Kategorie: EU-Datenschutzgrundverordnung

Videoüberwachung

28. November 2018

Nach der neuen Rechtslage der DSGVO gibt es keine ausdrückliche Regelung zur Videoüberwachung mehr. Zwar enthält das BDSG-neu eine Regelung zur Videoüberwachung, die inhaltlich mit der ursprünglichen Regelung des § 6b BDSG a.F. in großen Teilen übereinstimmt. Allerdings ist nicht klar, ob diese Regelung nicht europarechtswidrig ist, da umstritten ist, ob für den Erlass einer solchen Vorschrift durch den nationalen Gesetzgeber eine Ermächtigungsnorm besteht.

Nicht öffentlichen Stellen ist daher zu empfehlen, eine Videoüberwachung (zumindest vorerst bis zur Klärung der Rechtslage) nicht auf § 4 BDSG-neu zu stützen, sondern auf die allgemeine Ermächtigungsnorm des Art. 6 Abs. 1 lit. f DSGVO. Hiernach hat eine Interessensabwägung zwischen den eigenen Interessen und den Interessen der betroffenen Personen stattzufinden.

Ebenfalls berücksichtigt werden sollten
• die Informationspflichten nach Artt. 12 ff. DSGVO, wonach über die Videoüberwachung durch Hinweisschilder und die weiteren gesetzlich normierten Informationen (bspw. durch einen Aushang) transparent aufzuklären ist,
• die Aufnahme des Verfahrens in das Verzeichnis von Verarbeitungstätigkeiten gemäß Art. 30 Abs. 1 DSGVO und
• eine eventuell durchzuführende Datenschutzfolgenabschätzung gemäß Art. 35 DSGVO bei einem voraussichtlich hohen Risiko für die Rechte und Freiheiten natürlicher Personen. Dies gilt in jedem Fall bei einer systematischen umfangreichen Überwachung öffentlich zugänglicher Räume (Art. 35 Abs. 3 lit. c DSGVO).

Droht Deutschland ein EU-Verfahren aufgrund von Datenschutz-Verstößen?

21. November 2018

Die Datenschutzgrundverordnung (DSGVO) entfaltet seit dem 25.Mai diesen Jahres Wirkung. In diesem Kontext stieg die Anzahl der durch die Datenschutzbehörden zu erfüllenden Aufgaben bekanntermaßen an. Dies resultiert sowohl aus einer steigenden Bereitschaft der Menschen, Verstöße zu melden als auch aus neuen, durch die DSGVO entstandenen Aufgaben.

Dieser Anstieg der Anzahl zu erledigenden Aufgaben scheint die Datenschutzbehörden jedoch trotz der zweijährigen Umsetzung nahezu unvorbereitet getroffen zu haben. Dies geht zumindest aus einem Interview mit Baden-Württembergs Datenschutzbeauftragtem Stefan Brink hervor. Dieser (und andere) konstatierte(n) scheinbar, dass das Personal einiger Bundesländer nicht – oder unzureichend – aufgestockt wurde und hierdurch ein Engpass entstanden sei, der zu langen Wartezeiten bei der Bearbeitung etwaiger Aufgaben führe. Mit anderen Worten seien die Datenschutzbehörden überlastet.

Im Ergebnis führe diese Überlastung zu einer reellen Gefahr, dass Deutschland einem Vertragsverletzungsverfahren ausgesetzt wird. Aus heutiger Perspektive bleibt abzuwarten, ob dies tatsächlich der Fall ist. Insoweit bleiben künftige Veränderungen innerhalb der Behördenstruktur oder aber des Aufgabenausmaßes abzuwarten.

Niederländische Datenschützer erheben Vorwürfe gegen Microsoft

20. November 2018

Nach einem Bericht der britischen Zeitung “The Telegraph”, erheben Datenschutzexperten der niederländischen Firma “Privacy Company” Vorwürfe gegen Microsoft, da sie auf Hinweise gestoßen seien, dass Microsoft mit Hilfe der Office-Anwendungen eine erhebliche Menge an personenbezogenen Daten abgefragt habe ohne dabei weder die Informationspflichten der DSGVO einzuhalten noch die Nutzer anderweitig über die Erhebung der Daten in Kenntnis zu setzen. Unter anderem seien Betreffzeilen aus E-Mails sowie inhaltliche Ausschnitte aus den betroffenen Mails erfasst worden. Das Ganze soll dabei automatisch abgelaufen sein, sobald der Nutzer die Rechtsschreibprüfungsfunktion benutzte. Microsoft behauptet derweil, die Datenerhebung erfolge zum Zwecke der Sicherheit und der Funktionsweise der Office-Anwendungen.

Tätig wurde die niederländische Firma im Auftrag des niederländischen Justizministeriums. Der Bericht über die Überprüfung wurde auf dem Blog der Firma veröffentlicht. Microsoft komme dem Bericht des Telegraph zufolge allerdings noch mit einer milden Strafe davon, da der us-amerikanische Konzern – so das niederländische Justizministerium – bereits im Oktober eingewilligt habe, die Office-Software datenschutzrechtlich zu überarbeiten. Die Änderungen sollen bis spätestens Mitte 2019 implementiert und abgeschlossen sein. Wie die Änderungen dann letztlich aussehen, bleibt daher vorher abzusehen.

 

Berechtigtes Interesse ist weit zu interpretieren

In einem Teilurteil des OLG München vom 24.10.2018 erklärt das Gericht die rechtmäßige Weitergabe von Kundendaten im Rahmen eines geltend gemachten Auskunftsanspruch aus § 242 BGB.

Zwischen der Klägerin und der Beklagten lag ein Vertragshändlervertrag vor, aus dem die Beklagte eine Vertragsverletzung im Rahmen einer Widerklage geltend machen wollte.

Hierzu machte die Beklagte einen Anspruch auf Auskunft über abgewickelte Lieferungsverträge der Klägerin geltend, die möglicherweise die Vereinbarungen aus dem gemeinsamen Vertragshändlervertrag verletzten. Sie verlangte demzufolge also eine Auskunft, welche auch eine Weitergabe der Daten von Kunden der Klägerin beinhaltete.

Nach ständiger BGH-Rechtsprechung ergibt sich ein solcher Auskunftsanspruch aus § 242 BGB (Treu und Glauben), wenn sich der Anspruchsberechtigte im Unklaren über den Umfang seines Rechts befindet und der Verpflichtete unschwer dazu in der Lage ist, die Auskunft zu erteilen.

 

In der Vorinstanz hatte das Landgericht Traunstein den Auskunftsanspruch abgelehnt. Im Gegensatz dazu sah das OLG München den Auskunftsanspruch als gegeben an und verneinte ein Entgegenstehen der Vorschriften der DSGVO.

Rechtsgrundlage bilde in diesem Fall Art. 6 Abs. 1 lit. f) DSGVO.

So habe die Beklagte bzw. Widerklägerin ein berechtigtes Interesse. Hierbei sind laut Erwägungsgrund 47 Satz 1 Halbsatz 2

 

„(…) die vernünftigen Erwartungen der betroffenen Personen, die auf ihrer Beziehung zu dem Verantwortlichen beruhen, zu berücksichtigen. Ein berechtigtes Interesse könnte beispielsweise vorliegen, wenn eine maßgebliche und angemessene Beziehung zwischen der betroffenen Person und dem Verantwortlichen besteht, z. B. wenn die betroffene Person ein Kunde des Verantwortlichen ist (…)”

 

Nach dem OLG München sei bei der vorzunehmenden Abwägung eine möglichst weite Auslegung des berechtigten Interesses als (unions-)grundrechtlich geboten. Dabei seien nicht nur rechtliche Interessen zu berücksichtigen, sondern auch wirtschaftliche oder ideelle.

Bei der Abwägung der Interessen berücksichtigte das Gericht, dass auf Seiten der Betroffenen keine höchstpersönlichen Daten oder ein besonderes Know-how der betroffenen Branche weitergegeben wurden, sondern ausschließlich wirtschaftliche Daten über mehrere Kaufabwicklungen. Diese waren zudem im konkreten Fall noch nach außen überprüfbar. Letztlich überwiege das Interesse der Beklagten an einer Durchsetzung möglicher Schadensersatzansprüche, so das OLG München.

 

 

 

Wunschzetteltradition auf dem Weihnachtsmarkt in Roth endet

19. November 2018

In der fränkischen Stadt Roth haben jahrelang über 4.000 Kinder ihre Wünsche an einen Christbaum gehängt. Nun soll mit dieser Tradition aus Datenschutzgründen gebrochen werden. Das Problem dabei ist, dass bisher Name und Adresse der Kinder auf dem Wunschzettel stand, damit dieser an den “Wunscherfüller” weitergeleitet werden konnte. Hat sich beispielsweise ein Kind gewünscht, dass er mal Bürgermeister sein möchte, organisierte die Stadt einen Tag mit dem Bürgermeister von Roth.

Aufgrund der DSGVO müssten dafür nun Einwilligung von den Eltern eingeholt werden. Gemäß Art. 8 Abs. 1 Satz 2 DSGVO heißt es nämlich: “Hat das Kind noch nicht das sechzehnte Lebensjahr vollendet, so ist diese Verarbeitung nur rechtmäßig, sofern und soweit diese Einwilligung durch den Träger der elterlichen Verantwortung für das Kind oder mit dessen Zustimmung erteilt wird.”

Dieser bürokratische Aufwand und die Gefahr vor Bußgeldern hielt die Stadt davon ab die Tradition weiterzuführen. Nach Angaben der Stadt wird jedoch nach einem anderen Weg gesucht die Wünsche und die “Wunscherfüller” zusammen zu bringen. Die Wunschzettelaktion sei ein Herzstück der zahlreichen Aktionen auf dem Weihnachtsmarkt.

Was sieht der Brexit-Deal im Hinblick auf Datenschutz vor?

16. November 2018

Nachdem sich die EU mit Großbritannien letztendlich auf einen Entwurfstext für ein Austrittsabkommen geeinigt haben, rückt der Austritt am 29. März 2019 immer näher. Demnach stellt sich die Frage wie sich der Datenschutz in Großbritannien gestalten wird.

EU und Großbritannien haben sich nun in 5 kurzen Artikeln verständigt, dass das europäische Datenschutzrecht während der Übergangsphase weiterhin im Wesentlichen gelten soll. In Artikel 71 (1) des Abkommens wird dabei zwischen den Daten, die bis zum Ablauf des Übereinkommens verarbeitet werden und solchen, die danach verarbeitet unterschieden. Bis zum Ende der Übergangsphase gilt weiterhin EU-Recht. In Artikel 71 (2) hat Großbritannien die Möglichkeit ein nationales Datenschutzgesetz zu beschließen und dafür einen Angemessenheitsbeschluss mit der EU auszuhandeln. Artikel 73 des Abkommens schreibt nieder, dass Daten aus Großbritannien wie Daten aus den Mitgliedsländern behandelt werden.

Spannend bleibt, ob dieses Übereinkommen überhaupt Wirkung entfalten wird, da das britische Parlament ein Strich durch diese Rechnung machen könnte.

Gesetzt den Fall es gäbe keinen Deal, würde es keinen Angemessenheitsbeschluss nach Art. 45 DSGVO geben. Großbritannien müsste demnach wie ein Drittland behandelt werden.

Datenübermittlung durch Berufsgeheimnisträger: Reform des § 203 StGB

13. November 2018

Der deutsche Bundestag hat eine Reform der berufsrechtlichen Verschwiegenheitspflichten verabschiedet. Hiervon betroffen sind klassischerweise Anwälte, Ärzte und Psychologen oder Steuerberater. In der Reform geht es vorrangig jedoch um einen anderen Aspekt, der aus datenschutzrechtlicher Sicht eine große Relevanz hat: Die Zusammenarbeit mit externen Dienstleistern im Kontext der Auftragsverarbeitung.
Denn die den Berufsgeheimnisträgern anvertrauten Informationen müssen über den eigenen Machtbereich hinaus auch bei externen Dienstleistern sicher sein und dürfen das Grundkonzept der Verschwiegenheit nicht unterlaufen.

Im Zuge dessen wurde das Gesetz zur Neuregelung des Schutzes von Geheimnissen bei der Mitwirkung Dritter an der Berufsausübung schweigepflichtiger Personen beschlossen.

Dabei geht es speziell in dem eingeführten § 203 Abs. 3 StGB um eine mögliche Legitimation der Weitergabe von Daten durch Berufsgeheimnisträger an Dritte. Dass es diese Möglichkeit nun gibt, muss vor dem Hintergrund der digitalen und wirtschaftlichen Realität gesehen werden. Auch die genannten Berufe mit besonderer Vertrauensstellung kommen häufig nicht umhin, sich gegenüber arbeitsteiligen Outsourcing-Prozessen zu öffnen. Schließlich gibt es beispielsweise für Anwälte und Ärzte bereits eine Vielzahl von Software-Lösungen “in der Cloud”. Hierin spiegelt sich aus datenschutzrechtlicher Sicht eine Konstellation der Auftragsverarbeitung wider.

§ 203 Abs. 3 StGB legitimiert die Datenweitergabe an Dritte dann, wenn
der Geheimnisträger den bei ihnen berufsmäßig tätigen Gehilfen oder den bei ihnen zur Vorbereitung auf den Beruf tätigen Personen Geheimnisse zugänglich macht,
die Geheimnisse gegenüber Dritten offenbart werden, die an der beruflichen oder dienstlichen Tätigkeit des Geheimnisträgers mitwirken, soweit dies für die Inanspruchnahme der Tätigkeit der „sonstigen mitwirkenden Person“ erforderlich ist.

Im Gegenzug können sich nun auch Dritte, die an der Verarbeitung von berufsständisch besonders geschützten Daten mitwirken, entsprechend strafbar machen.

Die Datenschutz-Grundverordnung sieht für die Weitergabe sensibler Informationen (u.a. Gesundheitsdaten) die Einwilligung der jeweils Betroffenen vor, was die Datenübermittlung grundsätzlich erschwert und viele der auf dem Markt verfügbaren Arbeitserleichterungen nicht nutzbar macht. Mit der Reform des § 203 StGB ist dieses Regelungsproblem jedoch in vernünftiger Weise zugunsten der Zusammenarbeit mit Dritten gelöst worden. Selbstverständlich sind die strengen und mit hohen Bußgeldern unterlegten datenschutzrechtlichen Anforderungen an die Weitergabe von Daten weiterhin zu erfüllen.

Auftragsverarbeitungen mit Übermittlungen ins Ausland

12. November 2018

Personenbezogenen Daten dürfen vom Verantwortlichen oder Auftragsverarbeiter nur an ein Drittland übermittelt werden, wenn
-ein Angemessenheitsbeschluss der Kommission für dieses Drittland vorliegt oder
-geeignete Garantien vorliegen

Solche Garantien können sein:
-verbindliche interne Datenschutzvorschriften gemäß Art. 47 DSGVO
-Standarddatenschutzklauseln die von der Kommission nach Art. 93 Abs. 2 DSGVO erlassen oder genehmigt wurden
-genehmigte Verhaltensregeln gemäß Art. 40 DSGVO
-genehmigte Zertifizierung gemäß Art. 42 DSGVO
-genehmigte Vertragsklauseln gemäß Art. 46 Abs. 3 lit. a DSGVO

Seit Einführung der DSGVO hat die Kommission keine Standarddatenschutzklauseln erlassen. Die bisher gültigen Standarddatenschutzklauseln behalten aber gemäß Art. 46 Abs. 5 S. 2 DSGVO bis auf Weiteres ihre Gültigkeit.

Es gibt Standardvertragsklauseln für die Übermittlung von personenbezogenen Daten an einen Verantwortlichen außerhalb der EU / EWR und es gibt Standardvertragsklauseln für die Übermittlung von personenbezogenen Daten an einen Auftragsverarbeiter außerhalb der EU / EWR. Diese sind unter folgendem Link abrufbar:
https://ec.europa.eu/info/law/law-topic/data-protection/data-transfers-outside-eu/model-contracts-transfer-personal-data-third-countries_en

Werden diese Standarddatenschutzklauseln unverändert verwendet, ist eine Übermittlung der personenbezogenen Daten ohne vorherige Genehmigung durch eine Aufsichtsbehörde zulässig.

DSGVO-Umsetzung bei DAX-30-Unternehmen

7. November 2018

Die Consent-Management-Plattform Usercentrics hat einem Bericht des Presseportals zu Folge kürzlich die Webseiten von mehreren DAX-30-Konzernen analysiert um diese auf ihre Konformität mit den Anforderungen der DSGVO zu überprüfen. Dabei stellte sich heraus, dass die Webseiten aus datenschutzrechtlicher Sicht teilweise erhebliche Mängel aufweisen. Dies obwohl in der heutigen Zeit die Webseite eines Unternehmens als Aushängeschild und erste Visitenkarte des jeweiligen des jeweiligen Unternehmens gilt.

Mängel bestehen insbesondere hinsichtlich des Einsatzes von Cookies und anderen Webseiten-Ressourcen, die Informationen über das Internetverhalten des Nutzers erheben und für die Unternehmen zu betrieblichen Zwecken ausgewertet werden. Im Rahmen der Cookienutzung kommen wiederrum oftmals Dienstleister zum Einsatz, die aus datenschutzrechtlicher Sicht Dritte sind und Einblick in die Informationen – als sog. Auftragsverarbeiter – erhalten. Hier fehlt es oft an einer transparenten Information der Nutzer, die aufgrund der Informationspflichten der DSGVO auf den Umstand der Übermittlung hinzuweisen sind. Auch über die Möglichkeit des Nutzers, dem Einsatz der Cookies zu widersprechen wird, laut Analyse von Usercentrics, häufig nicht in hinreichender und transparenter Weise informiert.

Der Test habe aber auch einige positive Beispiele gezeigt. So haben fünf der analysierten Unternehmen auf ihrer Webseiten ein sog. Cookie-Consent-Management implementiert, im Rahmen dessen der Nutzer dem Einsatz der jeweiligen Cookies einzeln zustimmen oder widersprechen kann.

Die Analyse zeigt einmal mehr, dass auch fünf Monate nach Inkrafttreten der DSGVO hinsichtlich der Einhaltung der datenschutzrechtlichen Anforderungen noch bei vielen Unternehmen Nachbesserungspotential besteht, um etwaige Sanktionen wie Bußgelder oder andere aufsichtsbehördliche Maßnahmen sowie Ansprüche von Betroffenen zu vermeiden.

DSGVO Abmahnungen von Wettbewerbern-rechtmäßig?

6. November 2018

Immer noch umstritten ist die Frage, ob Verstöße gegen das Datenschutzrecht von Wettbewerbern abgemahnt werden können. Mittlerweile haben sich zwei Gerichte mit unterschiedlichen Ergebnissen damit auseinandergesetzt. Im Gegensatz zu den Richtern des Landgerichts Bochum bejahen die Richter am Landgericht Würzburg die Abmahnfähigkeit von Datenschutzrechtsverstößen.

Das Landgericht Würzburg entschied dies im Falle einer Rechtsanwältin, die mit ihrer Datenschutzerklärung auf ihrer Homepage nicht den gesetzlichen Anforderungen der DSGVO gerecht wurde. Eben dieser Verstoß führe weiterhin zu einem Wettbewerbsverstoß, der abmahnfähig sei.

Im Falle eines Online-Händlers, der seinen Informationspflichten auf seiner Website nicht nachgekommen war, hat das Landgericht Bochum entschieden, dass der Wettbewerber trotz des Verstoßes gegen Artikel 13 DSGVO keinen Anspruch auf Unterlassung habe. Begründet wurde dies damit, dass die DSGVO in den Artikeln 77 bis 84 eine die Ansprüche von Mitbewerbern ausschließende, abschließende Regelung enthalte. Ein Argument dafür sei, dass die DSGVO eine detaillierte Regelung des anspruchsberechtigten Personenkreises enthalte. Danach stehe nicht jedem Verband ein Recht zur Wahrnehmung der Rechte einer betroffenen Person zu, sondern nur bestimmten Einrichtungen, Organisationen und Vereinigungen ohne Gewinnerzielungsabsicht unter weiteren Voraussetzungen. Daraus sei zu schließen, dass der Unionsgesetzgeber wohl eine Erstreckung auf Mitbewerber des den Bestimmungen nicht eingehaltenen Wettbewerbers nicht zulassen wolle.

1 19 20 21 22 23 35