Wie geht es mit dem Privacy Shield weiter?

Wir erklären die Entwicklung des Privacy Shields.

Informationen über die Verwendung des Privacy Shields

Wie geht es mit Privacy Shield weiter?

Seit knapp zwei Jahren können Unternehmer den Datentransfermechanismus „Privacy Shield“ nutzen. Dieses Instrument hat den Zweck der Sicherstellung eines angemessenen Datenschutzniveaus bei Datentransfers zwischen den USA und Europa. Doch nun fordern Datenschutzbehörden Nachverhandlungen zum Privacy Shield, da sie einen ebenso starken Schutz der Daten in den USA, wie dieser in der Europäischen Union gewährleistet wird, bezweifeln. 

Der Hintergrund

Hintergrund ist die Vermutung, dass Drittländer kein ausreichendes, europäischen Vorgaben entsprechendes Datenschutzniveau erfüllen, wenn die EU-Kommission für das jeweilige Drittland kein angemessenes Datenschutzniveau anerkannt hat. Dabei unterfallen auch gerade Drittländer dem Anwendungsbereich des Bundesdatenschutzgesetzes, §§ 4, 4b, 4c BDSG, sofern Datenübermittlungen im Rahmen von Tätigkeiten erfolgen, die auch nur teilweise in den Anwendungsbereich des Rechts der Europäischen Gemeinschaft fallen. Das neue Bundesdatenschutzgesetz verweist in § 1 Abs. 5 BDSG auf die Anwendbarkeit der Datenschutz-Grundverordnung, die gemäß Art. 3 Abs. 2, 3 DS-GVO bei der Verarbeitung personenbezogener Daten durch einen nicht in der EU niedergelassenen Verantwortlichen heranzuziehen ist. Die USA zählen gerade nicht zu den sogenannten „sicheren Drittländern“, weshalb man verschiedene Instrumente wie Privacy Shield schuf, um einen ausreichenden Datenschutz bei Datentransfers herzustellen. Das dadurch als sichergestellt geltende Datenschutzniveau ermöglicht eine Datenübermittlung, anderenfalls gilt sie als unzulässig.

Das Safe-Harbor-Abkommen

Vorgänger des EU-US Privacy Shields war das Safe-Harbor-Abkommen, eine Übereinkunft zwischen den USA und der EU. Unterwarfen sich US-Unternehmen den Prinzipien dieses Abkommens, so wurden sie als Unternehmen mit angemessenem Datenschutzniveau in die Liste des US Department of Commerce aufgenommen, welches die Einhaltung des EU-Standards für ein Jahr zusicherte. Jedoch gilt dieses Abkommen seit dem sogenannten Schrems-Urteil des Europäischen Gerichtshofs vom 06.10.2015 nicht mehr. Max Schrems klagte 2013 wegen Verstöße der USA gegen EU-Recht bei Datenübermittlungen aus Europa in die USA und den folgenden Überwachungsmaßnahmen durch den amerikanischen Staat vor der irischen Datenschutzbehörde gegen Facebook Irland. Das Verfahren gelang bis zum EuGH, der das Safe-Harbor-Abkommen letztendlich auflöste. Der EuGH begründete seine Entscheidung damit, dass das die Einhaltung des europäischen Datenschutzes in den USA nicht immer gewährleistet werden könne.

Die wichtigsten Kritikpunkte:

  • Das Safe-Harbor-Abkommen galt nur für amerikanische Unternehmen und nicht für Behörden der USA.
  • Die Erfordernisse der nationalen Sicherheit, des öffentlichen Interesses und der Durchführung nationaler Gesetze der Vereinigten Staaten genossen Vorrang vor dem Abkommen. Also waren amerikanische Unternehmen im Fall eines Widerstreits zu den Erfordernissen nicht zur Anwendung des Abkommens verpflichtet.
  • Es gab keine Begrenzungsmöglichkeit der Eingriffe amerikanischer Behörden in die Grundrechte der betroffenen Personen.
  • Es gab keine Möglichkeit des gerichtlichen Rechtsschutzes europäischer Bürger gegen die Maßnahmen durch die US-Behörden.

Das „EU-US-Privacy Shield“

Um allerdings die durch die Ungültigkeit des Safe-Harbor-Abkommens entstandene Lücke zu schließen, schuf man einen neuen Datentransfermechanismus namens „EU-US-Privacy Shield“, der die Unternehmer zur Einhaltung der Datenverarbeitungsstandards verpflichtet und im Gegensatz zu Safe Harbour den Zugriff auf die Daten von EU-Bürgern durch die US-Behörden begrenzt. Eine weitere Neuerung war die Einführung von Rechtsschutz für Bürger durch Ombudsmänner und Streitbeilegung, sowie eine jährliche Überprüfung des Privacy Shields.

Die Überprüfung von Privacy Shield

Daher überprüften die Europäische Kommission und die US-Regierung Mitte September 2017 die Funktionsweise des „EU-US-Privacy Shields“. Während der Datentransfermechanismus nach Ansicht der Kommission gut funktioniert, sieht das das unabhängige Beratungsgremium der Europäischen Kommission, die Artikel-29-Datenschutzgruppe, anders. Zwar erkennt die Artikel-29-Datenschutzgruppe in Privacy Shield Fortschritte im Vergleich zu Safe Harbour, sowie die Bemühung der US-Behörden und der Kommission bei der Umsetzung des Datenschutzschildes. Dennoch übt das Beratungsgremium auch Kritik, indem es Bedenken hinsichtlich der Gleichwertigkeit des Datenschutzniveaus in den USA durch Privacy Shield und des Datenschutzniveaus in der EU äußert.

Diese Bedenken liegen in erster Linie in der Funktionalität der eigentlich zugesicherten Möglichkeit des Rechtswegs für EU-Bürger gegen staatliche und kommerzielle Überwachungsmaßnahmen durch die Einführung des Ombudsmanns. Der Artikel-29-Datenschutzgruppe wurden bei der Überprüfung von Privacy Shield Informationen vorenthalten, die sich auf das Verfahren für den Zugang der Bürgerbeauftragten mit anderen Mitgliedern der Geheimdienstgemeinschaft, einschließlich der Aufsichtsorgane, beziehen. Somit kann sie nicht überprüfen und damit auch nicht bejahen, dass dem Ombudsmann ausreichende Befugnisse für den Zugang zu Informationen und die Behebung von Verstößen zustehen, um ihre einem Gericht oder anderen unabhängigen Stellen vergleichbare Rolle zu erfüllen. Daher steht dies einer Bewertung des Ombudsmanns als wirksamer Rechtsbehelf im Sinne des Artikels 47 der Charta der Grundrechte entgegen.

Ferner fordert das Beratungsgremium Belege oder rechtlich bindende Zusagen dafür, dass eine Datenerhebung durch US-Behörden keine willkürlichen Datensammlung darstellt und kein unbeschränkter Zugriff auf die personenbezogenen Daten von EU-Bürgern erfolgt, wie sie im Rahmen des NSA-Programms UPSTREAM geschah. Aufgrund dieser Bedenken fordert die Artikel-29-Datenschutzgruppe Nachverhandlungen der EU-Kommission mit der US-Regierung. Dafür müsse in erster Linie ein Aktionsplan aufgestellt werden, so dass spätestens bis zum Wirksamwerden der Datenschutzgrundverordnung am 25. Mai 2018 Abhilfe für die Bedenken geschaffen wird. Anderenfalls ergreifen die Mitglieder der Artikel-29-Datenschutzgruppe geeignete Maßnahmen wie die Anrufung nationaler Gerichte, und kündigen eine mögliche Überprüfung des Privacy Shields durch den Europäischen Gerichtshof an.

Die Kritik der Artikel-29-Datenschutzgruppe ändert momentan aber nichts an der noch bestehenden Wirksamkeit des Privacy Shields. Das Instrument kann also weiterhin als Rechtsgrundlage für Datenübermittlungen in die USA herangezogen werden, solange kein Gericht rechtswirksam die Unwirksamkeit von Privacy Shield festgestellt hat.

Derzeit ist das Privacy Shield nicht der einzige Datentransfermechanismus, an dessen Wirksamkeit gezweifelt wird. Schrems ging in einem zweiten Verfahren gegen die EU-Standardvertragsklauseln vor. Nun prüft der EuGH im Rahmen eines Vorabentscheidungsersuchen durch den Obersten Irischen Gerichtshof, ob die EU-Standardverträge eine ausreichende Garantie hinsichtlich des Schutzes der Privatsphäre für eine Übermittlung personenbezogener Daten in Drittländern darstellen. In Zukunft wird sich einiges auf dem Gebiet der Grundlagen für einen rechtskonformen Datenaustausch in Drittländer tun, und wir halten Sie diesbezüglich selbstverständlich auf dem Laufenden.

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!

Neues zur Arbeitnehmerüberwachung aus Straßburg

Wir berichten über die digitale Überwachung am Arbeitsplatz.

Neues zur Arbeitnehmerüberwachung aus Straßburg

Der europäische Gerichtshof für Menschenrechte in Straßburg hatte am 05.09.2017 über das Recht auf Achtung des Privat- und Familienlebens aus Art. 8 EMRK am Arbeitsplatz zu entscheiden. Es ging um die Rechtmäßigkeit der Kündigung des rumänischen Staatsangehörigen Mogdan Mihai Bărbulescu, der am Arbeitsplatz zunächst auf Anweisung seines Arbeitsgebers einen Yahoo Messenger installierte um Kundenanfragen zu beantworten und diesen im Weiteren auch für private Kommunikation nutzte. Kurz vor der Kündigung des Beschwerdeführers wurde im Unternehmen über die Entlassung einer Angestellten aus disziplinarischen Gründen informiert, nachdem sie Internet, Telefon und Kopierer für private Zwecke genutzt hatte. Der Beschwerdeführer stritt die Anschuldigung ab, den Messenger Dienst für private Kommunikation genutzt zu haben, jedoch konnte der Arbeitgeber ihm ein 45-seitiges Transkript seiner Online-Gespräche entgegenhalten, welches Kommunikation mit seinem Bruder und seiner Verlobten zu persönlichen und intimen Themen enthielt. Der Arbeitgeber sprach Herrn Bărbulescu am 1. August 2007 die Kündigung aus, die der Beschwerdeführer vor den nationalen Gerichten jedoch angriff, aufgrund der Überwachung am Arbeitsplatz, die sein Recht auf Privatsphäre und private Kommunikation verletzen würde. Die nationalen Gerichte wiesen das Begehren des Beschwerdeführers, die Rechtswidrigkeit der Kündigung festzustellen, ab. Ebenso verneinte die Kammer des EGMR im Januar 2016 eine Verletzung des Art. 8 EMRK, mit der Begründung, die nationalen Gerichte hätten einen fairen Ausgleich zwischen den betroffenen Interessen auf Achtung des Privatlebens und der Korrespondenz einerseits sowie den Interessen des Arbeitgebers andererseits hergestellt. Im Juni 2016 beantragte Herr Bărbulescu eine Verweisung an die Große Kammer des EGMR, die nun auch anders als zuvor urteilte.

Entscheidung des EGMR: 

Das Gericht stellte zunächst fest, dass Art. 8 EMRK anwendbar ist, denn obwohl die Kommunikation am Arbeitsplatz stattfand ist das Konzept von „Privatleben“ für diesen Fall anwendbar. Auch die Vorgaben des Arbeitgebers können das Privatleben am Arbeitsplatz nicht auf null reduzieren, sondern nur auf das Nötigste beschränken. 

Im Weiteren stellt das Gericht fest, dass die nationalen Gerichte es versäumt haben festzustellen, ob der Beschwerdeführer über die Überwachungsmaßnahmen und deren Natur informiert worden sei. Der vorherige Hinweis auf eine ähnliche Entlassung wegen privater Internutzung am Arbeitsplatz sei nicht ausreichend, um den Angestellten zu warnen bzw. zu informieren. Ein Arbeitnehmer muss vor Beginn der Überwachungsmaßnahmen über die Art und das Ausmaß derselben informiert werden, um sich bei der privaten Kommunikation am Arbeitsplatz darüber bewusst zu sein, dass private und intime Details möglicherweise mitgelesen werden. Vor allem mit Blick auf das Ausmaß der Überwachung und den Eingriff in die Rechte des Arbeitnehmers hätte die Frage nach einer ausreichenden Warnung umfassend beantwortet werden müssen, ebenso wie die fehlende Beurteilung der nationalen Gerichte, ob überhaupt legitime Gründe zur Rechtfertigung dieses massiven Eingriffs zur Verfügung standen. Auch haben es die Gerichte versäumt zu hinterfragen, ob das gleiche Ziel mit milderen Mitteln hätte erreicht werden können, was aber im Hinblick auf das eingriffsintensivste Disziplinarmittel, nämlich der Kündigung, unbedingt hätte erfolgen müssen. Aufgrund dieser Feststellungen stellt der EGMR fest, dass die Gerichte die widerstreitenden Interessen der Beteiligten nicht in angemessenen Ausgleich gebracht haben und Rumänien damit seine Schutzpflichten gegenüber dem Beschwerdeführer verletzt hat. Neben diesen konkreten Feststellungen der Versäumnisse der rumänischen Gerichte, geht aus diesem Urteil deutlich hervor, dass Überwachungsmaßnahmen am Arbeitsplatz zwar möglich sind, über sie aber zuvor informiert werden muss und sie in einem angemessenen Verhältnis zum Zweck stehen müssen. Da auch Deutschland Mitglied des Europarates ist, müssen sich auch die hiesigen Gerichte und Arbeitgeber an diese Vorgaben halten. 

Rechtsprechung deutscher Gerichte zur Arbeitnehmerüberwachung

Auch die hiesige Rechtsprechung war in den vergangenen Jahren immer wieder mit dieser Thematik befasst und hat teilweise recht unterschiedliche Entscheidungen getroffen: Während das LAG Berlin-Brandenburg 2016 urteilte, dass im Rahmen von Kündigungsschutzprozessen die Einträge der aufgerufenen Internetseiten in einem Internetbrowser, der auf dem Dienstrechner installiert ist, ausgewertet werden dürfen, um eine exzessive private Internetnutzung am Arbeitsplatz zu beweisen, fällt die Einschätzung des BAG zu Keyloggern anders aus. Keylogger können auf einem Rechner installiert werden, um unbemerkt Tastenanschläge zu registrieren und in regelmäßigen Abständen Bildschirmfotos zu machen. In einem Kündigungsprozess, versuchte der Arbeitgeber die private Nutzung am Arbeitsplatz mithilfe der Dokumentation des Keyloggers zu beweisen. Das BAG sah darin aber einen massiven Eingriff in die Persönlichkeitsrechte des Arbeitnehmers und betrachtete die anlasslose und gleichzeitig sehr intensive Überwachung der Arbeitnehmer als unverhältnismäßig. Damit war ein Beweisverwertungsverbot einschlägig und die gesammelten Beweise konnten im Prozess nicht verwendet werden. 

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!

Facebook verliert Prozess in 2. Instanz: kein ausreichender Datenschutz!

Wir erklären, warum der Datenschutz von Facebook nach Ansicht des Berliner Gerichts nicht ausreichend ist.

Facebook verliert Prozess in 2. Instanz: kein ausreichender Datenschutz! 

Einführung

Das Kammergericht Berlin entschied mit Urteil vom 22. September 2017 (Az. 5 U 155/14), dass Facebook die personenbezogenen Daten deutscher Kunden im App-Zentrum nicht ausreichend schützt und bestätigte die vorherige Entscheidung des Landgerichts Berlin vom November 2014. Facebook ist nun verpflichtet, in Sachen Datenschutz nachzubessern und den Verbraucher über die Nutzungsbedingungen für Spiele aus seinem App-Zentrum besser zu informieren.

Der Sachverhalt

Facebook-Nutzer können über das App-Zentrum kostenlos Onlinespiele anderer Anbieter spielen. Im November 2012 wurde in dem App-Zentrum u.a. auch das Spiel „The Ville“ angeboten, für das Nutzern zu Beginn des Spiels unter dem Button „Sofort spielen“ Hinweise bezüglich der Übermittlung ihrer personenbezogenen Daten an den Betreiber des Spiels angezeigt wurden, jedoch ohne Angaben über den Zweck der Datenverarbeitung. Die personenbezogenen Daten umfassten die E-Mail-Adresse, Statusmeldungen und andere Informationen. Diese Konstellation traf auch auf drei weitere Spiele zu. Bei dem Spiel „Scrabble“ hieß es: „Diese Anwendung darf Statusmeldungen Fotos und mehr in deinem Namen posten“. 

Der Bundesverband der Verbraucherzentralen (VZBV) mahnte Facebook ab und klagte anschließend mit der Begründung, dass die Hinweise zu knapp seien, um den Verbraucher in ausreichendem Maße über die Datenverarbeitung zu informieren. Ferner würde der Hinweis keine rechtswirksame Einwilligung darstellen. Somit sei Facebook nicht befugt, die personenbezogenen Daten der Nutzer an den Anbieter zu übermitteln. Das Landgericht gab dem VZBV Recht. Facebook ging daraufhin in Berufung, scheiterte nun allerdings auch vor dem Kammergericht.

Die Entscheidungen des KG Berlin

Zum einen entschied das Gericht, dass das deutsche Datenschutzrecht Anwendung findet, obwohl es sich bei Facebook um ein Unternehmen mit Sitz in Irland handelt. Grund dafür sei, dass sich das Angebot auch an deutsche Nutzer richte und sich eine in Hamburg sitzende Schwestergesellschaft für die Förderung des Anzeigengeschäfts verantwortlich zeichne. Allein in dem Werben um Werbekunden und deren Unterstützung durch die Facebook Germany GmbH liege eine hinreichend effektive und tatsächliche Tätigkeit einer Niederlassung. Insgesamt unterliege Facebook also hier dem deutschen Datenschutzrecht. 

Auch im Übrigen stimmt das Kammergericht der Entscheidung der Vorinstanz zu. Ein Rechtsverstoß sei darin zu sehen, dass eine Einwilligung des Nutzers bezüglich der Übermittlung seiner personenbezogenen Daten fehle. Allein durch das Anklicken des Buttons „Sofort spielen“ werde der Nutzer nicht ausreichend darüber informiert, dass er dadurch in die Übermittlung seiner Daten einwillige. Der Nutzer werde diesbezüglich nicht einheitlich informiert. Ferner dürfe auch nicht von einer Generaleinwilligung des Nutzers über die Übermittlung seiner Daten an andere Betreiber ausgegangen werden. 

Das Gericht beanstandete auch die Mitteilung bezüglich der Berechtigung zum Posten im Namen des Nutzers. In diesem Zusammenhang stellte die Einräumung derartiger Berechtigungen einen Verstoß gegen das Transparenzgebot aus dem AGB-Recht gemäß § 307 Abs. 1 S. 2 BGB und gegen Vorgaben der EU-Datenschutzrichtlinie 95/46/EG dar. Zum einen sei zu unbestimmt und unklar, in welchem Umfang und mit welchem Inhalt sich diese Posts durch den Spielebetreiber geschehen sollten, zumal zum anderem von der Formulierung auch Werbung für sexuell anzügliche Produkte umfasst sei. 

Das Urteil des Kammergerichts ist allerdings noch nicht rechtskräftig. Es ist möglich, dass Facebook in Revision geht.

Anforderungen an eine wirksame Datenschutzeinwilligungserklärung

Gemäß § 4 Abs. 1 Bundesdatenschutzgesetz (BDSG) ist die Erhebung, Verarbeitung und Nutzung personenbezogener Daten nur zulässig, soweit eine gesetzliche Grundlage dafür vorliegt oder der Betroffene darein eingewilligt hat. Die Anforderungen an eine wirksame Einwilligung regelt § 4a BDSG. 

Zunächst muss eine Einwilligung freiwillig erfolgen, also auf einer autonomen Entscheidung des Betroffenen beruhen. Dies wird dadurch gewährleistet, indem man dem Betroffenen eine Alternative zur Einwilligung bietet. Ferner hat derjenige, der die personenbezogenen Daten erhebt, verarbeitet oder nutzt den Zweck der Datenerhebung, -verarbeitung oder –nutzung anzugeben. Das Erfordernis der Transparenz zeichnet sich dadurch aus, dass gerade keine pauschale Einwilligung für noch unbestimmte Zwecke in der Zukunft eingeholt werden können. Zudem muss die Einwilligung grundsätzlich schriftlich eingeholt werden. Unter Umständen ist es erforderlich, den Betroffenen auch auf die Folgen der Verweigerung der Einwilligung hinzuweisen. Ebenso ist eine besondere optische Hervorhebung unerlässlich, falls die Einwilligung zusammen mit anderen Erklärungen erteilt werden soll. 

Außerdem nutzen viele Unternehmer vorformulierte Einwilligungserklärungen, um sie bei einer Vielzahl von Verträgen anzuwenden. Wenn die Einwilligung in AGB eingebaut wird, muss sie zudem den Anforderungen der §§ 305 ff. BGB genügen. Insbesondere darf kein Verstoß gegen § 307 Abs. 1 BGB vorliegen, nach dem die Klausel den Betroffenen erstens nicht entgegen den Geboten von Treu und Glauben unangemessen benachteiligen darf und zweitens die Erklärung gemäß des Transparenzgebots für den Vertragspartner klar und verständlich sein muss.

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!

Zulässigkeit von Dashcam-Aufnahmen im öffentlichen Straßenverkehr

Ausgehend vom Urteil des OLG Nürnberg erläutern wir die Zulässigkeit von Dashcam-Aufnahmen im öffentlichen Straßenverkehr.

Zulässigkeit von Dashcam-Aufnahmen im Straßenverkehr

Was sind Dashcams?

Als Dashcams werden kleine Kameras bezeichnet, die im Auto am Armaturenbrett oder an der Windschutzscheibe angebracht werden können, um Verkehrsvorgänge zu filmen. Grundsätzlich funktionieren die Kameras so, dass während der gesamten Fahrzeit das Verkehrsgeschehen gefilmt wird, die Daten aber nur für eine kurze Dauer im Zwischenspeicher des Geräts hinterlegt werden. Erst bei Eintritt einer größeren Erschütterung, wie sie bei einem Unfall auftreten würde, speichert die Dashcam 30 Sekunden des Geschehens dauerhaft auf der eingesetzten SD-Karte ab. Davon bilden 20 Sekunden das Geschehen unmittelbar vor der Erschütterung, und 10 weitere nach der Erschütterung ab. Damit sollen Unfallhergänge besser rekonstruiert und gegebenenfalls in Schadensersatzverfahren bewiesen werden können.

Ob solche Dashcams überhaupt erlaubt sind, ob sie als Beweise verwertet werden dürfen und welche Belange dem entgegenstehen könnten, beschäftigt die Gerichte seit einiger Zeit. Das OLG Nürnberg hat nun als erstes Oberlandesgericht darüber zu entscheiden gehabt und sorgfältig abgewogen. 

Der Sachverhalt

In dem Verfahren vor dem OLG Nürnberg begehrte der Kläger Schadensersatz aus einem Verkehrsunfall. Der Kläger fuhr mit seinem PKW vor dem LKW des Beklagten auf der Autobahn. Im Verlauf der Fahrt fuhr der Beklagte dem Kläger auf, wodurch das klägerische Fahrzeug heckseitig links beschädigt wurde. Dadurch entstand ein Schaden in Höhe von knapp 14.000 Euro, den der Kläger nun vollständig ersetzt verlangte, da er der Meinung war, der Unfall sei ausschließlich durch den Beklagten verschuldet worden. Dieser sei ihm aufgrund von Unachtsamkeit oder überhöhter, nicht angepasster Geschwindigkeit sowie insbesondere aufgrund von nicht eingehaltenem Sicherheitsabstand aufgefahren. Zur Entkräftung dieser Behauptung wollte der Beklagte Aufnahmen seiner Dashcam als Beweismittel in den Prozess einbringen. Hiergegen war vertrat der Kläger die Auffassung, die Verwendung der Aufnahmen würde gegen Beweisverwertungsverbote verstoßen.

Beweisverwertungsverbote – eine Abwägungsentscheidung

Ausdrücklich normierte Beweisverwertungsverbote gibt es zwar im Strafprozessrecht, nicht jedoch in der Zivilprozessordnung. Verstößt die Beweisbeschaffung also gegen eine Norm, so verhindert dies nicht automatisch die Verwertung des Beweises. Vielmehr muss im Lichte der verletzten Norm und deren Schutzzweck aufgrund einer Interessen- und Güterabwägung über die Verwertbarkeit entschieden werden. Hierbei kommt es einerseits auf die Bedeutung des Beweismittels für die Rechtsverwirklichung einer Partei an, andererseits müssen die informationelle Selbstbestimmung, das Recht am eigenen Bild nach § 22 S. 1 KunstUrhG und datenschutzrechtliche Normen wie § 6b BDSG in der Güter- und Interessenabwägung mit berücksichtigt werden.

Das allgemeine Persönlichkeitsrecht und die informationelle Selbstbestimmung

Das informationelle Selbstbestimmungsrecht ist Ausfluss des allgemeinen Persönlichkeitsrecht (Art. 2 Abs. 1 GG iVm Art. 1 Abs. 1 GG) und umfasst das Recht am eigenen Bild und den Schutz der personenbezogenen Informationen. Grundsätzlich ist das Aufzeichnen des Verkehrsvorgangs dazu geeignet, in den Schutzbereich des allgemeinen Persönlichkeitsrecht einzugreifen, ob dieses Recht aber tatsächlich verletzt ist, hängt von einer Abwägung der schutzwürdigen Interessen beider Parteien ab. Gegen die Annahme einer Verletzung des allgemeinen Persönlichkeitsrechts sprechen im Wesentlichen zwei Gesichtspunkte: Zum einen ist auf den Aufnahmen der Dashcam die Person des Klägers selbst nicht erkennbar. Zum anderen gehört die Aufnahme von Verkehrsvorgängen in der Öffentlichkeit ohne Zweifel der Sozial- bzw. Öffentlichkeitssphäre an und unterfällt damit dem geringsten Schutz durch das allgemeine Persönlichkeitsrechts, da von einer sehr geringen Belastungsintensität ausgegangen werden kann und unter Gesichtspunkten der Verhältnismäßigkeit ein Eingriff die geringsten Rechtfertigungsanforderungen aufweist. Daher nimmt das OLG Nürnberg nicht an, dass sich ein Verwertungsverbot aus einer Verletzung des Rechts auf informationelle Selbstbestimmung ergibt.

Betroffene Rechte Dritter

Naturgemäß werden bei der Aufnahme von Vorgängen im Straßenverkehr nicht nur die Unfallbeteiligten aufgenommen, sondern auch unbeteiligte Dritte werden von der Aufnahme erfasst. Allerdings bewahrt die Aufnahme die Anonymität dieser Passanten und erfasst sie nur als „Beiwerk des Stadt- und Straßenbildes“, denn im Vordergrund steht bei den Dashcam-Aufnahmen nicht die Abbildung einer Persönlichkeit, sondern ein Verkehrsgeschehen und dieses sei von Verkehrsteilnehmern, die sich auf öffentlichen Wegen und Plätzen aufhalten hinzunehmen. Deshalb stehen auch Rechte Dritter der Verwertbarkeit nicht im Wege. 

Datenschutzrechtliche Gesichtspunkte

In die Abwägungsentscheidung wurden auch datenschutzrechtliche Erwägungen mit einbezogen. So stand ein Verstoß gegen § 6b BDSG zur Debatte. § 6b BDSG erklärt die Beobachtung öffentlich zugänglicher Räume mittels Videoüberwachung für unzulässig, es sei denn sie ist erforderlich zur Aufgabenerfüllung öffentlicher Stellen, zur Wahrnehmung des Hausrechts oder zur Wahrnehmung berechtigter Interessen für konkret festgelegte Zwecke und das schutzwürdige Interesse der Betroffenen überwiegt nicht. Die ersten beiden Alternativen sind offensichtlich nicht gegeben, das Gericht prüfte jedoch, ob die Aufzeichnungen zur Wahrnehmung berechtigter Interessen erforderlich sind. Dabei wurde deutlich herausgestellt, dass die Aufzeichnung der Rechtsverfolgung oder Rechtsverteidigung dienten, ebenso wie sie für eine funktionstüchtige Rechtspflege mit dem Streben nach einer materiell richtigen Entscheidung erforderlich war. Denn außer den Aufzeichnungen der Dashcam waren keine anderen Beweise verfügbar. Hinzu tritt der Fakt, dass die Aufzeichnung nur in einer Länge von 30 Sekunden permanent gespeichert wurde und damit jegliche Zweifel an dem Verwendungszweck der Aufnahmen ausgeräumt werden konnten. 

Datenschutzrechtliche Anordnung gegen den Betrieb einer Dashcam

Auf den ersten Blick gegenteilig wirkt die Entscheidung des VG Göttingen vom 31.05.2017 zur Rechtmäßigkeit einer datenschutzrechtlichen Anordnung gegen den Betrieb einer Dashcam. Dabei urteilt das Verwaltungsgericht, dass eine datenschutzrechtliche Anordnung, die dem Betroffenen den Betrieb seiner Dashcam im öffentlichen Straßenverkehr untersagt bzw. einschränkt, rechtmäßig sei, da die Aufnahmen gegen den § 6b BDSG verstießen.

Der Kläger wehrte sich gegen diese datenschutzrechtliche Anordnung der Beklagten, die ergangen war, nachdem der Kläger in den vergangenen Jahren an seinem Auto an Front- und Heckscheibe eine Dashcam angebracht und auf Grundlage der Aufnahmen etwa 50.000 Ordnungswidrigkeiten bei den Ordnungsbehörden angezeigt hatte, wobei er seine Anzeigen mit Bildaufnahmen belegte. Daraufhin erließ die Beklagte gegen ihn die Anordnung mit dem Inhalt, die Verwendung seiner Daschcams so zu gestalten, dass eine Erhebung und Verarbeitung personenbezogener Daten anderer Verkehrsteilnehmern anlässlich der widmungsgemäßen Nutzung von öffentlichen Verkehrsflächen ausgeschlossen ist und weiterhin diejenigen Aufnahmen zu löschen, die nicht ausschließlich für einen persönlichen oder familiären Zweck entstanden sind. 

Eine Rechtsgrundlage sieht das Verwaltungsgericht in § 38 Abs. 5 S. 1 BDSG, da der Kläger gegen § 6b BDSG verstoßen hat. Denn er beobachte und überwache öffentlich zugängliche Räume, erhebe und verarbeite dabei personenbezogene Daten. Sein Verhalten falle offensichtlich nicht unter einen der Ausnahmetatbestände des § 6b Nr. 1 und 2, und auch nicht unter Nr. 3, da bei der Wahrnehmung berechtigter Interessen der Zweck konkret festgelegt sein müsse und der Kläger nur den weitgefassten Zweck des Selbst- und Eigentumsschutzes sowie der Beweissicherung angebe. Diese Zwecke könnten allenfalls einen Einsatz der Dashcams im Einzelfall rechtfertigen, nicht jedoch wie hier die anlasslose und regelmäßige Videoüberwachung des Straßenverkehrs. Darin sei auch kein berechtigtes Interesse zu sehen, denn der Kläger trete als vermeintlicher Sachwalter öffentlicher Interessen auf, obwohl die Gewährleistung eines gesetzeskonformen Straßenverkehrs der Straßenverkehrsbehörden und Polizei, nicht jedoch privaten Dritten obliege. Und selbst wenn ein solches schutzwürdige Interesse anzunehmen wäre, würden die schutzwürdigen Interessen der anderen Verkehrsteilnehmer mit ihrem Recht auf informationelle Selbstbestimmung die Interessen des Klägers überwiegen. 

Das Gericht zieht noch in Betracht, dass die Anwendung des § 38 Abs. 5 BDSG gem. § 27 Abs. 1 S. 1 BDSG ausgeschlossen sei, falls die Erhebung, Verarbeitung und Nutzung der personenbezogenen Daten ausschließlich für persönliche oder familiäre Tätigkeiten erfolge. Allerdings gelte die Ausnahme für persönliche und familiäre Zwecke nicht für den öffentlichen Raum, so dass eine Aufnahme des öffentlichen Verkehrs von vorn herein nicht mehr „ausschließlich“ persönlicher oder familiärer Natur sein könne. So sei es auch hier, da der Kläger unter anderem die Kameras verwendet habe, um Verkehrsordnungswidrigkeiten anderer Verkehrsteilnehmer aufzunehmen, ohne dass er persönlich etwas mit diesem Verkehrsvorgang zu tun habe.

Beweisverwertungsverbot bei Verstoß gegen § 6b BDSG

Das OLG Stuttgart hatte Ende des Jahres 2016 über die Frage zu entscheiden, ob zwingend ein Beweisverwertungsverbot im Straf- oder Bußgeldverfahren anzunehmen sei, wenn Dashcam-Aufnahmen unter Verstoß gegen § 6b BDSG gefertigt wurden. Dabei kam das Gericht zu dem Schluss, dass § 6b Abs. 3 S. 2 BDSG kein ausdrückliches Beweisverwertungsverbot enthalte und der Gesetzgeber auch keines formulieren wollte. Ein auf rechtswidrige Weise erlangtes Beweismittel dürfe, unter Anwendung der ständigen Rechtsprechung des Bundesverfassungsgerichts (BVerfG), im Einzelfall auch zu Lasten des Betroffenen verwendet werden, wenn die Art des Verbots und das Gewicht des Verfahrensverstoßes sowie der Bedeutung der betroffenen Rechtsgüter unter Abwägung der widerstreitenden Interessen dies erforderlich machten. Daher sei der Tatrichter nicht daran gehindert, eine Videoaufzeichnung zu verwerten und als Beweismittel zuzulassen, solange diese keine Einblicke in die engere Privatsphäre gewährten, sondern lediglich Verkehrsvorgänge dokumentierten und damit eine mittelbare Identifizierung durch das Kennzeichen erlaubten. Dabei könne dann das allgemeine Interesse an der Effektivität von erheblichem Fehlverhalten im Straßenverkehr höher gewertet werden, als die entgegenstehenden Interessen des Betroffenen. Daher ist es nicht ausgeschlossen, dass trotz eines Verstoßes gegen § 6b BDSG eine Verwertung als Beweismittel zumindest im Straf-und Bußgeldverfahren möglich ist. 

Fazit

Mit diesen Entscheidungen sind zwar nicht alle Streitigkeiten und Unklarheiten rund um die Verwendbarkeit von Dashcams im öffentlichen Straßenverkehr ausgeräumt. Jedoch können unterschiedliche Schlüsse aus den oben genannten Überlegungen gezogen werden: Zum einen, dass Dashcam-Aufzeichnungen als Beweis verwertet werden dürfen, wenn sie zur funktionstüchtigen Rechtspflege beitragen, keine anderen Beweise auffindbar sind und die Aufzeichnungen auf eine zeitlich eng begrenzte Dauer beschränkt sind. Zum anderen wird aber auch deutlich, dass eine anlasslose und regelmäßige Videoüberwachung des öffentlichen Straßenverkehrs unter keinen Ausnahmetatbestand des BDSG fällt, das Argument des Selbst- und Eigentumsschutzes nicht ausreicht, um ein berechtigtes Interesse zu begründen und ein Verhalten, wie es der Kläger an den Tag gelegt hat, durch eine datenschutzrechtliche Anordnung zweifelsfrei untersagt werden kann. Trotzdem betonen Gericht immer wieder, dass eine dauerhafte und anlasslose Überwachung von einer Überwachung im Einzelfall zu unterscheiden sei, wenn der Fahrer eine Gefahr oder Verletzung im Straßenverkehr befürchtet. Zu der Frage wann und unter Bezugnahme auf welche Ausnahmetatbestände eine solche Aufnahme gerechtfertigt wäre, äußert sich das VG Göttingen jedoch nicht.

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!

Umstrittene Pflicht zur Vorratsdatenspeicherung ausgesetzt

Im Folgenden erläutern wir das Urteil des OVG Münster zur Vorratsdatenspeicherung.

Umstrittene Pflicht zur Vorratsdatenspeicherung ausgesetzt

Einführung

Mit Beschluss vom 22. Juni 2017 hat das Oberverwaltungsgericht (OVG) Münster entschieden, dass die Pflicht zur Vorratsdatenspeicherung vorläufig bis zum rechtskräftigen Abschluss der Hauptsache für die klagende Telekommunikationsdienstanbieterin ausgesetzt wird. Die Bundesnetzagentur reagierte prompt auf den Beschluss des OVG und verkündete, bis zum Urteil im Hauptverfahren die Pflicht zur Speicherung auch gegenüber anderen Telekommunikationsdienstleistern nicht durchzusetzen. 

Was ist die Vorratsdatenspeicherungspflicht? 

Die sogenannte Vorratsdatenspeicherungspflicht wurde im Dezember 2015 eingeführt und sollte ab dem 1. Juli 2017 für alle Telekommunikationsdienstanbieter verbindlich gelten. Sie umfasst die anlasslose Speicherung von Daten zum Zwecke der Strafverfolgung auf Vorrat, die durch die Nutzung des Dienstes anfallen. Darunter fallen also Verkehrsdaten und Standortdaten. Für letztere gilt eine Speicherpflicht von vier Wochen, alle anderen Daten werden für einen Zeitraum von zehn Wochen gespeichert. 

Die Diskussion über die Vorratsdatenspeicherung hält schon lange an: Befürworter halten sie für ein evidentes Instrument der Verbrechensbekämpfung. Durch den nur im Einzelfall stattfindenden Zugriff auf die personenbezogenen Daten verdächtiger Personen sei der Grundrechtseingriff gering. Auf der anderen Seite kritisieren Gegner die Regelung: Die flächendeckende und ausnahmslose Speicherung von Telekommunikationsdaten sei ohne Einschränkungen des Personenkreises, des Kommunikationsmittels sowie der Daten unverhältnismäßig zum in wenigen Einzelfällen tatsächlich vorkommendem Zugriff auf die Daten. Insoweit führte auch das Bundesverfassungsgericht bereits im Volkzählungsurteil aus dem Jahre 1983 aus, dass wer unsicher ist, ob abweichende Verhaltensweisen jederzeit notiert und als Information dauerhaft gespeichert, verwendet oder weitergegeben werden, versuchen wird, nicht durch solche Verhaltensweisen aufzufallen und dadurch in der Entfaltung seiner freier Persönlichkeit gehemmt ist. 

Jetziger Sachverhalt

Klage eines Telekommunikationsdienstanbieters 

Ein Münchener Internetprovider hatte geklagt und ist nun durch einstweilige Anordnung vorzeitig vor Beendung des Hauptverfahrens von seiner Speicherungspflicht entbunden. 

Bundesnetzagentur zieht nach 

In Folge des Beschlusses und seiner Begrüßung von Rechtswissenschaftlern, Bürgerrechtsorganisationen, wirtschaftlichen Interessenverbänden und der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) entschied sich die Bundesnetzagentur für das Absehen von Anordnungen und sonstigen Durchsetzungsmaßnahmen der Speicherpflicht gegenüber allen grundsätzlich verpflichteten Unternehmen. Es kommt somit nicht mehr zur Einleitung von Bußgeldverfahren gegen die Telekommunikationsdienstanbieter, wenn diese die Vorratsdatenspeicherung bis zu einer Entscheidung in der Hauptsache nicht umsetzen.

Begründung des Gerichts: 

Verstoß gegen das Europarecht 

Das OVG begründete seine Ansicht damit, dass die Vorratsdatenspeicherung gegen das Europarecht verstoße. Die Regelung sei nicht mit Art. 15 Abs. 1 der Datenschutzrichtlinie für elektronische Kommunikation (RL 2002/58/EG) vereinbar. Zudem verstoße sie auch gegen Art. 7 und 8 der Charta der Grundrechte der Europäischen Union. 

Darüber hinaus nimmt das OVG Bezug auf die Entscheidung des Gerichtshofs der Europäischen Union (EuGH) vom 21.12.2016. Dort hatte das Gericht ergänzend zu einer Entscheidung vom 21.04.2014 verdeutlicht, dass es aufgrund nationaler Regelungen der Vorratsdatenspeicherung nicht zu einer uferlosen Überwachung der Betroffenen kommen dürfe. Die Verhältnismäßigkeit sei strikt auszulegen, also dürfe die Speicherung nur während eines bestimmten Zeitraums und aus eng begrenzten Gründen erfolgen und gerade nicht als allgemeine und unterschiedslose Speicherung nahezu aller Verkehrs- und Standortdaten ausgestaltet sein. Nationale Regelungen müssten die Vorratsdatenspeicherung als Eingriff in den Schutz personenbezogener Daten, zum Schutz des Grundrechts auf Achtung des Privatlebens, auf das absolut Notwendige beschränken. 

Das Gericht stützt seine Entscheidung auf drei Beanstandungen: Zum einen enthalte die Regelung keine Ausnahme. Die Speicherpflicht umfasse alle Personen (auch solche die einem besonderen Berufsgeheimnis unterfallen), alle elektronischen Kommunikationsmittel und alle Verkehrsdaten. Hier fehle es an einem Zusammenhang zwischen den zu speichernden Daten und einer Bedrohung für die öffentliche Sicherheit. Um einen Eingriff in Art. 7 oder 8 der Charta zu rechtfertigen, fehle des Weiteren ein objektives Kriterium zur Beschränkung des Zugangs zu den Daten und ihrer Nutzung für die Verhinderung oder Verfolgung von Straftaten. Zudem enthalte die Regelung keine Verfahrensvorschriften, auch nicht zur vorherigen Kontrolle durch ein Gericht oder eine öffentliche Stelle. Ferner moniert das Gericht die einheitliche Speicherdauer der Daten ohne Unterscheidung bezüglich der Datenkategorien oder anhand der Personenkreise.

Anforderungen an eine mögliche Vorratsdatenspeicherung 

Die Beschränkung der zu speichernden Daten sollte auf das absolut Nötigste beschränkt sein. Dem genüge eine Regelung der Vorratsdatenspeicherung, wenn sie klare und präzise Regeln über die Tragweite und die Anwendung für die Speicherung vorsehe und Mindestanforderungen zur Gewährleistung eines ausreichenden Schutzes vor Missbrauch aufstelle. Dafür bedürfe es einer genauesten Differenzierung, unter welchen Umständen und unter welchen Voraussetzungen eine Maßnahme der Vorratsdatenspeicherung vorbeugend getroffen werden darf. Zudem sind die materiellen Voraussetzungen der Speicherung in die Regelung mit aufzunehmen. Zur Herstellung eines Zusammenhangs zwischen den zu speichernden Daten und dem verfolgten Ziel seien objektive Kriterien der Speicherung zu beachten, die zur Begrenzung des Umfangs der Maßnahme und auch den betroffenen Personenkreis geeignet sind. Eine zulässige Beschränkung könne auch in Bezug auf einen bestimmten Zeitraum, einen Personenkreis oder den Daten vorgenommen werden. Des Weiteren bedürfe es Verfahrensvorschriften, die den Zugang zu den Daten auf das absolut Notwendige beschränken.

Folgeprobleme der Wiedereinführung der Vorratsdatenspeicherung 

Grundsätzlicher Zweck einer Vorratsdatenspeicherungspflicht gegenüber TK-Dienstanbieter ist, diese Daten für Strafermittlungszwecke für eine feste Dauer abrufen zu können. Grundsätzlich werden die Pflicht der manuellen Bestandsdatenauskunft der TK-Dienstanbieter in § 113 TKG geregelt. Nach § 113 Abs. 1 S. 4 TKG haben die Unternehmen zur Auskunftserteilung dabei auf alle unternehmensinternen Datenquellen zurückzugreifen. Bezüglich der Zeiträume der Speicherung dieser Verkehrsdaten gilt somit wieder die Rechtslage, wie vor Einführung der neuen Vorratsdatenspeicherung, bei der nach Vertragsmodellen differenziert werden muss und den TK-Dienstanbieter grundsätzlich auch gewisse eigene Entscheidungsspielräume eröffnet werden.

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!

Die Auftragsdatenverarbeitung

Wir gehen auf die Änderungen der Auftragsdatenverarbeitung mit Einführung der Datenschutz-Grundverordnung ein.

Die Auftragsdatenverarbeitung

Einführung

In der Praxis häufig anzutreffen ist das Auslagern ganzer Arbeitsprozesse, die die Verarbeitung personenbezogener Daten umfassen, an unternehmensfremde Dienstleister. Das Bundesdatenschutzgesetz (BDSG) sah bisher detaillierte Regelungen zur Auswahl und Beauftragung solcher Dienstleister vor, um eine Privilegierung des Auftragsdatenverarbeiters zu erreichen.

Änderungen

Mit dem Inkrafttreten der Datenschutz-Grundverordnung (DS-GVO) wird auch dieser Regelungsbereich von der unmittelbaren Wirkung der Verordnung verdrängt werden, sodass sich deutsche Unternehmen auf die im Folgenden zu umreißenden Änderungen einstellen können:

Privilegierung nach §§ 3 Abs. 8 S. 3, 11 BDSG

Bisher galt nach dem BDSG eine Privilegierung von Auftragsdatenverarbeitern im Europäischen Wirtschaftsraum. Diese rechtlich privilegierte Stellung ergibt sich aus § 3 Abs. 8 Satz 3 BDSG, wonach Personen und Stellen im Inland, in einem Mitgliedstaat oder im Europäischen Wirtschaftsraum personenbezogene Daten im Auftrag erheben, verarbeiten oder nutzen, nicht Dritte im Sinne des Gesetzes sind. Sie werden also aus Sicht des Datenschutzrechts dem Verantwortlichen zugerechnet. Konsequenz dessen ist, dass die Weitergabe von personenbezogenen Daten keine Rechtfertigungsbedürftigkeit auslöst, da sie keine Übermittlung iSd § 3 Abs. 3 BDSG darstellt, sondern vielmehr nur eine Weitergabe von Daten innerhalb derselben Organisation des Verantwortlichen. Die Weitergabe an Auftragsdatenverarbeiter in Drittländer ist jedoch von der Privilegierung ausgenommen und wäre wiederum rechtfertigungsbedürftig. 

Wie geht es weiter mit der Privilegierung?

Inwieweit die DS-GVO mit ihrem Inkrafttreten am 18. Mai 2018 Änderungen für diesen Privilegierungstatbestand mit sich bringt ist in Fachkreisen noch sehr umstritten. Einerseits wird vertreten, dass die Privilegierung weiterhin erhalten bleibt, sogar in ihrem örtlichen Anwendungsbereich noch ausgeweitet wird, sodass die Privilegierung nicht nur im Europäischen Wirtschaftsraum gilt, sondern auch in Drittländern. Andererseits werden die Normen der DS-GVO dahingehend ausgelegt, dass die Privilegierung völlig entfällt und nur der örtliche Anwendungsbereich ausgedehnt wird. Danach sind alle Datenverarbeitungen von der DS-GVO betroffen, solange entweder der Verantwortliche oder der Auftragsverarbeiter seinen Sitz in der EU hat; ob die Datenverarbeitung dann auch in der EU stattfindet oder nicht, sei unerheblich. 

Privilegierungstheorie

Die sog. Privilegierungstheorie, sieht keine Rechtfertigungsbedürftigkeit, soweit die Voraussetzungen des Art. 28 DS-GVO erfüllt sind. Die Vertreter dieser Ansicht ziehen Art. 28 Abs. 3 DS-GVO auch gleichsam als Wortlautargument für ihre Ansicht heran: Art. 28 Abs. 3 DS-GVO sieht nämlich vor, dass „die Verarbeitung durch einen Auftragsverarbeiter … auf der Grundlage eines Vertrags oder eines anderen Regelungsinstruments nach dem Unionsrecht oder dem Recht der Mitgliedstaaten…“ erfolgen kann. Daher läge es nahe, die nach Art. 28 DS-GVO geschlossene Vereinbarung als Rechtfertigungsgrundlage anzusehen. 

Darüber hinaus ergäbe sich bei systematischer Auslegung, dass der Verarbeitungsbegriff in Art. 4 Nr. 2 DS-GVO ein einheitlicher Verarbeitungsbegriff sei, der nicht zwischen unterschiedlichen Verarbeitungsstufen unterscheide. Daher sei auch die Übermittlung an einen Auftragsverarbeiter von der Rechtfertigung gedeckt, die für die Datenverarbeitung des Verantwortlichen gilt.

Um die Begrifflichkeiten und Systematik der DS-GVO zutreffend zu verstehen, sollte die DS-GVO historisch nicht als Nachfolge des BDSG, sondern vielmehr als Nachfolge der Datenschutzrichtlinie 95/46/EG (DSRL) eingeordnet werden. Dann ist es auch nachvollziehbar, dass die DSRL die Privilegierung der Auftragsdatenverarbeitung implizit enthält und die DS-GVO diese in expliziterer Form weiterführen will. Denn beide enthalten in ihren Art. 16 DSRL und Art. 29 DS-GVO Regelungen, die ein solches Privileg voraussetzen, da diese Regelungen die weisungsgerechte Verarbeitung erlauben. Und wenn die Verarbeitung erlaubt sein soll, müsse denklogisch auch die Vorstufe der Datenüberlassung an den ordnungsgemäß verpflichteten Auftragsverarbeiter erlaubt sein.

Ein weiteres Argument für diese Betrachtungsweise stützt sich auf den Schutzzweck der Norm: Würde der Rechtfertigungstheorie gefolgt werden, hätte dies zur Folge, dass dem in der Praxis häufig anzutreffenden Outsourcing von Datenverarbeitungen ein Riegel vorgeschoben würden, so dass diese Verarbeitung bei dem Verantwortlichen verbleibt, dessen Kompetenzen aber nicht auf die Verarbeitung personenbezogener Daten ausgerichtet sind. Daher ist dieser viel weniger im Stande die personenbezogenen Daten zu schützen als ein Dienstleister, der sich darauf spezialisiert hat und ein höheres Datenschutzniveau gewährleisten könnte. 

Hinzu käme dieser Ansicht nach auch noch eine Ausweitung des Anwendungsbereichs des Privilegs über die Grenzen des Europäischen Wirtschaftsraumes hinaus, sodass die DS-GVO eine deutliche Erleichterung für Unternehmen mit sich bringen würde, die ihre Datenverarbeitungsprozesse an andere Dienstleister auslagern. 

Theorie der Rechtfertigungsbedürftigkeit 

Die Theorie der Rechtfertigungsbedürftig stellt sich dem entgegen und macht ihre Argumentation hauptsächlich am Verarbeitungsbegriff des Art. 4 Nr. 2 DS-GVO fest. Die darin enthaltene Definition macht nämlich keinen Unterschied zwischen Erheben, Verarbeiten oder Nutzen von Daten, sodass es unerheblich sei, ob es sich um eine „Weitergabe“ oder „Übermittlung“ iSd § 3 Abs. 4 Nr. 3 BDSG handele. Man könne zwar noch unterscheiden, dass nach Art. 4 Nr. 2 DS-GVO die Übermittlung ein Unterfall der Offenlegung und die Offenlegung ein Unterfall der Verarbeitung darstellt. Zu einer anderen rechtlichen Konsequenz führe dies jedoch nicht, da jeder Übermittlungsvorgang einer gesetzlichen Erlaubnis, entweder in Form einer Einwilligung oder der Erfüllung der Voraussetzungen des Art. 6 Abs. 1, 9 Abs. 2 DS-GVO bedürfe. In der Praxis würde dies bedeuten, dass überprüft werden müsste, ob jede Übermittlung an einen externen Dienstleister auf einen Rechtfertigungsgrund des Art. 6 Abs.1 DS-GVO gestützt werden könnte.

Insoweit bleibt es spannend, ob auch unter Geltung der DS-GVO eine Privilegierung der Auftragsdatenverarbeiter stattfinden wird. 

Vertragliche Ausgestaltung

Wie bisher auch, darf die Auftragsverarbeitung nur auf Grundlage eines Vertrages erfolgen, der im Unterschied zur Regelung des § 11 Abs. 2 BDSG nicht schriftlich erfolgen, aber den Anforderungen des Art. 28 Abs. 3 DS-GVO entsprechen muss:

  1. Die personenbezogenen Daten dürfen nur auf dokumentierte Weisung des Verantwortlichen verarbeitet werden 
  2. Der Datenverarbeiter muss gewährleisten, dass verarbeitende Personen zur Vertraulichkeit verpflichtet sind und einer Verschwiegenheitspflicht unterliegen 
  3. Es müssen alle nach Art. 32 erforderlichen Maßnahmen ergriffen werden 
  4. Die personenbezogenen Daten müssen nach Abschluss der Dienstleistung entweder gelöscht oder zurückgegeben werden 
  5. Dem Verantwortlichen müssen alle erforderlichen Informationen zum Nachweis der Einhaltung der genannten Pflichten zur Verfügung gestellt werden.

Darüber hinaus muss der Verantwortliche seine vorherige Zustimmung gem. Art. 28 Abs. 2 DS-GVO erteilen, falls der Auftragsverarbeiter einen Sub-Unternehmer mit der Verarbeitung beauftragen will. Versteht man die Pflicht des Art. 28 Abs. 4 DS-GVO aber wörtlich, sodass für jeden weiteren Auftragsverarbeiter die gleichen Datenschutzpflichten gelten und demnach der gleiche Vertrag wie zwischen dem Verantwortlichen und dem Auftragsverarbeiter gelten muss, würde in der Praxis die Beauftragung von Unterauftragnehmern sehr wahrscheinlich vereitelt werden. 

Haftungsänderungen in der DS-GVO

Weitere Änderungen sind in den Neuregelungen zur Haftung von Auftragsverarbeitern zu finden: Während zuvor nach § 11 Abs. 1 Satz 1 BDSG nur der Verantwortliche gehaftet hat, ergibt sich aus Art. 82 Abs. 1 DS-GVO nun eine gemeinsame Haftung des Verantwortlichen mit dem Auftragsverarbeiter zusammen. 

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!

Aktuelle Rechtslage zu Cookies

Alles rund ums Thema Cookies: Wir erklären was Cookies genau sind und wie sie rechtlich zu bewerten sind.

Cookies: Aktuelle und künftige Rechtslage

Was sind Cookies?

Cookies sind kurze Textdateien, die von einer besuchten Website an den Webbrowser des Nutzers gesendet und auf dessen Computer gespeichert werden. Bei einem erneuten Besuch können diese Dateien von der Website wieder abgerufen werden und enthalten Informationen über besuchte Webseiten, Login-Daten oder privates Surfverhalten. Diese Textdateien sind beispielsweise dafür verantwortlich, dass ein Nutzer auf die hinterlegten Produkte in seinem Einkaufswagen im Online-Shop zurückgreifen, sich nicht immer neu einloggen muss und er Produktvorschläge zugeschnitten auf sein Nutzerprofil erhält.

Dabei sind unterschiedliche Arten von Cookies grundsätzlich zu unterscheiden:

  • Sitzungscookie oder persistente Cookies: Zu unterscheiden sind zunächst Sitzungscookies und persistente Cookies. Wird ein Cookie automatisch gelöscht sobald der Nutzer seinen Browser schließt, ohne dass er danach wiederaufleben kann, spricht man von einem Sitzungscookie. Ein persistenter Cookie dagegen ist für einen festgelegten Zeitraum auf dem Endgerät des Nutzers gespeichert und wird erst nach Ablauf dieses Zeitraums gelöscht, der sowohl mehrere Minuten, aber auch Tage oder Jahre andauern kann.
  • First- oder Third-Party-Cookies: Abzugrenzen sind auch Cookies von Drittanbietern von sog. First Party Cookies. Unter einem Third-Party-Cookies versteht man Cookies die zwar von einem für die Verarbeitung Verantwortlichen gesetzt werden, dieser ist aber nicht identisch mit dem Betreiber der Website, die der Nutzer besucht.
  • Flash-Cookies: Der Flash-Cookie (auch Local Shared Object genannt) ist im Gegensatz zu dem HTTP-Cookie nicht an einen Browser gebunden, sondern wird vom Adobe-Flash-Player verwaltet, hat eine längere Speicherdauer und kann eine größere Menge an benutzerbezogenen Daten enthalten. Dadurch, dass sie vom Flash-Player verwaltet werden, können sie die Daten aller Browser auslesen, die den gemeinsamen Flash-Player nutzen. Daher bergen Flash-Cookies eine größere datenschutzrechtliche Gefahr und können von den Nutzern schwieriger verwaltet oder gelöscht werden.
  • Strictly necessary Cookies: Darüber hinaus ist die Verwendung von bestimmten Cookies unbedingt erforderlich, sog. Strictly necessary Cookies, damit eine Webseite genutzt und navigiert werden kann. Sie koordinieren beispielsweise, dass immer die Version einer Website angezeigt wird, die der bandbreitenbezogenen Datenmenge der Internetverbindung des Nutzers entspricht. Diese Cookies bedürfen auch keiner Einwilligung und können auch nicht vom Nutzer eigenständig deaktiviert werden. Da sie ausschließlich von einer Webseite genutzt werden, sind es „First Party Cookies“ und werden nur währen der Dauer einer Browsersession gespeichert.

Bisherige Rechtslage für Cookies: Cookies zwischen der Cookie-RL und dem Telemediengesetz (TMG) 

Auf europäischer Ebene stellt bisher Art. 5 Abs. 3 2009/136/RL (sog. Cookie-Richtlinie) die Bedingung auf, dass die Verwendung von Cookies nur mit Einwilligung des Nutzers zulässig ist. Nach dem Verständnis in den meisten europäischen Mitgliedstaaten, muss diese Einwilligung durch eine aktive Erklärung erfolgen, durch das sog. Opt-In-Prinzip. Diese Richtlinie und damit auch das Opt-In-Prinzip wurde in Deutschland bisher noch nicht formell umgesetzt, was damit begründet wird, dass §§ 12 Abs. 1, 15 Abs. 3 TMG den Schutz ausreichend realisiere. Während § 12 Abs. 1 TMG für personenbezogene Daten eine ausdrückliche Einwilligung verlangt, wird durch die Formulierung in § 15 Abs. 3 TMG „sofern der Nutzer dem nicht widerspricht“ deutlich, dass das TMG das Opt-Out-Prinzip für nicht personenbezogene Daten etabliert, der Nutzer also widersprechen und nicht aktiv einwilligen muss. Da sowohl die Bundesregierung, als auch die Kommission und das OLG Frankfurt in einer Entscheidung aus dem Jahre 2015 (Urt. v. 17.12.2015, Az.: 6 U 30/15) die Ansicht vertreten, das Opt-out reiche aus, sieht es derzeit in der Praxis so aus, dass der deutsche Nutzer seinen Widerspruch typischerweise durch das Entfernen von Häkchen in der Einwilligungsoption äußern muss.

Absehbare Veränderungen durch die neue e-Privacy Verordnung

Der Vorschlag für eine neue e-Privacy Verordnung vom 10.01.2017 soll Klarheit in die unterschiedliche Umsetzung der Mitgliedstaaten bringen und bedeutet für den deutschen Rechtsraum wesentliche Änderungen unter anderem der §§ 12 ff. TMG:

Art. 8 Abs. 1 der Verordnung erlaubt das Speichern, Verarbeiten oder Erhebung von relevanten Informationen nur, wenn es allein dem Zweck des Kommunikationsvorgangs, dem vom Nutzer gewünschten Dienst oder der Messung der Benutzerzahlen dient und dafür nötig ist oder eben wenn der Nutzer seine Einwilligung gegeben hat. Der Begriff der Einwilligung wird hier mit Hinweis auf die Verordnung (EU) 2016/679 als „in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung“ definiert, durch die zu verstehen gegeben wird, dass die betroffene Person mit der Verarbeitung der Daten einverstanden ist (Art. 4 Nr. 11). Demnach sind zwei Elemente erforderlich: Zum einen die Aufklärung des Nutzers und zum anderen sein eindeutiges Einverständnis. Aufgrund ihrer Natur als Verordnung hat diese nach Art. 288 AEUV unmittelbare Wirkung, die im Gegensatz zur Richtlinie nicht mehr umgesetzt werden muss, sodass die dargestellte Einwilligungspflicht bzgl der Verwendung von Cookies unmittelbar gelten und die entgegenstehenden Normen des TMG verdrängen wird.

Der zurzeit veröffentlichte Vorschlag der Verordnung soll im Mai 2018 gemeinsam mit der DSGVO in Kraft treten und so für ein einheitliches Schutzniveau in allen Mitgliedstaaten sorgen. Unternehmen, die grenzüberschreitend tätig sind, wird dadurch zwar die Einhaltung erleichtert, jedoch sind nun alle deutschen Anbieter, die bisher eine Opt-Out-Funktion verwendet haben in Zugzwang diese umzustellen, um Geldbußen in Höhe von 10 000 000 Euro oder 2% des weltweiten Umsatzes eines Unternehmens zu vermeiden. Laut den Erwägungsgründen dürfte dafür auch eine benutzerfreundliche allgemeine Einstellung im Browser ausreichen, die dem Nutzer die Möglichkeit gibt seine Einwilligung zu erteilen. Diese Einwilligungsmöglichkeit sollte möglichst so ausgestaltet sein, dass der Nutzer zwischen hohem Schutz („Cookies niemals annehmen“), mittlerem Schutz („Nur Cookies von Erstanbietern annehmen“) und niedrigem Schutz („Cookies immer annehmen“) in leicht sichtbarer und verständlicher Weise auswählen kann.

Einwilligungsfreie und einwilligungspflichtige Cookies

Neben der Einwilligungspflicht enthält Art. 8 Abs. 1 der e-Privacy Verordnung aber auch noch Tatbestände, die den Einsatz einwilligungsfreier Cookies ermöglichen. Dies ist der Fall, wenn der Cookie a) „für den alleinigen Zweck der Durchführung eines elektronischen Kommunikationsvorgangs über ein elektronisches Kommunikationsnetz nötig“ ist; c) „für die Bereitstellung eines vom Endnutzer gewünschten Dienstes der Informationsgesellschaft nötig“ ist oder d) für die Messung des Webpublikums nötig ist. Daher sollen im Folgenden häufig verwendete Cookies dargestellt werden, mit einer Einordnung, ob diese einwilligungsfrei oder einwilligungspflichtig sind:

  • User-Input-Cookie: Oberbegriff für Sitzungscookies zur einheitlichen Verfolgung von Nutzereingaben mit einem Dienstleister und zum temporären Speichern von Nutzereingaben, bspw. Verwendung als Warenkorb oder beim Ausfüllen mehrseitiger Online-Formulare. Solche Cookies sind eindeutig erforderlich für den ausdrücklich gewünschten Dienst, daher einwilligungsfrei nach Art. 8 Abs. 1 lit c).
  • Authentifizierungscookie: Verwendung zur Authentifizierung eines Nutzers bei wiederholtem Besuch einer Website und zur Ermöglichung des Zugriffs auf bereits vorhandene Inhalte. Grds. Auch nach Art. 8 Abs. 1 lit.c) einwilligungsfrei, aber nur soweit kein Authentifizierungstoken über mehrere Browsersitzungen gespeichert wird. Daher Einzelfallprüfung empfohlen! 
  • Third-Party-Cookies zu Werbezwecken: Dienen der verhaltensorientierten Werbung und sind einwilligungspflichtig
  • Nutzerorientierte Sicherheitscookies: Sollen die Sicherheit des Nutzers verbessern, indem sie bspw. wiederholt fehlgeschlagene Anmeldeversuche registrieren oder vor anderem Missbrauch von Login-Systemen warnen. Sie sind nach Art. 8 Abs. 1 lit. c) einwilligungsfrei.
  • Multimedia-Player-Sitzungscookies: s.o. unter „Flash Cookies“. Besucht der Nutzer eine Webseite mit Videoinhalten, sind diese Inhalte Teil eines ausdrücklich angeforderten Dienstes und damit einwilligungsfrei
    nach Art. 8 Abs. 1 lit c).
  • First-Party-Analysecookies: Zur Auswertung der Anzahl der Webseitenbesucher, wichtigster Suchbegriffe oder Anwendungsprobleme zu erfassen, um Statistiken zur Zielgruppenanalyse aufzubauen. Für Webseitenbetreiber zwar nötig, aber aus Sicht des Nutzers für die ausdrücklich gewünschte Funktion nicht unbedingt erforderlich, daher einwilligungspflichtig.
  • Content-Sharing-Cookies sozialer Plugins: Ermöglichen es den Nutzern externe Inhalte in eine andere Plattform zu integrieren, häufig zum „Teilen“ von Inhalten mit den eigenen „Freunden“ in sozialen Netzwerken verwendet. Hier ist zu unterscheiden  zwischen angemeldeten oder nicht angemeldeten Nutzern, sowie Mitgliedern und Nicht-Mitgliedern. Einwilligungsfrei sind sie nur für angemeldete Mitglieder; jeder andere Fall müsste eingehender geprüft werden.

Anforderung an Einwilligungserklärungen für Cookies

Aus Art. 8, 9 der e-Privacy Verordnung und der dazugehörigen Erwägungsgründe, ergeben sich einige Anforderungen an die Aufklärung und Einwilligung des Nutzers:

  • Eine wirksame Einwilligung kann erst erteilt werden, nachdem der Nutzer über die Zwecke der Cookies aufgeklärt wurde.
  • Die Einwilligung muss eingeholt werden, bevor die Cookies platziert und Informationen gesammelt werden.
  • Der Nutzer muss „in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache“ über die Nutzung der Cookies aufgeklärt werden.
  • Die Einwilligung muss widerrufbar sein und der Nutzer muss über sein Widerrufsrecht zuvor informiert sein.
  • Die Einwilligung kann durch die Datenschutzeinstellungen im Browser erfolgen, soweit der Nutzer sich darüber im Klaren ist, dass er über das Setzen von Cookies einwilligt. Dabei empfiehlt die EU-Kommission alternative Einwilligungsstufen wie „Keine Cookies akzeptieren“, „Third-Party Cookies ablehnen“ und „Nur First-Party Cookies akzeptieren“.
  • Lehnt der Nutzer das Setzen von Cookies ab, darf er nicht für die Website gesperrt sein oder andere Nachteile dadurch erhalten.

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!

Datenschutz-Grundverordnung (DS-GVO)

Wir informieren Sie umfassend über die DS-GVO, insbesondere über die Änderungen, die mit ihr einhergehen.

Datenschutz-Grundverordnung (DS-GVO)

Einführung

Die „Verordnung des Rates zum Schutz natürlicher Personen“ – Datenschutz-Grundverordnung (DS-GVO) wurde bereits verabschiedet, ist in Kraft und wird ab 2018 Geltung in Deutschland und ganz Europa erhalten.

Wir haben zu dem Thema eine gesonderte Informationsseite aufgebaut, die unter www.rickert.law/gdpr-ninja/ zu finden ist. Dort werden wir gemeinsam mit Experten aus anderen Ländern laufend Informationen über die anstehende Neuregelung einstellen. Nachstehend erhalten Sie aber auch einen schlagwortartigen Überblick über die wichtigsten Änderungen.

Für viele Unternehmen stellt sich nunmehr die Frage, was bis dahin getan werden muss, um auch den neuen Anforderungen entsprechend rechtskonform Daten zu verarbeiten. Die Verordnung stellt keine Revolution des Datenschutzes dar, die alles Bekannte und Bewährte über den Haufen wirft. Dennoch finden sich einige Änderungen in der Verordnung, die es erforderlich machen, die gesamten Datenverarbeitungsprozesse und –systeme noch einmal genau unter die Lupe zu nehmen, um möglichst rechtssicher in die Zukunft zu gehen. Insoweit ist die Frist bis zur unmittelbaren Geltung der Verordnung – die die Geltung des Bundesdatenschutzgesetzes (BDSG) wie wir es kennen aufhebt – nicht so lange, wie sie auf den ersten Blick scheint. 

Denn soweit die Prüfung der Systeme auf Compliance mit kommendem Datenschutzrecht Anpassungsbedarf offenbart, müssen etwaige Änderungen auch noch umgesetzt werden. Soweit dies Anpassungen im Bereich der technischen Infrastruktur oder der bestehenden Datenschutzberechtigungskonzepte erforderlich machen, kann deren Umsetzung erheblich Zeit in Anspruch nehmen. 

Nachfolgend möchten wir Ihnen einen kurzen Überblick über die neue Verordnung und deren Änderungen geben. Gerne stehen wir Ihnen bei der Prüfung und Umsetzung beratend zur Seite und stehen selbstverständlich auch telefonisch und per Email für etwaige Fragen zur Verfügung. 

Ziele der Verordnung 

Ziel der Verordnung ist neben der Vereinheitlichung des Datenschutzrechtes in Europa auch die Stärkung der Rechte der Betroffenen und der Datensicherheit. 

Gleichzeitig wurden die Dokumentations- und Nachweispflichten der Unternehmen erweitert. 

Zeitplan und Geltung der Verordnung

Die Datenschutzgrundverordnung ist bereits seit dem 25.05.2016 in Kraft, entfaltet aber seine unmittelbare Geltung erst ab dem 25.05.2018 gem. Art. 99 DS-GVO. 

Da es sich um eine europäische Verordnung handelt, wird diese – im Gegensatz zu einer Richtlinie, die erst noch in nationales Recht umgesetzt werden muss – unmittelbar ab diesem Stichtag europaweit Geltung haben. 

Aufgrund der vollharmonisierenden Wirkung der Verordnung dürfen ab dem 25.05.2018 keine weitergehenden, strengeren oder abweichenden Regelungen durch nationales Recht mehr bestehen, es sei denn die Verordnung selbst gestattet den Mitgliedstaaten eine solche Regelung (sog. Öffnungsklausel). 

Wesentliche Änderungen zur bisherigen Rechtslage

Die Verordnung hält an vielen altbewährten Konzepten und Prinzipien fest. Entsprechend bleibt es weiter bei dem generellen Verbot der Verarbeitung personenbezogener Daten mit einem Erlaubnisvorbehalt wie bislang unter Geltung des Bundesdatenschutzgesetzes (BDSG). Dennoch wurden selbstverständlich einige Punkte neu oder anders als bislang geregelt. Insoweit möchten wir nachfolgend kurz die wesentlichen Aspekte der neuen Regelungen hervorheben:

Marktortprinzip/Räumlicher Anwendungsbereich

Nunmehr gilt das europäische Datenschutzrecht auch für Unternehmen, die keinen Sitz in der europäischen Union haben, aber Waren oder Dienstleistungen im europäischen Markt anbieten. 

Auftragsdatenverarbeitung

Nach bisherigem Recht war die Auftragsdatenverarbeitung aus § 11 BDSG eine Möglichkeit der privilegierten Verarbeitung personenenbezogener Daten durch Dritte, z.B. im Falle des Outsorcings. Dabei wurde der Auftragsdatenverarbeiter dadurch privilegiert, dass er nicht als „Dritter“ im Sinne des BDSG galt, so dass eine Weitergabe der Daten an diesen für die Verarbeitung weiter keiner Rechtfertigung bedurfte. Eine Privilegierung wie in § 11 BDSG findet sich nunmehr nicht mehr im Gesetz. 

Vielmehr muss auch im Rahmen der Auftragsdatenverarbeitung eine Abwägung der Interessen des Betroffenen mit denen der verantwortlichen Stelle stattfinden. Eine solche wird regelmäßig in den bisherigen Fällen der Auftragsdatenverarbeitung wohl auch weiterhin zu Gunsten einer Verarbeitung ausgehen. 

Geltungsbereich der Auftragsdatenverarbeitung 

Wo eine Auftragsdatenverarbeitung allerdings bisher lediglich innerhalb Europas möglich war, ist diese nunmehr auch mit außereuropäischen Auftragnehmern möglich, soweit die weiteren Anforderungen erfüllt sind. Hierzu zählen insbesondere die sorgfältige Auswahl des Auftragnehmers und die Prüfung seiner technischen und organisatorischen Maßnahmen mit Bezug auf den Datenschutz. 

Beschäftigtendatenschutz

Es findet sich in der Verordnung keine gesonderte Regelung zum Beschäftigtendatenschutz. Allerdings erlaubt Art. 88 der Verordnung es, dass Mitgliedstaaten eine eigene bereichsspezifische Regelung des Beschäftigtendatenschutzes schaffen. Hierzu ist vorgesehen, den alten § 32 BDSG in das neue Bundesdatenschutzgesetz zu überführen. 

Konzernprivileg

Auch die Verordnung kennt kein Konzernprivileg, das heißt, auch die Weitergabe von Daten an Unternehmen des gleichen Konzernverbundes ist eine Weitergabe an einen Dritten im Sinne des Gesetzes und bedarf insoweit einer Rechtfertigung. 

Kleines Konzernprivileg

Vielfach lässt sich aber nunmehr vom sog. „kleinen Konzernprivileg“ lesen. Dies bezieht sich auf den Erwägungsgrund 48 der Verordnung, wo der Gesetzgeber erklärt, dass ein Verantwortlicher, der Teil eines Konzernverbundes ist ein berechtigtes Interesse daran haben kann, personenbezogene Daten für interne Verwaltungszwecke innerhalb der Unternehmensgruppe zu übermitteln. Hieraus lässt sich eine argumentative Grundlage für die Rechtfertigung einer solchen Weitergabe im Rahmen der allgemeinen Interessenabwägung des Art. 6 der Verordnung ableiten. Insoweit besteht keine eindeutige Regelung, aber es wird Unternehmen eine Möglichkeit der Rechtfertigung an die Hand gegeben, soweit die weiteren Voraussetzungen der Datenverarbeitung erfüllt sind. 

Informationspflichten 

Die Verordnung verschärft die Informationspflichten des Unternehmers erheblich, um die Transparenz der Datenverarbeitung zu stärken. 

Datenerhebung 

Art. 13 und 14 der Verordnung definieren die Informationspflichten im Rahmen der Datenerhebung beim Betroffenen und haben aufgrund ihres Umfangs teils den Charakter einer Rechtsmittelbelehrung. Hier ist zu prüfen, welche Anpassungen an den Systemen und Verträgen bzw. Allgemeinen Geschäftsbedingungen eines Unternehmens erforderlich sind, um allen Informationspflichten der Verordnung gerecht zu werden. 

Weitere Informationspflichten

Ein Unternehmen muss auch über Datenschutzverletzungen, die Aufhebung einer Einschränkung der Verarbeitung, einmaligen Dritttransfer oder bei der Weiterverarbeitung zu einem anderen Zweck informieren. Insbesondere die letztgenannte Pflicht kann für viele Unternehmen relevant werden, da es schnell zu einer Zweckänderung kommen kann. 

Privacy by Design/Privacy by Default

In Art. 25 der Verordnung werden nunmehr die Grundsätze des Datenschutz durch Technikgestaltung (Privacy by Design) und durch datenschutzfreundliche Voreinstellung (Privacy by Default) aufgestellt. Danach wird den Unternehmen aufgegeben, bereits in der Planungs- und Konzeptionsphase die Belange des Datenschutzes im Auge zu haben, und die Grundsätze bereits hier umzusetzen. Dabei soll bei der Konzeption und Beschaffung technischer Verarbeitungsanlagen darauf geachtet werden, dass die technischen und organisatorischen Vorkehrungen bestehen, dass der Datenschutz wirksam eingehalten werden kann. Gleiches gilt für die Voreinstellung solcher Geräte und Systeme. So muss beispielsweise geprüft werden, ob eine Verarbeitungssoftware die Möglichkeit bietet, verschiedene Berechtigungskonzepte zu hinterlegen, um somit der Zugriff auf Daten auf diejenigen Personen beschränken zu können, die diesen Zugriff tatsächlich haben müssen. 

Hierbei ist zu beachten, dass die Verordnung ausschließlich die verantwortliche Stelle verpflichtet, nicht aber die Hersteller von Verarbeitungsanlagen und –systemen. Der Gedanke ist hier, dass die verantwortliche Stelle bei den Herstellern aufgrund der eigenen Verpflichtung auf die entsprechenden Anpassungen zur Umsetzung der Anforderungen hinwirkt. 

Hier müssen entsprechend die bestehenden Geräte und Systeme überprüft werden. Darüber hinaus muss im Rahmen der Planung neuer Systeme stets geprüft werden, ob diese den Anforderungen entsprechen und es sollten die Angebote, Allgemeinen Geschäftsbedingungen und Verträge etwaiger Anbieter geprüft werden, um eine Umsetzung dieser neuen Anforderungen sicherzustellen. 

Einwilligung

Die Anforderungen an eine wirksame Einwilligung in die Datenverarbeitung wurden in mehrfacher Hinsicht angepasst. So wird künftig grundsätzlich auch eine stillschweigende Einwilligung ausreichend sein, sofern sie eindeutig ist. Entsprechend bestehen erhebliche Informationspflichten entsprechend der neuen Verordnung mit Blick auf wirksame Einwilligungen.

Kopplungsverbot

Auch wurde ein Koppelungsverbot im Rahmen der Einwilligung in die Verordnung aufgenommen, welches nicht mehr auf Fälle der Monopolstellung beschränkt ist, wie es noch unter § 28 Abs. 3b BDSG der Fall war. Allerdings ist in Art. 7 Abs. 4 der Verordnung lediglich vorgegeben, dass die Koppelung bei der Beurteilung der Freiwilligkeit der Einwilligung im größtmöglichen Umfang zu berücksichtigen sei. Hier besteht einiges an Spielraum zur Interpretation und zur Auslegung. 

Fortgeltung oder Erneuerung bestehender Einwilligungen

Es stellt sich die Frage, ob Unternehmen unter Geltung der neuen Verordnung nunmehr verpflichtet sind, auch für Bestandskunden neue Einwilligungen einzuholen, die den Anforderungen der Verordnung entsprechen. Hierzu erklärt die Verordnung in Erwägungsgrund 171 einen Bestandsschutz bestehender Einwilligungen, soweit diese den Bedingungen der Verordnung bereits entsprechen. Entsprechend sind Unternehmen gehalten, alle bestehenden Einwilligungen entsprechend auf die Anforderungen der Verordnung in formeller und materieller Hinsicht zu überprüfen, um sicherzustellen, dass eine weitere Verwendung dieser Daten nicht rechtswidrig ist. 

Sanktionen

Für den Fall des Verstoßes gegen die verschiedenen Anforderungen und Vorgaben der Verordnung sieht diese einen umfangreichen und einschneidenden Bußgeldkatalog vor.

 Im Rahmen des BDSG war das Höchstmaß eines Bußgeldes 300.000 EUR. Nunmehr sieht die Verordnung Bußgelder bis zu 10.000.000 EUR oder 2 % des weltweiten Jahresumsatzes bzw. 20.000.000 EUR oder 4 % des weltweiten Jahresumsatzes je nach Verstoß vor. Damit erfolgt eine drastische Erhöhung des Bußgeldrahmens für Datenschutzverstöße. 

Selbstverständlich werden diese Summen nicht sofort bei jedem Verstoß gegen die Verordnung fällig. Allerdings ist auch anzunehmen, dass der Gesetzgeber diese empfindlichen Summen nicht aufgenommen hat, damit die Behörden sie nicht ausreizen. Entsprechend ist davon auszugehen, dass erheblich höhere Bußgelder verhängt werden, sobald die Verordnung Geltung erlangt hat. 

Aus nachfolgender Übersicht der bußgeldbewährten Verstöße lässt sich erkennen, dass beinahe sämtliche Pflichten der Unternehmen nunmehr bußgeldbewährt sind. Entsprechend sollten Unternehmen zeitnah damit beginnen, ihre Compliance mit den Vorgaben der Verordnung zu überprüfen, um einem möglichen bösen Erwachen mit erheblichen Sanktionen zu entgehen. 

10.000.000 EUR

Artt. 8, 11, 25, 26, 27, 28, 29, 30, 31, 32, 33, 34, 35, 36, 37, 38, 39, 42 und 43 DS-GVO 

20.000.000 EUR

Artt. 5, 6, 7, 9, 44-49, 58 DS-GVO 

Maßnahmen

Für Unternehmen in Deutschland wird die Regelungslage der DSGVO an Komplexität gewinnen. Gerade am Anfang ist damit ein erhöhter Aufwand für die Umstellung auf die neuen rechtlichen Vorgaben zu erwarten. Dieses gilt umso mehr, als dass das bestehende Datenschutzniveau Ihres Unternehmens noch nicht auf dem derzeitigen Stand des BDSG ist. 

Gerne beraten wir Sie bei der Implementierung und Umsetzung der bestehenden und zukünftigen Rechtslage. 

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!

Datenübermittlung im Konzernverbund

Wir gehen auf die Datenverarbeitung von Konzernunternehmen nach der DS-GVO und dem BDSG ein.

Datenübermittlung im Konzernverbund

Einführung

Für international tätige Konzerne stellt es eine große Herausforderung des Datenschutzrechts dar, personenbezogene Daten den einzelnen, juristisch selbstständigen Konzernunternehmen zu übermitteln, die teilweise nicht nur im europäischen Ausland sitzen, sondern auch außerhalb des Europäischen Wirtschaftsraums. Dennoch haben Konzerne ein Interesse daran, personenbezogene Daten, beispielsweise für eine zentralisierte Personalverwaltung oder für ein konzernübergreifendes Kommunikationsverzeichnis, auch über die Grenzen eines Konzernunternehmens hinweg zu übermitteln und zu erheben.

Bisherige Lage nach BDSG, § 28 Abs. 1 BDSG

Im Lichte des BDSG kann sich für eine solche Datenübermittlung ein Erlaubnistatbestand aus § 28 Abs. 1 Nr. 2 BDSG ergeben. Dieser erlaubt eine Datenübermittlung, wenn es zur Wahrung berechtigter Interessen des Unternehmens erforderlich ist und das schutzwürdige Interesse des Betroffenen nicht überwiegt. Es ist also eine Interessenabwägung zwischen Unternehmensinteressen und derjenigen des Betroffenen vorzunehmen. Kann der Betroffene eigene Interessen geltend machen, führt dies nicht automatisch dazu, dass die Rechte des Einzelnen regelmäßig überwiegen. Es ist vielmehr im Rahmen einer gerechten Interessenabwägung auszumachen, welche der geltend gemachten Interessen überwiegt. Dass dabei die Recht des Einzelnen im Einzelfall auch einmal zurücktreten müssen ist nicht ausgeschlossen. Das berechtigte Interesse muss aber ein rechtlich gebilligtes wirtschaftliches, tatsächliches oder ideelles Interesse darstellen. Ein „allgemeines Konzerninteresse“ reicht zur Begründung aber nicht aus, da sich der Gesetzgeber bewusst gegen ein Konzernprivileg entschieden hat, also gegen eine erleichterte Übermittlung personenbezogener Daten zwischen verschiedenen Gesellschaften eines Konzerns. Darüber hinaus darf es nicht bloß um irgendein Interesse gehen, sondern es muss sich aus der beabsichtigten Datenverarbeitung ergeben und auch erforderlich sein. Eine bloße Zweckförderung reicht dafür nicht aus.

Datenverarbeitung im Beschäftigtenverhältnis

Für die Datenverarbeitung eines Beschäftigten gilt neben § 28 Abs. 1 Nr. 2 BDSG, oder nach anderer Meinung auch verdrängend, die Spezialvorschrift des § 32 BDSG, der eine Datenverarbeitung von personenbezogenen Daten von Beschäftigten nur erlaubt, wenn dies zur Begründung oder Durchführung eines Beschäftigtenverhältnisses erforderlich ist. Die Rechtfertigung hierfür kann nicht über einen bloß nützlichen Zweck erreicht werden. Beispielsweise ist die Errichtung einer konzernübergreifenden Datenbank über Mitarbeiterdaten nicht erforderlich, obwohl sie für die Zwecke der Human Resources Abteilung eindeutig nützlich ist. Ein Erlaubnistatbestand über § 32 BDSG kann aber dadurch erreicht werden, dass das Arbeitsverhältnis bereits einen Konzernbezug aufweist, beispielsweise wenn der betreffende Mitarbeiter regelmäßig an unterschiedlichen Standorten des Unternehmens tätig wird oder von Anfang an dazu bereit ist, konzernweit eingesetzt zu werden.

Betriebsvereinbarungen

Die konzerninterne Datenverarbeitung kann auch durch Betriebsvereinbarungen ermöglicht werden, da diese gem. § 77 Betriebsverfassungsgesetz „andere Rechtsvorschriften“ im Sinne des § 4 Abs. 1 S. 1 Var. 3 BDSG darstellen und damit einen datenschutzrechtlichen Erlaubnistatbestand begründen können. Wird die Datenverarbeitung von Mitarbeiterdaten also grundlegend in den Betriebsvereinbarungen geregelt, können solche Daten auch an andere Konzernunternehmen übermittelt werden. Dies gilt allerdings nur beim Transfer zwischen inländischen Konzernunternehmen.

Die Datenschutz-Grundverordnung und das „kleine Konzernprivileg“

Mit Einführung der europäischen Datenschutz-Grundverordnung (DS-GVO) war zunächst nicht klar, inwieweit die bestehende Rechtslage Veränderungen erfährt. Entgegen aller Veränderungsbefürchtungen wird der Erlaubnistatbestand der Interessenabwägung durch Art. 6 Abs. 1 lit. f DS-GVO weitgehend parallel zu § 28 Abs. 1 Nr. 2 BDSG beibehalten. Für die Konzerne stellt es allerdings eine Erleichterung dar, dass bei der Interessenabwägung sowohl eigene Zwecke als auch berechtigte Interessen Dritter berücksichtigt werden können. Alle Hoffnungen von Unternehmen auf die Einführung eines Konzernprivilegs durch die DS-GVO wurden wiederum enttäuscht. Allerdings beinhaltet der Erwägungsgrund 48 ein sog. „kleines Konzernprivileg“, welches klarstellt, dass Unternehmensgruppen ein berechtigtes Interesse daran haben können, personenbezogene Daten innerhalb der Unternehmensgruppe zu übermitteln. Dabei wird Bezug genommen auf Daten von Kunden, sowie von Beschäftigten gleichermaßen. Damit ist aber nicht vielmehr gesagt, als dass Konzerninteressen in der Interessenabwägung des Art. 6 Abs. 1 lit. f DS-GVO Berücksichtigung finden müssen.

Der Begriff der berechtigten Interessen sollte unter Bezugnahme auf den Erwägungsgrund 47 S.2, 6, 7 weit ausgelegt werden. Beispielsweise reicht für die Begründung eines berechtigten Interesses bereits das Bestehen eines Rechtsverhältnisses zwischen dem Verantwortlichen und dem Betroffenen. Ausreichend ist laut Erwägungsgrund dabei schon, wenn die betroffene Person Kunde des Verantwortlichen ist oder in seinen Diensten steht. Aber auch die Direktwerbung wird als mögliches berechtigtes Interesse genannt. Erschwerend kommt allerdings hinzu, dass die Datenverarbeitung aufgrund einer Interessenabwägung ein größeres Risiko mit sich bringt als zuvor, da dem Betroffenen das Recht zum Widerspruch gegen die Datenverarbeitung gem. Art. 21 Abs. 1 DS-GVO zukommt und er hierüber auch informiert und aufgeklärt werden muss.

Company-to-Company Agreement

Durch einen internen Vertrag zur konzernweiten Datenübertragung, der auch als konzerninterne Datenschutzvereinbarung oder Company-to-Company-Agreement bezeichnet wird, kann die Datenübermittlung zwischen den Konzernunternehmen ermöglicht werden. Dieser Vertrag soll dazu dienen, dass das Datenschutzniveau höher angesetzt wird, als gesetzlich vorgesehen, um damit zu garantieren, dass die Interessen des Betroffenen nicht beeinträchtigt werden. Eine Interessenabwägung wird damit nicht obsolet, sondern unter Einbeziehung der Schutzfunktion des Company-to-Company Agreement für die Interessen des Berechtigten, wird diese regelmäßig zugunsten der Konzerninteressen ausfallen. Dementsprechend niedriger sind auch die inhaltlichen Anforderungen an die Interessen des Unternehmens. Um eine solche Wirkung zu entfalten, muss das Company-to-Company Agreement aber bestimmte inhaltliche Anforderungen erfüllen und tatsächlich das gesetzliche Schutzniveau des BDSG bzw. der DSGVO übersteigen.

Betriebsvereinbarungen

Im Vergleich zur bisherigen Rechtslage nach dem BDSG stellt sich die Frage, ob auch Betriebsvereinbarungen einen Erlaubnistatbestand im Sinne des § 4 Abs. 1 S. 1 Var. 3 BDSG darstellen können. Diese Frage beantwortet die Öffnungsklausel des Art. 82 DS-GVO in Verbindung mit dem dazugehörigen Erwägungsgrund positiv: Auch unter der Geltung der DS-GVO besteht die Möglichkeit, durch Gesetz oder Kollektivvereinbarung spezifische Vorschriften zur Gewährleistung des Schutzes der Rechte und Freiheiten der Betroffenen hinsichtlich der Verarbeitung personenbezogener Daten im Beschäftigtenkontext zu schaffen. Damit ist ein weitgehender Gleichlauf mit der Vorschrift des § 28 Abs. 1 Nr. 2 BDSG gegeben.

Datenübermittlung außerhalb der EU

Die bisherigen Ausführungen beziehen sich zwar größtenteils auf grenzüberschreitende Sachverhalte, jedoch begrenzt auf die Mitgliedstaaten der EU bzw. des Europäischen Wirtschaftsraumes. Bei einer Datenübermittlung zwischen einem Konzernunternehmen mit Sitz in Deutschland zu einem Unternehmen mit Sitz außerhalb der EU, muss eine sog. 2-Stufenprüfung vorgenommen werden. Zu den grundsätzlichen Voraussetzungen, nämlich das Vorliegen eines Erlaubnistatbestandes bzw. einer Einwilligung, muss zusätzlich in dem adressierten Drittstaat ein „angemessenes Datenschutzniveau“ vorliegen. Ob ein solches Datenschutzniveau vorliegt, muss in Drittstaaten, im Unterschied zu EU-Mitgliedstaaten, gesondert geprüft werden. Dabei kann eine solche Feststellung unter Bezug der Art der Daten, der Zweckbestimmung, der Dauer der geplanten Verarbeitung sowie das Herkunfts- und Endbestimmungsland vorgenommen werden.

Gesondert kann die EU-Kommission auf Grundlage von Art. 25 Abs. 4, 6 EG-DSRL eine solche Feststellung in verbindlicher Weise treffen. Für die Länder Argentinien, Australien, Schweiz und Kanada hat die Kommission verbindlich ein angemessenes Schutzniveau festgestellt, nicht jedoch etwa für China, Indien, Brasilien, Japan oder Russland.

Mangels angemessenen Schutzniveaus kann auch auf die Tatbestände des § 4c Abs. 1 BDSG oder auf § 4 Abs. 2 S. 1 BDSG zurückgegriffen werden. Letzterer bietet die Alternative, dass die zuständige Datenschutzbehörde die Datenübermittlung in den Drittstaat genehmigen kann, wenn das datenübermittelnde Konzernunternehmen ausreichende Garantien zum Schutz der personenbezogenen Daten aufweist. Solche Garantien können in Form von Vertragsklauseln oder „Binding Corporate Rules“, also verbindlichen Unternehmensregelungen, abgegeben werden.

Fazit und Handlungsempfehlung

Obwohl durch Inkrafttreten der DS-GVO die zentralen Regelungsregime des BDSG zur konzerninternen Datenverarbeitung gleichbleiben werden, so bringt sie doch auch einige Neuerungen mit sich. Daher ist es zu empfehlen, soweit Betriebsvereinbarungen oder Company-to-Company-Agreements als Erlaubnistatbestände gebraucht werden, diese inhaltlich mit den Anforderungen der DS-GVO zu überprüfen. Insbesondere ist in Zukunft darauf zu achten, dass klare und leicht verständliche Informationen zur Datenverarbeitung vorhanden sind (Art. 12 DS-GVO), die Aufklärungs- und Informationspflichten erfüllt wurden (Art. 14, 14a DS-GVO) und der Betroffene hinreichend über seine Rechte und deren Ausübung informiert wurde (Art. 15 ff. DS- GVO).

 

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!

Informationspflichten für außergerichtliche Streitbeilegungsmechanismen

Wir erläutern die EU-Verordnung zur Online-Streitbeilegung.

Die Online-Streitbeilegung für Verbraucher und Unternehmer

Die zugrundeliegende Verordnung über die Online-Streitbeilegung verbraucherrechtlicher Streitigkeiten

Seit dem 09.01.2016 ist die Verordnung 524/2013 über die Online-Beilegung verbraucherrechtlicher Streitigkeiten (sog. ODR-VO) in Kraft und wirkt aufgrund ihrer Qualität als EU-Verordnung unmittelbar. Verpflichtete der Verordnung sind dabei sowohl Unternehmer, als auch die Mitgliedstaaten und die EU-Kommission. Die Kommission wird dazu verpflichtet eine Plattform zur Online-Streitbeilegung (OS-Plattform) zu errichten und zu unterhalten. Die OS-Plattform soll die erste Anlaufstelle für Verbraucher und Unternehmer bei einem möglichen außergerichtlichen Beilegungsverfahren bilden und einen einfachen Zugang zu allgemeinen Informationen und Beschwerdeformularen in allen Amtssprachen zur Verfügung stellen.

Die ODR-VO wurde gleichzeitig mit der Richtlinie über die alternative Streitbelegung für Verbrauchersachen erlassen, womit das Ziel verfolgt wird, das Verbraucherschutzniveau europaweit anzuheben, indem ein effizienter und einfacher Weg zu außergerichtlichen Streitbeilegungsinstrumenten angeboten wird. Darüber hinaus sollen Verbraucher in ihrem Vertrauen in grenzüberschreitende Geschäfte und damit in den „digitalen Binnenmarkt“ gestärkt werden.

Informationspflichten:

Diese Maßnahmen zur Stärkung des digitalen Binnenmarktes bringen für alle „in der Union niedergelassenen Unternehmen, die Online- Kaufverträge oder Online-Dienstleistungsverträge eingehen, und in der Union niedergelassene Online-Marktplätze“ Informationspflichten über die OS-Plattform nach Art. 14 Abs.1 S.1 VO Nr. 524/2013 mit sich. Betroffen von dieser Pflicht sind alle Onlinehändler, die ihren Sitz in der EU haben, ihre Waren oder Dienstleistungen EU-Verbrauchern anbieten und die Bestellung durch den Verbraucher auf elektronischem Weg erfolgt. Nach dem 30. Erwägungsgrund der Verordnung sind auch Online-Marktplätze verpflichtet, also Plattformen, die es Unternehmern gebündelt ermöglicht, ihre Angebote Verbrauchern zur Verfügung zu stellen. Amazon Marketplace oder auch eBay stellt beispielsweise einen solchen Online-Marktplatz dar. Ausgeschlossen sind allerdings Webseiten, die ausschließlich über ein Unternehmen und dessen Angebot informieren, sowie auf Adresse und Öffnungszeiten des Betriebes hinweisen, aber keine Online-Bestellmöglichkeiten eröffnen.

Pflichten von Online-Händlern bei eBay, Amazon und Co.:

Seit vergangenem Jahr war in der Rechtsprechung schon häufiger die Frage umstritten gewesen, ob auch der Unternehmer, der seine Waren auf einem Online-Marktplatz anbietet, selbst auf die OS-Plattform hinweisen muss, also zusätzlich zur grundsätzlichen Informationspflicht des Marktplatzbetreibers.

Das OLG Dresden legte in seiner jüngsten Entscheidung vom 17.01.2017 dazu die Verordnung nach Wortsinn aus und argumentierte, dass Art. 14 Abs. 1 S.1 ORD-VO nur eine Pflicht für die einstellenden Unternehmer und Online-Marktplätze den Link zur OS-Plattform auf „ihren Websites“ aufzuführen, begründe. Diese Formulierung mache deutlich, dass ein Hinweis auf einer anderen Seite als der eigenen nicht genüge, aber der Online-Händler, der die Website eines Online-Marktplatzes nutzt, nicht zur Verlinkung verpflichtet sei. Begründet wird dies auch damit, dass die Angebotsseite des Online-Händlers nicht seine eigene ist, da in der URL regelmäßig nur der Marktplatzbetreiber erkennbar ist und die Internetadresse nicht dem Online-Händler zugeordnet werden kann.

Mit dieser Ansicht steht das OLG Dresden aber allein auf weiter Flur, denn der Rest der Rechtsprechung und Literatur zieht vielmehr den Zweck der Verordnung heran, der darin liegt, „das Vertrauen der Verbraucher in den digitalen Binnenmarkt zu stärken, damit der freie Verkehr von Waren und Dienstleistungen auch im Online-Bereich gewährleistet wird“ (OLG Koblenz, Urt. v. 25.1.2017 – 9 W 426/16). Dies erfordere eine weite Auslegung des Begriffs „Website“, der dann auch Angebotsseiten von Online-Unternehmern auf Online-Marktplätzen umfasst. Das Vertrauen soll dadurch gesichert werden, dass möglichst vielen Verbrauchern eine einfach zugängliche Kenntnisnahmemöglichkeit der OS-Plattform zur Verfügung steht. Darüber hinaus formuliert die ODR-VO die Pflicht, dass die Onlinemarktplätze „gleichermaßen“ zur Bereitstellung des Links auf die OS-Plattform verpflichtet sein sollen, wobei diese Formulierung darauf hinweist, dass eine zusätzliche Pflicht gemeint ist.

Daher gilt auch für alle Online-Händler auf Plattformen wie eBay, Amazon und weiteren die Informationspflicht nach Art. 14 Abs. 1 S.1 ODR-VO.

Inhaltliche und formale Anforderungen:

Der Link zur OS-Plattform muss sich im Impressum befinden und nicht nur in den AGB eingearbeitet sein, da der Link für den Verbraucher „leicht zugänglich“ sein muss, so die Verordnung. Bei der Pflicht aus Art. 14 Abs. 1 S.1 ODR-VO handelt es sich nicht bloß um eine Informationspflicht, sondern um die Pflicht zur Bereitstellung des Links. In diesem Sinne lässt sich auch die in der Rechtsprechung noch nicht abschließend geklärte Streitfrage beantworten, ob der Link „anklickbar“ sein muss, also ob der Verbraucher mit bloßem Anklicken des Links auf die Seite der OS-Plattform weitergeleitet wird. Zum einen erfordert dies die leichte Zugänglichkeit, zum anderen würde die bloße Anführung des nicht anklickbaren Links nicht die Bereitstellungspflicht erfüllen, der Unternehmer hätte in diesem Fall nur auf die Internetseite der Plattform hingewiesen, was hier nicht ausreicht.

Dementsprechend kann die Information im Impressum, das auch die E-Mail Adresse des Unternehmens enthalten soll, wie folgt aussehen: Die Plattform der EU-Kommission zur außergerichtlichen Online-Streitbeilegung finden Sie hier: www.ec.europa.eu/consumers/odr.

Sonderfall Rechtsanwälte:

In diesem Zusammenhang ist auch die Frage relevant geworden, ob Rechtsanwaltskanzleien in ihrem Onlineauftritt einer solchen Bereitstellungspflicht nachkommen müssen. Dies ist zumindest dann der Fall, wenn Rechtsanwälte online eine Dienstleistung iSd ORD-VO anbieten. Die Verordnung fasst den Dienstleistungsbegriff in Art. 4 Abs. 1 lit. d weit und definiert den Dienstleistungsvertrag mit Hinweis auf die Richtlinie 2013/11/EU: „Dienstleistungsvertrag ist jeder Vertrag, der kein Kaufvertrag ist und nach dem der Unternehmer eine Dienstleistung für den Verbraucher erbringt oder deren Erbringung zusagt und der Verbraucher hierfür den Preis zahlt oder dessen Zahlung zusagt“. Nach dieser Definition fallen Rechtsanwaltsverträge in jedem Fall unter den Begriff der Dienstleistung, zusätzlich müssen diese aber Dienstleistungsverträge sein, die online zwischen dem Rechtsanwalt und Verbraucher geschlossen werden. Dazu müssen nach Art. 4 Abs. 1 lit. e ODR-VO die „Dienstleistungen über eine Webseite oder auf anderem elektronischen Weg angeboten“ und vom Verbraucher „auf dieser Webseite oder auf anderem elektronischen Wege bestellt“ haben. Damit fallen nicht nur Vertragsschlüsse, die über die Webseite geschlossen werden, unter den Begriff des Online-Dienstvertrages, sondern auch Vertragsschlüsse per Mail, da diese auf „anderem elektronischen Wege“ erfolgen.

Nehmen Rechtsanwälte Vertragsschlüsse in der dargestellten Form vor, so fallen auch sie unter den Anwendungsbereich der ODR-Richtlinie und müssen den Link zur OS-Plattform unter Angabe der E-Mail Adresse im Impressum bereitstellen.

Konsequenzen beim Verstoß gegen Art. 14 Abs.1 ODR-VO

Die Richtlinie, die die Informationspflicht anordnet, sieht selbst keine Konsequenzen in Form von Bußgeldern oder Ähnlichem vor. Bei fehlendem oder falschen Hinweis kann aber ein wettbewerbsrechtlicher Unterlassungs- und Beseitigungsanspruch gem. § 8 Abs. 1 Satz 1, § 3a UWG i. V. m. Art. 14 Abs. 1 Satz 1 der Verordnung (EU) Nr. 524/2013 geltend gemacht werden. Hiermit verbunden wäre die Kostenübernahme der Abmahnkosten.

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!