Art. 13 Abs. 1 b) verpflichtet Unternehmen, in ihrer Datenschutzerklärung die Kontaktdaten des Datenschutzbeauftragten anzugeben, sofern es einen solchen gibt.
Unklar war bisher, ob hier nur die Funktion mit einer entsprechenden E-Mail-Adresse genannt werden muss,
also z.B.
„Sie erreichen unseren Datenschutzbeauftragten jederzeit unter datenschutz@unseronlineshop.de“.
oder ob der Datenschutzbeauftragte namentlich genannt werden muss, z.B.
„Unseren Datenschutzbeauftragten Max Mustermann erreichen Sie unter m.mustermann@unseronlineshop.de“.

Diese Frage hat der BGH nun geklärt.

Im zugrunde liegenden Fall hatte eine Bankkundin geklagt, die eine Auskunft über ihre Daten verlangt hatte, in der der Name des Datenschutzbeauftragten nicht genannt war.
Die Kundin sah sich dadurch in ihrem Auskunftsrecht verletzt und klagte zunächst vor dem Amtsgericht Seligenstadt, wo die Klage jedoch abgewiesen wurde.
Auch die Berufung vor dem Landgericht Darmstadt blieb erfolglos, woraufhin die Klägerin Revision beim Bundesgerichtshof einlegte.
Der BGH wies hier die Auffassung zurück, dass der Datenschutzbeauftragte namentlich zu benennen sei.
In Übereinstimmung mit der herrschenden Meinung in der juristischen Literatur urteilten die Richter, dass gerade nur die Kontaktdaten erforderlich seien, denn es gehe nicht um die Person, sondern um die Funktion, diese müsse für den Betroffenen erreichbar sein, wenn dafür kein Name erforderlich sei, müsse dieser nicht angegeben werden.

Fazit
Das Urteil des BGH schafft Rechtsklarheit in der Frage, wie ein Datenschutzbeauftragter in der Datenschutzerklärung benannt werden muss.
Es reicht aus, den Datenschutzbeauftragten lediglich in seiner Funktion und mit Kontaktdaten wie einer E-Mail-Adresse datenschutz@onlineshop.de sowie der Anschrift des Unternehmens mit z. Hd. des Datenschutzbeauftragten zu benennen.
Eine namentliche Nennung ist ausdrücklich nicht erforderlich.

Der Beitrag BGH – Datenschutzbeauftragter muss nicht namentlich benannt werden erschien zuerst auf Protected Shops.

Kläger war hier ein Verbraucherschutzverband, der gegen Otto.de als Online-Versandhändler mit Marktplatz vorging, weil dieser unter anderem den Erwerb von Waren nur nach Einrichtung eines Kundenkontos ermöglichte, also keinen Gastzugang zuließ.
Der Verbraucherschutzverband sah in dem fehlenden Gastzugang einen Verstoß gegen Art. 5 Abs. 1 lit. c) i.V.m. Art. 25 Abs. 2.
Art. 5 Abs. 1 lit. c) statuiert den Grundsatz der Datensparsamkeit, personenbezogene Daten müssen dem Zweck der Verarbeitung angemessen und auf das erforderliche Maß beschränkt sein (Datenminimierung). Darauf aufbauend verpflichtet Art. 25 Abs. 2 die für die Verarbeitung Verantwortlichen, geeignete Maßnahmen zu treffen, um sicherzustellen, dass nur die für den jeweiligen Verarbeitungszweck erforderlichen personenbezogenen Daten verarbeitet werden (Datensparsamkeit).

Der Auffassung, dass sich hieraus eine Verpflichtung zur Gewährung eines Gastzugangs ergebe, schlossen sich die Richter des Landgerichts Hamburg jedoch nicht an.
Das Gericht stufte die genannten Teile der Datenschutzgrundverordnung zwar als Verbraucherschutz- und Marktverhaltensregeln ein, sah jedoch keinen Verstoß.
So würde die Einrichtung eines Kundenkontos bei Otto.de nicht gegen die Grundsätze der Datensparsamkeit und Datenminimierung verstoßen.

Eine Datenverarbeitung sei nicht erforderlich, wenn ihr Zweck auch mit einem geringeren Datenerhebungsaufwand erreicht werden könne, wenn also Daten im Übermaß oder für hypothetische Zwecke erhoben würden, für die zum Zeitpunkt der Erhebung noch kein Anlass bestehe.
Zwar hat die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) in einem Beschluss festgestellt, dass Online-Händler ihren Kunden grundsätzlich einen Gastzugang gewähren müssen. Der Beschluss lässt jedoch Ausnahmen zu und ist nicht rechtsverbindlich.

Auch der Hamburgische Datenschutzbeauftragte hat auf der Grundlage dieses Beschlusses dargelegt, dass bei Otto.de ein Einzelfall mit besonderen Umständen vorliege, der die Bereitstellung eines Gastzugangs entbehrlich mache. So habe Otto.de dargelegt, dass es als Marktplatz, auf dem auch mehrere tausend andere Verkäufer Waren vertreiben, das Kundenkonto benötige, um die Bestellungen eines Kunden mit den Händlern zu verknüpfen, die Kommunikation mit den Händlern zu ermöglichen und die Gewährleistungs-, Garantie- und Rückgaberechte der Kunden zu ermöglichen. Dies sei über ein Kundenkonto wesentlich einfacher als über die individuelle Kommunikation per E-Mail oder Telefon.
Zudem würde als einziges zusätzliches Datum das gewählte Passwort erhoben, alle anderen erhobenen Daten seien auch bei einer Gastbestellung datenschutzrechtlich nicht zu beanstanden.
Zwar bestünde die theoretische Gefahr, dass ein Kundenkonto von unberechtigten Dritten genutzt werde und diese so Zugriff auf die personenbezogenen Daten eines Kunden erhielten, jedoch könne ein Kunde jederzeit die Löschung des Kontos verlangen, zudem würden Kundenkonten automatisch gelöscht, wenn drei Jahre nach Jahresende keine Bestellung erfolgt sei bzw. nach 30 Tagen, wenn nach Einrichtung eines Kundenkontos keine Bestellung erfolgt sei.

Dieser Auffassung schlossen sich die Richter des Landgerichts Hamburg an.
Die datenschutzrechtliche Erforderlichkeit der Daten wäre nicht zu beanstanden, mit Ausnahme der für den Versand und die Kommunikation erforderlichen Adressdaten und der E-Mail-Adresse, die von Otto.de erhoben werden, des Geburtsdatums und der Telefonnummer, für die die Zwecke der Prüfung der Volljährigkeit, der Abfrage von Bonitätsdaten bei Auskunfteien, der Betrugsprüfung und der Prüfung von Sanktionslisten sowie im Falle der Telefonnummer für die Zustellung durch Transportunternehmen hinreichend dargelegt werden konnten.
Auch das für das Kundenkonto erhobene Passwort sei zulässig, da es gerade dem Schutz der hinterlegten personenbezogenen Daten diene. Auch würden die Vorteile eines Kundenkontos für die Verwaltung von Daten, Bestellungen und Kommunikation etwaige Nachteile der Einrichtung eines Kundenkontos überwiegen.
Zudem sei eine Bestellung auch freiwillig, da ein Kunde die betreffende Ware auch bei einem anderen Online-Händler mit Gastzugang oder im stationären Handel bestellen könne, wo Adressdaten oder ein Passwort gar nicht erhoben würden.

Fazit:

Die DSK, der Zusammenschluss der Datenschutzbehörden des Bundes und der Länder, sieht in einem ihrer Beschlüsse grundsätzlich vor, dass Online-Shops ihren Kunden aus Gründen der Datensparsamkeit und Datenminimierung einen Gastzugang ermöglichen. Die Beschlüsse der DSK sind zwar rechtlich nicht bindend, haben aber im Bereich des Datenschutzes durchaus Gewicht.
Der Beschluss lässt jedoch Ausnahmen zu und wie der Hamburgische Datenschutzbeauftragte und ihm folgend das Landgericht Hamburg ausgeführt haben, kann ein Gastkonto entbehrlich sein,
wenn die Vorteile des Kundenkontos den mit seiner Einrichtung verbundenen Aufwand überwiegen
das Konto ausreichend geschützt ist, die dafür zusätzlich erhobenen Daten auf das erforderliche Maß (in der Regel das Passwort) beschränkt sind und ein datenschutzkonformes Löschkonzept für das Kundenkonto vorliegt.
Das Urteil ist also ausdrücklich nicht als Freibrief zu verstehen, kein Gastkonto anzubieten. Die Ermöglichung von Gastbestellungen ist aus datenschutzrechtlicher Sicht durchaus empfehlenswert.
Auf der Grundlage dieses Urteils kann jedoch davon abgewichen werden, wenn die Notwendigkeit entsprechend begründet werden kann.

Der Beitrag LG Hamburg: Online-Shop muss keinen Gastzugang ermöglichen erschien zuerst auf Protected Shops.

Hier war die Option „Akzeptieren“ farblich dominant hervorgehoben. An dieser Stelle fehlte die Option „Ablehnen“. Diese war auch in der zweiten Ebene beim Klick auf „Einstellungen“ nicht zu finden. Dort konnte der Nutzer nur entweder pauschal alle Cookies akzeptieren oder kein Cookie auswählen und diese Einstellung „speichern“.

Nachdem die Klage vor dem Landgericht aus formalen Gründen abgewiesen worden war, entschied nun das Oberlandesgericht über die leicht modifizierten Anträge der Verbraucherzentrale und gab der Klage statt.

Nach Ansicht des OLG wird dem Besucher mit dem Cookie-Banner weder auf der ersten noch auf der zweiten Ebene eine der Einwilligungsoption gleichwertige Ablehnungsoption angeboten. Vielmehr werde der Besucher durch die Gestaltung des Banners zur Abgabe der Einwilligung gedrängt und von einer Ablehnung eher abgehalten.

Eine solche Einwilligung sei weder freiwillig noch hinreichend informiert, wie es die Vorgaben des § 25 Abs. 1 TTDSG, Art. 4 Nr. 11 DSGVO verlangen.

Auf der ersten Ebene des Banners finde sich überhaupt keine Widerspruchsmöglichkeit. Mit einem Klick auf „Einstellungen“ könne der Verbraucher dann in der zweiten Ebene die Cookies nur durch einen Klick auf „speichern“ ablehnen, ohne Cookies auszuwählen. Aus dem Wort „speichern“ erschließe sich dem Nutzer aber nicht bereits die konkrete Funktion des Buttons. Damit fehle es nach Ansicht des Gerichts an einer echten Wahlmöglichkeit des Nutzers.

Darüber hinaus hielt das Gericht auch den oben rechts sichtbaren Button „Akzeptieren & schließen“ für unzulässig, da er gegen die Grundsätze der Transparenz und der Freiwilligkeit der Einwilligung verstoße.

“Das „X“-Symbol ist Nutzern als Möglichkeit bekannt, ein Fenster zu schließen, nicht aber als Einwilligung in die Verwendung von Cookies und anderen Technologien durch den Webseitenbetreiber. Dass damit eine Einwilligung erklärt wird, ist dem durchschnittlichen Nutzer nicht bewusst. Zwar steht unmittelbar neben dem „X“-Symbol „Akzeptieren & Schließen“. Die Verknüpfung dieser beiden Funktionen ist für den Nutzer jedoch irreführend und intransparent. Auch ist für den Nutzer nicht ohne weiteres erkennbar, dass es sich bei „Akzeptieren & Schließen“ und dem „X“-Symbol um ein und dieselbe Schaltfläche handelt. Vor diesem Hintergrund kann die Einwilligung mittels des „X“-Symbols weder als unmissverständlich oder eindeutig bestätigend noch als freiwillig im Sinne von § 25 Abs. 1 BDSG, Art. 4 Nr. 11 DSGVO bewertet werden”, so das Gericht.

Der Streitwert des Berufungsverfahrens wurde auf 5.000 Euro festgesetzt.

Fazit:

Wir empfehlen daher dringend, bei Cookie-Bannern und Einwilligungs-Tools bereits auf der ersten Ebene eine gleichwertige Gestaltung der Buttons zu wählen. Dabei sollte sowohl eine Zustimmungs- als auch eine Ablehnungsfunktion sowie eine Möglichkeit, zu den individuellen Einstellungen zu gelangen, um dort einzelne Dienste an- oder abzuwählen, vorgesehen werden.

Der Beitrag OLG Köln zu Cookie-Bannern: Buttons müssen gleichwertig gestaltet sein erschien zuerst auf Protected Shops.

Derzeit sei der Datenschutz im Internet „nervig“, da die Nutzer auf einer Webseite immer wieder ihre Zustimmung zur Erhebung und Verarbeitung ihrer Daten geben oder verweigern müssten. Meist geschieht dies über ein Cookie-Banner.
Oft sind diese Cookie-Banner mit Text überladen oder unübersichtlich. Zudem ist die Möglichkeit, pauschal alle Cookies mit einem Klick abzulehnen, oft nicht vorhanden oder schwer zu finden.
Der Button für die pauschale Annahme aller Cookies ist dagegen oft leicht zu finden und farblich hervorgehoben.
Dies führt dazu, dass viele Nutzer, um diese Unannehmlichkeiten zu umgehen, einfach auf „alle zulassen“ klicken, ohne einen Überblick darüber zu haben, welche Cookies sie zulassen.

EU-Kommissar Didier Reynders sagte dazu in einem Interview mit der Welt am Sonntag:“Der Gebrauch von Cookies, um personenbezogene Daten zu verarbeiten, kann laut Gesetz nicht ohne die ausdrückliche Zustimmung der User erfolgen.
Aber das bedeutet nicht, dass das Surfen im Netz am Ende eine lästige Angelegenheit werden darf.“

Inzwischen hat die EU-Kommission sogar einen Alternativvorschlag entwickelt. Demnach sollen sich zunächst große Unternehmen oder Plattformen über eine „Cookie-Selbstverpflichtungsinitiative“ dazu verpflichten,
die Nutzer besser über die Verwendung von Cookies zu informieren, um nicht mehr ständig Cookie-Banner einblenden zu müssen.
Webseitenbetreiber sollen die Nutzer an gut sichtbarer Stelle über ihr Geschäftsmodell und die Verwendung personenbezogener Daten informieren.
Dies gelte natürlich insbesondere für die Verwendung von Daten zu Werbezwecken und zur Finanzierung der Website.
Reynders: „Wir werden … die Verbraucher dabei unterstützen, die Werbemodelle besser zu begreifen und sich für Werbung zu entscheiden, die weniger aufdringlich ist.So sollte der Verbraucher beispielsweise erst ein Jahr nach der letzten Anfrage erneut gefragt werden, ob er bereit ist, Cookies zu akzeptieren.“

Wie genau sich dieses Modell mit der Pflicht des Webseitenbetreibers, für jede konkrete Datenerhebung und -verarbeitung eine informierte Einwilligung einzuholen, vereinbaren lässt und wie die Vorschläge der EU-Kommission konkret umgesetzt werden sollen, bleibt abzuwarten.

Der Beitrag EU-Vorschlag: Cookie-Banner per Selbstverpflichtung abschaffen? erschien zuerst auf Protected Shops.

Nachdem in der Vergangenheit bereits zwei Datenschutzabkommen zwischen der EU und den USA (Safe Harbour, Privacy Shield) vom Europäischen Gerichtshof für ungültig erklärt wurden, gibt es mit dem „EU-US Data Privacy Framework“ (teilweise auch als Privacy Shield 2.0 bezeichnet) einen neuen Anlauf für ein Abkommen, dass die Übermittlung und Verarbeitung europäischer Daten in den USA ermöglichen soll. Am 10.7.2023 wurde auf dieser Grundlage ein Angemessenheitsbeschluss der Europäischen Kommission erlassen, die EU-Behörde bescheinigt also, dass personenbezogene Daten in den USA durch das Abkommen auf dem gleichen Datenschutzniveau geschützt werden wie in Europa.

Mehr zu den Hintergründen und den Auswirkungen, insbesondere für den Online-Handel, erfahren Sie in folgendem Artikel

Hintergrund

Ein wichtiger Grundsatz der Datenschutz-Grundverordnung ist, dass eine Übermittlung personenbezogener Daten in außereuropäische Länder nur dann erfolgen darf, wenn sichergestellt ist, dass diese Daten dort genauso geschützt werden wie innerhalb der Europäischen Union.

Um dies sicherzustellen, gibt es unter anderem den sogenannten Angemessenheitsbeschluss der Europäischen Kommission, die hier das Datenschutzniveau eines Landes prüft und gegebenenfalls erklärt, dass die Daten dort ausreichend geschützt sind. Liegt ein solcher Beschluss vor, können die Daten grundsätzlich problemlos in das jeweilige Land übermittelt werden.

Für die USA gab es in der Vergangenheit bereits solche Angemessenheitsbeschlüsse, zunächst auf Grundlage des damaligen Safe-Harbour-Abkommens. Dieses wurde jedoch 2015 vom Europäischen Gerichtshof im sogenannten Schrems-I-Urteil für ungültig erklärt.

Hauptkritikpunkt war, dass das US-Recht den US-Geheimdiensten weitreichende Zugriffsrechte auf personenbezogene Daten von Europäern bei US-Dienstleistern einräumt, ohne dass sich ein europäischer Nutzer dagegen gerichtlich wirksam zur Wehr setzen kann.

In der Folge kam es zu einem neuen Abkommen, dem Privacy Shield, das als wesentliche Verbesserung nun unter anderem einen Ombudsmann beim US-Außenministerium vorsah. Doch auch dieses wurde 2020 durch das Schrems II-Urteil des Europäischen Gerichtshofs wieder für ungültig erklärt, da die Richter die Regelungen weiterhin für unzureichend hielten.

Ohne gültiges Abkommen ist die Übermittlung personenbezogener Daten deutlich komplizierter und so sind viele US-Dienstleister sind auf die Verwendung sogenannter Standardvertragsklauseln umgestiegen. Dabei handelt es sich um von der EU-Kommission vorgegebene Vertragsinhalte, die den Datenschutz gewährleisten sollen. Da das Hauptproblem jedoch im Zugriff der US-Behörden auf die Daten liegt, ist es sehr umstritten, ob solche Klauseln, die nur das Unternehmen binden können, das aber selbst durch US-Gesetze zur Herausgabe der Daten gezwungen werden kann, ausreichend sind.

EU-US Data Privacy Framework

Mit dem EU-US-Data-Privacy Framework (Privay Shield 2.0) wurde nun ein drittes Abkommen zwischen der EU und den USA geschlossen. Am 10.7.2023 wurde für dieses ein Angemessenheitsbeschluss der Europäischen Kommission erlassen, diese hält das Abkommen für ausreichend um europäische Daten auch in den USA ausreichend zu schützen.

Neu ist, dass es künftig ein eigenes Gericht in den USA geben soll, dass den Datenschutz überprüfen kann und an das sich betroffene EU-Bürger wenden können.

Außerdem wurden die Zugriffsbefugnisse der US-Behörden durch eine Executive Order eingeschränkt. Diese Einschränkungen sollen auch effektiv überwacht werden.

Wichtig:

Der Angemessenheitsbeschluss bezieht sich nur auf das Abkommen selbst und nicht auf die generelle Übermittlung personenbezogener Daten in die USA.

US-Unternehmen, die das Abkommen nutzen wollen, müssen sich zertifizieren lassen, dies geschieht durch eine Selbstverpflichtung zur Einhaltung der Daten, die teilweise auch überprüft werden soll.

Das US-Handelsministerium hat angekündigt, in Kürze eine neue Website online zu stellen.

Diese wird zukünftig eine Liste der teilnehmenden US-Unternehmen enthalten sowie Informationen für US-Unternehmen, wie sie dem Abkommen beitreten können.

Ob Unternehmen, die sich bereits für das bisherige Privacy Shield in ähnlicher Weise zertifiziert haben, direkt dem neuen Abkommen beitreten können, ist noch unklar.

Es ist jedoch davon auszugehen, dass insbesondere große und für den E-Commerce relevante Unternehmen wie Facebook, Google oder Microsoft sehr schnell dem Abkommen beitreten werden.

Auswirkungen auf Rechtstexte

Das neue Abkommen wird, aller Voraussicht nach, erhebliche Auswirkungen auf die Datenschutzerklärungen haben, soweit ein Online-Händler US-Dienstleister wie Google oder Microsoft nutzt, werden Änderungen notwendig sein.

Selbstverständlich wird Protected Shops die Rechtstexte für seine Kunden entsprechend anpassen, sobald klar ist, welche Unternehmen dem Abkommen beitreten. Wir werden zu gegebener Zeit gesondert informieren.

Fazit

Mit dem EU-USA-Datenschutzrahmen ist nun bereits das dritte Datenschutzabkommen zwischen den beiden Wirtschaftsmächten ausgehandelt, durch den Angemessenheitsbeschluss der EU-Kommission steht seiner Anwendung nichts mehr im Wege.

Das sind gute Nachrichten für alle Online-Händler, die amerikanische Dienstleister wie Google, Facebook oder Microsoft nutzen, deren datenschutzkonformer Einsatz wird aller Voraussicht nach künftig wieder möglich sein.

Zwar ist das letzte Wort noch nicht gesprochen, da der österreichische Datenschutzaktivist Max Schrems, der die bisherigen Datenschutzabkommen zu Fall gebracht hat, auch gegen dieses klagen will, bis es aber wieder vor dem EuGH landet, werden in jedem Fall einige Jahre ins Land gehen, in denen auf Basis dieses Abkommens relativ sicher personenbezogene Daten in die USA übermittelt werden können.

Der Beitrag Angemessenheitsbeschluss der EU-Kommission zu neuem Datenschutzabkommen zwischen EU und USA erschien zuerst auf Protected Shops.

Der Beitrag LG Köln – Einsatz von Google Analytics wegen Datenübermittlung in die USA unzulässig erschien zuerst auf Protected Shops.

Der Beitrag Shop-E-Mails: Was ist rechtlich zu beachten? erschien zuerst auf Protected Shops.

Der zugrundeliegende Fall

In einem aktuellen Urteil des EuGH (Urt. v. 12.1.2023 – C-154/21) hatte das Gericht über den Umfang der Informationen zu entscheiden, die zu erteilen sind, wenn ein Betroffener Auskunft über seine gespeicherten Daten verlangt.
Ein österreichischer Nutzer hatte von der österreichischen Post auf Grundlage der DSGVO Auskunft darüber verlangt, an wen seine Daten weitergegeben wurden.
Die österreichische Post antwortete ihm zwar, teilte in ihrer Antwort aber nur allgemein mit, dass sie die Daten im gesetzlich zulässigen Rahmen nutzen und auch Geschäftskunden zu Marketingzwecken anbieten würde.
Dem Beschwerdeführer genügte diese Auskunft nicht, weshalb er Klage erhob. Der österreichische Oberste Gerichtshof legte dem EuGH die Frage nach dem Umfang der zu erteilenden Auskünfte vor.

Die europäischen Richter stellten fest, dass ein (datenschutzrechtlich) Verantwortlicher die konkrete Identität der Empfänger mitteilen muss.
Nur wenn eine Identifizierung der einzelnen Empfänger nicht möglich sei, dürfe mit Kategorien gearbeitet werden. Dies gelte aber auch dann, wenn der Verantwortliche nachweisen kann, dass der Antrag offensichtlich unbegründet oder exzessiv wäre.
Der EuGH betonte hier auch, dass das Auskunftsrecht gerade die Grundlage darstellt, auf der ein Nutzer seine weiteren Rechte wie das Recht auf Löschung oder das Recht auf Berichtigung wahrnehmen kann.

Konsequenzen für die Praxis

Wie nun klargestellt wurde, müssen einem Antragsteller künftig alle externen Empfänger, an die seine Daten weitergegeben werden, konkret benannt werden.
Dabei sind der Name des Unternehmens und mindestens eine Kontaktadresse anzugeben.
Im Bereich des Online-Handels sind dies z.B. Newsletter-Anbieter wie Mailchimp oder Cleverreach, Bestellabwickler wie Afterbuy oder Dreamrobot, Versandunternehmen wie DHL, DPD oder Hermes,
Bezahldienstleister wie Klarna, Paypal oder Payone.

Übrigens: In unseren Premium-Tarifen ist ein DSGVO-Assistent enthalten. Hier können Sie nicht nur das vorgeschriebene Verzeichnis von Verarbeitungstätigkeiten hinterlegen,
wir unterstützen Sie hier auch bei der Beantwortung von Auskunfts- oder Löschanfragen – natürlich unter Berücksichtigung der aktuellen Rechtsprechung.

Der Beitrag EuGH-Urteil – DSGVO-Auskunft muss grundsätzlich konkrete Datenempfänger enthalten erschien zuerst auf Protected Shops.

Hintergrund:

Ob Datenschutzverstöße abmahnfähig sind, wurde in Deutschland bereits vor Einführen der Datenschutzgrundverordnung kontrovers diskutiert.

Mit Abmahnungen kann gegen wettbewerbsrechtswidriges Verhalten vorgegangen werden. Dadurch soll der faire Wettbewerb sichergestellt werden und die Gerichte entlastet werden.
Gegen den unlauteren Wettbewerb verstößt, wer einer gesetzlichen Vorschrift zuwiderhandelt, welche auch dazu bestimmt ist, im Interesse der Marktteilnehmer das Marktverhalten zu regeln. Darüber hinaus muss der Verstoß geeignet sein, die Interessen von Verbrauchern, sonstigen Marktteilnehmern oder Mitbewerber spürbar zu beinträchtigen.

Hieran knüpft der erste strittige Punkt, denn es ist zum aktuellen Zeitpunkt noch nicht geklärt, ob die Artikel der DSGVO als Marktverhaltensregeln gelten. Die DSGVO selbst enthält dazu keine klare Aussage. Die juristische Literatur war bereits nach alten Recht mehrheitlich der Ansicht, dass datenschutzrechtliche Normen im Einzelfall als Marktverhaltensregeln gelten können, hieran hat sich durch die DSGVO nichts geändert.

Der zweite Streitpunkt ist, ob die DSGVO-Regelung, nach der die Sanktionsmöglichkeiten der Aufsichtsbehörden vorbehalten sind, diese nicht so abschließend regelt, so dass eine andere Art der Rechtsdurchsetzung wie etwa durch Abmahnungen ausgeschlossen wäre.
Hier gibt es aktuell in der Literatur zwei Lager, welche diese Meinung entweder teilen oder ablehnen.

Inzwischen ergingen mehrere Urteile in dieser Sache, auf die im Weiteren eingegangen werden soll.

Gerichtliche Entscheidungen

1. LG Würzburg: Beschluss vom 13.09.2018 – 11 O 1741/18 UWG
   

   Abmahnfähigkeit bejaht

Abgemahnt wurde hier eine Rechtsanwältin, welche eine Homepage betrieb, offensichtlich ohne eine ausreichende Datenschutzerklärung vorzuweisen. Dies wurde vom Gericht ebenso moniert wie die Tatsache, dass die Homepage ein Kontaktformular vorwies, ohne dass die Webseite verschlüsselt gewesen wäre.

Das Gericht nahm hier unter Bezugnahme auf Urteile des OLG Hamburg und OLG Köln, welche sich noch auf die Rechtslage vor DSGVO bezogen an, dass diese Verstöße auch wettbewerbsrechtliche Verstöße sind und daher von Wettbewerbern abgemahnt werden können.

Allerdings ist das Gericht sehr dürftig in seiner Begründung, auch daher weil es als reiner Beschluss daherkommt und keine mündliche Verhandlung erfolgte. Auf die Frage, warum DSGVO-Verstöße Marktverhaltensregeln darstellen sollen wird vom Gericht in keiner Weise eingegangen.

2. LG Bochum – Urteil vom 7.8.2018 – AZ I-12 O 85/18

   Abmahnfähigkeit verneint

Zugrunde lag hier eine Abmahnung gegen einen Onlineshopbetreiber im Bereich von Druckerzeugnissen und Werbemitteln durch einen Mitbewerber.
Neben einer Reihe von fehlerhaften oder fehlenden Klauseln in der AGB wurde vom Abmahner auch das Fehlen von Pflichtinformationen aus Art. 13 DSGVO angegriffen, etwa die Kontaktdaten des Verantwortlichen oder die Information über das Bestehen der Betroffenenrechte.
Während die Richter die Rechtswidrigkeit der AGB-Klauseln bestätigte, lehnten sie dies für die Datenschutzbestimmungen ab.

Das Bochumer Gericht folgte hier der Begründung, dass die DSGVO in ihren Sanktionsmöglichkeiten der Aufsichtsbehörde bzw. der Möglichkeit des Betroffenen sich zu wehren abschließend ist, und daher ein Vorgehen durch Mitbewerber ausgeschlossen ist.

3. OLG Hamburg – Urteil vom 24.10.2018 – 3 U 66/17

   Abmahnfähigkeit bejaht

Im hier zu entscheidenden Fall wehrte sich eine Pharmafirma gegen die Praxis eines Mitbewerbes, auf den Bestellbögen von Therapieallergenen keine Einwilligung der Patienten in die Datenverarbeitung der Gesundheitsdaten einzuholen.

In der ersten Instanz des Landgerichts Hamburg hatte die Klage Erfolg, die Richter hatten die entsprechenden Regelungen im alten Bundesdatenschutzgesetz als Marktverhaltensregelungen eingestuft.
In der Berufung  vor dem OLG Hamburg machte das beklagte Pharmaunternehmen unter anderen geltend, dass die nun in Kraft getretene DSGVO Verstöße abschließend regelt, und daher die Klage des Mitbewerbers ausgeschlossen wäre.

Die Hamburger Richter lehnten diese Ansicht jedoch ab. Die DSGVO-Regeln zu Sanktionen habe keinen abschließenden Charakter der Abmahnungen verhindert.
Interessanter Weise lehnte der Senat jedoch die Ansprüche des Klägers ab, da es zwar ein Datenschutzverstoß annahm, im konkreten Fall sei jedoch keine marktverletzende Regelung betroffen. Denn weder würden Patienten hier als Verbraucher und Marktteilnehmer angesprochen, noch würde mit der Regelung zur Einwilligung in die Verarbeitung von Gesundheitsdaten bezweckt, dass Marktteilnehmer unter gleichen Marktbedingungen agieren.

4. LG Wiesbaden – 05.11.2018, Az. 5 O 214/18

   Abmahnfähigkeit verneint

Hier waren die Streitparteien zwei Auskunfteien – die Klägerin wollte die Beklagte daran hindern, unzureichende Auskünfte an Betroffene zu erteilen.

Das Landgericht Wiesbaden sah die Klägerin jedoch nicht als klageberechtigt an, da es, dem Landgericht Bochum folgend und sich auch auf dieses explizit beziehend, die DSGVO-Sanktionsmöglichkeiten als abschließend wertet, eine Abmahn- bzw. Klagefähigkeit eines Mitbewerbers sei daher ausgeschlossen.

5. LG Magdeburg – Urteil vom 18.Januar 2019

   Abmahnfähigkeit verneint

Hier wehrten sich Apotheker gegen eine Internetapotheke, welche über Amazon apothekenpflichtige Medikamente verkauft. Neben Verstößen gegen apothekenspezifische Gesetze und Verordnungen rügten die Kläger in deren Abmahnung auch Verstöße gegen den Datenschutz.

Das Landgericht Magdeburg erklärte die Apotheker bezüglich des Datenschutzes für nicht klagebefugt, und stellte ebenfalls auf den abschließenden Charakter der Sanktionsmöglichkeiten Datenschutzgrundverordnung ab.

Zwischenfazit:

Aktuell steht es vor deutschen Gerichten also 2:3
Während das LG Würzburg und das OLG Hamburg zu dem Schluss kommen, dass die Sanktionsregeln der DSGVO nicht abschließend sind und daher eine Abmahnfähigkeit von Datenschutzverstößen grundsätzlich bejahen, lehnen die Landgerichte aus Bochum, Wiesbaden und Magdeburg dies ab.
Bezüglich der Frage ob ein Datenschutzverstoß marktverhaltensregelnd sein kann, wird im Wesentlichen davon ausgegangen, dass dies sein kann, jedoch vom konkreten Fall abhängt.

Zum aktuellen Zeitpunkt ist die Frage der Abmahnfähigkeit von Datenschutzverstößen gerichtlich also noch völlig ungeklärt, auch das mit dem OLG Hamburg eine höhere Instanz dies bejaht hat, muss hier noch nichts heißen. Da es sich hier um eine europarechtliche Frage handelt, kann sie letztendlich nur der EUGH abschließend beantworten. Möglicher Weise findet das Gericht dazu schon bald Gelegenheit. Mehr dazu und Initiativen auf gesetzlicher Ebene im Folgenden:

Vorstehende EUGH-Entscheidung:

Aktuell ist beim EUGH ein Verfahren anhängig, bei dem es zwar nicht sicher aber doch wahrscheinlich ist, dass er auch zur Abmahnfähigkeit von Datenschutzverstößen Stellung nimmt.
Zugrunde liegt hier die Klage einer Verbraucherzentrale gegen über einen Onlineshop, da dieser den Facebook-Like-Button einsetzte, und damit Daten an Facebook übertragen wurden, auch ohne das der Besucher mit dem Button interagierte. (Näheres zu dieser Problematik hier)
Hier war eine der Fragen, welche dem EUGH vorgelegt wurde, auch, ob es europarechtlich zulässig ist, dass gegen Datenschutzstöße nicht nur durch Sanktionsmöglichkeiten der Aufsichtsbehörden und die Betroffenenrechte sondern auch durch gemeinnützige Verbände vorgegangen werden kann.

Es gilt abzuwarten wie das oberste europäische Gericht hier entscheidet, jedoch hat der EUGH in der Vergangenheit meist die Auslegung gewählt, bei welcher die Rechtsdurchsetzung des Unionsrechts am wirkungsvollsten scheint, was für ein Bejahen der Abmahnfähigkeit sprechen würde

Politische Gesetzesinitiativen

Schon früh gab es aus der großen Koalition Bestrebungen den Befürchtungen von DSGVO-Abmahnungen den Wind aus den Segeln zu nehmen. Von Unionsseite gab es Bestrebungen deklatorisch DSGVO-Abmahnungen auszuschließen, die SPD wollte jedoch lieber missbräuchliche Abmahnungen im Ganzen eindämmen.
Hierzu gibt es einen aktuellen Gesetzesentwurf des Bundesjustizministeriums, dieser befasst sich nicht mit DSGVO-Abmahnungen, soll jedoch mit verschiedenen Maßnahmen die Hürden für Abmahnungen zu erhöhen.
Vom Freistaat Bayern wurde ein Gesetzentwurf in den Bundesrat eingebracht, der u.a. das UWG um eine Klausel ergänzt hätte, dass DSGVO-Verstöße hiervon nicht betroffen wären, konnte sich jedoch damit nicht durchsetzen.

Fazit:

Ob Datenschutzverstöße abgemahnt werden können, ist aktuell weiterhin nicht vollständig geklärt. Die deutschen Gerichte sind sich uneinig, eine anstehendes Urteil des EUGH könnte hier möglicherweise mehr Klarheit bringen, jedoch ist aktuell noch unklar, wann dieses ergeht und wie deutlich die europäischen Richter hier werden.
Auch auf deutscher Gesetzesebene gibt es Versuche, DSGVO-Abmahnern oder auch missbräuchlichen Abmahnern den Wind aus den Segel zu nehmen, auch hier kann zum aktuellen Zeitpunkt jedoch noch nicht sicher gesagt werden, wo die Reise hingeht.
Bis jetzt ist auch die große DSGVO-Abmahnwelle ausgeblieben, wohl auch wegen der Unklarheit gab es zwar vereinzelte Abmahnungen in diesen Bereich aber eben nicht in höherer Zahl.
Gleichwohl sollte man dies nicht zum Anlass nehmen, Datenschutz auf die leichte Schulter zu nehmen. Denn in jeden Fall bleibt die Möglichkeit einer Datenschutzbehörde, ein Unternehmen bei signifikanten Datenschutzverstößen mit einem Bußgeld zu versehen. Und dieses kann mit einer maximalen Höhe von 20 Millionen bzw. 4% des weltweiten Umsatzes deutlich höher ausfallen als eine Abmahnung kosten würde.

Der Beitrag Abmahnfähigkeit von Verstößen gegen die DSGVO erschien zuerst auf Protected Shops.

Inhaltsübersicht:

1. Erste DSGVO-Bußgelder in Deutschland & Europa
2. EUGH-Urteil zu Facebook-Fanpage
3. VGH München- Einsatz von Facebook Custum Audiences ist datenschutzwidrig.
4. Amtsgericht Urteil zu DSGVO-Schadensersatz bei einmaliger unerlaubter E-Mailwerbung
5. BGH – Kundenzufriedenheitsanfrage per E-Mail erfordert grundsätzlich Einwilligung
6. Brexit: Großbritannien möglicherweise bald Drittland

1. Erste DSGVO-Bußgelder in Deutschland & Europa

Es dauerte eine Weile, aber inzwischen sind die ersten Bußgelder auf Basis der DSGVO einer deutschen Datenschutzaufsichtsbehörde verhängt worden. Der erste bekannte Fall betraf den Betreiber des Internet-Portals Knuddels.de, einer Social-Media / Chatplattform für Jugendliche, dieser musste Ende November 2018 20.000€ zahlen, da dort durch Hacker eine sechsstellige Anzahl Passwörter entwendet wurde, welche unzureichend geschützt waren. So waren die Passwörter im Klartext, also unverschlüsselt gespeichert.

20.000€ sind deutlich weniger als die Maximalhöhe von 20 Millionen € oder auch 4 % des weltweit erzielten Jahresumsatz eines Unternehmens, welche die DSGVO erlauben würde.
Die Aufsichtsbehörde begründete dies jedoch mit der hohen Kooperationsbereitschaft des betroffenen Unternehmens und der sofortigen Umsetzung von technischen Maßnahmen durch das Unternehmen. Auch habe das Unternehmen für die IT-Sicherheit und der Geldbuße insgesamt eine sechsstellige Summe aufwenden müssen.

Dies zeigt zum einen, dass das Verhängen von Bußgeldern keine theoretische Gefahr ist, es sich aber lohnt, im Falle eines Datenschutzverstoßes bestmöglich mit der Datenschutzaufsichtsbehörde zu kooperieren. Was bei einer Datenpanne zu tun ist, erfahren Sie hier.

80.000€ musste ein Unternehmen ebenfalls in Baden-Württemberg entrichten, da Gesundheitsdaten im Internet landeten.

In Nordrhein-Westfalen wurden bereits über 30 Bußgelder verhängt, allerdings noch in geringer Höhe.
Im vor kurzem veröffentlichten Tätigkeitsbericht von der baden-württembergischen Datenschutzbehörde wurde verlautet dass in einer Vielzahl von Fällen die Ermittlungen noch andauern, einige der Verfahren jedoch bald zum Abschluss kommen würden.
In Frankreich wurde gegen Google gar ein Bußgeld in Höhe von 50 Millionen wegen intransparenten Informationen zur Datenverarbeitung von der dortigen Datenschutzbehörde verhängt, gegen welches der Konzern jedoch vorgeht.

Die meisten Bußgelder erfolgen dabei aufgrund von Beschwerden durch Betroffene, welche die Aufsichtsbehörden zum Ermitteln zwingen.

2. EUGH-Urteil zu Facebook-Fanpage

Am 05. Juni 2018 hatte der EUGH über die Nutzung von Facebook-Fanpages zu entscheiden. Hintergrund war ein Streit zwischen der schleswig-holsteinischen Datenschutz-Aufsichtsbehörde und der Wirtschaftskammer des Bundeslandes. Der Landesdatenschützer hatte der Wirtschaftskammer das Betreiben einer Facebook-Fanpage untersagt, welche sich gegen diese Anordnung gerichtlich wehrte.
Eine Facebook-Fanpage kann von Unternehmen oder auch Privatpersonen verwendet werden, um mit Facebook-Mitgliedern in Kontakt zu treten. Wenn ein Facebook-Nutzer die Fanpage abonniert, bekommt er Nachrichten von dieser in seinem Newsfeed bei Facebook angezeigt.
Die Aufsichtsbehörde störte sich hier insbesondere an „Facebook Insight“, eine Trackingfunktion die von Facebook zur Verfügung gestellt wird, und sowohl Facebook als auch dem Fanpage-Betreiber Informationen über die mit der Seite interagierenden Facebook-Nutzern gab.
Unklar war vor dem EUGH-Urteil, ob hierfür Facebook allein datenschutzrechtlich verantwortlich ist oder ob auch der Betreiber der Fanpage mitverantwortlich wäre.

Die europäischen Richter entschieden, anders als die deutschen Gerichte, auf eine gemeinsame Verantwortlichkeit von Facebook und dem Seitenbetreiber der Fanpage. Denn erst durch das Erstellen der Fanpage durch den Betreiber würden die Datenverarbeitungen dort realisiert. Das Urteil erging zwar noch nach alter Rechtslage, ist jedoch direkt auf die DSGVO übertragbar.

An dem Status des (gemeinsamen) Verantwortlichen hängt eine Reihe von Pflichten und Auflagen für ein Unternehmen.
Insbesondere bedeutet das Urteil, das ein Unternehmen, welches eine Fanpage betreibt,  die umfassenden Informationspflichten der DSGVO zur Verarbeitung der Daten erfüllen muss, obwohl es auf die Datenverarbeitungen durch Facebook weder Einfluss noch genaue Erkenntnisse hat.
Auch können Nutzer grundsätzlich sowohl an Facebook als auch an das Unternehmen, welches die Fanpage betreibt herantreten um ihre Rechte wie etwa das Auskunftsrecht wahrzunehmen.

Aktuell ist weiterhin nicht abschließend geklärt, ob das Betreiben einer Fanpage zulässig ist, darüber muss das Bundesverwaltungsgericht, welches die europarechtlichen Fragen an den EUGH übergab nun anhand der Vorgaben entscheiden.
Von der Datenschutzkonferenz(DSK), der Konferenz der deutschen Datenschutzaufsichtsbehörden kam relativ schnell die Aussage, dass das Betreiben von Fanpages rechtwidrig wäre. Allerdings hat dies erstmal keine rechtliche Wirkung, sondern ist eben die Ansicht der Datenschutzaufsichtsbehörden, die sich bei gerichtlicher Klärung auch als falsch herausstellen könnte.

Auch Facebook reagierte, und stellt seit 11. September ein sogenanntes „Page Controller Addendum“ zur Verfügung. Hier akzeptiert Facebook die Hauptverantwortlichkeit, Unternehmen die Facebook Pages betreiben müssen jedoch die eigene Rechtsgrundlage für die Verarbeitung der Insight-Tracking Daten bestimmen, einen eigenen Verantwortlichen benennen und Nutzeranfragen oder Kontaktanfragen der Aufsichtsbehörde an Facebook weiterleiten.

Wichtig ist, insbesondere, eine Datenschutzerklärung in der Facebook-Fanpage einzubinden, in welcher auf das Page Controller Addendum hingewiesen wird. Hier muss eine Rechtsgrundlage angegeben werden, im Normalfall kommt hier ein berechtigtes Interesse in Betracht.

Aktuell ist nicht bekannt, dass Datenschutzbehörden wegen der Verwendung von Facebook Fanpages Bußgelder ausgesprochen haben, gleichwohl bleibt das Thema präsent. Insbesondere sobald das Urteil des Bundesverwaltungsgerichtes vorliegt kann dies erneut an Fahrt gewinnen.
Letztendlich muss jedes Unternehmen für sich entscheiden, ob der Marketingnutzen der Fanpage das potentielle Risiko eines Bußgeldes wett macht.

Fazit:

Das Betreiben einer Facebook-Fanpage ist aktuell nicht völlig ohne Risiko. Nach Ansicht der Datenschutzaufsichtsbehörden ist dies nicht datenschutzkonform möglich. Ob sich diese Ansicht durchsetzt wird sich erst noch herausstellen, in jedem Fall sollte jedes Unternehmen eine aktuelle Datenschutzerklärung in Ihre Fanpage einbinden.

3. VGH München- Einsatz von Facebook Custum Audiences ist datenschutzwidrig.

Mit Facebook Custom Audiences lassen sich beispielsweise Kundenlisten bei Facebook hochladen. Die Daten werden dabei mit einem sogenannten Hash-Verfahren verschlüsselt, Facebook gleicht die ebenso verhashten Facebook-Nutzer ab und erlaubt somit eine gezielte Ansprache von bzw. Werbung an (ehemalige(n)) Kunden.
An diesen Verfahren störte sich die bayrische Datenschutzbehörde für den nicht öffentlichen Bereich, sie untersagte einem bayrischen Online-Shop die weitere Nutzung und forderte die Löschung der bestehenden Listen.
Der betroffene Online-Shop wehrte sich gerichtlich, verlor jedoch sowohl vor dem VG Bayreuth als auch in der nächsten Instanz, dem VGH München.

Die übergebenen Daten wären weder ausreichend pseudonymisiert noch anonymisiert, da Facebook ja in der Lage ist, diese seinen Nutzern zuzuordnen. Hier läge auch keine Auftragsdatenverarbeitung vor, da Facebook hier nicht nur ausführendes Organ ist, letztendlich entscheidet Facebook wem Werbung präsentiert wird. Daher müsste eine Rechtsgrundlage vorliegen, eine solche sei hier nicht einschlägig. Letztendlich könnte diese Weitergabe auch nur über eine informierte Einwilligung eingeholt werden.

Fazit:
Aktuell kann von einem Einsatz von Facebook Custom Audiences nur abgeraten werden.
Denn dafür wäre wohl eine vorherige Einwilligung des betroffenen Kunden notwendig, es ist jedoch nicht denkbar wie diese sinnvoll eingeholte werden würde, und welcher Kunde darin so einwilligen würde. Ein Einsatz ohne Einwilligung jedoch ist aktuell wohl nicht zulässig und angesichts der potentiellen Bußgelder ein riskantes Unternehmen.

4. Amtsgericht Urteil zu DSGVO-Schadensersatz bei einmaliger unerlaubter E-Mailwerbung

Etwas beruhigen kann Newsletterversender das Urteil des AG Diez (Urt. v. 07.11.2018 -8 C 130/18). Dies hatte zu entscheiden, ob und in welcher Höhe ein Betroffener auf Basis der DSGVO Schadensersatz verlangen kann, wenn ihm eine unerlaubte Werbenachricht erreicht.
Der Kläger hatte vom Beklagten eine E-Mail erhalten, worin dieser in Hinblick auf die DSGVO eine Einwilligung zum Newsletterbezug erfragte. Da er aber wohl vorher keine Einwilligung eingeholt hatte, war diese E-Mail unzulässig, der Empfänger forderte daher einen Schadensersatz.
Der Beklagte zahlte zwar ohne Anerkenntnis außergerichtlich 50€, der Kläger forderte jedoch mindestens 500€ und zog dafür vors Gericht.

Grundsätzlich gewährt die DSGVO einer Person dessen Daten in irgendeiner Weise missbraucht wurden ein Schadensersatzanspruch.
Das Amtsgericht sah diesen jedoch hier kaum einschlägig, da dieser nicht für Bagatellverstöße ohne wirklichen Schaden gelten könne. Erforderlich wären ein spürbarer Nachteil und eine Beeinträchtigung von persönlichkeitsbezogenen Belangen. Durch eine einzige unerwünschte E-Mail würde kein nennenswerter Schaden entstehen. Da bereits vorgerichtlich 50€ geflossen waren, hielt das Gericht jedenfalls mit dieser Summe einen etwaigen Schaden für beglichen.

Zwar ist dies erst ein Urteil eines Amtsgerichts, dennoch ist es begrüßenswert, dass aus einer einmaligen unerwünschten E-Mail hier kein hohes Haftungsrisiko erwuchs.

5. BGH – Kundenzufriedenheitsanfrage per E-Mail erfordert grundsätzlich Einwilligung

Im zugrundeliegenden Fall wehrte sich ein Kunde gegen eine Email eines Amazon Marketplace Händlers, bei dem er zuvor ein Produkt gekauft hatte.
Der Amazon-Händler schickte ihm seine Rechnung und forderte ihn in dieser E-Mail darüber hinaus auf, ihn positiv zu bewerten. Hiergegen wehrte sich der Kunde wegen unerlaubter Zusendung von Werbung.
Der BGH bei dem der Fall schlussendlich landete erklärte das Vorgehen des Amazon-Händlers für rechtswidrig. Ein Kundenzufriedenheitsanfrage sei als Direktwerbung einzustufen und darf somit nur mit vorheriger ausdrücklicher Einwilligung verschickt werden.

Insbesondere hilft es aus Sicht der Richter nichts, die Kundenanfrage mit einer zulässigen Information wie den Rechnungsversand zu verbinden. Auch wenn die Zusendung einer Rechnung ohne Einwilligung zulässig ist, darf diese nicht zur Werbung missbraucht werden.

Dieses Urteil ging zwar noch nach altem Datenschutzrecht, ist jedoch problemlos übertragbar.

Fazit:
Kundenzufriedenheitsanfragen sind nach Ansicht des BGH klar Werbung und dürfen nur mit vorheriger Einwilligung verschickt werden. Auch ein Verknüpfen mit sachlich zulässigem E-Mailkontakt wie dem Zusenden einer Rechnung ändert hieran nichts.
Selbst ein bloßer Link im E-Mail-Footer welcher zur Bewertung auffordert sollte unterblieben, sofern keine Einwilligung vorliegt. Was Sie bei der Einwilligung zu beachten haben, erfahren Sie hier.

6. Brexit: Großbritannien möglicherweise bald Drittland

   Es sind nur noch wenige Wochen, nach wie vor ist jedoch völlig unklar ob es zum 29.03.2019 noch zu einem geregelten Abkommen zwischen der EU und Großbritannien kommt, zu einem ungeregelten Bruch oder zu einer Verschiebung der Frist.
   Sollte die Frist jedoch nicht verlängert werden, und es kein eigenes Datenschutzabkommen geben, und ein solches war zumindest bisher nie Thema der öffentlichen gewordenen Diskussion, so würde Großbritannien ab Ende März zum Datenschutzrechtlichen Drittland.

Dies betrifft alle Unternehmen, die Daten nach Großbritannien übertragen, etwa weil diese einen britischen Dienstleister einsetzen(z.B. Einsatz von Paymentdienstleister Skrill).

Für Datenübertragungen in Drittländer außerhalb der EU gelten nach der DSGVO besondere Regeln
Eine Datenübertragung wäre unproblematisch, so die EU-Kommission einem Land ein angemessenes Schutzniveau bescheinigen. Solche Garantien gibt es bereits für Länder wie die Schweiz, Norwegen, Kanada oder die USA(Privacy-Shield), ob Großbritannien jedoch eine solche (rechtzeitig) erhalten würde, ist mehr als fraglich.

Ansonsten bedarf es in den meisten Fällen eigenen Abkommen zwischen dem verantwortlichen Unternehmen und dem Auftragsverarbeiter, welche sicherstellen dass die Daten ausreichend geschützt sind. Am häufigsten kommen hier sogenannte Standardvertragsklauseln der EU-Kommission zum Einsatz.
So Daten auf Basis einer Einwilligung ans Drittland übertragen werden sollen, muss der Betroffene bei Einwilligungserteilung ausdrücklich informiert werden dass die Weitergabe ohne Angemessenheitsbeschluss oder andere Garantie erfolgt und er über die möglichen Risiken aufgeklärt werden.
Unproblematisch ist allerdings die Datenübermittlung, so diese zur Erfüllung oder Abschluss eines Vertrages erforderlich ist. Dies ist etwa der Fall bei einer Bestellung in ein Nicht-EU-Land wo durch den Versand eine Datenverarbeitung durch den nicht-europäischen Versanddienstleister erfolgt.

Fazit:

Angesichts der zerfahrenen Verhandlungen und den großen innenpolitischen Zerwürfnissen innerhalb Großbritanniens ist die Gefahr eines Austretens ohne Abkommen wahrlich nicht klein.
Unternehmen sollten daher schon jetzt prüfen, ob diese britische Dienstleister einsetzen oder andersweitig Daten nach Großbritannien übertragen.
Ist dies der Fall, sollten Vorkehrungen getroffen werden, etwa ein Abschluss eines neuen Auftragsverarbeitungsvertrag mit dem Dienstleister auf Basis der Standardvertragsklauseln der EU-Kommission.

Der Beitrag Die ersten Monate  DSGVO – Ein Überblick erschien zuerst auf Protected Shops.