Kategorie: Blog

Auskunft nach Art. 15 DSGVO

Auskunft nach Art. 15 DSGVO

Das Auskunftsrecht ist das zentrale Betroffenenrecht. Eine vollständige Antwort gestaltet sich oft schwierig und ist manchmal recht komplex. Aufsichtsbehörden berichten daher von einer hohen Anzahl von Datenschutzbeschwerden. Häufige Fehler bei der Auskunft nach Art. 15 DSGVO sind:

  • Auskunftsbegehren werden ignoriert, weil Zweifel an der Identität des Anfragenden bestehen
  • Die Antwort umfasst nur die Stammdaten und Kategorien von Empfängern
  • Der Antrag auf Auskunft nach Art. 15 DSGVO wird nicht weitergeleitet

Dieser Beitrag gibt einen Überblick über die bisherige Rechtsprechung und zu den Anforderungen einer ordnungsgemäßen Auskunft.
 

Umfang der Auskunft nach Art. 15 DSGVO

 
Das Landgericht Köln hatte bereits 2019 entschieden, dass sich der Umfang einer Auskunft nicht auch auf alle internen Vorgänge und rechtlichen Bewertungen bzw. Analyse beziehe (Landgericht Köln, Teilurteil vom 18.03.2019, Aktenzeichen: 26 O 25/18). Das BayLDA geht  jedoch im 9. Tätigkeitsbericht davon aus, dass auch Interne Vermerke und Bewertungen sowie Gesprächs- und Telefonvermerke
vom Anspruch auf Auskunft nach Art. 15 DSGVO umfasst sind.

Das Arbeitsgericht Düsseldorf hat in seiner Entscheidung vom 05.03.2020, Aktenzeichen: 9 Ca 6557/18, die Vorgaben zum Umfang nun weiter präzisiert:

  • Für den Umfang des Auskunftsverlangens sei grundsätzlich der Datenbestand zum Zeitpunkt des Auskunftsverlangens maßgeblich. Daten, die in der Vergangenheit einmal verarbeitet wurden und über die der Verantwortliche nun nicht mehr verfügt, sind  demnach nicht Bestandteil der Auskunft. Wird die Frist von einem Monat gemäß Art. 12 Abs. 3 DSGVO versäumt, so seien nachfolgende Datenverarbeitungen aber einzubeziehen.
  • Der Aufwand, nach personenbezogenen Daten in sämtlichen Servern, Datenbanken, Web-Anwendungen, E-Mail-Postfächern, Verzeichnisstrukturen, Speichermedien, Smartphones, Notebooks und diversen anderen Endgeräten zu suchen, um sie in Kopie herausgeben zu können, stehe in grobem Missverhältnis zum Leistungsinteresse.

 

Weiterleitung der Auskunft

 
Eine häufiger Fehler ist, dass Anträge auf Auskunft nach Art. 15 DSGVO auf dem Weg im Unternehmen verloren gehen.
 

Sensibilisierung der Mitarbeiter

Ein Auskunftsbegehren kann den Verantwortlichen theoretisch auf jedem Kommunikationskanal und über jeden Mitarbeiter mit Außenkontakt erreichen. Mitarbeiter mit Kundenkontakt (persönlich, telefonisch, per E-Mail oder Telefax) sind daher so zu sensibilisieren, dass Sie das Auskunftsbegehren als solches erkennen und dieses an den zuständigen Mitarbeiter weiterleiten. Dies kann der Datenschutzmanager, aber auch ein sonstiges Mitglied des Datenschutzteams sein.

Fristbeginn der Auskunft nach Art. 15 DSGVO

Der Fristlauf von einem Monat beginnt dann, wenn das Auskunftsbegehren beim Verantwortlichen eingeht. Dabei genügt es, wenn ein Brief am Empfang oder einer extern beauftragten Rezeption abgegeben wird. Das Arbeitsgericht Düsseldorf geht davon aus, dass Post üblicherweise nicht einmal einen Tag liegen gelassen, sondern binnen weniger Stunden an den Empfänger weitergeben wird.
 

Inhalt der Auskunft nach Art. 15 DSGVO

 

Empfänger

Das Amtsgericht Wertheim sieht einen Verstoß gegen das Transparenzgebot in der beispielhaften Nennung von Empfängern („z.B.“). Hier sei nicht klar, ob eine Übermittlung an den so bezeichneten Empfänger stattgefunden habe oder nicht. Erforderlich sei auch die konkrete Benennung des Datums, nicht lediglich die der Datenart (AG Wertheim, Beschluss vom 12.12.2019, Aktenzeichen: 1 C 66/19).

Auch der Landesbeauftragte für den Datenschutz Baden-Württemberg fordert in seinem 35. Tätigkeitsbericht, Empfänger von Daten konkret zu bezeichnen. Das bloße Nennen von Kategorien ( z.B. Autohäuser, Wirtschaftsauskunfteien, Online-Händler) helfe dem Betroffenen nicht weiter.

Eine Auskunft über Dritte, welche eigenverantwortlich Daten verarbeiten, ist nicht erforderlich(Arbeitsgericht Düsseldorf, Entscheidung vom 05.03.2020, Aktenzeichen: 9 Ca 6557/18). 
 

Verarbeitungszwecke

Im Rahmen einer Auskunft sind die Zwecke konkret und detailliert mitzuteilen. Die Angabe, dass die Datenverarbeitung zum Zwecke des Beschäftigungsverhältnisses, namentlich zu dessen Abwicklung und Beendigung, zur Erfüllung bestehender rechtlicher Verpflichtungen und zur Wahrnehmung berechtigter Interessen nach § 26 BDSG bzw. Art. 6 Abs. 1 lit. (b,) c und f E. erfolge, ist nicht unzureichend und nicht transparent (Arbeitsgericht Düsseldorf, Entscheidung vom 05.03.2020, Aktenzeichen: 9 Ca 6557/18). 
 

Verfahren und Bußgeld

 
Werden eine große Menge von Informationen über die betroffene Person verarbeitet, so sollte der Betroffene aufgefordert werden, sein Auskunftsersuchen noch weiter zu konkretisieren. Eine Präzisierung könnte bestimmte Verarbeitungszwecke, Zeiträume oder Datenkategorien umfassen. Dieses gestufte Vorgehen wird ausdrücklich von Erwägungsgrund 63 S. 7 beschrieben.

Eine unvollständige, inkorrekte und zu spät erteilte Auskunft kann wie im Fall vor dem Arbeitsgericht Düsseldorf einen immateriellen Schadenersatzanspruch i. H. v. 5.000 EUR rechtfertigen.

 

scales icon with long shadow

Abmahnung wegen fehlender Datenschutzerklärung

Leitsatz:

Die Informationspflichten aus Artikel 13 Absatz 1 DSGVO stellen Marktverhaltensregelungen dar. Wettbewerbsverbände sind daher befugt, solche Verstöße gegen Bestimmungen der Datenschutz-Grundverordnung geltend zu machen. Eine Abmahnung wegen fehlender Datenschutzerklärung ist demnach möglich.

Gericht: Oberlandesgericht Stuttgart, Urteil vom 27.02.2020
Aktenzeichen: 2 U 257/19

 

Was war passiert?

Ein gewerblicher Ebay-Verkäufer bot auf der Plattform Reifen zum Sofortkauf an. Neben seiner Firma gab er seine Postanschrift, Telefonnummer, Faxnummer und E-Mail-Adresse an. Eine Erklärung zum Datenschutz hielt er jedoch nicht vor. Damit informierte er insbesondere nicht über Art, Umfang und Zweck der Erhebung und Verwendung personenbezogener Daten. Daraufhin erhielt er von einem Wirtschaftsverband eine Abmahnung wegen fehlender Datenschutzerklärung.

 

Entscheidung:

Mit dem Inserat auf der Internethandelsplattform hat der Händler gegen Artikel 13 DSGVO verstoßen. Hierin sah das Gericht auch eine unzulässige geschäftliche Handlung im Sinne von § 3 a UWG, die vom Wirtschaftsverband abgemahnt werden kann.

Voraussetzung für eine Abmahnung wegen fehlender Datenschutzerklärung ist,

• dass die entsprechende Norm auch dazu bestimmt ist, im Interesse der Marktteilnehmer das Marktverhalten zu regeln
• dass dieser geeignet ist, die Interessen von Verbrauchern, sonstigen Marktteilnehmern oder Mitbewerbern spürbar zu beeinträchtigen.

Nach Auffassung des Gerichts habe Art. 13 DSGVO insoweit eine verbraucherschützende Funktion und weise den erforderlichen wettbewerblichen Bezug auf.

Das Gericht ging davon aus, dass durch die DSGVO die Rechtsbehelfe nicht abschließend geregelt werden. Daher bleiben die nationalen Bestimmungen der § 8 Absatz 1 und Absatz 3 Nr. 2 i.V.m. § 3a UWG anwendbar.

Mitgliedstaaten können nationale Normen auch dann anwenden, wenn diese die unmittelbare Anwendbarkeit der Verordnung nicht vereiteln, deren gemeinschaftliche Natur nicht verbergen und die Ausübung des durch die betreffende Verordnung verliehenen Ermessens innerhalb der Grenzen dieser Vorschriften konkretisieren.

Der Normgeber hat die Verantwortung für die Ausgestaltung der Rechtsdurchsetzung und des Prozessrechts an die Mitgliedsstaaten übertragen. Daher müsse vom Grundsatz her jede nationale Maßnahme, die geeignet ist, die Rechtsdurchsetzung zu erleichtern, als zulässig angesehen werden.

Aus der DSGVO ergäbe sich zudem nicht, dass es den Mitgliedstaaten verwehrt sein soll, Wettbewerbsverbänden eine Klagebefugnis einzuräumen. Die Rechtsdurchsetzung auf dem zivilen Rechtsweg wird durch die Verordnung in keiner Weise eingeschränkt, noch stellt Artikel 80 DSGVO eine abschließende Regelung dar.

Die Verfolgung von Wettbewerbsverstößen durch Wettbewerbsverbände habe sich als schlagkräftiges Instrument bewährt. Da die Ressourcen der Behörden begrenzt sind, können Wettbewerbsverbände auch bei der Überwachung der Datenschutzregeln einen wesentlichen Beitrag leisten.

 

Hintergrund zur Abmahnung wegen fehlender Datenschutzerklärung

Ob DSGVO-Verstöße abgemahnt werden können bleibt weiterhin unklar. Die Frage, ob das Datenschutzrecht auch das Marktverhalten regelt, wird von den Gerichten unterschiedlich beantwortet.

 

Entscheidung am Gericht Sachverhalt Verstoß gegen das Wettbewerbsrecht
27.02.2020Oberlandesgericht Stuttgart

Aktenzeichen: 2 U 257/19

gewerblicher Ebay-Verkäufer mit Inserat ohne Datenschutzhinweiseja
07.11..2019Oberlandesgericht des Landes Sachsen-Anhalt

Aktenzeichen: 9 U 6/19

fehlende ausdrückliche Einwilligungja
07.02.2019Oberlandesgericht München

Aktenzeichen: 6 U 2404/18

Telefonanrufen zu Werbezwecken (Cold Calls)ja
05.11.2018Landgericht Wiesbaden

Aktenzeichen:. 5 O 214/18

wegen unvollständigen Auskünfte nach Art. 15 DSGVOnein
25. 10. 2018Oberlandesgericht Hamburg

Aktenzeichen: 3 U 66/17

fehlende EinwilligungDie jeweilige Norm der DSGVO muss im Einzelfall konkret darauf überprüft werden, ob sie eine Regelung des Marktverhaltens zum Gegenstand hat.
13.09.2018Landgericht Würzburg

Aktenzeichen: 11O1741/18

fehlerhafte Datenschutzerklärung (keine Angabe zum Verantwortlichen, zur Datenverarbeitung, Belehrung über Betroffenenrechte)  und keine Verschlüsselung für das Kontaktformular auf Websiteja
07.08.2018Landgericht Bochum, Aktenzeichen: 12 O 85/18fehlende Datenschutzerklärung auf einer WebsiteVerstoß gegen die DSGVO ist nicht zugleich eine Wettbewerbsverletzung nach § 3 a UWG

 

Eine höchstrichterliche Entscheidung steht noch aus. Um vor allem einer Abmahnung wegen fehlender Datenschutzerklärung vorzubeugen, sollten Unternehmen ihre Hinweise auf Vollständigkeit prüfen.

Kein Schadensersatzanspruch bei Bagatellverstößen

Leitsatz:

Für ein Schadensersatzanspruch bei Bagatellverstößen, ohne ernsthafte Beeinträchtigung für das Selbstbild oder Ansehen einer Person besteht kein Schadensersatzanspruch nach Art. 82 DSGVO.

Gericht: : Oberlandesgericht Dresden, Beschluss vom 11.Juni 2019
Aktenzeichen: 4U 760/19

Was war passiert?

Facebook hatte einen fremdenfeindlichen Beitrag eines Nutzers gelöscht, in welchem mehrfach das Wort „Neger“ verwendet wurde. Anschließend wurde auch der Account des Nutzers für wenige Tage gesperrt. Aufgrund dessen klagte der Nutzer gegen das Vorgehen und verlangte Schadensersatz in Höhe von 150,00 Euro. In der Löschung seines Beitrages und in der kurzzeitigen Versetzung seines Kontos in den read-only Modus sah der Nutzer unter anderem einen Verstoß gegen die DSGVO.

Entscheidung:

Das Oberlandesgericht (OLG) entschied, dass Bagatellverstöße, wie hier der Fall, keinen Schadensersatzanspruch nach Artikel 82 Datenschutzgrundverordnung (DSGVO) begründen.

In der Löschung des Posts und der Sperrung des Accounts des Klägers liegt kein Verstoß gegen zwingende Vorgaben der DSGVO. Zur Erhebung, Verarbeitung und letztendlich auch Löschung seiner Daten habe der Nutzer gemäß der Nutzungsbedingungen eingewilligt, Art. 6 Abs. 1 lit a) DSGVO. Dies umfasse mithin auch die Löschung des streitgegenständlichen Posts und die Sperrung seines Kontos.

Voraussetzung für einen Anspruch aus Art. 82 DSGVO ist materieller oder immaterieller Schaden des Betroffenen. Die bloße Sperrung von Daten stellt ebenso wie der Datenverlust noch keinen Schaden im Sinne der DSGVO dar. Auch die behauptete Hemmung in der Persönlichkeitsentfaltung durch die Sperrung des Kontos habe allenfalls Bagatellcharakter.

Art. 82 DSGVO ist nicht so auszulegen, dass er einen Schadensersatzanspruch bereits bei jeder individuell empfundenen Unannehmlichkeit oder bei Bagatellverstößen ohne ernsthafte Beeinträchtigung für das Selbstbild oder Ansehen einer Person begründet.

Dies kann anders zu bewerten sein, wenn ein datenschutzrechtlicher Verstoß zum Beispiel eine Vielzahl von Personen in gleicher Weise betrifft und Ausdruck einer bewussten, rechtswidrigen und im großen Stil betriebenen Kommerzialisierung ist.

Private Handynummer der Mitarbeiter

Private Handynummer der Mitarbeiter

Leitsatz:

Ein Arbeitnehmer ist nicht dazu verpflichtet, dem Arbeitgeber seine private Mobiltelefonnummer mitzuteilen. Etwas anderes kann gelten, wenn der Arbeitgeber ohne die private Handynummer der Mitarbeiter eine legitime Aufgabe nicht, nicht vollständig oder nicht in rechtmäßiger Weise erfüllen kann oder eine andere Organisation der Aufgabenerfüllung nicht möglich oder zumutbar ist.

Gericht: Landesarbeitsgericht Thüringen, Urteil vom 16. Mai 2018
Aktenzeichen: 6 Sa 442/17

Was war passiert?

Ein Mitarbeiter des Gesundheitsamtes war im Bereich Hygiene/Infektionsschutz beschäftigt. Sogenannte Gefährdungsanlagen, wie der Ausbruch hoch infektiöser Krankheiten, machen hier ein Tätigwerden auch außerhalb der Arbeitszeiten erforderlich. Daher war außerhalb der Dienstzeit bis zum 31.12.2016 eine Rufbereitschaft eingerichtet. Für etwaige Anrufe wurde ein Diensthandy zur Verfügung gestellt. Ab dem 01.01.2017 sollte die Erreichbarkeit zu bestimmten Zeiten bei Notfällen nicht über das Diensthandy, sondern über die private Handynummer der Mitarbeiter organisiert werden. Der Arbeitgeber verlangte daher auch Mobiltelefonnummer der Mitarbeiter. Als sich ein Mitarbeiter weigerte, seine Mobiltelefonnummer anzugeben, erhielt er eine Abmahnung. Hiergegen wehrte sich der Mitarbeiter mit einer Klage.

Entscheidung:

Das Gericht entschied, dass Mitarbeiter grundsätzlich nicht verpflichtet sind, dem Arbeitgeber ihre private Mobiltelefonnummer mitzuteilen. Für die Erhebung der Mobiltelefonnummer als personenbezogenes Datum benötigt der Arbeitgeber eine entsprechende Rechtsgrundlage. Fehlt eine Einwilligung des Arbeitnehmers so war auch nach alter Rechtslage eine Abfrage nur zulässig, wenn die Speicherung der Nummer zur Begründung, Durchführung oder Beendigung des Beschäftigungsverhältnisses erforderlich ist.

Der Begriff der Erforderlichkeit in diesem Sinne bedeutet dabei nicht, dass die Daten für den Arbeitgeber unverzichtbar sein müssen. Ausreichend ist, wenn der Arbeitsgeber ohne ihre Kenntnis oder Nutzung im konkreten Einzelfall eine legitime Aufgabe nicht, nicht vollständig oder nicht in rechtmäßiger Weise erfüllen kann. Nach dem Verhältnismäßigkeitsgrundsatz darf die Schwere des Eingriffs bei einer Gesamtabwägung nicht außer Verhältnis zu dem Gewicht der ihn rechtfertigenden Gründe stehen. Der Eingriff in das Persönlichkeitsrecht liegt bereits darin, dass die Mobiltelefonnummer erfasst werde und somit die Möglichkeit bestehe, den Mitarbeiter jederzeit und an jedem Ort zu kontaktieren.

Hierin sah das Gericht aber einen außerordentlich schweren Eingriff, welcher sich nicht durch das Informationsinteresse des Arbeitgebers rechtfertigen lässt. Eine Mobiltelefonnummer ist deshalb ein besonders sensibles Datum, weil jeder, der Kenntnis von dieser Nummer hat, grundsätzlich jederzeit in der Lage ist, den Nutzer zu erreichen. Zu den vornehmsten Persönlichkeitsrechten gehört aber, dass ein Mensch selbst entscheidet, für wen er in seiner Freizeit erreichbar sein will oder nicht.

GPS-Überwachung von Firmenfahrzeugen

 

Leitsatz:

Die GPS-Überwachung von Firmenfahrzeugen ist weder zur Tourenplanung, zur Gewährleistung des Diebstahlschutzes, zur Koordination der Mitarbeiter, noch zum Nachweis gegenüber den eigenen Auftraggebern erforderlich.
 
Gericht: : Verwaltungsgericht Lüneburg, Teilurteil vom 19. März 2019
Aktenzeichen: 4 A 12/19

 

Was war passiert?

Der Betreiber eines Reinigungsunternehmens hat den eigenen Fuhrpark mit einem GPS-System ausgestattet. Dabei speicherte er über einen Zeitraum von 150 Tagen die jeweiligen Start- und Endpunkte, sowie bspw. auch die gefahrene Zeit und den Status der Zündung. Das System ist nicht manuell, z.B. durch einen Schalter, abschaltbar. Auch eine anderweitige Abschaltung ist nur unter beachtlichen Aufwand möglich. Außerdem speicherte er die Kennzeichen der Fahrzeuge, welche wiederum den jeweiligen Arbeitnehmern zugeordnet sind. Eine ehemalige Mitarbeiterin des Reinigungsunternehmens entschied sich, diese Praxis zu melden, woraufhin ein Kontrollverfahren eingeleitet wurde. Daraus folgte ein Bescheid, welcher der Reinigungsfirma z.B. auferlegte, die Erhebung und Nutzung der Beschäftigungsdaten durch GPS-Systeme so zu gestalten, dass eine GPS-Überwachung von Firmenfahrzeugen nicht erfolgt. Gegen diesen Bescheid wehrte sich die Reinigungsfirma mit einer Klage.
 

Entscheidung:

Das Gericht entschied, dass die Verarbeitung der GPS-Daten nicht für die Begründung, Durchführung oder Beendigung des Beschäftigungsverhältnisses erforderlich ist.

Die Reinigungsfirma trug vor, dass die GPS-Überwachung von Firmenfahrzeugen betrieblich notwendig sei, um z.B. Touren zu planen, Mitarbeiter zu koordinieren, Nachweise gegenüber den Auftraggeber zu erbringen, private Fahrten an Wochenenden zu unterbinden oder generell Diebstahlsschutz zu gewährleisten.

Zur Verhinderung von privaten Fahrten am Wochenende würde die Anweisung Fahrzeugschlüssel abzugeben oder das Führen von Fahrtenbüchern ausreichen.

Die Gewährleistung des Diebstahlschutzes kann nicht für als Begründung für eine GPS-Überwachung von Firmenfahrzeugen herhalten. Nach Ansicht des Gerichts sind GPS-Systeme für den präventiven Diebstahlsschutz völlig ungeeignet. Im Falle eines gestohlenen Fahrzeugs reiche eine anlassbezogene Ortung. Eine andauernde Erfassung von Standortdaten und Speicherung für 150 Tage sei dafür jedenfalls nicht erforderlich.

Auch für die Tourenplanung, welche sich an die Zukunft richtet, seien die erhobenen Bewegungsdaten unwichtig.

Schließlich ist die GPS-Überwachung von Firmenfahrzeugen zur Koordination der Mitarbeiter nicht erforderlich, da weniger eingreifende Maßnahmen in Betracht kämen. Das Gericht schlägt hierfür z.B. die Sicherstellung der telefonischen Erreichbarkeit der Mitarbeiter per Mobiltelefon vor.

Die GPS-Überwachung von Firmenfahrzeugen zum Nachweis gegenüber den Auftraggebern hält das Gericht ebenso für völlig ungeeignet und nicht erforderlich. Durch die Überwachungsdaten könne höchstens nachgewiesen werden, dass sich ein Fahrzeug in der Nähe eines Auftragsobjekts befunden hat, nicht jedoch eine bestimmte Leistung.

Kundenfotos zu Werbezwecken bei Facebook

Leitsatz:

Sowohl nach dem Kunsturhebergesetz, als auch nach der Datenschutzgrundverordnung ist eine Einwilligung zur Veröffentlichung von Kundenfotos zu Werbezwecken notwendig. Es kann daher offen bleiben, ob das Kunsturhebergesetz überhaupt noch anzuwenden ist. In jedem Fall können im Rahmen des Art. 6 Abs. 1 lit. f DSGVO die Grundsätze des Kunsturhebergesetz und der dazu ergangenen Rechtsprechung in die Abwägung der Interessen und Grundrechte einzubeziehen sein.
 
Gericht: : Landgericht Frankfurt am Main, Urteil vom 13. September 2018
Aktenzeichen: 2-03 O 283/18

 

Was war passiert?

Eine Frau besuchte einen Frisörsalon mit dem Ziel sich die Haare verlängern zu lassen. Im Laufe dieser Prozedur wurde die Kundin von einem Ihr unbekannten Mann fotografiert und gefilmt. Daraufhin stellte die Frau fest, dass der Salonbetreiber sowohl Fotos, als auch ein Video, auf dem die Frau eindeutig zu erkennen ist, auf seiner Facebookseite hochgeladen hatte. Die Kundin sah darin eine Verletzung ihres Persönlichkeitsrechts.
 

Entscheidung:

Das Gericht entschied, dass der Salonbetreiber das Video und die Kundenfotos zu Werbezwecken nicht öffentlich zur Schau stellen darf. Sowohl nach dem Kunsturhebergesetz, als auch nach der Datenschutzgrundverordnung ist die Einwilligung des Gefilmten zur Veröffentlichung notwendig. Eine wirksame Einwilligung konnte der Salonbetreiber jedoch nicht nachweisen.

Das Kunsturhebergesetz lässt allerdings Ausnahmen zu, in denen eine solche Einwilligung entbehrlich ist. Eine solche Ausnahme liegt zum Beispiel bei Bildnissen aus dem Bereich der Zeitgeschichte vor. Diese war bei dem veröffentlichten Video im Friseursalon jedoch nicht gegeben. Da auch keine anderen Ausnahmen greifen, war die Einwilligung in die Aufnahme von Kundenfotos zu Werbezwecken gerade nicht entbehrlich.

Auch die Datenschutzgrundverordnung lässt Ausnahmen für das Erfordernis der Einwilligung zu. So kann die Verarbeitung der Kundenfotos zu Werbezwecken rechtmäßig sein, wenn sie zur Wahrung berechtigter Interessen des Betreibers nach Art. 6 Abs. 1 lit. f DSGVO erforderlich ist. Voraussetzung ist jedoch, dass diese die Interessen oder Grundrechte und Grundfreiheiten der gefilmten Person überwiegen. Bei der zutreffenden Abwägung können die Grundsätze des Kunsturhebergesetz und der dazu ergangenen Rechtsprechung in die Abwägung einzubeziehen sein. Das Gericht entschied jedoch, dass die Interessen an der Unterlassung der Verarbeitung der Kundenfotos zu Werbezwecken überwiegen. Das filmische Festhalten des Salonbesuchs und das Anfertigen von Kundenfotos zu Werbezwecken widersprechen zudem den vernünftigen Erwartungen eines Kunden.

Die Veröffentlichung der Fotos und des Videos erfolgte daher in rechtswidriger Weise.
 

Richter mit Hammer

Umfang des Auskunftsanspruches nach Art. 15 DSGVO

Leitsatz:

Der Umfang des Auskunftsanspruches nach Art. 15 DSGVO erstreckt sich nicht auf alle internen Vorgänge. Der Anspruch dient vielmehr dazu, den Umfang der gespeicherten Daten zu beurteilen.
 
Gericht: : Landgericht Köln, Teilurteil vom 18.03.2019
Aktenzeichen: 26 O 25/18

 

Was war passiert?

Eine Versicherungsnehmerin hatte zwei Lebensversicherungsverträge bei Ihrem Versicherer abgeschlossen. Von diesem verlangte Sie nun eine vollständige Datenauskunft nach Art. 15 DSGVO. Dieser kam der Versicherer zum Teil nach, was der Versicherungsnehmerin jedoch nicht ausreichte.
 

Entscheidung:

Das Gericht entschied, dass nach Art. 15 DSGVO grundsätzlich ein umfassender Auskunftsanspruch über die verarbeiteten personenbezogenen Daten eines Betroffenen besteht. Hierzu zählen auch ärztliche Unterlagen, Gutachten oder sonstige vergleichbare Mitteilungen anderer Quellen.

Umfang des Auskunftsanspruches nach Art. 15 DSGVO erstreckt sich neben den in Art. 15 Abs. 1 DSVO aufgeführten Informationen allerdings nicht auf alle internen Vorgänge, wie zum Beispiel Vermerke oder den gewechselten Schriftverkehr, welche dem Auskunftssuchenden bereits bekannt sind. Auch rechtliche Bewertungen oder Analysen stellen keine vom Anspruch umfassten Daten dar.

Der Anspruch auf Auskunft dient vielmehr dazu, den Umfang der gespeicherten Daten zu beurteilen. Keinesfalls soll dieser dem Betroffenen zu einer vereinfachten Buchführung dienen.
 

Kamera-Attrappe im Hauseingang

 

Leitsatz:

Auch das Anbringen einer bloßen Kamera-Attrappe im Hauseingang eines Mehrparteienhauses kann einen Eingriff in das allgemeine Persönlichkeitsrecht des Gefilmten darstellen.

CCTV Camera security operating in office building.

Videoüberwachung des Arbeitnehmers

Leitsatz:

Solange der Arbeitgeber eine vorsätzliche Pflichtverletzung eines Arbeitnehmers noch rechtlich ahnden kann, darf er die relevanten Aufnahmen aus einer zulässigen offenen Videoüberwachung des Arbeitnehmers aufbewahren. Die Speicherung der Sequenzen bleibt dabei solange erforderlich, wie der mit der Überwachung verfolgte Zweck besteht.
 
Gericht: : Bundesarbeitsgericht, Urteil vom 23. August 2018
Aktenzeichen: 2 AZR 133/18

 

Was war passiert?

Eine Angestellte eines Tabak- und Zeitschriftenhandels wurde verdächtigt Geld für sich vereinnahmt zu haben. Zur Überprüfung dieses Vorwurfs installierte der Arbeitgeber im Februar 2016 offen eine Kamera in seinem Geschäft. Die Auswertung der Aufzeichnungen der Videoüberwachung des Arbeitnehmers erfolgte allerdings erst im August 2016. Die entsprechenden Aufnahmen belasteten die Angestellte eindeutig. Daraufhin wurde der Angestellten fristlos gekündigt, wogegen sie sich zur Wehr setzte.
 

Entscheidung:

Das Gericht entschied, dass trotz des langen Speicherungszeitraums zwischen der Aufnahme im Februar und der Auswertung der Aufnahmen im August, kein Verwertungsverbot für diese Aufnahmen besteht. Grundsätzlich kenne weder die Zivilprozessordnung, noch das Arbeitsgerichtsgesetz Bestimmungen, welche die Verwertbarkeit von rechtswidrig erlangten Beweismitteln einschränken. Ein verfassungsrechtliches Verwertungsgebot scheidet aus, da die Anfertigung und Speicherung der Videoaufnahmen nach dem BDSG-alt rechtmäßig war.

Ein verfassungsrechtliches Verwertungsgebot wäre nur dann anzunehmen, wenn dieses wegen einer grundrechtlich geschützten Position einer Prozesspartei zwingend geboten ist. Insoweit sind auch die Vorgaben aus dem BDSG-alt von Bedeutung. Diese regeln gerade, in welchem Umfang nichtöffentliche Stellen in die geschützten Rechtspositionen eingreifen können. War die betreffende Maßnahme nach den Vorschriften des BDSG-alt zulässig, liegt insoweit keine Verletzung des allgemeinen Persönlichkeitsrechts in Gestalt des Rechts auf informationelle Selbstbestimmung und am eigenen Bild vor.

Die Videoüberwachung des Arbeitnehmers und die anschließende Auswertung der Aufzeichnungen war nach § 32 Abs. 1 Satz 1 Bundesdatenschutzgesetz alt (§ 26 BDSG-neu) zulässig. Der Arbeitgeber darf daher grundsätzlich alle Daten speichern und verwenden, die er in einem potenziellen Rechtsstreit um die Wirksamkeit einer Kündigung benötigt.

Die Verarbeitung und Nutzung der Daten war zudem verhältnismäßig. Die Speicherung von Bildsequenzen, die geeignet sind, den mit einer rechtmäßigen Videoaufzeichnung verfolgten Zweck zu fördern, bleibt, grundsätzlich erforderlich, solange der mit der Überwachung verfolgte Zweck besteht. Wenn etwaige Kündigungsrechte noch nicht verwirkt und mögliche Schadensersatzansprüche noch nicht verjährt sind, dann bleibt die Speicherung der relevanten Sequenzen erforderlich.

Nur ausnahmsweise kann eine solche erforderliche Speicherung von solchen Teilen der Aufzeichnung unangemessen sein. Grundsätzlich ist der rechtmäßig gefilmte Vorsatztäter in Bezug auf die Aufdeckung und Verfolgung seiner noch verfolgbaren Tat nicht schutzwürdig. Er wird dies auch nicht durch bloßen Zeitablauf. Das allgemeine Persönlichkeitsrecht kann nicht zu dem alleinigen Zweck in Anspruch genommen werden, sich vor dem Eintritt von Verfall, Verjährung oder Verwirkung der Verantwortung für vorsätzlich rechtswidriges Handeln zu entziehen
 

06/19-Linklösung, Cookie-Banner, Haftung

Weitere Aufsichtsbehörde sieht in Lohnabrechnung von Steuerberatern eine Auftragsverarbeitung

Nach Nordrhein Westfalen und Baden Württemberg sieht nun auch die hessische Aufsichtsbehörde in der Durchführung von Gehaltsabrechnungen eine Auftragsverarbeitung. Begründet wird dies mit dem Argument, dass die Abrechnung nach fest vorgegebenen Regeln vorgenommen werde, ohne dass dem Steuerberater dabei ein eigener Entscheidungsspielraum zukommt. Ist ein Steuerberater darüber hinaus auch mit klassischer Steuerberatung beauftragt, so ist hierfür aber kein Auftragsverarbeitungsvertrag nach Art. 28 DSGO erforderlich. Bei gemischten Leistungsangeboten soll aber jede Leistung separat zu beurteilen sein.

 

Verweis auf Webseite ist zulässig

Im FAQ-Bereich der hessischen Aufsichtsbehörde wurde nun auch die bisher umstrittene Frage der Zulässigkeit einer Link-Lösung beantwortet. Und zwar positiv.

Die hessische Aufsichtsbehörde geht dabei von der Zulässigkeit eines Medienbruchs aus. Nach ihrer Auffassung würde die Verständlichkeit und die Präzision erheblich darunter leiden, wenn unabhängig von der Art der Kontaktaufnahme eine umfassende Information über das selbe Medium gegeben werden müsste. Ausdrücklich zulässig ist es demnach, einen Anrufer auf die Datenschutzerklärung auf der Homepage zu verweisen. Hiervon sei nur dann eine Ausnahme zu machen, wenn die betroffene Person der Verweisung offensichtlich nicht folgen kann.

 

Ratgeber zum Beschäftigtendatenschutz

Aus Baden-Württemberg stammt der sehr lesenswerte Ratgeber zum Beschäftigtendatenschutz, welchen ich wärmstens empfehlen kann.

 

Update in Sachen Facebook Fanpage

Die Datenschutzkonferenz (DSK) geht in ihrer Positionierung vom 01.04.2019 weiterhin davon aus, dass derzeit ein datenschutzkonformer Betrieb einer Fanpage nicht möglich ist. Weiter Infos zum Thema finden Sie unter: https://rechtsanwalt-harzewski.de/mitverantwortung-fuer-facebook-fanpage/

 

Zu den Anforderungen von Cookie-Bannern beim Webtracking

Wie bei jeder Verarbeitungstätigkeit kann der Einsatz von Cookies bei Tracking-Maßnahmen aufgrund einer Einwilligung oder aufgrund der berechtigten Interessen erfolgen. Eine Einwilligung kann durch einen sogenannten Cookie-Banner eingeholt werden. Nicht ausreichend sind jedoch die üblichen Banner, die lediglich eine knappe, aber deutliche Information über die Verwendung von Cookies am oberen oder unteren Rand der Webseite platzieren. In solchen Fällen werden Cookies bereits beim Besuch der Website gesetzt, d.h. bevor ein Nutzer Ihnen zugestimmt hat. Nach Vorgabe der Aufsichtsbehörden sollten Nutzer daher für eine Einwilligung zunächst auf einen entsprechenden Button klicken (Opt-in), bevor überhaupt Cookies gesetzt werden. Erst dann sollte die Webseite und Cookies geladen werden und ein Weitersurfen möglich sein.

 
In ihrer Orientierungshilfe für Anbieter von Telemedien stellt die DSK insbesondere folgende Anforderungen an eine wirksame Einwilligung in Form eines Cookie-Banners:

 
• Alle einwilligungsbedürftigen Verarbeitungsvorgänge sind gesondert darzustellen. Dies hat unter Nennung der jeweiligen Dienstleister und der hinreichenden Beschreibung der Funktion der entsprechenden Verarbeitung zu erfolgen.
• Während der Banner angezeigt wird, müssen alle weitergehenden Skripte einer Website, die potenziell Nutzerdaten erfassen, blockiert werden.
• Die Erklärung muss unmissverständlich sein, z.B. durch Anklicken eines nicht voraktivierten Kästchens beim Besuch einer Website oder durch Klick auf eine Schaltfläche. Bei mehreren einwilligungsbedürftigen Verarbeitungsvorgängen müssen diese gesondert anwählbar sein
• Erst nach aktiver Handlung des Nutzers darf die einwilligungsbedürftige Datenverarbeitung tatsächlich beginnen.
• Der Besuch der Website muss auch möglich sein, wenn man nicht in das Setzen von Cookies einwilligen möchte.

 

Haftung für Datenschutzverstöße von Beschäftigten

Nach einer neuen Entschließung der DSK sollen Unternehmen im Rahmen von Art. 83 DSGVO für Datenschutzverstöße ihrer Beschäftigten haften, wenn diese im konkreten Fall nicht im Exzess gehandelt haben. Demnach soll für die Zuordnung der Verantwortlichkeit weder die Kenntnis der Geschäftsführung von dem konkreten Verstoß, noch eine Verletzung der Aufsichtspflicht erforderlich sein. Nach Auffassung der Konferenz kann dem Verantwortlichen demnach nicht nur jeder Datenschutzverstoß eines gesetzlichen Vertreters oder einer Leitungsperson, sondern der eines jeden Beschäftigten zugerechnet werden.

 

Anforderungen an Anbieter von Online-Diensten zur Zugangssicherung

In einer weiteren Orientierungshilfe des DSK gibt es eine gute Übersicht in die zutreffenden Maßnahmen der Zugangssicherung. Unter 2.2 heißt es nun wortwörtlich: „Sofern starke Passwörter verwendet werden, ist ein regelmäßiger Passwortwechsel nicht zwingend erforderlich.“ Bisher hatte sich nur die Aufsichtsbehörde in Baden Württemberg gegen das Erfordernis eines regelmäßigen Passwortwechsels ausgesprochen.

05/19-Datenschutz als Jahrhundertaufgabe

Jahrhundertaufgabe Datenschutz

Aus Hamburg gibt es den 27. Tätigkeitsbericht, welcher hier (PDF) heruntergeladen werden kann.

In der begleitendenden Pressemitteilung wird das Thema Datenschutz sogar als Jahrhundertaufgabe bezeichnet. Angesichts des Aufwandes von 500 Jahren Arbeitszeit, welche Google in die Umsetzung der DSGVO investiert haben will, aber auch der Aufwände für kleinere Unternehmen, ist das sicher keine Übertreibung.
Der Bericht spricht überraschend deutlich an, dass die Vorschriften der DSGVO nur bedingt in der Lage sind, eine klare Umsetzungspraxis zu gestalten. Die Vielzahl an Aufsichtsbehörden erschwere zudem eine gemeinsame Verabschiedung von Leitlinien und Standpunkten. Es sei daher insgesamt davon auszugehen, dass sich die Kluft zwischen Sein und Sollen in Zukunft noch vertiefen werde. Zumindest der Hamburgische Beauftragte für Datenschutz plant deswegen zunächst keine anlassunabhängigen Prüfungen bei kleinen Unternehmen und Vereinen.

 

Bußgeld wegen Verstoßes gegen Zweckbindung

Wegen des Verstoßes gegen die Zweckbindung bei der Verarbeitung personenbezogener Daten verhängte die Aufsichtsbehörde in Baden-Württemberg ein Bußgeld von 2.500,00 Euro gegen den früheren Juso-Landeschef (https://www.baden-wuerttemberg.datenschutz.de/lfdi-baden-wuerttemberg-verhaengt-bussgeld-gegen-frueheren-juso-landeschef/). Dieser hatte eine Liste aller 168 Delegierten eines Parteitages im Vorfeld an etwa zehn Vertraute gesendet, um sich ein Bild über das zu erwartende Abstimmungsverhalten zu einem Antrag zu machen. Die Liste hätte jedoch nur für die organisatorische Abwicklung des Parteitages, nicht aber zur innerparteilichen Meinungsbildung, verwendet werden dürfen.

 

Neues Kurzpapier zur Einwilligung

Die Datenschutzkonferenz hat ihr Kurzpapier Nr. 20 zum Thema Einwilligung veröffentlicht. Dieses beschäftigt sich vor allem mit der spannenden Frage, in welchen Fällen Alt-Einwilligungen fortgelten. Das Kurzpapier kann hier abgerufen werden.

Kontrollausdruck zur Überprüfung der Fristeingabe

Leitsatz:

Die Überprüfung der Fristeingabe bei einen elektronischen Fristenkalender muss durch einen Ausdruck der eingegebenen Einzelvorgänge oder eines Fehlerprotokolls erfolgen. Unterbleibt eine derartige Kontrolle, so liegt ein anwaltliches Organisationsverschulden vor.

Gericht:Bundesgerichtshof, Beschluss vom 28.Februar 2019
Aktenzeichen: III ZB 96/18

 

Was war passiert?

Eine Mitarbeiterin eines Rechtsanwaltes hatte den Auftrag, die Vorfrist für eine Berufung und Berufungsbegründung, die Berufungsfristen, sowie die Fristabläufe in der Handakte zu notieren. Die Berufungsbegründungsfrist und die Vorfrist wurde von der zuständigen Mitarbeiterin jedoch nicht im elektronischen Fristenkalender der verwendeten Software gespeichert. Dadurch wurde in einer Streitsache eine Berufungsbegründungsfrist versäumt.

 

Entscheidung:

Das Gericht entschied, dass die alleinige Kontrolle über die elektronische Kalenderführung nicht ausreiche, da ein höheres Fehlerrisiko bestehe. Hierzu können Datenverarbeitungsfehler der EDV oder Eingabefehler durch ein Vertippen gehören. Die Kalenderführung mittels einer Software darf demnach keine geringere Überprüfungssicherheit bieten als die herkömmlichen Aufzeichnungen.

Ein Rechtsanwalt hat daher die Kontrolle der Fristeingabe in einem elektronischen Fristenkalender durch geeignete Organisationsmaßnahmen zu gewährleisten. Dies kann z.B. über einen Kontrollausdruck der eingegebenen Einzelvorgänge oder eines Fehlerprotokolls erfolgen. Der Kontrollausdruck wird als ein Warnzeichen verstanden, mit dem sich potentiell Eingabe – und Datenverarbeitungsfehler rechtzeitig erkennen und beseitigen lassen. Sofern die Kontrolle der Eingabe nicht mit Hilfe eines Ausdruckes sichergestellt wird, liegt ein anwaltliches Organisationsverschulden vor.

Eine automatisierte programmseitige Eingabekontrolle ist zudem nicht gleich effektiv und sicher wie eine Kontrolle anhand eines Papierausdrucks, da es hier zu einem Augenblicksversagen des Bearbeiters kommen kann. Gründe für ein Augenblicksversagen liegen zum einen in der „menschlichen Natur“ und zum anderen in einem von zahlreichen und intensiven Arbeitsvorgängen geprägten Büroalltag. Nur ein Medienbruch zwischen Eingabe am Bildschirm und Kontrolle mittels eines Ausdrucks gewährleistet mithin ein hohes Maß an Sicherheit in Bezug auf eine zutreffende Fristeingabe und -Speicherung.

 

03/19-Sichere Passswörter und Gesundheitsdatenschutz

Änderung der Adresse von Google

Ab dem 22. Januar ist für die EU/EWR & Schweiz Google Irland zuständig. Wenn Sie diesen Drittlandsbezug in Ihren Datenschutzerklärungen haben, dann ändern Sie die Adressangabe:
"Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA" in "Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland".
Die Änderung gilt praktisch für alle Google-Dienste (Analytics, Adsense, YouTube, Fonts, Maps), etc.

 

Bayern prüft Tracking Tools und Cookie-Banner

Dass die Aufsichtsbehörden immer noch am Erfordernis einer Einwilligung beim Tracking von Nutzern festhalten, wurde bereits mehrfach erwähnt. Die bayerische Aufsichtsbehörde hat nun mit der Prüfung von Cookie-Bannern und Tracking-Tools begonnen. Dies sollte künftig für mehr Rechtssicherheit sorgen, wenn die zu erwartenden Bußgeldbescheide gerichtlich überprüft werden.

 

Hinweise zum Umgang mit Passwörtern

Der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden Württemberg hat neue Hinweise zum Umgang mit Passwörtern veröffentlicht. Dessen Beitrag ist wirklich gut gelungen und ich würde ihn gern als absolute Pflichtlektüre einstufen. Besonders hervorzuheben ist die Bewertung, dass „eine erzwungene regelmäßige Änderung von Passwörtern überholt“ sei und „Administratoren ihre Nutzer nicht regelmäßig auffordern oder zwingen sollten die Passwörter zu ändern“.

 

Neue Zahlen in Sachen Bußgeld

Nach Angaben der EU-Kommission sind bisher mehr als 95.000 Beschwerden bei den nationalen Datenschutzbehörden eingegangen. Auf Deutschland entfallen dabei immerhin noch ca. 27.000 Beschwerden und mehr als 12.000 gemeldete Datenschutzverletzungen. Nach derzeitigem Kenntnisstand wurden allein in Deutschland 64 Bußgelder verteilt auf sechs Bundesländer verhängt:

Nordrhein-Westfalen (33)
Thüringen (23)
Hamburg (3)
Baden Württemberg & Berlin (jeweils 2)
Saarland (1)

Zu den bisher mit Gründen veröffentlichen Bußgeldern habe ich eine Übersicht /Tabelle erstellt, die ich künftig aktuell halten will.

 

Niedersächsische Aufsichtsbehörde veröffentlicht Praxishilfe zur Auswahl angemessener Sicherungsmaßnahmen (ZAWAS)

Die Präsentation finden Sie unter folgendem Link.

 

Orientierungshilfe zum Gesundheitsdatenschutz

Das Bundeswirtschaftsministerium hat eine lesenswerte Orientierungshilfe zum Gesundheitsdatenschutz veröffentlicht, welche unter https://www.bmwi.de/Redaktion/DE/Publikationen/Wirtschaft/orientierungshilfe-gesundheitsdatenschutz.html zum Download bereit steht.

Bußgeld nach DSGVO

Höhe der Bußgelder

Neben Warnungen, Verwarnungen und Anweisungen können Aufsichtsbehörden bei Verstößen gegen die DGVO auch ein Bußgeld verhängen. Bei einem festgestellten Verstoß gegen die datenschutzrechtlichen Vorgaben der DSGVO können Geldbußen von bis zu 20 Millionen Euro oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres verhängt werden.

Die ersten Entscheidungen der Aufsichtsbehörden zeigen, dass es bei der Bemessung der Bußgeldhöhe vor allem auf die Kooperation mit dem betroffenen Unternehmen ankommt. Daneben werden in jedem Einzelfall auch folgende Faktoren berücksichtigt:

• Art, Schwere und Dauer des Verstoßes;
• Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes;
• getroffenen Maßnahmen zur Minderung des den betroffenen Personen entstandenen Schadens;
• Grad der Verantwortung;
• etwaige einschlägige frühere Verstöße;
• getroffene Maßnahmen, um dem Verstoß abzuhelfen und seine möglichen nachteiligen Auswirkungen zu mindern;
• Kategorien personenbezogener Daten, die von dem Verstoß betroffen sind;
• Art und Weise, wie der Verstoß der Aufsichtsbehörde bekannt wurde, insbesondere ob und gegebenenfalls in welchem Umfang der Verantwortliche oder der Auftragsverarbeiter den Verstoß mitgeteilt hat.

 

Übersicht verhängter Bußgelder

50.000.000€CNILFrankreich21.01.2019Verletzung der Transparenz- und Informationspflichten
600.000€APNiederlande27.11.2018Verstoß gegen Art. 33 Abs. 1 DSGVO, Nichtmeldung von Datenpanne
400.000€CNPDPortugal17.07.2018Verstoß gegen Vertraulichkeit Art. 32 Abs. 1 lit. b DSGVO
219.500€UODOPolenMärz 2019wegen Nichterfüllung von Informations-pflichten aus Art. 14 DSGVO
170.000€DatatilsynetNorwegenMärz 2019Verstoß gegen Art. 5 lit. f, Art. 32 DSGVO
80.000€Baden-WürttembergDeutschlandnicht bekanntVeröffentlichung von Gesundheitsdaten im Internet
50.000€BerlinDeutschlandnicht bekanntunbefugte Verarbeitung von Daten ehemaliger Kunden
20.000€Baden-WürttembergDeutschland21.11.2018Verstoß gegen Art. 32 Abs. 1 lit. a DSGVO
5.000€HamburgDeutschland17.12.2018wegen fehlender Vereinbarung über die Auftragsverarbeitung

 

Im Einzelnen:

 

50.000.000 € wegen Verstoß gegen Transparenz- und Informationspflichten sowie fehlender Einwilligung

Hintergrund: Google hatte Informationen zur Datenverarbeitung, z.B. zu den Zwecken und den Speicherfristen, über mehrere Dokumente verteilt. Nutzer mussten daher regelmäßig auf bis zu sechs Schaltflächen und Links klicken, um alle Inhalte sehen zu können. Die Informationen seien zudem nicht klar oder umfassend gewesen. Weiterhin sei die eingeholte Einwilligung für das Anzeigen personalisierter Werbung nicht eindeutig und erfolge aufgrund der Vielzahl an Diensten (Youtube, Google-Startseite, Google-Maps, Playstore, Google-Bilder, usw.) in uninformierter Weise.

Begründung: Die Aufsichtsbehörde sah hierin einen Verstoß gegen die Grundprinzipien der DSGVO wie Transparenz, Information und Rechtmäßigkeit. Die Höhe des Bußgeldes wird mit der Schwere der Verstöße, die immer noch anhalten, begründet.

Datum: 21.01.2019

Aufsichtsbehörde: Commission Nationale de l'Informatique et des Libertés - CNIL (Frankreich)
Quelle: CNIL (https://www.cnil.fr/en/cnils-restricted-committee-imposes-financial-penalty-50-million-euros-against-google-llc)

600.000 € wegen ungemeldeter Datenpanne

Hintergrund: Beim Unternehmen Uber wurden im Jahr 2016 über 57 Millionen Nutzerdaten wie Name, Email Adresse und Telefonnummern, durch unautorisierten Zugriff auf eine Datenbank in einem Cloud-Dienst gestohlen. Die Verantwortlichen verschwiegen jedoch den Vorfall und informierten die Öffentlichkeit erst im November 2017.

Begründung: Nach Art. 33 Abs. 1 DSGVO sind Datenschutzpannen unverzüglich und möglichst binnen 72 Stunden bei der Aufsichtsbehörde zu melden.
Datum: 27.11.2018

Aufsichtsbehörde: Autoriteit Persoonsgegevens – AP – Niederlande
Quelle: Pressemitteilung vom 27.11.2018 (https://autoriteitpersoonsgegevens.nl/nl/nieuws/ap-legt-uber-boete-op-voor-te-laat-melden-datalek)

400.000 € im Krankenhaus

Hintergrund: In einem Krankenhaus mit fast 300 Ärzten gab es dreimal so viel als Arzt registrierte Benutzer mit den entsprechenden Zugangsberechtigungen. Daneben war es auch möglich, mit dem Profil „Techniker“ auf Patientendaten zuzugreifen.

Begründung: Patientendaten sind vor unbefugtem Zugriff zu schützen (Art. 32 Abs. 1 lit. b DSGVO).

Datum: 17.07.2018

Aufsichtsbehörde: Comissão Nacional de Protecção de Dados - CNPD (Portugal)

Quelle: Zeitung Publico (https://www.publico.pt/2018/10/22/sociedade/noticia/hospital-barreiro-contesta-judicialmente-coima-400-mil-euros-comissao-dados-1848479#gs.K0c5nRW2)

219.500 € wegen Verletzung der Informationspflichten aus Art. 14 DSGVO

Hintergrund: Ein Unternehmen verarbeitete ca. 6 Millionen Datensätze aus öffentlich zugänglichen Quellen, um diese in einer eigenen Datenbank zusammenzufassen. Die Betroffen wurden jedoch nur in 90.000 Fällen hiervon in ausreichendem Maße informiert. Da in den übrigen Fällen keine E-Mail Adressen vorlagen, sah das Unternehmen aufgrund der hohen Kosten für den Postversand von einer Information der Betroffenen ab. Stattdessen erfolgte lediglich ein Hinweis auf der Webseite.

Begründung: Eine Ausnahme von den Informationspflichten wegen eines unverhältnismäßigen Aufwandes nach Art. 14. Abs. 5 lit. b) DSGVO ist nicht gegeben. Nach Auffassung der Behörde soll die Ausnahme der Unverhältnismäßigkeit nur dann gelten, wenn jegliche Kontaktadressen der betroffenen Personen fehlen.

Datum:März 2019

Aufsichtsbehörde: Urząd Ochrony Danych Osobowych (UODO) - Polen

Quelle: Pressemitteilung vom 26.03.2019 (https://uodo.gov.pl/en/553/1009)

170.000 € wegen frei zugänglicher Daten von Schulkindern

Hintergrund: In der Gemeinde Bergen waren aufgrund unzureichender Sicherheitsmaßnahmen über 35.000 Benutzerkonten ungeschützt und frei zugänglich. Über ein Anmeldesystem einer Lernplattform konnte so auf Daten von Kindern, wie Schulzugehörigkeit, Geburtsdatum, Adressen und sogar Schulnoten, zugegriffen werden.

Begründung: Personenbezogene Daten müssen in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit“).

Datum: März 2019

Aufsichtsbehörde: Datatilsynet – Norwegen

Quelle: Pressemitteilung vom 12.04.2019 (https://www.datatilsynet.no/en/about-privacy/reports-on-specific-subjects/administrative-fine-of-170.000--imposed-on-bergen-municipality/?mc_cid=0f137077cf&mc_eid=abba91bbc1)

20.000 € wegen unverschlüsselter Passwörter

Hintergrund: Einem Social-Media Anbieter wurde nach einem Hackerkerangriff ca. 330.000 Nutzerdaten (darunter Passwörter und E-Mail-Adressen) entwendet. Die Passwörter der Nutzer waren unverschlüsselt und verfremdet beim Unternehmen gespeichert.

Begründung: In der unverschlüsselten Speicherung der Passwörter liegt ein Verstoß gegen Art. 32 Abs. 1 lit. a DSGVO.
Datum: 21.11.2018

Aufsichtsbehörde: Baden-Württemberg (Deutschland)

Quelle: Pressemitteilung vom 22.11.2018 (https://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2018/11/LfDI-Baden-W%C3%BCrttemberg-verh%C3%A4ngt-sein-erstes-Bu%C3%9Fgeld-in-Deutschland-nach-der-DS-GVO.pdf)

5.000 € durch fehlenden Auftragsverarbeitungsvertrag

Hintergrund: Ein Unternehmen weigerte sich, einen Auftragsverarbeitungsvertrag mit einem spanischen Anbieter im Bereich der Vermittlung von Postdienstleistungen zu schließen. Als Grund wurde ausgeführt, dass man die Prozesse des Dienstleisters nicht kenne und eine Übersetzung zu teuer wäre.

Begründung: Die Aufsichtsbehörde sieht hierin einen Verstoß gegen Art. 28 Abs. 3 DSGVO.

Datum: 17.12.2018

Aufsichtsbehörde: Hamburg (Deutschland)
Quelle: Heise Online (https://www.heise.de/newsticker/meldung/DSGVO-5000-Euro-Bussgeld-fuer-fehlenden-Auftragsverarbeitungsvertrag-4282737.html)

Ausblick

Nach Angaben der EU-Kommission sind bisher mehr als 95.000 Beschwerden bei den nationalen Datenschutzbehörden eingegangen. Auf Deutschland entfallen dabei immerhin noch ca. 27.000 Beschwerden und mehr als 12.000 gemeldeten Datenschutzverletzungen. Nach derzeitigem Kenntnisstand wurden allein in Deutschland über 100 Bußgelder verteilt auf acht Bundesländer verhängt (Stand Juni 2019):

Nordrhein-Westfalen (36 Fälle)
Berlin (18 Fälle)
Thüringen (23 Fälle)
Rheinland-Pfalz (9 Fälle)
Baden Württemberg (7 Fälle)
Sachsen-Anhalt (6 Fälle)
Hamburg (3 Fälle)
Saarland (3 Fälle)

02/19-Bußgeld bei fehlenden Auftragsverarbeitungsvertrag

Fehlender Auftragsverarbeitungsvertrag kostet 5.000,00 Euro Bußgeld

In Hamburg gab es wegen eines fehlenden AV-Vertrages ein Bußgeld von 5.000,00 Euro. Das betroffene Unternehmen „Kolibri Image“ hatte die hessischen Aufsichtsbehörde selbst darauf aufmerksam gemacht und nachgefragt. Die wiederum leitete die Sache an die zuständige Behörde in Hamburg weiter.
Hintergrund: Das Unternehmen weigerte sich, einen Auftragsverarbeitungsvertrag mit einem spanischen Anbieter im Bereich der Vermittlung von Postdienstleistungen zu schließen. Als Grund wurde ausgeführt, dass man die Prozesse des Dienstleisters nicht kenne und eine Übersetzung zu teuer wäre. Die hessische Aufsichtsbehörde hatte dagegen darauf hingewiesen, dass für beide Parteien die Pflicht besteht, eine solche Vereinbarung abzuschließen.
Mehr Infos unter: https://www.heise.de/newsticker/meldung/DSGVO-5000-Euro-Bussgeld-fuer-fehlenden-Auftragsverarbeitungsvertrag-4282737.html

 

No-Deal-Brexit & Datenschutz

Der bevorstehende Brexit bringt für Betroffene ein bisschen Arbeit mit sich. Aktuell kann nicht ausgeschlossen werden, dass Großbritannien ungeordnet aus der EU austritt. Ab dem 30. März 2019 könnte die Zusammenarbeit mit Auftragsverarbeitern, Subdienstleistern oder Unternehmen mit einer Niederlassungen in UK eine Übermittlung von personenbezogenen Daten in ein Drittland bedeuten. Dies würde wiederum zusätzliche Maßnahmen zur Sicherstellung des Datenschutzniveaus nach Art. 44 ff. DSGVO erfordern.
Fest steht schon jetzt, dass es in so kurzer Zeit keinen Angemessenheitsbeschluss, keine genehmigte Verhaltensregeln oder Zertifizierungen geben wird. Für Betroffene, die aus wirtschaftlichen Gründen an bisherigen Vertragspartnern festhalten wollten, heißt das insbesondere:

- Abschluss von EU-Standardvertragsklauseln mit Auftragsverarbeitern als auch anderen Verantwortlichen
- Aktualisierung der Datenschutzhinweise (Datenübermittlung in ein Drittland) und des Verarbeitungsverzeichnisses
- Prüfung, ob neue Einwilligungen eingeholt werden müssen
- Prüfung, ob Datenschutz-Folgenabschätzungen ergänzt oder sogar neue durchgeführt werden müssen.

Wenn der Deal auf Grundlage der bisherigen Vereinbarungen wider Erwarten doch noch gelingt, dann würde die DSGVO für eine Übergangszeit von 2 Jahren fortgelten.

Weitere Informationen gibt es von der Aufsichtsbehörde in Rehinland-Pfalz: https://www.datenschutz.rlp.de/de/aktuelles/detail/news/detail/News/brexit-drittland-ueber-nacht

 

Umsetzungshilfe zur Informationspflichten

Die Aufsichtsbehörde aus NRW hat eine „Umsetzungshilfe zur Informationspflichten“ (PDF) veröffentlicht.

 

Weitere Bußgeldmeldungen

Für Aufregung sorgte in der letzten Woche die französischen Aufsichtsbehörde CNIL mit einem Bußgeld in Höhe von 50 Millionen Euro gegen Google. Grund hierfür war ein Verstoß gegen die Informationspflichten und unwirksame Einwilligungen. Weitere Infos gibt es unter: https://www.cmshs-bloggt.de/tmc/datenschutzrecht/dsgvo-bussgeld-google-cnil-eur-50-mio/

Daneben wurde durch einen Artikel des Handelsblattes bekannt, dass es in Deutschland eine Vielzahl weiterer Bußgelder gegeben hat. Zusätzlich sind derzeit allein in Bayern 85 Verfahren in Bearbeitung. Die Rangliste der Aufsichtsbehörden nach verhängten Bußgeldern sieht nach dem Artikel im Handelsblatt so aus:

Nordrhein-Westfalen (33)
Hamburg (3)
Baden Württemberg & Berlin (jeweils 2)
Saarland (1)

Das war heut sicher kein Wohlfühl-Newsletter. Dabei habe ich extra das Bußgeld aus Portugal von 400.000,00 Euro außen vor gelassen. In einem Krankenhaus hatten zu viele Personen Zugriff auf Patientendaten. Die bisher verhängten Bußgelder sind kein Grund für Panik. Im Gegenteil zeigt sich, dass bei entsprechender Kooperationen mit den Aufsichtsbehörden ganz angemessene Entscheidungen ergehen. Im Fall von Nordrhein-Westfalen war die durchschnittliche Höhe der verhängten Bußgelder gerade einmal 500,00 Euro pro Fall.

Fotos und Datenschutz

Fotos und Datenschutz

Welche Fotos sind personenbezogene Daten?

Lassen sich auf Fotos auch Personen erkennen, dann stellen diese Aufnahmen personenbezogene Daten dar. Unerheblich dabei ist, ob die Fotos analog oder digital entstehen. Für das Zusammentreffen von Fotos und Datenschutz ist entscheidend, ob durch die Aufnahme ein Rückschluss auf die abgelichtete Person möglich ist.

Beispiel: Sie werden bei einer Veranstaltung von einem Fotografen abgelichtet. Zwar kennt Sie der Fotograf nicht persönlich und weiß daher auch nicht Ihren Namen. Allerdings besteht zumindest die theoretische Möglichkeit, diesen zum Beispiel durch Gesichtserkennungstechnik herauszufinden. Und das reicht schon aus.

 

Wann gelten die datenschutzrechtlichen Vorgaben?

Werden Fotos von Personen angefertigt oder sollen diese beispielsweise auf einer Webseite veröffentlicht werden, so sind dabei die Vorgaben aus der Datenschutzgrundverordnung (DSGVO) einzuhalten. Diese gibt vor, unter welchen Voraussetzungen Fotos aufgenommen bzw. verwendet werden dürfen und wie die abgelichtete Person zu informieren ist.

Nur in folgenden Fällen finden die strengen datenschutzrechtlichen Vorgaben keine Anwendung:
– Es werden keine anderen Menschen fotografiert (z.B. nur Landschaftsaufnahmen).
– Die Fotos werden zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten, ohne Bezug zu einer beruflichen oder wirtschaftlichen Beschäftigung, aufgenommen (Art. 4 Abs. 2 lit. c DSGVO).
– Im Rahmen einer journalistisch-redaktionellen Pressetätigkeit können sich Verantwortliche auf das Medienprivileg berufen.

 

Rechtmäßigkeit

Ist keine der vorgenannten Ausnahmen einschlägig, kommt es bei der Aufnahme oder weiteren Verwendung des Fotos darauf an, ob dies nach Art. 6 Abs. 1 DSGVO rechtmäßig erfolgt. Ein Foto von Personen kann danach in der Regel nur aufgenommen oder verwendet werden, wenn mit diesen ein Vertrag darüber geschlossen wurde, die Personen in die Aufnahme eingewilligt haben oder die eigenen Interessen an der Aufnahme, die Interessen der abgebildeten Personen überwiegen.

 

Zur Erfüllung eines Vertrages

Der Anwendungsbereich einer vertraglichen Grundlage für Fotoaufnahmen ist überschaubar. Der Vertrag muss explizit die Aufnahme des Fotos, mit der jeweilig abgelichteten Person, zum Gegenstand haben. In der Praxis ist dies bei der Anfertigung von Passfotos und Hochzeitsfotografien der Fall, solange keine weiteren Personen (Passanten, Gäste) im Hintergrund erkennbar sind.

Beispiel: Ihr Arbeitgeber möchte Ihr Bildnis auf der Firmenwebseite veröffentlichen. Hier ist die Veröffentlichung des Fotos nicht zur Erfüllung eines Vertrages erforderlich. Wenn Sie sich Ihren Arbeitsvertrag einmal durchlesen, dann steht darin in der Regel nichts von Ihrem Foto auf der Webseite.

 

Fotos mit Einwilligung

Reicht der Vertrag nicht aus, um ein Foto zu verarbeiten, kann eine Einwilligung der betreffenden Person weiterhelfen. An deren Vorliegen sind jedoch strenge Voraussetzungen geknüpft. Eine Einwilligung muss in jedem Einzelfall nachgewiesen werden können. Sie muss freiwillig, in informierter Weise, bezogen auf einen bestimmten Zweck und bestimmte Verarbeitung erfolgen. Eine Einwilligung kann jederzeit widerrufen werden, worauf ausdrücklich hinzuweisen ist. Daher dürfen auch bereits veröffentlichte Fotos ab dem Zeitpunkt des Widerrufs nicht weiter verwendet werden.

 

Interessensabwägung

Die Aufnahme bzw. Verwendung eines Fotos kann auch aufgrund einer Abwägung der schutzwürdigen Interessen der Beteiligten gerechtfertigt sein.

Beispiel: Auf einem Konzert wird von Ihnen ein Foto als Teil der Besuchermenge gemacht und im Blog des Veranstalters veröffentlicht. Dies ist zulässig, wenn die Interessen des Veranstalters (Dokumentation der Veranstaltung) bzw. Fotografen (Berufsfreiheit, Kunstfreiheit) Ihre Interessen an beispielsweise der Achtung des Privatlebens oder am Schutz der eigenen personenbezogenen Daten überwiegen.

Kann ein Betroffener, wie bei einem Konzert oder einem anderen öffentlichen Ereignis, vernünftigerweise erwarten, dass von ihm Fotos gemacht werden, wird sich die Verarbeitung der Fotos auf eine solche Interessensabwägung stützen lassen. Es ist daher ratsam, schon im Vorfeld auf der Webseite und auch vor Ort gut sichtbar auf die Fotoaufnahmen hinzuweisen.

Dagegen sollten die Interessen eines Betroffenen regelmäßig überwiegen, wenn es sich um ein Kind handelt, die Intimsphäre dargestellt wird oder die Fotos sonstige sensible Daten, zum Beispiel einer Behinderung, der Religionszugehörigkeit oder sexuellen Orientierung, preisgeben.

Schließlich sollen auch die Wertungen aus § 23 Kunsturheberrechtsgesetz (KUG) in die Abwägungsentscheidung einbezogenen werden.

 

Informationspflichten

In jedem Fall sind zudem die Informationspflichten aus Art. 13 bzw. Art. 14 DSGVO einzuhalten. Hiernach sind dem Betroffenen zum Beispiel der Name und die Kontaktdaten des Verantwortlichen, der Zweck der Verarbeitung, die Dauer der Speicherung und die Interessen auf denen eine etwaige Abwägung beruht, mitzuteilen. Dies kann einerseits auch durch Hinweisschilder erfolgen.

Die Erfüllung der Informationspflichten ist problematisch, wenn wie bei einem Konzert eine unüberschaubare Menge an Personen betroffen ist. Bis zur endgültigen Klärung der Frage durch die Rechtsprechung wird es insoweit keine rechtssichere Handhabung geben. Nach Auffassung einiger Aufsichtsbehörden sollen die Informationspflichten in diesen Fällen nach Art. 14 Abs. 5 lit. b DSGVO entfallen, da deren Erteilungen sonst einen unverhältnismäßigen Aufwand bedeuten würden.

 

Weiterführende Links:

– Verarbeitung personenbezogener Daten bei Fotografien (https://www.lda.brandenburg.de/cms/detail.php/bb1.c.599337.de)
– FAQ Fotografieren und Datenschutz (https://www.baden-wuerttemberg.datenschutz.de/faq-fotografieren-und-datenschutz-wir-sind-im-bild/)

01/19-Falsche DSGVO-Abmahnung und Bußgelder

WARNUNG VOR FALSCHEN DSGVO-ABMAHNUNGEN

Von einigen Mandanten erhielt ich den Hinweis, dass aktuell angebliche Informations-pflichtverletzungen nach Artikel 13 DSGVO abgemahnt werden. Die Abmahnungen kommen von verschiedenen Kanzleien, u.a. von Schöneberg & Partner, Eckert & Kollegen oder der Kanzlei Strube. Die im Anhang der Abmahnung befindliche Zip-Datei enthält jedoch Schadsoftware. Ich empfehle daher grundsätzlich keine Dateianhänge von E-Mails zu öffnen, deren Absender Sie nicht kennen.
Weitergehende Informationen gibt es hier.

 

BEACHTLICHE ZAHLEN AN BESCHWERDEN ZU DATENSCHUTZVERSTÖßEN

Die ehemalige Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) hat im Rahmen eines öffentlichen Fachgesprächs Zahlen zu den in 2018 angefallenen Beschwerden genannt. Demnach gab es bundesweit allein im nicht-öffentlichen Bereich bis Anfang September 2018 insgesamt 11.000 Beschwerden, davon 6.100 Datenschutzverstöße.

Inzwischen wurde Ulrich Kelber, ein Informatiker, als neuer Bundesdatenschützer gewählt. Dieser warnte angesichts des Datenangriffes auf prominente Politiker vor dem Geschäftsmodell von Facebook und dem Umgang des Konzerns mit den Daten. Es würde eine unglaubliche Datenmenge produziert, die Rückschlüsse auf die Nutzer zulässt. Auch sei völlig unklar, wie mit diesen Informationen umgegangen werde.

 

AUFTRAGSVERARBEITUNGSVERTRAG FÜR STEUERBERATER

Die Aufsichtsbehörde in Baden-Württemberg vertritt nunmehr die Auffassung, dass die Übernahme der laufenden Lohnbuchhaltung durch einen Steuerberater nur im Wege der Auftragsverarbeitung gemäß Art. 28 DSGVO möglich sei. In diesen Fällen sei also zukünftig ein Auftragsverarbeitungsvertrag zu schließen.
Nach überwiegender Ansicht der übrigen Aufsichtsbehörden sind Steuerberater jedoch grundsätzlich nicht als Auftragsverarbeiter anzusehen. Für Betroffene in den anderen Bundesländern empfehle ich daher zunächst abzuwarten, ob sich weitere Aufsichtsbehörden dieser Auffassung anschließen.

 

NEUES BUßGELD AUS BADEN-WÜRTTEMBERG

Inzwischen wurde bekannt, dass es ein zweites Bußgeld aus Baden-Württemberg gegeben hat. Wegen der versehentlichen Veröffentlichung von Gesundheitsdaten wurden diesmal 80.000,00 Euro fällig. Weitere Informationen wurden dazu bisher nicht veröffentlicht.

25/18-Prüfung durch BayLDA, Datenschutzhinweise

AUFSICHTSBEHÖRDE VERHÄNGT BUßGELD

Nach Meldung einer Datenpanne wurde nun heute das erste Bußgeld in Höhe von 20.000,00 € gegen einen baden-württembergischen Social-Media-Anbieter verhängt. Das Unternehmen hatte die Passwörter ihrer Nutzer im Klartext, mithin unverschlüsselt und unverfremdet (ungehasht), gespeichert, was erst nach einem Hackerangriff im Juli 2018 herauskam. Die Behörde sah hierin einen wissentlichen Verstoß gegen die Pflicht zur Gewährleistung der Datensicherheit bei der Verarbeitung personenbezogener Daten gemäß Art. 32 Abs. 1 lit a DS-GVO. Aufgrund der wohl guten Zusammenarbeit des Unternehmens mit der Behörde fällt die Höhe des Bußgeldes glimpflich aus, wenn man bedenkt, dass es immerhin um Daten von ca. 330.000 Nutzern ging.

Die vollständige Presseerklärung des LfDI Baden-Württemberg gibt es hier. Interessant finde ich besonders den Schlusssatz: „Als Bußgeldbehörde kommt es dem LfDI nicht darauf an, in einen Wettbewerb um möglichst hohe Bußgelder einzutreten. Am Ende zählt die Verbesserung von Datenschutz und Datensicherheit für die betroffenen Nutzer.“

 

PRÜFUNGEN DURCH DAS BAYRISCHE LANDESAMT FÜR DATENSCHUTZAUFSICHT

Das BayLDA führt gerade auch anlasslose Datenschutzprüfungen durch. Diese erfolgen in der Regel als sogenannte fokussierte Prüfungen bei einzelnen Unternehmen vor Ort, als Prüfungen im Wege eines schriftlichen Verfahrens oder als Onlineprüfung automatisiert über das Internet. Eine Übersicht, welche Kontrollen gerade stattfinden und welche noch ausstehen, kann hier abgerufen werden.

Ich empfehle mal einen Blick in den Prüfkatalog Rechenschaftspflicht und in den Fragebogen zu Prüfung DS-GVO-Umsetzung bei kleinen und mittleren Unternehmen zu werfen und mit dem eigenen Stand der Umsetzung abzugleichen. Gefragt wird beispielsweise gezielt nach einem Löschkonzept (z.B. nach DIN 66398), nach einem IT-Sicherheitskonzept, nach der Verpflichtung auf Vertraulichkeit und Sensibilisierung der Beschäftigten und nach der Kopie von Schulungsunterlagen.

 

FEHLENDE DATENSCHUTZERKLÄRUNG NICHT ABMAHNBAR

Zuletzt möchte ich noch auf zwei Urteile zur Abmahnbarkeit von Datenschutzerklärungen auf Webseiten aufmerksam machen. Das Landgericht Bochum hat mit Urteil vom 7.8.2018 (Aktenzeichen: 12 O 85/18) entschieden, dass ein Verstoß gegen die DSGVO nicht zugleich eine Wettbewerbsverletzung nach § 3 a UWG darstellen muss. In einem anderen Fall hat das Landgericht Würzburg mit Beschluss vom 13.9.2018 (Aktenzeichen 11O1741/18) dagegen eine Wettbewerbsverletzung angenommen. Weiter Infos hierzu gibt es unter: https://rechtsanwalt-harzewski.de/fehlende-datenschutzerklaerung-nicht-abmahnbar/.

Richter mit Hammer

Fehlende Datenschutzerklärung nicht abmahnbar

Leitsatz: Eine fehlende Datenschutzerklärung rechtfertigt nicht immer eine Abmahnung nach dem Wettbewerbsrecht.

Gericht: Landgericht Bochum, Urteil vom 7.8.2018
Aktenzeichen: 12 O 85/18

Entscheidung: Das Gericht entschied, dass ein Verstoß gegen die DSGVO nicht zugleich eine Wettbewerbsverletzung nach § 3 a UWG darstellen muss. Eine solche Verletzung liegt nur vor, wenn eine gesetzliche Vorschrift über das Marktverhalten missachtet wurde, die zudem geeignet ist, die Interessen von Verbrauchern, sonstigen Marktteilnehmern oder Mitbewerbern spürbar zu beeinträchtigen.

Nach Auffassung des Gerichts stellt eine fehlende Datenschutzerklärung auf einer Website keinen derartigen Verstoß dar, da die DSGVO in den Art. 77 – 84 insofern eine abschließende Regelung enthält. Speziell in Art. 80 DSGVO ist geregelt, dass betroffene Personen nur bestimmte Einrichtungen, Organisationen oder Vereinigungen ohne Gewinnerzielungsabsicht beauftragen können, um ihre Rechte, wie die Geltendmachung von Schadensersatz, wahrzunehmen. Daraus ergibt sich, dass der Unionsgesetzgeber eine Ausweitung auf Mitbewerber des Verletzers nicht zulassen wollte.

Hintergrund: Das Verhältnis zwischen DSGVO und dem Wettbewerbsrecht bleibt umstritten. In einem Fall vor dem Landgericht Würzburg (Beschluss vom 13.9.2018 – Az.: 11O1741/18) nahm das Gericht eine Wettbewerbsverletzung an, da eine Anwältin neben einer fehlerhaften Datenschutzerklärung auch keine Verschlüsselung für das Kontaktformular auf ihrer Website vorhielt.

WhatsApp im Unternehmen und Datenschutz

WhatsApp im Unternehmen und Datenschutz

Die Aufsichtsbehörden haben bereits mehrfach darauf hingewiesen, dass der Einsatz von WhatsApp in Unternehmen zur betrieblichen Kommunikation gegen die DSGVO verstößt. Dennoch erfreut sich der Messenger-Dienst größter Beliebtheit. Zusammenfassend ergeben sich folgende Probleme beim Thema WhatsApp im Unternehmen und Datenschutz:
 

Upload der Kontaktdaten

Inhalte und Nachrichten werden standardmäßig über eine Ende-zu-Ende-Verschlüsselung geschützt. Das Problem liegt daher im Upload der Kontaktdaten. Diese werden nicht verschlüsselt, sondern im Klartext übermittelt. WhatsApp erhält also zumindest Rufnummer und den Namen eines jeden Kontaktes. Für die Übermittlung dieser personenbezogenen Daten an WhatsApp ist eine Rechtsgrundlage erforderlich. Eine Einwilligung der betroffen Personen wird in der Regel schon aus praktischen Erwägungen ausscheiden. Auch eine Übermittlung aufgrund des berechtigten Interesses nach Art. 6 Abs. 1 lit. f) DSGVO scheitert in aller Regel, wenn auch Kontaktdaten von Personen übermittelt werden, die nicht WhatsApp nutzen.

Nach Auffassung der Landesbeauftragten für den Datenschutz Niedersachsen ist eine Nutzung daher nur möglich, wenn ein Smartphone mit einem leeren Adressbuch verwendet wird oder ein Zugriff auf die Kontakte durch die WhatsApp-Anwendung dauerhaft ausgeschlossen werden kann. WhatsApp stellt derzeit keine Möglichkeit bereit, die Übermittlung der Kontaktdaten zu deaktivieren, auf einzelne Kontaktgruppen zu beschränken oder sonst die Übermittlung zu konfigurieren. Dennoch lässt sich der Adressbuchupload durch verschiedene externe Apps verhindern.
 

WhatsApp als Auftragsverarbeiter

Umstritten ist, ob WhatsApp überhaupt als Auftragsverarbeiter einzustufen ist. Würde WhatsApp personenbezogenen Daten im Auftrag verarbeiten, müsste zusätzlich ein sogenannter Auftragsverarbeitungsvertrag mit dem Unternehmen geschlossen werden. Die übermittelten Kontaktdaten werden zumindest auch für eigene Zwecke verarbeitet, so dass WhatsApp auch als eigenständiger Verantwortlicher bzw. zumindest als gemeinsam Verantwortlicher gelten könnte. Hinsichtlich der übermittelten Inhaltsdaten gibt der Landesbeauftragter für den Datenschutz Sachsen-Anhalt zu bedenken, dass WhatsApp nicht quell-offen ist, sodass nicht ausgeschlossen werden kann, dass die Verschlüsselung der Kommunikationsinhalte auf andere Weise wieder aufgehoben werden könnte. Zur Sicherheit empfiehlt sich hier der Abschluss eines entsprechenden Vertrages mit WhatsApp, welche die Anforderungen aus Art. 28 DSGVO erfüllt.
 

Die Übermittlung von Daten in die USA

Die LfD Niedersachsen äußert erhebliche Bedenken in Bezug auf die Übermittlung der personenbezogenen Daten in die USA. Nach meiner Auffassung ist der Datentransfer aber gerechtfertigt, da sich WhatsApp auf die Einhaltung der der Privacy Shield-Grundsätze verpflichtet hat. Auf der Grundlage des Privacy Shields dürfen personenbezogene Daten in die USA gemäß Art. 45 Abs. 3 DSGVO übermittelt werden.

Unklar ist hingegen, ob und in welchem Umfang Daten zwischen WhatsApp und Facebook ausgetauscht werden. Der Verantwortliche kann daher die Betroffenen nicht umfassend und transparent über die Datenverarbeitung Informieren und mithin seinen Pflichten aus Art. 13, 14 DSGVO nachkommen.

Der Einsatz von WhatsApp im Unternehmen ist daher aktuell nicht rechtssicher. Zuletzt hatte das Amtsgericht Bad Hersfeld mit Beschluss vom 15.05.2017 (Az.: F 120/17 EASO) auf die Gefahr bei der Nutzung des Dienstes kostenpflichtig abgemahnt zu werden, hingewiesen.
 

scales icon with long shadow

Mitverantwortung für Facebook-Fanpage

Risiko Facebook-Fanpage

Nach dem Urteil des Europäischen Gerichtshofs vom 05.06.2018 werden Betreiber einer Facebook-Fanpage als Mitverantwortliche betrachtet. Das bedeutet, dass Betreiber für potentielle Datenschutzverstöße durch Facebook mithaften.

In der Beratungspraxis stellt sich immer wieder die Frage, ob die eigene Facebook-Fanpage nun ohne Risiko weiter betrieben werden kann. Nach dem Urteil des Europäischen Gerichtshofs vom 05.06.2018 werden Betreiber einer Facebook-Fanpage als Mitverantwortliche betrachtet. Das bedeutet, dass Betreiber für potentielle Datenschutzverstöße durch Facebook mithaften. Das Betreiben einer Fanpage ist daher aktuell nicht ohne das Risiko einer entsprechenden Haftung möglich.

 

Datenschutzerklärung

Aufgrund des vorgenannten Urteils müssen Nutzer einer Fanpage transparent und in verständlicher Form darüber informiert werden, welche Daten zu welchen Zwecken durch Facebook und die Fanpage-Betreiber verarbeitet werden. Dies sollte durch eine separate Datenschutzerklärung umgesetzt werden, welche auf der Fanpage unter Info / Datenrichtlinie verlinkt werden kann.

 

Betreiber in der Mitverantwortung

Beim Besuch einer Fanpage werden auf dem Endgerät des Nutzers Cookies platziert, die die Speicherung von Informationen in den Web-Browsern bezwecken und für die Dauer von zwei Jahren wirksam bleiben, sofern sie nicht gelöscht werden. Facebook empfängt die in den Cookies gespeicherten Informationen und verarbeitet diese. Das Unternehmen kann dadurch sein System der Werbung verbessern. Für den Betreiber einer Fanpage hat es den Vorteil, dass ihm Statistiken zur Verfügung gestellt werden, mit welchen er seinen Web-Auftritt besser steuern und vermarkten kann. Mit der Einrichtung einer Fanpage ist der Betreiber auch an der Entscheidung über die Zwecke und Mittel der Verarbeitung der personenbezogenen Daten seiner Besucher beteiligt und damit gemeinsam mit Facebook für die Verarbeitung verantwortlich.

 

Vereinbarung zur gemeinsamen Verantwortung

Inzwischen hat Facebook auf das Urteil des EuGH reagiert und eine Vereinbarung zur gemeinsamen Verantwortung im Sinne des Art. 26 DSGVO vorgelegt. Hierin stimmt Facebook zu, die primäre Verantwortung gemäß DSGVO für die Verarbeitung von Insights-Daten zu übernehmen und sämtliche Pflichten aus der DSGVO im Hinblick auf die Verarbeitung von Insights-Daten zu erfüllen. Gleichzeitig wird aber gefordert, dass eine Rechtsgrundlage für die Verarbeitung von Insights-Daten gemäß DSGVO besteht, der Verantwortliche für die Verarbeitung der Seite benannt und jedwede sonstigen geltenden rechtlichen Pflichten erfüllt sind.
 

 

Update vom 01.04.2019

In ihrer Positionierung  vom 01.04.2019 geht die Datenschutzkonferenz (DSK) allerdings davon aus, dass die Vereinbarung nicht den Anforderungen aus Art. 26 DSGVO entspricht. Zum einen seien die dargestellten Verarbeitungstätigkeiten nicht hinreichend transparent und konkret. Zum anderen stehe einer gemeinsamen Verantwortung entgegen, dass sich Facebook die alleinige Entscheidungsmacht hinsichtlich der Verarbeitung von Insights-Daten einräumen lassen will.

 

Datenschutzerklärung

Aufgrund des vorgenannten Urteils müssen Nutzer einer Fanpage transparent und in verständlicher Form darüber informiert werden, welche Daten zu welchen Zwecken und aufgrund welcher Rechtsgrundlage durch Facebook und die Fanpage-Betreiber verarbeitet werden. Ebenso sind Name und Kontaktdaten des Verantwortlichen und ggfls. die Kontaktdaten des Datenschutzbeauftragten anzugeben. Idealerweise sollte dies durch eine separate Datenschutzerklärung umgesetzt werden, welche auf der Fanpage unter Info / Datenrichtlinie verlinkt oder direkt in die Fanpage eingefügt werden kann. Aus Gründen der besseren Darstellung sollte die Datenschutzerklärung zusätzlich als separater Link im Impressum hinterlegt werden.

Informationen zu Seiten-Insights-Daten finden sich unter: https://www.facebook.com/legal/terms/information_about_page_insights_data.

Konsequenz

Absolute Rechtssicherheit lässt sich vorerst nur erreichen, wenn die Sichtbarkeit der eigenen Fanpage aufgehoben wird.Bis Facebook entsprechend nachbessert, geht die DSK davon aus, dass der Betrieb von Fanpages rechtswidrig ist.

In jedem Fall sollten Seitenbetreiber das bestehende Risiko und den Vorteil einer Weiternutzung sorgfältig abwägen. Zudem ist zu beachten, dass sich die Entscheidung des Europäischen Gerichtshofs auch auf Dienste wie Twitter, Instagram und Youtube auswirkt.

Meiner Meinung nach sollten Fanpage-Betreiber Ruhe bewahren und die weitere Entwicklung abwarten. Das Urteil des Gerichtshofes erging im Vorabentscheidungsverfahren. Das heißt, dass das Bundesverwaltungsgericht in der Sache noch entscheiden muss, ob die Datenschutzbehörde direkt gegen den Betreiber einer Facebook-Fanpage vorgehen kann oder ob eher Facebook der richtige Adressat ist. Es ist daher zu erwarten, dass auch die Datenschutzbehörden die Entscheidung des Bundesverwaltungsgerichts abwarten.

 

23/18-Page Controller Addendum, Datenschutz-Auskunftszentrale

WARUNG VOR FAXEN DER DATENSCHUTZ-AUSKUNFTSZENTRALE

In den letzten Tagen haben viele meiner Mandanten ein Fax von der Datenschutzauskunft-Zentrale erhalten. Die mir vorliegenden Exemplare sind im Wortlaut identisch. Vom Absender wird der Kauf eines Basisdatenschutzes für jährlich 592,62 Euro beabsichtigt Bitte füllen Sie das Formular daher unter keinen Umständen aus. In diesem Zusammenhang möchte ich gern auf die Warnung der Thüringer Landesbeauftragten für den Datenschutz und die Informationsfreiheit hinwiesen.

 

DATENSCHUTZBEHÖRDEN ÜBERLASTET

Die Berliner Beauftragte für Datenschutz und Informationsfreiheit teilte kürzlich mit, dass nicht mehr innerhalb der vorgegebenen Fristen entschieden werden könne. Nach der DSGVO müssen Aufsichtsbehörden Beschwerdeführern innerhalb von höchstens drei Monaten das Ergebnis der Untersuchung oder zumindest einen Verfahrensstand mitteilen. Auch die übrigen Aufsichtsbehörden arbeiten derzeit mit der Bearbeitung von Beschwerden und Anfragen an der Schmerzgrenze. In den Monaten Mai bis Juli 2018 erreichten die Behörde 1.380 Datenschutzbeschwerden von Bürgern. Im gleichen Vorjahreszeitraum waren lediglich 344 solcher Eingaben zu bearbeiten.

 

ANPASSUNGEN BEI FACEBOOK

Facebook hat endlich auf das Urteil des EuGH (https://rechtsanwalt-harzewski.de/mitverantwortung-fuer-facebook-fanpage/) reagiert und eine Ergänzung als Teil der AGB vorgelegt.

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hatte den Betrieb einer Fanpage noch am 05.09.2018 für rechtswidrig erklärt. Wie von den Aufsichtsbehörden und gemäß Art. 26 DSGVO gefordert, erkennt Facebook nun die gemeinsame Verantwortung für die Verarbeitung der Insights-Daten an und übernimmt die Verantwortung bei Auskünften, Informations- und Meldepflichten sowie der Sicherheit. Auch nach der Ergänzung durch Facebook müssen Seitenbetreiber eine eigene Rechtsgrundlage für die Datenverarbeitung festlegen und im Rahmen ihrer Informationspflichten mittels einer eigenen Datenschutzerklärung über die Datenverarbeitung informieren. Aufgrund der strengen Anforderungen der Aufsichtsbehörden an eine Einwilligungserklärung beim User-Tracking kann ein gewisses Restrisiko bei Betrieb der eigenen Fanpage nach wie vor nicht ausgeschlossen werden.

Patienten Akte

Datenschutz in der Pflege

Bereits im ersten Jahrhundert nach Christus definierte der Eid des Hippokrates die Pflicht zur Verschwiegenheit im Gesundheitswesen. Mit dem Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) am 25.05.2018, zweitausend Jahre später,

The Sound of Facebook

Mit einem neuen Musikdeal macht sich Facebook auf den Weg zur neuen Jukebox. Das Unternehmen schloss dafür mit dem International Copyright Enterprise (ICE) einen Vertrag,

Wie ist der Bandname geschützt?

Neben dem zivilrechtlichen Namenschutz und dem Unternehmenskennzeichenschutz kann der Bandname noch als Marke durch das Markenschutzgesetz abgesichert sein.

Weihnachtsmarkt in Dresden; © Alexander Erdbeer / Fotolia.com

Schutz vor Terroranschlägen ist Aufgabe des Staates

Dies entschied das Verwaltungsgericht Berlin. Die Veranstalterin des Weihnachtsmarktes in Charlottenburg sollte durch entsprechende Vorrichtungen

Vorteile eines schriftlichen Band-GbR Vertrages

Die größten Bandprojekte starteten im Proberaum, nicht beim Anwalt. Und das ist wirklich gut für die Musik. Aber braucht man wirklich schon einen Band-Vertrag, selbst wenn noch keine Auftritte anstehen?

Richter mit Hammer

Zur Verteilung von GEMA-Einnahmen

Leitsatz: Die Vergütung der Urheber darf von der GEMA nicht um einen pauschalen Verlegeranteil gekürzt werden.

Professionelle (Eis-)Tänzer sind keine Künstler

Das Bundessozialgericht erfindet eine neue Ausrede für Männer.

Justitia - deutsche Gesetze; © recht_schoen / Fotolia.com

Anzug eines Orchestermusikers ist Privatsache

Leitsatz: Kleidungsstücke eines Orchestermusikers stellen in der Regel keine typische Berufsbekleidung, sondern bürgerliche Kleidung dar.

Überblick zur Kunst- und Kulturförderung

Die Darstellung der staatlichen Kunst- und Kulturförderung ist vergleichbar mit einem großen Flickenteppich. Aufgrund des Föderalismus sind die Zuständigkeiten zwischen Bund, Ländern und Kommunen verteilt.

Woran erkennt man eigentlich einen Veranstalter?

Es ist ein bisschen wie in der Kirche. Alle singen seine Lieder, aber kein Besucher bekommt ihn je zu sehen. Ein Veranstalter ist meist ein bühnenscheues Lebewesen.

scales icon with long shadow

Zur Voraussetzung eines Platzverweises

Leitsatz: Für die Erteilung von Platzverweisen durch die Polizei reicht nicht aus, dass es einen Bezug zu Veranstaltungen gibt,

scales icon with long shadow

Zur Sittenwidrigkeit eines Managementvertrages

Leitsatz: Bei Managementverträgen ist es üblich, dass der Manager an sämtlichen Einnahmen aus der künstlerischen Tätigkeit des Künstlers beteiligt wird, die dieser während der Vertragslaufzeit erzielt.

Richter mit Hammer

Plattenverträge als typische Form der Vermarktung

Leitsatz: Der Abschluss von Plattenverträgen und Bandübernahmeverträgen bei Schlagersängern stellt die typische Form der Vermarktung dar.

Justitia - deutsche Gesetze; © recht_schoen / Fotolia.com

Zum Rücktritt vom Tourneevertrag

Leitsatz: Wird in einem Tourneevertrag geregelt, dass ein Künstler Aufführungen eines nach objektiven Kriterien bestimmbaren Repertoires schuldet, handelt es sich um einen Werkvertrag.

scales icon with long shadow

Zur Ruhezeit eines Orchestermusikers

Leitsatz: Einem Orchestermusiker steht nach § 13 Abs. 2 TVK keine fünfstündige Ruhezeit vor jeder Aufführung zu, wenn am selben Tag zwei Aufführungen an verschiedenen Aufführungsstätten am Sitz des Orchesters zu absolvieren sind.

Richter mit Hammer

Kein Plagiat von „Hinterm Horizont“

Leitsatz: Sind alle wesentlichen Gestaltungselemente eines Musicals bereits in historischen Ereignissen, einer Autobiografie sowie in Originalsongtexten angelegt, so stellen sie keine eigene geistige Schöpfung dar.

scales icon with long shadow

Gothic gegen Rap

Leitsatz: Wenn Text und Komposition zu einem Gesamtwerk verbunden werden, dann ist ein so verbundenes Werk nicht gegen eine Trennung von Dritten geschützt, da sowohl Text, als auch Musik jeweils gesondert verwertet werden können

scales icon with long shadow

Zum Abspielen eines Liedes im Wahlkampf

Leitsatz: Das Abspielen eines Liedes während einer noch andauernden Wahlkampfveranstaltung steht stets in Zusammenhang mit der Veranstaltung

Justitia - deutsche Gesetze; © recht_schoen / Fotolia.com

Zur Annahme einer Doppelschöpfung

Leitsatz: Im musikalischen Bereich ist bei Anwendung der bestehenden Lehren und Gestaltungsmittel (wie Melodik, Harmonik, Rhythmik, Metrik, Tempo, Phrasierung, Artikulierung, Ornamentik, Kadenz, Periodik, Arrangement) ein weiter Spielraum

scales icon with long shadow

Zur Veranstalter-eigenschaft

Leitsatz: Unabhängig von der Möglichkeit der Programmgestaltung ist eine Veranstalter-eigenschaft dann anzunehmen, wenn der Umfang und das Gewicht der vorgenommenen Tätigkeiten die Annahme rechtfertigen, dass eine Mitwirkung an der Aufführung vorliegt.

Richter mit Hammer

Private-Viewing in der Gaststätte

Leitsatz: Wenn lediglich Mitglieder einer Skatrunde und eines Dartclubs in einer öffentlich zugänglichen Gaststätte Fußballspiele anschauen, dann handelt es sich um eine nicht öffentliche Gesellschaft,

Justitia - deutsche Gesetze; © recht_schoen / Fotolia.com

Zur Abgabepflicht einer Tanzschule

Leitsatz: Eine Tanzschule muss für Honorare, die für selbständige Musiker gezahlt werden, welche auf Abschlussbällen spielen, Künstlersozialabgabe entrichten.

scales icon with long shadow

Kunstfreiheit vs. Totensonntag

Leitsatz: Kunstfreiheit verlangt nicht, dass Kunstwerke jederzeit gewerblich aufgeführt oder vertrieben werden dürfen.

scales icon with long shadow

Zur Erlaubnis von E-Zigaretten in Kneipen

Leitsatz: Bei dem Gebrauch einer E-Zigarette findet kein Verbrennungsprozess, sondern ein Verdampfungsvorgang statt. Die E-Zigaretten sind daher in nordrhein-westfälischen Gaststätten zulässig,

scales icon with long shadow

Zum Streitwert Bootleg II

Leitsatz: Beim Verkauf eines nicht offiziell veröffentlichten bzw. nicht autorisierten DVD-Bildtonträgers (Bootlegs) auf der Internetplattform ebay.de ist der Streitwert auf 10.000 festzusetzen.

Richter mit Hammer

Beteiligung an Erlösen nach Austritt aus Band

Leitsatz: Nach dem Ausscheiden eines Bandmitgliedes gilt eine pauschale Vereinbarung zur Beteiligung an sämtlichen Tonträgererlösen, unabhängig von der Mitwirkung, nicht ohne konkrete weitere Absprache fort.

scales icon with long shadow

Abgabepflicht von Country-Westerntanzverein

Leitsatz: Für eine einheitliche Veranstaltung sprechen neben der Wahrnehmung der Veranstaltung als Einheit in der Öffentlichkeit insbesondere der einheitliche Name,

Justitia - deutsche Gesetze; © recht_schoen / Fotolia.com

Zum Verbot des Weiterverkaufs von Tickets

Leitsatz: Ein kommerzieller Weiterverkauf von Konzert-Tickets kann in den AGB untersagt werden.

scales icon with long shadow

Zur Namensnutzung von „Rock am Ring“

Leitsatz: Da der Marek Lieberberg Konzertagentur GmbH & Co. KG ein älteres Werktitelrecht zusteht, hat die Nürburgring GmbH i.E. kein Anspruch auf Unterlassung

Richter mit Hammer

Betrieb YouTube-Portals vom Ausland

Leitsatz: Beim Betrieb eines YouTube-Portals aus dem Ausland ist das Verwenden von Kennzeichen verfassungswidriger Organisationen nicht strafbar.

scales icon with long shadow

Zur Beeinträchtigung privater Veranstalter

Leitsatz: Eine Preisunterbietung ist als wettbewerbliches Mittel grundsätzlich erlaubt und nur dann unlauter, wenn sie in Verdrängungsabsicht geschieht.

scales icon with long shadow

Versicherungspflicht einer Tanzlehrerin

Leitsatz: Bei einem aus mehreren Arbeitsgebieten zusammengesetzten gemischten Berufsbild kann nur dann

scales icon with long shadow

Vergütung von Musiknutzung /Tanzschulen

Leitsatz: Bei der Festsetzung einer Vergütung im Rahmen eines Gesamtvertrages kann eine Orientierung an früheren Verträgen der Parteien erfolgen.

scales icon with long shadow

Zum Streitwert Bootleg I

Leitsatz: Der Streitwert einer Unterlassungsklage wegen eines Angebotes einer Bootleg-LP bei eBay kann bis zu 5.000 Euro betragen.

Richter mit Hammer

Bildberichterstattung Mieterfest

Leitsatz: Auch Fotos, die von Teilnehmern eines lokalen Mieterfest einer Wohnungsbau-genossenschaft gemacht werden, können Bildnisse der Zeitgeschichte sein.

scales icon with long shadow

Zur Abgabepflicht eines Bandleaders

Leitsatz: Wenn ein Bandleader neben der künstlerischen Mitwirkung auch als Vermittler bzw. Vermarkter einer Band auftritt, ist er zur Künstlersozialabgabe verpflichtet.

scales icon with long shadow

Zur Untersagung von YouTube-Sperrtafeln

Leitsatz: Die von YouTube verwendeten Sperrtafeln mit dem Text: „Dieses Video ist in Deutschland leider nicht verfügbar, da es möglicherweise Musik enthält, für die die erforderlichen Musikrechte von der GEMA

Justitia - deutsche Gesetze; © recht_schoen / Fotolia.com

Schutzfähigkeit der Bezeichnung „Event“

Leitsatz: Die Marke „Event“ verfügt über einen von Haus aus verminderten Schutzumfang, da sie die maßgeblichen charakteristischen Dienstleistungen lediglich beschreibt

scales icon with long shadow

Zur Nennung von Musikfestival bei Gewinnspiel

Leitsatz: Wenn ein Unternehmen im freien Handel Eintrittskarten für Musikfestivals erwirbt und diese als Teil eines Gewinnspiels anbietet,

scales icon with long shadow

Zur Rücksichtspflicht bei Gleichnamigkeit

Leitsatz: Die zwischen Gleichnamigen bestehende Gleichgewichtslage verpflichtet beide Beteiligten zur Rücksichtnahme und zur Vermeidung einer weiteren Steigerung der Gefahr von Verwechslungen

Richter mit Hammer

Recht am Bandnamen nach Auflösung der Band

Leitsatz: Derjenige, der unter einem Bandnamen auftritt und dessen künstlerische Leistung damit beworben wird, ist Inhaber des Namensrechtes.

scales icon with long shadow

Keine Kunstfreiheit bei beleidigender Moderation

Leitsatz: Der Moderation bei einer Konzerttournee liegt keine eigene freie schöpferische Gestaltung zugrunde. Ein Künstler kann sich daher nicht auf die Kunstfreiheit berufen, wenn

scales icon with long shadow

Zur Unterscheidung von Konzert und Tanz

Leitsatz: Eine vergnügungssteuerpflichtige Tanzveranstaltung liegt vor, wenn ihr inhaltlicher Charakter für den Besucher erkennbar auf das Vergnügen am Tanz ist.

scales icon with long shadow

Haftung bei unvorhersehbaren Schäden

Leitsatz: Ein Konzertveranstalter haftet nicht für Schäden, mit denen im Vorfeld nicht gerecht werden konnte.

Richter mit Hammer

Ermäßigte Umsatzsteuer für Technoparty

Leitsatz: Im Sinne des Umsatzsteuergesetzes sind Konzerte Aufführungen von Musikstücken, bei denen Instrumente und/oder die menschliche Stimme eingesetzt werden.

Justitia - deutsche Gesetze; © recht_schoen / Fotolia.com

Schmerzensgeld wegen Hörschadens

Leitsatz: Ein Veranstalter kann nicht für etwaige Hörschäden bei den Konzertbesuchern verantwortlich gemacht werden, wenn er sich an die Verpflichtungen aus der DIN 15905 hält.

Richter mit Hammer

Absage eines Konzerts wegen Krankheit

Leitsatz
Bei einem Orchesterkonzert ist die Aufführung mit einem anderen gleichwertigen Dirigenten als zumutbar anzusehen. Es liegt daher kein Fall einer Unmöglichkeit vor, wenn

scales icon with long shadow

Zur Wesentlichkeit von Lärm bei Konzert

Leitsatz: Bei nur einmal jährlich stattfindenden Veranstaltungen von kommunaler Bedeutung können selbst Lärmeinwirkungen unwesentlich sein,

scales icon with long shadow

Haftung des Veranstalters beim Stage-Diving

Leitsatz: Wer die Steigerung und das Aufheizen der Stimmung im Lauf des Konzerts mitbekommt und sich gleichwohl bis zum Höhepunkt des Konzerts in vorderster Front aufhält,

Richter mit Hammer

Sorgfaltspflicht zum Schutz vor Hörschäden

Leitsatz: Der Umfang der Verpflichtung eines Veranstalters, Besucher vor Hörschäden zu schützen, kann sich aus der DIN-Norm 15905 Teil 5 ergeben.

Justitia - deutsche Gesetze; © recht_schoen / Fotolia.com

Zur Obhutspflicht eines Konzertveranstalters

Leitsatz: Der Konzertveranstalter hat im Rahmen seines als Werkvertrag anzusehenden Gastspielvertrages gegenüber dem Künstler eine Obhuts- und Fürsorgepflicht.