Datenschutz und –sicherheit

Die aktuellen Reformen und die öffentliche Diskussion im Bereich der Informationstechnologie zeigen die wachsende Bedeutung und Wahrnehmung datenschutzrechtlicher Aspekte, sei es im Bereich von Industrie 4.0, des Cloud-Computing, der IT-Sicherheit, sozialen Netze oder des Umfangs mit Kunden- oder Mitarbeiterdaten im Kontext von Werbung oder E-Business.

Der Umfang unseres Beratungsspektrums umfasst dabei die grundlegenden Aspekte, nämlich die Erfassung und Bewertung datenschutzrelevanter Prozesse  im Unternehmen und deren rechtliche Bewertung und Risikoanalyse sowie den Aufbau der datenschutzrechtlichen Organisation und der Implementierung von Datenschutzprozessen. Darüber hinaus beraten wir ständig im Kontext wesentlicher datenschutzrelevanter Einzelmaßnahmen, so beispielhaft im Kontext der Einführung von Software, beim Outsourcing, im Bereich des Customer Relationship Managements oder des Online-Handels.

  • Betrieblicher Datenschutz
  • Datenschutz im E-Business
  • Social-Media-Guidelines
  • Auftragsdatenverarbeitung
  • Cloud-Computing
  • Gesundheitsdatenschutz
  • Beschäftigendatenschutz Bring-Your-Own-Device (BYOD)
  • Inhouse-Schulungen von Datenschutzbeauftragten und Belegschaft

 

19.06.2017
Neues Bundesdatenschutzgesetz tritt am 25. Mai 2018 in Kraft

Ab 25. Mai 2018 ist die 2016 in Kraft getretene Datenschutzgrundverordnung (DSGVO) anwendbar. Ziel der Verordnung ist die Vereinheitlichung des Datenschutzrechts in Europa. EU-Verordnungen gelten in den Mitgliedsstaaten unmittelbar, d.h. sie bedürfen keiner einzelstaatlichen Umsetzung sondern sind direkt anwendbar.

Die Neuregelung auf europäischer Ebene führt dazu, dass das bisherige Bundesdatenschutzgesetz angepasst werden muss. Das zukünftige BDSG betrifft nur noch die Bereiche, die nicht bereits von der Datenschutzgrundverordnung abgedeckt sind bzw. diejenigen hinsichtlich derer sich aus der Verordnung Regelungsspielräume für den deutschen Gesetzgeber ergeben. Das bisherige BDSG sowie die Landesdatenschutzgesetze werden ab dem 25. Mai 2018 im Anwendungsbereich der neuen Verordnung unanwendbar.

Aus diesen Gründen hat der Bundestag am 27. April 2017 ein Datenschutz-Anpassungs- und Umsetzungsgesetz – EU (DSAnpUG-EU) und das darin in Artikel 1 enthaltene neue Bundesdatenschutzgesetz verabschiedet. Der Bundesrat hat dem Gesetz am 12. Mai 2017 zugestimmt. Das neue Bundesdatenschutzgesetz tritt am 25. Mai 2018 gleichzeitig mit dem Gültigwerden der Datenschutzgrundverordnung in Kraft. Es gilt wie die alte Fassung insbesondere für Datenverarbeitung bei öffentlichen Stellen des Bundes und durch nicht-öffentliche Stellen. Das Gesetz enthält unter anderem neue Regelungen für Videoüberwachung im öffentlichen Raum, Scoring und Arbeitnehmerdatenschutz. Abweichend zum geltenden BDSG enthält die Neufassung keine Regelungen mehr für Ausnahmen für die Datenverarbeitung durch Presseunternehmen, da für das Pressewesen nunmehr ausschließlich die Länder zuständig sind.

Bei Fragen zu Datenschutz & Datensicherheit stehen wir gern zur Verfügung.

 

Freie-Vogel-Straße 393
44269 Dortmund

Telefon: +49 231 286598-0
Telefax: +49 231 286598-51

E-Mail: kontakt@awpr.de
www.awpr.de

Daniel Christian Pohl, LL.M.
Rechtsanwalt

Dominik Rücker, LL.M.
Rechtsanwalt
Fachanwalt für IT-Recht

19.05.2017
BGH zur Speicherung dynamischer IP-Adressen

Der Bundesgerichtshof hat unter Berücksichtigung der Rechtsprechung des Europäischen Gerichtshofs (EuGH) entschieden, dass dynamische IP-Adressen, die beim Aufruf einer Webseite gespeichert werden, personenbezogene Daten sind. Die Speicherung der IP-Adresse über das Nutzungsende hinaus könne jedoch bei Gefahr von Cyberattacken zur Gewährleistung der Funktionsfähigkeit der Webseite zulässig sein. Das Interesse des Webseitenbetreibers an der Speicherung müsse dabei gegen die Grundrechte der Nutzer abgewogen werden.

Maßgeblich für diese BGH-Entscheidung war das am 19.10.2016 ergangene Urteil des Europäischen Gerichtshofs womit dieser das Vorabentscheidungsersuchen des Bundesgerichtshofs beantwortete. Ausführliche Informationen diesbezüglich finden Sie unter: http://awpr.de/news/die-entscheidung-des-eugh-zur-frage-des-personenbezugs-von-ip-adressen/

Sachverhalt

Ausgangspunkt des Verfahrens vor dem Bundesgerichtshof war eine Klage des Herrn Patrick Breyer gegen die Bundesrepublik Deutschland. Der Kläger rügte, dass die von ihm aufgerufenen Webseiten von Einrichtungen des Bundes seine IP-Adressen aufzeichnen und speichern. Tatsächlich werden bei vielen Internetseiten des Bundes Zugriffe in Protokolldateien festgehalten, um Cyberattacken abwehren zu können und eine strafrechtliche Verfolgung zu ermöglichen. Dabei werden der Name der aufgerufenen Seite, die IP-Adresse des Nutzers sowie der Zeitpunkt des Aufrufs auch über das Nutzungsende (Schließen der aufgerufenen Webseite) hinaus gespeichert. Das Klagebegehren richtete sich auf Unterlassung der Speicherung über das Nutzungsende hinaus.

Entscheidung

Der Bundesgerichtshof setzte das Verfahren aus und rief den Europäischen Gerichtshof im Wege eines Vorabentscheidungsverfahrens zur Klärung der Frage, ob dynamische IP-Adressen personenbezogene Daten sind, an. Der EuGH stellte fest, dass IP-Adressen personenbezogene Daten sind, wenn der verantwortlichen Stelle ein „rechtliches Mittel“ zu Verfügung steht, den Inhaber der IP-Adresse zu ermitteln.

IP-Adresse ist personenbezogenes Datum
Der Bundesgerichtshof entschied nun unter Beachtung dieser EuGH-Rechtsprechung, dass das Tatbestandsmerkmal „personenbezogene Daten“ aus § 12 Abs. 1 und 2 Telemediengesetz (TMG) in Verbindung mit § 3 Abs. 1 Bundesdatenschutzgesetz (BDSG) richtlinienkonform auszulegen sei. Eine dynamische IP-Adresse, die von Webseitenbetreibern beim Zugriff eines Besuchers auf die Webseite gespeichert werde, stelle daher für die Betreiber ein personenbezogenes Datum dar.

Zulässigkeit der Speicherung
Die Speicherung der IP-Adresse richte sich nach den Voraussetzungen des § 15 Abs. 1 TMG. Danach darf der Betreiber einer Webseite personenbezogene Daten eines Nutzers nur erheben und verwenden, soweit dies erforderlich ist, um die Inanspruchnahme von Telemedien zu ermöglichen und abzurechnen (Nutzungsdaten).
Diese Regelung sei richtlinienkonform nach Art. 7 lit. f der Richtlinie 95/46/EG dahingehend auszulegen, dass eine Speicherung durch Webseitenbetreiber nur dann ohne Einwilligung des Seitenbesuchers auch über das Nutzungsende hinaus zulässig sei, wenn die Erhebung und Verwendung der IP-Adresse erforderlich sei, um die grundsätzliche Funktionsfähigkeit der Webseite zu gewährleisten. An dieser Stelle sei das Interesse an der Speicherung und Verwendung mit dem Interesse und den Grundrechten der Nutzer der Webseite abzuwägen.

Diese Abwägung könne im streitgegenständlichen Verfahren zwischen dem Kläger und der beklagten Bundesrepublik Deutschland nicht abschließend durchgeführt werden. Hintergrund dessen sei, dass das Berufungsgericht in der vorigen Instanz keine hinreichenden Feststellungen dazu getroffen hat, ob die Speicherung in diesem Fall erforderlich war, um die generelle Funktionsfähigkeit der Webseite zu gewährleisten.

Aus diesen Gründen verwies der BGH die Sache zurück an das Berufungsgericht. Dieses hat die erforderlichen Feststellungen hinsichtlich des Ausmaßes der Angriffsgefahr zu treffen und sodann die nach der EuGH-Rechtsprechung erforderliche Interessenabwägung zwischen dem Interesse der Beklagten an der Aufrechterhaltung der Funktionsfähigkeit der Webseiten und dem Interesse oder den Grundrechten des Klägers vorzunehmen. Diesbezüglich fügte der Bundesgerichtshof an, dass dabei die Aspekte der Strafverfolgung und Generalprävention zu berücksichtigen seien.

BGH, 16.05.2017, VI ZR 135/15

 

Bei diesen oder ähnlichen Fragen zu Datenschutz- und Datensicherheit stehen wir gern zur Verfügung.

 

Freie-Vogel-Straße 393
44269 Dortmund

Telefon: +49 231 286598-0
Telefax: +49 231 286598-51

E-Mail: kontakt@awpr.de
www.awpr.de

Daniel Christian Pohl, LL.M.
Rechtsanwalt

Dominik Rücker, LL.M.
Rechtsanwalt
Fachanwalt für IT-Recht

15.05.2017
VG Hamburg zur Weitergabe der Nutzerdaten deutscher WhatsApp-Nutzer an Facebook

Die 2014 von Facebook übernommene WhatsApp Inc. hat im August 2016 ihre Nutzungs- und Datenschutzbedingungen aktualisiert und eine Weitergabe von personenbezogenen Daten an Facebook eingefügt. Das Verwaltungsgericht Hamburg hat nun im einstweiligen Rechtsschutz entschieden, dass Facebook personenbezogene Daten deutscher WhatsApp-Nutzer nur bei entsprechender Einwilligung verwenden darf.

Sachverhalt

In Reaktion auf die Implementierung der Datenweitergabe von WhatsApp zu Facebook hatte der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit Facebook am 23. September 2016 die Erhebung und Speicherung der Telefonnummer sowie weiterer personenbezogener Daten deutscher WhatsApp-Nutzer für den Fall, dass keine den deutschen Datenschutzvorschriften genügende Einwilligung der Nutzer vorliege, untersagt. Darüber hinaus wurde die Löschung der personenbezogenen Daten, die bereits ohne die erforderliche Einwilligung erhoben worden waren, angeordnet. Ferner wurde Facebook verpflichtet, die Löschung zu dokumentieren. Facebook legte Widerspruch ein und beantragte einstweiligen Rechtsschutz vor dem Verwaltungsgericht Hamburg.

Entscheidung

Per Beschluss entschied das Verwaltungsgericht Hamburg, dass die Verfügung des Datenschutzbeauftragten betreffend die Löschung sowie die Dokumentation der Löschung aufgrund eines formellen Fehlers nicht sofort vollziehbar sei. Diesbezüglich sei die Verfügung nicht bindend für Facebook. Das Gericht stellte darüber hinaus klar, dass Facebook personenbezogene Daten deutscher WhatsApp-Nutzer, die ohne eine nach deutschen Datenschutzvorschriften wirksame Einwilligung erhoben wurden, auch während des laufenden Verfahrens nicht nutzen dürfe.

Das VG Hamburg äußerte ferner, dass die Anordnung des hamburgischen Datenschutzbeauftragten bei Anwendung des deutschen Datenschutzrechts voraussichtlich als rechtmäßig zu bewerten sei. Die von WhatsApp verwendeten Erklärungen in den Nutzungs- und Datenschutzbedingungen seien nicht vereinbar mit deutschen Datenschutzvorschriften. Insbesondere könne Facebook sich diesbezüglich nicht auf die Wahrung eigener Geschäftszwecke berufen, da die Datenweitergabe weder zum Zweck der Unternehmensanalyse oder Netzsicherheit noch zu Werbezwecken erforderlich sei.

Die im einstweiligen Rechtsschutz vorzunehmende Interessenabwägung falle zu Gunsten der deutschen WhatsApp-Nutzer aus. Die Interessen der WhatsApp-Nutzer seien höher zu gewichten als das wirtschaftliche Interesse von Facebook.

Da die Facebook Ltd. in Irland firmiert, sei unklar, ob deutsches Datenschutzrecht zur Anwendung komme. Jedoch müsse auch bei Anwendbarkeit irischen Rechts das europäische Datenschutzrecht befolgt werden. Daher sei Facebook in jedem Fall verpflichtet, ein rechtmäßiges Einwilligungsverfahren einzuführen.

VG Hamburg, Beschluss vom 25.04.2017, 13 E 5912/16

 

Bei diesen oder ähnlichen Fragen zu Datenschutz und Datensicherheit stehen wir gerne zur Verfügung.

Dominik Rücker, LL.M.

Rechtsanwalt

Daniel Christian Pohl, LL.M.

Rechtsanwalt

Kontakt

 

Tel.: +49 231 286598-0

Mail: kontakt@awpr.de

 

17.03.2017
OLG Celle zum Anspruch auf Entfernung eines Suchmaschinen-Links

Das Oberlandesgericht Celle hat entschieden, dass Suchmaschinen Links auf Inhalte aus allgemein zugänglichen Quellen grundsätzlich nicht löschen müssen. Ein Anspruch auf Löschung bestehe nur, wenn die Interessen der betroffenen Person überwiegen.

Sachverhalt

Ausgangspunkt des Verfahrens war ein Fernsehinterview, das die Geschäftsführerin einer GmbH zum Thema Kündigungsschutz gegeben hatte. Diese klagte vor dem Landgericht Lüneburg mit dem Ziel, dass eine bestimmte Suchmaschine dazu verurteilt wird, den Link zu der Fernsehsendung zu entfernen. Dieser erschien bei der Suche nach dem Namen der Geschäftsführerin.

Entscheidung

Das Oberlandesgericht Celle entschied anders als das Landgericht Lüneburg in erster Instanz zu Gunsten des Suchmaschinen-Betreibers und verneinte das Löschungsbegehren der Klägerin.

Datenschutzrechtlich handele es sich bei dem Namen der Klägerin um eine Information aus allgemein zugänglichen Quellen. Bei der Abwägung nach § 29 Abs. 2 Nr. 1 Bundesdatenschutzgesetz (BDSG) sei das Interesse des Suchmaschinen-Betreibers daran, der Öffentlichkeit die Nutzung des Internets zu erleichtern, zu berücksichtigen. Da der Name der Geschäftsführerin auf den verlinkten Seiten aufzufinden sei, sei die Suchmaschine berechtigt, diesen in ihren Suchergebnissen zu nennen.

Klargestellt wurde, dass sich der Suchmaschinen-Betreiber selbst nicht auf die Pressefreiheit und das Medienprivileg aus § 41 BDSG berufen könne, da nur fremde redaktionelle Beiträge gelistet werden. Ferner würden die Berufsfreiheit der Suchmaschinenbetreiber, die Informationsfreiheit der Internetnutzer sowie die Presse- und Meinungsfreiheit des verantwortlichen Fernsehsenders das Allgemeininteresse an der Verfügbarkeit der Information erhöhen.

In Bezug auf das allgemeine Persönlichkeitsrecht der Klägerin sei festzustellen, dass dieses nicht verletzt werde. Da sie nur in ihrer Funktion als Geschäftsführerin benannt werde, sei nicht die Privatsphäre sondern lediglich die Sozialsphäre betroffen. Weiterhin sei zu beachten, dass die Klägerin das Interview freiwillig gab und sich damit auch freiwillig in die Öffentlichkeit begab. Ferner sei in Rechnung zu stellen, dass die Ereignisse weniger als sieben Jahre zurücklägen und insofern ein berechtigtes Interesse der Öffentlichkeit am Zugang zu dem Interview bestehe.

Insgesamt sei das Löschungsbegehren in Ermangelung überwiegender Interessen der Klägerin abzulehnen. Eine Revision ließ das OLG Celle nicht zu.

OLG Celle, 29.12.2016, 13 U 85/16

 

Bei weiteren Fragen zum Daten- oder Persönlichkeitsschutz stehen wir gern zur Verfügung.

 

Dominik Rücker, LL.M.
Rechtsanwalt
Telefon: +49231 / 2865980
ruecker(at)awpr.de
Telefon: +49231 / 2865980
pohl(at)awpr.de

20.12.2016
Freies WLAN – Die Entscheidung des EuGH zur Haftung eines Anbieters

Der Europäische Gerichtshof hat entschieden, dass ein Geschäftsinhaber, der der Öffentlichkeit kostenlosen Internetzugang über WLAN zur Verfügung stellt, für Urheberrechtsverletzungen eines Nutzers nicht verantwortlich ist. Allerdings kann dem Geschäftsinhaber durch Anordnung aufgegeben werden, sein Wifi-Netz durch ein Passwort zu sichern, um Rechtsverletzungen zu vermeiden.

Im zugrundeliegenden Fall richtete der Inhaber eines Geschäfts für Licht- und Tontechnik, in seinem Laden ein kostenloses öffentlich zugängliches WLAN-Netz ein, um so die Aufmerksamkeit potenzieller Kunden auf die Waren oder Dienstleistungen seines Geschäfts zu lenken. Über dieses Netz wurde ein musikalisches Werk rechtswidrig zum Download angeboten. Das Landgericht München I gelangte zu der Auffassung, dass der WLAN-Betreiber selbst nicht die entsprechenden Urheberrechtsverletzungen begangen hat. Das Gericht hielt jedoch eine mittelbare Haftung des Geschäftsinhabers für die Rechtsverletzung für möglich, da das WLAN-Netz nicht gesichert war.
Die Haftung von Access-Providern, die die reine Durchleitung von Daten anbieten, für eine von Dritten begangene Rechtsverletzung wird durch die Richtlinie über den elektronischen Geschäftsverkehr (RL 2000/31/EG) beschränkt. Diese Haftungsbeschränkung des Art. 12 der E-Commerce-Richtlinie (im deutschen Recht § 8 TMG) setzt voraus, dass der WLAN-Anbieter die Übermittlung nicht veranlasst und weder den Adressaten der Übertragung noch die übermittelten Informationen ausgewählt und verändert hat.

Da das Landgericht München I vorliegend Zweifel hatte, ob die Richtlinie einer mittelbaren Haftung des WLAN-Betreibers entgegensteht, legte es dem Europäischen Gerichtshof verschiedene Fragen vor.

Der EuGH bestätigte zunächst, dass die Betreiber von offenen WLAN-Internetzugängen als Access-Provider zu behandeln sind. Ferner stellte der Gerichtshof fest, dass eine Haftung eines WLAN-Anbieters, ausscheidet, wenn die drei genannten Voraussetzungen (keine Veranlassung der Übermittlung, keine Auswahl des Adressaten, keine Auswahl oder Veränderung der übermittelten Informationen) vorliegen. Im konkreten Fall habe der Urheberrechtsinhaber keinen Anspruch auf Schadenersatz gegen den Anbieter des WLAN-Netzes, weil Dritte das Netz zur Verletzung der Urheberrechte verwendeten. Mangels Bestehen des Schadenersatzanspruches scheide auch eine Erstattung der für sein Schadenersatzbegehren aufgewendeten Abmahn- oder Gerichtskosten aus.

Hingegen laufe es der Richtlinie nicht zuwider, wenn der betroffene Urheberrechtsinhaber bei einer innerstaatlichen Behörde oder einem innerstaatlichen Gericht eine Anordnung beantragt, wonach dem WLAN-Anbieter aufgegeben wird, solchen Rechtsverletzungen vorzubeugen. Eine Haftung auf Unterlassung bleibt demnach bestehen. Die Anordnung, den Internetzugang durch ein Passwort zu sichern, sei geeignet ein Gleichgewicht zwischen den Rechten von Urhebern, dem Recht der WLAN-Anbieter auf unternehmerische Freiheit und dem Recht der WLAN-Nutzer auf Informationsfreiheit herzustellen.

Der Passwortschutz ziele darauf, die Nutzer des Internetzugangs von Urheberrechtsverletzungen abzuhalten. Es sei dazu erforderlich, dass die Nutzer, ihre Identität offenbaren, bevor sie das Passwort erhalten. Anderenfalls könnten die Nutzer anonym handeln. Eine Überwachung der durch Nutzer übermittelten Informationen sei durch die Richtlinie ausdrücklich ausgeschlossen. Darüber hinaus sei eine vollständige Abschaltung des Internetzugangs ebenfalls ungeeignet, die widerstreitenden Rechte in Einklang zu bringen.

EuGH, 15.09.2016, C-484/14
Bei weiteren Fragen zum Urheberrecht sowie Datenschutz und Datensicherheit stehen wir Ihnen gerne zur Verfügung.

 

Dominik Rücker, LL.M.
Rechtsanwalt
Telefon: +49231 / 2865980
ruecker(at)awpr.de
Telefon: +49231 / 2865980
pohl(at)awpr.de

 

 

 

06.12.2016
Die Entscheidung des EuGH zur Frage des Personenbezugs von IP-Adressen

Der Europäische Gerichtshof hat in einem Urteil vom 19.10.2016 die umstrittene Frage, ob dynamische IP-Adressen personenbezogene Daten sind, beantwortet. Danach sind IP-Adressen personenbezogene Daten, wenn der verantwortlichen Stelle ein „rechtliches Mittel“ zu Verfügung steht, den Inhaber der IP-Adresse zu ermitteln.

Ferner hat der EuGH entschieden, dass IP-Adressen gespeichert werden dürfen, wenn ein berechtigtes Interesse, beispielsweise die Abwehr von Cyberattacken, an der Erhebung besteht.

Ausgangspunkt des Verfahrens war eine Klage des Herrn Patrick Breyer gegen die Bundesrepublik Deutschland. Der Kläger rügte, dass die von ihm aufgerufenen Webseiten von Einrichtungen des Bundes seine IP-Adressen aufzeichnen und speichern. Die IP-Adresse und auch der Zeitpunkt des Zugriffs würden gespeichert, um sich gegen eventuelle Cyberattacken zu wappnen und eine Strafverfolgung in diesen Fällen zu ermöglichen.

Im Wege eines Vorabentscheidungsersuchens legte der Bundesgerichtshof dem Europäischen Gerichtshof die Frage vor, ob dynamische IP-Adressen für den Betreiber der Webseite personenbezogene Daten darstellen. Dynamisch ist eine Internetprotokoll-Adresse, wenn sie sich bei jeder neuen Internetverbindung ändert. Im Gegensatz zu statischen IP-Adressen (diese ändern sich nicht) kann bei dynamischen IP-Adressen anhand allgemein zugänglicher Daten keine Verbindung zwischen einem Computer und dem vom Internetzugangsanbieter verwendeten physischen Netzanschluss hergestellt werden. Dies bedeutet, dass ausschließlich der Internetzugangsanbieter über die zur Identifizierung des zugreifenden Rechners erforderlichen Informationen verfügt.

Darüber hinaus legte der Bundesgerichtshof die Frage vor, ob der Betreiber einer Webseite grundsätzlich die Möglichkeit haben muss, personenbezogene Daten der Nutzer zu erheben und zu verwenden, um die generelle Funktionsfähigkeit der Webseite zu gewährleisten. In Deutschland wurde der einschlägige § 15 des Telemediengesetzes (TMG) bisher dahingehend ausgelegt, dass die Daten am Ende eines Nutzungsvorgangs zu löschen seien. Dies gelte nur dann nicht, wenn die Daten für Abrechnungszwecke benötigt würden.

Nach Auffassung des EuGH stellt die dynamische Internetprotokoll-Adresse eines Nutzers für den Betreiber einer Webseite zunächst ein personenbezogenes Datum dar, wenn er über rechtliche Mittel verfügt, die es ihm erlauben, den betreffenden Nutzer anhand der Zusatzinformationen, über die dessen Internetzugangsanbieter verfügt, bestimmen zu lassen. In Deutschland gebe es offenbar rechtliche Möglichkeiten, sich insbesondere bei Cyberattacken an die zuständige Behörde zu wenden, um die benötigten Informationen vom Internetzugangsanbieter zu erlangen und eine Strafverfolgung einzuleiten.

Der Gerichtshof stellte ferner fest, dass der Betreiber einer Webseite ein berechtigtes Interesse daran haben könnte, bestimmte personenbezogene Daten der Nutzer zu speichern, um sich gegen Cyberattacken verteidigen zu können. Konkret sei die Verarbeitung personenbezogener Daten nach dem Unionsrecht dann rechtmäßig, wenn sie zur Verwirklichung des berechtigten Interesses des für die Verarbeitung Verantwortlichen erforderlich sei, sofern nicht das Interesse oder die Grundrechte oder Grundfreiheiten der betroffenen Person im Rahmen einer anzustellenden Interessenabwägung überwiegen würden.

Die deutsche Regelung schränke die Tragweite dieses Grundsatzes ein, da sie es ausschließe, zwischen dem Zweck, die generelle Funktionsfähigkeit der Webseite aufrecht zu erhalten, und dem Interesse oder den Grundrechten oder Grundfreiheiten der Nutzer, abzuwägen.

Vorliegend könnten die Einrichtungen des Bundes ein berechtigtes Interesse daran haben, die Funktionsfähigkeit der von ihnen zugänglich gemachten Webseiten über ihre konkrete Nutzung hinaus zu gewährleisten.

EuGH, 19.10.2016, C-582/14

Bei weiteren Fragen zu Datenschutz und Datensicherheit stehen wir Ihnen gerne zur Verfügung.

Dominik Rücker, LL.M.

Rechtsanwalt

Daniel Christian Pohl, LL.M.

Rechtsanwalt

Kontakt

 

Tel.: +49 231 286598-0

Mail: kontakt@awpr.de

 

 

11.08.2016
Nutzung von Google Analytics ohne Datenschutzhinweis abmahnbar

In einer einstweiligen Verfügung vom 10.03.2016 hat das Landgericht Hamburg den Einsatz von Google Analytics untersagt, wenn Nutzer nicht zu Beginn des Nutzungsvorgangs über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten aufgeklärt werden.

Im vorliegenden Verfahren hielt der Antragsgegner auf seiner Webseite keine Datenschutzerklärung bereit. Er versäumte es, Nutzer über die Verwendung von Google Analytics und die damit einhergehende Datenerhebung zu informieren. Daher strengte der Antragsteller ein Verfahren im einstweiligen Rechtsschutz gegen den Antragsgegner an.

Das Gericht untersagte dem Betreiber der Webseite „auf dem Internet-Angebot den Internet-Analysedienst „Google Analytics” einzusetzen, ohne die Besucher des Internet-Angebots zu Beginn des Nutzungsvorgangs über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten zu unterrichten[…]“. Für den Fall der Zuwiderhandlung gegen diese Anordnung drohte das Gericht dem Antragsgegner ein Ordnungsgeld in Höhe von bis zu 250.000 Euro und ersatzweise Ordnungshaft bis zu 6 Monaten an. Im fehlenden Hinweis auf die Nutzung des Analyse-Tools Google Analytics liege ein Verstoß gegen die Informationspflicht des § 13 Abs. 1 S. 1 TMG. Dort ist normiert, dass Betreiber einer Webseite den Nutzer über Art, Umfang und Zwecke der Erhebung und Verwendung von Daten zu unterrichten hat.

 

LG Hamburg, 10.03.2016, 312 O 127/16

 

Bei Fragen zu Datenschutz und Datensicherheit stehen wir Ihnen gerne zur Verfügung.

 

Dominik Rücker, LL.M.
Rechtsanwalt
Telefon: +49231 / 2865980
ruecker(at)awpr.de
Telefon: +49231 / 2865980
pohl(at)awpr.de

05.08.2016
Facebook-Klarnamenpflicht bleibt vorerst bestehen – Zuständigkeit der Datenschützer noch offen

Das Oberverwaltungsgericht Hamburg hat eine Beschwerde des Hamburger Datenschutzbeauftragten gegen den Beschluss des Verwaltungsgerichts Hamburg vom 03.03.2016 im Zusammenhang mit der Klarnamenpflicht auf Facebook zurückgewiesen. Das Verwaltungsgericht Hamburg hatte auf Antrag von Facebook Ireland entschieden, dass die Anordnung des Datenschutzbeauftragten, wonach Facebook eine Nutzung des sozialen Netzwerks unter einem Pseudonym zu ermöglichen hat, einstweilen nicht vollzogen werden darf.

Ausgangspunkt des Verfahrens war, dass Facebook ein unter einem Pseudonym geführtes Konto einer Nutzerin gesperrt hatte. Dies nahm der Hamburger Beauftragte für Datenschutz und Informationsfreiheit zum Anlass, die Facebook Ireland Limited, zuständig für die Verarbeitung personenbezogener Daten der Nutzer in Europa, zu verpflichten, eine Nutzung des Facebook-Kontos unter einem Pseudonym zu ermöglichen.

Das OVG Hamburg erklärte in dem Beschluss vom 30.06.2016, dass offen sei, ob die Verfügung des Datenschutzbeauftragten rechtmäßig ergangen sei. Dabei sei die Auslegung der EU-Datenschutzrichtlinie entscheidend. Der Europäische Gerichtshof (EuGH) habe noch nicht geklärt, ob ein Datenschutzbeauftragter aufgrund nationaler Regelungen gegen eine in Irland ansässige Antragstellerin mit hoheitlichen Mitteln vorgehen darf. Die Zuständigkeitsverteilung und Eingriffsbefugnis deutscher Datenschutzbehörden in dem Fall, dass ein Mutterkonzern im Unionsgebiet mehrere Niederlassungen hat, diese allerdings mit unterschiedlichen Aufgaben betraut sind, sei ungeklärt. Um Klärung durch den EuGH bat bereits das Bundesverwaltungsgericht in einem anderen Verfahren im Rahmen eines sogenannten Vorlageersuchens. Das Interesse des Hamburger Datenschutzbeauftragten und der Facebook-Nutzerin an einer sofortigen Facebook-Nutzung unter einem Pseudonym überwiege nicht. Eine Klärung durch den EuGH bleibt abzuwarten.

OVG Hamburg, 30.06.2016, 5 Bs 40/16

 

Bei weiteren Fragen zum Datenschutzrecht stehen wir Ihnen gerne zur Verfügung.

Dominik Rücker, LL.M.

Rechtsanwalt

Daniel Christian Pohl, LL.M.

Rechtsanwalt

Kontakt

 

Tel.: +49 231 286598-0

Mail: kontakt@awpr.de

 

22.07.2016
Persönlichkeitsrechtsverletzung durch Autoreply-E-Mails mit Werbung

Der Bundesgerichtshof hat entschieden, dass gegen den erklärten Willen eines Verbrauchers gesendete E-Mails, die Werbung enthalten, das allgemeine Persönlichkeitsrecht der betroffenen Person verletzen.

Vorliegend hatte ein Verbraucher gegen eine Versicherung geklagt, die ihm eine Kündigungsbestätigung per E-Mail zugeschickt hatte, die neben dem eigentlichen Text auch Werbung für einen Unwetterwarnservice und eine App der Beklagten enthielt. Die E-Mail enthielt außerdem den Hinweis, dass sie automatisch vom System generiert worden sei und nicht auf sie geantwortet werden könne. Tatsächlich angefordert hatte der Verbraucher lediglich die Bestätigung einer von ihm ausgesprochenen Kündigung. Sodann rügte er die enthaltene Werbung bei der Beklagten und teilte dieser mit, dass er die enthaltene Werbung nicht akzeptiere und dieser widerspricht. Daraufhin erhielt er eine zweite E-Mail, die neben einer Sachstandsanfrage erneut den genannten Werbetext enthielt. Der Kläger machte daraufhin gerichtlich Unterlassungsansprüche gegen die Beklagte geltend. Sie habe es zu unterlassen, ihm ohne Einverständnis E-Mails zu senden, die Werbung enthielten.

Das Amtsgericht Stuttgart – Bad Cannstatt hatte der Klage stattgegeben. Die Berufung der Beklagten vor dem Landgericht Stuttgart war erfolgreich. In der Revisionsinstanz hob der Bundesgerichtshof das Berufungsurteil auf und stellte zugleich das erstinstanzliche Urteil wieder her. Die Richter führten aus, dass der Kläger jedenfalls durch die zweite Werbemail in seinem allgemeinen Persönlichkeitsrecht verletzt wurde, da er zuvor ausdrücklich erklärt habe, keine derartigen Werbemails erhalten zu wollen. Das von einer natürlichen Person unterhaltene elektronische Postfach sei Teil der Privatsphäre des Nutzers. „Werbung“ betreffe alle Maßnahmen eines Unternehmens, die auf die Förderung des Absatzes von Waren oder Erbringung von Dienstleistungen gerichtet seien. Neben unmittelbar produktbezogener Werbung gehöre auch die mittelbare Förderung des Absatzes in Form von Sponsoring oder Imagewerbung dazu.

BGH, 15.12.2015, VI ZR 134/15

 

Bei Fragen zum IT-Recht stehen wir Ihnen gerne zur Verfügung.

Kontakt:

Apel Weber & Partner Rechtsanwälte mbB
Daniel Christian Pohl. LL.M.
Dominik Rücker, LL.M.
Freie-Vogel-Str. 393
44269 Dortmund
Tel +49 (231) 28 65 98 –0
Fax +49 (231) 28 65 98 – 51
Email: kontakt@awpr.de

08.07.2016
Künstliche Intelligenz, cyber physical systems und Datensicherheit als Herausforderung der nächsten drei Jahre

Nach Meinung von Topmanagern werden die kommenden drei Jahre für ihre Unternehmen entscheidender werden als die vergangenen 50 Jahre. Vom 26. bis 28. Juni 2016 fand im chinesischen Tianjin das „Summer“-World-Economic“-Forum statt. Rund 1.500 Manager diskutierten über die Zukunft der Arbeit in neue Technologien. Der rasante technische Fortschritt bietet nach Überzeugung der Manager riesige Chancen, stellt die Unternehmen auch vor große Herausforderungen. Besonders bedeutsam werden die Bereiche von künstlicher Intelligenz, virtueller Realität und automatisierter Verfahren sein. Investieren wollen die CEOs besonders in die Gewinnung und Aufbereitung von Daten sowie den Schutz gegen Angriffe von Hackern.

Wir begleiten seit vielen Jahren Unternehmen im Bereich der Entwicklung ihrer IT. Derzeit liegt ein wesentlicher Schwerpunkt auf der rechtlichen Betreuung von Projekten in den Bereichen Machine2Machine sowie von „intelligent“-vernetzten Plattformen für B2B-Anwendungen. Gerne stellen wir Ihnen unsere Ansätze aus „best practice“ vor.

 

Kontakt:

Apel Weber & Partner Rechtsanwälte mbB
Dr. Jürgen Apel
Freie-Vogel-Str. 393
44269 Dortmund
Tel +49 (231) 28 65 98 –0
Fax +49 (231) 28 65 98 – 51
Email: kontakt@awpr.de

01.07.2016
Mehr Rechtssicherheit für WLAN-Betreiber

Einschränkung der Störerhaftung durch Änderung des TMG

Am 2. Juni 2016 hat der Deutsche Bundestag das Zweite Gesetz zur Änderung des Telemediengesetzes verabschiedet. Der Bundesrat hat das Gesetz am 17. Juni 2016 gebilligt. Es wird nun dem Bundespräsidenten zur Unterschrift und Verkündung vorgelegt und tritt am Tag nach der Verkündung in Kraft. Das Gesetz soll u.a. die Verbreitung frei zugänglicher WLAN-Netze fördern und mehr Rechtssicherheit für WLAN-Betreiber schaffen. Konkret soll dazu die sog. Störerhaftung gelockert werden. Bisher bestehen hohe Haftungsrisiken für Betreiber öffentlich zugänglicher WLAN-Netze bei widerrechtlicher Nutzung durch WLAN-Nutzer. Nun sollen die Haftungsprivilegien für Internetprovider auf private und neben-gewerbliche Anbieter (Cafés, Hotels, etc.) ausgeweitet werden. WLAN-Betreiber sollen fortan als Diensteanbieter im Sinne des § 8 TMG die dort enthaltenen Haftungsprivilegien genießen und künftig bei Beachtung gesetzlich festgelegter Sorgfaltsanforderungen nicht mehr wegen rechtswidrigen Handlungen von Nutzern haftbar sein. Der Gesetzesentwurf sieht dafür einen Absatz 3 in § 8 TMG vor: „(3) Die Absätze 1 und 2 gelten auch für Diensteanbieter nach Absatz 1, die Nutzern einen Internetzugang über ein drahtloses lokales Netzwerk zur Verfügung stellen.“

Gesetzesentwurf: http://dip21.bundestag.de/dip21/btd/18/067/1806745.pdf

Bei Fragen zur Störerhaftung oder dem Telemediengesetz stehen wir Ihnen gerne zur Verfügung.

Kontakt:

Apel Weber & Partner Rechtsanwälte mbB
Daniel Christian Pohl. LL.M.
Dominik Rücker, LL.M.
Freie-Vogel-Str. 393
44269 Dortmund
Tel +49 (231) 28 65 98 –0
Fax +49 (231) 28 65 98 – 51
Email: kontakt@awpr.de

23.06.2016
Online-Kontaktformular ohne Datenschutzerklärung wettbewerbswidrig

Unternehmen, die auf ihrer Webseite ein Online-Kontaktformular anbieten, allerdings weder im Rahmen des Formulars noch an anderer Stelle eine Datenschutzerklärung bereithalten, handeln wettbewerbswidrig. Das hat das Oberlandesgericht Köln entschieden.

In dem Verfahren stritten zwei Anbieter von Steuerberatungsdienstleistungen, die beide ein Online-Kontaktformular bereithalten, über die datenschutzrechtlichen Hinweispflichten aus § 13 Telemediengesetz. Nach § 13 TMG müssen Diensteanbieter über Art, Umfang und Zweck der Erhebung und Verwendung personenbezogener Daten in allgemein verständlicher Form unterrichten. § 13 III 1 TMG normiert die Pflicht den Nutzer vor Erklärung einer elektronischen Einwilligung auf sein Widerrufsrecht hinzuweisen. Vorliegend hatte es die Antragsgegnerin versäumt über Art, Umfang und Zweck der Erhebung und Verwendung personenbezogener Daten aufzuklären und auf die Widerrufbarkeit der Einwilligung hinzuweisen. Daraufhin hatte die Antragstellerin zunächst abgemahnt, anschließend eine einstweilige Verfügung beantragt und infolge des diesbezüglichen Widerspruchs ein Urteil des Landgerichts Köln erwirkt.

Die Berufung der Antragsgegnerin wies das Oberlandesgericht Köln zurück. Es sprach der Antragstellerin einen Unterlassungsanspruch aus §§ 3 I, 3a, 8 III UWG iVm § 13 TMG zu.

§ 13 TMG solle die Interessen der Mitbewerber und auch die der Verbraucher schützen. Vorliegend habe die Antragsgegnerin § 13 TMG verletzt, da sie die erforderlichen Angaben, auch das Kontaktformular betreffend, nicht gemacht habe. Die Antragsgegnerin hatte vorgebracht, dass sich die Information erübrigt habe, da sich Art, Umfang und Zweck der Erhebung und Verwendung der personenbezogenen Daten aus dem Kontaktformular selbst ergeben hätten. Damit sei eine Unterrichtung iSd § 13 TMG erfolgt. Das OLG Köln folgte dieser Ansicht nicht. § 13 TMG bezwecke eine allgemein verständliche Unterrichtung. Diese wird nicht entbehrlich weil sich Verbraucher ggf. aus der Art der Datenerhebung und aus den Umständen herleiten können, welche Daten wofür verwendet werden. Es erscheine möglich, dass Verbraucher sich durch einen klar erteilten Hinweis auf die Speicherung und Verwendung der personenbezogenen Daten davon abhalten lassen würden, das Kontaktformular auszufüllen bzw. eine etwaige Einwilligung zu widerrufen.

OLG Köln, 11.3.2016, 6 U 121/15

Bei Fragen zum Wettbewerbsrecht sowie bei datenschutzrechtlichen Fragen stehen wir Ihnen gerne zur Verfügung.

Kontakt:

Apel Weber & Partner Rechtsanwälte mbB
Daniel Christian Pohl. LL.M.
Dominik Rücker, LL.M.
Freie-Vogel-Str. 393
44269 Dortmund
Tel +49 (231) 28 65 98 –0
Fax +49 (231) 28 65 98 – 51
Email: kontakt@awpr.de

13.06.2016
Samsung verliert Streit um Smart-TV Datenschutzbestimmungen

Das Landgericht Frankfurt hat entschieden, dass Hersteller Samsung besser erklären muss, dass seine Smart-TV-Geräte Nutzerdaten erheben und verwenden bzw. übermitteln können. Ausgangspunkt des Verfahrens war der Vorwurf, dass Samsung-Smart-TV-Geräte ohne Einwilligung des Kunden Daten an die Firmenserver senden, sobald sie mit dem Internet verbunden sind. Das Gericht führte aus, dass die Datenschutzbestimmungen des betroffenen Samsung-Fernsehers UE40H6270 intransparent sind und nicht den gesetzlichen Anforderungen entsprechen.

Ausgangspunkt des Verfahrens war eine Klage der Verbraucherzentrale NRW e.V. gegen die Samsung Electronics GmbH (Bericht). Die Richter rügten die Datenschutzbestimmungen insbesondere, weil diese auf 56 Bildschirmseiten des Smart-TV als Fließtext ohne Überschriften und Abschnitte dargestellt werden. Die Bestimmungen seien daher intransparent und bildeten keine geeignete Grundlage für eine Einwilligung des Nutzers in die Datenerhebung und -verwendung. Ferner bemängelten die Richter einzelne Klauseln betreffend die Verwendung und Weitergabe der erhobenen Daten. Die in den Allgemeinen Geschäftsbedingungen (AGB) von Samsung enthaltene Einwilligungsklausel für die Datenerhebung und -verwendung sei nicht wirksam.

Allerdings stellte das Gericht auch klar, dass es die Samsung Electronics GmbH nicht in der Verantwortung sieht, vor der ersten Übertragung personenbezogener Daten eine Einwilligung der Nutzer einzuholen. An dieser Stelle sei auf den südkoreanischen Mutter-Konzern zu verweisen. Die deutsche Vertriebsgesellschaft müsse die Nutzer lediglich über die Gefahr der Datenerhebung und Übermittlung an die südkoreanische Konzern-Mutter aufklären. Das Landgericht legte dabei die Annahme zugrunde, dass nicht alle Nutzer eines Samsung-Fernsehers wissen, dass auch ohne Nutzung des Internet-Anschlusses personenbezogene Daten, zumindest in Form der IP-Adresse, erhoben werden können. Die rechtliche Bewertung der Datenübermittlung an die ausländische Konzernmutter ist damit nicht abschließend bewertet. Das Urteil ist noch nicht rechtskräftig.

LG Frankfurt, 10.06.2015, 2-03 O 364/15

Bei Fragen zum Datenschutzrecht stehen wir Ihnen gerne zur Verfügung.

Kontakt:

Apel Weber & Partner Rechtsanwälte mbB
Daniel Christian Pohl. LL.M.
Dominik Rücker, LL.M.
Freie-Vogel-Str. 393
44269 Dortmund
Tel +49 (231) 28 65 98 –0
Fax +49 (231) 28 65 98 – 51
Email: kontakt@awpr.de

07.06.2016
Urteil im Streit zwischen Verbraucherzentrale NRW und Samsung erwartet

Das Landgericht Frankfurt hat im Streit zwischen der Verbraucherzentrale NRW und Samsung um die Übermittlung von Nutzerdaten durch internetfähige Fernseher Zweifel an der Rechtmäßigkeit der Samsung-Datenschutzrichtlinie geäußert. Darüber hinaus seien die Allgemeinen Geschäftsbedingungen (AGB), die einen Umfang von 399 Seiten aufweisen, möglicherweise nicht zumutbar. Das Urteil soll am Freitag, den 10. Juni verkündet werden.

Ausgangspunkt des Verfahrens war der Vorwurf, dass Samsung-Smart-TV-Geräte ohne Einwilligung des Kunden Daten an die Firmenserver senden, sobald sie mit dem Internet verbunden sind. Übermittelt wird dabei u.a. die IP-Adresse des Kunden. Diese ist als personenbezogenes Datum zur Identifikation geeignet und daher besonders sensibel. Samsung bestreitet, dass Nutzerdaten übertragen werden. Vielmehr wäre die Übertragung erforderlich, um die Datenschutzrichtlinie und die AGB in der jeweiligen Landessprache anzuzeigen. Konkret ging es um den Samsung-Fernseher UE40H6270. Die Verbraucherzentrale will erreichen, dass die Nutzerdaten erst nach der Aufklärung über die Übermittlung und nach einer entsprechenden Einwilligung des Kunden übertragen werden. Außerdem soll Samsung bei den Datenschutzbestimmungen nachbessern. Diese erstrecken sich derzeit über 56 Bildschirmseiten.

Bei Fragen zum Datenschutzrecht stehen wir Ihnen gerne zur Verfügung.

Kontakt:

Apel Weber & Partner Rechtsanwälte mbB
Daniel Christian Pohl. LL.M.
Dominik Rücker, LL.M.
Freie-Vogel-Str. 393
44269 Dortmund
Tel +49 (231) 28 65 98 –0
Fax +49 (231) 28 65 98 – 51
Email: kontakt@awpr.de