Beiträge zum Thema "Datenschutzrecht in Europa"


LG Frankfurt: KUG ist im Rahmen der DSGVO zu berücksichtigen

Auch das Landgericht Frankfurt am Main (2-03 O 283/18) konnte sich zu der Frage der Auswirkungen der Erlaubnistatbestände des KUG im Rahmen der DSGVO äussern und insoweit feststellen, dass man das KUG auch im Rahmen der DSGVO berücksichtigen möchte:

Die Kammer erachtet insoweit die Grundsätze der §§ 22, 23 KUG und die dazu ergangene Rechtsprechung – unter Berücksichtigung einer entsprechenden europarechtsautonomen Auslegung (vgl. Lauber-Rönsberg/Hartlaub, NJW 2017, 1057, 1060) – als Gesichtspunkte, die im Rahmen von Art. 6 Abs. 1 lit. f) DSGVO und der Abwägung der Interessen und Grundrechte einzubeziehen sind (vgl. insoweit Specht in: Dreier/Schulze, UrhG, 6. Aufl. 2018, § 23 Rn. 1 KUG Rn. 1; Hansen/Brechtel, GRUR-Prax 2018, 369, 370; Paschke, jurisPR-ITR 15/2018, Anm. 3; Ziebarth/Elsaß, ZUM 2018, 578, 581; Plath/Grages, DSGVO/BDSG, 3. Aufl. 2018, Art. 85 DSGVO Rn. 3).

LG Frankfurt, 2-03 O 283/18

Das LG Frankfurt ist damit inhaltlich auf einer Linie mit dem OLG Köln, so dass jedenfalls derzeit die Linie zu erkennen ist: Was nach dem KUG erlaubt ist, wird im Rahmend er DSGVO weiterhin zulässig sein.

Prüfung von Wearables: Kein Gerät erfüllt die datenschutzrechtlichen Anforderungen

Ende 2016 haben die Datenschutzbehörden Fitness-Armbänder unter die Lupe genommen und hierzu eine Pressemitteilung heraus gegeben:

Im Rahmen einer deutschlandweiten Prüfaktion hat die Landesbeauftragte für den Datenschutz Niedersachsen zusammen mit sechs weiteren Datenschutzaufsichtsbehörden 16 Wearables und Smart Watches mit Gesundheitsfunktionen geprüft. Das Ergebnis ist besorgniserregend: Kein Gerät erfüllt vollständig die datenschutzrechtlichen Anforderungen.

Unter Laborbedingungen wurden insbesondere die Datenflüsse der Geräte analysiert. Die Prüfung ergab, dass fast alle Hersteller und Betreiber so genannte Tracking-Tools US-amerikanischer Unternehmen einsetzen und damit Programme nutzen, mit denen sie das Nutzerverhalten nachvollziehen können.

„Die Nutzerinnen und Nutzer von Wearables müssen wissen, dass ihre sensiblen Gesundheitsdaten regelmäßig an Dritte weitergeleitet werden und unklar bleibt, was mit den Informationen im Einzelnen geschieht”, so die Landesdatenschutzbeauftragte Barbara Thiel.

Zwar sind die einzelnen Informationen wie Körpergewicht, zurückgelegte Schritte, Herzfrequenz oder Dauer des Schlafes für sich betrachtet oft wenig aussagekräftig. Aufgrund der Fülle der über einen längeren Zeitraum erfassten Daten und der möglichen Verknüpfung mit Standortdaten entsteht aber ein erstaunlich präzises Bild über den Gesundheitszustand und über den Tagesablauf der Nutzer.

„Permanente Übermittlungen der Daten an den Hersteller oder sogar an Dritte sind für die Funktionen der Wearables nicht erforderlich. Indem dies dennoch geschieht, signalisieren die Hersteller ein eigenes Interesse an den sensiblen Daten. Das macht misstrauisch”, so Thiel.

Problematisch ist auch, dass die meisten der den Geräten beigefügten Datenschutzerklärungen nicht die gesetzlichen Anforderungen erfüllen. So erfährt der Nutzer oftmals nicht, wer konkret Zugriff auf die Daten hat und wie lange sie gespeichert werden. Oft bleibt es bei dem pauschalen Hinweis, dass die Hersteller die Fitness-Daten für eigene Forschungszwecke und Marketing verwenden und an verbundene Unternehmen weitergeben. Thiel: „Aufgrund der mangelnden Transparenz ist der Nutzer nicht mehr Herr seiner Daten. Das ist ein klarer Verstoß gegen das Datenschutzrecht.”” – Quelle: Pressemitteilung, Landesbeauftragte für den Datenschutz Niedersachsen

Das Ergebnis überrascht nicht wirklich, ich hatte schon früher auf die Problematik in aller Kürze hingewiesen: Wer in diesem Bereich Produkte anbietet muss dringend auf die datenschutzrechtlichen Vorgaben achten. Spätestens mit der Datenschutzgrundverordnung und ihren erheblichen Bussgeldmöglichkeiten, die “Privacy by Design” als Vorgabe enthält, droht hier ein böses Erwachen der Hersteller. Zugleich müssen sich Nutzer über die Missbrauchsmöglichkeiten derlei Geräte im Klaren sein.

Beitrag wurde zuletzt aktualisiert:

Datenschutz: Datenschutzaufsichtsbehörden prüfen grenzüberschreitende Datenübermittlungen

Die einzelnen Datenschutzaufsichtsbehörden der Bundesländer starten eine gemeinsame Aktion zur Prüfung datenschutzrechtlicher Vorgaben, wie etwa die Landesdatenschutzbeauftragte NRW mitteilt:

In einer koordinierten schriftlichen Prüfaktion nehmen zehn deutsche Datenschutzaufsichtsbehörden Übermittlungen personenbezogener Daten in das Nicht-EU-Ausland genauer unter die Lupe. Angeschrieben werden bundesweit rund 500 Unternehmen unterschiedlicher Größe und verschiedener Branchen. Die Prüfung soll die Unternehmen auch für den Datenschutz sensibilisieren.

Bei der Anzahl von 500 Unternehmen handelt es sich angesichts einer Zusammenarbeit aller 16 datenschutzrechtlichen Aufsichtsbehörden, um eine eher kleine Zahl, es ist wohl davon auszugehen, dass es sich um einen Pilotversuch handelt, um – ggfs. im Vorgriff auf die ab 2018 geltende Datenschutzgrundverordnung – umfassendere Aktionen abzustecken. Unternehmen die angeschrieben werden, erhalten dann als erstes ein Auskunftsersuchen der Aufsichtsbehörde an das sich gegebenenfalls eine verwaltungsrechtliche Anordnung anknüpft. Dabei zeigen die bisherigen derartigen Vorgehen, dass man jedenfalls aktuell bei ordnungsgemäßer Mitarbeit weniger mit Bussgeldern rechnen muss, weil die Behörden in erster Linie (öffentliche) Aufklärung betreiben möchten, auf der anderen Seite für sich aber auch breit gestreute Informationen über das Prozedere bei nicht-öffentlichen Datenverarbeitungsstellen sammeln möchten. Gleichwohl müssen derartige Anfragen entsprechend ernsthaft bearbeitet werden.

Dazu auch: Bericht bei Heise-Online
„Datenschutz: Datenschutzaufsichtsbehörden prüfen grenzüberschreitende Datenübermittlungen“ weiterlesen

Beitrag wurde zuletzt aktualisiert:

Datenschutzrecht: Übermittlung personenbezogener Daten in das Ausland

In der digitalen Welt ist die Übermittlung von Daten ans Ausland und Speicherung von Daten im Ausland nichts besonderes mehr. Es stellt sich aber die Frage, ob und unter welchen Voraussetzungen dies zulässig ist. Dazu ein kurzer Überblick.
„Datenschutzrecht: Übermittlung personenbezogener Daten in das Ausland“ weiterlesen

Beitrag wurde zuletzt aktualisiert:

EUGH: Safe Harbor Abkommen ist unwirksam

Mit dem “Safe Harbor Abkommen” (Dazu hier bei uns) soll eine Datenübermittlung in die USA aus dem europäischen Raum ermöglicht werden. Nachdem der Generalanwalt bereits geäußert hatte, dass er Zweifel an der Wirksamkeit des Abkommens hat, hat am 06.10.2015 dann – sehr zeitnah nach dem Antrag des Generalanwalt – der EUGH entschieden, dass das Safe Harbor Abkommen unwirksam ist. Dies hat durchaus einige beachtliche Konsequenzen.
„EUGH: Safe Harbor Abkommen ist unwirksam“ weiterlesen

Beitrag wurde zuletzt aktualisiert:

Safe Harbor: Generalanwalt am EUGH bezweifelt Wirksamkeit von Safe Harbor

Nach Ansicht von Generalanwalt Bot hindert die Entscheidung der Kommission, mit der die Angemessenheit des Schutzes personenbezogener Daten in den Vereinigten Staaten festgestellt wird, die nationalen Behörden nicht daran, die Übermittlung der Daten europäischer Nutzer von Facebook an Server, die sich in den Vereinigten Staaten befinden, auszusetzen – er ist vielmehr sogar der Auffassung, dass diese Entscheidung ungültig ist. (EUGH, Rechtssache C-362/14)

Hinweis: Zu Safe Harbor finden Sie hier meinen Übersichtsartikel. Für den 06. Oktober 2015 hat das Gericht bereits eine Entscheidung angekündigt, was man durchaus so verstehen kann, dass eine gewisse Wahrscheinlichkeit besteht, dass man den Schlussanträgen (wie ohnehin üblich) folgt.
„Safe Harbor: Generalanwalt am EUGH bezweifelt Wirksamkeit von Safe Harbor“ weiterlesen

Beitrag wurde zuletzt aktualisiert:

Datenschutzgrundverordnung

Es ist soweit: Am 14.04.2016 wurde die “Datenschutzgrundverordnung” durch das europäische Parlament beschlossen. Der Datenschutz steht damit ab 2018 vor tiefgreifenden Änderungen, Betriebe und Datenschützer haben nun noch gut 1 Jahr Zeit, um sich auf die Änderungen einzustellen.

Bereits im Juni 2015 kam die bis dahin stockende “Datenschutzgrundverordnung” einen wesentlichen Schritt voran durch den einigenden Beschluss der EU-Justizminister. Damit wurde die Datenschutzgrundverordnung auch in der Öffentlichkeit ein Stück weit bekannter. Im Dezember 2015 kam dann der “Durchbruch” in dem man sich auf einen Verordnungstext einigen konnte, seit April 2016 stand die finalisierte und beschlossene Fassung der Datenschutzgrund hinsichtlich der verschiedenen Sprachen fest, wobei Ende Oktober 2016 einige redaktionelle Änderung publiziert wurde.

Unternehmen sollten sich auf die Datenschutzgrundverordnung einstellen und ihre Prozesse umstellen. Der vorliegende Beitrag soll als erster kleiner Stichwort-Beitrag mit einer sehr kurzen Einführung dienen.
„Datenschutzgrundverordnung“ weiterlesen

Beitrag wurde zuletzt aktualisiert:

EUGH und ein Recht auf Vergessen: Anspruch auf Löschung personenbezogener Daten bei Suchmaschinen und Informationsmittlern

Der EUGH (C-131/12) hat sich mit der Frage des Schutzes personenbezogener Daten beschäftigt und eine viel beachtete und viel diskutierte Entscheidung gefällt. Es kann dabei dahin stehen, ob der EUGH entschieden hat, dass man ein “Recht auf Vergessen” (durch andere) hat oder ob es um ein “Recht auf Vergessenwerden” (der eigenen Person) geht – letztlich ist der Tenor scheinbar klar: Es gibt, zumindest unter Umständen, einen Anspruch dahin gehend, dass bei einer Suchmaschine ein Link zu Informationen über die eigene Person gelöscht wird. Selbst dann, wenn die Informationen als solche rechtmäßig veröffentlich sind und nicht gelöscht werden müssen. Ein Blick auf die Entscheidung und darauf, was sie (vielleicht) bedeutet.
„EUGH und ein Recht auf Vergessen: Anspruch auf Löschung personenbezogener Daten bei Suchmaschinen und Informationsmittlern“ weiterlesen

Beitrag wurde zuletzt aktualisiert:

Anwendbarkeit deutschen Datenschutzrechts auf ausländische Unternehmen

Das OVG Schleswig-Holstein (4 MB 11/13) hat entschieden:

  1. Niederlassung im Sinne des § 1 Abs. 5 Satz 1 2. HS BDSG und des Art. 4 Abs. 1 a) RL 95/46/EG ist eine feste Einrichtung, die tatsächlich personenbezogene Daten erhebt, verarbeitet oder nutzt. Eine Niederlassung muss nicht notwendig auch verantwortliche Stelle im Sinne des § 3 Abs. 7 BDSG bzw des Art. 2 d) S. 1 RL 95/46/EG sein.
  2. Maßgebend für die Anwendbarkeit einzelstaatlichen materiellen Rechts ist nicht der Sitz der verantwortlichen Stelle, sondern der Sitz der Niederlassung. Hat die verantwortliche Stelle nur eine für die Verarbeitung der relevanten personenbezogenen Daten zuständige Niederlassung in der EU bzw. im EWR, findet nur das Recht, das sich nach dem Ort der Niederlassung bestimmt, Anwendung (hier: das materielle irische Datenschutzrecht).
  3. Ist die Anwendung deutschen Datenschutzrechts nach § 1 Abs. 5 S. 1 BDSG ausgeschlossen, findet § 1 Abs. 5 S. 2 BDSG, der Art. 4 Abs. 1 c RL 95/46/EG umsetzt, keine Anwendung.

Diese Entscheidung dürfte europäischer Rechtsprechung entsprechen, der EUGH hat inzwischen festgestellt, dass eine Niederlassung die Anwendbarkeit nationalen Datenschutzrechts eröffnet.

Beitrag wurde zuletzt aktualisiert:

Kein deutsches Datenschutzrecht für Facebook (?)

Das Schleswig-Holsteinische Verwaltungsgericht (8 B 60/12 und 8 B 61/12) hat im Zuge des Eilrechtsschutzes festgestellt, dass deutsche Datenschutzbehörden für Facebook nicht zuständig sind. Dabei hat das Verwaltungsgericht folgenden Sachverhalt angenommen:

Die Facebook Ltd. Ireland erfülle mit dem dort vorhandenen Personal und den dortigen Einrichtungen alle Voraussetzungen einer Niederlassung in diesem Sinne mit der Folge, dass ausschließlich irisches Datenschutzrecht Anwendung finde. Die Facebook Germany GmbH hingegen sei ausschließlich im Bereich der Anzeigenaquise und des Marketing tätig.

Unter dieser Voraussetzung käme deutsches Datenschutzrecht nicht zur Anwendung, sondern irisches Datenschutzrecht. Dies ergibt sich insoweit wohl u.a. aus der europäischen Datenschutz-Richtlinie (Richtlinie 95/46/EG), dort Artikel 4. Dementsprechend ist bei einer Niederlassung der verarbeitenden Stelle in einem Mitgliedsstaat der EU die Anwendbarkeit des dortigen Datenschutzrechts eröffnet. Sofern es also dabei bleibt, dass in einem anderen Mitgliedsstaat die Niederlassung von Facebook bezüglich der Datenverarbeitung erkannt wird, ist diese Entscheidung wohl korrekt.

Auch wenn es sich um eine Entscheidung im Zuge des Eilrechtsschutzes handelt, wo nur summarisch alles geprüft wird, gehe ich davon aus, dass es bei der Entscheidung inhaltlich bleiben wird.

Update: Es gab eine kurzzeitige erste Fassung dieses Artikels, in der die Entscheidung falsch dargestellt wurde und die Zuständigkeit der Behörde in Frage gestellt wurde. Dies ist natürlich falsch, selbstverständlich ist die nationale Aufsichtsbehörde zuständig (was in der Entscheidung auch noch einmal ausdrücklich klar gestellt ist, insofern ist Artikel 28 der Datenschutzrichtlinie auch zu beachten), die Frage ist vielmehr, welches Recht anwendbar ist. Ich bitte, die Problematik richtig zu erfassen und entschuldige den Fehler der ersten Fassung der dem Zeitdruck beim Abfassen geschuldet war.

 

Hinweis:

Beitrag wurde zuletzt aktualisiert:

Datenschutzerklärung von Google in Teilen rechtswidrig

Google hat seine Datenschutzerklärung seit dem 01.03.2012 geändert. Registrierte Nutzer mussten dieser Erklärung zwingend zustimmen. Im Folgenden eine Analyse der Datenschutzerklärung von Google, was beispielhaft auch anderen Datenschutzerklärungen eine Hilfestellung sein soll. Der Artikel ist auf dem Stand der zum 01.03.2013 gefassten Datenschutzerklärung von Google.

Update: Das Landgericht Berlin (15 O 402/12) erkannte inzwischen, dass einige der Klauseln in der Datenschutzerklärung von Google tatsächlich rechtswidrig sind.

„Datenschutzerklärung von Google in Teilen rechtswidrig“ weiterlesen

Beitrag wurde zuletzt aktualisiert:

Das Anti-Counterfeiting Trade Agreement (ACTA) und das deutsche Recht (2012)

Man liest – endlich will man sagen – zunehmend Inhalte über das “Anti-Counterfeiting Trade Agreement”, oder kurz “ACTA”. Dabei wird sehr schnell vom Ende des freien Internet gesprochen, je nachdem wo man etwas über ACTA nachliest. Andere sind da entspannter. Ich möchte im Folgenden einige wesentliche Punkte von ACTA kurz mit Blick auf das bestehende deutsche Recht betrachten. Vielleicht ein wenig überraschend.

Dazu auch:

Vorab Hinweise zu drei typischen Kritikpunkten:

  1. Ständiger, m.E. berechtigter, Kritikpunkt ist die Verhandlungsführung hinter verschlossenen Türen. Das hat mit der folgenden Betrachtung des ACTA-Textes aber nichts zu tun.
  2. Weiterhin wird immer wieder darauf verwiesen, dass ACTA nur noch von “Geistigem Eigentum” spricht und dies zu weit geht. Hier setzt bereits der erste Trugschluss an: Zwar ist die Rede von “intellectual property” (“geistiges Eigentum”), aber nicht im Luftleeren Raum! Dieser Begriff ist ausweislich Artikel 5h (Artikel = Section) an den des TRIPS-Abkommens angelehnt und diesem zu entnehmen, also: Urheberrechte, Marken, Geographische Angaben, Gewerbliche Muster & Modelle, Patente, Schaltkreis-Designs. Also all das, was auch nach aktuellem deutschen Recht bereits einen Schutz genießt. Die Schutzfähigkeit der reinen Idee etwa ergibt sich daraus keinesfalls.
  3. Als drittes ist schon an dieser Stelle darauf hinzuweisen: ACTA ist ein Vertrag, der von den Staaten zu ratifizieren ist. Die einzelnen Staaten müssen sodann eventuell eingegangene Verpflichtungen durch nationale Gesetze umsetzen – keineswegs entfaltet ACTA nach einer Ratifikation aber unmittelbare Wirkung für die jeweiligen Bürger.

Hinweis: Ich gehe im Folgenden die wesentlichen Artikel der deutschen Übersetzung von ACTA durch. Der Artikel ist dementsprechend naturgemäß sehr lang und erzwingt zugleich das Lesen weiter Teile des ACTA-Textes. In 3 Minuten wird man das nicht lesen können. Am Ende findet sich ein Fazit. Beim kopieren der Textstellen aus dem ACTA-PDF wurden die Umlaute zerstört (ein typisches UTF8 Problem). Ich sehe von einer Korrektur ab, da dies zu Zeitaufwändig wäre und der Leser insgesamt problemlos verstehen müsste, worum es geht.

Hinweis: Das deutsche Recht – insbesondere das Markenrecht und Wettbewerbsrecht – bietet insgesamt einen effektiven Weg für Rechteinhaber, um sich gegen Produktpiraterie zur Wehr zu setzen. Unsere Kanzlei hilft Ihnen im gesamten Markenrecht und bei der Rechtsdurchsetzung gegen Nachahmer und “Piraten” – dazu unser Angebot “Produktanwalt”.

„Das Anti-Counterfeiting Trade Agreement (ACTA) und das deutsche Recht (2012)“ weiterlesen

Beitrag wurde zuletzt aktualisiert:

Deutsches Datenschutzrecht findet bei Speicherung auf ausländischen Servern Anwendung

Das OLG Hamburg (7 U 134/10) hat festgestellt:

Nach § 1 Abs. 5 Satz 2 BDSG finden die Bestimmungen des BDSG Anwendung, sobald eine verantwortliche Stelle, die nicht in einem Mitgliedstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum belegen ist, personenbezogene Daten im Inland erhebt, verarbeitet oder nutzt; nach dem klaren Wortlaut des Gesetzes kommt es hierfür nicht darauf an, ob die betreffende Stelle über im Inland belegene Speicher oder Datenleitungen verfügt (Dammann in Simitis, BDSG, 7. Aufl., § 1 Rdnr. 217). Diese Regelung mag über den Inhalt der europäischen Richtlinie, die den Regelungen in § 1 Abs. 5 BDSG zugrundeliegt, hinausgehen (dazu kritisch Dammann aaO.); europarechtlich problematisch ist das indessen nicht, weil § 1 Abs. 5 Satz 2 BDSG gerade nicht innereuropäisches Kollisionsrecht betrifft. Die Beklagte hat die den Kläger betreffenden Angaben auch dann im Inland verarbeitet, wenn die von ihr betriebenen Server, auf denen die streitigen Inhalte gespeichert sind, sich ausnahmslos in den Vereinigten Staaten von Amerika befinden; denn nach § 3 Abs. 4 BDSG umfasst das Verarbeiten neben dem Speichern u.a. auch das Übermitteln personenbezogener Daten, und das Übermitteln ist nach § 3 Abs. 4 Nr. 3 b) BDSG das Bekanntgeben gespeicherter oder durch Datenverarbeitung gewonnener personenbezogener Daten an einen Dritten u.a. in der Weise, dass der Dritte zur Einsicht oder zum Abruf bereitgehaltene Daten einsieht oder abruft. Eine solche Übermittlung der Angaben erfolgt aber auch – und bezogen auf die hier streitigen Angaben – gerade in und nach Deutschland, da sie in Deutschland abgerufen werden können und sollen. Damit ist deutsches Datenschutzrecht anwendbar […]

Beitrag wurde zuletzt aktualisiert: