Header graphic for print

Datenschutz

News & Trends

Rubrik: Compliance, Datenschutz Allgemein, Datenschutz im Internet, DSGVO, Kundendatenschutz

Website Compliance: Haftung für Social Plugins – Vorlagefragen an EuGH

Das von der Verbraucherzentrale NRW gegen die direkte Einbindung des Facebook „Like-Buttons“ geführte Klageverfahren geht in die nächste Runde: Mittlerweile beschäftigt sich das Oberlandesgericht (OLG) Düsseldorf im Berufungsverfahren mit der Rechtmäßigkeit der direkten Einbindung von Social Plugins wie des „Like-Buttons“. Durch Beschluss vom 19. Januar 2017 (Az. I-20 U 40/16) hat das Gericht das Verfahren jedoch ausgesetzt und sich mit mehreren Vorlagefragen an den Europäischen Gerichtshof gewendet. Dieser muss nun grundsätzlich klären, ob Website-Betreiber für die Einbindung des „Like-Buttons“ rechtlich verantwortlich sind. Lesen Sie mehr »

Rubrik: Datenschutz Allgemein, Datenschutz International, DSGVO, EU-Standardvertragsklauseln

Hebelt US-Präsident Trump’s Executive Order den EU-US Privacy Shield aus?

Die jüngsten Amtshandlungen von US-Präsident Trump bestimmen momentan nicht nur die täglichen Nachrichten, sondern sind auch Gegenstand aktueller Diskussionen der Europäischen Datenschützer: Konkret geht es um eine von US-Präsident Trump am 25. Januar 2017 unterzeichnete präsidiale Anordnung „zur Verbesserung der öffentlichen Sicherheit“. Einigen Stimmen zufolge unterlaufe diese Anordnung die Zusicherungen der Obama-Administration, auf denen der EU-US Privacy Shield beruht, wodurch der EU-US Privacy Shield keine ausreichende rechtliche Absicherung für Datentransfers in die USA mehr darstelle. Tatsächlich stellt sich dies nach der gegenwärtigen Sach- und Rechtslage jedoch nicht so dar, so dass sich betroffene Unternehmen durch den Fluss der aktuellen Diskussion nicht zu übereilten Entscheidungen hinreißen lassen sollten. Lesen Sie mehr »

Rubrik: Compliance, Datenschutz Allgemein, Datenschutz im Internet, Datenschutz International, Datensicherheit

Umsetzung der NIS-Richtlinie: Neue Pflichten für Anbieter digitaler Dienste

Cyberangriffe stellen eine zunehmende Bedrohung für eine Vielzahl von Unternehmen und die Allgemeinheit dar, wie zuletzt das BSI wieder festgestellt hat. Nun hat die Bundesregierung am 25. Januar 2017 einen ersten Gesetzesentwurf zur Umsetzung der NIS-Richtlinie auf den Weg gebracht, der insbesondere Anbietern von Online Markplätzen, Online-Suchmaschinen und Cloud-Computing-Services neue – bußgeldbewährte – Pflichten zur Wahrung der Sicherheit ihrer IT-Systeme auferlegt. Bundesweit sollen zwischen 500 und 1500 Unternehmen betroffen sein. Wir geben einen ersten Überblick über den Entwurf.

Lesen Sie mehr »

Rubrik: Datenübermittlungen, Datenschutz Allgemein, Datenschutz im Internet

Digitaler Binnenmarkt: EU Kommission veröffentlicht Paket zum digitalen Datenverkehr

Am 10. Januar 2017 hat die Europäische Kommission ihr lang ersehntes Gesetzespaket zur Verwirklichung des digitalen Binnenmarktes auch im Bereich des elektronischen Datenverkehrs der Öffentlichkeit vorgestellt (Pressemitteilung). Die aktuelle Initiative umfasst erneut ein ambitioniertes Paket an Verordnungsentwürfen, Kommissionsmitteilungen und begleitenden Dokumenten. Man kann mit Fug und Recht von einem weiteren „Meilenstein“ in der Umsetzung der grundlegenden Binnenmarktstrategie (Digital Single Market – DSM) der Kommission vom Mai 2015 sprechen. Dem jetzigen Paket vorausgegangen ist eine Reihe von Konsultationen, die der breiten Öffentlichkeit 2016 die Möglichkeit zur Stellungnahme gegebenen haben, wie auch ein vertieftes Impact Assessment durch die Kommission. Lesen Sie mehr »

Rubrik: Arbeitsrecht, Beschäftigtendatenschutz, Compliance, Datenschutz Allgemein

Beschäftigtendatenschutz: BAG zur Verwertbarkeit von Zufallsfunden aus heimlicher Überwachung

Tim Wybitul & Dr. Wolf-Tassilo Böhm

Das BAG präzisiert in einer aktuellen Entscheidung, welche Vorgaben Unternehmen bei der Aufklärung von Straftaten, Compliance-Verstößen und sonstigen schwerwiegenden Pflichtverletzungen beachten müssen

Das Bundesarbeitsgericht (BAG) hat am 22. September 2016 ein wichtiges Urteil gefällt und kürzlich die Entscheidungsgründe veröffentlicht. Darin geben die Richter Antworten auf wesentliche Fragen des Beschäftigtendatenschutzes. Die Entscheidung (Az.: 2 AZR 848/15) können Sie hier abrufen. Sie zeigt, unter welchen Voraussetzungen Ermittlungs- oder Kontrollmaßnahmen des Arbeitgebers ohne Kenntnis der davon betroffenen Arbeitnehmer  zulässig sind. Ebenso zeigt die Entscheidung, dass und unter welchen Voraussetzungen Arbeitsgerichte sogar unstreitige Tatsachen unbeachtet lassen, wenn der Arbeitgeber diese datenschutzrechtswidrig erhoben hat. Damit hat sie auch  erhebliche Bedeutung für interne Ermittlungen und Compliance-Kontrollen. Viele der vom BAG aufgestellten Anforderungen lassen sich  beispielsweise auch auf die Auswertung von Email-Korrespondenz zur Aufdeckung konkret vermuteter Pflichtverletzungen oder ähnliche Aufklärungsmaßnahmen übertragen. Der vorliegende Überblick zeigt die Anforderungen des BAG und gibt Arbeitgebern Empfehlungen, wie sie diese effektiv und rechtssicher umsetzen können.

Der vom BAG entschiedene Fall

Der Arbeitgeber betrieb ein Einzelhandelsunternehmen. Im Oktober 2013 wurde im  Rahmen einer  Inventur festgestellt, dass Waren in erheblichem Umfang fehlten. Weitere Recherchen legten den Schluss nahe, dass Mitarbeiter die Fehlbestände verursacht hatten. Weitere Kontrollmaßnahmen des Arbeitgebers führten nicht zu einer Aufklärung des Warenschwunds. In Abstimmung mit dem Betriebsrat führte der Arbeitgeber eine verdeckte Videoüberwachung im Kassenbereich durch. Die Videoüberwachung richtete sich konkret gegen zwei Mitarbeiterinnen, die der Arbeitgeber im Verdacht hatte, die fehlenden Waren gestohlen zu haben. Die Filiale des Unternehmens wurde bereits zuvor durch offen angebrachte Kameras videoüberwacht. An den Zugängen befanden sich entsprechende Hinweisschilder, mit denen das Unternehmen auf die Videoüberwachung hinwies.

Die Auswertung einer der vom Arbeitgeber erstellten Videosequenzen zeigte, dass die stellvertretende Filialleiterin des Unternehmens Geld aus der Kasse genommen und eingesteckt hatte. Sie war überwiegend als Kassiererin eingesetzt. Das Video zeigte, wie sie 3,25 Euro aus der Kasse nahm und in ihre Tasche steckte. Die Filialleiterin war ursprünglich nicht Zielperson der verdeckten, mit dem Betriebsrat abgestimmten Videoüberwachung im Kassenbereich. Das Unternehmen befragte die stellvertretende Filialleiterin und spätere Klägerin zu dem Vorfall und kündigte das Arbeitsverhältnis wenig später.

Die Entscheidung des BAG

Die Erfurter Bundesarbeitsrichter bewerteten die Kündigung ebenso wie die Vorinstanz als rechtmäßig. Straftaten gegen das Vermögen des Arbeitgebers können wegen dem mit einer solchen Pflichtverletzung verbundenen Vertrauensbruch grundsätzlich eine Kündigung rechtfertigen. Dies gilt grundsätzlich auch, wenn der mit einer solchen Tat verursachte Schaden des Arbeitgebers relativ gering ist. Zudem sahen die Richter die verdeckte Videoüberwachung und die zufällige Aufdeckung des Griffs der Klägerin in die Kasse als datenschutzkonform und als vor Gericht verwertbar an.

BAG klärt wichtige Fragen des Beschäftigtendatenschutzes

Der vom BAG entschiedene Fall betrifft wesentliche  Fragen des Beschäftigtendatenschutzes rund um § 32 BDSG. Die Richter entschieden die Frage nach der datenschutzrechtlichen Zulässigkeit der Kontrollmaßnahme auf der Grundlage einer Interessenabwägung. Die verdeckte Videoüberwachung habe zwar in das allgemeine Persönlichkeitsrecht der Klägerin eingegriffen. Dieser Eingriff sei aber aufgrund überwiegender Interessen des Arbeitgebers gerechtfertigt. Ein milderes Mittel zur Aufklärung der Warenfehlbestände habe dem Arbeitgeber nicht zur Verfügung gestanden.

Zwar habe die Klägerin nicht zu dem Kreis der ursprünglich im Verdacht stehenden Mitarbeiter gehört. Eine verdeckte Videoüberwachung dürfe aber nicht nur dann erfolgen, wenn sichergestellt sei, dass von dieser Überwachung ausschließlich Arbeitnehmer betroffen seien, hinsichtlich derer bereits ein konkreter Verdacht bestehe. Etwas anderes  folge auch nicht aus § 32 Abs. 1 Satz 2 BDSG. Soweit der Wortlaut der Vorschrift ein anderes Verständnis nahelegen könnte, sei er – wörtliches Zitat – “verunglückt”. Zwar müsse der Kreis der Verdächtigen möglichst weit eingegrenzt werden.  Es sei aber nicht nötig, Überwachungsmaßnahmen so einzuschränken, dass sie ausschließlich Personen erfassen können, bezüglich derer bereits ein konkreter Verdacht vorliege.

Voraussetzung für den zulässigen Umgang mit dem Zufallsfund sei zunächst, dass die verdeckte Überwachungsmaßnahme als solche gegen die Personen, gegen die sich der Verdacht ursprünglich richtete, nach § 32 Abs. 1 Satz 2 BDSG zulässig war. Die weitere Speicherung und Nutzung des Zufallsfundes für arbeitsrechtliche Maßnahmen gegen die zufällig überführte Mitarbeiterin könne dann unter den Voraussetzungen § 32 Abs. 1 Satz 1 BDSG zulässig sein.

Zudem stellten die Richter auch fest, dass § 32 BDSG für den Datenschutz im Beschäftigungsverhältnis eine abschließende Regelung darstelle. Ob daher neben den Voraussetzungen dieser Vorschrift auch die allgemeinen Anforderungen zu Videoüberwachungen nach § 6b BDSG erfüllt seien, komme es daher nicht an.

Folgen der Entscheidung  für die Praxis

Die Entscheidung ist zu begrüßen. Sie schafft einige Klarheit, welche Kontrollmaßnahmen Arbeitgeber bei vermuteten Straftaten oder sonstigen Pflichtverletzungen durchführen dürfen.

Besonders wichtig ist auch eine weitere Aussage des BAG. Danach sind Eingriffe in das Recht der Arbeitnehmer auf informationelle Selbstbestimmung durch verdeckte Videoüberwachungen dann zulässig, wenn der konkrete Verdacht einer strafbaren Handlung oder einer anderen schweren Verfehlung zu Lasten des Arbeitgebers besteht. Zudem müssen andere, weniger einschneidende Mittel zur Aufklärung des Verdachts ergebnislos ausgeschöpft sein. Die Kontrollmaßnahme darf zudem insgesamt nicht unverhältnismäßig sein.

Für die Praxis ist es dabei besonders wichtig, dass Arbeitgeber nicht nur konkret vermuteten Straftaten,  sondern auch sonstigen schweren Pflichtverletzungen nachgehen dürfen. Das LAG Baden-Württemberg hatte unter Berufung auf den vermeintlich “eindeutigen” Wortlaut von § 32 BDSG die Auffassung vertreten, dass Arbeitgeber konkreten Anhaltspunkten nicht nachgehen dürften, sofern sich diese Indizien nicht auf Straftaten, sondern “nur” auf schwere Pflichtverletzungen bezogen. Eine Besprechung dieses Urteils des LAG Baden-Württemberg finden Sie hier, den Volltext des Urteils können Sie hier abrufen. Anders als das LAG gelangt das BAG zu einer verfassungsrechtlich überzeugenden Lösung und wägt die Interessen des Arbeitgebers und der von einer Kontrollmaßnahme betroffenen Arbeitnehmer auf der Basis einer Verhältnismäßigkeitsprüfung gegeneinander ab.

Für Arbeitgeber ist es in Fällen wie dem vorliegenden, aber auch insgesamt bei internen Ermittlungen oder Compliance-Kontrollen entscheidend, dass sie die datenschutzrechtliche Zulässigkeit ihres Vorgehens vorab prüfen und dokumentieren. Andernfalls drohen Beweisverwertungsverbote und andere Nachteile. Checklisten für die Durchführung von Email-Auswertungen und anderen Maßnahmen zur Sachverhaltsaufklärung stellen wir unseren Mandanten auf Nachfrage gerne zur Verfügung.

Rubrik: Beschäftigtendatenschutz, DSGVO, EU-Datenschutz-Grundverordnung

EU-Datenschutz-Grundverordnung: Überblick über den neuen Gesetzentwurf zur DSGVO

Gesetzentwurf zum neuen Bundesdatenschutzgesetz (BDSG) abrufbar – Erster Überblick über geplante Regelungen

Ab Mai 2018 gilt die neue EU-Datenschutz-Grundverordnung (DSGVO). Das Bundesministerium des Inneren (BMI) hatte bereits im August einen Referentenentwurf für ein Ausführungsgesetz vorgelegt. Das Gesetz soll „Datenschutz-Anpassungs- und Umsetzungsgesetz EU“ (DSAnpUG-EU) heißen. Kernstück des ersten vorgelegten Entwurfs war ein „Allgemeines Bundesdatenschutzgesetz“ (ABDSG). Das ABDSG sollte eine Anpassung des deutschen Rechts an die Vorgaben der DSGVO sicherstellen. Zudem soll es die in der DSGVO vorgesehenen Öffnungsklauseln möglichst weitgehend nutzen. Dieser Entwurf war Gegenstand teilweise massiver Kritik, etwa durch die Bundesdatenschutzbeauftragte und das Bundesministerium für Justiz und Verbraucherschutz (BMJV). Nähere Einzelheiten hierzu sowie ausführliche Stellungnahmen finden Sie hier.

Ein entsprechendes Interview aus der Zeitschrift für Datenschutz (ZD) mit dem Berichterstatter der DSGVO im Europaparlament und Hogan Lovells-Partner Tim Wybitul können Sie hier mit freundlicher Genehmigung des Verlag C.H. Beck abrufen.HL Data Protection

Ein erster Überblick über den  neuen BDSG-Entwurf

Nun hat die Deutsche Vereinigung für Datenschutz e.V. (DVD) eine neue Entwurfsfassung vom 11.11.2016 geleakt. Die wichtigsten Änderungen sollen nun in einem neu gefassten Bundesdatenschutzgesetz geregelt werden. Dessen Entwurf können sie hier online abrufen. Bereits beim ersten Durchlesen fällt auf, dass der Entwurf viele Kritikpunkte nicht berücksichtigt. Nachstehend finden Sie einige für Unternehmen besonders relevante erste Eckdaten des Referentenentwurfs für ein BDSG:

  • Struktur und Klarheit: Die vom BMI vorgeschlagenen Regelungen sind komplex, wenig übersichtlich und selbst für Experten schwer verständlich. Erwägungsgrund 8 der DSGVO stellt hierzu allerdings recht hohe Anforderungen auf: „Wenn in dieser Verordnung Präzisierungen oder Einschränkungen ihrer Vorschriften durch das Recht der Mitgliedstaaten vorgesehen sind, können die Mitgliedstaaten Teile dieser Verordnung in ihr nationales Recht aufnehmen, soweit dies erforderlich ist, um die Kohärenz zu wahren und die nationalen Rechtsvorschriften für die Personen, für die sie gelten, verständlicher zu machen.“ Insgesamt dürfte zweifelhaft sein, ob der BDSG-E die Kohärenz wahrt. Noch mehr Zweifel dürften bestehen, ob das geplante deutsche Gesetz „die nationalen Rechtsvorschriften für die Personen, für die sie gelten, verständlicher“ macht.
  • Begriffsbestimmungen: In § 2 BDSG-E sind eine Reihe gesetzlicher Begriffsbestimmungen aus Art. 4 DSGVO wiedergegeben. Diese Regelung dürfte im Hinblick auf das vom EuGH aufgestellte Wiederholungsgebot problematisch sein.
  • Datenschutz am Arbeitsplatz: § 24 BDSG-E regelt den künftigen Beschäftigendatenschutz. Die Vorschrift entspricht weitgehend dem bisherigen § 32 BDSG. Hier stellt sich die Frage, ob diese Regelung den Anforderungen des Art. 88 Abs. 2 DSGVO entspricht. Einen ausgesprochen gelungenen Überblick zu dieser Frage gibt Kort, Die Zukunft des deutschen Beschäftigtendatenschutzes, ZD 2016, 555 ff. Zudem enthält § 24 Abs. 3 DSGVO eine gesetzliche Definition des Begriffs des Beschäftigten.
  • Sonderregelungen: Der Entwurf sieht Spezialregelungen für Datenverarbeitungen zu wissenschaftlichen oder historischen Forschungszwecken vor (§ 25 BDSG-E), für Geheimhaltungspflichten unterliegenden Daten (§ 26 BDSG-E), für Übermittlungen an Auskunfteien (§ 27 BDSG-E), für Scorings (§ 28 BDSG-E), für Verbraucherkredite (§ 29 BDSG-E)
  • Informationspflichten: § 30 und § 31 BDSG-E sollen die Informationsrechte nach Art. 13. und 14 DSGVO einschränken. Insbesondere sollen Untersichtungspflichten nach Art. 13 DSGVO entfallen, sofern dies „einen unverhältnismäßigen Aufwand erfordern würde“ oder „voraussichtlich die Verwirklichung der Ziele der Verarbeitung unmöglich machen oder ernsthaft beeinträchtigen würde und deswegen das Interesse der betroffenen Person an der Informationserteilung zurücktreten muss„. Ausweislich der Entwurfsbegründung soll diese Ausnahme auf Art. 23 DSGVO gestützt werden. Es dürfte ausgesprochen interessant werden, ob Fachliteratur (und später ggf. einmal die Gerichte) dies als EU-rechtlich zulässig bewerten werden.
  • Einschränkung sonstiger Betroffenenrechte: Auch §§ 32 bis 35 BDSG-E schränken die Betroffenenrechte nach Art. 14 ff. DSGVO weiter ein.
  • Datenschutzbeauftragte: § 36 BDSG-E sieht vor, dass Unternehmen einen Datenschutzbeauftragten (DSB) benennen müssen, falls sie in der Regel mindestens zehn Personen ständig mit der Verarbeitung personenbezogener Daten beschäftigen. Unternehmen müssen auch dann einen DSB benennen, wenn sie (risikobehaftete) Verarbeitungen vornehmen, die einer Datenschutz-Folgenabschätzung nach Art. 35 DSGVO unterliegen. Die Bestellpflicht gilt auch, wenn sie personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeiten. Diese Regelung ist zweckmäßig und schafft Rechtssicherheit für DSB und Unternehmen mit Niederlassungen in Deutschland.
  • Bußgelder: § 40 BDSG-E  sieht eine Obergrenze von EUR 300.000 vor, wenn jemand „in Ausübung seiner Tätigkeit für den Verantwortlichen oder Auftragsverarbeiter“ einen der in Art. 83 Abs. 4, 5 oder Abs. 6 DSGVO genannten Verstöße begeht. Auch hier dürfte fraglich sein, ob diese Regelung mit der in Art. 83 Abs. 1 DSGVO angeordneten Vorgabe vereinbar ist, dass Bußgelder „wirksam und abschreckend“ sein müssen. Zudem hilft die Regelung Vorständen oder Geschäftsführern nur bedingt, wenn Datenschutzverstöße in ihren Verantwortungsbereich fallen. Denn dann sehen sie sich Regressansprüchen des Unternehmens ausgesetzt, für das ja die hohen, am Umsatz orientierten Bußgelder Anwendung finden können. Da es hier in der Regel um vorsätzliche Handlungen geht, treten D&O-Versicherungen normalerweise nicht ein, da diese Versicherungen vorsätzliche Taten zumeist nicht abdecken.
  • Datenschutz-Straftaten: § 41 BDSG-E regelt die Strafbarkeit von Datenschutzverstößen. Die Vorschrift entspricht im Wesentlichen dem bisherigen § 44 BDSG. Begeht jemand eine Handlung nach Art. 83 Abs. 5 DSGVO „vorsätzlich gegen Entgelt oder in der Absicht, sich oder einen anderen zu bereichern oder einen anderen zu schädigen„, so macht er sich strafbar. Verstöße gegen § 41 BDSG-E sollen mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe geahndet werden. Verstößt jemand in gleicher Weise „nur“ gegen die mit Bußgeldern von bis zu EUR 10 Millionen (bzw. Bis zu 2 Prozent des Umsatzes) bewehrten Vorgaben von Art. 83 Abs. 4 BDSG, so drohen keine Strafbarkeitsrisiken.
  • Sonstige Pflichten der Verantwortlichen und Auftragsverarbeiter: Die §§ 57 bis 72 BDSG-E regeln sonstige Pflichten für Unternehmen, die Daten in eigener Verantwortung oder im Auftrag verarbeiten. Sie regeln Themen von der Auftragsverarbeitung bis hin zur vertraulichen Meldung von Verstößen und enhalten teilweise für die Praxis durchaus relevante Abweichungen von den Vorgaben der DSGVO. Bereits bei einer ersten kursorischen Durchsicht stellt sich hier die Frage, wie eine Reihe der Vorschriften mit dem vom EuGH aufgestellten Wiederholungsverbot in Einklang zu bringen sein sollen.
  • Übermittlungen in Drittstaaten: §§ 73 bis 76 BDSG-E enthalten Sonderregeln für die Übermittlung personenbezogener Daten an Verantwortliche in Drittstaaten.

 

Fazit und Handlungsempfehlungen

Natürlich sollte man in einem ersten Überblick mit Bewertungen vorsichtig sein. Der erste Eindruck von dem geplanten BDSG-E verheißt allerdings aus Unternehmenssicht wenig Gutes. Zwar versucht das BMI erkennbar, der Wirtschaft Gutes zu tun. Der Referentenentwurf sieht viele Ausnahmen vor, die die Pflichten von Unternehmen bei der Datenverarbeitung einschränken sollen. Allerdings ist er so schwer verständlich, dass er für Laien kaum anwendbar sein dürfte – gerade im Zusammenspiel mit der auch nicht eben einfach strukturierten DSGVO. Für Datenschutzexperten sind Gesetze wie das geplante BDSG-E zwar eine stete Einnahmequelle – für Unternehmen und Bürger wären aber klare und verständliche Vorschriften nötig.

Vor allem aber sind viele Regelungen europarechtlich durchaus nicht unproblematisch. Auch einige wesentliche Kritikpunkte der Bundesdatenschutzbeuaftragten und des BMJV sind nicht ausgeräumt. Damit bleibt auch völlig offen, ob der Gesetzentwurf eine Mehrheit im Bundestag findet. Und gerade diese Unsicherheit stellt deutsche Unternehmen vor hohe Hürden. Denn sie müssen nun entscheiden, ob sie sich in laufenden Umsetzungsprojekten an den Vorgaben der DSGVO oder mehr an denen des BDSG-E orientieren. Bauen sie auf den Referentenentwurf des BMI, stehen sie vor großen Problemen, wenn der Entwurf den deutschen Bundestag nicht passiert oder bereits in der Ressortabstimung scheitert. Zudem erschwert das geplante BDSG-E es Unternehmen, EU-weite Konzepte zur Umsetzung der DSGVO zu entwickeln und umzusetzen. Daher werden gerade größere Unternehmen voraussichtlich zunächst eher an die Anforderungen der DSGVO als die des BDSG-E in ihre Planung bei DSGVO-Implementierungsprojekten einbeziehen.

Zudem empfiehlt es sich für in Deutschland tätige Unternehmen, die weitere Entwicklung in Bezug auf den geplanten BDSG-E genau zu beobachten. Hierzu können Sie auch unseren rechts auf dieser Seite angebrachten Newsfeed nutzen. Gerne halten wir Sie zur DSGVO, zum BDSG-E und zu weiteren wirtschaftsrechtlichen Fragen auf dem Laufenden.

Rubrik: Datenschutz Allgemein, Datenschutz im Internet, Datenschutz International, EU-Standardvertragsklauseln

500 Unternehmen betroffen: Datenschutzbehörden überprüfen internationale Datentransfers

Internationaler DatentransferIn den bevorstehenden Wochen werden zehn der deutschen Datenschutzbehörden in einer gemeinsam koordinierten Prüfaktion rund 500 verschiedene Unternehmen auffordern, Auskunft zu den von ihnen veranlassten internationalen Datentransfers zu erteilen. Den betroffenen Unternehmen werden dabei Fragebögen zugesendet, in denen detaillierte Angaben zu Übermittlungen von personenbezogenen Daten in Nicht-EU/EWR-Staaten abgefragt werden. Die Behörden gehen davon aus, dass vielen Unternehmen gar nicht bewusst ist, in welchem Umfang sie personenbezogene Daten in das Ausland übermitteln und ob dies rechtmäßig erfolgt. Lesen Sie mehr »

Rubrik: Compliance, Datenschutz Allgemein, Datenschutz im Internet

EuGH entscheidet: Speicherung dynamischer IP-Adressen durch Webseitenbetreiber kann zulässig sein

Mit seiner Entscheidung vom 19. Oktober 2016 (C-582/14) hat der Europäische Gerichtshof (EuGH) entschieden, dass dynamische IP-Adressen als personenbezogene Daten zu qualifizieren sein können, auch wenn die Identität des betreffenden Internetnutzers nur mit Hilfe Dritter (z.B. Access-Provider oder Ermittlungsbehörde) möglich ist. Zugleich hat das Gericht entschieden, dass eine enge Auslegung von § 15 Telemediengesetz (TMG) mit Art. 7 lit. f) der Datenschutzrichtlinie 95/46/EG nicht vereinbar ist und dass Webseitenbetreiber ein berechtigtes Interesse haben können, dynamische IP-Adressen (und andere Protokolldaten) zu speichern, um die Integrität des Systems sicherzustellen oder um eine Ermittlung von Cyberangriffen zu ermöglichen.

Worum geht es in der Entscheidung?

Der Entscheidung des EuGH liegt die Klage eines deutschen Internetznutzers zugrunde, der sich gegen die Speicherung der seinem Internetanschluss zugewiesenen IP-Adresse durch einen Webseitenbetreiber gewendet hat. Dieser betreibt unterschiedliche öffentlich zugängliche Webseiten mit Informationsangeboten.

Dynamische IP-Adressen = personenbezogene Daten?

Rechtlich geht es um die Frage, ob dynamische IP-Adressen als „personenbezogene Daten“ zu verstehen sind, mit der Folge, dass ihre Erhebung und Speicherung nur dann zulässig ist, wenn die betroffene Person (der Internetnutzer) in die Erhebung und Verarbeitung dieser Daten eingewilligt hat oder eine gesetzliche Vorschrift diese Datenverarbeitung anordnet oder erlaubt (§ 12 Abs. 1 TMG).

Einer Einordnung als personenbezogenes Datum hatte die Betreiberin der Webseiten mit der Begründung widersprochen, dass sie keine Kenntnis von der Identität des Inhabers der jeweiligen dynamischen IP-Adresse habe, sondern dass lediglich der Access-Provider über derartige Zusatzinformationen verfüge. Damit ging es in dem vorliegenden Rechtsstreit auch um eine Entscheidung über die sogenannte (überwiegend in Deutschland vertretene) Theorie der Relativität des personenbezogenen Datums.

Speicherung zu Sicherungszwecken zulässig?

Außerdem hatte der Kläger in den Verfahren vor den deutschen Gerichten eingewandt, dass gem. § 15 Abs. 1 TMG die Erhebung und Verarbeitung personenbezogener Daten nur zulässig sei, soweit dies erforderlich ist, um den Zugang zu den Telemedien (Internetseiten) oder die Abrechnung der Internetnutzung zu ermöglichen. Den vom Webseitenbetreiber angegebenen Zweck, wonach die Speicherung der IP-Adresse erfolgt, um eine strafrechtliche Verfolgung von Cyberangriffen zu ermöglichen, war nach Ansicht des Klägers nicht von § 15 Abs. 1 TMG gedeckt. Somit ging es in dem Verfahren vor dem EuGH auch um die Frage, ob ein enges Verständnis von § 15 TMG mit der zugrundeliegenden Datenschutzrichtlinie (insbesondere Art. 7) vereinbar ist.

Entscheidung des EuGH

Mit seinem Urteil vom 19. Oktober 2016 (Patrick Breyer ./. Bundesrepublik Deutschland) hat der EuGH nun entschieden, dass dynamische IP-Adressen für den Betreiber einer Webseite auch dann ein personenbezogenes Datum im Sinne des Art. 2 der Datenschutzrichtlinie sein können, wenn er selbst nicht über die notwendigen Informationen verfügt, um die Identität des Anschlussinhabers festzustellen, solange er über rechtliche Mittel verfügt, die es ihm (dem Webseitenbetreiber) erlauben, die betreffende Person anhand von Zusatzinformationen, über die ein Dritter verfügt, bestimmen zu lassen.

Hierbei kann es sich nach Ansicht des EuGH um den Internetzugangsanbieter (Access-Provider) oder (Ermittlungs-)Behörden handeln (Rn. 48 der Entscheidung). Insoweit stellt das Gericht fest, dass es ausreichen würde, wenn der Webseitenbetreiber nach nationalen Vorschriften rechtliche Möglichkeiten hat, die es ihm erlauben, sich an die zuständige Behörde (z.B. im Fall von Cyberangriffen) zu wenden, um die fraglichen Informationen über die Identität des Inhabers der dynamischen IP-Adresse vom Access-Provider zu erlangen.

Nach dieser Feststellung war anschließend zu klären, ob die Speicherung dynamischer IP-Adressen durch Webseitenbetreiber mit der Begründung und dem Hinweis zulässig ist, dass dies aus Gründen der Systemsicherheit und zur Ermöglichung einer Strafverfolgung im Fall von Cyberangriffen erfolge.

Dies bejaht der EuGH in seiner Entscheidung vom 19. Oktober 2016 und stellt fest, dass gemäß Art. 7 lit. f) der Europäischen Datenschutzrichtlinie die Verarbeitung personenbezogener Daten auch zur Verwirklichung eines berechtigten Interesses des für die Verarbeitung Verantwortlichen (Webseitenbetreiber) zulässig sein kann, sofern die Datenverarbeitung erforderlich ist und keine überwiegenden Interessen des Betroffenen (Internetnutzer) entgegenstehen.

In der engen Auslegung von § 15 TMG des Klägers sieht das Gericht hingegen einen Verstoß gegen die europarechtlichen Vorlagen, da sie den Weg für die vom europäischen Richtliniengeber geforderte Interessenabwägung versperrt. Mit anderen Worten verlangt der EuGH eine richtlinienkonforme Auslegung von Art. 7 lit. f) der Datenschutzrichtlinie und gelangt zum Ergebnis, dass eine Speicherung personenbezogener Daten aus Gründen der Systemsicherheit von Webseiten und zur Ermittlung von Cyberangriffen oder sonstigen Störungen der Integrität der angebotenen Telemedien zulässig sein kann.

Zu dem Vorabentscheidungsersuchen des Bundesgerichtshofs (Entscheidung vom 28. Oktober 2014) siehe unseren vorherigen Blog-Beitrag.

Praxistipps

Betreiber von Webseiten sollten spätestens nach der aktuellen Entscheidung des EuGH prüfen, in welchem Umfang sie sogenannte Protokolldateien (hierunter auch dynamische IP-Adressen) speichern und ob sie Internetnutzer über den Umstand und den Zweck der Speicherung hinreichend informieren. Mit anderen Worten sollten die Betreiber von Webseiten ihre Datenschutzhinweise umgehend auf eine Vereinbarkeit mit der Entscheidung des EuGH prüfen, auch wenn eine finale Entscheidung des vorliegenden Rechtsstreits nach der Zurückverweisung an die deutschen Gerichte noch aussteht. Eine regelmäßige Überprüfung der rechtlichen Texte zur Erhebung und Verarbeitung personenbezogener Daten („Datenschutzhinweise“, „Datenschutzerklärung“, „Privacy Policy“) ist ohnehin unter dem Gesichtspunkt der Website Compliance in regelmäßigen Abständen zu empfehlen, um sicherzustellen, dass die rechtlichen Informationen und Rahmenbedingungen mit den technischen Entwicklungen und Funktionalitäten der Webseite Schritt halten.

Rubrik: Datensicherheit

Praxisleitfaden zur EU-Datenschutzgrundverordnung erschienen

Worauf Manager und Datenschützer im Unternehmen achten müssen

Die neue EU-Datenschutz-Grundverordnung (DSGVO) wird den Schutz personenbezogener Daten europaweit vereinheitlichen. Europäische Datenschutzbehörden dürfen Verstöße künftig mit Millionen-Bußgeldern sanktionieren: Vorstände, Geschäftsführer, betriebliche Datenschutzbeauftragte und andere Entscheidungsträger haften ab Mai 2018 bei Datenschutzverstößen, außerdem können Verbraucher und Mitarbeiter vor Gericht Schadensersatz fordern.

DSGVO-Bild„So gut wie jedes Unternehmen verarbeitet große Mengen von Daten. Dies betrifft Kunden, Mitarbeiter oder andere Personen. Die DSGVO stellt die Wirtschaft daher vor große Herausforderungen“, sagt Tim Wybitul, Partner bei Hogan Lovells in Frankfurt und Herausgeber der Zeitschrift für Datenschutz. „Unternehmen müssen in kurzer Zeit interne Prozesse, Strukturen und Datenschutz-Funktionen an das neue Recht anpassen. Dafür haben wir einen Praxisleitfaden zur DSGVO entwickelt. Geschäftsführer und betriebliche Datenschutzbeauftragte können sich mit dieser ‚Gebrauchsanleitung‘ Schritt für Schritt auf das neue Recht vorbereiten.“ Der Praxisleitfaden „EU-Datenschutz-Grundverordnung im Unternehmen“ erscheint in der Reihe „Kommunikation & Recht“ der dfv Mediengruppe, die auch den bekannte Kommentar Taeger/Gabel umfasst. Mit einem Vorworten Jan Philipp Albrecht, MdEP.

Ein eigenes Kapitel beschreibt die Arbeit- und Planungsschritte vom Umsetzungsprojekten zur Einführung der DSGVO im Unternehmen.

Weitere Informationen zum Praxisleitfaden finden Sie hier.

Rubrik: Datenschutz Allgemein, EU-Datenschutz-Grundverordnung

Projektplanung und Umsetzung der EU-Datenschutz-Grundverordnung (DSGVO) im Unternehmen

Mit Checkliste zu den Arbeitsschritten der Einführung der DSGVO

HL Data ProtectionUnternehmen müssen die EU-Datenschutz-Grundverordnung spätestens ab dem 25.05.2018 umgesetzt haben. Andernfalls drohen Bußgelder, Schadensersatzforderungen, Rufschäden und sonstige Nachteile. Die DSGVO stellt erhebliche Anforderungen an Prozesse und Strukturen zur Gewährleistung des gesetzlich vorgeschriebenen Datenschutzes.

Der Datenschutzbeauftragte der Allianz Deutschland, Dr. Oliver Draf, LL.M. und Tim Wybitul, Hogan Lovells geben einen im aktuellen Betriebs-Berater, Heft 35 (BB 2016, 2101 ff.) einen Überblick über die Projektplanung zur Umsetzung der Anforderungen der DSGVO. Wir veröffentlichen den Beitrag mit freundlicher Genehmigung der dfv Verlagsgruppe. Sie können den Überblick hier online abrufen. Eine erweiterte Fassung des Betrags finden Sie in dem in Bälde erscheinenden Praxisleitfaden „EU-Datenschutz-Grundverordnung im Unternehmen“.