Skip to content

Zur aktuellen Entwicklung des EU-US-Datenschutzschildes: die Kommission pocht auf Ernennung einer ständigen Ombudsperson.

EU-US-Datenschutzschild – die aktuelle Entwicklung

Einführung

Die EU-Kommission hat am 19. Dezember 2018 die US-Behörden dazu aufgefordert bis zum 28. Februar 2019 eine ständige Ombudsperson für den Datenschutz zu benennen. Deren Aufgabenbereich soll sich zukünftig auf die Bearbeitung von Beschwerden erstrecken, die sich auf den von US-Behörden vorgenommenen Zugriff auf personenbezogene Daten von EU-Bürgern beziehen. Es handelt sich dabei um solche personenbezogenen Daten, die explizit aufgrund des EU-US-Datenschutzschilds an hieran teilnehmende Unternehmen in den USA übermittelt werden.

Das EU-US-Datenschutzschild und die aktuelle Lage

Am 12. Juli 2016 wurde das EU-US-Datenschutzschild beschlossen, welches am 1. August 2016 in Kraft trat. Das EU-US-Datenschutzschild ist ein vom US-Handelsministerium in Kooperation mit der EU-Kommission eingerichtetes Programm. Primäres Ziel des EU-US-Datenschutzschild ist der Schutz der personenbezogenen Daten von EU-Bürgern und die Sicherstellung von Rechtssicherheit für Unternehmen. Es zeichnet sich durch strenge Datenschutzstandards aus, wodurch einem Missbrauch der Daten von EU-Bürgern vorgebeugt werden soll.

Das Datenschutzschild bildet den Nachfolger des Datenschutzabkommens Safe Harbor, welches  letztlich als rechtlich nicht haltbar eingestuft wurde. Dieses Abkommen war in vielerlei Hinsicht nachteilhaft und somit zukünftig nicht mehr praktikabel. Es galt beispielsweise nur für amerikanische Unternehmen und nicht für Behörden der USA. Einen weiteren, für sein Scheitern letztlich ausschlaggebenden Kritikpunkt bildete die nicht vorhandene Möglichkeit des gerichtlichen Rechtsschutzes europäischer Bürger gegen die Maßnahmen durch die  US-Behörden.

Die zweite Überprüfung des EU-US-Datenschutzschilds

Am 18. Oktober 2018 wurde eine erneute Überprüfung des EU-US-Datenschutzschilds vorgenommen. Beteiligt an den Sitzungen im Rahmen der Überprüfung waren die Vertreter aller US-Ministerien, deren Zuständigkeit im Bereich der Durchführung des Datenschutzschilds liegt. Hierunter fallen die Federal Trade Commission, das Office of the Director of National Intelligence, das Justizministerium und das Außenministerium.

Ergebnisse der Überprüfung

Die Umsetzung der erforderlichen Maßnahmen, namentlich der Ausbau der Zertifizierungsverfahren durch das US-Handelsministerium und die daran anknüpfende Intensivierung der Überwachung des datenschutzrechtlichen Rahmens führen zur Möglichkeit einer schnellen Überprüfung, ob die aus dem Datenschutzschild resultierenden Bedingungen tatsächlich eingehalten werden. Die Einführung einer sogenannten Systemkontrolle soll durch ein Zufallsprinzip prüfen, ob die vom Datenschutzschild vorgegebenen Grundsätze auch umgesetzt wurden. Das Datenschutzschild wird von den Teilnehmern der Sitzung als Erfolg eingestuft. Als Grund hierfür ist eindeutig die Zertifizierung großer Konzerne aus der digitalen Wirtschaft anzuführen. Aktuell wurden insgesamt über 3850 Unternehmen zertifiziert. Bei der Aufnahme eines Unternehmens in die Datenschutzschild-Liste ist von der Einhaltung der entsprechenden Datenschutzstandards auszugehen. Ein dauerhaft gleichbleibender Datenschutzstandard wird dabei durch eine jährlich vorzunehmende erneute Zertifizierung sichergestellt. Die zuständige Kommission sieht hierin einen operativen Rahmen, der geeignet ist eine kontinuierliche Verbesserung vorzunehmen und darauf basierend die Funktionsweise des Datenschutzschilds verbessert.

Notwendigkeit der Ernennung einer Ombudsperson

Zur dauerhaften Aufrechterhaltung eines angemessenen Datenschutzniveaus und Gewährleistung eines irgend gearteten Rechtsbehelfs ist die Ernennung einer Ombudsperson die notwendige Konsequenz. Die Ombudsperson soll sich um Beschwerden über den Zugriff von US-Behörden auf personenbezogene Daten kümmern, die aus der EU im Rahmen des Privacy Shields an teilnehmende Unternehmen in den USA übermittelt werden.

Der Kommissionsvizepräsident formulierte klar und deutlich den Wunsch nach der Benennung einer ständigen Ombudsperson bis spätestens 28.02.2019, damit zwischen EU und USA im Datenschutzbereich ein uneingeschränktes Vertrauen zu Recht vorherrschen darf. Im Falle der stetigen Umsetzung der von der EU-Kommission präsentierten Empfehlungen würde ein höheres Datenschutzniveau gewährleistet. Offen formulierte die Kommission, bei Nichtbenennung einer Ombudsperson geeignete Maßnahmen im Einklang mit der Datenschutz-Grundverordnung zu ergreifen.

Arbeitsweise der US-Wettbewerbsbehörde

Die US-Wettbewerbsbehörde („Federal Trade Commission“) nimmt eine Überwachung der Grundsätze des Datenschutzschilds vor und ist berechtigt im Falle von Unklarheiten die am Datenschutzschild partizipierenden Unternehmen vorzuladen und zu befragen.

Bei der Zertifizierung eines US-Unternehmens unter dem EU-US-Datenschutzschild ist das Unternehmen verpflichtet die betroffene Person vor einer geplanten Datenübermittlung in Kenntnis zu setzen und ihr so die freie Wahl im Hinblick auf eine Zustimmung oder Ablehnung selbst zu überlassen.

Zwingende Voraussetzung für den Beitritt zum EU-US-Datenschutzschild ist die Vornahme einer jährlichen neuen Zertifizierung. Zertifizierungen nach Art. 42 DS-GVO werden für eine Höchstdauer von drei Jahren erstellt und können ggf. verlängert werden.

Fazit

Das EU-US-Datenschutzschild soll das Vertrauen der Europäer in einen funktionierenden Datenschutz durch Gewährleistung von absoluter Datensicherheit wiederherstellen. Eine zentrale Rolle spielt hierbei die Ernennung einer ständigen Ombudsperson. 

Allen am EU-US-Datenschutzschild teilnehmenden Unternehmen wird die Einhaltung der erforderlichen Mindeststandards, die Europa im Bereich des Datenschutzes fordert, belegt. Dies erleichtert den Geschäftsverkehr für alle Beteiligten. Die Einholung zusätzlicher Genehmigungen von Unternehmen in den USA ist folglich entbehrlich.

In Anbetracht der zu beobachtenden Entwicklung der digitalen Wirtschaft sollte das EU-US-Datenschutzschild seinen Ruf als funktionierendem Instrument der Datensicherung durch stetige Weiterentwicklung und Durchführung der entsprechenden Maßnahmen gerecht werden.

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!

Wir berichten, wann eine Verletzung des Persönlichkeitsrechts einen Entschädigungsanspruch ermöglicht.

Geldentschädigung für Verletzungen des Rechts am eigenen Bild

Zum Sachverhalt

Im Urteil vom 22.11.2018 (Az. I-4 U 140/17) hat das OLG Hamm Stellung dazu bezogen, wann eine Verletzung des Rechts am eigenen Bild einen Anspruch des Verletzten auf eine Geldentschädigung gegen den Schädiger zur Folge haben kann.

Im vorliegenden Fall wurde der Kläger vom Beklagten gefilmt, wie er im Rahmen seiner beruflichen Tätigkeit am Flughafen das Gepäck des beklagten Touristen kontrollierte. Der gefilmte Gepäckkontrolleur erhob daraufhin Klage auf Zahlung einer Geldentschädigung wegen der Verletzung seines allgemeinen Persönlichkeitsrechts.

Aus dem Urteil

In seiner Entscheidung arbeitet das OLG Hamm heraus, dass nicht jede Verletzung des allgemeinen Persönlichkeitsrechts – und damit auch nicht jede Verletzung des Rechts am eigenen Bild – einen Anspruch des Verletzten auf eine Geldentschädigung gegen den Schädiger auslöst.

Das OLG Hamm stützte sich dabei auf die Grundsätze des Urteils des BGHs vom 12.12.1995 (VI ZR 223/94). Demnach begründet die „– schuldhafte – Verletzung des allgemeinen Persönlichkeitsrechts einen Anspruch auf eine Geldentschädigung nur, wenn es sich um einen schwerwiegenden Eingriff handelt und die Beeinträchtigung nicht in anderer Weise befriedigend aufgefangen werden kann.“

Dabei ist auf die Umstände des Einzelfalls abzustellen. Zu berücksichtigen sind dabei die Bedeutung und Tragweite des Eingriffs, also das Ausmaß der Verbreitung der Veröffentlichung, die Nachhaltigkeit und Fortdauer der Interessen- oder Rufschädigung des Verletzten, ferner Anlass und Beweggrund des Handelnden sowie der Grad seines Verschuldens.

Das Gericht hat folgende Umstände berücksichtigt:

  • Zwar hat der Beklagte die Videosequenz bewusst und heimlich aufgenommen; dies vermag jedoch keine schwerwiegende Verletzung des Persönlichkeitsrechts des Klägers zu begründen. Die Aufnahme fand in dem öffentlich, bzw. für jeden Besucher des Flughafens mit einer Bordkarte zugänglichen Gepäckkontrollbereich des Flughafens statt.
  • Der Beklagte hat zwar die Aufnahme auf einer Internetplattform veröffentlicht; dies geschah jedoch im Rahmen eines längeren Videozusammenschnitts, so dass diese – lediglich eine, höchstens zwei Sekunden lange – Szene mit dem Kläger innerhalb der einzelnen Videos nicht mehr als ein Beiwerk darstellt. Durch das Veröffentlichen auf einer Internetplattform verwertet der Beklagte das Video auch wirtschaftlich. Da die Szene aber nur einen kurzen Teil des hochgeladenen Videos darstellt, kann indes nicht von einem schwerwiegenden Eingriff in das Persönlichkeitsrecht gesprochen werden.
  • Schließlich liegt auch kein Fall einer hartnäckigen Rechtsverletzung vor, in dem der Verletzer sich bei der Verwendung von Bildnissen über den ausdrücklich erklärten entgegenstehenden Willen des Verletzten hinweggesetzt hat.

Das OLG Hamm berücksichtigte, dass die Veröffentlichung der Filmsequenz und die damit ausgelöste Beeinträchtigung des Persönlichkeitsrechts des Klägers nicht mehr rückgängig gemacht werden kann. Ebenso kann auch die Verurteilung des Beklagten zur Unterlassung und zur Vernichtung und Löschung des Bild- und Tonmaterials keinen Ausgleich bieten. Darum sollen geringere Anforderungen an die Zubilligung eines Geldentschädigungsanspruchs gestellt werden.

Jedoch ist die veröffentlichte Filmsequenz mangels schwerwiegenden Eingriffs nicht geeignet, die Persönlichkeit des Klägers in ihren Grundlagen zu berühren oder beim Kläger ein Gefühl des Ausgeliefertseins hervorzurufen, welches ein unabweisbares Bedürfnis für eine Geldentschädigung begründen könnte.

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!

Wir erklären, was eine gemeinsame Verantwortlichkeit im Sinne der DS-GVO ist und welche Rechtsfolgen mit ihr einhergehen.

Die gemeinsame Verantwortlichkeit nach Art. 26 DS-GVO

Einführung

Art. 26 Abs. 1 S. 1 Datenschutz-Grundverordnung (DS-GVO) kodifiziert das Rechtsinstitut der gemeinsamen Verantwortlichkeit. Dies ist notwendig, da viele Datenverarbeitungen nicht isoliert von einem Verantwortlichen vorgenommen werden, sondern durch Arbeitsteilung mehrere Stellen mit den betroffenen Daten in Berührung kommen. So soll die betroffene Person, deren personenbezogene Daten verarbeitet werden, jedem Verantwortlichen gegenüber ihre Rechte ausüben können. Eine vergleichbare, unmittelbar geltende europäische Norm existierte bislang nicht. Zwar sah die Datenschutzrichtlinie 95/46/EG eine gemeinsame Verantwortlichkeit in Teilen vor, allerdings benannte sie keine rechtlichen Konsequenzen dieser Verantwortlichkeit. Im BDSG a.F. gab es keinerlei Vorschriften zur gemeinsamen Verantwortlichkeit.

Prominentes Beispiel für die Anwendung von Art. 26 DS-GVO ist die Entscheidung des EuGH C-210/16, wonach der Betreiber einer Facebook-Fanpage gemeinsam mit Facebook für die Verarbeitung der personenbezogenen Daten der Besucher seiner Seite verantwortlich ist. Begründet wurde dies damit, dass der Betreiber durch die von ihm vorgegebenen Informationen für sein Zielpublikum an der Entscheidung über die Zwecke und Mittel der Verarbeitung der personenbezogenen Daten der Besucher seiner Fanpage beteiligt ist. Zum Beispiel kann der Betreiber Informationen über das Alter, Geschlecht,  Beziehungsstatus und berufliche Situation, Lebensstil und Interessen seiner Zielgruppe einholen.

Tatbestandsvoraussetzungen

Eine gemeinsame Verantwortlichkeit liegt nach Art. 26 Abs. 1 S. 1 DS-GVO vor, wenn zwei oder mehr Verantwortliche gemeinsam die Zwecke der und die Mittel zur Datenverarbeitung festlegen. Das heißt, sie müssen tatsächlich Einfluss auf die Entscheidung nehmen können. Inhaltlich geht es um die Entscheidung über den Zweck, also das erwartete oder beabsichtigte Ergebnis, und das Mittel, also die Art und Weise der Zielerreichung, so die Art. 29-Datenschutzgruppe.

Dabei ist es notwendig, dass alle Beteiligten der Datenverarbeitung wesentlich an der Entscheidung über das „Warum“ und das „Wie“ der Datenverarbeitung beteiligt sind und die Zusammenarbeit von den Beteiligten gewollt und ihnen bewusst ist. Das bedeutet, dass eine zufällige Zusammenarbeit der Beteiligten für eine gemeinsame Verantwortlichkeit nicht ausreicht. Maßgeblich ist also die kooperative Determinierung des Ziels der Datenverarbeitung und der Instrumente für diese Verarbeitung der Daten. Dabei ist zu berücksichtigen, dass die Beteiligten sich nicht gleichermaßen an der Entscheidung beteiligen müssen, sondern der Tatbeitrag durchaus unterschiedlich gestaltet sein kann. Das bedeutet, dass das Gesetz den Verantwortlichen verschiedene Möglichkeiten der Zusammenarbeit eröffnet. Die Formulierung „gemeinsam“ bedeutet also nicht gleichermaßen, sondern „zusammen mit“ oder „nicht alleine“.

Abgrenzung von der Auftragsverarbeitung

Die gemeinsame Verantwortlichkeit ist von der Auftragsverarbeitung abzugrenzen. Die Auftragsverarbeitung ist in Art. 28 Abs. 1 DS-GVO geregelt und zeichnet sich dadurch aus, dass es nur aufgrund eines Auftrags vom Verantwortlichen zu einer Datenverarbeitung kommt. Im Unterschied zur gemeinsamen Verantwortlichkeit, bei der alle Beteiligten einen Entscheidungsspielraum haben, kann der Auftragnehmer keinen eigenen Einfluss auf die Datenverarbeitung nehmen. Charakteristisch für die Auftragsverarbeitung ist die Weisungsgebundenheit des Auftragnehmers.

Rechtsfolgen einer gemeinsamen Verantwortlichkeit

Art. 26 Abs. 1 S. 2 DS-GVO normiert die Rechtsfolgen einer gemeinsamen Verantwortlichkeit. Danach müssen die an der Datenverarbeitung Beteiligten eine Vereinbarung treffen, in der sie bestimmen, wer von ihnen welche Verpflichtungen aus der DS-GVO erfüllt. Insbesondere haben sie sich über die Wahrung der Rechte von Betroffenen zu einigen und über die Erfüllung ihrer Informationspflichten aus Art. 13 und 14 DS-GVO.

Besonders hervorzuheben ist Art. 26 Abs. 3 DS-GVO. Die von der Datenverarbeitung betroffene Person kann ihre Rechte gegenüber jedem Verantwortlichen geltend machen. In Art. 82 Abs. 4 DS-GVO hat der Gesetzgeber ausdrücklich eine gesamtschuldnerische Haftung der gemeinsam Verantwortlichen normiert, um die Rechte des Betroffenen zu stärken. Damit kann ein nach der DS-GVO Verantwortlicher sich im Außenverhältnis nicht der Haftung entziehen. Wenn der Betroffene mehreren Verantwortlichen ausgesetzt ist, soll er seine Rechte auch gegenüber allen Verantwortlichen geltend machen können. Steht ein Verantwortlicher nach Art. 82 Abs. 4 DS-GVO für den gesamten Schadensersatz ein, kann er die anderen Verantwortlichen nach Art. 82 Abs. 5 DS-GVO in Regress nehmen.

Unterliegen die an der Datenverarbeitung Beteiligten der gemeinsamen Verantwortung, erfüllen ihre Pflichten aus der DS-GVO aber nicht, so drohen ihnen nach Art. 83 Abs. 4 lit. a DS-GVO Bußgelder bis zu 10 Millionen Euro oder bis zu 2 % des gesamten weltweit erzielten unternehmerisch erzielten Jahresumsatzes.

Abgrenzung der gemeinsamen Verantwortlichkeit von der alleinigen Verantwortlichkeit

Während die gemeinsame Verantwortlichkeit von der Auftragsverarbeitung an recht eindeutigen Kriterien abgegrenzt werden kann, ist die Abgrenzung der gemeinsamen Verantwortlichkeit (Joint Controller) von der alleinigen Verantwortlichkeit etwas kniffliger.

Die Art. 29-Datenschutzgruppe gab eine Einschätzung zur Rechtslage unter der Datenschutz-Richtlinie ab, die jedoch heute teilweise weiter vertreten wird. Diese Auffassung basiert auf einem funktionellen Ansatz. Sehr weit gefasst bedarf es keiner gleichwertigen Beteiligung jedes Verantwortlichen, sondern die Einbindung jedes Beteiligten kann unterschiedlich ausfallen. Des Weiteren reicht nach Ansicht der Art. 29-Datenschutzgruppe auch das alternative Vorliegen von entweder einer gemeinsamen Entscheidung über Zweck oder Mittel der Datenverarbeitung von den an der Verarbeitung Beteiligten zum Bejahen einer gemeinsamen Verantwortlichkeit. Diese Ansicht verstößt aber schon gegen den Wortlaut des Art. 26 Abs. 1 S. 1 DS-GVO. Das Gesetz fordert ausdrücklich die kumulative Entscheidung über den Zweck und die Mittel zur Datenverarbeitung und lässt somit wenig Interpretationsspielraum. Aus diesem Grund überzeugt die sehr weit gefasste Ansicht nicht.

Aus diesem Grund fordert die Gegenseite für die Bejahung einer gemeinsamen Verantwortlichkeit sowohl das gemeinsame Bestimmen eines Zweck und der Mittel. Das kann sowohl aus Art. 26 Abs. 1 S. 1 DS-GVO, als auch aus Erwägungsgrund 79 der DS-GVO abgeleitet werden. Diese insgesamt doch engere Auslegung entspricht auch der effektiven Umsetzung der DS-GVO. Für eine eindeutige Rechtsklarheit muss die Grenze zwischen der gemeinsamen und der einzelnen Verantwortlichkeit deutlich sein. Eine recht weite Auslegung würde jedoch dazu führen, dass die Grenze verschwimmt, was wiederum zu einer Rechtsunsicherheit führen würde. Damit müssen die Beteiligten sowohl über Zweck als auch Mittel entschieden haben. Der Telos, der in erster Linie der umfassende Schutz der betroffenen Person ist, wird sowohl bei einer gemeinsamen als auch bei einer alleinigen Verantwortlichkeit durch die DS-GVO umfassend gewahrt und damit nicht ausschlaggebend ist.

Fazit

Damit ist festzuhalten, dass zunächst die Eigenschaft als Verantwortlicher nach Art. 4 Nr. 7 DS-GVO zu prüfen ist. Kann diese bejaht werden, so muss nach Art. 26 Abs. 1 S. 1 DS-GVO die Beziehung der an der Datenverarbeitung Beteiligten und damit die gemeinsame Verantwortlichkeit nachvollzogen und überprüft werden.

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!

Alles rund um die EU-Standardvertragsklauseln: die Unterscheidung im Verhältnis Controller-Controller und Controller-Prozessor sowie die Neuerungen durch die DS-GVO

E-Evidence-Verordnung

Die EU-Standardvertragsklauseln zur Datenverarbeitung

Zum Hintergrund 

Mit der fortschreitenden Übermittlung von Daten von einem europäischen Unternehmen an ein in einem Drittland niedergelassenen Unternehmen im Rahmen der Globalisierung steigt auch das Interesse an der Einhaltung eines angemessenen Datenschutzniveaus, angelehnt an den europäischen Datenschutz. Aufgrund der Vermutung, dass Drittländer kein ausreichendes, den europäischen Vorgaben entsprechendes Datenschutzniveau erfüllen, sofern die EU-Kommission für das jeweilige Drittland kein angemessenes Datenschutzniveau anerkannt hat, entwickelte man verschiedene Instrumente, die Vertragsparteien in ihre Vereinbarungen aufnehmen können, um ein angemessenes Datenschutzniveau herzustellen, da die Datentransfers andernfalls unzulässig wären. 

Die Standardvertragsklauseln 

Eins dieser Instrumente sind die Standardvertragsklauseln, die in drei verschiedene Versionen genutzt werden können. Zum einen gibt es zwei verschiedene Standardvertragsklauseln für die Datenübermittlung zwischen für die Verarbeitung Verantwortlichen (Controller-Controller-Transfer), die sich in der Haftung, Bindung an aufsichtsbehördliche Hinweise und die Gestaltungs- bzw. Ergänzungsspielräume unterscheiden, und die Standardvertragsklauseln für die Datenübermittlung zwischen für die Verarbeitung Verantwortlichen und nach deren Weisung handelnden Auftragsdatenverarbeitern (Controller-Prozessor-Transfer). Die Identität der Vertragsparteien ist also für die Auswahl der Standardvertragsklauseln entscheidend. Die Standardvertragsklauseln ersetzen jedoch nicht die vertragliche Vereinbarung zwischen den Parteien, sondern ergänzen sie um eine gesonderte Vereinbarung. 

Set II: Controller-Controller 

Das Modell „Set II“ der Standardvertragsklauseln (2004/915/EG) für das Verhältnis zwischen zwei Controllern, wurde von mehreren Wirtschaftsverbänden als sogenannte „alternative Standardvertragsklauseln“ entworfen und der Europäischen Kommission zur Genehmigung vorgelegt. Im Ergebnis ist auffällig, dass das Set II den Erfordernissen der Wirtschaft deutlich besser Rechnung trägt und somit gegenüber Set I vorzugswürdig ist. 

Ein Controller-to-Controller-Verhältnis liegt vor, wenn es eine Datenübermittlung zwischen zwei verantwortlichen Stellen gibt. Der Datenimporteur hat, im Gegensatz zum Auftragsdatenverarbeiter, eine Entscheidungsbefugnis in Bezug auf den Zweck und die Art der Datenverarbeitung. 

Set II wurde entwickelt, um die Wirtschaftsteilnehmer zur intensiveren Nutzung von Vertragsklauseln zu veranlassen, womit man für den Adressat attraktive Veränderungen schuf. Zu den Unterschieden im Vergleich zu Seit I gehören im Einzelnen flexiblere Prüfungspflichten und eine präzisere Regelung des Auskunftsrechts. Anders als Set I, das eine gesamtschuldnerische Haftung vorsieht, regelt Set II ein anderes Haftungssystem, bei dem auf die Sorgfalt abzustellen ist und nach dem sowohl der Datenexporteur als auch der Datenimporteur für die Verletzung ihrer jeweiligen Vertragspflichten haften. Zudem trifft den Datenexporteur ein Auswahlverschulden: er muss sich nach Klausel 1 lit. b des Standardvertrags (2004/915/EG) im Rahmen des Zumutbaren davon überzeugen, dass der Datenimporteur seine Rechtspflichten aus diesen Klauseln erfüllen kann. Ferner treffen den Datenexporteur weitere Pflichten in Bezug auf die Beschwerdeabhilfe des Drittbegünstigten. Diese Pflichten zeichnen sich in der Kontaktaufnahme zum Datenimporteur und in der Durchsetzung der Einhaltung der Vertragspflichten nach Klausel 1 lit. e nieder. Dem Betroffenen stehen ebenfalls Rechte der Rechtsverfolgung bei Nichteinhaltung der vertraglichen Pflichten durch den Datenexporteur und –importeur zu. 

Zum Ausgleich dieser für die Vertragspartner attraktiven Flexibilität und zur Verhinderung möglichen Missbrauchs regeln das Vertragswerk aber ein leichteres Verbot oder Aussetzung von Datenübermittlungen durch die Datenschutzkontrollen im Falle der Weigerung des Datenexporteurs zur Durchsetzung von Vertragspflichten oder der Weigerung des Datenimporteures zur redlichen Zusammenarbeit mit den Datenschutzkontrollen. 

Werden allerdings Mitarbeiterdaten an eine andere verantwortliche Stelle im Ausland übermittelt, ist die Verwendung des „Set II“ bezüglich der Übermittlung von Personaldaten nicht ausreichend. Begründet wird das damit, dass das datenexportierende Unternehmen nicht für Schäden einsteht, die die datenimportierende Stelle verursacht und zusätzlich besteht für den Datenexporteur die Option, die Beantwortung von Anfragen Betroffener auf den Datenimporteur zu übertragen. Der Arbeitgeber als Datenexporteur kann in dieser Konstellation aber für den Arbeitnehmer als Betroffenen nicht als umfassender Ansprechpartner fungieren, wofür aber letzterer ein schutzwürdiges Bedürfnis hat. Daher empfehlen wir, mit dem Datenimporteur in dieser Konstellation eine Ergänzungsvereinbarung zu treffen, sofern bei der Datenübermittlung an ein Unternehmen im Ausland Personaldaten betroffen sind. Alternativ kann als Lösung auch „Set I“ gewählt werden. 

Set I: Controller-Controller 

Im Gegensatz zu Set II liegt dem Set I eine gesamtschuldnerische Haftung zu Grunde. Gegenüber dem Betroffenen haften Datenexporteur und Datenimporteur für Schäden aufgrund jeglicher Verletzung der Bestimmungen, die der Begünstigtenklausel nach Klausel 3 unterliegen. Der Betroffene kann sowohl gegen den Datenexporteur, den –importeur als auch gegen beide vorgehen und Schadensersatz aufgrund eines Schadens wegen einer vertraglichen Pflichtverletzung verlangen. Der Datenexporteur unterliegt der Pflicht, den Betroffenen über die Datenübermittlug in ein Drittland ohne angemessenen Datenschutz in Kenntnis zu setzen und seine Anfragen diesbezüglich zu beantworten. Diese Beantwortungspflicht trifft auch den Datenimporteur, wenn sich der Betroffene an ihn wendet. 

Controller-Prozessor 

Die Controller-Prozessor-Standardvertragsklauseln sind heranzuziehen, wenn das EU-Unternehmen verantwortliche Stelle ist, der Datenimporteur aber Auftragsdatenverarbeiter. Das ist dann der Fall, wenn der Datenimporteur die Daten nur im Auftrag und nach den Weisungen des Datenexporteurs verarbeitet. Als Beispiele gelten in der Regel Call-Center, Cloud-Computing-Anbieter, externe IT-Admins, Marketingagenturen und externe Personalagenturen. 

Bei der Auftragsdatenverarbeitung findet eine Art „Einverleibung“ des Auftragnehmers in das Datenschutzkonzept des Auftraggebers statt, so dass der Datenimporteur beispielsweise die Daten lediglich mit vorheriger Einholung einer schriftlichen Einwilligung des Datenexporteurs weitergeben kann. Er bleibt an die Weisungen des Datenexporteurs gebunden. Es ist die Pflicht des Datenexporteurs, den Datenimporteur zu einer dem anwendbaren Datenschutzrecht und den Klauseln entsprechenden Datenverarbeitung anzuweisen. Zudem bleibt die Haftung in erster Linie bei dem Auftraggeber. Auch hier trifft den Datenexporteuer eine Informationspflicht des Betroffenen sowie eine Beantwortungspflicht von Datenexporteur und –importeur hinsichtlich Anfragen des Betroffenen. 

Das Werk der Standardvertragsklauseln kann in drei Teile unterteilt werden. Zunächst kommen die eigentlichen Standardvertragsklauseln, dann folgt der erste Anhang mit Angaben zu der konkreten Datenverarbeitung und ein zweiter Anhang mit Beschreibungen der technischen und organisatorischen Maßnahmen des Datenimporteurs schließt die Standardvertragsklauseln. Optional kann ein dritter Anhang über die Erfüllung des nationalen Rechts hinzugefügt werden. 

Die Neuerung der DS-GVO 

Die Datenschutz-Grundverordnung (DS-GVO), die ab dem 25. Mai 2018 gilt, sieht zudem die Möglichkeit neuer, speziell für die Auftragsverarbeitung vorgesehener Standardvertragsklauseln vor. Nach Art. 28 Abs. 7, 8 DS-GVO hat die EU-Kommission dazu die Erlass-Befugnis, sowie auch eine Aufsichtsbehörde im Einklang mit dem Kohärenzverfahren. 

Die von Art. 28 DS-GVO benannten Standardvertragsklauseln sind nicht die bislang existierenden, allgemein bekannten Standardvertragsklauseln, sondern vollkommen neue, jedoch wurden sie noch nicht von der dafür zuständigen Stele erlassen. 

Den Parteien bleibt es künftig überlassen, die Standardvertragsklauseln überhaupt, komplett oder nur teilweise für ihre vertraglichen Vereinbarungen heranzuziehen. Somit sind für die Vertragsparteien auch individualvertragliche Vereinbarungen möglich. Die Verantwortlichen haben sicherzustellen, einen ausreichenden Datenschutz einzuhalten und gegen keine Regelungen der DS-GVO zu verstoßen. 

Die Neuerung in der DS-GVO schafft die Möglichkeit weitergehender standardisierter Prozesse und Verarbeitungen. Beispiele dafür können Cloud-, Hosting- und Infrastrukturdienste oder Software-as-a-Software-Angebote sein. Die Heranziehung von Standardvertragsklauseln als einfache anerkannte Vertragsklauseln schafft einen ausgewogenen und datenschutzfreundlichen Rahmen sowohl für die Verantwortlichen als auch für die Betroffenen. 

Zuständig für den Erlass dieser Standardvertragsklauseln sind gemäß Art. 28 Abs. 8 DS-GVO die Aufsichtsbehörde im Einklang mit dem Kohärenzverfahren nach Art. 63 DS-GVO, und gemäß Art. 28 Abs. 7 DS-GVO die EU-Kommission im Einklang mit dem Prüfverfahren nach Art. 93 Abs. 2 DS-GVO. Die Bindung an das Kohärenz- und Prüfverfahren hat jedoch als Folge, dass es aufwändiger europaweiter Abstimmungen bedarf. Somit wird es wohl noch etwas länger dauern, bis man sich auf endgültig einsatzbare Standardvertragsklauseln einigt. 

Die bislang bekannten Standardvertragsklauseln wird es künftig unter dem Namen „Standarddatenklauseln“ weiter geben. Diese bleiben auch in ihrer konkreten Ausgestaltung so bestehen, sollte der Europäische Gerichtshof, der momentan über das Kriterium der ausreichenden Garantie hinsichtlich des Schutzes der Privatsphäre für Übermittlungen personenbezogener Daten in Drittländer und damit der Tauglichkeit der Standardvertragsklauseln zur Erfüllung ihres Zwecks, nicht die Untauglichkeit feststellt. Eine Kollision neuer Standardvertragsklauseln ist insofern ausgeschlossen, dass die in den Neuerungen erfasste Konstellation nicht von den bislang vorhandenen Standardvertragsklauseln abgedeckt ist wie die neue Möglichkeit von Standarddatenschutzklauseln für die Übermittlung durch Auftragsverarbeiter.

 

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!

Wir gehen näher darauf ein, was im Fall einer Datenpanne zu beachten ist und welche Meldepflichten bestehen.

Das richtige Vorgehen bei einer Datenpanne

Einführung 

Für Unternehmen stellt sich bei Eintritt einer Datenpanne die Frage, welche Maßnahmen zu ergreifen sind, um sich gesetzeskonform zu verhalten. Unternehmen sind im Falle des Vorliegens einer Datenpanne grundsätzlich verpflichtet die Aufsichtsbehörde in Kenntnis zu setzen. Ihnen obliegt damit eine Meldepflicht nach Art. 33 DS-GVO. Wir möchten Sie darüber informieren, wann Unternehmen der Meldepflicht zwingend nachkommen müssen, in welchen Fällen eine Information der Aufsichtsbehörde genügt und wann zusätzlich der Betroffene selbst informiert werden muss. Für Unternehmen ist dabei auch die Frage relevant, ob und wenn ja, welche Ausnahmen von dieser Meldepflicht bestehen. 

Nach Art. 4 Nr. 12 DS-GVO liegt eine Verletzung des Schutzes personenbezogener Daten dann vor, wenn eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden. Art. 4 Nr. 12 DS-GVO umfasst dabei beispielsweise Datenpannen, Datenlecks oder Datendiebstahl. 

Die nachfolgenden Schritte sind von Unternehmen im Falle einer Datenpanne vorzunehmen und dienen als Leitfaden. Eine Prüfung im Einzelfall kann dadurch selbstverständlich nicht ersetzt werden. 

Bewertung der Datenpanne 

Zunächst muss eine Bewertung der Datenpanne erfolgen. Im Rahmen dieser Bewertung durch die Mitarbeiter und den Datenschutzbeauftragten liegt der Schwerpunkt auf der Analyse des Risikos für die Rechte der Betroffenen. Hierbei spielen insbesondere die Kategorie der betroffenen Daten und die Art der Verletzung eine entscheidende Rolle. Der Schweregrad der Datenpanne ist ausschlaggebend für das weitere Vorgehen des Unternehmens. Je höher das Risiko für den Betroffenen, z.B. im Falle von besonders sensiblen Daten oder eine großen Menge an betroffenen Daten, desto mehr muss das Unternehmen auch unternehmen, um die Datenpanne zu beheben bzw. das Risiko bestmöglich einzugrenzen. 

Entscheidung über die Meldung der Datenpanne 

Zur Klärung der Frage, wann die Datenpanne bei der Aufsichtsbehörde als auch bei dem Betroffenen selbst gemeldet werden muss, wird Art. 33 DS-GVO angesetzt. Die Meldepflichten wurden durch die DS-GVO erheblich verschärft. Es ist zu differenzieren zwischen der erforderlichen Meldung an die Aufsichtsbehörde nach Art. 33 DS-GVO und der Meldung an den Betroffenen nach Art. 34 DS-GVO. 

Art. 33 DS-GVO 

Es muss gem. Art. 33 Abs. 1 DS-GVO jede Verletzung des Schutzes personenbezogener Daten unverzüglich der zuständigen Aufsichtsbehörde gemeldet werden. Unverzüglich bedeutet in diesem Zusammenhang binnen 72 Stunden, nachdem dem Verantwortlichen die Verletzung bekannt geworden ist. Dem Auftragsverarbeiter obliegt hingegen keine Meldepflicht gegenüber der Aufsichtsbehörde. Er ist nach Art. 33 Abs. 2 DS-GVO nur dann zu einer unverzüglichen Meldung an den Verantwortlichen verpflichtet, wenn ihm eine Verletzung des Schutzes personenbezogener Daten bekannt wird. Eine Ausnahme von der Meldepflicht an die Aufsichtsbehörde besteht nur dann, wenn die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten von natürlichen Personen führt. Hier ist entsprechend ebenfalls wieder die bereits durchgeführte Risikoanalyse maßgeblich. Zu beachten ist hierbei aber das Regel-Ausnahme-Verhältnis der gesetzlichen Regelung, so dass ein strenger Maßstab für das Absehen einer Meldung angelegt werden muss. 

Art. 34 DS-GVO 

Nach Art. 34 Abs. 1 DS-GVO obliegt dem Unternehmen zusätzlich eine unverzügliche Informationspflicht an die betroffene Person, wenn die Datenpanne mit einem „hohen Risiko“ für die persönlichen Rechte und Freiheiten der Person verbunden ist . Die Beurteilung, ob tatsächlich ein Risiko vorliegt, ist anhand des Risikokatalogs in Erwägungsgrund 75 der DS-GVO vorzunehmen. Die DS-GVO definiert nicht wann ein „hohes Risiko“ vorliegt. Ein solches ist aber dann anzunehmen, wenn mit hoher Wahrscheinlichkeit ein Schaden für die Rechte und Freiheiten der natürlichen Person droht. 

Eine Informationspflicht an die betroffene Person ist nach Art. 34 DS-GVO jedoch dann entbehrlich, wenn die dort genannten Bedingungen erfüllt sind. Hat der Verantwortliche nach Art. 34 Abs. 1 DS-GVO geeignete technische und organisatorische Sicherheitsvorkehrungen getroffen und diese auch auf die von der Verletzung betroffenen Daten angewandt, (Beispiel: hinreichende Verschlüsselung) so ist eine Benachrichtigung der betroffenen Person nicht erforderlich. 

Der Unterschied zwischen Art. 33 und Art. 34 DS-GVO besteht also eindeutig in dem Grad des Risikos, der zu einer Informationspflicht führt. 

Die Meldung muss dabei die in Art. 33 Abs. 3 DS-GVO genannten Informationen enthalten. Hierzu zählen unter anderem die Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, als auch die Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten. 

Dokumentation von Datenpannen 

Unter DS-GVO müssen gem. Art. 33 Abs. 5 DS-GVO alle Datenpannen dokumentiert werden. Abschließend ist festzuhalten, dass mit der DS-GVO eine Meldung an die Aufsichtsbehörde viel häufiger erfolgen muss als bisher. Um einen Verstoß gegen die DS-GVO zu vermeiden ist es für Unternehmen unabdingbar ihre Mitarbeiter rechtzeitig zu informieren und gleichzeitig Meldeprozesse einzuführen, die zum schnellen Erkennen einer Datenpanne beitragen. Dies ist insbesondere vor dem Hintergrund ratsam, dass ein Verstoß gegen Art. 33 DS-GVO nach Art. 83 Abs. 4a DS-GVO mit einem Bußgeld von bis zu 10.000.000 € oder 2 % des weltweit erzielten Jahresumsatzes des vorangegangen Geschäftsjahres bedroht. Es kommt dabei darauf an, welche Zahl höher ist.

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!

Wir erläutern, ob eine bereits veröffentlichte Fotografie einer Website für eigene Zwecke genutzt werden kann.

Zugänglichmachung einer bereits online unbeschränkt veröffentlichten Fotografie auf anderer Website

 

Einführung

Der Europäische Gerichtshof hat mit seinem Urteil vom 07.08.2018 (C- 161/17) über die Frage entschieden, ob bei Veröffentlichung einer frei zugänglichen Fotografie auf einer anderen Website das Einverständnis des Urhebers einzuholen ist. In dem zugrunde liegenden Sachverhalt hatte eine Schülerin ein auf dem Internetportal eines Reisemagazins veröffentlichtes Foto heruntergeladen, um dieses  zur Veranschaulichung in einem Schulreferat zu verwenden. Die Schule veröffentlichte das Referat im Anschluss an die Präsentation inklusive des in Rede stehenden Fotos auf der Website der Schule. Der Fotograf des Bildes entdeckte die Veröffentlichung seines Fotos auf der Schulwebseite und erhob Klage gegen das Land NRW als Träger der Schule auf Unterlassung und Schadensersatz.

Art. 3 der Richtlinie 2001/29/EG

Entscheidend für die Beantwortung der maßgeblichen Frage nach der Erforderlichkeit der Einwilligung ist Art. 3 der Richtlinie 2001/29/EG. Art. 3 RL 2001/29/EG verweist darauf, dass den Urhebern das ausschließliche Recht zusteht, die drahtgebundene oder drahtlose öffentliche Wiedergabe ihrer Werke einschließlich der öffentlichen Zugänglichmachung der Werke zu erlauben oder zu verbieten.

Zentrales Stichwort ist hierbei die öffentliche Zugänglichmachung der Werke. Nach Auffassung des Gerichtshofs enthält der Begriff der öffentlichen Zugänglichmachung zwei kumulative Tatbestandsvoraussetzungen. Einmal die „Handlung der Wiedergabe“ eines Werks und dessen „öffentliche Wiedergabe“. Eine Handlung der Wiedergabe liegt grundsätzlich vor, wenn ein Werk der Öffentlichkeit zugänglich gemacht wird. Es kommt dabei auf die Möglichkeit der Kenntniserlangung an.

Vorliegend hat die Schule diese Zugänglichmachung des Fotos durch die Veröffentlichung des Fotos auf der Website vorgenommen. Die Vornahme dieser Handlung obliegt jedoch dem Fotografen als Urheber des Werkes. Wie im aktuellen Fall liegt die erforderliche „Zugänglichmachung“ häufig darin, dass ein Foto von einer Website wiederum auf einer anderen Website veröffentlicht wird.

Eine Zugänglichmachung ist in diesem Fall gerade aufgrund der Tatsache anzunehmen, dass durch die Veröffentlichung des Werks auf einer anderen Webseite auch ein „neues“ Publikum Zugang hat, welches der Urheber des Werks bei seiner Veröffentlichung nicht als Zielpublikum anvisiert hatte.

Rechtslage zum Hyperlinking – Abgrenzung zum vorliegenden Fall

Zur vollständigen Erfassung und Verständnis des hier präsentierten EuGH-Urteils ist die Darstellung der Rechtsprechung des Gerichts zum Hyperlinking unabdingbar. Die Rechtsprechung weicht in diesem Bereich nämlich grundlegend von der hier im Fokus stehenden Entscheidung ab. Gelangt der Besucher einer Website durch Klicken auf einen Hyperlink auf ein Foto, so ist dieser Nutzer als möglicher zukünftiger Adressat des ursprünglichen Fotos (Wiedergabe) einzuordnen. Demnach liegt hierin gerade keine Zugänglichmachung an ein neues Publikum. In der Nutzung eines solchen Links liegt damit gerade nicht die Wiedergabe an ein vom ursprünglich anvisierten abweichenden neuen Publikum. Vorliegend liegt der Fall anders.   

Das zur Veranschaulichung des Referats verwendete Foto wurde auf der Website der Schule hochgeladen. Hierin liegt nach Auffassung des EuGH der wesentliche Unterschied zur Verwendung eines Hyperlinks. Als entscheidend sah das Gericht die Tatsache an, dass der Rechtsinhaber des Urheberrechts die Kontrolle über die Art und Weise der Verwendung verliert. Die sonst das Urheberrecht gerade mitkennzeichnende Kontrolle durch den Urheber im Hinblick auf den Umgang des Werks sei somit nicht mehr gewährleistet.

Der EuGH wies darauf hin, dass dem Urheber des Fotos die Möglichkeit der Kontrolle der jeweiligen Verwendung des Fotos entzogen wird. Maßgeblich ist hierbei insbesondere der Fakt, dass dem Urheber beim Wunsch nach einer Entfernung des Bildes aus dem Internet, sprichwörtlich die Hände gebunden sind. Bei einem Hyperlink gestaltet sich dies anders. Wird dieser entfernt, so ist ein späterer Zugriff auf das Bild nicht mehr möglich.

Fazit

Auch wenn dieses ausschließliche Recht dem Urheber obliegt, stellt sich die Frage, inwieweit hier das Herunterladen und die anschließende Veröffentlichung des Fotos zur visuellen Unterstützung einer schulischen Leistung, im Rahmen der Entscheidung Beachtung finden muss. Relevant sind hier unter anderem der Schutz des geistigen Eigentums aus Art. 17 Abs. 2 GRCh, als auch die in Art. 11 GRCh verankerte Freiheit der Meinungsäußerung und Informationsfreiheit. Das in Art. 14 GRCh verankerte Recht auf Bildung ist ebenfalls von Bedeutung.

Der EuGH bestätigte im Rahmen des Vorabentscheidungsverfahrens die Entscheidung des BGH und nahm auch eine Urheberrechtsverletzung an. Das Urteil des EuGH zeigt, dass das Urheberrecht eines großen Schutzes bedarf. In Anbetracht der Digitalisierung und der hiermit einhergehenden Möglichkeit der schnellen Verbreitung von Inhalten im Internet verdient der Urheber eines Werks den größtmöglichen Schutz.

Auch wenn eine Betroffenheit der aufgeführten Grundrechte zweifelsfrei zum Teil gegeben ist, so kann ein Ausgleich nur durch Einbeziehung der Bildungs- und Wissenschaftsschranke in Art. 5 Abs. 3 lit. a InfoSoc-RL 2001/29 gelöst werden. Schulen können sich hierauf berufen und darauf hoffen, dass eine Veröffentlichung im Rahmen von schulischen Angeboten nicht ausgeschlossen wird.

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!

Wir beleuchten das Urteil des LG Würzburg zur Zulässigkeit einer wettbewerbsrechtlichen Mahnung bei einem DS-GVO-Verstoß.

Zulässigkeit einer wettbewerbsrechtlichen Abmahnung bei einem DS-GVO Verstoß

Einführung

Im vorliegenden Fall hatte das Landgericht (LG) Würzburg eine Rechtsanwältin auf Unterlassung verurteilt. Untersagt wurde ihr damit der Betrieb einer unverschlüsselten Kanzlei-Homepage mit unzureichender Datenschutzerklärung. Die von der Beklagten vorgenommene 7-zeilige Datenschutzerklärung erachtete das Gericht als nicht ausreichend. Die nach Art. 13 der Datenschutz-Grundverordnung (DS-GVO) erforderlichen Angaben hatte die Anwältin nicht gemacht, woraufhin sie von einem Rechtsanwalt abgemahnt wurde. Es fehlte beispielsweise die Angabe des datenschutzrechtlich Verantwortlichen, wie es Art. 13 DS-GVO fordert. Das Gericht wies zudem ausdrücklich auf die Notwendigkeit einer Verschlüsselung für solche Websites hin, welche eine Datenverarbeitung vornehmen. Das Gericht sah die unzureichende Datenschutzerklärung, als auch die fehlende Verschlüsselung der Homepage, als Verstöße gegen die DS-GVO an.

Lange Zeit war ungeklärt, ob eine Abmahnung aufgrund eines Datenschutzverstoßes durch einen Konkurrenten rechtmäßig ist. Über diese Rechtsfrage hat das LG Würzburg mit Beschluss vom 13.9.2018 (Az.: 11 O 1741/18 UWG) entschieden.

Unzureichende Datenschutzerklärung als abmahnbarer Wettbewerbsverstoß

Mit Geltung der DS-GVO gewinnt dieser schon länger bestehende Streit an großer Bedeutung für die Praxis. Grundsätzlich besteht bei Verstößen gegen die DS-GVO nach Art. 83 Abs. 5 DS-GVO zugunsten der Aufsichtsbehörden die Möglichkeit, Bußgelder zu verhängen. Betroffene können seit dem 25.05.2018 unter den Voraussetzungen des Art. 82 DS-GVO Schadensersatz geltend machen.

Wettbewerbern kann zusätzlich das Mittel der Abmahnung zur Verfügung stehen. Diese ist jedoch gerade nicht im Datenschutzrecht verankert. Das Instrument der Abmahnung fällt vielmehr in den Bereich des Wettbewerbsrechts, mit der Folge, dass ein Verstoß gegen das UWG vorliegen muss. Ein Datenschutzverstoß allein ist also nicht ausreichend.

Im Fokus der Entscheidung steht also die Frage, ob eine unzureichende Datenschutzerklärung als abmahnbarer Wettbewerbsverstoß qualifiziert werden kann. Ein Verstoß gegen das Datenschutzrecht kann den Tatbestand des unlauteren Handelns nach § 3a UWG erfüllen. Entsprechend des Wortlauts liegt ein unlauteres Handeln vor, wenn die betreffende Person einer gesetzlichen Vorschrift zuwiderhandelt, die auch dazu bestimmt ist, im Interesse der Marktteilnehmer das Marktverhalten zu regeln, und der Verstoß geeignet ist, die Interessen von Verbrauchern, sonstigen Marktteilnehmern oder Mitbewerbern spürbar zu beeinträchtigen. Eine solche Beeinträchtigung ist zu bejahen, wenn die konkrete Datenverarbeitung eine gewisse Kommerzialisierbarkeit der Daten umfasst.

Voraussetzungen für Abmahnung durch Mitbewerber (Bisheriger Streitstand)

Eine Abmahnung durch Mitbewerber i.S.d. § 8 Abs. 3 Nr. 2 UWG setzt voraus, dass ein Verstoß gegen eine Norm gegeben ist, welche gleichzeitig auch als eine sog. Marktverhaltensregelung qualifiziert werden kann.

Schon vor Inkrafttreten des BDSG neu bestand keine Einigkeit darüber, ob datenschutzrechtliche Normen als Marktverhaltensregelungen i.S.d. UWG einzuordnen sind, so dass ein Verstoß wettbewerbsrechtlich abgemahnt werden könnte.

Als Hauptargument wird von der Gegenseite angeführt, dass diese Normen gerade nicht dem Schutz der Marktteilnehmer dienten. Die DS-GVO schütze nach Art. 1 Abs. 1 DS-GVO primär natürliche Personen bei der Verarbeitung personenbezogener Daten. Sinn und Zweck sei demnach einzig der Schutz des Persönlichkeitsrechts.

Nach Ansicht der Befürworter bestehe die Funktion des Datenschutzrechts auch in der Regelung des Marktverhaltens. Es sei im Rahmen der Verarbeitung personenbezogener Daten ein Zusammenhang mit wettbewerbsrechtlichen Interessen zu beobachten. Ein Wettbewerbsbezug sei demnach ohne Zweifel gegeben.

Eine weitere Ansicht präferiert eine dem Einzelfall gerecht werdende Prüfung dahingehend, ob die betreffende Datenschutznorm als Marktverhaltensregel anzusehen ist. Die Oberlandesgerichte gingen insoweit von einem gemeinsamen Anwendungsbereich des Datenschutz- und Wettbewerbsrechts aus. Das OLG Köln bejaht das Vorliegen einer Marktverhaltensregel, wenn das geschützte Interesse gerade durch die Marktteilnahme tangiert wird.

Das LG Würzburg bezieht sich im Rahmen der Urteilsbegründung lediglich auf die Rechtsprechung des OLG Köln und bejaht damit die Abmahnfähigkeit im vorliegenden Fall. Das Gericht stuft die verletzten Normen der DS-GVO als Marktverhaltensregeln ein, ohne eine detaillierte Begründung zu liefern. Auf den oben dargestellten Meinungsstreit ist das Gericht in seiner Begründung leider nicht eingegangen, obwohl dies vor dem Hintergrund der nun geltenden DS-GVO vielenorts erhofft wurde.

Fazit

Die Entscheidung ist für alle Marktteilnehmer von hoher Relevanz, die eine Website betreiben oder auf eine andere Art und Weise eine Verarbeitung personenbezogener Daten vornehmen. Nicht jeder Verstoß gegen die DS-GVO stellt auch tatsächlich einen abmahnfähigen Verstoß im Bereich des Wettbewerbsrechts dar. Nichtsdestotrotz sind Marktteilnehmer angehalten, ihre Websites entsprechend den Vorgaben der DS-GVO zu gestalten. Im Falle einer fehlerhaften Datenschutzerklärung ist eine sofortige Korrektur dringend zu empfehlen.

Entwicklungsstand des Gesetzesvorhabens gegen missbräuchliche Abmahnungen

Um die dargestellten Unklarheiten und den daraus resultierenden Streitstand zu beseitigen, wurde die Bundesregierung durch den Bundestag dazu aufgefordert, ein Gesetz zu erarbeiten, das den Abmahnmissbrauch eindämmen soll.

Der – bislang noch nicht veröffentlichte – Gesetzesentwurf des Bundesjustizministeriums soll hierzu mehrere Maßnahmen vorsehen:

  • Demnach sollen nur noch solche Mitbewerber klagebefugt sein, die „in nicht unerheblichem Maße ähnliche Waren und Dienstleistungen vertreiben oder nachfragen“.
  • Künftig sollen Wirtschaftsverbände klageberechtigt sein, wenn sie sich in eine Liste „qualifizierter“ Verbände haben eintragen lassen. Voraussetzung ist, dass sie mindestens 50 Mitgliedsunternehmen haben, die „Waren oder Dienstleistungen gleicher oder verwandter Art auf demselben Markt vertreiben“.
  • Durch eine Deckelung des Streitwerts in Höhe von 1.000 Euro soll der finanzielle Anreiz für Abmahnungen gesenkt werden.
  • Die Abschaffung des fliegenden Gerichtsstands soll verhindern Gerichte auszuwählen, die möglichst weit vom Beklagten entfernt sind und als Abmahner-freundlich gelten.
  • Die Abmahner sollen zudem verpflichtet werden, nachvollziehbar und verständlich darzulegen, welche Berechnungskriterien sie für die Aufwands- und Schadensersatzansprüche hinzugezogen haben.
  • Der Entwurf verschärft außerdem die inhaltlichen Vorgaben an die Gestaltung einer Abmahnung. Hält der Abmahnende diese Vorgaben nicht ein, so hat er keinen Anspruch auf Ersatz seiner Aufwendungen und der Abgemahnte könne Gegenansprüche stellen. Es muss ersichtlich sein, welches ganz konkrete Verhalten dem Abgemahnten vorgeworfen wird und warum dieses zu einer Rechtsverletzung führt.

Das Bundesjustizministerium sieht in der Verschärfung der Anforderungen an die Klagebefugnis eine wirksame Maßnahme den Missbrauch von Abmahnungen einzudämmen. Leider soll der geplante Gesetzesentwurf keinen Schutz vor Abmahnungen bei Verletzungen der DS-GVO bieten. Dies wird vom Bundeswirtschaftsministerium und dem Bundesinnenministerium kritisiert. Nach deren Auffassung sind Abmahnungen bei DS-GVO-Verstößen unzulässig. Sie setzen sich für eine entsprechende Klarstellung im Gesetz ein, was aber vom Bundesjustizministerium bislang verweigert wird.

Im Folgenden erleutern wir, was unter einem immateriellen Schaden zu verstehen ist und inwieweit Schadenserstaz für sie geleistet wird.

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!

Wir beleuchten das Recht auf Vergessenwerden aus Art. 17 DS-GVO.

Löschung personenbezogener Daten

Einführung

Seit 25. Mai 2018 gilt die neue Datenschutz-Grundverordnung (DS-GVO). Seitdem müssen Unternehmen alle Maßnahmen getroffen haben, die zur Umsetzung der Datenschutzgrundverordnung erforderlich sind. Hierzu zählt insbesondere die Erstellung eines Konzepts zur Löschung personenbezogener Daten. „Löschen“ bedeutet die Unkenntlichmachung gespeicherter personenbezogener Daten. In Art. 17 der DS-GVO verankert ist zudem das sog. Recht auf Löschung („Recht auf Vergessenwerden“), welches als eines der Hauptmotive für die Entstehung der DS-GVO gilt. In Ergänzung zur DS-GVO hat der nationale Gesetzgeber mit § 35 des neuen Bundesdatenschutzgesetzes (BDSG) Gebrauch von der in der DS-GVO vorgesehenen Öffnungsklausel gemacht. Allerdings gehen die Tatbestände des Art. 17 DS-GVO über die des § 35 BDSG hinaus. Unternehmen müssen nun also abhängig vom Ort der Verarbeitung prüfen, wann welche Daten einer Löschung bedürfen. Seit Mai können für die Nichteinhaltung dieser Pflicht Bußgelder von bis zu 4% des gesamten weltweit erzielten Jahresumsatzes oder bis zu 20 Millionen Euro angeordnet werden. Parallel können Betroffene nach Art. 82 Abs. 1 DS-GVO einen Anspruch auf Schadensersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter haben. Die Umsetzung des Art. 17 DS-GVO ist damit auch vor dem Hintergrund der drohenden Konsequenzen im Falle der Nichtbeachtung unumgänglich.

Art. 17 Abs. 1 DS-GVO

Nach Art. 17 Abs. 1 DS-GVO hat die betroffene Person ein Recht auf Löschung ihrer personenbezogenen Daten, wenn eine der Voraussetzungen des Art. 17 Abs. 1 DS-GVO vorliegt. Dabei gilt das Recht auf Löschung als Kernrecht eines umfassenden Rechts auf Vergessenwerden (Abs. 2). Eine Löschung kann verlangt werden, wenn die Daten für den Zweck, für den sie erhoben wurden, nicht mehr notwendig sind (Art. 17 Abs. 1 lit. a). Ein Löschungsbegehren ist darüber hinaus auch dann begründet, wenn die betroffene Person ihre Einwilligung widerruft (Art. 17 Abs. 1 lit. b). Legt die betroffene Person Widerspruch gegen die Verarbeitung ein, so liegt auch dann ein begründetes Löschungsbegehren nach Art. 17 Abs. 1 lit. c DS-GVO vor, sofern keine vorrangigen berechtigten Gründe für die Verarbeitung vorliegen. Art. 17 Abs. 1 lit. a-c DS-GVO umfasst damit also Fälle, in denen eine ursprünglich rechtmäßige Datenverarbeitung rechtswidrig geworden ist.

Nach Art. 17 Abs. 1 lit. d DS-GVO ist eine unverzügliche Löschung vorzunehmen, wenn eine unrechtmäßige Verarbeitung der Daten erfolgt ist. Der Tatbestand der Unrechtmäßigkeit ist zu bejahen, wenn kein Rechtmäßigkeitsgrund iSv. Art. 6 bzw. Art. 9 DS-GVO vorliegt oder wenn die Datenverarbeitung aus anderen Gründen gegen die DS-GVO verstößt (Erwägungsgrund 65). Art. 17 Abs. 1 lit. d DS-GVO ist u.a. dann einschlägig, wenn die Verarbeitung den Grundsätzen von Treu und Glauben widerspricht.

Art. 17 Abs. 1 lit. f DS-GVO stellt eine Schutzregel zugunsten Minderjähriger dar. Demnach besteht ein Löschungsrecht, wenn die personenbezogenen Daten in Bezug auf angebotene Dienste der Informationsgesellschaft gemäß Art. 8 Abs. 1 DS-GVO erhoben wurden. Art. 8 DS-GVO verweist dabei auf die Bedingungen für die Einwilligung eines Kindes iSd. Art. 6 Abs. 1 lit. a zur Datenverarbeitung im Zusammenhang mit Diensten der Informationsgesellschaft iSv. Art. 4 Nr. 25 DS-GVO.

Die Öffnungsklausel nach Art. 17 Abs. 1 lit. e DS-GVO

Auffällig ist die Öffnungsklausel nach Art. 17 Abs. 1 lit. e DS-GVO. Danach kann eine Löschung personenbezogener Daten aufgrund rechtlicher Verpflichtungen nach dem Unionsrecht oder dem Recht der Mitgliedstaaten erforderlich sein. Öffnungsklauseln zeichnen sich dadurch aus, dass sie zwar einen entsprechenden Rahmen vorgeben, die konkrete Umsetzung wird aber weiterhin den Mitgliedsstaaten überlassen.

Die Löschpflichten des Art. 17 DS-GVO wurden durch den deutschen Gesetzgeber durch § 35 Abs. 1 und Abs. 3 BDSG modifiziert. Hiernach entfällt die Pflicht zur Löschung auch dann, wenn satzungsmäßige oder vertragliche Aufbewahrungsfristen entgegenstehen.

35 BDSG (neu)

Das Recht auf Löschung ist ab dem 25. Mai 2018 auf nationaler Ebene im Bundesdatenschutzgesetz in       § 35 BDSG (neu) geregelt. Demnach besteht ein solches Recht lediglich dann nicht, wenn die Art der Speicherung nur mit unverhältnismäßigem Aufwand möglich ist und wenn das Interesse der betroffenen Person an der Löschung als gering anzusehen ist. Der Betroffene bleibt dann jedoch nicht rechtlos, sondern es kommt zu einer Sperrung der betroffenen Daten nach Art. 18 DS-GVO. § 35 Abs. 1 BDSG nimmt direkten Bezug auf die Ausnahmetatbestände des Art. 17 Abs. 3 DS-GVO. Eine Einschränkung der Verarbeitung soll vorliegen, wenn personenbezogene Daten in der Weise markiert sind, dass ihre künftige Verarbeitung eingeschränkt ist.

Eine besondere Herausforderung in der Praxis ist der richtige Umgang mit unstrukturierten Datensätzen wie E-Mail-Postfächern. Aufgrund der großen Datenmenge erfordert die Prüfung der Löschverpflichtung einen hohen personellen Aufwand. Jedoch müssen Unternehmen die Verfügbarkeit personenbezogener Daten gewährleisten können: Nach Art. 32 Abs. 1 lit. b DS-GVO muss die Herstellung eines Zugangs zu diesen Daten bei einem physischen oder technischen Zwischenfall jederzeit möglich sein. Hieraus resultiert eine gesetzliche Verpflichtung zur Erstellung von Backups. Eine Bewältigung des Problems ist nur durch eine umfassende und präzise Festlegung der Zwecke der Datenverarbeitungen möglich.

Auch im Rahmen des Umgangs mit E-Mails sind die Aufbewahrungspflichten zu beachten. E-Mails können unter anderem der Vorbereitung und Durchführung von Handelsgeschäften dienen und damit als Handelsbriefe zu qualifizieren sein. § 257 Abs. 1 Nr. 2 HGB sowie § 147 Abs. 1 Nr. 2 AO normieren insoweit eine Pflicht zum geordneten Aufbewahren. Ein bestimmtes Aufbewahrungsformat wird handelsrechtlich jedoch nicht vorgeschrieben.

Ausnahmen nach Art. 17 Abs. 3 DS-GVO

Von besonderer Relevanz sind gerade auch für Unternehmen die in Art. 17 Abs. 3 DS-GVO normierten Ausnahmen von Löschpflichten.

Nach Art. 17 Abs. 3 lit. a DS-GVO hat die betroffene Person keinen Anspruch auf Löschung, soweit die Verarbeitung zur Ausübung des Rechts auf freie Meinungsäußerung und Information erforderlich ist. Diese Norm weist somit auf eines der Hauptspannungsfelder im Bereich der Löschungsansprüche hin. Im Rahmen der bei Art. 17 Abs. 3 lit. a DS-GVO vorzunehmenden Abwägung ist das Verhältnis von Datenschutz und Meinungsfreiheit von Relevanz.

Weitere Ausnahmetatbestände sind in Art. 17 Abs. 3 lit. b bis e DS-GVO normiert. Nachfolgend liegt der Schwerpunkt auf Art. 17 Abs. 3 lit. b und Art. 17 Abs. 3 lit. e DS-GVO.

Art. 17 Abs. 3 lit. b DS-GVO

Eine weitere Ausnahme nach Art. 17 Abs. 3 lit. b DS-GVO stellt eine erforderliche Datenverarbeitung zur Erfüllung rechtlicher Pflichten nach dem Recht der Union oder der Mitgliedstaaten, zur Wahrnehmung einer im öffentlichen Interesse liegenden Aufgabe oder einer dem Verantwortlichen übertragenen Ausübung öffentlicher Gewalt dar. Art. 17 Abs. 3 lit. b DS-GVO enthält damit eine weitere Öffnungsmöglichkeit zu Gunsten der nationalen Gesetzgeber, einen Anspruch auf Löschung im jeweiligen Fall auszuschließen.

Es bestehen diverse Aufbewahrungspflichten nach deutschem Recht. Beispielsweise regelt  § 147 AO eine Aufbewahrungspflicht für steuerlich bedeutsame Unterlagen. Zu den wichtigsten aufbewahrungspflichtigen Unterlagen zählen somit Bücher, Aufzeichnungen, Inventare, Jahresabschlüsse, Lageberichte, Eröffnungsbilanzen, wie auch empfangene Handels- und Geschäftsbriefe, Buchungsbelege und sonstige Unterlagen, soweit sie für die Besteuerung von Relevanz sind. Unter die sonstigen Unterlagen aus § 147 Abs. 1 Nr. 5 AO fallen beispielsweise Prüfungsberichte, Preislisten und Handelsregister- und Grundbuchauszüge. Gemäß § 147 Abs. 1 Nr. 5 und Abs. 3 AO beträgt die Aufbewahrungsfrist sechs Jahre für alle für den Lohnsteuerabzug bedeutsamen Unterlagen. Nach § 140 AO wird die steuerrechtliche Aufbewahrungspflicht auch durch „andere Gesetze“ begründet. § 257 Abs. 1 HGB verweist beispielsweise auf die Unterlagen, die zwingend von jedem Kaufmann aufbewahrt werden müssen. Im Rahmen des HGB sind die Handelsbücher, Inventare, Eröffnungsbilanzen, Jahresabschlüsse, Lageberichte als auch die empfangenen Handelsbriefe und Buchungsbelege als wichtigste aufbewahrungspflichtige Unterlagen zu nennen.

Art. 17 Abs. 3 lit. e DS-GVO

Ist die Verarbeitung personenbezogener Daten zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich, so besteht gem. Art. 17 Abs. 3 lit. e DS-GVO ebenfalls kein Löschungsanspruch. Durch diese Vorschrift soll verhindert werden, dass die betroffene Person ihre Daten mit dem Ziel löscht, eine Rechtverfolgung von Dritten zu erschweren.

Restliche Ausnahmetatbestände

Nach Art. 17 Abs. 3 lit. c DS-GVO  liegt eine Ausnahme dann vor, wenn eine Verarbeitung aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit nach dem Art. 9 Abs. 2 lit. h und i sowie Art. 9 Abs. 3 erfolgt.

Gemäß Art. 17 Abs. 3 lit. d DS-GVO ist der Ausnahmetatbestand auch dann erfüllt, sofern eine Verarbeitung erforderlich ist für im öffentlichen Interesse liegende Archivzwecke, wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gem. Art. 89 Abs. 1. DS-GVO.

Logfiles

Grundsätzlich besteht aufgrund der mit der DS-GVO verstärkten Rechenschaftspflichten wie auch aufgrund allgemeiner Vorgaben aus der IT-Sicherheit eine Pflicht zur Dokumentation. Bei Logfiles (oder Protokolldatei) handelt es sich um Daten, die für einen bestimmten Zeitraum sämtliche Vorgänge in einem IT-System protokollieren, also Ereignisprotokolle in Textformat. Logdateien listen die durchgeführten Aktivitäten auf, wobei teilweise ein direkter Personenbezug besteht. Eine Erstellung von Logfiles erfolgt überall dort, wo eine Dokumentation von Vorgängen erforderlich oder gewünscht ist. Der große Vorteil von Logfiles besteht darin, dass beispielsweise im Falle einer fehlerhaften oder korrupten Datenübertragung die Ursache eines Fehlers herausgefunden und exakt bestimmt werden kann. Sind die Systeme beispielsweise von einem Virus infiziert, so kann die Analyse von Logfiles der rascheren Isolation befallener Sektoren dienen.

Löschungskonzept und Aufbewahrungsfristen

Gepaart mit den erweiterten Rechenschaftspflichten aus der DS-GVO ist es von nun an unabdingbar, ein unternehmensspezifisches Löschkonzept festzulegen. Unter einem Löschkonzept versteht man dabei eine Festlegung, anhand derer eine verantwortliche Stelle sicherstellt, dass ihre personenbezogenen Datenbestände rechtskonform gelöscht werden. Im Rahmen dieses Konzepts wird eine Festlegung von konkreten Speicher- bzw. Löschfristen vorgenommen. Resultierend aus dem Prinzip der Zweckgebundenheit sowie dem Gebot zur Datenminimierung folgt für verantwortliche Stellen die Pflicht, ohne Rechtfertigung vorgehaltene Daten aus ihren Systemen zu löschen. Grundsätzlich dient das Löschkonzept als Anleitung und Nachweis, wie und auf welche Weise innerhalb des Unternehmens datenschutzrechtliche Pflichten zur Löschung von personenbezogenen Daten rechtskonform erfüllt werden. Anknüpfend an die in der DS-GVO vorgesehenen Dokumentations- und Rechenschaftspflichten sollten vorgenommene Löschungen – freilich ohne Personenbezug – dokumentiert werden.

Im Rahmen der Anwendung des Löschkonzepts ist zwingend darauf zu achten, dass hierdurch keine für das Unternehmen relevanten Aufbewahrungspflichten verletzt werden. Die danach zu löschenden Daten werden vor der Löschung aus dem aktiven System an einem sicheren Ort außerhalb des aktiven Systems archiviert. Es wird sichergestellt, dass auf dieses Archiv nur die Geschäftsführung Zugriff hat, sofern diese ein berechtigtes Interesse an der Einsichtnahme hat.

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!

Seit Mai 2018 und der damit einhergehenden "neuen Zeitrechnung" unter der DS-GVO gibt es eine Reihe von Veränderungen in den alltäglichen Abläufen. Wir erklären, wo diese "spürbar" sind!

Auswirkungen der DS-GVO im Alltag

Gewinnspiel im Unternehmen

Gewinnspiele sind legal, solange kein Verstoß gegen § 284 StGB vorliegt. Dies gilt im Unternehmen gleichermaßen wie im privaten Freundeskreis. Die Definition des Glücksspiels richtet sich nach § 3 Abs. 1 GlüStV, wonach ein „Glücksspiel“ vorliegt, „wenn im Rahmen eines Spiels für den Erwerb einer Gewinnchance ein Entgelt verlangt wird und die Entscheidung über den Gewinn ganz oder überwiegend vom Zufall abhängt. Die Entscheidung über den Gewinn hängt in jedem Fall vom Zufall ab, wenn dafür der ungewisse Eintritt oder Ausgang zukünftiger Ereignisse maßgeblich ist. Auch Wetten gegen Entgelt auf den Eintritt oder Ausgang eines zukünftigen Ereignisses sind Glücksspiele.“ Dabei ist in jedem Fall zu beachten, dass das Glücksspiel nicht öffentlich beworben werden darf. Es darf also nur im privaten Rahmen mit beschränktem Personenkreis stattfinden. In diesem privaten Rahmen darf es außerdem weder gewohnheitsmäßig noch gewerbsmäßig stattfinden. Das heißt, der Organisator darf keinen Gewinn einstreichen und alle Wetteinsätze müssen ausgezahlt werden. Gewohnheit liegt vor, wenn z.B. das Glücksspiel jede Woche am selben Tag stattfindet. Da Wetten ein reines Privatvergnügen darstellen, lassen sich gem. § 726 Abs. 1 BGB auch keine zivilrechtlichen Ansprüche daraus ableiten. Wettrunden, die alle zwei und oder alle vier Jahre im Rahmen der Fußball EM/WM stattfinden, gelten nicht als regelmäßig. Aber wenn die Compliance-Richtlinien des Unternehmens die Annahme von Geschenken verbieten, darf die Gewinnprämie nicht ausgezahlt werden. Dann gilt das Tippspiel unter Kollegen nämlich gerade nicht als Privatvergnügen. Insofern bietet es sich an, mit dem Segen der Geschäftsleitung als Unternehmen ein Tippspiel zu veranstalten. Die dafür häufig genutzte App Kicktipp bietet eigens ein Profipaket an, was eine Auftragsverarbeitungsvereinbarung gem. Art. 28 DS-GVO umfasst. Dieser bedarf es jedoch nur, wenn das Unternehmen ein Tippspiel auf der unternehmenseigenen Homepage implementieren möchte, um Kunden miteinzubeziehen. Für das Tippspiel rein unter Kollegen braucht man diese nicht, wenn sich jeder Mitarbeiter selbstständig über die App anmeldet.

WhatsApp Nutzung

Die Nutzung von WhatsApp als Messenger-Dienst wirft zahlreiche datenschutzrechtliche Fragen auf. Grundsätzlich nutzt WhatsApp nach eigenen Angaben seit April 2016 eine „Ende zu Ende“-Verschlüsselung. Jedoch werden dabei Metadaten gesammelt, z.B.: mit welchen Nutzern man kommuniziert, wie oft sich die Nutzer mit bestimmten Kontakten verbinden, wie lange die Nutzer einander Nachrichten schreiben etc. Dabei lässt WhatsApp völlig offen, wie diese verarbeitet werden und an wen diese übertragen werden. Wenn ein Unternehmen WhatsApp verwendet, um mit Kunden zu kommunizieren, kann es auch bei diesen Themen nicht das „Recht auf Information“ oder „Recht auf Vergessenwerden“ der DS-GVO erfüllen. Ein weiteres Problem ist, dass die meisten Nutzer das Backup ihrer WhatsApp-Nachrichten aktiviert haben. D.h. die Nachrichten werden je nach Endgerät in der Cloud von z.B. Apple oder Google als Backup gespeichert. Was die wenigsten Nutzer dabei wissen: Die Nachrichten werden dort entschlüsselt gespeichert. Dadurch könnten nicht nur Apple oder Google sondern auch amerikanische Sicherheitsbehörden auf diese Daten zugreifen. Außerdem lädt WhatsApp zum Abgleich der bei WhatsApp gespeicherten Telefonnummern das gesamte Telefonbuch auf den Server hoch. Dieser Abgleich der gespeicherten Informationen stellt eine Verarbeitung im datenschutzrechtlichen Sinne dar und bedürfte daher einer Einwilligung jedes Kontakts, die allerdings regelmäßig nicht vorliegt. Abgesehen davon kann ein ausreichender Schutz von Kundendaten auch deshalb nicht gewährleistet werden, da WhatsApp seine Server in den USA stehen hat und somit alle personenbezogenen Daten außerhalb der EU übertragen oder gespeichert werden, was dem Grundgedanken der DS-GVO zuwider läuft.

WhatsApp im Unternehmen

Kommunikation unter Mitarbeitern

Selbst wenn alle Mitarbeiter ihre Einwilligung erteilt haben, ist – datenschutzrechtliche Bedenken außen vor gelassen – eine betriebliche Nutzung nicht zu empfehlen, da eine betriebliche Kommunikation einen Verstoß gegen die AGB von WhatsApp darstellt, da diese nur die private Nutzung des Messengers erlauben.

Kommunikation mit Kunden

Auch bei der Kommunikation mit Kunden besteht erstmal grundsätzlich die Problematik der Einwilligung der Kunden zur Übermittlung der persönlichen Daten an WhatsApp. Selbst wenn diese vorliegen sollten, kann das Unternehmen, wie oben erwähnt, die Bestimmungen der DS-GVO nicht einhalten, da nicht bekannt ist wie Metadaten verarbeitet und an wen diese übertragen werden. Zusammenfassend ist klar, dass WhatsApp nicht den Datenschutzbestimmungen der DS-GVO entspricht und ein Unternehmen nicht konform ist, wenn es WhatsApp für geschäftliche Zwecke nutzt. Unternehmen sollten eine professionelle und sichere Enterprise Messaging App einsetzen. Auch WhatsApp Business ist, trotz seines klangvollen Namens, kein Allheilmittel dieser Probleme, da es zwar zusätzliche B2B und B2C-Services anbietet, jedoch aller Wahrscheinlichkeit nach weiterhin US-Server nutzt.

WhatsApp in der Schule

Auch bei der Nutzung von WhatsApp durch Lehrer in der Kommunikation mit Eltern und oder Schülern stellen sich die oben genannten Probleme. Lehrkräfte müssen stets unterscheiden, ob sie mit Betroffenen dienstlich oder privat kommunizieren. Rechtlich betrachtet ist die dienstliche Kommunikation eine Kommunikation der Schule, z.B. die Bekanntgabe von Noten oder Stundenausfall. Bei privater Kommunikation handelt die Lehrkraft dagegen für sich selbst, d.h. als Privatperson. Ein Beispiel für private Kommunikation wären z.B. Geburtstagsgrüße. Eine eindeutige Trennung kann sich kompliziert darstellen, weshalb in Zweifelsfällen von einer dienstlichen Kommunikation auszugehen ist. Kommuniziert eine Lehrkraft dienstlich, hat sie die besonderen datenschutzrechtlichen Vorgaben der Schulgesetze der Länder und insbesondere der DS-GVO zu beachten. Da durch den Abgleich der Kontakte mit den WhatsApp-Servern in den USA immer eine Verarbeitung i.S.d. DS-GVO vorliegt, ist eine DS-GVO-konforme Nutzung von WhatsApp im Schulbetrieb ausgeschlossen. Dabei ist unerheblich, ob Einwilligungen der Eltern für sich selbst, für Lehrer-Eltern-Gruppen oder für ihre Kinder, für Lehrer-Klassen-Gruppen vorliegen, da in jedem Fall die Verarbeitung durch WhatsApp nicht nachvollziehbar ist.

Mit Eltern

Außerdem kann, selbst wenn die Eltern der Mitgliedschaft in der „WhatsApp“-Gruppe zugestimmt haben, die Freiwilligkeit dieser Erklärung bezweifelt werden, da nicht auszuschließen ist, dass das Akzeptieren der Teilnahme an der „WhatsApp“-Gruppe mit der Befürchtung einherging, dass ihre Kinder ansonsten schulische Nachteile zu erleiden hätten.

Mit Schülern

Abgesehen von der datenschutzrechtlichen Problematik stellt sich die Frage in welchem Alter – 14, 16 oder 18 – die Schüler wirksame Einwilligungen erteilen können. Sinnvoll ist eine Einwilligung vertreten durch die Erziehungsberechtigten.

WhatsApp in der privaten Nutzung

Auch im Bereich der privaten Kommunikation ist zu berücksichtigen, dass Telefonnummern von Kontakten, die selber kein WhatsApp nutzen und somit keine Einwilligung gegeben haben, an dessen Server weitergegeben werden.

Fazit

Zusammenfassend lässt sich sagen, dass von einer Nutzung von WhatsApp außerhalb des privaten Bereichs abzuraten ist. Da Fax keine realistische Alternative darstellt, bleibt nur die klassische E-Mail oder alternative Messenger. Ein Messenger, der datenschutzrechtlich sicher sein soll, muss folgende Punkte erfüllen:

  1. Keine Verarbeitung oder Speicherung von Daten außerhalb der Europäischen Union.
  1. Daten eines Unternehmens sollten pseudonymisiert und stark verschlüsselt werden.
  1. Keine Analyse und Sammlung von Metadaten.
  1. Keine Speicherung des Adressbuchs, außer bei Einwilligung aller Kontakte eines Nutzers. Da das Einholen einer Vielzahl von Einwilligungen aufwändig ist, ist der Verzicht auf Speicherung des Adressbuchs sinnvoller.
  1. Zugriff auf das Adressbuch sollte auf Basis von Einweg-verschlüsselten Werten (z. B. SHA256) erfolgen, die nicht wieder zurückverwandelt werden können und danach sofort von den Servern der Enterprise Messaging App gelöscht werden.
  1. Ein Unternehmen und seine Mitarbeiter müssen der Enterprise Messaging App eine klare und bejahende Zustimmung zur Verarbeitung personenbezogener Daten geben.
  1. Bereitstellung eines Archivs der gesamten Messaging-Kommunikation und Audit-Logs bereitstellen sowie Möglichkeit zur Archivdurchsuchung.
  1. Transparenz der verwendeten personenbezogenen Daten: detaillierte Informationen zur Verfügung stellen, welche personenbezogenen Daten verwendet werden, warum die Nutzung erforderlich ist und was mit den Daten geschieht.

Diese Vorgaben erfüllen die Messenger Signal, Telegram, Viber und Threema bzw. Threema Work. Jedoch ist zu beachten, dass aufgrund kommender Regelungen in Bezug auf die Vorratsdatenspeicherung in der Schweiz sich Abweichungen zur DS-GVO ergeben könnten. Threema erwägt deshalb einen Umzug seiner Server. Möchte man als Unternehmen in der Kundenkommunikation einen Messenger nutzen, ist die Notwendigkeit einer Auftragsverarbeitungsvereinbarung / – vertrags zu beachten. Diesen bietet bislang explizit nur Threema Work an.

Fotografien

Bedeutung im Alltag findet die DS-GVO auch im Bereich der gewerbsmäßigen Personenfotografie. Hier stellt sich die Frage, ob §§ 22, 23 KUG als spezialgesetzliche Regelung i.S.d. Art. 85 Abs. 2 DS-GVO einzuordnen sind. In dem Fall ist DS-GVO-Konformität gewahrt. Räumt man jedoch der DS-GVO Anwendungsvorrang gegenüber dem KUG ein, muss die Rechtmäßigkeit der Datenverarbeitung nach Art. 6 DS-GVO gewahrt sein.

DS-GVO im Gesundheitswesen

Für die Verarbeitung von gesundheitsbezogenen Daten gilt die Definition aus Art. 4 Nr. 15 DS-GVO. Deren Verarbeitung ist gem. Art. 9 Abs. 1 DS-GVO untersagt, außer bei Vorliegen der Voraussetzungen aus Art. 9 Abs. 2 lit. a) – j) DS-GVO.

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!

Im Folgenden geht es um die Änderung der Anforderungen an eine wirksame Einwilligung als rechtliche Grundlage für eine Datenverarbeitung.

Service gegen Daten: Einwilligung und Kopplungsverbot

Einführung

Damit personenbezogene Daten erhoben, bearbeitet oder gespeichert werden dürfen, bedarf es einer gesetzlichen Befugnis. Die Verarbeitung personenbezogener Daten ist auch mit einer Einwilligung durch den Betroffenen möglich. Art. 4 Nr. 11 DS-GVO definiert eine Einwilligung als jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist. Es handelt sich somit um einen datenschutzrechtlichen Erlaubnistatbestand. 

Eine Einwilligung ist aber nur wirksam, wenn ihre Voraussetzungen eingehalten werden. Dazu gehören gem. Art. 7 DS-GVO die freie Entscheidung des Betroffenen, er muss ausführlich, erkennbar und bestimmt informiert werden, die Information hat schriftlich zu erfolgen und die Einwilligungserklärung muss widerruflich sein. Mit den strengen Vorgaben für eine rechtswirksame Einwilligung soll das Recht des Verbrauchers auf informationelle Selbstbestimmung geschützt werden. 

Durch den technischen Fortschritt werden die Anforderungen an eine rechtswirksame Einwilligung komplexer und es ist fragwürdig, ob dem Erfordernis der vollumfänglichen Information der informierten Einwilligung noch gerecht werden kann. Es stellt sich also die Frage, wie praxistauglich die Einwilligung noch ist. Der europäische Gesetzgeber ließ die Entwicklung der Digitalisierung nicht außer Acht und hob die Anforderungen an eine rechtswirksame Einwilligung im Rahmen der DS-GVO an. 

Das Kopplungsverbot vor der DS-GVO 

Als Bremse für die Praxistauglichkeit der Einwilligung ist das sogenannte Kopplungsverbot zu sehen. Eine Kopplung hat den Zweck der Generierung von Datenbeständen zur werblichen Nutzung. Sie ist die Abhängigkeit eines Vertragsschlusses oder der Erbringung einer Leistung von der Einwilligung des Betroffenen in eine Datenerhebung oder Datenverarbeitung seiner personenbezogenen Daten, die weiter geht, als die Abwicklung des Vertrags es fordert. Seine rechtliche Grundlage findet das Kopplungsverbot bislang nur national in § 28 Abs. 3b Bundesdatenschutzgesetz (BDSG) a.F. und § 95 Abs. 5 Telekommunikationsgesetz (TKG), jedoch lediglich in abgeschwächter Form, indem es in der Konstellation keines Zugangs zu gleichwertigen vertraglichen Leistungen ohne Einwilligung oder nicht in zumutbarer Weise zur Anwendung kommt. Diese Art des Kopplungsverbots bezieht sich primär auf Monopolsituationen.

Die Freiwilligkeit der Einwilligung ist nur dann gewährleistet, wenn der Betroffene eine echte oder freie Wahl hat und ihm somit die Möglichkeit der Verweigerung oder Rücknahme der Einwilligung ohne weitere Nachteile geboten werden. Dabei ist für die Freiwilligkeit maßgeblich, ob die verantwortliche Stelle aus einer Monopolstellung aus agiert oder ob der Betroffene am Markt Zugang zu gleichwertigen vertraglichen Leistungen erhält, ohne eine Einwilligung zur Verarbeitung seiner Daten abgeben zu müssen. 

Das Kopplungsverbot nach der DS-GVO 

Die ab Mai 2018 verbindlich geltende Datenschutz-Grundverordnung (DS-GVO) sieht zwar eine EU-weite Normierung des Kopplungsverbots vor, allerdings regelt sie es nicht ausdrücklich. Das Europäische Parlament forderte im sogenannten Trilogverfahren die Regelung eines absoluten Kopplungsverbots in Art. 7 Abs. 4 S. 2 DS-GVO. Im Ergebnis einigte man sich zwar auf eine Entschärfung dieses Vorschlags eines direkten strikten Verbots durch das Europäische Parlament, jedoch läuft der Kompromiss durch Verweise auf die Erwägungsgründe der DS-GVO trotzdem auf ein strenges Kopplungsverbot hinaus. Zur näheren Erläuterung muss zwischen dem horizontalen und dem vertikalen Kopplungsverbot unterschieden werden. 

Das horizontale Kopplungsverbot

Das horizontale Kopplungsverbot bezieht sich auf das Nebeneinander verschiedener Datenverarbeitungsvorgänge und gewährleistet die Freiwilligkeit einer Einwilligung durch das Erfordernis gesonderter Einwilligungen für verschiedene Datenverarbeitungsvorgänge. Eine Kopplung in Form einer einzigen Gesamteinwilligung für mehrere trennbare Datenverarbeitungen ist nach dem horizontalen Kopplungsverbot also unzulässig. Dem Einwilligenden muss die Wahlfreiheit gewährleistet werden, ohne die die Einwilligung als unfreiwillig gemäß Erwägungsgrund 43 DS-GVO eingestuft würde. 

Die Einführung des horizontalen Kopplungsverbots ist eine Reaktion des Verordnungsgebers auf den fortschreitenden Prozess der Digitalisierung zum Zweck des Verbraucherschutzes, um weiterhin die Freiwilligkeit der Einwilligung zu schützen. Der restriktive Charakter der Regelung zeigt sich darin, dass das Verbot keine Ausnahmen kennt. Dies hat aber nicht zur Folge, dass die Einholung einer Einwilligung für mehrere Datenverarbeitungsvorgänge künftig nicht mehr möglich ist. Im Einzelfall kann eine einzige Einwilligung ausreichend sein, beispielsweise wenn die Datenverarbeitungsvorgänge inhaltlich zusammenhängen und aufeinander aufbauen. In dieser Konstellation würde das Erfordernis einzelner Einwilligungen die Effizienz der Verarbeitung hemmen und eine Aufsplittung der Einwilligung keinen Sinn ergeben. Dann soll das horizontale Kopplungsverbot nicht greifen. 

Relevant für die Praxis ist, dass das horizontale Kopplungsverbot für die verantwortlichen Stellen zusätzlichen Aufwand mit sich bringt. Damit ist aber nicht zwangsläufig eine Beeinträchtigung der Praxistauglichkeit der Einwilligung verbunden. 

Das vertikale Kopplungsverbot 

Nach dem vertikalen Kopplungsverbot ist eine Einwilligungserklärung nicht freiwillig, wenn die Erfüllung eines Vertrages von der Erteilung der Einwilligung abhängig ist. Dabei ist es unerheblich, ob es dieser für den eigentlichen Vertragszweck bedarf. Das ergibt sich aus Art. 7 Abs. 4 i.V.m. Erwägungsgrund 43 S. 2 DS-GVO. Damit ist die Kopplung, durch die in Einwilligungserklärungen nicht nur die Datenverarbeitung zur Durchführung eines Vertrages legitimiert wird, sondern der Verantwortliche auch zusätzliche Datenverarbeitungen zu ermöglichen versucht, unzulässig. 

Art. 7 Abs. 4 DS-GVO verdeutlicht die Maßgeblichkeit der Wahlfreiheit des Betroffenen, indem der Abhängigkeit der Vertragserfüllung von der nicht erforderlichen Einwilligung bei der Beurteilung der Freiwilligkeit der Einwilligung „in größtmöglichem Umfang Rechnung“ zu tragen ist. Im Ergebnis regelt Art. 7 Abs. 4 S. 2 DS-GVO mit Heranziehung des Erwägungsgrunds 43 DS-GVO jetzt ein Kopplungsverbot, wie es das Europäische Parlament forderte und vermutet gemäß Erwägungsgrund 43 DS-GVO sogar das Fehlen der Freiwilligkeit. Darin liegt eine über das Ziel der Gewährleistung des informationellen Selbstbestimmungsrechts des Betroffenen hinausschließende Wirkung: Das Geschäftsmodell des „Services gegen Daten“ ist kaum mit dem Kopplungsverbot zu vereinbaren, was das Ende dieses Prinzips bedeuten könnte. 

Das Modell „Service gegen Daten“ 

Bei dem Modell „Service gegen Daten“ locken Verantwortliche Verbraucher mit als „kostenlos“ deklarierten und intransparenten Angeboten. Eine „Bezahlung“ findet aber dennoch statt, nämlich mit den personenbezogenen Daten, welche insbesondere zu Werbezwecken verwendet werden. 

Wenn das Kopplungsverbot gerade verbietet, einen Vertragsschluss oder das Erbringen einer Leistung von der Einwilligung des Betroffenen von einer nicht für die Abwicklung des Vertrags erforderlichen Einwilligung des Betroffenen in eine Datenerhebung abhängig zu machen, stellt sich die Frage, ob der Verbraucher künftig noch viele Angebote „kostenlos“ gegen Zahlung mit seinen Daten erhalten kann. Damit verbunden verdeutlicht sich die Problematik der Einwilligung als taugliches Instrument zur Legitimation von Datenverarbeitungen in der Praxis. 

Grundsätzlich normiert der Verordnungsgeber eine Kommerzialisierung von personenbezogenen Daten zwar nicht, er lehnt eine kommerzielle Nutzung von diesen Daten aber auch nicht per se ab, indem in der DS-GVO Geschäftsmodelle auf Grundlage der Zahlung mit personenbezogenen Daten akzeptiert werden, was sich aus dem Wortlaut des Erwägungsgrundes 43 DS-GVO aufgrund der Entscheidung „im Einzelfall“ ergebe. 

Das Kopplungsverbot steht auch nicht dem Modell „Service gegen Daten“ entgegen, wenn dem Betroffenen als Zahlungsmöglichkeit eine Alternative zur Einwilligung in die Verarbeitung seiner personenbezogenen Daten angeboten wird. Entscheidet sich der Betroffene dann für die „Bezahlung mit seinen Daten“, hatte er eine alternative Möglichkeit und somit ein Wahlrecht. Eine Einwilligung wäre somit freiwillig erfolgt und diese auch wirksam. Die alternative Zahlungsmöglichkeit darf allerdings nicht außer Verhältnis zur Option „Service gegen Daten“ stehen, indem sie mit deutlichen wirtschaftlichen Nachteilen verbunden wäre. Dies würde das Wahlrecht des Betroffenen zwischen der Zahlungsalternative und der Alternative der Bezahlung „nur“ durch seine personenbezogenen Daten einschränken, indem nur zahlungskräftige Verbraucher in den Genuss der Datenminimierung kämen. Hier ergibt sich aber wieder die Frage, wann ein klares Missverhältnis zwischen einem Zahlungsbetrag und der Einwilligung vorliegt, da ein monetärer Wert von Daten und einer Einwilligung in deren Verarbeitung schwer festzustellen ist. Einige taugliche Kriterien für die Bemessung des Werts von Daten könnten beispielsweise die Exklusivität der Daten sein, indem dem datenverarbeitenden Unternehmen ein Vorteil gegenüber seinen Konkurrenten vorliegt. Probleme in Bezug auf das Kriterium sind die Möglichkeit des Widerrufs der Einwilligung durch den Betroffenen, dessen Daten verarbeitet werden, sowie die Garantie der Exklusivität, da der Kunde die Angebote mehrerer Anbieter in Anspruch nehmen kann. Ein weiteres mögliches Kriterium bei dem Versuch der Bemessung eines monetären Werts ist der „Kurs“ der Daten. Darunter fallen Angebot und Nachfrage sowie die Kombination der personenbezogenen Daten mit weiteren Daten, was besonders für Big Data-Anwendungen interessant ist. 

Sollte sich in Zukunft ein einheitlicher Standard für die Bemessung des Werts etablieren, steht der Praxistauglichkeit der Einwilligung mit alternativer Form der Gegenleistung nichts entgegen.

Die Rechtsfolgen 

Es kann festgestellt werden, dass die DS-GVO die Rahmenbedingungen der Einwilligung als rechtswirksame Grundlage für eine Datenverarbeitung deutlich verändert. Angepasst an den Prozess der Digitalisierung verschärfte der europäische Gesetzgeber die Anforderungen an eine rechtswirksame Einwilligung. Damit das Kopplungsverbot, das dem Schutz der Interessen des Betroffenen dienen soll, allerdings nicht zu einer unzulässigen Beeinträchtigung der Privatautonomie führt, bedarf es einer Einschränkung des Verbots aus Gründen der Verhältnismäßigkeit. Den Vertragspartnern soll aus diesem Grund genau der Schutz zukommen, den sie benötigen, damit es nicht zu einem unverhältnismäßigen Eingriff in das Selbstbestimmungsrecht des Betroffenen kommt und ihnen ihre rechtsgeschäftliche Gestaltungsfreiheit nicht genommen wird. Das Kopplungsverbot wird insbesondere bei einer Monopolstellung des Verarbeiters zur Anwendung kommen, um ausreichenden Schutz für den Betroffenen und ein Gleichgewicht zwischen Betroffenem und Verantwortlichem zu gewährleisten. Ein Ungleichgewicht und ein Schutzbedürfnis bestehen gerade nicht, wenn der Betroffene die Wahl zwischen mehreren Anbietern einer konkreten Leistung hat. Ferner wird ein Ungleichgewicht angenommen, wenn es sich bei dem Anbieter um eine Behörde handelt. 

Im Ergebnis hat die DS-GVO Auswirkungen auf das Merkmal der Freiwilligkeit von Einwilligungen in Datenverarbeitungen. Die Einführung eines Kopplungsverbots soll die Wahlfreiheit des Betroffenen schützen, indem der Vertragspartner ihm zur Wahrnehmung eines Angebots eine alternative Zahlungsmethode zum Modell „Service gegen Daten“ anbietet. Bei einer Einbindung in den Vertrag soll der Betroffene umfassend über alle Risiken aufgeklärt werden, so dass diese Lösungsmöglichkeit nicht gegen den Grundsatz der Transparenz verstößt. Damit es aber nicht zu einem unbegründeten Eingriff in die Privatautonomie kommt, findet das Kopplungsverbot seine Grenzen in dem Erfordernis der Verhältnismäßigkeit, so dass es in der Regel nur bei vertraglichen Beziehungen zwischen dem Betroffenen mit einer Behörde oder mit einem in einer Monopolstellung agierenden Anbieter zur Anwendung kommt. Folglich bedeutet das Kopplungsverbot nicht das Ende der Einwilligung als rechtliche Grundlage für eine Datenverarbeitung, sondern es tritt lediglich das Erfordernis alternativer Zahlungsangebote bzw. Transparenzpflichten zu den bereits bestehenden Anforderungen hinzu. Es ist aber durchaus wahrscheinlich, dass Anbieter auf andere Grundlagen der Datenverarbeitung ausweichen, um auf Einwilligungen aus praktischen Gründen zu verzichten.

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!