Schlagwort: Datenschutzverstoß

Datenschutzverstöße von Beschäftigten

Datenschutzverstöße von Beschäftigten

Das Landgericht Bonn (Urteil vom 11.11.2020, Aktenzeichen: 29 OWi 1/20) hat sich neben der Bußgeldzumessung auch zu Datenschutzverstößen geäußert, welche von Beschäftigten verursacht wurden.

 

Nur der Verletzungserfolg ist entscheidend

Hierzu führt es aus, dass Gegenstand der Sanktionierung für einen Datenschutzverstoß nicht die dafür ursächlichen Handlungen bestimmter natürlicher Personen ist. Es kommt mithin nur auf den Erfolg des Datenschutzverstoßes an. Im entsprechenden Bußgeldbescheid wurde daher nicht näher beschrieben, welche natürlichen Personen im Unternehmen der Betroffenen durch welche Handlungen den Datenschutzverstoß begangen haben.

 

Hintergrund Datenschutzverstöße von Beschäftigten

Nach dem deutschen Ordnungswidrigkeitenrecht gibt es keine unmittelbare Haftung von Unternehmen. Geldbußen setzen stets ein schuldhaftes Fehlverhalten einer vertretungsberechtigten Person, wie z.B. einem Geschäftsführer oder Vorstand, voraus. Das Verhalten irgendeines Mitarbeiters des Unternehmens reicht nach deutschem Recht daher nicht aus, um eine Bußgeld zu bekommen. Vielmehr kommt es auf das Fehlverhalten ganz bestimmter Personen in Führungs- oder Aufsichtspositionen an.

 

Deutsche Regeln stehen europäischen Haftungskonzept entgegen

Hierzu stellt das Gericht nun folgendes fest: Die deutschen Regelungen sind nicht mit dem europäischen Haftungskonzept in Einklang zu bringen. Für eine Einschränkung der Haftung durch Beschränkung auf individuelles Fehlverhalten von Leitungspersonen gem. § 30 OWiG ist daher kein Raum.

 

Auffassung der DSK

Auch nach Auffassung der DSK sollen Unternehmen dabei im Rahmen von Art. 83 DSGVO für Datenschutzverstöße ihrer Beschäftigten haften, wenn diese im konkreten Fall nicht im Exzess gehandelt haben. Nach der Entschließung der DSK soll für die Zuordnung der Verantwortlichkeit weder die Kenntnis der Geschäftsführung von dem konkreten Verstoß, noch eine Verletzung der Aufsichtspflicht erforderlich sein. Daher kann dem Verantwortlichen nicht nur jeder Datenschutzverstoß eines gesetzlichen Vertreters oder einer Leitungsperson, sondern der eines jeden Beschäftigten zugerechnet werden.

 
Rechtsanwalt Robert Harzewski

Fehlversand von Bewerberdaten

Fehlversand von Bewerberdaten

Bestimmte Gruppen von Betroffenen sind besonders sensibel zu behandeln. Hierzu zählen insbesondere abgelehnte Bewerber. Dies musste nun auch eine Privatbank erleben und für den Fehlversand von Bewerberdaten 1.000 Euro Schadensersatz zahlen.

 

Was war passiert?

Als die Bank eine Nachricht über Xing an einen Bewerber schicken wollte, ging diese fehl und erreichte einen unbeteiligten Dritten. Die Nachricht enthielt u.a. auch Angaben darüber, dass sich der Bewerber als Händler beworben hatte und dass seine Gehaltsvorstellungen zumindest über der Jahresvergütung in Höhe von 80.000 € liegen. Nachdem der Bewerber für die Stelle nicht weiter berücksichtigt wurde, beschwerte sich dieser über den Fehlversand und, dass er von der Bank nicht informiert wurde. Der Datenschutzbeauftragte der Bank bestritt, dass die Bank für die falsche Versendung verantwortlich sei und verneinte insoweit einen Datenschutzverstoß.

 

Entscheidung

Das angerufene Landgericht Darmstadt (Urteil vom 26.05.2020, Az.: 13 O 244/19) verurteilte die Bank daraufhin zur Zahlung eines Schmerzensgeldes in Höhe von 1.000 Euro.
Bei einer Datenpanne bzw. Verletzung des Schutzes personenbezogener Daten (Art. 4 Nr. 12 DSGVO) ist bei einem hohen Risiko neben der Meldung bei der Aufsichtsbehörde auch eine Unterrichtung des Betroffenen selbst vorgesehen (Art. 34 DSGVO).
Das Gericht nahm durch den Fehlversand von Bewerberdaten ein hohes Risiko an, da der Bewerber die Kontrolle über seine Informationen verloren hatte. Die fehlgegangen Daten waren zu einer Benachteiligung des Bewerbers geeignet, da diese Informationen an etwaige Konkurrenten für einen Arbeitsplatz gelangen oder gar seinen Ruf schädigen konnten. So hätte auch der derzeitige Arbeitgeber des Bewerbers erfahren können, dass sich dieser nach anderweitigen Arbeitsstellen umschaut.
Da die Bank den Bewerber nicht unverzüglich über den Fehlversand informiert hatte, nahm das Gericht einen Verstoß gegen die Meldepflicht an. Zudem stellte es eine Verletzung von Art. 6 DSGVO fest, da die Bank für den Fehlversand keine Rechtsgrundlage habe.
Das Landgericht erachtet dabei ein Schmerzensgeld in Höhe von 1.000 Euro für angemessen, da der Bewerber keine weiteren beruflichen oder persönlichen Beeinträchtigungen erlitten hat und die Nachricht nur an einen Dritten fehlgeleitetet wurde.

 

Kein Nachweis einer Schulung begründet Wiederholungsgefahr

Neben dem Zuspruch von Schadensersatz sprach sich das Gericht auch für eine Wiederholungsgefahr in Bezug auf die von der Bank abzugebende Unterlassungserklärung aus. Eine solche kann grundsätzlich nur widerlegt werden, wenn nach allgemeiner Lebenserfahrung nicht mehr mit einem Verstoß zu rechnen ist. Der Umstand des Zeitraums, in dem seit der Rechtsverletzung bis zum Urteil keine weiteren Probleme bzw. Rechtsverletzungen eingetreten sind, reichte dem Gericht dabei allein nicht aus.
Die Durchführung von Schulungsmaßnahmen für alle Mitarbeiter war im Verfahren nicht nachweisbar. Zwischen dem Vorfall und einer entsprechenden Benachrichtigung an die Mitarbeiter vergingen mehr als 6 Wochen, so dass seitens der Bank nicht unverzüglich auf die Situation reagiert wurde, um etwaige weitere Verstöße bereits zeitnah bzw. sofort zu verhindern. Darüber hinaus hielt das Gericht eine von neuen Mitarbeitern abzugebende Erklärung allein nicht für ausreichend an, um im Rahmen zumutbarer Maßnahmen weitere zukünftige Verstöße angemessen zu verhindern.

 

Fazit

Eine der häufigsten Datenpannen ist das organisatorische Fehlverhalten durch nicht getroffene technisch-organisatorische Maßnahmen. Hierzu zählen insbesondere
- versehentlichen Falsch-Adressierung von Briefen, Faxen und E-Mails
- die Versendung einer Massen-E-Mail unter Verwendung des cc- statt des bcc-Feldes
- der Zugriff auf vertrauliche Unterlagen infolge fehlender Passwort-Vorgaben oder eines den fachlichen Standards entsprechenden Berechtigungskonzeptes
Der Vorfall zeigt auch, wie wichtig die Reaktion nach Entdeckung eines Datenschutzvorfalls ist.

 

Rechtsanwalt und Datenschutzbeauftragter Robert Harzewski

scales icon with long shadow

Abmahnung wegen fehlender Datenschutzerklärung

Leitsatz:

Die Informationspflichten aus Artikel 13 Absatz 1 DSGVO stellen Marktverhaltensregelungen dar. Wettbewerbsverbände sind daher befugt, solche Verstöße gegen Bestimmungen der Datenschutz-Grundverordnung geltend zu machen. Eine Abmahnung wegen fehlender Datenschutzerklärung ist demnach möglich.

Gericht: Oberlandesgericht Stuttgart, Urteil vom 27.02.2020
Aktenzeichen: 2 U 257/19

 

Was war passiert?

Ein gewerblicher Ebay-Verkäufer bot auf der Plattform Reifen zum Sofortkauf an. Neben seiner Firma gab er seine Postanschrift, Telefonnummer, Faxnummer und E-Mail-Adresse an. Eine Erklärung zum Datenschutz hielt er jedoch nicht vor. Damit informierte er insbesondere nicht über Art, Umfang und Zweck der Erhebung und Verwendung personenbezogener Daten. Daraufhin erhielt er von einem Wirtschaftsverband eine Abmahnung wegen fehlender Datenschutzerklärung.

 

Entscheidung:

Mit dem Inserat auf der Internethandelsplattform hat der Händler gegen Artikel 13 DSGVO verstoßen. Hierin sah das Gericht auch eine unzulässige geschäftliche Handlung im Sinne von § 3 a UWG, die vom Wirtschaftsverband abgemahnt werden kann.

Voraussetzung für eine Abmahnung wegen fehlender Datenschutzerklärung ist,

• dass die entsprechende Norm auch dazu bestimmt ist, im Interesse der Marktteilnehmer das Marktverhalten zu regeln
• dass dieser geeignet ist, die Interessen von Verbrauchern, sonstigen Marktteilnehmern oder Mitbewerbern spürbar zu beeinträchtigen.

Nach Auffassung des Gerichts habe Art. 13 DSGVO insoweit eine verbraucherschützende Funktion und weise den erforderlichen wettbewerblichen Bezug auf.

Das Gericht ging davon aus, dass durch die DSGVO die Rechtsbehelfe nicht abschließend geregelt werden. Daher bleiben die nationalen Bestimmungen der § 8 Absatz 1 und Absatz 3 Nr. 2 i.V.m. § 3a UWG anwendbar.

Mitgliedstaaten können nationale Normen auch dann anwenden, wenn diese die unmittelbare Anwendbarkeit der Verordnung nicht vereiteln, deren gemeinschaftliche Natur nicht verbergen und die Ausübung des durch die betreffende Verordnung verliehenen Ermessens innerhalb der Grenzen dieser Vorschriften konkretisieren.

Der Normgeber hat die Verantwortung für die Ausgestaltung der Rechtsdurchsetzung und des Prozessrechts an die Mitgliedsstaaten übertragen. Daher müsse vom Grundsatz her jede nationale Maßnahme, die geeignet ist, die Rechtsdurchsetzung zu erleichtern, als zulässig angesehen werden.

Aus der DSGVO ergäbe sich zudem nicht, dass es den Mitgliedstaaten verwehrt sein soll, Wettbewerbsverbänden eine Klagebefugnis einzuräumen. Die Rechtsdurchsetzung auf dem zivilen Rechtsweg wird durch die Verordnung in keiner Weise eingeschränkt, noch stellt Artikel 80 DSGVO eine abschließende Regelung dar.

Die Verfolgung von Wettbewerbsverstößen durch Wettbewerbsverbände habe sich als schlagkräftiges Instrument bewährt. Da die Ressourcen der Behörden begrenzt sind, können Wettbewerbsverbände auch bei der Überwachung der Datenschutzregeln einen wesentlichen Beitrag leisten.

 

Hintergrund zur Abmahnung wegen fehlender Datenschutzerklärung

Ob DSGVO-Verstöße abgemahnt werden können bleibt weiterhin unklar. Die Frage, ob das Datenschutzrecht auch das Marktverhalten regelt, wird von den Gerichten unterschiedlich beantwortet.

 

Entscheidung am Gericht Sachverhalt Verstoß gegen das Wettbewerbsrecht
27.02.2020Oberlandesgericht Stuttgart

Aktenzeichen: 2 U 257/19

gewerblicher Ebay-Verkäufer mit Inserat ohne Datenschutzhinweiseja
07.11..2019Oberlandesgericht des Landes Sachsen-Anhalt

Aktenzeichen: 9 U 6/19

fehlende ausdrückliche Einwilligungja
07.02.2019Oberlandesgericht München

Aktenzeichen: 6 U 2404/18

Telefonanrufen zu Werbezwecken (Cold Calls)ja
05.11.2018Landgericht Wiesbaden

Aktenzeichen:. 5 O 214/18

wegen unvollständigen Auskünfte nach Art. 15 DSGVOnein
25. 10. 2018Oberlandesgericht Hamburg

Aktenzeichen: 3 U 66/17

fehlende EinwilligungDie jeweilige Norm der DSGVO muss im Einzelfall konkret darauf überprüft werden, ob sie eine Regelung des Marktverhaltens zum Gegenstand hat.
13.09.2018Landgericht Würzburg

Aktenzeichen: 11O1741/18

fehlerhafte Datenschutzerklärung (keine Angabe zum Verantwortlichen, zur Datenverarbeitung, Belehrung über Betroffenenrechte)  und keine Verschlüsselung für das Kontaktformular auf Websiteja
07.08.2018Landgericht Bochum, Aktenzeichen: 12 O 85/18fehlende Datenschutzerklärung auf einer WebsiteVerstoß gegen die DSGVO ist nicht zugleich eine Wettbewerbsverletzung nach § 3 a UWG

 

Eine höchstrichterliche Entscheidung steht noch aus. Um vor allem einer Abmahnung wegen fehlender Datenschutzerklärung vorzubeugen, sollten Unternehmen ihre Hinweise auf Vollständigkeit prüfen.

Rechtsanwalt Robert Harzewski

06/19-Linklösung, Cookie-Banner, Haftung

Weitere Aufsichtsbehörde sieht in Lohnabrechnung von Steuerberatern eine Auftragsverarbeitung

Nach Nordrhein Westfalen und Baden Württemberg sieht nun auch die hessische Aufsichtsbehörde in der Durchführung von Gehaltsabrechnungen eine Auftragsverarbeitung. Begründet wird dies mit dem Argument, dass die Abrechnung nach fest vorgegebenen Regeln vorgenommen werde, ohne dass dem Steuerberater dabei ein eigener Entscheidungsspielraum zukommt. Ist ein Steuerberater darüber hinaus auch mit klassischer Steuerberatung beauftragt, so ist hierfür aber kein Auftragsverarbeitungsvertrag nach Art. 28 DSGO erforderlich. Bei gemischten Leistungsangeboten soll aber jede Leistung separat zu beurteilen sein.

 

Verweis auf Webseite ist zulässig

Im FAQ-Bereich der hessischen Aufsichtsbehörde wurde nun auch die bisher umstrittene Frage der Zulässigkeit einer Link-Lösung beantwortet. Und zwar positiv.

Die hessische Aufsichtsbehörde geht dabei von der Zulässigkeit eines Medienbruchs aus. Nach ihrer Auffassung würde die Verständlichkeit und die Präzision erheblich darunter leiden, wenn unabhängig von der Art der Kontaktaufnahme eine umfassende Information über das selbe Medium gegeben werden müsste. Ausdrücklich zulässig ist es demnach, einen Anrufer auf die Datenschutzerklärung auf der Homepage zu verweisen. Hiervon sei nur dann eine Ausnahme zu machen, wenn die betroffene Person der Verweisung offensichtlich nicht folgen kann.

 

Ratgeber zum Beschäftigtendatenschutz

Aus Baden-Württemberg stammt der sehr lesenswerte Ratgeber zum Beschäftigtendatenschutz, welchen ich wärmstens empfehlen kann.

 

Update in Sachen Facebook Fanpage

Die Datenschutzkonferenz (DSK) geht in ihrer Positionierung vom 01.04.2019 weiterhin davon aus, dass derzeit ein datenschutzkonformer Betrieb einer Fanpage nicht möglich ist. Weiter Infos zum Thema finden Sie unter: http://rechtsanwalt-harzewski.de/mitverantwortung-fuer-facebook-fanpage/

 

Zu den Anforderungen von Cookie-Bannern beim Webtracking

Wie bei jeder Verarbeitungstätigkeit kann der Einsatz von Cookies bei Tracking-Maßnahmen aufgrund einer Einwilligung oder aufgrund der berechtigten Interessen erfolgen. Eine Einwilligung kann durch einen sogenannten Cookie-Banner eingeholt werden. Nicht ausreichend sind jedoch die üblichen Banner, die lediglich eine knappe, aber deutliche Information über die Verwendung von Cookies am oberen oder unteren Rand der Webseite platzieren. In solchen Fällen werden Cookies bereits beim Besuch der Website gesetzt, d.h. bevor ein Nutzer Ihnen zugestimmt hat. Nach Vorgabe der Aufsichtsbehörden sollten Nutzer daher für eine Einwilligung zunächst auf einen entsprechenden Button klicken (Opt-in), bevor überhaupt Cookies gesetzt werden. Erst dann sollte die Webseite und Cookies geladen werden und ein Weitersurfen möglich sein.

 
In ihrer Orientierungshilfe für Anbieter von Telemedien stellt die DSK insbesondere folgende Anforderungen an eine wirksame Einwilligung in Form eines Cookie-Banners:

 
• Alle einwilligungsbedürftigen Verarbeitungsvorgänge sind gesondert darzustellen. Dies hat unter Nennung der jeweiligen Dienstleister und der hinreichenden Beschreibung der Funktion der entsprechenden Verarbeitung zu erfolgen.
• Während der Banner angezeigt wird, müssen alle weitergehenden Skripte einer Website, die potenziell Nutzerdaten erfassen, blockiert werden.
• Die Erklärung muss unmissverständlich sein, z.B. durch Anklicken eines nicht voraktivierten Kästchens beim Besuch einer Website oder durch Klick auf eine Schaltfläche. Bei mehreren einwilligungsbedürftigen Verarbeitungsvorgängen müssen diese gesondert anwählbar sein
• Erst nach aktiver Handlung des Nutzers darf die einwilligungsbedürftige Datenverarbeitung tatsächlich beginnen.
• Der Besuch der Website muss auch möglich sein, wenn man nicht in das Setzen von Cookies einwilligen möchte.

 

Haftung für Datenschutzverstöße von Beschäftigten

Nach einer neuen Entschließung der DSK sollen Unternehmen im Rahmen von Art. 83 DSGVO für Datenschutzverstöße ihrer Beschäftigten haften, wenn diese im konkreten Fall nicht im Exzess gehandelt haben. Demnach soll für die Zuordnung der Verantwortlichkeit weder die Kenntnis der Geschäftsführung von dem konkreten Verstoß, noch eine Verletzung der Aufsichtspflicht erforderlich sein. Nach Auffassung der Konferenz kann dem Verantwortlichen demnach nicht nur jeder Datenschutzverstoß eines gesetzlichen Vertreters oder einer Leitungsperson, sondern der eines jeden Beschäftigten zugerechnet werden.

 

Anforderungen an Anbieter von Online-Diensten zur Zugangssicherung

In einer weiteren Orientierungshilfe des DSK gibt es eine gute Übersicht in die zutreffenden Maßnahmen der Zugangssicherung. Unter 2.2 heißt es nun wortwörtlich: „Sofern starke Passwörter verwendet werden, ist ein regelmäßiger Passwortwechsel nicht zwingend erforderlich.“ Bisher hatte sich nur die Aufsichtsbehörde in Baden Württemberg gegen das Erfordernis eines regelmäßigen Passwortwechsels ausgesprochen.