Gesetz zur Neuregelung des Schutzes von Geheimnissen bei der Mitwirkung Dritter an der Berufsausübung schweigepflichtiger Personen

Es ist ein zumindest inhaltlich dringend gebotener Schritt: Hinter dem sperrigen Namen „Gesetz zur Neuregelung des Schutzes von Geheimnissen bei der Mitwirkung Dritter an der Berufsausübung schweigepflichtiger Personen“ verbirgt sich der Versuch des Gesetzgebers, die berufsrechtlichen Schweigepflichten mit der heutigen Arbeitsweise zu vereinen. Die bestehenden Unsicherheiten bei der Nutzung moderner Technologien, hier insbesondere bei der Nutzung von Cloud-Diensten, sollen beseitigt werden:

Insbesondere die Digitalisierung hat es in den letzten Jahrzehnten möglich und erforderlich gemacht, in weiterem Umfang als bisher anfallende Unterstützungstätigkeiten nicht durch eigenes Personal erledigen zu lassen, sondern durch darauf spezialisierte Unternehmen oder selbständig tätige Personen. Hierzu gehören beispielsweise auch die Einrichtung, der Betrieb, die Wartung und die Anpassung informationstechnischer Anlagen. Die Heranziehung dritter, außerhalb der eigenen Sphäre stehender Personen zu diesen unterstützenden Tätigkeiten ist für Berufsgeheimnisträger aber nicht ohne rechtliches Risiko, sofern diese Personen damit von geschützten Geheimnissen Kenntnis erlangen können.

Doch während die Gesetzesänderung eigentlich Strafbarkeiten vermeiden soll, dürfte im Ergebnis vielmehr eine Verschärfung unter Stärkung des Datenschutzrechts zu erwarten sein.
Gesetz zur Neuregelung des Schutzes von Geheimnissen bei der Mitwirkung Dritter an der Berufsausübung schweigepflichtiger Personen weiterlesen

Prüfung von Wearables: Kein Gerät erfüllt die datenschutzrechtlichen Anforderungen

Ende 2016 haben die Datenschutzbehörden Fitness-Armbänder unter die Lupe genommen und hierzu eine Pressemitteilung heraus gegeben:

Im Rahmen einer deutschlandweiten Prüfaktion hat die Landesbeauftragte für den Datenschutz Niedersachsen zusammen mit sechs weiteren Datenschutzaufsichtsbehörden 16 Wearables und Smart Watches mit Gesundheitsfunktionen geprüft. Das Ergebnis ist besorgniserregend: Kein Gerät erfüllt vollständig die datenschutzrechtlichen Anforderungen.

Unter Laborbedingungen wurden insbesondere die Datenflüsse der Geräte analysiert. Die Prüfung ergab, dass fast alle Hersteller und Betreiber so genannte Tracking-Tools US-amerikanischer Unternehmen einsetzen und damit Programme nutzen, mit denen sie das Nutzerverhalten nachvollziehen können.

„Die Nutzerinnen und Nutzer von Wearables müssen wissen, dass ihre sensiblen Gesundheitsdaten regelmäßig an Dritte weitergeleitet werden und unklar bleibt, was mit den Informationen im Einzelnen geschieht“, so die Landesdatenschutzbeauftragte Barbara Thiel.

Zwar sind die einzelnen Informationen wie Körpergewicht, zurückgelegte Schritte, Herzfrequenz oder Dauer des Schlafes für sich betrachtet oft wenig aussagekräftig. Aufgrund der Fülle der über einen längeren Zeitraum erfassten Daten und der möglichen Verknüpfung mit Standortdaten entsteht aber ein erstaunlich präzises Bild über den Gesundheitszustand und über den Tagesablauf der Nutzer.

„Permanente Übermittlungen der Daten an den Hersteller oder sogar an Dritte sind für die Funktionen der Wearables nicht erforderlich. Indem dies dennoch geschieht, signalisieren die Hersteller ein eigenes Interesse an den sensiblen Daten. Das macht misstrauisch“, so Thiel.

Problematisch ist auch, dass die meisten der den Geräten beigefügten Datenschutzerklärungen nicht die gesetzlichen Anforderungen erfüllen. So erfährt der Nutzer oftmals nicht, wer konkret Zugriff auf die Daten hat und wie lange sie gespeichert werden. Oft bleibt es bei dem pauschalen Hinweis, dass die Hersteller die Fitness-Daten für eigene Forschungszwecke und Marketing verwenden und an verbundene Unternehmen weitergeben. Thiel: „Aufgrund der mangelnden Transparenz ist der Nutzer nicht mehr Herr seiner Daten. Das ist ein klarer Verstoß gegen das Datenschutzrecht.““ – Quelle: Pressemitteilung, Landesbeauftragte für den Datenschutz Niedersachsen

Das Ergebnis überrascht nicht wirklich, ich hatte schon früher auf die Problematik in aller Kürze hingewiesen: Wer in diesem Bereich Produkte anbietet muss dringend auf die datenschutzrechtlichen Vorgaben achten. Spätestens mit der Datenschutzgrundverordnung und ihren erheblichen Bussgeldmöglichkeiten, die „Privacy by Design“ als Vorgabe enthält, droht hier ein böses Erwachen der Hersteller. Zugleich müssen sich Nutzer über die Missbrauchsmöglichkeiten derlei Geräte im Klaren sein.

Datenschutz: Datenschutzaufsichtsbehörden prüfen grenzüberschreitende Datenübermittlungen

Die einzelnen Datenschutzaufsichtsbehörden der Bundesländer starten eine gemeinsame Aktion zur Prüfung datenschutzrechtlicher Vorgaben, wie etwa die Landesdatenschutzbeauftragte NRW mitteilt:

In einer koordinierten schriftlichen Prüfaktion nehmen zehn deutsche Datenschutzaufsichtsbehörden Übermittlungen personenbezogener Daten in das Nicht-EU-Ausland genauer unter die Lupe. Angeschrieben werden bundesweit rund 500 Unternehmen unterschiedlicher Größe und verschiedener Branchen. Die Prüfung soll die Unternehmen auch für den Datenschutz sensibilisieren.

Bei der Anzahl von 500 Unternehmen handelt es sich angesichts einer Zusammenarbeit aller 16 datenschutzrechtlichen Aufsichtsbehörden, um eine eher kleine Zahl, es ist wohl davon auszugehen, dass es sich um einen Pilotversuch handelt, um – ggfs. im Vorgriff auf die ab 2018 geltende Datenschutzgrundverordnung – umfassendere Aktionen abzustecken. Unternehmen die angeschrieben werden, erhalten dann als erstes ein Auskunftsersuchen der Aufsichtsbehörde an das sich gegebenenfalls eine verwaltungsrechtliche Anordnung anknüpft. Dabei zeigen die bisherigen derartigen Vorgehen, dass man jedenfalls aktuell bei ordnungsgemäßer Mitarbeit weniger mit Bussgeldern rechnen muss, weil die Behörden in erster Linie (öffentliche) Aufklärung betreiben möchten, auf der anderen Seite für sich aber auch breit gestreute Informationen über das Prozedere bei nicht-öffentlichen Datenverarbeitungsstellen sammeln möchten. Gleichwohl müssen derartige Anfragen entsprechend ernsthaft bearbeitet werden.

Dazu auch: Bericht bei Heise-Online
Datenschutz: Datenschutzaufsichtsbehörden prüfen grenzüberschreitende Datenübermittlungen weiterlesen

BRExit: Beispiele rechtlicher Auswirkungen

Am 24. Juni 2016 stand fest, dass die britische Bevölkerung abgestimmt hat, die EU zu verlassen. Naturgemäß drehen sich erste Diskussionen um finanzielle und faktische Auswirkungen. Doch bieten sich im Detail Aspekte, die schnell zeigen, dass in rechtlicher Hinsicht nicht nur grosse Unternehmen umdenken müssen. Ich möchte dies kurz an willkürlich ausgewählten Beispielen aufzeigen:

  • Im Datenschutz etwa ist zu sehen, dass das Vereinigte Königreich (UK) zukünftig als Drittland nach Art.45 der Datenschutzgrundverordnung einzustufen wäre. Es kommt für die Zulässigkeit von Datenübermittlungen dorthin dann darauf an, ob die EU-Kommission feststellt, dass UK ein angemessenes Schutzniveau bietet.
  • Spannend ist auch das Markenrecht: Zum einen werden sich viele einer Unionsmarke (früher: Gemeinschaftsmarke) bedienen, um EU-weiten Schutz zu erlangen, hier wird recht schnell zu sehen sein, dass der rechtliche Boden mit dem Verlassen der EU entzogen wird. Man wird sich also aktiv um einen markenrechtlichen Schutz bemühen müssen.
  • Was ich im Markenrecht spannender finde ist die Erschöpfung: Bekanntlich gilt mit dem Erschöpfungsgrundsatz, dass keine marken- oder urheberrechtlichen Ansprüche an willentlich und wissentlich in den europäischen Wirtschaftsraum eingebrachten Waren besteht. Wenn nun aber der Wirtschaftsraum innerhalb der geographischen Grenzen endet, bieten sich schnell Streitfälle an, wenn etwa in England Produkte gekauft werden und später in Deutschland wieder verkauft werden. Die Importproblematik wird an dieser Stelle zumindest faktisch etwas sensibilisiert, auch wenn an Touristen gedacht wird.
  • Dagegen auf der Hand liegt, dass englische Limited, die in Deutschland recht beliebt sind, diskussionswürdig werden. Hintergrund ist, dass im Gesellschaftsrecht eigentlich die „Sitztheorie“ gilt, derzufolge das Recht des Landes der (faktischen) Niederlassung ausschlaggebend ist. Wenn als eine Limited in London einen Briefkasten hat, die Verwaltung aber faktisch in Deutschland stattfindet, dann ist eigentlich deutsches Recht anzuwenden und etwa „die Verwaltung“ als OHG etc. zu qualifizieren, was erhebliche Haftungsrisiken aufwirft. Bisher war diese Wertung nicht möglich, der EUGH hatte den BGH in die Schranken gewiesen und darauf hingewiesen, dass die Sitztheorie die Niederlassungsfreiheit unzulässig einschränkt. Mit Verlassen der EU dürfte aber fraglich sein, ob es hierbei verbleibt – vielleicht gibt es einen Bestandsschutz, vielleicht (und aus meiner Sicht wahrscheinlicher) wäre die Niederlassung aus dem HGB zu streichen und es folgt eine unfreiwillige Verselbstständigung samt voller Haftung.
  • Viele Rechtsgebiete, etwa im Verbraucherrecht oder Wettbewerbsrecht, sind über Richtlinien harmonisiert, was heisst, dass durch Gesetze auf der Insel Richtlinien in nationalem Recht umgesetzt wurden. Das ändert sich auch mit dem Austritt nicht, erst einmal geht es also nicht um eine Zäsur in der Rechtslage. Doch es ist abzusehen, dass durch Rechtsprechung, die nicht mehr durch den EUGH gebunden ist, eine abweichende Auslegung entsteht, somit das materielle Recht sich schleichend wandelt. Sofort nicht mehr anzuwenden wären aber die Verordnungen, etwa die ROM-Verordnungen zu anzuwendendem Recht, so dass wieder die alten Grundsätze im Internationalen Privatrecht zu berücksichtigen wären – dies gilt auch bei Auswanderern hinsichtlich anzuwendenden Erbrechts, da die inzwischen in Kraft getretene Erbrechts-VO ebenfalls keine Anwendung finden würde.

Dazu auch: Beitrag im Shopbetreiber-Blog

Vernetztes Auto: Datenschutz und Gewährleistung bei vernetzten Fahrzeugen

Immer stärker rückt die Datenspeicherung in modernen PKW in den Fokus der öffentlichen Wahrnehmung und auch der juristischen Auseinandersetzung. Viele Autohersteller haben sich inzwischen zusammen getan, um über das Projekt „Here“ u.a. eine Plattform zum Austausch von Daten zwischen Fahrzeugen aufzubauen und als de Facto Standard zu etablieren. Dabei sind die von PKW erhobenen Daten durchaus „Gold wert“:

  • Schon alleine die in Echtzeit erhobenen Wetterdaten und Daten zum Zustand der Strasse dürften einen brauchbaren Wert haben, jedenfalls in Masse;
  • In jedem Fall sind Informationen zum Verkehr, also Verkehrsfluss und auch bevorzugte Routen der Autofahrer, sortiert nach „ortskundig“ und „ortsunkundig“ von besonderem Wert;
  • Darüber hinaus muss man aber auch weiter denken: Aus dem Verhalten des Fahrers oder Eigentümers lassen sich Rückschlüsse ziehen, die evt. für die Werbebranche von Interesse sind, etwa wenn man feststellt, dass je nach Marke besonders schnell oder langsam auf Probleme oder anstehende Inspektionen reagiert wird;
  • Und natürlich sind Daten über das Fahrverhalten auch für Versicherungen von hohem Interesse.

Bei näherer Betrachtung zeigt sich somit nicht nur ein umfassender schon vorhandener Datenschatz im Auto, sondern darüber hinaus noch viele andere Ansatzpunkte für weitere interessante Daten. Grund genug, dieses Thema nicht (weiter) datenschutzrechtlich zu ignorieren, zumal es bereits EU-weit koordiniert wird.
Vernetztes Auto: Datenschutz und Gewährleistung bei vernetzten Fahrzeugen weiterlesen

Datenschutzgrundverordnung

Es ist soweit: Am 14.04.2016 wurde die „Datenschutzgrundverordnung“ durch das europäische Parlament beschlossen. Der Datenschutz steht damit ab 2018 vor tiefgreifenden Änderungen, Betriebe und Datenschützer haben nun noch gut 1 Jahr Zeit, um sich auf die Änderungen einzustellen.

Bereits im Juni 2015 kam die bis dahin stockende „Datenschutzgrundverordnung“ einen wesentlichen Schritt voran durch den einigenden Beschluss der EU-Justizminister. Damit wurde die Datenschutzgrundverordnung auch in der Öffentlichkeit ein Stück weit bekannter. Im Dezember 2015 kam dann der „Durchbruch“ in dem man sich auf einen Verordnungstext einigen konnte, seit April 2016 stand die finalisierte und beschlossene Fassung der Datenschutzgrund hinsichtlich der verschiedenen Sprachen fest, wobei Ende Oktober 2016 einige redaktionelle Änderung publiziert wurde.

Unternehmen sollten sich auf die Datenschutzgrundverordnung einstellen und ihre Prozesse umstellen. Der vorliegende Beitrag soll als erster kleiner Stichwort-Beitrag mit einer sehr kurzen Einführung dienen.
Datenschutzgrundverordnung weiterlesen

Wettbewerbsrecht: Gesetzesänderung ermöglicht Ahndung von Datenschutzverstößen

Im April 2015 hat die Bundesregierung den „Entwurf eines Gesetzes zur Verbesserung der zivilrechtlichen Durchsetzung von verbraucherschützenden Vorschriften des Datenschutzrechts“ vorgelegt, mit dem sie – erneut – versuchen möchte, Datenschutzverstöße über das Wettbewerbsrecht zu regulieren. Dazu soll das Unterlassungsklagegesetz geändert werden, so dass die hier Berechtigten in der Lage sind, bei Datenschutzverstößen von Unternehmen Maßnahmen zu ergreifen.

Der Gesetzgeber möchte auf dem Weg zumindest hinsichtlich von Verbänden Klarheit schaffen, da bisher umstritten ist, ob Datenschutzverstöße einen Wettbewerbsverstoß darstellen.

Update: Der Bundestag hat den Gesetzentwurf im Dezember 2015 beschlossen. Am 23. Februar 2016 wurde das Gesetz verkündet, damit tritt es am 24.02.2016 in Kraft. Jeder sollte daher prüfen, ob er eine ausreichende Datenschutzerklärung vorhält und auch sonst alle datenschutzrechtlichen Vorgaben erfüllt.
Wettbewerbsrecht: Gesetzesänderung ermöglicht Ahndung von Datenschutzverstößen weiterlesen