365 Tage DS-GVO – Resümee aus der Praxis

Liebe Leserin,
lieber Leser,

seit dem 25.05.2018  gilt die Datenschutz-Grundverordnung (nachfolgend: "DS-GVO") und hat seither zu großen Unsicherheiten bei Unternehmen geführt. Nach nun einem Jahr möchten wir Sie über die Entwicklungen im Datenschutzrecht und unsere praktischen Erfahrungen mit der neuen Gesetzeslage informieren.

I. Beschwerden, Meldung von Datenschutzpannen

Die Datenschutzbeauftragten der Bundesländer geben in ihrem aktuellen Bericht an, in 2018 insg. 7.293 Meldungen über Datenschutzpannen nach Art. 33 DS-GVO erhalten zu haben (vgl. Tätigkeitsbericht). In Baden-Württemberg waren es allein 774 Meldungen. Die behördlichen Kontrollen haben sich dagegen bis Ende 2018 nicht wesentlich erhöht (48 Kontrollbesuche bei Behörden und Unternehmen), was aber wohl an den eingeschränkten personellen Kapazitäten der zuständigen Aufsichtsbehörden lag. Davon wurden in Baden-Württemberg im nicht-öffentlichen Bereich lediglich acht Kontrollen durchgeführt. Allerdings haben die Landesbeauftragten für Datenschutz bereits angekündigt, zukünftig vermehrt Kontrollen durchführen zu wollen. So hat die Aufsichtsbehörde für Datenschutz Baden-Württemberg für das Jahr 2019 zahlreiche Kontrollmaßnahmen, davon 250 in bestimmten (kritischen) Bereichen (z.B. im Gesundheitswesen) geplant (Pressemitteilung des Landesbeauftragten für Datenschutz Baden-Württemberg vom 08.04.2019). Die Aufsichtsbehörde Bayern hatte bereits frühzeitig Kontrollen bei Online-Shops, Arztpraxen und großen sowie mittelständischen Unternehmen durchgeführt (vgl. Pressemitteilung vom 07.08.2018 des Landesbeauftragten für Datenschutz Bayern). In ihrer aktuellen Dienststellenstatistik hat die Aufsichtsbehörde Baden-Württemberg darüber informiert, dass sie lediglich ca. 30 % mehr Beschwerden von Verbrauchern und Verbänden erhalten habe; um 270 % habe sich aber die Anzahl an Beratungen bei kleinen und mittelständischen Unternehmen erhöht (vgl. Statistik).

II. Bußgelder

Die Behörden haben seit Inkrafttreten der DS-GVO Bußgelder von fast einer halben Million Euro verhängt. In Baden-Württemberg wurden bspw. über den Zeitraum 01.06. bis 30.10.2018 ca. 120 Bußgeldverfahren eingeleitet. In ihrem Tätigkeitsbericht für das Jahr 2018 berichtete die Aufsichtsbehörde dazu, dass eine Geldbuße in Höhe von 20.000,00 Euro zzgl. einer Verfahrensgebühr von 1.000,00 Euro gegen einen Social-Media-Dienstleister festgesetzt worden sei. Das Unternehmen hatte die Passwörter ihrer Nutzer im Klartext, also unverschlüsselt gespeichert. Zudem sei eine Geldbuße von 80.000,00 Euro gegen einen Verantwortlichen verhängt worden, der bei einer digitalen Publikation aufgrund unzureichender interner Kontrollmechanismen Gesundheitsdaten veröffentlicht hatte.

III. Wettbewerbsrechtliche Abmahnungen

Schon vor Geltung der DS-GVO war es streitig, ob Datenschutzregelungen als sog. Marktverhaltensregel i.S.d. § 3a des Gesetzes gegen den Unlauteren Wettbewerb (UWG) abmahnfähig sind. Der Meinungsstreit hatte sich angesichts des Inkrafttretens der DS-GVO noch verschärft.

Zur Frage der Abmahnung eines Datenschutzverstoßes nach dem UWG haben die Gerichte bisher unterschiedliche Auffassungen vertreten.

Das Landgericht Bochum verneinte im Urteil vom 07.08.2018 (Az. I 12 O 85/18 / Homepage ohne ausreichende Datenschutzerklärung) die Abmahnfähigkeit aus UWG, da die Regelungen in der DS-GVO die Rechtsfolgen von Verstößen bereits hinreichend regeln würden, vor allem in Bezug darauf, wer Verstöße geltend machen darf. Davon seien Mitbewerber jedoch gerade nicht umfasst. Dieser Ansicht trat das Landgericht Würzburg in seinem Beschluss vom 13.09.2018 (Az. 11 O 1741/18 / Homepage ohne ausreichende Datenschutzerklärung) entgegen und nahm an, dass sich Mitbewerber bei Verstößen nach der DS-GVO abmahnen können. Das OLG Hamburg ist in seinem Urteil vom 25.10.2018 (Az. 3 U 66/17 / Bestellbögen ohne datenschutzrechtliche Einwilligung) der Meinung des LG Würzburg gefolgt.

Bis zu einer höchstrichterlichen Entscheidung des BGH ist die Rechtslage daher unsicher, wettbewerbsrechtliche Abmahnungen sind somit weiterhin ein Risiko.

Zusätzlich zur wettbewerbsrechtlichen Problematik war es umstritten, ob die Vorschriften der DS-GVO zur Zulässigkeit der Verarbeitung personenbezogener Daten als Prüfungsmaßstab bei der Beurteilung eines Wettbewerbsverstoßes zwingen heranzuziehen sind (Streitgegenstand war ein "Opt-In"). Das OLG München hat dazu mit Urteil vom 07.02.2019 (Az. 6 U 2404/18) entschieden, dass die Bestimmungen der DS-GVO nicht als Prüfungsmaßstab bei der Beurteilung eines Verstoßes gegen das wettbewerbsrechtliche Belästigungsverbot herangezogen werden müssen.

IV. Facebook-Fanpage

Nach Auffassung des Europäischen Gerichtshofes (EuGH) liegt im Betrieb einer Facebook-Fanpage eine gemeinsame Verantwortlichkeit nach Art. 26 DS-GVO ("Joint Controllership"; vgl. EuGH, Urt. v. 05.06.2018). Aufgrund dieser Feststellungen des EuGH und des Beschlusses der Datenschutzkonferenz (DSK, vgl. Beschluss, nochmals bestätigt in der Stellungnahme vom 01.04.2019), ist der Betrieb einer Fanpage auf Facebook derzeit datenschutzrechtlich unzulässig und birgt daher Haftungsrisiken für Unternehmen. Die deutschen Aufsichtsbehörden hatten bereits einen Fragebogen an Fanpage-Betreiber verschickt, der im Ergebnis - bei wahrheitsgemäßer Beantwortung - ein unzulässige Datenverarbeitung bestätigt. Bisher hat Facebook nur mit der Ergänzung der Nutzungsbedingungen und auch nur bezogen auf die Seiten-Insights reagiert. Bis Facebook eine ordnungsgemäße Vereinbarung nach Art. 26 DS-GVO vorlegt, ist der Betrieb einer Fanpage datenschutzrechtlich unzulässig.

Wichtig ist in diesem Zusammenhang dass auch die Nutzung anderer Plattformen (z.B. "First Bird" für Bewerbermanagement) oder unternehmenseigener Plattformen für Kunden (z.B. Partnerportale im B2B-Bereich zur Verwaltung von Kundendaten), zur gemeinsamen Verantwortlichkeit für die Datenverarbeitung führen kann. Denn ausreichend ist es hierfür nach unserem Verständnis der EuGH-Entscheidung lediglich, dass beide Vertragspartner wechselseitig die Verarbeitung von personenbezogenen Daten koordinieren und organisieren.

V. Anwendung des KUrhG

Auch Fotos sind personenbezogene Daten. Dies hat zu der Frage der Anwendung des Kunsturhebergesetz (KunstUrhG) geführt, welches die Erstellung und Verwendung der Bildnisse von Personen regelt. Bislang hat sich nur das OLG Köln zum journalistischen Bereich geäußert (vgl. Beschluss vom 08.10.2018, Az. 15 U 110/18). Danach sind die urheberrechtlichen Vorschriften nach wie vor zu prüfen. Es gelten somit beide Gesetze nebeneinander, d.h. im Rahmen der Einholung von Einwilligungen sind die DS-GVO und das KunstUrhG zu beachten.

Praxistipp

Es stellen sich zahlreiche weitere Fragen (z.B. Einsatz von WhatsApp im Unternehmen, Meldepflichten bei Datenpannen usw.). Aus Compliance Gründen sollte jedes Unternehmen ausreichend Sorge dafür tragen, ein Datenschutz-Management zu organisieren. Im Hinblick auf die Vielzahl der gerichtlich noch nicht abschließend geklärten Rechtsfragen und die datenschutzrechtlichen Haftungsrisiken empfiehlt es sich für jedes Unternehmen, eine datenschutzrechtliche Beratung unter Berücksichtigung der im Unternehmen bestehenden Prozessabläufe mindestens jedoch einen Datenschutz-Check durchführen lassen.

Wir beraten Ihr Unternehmen und Ihren betrieblichen oder externen Datenschutzbeauftragten gerne und unterstützen Sie auch bei der Erarbeitung eines Datenschutzkonzeptes, ggf. übergreifenden Informationsschutzkonzeptes und dessen Umsetzung.

Sollten Sie datenschutzrechtliche Fragen haben, kommen Sie gerne auf uns zu!

Mit besten Grüßen aus Heidelberg
Ihr Datenschutzteam

zurück