Probleme bei der Darstellung des Newsletters? Dann klicken Sie hier für die Webansicht


Newsletter zum Datenschutz

Sehr geehrte Damen und Herren,

eine im Auftrag des Bundesministeriums für Wirtschaft und Energie (BMWi) durchgeführte Studie hat ergeben, dass ein Viertel aller mittelständischen Unternehmen noch keine Verschlüsselungstechniken zum Schutz ihrer Kommunikation und ihrer Speicher verwendet. Um insbesondere kleine und mittelständische Unternehmen bei der Einführung entsprechender Schutzmaßnahmen zu unterstützen, hat das BMWi einen Leitfaden zur IT-Verschlüsselung veröffentlicht, der auf knapp 50 Seiten verschiedene Verschlüsselungsmöglichkeiten beschreibt. 

Neben dem Schutz der Kommunikation in Unternehmen stellen sich auch datenschutzrechtliche Fragen bezüglich der eingesetzten Kommunikationsmittel. Vor diesem Hintergrund beschäftigen wir uns in unserem Schwerpunktthema für diesen Monat mit dem Einsatz des Messenger-Dienstes WhatsApp in Unternehmen und damit einhergehenden Problemen. Zudem berichten wir Ihnen wie gewohnt von Urteilen sowie anderen Neuigkeiten aus der Welt des Datenschutzes. 

Noch ein Hinweis in eigener Sache: Bereits in unserem letzten Newsletter haben wir Ihnen unser Mandantenseminar am 27. April 2018 angekündigt. Über unsere Homepage können Sie sich nun über das Programm informieren und sich offiziell für die Veranstaltung anmelden. 

Bei Rückmeldungen zu diesem Newsletter oder Fragen im Zusammenhang mit den Themen des Newsletters können Sie sich an die E-Mail-Adresse datenschutz@brandi.net wenden. Die weiteren Kontaktdaten finden Sie auch auf unserer Homepage; wir freuen uns auf Ihr Feedback. Viel Vergnügen bei der Lektüre dieser Ausgabe!

Dr. Sebastian Meyer und das Datenschutzteam von BRANDI

Thema des Monats: Einsatz von WhatsApp in Unternehmen

Der Messenger-Dienst WhatsApp erfreut sich größter Beliebtheit. Vor diesem Hintergrund stellt sich oftmals die Frage, welche datenschutzrechtlichen Anforderungen beim Einsatz von WhatsApp im Unternehmensumfeld eingehalten werden müssen. Es sind dabei unterschiedliche Konstellationen zu unterscheiden: In einem Fall soll WhatsApp von Mitarbeitern zur Verwendung auf dienstlichen Mobilgeräten installiert werden. In einem anderen Fall wird WhatsApp auf privat genutzten Geräten der Mitarbeiter verwendet, die aber auch für dienstliche Zwecke genutzt werden dürfen. Die letztgenannte Fallgestaltung betrifft daher das Konzept "Bring your own device" ("BYOD"). 

Zunächst ist in beiden Fällen zu beachten, dass die Nutzungsbedingungen von WhatsApp nur eine private Nutzung des Dienstes gestatten. Soweit die Applikation im Unternehmen verwendet werden soll, ist hierfür eine Genehmigung der WhatsApp Inc. einzuholen. 

Zusätzlich stellen sich beim Einsatz von WhatsApp verschiedene datenschutzrechtliche Probleme. Durch die Installation von WhatsApp erteilt der Nutzer typischerweise der WhatsApp-Applikation die Berechtigung, die Kontaktdaten des eingesetzten Mobilgeräts auszulesen. Die im Adressbuch gespeicherten personenbezogenen Daten (Telefonnummern) werden dann in regelmäßigen Abständen an die WhatsApp-Server in den USA übermittelt. Letztlich initiiert der Anwender durch die Installation und weitere Nutzung von WhatsApp also eine andauernde Übermittlung der im Adressbuch gespeicherten Daten in die USA. 

Soweit im Adressbuch auf dem Mobilgerät eines Mitarbeiters dienstliche Kontaktdaten hinterlegt sind, ist in aller Regel das Unternehmen für die Verarbeitung dieser personenbezogenen (Kontakt-) Daten verantwortlich. Folglich kann es dem Unternehmen zugerechnet werden, wenn ein Mitarbeiter durch die Installation von WhatsApp die Daten in die USA überträgt. Da regelmäßig keine Einwilligung aller gespeicherten Kontakte in eine solche Übertragung ihrer Daten vorliegt, ist die Installation von WhatsApp letztlich eine rechtswidrige Datenverarbeitung der gespeicherten Kontaktdaten. Dies kann Bußgelder oder zukünftig unter der DSGVO auch möglicherweise Schadenersatzansprüche der Betroffenen begründen. 

Auf unserer Internetseite finden Sie in gewohnter Weise ausführliche Hinweise und Erläuterungen zu unserem Schwerpunktthema, insbesondere auch ausführliche Informationen und Empfehlungen zur rechtskonformen Verwendung von WhatsApp in Unternehmen.  

Datenschutzvorfälle bei Swisscom und Unitymedia

Das Schweizer Telekommunikationsunternehmen Swisscom wurde bereits im vergangenen Herbst Opfer eines Datendiebstahls, bei dem Kontaktdaten von ca. 800.000 Kunden gestohlen wurden. Das Unternehmen gab dies unlängst in seinem Cyber Security Report für das Jahr 2017 bekannt. Die unbekannten Täter haben danach die Zugangsdaten (Login-Name und Passwort) eines Vertriebsmitarbeiters erbeutet und diese zum Eindringen in das Netzwerk verwendet. 

Bei Unitymedia hat Ende Februar ein technischer Defekt dazu geführt, dass Kunden nach dem Login im Kundenkonto auf die Rechnungen anderer Kunden zugreifen konnten. In einer Stellungnahme hat der Kabelnetzbetreiber den Vorfall bestätigt. Die angezeigten Rechnungen variierten offenbar bei jedem Login ins Kundencenter. Es wurden immer Rechnungen anderen Kunden angezeigt, ohne dass genaue Erläuterungen zu den Hintergründen des Vorfalls erfolgten. Unitymedia steht hierzu nach eigenen Angaben mit den zuständigen Behörden in Kontakt.

Beide Fälle beschreiben typische Szenarien von Datenschutzvorfällen, die in ähnlicher Form eine Vielzahl von Unternehmen treffen können. Unternehmen sollten die Meldungen zum Anlass nehmen, die eigenen Datenschutzmaßnahmen hinsichtlich dieser Vorfallszenarien zu überprüfen. Unter der Datenschutzgrundverordnung müssen derartige Datenschutzvorfälle insbesondere innerhalb von 72 Stunden an die zuständigen Aufsichtsbehörden gemeldet werden, wenn ein hohes Risiko für die Rechte der Betroffenen droht. Eine Einhaltung dieser Frist wird nur dann möglich sein, wenn zuvor ein klares Vorgehen bei Datenschutzvorfällen in den Unternehmen geregelt wurde. 

BGH: Einwilligung in die Kontaktaufnahme zu Werbezwecken verschiedener Werbekanäle 

Der Bundesgerichtshof (BGH) hat zu den Anforderungen an Einwilligungen in die Kontaktaufnahme zu Werbezwecken verschiedener Werbekanäle geurteilt (Urteil vom 01.02.2018, Az: III ZR 196/17). Inhaltlich ging es um eine Einwilligungserklärung, mit der Kunden in den Erhalt von Werbeinformationen "zur individuellen Kundenberatung bis zum Ende des Kalenderjahres, das auf die Beendigung des jeweiligen Vertrages folgt" über "E-Mail, Telefon, SMS oder MMS" eingewilligt haben. Die Klägerin hielt die Klausel insbesondere wegen eines Verstoßes gegen das AGB- und Wettbewerbsrecht für unwirksam und verwies unter anderem darauf, die Formulierung "zur individuellen Kundenberatung" sei zu unbestimmt für eine wirksame Einwilligung. 

Der BGH teilte diese Auffassung nicht. Entgegen den sonst hohen Anforderungen an die Bestimmtheit von Einwilligungen genügte dem BGH im vorliegenden Fall die allgemeine Bezugnahme auf den zugrundeliegenden Hauptvertrag. Im konkreten Fall sei dem Kunden sowohl der Vertragspartner als Telekommunikationsunternehmen als auch dessen Produktpalette ausreichend bekannt, sodass hinreichend bestimmt sei, auf welche Art von Angeboten sich die Klausel bezieht. Auch die benannten Kommunikationswege seien verständlich beschrieben. Der Rechtmäßigkeit der Einwilligung stehe es auch nicht entgegen, dass durch eine Einwilligung zugleich in den Erhalt von Informationen über mehrere Werbekanäle eingewilligt wird. 

Noch vor einem Jahr hatte der BGH vergleichsweise hohe Anforderungen an die hinreichende Bestimmtheit von Einwilligungserklärungen gestellt (wir berichteten). Der entscheidende Unterschied zum damaligen Fall dürfte darin liegen, dass sich die Einwilligungserklärung in diesem Fall lediglich auf Werbung durch den Vertragspartner selbst bezieht und die Einwilligung nicht auf Werbung durch Dritte ausgeweitet wurde. Insoweit dürfte die Einschätzung des BGH zutreffend sein, dass der Kunde seinen Vertragspartner bereits kennt und daher die Anforderungen an die Bestimmtheit der  Einwilligungserklärung in diesen Fällen geringer sind. 

Unternehmen sollten dennoch die Entscheidung zum Anlass nehmen, ihre eigenen Einwilligungserklärungen zur Durchführung von Werbemaßnahmen zu überprüfen. Insbesondere die Tatsache, dass nach Ansicht des BGH eine Einwilligung für mehrere Werbekanäle genügen kann, dürfte bei vielen Unternehmen für Rechtssicherheit sorgen. Bisher war diese Frage nicht höchstrichterlich geklärt. 

LG Frankfurt zu den Mindestanforderungen an vertragliche Auftragsdatenverarbeitungen

Das Landgericht Frankfurt a.M. (LG Frankfurt) hat sich mit Urteil vom 19. Januar 2017 (Az: 2-03 O 65/16) zu den Mindestanforderungen an das Kontrollrecht in Vereinbarungen zur Auftragsverarbeitung geäußert. Der Kläger (Beteiligter an einem Verkehrsunfall) trug vor, dass das beklage Unternehmen (regulierende Versicherung) seine personenbezogenen Daten zu Unrecht an einen Dienstleister übermittelt habe. Bezüglich der zwischen dem Unternehmen und dem Dienstleister abgeschlossenen Vereinbarung zur Auftragsverarbeitung gemäß § 11 BDSG wandte der Kläger ein, diese erfülle nicht die gesetzlichen Anforderungen. Zum einen habe die Versicherung keine Vorab-Kontrolle des Dienstleisters durchgeführt; zum anderen seien etwaige Kontrollen des Dienstleisters nicht ausreichend schriftlich dokumentiert worden. 

Das LG Frankfurt folgte der Argumentation des Klägers nicht. Das beklagte Unternehmen habe ich in der Vereinbarung ausdrücklich ein Kontrollrecht vorbehalten. Selbst wenn dieses nicht ordnungsgemäß durchgeführt worden sei, führe dies allein nicht direkt zur Unwirksamkeit der Vereinbarung zur Auftragsdatenverarbeitung. Die Datenübermittlung erfolgte deswegen rechtmäßig aufgrund der schriftlichen Vereinbarung zur Auftragsverarbeitung zwischen Unternehmen und Dienstleister. Die Klage des Klägers wurde daher abgewiesen. 

Das Urteil gibt Unternehmen Rechtssicherheit im Umgang mit Dienstleistern. Oftmals überlegen sich Unternehmen mit Hinblick auf die entstehenden Kosten sehr gründlich, ob sie eine Vorabkontrolle bei einem Dienstleister durchführen wollen. Soweit sich keine Hinweise zeigen, die Anlass zu datenschutzrechtlichen Bedenken geben, dürfen Unternehmen auch weiterhin auf die Vorabkontrolle verzichten.