IT-Recht und Datenschutzrecht

Erstmals hat ein Oberlandesgericht die Abmahnfähigkeit von DS-GVO-Verstößen bejaht und die Datenverarbeitung ohne vorliegende Einwilligung gem. Art. 9 DS-GVO als wettbewerbsrechtliche Marktverhaltensregel eingestuft. (Oberlandesgericht Naumburg 07.11.2019, AZ: 9 U 6/19)

Mit dieser Entscheidung wird der Weg für Abmahnungen nach § 9 UWG geöffnet. Ob nun eine Abmahnwelle zu rollen beginnt, ist noch offen. Es ist jedoch weiterhin höchste Vorsicht geboten.

Die Beauftragte für Datenschutz und Informationsfreiheit des Landes Berlin, Maja Smoltzczyk, hat gegen die Firma Deutsche Wohnen SE, Mecklenburgische Straße 57, 14197 Berlin, die über 163.000 Wohnungen in ihrem Eigentum hält und verwaltet, einen Bußgeldbescheid über 14.500.000,00 EUR verhängt. Zur Begründung wurde angeführt, dass Altdaten von Mietern nicht innerhalb der Löschfristen gelöscht wurden. Smoltczyk vermutet in vielen anderen Branchen ähnliche Fälle lediglich das Personal, um allen Hinweisen nachgehen zu können. (Pressemitteilung von 11-2019) Das Thema ist nach wie vor hochaktuell.

Gemäß Art. 33 Abs. 1 Satz 1 DS-GVO muss ein datenschutzrechtlich Verantwortlicher im Fall einer Verletzung des Schutzes personenbezogener Daten unverzüglich und möglichst binnen 72 Stunden, nachdem die Verletzung bekannt wurde, dies der zuständigen Aufsichtsbehörde melden.

Dies gilt nur dann nicht, wenn die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt.

Artikel 33 Abs. 1 DS-GVO umfasst auch Bagatellsachverhalte!

Dies wird gerade heiß zwischen den Behörden diskutiert, ob diese Vorschrift geändert werden muss. Derzeit gilt Sie allerdings noch.

Umstritten ist hier die 72 Stunden Frist.

Es ist unklar, wann diese Frist beginnt. Die Frage ist, ob die Frist bei absoluter Gewissheit des Datenschutzvorfalls beginnt oder schon bei Kenntnis einer Wahrscheinlichkeit.

So hat sich der Bayerische Landesbeauftragte für den Datenschutz dafür ausgesprochen eine 24 Stunden Übergangsphase zu akzeptieren, in dem der Datenschutzvorfall und deren Umfang geprüft werden darf und die 72 Stunden Frist erst danach beginnt.

Ferner ist streitig, ob die Frist auch beginnt bei „kennen müssen“, das heißt der Verantwortliche kennt den Datenschutzvorfall nicht, hätte ihn aber bei sorgfältiger Prüfung kennen müssen.

Diese Frage ist allerdings noch unbeantwortet.

Ein weiteres umstrittenes Thema ist auch, ob die Sonn- und Feiertage ebenfalls zur Fristberechnung gehören.

Dies wird von den Datenschützern derzeit bejaht, was natürlich zu extremer Verkürzung von Fristen in praktischer Hinsicht führen kann.

Insgesamt kann jedoch eine gewisse Entwarnung gegeben werden, da die 72 Stunden Frist nur eine Frist ist, die bei optimalen Verhältnissen einzuhalten ist, das heißt wenn es keine besonderen Umstände des Einzelfalles gibt. Wenn besondere Umstände vorliegen, kann diese Frist auch noch verlängert werden. Genaue Kriterien wurden von den Datenschutzbehörden derzeit allerdings noch nicht festgelegt.

Eines der ebenfalls am meisten diskutierten Fragen ist derzeit, wie weit das Recht der Betroffenen auf Herausgabe von Datenkopien gem. Art. 15 Abs. 1 DS-GVO reicht.

Das Landesarbeitsgericht Stuttgart hat diesbezüglich in einer Entscheidung (AZ: 17 Sa 11/18) festgestellt, dass ein Arbeitnehmer nach Art. 15 DS-GVO das Recht auf eine Kopie seiner gesamten Personalakte hat. Eine Einschränkung ergäbe sich nur dann, sofern im Einzelfall überwiegende berechtigte Interessen Dritter an einer Geheimhaltung vorgehen. Ob diese Interessen einer Auskunftserteilung im Einzelfall entgegenstehen, sei durch eine Interessensabwägung vorzunehmen.

Im vorliegenden Fall hat das Landesarbeitsgericht dem Kläger das Recht zugestanden, dass er nicht nur Informationen über die gespeicherten Daten erhält, insoweit auch sämtliche Informationen über Leistungs- und Verhaltungsdaten, darüber hinaus hat das Landesarbeitsgericht dem Arbeitnehmer auch das Recht zugestanden, dass er auch alle Kopien, der in seiner Personalakte befindlichen Dokumente erhält.

Eine grundsätzliche Einschränkung hat das Landesarbeitsgericht verneint, sondern dies einer Interessensabwägung im Einzelfall überlassen. Auch diesbezüglich kann von Rechtsicherheit nicht im Ansatz die Rede sein.

Das BAG hat bestätigt, dass der Arbeitgeber jederzeit auf den dienstlichen E-Mail Account eines Arbeitnehmers zugreifen kann, auch ohne dass der Verdacht einer Pflichtverletzung vorliegt. Eine Ausnahme besteht nur dann, sofern der Arbeitnehmer diesen Account ausdrücklich als privat gekennzeichnet hat. (Ob dies wiederum arbeitsrechtlich zulässig ist, steht auf einem anderen Blatt und war hier nicht zu entscheiden).

Insoweit ist nochmals die oft gestellte Frage mit ja zu beantworten antworten.

Der Arbeitgeber darf jederzeit auf die E-Mail Accounts von Arbeitnehmern zugreifen, beispielsweise im Krankheitsfall oder nach Ausscheiden aus dem Betrieb oder aus einem sonstigen Anlass, sofern der Arbeitnehmer nicht persönlich für Nachfragen zur Verfügung steht.

In einer bemerkenswerten Entscheidung hat das Arbeitsgericht Berlin geurteilt, dass ein Zeiterfassungssystem mittels Fingerprint nur zulässig ist, sofern die Arbeitnehmer ausdrücklich einwilligt. Die Einwilligung bedarf daher der Schriftform.

Es ging um die Rechtsfrage, ob die Datenverarbeitung im Rahmen der Durchführung des Arbeitsverhältnisses erforderlich im Sinne von § 26 BDSG ist. In diesem Fall wäre eine Zustimmung nicht erforderlich gewesen. Das Arbeitsgericht verneint diese Frage.

Es ist an dieser Stelle jedoch festzuhalten, dass dies momentan noch eine Einzelmeinung darstellt. Sollte sich diese Meinung allerdings höchstrichterlich bestätigten, wären entsprechende Maßnahmen zu treffen.

Die DS-GVO bzw. das korrespondierende BDSG neu regelt auch die Berechtigung der Nutzung von Bonitätsdaten.

Bei offenen Forderungen ist gemäß § 31 Abs. 2 Nr. 4 BDSG neu unter folgenden Voraussetzungen die Bonitätsauskunft zulässig:

• Mindestens 2 Mahnungen
• Hinweis in einer Mahnung an die betroffenen Schuldner, dass eine Bonitätsauskunft eingeholt wird
• die Forderung ist unstreitig geblieben
• Verzug nach 1. Mahnung mindestens 4 Wochen
• kein Wegfall des berechtigten Interesses, d.h. keine Bezahlung der Forderung oder ähnliche Wegfallgründe

Ich empfehle Ihnen daher in Ihren Mahnschreiben auf die Möglichkeit einer Bonitätsauskunft hinzuweisen, ansonsten ist deren Einholung datenschutzrechtlich problematisch.

Nochmals zu betonen ist, dass diese Einschränkungen nur im Rahmen der Einholung von Bonitätsauskünften im Rahmen der Einziehung von Forderungen gelten und gerade nicht im Falle der Prüfung der Bonität vor Vertragsabschluss. Diese ist nach wie vor ebenfalls zulässig.

Das bayerische Landesamt für Datenschutzaufsicht hat auf eigene Rückfrage von uns bestätigt, dass die Informationspflichten der Art. 13/14 DS-GVO nicht für Bestandskunden gilt, sondern nur für diejenigen Kunden, die nach Geltung der DS-GVO neu erfasst werden.

Eine Rückwirkung für Altfälle auf Art. 13/14 DS-GVO ist definitiv nicht gegeben. Dies wurde nunmehr von der Datenschutzaufsichtsbehörde offiziell bestätigt.

Für diejenigen Unternehmen, die in Baden-Württemberg ihren Sitz haben gilt gleiches.

Das Verwaltungsgericht Hannover hat festgestellt, dass die Verwendung von Bildaufnahmen von Besuchern, beispielsweise eines Messestandes und/oder einer Firmenveranstaltung auf Werbematerialien wie einer Homepage oder Firmenprospekten gegen die DS-GVO verstößt, sofern die Einwilligung der abgebildeten Personen nicht vorliegt (VG Hannover, Urteil vom 27.11.2019, 10 A 820/19).

Der EuGH hat in einer grundsätzlichen Entscheidung (NJW 2019, Seite 2755) entschieden, dass die mit Drittanbieter Plugins verbundene Übermittlung der IP-Adressen an Server des Drittanbieters (Facebook Like Buttons) nur zulässig ist, sofern die Nutzer einwilligen.

Gegenstand des Urteils des EuGHs war eine Klage des Bundesverbands der Verbraucherverbände gegen die Firma Planet 49 GmbH, die bei Onlinegewinnspielen ein vorgesetztes Häkchen bei der Cookie-Zustimmung verwendete. Der EuGH hat entschieden, dass dies unzulässig ist. Insoweit ist die Bedeutung des EuGH-Urteils nicht so weitreichen, wie in der Presse oft suggeriert wird.

Das Urteil des EuGHs bestätigt im Kern eine bis dato bereits bestehende Praxis, dass die Besucher der Website aktiv der Verwendung von Cookies zustimmen müssen. Eine reine Information ist nicht ausreichend.

Auf vielen Websites ist dies bereits umgesetzt.

Letztendlich bedeutet die EuGH-Entscheidung, die Pflicht eines Opt-in-Verfahrens für die Verwendung von Cookies. Opt-in ist das Gegenteil von Opt-out und bedeutet, dass eine aktive Erklärung vorliegen muss. Beim Opt-out-Verfahren liegt eine Voreinstellung vor, der man widersprechen muss.

Im letzten Fall kann die Seite nicht besucht werden.

Der EuGH hat klargestellt, dass über die Funktionsweise der Cookies genau informiert werden muss, sodass ein Verweis auf Cookies ohne nähere Beschreibung nicht mehr ausreichend ist. Es stellt sich die Frage, wie ausführlich diese Beschreibung sein muss, was der EuGH offengelassen hat.

Im Bereich Informationspflichten Videoüberwachung eine große Rechtsunsicherheit entstanden, nachdem das Bundesverwaltungsgericht den erst mit der DS-GVO neu eingeführten § 4 BDSG neu für europarechtswidrig erklärt hat.

Es besteht nunmehr Unklarheit darüber, nach welcher Vorschrift die Videoüberwachung zu handhaben ist, dies gilt insbesondere für die Informationspflichten der Betroffenen. Wie bekannt sein dürfte, hatte § 4 BDSG neu im Hinblick auf die Informationspflichten nur vorgeschrieben, dass der Umstand der Beobachtung und die verantwortliche Stelle genannt werden müssen.

Die DS-GVO enthält keine ausdrückliche Vorschrift, wie über Videoüberwachung zu informieren ist.

In diesem Zusammenhang ist deshalb ein heftiger Streit unter den Datenschützern entstanden, wie dies nun bewerkstelligt werden muss.

Wie versprochen habe ich eine GM-Lösung (gesunder Menschenverstand) entwickelt, die im Hinblick auf die neue Rechtslage datenschutzrechtskonform sein dürfte.

In diesem Zusammenhang ist jedenfalls notwendig, die Beschilderung zu ändern und über weitere Tatsachen zu informieren. Die wesentlichen Informationen sind jedoch auf einer speziellen „Datenschutzinformation Videoüberwachung“ enthalten, die auf der Homepage neben den anderen Belehrungen zu implementieren ist.

Bitte setzen Sie eine entsprechende Ausschilderung sowie Datenschutzinformation in Bezug auf Videoüberwachung zeitnah um, da gegebenenfalls Bußgelder von Behörden drohen. Ich halte dies zwar für derzeit eher unwahrscheinlich, da es für einen Ordnungswidrigkeiten Tatbestand schlichtweg am Bestimmtheitserfordernis fehlt, sodass die Behörden die Füße stillhalten. Eine Garantie gibt es hierfür jedoch nicht.

Der EuGH hatte zum Ende des Jahres 2019 darüber zu entscheiden, ob die Videoüberwachung im Gemeinschaftsbereich von Wohngebäuden mit Eigentümergemeinschaften zulässig ist.

Das Problem war in diesem Fall, dass eine Eigentümergemeinschaft die Installation einer Videoüberwachung entschieden hat, obwohl nicht die Einwilligung aller Eigentümer vorlag.

Das Gericht hat hier entschieden, dass die Vorschriften des WEG vorgehen und eine Mehrheitsentscheidung über die Installation der Videoüberwachung ausreichend ist.