Mit Urteil vom 20. Februar 2018 hat der BGH entschieden, dass ein Ärzte-Bewertungsportal das Profil einer Ärztin löschen muss (Urteil v. 23. September 2014 – VI ZR 358/13). Indem das Bewertungsportal zwischen normalen Nutzern und kostenpflichtigen „Premium-Nutzern“ unterscheide, verlasse es seine Rolle als „neutraler Informationsmittler“. Dadurch überwiege nach der erforderlichen Abwägung das Recht auf informationelle Selbstbestimmung bezüglich aller personenbezogenen Daten.
Jameda.de ist ein Arztsuche- und Arztbewertungsportal. Auf diesem werden Informationen über Ärzte und Träger anderer Heilberufe kostenfrei zur Verfügung gestellt. Enthalten sind für jeden Arzt die sogenannten „Basisdaten“ wie der akademische Grad, Name, Fachrichtung, Praxisanschrift, Kontaktdaten und die Sprechzeiten. Daneben bietet das Portal auch einen Bewertungsbereich, indem Kundenbewertungen direkt neben den Basisdaten angezeigt werden.
Bei den Nicht-Premium-Nutzern werden auf der Profilseite zusätzlich zu den Bewertungen und Basisdaten noch Vorschläge („Anzeigen“) zu anderen Arztpraxen mit denselben Fachbereichen und der entsprechenden Bewertung im Umfeld angezeigt.
Für die Ärzte besteht die Möglichkeit, ein kostenpflichtiges „Premium-Paket“ zu buchen. In diesem Fall wird – anders als bei den kostenfreien Profilen – den Nutzern die Möglichkeit gegeben, Bilder und zusätzliche Informationen hinzuzufügen. Zusätzlich schaltet das Portal sodann keine Anzeigen mehr von Konkurrenten auf den Profilseiten der Premium-Nutzer.
Eine Dermatologin und Allergologin ging bereits seit 2015 gegen die Plattform vor. Als Nichtzahlerin wird sie gegen ihren Willen ohne Bild, aber dafür mit allen weiteren Basisdaten, in dem Portal geführt. Auch erhielt sie in der Vergangenheit eine Vielzahl von Bewertungen, welche sie teilweise durch ihren Rechtsanwalt beanstanden und löschen ließ um ihre Gesamtnote zu verbessern. Der Aufforderung zur Löschung ihres Profils kam der Portalbetreiber allerdings nicht nach.
Das LG Köln sowie das OLG Köln räumten der Meinungs- und Medienfreiheit des Portalbetreibers den Vorrang ein. Das Recht auf informationelle Selbstbestimmung der Klägerin müsse im Rahmen einer Abwägung zurücktreten.
Gegen diese Ansicht sprach sich nun allerdings der BGH mit klaren Worten aus. Der vorliegende Fall unterscheide sich von allen bisher entschiedenen Fällen. Auch wenn die Speicherung der personenbezogenen Daten von Ärzten mit den dazugehörigen Bewertungen durch die Patienten grundsätzlich zulässig sei, sei der Portalbetreiber von jameda.de zur Löschung des Profils der Dermatologin verpflichtet.
Durch das Angebot von „Premium-Paketen“ verlasse die Plattform ihre Stellung als „neutraler Informationsmittler“. Den Ärztesuchenden wird zu keinen Zeitpunkt klar, dass das Portal zwischen „Premium-Nutzern“ und normalen Nutzern unterscheide. Nehme sich der Portalbetreiber aber in dieser Weise zugunsten ihres Werbeangebots in der Rolle als neutraler Informationsmittler zurück, dann könne er seine auf das Grundrecht der Meinungs- und Medienfreiheit gestützte Rechtsposition gegenüber dem Recht der Dermatologin auf informationelle Selbstbestimmung auch nur mit geringerem Gewicht geltend machen.
Dies wiederum führe dazu, dass im Rahmen einer Abwägung dem Recht auf informationelle Selbstbestimmung Vorrang zu gewähren sei. Ihr sei demnach auch ein schutzwürdiges Interesse an dem Ausschluss der Speicherung ihrer Daten (im Sinne des § 29 Abs. 1 Satz 1 Nr. 1 BDSG a.F.) zuzubilligen.
Die neue EU Datenschutz-Grundverordnung (DS-GVO) tritt ab Mai 2018 in Kraft. Ein Fragebogen des Bayerischen Landesamtes für Datenschutzaufsicht (BayLDA) soll den Unternehmen, Vereinen und Verbänden nun dabei helfen, die neuen Richtlinien umzusetzen. Es zeigt den Unternehmen zudem, wie weit sie bislang mit der Umsetzung gekommen sind. Vor allem aber zeigt der Fragebogen auch, an welchen Punkten sie noch einmal nacharbeiten müssen.
Der Fragebogen des BayLDA befasst sich detailliert mit Fragen zum Umsetzungsstatus der zentralen Themen der DS-GVO. Hierzu weist der Fragebogen die Unternehmen auf die Struktur und die Verantwortlichkeit im Unternehmen hin. Insbesondere der Hinweis auf die Existenz eines Datenschutzbeauftragten liegt dem BayLDA am Herzen. Dieser muss nicht zwangsläufig aus dem eigenen Unternehmen stammen, sondern kann auch als externer Datenschutzbeauftragter engagiert werden.
Durch die zunehmende Erfahrung im Datenschutzrecht hat sich der externe Datenschutzbeauftragte die notwendige branchenübergreifende Expertise aufgebaut. So kann er auf notwendige Änderungen und Anpassungen innerhalb des Unternehmens effizient und vor allem schnell aufmerksam machen. Zudem zeigen Erfahrungen, dass ein externer Datenschutzbeauftragter bei den Mitarbeitern und dem Betriebsrat auf größere Akzeptanz stoßen. Dies liegt nicht selten an der erhöhten Motivation gegenüber dem internen Datenschutzbeauftragten. Denn dieser distanziert sich oftmals durch lange und regelmäßige Fortbildungen vom Unternehmen.
Ein weiterer prägnanter Punkt im Fragebogen des BayLDA befasst sich mit den Themengebieten der Transparenz, Informationspflichten und Sicherstellung der Betroffenenrechte. Hierbei geht es insbesondere um die Anpassung aller Texte zu datenschutzrechtlichen Informationen der betroffenen Personen bei der Datenerhebung. Ein weiterer wichtiger Punkt ist die Einrichtung eines Verfahrens, um Anträge von betroffenen Personen auf Auskunft zu den eigenen Daten schnell und vollständig nachzukommen. Gerade dieser Punkt sollte im Unternehmen frühzeitig angegangen werden, da die Umsetzung erfahrungsgemäß einige Zeit in Anspruch nimmt.
Ferner zielt der Fragebogen auf den Umgang mit Risiken ab und die Verantwortlichkeit in schwierigen Fällen. Mit den Fragen will das BayLDA nach eigenen Angaben den Unternehmen ein Gefühl dafür geben, wie die neue DS-GVO umzusetzen ist und wie sie ihre Prüfaktivitäten ab Mai 2018 gestalten will. Durch den Fragebogen will das BayLDA schon frühzeitig Transparenz schaffen und mithelfen, dass die gesetzlichen Vorschriften in allen Unternehmen bereits jetzt eingehalten werden. Dazu äußert sich Thomas Kranig, der Präsident des BayLDA wie folgt:
Wir leben in einer zunehmend digitalisierten Welt, in der eine unvorstellbare Menge personenbezogener Daten von Bürgern erfasst und in einer Art und Weise vernetzt und genutzt werden, die für den einzelnen nicht mehr durchschaubar ist. Es ist auch unsere Aufgabe als Datenschutzaufsichtsbehörde, in dieser Situation für so viel Transparenz wie möglich und auch Sicherstellung, dass die gesetzlichen Vorschriften eingehalten werden, zu sorgen. Wir nehmen diese Herausforderung der DS-GVO mit allen uns zur Verfügung stehenden Mitteln an und werden in dem Umfang, wie wir es können, beraten, damit Verstöße erst gar nicht passieren, aber auch nicht davor zurückschrecken, bei festgestellten Verstößen wirksame, verhältnismäßige und abschreckende Sanktionen auszusprechen, wie es die Datenschutz-Grundverordnung von uns verlangt.
Die neue EU Datenschutz-Grundverordnung (DS-GVO) ist seit Mai 2018 in Kraft getreten. Neben dem Fragebogen des Bayerischen Landesamt für Datenschutzaufsicht soll nun der Fragebogen des Landesamts für Datenschutz in Mecklenburg-Vorpommern insbesondere der Arztpraxis bei der Umsetzung der neuen Regelungen helfen.
Der Fragebogen zeigt in 6. Kapiteln wie weit die Arztpraxis bislang mit der Umsetzung der DS-GVO gekommen ist. Vor allem aber zeigt der Fragebogen, an welchen Punkten die Arztpraxis noch einmal nacharbeiten sollte.
Der Fragebogen des mv-Landesamt befasst sich detailliert mit Fragen rund um den Umsetzungsstatus der zentralen Themen der DS-GVO. Hierzu weist der Fragebogen die Arztpraxis insbesondere auf die Zulässigkeit der Datenverarbeitung hin.
Auch wird die Notwendigkeit eines Datenschutzbeauftragten untermalt; sei es durch die Fortbildung eines eigenen Mitarbeiters zum Datenschutzbeauftragten oder durch die Bestellung eines externen Datenschutzberaters.
Der Fragebogen des mv-Landesamt weist Arztpraxen des Weiteren auf die Möglichkeit des Datenschutzes durch die Technikgestaltung hin. Dabei ist es für eine Arztpraxis insbesondere wichtig Pseudonymisierungs- oder Verschlüsselungsverfahren bei der Verarbeitung von Datensätzen zu verwenden. Auch spielt die Speicherfrist bei der nun inkraftgetretenen DS-GVO eine grundlegende Rolle.
Für eine Arztpraxis ist zudem die Dokumentierung aller Sicherheitsmaßnahmen von großer Bedeutung; gerade derer, die zum Schutz der Patientendaten ergriffen wurden.
Ferner zielt der Fragebogen auf den Umgang mit Risiken ab und die Verantwortlichkeit in schwierigen Fällen. Dazu weist der Fragebogen in einem besonders umfassenden Teil auf das Transparenzgebot der Datenverarbeitung gegenüber dem Patienten hin.
Nach eigenen Angaben soll der Fragebogen des mv-Landesamtes der Arztpraxis und zugleich dem Landesamt selbst einen ersten Überblick schaffen, wie vor Ort die DS-GVO umgesetzt wird. Gleichzeitig soll dies dem Landesamt dazu verhelfen, den Beratungsdarf einzuschätzen und über bestimmte Themengebiete noch genauer zu informieren.
Aber der Fragebogen soll nicht nur bei der Umsetzung helfen. Vielmehr gibt er der betroffenen Arztpraxis eine Einschätzung, wie die Prüfung der Einhaltung der DS-GVO aussehen könnte. Natürlich berücksichtigt der Fragebogen nicht alle wichtigen Punkte in der erforderlichen Tiefe.
Es wird daher allen Arztpraxen empfohlen, sich bei der Umsetzung von Datenschutzberatern begleiten zu lassen. So kann sichergestellt werden, dass alle neuen Vorgaben beachtet werden und keine Lücken in diesem Bereich entstehen.
In einer arbeitsrechtlichen Streitigkeit hat das BAG mit Urteil vom 22. September 2017 (Az.: 2 AZR 848/15) entschieden, dass die Verwertung eines Zufallsfundes aus einer Videoüberwachung als zulässig angesehen werden kann. Wird in einem Supermarkt also wegen des Verdachts auf Zigarettendiebstahl eine verdeckte gerechtfertigte Videoüberwachung durchgeführt, so können auch andere auf diese Weise entdeckte Straftaten als Beweismittel verwertet werden.
Das allgemeine Persönlichkeitsrecht werde dadurch nach Ansicht des BAG nicht unzulässig verletzt und müsse daher hinter das Strafverfolgungsinteresse treten.
Als der Arbeitgeber – der Inhaber eines Supermarktes – im Laufe einer Inventur im Bereich des „Tabak/ Zigaretten“ und „Nonfood“ einen Verlust in Höhe des Zehnfachen im Vergleich zum Vorjahr feststellte, ordnete er eine verdeckte Videoüberwachung seiner Mitarbeiter im Kassenbereich an. Der Betriebsrat stimmte der verdeckten Videoüberwachung zu, nachdem vorherige Taschenkontrollen, die einen Diebstahl hätten erkennen lassen, zu keinem Ergebnis führten.
Doch anstatt die Zigarettendiebe zu überführen, wurde die stellvertretende Filialleiterin dabei gefilmt, wie sie eine Musterpfandflasche scannte und den Leergutpfand in Höhe von EUR 3,25 für sich behielt.
Daraufhin wurde die stellvertretende Filialleiterin aufgrund der Unterschlagung nach 15 Jahren Betriebszugehörigkeit fristlos gekündigt.
Mit dem vorinstanzlichen Urteil des LG Düsseldorf (7. Dezember 2015 – 7 Sa 1078/14) wird bestätigt, dass auch bei einem relativ geringen Schaden in Höhe von EUR 3,25 ein gravierender Vertrauensbruch gerechtfertigt werden kann. Dieser wiederrum kann in der Folge zu einer gerechtfertigten fristlosen Kündigung führen. Soweit so gut. Damit liegt das LAG auf der Linie der in den letzten Jahren viel diskutierten Rechtsprechung des BAG unter anderem im Fall Emmely.
Doch Streitthema im Revisionsverfahren war die Verwertbarkeit der Videoaufnahmen. Diese sollten zwar von vorneherein nur zur Aufklärung der Zigarettendiebstähle führen. Zeigen diese allerdings eine andere Straftat durch einen sogenannten „Zufallsfund“, so sei nach Ansicht des BAG auch dieser verwertbar.
In den Urteilsauführungen macht das BAG deutlich, dass das allgemeine Persönlichkeitsrecht und das Recht am eigenen Bild nicht in einer unzulässigen Weise durch die Aufnahmen verletzt werde. Denn
Eingriffe in das Recht der Arbeitnehmer am eigenen Bild durch verdeckte Videoüberwachung sind dann zulässig, wenn der konkrete Verdacht einer strafbaren Handlung oder einer anderen schweren Verfehlung zulasten des Arbeitgebers besteht.
Allerdings nur, soweit es keine Alternative zu der Videoüberwachung gebe.
Nach dem alten Bundesdatenschutzgesetz (BDSG) dürfen die personenbezogene Daten aus einer ursprünglich gerechtfertigten Videoüberwachung auch dann verarbeitet und genutzt werden, wenn dies für die Entscheidung über eine Kündigung erforderlich ist (§ 32 Abs. 1 S. 1 BDSG-alt). Die Verwertung des Zufallsfundes aus der Videoüberwachung sei daher nicht zu beanstanden.
Das BDSG-neu regelt nunmehr im § 26 BDSG ähnliche Verwendungserlaubnisse, nämlich:
Personenbezogene Daten von Beschäftigten dürfen für Zwecke des Beschäftigungsverhältnisses verarbeitet werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung oder zur Ausübung oder Erfüllung der sich aus einem Gesetz oder einem Tarifvertrag, einer Betriebs- oder Dienstvereinbarung (Kollektivvereinbarung) ergebenden Rechte und Pflichten der Interessenvertretung der Beschäftigten erforderlich ist.
Damit dürfte sich auch in Zeitden der DSGVO kein anderes Ergebnis vermuten lassen.
Das LG Köln entschied, dass das Kontaktformular eines Webshopbetreibers keinen direkten Hinweis auf seine Datenschutzerklärung enthalten müsse (Az.: 81 O 32/17). Es genüge, dass die Datenschutzerklärung zu Beginn der Nutzung und im Zeitpunkt der Datenerhebung leicht auffindbar und unmittelbar erreichbar sei.
Dem Webshopbetreiber wurde von seinen Mitbewerbern vorgeworfen, dass er seine Nutzer im Rahmen seines Kontaktformulars – bei dem Name, E-Mail-Adresse und Telefonnummer abgefragt wurden – nicht ausreichend über seine Datenschutzerklärung informiere. Dabei enthielt das Formular zwar keinen direkten Hinweis auf die Datenschutzerklärung, allerdings konnten über eine Verlinkung „Datenschutz“ in der Fußzeile („Footer“) alle notwendigen Bestimmungen abgerufen werden.
Dennoch sahen die Mitbewerber hierin eine unzureichende Aufklärung über Art und Umfang der Datenerhebung im Sinne des § 13 TMG. Außerdem hätte der Webshopbetreiber darüber hinaus keine Einwilligung zur Erhebung, Verarbeitung und Nutzung der personenbezogenen Daten eingeholt.
Das LG Köln beurteilte die Rechtslage nun anders. Der Hinweis im Footer entspreche durchaus den Anforderungen im § 13 TMG. Den formalen Anforderungen des § 13 TMG werde auch dann Rechnung getragen, wenn die Datenschutzerklärung zu Beginn der Nutzung und im Zeitpunkt der Datenerhebung leicht auffindbar und unmittelbar erreichbar sei.
Der Grund: § 5 TMG bestimmt, dass auch das Impressum des Diensteanbieters leicht erkennbar und unmittelbar erreichbar zu sein hat. Gleiches gelte für die Erreichbarkeit der Datenschutzerklärung. Es genüge daher zur Erfüllung des Merkmals der unmittelbaren Auffindbarkeit, „wenn der Link, der zu den Informationen führt, mit „Datenschutz“ bezeichnet ist“. Es sei nicht unüblich und entspräche dem Erfahrungswert der Nutzer, dass sich allgemeine Hinweise und Erklärungen am Ende der Website befänden; meist in der Form einer Verlinkung.
Unmittelbar erreichbar sind die Informationen stets dann, wenn sie nach maximal zwei Klicks abrufbar sind. Im Falle der Datenschutzerklärung im Footer müsse der Nutzer zwar bis zum Ende der Website scrollen. Dort angelangt genüge aber ein einfacher Klick auf den Hyperlink um zu der Datenschutzerklärung zu gelangen. Dies reiche nach Ansicht der Kölner Richter aus.
Eine Datenschutzerklärung ist im Falle eines Kontaktformulars zwingend notwendig. Sie muss sich allerdings nicht zwingend direkt über oder unter dem Kontaktformular selbst befinden. Ein Hyperlink im Footer ist ausreichend.
Soweit es sich um Datenerhebungen zu Werbezwecken oder zur Weitergabe an Dritte handelt, ist zusätzlich eine Einwilligung der Nutzer erforderlich.
In der Pressemitteilung führt die Landesbeauftragte für den Datenschutz Niedersachsen (LfD), Barbara Thiel, dankenswerter Weise an, dass es nicht vorrangig darum gehe, möglichst viele Fehler zu finden und Bußgelder zu verhängen. Es solle vielmehr aufgeklärt, sensibilisiert und Hinweise gegeben werden. Es gelte auch, sich einen Überblick zu verschaffen, wie die DS-GVO in den Unternehmen angekommen ist.
Nichtsdestotrotz: werden Verstöße festgestellt, ist auch mit entsprechenden Verfahren zu rechnen. Daher dürften schwammige, falsche oder unvollständige Antworten eine Einladung zu einem Hausbesuch sein. Ein Grund mehr, nicht überstürzt, sondern sich wohlüberlegt und gemeinsam mit dem Datenschutzbeauftragten sowie ggfs. mit zusätzlichem rechtlichen Rat an die Beantwortung der Fragen zur DS-GVO zu setzen.
Zugleich dient der DS-GVO-Fragebogen auch als Orientierungshilfe für andere Unternehmen, die es vielleicht (noch) nicht erwischt hat. Denn im Grunde muss jedes Unternehmen die Fragen innerhalb kürzester Zeit beantworten und dokumentarisch nachweisen können.
Den Fragebogen der LfD erhalten insgesamt 50 Unternehmen als Querschnitt durch verschiedene Branchen. Betroffen sind jedoch nicht die kleinen Betriebe, sondern 20 große und 30 mittelgroße Unternehmen mit (Haupt-)Sitz in Niedersachsen.
Neben den bereits genannten Zielen erhofft sich die LfD mit der Auswertung der Fragebögen auch Hinweise für ihre zukünftige Arbeit. Je nach Mängeln wäre es möglich, neue Orientierungshilfen zu geben. Und auch wenn es bisher nicht konkret geplant ist, könnten sich zudem Schwerpunktprüfungen in bestimmten Branchen anschließen.
Die Fragen zur Vorbereitung und Umsetzung der DS-GVO haben es in sich. Es zeigt sich deutlich, dass die DS-GVO ein bürokratischer Akt ist und die LfD auch den Umgang damit (über-)prüfen möchte. Verlangt werden daher nicht nur die bloße Angabe zur Führung des Verarbeitungsverzeichnisses oder die Darstellung der Prozesse zur Einhaltung von Betroffenenrechten, sondern auch die Vorlage einiger Musterdokumente, wie:
Die Beantwortung der Fragen dürfte nicht nur zeitaufwendig sein, sondern auch viele Arbeitskräfte einspannen – insbesondere, wenn bisher die entsprechenden Dokumentationen und Muster nicht zur Verfügung stehen.
Insgesamt gibt es 10 Fragen, die sich in dem “Fragenkatalog Querschnittsprüfung DS-GVO” finden:
1. Vorbereitung auf die DS-GVO
Wie haben Sie sich als Unternehmen auf die DS-GVO vorbereitet?
Schildern Sie (kurz) die Vorgehensweise, welche Bereiche involviert waren und welche Maßnahmen initiiert wurden. Sofern noch nicht alle Maßnahmen vollständig umgesetzt wurden, erläutern Sie bitte auch den Umsetzungsstatus.
2. Verzeichnis von Verarbeitungstätigkeiten
Wie haben Sie sichergestellt, dass alle Ihre Geschäftsabläufe, bei denen personenbezogene Daten verarbeitet werden, in ein Verzeichnis von Verarbeitungstätigkeiten aufgenommen wurden? Wie stellen Sie dessen Aktualität sicher? Legen Sie bitte eine Übersicht Ihrer dokumentierten Verfahren sowie ein Beispielverfahren als Muster bei.
3. Zulässigkeit der Verarbeitung
Auf Basis welcher Rechtsgrundlagen verarbeiten Sie personenbezogene Daten? Sofern Sie auch auf Basis von Einwilligungen personenbezogene Daten verarbeiten, legen Sie bitte Ihre verwendeten Muster bei.
4. Betroffenenrechte
Wie stellen Sie die Einhaltung der Betroffenenrechte (auf Information, Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit) sicher? Skizzieren Sie Ihre diesbezüglichen Prozesse und gehen Sie insbesondere detailliert darauf ein, wie Sie Ihren Informationspflichten nachkommen. Vorhandene Musterinformationen fügen Sie bitte bei.
5. technischer Datenschutz
a. Wie stellen Sie sicher, dass Ihre technischen und organisatorischen Maßnahmen bzw. die Ihrer Dienstleister ein dem Verarbeitungsrisiko angemessenes Schutzniveau gewährleisten?
b. Wie stellen Sie sicher, dass Ihre technischen und organisatorischen Maßnahmen an den jeweiligen Stand der Technik angepasst werden?
c. Wie stellen Sie sicher, dass Sie für die von Ihnen aktuell oder zukünftig eingesetzten IT-Anwendungen ein dokumentiertes datenschutzkonformes Rollen- und Berechtigungskonzept haben?
d. Wie stellen Sie sicher, dass bei der Änderung oder Neuentwicklung von Produkten oder Dienstleistungen Datenschutzanforderungen von Anfang an mit berücksichtigt werden (Privacy by Design und by Default)?
6. Datenschutz-Folgenabschätzung
a. Wie stellen Sie sicher, dass Verarbeitungen mit einem voraussichtlich hohen Risiko für die Rechte und Freiheiten der Betroffenen erkannt und für diese eine Datenschutz-Folgenabschätzung durchgeführt wird?
b. Haben Sie in Ihrem Unternehmen Verarbeitungen mit einem voraussichtlich hohen Risiko für die Rechte und Freiheiten der Betroffenen identifiziert? Welche?
Fügen Sie bitte die jeweilige Dokumentation zur Datenschutz-Folgenabschätzung bei.
7. Auftragsverarbeitung
Haben Sie Ihre bestehenden Verträge mit Auftragsverarbeitern an die neuen Regelungen der DS-GVO angepasst? Sofern Sie Musterverträge verwenden, fügen Sie diese bitte bei, darüber hinaus fügen Sie bitte einen aktuellen Beispielvertrag mit einem Ihrer Auftragsverarbeiter bei.
8. Datenschutzbeauftragter
Wie ist Ihr Datenschutzbeauftragter in Ihre Organisation eingebunden? Welche Fachkundenachweise hat er?
9. Meldepflichten
Wie stellen Sie sicher, dass Ihr Unternehmen Datenschutzverstöße fristgemäß an die Aufsichtsbehörde meldet? Skizzieren Sie Ihre diesbezüglichen Prozesse.
10. Dokumentation
Wie können Sie die Einhaltung aller vorstehend in Ziff. 2 – 9 genannten Pflichten nachweisen?
Ende Mai 2018 endeten die Übergangsfristen, die der Gesetzgeber Unternehmen für die Umstellung ihrer Prozesse auf die neue EU-Datenschutzgrundverordnung (DS-GVO) eingeräumt hat. Ab diesem Zeitpunkt drohen den Unternehmen bei Verstößen gegen die neuen Vorschriften Bußgelder in Höhe von bis zu 4 % des weltweiten Unternehmensumsatzes.
Doch das Problem scheint noch nicht bei allen Firmen angekommen zu sein. So hat eine Umfrage des Branchenverbands Bitkom ergeben, dass bislang nur jedes 4 Unternehmen zusätzliches Personal für die Umsetzung der DS-GVO Vorgaben einsetzt. Neueinstellungen gab nur bei 5 % der Befragten Firmen. 20 % der Firmen bevorzugen bei der Umsetzung der Vorgaben das eigene Personal.
Eine weitere Studie von IDC zeigt, dass bis Mitte 2017 ganze 44 Prozent der deutschen Firmen noch keine konkrete Vorbereitung für die Zeit nach dem 25. Mai 2018 getroffen haben. Oftmals wissen Unternehmen – wie Bildungseinrichtungen – nicht, dass sie von der DS-GVO betroffen sein können. Demnach sind die Systeme in diesen Fällen noch nicht umgestellt.
Dabei ist die Frage „Ist Ihr Unternehmen fit für die DS-GVO“ auch bereits von vielen Landesämtern für Datenschutzaufsicht aufgegriffen worden. Diese bieten oftmals einen Fragebogen, der sich mit dem Umsetzungsstatus der Unternehmen befassen. Gleichzeitig soll dieser den Unternehmen verdeutlichen, wo noch Schwachstellen bei der Umsetzung existieren.
Zudem weisen die Landesämter darauf hin, dass die Beauftragung eines externen Datenschutzbeauftragten oder jedenfalls eines qualifizierten, externen Beraters überforderten Firmen schnell helfen kann.
Durch die zunehmende Erfahrung im Datenschutzrecht hat sich dieser regelmäßig die notwendige branchenübergreifende Expertise aufgebaut. So kann er auf notwendige Änderungen und Anpassungen innerhalb des Unternehmens effizient und vor allem schnell aufmerksam machen.
Datenschutzverstöße müssen in vielen Fällen öffentlich gemacht werden. Der damit einhergehende Image- und Vertrauensverlust wiegt häufig schwerer als das damit möglicherweise verhängte Bußgeld. Die DS-GVO setzt bei den Bußgeldern nun noch „einen oben drauf“ und erlegt den Aufsichtsbehörden die Verpflichtung auf, zukünftig „abschreckende“ Bußgeldhöhen zu verhängen. Damit sind die Zeiten, in denen Bußgelder eingepreist oder ignoriert werden können, womöglich endgültig vorbei.
Der Bußgeldrahmen der DS-GVO beläuft sich je Schwere des Verstoßes auf bis zu 20.000.000 Euro oder auf bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes des vorgelagerten Geschäftsjahres.
Das LG Bonn hat eine der ersten Entscheidungen zur neuen Datenschutzgrundverordnung getroffen. Mit Beschluss vom 29. Mai 2018 entschieden die Bonner Richter, dass die ICANN gegen die DSGVO verstoße (Az.: 10 O 171/18).
Die Domain-Registrierungsbehörde mit Sitz in den USA ist die zentrale Vergabestelle für Internetadressen. Allerdings sammele diese bei dem Registrierungsvorgang zu viele persönliche Daten.
Die US-Stelle wollte nicht nur wissen, wer die zu registrierende Seite betreibt, sondern auch die Namen, Adressen und Telefonnummern von allen Personen mit vollen Zugriffsrechten auf die Website. Darunter zählen die so genannten Admin-C und auch die technischen Verantwortlichen (Tech-C).
Während des Verfahrens war die ICANN der Ansicht, der Domain-Registrierende sei vertraglich auch zur Erhebung weiterer technischer und administrativer Kontakte verpflichtet. Denn schließlich seien diese Daten zur Erreichung der Zwecke der Registrierenden zwingend erforderlich.
Der deutsche Domain-Händler Epag wehrte sich nun gegen die Vorgaben ICANNs. Das Unternehmen aus Bonn darf Domains mit Erlaubnis der iCANN in Deutschland, Österreich und der Schweiz verkaufen. Dabei muss es aber laut Vertrag die umfassenden persönlichen Daten an die ICANN übermitteln. Unter Beachtung der Vorgaben in der DSGVO sei das Unternehmen allerdings lediglich dazu bereit, alle Adressdaten der Domain-Besitzerin herauszugeben. Nicht aber die des Admin-C und Tech-C.
ICANN konnte vor dem Bonner LG nicht glaubhaft machen, dass die umfassenden persönlichen Daten zur Erreichung der Zwecke erforderliche seien. Schließlich sei die Erhebung personenbezogener Daten nur für festgelegte, eindeutige und legitime Zwecke zulässig. Zusätzlich muss die Erhebung zu dem Zwecke angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein (Art. 5 Abs. 1 lit, b) und c) DSGVO).
Warum hierzu neben dem Hauptverantwortlichen noch weitere Datensätze vonnöten sein sollen, konnte die Kammer vor dem Hintergrund des Grundsatzes der Datensparsamkeit nicht erkennen.
Zwar liege es auf der Hand, dass ein Mehr an Daten die Identifizierung von hinter einer Domain stehenden Personen und eine Kontaktaufnahme zu diesen verlässlicher erscheinen lässt. Jedoch handele es sich bei dem Inhaber des registrierten bzw. zu registrierenden Domainnamen nur um die für die Inhalte der betreffenden Website verantwortliche Person, die nicht notwendigerweise personenverschieden von den Kategorien Tech-C und Admin-C sein müsse.
Soweit ICANN ihre Ansprüche auf die vielen personenbezogenen Daten auf eine Parallele des sog. „WHOIS“ Systems zu internationalen Abkommen über Markenregister stützt, so folgt die Kammer des LG Bonn diesem nicht. Denn die für die Markenregister auf Grundlage internationaler Abkommen bestehenden Rechtsgrundlagen fehle. Hieran ändere auch die grundlegende Vergleichbarkeit des jeweiligen allgemeinen Schutzbedürfnisses nichts.
Die WHOIS-Abfrage ist bei vielen Firmen, wie auch der Denic, seit längerem nicht mehr ohne Weiteres möglich. Was früher jeder Internetnutzer mit wenigen Klicks herausfinden konnte, geben Denic und andere jetzt nur noch an Nutzer heraus, die zumindest ein berechtigtes Interesse nachweisen.
Die eingeschränkte WHOIS-Abfrage erschwert in letzter Zeit gerade Journalisten und IT-Sicherheitsforschern die Arbeit im Internet. Bei der Recherche zu Fake-News-Seiten, Spam-Schleudern und Erpresser-Software ist es ohne die Abfrage schwieriger geworden, die Hintermänner ausfindig zu machen.
Kontaktformulare auf Webseiten müssen stets richtig verschlüsselt werden. Das bayrische Landesamt für Datenschutzaufsicht (BayLDA) kündigte bereits im Oktober 2017 an, dies umfangreich zu überprüfen. Webseitenbetreiber sind angehalten, die Verschlüsselung von Kontaktformularen zu überprüfen. Bei Datenschutzverstößen riskieren sie sonst nicht nur Abmahnungen durch Konkurrenten, sondern auch hohe Bußgelder von den Datenschutzbehörden.
Die Pflicht, Kontaktformulare auf Websites zu verschlüsseln, ist nicht neu. Allerdings hat das BayLDA mit der „Cybersicherheitsinitiative zum Schutz personenbezogener Daten“ eine intensivere Prüfung gestartet. Aus der Pressemitteilung geht hervor, dass insbesondere Kontaktformulare zukünftig vermehrt überprüft werden. Der Grund dafür ist, dass bei einer unzureichenden Verschlüsselung schnell die personenbezogenen Daten abgegriffen werden können.
Doch nicht nur bayrische Firmen sollten nun aktiv werden. Das Vorgehen des BayLDA können auch andere Aufsichtsbehörden des Landes auf den Plan rufen.
Firmen wird grundsätzlich angeraten, die von dem Bundesamt für Sicherheit in der Informationstechnologie (BSI) empfohlenen Verschlüsselungsverfahren einzuführen.
So dient das kryptographische Protokoll Transport Layer Security (TLS) der sicheren Übertragung von Informationen in Datennetzwerken und damit dem Schutz der Vertraulichkeit, Integrität und Authentizität der übertragenen Informationen. Hierzu gibt das BSI weitere Informationen (Version: 2018-01).
Zur ausreichenden HTTPS-Verschlüsselung reicht meist ein SSL-Zertifikat. Dieses gibt es oftmals sogar kostenlos.
Dieses Zertifikat reicht allerdings nur zur Verschlüsselung von Daten. Soll zusätzlich auch die Identität der Website überprüft werden, reichen diese kostenlosen Zertifikate nicht aus. Soweit der Seitenbesucher sich also sicher sein soll, dass hinter der besuchten Website auch der gewünschte Betreiber steckt, so sollte der Websitebetreiber auf eine kostenpflichtige Variante der SSL-Zertifikate mit Identitätsprüfung zurückgreifen.
Gesetzliche Vorgaben in diesem Bereich stammen u.a. auch aus dem Telemediengesetz (TMG). Danach müssen Seitenbetreiber ein „anerkanntes Verschlüsselungsverfahren zum Schutz von personenbezogenen Daten“ anwenden. Ferner heißt es in § 13 Abs. 7 TMG:
Diensteanbieter haben, soweit dies technisch möglich und wirtschaftlich zumutbar ist, im Rahmen ihrer jeweiligen Verantwortlichkeit für geschäftsmäßig angebotene Telemedien durch technische und organisatorische Vorkehrungen sicherzustellen, dasskein unerlaubter Zugriff auf die für ihre Telemedienangebote genutzten technischen Einrichtungen möglich ist unddiesegegen Verletzungen des Schutzes personenbezogener Daten undgegen Störungen, auch soweit sie durch äußere Angriffe bedingt sind,gesichert sind. Vorkehrungen nach Satz 1 müssen den Stand der Technik berücksichtigen. Eine Maßnahme nach Satz 1 ist insbesondere die Anwendung eines als sicher anerkannten Verschlüsselungsverfahrens.
Diensteanbieter haben, soweit dies technisch möglich und wirtschaftlich zumutbar ist, im Rahmen ihrer jeweiligen Verantwortlichkeit für geschäftsmäßig angebotene Telemedien durch technische und organisatorische Vorkehrungen sicherzustellen, dass
gesichert sind. Vorkehrungen nach Satz 1 müssen den Stand der Technik berücksichtigen. Eine Maßnahme nach Satz 1 ist insbesondere die Anwendung eines als sicher anerkannten Verschlüsselungsverfahrens.
Ein Verstoß kann als Ordnungswidrigkeit nach § 16 Abs. 3 TMG mit einer Geldbuße von bis zu EUR 50.000,00 geahndet werden.
Eine unzureichende Verschlüsselung ist nicht der einzige Punkt der schief gehen kann und von den Landesämtern für Datenschutz überprüft wird.
Mit der neuen Datenschutzgrundverordnung (DS-GVO), die Ende Mai 2018 in Kraft tritt, kommen noch weitere Neuerungen auf datenverarbeitende Firmen und Websitebetreiber zu. Der zu beachtende Katalog an Anforderungen ist lang. Um hier Fehler zu vermeiden, kann die Prüfung durch einen externen Datenschutzberater helfen.
Mit Urteil vom 29. Januar 2018 (Az.: 13 U 165/16) hat das OLG Frankfurt am Main entschieden, dass der Verkauf von Adressdaten wegen fehlender Einwilligung der Adressinhaber unwirksam sei. Daher bestehen zwischen den Vertragspartnern auch keine vertraglichen Ansprüche aus dem Verkauf.
Im Verfahren vor dem OLG Frankfurt am Main stritten sich zwei Parteien über den Verkauf von Adressdaten. Der Geschäftsführer der klagenden Partei war zuvor Geschäftsführer der Schuldnerin. Am Tag der Insolvenzeröffnung kaufte der Geschäftsführer vom Insolvenzverwalter der insolventen Firma verschiedene Internet-Domains einschließlich der darüber generierten Adressdaten für insgesamt 15.000 EUR. Die Daten wurden dem Geschäftsführer auf einem USB-Stick übergeben.
Doch die Adressdaten befanden sich auch weiterhin noch auf zwei Servern, welche der Insolvenzverwalter an eine ebenfalls mit Adressdaten handelnde dritte Firma verkaufte. Diese nutzte die Millionen Adressen um Werbe-E-Mails für die Internetseite „Sexpage.de“ zu versenden.
Der Geschäftsführer war nun der Ansicht, die von ihm erworbenen Adressdaten hätten durch die zwielichtige Nutzung für Werbung der Internetseite „Sexpage.de“ zwei Drittel ihres Wertes verloren. Aus dem Kaufvertrag forderte er sodann anteilige Rückzahlung des Kaufpreises sowie Unterlassung der weiteren Nutzung der Adressdaten.
Das Landgericht gab der Klage in erster Instanz statt. Allerdings wurde das Urteil durch das OLG Frankfurt am Main im Rahmen der Berufung aufgehoben. Der Verkauf der Adressdaten sei mangels vorliegender Einwilligung der Adressdateninhaber unwirksam. Zwischen den Parteien bestünden also keinerlei vertragliche Ansprüche – weder das Recht auf Unterlassung noch ein Anspruch auf Rückzahlung des Kaufpreises.
Der Vertrag verstoße gegen die Vorgaben des BDSG. Die Nutzung von sogenannten personenbezogenen Daten sei nur zulässig, wenn der Betroffene einwillige oder das sogenannte Listenprivileg eingreife. Denn „Name, Postanschrift, Telefonnummer und E-Mail-Adresse einer Person“ stellten klassische personenbezogene Daten dar. Nach Ansicht der Frankfurter Richter unterfalle auch der einmalige Verkauf derartiger Daten dem Adresshandel gemäß § 28 Abs. 3 Satz 1 BDSG. Das Listenprivileg greife zudem nur bei zusammengefassten Daten von Angehörigen einer bestimmten Personengruppe; ein solcher Fall läge hier allerdings nicht vor.
Auch eine den Verkauf rechtfertigende Einwilligung der Adressdateninhaber lag hier nicht vor. Die von der BDSG geforderte Einwilligung sei nur dann wirksam, wenn sie auf der freien Entscheidung des Betroffenen beruhe und dieser auf den vorgesehenen Zweck der Erhebung, Verarbeitung oder Nutzung sowie die Folgen der Verweigerung der Einwilligung hingewiesen werde. Jedoch habe die Firma, welche die Daten erhob, es versäumt, die betroffenen Daten nach Kategorien etwaiger Datenempfänger oder der Nutzungszweck des Adresshandels konkret genug zu bezeichnen.
Zudem scheitere der Vertrag nach Auffassung des Gerichtes daran, dass der Vertrag die Parteien systematisch zu einem unlauteren, wettbewerbswidrigen Verhalten verpflichte. Die Zusendung von Werbe-E-Mails ohne Einwilligung stelle eine unzumutbare Belästigung nach § 7 Abs. 2 Nr. 3 UWG dar. Soweit der verklagte Insolvenzverwalter in Höhe des erlangten Kaufpreises ungerechtfertigt bereichert sei, begründe dies alleine noch keinen Rückzahlungsanspruch des Geschäftsführers. Ein derartiger Anspruch sei bereits ausgeschlossen, weil beide Vertragsparteien zuvor vorsätzlich gegen die zwingenden Vorgaben des BDSG verstoßen hätten.
BGH: Ärzte-Bewertungsportal muss das Profil einer Ärztin löschen. Der Grund: www.jameda.de sei kein neutraler Informationsmittler.
Neue EU Datenschutz-Grundverordnung für 2018. Ein Fragebogen des Bay. Landesamt für Datenschutz hilft Ihnen bei der Umsetzung der Neuerungen.
Neue EU Datenschutz-Grundverordnung für 2018: Ein Fragebogen des mv-Landesamt für Datenschutzaufsicht soll Arztpraxen bei der Umsetzung helfen.
Die Verwertung eines Zufallsfundes aus einer gerechtfertigten verdeckten Videoüberwachung kann nach § 32 BDSG zulässig sein.
Kontaktformular muss keinen direkten Hinweis auf Datenschutzerklärung enthalten. Diese müsse lediglich leicht auffindbar und unmittelbar erreichbar sein.
Seit Ende Juni 2018 prüft die Landesbeauftragte für den Datenschutz Niedersachsen, wie gut sich die niedersächsischen Unternehmen auf die Datenschutzgrundverordnung (DS-GVO) eingestellt haben.
Die neue DS-GVO tritt ab Mai in Kraft. Doch auch jetzt sind noch viele Firmen unvorbereitet; und dies, obwohl bei Verstößen hohe Geldbußen drohen.
DSGVO: Zu viele persönliche Daten bei Anmeldung einer Domain. Rückschlag für die zentrale Vergabestelle für Internetadressen (Icann) in den USA.
Das Bayerische Landesamt für Datenschutzaufsicht kündigt neue Kontrollen an. Im Visier: die Verschlüsselung von Kontaktformularen.
BDSG: Fehlt beim Verkauf von Adressdaten die Einwilligung, so ist der Verkauf unwirksam und es bestehen keine vertraglichen Ansprüche der Vertragspartner.
