Fristablauf für alte Standardvertragsklauseln

SCC-Fristende am 27.12.2022 - Schon umgestellt?

Alte Standardvertragsklauseln müssen umgestellt werden

Einleitung 

Achtung bei der Datenübermittlung in Drittländer: Verträge, die vor dem 27.09.2021 geschlossen worden sind und die Übermittlung personenbezogener Daten in Länder außerhalb der europäischen Union oder des europäischen Wirtschaftsraums oder an internationale Organisationen zum Gegenstand haben, müssen bis zum 27.12.2022 auf die neuen Standardvertragsklauseln umgestellt werden. So sieht es Art. 4 Abs. 4 des Durchführungsbeschlusses 2021/914 der Europäischen Kommission vom 04.06.2021 vor.

Warum erfolgt die Umstellung?

Nach den Art. 44 ff. Datenschutz-Grundverordnung (DS-GVO) unterliegt die Übermittlung personenbezogener Daten, die an ein Drittland oder eine internationale Organisation verarbeitet werden sollen, besonderen Zuverlässigkeitsforderungen. Auf diese Weise soll die Einhaltung des europäischen Datenschutzstandards gewährleistet werden.

Eine Möglichkeit ist die Verwendung von Standardvertragsklauseln (vgl. Art. 46 Abs. 2 Buchstabe c) DS-GVO) der Europäischen Kommission. Im vergangenen Jahr hat die Kommission ihre Klauseln allerdings erneuert und an das aktuelle Datenschutzniveau angepasst. Die Verwendung der alten Klauseln genügt seitdem nicht mehr, was auch zur Folge hat, dass bei Verträgen, die bereits vor dem 27.09.2021 unter Verwendung der alten Klauseln geschlossen wurden, auf die neuen Standardvertragsklauseln umgestellt werden muss.

Weitere Informationen zu den Hintergründen, dem Inhalt der neuen Standardvertragsklauseln, aber auch ihren Chancen und Risiken finden Sie in unserem Blog-Eintrag von Juni 2021.

Hat sich durch den Erlass der „Executive Order“ zur Umsetzung des „Trans-Atlantic Data Privacy Framework (TADPF)“ etwas für den Datentransfer in die USA geändert?

Am 07.10.2022 hat Präsident Joe Biden eine Durchführungsverordnung (“Executive Order On Enhancing Safeguards For United States Signals Intelligence Activities”) unterschrieben, mit der die angekündigte Grundsatzvereinbarung zum Datentransfer zwischen den USA und der EU (EU-U.S. Data Privacy Framework) in US-amerikanisches Recht umgesetzt werden soll (https://www.whitehouse.gov/briefing-room/statements-releases/2022/10/07/fact-sheet-president-biden-signs-executive-order-to-implement-the-european-union-u-s-data-privacy-framework/).

Diese Durchführungsverordnung hat allerdings keine unmittelbaren Auswirkungen für europäische Unternehmen, die personenbezogene Daten in die USA übermitteln. Sie muss erst noch von der Europäischen Kommission überprüft und datenschutzrechtlich bewertet werden. Solange kein Angemessenheitsbeschluss im Sinne des Art. 45 Abs. 3 DS-GVO vorliegt, bleibt für Unternehmen weiterhin nur die Möglichkeit sich der Standardvertragsklauseln zu bedienen.

Welche Herausforderungen bringt die Umstellung mit sich?

Die neuen Klauseln der Europäischen Kommission sind modular aufgebaut: Zu wählen ist zwischen Bausteinen für vier verschiedene Konstellationen. Ebenso enthalten die neuen Standardvertragsklauseln verschiedene Anhänge, mit denen die konkret vorliegende Situation transparent erfasst werden kann. Diese müssen folglich entsprechend individualisiert werden.

Die Verwendung der Klauseln entbindet außerdem nicht davon, im konkreten Fall eine individuelle Risikoabschätzung vorzunehmen. Sie müssen überprüfen, ob die Rechtslage und die Bearbeitung von etwaigen Auskunftsersuchen einer Behörde im Drittland einen angemessenen Schutz personenbezogener Daten gewährleisten können.

Erforderlich ist daher auch, Ihre Bestandsverträge darauf zu prüfen, ob ggf. dort getroffene Vereinbarungen noch dem aktuellen Datenschutzniveau entsprechen und diese andernfalls ebenfalls erneuern.
Unter Umständen finden in Ihrem Unternehmen auch Datenexporte statt, von denen Sie bislang nichts wussten und die auf eine rechtlich solide Basis gebracht werden müssen.

  • Benötigen Sie Hilfe bei der Umsetzung oder bei der Datentransfer-Folgenabschätzungen?
  • Sind Sie unsicher, ob in Ihren Verträgen Anpassungen vorgenommen werden müssen?
  • Oder haben Sie weiterführende Fragen zum Datentransfer mit Drittländern oder internationalen Organisationen?

Gerne stehen wir Ihnen als spezialisierte Datenschutz- und IT-Kanzlei in diesen Fragen zur Verfügung. Wir begleiten und unterstützen Sie in der Lösungsfindung für einen rechtssicheren Umgang mit personenbezogenen Daten.

Was droht bei Fristversäumnis?

Stellt eine Aufsichtsbehörde eine Übermittlung personenbezogener Daten an Drittländer oder internationale Organisationen ohne geeignete Rechtsgrundlage fest, kann sie nach Art. 58 Abs. 2 Buchstabe i) i. V. m. Art. 83 Abs. 5 Buchstabe c) DS-GVO ein Bußgeld verhängen.

Die Höhe des Bußgeldes erreicht dabei bis zu 20.000.000 € oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs, je nachdem, welcher der Beträge höher ist. Die Aufsichtsbehörde kann sogar anordnen, dass die Datenübermittlungen ausgesetzt werden (vgl. Art. 58 Abs. 2 Buchstabe j) DS-GVO).

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!

Cloud-Anbieter in den USA rechtswidrig?

Cloud-Anbieter

OLG Karlsruhe kippt umstrittenen Beschluss!

Cloud-Anbieter

Cloud-Anbieter in den USA rechtswidrig?

Einführung

Neues zum Datentransfer in die USA! Nachdem die Vergabekammer Baden-Württemberg am 13.07.2022 in einem Beschluss festgestellt hat, dass Cloud-Anbieter in den USA, und unter anderem auch ihre EU-Tochterunternehmen, gegen die Datenschutz-Grundverordnung (DS-GVO) verstoßen, hat das Oberlandesgericht (OLG) Karlsruhe diesen höchstumstrittenen Beschluss nun wieder aufgehoben.

Laut Beschluss der Vergabekammer sei die Verwendung dieser Cloudanbieter rechtswidrig, da mit ihnen ein unzulässiger Datentransfer in ein Drittland einhergeht, bei dem die Daten der EU-Bürgerinnen und -Bürger nicht ausreichend geschützt werden. Der Europäische Gerichtshof (EuGH) kippte 2020 in der Schrems II- Entscheidung das Privacy Shield, welches zuvor die Datenübermittlung rechtfertigte. Grund dafür waren vor allem die weitgehenden Überwachungsgesetze und die Zugriffsmöglichkeiten auf die Daten seitens der US-Behörden (Hierzu haben wir bereits einen Blog-Artikel verfasst: https://rickert.law/eugh-transatlantisches-eu-us-privacy-shield-ist-nichtig/).

Wie kam es zu dem Beschluss der Vergabekammer? Und aus welchen Gründen hat das OLG Karlsruhe den Beschluss der Vergabekammer aufgehoben?

Das Problem ist der US-amerikanische CLOUD Act

Im vorliegenden Fall ging es zwar um eine vergaberechtliche Streitigkeit, es wurde aber auch gleichzeitig die Konformität einer Software mit der DS-GVO überprüft. Neben Preis und Qualität waren nämlich auch Datenschutz und IT-Sicherheit für die Erteilung des Zuschlags ausschlaggebend.

Das betroffene Unternehmen hat seinen Sitz in der EU und ist die Tochtergesellschaft eines US-Konzerns. Aufgrund des US-amerikanischen CLOUD Acts kann es den US-Behörden erlaubt sein, auch auf Daten zuzugreifen, welche sich auf Servern außerhalb der USA befinden, sofern es sich dabei um Daten von Tochterunternehmen handelt. Wegen dieser Zugriffsmöglichkeit auf Daten von EU-Bürgerinnen und -Bürgern hat die Vergabekammer den Clouddienst als unzulässig eingestuft.  Ob und in welchem Umfang ein Zugriff stattfindet, war für die Vergabekammer irrelevant.

Wann wäre ein Datentransfer in ein Drittland gerechtfertigt?

Der Datentransfer in ein Drittland, also ein Land außerhalb der EU/des EWR kann nach den Artt. 44ff. DS-GVO gerechtfertigt sein. Dazu muss entweder ein Angemessenheitsbeschluss für das jeweilige Land erlassen worden sein (dies ist für die USA nicht der Fall) oder es müssen andere Rechtfertigungsmittel wie etwa Standardvertragsklauseln verwendet werden, wobei jedoch in jedem Einzelfall überprüft werden muss, ob das EU-Datenschutzrecht eingehalten wurde.

Die Standardvertragsklauseln waren nach Ansicht der Vergabekammer im vorliegenden Fall jedoch nicht ausreichend, denn es läge ein “latentes” Risiko des Zugriffs seitens US-Stellen aufgrund des CLOUD Acts vor und das verstöße somit gegen EU-Datenschutzrecht.

Kritik am Beschluss und Aufhebungsgründe

Der Beschluss der Vergabekammer bekam von Anfang an viel Gegenwind. Vor allem die Landesdatenschutzbeauftragte Baden-Württemberg sprach einiges an Kritik aus. Dieser Kritik schloss sich dann auch das OLG Karlsruhe an, welches die Gültigkeit des Beschlusses überprüfte und ihn am 07.09.2022 schließlich aufhob. Die Entscheidung des OLG Karlsruhe ist auch rechtskräftig.

Doch was war so bedenklich an dem Beschluss der Vergabekammer? Warum hat das OLG den Beschluss gekippt?

Die Landesdatenschutzbeauftragte Baden-Württemberg hielt folgende Punkte für bedenklich:

  • Die Vergabekammer hat nicht die aktuellen Standardvertragsklauseln der EU überprüft, sondern ältere.
  • Außerdem hat die Vergabekammer ein mögliches Zugriffsrisiko seitens der US-Stellen mit einer tatsächlichen Datenübermittlung gleichgesetzt.

Zudem wurde von Datenschützern bemängelt, dass die Vergabekammer bei ihrer Entscheidung die Möglichkeit einer Verschlüsselung der Daten völlig außer Acht gelassen habe.

Das OLG stützt seine Entscheidung nun vor allem auf letzteren Kritikpunkt der baden-württembergischen Datenschutzbehörde. Solange der Anbieter verbindlich zusage, dass mit Nutzung des Onlinedienstes kein Drittlandtransfer stattfinde, dürfe sich auch darauf verlassen werden. Auf solche vertraglichen Zusagen könne man so lange vertrauen, bis konkrete Anhaltspunkte vorlägen, die einen Anlass für Zweifel geben.

Solche Zweifel seien im vorliegenden Fall aber eben nicht gegeben. Allein die Tatsache, dass die US-Konzernmutter auf die Daten zugreifen könnte, reiche nicht aus, um an der Seriosität der Vertragsangaben zu zweifeln. Grundsätzlich darf man also auf die Angaben von Softwareanbietern vertrauen, wenn es um die Datenschutzkonformität geht.

Fazit

Der Beschluss hätte, insofern er Bestand gehabt hätte, erhebliche Auswirkungen für privatrechtliche Fragestellungen im IT- und Datenschutzrecht gehabt! Da dieser nun aber aufgehoben wurde, sind Anbieter mit US-amerikanischen Konzernmüttern in Vergabeverfahren weiterhin zu berücksichtigen und auch die Nutzung solcher Cloudanbieter kann im Einzelfall weiterhin möglich sein.

Aus der Entscheidung des OLG Karlsruhe geht ebenfalls hervor, dass man sich grundsätzlich auf die Vertragsangaben hinsichtlich der Datenschutzkonformität verlassen kann und nur im Fall konkreter Anhaltspunkte weitere Informationen eingeholt und das Leistungsversprechen überprüft werden müssen.

Außerdem arbeitet die EU-Kommission derzeit mit den zuständigen Stellen in den USA an einer zukünftigen Lösung für Datentransfers zwischen der EU und den USA. Ein solches Nachfolgeabkommen wird jedoch nicht vor Ende des Jahres erwartet.

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!

Wieviel EU steckt im Datenschutz von UK & CH?

EU-Datenschutz

Datenschutz im Vereinigten Königreich und der Schweiz

EU-Datenschutz

Wieviel EU steckt im Datenschutz in UK und CH?  

Einleitung

Nach etwas mehr als zwei Jahren nach dem Austritt des Vereinigten Königreichs („UK) werden jetzt die unterschiedlichen Gesinnungen von UK und der Europäischen Union („EU“) deutlich. Der Austritt zieht datenschutzrechtliche Folgen nach sich. Ein dem britischen Parlament vorliegender Gesetzesentwurf befindet sich derzeit noch in der Anfangsphase der Lesungen. Dahinter steckt die Motivation der britischen Regierung, Verbesserungen der 2018 in Kraft getretenen EU-Datenschutz-Grundverordnung (DS-GVO) vorzunehmen. 

Im Kontrast dazu steht das neueste datenschutzrechtliche Gesetzesvorhaben der Schweiz. Obwohl die Schweiz kein Mitglied der Europäischen Union ist, nähert sie sich dieser in vielerlei Hinsicht an – so auch im Datenschutzrecht. 

Mögliche neue Regelungen in UK 

Die britische Seite kritisiert, dass gemäß den derzeitigen Regelungen gewisse Hürden für Unternehmen und Konsumenten bestünden, weshalb der Regierung ein neuer Gesetzesentwurf namens „Data Protection and Digital Information Bill“ vorliegt.  

So sei es beispielsweise für kleine Unternehmen umständlich, einen Datenschutzbeauftragten zu ernennen. Diese Pflicht soll wegfallen. Weiterhin seien vor allem kleine Unternehmen zunehmend mit einer Ungewissheit konfrontiert, weshalb allgemein ein Verbesserungsbedürfnis bestehe, insbesondere in Bezug auf die vermeintlich hohen datenschutzrechtlichen Anforderungen an Unternehmen. Befürchtet wird ein Regime, das nur auf der Einhaltung von Verpflichtungen basiere anstelle eines Systems, welches zu proaktivem Handeln ermutige.  

Behörden müssen Betroffene nicht mehr über automatisierte Entscheidungsfindung informieren 

Diese Änderung stellt einen großen Unterschied zur EU-DS-GVO dar. Die zuständigen Behörden sollen nicht mehr verpflichtet sein, betroffene Personen über eine automatisierte Entscheidungsfindung zu informieren. Ein begründendes Beispiel: Wenn die Daten einer Person von polizeilichem Interesse sind, würde ein Hinweis an die Person die laufende polizeiliche Untersuchung beeinträchtigen können.  

Die Protokoll-Pflicht entfällt  

Zudem soll die Pflicht zur Erstellung von Protokollen über Datenverarbeitungen wegfallen. Diese Protokolle stellen eine technische und organisatorische Maßnahme im Sinne des Art. 32 EU-DS-GVO dar und dienen der sog. Eingabekontrolle. Hierdurch soll, in DS-GVO konformer Weise, protokolliert werden, wer wann Zugriff auf personenbezogene Daten genommen hat und wie er diese weiterverarbeitet hat (insbes. Veränderung der Daten), um eine unbefugte Verarbeitung nachträglich feststellen und überprüfen zu können. Der britische Gesetzgeber hält dies jedoch für zu ressourcenintensiv, es stünde in keinem Verhältnis zum daraus resultierenden Mehrwert. Es sei unwahrscheinlich, dass jemand, der zu Unrecht auf Daten zugreift, eine ehrliche Rechtfertigung dokumentiere.  

Regelungen zur Einwilligung bleiben, erweitert um eine Liste, wann ein legitimes Interesse an der Datenverarbeitung besteht 

Unverändert erhalten   sollen die Regelungen zur Einwilligung bleiben. Um den Unternehmen aber die Einschätzung zu erleichtern, ob eine Einwilligung erforderlich ist, oder ob die Verarbeitung ggf. auf die flexiblere Rechtsgrundlage des legitimen Interesses gestützt werden kann, hat die Regierung dem neuen Gesetzesentwurf in Anhang 1 eine Liste angefügt. Sie führt auf, unter welchen Voraussetzungen sie ein legitimes Interesse an der Datenverarbeitung anerkennt. Zum Beispiel für die nationale und öffentliche Sicherheit und zur Verteidigung („national security, public security and defence“), oder zum Erkennen, Ermitteln und Verhindern von Straftaten („detecting, investigating or preventing crime“).  

Benennung eines „Senior Responsible Individual“ statt eines Datenschutzbeauftragten 

Die Pflicht zur Ernennung eines Datenschutzbeauftragten soll vor allem für kleine Unternehmen wegfallen. Stattdessen sollen Behörden und Unternehmen unter bestimmten Voraussetzungen eine „leitende verantwortliche Person“ („Senior Responsible Individual“) bestimmen. Sie wäre zuständig für die Datenschutzrisiken innerhalb der Organisation sowie für die Delegierung der erforderlichen Aufgaben an angemessen fähige Personen. Diese Person soll zum „Senior Management“ gehören, und damit eine signifikante Rolle in der Entscheidungsfindung über Verarbeitungsaktivitäten in der Gesamtheit oder wesentlichen Teilen der Organisation einnehmen.  

Sie wäre verantwortlich für die Durchführung oder Delegierung folgender Aufgaben:  

  • Überwachung der Datenschutz-Compliance mit geltenden Gesetzen;  
  • sicherstellen, dass der Verantwortliche Maßnahmen zur Einhaltung der Compliance entwickelt, implementiert und regelmäßig überprüft;  
  • Schulungen der Mitarbeiter;  
  • Bearbeitung von Beschwerden im Zusammenhang mit der Datenverarbeitung;  
  • Bearbeitung von Datenpannen.  

Die Aufgaben der verantwortlichen Person des Senior Managements unterscheiden sich nach dem Gesetzesentwurf nicht wesentlich von den Aufgaben, die der Datenschutzbeauftragte nach der EU-DS-GVO übernimmt oder übernehmen kann. Der wesentliche Unterschied ist also die Zugehörigkeit zum Senior Management.  

Damit dürfte die Unabhängigkeit bzw. die Neutralität der verantwortlichen Person in Frage stehen, denn als Teil des Senior Managements hat sie, im Gegensatz zu einem unabhängigen oder gar externen Datenschutzbeauftragten, wohl ein erhebliches Interesse daran, Datenverarbeitungen ohne größere Hürden zu ermöglichen. Auch wenn die verantwortliche Person ihre Aufgaben an andere fähige Personen des Unternehmens delegieren kann, so besteht doch die Befürchtung, dass künftig die ein oder andere Datenverarbeitung aufgrund des Interesses des Unternehmens eher durchgewunken wird, als wenn ein externer Datenschutzbeauftragter beraten hätte. 

Auch im Hinblick auf die Konsumenten sollen Hürden genommen und Verarbeitungen vereinfacht werden.  

Opt-Out-Verfahren statt Opt-In-Verfahren bzgl. Cookies 

Die Zustimmung zur Cookies-Nutzung auf Websites soll von dem derzeitigen Opt-In-Verfahren in ein Opt-Out-Verfahren umgewandelt werden. Dies solle Nutzern helfen, sich nicht durch zahlreiche Zustimmungsbanner klicken zu müssen und dadurch mögliche Frustration verhindern. Ähnlich wie bei dem Deutschen Verfahren „PIMS“ („Personal Information Management System“) nach dem TTDSG, soll es zudem eine generelle Verwaltungsmöglichkeit und Übersicht über die Datenverarbeitung in den Browser-Einstellungen geben, sodass eine Einwilligung auf jeder einzelnen Website überflüssig werde.  

Soft-Opt-In für Marketing-Maßnahmen durch nicht-kommerzielle Organisationen 

Eine weitere Änderung sieht das neue Gesetzesvorhaben im Rahmen des sog. „Soft-Opt-In“ vor. „Soft-Opt-In“ ermöglicht Direktwerbung an bestehende Kunden zu senden, die dem nicht unbedingt ausdrücklich zugestimmt haben. Bisher war diese Möglichkeit des Marketings nicht-kommerziellen Organisationen verwehrt, nun soll eine Erweiterung diesbezüglich stattfinden. 

Gemeinsames Vorhaben von UK und USA, aber Sanktionen für Datenschutzverstöße wie in der EU 

Bemerkenswert ist auch ist ein geplantes Vorhaben des Vereinigten Königreichs in Kooperation mit den USA. Die beiden Länder gaben in einem gemeinsamen Statement im Juli 2022 bekannt, dass sie den Zugriff auf Daten, welche strafrechtlich relevant sind, zwischen den Staaten erleichtern möchten. Ziel sei es, schwere Kriminalität zu bekämpfen, aber gleichzeitig die demokratischen Standards zu wahren. 

Annäherungen an die Europäische Union gäbe es nach dem Gesetzesentwurf jedoch in Sachen Sanktionen. Das derzeitige Maximum von £ 500.000 soll auf bis zu 4% des Jahresumsatzes eines Unternehmens oder max. £17.5 Mio. erhöht werden. Dies entspricht den vergleichbaren Regelungen der EU-DS-GVO in Art. 83. 

Neue Regelungen in der Schweiz 

Im Gegensatz zum Vereinigten Königreich regelt die Schweiz die Dinge hingegen positiv. Das neue Datenschutzgesetz (DSG) und die Ausführungsbestimmungen in der neuen Datenschutzverordnung (DSV) der Schweiz soll am 01.09.2023 in Kraft treten. Die wichtigste Neuerung umfasst die Forderung nach erhöhter Transparenz und Stärkung der Rechte der betroffenen Personen.  

Ausweitung der Informationspflichten gegenüber Betroffenen 

Die erhöhte Transparenz soll unter anderem durch eine Erweiterung der Informationspflichten gewährleistet werden. Diese sind vergleichbar mit den Pflichten aus Art. 13/14 EU-DS-GVO. Ab September nächsten Jahres soll nun auch eine Informationspflicht für die Verarbeitung jeglicher personenbezogenen Daten gelten. Bisher galt dies nur für die Verarbeitung besonders schützenswerter Daten und die Erstellung von Persönlichkeitsprofilen. Außerdem soll die betroffene Person von der verantwortlichen Stelle darüber informiert werden, wenn eine Entscheidung ausschließlich auf automatisierter Verarbeitung beruht. Zusätzlich soll die betroffene Person auch fordern können, dass eine Einzelentscheidung von einer natürlichen Person überprüft werden soll. Eine Einwilligung soll auf jeden Fall bei sog. „Profiling mit hohem Risiko“ notwendig sein. 

Pflicht zur Führung eines Verzeichnisses aller Verarbeitungstätigkeiten 

Vergleichbar mit der aus der EU-DS-GVO bekannten Pflicht zur Führung eines Verzeichnisses aller Verarbeitungstätigkeiten, sollen auch nach dem neuen Schweizer DSG alle Datenverarbeitungen vom Verantwortlichen Auftragsbearbeiters (in der EU-DS-GVO Auftragsverarbeiter) dokumentiert werden („Verzeichnis der Bearbeitungstätigkeiten“). Sinngemäß enthalten die Verzeichnisse dieselben Inhalte und Informationen wie sie aus Art. 30 EU-DS-GVO bereits bekannt sind.  

Gesetzliche Regelung der Rolle des Auftragsverarbeiters & Auftragsverarbeitungsvereinbarung 

Die Rolle des Auftragsbearbeiters ist dabei neu und entspricht dem klassischen Auftragsverarbeiter im Sinne der EU-DS-GVO. Die Verarbeitung darf an einen Auftragsbearbeiter nur vertraglich oder durch Gesetz übertragen werden. Eine weitere Übertragung der Verarbeitung durch den Auftragsbearbeiter an einen Dritten muss vorab durch den Verantwortlichen genehmigt werden. In der DSV finden sich ergänzende Regelungen zu dem dann erforderlichen Vertrag zwischen dem Verantwortlichen und Auftragsbearbeiters. Die verpflichtenden Inhalte stimmen im Wesentlichen mit den Anforderungen der EU-DS-GVO überein, z.B.: Kategorien der Personendaten sowie der betroffenen Personen; Art und Zweck der Bekanntgabe von Personendaten („Zweck der Verarbeitung“), Datentransfers in weitere Staaten, Empfänger oder Kategorien von Empfänger (bspw. Unter-Auftragsbearbeiter), Anforderungen an Aufbewahrung, Löschung und Vernichtung der Daten, Verpflichtung angemessene Maßnahmen zur Einhaltung der vertraglichen Klauseln.  

Pflicht zur Durchführung einer Datenschutz-Folgenabschätzung 

Hinzu kommt – ebenfalls in Anlehnung an die EU-DS-GVO – die Pflicht zur Durchführung einer Datenschutz-Folgenabschätzung. Auch hier entsprechen die schweizerischen Regelungen im Wesentlichen denen des Art. 35 EU-DS-GVO.  

Erhöhung der Sanktionen für Datenschutzverstöße 

Hier hält es die Schweiz wie die UK: Die Sanktionen für Verstöße sollen verschärft werden. Sie erreichen aber bei weitem nicht das Niveau der auf EU-Ebene geregelten Sanktionen. Zwar ist die Rede von „privaten Personen“, jedoch dürfen hier nicht Privatpersonen darunter verstanden werden. Vielmehr sind hierunter die juristischen Personen des Privatrechts der Schweiz zu verstehen, denn das DSG findet Anwendung auf private Personen und Bundesorgane. Für etwaige Pflichtverletzungen können schweizerische Unternehmen künftig also mit Bußen bis zu 250.000 Franken belegt werden. Dieser Höchstsatz gilt insoweit für sämtliche mögliche Verfehlungen, also insbesondere Verletzung Informations-, Auskunfts- und Mitwirkungspflichten sowie von Sorgfaltspflichten (hier auf Antrag) und Verletzungen der beruflichen Schweigepflicht sowie bei Missachtung von Verfügungen. Bei dem derzeitigen Wechselkurs (Stand 26.09.2022) entsprächen 250.000 Franken in etwa 261.977,50 €. Im Vergleich zu den EU-DS-GVO Höchstsätzen von 10 Millionen bzw. 20 Millionen Euro also nur ein Bruchteil.  

Gebührenpflichtige Unterstützung des EDÖB 

Auffällig ist hingegen, dass im Gegensatz EU-DS-GVO oder bspw. dem deutschen Bundesdatenschutzgesetz, der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte („EDÖB“) Gebühren für bestimmte Leistungen verlangen. Zum Beispiel für: Stellungnahmen zu einem Verhaltenskodex, Genehmigungen von Standarddatenschutzklauseln und verbindlichen unternehmensinternen Datenschutzvorschriften, Konsultation aufgrund einer Datenschutz-Folgenabschätzung, Beratung in Fragen des Datenschutzes. Hier bleibt nur zu hoffen, dass die Gebührenforderungen am Ende nicht zu einem Hindernis für den Datenschutz und die Einhaltung durch die schweizerischen Unternehmen werden. 

Fazit 

Während das Vereinigte Königreich einen eher unternehmensfreundlichen Kurs einschlägt, passt sich die Schweiz mehr den konsumentenfreundlichen Regelungen der EU an und nimmt viele Bestimmungen der EU-DS-GVO in das neue DSG auf.  

Die wesentlichen Änderungen bzw. Angleichungen sollen anhand der nachfolgenden Tabelle veranschaulicht werden.

 

Vergleichstabelle

EU-DS-GVO

Vereinigtes Königreich

Schweiz

Art. 5 I lit. b) 

Grundsatz der Zweckbindung 

Erweiterung um Faktoren, die beachtet werden sollen, wenn ein neuer Zweck hinzukommen soll 

Art. 6 Abs. 1 f) 

Rechtmäßigkeit der Verarbeitung 

Abwägung des Verantwortlichen, ob Interessen an Verarbeitung personenbezogener Daten die Rechte der betroffenen Personen überwiegen 

Liste von berechtigten Interessen, für deren Verarbeitung das Erfordernis der Abwägung entfällt 

Direktmarketing

„Soft-Opt-In“ nun auch für nicht-kommerzielle Organisationen 

Art. 13/14  

Informationspflichten

Abschaffung von Informationspflichten ggü. Betroffenen bzgl. automatisierter Entscheidungsfindung

Informationspflicht nun auch für Verarbeitung jeglicher personenbezogenen Daten

Art. 27 

Ernennung eines EU-Vertreters 

Anforderung aus Art. 27 EU-DS-GVO wurde gestrichen (Paragraf 13 DPDI) 

Wegfall der Pflicht der Ernennung eines Datenschutzbeauftragten für (kleine) Unternehmen 

Benennung eines Vertreters in Schweiz, wenn Verantwortliche nicht in Schweiz ansässig 

Art. 28 

Auftragsverarbeitung 

Auftragsbearbeiter und Vertrag zur Auftragsbearbeitung 

Art. 32 

Technische und organisatorische Maßnahmen (TOMs) 

Verankerung von TOMs 

Art. 35, 36 

Datenschutzfolgenabschätzung 

Wenn Verarbeitung wahrscheinlich zu hohem Risiko für Einzelnen führt 

Anforderung einer vorherigen Konsultation abgeschafft, ersetzt durch freiwilligen Konsultationsprozess (Paragraf 17, 18 DPDI) 

Datenschutzfolgenabschätzung

Art. 83  

Geldbußen 

Im Fokus Unternehmen 

Bis zu 20 Mio. € oder 4% des gesamten weltweit erzielten Jahresumsatzes eines Unternehmens 

Erhöhung der Bußgelder 

Derzeitiges Maximum bei £ 500.000  

Annährung an EU-DSGVO 

Bis zu 4% des Jahresumsatzes oder £17.5 Mio. 

 

Verschärfung der Sanktionen 

Aber nicht vergleichbar mit Höhe der Geldbußen aus DSGVO 

Bis zu 250.000 Franken 

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!

Sind Adresshandel und Datenschutz noch vereinbar?

Adresshandel

Einzig die Datenschutzbehörde aus NRW hält an den Regelungen von § 28 BDSG fest.

Adresshandel

Sind Adresshandel und Datenschutz noch vereinbar?

Einführung

An wen verschicken Sie Ihre Werbemailings, wenn Sie entweder noch gar keine Kundenadressen haben oder Ihren Kundenkreis erweitern wollen?

Sie kaufen sich einfach Empfängeradressen und wandeln, wenn das Werbemailing erfolgreich war, die gekauften Adressen in konkrete Kundenadressen um.

Genau diese Möglichkeit des Adresskaufs und damit der Kundengewinnung steht gerade auf der Kippe. Obwohl es weit verbreitete Geschäftspraxis ist und bislang unter der Datenschutz-Grundverordnung (DS-GVO) auch als allgemein zulässig gilt, sprachen sich kürzlich einige Datenschutzbeauftragte der Länder dagegen aus.

Ist das das Aus des Adresshandels und somit das des Direktmarketings?

Was bedeutet Adresshandel?

Adresshandel bezeichnet den An- und Verkauf von Postadressen deutscher Haushalte und ist damit wichtiger Teil des Direktmarketings von Unternehmen. Adressagenturen stellen möglichst aktuelle Adressdaten zusammen, aus denen sich Unternehmen passgenau ihre Zielgruppe herausfiltern können. An diese Adressen verschicken sie dann maßgeschneiderte Werbung wie z.B. Flugblätter, um im Idealfall die Empfänger zu neuen Kunden zu machen. Es ist quasi die analoge Version von individualisierten Werbeanzeigen im Internet, welche anhand von Analysen des Nutzerverhaltens geschaltet werden.

Ist Adresshandel mit der DS-GVO und dem BDSG vereinbar?

Bislang galt der Adresshandel unter der DS-GVO und dem Bundesdatenschutzgesetz (BDSG) deshalb als allgemein zulässig, da hierfür berechtigte Geschäftsinteressen der Unternehmen (Erweiterung des Kundenstammes) vorliegen, die die individuellen Einwilligungen der Betroffenen entbehrlich machen. Geregelt ist dies in § 28 BDSG. 

Der Großteil der Datenschutzbehörden der Länder spricht sich nun aber gegen eine allgemeine Zulässigkeit aus und verlangt eine vorherige freiwillige Einwilligung der betroffenen Personen, bevor deren Adressen an Unternehmen verkauft werden. Die Geschäftsinteressen der ankaufenden Unternehmen reichen ihrer Ansicht nach nicht aus und würden den Schutz der persönlichen Daten der Betroffenen nicht überwiegen. Das liegt unter anderem daran, dass Privatpersonen Direktwerbung als Folge des Adresshandels eher als störend empfinden und sich oftmals fragen, woher die werbenden Unternehmen ihre Adressen überhaupt haben.

Setzen sich die Datenschützer durch, bedeutet das für die Praxis, dass der Adresshandel in der derzeitigen Form kaum noch stattfinden kann, da die Einholung einer vorherigen Einwilligung nahezu unmöglich wäre. Denn:

  • Privatpersonen würden dem Verkauf ihrer Adressen auf Nachfrage der Adresshändler wohl eher selten zustimmen.
  • Auch wenn Privatpersonen ihre Adressdaten im Rahmen eines Geschäftsabschlusses im Internet für den Verkäufer bereitstellen, folgt daraus nicht, dass sie auch der Verwendung ihrer Adresse durch andere Unternehmen zustimmen.

Einzig die Datenschutzbehörde aus NRW schließt sich dieser Ansicht der Datenschutzbeauftragten der Länder nicht an. Sie hält die derzeitige Praxis des Adresshandels für zulässig und die Bedenken für unbegründet. Dieser Meinung folgt auch der Deutsche Dialogmarketingverband (DDV), welcher die Auffassung der Datenschutzbeauftragten der übrigen Länder nur für eine von vielen möglichen Rechtsmeinungen hält.

Wie geht es nun weiter?

Der Adresshandel soll nach Angaben der Berliner Datenschutzbehörde auch Thema der nächsten bundesweiten Datenschutzkonferenz (DSK) im November 2022 werden. Wir müssen abwarten, ob und mit welchem Inhalt die DSK einen Beschluss in Bezug auf den Adresshandel erlassen wird. Bis dahin bleibt alles beim Alten und Unternehmen können ihr derzeitiges Direktmarketing problemlos weiterführen.

Was passiert jedoch, wenn die DSK einen ablehnenden Beschluss erlassen sollte? Können die bisher gekauften Adressen noch weiterverwendet werden?

Die Antworten auf diese Fragen sind noch ungewiss und können derzeit noch nicht abschließend getroffen werden. Zwar sind die Beschlüsse der DSK rechtlich nicht bindend, aber sie haben maßgeblichen Einfluss auf die Entwicklung des Datenschutzrechts in Deutschland und sollten deshalb auch genauestens verfolgt werden. Verbindliche Änderungen treten dann erst mit möglichen Anpassungen der DS-GVO und des BDSG ein.

Fazit

Die Bedenken der Datenschutzbeauftragten sagen erst einmal nichts über die Zulässigkeit des Adresshandels aus. Dieser ist nach der derzeitigen Rechtslage mit dem Datenschutzrecht vereinbar und wird auch nicht automatisch durch einen möglichen Beschluss der DSK unzulässig.

Dennoch heißt es abwarten, wie sich die Vereinbarkeit von Datenschutz und Adresshandel weiterentwickelt. Ob sich die DSK in Zukunft konkret gegen den Adresshandel aussprechen wird und wie sich dies auf die Rechtslage auswirkt, wird noch spannend. Vor allen Dingen für Adresshändler und für (junge) Unternehmen, die zu Werbezwecken Adressdaten kaufen.

Haben Sie hierzu noch gezielte Fragen? Wir stehen Ihnen gerne zur Verfügung.

Ihre Ansprechpartnerin: RAin Lena Wassermann

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!

Geschäftsführer einer GmbH haften persönlich bei Datenschutzverstoß

Datenschutzverstoß

Der Fall des OLG Dresden vom 30.11.2021 - 4 U 1158/21

Datenschutzverstoß

Geschäftsführer einer GmbH haften persönlich bei Datenschutzverstoß

Einleitung

Wie würden Sie den Fall beurteilen? Ein Autohändler (Kläger) stellt eine Mitgliedsanfrage bei der beklagten GmbH. Der Geschäftsführer der GmbH beauftragt daraufhin erst einmal einen Detektiv, um herauszufinden, ob der Autohändler „sauber“ ist. Der Geschäftsführer handelt also im Namen der GmbH. Tatsächlich findet der Detektiv Vorstrafen in der Vergangenheit des Autohändlers, so dass die Gesellschafter der GmbH den Mitgliedsantrag ablehnen.

Der Autohändler verklagte daraufhin die GmbH auf Schadensersatz in Höhe von 21.0000 € aufgrund eines gegen ihn begangenen Datenschutzverstoß gem. Art. 82 I DS-GVO. Die GmbH hat ohne Erlaubnis sensible Daten erfasst. Der Fall landet vor dem Landgericht Dresden.

Die spannende nun zu klärende Frage ist:

Muss der Geschäftsführer persönlich haften, wenn die GmbH einen Datenschutzverstoß begeht?

Tatsächlich sprach das Landgericht Dresden dem Kläger 5.000 € an Schadensersatz unmittelbar gegen den Geschäftsführer zu und diesem Urteil schloss sich das OLG der Höhe nach an. Der rechtlichen Begründung folgte das OLG Dresden allerdings nicht vorbehaltlos.

Nach Ansicht des OLG Dresden gilt auch der Geschäftsführer einer GmbH als datenschutzrechtlicher Verantwortlicher i.S.d. Art. 4 Nr.7 DS-GVO und kann daher neben der Gesellschaft in persönliche Haftung genommen werden. Dies sei insbesondere deshalb so, weil der Geschäftsführer den Detektiv selbst beauftragt habe und nicht nur weisungsgebunden tätig gewesen sei. Bisher kam eine Geschäftsführerhaftung bei Datenschutzverstößen nur dann in Betracht, wenn eine rechtswidrige Verarbeitung der Unternehmensdaten zu eigenen Zwecken durchgeführt wurde.

Wer gilt als Verantwortlicher nach Art. 4 Nr. 7

DS-GVO?

Gemäß Art. 4 Nr. 7 DS-GVO gilt man als Verantwortlicher, wenn man als natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.

Diese Verantwortlichkeit ist ausschlaggebend für einen Schadensersatzanspruch aus Art. 82 I DS-GVO. Ein Geschäftsführer kann also durchaus haftbar sein, im Gegensatz zu weisungsgebundenen Angestellten, welche in der Regel nicht erfasst werden.

Stellt das Urteil eine rechtliche Fehleinschätzung dar?

Die rechtliche Einschätzung des OLG Dresden blieb in diesem Fall nicht ohne Kritik. Insgesamt fehlt es dem Urteil an einer näheren Begründung.

Warum ist ein Geschäftsführer in jedem Fall Verantwortlicher gem. Art. 4 Nr.7 DS-GVO, selbst wenn er mal nicht allein oder mit anderen gemeinsam über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet? In solchen Fällen wäre eine differenziertere Betrachtung erforderlich, da sonst eine zu weite Haftung für den Geschäftsführer entstehen würde.

Es wäre durchaus möglich, wenn nicht sogar vorzugswürdig, den Geschäftsführer wie einen Arbeitsnehmer zu betrachten, der weisungsgebunden handelt. Denn der Geschäftsführer handelt in den meisten Fällen ebenfalls weisungsgebunden gegenüber der Gesellschaft.

Nach Ansicht von Datenschutzbehörden sind Arbeitnehmer nur dann eigene Verantwortliche, wenn sie sich eigenmächtig über einschlägige Weisungen ihres Arbeitgebers hinwegsetzen. Dies sollte auch für einen Geschäftsführer gelten, der dann nur haftbar wäre, wenn er sich über die Weisungen der Gesellschaft, sprich der Gesellschafterversammlung hinwegsetzt.

Auch hinsichtlich eines Datenschutzverstoßes gem. Art. 10 DS-GVO fehlen konkretere Begründungen im Urteil.

Art. 10 DS-GVO ermöglicht die Verarbeitung von personenbezogenen Daten im Zusammenhang mit Vorstrafen nur unter behördlicher Aufsicht. Diese Regelung hat die GmbH bei der Beauftragung des Detektivs nicht berücksichtigt. Somit liegt auch dahingehend ein Datenschutzverstoß vor. Jedoch ist das eine sehr restriktive Auffassung von Art. 10 DS-GVO.

Welchen spürbaren Nachteil der Kläger erlitten haben soll, um einen Schadensersatzanspruch aus Art. 82 DS-GVO geltend zu machen, wird ebenfalls nicht näher ausgeführt.

Fazit

Ein OLG-Urteil hat durchaus eine höhere Aussagekraft als das Urteil eines Amts- oder Landgerichts. Sofern sich weitere Gerichte dieser Auffassung anschließen, könnten künftig Geschäftsführer verschärft persönlich für Datenschutzverstöße haftbar gemacht werden.

Weil aber das Urteil viel Kritik geerntet hat, ist es denkbar, dass in ähnlichen Fällen andere Urteile gesprochen werden.

Gerne halten wir Sie über die weiteren Entwicklungen zur Geschäftsführerhaftung in Zusammenhang mit Datenschutzverstößen auf dem Laufenden.

 

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!

Beschäftigtendatenschutz: Was darf der Chef?

Beschäftigtendatenschutz

Die Kernaussage der DS-GVO hinsichtlich des Beschäftigtendatenschutz laut §26 BDSG und der Umgang mit besonderen Situationen

Beschäftigtendatenschutz

Beschäftigtendatenschutz: Was darf der Chef?  

Einführung  

Beschäftigtendatenschutz: Es geht um die Überwachung der Mitarbeitenden. Wie weit darf sie gehen, wo sind die Grenzen und welches Gesetz regelt es. Anders gefragt: was darf der Chef? 

Noch gibt es kein eigenes Gesetz, dafür aber zahlreiche Regelungen, die Anhaltspunkte liefern. Die Verhandlungen in Richtung einheitliches Beschäftigtendatenschutzgesetz laufen jedoch wieder an, nachdem der letzte Entwurf von 2010 nie verabschiedet wurde. Bisher hat nur Finnland ein solches Beschäftigtendatenschutzgesetz, die übrigen EU-Länder arbeiten mit Einzelfallregelungen. 

Es gilt also, die aktuellen Entwicklungen auf dem Schirm zu halten. Aktuell regelt insbesondere die DS-GVO den Beschäftigtendatenschutz. Sollte es aber zu einem eigenen Gesetz kommen, müsste die DS-GVO weiter konkretisiert werden.  

Wo stehen wir im Beschäftigtendatenschutz derzeit? 

Die Kernaussage der DS-GVO hinsichtlich des Beschäftigtendatenschutz laut §26 BDSG ist, dass personenbezogene Daten der Arbeitnehmer erhoben werden dürfen, wenn sie für die Erfüllung, Aufnahme oder Beendigung eines Arbeitsverhältnisses erforderlich sind. Die Erhebung bedarf dann nicht der Einwilligung des Betroffenen.  

Darunter fallen  

  • Bewerberdaten
  • allgemeine Personen- und Kontaktdaten 
  • Kontoverbindung 
  • Tätigkeitsprofil bzw. Position 
  • Gesundheitsdaten 
  • Religionszugehörigkeit (notwendig für die Lohnabrechnung) 

Für die Erhebung darüberhinausgehender Daten bedarf es möglicherweise der Einwilligung des Betroffenen.  

Warum brauchen wir ein Beschäftigtendatenschutzgesetz? 

Die Frage ist: Wie soll mit besonderen Situationen umgegangen werden? Wie steht es z.B. mit der Videoüberwachung in der Produktion? Darf der Chef die Emails lesen, die vom Arbeitsrechner aus versendet werden? Darf er die Chronik der Internetnutzung überwachen?  

Die allgemein gehaltenen Regelungen der DS-GVO sind wenig konkret und nur bedingt für Einzelfälle ausgelegt, sie decken eher Standardsituationen ab. Es ist schwer zu klären, welche Daten denn nun wirklich für die Erfüllung, Aufnahme oder Beendigung eines Arbeitsverhältnisses erforderlich sind.  

Die Interessen von Beschäftigten und Vorgesetzten können sehr weit auseinander liegen. Missbrauchsmöglichkeiten gibt es auf beiden Seiten. 

Das entscheidende Argument für mehr Beschäftigtendatenschutz ist das Machtgefälle zwischen Beschäftigten und ihren Vorgesetzten. Hier kann man nicht von „gleichem Recht für alle“ sprechen. Die Abhängigkeit von Lohn und Arbeitsplatz drängen den Beschäftigten in eine unsouveräne Rolle und lassen ihn manch bittere Pille schlucken aus Angst vor Konsequenzen. Eine solche bittere Pille sind z.B. Daten, die über ihn erhoben werden, gegen die er sich aber nicht zu wehren traut.  

Ein Gesetz könnte Klarheit und Schutz für alle Beteiligten schaffen.  

Ausblick 

Der vom Bundesministerium für Arbeit und Soziales gegründete unabhängige Beirat und der Deutsche Gewerkschaftsbund haben Empfehlungen und Vorschläge ausgearbeitet, die jedoch zum Teil nicht sehr detailreich ausfallen. Bei der Ausgestaltung steht dem Gesetzgeber also noch ein großer Spielraum offen.  

Immerhin, die Empfehlungen und der Gesetzesentwurf wurden bereits veröffentlicht (s.u.). Vor dem Hintergrund der Festlegung im Koalitionsvertrag rückt es in den Bereich des Möglichen, dass ein Gesetz noch in dieser Legislaturperiode erlassen werden könnte. Mal sehen, wie der Gesetzgeber die Entwürfe ausarbeitet und was Bundestag und Bundesrat dazu sagen. 

Wenn Sie weiterführende Fragen zum Thema Beschäftigtendatenschutz haben, zögern Sie nicht, uns anzusprechen.  

Downloads

DGB-Entwurf-eines-Beschaeftigtendatenschutzgesetzes

Ergebnisse-Beirat-Beschaeftigtendatenschutz

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!

GmbH: Online-Gründung bald möglich

online-gründung gmbh

Ab August 2022 tritt das DiRUG in Kraft und bestimmte Kapitalgesellschaften können durch ein notarielles Online-Verfahren gegründet werden. Damit schafft die neue Richtlinie erhebliche Erleichterung bei Geschäftsgründungen, von der in erster Linie Start-ups und kleine Unternehmen profitieren.

online-gründung gmbh

Stand April 2022

Bald ist sie möglich:
Die Online-Gründung von GmbH und UG (haftungsbeschränkt)  

 

Einführung 

Bereits 2019 trat die europäische Digitalisierungsrichtlinie (Richtlinie (EU) 2019/1151) in Kraft, welche als Teil des Company Law Packages der EU den Einsatz digitaler Werkzeuge und Verfahren im Gesellschaftsrecht ermöglichen soll. Die Richtlinie ergänzt die Gesellschaftsrechtsrichtlinie (Richtlinie (EU) 2017/1132) aus dem Jahr 2017 und ändert deren Vorgaben in einigen Punkten ab.  

Es galt die Inhalte der Richtlinie bis zum 31. Juli 2021 in nationales Recht umzuwandeln. Auf Antrag der deutschen Regierung wurde der Bundesrepublik jedoch eine einjährige Verlängerung gewährt. Im Juni 2021 wurde sodann das Gesetz zur Umsetzung der Digitalisierungsrichtline (DiRUG) von Bundestag und Bundesrat beschlossen und tritt zum 01. August 2022 in Kraft.  

Kern des neuen Gesetzes ist die Möglichkeit der schnelleren und vor allem deutlich vereinfachten Online-Gründung von Kapitalgesellschaften, insbesondere von Gesellschaften mit beschränkter Haftung (GmbHs) und Unternehmensgesellschaften (UGs – haftungsbeschränkt).  

In diesem Beitrag gehen wir auf die kommenden Neuerungen durch das DiRUG ein, wobei der Fokus auf der Online-Gründung der GmbH und der UG (haftungsbeschränkt) liegt.

Möglichkeit der Online-Gründung von GmbHs und UGs (haftungsbeschränkt) 

Die Digitalisierungsrichtlinie hat zwei Grundaussagen bzgl. der Online-Gründung getroffen:  

  1. Es soll die Online-Gründung ohne physische Präsenz vor dem Notar oder der Notarin ermöglicht werden, und 
  2. das Gründungsverfahren soll innerhalb einer kurzen Zeit abgeschlossen sein. 

Konkret bedeutet letzteres, dass der Gründungsprozess innerhalb von fünf Arbeitstagen realisiert werden soll, sofern die Gründer und Gründerinnen natürliche Personen sind und Musterformulare verwendet werden.  

Sind diese Voraussetzungen nicht erfüllt, darf das Gründungsverfahren nicht länger als zehn Arbeitstage dauern. Zweck der Neuerungen ist es, Zeit- und Verwaltungsaufwand bei der Gründung zu reduzieren, aber gleichzeitig die bei Präsenzterminen übliche Rechtssicherheit zu wahren. 

Während Gründern einer GmbH oder UG (haftungsbeschränkt) der bislang übliche Gang zum Notar oder Notarin künftig erspart werden kann, ist die Anwesenheit eines Notars/Notarin dennoch Voraussetzung. Die Möglichkeit eines virtuellen Zusammenkommens schafft ein eigens dafür angelegtes Videokommunikationssystem der Bundesnotarkammer.  

Durch das Kommunikationssystem der Bundesnotarkammer können die Parteien in Echtzeit miteinander sprechen und Dokumente und Vertragsentwürfe übermitteln.  

Die Niederschrift des Gründungsvertrages erfolgt beim Online-Gründungsverfahren elektronisch und die Unterschriften werden durch qualifizierte elektronische Signaturen ersetzt, welche durch das System zur Verfügung gestellt werden.  

Nicht zugelassen für die Online-Gründung einer GmbH oder UG (haftungsbeschränkt) ist die Verwendung marktüblicher Videokommunikationssysteme. Zum einen bleibt auf diese Weise der hoheitliche Charakter gewahrt, zum anderen wird dadurch sichergestellt, dass Dritte keinen Zugriff auf die sensiblen Daten bekommen.

Teilnahme nur mit sicherem Identitätsnachweis

Um an dem digitalen Verfahren teilzunehmen, müssen sich die Beteiligten sicher identifizieren können. Für diese elektronische Identifikation ist ein elektronischer Identitätsnachweis erforderlich, wie bspw. der Personalausweis mit eID-Funktion.  

Der Notar oder die Notarin gleicht nach dem Einlesen des Identitätsnachweises das Lichtbild mit dem Erscheinungsbild der Beteiligten ab. Die Bundesnotarkammer hat für das Einlesen des Identitätsnachweises eigens eine kostenfreie App zur Verfügung gestellt. 

Des Weiteren kommt das digitale Gründungsverfahren nur in Betracht, wenn es sich um eine Bargründung handelt, d.h. die Gesellschafter und Gesellschafterinnen das Stammkapital durch die Zahlung gesetzlicher Zahlungsmittel (Bareinlagen) leisten, anstatt (auch) durch Sacheinlagen.  

Die Richtlinie hat es offengelassen, ob das digitale Gründungsverfahren auch für GmbHs und UGs (haftungsbeschränkt) mit Sacheinlagen oder andere Kapitalgesellschaften wie Aktiengesellschaften (AG) gestattet werden soll. Der deutsche Gesetzgeber hat von dieser Möglichkeit jedoch keinen Gebrauch gemacht, sodass der Anwendungsbereich zunächst noch eingeschränkt ist.  

Diese Einschränkungen werden zusätzlich dadurch bestärkt, dass die Nutzung der zugelassenen elektronischen Identifikationsmittel den Bürgerinnen und Bürgern der EU-Mitgliedstaaten vorbehalten bleibt.  Gesellschafter und Gesellschafterinnen aus Drittstaaten sind somit generell vom Online-Verfahren ausgeschlossen.

Weitere Änderungen durch das DiRUG 

Neben dem Online-Gründungsverfahren von GmbHs sieht das DiRUG aber noch weitere digitale Neuerungen vor.  

So können zukünftig Beglaubigungen mittels Videokommunikation durch den Notar durchgeführt werden. Dies gilt etwa für Handelsregistereintragungen durch Einzelkaufleute oder Kapitalgesellschaften (GmbH, AG, KGaA oder durch deutsche und EU- oder EWG-Zweigniederlassungen) gem. § 12 Abs. 1 S. 2HGB n.F., oder die Beglaubigung einer elektronischen Signatur gem. § 40a BeurkG n.F.. 

Darüber hinaus wird die Registerpublizität neugestaltet. Es wird eine “register only”-Lösung eingeführt, welche besagt, dass Bekanntmachungen von Handelsregistereintragungen künftig nur noch durch das erstmalige Abrufen der jeweiligen Informationen über das Registerportal der Länder erfolgt.  

Dadurch sollen Redundanzen durch mehrfache Bekanntmachungen entfallen. Der Abruf der Daten aus dem Handelsregister wird gebührenfrei möglich sein. Damit dies umsetzbar ist, zahlen die eingetragenen Rechtsträger eine Bereitstellungsgebühr. 

Auch ein grenzüberschreitender Informationsaustausch über disqualifizierte Führungspersonen soll erfolgen.  

Das Unternehmensregister wird gem. § 9c HGB n.F. mit der Beantwortung von ausländischen Anfragen und der Weiterleitung von Informationsersuchen deutscher Gerichte betraut. Zudem werden gem. § 6 Abs. 2 S. 3 GmbHG n.F. bzw. § 76 Abs. 3 S. 3 AktG n.F. deutsche Geschäftsführer und Vorstände auch dann disqualifiziert, wenn ihnen im Ausland ein Berufs- oder Gewerbeverbot erteilt wurde. 

Zudem findet ein grenzüberschreitender Informationsaustausch über Zweigniederlassungen statt.  

Gem. § 13a HGB n.F. werden auch Informationen über ausländische Zweigniederlassungen in EU-/EWR-Staaten eingetragen, sofern sie von einer deutschen Kapitalgesellschaft errichtet wurden. Für ausländische Geschäftsführer und Vorstände entfällt zudem gem. § 37 Abs. 2 AktG n.F. analog bzw. § 8 Abs. 3 GmbHG n.F. analog das Erfordernis einer Versicherung über das Nichtvorliegen von Bestellungshindernissen. Dies gilt jedoch nicht für die gesetzlichen Vertreter von Kapitalgesellschaften aus Drittstaaten.

Fazit 

Dass die physische Anwesenheitspflicht beim Notar oder der Notarin entfällt, stellt schon mal eine erhebliche Entlastung dar, vor allem, wenn sich die Parteien an unterschiedlichen Orten oder in unterschiedlichen Ländern aufhalten. Die weiterhin notwendige notarielle Verlesung findet nun online statt. Auch die auf max. 10 Tage begrenzte Antrags-Bearbeitungszeit ist ein attraktiver Aspekt, mit dem sich eine Unternehmensgründung deutlich besser planen lässt. 

Schade ist, dass der deutsche Gesetzgeber wohl die zwingenden Vorgaben der Digitalisierungsrichtlinie umgesetzt hat, darüber hinaus aber keine Änderungen bspw. in Bezug auf Online-Gründungen von AGs vorgenommen hat.  

Außerdem ist lediglich das Gründungsverfahren in digitaler Form zugelassen, nicht jedoch spätere Satzungsänderungen oder Umwandlungsvorgänge.  

Insgesamt ist in Sachen Digitalisierung im Gesellschaftsrecht der Anfang gemacht und es bestehen noch große Ausbaumöglichkeiten. 

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!

BVerfG: Hetzkommentare in Sozialen Netzwerken sind nicht anstandslos hinzunehmen

BVerfG Hetzkommentare

Die Politikerin Renate Künast kann einen Etappensieg feiern: die Beschlüsse des Landgerichts und Kammergerichts Berlin, welche die Hetzkommentare größtenteils als hinnehmbar einstuften, wurden vom BVerfG jetzt aufgehoben.

BVerfG Hetzkommentare

Stand März 2022

BVerfG: Hetzkommentare in Sozialen Netzwerken sind nicht anstandslos hinzunehmen 

Einführung 

Gerade im Zeitalter der sozialen Medien stellt sich häufig die Frage, wie weit die Meinungsfreiheit aus Art. 5 Abs. 1 Grundgesetz (GG) geht und was sich Empfänger von Hetzkommentaren alles gefallen lassen müssen. Nun hat das Bundesverfassungsgericht (BVerfG) sich erneut mit dieser Frage beschäftigt. Dem einschlägigen Beschluss (BVerfG, Beschl. v. 19.12.2021, Az.: 1 BvR 1073/20) liegen zahlreiche beleidigende Kommentare auf Facebook zugrunde, die Anfang 2019 gegen die Grünen-Politikerin Renate Künast gerichtet waren. Es fielen hierbei u.a. Ausdrücke wie “Pädophilen-Trulla”, “Gehirn Amputiert” und “Stück Scheiße”. Hiergegen wendete sich Frau Künast und verlangte von der Betreiberin der Social Media Plattform Facebook, dass diese die personenbezogenen Daten der Verfasserinnen und Verfasser der jeweiligen Kommentare gem. § 14 Abs. 3 Telemediengesetz in der alten (damals geltenden) Fassung (TMG a.F.; heute: § 21 Abs. 2, 3 Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG)) an sie herauszugeben, damit sie gegen sie rechtlich weiter vorgehen könnte. In erster und zweiter Instanz verweigerten jedoch sowohl das Landgericht (LG) als auch das Kammergericht (KG) Berlin die Auskunftsansprüche größtenteils, da sie in der Mehrheit der Kommentare keine Beleidigungen sahen. Grund dafür war zum Teil, dass die Äußerungen genügend Sachbezug zur erneut aufgekommenen „Pädophilie-Debatte“ aus dem Jahr 2015 hätten, in der es vorwiegend um die Haltung der „Grünen“ zur Pädophilie in den 1980er Jahren ging, so die Berliner Gerichte. 

Gegen die Berliner Beschlüsse legte Frau Künast Verfassungsbeschwerde beim BVerfG ein. Im Folgenden wird der Beschluss des BVerfG erläutert und zudem darauf eingegangen, anhand welcher Kriterien eine Abwägung zwischen der Meinungsfreiheit auf der einen Seite und dem allgemeinen Persönlichkeitsrecht aus Sicht des BVerfG auf der anderen Seite stattzufinden hat.  

Entscheidung des BVerfG 

Nach Auffassung des Karlsruher Gerichts haben die vorinstanzlichen Gerichte das allgemeine Persönlichkeitsrecht der Politikerin gem. Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG nicht ausreichend berücksichtigt. Bei Hetzkommentaren, insbesondere wenn es um deren Zulässigkeit geht, sei immer zwischen Schmähkritik und anderen verletzenden Aussagen mit Sachbezug zu differenzieren. Schmähkritik bezeichnet dabei Äußerungen, bei denen die betroffenen Personen lediglich herabgewürdigt und diffamiert werden sollen, ohne dass die Aussage einen Sachbezug aufweist. Diese Aussagen sind nach ständiger Rechtsprechung stets als Beleidigungen i.S.d. § 185 Strafgesetzbuch (StGB) anzusehen und unterfallen daher nicht (mehr) der allgemeinen Meinungsfreiheit nach Art. 5 Abs.1 GG.  

Nach Ansicht des BVerfG seien die Berliner Richterinnen und Richter jedoch vorschnell und unzutreffend davon ausgegangen, dass einige Kommentare keine Beleidigungen i.S.d. § 185 StGB darstellen würden, nur weil sie keine Schmähkritik seien. Sofern die jeweiligen Aussagen keine Schmähkritik darstellen würden, sondern außerdem einen Sachbezug hätten oder zur öffentlichen Meinungsbildung beitragen würden, müsse von den Gerichten in einem weiteren Schritt zwischen der Meinungsfreiheit der Verfasserin oder des Verfassers und dem allgemeinen Persönlichkeitsrecht des Opfers abgewogen werden. Es gebe jedoch keine Vermutung eines generellen Vorrangs der Meinungsfreiheit, auch nicht bei Personen, die in der Öffentlichkeit stehen.  

Das LG und das KG hätten diese Abwägung aber gerade nicht vorgenommen, sondern mit der Begründung, dass bei den Kommentaren ein Sachbezug zur Pädophilie-Debatte aus 2015 vorläge, eine Schmähkritik und damit auch eine Beleidigung schließlich abgelehnt. Letzteres dürfe so aber per se nicht geschehen. Aufgrund dieses Abwägungsausfalls der Vorinstanzen hat das BVerfG mithin einen Verstoß gegen Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG festgestellt und deshalb die Beschlüsse der Berliner Gerichte (LG, Beschl. v. 07.09.2019, 21.01.2020, Az.: 27 AR 19/19; KG, Beschl. v. 11.03.2020, 06.04.2020, Az.: 10 W 13/20) aufgehoben. Das BVerfG hat in seiner Entscheidung hierbei den Sachverhalt nicht in Gänze, sondern lediglich auf Grundrechtsverletzungen überprüft. Deshalb hat das BVerfG den Fall auch zur erneuten Prüfung des Auskunftsanspruchs gem. § 14 Abs. 3 TMG a.F. an das KG Berlin zurückverwiesen, sodass dieses sich nochmals mit den Hetzkommentaren im Einzelnen auseinandersetzen muss. 

Kriterien für die Abwägung zwischen der Meinungsfreiheit und dem allgemeinen Persönlichkeitsrecht  

Das Karlsruher Gericht betonte in seinem Beschluss erneut (vgl. BVerfG, Beschl. v. 19.05.2020, Az.: 1 BvR 2397/19), auf welche Kriterien bei der Abwägung zwischen Art. 5 Abs. 1 GG und Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG abzustellen sei. Die hierbei nun mehr aufgestellten Punkte seien aber keinesfalls zwingend bei jeder Abwägung heranzuziehen, sondern sollen lediglich einen Leitfaden bilden. 

  1. Zunächst sei zu beachten, dass die Meinungsfreiheit umso stärker ins Gewicht falle, je mehr ein Beitrag oder eine Aussage darauf ziele, der öffentlichen Meinungsbildung zu dienen bzw. umso geringer, je mehr es davon unabhängig lediglich um die persönliche Meinung gegenüber einer anderen Person ginge. 
  2. Zudem sei es bedeutend, ob es sich bei der getroffenen Aussage um Machtkritik handele – denn diese sei besonders schutzwürdig. Politikerinnen und Politiker müssten für deren Art und Weise der Machtausübung auch angegriffen werden können. Jedoch folge daraus nicht, dass Amtsträgerinnen und Amtsträger vom Schutz vor Beleidigungen und Verächtlichmachungen ausgenommen seien. Deren Persönlichkeitsrechte seien ebenso hinreichend zu wahren wie die von jeder anderen Person auch.  
  3. Relevant sei des Weiteren, ob die Aussagen spontan gefallen seien oder ob sie mit Vorbedacht getätigt wurden. Äußerungen in sozialen Netzwerken seien nach Ansicht des BVerfG keine Spontanäußerungen, sondern solche mit Vorbedacht, für die ein strengerer Maßstab gelte. 
  4. In die Abwägung könne außerdem miteinfließen, wie viele Personen die Äußerungen zur Kenntnis genommen hätten und ob sie schriftlich fixiert und damit jederzeit abrufbar seien. 

Fazit 

Das KG Berlin muss sich im Ergebnis nochmals mit den Hetzkommentaren gegen Frau Künast auseinandersetzen und dabei nach Auffassung des BVerfG vermutlich zu einem anderen Ergebnis kommen. Es ist also festzuhalten, dass bisher noch nicht abschließend geklärt ist, ob die Aussagen strafbar sind und ob Frau Künast einen Anspruch auf Herausgabe der Nutzerdaten hat. Das Karlsruher Gericht hat lediglich festgestellt, dass die vorherigen Beschlüsse Frau Künast in ihrem allgemeinen Persönlichkeitsrecht verletzen, weil keine ausreichende Abwägung mit der Meinungsfreiheit stattgefunden hat. Dennoch stellte das BVerfG auch klar, dass Personen, die in der Öffentlichkeit stehen, sich nicht wie bisher häufig angenommen, alles bzw. mehr hetzerische Kritik gefallen lassen müssen, sondern gegen Beleidigungen ebenfalls geschützt sind. 

Mit seinem Beschluss stärkt das BVerfG mithin die Persönlichkeitsrechte von Opfern von Hasskommentaren. Gerichte sind nun dazu verpflichtet, in solchen Fällen eine ausführliche Abwägung zwischen den widerstreitenden Interessen vorzunehmen.  

Bisher scheiterten zivilrechtliche Ansprüche meist daran, dass die Verfasserinnen und Verfasser von Hetzkommentaren sich im Internet hinter pseudonymisierten Usernamen versteckten und deshalb nicht identifizierbar waren. Durch den Beschluss könnte sich dies nun ändern, da nach der eingehenden Abwägung, jetzt häufiger Beleidigungen angenommen werden könnten, sodass auch häufiger Auskunftsansprüche nach § 21 Abs. 2, 3 TTDSG durchgesetzt werden könnten. 

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!

BGH zur Anpassung der Gewerberaummiete während des Lockdowns

BGH Gewerberaummiete

Der BGH hat nun geurteilt, dass eine Anpassung der Gewerbemiete wegen einer behördlichen Schließung aufgrund der Pandemie grundsätzlich möglich ist.

BGH Gewerberaummiete

Stand Februar 2022

BGH zur Anpassung der Gewerberaummiete während des Lockdowns  

Einführung  

Zu Anfang der COVID-19-Pandemie im Frühjahr 2020 wurde der gesamte Einzelhandel, mit Ausnahme von Geschäften für den täglichen Lebensbedarf, geschlossen, um eine Ausbreitung des Virus zu verlangsamen. Auch ein Bekleidungsgeschäft aus Sachsen musste aufgrund einer Allgemeinverfügung des Sächsischen Staatsministeriums vom 19.03.2020 bis zum 19.04.2020 sein Geschäft schließen und zahlte deshalb nicht die vereinbarte Miete in Höhe von 8.000 EUR für den Monat April. Hiergegen ging der Vermieter gerichtlich vor.  

In der ersten Instanz hatte das Landgericht (LG) Chemnitz (Urt. v. 26.08.2020, 4 O 639/20) geurteilt, dass die vollständige Miete zu entrichten sei, auch wenn das Ladenlokal aufgrund behördlicher Anordnung geschlossen bleiben musste. Das Oberlandesgericht (OLG) Dresden (Urt. v.  24.02.2021, 5 U 1782/20) sah den Fall hingegen anders und entschied, dass Mieter und Vermieter in einem solchen Fall das Risiko zu gleichen Teilen tragen und deshalb eine Mietzahlung von 50 % von dem Textilunternehmen zu entrichten sei. 

Mit diesem Ergebnis waren beide Parteien nicht einverstanden, sodass Revision beim Bundesgerichtshof (BGH) eingelegt wurde. Im Folgenden wird erläutert, wie der BGH sich in dem Fall entschieden hat (BGH, Urt. v. 12.01.2022, XII ZR 8/21). 

Entscheidung des BGH 

Ladenschließung als Mietmangel? 

Der BGH stellte zunächst klar, dass es sich bei einer behördlich angeordneten Geschäftsschließung nicht um einen Mietmangel im Sinne des § 536 Abs. 1 S. 1 des Bürgerlichen Gesetzbuchs (BGB) handele und die Miete nicht deshalb zu kürzen sei. Ein Mietmangel könne immer nur dann angenommen werden, wenn die Gebrauchsfähigkeit der Mietsache eingeschränkt sei. Dies könne im Fall einer pandemiebedingten Schließung jedoch gerade nicht angenommen werden; die Geschäftsräume standen der Bekleidungskette weiterhin zur Verfügung. Die Gebrauchsbeschränkung hänge nicht unmittelbar mit der Beschaffenheit, dem Zustand oder der Lage des Mietobjekts zusammen, sondern untersage vielmehr nur für einen kurzen Zeitraum eine bestimmte Nutzungsart. Dem Textilunternehmen werde also nicht jegliche Art der Nutzung untersagt, noch werde dem Vermieter die tatsächliche oder rechtliche Überlassung der Mieträume verboten. 

Ladenschließung als Störung der Geschäftsgrundlage? 

Eine Anpassung der Höhe des Mietzinses sei jedoch gem. § 313 Abs. 1 BGB aufgrund einer Störung der Geschäftsgrundlage möglich, so der BGH. Dem stehe auch nicht entgegen, dass in Art. 240 § 2 des Einführungsgesetzes zum Bürgerlichen Gesetzbuch (EGBGB) besondere Kündigungsregeln für die Zeit der Pandemie festgelegt wurden. Diese Beschränkung bestünde nur für Kündigungsfälle und treffe keine Aussagen über die Höhe der zu zahlenden Miete. Nach Ansicht der Karlsruher Richter könne eine Anpassung gem. § 313 Abs. 1 BGB stattfinden, wenn die sog. “große Geschäftsgrundlage” betroffen sei, also wenn sich die grundlegenden politischen, wirtschaftlichen und sozialen Rahmenbedingungen eines Vertrages im Nachhinein bedeutend verändert hätten und die Sozialexistenz erschüttert würde.

Ein weiteres Indiz für die Annahme einer Störung der Geschäftsgrundlage im Fall einer pandemiebedingten Schließung sei die (auf diesen Fall zwar nicht anwendbare) Neuregelung in Art. 240 § 7 EBGBG aus Dezember 2020, welche die Vermutung aufstellt, dass sich durch eine Geschäftsschließung aufgrund der COVID-19-Pandemie die Grundlage eines Gewerbemietvertrages grundlegend geändert habe. 

Darüber hinaus müsse das Festhalten am ursprünglichen Vertrag zumindest für eine Vertragspartei unter Berücksichtigung der vertraglichen und gesetzlichen Risikoverteilung nicht zumutbar erscheinen. Laut BGH könne für die staatlichen Eingriffe aufgrund der Pandemie in Form der Ladenschließungen und die folgenden Umsatzeinbrüche der Unternehmen keine der Mietparteien verantwortlich gemacht werden. Es habe sich einzig das allgemeinen Lebensrisiko verwirklicht, welches regelmäßig keiner Vertragspartei allein zugerechnet werden kann.

Aus diesen Überlegungen folge jedoch nicht, dass Mietzahlungen im Falle eines pandemiebedingten Lockdowns stets zu kürzen bzw. anzupassen seien. Im Gegensatz zur pauschalen Risikoverteilung von 50 %, welche das OLG Dresden angeführt hat, ist der BGH der Ansicht, dass eine pauschale Herabsetzung nicht gerechtfertigt sei und stets eine ausführliche Prüfung des Einzelfalls stattfinden müsse, um zu bestimmen, ob dem Mieter die vollständige Zahlung  zumutbar sei.

Zu berücksichtigen seien hierbei unter anderem die Nachteile, die der Mieter durch die Geschäftsschließung und deren Dauer erlitten habe, die Höhe des Umsatzrückgangs, etwaige finanzielle Vorteile, die der Mieter aus staatlichen  Leistungen zum Ausgleich der pandemiebedingten Schließungen erhalten habe sowie Leistungen einer Betriebsversicherung.

Nicht zu berücksichtigen seien jedoch staatliche Darlehen, da sie zurückgezahlt werden müssen und deshalb keine vollständige Kompensation darstellen würden. Es sei zudem in die Beurteilung miteinzubeziehen, ob und welche Maßnahmen der Mieter zur Verhinderung der (drohenden) finanziellen Einbrüche geleistet habe oder hätte leisten können. 

Fazit 

Aufgrund dieser Überlegungen hat der BGH das Urteil des OLG Dresden aufgehoben und das Gericht angewiesen, den Sachverhalt erneut zu prüfen. Das OLG ist nun angehalten, die konkreten wirtschaftlichen Auswirkungen der Betriebsschließung des Bekleidungsgeschäfts zu untersuchen und eine Anpassung der Miete für April 2020 vorzunehmen, sofern die ursprünglichen Konditionen nicht zumutbar erscheinen. Es bleibt nun das Urteil des OLG Dresden abzuwarten. 

Es ist festzuhalten, dass eine Anpassung der Gewerbemiete aufgrund einer hoheitlichen Schließungsanordnung im Rahmen der COVID-19-Pandemie gem. § 313 Abs. 1 BGB im Einzelfall vorgenommen werden kann. Ein genereller Anspruch auf eine Kürzung besteht jedoch nicht und pauschale Kürzungen um 50 % sind ebenfalls nicht gerechtfertigt; es bedarf vielmehr einer umfassenden Abwägung im Einzelfall.  

Für die Praxis empfiehlt es sich, bei Neuabschlüssen von Gewerbemietverträgen bereits im Vorhinein Regelungen zur Risikoverteilungen für solche Fälle zu treffen, in denen keine der Parteien für das Risiko verantwortlich ist, sich also das allgemeine Lebensrisiko verwirklicht.  

Bei weiteren Fragen stehen wir Ihnen gerne zur Verfügung. 

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!

DS-GVO Zertifizierung von IT-Produkten und Dienstleistungen

DS-GVO Zertifizierung

Wir erklären Ihnen zusammengefasst den Vorgang einer DS-GVO-Zertifizierung für digitale Produkte und Dienstleistungen.

Stand Januar 2022

DS-GVO Zertifizierung für IT-Produkte und Dienstleistungen

Einleitung 

Dieses Jahr werden erste Stellen für die Zertifizierung von IT-Produkten und –Dienstleistungen akkreditiert. Diese Zertifizierung basiert auf der Datenschutzgrundverordnung und soll sicherstellen, dass digitale Produkte und Dienstleistungen datenschutzkonform umgesetzt wurden. Dafür wurde eine einheitliche Grundlage für ein europäisches Akkreditierungs- und Zertifizierungsverfahren geschaffen. 

Die Einrichtung einer DS-GVO-Zertifizierung wurde bereits seit 2016 immer wieder diskutiert, jedoch wurde man sich bisher nicht einig über die formalen und technischen Voraussetzungen. Diese Uneinigkeit wurde nun verwunden und man erwartet erste Zertifikatsausstellungen in der ersten Jahreshälfte. 

Doch wo erhält man für seine Produkte und Dienstleistungen oder sein Unternehmen die entsprechenden Zertifikate und was sind die notwendigen Voraussetzungen. 

Welche Voraussetzungen muss man für den Erhalt eines Zertifikats erfüllen? 

Haben Sie ein digitales Produkt oder eine digitale Dienstleistung, welches DS-GVO-konform zertifiziert werden soll, können Sie sich künftig an eine entsprechende Zertifizierungsstelle wenden. Dafür stellen Sie einen Antrag für das Produkt oder die Dienstleistung, welche Sie zertifizieren lassen wollen. Im Rahmen der Überprüfung durch die Zertifizierungsstelle müssen kurz zusammengefasst folgende Angaben vom Antragssteller vorgelegt werden: 

  1. Beschreibung des Zertifizierungsgegenstands
  2. Angaben über die Verarbeitungsvorgänge u.a. hinsichtlich des Zwecks, des Empfängers oder welche Art von Daten verarbeitet werden 
  3. Angabe, ob personenbezogene Daten als Verantwortlicher oder als Auftragsverarbeiter verarbeitet werden 
  4. Angaben über ein Drittlandstransfer.

Im Anschluss erfolgt das Zertifizierungsprüfverfahren. Dieses Verfahren stellt eine datenschutzrechtliche Überprüfung dar, die geeignet sein muss, die ordnungsgemäße Umsetzung datenschutzrechtlicher Anforderungen sowie die Wirksamkeit technisch-organisatorischer Maßnahmen für den Zertifizierungsgegenstand festzustellen und zu belegen. Dies erfolgt durch Inspektion aller relevanten Geschäftsprozesse, Dokumentenprüfungen, technischen und juristischen Analysen oder Vor-Ort-Begehungen. 

Sofern nicht gesondert geprüft und zugelassen, gilt die Zertifizierung zunächst nur deutschlandweit. 

Hinsichtlich der Kosten lässt sich bisher kein genauer Wert abzeichnen, da es maßgebend auf den Umfang des Prüfungsverfahren ankommt. Dies hat zugleich unmittelbar Auswirkungen auf die Dauer der Bearbeitung. 

Wie lange das Zertifikat wirksam ist, wurde nicht konkret benannt. Beachtet man die bisherigen Abläufe im Rahmen von Zertifizierungen nach der DS-GVO dann gilt gem. Art. 42 Abs.7 DS-GVO das Zertifikat für drei Jahre und kann unter denselben Bedingungen auch wieder verlängert werden. 

Welche Anforderungen werden an die Zertifizierungsstellen gestellt? 

Damit der zuvor erläuterte Zertifizierungsprozess vorgenommen werden kann, muss sich die Zertifizierungsstelle akkreditieren lassen. Der Akkreditierungsprozess einer Zertifizierungsstelle läuft gem. Art. 42, 43 DS-GVO ab und umfasst sechs Prüfungsphasen. In Deutschland prüft die Deutsche Akkreditierungsstelle (DAkks) mit der entsprechenden Landesdatenschutzbehörde eingegangene Anträge und nimmt bei Erfüllung aller Prüfungsphasen sowie unter Berücksichtigung der Einschätzung des europäischen Datenschutzausschusses (EDSA) eine Akkreditierung vor. In NRW haben bereits mehrere Unternehmen diesen Akkreditierungsprozess beantragt und fast vollständig durchlaufen, sodass bald einige Zertifizierungsstellen ihre Arbeit aufnehmen können. 

Fazit – Braucht man das? 

Für ein Unternehmen kann sich die Zertifizierung im Rahmen von Kundengewinnung und Werbemaßnahmen durchaus vorteilhaft auswirken. Die betroffenen Personen erhalten somit einen schnellen Überblick über das Datenschutzniveau einschlägiger Produkte oder Dienstleistungen. Durch eine Zertifizierung wird somit das Vertrauen von Kunden in das Produkt schneller gewonnen als ohne. Denn man erhält nicht nur einen Datenschutznachweis auf dem Papier, sondern es wird auch gewährleistet, dass die technischen Voraussetzungen datenschutzkonform eingerichtet wurden. 

Andrerseits bedeutet es natürlich mehr Arbeit und mehr Kosten. Zwingend erforderlich ist eine Zertifizierung nicht. Daher ist es eine Frage der Abwägung seitens des Unternehmens, ob dieser Weg beschritten wird oder eben nicht. Bei kleineren oder mittelgroßen Unternehmen ist eine Abwägung zwischen Kosten und Nutzen einer Zertifizierung besonders ausschlaggebend, da diese in der Regel hohe Zertifizierungskosten nicht aufwenden können. Daher soll dieser Umstand im Zertifizierungsverfahren besonders berücksichtigt werden gem. Art. 42 Abs.1 S.2 DS-GVO. 

Bei weiteren Fragen stehen wir Ihnen gerne zur Verfügung. 

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!