Datenschutz – eine rechtliche Herausforderung
Apps, Cloud Computing, Location-based Services, soziale Netzwerke und sonstige Online-Plattformen verwenden alle Daten ihrer Nutzer. Doch wie dürfen diese Daten verwendet werden? Insbesondere bei innovativen Online-Anwendungen für Verbraucher stellen sich häufig viele Fragen mit Bezug zum Datenschutz. Auch die Sensibilität von Aufsichtsbehörden, Medien und Unternehmen steigt.
Wie in vielen anderen Bereichen hinkt auch beim Datenschutz die Entwicklung der Gesetze dem gesellschaftlichen und technischen Fortschritt weit hinterher. Gefragt sind deshalb gerade bei innovativen Online-Anwendungen und Internet-Plattformen praktikable Lösungsansätze, die neue Geschäftsideen mit den gesetzlichen Vorgaben möglichst optimal in Einklang bringen.
Mit den gängigen, formularhaften Datenschutzerklärungen ist es meist nicht getan. Die Anforderungen an die rechtskonforme Datenverwendung und die dazugehörigen Datenschutzerklärungen entwickeln sich aufgrund der Rechtsprechung fortlaufend weiter und entsprechend sollte reagiert werden. Wer hier nicht Schritt halten kann, sieht sich hinsichtlich des Umgangs mit den personenbezogenen Daten von Kunden immer häufiger Beanstandungen von Aufsichtsbehörden, Verbänden oder Mitbewerbern ausgesetzt.
Unser Ziel ist es, die Geschäftsmodelle unserer Mandanten auf ein rechtliches Fundament zu stellen, das die verschiedenartigen Anforderungen des Datenschutzes berücksichtigt und zugleich die optimale Umsetzung der Geschäftsidee sicherstellt.
Viele Unternehmen sind zudem gesetzlich verpflichtet, einen Datenschutzbeauftragten zu bestellen. Wir unterstützen unsere Mandanten sowie deren Datenschutzbeauftragte bei allen Fragen, die sich rund um dieses Thema ergeben.
Kompetent. Lösungsorientiert. Erfolgreich.
So verstehen wir Beratung.
DSGVO Beschwerdestelle „Datasax“
DSGVO Beschwerdestelle „Datasax“
Aktuell sind E-Mails einer „DSGVO Beschwerdestelle“ im Umlauf, welche die Adressaten auf einen angeblichen Verstoß gegen die DSGVO und eine bevorstehende „Abmahnung oder Anzeige“ hinweisen. Natürlich wird der Verstoß nicht konkret benannt.
Facebook-Fanpages und Verantwortliche nach dem Datenschutzrecht
Informationspflichten nach Art. 13 DSGVO
Informationspflichten nach Art. 13 DSGVO
Als Hauptanwendungsbereich der DSGVO wurde bislang vorrangig die Datenerhebung über das Internet betrachtet, was jedoch eine ebenso unzulässige wie gefährliche Verkürzung wäre.
Unzulässige Drohung mit SCHUFA-Eintrag
Rechtssicheres Online-Marketing durch Double-Opt-In Verfahren
Das sog. Double-Opt-In Verfahren hat sich im täglichen Onlinegeschäft weitgehend durchgesetzt, um wettbewerbsrechtliche wie datenschutzrechtliche Vorgaben nachweisbar einzuhalten. Ein Urteil des Oberlandesgerichts München (Urteil vom 27.9.2012 - 29 U 1682/12) nährt nun Zweifel an dieser sicher geglaubten Praxis.
Cloud Computing
Um den Begriff „Cloud Computing“ rechtlich greifbar zu machen, muss zunächst geklärt sein, was sich hinter diesem Schlagwort verbirgt. Eine wirklich verbindliche Definition gibt es allerdings nicht. Nach der Definition des Bundesamts für Sicherheit in der Informationstechnik (BSI) bezeichnet der Begriff Cloud Computing jedenfalls „das dynamisch an den Bedarf angepasste Anbieten, Nutzen und Abrechnen von IT-Dienstleistungen über ein Netz. Angebot und Nutzung dieser Dienstleistungen erfolgen dabei ausschließlich über definierte technische Schnittstellen und Protokolle. Die Spannbreite der im Rahmen von Cloud Computing angebotenen Dienstleistungen umfasst das komplette Spektrum der Informationstechnik und beinhaltet unter anderem Infrastruktur (z. B. Rechenleistung, Speicherplatz), Plattformen und Software.“
Cloud Computing und Datenschutz
Datenschutzrechtliche Fragen spielen beim Cloud Computing vor allem in Public Clouds (Betrieb von IT-Services durch Vernetzung von Servern außerhalb unternehmensspezifischen Firewalls) eine hervorgehobene Rolle. Dabei geht es nicht ausschließlich „nur“ um eine datenschutzkonforme Umsetzung und Nutzung der Cloud-Angebote. Es dürften auch Zweifel hinsichtlich der Sicherheit und Geheimhaltung von sensiblen Unternehmensdaten in der Cloud sein, die manche Nutzer von der Inanspruchnahme von Cloud-Services abhalten.
Nutzung privater IT im Unternehmen – Bring your own device (BYOD)
Die zunehmende Verbreitung technisch hochwertiger mobiler Endgeräte wie Smartphone und Tablet-PC hat zur Folge, dass privat angeschaffte und genutzte Endgeräte von den Mitarbeitern vermehrt auch für dienstliche Zwecke genutzt werden. Nicht gleichzusetzen ist diese dienstliche Nutzung privater Geräte mit der ebenfalls weit verbreiteten Verwendung von unternehmensseitig bereitgestellten Endgeräten auch für private Zwecke oder der Nutzung des geschäftlichen Internetanschlusses bzw. der dienstlichen E-Mail Adresse für privates.
“Bring your own device” und Datenschutz
BYOD ist ein zunehmend wichtiger Faktor im Wettbewerb um Mitarbeiter, die gerne ihr schickes neues Notebook oder ihr multifunktionales Smartphone für die Erledigung ihrer beruflichen Aufgaben hernehmen möchten. Immer mehr Unternehmen geben diesen Forderungen nach und nehmen dafür rechtliche Risiken in Kauf. Ein wesentlicher Aspekt ist in diesem Zusammenhang der Datenschutz, da das Unternehmen als verantwortliche Stelle im Sinne des Bundesdatenschutzgesetzes (BDSG) auch dann für die Einhaltung der Datenschutz-Standards haftet, wenn im geschäftlichen Umfeld personenbezogene Daten auf dem privaten Endgerät des Mitarbeiters verarbeitet werden.
Datenschutz-Grundverordnung der EU-Kommission
Der im Januar 2012 vorgelegt Entwurf für eine Verordnung des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutz-Grundverordnung – DS-GVO) ist zwischenzeitlich vom Europäischen Wirtschafts- und Sozialausschuss (EWSA) kommentiert worden (Stellungnahme des EWSA) und es zeichnet sich ab, dass eine Verabschiedung in weite Ferne gerückt ist.
Ortung von Mitarbeitern
Es gibt mittlerweile verschiedene technische Möglichkeiten, den Aufenthaltsort eines Mitarbeiters oder zurückgelegte Strecken zu ermitteln, auszuwerten und zu speichern. Sofern der betreffende Mitarbeiter über diese Datenerhebung und -speicherung informiert wurde und ihr freiwillig und nachweisbar zugestimmt hat, dürften sich datenschutzrechtlich keine Probleme ergeben. Sofern die Standortermittlung (z.B. per GPS oder Handyortung) aber verdeckt und ohne Kenntnis des Mitarbeiters – z.B. zu Kontrollzwecken – erfolgt, gibt der Gesetzgeber hier enge Voraussetzungen vor, die beachtet werden müssen.
Computer-Grundrecht
Ein weiterer markanter Zwischenpunkt in der fortlaufend voranschreitenden Entwicklung des Datenschutzes ist das Urteil des BVerfG zur Frage der Verfassungsmäßigkeit von Online-Durchsuchungen und anderer verdeckter Ermittlungsmaßnahmen in Datennetzen. Mit dieser Entscheidung schafft das Gericht das Grundrecht auf „Gewährleistung der Integrität und Vertraulichkeit informationstechnischer Systeme” (sog. Computer-Grundrecht) als eine besondere Ausprägung des allgemeinen Persönlichkeitsrechts.
Haben Datenschutzvorschriften wettbewerbsrechtliche Relevanz?
Unternehmen haben – je nach Tätigkeitsfeld - regelmäßig zahlreiche datenschutzrechtliche Vorgaben zu beachten. Ein in diesem Zusammenhang wichtiger Aspekt ist die Frage, ob Datenschutzvorschriften auch unter wettbewerbsrechtlichen Gesichtspunkten relevant sind. Von der Bewertung dieser Frage hängt nämlich auch ab, ob (bewusst oder unbewusst) gegen Datenschutzrecht verstoßende Unternehmen Gefahr laufen, von Mitbewerbern oder Verbänden abgemahnt zu werden.
Cookies – Datenschutzkonformer Gebrauch
Viele werden von „Cookies“ im Zusammenhang mit ihren Browser-Einstellungen gehört oder gelesen haben. Cookies sind kleine Textdateien, die beim Besuch einer Website auf dem Endgerät des Nutzers (z.B. PC, Tablet-PC oder Smartphone) gespeichert werden und es dem Betreiber der Website damit ermöglichen, den Nutzer beim erneuten Aufrufen seiner Website wiederzuerkennen. Viele Anbieter im Internet sind zur Erbringung ihrer Leistungen bzw. zur Optimierung ihres Angebotes auf den Einsatz von Cookies angewiesen. Die Frage, wie Cookies datenschutzkonform verwendet werden können, ist daher von großem Interesse.
Rechtswahl beeinflusst anwendbares Datenschutzrecht
Das LG Berlin entschied in einem Verfahren der Verbraucherzentrale Bundesverband (vzbv) gegen Facebook mit Urteil vom 8. März 2012, dass deutsches Datenschutzrecht anwendbar ist (LG Berlin, Urteil v. 8.3.2012 - 16 0 551/10). Grund hierfür ist die ausdrücklich getroffene Rechtswahl, welche sich auch auf das Datenschutzrecht auswirkt. Hierbei handelt es sich nicht nur um öffentliches Recht, wie Facebook argumentiert hatte, sondern jedenfalls auch um Privatrecht, zumal das Bundesdatenschutzgesetz (BDSG) ausdrücklich bestimmt, dass es auch auf nicht-öffentliche Stellen Anwendung findet.
Vereinheitlichung des Datenschutzes in Europa (Entwurf einer Datenschutz-Grundverordnung)
International tätige Unternehmen sehen sich oftmals verschiedenartigen datenschutzrechtlichen Vorgaben der einzelnen Länder ausgesetzt, in denen sie tätig sind. Dies behindert faktisch nicht nur den Wettbewerb unter den Marktteilnehmern, sondern erzeugt auch erheblichen Beratungs- und Verwaltungsaufwand.
Auf europäischer Ebene wurde bereits 1995 mit der sog. Datenschutzrichtlinie versucht, den Datenschutz europaweit zu harmonisieren. Dennoch bestehen im Datenschutz bis heute teils erhebliche Unterschiede in den Mitgliedstaaten der EU. Diese reichen von unterschiedlichen Informationspflichten bis zur konkreten Ahndung etwaiger Verstöße durch die jeweiligen Aufsichtsbehörden. Davon abgesehen ist die Datenschutzrichtlinie – ebenso wie das Bundesdatenschutzgesetz – aufgrund der rasanten technischen und gesellschaftlichen Entwicklungen in weiten Teilen nicht mehr zeitgemäß. Dementsprechend wird die Anwendung der Vorschriften in der Rechtspraxis zunehmend erschwert, was vor allem auch zu mehr Rechtsunsicherheit führt.
„Gefällt mir“-Button verstößt gegen Datenschutzrecht
Mit Pressemitteilung vom 19. August 2011 hat das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) mitgeteilt, dass Fanpages bei Facebook und Social-Plugins wie der „Gefällt mir“-Button (Like-Button) auf Webseiten u.a. gegen das Telemediengesetz (TMG) und das Bundesdatenschutzgesetz (BDSG) verstoßen. Dies habe eine technische und rechtliche Analyse ergeben. Das ULD erwartet daher von allen Webseitenbetreibern in Schleswig Holstein, bis spätestens Ende September die entsprechenden Dienste zu deaktivieren. Es kann durchaus damit gerechnet werden, dass sich weitere Landesdatenschutzbehörden dem Urteil des ULD anschließen und damit künftig auch Webseitenbetreiber anderer Bundesländer betroffen sein werden.
Volkszählungsurteil
Gewissermaßen als „Geburtsstunde des modernen Datenschutzrechts“ kann das sog. „Volkszählungsurteil“ des Bundesverfassungsgerichts (BVerfG) von 1983 gesehen werden. Mit dieser Entscheidung konstituierte das BVerfG das Grundrecht auf informationelle Selbstbestimmung. Das Gericht leitete dieses Grundrecht aus dem allgemeinen Persönlichkeitsrecht ab. Es gewährleistet die Befugnis des einzelnen, grundsätzlich selbst über die Preisgabe und Verwendung seiner persönlichen Daten zu bestimmen.