Frist vertrödelt – 500 Euro Strafe!

Schadensersatz bei verspäteter Auskunft

Das Schadensrecht im Datenschutz steht immer wieder im Fokus. Eine der häufigsten Fallkonstellationen sind solche, in denen betroffene Personen ihre Rechte geltend machen und die Verantwortlichen diesen nicht oder nur teilweise nachkommen.

Das OLG Köln hat nun in einem Verfahren einer Klägerin einen Schadensersatzanspruch in Höhe von 500€ zugesprochen, weil ihr Auskunftsersuchen zu spät beantwortet worden ist.

Gemäß Art. 12 Abs. 3 S.1 DSGVO sind die betroffenen Personen innerhalb eines Monats zu informieren, um die Geltendmachung der Rechte aus Art. 15 bis 22 DSGVO zu beantworten. Im zugrunde liegenden Fall ist der ehemalige Anwalt der Klägerin nicht nachgekommen.

Durch die verspätete Auskunft litt die Klägerin unter psychischem Stress, da sie Sorge hatte, ob die Geltendmachung von Ansprüchen, um die es im ehemaligen Mandantenverhältnis ging, noch möglich sei.

Ungleich, wie man den vorliegenden Fall für sich einschätzt, ist dieses Urteil eine erneute spannende Entwicklung. Der immaterielle Schaden muss zwar in jedem Fall dargelegt werden können, aber es scheint so, als ob Gerichte diesen Begriff weit fassen.

Q1: OLG Köln, Urteil vom 14.7.2022 – 15 U 137/21

 

Rechte der betroffenen Person

Es mag selten vorkommen, aber es besteht immer die Möglichkeit, dass die betroffenen Personen ihre Rechte geltend machen.

Mit unserer Unterstützung wird dein Unternehmen gut vorbereitet sein, wenn die Rechte der betroffenen Person geltend gemacht werden.

Big Brother is watching you!

Europäische Tochterunternehmen von US-Cloud-Anbietern

In einem so neuen Rechtsgebiet, wie es das Datenschutzrecht ist, spielt die Rechtsprechung eine besonders wichtige Rolle. Immer wieder leiten Urteile eine neue Strömung ein oder sind so wegweisend, dass sich die Praxis neu einstellen muss. Im Datenschutz behandeln die angesprochenen Urteile meist die Rolle der USA.

Den meisten wird nun das Schrems-II Urteil in den Sinn kommen und beinahe hätten wir den nächsten Kracher erhalten. Am 13.07.2022 veröffentlichte die Vergabekammer Baden-Württemberg einen Beschluss, der den Anspruch im öffentlichen Vergabeverfahren für europäische Tochterunternehmen von US-amerikanischen Cloud-Anbietern verneinte. Grund für das Nichtbestehen des Anspruchs sei das Risiko von Zugriffen auf personenbezogene Daten durch US-Behörden. Folglich wären Anbieter wie Amazon Web Service bei einer öffentlichen Ausschreibung ausgeschlossen gewesen.

Die Vergabekammer konnte auch nicht dadurch überzeugt werden, dass nach Angaben der Anbieter die personenbezogenen Daten nur auf Servern in Europa verarbeitet werden und nur die deutsche Gesellschaft auf diesen Zugriff hätte.
Aber das Beben dieses Beschlusses hielt nur kurz an. Anfang September hob das OLG Karlsruhe den Beschluss der Vergabekammer auf.

In der Pressemitteilung hieß es zur Sache, dass die Zusage der Anbieter ausreichend sei, dass die Daten nicht in ein Drittland übermittelt und nur in Deutschland verarbeitet werden. Die Konzernzugehörigkeit der europäischen Tochterunternehmen indiziert noch keinen direkten Zugriff durch die Muttergesellschaft aus den USA. In der Sache überzeugt die Argumentation des OLG Karlsruhe.

Es dürfte aber auch praktische Konstellationen geben, in denen sich die Bedenken der Vergabekammer konkret niederschlagen. Die Thematik rund um die Übermittlung in ein Drittland bleibt also heiß.

Q1: Vergabekammer Baden-Württemberg, Entscheidung vom 13.7.2022, Aktenzeichen: 1 VK 23/22

Q2: Oberlandesgericht Karlsruhe, Beschluss vom 7.9.2022, Aktenzeichen: 15 Verg 8/22

Übermittlung in ein Drittland

Die Übermittlung in ein Drittland ist, nicht zuletzt durch das „Schrems-II“ Urteil des EuGH, kniffliger als viele denken.

Wir helfen Ihnen sicherzustellen, dass die Datenübermittlung DSGVO-konform abläuft.

Schreibtisch auf – Job weg?

Nicht abgeschlossener Schreibtisch kann den Job kosten!

Von Datenschützern wird immer wieder gepredigt, dass die Thematik lebendig sein muss.

„Tote“ Dokumente, die in Schubladen verweilen und wenig mit der Praxis zu tun haben, helfen nicht, um das Datenschutzniveau anzuheben. Eine durchaus bedeutende Rolle spielen hier die internen Anweisungen.

Häufig gibt es interne Anweisungen, die dann aber in der Praxis kaum umgesetzt werden. Sowohl Arbeitgeber als auch Arbeitnehmer müssen hier grundsätzlich in die Pflicht genommen werden. Gehen beide Parteien nachlässig mit dem Thema um, wird der Verantwortliche die Konsequenzen tragen müssen.

Anders war es nun in Sachsen. Das Landesarbeitsgericht kam zu dem Schluss, dass die wiederholte Nichteinhaltung der internen Datenschutz- und Informationssicherheitsrichtlinien, eine Pflichtverletzung aus dem Arbeitsvertrag darstellt. Die Klägerin verstieß mehrfach gegen die Richtlinien, worauf mehrere Abmahnungen folgten. Die Klägerin hatte Schreibtischfächer nicht abgeschlossen, in denen sich sensible Daten befanden.

Die eingangs geschilderte Problematik der „toten“ Dokumenten und Richtlinien, welche nur auf dem Papier existieren und in der Praxis nicht gelebt werden, bewahrheitet sich hier erneut.

Q1: LAG Sachsen, 07.04.2022 – 9 Sa 250/21

Schulungen

Datenschutz ist Teamsache! Nur gemeinsam lassen sich die Vorgaben der DSGVO einhalten.

Mit unserer Datenschutzschulung ist dein Team perfekt aufgestellt, sodass keine Lücken bleiben.

Millionenstrafe für Meta

Instagram-Patzer kostet 405 Mio. Euro

Hohe Bußgelder sind im Datenschutz keine Seltenheit. Dass diese Bußgelder häufig amerikanische Konzerne treffen, ist auch nicht selten. Und immer wieder im Blick der Aufsichtsbehörde ist der Meta-Konzern.

Dieses Mal trifft es Instagram mit Sage und Schreibe 405 Millionen Euro. Grund für dieses Bußgeld ist der kritische Umgang mit Daten von Kindern und Jugendlichen. In der Vergangenheit war es Kindern und Jugendlichen möglich, ihren Account auf ein Geschäftskonto hoch zu stufen. Dadurch werden persönliche Daten, wie Kontaktdaten veröffentlicht, genau so, wie es im Geschäftskontext üblich ist.

Dass diese Verarbeitungen von Daten Minderjähriger äußerst kritisch zu betrachten sind, ist relativ offensichtlich.

Meta hat bereits angekündigt, sich gegen das Bußgeld zu wehren. Der Ausgang des Falls ist offen und es dürfte auch noch etwas Zeit verstreichen, bis eine Entscheidung gefällt wird.

Q1: https://www.spiegel.de/netzwelt/netzpolitik/datenschutz-instagram-muss-in-irland-405-millionen-euro-strafe-zahlen-a-50fe2d10-c014-4a68-9cb8-b0b590d7cca5

Rechte der betroffenen Person

Es mag selten vorkommen, aber es besteht immer die Möglichkeit, dass die betroffenen Personen ihre Rechte geltend machen.

Mit unserer Unterstützung wird dein Unternehmen gut vorbereitet sein, wenn die Rechte der betroffenen Person geltend gemacht werden.

Datenschutz lauert auch im Wald

Wildüberwachungskameras im Wald

Wenn man an Datenschutz denkt, dann denkt man normalerweise an die Arbeit im Büro oder die sozialen Medien. Dass man im Wald aber auch mit Datenschutz zu tun hat, wird die meisten doch verwundern.

Folgendes Szenario ist aber tatsächlich vermehrt aufgetreten: Jäger und Naturwissenschaftler hängen aus eigenem Interesse, Wildüberwachungskameras im Wald auf. Allerdings nehmen diese Kameras nicht nur die Tiere auf, die sich im Wald so tummeln, sondern auch Spaziergänger, Jogger und Reiter.

Als Rechtsgrundlage kommt hier nur Art. 6 Abs. 1 S.1 lit. f DSGVO in Betracht. Offen bleibt jedoch die Frage, wie es mit den Informationspflichten aussieht.

Die Datenschutzkonferenz hat 2020 eine Orientierungshilfe für Videoüberwachung durch nicht-öffentliche Stellen veröffentlicht. Neben einem Hinweisschild, welches nah der Kamera angebracht werden soll, soll die Kamera möglichst zielgerichtet eingestellt werden. Das bedeutet, dass Kameras auf bzw. unter Kniehöhe angebracht werden sollen, und wenn das Aufnehmen von nachtaktiven Tieren angepeilt wird, die Kamera tagsüber deaktiviert wird.

Inwieweit nun ein Streit zwischen Jägern und Datenschützern entbrennen wird, ist aber höchst fraglich.

Q1: https://beck-online.beck.de/Dokument?vpath=bibdata%2Fzeits%2Fzdaktuell%2F2022%2Fcont%2Fzdaktuell.2022.01285.htm&anchor=Y-300-Z-ZDAKTUELL-B-2022-N-01285

Q2: https://www.datenschutzkonferenz-online.de/media/oh/20200903_oh_vü_dsk.pdf

Informationspflichten

Die betroffenen Personen sind stets vor der Datenverarbeitung, in verständlicher und leicht zugänglicher Form, zu informieren.

Wir helfen ihnen bei der Erstellung von Datenschutzhinweisen z.B. für ihre Webseite oder auch ihre Beschäftigten.

DSGVO = Rohrkrepierer für Geschäftsführer?

Datenschutz als Geschäftsführerpflicht

Für viele ist Datenschutz eine eher lästige Materie. Datenschützer betonen hingegen immer wieder die Wichtigkeit der Thematik. Doch meist bewegen die hohen Bußgelder der DSGVO die Unternehmen zur Umsetzung.

Wichtig zu wissen ist aber, dass neben der DSGVO auch das Gesellschaftsrecht Haftungskonstellationen für Thematiken des Datenschutzes bereithält. Genauer geht es um die Pflicht des Geschäftsführers, im Wohle der Gesellschaft zu handeln.

Verletzt der Geschäftsführer diese Pflicht, so haftet er für den entstandenen Schaden gem. § 43 Abs. 2 GmbHG.

Das OLG Nürnberg hat nun in einem Urteil festgestellt, dass es zur Pflicht des Geschäftsführers zählt, Compliance-Maßnahmen einzurichten. Die Einrichtung von Compliance-Maßnahmen soll der Überwachung und Kontrolle der wirtschaftlichen Lage des Unternehmens dienen und Rechtsverstöße vorbeugen.

Für uns interessant: Rechtsverstöße meint auch solche der DSGVO.

Es bleibt also festzuhalten, dass der Geschäftsführer verpflichtet ist, im Wohle der Gesellschaft zu handeln. Das beinhaltet unter anderem, dass der Geschäftsführer das Geschehen in der Gesellschaft zu überprüfen hat, was wiederum auf den Datenschutz anwendbar ist. Sprich: Der Geschäftsführer hat für die Einhaltung der Vorgaben der DSGVO zu sorgen, sonst könnte er sich schadensersatzpflichtig machen.

Q1: https://www.gesetze-bayern.de/Content/Document/Y-300-Z-BECKRS-B-2022-N-9637?hl=true

Datenschutzmanagement-System

Um stets einen Überblick zu behalten, empfiehlt sich ein Datenschutzmanagement-System.

Wir unterstützen hier gerne, damit du immer einen Überblick über den Datenschutz im Unternehmen hast. 

Wem droht hier eine hohe Strafe?

Hohe Bußgelder in Niedersachsen

Die Landesbeauftragte für den Datenschutz Niedersachsen hat in kurzer Zeit, zwei größere Bußgelder verhängt. Das erste Bußgeld in Höhe von 1,1 Millionen Euro wurde gegen die VW Aktiengesellschaft verhängt.

Um Fahrassistenzsysteme zu testen und diese anzulernen, hatte VW auf Forschungsfahrten, die Fahrzeuge mit Kameras ausgestattet, welche die Umgebung aufzeichneten.

Im Zuge dieser Datenverarbeitung stellte die LfD Niedersachsen fest, dass sowohl den Informationspflichten nicht nachgekommen war, als auch kein Auftragsverarbeitungsvertrag mit dem Unternehmen, welches die Fahrten durchführte, geschlossen wurde.

Außerdem fehlte es einer Datenschutz-Folgenabschätzung und einer Erläuterung der TOM im Verzeichnis von Verarbeitungstätigkeiten. Für die Behörde stellten diese Verstöße eines niedrigen Schweregrades dar.

In die Berechnung des Bußgeldes flossen unter anderem mit ein, dass die Zusammenarbeit mit VW gut ablief und der Umstand, dass VW die Mängel umgehend eingestellt hat. So konnte VW ein höheres Bußgeld noch vermeiden.

Das zweite Bußgeld traf ein Kreditinstitut, welches Profile erstellt hatte, ohne vorherige Einwilligung. Im Konkreten hatte das Kreditinstitut Daten von Bestandskunden nach Neigungen für digitale Medien untersucht.

Ziel war es, den Kunden personalisierte Werbung zukommen zu lassen. Rechtsgrundlage der Verarbeitung war Art. 6 Abs. 1 UAbs. 1 lit. f DSGVO. Nach Auffassung der Behörde, ist die Verarbeitung allerdings nicht mit der Rechtsgrundlage vereinbar. Der Bescheid ist allerdings noch nicht rechtskräftig.

Eine solche Konstellation ist kein Einzelfall. Immer wieder wird Art. 6 Abs. 1 UAbs. 1 lit. a DSGVO als Auffangtatbestand verstanden. Bereits rechtmäßig erhobene Daten, werden weiter verarbeitet. Die geforderte Interessenabwägung bleibt entweder ganz aus, oder wird nur unzureichend durchgeführt.

Q1: 1,1 Millionen Euro Bußgeld gegen Volkswagen https://lfd.niedersachsen.de/startseite/infothek/presseinformationen/1-1-millionen-euro-bussgeld-gegen-volkswagen-213835.html

 

Q2: 900.000 Euro Bußgeld gegen Kreditinstitut wegen Profilbildung zu Werbezwecken https://lfd.niedersachsen.de/startseite/infothek/presseinformationen/900-000-euro-bussgeld-gegen-kreditinstitut-wegen-profilbildung-zu-werbezwecken-213925.html

Verzeichnis von Verarbeitungstätigkeiten

Das Verzeichnis von Verarbeitungstätigkeiten ist das A und O im Datenschutz.

Artikel 30 DSGVO stellt hohe Anforderungen an das Verzeichnis von Verarbeitungstätigkeiten.

Wir unterstützen bei der Erstellung des Verzeichnis von Verarbeitungstätigkeiten.

Werden eure Daten in China verarbeitet?

Neue chinesische Standardvertragsklauseln 

Wenn es um Datentransfer geht, dann wird meistens eher an die USA gedacht. Dass der Standort China mittlerweile auch eine große Rolle spielt, dürfte wenig verwundern.

Die nun veröffentlichten Standardvertragsklauseln könnten in Zukunft eine erhebliche Rolle spielen und eine Leitlinie für multinationale Unternehmen sein, welche in China Daten verarbeiten. Inhaltlich sind die Standardvertragsklauseln derer der EU sehr ähnlich, beinhalten aber auch spezielle Aspekte des chinesischen Datenschutzrechts.

Was den Anwendungsbereich angeht, so ist dieser an die Zahl der betroffenen Personen, das übermitteln von sensiblen Daten und die Zahl der betroffenen Personen, deren Daten übermittelt werden, entscheidend.

Trotz der zunächst verblüffenden Höhe der Zahlen (eine Millionen Personen oder Übermittlung sensibler Daten von 10.000 Personen), werden einige große Unternehmen aus diesen Vorgaben herausfallen.

In den Standardvertragsklauseln auch enthalten, ist eine Meldepflicht des Verantwortlichen bei der Cyberspace Administration of China (CAC). Des Weiteren findet sich etwas zum Thema Datenschutzfolgenabschätzung.

Diese sollen bei jedem Transfer ins Ausland durchgeführt werden. Das Thema könnte sich in den nächsten Jahren noch zunehmender Relevanz erfreuen und es bleibt abzuwarten, wann sich der Fokus von den Vereinigten Staaten von Amerika auf China verschiebt. Folglich sollte man hier stets auf dem Laufenden bleiben.

Q1: China veröffentlicht Standardvertragsklauseln für grenzüberschreitende Datentransfers https://beck-online.beck.de/Dokument?vpath=bibdata%2Fzeits%2Fzdaktuell%2F2022%2Fcont%2Fzdaktuell.2022.01262.htm&anchor=Y-300-Z-ZDAKTUELL-B-2022-N-01262

Übermittlung in ein Drittland

Die Übermittlung in ein Drittland ist, nicht zuletzt durch das „Schrems-II“ Urteil des EuGH, kniffliger als viele denken.

Wir helfen ihnen sicherzustellen, dass die Datenübermittlung DSGVO-konform abläuft. 

Sind deine Auftragsverarbeitungverträge einwandfrei?

AVV Prüfung durch sächsische Datenschutzaufsichtsbehörde

Auftragsverarbeitungsverträge sind für die Praxis äußerst wichtig. Besonders relevant sind diese beim Thema Hosting von Webseiten. Die unterzeichneten Mustervereinbarungen sind allerdings häufig lückenhaft.

Mehrere Aufsichtsbehörden prüfen nun diverse Vereinbarungen und stellen Checklisten mit Hinweisen bereit. Beteiligt ist auch die sächsische Datenschutzaufsichtsbehörde, die eine relativ umfangreiche Prüfliste erstellt hat und auch mit Hinweisen zum Ausfüllen versehen hat. Sicherlich ein Blick wert, um mal die eigenen AVV mit den Webhostern zu checken.

Q1: https://www.saechsdsb.de/images/stories/sdb_inhalt/allgemein/2022-SDB-Checkliste_Pruefung_AVV_v10.pdf

Q2: https://www.saechsdsb.de/images/stories/sdb_inhalt/allgemein/2022-SDB-Checkliste_Pruefung_AVV_v10_Ausfuellhinweise.pdf

Q3: SDB: Prüfung von Auftragsverarbeitungsverträgen bei Webhostern

AVV

Verarbeitungstätigkeiten aus der eigenen Hand geben ist häufig notwendig, aber stets mit einem Risiko verbunden. Mit unserer Hilfe stellen Sie sicher, dass die Abwicklung der Auftragsverarbeitung DSGVO-konform gestaltet wird. 

Cookie Consent mit Real Cookie Banner