Reicht eine c/o Adresse im Website-Impressum für einen Dienstleister oder Händler aus?

Nach ständiger Rechtssprechung und wie das Landgericht Frankfurt nun wieder entschieden hat, reicht eine c/o Adresse in einem Impressum der Webseite oder Social Media Profil nicht aus, und zwar auch dann nicht, wenn dafür ein gesonderter Empfangsbevollmächtigter benannt ist (Landgericht Frankfurt Beschluss vom 15.02.2021 Az. 2-30 O 147/20). Grund ist, laut Gericht, dass dies keine ladungsfähige Anschrift ist und auch dann nicht wenn ein Empfangsbevollmächtiger benannt ist. Eine persönliche Ladung, Zwangsvollstreckung von Ordnungsgeldern, Zwangsgeldern usw, Zwangsvollstreckung von Urteilen, Vergleichen der eigentlich verantworltichen Person ist so nicht effektiv gewährleistet. Kunden sollten daher Vertragspartner, die Ihnen nur eine c/o Adresse im Impressum und den Geschäftsunterlagen liefern, nicht akzeptieren und von Vertragsabschlüssen mit diesen Abstand nehmen oder falls sich die Anschrift des Vertragspartners im Laufe eines Rechtsstreits ändert, mit rechtlichen Mitteln dagegen wehren und diesen Tricks angemessen entgegentreten. Gerne unterstütze ich bei der Wahrnehmung der Interessen.

OLG Frankfurt: Wahre Warnhinweise können rechtwidrig sein, es ist konkret abzuwägen…

OLG Frankfurt: Der wahre Warnhinweis gegenüber Werbepartnern über einen verurteilten Betrüger, er sei ein Betrüger kann rechtswidrig sein, wenn die Tat über 7 Jahre zurückliegt und keine aktuellen Verfehlungen ähnlicher Art hinzugetreten sind
Wenn es sich um Äußerungen mit ehrrührigen Meinungen oder Aussagen mit wahrem Tatsachenkern über ehemalige Geschäftspartner, handelnde Personen von Unternehmen oder Freunde handelt, dann können die Streitigkeiten schnell sehr hoch eskalieren. Die Frage, ob die Äußerung rechtswidrig war, erfordert dann aber neben einem Informationsinteresse des Erklärungsempfängers oder bei öffentlichen Posts dann eben der Öffentlichkeit – je nach Kontext der Äußerungen – nach ständiger Rechtsprechung eine Abwägung der widerstreitenden Grundrechte und Interessen. Konkrete Beispielsfälle und wie die Richter das beurteilen helfen hier allen weiter. Es kommt nicht selten zwischen ehemaligen Kunden, Mitarbeitern oder Ehepartnern, Freunden oder auch mit Angehörigen zu sehr heftigen Streitigkeiten, die für alle Seiten sehr belastend sind und auch fachanwaltlicher Betreuung und Beratung und Prozessvertretung bedürfen, um den Schaden zu begrenzen. Die Rechtsprechung ist hier von starkem Interesse, weil hier die Sach- und Rechtslage oft kompliziert zu beurteilen ist und leider viele Entscheidungen nicht veröffentlicht werden.
Nur etwa 1 % deutscher Urteile werden veröffentlicht und viele Rechtsstreitigkeiten enden auch durch außergerichtlichen oder gerichtlichen Prozessvergleich, sodass der größte Teil der Streitigkeiten und der gerichtlichen Einschätzung oder Entscheidungen gar nicht veröffentlicht wird siehe Bericht in LTO vom 02.07.2021 nach einer Studie – Details siehe https://www.lto.de/recht/justiz/j/studie-veroeffentlichung-gerichtsentscheidungen-deutschland-transparenz-justiz/ Das ist leider eigentlich rechtsstaatswidrig wie eine aktuelle Studie laut Beitrag bei der lto.de auch mit Hinweis auf die höchstrichterliche Rechtsprechung zur Wichtigkeit der Transparenz von gerichtlichen Entscheidungen Dr. Dr. Hanjo Hamann aktuell am 2.7.2021 berichtet hat in der Legal Tribune Online, jedoch tägliche Praxis, wobei hier negativ einige Gerichte mit nur äußerst wenigen Veröffentlichungen besonders auffallen wie etwa z.B. das Landgericht Gießen. Das war auch hier in einem Beispielfall, in dem immerhin aufgrund einer Berufung das Oberlandesgericht in einem ausführlich begründeten Prozesskostenhilfebeschluss die Sach- und Rechtslage ausführlich ausgeführt hat, das ursprüngliche Streitgericht. Leider kann wegen der identifizierenden Angaben der Beschluss nicht im Volltext veröffentlicht werden, aber:
Ich habe mir vorgenommen, Entscheidungen, die mir aus meiner Praxis vorliegen in hinreichend anonymisierter Form zu veröffentlichen, soweit nicht Interessen meiner Mandanten entgegenstehen.
Daher kann ich zumindest auszugsweise zwei Aussagen aus einem Prozesskostenhilfebeschluss des Oberlandesgerichts Frankfurt vom 07.05.2021 Az. 19 U 251/20 wiedergeben, die von allgemeinem Interesse sein dürften, und auf ihre Kernaussagen zusammenfassen:
1. Einer strafbewehrten Unterlassungserklärung kann nicht allein deswegen ein Mangel an Ernstlichkeit abgesprochen werden, weil sie nicht sofort nach Abmahnung und auch in der Mündlichen Verhandlung nach Widerspruch gegen eine einstweilige Verfügung ergeht. Auch noch in der Berufung kann die Wiederholungsgefahr auch durch eine arme Partei ausgeräumt werden. Auch eine arme Partei, die Prozesskostenhilfe benötigt, kann bei einer Unterlassungsklage wegen einer rechtwidrigen Äußerung den Schaden durch eine strafbewehrte Unterlassungserklärung begrenzen, so dass keine Verurteilung zur Unterlassung mehr begründet ist. Nur weil die arme prozesskostenhilfebedürftige Partei erkennbar keine Vertragsstrafe, zu der sie sich in der strafbewehrten Unterlassungserklärung nach ständiger Rechtsprechung verpflichten muss, derzeit nicht leisten kann, fehlt es nicht an der Ernstlichkeit. Es ist nicht ohne weiteres anzunehmen, dass die arme Partei weitere Schulden machen möchte. Für die Anschlussberufung ist der Berufungsführerin und Verfügungsbeklagte daher im Streitfall Prozesskostenhilfe zu bewilligen.
2. Insolvenz einer Person oder andere negative Tatsachen können Menschen in ihrem weiteren Lebensweg sehr stark beeinträchtigen und daher müssen mit dem Ziel, die Betroffenen nach einer längeren Wohlverhaltensphase wieder zu resozialisieren und ihnen eine neue Chance zu ermöglichen, negative Tatsachen, auch dann wenn sie wahr sind, geheim bleiben. Die wahre ehrrührige Aussage gegenüber Werbepartnern, dass der Kläger ein Betrüger sei, war in o.g. Beispielfall daher vom Oberlandesgericht vorläufig im Prozesskostenhilfebeschluss für die Beklagte als rechtswidrig eingestuft worden, weil die strafrechtliche Verurteilung bereits über 7 Jahre zurücklag und das Resozialisierungsinteresse des betroffenen Verfügungsklägers in der zu treffenden Abwägungsentscheidung insoweit überwiegt. Anders liegt der Fall allerdings, wenn die Verfehlungen aktuell andauern.

Wörtlich Zitat aus dem oben genannten Beschluss des Oberlandesgerichts Frankfurt vom 07.05.2021 Az. 19 U 251/20::“

…Im Streitfall ist das durch Art. 2 Abs. 1 Art. 1 Abs. 1 gewährleistete Interesse des Verfügungsklägers… auf Schutz seiner Persönlichkeit und seines guten Rufs mit dem in Art. 5 Abs. 1 GG verankerten Recht der Verfügungsbeklagten auf Meinungsfreiheit abzuwägen.

Dabei hängt zwar die Abwägung zwischen dem allgemeinen Persönlichkeitsrecht einerseits und der Meinungsfreiheit bei Tatsachenberichten auch vom Wahrheitsgehalt ab, und zwar in der Weise, dass wahre Aussagen in der Regel hingenommen werden müssen, auch wenn sie nachteilig für den Betroffenen sind (vgl. BVerfG NJW 1999, 1322; NJW 2012, 1500).

So liegen die Dinge hier. Die Verurteilung des Verfügungsklägers lag im Zeitpunkt der Äußerung sieben Jahre zurück. Unter diesen Umständen wiegt das Interesse des Verfügungsklägers schwer, nicht als ehemaliger Straftäter identifiziert zu werden, weil durch diese negative Qualifizierung seine Resozialisierung bedroht ist (vgl. MüKoBGB/Rixecker, 8. Aufl. 2018, Anh. § 12 Rn. 214). Ein berechtigtes Interesse kann die Verfügungsbeklagte demgegenüber nicht geltend machen. Dass man mit ihm allein wegen seiner Vergangenheit besser keine Geschäfte machen solle, ist kein Gesichtspunkt, den man dem berechtigten Resozialisierungsinteresse des Verfügungsklägers legitimer weise entgegensetzen kann. Es liegt auch kein Fall vor, dass einschlägige Verfehlungen Anlass gäben, die Vorstrafen des Verfügungsklägers in Erinnerung zu rufen…..“

Fazit: Wenn auch aktuell weitere Verfehlungen ähnlicher Art begangen wurden, wäre die Beurteilung anders ausgefallen. Darüber und weiterer Streitpunkte des Falles wollten die Parteien nicht weiter streiten und so kam es auf Anraten des Gerichts zu einem gütlichen Vergleich, der auch die Rücknahme der Schadenersatzklage umfasste. Die Parteien hier waren vorgerichtlich nicht anwaltlich beraten, daher konnten wir Anwälte die Sache nur gerichtlich vertreten und im Ergebnis mit einer für beide Seiten fairen Regelung nach Anraten des Gerichts in einem umfassenden Vergleich gütlich beilegen.

Wenn Sie fachanwaltliche Beratung in einer äußerungsrechtlichen Streitigkeit benötigen, berate ich Sie gerne mit allen Facetten, die so etwas umfasst!

Anmerkungen: die Parteien haben sich in dem äußerungsrechtlichen Verfahren sowie in der Schadenersatzklage zur Hauptsache gütlich geeinigt. Es gibt daher kein Urteil.

#DSGVO-Beschwerde und #Schadenersatzdurchsetzung: hier Durchsetzung bei Datenpanne ist für Verletzte schwierig

Datenpannen passieren häufig im Ausland und zuständige federführende Aufsichtsbehörden nach der DSGVO sind oft ebenfalls nicht in Deutschland. Betroffene, die Auskunfts- und Schadenersatzansprüche gegen den Verantwortlichen und/oder Auftragsverarbeiter nach Art. 82 DSGVO durchsetzen wollen, bzw. Unternehmen, die nach einer solchen Panne sich fragen, was sie konkret mitteilen müssen, haben derzeit daher an 2 Fronten zu kämpfen. Einmal bei den Zivilgerichten, die die Auskunfts-, Darlegungs- und Beweisgrundsätze bisher nicht einheitlich und zum Teil entgegen Art. 82 DSGVO und den nach Erwägungsgrund 146 DSGVO zu beachtenden Effektivitätsgrundsätzen restriktiv auslegen. So hat das Landgericht Frankfurt, und zwar einmal die 27. Zivilkammer mit Urteil Landgericht Frankfurt/Main Az. 2-27 O 100/20 und in einem Parallelfall eines anderen Klägers nunmehr erneut die 30. Zivilkammer mit etwas anderem Tatbestand mit Urteil vom 18.01.2021 20210118_anonym.LG Ffm Urteil 18.01.2021 15+82 DSGVO_Geschwärzt eine Auskunfts- und Schadenersatzklage gegen die in Belgien sitzende Mastercard Europe SA im Zusammenhang mit dem Databreach aus August 2019 im Rahmen des Mastercard Priceless Specials Germany Bonusprogramms abgewiesen (nicht rechtskräftig). Der Kläger wird in die Berufung gehen. Update 6.2.2021 Letzter Stand der Klägerseite hier: Tatbestandsberichtigungsantrag ist fristgemäß gestellt, weil es hier offensichtliche Unrichtigkeiten im Tatbestand gibt. Den Auskunftsantrag (Mastercard hat verspätet und unvollständig beauskunftet und will die konkreten Serviceprovider nicht angeben, bzw. hat erst in der Klageerwiderung die Namen „Brain Behind Ltd und Brain Behind GmbH“ vorgetragen, wobei unklar blieb, bei wem genau das unsichere Administratorpasswort den unbefugten Zugriff auf die Systeme der „BB“ 2019 ermöglicht hat. Ferner ist es so, dass es eine „Brain Behind GmbH“ ausweislich des Handelsregisters weder in Deutschland und ebenso auch nicht in Österreich gibt, wie man dem amtlichen firmenbuch.at entnehmen kann). Der Streitfrage ging das Gericht damit überraschend aus dem Weg, indem es im Urteil plötzlich meinte, es sei nicht ersichtlich, wieso die GmbH nicht identifizierbar sei und eine Pflichtverletzung von Mastercard sei „nicht indiziert.“ Der Kläger hatte vorgetragen, dass diese Angaben unklar sind und deshalb in der mündlichen Verhandlung den Auskunftsantrag nicht für erledigt erklärt. Die Beklagte hatte sich auch gar nicht damit verteidigt, das sei erledigt, denn man müsse diese nicht konkret angeben. Damit war diese rechtliche Streitfrage an sich zu entscheiden, die in der Praxis auch hoch relevant ist, ob – jedenfalls nach einer Datenpanne – nach Art. 12, 15 Abs. 1 lit.c DSGVO der Serviceprovider, der als Auftragsverarbeiter und damit „Empfänger“ der Kundendaten involviert war, konkret zu benennen ist. Mit vagen Angaben wie hier, kann ein geschädigter Betroffener nichts anfangen, daher (so auch die herrschende Meinung in der für das Gericht natürlich zitierten Kommentarliteratur mit allen Argumenten) konkret anzugeben, jedenfalls spätestens nach einer Datenpanne und ausdrücklicher DSGVO-Auskunftsanfrage des betroffenen Kunden. Mal sehen, ob das Gericht die offenbaren Unrichtigkeiten nun auf Antrag im Tatbestand berichtigen wird, damit in der II. Instanz das Gericht wenigstens den Sachverhalt richtig versteht, über den es zu befinden haben wird….Puh.

Die andere Baustelle ist die Erlangung von näheren Informationen und Akteneinsichten bei den Aufsichtsbehörden, die für die Beschwerde- und Bussgeldverfahren nach einer Datenpanne zuständig sind. Auszug aus meiner Korrespondenz mit dem HBDI (Hessischer Beauftragter für Datenschutz und Informationsfreiheit):
UPDATE VOM 09.02.2021: Nun liegt eine neue Antwort des HBDI vor:

Sehr geehrte Frau Rechtsanwältin Hagendorff,

die belgischen Kollegen haben mir mitgeteilt, dass die Untersuchungen noch andauern und die Daten zum Verfahren derzeit nach belgischem Recht vertraulich sind. Entsprechend wurde auch mir keine weitere Auskunft erteilt und so kann ich Ihnen auch keine weiteren Informationen zur Verfügung stellen.

Mit freundlichen Grüßen
Im Auftrag

……….
—–Meine E-mail an das HBDI in einem Beschwerdeverfahren einer Klientin gegen Mastercard Europe SA:
Sehr geehrter Herr……,
danke für Ihre E-mail vom 20.10.2020 zum Akteneinsichtsgesuch …und ich habe die Angelegenheit inzwischen nochmals geprüft.

Wenn die Akte zum Beschwerdeverfahren zu o.g. Az. nur meine Eingaben enthält, wird auf die Akteneinsicht selbstverständlich verzichtet.
Aber ich möchte Sie bitten, gemäß Art. 77 Abs. 2 DSGVO i.V.m. § 19 Abs. 2 S.3 BDSG uns den Informationsstand und das Ergebnis oder hilfsweise das Zwischenergebnis des Beschwerdeverfahrens bei der federführenden Aufsichtsbehörde in Belgien mitzuteilen. Nach § 19 Abs. 2 S. 3 BDSG soll dann, wenn wie hier die Verantwortliche in Deutschland keinen Sitz und keine Niederlassung hat, die Aufsichtsbehörde hier als empfangende Behörde dem Beschwerdeführer über das Ergebnis des Verfahrens informieren, d.h. soweit das Verfahren abgeschlossen ist, den Beschluss der Belgischen Aufsichtsbehörde mitteilen oder falls es noch nicht abgeschlossen ist, zumindest den Zwischenstand über die Erkenntnisse, die zur Datenpanne geführt haben.

Nach § 19 Abs. 2 Satz 3 BDSG weist der deutsche Gesetzgeber die nach der DSGVO zugewiesenen Aufgaben der Aufsichtsbehörde, bei der die Beschwerde eingereicht wurde, kraft Gesetzes der „empfangenden Aufsichtsbehörde“ zu. Das bedeutet, dass die Zuständigkeiten gebündelt werden, damit die Aufsichtsbehörde den Verletzten nicht an ausländische Aufsichtsbehörden verweisen kann. [Vermerk: Ausserdem ist sie zur Kooperation und Weiterleitung einer Beschwerde an die federführende Aufsichtsbehörde in der EU verpflichtet, At. 60ff DSGVO]. Damit verleiht das BDSG dem Grundgedanke der DSGVO, dass der Betroffene bei der Aufsichtsbehörde seiner Wahl in Deutschland Beschwerde einlegen kann, damit er nicht auf eine Aufsichtsbehörde im Ausland verwiesen werden kann, ihre Wirkung (vgl. sinngemäß so auch Hellmich in Taeger/Gabel, DSGVO.BDSG, 3. Auflage, Rn. 7 zu BDSG § 19 m.w.N.). Das bedeutet, dass das HBDI vorliegend die Kommunikationsaufgaben, sprich Information über das Ergebnis des Verfahrens oder bei überlanger Dauer wie hier zumindest den Stand und Zwischenergebnis des Verfahrens zu unterrichten hat. Wäre der Betroffene auf die Durchsetzung von Informations- und Akteneinsichtsersuchen bei der ausländischen federführenden Behörde angewiesen, würde dies dem Grundgedanken der DSGVO widersprechen, die aus Gründen der Fairness und des europarechtlichen Grundgedankens des effet utile die praktische Durchsetzung seiner Informations- und Abwehrrechte gegen unrechtmäßige Verarbeitungen überhaupt erst ermöglichen sollen. Dies ist gerade bei grenzüberschreitenden Datenverarbeitungen, die hier auch die Kreditkartenumsätze umfassen, die zweckentsprechend zum Gutschreiben der Coins im Bonusprogramm automatisch abgeglichen und somit miteinander vernetzt gewesen sein dürften, nur praktisch möglich, wenn § 19 Abs. 2 S. 3 BDSG wie vom Gesetzgeber beabsichtigt, dem Betroffenen die deutsche Aufsichtsbehörde sichert, auch wenn federführend eine ausländische Aufsichtsbehörde zuständig ist nach den Art. 60ff DSGVO.

Nach nochmaliger Prüfung der Sach- und Rechtslage ist es demnach nicht statthaft, die Beschwerdeführerin auf die ausländische federführende Aufsichtsbehörde vorliegend zu verweisen oder bis zum rechtskräftigen Abschluss etwaiger Zivilklagen mit dem Bericht das Verfahren auszusetzen.

Wie dargelegt, besteht der Verdacht, dass Mastercard Europe SA oder deren Auftragsverarbeiter die Datenpanne durch unzureichende Datensicherheitsmassnahmen nach Art. 32 DSGVO z.B. durch ein unsicheres Administratorpasswort eines Auftragsverarbeiters, das höchstwahrscheinlich entdeckt worden wäre, wenn die nach der PCI-DSS v3.2.4 abrufbar in Deutsch und in Englischer Sprache unter https://www.pcisecuritystandards.org/document_library auf S. 128 vorgeschriebenen Penetrationstests alle 6 Monate durchgeführt worden wären.
Auf S. 128 der vorgenannten Payment Card Informationsystem Data Security Standards heisst es unter 11.2.4.1. „Additional requirement for service providers only: If segmentation is used, confirm PCI DSS scope by performing penetration testing on segmentation controls at least every six months and after any changes to segmentation controls/methods.“
Diese Vorgabe ist nach meinen Informationen seit Februar 2018 in Kraft und die Einhaltung der PCI-DSS waren hier wegen der Vernetzung mit dem Zahlungssystem zwischen Mastercard und Brain Behind auch vereinbart.

Mastercard hat keine Auskunft über die genauen Empfänger der Brain Behind Gruppe erteilt (also wer genau wo aus der Gruppe die Kundendaten für das Bonusprogramm verarbeitet hat), sodass Name und Anschrift des Auftragsverarbeiters, bei dem die Datenabfluss stattgefunden hat z.B. wegen unzureichender Schutzmassnahmen und Penetrationstests hier nicht vorliegen. Handelt es sich um die aus dem Imprint von brain-behind.com veröffentlichte Brain Behind Ltd?
Die Anschrift dort ist laut Impressum (Inprint):
Brain Behind Ltd.
30 Moorgate
London, EC2R 6PJ, United Kingdom
xxxxxxxxxx
Phone: +44xxxxx

Ist es korrekt, dass dort ein unsicheres Administratorpasswort den Zugriff auf die geleakten Kundendaten aus dem Mastercard Priceless Specials Databreach in 2019 durch unbekannte Dritte ermöglicht haben?
Dies müsste doch unzureichende Datensicherheitsmassnahmen indizieren, weil für das Bonusprogramm laut unseren Informationen zwischen Mastercard Inc oder Mastercard Europe SA für das Mastercard Priceless Specials die Einhaltung der Sicherheitsmassnahmen nach den Vorgaben der PCI-DSS vereinbart war. Letztere sehen alle 6 Monate Penetrationstests vor.

Die fehlende Auskunft über den Empfänger entgegen Art. 15 Abs. 1 c DSGVO dürfte ebenfalls ein Verstoß beinhalten, denn Mastercard hat dazu keine Auskünfte erteilt, weder in der Datenschutzerklärung noch in der Meldung zur Datenpanne noch nachdem sie zur Auskunft aufgefordert wurde und hat Ende 2019 nur pauschal auf die Datenschutzerklärung verwiesen und ein Verschulden zurückgewiesen. Mit vagen Auskünften, es seien die Daten in Grossbritannien von einem Auftragsverabeiter verarbeitet worden, kann der Verletzte nichts anfangen. Der Begriff des Schadens [und die Auskunftsansprüche des Betroffenen nach den 12ff. DSGVO) sollte im Lichte der Rechtsprechung des Gerichtshofs weit auf eine Art und Weise ausgelegt werden, die den Zielen dieser Verordnung in vollem Umfang entspricht.

Der Beschwerdeführerin ist auch ein immaterieller und ein materieller Schaden i.S. von Art. 82 Abs. 1 DSGVO entstanden. Der Begriff des Schadens sollte im Lichte der Rechtsprechung des Gerichtshofs weit auf eine Art und Weise ausgelegt werden, die den Zielen dieser Verordnung in vollem Umfang entspricht (ErwG 146 S.3 DSGVO). Zum Schaden gehört im Lichte der Grundfreiheiten auch der Kontrollverlust, der entsteht, wenn bei einer Datenpanne nicht der Verletzte informiert wird, wie es zu der Datenpanne kam und bei wem die Daten, insbesondere Empfänger/Auftragsverarbeiter der Verantwortliche die Kundendaten hat verarbeiten lassen. Der Betroffene (Verletzte i.S. der DSGVO) hat sonst nicht die Möglichkeit, ggfs. auch gegenüber dem Auftragsverarbeiter mangels Namen und Anschrift seine Rechte geltend zu machen, z.B. eine Streitverkündung im Zivilrechtsstreit zu ermöglichen oder Auskunftsansprüche nach Art. 15 DSGVO geltend zu machen. Nach überwiegender Auffassung der Kommentarliteratur muss sinnvollerweise also der Auftragsverarbeiter konkret nach einer Datenpanne benannt werden, identifizierbar und das hat Mastercard gegenüber der Beschwerdeführerin nicht getan. Es ist auch nicht eindeutig anhand Ihrer Auskünfte ersichtlich bisher. Die Mastercard Priceless Specials Germany Bonusprogramm hinterlegte Mastercard Kreditkarte von xxxxx xxx wurde wie in der Beschwerde dargelegt von ihrem Kreditinstitut aus Anlass der streitgegenständlichen Datenpanne vorsorglich im September 2019 gesperrt und ausgewechselt. Auch der Kontrollverlust bei einer unbefugten Weitergabe oder wie hier sogar Veröffentlichung durch anonyme Dritte ist ein Schaden [Vermerk: 85 S.2 ErwG: Die Menschen sollten die Kontrolle über ihre Daten besitzen und sich effektiv gegen unrechtmäßige Datenverarbeitung schützen können vgl. ErwG 7 der DSGVO.] Hier ist der Verdacht begründet, dass neben den Kontaktdaten auch die Kreditkartenumsätze geleakt worden waren, die eine Profilbildung ermöglichen. Zudem konnte sie infolge der Kreditkartenauswechselung zwar einer möglicherweise drohenden Kreditkartenbetrug verhindern, aber wegen des inzwischen gesperrten Portals keine weiteren Coins mit der neuen
Kreditkarte sammeln, weil die neue Mastercard nunmehr nicht mehr auf der gesperrten Seite des Mastercard Priceless Specials Programms hinterlegt werden konnte.

Bitte erteilen Sie bitte daher nunmehr die Auskünfte über das Ergebnis oder zumindest Zwischenstand der Ermittlungen, wer und was zu der Datenpanne geführt hat. Rein vorsorglich rüge ich nochmals auch nach § 46 OwiG i.v.m. § 198 GVG, dass ansonsten der Beschwerdeführerin ein weiterer Schaden entsteht, wenn sie gegenüber Mastercard und Brain Behind mangels ausreichender Auskünfte nicht ihre Rechte auf Schadenersatz auf dem Zivilrechtswege durchsetzen kann.
Wegen der Vielzahl der Betroffenen und Beschwerden dürfte es hier auch nicht unverhältnismäßig sein, wenn das HBDI diese Auskunft den Betroffenen Beschwerdeführern erteilt.
Würde Mastercard sich mit pauschalen Schutzbehauptungen bei einer Datenpanne wie geschehen wehren können, ohne transparente Informationen über das Ergebnis der Ermittlungen zur Datenpanne zu leisten gegenüber den geschädigten Kunden, dann hätte das verheerende Signalwirkung.

Freundliche Grüße

Stefanie Hagendorff
Rechtsanwältin

Am Straßbach 2
(Eingang Pfingstweide)
D-61169 Friedberg (Hessen)

Am 20.10.2020 um 08:41 schrieb x@datenschutz.hessen.de:
> Sehr geehrte Frau Rechtsanwältin Hagendorff,
>
> zu der Beschwerde von xxx sind in der Akte lediglich Ihr Beschwerdeschreiben vom 20.12.2019, Ihre weitere Email vom 23.07.2020 und meine Antwort vom 28.07.2020 enthalten. Der Akteninhalt liegt Ihnen daher vollständig vor. Sollten Sie dennoch ihren Antrag auf Akteneinsicht aufrechterhalten, bitte ich um einen Hinweis.
>
> Mit freundlichen Grüßen
> Im Auftrag ….
> ——————————————————————————–
> Der Hessische Beauftragte für Datenschutz und Informationsfreiheit
> Gustav-Stresemann-Ring 1
> 65189 Wiesbaden
————

DSGVO-Schadenersatzklagen nach Datenpanne gegen Verantwortliche nicht rechtsmissbräuchlich

Ich habe am 19.11.2020 mit meinem Mandanten einen Termin vor dem Landgericht Frankfurt wahrgenommen, in dem es um eine Klage wegen unzureichender Auskunft nach Art. 15 DSGVO und Schadenersatz nach Art. 82 Abs. 1 DSGVO gegen die Mastercard Europe SA (mit Sitz in Waterloo, Belgien) ging, die im Sommer 2019 im Rahmen ihres Bonusprogramms Mastercard Priceless Specials eine Datenpanne erlitt. Der Kläger wirft der Beklagten vor, die Pflicht zur Auskunft über die Empfänger nicht konkret erfüllt zu haben, denn nach den bisherigen Informationen war Ursache des Hacks ein leicht zu erratendes Standardpasswort eines Administrators der Plattform für das Bonusprogramm. Das bedeutet, dass pflichtgemäße Penetration Tests, die nach den branchentypischen Sicherheitsstandards (Payment Card Industry Data Security Standards -PCI DSS v.3.2.1 vom Mai 2018) alle 6 Monate hätten stattfinden müssen, die Datenpanne höchstwahrscheinlich verhindert hätten. Die Beklagte hat diese jedoch nicht konkret dargelegt und unter Beweis gestellt. Auch bleibt unklar, wer eigentlich die Vertragspartner und Betreiber des Bonusprogramms waren. Wenn die Muttergesellschaft aus den USA den Dienstleister ausgesucht und unzureichend kontrolliert hat, wäre dies ebenfalls eine Schadensursache, die auf DSGVO Verstößen beruht, weil die DSGVO sowohl die Auslagerung auf eine US-amerikanische Mutter unter dem Vorbehalt einer Rechtsgrundlage und geeigneter Garantien für dieses Outsourcing unterwirft und nach Art. 28 DSGVO der Dienstleister, der personenbezogene Daten verarbeitet, hinreichend schriftlich verpflichtet und kontrolliert wurde.
Die Beklagte hat sich hier u.a. damit verteidigt, die Klage sei rechtsmißbräuchlich, man müsse die Auftragsverarbeiter nicht konkret benennen, und nach den allgemeinen Darlegungs- und Beweislastregeln habe der Kläger zu beweisen, durch welche Pflichtverstöße konkret die Schäden verursacht seien. Der Artikel 82 Abs. 3 DSGVO sei nicht so wörtlich zu nehmen, wenn dort stehe, dass der Verantwortliche nur von einer Haftung frei kommt, wenn er nachweist, dass er in keinerlei Hinsicht für den Schaden verantwortlich ist. Ferner seien die Schäden wie der Kontrollverlust über die Risiken für den Kläger nach Meldung der Datenpanne und Veröffentlichung in einer großen Datenbank, die Besorgnis über Identitätsdiebstahl, Profilbildung zum Nachteil des Betroffenen, die Spamnachrichten und Spamanrufe kein ersatzfähiger Schaden. Demgegenüber hatte der Kläger argumentiert: Bei der Produkthaftung oder in Filesharing-Fällen hat die Rechtsprechung ebenfalls die Anforderungen an die Darlegung und Beweislast zu Lasten desjenigen, der die Gefahrenquelle beherrscht, verschoben, daher ist das nicht systemwidrig, sondern erforderlich, um dem Datenschutz wirksam zur Geltung zu verhelfen und die DSGVO normiert klar, dass die Betroffenenrechte wie Auskunft und Schadenersatz wirksam sein müssen und hierbei auch ein immaterieller Schadenersatz z.B. für den Kontrollverlust über seine personenbezogenen Daten bei einer Datenpanne vorsieht.
Den Argumenten der Verteidigung stimmte die erkennende Richterin nach Anhörung des Klägers zu den Spamanrufen und Diskussion in einigen Punkten ausdrücklich nicht zu. Zum einen sei es für sie ganz klar nicht rechtsmißbräuchlich, wenn Betroffene nach einer Datenpanne und Veröffentlichung von Kundendatenbanken ihre Rechte auf Auskunft und Schadenersatz gegen die Verantwortlichen nach der DSGVO geltend machen und sie verstehe nicht, warum denn nicht die Mastercard Europe SA wenigstens pauschal ein Friedensangebot in Höhe von z.B. 150 Euro Entschädigung gemacht habe. Belästigende Spamanrufe, die unmittelbar nach der Veröffentlichung einsetzten und erst vor ca. 3 Monaten wieder aufhörten, scheinen doch recht klar im Zusammenhang mit der Veröffentlichung der Kundendatenbanken aus dem streitgegenständlichen Mastercard Priceless Specials Programm zu stehen und die Beklagte war für die Sicherheit des Bonusprogramms verantwortlich. Ob auch die beantragte Enschädigung für die 950 Coins, die der Kläger ebenfalls in Höhe von 1 Euro je Coin geltend macht, weil inzwischen im Gegensatz zu den Angeboten bekannter Marken vor der Datenpanne nur noch recht wertlose Einlösemöglichkeiten von unbekannten Anbietern angeboten werden, ist noch ungewiss. Wie genau das Gericht entscheiden wird, wird spannend.
Termin zur Verkündung einer Entscheidung ist am 18.01.2021.
Update 03.02.2021: Das Landgericht hat in dieser Sache die Klage – wie ich finde zu Unrecht – abgewiesen, der Beklagte beabsichtigt dagegen Berufung einzulegen. Volltext des Urteils siehe hier.

Anspruch des betroffenen Patienten auf kostenlose Kopie der Patientenakte nach Art. 15 III DSGVO geht Kostenregelung nach § 603g BGB vor

Das LG Dresden, hat mit Urteil vom 29.05.2020 – 6 O 76/20 entschieden, dass ein Patient einen Anspruch auf eine kostenlose Kopie seiner Daten aus der Patientenakte gegen die Klinik nach Art. 15 Abs. 3 DSGVO zusteht. Die Regelung des § 603 g DSGVO, wonach dies nur gegen einen Kostenbeitrag verlangt werden könne, geht nicht als Spezialgesetz vor, weil die DSGVO vorrangig ist und diesbezüglich keine Öffnungsklausel für anderslautende nationale Regelungen besteht. Art. 15 DSGVO setzt keine Gründe für die Geltendmachung voraus und zudem ist jeder Betroffene ohne weiteres berechtigt, über die ihn betreffenden personenbezogenen Daten und zu welchen Zwecken sie von wem wie verarbeitet worden sind, auf Verlangen Auskunft zu erhalten und nach Art. 15 Abs. 3 DSGVO eine kostenlose Kopie hierüber zu erhalten.
Dies ist auch nicht rechtsmissbräuchlich, selbst wenn der Auskunftsanspruch nur deshalb geltend gemacht wird, um einen Schadenersatzklage wegen ärztlicher Behandlungsfehler vorzubereiten.
Der Streitwert des Verfahrens betrug nach der Festsetzung des Gerichts 6.000 Euro.
Volltext abrufbar unter https://openjur.de/u/2295031.html?s=03

Gesetz zur Bekämpfung von Abmahnmissbrauch beschlossen

Der Bundestag hat am 10. September 2020 das „Gesetz zur Stärkung des fairen Wettbewerbs“ in der vom Bundesrat geänderten Fassung beschlossen und verfolgt damit das Ziel, Selbständige und kleine Unternehmen mit weniger als 250 Mitarbeitern besser vor mißbräuchlichen wettbewerbsrechtlichen Abmahnungen wegen rein formalen, aber nicht erheblich spürbaren Bagatellverstößen zu schützen. Nachdem das Gesetz nur kleine Unternehmen und nicht auch mittlere Unternehmen hinsichtlich der Definition der kleinen Unternehmen auf die Empfehlung der EU-Kommission Aktenzeichen K(2003) 1422 verweist, werden jedoch bei den sonstigen Verstößen gegen die EU-Datenschutz-Grundverordnung (DSGVO) mittlere KMU mit mehr als 249 Mitarbeitern und Großunternehmen nicht in den Genuss kommen, die Erstattung der Anwaltskosten künftig aufgrund dieser Privelegierung verweigern zu dürfen, wenn sie berechtigter Weise wegen Verstößen gegen die DSGVO von einem Wettbewerber oder Verbraucherverband bzw. abmahnenden Wettbewerbsverein abgemahnt werden. Die Praxis hat jedoch in den vergangenen Jahren gezeigt, dass missbräuchliche Abmahnungen vor allem die Selbständigen und Kleine Unternehmen treffen, die sich eine fachanwaltliche Rechtsberatung oft nicht oder nur sehr eingeschränkt leisten können.
Wichtige Änderungen sind insbesondere folgende:
– Die Anforderungen an eine wirksame Abmahnung und damit auch Erstattungsfähigkeit der Anwaltskosten bzw. der Abmahnpauschale bei Abmahnvereinen werden deutlich erhöht.
– Qualifizierte Vereine und Wirtschaftsverbände, die nach ihren satzungsmäßigen Aufgaben neben einer individuellen wettbewerblichen Beratung ihrer Mitglieder auch zur Förderung eines fairen Wettbewerbs abmahnen, müssen künftig nach § 8a UWG in der neuen Fassung seit mindestens 1 Jahr in einer beim Bundesamt für Justiz geführten Liste der qualifizierten Wirtschaftsverbände geführt werden, die in der jeweils aktuellen Fassung im Internet abrufbar ist (ähnlich der bisher bereits dort geführten Liste qualifzierter Einrichtungen nach § 4 Abs. 2 des Unterlassungsklagengesetzes (UKlaG).
– Das Bundesamt für Justiz soll künftig regelmäßig oder bei Beschwerden, die Anlass zu begründeten zweifeln geben, die Seriosität der qualifizierten Einrichtungen überprüfen und mit Zwangsgeld und Bußgeldern die schwarzen Schafe unter diesen Einrichtungen zur Einhaltung der Vorschriften zwingen können.
– Die Indizien einer missbräuchlichen Abmahnung, die die Rechtsprechung bereits entwickelt hat, werden in § 8b Abs. 2 UWG kodifiziert. Es sind solche, die den Wettbewerbsverstoß nur vorgeben, um Aufwendungsersatz oder von Kosten der Rechtsverfolgung zu erzielen oder im Anschluss nach Abschluss eines strafbewehrten Unterlassungsvertrags bei schwer zu verhindernden oder fahrlässig erneut auftretenden Zuwiderhandlungen Einnahmen durch Forderung einer unangemessen hohen Vertragsstrafe zu erzielen.
– Ähnlich wie das bereits bei Abmahnungen im Urheberrecht der Fall ist wird nun auch im UWG ein Gegenanspruch auf Erstattung der Anwaltskosten der Abwehr missbräuchlich ausgesprochener Abmahnungen geschaffen.
– Gerichtsstand ist nicht wie bisher ein fliegender nach § 32 ZPO, sondern nach dem künftigen § 14 Abs. 2 UWG soll künftig am Gerichtsstand des Beklagten geklagt werden. Nur wenn sich die geschäftliche Handlung an einen örtlich begrenzten Kreis von Marktteilnehmern wendet, soll auch das Gericht zuständig sein, in dessen Bezirk die Zuwiderhandlung begangen wurde (gemeint ist damit so wie in § 32 ZPO wohl Handlungs- oder Erfolgsort). In der Praxis war es bisher so, dass sich die Antragsteller bzw. Kläger sich bevorzugt an die Gerichte gewendet haben, bei denen sie bereits eine Ihnen zugeneigte Rechtssprechungspraxis gezeigt hat und das Gericht war zudem häufig weit entfernt vom Sitz des Abgemahnten, was die Verteidigungsaussichten und Kosten der Verteidigung deutlich abgesenkt hatte. Viele Rechtsanwälte, die ihren Tätigkeitsschwerpunkt im Wettbewerbsrecht haben, beklagen nun, dass dadurch künftig auch Richter, die mit der Materie nicht vertraut sind, vermutlich weniger gute Urteile treffen werden. Umso wichtiger wird es also künftig, fachkundige Rechtsanwälte im Falle von UWG-Streitigkeiten einzuschalten, die einen Rechtsstreit helfen zu vermeiden und die Sache außergerichtlich erledigen oder falls das nicht klappt und vor Gericht gestritten werden muss, den zuständigen Richtern die Sach- und Rechtslage möglichst gut erläutern und vortragen.
– Der Designschutz für Ersatzteile bei komplexen Bauteilen z.B. Kotflügel bei Fahrzeugen soll künftig ausgeschlossen sein, damit auch Wettbewerber diese Ersatzteile anbieten können.
Bewertung:
Das Ziel, missbräuchliche Abmahnungen zu verhindern oder zumindest zu erschweren, wird vermutlich erreicht werden. Es wird weniger Abmahnungen geben. Aber gerade auch durch die Abschaffung des fliegenden Gerichtsstandes steigt das Risiko auch für die lauteren Marktteilnehmer, die sich gegen Verletzungen wehren wollen, vor Gericht bei der Auslegung der vielen unbestimmten Rechtsbegriffe auf einen Richter zu stoßen, der eine andere Meinung vertritt, und dadurch wird sich auch für rechtstreue Unternehmen das Prozesskostenrisiko deutlich erhöhen und insoweit werden mittlere und große Unternehmen nunmehr stärker durch kleine unlautere Wettbewerber beeinträchtigt werden, die sich durch unlautere Werbemethoden einen Vorsprung durch Rechtsbruch verschaffen können. Beispielsweise bei den Abmahnungen wegen Verletzungen der DSGVO sind viele Fragen noch gar nicht gerichtlich geklärt oder umstritten, weil die DSGVO erst seit Mai 2018 in Kraft und anzuwenden ist. Die Einhaltung der DSGVO und deren praktische Umsetzung ist jedoch wegen vieler noch nicht gerichtlich geklärter Fragen zur richtigen Auslegung der DSGVO und Problemen der praktischen Umsetzbarkeit schwierig und oft aufwendig. Ob diese Beschränkungen bei der Abmahnung von Wettbewerbern also den fairen Wettbewerb und Verbraucherschutz so unbedingt in allen Branchen stärkt, ist fraglich.
Unter dem Strich, gerade auch wegen der Beschränkung des Design- und Markenschutzes für Ersatzteile ist dies jedoch ein zu begrüßendes Gesetz, das nicht nur kleine Unternehmen entlastet, sonderen auch den Verbrauchern hinsichtlich der Preise auf dem Ersatzteilmarkt zugute kommen wird. Vielleicht werden nun auch die Startups z.B. mit 3D-Druckern einen Hype für Ersatzbauteile für Kühlschränke, Fahrzeuge und Haushaltsgeräte erleben. Das wird gerade auch die KMU, die Ersatzteile herstellen und vertreiben und daran bisher wegen des Designschutzes bei den sichtbaren Ersatzteilen gehindert waren und Verbraucher freuen.
Die Pressemeldung des Bundestages vom 10. September 2020 mit den Details und Gesetzestexten finden Sie hier.

Muster-DSGVO Auskunftsersuchen abgewiesene Bewerber

Meine Online-Bewerbung ([title job]) und Ihre Absage vom tt.mm.yy

Sehr geehrte Frau/sehr geehrter Herr [Name],

ich bitte um Auskunft gemäß Art. 15 DSGVO. Bitte bestätigen Sie mir, ob Sie mich betreffende personenbezogene Daten verarbeiten (vgl. Art. 4 Nr.1 und 2 DSGVO).

In diesem Fall bitte ich Sie im Sinne des Art. 15 Abs. 1 DSGVO um Auskunft über:

1. sämtliche personenbezogenen Daten, die Sie zu meiner Person gespeichert haben einschließlich Beurteilungen, Gesprächsnotizen, Einschätzungen und Vermerke zu meiner Person und Gründe, die zu der Beurteilung geführt haben;

2. die Verarbeitungszwecke;

3. die Kategorien personenbezogener Daten, die verarbeitet werden;

4. die Empfänger mit Name, Firma, Anschrift oder soweit dies nicht vollständig möglich ist, die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden;

5. falls möglich die geplante Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;

6. wenn die personenbezogenen Daten nicht bei mir erhoben wurden, alle verfügbaren Informationen über die Herkunft der Daten;

7. falls zutreffend, das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Art. 22 Abs. 1 und 4 DSGVO und – sofern gegeben – aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für meine Person.

Sofern Sie meine personenbezogenen Daten an ein Drittland oder an eine internationale Organisation übermitteln, bitte ich über die Rechtsgrundlage und geeigneten Garantien gemäß Art. 46 DSGVO im Zusammenhang mit der Übermittlung unterrichtet zu werden.

Ich bitte Sie, mir die betreffenden personenbezogenen Daten, die ich Ihnen zur Verfügung gestellt habe, im Sinne des Art. 20 Abs. 1 DSGVO in einem strukturierten, gängigen und maschinenlesbaren Format z.B. csv oder durchsuchbares PDF zu übermitteln.

Meine Anfrage schließt explizit auch sämtliche weiteren Angebote und Unternehmen ein, für die Sie Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO sind. Bitte erteilen Sie mir Ihre Auskunft entsprechend Art. 12 Abs. 3 DSGVO _unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang. Sie hat nach Art. 15 Abs. 3 DSGVO kostenlos zu erfolgen.

Mit freundlichen Grüßen

…..[Name]…“ Sie können das Muster soweit es für Sie passt gerne verwenden und müssen aber darauf achten, die für Sie zutreffenden Namen und Daten einzutragen.

Muster-Rüge bei automatischer Anforderung von Personalausweisen für DSGVO-Auskunftsanfragen

Zitat aus einer typischen E-mail Antwort an Unternehmen, die bei einer DSGVO-Auskunftsanfrage erst mal ohne Grund die Übersendung der Kopie eines Personalausweises anfordern:

Sehr geehrte Frau …../Herr ….

danke für Ihr Schreiben vom xx.mm.yyyy (Ihr Zeichen 12345/20) mit dem Sie mein DSGVO-Auskunftsersuchen vom xx.mm.yyyy leider nicht beantwortet haben, sondern in unzulässigerweise ohne begründete Zweifel – rein standardmäßig – die Übersendung einer Kopie meines Personalausweises anfordern.

Es ist zwar richtig, dass Sie zunächst Auskunftsersuchen nach Art. 15 DSGVO nur nach Prüfung der Identität erteilen, damit Auskünfte nur an die Betroffenen und nicht an unbefugte Dritte erteilt werden. Die Anforderung zusätzlicher Daten oder Dokumente ist aber nur bei Mitteilung begründeter Zweifel zulässig. Aber hier habe ich mit der gleichen E-mail max.musterman…….@…..de, die auch im Rahmen des Online-Verfahrens bei Ihnen für die Bestätigung und weitere Kommunikation verwendet wurde (siehe unten Bestätigung von career@hr.xygmbh.com an mich vom tt.mm.2020) mein Auskunftsersuchen mitgeteilt. Auch liegt Ihnen die Anschrift vor, an die Sie ja auch die Rückfrage gesendet haben.

Mein Name und die Kontaktdaten haben sich zwischenzeitlich auch nicht geändert. Insofern sind keine Zweifel ersichtlich und haben Sie unzulässigerweise rein standardmäßig die Personalausweiskopie angefordert.

Sie können ohne weiteres an diese hinterlegten Kontaktdaten entweder per E-mail oder per Post die Auskunft erteilen, ohne dass irgendein Missbrauch Dritter ersichtlich ist, noch haben Sie überhaupt begründete Zweifel mitgeteilt. Die Übermittlung einer Kopie des Personalausweis bedeutet für mich ein unnötiges zusätzliches Risiko. Zwar versuchen Sie das dadurch zu entschärfen, indem ich nun diese Anfertigen und die nicht benötigten Daten und Foto schwärzen soll, sodass nur noch Name und Adresse vorliegt, dann ist aber die Kopie des Personalausweises wohl auch sowieso wertlos und erscheint dies daher eher als eine Schikane als eine geeignete Massnahme zur Authentifizitätsprüfung.

Zudem stehen mir keine kostenlosen Tools zum sicheren Schwärzen zur Verfügung, diese sind in der Regel kostenpflichtig und erfordern zusätzliche Installationsmassnahmen.

Ich bitte daher nunmehr um Erteilung der geforderten Auskunft.

Ergänzend darf ich noch darauf hinweisen: Auch nach Ansicht der Aufsichtsbehörden ist nach meinen Informationen übrigens die standardmäßige Anforderung von Personalausweisen zur Legitimation als unzulässig eingestuft worden (vgl. ZD 2020, 279).

Im Übrigen muss ich inzwischen auch beanstanden, dass die xyz AG auf Ihren Karriereseiten ohne die erforderliche Einwilligung Google Analytics und anderen Tracking-Tools einsetzt und damit Nutzerdaten an Drittanbieter übersendet und so zur Profilbildung aller Nutzer der Webseiten ungefragt bei Google beiträgt. Eine vorherige Einwilligung ist jedoch erforderlich (vgl. zuletzt BGH-Cookie II Urteil). Diesem Datentransfer in ein unsicheres Drittland wie die USA ist auch spätestens seit dem Urteil vom 16.07.2020 des EUGH im Urteil „Schrems II“ ausdrücklich die Rechtsgrundlage für solche Drittlandstransfers ohne Einwilligung der Betroffenen entzogen, jedenfalls ohne eine ausdrückliche Einwilligung des Betroffenen, weil das US Privacy Shield infolge der Massenüberwachung ungültig ist und die EU-Standardvertragsklauseln faktisch von Google nicht eingehalten werden oder werden können. Für den Einsatz von Trackern wie Google Analytics auf Webseiten ist aber ohnehin ein Cookie-Constent-Management-Tool einzusetzen, dass vor der freiwilligen Auswahl keine Cookies setzt – das ist bei Ihnen nicht der Fall, da die Cookies bereits bei Aufruf trotz des Cookie-Banners gesetzt werden. Siehe screenshot (erkennbar an der Ziffer 4 rechts im Screenshot – gemessen mit dem Tool Ghostery). Bitte passen Sie das rechtskonform an. Ihrer fristgerechten Antwort bis zum 30.09.2020 sehe ich entgegen und behalte mir wegen der gerügten Themen weitere Betroffenenrechte vor….mit freundlichen Grüssen….“ Zitat Ende – gerne auch mit den Anpassungen wo es für Sie notwendig ist, frei verwendbar.

Datenschutz in Unternehmen: Viel zu tun wegen der DSGVO – Tipps für KMU

Wenn es in diesen schwierigen Tagen um Prozesse und Datenschutz in Unternehmen geht, gerade solche mit vielen Prozessen und in großen Unternehmensgruppen, stellen diese fest: das ist nicht so einfach, die Prozesse anzupassen und soweit möglich umzustellen. Es muss aber leider sein. Die Auftragsverarbeitungsverträge (AV Verträge) mit Partnern müssen überprüft werden, ggfs. sind sie seit 05/2018 oftmals nicht mehr DSGVO-konform und es drohen sehr hohe Haftungsrisiken, die nach Art. 83 DSGVO je nach Verstoss von 2 % bis zu 4 % der weltweiten Umsatze der Unernehmensgruppe betragen köennen. Es ist daher trotz der Schwerfälligkeit der Behörden keine gute Idee, diese Risiken tatenlos einzugehen – es gilt die altbewährte Regel: die Behörden sind zwar langsam, aber wenn sie dann auf den Plan gerufen sind, können sie ggfs. recht gründich sein aufgrund der hoheitlichen erweiterten Eingriffs- und Nachschaubefugnisse, die nun seit 2018 im Datenschutzrecht den Aufsichtsbehörden nach der DSGVO zuerkannt worden sind. Im Zweifel greift auch keine Versicherung bei grobfahrlässiger Vernachlässigung von Pflichten zum Datenschutzmanaement nach den Art. 5, 24, 26, 28, 30, 32 DSGVO und den daraus sich ergebennden Pflichten, die prozesse im Hinblick auf den Datenschutz vorher zu prüfen, anzupassen, datenschutzfreundlich zu gestalten und das zu dokumentieren… Ferner gibt es die seit 2018 neue Rechtsfigur der sog. gemeinsamen Verantwortlichkeit nach Art. 26 DSGVO, die Auftragsverarbeitungsverträge zwischen den gemeinsam Verantwortlichen Partnern ausschliesst. Auch hier sind Verträge in vielen Unternehmensgruppen oder Partnerschaften anzupassen.
Wenn Sie als Unternehmen nur Auftragsverarbeitungsverträge haben obwohl teilweise richtigerweise gemeinsame Verarbeitungen vorliegen und daher Vereinbarungen nach Art. 26 DSGVO anstatt von AVs erforderlich sind oder ggfs. nicht ausreichende Datenschutzvereinbarungen mit Ihren Partnern geschlossen haben, sollten diese überprüft werden und gibt es Handlungsbedarf, wenn das nicht richtig passt. Dann kann es sein, dass dringender Handlungsbedarf besteht, weil die falschen Verträge geschlossen wurden und die Prozesse falsch bewertet worden sind, das ist dann dringend zu ändern (wegen der Höhe der Haftung). Das sollte dann besser anwaltlich abgeklärt und nachgebessssert werden. Denn: In einigen Fällen handelt es sich nach den Kriterien von Art. 4 i.V.m. Art. 26 DSGVO bei der Verarbeitung von Nutzer- oder Kudnendaten bzw. Mitarbeiterdaten (jedenfalls personenbezogenen Daten), um eine gemeinsame Verantwortlichkeit, auch wenn Sie keinen Zugriff auf die Nutzer- oder Kundendaten haben – dazu gab es in 20. Das iste ein häufiger Irrtum – so die eindeutige Rechtssprechung des EUGH in den Verfahren daß diese nicht die nach Art. 26 DSGVO erforderlichen Voraussetzungen erfüllen. D. h. dann Uups – statt einer Kooperationsvereinbarung bzw. „joint controller agreement“ nach Art. 26 DSAGVO nur einen Auftragsverarbeitungsvertrag (AV Vertrag) nach Art. 28 DSGVO abgeschlossen oder nur irgendwelche unzureichende Datenschutzvereinbarungen geschlossen? Das bereitet einigen Unternehmen massive Probleme haftungsrechtlicher Art, sei es im Verhältnis zu Partnern, Kunden oder Mitarbeitern oder bei Beschwerden oder Schadenersatzklagen nach Art. 82 DSGVO auch aufgrund deren Klagen für die Unternehmen. …. Denn das alte Bundesdatenschutzgesetz (BDSG) in der alten vor dem Mai 2018 geltenden Fassung kannte die Rechtsfigur der gemeinsamen Verantwortlichkeit in Deutschland nicht. Daher gab es hier andere vertragliche und datenschutzrechtliche Konzepte. Nunmehr poppt immer mehr auf, dass aufgrund der Art- 26 DSGVO i.V.m. Art. 6, 24 DSGVO in allen Fällen, in denen gem. Art. 4 DSGVO jemand gemeinsam Verantwortlicher ist mit Partnern, eine solche Regelung nach Art.26 DSGVO schliessen muß und das auch den Betroffenen im Wesentlichen in den Datenschutzhinweisen offenlegen muss, insbesondere damit der weiss, wer für welche Datenverarbeitungen bei dieser Kooperation zuständig ist. Das ist für die Unternehmen ungewohnt, wird nun aber zunehmend viel Aufwand bei der Umstellung von Prozessen in Anspruch.
Die Prozesse sind hier komplex und daher kann ich hier in dem Blogbeitrag keine Standardlösungen aufzeigen. Soweit die Aufsichtsbehörden meinen, dass aufgrund des Wegfalls des US-Privacy Shields als Rechtfertigung für die Übermittlung an US-Dienstleister dies „zeitnah“ so der EDSA und die DSK umzusetzen seien – was immer das heisst, wird es eine kurze Umsetzungsfrist geben, deren Dauer unklar ist. Wenige Wochen oder Monate wird das abdecken. Viele Unternehmen können nicht alle Dienste sofort umstellen, sondern es gibt Dienste, die zumutbar nicht kurzfristig verzichtbar sind und deren Umstellung auf andere Anbieter Zeit braucht. Es wird dazu gerichtliche Streitigkeiten geben, ob und wie lange das erforderlich war… und wer nichts gemacht hat und diese Umstände nicht darlegen kann, dass er sich bemüht hat, dem werden sehr hohe Abmahnstrafen/Vertragsstrafen/Rufschaden und/ oder Bussgelder der Datenschutzaufsichtsbehörden nach Art. 83 DSGVO in Höhe von bis zu 4 % der Umsätze der Unternehmensgruppe drohen, je nach Art und Schwere der Verstösse und / oder Schäden der Betroffenen, und dies ins Risikokalkül aufzunehmen haben. Schadenersatzansprüche haben nach Art. 82 DSGVO aktuell in der Rechtssprechung ebenfalls stark aufsteigende Tendenz, weil dies nach Art. 82 DSGVO gemessen an dem bisherigen Datenschutzrecht auch gar nicht mehr von den Richtern vertretbar wäre. Entsprechend gab es bereits Urteile, die allein für die unzureichende Auskunft entgegen Art. 15 DSGVO 5000 Euro Schadeneresatz zuerkannt haben (ArbG Düsseldorf) und sind weitere Verfahren bei verschiedenen deutschen Amts- und Landgerichten anhägig, in denen sich ähnliches abzeichnet. Es ist also nur eine Frage der Zeit, dass hier Schadenersatzklagen wegen ihrer Masse und ggfs. auch ihrer Höhe ernst zu nehmen sind. Dabei werden Director & Officers Versicherungen nicht eintreten, wenn grob fahrlässiges Verhalten vorliegt. Das ist der Fall, wenn Pflichten der DSGVO nach Art..24 DSGVO verletzt worden sind, d.h. falsche Verträge ohne ordnungsgemäßes Datenschutzmanagement geschlossen werden, die Prozesse nicht richtig in Verarbeitungsverzeichnissen nach Art. 30 DSGVO angeschaut und laufend aktualisiert worden sind und nicht nach Art. 24 DSGVO je nach Risiko die angemessenen Massnahmen organisiert worden sind. Je nach Lage sind dann zur Qualifizierung der Prozesse erforderlich, ob Datenschutzkonzepte, Löschungskonzepte, Auftragsverarbeitungsverträge nach Art- 29 DSGVP oder Joint-controller-agreements nach Art. 26 DSGVO erforderlich sind bei Einschaltung von Dienstleistern mit den jeweils dort vorgeschriebenen Regelungen.

Was sind die Spezialgebiete eines Fachanwalts für IT-Recht?

Fachanwälte müssen auf den jeweiligen Fachgebieten praktische Erfahrung nachweisen und sich jährlich qualifiziert fortbilden. Das tue ich und will das näher beschreiben, was das bedeutet.
Die Fachanwaltsordnung Stand 1.1.2020 definiert das Fachgebiet Informationstechnologie für Fachanwälte wie folgt (meine Schwerunkte habe ich fett gekennzeichnet):
§ 14k der Fachanwaltsordnung – Nachzuweisende besondere Kenntnisse im Informationstechnologierecht Für das Fachgebiet Informationstechnologierecht sind besondere Kenntnisse nachzuweisen in den Be-reichen:
1. Vertragsrecht der Informationstechnologien, einschließlich der Gestaltung individueller Verträge und AGB,
2. Recht des elektronischen Geschäftsverkehrs, einschließlich der Gestaltung von Provider-Verträgen und Nutzungsbedingungen (Online-/Mobile Business),
3. Grundzüge des Immaterialgüterrechts im Bereich der Informationstechnologien, Bezüge zum Kennzeichenrecht, insbesondere Domainrecht,
4. Recht des Datenschutzes und der Sicherheit der Informationstechnologien einschließlich Verschlüsselungen und Signaturen sowie deren berufsspezifischer Besonderheiten,
5. Das Recht der Kommunikationsnetze und -dienste, insbesondere das Recht der Telekommunikation und deren Dienste,

6. Öffentliche Vergabe von Leistungen der Informationstechnologien (einschließlich e-Government) mit Bezügen zum europäischen und deutschen Kartellrecht,
7. Internationale Bezüge einschließlich Internationales Privatrecht,
8. Besonderheiten des Strafrechts im Bereich der Informationstechnologien,
9. Besonderheiten der Verfahrens- und Prozessführung.
Es handelt sich derzeit um ein besonders herausforderndes Gebiet mit hohen Risiken und Herausforderungen für die praktische Umsetzung und erfogreiche Durchsetzung bzw. Abwehr bei Streitigkeiten in diesem Bereich.