Kategorien
Blogroll Datenschutzrecht Schadenersatzrecht Uncategorized Verbraucherschutz

EUGH klärt Streitfrage zur #DSGVO Auskunftspflicht über die Identität der Empfänger

Mit dem Urteil des Europäischen Gerichtshofs (EuGH, Urteil vom 12.01.2023, C 154/21 (Österreichische Post AG) ist endlich eine der zentralen Streitpunkte zur DSGVO-Auskunftspflicht geklärt, nämlich dass der Verantwortliche über den Namen und Identität der Serviceprovider und sonstigen Empfänger der personenbezogenen Daten seines Mitarbeiters oder Kunden informieren muss. Das war bisher bei zahlreichen meiner Mandate einer der zentralen Streitpunkte, die oft gerade auch nach Datenpannen vor Gericht gelandet sind, weil die Verantwortlichen hier eine klare Auskunft verweigert haben. Ein Beispiel ist bei mir (unter vielen) der immer noch anhängige Rechtsstreit vor dem OLG Frankfurt, bei dem Mastercard Europe SA nach der Datenpanne in 2019 bei Mastercard Priceless Specials keine korrekte Auskunft über die Identität des Serviceproviders erteilt hat und erst als wir diese durch intensive überobligationsmäßige Recherchen in II. Instanz herausgefunden haben, den Serviceprovider aus Österreich und UK mitverklagt haben, der Kläger in dem Punkt Klarheit erlangt hat; hier hat also sehr mühsam und viel zu spät der Kläger erst aufgrund des weiteren Vortrags in den Berufungserwiderungen hierüber Klarheit erlangt und hat die Verletzung der Auskunftspflicht den Schaden noch vergrößert. Wegen des Schadenersatzes dafür wird noch auf die Entscheidung zu warten sein. Das Thema ist in vielen Branchen sehr relevant, gerade auch in der Versicherungswirtschaft, Finanzwesen, Gesundheitsbereich, e-Learning, Forschung und Entwicklung sowie öffentliche Verwaltung.

Wie der EuGH klargestellt hat, ist der Verantwortliche, wenn personenbezogene Daten gegenüber Empfängern offengelegt worden sind oder noch offengelegt werden sollen, verpflichtet, der betroffenen Person auf Anfrage die Identität der Empfänger mitzuteilen.
Nur wenn es (noch) nicht möglich ist, diese Empfänger zu identifizieren, kann sich der Verantwortliche darauf beschränken, lediglich die Kategorien der betreffenden Empfänger mitzuteilen.
Dies gilt ebenfalls, wenn der Verantwortliche nachweist, dass der Antrag offenkundig unbegründet oder exzessiv ist.

Grund ist, dass der Kerngehalt der informationellen Selbstbestimmung verletzt wird und ein Kontrollverlust einsetzt, wenn der Verantwortliche die Identität der Auftragsverarbeiter und Geschäftspartner, an die er übermittelt, geheimhalten darf. Der Auftragsverarbeiter kann ja vom Betroffenen z.B. bei einer schuldhaften Datenpanne auch als Gesamtschuldner in Anspruch genommen werden. Soweit der Wortlaut von Art. 12, 15 DSGVO scheinbar ein Wahlrecht einräumt, sind damit nur die Fälle gemeint, in denen die Identität für den Verantwortlichen selbst nicht ermittelbar ist – etwa nach einer Datenpanne oder andere Ausnahmefälle, in denen wegen der Menge das Auskunftsersuchen des Betroffenen sinnlos und exzessiv ist.

Praxistipp: Unternehmen sollten ihre Praxis bei Auskunftsersuchen und die Datenschutzerklärungen hierzu ergänzen. Betroffene können wegen der Verletzung dieser Pflicht ggfs. Schadenersatzansprüche geltend machen und sich bei Aufsichtsbehörden beschweren (beides unabhängig voneinander wie der EUGH ebenfalls am 12.1.2023 in einem weiteren Urteil klargestellt hat). Bei Rückfragen dazu stehe ich gerne zur Verfügung, nehmen Sie gerne Kontakt zu mir auf.
Den Volltext des EUGH Urteils gibt es hier: Den https://curia.europa.eu/juris/document/document.jsf?text=&docid=269146&pageIndex=0&doclang=DE&mode=req&dir=&occ=first&part=1&cid=186062

Kategorien
Blogroll Datenschutzrecht Internetrecht Schadenersatzrecht Schadensrecht

Handlungsempfehlungen aus Anlass der DSGVO-Abmahnwelle wegen Google Fonts

Handlungsempfehlungen zum richtigen Umgang mit den #Abmahnungen wegen Google #Webfonts #DSGVO #Webseitenchecks #Abmahnwelle

Hintergrund: Webfonts sind Schriften, die für Webseiten entweder lokal auf den eigenen Webservern gespeichert sind oder dynamisch bei Google, Adobe oder anderen Anbietern kostenlos abgerufen werden können. Letzteres ist eindeutig nicht vereinbar mit der DSGVO und § 25 TTDSG (dem deutschen Datenschutzgesetz für Webseitenbetreiber), weil dann beim Aufruf der Seite die Google Schriften von den dortigen Servern nachgeladen werden und hiermit personenbezogene Nutzerdaten unbefugt an Google gesendet werden. Seit Juni 2022 versenden einige Abmahner mit oder ohne Anwalt Aufforderungsschreiben an Firmen und Vereine, die eine Webseite betreiben und Google Dienste ohne Zustimmung des Nutzers bei Aufruf der Seite nachladen. Auslöser war ein Urteil des Landgerichts München, das einem Nutzer 100 Euro Schadenersatz nach Art. 82 DSGVO zugesprochen hat wegen datenschutzrechtswidrigem Nachladen von Google Diensten wie Webfonts von den Google Servern bei Aufruf der Webseite des beklagten Unternehmens. Dadurch werden Nutzerdaten wie die IP-Adresse und weitere Profildaten an die Google Server in die USA zum Abruf der dort gespeicherten Schriften nachgeladen. Dies ist nach Art. 5, 6 DSGVO i.V.m. § 25 TTDSG nicht zulässig, weil diese dynamische Einbindung der Schriften nicht technisch notwendig ist und Google zu großen Mengen an Daten darüber liefert, welche Nutzer wann welche Seiten im Internet aufgerufen haben. Inzwischen ist bekannt geworden, dass die Abmahner auch vor Gericht Widerspruch gegen eine einstweilige Verfügung des Landgerichts Baden Baden eingelegt haben und vor dem Landgericht Mosbach ein Klage auf Auskunft, Unterlassung und Schadenersatz eingereicht haben. Es ist also ab kommenden Jahr mit weiteren Gerichtsverfahren zu rechnen.

Sind die Abmahnungen berechtigt?:

Die meisten sind es nicht, aber eine verbindliche Einschätzung kann ich nur in Ihrem individuellen Einzelfall treffen. Bei den massenweise versendeten Abmahnungen einzelner Auftraggeber ist ein redlicher Anspruch jedenfalls hinsichtlich des Schadenersatzbegehrens nicht anzunehmen. [ update 22.12.2022: Inzwischen hat die Generalstaatsanwaltschaft Berlin wegen des Verdachts des Betruges im Falle der Abmahnwelle des Berliner Anwaltes L. zu Google Fonts im Auftrag der „IG Datenschutz“ Hausdurchsuchungen durchgeführt und 346.000 Euro sichergestellt. Siehe Beitrag dazu hier ]

Aber der Nachweis des vorsätzlichen Rechtsmissbrauchs ist erfahrungsgemäß vor Gericht nicht einfach. Die Gerichte haben bei vergangenen Abmahnwellen oft argumentiert, viele Rechtsverletzungen erfordern viele Abmahnungen und die Pflicht zur Einhaltung lässt sich nicht wegdiskutieren. Zwar sind Abmahnungen dieser Art dann rechtsmissbräuchlich, wenn die Nutzer gezielt mit einem Webcrawler Webseiten aufsuchen, um die Betreiber zur Zahlung von Schadenersatz aufzufordern. Zeitungsartikel mit Berichten über #Abmahnwellen sind jedoch vor Gericht kein Beweismittel für die automatisierten Scans und die massenweise Versendung durch die gleiche Person. Zudem können Verbraucher ihre Ansprüche an Inkassodienstleister abtreten, damit diese gebündelt Schadenersatzforderungen durchsetzen können – das hat der Bundesgerichtshof zu wenigermiete.de und anläßlich anderer Sammelklagen in Verbrauchersachen entschieden.

Wenn aber ein einzelner Betroffener gezielt in gewerblichem Umfang massenweise Webseiten aufsuchen lässt, nur um den Schadenersatz als Einnahmen massenweise einzufordern, wird ein Rechtsmißbrauch anzunehmen sein. Denn dann geht es den Abmahnern nicht um die Wahrnehmung ihrer Rechte auf informationelle Selbstbestimmung nach der DSGVO, sondern um ein Geschäftsmodell zur Generierung von Einnahmen. Dies ist nach § 242 BGB rechtsmißbräuchlich und dürfte einen rechtswidrigen Eingriff in den Gewerbebetrieb des Seitenbetreibers sein. Deshalb sollten Sie den geforderten Schadenersatz – selbst wenn es „nur“ 170 Euro sind – nicht an die abmahnende Anwaltskanzlei bezahlen, sondern helfen, Beweise für die massenhafte Versendung durch einen Webcrawler zu sichern. Lassen Sie sich durch diese Bagatellbeträge nicht in die Irre führen, denn die Abmahner sammeln wahrscheinlich massenweise Gelder ein und werden wahrscheinlich auch klagen. Das haben andere Abmahnwellen nach meiner anwaltlichen Erfahrung im Bereich Urheberrecht oder Wettbewerbsrecht in den letzten Jahren gezeigt.

Handlungsempfehlungen:

1. Werfen Sie das Abmahnschreiben mit Umschlag und den Anlagen nicht weg, sondern geben Sie es lieber mir. Die Beweise für die massenweise Versendung sollten gesammelt werden, weil eine Klagewelle in den nächsten Jahren wahrscheinlich ist. Gerne können Sie mir mißbräuchliche Abmahnschreiben zum Sammeln der Beweise des Rechtsmißbrauchs der Abmahner vorsorglich für den Fall einer späteren Klage kostenlos an info@it-fachanwaeltin.de oder an meine Kanzleiadresse zusenden. Meine Postadresse finden Sie hier Kontakt Kanzlei Stefanie Hagendorff. Ich bin anwaltlich zur Verschwiegenheit verpflichtet und verwende die Daten nur, um anhand der anonymisierten Daten für den Fall einer Klagewelle vor Gericht für die späteren Beklagten Parteien mit Aussicht auf Erfolg nachweisen zu können, ob der Kläger einen Webcrawler verwendet hat und deshalb mißbräuchlich vorgegangen ist.

2. Falls die Schreiben auch Auskunftsverlangen enthalten, ist Vorsicht geboten. Dann ist anwaltlicher Rat sinnvoll. Hierzu berate ich Sie gerne, denn ein falscher Umgang mit den Auskunftsersuchen kann das Risiko einer Schadenersatzklage unnötig erhöhen.

3. Lassen Sie Ihre Webseite von einem geeigneten IT-Sicherheitsdienstleister überprüfen und scannen. Senden Sie die Prüfberichte Ihrem Webdesigner mit der Bitte, diese Datenschutzverstöße zu beheben. Falls hoffentlich kein Verstoss feststellbar ist, dokumentieren Sie auch diese Scans zu Ihrer Entlastung (Stichwort Beweissicherung und Rechenschaftspflicht) und archivieren Sie diese in Ihrem Ordner für das Datenschutzmanagement. Die regelmäßige Kontrolle ist auch unter IT-Sicherheitsaspekten in Ihrem eigenen Interesse. Fragen Sie Ihre Webagentur oder wenden sich an geeignete IT-Dienstleister, die professionelle IT-Schwachstellenanalysen und Google Webfont Scans einschließlich aller Unterseiten erstellen und Hilfe bei der Analyse etwaigen Handlungsbedarfs und Fehlerbeschreibung für den Fachmann diesbezüglich anbieten, z.B. locaterisk.com, https://sicher3.de/ https://54gradsoftware.de/blog/google-fonts-checker oder https://dr-dsgvo.de/webseiten-check/

4. Falls die gegnerische Anwaltskanzlei oder ein Betroffener eine DSGVO-Auskunft verlangt und behauptet, der Auftraggeber habe zu einem bestimmten Zeitpunkt mit einer bestimmten IP-Adresse Ihre Webseite aufgerufen, können Sie auf die hoffentlich korrekte Datenschutzerklärung verweisen, da Sie den Nutzer ja in der Regel nicht identifizieren können und daher keine individuelle Auskunft möglich ist bzw. nur eine sogenannte Negativauskunft. Achten Sie darauf, dass Logfiles über die Zugriffe auf Ihre Webseite nur solange gespeichert werden wie nötig; das sind nicht 30 Tage oder länger, sondern maximal 7 Tage. Logfiles mit den Protokolldaten, die bei Aufruf der Webseite kurz gespeichert werden, um den Dienst zu erbringen und aus Gründen der IT-Sicherheit und Funktionsfähigkeit Fehler der Website zu analysieren und ggfs. abzuwehren, dürfen nur eine kurze Zeit für diese Zwecke gespeichert werden und müssen danach automatisch gelöscht werden. Anderes gilt nur, wenn Vorfälle dokumentiert werden und ausgewertet werden müssen, damit keine unbemerkten Angreifer in Ihre IT-Systeme eindringen und Accounts übernehmen.

5. Bitte keine Checkboxen mit einer „Einwilligung in Datenschutzbestimmungen“. Häufig ist auch die Datenschutzerklärung nicht korrekt oder es werden fälschlicherweise Checkboxen zur „Einwilligung“ in die „Datenschutzbestimmungen“ bei Kontaktformularen verwendet. Das ist nicht ratsam und sollten Sie ändern. Die Datenschutzhinweise werden sonst Bestandteil von AGB und das ist für Sie als Unternehmen in dem Fall nicht gut. Denn die Datenschutzhinweise müssen ohne Zustimmung der Nutzer jeweils bei Bedarf aktualisiert werden und stellen nur Pflichtinformationen dar, keine AGB.

6. Ohne Zustimmung aktivierte Cookies und falsch eingebundene Cookie-Banner: Klar, die Cookie-Banner sind nervig. Aber Jammern hilft nichts. Entgegen der insoweit eindeutigen Rechtslage nach Art. 5, 6 DSGVO i.V.m. § 25 TTDSG werden auf vielen Webseiten in der Datenschutzerklärung bei Aufruf der Webseite Cookies auf Basis einer Interessenabwägung gesetzt, ohne danach zu unterscheiden, ob sie technisch unbedingt notwendig sind oder nur für statistische und Marketingzwecke oder Mediendienste erwünscht. Der Nutzer muss jedoch die Wahl haben und eine informierte Zustimmung in Marketing-Cookies zu erteilen oder die Möglichkeit haben, diese abzulehnen oder Details abzurufen und auch die Änderungen seiner Zustimmung zu speichern. Nach insoweit gefestigter höchstrichterlicher Rechtsprechung sind die nicht unbedingt notwendigen Cookies oder sonstigen Tracker nur mit einer freiwilligen, informierten vorherigen Zustimmung des Nutzers erlaubt.

Fazit: Typische Fehler dieser Art führen zu Abmahnungen und dies wird künftig auch zunehmen, daher sollten Sie die Verstöße auf Ihrer Webseite beheben und sich auf mögliche Klagewellen vorbereiten. Nach einem aktuellen Urteil des Landgerichts München kann jeder Nutzer (also nicht ein Webcrawler, der im Auftrag mißbräuchlicher Abmahner, die Webseiten scannt nur um Schadenersatzansprüche zu „generieren“) 100 Euro immateriellen Schadenersatz nach Art. 82 Abs. 1 DSGVO vom Webseitenbetreiber verlangen. Die Tendenz der anderen Gerichte ist noch nicht eindeutig, aber immer mehr Gerichte sprechen immateriellen Schadenersatz zu, um die effektive Durchsetzung der Datenschutzvorschriften im Interesse der Betroffenen zu erreichen. Das Urteil des Landgerichts München hat Serienabmahnungen wie aktuell z.B. diejenigen des Rechtsanwalt Kilian Lenard aus Berlin im Auftrag von M. I. aus H. und anderer Abmahner ausgelöst, die voraussichtlich nach der Taktik der Abmahner auch zu Klagen führen wird. Auch wenn es lästig ist, also nicht einfach nur in die Tonne treten, sondern sich auf künftige Abmahnwellen oder Klagen vorbereiten und der Community helfen mit gutem Austausch der Informationen.

7. Oft finden Betroffene oder Abmahner noch weitere Fehler in der Datenschutzerklärung z.B. das Fehlen des Hinweises auf das Recht des Betroffenen, bei einem Datenschutzverstoß eine Beschwerde nach Art. 12 DSGVO bei einer Aufsichtsbehörde nach Art. 77 DSGVO einzureichen.

8. Gewerbetreibende oder Freiberufler mit zulassungspflichtigen Berufen, machen auch häufig Fehler bei den Pflichtangaben im Impressum. Nach § 5 Abs. 1 Nr. 5 TMG müssen bei Berufen, die wie z.B. bei Heilpraktikern oder einem Elektromeister entsprechende Dienstleistungen nur mit einem Befähigungsnachweis einer gesetzlich zuständigen Stelle wie etwa Gesundheitsamt oder Handwerkskammer angeboten werden dürfen, weitere Angaben machen. Es ist die für Sie zuständige Aufsichtsbehörde oder Stelle anzugeben, also etwa Handwerkskammer oder Innung oder Gesundheitsamt mit den Kontaktdaten, die gesetzliche Berufsbezeichnung und der Staat, in dem die Berufsbezeichnung verliehen worden ist und die Bezeichnung der berufsrechtlichen Regelungen und Links zu den Vorschriften, denen der Anbieter für diesen Beruf unterliegt. https://www.gesetze-im-internet.de/tmg/__5.html

Ich hoffe, die Tipps helfen Ihnen weiter. Wenn ich Ihnen mit einem rechtlichen Webseitencheck helfen soll (DSGVO, Urheber- und Markenrecht, Wettbewerbsrecht…), Vertragsprüfungen, Haftung der Webagentur oder Sie weitere Fragen zum Thema haben, schreiben Sie mir gerne dazu eine Nachricht oder sprechen Sie mich an. Herzliche Grüße Stefanie Hagendorff, Rechtsanwältin und Fachanwältin für IT-Recht Kontakt

Kategorien
Blogroll Datenschutzrecht Werberecht Wettbewerbs- und Werberecht Wettbewerbsrecht

OLG Karlsruhe: Krankenhaus darf AWS Hostingdienstleistungen mit Servern in Frankfurt einsetzen

AWS-Cloud der luxemburgischen Tochter kann DSGVO-konform mit vertraglichen Zusage und Servern in Frankfurt eingesetzt werden
Mit Beschluss vom 7.9.2022 hat das OLG Karlsruhe die umstrittene Entscheidung der Vergabekammer Baden-Württemberg vom 13.07.2022 aufgehoben, mit der ein Wettbewerber erfolgreich den Ausschluss eines Anbieters mit AWS-Cloud wegen Verstoß gegen die DSGVO in einem Vergabeverfahren eines öffentlich-rechtlichen Krankenhauses erwirkt hatte. Laut Vorinstanz (Vergabekammer Baden-Württemberg 13.7.2022, – 1 VK 23/22) war das Angebot mit AWS-Cloudservices trotz Vertrag mit der luxemburgischen Tochter und Serverstandort Frankfurt am Main nicht vereinbar mit der DSGVO, weil das latente Risiko eines Zugriffs der US-amerikanischen Mutter bzw. der US-Behörden auf die sensiblen Patientendaten bestehe, und zwar auch dann, wenn wie hier die Daten in einer europäischen Serverumgebung der luxemburgischen Tochtergesellschaft des US-amerikanischen Amazon-Web-Services-AWS-Konzerns gespeichert sind. Laut Vorinstanz sei der Serverstandort Frankfurt am Main unbeachtlich, da allein die latente Möglichkeit des Zugriffs der US-Behörden oder US-Muttergesellschaft Amazon Web Services aufgrund der US-amerikanischen Gesetzeslage ein erhebliches latentes Risiko einer unzulässigen Übermittlung der Patientendaten in die USA darstelle. Die USA ist datenschutzrechtlich ein unsicheres Drittland, in dem europäische Patienten praktisch keinen Rechtsschutz wegen Verletzung ihrer Datenschutz- und Persönlichkeitsrechte haben. Diese umstrittene Entscheidung hatte Aufsehen erregt, da es ja nur um das latente Risiko einer Übermittlung oder Zugriff aus den USA ging, die Server in Frankfurt/Main in einem sicheren Rechenzentrum stehen und AWS vertraglich zusichert, dass kein Zugriff aus Drittländern wie den USA gewährt wird. Nun hat laut Pressemeldung des Gerichts das OLG Karlsruhe mit Beschluss vom 7.9.2022, Aktenzeichen 15 Verg8/22 diese Entscheidung wieder aufgehoben. Die Entscheidung ist rechtskräftig.

Auftraggeber kann sich auf Zusagen verlassen, solange keine anderen Anhaltspunkte bekannt sind
Laut Pressemeldung ist der wesentliche Grund, dass die Krankenhausgesellschaft sich nach Ansicht des Senats durchaus auf die verbindlichen vertraglichen Zusagen des Anbieters verlassen dürfe, dass die Daten allein auf den Servern in Frankfurt am Main der luxemburgischen Tochter von AWS gespeichert bleibe und hierfür auch technische und organisatorische Maßnahmen getroffen worden seien. Erst wenn es tatsächliche Anhaltspunkte dafür gebe, dass die vertraglich gemachten Zusagen insofern nicht eingehalten werden, gelte anderes.

Praxishinweis
Damit hat das OLG Karlsruhe ein für die Praxis wichtige Entscheidung getroffen, wonach unter Umständen auch europäische Tochtergesellschaften, die entsprechende vertragliche und technisch-organisatorische Maßnahmen zum Schutz vor unbefugten Zugriffen getroffen haben, einsetzbar sind. Dies ist für die Praxis in vielen Bereichen wichtig, da gerade im Bereich von Hosting und sonstigen Clouddiensten oft US-amerikanische Unternehmen verbundene Unternehmen der europäischen Anbieter sind und auf diese Weise in vielen Bereichen viele Anbieter für deutsche oder europäische Anwenderunternehmen nicht DSGVO-konform einsetzbar wären, wenn sensible Kunden- oder Mitarbeiterdaten im Spiel sind. update: Die Entscheidung liegt inzwisschen im Volltext OLG Karlsruhe (Az.15 Verg 8/22) vor. Stark verkürzt ergibt sich die wesentliche Begründung bereits aus der Pressemeldung vom 7.9.2022 OLG Karlsruhe Beschluss Az. 15 Verg 8/22

Haben Sie ähnliche Fragen?
Haben Sie Fragen zur DSGVO-Konformität oder andere vertragliche Fragen beim Einsatz eines IT-Dienstleisters? Gerne übernehme ich eine Vertragsprüfung und berate Sie hierzu, damit Sie eine Haftung oder Bußgelder bei Rechtsverstößen vermeiden können. Schreiben Sie mir gerne eine Nachricht mit qualifizierter Anfrage.

Kategorien
Blogroll Datenschutzrecht Internetrecht Schadensrecht Verbraucherschutz

#DSGVO: Bundesverfassungsgericht zur Vorlagepflicht bei Klageabweisung wegen immateriellem Schadenersatz nach Art. 82

Das Bundesverfassungsgericht (BVerfG) hat in einem Beschluss vom 14. Januar 2021 (Az.: 1 BvR 2853/19) einer Verfassungsbeschwerde stattgegeben und dem Amtsgericht Goslar aufgegeben, eine unionsrechtlich nicht geklärte Frage zur Schadenersatzpflicht bei Datenschutzverstößen von Unternehmen nach Art. 82 DSGVO dem Europäischen Gerichtshof (EUGH) zur klärenden Entscheidung vorzulegen. Indem das Amtsgericht über die entscheidungserhebliche Frage, ob die Schadenersatzpflicht nach Art. 82 DSGVO auch in Bagatellfällen besteht oder eine Erheblichkeitsschwelle als ungeschriebene Tatbestandsvoraussetzung zu statuieren ist, selbst entschieden hat, ohne die Sache dem EUGH vorzulegen, hat das Amtsgericht das Grundrecht des Klägers auf seinen gesetzlichen Richter nach Art. 101 Grundgesetz (GG) verletzt. Eine solche Erheblichkeitsschwelle findet sich nämlich nicht in der DSGVO und ist auch nicht den Erwägungsgründen zu entnehmen. Deshalb war dann nach Erschöpfung des Rechtswegs die Verfassungsbeschwerde erfolgreich.
Das Bundesverfassungsgericht hat nun dafür gesorgt, dass die praxisrelevante Frage nun endlich dem EUGH zur unionseinheitlichen Auslegung und klärenden Entscheidung vorgelegt wird. Der Amtsrichter hätte hier die noch nicht unionsrechtlich geklärte, hier aber entscheidungserhebliche Frage, ob ein Bagatellverstoß bestehend aus einer einzelnen Spam-E-Mail oder ähnliche Bagatellverstöße schadenersatzpflichtig nach Art. 82 DSGVO sind oder nicht, nach Art. 267 AEUV dem Europäischen Gerichtshof zur Entscheidung vorlegen müssen.
Den Hintergrund des Streits gut erklärt hat Rechtsanwalt Wybitul, der für seine internationalen Klienten mit seinem Team zunehmend mit der Abwehr von vielen Schadenersatzklagen bei der Kanzlei Latham & Watkins beschäftigt ist und dessen Mandanten ein hohes Interesse haben, Bagatellgrenzen, Rechtsmissbrauch und andere Argumente gegen die Schadenersatzklagen Betroffener bei Datenschutzverletzungen von großen Unternehmen zu Felde zu ziehen – hier https://www.cr-online.de/blog/

Hierbei muss ich sagen, dass es doch sehr erstaunlich ist, was die Richter in dem Bestreben, die Sache einfach arbeitssparend abzuweisen, alles als Bagatelle abtun… aber dazu an anderer Stelle…

Die Entscheidung wird aber noch weitere Folgen haben, nicht nur die Klärung der Frage zu der Erheblichkeitsschwelle: Im Zusammenhang mit den Schadenersatzklagen gibt es noch eine Reihe weiterer nicht geklärter Fragen zur Auslegung der DSGVO, insbesondere solche zur Auslegung der Auskunftsrechte des Betroffenen nach Art. 13-15 DSGVO. Sie sind weit gefasst und sollen es nach dem Erwägungsgründen dem Betroffenen ermöglichen, zu erfahren, wer auf welcher Grundlage personenbezogene Daten verarbeitet (Transparenzgebot) und deren Rechtmäßigkeit zu prüfen bzw. bei Datenschutzverstößen, die ihn geschädigt haben, wenigstens Schadenersatzansprüche nach Art. 82 DSGVO effektiv durchsetzen zu können (Stichwort informationelle Selbstbestimmung als Schutzgut von Art. 8 Grundrechtecharta (GrCH) sowie der DSGVO). Während bisher die deutsche Richterschaft mehrheitlich dem alten Konzept von der Persönlichkeitsrechtsverletzung, die nur bei schweren Eingriffen ein Schmerzensgeld auslöste verhaftet bleibt, versucht die DSGVO unserer zunehmenden Digitalisierung gerecht zu werden. Daher ist der DSGVO richtigerweise nach meiner Einschätzung keine solche Erheblichkeitsgrenze zu entnehmen, sondern sind diese Fragen einfach bei der Entscheidung über die Höhe der Entschädigung zu berücksichtigen. Während im Einzelfall eine E-mail oder andere Bagatellverstöße nicht schwerwiegend sein mögen, zahlen sich die massenweise rechtswidrige Weiterverarbeitung von personenbezogenen Daten in einem Kontrollverlust für jeden Einzelnen bemerkbar, der es ohne eine effektive Rechtsdruchsetzung auch kleiner Verstöße nicht wirksam eingedämmt werden kann. Es ist daher zu erwarten, dass nunmehr infolge dieses Paukenschlags des BVerfG nun in einer Reihe weiterer Schadenersatzklagen die Gerichte ihre Vorlagepflicht besser prüfen werden und weitere umstrittene Zweifelsfragen zur Auslegung und Reichweite der Auskunftsansprüche der DSGVO nach Art. 267 AEUV dem Europäischen Gerichtshof zur Klärung vorlegen müssen.

Kategorien
Blogroll Datenschutzrecht

#Whistleblower-Richtlinie kommt – und #DSGVO #Compliance Risiken steigen

In Deutschland kämpfen die meisten Unternehmen mit der Umsetzung der europäischen Datenschutz-Grundverordnung (DSGVO). Nur jede fünfte Firma hat die seit 25.05.2018 gültige EU-DSGVO vollständig umgesetzt und auch Prüfprozesse für ein risikobasiertes, angemessenes Datenschutz- und Datensicherheitsmanagement, wie es die DSGVO vorschreibt, eingerichtet.
37 Prozent haben die Verordnung laut einer Umfrage des Digitalbranchenverbandes Bitkom aber immerhin „größtenteils umgesetzt“, die bitkom am 29.09.2020 veröffentlicht hat.
Das ist bei den sehr unterschiedlichen Signalen, die die zuständigen Aufsichtsbehörden einerseits und der deutsche Gesetzgeber mit nationalen Gesetzes Änderungen, die gerade für KMU die Pflichten und Sanktionen stark absenken sollen, und den großen Herausforderungen, die sich in der Praxis für die Unternehmen im Bereich Kundendaten, Mitarbeiterdaten, Bewerberdaten stellen, kein Wunder. Einerseits gibt es je nach Art und Schwere sowie weltweiter Umsatz des betroffenen Unternehmens bzw. Unternehmensgruppe drakonische Bußgelder wegen Verstößen gegen die DSGVO. So hat zuletzt der Hamburger Datenschutzbeauftragte ein Bußgeld von 35.258.708 Euro gegenüber einer Verarbeitung von intimen privaten Mitarbeiterdaten ohne Rechtsgrundlage gegenüber H&M Hennes & Mauritz Online Shop A.B. & Co.KG mit Sitz in Hamburg verhängt. Dies war ein relativ schwerer Verstoß gegen die Grundsätze, Daten für festgelegte Zwecke nur mit einer legitimen Rechtsgrundlage zu verarbeiten (Art. 5 und Art. 6 DSGVO). Dazu und eine Übersicht über die offiziell bestätigten Bußgelder findet sich auf https://www.enforcementtracker.com/
Das Risiko für Bußgelder, Schadenersatzklagen und nicht zuletzt erhebliche Rufschäden betroffener Unternehmen steigt aus mehreren Gründen. Einer davon ist, dass die EU mit der Whistleblower Richtlinie vom 23.10.2019 – EU 2019/1937 den Staaten auferlegt hat, den Unternehmen ab 50 Mitarbeitern oder Unternehmen aus den Bereichen kritischer Infrastrukturen auch unabhängig von der Mitarbeiterzahl die gesetzliche Pflicht aufzuerlegen, ein System zur anonymen Meldung von Verstößen des Unternehmens gegen EU-Recht einzurichten. Denn dadurch steigt zusätzlich das Risiko, dass Datenschutzverstöße von Mitarbeitern gemeldet werden, wenn sie Nachteile bei der internen Meldung an ihren Arbeitgeber fürchten müssen.
Zwar gilt die Whistleblower-Richtlinie noch nicht unmittelbar, sondern verpflichtet derzeit noch den nationalen Gesetzgeber, diese in nationales Recht umzusetzen, aber sollte der deutsche Gesetzgeber dies nicht oder nicht EU-rechtskonform in der Umsetzungsfrist bis 17. Dezember 2021 (vgl. Artikel Abs. 1 der Richtlinie) zustande bringen, wird die Richtlinie in 2021 bereits unmittelbar geltendes Recht. Es gibt inzwischen auch Anbieter wie z.B. die iwhistle GmbH aus Friedrichsdorf am Taunus, die den Unternehmen die Einrichtung einer solchen anonymen Hinweisgeber-Systems zur Umsetzung der Richtlinie anbieten. Nach den Erfahrungen mit der Umsetzung der DSGVO sollten die Unternehmen hier nicht zu spät beginnen, die entsprechenden Prozesse anzupassen und sich auf die fristgerechte Einrichtung eines solchen Hinweisgebersystems – je früher desto besser – vorbereiten, um die Compliance-Risiken zu begrenzen. Repressalien und sonstige Nachteile gegen die Hinweisgeber sind dann verboten. Spätestens sobald ein Hinweisgeber anonym gemeldet hat, wird die Geschäftsleitung nachweislich über bestehende Verstöße in Kenntnis gesetzt und steigen damit die Risken, dass im Falle eines Untätigbleibens des Unternehmens der Vorstand persönlich für die Schäden haftet. Bei Vorsatz tritt auch die Directors & Officers Haftpflichtversicherung in der Regel nicht ein.

Kategorien
Blogroll Datenschutzrecht Uncategorized Verbraucherschutz

Auskunftsersuchen für abgewiesene Bewerber – Mustervorlage

Meine Online-Bewerbung ([title job]) und Ihre Absage vom tt.mm.yy

Sehr geehrte Frau/sehr geehrter Herr [Name],

ich bitte um Auskunft gemäß Art. 15 DSGVO. Bitte bestätigen Sie mir, ob Sie mich betreffende personenbezogene Daten verarbeiten (vgl. Art. 4 Nr.1 und 2 DSGVO).

In diesem Fall bitte ich Sie im Sinne des Art. 15 Abs. 1 DSGVO um Auskunft über:

1. sämtliche personenbezogenen Daten, die Sie zu meiner Person gespeichert haben einschließlich Beurteilungen, Gesprächsnotizen, Einschätzungen und Vermerke zu meiner Person und Gründe, die zu der Beurteilung geführt haben;

2. die Verarbeitungszwecke;

3. die Kategorien personenbezogener Daten, die verarbeitet werden;

4. die Empfänger mit Name, Firma, Anschrift oder soweit dies nicht vollständig möglich ist, die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden;

5. falls möglich die geplante Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;

6. wenn die personenbezogenen Daten nicht bei mir erhoben wurden, alle verfügbaren Informationen über die Herkunft der Daten;

7. falls zutreffend, das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Art. 22 Abs. 1 und 4 DSGVO und – sofern gegeben – aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für meine Person.

Sofern Sie meine personenbezogenen Daten an ein Drittland oder an eine internationale Organisation übermitteln, bitte ich über die Rechtsgrundlage und geeigneten Garantien gemäß Art. 46 DSGVO im Zusammenhang mit der Übermittlung unterrichtet zu werden.

Ich bitte Sie, mir die betreffenden personenbezogenen Daten, die ich Ihnen zur Verfügung gestellt habe, im Sinne des Art. 20 Abs. 1 DSGVO in einem strukturierten, gängigen und maschinenlesbaren Format z.B. csv oder durchsuchbares PDF zu übermitteln.

Meine Anfrage schließt explizit auch sämtliche weiteren Angebote und Unternehmen ein, für die Sie Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO sind. Bitte erteilen Sie mir Ihre Auskunft entsprechend Art. 12 Abs. 3 DSGVO _unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang. Sie hat nach Art. 15 Abs. 3 DSGVO kostenlos zu erfolgen.

Mit freundlichen Grüßen

…..[Name]…“ Sie können das Muster soweit es für Sie passt gerne verwenden und müssen aber darauf achten, die für Sie zutreffenden Namen und Daten einzutragen.


———-

Benötigen Sie Hilfe? Bei Datenschutzverletzungen sind in der Regel wegen der Schwierigkeit die Anwaltskosten erstattungsfähig, so auch im Fall des OLG Frankfurt im Xing-Irrläufer-Fall.

Kategorien
Blogroll Datenschutzrecht Internetrecht Uncategorized Vertragsrecht

Datenschutz in Unternehmen: Viel zu tun wegen der DSGVO – Tipps für KMU

Wenn es in diesen schwierigen Tagen um Prozesse und Datenschutz in Unternehmen geht, gerade solche mit vielen Prozessen und in großen Unternehmensgruppen, stellen diese fest: das ist nicht so einfach, die Prozesse anzupassen und soweit möglich umzustellen. Es muss aber leider sein. Die Auftragsverarbeitungsverträge (AV Verträge) mit Partnern müssen überprüft werden, ggfs. sind sie seit 05/2018 oftmals nicht mehr DSGVO-konform und es drohen sehr hohe Haftungsrisiken, die nach Art. 83 DSGVO je nach Verstoss von 2 % bis zu 4 % der weltweiten Umsatze der Unernehmensgruppe betragen köennen. Es ist daher trotz der Schwerfälligkeit der Behörden keine gute Idee, diese Risiken tatenlos einzugehen – es gilt die altbewährte Regel: die Behörden sind zwar langsam, aber wenn sie dann auf den Plan gerufen sind, können sie ggfs. recht gründich sein aufgrund der hoheitlichen erweiterten Eingriffs- und Nachschaubefugnisse, die nun seit 2018 im Datenschutzrecht den Aufsichtsbehörden nach der DSGVO zuerkannt worden sind. Im Zweifel greift auch keine Versicherung bei grobfahrlässiger Vernachlässigung von Pflichten zum Datenschutzmanaement nach den Art. 5, 24, 26, 28, 30, 32 DSGVO und den daraus sich ergebennden Pflichten, die prozesse im Hinblick auf den Datenschutz vorher zu prüfen, anzupassen, datenschutzfreundlich zu gestalten und das zu dokumentieren… Ferner gibt es die seit 2018 neue Rechtsfigur der sog. gemeinsamen Verantwortlichkeit nach Art. 26 DSGVO, die Auftragsverarbeitungsverträge zwischen den gemeinsam Verantwortlichen Partnern ausschliesst. Auch hier sind Verträge in vielen Unternehmensgruppen oder Partnerschaften anzupassen.
Wenn Sie als Unternehmen nur Auftragsverarbeitungsverträge haben obwohl teilweise richtigerweise gemeinsame Verarbeitungen vorliegen und daher Vereinbarungen nach Art. 26 DSGVO anstatt von AVs erforderlich sind oder ggfs. nicht ausreichende Datenschutzvereinbarungen mit Ihren Partnern geschlossen haben, sollten diese überprüft werden und gibt es Handlungsbedarf, wenn das nicht richtig passt. Dann kann es sein, dass dringender Handlungsbedarf besteht, weil die falschen Verträge geschlossen wurden und die Prozesse falsch bewertet worden sind, das ist dann dringend zu ändern (wegen der Höhe der Haftung). Das sollte dann besser anwaltlich abgeklärt und nachgebessssert werden. Denn: In einigen Fällen handelt es sich nach den Kriterien von Art. 4 i.V.m. Art. 26 DSGVO bei der Verarbeitung von Nutzer- oder Kudnendaten bzw. Mitarbeiterdaten (jedenfalls personenbezogenen Daten), um eine gemeinsame Verantwortlichkeit, auch wenn Sie keinen Zugriff auf die Nutzer- oder Kundendaten haben – dazu gab es in 20. Das iste ein häufiger Irrtum – so die eindeutige Rechtssprechung des EUGH in den Verfahren daß diese nicht die nach Art. 26 DSGVO erforderlichen Voraussetzungen erfüllen. D. h. dann Uups – statt einer Kooperationsvereinbarung bzw. „joint controller agreement“ nach Art. 26 DSAGVO nur einen Auftragsverarbeitungsvertrag (AV Vertrag) nach Art. 28 DSGVO abgeschlossen oder nur irgendwelche unzureichende Datenschutzvereinbarungen geschlossen? Das bereitet einigen Unternehmen massive Probleme haftungsrechtlicher Art, sei es im Verhältnis zu Partnern, Kunden oder Mitarbeitern oder bei Beschwerden oder Schadenersatzklagen nach Art. 82 DSGVO auch aufgrund deren Klagen für die Unternehmen. …. Denn das alte Bundesdatenschutzgesetz (BDSG) in der alten vor dem Mai 2018 geltenden Fassung kannte die Rechtsfigur der gemeinsamen Verantwortlichkeit in Deutschland nicht. Daher gab es hier andere vertragliche und datenschutzrechtliche Konzepte. Nunmehr poppt immer mehr auf, dass aufgrund der Art- 26 DSGVO i.V.m. Art. 6, 24 DSGVO in allen Fällen, in denen gem. Art. 4 DSGVO jemand gemeinsam Verantwortlicher ist mit Partnern, eine solche Regelung nach Art.26 DSGVO schliessen muß und das auch den Betroffenen im Wesentlichen in den Datenschutzhinweisen offenlegen muss, insbesondere damit der weiss, wer für welche Datenverarbeitungen bei dieser Kooperation zuständig ist. Das ist für die Unternehmen ungewohnt, wird nun aber zunehmend viel Aufwand bei der Umstellung von Prozessen in Anspruch.
Die Prozesse sind hier komplex und daher kann ich hier in dem Blogbeitrag keine Standardlösungen aufzeigen. Soweit die Aufsichtsbehörden meinen, dass aufgrund des Wegfalls des US-Privacy Shields als Rechtfertigung für die Übermittlung an US-Dienstleister dies „zeitnah“ so der EDSA und die DSK umzusetzen seien – was immer das heisst, wird es eine kurze Umsetzungsfrist geben, deren Dauer unklar ist. Wenige Wochen oder Monate wird das abdecken. Viele Unternehmen können nicht alle Dienste sofort umstellen, sondern es gibt Dienste, die zumutbar nicht kurzfristig verzichtbar sind und deren Umstellung auf andere Anbieter Zeit braucht. Es wird dazu gerichtliche Streitigkeiten geben, ob und wie lange das erforderlich war… und wer nichts gemacht hat und diese Umstände nicht darlegen kann, dass er sich bemüht hat, dem werden sehr hohe Abmahnstrafen/Vertragsstrafen/Rufschaden und/ oder Bussgelder der Datenschutzaufsichtsbehörden nach Art. 83 DSGVO in Höhe von bis zu 4 % der Umsätze der Unternehmensgruppe drohen, je nach Art und Schwere der Verstösse und / oder Schäden der Betroffenen, und dies ins Risikokalkül aufzunehmen haben. Schadenersatzansprüche haben nach Art. 82 DSGVO aktuell in der Rechtssprechung ebenfalls stark aufsteigende Tendenz, weil dies nach Art. 82 DSGVO gemessen an dem bisherigen Datenschutzrecht auch gar nicht mehr von den Richtern vertretbar wäre. Entsprechend gab es bereits Urteile, die allein für die unzureichende Auskunft entgegen Art. 15 DSGVO 5000 Euro Schadeneresatz zuerkannt haben (ArbG Düsseldorf) und sind weitere Verfahren bei verschiedenen deutschen Amts- und Landgerichten anhägig, in denen sich ähnliches abzeichnet. Es ist also nur eine Frage der Zeit, dass hier Schadenersatzklagen wegen ihrer Masse und ggfs. auch ihrer Höhe ernst zu nehmen sind. Dabei werden Director & Officers Versicherungen nicht eintreten, wenn grob fahrlässiges Verhalten vorliegt. Das ist der Fall, wenn Pflichten der DSGVO nach Art..24 DSGVO verletzt worden sind, d.h. falsche Verträge ohne ordnungsgemäßes Datenschutzmanagement geschlossen werden, die Prozesse nicht richtig in Verarbeitungsverzeichnissen nach Art. 30 DSGVO angeschaut und laufend aktualisiert worden sind und nicht nach Art. 24 DSGVO je nach Risiko die angemessenen Massnahmen organisiert worden sind. Je nach Lage sind dann zur Qualifizierung der Prozesse erforderlich, ob Datenschutzkonzepte, Löschungskonzepte, Auftragsverarbeitungsverträge nach Art- 29 DSGVP oder Joint-controller-agreements nach Art. 26 DSGVO erforderlich sind bei Einschaltung von Dienstleistern mit den jeweils dort vorgeschriebenen Regelungen.

Kategorien
Blogroll Datenschutzrecht Internetrecht Uncategorized

EUGH hat das US-Privacy Shield für ungültig erklärt – Handlungsempfehlungen für KMU.

Was müssen Webseitenbetreiber und Nutzer von sonstigen Cloud-Diensten US-amerikanischer Anbieter nun tun, nachdem der EUGH das US-Privacy Shield (im Urteil vom 16.07.2020 in der Rechtssache Max Schrems gegen Facebook) für ungültig erklärt hat?
Geschäftliche Nutzer von Clouddiensten z.B. Webseitenbetreiber von WordPress-Webseiten oder Unternehmen, die Cloud-Dienste US-amerikanischer Anbieter einsetzen, sollten nun prüfen, ob hinsichtlich der Übermittlung personenbezogener Kunden- und Mitarbeiter- oder auch nur Nutzerdaten von Nutzern der Webseite, Data Privacy Agreements oder „Data Privacy Addendum“ vorliegen, die sie mit den Anbietern abgeschlossen haben sollten und ob diese inhaltlich die Vorgaben der EU-Kommission zur Verwendung von EU-Standardvertragsklauseln (Data Controller to processor EU-Data Standard Model Clauses) nach Art. 45 DSGVO beinhalten. Denn diese Standardvertragsklauseln hat der EUGH ausdrücklich als gültig bestätigt.
Grund: Der EUGH hat mit Urteil von heute 16.07.2020 in der Rechtssache Max Schrems gegen Facebook verkündet, dass das US-Privacy Shield unwirksam ist und kein angemessenes Datenschutzniveau im Sinne von Art. 46 DSGVO gewährleistet. Im wesentlichen hat er das – zu Recht – damit begründet, dass die USA dieses Abkommen nicht einhalten, insbesondere EU-Bürger keinen wirksamen Rechtsschutz in den USA zur Wahrung ihrer Datenschutzrechte nach der DSGVO haben, vor allem ist der nach dem US-Privacy Shield Abkommen zugesicherte Ombudsmann tatsächlich nicht wirklich arbeitsfähig und erreichbar für EU Bürger. Das Urteil ist nicht überraschend, weil schon lange u.a. auch vom EU-Parlament diese Missstände angeprangert und moniert wurden.
Das bedeutet, wer Clouddienste U.S.-amerikanischer Anbieter nutzt und darin Nutzer IDs, IP-Adressen, und ähnliche personenbezogene Daten von den Cloud Diensten verarbeiten lässt, benötigt Verträge zum Datenschutz, die die EU-Standardvertragsklauseln (EU-Data Processing Model Clauses Controller to Processor) bei Auftragsverarbeitungen im Sinne von Art. 28 DSGVO oder Processor to Processor Model Clauses bei sog. Gemeinsamen Verantwortlichen nach Art. 26 DSGVO verwendet.
Den Abschluss der entsprechenden Verträge, die nach der DSGVO auch elektronisch erfolgen können, etwa über AGB, müssen Sie z.B. als Webseitenbetreiber oder Arbeitgeber zuverlässig als verantwortliche Stelle nach Art. 5 DSGVO nachweisen können. Die US-Anbieter ordnen Sie nämlich nicht unbedingt als EU-Kunde ein, wenn Sie die entsprechenden Zusatzvereinbarungen nicht abgeschlossen haben, weil es darauf ankommt, wessen personenbezogene Daten Sie nach Ihrem Geschäftsmodell zu welchen Zwecken verarbeiten. Da die USA weitestgehend und Südamerika sowieso keine angemessenen Datenschutzgesetzte hat (außer Kalifornien und Canada) wird von vielen US-Anbietern ohne dokumentiertem Abschluss der entsprechenden Zusatzvereinbarungen diese auch nicht aktiviert.
Praxistipp: Sie sollten nun zur Vermeidung von Abmahnungen oder hohen Bussgeldern wegen Verstößen gegen die Vorschriften des Datenschutzrechtes für die Internetseite und sonstige Prozesse, bei denen US-Clouddienste in Ihrem Unternehmen zum Einsatz kommen, die Liste Ihrer verwendeten US-Anbieter z.B. anhand Ihrer Datenschutzhinweise und Verarbeitungsverzeichnisse durchgehen und prüfen lassen, ob für die Dienste vom Anbieter die entsprechenden Data Privacy Addendums oder sonstige entsprechende Data Processing Terms vorliegen, die die Voraussetzungen der EU-Kommission zu den o.g. Angemessenheitsbeschlüssen erfüllen, die – soweit noch nicht geschehen – abschließen und das dokumentieren. Ferner sollten Sie Ihre Verarbeitungsverzeichnisse sowie Datenschutzhinweise gemäß DSGVO anpassen und die entsprechenden Passagen, die auf das nicht mehr gültige EU-Privacy Shield nach Art. 46 DSGVO z.B. in Ihren Datenschutzhinweisen rekurrieren, abändern. Viele US-Anbieter wie z.B. Automattic Inc. mit Sitz in den USA – WordPress.com stellen entsprechende Data Privacy Addendums bereits zur Verfügung, weil diese Entscheidung des EUGH absehbar war.

Standardvertragsklauseln können aber laut EUGH Urteil vom 16.07.2020 – Schrems II nur dann eingesetzt werden, wenn sie nach den konkreten Umständen auch von den Vertragsparteien eingehalten werden können. Das könnten etwa besondere Verschlüsselungen sein, die gewährleisten, daß die US-Behörden und der US-Anbieter faktisch nicht auf die zu schützenden Inhalts- und Metadaten zugreifen können und wenn der Anbieter garantiert, dass die Server in der EU sich befinden in gesicherten Rechenzentren. Dann können ggfs. EU-Standardvertragsklauseln auch mit US-Anbietern geschlossen werden. Klar dazu hat sich der EUGH allerdings nicht geäussert. Falls der US-Cloud Anbieter keine rechtmäßigen Vertragsklauseln der beschriebenen Art anbietet, ist zu prüfen, ob ggfs. Ausnahmetatbestände anwendbar sind. Das ist nach Art. 49 Abs. 1 a DSGVO zum einen eine Einwilligung des Betroffenen, die ausdrücklich gegeben wird, nachdem der Betroffene auf die besonderen Risiken hingewiesen wurde. Das ist derzeit z.B. bei Cookie Consent Managern für Webseiten (Also die Banner, die bei Aufruf von Webseiten zunächst für die Cookies fragen, ob diese zugelassen werden oder abgelehnt werden) – ein Anwendungsfall, wenn nicht erforderliche Cookies von Anbietern wie Google, Facebook, Adobe usw. aus Drittländern eingesetzt werden sollen und hierfür eine Einwilligung zu deren Aktivierung benötigt wird. Ferner zählt Art. 49 noch eine Reihe weiterer Ausnahmetatbestände auf wie etwa, wenn die Drittlandübermittlung z.B. zum Schutze lebenswichtiger Interessen der betroffenen Person erforderlich ist. Art. 49 DSGVO Die Prüfung und Anpassung der Prozesse, ggfs. Wechsel von Anbietern oder zumindest Änderungen von deren Verträgen und Einbindungen sowie der Datenschutzhinweise erfordern nun Aufwand. Dieser ist aber wohl unvermeidlich, denn weder der EUGH noch die Aufsichtsbehörden billigen nach ihren Reaktionen auf das Urteil relevante Umsetzungsfristen zu. Zwar wird eine Umsetzungfrist dann in der Praxis für eine kurze Übergangszeit aus Verhältnismäßigkeitsgründen den Unternehmen eingeräumt werden. Wegen der Unklarheit, wie lange diese eingeräumt wird, ist es aber nur eine Frage der Zeit, dass einzelne „schärfere“ Aufsichtsbehörden aufgrund von Beschwerden oder wiederholender Datenpannen tätig werden und Bussgeldverfahren einleiten werden. Amtliche Bussgelder aufgrund von DSGVO-Verstössen – soweit teilweise amtlich bestätigt oder veröffentlicht – können teilweise hier nachgelesen werden (ohne Anspruch auf Vollständigkeit): https://www.enforcementtracker.com/ oder hier https://www.dsgvo-portal.de/dsgvo-bussgeld-datenbank.php Die Stellungnahme der Datenschutzkonferenz der deutschen Datenschutzaufsichtsbehörden vom 28.07.2020: https://www.datenschutzkonferenz-online.de/media/pm/20200616_pm_schrems2.pdf verweist auf die Stellungnahme des EDSA (Europäischer Datenschutzausschuss bei der EU): https://edpb.europa.eu/news/news/2020/european-data-protection-board-publishes-faq-document-cjeu-judgment-c-31118-schrems_de Dieser antwortet recht streng auf die Frage, ob es eine Umsetzungsfrist gibt: „No, the Court has invalidated the Privacy Shield Decision without maintaining its effects, because the U.S.law assessed by the Court does not provide an essentially equivalent level of protection tothe EU. This assessment has to be taken into account for any transfer to the U.S. …“ FAZIT: Vor diesem Hintergrund antworten derzeit die deutschen Aufsichtsbehörden auf die Frage nur vage und zähneknirschend mit: „zeitnah“ – was auch immer das nun dann in den Augen der Gerichte, die später bei Streitfällen zu entscheiden haben werden, sein wird. Dort, wo es möglich und zumutbar ist, sollten Unternehmen daher unbedingt unverzüglich auf EU-Anbieter umstellen oder die o.g. angesprochenen Änderungen und Anpassungen vornehmen.

Kategorien
Blogroll Datenschutzrecht Internetrecht Online-Handel Schadensrecht Uncategorized Verbraucherschutz

#DSGVO #Schadenersatzansprüche betroffener Händler und Kunden bei Datenpannen?

Hier am aktuellen Beispiel zur #Datenpanne bei #Mastercard Priceless Specials vom August 2019. Jetzt nehmen die Schadenersatzverfahren Fahrt auf, weil das Programm endgültig eingestellt wurde.

Ca. 90.000 Teilnehmer des Mastercard Priceless Specials Programms waren im Sommer 2019 betroffen von einer Datenpanne, weil die Datenbank offen mit Namen, Anschrift, Mobilfunknummer, E-mail, Geburtsdatum und Kreditkartendaten im Internet abrufbar waren. Mastercard hatte die Datenpanne unweigerlich offiziell bestätigen müssen und sich entschuldigt, die Plattform mit Bonusprogramm „vorläufig“ und inzwischen endgültig deaktiviert, aber eine Verantwortlichkeit für die Datenpanne pauschal abgestritten. Die Aufsichtsbehörden in Hessen (HBDI) – hier die Pressemitteilung des HBDI vom 23.08.2019 mit den späteren updates – und die federführende Aufsichtsbehörde des datenschutzrechtlichen Untersuchungsverfahrens in Belgien DPA in Brüssel – https://www.dataprotectionauthority.be/contact-us -erhielten zahlreiche Beschwerden Betroffener über unzureichende Auskünfte. Aber bis heute hat Mastercard nicht viel zur Aufklärung über die Verantwortlichkeit beigetragen, obwohl die Datenpanne nach Art. 82 III DSGVO indiziert, dass Mastercard für den Datenschutz verantwortlich ist oder ihn ermöglicht hat, wenn und soweit Mastercard als Verantwortliche nicht nachweist, in keiner Weise für den massiven Verstoß durch diesen Datenpanne ein Verschulden zu tragen. Das ist bisher nicht geschehen und offenbar ist Mastercard weder in der Lage noch gewillt, dass Programm wie bisher angekündigt, wieder datenschutzkonform zu aktivieren. Priceless ist gekündigt und wurde zum 4.7.2020 endgültig beendet. Der Schadenersatz nach Art. 82 I DSGVO umfasst anders als nach früherem Datenschutzrecht nunmehr neben den Vermögensschäden auch immaterielle Schäden, die Betroffene durch den Datenschutzverstoß erleiden, den Mastercard – dafür sprechen einige Indizien – mitverschuldet haben dürfte. Wenn die Plattform nicht wieder aktiviert werden kann, spricht das für fundamentale Sicherheitsmängel des Bonusprogramms und der beteiligten Systeme, die einen Verstoß gegen die Pflichten nach Art. 5, 24 und 32 DSGVO durch Mastercard wahrscheinlich machen.

Am 4.6.2020 schließlich kündigte Mastercard seinen Kunden den Vertrag über das Bonusprogramm mit Wirkung zum 4.7.2020 auf und kündigte Infos an, wie die gesammelten Coins dann nun eingelöst werden können. Diese liegen bisher nach meinen Informationen noch nicht vor.

Derzeit laufen einige Auskunfts- und Schadenersatzverfahren Betroffener gegen Mastercard beim zuständigen Amts- bzw. Landgericht (je nach geforderter Summe und Streitwert). Neben den entgangenen Coins hatten einige Betroffene weitere Schäden wie gesperrte Kreditkarten, Kreditkartenbetrug, nicht blockierbare Spamanrufe mit gefakten Rufnummern, belästigende Spamnachrichten auf das Mobiltelefon oder Spammails, Identitätsdiebstahl d.h. z.B. das Erstellen von Fakeshops mit der Identität der illegal veröffentlichten Daten der Teilnehmer, Inkassorechnungen und Mahnungen von getäuschten Onlinehändlern, bei denen mit der gestohlenen Identität eingekauft wurde und weitere Folgeschäden, insbesondere auch der sog. Emotional Distress, den Opfer von solchen massiven Datenschutzverstößen erleiden. Die Betroffenen haben in vielen Fällen auch Beschwerden bei der Aufsichtsbehörde eingelegt, aber die Hessische Aufsichtsbehörde hat mit Verweis auf die anhängigen Schadenersatzklagen in den mir vorliegenden Fällen das Verfahren ausgesetzt und verweist auf die belgische federführende Aufsichtsbehörde, obwohl fast nur deutsche Kunden betroffen sind und daher die Schadenersatzklagen hier nach § 44 I BDSG am Gerichtsstand der deutschen Niederlassung in Frankfurt am Main geführt werden und hinsichtlich der Feststellung der Datenschutzverstöße und Ahndung der Verletzung u.a. der Auskunftsansprüche der Betroffenen der Hessische Datenschutzbeauftragte zuständig ist. Nach dem One-Stop-Prinzip der DSGVO für grenzüberschreitende Datenpannen hat hier die Belgische Datenaufsichtsbehörde die Federführung übernommen – vgl. deren Pressemitteilung zur Datenpanne von Mastercard Priceless Specials. Es kommt daher auch eine Untätigkeitsbeschwerde nach 3 Monaten Untätigkeit gegen die Datenschutz-Aufsichtsbehörde nach Art. 78 II DSGVO in Betracht. Wir werden in Belgien zum Stand des Verfahrens nachfragen und unseren Mandanten, die wir betreuen, berichten. Aber unklar ist, ob unter diesen Umständen diese Aussetzung des Beschwerdeverfahrens bis zum rechtskräftigem Abschluss des gegenständlichen zivilgerichtlichen Gerichtsverfahren und Verweisung auf die belgische Aufsichtsbehörde DSGVO konform ist. Der HBDI verweist auf Nachfrage als Rechtsgrundlage auf § 17 GVG analog – aber zum einen geht die DSGVO vor und ausserdem ist fraglich, ob das sinnvoll ist. Nach Art. 78 DSGVO soll nämlich unbeschadet von anderen Rechtsmitteln vor den Gerichten auch gerade verhindert werden, dass Betroffene auf ausländische Behörden und Gerichte verwiesen werden, um ihre Betroffenenrechte effektiv sowohl über Beschwerdeverfahren bei den Aufsichtsbehörden als auch Zivilklagen vor den Gerichten verfolgen zu können.
Man kann gespannt sein, ob die Betroffenen die Kündigung von Mastercard ohne Entschädigung für den Schaden so hinnehmen werden oder erfolgreich ihre Ansprüche vor den Gerichten durchsetzen können. Anders als früher sind nach der DSGVO die Bußgelder und Schadenersatzbeträge viel höher, denn nach Erwägungsgrund 146 müssen sie abschreckend und wirksam sein und müssen bei den Verbraucherrechten Wertungswidersprüche vermieden werden – so auch zuletzt der BGH mit Urteil vom 6.6.2019 – I ZR 216/17 – zu unbegründeten Zahlungsaufforderungen aufgrund unbestellten Waren wegen Identitätsdiebstahls. Allein für die Verletzung der Auskunftspflichten hatte kürzlich das Arbeitsgericht Düsseldorf den Arbeitgeber bereits 5.000 Euro Schadenersatz verurteilt. Das Urteil ist zwar nicht rechtskräftig, weil das Berufungsverfahren anhängig ist, aber die Tendenz ist klar: Die Schadenersatzklagen werden von den Unternehmen ernst zu nehmen sein. Unternehmen sollten daher DSGVO-Auskunftsanfragen pflichtgemäß beantworten und sich bei der Digitalisierung auch nachhaltig um die Einhaltung der Pflichten zur rechtmäßigen sicheren Datenverarbeitung nach der DSGVO kümmern. Nur wenn die Unternehmen das proaktiv fortlaufend tun, sind wir alle vor den massiven Schäden geschützt, die Datenpannen für Betroffene und beteiligte Unternehmen auslösen. Wertungswidersprüche würden auch zu den Bussgeldern entstehen, die die DSGVO in Höhe von bis zu 4 % des weltweiten Umsatzes der unternehmensgruppe ansetzt – diese Grundsätze und ein DSGVO Verstoß bei 500 Gewinnspielteilnehmern haben nach einer Pressemitteilung der Behörde zuletzt z.B. bei der AOK zu einem Bußgeldbescheid des Landesdatenschutzbeauftragten von Baden-Württemberg von 1.240.000 Euro geführt.
Interessant und bisher ungeklärt ist auch die Frage, ob Schadenersatzansprüche nur die betroffenen Kunden des Mastercard Priceless Specials Programm haben oder auch die in Mitleidenschaft gezogenen Händler, bei denen dann mit gefälschten Kreditkarten und Identitäten eingekauft und geliefert wurde. In Artikel 82 heißt es nämlich, dass jedermann, der durch den Datenschutzverstoß des Verantwortlichen einen Schaden erleidet, Anspruch auf Ersatz des materiellen und immateriellen Schaden gegen den Verantwortlichen hat. Dessen Verschulden ist dabei nach Art. 82 III DSGVO indiziert. Nach Erwägungsgrund 146 heißt es dazu: ….Satz 3: „Der Begriff des Schadens sollte im Lichte der Rechtsprechung des Gerichtshofs weit auf eine Art und Weise ausgelegt werden, die den Zielen dieser Verordnung in vollem Umfang entspricht. 4Dies gilt unbeschadet von Schadenersatzforderungen aufgrund von Verstößen gegen andere Vorschriften des Unionsrechts oder des Rechts der Mitgliedstaaten. 5Zu einer Verarbeitung, die mit der vorliegenden Verordnung nicht im Einklang steht, zählt auch eine Verarbeitung, die nicht mit den nach Maßgabe der vorliegenden Verordnung erlassenen delegierten Rechtsakten und Durchführungsrechtsakten und Rechtsvorschriften der Mitgliedstaaten zur Präzisierung von Bestimmungen der vorliegenden Verordnung im Einklang steht. 6Die betroffenen Personen sollten einen vollständigen und wirksamen Schadenersatz für den erlittenen Schaden erhalten. 7Sind Verantwortliche oder Auftragsverarbeiter an derselben Verarbeitung beteiligt, so sollte jeder Verantwortliche oder Auftragsverarbeiter für den gesamten Schaden haftbar gemacht werden. 8Werden sie jedoch nach Maßgabe des Rechts der Mitgliedstaaten zu demselben Verfahren hinzugezogen, so können sie im Verhältnis zu der Verantwortung anteilmäßig haftbar gemacht werden, die jeder Verantwortliche oder Auftragsverarbeiter für den durch die Verarbeitung entstandenen Schaden zu tragen hat, sofern sichergestellt ist, dass die betroffene Person einen vollständigen und wirksamen Schadenersatz für den erlittenen Schaden erhält. 9Jeder Verantwortliche oder Auftragsverarbeiter, der den vollen Schadenersatz geleistet hat, kann anschließend ein Rückgriffsverfahren gegen andere an derselben Verarbeitung beteiligte Verantwortliche oder Auftragsverarbeiter anstrengen.“
Es spricht also auch der Wortlaut und der europarechtlich geltende Effektivitätsgrundsatz dafür, dass auch die geschädigten Händler Schadenersatzansprüche gegen Mastercard haben (vgl. z.B. so auch Paal in MMR 2020, 14f.).
Zur Höhe des Schadenersatzes für die immateriellen Schäden bei einem Datenbreach spricht nach vorherrschender Ansicht der Datenschutzexperten, dass dieser analog etwa der Faktorrechtsprechung bei Verletzung von Urheberrechten durch Filesharing (Beispiel OLG Frankfurt Az. 11 U 44/19: 50facher Wert des Einzelpreises der „Downloadversion“ des Computerspiels betrug fast 1.950 Euro und führte zu einem Schadenersatzurteil über 2.100 Euro) abhängig von der Dauer und dem Ausmaß der Datenpanne ein Vielfaches des Wertes der Daten als eine fiktive Lizenzgebühr als Schadenersatz zuzuerkennen ist. Gerade das unkontrollierbare der einfachen anonymen Weiterverbreitung über Filehoster und die enorme Ersparnis des Zeitaufwandes für die gewerblichen Betrüger durch offen im Internet erhältliche illegale Datenbanken führen ja zu den gezielten massenweisen Verwertung durch Hacking-, Erpressungs- und Betrugsattacken der Straftäter. Es ist also wichtig, daß diese Ansprüche effektiv verfolgt werden können und möglichst alle Betroffenen entschädigt werden.

Kategorien
Blogroll Datenschutzrecht Online-Handel Uncategorized Werberecht Wettbewerbs- und Werberecht Wettbewerbsrecht

Unterlassungsurteil des OLG Naumburg vom 07.11.2019 gegen Apotheker: Handel auf Amazon ohne Einwilligung in Gesundheitsdatenverarbeitung für Werbezwecke ist wettbewerbswidrig

Auf eine in 2017 ausgesprochene Abmahnung eines Apothekers gegen einen Wettbewerber, der auf Amazon Medikamente anbot, erging nun ein Unterlassungsurteil des OLG Naumburg gegen den Amazon Händler wegen fehlender Einwilligung in Verarbeitung von Gesundheitsdaten für Werbezwecke
(Volltext als pdf: OLG Naumburg, Urteile vom 07.11.2019 -9 U 6/19 und 9 U 39/18).
Das OLG Naumburg hat entschieden, dass ein Verstoß gegen die Vorgaben der DSGVO wettbewerbswidrig sei und Mitbewerbern ein Unterlassungsanspruch zustehe, wenn die verletzte Norm in der konkreten Fallkonstellation als Marktverhaltensregelung einzuordnen ist. Vorliegend ging es um die Verarbeitung von Gesundheitsdaten beim Verkauf von Medikamenten über Amazon Markteplace. Das Gericht hat einen Wettbewerbsverstoß durch Verletzung von Art. 9 Abs. 1 DSGVO angenommen, weil der Händler die Bekanntheit der Amazon Plattform für Werbezwecke ausnutze und für sich ausnutze, dass Amazon auf Grundlage der Gesundheitsdaten weitere Produktvorschläge macht und somit Rückschlüsse auf die sensiblen Krankheitsdaten des Kunden oder seiner Familie geschlossen werde, ohne die nach Art. 9 Abs. 1 DSGVO ausdrückliche Einwilligung. Diese Verarbeitung von Gesundheitsdaten zu Werbezwecken müsse zudem nach dem Berufsrecht laut Entschließung der zuständigen Apothekerkammer ausdrücklich und schriftlich erfolgen.
Der Senat schließt sich damit nunmehr als 2. OLG der Auffassung des Hanseatischen OLG Hamburg an (OLG Hamburg, Urteil vom 25.10.2018 – 3 U66/17), wonach Datenschutzverstöße unter Umständen abmahnbar sein können durch Wettbewerber, und zwar müsse nach Inkrafttreten der DSGVO die jeweilige Norm der DSGVO, gegen die verstoßen wurde, konkret darauf überprüft werden, ob gerade jene Norm eine Regelung des Marktverhaltens zum Gegenstand hat (OLG Hamburg a.a.O. Rn. 72 juris). Dies war hier bei Art. 9 Abs.1 DSGVO zu bejahen, wie das OLG sorgfältig ausgeführt hat.
Ferner hat unter IV. der Entscheidung das OLG Naumburg aber auch entschieden, daß ein Schadenersatzanspruch hier mangels Verschulden nicht zuerkannt wird. Ein möglicher Schadenersatzanspruch gemäß § 9 UWG und ein vorbereitender Auskunftsanspruch setzen ein Verschulden voraus. Angesichts der bisher noch nicht abschließend von der Rechtsprechung geklärten Rechtslage zum marktregelnden Charakter der DSGVO billigte der Senat dem Beklagten einen unvermeidbaren Verbotsirrtum gemäß § 17 S. 1 StGB analog zu.