Beiträge

DSGVO Symbol

Der Warnschuss aus dem BAG

Quelle: Marc Dauenhauer

Bislang ist das Datenschutzrecht in Deutschland ein relativ stumpfes Schwert. Zu dieser Einschätzung muss man kommen, wenn man sich die massenhaften Verstöße ansieht, die jeden Tag aus Unwissenheit und Unwillen passieren. Obwohl es immer wieder zu Klagen auf Schadenersatz wegen Datenschutzverstößen kommt, sind deutsche Gerichte weiterhin sehr zurückhaltend, hier auch Schadensersatz zuzusprechen. Zudem kennt das deutsche Recht keine Strafbarkeit von Unternehmen, was die Datenschutzaufsichtsbehörden dazu zwingt, immer auch konkreten Personen eine Verantwortlichkeit für den Datenschutzverstoß nachweisen zu müssen. Dies kann insbesondere bei komplizierten Datenverarbeitungen schwer bis unmöglich sein.

Wenn der EuGH das auch so sieht, kriegt der Datenschutz mal richtig Schwung.

Eine Vorlage des Bundesarbeitsgerichts (BAG) an den EuGH mit Fragen zur Auslegung der DSGVO könnte hier frischem Wind bei der Umsetzung des Datenschutzes in der Europäischen Union und vor allen Dingen auch in Deutschland bringen. Würde der EuGH sich den Positionen des BAG anschließen, würde das zunächst bedeuten, dass

  1. schon ein Datenschutzverstoß an sich zu einem Schadensersatzanspruch des Betroffenen führen würde. Ein „echter“ Schaden müsste dann nicht mehr nachgewiesen werden. Der Schadenersatz würde sich vielmehr an der Schwere des Verstoßes zu orientieren haben.
  2. der zuzusprechende Schadenersatz einen spezial- bzw. generalpräventiven Charakter bekommt und bei aller Angemessenheit auch abschreckend wirken soll.
  3. das im deutschen Zivilrecht bestehende Konstrukt der verschuldensabhängigen Haftung dem Inhalt des Art 28 Abs 1 DSGVO nicht entspräche. Vielmehr würde eine reine Beteiligung des Verantwortlichen an einem Datenschutzverstoß ausreichen. Auf ein Verschulden im Sinne eines „Vertretenmüssen“ käme es nicht mehr an.

Die Positionen finden sich im Vorlagebeschluss des BAG vom 26.08.2021 mit dem Aktenzeichen 8 AZR 253/20 (A) unter Rn 35-40. Hierin führt das BAG aus, dass es auch im Sinne einer EU-weit einheitlichen Anwendung der DSGVO sei, diese unter Umgehung nationalstaatlicher Haftungsregelungen rein auf EU-Ebene zu interpretieren.

Sollte der – meist sehr verbraucherfreundlich entscheidende EuGH – sich den Positionen des BAG anschließen, wären die Konsequenzen für Verantwortliche in ganz Europa erheblich. Ich möchte hier nur einige der wichtigsten Konsequenzen aufzeigen.

Entstehung eines Schadenersatzanspruchs.

Ein Schadenersatzanspruch eines Betroffenen würde unter den o.g. Annahmen grundsätzlich schon bei dem Vorliegen eines Datenschutzverstoßes entstehen. Dabei käme es nur darauf an, dass der Verantwortliche an dem Datenschutzverstoß beteiligt ist. Auf eine Schuld im Sinne des „Vertretenmüssens“ käme es eben nicht mehr an. So würden also auch Datenschutzverstöße in Folge eines technischen Versagens oder einer leichten Fahrlässigkeit zu einem Schadenersatz führen können. Verantwortliche können sich dann nicht mehr hinter einer komplizierten Datenverarbeitung verstecken, bei der am Ende zwar alle Daten öffentlich im Internet stehen, aber niemand zu finden ist, der schuldhaft gehandelt hätte.

Im Klartext, es ist egal, ob es jemand verbockt hat. Ein Datenschutzverstoß unter Beteiligung des Unternehmens bedeutet einen Schadensersatzanspruch des davon Betroffenen.

Die Höhe des Schadenersatzanspruchs würde sich ebenfalls nicht am Grad des Verschuldens sondern am der Schwere des Verstoßes orientieren. Dabei würden die Ansprüche per se so hoch festzusetzen sein, dass davon eine abschreckende Wirkung ausgeht.

Was bedeutet das in der Praxis

Die Verteidigung eines Unternehmens gegen Schadensersatzklagen aus Datenschutzverstößen wird aufwendiger und schwieriger werden. Die Schwelle, die ein Verstoß überschreiten muss, um zu einem Schadenersatz zu führen, dürfte – wenn überhaupt – gering sein. Die DSGVO enthält keine Hinweise auf das Bestehen einer Bagatellgrenze.

Prinzipiell ist jeder Betroffene klageberechtigt. Zudem hat sich gerade erst vor kurzem durch ein Gerichtsurteil bestätigt, dass Schadenersatzansprüche aus Datenschutzverstößen abtretbar sein können, d.h. ähnlich wie bei Fluggastrechten könnten spezialisierte Unternehmen solche Ansprüche „aufkaufen“ und gegen Unternehmen geltend machen. Daher wundert es auch nicht, wenn sich bestimmte Berufsgruppen angesichts dieser Entwicklungen bereits warmlaufen.

Unternehmen tun also gut daran, diesen Vorlagenbeschluss als einen Warnschuss zu verstehen.

Weitere Konsequenzen

Sollten sich Massenklagen (ähnlich wie bei Dieselklagen) durchsetzen, dann könnte dies für Datenschutzmissachter richtig teuer werden. Auch wenn der an den Einzelnen zu zahlenden Schadenersatz klein sein mag. Die Masse macht es sicher ungemütlich. Unternehmen werden sich umstellen müssen und den Datenschutz auch im Sinne des Selbstschutzes beachten müssen. Dies gilt insbesondere für die Auswahl von Dienstleistern, da der Verantwortliche im Rahmen von Auftragsverarbeitungsverträgen auch für die Verstöße seiner Dienstleister in Anspruch genommen werden kann.

Es ist dann vielleicht nicht mehr die allerbeste Idee, die Webseite vom Sohn einer Bekannten bauen zu lassen, wenn der nicht über die notwendige Rechtsexpertise verfügt und bereit ist, die Haftung zu übernehmen. Dies ist ab Dezember sowieso keine gute Idee mehr, da schon mit dem dann in Kraft tretenden TDDSG die Bußgeldgefahr für Verstöße bei Telemedien (u.a. Webseiten) erheblich steigt.

Auf diese Weise wird sich die Spreu vom Weizen trennen, wenn Verantwortliche bei der Beauftragung z.B. von Marketingagenturen zukünftig darauf achten, dass diese für die Rechtskonformität ihrer Arbeitsergebnisse auch eine Haftung übernehmen. Das bedeutet nämlich, dass die Webseiten nicht nur schick sondern auch datenschutzkonform sein müssen, jedenfalls dann, wenn die Agentur langfristig überleben möchte.

In jedem Fall wird Verbrauchern und Betroffenen eine notwendiger Hebel gegeben, sich auch gegen große Datenkraken zu wehren, wenn sie sich zusammenschließen – insbesondere vor dem Hintergrund, dass es auf kurz oder lang auch zu der Möglichkeit von Sammelklagen in der EU kommen wird.

Made in Europe wird alleine nicht reichen.

Vor dem Hintergrund der anhaltenden Diskussion um das Urteil Schrems-II und den transatlantischen Datenverkehr bekommt die BAG-Position noch eine besondere Brisanz, da sich die meisten Unternehmen derzeit in einer dunkelgrauen Grauzone bewegen. Während die Aufsichtsbehörden zwar laut tönen aber derzeit noch nicht signifikant gegen Unternehmen vorgehen, ist es fraglich, ob die Gerichte bei Schadenersatzklagen das gleiche Verständnis aufbringen werden. Dabei bleiben viele Fragestellungen offen.

Um dem Problem zu umgehen, haben einige Verantwortliche reagiert und sind „blind“ zu deutschen oder europäischen Anbietern umgezogen. Damit sind sie erstmal aus dem Visier der Aufsichtsbehörden verschwunden, aber das heißt nicht, dass diese Anbieter wirklich datenschutzkonform arbeiten. Mit Blick auf die potentiell anstehenden Klagemöglichkeiten von Betroffenen tun Unternehmen gut daran, ihre Dienstleister und Auftragsverarbeiter gut zu überprüfen und Haftungsfragen ggf. neu zu verhandeln.

DSGVO Symbol

Was lange diskutiert und befürchtet wurde, veröffentlicht Heise.de nun gestern. Hier nun Auszüge aus dem Artikel:

Die Datenschutzkonferenz des Bundes und der Länder (DSK) hat am 22. September mit knapper Mehrheit beschlossen, dass derzeit „kein datenschutzgerechter Einsatz von Microsoft Office 365 möglich ist“. Dieser hatte über ein halbes Jahr lang geprüft, ob die Datenschutzbestimmungen und Online-Geschäftsbedingungen für das Cloud-basierte Softwarepaket mit Artikel 28 der Datenschutz-Grundverordnung (DSGVO) zur Auftragsdatenverarbeitung vereinbar sind.

Dies ist nach Ansicht der Aufsichtsbehörden nicht der Fall. Wer die Cloud-Variante etwa von Word, Excel oder Powerpoint nutzt, handelt demnach nicht rechtskonform. Schon die Arten der personenbezogenen Daten und der Zweck, warum sie verarbeitet werden, bleibe in den Online Service Terms (OST) sowie dem „Data Processing Addendum“ (DPA) vom Januar unklar, rügen die Kontrolleure.

Microsoft verweist innerhalb der Datenschutzbestimmungen für Online-Dienste, selbst im Zusammenhang mit legitimen eigenen Geschäftstätigkeiten verantwortlich zu sein und benennt diese auch. Das Gremium kritisiert aber, dass es „weiterhin nicht eindeutig ersichtlich“ sei, „welche weiteren personenbezogenen Daten in diesem Rahmen verarbeitet werden“.

Den ganzen Artikel auf Heise.de lesen Sie hier

 

DSGVO Symbol

Das Bundesverfassunggericht hat erneut festgestellt, dass der Zugriff Kommunikationsdaten von Handy- und Internetnutzern zu Strfverfolgungszwecken zu weit geht.

Der Gesetzgeber muss genauer definieren, welche Behörde bei welchen Anlässen Daten von Bürgern von Telekommunikationsunternehmen abfragen darf, und wie diese Daten verwendet werden dürfen.

Laut dem Onlinedienst Heise.de gehören zu den jetzt als verfassungswidrig eingestuften Regelungen nicht nur die beanstandeten Passagen im TKG, sondern auch entsprechende Abrufregelungen im:

  • Bundeskriminalamtgesetz
  • Polizeigesetz
  • Zollfahndungsdienstgesetz
  • im BND- und MAD-Gesetz sowie dem Bundesverfassungsschutzgesetz

Auch in diesen Gesetzen genügen die Vorgaben für den Abruf der von den Telekommunikationsunternehmen erhobenen Daten durch die Sicherheitsbehörden nicht den verfassungsrechtlichen Anforderungen.

Lesen Sie den ganzen Bericht hier.

Quelle: Heise.de

DSGVO Symbol

Der Europäische Gerichtshof hat entschieden, dass europäische Daten nicht ohne Prüfung in die USA übermittelt werden dürfen. Der Urteilstext liegt zwar noch nicht komplett vor. Jedoch dürfte es gravierende Auswirkung fü alle US-amerikanischen Unternehmen haben, die personenbezogene Daten in die USA übertragen.

 

Lesen Sie hier was das im Detail für Sie bedeutet.

Max Schrems‘ (Geschäftsführer von noyb.eu und Partei des Falles) erste Reaktion auf das Urteil.

DSGVO Symbol

Pressemitteilung

Nr. 14/20 vom 19. März 2020

Ein externer Datenschutzbeauftragter ist gewerblicher Unternehmer, auch wenn er zugleich als Rechtsanwalt tätig ist. Wie der Bundesfinanzhof (BFH) mit Urteil vom 14.01.2020 (VIII R 27/17) entschieden hat, liegt keine freiberufliche Tätigkeit i.S.d. § 18 Abs. 1 EStG vor. Der externe Datenschutzbeauftragte ist daher gewerbesteuerpflichtig und  – bei Überschreiten bestimmter Gewinngrenzen – auch buchführungspflichtig.

Im Streitfall war der Kläger als selbständiger Rechtsanwalt im Bereich des IT-Rechts tätig. Daneben arbeitete er für verschiedene größere Unternehmen als externer Datenschutzbeauftragter. Das Finanzamt sah diese Tätigkeit als gewerblich an. Es setzte Gewerbesteuer fest und forderte den Kläger als gewerblichen Unternehmer gem. § 141 AO auf, ab dem Folgejahr Bücher zu führen und Abschlüsse zu machen. Der gegen diese Aufforderung aus dem Jahr 2012 gerichtete Einspruch des Klägers blieb ebenso wie die nachfolgende Klage vor dem Finanzgericht ohne Erfolg.

Der BFH hat die Vorentscheidung jetzt bestätigt. Als Datenschutzbeauftragter übe der Kläger keine dem Beruf des Rechtsanwaltes vorbehaltene Tätigkeit aus. Vielmehr werde er in einem eigenständigen, von seiner Anwaltstätigkeit abzugrenzenden Beruf tätig. Der Datenschutzbeauftragte berate in interdisziplinären Wissensgebieten. Hierfür müsse er zwar neben datenschutzrechtlichem Fachwissen auch Fachwissen in anderen Bereichen (z.B. der Informations- und Kommunikationstechnik und der Betriebswirtschaft) besitzen. Eine spezifische akademische Ausbildung müsse er aber – anders als der Rechtsanwalt – nicht nachweisen. Aus diesem Grunde sei der Kläger als Datenschutzbeauftragter auch nicht in einem dem Rechtsanwalt ähnlichen Beruf tätig. Schließlich sei – so der BFH – auch keine sonstige selbständige Arbeit i.S.d. § 18 Abs. 1 Nr. 3 EStG anzunehmen. Es fehle an der erforderlichen Vergleichbarkeit mit den dort genannten Regelbeispielen.

Bundesfinanzhof
Pressestelle        Tel (089) 9231-400
Presssprecher    Tel (089) 9231-300

DSGVO Symbol

Der Europäische Datenschutzausschuss (EDSA) hat am 5. Mai die Leitlinien zur Einwilligung in die Nutzung von Internetseiten aktualisiert. Der EDSA stellt klar, dass der Zugang zu einem Web-Service nicht abhängig von der Erlaubnis in das Setzen von sogenannten Cookies sein darf. Auch die bloße Weiternutzung einer Seite wird nicht als wirksame Einwilligung angesehen.

 

Als Mitglied des EDSA befürwortet der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) Professor Ulrich Kelber die Aktualisierung: „Es gibt immer noch Internetseiten, die durch Ihren Aufbau den Nutzenden Tracking aufdrängen. Die aktualisierten Leitlinien machen erneut deutlich, dass Einwilligungen nicht erzwungen werden können. Die meisten Cookie-Walls und die Annahme, dass das Weitersurfen eine Einwilligung bedeutet, widersprechen dem Aspekt der Freiwilligkeit und verstoßen gegen die Datenschutz-Grundverordnung. Ich wünsche mir, dass Verantwortliche daraus die richtigen Schlüsse ziehen und endlich datenschutzfreundliche Alternativen anbieten.“

Als „Cookie-Wall“ wird ein Verfahren bezeichnet, das von Nutzenden eines Online-Angebots einfordert Cookies zu akzeptieren, um das Angebot nutzen zu können. Ausnahmsweise sind Cookie-Walls dann zulässig, wenn ein vergleichbarer Dienst auch ohne Tracking angeboten wird, beispielsweise als bezahlter Dienst.

Das bloße Scrollen oder Weitersurfen auf einer Internetseite stellt dagegen in keinem Fall eine Einwilligung dar. Hier fehlt es gemäß den Leitlinien des EDSA an einer eindeutig bestätigenden Handlung.

Der EDSA hat die aktualisierten Leitlinien bereits in englischer Sprache veröffentlicht.

DSGVO Symbol

Kammergericht BerlinUrteil vom 20.12.2019
– 5 U 9/18 –

 

Das Kammergericht Berlin hat ein früheres Urteil gegen Facebook bestätigt. Das soziale Netzwerk verletzt Daten- und Verbraucherschutzgesetze.

Der Verbraucherzentrale Bundesverband hatte geklagt und bekam nun in wesentlichen Punkten Recht.

Die Verbraucherschützer monierten z.B. den im Smartphone standardmäßig aktivierten Ortungsdienst von Facebook, der auch Chat-Partnern den Aufenthaltsort verriet, sowie den erlaubten Zugriff von Suchmaschinen auf die Nutzerfeeds. Für beides hätte laut Gericht eine Einwilligung, also etwa ein Opt-in, erfolgen müssen.

Die Klauseln, dass Facebook sich die Nutzung des Namens und Profilbilds von Mitgliedern für „kommerzielle, gesponserte und verwandte Inhalte“ vorbehält und Nutzer sich vorab mit allen Änderungen der Datenrichtlinien einverstanden erklären hätten müssen, hielten die Richter für nicht haltbar. Zudem hat die Klarnamenpflicht in den Augen des Gerichts keinen Bestand. „Eine Klausel, die Nutzer unter anderem zur Angabe ihres richtigen Namens verpflichtete, ist dem Unternehmen nach teilweiser Berufungsrücknahme im Dezember 2019 bereits jetzt rechtskräftig untersagt“, heißt es in der Pressemitteilung des vzbv.

Quelle vzbv.de 

 

 

 

DSGVO Symbol

Unter Golem.de wird aktuell über die tickende Zeitbombe Windows 10 berichtet. Lt. Artikel überträgt Micosoft nach wie vor Benutzerdaten in die USA.

Welche Daten das sind, lässt sich nicht überprüfen, da diese Daten verschlüsselt sind.

Zitat Golem.de

Knackpunkt der Auseinandersetzung ist die regelmäßige Übertragung von Nutzerdaten in die USA. Aus diesem Grund verlangen die deutschen Datenschutzbehörden in einem in der vergangenen Woche veröffentlichten Prüfschema (PDF) für Windows 10, dass diese Datenübertragung von den Anwendern geprüft und gegebenenfalls unterbunden werden müsse.

So müssten „technische Maßnahmen zur Verhinderung einer unbefugten Übermittlung zum Einsatz kommen“. Gleichzeitig stellen die Aufsichtsbehörden mit Verweis auf mehrere Studien fest, dass eine vollständige Unterbindung des Datentransfers „aktuell nicht möglich“ sei. Auch könnten die Anwender nicht selbst untersuchen, ob und welche personenbezogenen Daten übertragen werden, da der Datentransfer verschlüsselt sei. Diese Rechtsauffassung bringen die Datenschützer auch im IT-Konsolidierungsprojekt und IT-Planungsrat ein.

Die Behörden überlassen nun den Anwendern/Verantwortlichen zu prüfen und sicher zu stellen, dass alles DSGVO-konform von statten geht.

Dazu wird ein Prüfschema bereitgestellt anhand dessen die Anwender bzw. Verantwortlichen vorgehen können. Dieses Prüfschema finden Sie hier.

Weiter wird darauf hingewiesen, dass evtl. bei jedem Update eine entsprechende Prüfung vorgenommen werden muss. Denn mit jedem Update kommen neue Funktionen hinzu, die evtl. Daten ins Ausland transferieren. Dieses ist dann ggf. zu unterbinden.

 

Den ganzen Artikel auf Golem.de lesen Sie hier.