Formularhandbuch Datenschutzrecht erscheint in neuer Auflage mit Beiträgen von Stephan Schmidt

Die neue Auflage des im Verlag C.H.BECK erscheinenden Formularhandbuch Datenschutzrecht von Koreng/ Lachenmann ist nun im gut sortierten Buchhandel erhältlich.

Wie bereits die bisherigen Auflagen bietet auch diese stark erweiterte Auflage des Handbuchs einen guten Überblick und zahlreiche Muster zu den komplexen und vielfältigen Themen des Datenschutzrechts. Neben vielen anderen ausgewiesenen Datenschutz-Experten hat sich an dieser Auflage auch erneut unser Mainzer Partner Stephan Schmidt beteiligt. Wie bereits in der Vorauflage, hat er zusammen mit dem Landesbeauftragten für den Datenschutz und die Informationsfreiheit Baden-Württemberg Dr. Stefan Brink ein Vertragsmuster zur Auftragsverarbeitung beigesteuert. Neu in dieser Auflage sind zwei weitere Beiträge von Stephan Schmidt: eine Checkliste zu Aufgaben und Umfang des Vertreters nach Art. 27 DSGVO und ein Muster für einen Vertrag über die Benennung eines Vertreters nach Art. 27 DSGVO.

Die Neuauflage berücksichtigt die bisherigen Erfahrungen mit der DSGVO. Es wurden alle bisherigen Muster aktualisiert und neue Entscheidungen von Aufsichtsbehörden und Gerichten berücksichtigt. Die neue Auflage enthält darüber hinaus diverse neue Kapitel, z.B. zum Gesundheitsdatenschutz, anwaltlichem Berufsrecht und der Verwendung von Personenbildnissen. Die Unterstützung von KMU und Vereinen wurde zudem durch spezielle Muster vertieft. Der internationale Kontext wird durch die Sicht auf Österreich abgerundet.

Zum Werk gehört ein Zugang zur Online-Version bei Beck-Online. Bestellungen sind auch direkt beim Verlag möglich.

Die Datenschutzerklärung des Schiedsgerichts

In der aktuellen Ausgabe der Zeitschrift für Schiedsverfahren (SchiedsVZ) ist ein Beitrag unserer Partnerin Dr. Truiken Heydn mit dem Titel „Die Datenschutzerklärung des Schiedsgerichts“ erschienen (SchiedsVZ 2020, 242). Unsere Partnerin Dr. Truiken Heydn ist in internationalen und nationalen Schiedsverfahren als Schiedsrichterin tätig. Die DSGVO gilt nach allgemeiner Meinung auch in Schiedsverfahren. Der Beitrag enthält ein Muster einer Datenschutzerklärung eines Schiedsgerichts und soll Schiedsgerichten, die mit dem Datenschutzrecht weniger vertraut sind, eine Hilfestellung bieten, ein Schiedsverfahren datenschutzrechtskonform durchzuführen.

EuGH er­klärt mit Ur­teil in Sa­chen Schrems II den Pri­va­cy Shield Be­schluss für un­wirk­sam

1. Schrems II – Das Urteil

Mit Urteil vom 16.07.2020 (C-311/18) hat der EuGH über Vorlagefragen des Irischen High Courts in einem Rechtsstreit von Max Schrems gegen Facebook Ireland entschieden. Der EuGH erklärt das Privacy-Shield-Abkommen (genau genommen den entsprechenden Beschluss der EU-Kommission) zwischen der EU und den USA für Datenübermittlungen in die USA für unwirksam. Privacy-Shield stellt kein der DSGVO entsprechendes Datenschutzniveau sicher, da es insbesondere an einer wirksamen Durchsetzungsmöglichkeit für Betroffenenrechte in den USA fehlt.

Der EuGH äußert sich darüber hinaus auch zu den Standardvertragsklauseln (SCC), welche für die Übermittlung von Daten an Auftragsverarbeiter außerhalb der EU genutzt werden können und hält diese für grundsätzlich geeignet. Diese grundsätzliche Geeignetheit wird durch den EuGH allerdings dadurch eingeschränkt, dass die Parteien auch bei vereinbarten Standardvertragsklauseln sicherstellen müssen, dass wirksame Durchsetzungsmöglichkeiten für Betroffenenrechte bestehen. Dass dies insbesondere im Fall der USA und den dortigen Zugriffsrechten für Geheimdienste derzeit nicht der Fall ist, stellt der EuGH in seiner Urteilsbegründung ausdrücklich fest. Die Erwägungen dürften in dieser Form aber auch auf andere Staaten mit unzureichendem Schutz vor Zugriffen der nationalen Geheimdienste übertragbar sein. Der EuGH stellt zudem fest, dass es eine Aussetzungspflicht der Datenschutzbehörden gibt, wenn die Standardvertragsklauseln im Drittland nicht eingehalten werden oder nicht eingehalten werden können.

Damit ist derzeit offen, wie Datenübermittlungen in die USA unter der DSGVO rechtmäßig gestaltet werden können.

2. Keine Übergangsfrist für Privacy-Shield basierte Datentransfers

Wenn Unternehmen Datentransfers in die USA bisher allein auf eine Privacy Shield-Zertifizierung des amerikanischen Partners / Dienstleisters gestützt haben, sind diese Transfers ab sofort datenschutzrechtswidrig. Eine Übergangsfrist gibt es in diesem Zusammenhang nicht, da der EuGH den entsprechenden Kommissionsbeschluss zu Privacy Shield für unwirksam erklärt hat. Dies gilt sowohl für Übermittlungen an Dienstleister (Auftragsverarbeiter) als auch an Geschäftspartner und Gesellschaften innerhalb von Unternehmensgruppen oder Konzernen.

3. Reaktionen der Aufsichtsbehörden

Der EuGH macht in der Begründung seines Urteils deutlich, dass die zuständigen Aufsichtsbehörden verpflichtet sind, einen Datentransfer auch dann zu verbieten, wenn dieser auf Standardvertragsklauseln basiert, wenn diese im betroffenen Land nicht durchsetzbar sind.

Es ist daher wenig verwunderlich, dass beispielsweise die Berliner Beauftragte für Datenschutz und Informationsfreiheit bereits fordert, dass Verantwortliche, die – insbesondere bei der Nutzung von Cloud-Diensten – personenbezogene Daten in die USA übermitteln, umgehend zu Dienstleistern in der Europäischen Union oder in einem Land mit angemessenem Datenschutzniveau wechseln sollen (https://www.datenschutz-berlin.de/fileadmin/user_upload/pdf/pressemitteilungen/2020/20200717-PM-Nach_SchremsII_Digitale_Eigenstaendigkeit.pdf). Der Landesbeauftragte für Datenschutz in Baden-Württemberg hat in einem Interview in der FAZ ausgeführt, dass die europäischen Unternehmen und im Anschluss die einzelnen Datenschutzbehörden im Einzelfall prüfen müssen, ob die Standardvertragsklauseln ausreichen (https://zeitung.faz.net/faz/politik/2020-07-20/22ea53d809ccc61cfe25da3e213e61e6/?GEPC=s3). Andere Aufsichtsbehörden haben angekündigt sich zunächst abstimmen zu wollen. Diese Abstimmungen sollen insbesondere auch mit anderen europäischen Datenschutzbehörden erfolgen.

Unternehmen sollten hier unbedingt weitere Hinweise und etwaige Handlungsempfehlungen der Aufsichtsbehörden beachten und diese entsprechend bewerten.

4. Was müssen Unternehmen nun beachten?

Unternehmen, die personenbezogenen Daten in Drittstaaten übertragen, haben nun akuten Handlungsbedarf:

a) Identifizierung von Privacy-Shield basierten Datenflüssen

Basierend auf ihrem Verarbeitungsverzeichnis sollten Unternehmen prüfen, ob derzeit Datenflüsse allein auf Privacy Shield gestützt werden, also ohne dass (zusätzlich) Standardvertragsklauseln genutzt wurden. Wenn solche Datenflüsse vorhanden sind, sollten diese umgehend auf Standardvertragsklauseln oder eine ausdrückliche Einwilligung der Betroffenen umgestellt werden. Zu prüfen sind in diesem Zusammenhang insbesondere auch Standard-Tracking-, Marketing- und Kollaborationsdienste. Es muss in diesem Zusammenhang auch geprüft werden, inwieweit Anpassungen in Datenschutzhinweisen für Webseitenbesucher, Kunden, Lieferanten oder Mitarbeiter notwendig sind.

b) Prüfung von Datenflüssen die auf Standardvertragsklauseln basieren

Datentransfers in die USA oder andere Drittstaaten unter Standardvertragsklauseln sind weiterhin möglich, die Unternehmen müssen hier aber prüfen, ob im betreffenden Drittland das vom Unionsrecht verlangte Schutzniveau eingehalten wird. Wenn dies nicht der Fall ist, muss geprüft werden, ob der nach dem Unionsrecht erforderliche Schutz der übermittelten Daten nicht mit anderen Mitteln gewährleistet werden kann. Dabei muss die Prüfung immer die im konkreten Fall zu übermittelnden Daten und den konkreten Empfänger berücksichtigen. Denkbar sind hier beispielsweise der Einsatz von Verschlüsselungstechniken, bei denen der Schlüssel im Besitz des in der EU ansässigen Verantwortlichen bleibt, der Dienstleister also faktisch keine Möglichkeit der Entschlüsselung hat und daher bei Zugriff von Sicherheitsbehörden auch nur verschlüsselte Daten herausgeben könnte. Das heißt, es muss sich um eine echte Ende-zu-Ende-Verschlüsselung handeln, Transportverschlüsselungen sind nicht ausreichend. Unternehmen mit Sitz in der EU sollten in Verhandlungen mit Partnern versuchen, möglichst konkrete Informations- und Handlungspflichten für den Fall von Anfragen von Sicherheitsbehörden zu vereinbaren. Was die Reihenfolge der Prüfungen angeht, empfiehlt es sich den Verträgen Priorität einzuräumen, bei denen die Vertragspartner einschlägigen nationalen Überwachungsgesetzen unterliegen.

Bei neu abzuschließenden Verträgen muss geprüft werden, ob die Standardvertragsklauseln in unveränderter Form ausreichend sind, oder ob zusätzliche Maßnahmen getroffen werden müssen. Dabei ist zu beachten, dass der Text der Standardvertragsklauseln nicht verändert werden darf.

Die vorstehenden Erwägungen gelten auch bei Übermittlungen auf Basis von behördlich genehmigten sog. Binding Corporate Rules (BCR).

c) Datenflüsse, bei denen das Unternehmen selbst Auftragsverarbeiter ist

Wenn die Datenübermittlung in die USA im Rahmen einer Unterbeauftragung stattfindet, ist zu beachten, dass der Verantwortliche selbst und unmittelbar die Standardvertragsklauseln mit dem entsprechenden Unterauftragsverarbeiter in den USA abschließen muss. Viele Anbieter sind auf diese Anforderung bisher nicht eingestellt und es muss geprüft werden, wie diese Anforderung umgesetzt werden kann.

d) Einwilligung des Betroffenen

Ein Datentransfer in ein Drittland kann, wenn der Dienstleister keine Garantie für ein angemessenes Datenschutzniveau bietet, auch auf eine Einwilligung des Betroffenen gestützt werden. An die Einwilligung sind jedoch – nicht erst seit der BGH-Entscheidung zu Cookie Bannern – hohe Anforderungen zu stellen. So muss diese ausdrücklich erfolgen und der Verantwortliche muss über alle Risiken der Datenübermittlung informieren, also auch darüber, welches Risiko für seine Rechte und Freiheiten und welche Einschränkungen des Rechtsschutzes gegenüber der DSGVO und dem europäischen Recht bestehen. Dies muss aufgrund der Transparenz-Anforderungen sorgfältig umgesetzt werden.  

e) Nicht betroffene Datenflüsse

Datenübermittlungen auf Basis von Art. 49 DSGVO, zum Beispiel wenn diese zur Erfüllung eines Vertrages (oder Durchführung vorvertraglicher Maßnahmen) mit dem Betroffenen erforderlich sind und die weiteren Anforderungen der DSGVO erfüllt werden, bleiben zulässig. Dies umfasst zum Beispiel die Abwicklung von Aufträgen von Kunden oder Lieferanten mit Sitz in den USA, die Versendung von E-Mails in die USA oder die Buchungen bei amerikanischen Hotels. Das gleiche gilt für die Übermittlung von Mitarbeiterdaten im Konzern, soweit dies erforderlich ist und der internationale Bezug des Arbeitsverhältnisses bei Abschluss des Arbeitsvertrags bekannt war.

Für weitere Informationen und Rückfragen stehen wir gerne zur Verfügung.

Land­ge­richt Frank­furt – Re­ge­lun­gen des KUG über Art.85 DS­GVO wei­ter­hin an­wend­bar

Mit Urteil vom 26.09.2019 (Az.2-03 O 402/18) hat das LG Frankfurt a.M. über die Verbreitung eines Bildnisses entschieden, die ohne Einwilligung nach den Grundsätzen der §§ 22, 23 Kunsturhebergesetz (KUG) erfolgte. Diese seien trotz Geltung der Datenschutzgrundverordnung (DSGVO) weiterhin (direkt) anwendbar.

I. KUG über Art.85 DSGVO weiter anwendbar

Die Verbreitung des Bildes einer Person ist nur zulässig, wenn die abgebildete Person hierzu eingewilligt hat. Dieses Recht am eigenen Bild ist seit jeher durch die §§ 22, 23 KUG geregelt. Die Rechtsprechung hat sich im Jahr 2018 noch zurückhaltend gezeigt, was die Anwendung des KUG neben der DSGVO betrifft, insbesondere dann, wenn eine Prüfung nach der DSGVO zu demselben Ergebnis kommt, wie nach dem KUG.

Das OLG Köln hat mit Urteil vom 18.06.2018 – 15 W 27/18 klargestellt, dass das KUG im journalistischen Bereich weiterhin vorrangig anwendbar ist. Dies Rechtsprechung führt das OLG mit Zurückweisungsbeschluss vom 08.10.2018 – 15 U 110/18 konsequent fort. Das LG Frankfurt hat im Rahmen von Art. 6 Abs. 1 lit. f) DSGVO bisher die Grundsätze des KUG zumindest herangezogen (vgl. Urteil vom 13.09.2018 – 2-03 O 283/18), musste aber über die direkte Anwendung damals noch nicht entscheiden.

In der Folge seiner Rechtsprechung aus 2018 hat dieselbe Kammer des Landgericht Frankfurt a.M. nun mit Urteil vom 26.09.2019 – 2-03 O 402/18 entschieden, dass die Grundsätze der §§ 22, 23 KUG mit Blick auf Art. 6 Abs. 1 lit. f), 85 Abs. 2 DSGVO weiter anwendbar sind. Konkret führt das Landgericht aus:

„(…) Bei der dargestellten Abwägung hat die Kammer ferner berücksichtigt, dass seit dem 25.05.2018 die DSGVO Geltung erlangt hat. Insoweit wendet die Kammer jedoch unter Berücksichtigung von Art. 85 Abs. 2 DSGVO die §§ 22 f. KUG und die hierzu in der Rechtsprechung ergangenen Grundsätze mit Blick auf Art. 6 Abs. 1 lit. f) DSGVO an (LG Frankfurt a.M., Urt. v. 13.09.2018 – 2-03 O 283/18, ZD 2018, 2018, 587; so wohl auch OLG Köln, Urt. v. 28.03.2019 – 15 U 155/18, BeckRS 2019, 13613 Rn. 26; vgl. auch LG Frankfurt a.M., Urt. v. 27.09.2018 – 2-03 O 320/17; Sydow/Specht, DSGVO, 2. Aufl. 2018, Art. 85 Rn. 13 ff.; Lauber-Rönsberg/Hartlaub, NJW 2017, 1057, 1060). (…)“

In dieser Konsequenz wurde ein Unterlassungsanspruch wegen des Verbreitens eines Bildnisses auf die §§ 823, 1004 BGB i.V.m. §§ 22 f. KUG, Art. 85 DSGVO gestützt. Bemerkenswert daran ist, dass das Landgericht Frankfurt das KUG wohl nun auch für die Verbreitung im gewerblichen Bereich über Art. 85 DSGVO als anwendbar betrachtet.

Es handelt sich bei Art. 85 Abs.2 DSGVO um eine sog. Öffnungsklausel für den jeweiligen Gesetzgeber des Mitgliedsstaates der Europäischen Union. Diese erlaubt, dass die Mitgliedsstaaten Abweichungen oder Ausnahmen von bestimmten Kapiteln der DSGVO vorsehen können. Als solche Ausnahmeregelung gelten nach Ansicht des LG Frankfurt die §§ 22, 23 KUG.

II. Ausblick und Bedeutung

In der Fachliteratur ist die Anwendung des KUG über Art. 85 DSGVO nicht unumstritten. Dies wird nicht zuletzt damit begründet, dass das KUG bereits vor Inkrafttreten der DSGVO galt. So oder so wird man aber zumindest auf die Grundsätze des KUG abstellen können, sei es in einer direkten Anwendung des KUG oder im Wege der Prüfung nach Art. 6 Abs. 1 lit f) DSGVO.

Offen bleibt weiterhin die spannende Frage, ob hinsichtlich des Widerrufs das freiwillige Widerrufsrecht aus der DSGVO gilt oder die sich aus dem KUG ergebenden Widerrufsregeln Anwendung finden, nach denen ein Widerruf nur mit wichtigem Grund möglich ist.

Land­ge­richt Frank­furt – Re­ge­lun­gen des KUG über Art.85 DS­GVO wei­ter­hin an­wend­bar

Mit Urteil vom 26.09.2019 (Az.2-03 O 402/18) hat das LG Frankfurt a.M. über die Verbreitung eines Bildnisses entschieden, die ohne Einwilligung nach den Grundsätzen der §§ 22, 23 Kunsturhebergesetz (KUG) erfolgte. Diese seien trotz Geltung der Datenschutzgrundverordnung (DSGVO) weiterhin (direkt) anwendbar.

I. KUG über Art.85 DSGVO weiter anwendbar

Die Verbreitung des Bildes einer Person ist nur zulässig, wenn die abgebildete Person hierzu eingewilligt hat. Dieses Recht am eigenen Bild ist seit jeher durch die §§ 22, 23 KUG geregelt. Die Rechtsprechung hat sich im Jahr 2018 noch zurückhaltend gezeigt, was die Anwendung des KUG neben der DSGVO betrifft, insbesondere dann, wenn eine Prüfung nach der DSGVO zu demselben Ergebnis kommt, wie nach dem KUG.

Das OLG Köln hat mit Urteil vom 18.06.2018 – 15 W 27/18 klargestellt, dass das KUG im journalistischen Bereich weiterhin vorrangig anwendbar ist. Dies Rechtsprechung führt das OLG mit Zurückweisungsbeschluss vom 08.10.2018 – 15 U 110/18 konsequent fort. Das LG Frankfurt hat im Rahmen von Art. 6 Abs. 1 lit. f) DSGVO bisher die Grundsätze des KUG zumindest herangezogen (vgl. Urteil vom 13.09.2018 – 2-03 O 283/18), musste aber über die direkte Anwendung damals noch nicht entscheiden.

In der Folge seiner Rechtsprechung aus 2018 hat dieselbe Kammer des Landgericht Frankfurt a.M. nun mit Urteil vom 26.09.2019 – 2-03 O 402/18 entschieden, dass die Grundsätze der §§ 22, 23 KUG mit Blick auf Art. 6 Abs. 1 lit. f), 85 Abs. 2 DSGVO weiter anwendbar sind. Konkret führt das Landgericht aus:

„(…) Bei der dargestellten Abwägung hat die Kammer ferner berücksichtigt, dass seit dem 25.05.2018 die DSGVO Geltung erlangt hat. Insoweit wendet die Kammer jedoch unter Berücksichtigung von Art. 85 Abs. 2 DSGVO die §§ 22 f. KUG und die hierzu in der Rechtsprechung ergangenen Grundsätze mit Blick auf Art. 6 Abs. 1 lit. f) DSGVO an (LG Frankfurt a.M., Urt. v. 13.09.2018 – 2-03 O 283/18, ZD 2018, 2018, 587; so wohl auch OLG Köln, Urt. v. 28.03.2019 – 15 U 155/18, BeckRS 2019, 13613 Rn. 26; vgl. auch LG Frankfurt a.M., Urt. v. 27.09.2018 – 2-03 O 320/17; Sydow/Specht, DSGVO, 2. Aufl. 2018, Art. 85 Rn. 13 ff.; Lauber-Rönsberg/Hartlaub, NJW 2017, 1057, 1060). (…)“

In dieser Konsequenz wurde ein Unterlassungsanspruch wegen des Verbreitens eines Bildnisses auf die §§ 823, 1004 BGB i.V.m. §§ 22 f. KUG, Art. 85 DSGVO gestützt. Bemerkenswert daran ist, dass das Landgericht Frankfurt das KUG wohl nun auch für die Verbreitung im gewerblichen Bereich über Art. 85 DSGVO als anwendbar betrachtet.

Es handelt sich bei Art. 85 Abs.2 DSGVO um eine sog. Öffnungsklausel für den jeweiligen Gesetzgeber des Mitgliedsstaates der Europäischen Union. Diese erlaubt, dass die Mitgliedsstaaten Abweichungen oder Ausnahmen von bestimmten Kapiteln der DSGVO vorsehen können. Als solche Ausnahmeregelung gelten nach Ansicht des LG Frankfurt die §§ 22, 23 KUG.

II. Ausblick und Bedeutung

In der Fachliteratur ist die Anwendung des KUG über Art. 85 DSGVO nicht unumstritten. Dies wird nicht zuletzt damit begründet, dass das KUG bereits vor Inkrafttreten der DSGVO galt. So oder so wird man aber zumindest auf die Grundsätze des KUG abstellen können, sei es in einer direkten Anwendung des KUG oder im Wege der Prüfung nach Art. 6 Abs. 1 lit f) DSGVO.

Offen bleibt weiterhin die spannende Frage, ob hinsichtlich des Widerrufs das freiwillige Widerrufsrecht aus der DSGVO gilt oder die sich aus dem KUG ergebenden Widerrufsregeln Anwendung finden, nach denen ein Widerruf nur mit wichtigem Grund möglich ist.

Bei­trag von Rechts­an­walt Ste­phan Breck­hei­mer im Ex­per­ten­fo­rum Ar­beits­recht

Mit Beitrag vom 05.12.2018 hat Rechtsanwalt Stephan Breckheimer im Expertenforum Arbeitsrecht (#EFAR) sich damit auseinandergesetzt, welche Anforderungen seit Geltung der DS-GVO in Bezug auf Mitarbeiterfotos zu beachten sind. Er stellt die bisherige Rechtslage der neueren im Lichte des Rechts am eigenen Bild gegenüber, gibt Stellungnahmen verschiedener Datenschutzbeauftragter der Bundesländer wieder und resümiert erste Urteile im Zusammenhang mit Fotos und DS-GVO. Schließlich werden grobe Handlungsempfehlungen mitgeteilt, wie mit Mitarbeiterfotos auf betrieblichen Weihnachtsfeiern umgegangen werden sollte.

Der Beitrag ist hier abrufbar.