen geworden zu sein.
Bei den Daten in Klinken und Pflegeeinrichtungen handelt es sich überwiegend um sensible personenbezogene Daten, die besonders schutzbedürftig sind. Bei der zunehmenden Digitalisierung, die zwar erhebliche Vorteile mit sich bringt, dürfen Risiken, insbesondere die datenschutzrechtlichen Risiken, nicht außer Acht bleiben.
Um diesen Risiken entgegenzuwirken, muss mehr in die IT-Sicherheit und den Datenschutz investiert werden, beispielsweise durch umfassende IT-Sicherheitsprüfungen, Schulungen und weitere Schutzmaßnahmen, die einen Zugriff von außen durch unberechtigte Dritte verhindern.
