Beiträge

Datenschutzrecht: welche Daten darf der Arbeitgeber herausgeben?

, ,

Datenschutz im Arbeitsverhältnis: Spezialgebiet

Nicht nur im „klassischen“ Arbeitsrecht geht es um die besonderen Rechte von Arbeitnehmern. Häufig erreichen uns Fragen zum Datenschutzrecht im Arbeitsverhältnis. Besonders oft muss geklärt werden, welche Arbeitnehmer-Daten der Arbeitgeber erheben darf und in welchem Umfang diese Daten gespeichert und verwendet werden dürfen. Besonders kritisch wird es, wenn die Daten von Arbeitnehmern an Dritte (also nicht am Arbeitsverhältnis beteiligte Parteien) weitergegeben werden sollen. Nicht nur die Aufsichtsbehörden, auch Arbeitnehmer reagieren in Bezug auf die Datenverarbeitung im Arbeitsverhältnis besonders empfindlich.

Sondervorschriften für Arbeitnehmerdaten

Anwalt Experte Datenschutzdatenschutzbeauftragte Hamburg Streit Frage Arbeitnehmerdaten

Datenschutz im Arbeitsverhältnis: besondere Regeln erfordern besondere Maßnahmen
(c) panthermedia.net / Randolf Berold

Für das Arbeitsverhältnis besteht vor allem die Sondervorschrift des § 32 Bundesdatenschutzgesetz (BDSG). Danach dürfen personenbezogene Daten von Arbeitnehmern durch den Arbeitgeber dazu genutzt werden, um das Arbeitsverhältnis zu begründen (beispielsweise Bewerbungsunterlagen auszuwerten oder Personenstammdaten zu erheben) durchzuführen (beispielsweise für die Gehaltsabrechnung oder die Personalverwaltung) oder zu beenden (beispielsweise die Erhebung und Speicherung etwaiger Kündigungsgründe). Zur Aufdeckung von Straftaten dürfen personenbezogene Daten im Arbeitsverhältnis nur dann erhoben, verarbeitet oder genutzt werden, wenn ein konkreter Verdacht im Hinblick auf eine konkrete Straftat vorliegt, keine milderen Mittel zur Aufdeckung der Straftat zur Verfügung stehen und sonstige schutzwürdige Interessen des Beschäftigten einer Datenverarbeitung nicht entgegenstehen. Für das konkrete Beispiel: die vorsorgliche Überwachung von Arbeitnehmern mittels einer Videoüberwachung ist unzulässig, wenn sie darauf gestützt wird, dass möglicherweise durch Mitarbeiter ein Diebstahl begangen werden kann. Sie kann jedoch im Ausnahmefall zulässig werden, wenn konkrete Diebstahlsdelikte vorgelegen haben und die Videoüberwachung die einzige noch zur Verfügung stehende Maßnahme zur Aufdeckung dieser Diebstahlsdelikte ist. Ist eine Verarbeitung oder Nutzung personenbezogener Daten im Arbeitsverhältnis nicht mehr durch § 32 BDSG gedeckt, ist die Zustimmung des Arbeitnehmers erforderlich. Dabei ist von Arbeitgebern besonders zu beachten, dass die Zustimmung freiwillig erteilt werden muss. Dies ist im Arbeitsverhältnis in der Praxis gar nicht so leicht, denn Gerichte wie auch Aufsichtsbehörden gehen davon aus, dass das Arbeitsverhältnis durch eine besondere Stärkeposition des Arbeitgebers gegenüber dem Arbeitnehmer (welcher ja seine Arbeitsstelle gerne behalten will) geprägt ist.

BGH aktuell: keine Weitergabe von Arbeitnehmer-Privatanschriften an Dritte

Neue brandaktuelle Rechtsprechung zur Verarbeitung personenbezogener Daten im Arbeitsverhältnis hat der Bundesgerichtshof beigesteuert. Der BGH hat entschieden, dass Arbeitgeber nicht berechtigt sind, die Privatanschrift von Angestellten an Dritte weiterzugeben (BGH, Urteil vom 20. Januar 2015 – VI ZR 137/14).

In der aktuellen Entscheidung des BGH ging es um die Herausgabe der Privatanschrift zweier Ärzte. Der Kläger war Patient einer Klinik, die Beklagte ist die Betreiberin dieser Klinik. Der Kläger beansprucht Schadensersatz von zwei angestellten Ärzten der Beklagten. die Klage konnte zwar an der Klinikanschrift zugestellt werden, der Kläger wollte jedoch darüber hinaus die Privatanschrift der Ärzte zu Zustellungszwecken in Erfahrung bringen und forderte dies im Weg der Klage von der Arbeitgeberin der betroffenen Ärzte. Zu Unrecht, wie der Bundesgerichtshof entschied. Während noch das zuvor erkennende Landgericht der Klage stattgegeben hatte, wies der Bundesgerichtshof die Klage unter Aufhebung der Vorinstanz ab. Das Landgericht hatte noch argumentiert, dass die Forderung nach Anonymität sich mit dem besonderen Wesen des Verhältnisses zwischen Arzt und Patienten nicht vertrage (Landgericht Görlitz – Urteil vom 14. Februar 2014 – 2 S 174/13). Dem erteilte der Bundesgerichtshof eine klare Absage.

Der Patient habe zwar gegenüber Arzt und Krankenhaus grundsätzlich einen Anspruch auf Auskunft in Bezug auf die ihn betreffenden Unterlagen, und zwar auch dann, wenn kein Rechtsstreit im Raum steht. In diesem Zusammenhang sei eine Klinik auch dazu verpflichtet, dem Patienten den Namen eines behandelnden Arztes mitzuteilen. Allerdings gehe die Forderung nach der Mitteilung der Privatanschrift zu weit. Da der Kläger die Klageschrift für seine Ansprüche auch an die Klinikanschrift zustellen konnte, bestünde für die Mitteilung der Privatanschrift keine Veranlassung. Der Erteilung einer Auskunft über die Privatanschrift von Mitarbeitern steht auch nach der Einschätzung Bundesgerichtshofs insbesondere die Vorschrift des § 32 Abs. 1 Satz 1 BDSG entgegen. Die Regelung gestattet dem Arbeitgeber die Erhebung, Verarbeitung und Nutzung von Daten (nur) für Zwecke des Beschäftigungsverhältnisses. Der Arbeitgeber ist aber grundsätzlich nicht berechtigt, personenbezogene Daten, die für Zwecke des Beschäftigungsverhältnisses erhoben worden sind, an Dritte weiterzuleiten, wenn dies nicht im Hinblick auf das Beschäftigungsverhältnis notwendig ist.

Externe Lohnabrechnung: Auftragsdatenverarbeitung beachten!

Die vorgenannte Entscheidung des Bundesgerichtshofs ist stringent und richtig. Der Umgang mit personenbezogenen Daten von Arbeitnehmern bedarf einer besonderen Sensibilität und Aufmerksamkeit auf der Seite des Arbeitgebers. Auf der einen Seite ist natürlich zu beachten, dass es kein gesetzliches Gebot der absoluten Verschwiegenheit für sämtliche das Arbeitsverhältnis in irgendeiner Form betreffenden Informationen gibt. Insbesondere, wenn Arbeitnehmer nachweislich Straftaten begangen haben, erkennen Gerichte in der Praxis häufig berechtigte Interessen des Arbeitgebers an der Erhebung und Nutzung dieser Daten an. Andererseits steht der Arbeitgeber in der Pflicht, die ihm anvertrauten Arbeitnehmerdaten sorgfältig und nur im Rahmen der Zweckbindung des Arbeitsverhältnisses zu verwenden. Dazu gehört nicht nur, dass diese Daten nicht ohne ausreichenden rechtlichen Grund an Dritte übermittelt werden dürfen. Insbesondere im Bereich der Auftragsdatenverarbeitung erleben Datenschutzexperten in der Praxis häufig eine mangelnde Sensibilität im Hinblick auf Datenschutz und Datensicherheit. Viele Arbeitgeber wissen nicht, dass beispielsweise besondere Formvorschriften für ausgelagerte Datenverarbeitung bestehen, so beispielsweise bei der elektronischen Lohndatenverarbeitung. § 11 BDSG sieht hier vor, dass ein im Original vorliegender, schriftlicher Vertrag geschlossen werden muss, der ganz bestimmte Mindestanforderungen an inhaltliche Bestimmbarkeit und effektiv durchzusetzende Weisungsrechte des Arbeitgebers enthalten muss. Liegt ein solcher Vertrag nicht, nicht in der erforderlichen Form oder nicht mit dem erforderlichen Inhalt vor, ist die Übermittlung von Arbeitnehmerdaten unzulässig. Dies kann im Ernstfall sogar zu Schadensersatzansprüchen der Betroffenen oder Bußgeldverfahren der Aufsichtsbehörden führen.

Wir stehen nicht nur Betroffenen bei der effektiven Durchsetzung ihrer Rechte zur Seite. Ein besonderer Schwerpunkt der Expertise von BBS Rechtsanwälte besteht in der praxisorientierten, strategischen und vorsorglichen Beratung und Unterstützung von Arbeitgebern im Hinblick auf datenschutzrechtliche Fragestellungen. Sie haben Fragen oder Beratungsbedarf? Sie fragen sich beispielsweise, ob Sie einen externen betrieblichen Datenschutzbeauftragten bestellen sollen oder ob Ihre getroffenen Vereinbarungen den datenschutzrechtlichen Anforderungen entsprechen? Wir sind gerne für Sie da.

Rechtsanwalt Thomas Brehm ist Anwalt und Experte im Bereich des Datenschutzrechts und des Informationstechnologierechts mit langjähriger Erfahrung. Er steht unter anderem Unternehmen als externer betrieblicher Datenschutzbeauftragter und als Berater bei betrieblichen Konflikten und bei der Vertragsgestaltung im Bereich des Datenschutzes zur Seite. Darüber hinaus betreut er Unternehmen in Bezug auf Verfahren und Maßnahmen der Datenschutz-Aufsichtsbehörden.

 

Adresshandel: 25.000 Euro Vertragsstrafe in AGB unwirksam

, ,

Adresshandel: Verantwortlich ist der Datennutzer

Das Bundesdatenschutzgesetz erlaubt unter bestimmten Voraussetzungen den Handel mit personenbezogenen Daten. Adresshandel als solcher ist für viele Unternehmen eine entscheidende Quelle, um sich – legal – neue Abnehmerkreise zu erschließen. Das setzt natürlich voraus, dass die erworbenen Adressen auch rechtmäßig genutzt werden können. Jedoch nicht nur unter datenschutzrechtlichen Aspekten ist der Adresshandel interessant.

Grundsätzlich ist derjenige, der personenbezogene Daten nutzt, dafür verantwortlich, dass die gesetzlichen Bedingungen eingehalten sind. Wer also beispielsweise Werbe-E-Mails verschickt, ist dafür verantwortlich, dass die erforderliche Einwilligung der Empfänger vorliegt (oder eine besondere Ausnahme gegeben ist). Mit der oft zitierten „mutmaßlichen Einwilligung“ kommt man hier in den seltensten Fällen weiter, denn das Gesetz sieht (z.B. in § 13 Abs. 2 Telemediengesetz recht detaillierte Voraussetzungen für eine wirksame Einwilligung vor. Der Werbende kann sich dabei nicht darauf berufen, dass nicht er, sondern seine Adressquelle beispielsweise die gesetzlichen Mindestanforderungen an elektronische Einwilligungen nicht erfüllt hat.

Strenge Vertragsregelungen gewünscht – und nötig

„Wenn man einem Menschen trauen kann, erübrigt sich ein Vertrag. Wenn man ihm nicht trauen kann, ist ein Vertrag nutzlos.“ Dieses Zitat des „Ölbarons“ Jean Paul Getty hört sich plausibel an. Es berücksichtigt aber nicht, dass es bei Verträgen in der heutigen komplexen Realität oft nicht nur um die beteiligten Parteien geht. Denn wer auf Basis eines Vertrages Daten bezieht, kann sich im Ernstfall gerade nicht auf die „Schlechtigkeit“ seines Lieferanten berufen. Er muss vielmehr nachweisen, dass er alles zur Vermeidung von Mißbrauch getan hat und sich auch gegenüber seinem Vertragspartner eine durchsetzbare Position für den Rückgriff verschaffen. Das Idealbild des „Hanseatischen Kaufmanns“ hilft dann nicht weiter, wenn ein zahlungsfähiger Vertragspartner einfach nicht für den von ihm verursachten Schaden einstehen will. Vielmehr sind in solchen Situationen belastbare und klare Haftungsregelungen gefragt.

Die Verantwortlichkeit des Datennutzers führt dann zu dessen Wunsch, die Adressquelle durch strenge Vertragsbedingungen und scharfe Sanktionen zur Einhaltung der gesetzlichen Bestimmungen anzuhalten. Eine Möglichkeit hierfür bieten beispielsweise Allgemeine Geschäftsbedingungen. So kann ein Gewerbetreibender, der Daten einkauft, durch entsprechende Einkaufsbedingungen die Verpflichtung für den Adresshändler zum Nachweis aller erforderlichen Einwilligungen vorsehen. Da das Gesetz jedoch für Einkaufsbedingungen wie auch für alle anderen Arten von Allgemeinen Geschäftsbedingungen Grenzen für die Zulässigkeit von Regelungen vorsieht, sollte der Datennutzer diese Bedingungen nicht selbst zusammenstellen (in den meisten Fällen eher: „zusammenbasteln“), sondern vom Profi erstellen lassen. Das musste beispielsweise jüngst die Klägerin in einem Rechtsstreit vor dem Oberlandesgericht Celle feststellen.

OLG Celle: Pflicht zum Nachweis der Einwilligung innerhalb von 24 Stunden unwirksam

Die Klägerin wollte von der Beklagten aus abgetretenem Recht 4 Vertragsstrafen zu jeweils € 25.000.

Die Beklagte hatte eine Vertragspartnerin mit Adressen beliefert, wobei die Gesamtumsätze mehr als € 680.000 betrugen. In die Vertragsbeziehung waren auch Allgemeine  Geschäftsbedingungen der Datennutzerin einbezogen, die folgende Regelungen enthielten:

„Zu liefernde oder vom Lieferanten im Rahmen einer von ihm technisch durchzuführenden Kampagne zu verwendende Datensätze müssen stets mit entsprechenden Einwilligungserklärungen der jeweiligen Unternehmen/Personen (sog. ‘Opt-Ins‘) vorliegen. Auf Verlangen von … D. … muss der Lieferant angefragte Opt-Ins gegenüber … D. … binnen 24 Stunden nach Anfrage nachweisen und schriftlich zur Verfügung stellen. Diese Verpflichtung besteht zeitlich unbefristet.“

[…]

„Verstößt der Lieferant schuldhaft gegen seine Verpflichtung, entsprechende Opt-Ins vorzuhalten oder seine Nachweispflicht nach dem vorstehenden Absatz, hat er der … D. … in jedem Fall eine Vertragsstrafe von 25.000 € zu zahlen. …“

Die Vertragspartnerin des Adresshändlers forderte von diesem den Nachweis von Einwilligungserklärungen („Opt-Ins“) hinsichtlich diverser Verbraucher, welchen der Adresshändler verweigerte. Auf diese Weigerung gestützt, machte die Klägerin ihren Anspruch auf Vertragsstrafe geltend – ohne Erfolg.

Das Oberlandesgericht Celle wies in der Berufungsinstanz die Klage mit Urteil vom 28.11.2012 (Aktenzeichen: 9 U 77/12) ab.

Nach Einschätzung des Gerichts war die in Rede stehende Klausel unwirksam gemäß § 307 Abs. 1 BGB. Nach der vorgenannten Vorschrift sind Klauseln in allgemeinen Geschäftsbedingungen nichtig, wenn sie die verpflichtete Vertragspartei unangemessen benachteiligen. Dies war nach der Einschätzung des Oberlandesgerichts der Fall. Denn die vereinbarte Frist von 24 Stunden für den Nachweis der erforderlichen Einwilligung sei bereits deshalb zu kurz und damit unwirksam, weil sie bei einer am Freitag gestellten Anfrage in Anbetracht des Wochenendes kaum einzuhalten ist. Gemeinsam mit der Pflicht zum kurzfristigen Nachweis der Einwilligung fiel auch der geltend gemachte Vertragsstrafenanspruch der AGB-Kontrolle durch das Gericht zum Opfer.

Vertragsgestaltung: gut gemeint ist nicht gut gemacht

In dem in Rede stehenden Fall wollte die mit Daten belieferte Vertragspartnerin eigentlich sicherstellen, dass die erforderlichen Einwilligungen der Verbraucher schnellstmöglich nachgewiesen werden. Sie wählte grundsätzlich taugliche Mittel, nämlich eine entsprechende Vereinbarung in Allgemeinen Geschäftsbedingungen. Dabei übersah sie jedoch, dass auch bei gut gemeinten Zielsetzungen die gewählten Mittel überspitzt sein können und vor dem Hintergrund der so genannten „Inhaltskontrolle“ Allgemeiner Geschäftsbedingungen nicht standhalten.

Inhaltskontrolle von AGB: Unwirksamkeit auch Wettbewerbsverletzung

Inhaltskontrolle in Bezug auf Allgemeine Geschäftsbedingungen bedeutet, dass grundsätzlich Vereinbarungen zwischen Vertragspartnern nur insoweit der staatlichen Kontrolle unterfallen, als sie nicht gegen gesetzliche Verbote verstoßen oder sittenwidrig sein dürfen. Eine andere Situation stellt sich jedoch bei Allgemeinen Geschäftsbedingungen dar: da hier ein Vertragspartner allgemeine Regelungen für sämtliche von ihm geschlossene Verträge aufstellt, sieht das Gesetz detailliertere Verbote und insbesondere Anforderungen an die „Fairness“ derartiger Klauseln vor, die bereits vor der Schwelle gesetzlicher Verbote oder der Sittenwidirgkeit zur Unwirksamkeit der (AGB-)Vereinbarung führen können. Ist eine solche Klausel unwirksam, helfen auch so genannte salvatorische Klauseln nicht weiter. Nach dem so genannten „Verbot der geltungserhaltenden Reduktion“ gilt an der Stelle einer unwirksamen Regelung in allgemeinen Geschäftsbedingungen die gesetzliche Regelung. Ein Gericht wird dem Verwender der Klausel nicht in der Form helfen, als dass es ihm die Rechtsfolge letzten gerade noch zulässigen Regelung anstelle der unwirksamen Klausel zuspricht.

Die Erstellung allgemeiner Geschäftsbedingungen erfordert vom Gestalter, dass er nicht nur die rechtlichen Rahmenbedingungen, sondern auch die zahlreichen gerichtlichen Entscheidungen zur Auslegung Allgemeiner Geschäftsbedingungen kennt. Sind Allgemeine Geschäftsbedingungen unwirksam, stellt dies mit ganz überwiegender Wahrscheinlichkeit gleichzeitig einen Verstoß gegen das Wettbewerbsrecht dar, gegen welchen Konkurrenten im Wege der Abmahnung, einstweiligen Verfügung oder gar Unterlassungsklage vorgehen können.

„Salvatorische Klauseln“- Keine Rettung unwirksamer Bestimmungen in AGB

AGB-Bestimmungen, nach welchen an der Stelle einer unwirksamen Klausel das gelten soll, was die Vertragsparteien gewünscht haben, sind nach höchstrichterlicher Rechtsprechung ihrerseits nichtig. Dies beruht auf dem Gedanken, dass Allgemeine Geschäftsbedingungen nur von einer Seite gestellt werden. Der Wunsch der Vertragsparteien wäre demnach der Wunsch des AGB-Verwenders. Der Verwender soll jedoch selbst die Verantwortung dafür tragen, dass er unter Berücksichtigung der Auslegung von Geschäftsbedingungen durch die Rechtsprechung zulässige Regelungen verwendet, und nicht in derartige „Notklauseln“ flüchten können.

AGB-Erstellung: Ein Fall für den Profi

BBS Rechtsanwälte unterstützt Unternehmen und Unternehmer mit Spezialisierung und Expertise bei der Gestaltung von individuellen Verträgen und Allgemeinen Geschäftsbedingungen. Vertragliche Regelungen stellen nicht nur die rechtliche Grundlage für eine Geschäftsbeziehung, sondern vielfach auch die Grundlage für die Durchsetzung von Ansprüchen im Ernstfall dar. Nachlässigkeiten in diesem Bereich gefährden also nicht nur den Bestand vertraglicher Regelungen, sondern können schnell dazu führen, dass Vergütungsansprüche entfallen; dann kosten fehlerhafte Gestaltungen – mitunter viel – „echtes“ Geld. Darüber hinaus trägt eine verlässliche und lesbare Vertragsgestaltung zum Frieden zwischen den Vertragsparteien bei.

Vertragspartner, die wissen, was Sie im Rahmen einer Vertragsbeziehung zu tun und zu lassen haben, geraten aller Erfahrung nach auch seltener in Streit. Diese Form der Klarheit und Übersicht spart dann oft Zeit, Ärger und Kosten.

Die oftmals vertretene Annahme, Verträge seien „für den Schrank gedacht“, erweist sich daher oft als Irrtum. Denn im Ernstfall entscheidet ein Gericht, ob der Vertrag im Schrank auch „hält“, was sich die Parteien davon versprochen haben. Dies führt oft zu bösen Überraschungen, wenn Unklarheiten, Widersprüche oder fehlerhafte Formulierungen dazu führen, dass Ansprüche nicht durchgesetzt werden können. In solchen Fällen kann oft auch die Kunst und Mühe eines Rechtsanwalts die anfänglichen Fehler nicht mehr ausgleichen, da das erkennende Gericht sich an der Formulierung des Vertrages orientiert.

Sie benötigen professionelle Hilfe bei der Gestaltung und Verhandlung von Verträgen (beispielsweise Lizenzverträge, Unternehmenskaufverträge oder ähnliche Vereinbarungen)? Sie benötigen rechtssichere Allgemeine Geschäftsbedingungen, die auch eine gerichtliche Auseinandersetzung überstehen? Sprechen Sie uns an! Wir sind gerne für Sie da. Nicht nur in Hamburg!

 

 

 

 

 

 

 

OLG Karlsruhe: Datenschutzverstoß ist Wettbewerbsverstoß – kommt die Abmahnwelle?

, ,

Zur Entscheidung des OLG Karlsruhe vom 09.05.2012 (6 U 38/11) über datenschutzrechtliche Regelungen als Marktverhaltensregeln iSd. Wettbewerbsrechts

Runde Tische, Anhörung im Bundestag, Streit um Google-Analytics oder die Aufregung über den Umgang mit dem Facebook-„Gefällt Mir“ – Button (Wir berichteten) Kein anderes Thema steht derart im Fokus der öffentlichen Diskussion wie der Umgang mit personenbezogenen Daten im Internet, ohne dass dies gleichzeitig die Gerichte landauf und landab beschäftigt. Sind IP-Adressen personenbezogene Daten im Sinne des Bundesdatenschutzgesetzes (BDSG) oder nicht (Wir berichteten zur diesbezüglichen Ansicht des EuGH)? Welche Verpflichtungen gehen mit dieser Einordnung gegebenenfalls für mich als Website-Betreiber einher? Darf ich den Facebook-„Gefällt Mir“-Button auf meiner Website einbinden oder nicht? Benötige ich bereits beim Mitschnitt der IP-Adressen meiner Website-Besucher (etwa durch Webtracking-Tools oder schlicht Serverlogs) ohne Anonymisierung eine entsprechende Datenschutzbelehrung und ggf. die vorherige Einwilligung der Besucher?

 

Schutz personenbezogener Daten im Internet: Datenschutz quo vadis?

Schutz personenbezogener Daten im Internet: Datenschutz quo vadis?

 

Die schon oftmals angekündigte Abmahn- und Klagewelle ist aller Kassandra-Rufe zum Trotz bislang ausgeblieben. Damit steht bislang leider auch die dringend erforderliche Klärung der vielfältigen offenen Fragen des Schutzes personenbezogener Daten im Internet und der Grenzen der unternehmerischen Erhebung, Speicherung und Verwertung solcher Daten durch die Rechtsprechung aus. Das Datenschutzrecht ist – jedenfalls gemessen an den real genutzten technischen Möglichkeiten, den und ebenso erfolgreichen wie rechtlich umstrittenen Geschäftsmodellen ganzer Konzerne sowie der (berechtigten) Vehemenz der hierzu geführten Diskussionen innerhalb der Netzgemeinde – vor allem durch eines gekennzeichnet: Ein eklatantes Defizit an Rechtssicherheit und Rechtsklarheit. Dies betrifft die betroffenen natürlichen Personen – jeder, dessen Daten erhoben, gespeichert und verarbeitet werden, also: Jedermann – ebenso wie die zahlreichen Firmen und Unternehmungen, die tagtäglich Daten erheben, speichern, verarbeiten oder sogar als zentrales Unternehmens-Asset verwerten. Den hierzu rechtlich eigentlich originär berufenen Stellen – den Datenschutzbeauftragten der Länder – kann dies hierbei aufgrund der in der Regel deutlichen personellen Unterbesetzung nur bedingt zum Vorwurf gemacht werden.

 

§ 3 BDSG: Schutz personenbezogener Daten

§ 3 BDSG: Schutz personenbezogener Daten

 

Ein eigentlich geeignetes Mittel der Rechtskonkretisierung sui generis ist die Rechtsfortbildung durch die Zivilgerichte, insbesondere durch die Kammern und Senate für Wettbewerbsrecht: Ob die zulässigen Grenzen unternehmerischer elektronischer Werbung (E-Mail-Werbung, Telefon- und Faxwerbung), die Hinweispflichten im Internet tätiger Unternehmen („Impressum“, etc.) und insbesondere Pflichtbelehrungen gegenüber Verbrauchern (Belehrung über das Widerrufsrecht), in all diesen Bereichen wurden und werden die im jeweiligen Anforderungen an redliches unternehmerisches Handeln konkreten Einzelfall genauestens ausgelotet und sukzessive geklärt.

Der Bereich des Datenschutzrechts war hiervon bislang im Wesentlichen ausgeklammert: Zwar wurden vereinzelt Abmahnungen ausgesprochen und Gerichtsverfahren durchgeführt, im Ergebnis wurde die Anwendbarkeit des Bundesdatenschutzgesetzes als sog. „Marktverhaltensregel“ im Sinne des § 4 Nr. 11 des Gesetzes über den unlauteren Wettbewerb (UWG) durch die Gerichte allerdings mehrheitlich abgelehnt. Damit war der Datenschutz der Rechtsfortbildung durch die Wettbewerbskammern und –senate der Zivilgerichte entzogen. So hat beispielsweise das Landgericht Berlin noch in seiner Entscheidung vom 14.03.2011 (91 O 25/11) hinsichtlich der Beurteilung des Facebook-„Gefällt mir“-Buttons die Qualifizierung der ebenfalls dem Bereich des Datenschutzes unterfallenden Regelung des § 13 Telemediengesetz (TMG) sowie der Regelungen des BDSG in seiner Würdigung als Marktverhaltensregelung iSv. § 4 Nr. 11 UWG abgelehnt und unter Berufung auf ein früheres Urteil des Oberlandesgerichts Hamburg (Entscheidung vom 09.06.2004, AZ.: 5 U 186/03) ausgeführt:

„Dies ist indes nicht der Fall. Nach der Rechtsprechung des BGH handelt gemäß § 4 Nr. 11 UWG unlauter, wer einer gesetzlichen Vorschrift zuwiderhandelt, die auch dazu bestimmt ist, im Interesse der Marktteilnehmer das Marktverhalten zu regeln. Die verletzte Norm muss daher jedenfalls auch die Funktion haben, gleiche Voraussetzungen für die auf einem Markt tätigen Wettbewerber zu schaffen (vgl. BGH in GRUR 2000,Seite 1059 – Abgasemissionen). Es reicht nicht aus, dass die Vorschrift ein Verhalten betrifft, das dem Marktverhalten vorausgegangen ist oder ihm erst nachfolgt. Fällt der Gesetzesverstoß nicht mit dem Marktverhalten zusammen, ist eine zumindest sekundäre wettbewerbsbezogene Schutzfunktion der verletzten Norm erforderlich (vgl. BGH in GRUR 2000, Seite 1076 – Abgasemissionen und in GRUR 2010, Seite 656 – Zweckbetrieb). Die Vorschrift muss das Marktverhalten außerdem im Interesse der Marktteilnehmer regeln. Dem Interesse der Mitbewerber dient eine Norm dann, wenn sie die Freiheit ihrer wettbewerblichen Entfaltung schützt (Köhler/Bornkamm, UWG, 29.Auflage, § 4 Randnummer 11.35c). Nach diesen Grundsätzen ist die Vorschrift des § 13 TMG nicht als Marktverhaltensvorschrift zu qualifizieren. Nach dem Gesetzeswortlaut hat der Diensteanbieter “ den Nutzer zu Beginn des Nutzungsvorgangs über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten sowie über die Verarbeitung seiner Daten in Staaten außerhalb des Anwendungsbereichs der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (ABl. EG Nr. L 281 S. 31) in allgemein verständlicher Form zu unterrichten, sofern eine solche Unterrichtung nicht bereits erfolgt ist“. Im Kern dienen die Vorschriften zum Datenschutz wie auch der § 13 TMG anders als Verbraucherschutzvorschriften zum Internethandel dem Persönlichkeitsschutz der Betroffenen und nicht dazu, für ein lauteres Verhalten am Markt zu sorgen. So hat das OLG Hamburg in seiner Entscheidung vom 9.Juni 2004 zu 5 U 186/03 entschieden, dass die Vorschrift des § 28 Abs.4 Satz 2 BDSG, wonach der Versender eines Werbeschreibens die Empfänger darüber zu belehren hat, dass sie einer Verwendung ihrer Daten widersprechen können, keine Marktverhaltensregel sei, weil es sich um eine Datenschutzbestimmung handele.“

Die Entscheidung wurde durch das Kammergericht Berlin mit Beschluss vom 29. 4. 2011 (5 W 88/11 Gefällt-mir-Button) bestätigt:

In diesem Sinne betrifft ein Verstoß gegen § 13 Absatz I TMG ein Verhalten, das dem Marktverhalten vorausgegangen ist und nur dann als Marktverhaltensvorschrift i.S. des § UWG § 4 Nr. 11 UWG anzusehen ist, wenn ihm eine zumindest sekundäre wettbewerbsbezogene Schutzfunktion innewohnt (vgl. BGH, GRUR 2010, Seite 654 Rdnr. 18 – Zweckbetrieb).
a) Diese Schutzfunktion ist im Hinblick auf die Mitbewerber des nach § 13 Absatz I TMG Informationspflichtigen nicht zu erkennen.
Die Vorschriften im vierten Abschnitt des TMG mit der Überschrift „Datenschutz” verfolgen ebenso wie bereits die Vorgängerregelungen in dem bis zum 28. 2. 2007 gültigen TDDSG das Ziel, „eine verlässliche Grundlage für die Gewährleistung des Datenschutzes im Bereich der Teledienste zu bieten und einen Ausgleich zwischen dem Wunsch nach freiem Wettbewerb, berechtigten Nutzerbedürfnissen und öffentlichen Ordnungsinteressen zu schaffen” (vgl. BT-Dr 13/7385, S. 21, zum TDDSG; Schmitz, in: Hoeren/Sieber, Hdb. MultimediaR, 16.2 Rdnr. 15).
Die durch § 13 Absatz I TMG wie in ähnlicher Weise zuvor durch § 3 Absatz V TDDSG auferlegte Informationspflicht soll konkret gewährleisten, dass der Nutzer „sich einen umfassenden Überblick über die Erhebung, Verarbeitung und Nutzung seiner personenbezogenen Daten verschaffen kann” (vgl. BT-Dr 13/7385, S. 22, zum TDDSG).
Der Gesetzgeber hat mithin allein überindividuelle Belange des freien Wettbewerbs bei der Gesetzgebung berücksichtigt, um Beschränkungen der Persönlichkeitsrechte der Nutzer von Telediensten zu rechtfertigen, nicht aber Interessen einzelner Wettbewerber.
Für die Beurteilung, ob ein Verstoß i.S. des § 4 Nr. 11 UWG vorliegt, ist es unerheblich, ob sich ein Unternehmer durch die Missachtung einer derart auf den Datenschutz bezogenen Informationspflicht einen Vorsprung im Wettbewerb verschafft (vgl. BGH, GRUR 2010, Seite 654 Rdnr. 19 – Zweckbetrieb; Köhler, in: Köhler/Bornkamm, § 4 Rdnr. 11.35c).
b) Im Hinblick auf Verbraucher mag § 13 Absatz I TMG die erforderliche wettbewerbsbezogene Schutzfunktion insoweit zuzugestehen sein, als die Informationsverpflichtung auch dazu dienen kann, Beeinträchtigungen der Privatsphäre durch unerwünschte Werbung abzuwehren und zu unterbinden.
Wie § 7 UWG zeigt, wird der Verbraucher durch unerwünschte Werbung nicht nur in seinem allgemeinen Persönlichkeitsrecht, sondern auch in seiner Stellung als Marktteilnehmer beeinträchtigt (vgl. Schaffert, in: MünchKomm-LauterkeitsR, § 4 Nr. 11 Rdnr. 69).

Auch das Oberlandesgericht München hatte dies zuletzt in seiner Entscheidung vom 12.01.2012 (Az. 29 U 3926/11) so beurteilt und die Anwendung von Regelungen des BDSG als Marktverhaltensregel im Sinne von § 4 Nr. 11 UWG abgelehnt.

Anders hatte dies im Jahr 2009 noch das Oberlandesgericht Köln (Entscheidung vom 14.08.2009, Az. 6 U 70/09) entschieden und geurteilt:

Das Verbot gem. § 4 Absatz 1 BDSG, personenbezogene Daten zu nutzen, wenn der Betroffene nicht eingewilligt oder dies durch das BDSG oder eine andere Rechtsvorschrift erlaubt oder angeordnet ist, ist insoweit eine gesetzliche Vorschrift i.S.d. § 4 Nr. 11 UWG, die auch dazu bestimmt ist, im Interesse der Marktteilnehmer das Marktverhalten zu regeln, als § 28 BDSG die Grenzen der Zulässigkeit der Nutzung der Daten für Zwecke der Werbung bestimmt. Zwar zielt das in § 4 Absatz 1 BDSG enthaltene Verbot mit Erlaubnisvorbehalt (vgl. Gola/Schomerus, BDSG, 9. Aufl., § 4 Rdnr. 3) weitaus überwiegend nicht darauf ab, Marktverhalten zu regeln. Soweit jedoch ein Marktteilnehmer sich auf einen Erlaubnistatbestand beruft, um diese Erlaubnis dazu zu nutzen, Werbung für sich zu machen, bezwecken die Grenzen, die das BDSG einem solchen Marktverhalten setzt, den Schutz des Betroffenen in seiner Stellung als Marktteilnehmer.

Diese Ansicht hatte das Oberlandesgericht Köln in einer weiteren Entscheidung vom 19.11.2010 (6 U 73/10) bestätigt.

Die Waage der Justitia könnte in diesem Punkt zukünftig endgültig zur anderen Seite ausschlagen:

 

Justitia: Klärung der Klärung der offenen Fragen des Schutzes personenbezogener Daten im Internet durch die Zivilgerichte?

Justitia entscheidet: Klärung der offenen Fragen des Schutzes personenbezogener Daten im Internet durch die Zivilgerichte?

 

Das Oberlandesgericht Karlsruhe hat sich in einer jüngst veröffentlichten Entscheidung vom 09.05.2012 –(6 U 38/11) nunmehr der Ansicht des Oberlandesgerichts Köln angeschlossen und die Regelungen § 4 (Zulässigkeit der Datenerhebung, -verarbeitung und –nutzung, Einwilligungsvorbehalt des Betroffenen) und § 28 (Datenerhebung und -speicherung für eigene Geschäftszwecke) des Bundesdatenschutzgesetzes als Marktverhaltensregeln im Sinne des § 4 Nr. 11 UWG angesehen:

„Der Senat teilt aber die Auffassung des Oberlandesgerichts Köln (Urt. v. 19.11.2010, Az. 6 U 73/10, auszugsweise veröffentlicht in CR 2011, 680, abrufbar in juris), dass für die Verfolgung dieses Interesses die Nutzung der Information, dass der ehemalige Kunde zur Beklagten gewechselt hat, nicht „erforderlich“ im Sinne des § 28 Abs. 1 S. 1 Nr. 2 BDSG a. F. ist und dass das schutzwürdige Interesse des Kunden am Ausschluss der Nutzung überwiegt. Das Merkmal der Erforderlichkeit setzt voraus, dass die berechtigten Interessen auf andere Weise nicht bzw. nicht angemessen gewahrt werden können. Es geht also um ein bei vernünftiger Betrachtung zu bejahendes Angewiesensein auf die Nutzung der fraglichen Information, nicht um eine absolut zwingende Notwendigkeit; die Nutzung ist dann erforderlich, wenn es, um das berechtigte Interesse verfolgen zu können, zur Nutzung der jeweiligen Information keine zumutbare Alternative gibt (vgl. Gola/Schomerus, a. a. O., § 28 Rn. 34 m. w. N.). Damit kann Erforderlichkeit im Zusammenhang mit der Nutzung für Werbung aber nicht mit bestmöglicher Effizienz gleichgesetzt werden (OLG Köln a. a. O.). Zudem zeigen die oben genannten Kriterien, dass die Beurteilung der Erforderlichkeit nicht getrennt betrachtet werden kann von den Interessen des Betroffenen am Schutz seiner personenbezogenen Daten. Wann die Nutzung personenbezogener Daten für die Verfolgung eines berechtigten Interesses erforderlich im genannten Sinne ist, hängt auch davon ab, in welchem Maße die Interessen des Betroffenen Schutz verdienen; je mehr Schutz sie verdienen, desto eher kann dem Nutzenden eine alternative, wenn auch weniger effiziente Art der Verfolgung seines berechtigten Interesses ohne Nutzung der personenbezogenen Daten zugemutet werden. Wie weit der Kreis der in Betracht kommenden Alternativen zu ziehen ist, hängt ebenfalls vom Grad der Schutzwürdigkeit der Interessen des Betroffenen und von der Intensität des Eingriffs ab (vgl. Simitis, Kommentar zum BDSG, 5. Aufl., § 28 Rn. 159). Die Prüfung der Erforderlichkeit ist also Teil der Interessenabwägung, die § 28 Abs. 1 S. 1 Nr. 2 BDSG a. F. verlangt.

Schließlich hat das Merkmal der Erforderlichkeit auch Rückwirkungen darauf, was als Gegenstand des berechtigten Interesses des Nutzenden in Betracht kommt. Denn das Merkmal der Erforderlichkeit wäre obsolet, wenn das berechtigte Interesse gerade auf die spezifische, die Verwertung personenbezogener Daten voraussetzende Nutzungsform bezogen würde; dann wäre die Nutzung eben stets „erforderlich“. Das gebietet eine Abstrahierung dessen, woran der Nutzende ein berechtigtes Interesse hat, im Streitfall auf die gezielte werbliche Ansprache ehemaliger Kunden (vgl. OLG Köln a. a. O.).

Vorliegend kann der Beklagten bei Berücksichtigung der wechselseitigen Interessen zugemutet werden, auf die Nutzung der Information über die Identität des neuen Versorgers und damit auf einen spezifisch auf den neuen Versorger des Kunden zugeschnittenen Vergleich in der Werbung zu verzichten. Dabei kommt es nicht entscheidend darauf an, ob es für den ehemaligen Kunden günstig ist, vergleichende Preiswerbung unter Bezugnahme auf seinen aktuellen Stromanbieter zu erhalten. Maßgeblich für das Interesse des Kunden als „Betroffenen“ im Sinne des § 28 BDSG muss vielmehr eine datenschutzrechtliche Betrachtung sein; dass der Anbieter mit einer solchen Werbung ein berechtigtes Anliegen verfolgt, wurde oben bereits ausgeführt.

Die Information, für welchen Stromanbieter sich ein individualisierter Kunde entschieden hat, ist ein personenbezogenes Datum, welches den Schutz des Art. 2 Abs. 1 GG (Grundrecht auf informationelle Selbstbestimmung) und des BDSG genießt. Bei der Würdigung der datenschutzrechtlich maßgeblichen Interessen des Betroffenen fällt aus Sicht des Senats in der vorliegenden Konstellation erheblich ins Gewicht, dass ein Stromkunde, der den Versorger wechselt und mit der Kündigung des Altvertrages den neuen Versorger beauftragt, regelmäßig nicht damit rechnet und nicht damit rechnen muss, dass der alte Versorger das personenbezogene Datum seines neuen Versorgers speichern und noch lange nach erfolgter Umstellung des Vertrags zu Zwecken der Werbung nutzen wird. Der Kunde gibt eine Erklärung gegenüber dem neuen Versorger ab, um dessen Service bei der Vertragsumstellung in Anspruch zu nehmen. Dies geschieht allein zum Zweck der reibungslosen Umstellung des Stromlieferungsvertrages. Der Kunde, dessen personenbezogene Daten durch das Grundrecht auf informationelle Selbstbestimmung und durch das BDSG geschützt sind, darf darauf vertrauen, dass die bei der Beauftragung des neuen Versorgers mit der Kündigung notwendigerweise preisgegebene Information über seinen neuen Versorger nur insoweit genutzt wird, wie es im Rahmen dieser üblichen und energierechtlich vorgesehenen Vorgehensweise (vgl. Eckhardt CR 2011, 684) unumgänglich ist, nämlich im Rahmen technischen Abwicklung des Versorgerwechsels (vgl. auch OLG Köln a. a. O.). Ob der alte Versorger die Information, wer der neue Versorger seines ehemaligen Kunden ist, sogar gemäß § 35 Abs. 2 S. 2 Nr. 3 BDSG zu löschen oder zumindest nach § 35 Abs. 3 Nr. 1 BDSG zu sperren hat (so Eckhardt a. a. O.; wohl a. A., aber mit Blick auf andere Fallgestaltungen, Gola/Schomerus, BDSG, 10. Aufl., § 35 Rn. 13), bedarf letztlich keiner Entscheidung.

Denn auch wenn eine Lösch- oder Sperrpflicht der Beklagten nicht bestünde, überwöge dennoch das dargestellte Interesse des ehemaligen Kunden am Schutz seiner Daten dasjenige des alten Versorgers an der Nutzung der Information über den neuen Versorger des Kunden. Überzeugend weist das Oberlandesgericht Köln in der zitierten Entscheidung darauf hin, dass dem Anbieter weder eine werbliche Ansprache speziell seiner ehemaligen Kunden noch ein dabei unterbreiteter genereller Preisvergleich unmöglich gemacht wird, wenn er die genannte Information nicht nutzen darf. Ihm wird lediglich die Möglichkeit genommen, den Preisvergleich gerade auf denjenigen Stromanbieter zuzuschneiden, zu dem der jeweilige Kunde gewechselt hat. Dieser Verzicht kann und muss ihm im Rahmen der Abwägung angesichts des Schutzes, den personenbezogene Daten genießen, zugemutet werden. Damit liegen die Voraussetzungen des § 28 Abs. 1 S. 2 Nr. 2 BDSG a. F. nicht vor. Gleiches gilt für § 28 Abs. 1 S. 2 Nr. 3 BDSG a. F., der sich auf den hier nicht einschlägigen Fall der Daten aus“

Das Oberlandesgericht Karlsruhe hat in Hinblick auf die grundsätzliche Bedeutung der Frage sowie die Sicherung einer einheitlichen Rechtsprechung die Revision zum Bundesgerichtshof (BGH) zugelassen. Das Verfahren ist beim BGH mittlerweile auch unter dem Aktenzeichen I ZR 224/10 anhängig. Es steht daher zu hoffen, dass der BGH insoweit alsbald eine Grundsatzentscheidung fällt und den Weg zur Klärung der der vielfältigen offenen Fragen des Schutzes personenbezogener Daten durch die Wettbewerbskammern und –senate der Zivilgerichte eröffnet. Dies erhöht bereits jetzt die Relevanz einer Prüfung und Klärung des Umgangs mit personenbezogenen Daten insbesondere im Internet für Unternehmen und die Anpassung oder Einführung entsprechender Compliance-Richtlinien und sonstiger vorbeugender Maßnahmen.

Schließen sich andere Gerichte der Einschätzung des OLG Karlsruhe an, drohen bei Datenschutzverstößen künftig nicht mehr nur Maßnahmen der Aufsichtsbehörden (Untersagungsverfügung, Audit, Bußgeld). Vielmehr könnten Wettbewerber, Verbraucherzentralen und Wettbewerbsverbände gegen Datenschutzverstöße von Unternehmen und Gewerbetreibenden zivilrechtlich vorgehen. Wer sich jetzt richtig aufstellt, kann also auch Abmahnungen, Einstweilige Verfügungen, Unterlassungsklagen und andere „Hässlichkeiten“ – und natürlich auch gegen die damit verbundenen Kosten – wappnen. Dabei haben die Erfahrungen der Vergangenheit gezeigt, dass ein gutes und damit professionelles Datenschutzmanagement eben auch Vertrauen schafft und Kunden binden kann.

Update 27.06.2013 – OLG Hamburg: Mit Urteil vom 27.06.2013, Az.: 3 U 26/12 hat das Hanseatische Oberlandesgericht nunmehr ebenfalls datenschutzrechtliche Regelungen als Marktverhaltensregeln iSd. Wettbewerbsrechts beurteilt. Das Urteil erging zu der speziellen Datenschutzregelung des § 13 TMG, wonach der Diensteanbieter den Nutzer zu Beginn des Nutzungsvorgangs u. a. über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten in allgemein verständlicher Form zu unterrichten hat. Dies eine im Sinne des § 4 Nummer 11 UWG das Marktverhalten regelnde Norm, da nach den Erwägungsgründen der dieser Norm zugrunde liegenden Datenschutzrichtlinie 95/46/EG durch die Schaffung gleicher Wettbewerbsbedingungen jedenfalls auch die wettbewerbliche Entfaltung des Mitbewerbers geschützt werden soll. Den Erwägungsgründen zur Richtlinie sei darüber hinaus zu entnehmen, dass die in § 13 TMG geregelten Aufklärungspflichten auch dem Schutz der Verbraucherinteressen bei der Marktteilnahme dienen, weil sie den Verbraucher über die Datenverwendung aufklären und dadurch seine Entscheidungs- und Verhaltensfreiheit beeinflussen.

Sie haben Fragen zum Datenschutzrecht? Sie benötigen Unterstützung durch einen sach-und rechtskundigen betrieblichen Datenschutzbeauftragten? Sie möchten eine unternehmenskritische datenschutzrechtliche Fragestellung durch eine zivilgerichtliche Entscheidung klären lassen oder sich gegen eine wettbewerbsrechtliche Abmahnung mit datenschutzrechtlichem Bezug wehren? Für alle Fragen des Datenschutzrechts, des Wettbewerbsrechts aber natürlich auch andere Bereiche des IT-Rechts steht Ihnen BBS als kompetenter und praxisorientierter Partner zur Verfügung. Was können wir für Sie tun?

EuGH: IP-Adressen sind personenbezogene Daten

, ,

Der Europäische Gerichtshof hat in einer jüngst veröffentlichten Entscheidung eine der umstrittensten Fragen des Datenschutzrechts nunmehr höchstrichterlich beantwortet: das Gericht hat bestätigt, dass die IP-Adresse zu den personenbezogenen Daten gehört.

Zankapfel IP-Adresse: rechtliche Einordnung

Eine IP-Adresse ist eine Adresse, die in Computernetzen, die – wie z. B. dem Internet – angeschlossenen Endgeräten (Computer, Smartphone usw.) zugewiesen wird. Mittels dieser „Hausnummer“ können Daten zwischen den beteiligten Geräten übermittelt werden.

Zwischen Behörden und Gerichten sowie Diensteanbietern und rechtswissenschaftlichen und technischen Fachleuten war umstritten, ob eine solche Adresse zu den personenbezogenen Daten gehört. Personenbezogene Daten sind gemäß § 3 Abs. 1 Bundesdatenschutzgesetz (BDSG) Informationen, die einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können. Stein des Anstoßes und Kern der rechtlichen Auseinandersetzung war die Frage, was eine „bestimmbare“ natürliche Person ist. Denn die Information, welchem Netzteilnehmer zu welcher Zeit eine bestimmte IP-Adresse zugewiesen war, liegt in der Regel nur dem Zugangsprovider vor. Der Betreiber einer Internetseite hat in der Regel nicht die Möglichkeit, auf die Daten des Providers zu zugreifen. Für ihn ist die Person also nicht bestimmbar. Für die Aufsichtsbehörden war dieser Umstand nicht relevant. „Bestimmbar“ im Sinne des Gesetzes bedeutet nach Ansicht der Aufsichtsbehörden, dass es rein faktisch möglich ist, eine solche Zuordnung vorzunehmen, und zwar unabhängig von tatsächlich gegebenen Zugriffsmöglichkeiten. Diese Ansicht lag auch einem viel beachteten Beschluss des so genannten Düsseldorfer Kreises (ein informelles Gremium der Aufsichtsbehörden für den Datenschutz im Bereich Telemedien) aus dem November 2009 zu Grunde. Nach diesem Beschluss wurden Anforderungen an die Rechtmäßigkeit von Webanalyse-Werkzeugen (wie beispielsweise „Google Analytics“) aufgestellt, die sich an der Einordnung von IP-Adressen als personenbezogene Daten orientierten (wir berichteten). Das sahen freilich verschiedene Online-Anbieter anders. Der Datenschutzbeauftragte der für den Vertrieb der Google-Dienste in Deutschland zuständigen Google Germany GmbH wandte sich beispielsweise bereits vor längerer Zeit vehement gegen die Einordnung von IP-Adressen als personenbezogen (Meyerdierks: „Sind IP-Adressen personenbezogene Daten?“ in der Zeitschrift MMR 2009, S. 8).

EugH: IP-Adresse ist personenbezogen

Der europäische Gerichtshof hatte nunmehr zu der Frage zu entscheiden, ob ein Internet-Provider verpflichtet werden kann, ein Filtersystem zur Verhinderung des illegalen Zugänglichmachens urheberrechtlich geschützter Werke (Filesharing) einzurichten. In Randziffer 51 des Urteils lautet es:

„Zum einen steht nämlich fest, dass die Anordnung, das streitige Filtersystem einzurichten, eine systematische Prüfung aller Inhalte sowie die Sammlung und Identifizierung der IP-Adressen der Nutzer bedeuten würde, die die Sendung unzulässiger Inhalte in diesem Netz veranlasst haben, wobei es sich bei diesen Adressen um personenbezogene Daten handelt, da sie die genaue Identifizierung der Nutzer ermöglichen.“ (Urteil vom 24. November 2011; Rechtssache C-70/10)

Augenscheinlich tendiert der europäische Gerichtshof dazu, IP-Adressen generell als personenbezogene Daten anzusehen. Damit wäre höchstrichterlich geklärt, dass die IP-Adresse zu den personenbezogenen Nutzungsdaten gehört.

Handlungsbedarf: unverzügliche Löschung und Datensparsamkeit

IP-Adressen genießen daher den Schutz des § 15 Telemediengesetz (TMG). Danach sind Nutzungsdaten unverzüglich nach Beendigung des Nutzungsvorgangs zu löschen, wenn sie nicht zu Abrechnungszwecken benötigt werden. Im Klartext: beispielsweise darf im Logfile eines Webservers keine dauerhafte Speicherung vollständiger IP-Adressen erfolgen. Auch Webanalysemaßnahmen dürfen nur dann unter Verwendung der vollständigen IP-Adresse erfolgen, wenn dem Nutzer eine einfache und praktisch umsetzbare Möglichkeit des Widerspruchs gegeben ist, der Nutzer auf sein Widerspruchsrecht hingewiesen wurde und wenn keine Zusammenführung mit anderen personenbezogenen Daten des Nutzers erfolgt.

Die Entscheidung des Europäischen Gerichtshofs lässt allerdings noch ein kleines denkbares „Schlupfloch“: das Urteil des EuGH betraf eine IP-Adresse in den Händen des Internet-Providers. Daher könnte noch diskutiert werden, ob die IP-Adresse in den Händen eines „normalen“ Internetseitenbetreibers möglicherweise anders einzustufen wäre. Diensteanbietern ist jedoch anzuraten, die Entscheidung des EuGH ernstzunehmen. Zweckmäßigerweise sollte geprüft werden, ob die vollständige Erhebung der IP-Adresse zwingend notwendig ist und ob überall dort, wo dies nicht der Fall ist, eine Anonymisierung erfolgen kann. Hier ist beispielsweise an die Kürzung der erhobenen Adressen um die letzten drei Ziffern zu denken. Überdies sollten Diensteanbieter das Thema „Löschungsfristen“ sorgfältig prüfen. Zwar hat der Bundesgerichtshof entschieden, dass eine unverzügliche Löschung nicht mehr benötigter Nutzungsdaten nicht einer „sofortigen“ Löschung entspricht (BGH, Urteil vom 13.1.2011 – AZ: III ZR 146/1). In der Praxis bedeutet dies, dass ein Diensteanbieter etwaig erhobene IP-Adressen nicht sofort nach Beendigung des Nutzungsvorgangs, sondern im Rahmen einer regelmäßigen Anonymisierung oder Löschung neutralisieren oder löschen muss. Die Frist sollte hierbei jedoch keinesfalls zu lang angesetzt werden.

Das Telemediengesetz sieht für Verstöße gegen die datenschutzrechtlichen Verpflichtungen Geldbußen von bis zu 50.000 € vor. Darüber hinaus sind Maßnahmen der Aufsichtsbehörden und die Umsetzung von behördlichen Auflagen oftmals deutlich teurer und mit wesentlich mehr Aufwand verbunden, als eine von Anfang an durchdachte Gestaltung der IT-Infrastruktur. Datenschutz ist daher nicht nur eine lästige Pflicht, sondern eine Selbstverständlichkeit, die von allgemeingültigen gesetzlichen „Spielregeln“ ebenso verbindlich geregelt ist wie das Steuerrecht. Professionelle Diensteanbieter sollten daher auch in Datenschutzfragen professionell aufgestellt sein.

Sie haben Fragen zum Datenschutzrecht? Sie benötigen Unterstützung durch einen sach-und rechtskundigen betrieblichen Datenschutzbeauftragten? Für alle Fragen des Datenschutzrechts, aber natürlich auch andere Bereiche des IT-Rechts steht Ihnen BBS als kompetenter und praxisorientierter Partner zur Verfügung. Was können wir für Sie tun?

Aufsichtsbehörde sucht Datenschutzverstöße künftig automatisiert

, , ,

Online-Datenschutz: google-analytics, Facebook und die Folgen

Ob es um die Nutzung des Webtracking-Tools google-analytics ging oder um die Einbindung des Facebook-Buttons, um die § 13 Abs. 1 Telemediengesetz (TMG) erforderliche Datenschutzerklärung oder die Gestaltung der Einwilligung des Nutzers zur Verwendung seiner Daten für Zwecke der Werbung und Marktforschung (opt-in) – Betreiber von Internetseiten müssen gegenwärtig einige rechtliche Herausforderungen meistern.

Aufsichtsbehörden bislang eher zurückhaltend

Da war es gut, dass die Aufsichtsbehörden in der Vergangenheit eher passiv mit dem Thema Datenschutz im Internet gegangen sind. Nur in extremen Fällen sind bislang die Behörden eingeschritten. Selbst wenn eine Aufsichtsbehörde tätig wurde, hatte dies in der Vergangenheit selten handfeste Folgen. Die durchaus möglichen Bußgelder wurden nur sehr zurückhaltend verhängt.

Neue Software findet Verstöße automatisiert

Das könnte sich nun grundlegend ändern:

Der Bundesdatenschutzbeauftragte Peter Schaar hat am 25.03.2011 ein vom Fraunhofer-Institut für Sichere Informationstechnologie (SIT) entwickeltes Werkzeug zur automatisierten Erkennung von Datenschutzverstößen auf Internetseiten vorgestellt. Das Tool soll unter der Bezeichnung „Privacy Violation Detector“ (Prividor) für die Datenschutzaufsicht zum Einsatz kommen.

Zu den erkannten Rechtsverstößen gehören beispielsweise problematische Tracking-Dienste und die Verwendung unverschlüsselter Online-Formulare.

Zunächst soll das Tool nur vom Datenschutzbeauftragten des Bundes eingesetzt werden. Da der Bundesdatenschutzbeauftragte vorrangig für die Bundesbehörden zuständig ist, steht ein Einsatz den Internetseiten privater Anbieter noch nicht unmittelbar bevor. Es wird jedoch allenfalls eine Frage der Zeit sein, bis die für private Telemedien zuständigen Datenschutzbeauftragten der Länder mit Prividor auf die Jagd nach privaten Rechtsverletzungen gehen.

Angst vor Abmahnwelle

Der Bundesdatenschutzbeauftragte kann sich vorstellen, Prividor als Open-Source-Software jedermann bereitzustellen. Diese Ankündigung führte zu einiger Unruhe. Es wird befürchtet, dass Abmahn-Anwälte mit Prividor neue abzumahnende Rechtsverstöße bequem und in großer Zahl automatisiert auffinden und bearbeiten können.

Im Hinblick auf den Facebook-Button kann zwar in dieser Hinsicht ein neues, für online Anbieter positives Urteil aus Berlin verzeichnet werden:

Landgericht Berlin: Facebook-Button nicht wettbewerbswidrig

Das Landgericht Berlin hat (Beschluss v. 13.03.2011, Aktenzeichen: 91 O 25/11) entschieden, dass die Integration des „Gefällt mir“-Buttons der Plattform facebook auf der Internetseite eines Onlinehändlers ohne Hinweis auf die damit einhergehende Datenübermittlung nicht wettbewerbswidrig ist. Der datenschutzrechtlich einschlägige § 13 TMG stelle keine Marktverhaltensnorm im Sinne von § 4 Nr. 11 UWG dar. Ein Verstoß gegen § 13 TMG könne daher – so das Gericht – nicht von Wettbewerbern mit Abmahnungen, einstweiligen Verfügungen oder Klagen verfolgt werden. Natürlich können Betroffene ihre eigenen Rechte wegen des Rechtsverstoßes gegen den Betreiber der Internetseite geltend machen.

Keine Entwarnung

Die Berliner Entscheidung ist mit Vorsicht zu genießen. Die Frage, ob datenschutzrechtliche Bestimmungen Marktverhaltensnormen sind, ist nicht höchstrichterlich entschieden. Es ist denkbar, dass andere Gerichte und insbesondere übergeordnete Instanzen die Rechtslage anders einschätzen als das Landgericht Berlin. Nach der letzten großen Reform des Wettbewerbsrechts wurde der Verbraucherschutz als wesentliches Ziel des Gesetzes gegen den Unlauteren Wettbewerb in § 1 UWG aufgenommen. Datenschutz und Verbraucherschutz sind eng verwobene Regelungsbereiche. Eine anderweitige Einschätzung als die des Landgerichts Berlin lässt sich daher durchaus begründen. Von Entwarnung kann daher bis zu einer klärenden Entscheidung des Bundesgerichtshofs (oder des Gesetzgebers) keine Rede sein.

Sie möchten sicher gehen? Ihr Online-Auftritt soll praxisgerecht und profitabel sein, aber auch die datenschutzrechtlichen Anforderungen erfüllen? BBS hilft. Bei Fragen zum Datenschutz, aber auch zu allen anderen Herausforderungen im Bereich des IT- und Wettbewerbsrechts sind wir Ihr direkter und kompetenter Ansprechpartner. Sprechen Sie uns an.

 

 

Bundesarbeitsgericht: betrieblicher Datenschutzbeauftragter kann nicht einfach abbestellt werden

, ,

 

Wann muss ein betrieblicher Datenschutzbeauftragter bestellt werden?

Die automatisierte Datenverarbeitung ist in der Wirtschaft des digitalen Zeitalters nicht hinweg zu denken. Ob Kundendaten, die Verwaltung des Mitarbeiterstammes oder die Verarbeitung personenbezogener Daten im Auftrag: durch EDV wird die strukturierte und erfolgreiche Umsetzung der Geschäftsprozesse oft erst möglich.

Dabei gilt es aber auch, die rechtlichen Rahmenbedingungen zu berücksichtigen. Sind 10 oder mehr Mitarbeiter ständig mit der automatisierten Verarbeitung personenbezogener Daten befasst, ist ein betrieblicher Datenschutzbeauftragter zu bestellen. Dies bestimmt § 4f des Bundesdatenschutzgesetzes (BDSG). Auch bei weniger als 10 mit der automatisierten Datenverarbeitung beschäftigten Personen kann die Bestellung eines betrieblichen Datenschutzbeauftragten notwendig werden. Das gilt insbesondere dann, wenn eine automatisierte Auftragsdatenverarbeitung erfolgen soll und das Unternehmen dieses Verfahren nicht der zuständigen Aufsichtsbehörde melden will (§ 4 d Abs. 1 BDSG). Ein Datenschutzbeauftragter ist auch dann zu bestellen, wenn ein Verfahren mit besonders schwerwiegenden Risiken für die Rechte der Betroffenen verbunden ist und daher vor seiner Einführung auf die datenschutzrechtliche Zulässigkeit geprüft werden muss (so genannte Vorabkontrolle, geregelt in § 4 d Abs. 5 und 6 BDSG). Der Vorabkontrolle soll nach Einschätzung der Aufsichtsbehörden insbesondere die Einführung einer Videoüberwachung unterliegen.

Zuverlässigkeit und Fachkenntnis notwendig

Der betriebliche Datenschutzbeauftragte hat die Aufgabe, die Einhaltung der datenschutzrechtlichen Bestimmungen im Unternehmen zu prüfen und zu fördern und insbesondere auch die Geschäftsführung in diesem Bereich zu beraten. Dafür muss der Datenschutzbeauftragte insbesondere über die erforderliche Fachkenntnis und Zuverlässigkeit verfügen. Zum betrieblichen Datenschutzbeauftragten kann ein Mitarbeiter bestellt werden, der über die notwendigen Voraussetzungen verfügt. Ein Unternehmen kann jedoch auch einen externen Datenschutzbeauftragten bestellen.

Konflikte oft vorprogrammiert

Naturgemäß stehen die Anforderungen des Datenschutzes mitunter im Widerstreit zu den vorhandenen Vorstellungen über die Gestaltung der Geschäftsprozesse. Insbesondere wenn datenschutzrechtliche Vorgaben die Änderung vorhandener Geschäftsprozesse oder einen Mehraufwand bei der Gestaltung künftiger Geschäftsprozesse erfordern, führt dies nicht selten zu Konflikten.

Dass bei solchen Konflikten nicht einfach durch die Abberufung des betrieblichen Datenschutzbeauftragten Abhilfe geschaffen werden kann, stellte das Bundesarbeitsgericht (BAG) in einer jüngst ergangenen Entscheidung (Urteil vomv. 23.3.2011 -10 AZR 562/09) klar:

Bundesarbeitsgericht: Austausch des Datenschutzbeauftragten nicht möglich

Das BAG hat entschieden, dass eine Abberufung des Datenschutzbeauftragten nur aus wichtigem Grund möglich ist, wenn eine Fortsetzung des Rechtsverhältnisses für den Arbeitgeber unzumutbar ist. Im konkreten Fall war die klagende betriebliche Datenschutzbeauftragte auch Mitglied im Betriebsrat einer der beiden Beklagten. Die Beklagten wollten nunmehr einen externen betrieblichen Datenschutzbeauftragten bestellen. Dazu musste natürlich die Bestellung der bisherigen Datenschutzbeauftragten widerrufen werden. Zur Begründung führten die Beklagten insbesondere an, dass die Datenschutzbeauftragte wegen ihrer Mitgliedschaft im Betriebsrat unzuverlässig sei.

Das Bundesarbeitsgericht vereitelte den Plan der Geschäftsführung. Es erklärte den Widerruf der Bestellung der Mitarbeiterin zur Datenschutzbeauftragten für unwirksam.

Unabhängigkeit ist zu wahren

Zur Begründung führte das Gericht aus, dass der betriebliche Datenschutzbeauftragte seine Aufgabe unabhängig und insbesondere auch frei von den Weisungen der Geschäftsführung auszuüben habe. Daher könne er auch nicht einfach abberufen werden. Die Unabhängigkeit des Datenschutzbeauftragten wäre natürlich nicht mehr gegeben, wenn ein missliebiger betrieblicher Datenschutzbeauftragter einfach abgerufen und durch einen anderen ersetzt werden könnte. Daher war es auch der Beklagten verwehrt, einfach einen neuen externen Datenschutzbeauftragten zu bestellen, der an die Stelle der bisherigen betrieblichen Datenschutzbeauftragten treten sollte.

Betriebsrat nicht unzuverlässig

Daran änderte nach der Einschätzung des Gerichts auch die Mitgliedschaft der Datenschutzbeauftragten im Betriebsrat nichts. Dieser Umstand mache die Datenschutzbeauftragte keineswegs unzuverlässig.

Urteil nicht überraschend

Die Einschätzung des Gerichts bestätigt eine Selbstverständlichkeit: nach dem Leitbild des Bundesdatenschutzgesetzes hat der Datenschutzbeauftragte eine neutrale Kontrollfunktion auszuüben. Er hat der Umsetzung der datenschutzrechtlichen Vorgaben zu dienen. Wenn dies von der Geschäftsführung beispielsweise dann nicht erwünscht ist, wenn datenschutzrechtliche bedenkliche Verfahren (man erinnere sich an die aktuellen Rechtsfragen zum Einsatz von google-analytics) auf dem Prüfstand stehen, soll der Datenschutzbeauftragte nicht den möglicherweise nur finanziellen Interessen der Geschäftsführung zu weichen haben.

Das gerichtliche Vorbringen der Beklagten, nach welchem  die Mitgliedschaft der Datenschutzbeauftragten im Betriebsrat ihre Unzuverlässigkeit begründen sollte, grenzt nach der persönlichen Einschätzung des Verfassers an Naivität. Wer die arbeitsrechtliche Rechtsprechung in diesem Bereich kennt, kann diesem Argument keine allzu große Aussicht auf Erfolg beimessen.

Bestellung des Datenschutzbeauftragten: frühzeitig die richtige Lösung finden

Bei der Bestellung des betrieblichen Datenschutzbeauftragten werden oftmals bereits am Anfang Fehler gemacht, die sich später schwer korrigieren lassen. Vielfach wird beispielsweise wegen der vermeintlichen Nähe zum Thema ein Mitarbeiter aus dem technischen Bereich zum betrieblichen Datenschutzbeauftragten bestellt. Natürlich erfordert die rechtliche Beurteilung von technischen Sachverhalten auch ein Grundverständnis der technischen Hintergründe. Jedoch sind die nationalen und europäischen gesetzlichen Regelungen teilweise derart komplex, dass eine tief greifende Befassung, ständige Fortbildung und insbesondere auch juristische Kenntnisse notwendig sind.

Rechtskenntnisse unumgänglich

Nicht zu trennen: IT und Datenschutzrecht

Die Bestellung eines externen Datenschutzbeauftragten bietet hier große Vorteile: der externe Datenschutzbeauftragte kann sich weitaus mehr mit den rechtlichen Rahmenbedingungen befassen, als dies ein eigentlich mit anderen Aufgaben betrauter Mitarbeiter tun kann.

Darüber hinaus verfügt ein externer Datenschutzbeauftragter oftmals über die Möglichkeit zu Vergleichen mit der Situation in anderen Unternehmen. Hierbei können vielfach sachgerechte und praxisorientierte Lösungen schneller gefunden werden.

Ein betrieblicher Datenschutzbeauftragter sollte nicht als „Feind“ angesehen werden. Vielmehr soll er verlässlicher und kompetenter Ansprechpartner sein und auch die Geschäftsleitung vor Risiken warnen und bewahren.

Oft vorteilhaft: externer Datenschutzbeauftragter

BBS bietet für Sie umfangreiche Kompetenz im Bereich des Datenschutzes. Wir kennen nicht nur die rechtlichen Rahmenbedingungen, sondern auch betriebliche und betriebswirtschaftliche Anforderungen an praxisgerechte Lösungen. Wir bieten Ihnen die Bestellung eines externen betrieblichen Datenschutzbeauftragten, der Sicherheit bei der Umsetzung datenschutzrechtlicher Vorgaben schafft und gleichzeitig Ihre geschäftlichen Notwendigkeiten berücksichtigt. Mit Kreativität, Sachverstand und enger Zusammenarbeit lassen sich auch vermeintlich widerstreitende Interessen oftmals unter einen Hut bringen. Datenschutz und Datensicherheit sind in der digitalen Welt keine lästigen Formalitäten. Es gilt nicht nur Bußgelder, Strafen und Auseinandersetzungen mit den Aufsichtsbehörden zu vermeiden. Datenschutzpannen sind auch geschäftsschädigend. Wer sich im Bereich des Datenschutzes auf ein professionelles Management und einen guten Berater verlassen kann, kann sich auch besser auf seinen geschäftlichen Erfolg konzentrieren. Gemeinsam mit Ihnen finden wir die passenden Lösungen für Ihr Unternehmen – sprechen Sie uns an!