In unserem heutigen Blogbeitrag möchten wir zusammenfassend über datenschutzrelevante Ereignisse der letzten Monate informieren:
- Mit der Entscheidung des EuGH sind Fanpagebetreiber ebenso verantwortlich für die damit verbundene Datenverarbeitung wie die Plattformbetreiber (z.B. Facebook Ireland Ltd.).
- Mit der Entscheidung des Landgerichts Würzburg (LG Würzburg, Beschluss vom 13.9.2018, Az. 11 O 1741/18), können Verstöße gegen die DSGVO von Mitbewerbern abgemahnt werden. Bisher bestand hier erhebliche Unsicherheit, ob es sich bei der DSGVO überhaupt um eine drittschützende Norm im Sinne des § 3a UWG handelt.
- Der BGH hat nun endgültig entschieden, dass Befragungen zur Kundenzufriedenheit und Feedback-Anfragen Werbung sind.
- Derzeit verschickt die sog. "Datenschutzauskunft-Zentrale“ ein Schreiben, in dem Unternehmen aufgefordert werden, Angaben über ihren Betrieb zu machen, "um ihrer gesetzlichen Pflicht zur Umsetzung des Datenschutzes nachzukommen". Hierbei handelt es sich um eine Abo-Falle. .
- Die Aufsichtsbehörden haben klargestellt, dass Unternehmen den Messenger-Dienst ‚WhatsApp‘ derzeit nicht datenschutzkonform einsetzen können:
- vgl. auch Merkblatt der Landesbeauftragten für den Datenschutz Niedersachsen
- vgl. auch Thüringer Landesbeauftragter für Datenschutz und Informationsfreiheit: 3. Tätigkeitsbericht Datenschutz: Nicht-öffentlicher Bereich, 2016/2017, S. 375.
- Laut dem Thüringer Landesarbeitsgericht (Urteil vom 16.05.2018, Az. 6 Sa 442/17) ist die Erhebung der privaten Telefonnummer durch den Arbeitgeber ein erheblicher Eingriff in die Persönlichkeitsrechte des Mitarbeiters.
S. Kieselmann
Beraterin für Datenschutz
Dipl.sc.pol.Univ.
Wir hatten bereits am 05.03.2018 berichtet, dass Unternehmen den Messenger-Dienst WhatsApp nicht datenschutzkonform einsetzen können (siehe Blog „Einsatz von WhatsApp im Berufsalltag“). Insbesondere kann die mit dem Einsatz des Messenger-Dienstes verbundene Übermittlung aller Namen und Telefonnummern der im Telefonverzeichnis des verwendeten Smartphones gespeicherten Kontakte nicht auf ein berechtigtes Interesse gemäß Art. 6 Abs. 1 lit. f) DSGVO gestützt werden. Die Landesbeauftragte für den Datenschutz Niedersachsen führt hierzu aus: „Ein berechtigtes Interesse des Nutzers von WhatsApp für die Übermittlung der Kontaktdaten kann allenfalls in Bezug auf die bereits registrierten Nutzer des Messenger-Dienstes unterstellt werden“ (Link zum Merkblatt).
Die Landesbeauftragte stellt jedoch klar, dass eine solche Datenübermittlung „[f]ür die Funktionsfähigkeit (…) und der vollständige Datenabgleich aller im Adressbuch gespeicherten Kontaktdaten nicht zwingend“ ist. Gemäß Art. 25 Abs. 1 DSGVO muss das eingesetzte Datenverarbeitungssystem (wie eben WhatsApp) so programmiert sein, dass Anforderungen des Datenschutzes standardmäßig implementiert sind und eine datenschutzgerechte Verarbeitung personenbezogener Daten durch entsprechende Funktionen möglich ist (Privacy by Design). Insbesondere muss der Umfang der personenbezogenen Daten, die in den Datenverarbeitungssystemen verarbeitet werden, auf das zur Zweckerfüllung absolut Notwendigste beschränkt werden; dennoch stellt „WhatsApp (…) keine Möglichkeit bereit, die Übermittlung zu deaktivieren, auf einzelne Kontaktgruppen zu beschränken oder sonst die Übermittlung zu konfigurieren.“
Laut der Landesbeauftragten stellt somit der „Einsatz von WhatsApp (…) in jedem Fall einen Verstoß gegen Art. 25 Abs. 1 DS-GVO dar.“
Die Pflicht zur Einhaltung von Art. 25 Abs. 1 DSGVO trifft dabei nicht die WhatsApp Inc., sondern das Unternehmen, das diesen Messenger-Dienst einsetzt.
S. Kieselmann
Beraterin für Datenschutz
Dipl.sc.pol.Univ.
Das US-Justizministerium hat gegen den nordkoreanischen Staatsbürger Park Jin-hyok Anklage erhoben und veröffentlicht. Jin-hyok soll an mehreren sehr bekannten Cyberangriffen beteiligt gewesen sein. Unter anderem werden ihm ein Angriff gegen Sony, die Ransomware "WannaCry" und ein Angriff auf die Zentralbank Bangladeschs zur Last gelegt. Die Anklage lautet somit auf Verschwörung und elektronische Kriminalität (Wire Fraud).
Jin-hyok soll dabei im Auftrag der nordkoreanischen Regierung gearbeitet haben und Teil der Gruppe "Lazarus" sein. Dieser Gruppe werden die oben genannten Angriffe zur Last gelegt. Damit ist der angeklagte Jin-hyok möglicherweise nur ein Teil einer organisierten, im Regierungsauftrag handelnden, Gruppe. So wie es heutzutage in vielen Ländern gängige Praxis und damit ein offenes Geheimnis ist. Eine offizielle Bestätigung dieses Vorgehens hat bis dato aber noch keine Regierung verlauten lassen.
Jede dieser bekannten Attacken verursachte immense Schäden, nicht nur finanzieller Natur. Im Falle des Ransomware-Virus "WannaCry" wurden Hunderttausende Computer in über 150 Ländern lahmgelegt. Der verursachte Schaden wurde auf 4 Milliarden US-Dollar geschätzt und schon damals hat das FBI Nordkorea dafür verantwortlich gemacht. Das beispiellose Ausmaß dieser Attacke wurde sogar von der Europol anerkannt.
Gestoppt wurde „WannaCry“ von dem Briten Marcus Hutchins, der dadurch allerdings selbst verdächtigt und in Gewahrsam genommen wurde. Durch die Anklageerhebung gegen Jin-hyok sollte nun aber dieser Verdacht ausgeräumt sein.
Auch der Angriff auf das Filmstudio Sony Pictures im September 2014 wurde kurz vor einem geplanten Release einer Komödie um das nordkoreanische Staatsoberhaupt Kim Jong-un durchgeführt. Damals hatte Nordkorea gewarnt, die Veröffentlichung dieses Filmes als kriegerische Handlung anzusehen. Es wurden auch hier durch „WannaCry“ riesige Datenmengen vernichtet, vertrauliche Informationen gestohlen und veröffentlicht. Für Sony Pictures entstand gemäß eigenen Angaben ein Schaden von 35 Millionen US-Dollar.
Und auch die verwendete Malware für den Angriff auf die Zentralbank Bangladeschs im Februar 2016 weist genug technische Gemeinsamkeiten mit „WannaCry“ auf, um zu schlussfolgern, dass diese ebenfalls von der "Lazarus" Gruppe stammt. Dabei erlangten die Angreifer die Möglichkeit von der Bank aus Überweisungen zu tätigen. Es wurden 81 Millionen USD auf ihre Konten überwiesen und es hätten noch 850 weitere Millionen Dollar folgen können, wenn die Angreifer nicht einen Tippfehler beim Empfänger gemacht hätten.
Nordkorea streitet jegliche Beteiligung an allen Cyberangriffen ab, jedoch legt das FBI in der 180-seitigen Anklageschrift ihren Ermittlungsstand dar, in dem die Beteiligung der nordkoreanischen Regierung erläutert wird. Da der angeklagte Jin-hyok in Nordkorea lebt und sein Land ihn nicht ausliefern wird, wird er vermutlich nie vor einem amerikanischen Gericht landen. Dennoch setzt die USA ein Zeichen, dass sie hart gegen Cyberkriminalität vorgeht.
Wie groß die Gruppe "Lazarus" tatsächlich ist, ist unbekannt. Die Vermutung, dass Nordkorea nicht das einzige Land mit einer offensiv ausgelegten Hackergruppe ist, liegt nahe. Dass damit jedoch auch weit weniger aufmerksamkeitserregende Angriffe durchgeführt werden können, besser gesagt gemacht werden konnten, ist durchaus realistisch.
Christian Stehle
IT Security Consultant
„Ist das Werbung oder können wir das auch ohne Einwilligung per E-Mail verschicken?“ Diese Frage hören wir in unserem Beratungsalltag sehr häufig. Viele Unternehmen haben ein Interesse daran, ihre Informationen schnell und kostengünstig an die Empfänger zu verteilen, nur ist der Grad zwischen „Werbung“ und „notwendige Kundeninformation“ oftmals ein sehr schmaler.
In seinem jüngst veröffentlichten Urteil VI ZR 225/17-LG Braunschweig stellt der BGH fest, dass hier ggfs. sogar eine Zweiteilung des Inhalts angemessen und richtig sein kann. In dem zu entscheidenden Fall versandt das Unternehmen zusammen mit der Rechnung für das gekaufte Produkt einen Link zu seiner Zufriedenheitsumfrage ohne zuvor die nach § 7 Abs. 2 Nr. 3 UWG notwendige Einwilligung des Rechnungsempfängers eingeholt zu haben. Zu Unrecht, wie der BGH entschied.
Während die Zusendung der Rechnung im Rahmen der Abwicklung des Kaufvertrags ohne weiters auf Art. 6 Abs. 1 lit. b) DSGVO gestützt werden konnte, handelt es sich laut BGH bei dem Link zur Zufriedenheitsumfrage um eine werbliche Ansprache, für die gem. Art. 13 Abs. 1 der Datenschutzrichtlinie EK eine Einwilligung nach Art. 6 Abs. 1 lit. a) DSGVO erforderlich ist, die jedoch nicht vorlag.
Klargestellt hat der BGH damit, dass jeder Teilinhalt einer E-Mail gesondert auf deren Charakter zu überprüfen ist und für jeden Teil daher auch gesondert die entsprechenden Rechtsgrundlagen vorhanden sein müssen. Anderenfalls haben die betroffenen Personen ggfs. einen Unterlassungsanspruch gegenüber dem Unternehmen.
Können sich nun alle Unternehmen, die keine Kundenzufriedenheitsanfragen durchführen, entspannt zurücklehnen? Keineswegs!
Zahlreiche Unternehmen nutzen sogenannte E-Mail-Abbinder, in denen sie auf aktuelle Veranstaltungen, einen Messestand, einen gewonnenen Unternehmenspreis etc. hinweisen. All dies sind Instrumente, um sich bei dem Kunden in Erinnerung zu bringen, was der Kundenbindung dient und eine Weiterempfehlung ermöglicht. Laut BGH sollen damit auch weiteren Geschäftsabschlüssen der Weg geebnet und hierfür geworben werden. Daher bedarf es für den Versand dieser Inhalte per E-Mail einer entsprechenden Einwilligung des Empfängers.
Es ist daher aus unserer Sicht dringend dazu zu raten Ihre E-Mail-Abbinder auf deren werblichen Charakter zu untersuchen und auf den Prüfstand zu stellen, unter anderem auch, da hier aufgrund des neuen BGH-Urteils eine Abmahnwelle zu befürchten ist.
C. Lürmann
Rechtsanwältin
Consultant Datenschutz
Groß war die Aufregung, als der EuGH entschied, dass die Betreiber der Facebook-Fanpages mit verantwortlich für ihre Seiten sind (vgl. Blog-Eintrag "Müssen wir Facebook jetzt sofort abschalten?"). Nun hat Facebook reagiert: Neue Nutzungsbedingungen für das Produkt „Insights“ wurden am gestrigen Tag veröffentlicht, in denen dem Betreiber der Seiten nicht nur die Verantwortung für die Seite übertragen wurde, sondern auch neue Pflichten festgelegt wurden:
Demnach übernimmt der Betreiber die rechtliche Verpflichtung,
- für die Rechtsgrundlage zur Verarbeitung der personenbezogenen Daten, die im Rahmen von Insight erhoben werden, zu sorgen,
- einen Verantwortlichen für die Datenverarbeitung zu benennen
sowie
- „jedwede sonstige rechtliche Pflichten zu erfüllen“.
Ein Recht, die durch Facebook verarbeiteten Daten auch zu erhalten, besteht indes im Umkehrschluss nicht.
Vielmehr sind Insights-Nutzer nun rechtlich verpflichtet, entsprechende Anfragen innerhalb von 7 Tagen an Facebook weiterzuleiten, wo diese in eigenem Ermessen durch Facebook beantwortet werden. Mehr noch, es ist den Mitverantwortlichen ausdrücklich untersagt, selbst zu antworten und eine Verpflichtung, von Facebook, den Mitverantwortlichen über den Stand einer laufenden Anfrage zu informieren, lässt sich den neuen Nutzungsbedingungen ebenfalls nicht entnehmen.
Die Tatsache, dass sich der Betreiber der Seite unwiderruflich dem irischen Recht und der irischen Gerichtsbarkeit unterwirft, soll ebenfalls nicht unerwähnt bleiben.
Am Ende der neuen Nutzungsbedingungen wird noch darauf hingewiesen, dass die Nutzungsbedingungen durch Facebook jederzeit geändert werden können, diesbezüglich ist der Betreiber der Seite verpflichtet, die Nutzungsbedingungen regelmäßig zu überprüfen.
Als erstes Fazit zu den neuen Nutzungsbedingungen lässt sich damit sagen:
Die Seitenbetreiber sind „auf dem Papier“ nun mitverantwortlich für die Verarbeitung der personenbezogenen Daten, haben aber weder Zugriff darauf, noch wissen sie, was mit den Daten passiert. Allerdings haben sie für die Rechtsgrundlage zur Verarbeitung zu sorgen. Wie dies geschehen soll, bleibt indes unklar. Ohne zu wissen, welche Daten zu welchem Zweck verarbeitet werden ist eine Information der betroffenen Personen jedenfalls nicht möglich, so dass eine informierte Einwilligung gem. Art. 6 Abs. 1 lit a) DSGVO durch diese jedenfalls ausscheidet und auch die Informationen nach Art. 13 DSGVO durch den Verantwortlichen können nicht bereitgestellt werden. Dieses Wissen bleiben Facebook überlassen. Der Verantwortliche muss Facebook andererseits über sämtliche Anfragen informieren und gibt dann das Verfahren komplett aus der Hand.
Da klingt der letzte Absatz der Nutzungsbedingungen wie ein Hohn, in dem es heißt:
„personenbezogene Daten“, „betroffene Person“ und „Verantwortlicher“ haben in dieser Seiten-Insights-Ergänzung die ihnen in der DSGVO zugewiesenen Bedeutungen.“
Art. 4 Nr. 7 DSGVO definiert nämlich den Verantwortlichen als denjenigen, der über die Zwecke und Mittel der Verarbeitung entscheidet. Eine Widerspiegelung dieser Definition in den neuen Nutzungsbedingungen ist auch mit viel gutem Willen leider nicht erkennbar.
Die Einhaltung der Verpflichtungen aus der neuen Nutzungserklärung sind durch den Betreiber der Seiten ohne weitere Informationen durch Facebook nicht einzuhalten. Wir können die Nutzung des Tools daher aus datenschutzrechtlicher Sicht nicht empfehlen.
C. Lürmann
Rechtsanwältin
Consultant Datenschutz
„Ransomware“ sollte auch durch die mediale Verbreitung niemandem mehr ein Fremdwort sein. Kurz erklärt ist Ransomware ein Schadprogramm, das eine kritische Lücke im System ausnutzt, um bspw. alle greifbaren Daten (lokal auf dem Rechner, aber auch auf Netzwerkfreigaben) zu verschlüsseln, die dann - laut Angreifer - nur gegen Bezahlung (vorwiegend in Bitcoins) wieder entschlüsselt werden. Dass Ransomware also keine leichtzunehmende Bedrohung ist, hat sich spätestens seit WannaCry & Co. gezeigt. Allein davon waren weltweit über 300.000 Geräte infiziert und der Schaden wird auf ca. 4 Milliarden US-Dollar geschätzt. Bei solch einem immensen Schaden blieben selbst deutsche Unternehmen nicht verschont. So war u.a. die Deutsche Bahn von der Ransomware betroffen. Damit wäre nun auch im globalen Maße bewiesen, dass ein Zusammenbrechen von realer Infrastruktur durch Software nicht mehr nur die Fantasie eines Hollywood-Films ist.
Ein weiteres erschreckendes Beispiel ist, dass eine Variante namens "SamSam", u.a. die komplette IT eines ganzen Krankenhauses in den USA lahm legte. Hier forderten die Angreifer 4 Bitcoins (zu dem damaligen Zeitpunkt umgerechnet ca. 55.000 US-Dollar). Das Krankenhaus war anfangs gegen eine Bezahlung und musste daher auf Papier und Stift umsteigen, entschied sich aber nach zwei Tagen das Lösegeld zu bezahlen. In diesem Fall kam der Erpresser seinem Versprechen nach und entschlüsselte die Dateien.
Doch ist dies immer der Fall? Leider nein!
Des Öfteren werden die Daten so verschlüsselt, dass ein Entschlüsseln nicht mehr möglich ist und auch gar nicht erst von den Angreifern eingeplant wird. Unzählige Opfer verfügen darüber nicht genügend Kenntnisse und wissen sich oft nicht anders zu helfen und greifen somit zur Geldbörse. Wie der "Telstra Security Report" zeigt, konnten in ca. 80 % der Vorfälle die Daten entschlüsselt werden.
Der Report enthält aber auch das erschreckende Ergebnis einer Umfrage, dass vier von fünf Ransomware-Opfer bei einer erneuten erfolgreichen Attacke den Erpresserbetrag wieder bezahlen würden, sofern keine Backups vorhanden sind. Das Signalwort hierbei ist "erneut". Bedeutet dies nun, dass diejenigen, die bereits einmal Opfer einer Ransomware-Attacke wurden, sich kaum bis keine Gedanken über die Sicherheit ihrer Daten machen und wie die Daten gegen Angriffe von außen besser geschützt werden können?!? Unserer Erfahrung nach leider ja!
Ob nun von Hand oder mittels Software, tägliche Backups von kritischen Daten sollten heutzutage zum Standard gehören. Dabei ist es wichtig mit Blick auf Ransomware, dass mindestens ein Backup-Medium offline ist, d.h. abgekoppelt von allen Verbindungen, z.B. eine externe und manuell abschaltbare Festplatte.
Neben dem Backup der Daten, empfiehlt es sich auch jegliche eingesetzte Software auf dem neuesten Stand zu halten, um sich gegen Ransomware zu schützen. Auch sollte das Bewusstsein der Mitarbeiter oder von Freunden und Verwandten geschult werden und lieber zweimal überlegt werden, bevor man Links oder Anhänge in E-Mails anklickt oder öffnet. Dadurch wird das Risiko eines erfolgreichen Ransomware-Angriffs deutlich verringert. Der damit einhergehende Imageverlust bei Unternehmen fällt weg und es spart eine Menge Geld (und Nerven).
Bitte bedenken Sie auch, dass jede Lösegeldzahlung das Geschäftsmodell Ransomware weiter fördert.
Christian Stehle Junior IT Security Consultant und
Christopher Schöndube Senior IT Security Consultant
Auch interne Datenschutzbeauftragte müssen den Verantwortlichen in datenschutzrechtlicher Sicht beraten, prüfen und überwachen. Diese Aufgaben können sie nur wahrnehmen, wenn sie zum einen die gesetzlich vorgeschriebene Fachkunde haben, und zum anderen muss sichergestellt werden, dass sie sich nicht selbst überprüfen müssen.
Ein interner Datenschutzbeauftragter, der ein Mitarbeiter des Unternehmens ist, darf nicht auch in anderen datenschutzrelevanten Fachbereichen für das Unternehmen tätig sein. Aufsichtsbehörden haben bereits die Bestellung eines IT-Leiters zum Datenschutzbeauftragten gerügt. Dasselbe dürfte auch für Compliance-Beauftragte und Leiter der Rechtsabteilung gelten. Es sollte aufgrund der erhöhten Bußgelder, die auf Basis der Datenschutzgrundverordnung fällig werden können, geprüft werden, ob der intern bestellte Datenschutzbeauftragte seine datenschutzrechtlichen Aufgaben auch wirksam erledigen kann und darf.
Dr. Bettina Kraft
Teamleitung und Senior Consultant für Datenschutz
Volljuristin
Herr Penibel kauft drei Schalen mit Erdbeeren aus dem Supermarkt, die angeblich alle 500 g. Erdbeeren enthalten sollen. Zu Hause wiegt er die Schalen nach. Siehe da: Eine Schale wiegt 480 g., die zweite 475 g. und die dritte gar nur 460 g. Herr Penibel ist sauer und möchte gegen den Supermarkt vorgehen. Er fühlt sich getäuscht und in die Irre geführt. Er lässt den Supermarkt abmahnen, verlangt von ihm neben der Erstattung der Anwaltsgebühren auch noch eine Verpflichtung, für jeden künftigen Fall der Zuwiderhandlung eine Vertragsstrafe von 5000 Euro an ihn zu zahlen.
Szenenwechsel:
Herr Abmahnus betreibt ein kleines Lohnbüro und hat eine eigene Homepage. Er findet auf den Webseiten der Konkurrenz Datenschutzerklärungen, die den Vorgaben der DSGVO nicht entsprechen. Er vermutet, dass dadurch seine Kunden getäuscht und in die Irre geführt werden und seine eigenen Geschäfte daher schlecht laufen. Er lässt den Wettbewerber abmahnen, verlangt von ihm neben der Erstattung der Anwaltsgebühren auch noch eine Verpflichtung, für jeden künftigen Fall der Zuwiderhandlung eine Vertragsstrafe von 5000 Euro an ihn zu zahlen.
Die beiden geschilderten Szenen sind nicht vergleichbar? Doch!
Bereits in unserem Blog-Artikel vom Mai haben wir darauf hingewiesen, dass wir bezweifeln, dass es sich bei den Vorschriften der DSGVO um Normen mit wettbewerbsrechtlichem Charakter gem. § 3a UWG (Gesetz gegen den Unlauteren Wettbewerb) handelt.
Prof. Dr. Köhler hat nun in seinem Aufsatz der neuen Zeitschrift für Datenschutz (ZD 2018, 337f.) ausführlich dargelegt, dass seines Erachtens ein solcher Zusammenhang nicht besteht. Er weist zum einen darauf hin, dass § 3a UWG dann nicht anzuwenden sei, wenn für einen Sachverhalt eine abschließende Regelung getroffen wurde. Eine solche abschließende Regelung im Rahmen der DSGVO sei durch die Art. 77 ff. DSGVO geschaffen worden. Die in Art. 80 Abs. 2 DSGVO aufgezählten Institutionen seien abschließend durch den Gesetzgeber berechtigt worden, eine Beschwerde einzulegen, wenn die Rechte einer betroffenen Person infolge einer Datenverarbeitung nach DSGVO verletzt worden seien. Weitere Berechtigte – also konkret: „Mitbewerber“ – seien nicht vorgesehen und diese seien auch nicht durch Auslegung oder Analogien zu der Vorschrift mit umfasst.
Zum anderen stellt Prof. Dr. Köhler heraus, dass die Schutzzweckbestimmungen der beiden Vorschriften deutlich voneinander abweichen. Während das UWG die Marktteilnehmer vor unlauteren geschäftlichen Praktiken schützen soll (vergl. § 1 UWG) ist der Schutzzweck der DSGVO die Wahrung Grundrechte und Grundfreiheiten der natürlichen Personen, insbesondere das Recht auf informationelle Selbstbestimmung (vergl. Art. 1 DSGVO). Damit schützt die DSGVO die Individualrechte der Einzelnen und wird hierbei durch die Aufsichtsbehörden unterstützt, während der Wettbewerber in der Regel zur Durchsetzung seiner Ansprüche auf private Initiative angewiesen ist. Demnach gehen sowohl Herr Penibel als auch Herr Abmahnus aus unseren obigen Beispielen leer aus. Herr Penibel kann seinen Anspruch nicht auf die Vorschriften des Wettbewerbsrechts stützen, da er kein Wettbewerber ist. Herr Abmahnus kann sich nicht auf die Vorschriften der DSGVO stützen, da diese keine wettbewerbsrechtliche Wirkung entfalten. Selbstverständlich bleibt es Herrn Abmahnus unbenommen, bei der Aufsichtsbehörde Beschwerde einzulegen, etwa weil seine personenbezogenen Daten nicht korrekt verarbeitet wurden. Die Erstattung von Abmahngebühren und eine Vertragsstrafe erhält er jedoch nicht.
Eben so wenig wie einzelne Verbraucher sich also bei Wettbewerbsverstößen auf § 3a UWG berufen können, können Dritte als Wettbewerber bei Datenschutzverletzungen gegenüber Betroffenen die fehlende Umsetzung der DSGVO abmahnen.
Konsequenterweise empfiehlt Prof. Dr. Köhler den deutschen Gerichten, in Fällen von Abmahnungen der Webseiten durch Wettbewerber bei der Prüfung der Zulässigkeit, nämlich der Klagebefugnis, den Klägern eine Absage zu erteilen und die Klage bereits aus diesem Grund abzuweisen.
Wir hoffen sehr, dass die Gerichte dieser Aufforderung nachkommen werden.
C. Lürmann
Rechtsanwältin
Consultant Datenschutz
Mit Beschluss vom 18.06.2018 hat das Oberlandesgericht (OLG) Köln eine viel diskutierte Frage zur Anwendung des KUG nach Inkrafttreten der DSGVO beantwortet. Danach gilt das KUG weiterhin als Rechtsgrundlage für die Bildberichterstattung, ohne eine Einwilligung der fotografierten und gezeigten Personen. Dies bestätigte auch die bayerische Aufsichtsbehörde für Datenschutz. § 23 KUG erlaubt die Veröffentlichung von Personenfotos ohne Einwilligung der betroffenen Personen, zum Beispiel bei Versammlungen an der die Personen teilgenommen haben.
Der Entscheidung lag der Antrag auf Erlass einer einstweiligen Verfügung zugrunde. Mit dem Antrag sollte die Veröffentlichung eines Fotos in einem Fernsehbeitrag verhindert werden. Das Foto zeigte den Antragsteller im Zusammenhang mit der Räumung eines Gebäudes. Der Antrag wurde zurückgewiesen, die nachfolgende sofortige Beschwerde blieb ebenfalls erfolglos. Die umfangreichen Abwägungsmöglichkeiten des KUG ermöglichen, so dass OLG Köln, die Berücksichtigung der Grundrechtspositionen nach Unionsrecht. Das KUG bildet jedoch nicht die rechtliche Grundlage für die Erfassung der Daten, also das Fotografieren und es befreit nicht von den Informationspflichten. Die Information liegt im Beschäftigtenverhältnis in der Regel vor. Bei fremden Personen kann sie entbehrlich sein, wenn die Personen auf der Veranstaltung damit rechnen müssen, dass Fotos gemacht werden. Als Rechtsgrundlage für die Erhebung wird Art. 6 Abs. 1 lit f) DSGVO heranzuziehen sein. Dem berechtigten Interesse der (professionellen) Fotografen, ihren künstlerischen Beruf auszuüben, steht kein schutzwürdiges Interesse der Betroffenen gegenüber. Wie so oft, ist jedoch immer der Einzelfall zu betrachten und die beidseitigen Interessen sind sorgfältig abzuwägen.
Die Entscheidung bedeutet auch eine Erleichterung für die Veröffentlichung von Fotos von Firmenevents wie Hausmessen, Messen, Fortbildungen, Sommerfesten, etc. im Intranet, Internet oder in einer Betriebszeitung.
Michaela Dötsch
Rechtsanwältin
Jahrelang hat Herr S. die Facebook-Seite seines Arbeitgebers betreut. Er hat sie registriert, aufgebaut und gepflegt, mit Inhalten versorgt. Herr S. stellt sich neuen Herausforderungen und verlässt das Unternehmen, jetzt will der Arbeitgeber den Zugang zu dem Account und Zugriff auf sämtliche Inhalte – doch das Unternehmen geht leer aus.
Warum?
Das Arbeitsgericht in Brandenburg (AG Brandenburg, Urteil vom 31.1.2018 – 31 C 212/17) musste einen derartigen Fall entscheiden. Ausschlaggebend für die Entscheidung waren verschiedene Indizien, die wir hier kurz für Sie zusammengestellt haben:
- Impressum: Wer ist im Impressum der Fanpage genannt?
- Registrierte E-Mail-Adresse: Handelt es sich um eine dienstliche oder private Adresse?
- Nutzung: Sind auch private Inhalte des Administrators auf der Fanpage enthalten?
- Name: Sind ggfs. Markenrechtlich geschützte Inhalte auf der Fanpage und wem gehören die Markenrechte?
Zurück zum Fall:
Zwar war im Impressum der Fanpage das Unternehmen aufgeführt, aber bei der registrierten E-Mail-Adresse handelte es sich um die Privatadresse von Herrn S. Dieser hatte auch private Inhalte auf der Fanpage gepostet und zu allem Überfluss auch noch den verwendeten Markennamen auf seinen eigenen Namen schützen lassen. Und damit hat das Unternehmen vor Gericht verloren.
Hinsichtlich des Datenschutzes wies das Gericht im Übrigen explizit darauf hin, dass bei sogenannten „Misch-Accounts“, also Benutzerkonten die sowohl privat als auch beruflich genutzt werden, aufgrund des Fernmeldegeheimnisses (§ 88 TKG) die Inhalte durch den Betreiber solange zurückbehalten werden müssen, bis alle Kommunikationspartner der Offenlegung zugestimmt haben.
Damit Ihnen nicht ähnliches passiert, sollten Sie darauf achten, dass Ihre Präsenz in den Sozialen Netzwerken eindeutig als Unternehmenspräsenz geführt wird. Die Fanpage sollte auf das Unternehmen registriert sein und die Zugangsdaten im Unternehmen gespeichert. Wenn Sie private Inhalte seitens des Administrators auf der Fanpage zulassen, könnte es sich rechtlich um ein Misch-Account handeln, zu dem Sie keinen (unbeschränkten) Zugang mehr haben.
Aus diesem Grund raten wir generell dazu, sämtliche durch das Unternehmen zur Verfügung gestellte Hard- und Software ausschließlich zur betrieblichen Nutzung frei zu geben und dies auch von Zeit zu Zeit zu überprüfen und die Mitarbeiter auf Verstöße hinzuweisen und ggfs. sogar abzumahnen. Nur so ist ein Zugriff auf sämtliche Unternehmenskommunikation durch das Unternehmen selbst zu gewährleisten.
C. Lürmann
Rechtsanwältin
Consultant Datenschutz