Probleme bei der Darstellung des Newsletters? Dann klicken Sie hier für die Webansicht


Newsletter zum Datenschutz

Sehr geehrte Damen und Herren,

eine Studie des Digitalverbands Bitkom von Ende September 2018 kommt zu dem Ergebnis, dass nur ein Viertel aller Unternehmen die Umsetzung der Anforderungen der Datenschutz-Grundverordnung (DSGVO) vollständig abgeschlossen hat. Das Ergebnis basiert auf einer Auswertung der Antworten von 502 Datenschutzverantwortlichen in Unternehmen (Datenschutzbeauftragte, Geschäftsführer, Leiter IT). Weitere 40 % haben die Umsetzung der DSGVO immerhin „größtenteils abgeschlossen“. Lediglich 8 % der Befragten gaben an, bisher noch nicht oder erst kürzlich mit der Anpassung auf die Anforderungen der DSGVO begonnen zu haben.

Die größte Herausforderung bei der Umsetzung der DSGVO ist nach Auffassung der Teilnehmer an der Umfrage die Rechtsunsicherheit bei der Anwendung der neuen Datenschutzbestimmungen (65 %). Fast die Hälfte der Teilnehmer (47 %) bemängelt zudem, dass es nur wenige praktische Umsetzungshilfen zur Umsetzung der Anforderungen der DSGVO gibt.

Mit unserem Newsletter möchten wir auch vor diesem Hintergrund einen Beitrag zur Reduzierung der Rechtsunsicherheit leisten sowie Ihnen – insbesondere im Rahmen unseres monatlichen Schwerpunktthemas – praktische Empfehlungen an die Hand geben bzw. auf Umsetzungshilfen Dritter verweisen. In diesem Monat analysieren wir beispielsweise genauer, in welchen Konstellationen von einer gemeinsamen Verantwortlichkeit für die Datenverarbeitung ausgegangen werden kann. Wir erläutern dazu die wegweisende Entscheidung des Europäischen Gerichtshofs (EuGH) zur gemeinsamen Verantwortlichkeit zwischen Facebook und dem jeweiligen Betreiber einer Fanpage bei Facebook. Wie gewohnt berichten wir Ihnen ebenfalls über aktuelle Urteile, Aktivitäten der Aufsichtsbehörden und andere Neuigkeiten aus der Welt des Datenschutzes.

Bei Rückmeldungen zu diesem Newsletter oder Fragen im Zusammenhang mit den Themen des Newsletters können Sie sich an die E-Mail-Adresse datenschutz@brandi.net wenden. Die weiteren Kontaktdaten finden Sie auch auf unserer Homepage; wir freuen uns auf Ihr Feedback. Viel Vergnügen bei der Lektüre dieser Ausgabe!

Dr. Sebastian Meyer und das Datenschutzteam von BRANDI

Thema des Monats: Gemeinsame Verantwortlichkeit unter der DSGVO

Soweit mehrere Beteiligte an einem Datenverarbeitungsvorgang beteiligt sind, stellt sich stets die Frage, welche datenschutzrechtlichen Anforderungen von den einzelnen Beteiligten eingehalten werden müssen. Für die konkret zu beachtenden rechtlichen Pflichten der jeweiligen Beteiligten kommt es maßgeblich darauf an, ob die Beteiligten jeweils die Zwecke und Mittel der Verarbeitung festlegen können, also „Verantwortliche“ im Sinne von Art. 4 Nr. 7 DSGVO sind. Ist ein Beteiligter nicht für die Verarbeitung verantwortlich, liegt häufig ein Fall der Auftragsverarbeitung im Sinne von Art. 28 DSGVO vor. Der Auftragsverarbeiter übernimmt zwar die Datenverarbeitung für den Auftraggeber, ist aber im datenschutzrechtlichen Sinne für die Datenerarbeitung nicht verantwortlich.

Das neue Datenschutzrecht der DSGVO kennt – anders als das bisherige Datenschutzrecht unter dem (alten) BDSG – aber auch die Fallkonstellation der „gemeinsam für die Verarbeitung Verantwortlichen“ („gemeinsam Verantwortliche“). Legen zwei oder mehr Verantwortliche gemeinsam die Zwecke und die Mittel zur Datenverarbeitung fest, so sind sie gem. Art 26 Abs. 1 S. 1 DSGVO auch gemeinsam für die Verarbeitung verantwortlich. Die gemeinsame Verantwortlichkeit hat den Vorteil, dass die gemeinsam Verantwortlichen ihre rechtlichen Pflichten, z. B. zur Information der Betroffenen, untereinander aufteilen können. Umgekehrt haften aber auch alle gemeinsam Verantwortlichen im Außenverhältnis gem. Art. 26 Abs. 3 DSGVO gesamtschuldnerisch für etwaige Datenschutzverstöße aus der gemeinsamen Verantwortung. 

Zum vollständigen Schwerpunktthema

LG Würzburg: Abmahnung unter der DSGVO

Das Landgericht Würzburg (LG Würzburg) hat eine Abmahnung wegen Verstoßes gegen die Pflicht zur Bereitstellung einer vollständigen Datenschutzerklärung als berechtigt angesehen (Beschluss v. 13.09.2018 – 11 O 1741/18 UWG). Im konkreten Fall hatte eine Anwaltskanzlei eine andere Anwaltskanzlei abgemahnt, weil diese nicht ausreichend über die Datenverarbeitung im Zusammenhang mit dem Besuch der eigenen Homepage aufgeklärt hat. Die angegriffene Datenschutzerklärung umfasste lediglich sieben Zeilen und enthielt nicht alle erforderlichen Angaben wie z. B. die Informationen über den Verantwortlichen, der für die Verarbeitung zuständig ist.

Das LG Würzburg begründete seine Entscheidung relativ kurz damit, dass es sich bei den beanstandeten Datenschutzverstößen zugleich um Wettbewerbsverstöße im Sinne von § 3a UWG handelt, die von Wettbewerbern abgemahnt werden können.

Seit Inkrafttreten der DSGVO ist unter Juristen umstritten, inwieweit die neuen datenschutzrechtlichen Bestimmungen Grundlage für eine Abmahnung sein können. Eine wettbewerbsrechtliche Abmahnung kommt unter den Voraussetzungen des § 3a UWG nur dann in Betracht, wenn die datenschutzrechtlichen Regelungen auch dazu bestimmt sind, das Marktverhalten zu regeln. Diese marktregelnde Funktion war unter dem alten Datenschutzrecht nur für bestimmte Datenschutzregeln angenommen worden. Teilweise wird aber vertreten, eine entsprechende Wertung könne den Erwägungsgründen der DSGVO nicht entnommen werden. Die Sanktionen der DSGVO seien abschließend, sodass kein Raum für separate zivilrechtliche Abmahnungen verbleibe. Dieser Wertung ist das LG Würzburg mit seinem Urteil nicht gefolgt. Dennoch kann nicht zwangsläufig damit gerechnet werden, dass andere Gerichte in vergleichbaren Verfahren ähnlich entscheiden.

Aufsichtsbehörden: 400.000 Euro Bußgeld gegen Krankenhaus in Portugal

In Portugal wurde das erste sechsstellige Bußgeld wegen Verstößen gegen die DSGVO verhängt. Nach einem Bericht des Heise Verlags unter Berufung auf eine Mitteilung der Internetseite Público hat die portugiesische Datenschutzbehörde CNPD gegen das Krankenhaus Barreiro Montijo ein Bußgeld in Höhe von 400.000 Euro verhängt. Dem Krankenhaus wird vorgeworfen, einem zu großen Personenkreis Zugriff auf Patientendaten eingeräumt zu haben. Nach Auffassung der Aufsichtsbehörde habe der Krankenhausbetreiber „bewusst“ dafür gesorgt, dass Techniker des Krankenhauses Daten einsehen können, die eigentlich nur den Ärzten hätten zugänglich sein dürfen. Darüber hinaus seien im IT-System des Krankenhauses nahezu 1.000 aktive Benutzer mit dem Profil „Arzt“ registriert, obwohl lediglich ca. 300 Ärzte im Krankenhaus beschäftigt seien. Der Festsetzung des Bußgeldes war eine Prüfung des Krankenhauses durch die Aufsichtsbehörde vorausgegangen. Das Krankenhaus hat angekündigt, gerichtlich gegen das Bußgeld vorzugehen.

In der Vergangenheit gab es zumindest in Deutschland keine bekannten Fälle, in denen Aufsichtsbehörden allein aufgrund eines mangelhaften Zugriffsberechtigungskonzepts Bußgelder gegen Unternehmen verhängt haben. Insoweit ist nicht nur die generelle Höhe des Bußgeldes bemerkenswert, sondern auch die konkrete Begründung der Aufsichtsbehörde. Relativierend ist aber festzustellen, dass das Krankenhaus Gesundheitsdaten verarbeitet, die datenschutzrechtlich dem besonderen Schutz des Art. 9 DSGVO unterliegen. Ein Verstoß gegen die Vorgaben zur Verarbeitung von Gesundheitsdaten kann ein „großes Bußgeld“ des Art. 83 Abs. 5 DSGVO zur Folge haben, sodass der formale Bußgeldrahmen bis zu 20 Mio. Euro oder 4 % des weltweiten Jahresumsatzes beträgt.

Microsoft stellt Datentreuhänder-Cloud mit Telekom ein

Seit 2015 hat Microsoft gemeinsam mit der Telekom die „Microsoft Cloud Deutschland“ angeboten. Kernbestandteil dieser Cloudlösung ist, dass die Cloud-Rechenzentren ausschließlich von der deutschen Telekom betrieben werden. Das US-Unternehmen Microsoft hat unterdessen nur in protokollierten Ausnahmefällen Zugang auf die Cloudspeicher. Aus datenschutzrechtlicher Sicht hatte die „Microsoft Cloud Deutschland“ stets den Vorteil, dass der Ausschluss von Microsoft zugleich bedeutet, dass keine Datenübermittlung in die USA vorliegt. Unternehmen, die sich für eine solche transatlantische Datenübermittlung nicht auf das umstrittene EU-US-Privacy-Shield oder die dem EuGH zur Prüfung vorliegenden EU-Standardvertragsklauseln verlassen wollten, konnten mit der aufpreispflichtigen Treuhänderlösung der Telekom eine vermeintlich zukunftssichere Cloudlösung wählen.

Nun hat Microsoft angekündigt, dass die Microsoft Cloud Deutschland keine Neukunden mehr annimmt. Microsoft reagiert damit nach eigenen Angaben auf veränderte Kundenwünsche, die sich umfassendere Funktionalitäten und verstärkte globale Konnektivität wünschen. Diese Anforderungen hätten durch die isolierte Führung der Rechenzentren durch die Telekom nicht realisiert werden können. Anstelle der „Microsoft Cloud Deutschland“ startet Microsoft ab 2019 mit zwei selbst betriebenen, neuen Cloud-Rechenzentren in Deutschland. Nach Angaben von Microsoft bekennt sich das Unternehmen zur Einhaltung der DSGVO und nimmt entsprechende vertragliche Verpflichtungen in die entsprechenden Cloudverträge auf.

Diese Zusicherung von Microsoft ist aus Sicht des Datenschutzes allerdings zu hinterfragen. Grund hierfür ist ein neues US-Gesetz, der sogenannten CLOUD Act („Clarifying Lawful Overseas Use of Data Act“) vom 23. März 2018. Darin wird festgelegt, dass Unternehmen wie Microsoft die Daten ihrer Kunden auf Verlangen der Regierung unabhängig vom Speicherort herausgeben müssen. Für europäische Unternehmen ist der CLOUD Act insbesondere von Bedeutung, wenn sie ihre Daten auf europäischen Server von US-Unternehmen speichern. Zumindest theoretisch droht dann auch ein Zugriff der US-Regierung auf die dort gespeicherten Daten. Eine entsprechende Zugriffsmöglichkeit wäre unter dem alten Treuhändermodel wohl ausgeschlossen gewesen.

Hackerangriff auf Facebook: 30 Mio. Nutzer betroffen

Wie Facebook mitteilte, ist das soziale Netzwerk Opfer eines Hackerangriffs geworden. Die Angreifer hätten eine Sicherheitslücke ausgenutzt, mit der Zugriff auf die Facebook-Profile anderer Nutzer genommen werden konnte. Die Angreifer konnten so beispielsweise die Namen, Kontaktinformationen, Geburtsdaten, das Geschlecht, den Beziehungsstatus und den Wohnort von etwa der Hälfte der betroffenen Profile erlangen. Bei rund 10 % der betroffenen Nutzer, also etwa 3 Mio. Personen, handelt es sich um EU-Bürger.

Der Hackerangriff ist bereits der zweite Datenschutz-Vorfall von Facebook in diesem Jahr, nachdem im April bekannt wurde, dass die Analysefirma Cambridge Analytica sich im Jahr 2015 Zugang zu fast 90 Mio. Nutzerprofilen erschlichen hatte. Für den Fall um Cambridge Analytica hat die britische Datenschutzaufsichtsbehörde Ende Oktober 2018 ein Bußgeld in Höhe von 500.000 Pfund (ungefähr 565.000 Euro) verhängt. Auch die irische Datenschutz-Aufsichtsbehörde hat mit Hinblick auf den neuen Hackerangriff ein Verfahren gegen Facebook eingeleitet. Deutsche Bußgeldverfahren waren unter Verweis auf eine Verjährung der Datenschutzverstöße eingestellt worden.

Das EU Parlament hat unterdessen als Reaktion auf die Datenschutzvorfälle eine Resolution verabschiedet, in der Facebook dazu aufgefordert wird, ein vollständiges Datenschutz-Audit durch EU-Behörden zu gestatten. Da die Resolution aber keine Bindungswirkung entfaltet, sondern vielmehr als eine schriftliche Stellungnahme zu dem Thema zu verstehen ist, bleibt abzuwarten, ob Facebook einer entsprechenden Untersuchung zustimmen wird.