Neue Grundlage für Datenschutzstandards bei der Datenverarbeitung im Auftrag

Die sog. Auftragsdatenverarbeitung ist heutzutage enorm wichtig, sie spielt u.a. beim Cloud Computing eine entscheidende Rolle. Nun haben die beiden großen Datenschutzverbände, die Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD) sowie der Berufsverband der Datenschutzbeauftragten Deutschlands e.V. (BvD), einen unabhängigen Datenschutzstandard für Auftragsdatenverarbeiter bzw. IT-Dienstleister entwickelt. Diese als klare Grundlage für die Datenverarbeitung im Auftrag konzipierte Lösung wurde von GDD und BvD nun in einer gemeinsamen Presseerklärung bekanntgegeben.

Darin heißt es u.a.

Mit der Auftragsdatenverarbeitung gemäß § 11 Bundesdatenschutzgesetz stellt der Gesetzgeber ein Rechtsinstrument bereit, um diese Datenflüsse zu legitimieren.

Hierbei ist ein qualifiziertes und angemessenes Datenschutzniveau eine unverzichtbare Voraussetzung für vertrauenswürdiges und nachhaltiges unternehmerisches Handeln.

In der Praxis herrscht hier jedoch vielfach Unsicherheit darüber, wie eine Auftragsdatenverarbeitung gesetzeskonform ausgestaltet sein muss. Insbesondere stellt sich die Frage, wann die technisch-organisatorischen Maßnahmen des Auftragnehmers als angemessen zu erachten sind und wie der Auftraggeber dies prüfen muss. Anerkannte Standards liegen dazu bisher nicht vor und langwierige, teure Verhandlungen und Prüfungen zwischen Auftragnehmer und Auftraggeber sind die Folge.

[…]

Besonderheiten des Zertifizierungsverfahrens von GDD und BvD sind:

– Transparenz und Nachprüfbarkeit,
– Neutralität und Expertise,
– sowie ein nachweislicher wirtschaftlicher Nutzen durch klare Kostenvorteile für die beteiligten Unternehmen, Auftraggeber wie Auftragnehmer.

Für die Unternehmen, die Dienstleister beauftragen wollen, bietet sich damit eine erhebliche Vereinfachung des Verfahrens an. Die hohen Kosten für die Kontrollen bei den Dienstleistern entfallen, wenn der Dienstleister sich nach diesem einzigartigen Standard hat zertifizieren lassen. Auch der Dienstleister hat durch dieses Verfahren erhebliche Vorteile. Er kann sich nach Audit und Zertifikatserteilung auf seine Kerntätigkeit konzentrieren und muss sich nicht mit einem erheblichen Teil seiner Kapazität mit den Anforderungen der Kontrollteams seiner Auftraggeber befassen, die zu dem nach unterschiedlichsten Kriterien prüfen und oft selbst nicht genau wissen, worauf es eigentlich ankommt.

Der gesamte Text der Pressemeldung findet sich u.a. auf der Website des BvD.

Rezensionen Datenschutz-Software

Datakontext, spezialisiert u.a. auf die Bereiche IT-Sicherheit und Datenschutz, hat diverse Bücher und Software im Programm, die für Anfänger und auch für Profis gleichermaßen interessant sind. Für Datenschutz-Audits gibt es insbesondere die Tools

Dabei handelt es sich jeweils um Excel-Dateien (auf CD-Rom bzw. online), die in erster Linie als nützliches Handwerkszeug für Datenschutzbeauftragte konzipiert sind.

Wer sich für Details zu den genannten Produkten interessiert, gelangt mittels Mausklick auf den jeweiligen Namen zur dazu gehörigen Rezension.

Maßnahmen für besseren Schutz der Privatsphäre

Bundesministerium des Inneren, Pressemitteilung vom 14.08.2013

Kabinett beschließt Maßnahmen für einen besseren Schutz der Privatsphäre

„Deutschland ist ein Land der Freiheit“

Unter dieser Überschrift hat Bundeskanzlerin Dr. Angela Merkel am 19. Juli 2013 ihr Acht-Punkte-Programm für einen besseren Schutz der Privatsphäre vorgestellt. Das Bundeskabinett hat in seiner heutigen Sitzung die daraufhin von den jeweils zuständigen Ressorts eingeleiteten Maßnahmen diskutiert und den von Bundesminister des Innern Dr. Hans-Peter Friedrich und Bundesminister für Wirtschaft und Technologie Dr. Philipp Rösler vorgelegten ersten Fortschrittsbericht zur Umsetzung des Acht-Punkte-Programms beschlossen.

Weiterlesen

„Bußgeld wegen offenen E-Mailverteilers“

Pressemitteilung des Bayerischen Landesamtes für Datenschutzaufsicht vom 28.06.2013

 

Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat gegen eine Mitarbeiterin eines Unternehmens ein Bußgeld verhängt, weil sie mit einem offenen E-Mail-Verteiler personenbezogene E-Mail-Adressen einem großen Empfängerkreis übermittelt hat.

Weiterlesen

Grenzenlose Freiheit in der Wolke?

Aufgrund der offensichtlichen Vorteile des Cloud Computing – u.a. simple, flexible und kostengünstige Nutzung – erfreut sich diese Dienstleistung immer größerer Beliebtheit. Aus juristischer Sicht ergeben sich in Deutschland bzw. innerhalb der EU jedenfalls dann einige beachtliche Probleme, wenn Cloud-Dienstleister aus dem Nicht-EU-Ausland in Anspruch genommen werden.

Dies gilt zumindest für den Einsatz von personenbezogenen Daten in der Cloud. Unter diesen Begriff fallen alle Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person. Gemeint sind also alle Daten, anhand derer eine bestimmte natürliche Person identifizierbar ist. Darunter fallen u.a.

  • Name
  • Anschrift
  • Kontaktdaten
  • Bankverbindung
  • IP-Adresse

Nicht von diesem Schutz umfasst sind Daten von Unternehmen, ebenso wenig anonymisierte bzw. pseudonymisierte Daten.

Gemäß dem deutschen Datenschutzrecht dürfen personenbezogene Daten nur dann erhoben bzw. verarbeitet werden, wenn eine Einwilligung des Betroffenen oder aber ein gesetzliche Ausnahme vorliegt. Da in vielen Fällen das Einholen einer wirksamen Zustimmung zur Datenverarbeitung von betroffenen Personen schwierig sein dürfte, muss also eine gesetzliche Ausnahmeregelung für zulässiges „cloud computing“ vorliegen. Die Lösung steht nach einhelliger Auffassung unter Juristen und Datenschützern einzig in Form der sog. „Auftragsdatenverarbeitung“ gemäß § 11 Bundesdatenschutzgesetz (BDSG) bereit. Diese erfordert jedoch einen vertraglichen Rahmen. In dem unbedingt schriftlich zu fixierenden Vertrag sind insbesondere folgende Aspekte zu regeln:

  • Gegenstand und Dauer des Auftrags
  • Art, Umfang und Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung von Daten, die Art der Daten und der Kreis der Betroffenen
  • technische und organisatorische Maßnahmen
  • Berichtigung, Löschung und Sperrung von Daten
  • Pflichten des Auftragnehmers
  • etwaige Berechtigung zur Begründung von Unterauftragsverhältnissen
  • Kontrollrechte des Auftraggebers und entsprechende Duldungs- und Mitwirkungspflichten des Auftragnehmers
  • Umfang der Weisungsbefugnisse des Auftraggebers gegenüber dem Auftragnehmer
  • Rückgabe überlassener Datenträger und Löschung beim Auftragnehmer gespeicherter Daten nach Beendigung des Auftrags

Praxistipp: Cloud-Nutzer müssen sich den Dienstleister sehr sorgfältig aussuchen. Aufgrund der insgesamt noch nicht abschließend geklärten Situation sollte derzeit auf jeden Fall von der Speicherung der sog. personenbezogenen Daten besonderer Art (u.a. Angaben über die ethnische Herkunft, evtl. Gewerkschaftszugehörigkeit oder auch zu politischen Ansichten) in der Cloud verzichtet werden. Sofern personenbezogene Daten im Cloud-Speicher abgelegt werden sollen, ist von außer-europäischen Anbietern bzw. Server-Standorten eher abzuraten. Die datenschutzrechtlichen Voraussetzungen sind zwingend zu beachten.

Mehr Details finden sich im Beitrag „Über den Wolken ist die Freiheit grenzenlos – und in der Cloud?“, der im Video2Brain-Blog veröffentlicht wurde.

Wettbewerbsregeln in den sozialen Medien

Gerade dem Bereich des Wettbewerbsrechts sollten Unternehmer bei Facebook & Co. große Aufmerksamkeit widmen. In kaum einem anderen Gebiet kann man so schnell in die „Abmahn-Falle“ geraten. Gleichzeitig ist online die Beweissicherung für den Abmahnenden eine ziemlich simple Sache.

In den sozialen Medien, nicht nur bei Facebook, sollten daher folgende Punkte Beachtung finden:

  • eigenes Impressum mit den entsprechenden Pflichtangaben
  • keine herabwürdigenden Äußerungen über Konkurrenz-Unternehmen bzw. –Produkte
  • keine Rufausbeutung, Herkunftstäuschung, Absatzbehinderung, Abfangen von Kunden o.ä.
  • kein Einsatz von „fake likes“ oder „fake friends“, d.h. keine gekauften „gefällt mir“-Klicks bzw. Freunde
  • kein Übersenden von unverlangten Werbenachrichten
  • kein „clickjacking“, also keine Generierung von verschleierten „gefällt mir“-Klicks
  • auf korrekte Preisangaben bei Verkauf von Waren / Dienstleistungen, d.h. Endpreisangaben ggü. Verbrauchern
  • fernabsatzrechtliche Informationspflichten beachten (Rückgabe- / Widerrufsbelehrung, Angaben zum Vertragsschluss, korrekte Produktbeschreibungen, Auflistung der Versandkosten etc.)
  • kein gezieltes Abwerben von Mitarbeitern der Konkurrenz

Mehr Details dazu finden sich im Video-Training „Meine Rechte und Pflichten in sozialen Netzwerken“ sowie im Beitrag „Social Media: (Un)lauteres Marktverhalten“ im Video2Brain Blog.

Praxistipp: Unternehmer sind gut beraten, nicht „einfach mal eben so“, sondern im Gegenteil wohl überlegt und mit der nötigen Ruhe ihre Profile in den sozialen Netzwerken zu pflegen und im Zweifel fachmännische Hilfe in Anspruch zu nehmen.

Das Online-Impressum – alles klar?

Die korrekte Gestaltung des „Impressum“-Menüpunktes ist heutzutage in aller Regel nur eine „Fingerübung“. Dieser Punkt muss bei nicht nur rein privat genutzten Internetseiten vorhanden sein und mit den entsprechenden Pflichtangaben versehen werden. Er sollte als eigener Punkt in der Haupt- oder Footer-Navigation eingebunden werden, so dass er immer und von jeder Einzelseite aus erreichbar ist. Die Bezeichnung mit „Impressum“ oder auch „Kontakt“ ist zwar nicht verpflichtend, aber sinnvoll. Eine direkte Nutzerführung ist angebracht, denn es dürfen nicht mehr als zwei Mausklicks zu den Pflichtangaben führen.

Viel mehr Fragen ergeben sich jedoch hinsichtlich der einzelnen Pflichtangaben. Zwei Punkte, die auf jeden Fall weggelassen werden können, sind die finanzamtsbezogene Steuernummer (nicht die Umsatzsteuer-ID-Nummer!) und konkrete Gesetzeszitate (z.B. „Pflichtangaben gem. § 5 TMG“). Welche Informationen ansonsten aufzunehmen sind, hängt vom jeweiligen Betreiber der Site ab. Hierbei sollte viel Wert auf eine exakte Arbeit gelegt werden, denn inhaltliche Fehler im Web-Impressum sind regelmäßig auch als Wettbewerbsverstoß zu werten und können daher kostenpflichtige Abmahnungen nach sich ziehen.

Zwar gibt es vereinzelte Gerichtsentscheidungen, die fehlende Pflichtangaben als Bagatelle einordnen, wie etwa der Beschluss des Kammergerichts Berlin vom 21.09.2012 (Az. 5 W 204/12). Die überwiegende Anzahl der Gerichtsentscheidungen sehen in derartigen Verstößen jedoch keine Bagatellen, wie u.a. das Landgericht Ingolstadt in seinem Beschluss vom 06.02.2012 (Az. 1 HK O 105/12) oder auch das Landgericht Bamberg in seinem Urteil vom 23.11.2012 (Az. 1 HK O 29/12). Die Bedeutung eines Impressums für eine Webseite hat u.a. das Landgericht Aschaffenburg im Urteil vom 03.04.2012 (Az. 2 HK O 14/12) aufgezeigt, als es die Impressumspflicht auch für „Baustellen“-Webseiten bejaht hat.

Praxistipp: Ein fehlerhaftes oder gar gänzlich fehlendes Impressum geht zu Lasten des Website-Betreibers. Nur in Ausnahmefällen handelt es sich bei Verstößen gegen die Impressumspflicht um Bagatellen. Daher ist jeder Webmaster hierbei gut beraten, diesen Aspekt nicht als lästige Pflichtübung abzutun, sondern sich um Zweifel fachkundige Hilfe zu holen.

Haftungsfragen in sozialen Netzwerken

Es ist inzwischen anerkannt, dass jeder für eigene Inhalte auch verantwortlich sein muss – das gilt im World Wide Web genauso wie im normalen Leben. Bisweilen können aber z.B. Betreiber von Foren, von Blogs oder von Profilen in sozialen Netzwerken auch für Rechtsverstöße Dritter haftbar sein.

Wie das Landgericht Stuttgart mit Urteil vom 20.07.2012 (Aktenzeichen: 17 O 303/12) entschieden hat, haftet der Inhaber eine Facebook-Unternehmensseite für Rechtsverstöße, die in seinem Profile durch andere Facebook-Nutzer begangen werden. Wenn also jemand ein Bild an diese Unternehmensseite postet, ohne die entsprechenden Nutzungsrechte dafür zu besitzen, dann stellt das eine Urheberrechtsverletzung des postenden Facebook-Nutzers dar. Der Betreiber des Profils, wo das betreffende Bild gepostet wird, kann dann auf Unterlassung und Schadensersatz in Anspruch genommen werden. Dies gilt nach Ansicht der Stuttgarter Richter jedenfalls dann, wenn der Profil-Inhaber von dem Rechtsverstoß Kenntnis hatte und es trotzdem nicht entfernt hat.

Mehr Details zu den Haftungsfragen und den anderen juristischen Rahmenbedingungen finden sich im Buch „Social Media: Rechte und Pflichten für User“ sowie im demnächst erscheinenden Video-Training „Meine Rechte und Pflichten in sozialen Netzwerken“.

Praxistipp: Im Grunde gilt diese Regelung gleichermaßen für Betreiber von privaten Facebook-Seiten, zudem ist sie natürlich auch auf andere soziale Medien übertragbar. Bei Verstößen gegen das Urheberrecht kommt es prinzipiell nicht darauf an, ob der Profil-Inhaber privat oder gewerblich handelt, auch auf eine etwaige Absicht ist nicht abzustellen. Es gibt zwar keine generelle Vorab-Prüfpflicht, aber Facebook-Nutzern kann nur dazu geraten werden, von Zeit zu Zeit jedenfalls stichprobenartig das eigene Profil zu kontrollieren. Im Zweifel sollten „verdächtige“ Postings entfernt oder gesperrt werden. Es kann zudem auch auf die Funktion „Meldung / Spam melden“ genutzt werden, um Facebook über den Rechtsverstoß zu informieren.

Urheberrechtsfalle bei Facebook & Co. durch die Vorschau-Funktion

Ein neues Abmahn-​Gespenst geht um: Seit Ende 2012 werden Urheberrechtsverstöße in sozialen Medien abgemahnt. Konkret geht es hierbei um mittels Vorschau-​Funktion dargestellte Inhalte, wie z.B. ein Foto. Auch dafür ist grundsätzlich die Einwilligung des Urhebers erforderlich.

Dass es sich bei der Verwendung von urheberrechtlich geschützten Inhalten im Rahmen der Vorschau-​Funktion um Rechtsverstöße handelt, entspricht der derzeit herrschenden Ansicht unter Juristen. Der ausführliche Beitrag zu dieser Problematik findet sich im Video2Brain Blog. Außerdem ist das bald im Handel erhältlich Buch „Social Media: Rechte und Pflichten für User“ (entwickler.press) zu empfehlen.

Praxistipp: Um als Nutzer von sozialen Medien zukünftig nicht in die Falle zu tappen, wird derzeit empfohlen, entweder die Rechtslage in Bezug auf die per Vorschau-​Funktion eingebundenen Inhalte eindeutig zu klären (sprich: vorab eine Genehmigung einzuholen) oder im Zweifel ganz auf die Vorschau verlinkter Websites zu verzichten. Dazu muss immer daran gedacht werden, ein Häkchen bei „kein Miniaturbild“ zu setzen. Dies ist zwar sehr unpraktisch, abe rjuristisch betrachtet zur Zeit am sichersten.

Rechtsmissbräuchlichkeit von Abmahnungen

Nicht jede Abmahnung, die verschickt wird, erfolgt auch zulässigerweisen. Zum Leidwesen der Abgemahnten gibt es keinen exakten Katalog von Kriterien, anhand denen man ersehen kann, wann eine Abmahnung zulässig ist und wann nicht. Allerdings hat die Rechtsprechung inzwischen einige Indizien entwickelt, die auf einen Rechtsmissbrauch schließen lassen.

Dazu zählen u.a.

  • vollkommen überzogener Streitwert
  • Forderung von nicht erstattungsfähigen Anwaltsgebühren
  • Vorformulierter Verzicht auf „Einrede des Fortsetzungszusammenhangs“ in Unterlassungserklärung
  • nach „Hamburger Brauch“ formulierte Unterlassungserklärung wird nicht akzeptiert
  • Bestimmung des gleichen Tages für die Frist der Abgabe der Unterlassungserklärung und für die Erstattung der Abmahnkosten
  • Übermittlung einer Vollmachtskopie anstelle des Originals
  • Anzahl gleicher oder ähnlicher Abmahnungen / Massenabmahnung
  • Verwendung von Textbausteinen / Mustertexten im Abmahnschreiben
  • ungewöhnlich gestaltete Gebührenvereinbarung zwischen Abmahnendem und seinem Anwalt
  • räumliche Entfernung zwischen Abmahnendem und seinem Anwalt
  • Spezialisierung des Anwalts
  • Abzielen auf reines Gebührenerzielungsinteresse
  • die Wahl des sogenannten „fliegenden Gerichtsstandes“
  • Missverhältnis zwischen tatsächlichen Umsätzen des Abmahnenden und seinem Kostenrisiko aufgrund der Abmahnungen
  • die Vernachlässigung des Ladengeschäfts des Abmahnenden
  • fragliches bzw. weit ausgelegtes Wettbewerbsverhältnis

Diese Aufzählung ist nicht als abschließend anzusehen. Auch das Vorliegen eines oder mehrerer Punkte bedeutet noch nicht automatisch, dass eine Abmahnung rechtswidrig und damit unwirksam ist. Allerdings lässt sich jedoch sagen, dass ein Rechtsmissbrauch umso wahrscheinlicher wird, je mehr von den o.a. Punkten zutreffen.

Lesenswerte Entscheidungen zu dieser Thematik sind die Urteile des OLG Hamm (Az. I-4 U 62/10) bzw. des Bundesgerichthofs (Az. I ZR 174/10).

Praxistipp: Empfängern einer Abmahnung, gleich auf welchem Gebiet, kann nur dringend empfohlen werden, sich so schnell wie möglich, auf jeden Fall innerhalb der im Abmahnschreiben gesetzten Frist, an einen Fachmann zu wenden. Nur dann besteht die Möglichkeit, drohenden Schaden abzuwenden und evtl. Kosten zu vermeiden oder zumindest zu reduzieren.