DSGVO - Was bisher geschah

Nach einer kleinen Pause präsentieren wir Ihnen wieder unseren ITC Newsletter. Grund für die Pause waren in erster Linie die vielen Mandate zur Datenschutzgrundverordnung (DGSVO). Wir alle haben die Einführung der DSGVO am 25. Mai 2018 überlebt und die Erde hörte nicht auf, sich zu drehen (erinnert sich noch jemand an das Y2K-Problem?). Dennoch hat sich einiges geändert, der Datenschutz wird auf allen Ebenen ernst genommen. Daher wollen wir unseren ersten Newsletter 2019 nutzen, Sie über verschiedene Entwicklungen zur DSGVO zu informieren.

 

1. Die ersten Bußgelder

Die ersten Bußgelder unter dem drastisch erhöhten Bußgeldrahmen wurden verhängt. Hohe Bußgelder wurden aus anderen Ländern berichtet, etwa die Strafe von EUR 50 Millionen gegen Google in Frankreich v.a. wegen fehlender Transparenz bzgl. der Verwendung und Speicherdauer der von Google erhobenen Nutzerdaten (wogegen Google sich wehren wird) oder EUR 400.000 gegen ein portugiesisches Krankenhaus, welches die Zugangsrechte zu seinem Informationssystem nicht wie erforderlich beschränkt hatte.

In Deutschland hat der Landesbeauftragte für Datenschutz in Baden-Württemberg EUR 80.000 Geldbuße verhängt, weil Gesundheitsdaten öffentlich abrufbar waren und EUR 20.000 im Fall einer Datenpanne bei der Plattform „knuddels“. Der Betreiber der Social-Media-Plattform war im Juli 2018 Opfer eines Hackerangriffs geworden, bei dem Daten von insgesamt 330.000 Nutzern bestehend aus Pseudonymen, Passwörtern und E-Mail-Adressen erbeutet und im September 2018 veröffentlicht wurden. Nach einer Umfrage des Handelsblatts unter den Datenschutzbehörden ergingen bundesweit bereits 41 Bußgeldbescheide nach dem neuen Regime der DSGVO und bei den Behörden laufen noch zahlreiche weitere Verfahren.

zurück

 

2. Was macht der Gesetzgeber?

In Deutschland ist gleichzeitig mit der DSGVO die neue Fassung des Bundesdatenschutzgesetzes (BDSG) in Kraft getreten. Für Unternehmen finden von den insgesamt 85 Vorschriften aber nur wenige Anwendung (etwa die Bestimmungen der §§ 45 ff. BDSG gelten nur für Ermittlungsbehörden).

Damit ist die nationale Anpassungsarbeit jedoch noch nicht vollendet. Im Bundestag wird derzeit das zweite Datenschutzanpassungsgesetz beraten. Auf ca. 500 (!) Seiten sollen eine Vielzahl von Spezialgesetzen an die DSGVO angepasst werden. Auch das neue BDSG soll schon wieder geändert werden: So soll z.B. die Schwelle zur verpflichtenden Benennung eines betrieblichen Datenschutzbeauftragten auf fünfzig Mitarbeiter heraufgesetzt werden und Datenschutzverstöße sollen nicht als Wettbewerbsverstöße abmahnfähig sein (zur derzeitigen Praxis vgl. 6). Der genaue Zeitplan für die Verabschiedung dieses Gesetzes ist im Moment nicht bekannt.

zurück

 

3. Was haben die Gerichte geurteilt?

Der EuGH wird demnächst auf Vorlage des OLG Düsseldorf über die Integration eines „Social-Plugins“ (Like-Button von Facebook) auf der eigenen Website entscheiden. Nach Ansicht des EuGH-Generalanwalts ist der Websitebetreiber für die Datenübertragung an Dritte (mit)verantwortlich, wenn der Dritte bereits allein durch das Aufrufen der Website durch den Nutzer die entsprechenden Daten erhält, ohne dass dieser das Plugin (hier: den Like-Button) anklickt. Hierfür soll der Betreiber der Homepage vorab eine Einwilligung des Nutzers einholen müssen sowie über die Datenübermittlung informieren.

Das OLG Frankfurt (Main) hat entschieden, dass das Recht auf Löschung in Art. 17 DSGVO bei einer unzulässigen Datenverarbeitung auch einen Unterlassungsanspruch umfasst. Demnach kann die betroffene Person die Unterlassung der Anzeige von Suchergebnissen in einer Suchmaschine verlangen. Die Revision liegt derzeit beim Bundesgerichtshof.

Zum Verhältnis zwischen dem Kunsturhebergesetz (KUG) und DSGVO bei der Aufnahme und Veröffentlichung von Foto- und Videoaufnahmen bei Veranstaltungen haben das OLG Köln und das LG Frankfurt a.M. entschieden, dass die Regelungen des KUG bei Vorliegen von journalistischen, wissenschaftlichen, künstlerischen und literarischen Zwecken neben der DSGVO grundsätzlich Anwendung finden. Ob dies in Bezug auf andere Zwecke ebenfalls gilt, haben die Gerichte offengelassen. Demzufolge ist nicht abschließend geklärt, ob Foto- und Filmaufnahmen nur nach der DSGVO oder zusätzlich auch nach dem KUG zulässig sein müssen.

zurück

 

4. Was machen die Behörden?

Laut dem Bundesbeauftragten für Datenschutz und Informationsfreiheit (BfDI) sind bei den deutschen Aufsichtsbehörden seit Inkrafttreten der DSGVO ca. 27.000 Beschwerden und mehr als 12.000 gemeldete Datenschutzverletzungen eingegangen. Sowohl Bundes- als auch Landesbehörden bieten Online-Formulare für die Aufnahme von Beschwerden und Meldungen von Datenschutzverstößen für Betroffene und Verantwortliche an. Aus der Arbeit für unsere Mandanten können wir bestätigen, dass die Zahl der Anfragen und Ersuchen der Aufsichtsbehörden ganz erheblich angestiegen ist.

Daneben starteten die Behörden anlassunabhängige Untersuchungen. In Niedersachen wurden 50 Unternehmen nach ihrem Umsetzungsstand befragt. Auch das BayLDA hat seine Prüfaktivitäten wieder verstärkt aufgenommen und Datenschutzkontrollen angestoßen. Dabei sollen insbesondere der sichere Betrieb von Online-Shops, der Schutz vor Verschlüsselungstrojanern in Arztpraxen, die Erfüllung der Rechenschaftspflicht bei Großkonzernen und mittelständischen Unternehmen sowie die Umsetzung der Informationspflichten in Bewerbungsverfahren überprüft werden.

Übrigens läuft die Datenverarbeitung auch bei den Aufsichtsbehörden nicht immer rund: In Niedersachsen wurden wegen technischer Probleme die Meldungen von Datenschutzverstößen nicht verarbeitet und sollen neu eingereicht werden.

zurück

 

5. Welche Richtlinien und Orientierungshilfen gibt es?

Die Aufsichtsbehörden veröffentlichten schon zahlreiche Orientierungshilfen zur Umsetzung der DSGVO. Der neu eingerichtete europäische Datenschutzausschuss als Organ der europäischen Aufsichtsbehörden hat bereits einige Leitlinien erstellt oder übernommen, z. B. zu den Themen Einwilligung, Datenschutzbeauftragter und Transparenz.

Auf nationaler Ebene veröffentlicht die deutsche Datenschutzkonferenz regelmäßig Kurzpapiere zu datenschutzrechtlichen Kernthemen. Diese dienen als Auslegungshilfe und zur ersten Orientierung hinsichtlich Themen wie Datenübermittlung in Drittländer, Auftragsverarbeitung und Beschäftigtendatenschutz. Für Unternehmen, die personenbezogene Daten zu Werbezwecken nutzen, könnte insbesondere die Orientierungshilfe der Aufsichtsbehörden zum Thema „Direktwerbung“ hilfreich sein.

Auch die Landesbehörden geben auf ihren Webseiten zahlreiche Anleitungen. So bietet etwa das BayLDA Orientierungshilfen zu aktuellen datenschutzrelevanten Themen sowie Übersichten mit Mustern (z.B. Verarbeitungsverzeichnisse) für kleine Unternehmen an.

Schließlich stellen einige Aufsichtsbehörden Online-Tests zum Umsetzungsstand zur Verfügung, so etwa das BayLDA oder Niedersachsen.

zurück

 

6. Was wurde aus der Abmahn-Welle?

Die befürchtete Welle von massenhaften Abmahnungen wegen Verstößen gegen die DSGVO ist bisher ausgeblieben. Berichtet wird etwa von Abmahnungen wegen fehlender Verschlüsselung des Kontaktformulars auf einer Homepage, wegen fehlender Datenschutzerklärungen auf Webseiten, wegen der Einbindung von Google Fonts und wegen fehlerhafter Einbindung von Google Analytics.

Ungeklärt ist in der Rechtsprechung aber bisher, ob Verstöße gegen die DSGVO überhaupt zu Abmahnungen führen können. Das Landgericht Würzburg hat einen wettbewerbsrechtlichen Unterlassungsanspruch eines Mitbewerbers wegen Verstoßes gegen die DSGVO als zulässig erklärt. Das Landgericht Bochum hat dies bei Wettbewerbern abgelehnt, da die DSGVO speziellere Regelungen zur Ahndung von Verstößen enthalte, hat Abmahnungen von Abmahnverbänden aber zugelassen. Das Landgericht Wiesbaden teilt diese Ansicht. Das Oberlandesgericht Hamburg hält im ersten obergerichtlichen Urteil eine Abmahnung von Verstößen gegen die DSGVO durch Wettbewerber grundsätzlich für zulässig, falls es sich bei der Pflicht, gegen die verstoßen wurde, um sog. „Marktverhaltenspflichten“ handelt. Dies muss im konkreten Einzelfall mit Blick auf die konkrete Verarbeitungs- bzw. Nutzungssituation bestimmt werden.

Somit besteht derzeit bis zu einer höchstrichterlichen Entscheidung durch den Bundesgerichtshof oder einer Klärung durch den Gesetzgeber Unklarheit über die Zulässigkeit von Abmahnungen und Sie sollten sich unverzüglich verteidigen, sollten Sie mit einer Abmahnung konfrontiert werden.

zurück

 

7. Was machen die betroffenen Personen?

Wir beobachten bei unseren Mandanten eine starke Zunahme von Anfragen der betroffenen Personen bei Unternehmen, um die Rechte der Art. 12 ff. DSGVO geltend zu machen. Die Umsetzung bereitet den Unternehmen z.T. erhebliche Mühe, vor allem das Recht auf Erhalt einer Kopie (Art. 15 (3) DSGVO) bzw. auf Datenübertragung (Art. 20 DSGVO).

In einigen Fällen versuchen betroffene Personen, diese datenschutzrechtlichen Rechte für andere Zwecke, meistens einen kommerziellen Streit mit dem Unternehmen einzusetzen. Uns begegneten auch schon Fälle eines „DSGVO-Albtraum-Briefs“, in dem alle möglichen Ansprüche einzeln aufgelistet und eingefordert werden (unabhängig davon, ob die betroffene Person die Antwort wirklich benötigt).

zurück

 

8. Wechselhaftes zu Übermittlungen in Drittstaaten

Angesichts eines nach wie vor möglichen ungeregelten Brexits („No-Deal-Brexit“), droht Großbritannien zum 30. März 2019 ein Drittstaat im Sinne der Art. 44 ff. DSGVO zu werden. Alle Unternehmen, die Daten nach Großbritannien übermitteln (es reichen Zugriffe durch Unternehmen) müssen dann ab diesem Zeitpunkt andere Regeln als die EU-Standardvertragsklauseln in Kraft haben. Dabei unterstützen wir Sie gerne mit einem „Notfallplan“.

Gute Nachrichten gibt es dennoch für Datenübermittlungen: Im Zuge des Handelsabkommens mit der EU wird Japan seit dem 23. Januar 2018 von der EU-Kommission als sicheres Drittland für den Transfer von personenbezogenen Daten anerkannt. Etwaige Vereinbarungen von EU-Standardverträgen mit japanischen Unternehmen sind daher nicht länger erforderlich. Dies entbindet natürlich nicht davon, die Zulässigkeit der Datenübermittlungen nach wie vor zu prüfen und nachweisen zu können.

Zurück zur Übersicht

Patrick Schwarze

Patrick Schwarze

Junior PartnerRechtsanwalt

Konrad-Adenauer-Ufer 23
50668 Köln
T +49 221 2091 406
M +49 1520 2642 548

E-Mail

LinkedIn

Dr. Jürgen Hartung

Dr. Jürgen Hartung

PartnerRechtsanwalt

Konrad-Adenauer-Ufer 23
50668 Köln
T +49 221 2091 643
M +49 172 6925 754

E-Mail

LinkedIn

Mareike Heesing<br/>LL.M. (Köln/Paris I)

Mareike Heesing
LL.M. (Köln/Paris I)

Junior PartnerinRechtsanwältin

Konrad-Adenauer-Ufer 23
50668 Köln
T +49 221 2091 320
M +49 172 5798 005

E-Mail

LinkedIn

Dr. Marc Hilber<br/>LL.M. (Illinois)

Dr. Marc Hilber
LL.M. (Illinois)

PartnerRechtsanwalt

Konrad-Adenauer-Ufer 23
50668 Köln
T +49 221 2091 612
M +49 172 3808 396

E-Mail

LinkedIn

Dr. Hanna Schmidt

Dr. Hanna Schmidt

Junior PartnerinRechtsanwältin

Konrad-Adenauer-Ufer 23
50668 Köln
T +49 221 2091 613
M +49 172 1475 126

E-Mail