Sehr geehrte Damen und Herren,

die Datenschutz-Aufsichtsbehörde in Nordrhein-Westfalen hat zu Beginn des Jahres eine Umsetzungshilfe zu den Informationspflichten der DSGVO veröffentlicht. In der Umsetzungshilfe werden verschiedene Maßnahmen beschrieben, wie Unternehmen die gesetzlichen Informationspflichten bei der Erhebung personenbezogener Daten erfüllen können. Auch wir haben das Thema Informationspflichten unter der DSGVO bereits im April 2017 ausführlich beleuchtet.

In diesem Monat vertiefen wir dieses Thema und befassen uns mit den gesetzlichen Anforderungen bei der Erhebung geschäftlicher Kontaktdaten, insbesondere Visitenkarten.

Daneben berichten wir natürlich wie gewohnt über die wichtigsten Neuigkeiten der vergangenen Wochen zum Thema Datenschutz.

Bei Rückmeldungen zu diesem Newsletter oder Fragen im Zusammenhang mit den Themen des Newsletters können Sie sich an die E-Mail-Adresse datenschutz@brandi.net wenden. Die weiteren Kontaktdaten finden Sie auch auf unserer Homepage; wir freuen uns auf Ihr Feedback.

Viel Freude mit der Lektüre unseres Newsletters wünscht Ihnen

Dr. Sebastian Meyer und das Datenschutzteam von BRANDI Rechtsanwälte

Thema des Monats: Erhebung geschäftlicher Kontaktdaten unter der DSGVO

Im Geschäftsverkehr spielen persönliche Kontakte eine wichtige Rolle. Somit ist auch die Verwendung geschäftlicher Kontaktdaten ein wesentlicher Bestandteil jeder unternehmerischen Tätigkeit. Außer Acht gelassen wird dabei vielfach, dass auch geschäftliche Kontaktdaten dem datenschutzrechtlichen Schutz unterliegen. Zwar sind die dienstlichen E-Mail-Adressen und Telefonnummern nicht so schützenwert wie private Kontaktdaten, dennoch handelt kann es sich auch bei geschäftlichen Kontaktdaten um personenbezogene Daten im Sinne von Art. 4 Nr. 1 DSGVO, wodurch das Datenschutzrecht dann sachlich anwendbar ist.

Geschäftliche Kontaktdaten unterliegen den datenschutzrechtlichen Bestimmungen, wenn es sich um personenbezogene Daten handelt. Geschützt sind demnach nur solche Informationen, die sich unmittelbar oder mittelbar auf eine natürliche Person beziehen, beispielsweise die dienstlichen Telefonnummern und E-Mail-Adressen von Mitarbeitern. Die Firmenanschrift und die allgemeinen Kontaktdaten einer juristischen Person (etwa die Telefonnummer der Zentrale oder eine allgemeine E-Mail-Adresse wie info@firma.de) sind im Regelfall keine personenbezogenen Daten, da sich diese nur auf die juristische Person insgesamt und nicht auf eine natürliche Person beziehen. Dieser Aspekt wird in den Erwägungsgründen der DSGVO ausdrücklich klargestellt (Erwägungsgrund 14).

Eine abweichende Bewertung ergibt sich nicht schon dadurch, dass die juristische Person nach einer konkreten Person benannt ist (etwa „Max Mustermann GmbH“). Auf der anderen Seite ergibt sich aber ein hinreichender Personenbezug immer dann, wenn tatsächlich eine konkrete Person „hinter“ der juristischen Person steht. Ist in dem vorgenannten Beispiel Max Mustermann etwa alleiniger Geschäftsführer und Gesellschafter der nach ihm benannten GmbH, so sind alle Informationen zu dieser Gesellschaft  mittelbar auch Daten zu seiner Person (Gola, DSGVO, 2. Aufl. 2018, Art. 4 Rn. 25).

Zum vollständigen Schwerpunktthema

Bundeskartellamt untersagt Facebook die Zusammenführung von Nutzerdaten

Das Bundeskartellamt hat dem US-Unternehmen Facebook weitreichende Beschränkungen bei der Verarbeitung von Nutzerdaten auferlegt. Facebook wird im Wesentlichen untersagt, dass es die Nutzung seines sozialen Netzwerks davon abhängig macht, dass Facebook Daten aus seinen anderen Diensten, z.B. WhatsApp oder Instagram, mit den Facebook-Nutzerkonten verknüpft und diese Daten weitergehend verwendet. Auch Vertragskonditionen, nach denen Facebook auf Drittseiten oder über mobile Apps dritter Anbieter umfangreiche personenbezogene Daten erheben und verknüpfen darf, wurden untersagt. Facebook hat zwölf Monate Zeit, das beanstandete Verhalten abzustellen.

Seiner Entscheidung hat das Bundeskartellamt die Einschätzung zugrunde gelegt, dass Facebook auf dem Markt der sozialen Netzwerke marktbeherrschend ist. Durch die Sammlung, Verwertung und Zusammenführung der Daten auf den Nutzerkonten und aus den anderen Diensten habe Facebook seine Marktmacht missbraucht. Dabei hat das Bundeskartellamt die europäischen Datenschutzvorschriften als Maßstab für den Missbrauch herangezogen.

Facebook hat bereits Beschwerde beim OLG Düsseldorf gegen die Entscheidung des Bundeskartellamts eingelegt. Eine Begründung der Beschwerde liegt bisher noch nicht vor. In seiner ersten Reaktion auf die Entscheidung hatte Facebook aber bereits verschiedene Argumente vorgebracht. So könne erstens nicht von einer marktbeherrschenden Stellung ausgegangen werden, da Facebook mit anderen Apps wie z.B. YouTube, Snapchat oder Twitter in einem „harten Wettbewerb“ um die Aufmerksamkeit der Nutzer stehe. Zweitens würden die Vorgaben der DSGVO von Facebook stets eingehalten werden. Drittens würde der Austausch der Nutzerdaten über die verschiedenen Dienste der Sperrung von Nutzerkonten zur Bekämpfung von Terrorismus und Kindesmissbrauch sowie zur Verhinderung von Wahlmanipulationen dienen.

Mehr Informationen zum Verfahren, den Hintergründen und zur Entscheidung des Bundeskartellamts finden sich in einem veröffentlichten Hintergrundpapier der Behörde.

Kammergericht: Verschiedene Datenschutzbedingungen von Apple sind rechtswidrig

Das Kammergericht Berlin hat entschieden, das insgesamt acht Klauseln in den Datenschutzbedingungen der Apple Sales International datenschutzwidrig sind (Urteil vom 27.12.2018, Az. 23 U 196/13). Die beanstandeten Klauseln seien mit den wesentlichen Grundgedanken der DSGVO nicht vereinbar. Danach ist eine Verarbeitung personenbezogener Daten nur dann erlaubt, wenn die Betroffenen in die Datenverarbeitung eingewilligt haben oder eine andere Rechtsgrundlage vorliegt. In den beanstandeten Datenschutzbedingungen werde dagegen der Eindruck vermittelt, Apple sei zur Verarbeitung der Nutzerdaten berechtigt, ohne das hierfür eine nach Auffassung des Gerichts erforderliche Einwilligung vorliegen müsse. Diese Darstellung sei mit den Wertungen aus Art. 6 Abs. 1 DSGVO nicht vereinbar. Die Klauseln sind deswegen mit Hinblick auf die Klauselverbote des § 307 Abs. 1 BGB unwirksam.

Die Apple Sales International ist eine Tochtergesellschaft des amerikanischen Apple-Konzerns, die insbesondere für den Vertrieb von Appleprodukten in Europa zuständig ist. In den als „Datenschutzrichtlinie“ bezeichneten Datenschutzbedingungen wurde unter anderem die Erfassung von Standortdaten, die Verarbeitung der Nutzerdaten und die Datenweitergabe an Dritte geregelt.

Das Kammergericht legt in seiner Entscheidung die Annahme zugrunde, dass die in den beanstandeten Klauseln beschriebenen Datenverarbeitungen nur auf Basis einer Einwilligung datenschutzrechtlich zulässig sind. Eine Auseinandersetzung mit der Frage, ob sich die Verarbeitungen nicht möglicherweise auch aufgrund einer Interessenabwägung durchführen lassen, erfolgt nicht, obwohl dies zumindest für einen Teil der Klauseln nicht grundsätzlich abwegig scheint. 

Das Kammergericht bestätigte mit seinem Urteil weitgehend die zuvor ergangene Entscheidung des Landgerichts Berlin. Das Kammergericht hat die Revision nicht zugelassen und das Urteil für vorläufig vollstreckbar erklärt. Apple hat bereits angekündigt, gegen diese Entscheidung mit einer Nichtzulassungsbeschwerde vorzugehen.

Kultusministerkonferenz kritisiert WhatsApp-Einsatz an Schulen

Auf der Kultusministerkonferenz wurde der Einsatz von WhatsApp an deutschen Schulen kritisiert. Der Präsident der Kultusministerkonferenz erklärte, der Austausch zwischen Lehrern und Eltern bzw. Lehrern und Schülern über WhatsApp sei datenschutzrechtlich bedenklich. Auf die Übertragung von personenbezogenen Daten, wie z.B. Krankmeldungen oder Noten der Schüler, solle deswegen möglichst verzichtet werden.

Der datenschutzkonforme Einsatz von WhatsApp beschäftigt neben Schulen auch Unternehmen. Wir haben zu diesem Thema bereits im März des vergangenen Jahres ausführlich Stellung genommen.

In eigener Sache: Vorstellung von Herrn Félix Paul

Félix Paul unterstützt seit Februar 2019 das BRANDI-Team in Bielefeld als wissenschaftlicher Mitarbeiter im Bereich Datenschutz und IT-Recht.

Félix Paul studiert Rechtswissenschaft an der Universität Bielefeld. Parallel zum Studium beendet Félix Paul aktuell den Bachelor Recht und Management. Während des Studiums wurde er von der Stiftung Studienfonds OWL im Rahmen des Deutschlandstipendiums gefördert. Herr Félix Paul ist zweisprachig aufgewachsen und spricht fließend Deutsch und Französisch. Er bildete sich während des Studiums im französischen Recht weiter und arbeitete an der französischen Übersetzung des Münchener Kommentars zum internationalen Straßenverkehrsrecht mit.

Félix Paul unterstützt das Datenschutz-Team von BRANDI insbesondere bei der Erstellung von Verfahrensdokumentationen und bei der Prüfung von Vereinbarungen zur Auftragsverarbeitung.