Die neue Auflage des im Verlag C.H.BECK erscheinenden Formularhandbuch Datenschutzrecht von Koreng/ Lachenmann ist nun im gut sortierten Buchhandel erhältlich.
Wie bereits die bisherigen Auflagen bietet auch diese stark erweiterte Auflage des Handbuchs einen guten Überblick und zahlreiche Muster zu den komplexen und vielfältigen Themen des Datenschutzrechts. Neben vielen anderen ausgewiesenen Datenschutz-Experten hat sich an dieser Auflage auch erneut unser Mainzer Partner Stephan Schmidt beteiligt. Wie bereits in der Vorauflage, hat er zusammen mit dem Landesbeauftragten für den Datenschutz und die Informationsfreiheit Baden-Württemberg Dr. Stefan Brink ein Vertragsmuster zur Auftragsverarbeitung beigesteuert. Neu in dieser Auflage sind zwei weitere Beiträge von Stephan Schmidt: eine Checkliste zu Aufgaben und Umfang des Vertreters nach Art. 27 DSGVO und ein Muster für einen Vertrag über die Benennung eines Vertreters nach Art. 27 DSGVO.
Die Neuauflage berücksichtigt die bisherigen Erfahrungen mit der DSGVO. Es wurden alle bisherigen Muster aktualisiert und neue Entscheidungen von Aufsichtsbehörden und Gerichten berücksichtigt. Die neue Auflage enthält darüber hinaus diverse neue Kapitel, z.B. zum Gesundheitsdatenschutz, anwaltlichem Berufsrecht und der Verwendung von Personenbildnissen. Die Unterstützung von KMU und Vereinen wurde zudem durch spezielle Muster vertieft. Der internationale Kontext wird durch die Sicht auf Österreich abgerundet.
Zum Werk gehört ein Zugang zur Online-Version bei Beck-Online. Bestellungen sind auch direkt beim Verlag möglich.
Die Transaktion: Nimbus erwirbt das gesamte Service- Ersatzteilgeschäft des Geschäftsbereich Paint&Assembly der EISENMANN-Gruppe und führt auch das Projekt- und Retrofit-Geschäft fort.
Die mit dem Insolvenzverwalter Joachim Exner erzielte Investorenlösung umfasst neben dem gesamten Service- Ersatzteilgeschäft auch die Fortführung des Projekt- und Retrofit-Geschäftes der Eisenmann-Sparte Paint&Assembly. „Mit dem Verkauf bleiben nicht nur ein wesentlicher Teil des Kerngeschäfts und der Technologie von Eisenmann sondern auch 110 Arbeitsplätze erhalten“, betonte Exner. „Er stellt vor allem auch sicher, dass die weltweit über 500 Eisenmann-Lackieranlagen weiter mit Service und Ersatzteilen bedient werden – und zwar über die gesamte Produktpalette.“
Erwerber ist der niederländische Beteiligungsfonds Nimbus, die u.a. auch am Anlagenbauer für Oberflächentechnik Sturm Gruppe, Salching, beteiligt ist. Nimbus ist auf die Übernahme von Unternehmen in Turn-Around-Situationen spezialisiert „Nimbus ist ein Investor, der strategisch hervorragend zu Eisenmann passt“, betonte Exner. „Die Gruppe verfügt über ausgeprägtes Branchen-Know-how im Anlagebau.“
Unter Federführung des langjährigen Beraters von Nimbus, Rechtsanwalt und Notar Oliver Thum, haben Stephan Schmidt, TCI Rechtsanwälte Mainz (IT-Recht und Datenschutz), Georg Melzer, Frankfurt am Main (Arbeitsrecht), Markus Fünning, Kanzlei PLUTA, Ulm (Insolvenzrecht) und Florian Heim, Wunderlich & Heim, München (IP-Recht), die als Asset Deal strukturierten Akquisitionen auf Seiten von Nimbus beraten.
Insolvenzverwalter Exner wurde von einem Team von Clifford Chance, Frankfurt a.M. beraten.
Thum, Melzer und Schmidt stehen Nimbus regelmäßig schon seit langem in den deutschen Transaktionen von Nimbus beratend zur Seite. Fünning war das erste Mal auf Seiten von Nimbus tätig, Heim wurde als Berater der Sturm Gruppe für die komplexen patent- und lizenzrechtlichen Themen dieser Transaktion mandatiert.
In der aktuellen Ausgabe der Zeitschrift für Schiedsverfahren (SchiedsVZ) ist ein Beitrag unserer Partnerin Dr. Truiken Heydn mit dem Titel „Die Datenschutzerklärung des Schiedsgerichts“ erschienen (SchiedsVZ 2020, 242). Unsere Partnerin Dr. Truiken Heydn ist in internationalen und nationalen Schiedsverfahren als Schiedsrichterin tätig. Die DSGVO gilt nach allgemeiner Meinung auch in Schiedsverfahren. Der Beitrag enthält ein Muster einer Datenschutzerklärung eines Schiedsgerichts und soll Schiedsgerichten, die mit dem Datenschutzrecht weniger vertraut sind, eine Hilfestellung bieten, ein Schiedsverfahren datenschutzrechtskonform durchzuführen.
1. Schrems II – Das Urteil
Mit Urteil vom 16.07.2020 (C-311/18) hat der EuGH über Vorlagefragen des Irischen High Courts in einem Rechtsstreit von Max Schrems gegen Facebook Ireland entschieden. Der EuGH erklärt das Privacy-Shield-Abkommen (genau genommen den entsprechenden Beschluss der EU-Kommission) zwischen der EU und den USA für Datenübermittlungen in die USA für unwirksam. Privacy-Shield stellt kein der DSGVO entsprechendes Datenschutzniveau sicher, da es insbesondere an einer wirksamen Durchsetzungsmöglichkeit für Betroffenenrechte in den USA fehlt.
Der EuGH äußert sich darüber hinaus auch zu den Standardvertragsklauseln (SCC), welche für die Übermittlung von Daten an Auftragsverarbeiter außerhalb der EU genutzt werden können und hält diese für grundsätzlich geeignet. Diese grundsätzliche Geeignetheit wird durch den EuGH allerdings dadurch eingeschränkt, dass die Parteien auch bei vereinbarten Standardvertragsklauseln sicherstellen müssen, dass wirksame Durchsetzungsmöglichkeiten für Betroffenenrechte bestehen. Dass dies insbesondere im Fall der USA und den dortigen Zugriffsrechten für Geheimdienste derzeit nicht der Fall ist, stellt der EuGH in seiner Urteilsbegründung ausdrücklich fest. Die Erwägungen dürften in dieser Form aber auch auf andere Staaten mit unzureichendem Schutz vor Zugriffen der nationalen Geheimdienste übertragbar sein. Der EuGH stellt zudem fest, dass es eine Aussetzungspflicht der Datenschutzbehörden gibt, wenn die Standardvertragsklauseln im Drittland nicht eingehalten werden oder nicht eingehalten werden können.
Damit ist derzeit offen, wie Datenübermittlungen in die USA unter der DSGVO rechtmäßig gestaltet werden können.
2. Keine Übergangsfrist für Privacy-Shield basierte Datentransfers
Wenn Unternehmen Datentransfers in die USA bisher allein auf eine Privacy Shield-Zertifizierung des amerikanischen Partners / Dienstleisters gestützt haben, sind diese Transfers ab sofort datenschutzrechtswidrig. Eine Übergangsfrist gibt es in diesem Zusammenhang nicht, da der EuGH den entsprechenden Kommissionsbeschluss zu Privacy Shield für unwirksam erklärt hat. Dies gilt sowohl für Übermittlungen an Dienstleister (Auftragsverarbeiter) als auch an Geschäftspartner und Gesellschaften innerhalb von Unternehmensgruppen oder Konzernen.
3. Reaktionen der Aufsichtsbehörden
Der EuGH macht in der Begründung seines Urteils deutlich, dass die zuständigen Aufsichtsbehörden verpflichtet sind, einen Datentransfer auch dann zu verbieten, wenn dieser auf Standardvertragsklauseln basiert, wenn diese im betroffenen Land nicht durchsetzbar sind.
Es ist daher wenig verwunderlich, dass beispielsweise die Berliner Beauftragte für Datenschutz und Informationsfreiheit bereits fordert, dass Verantwortliche, die – insbesondere bei der Nutzung von Cloud-Diensten – personenbezogene Daten in die USA übermitteln, umgehend zu Dienstleistern in der Europäischen Union oder in einem Land mit angemessenem Datenschutzniveau wechseln sollen (https://www.datenschutz-berlin.de/fileadmin/user_upload/pdf/pressemitteilungen/2020/20200717-PM-Nach_SchremsII_Digitale_Eigenstaendigkeit.pdf). Der Landesbeauftragte für Datenschutz in Baden-Württemberg hat in einem Interview in der FAZ ausgeführt, dass die europäischen Unternehmen und im Anschluss die einzelnen Datenschutzbehörden im Einzelfall prüfen müssen, ob die Standardvertragsklauseln ausreichen (https://zeitung.faz.net/faz/politik/2020-07-20/22ea53d809ccc61cfe25da3e213e61e6/?GEPC=s3). Andere Aufsichtsbehörden haben angekündigt sich zunächst abstimmen zu wollen. Diese Abstimmungen sollen insbesondere auch mit anderen europäischen Datenschutzbehörden erfolgen.
Unternehmen sollten hier unbedingt weitere Hinweise und etwaige Handlungsempfehlungen der Aufsichtsbehörden beachten und diese entsprechend bewerten.
4. Was müssen Unternehmen nun beachten?
Unternehmen, die personenbezogenen Daten in Drittstaaten übertragen, haben nun akuten Handlungsbedarf:
a) Identifizierung von Privacy-Shield basierten Datenflüssen
Basierend auf ihrem Verarbeitungsverzeichnis sollten Unternehmen prüfen, ob derzeit Datenflüsse allein auf Privacy Shield gestützt werden, also ohne dass (zusätzlich) Standardvertragsklauseln genutzt wurden. Wenn solche Datenflüsse vorhanden sind, sollten diese umgehend auf Standardvertragsklauseln oder eine ausdrückliche Einwilligung der Betroffenen umgestellt werden. Zu prüfen sind in diesem Zusammenhang insbesondere auch Standard-Tracking-, Marketing- und Kollaborationsdienste. Es muss in diesem Zusammenhang auch geprüft werden, inwieweit Anpassungen in Datenschutzhinweisen für Webseitenbesucher, Kunden, Lieferanten oder Mitarbeiter notwendig sind.
b) Prüfung von Datenflüssen die auf Standardvertragsklauseln basieren
Datentransfers in die USA oder andere Drittstaaten unter Standardvertragsklauseln sind weiterhin möglich, die Unternehmen müssen hier aber prüfen, ob im betreffenden Drittland das vom Unionsrecht verlangte Schutzniveau eingehalten wird. Wenn dies nicht der Fall ist, muss geprüft werden, ob der nach dem Unionsrecht erforderliche Schutz der übermittelten Daten nicht mit anderen Mitteln gewährleistet werden kann. Dabei muss die Prüfung immer die im konkreten Fall zu übermittelnden Daten und den konkreten Empfänger berücksichtigen. Denkbar sind hier beispielsweise der Einsatz von Verschlüsselungstechniken, bei denen der Schlüssel im Besitz des in der EU ansässigen Verantwortlichen bleibt, der Dienstleister also faktisch keine Möglichkeit der Entschlüsselung hat und daher bei Zugriff von Sicherheitsbehörden auch nur verschlüsselte Daten herausgeben könnte. Das heißt, es muss sich um eine echte Ende-zu-Ende-Verschlüsselung handeln, Transportverschlüsselungen sind nicht ausreichend. Unternehmen mit Sitz in der EU sollten in Verhandlungen mit Partnern versuchen, möglichst konkrete Informations- und Handlungspflichten für den Fall von Anfragen von Sicherheitsbehörden zu vereinbaren. Was die Reihenfolge der Prüfungen angeht, empfiehlt es sich den Verträgen Priorität einzuräumen, bei denen die Vertragspartner einschlägigen nationalen Überwachungsgesetzen unterliegen.
Bei neu abzuschließenden Verträgen muss geprüft werden, ob die Standardvertragsklauseln in unveränderter Form ausreichend sind, oder ob zusätzliche Maßnahmen getroffen werden müssen. Dabei ist zu beachten, dass der Text der Standardvertragsklauseln nicht verändert werden darf.
Die vorstehenden Erwägungen gelten auch bei Übermittlungen auf Basis von behördlich genehmigten sog. Binding Corporate Rules (BCR).
c) Datenflüsse, bei denen das Unternehmen selbst Auftragsverarbeiter ist
Wenn die Datenübermittlung in die USA im Rahmen einer Unterbeauftragung stattfindet, ist zu beachten, dass der Verantwortliche selbst und unmittelbar die Standardvertragsklauseln mit dem entsprechenden Unterauftragsverarbeiter in den USA abschließen muss. Viele Anbieter sind auf diese Anforderung bisher nicht eingestellt und es muss geprüft werden, wie diese Anforderung umgesetzt werden kann.
d) Einwilligung des Betroffenen
Ein Datentransfer in ein Drittland kann, wenn der Dienstleister keine Garantie für ein angemessenes Datenschutzniveau bietet, auch auf eine Einwilligung des Betroffenen gestützt werden. An die Einwilligung sind jedoch – nicht erst seit der BGH-Entscheidung zu Cookie Bannern – hohe Anforderungen zu stellen. So muss diese ausdrücklich erfolgen und der Verantwortliche muss über alle Risiken der Datenübermittlung informieren, also auch darüber, welches Risiko für seine Rechte und Freiheiten und welche Einschränkungen des Rechtsschutzes gegenüber der DSGVO und dem europäischen Recht bestehen. Dies muss aufgrund der Transparenz-Anforderungen sorgfältig umgesetzt werden.
e) Nicht betroffene Datenflüsse
Datenübermittlungen auf Basis von Art. 49 DSGVO, zum Beispiel wenn diese zur Erfüllung eines Vertrages (oder Durchführung vorvertraglicher Maßnahmen) mit dem Betroffenen erforderlich sind und die weiteren Anforderungen der DSGVO erfüllt werden, bleiben zulässig. Dies umfasst zum Beispiel die Abwicklung von Aufträgen von Kunden oder Lieferanten mit Sitz in den USA, die Versendung von E-Mails in die USA oder die Buchungen bei amerikanischen Hotels. Das gleiche gilt für die Übermittlung von Mitarbeiterdaten im Konzern, soweit dies erforderlich ist und der internationale Bezug des Arbeitsverhältnisses bei Abschluss des Arbeitsvertrags bekannt war.
Für weitere Informationen und Rückfragen stehen wir gerne zur Verfügung.
Seit 25. Mai 2018 gilt die Datenschutz-Grundverordnung (DSGVO). Aus diesem Anlass referiert Dr. Thomas Stögmüller, Rechtsanwalt und Fachanwalt für Informationstechnologierecht und Partner von TCI Rechtsanwälte München, bei der Rechtsanwaltskammer München zum Thema „2 Jahre DSGVO – erste Erfahrungen und aktuelle Entwicklungen mit Schwerpunkt im Medienbereich“. Die Veranstaltung findet am Montag, 29. Juni 2020 von 18 – 20 Uhr als Online-Seminar statt und richtet sich an Rechtsanwältinnen und Rechtsanwälte, die Mitglieder der Rechtsanwaltskammer München sind.
Mit der Covid-19-Krise hat die Bedeutung der Home Office-Nutzung stark zugenommen und das Arbeiten von zu Hause oder von unterwegs wird auch künftig vermehrt erfolgen. Allerdings ist dies anfällig gegen Datenschutzverstöße und es besteht die Gefahr, dass der Schutz von Geschäftsgeheimnissen verletzt wird.
Nachfolgend gibt Rechtsanwalt und Fachanwalt für Informationstechnologierecht Dr. Thomas Stögmüller, LL.M. (Berkeley), fünf Tipps für Unternehmen, wie diese bei der Home Office-Nutzung den Datenschutz wahren und ihre Geschäftsgeheimnisse schützen können.
1. IT-Sicherheit
Im Rahmen der Corporate Governance haben Vorstand bzw. Geschäftsführung die Einhaltung der gesetzlichen Bestimmungen zu gewährleisten und für ein angemessenes Risikomanagement und Risikocontrolling im Unternehmen zu sorgen. Wesentlich ist hierbei die Sicherstellung von Datenschutz und IT-Sicherheit. Dies gilt auch und gerade für die Home Office-Nutzung.
Bei einer Verletzung der Datenschutz-Grundverordnung (DSGVO) drohen erhebliche Sanktionen wie Schadensersatzansprüche, aufsichtsrechtliche Maßnahmen der Datenschutzbehörde und Geldbußen, die bis zu 4 % des gesamten weltweiten Jahresumsatzes oder bis zu 20 Millionen Euro betragen können.
Im Rahmen der IT-Sicherheit muss das Unternehmen geeignete technische und organisatorische Maßnahmen (TOM) treffen, um die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit seiner IT-Systeme sicherzustellen. Für Home Office-Anwendungen bedeutet das u.a. eine wirksame und aktuelle Internet Security-Lösung und den Einsatz geeigneter Sicherheitsmaßnahmen wie Passwortschutz, 2-Faktor-Authentifizierung und ein Virtual Private Network. Zudem müssen sichere Lösung für Web-Konferenzen verwendet oder diese entsprechend konfiguriert werden, um zu vermeiden, dass bspw. nicht zugelassene oder unbekannte Personen daran teilnehmen.
2. Abschluss einer Vereinbarung zur Auftragsverarbeitung
Cloud Provider und Anbieter von Web-Konferenzen müssen unter Berücksichtigung deren DSGVO-Konformität und deren TOM sorgfältig ausgewählt werden und das Unternehmen muss mit ihnen eine Vereinbarung zur Auftragsverarbeitung schließen, die den Anforderungen des Art. 28 DSGVO entspricht.
3. Wahrung der Schutzes von Geschäftsgeheimnissen
Durch das Geschäftsgeheimnis-Schutzgesetz, das seit 26. April 2019 in Kraft ist, sind die Anforderungen an das Vorliegen eines Geschäftsgeheimnisses gestiegen, insbesondere muss es „Gegenstand von den Umständen nach angemessenen Geheimhaltungsmaßnahmen“ sein. Problematisch ist dies bspw. bei Web-Konferenzen, bei denen Geschäftsgeheimnisse Gegenstand sind, so dass der Teilnehmerkreis streng begrenzt sowie Aufzeichnung und Dokumentenaustausch unterbunden werden sollte. Zudem sollten externe Teilnehmer mittels einer Vertraulichkeitsvereinbarung bzw. eines Non-Disclosure Agreement (NDA) zur Geheimhaltung verpflichtet werden.
Unternehmen sollten zur Wahrung ihrer Geschäftsgeheimnisse generell entsprechende personelle, rechtliche, technische und organisatorische Maßnahmen treffen und unternehmensspezifische Schutzkonzepte und Schutzstrategien implementieren. Andernfalls droht der Verlust des Geschäftsgeheimnisschutzes.
4. Übermittlung nur auf Need-to-Know-Basis
Sowohl hinsichtlich der Übermittlung personenbezogener Daten als auch von Geschäftsgeheimnissen gilt, dass der Empfängerkreis möglichst eng sein soll. Nur solche Mitarbeiter und externen Geschäftspartner, die diese Informationen unbedingt benötigen, dürfen Zugriff darauf haben, d.h. diese Informationen sind nur auf „Need-to-Know-Basis“ zu übermitteln. Unternehmen sollten daher die Zugriffsrechte auf sensible Informationen prüfen und ggf. anpassen. Gerade bei der Home Office-Nutzung besteht nämlich das Risiko, dass einmal abgerufene Daten dauerhaft die Unternehmenssphäre verlassen, wenn sie von einem Mitarbeiter auf dessen eigenem Rechner lokal gespeichert werden.
5. Schulung der Mitarbeiter
Mitarbeiter müssen hinsichtlich der gestiegenen Risiken bzgl. Datenschutz und Schutz von Geschäftsgeheimnissen sensibilisiert und geschult werden. Arbeiten zu Hause birgt größere Risiken, dass unbefugte Dritte – hierzu gehören auch Familienmitglieder und Besucher – Unternehmensinformationen zur Kenntnis nehmen. Klare Verhaltensanweisungen wie z.B. Sperren des Rechners bei Verlassen des Arbeitsplatzes, laufende Aktualisierung des Antiviren-Schutzes und Überprüfung des Kamerafeldes vor Beginn einer Videokonferenz sind dringend zu empfehlen.
Zum Thema „Datenschutz & Geschäftsgeheimnisse im Home-Office in der Covid-19-Krise“ gibt Dr. Thomas Stögmüller auch im DIKT Expertentalk mit Dr. Nikolai A. Behr nähere Auskunft: https://youtu.be/HwhXQS9zxRw
Aktuell finden eine Reihe von Lockerungen statt, die schrittweise wieder zurück zur Normalität führen sollen. Diese stellen jedoch ihrerseits ungewohnte Belastungen für die Betroffenen dar und bringen zugleich rechtliche Herausforderungen mit sich.
Auch der Gastronomiebetrieb soll wieder unter Einschränkungen ermöglicht werden. Diese betreffen neben den allgemeinen Vorsorgemaßnahmen wie Abstandsregelungen oder der Tragepflicht eines Mund-Nasen-Schutzes in einigen Bundesländern auch eine Pflicht zur Erhebung und Speicherung des Namens, der Telefonnummer sowie des exakten Zeitraums des Besuchs.
Wie muss diese Datenerhebung ausgestaltet werden und dürfen Gäste trotzdem bedient werden, wenn sie sich weigern ihre Daten anzugeben?
Je nach Bundesland sind die Regelungen unterschiedlich ausgestaltet. Manche Bundesländer haben eine Pflicht zur Erhebung der Daten eingeführt, andere dagegen nur eine Empfehlung. Gastwirte sollten sich über die exakten, für sie geltenden Vorschriften beispielsweise auf der Webseite ihres Bundeslandes informieren. Eine Sammlung der Verordnungen der verschiedenen Bundesländer finden Sie unter Anderem auch auf www.lexcorona.de.
Eine ausdrückliche Pflicht zur Erhebung der Daten jedes einzelnen Gastes haben die Bundesländer Hamburg, Hessen, Niedersachsen, Nordrhein-Westfalen, Schleswig-Holstein und Thüringen eingeführt. Mecklenburg-Vorpommern und das Saarland haben eine Pflicht zur Erhebung der Daten einer Person pro Haushalt, bzw. Gruppe eingeführt. Bayern, durch die Reservierungspflicht ebenfalls.
In den Bundesländern, in denen keine Regelung getroffen wird oder lediglich eine Empfehlung ausgesprochen wird, steht es den Gastwirten frei, ob sie die Daten vorsorglich dennoch erheben möchten. Ob gemäß Art. 6 Abs. 1 lit. a) DSGVO eine Rechtfertigung durch eine Einwilligung der Gäste, in den Bundesländern ohne Pflicht, vorliegen kann, ist dann fraglich, wenn der Gastwirt ansonsten die Bedienung verweigert, da die Datenerhebung nicht zwingend für die Tätigkeit vorliegen muss. Jedenfalls liegt aber auch für diese Gastwirte aktuell eine Rechtfertigung dieser Datenerhebung gemäß Art. 6 Abs. 1 lit. f) DSGVO vor. Bei Abwägung der entgegenstehenden Interessen überwiegt das Interesse des Gastwirtes am Gesundheitsschutz seiner Kunden, das jedem Betroffenen auch zugutekommt. Zudem steht es Personen frei das entsprechende Restaurant nicht zu besuchen, wenn sie keine Erhebung ihrer Daten in Kauf nehmen möchten.
Wie die Datenerhebung genau ausgestaltet werden soll oder was die Gastwirte dabei zwingend beachten müssen, wurde nicht geregelt. Im Folgenden sollen einige Hinweise aufgestellt werden.
1. Informierung der Kunden über die Datenerhebung und Speicherung
Der Gastwirt sollte die Kunden über Rechtsgrundlage zur Datenerhebung und Speicherung informieren. Diese stellt Art. 6 Abs. 1, lit. c) DSGVO in Verbindung mit der Verordnung des Landes dar, wenn diese den Gastwirt zur Datenerhebung verpflichtet. Wenn der Gastwirt nicht verpflichtet ist und die Datenerhebung auf freiwilliger Basis der Kunden erfolgt, ist sie durch eine Einwilligung gemäß Art. 6 Abs. 1, lit. a) DSGVO rechtmäßig. Wenn der Gastwirt nicht zur Erhebung verpflichtet ist, den Restaurantbesuch aber dennoch von der Zurverfügungstellung der Daten abhängig macht, ist sie, solange eine erhöhte Gefahr der Ansteckung besteht, nach Art. 6 Abs. 1, lit. f) DSGVO rechtmäßig. Der Gastwirt muss dann aber gegebenenfalls nachweisen können, dass er vor der Erhebung eine Interessenabwägung zwischen den Rechten der betroffenen Kunden auf informationelle Selbstbestimmung und ihrem Gesundheitsschutz vorgenommen hat.
Weiterhin muss der Gastwirt die Kunden darüber informieren, wie lange die Daten gespeichert bleiben und dass sie hinterher gelöscht oder vernichtet werden. In den Fällen, in denen die Erhebung durch eine Verordnung verpflichtend ist, muss der Gastwirt diese Dauer angeben. Auch in den übrigen Fällen sollte die Dauer der Speicherung drei bis vier Wochen nicht überschreiten, da hinterher der Zweck der Speicherung wegfällt.
2. Schutz der Daten
Die Gastwirte sind, als Verantwortliche für die Daten, dazu verpflichtet, diese ausreichend zu schützen. Falls die Daten in Papierform vorliegen, sollten sie nicht offen herumliegen, sondern verschlossen aufbewahrt werden. In digitaler Form sollten übliche Sicherheitsstandards eingehalten werden und auch bei der Löschung dürfen sie nicht noch im Papierkorb verbleiben, wo sie eventuell durch Dritte eingesehen werden könnten.
Der Schutz der Daten beginnt aber bereits beim Schutz gegenüber den anderen Kunden. Jeder Kunde sollte seine Daten also einzeln übermitteln oder abgeben können. Nur eine Tabelle zu verwenden, in die sich alle Kunden des jeweiligen Tages einzutragen haben ist dagegen nicht erlaubt, weil sie allen übrigen Kunden ebenfalls die Einsichtnahme und den Zugriff auf die Daten gewähren würde. An dieser Stelle muss die Anlage der CoronaSchVO NRW kritisiert werden, die die Erhebung in Form von auf den Tisch liegenden Listen vorschreibt. Diese Formulierung ist bestenfalls irreführend und damit datenschutzrechtlich höchst problematisch.
3. Umfang und Zweck der Datenerhebung
Wichtig ist, dass nur die gesetzlich vorgeschriebenen Daten erhoben werden. Für zusätzliche Daten, wie Anschriften, liegt keine Rechtfertigung vor. Auch bei der freiwilligen Datenerhebung sollte diese auf das Minimum beschränkt sein, das notwendig ist, um den Zweck der Erhebung zu erfüllen: Die Person im Falle der Erkrankung eines anderen Kunden über das Risiko zu informieren. Insofern ist auch der Scan oder die Anfertigung von Kopien des Personalausweises nicht erlaubt, weil damit der Umfang der Datenerhebung überschritten würde.
Festzuhalten bleibt: Bei aller Notwendigkeit der Vorsichtsmaßnahmen sollte der Datenschutz nicht aus dem Fokus geraten und kann mit einfacher Organisation gewährleistet bleiben.
(Beitrag ist mit Unterstützung von RA Joscha Falkenhagen verfasst worden)
Die aktuell, während der Corona Krise, geltenden Kontaktsperren stellen für viele Abläufe Hindernisse dar. Insbesondere für Präsenzveranstaltungen. Davon ist auch die Handlungs- und Beschlussfähigkeit von Betriebsräten stark betroffen, die nicht zuletzt für die mögliche Einführung von Kurzarbeit in einem Betrieb, von großer Bedeutung ist.
Um dem entgegenzuwirken, hat die Regierung einen Gesetzesentwurf vorgelegt, der die Handlungsfähigkeit von Betriebsräten, Gesamtbetriebsräten, Konzernbetriebsräten sowie von Jugend- und Auszubildendenvertretungen stärken soll, indem die Teilnahme an Sitzungen und die Fassung von Beschlüssen per Video- oder Telefonkonferenz ermöglicht wird. Der Entwurf sieht eine rückwirkend zum 01.03.2020 eintretendes Inkrafttreten vor. Den Gesetzesentwurf können Sie hier bereits einsehen.
Zudem sollen in gleicher Weise auch Betriebs-, Betriebsteil-, Abteilungs- und Betriebsräteversammlungen, sowie Jugend- und Auszubildendenversammlungen stattfinden dürfen.
Die Voraussetzungen für eine Durchführung mit entsprechenden Online-Tools sind folgende:
- Dritte dürfen keinen Zugriff auf die Kommunikation haben.
- Es darf keine Aufzeichnung der Konferenz stattfinden.
Hierbei werden zwei verschiedene Fragen aufgeworfen:
Welche Voraussetzungen muss man erfüllen, um sicherzustellen, dass Dritte keinen Zugriff haben?
Hierfür muss die Übertragung der Bild- oder Audiodateien in verschlüsselter Form erfolgen. Weiterhin müssen die jeweiligen Teilnehmer dafür sorgen, dass keine Dritten Kenntnis nehmen können, indem sie einen nicht-öffentlichen Raum verwenden und mitteilen, falls Dritte doch den Raum betreten, damit die Sitzung entsprechend unterbrochen werden kann.
Als Beispiel für verwendbare Anbieter von Video- oder Telefonkonferenzen werden Skype und WebEx genannt. Welche Anforderungen die verwendete Verschlüsselung erfüllen soll und ob dies bedeutet, dass Skype und WebEx die notwendigen Voraussetzungen erfüllen, wird nicht gesagt. Insofern ist davon auszugehen, dass im Rahmen dessen, was zumutbar ist, der höchste Sicherheitsstandard gewählt werden sollte.
Wer ist Dritter im Rahmen des Entwurfs?
Eine genauere Erklärung des Begriffs erfolgt nicht, sodass keinerlei weitere Personen Zugriff haben dürfen. Daher muss sichergestellt werden, dass weder der Videodienste Anbieter noch andere Konzern- oder Betriebsangehörige Kenntnis nehmen können.
Sollten Sie weitere Fragen zu Durchführung von Vertreterversammlungen oder -sitzungen per E-Mail haben, stehen wir Ihnen gern zur Verfügung.
(Beitrag ist mit Unterstützung von RA Joscha Falkenhagen verfasst worden)
Die Frage der wettbewerbsrechtlichen Abmahnfähigkeit von Verstößen gegen Vorschriften der DSGVO begleitet die DSGVO seit ihrem Wirksamwerden im Mai 2018 von Beginn an. Bereits im Geltungsbereich des früheren BDSG war die Frage nicht ganz unumstritten und wurde von einigen Instanzgerichten unterschiedlich beurteilt (z. B. pro: OLG Hamburg, Urt. v. 25.10.2018 – 3 U 66/17; contra z. B.: LG Bochum, Urteil vom 07.08.2018 – I-12 O 85/18). Stark verkürzt geht es hierbei um die Frage, ob es sich bei den datenschutzrechtlichen Vorschriften um verbraucherschützende Marktverhaltensregelungen handelt, deren Verletzung dem Mitbewerber einen Vorsprung durch Rechtsbruch beschert. Im Bereich E-Commerce ist diese Problematik seit langem bekannt, wenn es etwa um die Verwendung einer veralteten Widerrufsbelehrung im Rahmen eines Onlineshops geht.
Wenn es sich bei Vorschriften der DSGVO um Marktverhaltensregelungen handelt, dann wäre ein Verstoß gegen die Vorschriften der DSGVO neben dem damit einhergehenden Bußgeldrisiko zugleich wegen einer Verletzung der Vorschrift des § 3a UWG wettbewerbswidrig und somit von Mitbewerbern oder Verbraucherschutzorganisationen abmahnfähig. Nach der Rechtsprechung des Bundesgerichtshofs stellt eine Marktverhaltensregel eine Regelung dar, die das Marktverhalten im Interesse der Mitbewerber, Verbraucher oder sonstigen Marktteilnehmer regelt, wenn sie zudem einen Wettbewerbsbezug in der Form aufweist, dass sie die wettbewerblichen Belange der als Anbieter oder Nachfrager von Waren oder Dienstleistungen in Betracht kommenden Personen schützt (BGH, Urt. v. 02.03.2017, Az.: I ZR 194/15 – Konsumgetreide).
Das OLG Naumburg ist gewillt, den Meinungsstreit und die damit verbundene uneinheitliche Rechtsprechung zur Frage, ob es sich bei Vorschriften der DSGVO wie z. B. Art. 5 (Rechtmäßigkeit der Verarbeitung), 6 (Rechtsgrundlagen für die Verarbeitung personenbezogener Daten) oder auch 9 (besondere Kategorien personenbezogener Daten) um Marktverhaltensregeln handelt, erfreulicherweise zu beenden und hat in einem Verfahren aus Ende 2019 die Revision zum BGH zugelassen; dort ist die Revision seither unter dem Aktenzeichen I ZR 236/19 beim I. Zivilsenat anhängig.
In dem Verfahren vor dem OLG Naumburg ging es um den Online-Vertrieb von Medikamenten durch eine Apotheke über die Handelsplattform Amazon Marketplace. Diese Apotheke wurde durch einen Mitbewerber, den Betreiber einer stationären Apotheke wegen Wettbewerbsverstößen unter dem Gesichtspunkt des unlauteren Vorsprungs durch Rechtsbruch (§ 3a UWG) abgemahnt. Für die im Zusammenhang mit dem Erwerb apothekenpflichtiger Medikamente einhergehende Verarbeitung gesundheitsbezogener Daten des Kunden fehle es an einer vorherigen (schriftlichen) Einwilligung; denn diese werde beim Bestellprozess nicht eingeholt. Beim Kauf von Medikamenten würden besondere personenbezogene Daten gemäß § 9 Abs. 3 BDSG-alt (bzw. gemäß Art. 9 DSGVO) erhoben. Das Landgericht hatte der Unterlassungsklage des Mitbewerbers stattgegeben und damit auch die Abmahnfähigkeit von DSGVO-Verstößen bejaht. Solange auf einer Handelsplattform wie Amazon Marketplace nicht sichergestellt sei, dass explizite Einwilligungen für die Verarbeitung besonderer Kategorien personenbezogener Daten eingeholt werden könnten, ergebe sich daraus ein Verstoß gegen die Vorschrift des Art. 9 DSGVO, der auch von Mitbewerbern auf Basis des § 3a UWG abgemahnt werden kann.
Das OLG bestätigte diese Rechtsauffassung und wies die Berufung der Beklagten mit Urteil vom 07.11.2019 (Az.: 9 U 39/18) zurück. Das OLG Naumburg schloss sich damit der Auffassung des OLG Hamburg an begründete dies u. a. damit, dass Datenschutzregeln zwar in erster Linie das informationelle Selbstbestimmungsrecht des Betroffenen schützen, gleichwohl die DSGVO aber auch andere Zielsetzungen habe, wie sich u. a. aus den Erwägungsgründen ergebe (insb. Abschaffung ungleicher Wettbewerbsbedingungen durch unterschiedliches Datenschutzniveau).
Außerdem handele es sich bei den Bestelldaten der Kunden um Gesundheitsdaten i.S.v. Art. 9 Abs. 1 DSGVO. Aus diesen könnten nämlich Rückschlüsse auf die Gesundheit des Bestellers gezogen werden. Auch würden Datenverarbeitungen i. S. v. Art. 9 Abs. 1 DSGVO vorliegen. Die Datenverarbeitung durch die Plattform Amazon Marketplace sei keine Auftragsverarbeitung für den Händler im Sinne von Art. 28 DSGVO. Die AGB von Amazon würden dies klarstellen. Entscheidend sei somit die Datenverarbeitung durch die beklagte Apotheke selbst. Hierfür fehle eine wirksame Einwilligung i. S. v. Art. 9 Abs. 2 DSGVO, die ausdrücklich erteilt werden müsse, so der Senat.
Obwohl die Berufung damit zurückgewiesen wurde, ist die Sache damit noch nicht rechtskräftig, denn das OLG Naumburg hat die Revision zum BGH Zugelassen. Aus Sicht des Senates ist klärungsbedürftig, ob die Regeln der DSGVO im Einzelfall als Marktverhaltensregeln im Sinne des § 3a UWG anzusehen sind. Aufgrund der marktbeherrschenden Stellung der hier involvierten Internethandelsplattform (Amazon) dürfte ein abstraktes Interesse der Allgemeinheit an der Klärung der Frage bestehen, ob und gegebenenfalls unter welchen Voraussetzungen der Handel mit apothekenpflichtigen Medikamenten über eine solche Internethandelsplattform möglich ist.
Erfreulich ist somit, dass die Frage der Abmahnfähigkeit von Verstößen gegen die DSGVO nunmehr durch den BGH geklärt werden wird, sofern sich dieser entsprechend berufen sieht, diese Frage im Rahmen der Revision abschließend zu klären und sofern das Rechtsmittel nicht noch zurückgenommen wird. Auch die Datenschutz-Aufsichtsbehörden wünschen sich entsprechend Klarheit über die Hoheit über Sanktionsmaßnahmen bei Verstößen gegen die DSGVO. Denn wenn die Abmahnfähigkeit durch den BGH bestätigt werden wird, könnten sich auch Interessenverbände wie die Wettbewerbszentrale künftig berufen fühlen, für ihre Mitglieder kollektiv die Verletzung von Marktverhaltensregelungen aus der DSGVO abzumahnen. In diesem Falle müssen Unternehmen neben empfindlichen Bußgeldern auch eine wettbewerbsrechtliche Inanspruchnahme befürchten, etwa wenn einzelne Klauseln in der Datenschutzerklärung auf der Website gegen Vorschriften der DSGVO verstoßen oder unvollständig sind. Immerhin hat die Wettbewerbszentrale die Entscheidung des OLG Naumburg schon einmal buchstäblich „auf dem Schirm“ und darüber bereits im November 2019 auf ihrer Website berichtet (vgl. https://wettbewerbszentrale.de/de/home/_news/?id=3281).
Mit Urteil vom 26.09.2019 (Az.2-03 O 402/18) hat das LG Frankfurt a.M. über die Verbreitung eines Bildnisses entschieden, die ohne Einwilligung nach den Grundsätzen der §§ 22, 23 Kunsturhebergesetz (KUG) erfolgte. Diese seien trotz Geltung der Datenschutzgrundverordnung (DSGVO) weiterhin (direkt) anwendbar.
I. KUG über Art.85 DSGVO weiter anwendbar
Die Verbreitung des Bildes einer Person ist nur zulässig, wenn die abgebildete Person hierzu eingewilligt hat. Dieses Recht am eigenen Bild ist seit jeher durch die §§ 22, 23 KUG geregelt. Die Rechtsprechung hat sich im Jahr 2018 noch zurückhaltend gezeigt, was die Anwendung des KUG neben der DSGVO betrifft, insbesondere dann, wenn eine Prüfung nach der DSGVO zu demselben Ergebnis kommt, wie nach dem KUG.
Das OLG Köln hat mit Urteil vom 18.06.2018 – 15 W 27/18 klargestellt, dass das KUG im journalistischen Bereich weiterhin vorrangig anwendbar ist. Dies Rechtsprechung führt das OLG mit Zurückweisungsbeschluss vom 08.10.2018 – 15 U 110/18 konsequent fort. Das LG Frankfurt hat im Rahmen von Art. 6 Abs. 1 lit. f) DSGVO bisher die Grundsätze des KUG zumindest herangezogen (vgl. Urteil vom 13.09.2018 – 2-03 O 283/18), musste aber über die direkte Anwendung damals noch nicht entscheiden.
In der Folge seiner Rechtsprechung aus 2018 hat dieselbe Kammer des Landgericht Frankfurt a.M. nun mit Urteil vom 26.09.2019 – 2-03 O 402/18 entschieden, dass die Grundsätze der §§ 22, 23 KUG mit Blick auf Art. 6 Abs. 1 lit. f), 85 Abs. 2 DSGVO weiter anwendbar sind. Konkret führt das Landgericht aus:
„(…) Bei der dargestellten Abwägung hat die Kammer ferner berücksichtigt, dass seit dem 25.05.2018 die DSGVO Geltung erlangt hat. Insoweit wendet die Kammer jedoch unter Berücksichtigung von Art. 85 Abs. 2 DSGVO die §§ 22 f. KUG und die hierzu in der Rechtsprechung ergangenen Grundsätze mit Blick auf Art. 6 Abs. 1 lit. f) DSGVO an (LG Frankfurt a.M., Urt. v. 13.09.2018 – 2-03 O 283/18, ZD 2018, 2018, 587; so wohl auch OLG Köln, Urt. v. 28.03.2019 – 15 U 155/18, BeckRS 2019, 13613 Rn. 26; vgl. auch LG Frankfurt a.M., Urt. v. 27.09.2018 – 2-03 O 320/17; Sydow/Specht, DSGVO, 2. Aufl. 2018, Art. 85 Rn. 13 ff.; Lauber-Rönsberg/Hartlaub, NJW 2017, 1057, 1060). (…)“
In dieser Konsequenz wurde ein Unterlassungsanspruch wegen des Verbreitens eines Bildnisses auf die §§ 823, 1004 BGB i.V.m. §§ 22 f. KUG, Art. 85 DSGVO gestützt. Bemerkenswert daran ist, dass das Landgericht Frankfurt das KUG wohl nun auch für die Verbreitung im gewerblichen Bereich über Art. 85 DSGVO als anwendbar betrachtet.
Es handelt sich bei Art. 85 Abs.2 DSGVO um eine sog. Öffnungsklausel für den jeweiligen Gesetzgeber des Mitgliedsstaates der Europäischen Union. Diese erlaubt, dass die Mitgliedsstaaten Abweichungen oder Ausnahmen von bestimmten Kapiteln der DSGVO vorsehen können. Als solche Ausnahmeregelung gelten nach Ansicht des LG Frankfurt die §§ 22, 23 KUG.
II. Ausblick und Bedeutung
In der Fachliteratur ist die Anwendung des KUG über Art. 85 DSGVO nicht unumstritten. Dies wird nicht zuletzt damit begründet, dass das KUG bereits vor Inkrafttreten der DSGVO galt. So oder so wird man aber zumindest auf die Grundsätze des KUG abstellen können, sei es in einer direkten Anwendung des KUG oder im Wege der Prüfung nach Art. 6 Abs. 1 lit f) DSGVO.
Offen bleibt weiterhin die spannende Frage, ob hinsichtlich des Widerrufs das freiwillige Widerrufsrecht aus der DSGVO gilt oder die sich aus dem KUG ergebenden Widerrufsregeln Anwendung finden, nach denen ein Widerruf nur mit wichtigem Grund möglich ist.
