Probleme bei der Darstellung des Newsletters? Dann klicken Sie hier für die Webansicht


Newsletter zum Datenschutz

Sehr geehrte Damen und Herren,

bis zur Anwendbarkeit der neuen Bestimmungen der Datenschutz-Grundverordnung (DSGVO) sind es jetzt nur noch weniger als vier Monate. Für Unternehmen, die sich bisher noch nicht intensiver mit den anstehenden Änderungen befasst haben, wird die Zeit langsam knapp. Als Orientierungshilfe und zur Selbsteinschätzung kann unter anderem unsere Informationsveranstaltung dienen, die wir am 27. April 2018 - also einen Monat vor dem Stichtag - anbieten. Außerdem informieren wir Sie selbstverständlich weiterhin in unserem Datenschutz-Newsletter. Unser Schwerpunktthema in diesem Monat ist das neue Verzeichnis der Verarbeitungstätigkeiten unter der DSGVO und die Unterschiede gegenüber dem bisherigen Verfahrenssverzeichnis nach dem BDSG. Zudem berichten wir Ihnen wie gewohnt von Urteilen, Aktivitäten der Aufsichtsbehörden sowie anderen Neuigkeiten aus der Welt des Datenschutzes.

Bei Rückmeldungen zu diesem Newsletter oder Fragen im Zusammenhang mit den Themen des Newsletters können Sie sich an die E-Mail-Adresse datenschutz@brandi.net wenden. Die weiteren Kontaktdaten finden Sie auch auf unserer Homepage; wir freuen uns auf Ihr Feedback. Viel Vergnügen bei der Lektüre dieser Ausgabe!

Dr. Sebastian Meyer

Informationsveranstaltung zur DSGVO im April 2018

Am 27. April 2018 organisiert BRANDI Rechtsanwälte eine Informationsveranstaltung zur DSGVO. Als Gastredner wird Herr Dr. Stefan Brink, der Landesbeauftragte für den Datenschutz und die Informationsfreiheit in Baden-Württemberg, über das Thema "Sanktionen durch die Aufsichtsbehörden" sprechen. Außerdem erhalten Sie von verschiedenen Rechtsanwälten aus dem Datenschutzteam weitere Informationen über zentrale Aspekte der DSGVO. Anschließend stehen Ihnen alle Referenten noch für Gespräche zur Verfügung. Wir würden uns freuen, Sie zu der Veranstaltung begrüßen zu dürfen und empfehlen Ihnen, sich den Termin schon einmal freizuhalten. Weitere Informationen zu der Veranstaltung sowie die Möglichkeit zur Anmeldung finden Sie in Kürze unter www.brandi.net.

Thema des Monats: Verzeichnis der Verarbeitungstätigkeiten

Die Erstellung und Pflege des Verzeichnisses der Verarbeitungstätigkeiten ist eine der zentralen Grundpflichten für Unternehmen unter der Datenschutz-Grundverordnung (DSGVO). Unternehmen müssen ab dem 25. Mai 2018 die Einhaltung der datenschutzrechtlichen Grundsätze bei der Verarbeitung von personenbezogenen Daten nachweisen können, Art. 5 Abs. 2 DSGVO ("Rechenschaftspflicht"). In Erwägungsgrund 82 der DSGVO heißt es ausdrücklich, Verantwortliche und Auftragsverarbeiter sollen ein Verzeichnis der Verarbeitungstätigkeiten führen, die ihrer Zuständigkeit unterliegen. Dieses Verzeichnis muss den Aufsichtsbehörden auf Anfrage zur Verfügung gestellt werden, damit diese anhand des Verzeichnisses die Verarbeitungstätigkeiten überprüfen können (Art. 30 Abs. 4 DSGVO, Erwägungsgrund 82 DSGVO).

Das Verzeichnis der Verarbeitungstätigkeiten entspricht inhaltlich weitgehend dem bisherigen Verarbeitungsverzeichnis, weist aber teilweise auch Unterschiede auf. Anders als im aktuellen BDSG gliedert sich das Verzeichnis der Verarbeitungstätigkeiten nicht in einen öffentlichen und einen internen Teil. Vielmehr gibt es zukünftig nur noch ein Verzeichnis der Verarbeitungstätigkeiten für den internen Gebrauch; das sogenannte "öffentliche Verfahrensverzeichnis" gemäß § 4e BDSG entfällt ersatzlos. Tatsächlich hatte das öffentliche Verfahrensverzeichnis auch nur einen sehr begrenzten Informationsgehalt, da es zumeist äußerst generisch formuliert war. Im Gegenzug werden aber die Informationspflichten für das interne Verzeichnis der Verarbeitungstätigkeit ausgeweitet.

Auf unserer Internetseite finden Sie in gewohnter Weise ausführliche Hinweise und Erläuterungen zu unserem Schwerpunktthema, insbesondere auch ausführliche Informationen zu den Inhalten und Anforderungen an das Verzeichnis der Verarbeitungstätigkeiten durch die DSGVO.

OVG Saarlouis zur Videoüberwachung in Apotheken

Eine Videoüberwachung in einer Apotheke, die auch den öffentlichen Kundenbereich erfasst, kann rechtmäßig durchgeführt werden, wenn dafür sachliche Gründe bestehen. Dies hat das Oberverwaltungsgericht Saarlouis in einem Urteil aus Dezember 2017 entschieden (OVG Saarlouis, Urt. v. 12.12.17, Az.: 2 A 662/17) und damit die Entscheidung der Vorinstanz aufgehoben (VG Saarlouis, Urt. v. 29.01.2016, Az.: 1 K 1122/14).

Im konkreten Fall hatte eine Apotheke drei Videoüberwachungskameras installiert, nachdem es in der Vergangenheit zu Diebstählen in einer Gesamthöhe von 44.000 Euro gekommen war. Die zuständige Aufsichtsbehörde hielt dies für datenschutzrechtlich unzulässig und ordnete die Unterlassung der Videoüberwachung an. Mit seiner Klage wendete sich der Apotheker gegen diese Anordnung. Während er in erster Instanz unterlag, gab das OVG Saarlouis dem klagenden Apotheker recht.

Das OVG Saarlouis stellt insbesondere auf den Gesamtwert der gestohlenen Waren und darauf ab, dass die kleinen Produkte in den Regalen vergleichsweise leicht gestohlen werden können. Der Einsatz von Wachpersonal sei zudem keine Alternative für den Kläger, da dies wirtschaftlich nicht zumutbar sei. Im Ergebnis habe der Apotheker damit berechtigte Interessen, auch den öffentlichen Kundenbereich per Videoüberwachung zu überwachen.

Unternehmen sollten die Entscheidung zum Anlass nehmen, die eigenen Anlagen zur Videoüberwachung hinsichtlich der datenschutzrechtlichen Zulässigkeit zu überprüfen. Dabei sollten insbesondere die Gründe für die Einführung der Videoüberwachung ausführlich dokumentiert werden, damit im Falle einer späteren Überprüfung die Notwendigkeit gerechtfertigt werden kann.

OLG Frankfurt a.M.: Datenschutzverstöße bei Adresskauf

Der datenschutzwidrige Verkauf von Adressdaten kann zu einer Unwirksamkeit des zugrundeliegenden Kaufvertrages führen. Dies entschied das Oberlandesgericht Frankfurt a.M. in einer Entscheidung aus dem letzten Monat (OLG Frankfurt a.M., Urteil vom 24.01.2018, Az. 13 U 165/16).

Im konkreten Fall hatte die Klägerin, ein auf den Adresshandel spezialisiertes Unternehmen, für 15.000 Euro Adressdaten gekauft. Diese Daten wurden der Klägerin auf einem USB-Stick übergeben. Nachdem über das Vermögen des Verkäufers das Insolvenzverfahren eröffnet wurde, hat der Insolvenzverwalter den Server, auf dem die Adressdaten rekonstruierbar waren, an ein drittes Unternehmen verkauft. Dieses nutzte die ca. 1 Mio. E-Mail-Adressen für Werbe-E-Mails des Internetdienstes "sexpage.de". Die Klägerin vertrat die Ansicht, durch die Nutzung für den Dienst "sexpage.de" hätten die erworbenen Kundendaten 2/3 ihres Wertes verloren. Sie klagte deswegen gegen den Insolvenzverwalter auf Zahlung von Schadenersatz und Unterlassung.

In erster Instanz sprach das Landgericht Darmstadt (Urteil vom 21.07.2016, Az. 16 O 272/11) der Klägerin diesen Schadenersatzanspruch zu. Vor dem OLG Frankfurt a.M. hatte die gegen dieses Urteil gerichtete Berufung des beklagten Insolvenzverwalters Erfolg. Nach Ansicht des OLG Frankfurt a.M. sei der dem Adresskauf zugrundeliegende Kaufvertrag nichtig. Der Vertrag verpflichte die Parteien zu einem unlauteren, wettbewerbs- und datenschutzrechtswidrigen Verhalten. Insbesondere läge keine Einwilligung der Betroffenen oder eine andere Rechtsgrundlage für die Datenübertragung vor. Auch könne sich die Klägerin nicht auf das Listenprivileg aus § 28 Abs. 3 S. 2 BDSG stützen, da dieses nur für "zusammengefasste Daten von Angehörigen einer bestimmten Personengruppe" einschlägig sei. Ein solcher Fall sei vorliegend aber nicht gegeben. Die Klägerin könne zudem gemäß § 817 Abs. 1 BGB auch nicht den gezahlten Kaufpreis herausverlangen, da sie in Kenntnis der Gesetzwidrigkeit des Vertrages gehandelt habe. Das Urteil ist noch nicht rechtskräftig.

Allen Unternehmen, die Adresshandel betreiben, ist zu empfehlen, dass sie die Einhaltung der datenschutzrechtlichen Vorgaben beim Datenkauf sicherstellen und die einschlägigen Rechtsgrundlagen genau überprüfen. Die Thematik ist grundsätzlich für alle Fälle relevant, bei denen Datenbestände entweder isoliert oder im Zuge einer Unternehmenstransaktion übertragen werden.

LAG Berlin-Brandenburg: Außerordentliche Kündigung wegen Weiterleitung dienstlicher E-Mails

Die unberechtigte Weiterleitung dienstlicher E-Mails kann eine außerordentliche Kündigung durch den Arbeitgeber rechtfertigen (LAG Berlin-Brandenburg, Urt. v. 16.05.2017 - Az.: 7 SA 38/17).

Im konkreten Fall hatte ein Mitarbeiter umfangreich berufliche E-Mails an ein privates E-Mail-Konto weitergeleitet. Zugleich verhandelte er mit einem Wettbewerber um einen Arbeitsplatzwechsel. Auf Nachfrage erklärte der Mitarbeiter, er habe in der Vergangenheit mehrfach E-Mails weitergeleitet, um von Zuhause aus arbeiten zu können.

Nach Auffassung des Landesarbeitsgerichts Berlin-Brandenburg ist die Weiterleitung der E-Mails an den privaten Account eine schwere Verletzung der arbeitsvertraglichen Nebenpflichten, wenn der Weiterleitung kein diesbezüglicher Auftrag des Arbeitgebers zugrunde liegt. Auch hätte der Mitarbeiter seinen zur Verfügung gestellten betrieblichen Laptop verwenden können, um von Zuhause aus auf das Firmennetzwerk zugreifen zu können. Eine Weiterleitung sei damit für die vom Mitarbeiter vorgebrachte Heimarbeit gar nicht erforderlich gewesen. Insgesamt sei die außerordentliche Kündigung in diesem Fall gerechtfertigt gewesen.

Alle Unternehmen sollten die Entscheidung zum Anlass nehmen, ihre Mitarbeiter hinsichtlich der Weiterleitung geschäftlicher E-Mails an private E-Mail-Adressen zu sensibilisieren. Unabhängig von der arbeitsrechtlichen Bewertung dürfte eine umfangreiche Weiterleitung personenbezogener Daten durch Mitarbeiter auf private E-Mail-Konten regelmäßig einen Datenschutzverstoß darstellen, der dem Unternehmen zuzurechnen ist. Dies gilt jedenfalls dann, wenn die Sicherheit der übertragenen Daten auf den Zielsystemen nicht sichergestellt ist, was regelmäßig der Fall sein dürfte.

LDI NRW veröffentlicht Checkliste zur DSGVO

Der Landesbeauftragte für Datenschutz und Informationsfreiheit NRW hat eine Checkliste zur Umsetzung des neuen Datenschutzrechts veröffentlicht. Die Checkliste richtet sich insbesondere an kleinere und mittlere Unternehmen und soll helfen, die Bereiche zu identifizieren, in denen durch die Gesetzesänderungen besonders viel Handlungsbedarf besteht.

Kreditkartendaten von 40.000 Kunden bei OnePlus gestohlen

Wie aus einer Mitteilung des Smartphone-Herstellers OnePlus hervorgeht, war es unbekannten Angreifern gelungen, einen Schadcode auf einer Bezahlseite des Unternehmens zu installieren, der über zwei Monate lang die von Kunden eingegebenen Kreditkartendaten auslesen konnte. OnePlus verarbeitete die Kreditkartendaten wohl direkt über eine eigene Bezahlseite, anstatt die Zahlung über eine Seite eines Bezahldienstleisters abzuwickeln. Dies machten sich die Angreifer vermutlich zunutze. Das Unternehmen rät allen Kunden, ihre Kreditkartenabrechnungen hinsichtlich eines etwaigen Missbrauchs zu überprüfen. Der eingeschleuste Schadcode habe sämtliche eingegebenen Daten, einschließlich des Card Validation Codes (CVC), entwenden können. Einige Kunden berichteten bereits über unautorisierte Abbuchungen von ihren Kreditkarten, die womöglich Folge des Datendiebstahls sind.

Allen Unternehmen, die ihren Kunden Kreditkartenzahlungen ermöglichen, sollten die eigenen Sicherheitsvorkehrungen zum Schutz der Kreditkartendaten überprüfen. Idealerweise werden Kreditkartendaten gar nicht auf eigenen Servern verarbeitet, sondern lediglich über Bezahldienstleister, die die Kreditkartendaten auf eigenen Unterseiten erheben. Diese Gestaltung hat zudem den Vorteil, dass weniger Pflichten aus dem Payment-Card-Industry Data Security Standard (PCI-DSS) erfüllt werden müssen.