Beiträge zum Thema "Datenschutzgrundverordnung"


LG Frankfurt: KUG ist im Rahmen der DSGVO zu berücksichtigen

Auch das Landgericht Frankfurt am Main (2-03 O 283/18) konnte sich zu der Frage der Auswirkungen der Erlaubnistatbestände des KUG im Rahmen der DSGVO äussern und insoweit feststellen, dass man das KUG auch im Rahmen der DSGVO berücksichtigen möchte:

Die Kammer erachtet insoweit die Grundsätze der §§ 22, 23 KUG und die dazu ergangene Rechtsprechung – unter Berücksichtigung einer entsprechenden europarechtsautonomen Auslegung (vgl. Lauber-Rönsberg/Hartlaub, NJW 2017, 1057, 1060) – als Gesichtspunkte, die im Rahmen von Art. 6 Abs. 1 lit. f) DSGVO und der Abwägung der Interessen und Grundrechte einzubeziehen sind (vgl. insoweit Specht in: Dreier/Schulze, UrhG, 6. Aufl. 2018, § 23 Rn. 1 KUG Rn. 1; Hansen/Brechtel, GRUR-Prax 2018, 369, 370; Paschke, jurisPR-ITR 15/2018, Anm. 3; Ziebarth/Elsaß, ZUM 2018, 578, 581; Plath/Grages, DSGVO/BDSG, 3. Aufl. 2018, Art. 85 DSGVO Rn. 3).

LG Frankfurt, 2-03 O 283/18

Das LG Frankfurt ist damit inhaltlich auf einer Linie mit dem OLG Köln, so dass jedenfalls derzeit die Linie zu erkennen ist: Was nach dem KUG erlaubt ist, wird im Rahmend er DSGVO weiterhin zulässig sein.

LG Magdeburg: Verstoss gegen DSGVO kann nicht von Mitbewerber abgemahnt werden

Das Landgericht Magdeburg (36 O 48/18) hat – entgegen anderer Gerichte – entschieden, dass es sich bei der Datenschutzgrundverordnung (“DSGVO”) um eine Regelung mit geschlossenem Sanktionensystem handelt und ein Verstoss nicht durch eine wettbewerbsrechtliche Abmahnung eines Wettbewerbers verfolgt werden kann.

Beachten Sie: Die Frage ist hochgradig umstritten. Der differenzierende Ansatz des OLG Hamburg zur Abmahnung von Datenschutzverstößen könnte sich durchsetzen, es ist derzeit aber noch vollkommen offen wie es sich entwickelt.

„LG Magdeburg: Verstoss gegen DSGVO kann nicht von Mitbewerber abgemahnt werden“ weiterlesen

OLG Hamburg: Verstoss gegen die DSGVO kann abgemahnt werden

Das OLG Hamburg (3 U 66/17) hat entschieden, dass ein Verstoss gegen die Vorgaben der Datenschutzgrundverordung zugleich ein wettbewerbsrechtlicher Verstoss ist und abgemahnt werden kann. Entgegen einer Verbreiteten Auffassung stellt sich das OLG Hamburg auf de Standpunkt, dass sich nicht in der früheren RL 95/46/EG (Datenschutzrichtlinie) noch in der VO (EU) 2016/679 (Datenschutzgrundverordnung) ein abgeschlossenes Sanktionssystem finden lässt, das einer Klagebefugnis von Wettbewerbern im Sinne des UWG entgegen stehen würde.

Allerdings hat das OLG Hamburg – übereinstimmend mit seiner früheren Rechtsprechung zum Thema Datenschutz & Wettbewerbsrecht – zugleich klargestellt, dass nicht jede datenschutzrechtliche Norm einen marktverhaltensregelnden Charakter i.S. des § 3a UWG hat. Im Einzelfall muss die jeweilige Norm konkret darauf überprüft werden, ob gerade die betroffene Norm eine Regelung des Marktverhaltens zum Gegenstand hat.

„OLG Hamburg: Verstoss gegen die DSGVO kann abgemahnt werden“ weiterlesen

LG Würzburg: Wettbewerbsrechtlicher Unterlassungsanspruch wegen der Nichteinhaltung der DSGVO

Das Landgericht Würzburg (11 O 1741/18) sieht einen wettbewerbsrechtlichen Unterlassungsanspruch wenn Vorgaben der DSGVO nicht eingehalten werden, hier insbesondere ein Kontaktformular auf einer nicht verschlüsselten Webseite angeboten wird:

Dem Antragsteller steht ein Verfügungsanspruch auf Unterlassung zu, das der Antragsteller glaubhaft gemacht hat, dass die Antragsgegnerin bezüglich ihrer Homepage gegen die Datenschutzgrundverordnung (DSGVO), die spätestens seit 25.05.2018 umzusetzen ist verstößt. Die im Impressum der Antragsgegnerin enthaltene 7-zeilige Datenschutzerklärung genügt der neuen DSGVO nicht. Es fehlen Angaben zum/zur Verantwortlichen, zur Erhebung und Speicherung personenbezogener Daten sowie Art und Zweck deren Verwendung, eine Erklärung zur Weitergabe von Daten, über Cookies, Analysetools, aber vor allem die Belehrung über die Betroffenenrechte, insbesondere Widerspruchsrecht, Datensicherheit und ein Hinweis zur Möglichkeit, sich bei einer Aufsichtsbehörde zu beschweren. Mit dem OLG Hamburg (3 U 26/12) und dem OLG Köln (6 U 121/15) geht das erkennende Gericht davon aus, dass es sich bei den Vorschriften, gegen die hier verstoßen wurde um Verstöße gegen das Wettbewerbsrecht gemäß § 4 Nr. 11 UWG bzw. jetzt § 3 a UWG darstellt und somit vom Antragsteller abgemahnt werden konnte. Dass die Antragsgegnerin Daten erhebt wird schon aus der gleichzeitigen Verwendung eines Kontaktformulars auf der Homepage indiziert. Da die Antragsgegnerin jedenfalls über ein Kontaktformular Daten erheben kann, ist zwingend auch eine Verschlüsselung der Homepage erforderlich, die hier fehlt.

Gem. § 8 Abs. 3 UWG ist der Antragsteller aktiv legitimiert die beanstandeten Gesetzesverstöße geltend zu machen. Es besteht das erforderliche Wettbewerbsverhältnis aufgrund der Möglichkeit als Rechtsanwalt bundesweit tätig zu werden.

Beitrag wurde zuletzt aktualisiert:

LG Bochum: Verstoss gegen die DSGVO kann nicht durch Mitbewerber abgemahnt werden

Das Landgericht Bochum (I-12 O 85/18) hat entschieden, dass nach dortiger Auffassung Verstöße gegen die DSGVO nicht von Konkurrenten abgemahnt werden können, da die Datenschutzgrundverordnung sehr konkret vorgibt, wer Anspruchsberechtigt ist – das LG geht dabei bewusst auf die zahlreichen anderen Meinungen ein und stellt sich dagegen:

Keinen Erfolg hatte der Antrag hingegen, soweit ein Verstoß gegen Artikel 13 der Datenschutzgrundverordnung geltend gemacht wird. Denn dem Verfügungskläger steht ein solcher nicht zu, weil die Datenschutzgrundverordnung in den Artikeln 77 bis 84 eine die Ansprüche von Mitbewerbern ausschließende, abschließende Regelung enthält. Die Kammer verkennt dabei nicht, dass diese Frage in der Literatur umstritten ist und die Meinungsbildung noch im Fluss ist. Die Kammer in ihrer derzeitigen Besetzung schließt sich der besonders von Köhler (ZD 2018, 337 sowie in Köhler/Bornkamm/Feddersen, UWG, 36. Aufl. 2018, § 3 a Rn. 1.40 a und 1.74 b, im Ergebnis auch Barth WRP 2018, 790; anderer Ansicht Wolff, ZD 2018, 248) vertretenen Auffassung an.

Dafür spricht insbesondere, dass die Datenschutzgrundverordnung eine detaillierte Regelung des anspruchsberechtigten Personenkreises enthält. Danach steht nicht jedem Verband ein Recht zur Wahrnehmung der Rechte einer betroffenen Person zu, sondern nur bestimmten Einrichtungen, Organisationen und Vereinigungen ohne Gewinnerzielungsabsicht unter weiteren Voraussetzungen. Hieraus ist zu schließen, dass der Unionsgesetzgeber eine Erstreckung auf Mitbewerber des Verletzers nicht zulassen wollte (Köhler, ZD 2018, 337, 338). Wegen der weiteren Einzelheiten der Argumentation kann auf die zitierten Literaturstellen Bezug genommen werden.

Elterliche Sorge bei Veröffentlichung von Fotos der Kinder im Internet

Immer wieder für Streit bei getrennt lebenden Eltern sorgt die Veröffentlichung von Kinderfotos im Internet. Hierbei kann es sich durchaus um eine Angelegenheit von erheblicher Bedeutung (§1687 Abs. 1 Satz 1 BGB) handeln, wenn unter diesen Umständen Fotos eines Kindes auf einer kommerziellen Zwecken dienenden Internetseite veröffentlicht werden, so das (OLG Oldenburg, 13 W 10/18).

Im Hinblick auf §22 KunstUrhG dürfen Bildnisse nur mit Einwilligung des Abgebildeten verbreitet oder veröffentlicht werden, worunter das Einstellen von Fotos auf einer Internetseite fällt. Bei Veröffentlichung des Bildes eines Minderjährigen bedarf es mit der bisherigen Rechtsprechung zusätzlich der Einwilligung seines gesetzlichen Vertreters (dazu BGH in NJW 2005, 56-58), was im Regelfall gemäß § 1629 BGB die sorgeberechtigten Eltern sein werden.
Hinweis: Ob sich dieses Einwilligungserfordernis durch die Datenschutzgrundverordnung geändert hat lasse ich hier offen. Hierfür mag sprechen, dass mit der DSGVO nun ab 16 Jahren eine datenschutzrechtliche Einsichtsfähigkeit von Gesetzes wegen anzunehmen ist; andererseits geht es gerade nicht um die Erhebung personenbezogener Daten wo das Datenschutzrecht zu beachten ist, sondern eben um die Veröffentlichung von Bildnissen die einem gesonderten Einwilligungsvorbehalt unterliegt. Ich sehe insgesamt daher bessere Gründe für die Einwilligung durch die Eltern bis zum vollendeten 18. Lebensjahr.
„Elterliche Sorge bei Veröffentlichung von Fotos der Kinder im Internet“ weiterlesen

Beitrag wurde zuletzt aktualisiert:

DSGVO zu beachten

Seit dem heutigen 25.05.2018 ist die Datenschutzgrundverordnung von Unternehmen in ganz Europa zu Beachten. Damit gelten für Betroffene neu strukturierte und teilweise auch gänzlich neue Rechte, während Unternehmen zumindest teilweise noch verunsichert sind, was auf sie zukommt in den nächsten Wochen.

Beachten Sie dazu auch: Meine Webseite zum Datenschutzrecht nach der DSGVO
„DSGVO zu beachten“ weiterlesen

Beitrag wurde zuletzt aktualisiert:

Datenschutzrecht: Mindestanforderungen an eine Auftragsdatenverarbeitungsvereinbarung

Das Landgericht Frankfurt am Main (2-03 O 65/16) konnte sich zu den Mindestanforderungen an eine Auftragsdatenverarbeitungsvereinbarung äussern und dabei klären, dass auch eine in Form eines Rahmvertrags geschlossene und in eine Anlage gefasste Vereinbarung dem Schriftformerfordernis genügt. Soweit zu prüfen ist, ob eine Datenschutzvereinbarung auch die im Katalog des § 11 II 2 BDSG enthaltenen Mindestangaben enthält ist dabei nicht schematisch der Inhalt des §11 Abs.2 BDSG zu prüfen, sondern es ist inhaltlich zu prüfen, ob die dortigen Kriterien letztlich in der Datenschutzvereinbarung enthalten sind. Das liest sich dann beispielsweise so:

In § 1 ist der Vertragsgegenstand festgelegt, in § 7 Vertragsbeginn und -dauer (vgl. § 11 II 2 Nr. 1 BDSG). Gleichfalls in § 1 werden die erfassten Daten und Zweck und Umfang der Erhebung, Verarbeitung und Speicherung geregelt, ebenso wie der Kreis der Betroffenen (vgl. § 11 II 2 Nr. 2 BDSG). § 2 regelt die Pflichten von C auch im Sinne von § 9 BDSG, wobei konkrete Maßnahmen beschrieben werden und erfüllt damit die Voraussetzungen von § 11 II 2 Nr. 3 BDSG und § 11 II 2 Nr. 5 BDSG. In § 2 Ziffer 5 ist die Berechtigung und Verpflichtung zur Berichtigung, Löschung und Sperrung von personenbezogenen Daten geregelt (vgl. § 11 II 2 Nr. 4 BDSG). Unterauftragsverhältnisse sind in § 4 geregelt (vgl. § 11 II 2 Nr. 6 BDSG), § 5 räumt der Beklagten entsprechende Kontrollrechte ein (§ 11 II 2 Nr. 7 BDSG). § 2 Ziffer 5 sieht eine Unterrichtungspflicht von C in Fällen schwerwiegender Störungen des Betriebsablaufs, schwerwiegender Verstöße gegen die gesetzlichen oder in der Datenschutzvereinbarung geregelten Verpflichtung zum Datenschutz sowie bei anderen Unregelmäßigkeiten bei der Verarbeitung der Daten der Beklagten vor (vgl. § 11 II Nr. 8 BDSG). Nach § 2 Ziffer 1 hat sich die Beklagte eine umfassende Weisungsbefugnis gegenüber C vorbehalten (vgl. § 11 II 2 Nr. 9 BDSG). Des Weiteren sieht § 6 eine Regelung zur Rückgabe von Datenträgern und Löschung von gespeicherten Daten vor (§ 11 II 2 Nr. 10 BDSG).

Hinweis: Ab dem 25.05.2018 gilt die Datenschutzgrundverordnung, die als Nachfolgeregelung die “Auftragsverarbeitung” vorsieht.

Beitrag wurde zuletzt aktualisiert:

Softwarepflegevertrag: Pflicht zur Anpassung von Software an gesetzliche Änderungen?

Softwarepflegevertrag und gesetzliche Änderungen: Spätestens mit der Datenschutzgrundverordnung ab Mitte 2018 dürfte gerade in Fällen von Software im Bereich “Big Data” und beim Kundenbezug die Frage aufkommen, ob eine Pflicht des Softwareanbieters zur Anpassung an gesetzliche Änderungen besteht. Tatsächlich dürfte dies mitunter in Betracht kommen, allerdings wird es auf den Einzelfall ankommen.
„Softwarepflegevertrag: Pflicht zur Anpassung von Software an gesetzliche Änderungen?“ weiterlesen

Beitrag wurde zuletzt aktualisiert:

Gesetz zur Neuregelung des Schutzes von Geheimnissen bei der Mitwirkung Dritter an der Berufsausübung schweigepflichtiger Personen

Es ist ein zumindest inhaltlich dringend gebotener Schritt: Hinter dem sperrigen Namen “Gesetz zur Neuregelung des Schutzes von Geheimnissen bei der Mitwirkung Dritter an der Berufsausübung schweigepflichtiger Personen” verbirgt sich der Versuch des Gesetzgebers, die berufsrechtlichen Schweigepflichten mit der heutigen Arbeitsweise zu vereinen. Die bestehenden Unsicherheiten bei der Nutzung moderner Technologien, hier insbesondere bei der Nutzung von Cloud-Diensten, sollen beseitigt werden:

Insbesondere die Digitalisierung hat es in den letzten Jahrzehnten möglich und erforderlich gemacht, in weiterem Umfang als bisher anfallende Unterstützungstätigkeiten nicht durch eigenes Personal erledigen zu lassen, sondern durch darauf spezialisierte Unternehmen oder selbständig tätige Personen. Hierzu gehören beispielsweise auch die Einrichtung, der Betrieb, die Wartung und die Anpassung informationstechnischer Anlagen. Die Heranziehung dritter, außerhalb der eigenen Sphäre stehender Personen zu diesen unterstützenden Tätigkeiten ist für Berufsgeheimnisträger aber nicht ohne rechtliches Risiko, sofern diese Personen damit von geschützten Geheimnissen Kenntnis erlangen können.

Doch während die Gesetzesänderung eigentlich Strafbarkeiten vermeiden soll, dürfte im Ergebnis vielmehr eine Verschärfung unter Stärkung des Datenschutzrechts zu erwarten sein.
„Gesetz zur Neuregelung des Schutzes von Geheimnissen bei der Mitwirkung Dritter an der Berufsausübung schweigepflichtiger Personen“ weiterlesen

Beitrag wurde zuletzt aktualisiert:

Prüfung von Wearables: Kein Gerät erfüllt die datenschutzrechtlichen Anforderungen

Ende 2016 haben die Datenschutzbehörden Fitness-Armbänder unter die Lupe genommen und hierzu eine Pressemitteilung heraus gegeben:

Im Rahmen einer deutschlandweiten Prüfaktion hat die Landesbeauftragte für den Datenschutz Niedersachsen zusammen mit sechs weiteren Datenschutzaufsichtsbehörden 16 Wearables und Smart Watches mit Gesundheitsfunktionen geprüft. Das Ergebnis ist besorgniserregend: Kein Gerät erfüllt vollständig die datenschutzrechtlichen Anforderungen.

Unter Laborbedingungen wurden insbesondere die Datenflüsse der Geräte analysiert. Die Prüfung ergab, dass fast alle Hersteller und Betreiber so genannte Tracking-Tools US-amerikanischer Unternehmen einsetzen und damit Programme nutzen, mit denen sie das Nutzerverhalten nachvollziehen können.

„Die Nutzerinnen und Nutzer von Wearables müssen wissen, dass ihre sensiblen Gesundheitsdaten regelmäßig an Dritte weitergeleitet werden und unklar bleibt, was mit den Informationen im Einzelnen geschieht”, so die Landesdatenschutzbeauftragte Barbara Thiel.

Zwar sind die einzelnen Informationen wie Körpergewicht, zurückgelegte Schritte, Herzfrequenz oder Dauer des Schlafes für sich betrachtet oft wenig aussagekräftig. Aufgrund der Fülle der über einen längeren Zeitraum erfassten Daten und der möglichen Verknüpfung mit Standortdaten entsteht aber ein erstaunlich präzises Bild über den Gesundheitszustand und über den Tagesablauf der Nutzer.

„Permanente Übermittlungen der Daten an den Hersteller oder sogar an Dritte sind für die Funktionen der Wearables nicht erforderlich. Indem dies dennoch geschieht, signalisieren die Hersteller ein eigenes Interesse an den sensiblen Daten. Das macht misstrauisch”, so Thiel.

Problematisch ist auch, dass die meisten der den Geräten beigefügten Datenschutzerklärungen nicht die gesetzlichen Anforderungen erfüllen. So erfährt der Nutzer oftmals nicht, wer konkret Zugriff auf die Daten hat und wie lange sie gespeichert werden. Oft bleibt es bei dem pauschalen Hinweis, dass die Hersteller die Fitness-Daten für eigene Forschungszwecke und Marketing verwenden und an verbundene Unternehmen weitergeben. Thiel: „Aufgrund der mangelnden Transparenz ist der Nutzer nicht mehr Herr seiner Daten. Das ist ein klarer Verstoß gegen das Datenschutzrecht.”” – Quelle: Pressemitteilung, Landesbeauftragte für den Datenschutz Niedersachsen

Das Ergebnis überrascht nicht wirklich, ich hatte schon früher auf die Problematik in aller Kürze hingewiesen: Wer in diesem Bereich Produkte anbietet muss dringend auf die datenschutzrechtlichen Vorgaben achten. Spätestens mit der Datenschutzgrundverordnung und ihren erheblichen Bussgeldmöglichkeiten, die “Privacy by Design” als Vorgabe enthält, droht hier ein böses Erwachen der Hersteller. Zugleich müssen sich Nutzer über die Missbrauchsmöglichkeiten derlei Geräte im Klaren sein.

Beitrag wurde zuletzt aktualisiert:

Datenschutz: Datenschutzaufsichtsbehörden prüfen grenzüberschreitende Datenübermittlungen

Die einzelnen Datenschutzaufsichtsbehörden der Bundesländer starten eine gemeinsame Aktion zur Prüfung datenschutzrechtlicher Vorgaben, wie etwa die Landesdatenschutzbeauftragte NRW mitteilt:

In einer koordinierten schriftlichen Prüfaktion nehmen zehn deutsche Datenschutzaufsichtsbehörden Übermittlungen personenbezogener Daten in das Nicht-EU-Ausland genauer unter die Lupe. Angeschrieben werden bundesweit rund 500 Unternehmen unterschiedlicher Größe und verschiedener Branchen. Die Prüfung soll die Unternehmen auch für den Datenschutz sensibilisieren.

Bei der Anzahl von 500 Unternehmen handelt es sich angesichts einer Zusammenarbeit aller 16 datenschutzrechtlichen Aufsichtsbehörden, um eine eher kleine Zahl, es ist wohl davon auszugehen, dass es sich um einen Pilotversuch handelt, um – ggfs. im Vorgriff auf die ab 2018 geltende Datenschutzgrundverordnung – umfassendere Aktionen abzustecken. Unternehmen die angeschrieben werden, erhalten dann als erstes ein Auskunftsersuchen der Aufsichtsbehörde an das sich gegebenenfalls eine verwaltungsrechtliche Anordnung anknüpft. Dabei zeigen die bisherigen derartigen Vorgehen, dass man jedenfalls aktuell bei ordnungsgemäßer Mitarbeit weniger mit Bussgeldern rechnen muss, weil die Behörden in erster Linie (öffentliche) Aufklärung betreiben möchten, auf der anderen Seite für sich aber auch breit gestreute Informationen über das Prozedere bei nicht-öffentlichen Datenverarbeitungsstellen sammeln möchten. Gleichwohl müssen derartige Anfragen entsprechend ernsthaft bearbeitet werden.

Dazu auch: Bericht bei Heise-Online
„Datenschutz: Datenschutzaufsichtsbehörden prüfen grenzüberschreitende Datenübermittlungen“ weiterlesen

Beitrag wurde zuletzt aktualisiert:

BRExit: Rechtliche Auswirkungen des BREXIT

Folgen des BREXIT: Seit dem 24. Juni 2016 steht fest, dass die britische Bevölkerung zum Ergebnis gekommen ist, die EU zu verlassen. Viel ist passiert seitdem – nur nicht politisch; nachdem im Januar 2019 ein “sauberer” BREXIT-Plan gescheitert ist dürfte weitere Unsicherheit herrschen und ein “harter” Umstieg wahrscheinlicher geworden sein.

Naturgemäß drehen sich viele Diskussionen zum BREXIT um finanzielle und faktische Auswirkungen. Doch bieten sich im Detail Aspekte, die schnell zeigen, dass in rechtlicher Hinsicht nicht nur grosse Unternehmen umdenken müssen.

„BRExit: Rechtliche Auswirkungen des BREXIT“ weiterlesen

Beitrag wurde zuletzt aktualisiert: