Recht – Ein Jahr DSGVO
Seit 25. Mai vergangenen Jahres ist die europäische Datenschutzverordnung (DSGVO) nun in Kraft und zu Beginn hat sie viel Staub aufgewirbelt. Doch inzwischen hat sich auf diesem Gebiet eine Menge getan, die Wogen haben sich weitgehend geglättet. Wolfgang Schmid, Rechtsanwalt und externer DVSI Experte Datensicherheit zieht eine erste Bilanz.
Viel Panik zu Beginn, doch mittlerweile hat sich herausgestellt – alles halb so schlimm mit der DSGVO. Die befürchtete Abmahnwelle blieb aus, die Aufsichtsbehörden sind überlastet und agieren im Grunde eher zurückhaltend und vieles was seit der DSGVO verboten ist, war ohnehin vorher schon nicht erlaubt. So ist es beispielsweise bereits seit 2008 wettbewerbswidrig, an Nichtkunden Werbe-E-Mails ohne Einwilligung zu versenden. Daran hat die Datenschutzgrundverordnung im Grunde nichts geändert.
Abmahnungen
Eins der meistdiskutierten Themen im Handel war, ob Verstöße gegen die DSGVO durch Mitbewerber abmahnbar sind. Zwar ist diese Frage noch nicht ganz geklärt, es kann aber bislang nicht von der befürchteten „Abmahnwelle“ gesprochen werden. Im folgenden eine kurze Erläuterung der bislang bekannten Gerichtsentscheidungen, und zwar in chronologischer Reihenfolge:
Das Landgericht Bochum verneinte mit Urteil vom 07.08.2018 (Az.: 12 O 85/18) die Abmahnfähigkeit aus dem UWG.
Das Landgericht Würzburg befand hingegen mit Beschluss vom 13.09.2018 (Az.: 11 O 1741/18), dass Abmahnungen von Mitbewerbern wegen Verstößen gegen die DSGVO möglich sind.
Das Oberlandesgericht Hamburg hat am 25. Oktober 2018 (Az.: 3 U 66/17) die Ansicht vertreten, dass eine Abmahnung möglich ist, wenn die jeweilige Norm der DSGVO eine Regelung des Marktverhaltens zum Gegenstand hat. Primär regelt die DSGVO allerdings den Schutz personenbezogener Daten des Einzelnen. Das Ergebnis hängt daher immer von einer Einzelfallprüfung ab. Zu diesem Urteil ist zu berücksichtigen, dass die Klage bereits 2017 erfolgte, allerdings hat sich das OLG ausdrücklich zur DSGVO geäußert: „Die Klägerin ist aber auch unter der Geltung der DSGVO klagebefugt. Der Senat ist entgegen der von der Beklagten vertretenen Auffassung nicht der Ansicht, dass die DSGVO ein abgeschlossenes Sanktionssystem enthält, das die Verfolgung datenschutzrechtlicher Verletzungshandlungen auf lauterkeitsrechtlicher Grundlage durch Mitbewerber ausschlösse […]“. Aufgrund der höheren Instanz ist das Urteil des OLG Hamburg vorläufig als das gewichtigste anzusehen.
Das Landgericht Wiesbaden urteilte am 05.11.2018 (Az.: 5 O 214/18), dass die DSGVO die zulässigen Rechtsbehelfe für Datenschutzverstöße abschließend regelt und verneinte eine Abmahnbarkeit.
Auch das jüngste Urteil des Landgerichts Magdeburg vom 18.1.2019 (Az.: 36 O 48/18) hat eine Abmahnbarkeit verneint.
Damit steht es nun 3 zu 2 gegen eine Abmahnbarkeit, doch kann noch keine Entwarnung gegeben werden. Zum jetzigen Zeitpunkt kann man also noch nicht von einer gesicherten Rechtsprechung sprechen. Man muss allerdings im Blick haben, dass bei Verstößen im Internet (Onlinehandel) die Regelungen des sogenannten „fliegenden Gerichtsstands“ gelten. Unterlassungsklagen können daher gezielt bei Gerichten anhängig gemacht werden, die eine Abmahnbarkeit bejahen.
Der Deutsche Verband der Spielwarenindustrie e.V. (DVSI) mit Sitz in Nürnberg ist Mitglieder- und Engagementverband. Neben professionellen Dienstleistungen für das einzelne Mitglied stehen die Interessenvertretung der ganzen Spielwarenbranche und der Mitgliederaustausch im Mittelpunkt. dvsi.de
Bußgelder
Die drakonisch erhöhten Bußgeldandrohungen der DSGVO sorgten im Vorfeld ebenfalls für Unsicherheit. Nachfolgend ein Überblick, was bisher in Deutschland und in der EU passiert ist.
Lage in Deutschland
Das erste Bußgeld in Deutschland in Höhe von 20.000 Euro verhing Baden-Württemberg am 21.11.2018 gegen den Social-Media Anbieter „Knuddels“. Hintergrund war ein Verstoß gegen die Datensicherheit nach Art. 32 DSGVO (Datenpanne durch Hackerangriff, wobei Passwörter und E-Mail-Adressen entwendet und veröffentlicht wurden).
Nach einem Bericht und einer Umfrage des Handelsblatts vom 18.01.2019 (Heike Anger; Dietmar Neuerer: „Behörden verhängen erste Bußgelder wegen Verstößen gegen DSGVO“) wurden in Deutschland bislang 41 Bußgeldbescheide auf Grundlage der DSGVO erlassen. Spitzenreiter sei hier Nordrhein-Westfalen mit 33 Bußgeldbescheiden, dann folge Hamburg mit drei Bußgeldbescheiden, Baden-Württemberg und Berlin mit jeweils zwei Bescheiden und das Saarland mit einem Bescheid.
Die höchste Einzelstrafe in Höhe von 80.000 Euro verhängte bislang Baden-Württemberg in seinem zweiten Bußgeldbescheid. Aufgrund unzureichender interner Kontrollmechanismen waren Gesundheitsdaten ins Internet gelangt. Hamburg verhängte insgesamt Bußgelder in Höhe von 25.000 Euro, Nordrhein-Westfalen von knapp 15.000 Euro.
Wenige Tage nach der Veröffentlichung der Daten im Handelsblatt erging eine neue Bußgeldentscheidung in Hamburg gegen die kleine Firma Kolibri Image (Imageberatung) in Höhe von 5.000 Euro. Hintergrund war ein fehlender Auftragsverarbeitungsvertrag mit einem spanischen Dienstleister, der sich weigerte einen entsprechenden Vertrag zu schließen. Kolibri Image wurde daraufhin von der Behörde belehrt, dass die vorgenannte Regelungspflicht den Dienstleister und den Auftraggeber als Verantwortlichen gleichermaßen trifft. Wenn der spanische Auftragsverarbeiter der Aufforderung zum Abschluss eines AV-Vertrages nicht nachkommt, muss der Verantwortliche selbst einen entsprechenden AV-Vertrag an den Dienstleister versenden. Kolibri Image hat gegen den Bescheid Widerspruch eingelegt.
Lage in Europa
Ein erster Zwischenbericht der EU-Kommission zur DSGVO wird im Juni 2019 erwartet. Bislang bekannt ist, dass in Portugal ein Bußgeld in Höhe von 400.000 Euro gegen ein Krankenhaus verhängt wurde, das Patientendaten nicht genug nach außen geschützt hatte. Dadurch hatten Personen Zugriff auf die Patientendaten.
Am 21.01.2019 verhängte die französische Datenschutzbehörde Commission Nationale de l’Informatique et des Libertés (CNIL) das bislang höchste Bußgeld in Höhe von 50 Millionen Euro gegen Google. Die CNIL war der Ansicht, Google habe seine Informationspflichten nicht ordnungsgemäß erfüllt und könne keine wirksame Einwilligung für die Verarbeitung der Daten für Werbezwecke vorweisen. Diese Entscheidung geht auf Beschwerden der österreichischen Organisation None Of Your Business (noyb.eu) und der französischen NGO La Quadrature du Net zurück.
Nach einem Jahr DSGVO zieht RA Wolfgang A. Schmid (links) eine erste Bilanz. Rechts im Bild DVSI Geschäftsführer Ulrich Brobeil
Bilder bei Veranstaltungen
Es kann wieder fotografiert werden. Zahlreiche Journalisten und Fotografen waren verunsichert, wie sich die DSGVO auf Bilder von Personen auswirke. Dabei stellte sich die Frage, ob das bisher geltende Kunsturhebergesetz (KUG) von der DSGVO verdrängt wird. Zwei Entscheidungen des Oberlandesgerichts Köln (Beschluss vom 18.06.2018 (Az.: 15 W 27/18) und vom 08.10.2018 (Az. 15 U 110/18) brachten Licht ins Dunkel: Das Fotografieren fällt unter die DSGVO, die Veröffentlichung der Fotos wie bisher unter das KUG, zumindest im journalistischen Bereich.
Wichtig bei Veranstaltungen ist, bereits in den Einladungen oder im Eingangsbereich der Veranstaltung darauf hinzuweisen, dass Bilder erstellt werden und was mit diesen Bildern passieren wird. Für Teilnehmer, die nicht fotografiert werden möchten, empfiehlt es sich, Bereiche abzugrenzen, in denen nicht fotografiert wird beziehungsweise diese Teilnehmer darauf hinzuweisen, dass sie der Verarbeitung der Bilder widersprechen können.
Facebook-Fanpages
Am 05.06.2018 entschied der europäische Gerichtshof, dass die Betreiber von Fanpages auf Social Media neben den Plattformbetreibern als Verantwortliche im Sinne der datenschutzrechtlichen Vorschriften gelten. Die Entscheidung bezog sich zwar noch auf das alte Recht, wegen der annähernd wortgleichen Definition der „Verantwortlichkeit“ ist die Entscheidung auf die DSGVO übertragbar.
Die Datenschutzkonferenz und der LfDI Nordrhein-Westfalen äußerten sich in der Folge dahingehend, dass ein legaler Betrieb einer Facebook-Fanpage nur noch möglich ist, wenn Facebook selbst Änderungen vornimmt. Eine eigene Facebook-Datenschutzerklärung eines Händlers beispielsweise reiche nicht aus. Facebook reagierte hierauf und stellt seit dem 12.09.2018 die Seite „Page Insights Controller Addendum“ zur Verfügung, die die jeweiligen Verantwortlichkeiten im Hinblick auf die Verarbeitung von Insight-Daten festlegt. Aufgrund der Tatsache, dass es umstritten ist, ob DSGVO-Verstöße überhaupt abmahnfähig sind und da die Rechslage zu den Fanpages bis zu einer Entscheidung des Bundesverwaltungsgerichts noch nicht abschließend geklärt ist, sind hier Abmahnungen durch Nutzer oder Konkurrenten jedoch eher unwahrscheinlich.
Asiatische Server
Es werden immer mehr Cloud-Services aus Asien, insbesondere aus China genutzt. Man sollte daher die verantwortliche Stelle im Unternehmen sensibilisieren, wenn diese im Rahmen von Industrie 4.0 zwar keine personenbezogenen Daten, aber wertvolle Produktionsdaten, Maschinendaten und damit Betriebsgeheimnisse ungefiltert hochlädt. Die chinesischen Datensammler sind äußerst professionell im Auswerten und Verwenden von Daten.