Datenschutz im Strafverfahren

DSGVO, BDSG und Strafprozess: Wie funktioniert Datesnchutzrecht bei den Strafverfolgungsbehörden? Eine Entscheidung des Bundesfinanzhofs (II B 82/19) macht insoweit nochmals deutlich, dass die Datenschutz-Grundverordnung („DSGVO“) auf die Tätigkeit der Strafverfolgungsbehörden nicht anwendbar ist. Sonderlich überraschend ist das nicht, unterstützt aber die bereits herrschende Auffassung zu dem Thema.

„Datenschutz im Strafverfahren“ weiterlesen
   

Cyberangriff: Was tun nach einem Hackerangriff?

Was tun nach einem Hackerangriff: Nach einem Hackerangriff oder Cyberangriff sind Unternehmen mit diversen Pflichten konfrontiert, dabei droht neben dem Ärger mit den Kunden auch noch ein empfindliches Bußgeld. Privatpersonen sind oft schlicht überfordert und wissen nicht wie man damit umgehen soll.

Aus meiner Sicht gibt es einige allgemeine Hinweise zu grundsätzlichen Verhaltensweisen nach einem Hack-Angriff, die sich an der ersten Frage ob es um einen Verbraucher oder ein Unternehmen geht, orientieren – insbesondere bei der Frage gegen wen man vorgeht. Tatsächlich muss ich immer wieder beobachten, dass gerade in den ersten entscheidenden Momenten im Hinblick auf spätere Aufklärung gravierende Fehler gemacht werden. Dies ist mit der eingetretenen Schocksituation zu erklären, die aber durch saubere Vorbereitung zumindest in Unternehmen durchaus verhindert werden kann.

Dabei greifen heute für Unternehmen die von Cybercrime betroffen sind empfindliche Entwicklungen ineinander: Auf der einen Seite wurde mit der Datenschutzgrundverordnung die Rechtslage verschärft, das IT-Sicherheitsgesetz schaffte deutliche Anforderungen an die IT-Sicherheit. Auf der anderen Seite sind Unternehmen kaum und grossteils unzureichend auf die Thematik IT-Sicherheit vorbereitet – und es müssen Datenbrüche gemeldet werden wobei Betroffene Schadensersatzansprüche haben, mit der DGSVO auch hinsichtlich Schmerzensgeld, was ganz erhebliche Folgekosten verursachen kann.

„Cyberangriff: Was tun nach einem Hackerangriff?“ weiterlesen
   

Datenschutz: Datenberichtigung und Datenlöschung bei der Staatsanwaltschaft

Einen sehr wichtigen Beschluss hat das BayOLG in München (203 VAs 1846/19) gefasst: Es ging um die Frage, ob nach einer Einstellung entsprechend §170 II StPO, also ohne hinreichenden Tatverdacht, eine Datenlöschung zu erfolgen hat. Das Gericht hat dies verneint und ausdrücklich klargestellt, dass weder ein Anspruch auf Berichtigung, noch auf Löschung der durch die Staatsanwaltschaft gespeicherten Daten im Raum steht, solange die Tat nicht verjährt ist. Die Entscheidung dürfte einen sehr grundsätzlichen Charakter haben.

„Datenschutz: Datenberichtigung und Datenlöschung bei der Staatsanwaltschaft“ weiterlesen
   

LG Frankfurt: KUG ist im Rahmen der DSGVO zu berücksichtigen

Auch das Landgericht Frankfurt am Main (2-03 O 283/18) konnte sich zu der Frage der Auswirkungen der Erlaubnistatbestände des KUG im Rahmen der DSGVO äussern und insoweit feststellen, dass man das KUG auch im Rahmen der DSGVO berücksichtigen möchte:

Die Kammer erachtet insoweit die Grundsätze der §§ 22, 23 KUG und die dazu ergangene Rechtsprechung – unter Berücksichtigung einer entsprechenden europarechtsautonomen Auslegung (vgl. Lauber-Rönsberg/Hartlaub, NJW 2017, 1057, 1060) – als Gesichtspunkte, die im Rahmen von Art. 6 Abs. 1 lit. f) DSGVO und der Abwägung der Interessen und Grundrechte einzubeziehen sind (vgl. insoweit Specht in: Dreier/Schulze, UrhG, 6. Aufl. 2018, § 23 Rn. 1 KUG Rn. 1; Hansen/Brechtel, GRUR-Prax 2018, 369, 370; Paschke, jurisPR-ITR 15/2018, Anm. 3; Ziebarth/Elsaß, ZUM 2018, 578, 581; Plath/Grages, DSGVO/BDSG, 3. Aufl. 2018, Art. 85 DSGVO Rn. 3).

LG Frankfurt, 2-03 O 283/18

Das LG Frankfurt ist damit inhaltlich auf einer Linie mit dem OLG Köln, so dass jedenfalls derzeit die Linie zu erkennen ist: Was nach dem KUG erlaubt ist, wird im Rahmend er DSGVO weiterhin zulässig sein.

   

LG Magdeburg: Verstoss gegen DSGVO kann nicht von Mitbewerber abgemahnt werden

Das Landgericht Magdeburg (36 O 48/18) hat – entgegen anderer Gerichte – entschieden, dass es sich bei der Datenschutzgrundverordnung („DSGVO“) um eine Regelung mit geschlossenem Sanktionensystem handelt und ein Verstoss nicht durch eine wettbewerbsrechtliche Abmahnung eines Wettbewerbers verfolgt werden kann.

Beachten Sie: Die Frage ist hochgradig umstritten. Der differenzierende Ansatz des OLG Hamburg zur Abmahnung von Datenschutzverstößen könnte sich durchsetzen, es ist derzeit aber noch vollkommen offen wie es sich entwickelt.

„LG Magdeburg: Verstoss gegen DSGVO kann nicht von Mitbewerber abgemahnt werden“ weiterlesen
   

OLG Hamburg: Verstoss gegen die DSGVO kann abgemahnt werden

Das OLG Hamburg (3 U 66/17) hat entschieden, dass ein Verstoss gegen die Vorgaben der Datenschutzgrundverordung zugleich ein wettbewerbsrechtlicher Verstoss ist und abgemahnt werden kann. Entgegen einer Verbreiteten Auffassung stellt sich das OLG Hamburg auf de Standpunkt, dass sich nicht in der früheren RL 95/46/EG (Datenschutzrichtlinie) noch in der VO (EU) 2016/679 (Datenschutzgrundverordnung) ein abgeschlossenes Sanktionssystem finden lässt, das einer Klagebefugnis von Wettbewerbern im Sinne des UWG entgegen stehen würde.

Allerdings hat das OLG Hamburg – übereinstimmend mit seiner früheren Rechtsprechung zum Thema Datenschutz & Wettbewerbsrecht – zugleich klargestellt, dass nicht jede datenschutzrechtliche Norm einen marktverhaltensregelnden Charakter i.S. des § 3a UWG hat. Im Einzelfall muss die jeweilige Norm konkret darauf überprüft werden, ob gerade die betroffene Norm eine Regelung des Marktverhaltens zum Gegenstand hat.

„OLG Hamburg: Verstoss gegen die DSGVO kann abgemahnt werden“ weiterlesen
   

Intime Fotos – Was tun wenn Nacktfotos verschickt oder ins Internet gestellt werden?

Es gibt nur wenig, was mit so großer Scham der Opfer verbunden ist – und was zudem auch noch ein derartiges Tabu-Thema in unserer Gesellschaft ist: Nacktfotos von Ex-Partnern. Nicht zuletzt auf Grund der alltäglichkeit von Smartphones sind Nacktaufnahmen innerhalb von Beziehungen durchaus fester Alltag bei Paaren geworden, insoweit sollte man sich von dem beharrlichen gesellschaftlichen Schweigen zu dem Thema nicht in die Irre leiten lassen.

Gleichsam aber zeigen sich manche Paare, aber auch manche Ex-Partner, mit dem Umgang mit solchen Aufnahmen nach einer Trennung vollkommen überfordert. Dabei konnte sich die Rechtsprechung hierzu bereits äussern; und wer hier mit Bloßstellungen konfrontiert ist, kann sich durchaus wehren.

„Intime Fotos – Was tun wenn Nacktfotos verschickt oder ins Internet gestellt werden?“ weiterlesen
   

LG Würzburg: Wettbewerbsrechtlicher Unterlassungsanspruch wegen der Nichteinhaltung der DSGVO

Das Landgericht Würzburg (11 O 1741/18) sieht einen wettbewerbsrechtlichen Unterlassungsanspruch wenn Vorgaben der DSGVO nicht eingehalten werden, hier insbesondere ein Kontaktformular auf einer nicht verschlüsselten Webseite angeboten wird:

Dem Antragsteller steht ein Verfügungsanspruch auf Unterlassung zu, das der Antragsteller glaubhaft gemacht hat, dass die Antragsgegnerin bezüglich ihrer Homepage gegen die Datenschutzgrundverordnung (DSGVO), die spätestens seit 25.05.2018 umzusetzen ist verstößt. Die im Impressum der Antragsgegnerin enthaltene 7-zeilige Datenschutzerklärung genügt der neuen DSGVO nicht. Es fehlen Angaben zum/zur Verantwortlichen, zur Erhebung und Speicherung personenbezogener Daten sowie Art und Zweck deren Verwendung, eine Erklärung zur Weitergabe von Daten, über Cookies, Analysetools, aber vor allem die Belehrung über die Betroffenenrechte, insbesondere Widerspruchsrecht, Datensicherheit und ein Hinweis zur Möglichkeit, sich bei einer Aufsichtsbehörde zu beschweren. Mit dem OLG Hamburg (3 U 26/12) und dem OLG Köln (6 U 121/15) geht das erkennende Gericht davon aus, dass es sich bei den Vorschriften, gegen die hier verstoßen wurde um Verstöße gegen das Wettbewerbsrecht gemäß § 4 Nr. 11 UWG bzw. jetzt § 3 a UWG darstellt und somit vom Antragsteller abgemahnt werden konnte. Dass die Antragsgegnerin Daten erhebt wird schon aus der gleichzeitigen Verwendung eines Kontaktformulars auf der Homepage indiziert. Da die Antragsgegnerin jedenfalls über ein Kontaktformular Daten erheben kann, ist zwingend auch eine Verschlüsselung der Homepage erforderlich, die hier fehlt.

Gem. § 8 Abs. 3 UWG ist der Antragsteller aktiv legitimiert die beanstandeten Gesetzesverstöße geltend zu machen. Es besteht das erforderliche Wettbewerbsverhältnis aufgrund der Möglichkeit als Rechtsanwalt bundesweit tätig zu werden.

   

LG Bochum: Verstoss gegen die DSGVO kann nicht durch Mitbewerber abgemahnt werden

Das Landgericht Bochum (I-12 O 85/18) hat entschieden, dass nach dortiger Auffassung Verstöße gegen die DSGVO nicht von Konkurrenten abgemahnt werden können, da die Datenschutzgrundverordnung sehr konkret vorgibt, wer Anspruchsberechtigt ist – das LG geht dabei bewusst auf die zahlreichen anderen Meinungen ein und stellt sich dagegen:

Keinen Erfolg hatte der Antrag hingegen, soweit ein Verstoß gegen Artikel 13 der Datenschutzgrundverordnung geltend gemacht wird. Denn dem Verfügungskläger steht ein solcher nicht zu, weil die Datenschutzgrundverordnung in den Artikeln 77 bis 84 eine die Ansprüche von Mitbewerbern ausschließende, abschließende Regelung enthält. Die Kammer verkennt dabei nicht, dass diese Frage in der Literatur umstritten ist und die Meinungsbildung noch im Fluss ist. Die Kammer in ihrer derzeitigen Besetzung schließt sich der besonders von Köhler (ZD 2018, 337 sowie in Köhler/Bornkamm/Feddersen, UWG, 36. Aufl. 2018, § 3 a Rn. 1.40 a und 1.74 b, im Ergebnis auch Barth WRP 2018, 790; anderer Ansicht Wolff, ZD 2018, 248) vertretenen Auffassung an.

Dafür spricht insbesondere, dass die Datenschutzgrundverordnung eine detaillierte Regelung des anspruchsberechtigten Personenkreises enthält. Danach steht nicht jedem Verband ein Recht zur Wahrnehmung der Rechte einer betroffenen Person zu, sondern nur bestimmten Einrichtungen, Organisationen und Vereinigungen ohne Gewinnerzielungsabsicht unter weiteren Voraussetzungen. Hieraus ist zu schließen, dass der Unionsgesetzgeber eine Erstreckung auf Mitbewerber des Verletzers nicht zulassen wollte (Köhler, ZD 2018, 337, 338). Wegen der weiteren Einzelheiten der Argumentation kann auf die zitierten Literaturstellen Bezug genommen werden.

   

Elterliche Sorge bei Veröffentlichung von Fotos der Kinder im Internet

Immer wieder für Streit bei getrennt lebenden Eltern sorgt die Veröffentlichung von Kinderfotos im Internet. Hierbei kann es sich durchaus um eine Angelegenheit von erheblicher Bedeutung (§1687 Abs. 1 Satz 1 BGB) handeln, wenn unter diesen Umständen Fotos eines Kindes auf einer kommerziellen Zwecken dienenden Internetseite veröffentlicht werden, so das (OLG Oldenburg, 13 W 10/18).

Im Hinblick auf §22 KunstUrhG dürfen Bildnisse nur mit Einwilligung des Abgebildeten verbreitet oder veröffentlicht werden, worunter das Einstellen von Fotos auf einer Internetseite fällt. Bei Veröffentlichung des Bildes eines Minderjährigen bedarf es mit der bisherigen Rechtsprechung zusätzlich der Einwilligung seines gesetzlichen Vertreters (dazu BGH in NJW 2005, 56-58), was im Regelfall gemäß § 1629 BGB die sorgeberechtigten Eltern sein werden.
Hinweis: Ob sich dieses Einwilligungserfordernis durch die Datenschutzgrundverordnung geändert hat lasse ich hier offen. Hierfür mag sprechen, dass mit der DSGVO nun ab 16 Jahren eine datenschutzrechtliche Einsichtsfähigkeit von Gesetzes wegen anzunehmen ist; andererseits geht es gerade nicht um die Erhebung personenbezogener Daten wo das Datenschutzrecht zu beachten ist, sondern eben um die Veröffentlichung von Bildnissen die einem gesonderten Einwilligungsvorbehalt unterliegt. Ich sehe insgesamt daher bessere Gründe für die Einwilligung durch die Eltern bis zum vollendeten 18. Lebensjahr.
„Elterliche Sorge bei Veröffentlichung von Fotos der Kinder im Internet“ weiterlesen

   

DSGVO zu beachten

Seit dem heutigen 25.05.2018 ist die Datenschutzgrundverordnung von Unternehmen in ganz Europa zu Beachten. Damit gelten für Betroffene neu strukturierte und teilweise auch gänzlich neue Rechte, während Unternehmen zumindest teilweise noch verunsichert sind, was auf sie zukommt in den nächsten Wochen.

Beachten Sie dazu auch: Meine Webseite zum Datenschutzrecht nach der DSGVO
„DSGVO zu beachten“ weiterlesen

   

Datenschutzrecht: Mindestanforderungen an eine Auftragsdatenverarbeitungsvereinbarung

Das Landgericht Frankfurt am Main (2-03 O 65/16) konnte sich zu den Mindestanforderungen an eine Auftragsdatenverarbeitungsvereinbarung äussern und dabei klären, dass auch eine in Form eines Rahmvertrags geschlossene und in eine Anlage gefasste Vereinbarung dem Schriftformerfordernis genügt. Soweit zu prüfen ist, ob eine Datenschutzvereinbarung auch die im Katalog des § 11 II 2 BDSG enthaltenen Mindestangaben enthält ist dabei nicht schematisch der Inhalt des §11 Abs.2 BDSG zu prüfen, sondern es ist inhaltlich zu prüfen, ob die dortigen Kriterien letztlich in der Datenschutzvereinbarung enthalten sind. Das liest sich dann beispielsweise so:

In § 1 ist der Vertragsgegenstand festgelegt, in § 7 Vertragsbeginn und -dauer (vgl. § 11 II 2 Nr. 1 BDSG). Gleichfalls in § 1 werden die erfassten Daten und Zweck und Umfang der Erhebung, Verarbeitung und Speicherung geregelt, ebenso wie der Kreis der Betroffenen (vgl. § 11 II 2 Nr. 2 BDSG). § 2 regelt die Pflichten von C auch im Sinne von § 9 BDSG, wobei konkrete Maßnahmen beschrieben werden und erfüllt damit die Voraussetzungen von § 11 II 2 Nr. 3 BDSG und § 11 II 2 Nr. 5 BDSG. In § 2 Ziffer 5 ist die Berechtigung und Verpflichtung zur Berichtigung, Löschung und Sperrung von personenbezogenen Daten geregelt (vgl. § 11 II 2 Nr. 4 BDSG). Unterauftragsverhältnisse sind in § 4 geregelt (vgl. § 11 II 2 Nr. 6 BDSG), § 5 räumt der Beklagten entsprechende Kontrollrechte ein (§ 11 II 2 Nr. 7 BDSG). § 2 Ziffer 5 sieht eine Unterrichtungspflicht von C in Fällen schwerwiegender Störungen des Betriebsablaufs, schwerwiegender Verstöße gegen die gesetzlichen oder in der Datenschutzvereinbarung geregelten Verpflichtung zum Datenschutz sowie bei anderen Unregelmäßigkeiten bei der Verarbeitung der Daten der Beklagten vor (vgl. § 11 II Nr. 8 BDSG). Nach § 2 Ziffer 1 hat sich die Beklagte eine umfassende Weisungsbefugnis gegenüber C vorbehalten (vgl. § 11 II 2 Nr. 9 BDSG). Des Weiteren sieht § 6 eine Regelung zur Rückgabe von Datenträgern und Löschung von gespeicherten Daten vor (§ 11 II 2 Nr. 10 BDSG).

Hinweis: Ab dem 25.05.2018 gilt die Datenschutzgrundverordnung, die als Nachfolgeregelung die „Auftragsverarbeitung“ vorsieht.

   

Softwarepflegevertrag: Pflicht zur Anpassung von Software an gesetzliche Änderungen?

Softwarepflegevertrag und gesetzliche Änderungen: Spätestens mit der Datenschutzgrundverordnung ab Mitte 2018 dürfte gerade in Fällen von Software im Bereich „Big Data“ und beim Kundenbezug die Frage aufkommen, ob eine Pflicht des Softwareanbieters zur Anpassung an gesetzliche Änderungen besteht. Tatsächlich dürfte dies mitunter in Betracht kommen, allerdings wird es auf den Einzelfall ankommen.
„Softwarepflegevertrag: Pflicht zur Anpassung von Software an gesetzliche Änderungen?“ weiterlesen