datenschutzrecht > Rechtsanwalt Ferner Alsdorf

18. September 2018

Digitales Erbe: Anspruch von Erben auf Zugang zu Benutzerkonto bei sozialem Netzwerk

Im Fall des Todes des Kontoinhabers eines sozialen Netzwerks besteht ein Anspruch der Erben auf Zugang zu dem Benutzerkonto samt der darin vorgehaltenen Kommunikationsinhalten, wie der Bundesgerichtshof (III ZR 183/17) entschieden hat:

Beim Tod des Kontoinhabers eines sozialen Netzwerks geht der Nutzungsvertrag grundsätzlich nach § 1922 BGB auf dessen Erben über. Dem Zugang zu dem Benutzerkonto und den darin vorgehaltenen Kommunikationsinhalten stehen weder das postmortale Persönlichkeitsrecht des Erblassers noch das Fernmeldegeheimnis oder das Datenschutzrecht entgegen.

Die Frage war lange umstritten und das Ergebnis ist auch keineswegs zwingend. In rechtlicher Hinsicht gilt der Grundsatz, dass im Todesfall entsprechend § 1922 Abs. 1 BGB das Vermögen als Ganzes auf die Erben übergeht. Hierzu gehören dann eben grundsätzlich auch Ansprüche und Verbindlichkeiten aus schuldrechtlichen Verträgen wie dem hier vorliegenden Nutzungsvertrag, wobei der Erbe dann in die vertragliche Rechtsstellung mit sämtlichen Rechten und Pflichten eintritt. Der BGH hat damit eine grundsätzliche Entscheidung gefällt, die aber auch zeigt: Weder ist der Zugang von Erben zum Account Verstorbener nun zwingend noch sind alle Streitigkeiten beseitigt. Tatsächlich dürfte zunehmender Streit zu erwarten sein.
„Digitales Erbe: Anspruch von Erben auf Zugang zu Benutzerkonto bei sozialem Netzwerk“ weiterlesen

9. Juli 201824. August 2018

Elterliche Sorge bei Veröffentlichung von Fotos der Kinder im Internet

Immer wieder für Streit bei getrennt lebenden Eltern sorgt die Veröffentlichung von Kinderfotos im Internet. Hierbei kann es sich durchaus um eine Angelegenheit von erheblicher Bedeutung (§1687 Abs. 1 Satz 1 BGB) handeln, wenn unter diesen Umständen Fotos eines Kindes auf einer kommerziellen Zwecken dienenden Internetseite veröffentlicht werden, so das (OLG Oldenburg, 13 W 10/18).

Im Hinblick auf §22 KunstUrhG dürfen Bildnisse nur mit Einwilligung des Abgebildeten verbreitet oder veröffentlicht werden, worunter das Einstellen von Fotos auf einer Internetseite fällt. Bei Veröffentlichung des Bildes eines Minderjährigen bedarf es mit der bisherigen Rechtsprechung zusätzlich der Einwilligung seines gesetzlichen Vertreters (dazu BGH in NJW 2005, 56-58), was im Regelfall gemäß § 1629 BGB die sorgeberechtigten Eltern sein werden.
Hinweis: Ob sich dieses Einwilligungserfordernis durch die Datenschutzgrundverordnung geändert hat lasse ich hier offen. Hierfür mag sprechen, dass mit der DSGVO nun ab 16 Jahren eine datenschutzrechtliche Einsichtsfähigkeit von Gesetzes wegen anzunehmen ist; andererseits geht es gerade nicht um die Erhebung personenbezogener Daten wo das Datenschutzrecht zu beachten ist, sondern eben um die Veröffentlichung von Bildnissen die einem gesonderten Einwilligungsvorbehalt unterliegt. Ich sehe insgesamt daher bessere Gründe für die Einwilligung durch die Eltern bis zum vollendeten 18. Lebensjahr.
„Elterliche Sorge bei Veröffentlichung von Fotos der Kinder im Internet“ weiterlesen

8. Juli 201823. August 2018

Datenschutzrecht: KUG im Rahmen der DSGVO anwendbar

Erfreulich ist ein Beschluss des Oberlandesgerichts Köln (15 W 27/18), der klarstellt, dass das KUG mit seinen Privilegierungen auch im Rahmen der Datenschutzgrundverdordnung (DSGVO) Anwendung findet (vorliegend im Hinblick auf journalistische Zwecke). Dabei richtet sich die Veröffentlichung von Fotos nach dem KUG, die Frage ob das Fotoerstellt werden kann ist eine primär datenschutzrechtliche und persönlichkeitsrechtliche Frage, hier regelt das KUG nichts.

Dazu auch: Zulässigkeit der Fotos von Veranstaltungen und Umzügen
„Datenschutzrecht: KUG im Rahmen der DSGVO anwendbar“ weiterlesen

25. Mai 201823. August 2018

DSGVO zu beachten

Seit dem heutigen 25.05.2018 ist die Datenschutzgrundverordnung von Unternehmen in ganz Europa zu Beachten. Damit gelten für Betroffene neu strukturierte und teilweise auch gänzlich neue Rechte, während Unternehmen zumindest teilweise noch verunsichert sind, was auf sie zukommt in den nächsten Wochen.

Beachten Sie dazu auch: Meine Webseite zum Datenschutzrecht nach der DSGVO
„DSGVO zu beachten“ weiterlesen

28. März 201823. August 2018

Datenschutzrecht: Mindestanforderungen an eine Auftragsdatenverarbeitungsvereinbarung

Das Landgericht Frankfurt am Main (2-03 O 65/16) konnte sich zu den Mindestanforderungen an eine Auftragsdatenverarbeitungsvereinbarung äussern und dabei klären, dass auch eine in Form eines Rahmvertrags geschlossene und in eine Anlage gefasste Vereinbarung dem Schriftformerfordernis genügt. Soweit zu prüfen ist, ob eine Datenschutzvereinbarung auch die im Katalog des § 11 II 2 BDSG enthaltenen Mindestangaben enthält ist dabei nicht schematisch der Inhalt des §11 Abs.2 BDSG zu prüfen, sondern es ist inhaltlich zu prüfen, ob die dortigen Kriterien letztlich in der Datenschutzvereinbarung enthalten sind. Das liest sich dann beispielsweise so:

In § 1 ist der Vertragsgegenstand festgelegt, in § 7 Vertragsbeginn und -dauer (vgl. § 11 II 2 Nr. 1 BDSG). Gleichfalls in § 1 werden die erfassten Daten und Zweck und Umfang der Erhebung, Verarbeitung und Speicherung geregelt, ebenso wie der Kreis der Betroffenen (vgl. § 11 II 2 Nr. 2 BDSG). § 2 regelt die Pflichten von C auch im Sinne von § 9 BDSG, wobei konkrete Maßnahmen beschrieben werden und erfüllt damit die Voraussetzungen von § 11 II 2 Nr. 3 BDSG und § 11 II 2 Nr. 5 BDSG. In § 2 Ziffer 5 ist die Berechtigung und Verpflichtung zur Berichtigung, Löschung und Sperrung von personenbezogenen Daten geregelt (vgl. § 11 II 2 Nr. 4 BDSG). Unterauftragsverhältnisse sind in § 4 geregelt (vgl. § 11 II 2 Nr. 6 BDSG), § 5 räumt der Beklagten entsprechende Kontrollrechte ein (§ 11 II 2 Nr. 7 BDSG). § 2 Ziffer 5 sieht eine Unterrichtungspflicht von C in Fällen schwerwiegender Störungen des Betriebsablaufs, schwerwiegender Verstöße gegen die gesetzlichen oder in der Datenschutzvereinbarung geregelten Verpflichtung zum Datenschutz sowie bei anderen Unregelmäßigkeiten bei der Verarbeitung der Daten der Beklagten vor (vgl. § 11 II Nr. 8 BDSG). Nach § 2 Ziffer 1 hat sich die Beklagte eine umfassende Weisungsbefugnis gegenüber C vorbehalten (vgl. § 11 II 2 Nr. 9 BDSG). Des Weiteren sieht § 6 eine Regelung zur Rückgabe von Datenträgern und Löschung von gespeicherten Daten vor (§ 11 II 2 Nr. 10 BDSG).

Hinweis: Ab dem 25.05.2018 gilt die Datenschutzgrundverordnung, die als Nachfolgeregelung die „Auftragsverarbeitung“ vorsieht.

12. November 201725. August 2018

Wirksamkeit einer Einwilligung in Werbeanrufe

Werberecht: Beim Oberlandesgericht Köln (6 U 182/16) ging es um die Wirksamkeit einer Einwilligung in Werbeanrufe. Eine solche Einwilligung setzt eine Willensbekundung voraus, die ohne Zwang für den konkreten Fall und in Kenntnis der Sachlage erfolgt ist – das Gericht konnte nun klarstellen, wann eine Einwilligung vorliegt, die „für den konkreten Fall“ und „in Kenntnis der Sachlage“ erteilt wird:

„Für den konkreten Fall“ wird eine Einwilligung erteilt, wenn sich aus ihr klar ergibt, welche einzelnen Werbemaßnahmen welcher Unternehmen davon erfasst werden (BGH GRUR 2013, 531 Rn. 24 – Einwilligung in Werbeanrufe II). Es muss klar sein, welche Produkte und Dienstleistungen welcher Unternehmen erfasst werden (vgl. Köhler/Bornkamm-Köhler, a.a.O., § 7 Rn. 149c). „In Kenntnis der Sachlage“ wird eine Einwilligung erteilt, wenn der Verbraucher weiß, dass seine Erklärung ein Einverständnis darstellt und worauf sie sich bezieht (…) Vor Prüfung der Unwirksamkeit ist der Inhalt der Einwilligungserklärung durch Auslegung zu ermitteln. Dabei ist die Unklarheitenregel des § 305 Abs. 2 BGB zu berücksichtigen. Im Rahmen der Unterlassungsklage nach UWG oder UKlaG ist allerdings bei mehreren Auslegungsmöglichkeiten diejenige zugrunde zu legen, die zur Unwirksamkeit der Klausel führt (…) Die Einwilligung muss „für den konkreten Fall“ und „in Kenntnis der Sachlage“ erteilt werden, was bedeutet, dass der Verbraucher nicht nur wissen muss, dass seine Erklärung ein Einverständnis darstellt, sondern auch, worauf sie sich bezieht. Maßgebend ist dabei nicht die konkrete Vorstellung eines einzelnen Verbrauchers, sondern die Sichtweise des angemessen gut informierten und angemessen aufmerksamen und verständigen Durchschnittsverbrauchers oder des durchschnittlichen Mitglieds der angesprochenen Verbrauchergruppe (Köhler/Bornkamm-Köhler, a.a.O., § 7 Rn. 149b).

Vorliegend scheiterte es daran, dass die telefonische Kontaktaufnahme zu Kunden ausbedungen wurde auch zu einem Zeitpunkt, der nach dem Vertragende liegt (wenn ich mit zeitlicher Befristung) – das überschritt das zulässige Maß mit dem OLG Köln. Allerdings hob der BGH (III ZR 196/17) die Entscheidung später wieder auf und stellte fest:

Es widerspricht den Voraussetzungen des § 7 Abs. 2 Nr. 2 und 3 UWG nicht, wenn sich die in Allgemeinen Geschäftsbedingungen enthaltene Einwilligung eines Verbrauchers in die Kontaktaufnahme zu Werbezwecken auf mehrere Werbekanäle bezieht. Eine eigene Einwilligungserklärung für jeden Werbekanal ist nicht erforderlich.

„Wirksamkeit einer Einwilligung in Werbeanrufe“ weiterlesen

22. Oktober 201723. August 2018

Oberlandesgericht Nürnberg: Verwertung von Dashcam-Aufzeichnungen im Zivilprozess

Das Oberlandesgericht Nürnberg hat entschieden, dass Aufzeichnungen von Kameras, welche in Fahrtrichtung fest auf dem Armaturenbrett installiert sind („Dashcam“), in einem Zivilprozess
verwertet werden dürfen. Das Interesse des Beweisführers an einem effektiven Rechtsschutz und seinem Anspruch auf rechtliches Gehör überwiege das Interesse des Unfallgegners an dessen Persönlichkeitsrecht insbesondere dann, wenn andere zuverlässige Beweismittel nicht zur Verfügung stünden. Es handelt sich soweit ersichtlich um die erste Entscheidung eines Oberlandesgerichts zu dieser Frage.
„Oberlandesgericht Nürnberg: Verwertung von Dashcam-Aufzeichnungen im Zivilprozess“ weiterlesen

30. Juli 201723. August 2018

Kündigungsschutz: Verwertungsverbot bei Überwachung des Arbeitnehmers mittels Keylogger

Der Einsatz eines Software-Keyloggers, mit dem alle Tastatureingaben an einem dienstlichen Computer für eine verdeckte Überwachung und Kontrolle des Arbeitnehmers aufgezeichnet werden, ist nach § 32 Abs. 1 BDSG unzulässig, wenn kein auf den Arbeitnehmer bezogener, durch konkrete Tatsachen begründeter Verdacht einer Straftat oder einer anderen schwerwiegenden Pflichtverletzung besteht, dies hat das Bundesarbeitsgericht mit Urteil vom 27. Juli 2017 (Aktenzeichen 2 AZR 681/16) unter Bestätigung einer Entscheidung des Landesarbeitsgerichts Hamm, 16 Sa 1711/15, entschieden.

Anmerkung: Das Landesarbeitsgericht hatte vorher noch recht umfassend ausgeführt, dass eine offene Maßnahme immer der verdeckten (und dauerhaft verdekcten sowieso) vorzuziehen ist. Vor der installation eines Keyloggers hätten mit dem LAG insbesondere ohnehin vorhandene Daten wie etwa Internetverlauf und Mailverkehr ausgelesen werden können und sollen.
„Kündigungsschutz: Verwertungsverbot bei Überwachung des Arbeitnehmers mittels Keylogger“ weiterlesen

1. Juli 201723. August 2018

WLAN-Störerhaftung abgeschafft: Drittes Gesetz zur Änderung des Telemediengesetzes (2017)

Seit dem 13. Oktober 2017 ist es dank einer Änderung des Telemediengesetzes möglich, möglichst ohne Haftung ein freies WLAN anzubieten: In seinem nunmehr dritten Anlauf versucht der Gesetzgeber es zu erleichtern, dass offene WLAN zur Verfügung gestellt werden. Grundsätzlich zeichnet sich ab, dass die Haftung für die Überlassung des Internetzugangs deutlich entschärft ist und gerade Cafés und Hotels hier nun endlich moderne eigene Lösungen bereit halten können. Auch in Familien zeichnet sich eine deutliche Entspannung ab, wobei die Haftung für minderjährige Kinder weiterhin im Raum steht.

Insgesamt lässt sich schon jetzt sagen: Öffnen Sie Ihr WLAN, gerade Cafés, Restaurants und Hotels dürfen Ihren Besuchern nun endlich den Mehrwert bieten, den man so lange erwartet hat. Weiter Unten finden Sie eine Checkliste hinsichtlich der bestehenden sonstigen Umstände auf die man achten sollte.

Im Folgenden Ausführungen von mir zum neuen Haftungsmodell sowie die alte und die zukünftige Fassung der §§7,8 TMG.

Links dazu:

18. März 201723. August 2018

Datenschutzrecht: Weitergabe personenbezogener Daten stellt Persönlichkeitsrechtsverletzung dar

Das Landgericht Düsseldorf (5 O 400/16) konnte im Zuge eines Erlasses einer einstweiligen Verfügung klarstellende Worte in aller Kürze zur Persönlichkeitsrechtsverletzung durch die Weitergabe Personenbezoegener Daten (hier: Kontodaten über einen Messenger) verlieren:

Durch die Weitergabe der Kontodaten der Verfügungsklägerin liegt ein Eingriff in deren Allgemeines Persönlichkeitsrecht vor, welches als sonstiges Recht durch§ 823 Abs. 1 BGB geschützt wird. Der Verfügungsbeklagte hat nicht dargelegt, dass dieser Eingriff durch ein berechtigtes Interesse an der Weitergabe der Kontodaten gerechtfertigt ist. Soweit er im Rahmen der persönlichen Anhörung angab, es sei ihm darum gegangen sein Geld zurückzuerhalten, gibt es dafür den Rechtsweg. Es ist nicht ersichtlich, warum er die sensiblen Kontodaten der Verfügungsklägerin an deren Geschäftspartner oder sonstige Dritte weiterleiten muss, um das gewährte Darlehen zurückzuerhalten. Der Verfügungsbeklagte kann gerichtliche Hilfe in Anspruch nehmen, wenn er der Auffassung ist, die Verfügungsklägerin käme ihren Rückzahlungsverpflichtungen nicht nach.

Unter Anwendung des Bundesdatenschutzgesetztes ergibt sich nichts anderes. Gemäß § 28 Abs. 1 und 2 BDSG ist die Übermittlung personenbezogener Daten ebenfalls nur zulässig, wenn ein berechtigtes Interesse vorliegt. Gemäß § 27 Abs. 1 S. 1 Nr. 1 BDSG ist die Vorschrift auf nicht-öffentliche Stellen im Sinne des § 2 Abs. 4 S. 1 BDSG anwendbar, es sei denn die Nutzung der Daten erfolgt ausschließlich für persönliche oder familiäre Tätigkeiten. Als persönliche Tätigkeit ist zwar die Verwaltung des eigenen Vermögens anzusehen. Diesen privilegierten Bereich hat der Verfügungsbeklagte jedoch durch die Weitergabe der Kontodaten an Dritte verlassen. Die Ansprüche aus dem BDSG und der Anspruch auf Unterlassung nach §§ 1004, 823 BGB stehen nebeneinander (Palandt/ Sprau, BGB, 76. Auflage 2017, § 823 BGB, Rn. 85).

Die Entscheidung ist inhaltlich kurz und vollkommen richtig, auch scheinbar harmlose Daten (vorliegend ging es um einen Screenshot von einem Kontostand) sind geschützt und es besteht bereits bei erstmaliger Verletzungshandlung ein Unterlassungsanspruch.

18. Februar 201723. August 2018

Gesetz zur Neuregelung des Schutzes von Geheimnissen bei der Mitwirkung Dritter an der Berufsausübung schweigepflichtiger Personen

Es ist ein zumindest inhaltlich dringend gebotener Schritt: Hinter dem sperrigen Namen „Gesetz zur Neuregelung des Schutzes von Geheimnissen bei der Mitwirkung Dritter an der Berufsausübung schweigepflichtiger Personen“ verbirgt sich der Versuch des Gesetzgebers, die berufsrechtlichen Schweigepflichten mit der heutigen Arbeitsweise zu vereinen. Die bestehenden Unsicherheiten bei der Nutzung moderner Technologien, hier insbesondere bei der Nutzung von Cloud-Diensten, sollen beseitigt werden:

Insbesondere die Digitalisierung hat es in den letzten Jahrzehnten möglich und erforderlich gemacht, in weiterem Umfang als bisher anfallende Unterstützungstätigkeiten nicht durch eigenes Personal erledigen zu lassen, sondern durch darauf spezialisierte Unternehmen oder selbständig tätige Personen. Hierzu gehören beispielsweise auch die Einrichtung, der Betrieb, die Wartung und die Anpassung informationstechnischer Anlagen. Die Heranziehung dritter, außerhalb der eigenen Sphäre stehender Personen zu diesen unterstützenden Tätigkeiten ist für Berufsgeheimnisträger aber nicht ohne rechtliches Risiko, sofern diese Personen damit von geschützten Geheimnissen Kenntnis erlangen können.

Doch während die Gesetzesänderung eigentlich Strafbarkeiten vermeiden soll, dürfte im Ergebnis vielmehr eine Verschärfung unter Stärkung des Datenschutzrechts zu erwarten sein.
„Gesetz zur Neuregelung des Schutzes von Geheimnissen bei der Mitwirkung Dritter an der Berufsausübung schweigepflichtiger Personen“ weiterlesen

10. Dezember 201623. August 2018

Prüfung von Wearables: Kein Gerät erfüllt die datenschutzrechtlichen Anforderungen

Ende 2016 haben die Datenschutzbehörden Fitness-Armbänder unter die Lupe genommen und hierzu eine Pressemitteilung heraus gegeben:

Im Rahmen einer deutschlandweiten Prüfaktion hat die Landesbeauftragte für den Datenschutz Niedersachsen zusammen mit sechs weiteren Datenschutzaufsichtsbehörden 16 Wearables und Smart Watches mit Gesundheitsfunktionen geprüft. Das Ergebnis ist besorgniserregend: Kein Gerät erfüllt vollständig die datenschutzrechtlichen Anforderungen.

Unter Laborbedingungen wurden insbesondere die Datenflüsse der Geräte analysiert. Die Prüfung ergab, dass fast alle Hersteller und Betreiber so genannte Tracking-Tools US-amerikanischer Unternehmen einsetzen und damit Programme nutzen, mit denen sie das Nutzerverhalten nachvollziehen können.

„Die Nutzerinnen und Nutzer von Wearables müssen wissen, dass ihre sensiblen Gesundheitsdaten regelmäßig an Dritte weitergeleitet werden und unklar bleibt, was mit den Informationen im Einzelnen geschieht“, so die Landesdatenschutzbeauftragte Barbara Thiel.

Zwar sind die einzelnen Informationen wie Körpergewicht, zurückgelegte Schritte, Herzfrequenz oder Dauer des Schlafes für sich betrachtet oft wenig aussagekräftig. Aufgrund der Fülle der über einen längeren Zeitraum erfassten Daten und der möglichen Verknüpfung mit Standortdaten entsteht aber ein erstaunlich präzises Bild über den Gesundheitszustand und über den Tagesablauf der Nutzer.

„Permanente Übermittlungen der Daten an den Hersteller oder sogar an Dritte sind für die Funktionen der Wearables nicht erforderlich. Indem dies dennoch geschieht, signalisieren die Hersteller ein eigenes Interesse an den sensiblen Daten. Das macht misstrauisch“, so Thiel.

Problematisch ist auch, dass die meisten der den Geräten beigefügten Datenschutzerklärungen nicht die gesetzlichen Anforderungen erfüllen. So erfährt der Nutzer oftmals nicht, wer konkret Zugriff auf die Daten hat und wie lange sie gespeichert werden. Oft bleibt es bei dem pauschalen Hinweis, dass die Hersteller die Fitness-Daten für eigene Forschungszwecke und Marketing verwenden und an verbundene Unternehmen weitergeben. Thiel: „Aufgrund der mangelnden Transparenz ist der Nutzer nicht mehr Herr seiner Daten. Das ist ein klarer Verstoß gegen das Datenschutzrecht.““ – Quelle: Pressemitteilung, Landesbeauftragte für den Datenschutz Niedersachsen

Das Ergebnis überrascht nicht wirklich, ich hatte schon früher auf die Problematik in aller Kürze hingewiesen: Wer in diesem Bereich Produkte anbietet muss dringend auf die datenschutzrechtlichen Vorgaben achten. Spätestens mit der Datenschutzgrundverordnung und ihren erheblichen Bussgeldmöglichkeiten, die „Privacy by Design“ als Vorgabe enthält, droht hier ein böses Erwachen der Hersteller. Zugleich müssen sich Nutzer über die Missbrauchsmöglichkeiten derlei Geräte im Klaren sein.

10. November 201623. August 2018

Datenschutzrecht: Kündigung eines Datenschutzbeauftragten

Wenn in einem Unternehmen ein Mitarbeiter als „interner“, „betrieblicher“ Datenschutzbeauftragter eingesetzt wird, so genießt dieser einen besonderen Kündigungsschutz, der mitunter für Verunsicherung bei Arbeitgebern führt und im §4f BDSG normiert ist:

Ist (…) ein Beauftragter für den Datenschutz zu bestellen, so ist die Kündigung des Arbeitsverhältnisses unzulässig, es sei denn, dass Tatsachen vorliegen, welche die verantwortliche Stelle zur Kündigung aus wichtigem Grund ohne Einhaltung einer Kündigungsfrist berechtigen. Nach der Abberufung als Beauftragter für den Datenschutz ist die Kündigung innerhalb eines Jahres nach der Beendigung der Bestellung unzulässig, es sei denn, dass die verantwortliche Stelle zur Kündigung aus wichtigem Grund ohne Einhaltung einer Kündigungsfrist berechtigt ist.

Einige ausgewählte Entscheidungen zeigen die wesentlichen Fragen zu dem Thema auf.

„Datenschutzrecht: Kündigung eines Datenschutzbeauftragten“ weiterlesen