Kategorien
Blogroll Datenschutzrecht Schadenersatzrecht Uncategorized Verbraucherschutz

EUGH klärt Streitfrage zur #DSGVO Auskunftspflicht über die Identität der Empfänger

Mit dem Urteil des Europäischen Gerichtshofs (EuGH, Urteil vom 12.01.2023, C 154/21 (Österreichische Post AG) ist endlich eine der zentralen Streitpunkte zur DSGVO-Auskunftspflicht geklärt, nämlich dass der Verantwortliche über den Namen und Identität der Serviceprovider und sonstigen Empfänger der personenbezogenen Daten seines Mitarbeiters oder Kunden informieren muss. Das war bisher bei zahlreichen meiner Mandate einer der zentralen Streitpunkte, die oft gerade auch nach Datenpannen vor Gericht gelandet sind, weil die Verantwortlichen hier eine klare Auskunft verweigert haben. Ein Beispiel ist bei mir (unter vielen) der immer noch anhängige Rechtsstreit vor dem OLG Frankfurt, bei dem Mastercard Europe SA nach der Datenpanne in 2019 bei Mastercard Priceless Specials keine korrekte Auskunft über die Identität des Serviceproviders erteilt hat und erst als wir diese durch intensive überobligationsmäßige Recherchen in II. Instanz herausgefunden haben, den Serviceprovider aus Österreich und UK mitverklagt haben, der Kläger in dem Punkt Klarheit erlangt hat; hier hat also sehr mühsam und viel zu spät der Kläger erst aufgrund des weiteren Vortrags in den Berufungserwiderungen hierüber Klarheit erlangt und hat die Verletzung der Auskunftspflicht den Schaden noch vergrößert. Wegen des Schadenersatzes dafür wird noch auf die Entscheidung zu warten sein. Das Thema ist in vielen Branchen sehr relevant, gerade auch in der Versicherungswirtschaft, Finanzwesen, Gesundheitsbereich, e-Learning, Forschung und Entwicklung sowie öffentliche Verwaltung.

Wie der EuGH klargestellt hat, ist der Verantwortliche, wenn personenbezogene Daten gegenüber Empfängern offengelegt worden sind oder noch offengelegt werden sollen, verpflichtet, der betroffenen Person auf Anfrage die Identität der Empfänger mitzuteilen.
Nur wenn es (noch) nicht möglich ist, diese Empfänger zu identifizieren, kann sich der Verantwortliche darauf beschränken, lediglich die Kategorien der betreffenden Empfänger mitzuteilen.
Dies gilt ebenfalls, wenn der Verantwortliche nachweist, dass der Antrag offenkundig unbegründet oder exzessiv ist.

Grund ist, dass der Kerngehalt der informationellen Selbstbestimmung verletzt wird und ein Kontrollverlust einsetzt, wenn der Verantwortliche die Identität der Auftragsverarbeiter und Geschäftspartner, an die er übermittelt, geheimhalten darf. Der Auftragsverarbeiter kann ja vom Betroffenen z.B. bei einer schuldhaften Datenpanne auch als Gesamtschuldner in Anspruch genommen werden. Soweit der Wortlaut von Art. 12, 15 DSGVO scheinbar ein Wahlrecht einräumt, sind damit nur die Fälle gemeint, in denen die Identität für den Verantwortlichen selbst nicht ermittelbar ist – etwa nach einer Datenpanne oder andere Ausnahmefälle, in denen wegen der Menge das Auskunftsersuchen des Betroffenen sinnlos und exzessiv ist.

Praxistipp: Unternehmen sollten ihre Praxis bei Auskunftsersuchen und die Datenschutzerklärungen hierzu ergänzen. Betroffene können wegen der Verletzung dieser Pflicht ggfs. Schadenersatzansprüche geltend machen und sich bei Aufsichtsbehörden beschweren (beides unabhängig voneinander wie der EUGH ebenfalls am 12.1.2023 in einem weiteren Urteil klargestellt hat). Bei Rückfragen dazu stehe ich gerne zur Verfügung, nehmen Sie gerne Kontakt zu mir auf.
Den Volltext des EUGH Urteils gibt es hier: Den https://curia.europa.eu/juris/document/document.jsf?text=&docid=269146&pageIndex=0&doclang=DE&mode=req&dir=&occ=first&part=1&cid=186062

Kategorien
Blogroll Datenschutzrecht Werberecht Wettbewerbs- und Werberecht Wettbewerbsrecht

OLG Karlsruhe: Krankenhaus darf AWS Hostingdienstleistungen mit Servern in Frankfurt einsetzen

AWS-Cloud der luxemburgischen Tochter kann DSGVO-konform mit vertraglichen Zusage und Servern in Frankfurt eingesetzt werden
Mit Beschluss vom 7.9.2022 hat das OLG Karlsruhe die umstrittene Entscheidung der Vergabekammer Baden-Württemberg vom 13.07.2022 aufgehoben, mit der ein Wettbewerber erfolgreich den Ausschluss eines Anbieters mit AWS-Cloud wegen Verstoß gegen die DSGVO in einem Vergabeverfahren eines öffentlich-rechtlichen Krankenhauses erwirkt hatte. Laut Vorinstanz (Vergabekammer Baden-Württemberg 13.7.2022, – 1 VK 23/22) war das Angebot mit AWS-Cloudservices trotz Vertrag mit der luxemburgischen Tochter und Serverstandort Frankfurt am Main nicht vereinbar mit der DSGVO, weil das latente Risiko eines Zugriffs der US-amerikanischen Mutter bzw. der US-Behörden auf die sensiblen Patientendaten bestehe, und zwar auch dann, wenn wie hier die Daten in einer europäischen Serverumgebung der luxemburgischen Tochtergesellschaft des US-amerikanischen Amazon-Web-Services-AWS-Konzerns gespeichert sind. Laut Vorinstanz sei der Serverstandort Frankfurt am Main unbeachtlich, da allein die latente Möglichkeit des Zugriffs der US-Behörden oder US-Muttergesellschaft Amazon Web Services aufgrund der US-amerikanischen Gesetzeslage ein erhebliches latentes Risiko einer unzulässigen Übermittlung der Patientendaten in die USA darstelle. Die USA ist datenschutzrechtlich ein unsicheres Drittland, in dem europäische Patienten praktisch keinen Rechtsschutz wegen Verletzung ihrer Datenschutz- und Persönlichkeitsrechte haben. Diese umstrittene Entscheidung hatte Aufsehen erregt, da es ja nur um das latente Risiko einer Übermittlung oder Zugriff aus den USA ging, die Server in Frankfurt/Main in einem sicheren Rechenzentrum stehen und AWS vertraglich zusichert, dass kein Zugriff aus Drittländern wie den USA gewährt wird. Nun hat laut Pressemeldung des Gerichts das OLG Karlsruhe mit Beschluss vom 7.9.2022, Aktenzeichen 15 Verg8/22 diese Entscheidung wieder aufgehoben. Die Entscheidung ist rechtskräftig.

Auftraggeber kann sich auf Zusagen verlassen, solange keine anderen Anhaltspunkte bekannt sind
Laut Pressemeldung ist der wesentliche Grund, dass die Krankenhausgesellschaft sich nach Ansicht des Senats durchaus auf die verbindlichen vertraglichen Zusagen des Anbieters verlassen dürfe, dass die Daten allein auf den Servern in Frankfurt am Main der luxemburgischen Tochter von AWS gespeichert bleibe und hierfür auch technische und organisatorische Maßnahmen getroffen worden seien. Erst wenn es tatsächliche Anhaltspunkte dafür gebe, dass die vertraglich gemachten Zusagen insofern nicht eingehalten werden, gelte anderes.

Praxishinweis
Damit hat das OLG Karlsruhe ein für die Praxis wichtige Entscheidung getroffen, wonach unter Umständen auch europäische Tochtergesellschaften, die entsprechende vertragliche und technisch-organisatorische Maßnahmen zum Schutz vor unbefugten Zugriffen getroffen haben, einsetzbar sind. Dies ist für die Praxis in vielen Bereichen wichtig, da gerade im Bereich von Hosting und sonstigen Clouddiensten oft US-amerikanische Unternehmen verbundene Unternehmen der europäischen Anbieter sind und auf diese Weise in vielen Bereichen viele Anbieter für deutsche oder europäische Anwenderunternehmen nicht DSGVO-konform einsetzbar wären, wenn sensible Kunden- oder Mitarbeiterdaten im Spiel sind. update: Die Entscheidung liegt inzwisschen im Volltext OLG Karlsruhe (Az.15 Verg 8/22) vor. Stark verkürzt ergibt sich die wesentliche Begründung bereits aus der Pressemeldung vom 7.9.2022 OLG Karlsruhe Beschluss Az. 15 Verg 8/22

Haben Sie ähnliche Fragen?
Haben Sie Fragen zur DSGVO-Konformität oder andere vertragliche Fragen beim Einsatz eines IT-Dienstleisters? Gerne übernehme ich eine Vertragsprüfung und berate Sie hierzu, damit Sie eine Haftung oder Bußgelder bei Rechtsverstößen vermeiden können. Schreiben Sie mir gerne eine Nachricht mit qualifizierter Anfrage.

Kategorien
Blogroll Datenschutzrecht Schadenersatzrecht Schadensrecht Uncategorized Verbraucherschutz

DSGVO-Schadenersatzklagen nach Datenpanne gegen Verantwortliche nicht rechtsmissbräuchlich

update 24.11.2022: In dem hier berichteten Verfahren ist weiterhin ein Berufungsverfahren vor dem OLG Frankfurt anhängig und haben wir zusätzlich auch die Auftragsverarbeiter mitverklagt. Da es ungewöhnlich (aber mangels korrekter identifizierender Auskunft über die Namen der Serviceprovider nicht von uns verschuldet ist), dass jetzt erst die Auftragsverarbeiter in Berufung mit verklagt wurden, hat die Gegenseite sich vor allem erst mal auf Zulässigkeitsfragen und Fragen der Darlegungs- und Beweislast berufen. Es gab noch keine Entscheidung. Ich habe Förderung des Verfahrens angemahnt im Juni und nunmehr am 5.11.2022 die Verzögerungsrüge nach § 198 GVG erheben müssen, damit das Land notfalls haftet, weil leider das Gericht das Verfahren verzögert. Ich hoffe, das Verfahren wird nun endlich vom Gericht pflichtgemäß betrieben und werde bei Neuigkeiten von allgemeinem Interesse berichten. #Die Mühlen der Justiz mahlen langsam aber meistens gründlich.

Ich schrieb Ende 2020: Ich habe am 19.11.2020 mit meinem Mandanten einen Termin vor dem Landgericht Frankfurt wahrgenommen, in dem es um eine Klage wegen unzureichender Auskunft nach Art. 15 DSGVO und Schadenersatz nach Art. 82 Abs. 1 DSGVO gegen die Mastercard Europe SA (mit Sitz in Waterloo, Belgien) ging, die im Sommer 2019 im Rahmen ihres Bonusprogramms Mastercard Priceless Specials eine Datenpanne erlitt. Der Kläger wirft der Beklagten vor, die Pflicht zur Auskunft über die Empfänger nicht konkret erfüllt zu haben, denn nach den bisherigen Informationen war Ursache des Hacks ein leicht zu erratendes Standardpasswort eines Administrators der Plattform für das Bonusprogramm. Das bedeutet, dass pflichtgemäße Penetration Tests, die nach den branchentypischen Sicherheitsstandards (Payment Card Industry Data Security Standards -PCI DSS v.3.2.1 vom Mai 2018) alle 6 Monate hätten stattfinden müssen, die Datenpanne höchstwahrscheinlich verhindert hätten. Die Beklagte hat diese jedoch nicht konkret dargelegt und unter Beweis gestellt. Auch bleibt unklar, wer eigentlich die Vertragspartner und Betreiber des Bonusprogramms waren. Wenn die Muttergesellschaft aus den USA den Dienstleister ausgesucht und unzureichend kontrolliert hat, wäre dies ebenfalls eine Schadensursache, die auf DSGVO Verstößen beruht, weil die DSGVO sowohl die Auslagerung auf eine US-amerikanische Mutter unter dem Vorbehalt einer Rechtsgrundlage und geeigneter Garantien für dieses Outsourcing unterwirft und nach Art. 28 DSGVO der Dienstleister, der personenbezogene Daten verarbeitet, hinreichend schriftlich verpflichtet und kontrolliert wurde.
Die Beklagte hat sich hier u.a. damit verteidigt, die Klage sei rechtsmißbräuchlich, man müsse die Auftragsverarbeiter nicht konkret benennen, und nach den allgemeinen Darlegungs- und Beweislastregeln habe der Kläger zu beweisen, durch welche Pflichtverstöße konkret die Schäden verursacht seien. Der Artikel 82 Abs. 3 DSGVO sei nicht so wörtlich zu nehmen, wenn dort stehe, dass der Verantwortliche nur von einer Haftung frei kommt, wenn er nachweist, dass er in keinerlei Hinsicht für den Schaden verantwortlich ist. Ferner seien die Schäden wie der Kontrollverlust über die Risiken für den Kläger nach Meldung der Datenpanne und Veröffentlichung in einer großen Datenbank, die Besorgnis über Identitätsdiebstahl, Profilbildung zum Nachteil des Betroffenen, die Spamnachrichten und Spamanrufe kein ersatzfähiger Schaden. Demgegenüber hatte der Kläger argumentiert: Bei der Produkthaftung oder in Filesharing-Fällen hat die Rechtsprechung ebenfalls die Anforderungen an die Darlegung und Beweislast zu Lasten desjenigen, der die Gefahrenquelle beherrscht, verschoben, daher ist das nicht systemwidrig, sondern erforderlich, um dem Datenschutz wirksam zur Geltung zu verhelfen und die DSGVO normiert klar, dass die Betroffenenrechte wie Auskunft und Schadenersatz wirksam sein müssen und hierbei auch ein immaterieller Schadenersatz z.B. für den Kontrollverlust über seine personenbezogenen Daten bei einer Datenpanne vorsieht.
Den Argumenten der Verteidigung stimmte die erkennende Richterin nach Anhörung des Klägers zu den Spamanrufen und Diskussion in einigen Punkten ausdrücklich nicht zu. Zum einen sei es für sie ganz klar nicht rechtsmißbräuchlich, wenn Betroffene nach einer Datenpanne und Veröffentlichung von Kundendatenbanken ihre Rechte auf Auskunft und Schadenersatz gegen die Verantwortlichen nach der DSGVO geltend machen und sie verstehe nicht, warum denn nicht die Mastercard Europe SA wenigstens pauschal ein Friedensangebot in Höhe von z.B. 150 Euro Entschädigung gemacht habe. Belästigende Spamanrufe, die unmittelbar nach der Veröffentlichung einsetzten und erst vor ca. 3 Monaten wieder aufhörten, scheinen doch recht klar im Zusammenhang mit der Veröffentlichung der Kundendatenbanken aus dem streitgegenständlichen Mastercard Priceless Specials Programm zu stehen und die Beklagte war für die Sicherheit des Bonusprogramms verantwortlich. Ob auch die beantragte Enschädigung für die 950 Coins, die der Kläger ebenfalls in Höhe von 1 Euro je Coin geltend macht, weil inzwischen im Gegensatz zu den Angeboten bekannter Marken vor der Datenpanne nur noch recht wertlose Einlösemöglichkeiten von unbekannten Anbietern angeboten werden, ist noch ungewiss. Wie genau das Gericht entscheiden wird, wird spannend.
Termin zur Verkündung einer Entscheidung ist am 18.01.2021.

Update 03.02.2021: Das Landgericht hat in dieser Sache die Klage – wie ich finde zu Unrecht – abgewiesen, der Beklagte beabsichtigt dagegen Berufung einzulegen. Volltext des Urteils siehe hier.

Kategorien
Blogroll Datenschutzrecht

#Whistleblower-Richtlinie kommt – und #DSGVO #Compliance Risiken steigen

In Deutschland kämpfen die meisten Unternehmen mit der Umsetzung der europäischen Datenschutz-Grundverordnung (DSGVO). Nur jede fünfte Firma hat die seit 25.05.2018 gültige EU-DSGVO vollständig umgesetzt und auch Prüfprozesse für ein risikobasiertes, angemessenes Datenschutz- und Datensicherheitsmanagement, wie es die DSGVO vorschreibt, eingerichtet.
37 Prozent haben die Verordnung laut einer Umfrage des Digitalbranchenverbandes Bitkom aber immerhin “größtenteils umgesetzt”, die bitkom am 29.09.2020 veröffentlicht hat.
Das ist bei den sehr unterschiedlichen Signalen, die die zuständigen Aufsichtsbehörden einerseits und der deutsche Gesetzgeber mit nationalen Gesetzes Änderungen, die gerade für KMU die Pflichten und Sanktionen stark absenken sollen, und den großen Herausforderungen, die sich in der Praxis für die Unternehmen im Bereich Kundendaten, Mitarbeiterdaten, Bewerberdaten stellen, kein Wunder. Einerseits gibt es je nach Art und Schwere sowie weltweiter Umsatz des betroffenen Unternehmens bzw. Unternehmensgruppe drakonische Bußgelder wegen Verstößen gegen die DSGVO. So hat zuletzt der Hamburger Datenschutzbeauftragte ein Bußgeld von 35.258.708 Euro gegenüber einer Verarbeitung von intimen privaten Mitarbeiterdaten ohne Rechtsgrundlage gegenüber H&M Hennes & Mauritz Online Shop A.B. & Co.KG mit Sitz in Hamburg verhängt. Dies war ein relativ schwerer Verstoß gegen die Grundsätze, Daten für festgelegte Zwecke nur mit einer legitimen Rechtsgrundlage zu verarbeiten (Art. 5 und Art. 6 DSGVO). Dazu und eine Übersicht über die offiziell bestätigten Bußgelder findet sich auf https://www.enforcementtracker.com/
Das Risiko für Bußgelder, Schadenersatzklagen und nicht zuletzt erhebliche Rufschäden betroffener Unternehmen steigt aus mehreren Gründen. Einer davon ist, dass die EU mit der Whistleblower Richtlinie vom 23.10.2019 – EU 2019/1937 den Staaten auferlegt hat, den Unternehmen ab 50 Mitarbeitern oder Unternehmen aus den Bereichen kritischer Infrastrukturen auch unabhängig von der Mitarbeiterzahl die gesetzliche Pflicht aufzuerlegen, ein System zur anonymen Meldung von Verstößen des Unternehmens gegen EU-Recht einzurichten. Denn dadurch steigt zusätzlich das Risiko, dass Datenschutzverstöße von Mitarbeitern gemeldet werden, wenn sie Nachteile bei der internen Meldung an ihren Arbeitgeber fürchten müssen.
Zwar gilt die Whistleblower-Richtlinie noch nicht unmittelbar, sondern verpflichtet derzeit noch den nationalen Gesetzgeber, diese in nationales Recht umzusetzen, aber sollte der deutsche Gesetzgeber dies nicht oder nicht EU-rechtskonform in der Umsetzungsfrist bis 17. Dezember 2021 (vgl. Artikel Abs. 1 der Richtlinie) zustande bringen, wird die Richtlinie in 2021 bereits unmittelbar geltendes Recht. Es gibt inzwischen auch Anbieter wie z.B. die iwhistle GmbH aus Friedrichsdorf am Taunus, die den Unternehmen die Einrichtung einer solchen anonymen Hinweisgeber-Systems zur Umsetzung der Richtlinie anbieten. Nach den Erfahrungen mit der Umsetzung der DSGVO sollten die Unternehmen hier nicht zu spät beginnen, die entsprechenden Prozesse anzupassen und sich auf die fristgerechte Einrichtung eines solchen Hinweisgebersystems – je früher desto besser – vorbereiten, um die Compliance-Risiken zu begrenzen. Repressalien und sonstige Nachteile gegen die Hinweisgeber sind dann verboten. Spätestens sobald ein Hinweisgeber anonym gemeldet hat, wird die Geschäftsleitung nachweislich über bestehende Verstöße in Kenntnis gesetzt und steigen damit die Risken, dass im Falle eines Untätigbleibens des Unternehmens der Vorstand persönlich für die Schäden haftet. Bei Vorsatz tritt auch die Directors & Officers Haftpflichtversicherung in der Regel nicht ein.

Kategorien
Blogroll Datenschutzrecht Uncategorized

Neue Termine Datenschutz-Workshop: Sind Sie fit für die Datenschutzgrundverordnung (EU-DSGVO)?

Datenschutz-Workshop mit praktischen Tipps zur Umsetzung für KMU

Veranstaltungsort: D-61169 Friedberg (Hessen)

Ist Ihr Unternehmen und sind Ihre Mitarbeiter auf die ab 25.05.2018 gültige EU-Datenschutzgrundverordnung und die Begleitgesetze vorbereitet? Die Änderungen sind gravierend und machen die Umsetzung zur Chefsache in den Unternehmen. Aufsichtsbehörden der Länder haben teilweise bereits Fragebögen versendet, da sie anlaßunabhängig prüfen werden. Hervorzuheben sind dabei:

  • Rechenschaftspflicht und Einrichtung eines effektiven Datenschutzmanagementsystems
  • Organisation des Meldesystems bei Pannen und Informationsrechte der Betroffenen
  • Ausweitung der Betroffenenrechte einschließlich Vermögensschadenersatzansprüche mit Beweislastumkehr
  • drakonischen Erhöhung der Bußgelder nach Artikel 83 bei Verstößen in Höhe von bis 4 % des weltweiten Umsatzes im Unternehmensverbund oder 20 Mio. EURO
  • Haftung und Bußgelder nicht versicherbar

Laut aktueller Umfragen haben viele Unternehmen noch erhebliche Schwierigkeiten, die Vorgaben rechtzeitig richtig umzusetzen und bestehen noch viele Unsicherheiten. Wir wollen Ihnen helfen. Gerne machen wir auch inhouse-Workshops in Ihrem Unternehmen, sprechen Sie uns an.

Für eine praxistaugliche Anleitung und Tipps, wie ein effektives und rechtskonformes Datenschutzmanagement eingerichtet und fortlaufend effizient durchgeführt werden kann, referiert der langjährig erfahrene Datenschutzbeauftragte Peter Suhling aus Weinheim (suhling.biz). Er ist ISO 27001 Lead Auditor Managementsysteme, Datenschutzbeauftragter, KRITIS-Auditor.

>update 02.01.2018: Ferner vermittelt Thomas Novak, IT-Sicherheitsspezialist und Geschäftsführer der @one it GmbH (http://www.one-it.de) den Teilnehmern wichtiges aktuelles Sicherheits-Know-how zur Abwehr von Hacking-Angriffen auf Ihre Unternehmenssysteme in einer kurzen Präsentation mit dem Titel „Cyber Defense für Windows-Umgebungen im deutschen Mittelstand“.<

Für die rechtlichen Fragestellungen möchte ich aus anwaltlicher Sicht als Fachanwältin für IT-Recht aus meiner Praxis eine Einführung geben und berichten, was Unternehmer zu der Reform meines Erachtens wissen sollten. Anhand aktueller Beispiele will ich Sie bei der Umsetzung unterstützen. Anschließend bietet der Workshop in kleinem Teilnehmerkreis die Möglichkeit zu vertiefender Diskussion.

Veranstaltungsort: Kanzlei Hagendorff, Am Straßbach 2 (Eingang Pfingstweide), 61169 Friedberg (Hessen)

Mindestteilnehmerzahl: 8 Teilnehmer

Teilnahmeentgelt 369 € zzgl. 19 % USt. je Teilnehmer, ab 2. Teilnehmer je Unternehmen 269 € zzgl.USt. inklusive Getränke

Zielgruppe: Datenschutzbeauftragte, Führungskräfte aus kleinen und mittelständischen Unternehmen, Betriebsräte, Selbständige

Veranstaltet von Stefanie Hagendorff – it-fachanwaeltin.de

P.S. Bitte nutzen Sie diese Unterlagen für die Anmeldung: Sind Sie fit für die EU-DSGVO(T2+3)2