Archiv Datenschutz in öffentlichen Stellen

Datenschutznachrichten

Archiv Meldungen zum Thema Datenschutz in öffentlichen Stellen

Hier finden Sie Meldungen zum Datenschutz in öffentlichen Stellen (Behörden, Verwaltung) (Linksammlung).

Weitere Themenbereiche finden Sie hier:

Datenschutz in öffentlichen Stellen, Meldungen aus der Gesetzgebung, Datenschutz bei Email&Internet, EU-Datenschutz, Gesundheit/Patientendaten, internationaler Datenschutz, Datenschutzmaßnahmen, Video/Foto, Datenschutzverstöße, Terrorbekämpfung, weitere Datenschutzmeldungen

VERDATA schließt Jahr 2020 mit Spitzenauslastung ab

Noch nie in der 16 jährigen Geschichte von VERDATA wurden so viele Beratungsstunden wie im abgelaufenen Jahr 2020 erbracht.
Sowohl bei Bestandskunden als auch neuen Kunden ist der Bedarf nach fachkundiger Datenschutzberatung  im Corona-Jahr enorm gewesen.
Das Jahr 2020 übertrifft damit auch den Absatz von Beratungsstunden aus dem Rekordjahr der DSGVO Einführung 2018. Anders als im Jahr 2018 waren die Beratung jedoch deutlich fachbezogener und erforderte wesentlich mehr sachliche Tiefe in Verarbeitungen, Technologie und Betriebsabläufen.
Das Jahr 2020 unterstreicht die besondere Fachkompetenz von VERDATA: Das VERDATA-Team hat allein im Jahr 2020 über 350 Dienstleistereinbindungen unter Datenschutzgesichtspunkten bei unterschiedlichsten Kunden begleitet.
Auf sehr hohem Niveau bewegen sich auch die Fälle von Betroffenenbegehren nach der DSGVO; das VERDATA Team hat hier über 120 solcher Begehren geprüft, bewertet und die Bearbeitung fachlich unterstützt.

 

Fachjubiläum: Profi-Erfahrung in der Einbindung von Dienstleistern

Zeit für ein fachliches Jubiläum: VERDATA hat im Dezember 2020 den 1300. Vertrag zur Auftragsverarbeitung innerhalb von 10 Jahren geprüft und begleitet.
Quer über alle Branchen und Verarbeitungen hinweg wurden Inhalte, Ausgestaltungen, Schutzmaßnahmenfestlegungen oder Verarbeitungsbeschreibungen nicht nur bewertet, sondern im großen Umfang mitgestaltet.
Die korrekte Einbindung von Dienstleistern ist nicht erst seit DSGVO Zeiten relevant,  sondern war bereits davor in sehr identischer Weise Vorschrift.
Die Erfahrung der letzten 10 Jahre bezieht sich daher nicht nur auf die vertraglichen Regelungen, sondern auch auf die Möglichkeiten der Ausgestaltung und der Behebung von diversen Herausforderungen. Das VERDATA Team kennt inzwischen die Schwächen der unterschiedlichsten Vorlagen,  die von Unternehmen zur Gestaltung von Datenschutzverträgen eingesetzt werden und die Lösungen, diese zu beseitigen.

 

Entwurf neuer Standardvertragsklauseln veröffentlicht

Die EU Kommission hat gestern überarbeitete Standardvertragsklauseln im Entwurf veröffentlicht und führt bis Mitte Dezember eine Anhörung dazu durch.
Wesentliche Änderung ist, dass der Datentransfer zwischen Parteien unterschiedlicher Verantwortungskonstellation geregelt wird.  weiterlesen

Neben dem benannten Controller-Prozesser (Auftragsverarbeiter)-Verhältnis werden auch Controller-Controller, Processor–Processor und Processor—Controller nun geregelt.

Die Entwürfe sind hier zu finden:

Seminare Gesundheitsdatenschutz

Seminar „Datenschutz im Krankenhaus – Update 2020“
Da auf Grund der Einschränkungen wegen der Corona-Pandemie unsere Präsenzveranstaltungen leider nicht stattfinden konnten, planen wir eine Online-Veranstaltung zu dieser Reihe. Die Termine hierfür (2 x 4 Stunden) werden wir in Kürze bekannt geben.

Orientierungshilfe nach EUGH Urteil zur Datenübermittlung ins Nicht-EU-Ausland

Die baden-würtembergische Datenschutzaufsichtsbehörde hat eine erste Orientierungshilfe veröffentlicht, die Hinweise zur Datenübermittlung ins Nicht-EU Ausland nach dem Urteil des EUGH gibt.
Sie macht darin deutlich, dass die Standardvertragsklauseln zwar im Prinzip noch gültig sind, aber dass es nicht allein darauf ankommt, ob Datenexporteuer und Datenimporteuer sich zum Umgang mit den Daten verständigt haben.  weiterlesen

Es kommt vielmehr darauf an, ob und wie die Behörden des Empfängerlandes Zugriff auf die Daten haben. Die Standardvertragsklauseln binden schließlich nicht die Behörden, sondern nur den Datenimporteuer.
Sie können daher nur dann als Grundlage akzeptiert werden, wenn durch weitere Maßnahmen der Zugriff der Behörden verhindert wird.

Der LDI BaWü benennt dazu auch zwei Beispiele: „Verschlüsselung, bei der nur der Datenexporteur den Schlüssel hat und die auch von US-Diensten nicht gebrochen werden kann und „Anonymisierung oder Pseudonymisierung, bei der nur der Datenexporteur die Zuordnung vornehmen kann“.

Der LDI BaWü kommt zu dem Schluss, dass ohne diese Maßnahmen die Datenübermittlung explizit in die USA nicht regelkonform ist.

 

Die Orientierungshilfe kann hier abgerufen werden:

Aufsichtsbehörden: Anforderungen an Google Analytics Einsatz

Die Aufsichtsbehörden (Datenschutzkonferenz) haben in einem weiteren Positionspapier Ihren Standpunkt zum Einsatz von google analytcis kommuniziert. Nach Auffassung der Behörden ist google im Bezug auf google Analytics kein Auftragsverarbeiter und verarbeitet in allen Fällen personenbezogene Daten.  weiterlesen

Die Behörden sehen weder Art. 6 Abs.1 (b) DSGVO noch Art. 6 Abs.1 (f) DSGVO als Rechtsgrundlage, die Daten zu verarbeiten. Sie begründen, warum kein berechtigtes Interesse an der Verarbeitung überwiegt.
Es verbleibt damit die Einwilligung als Rechtsgrundlage. Auch hier sehen die Behörden Anforderungen, die an die Einwilligung zu stellen sind und deren Umsetzung nachgewiesen werden muss.
Der Beschluss der Datenschutzkonferenz ergänzt das bereits bekannte Papier zu den Anforderungen an Telemediendienste (Orientierungshilfe März 2019).

 

Die neuen Positionen können hier eingesehen werden: 

Anonymisierung ist eine folgenabschätzungsrelevante Verarbeitung

Der Bundesbeauftragte hat ein Positionspapier veröffentlicht, das sich mit den Anforderungen der Anonymisierung von Daten beschäftigt. Das Papier bezieht sich zwar primär auf Telekommunikationsdaten, ist aber adaptierbar und in mehreren Stellen wegweisend.  weiterlesen

So werden Anforderungen an die rechtliche Zulässigkeit und die Methode der Anonymisierung beschrieben. Die gelegentlich diskutierte Frage, ob man nicht Daten immer anonym verwenden darf, wird datenschutzrechtlich aufgearbeitet. Außerdem wird klargestellt, dass der Anonymisierungsschritt ein Verarbeitungsvorgang ist, der einer Folgenabschätzung bedarf.

 

Das Papier ist  hier zu finden

Urteil: Bundesgerichtshof zur Einwilligung in telefonische Werbung und Cookie-Speicherung

BGH, Urteil vom 28.05.2020 – I ZR 7/16 – Cookie-Einwilligung II  –

Der unter anderem für Ansprüche nach dem Unterlassungsklagengesetz zuständige I. Zivilsenat des Bundesgerichtshofs hat über die Frage entschieden, welche Anforderungen an die Einwilligung in telefonische Werbung und die Speicherung von Cookies auf dem Endgerät des Nutzers zu stellen sind. weiterlesen


Die komplette Pressemitteilung Nr. 067/2020 des Bundesgerichtshofes finden Sie hier

Neuer BSI Prüfkatalog für Cloud-Computing

Das Bundesamt für Informationssicherheit hat einen aktualisierten Kriterienkatalog (=C5 Katalog) für das Cloud-Computing veröffentlicht. In dem Katalog sind die Kriterien an das interne Kontrollsystem eines Cloud-Anbieters benannt. Es wird beschrieben, welche Anforderungen der Cloud-Anbieter mindestens erfüllen muss. weiterlesen

Im Vergleich zur Version von 2019 ist ein neues Kapitel „Produktsicherheit“ hinzugekommen; diese neuen Anforderungen beruhen auf dem EU Cybersecurity Act. Die bestehenden Sicherheitskriterien wurden überarbeitet; u.a. gibt es nun zu jedem Sicherheitskriterium Hinweise, wie dieses geprüft werden kann.

Erleichtert wurde das Erstellen der Systembeschreibung, die der Cloud-Anbieter zur Prüfung liefern muss. Der neue Katalog schafft die Möglichkeit , dass ein Prüfer direkt prüfen kann und eine der Systembeschreibung vergleichbare Beschreibung während des Prüfvorganges erstellt.

VERDATA orientiert sich bei Prüfungen an diesem Katalog.

 

Zum Kriterienkatalog C5:2020

Arbeitshilfen für gemeinsame Verantwortung veröffentlicht

Die GDD und die baden-württembergische Aufsichtsbehörde haben Hilfen zur Umsetzung der gemeinsamen Verantwortung veröffentlicht. Der LDI Baden-Württemberg hat ein Vertragsmuster, in englischer Sprache, veröffentlicht. Die GDD beschreibt in ihrer Praxishilfe, wie Auftragsverarbeitung und Gemeinsame Verantwortung voneinander abgegrenzt werden und erläutert die Punkte. Mit einer Checkliste wird eine Hilfe gegeben, wie die jeweilige Verarbeitung einzuordnen ist.
Die Dokumente sind auf unserer Webseite abrufbar.

Auftragsverarbeitungsvertrag der dänischen Aufsichtsbehörde veröffentlicht

Die Dänische Aufsichtsbehörde hat gemäß Art. 28 Abs.8 DSGVO einen Standardvertragstext für die Auftragsverarbeitung herausgegeben. Dieser wurde vom Europäischen Datenschutzausschuss positiv angenommen und nun veröffentlicht.  weiterlesen

Diese englische Vorlage ist nicht verbindlich; sie ist aber zu empfehlen, insbesondere dann, wenn mit einem dänischen Unternehmen eine Auftragsverarbeitung abgeschlossen wird. Wird die behördliche Vorlage verwendet, prüft die Aufsichtsbehörde den Inhalt des Vertrages nicht mehr.

Die Vorlage ist hier veröffentlicht

Steuerberater sind keine Auftragsverarbeiter

Fast unbemerkt hat Art. 23 im „Gesetz zur weiteren steuerlichen Förderung der Elektromobilität und zur Änderung weiterer steuerlicher Vorschriften“ vom 12. Dezember 2019 (BglBl 17.12.2019 Seite 2451 (Nr. 48)) eine wesentliche Datenschutzfrage beantwortet: Die Verarbeitung personenbezogener Daten durch Steuerberater wie z.B. zur Gehaltsabrechnung oder zu anderen Zwecken erfolgt weisungsfrei.  weiterlesen

Dieses Gesetz änderte nämlich § 11 Steuerberatergesetz und hat einen neuen Absatz 2 eingefügt, der die Weisungsfreiheit dabei betont. § 11 Abs.2 StBG lautet seit dem 1.1.2020:

„Die Verarbeitung personenbezogener Daten durch Personen und Gesellschaften nach § 3 erfolgt unter Beachtung der für sie geltenden Berufspflichten weisungsfrei. Die Personen und Gesellschaften nach § 3 sind bei Verarbeitung sämtlicher personenbezogener Daten ihrer Mandanten Verantwortliche gemäß Artikel 4 Nummer 7 der Datenschutz-Grundverordnung (EU) 2016/679. Besondere Kategorien personenbezogener Daten gemäß Artikel 9 Absatz 1 der Verordnung (EU) 2016/679 dürfen gemäß Artikel 9 Absatz 2 Buchstabe g der Datenschutz-Grundverordnung (EU) 2016/679 in diesem Rahmen verarbeitet werden.“

Damit wird eine Datenschutzfrage geklärt, die selbst Aufsichtsbehörden bisher unterschiedlich beantwortet haben. Steuerberater sind nicht nach Art. 28 DSGVO als weisungsgebundene Datenverarbeiter zu engagieren. Der Verantwortliche, der eine Datenverarbeitung an den Steuerberater auslagert, muss die Zulässigkeit der Auslagerung klären und die Rechtmäßigkeit der Datenübermittlung feststellen. VERDATA hat diese Auffassung schon seit längerem vertreten; der Gesetzgeber schafft hier nun Klarheit.

LDA Bayern: Google Analytics nur mit Einwilligung

Die Bayerische Aufsichtsbehörde hat klargestellt, dass sie als Rechtsgrundlage des Trackings mittels Google Anlytics die Einwilligung sieht. Die Behörde begründet dies damit, dass Google sich das Recht einräumen lässt, dass die Daten zu eigenen Zwecken verarbeitet werden dürfen. weiterlesen

Warum die Behörde allerdings das überwiegende berechtigte Interesse nach Art. 6 Abs.2 (f) DSGVO ausschließt, begründet sie nicht. Allein die Beteiligung des Unternehmens Google spricht nicht gegen ein mögliches Überwiegen des Verarbeitungsinteresses. Hier besteht trotz behördlichen Statements weiterhin Auslegungsbedarf.

Zur Mitteilung der Behörde

Neue Guideline des Europäischen Datenschutzausschusses zu Art. 6 Abs.1 (b) DSGVO veröffentlicht

Der Europäische Datenschutzausschuss hat die finale Version seiner Leitlinie zur Vertragsdatenverarbeitung (Verarbeitung nach Art. 6 Abs.1 (b) DSGV) veröffentlicht (= Guidelines 2/2019 on the processing of personal data under Article 6(1)(b) GDPR in the context of the provision of online services to data subjects). Darin werden Aussagen und Auslegungen zusammengefasst, unter welchen Voraussetzungen eine Datenverarbeitung der Erlaubnisnorm Art.6 Abs.1 (b) DSGVO entspricht.weiterlesen

U.a. stellt der Ausschuss klar, dass das Prinzip der Zweckbindung erfordert, dass bei einem Vertragabschluss genau festgelegt werden muss, wann eine Verarbeitung zum Zweck gehört und wann nicht. Der Datenschutzausschuss hält den Standpunkt der Artikel 29 Gruppe aufrecht, dass vage Zwecke wie „Verbesserung der Benutzererfahrung“, „Marketingzwecke“, „IT-Sicherheitszwecke“ oder „zukünftige Forschung“, nicht ausreichen.

Der Ausschuss empfiehlt, bei Zweifeln an der Erforderlichkeit zur Vertragserfüllung besser auf eine andere Rechtsgrundlage auszuweichen, z.B. die Einwilligung; die geeignete Rechtsgrundlage zu ermitteln, ist ein Gebot der Fairness und Zweckbindung.

Im Rahmen der Rechenschaftspflicht verlangt der Ausschuss, dass der Verantwortliche, der sich auf Art.6 Abs.1 (b) beruft, drei Dinge nachweisen kann:  a) ein Vertrag besteht, b) der Vertrag ist nach nationalen Vertragsgesetzen gültig c) die Verarbeitung ist objektiv für die Ausführung des Vertrags erforderlich ist. Für Punkt c) setzt der Ausschuss sehr strenge Maßstäbe an: Wörtlich heißt es „ Auch wenn diese Verarbeitungstätigkeiten im Kleingedruckten des Vertrages ausdrücklich erwähnt werden, macht diese Tatsache sie allein nicht „notwendig“ für die Vertragserfüllung.“ Vielmehr muss eine objekte Notwendigkeit belegt werden.

Darüber hinaus verlangt der Ausschuss, dass dann, wenn eine neue Technologie zur Erbringung des Dienstes eingeführt wird, neu bewertet wird, ob die Verarbeitung erforderlich ist oder nicht.

Der Ausschuss vertritt außerdem die Auffassung, dass es unfair und damit niciht zulässig ist, eine Verarbeitung von Daten, die auf Basis von Art. 6 Abs.1 (b) DSGVO erfolgte, nach Beendigung des Vertrages auf eine andere Rechtsgrundlage zu stützen. Wenn hingegen Aufzeichnungen (Speicherungen) für rechtliche Zwecke erfolgen (siehe Art.17), dann ist die zulässig, wenn einige Bedingungen erfüllt werden. Die Verantwortlichen „müssen sie zu Beginn der Verarbeitung eine Rechtsgrundlage dafür ermitteln, und sie müssen von Anfang an klar kommunizieren, wie lange sie planen, Aufzeichnungen für diese nach Beendigung des Vertrages. Wenn sie dies tun, müssen sie die Daten bei Beendigung des Vertrages nicht löschen.“

Der Ausschuss bezieht außerdem Stellung zu verschiedenen Verarbeitungen und sieht diese nicht über Art. 6 Abs. 1 (b) DSGVO legitimierbar: Beispielweise „ kann die Erhebung von organisatorischen Kennzahlen im Zusammenhang mit einer Dienstleistung oder Einzelheiten des Nutzerengagements nicht als notwendig für die Erbringung der Dienstleistung angesehen werden“. Auch die  Verarbeitung zum Zwecke der Verbesserung einer Dienstleistung oder der Entwicklung neuer Funktionen innerhalb eines bestehenden Dienstes, ebenso die Verarbeitung zum Zwecke der Betrugsprävention, sind mit Art.6 Abs.1 (b) DSGVO legitimierbar. Hier sieht er allerdings ein überwiegendes berechtigtes Interesse.

Auch die Erstellung von Profilen bzw. das Auswerten von Nutzerverhalten zur werbefinanzierten Bezahlung/Gegenleistung hält der Ausschuss nicht mit Art. 6 Abs.1 (b) DSGVO legitimierbar. Der Ausschuss sieht die Finanzierung nur als unterstützend an, der Verantwortliche müsse hingegen beweisen, dass diese Verarbeitung tatsächlich notwendig ist.

Zur Leitlinie: (guideline 2/2019)

Urteil: Das Setzen von Cookies erfordert die aktive Einwilligung des Internetnutzers

EuGH vom 01.10.2019 – C-673/17

Es liegt keine wirksame Einwilligung des Internetnutzers in das Speichern von Cookies vor, wenn der Anbieter der Web-Seite ein Ankreuzkästchen mit einem voreingestellten Häkcken verwendet. Die Erlaubnis zum Setzen von Cookies erfordere vielmehr die aktive Einwilligung des Internetnutzers, betonte der Gerichtshof der Europäischen Union in seinem Urteil vom 01.10.2019.

zum Urteil 

150.000 Euro Bußgeld wegen falscher Rechtsgrundlage einer Verarbeitung

Die griechische Aufsichtsbehörde hatte im Juli ein Bußgeld in Höhe von 150.000 Euro gegen PwC verhangen, weil nach Ansicht der Behörde Daten von Beschäftigten ohne ausreichende Rechtsgrundlage verarbeitet wurden. Das Unternehmen hatte die Verarbeitung von Beschäftigtendaten auf eine Einwilligung gestützt; die Behörde war der Ansicht, dass die Einwilligung nicht die korrekte Rechtsgrundlage darstellt. weiterlesen

Die Behörde bewertete die Einwilligung als eine Erlaubnis, die nur dann eingesetzt werden sollte, wenn die anderen Erlaubnisnormen nicht angewendet werden. Wörtlich heißt es: „Die Grundsätze der rechtmäßigen, fairen und transparenten Verarbeitung personenbezogener Daten gemäß Artikel 5 Absatz 1 Buchstabe a DSGVO erfordern, dass die Zustimmung als Rechtsgrundlage nach Art. 6 Abs. 1 DSGVO nur dann verwendet wird, wenn die anderen Rechtsgrundlagen nicht anwendbar sind“.

Für den Fall, dass die betroffene Person ihre Einwilligung widerruft, ist es nicht gestattet, die Verarbeitung personenbezogener Daten unter einer anderen Rechtsgrundlage durchzuführen. Die Einwilligung setzt andere Rechtsgrundlagen faktisch außer Kraft, weil nur so der Widerruf der Einwilligung und damit das Recht des Betroffenen beachtet und berücksichtigt werden.

Im vorliegenden Fall hatte das Unternehmen die Einwilligung für Verarbeitungen eingeholt, obwohl die Verarbeitung tatsächlich aufgrund einer anderen Rechtsgrundlage durchgeführt wurde. Die Behörde urteilt:
„In diesem Fall war die Wahl der Einwilligung als Rechtsgrundlage unangemessen, da die Verarbeitung der personenbezogener Daten dazu bestimmt war, Handlungen auszuführen, die in direktem Zusammenhang mit der Erfüllung von Arbeitsverträgen standen, die zur Einhaltung einer gesetzlichen Verpflichtung erfolgten, der der für die Verarbeitung Verantwortliche unterliegt und die einer reibungslosen Abwicklung eines effektiver Betrieb des Unternehmens – und damit einem berechtigtes Interesse – dienten.“

Daraus zog die Behörde den Schluss, dass vor allem auch der Grundsatz der Transparenz nicht eingehalten wird: „Darüber hinaus vermittelte das Unternehmen den Mitarbeitern den falschen Eindruck, dass es ihre personenbezogenen Daten unter der Rechtsgrundlage der Einwilligung verarbeitete, während es in Wirklichkeit ihre Daten auf einer anderen Rechtsgrundlage verarbeitete, über die die Mitarbeiter nie informiert worden waren. Dies verstieß gegen den Grundsatz der Transparenz und damit gegen die Informationspflicht nach den Artikeln 13 Absatz 1 Buchstabe c und 14 Absatz 1 Buchstabe c der DSGVO.“

Die Entscheidung der Behörde ist hier abrufbar 

Urteil: Mutmaßliche Einwilligung zur Aufhebung ärztlicher Schweigepflicht bei Notwendigkeit der Testierfähigkeit eines Erblassers

Oberlandesgericht Köln, Beschluss vom 15.05.2018 – 2 Wx 202/18 –

Entbindung von Schweigepflicht entspricht mutmaßlichem Willen des Erblassers  weiterlesen

Steht die Testierfähigkeit des Erblassers in Frage, so entspricht es dem mutmaßlichen Willen des Erblassers seinen Arzt von der Schweigepflicht zu entbinden. Ein Zeugnis­verweigerungs­recht nach § 383 Abs. 1 Nr. 6 ZPO besteht dann nicht. Dies hat das Oberlandesgericht Köln entschieden.

zum Urteil

Urteil: Auskunftsrecht umfasst nicht Dokumente, sondern Daten

LG Köln, Teilurteil v. 19.03.2019 – 26 O 25/18

Das Landgericht Köln entschied am 19.03.2019 über Inhalte des Auskunftsrechtes nach Art. 15 DSGVO. Eine betroffene Person begehrte von einer Lebensversicherung die Herausgabe sämtlicher Daten und verlangte dabei auch die Herausgabe von Dokumenten. Das Gericht hat dieses Verlangen zurückgewiesen und entschieden, dass der Auskunftsanspruch nach Art. 15 DSGVO nicht die Herausgabe sämtlicher Unterlagen beinhaltet.  weiterlesen

Zunächst stellte das Gericht klar, dass der Auskunftsanspruch (nur) die personenbezogenen Daten umfasst und verweist dazu auf die Definition in Art. 4 Abs.1 DSGVO:

„Gemäß Artikel 4 Nr. 1 DS-GVO sind „personenbezogene Daten“ in diesem Sinne alle Informationen, die sich auf identifizierte oder identifizierbare natürliche Personen beziehen“.

Im Folgenden schneidet das Gericht kurz an, dass auch Unterlagen personenbezogene Daten sind. Daraus könnte man jetzt den Schluss ziehen, das Gericht habe die Formulierung in Art. 15 Abs.3 DSGVO „Kopie der personenbezogenen Daten“ übersetzt und erklärt „Unterlagen“ als personenbezogene Daten. Dem ist jedoch nicht so: Das Gericht schränkt diese Aussage sofort im nächsten Satz wieder in und wird konkreter und stellt ausdrücklich fest, dass „sämtlicher gewechselter Schriftverkehr“ oder „Vermerke“ eben nicht gemeint sind.

„Nach diesen Grundsätzen und auf Grundlage der Erwägungsgründe stellen ärztliche Unterlagen, Gutachten oder sonstige vergleichbare Mitteilungen anderer Quellen ebenfalls „personenbezogene Daten“ dar. Nach der Auffassung der Kammer bezieht sich der Auskunftsanspruch aber nicht auf sämtliche internen Vorgänge der Beklagten, wie z.B. Vermerke, oder darauf, dass die betreffende Person sämtlichen gewechselten Schriftverkehr, der dem Betroffenen bereits bekannt ist, erneut ausgedruckt und übersendet erhalten kann (so das OLG Köln zu § 34 BDSG a.F., Beschluss vom 26.07.2018, 9 W 15/18). Rechtliche Bewertungen oder Analysen stellen insofern ebenfalls keine personenbezogenen Daten in diesem Sinne dar.“

Das Gericht hat festgestellt, dass die Begriffe „Daten“ in Art. 15 Abs.3 DSGVO und „Unterlagen“ nicht identisch sind und gleichgesetzt werden dürfen. Nach Art. 15 Abs.3 DSGVO sind nur die reinen Daten, nicht aber die Unterlagen gemeint. Das Gericht hat es recht plastisch formuliert:

„Der Anspruch aus Art. 15 DS-GVO dient nicht der vereinfachten Buchführung des Betroffenen, sondern soll sicherstellen, dass der Betroffene den Umfang und Inhalt der gespeicherten personenbezogenen Daten beurteilen kann. Folgerichtig bestimmt Artikel 15 Abs. 3 DS-GVO, dass der Betroffene eine Kopie (lediglich) der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, erhält.“

Dieses Urteil zieht u.a. auch die Erwägungsgründe der DSGVO mit heran. Erwägungsgrund 63 stellt recht deutlich klar, dass lediglich Daten, nicht aber die Dokumente mit den Daten herauszugeben sind. In Satz 2 des Erwägungsgrundes 63 heißt es am Beispiel der Gesundheitsdaten ausdrücklich, dass die Daten IN Akten herauszugeben sind, und eben nicht DIE Akte an sich:

„Dies schließt das Recht betroffener Personen auf Auskunft über ihre eigenen gesundheitsbezogenen Daten ein, etwa Daten in ihren Patientenakten, die Informationen wie beispielsweise Diagnosen, Untersuchungsergebnisse, Befunde der behandelnden Ärzte und Angaben zu Behandlungen oder Eingriffen enthalten.“

Bereits die Erwägungsgründe zählen die Daten(felder) auf, nicht aber die Dokumente. Darauf bezieht sich das Gericht in seiner Auslegung. Die Betroffene hatte aus Sicht des Verantwortlichen sämtliche gespeicherte Daten erhalten, konnte aber nicht substantiiert belegen, welche Daten fehlen sollten. Es besteht jedenfalls kein Recht auf Dokumentenkopien.

zum Urteil

Thüringen: Personalrat muss Datenschutzbeauftragten unabhängig von Größe benennen

Das Thüringer Parlament hat am 9.5.19 eine wegweisende Änderung des Landespersonalvertretungsgesetzes beschlossen: Der Personalrat hat, unabhängig von der Größe, einen Datenschutzbeauftragten zu benennen. Der Thüringer Gesetzgeber sieht damit als der erster Landesgesetzgeber den Personalrat (Betriebsrat) als eigene verantwortliche Stelle im Sinne der DSGVO.weiterlesen

Gemäß einer Ergänzung zu § 80 ThürPersVG ist Personalrat verpflichtet, einen Datenschutzbeauftragten zu benennen. Bemerkenswert daran ist, dass das Gesetz nicht ausdrücklich besagt, dass der Personalrat eine verantwortliche Stelle ist – sondern wie selbstverständlich voraussetzt. Das Gesetz verpflichtet, dass der Personalrat die Vorschriften zum Datenschutz zu beachten und dass er dazu einen Datenschutzbeauftragten benennen muss. Durch diese Ergänzung zur Benennung des DSB wird (lediglich) die ansonsten gültige Grenze zur Benennung ab 10 Personen verschoben. Damit wird klargestellt, dass diese variable Pflicht eines Verantwortlichen immer zu beachten ist. Da darüber hinaus der Personalrat verpflichtet ist, die Vorschriften des Datenschutzes einzuhalten (Absatz 1), ergibt sich konsequenterweise, dass er Pflichten wie Information nach Art.13 DSGVO oder die Wahrung der Betroffenenrechte nach Kapitel 2 DSGVO oder Sicherheitsmaßnahmen nach Art.32 DSGVO beachten muss.

Das Gesetz befindet sich hier:

Uganda: Datenschutzgesetz in Kraft

Datenschutz ist ein internationales Thema: Nun hat auch Uganda ein Datenschutzgesetz verabschiedet. Das „Data protection and privacy act“ ist am 25.02.2019 in Kraft getreten. Das Gesetz trifft Festlegungen, unter welchen Bedingungen Daten in Uganda, aber auch Daten von ugandischen Staatsbürgern außerhalb Ugandas, verarbeitet werden dürfen.weiterlesen

In dem Gesetz sind Pflichten an den Verantwortlichen aufgestellt, die auch aus der DSGVO bekannt sind, wie z.B. die Erfüllung von Datenschutzgrundsätzen, die Transparenz der Datenverarbeitung oder die Gewährleistung von Sicherheit. Interessant: Art.6 des Gesetzes enthält die Pflicht, einen Datenschutzbeauftragten zu bestellen!
Das Gesetz hat nicht die Tiefe und den Umgang der Pflichten der DSGVO, jedoch erstaunliche Parallelen, wie z.B. die Mitteilungspflicht bei Sicherheitsverletzungen , ein Kapitel zu den Rechten eines Betroffenen, detaillierte Vorgaben zur Herstellung der Transparenz oder Anforderungen an Einwilligungen.

Das Gesetz ist hier aufrufbar.

Bayerische Aufsichtsbehörde veröffentlicht aktualisierte Orientierungshilfe zur Auftragsverarbeitung

Mit Stand April 2019 hat der Bayerische Landesdatenschutzbeauftragte eine neue Orientierungshilfe zur Auftragsverarbeitung herausgegeben.weiterlesen

Darin wird u.a. auf die zwingenden Inhalte einer Vereinbarung verwiesen. Darüber hinaus nennt die Behörde Kriterien, um die Abgrenzung zwischen Auftragsverarbeiter und Verantwortlichen vorzunehmen. Sie stellt klar, dass die Auftragsverarbeitung erfordert, dass der Dienstleister keinen Spielraum hinsichtlich der Verarbeitung der Daten hat und dass die Datenverarbeitung im Vertrag durch Weisung vorgegeben ist. Gegen die Auftragsverarbeitung spricht, wenn der Dienstleister bereits über die Mittel der Verarbeitung entscheidet.
Darüber hinaus werden einige klassische Outsourcing-Dienste bewertet, wie die Aktenvernichtung, Systemadministration oder Backup-Dienstleistungen.
Die Orientierungshilfe kann  hier abgerufen werden.

Dänemark: 160.000 Euro Bußgeld gegen Taxiunternehmen wegen fehlender Datenlöschung

Die dänische Datenschutzaufsichtsbehörde hat gegen ein Taxiunternehmen ein Bußgeld von 1,2 Mio Dänischer Kronen ausgesprochen, weil das Unternehmen die Kundendaten nicht gelöscht hat. Das Taxiunternehmen speichert Telefonnummer, Standortdaten, gefahrene Strecke sowie Zeit für Beginn/Ende der Fahrt, außerdem die Adresse des Kunden.weiterlesen

Der Verarbeitungsbeschreibung zufolge sollten die Daten nach 2 Jahren gelöscht werden, es wurden aber lediglich die Namen gelöscht, Adressen und Telefonnummern blieben gespeichert. Das Unternehmen hatte diesen Vorgang als Anonymisierung bezeichnet. Nach weiteren 3 Jahren sollten die Telefonnummern gelöscht werden, die man für interne Geschäftszwecke noch verwenden wollte.

Aus aufsichtsbehördlicher Sicht liegt ein Verstoß gegen die Datenschutzgrundsätze nach Art. 5 Abs. 1 (c) und (e) DSGVO vor. Das Prinzip der befristeten Speicherung wird nicht eingehalten, aber auch der Grundsatz der Datenminimierung nicht erfüllt. Da über die Telefonnummern und auch über die Adressen der Personenbezug leicht herstellbar ist, wird mit der Löschung des Namens das Kriterium „unkenntlich machen“ nicht erfüllt und es werden weiterhin personenbezogene Daten gespeichert. Die Aufsichtsbehörde bezog hier mit ein, dass eine große Menge von Daten – 8,8 Mio – betroffen waren und dass das Unternehmen keine Dokumentationen zur Löschung nachweisen konnte, z.B. ein Löschkonzept.
Interessant ist dabei die inhaltliche Kritik der Behörde:
Nach Auffassung der Behörde muss der Verantwortliche nachweisen, wie und wann personenbezogene Daten in Systemen und Backup-Wiederherstellungsdateien gelöscht werden. Es sollte nachgewiesen werden, dass Datenlöschungen auf der Grundlage interner Vorgaben/Verfahren erfolgen und dass die Umsetzung nachweisbar ist.

Quelle: Dänische Datenschutzaufsichtsbehörde

Urteil: Auskunftsrecht im Arbeitsverhältnis bezieht sich auch auf Verhaltensangaben in einem betrieblichen Hinweisgebersystem („Whistleblower“)

LArbG Baden-Württemberg, Urt. v. 20.12.2018 – Az: 17 Sa 11/18

Das Gericht hat im Rahmen eines Kündigungsverfahrens eines Arbeitnehmers auch über einen geltend gemachten Auskunftsanspruch entschieden und sich dabei mit der Frage, ob das Auskunftsrecht durch Geheimhaltungsinteressen beschränkt sein kann, beschäftigt.   weiterlesen


Das Urteil hat mehrere wichtige Aussagen zum Datenschutz  getroffen. Vier wichtige Punkte sind erwähnenswert:

1. Das Einsichtsrecht in die Personalakte  gemäß § 83 Abs. 1 Satz 1 BetrVG und das Auskunftsrecht nach Art. 15 DSGVO bestehen parallel und unabhängig voneinander.

2.  E-Mails werden als personenbezogene Daten qualifiziert, denn jede „geschriebene, gesendete und empfangene E-Mail enthält bereits personenbezogene Daten, nämlich Informationen, die sich auf den (Betroffenen) beziehen“.
Diese Aussage ist allerdings recht pauschal, hier wäre es hilfreich gewesen, wenn das Gericht die personenbezogenen Daten, die mit der Kommunikationsform „E-Mail“ verbunden sind, konkret oder beispielhaft benannt hätte. Zu diesem Punkt bleiben mehr Fragen offen als Antworten gegeben sind.

3.  Leistungs- und Verhaltensdaten sind als personenbezogene Daten vom Auskunftsanspruch umfasst.

4.  Wenn das Auskunftsrecht wegen „Rechte Dritter“ oder „berechtigter Interessen“ nach § 34 Abs. 1 BDSG i.V.m. § 29 Abs. 1 Satz 2 BDSG eingeschränkt werden soll, kann das nur für den konkreten Einzelfall gelten; diese Einschränkungen sind in einer Einzelfallabwägung zu ermitteln. Die Auskunft pauschal zu verweigern, weil die Daten aus einem betrieblichen Hinweisgebersystem, das Anonymität zusichert, kommen, reicht allein nicht aus. Das Gericht führt dazu aus:
„Nur „soweit“ schützenswerte Interessen Dritter bestehen würden und diese in der gebotenen Einzelfallabwägung gegenüber dem Auskunftsanspruch als gewichtiger einzustufen wären, wäre eine Einschränkung des Auskunftsanspruches anzunehmen. Die für diese Einzelfallabwägung maßgeblichen Tatsachen, die zur Einschränkung des Auskunftsanspruches führen könnten, sind jedoch von der Beklagten nicht vorgetragen worden. Die Beklagte verweist pauschal auf das Schutzbedürfnis von Hinweisgebern. Die Beklagte führt aus, sie sei auf den bedingungslosen Schutz der Anonymität hinweisgebender Mitarbeiter angewiesen. Ansonsten sei zu befürchten, dass Mitarbeiter künftig aus Angst vor Benachteiligung und „Repressalien“ auch bei schwerwiegendem Fehlverhalten auf entsprechende Hinweise an den Arbeitgeber verzichteten“.
Dazu muss für den Einzelfall begründet und belegt werden, warum die konkreten personenbezogenen Daten in diesem Fall nicht herausgegeben werden können:
„Diese Erwägungen sind zu allgemein gehalten, als dass damit gänzlich oder in einem bestimmten Umfang der Auskunftsanspruch des Klägers eingeschränkt werden könnte. Es bedürfte der Nennung eines konkreten Sachverhaltes, anhand dessen geprüft werden könnte, ob durch die Auskunftserteilung tatsächlich die Rechte und Freiheiten anderer Personen beschränkt werden würde. Die Einschränkung des Auskunftsanspruches wegen überwiegender schützenswerter Interessen Dritter scheitert bereits daran, dass es nach dem Vortrag der Beklagten unklar bleibt, auf welche personenbezogenen Daten des Klägers sich die behaupteten schützenswerten Interessen Dritter beziehen sollen. Soweit die Beklagte mit dem Hinweis auf schützenswerte Interessen Dritter den Auskunftsanspruch verweigert, ist sie für die maßgeblichen Umstände in der Darlegungslast. Sie wäre kraft Sachnähe in der Lage gewesen, vorzutragen, welche konkreten personenbezogen Daten nicht herausgegeben werden können, ohne dass schützenswerte Interessen Dritter tangiert werden. Zu dieser Darlegung hätten nicht schon die personenbezogenen Daten als solche preisgegeben werden müssen. Ausreichend, aber auch erforderlich wäre gewesen, darzulegen, auf welche genauen Informationen (Sachverhalt/Vorfall/Thema in zeitlicher und örtlicher Eingrenzung nebst handelnden Personen) sich das überwiegende berechtigte Interesse an einer Geheimhaltung beziehen soll. Nur dann wäre der Kammer die notwendige Einzelfallabwägung möglich gewesen. Soweit in diesem Fall die berechtigten Interessen Dritter gegenüber dem Auskunftsinteresse des Klägers überwogen hätten, wäre auch erst dann in einem zweiten Schritt eine gegenständliche Einschränkung im Tenor möglich gewesen.“

Zum Urteil

Urteil: Videoüberwachung erfordert konkrete Anhaltspunkte für das Bestehen eines berechtigten Interesses

BVwG, Urt. v. 27.03.2019 – Az: 6 C 2.18

Das Bundesverwaltungsgericht urteilte über die Zulässigkeit einer Videoüberwachung am Eingang einer Zahnarztpraxis und kam zu dem Schluss, dass die Rechtmäßigkeitsanforderungen nicht vorlagen.   weiterlesen


Auch wenn hier (da über eine ältere aufsichtsbehördliche Anordnung zu entscheiden war) das alte BDSG als Rechtsgrundlage herangezogen wurde, gelten nach unserer Auffassung die im Urteil gemachten Aussagen auch für neue Rechtslage: Die alte Rechtsgrundlage § 6b Abs. 1 S. 1 BDSGalt ist deckungsgleich mit der neuen Regelung in § 4 Abs.1 S.1 BDSG2018, so dass die Aussagen des Urteils auch für die neue Videoüberwachungsregelung heranzogen werden können.
Das Gericht führt aus, dass für ein berechtigtes Interesse (für die Videoüberwachung) konkrete Tatsachen vorliegen müssen, die die Überwachung erforderlich machen. In dem Streitfall befürchtete die Ärztin, dass Unbefugte die Praxis betreten könnten und Straftaten verüben könnten, da der Empfangstresen unbesetzt ist und man die Arztpraxis einfach betreten kann. Das Gericht wertete dies als keine ausreichenden Tatsachen und nannte dies lediglich Befürchtungen. Diese reichen für ein berechtigtes Interesse nicht aus. Auch das Argument der Ärztin, dass sie ohne die Überwachung höhere Kosten habe, wies das Gericht ab, da diese Angaben dem Gericht nach nur pauschal geäußert wurden, nicht aber belegt sind.
Das Urteil ist noch nicht im Volltext veröffentlicht. Aus der Pressemitteilung lässt sich jedoch entnehmen, dass für ein berechtigtes Interesse immer Tatsachen, konkrete Anhaltspunkte, vorliegen müssen – das berechtigte Interesse also immer belegt sein muss, damit es angenommen werden kann. Diese Anforderung lässt sich für andere Verarbeitungen und damit auch auf die Rechtsgrundlage Art.6 Abs.1 Buchstabe f DSGVO übertragen.

Zur Pressemitteilung

Unternehmen haften für Datenschutzverstöße ihrer Beschäftigten

Die DSK hat am 03.04.2019 folgende Entschließung zur Haftung des Unternehmens für Datenschutzverstöße der Beschäftigten gefasst:weiterlesen

„ Unternehmen haften im Rahmen von Art. 83 Datenschutz-Grundverordnung (DS-GVO) für schuldhafte Datenschutzverstöße ihrer Beschäftigten, sofern es sich nicht um einen Exzess handelt. Dabei ist nicht erforderlich, dass für die Handlung ein gesetzlicher Vertreter oder eine Leitungsperson verantwortlich ist. Zurechnungseinschränkende Regelungen im nationalen Recht würden dem widersprechen.
Diese Haftung für Mitarbeiterverschulden ergibt sich aus der Anwendung des sogenannten funktionalen Unternehmensbegriffs des europäischen Primärrechts. Der funktionale Unter-nehmensbegriff aus dem Vertrag über die Arbeitsweise der Europäischen Union (AEUV) besagt, dass ein Unternehmen jede wirtschaftliche Einheit unabhängig von ihrer Rechtsformund der Art ihrer Finanzierung ist. Erwägungsgrund 150 der DS-GVO weist für die Verhängung von Geldbußen wegen Datenschutzverstößen gegen Unternehmen klarstellend daraufhin. Nach der Rechtsprechung zum funktionalen Unternehmensbegriff haften Unternehmen für das Fehlverhalten sämtlicher ihrer Beschäftigten. Eine Kenntnis der Geschäftsführungeines Unternehmens von dem konkreten Verstoß oder eine Verletzung der Aufsichtspflicht ist für die Zuordnung der Verantwortlichkeit nicht erforderlich. Handlungen von Beschäftigten,die bei verständiger Würdigung nicht dem Kreis der jeweiligen unternehmerischen Tätigkeit zugerechnet werden können („Exzesse“), sind ausgenommen.“

Die Entschließung finden Sie hier

Datenschutzkonferenz positioniert sich zu Telemediendiensten und Tracking

In einer neuen im März 2019 herausgegeben Orientierungshilfe der DSK zu Telemediendiensten beziehen die deutschen Aufsichtsbehörden Position zu zwei aktuell sehr in Diskussion befindlichen Themen:weiterlesen

Zum einen stellen die Behörden klar, dass sie die Datenschutzregeln im TMG nicht mehr für anwendbar halten. Die DSGVO hat als Regelung Vorrang. Nach Ansicht der Aufsichtsbehörden ist die ePrivacy-Richtlinie nicht in nationale gesetzliche Regelungen umgesetzt.
Zum anderen vertiefen die Behörden ihren Standpunkt zur Rechtmäßigkeit der Datenverarbeitung beim Tracking. Die Legitimation über das überwiegend berechtigte Interesse Art. 6 Abs.1 (f) DSGVO ist demnach nicht ausgeschlossen, muss aber im Einzelfall durch eine belegte Abwägung nachweisbar sein. Die Behörden beschreiben dazu eine dreistufige Prüfung, die durchzuführen ist. Am Beispiel der Pixel-Zählung kommen sie zum Schluss, dass kein berechtigtes Interesse besteht.
Hervorzuheben ist auch der klare Standpunkt, dass aus aufsichtsbehördlicher Sicht die typischen IDs im Webtracking wie Cookie-ID, MAC-ID oder Werbe-ID nicht als Pseudonym gesehen werden. Begründet wird dies damit, dass diese Merkmale nicht anlegt werden, um den Betroffenen vor Identifizierung zu schützen, sondern um ihn zu erkennen. In der Onlinewelt kommt es nach der Behördenansicht nicht auf den bürgerlichen Namen an, sondern die Erkennbarkeit z.B. durch Verknüpfung mit Accountanmeldungen.

Zur Orientierungshilfe hier

Steht eine andere Handhabung mit Cookies an?

VERDATA_ teilt bisher den Standpunkt, dass Tracking auf Webseiten unter den Anforderungen des § 15 TMG bzw. Art. 6 Abs.1 (f) DSGVO auch ohne ausdrückliche Einwilligung zulässig ist. Dieser Standpunkt begründet sich auf den deutschen Sonderweg in Bezug auf die EU Cookie-Richtlinie (Richtlinie 2002/58 und der Richtlinie 2009/136).
In einem laufenden Verfahren vor dem EUGH (BGH Vorlage nach Beschluss vom 5. Oktober 2017, Az.: I ZR 7/16) lehnt der EUGH Anwalt Szunpar diese Auffassung ab. weiterlesen

Im Kern geht es um die Frage, ob für Cookies eine Einwilligung erforderlich ist und wie diese Einwilligung aussehen muss.
Im Streitfall war formularmäßig voreingestellt, dass der Nutzer der Webseite den Cookies der Webseite zustimmt.

Frage 1: Form der Einwilligung. In seinem Antrag (siehe hier) erläutert Szunpar  zunächst, dass eine Einwilligung immer ein aktives Handeln erfordert. Vorausgefüllte Ankreuzfelder, bei denen man aktiv werden muss, um seine Ablehnung auszudrücken, sind keine Einwilligung. Diese Auffassung ist unstrittig. Eine Einwilligung ist ein aktiver, kein passiver Vorgang nach ausreichender Information.
Szunpar führt hinsichtlich der Informationen, die man über zu setzende Cookies machen muss, weitere Details aus. Die EU Richtlinie verlangt auch die Angabe der Lebensdauer und die Erläuterung, ob Dritte auf diese Cookies zugreifen.

Frage 2: Einwilligung für Cookies setzen. Szunpar führt zunächst aus, dass es unerheblich ist, ob man Cookies als personenbezogene Daten einordnet oder nicht. Die Cookie-Richtlinie verlange die Einwilligung für die Verarbeitung der Informationen. Wörtlich:
„Es macht keinen Unterschied, ob es sich bei den gespeicherten oder abgerufenen Informationen um personenbezogene Daten handelt. Art. 5 Abs. 3 der Richtlinie 2002/58 bezieht sich auf „die Speicherung von Informationen oder [den] Zugriff auf Informationen, die bereits … gespeichert sind“. Es ist klar, dass alle solchen Informationen einen den Datenschutz betreffenden Aspekt haben, unabhängig davon, ob sie „personenbezogene Daten“ im Sinne von Art. 4 Nr. 1 der Verordnung 2016/679 sind. Wie die Kommission zutreffend hervorhebt, zielt Art. 5 Abs. 3 der Richtlinie 2002/58 auf den Schutz des Nutzers vor Eingriffen in seine Privatsphäre ab, ungeachtet des Umstands, ob dabei personenbezogene Daten oder andere Daten betroffen sind.“

Nach Auffassung des Anwaltes ist daher nicht entscheidend, was das deutsche TMG festlegt, denn dies regelt nur die Verarbeitung personenbezogener Daten. Entscheidend sei, dass die EU Cookie-Richtlinie diese Einwilligung verlangt:
„Infolgedessen wurden die Anforderungen von Art. 5 Abs. 3 der Richtlinie 2002/58 durch § 15 Abs. 3 TMG offenbar nicht in vollem Umfang in deutsches Recht umgesetzt“.

Offen ist damit allerdings, was die fehlende Umsetzung der Richtlinienvorgabe für den User bedeutet. Da eine Richtlinie nicht unmittelbar gilt, kann einem Webseitenbetreiber die fehlende Einwilligung nicht vorgeworfen werden, da es keine unmittelbare rechtliche Pflicht dafür gibt. Da sich aber nach dem Standpunkt des EUGH Anwaltes die Einwilligung auf das Datenformat „Cookie“, nicht aber allein am Merkmal „personenbezogene Verarbeitung“ fest macht, besteht ein vom Datenschutz losgelöster Grund für das Einwiligungserfordernis.

Urteil: Ein Betreuer kann für einen Patienten eine datenschutzrechtliche Einwilligung abgeben

AG Gießen, Urt. v. 16.07.2018 – Az: 230 XVII 381/17 G

Das Amtsgericht erkennt für den Betreuer ein eigenes Recht, die datenschutzrechtliche Einwilligung abzugeben. Der Betreuer hat demnach eine eigene Ermächtigung.   weiterlesen

Aus dem Urteil:
„Die Ermächtigung hiermit ergibt sich aus § 1902 BGB in Verbindung mit dem Teilaufgabenkreis die Vertretung gegenüber sonstigen Institutionen. Das grundsätzlich für Betreuer geltende Verbot von In-sich-Geschäften gemäß § BGB § 1908i Abs. BGB § 1908I Absatz 1 S. 1 in Verbindung mit §§ BGB § 1795 Abs. BGB § 1795 Absatz 2, BGB § 181 BGB steht hier nicht entgegen.“

Das Gericht sieht in der Alternative, nämlich einen Ersatzbetreuer zu bestellen, der dann in die Einwilligung für Datenübermittlungen an den Betreuer einwilligt, einen „Kurzschluss“, weshalb dieser Weg nicht zum Ziel führt. Bereits die Bestellung eines Ersatzbetreuers erfordert eine Einwilligung, so dass das Problem nicht behoben werden kann. Entscheidend ist, so das Gericht, dass die Datenerfassung durch den Betreuer „ sich in den Grenzen seines gesetzlichen Auftrags bewegt“.

Anders ist die Lage nur dann, wenn der Patient noch einwilligungsfähig ist.

zum Urteil

TeleTrusT legt aktualisierte Handreichung zum Stand der Technik vor

Der Bundesverband IT-Sicherheit e.V., kurz TeleTrusT, hat eine neue 73-seitige Handreichung zum Thema „Stand der Technik“ veröffentlicht. Darin finden sich Auseinandersetzungen mit verschiedenen typischen Maßnahmen wie Passwörter oder Verschlüsselung. Die Maßnahmen werden aus genannten Bedrohungslagen hergeleitet und sie werden anhand der Schutzziele (Verfügbarkeit, Vertraulichkeit, Integrität, Authentizität) dargestellt. weiterlesen

In der Handreichung werden die Einzelheiten der Maßnahmen gleichermaßen für die Anforderungen des IT-Sicherheitsgesetzes als auch der DSGVO hergeleitet. Am Beispiel der Verschlüsselung wird dargestellt, welche Form der Verschlüsselung nach Auffassung der TeleTrustT als Stand der Technik einzustufen sind. Gleiches findet sich bei anderen Maßnahmen.

Das Dokument zum download hier

Anforderungen an die E-Mailtransportverschlüsselung

Die Nordrhein-Westfälische Landesdatenschutzbeauftragte für den Datenschutz hat in einer aktuellen Empfehlung zur E-Mailsicherheit wesentliche Kriterien für eine Transportverschlüsselung benannt.
Nach Auffassung der Behörde handelt es sich dann um angemessene Schutzmaßnahmen im Sinne des Art.32 DSGVO, wenn die folgenden Punkte erfüllt werden:  Text: NRW Aufsichtsbehörde

•  Die Kommunikation per E-Mail bedarf mindestens der Transport-Verschlüsselung, wie sie von den namhaften europäischen Providern standardmäßig angeboten wird.
•  Die Transportverschlüsselung sollte entsprechend der Technischen Richtlinie „BSI TR-03108 Sicherer E-Mail-Transport“ implementiert sein. In Abhängigkeit vom Schutzbedarf der versendeten Daten und dem Risiko können Abweichungen von der Richtlinie statthaft sein.
•  Es ist zu berücksichtigen, dass bei einer Transportverschlüsselung die E-Mails auf den E-Mail-Servern im Klartext vorliegen und grundsätzlich einsehbar sind.  Bei besonders schützenswerten Daten (z.B. Kontobewegungsdaten, Finanzierungsdaten, Daten zum Gesundheitszustand, Mandantendaten von Rechtsanwälten und Steuerberatern, Beschäftigtendaten) ist eine alleinige Transportverschlüsselung möglicherweise nicht ausreichend. Zusätzliche technische und organisatorische Maßnahmen, wie z. B. eine Ende-zu-Ende-Verschlüsselung können geboten sein. Sollte dies nicht gewährleistet werden können, sind ggf. alternative Übertragungswege denkbar: Hierzu zählen der elektronische Austausch über eine gesicherte Verbindung (Web-Portal des Verantwortlichen mit Zugangsbeschränkungen) oder die klassische postalische Zusendung.

Die Empfehlung ist hier abrufbar

Urteil: Anbieter eines E-Mail-Dienstes kann im Rahmen einer ordnungsgemäß angeordneten Überwachung zur Übermittlung von IP-Adressen verpflichtet werden

Bundesverfassungsgericht, Beschluss vom 20.12.2018 – 2 BvR 2377/16 –

Auch daten­schutz­optimiertes Geschäftsmodell entbindet nicht von Einhaltung gesetzlicher Vorgaben.  weiterlesen

Das Bundes­verfassungs­gericht hat entschieden, dass es nicht gegen das Grundgesetz verstößt, dass der Anbieter eines E-Mail-Dienstes im Rahmen einer ordnungsgemäß angeordneten Telekommunikations­überwachung verpflichtet ist, den Ermittlungsbehörden die Internet­protokoll­adressen (im Folgenden: IP-Adressen) der auf ihren Account zugreifenden Kunden auch dann zu übermitteln, wenn er seinen Dienst aus Datenschutzgründen so organisiert hat, dass er diese nicht protokolliert.

zum Urteil

Urteil: Angabe einer E-Mailadresse ist keine Einwilligung und ein Sporthändlersortiment keine vergleichbare Leistung zu Kinderhosenkauf

LG Berlin, Urt. v. 16.11.2017 – Az.: 16 O 225/17

Sachverhalt: Ein Kunde hatte bei einem Sportartikel-Versand eine Kinderhose bestellt und bekam später mehrere E-Mails mit Werbung an die im Bestellprozess angegebene (private) Emailadresse. Diese Werbung bezog sich auf das gesamte Produktportfolio des Sportartikel-Versands. In der Datenschutzerklärung des Shops hieß es u.a.: „Als Kunde werden deine Daten zum Zweck der Vertragserfüllung und für eigene Werbezwecke genutzt.“  weiterlesen

Entscheidung:
Das Gericht stellte einen Unterlassunganspruch des Kunden gegen den Händler fest (§§ 3, 7, 8 UWG)  zu. Es fehlte an den Voraussetzungen, unter den E-Mailwerbung zulässig ist. E-Mailwerbung ohne die Voraussetzungen des § 7 UWG ist als unzumutbare Belästigung einzustufen.

1. Die bloße Angabe einer E-Mail-Adresse im Rahmen des Bestellprozesses bei einem Online-Shop ist keine Einwilligung für E-Mail-Werbung. Eine Einwilligung ist eine Willensbekundung, die ohne Zwang und für den konkreten Fall und in Kenntnis der Sachlage erfolgt. Mit der Willensbekundung kommuniziert die betroffene Person, dass sie akzeptiert, dass sie betreffende personenbezogene Daten werden. Notwendig ist, dass die betroffene Person eine Erklärung ausdrücklich und in gesonderter Weise (z.B. durch eine getrennte Checkbox) abgibt.
Das ist nicht gegeben, wenn die Verarbeitung nur im Rahmen der AGBs erläutert wird.
2. Nach Auffassung des Gerichtes liegt auch kein Ausnahmetatbestand des § 7 Abs. 3 UWG zur Bestandskundenwerbung vor. Das Gericht vertrat die Auffassung, dass Werbung für das gesamte Sortiment nicht Werbung für gleichartige Produkte bedeutet. Das gesamte Sortiment eines Sportartikel-Händlers ist nicht ähnlich mit einer dort gekauften Kinderhose, so dass die Voraussetzungen des § 7 Abs.3 UWG nicht vorliegen.

Anmerkung: Da hier der Anwalt eines Verbandes geklagt hatte, konnten Ansprüche aus dem UWG geltend gemacht werden. Als Privatperson hätte (auch) Verletzung aus §§ 1004, 823 BGB geltend gemacht werden können.
Offen ist, ob die Werbung nicht auch als unzulässig eingestuft werden muss, weil der betroffene nicht über das Widerspruchsrecht unterrichtet wurden.

BayLDA: Medienbruch in der Information über Videoüberwachung zulässig

Das Bayerische Landesamt für Datenschutz setzt sich in einer kleinen Stellungnahme mit der Informationspflicht nach Art.13 DSGVO bei Videoüberwachung auseinander. Die  Behörde verweist zum einen auf die bereits bekannte Darstellung der Informationen nach dem Muster der Datenschutzkonferenz. Zum anderen äußert sich die Behörde aber zur Information über die Rechte von Betroffenen, über die nach Art. 13 DSGVO ebenfalls zu unterrichten ist.  weiterlesen

Hier hält das BayLDA es für zulässig, auf online bereitgestellte Informationen zu verweisen und lediglich den Link zu dieser Info abzugeben. Auch sollte die Information für Personen, die über keinen Internetzugang verfügen, an anderer Stelle erhaltbar sein.
Die Behörde verweist hinsichtlich des Informationsblattes auf ein Muster, das ebenfalls von der DSK herausgegeben wurde
Das interessante Fazit dieser Stellungnahme ist, dass die Behörde einen Medienbruch in der Information nach Art.13 DSGVO für zulässig bewertet hat.
Zur Stellungnahme:
https://www.lda.bayern.de/de/videoueberwachung.html

Urteil: DSGVO-Verstöße sind nicht abmahnfähig

LG Wiesbaden Urteil vom 05.11.2018, Az. 5 O 214/18

Nach dem LG Bochum (Urteil 7.8.2018 Az. I-12 O 85 / 18) hat auch das LG Wiesbaden geurteilt, dass evtl. Verstöße gegen die DSGVO nicht vom Wettbewerber abgemahnt werden können.  weiterlesen

Das klagende Unternehmen bemängelte, dass der Wettbewerber nicht ausreichend über das Auskunftsrecht informiert und sah darin ein wettbewerbswidriges Verhalten.
Nach dem Urteil sind Mitbewerber nach dem UWG (§§ 3 Abs. 1,3 a i.V.m. § 8 Abs. 3 Nr. 1 UWG) weder anspruchsberechtigt noch klagebefugt. Die DSGVO enthalte hinsichtlich Sanktionen und Rechtsbehelfen abschließende Festlegungen, wie eine betroffene Person gegen Verstöße vorgehen kann. Die DSGVO ist nach Auffassung des Gerichtes in den Artikeln 77-84  eine abschließende Regelung schließt Ansprüche von Mitbewerbern aus.

Urteil veröffentlicht bei Jur-PC

Urteil: Unterlassungsanspruch bei rechtswidriger Videoüberwachung

LG Duisburg Urteil 17.10.2016 Az. 3 O 381/15

Greifen erstellte Videoaufnahmen rechtswidrig in das Persönlichkeitsrecht ein, besteht ein vorbeugender Unterlassungsanspruch gegen die weitere Verwendung der Videoaufnahmen gem. §§ 823 Abs. 1, 1004 Abs. 1 Satz 2 (analog). weiterlesen

Aus dem Urteil:

1. Ob eine Videoaufnahme rechtswidrig in das Persönlichkeitsrecht eingreift, hängt davon ab, die Abwägung der widerstreitenden Interessen ein Überwiegen des Schutzes des Persönlichkeitsrechts ergibt:
„ Die Anfertigung von Videoaufnahmen als solches, berührt grundsätzlich das Persönlichkeitsrecht des Betroffenen (Vgl. nur Schricker, Urheberrecht, 2. Aufl., § 22 KUG/§ 60 Rn. 11, Dreier/Schulze, UrhG, 3. Aufl., § 22 KUG Rn. 13). Da es sich bei dem allgemeinen Persönlichkeitsrecht jedoch um ein sogenanntes Rahmenrecht handelt, erkennt die h.M., und so auch das erkennende Gericht, keinen allgemeinen, grenzenlosen Schutz vor jeglicher Form von Bildaufnahmen an. Die Frage, ob das allgemeine Persönlichkeitsrecht in rechtswidriger Weise verletzt ist, ist vielmehr im Rahmen einer Abwägung der widerstreitenden grundrechtlich geschützten Belange zu bestimmen, bei der die besonderen Umstände des Einzelfalls sowie die betroffenen Grundrechte und Gewährleistungen der Europäischen Menschenrechtskonvention interpretationsleitend zu berücksichtigen sind. Der Eingriff in das Persönlichkeitsrecht ist nur dann rechtswidrig, wenn das Schutzinteresse des Betroffenen die schutzwürdigen Belange der anderen Seite überwiegt.“
Nach der Rechtsprechung des BGH kann auch die Herstellung von Bildnissen einer Person, insbesondere die Filmaufzeichnung mittels Videogerät, in der Öffentlichkeit zugänglichen Bereichen und ohne Verbreitungsabsicht einen unzulässigen Eingriff in das Persönlichkeitsrecht des Betroffenen darstellen. Ob und in welchem Umfang bereits die Fertigung derartiger Bilder rechtswidrig und unzulässig ist oder aber vom Betroffenen hinzunehmen ist, kann nur unter Würdigung aller Umstände des Einzelfalls und durch Vornahme einer unter Berücksichtigung aller rechtlich, insbesondere auch verfassungsrechtlich geschützten Positionen der Beteiligten durchgeführten Güter- und Interessenabwägung ermittelt werden (BGH, Urteil vom 25. April 1995 – VI ZR 272/94 –, juris, Rn. 15).“

2. Der Eingriff in das Persönlichkeitsrecht liegt bereit darin, dass es sich a) um lächerlich machende Bilder handelt und b) die abgebildete Person nicht mehr über die Verbreitung dieser Bilder entscheiden kann:
„Nach dem Eindruck, welchen das Gericht im Rahmen der informatorischen Anhörung von dem Kläger zu 1. gewinnen konnte, ist diesem die Existenz dieser Videos in hohem Maße peinlich und unangenehm. Das Gericht hält nach Inaugenscheinnahme des Videos für absolut verständlich, dass der Kläger sich durch diese Videos lächerlich gemacht fühlt. Der Kläger wird dort in exponierter Stellung, mit freiem Oberkörper, abgebildet. Er ist nicht etwa zufällig Teil der streitgegenständlichen Aufnahmen geworden, sondern gewissermaßen deren Protagonist.
Durch die Anfertigung der Videoaufnahme seitens des Beklagten zu 1., hat der Kläger zu 1. jegliche Verfügungsmacht über die Darstellung seiner eigenen Person verloren. Der Beklagte zu 1. hat sich auf diese Weise in eine Position gebracht, in welcher er frei über die angefertigte, den Kläger lächerlich machende, bildliche Darstellung verfügen, und diese nunmehr selbst oder mit anderen, jederzeit betrachten und potentiell verbreiten kann.“

3. Handelt es sich um Bilder nur aus der Sozialsphäre des Betroffenen, kann der Eingriff durch geringfügige Gegeninteressen bereits gerechtfertigt sein. Minimum ist aber, dass es überhaupt schützenswerte Interesse desjenigen gibt, der die Videoaufnahmen macht:
„Wägt man hiergegen das Interesse des Beklagten zu 1. an der Anfertigung dieser Videoaufnahmen ab, führt dies nach Ansicht des erkennenden Gerichts zur Annahme einer Verletzung des Persönlichkeitsrechts des Klägers zu 1. Hierbei hat das Gericht berücksichtigt, dass an die Rechtfertigung eines möglichen Eingriffs keine hohen Anforderungen zu stellen sind, wenn lediglich die Sozialsphäre des Abgebildeten betroffen ist.“ …
„Fraglos ist auch zu berücksichtigen, dass der Kläger zu 1. sich bewusst entschieden hat, gegenüber den Beklagten das beschriebene Verhalten an den Tag zu legen. Er hatte also gewissermaßen in der Hand, ob überhaupt die Möglichkeit bestand, ihn in der gegenständlichen exponierten Haltung abzulichten, oder nicht. Diese Umstände konnten sich zu Gunsten des Beklagten zu 1. jedoch nur dann niederschlagen, wenn dieser überhaupt ein schützenswertes Interesse an der Anfertigung der Aufnahmen gehabt hätte.“

4. Als Rechtfertigung kommen Einwilligung, ein berechtigtes Interesse an einer Abwehr von schädlichem Verhalten, aber auch Beweissicherung in Frage. Diese Gründe müssen aber tatsächlich vorliegen:
„Das Verhalten des Klägers hatte, auf Grund seiner kurzen zeitlichen Dauer, auch noch keine Beeinträchtigung der Rechtsgüter der Beklagten in einem Ausmaß erreicht, dass diese gewissermaßen in Form der Notwehr oder Selbsthilfe zum „Gegenangriff“ in der beschriebenen Form übergehen durften. Ungeachtet der Frage der Geeignetheit der Anfertigung solcher Aufnahmen, zur Abwehr der in Rede stehenden Beeinträchtigung, hätten hier mildere Mittel zur Verfügung gestanden. Die von dem Beklagten zu 1. beschriebene Bedrohungslage, konnte das Gericht auf dem Video nicht erkennen.“ …. „Auch der Einwand, die Aufnahmen seien zum Zwecke der Beweissicherung erforderlich gewesen, überzeugt nicht. Ein strafrechtlich relevantes Verhalten des Klägers ist bereits nicht dargetan. Das Gericht konnte nicht erkennen, dass der Kläger zu 1. ein Verhalten an den Tag gelegt hätte, welches geeignet gewesen sein könnte, die Integrität des Garagendaches zu beeinträchtigen.“
5. Videoaufnahmen ohne schützenswerte Interessen an der Aufnahme verletzen das Persönlichkeitsrecht:
„Hat der Kläger aus den vorstehenden Gründen jedoch kein schützenswertes Interesse an der Anfertigung der Aufnahmen, wird der Kläger durch die Fertigung der Aufnahmen, welche seine Sozialsphäre berühren, zweifelsohne in seinem Persönlichkeitsrecht verletzt. Das Filmen der eigenen Person, ohne schützenswertes Eigeninteresse des Filmenden, braucht dieser nicht zu dulden. Aus denselben Gründen stellt sich dieser Eingriff auch als rechtswidrig dar.

Zum vollständigen Urteil

Urteil: Bloße Möglichkeit von Aufnahmen des eigenen Grundstücks durch Überwachungskameras des Nachbarn begründet noch keinen Unterlassungs­anspruch

Amtsgericht München, Urteil vom 22.11.2018
– 213 C 15498/18 –

Bei Prüfung möglicher unzulässiger Eingriffe in allgemeines Persönlichkeits­recht durch „Überwachungsdruck“ ist auf Umstände des Einzelfalls abzustellen. weiterlesen

Die bloße Möglichkeit, von Überwachungskameras des Nachbarn erfasst zu werden, kann im konkreten Einzelfall noch zumutbar sein. Dies entschied das Amtsgericht München und wies damit die Klage eines Nachbarn auf Beseitigung einer auf sein Grundstück ausgerichteten Überwachungskamera und Unterlassung der Anbringung anderer auf sein Grundstück ausgerichteter Kameras ab.

Zum vollständigen Urteil

Urteile-Übersicht: Arbeitgeber sind keine Telekommunikationsanbieter im Sinn des TKG

Noch steht eine höchstrichterliche Bundes-Entscheidung aus, jedoch hat sich eine Rechtsprechung verfestigt, die vom Standpunkt ausgeht, dass der Arbeitgeber kein Telekommunikationsanbieter im Sinne des TKG ist und die Regeln des TKG daher im Arbeitsverhältnis keine Anwendung finden. weiterlesen

Urteile- Übersicht: Arbeitgeber sind keine Telekommunikationsanbieter im Sinn des TKG.

Noch steht eine höchstrichterliche Bundes-Entscheidung aus, jedoch hat sich eine Rechtsprechung verfestigt, die vom Standpunkt ausgeht, dass der Arbeitgeber kein Telekommunikationsanbieter im Sinne des TKG ist und die Regeln des TKG daher im Arbeitsverhältnis keine Anwendung finden.
Diese Auffassung steht im Gegensatz zur Auffassung der deutschen Aufsichtsbehörden.

Folgende Gerichte und Urteile vertreten die genannte Auffassung:

1. LAG Berlin-Brandenburg, Urteil vom 14.01.2016, Az. 5 Sa 657/15

– Im Kündigungsschutzprozess können zu Lasten des Arbeitnehmers die vom Arbeitgeber ohne Hinzuziehung des Arbeitnehmers ausgewerteten Einträge der aufgerufenen Internetseiten in der Chronik des auf dem Dienstrechner des Arbeitnehmers installierten Internet-Browsers zum Beweis einer exzessiven Internetnutzung verwertet werden. Obwohl es sich dabei um personenbezogene Daten handelt und auch wenn eine wirksame Einwilligung in die Kontrolle dieser Daten nicht vorliegt, besteht kein Beweisverwertungsverbot,
– Auch aus § 88 Abs. 3 TKG folgt in diesem Falle kein Beweisverwertungsverbot, weil das TKG nicht anwendbar ist, wenn der Arbeitgeber den Arbeitnehmern eine private Nutzung des dienstlichen Internetanschlusses erlaubt.

Zum Volltext des Urteils hier:

2. LAG Berlin-Brandenburg, Urteil vom 16.02.2011, Az. 4 Sa 2132/10:

– Ein Arbeitgeber wird nicht allein dadurch zum Dienstanbieter i. S. d. Telekommunikationsgesetzes, dass er seinen Beschäftigten gestattet, einen dienstlichen E-Mail-Account auch privat zu nutzen.
– Belassen die Beschäftigten bei Nutzung des Arbeitsplatzrechners die eingehenden E-Mails im Posteingang bzw. die versendeten im Postausgang, so unterliegt der Zugriff des Arbeitgebers auf diese Daten nicht den rechtlichen Beschränkungen des Fernmeldegeheimnisses.

Zum Volltext des Urteils hier:

3. LAG Hamm, Urteil vom 10.07.2012 – 14 Sa 1711/10

– Das Fernmeldegeheimnis wird nicht berührt, wenn nicht der eigentliche E-Mail-Verkehr an sich, sondern lediglich der auf dem Rechner des Arbeitgebers abgespeicherte Inhalt kontrolliert wird (vgl. VGH Hessen, 19. Mai 2009, 6 A 2672/08.Z, NJW 2009, 2470). Der Grundrechtsschutz nach Art. 10 GG erstreckt sich nicht auf die außerhalb eines laufenden Kommunikationsvorgangs im Herrschaftsbereich des Kommunikationsteilnehmers gespeicherten Inhalte und Umstände der Kommunikation. Der Schutz des Fernmeldegeheimnisses endet in dem Moment, in dem die E-Mail beim Empfänger angekommen und der Übertragungsvorgang beendet ist (vgl. BVerfG, 16. Juni 2009, 2 BvR 902/06, NJW 2009, 2431). Entsprechendes gilt für die abgespeicherten Chatprotokolle, die nach Abschluss des Chatgesprächs auf dem Arbeitsplatzrechner des Klägers verblieben sind. Auch diese sind lediglich die gespeicherten Inhalte und Umstände einer abgeschlossenen Kommunikation.

Zum Volltext des Urteils hier:

4. VGH Baden-Württemberg Urteil vom 30.7.2014, 1 S 1352/13

– Zutreffend hat das Verwaltungsgericht zum Löschungsanspruch des Klägers dargelegt, dass dieser sich nicht zusätzlich auf § 88 TKG berufen kann.

Zum Volltext des Urteils hier:

Vorinstanz:
VG Karlsruhe, Urteil vom 27.05.2013, Az. 2 K 3249/12

„Der Schutzbereich des § 88 TKG ist im vorliegenden Fall nicht eröffnet. § 88 TKG ist im Verhältnis zu den Datenschutzgesetzen eine spezielle Schutzvorschrift für personenbezogene Daten, die im Rahmen eines Telekommunikationsvorgangs anfallen (vgl. Bock in Beck’scher TKG-Kommentar, 3. Aufl., § 88 Rn. 10). § 88 TKG hat allerdings wie Art. 10 GG allein den Schutz des Fernmeldegeheimnisses zum Ziel. § 88 TKG kann als einfachgesetzliche Ausprägung des Fernmeldegeheimnisses nach Art. 10 GG bezeichnet werden (vgl. Bock in Beck’scher TKG-Kommentar, 3. Aufl., § 88 Rn. 1). Ist der Schutzbereich des Fernmeldegeheimnisses nach Art. 10 Abs. 1 GG nicht eröffnet, so kann sich ein Betroffener auch nicht auf das für Diensteanbieter im Sinne von § 3 Nr. 6 TKG geltende gesetzliche Verbot nach § 88 Abs. 2 und Abs. 3 TKG berufen (vgl. Hess. VGH, Beschluss vom 19.05.2009 – 6 A 2672/08.Z – NJW 2009, 2470). So liegt der Fall hier.

Das Bundesverfassungsgericht grenzt den Schutzbereich des Fernmeldegeheimnisses nach Art. 10 Abs. 1 GG in ständiger Rechtsprechung auf die Bewahrung des privaten, vor der Öffentlichkeit und den Eingriffen unbefugter Dritter unbehelligt ablaufenden Austauschs von Informationen während des Kommunikations- oder Übertragungsvorgangs ein. Der Grundrechtsschutz des Art. 10 Abs. 1 GG erfasst demgegenüber nicht die nach Abschluss des Kommunikationsvorgangs im Herrschaftsbereich des Kommunikationsteilnehmers gespeicherten Inhalte und Verbindungsdaten, soweit dieser eigene Schutzvorkehrungen gegen den heimlichen Datenzugriff treffen kann. Die spezifischen Gefahren einer räumlich distanzierten Kommunikation, vor denen das Telekommunikationsgeheimnis schützen will, bestehen hier nicht fort (vgl. Hess. VGH, Beschluss vom 19.05.2009 – 6 A 2672/08.Z – a.a.O. unter Bezug auf BVerfG, Urteile vom 02.03.2006 – 2 BvR 2099/04 – BVerfGE 115, 166 = NJW 2006, 976 und vom 27.02.2008 – 1 BvR 370/07, 1 BvR 595/07 – BVerfGE 120, 274 = NJW 2008, 822; siehe ferner BVerfG, 16.06.2009 – 2 BvR 902/06 – BVerfGE 124, 43 = NJW 2009, 2431; LAG Niedersachsen, Urteil vom 31.05.2010 – 12 Sa 875/09 – NZA-RR 2010, 406; LAG Berlin-Brandenburg, Urteil vom 16.02.2011 – 4 Sa 2132/10 – DB 2011, 1281; LAG Hamm, Urteil vom 10.07.2012 – 14 Sa 1711/10 – DuD 2013, 50 = juris Rn. 175).

Gemessen daran ist der Schutzbereich des Fernmeldegeheimnisses des Art. 10 Abs. 1 GG hier hinsichtlich der streitgegenständlichen E-Mail-Postfachdaten des Klägers nicht betroffen. Dies folgt daraus, dass es sich bei den E-Mails nicht um Kommunikationsinhalte handelt, die der Beklagte während des Kommunikations- oder Übertragungsvorgangs ohne Wissen und Wollen der Kommunikationsteilnehmer datenmäßig erfasst und gespeichert beziehungsweise in anderer Weise verarbeitet hat. Vielmehr sind diese E-Mails erst nach dem Abschluss der Übertragung über den Empfänger der E-Mail in die Speichermedien des Beklagten gelangt (vgl. Hess. VGH, Beschluss vom 19.05.2009 – 6 A 2672/08.Z – a.a.O.).“

5. LAG Niedersachsen, Urteil vom 31.05.2010, Az. 12 SA 875/09:

– Gestattet ein Arbeitgeber seinen Mitarbeitern, den Arbeitsplatzrechner auch zum privaten E-Mail-Verkehr zu nutzen und E-Mails, die von den Mitarbeitern nicht unmittelbar nach Eingang oder Versendung gelöscht werden, im Posteingang oder -ausgang zu belassen oder in anderen auf lokalen Rechnern oder zentral gesicherten Verzeichnissen des Systems abzuspeichern, unterliegt der Zugriff des Arbeitgebers oder Dritter auf diese Datenbestände nicht den rechtlichen Beschränkungen des Fernmeldegeheimnisses. Schutz gegen die rechtswidrige Auswertung dieser erst nach Beendigung des Übertragungsvorganges angelegten Daten wird nur durch die Grundrechte auf informationelle Selbstbestimmung bzw. auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme gewährt (Hessischer Verwaltungsgerichtshof 19.05.2009, 6 A 2672/08.Z, NJW 2009, 2470 – 2473). Die Beklagte hat vorliegend nicht die § 15 Telemediengesetz bzw. § 88 Telekommunikationsgesetz verletzt, da sie im Sinne dieser Spezialgesetze nicht als „Dienstanbieter“ von Telekommunikationsdienstleistungen anzusehen ist. Bei einer Kollision des allgemeinen Persönlichkeitsrechts des Arbeitnehmers mit den Interessen des Arbeitgebers ist durch eine Güteabwägung im Einzelfall zu ermitteln, ob das allgemeine Persönlichkeitsrecht den Vorrang verdient (BAG 13.12.2007 a. a. O. Rn. 36).

Zum Volltext des Urteils hier:

6. Hessischer VGH, Beschluss vom 19.05.2009 – 6 A 2672/08.Z

– Gestattet ein Arbeitgeber seinen Mitarbeitern, den Arbeitsplatzrechner auch zum privaten E-Mail-Verkehr zu nutzen und E-Mails, die von den Mitarbeitern nicht unmittelbar nach Eingang oder Versendung gelöscht werden, im Posteingang oder -ausgang zu belassen oder in anderen auf lokalen Rechnern oder zentral gesicherten Verzeichnissen des Systems abzuspeichern, unterliegt der Zugriff des Arbeitgebers oder Dritter auf diese Datenbestände nicht den rechtlichen Beschränkungen des Fernmeldegeheimnisses. Schutz gegen die rechtswidrige Auswertung dieser erst nach Beendigung des Übertragungsvorgangs angelegten Daten wird durch die Grundrechte auf informationelle Selbstbestimmung bzw. auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme gewährt.

Zum Volltext des Urteils hier:

7. ArbG Düsseldorf, Urteil vom 29.10.2007 – 3 Ca 1455/07

– Bei der Erhebung und Speicherung von Daten hinsichtlich der Nutzung des Internets durch den Arbeitnehmer ist dessen Persönlichkeitsrecht in der Form des Rechts auf informationelle Selbstbestimmung betroffen. Eine Rechtsgrundlage für eine Kontrolle der dienstlichen Internetnutzung enthält das Bundesdatenschutzgesetz (das TKG ist dagegen nicht anwendbar – vgl. Mengel, BB 2004, 2014 [2020]).

Zum Volltext des Urteils hier:

Urteil: Berechtigte Interesse im Sinne des Art.6 Abs.1 (f) DSGVO sind auch wirtschaftliche oder ideelle Interessen

OLG München, Teil-Urteil 24.10.2018, Az. 3 U 1551/17

Um einen möglichen Schadensersatzanspruch ermitteln zu können, dürfen Angaben über Abnehmer (Käufer) bestimmter Produkte nach Art. 6 Abs.1 Buchstabe f DSGVO herausgegeben werden.
weiterlesen

1. Bei der Interessenabwägung nach Art.6 Abs 1(f) DSGVO kommt es nicht nur auf rechtliche Interessen der Gegenseite, sondern auch auf wirtschaftliche oder idelle Interessen an. Der Anwendungsbereich ist weit auszulegen:

„Vor dem teleologischen Hintergrund von Art. 6 Abs. 1 Satz 1 Buchst. DS-GVO, einen Ausgleich zwischen den Interessen des Betroffenen und jenen des Verantwortlichen (oder eines Dritten) zu schaffen, können dabei nicht nur rechtliche Interessen von Bedeutung sein, sondern müssen auch wirtschaftliche oder ideelle Interessen des Verarbeiters berücksichtigt werden. Eine möglichst weite Interpretation des berechtigten Interesses ist zudem (unions-)grundrechtlich geboten, wobei das Recht auf Berufsfreiheit hervorzuheben ist (BeckOK, a.a.O., Rn. 49). Geht man davon aus, dass die von seiten der Klägerin erteilte Information der Beklagten zur Ermittlung eines möglichen Schadensersatzanspruchs aus der Verletzung des Vertragshändlervertrags dient und die Klagepartei gemäß § 242 BGB zur Erteilung einer solchen Information gehalten ist, kann der Gesichtspunkt des Schutzes der wirtschaftlichen Daten der jeweiligen Kunden der Klägerin nicht höhergestellt werden.“

2. Bei der Interessenabwägung sind auch zu berücksichtigen, welche Daten betroffen sind und ob das Gebot der Datenvermeidung (nicht erforderliche Angaben ausgeschlossen) berücksichtigt wird:

„Insoweit ist besonders zu berücksichtigen, dass die Daten keinen höchst persönlichen Bereich oder ein besonderes Knowhow der Branche betreffen, sondern einen nach außen hin – durch Einsatz der Kräne bzw, Aufbauten – nicht verborgen bleibenden Kaufvorgang. Auch stehen Interessen der Kunden an wirtschaftlicher Geheimhaltung nicht inmitten: Daten wie Ratenzahlung, Kreditfinanzierung u.ä. sind nicht Gegenstand der geschuldeten Auskunft.“

Zum vollen Urteilstext hier

KG Berlin 06.11.2006 Az. 10 U 282/05

Für die Bewertung einer Bildveröffentlichung ist auch die Privatheitserwartung bei der
Abwägung Pressefreiheit/Persönlichkeitsrecht entscheidendweiterlesen

et dolore magna aliquyam erat, sed diam voluptua. At vero eos et accusam et justo duo dolores et ea rebum. Stet clita kasd gubergren, no sea takimata sanctus est Lorem ipsum dolor sit amet. Lorem ipsum dolor sit amet, consetetur sadipscing elitr, sed diam nonumy eirmod tempor invidunt ut labore et dolore magna aliquyam erat, sed diam voluptua. At vero eos et accusam et justo duo dolores et ea rebum. Stet clita kasd gubergren, no sea takimata sanctus est Lorem ipsum dolor sit amet.

Zum Urteil

Neues VERDATA_ AUDIT

VERDATA_ entwickelt ein eigenes Basis-Audit, um die Erfüllung der grundlegenden Datenschutzanforderungen nach DSGVO messen und prüfen zu können. In über 80 Anforderungspunkten prüfen die VERDATA_ Experten, wie rechenschaftspflichtige Punkte umgesetzt werden.

VERDATA_ bezieht neue eigene Räumlichkeiten in Düsseldorf

Nach über 10 Jahren bezieht VERDATA_ mit Blick auf die Zeiten nach Inkrafttreten der DSGVO neue Räumlichkeiten im Düsseldorfer Stadtteil Derendorf. Die neuen Räumlichkeiten sind moderner, zentrumsnäher und in Familienhand. Für die weitere Unternehmensentwicklung bedeutet dies hohe Planbarkeit und Stabilität – und mit einer schicken moderneren Ausstattung beste Voraussetzung für neue Zeitenwende im Datenschutz.

VERDATA_ in Vollauslastung

Die zum 25.5. beginnende Wirksamkeit der DSGVO hat auch auf VERDATA_ enorme Auswirkungen. Die Anfragemenge nach Unterstützung erreicht solche Ausmaße, dass Wartezeiten für die Beratungsleistungen ausgegeben werden. Zur Qualitätssicherung wird eine wichtige Entscheidung getroffen: Es werden vorläufig keine Neuaufträge mehr angenommen.

VERDATA_ baut Team aus

Das Backoffice wird verstärkt. Anfragen, Terminanfragen und Unterstützungsleisten können über deutlich mehr Zeit adhoc bearbeitet werden und entlasten das Beraterteam. VERDATA_ bereitet sich mit Blick auf die DSGVO auf veränderte Beratungsleistungen vor.

VERDATA_ steigert Umsatz deutlich

Bereits vor Ablauf des Jahres zeigt sich das Jahr 2012 als das bis dahin erfolgreichste Jahr in der Unternehmensentwicklung. Mit einer hohen Auslastung und einer extrem stabilen Kundenliste wurden nicht nur im Bereich DSB Leistungen, sondern auch spezialisierte Fachberatungen deutlich mehr Umsätze erzielt.

VERDATA_ gliedert sich auf: Beratung & Schulung

Eine wichtige strategische Entscheidung wurde getroffen: Die Beratungsleistungen und die Schulungsleistungen werden zukünftig in getrennten Gesellschaften erbracht. Das Weiterbildungsgeschäft wird in einer neuen Gesellschaft ausgelagert. Beide Gesellschaften tragen ihre Kernkompetenz zukünftig direkt im Namen: Aus VERDATA_ wird VERDATA_ DATENSCHUTZ, und die Schulungsleistungen werden zukünftig gebündelt in der VERDATA_ AKADEMIE.

VERDATA_
DATENSCHUTZ GMBH & CO. KG

© VERDATA_ DATENSCHUTZ GMBH & CO. KG  2018