Probleme bei der Darstellung des Newsletters? Dann klicken Sie hier für die Webansicht


Newsletter zum Datenschutz

Sehr geehrte Damen und Herren,

im Rahmen einer Studie des Händlerbunds wurden 380 Händler zur bevorstehenden Rechtsänderung durch die Datenschutz-Grundverordnung befragt. Dabei gaben 72 % der Befragten an, sie hätten noch gar nicht oder kaum von der anstehenden Rechtsänderung gehört. Mehr als zwei Drittel der Befragten rechnet im Falle von Verstößen gegen das neue Datenschutzrecht mit geringen Bußgeldern, Abmahnungen oder gar keinen Konsequenzen. Lediglich 10 % der Händler fühle sich gut oder sehr gut auf das neue Datenschutzrecht vorbereitet. Der Händlerbund hat zentrale Ergebnisse der Studie in einer Infografik zusammengefasst.

Damit Sie gut auf die Anforderungen der Datenschutz-Grundverordnung vorbereitet sind, greifen wir mit unserem Newsletter jeden Monat ein datenschutzrechtliches Thema auf und erläutern im Rahmen des Schwerpunktthemas die zukünftigen Regelungen genauer. In diesem Monat befassen wir uns mit dem neuen Bundesdatenschutzgesetz, das verbleibende Lücken der DSGVO ausfüllt und die vorgesehen Öffnungsklauseln nutzt. Dabei vergleichen wir unter anderem die zukünftigen Anforderungen an Unternehmen mit den bisherigen Regelungen. Zusätzlich berichten wir in gewohnter Weise auch über weitere aktuelle Entwicklungen im Datenschutzrecht, insbesondere über die Aktivitäten des Gesetzgebers, der Gerichte und der Aufsichtsbehörden.

Bei Rückmeldungen zu diesem Newsletter oder Fragen im Zusammenhang mit den Themen des Newsletters können Sie sich dabei an die E-Mail-Adresse datenschutz@brandi.net wenden. Die weiteren Kontaktdaten finden Sie auch auf unserer Homepage; wir freuen uns auf Ihr Feedback. Viel Vergnügen bei der Lektüre dieser Ausgabe!

Dr. Sebastian Meyer und das Datenschutzteam von BRANDI

 

Thema des Monats: Das neue Bundesdatenschutzgesetz

Am 05.07.2017 wurde die Neufassung des Bundesdatenschutzgesetz (BDSG-neu) im Bundesgesetzblatt veröffentlicht (BGBl. I 2017, Nr. 44). Das BDSG-neu tritt mit der Datenschutz-Grundverordnung (DSGVO) am 25.05.2018 in Kraft. Die DSGVO ist als europäische Verordnung unmittelbar anwendbares Recht in Deutschland, weswegen es keines nationalen Umsetzungsaktes durch die Mitgliedsstaaten bedarf. Mit dem neuen Bundesdatenschutzgesetz nutzt der deutsche Gesetzgeber vielmehr den gesetzgeberischen Spielraum, der ihm durch die DSGVO verbleibt. Dabei handelt es sich insbesondere um die rechtliche Ausgestaltung der Themen, für die in der DSGVO ausdrücklich eine individuelle Regelung durch die Mitgliedsstaaten vorgesehen ist (Öffnungsklauseln).

Der deutsche Gesetzgeber hat sehr weitgehend die Inhalte der Regelungen des bisherigen BDSG beibehalten. Dies war jedoch nur dort möglich, wo diese Regelungen mit den Bestimmungen der DSGVO vereinbar sind. Durch das Inkrafttreten des BDSG-neu ergeben sich einige Änderungen im Bezug auf die Datenverarbeitung in Deutschland.

Auf unserer Internetseite finden Sie ausführliche Hinweise und Erläuterungen zu unserem Schwerpunktthema, insbesondere auch eine Zusammenfassung der wichtigsten Änderungen durch das BDSG-neu.

 

BMI veröffentlicht englische Fassung des BDSG-neu

Das Bundesministerium des Inneren hat die offizielle englische Übersetzung des neuen Bundesdatenschutzgesetzes veröffentlicht . Diese Fassung kann von allen internationalen Unternehmen verwendet werden, um Konzern- und Partnerunternehmen im Ausland hinsichtlich der Besonderheiten des zukünftigen deutschen Datenschutzrechts zu informieren. Von Relevanz ist die englische Fassung auch zur Unterrichtung von ausländischen Geschäftspartnern, die sich über die besondere Regelung in Deutschland informieren müssen.

 

VG Köln: Fahrerbewertungsportal datenschutzrechtlich unzulässig

Mit Urteil vom 16.02.2017 hat das Verwaltungsgericht Köln (VG Köln, Az. 13 K 6093/15) entschieden, dass das Recht auf informationelle Selbstbestimmung der in einem Bewertungsportal bewerteten Personen das Interesse der Portalnutzer und des Portalbetreibers überwiegt.

Im konkreten Fall wurde ein kostenloses Bewertungsportal für Autofahrer betrieben, in dem Nutzer das Fahrverhalten anderer Autofahrer unter Angabe des Kfz-Kennzeichens bewerten konnten. Zusätzlich konnten Nutzer durch die Eingabe von Kfz-Kennzeichen die jeweils durchschnittliche Bewertungen dieses Verkehrsteilnehmers im Portal abfragen. Nach Angaben der Portalbetreiber sollten Fahrer hierdurch im Rahmen der Selbstreflektion bezüglich ihres Fahrverhaltens und der Sicherheit im Straßenverkehr sensibilisiert werden. Der Landesbeauftragte für Datenschutz und Datensicherheit NRW (LDI NRW) hielt dies Ausgestaltung des Portals für datenschutzrechtswidrig und erteilte unterschiedliche Auflagen im Rahmen einer Anordnung. Gegen diese Anordnung klagte der Portalbetreiber.

Das VG Köln folgte der Argumentation des LDI NRW. Das Fahrerbewertungsportal greife in das Recht auf informationelle Selbstbestimmung ein, da es sich bei Autokennzeichen um ein personenbeziehbare Daten handelt. Die Gestaltung des Portals, dass jeder Nutzer die Bewertung zu jedem Kfz-Kennzeichen abfragen kann, führt zum Risiko einer Prangerwirkung für die Betroffenen. Für jeden Nutzer sei es zudem möglich, unabhängig von tatsächlichen Beobachtungen unrichtige negative Bewertungen abzugeben, die das Fahrverhalten einer Person unrichtigerweise als schlecht darstellen. Dabei spiele auch eine Rolle, dass der Betroffene im Zweifel keine Kenntnis über die Datenverarbeitung und Profilbildung in dem Bewertungsportal habe, soweit er nicht zufällig sein eigenes Kennzeichen im Portal überprüft. Der Vorgang sei damit zu intransparent.

Das VG Köln bestätigte im Ergebnis die Anordnung des LDI NRW, nach der das Portal derartig zu verändern ist, dass nur registrierte Nutzer ihr eigenes Kfz-Kennzeichen überprüfen können. Gegen das Urteil wurde von dem Portalbetreiber Berufung eingelegt. Das Verfahren vor dem Oberverwaltungsgericht ist aktuell anhängig (Az. 16 A 770/17); wann eine Entscheidung in der Berufungsinstanz ergehen wird, ist noch nicht absehbar.

 

AG München zu Telefonbetrug: Keine Erstattungspflicht durch Banken bei TAN-Phishing

Das Amtsgericht München hat entschieden, dass es grob fahrlässig ist, in einem Telefongespräch eine Überweisungstransaktionsnummer (TAN) weiterzugeben (AG München, Urteil vom 05.01.2017, Az. 132 C 49/15). Banken müssen Bankkunden den entstandenen Schaden in diesen Fällen nicht ersetzen.

Im vorliegenden Fall hatte ein Bankkundin ein gefälschte E-Mail erhalten, in der angekündigt wurde, ihr Zugang zum Direktbanking würde bald auslaufen, soweit Sie ihre Daten online nicht bestätige. Die Kundin klickte den in der E-Mail befindlichen Link und gab in einer Eingabemaske ihren Namen, ihre Kontonummer und ihre Telefonnummer an. Am Tag darauf wurde sie angerufen, wobei sich die Anruferin als Mitarbeiterin der Bank ausgab. Die Anruferin erklärte, die Kundin werde gleich zur weiteren Aktivierung ihres Direktbankings eine SMS erhalten, in der eine Nummer übermittelt würde. Diese Nummer solle sie der Anruferin mitteilen. Die Kundin erhielt daraufhin eine SMS mit dem Inhalt „ Die mobile TAN für Ihre Überweisung von 4.444,44 Euro auf das Konto [IBAN] lautet: 253844“. Die Kundin teile diese Ziffernfolge der Anruferin mit.

Trotz Sperrung des Kontos und Erstattung einer Anzeige konnte die Kundin das überwiesene Geld nicht zurück erlangen. Die Bank weigerte sich den Schaden zu ersetzen und verwies auf das grob fahrlässige Verhalten der Kundin. Die Kundin erhob Klage vor dem AG München.

Das Gericht teilte die Einschätzung der Bank. Die SMS habe einen deutlichen Hinweis erhalten, für welchen Verwendungszweck die TAN bestimmt sei. Im vorliegenden Fall hätte es „im Allgemeinen jedem einleuchten“ müssen, dass es sich um eine TAN handelt, deren Weitergabe nach § 675 Abs. 1 BGB wie auch nach den vertraglichen Bedingungen unzulässig ist und die Gefahr einer missbräuchlichen Überweisung mit sich bringt.

Immer wieder versuchen Betrüger die technische Unerfahrenheit von Privatpersonen und Mitarbeitern in Unternehmen auszunutzen. Unternehmen sollten die Entscheidung zum Anlass nehmen, über Schulungsmaßnahmen im Bereich IT-Sicherheit nachzudenken. Ein anderer Betrugsversuch im Unternehmensumfeld läuft darauf hinaus, durch gefälschte E-Mails, die angeblich von der Geschäftsführung stammen, Überweisungen durch die Buchhaltung für angebliche Projekte zu veranlassen.

 

Unterlagen der Aufsichtsbehörden zur DSGVO

Verschiedene Aufsichtsbehörden haben zuletzt Unterlagen und Hilfestellungen zu den Rechtsänderungen durch das Inkrafttreten der DSGVO veröffentlicht.

Die Datenschutzkonferenz der unabhängigen Datenschutzbeauftragten des Bundes und der Länder hat mittlerweile acht Kurzpapiere veröffentlicht, unter anderem zu den Themen „Datenverarbeitung für Werbung“ und zum datenschutzrechtlichen „Marktortprinzip“.

Das Bayrische Landesamt für Datenschutz hat bereits 20 Kurzpapiere erstellt, in denen verschiedene Themen wie beispielsweise die Auftragsdatenverarbeitung oder das Recht auf „Vergessenwerden“ unter Geltung der DSGVO dargestellt werden.

Der Hessische Datenschutzbeauftragte bietet eine Informationsbroschüre zum behördlichen und betrieblichen Datenschutzbeauftragten nach dem neuen Datenschutzrecht zum Download an.

Der Landesbeauftragte für Datenschutz und Informationsfreiheit NRW hat eine kurze Übersicht zusammengestellt, die Unternehmen als Anregung zur Vorbereitung auf das Inkrafttreten der DSGVO dienen soll. 

Die Hinweise der Aufsichtsbehörden sind eine gute Hilfestellung, um ein Gefühl für die Sichtweise der Behörde und deren Schwerpunkte zu erhalten.

 

Britische Regierung veröffentlicht Positionspapier zum Datenschutz nach dem Brexit

Die britische Regierung hat ein Positionspapier veröffentlicht, in dem es eine enge Zusammenarbeit zum Thema Datenschutz mit der EU für die Zeit nach dem Ausscheiden von Großbritannien aus der EU in Aussicht stellt. Ein wesentlicher Schritt zur Angleichung der datenschutzrechtlichen Vorschriften an die EU sei die bereits im Juni angekündigte Überarbeitung des britischen Data Protection Act. Ziel sei es, dass das britische Datenschutzrecht spätestens beim Austritt Großbritanniens aus der EU mit den Regelungen der DGSVO gleichläuft. Für die Zeit nach dem Brexit plane die britische Regierung den Abschluss eines multilateralen datenschutzrechtlichen Abkommens mit der EU, in dem analog zum EU-US-Privacy-Shield die Adäquanz des datenschutzrechtlichen Niveaus bescheinigt wird.

 

Berliner Datenschutzbeauftragte zum Datenschutz bei Lieferdiensten

Nach Berichten des Spiegel gibt es bei der Berliner Beauftragten für Datenschutz eine Häufung von datenschutzrechtlichen Beschwerden über Lieferdienste. Die Kunden hätten zumeist Beschwerden bezüglich unzureichender oder unterbliebener Löschung ihrer Kundendaten eingereicht. Teilweise sei den Löschungsbegehren nach dem Einschalten der Aufsichtsbehörde entsprochen worden, teilweise laufen die Verfahren noch.

Die Lieferdienste seien auch bereits mit den Aufsichtsbehörden der anderen Bundesländer thematisiert worden. Die Berliner Datenschutzbeauftragte habe dabei eine „koordinierte Prüfaktion bei Essenlieferdiensten“ zur Sensibilisierung für das Thema Datenschutz vorgeschlagen.

Insbesondere Unternehmen in dieser Branche sollten die Meldung zum Anlass nehmen, ihre eigenen datenschutzrechtlichen Aktivitäten auf Aktualität zu überprüfen.