Die neue EU Datenschutz-Grundverordnung (DS-GVO) tritt ab Mai 2018 in Kraft. Ein Fragebogen des Bayerischen Landesamtes für Datenschutzaufsicht (BayLDA) soll den Unternehmen, Vereinen und Verbänden nun dabei helfen, die neuen Richtlinien umzusetzen. Es zeigt den Unternehmen zudem, wie weit sie bislang mit der Umsetzung gekommen sind. Vor allem aber zeigt der Fragebogen auch, an welchen Punkten sie noch einmal nacharbeiten müssen.
Der Fragebogen des BayLDA befasst sich detailliert mit Fragen zum Umsetzungsstatus der zentralen Themen der DS-GVO. Hierzu weist der Fragebogen die Unternehmen auf die Struktur und die Verantwortlichkeit im Unternehmen hin. Insbesondere der Hinweis auf die Existenz eines Datenschutzbeauftragten liegt dem BayLDA am Herzen. Dieser muss nicht zwangsläufig aus dem eigenen Unternehmen stammen, sondern kann auch als externer Datenschutzbeauftragter engagiert werden.
Durch die zunehmende Erfahrung im Datenschutzrecht hat sich der externe Datenschutzbeauftragte die notwendige branchenübergreifende Expertise aufgebaut. So kann er auf notwendige Änderungen und Anpassungen innerhalb des Unternehmens effizient und vor allem schnell aufmerksam machen. Zudem zeigen Erfahrungen, dass ein externer Datenschutzbeauftragter bei den Mitarbeitern und dem Betriebsrat auf größere Akzeptanz stoßen. Dies liegt nicht selten an der erhöhten Motivation gegenüber dem internen Datenschutzbeauftragten. Denn dieser distanziert sich oftmals durch lange und regelmäßige Fortbildungen vom Unternehmen.
Ein weiterer prägnanter Punkt im Fragebogen des BayLDA befasst sich mit den Themengebieten der Transparenz, Informationspflichten und Sicherstellung der Betroffenenrechte. Hierbei geht es insbesondere um die Anpassung aller Texte zu datenschutzrechtlichen Informationen der betroffenen Personen bei der Datenerhebung. Ein weiterer wichtiger Punkt ist die Einrichtung eines Verfahrens, um Anträge von betroffenen Personen auf Auskunft zu den eigenen Daten schnell und vollständig nachzukommen. Gerade dieser Punkt sollte im Unternehmen frühzeitig angegangen werden, da die Umsetzung erfahrungsgemäß einige Zeit in Anspruch nimmt.
Ferner zielt der Fragebogen auf den Umgang mit Risiken ab und die Verantwortlichkeit in schwierigen Fällen. Mit den Fragen will das BayLDA nach eigenen Angaben den Unternehmen ein Gefühl dafür geben, wie die neue DS-GVO umzusetzen ist und wie sie ihre Prüfaktivitäten ab Mai 2018 gestalten will. Durch den Fragebogen will das BayLDA schon frühzeitig Transparenz schaffen und mithelfen, dass die gesetzlichen Vorschriften in allen Unternehmen bereits jetzt eingehalten werden. Dazu äußert sich Thomas Kranig, der Präsident des BayLDA wie folgt:
Wir leben in einer zunehmend digitalisierten Welt, in der eine unvorstellbare Menge personenbezogener Daten von Bürgern erfasst und in einer Art und Weise vernetzt und genutzt werden, die für den einzelnen nicht mehr durchschaubar ist. Es ist auch unsere Aufgabe als Datenschutzaufsichtsbehörde, in dieser Situation für so viel Transparenz wie möglich und auch Sicherstellung, dass die gesetzlichen Vorschriften eingehalten werden, zu sorgen. Wir nehmen diese Herausforderung der DS-GVO mit allen uns zur Verfügung stehenden Mitteln an und werden in dem Umfang, wie wir es können, beraten, damit Verstöße erst gar nicht passieren, aber auch nicht davor zurückschrecken, bei festgestellten Verstößen wirksame, verhältnismäßige und abschreckende Sanktionen auszusprechen, wie es die Datenschutz-Grundverordnung von uns verlangt.
Die neue EU Datenschutz-Grundverordnung (DS-GVO) ist seit Mai 2018 in Kraft getreten. Neben dem Fragebogen des Bayerischen Landesamt für Datenschutzaufsicht soll nun der Fragebogen des Landesamts für Datenschutz in Mecklenburg-Vorpommern insbesondere der Arztpraxis bei der Umsetzung der neuen Regelungen helfen.
Der Fragebogen zeigt in 6. Kapiteln wie weit die Arztpraxis bislang mit der Umsetzung der DS-GVO gekommen ist. Vor allem aber zeigt der Fragebogen, an welchen Punkten die Arztpraxis noch einmal nacharbeiten sollte.
Der Fragebogen des mv-Landesamt befasst sich detailliert mit Fragen rund um den Umsetzungsstatus der zentralen Themen der DS-GVO. Hierzu weist der Fragebogen die Arztpraxis insbesondere auf die Zulässigkeit der Datenverarbeitung hin.
Auch wird die Notwendigkeit eines Datenschutzbeauftragten untermalt; sei es durch die Fortbildung eines eigenen Mitarbeiters zum Datenschutzbeauftragten oder durch die Bestellung eines externen Datenschutzberaters.
Der Fragebogen des mv-Landesamt weist Arztpraxen des Weiteren auf die Möglichkeit des Datenschutzes durch die Technikgestaltung hin. Dabei ist es für eine Arztpraxis insbesondere wichtig Pseudonymisierungs- oder Verschlüsselungsverfahren bei der Verarbeitung von Datensätzen zu verwenden. Auch spielt die Speicherfrist bei der nun inkraftgetretenen DS-GVO eine grundlegende Rolle.
Für eine Arztpraxis ist zudem die Dokumentierung aller Sicherheitsmaßnahmen von großer Bedeutung; gerade derer, die zum Schutz der Patientendaten ergriffen wurden.
Ferner zielt der Fragebogen auf den Umgang mit Risiken ab und die Verantwortlichkeit in schwierigen Fällen. Dazu weist der Fragebogen in einem besonders umfassenden Teil auf das Transparenzgebot der Datenverarbeitung gegenüber dem Patienten hin.
Nach eigenen Angaben soll der Fragebogen des mv-Landesamtes der Arztpraxis und zugleich dem Landesamt selbst einen ersten Überblick schaffen, wie vor Ort die DS-GVO umgesetzt wird. Gleichzeitig soll dies dem Landesamt dazu verhelfen, den Beratungsdarf einzuschätzen und über bestimmte Themengebiete noch genauer zu informieren.
Aber der Fragebogen soll nicht nur bei der Umsetzung helfen. Vielmehr gibt er der betroffenen Arztpraxis eine Einschätzung, wie die Prüfung der Einhaltung der DS-GVO aussehen könnte. Natürlich berücksichtigt der Fragebogen nicht alle wichtigen Punkte in der erforderlichen Tiefe.
Es wird daher allen Arztpraxen empfohlen, sich bei der Umsetzung von Datenschutzberatern begleiten zu lassen. So kann sichergestellt werden, dass alle neuen Vorgaben beachtet werden und keine Lücken in diesem Bereich entstehen.
In einer arbeitsrechtlichen Streitigkeit hat das BAG mit Urteil vom 22. September 2017 (Az.: 2 AZR 848/15) entschieden, dass die Verwertung eines Zufallsfundes aus einer Videoüberwachung als zulässig angesehen werden kann. Wird in einem Supermarkt also wegen des Verdachts auf Zigarettendiebstahl eine verdeckte gerechtfertigte Videoüberwachung durchgeführt, so können auch andere auf diese Weise entdeckte Straftaten als Beweismittel verwertet werden.
Das allgemeine Persönlichkeitsrecht werde dadurch nach Ansicht des BAG nicht unzulässig verletzt und müsse daher hinter das Strafverfolgungsinteresse treten.
Als der Arbeitgeber – der Inhaber eines Supermarktes – im Laufe einer Inventur im Bereich des „Tabak/ Zigaretten“ und „Nonfood“ einen Verlust in Höhe des Zehnfachen im Vergleich zum Vorjahr feststellte, ordnete er eine verdeckte Videoüberwachung seiner Mitarbeiter im Kassenbereich an. Der Betriebsrat stimmte der verdeckten Videoüberwachung zu, nachdem vorherige Taschenkontrollen, die einen Diebstahl hätten erkennen lassen, zu keinem Ergebnis führten.
Doch anstatt die Zigarettendiebe zu überführen, wurde die stellvertretende Filialleiterin dabei gefilmt, wie sie eine Musterpfandflasche scannte und den Leergutpfand in Höhe von EUR 3,25 für sich behielt.
Daraufhin wurde die stellvertretende Filialleiterin aufgrund der Unterschlagung nach 15 Jahren Betriebszugehörigkeit fristlos gekündigt.
Mit dem vorinstanzlichen Urteil des LG Düsseldorf (7. Dezember 2015 – 7 Sa 1078/14) wird bestätigt, dass auch bei einem relativ geringen Schaden in Höhe von EUR 3,25 ein gravierender Vertrauensbruch gerechtfertigt werden kann. Dieser wiederrum kann in der Folge zu einer gerechtfertigten fristlosen Kündigung führen. Soweit so gut. Damit liegt das LAG auf der Linie der in den letzten Jahren viel diskutierten Rechtsprechung des BAG unter anderem im Fall Emmely.
Doch Streitthema im Revisionsverfahren war die Verwertbarkeit der Videoaufnahmen. Diese sollten zwar von vorneherein nur zur Aufklärung der Zigarettendiebstähle führen. Zeigen diese allerdings eine andere Straftat durch einen sogenannten „Zufallsfund“, so sei nach Ansicht des BAG auch dieser verwertbar.
In den Urteilsauführungen macht das BAG deutlich, dass das allgemeine Persönlichkeitsrecht und das Recht am eigenen Bild nicht in einer unzulässigen Weise durch die Aufnahmen verletzt werde. Denn
Eingriffe in das Recht der Arbeitnehmer am eigenen Bild durch verdeckte Videoüberwachung sind dann zulässig, wenn der konkrete Verdacht einer strafbaren Handlung oder einer anderen schweren Verfehlung zulasten des Arbeitgebers besteht.
Allerdings nur, soweit es keine Alternative zu der Videoüberwachung gebe.
Nach dem alten Bundesdatenschutzgesetz (BDSG) dürfen die personenbezogene Daten aus einer ursprünglich gerechtfertigten Videoüberwachung auch dann verarbeitet und genutzt werden, wenn dies für die Entscheidung über eine Kündigung erforderlich ist (§ 32 Abs. 1 S. 1 BDSG-alt). Die Verwertung des Zufallsfundes aus der Videoüberwachung sei daher nicht zu beanstanden.
Das BDSG-neu regelt nunmehr im § 26 BDSG ähnliche Verwendungserlaubnisse, nämlich:
Personenbezogene Daten von Beschäftigten dürfen für Zwecke des Beschäftigungsverhältnisses verarbeitet werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung oder zur Ausübung oder Erfüllung der sich aus einem Gesetz oder einem Tarifvertrag, einer Betriebs- oder Dienstvereinbarung (Kollektivvereinbarung) ergebenden Rechte und Pflichten der Interessenvertretung der Beschäftigten erforderlich ist.
Damit dürfte sich auch in Zeitden der DSGVO kein anderes Ergebnis vermuten lassen.
Das LG Köln entschied, dass das Kontaktformular eines Webshopbetreibers keinen direkten Hinweis auf seine Datenschutzerklärung enthalten müsse (Az.: 81 O 32/17). Es genüge, dass die Datenschutzerklärung zu Beginn der Nutzung und im Zeitpunkt der Datenerhebung leicht auffindbar und unmittelbar erreichbar sei.
Dem Webshopbetreiber wurde von seinen Mitbewerbern vorgeworfen, dass er seine Nutzer im Rahmen seines Kontaktformulars – bei dem Name, E-Mail-Adresse und Telefonnummer abgefragt wurden – nicht ausreichend über seine Datenschutzerklärung informiere. Dabei enthielt das Formular zwar keinen direkten Hinweis auf die Datenschutzerklärung, allerdings konnten über eine Verlinkung „Datenschutz“ in der Fußzeile („Footer“) alle notwendigen Bestimmungen abgerufen werden.
Dennoch sahen die Mitbewerber hierin eine unzureichende Aufklärung über Art und Umfang der Datenerhebung im Sinne des § 13 TMG. Außerdem hätte der Webshopbetreiber darüber hinaus keine Einwilligung zur Erhebung, Verarbeitung und Nutzung der personenbezogenen Daten eingeholt.
Das LG Köln beurteilte die Rechtslage nun anders. Der Hinweis im Footer entspreche durchaus den Anforderungen im § 13 TMG. Den formalen Anforderungen des § 13 TMG werde auch dann Rechnung getragen, wenn die Datenschutzerklärung zu Beginn der Nutzung und im Zeitpunkt der Datenerhebung leicht auffindbar und unmittelbar erreichbar sei.
Der Grund: § 5 TMG bestimmt, dass auch das Impressum des Diensteanbieters leicht erkennbar und unmittelbar erreichbar zu sein hat. Gleiches gelte für die Erreichbarkeit der Datenschutzerklärung. Es genüge daher zur Erfüllung des Merkmals der unmittelbaren Auffindbarkeit, „wenn der Link, der zu den Informationen führt, mit „Datenschutz“ bezeichnet ist“. Es sei nicht unüblich und entspräche dem Erfahrungswert der Nutzer, dass sich allgemeine Hinweise und Erklärungen am Ende der Website befänden; meist in der Form einer Verlinkung.
Unmittelbar erreichbar sind die Informationen stets dann, wenn sie nach maximal zwei Klicks abrufbar sind. Im Falle der Datenschutzerklärung im Footer müsse der Nutzer zwar bis zum Ende der Website scrollen. Dort angelangt genüge aber ein einfacher Klick auf den Hyperlink um zu der Datenschutzerklärung zu gelangen. Dies reiche nach Ansicht der Kölner Richter aus.
Eine Datenschutzerklärung ist im Falle eines Kontaktformulars zwingend notwendig. Sie muss sich allerdings nicht zwingend direkt über oder unter dem Kontaktformular selbst befinden. Ein Hyperlink im Footer ist ausreichend.
Soweit es sich um Datenerhebungen zu Werbezwecken oder zur Weitergabe an Dritte handelt, ist zusätzlich eine Einwilligung der Nutzer erforderlich.
In der Pressemitteilung führt die Landesbeauftragte für den Datenschutz Niedersachsen (LfD), Barbara Thiel, dankenswerter Weise an, dass es nicht vorrangig darum gehe, möglichst viele Fehler zu finden und Bußgelder zu verhängen. Es solle vielmehr aufgeklärt, sensibilisiert und Hinweise gegeben werden. Es gelte auch, sich einen Überblick zu verschaffen, wie die DS-GVO in den Unternehmen angekommen ist.
Nichtsdestotrotz: werden Verstöße festgestellt, ist auch mit entsprechenden Verfahren zu rechnen. Daher dürften schwammige, falsche oder unvollständige Antworten eine Einladung zu einem Hausbesuch sein. Ein Grund mehr, nicht überstürzt, sondern sich wohlüberlegt und gemeinsam mit dem Datenschutzbeauftragten sowie ggfs. mit zusätzlichem rechtlichen Rat an die Beantwortung der Fragen zur DS-GVO zu setzen.
Zugleich dient der DS-GVO-Fragebogen auch als Orientierungshilfe für andere Unternehmen, die es vielleicht (noch) nicht erwischt hat. Denn im Grunde muss jedes Unternehmen die Fragen innerhalb kürzester Zeit beantworten und dokumentarisch nachweisen können.
Den Fragebogen der LfD erhalten insgesamt 50 Unternehmen als Querschnitt durch verschiedene Branchen. Betroffen sind jedoch nicht die kleinen Betriebe, sondern 20 große und 30 mittelgroße Unternehmen mit (Haupt-)Sitz in Niedersachsen.
Neben den bereits genannten Zielen erhofft sich die LfD mit der Auswertung der Fragebögen auch Hinweise für ihre zukünftige Arbeit. Je nach Mängeln wäre es möglich, neue Orientierungshilfen zu geben. Und auch wenn es bisher nicht konkret geplant ist, könnten sich zudem Schwerpunktprüfungen in bestimmten Branchen anschließen.
Die Fragen zur Vorbereitung und Umsetzung der DS-GVO haben es in sich. Es zeigt sich deutlich, dass die DS-GVO ein bürokratischer Akt ist und die LfD auch den Umgang damit (über-)prüfen möchte. Verlangt werden daher nicht nur die bloße Angabe zur Führung des Verarbeitungsverzeichnisses oder die Darstellung der Prozesse zur Einhaltung von Betroffenenrechten, sondern auch die Vorlage einiger Musterdokumente, wie:
Die Beantwortung der Fragen dürfte nicht nur zeitaufwendig sein, sondern auch viele Arbeitskräfte einspannen – insbesondere, wenn bisher die entsprechenden Dokumentationen und Muster nicht zur Verfügung stehen.
Insgesamt gibt es 10 Fragen, die sich in dem “Fragenkatalog Querschnittsprüfung DS-GVO” finden:
1. Vorbereitung auf die DS-GVO
Wie haben Sie sich als Unternehmen auf die DS-GVO vorbereitet?
Schildern Sie (kurz) die Vorgehensweise, welche Bereiche involviert waren und welche Maßnahmen initiiert wurden. Sofern noch nicht alle Maßnahmen vollständig umgesetzt wurden, erläutern Sie bitte auch den Umsetzungsstatus.
2. Verzeichnis von Verarbeitungstätigkeiten
Wie haben Sie sichergestellt, dass alle Ihre Geschäftsabläufe, bei denen personenbezogene Daten verarbeitet werden, in ein Verzeichnis von Verarbeitungstätigkeiten aufgenommen wurden? Wie stellen Sie dessen Aktualität sicher? Legen Sie bitte eine Übersicht Ihrer dokumentierten Verfahren sowie ein Beispielverfahren als Muster bei.
3. Zulässigkeit der Verarbeitung
Auf Basis welcher Rechtsgrundlagen verarbeiten Sie personenbezogene Daten? Sofern Sie auch auf Basis von Einwilligungen personenbezogene Daten verarbeiten, legen Sie bitte Ihre verwendeten Muster bei.
4. Betroffenenrechte
Wie stellen Sie die Einhaltung der Betroffenenrechte (auf Information, Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit) sicher? Skizzieren Sie Ihre diesbezüglichen Prozesse und gehen Sie insbesondere detailliert darauf ein, wie Sie Ihren Informationspflichten nachkommen. Vorhandene Musterinformationen fügen Sie bitte bei.
5. technischer Datenschutz
a. Wie stellen Sie sicher, dass Ihre technischen und organisatorischen Maßnahmen bzw. die Ihrer Dienstleister ein dem Verarbeitungsrisiko angemessenes Schutzniveau gewährleisten?
b. Wie stellen Sie sicher, dass Ihre technischen und organisatorischen Maßnahmen an den jeweiligen Stand der Technik angepasst werden?
c. Wie stellen Sie sicher, dass Sie für die von Ihnen aktuell oder zukünftig eingesetzten IT-Anwendungen ein dokumentiertes datenschutzkonformes Rollen- und Berechtigungskonzept haben?
d. Wie stellen Sie sicher, dass bei der Änderung oder Neuentwicklung von Produkten oder Dienstleistungen Datenschutzanforderungen von Anfang an mit berücksichtigt werden (Privacy by Design und by Default)?
6. Datenschutz-Folgenabschätzung
a. Wie stellen Sie sicher, dass Verarbeitungen mit einem voraussichtlich hohen Risiko für die Rechte und Freiheiten der Betroffenen erkannt und für diese eine Datenschutz-Folgenabschätzung durchgeführt wird?
b. Haben Sie in Ihrem Unternehmen Verarbeitungen mit einem voraussichtlich hohen Risiko für die Rechte und Freiheiten der Betroffenen identifiziert? Welche?
Fügen Sie bitte die jeweilige Dokumentation zur Datenschutz-Folgenabschätzung bei.
7. Auftragsverarbeitung
Haben Sie Ihre bestehenden Verträge mit Auftragsverarbeitern an die neuen Regelungen der DS-GVO angepasst? Sofern Sie Musterverträge verwenden, fügen Sie diese bitte bei, darüber hinaus fügen Sie bitte einen aktuellen Beispielvertrag mit einem Ihrer Auftragsverarbeiter bei.
8. Datenschutzbeauftragter
Wie ist Ihr Datenschutzbeauftragter in Ihre Organisation eingebunden? Welche Fachkundenachweise hat er?
9. Meldepflichten
Wie stellen Sie sicher, dass Ihr Unternehmen Datenschutzverstöße fristgemäß an die Aufsichtsbehörde meldet? Skizzieren Sie Ihre diesbezüglichen Prozesse.
10. Dokumentation
Wie können Sie die Einhaltung aller vorstehend in Ziff. 2 – 9 genannten Pflichten nachweisen?
Das LG Bonn hat eine der ersten Entscheidungen zur neuen Datenschutzgrundverordnung getroffen. Mit Beschluss vom 29. Mai 2018 entschieden die Bonner Richter, dass die ICANN gegen die DSGVO verstoße (Az.: 10 O 171/18).
Die Domain-Registrierungsbehörde mit Sitz in den USA ist die zentrale Vergabestelle für Internetadressen. Allerdings sammele diese bei dem Registrierungsvorgang zu viele persönliche Daten.
Die US-Stelle wollte nicht nur wissen, wer die zu registrierende Seite betreibt, sondern auch die Namen, Adressen und Telefonnummern von allen Personen mit vollen Zugriffsrechten auf die Website. Darunter zählen die so genannten Admin-C und auch die technischen Verantwortlichen (Tech-C).
Während des Verfahrens war die ICANN der Ansicht, der Domain-Registrierende sei vertraglich auch zur Erhebung weiterer technischer und administrativer Kontakte verpflichtet. Denn schließlich seien diese Daten zur Erreichung der Zwecke der Registrierenden zwingend erforderlich.
Der deutsche Domain-Händler Epag wehrte sich nun gegen die Vorgaben ICANNs. Das Unternehmen aus Bonn darf Domains mit Erlaubnis der iCANN in Deutschland, Österreich und der Schweiz verkaufen. Dabei muss es aber laut Vertrag die umfassenden persönlichen Daten an die ICANN übermitteln. Unter Beachtung der Vorgaben in der DSGVO sei das Unternehmen allerdings lediglich dazu bereit, alle Adressdaten der Domain-Besitzerin herauszugeben. Nicht aber die des Admin-C und Tech-C.
ICANN konnte vor dem Bonner LG nicht glaubhaft machen, dass die umfassenden persönlichen Daten zur Erreichung der Zwecke erforderliche seien. Schließlich sei die Erhebung personenbezogener Daten nur für festgelegte, eindeutige und legitime Zwecke zulässig. Zusätzlich muss die Erhebung zu dem Zwecke angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein (Art. 5 Abs. 1 lit, b) und c) DSGVO).
Warum hierzu neben dem Hauptverantwortlichen noch weitere Datensätze vonnöten sein sollen, konnte die Kammer vor dem Hintergrund des Grundsatzes der Datensparsamkeit nicht erkennen.
Zwar liege es auf der Hand, dass ein Mehr an Daten die Identifizierung von hinter einer Domain stehenden Personen und eine Kontaktaufnahme zu diesen verlässlicher erscheinen lässt. Jedoch handele es sich bei dem Inhaber des registrierten bzw. zu registrierenden Domainnamen nur um die für die Inhalte der betreffenden Website verantwortliche Person, die nicht notwendigerweise personenverschieden von den Kategorien Tech-C und Admin-C sein müsse.
Soweit ICANN ihre Ansprüche auf die vielen personenbezogenen Daten auf eine Parallele des sog. „WHOIS“ Systems zu internationalen Abkommen über Markenregister stützt, so folgt die Kammer des LG Bonn diesem nicht. Denn die für die Markenregister auf Grundlage internationaler Abkommen bestehenden Rechtsgrundlagen fehle. Hieran ändere auch die grundlegende Vergleichbarkeit des jeweiligen allgemeinen Schutzbedürfnisses nichts.
Die WHOIS-Abfrage ist bei vielen Firmen, wie auch der Denic, seit längerem nicht mehr ohne Weiteres möglich. Was früher jeder Internetnutzer mit wenigen Klicks herausfinden konnte, geben Denic und andere jetzt nur noch an Nutzer heraus, die zumindest ein berechtigtes Interesse nachweisen.
Die eingeschränkte WHOIS-Abfrage erschwert in letzter Zeit gerade Journalisten und IT-Sicherheitsforschern die Arbeit im Internet. Bei der Recherche zu Fake-News-Seiten, Spam-Schleudern und Erpresser-Software ist es ohne die Abfrage schwieriger geworden, die Hintermänner ausfindig zu machen.
Kontaktformulare auf Webseiten müssen stets richtig verschlüsselt werden. Das bayrische Landesamt für Datenschutzaufsicht (BayLDA) kündigte bereits im Oktober 2017 an, dies umfangreich zu überprüfen. Webseitenbetreiber sind angehalten, die Verschlüsselung von Kontaktformularen zu überprüfen. Bei Datenschutzverstößen riskieren sie sonst nicht nur Abmahnungen durch Konkurrenten, sondern auch hohe Bußgelder von den Datenschutzbehörden.
Die Pflicht, Kontaktformulare auf Websites zu verschlüsseln, ist nicht neu. Allerdings hat das BayLDA mit der „Cybersicherheitsinitiative zum Schutz personenbezogener Daten“ eine intensivere Prüfung gestartet. Aus der Pressemitteilung geht hervor, dass insbesondere Kontaktformulare zukünftig vermehrt überprüft werden. Der Grund dafür ist, dass bei einer unzureichenden Verschlüsselung schnell die personenbezogenen Daten abgegriffen werden können.
Doch nicht nur bayrische Firmen sollten nun aktiv werden. Das Vorgehen des BayLDA können auch andere Aufsichtsbehörden des Landes auf den Plan rufen.
Firmen wird grundsätzlich angeraten, die von dem Bundesamt für Sicherheit in der Informationstechnologie (BSI) empfohlenen Verschlüsselungsverfahren einzuführen.
So dient das kryptographische Protokoll Transport Layer Security (TLS) der sicheren Übertragung von Informationen in Datennetzwerken und damit dem Schutz der Vertraulichkeit, Integrität und Authentizität der übertragenen Informationen. Hierzu gibt das BSI weitere Informationen (Version: 2018-01).
Zur ausreichenden HTTPS-Verschlüsselung reicht meist ein SSL-Zertifikat. Dieses gibt es oftmals sogar kostenlos.
Dieses Zertifikat reicht allerdings nur zur Verschlüsselung von Daten. Soll zusätzlich auch die Identität der Website überprüft werden, reichen diese kostenlosen Zertifikate nicht aus. Soweit der Seitenbesucher sich also sicher sein soll, dass hinter der besuchten Website auch der gewünschte Betreiber steckt, so sollte der Websitebetreiber auf eine kostenpflichtige Variante der SSL-Zertifikate mit Identitätsprüfung zurückgreifen.
Gesetzliche Vorgaben in diesem Bereich stammen u.a. auch aus dem Telemediengesetz (TMG). Danach müssen Seitenbetreiber ein „anerkanntes Verschlüsselungsverfahren zum Schutz von personenbezogenen Daten“ anwenden. Ferner heißt es in § 13 Abs. 7 TMG:
Diensteanbieter haben, soweit dies technisch möglich und wirtschaftlich zumutbar ist, im Rahmen ihrer jeweiligen Verantwortlichkeit für geschäftsmäßig angebotene Telemedien durch technische und organisatorische Vorkehrungen sicherzustellen, dasskein unerlaubter Zugriff auf die für ihre Telemedienangebote genutzten technischen Einrichtungen möglich ist unddiesegegen Verletzungen des Schutzes personenbezogener Daten undgegen Störungen, auch soweit sie durch äußere Angriffe bedingt sind,gesichert sind. Vorkehrungen nach Satz 1 müssen den Stand der Technik berücksichtigen. Eine Maßnahme nach Satz 1 ist insbesondere die Anwendung eines als sicher anerkannten Verschlüsselungsverfahrens.
Diensteanbieter haben, soweit dies technisch möglich und wirtschaftlich zumutbar ist, im Rahmen ihrer jeweiligen Verantwortlichkeit für geschäftsmäßig angebotene Telemedien durch technische und organisatorische Vorkehrungen sicherzustellen, dass
gesichert sind. Vorkehrungen nach Satz 1 müssen den Stand der Technik berücksichtigen. Eine Maßnahme nach Satz 1 ist insbesondere die Anwendung eines als sicher anerkannten Verschlüsselungsverfahrens.
Ein Verstoß kann als Ordnungswidrigkeit nach § 16 Abs. 3 TMG mit einer Geldbuße von bis zu EUR 50.000,00 geahndet werden.
Eine unzureichende Verschlüsselung ist nicht der einzige Punkt der schief gehen kann und von den Landesämtern für Datenschutz überprüft wird.
Mit der neuen Datenschutzgrundverordnung (DS-GVO), die Ende Mai 2018 in Kraft tritt, kommen noch weitere Neuerungen auf datenverarbeitende Firmen und Websitebetreiber zu. Der zu beachtende Katalog an Anforderungen ist lang. Um hier Fehler zu vermeiden, kann die Prüfung durch einen externen Datenschutzberater helfen.
Mit Urteil vom 29. Januar 2018 (Az.: 13 U 165/16) hat das OLG Frankfurt am Main entschieden, dass der Verkauf von Adressdaten wegen fehlender Einwilligung der Adressinhaber unwirksam sei. Daher bestehen zwischen den Vertragspartnern auch keine vertraglichen Ansprüche aus dem Verkauf.
Im Verfahren vor dem OLG Frankfurt am Main stritten sich zwei Parteien über den Verkauf von Adressdaten. Der Geschäftsführer der klagenden Partei war zuvor Geschäftsführer der Schuldnerin. Am Tag der Insolvenzeröffnung kaufte der Geschäftsführer vom Insolvenzverwalter der insolventen Firma verschiedene Internet-Domains einschließlich der darüber generierten Adressdaten für insgesamt 15.000 EUR. Die Daten wurden dem Geschäftsführer auf einem USB-Stick übergeben.
Doch die Adressdaten befanden sich auch weiterhin noch auf zwei Servern, welche der Insolvenzverwalter an eine ebenfalls mit Adressdaten handelnde dritte Firma verkaufte. Diese nutzte die Millionen Adressen um Werbe-E-Mails für die Internetseite „Sexpage.de“ zu versenden.
Der Geschäftsführer war nun der Ansicht, die von ihm erworbenen Adressdaten hätten durch die zwielichtige Nutzung für Werbung der Internetseite „Sexpage.de“ zwei Drittel ihres Wertes verloren. Aus dem Kaufvertrag forderte er sodann anteilige Rückzahlung des Kaufpreises sowie Unterlassung der weiteren Nutzung der Adressdaten.
Das Landgericht gab der Klage in erster Instanz statt. Allerdings wurde das Urteil durch das OLG Frankfurt am Main im Rahmen der Berufung aufgehoben. Der Verkauf der Adressdaten sei mangels vorliegender Einwilligung der Adressdateninhaber unwirksam. Zwischen den Parteien bestünden also keinerlei vertragliche Ansprüche – weder das Recht auf Unterlassung noch ein Anspruch auf Rückzahlung des Kaufpreises.
Der Vertrag verstoße gegen die Vorgaben des BDSG. Die Nutzung von sogenannten personenbezogenen Daten sei nur zulässig, wenn der Betroffene einwillige oder das sogenannte Listenprivileg eingreife. Denn „Name, Postanschrift, Telefonnummer und E-Mail-Adresse einer Person“ stellten klassische personenbezogene Daten dar. Nach Ansicht der Frankfurter Richter unterfalle auch der einmalige Verkauf derartiger Daten dem Adresshandel gemäß § 28 Abs. 3 Satz 1 BDSG. Das Listenprivileg greife zudem nur bei zusammengefassten Daten von Angehörigen einer bestimmten Personengruppe; ein solcher Fall läge hier allerdings nicht vor.
Auch eine den Verkauf rechtfertigende Einwilligung der Adressdateninhaber lag hier nicht vor. Die von der BDSG geforderte Einwilligung sei nur dann wirksam, wenn sie auf der freien Entscheidung des Betroffenen beruhe und dieser auf den vorgesehenen Zweck der Erhebung, Verarbeitung oder Nutzung sowie die Folgen der Verweigerung der Einwilligung hingewiesen werde. Jedoch habe die Firma, welche die Daten erhob, es versäumt, die betroffenen Daten nach Kategorien etwaiger Datenempfänger oder der Nutzungszweck des Adresshandels konkret genug zu bezeichnen.
Zudem scheitere der Vertrag nach Auffassung des Gerichtes daran, dass der Vertrag die Parteien systematisch zu einem unlauteren, wettbewerbswidrigen Verhalten verpflichte. Die Zusendung von Werbe-E-Mails ohne Einwilligung stelle eine unzumutbare Belästigung nach § 7 Abs. 2 Nr. 3 UWG dar. Soweit der verklagte Insolvenzverwalter in Höhe des erlangten Kaufpreises ungerechtfertigt bereichert sei, begründe dies alleine noch keinen Rückzahlungsanspruch des Geschäftsführers. Ein derartiger Anspruch sei bereits ausgeschlossen, weil beide Vertragsparteien zuvor vorsätzlich gegen die zwingenden Vorgaben des BDSG verstoßen hätten.
Ein Arzt gab Untersuchungsergebnisse ungefragt weiter. Mit Beschluss vom 28. Juni 2017 hat das OLG Karlsruhe (Az.: 1 Rb Ss 540/16) dies als Datenschutzrechtsverstoß gewertet.
Es hat entschieden, dass das in § 4a Abs. 1 Satz 3 BDSG aufgestellte Erfordernis einer schriftlichen datenschutzrechtlichen Einwilligung zur Weitergabe von persönlichen Daten eine Schutz- und Warnfunktion hat. Der zur Einwilligung Aufgeforderte solle nicht übereilt zustimmen müssen, sondern die Chance erhalten, sich seiner Entscheidung und der Auswirkungen bewusst zu werden.
Das Amtsgericht hatte Mitte 2016 einen niedergelassenen Arzt wegen eines vorsätzlichen Verstoßes gegen das Bundesdatenschutzgesetz (BDSG) in zwei Fällen zu einer Geldbuße von EUR 1.000 verurteilt. Grund für die Verurteilung war, dass er im Rahmen eines von einem Arbeitgeber veranlassten Drogenscreening dieses bei dem Arbeitnehmer vornahm und die Ergebnisse an den Arbeitgeber weiterleitete.
Allerdings hatte der Arbeitnehmer lediglich gegenüber seinem Arbeitgeber in die Weitergabe der Untersuchungsergebnisse zugestimmt. Eine schriftliche datenschutzrechtliche Einwilligung zur Untersuchung und der Datenverarbeitung des Arztes erteilte er jedoch nicht.
Das OLG sah es ähnlich. Durch die Untersuchung und Weitergabe der Ergebnisse ohne vorherige schriftliche Einwilligung verstößt der Arzt gegen § 43 Abs. 2 Nr. 1 BDSG. Denn er erhebt oder verarbeitet vorsätzlich – oder zumindest fahrlässig – unbefugt personenbezogenen Daten, die nicht allgemein zugänglich sind.
Das Gericht betont, dass die datenschutzrechtliche Einwilligung von der rechtfertigenden Einwilligung im ordnungswidrigkeitsrechtlichen Sinne zu unterscheiden ist. Eine restriktive Auslegung sei gerade zwingend. Daher komme eine wirksame datenschutzrechtliche Einwilligung nur dann zustande, wenn der Einwilligende nach den objektiven Umständen imstande ist, die Bedeutung und Tragweite seines Rechtsgutverzichts zu beurteilen.
Die vom Arbeitnehmer abgegebene schriftliche datenschutzrechtliche Einwilligung im Rahmen der G 25-Untersuchung zur Weitergabe der der personenbezogenen Daten umfasse nicht auch die Zustimmung zur Erhebung und Verarbeitung der Daten. Allerdings sei eine solche schriftliche datenschutzrechtliche Einwilligung erforderlich gewesen, sofern eine andere Form der Einwilligung nicht ausnahmsweise angemessen sei, § 4a Abs. 1 Satz 3 BDSG.
Jedoch ist nach der Ansicht das OLG Karlsruhe meist von einem Erfordernis einer schriftlichen Einwilligung auszugehen. Denn schließlich wohne der Schriftform eine Schutz- und Warnfunktion inne. Im vorliegenden Fall solle der Arbeitnehmer die Chance erhalten, sich seiner Entscheidung bewusst zu werden und diese nicht voreilig zu treffen. Dieser Ausnahmecharakter gebiete daher eine restriktive Auslegung des § 4a Abs. 1 BDSG.
Ob Arztpraxen unabhängig von der Mitarbeiterzahl zwingend einen Datenschutzbeauftragten im Sinne der DS-GVO benötigen, kommt auf die Art und Weise der Datenverarbeitung an. Jedenfalls ist gerade in Arztpraxen aufgrund des Umgangs mit Gesundheitsdaten angeraten, die datenschutzrechtlichen Bestimmungen genauestens zu prüfen und einzuhalten. Dabei kann es nicht schaden, sich von einem externen Datenschutzberater instruieren zu lassen.
Mit Beschluss vom 5. Oktober 2017 (Az.: I ZR 7/16) wendet sich der BGH in einem Vorabentscheidungsverfahren an den EuGH. Dabei soll dieser die Frage klären, in wie weit es sich bei bereits im Endgerät des Nutzers voreingestellten Ankreuzkästchen um eine wirksame Einwilligung handeln kann, wenn der Nutzer dieses abwählen muss, um eine Cookie-Nutzung zu unterbinden.
Ferner soll vom EuGH die Frage geklärt werden, ob es bei der Anwendung der Vorschriften einen Unterschied macht, ob es sich um personenbezogene Daten handelt, oder nicht. Auch soll geklärt werden, welche Informationen der Dienstanbieter im Rahmen von Art. 5 Abs. 3 der ePrivacy-Richtline dem Nutzer zu erteilen hat.
Bei der Beantwortung der Fragen geht es insbesondere um die Auslegung des Art. 5 Abs. 3 i.V.m. Art. 2 f) der ePrivacy-Richtline (Richtlinie 2002/58/EG).
Im vom BGH zu entscheidenden Fall ging es um eine Einwilligung im Rahmen von Online-Gewinnspielen. Um an diesen Online-Gewinnspielen teilzunehmen musste der Teilnehmer seine persönlichen Daten – also Name und Anschrift – angeben und sich anschließend mit zwei Ankreuzfeldern befassen.
Das erste Ankreuzfeld war nicht mit einem vorgesetzten Häkchen versehen und befasste sich mit einer Einwilligung zur Werbung durch Drittunternehmen in telefonischer oder postalischer Form.
Das zweite Ankreuzfeld hingegen war bereits mit einem Häkchen versehen und enthielt folgenden Erklärung:
Ich bin einverstanden, dass der Webanalysedienst R. bei mir eingesetzt wird. Das hat zur Folge, dass der Gewinnspielveranstalter, die P. GmbH, nach Registrierung für das Gewinnspiel Cookies setzt, welches P. eine Auswertung meines Surf- und Nutzungsverhaltens auf Websites von Werbe-partnern und damit interessengerichtete Werbung durch R. ermöglicht. Die Cookies kann ich jederzeit wieder löschen. Lesen Sie Näheres hier.
Die Teilnahme am Gewinnspiel war nur möglich, wenn der Teilnehmer das erste Häkchen setzte. Die Einwilligung zur Nutzung der Cookies war dagegen nicht Teilnahmevoraussetzung. Der Nutzer konnte das Ankreuzfeld also – falls gewollt – bewusst deaktivieren.
Die Frage, welche der BGH sich nun stellt ist, ob das vorangekreuzte Häkchen gegen die Grundgedanken des Art. 5 Abs. 3 i.V.m. Art. 2 f) der ePrivacy-Richtlinie verstößt.
Die Richtlinie war bis Ende Mai 2011 durch die Mitgliedsstaaten umzusetzen. Allerdings änderte Deutschland seine im TMG vorgesehene Widerspruchslösung nicht, sondern behielt sie bewusst bei. Auch andere Staaten nutzen die Umsetzung dazu, eine „Opt-out“-Regelung zu schaffen, die einen Widerspruch des Nutzers erfordere.
Ein „Opt-In“-Verfahren, welches eine vorherige Einwilligung erfordere, wurde jedoch auch von einigen Mitgliedsstaaten gewählt.
Nach der Rechtsprechung des Bundesgerichtshofs zur Anwendung des auf Art. 13 der ePrivacy-Richtline zurückgehenden § 7 Abs. 2 Nr. 3 UWG ist die erforderliche Einwilligung vorhergehend und ausdrücklich zu erteilen. Er verbietet die ohne Einwilligung des Adressaten vorgenommene Werbung durch automatische Anrufmaschinen, Faxgeräte oder elektronische Post.
Einwilligungsklauseln, bei denen der Kunde ein Kästchen ankreuzen muss, wenn er seine Einwilligung nicht erteilen will (“Opt-out”-Erklärung), entsprechen danach nicht dem Begriff der Einwilligung im Sinne der ePrivacy-Richtlinie. Die Entscheidung, in wie weit bei der Einwilligung in die Verwendung von Cookies ein „Opt-In“- oder ein „Opt-out“-Verfahren erforderlich ist, bleibt daher nun dem EuGH überlassen.
Der Abruf von Daten aus den von dem Online-Gewinnspieleanbieter verwendeten Cookies unterliegt dem Einwilligungserfordernis des § 12 Abs. 1 TMG. Grund dafür ist, dass es sich bei den erhobenen Daten um personenbezogene Daten handelt. Denn Cookies enthalten eine Nummer (ID), die den Registrierungsdaten des Nutzers zugeordnet wird, der sich mit Namen und Adresse in das bereitgestellte Webformular einzutragen hat. Durch die Verknüpfung der ID mit den vom Nutzer eingegeben persönlichen Daten entsteht ein Personenbezug, der durch die Cookies gespeicherten Daten über die Internetnutzung.
Bislang hat der BGH für die Wirksamkeit der Einwilligung im Rahmen von § 4a Abs. 1 BDSG kein „Opt-In“-Verfahren für nötig gehalten. In wie fern sich dies auch auf die Einwilligung im vorliegenden Fall übertragen lässt, ist allerdings noch unklar und soll daher vom EuGH entschieden werden.
Der Umfang, in dem der Online-Gewinnspieleanbieter den Nutzer nach § 13 TMG über die Nutzung seiner Daten zu informieren hat, war bislang klar. Dazu muss der Nutzer in allgemein verständlicher Form über Art, Umfang und Zweck der Erhebung und Verwendung seiner personenbezogenen Daten aufgeklärt werden.
Gesondert muss der Nutzer ferner unterrichtet werden, wenn eine spätere Identifizierung durch ein automatisiertes Verfahren möglich ist. Dazu zählt wie hier auch das Setzen von Cookies auf dem Endgerät des Nutzers. Jedoch ist bislang unklar, wie weit die Aufklärungspflicht von § 13 Abs. 1 S. 2 TMG – mit Blick auf Art. 5 Abs. 3 der ePrivacy-Richtlinie – reicht. Daher soll der Umfang der Informationspflicht ebenfalls vom EuGH geklärt werden.
Im vorliegenden Fall hat der Online-Gewinnspieleanbieter zwar darüber informiert, dass die ID den Cookies zugeordnet wird und die nachfolgende Nutzung von Internetseiten für die registrierten Werbepartner erfasst wird. Allerdings fehlte eine Mitteilung, ob auch Dritte Zugriff auf die Cookies haben und für welche Dauer die Cookies aktiv sind. Denn dies sind ebenfalls für den Nutzer wichtige Daten, die eigentlich einer Aufklärung bedürfen. Ob dies der EuGH genauso sieht, bleibt jedoch abzuwarten.
Neue EU Datenschutz-Grundverordnung für 2018. Ein Fragebogen des Bay. Landesamt für Datenschutz hilft Ihnen bei der Umsetzung der Neuerungen.
Neue EU Datenschutz-Grundverordnung für 2018: Ein Fragebogen des mv-Landesamt für Datenschutzaufsicht soll Arztpraxen bei der Umsetzung helfen.
Die Verwertung eines Zufallsfundes aus einer gerechtfertigten verdeckten Videoüberwachung kann nach § 32 BDSG zulässig sein.
Kontaktformular muss keinen direkten Hinweis auf Datenschutzerklärung enthalten. Diese müsse lediglich leicht auffindbar und unmittelbar erreichbar sein.
Seit Ende Juni 2018 prüft die Landesbeauftragte für den Datenschutz Niedersachsen, wie gut sich die niedersächsischen Unternehmen auf die Datenschutzgrundverordnung (DS-GVO) eingestellt haben.
DSGVO: Zu viele persönliche Daten bei Anmeldung einer Domain. Rückschlag für die zentrale Vergabestelle für Internetadressen (Icann) in den USA.
Das Bayerische Landesamt für Datenschutzaufsicht kündigt neue Kontrollen an. Im Visier: die Verschlüsselung von Kontaktformularen.
BDSG: Fehlt beim Verkauf von Adressdaten die Einwilligung, so ist der Verkauf unwirksam und es bestehen keine vertraglichen Ansprüche der Vertragspartner.
OLG Karlsruhe: Das in § 4a BDSG aufgestellte Erfordernis der schriftlichen Zustimmung zur Weitergabe persönlicher Daten erfüllt Schutz- und Warnfunktion.
Der BGH legt dem EuGH Fragen zur ePrivacy-Richtlinie vor. Dabei geht es in erster Linie um die Belehrung für die Verwendung von Cookies.
