Datenschutzrecht

Spätestens mit in Kraft treten der Datenschutzgrundverordnung sind Fragen des Datenschutzes elementarer Bestandteil aller Digitalisierungsvorhaben. Mit dem jüngst ergangenen Urteil des Europäischen Gerichtshofs, sind alle Datenübermittlungen, die auf Grundlage des sog. Privacy-Shields stattgefunden haben heute rechtswidrig. Ob die sog. Standardvertragsklauseln einen Ausweg bieten ist noch nicht abschließend geklärt. Für Ihre Fragen zum Datenschutz, Verfahrensverzeichnissen, Verträgen zur Auftragsdatenverarbeitung oder Datenschutzfolgsabwägungen bin ich der richtige Ansprechpartner.
Rechtsanwalt Christian Kramarz, LL.M., Master of Law (Medienrecht), Fachanwalt für Urheber- und Medienrecht

Schnell und unkompliziert Beratungstermin vereinbaren
Hier haben Sie die Möglichkeit einen Beratungstermin zum Festpreis zu buchen. Sie senden Ihre Unterlagen vor per eMail. Ich berate Sie persönlich, telefonisch oder per Videofonie. 

Erfahren Sie hier mehr zum Datenschutzrecht
Inhaltsverzeichnis

Anwalt für Datenschutzrecht

Die Datenschutzgrundverordnung (DSGVO) hat Grundsätze für die Verarbeitung von Daten formuliert, welche ein datenschutzkonformes Handeln anleiten sollen. Zunächst besteht die Pflicht eines jeden „Verarbeiters“ eine Einwilligung der Person einzuholen sobald personenbezogene Daten erhoben werden. Ein personenbezogenes Datum stellt jede Information da, die eine eindeutige direkte oder indirekte Identifizierung der Person ermöglicht (Ernst in Paal/Pauly, DSGVO und BDSG, Art. 4, Rn.3; 2. Auflage 2018.). Darunter fallen insbesondere Daten wie Name, Telefonnummer, Abbildungen der Person, Kfz-Kennzeichen, Kennnummern oder Standortdaten. Eine Speicherung und Verwendung solcher Daten darf nur auf Grundlage der DSGVO erfolgen.

Die Verarbeitung personenbezogener Daten ist lediglich zulässig solange sie rechtmäßig nach Art.6 DSGVO erfolgt. Rechtmäßig ist eine Verarbeitung, wenn der Betroffene seine ausdrückliche Einwilligung hierfür gegeben hat. Dennoch kann eine Verarbeitung ohne Einwilligung zulässig sein. Einschlägig hierfür ist die Rechtmäßigkeit aus einem Vertrag oder die Notwendigkeit der Verarbeitung zu Erfüllung des Vertrags. Auch kann eine rechtliche Verpflichtung, welche der Verarbeiter unterliegt oder eine benötigte Verarbeitung ist zum Zwecke des Schutzes ein lebenswichtiges Interesse des Betroffenen die Rechtmäßigkeit begründen. Zuletzt ist Art. 6 Abs.1 lit.f DSGVO zu erwähnen, dieser Regelt vor Allem den Umgang von Videoüberwachungen, auch wenn nicht explizit erwähnt wird dieser in der Praxis angewendet. Dort ist festgehalten, dass eine Verarbeitung zur Wahrung von berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist. Dabei sind die Interessen und Grundrecht und -freiheiten der Betroffenen Person zu beachten, diese dürfen nicht überwiegen. Entsprechend gibt Art.6 Abs.1 lit.f DSGVO vor, dass die Wahrung des berechtigten Interesse des Verarbeiters gegenüber den Rechten des Betroffenen eine Einzelfallentscheidung ist und jeweils eine Abwägung vorgenommen werden muss.

In jedem Fall ist der Betroffene jedoch über die Verarbeitung seiner Daten zu informieren. Eine schriftliche Einwilligung stellt im Bereich der Einwilligung eine Absicherung für beide Parteien dar, vor Allem der Verantwortliche sollte dies anstreben da eine Nachweispflicht besteht. Diese Einwilligungserklärung muss so einfach und verständlich geschrieben sein, dass sie ohne juristisches Vorwissen verständlich ist. Vor Allem muss der Zweck der Verarbeitung kenntlich gemacht werden, außerdem gelten die Grundsätze, dass eine Transparenz gegeben sein muss als auch das rechtmäßige Handeln nach Treu und Glauben zu verrichten ist. Zusätzlich ist es gefordert, dass gem. Art. 7 Abs. 3 DS-GVO ein Widerruf der Einwilligung jederzeit und so einfach wie die Einwilligung selbst zu erteilen möglich, sein muss. Ebenso besteht ein Recht auf „Vergessen werden“ nach Art. 17 DS-GVO. Dies bedeutet, dass jeder das Recht die sofortige Löschung aller erhobener Daten zu seiner Person einzufordern.

Ein weiterer Punkt sind zudem personenbezogene Daten besonderer Kategorien nach Art. 9 DS-GVO, darunter fallen besonders sensible Daten wie beispielsweise Gesundheitsdaten oder Daten die über die ethnische Zugehörigkeit Aufschluss geben. Diese bedürfen einem besonderen Schutz und dürfen nicht ohne Einwilligung verarbeitet werden. So auch das OLG Hamburg Urteil vom 25.10.2018 – Az.-3 U 66/17.

Wer ohne die Bedingungen des Art.6 DSGVO und ohne Einwilligung eines betroffenen personenbezogenen Datens verarbeitet bspw. ein Foto online stellt verletzt damit die Rechte des Betroffenen. Diese können ihre Rechte mit Aufforderung zur Abgabe einer strafbewährten Unterlassungserklärung (Abmahnung) wahren. Damit kann das Unterlassen des Hochladens und die Löschung des unrechtmäßigen erstellten Bildes erwirkt werden. Dabei berate ich Sie gerne.

Die Grenzen der DSGVO finden sich im beispielsweise im familiären und privaten Bereich, d.h. wird eine Fotografie von Ihnen in eine Diashow für die nächsten privaten Geburtstagsfeier eingefügt, können sie nicht mit Ihren Rechten aus der DSGVO argumentieren. In einem solchen Fall sind die Regelungen des §§ 22, 23 KUG einschlägig, hinsichtlich der Veröffentlichung einschlägig. Dies nur als Exkurs.

Die Datenschutzgrundverordnung schützt aber nicht nur eindeutige personenbezogene Daten wie oben erwähnt, sondern schützt auch ihre personenbezogenen Daten die im Internet teilweise ohne ihre direkte Kenntnis erhoben werden können. Darunter fallen zum Beispiel Kennnummern oder Online-Zugänge die eine Identifizierung möglich machen ein Beispiel hierfür sind IP-Adressen oder Log-In Daten , welche durch den Webseitenbetreiber oder durch bestimmte Cookies gespeichert werden.

Einige Cookies sammeln Daten um gezielt Werbung zu schalten die Sie interessieren könnte. Jedoch sind durch die neuen Regelungen die kleinen Pop-Up Cookie Banner, welche keine Wahl der Zustimmung durch ein aktives Zustimmung zulassen, unzulässig. Lediglich eine klare Zustimmung ist konform.

Auch als Arbeitnehmer sind ihre Daten geschützt. Die Anforderung an Ihren Arbeitgeber sind ebenfalls durch die Grundsätze der DSGVO bestimmt. Der Arbeitgeber ist dazu verpflichtet die Daten seiner Mitarbeiter zu schützen und alle technischen und organisatorischen Maßnahmen für den Schutz der Daten zu ergreifen. Vor Allem personenbezogene Daten besonderer Kategorien wie Gesundheitsdaten bedürfen eines besonderen Schutzes.

Der Arbeitgeber ist zusätzlich dazu verpflichtet eine Einwilligung von allen Mitarbeitern einzuholen, wenn er personenbezogene Daten verarbeitet. Das ist in den meisten Fällen gegeben. Auch wenn der Arbeitgeber bspw. Fotos von Mitarbeitern auf der Firmenhomepage stellt mit einem Interview oder lediglich zu illustrativen Zwecken wird eine für diesen Zweck bestimmte Einwilligung benötigt. Wird ein Foto ohne die Einwilligung veröffentlich kann der Betroffene Unterlassung fordern. Durch die Kündigung eines Mitarbeiters wird die Einwilligung auf Grund des Zweckbindungsprinzips hinfällig gem. Art.5 Abs.1 lit. b DSGVO (Fischer, NZA 2018,8 Rn.11.). Sollen die Bilder weiter zugänglich gemacht werden müssen erneute Einwilligungen eingeholt werden. Das gleiche gilt bei Videoüberwachung am Arbeitsplatz. Nur in Ausnahmefällen ist der Arbeitgeber berechtigt die Mitarbeiter durch Videoüberwachung zu filmen, da dadurch eine unzulässige Einschränkung vorgenommen wird.

Eine Ausnahme liegt gem. § 32 Abs. 1. Satz 2. BDSG n.F. lediglich in dem Fall einer Straftatverfolgung mit dokumentierten tatsächlichen Anhaltspunkten welche einen Verdacht begründen, dass der Betroffene im Beschäftigungsverhältnis eine Straftat begangen hat. Die Erhebung, Verarbeitung oder Nutzung zur Aufdeckung erforderlich ist und das schutzwürdige Interesse des Beschäftigten an dem Ausschluss der Erhebung, Verarbeitung oder Nutzung nicht überwiegt. Insbesondere Art und Ausmaß im Hinblick auf den Anlass nicht unverhältnismäßig sind. Zu beachten ist, dass dem Arbeitgeber mit dieser Vorschrift keine Befugnis an die Hand gegeben wurde, präventiv auf den Arbeitnehmer einzuwirken (Polenz in Killian/Heussen, Computer-Handbuch, Individuelle Arbeitnehmer Datenschutz, Rn. 9-10; 34. EL Mai 2018.).

Rechte der Betroffenen

Durch die DSGVO stehen dem Betroffenen nun mehr Rechte zu. Was diese Erweiterung der Rechte nun genau bedeutet, wird im Folgenden erläutert:

Dies ist bei der Datenschutzgrundverordnung weitergefasst als bei dem BDSG. Nach Art. 15 Abs. 1 DSGVO können die Betroffenen eine Auskunft verlangen, ob durch den Datenverarbeiter von dem Betroffenen personenbezogene Daten verarbeitet werden. Der Betroffene kann demnach Informationen über die folgenden Punkte verlangen:

  • die Verarbeitungszwecke;
  • die Kategorien personenbezogener Daten, die verarbeitet werden;
  • die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, insbesondere bei Empfängern in Drittländern oder bei internationalen Organisationen;
  • die Dauer der Speicherung oder die Kriterien für die Festlegung der Dauer;
  • das Bestehen eines Rechts auf Berichtigung oder Löschung, auf Einschränkung der Verarbeitung oder eines Widerspruchsrechts gegen diese Verarbeitung;
  • das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;
  • wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden, alle verfügbaren Informationen über die Herkunft der Daten;

Weiterhin hat der Betroffene zudem den Anspruch aus Art. 15 Abs. 3 DS-GVO zu verlangen, dass der Verantwortliche eine Kopie der verarbeiteten Daten zur Verfügung stellen muss. So hat auch das LAG Baden-Württemberg, Urteil vom 20.12.2018, Az.-17 Sa 11/18 entschieden. Der Art.15 Abs.3 DS-GVO ist jedoch umstritten und es ist noch nicht eindeutig in wie weit dieser Auskunftsanspruch auszulegen ist. Entgegen dem LAG Baden-Württemberg entschied das LG Köln, das der Art. 15 Abs.3 DS-GVO nicht extensiv ausgelegt werden sollte. So müssen nicht alle interne Abläufe und Vermerke offengelegt werden LG Köln Urteil v. 18.03.2019, Az.- 26 O 25/18. Das ergibt sich aus dem Wortlaut des Artikels. Es wird nicht explizit „alle personenbezogenen Daten“, sondern lediglich „Daten, die Gegenstand der Verarbeitung sind“ gefordert.

Nach Art. 15 Abs. 3 DSGVO haben die Betroffenen nun das Recht kostenlos eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zu erhalten. Für alle weiteren Kopien, die die betroffene Person beantragt, kann der Datenverarbeiter aber ein angemessenes Entgelt auf der Grundlage der Verwaltungskosten verlangen. Nach Art. 15 Abs. 4 DSGVO darf dieses Recht aber nicht die Rechte und Freiheiten (Def. s.o.) anderer Personen beeinträchtigen.

Dieses Recht ist in Art. 16 DSGVO festgelegt und mit der Vorschrift aus dem BDSG vergleichbar. Zudem hat der Betroffene nach Art. 18 Abs. 1 lit. a DSGVO das Recht, die Sperrung der Daten zu verlangen, sofern die Daten nicht richtig sind.

Dieses Recht ist nach dem DSGVO etwas ausgeprägter als nach dem BDSG. Nun hat man das sog. Recht auf „Vergessenwerden“, welches in Art. 17 Abs. 1 DSGVO kodifiziert. Der Betroffene kann die Löschung der Daten in folgenden Situationen verlangen:

  • Die personenbezogenen Daten sind für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig.
  • Die betroffene Person widerruft ihre Einwilligung und es fehlt an einer anderweitigen Rechtsgrundlage für die Verarbeitung.
  • Die betroffene Person legt Widerspruch gegen die Verarbeitung ein und es liegen keine vorrangigen berechtigten Gründe (nach 21 Abs. 1 DSGVO) für die Verarbeitung vor
  • Die personenbezogenen Daten wurden unrechtmäßig verarbeitet
  • Löschung aufgrund von Unionsrecht oder eines Rechts der Mitgliedsstaaten
  • Datenverarbeitung aufgrund Einwilligung der Verarbeitung von Daten von Kindern
  • Recht auf Einschränkung der Verarbeitung:
  • Nach 18 Abs. 1 DSGVO können die Betroffenen dieses Recht in Anspruch nehmen, wenn
  • die Richtigkeit der Daten für die zur Prüfung erforderliche Dauer bestritten wird,
  • die Daten unrechtmäßig verarbeitet werden, anstatt Löschung,
  • Rechtsansprüche wahrgenommen werden,
  • die Begründetheit eines Widerspruchs nach 21 Abs. 1 DSGVO geprüft wird
  • Recht auf Benachrichtigung:

Dieses Recht ist nach der DSGVO etwas ausgeprägter als bei dem BDSG. Nach Art. 19 DSGVO muss der Verantwortliche den Empfänger der Daten über die Berichtigung/ Löschung/ Sperrung informieren, soweit dies nicht unmöglich oder mit einem unverhältnismäßigen Aufwand verbunden ist. Der Betroffene kann Sie zudem dazu auffordern ihm Auskunft über die Empfänger der Daten zu geben.

Dieses Recht ist neu nach der DSGVO und in Art. 20 verankert. Vom Verantwortlichen kann nun verlangt werden, dass er die personenbezogenen Daten, die ihm zur Verfügung gestellt wurden, in einem strukturierten, gängigen und maschinenlesbaren Format dem Betroffenen zukommen lässt. Zudem hat der Betroffene das Recht, die Daten einem anderen Verantwortlichen zu übermitteln, wenn

  • die Datenverarbeitung durch Einwilligung oder aufgrund eines Vertrages erfolgte
  • und die Verarbeitung mithilfe automatisierter Verfahren erfolgt.

Nach Abs. 2 kann vom Verantwortlichen sogar verlangt werden, dass er die Daten direkt an einen anderen Verantwortlichen überträgt, sofern dies technisch umsetzbar ist.

Schadensersatz auf Grund eines datenschutzrechtlichen Verstoßes

Die DSGVO sieht entsprechend Art. 82 Abs.1 DS-GVO eine eigene deliktische Anspruchsgrundlage für Schadensersatzansprüche bei rechtswidrigen Datenverarbeitungen vor.

„Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.“

Diese konkurrieren mit den Vorschriften der jeweiligen Mitgliedsstaaten. Im deutschen Recht kommen vor Allem die deliktischen Schadensersatzansprüche nach §823 Abs.1 BGB in Verbindung mit dem allgemeinen Persönlichkeitsrecht und auch nach §823 Abs.2 BGB in Frage.

Weitgehend jeder Verstoß gegen die Handlungsvorgeben der DSGVO kommt als Haftungsgrund in Betracht so auch zum Beispiel ein Verstoß gegen die oben bereits genannten Lösch- und Informationspflichten. Dabei sind auch Verstöße gegen Rechtsvorschriften der Mitgliedsstaaten die zur Präzisierung der DSGVO erlassen wurden mit einer Haftung belegt.

Verstöße gegen die Vorgaben des Datenschutzrechts haben grundsätzlich zunächst immaterielle Schäden zur Folge Rechtswidrige Datenverarbeitung verletzten das Recht auf Schutz der personenbezogenen Daten (Art.8 GRCh), jedoch können auch andere Rechte verletzt werden. Ein bloßer Verstoß gegen die DS-GVO ohne Eintritt einer Schadensfolge kein begründeter Schadensersatzanspruch. Das hat das AG Diez im Urteil v. 07.11.2018, Az-8C 130/18 entschieden. In diesem Fall bat die Betreiberin eines Online-Shops die Kunden per E-Mail um Einwilligung zum Bezug eines Newsletters, obwohl zuvor nie in den Empfang von E-Mails eingewilligt wurde. Der Kläger forderte Auskunft, Unterlassung und Schmerzensgeld „nicht unter 500€“. Das Gericht entschied, dass ein bloßer Verstoß ohne Schadensfolge keinen begründeten Schadensersatz nach Art.82 DS-GVO nach sich zieht. Es wäre zwar festzuhalten, dass kein schwerer Eingriff in die Persönlichkeitsrechte zur Begründung eines Schadensersatzanspruchs vorliegen müsste, jedoch es keinen Schadenersatz für Bagatellverstöße geben dürfte. Es muss ein spürbarer Nachteil durch eine „objektiv nachvollziehbare, mit gewissem Gewicht erfolgte Beeinträchtigung von personenbezogenen Belangen“ entstanden sein.

Weiterhin stellte das Gericht fest, dass wenn überhaupt ein Schadensersatzanspruch bestanden hätte dieser mit 50,00€ abgegolten sein würde.

Beschränkt wird durch Art. 82 Abs. 2 DS-GVO dabei lediglich die Haftung von Auftragsdatenverarbeitern.

„Jeder an einer Verarbeitung beteiligte Verantwortliche haftet für den Schaden, der durch eine nicht dieser Verordnung entsprechende Verarbeitung verursacht wurden. Ein Auftragsverarbeiter haftet für den durch eine Verarbeitung verursachten Schaden nur dann, wenn er seinen speziell den Auftragsverarbeitern auferlegten Pflichten aus dieser Verordnung nicht nachgekommen ist oder unter Nichtbeachtung der rechtmäßig erteilten Anweisungen des für die Datenverarbeitung Verantwortlichen oder gegen diese Anweisungen gehandelt hat.“

Dies soll verhindern, dass der Auftragsdatenverarbeiter für Datenschutzverstöße des Verantwortlichen haftet, auf welche er keinen Einfluss hat.

Wer ist befugt gegen die Rechtsverstöße vorzugehen?

Entsprechend der DSGVO ist jeder befugt, dessen Rechte durch einen Verantwortlichen verletzt wurden und dieser hierfür kein Ausnahmetatbestand besteht. Deshalb wurde in der Literatur (vgl. Zech, WRP 2013, 1434, 1436) und auch in der Rechtsprechung (OLG Düsseldorf, GRUR 2017, 416 ff. – „Gefällt mir”-Button) die Frage aufgeworfen wer klagebefugt ist. Ob das Sanktionssystem der DS-RL ein abschließendes Sanktionssystem mit der Folge enthält, dass Verstöße gegen datenschutzrechtliche Bestimmungen nur durch die nach der DS-RL vorgesehenen Berechtigten mit den dort vorgesehenen Instrumentarien verfolgen können. Dann wären Wettbewerber i.S. von § 8 Abs. 3 Nr. 1 UWG oder qualifizierte Einrichtungen i.S. von § 8 Abs. 3 Nr. 3 UWG, die in der DS-RL nicht angeführt sind, ebenfalls nicht nach § 8 Abs. 1 und Abs. 3 Nr. 1 und 3 UWG klagebefugt. Nach Auffassung des Senats stehen allerdings die Vorschriften der DS-RL einer Klagebefugnis von Wettbewerbern gemäß § 8 Abs. 1 und Abs. 3 Nr. 1 UWG nicht entgegen.

Die DS-RL enthält erkennbar kein abschließendes Sanktionssystem, das einer zivilrechtlich begründeten Verfolgung von Verletzungen der Datenschutzvorschriften durch Mitbewerber nach § 8 Abs. 1 und Abs. 3 Nr. 1 UWG entgegenstünde., so das OLG Hamburg Urteil vom 25.10.2018 – 3 U 66/17.

Es ist derzeit strittig ob Wettbewerber legitimiert Rechtsbehelfe gegenüber einem Mitbewerber geltend machen kann. Das OLG Hamburg und das LG Würzburg folgen der hM. und befürworten die Legitimierung und entschieden, dass ein Wettbewerber klagebefugt ist. Abweichend davon hat LG Bochum mit dem Urteil v. 07.08.2018, Az.-12 O 85/18, entschieden, dass Mitbewerber Konkurrenten nicht abmahnen können.

Fazit

Verstößt der Verarbeiter gegen die an Ihn gerichteten Pflichten oder kommt diesen Pflichten nicht im ausreichenden Maßen nach, können Sanktionen die Folge sein. Für betroffene Personen kann Unterlassung oder die Einhaltung der Pflichten verlangt werden. Ein Schadensersatzanspruch ist schon bei kleinen Eingriffen die objektiv in das Persönlichkeitsrecht eingreifen gegeben und kann geltend gemacht werden. Die Unternehmen sind verpflichtet datenschutzkonform zu handeln um nicht mit hohen Sanktionen rechnen zu müssen. Die Daten der Kunden sind schützenswert und vertraulich zu behandeln. Ist ihr Recht in einer Weise verletzt worden gibt es verschiedene Möglichkeiten gegen einen solchen Rechtsverstoß vorzugehen

O`zapft is – Die Marke Oktoberfest

Nicht zuletzt das Handelsblatt und der Spiegel haben in den vergangenen Tagen berichtet, dass die Marke „Oktoberfest“ nun eine geschützte Marke ist. Tatsächlich hat das Amt der europäischen Union für

Weiterlesen »