Neuigkeiten

DSGVO Symbol

Der Warnschuss aus dem BAG

Quelle: Marc Dauenhauer

Bislang ist das Datenschutzrecht in Deutschland ein relativ stumpfes Schwert. Zu dieser Einschätzung muss man kommen, wenn man sich die massenhaften Verstöße ansieht, die jeden Tag aus Unwissenheit und Unwillen passieren. Obwohl es immer wieder zu Klagen auf Schadenersatz wegen Datenschutzverstößen kommt, sind deutsche Gerichte weiterhin sehr zurückhaltend, hier auch Schadensersatz zuzusprechen. Zudem kennt das deutsche Recht keine Strafbarkeit von Unternehmen, was die Datenschutzaufsichtsbehörden dazu zwingt, immer auch konkreten Personen eine Verantwortlichkeit für den Datenschutzverstoß nachweisen zu müssen. Dies kann insbesondere bei komplizierten Datenverarbeitungen schwer bis unmöglich sein.

Wenn der EuGH das auch so sieht, kriegt der Datenschutz mal richtig Schwung.

Eine Vorlage des Bundesarbeitsgerichts (BAG) an den EuGH mit Fragen zur Auslegung der DSGVO könnte hier frischem Wind bei der Umsetzung des Datenschutzes in der Europäischen Union und vor allen Dingen auch in Deutschland bringen. Würde der EuGH sich den Positionen des BAG anschließen, würde das zunächst bedeuten, dass

  1. schon ein Datenschutzverstoß an sich zu einem Schadensersatzanspruch des Betroffenen führen würde. Ein „echter“ Schaden müsste dann nicht mehr nachgewiesen werden. Der Schadenersatz würde sich vielmehr an der Schwere des Verstoßes zu orientieren haben.
  2. der zuzusprechende Schadenersatz einen spezial- bzw. generalpräventiven Charakter bekommt und bei aller Angemessenheit auch abschreckend wirken soll.
  3. das im deutschen Zivilrecht bestehende Konstrukt der verschuldensabhängigen Haftung dem Inhalt des Art 28 Abs 1 DSGVO nicht entspräche. Vielmehr würde eine reine Beteiligung des Verantwortlichen an einem Datenschutzverstoß ausreichen. Auf ein Verschulden im Sinne eines „Vertretenmüssen“ käme es nicht mehr an.

Die Positionen finden sich im Vorlagebeschluss des BAG vom 26.08.2021 mit dem Aktenzeichen 8 AZR 253/20 (A) unter Rn 35-40. Hierin führt das BAG aus, dass es auch im Sinne einer EU-weit einheitlichen Anwendung der DSGVO sei, diese unter Umgehung nationalstaatlicher Haftungsregelungen rein auf EU-Ebene zu interpretieren.

Sollte der – meist sehr verbraucherfreundlich entscheidende EuGH – sich den Positionen des BAG anschließen, wären die Konsequenzen für Verantwortliche in ganz Europa erheblich. Ich möchte hier nur einige der wichtigsten Konsequenzen aufzeigen.

Entstehung eines Schadenersatzanspruchs.

Ein Schadenersatzanspruch eines Betroffenen würde unter den o.g. Annahmen grundsätzlich schon bei dem Vorliegen eines Datenschutzverstoßes entstehen. Dabei käme es nur darauf an, dass der Verantwortliche an dem Datenschutzverstoß beteiligt ist. Auf eine Schuld im Sinne des „Vertretenmüssens“ käme es eben nicht mehr an. So würden also auch Datenschutzverstöße in Folge eines technischen Versagens oder einer leichten Fahrlässigkeit zu einem Schadenersatz führen können. Verantwortliche können sich dann nicht mehr hinter einer komplizierten Datenverarbeitung verstecken, bei der am Ende zwar alle Daten öffentlich im Internet stehen, aber niemand zu finden ist, der schuldhaft gehandelt hätte.

Im Klartext, es ist egal, ob es jemand verbockt hat. Ein Datenschutzverstoß unter Beteiligung des Unternehmens bedeutet einen Schadensersatzanspruch des davon Betroffenen.

Die Höhe des Schadenersatzanspruchs würde sich ebenfalls nicht am Grad des Verschuldens sondern am der Schwere des Verstoßes orientieren. Dabei würden die Ansprüche per se so hoch festzusetzen sein, dass davon eine abschreckende Wirkung ausgeht.

Was bedeutet das in der Praxis

Die Verteidigung eines Unternehmens gegen Schadensersatzklagen aus Datenschutzverstößen wird aufwendiger und schwieriger werden. Die Schwelle, die ein Verstoß überschreiten muss, um zu einem Schadenersatz zu führen, dürfte – wenn überhaupt – gering sein. Die DSGVO enthält keine Hinweise auf das Bestehen einer Bagatellgrenze.

Prinzipiell ist jeder Betroffene klageberechtigt. Zudem hat sich gerade erst vor kurzem durch ein Gerichtsurteil bestätigt, dass Schadenersatzansprüche aus Datenschutzverstößen abtretbar sein können, d.h. ähnlich wie bei Fluggastrechten könnten spezialisierte Unternehmen solche Ansprüche „aufkaufen“ und gegen Unternehmen geltend machen. Daher wundert es auch nicht, wenn sich bestimmte Berufsgruppen angesichts dieser Entwicklungen bereits warmlaufen.

Unternehmen tun also gut daran, diesen Vorlagenbeschluss als einen Warnschuss zu verstehen.

Weitere Konsequenzen

Sollten sich Massenklagen (ähnlich wie bei Dieselklagen) durchsetzen, dann könnte dies für Datenschutzmissachter richtig teuer werden. Auch wenn der an den Einzelnen zu zahlenden Schadenersatz klein sein mag. Die Masse macht es sicher ungemütlich. Unternehmen werden sich umstellen müssen und den Datenschutz auch im Sinne des Selbstschutzes beachten müssen. Dies gilt insbesondere für die Auswahl von Dienstleistern, da der Verantwortliche im Rahmen von Auftragsverarbeitungsverträgen auch für die Verstöße seiner Dienstleister in Anspruch genommen werden kann.

Es ist dann vielleicht nicht mehr die allerbeste Idee, die Webseite vom Sohn einer Bekannten bauen zu lassen, wenn der nicht über die notwendige Rechtsexpertise verfügt und bereit ist, die Haftung zu übernehmen. Dies ist ab Dezember sowieso keine gute Idee mehr, da schon mit dem dann in Kraft tretenden TDDSG die Bußgeldgefahr für Verstöße bei Telemedien (u.a. Webseiten) erheblich steigt.

Auf diese Weise wird sich die Spreu vom Weizen trennen, wenn Verantwortliche bei der Beauftragung z.B. von Marketingagenturen zukünftig darauf achten, dass diese für die Rechtskonformität ihrer Arbeitsergebnisse auch eine Haftung übernehmen. Das bedeutet nämlich, dass die Webseiten nicht nur schick sondern auch datenschutzkonform sein müssen, jedenfalls dann, wenn die Agentur langfristig überleben möchte.

In jedem Fall wird Verbrauchern und Betroffenen eine notwendiger Hebel gegeben, sich auch gegen große Datenkraken zu wehren, wenn sie sich zusammenschließen – insbesondere vor dem Hintergrund, dass es auf kurz oder lang auch zu der Möglichkeit von Sammelklagen in der EU kommen wird.

Made in Europe wird alleine nicht reichen.

Vor dem Hintergrund der anhaltenden Diskussion um das Urteil Schrems-II und den transatlantischen Datenverkehr bekommt die BAG-Position noch eine besondere Brisanz, da sich die meisten Unternehmen derzeit in einer dunkelgrauen Grauzone bewegen. Während die Aufsichtsbehörden zwar laut tönen aber derzeit noch nicht signifikant gegen Unternehmen vorgehen, ist es fraglich, ob die Gerichte bei Schadenersatzklagen das gleiche Verständnis aufbringen werden. Dabei bleiben viele Fragestellungen offen.

Um dem Problem zu umgehen, haben einige Verantwortliche reagiert und sind „blind“ zu deutschen oder europäischen Anbietern umgezogen. Damit sind sie erstmal aus dem Visier der Aufsichtsbehörden verschwunden, aber das heißt nicht, dass diese Anbieter wirklich datenschutzkonform arbeiten. Mit Blick auf die potentiell anstehenden Klagemöglichkeiten von Betroffenen tun Unternehmen gut daran, ihre Dienstleister und Auftragsverarbeiter gut zu überprüfen und Haftungsfragen ggf. neu zu verhandeln.

DSGVO Symbol

Was lange diskutiert und befürchtet wurde, veröffentlicht Heise.de nun gestern. Hier nun Auszüge aus dem Artikel:

Die Datenschutzkonferenz des Bundes und der Länder (DSK) hat am 22. September mit knapper Mehrheit beschlossen, dass derzeit „kein datenschutzgerechter Einsatz von Microsoft Office 365 möglich ist“. Dieser hatte über ein halbes Jahr lang geprüft, ob die Datenschutzbestimmungen und Online-Geschäftsbedingungen für das Cloud-basierte Softwarepaket mit Artikel 28 der Datenschutz-Grundverordnung (DSGVO) zur Auftragsdatenverarbeitung vereinbar sind.

Dies ist nach Ansicht der Aufsichtsbehörden nicht der Fall. Wer die Cloud-Variante etwa von Word, Excel oder Powerpoint nutzt, handelt demnach nicht rechtskonform. Schon die Arten der personenbezogenen Daten und der Zweck, warum sie verarbeitet werden, bleibe in den Online Service Terms (OST) sowie dem „Data Processing Addendum“ (DPA) vom Januar unklar, rügen die Kontrolleure.

Microsoft verweist innerhalb der Datenschutzbestimmungen für Online-Dienste, selbst im Zusammenhang mit legitimen eigenen Geschäftstätigkeiten verantwortlich zu sein und benennt diese auch. Das Gremium kritisiert aber, dass es „weiterhin nicht eindeutig ersichtlich“ sei, „welche weiteren personenbezogenen Daten in diesem Rahmen verarbeitet werden“.

Den ganzen Artikel auf Heise.de lesen Sie hier

 

DSGVO Symbol

iPMC bietet aktuell zum Pauschalpreis von 129,– € die Möglichkeit online oder telefonisch eine Bestandsaufnahme mit Ihnen durchzuführen, um zu prüfen ob Ihre Homeofficeanbindung DSGVO-Konform ist.

Wir gehen mit Ihnen unsere Checklisten durch, und prüfen was Sie noch zu tun haben, oder bereits  getan haben,  um der DSGCO gerecht zu werden. Dabei ermitteln wir gemeinsam mit Ihnen Stolperfallen, und geben ganz konkrete Handlungsempfehlungen, damit Sie den Vorgaben der DSGVO entsprechen können.

Auf Wunsch bieten wir auch die notwendigen Dokumentationsanpassungen an.

 

Planen Sie hier Ihren Termin:

 

DSGVO Symbol

Das Bundesverfassunggericht hat erneut festgestellt, dass der Zugriff Kommunikationsdaten von Handy- und Internetnutzern zu Strfverfolgungszwecken zu weit geht.

Der Gesetzgeber muss genauer definieren, welche Behörde bei welchen Anlässen Daten von Bürgern von Telekommunikationsunternehmen abfragen darf, und wie diese Daten verwendet werden dürfen.

Laut dem Onlinedienst Heise.de gehören zu den jetzt als verfassungswidrig eingestuften Regelungen nicht nur die beanstandeten Passagen im TKG, sondern auch entsprechende Abrufregelungen im:

  • Bundeskriminalamtgesetz
  • Polizeigesetz
  • Zollfahndungsdienstgesetz
  • im BND- und MAD-Gesetz sowie dem Bundesverfassungsschutzgesetz

Auch in diesen Gesetzen genügen die Vorgaben für den Abruf der von den Telekommunikationsunternehmen erhobenen Daten durch die Sicherheitsbehörden nicht den verfassungsrechtlichen Anforderungen.

Lesen Sie den ganzen Bericht hier.

Quelle: Heise.de

Fuhrparkverwaltung-Fuhrparkmanagement-Einkauf

iPMC Mobil

Laut dem Onlinebeitrag der „Welt“ vom 20.07.2020 möchte Volkswagen das Ende der Rabattschlachten einführen. Doch was steckt wirklich dahinter? Dem Bericht zufolge sind Händler zukünftig nur noch Vermittler ohne Preissetzungskompetenz, und bekommen für Ihre Leistung lediglich Provision. Damit diktiert Volkswagen die Fahrzeugpreise, zunächst für den ID3, deutschlandweit. Was das für die Kunden bedeutet, kann sich jeder ausmalen.

Evtl. belebt dieses Vorgehen des VW-Konzerns das Geschäft mit den Reimporten. Kunden die besonderen Wert auf einen Marktvergleich legen, könnten damit auf verfügbare Gebrauchtfahrzeuge ausweichen. Während Volkswagen im Einkaufsbereich bisher schon immer seine Marktmacht voll ausnutzte, scheint dieses nun auch im Vertriebsbereich Einzug zu halten.

Es gilt abzuwarten, wie sich das auf die Portemonnaies der Kunden auswirkt, und welche Stategien gegen dieses Diktat entwickelt werden. Nicht auszuschliessen ist natürlich, dass die Kunden die Umstellung akzeptieren. Um solchen Vertriebsstrategien etwas entgegenzustellen, ist es aus unserer Sicht noch wichtiger sich in Einkaufsgemeinschaften zusammenzutun um durch Bündelung überhaupt noch eine wirkungsvolle Verhandlungsposition einnehmen zu können.

DSGVO Symbol

Der Europäische Gerichtshof hat entschieden, dass europäische Daten nicht ohne Prüfung in die USA übermittelt werden dürfen. Der Urteilstext liegt zwar noch nicht komplett vor. Jedoch dürfte es gravierende Auswirkung fü alle US-amerikanischen Unternehmen haben, die personenbezogene Daten in die USA übertragen.

 

Lesen Sie hier was das im Detail für Sie bedeutet.

Max Schrems‘ (Geschäftsführer von noyb.eu und Partei des Falles) erste Reaktion auf das Urteil.

Wegen eines Verstoßes gegen die Pflichten zu sicherer Datenverarbeitung (Art. 32 der Europäischen Datenschutz-Grundverordnung DS-GVO) hat die Bußgeldstelle des LfDI Baden-Württemberg mit Bescheid vom 25.06.2020 gegen die  AOK Baden-Württemberg  eine  Geldbuße  von  1.240.000,- Euro  verhängt   und – in konstruktiver Zusammenarbeit mit der AOK – zugleich die Weichen für eine Verbesserung der technischen und organisatorischen Maßnahmen zum Schutz persönlicher Daten bei der AOK Baden-Württemberg gestellt.

 

Den Ganzen Beitrag lesen Sie hier.

Wer kennt Sie noch nicht, die digitalen Fahrtenbücher welche über einen OBD-Stecker ganz einfach lückenlos alle Fahrten aufzeichnen.

Ab sofort können Sie das digitale Fahrtenbuch bei uns erhalten. Für alle die wissen müssen wo die Fahrzeuge aus ihrer Flotte sich befinden, gibt es die Möglichkeit der Fahrzeugortung, streng nach Datenschutzanforderung.

Alle relevanten Dokumente für den Datenschutz bekommen Sie von uns. Wir liefern deutsche Produkte die Ihre Daten auf deutschen Servern datenschutzkonform speichern.

Auch wer seine Fahrer gemäß UVV unterweisen muss, erhält bei uns die dafür passende Onlinelösung. Damit sparen Sie Zeit und Kosten. Zudem sind Ihre Fahrer rechtssicher unterwiesen.

Sprechen Sie uns gerne an, wir unterbreiten Ihnen ein individuelles Angebot.