Archiv für den Autor: LLR DSC

EuGH: Datenverarbeitung durch Muttergesellschaft erfolgt “im Rahmen der Tätigkeit” einer werbenden Tochtergesellschaft

Mit Urteil vom 13.5.2014 (Az. C-131/12, Volltext) hat sich der EuGH in einem Vorabentscheidungsverfahren überraschend zur Reichweite des Merkmals der Datenverarbeitung “im Rahmen der Tätigkeiten einer Niederlassung” im Sinne des Art. 4 Abs. 1 Buchst. a DSRL geäußert. Um eine solche Tätigkeit handele es sich, wenn die Muttergesellschaft Daten verarbeitet, die im engen Zusammenhang mit der Werbetätigkeit der Niederlassung (Tochtergesellschaft) stehen. Das Urteil, das sich im Kern mit der Pflicht eines Suchmaschinenbetreibers zur Löschung von Links aus seinen Indizes befasst, dürfte auch für die Datenverarbeitung in anderen Social Media die Werbeflächen unterhalten, vor allem soziale Netzwerke, erhebliche Bedeutung erlangen.
Weiterlesen

BAG zur Geltendmachung des Auskunftsanspruchs gem. § 34 BDSG vor den Arbeitsgerichten

Erfüllt eine verantwortliche Stelle nicht den Anspruch eines Betroffenen auf Auskunft gem. § 34 Abs. 1 BDSG, kann dieser Anspruch mit einer Klage durchgesetzt werden. Mit Beschluss vom 3.2.2014 entschied das Bundesarbeitsgericht (BAG, Beschl. v. 3.2.2014 – 10 AZB 77/13), dass für diese Klage der Rechtsweg zu den Arbeitsgerichten gegeben ist, falls zwischen dem Betroffenen und der verantwortlichen Stelle ein Arbeitsverhältnis besteht oder – wie in dem entschiedenen Fall – früher bestand.

Ob sich die gegebene Begründung wird langfristig aufrechterhalten lassen, also auch in denkbaren Variationen des Sachverhalts gleichermaßen gelten kann, ist nicht unzweifelhaft. Weiterlesen

Gesetzgebungsverfahren: EU-Datenschutzgrundverordnung DSGVO

Update zum europäischen Gesetzgebungsverfahren bzgl. der Datenschutzgrundverordnung (DSGVO) und der diese ergänzenden Datenschutzrichtlinie für den Bereich der Strafverfolgung:

Am 12.3.2014 billigte das Plenum des Europäischen Parlaments den Entscheidungsvorschlag seines Ausschusses für bürgerliche Freiheiten, Justiz und Inneres (LIBE), der in seiner Sitzung am 21.10.2013 mit großer Mehrheit die Vorlage des Berichterstatters Jan Philipp Albrecht angenommen hatte. Damit schließt das Parlament die erste Lesung ab, so dass der Abschluss des Gesetzgebungsverfahrens gegenwärtig nur noch von einer Zustimmung seitens des Rates abhängt. Diese steht nach wie vor unverändert aus. Es steht jedoch zu erwarten, dass der Rat der aktuellen textlichen Fassung nicht zustimmen, sondern mit Änderungsvorschlägen die zweite Lesung im Parlament erforderlich machen wird.

Weiterlesen

BAG entscheidet erneut zur verdeckten Videoüberwachung am Arbeitsplatz

Mit Urteil vom 21.11.2013 – 2 AZR 797/11 (Volltext) entschied das BAG  wiederholt zur verdeckten Videoüberwachung am Arbeitsplatz . Dieses Urteil stellt eine von mehreren Fortführungen und Konkretisierungen der Rechtsprechung vom 21.6.2012 dar (unsere Urteilsanmerkungen auf dieser Website). Abseits des arbeitsrechtlichen Kerns der Entscheidung – zu den Voraussetzungen einer auf einen Verdacht gestützten ordentlichen Kündigung – enthält die Urteilsbegründung auch eine aus Perspektive des Datenschutzrechts entscheidende Erkenntnis. Diese betriff die Frage nach einem prozessualen Beweisverwertungsverbot in Bezug auf datenschutzrechtswidrig erlangte Informationen und Beweismittel.

Weiterlesen

OLG Celle: Rechtswidrige Drohung mit Schufa-Eintrag

Liegt keine wirksame Einwilligung des Betroffenen vor, beschränkt § 28a BDSG die Möglichkeiten zur Übermittlung personenbezogener Daten an Auskunfteien wie die SCHUFA ganz erheblich. Geht es um die Durchsetzung fälliger Forderungen hindert insbesondere jeder Widerspruch des Schuldners die Übermittlung, mag dieser Widerspruch auch noch so unbegründet sein.

Gleichwohl wird im Inkasso gerne mit dem “SCHUFA-Eintrag” gedroht, um unwillige Schuldner zur Zahlung zu motivieren. Dem ist das OLG Celle (Urteil vom 19.12.2013, 13 U 64/13 – Volltext) nun deutlich entgegen getreten. Wird nach dem Bestreiten der Forderung durch den Schuldner eine Datenübermittlung an die SCHUFA dem Schuldner angekündigt, obwohl diese unzulässig ist, liegt hierin ein Eingriff in das allgemeine Persönlichkeitsrecht des Betroffenen, gegen den sich dieser mit Unterlassungsansprüchen wehren kann (§§ 823 Abs. 1, 1004 Abs. 1 BGB i.V.m. Art. 2 Abs. 1, Art. 1 Abs. 3 GG). Zugleich kann ein solches Handeln im Inkasso den Straftatbestand der (versuchten) Nötigung nach § 240 Abs. 1 StGB (i.V.m. §§ 22, 23 StGB) erfüllen, woraus sich wiederum Unterlassungsansprüche des Betroffenen ergeben (§ 823 Abs. 2 BGB i.V.m. § 240 Abs. 1 StGB).

Unternehmen sollten vor dem Hintergrund dieses Urteils auf die Formulierung ihrer Anspruchsschreiben und Mahnungen achten. Anderenfalls drohen vermeidbare Aufwendungen für die Auseinandersetzungen mit Schuldnern, die sich gerichtlich gegen falsche Formulierungen und Ankündigungen im Mahnschreiben zur Wehr setzen.

Düsseldorfer Kreis: Orientierungshilfe für regulierte Selbstregulierung veröffentlicht

Der Düsseldorfer Kreis (Zusammenschluss der Aufsichtsbehörden zum Datenschutz in Deutschland) hat eine “Orientierungshilfe der Datenschutzaufsichtsbehörden für den Umgang mit Verhaltensregeln nach § 38a BDSG” (PDF) veröffentlicht.

§ 38a BDSG erlaubt die Vorlage von Entwürfen für Verhaltensregeln an die Aufsichtsbehörde, die deren Vereinbarkeit mit geltendem Recht überprüft. Damit wird die Möglichkeit zur Schaffung datenschutzrechtlicher Verhaltenskodizes als “Vollzugsregelungen” geschaffen, dies freilich nur in sehr rudimentärer Form, ohne dass die Anforderungen an derartige Verhaltenskodizes festgelegt und die Bedeutung der Prüfung durch die Aufsichtsbehörden durch § 38a BDSG geregelt wird.

Um diese Lücken der gesetzlichen Regelung zu schließen, konkretisiert die Orientierungshilfe zunächst den Begriff der Verhaltensregel:

Konkret folgt daraus, dass durch Verhaltensregeln insbesondere unbestimmte Rechtsbegriffe, Ermessenskriterien, Musterklauseln, verfahrensrechtliche Vorkehrungen, Vorgaben für die Bearbeitung von Betroffenenrechten oder technisch organisatorische Maßnahmen festgelegt werden können.”

Zu einer Erhöhung des Datenschutzniveaus über die gesetzlichen Standards hinaus müssen Verhaltensregeln damit nach dem Düsseldorfer Kreis nicht (mehr) führen.

Wird die Verhaltensregel “anerkannt” ist damit die

“Feststellung der Rechtskonformität der Verhaltensregeln”

verbunden. Unternehmen, die sich an derartige Verhaltensregeln halten, können nach einer solchen Anerkennung davon ausgehen, sich datenschutzkonform zu verhalten und hierauf ggf. auch in ihrem Außenauftritt werblich hinweisen. Die Erarbeitung solcher Verhaltensregeln kann demnach für die hiervon profitierenden Unternehmen zur Beseitigung von Unklarheiten bei der Anwendung der sehr allgemein gehaltenen datenschutzrechtlichen Bestimmungen und damit der Schaffung von Rechtsklarheit führen.

Anonymität im Internet vs. Auskunftsansprüche (zugleich Urteilsbesprechung: LG München I, Urt. v. 3.7.2013 – 25 O 23782/12)

In den nachstehend skizzierten Gesamtkontext fügt sich nunmehr ein weiteres Urteil zu einer anderen Facette des Themas Anonymität im Internet ein. Dieses ist jedoch auf einer anderen Ebene angesiedelt als jene Urteile, die in den vergangenen drei Jahren für Furore sorgten. Entsprechend der im Datenschutzrecht üblichen Dreiteilung von zugrunde liegender Transportleistung (TKG), angebotenem Informations- und Kommunikationsdienst (TMG) und konkreten Inhalten (BDSG) bewegten sich jene Streitigkeiten auf Ebene der Transportleistung. Das nachstehend dargestellte Urteil des Landgericht München I in Bezug auf ein Bewertungsportal für Ärzte betrifft die Diensteebene (TMG), ebenso wie das vor einigen Jahren ergangene und damals in der Presse ebenfalls viel beachtete Urteil des BGH in Sachen Spickmich (Bewertungsportal für Lehrer).

Weiterlesen

BNetzA stellt IT-Sicherheitskatalog für Systeme zur Netzsteuerung vor

Im Benehmen mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) hat die Bundesnetzagentur (BNetzA) nach § 11 Absatz 1a EnWG einen Katalog von Sicherheitsanforderungen zum Schutz gegen Bedrohungen für Telekommunikations- und elektronische Datenverarbeitungssysteme, die der Netzsteuerung dienen, im Entwurf erstellt (Download IT-Sicherheitskatalog, PDF). Im Mittelpunkt steht dabei die Einführung eines ISMS (Informationssicherheitsmanagementsystem) nach Maßgabe der DIN ISO/IEC 27002 unter besonderer Berücksichtigung der Vorgaben für die Energieversorgung aus DIN SPEC 27009. Bis zum 15.2.2014 kann zum IT-Sicherheitskatalog gegenüber der Bundesnetzagentur Stellung genommen werden.

Hinweise und Q&A zum Datenschutz international

Auf Practical Law findet sich ein sehr hilfreicher Data Protection Multi-jurisdictional Guide zum Datenschutzregime in mehr als 30 Staaten weltweit, insbesondere in der Europäischen Union und dem Europäischen Wirtschaftsraum. Der Guide ist in Form von “Country Q&A” organisiert, über die die wesentlichen Fragen zum Datenschutzrecht (Anwendungsbereich, gesetzliche Regelungen, Besonderheiten) beantwortet werden. Derzeit befinden sich Q&A zu folgenden Ländern auf der Website. Australien, Österreich, Belgien, Brasilien, Kanada, China, Tschechei, Frankreich, Finnland, Deutschland, Hongkong, Ungarn, Indien, Irland, Italien, Japan, Luxemburg, Mexiko, Norwegen, Polen, Qatar, Rumänien, Russland, Saudi-Arabien, Südafrika, Spanien, Schweden, Thailand, Türkei, Großbritannien (England und Wales), Vereinigte Arabische Emirate und Vereinigte Staaten/USA.

BGH: Urteil zur Strafbarkeit des Umgangs mit Bewegungsdaten durch Detektei

Im Urteil vom 4.6.2013 (1 StR 32/13, Volltext) hatte sich der BGH mit einem der seltenen Fälle eines strafbaren Umgangs mit personenbezogenen Daten nach § 44 Abs. 1 BDSG zu befassen. In der Sache ging es um den Inhaber und einen Angestellten einer Detektei, die zwecks Observation im Auftrag von Privatpersonen unter anderem Bewegungsprofile der Zielpersonen erstellten:

“Dabei ging die Detektei wie folgt vor: Durch vorangegangene persönliche Observation und Halterabfragen wurde das von den Zielpersonen regelmäßig genutzte Fahrzeug und dessen regelmäßiger Standort ermittelt. Sodann brachte [... man ...] einen GPS-Empfänger (basierend auf Global-Positioning-System = GPS) an diesen Fahrzeugen an. [...] Zur Anbringung des GPS-Empfängers betrat [... man ...]  wiederholt im Bewusstsein, hierzu nicht berechtigt zu sein, Tiefgaragen, die teilweise durch Rolltore oder Gitter gesichert oder nur durch Berechtigte mit einer Karte zu betreten waren.

Die GPS-Empfänger zeichneten im Durchschnitt alle zwei Minuten, teils sogar minütlich, das Datum, die Uhrzeit, die geographischen Breiten- und Längenkoordinaten sowie die jeweilige Momentangeschwindigkeit des Fahrzeugs auf. Diese Daten wurden über Mobiltelefone der Angeklagten auf deren Notebooks übertragen und dort mittels eines speziellen Softwareprogramms automatisch zu Bewegungsprotokollen und Kartendarstellungen verarbeitet, wobei auch ‘Fahrweg und Aufenthaltsort der Zielpersonen’ dokumentiert wurden. [...] Die so gewonnenen Daten überließ [man] – teils in Form von Protokollen und Kartendarstellungen, teils in Form von Observationsberichten – den jeweiligen Auftraggebern in Papierform.”

Im Urteil kommt der BGH im Wesentlichen zu folgenden Ergebnissen:

Weiterlesen